RMS方案.docx

RMS-微软免费的文档权限管理方案一、RMS的工作原理 由于工作中会不断产生大量的文档，所以对文档管理就要求变得越来越高。比如机密文档的安全存放、敏感文档只能由相关人员查看、文档的有效时间及给予不同权限的人对文档不同的操作权限(只读、修改、打印和复制等)、不会由人员的流动导致信息的泄露。针对这些问题微软提出了RMS文档权限管理解决方案。RMS所使用的技术 RMS是采用对文档加密的方式来实现权限的管理的。所有文档都经过对称加密，所采用的算法是ASE对称加密算法，其存放在储存介质上都是用密文的方式存放。这样就把文档的权限管理转变成了对密钥的管理，其对密钥的管理所采用的是XrML标准，其中用到了公钥加密及数字签名技术，采用的算法RSA算法。整个系统运行在windows 活动目录域内(DC)，所有用户和计算的验证都由DC完成。另RMS和办工软件OA结合起来可以构建文档权限及流程管理系统(MDMS)，MDMS由RMS结合SharePiont经过二次开发来完成。二、RMS的实现方法1、RMS的组件RMS的工作组件包括RMS服务器端、RMS客户端和支持RMS应用程序软件。1) RMS服务器端包括证书服务器和许可服务器。整个RMS系统工作在windows活动目录域上(DC)，所有对用户和计算机的认证都是通过活动目录域服务器完成。证书服务器通过DC给用户及计算机颁发证书，许可服务器通过DC及证书服务器给文档颁发许可。用户证书包括可信任主体、一对密钥对和服务器签名，其中用户的私钥是用计算机的公钥加密的，所以用户证书是和特定计算机相关联的。计算机证书也有一对密钥对，私钥是存储在计算机密码箱中的。2) RMS客户端包括计算机密码箱和计算机证书，其中密码箱中存储着计算机证书的私钥同时完成生成对称密钥的功能。客户端提供给RMS应用程序软件提供加密解密服务和向服务器申请许可的功能。3) RMS应用程序软件根据特定文档的RMS权限给授予特定用户相应的文档操作权限。包括文档只读、修改、转发和打印等权限。2、RMS文档的发布过程根证书服务器同时具备证书服务和许可服务两种角色。根证书服务器首先生成自己的密钥对，并且需要向微软的服务器注册。当有用户或计算机向服务器发出RMS请求时，服务器给用户或计算机颁发证书。当用户创建文档并添加权限后，由计算密码箱生成对称密钥对文档加密然后向服务器申请文档发布许可，许可服务器给文档颁发发布许可。发布许可的内容包括用服务器公钥加密的权限和对主体的签名。应用程序得到发布许可后和加密文档整合后通过各种渠道发送给使用者。使用者接收到文档后则向服务器申请使用许可，使用许包括使用主体的说明和对文档解密的对称密钥同时还具有签名。应用程序软件得到使用许可后对文档进行解密并根据文档权限给予用户相应的使用操作权限。三、RMS的使用方法RMS的工作由RMS服务器和已经获得证书的用户和计算机完成。其工作方式大致分为四个步骤。1)文档创建后连同权限设置的信息使用对称加密生成密文，然后把对称密码的密钥联同主体信息向服务器发送申请发布许可。网络传输的数据都采用密文传输。2)服务器经过身份验证后返回给作者发布许可。3)使用者得到文档后向服务器申请使用许可。4)使用者得到许可后，解密文档并根据相应的权限使用文档。四、RMS部署步骤Windows Server 2008之AD RMS详细部署步骤-活动目录权利管理服务（AD RMSWindows Server Active Directory Rights Management Services）是一种信息保护技术，与AD RMS激活的应用一起保障数字信息不受未授权的使用。内容拥有者可以确切定义接收者如何使用这些信息，如谁可以打开、修改、打印、转发或使用邮件或文件进行其他活动。公司可以创建自定义使用权利模版，如只可以直接用于如财务报告、产品说明、顾客数据以及电子邮件信息等信息的”机密-只读”模版。 AD RMS内建于Windows Server 2008系统，相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。AD RMS服务器和客户端系统处理过程，第一步：开始发行用户许可申请AD RMS内容许可。一旦有个用户通过RMS服务器已经发出一份账户证书，用户可以保护内容。这使文档的RMS保护变得简单；RMS特点是内置到微软的应用产品，例如微软office word和微软office Excel。RMS服务器绑定的权利的信息内容和加密内容，以防止未经授权的访问。当用户试图查看或以其他方式使用受保护文档时，RMS服务器发出声响，并检查用户的权限，发出解密和使用许可。在Windows Server 2008之前，一个外部用户需要进入RMS保护的内容必须有一个本地用户帐户。在简化外部帐户管理后，这已经不再需要。在安装之前的准备工作当然是不