图像形成装置及其安全控制方法、存储介质-好方法网

技术摘要：
本发明涉及一种图像形成装置及其安全控制方法、存储介质，图像形成装置包括第一控制系统以及第二控制系统；第一控制系统包括安全模块，安全模块被配置为对图像形成装置的信息进行安全监管；第二控制系统被配置为控制图像形成装置执行成像操作，其中，第一控制系统通过全部
背景技术：
随着成像技术的发展，图像形成装置越来越多应用在办公和日常生活中，常见的图像形成装置包括但不限于打印机、复印机、扫描仪、传真机或综合打印、复印、扫描、传真功能中一种或者多种的多功能事务机。现有技术中，打印信息安全已经变得很重要，因此，图像形成装置正在支持安全相关的功能，例如开发一款能够与安全监控配合的控制系统 (例如，加载有固件的SoC(System on Chip，片上系统))对图像形成装置的数据输入、输出进行管控，但是，现有的图像形成装置中控制系统除了控制图像形成装置的数据输入、输出以外，还需要控制图像形成装置的引擎机构；如果重新开发既支持安全监控又能很好匹配图像形成装置的引擎机构的控制系统，这样势必会增加产品开发周期，而且还会增加控制系统的复杂性。
技术实现要素：
本发明实施例提供一种图像形成装置及其安全控制方法、存储介质，能够解决对需要重新开发既支持安全监控又能很好匹配图像形成装置的引擎机构的控制系统造成的产品开发周期长和增加控制系统的复杂性的问题。第一方面，本发明实施例提供了一种图像形成装置，所述图像形成装置包括第一控制系统以及第二控制系统；所述第一控制系统包括安全模块，所述安全模块被配置为对所述图像形成装置的信息进行安全监管；所述第二控制系统被配置为控制所述图像形成装置执行成像操作，其中，所述第一控制系统通过接口单元与所述终端设备连接，所述第二控制系统连接所述第一控制系统。结合第一方面，在一种可选的实施方式中，所述图像形成装置的信息包括固件升级包、扫描命令、打印数据、所述图像形成装置的操作系统对应的启动程序以及所述第二控制系统运行时的固件中的任意一个或者多个。结合第一方面，在一种可选的实施方式中，所述图像形成装置还包括第一存储器，所述第一存储器被配置为存储所述图像形成装置的操作系统对应的启动程序以及安全校验信息；当所述图像形成装置上电后，所述第一控制系统以及所述安全模块启动，所述第一控制系统控制所述安全模块读取所述第一存储器存储的所述启动程序以及所述安全校验信息，并根据所述安全校验信息对所述启动程序进行静态度量，当静态度量通过后，所述第一控制系统再控制所述第二控制系统读取所述第一存储器存储的所述启动程序，并加载 5 CN 111614859 A 说　明　书 2/11 页所述启动程序。结合第一方面，在一种可选的实施方式中，所述图像形成装置还包括第一开关、第二开关及第三开关，其中，所述安全模块通过所述第一开关与所述第一存储器连接，所述第二控制系统通过所述第二开关与所述第一存储器连接，所述第二控制系统通过所述第三开关与所述图像形成装置的电源连接，所述第一控制系统与所述第一开关、所述第二开关及所述第三开关的使能端连接；当所述图像形成装置上电后，所述第一控制系统以及所述安全模块启动，所述第一控制系统控制所述第一开关导通，以及所述第二开关和所述第三开关断开，所述安全模块读取所述第一存储器存储的所述启动程序以及所述安全校验信息，并根据所述安全校验信息对所述启动程序进行静态度量，当静态度量通过后，所述第一控制系统再控制所述第一开关断开，以及所述第二开关和所述第三开关导通，所述第二控制系统读取所述第一存储器存储的所述启动程序并加载所述启动程序。结合第一方面，在一种可选的实施方式中，所述图像形成装置还包括第二存储器，所述第二存储器被配置为存储所述第二控制系统运行时的固件；当所述第二控制系统加载完所述启动程序后，所述第二控制系统读取并加载所述第二存储器存储的所述第二控制系统运行时的固件，以及通过所述安全模块对所述第二控制系统运行时的固件进行动态度量。结合第一方面，在一种可选的实施方式中，当对所述第一控制系统需要进行固件升级时，所述安全模块接收所述第一控制系统对应的固件升级包，并对所述第一控制系统对应的固件升级包进行安全验证，当安全验证通过后，所述第一控制系统再根据所述第一控制系统对应的固件升级包进行固件升级。当对所述第二控制系统需要进行固件升级时，所述安全模块接收所述第二控制系统对应的固件升级包，并对所述第二控制系统对应的固件升级包进行安全验证，当安全验证通过后，再将所述第二控制系统对应的固件升级包发送给所述第二控制系统，使得所述第二控制系统根据所述第二控制系统对应的固件升级包进行固件升级。结合第一方面，在一种可选的实施方式中，所述安全模块具体被配置为接收所述打印数据，并对所述打印数据进行安全验证，当安全验证通过后，将所述打印数据发送给所述第二控制系统，使得所述第二控制系统根据所述打印数据控制所述图像形成装置的打印引擎机构完成对所述打印数据的打印处理。结合第一方面，在一种可选的实施方式中，所述安全模块具体被配置为接收所述扫描命令，并对所述扫描命令进行安全验证，当安全验证通过后，将所述扫描命令发送给所述第二控制系统，所述第二控制系统根据所述扫描命令控制所述图像形成装置的扫描引擎机构对待扫描文件进行扫描，得到扫描数据，并将所述扫描数据发送给所述安全模块，所述安全模块对所述扫描数据进行安全验证，当安全验证通过后，将所述扫描数据发送给终端设备。第二方面，本发明实施例提供了一种图像形成装置的安全控制方法，所述方法包括：所述图像形成装置包括第一控制系统以及第二控制系统，其中，所述第一控制系统包括安全模块，所述方法包括： 6 CN 111614859 A 说　明　书 3/11 页所述安全模块对所述图像形成装置的信息进行安全监管；所述第二控制系统控制所述图像形成装置执行成像操作，其中，所述第一控制系统通过接口单元与所述终端设备连接，所述第二控制系统连接所述第一控制系统。结合第二方面，在一种可选的实施方式中，所述图像形成装置的信息包括固件升级包、扫描命令、打印数据、所述图像形成装置的操作系统对应的启动程序以及所述第二控制系统运行时的固件中的任意一个或者多个。结合第二方面，在一种可选的实施方式中，所述图像形成装置还包括第一存储器，所述第一存储器被配置为存储所述图像形成装置的操作系统对应的启动程序以及安全校验信息；所述安全模块对所述图像形成装置的信息进行安全监管，包括：当所述图像形成装置上电后，所述第一控制系统以及所述安全模块启动，所述第一控制系统控制所述安全模块读取所述第一存储器存储的所述启动程序以及所述安全校验信息，并根据所述安全校验信息对所述启动程序进行静态度量，当静态度量通过后，所述第一控制系统再控制所述第二控制系统读取所述第一存储器存储的所述启动程序并加载所述启动程序。结合第二方面，在一种可选的实施方式中，所述图像形成装置还包括第二存储器，所述第二存储器被配置为存储所述第二控制系统运行时的固件；所述安全模块对所述图像形成装置的信息进行安全监管，还包括：当所述第二控制系统加载完所述启动程序后，所述第二控制系统读取并加载所述第二存储器存储的所述第二控制系统运行时的固件，以及通过所述安全模块对所述第二控制系统运行时的固件进行动态度量。结合第二方面，在一种可选的实施方式中，所述安全模块对所述图像形成装置的信息进行安全监管，包括：当对所述第一控制系统需要进行固件升级时，所述安全模块接收所述第一控制系统对应的固件升级包，并对所述第一控制系统对应的固件升级包进行安全验证，当安全验证通过后，所述第一控制系统再根据所述第一控制系统对应的固件升级包进行固件升级。当对所述第二控制系统需要进行固件升级时，所述安全模块接收所述第二控制系统对应的固件升级包，并对所述第二控制系统对应的固件升级包进行安全验证，当安全验证通过后，再将所述第二控制系统对应的固件升级包发送给所述第二控制系统，使得所述第二控制系统根据所述第二控制系统对应的固件升级包进行固件升级。结合第二方面，在一种可选的实施方式中，所述安全模块对所述图像形成装置的信息进行安全监管，包括：所述安全模块接收所述打印数据，并对所述打印数据进行安全验证，当安全验证通过后，将所述打印数据发送给所述第二控制系统；对应地，所述第二控制系统控制所述图像形成装置执行成像操作，包括：所述第二控制系统根据所述打印数据控制所述图像形成装置的打印引擎机构完成对所述打印数据的打印处理。结合第二方面，在一种可选的实施方式中，所述安全模块对所述图像形成装置的信息进行安全监管，包括： 7 CN 111614859 A 说　明　书 4/11 页接收所述扫描命令，并对所述扫描命令进行安全验证，当安全验证通过后，将所述扫描命令发送给所述第二控制系统；对应地，所述第二控制系统控制所述图像形成装置执行成像操作，包括：所述第二控制系统根据所述扫描命令控制所述图像形成装置的扫描引擎机构对待扫描文件进行扫描，得到扫描数据，并将所述扫描数据发送给所述安全模块；对应地，所述安全模块对所述图像形成装置的信息进行安全监管，还包括：所述安全模块对所述扫描数据进行安全验证，当安全验证通过后，将所述扫描数据发送给终端设备。第三方面，本发明实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述方法。可以理解，本发明实施例通过设置两个控制系统(第一控制系统以及第二控制系统)，通过第一控制系统实现对图像形成装置的各个信息进行安全监控，通过第二控制系统实现对图像形成装置的成像操作进行控制，使得无需重新开发出既支持安全监控又能够与图像形成装置的引擎机构进行匹配实现成像控制的控制系统，缩短了产品的开发周期且无需增加控制系统的复杂性。相对于仅仅提供安全芯片与一个控制系统连接的方案，在安全芯片不能直接控制数据传输的情况下，仍需要依赖原有的控制系统来直接与图像形成装置的接口单元连接，无法满足对安全管控的要求。由于本实施例提供的第一控制系统包括安全模块，所以第一控制系统是经过安全芯片认证的，这样第一控制系统的行为更加可信；从而图像形成装置接口单元传输的数据、控制参数的输入输出经过第一控制系统传输至第二控制系统，基于第一控制系统的行为可信，整个图像形成装置的控制也就更加安全、可信。附图说明下面结合附图和实施例对本发明进一步说明。图1为本发明实施例提供的图像形成系统的一种示意性框图；图2为本发明实施例提供的图像形成装置的又一示意性框图；图3为本发明实施例提供的图像形成系统的又一示意性框图；图4为本发明实施例提供的一种图像形成装置的安全控制方法的流程图。具体实施例为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示 8 CN 111614859 A 说　明　书 5/11 页可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。请参阅附图1，本发明实施例提供一种图像形成系统，包括图像形成装置及终端设备(例如图1所示的PC(Personal Computer，个人计算机))，图像形成装置表示在例如打印纸的记录介质上打印例如由计算机产生的打印数据的装置。图像形成装置的例子包括复印机、打印机、传真机、扫描仪以及在单个设备中执行以上功能的多功能外设。该图像形成装置包括第一控制系统以及第二控制系统。其中，第一控制系统包括安全模块，安全模块被配置为对图像形成装置的信息进行安全监管；其中，第二控制系统被配置为控制图像形成装置执行成像操作，第一控制系统通过接口单元与终端设备连接，第二控制系统连接第一控制系统，信息通过第一控制系统的 IO口输入到安全模块，经过安全模块的安全验证后，输入到连接第一控制系统的第二控制系统，进而执行成像操作。可以理解，本发明实施例通过设置两个控制系统(第一控制系统以及第二控制系统)，通过第一控制系统实现对图像形成装置的各个信息进行安全监控，通过第二控制系统实现对图像形成装置的成像操作进行控制，使得无需重新开发出既支持安全监控又能够与图像形成装置的引擎机构进行匹配实现成像控制的控制系统，缩短了产品的开发周期且无需增加控制系统的复杂性。下面对本发明提供的图像形成装置及其组成部分及工作原理进行详细的说明。第一控制系统，例如SoC(System on Chip，片上系统)，在本发明实施例中，用于执行数据收发、命令收发等相关的处理操作，其接口单元还能够接收来自终端设备(例如图1 所示的PC和图像形成装置的控制面板)的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等，其内部的安全模块用于监控图像形成装置中第二控制系统对应的运行活动；安全模块中的可信计算(Trusted Computing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全；为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的可信计算监管模块对应的功能模块包括四种功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、审计功能、升级监控功能；可信计算监管模块的具体实现方式可以是硬件(例如安全模块)，也可以是软件(例如带有上述四个中功能的程序代码)，还可以是软硬件结合的方式(例如安全模块结合安全代码)；以程序代码实现方式为例：安全模块包括驱动层监管程序和应用层监管程序；其中，驱动层监管程序负责监管图像形成装置操作系统(例如Linux系统)的驱动层模块，应用层监管程序负责监管图像形成装置的应用层程序，可信计算监管程序只允许运行白名单范围内的驱动和程序；非白名单范围内的驱动和程序不允许运行；可信计算监管程序会记录或上报图像形成装置上发生的安全事件行为；这样可信计算监管程序对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止应用程序和设备驱动的不安全行为。在本发明一些实施例中，第一控制系统还被配置为对第二控制系统进行电源管理以及控制第二控制系统对启动程序的读写。在本发明一些实施例中，安全模块支持使用DES (Data Encryption Standard，数据加密标准)/TDEA(Triple Data Encryption 9 CN 111614859 A 说　明　书 6/11 页 Algorithm，三重数据加密)算法进行加/解密，确保数据在图像形成装置和指定用户端之间进行安全传输，防止机密级信息被泄密，并支持使用APB(Advance Peripheral Bus，外围总线)接口进行DMA(Direct Memory Access，直接存储器访问)操作，允许不同速度的硬件装置来沟通，而不需要依赖于CPU(Central Processing Unit，中央存储器)的大量中断负载，对图像形成装置的启动、运行状态以及打印/扫描数据进行安全监管。第二控制系统，例如SoC(System on Chip，片上系统)，用于执行引擎控制相关的处理操作，例如通过第一控制系统获得打印数据，并解析打印数据生成控制打印引擎机构执行特定功能的指令，打印引擎机构执行特定功能的指令例如，LSU(Laser Scanning Unit，激光扫描单元)曝光参数、拾纸辊转动参数等。又例如通过第一控制系统获得扫描命令，根据扫描指令生成控制扫描引擎机构执行特定功能的扫描指令。在本发明一些实现方式中，图像形成装置的信息包括但不限于固件升级包、扫描数据、打印数据、图像形成装置的操作系统对应的启动程序以及第二控制系统运行时的固件中的任意一个或者多个。第一控制系统的安全模块可以对上述信息进行安全监控，从而保证图像形成装置运行的安全性。如图1所示，在本发明一些实现方式中，图像形成装置还包括第一存储器，第一存储器可以是一种非易失性存储器，例如NOR flash(闪存)、NAND flash(闪存)、EEPROM(可擦除的可编程只读存储器)、FRAM(铁电存储器)，MRAM(磁性RAM)和NVSRAM(非易失性静态存储器)等。第一存储器被配置为存储图像形成装置的操作系统对应的启动程序以及安全校验信息；当图像形成装置上电后，第一控制系统以及安全模块启动，第一控制系统控制安全模块读取第一存储器存储的启动程序以及安全校验信息，并根据安全校验信息对启动程序进行静态度量，当静态度量通过后，第一控制系统再控制第二控制系统读取第一存储器存储的启动程序并加载启动程序。请参阅图2，具体实现中，图像形成装置还包括电源、第一开关、第二开关及第三开关，其中，安全模块通过第一开关与第一存储器连接，第二控制系统通过第二开关与第一存储器连接，第二控制系统通过第三开关与图像形成装置的电源连接，第一控制系统与第一开关、第二开关及第三开关的使能端连接。具体地，如图2所示，安全模块与第一开关的第一端(A)连接，第一开关的第二端 (Y)与第一存储器连接，第一控制系统的第一端口(GPIO)与第一开关的使能端(EN)连接；第二控制系统与第二开关的第一端(A)连接，第二开关的第二端(Y)与第一存储器连接，第一控制系统的第一端口(GPIO)与第二开关的使能端(EN)连接；第一控制系统的第二端口 (GPIO)与第三开关的使能端(EN)连接，第一控制系统与电源连接。其中，安全模块与第一开关的第一端(A)之间、第一开关的第二端(Y)与第一存储器之间、第一控制系统的第一端口(GPIO)与第一开关的使能端(EN)之间、第二控制系统与第二开关的第一端(A)之间、第二开关的第二端(Y)与第一存储器之间、第一控制系统的第一端口(GPIO)与第二开关的使能端(EN)之间以及第一控制系统的第二端口(GPIO)与第三开关的使能端(EN)之间均可以通过SPI(Serial Peripheral Interface，串行外设接口)总线连接。在本发明一个或多个实施方式中，第一开关、第二开关及第三开关可以为以MOS 10 CN 111614859 A 说　明　书 7/11 页 (metal-oxide-semiconductor，金属-氧化物-半导体场效应晶体)管作为开关的开关电路。当图像形成装置上电后，第一控制系统以及安全模块启动，第一控制系统通过生成使能有效信号控制第一开关导通，生成使能无效信号第二开关以及第三开关断开，安全模块读取第一存储器存储的启动程序以及安全校验信息，并根据安全校验信息对启动程序进行静态度量，当静态度量通过后，第一控制系统再通过生成使能无效信号控制第一开关断开，生成使能有效信号控制第二开关以及第三开关导通，第二控制系统读取第一存储器存储的启动程序并加载启动程序。其中，使能无效信号可以为高电平信号，使能有效信号可以为低电平信号；或者，使能无效信号可以为低电平信号，使能有效信号可以为高电平信号。其中，启动程序包括但不限于Boot程序、Uboot程序、操作系统程序等，其中，运行操作系统程序包括初始化DDR(Double Data Rate SDRAM，双倍速率SDRAM)、初始化缓存、初始化串口、初始化网卡等。其中，安全校验信息可以包括校验码，安全模块根据安全校验信息对启动程序进行静态度量的过程可以为：安全模块读取启动程序及安全校验信息，根据启动程序生成运算校验信息，通过比对运算校验信息和安全校验信息是否满足预定关系，输出启动程序的静态度量是否通过的信息；例如安全模块通过自身的运算电路或者运算代码，对启动程序进行逻辑运算，得到运算校验信息，安全模块进一步通过逻辑比较电路或者逻辑比较代码，对运算校验信息和安全校验信息进行比较，判断运算校验信息和安全校验信息是否满足预定关系(例如相等)，如果满足，则输出启动程序的静态度量通过的信息，如果不满足，输出启动程序的静态度量不通过的信息。本发明实施例中的安全校验信息中的校验码可以是直接提前存入的，也可以是预先(例如，在出厂之前)对完整的启动程序以预设规则进行校验并将得到的校验结果作为安全校验信息，并将该安全校验信息储存。当需要进行静态度量时(例如，销售后的使用过程需要启动时)，安全模块按照上述要求，读取启动程序和安全校验信息，并对启动程序进行逻辑运算，得到运算校验信息，然后将运算校验信息和安全校验信息进行比对，若一致，说明启动程序是完整的未被修改过，若不一致，说明启动程序已被修改，此时若第二控制系统读取及执行该启动程序会有安全隐患，因此安全模块不允许第二控制系统启动，以保证第二控制系统的安全运行。如图2所示，进一步地，图像形成装置还包括第二存储器，第二存储器被配置为存储第二控制系统运行时的固件，第二存储器与第二控制系统连接，具体可以通过SPI总线连接，第二存储器可以是一种非易失性存储器，例如NOR flash(闪存)、NAND flash(闪存)、 EEPROM(可擦除的可编程只读存储器)、FRAM(铁电存储器)，MRAM(磁性RAM)和NVSRAM(非易失性静态存储器)等。当第二控制系统加载完启动程序后，第二控制系统读取并加载第二存储器存储的第二控制系统运行时的固件，以及通过安全模块对第二控制系统运行时的固件进行动态度量。第二控制系统通过安全模块对第二控制系统运行时的固件进行动态度量的过程可以为：每当第二控制系统运行到固件的指定位置时，获取该指定位置对应的密码，以及向安全模块索要该指定位置对应的参考密码，然后将该指定位置对应的密码与对该指定位置 11 CN 111614859 A 说　明　书 8/11 页对应的参考密码进行比对，当该指定位置对应的密码与对该指定位置对应的参考密码满足预设关系(例如相等)时，第二控制系统继续执行该固件，当该指定位置对应的密码与对该指定位置对应的参考密码不满足预设关系(例如相等)时，停止执行该固件，从而判断第二控制系统所运行的固件是否被篡改，以保证第二控制系统的安全性。其中，第一控制系统与第二控制系统可以通过SPI总线实现动态度量过程中的信息交互。如图2所示，在本发明一些实施例中，图像形成装置还包括第三存储器，第三存储器被配置为存储第一控制系统运行时的固件，第三存储器与第一控制系统连接，具体可以通过SPI总线连接，第三存储器可以是一种非易失性存储器，例如NOR flash(闪存)、NAND flash(闪存)、EEPROM(可擦除的可编程只读存储器)、FRAM(铁电存储器)，MRAM(磁性RAM)和 NVSRAM(非易失性静态存储器)等。在一个或多个可实现的方式中，当对第一控制系统需要进行固件升级时，安全模块接收第一控制系统对应的固件升级包，并对第一控制系统对应的固件升级包进行安全验证，当安全验证通过后，第一控制系统再根据第一控制系统对应的固件升级包进行固件升级。具体地，安全模块可以从终端设备中获取第一控制系统对应的固件升级包，然后通过第一控制系统的第二端口(GPIO)生成使能无效信号至第三开关104的使能端(EN)，使得第二控制系统断开电源，安全模块接收第一控制系统对应的固件升级包，并对第一控制系统对应的固件升级包进行安全验证，当安全验证通过后，第一控制系统再根据第一控制系统对应的固件升级包进行固件升级，固件升级完成后，第一控制系统的第二端口(GPIO) 生成使能有效信号至第三开关的使能端(EN)，使得第二控制系统连接电源并重新启动。其中，使能无效信号可以为高电平信号，使能有效信号可以为低电平信号；或者，使能无效信号可以为低电平信号，使能有效信号可以为高电平信号。在一个或多个可实现的方式中，当对第二控制系统需要进行固件升级时，安全模块接收第二控制系统对应的固件升级包，并对第二控制系统对应的固件升级包进行安全验证，当安全验证通过后，再将第二控制系统对应的固件升级包发送给第二控制系统，使得第二控制系统根据第二控制系统对应的固件升级包进行固件升级。具体地，安全模块可以从终端设备中获取第一控制系统对应的固件升级包，并对第二控制系统对应的固件升级包进行安全验证，当安全验证通过后，再将第二控制系统对应的固件升级包发送给第二控制系统；第一控制系统还与第二控制系统进行状态交互，例如第二控制系统实时向第一控制系统上报固件升级状态信息，且第一控制系统还与第二控制系统的复位端连接，当第二控制系统完成固件升级时，第二控制系统向第一控制系统上报固件升级完成信息，第一控制系统向第二控制系统的复位端发送复位有效信号(例如高电平信号或者低电平信号)，第二控制系统复位后，重新加载启动程序以及固件。在本发明实施例中，第一控制系统和第二控制系统之间的状态交互可以通过UART (Universal Asynchronous Receiver/Transmitter，通用异步收发传输器)实现。如图1所示，在一个或多个可实现的方式中，安全模块还可以被配置为接收打印数据，并对打印数据进行安全验证，当安全验证通过后，将打印数据发送给第二控制系统，使得第二控制系统根据打印数据控制图像形成装置的打印引擎机构完成对打印数据的打印处理。 12 CN 111614859 A 说　明　书 9/11 页具体地，用户可以通过终端设备向图像形成装置发送打印作业，其中，打印作业包括打印数据，安全模块接收打印数据，并对打印数据进行安全验证，当安全验证通过后，将打印数据发送给第二控制系统，具体可以将打印数据进行加密处理，然后发送给第二控制系统，第二控制系统对打印数据进行解密后根据打印数据生成打印指令，然后将打印数据和打印指令发送给图像形成装置的打印引擎机构，从而控制图像形成装置的打印引擎机构完成对打印作业的打印操作。继续如图1所示，在一个或多个可实现的方式中，安全模块还可以被配置为接收扫描命令，并对扫描命令进行安全验证，当安全验证通过后，将扫描命令发送给第二控制系统，第二控制系统根据扫描命令生成扫描指令，以控制图像形成装置的扫描引擎机构对待扫描文件进行扫描，得到扫描数据，并将扫描数据发送给安全模块，安全模块对扫描数据进行安全验证，当安全验证通过后，将扫描数据发送给终端设备。继续如图1所示，具体地，用户可以通过终端设备或者图像形成装置的控制面板向图像形成装置发送扫描命令，扫描命令用于指示图像形成装置对待扫描文件进行扫描，安全模块还可以被配置为接收扫描指令，并对扫描指令进行安全验证，当安全验证通过后，生成扫描指令给第二控制系统，第二控制系统根据扫描指令控制图像形成装置的扫描引擎机构对待扫描文件进行扫描，得到扫描数据，并将扫描数据发送给安全模块，安全模块对扫描数据进行安全验证，当安全验证通过后，可以将扫描数据进行加密处理，然后将加密后的扫描数据发送给终端设备的驱动端。如图3所示，终端设备(例如PC)与第一控制系统可以通过USB(Universal Serial Bus，通用串行总线)接口连接，也可以通过网络端口连接。其中，本发明实施例中所涉及的终端设备可以是PC、平板电脑、手机等具有收发信息功能的设备，在本发明实施中，终端设备为PC。继续如图3所示，在一个或多个可实现的方式中，图像形成装置包括控制面板，控制面板用于实现图像形成装置与用户的交互，控制面板通常为具有触摸功能和/或具有物理按键的显示屏。其中，控制面板与第一控制系统连接，第二控制系统与第一控制系统进行状态交互，第二控制系统通过UART实时上报第二控制系统的状态信息给第一控制系统，第一控制系统通过控制面板显示第二控制系统的状态信息。示例性地，当第二控制系统对启动程序进行静态度量时，控制面板例如可以显示：图像形成装置/打印机初始化中。示例性地，当第二控制系统对固件进行动态度量时，控制面板例如可以显示：图像形成装置/打印机动态度量中。示例性地，当第二控制系统完成对固件的动态度量时，控制面板例如可以显示：图像形成装置/打印机就绪。示例性地，当第二控制系统控制打印引擎机构进行打印处理时，控制面板例如可以显示：图像形成装置/打印机打印中。示例性地，当第二控制系统控制扫描引擎机构进行扫描处理时，控制面板例如可以显示：图像形成装置/打印机扫描中。示例性地，当第一控制系统/第二控制系统进行固件升级时，控制面板例如可以显 13 CN 111614859 A 说　明　书 10/11 页示：图像形成装置/打印机固件升级中。可以理解，本发明实施例通过第一控制系统实现对图像形成装置的启动、运行状态以及打印/扫描数据进行安全监管，以及通过第一控制系统与图像形成装置的控制面板、终端设备进行交互，用户端只能通过第一控制系统与图像形成装置进行UI (User Interface，用户界面)交互和数据交互，保障用户端的信息安全。请参阅附图4，本发明实施例提供一种图像形成装置的安全管理方法，图像形成装置包括第一控制系统以及第二控制系统，其中，第一控制系统包括安全模块，该方法包括：步骤S01：安全模块对图像形成装置的信息进行安全监管。步骤S02：第二控制系统控制图像形成装置执行成像操作，其中，第一控制系统通过接口单元与终端设备连接，第二控制系统连接第一控制系统，信息通过第一控制系统的 IO口输入到安全模块，经过安全模块的安全验证后，输入到连接第一控制系统的第二控制系统，进而执行成像操作。可以理解，本发明实施例通过设置两个控制系统(第一控制系统以及第二控制系统)，通过第一控制系统实现对图像形成装置的各个信息进行安全监控，通过第二控制系统实现对图像形成装置的成像操作进行控制，使得无需重新开发出既支持安全监控又能够与图像形成装置的引擎机构进行匹配实现成像控制的控制系统，缩短了产品的开发周期且无需增加控制系统的复杂性。在一种可选的实施方式中，图像形成装置包括第一控制系统以及第二控制系统，其中，第一控制系统包括安全模块，安全控制方法还可以包括：安全模块对图像形成装置的信息进行安全监管；第二控制系统控制图像形成装置执行成像操作。在一种可选的实施方式中，图像形成装置的信息包括固件升级包、扫描命令、打印数据、图像形成装置的操作系统对应的启动程序以及第二控制系统运行时的固件中的任意一个或者多个。在一种可选的实施方式中，图像形成装置还包括第一存储器，第一存储器被配置为存储图像形成装置的操作系统对应的启动程序以及安全校验信息；安全模块对图像形成装置的信息进行安全监管，包括：当图像形成装置上电后，第一控制系统以及安全模块启动，第一控制系统控制安全模块读取第一存储器存储的启动程序以及安全校验信息，并根据安全校验信息对启动程序进行静态度量，当静态度量通过后，第一控制系统再控制第二控制系统读取第一存储器存储的启动程序并加载启动程序。在一种可选的实施方式中，图像形成装置还包括第二存储器，第二存储器被配置为存储第二控制系统运行时的固件；安全模块对图像形成装置的信息进行安全监管，可以包括：当第二控制系统加载完启动程序后，第二控制系统读取并加载第二存储器存储的第二控制系统运行时的固件，以及通过安全模块对第二控制系统运行时的固件进行动态度量。在一种可选的实施方式中，安全模块对图像形成装置的信息进行安全监管，可以包括： 14 CN 111614859 A 说　明　书 11/11 页当对第一控制系统需要进行固件升级时，安全模块接收第一控制系统对应的固件升级包，并对第一控制系统对应的固件升级包进行安全验证，当安全验证通过后，第一控制系统再根据第一控制系统对应的固件升级包进行固件升级。在一种可选的实施方式中，安全模块对图像形成装置的信息进行安全监管，可以包括：当对第二控制系统需要进行固件升级时，安全模块接收第二控制系统对应的固件升级包，并对第二控制系统对应的固件升级包进行安全验证，当安全验证通过后，再将第二控制系统对应的固件升级包发送给第二控制系统，使得第二控制系统根据第二控制系统对应的固件升级包进行固件升级。在一种可选的实施方式中，安全模块对图像形成装置的信息进行安全监管，可以包括：安全模块接收打印数据，并对打印数据进行安全验证，当安全验证通过后，将打印数据发送给第二控制系统；对应地，第二控制系统控制图像形成装置执行成像操作，可以包括：第二控制系统根据打印数据控制图像形成装置的打印引擎机构完成对打印数据的打印处理。在一种可选的实施方式中，安全模块对图像形成装置的信息进行安全监管，包括：接收扫描命令，并对扫描命令进行安全验证，当安全验证通过后，将扫描命令发送给第二控制系统；对应地，第二控制系统控制图像形成装置执行成像操作，可以包括：第二控制系统根据扫描命令控制图像形成装置的扫描引擎机构对待扫描文件进行扫描，得到扫描数据，并将扫描数据发送给安全模块；对应地，安全模块对图像形成装置的信息进行安全监管，还可以包括：安全模块对扫描数据进行安全验证，当安全验证通过后，将扫描数据发送给终端设备。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的图像形成装置的安全控制方法具体工作过程，可以参考前述装置实施例(即图像形成装置)中的对应内容，在此不再赘述。本实施例提供一计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现实施例中图像形成装置的安全控制方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器执行时实现实施例中图像形成装置中各模块/系统/器件的功能，为避免重复，此处不一一赘述。以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。 15 CN 111614859 A 说　明　书　附　图 1/2 页图1 图2 16 CN 111614859 A 说　明　书　附　图 2/2 页图3 图4 17

相关推荐