受保护文档的使用过程


客户端向颁发发布许可的授权服务器请求使用许可 过程



客户端将RAC和文档的发布许可发送到颁发发布许可的授权服务 器 授权服务器使用它的私钥解出发布许可中的内容密钥 授权服务器使用RAC中用户的公钥加密内容密钥 加密的内容密钥和用户的使用权限被添加到使用许可 授权服务器使用它的私钥签署使用许可 使用许可被发送给客户端 密码箱使用计算机的私钥解密保存在RAC中的用户私钥 密码箱使用用户的私钥解密内容密钥 密码箱使用内容密钥解密被加密的受保护内容

用户的私钥使用计算机的公钥进行加密存储RAC RAC与特定计算机关联 每个用户对于每个设备有唯一的RAC 在任何计算机上用户的密钥对是相同的 RAC由证书服务器向用户颁发的

用户向RMS Licensing Server 请求许可时需要使用RAC
RAC的生成过程

RAC生成过程


GC负责展开组用户列表
每个AD域林只能有一个RMS基础结构
RMS中的过程机制



服务的发现 文档的在线发布过程 受保护文档的使用过程
RMS服务的发现

RMS服务发现

找到RMS服务器的URL
激活RMS客户机 从服务器获取RAC和CLC 通过目录服务中的服务连接点(SCP) 通过注册表
RMS Client通过服务发现
部署RMS


安装/配置服务器 部署客户端
安装RMS服务器-预备条件

环境系统要求

活动目录
Windows Server 2003 IIS6 with 消息队列 NTFS 本地管理员

软件要求




帐户权限

安装

Enterprise Admins

注册SCP
创建RMS数据库
FBI Crime Survey, 2003
The Yankee Group, 2003
但是大多数公司由于员工造成了知 识财产的损失，不管有意或者疏忽
在最糟糕的安全问题中，32%是由 内部人士导致的
PricewaterhouseCoopers (U.K.), 2002
Gartner G2 News Analysis, February 25, 2003

与应用程序协作保护数字内容的安全技术,专为那些需要保护的敏感文档、电子邮 件和Web内容而设计。可以严格控制哪些用户可以打开,读取、修改和重新分发特 定内容.

持续保护

保护您的敏感信息，不管它们在何处

使用128位AES加密
利用技术实施组织策略 作者定义其他人如何使用信息

典型的权限包括察看、读取、复制、打印、保存、转发、编辑以及 时间限制

灵活的和可定制的技术

与熟悉的产品集成，易于使用

利用电子邮件名称和A.D.分发组
赋予“完全控制”权限给受信任的组 使用SDK开发自定义解决方案
RMS 技术与过程原理


RMS工作过程 RMS组件 RMS基本结构拓扑 文档保护与使用过程原理
Windows RMS 工作过程
RMS工作过程

RMS许可服务器(Licensing Server)


根证书服务器Root Certification Server

同时具备两种 RMS服务器角色 必须是由Microsoft 签署的,提供完整的RMS证书信任链
RMS Server注册

林中设置的第一台RMS服务器向Microsoft RMS注册服务 器注册并获取服务器许可证书(SLC)
设置访问时间期限
保护内网内容
保护金融、法律、人力资源内容 设置访问级别：察看、更改、打印等 察看Office
2003权限保护信息
Windows Rights Management Services (RMS)
Windows平台信息保护技术 RMS(Rights Management Services)
方案
RMS Office 2003 策略模板
“UTStarcom作为一个快速发展的高科技 企业，一直非常重视知识产权的保护，以及 内部信息的安全管理，微软Office System中的IRM技术可以有效地保障信息 的安全，通过赋予信息本身的一种自我管理 智能，使得信息在被创建、复制、传播过程 中可以得到有效的控制和保护。”
保护敏感的内部信息 增强现有周边安全技术 利用技术实施组织策略 持续的文档保护 易于使用
更多信息
/rms
优势
保护企业重要电子文档内容不受非法复制 和转发 实现信息内容访问、编辑和转发等的分级 授权 支持统一策略的安全设定和分发，便于规 模化定制、维护和管理 可以适用于企业内及跨企业的文档交流
汪拥君 信息技术部 总监 UT斯达康通讯有限公司
总结

RMS使您能够防止内部信息流失 关键收益：



微软的RMS部署（2003年数据）

61,000用户；单AD森林 155,000 计算机 每月颁发200,000 用户许可（Use Licenses）

快速增长 用户许可响应时间：<1秒

3 RMS服务器+ 1 SQL服务器
案例分析: UT斯达康

使用权限(Usage Rights)


发布服务(Publishing Service)

发布服务器的数字签署

证明Publish License的有效性
使用许可(Use License)




使用受保护文档的内容必须具有相应的Use License Use License 由发放Publishing License的同一台服务器 颁发 每个文档对于每个用户都对应一个Use License Use License包含


用户以windows集成身份验证向RMS Certification Server发送 请求 服务器使用已有密钥对或者为用户生成密钥对 服务器将用户的私钥用计算机的公钥加密 服务器将用户的公钥和加密后的私钥放到RAC中 RAC被RMS服务器用私钥进行数字签名 将RAC发送给客户 服务器将用户的密钥对存储到RMS 的数据库中



发现机制

文档的在线发布过程


由RMS 客户端在线向授权服务器发送请求 过程



由密码箱生成对称密钥作为内容密钥 内容密钥被授权服务器的公钥加密 加密的内容密钥和权限被发送给请求发布许可的授权服务器 授权服务器使用它的私钥解开加密的内容密钥 授权服务器使用它的公钥加密内容密钥和使用权限 加密后的密钥和使用权限被添加到发布许可 授权服务器使用它的私钥签署发布许可 发布许可返回给申请的客户端 支持RMS的应用程序将发布许可合并到受保护的文档中

SQL Server管理员权限

安装RMS服务器-步骤



安装SQL Server 安装RMS Server 软件 注册RMS Server 注册SCP 配置RMS Server
部署RMS客户端



下载安装 使用GPO或者SMS部署 确保RMS服务器的URL在客户机的Intranet区域
® 权限管理服务 Windows
议程


背景 Windows Rights Management Services （Windows权限管理服务）

概述 原理 使用场景 演示

RMS总结
行业报告
组织需要对敏感数字信息——商业 秘密和客户隐私更好的保护 专有信息失窃将导致所有安全失 败中最大的经济损失
问题：
随着使用计算机来创建和处理敏感信息的情况越来越多，使得保护企业信息和数据成为 企业商务活动中的一项艰巨且长久的任务。希望能够在企业内部实施一种最佳的信息 版权保护综合解决方案，有效地保护机密的电子邮件、战略计划文档、技术文件、产 品研发报告、销售数据分析、财务绩效信息等文档，避免机密信息的未授权使用，并 且保证数据万无一失。
现在的策略表达
…缺少强制实行的工具
信息如何流失
Perimeter
其他泄漏点…
Windows RMS 使用场景
防止内部信息流失
防止经营管理邮件流入Internet
禁止转发邮件
减少保密信息的内部转发 使用模板集中管理策略
控制对敏感计划的访问
保护敏感文件
设置访问级别：察看、更改、打印等



使用Publishing License创建受保护文档 由RMS授权服务器颁发 Publishing License包含

内容密钥 (content key)


是AES 128位对称密钥 被授权服务器的公钥加密
以Email标识的用户和相应的权限 用户权限被授权服务器的公钥加密 使用者通过这个URL向服务器申请 Use License
SQL Server / MSDE

配置数据库


RMS配置数据库 模版 服务器密钥 用户密钥
缓存活动目录组成员资格 RMS日志信息

目录服务数据库

日志数据库

MSDE不支持RMS群集
活动目录



身份验证 驻留服务连接点(SCP)

客户端通过SCP发现RMS 证书服务器
展开组成员资格
SQL Server 活动目录