1、簡(jiǎn)單的介紹：RMS （Windows Rights Management Services）利用PKI實(shí)現(xiàn)認(rèn)證和加密功能。對(duì)于初學(xué)者而言, 有兩個(gè)需要注意的地方，都與其 PKI 的實(shí)現(xiàn)方式相關(guān)：使用RMS不需要安裝Windows CA。雖然RMS基于公鑰技術(shù)，但是RMS 1.0有自己的PKI 實(shí)現(xiàn),不依賴(lài)于 Windows CA。RMS中用戶(hù)的認(rèn)證，最終是通過(guò)證書(shū)來(lái)進(jìn)行的。在證書(shū)中對(duì)于用戶(hù)的標(biāo)志，是用戶(hù)在AD 中設(shè)置的電子郵件地址。因此，在使用RMS的時(shí)候，必須在AD中（可以通過(guò)AD用戶(hù)和計(jì) 算機(jī)管理工具）為用戶(hù)配置一個(gè)全局唯一的電子郵件地址（可以不是物理存在的郵件地址）。 在第一次創(chuàng)建RMS

2、 POC的時(shí)候，大部分人都會(huì)犯的錯(cuò)誤，就是沒(méi)有設(shè)置這個(gè)地址。詳細(xì)的介紹：RMS 功能RMS 提供了一個(gè)用于保護(hù)數(shù)字內(nèi)容的統(tǒng)一的解決方案。 RMS 還提供了工具，用于為 RMS 系統(tǒng)中的可信實(shí)體建立和配置服務(wù)器、客戶(hù)端以及用戶(hù)帳戶(hù)。設(shè)置包括以下功能：服務(wù)器注冊(cè)。組織在每個(gè)林中建立根認(rèn)證服務(wù)器，這些林會(huì)通過(guò)在 Microsoft 注冊(cè)服務(wù)中 注冊(cè)每個(gè)根認(rèn)證服務(wù)器來(lái)參與RMS系統(tǒng)。如果服務(wù)器連接到Internet，注冊(cè)過(guò)程可自動(dòng)進(jìn) 行，如果服務(wù)器沒(méi)有連接到Internet，可通過(guò)另一臺(tái)具有Internet連接的計(jì)算機(jī)向Microsoft 提交注冊(cè)請(qǐng)求，使用脫機(jī)注冊(cè)過(guò)程手動(dòng)注冊(cè)服務(wù)器。一旦服務(wù)器被注冊(cè)

3、，即分配根服務(wù)器許 可方證書(shū)，用于在組織的 RMS 信任層次結(jié)構(gòu)中對(duì)其進(jìn)行標(biāo)識(shí)。然后，組織建立其余的服務(wù) 器，這些服務(wù)器會(huì)成為系統(tǒng)的一部分，通過(guò)將它們加入林中的根認(rèn)證服務(wù)器群集，或使用根 認(rèn)證服務(wù)器通過(guò)子注冊(cè)過(guò)程注冊(cè)一個(gè)或更多授權(quán)服務(wù)器。服務(wù)器注冊(cè)過(guò)程建立了各種證書(shū)， 這些證書(shū)允許服務(wù)器頒發(fā)RMS信任的許可證。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集RMS技術(shù) 參考”中的RMS注冊(cè)”?？蛻?hù)端軟件安裝。組織必須在所有的客戶(hù)端計(jì)算機(jī)上安裝 RMS 客戶(hù)端軟件，這些計(jì)算機(jī) 會(huì)用于創(chuàng)建或使用受 RMS 保護(hù)的信息。軟件安裝之后，必須激活計(jì)算機(jī)。為登錄用戶(hù)機(jī)器 創(chuàng)建認(rèn)證時(shí)，計(jì)算機(jī)被激活。計(jì)算機(jī)證書(shū)包含該計(jì)算機(jī)的公鑰

4、。激活過(guò)程是計(jì)算機(jī)的內(nèi)部過(guò) 程，對(duì)用戶(hù)是透明的。用戶(hù)認(rèn)證。組織必須確定其 RMS 安裝中的可信實(shí)體用戶(hù)。為此， RMS 頒發(fā)權(quán)限帳戶(hù)證 書(shū)，將用戶(hù)帳戶(hù)與一個(gè)受保護(hù)的密鑰對(duì)關(guān)聯(lián)，該密鑰專(zhuān)門(mén)用于用戶(hù)的計(jì)算機(jī)。用戶(hù)可以通過(guò) 這些證書(shū)來(lái)發(fā)布和使用受 RMS 保護(hù)的內(nèi)容。每個(gè)證書(shū)都包含一個(gè)公鑰，以向用戶(hù)授予使用 相關(guān)信息的權(quán)限。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集RMS技術(shù)參考中的RMS帳戶(hù)認(rèn)證。客戶(hù)端注冊(cè)。如果在客戶(hù)端計(jì)算機(jī)未連接到公司網(wǎng)絡(luò)的情況下使用這些計(jì)算機(jī)發(fā)布受 RMS 保護(hù)的內(nèi)容，則需要進(jìn)行客戶(hù)端注冊(cè)。向 Windows RMS 注冊(cè)的客戶(hù)端計(jì)算機(jī)將接收 到客戶(hù)端許可方證書(shū)，使用這些證書(shū)，用戶(hù)可以在這

5、些客戶(hù)端計(jì)算機(jī)未連接到公司網(wǎng)絡(luò)的情 況下發(fā)布受RMS保護(hù)的內(nèi)容。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集RMS技術(shù)參考”中的RMS 客戶(hù)端注冊(cè)”。標(biāo)準(zhǔn)的使用權(quán)限和條件的定義。Windows RMS使用XML語(yǔ)法來(lái)表示使用權(quán)限和條件， 即可擴(kuò)展權(quán)限標(biāo)記語(yǔ)言（XrML） 1.2.1版。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集RMS技術(shù)參考” 中的XrML”。發(fā)布定義使用權(quán)限和條件的許可證。作者可使用支持 RMS 的應(yīng)用程序中的簡(jiǎn)單工具，來(lái) 分配與其組織的業(yè)務(wù)策略相一致的內(nèi)容使用權(quán)限和條件。這些使用權(quán)限和條件在發(fā)布許可證 中進(jìn)行定義，用于指定可以使用內(nèi)容的授權(quán)用戶(hù)以及使用和分發(fā)內(nèi)容的方式。有關(guān)詳細(xì)信息， 請(qǐng)參閱本文檔集“R

6、MS技術(shù)參考中的發(fā)布許可證。使用實(shí)施使用權(quán)限和條件的許可證。接收受 RMS 保護(hù)內(nèi)容的用戶(hù)，必須從能夠查看內(nèi)容 的 RMS 請(qǐng)求和接收用戶(hù)許可證。發(fā)出用戶(hù)許可證請(qǐng)求后， RMS 系統(tǒng)將向個(gè)人授予用戶(hù)許 可證，其中列出了該用戶(hù)使用該內(nèi)容時(shí)的使用權(quán)限和條件。支持 RMS 的應(yīng)用程序可以使用 RMS 技術(shù)來(lái)讀取、解釋和實(shí)施使用權(quán)限和條件。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集 “RMS 技 術(shù)參考”中的“用戶(hù)許可證”。加密和密鑰。受 RMS 保護(hù)的內(nèi)容始終是加密的。支持 RMS 的應(yīng)用程序使用對(duì)稱(chēng)密鑰對(duì) 內(nèi)容進(jìn)行加密。所有的 RMS SP1 服務(wù)器、客戶(hù)端計(jì)算機(jī)和用戶(hù)帳戶(hù)，都具有相關(guān)聯(lián)的 1024 位 RSA

7、 密鑰的密鑰對(duì)。 RMS 使用這些密鑰對(duì)來(lái)加密發(fā)布許可證和用戶(hù)許可證中的內(nèi)容密 鑰，并簽署 RMS 證書(shū)和許可證，以確保只向擁有適當(dāng)授權(quán)的用戶(hù)和計(jì)算機(jī)授予訪問(wèn)權(quán)限。 特別地，當(dāng)用戶(hù)試圖使用受保護(hù)的內(nèi)容，而該內(nèi)容密鑰在用戶(hù)許可證中使用了用戶(hù)權(quán)限帳戶(hù) 證書(shū)的公共密鑰進(jìn)行加密，以使它能夠指定和實(shí)施授予特定用戶(hù)帳戶(hù)的權(quán)限，此時(shí)，使用服 務(wù)器在發(fā)布許可證中的公共密鑰對(duì)內(nèi)容密鑰進(jìn)行加密。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集“RMS 技術(shù)參考”中的RMS加密和密鑰”。權(quán)限策略模板。管理員可以為一組預(yù)定義的用戶(hù)創(chuàng)建和分發(fā)定義了使用權(quán)限和條件的正式 權(quán)限策略模板。對(duì)于那些要為其內(nèi)容建立文檔分類(lèi)層次結(jié)構(gòu)的組織而言，這些模

8、板提供了一 種便于管理的方法。例如，組織可以為其員工創(chuàng)建權(quán)限策略模板，以便對(duì)公司機(jī)密、分類(lèi)和 私有的內(nèi)容單獨(dú)分配使用權(quán)限和條件。支持 RMS 的應(yīng)用程序可以使用這些模板，這些模板 為用戶(hù)提供了一種簡(jiǎn)單、一致的方法來(lái)應(yīng)用內(nèi)容的使用策略。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔 集RMS技術(shù)參考”中的權(quán)限策略模板”。吊銷(xiāo)列表。管理員可以創(chuàng)建和分發(fā)吊銷(xiāo)列表，以確定已經(jīng)無(wú)效且應(yīng)從 RMS 系統(tǒng)中刪除的 已受損主體。組織的吊銷(xiāo)列表可以使特定計(jì)算機(jī)或用戶(hù)帳戶(hù)的證書(shū)失效。例如，可以將已離 職員工的權(quán)限帳戶(hù)證書(shū)添加到吊銷(xiāo)列表中，以便在任何操作中都不會(huì)使用該證書(shū)，如獲取新 的發(fā)布許可證和用戶(hù)許可證。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔

9、集“RMS技術(shù)參考中的“RMS吊 銷(xiāo)”。排除策略。管理員可以實(shí)現(xiàn)服務(wù)器端的排除策略，以便拒絕基于請(qǐng)求者的用戶(hù)ID（Windows登錄憑據(jù)或Microsoft .NET Passport ID）、權(quán)限帳戶(hù)證書(shū)或密碼箱版本的許可證請(qǐng)求。排除策略可以拒絕由已受損主體發(fā)出的新的許可證請(qǐng)求，但與吊銷(xiāo)不同的是，排 除策略無(wú)法使這些主體無(wú)效。管理員也可以排除可能具有危害或已受損的應(yīng)用程序，從而使 這些應(yīng)用程序無(wú)法解密受RMS保護(hù)的內(nèi)容。有關(guān)詳細(xì)信息，請(qǐng)參閱本文檔集“RMS技術(shù)參 考”中的RMS排除”。 日志記錄。管理員可以跟蹤和審計(jì)組織內(nèi)受 RMS 保護(hù)的內(nèi)容的使用情況。 RMS 支持日 志記錄，以便組織擁