erm文檔授權(quán)系統(tǒng)是基于microsoft windows rights management service的企業(yè)文檔安全管理的解決方案。
一����、windows rights management service簡(jiǎn)介:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/RMS/RMSInitExpTechCenter/48755fe5-2808-4c5e-b365-b166aea1ba75.mspx?mfr=true
1、從引用microsoft的一篇文章開始
管理權(quán)限 – 從內(nèi)部實(shí)施安全保護(hù)
引言 — 您的周邊網(wǎng)絡(luò)在何處�?
近來(lái),我們?cè)絹?lái)越多地聽(tīng)到有關(guān)系統(tǒng)防御的信息�,而且每次都談到安全層、安全邊界或安全圈有關(guān)�����。您可能已經(jīng)聽(tīng)說(shuō)過(guò)這被稱為“縱深防御”?��,F(xiàn)在��,為網(wǎng)絡(luò)和系統(tǒng)提供保護(hù)需要綜合利用一切資源���,主要是利用周邊網(wǎng)絡(luò)、網(wǎng)絡(luò)�、服務(wù)器、客戶端�、應(yīng)用程序和數(shù)據(jù)中的每一層��。
等一下�����,嗯...數(shù)據(jù)怎么辦?請(qǐng)考慮一下數(shù)據(jù)問(wèn)題��。比如說(shuō)�,您給我發(fā)了一個(gè)加密的文件。加密是一個(gè)好辦法��,可以保護(hù)機(jī)密性��、隱私和完整性����;但是它只能解決部分問(wèn)題。我收到文件后��,我有足夠的自由來(lái)對(duì)文件進(jìn)行任何操作�����。我可以打印文件����,轉(zhuǎn)發(fā)給其他人���;或者,我甚至可以將文件解密���,然后將其張貼在 Wild Wild Web 上的某個(gè)地方(也就是說(shuō):貴公司的敏感信息脫離了您的周邊網(wǎng)絡(luò)�,不論您的周邊網(wǎng)絡(luò)在何處)�。
管理信息權(quán)限
作為信息的作者、創(chuàng)建者或者所有者�,如果我可以管理單個(gè)文件的權(quán)限/策略,那會(huì)怎么樣�?作為技術(shù)主管,如果我能在整個(gè)企業(yè)范圍內(nèi)提供這種授權(quán)�,那會(huì)怎么樣?Windows Server 2003 Rights Management Services 就是專門在這方面為您提供幫助的���。
用于 Windows Server 2003 的 Microsoft Windows Rights Management Services (RMS) 被定義為防范非法使用敏感信息和專有信息的信息保護(hù)技術(shù)�。敏感信息和專有信息通常有以下形式:財(cái)務(wù)報(bào)表�����、產(chǎn)品規(guī)格�、客戶數(shù)據(jù)和機(jī)密電子郵件��。
RMS 使得組織能夠定義永久的使用策略來(lái)禁止接收者轉(zhuǎn)發(fā)或打印數(shù)據(jù)����,甚至禁止未經(jīng)授權(quán)者查看數(shù)據(jù)��。所謂“永久”是指����,RMS 把使用策略與數(shù)據(jù)的二進(jìn)制格式綁定在一起���。因此����,在這個(gè)所有人能連接到任何信息的年代�����,不論那條信息最終落到誰(shuí)手上�����,信息中都帶有該使用策略���。
詳細(xì)介紹
讓我們看一下用戶如何發(fā)布和使用受權(quán)限保護(hù)的信息:
圖 1:創(chuàng)建和查看受權(quán)限保護(hù)的信息的工作流程
|
1. |
通過(guò)使用啟用了 RMS 的應(yīng)用程序(例如 Office Professional 2003)����,作者可以創(chuàng)建一個(gè)文件,并可為該文件定義一組使用權(quán)限和條件以及一個(gè)授權(quán)用戶列表��。隨后將生成發(fā)布許可證�,許可證中包含了使用策略。發(fā)布許可證中還包括為文件內(nèi)容頒發(fā)使用許可證的 RMS 服務(wù)器的 URL��。 |
|
2. |
然后��,應(yīng)用程序?qū)⑹褂脤?duì)稱密鑰來(lái)加密文件內(nèi)容�,隨后將使用作者的 Windows RMS 服務(wù)器的公共密鑰來(lái)加密對(duì)稱密鑰。接下來(lái)��,將加密的對(duì)稱密鑰插入到發(fā)布許可證中�,然后將發(fā)布許可證綁定到文件上。只有作者的 Windows RMS 服務(wù)器能夠頒發(fā)可以對(duì)此文件進(jìn)行解密的使用許可證�。 |
|
3. |
作者將該文件分發(fā)出去。 |
|
4. |
接收者通過(guò)常規(guī)的分發(fā)渠道收到受保護(hù)的文件后��,用啟用了 RMS 的應(yīng)用程序或者瀏覽器打開該文件���。
如果接收者當(dāng)前使用的計(jì)算機(jī)上沒(méi)有 RMS 計(jì)算機(jī)帳戶證書��,則此時(shí)將由 RMS 服務(wù)器頒發(fā)一個(gè)證書�。 |
|
5. |
應(yīng)用程序向?yàn)槭鼙Wo(hù)數(shù)據(jù)頒發(fā)了發(fā)布許可證的服務(wù)器發(fā)送一個(gè)請(qǐng)求來(lái)索要使用許可證。這個(gè)請(qǐng)求中包括接收者的帳戶證書(包含接收者的公共密鑰)和發(fā)布許可證(包含加密文件用的對(duì)稱密鑰)��。 |
|
6. |
Windows RMS 許可服務(wù)器驗(yàn)證接收者是否已被授權(quán)�,查證接收者是一個(gè)指定的用戶,并創(chuàng)建一個(gè)使用許可證����。
在這個(gè)過(guò)程中,服務(wù)器用服務(wù)器的私鑰來(lái)解密對(duì)稱密鑰����,用接收者的公共密鑰對(duì)其重新加密���,然后將其添加到使用許可證中����。服務(wù)器還向使用許可證添加相關(guān)條件���,比如失效條件或者應(yīng)用程序或操作系統(tǒng)排除條件���。這一步驟可以確保:只有預(yù)定的接收者才能解密對(duì)稱密鑰和隨后解密受保護(hù)文件��。
當(dāng)驗(yàn)證結(jié)束后�,許可服務(wù)器將把使用許可證返回給接收者的客戶端計(jì)算機(jī)��。 |
|
7. |
收到使用許可證之后�,應(yīng)用程序檢查許可證和接收者的帳戶證書,判斷兩個(gè)信任鏈中的任何一個(gè)是否有任何證書需要對(duì)照吊銷列表進(jìn)行核對(duì)�。
如果有,那么應(yīng)用程序會(huì)檢查吊銷列表的本地副本����。如果該副本已過(guò)期,應(yīng)用程序?qū)z索一個(gè)當(dāng)前副本���。然后應(yīng)用程序應(yīng)用與當(dāng)前上下文相關(guān)的任何吊銷條件�����。如果沒(méi)有什么吊銷條件禁止訪問(wèn)文件����,應(yīng)用程序?qū)⒊尸F(xiàn)數(shù)據(jù)�,用戶可以行使已授予他的任何權(quán)利。 |
加密到服務(wù)器
此類系統(tǒng)的主要優(yōu)點(diǎn)之一是,數(shù)據(jù)被加密到服務(wù)器��;這意味著服務(wù)器始終可以對(duì)信息解密并在必要的時(shí)候重新加密��。請(qǐng)考慮一下使用諸如公共密鑰基礎(chǔ)結(jié)構(gòu) (PKI) 之類的情形:信息被加密到特定用戶���,而該用戶可能會(huì)丟失其密鑰�����。這會(huì)導(dǎo)致信息丟失��。相反����,如果信息被加密到服務(wù)器����,我們?nèi)阅苓x擇將數(shù)據(jù)“重新打包”到授權(quán)實(shí)體��。
利用 XML 進(jìn)行權(quán)限管理
有些用戶可能在考慮 –“…但我已經(jīng)有 PKI 了����。”我們會(huì)清楚地看到越來(lái)越多的 x.509 v3 PKI 項(xiàng)目;但是���,標(biāo)準(zhǔn)也在不斷提高���,總有一天這個(gè)提高的標(biāo)準(zhǔn)會(huì)替代這些“舊式”系統(tǒng)。
Xml 標(biāo)記語(yǔ)言 XRML 2.0 是這樣一種語(yǔ)言規(guī)范和架構(gòu) — 它為安全地指定和管理權(quán)限及條件提供了一種通用的方法�。RMS 利用了這種靈活的可擴(kuò)展語(yǔ)言。隨著技術(shù)的發(fā)展�,Microsoft PKI 解決方案會(huì)得到進(jìn)一步改善,從而更好地為 x.509 和 XRML 提供服務(wù)�。
那么,您的信息從內(nèi)部實(shí)施保護(hù)了嗎���?RMS 可以通過(guò)永久的使用策略加強(qiáng)對(duì)您的組織信息的保護(hù) — 不論信息被傳到什么地方�,這些使用策略都會(huì)和信息綁定在一起�。
希望您能夠始終保持對(duì)源的控制。
二�����、erm文檔授權(quán)系統(tǒng)——企業(yè)數(shù)字版權(quán)解決方案
1�、支持包括office文檔、圖檔��、pdf等等的文件格式。
2�、按部門管理文檔,基于xml權(quán)限模版的授權(quán)方式���。
待續(xù)�����。�。��。�。
詳情請(qǐng)聯(lián)系作者:zzqzms@163.com
