两种注册过程

RMS客户端

一组API,和支持RMS的应用程序交互并与RMS Server通 信实现信息保护和使用的功能 RMS支持两种应用环境


企业内部的RMS Server应用
基于.Net Passport的Internet应用
支持RMS的应用

Office 2003
更多信息
/rms

是企业中的第一台RMS服务器 为用户办法用户证书RAC 授权RMS Licensing Server 发放Publishing License 发放Use License 发放Client L9censor Certificate

RMS许可服务器(Licensing Server)


用户向RMS Licensing Server 请求许可时需要使用RAC
RAC的生成过程

RAC生成过程




用户以windows集成身份验证向RMS Certification Server发送 请求 服务器使用已有密钥对或者为用户生成密钥对 服务器将用户的私钥用计算机的公钥加密 服务器将用户的公钥和加密后的私钥放到RAC中 RAC被RMS服务器用私钥进行数字签名 将RAC发送给客户 服务器将用户的密钥对存储到RMS 的数据库中

根证书服务器Root Certification Server
Байду номын сангаас
同时具备两种 RMS服务器角色 必须是由Microsoft 签署的,提供完整的RMS证书信任链
RMS Server注册

林中设置的第一台RMS服务器向Microsoft RMS注册服务 器注册并获取服务器许可证书(SLC)

https:// 联机注册 脱机注册
FBI Crime Survey, 2003
The Yankee Group, 2003
但是大多数公司由于员工造成了知 识财产的损失，不管有意或者疏忽
在最糟糕的安全问题中，32%是由 内部人士导致的
PricewaterhouseCoopers (U.K.), 2002
Gartner G2 News Analysis, February 25, 2003

灵活的和可定制的技术

与熟悉的产品集成，易于使用

利用电子邮件名称和A.D.分发组
赋予“完全控制”权限给受信任的组 使用SDK开发自定义解决方案
RMS 技术与过程原理


RMS工作过程 RMS组件 RMS基本结构拓扑 文档保护与使用过程原理
Windows RMS 工作过程
RMS工作过程

消息队列

群集

SQL Server / MSDE

配置数据库


RMS配置数据库 模版 服务器密钥 用户密钥
缓存活动目录组成员资格

目录服务数据库

日志数据库

RMS日志信息
MSDE不支持RMS群集
活动目录



身份验证 驻留服务连接点(SCP)

客户端通过SCP发现RMS 证书服务器

与应用程序协作保护数字内容的安全技术,专为那些需要保护的敏感文档、电子邮 件和Web内容而设计。可以严格控制哪些用户可以打开,读取、修改和重新分发特 定内容.

持续保护


保护您的敏感信息，不管它们在何处

使用128位AES加密
利用技术实施组织策略 作者定义其他人如何使用信息

典型的权限包括察看、读取、复制、打印、保存、转发、编辑以及 时间限制
微软的RMS部署（2003年数据）

61,000用户；单AD森林 155,000 计算机 每月颁发200,000 用户许可（Use Licenses）

快速增长 用户许可响应时间：<1秒

3 RMS服务器+ 1 SQL服务器
案例分析: UT斯达康
展开组成员资格

GC负责展开组用户列表
每个AD域林只能有一个RMS基础结构
RMS中的过程机制



服务的发现 文档的在线发布过程 受保护文档的使用过程
RMS服务的发现

RMS服务发现

找到RMS服务器的URL
激活RMS客户机 从服务器获取RAC和CLC 通过目录服务中的服务连接点(SCP) 通过注册表
优势
保护企业重要电子文档内容不受非法复制 和转发 实现信息内容访问、编辑和转发等的分级 授权 支持统一策略的安全设定和分发，便于规 模化定制、维护和管理 可以适用于企业内及跨企业的文档交流
总结

RMS使您能够防止内部信息流失 关键收益：




保护敏感的内部信息 增强现有周边安全技术 利用技术实施组织策略 持续的文档保护 易于使用
® 权限管理服务 Windows
议程

背景 Windows Rights Management Services （Windows权限管理服务）



概述 原理 使用场景 演示

RMS总结
行业报告
组织需要对敏感数字信息——商业 秘密和客户隐私更好的保护 专有信息失窃将导致所有安全失 败中最大的经济损失


SQL Server管理员权限

安装RMS服务器-步骤




安装SQL Server 安装RMS Server 软件 注册RMS Server 注册SCP 配置RMS Server
部署RMS客户端



下载安装 使用GPO或者SMS部署 确保RMS服务器的URL在客户机的Intranet区域

RMS Client

RMS Server


证书服务器(Certification Server),为信任实体颁发证书 授权服务器(Licensing Server),为RMS保护的文档进行使用授权
RMS 服务器

两个RMS服务器角色

RMS证书服务器 (Certification Server)
部署RMS


安装/配置服务器 部署客户端
安装RMS服务器-预备条件

环境系统要求

活动目录
Windows Server 2003 IIS6 with 消息队列 NTFS
软件要求


帐户权限

本地管理员

安装 注册SCP 创建RMS数据库

Enterprise Admins

用户对内容的权限 被用户公钥加密的content key 如果拥有写的权限,会被缓存到该office 文档中 对于电子邮件会被outlook缓存.

User License缓存

RMS组件


RMS基于Server/Client的结构 RMS的组件

支持RMS的应用程序


只有支持RMS的应用程序才能生成RMS保护的文档 Office 2003 IE+RM Add-on 安装在客户机上,与支持RMS的应用程序进行交互

使用权限(Usage Rights)


发布服务(Publishing Service)

发布服务器的数字签署

使用许可(Use License)



使用受保护文档的内容必须具有相应的Use License Use License 由发放Publishing License的同一台服务器 颁发 每个文档对于每个用户都对应一个Use License Use License包含
保护内网内容
保护金融、法律、人力资源内容 设置访问级别：察看、更改、打印等 察看Office
2003权限保护信息
Windows Rights Management Services (RMS)
Windows平台信息保护技术 RMS(Rights Management Services)
受保护文档的使用过程


客户端向颁发发布许可的授权服务器请求使用许可 过程

客户端将RAC和文档的发布许可发送到颁发发布许可的授权服务 器 授权服务器使用它的私钥解出发布许可中的内容密钥 授权服务器使用RAC中用户的公钥加密内容密钥 加密的内容密钥和用户的使用权限被添加到使用许可 授权服务器使用它的私钥签署使用许可 使用许可被发送给客户端 密码箱使用计算机的私钥解密保存在RAC中的用户私钥 密码箱使用用户的私钥解密内容密钥 密码箱使用内容密钥解密被加密的受保护内容
方案
RMS Office 2003 策略模板
“UTStarcom作为一个快速发展的高科技 企业，一直非常重视知识产权的保护，以及 内部信息的安全管理，微软Office System中的IRM技术可以有效地保障信息 的安全，通过赋予信息本身的一种自我管理 智能，使得信息在被创建、复制、传播过程 中可以得到有效的控制和保护。” 汪拥君 信息技术部 总监 UT斯达康通讯有限公司
RMS Client通过服务发现


发现机制

文档的在线发布过程


由RMS 客户端在线向授权服务器发送请求 过程



由密码箱生成对称密钥作为内容密钥 内容密钥被授权服务器的公钥加密 加密的内容密钥和权限被发送给请求发布许可的授权服务器 授权服务器使用它的私钥解开加密的内容密钥 授权服务器使用它的公钥加密内容密钥和使用权限 加密后的密钥和使用权限被添加到发布许可 授权服务器使用它的私钥签署发布许可 发布许可返回给申请的客户端 支持RMS的应用程序将发布许可合并到受保护的文档中