本發(fā)明涉及信息安全領(lǐng)域，尤其是涉及一種基于國家商用密碼算法的硬拷貝控制系統(tǒng)。

背景技術(shù)：

針對目前硬拷貝組件，例如多功能一體機(jī)、打印機(jī)等硬拷貝組件，主要存在如下安全隱患。

(1)數(shù)據(jù)存儲的安全隱患

打印、復(fù)印、掃描作業(yè)處理過程中，設(shè)備內(nèi)部都會有緩存作業(yè)信息，不管是硬盤還是固態(tài)盤，設(shè)備斷電后這些信息仍然不會消失。如果這些硬盤或固態(tài)盤被盜取，所有緩存的作業(yè)信息都被外泄。

(2)固件升級的安全隱患

固件為擔(dān)任著一個系統(tǒng)最基礎(chǔ)最底層工作的軟件，多功能一體機(jī)、打印機(jī)等硬拷貝組件都有遠(yuǎn)程固件(firmware)升級功能，而這些固件升級功能往往會存在固件身份驗證、完整性檢查不完善或密碼算法強(qiáng)度不夠等安全漏洞，黑客通過這些漏洞惡意篡改固件，植入惡意功能，并通過正常的固件升級功能把這些植入惡意功能的固件升級到硬拷貝組件上，這樣，就能按自己的要求控制設(shè)備，達(dá)到竊取設(shè)備處理的機(jī)密文件，甚至通過該設(shè)備繞過防火墻入侵內(nèi)部網(wǎng)絡(luò)，后果極其嚴(yán)重。

(3)數(shù)據(jù)傳輸?shù)陌踩[患

目前的政府機(jī)關(guān)、企、事業(yè)單位大多采用網(wǎng)絡(luò)打印方式，網(wǎng)絡(luò)傳輸固有的共享特性，若沒有采取加密傳輸措施情況，竊密人員就可以在網(wǎng)絡(luò)的任何接入點通過簡單的技術(shù)手段截獲所有的打印文件；但即使采取了加密傳輸措施，目前，硬拷貝組件基本都是國外產(chǎn)品，采用的是國外主導(dǎo)的標(biāo)準(zhǔn)密碼算法，存在算法后門風(fēng)險。

為了保障商用密碼安全，國家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)，即國家商用密碼算法(簡稱國密)，國密包括ssf33、sm1(scb2)、sm2、sm3、 sm4、sm7、sm9、祖沖之密碼算法那等等，其中ssf33、sm1、sm4、sm7、祖沖之密碼是對稱算法；sm2、sm9是非對稱算法；sm3是哈希算法。

中國專利cn204414831u公開了一種公安證件打印機(jī)，包括通訊接口、非對稱算法解密模塊、打印驅(qū)動模塊和打印機(jī)本體，控制打印機(jī)的終端電腦通過通訊接口依次連接認(rèn)證模塊、非對稱算法解密模塊后再連接打印驅(qū)動模塊，將需要打印的數(shù)據(jù)用非對稱算法的公鑰加密后與通訊密碼一起通過通訊接口發(fā)送給打印機(jī)的非對稱算法解密模塊，非對稱算法解密模塊接收通訊密碼并進(jìn)行匹配，匹配成功后對非對稱加密的數(shù)據(jù)進(jìn)行解密，同時將新的通訊密碼發(fā)送回終端電腦，非對稱算法解密模塊將解密的打印數(shù)據(jù)發(fā)送至打印驅(qū)動模塊。該專利仍存在固件升級和數(shù)據(jù)存儲的安全隱患，且僅采用非對稱算法解密模塊的一種加密方式，安全等級有限，易被破解。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的就是為了克服目前市場上的硬拷貝組件存在的信息安全隱患而提供一種基于國家商用密碼算法的硬拷貝控制系統(tǒng)，保證了硬拷貝組件工作時信息的完整性和正確性的同時，也保證了其信息的機(jī)密性，防止信息被泄露，有效地解決了目前硬拷貝組件存在的信息安全隱患。

本發(fā)明的目的可以通過以下技術(shù)方案來實現(xiàn)：

一種基于國家商用密碼算法的硬拷貝控制系統(tǒng)，包括主控制模塊、硬拷貝組件、人機(jī)界面模塊和網(wǎng)絡(luò)通信模塊，所述主控制模塊包括隨機(jī)存儲單元、閃存存儲單元和主控單元，所述主控單元分別連接硬拷貝組件、人機(jī)界面模塊、網(wǎng)絡(luò)通信模塊、隨機(jī)存儲單元和閃存存儲單元，該系統(tǒng)還包括用于提供sm1/sm2/sm3/sm4算法的國密算法模塊，所述國密算法模塊連接主控單元，所述閃存存儲單元劃分為：引導(dǎo)區(qū)，用于存儲boot引導(dǎo)程序、boot數(shù)字證書cb；

固件區(qū)，用于存儲加密固件m'、簽名s和固件數(shù)字證書ca；

參數(shù)區(qū)，用于存儲加密配置參數(shù)；

數(shù)據(jù)區(qū)，用于存儲加密用戶數(shù)據(jù)。

所述主控單元通過密鑰協(xié)商方法由boot數(shù)字證書cb和固件數(shù)字證書ca實時獲取密鑰k，所述國密算法模塊利用密鑰k分別對明文配置參數(shù)和明文用戶數(shù)據(jù)進(jìn)行sm1算法的加密后對應(yīng)獲得加密配置參數(shù)和加密用戶數(shù)據(jù)，所述加密固件 m'是在系統(tǒng)外利用密鑰k對明文固件m進(jìn)行sm1算法的加密后寫入固件區(qū)的加密數(shù)據(jù)，所述簽名s為加密固件m'經(jīng)國密算法模塊的sm2算法獲得的數(shù)字簽名，所述固件數(shù)字證書ca為簽名s對應(yīng)的數(shù)字證書。

所述密鑰k僅緩存在隨機(jī)存儲單元內(nèi)，并在國密算法模塊的加解密操作結(jié)束后被消除。

該系統(tǒng)獲取密鑰k的具體方法包括以下步驟：

a.從boot數(shù)字證書cb中解析出公鑰pb及身份標(biāo)識idb；

b.從固件數(shù)字證書ca中解析出公鑰pa及身份標(biāo)識ida；

c.依據(jù)sm2算法的密鑰協(xié)商方法協(xié)商出密鑰k。

所述主控制模塊實現(xiàn)明文用戶數(shù)據(jù)加密保存的方法包括以下步驟：

11)主控制模塊通過密鑰協(xié)商方法獲取密鑰k；

12)主控制模塊將密鑰k及接收到的明文用戶數(shù)據(jù)發(fā)送給國密算法模塊，國密算法模塊利用密鑰k對明文用戶數(shù)據(jù)進(jìn)行sm1算法的加密后獲得加密用戶數(shù)據(jù)；

13)主控制模塊接收國密算法模塊發(fā)回的加密用戶數(shù)據(jù)，并將加密用戶數(shù)據(jù)寫入數(shù)據(jù)區(qū)；

14)主控制模塊在明文用戶數(shù)據(jù)加密完畢后清除密鑰k。

所述主控制模塊實現(xiàn)加密用戶數(shù)據(jù)解密讀取的方法包括以下步驟：

21)主控制模塊通過密鑰協(xié)商方法獲取密鑰k；

22)主控制模塊將密鑰k及數(shù)據(jù)區(qū)內(nèi)的加密用戶數(shù)據(jù)發(fā)送給國密算法模塊，國密算法模塊利用密鑰k對加密用戶數(shù)據(jù)進(jìn)行sm1算法的解密后獲得明文用戶數(shù)據(jù)；

23)主控制模塊接收國密算法模塊發(fā)回的明文用戶數(shù)據(jù)；

24)主控制模塊在加密用戶數(shù)據(jù)解密完畢后清除密鑰k。

所述主控制模塊在隨機(jī)存儲器內(nèi)設(shè)置一個明文參數(shù)鏡像區(qū)，明文參數(shù)鏡像區(qū)內(nèi)初始存儲有與參數(shù)區(qū)的加密配置參數(shù)對應(yīng)的明文配置參數(shù)，主控制模塊實現(xiàn)明文配置參數(shù)加密保存的方法包括以下步驟：

31)當(dāng)明文參數(shù)鏡像區(qū)內(nèi)的明文配置參數(shù)發(fā)生變化時，主控制模塊通過密鑰協(xié)商方法獲取密鑰k；

32)主控制模塊將密鑰k及明文參數(shù)鏡像區(qū)內(nèi)發(fā)生變化的明文配置參數(shù)發(fā)送 給國密算法模塊，國密算法模塊利用密鑰k對發(fā)生變化的明文配置參數(shù)進(jìn)行sm1算法的加密后獲得發(fā)生變化的加密配置參數(shù)；

33)主控制模塊接收國密算法發(fā)回的發(fā)生變化的加密配置參數(shù)，并將發(fā)生變化的加密配置參數(shù)寫入?yún)?shù)區(qū)；

34)主控制模塊在發(fā)生變化的明文配置參數(shù)加密完畢后清除密鑰k。

實現(xiàn)啟動過程中固件完整性和正確性檢查的方法包括以下步驟：

41)啟動時，運(yùn)行引導(dǎo)區(qū)內(nèi)的boot引導(dǎo)程序，boot引導(dǎo)程序分別讀取固件數(shù)字證書ca和簽名s；

42)boot引導(dǎo)程序根據(jù)sm2算法利用簽名s對加密固件m'進(jìn)行簽名驗算，判斷簽名驗算是否合格，若是，執(zhí)行步驟43)，若否，提示故障，終止啟動；

43)boot引導(dǎo)程序讀取boot數(shù)字證書cb，并根據(jù)固件數(shù)字證書ca和boot數(shù)字證書cb通過密鑰協(xié)商方法獲取密鑰k；

44)boot引導(dǎo)程序利用密鑰k對加密固件m'進(jìn)行sm1算法的解密后獲得明文固件m，所述明文固件m包括固件代碼f和雜湊值h；

45)boot引導(dǎo)程序根據(jù)sm3算法利用固件代碼f對雜湊值h進(jìn)行雜湊值驗算，判斷雜湊值驗算是否合格，若是，執(zhí)行步驟46)，若否，提示故障，終止啟動；

46)boot引導(dǎo)程序?qū)⒖刂茩?quán)移交給固件代碼f，正常啟動。

該系統(tǒng)實現(xiàn)固件升級的方法包括以下步驟：

51)接收固件升級包u，所述固件升級包u包括待升級的加密固件m'、簽名s和固件數(shù)字證書ca；

52)根據(jù)sm2算法的利用固件數(shù)字證書ca對待升級的加密固件m'、簽名s進(jìn)行簽名驗算，判斷簽名驗算是否合格，若是，執(zhí)行步驟53)，若否，清除固件升級包u，終止固件升級；

53)根據(jù)固件數(shù)字證書ca和boot數(shù)字證書cb通過密鑰協(xié)商方法獲取密鑰k；

54)利用密鑰k對待升級的加密固件m'進(jìn)行sm1算法的解密后獲得待升級的明文固件m，所述待升級的明文固件m包括固件代碼f和雜湊值h；

55)根據(jù)sm3算法利用固件代碼f對雜湊值h進(jìn)行雜湊值驗算，判斷雜湊值驗算是否合格，若是，執(zhí)行步驟56)，若否，清除固件升級包u，終止固件升級；

56)進(jìn)行固件升級，固件升級包u取代固件區(qū)內(nèi)的原數(shù)據(jù)。

所述主控制模塊通過網(wǎng)絡(luò)通信模塊連接網(wǎng)絡(luò)，并基于ipsec組件與網(wǎng)絡(luò)中設(shè)備 進(jìn)行sa(securityassociation，安全關(guān)聯(lián))協(xié)商，所述sa協(xié)商的過程包括：主控制模塊將對稱密碼算法以aes算法與網(wǎng)絡(luò)中設(shè)備進(jìn)行協(xié)商，并將密碼雜湊算法以sha256算法與網(wǎng)絡(luò)中設(shè)備進(jìn)行協(xié)商，所述對稱密碼算法使用時采用sm1算法或sm4算法，所述密碼雜湊算法使用時采用sm3算法。

該系統(tǒng)實現(xiàn)與網(wǎng)絡(luò)中設(shè)備安全通信的方法包括以下步驟：

61)檢查ipsec組件是否已經(jīng)建立好與網(wǎng)絡(luò)中設(shè)備的連接，若否，則啟動ipsec組件，進(jìn)行sa協(xié)商，若是，則保存協(xié)商好的sa，所述sa中包含有會話密鑰及hmac密鑰；

62)向網(wǎng)絡(luò)中設(shè)備發(fā)送ip包時，利用會話密鑰對ip包進(jìn)行sm1算法或sm4算法的加密后獲得加密后的ip包，再利用hmac密鑰對加密后的ip包進(jìn)行sm3算法的雜湊值計算后獲得對應(yīng)加密后的ip包的雜湊值，以加密后的ip包及對應(yīng)的雜湊值生成與ip包對應(yīng)的esp包，生成的esp包發(fā)送到網(wǎng)絡(luò)上；

接收到網(wǎng)絡(luò)中設(shè)備發(fā)送的esp包時，利用hmac密鑰對接收到的esp包進(jìn)行sm3算法的雜湊值驗證，判斷雜湊值驗證是否合格，若否，則丟棄該esp報，若是，則利用會話密鑰對esp包進(jìn)行sm1算法或sm4算法的解密后獲得與esp包對應(yīng)的ip包，該ip包進(jìn)入ip協(xié)議棧進(jìn)行后續(xù)處理。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點：

1)針對目前硬拷貝組件所存在的安全隱患，本發(fā)明在現(xiàn)有的硬拷貝組件結(jié)構(gòu)基礎(chǔ)上增加了對國家商用密碼算法的支持，即增設(shè)了國密算法模塊，利用國密算法模塊中的國家商用密碼算法(sm1/sm2/sm3/sm4算法)實現(xiàn)固件加密、配置參數(shù)加密以及用戶數(shù)據(jù)加密，為解決硬拷貝組件在固件升級、數(shù)據(jù)存儲以及數(shù)據(jù)傳輸存在的安全隱患提供了硬件和軟件上的支持。

2)本發(fā)明通過采用國家商用密碼算法分別對用戶數(shù)據(jù)、重要配置管理數(shù)據(jù)、固件、網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加/解密及完整性檢查，在保證信息的完整性和正確性的同時，也保證了信息的機(jī)密性，防止信息被泄露，有效地解決了目前硬拷貝組件存在的信息安全隱患。

3)本發(fā)明在網(wǎng)絡(luò)安全通信方面，將國家商用密碼算法與ipsec組件結(jié)合，保證了通過網(wǎng)絡(luò)通信模塊傳輸?shù)拇蛴?shù)據(jù)、掃描數(shù)據(jù)、遠(yuǎn)程配置信息、審計日志信息等數(shù)據(jù)的安全，同時sa協(xié)商過程確保了ipsec協(xié)議的可靠性。

4)本發(fā)明采用一種實時密鑰協(xié)商機(jī)制來按需產(chǎn)生密鑰k，硬拷貝控制系統(tǒng)內(nèi) 無需長期保存密鑰k，確保主控制模塊加密保存在閃存存儲單元內(nèi)的數(shù)據(jù)安全。

附圖說明

圖1為本發(fā)明系統(tǒng)的整體結(jié)構(gòu)示意圖；

圖2為國密算法模塊連接示意圖；

圖3為閃存存儲單元內(nèi)部示意圖；

圖4為用戶數(shù)據(jù)加密保存流程圖；

圖5為用戶數(shù)據(jù)解密讀取流程圖；

圖6為配置參數(shù)加密保存流程圖；

圖7為安全啟動流程圖；

圖8為固件安全升級流程圖；

圖9為安全通信流程圖。

圖中：1、主控制模塊，2、硬拷貝組件，3、人機(jī)界面模塊，4、網(wǎng)絡(luò)通信模塊，5、國密算法模塊，6、隨機(jī)存儲單元，7、閃存存儲單元，8、主控單元，9、引導(dǎo)區(qū)，10、固件區(qū)，11、參數(shù)區(qū)，12、數(shù)據(jù)區(qū)。

具體實施方式

下面結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行詳細(xì)說明。本實施例以本發(fā)明技術(shù)方案為前提進(jìn)行實施，給出了詳細(xì)的實施方式和具體的操作過程，但本發(fā)明的保護(hù)范圍不限于下述的實施例。

如圖1所示，一種基于國家商用密碼算法的硬拷貝控制系統(tǒng)，包括主控制模塊1、硬拷貝組件2、人機(jī)界面模塊3、網(wǎng)絡(luò)通信模塊4和國密算法模塊5，主控制模塊1包括隨機(jī)存儲單元6、閃存存儲單元7和主控單元8，主控單元8分別連接硬拷貝組件2、人機(jī)界面模塊3、網(wǎng)絡(luò)通信模塊4、隨機(jī)存儲單元6、閃存存儲單元7和國密算法模塊5，硬拷貝組件2為打印機(jī)本體或集成打印、掃描、復(fù)印、傳真功能的多功能一體機(jī)本體，硬拷貝組件2包括激光掃描裝置、電源、電機(jī)、硒鼓、風(fēng)扇、傳感器、進(jìn)紙器等等，進(jìn)紙器和人機(jī)界面模塊3通過uart接口與主控單元8連接，硒鼓通過i2c接口與主控單元8連接，傳感器、風(fēng)扇和電機(jī)通過主控單元8的gpio接口進(jìn)行連接，人機(jī)界面模塊3包括顯示器和輸入按鍵，或者人機(jī)界面模塊3為觸摸屏等輸入與顯示裝置，網(wǎng)絡(luò)通信模塊4為1000m/100m/10m以太網(wǎng)口 (同時兼容1000m/100m/10m網(wǎng)速)，網(wǎng)絡(luò)通信模塊4配合主控制模塊1建立ipsec安全信道，實現(xiàn)信息的保密傳輸。

如圖2所示，國密算法模塊5與主控制模塊1的主控單元8板通過高速usb接口通信，國密算法模塊5是一個硬件芯片，提供sm1/sm2/sm3/sm4的國家商用密碼算法，例如：tf32a09等國密安全芯片，國家商用密碼算法隨機(jī)生成密鑰，利用密鑰加密明文得到密文，同時利用密鑰解密密文得到明文。

如圖3所示，閃存存儲單元7劃分為：

引導(dǎo)區(qū)9，用于存儲boot引導(dǎo)程序、boot數(shù)字證書cb；

固件區(qū)10，用于存儲加密固件m'、簽名s和固件數(shù)字證書ca；

參數(shù)區(qū)11，用于存儲加密配置參數(shù)；

數(shù)據(jù)區(qū)12，用于存儲加密用戶數(shù)據(jù)；

閃存存儲單元7為系統(tǒng)實現(xiàn)加解密功能提供存儲地址，可采用flash(flashmemory)閃存卡，而隨機(jī)存儲單元6則可采用sdram儲存器，主控單元8通過密鑰協(xié)商方法由boot數(shù)字證書cb和固件數(shù)字證書ca實時獲取密鑰k，密鑰k僅緩存在隨機(jī)存儲單元6內(nèi)，并在國密算法模塊5的加解密操作結(jié)束后被消除，國密算法模塊5利用密鑰k分別對明文配置參數(shù)和明文用戶數(shù)據(jù)進(jìn)行sm1算法的加密后對應(yīng)獲得加密配置參數(shù)和加密用戶數(shù)據(jù)，加密固件m'在系統(tǒng)外部利用密鑰k對明文固件m進(jìn)行sm1算法的加密后寫入固件區(qū)10的加密數(shù)據(jù)，簽名s為加密固件m'經(jīng)國密算法模塊5的sm2算法獲得的數(shù)字簽名，固件數(shù)字證書ca為簽名s對應(yīng)的數(shù)字證書。

密鑰k作為加解密的關(guān)鍵，可采用sm1密鑰，sm1是一種對稱密鑰加密算法，一般硬拷貝組件2內(nèi)使用sm1算法來實現(xiàn)加/解密會存在密鑰管理難題，因此，本發(fā)明采用一種實時密鑰協(xié)商機(jī)制來按需產(chǎn)生密鑰k，硬拷貝組件2內(nèi)無需長期保存密鑰k，確保主控制模塊11加密保存在flash存儲器內(nèi)的數(shù)據(jù)安全，如圖3所示，閃存存儲單元7內(nèi)保存有兩個數(shù)字證書，一個是保存在引導(dǎo)區(qū)9中的boot數(shù)字證書cb，另一個是保存在固件區(qū)10的證書ca，boot證書cb含有公鑰pb及身份標(biāo)識idb，證書ca含有公鑰pa及身份標(biāo)識ida。則如圖4所示，該系統(tǒng)協(xié)商獲取密鑰k的具體方法包括以下步驟：

a.從boot數(shù)字證書cb中解析出公鑰pb及身份標(biāo)識idb；

b.從固件數(shù)字證書ca中解析出公鑰pa及身份標(biāo)識ida；

c.依據(jù)sm2算法的密鑰協(xié)商方法(gm/t0009-2012)協(xié)商出密鑰k，密鑰k緩存在主控制模塊1的隨機(jī)存儲單元6中。

(1)關(guān)于用戶數(shù)據(jù)與配置參數(shù)的flash加密保存

硬拷貝組件2的各種配置參數(shù)及收發(fā)傳真的報文數(shù)據(jù)等用戶數(shù)據(jù)在沒有完成處理前，會保存在主控制模塊1的閃存存儲單元7中，以免斷電時消失。這些數(shù)據(jù)都是重要數(shù)據(jù)，為防止泄密，需要將這些數(shù)據(jù)加密保存，以采用sm1加密算法進(jìn)行說明。

閃存存儲單元7的flash內(nèi)存卡中有一個數(shù)據(jù)區(qū)12，數(shù)據(jù)區(qū)12劃分一用戶數(shù)據(jù)區(qū)12，用于緩存諸如傳真報文這樣的在作業(yè)處理完成之前，斷電也不能消失的用戶數(shù)據(jù)，如圖4所示，這些用戶數(shù)據(jù)加密保存的方法包括以下步驟：

11)主控制模塊1通過密鑰協(xié)商方法獲取密鑰k，對應(yīng)步驟a、b、c；

12)找到flash內(nèi)存卡中用戶數(shù)據(jù)區(qū)12中的第一個空閑塊，并擦除該塊；以flash塊為單位準(zhǔn)備初始未加密的用戶數(shù)據(jù)，當(dāng)用戶數(shù)據(jù)達(dá)到flash塊大小時，把該塊數(shù)據(jù)及密鑰k送給國密算法模塊5執(zhí)行sm1算法的加密；

13)讀回加密后的密文數(shù)據(jù)塊，并寫入到flash塊中；

14)重復(fù)上述過程，直到用戶數(shù)據(jù)處理完畢，清除密鑰k。

如圖5所示，加密用戶數(shù)據(jù)解密讀取的方法包括以下步驟：

21)主控制模塊1通過密鑰協(xié)商方法獲取密鑰k；

22)定位到要讀出的flash塊；配置國密算法模塊5為sm1解密模式，密鑰為k；讀出該flash塊中的內(nèi)容，并送給國密算法模塊5執(zhí)行sm1解密；

23)讀回解密后的明文數(shù)據(jù)塊；

24)重復(fù)上述過程，直到用戶數(shù)據(jù)處理完畢，清除密鑰k。

主控制模塊1在隨機(jī)存儲器內(nèi)設(shè)置一個明文參數(shù)鏡像區(qū)，明文參數(shù)鏡像區(qū)內(nèi)初始存儲有與參數(shù)區(qū)11的加密配置參數(shù)對應(yīng)的明文配置參數(shù)，則明文參數(shù)鏡像區(qū)的數(shù)據(jù)與參數(shù)區(qū)11的數(shù)據(jù)鏡像對應(yīng)，如圖6所示，主控制模塊1實現(xiàn)明文配置參數(shù)加密保存的方法包括以下步驟：

31)當(dāng)明文參數(shù)鏡像區(qū)內(nèi)的明文配置參數(shù)發(fā)生變化時，啟動配置參數(shù)保存過程，主控制模塊1通過密鑰協(xié)商方法獲取密鑰k；

32)確定出配置參數(shù)所在的flash塊，并對應(yīng)到明文參數(shù)鏡像區(qū)中的數(shù)據(jù)塊，用密鑰k通過國密算法模塊5對明文參數(shù)鏡像區(qū)中的該數(shù)據(jù)塊執(zhí)行sm1算法加密， 并緩存加密后的數(shù)據(jù)塊；

33)對該參數(shù)所在的flash塊執(zhí)行擦除操作；再把緩存的加密數(shù)據(jù)塊寫入到擦除的flash塊中；

34)寫入成功后，清除密鑰k。

(2)啟動過程的固件完整性和正確性檢查

如圖3所示，設(shè)備固件以sm1算法加密的格式存放在主控制模塊1的固件區(qū)10，并通過sm2數(shù)字簽名算法進(jìn)行了數(shù)字簽名，簽名s存放在固件區(qū)10的簽名塊處，s由(r',s')兩部分組成，s'表示簽名值，r'表示簽名值相關(guān)隨機(jī)數(shù)，簽名證書ca存放在固件區(qū)10的證書塊處，另一方面，利用boot引導(dǎo)程序用來執(zhí)行固件簽名檢查、固件解密及加載，因此，如圖7所示，啟動過程包括以下步驟：

41)硬拷貝組件2啟動時，運(yùn)行引導(dǎo)區(qū)9內(nèi)的boot引導(dǎo)程序，boot引導(dǎo)程序分別讀取固件數(shù)字證書ca和簽名s，由簽名證書ca得到簽名公鑰pa及身份標(biāo)識ida；

42)boot引導(dǎo)程序依據(jù)gm/t0003.2-2012規(guī)定的簽名驗算過程，利用簽名s對加密固件m'進(jìn)行簽名驗算，判斷簽名驗算是否合格，若是，執(zhí)行步驟43)，若否，提示故障，終止啟動；

43)boot引導(dǎo)程序讀取boot數(shù)字證書cb，并根據(jù)固件數(shù)字證書ca和boot數(shù)字證書cb通過密鑰協(xié)商方法獲取密鑰k；

44)boot引導(dǎo)程序利用密鑰k對加密固件m'進(jìn)行sm1算法的解密后獲得明文固件m，并把解密得到的明文固件m加載到隨機(jī)存儲單元6的sdram存儲器中，明文固件m包括固件代碼f和雜湊值h，該雜湊值h是固件代碼f用sm3密碼雜湊算法計算得到的雜湊值；

45)boot引導(dǎo)程序根據(jù)sm3算法對固件代碼f進(jìn)行雜湊計算，得到雜湊值h'，若h與h'不一樣，表示解密失敗，雜湊值驗算不合格，提示故障，終止啟動，若h與h'一樣，表明解密正確，并且固件完整雜湊值驗算合格，執(zhí)行步驟46)；

46)boot引導(dǎo)程序?qū)⒖刂茩?quán)移交給固件代碼f，正常啟動設(shè)備功能。

(3)固件安全升級

硬拷貝組件2能夠通過網(wǎng)絡(luò)通信模塊4實現(xiàn)遠(yuǎn)程固件升級功能。由于網(wǎng)絡(luò)信道存在各種不安全因素，為確保升級的固件是來自設(shè)備原廠，并且是完整的、沒有被篡改過，必須要求升級的固件包本身具有極強(qiáng)的安全防護(hù)能力。

令固件升級包u由待升級的加密固件m'、m'的簽名s及簽名證書ca組成。該待升級的加密固件m'是對應(yīng)的固件代碼f及其雜湊值h經(jīng)過sm1算法加密得到的數(shù)據(jù)包，簽名s是該待升級的加密固件m'的sm2算法簽名，證書ca是簽名s所用的簽名證書，證書ca中包含公鑰pa及身份標(biāo)識ida。

如圖8所示，固件安全升級的方法包括以下步驟：

51)接收固件升級包u，將固件升級包u緩存在隨機(jī)存儲單元6內(nèi)，從緩存的固件升級包u中分離出升級的加密固件m'、簽名s和固件數(shù)字證書ca，簽名s由r',s'組成，并從ca中提出公鑰pa及身份標(biāo)識ida；

52)依據(jù)gm/t0003.2-2012規(guī)定的簽名驗算過程，采用公鑰pa對m'、s執(zhí)行sm2算法的簽名驗算，計算得到驗算值r，若r不等于r'，則簽名驗證失敗，清除緩存的固件升級包u，終止固件升級過程，若r等于r'，則表明通過簽名驗證，執(zhí)行步驟53)，由于s'是由簽名私鑰da加密的，能夠通過簽名驗證，就確保了升級包u是來自原設(shè)備廠家，是完整的，沒有被篡改，即升級包u的真實性得到了確認(rèn)，接下來需要確認(rèn)該升級包u是該機(jī)型的升級包；

53)根據(jù)固件數(shù)字證書ca和boot數(shù)字證書cb通過密鑰協(xié)商方法獲取密鑰k；

54)國密算法模塊5利用密鑰k對待升級的加密固件m'進(jìn)行sm1算法的解密后獲得待升級的明文固件m，待升級的明文固件m的前部是固件f，最后的32字節(jié)是雜湊值h；

55)國密算法模塊5根據(jù)sm3算法對固件代碼f進(jìn)行雜湊計算，得到雜湊值h'，若h不等于h'，則表明解密不正確，雜湊值驗算不合格，該升級包不適合該機(jī)型，清除緩存的固件升級包u及密鑰k，終止固件升級過程；若h等于h'，表明升級包u是該機(jī)型的升級包，雜湊值驗算合格，執(zhí)行步驟56)；

56)執(zhí)行固件升級包u的更新過程，固件升級包u取代閃存存儲單元7中固件區(qū)10的原有固件包。

主控制模塊1通過網(wǎng)絡(luò)通信模塊4連接網(wǎng)絡(luò)，主控單元8內(nèi)植入有國家商用密碼算法的ipsec組件，以使通過網(wǎng)絡(luò)接口傳輸?shù)拇蛴?shù)據(jù)、掃描數(shù)據(jù)、遠(yuǎn)程配置信息、審計日志信息等數(shù)據(jù)安全。為確保ipsec協(xié)議的可靠性，基于ipsec組件與網(wǎng)絡(luò)中設(shè)備進(jìn)行sa協(xié)商，sa協(xié)商的過程包括：主控制模塊1將對稱密碼算法以aes算法與網(wǎng)絡(luò)中設(shè)備進(jìn)行協(xié)商，并將密碼雜湊算法以sha256算法與網(wǎng)絡(luò)中設(shè)備進(jìn)行協(xié)商，對稱密碼算法使用時采用sm1算法或sm4算法，以sm1算法為例，密碼 雜湊算法使用時采用sm3算法。如圖9所示，實現(xiàn)與網(wǎng)絡(luò)中設(shè)備安全通信的方法包括以下步驟：

61)主控制模塊1需要通過網(wǎng)絡(luò)通信模塊49進(jìn)行通信時，檢查ipsec組件是否已經(jīng)建立好與網(wǎng)絡(luò)中設(shè)備的連接，若否，則啟動ipsec組件，進(jìn)行sa協(xié)商，若是，則將協(xié)商好的sa保持到安全關(guān)聯(lián)數(shù)據(jù)庫sad中，sa中包含有會話密鑰(即對稱密鑰)及hmac密鑰；

62)主控制模塊1加密向網(wǎng)絡(luò)中設(shè)備發(fā)送的ip包，同時接收并解密網(wǎng)絡(luò)中設(shè)備發(fā)送的esp包，具體為：

向網(wǎng)絡(luò)中設(shè)備發(fā)送ip包時，從sa中得到會話密鑰，以該會話密鑰配置國密算法模塊5為sm1算法的加密模式，把ip包送到國密算法模塊5執(zhí)行加密處理；加密完成后，配置國密算法模塊5為sm3算法的雜湊計算模式，把hmac密鑰及加密后的ip包數(shù)據(jù)送給國密算法模塊5執(zhí)行密碼雜湊計算；以加密后的ip包數(shù)據(jù)；及雜湊值生成esp協(xié)議包；把生成esp包通過網(wǎng)絡(luò)通信模塊4發(fā)送到網(wǎng)絡(luò)上；

接收到網(wǎng)絡(luò)中設(shè)備發(fā)送的esp包時，則配置國密算法模塊5為sm3算法的雜湊計算模式，從sa中取得hmac密鑰，把hmac密鑰及esp包數(shù)據(jù)送給國密算法模塊5執(zhí)行密碼雜湊計算，計算得到的密碼雜湊值與esp包中的雜湊值比較，若不一致，則雜湊值驗證不合格，丟棄該esp包；若一致，則雜湊值驗證合格，從sa中取得會話密鑰，以該會話密鑰配置國密算法模塊5為sm1算法的解密模式；esp數(shù)據(jù)送到國密算法模塊5執(zhí)行解密；讀出解密后的數(shù)據(jù)，恢復(fù)成ip包；把該ip包送入ip協(xié)議棧進(jìn)行后續(xù)處理。

綜上，本發(fā)明系統(tǒng)具有以下功能：

(1)具有打印、掃描、復(fù)印、傳真功能；

(2)采用國家商用密碼算法的配置參數(shù)加密存儲、用戶數(shù)據(jù)加密存儲及解密功能；

(3)采用國家商用密碼算法的固件完整性和正確性檢查，固件加密存儲功能；

(4)采用國家商用密碼算法的安全固件升級功能；

(5)采用國家商用密碼算法的信息保密網(wǎng)絡(luò)傳輸功能。

因此，本發(fā)明在保證信息的完整性和正確性的同時，也保證了信息的機(jī)密性，防止信息被泄露，有效地解決了目前硬拷貝組件2存在的信息安全隱患。