erm文档授权系统是基于microsoft windows rights management service的企业文档安全管理的解决方案。
一、windows rights management service简介:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/RMS/RMSInitExpTechCenter/48755fe5-2808-4c5e-b365-b166aea1ba75.mspx?mfr=true
1、从引用microsoft的一篇文章开始
近来,我们越来越多地听到有关系统防御的信息,而且每次都谈到安全层、安全边界或安全圈有关。您可能已经听说过这被称为“纵深防御”。现在,为网络和系统提供保护需要综合利用一切资源,主要是利用周边网络、网络、服务器、客户端、应用程序和数据中的每一层。
等一下,嗯...数据怎么办?请考虑一下数据问题。比如说,您给我发了一个加密的文件。加密是一个好办法,可以保护机密性、隐私和完整性;但是它只能解决部分问题。我收到文件后,我有足够的自由来对文件进行任何操作。我可以打印文件,转发给其他人;或者,我甚至可以将文件解密,然后将其张贴在 Wild Wild Web 上的某个地方(也就是说:贵公司的敏感信息脱离了您的周边网络,不论您的周边网络在何处)。
作为信息的作者、创建者或者所有者,如果我可以管理单个文件的权限/策略,那会怎么样?作为技术主管,如果我能在整个企业范围内提供这种授权,那会怎么样?Windows Server 2003 Rights Management Services 就是专门在这方面为您提供帮助的。
用于 Windows Server 2003 的 Microsoft Windows Rights Management Services (RMS) 被定义为防范非法使用敏感信息和专有信息的信息保护技术。敏感信息和专有信息通常有以下形式:财务报表、产品规格、客户数据和机密电子邮件。
RMS 使得组织能够定义永久的使用策略来禁止接收者转发或打印数据,甚至禁止未经授权者查看数据。所谓“永久”是指,RMS 把使用策略与数据的二进制格式绑定在一起。因此,在这个所有人能连接到任何信息的年代,不论那条信息最终落到谁手上,信息中都带有该使用策略。
让我们看一下用户如何发布和使用受权限保护的信息:
图 1:创建和查看受权限保护的信息的工作流程
|
1. |
通过使用启用了 RMS 的应用程序(例如 Office Professional 2003),作者可以创建一个文件,并可为该文件定义一组使用权限和条件以及一个授权用户列表。随后将生成发布许可证,许可证中包含了使用策略。发布许可证中还包括为文件内容颁发使用许可证的 RMS 服务器的 URL。 |
|
2. |
然后,应用程序将使用对称密钥来加密文件内容,随后将使用作者的 Windows RMS 服务器的公共密钥来加密对称密钥。接下来,将加密的对称密钥插入到发布许可证中,然后将发布许可证绑定到文件上。只有作者的 Windows RMS 服务器能够颁发可以对此文件进行解密的使用许可证。 |
|
3. |
作者将该文件分发出去。 |
|
4. |
接收者通过常规的分发渠道收到受保护的文件后,用启用了 RMS 的应用程序或者浏览器打开该文件。 如果接收者当前使用的计算机上没有 RMS 计算机帐户证书,则此时将由 RMS 服务器颁发一个证书。 |
|
5. |
应用程序向为受保护数据颁发了发布许可证的服务器发送一个请求来索要使用许可证。这个请求中包括接收者的帐户证书(包含接收者的公共密钥)和发布许可证(包含加密文件用的对称密钥)。 |
|
6. |
Windows RMS 许可服务器验证接收者是否已被授权,查证接收者是一个指定的用户,并创建一个使用许可证。 在这个过程中,服务器用服务器的私钥来解密对称密钥,用接收者的公共密钥对其重新加密,然后将其添加到使用许可证中。服务器还向使用许可证添加相关条件,比如失效条件或者应用程序或操作系统排除条件。这一步骤可以确保:只有预定的接收者才能解密对称密钥和随后解密受保护文件。 当验证结束后,许可服务器将把使用许可证返回给接收者的客户端计算机。 |
|
7. |
收到使用许可证之后,应用程序检查许可证和接收者的帐户证书,判断两个信任链中的任何一个是否有任何证书需要对照吊销列表进行核对。 如果有,那么应用程序会检查吊销列表的本地副本。如果该副本已过期,应用程序将检索一个当前副本。然后应用程序应用与当前上下文相关的任何吊销条件。如果没有什么吊销条件禁止访问文件,应用程序将呈现数据,用户可以行使已授予他的任何权利。 |
此类系统的主要优点之一是,数据被加密到服务器;这意味着服务器始终可以对信息解密并在必要的时候重新加密。请考虑一下使用诸如公共密钥基础结构 (PKI) 之类的情形:信息被加密到特定用户,而该用户可能会丢失其密钥。这会导致信息丢失。相反,如果信息被加密到服务器,我们仍能选择将数据“重新打包”到授权实体。
有些用户可能在考虑 –“…但我已经有 PKI 了。”我们会清楚地看到越来越多的 x.509 v3 PKI 项目;但是,标准也在不断提高,总有一天这个提高的标准会替代这些“旧式”系统。
Xml 标记语言 XRML 2.0 是这样一种语言规范和架构 — 它为安全地指定和管理权限及条件提供了一种通用的方法。RMS 利用了这种灵活的可扩展语言。随着技术的发展,Microsoft PKI 解决方案会得到进一步改善,从而更好地为 x.509 和 XRML 提供服务。
那么,您的信息从内部实施保护了吗?RMS 可以通过永久的使用策略加强对您的组织信息的保护 — 不论信息被传到什么地方,这些使用策略都会和信息绑定在一起。
希望您能够始终保持对源的控制。
二、erm文档授权系统——企业数字版权解决方案
1、支持包括office文档、图档、pdf等等的文件格式。
2、按部门管理文档,基于xml权限模版的授权方式。
待续。。。。
详情请联系作者:zzqzms@163.com
