RMS简单介绍和详细介绍

1、简单的介绍：RMS （Windows Rights Management Services）利用PKI实现认证和加密功能。对于初学者而言, 有两个需要注意的地方，都与其 PKI 的实现方式相关：使用RMS不需要安装Windows CA。虽然RMS基于公钥技术，但是RMS 1.0有自己的PKI 实现,不依赖于 Windows CA。RMS中用户的认证，最终是通过证书来进行的。在证书中对于用户的标志，是用户在AD 中设置的电子邮件地址。因此，在使用RMS的时候，必须在AD中（可以通过AD用户和计 算机管理工具）为用户配置一个全局唯一的电子邮件地址（可以不是物理存在的邮件地址）。 在第一次创建RMS

2、 POC的时候，大部分人都会犯的错误，就是没有设置这个地址。详细的介绍：RMS 功能RMS 提供了一个用于保护数字内容的统一的解决方案。 RMS 还提供了工具，用于为 RMS 系统中的可信实体建立和配置服务器、客户端以及用户帐户。设置包括以下功能：服务器注册。组织在每个林中建立根认证服务器，这些林会通过在 Microsoft 注册服务中 注册每个根认证服务器来参与RMS系统。如果服务器连接到Internet，注册过程可自动进 行，如果服务器没有连接到Internet，可通过另一台具有Internet连接的计算机向Microsoft 提交注册请求，使用脱机注册过程手动注册服务器。一旦服务器被注册

3、，即分配根服务器许 可方证书，用于在组织的 RMS 信任层次结构中对其进行标识。然后，组织建立其余的服务 器，这些服务器会成为系统的一部分，通过将它们加入林中的根认证服务器群集，或使用根 认证服务器通过子注册过程注册一个或更多授权服务器。服务器注册过程建立了各种证书， 这些证书允许服务器颁发RMS信任的许可证。有关详细信息，请参阅本文档集RMS技术 参考”中的RMS注册”。客户端软件安装。组织必须在所有的客户端计算机上安装 RMS 客户端软件，这些计算机 会用于创建或使用受 RMS 保护的信息。软件安装之后，必须激活计算机。为登录用户机器 创建认证时，计算机被激活。计算机证书包含该计算机的公钥

4、。激活过程是计算机的内部过 程，对用户是透明的。用户认证。组织必须确定其 RMS 安装中的可信实体用户。为此， RMS 颁发权限帐户证 书，将用户帐户与一个受保护的密钥对关联，该密钥专门用于用户的计算机。用户可以通过 这些证书来发布和使用受 RMS 保护的内容。每个证书都包含一个公钥，以向用户授予使用 相关信息的权限。有关详细信息，请参阅本文档集RMS技术参考中的RMS帐户认证。客户端注册。如果在客户端计算机未连接到公司网络的情况下使用这些计算机发布受 RMS 保护的内容，则需要进行客户端注册。向 Windows RMS 注册的客户端计算机将接收 到客户端许可方证书，使用这些证书，用户可以在这

5、些客户端计算机未连接到公司网络的情 况下发布受RMS保护的内容。有关详细信息，请参阅本文档集RMS技术参考”中的RMS 客户端注册”。标准的使用权限和条件的定义。Windows RMS使用XML语法来表示使用权限和条件， 即可扩展权限标记语言（XrML） 1.2.1版。有关详细信息，请参阅本文档集RMS技术参考” 中的XrML”。发布定义使用权限和条件的许可证。作者可使用支持 RMS 的应用程序中的简单工具，来 分配与其组织的业务策略相一致的内容使用权限和条件。这些使用权限和条件在发布许可证 中进行定义，用于指定可以使用内容的授权用户以及使用和分发内容的方式。有关详细信息， 请参阅本文档集“R

6、MS技术参考中的发布许可证。使用实施使用权限和条件的许可证。接收受 RMS 保护内容的用户，必须从能够查看内容 的 RMS 请求和接收用户许可证。发出用户许可证请求后， RMS 系统将向个人授予用户许 可证，其中列出了该用户使用该内容时的使用权限和条件。支持 RMS 的应用程序可以使用 RMS 技术来读取、解释和实施使用权限和条件。有关详细信息，请参阅本文档集 “RMS 技 术参考”中的“用户许可证”。加密和密钥。受 RMS 保护的内容始终是加密的。支持 RMS 的应用程序使用对称密钥对 内容进行加密。所有的 RMS SP1 服务器、客户端计算机和用户帐户，都具有相关联的 1024 位 RSA

7、 密钥的密钥对。 RMS 使用这些密钥对来加密发布许可证和用户许可证中的内容密 钥，并签署 RMS 证书和许可证，以确保只向拥有适当授权的用户和计算机授予访问权限。 特别地，当用户试图使用受保护的内容，而该内容密钥在用户许可证中使用了用户权限帐户 证书的公共密钥进行加密，以使它能够指定和实施授予特定用户帐户的权限，此时，使用服 务器在发布许可证中的公共密钥对内容密钥进行加密。有关详细信息，请参阅本文档集“RMS 技术参考”中的RMS加密和密钥”。权限策略模板。管理员可以为一组预定义的用户创建和分发定义了使用权限和条件的正式 权限策略模板。对于那些要为其内容建立文档分类层次结构的组织而言，这些模

8、板提供了一 种便于管理的方法。例如，组织可以为其员工创建权限策略模板，以便对公司机密、分类和 私有的内容单独分配使用权限和条件。支持 RMS 的应用程序可以使用这些模板，这些模板 为用户提供了一种简单、一致的方法来应用内容的使用策略。有关详细信息，请参阅本文档 集RMS技术参考”中的权限策略模板”。吊销列表。管理员可以创建和分发吊销列表，以确定已经无效且应从 RMS 系统中删除的 已受损主体。组织的吊销列表可以使特定计算机或用户帐户的证书失效。例如，可以将已离 职员工的权限帐户证书添加到吊销列表中，以便在任何操作中都不会使用该证书，如获取新 的发布许可证和用户许可证。有关详细信息，请参阅本文档

9、集“RMS技术参考中的“RMS吊 销”。排除策略。管理员可以实现服务器端的排除策略，以便拒绝基于请求者的用户ID（Windows登录凭据或Microsoft .NET Passport ID）、权限帐户证书或密码箱版本的许可证请求。排除策略可以拒绝由已受损主体发出的新的许可证请求，但与吊销不同的是，排 除策略无法使这些主体无效。管理员也可以排除可能具有危害或已受损的应用程序，从而使 这些应用程序无法解密受RMS保护的内容。有关详细信息，请参阅本文档集“RMS技术参 考”中的RMS排除”。 日志记录。管理员可以跟踪和审计组织内受 RMS 保护的内容的使用情况。 RMS 支持日 志记录，以便组织拥