图像形成装置、安全防护方法及计算机可读存储介质

技术领域

本申请涉及图像形成装置技术领域，具体地涉及一种图像形成装置、安全防护方法及计算机可读存储介质。

背景技术

图像形成装置是一种通过成像原理在记录介质上形成图像的设备，例如打印机、复印机、传真机、多功能图像制作和复印装置、静电印刷装置和任何其它类似装置。目前，个人、企业或其它机构在日常操作中均需要大量使用图像形成装置进行相应的业务处理。例如，创建内部文档(如备忘录、演示文稿、各种记录和流程等)，以及供外部使用(如患者、客户使用等)的文档等。

随着电子科学技术的进步，图像形成装置的发展也越来越成熟，但是图像形成装置容易受到不法分子(例如黑客)的攻击，以带有扫描和/或传真功能的激光打印机(图像形成装置多种类型中的一种)为例，扫描或者传真的数据都可能携带有用户的机密数据，甚至连激光成像中核心零部件感光鼓上，也可能携带有用户待打印的机密数据；这些数据一旦泄露，就会给用户带来很多不必要的麻烦。

国际TCG组织(Trusted Computing Group，可信计算组织)提出的可信计算芯片TPM作为外部设备，以被动挂接的方式，通过图像形成装置的软件调用来发挥作用，仅能对图像形成装置的固件和可执行程序等资源进行静态度量。其安全能力完全依赖于图像形成装置SoC片上系统的安全性，难以防御黑客利用图像形成装置SoC片上系统漏洞进行的攻击，并不能实质上提升图像形成装置的主动防御能力。并且，如果单纯依赖图像形成装置SoC片上系统资源进行安全管控，会影响打印、扫描等功能模块的系统调度资源，影响打印速度。

发明内容

本申请实施例提供了一种图像形成装置、安全防护方法及计算机可读存储介质，以利于解决现有技术中图像形状装置的安全防护方案安全性较差，且会影响图像形状装置本身性能的问题。

第一方面，本申请实施例提供了一种图像形成装置，包括：

成像控制模块，配置有图像形成装置操作系统，所述图像形成装置操作系统用于控制所述图像形成装置的成像处理操作；

可信计算模块，配置有安全防护操作系统，所述安全防护操作系统用于对所述图像形成装置操作系统的运行进行安全防护；

其中，所述图像形成装置操作系统和所述安全防护操作系统被配置为并行运行。

优选地，所述成像控制模块和所述可信计算模块对应的硬件资源存在交集。

优选地，所述成像控制模块和所述可信计算模块存在交集的硬件资源为存储器和/或内存。

第二方面，本申请实施例提供了一种图像形成装置的安全防护方法，其特征在于，应用于第一方面任一项所述的图像形成装置，所述方法包括：

在所述安全防护操作系统启动完成后，启动所述图像形成装置操作系统；

在所述图像形成装置操作系统的启动过程中，通过所述安全防护操作系统对所述图像形成装置操作系统的启动文件进行完整性防护。

优选地，通过所述安全防护操作系统对所述图像形成装置操作系统的启动文件进行完整性防护，包括：

通过所述安全防护操作系统对所述图像形成装置操作系统的启动文件进行完整性验证；

若所述图像形成装置操作系统的启动文件通过所述完整性验证，则允许所述图像形成装置操作系统启动；

若所述图像形成装置操作系统的启动文件未通过所述完整性验证，则阻止所述图像形成装置操作系统启动。

优选地，在所述图像形成装置操作系统启动完成后，还包括：

在所述图像形成装置操作系统的应用运行过程中，通过所述安全防护操作系统对所述应用运行过程中的待执行操作进行安全防护，和/或对所述应用运行过程中的数据进行安全防护。

优选地，通过所述安全防护操作系统对所述应用运行过程中的待执行操作进行安全防护，包括：

所述图像形成装置操作系统将应用运行过程中的待执行操作发送至所述安全防护操作系统；

所述安全防护操作系统对所述待执行操作进行合法性检测，生成检测结果；

所述安全防护操作系统根据所述检测结果，确定阻止或不阻止所述待执行操作。

优选地，所述安全防护操作系统根据所述检测结果，确定阻止或不阻止所述待执行操作，包括：

所述安全防护操作系统根据所述检测结果以及配置的安全策略，确定阻止或不阻止所述待执行操作。

优选地，还包括：

所述安全防护操作系统将所述检测结果发送至管理中心；和/或，将所述检测结果发送至所述图像形成装置的审计输出单元，所述审计输出单元用于输出所述检测结果。

优选地，通过所述安全防护操作系统对所述应用运行过程中的数据进行安全防护，包括：

通过所述安全防护操作系统对所述应用运行过程中的关键参数和/或敏感文件进行安全防护。

第三方面，本申请实施例提供了一种图像形成装置，其特征在于，包括：

处理器；

存储器；

所述存储器中存储有计算机程序，当所述计算机程序被执行时，使得所述图像形成装置执行第二方面中任意一项所述的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行第二方面中任一项所述的方法。

采用本申请实施例提供的技术方案具有以下技术效果：

1、图像形成装置操作系统和安全防护操作系统并行运行，降低对图像形成装置本身业务功能的影响。例如，相对背景技术中的方案，可以提高打印速度等。

2、由于安全芯片的主频一般相比图像形成装置SoC较低，且其存储空间能力有限，因此，安全防护操作系统可以共享图像形成装置操作系统部分硬件资源，既可以保证安全芯片的处理性能，也可以在不影响图像形成装置业务功能前提下提升图像形成装置的安全防护。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例提供的一种图像形成装置的结构示意图；

图2为本申请实施例提供的一种图像形成装置的安全防护方法流程示意图；

图3为本申请实施例提供的一种双系统启动过程示意图；

图4为本申请实施例提供的一种双系统安全防护过程示意图；

图5为本申请实施例提供的另一种双系统安全防护过程示意图；

图6为本申请实施例提供的一种图像形成装置的结构示意图。

具体实施方式

为了更好的理解本申请的技术方案，下面结合附图对本申请实施例进行详细描述。

应当明确，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，甲和/或乙，可以表示：单独存在甲，同时存在甲和乙，单独存在乙这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

现有技术中，以TPM方式所实现的可信计算平台实质是单系统架构，TPM在资源访问、控制上都有局限性，其安全能力完全依赖于图像形成装置片上系统SoC的安全性，难以防御黑客利用图像形成装置SoC漏洞进行的攻击，并不能实质上提升图像形成装置的主动防御能力。并且，如果单纯依赖图像形成装置SoC资源进行安全管控，会影响打印、扫描等功能模块的系统调度资源，影响打印速度。

针对上述问题，本申请实施例提供了一种图像形成装置，基于双系统架构，实现图像形成装置操作系统和安全防护操作系统的分离。以下进行详细说明。

参见图1，为本申请实施例提供的一种图像形成装置的结构示意图。如图1所示，该图像形成装置包括成像控制模块和可信计算模块。其中，成像控制模块配置有图像形成装置操作系统(例如，Linux，ThreadX，FreeRTOS等)，所述图像形成装置操作系统用于控制所述图像形成装置的成像处理操作，例如控制图像形成装置执行打印、扫描等操作。可信计算模块配置有安全防护操作系统，所述安全防护操作系统用于对所述图像形成装置操作系统的运行进行安全防护，安全防护的具体过程在下文中结合方法实施例进行详细介绍。

其中，安全防护操作系统独立于图像形成装置操作系统，图像形成装置操作系统和安全防护操作系统并行运行。图像形成装置操作系统满足图像形成业务功能，安全防护操作系统满足图像形成中各阶段的安全防护。在本申请实施例中将业务功能和安全防护进行剥离，在不影响业务功能的前提下，满足各场景下图像形成安全防护的增强。

另外，可信计算模块的相关功能可以通过安全芯片来实现，安全芯片可以提供密码运算，并且集成存储器，该存储器可以提供可靠的存储空间，以存储安全防护操作系统运行的程序代码及少量关键数据。由于安全芯片的主频一般相比图像形成装置SoC较低，且其存储空间能力有限，因此可以通过共享图像形成装置硬件资源的方式，将一些监听程序运行在图像形成装置操作系统上，安全芯片只做关键的密码运算和少量关键数据的安全存储，这样既可以保证安全芯片的处理性能，也可以在不影响图像形成装置业务功能前提下提升图像形成装置的安全防护。

在一种可能的实现方式中，成像控制模块和可信计算模块共享的硬件资源包括存储器和/或内存。

采用本申请实施例提供的技术方案具有以下技术效果：

1、图像形成装置操作系统和安全防护操作系统并行运行，降低对图像形成装置本身业务功能的影响。例如，相对背景技术中的方案，可以提高打印速度等。

2、由于安全芯片的主频一般相比图像形成装置SoC较低，且其存储空间能力有限，因此，安全防护操作系统可以共享图像形成装置操作系统部分硬件资源，既可以保证安全芯片的处理性能，也可以在不影响图像形成装置业务功能前提下提升图像形成装置的安全防护。

参见图2，为本申请实施例提供的一种图像形成装置的安全防护方法流程示意图。该方法可应用于图1所示的图像形成装置，如图2所示，其主要包括以下步骤。

步骤S201：在所述安全防护操作系统启动完成后，启动所述图像形成装置操作系统。

本申请实施例在启动阶段，优先运行安全防护操作系统，待安全防护操作系统启动完成后，再启动图像形成装置操作系统，图像形成装置操作系统的启动过程通常包括boot引导，内核运行和应用执行等几个阶段。

参见图3，为本申请实施例提供的一种双系统启动过程示意图。如图3所示，在本申请实施例中，通过安全芯片实现可信计算模块的相关功能。具体地，安全芯片包括物理层、系统层和应用层。其中，物理层包括处理器、控制器和存储器，该存储器又包括易失性存储器和非易失性存储器，处理器、控制器和存储器通过内部总线进行连接，实现内部通信。系统层部署有安全防护操作系统，安全防护操作系统可以为Linux，ThreadX，FreeRTOS等，本申请实施例对此不作具体限制。应用层包括安全控制单元、安全计算单元和安全策略单元。安全策略单元用于进行安全策略配置，具体可以通过加载配置文件的方式实现；安全控制单元和安全计算单元分别用于安全控制和安全计算。安全控制单元负责具体的安全策略的执行，例如：可以阻止某一线程通过IO控制来操作内核文件的访问，也可以将非法的进程或脚本杀死等。安全计算单元负责对特定的度量单位合法性的计算，通过比对其计算值和度量值，结合安全策略，给出是否允许对应实体的相关操作的结论。

另外，在本申请实施例中，通过SoC承载图像形成装置操作系统，图像形成装置操作系统可以为Linux，ThreadX，FreeRTOS等，本申请实施例对此不作具体限制。

启动时，图像形成装置开机，SoC和安全芯片同时上电，但是安全芯片通过控制SoC的复位(Reset)引脚，使得SoC暂时无法继续启动。安全芯片进一步启动，待安全芯片启动完成后，可以释放SoC的复位引脚，使得SoC继续启动。

当然，本领域技术人员还可以采用其它方式控制SoC和安全芯片的启动方式，来实现安全防护操作系统优先启动，其均应当处于本申请的保护范围之内。

在一种可选实施例中，安全防护操作系统启动后，对应的安全策略尚未开启，需要通过安全策略配置使得安全策略进一步生效。具体实现中，安全策略配置可以通过在图像形成装置操作系统运行之前，通过加载配置文件的方式实现。其中，安全策略配置对应的安全策略包括静态防护、动态防护、内存关键参数防护、文件防篡改等。

步骤S202：在所述图像形成装置操作系统的启动过程中，通过所述安全防护操作系统对所述图像形成装置操作系统的启动文件进行完整性防护。

具体地，安全策略生效后，在图像形成装置操作系统的启动和运行阶段，可以分别通过配置的安全策略进行安全防护。换句话将，对图像形成装置操作系统的安全防护可以分为图像形成装置操作系统的启动阶段和应用运行阶段。

参见图4，为本申请实施例提供的一种双系统安全防护过程示意图。在图4中示出了图像形成装置OS(图像形成装置操作系统)和安全防护OS(安全防护操作系统)。如图3所示实施例中的描述，安全防护OS优先启动，待安全防护OS启动完成后，图像形成装置OS开始启动，安全防护OS在图像形成装置OS的整个启动过程以及启动完成后，进行安全防护。

具体地，安全防护OS可以根据图像形成装置OS的启动及运行的不同阶段划分不同的安全策略，以根据对应的安全策略对图像形成装置OS的不同阶段进行安全防护。

在一种可选实施例中，将图像形成装置OS的启动过程分为启动阶段1、启动阶段2、内核运行和应用执行4个阶段。其中，启动阶段1和启动阶段2对应于boot引导阶段。在boot引导过程中，可以通过安全防护操作系统对所述图像形成装置操作系统的boot文件(启动文件)进行完整性验证。若所述图像形成装置操作系统的boot文件通过所述完整性验证，则允许所述图像形成装置操作系统的下一步启动；若所述图像形成装置操作系统的boot文件未通过所述完整性验证，则阻止所述图像形成装置操作系统的下一步启动。

可理解，在boot引导阶段的安全防护为静态防护。

步骤S203：在所述图像形成装置操作系统的应用运行过程中，通过所述安全防护操作系统对所述应用运行过程中的待执行操作进行安全防护，和/或对所述应用运行过程中的数据进行安全防护。

如图4所示，在boot引导阶段的静态防护完成后，图像形成装置OS进入内核运行阶段和应用执行阶段。在内核运行阶段和应用执行阶段，安全防护OS需要进行对应的动态防护。

例如，当图像形成装置的应用程序运行时，安全防护OS根据配置的策略，周期性地对应用程序的执行进行安全防护，防护措施包括但不限于应用运行过程中待执行操作的安全防护、应用运行过程中数据的安全防护等。其中，应用运行过程中待执行操作的安全防护可以为驱动层对文件操作的安全防护；应用运行过程中数据的安全防护可以为应用程序运行在内存中的关键参数防护、敏感文件的删除等。其中，敏感文件包括进程执行状态、进行被系统调用的顺序、权限等。

另外，安全防护操作系统还可以将各阶段的防护结果实时向管理中心上报，具体地可以以日志的方式发送到管理中心，管理员可以在管理中心进行审计查看，做到可防御可审计。

在一种可能的实现方式中，安全防护操作系统和图像形成装置操作系统可以共享部分硬件资源(存储器、内存等)。

例如，安全防护过程中，可信计算的部分程序要在图像形成装置操作系统的内存和应用层中运行，该部分程序随着图像形成装置操作系统固件一起被存储在图像形成装置操作系统的存储器中，同时在运行时会被加载到图像形成装置操作系统的内存中执行。其中，图像形成装置操作系统对应的硬件资源，可以理解为传统图像形成装置对应的硬件资源(不包含安全防护操作系统时，图像形成装置的硬件资源)。也就是说，安全防护操作系统可以共享传统图像形成装置的存储器、内存等资源。另外，安全防护操作系统还可能共享图像形成装置操作系统上的部分用于通讯的程序。

参见图5，为本申请实施例提供的另一种双系统安全防护过程示意图。在本申请实施例中，图像形成装置操作系统的内核层和应用层预置安全防护需要的安全程序，例如，在应用层预置安全程序1，在内核层预置安全程序2。安全防护OS通过配置的安全策略，在内核运行和应用执行阶段对图像形成装置OS进行安全防护。

其中，安全程序存储在图像形成装置操作系统对应的存储器上，并运行在图像形成装置操作系统对应的内存上。具体实现中，该安全程序会判断图像形成装置的何种操作需要被度量(安全防护检测)，然后向安全防护操作系统发送度量请求，具体的度量过程需要安全防护操作系统来完成。换句话讲，图像形成装置操作系统需要发起各种安全防护请求，而安全防护操作系统为具体的执行组件，并将安全防护请求对应的执行结果发送至图像形成装置操作系统，同时监控图像形成装置的运行。

具体地，通过所述安全防护操作系统对所述应用运行过程中的待执行操作进行安全防护，包括：所述图像形成装置操作系统将应用运行过程中的待执行操作发送至所述安全防护操作系统；所述安全防护操作系统对所述待执行操作进行合法性检测，生成检测结果；所述安全防护操作系统根据所述检测结果，确定阻止或不阻止所述待执行操作。其中，若所述检测结果为通过检测，则所述安全防护操作系统不阻止所述待执行操作的执行；若所述检测结果为未通过检测，则所述安全防护操作系统阻止所述待执行操作的执行。

在一种可选实施例中，用户可以进行安全策略配置，以实现预期的安全防护目的。具体地，所述安全防护操作系统根据所述检测结果，确定阻止或不阻止所述待执行操作，包括：所述安全防护操作系统根据所述检测结果以及配置的安全策略，确定阻止或不阻止所述待执行操作。例如，用户配置的安全策略为，安全防护不启用，则即使检测结果为未通过检查，安全防护操作系统也不会阻止待执行操作。

在一种可选实施例中，若所述检测结果为未通过检测，所述安全防护操作系统将所述检测结果发送至管理中心；和/或，将所述检测结果发送至所述图像形成装置的审计输出单元，所述审计输出单元用于输出所述检测结果。

例如，上述待执行操作为打印业务，图像形成装置操作系统需要在内核层运行文件操作，以实现特定功能。此时，预置在内核层的安全程序2将文件操作的行为发送至安全防护操作系统的特定线程，安全防护操作系统对文件操作的对象、地址、内容等信息进行合法性检测等，同时将检测结果返回至图像形成装置操作系统，图像形成装置操作系统根据该检测结果判断是否执行该文件操作。其中，若该检测结果为通过检测，则执行该文件操作；若检测结果为未通过检测，则拒绝执行该文件操作。

另外，若该检测结果为未通过检查，则形成审计日志，发送至图像形成装置的审计输出单元。同时，向管理中心上报本次检测结果。

可理解，当检测结果为通过检测时，同样可以将检测结果发送至管理中心，以及发送至图像形成装置的审计输出单元输出检测结果，本申请实施例对此不作具体限制。

在本申请实施例中，可信计算模块主要用于提供密码运算和可靠的存储空间，由于安全芯片的主频一般相比图像形成装置SoC较低，且其存储空间能力有限，因此，安全防护操作系统可以共享图像形成装置操作系统部分硬件资源，既可以保证安全芯片的处理性能，也可以在不影响图像形成装置业务功能前提下提升图像形成装置的安全防护。

与上述方法实施例相对应，本申请还提供了一种图像形成装置。

参见图6，为本申请实施例提供的一种图像形成装置的结构示意图，所述图像形成装置600可以包括：处理器601、存储器602及通信单元603。这些组件通过一条或多条总线进行通信，本领域技术人员可以理解，图中示出的服务器的结构并不构成对本发明实施例的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

其中，所述通信单元603，用于建立通信信道，从而使所述存储设备可以与其它设备进行通信。接收其他设备发是的用户数据或者向其他设备发送用户数据。

所述处理器601，为存储设备的控制中心，利用各种接口和线路连接整个系统的各个部分，通过运行或执行存储在存储器602内的软件程序和/或模块，以及调用存储在存储器内的数据，以执行系统的各种功能和/或处理数据。所述处理器可以由集成电路(integrated circuit，IC)组成，例如可以由单颗封装的IC所组成，也可以由连接多颗相同功能或不同功能的封装IC而组成。

所述存储器602，用于存储处理器601的执行指令，存储器602可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

当存储器602中的执行指令由处理器601执行时，使得图像形成装置600能够执行上述方法实施例中的部分或全部步骤。

具体实现中，本申请还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本申请提供的各实施例中的部分或全部步骤。上述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-only memory，简称：ROM)或随机存储记忆体(英文：random access memory，简称：RAM)等。

具体实现中，本申请实施例还提供了一种计算机程序产品，上述计算机程序产品包含可执行指令，当上述可执行指令在计算机上执行时，使得计算机执行上述方法实施例中的部分或全部步骤。

本申请实施例中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达，是指的这些项中的任意组合，包括单项或复数项的任意组合。例如，a，b和c中的至少一项可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

本领域普通技术人员可以意识到，本文中公开的实施例中描述的各单元及算法步骤，能够以电子硬件、计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。本申请的保护范围应以所述权利要求的保护范围为准。