Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术,它与支持 AD RMS 的应用程序协同工作,以防止在未经授权的情况下使用数字信息(无论是联机和脱机,还是在防火墙内外)。AD RMS 适用于需要保护敏感信息和专有信息(例如财务报表、产品说明、客户数据和机密电子邮件消息)的组织。AD RMS 通过永久使用策略(也称为使用权限和条件)提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据,因此使用权限保持与信息在一起,而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问(无论是联机和脱机,还是在防火墙内外)后得以强制执行。AD RMS 可以建立以下必要元素,通过永久使用策略来帮助保护信息:
受信任的实体。组织可以指定实体,包括作为 AD RMS 系统中受信任参与者的 个人、用户组、计算机和应用程序。通过建立受信任的实体,AD RMS 可以通过将访问权限仅授予适当的受信任参与者来帮助保护信息。
使用权限和条件。组织和个人可以指定定义了特定受信任实体如何可以使用受权限保护的内容的使用权限和条件。读取、复制、打印、保存、转发和编辑的权限都是使用权限。使用权限可以附加条件,例如这些权限何时过期。组织可以阻止应用程序和实体访问受权限保护的内容。
加密。加密是通过使用电子密钥锁定数据的过程。AD RMS 可加密信息,使访问建立在成功验证受信任实体的条件之上。一旦信息被锁定,只有在指定条件(如果有)下授予了使用权限的受信任实体可以在支持 AD RMS 的应用程序或浏览器中对信息解除锁定或解密。随后应用程序将强制执行已定义的使用权限和条件。
RMS工作原理:
1.文档的在线发布过程
由RMS客户端在线向授权服务器发送请求,发布过程如下。
(1)由密码箱生成对称密钥作为内容密钥。
(2)内容密钥会被授权服务器的公钥加密,目的是通过网络将其发送给授权服务器。然后授权服务器能够用自己的私钥将这个内容解出,而在传送的过程中不会被他人截获后获取内容密钥。
(3)加密的内容密钥和权限被发送给请求发布许可的授权服务器。
(4)授权服务器使用其私钥解开加密的内容密钥。
(5)授权服务器使用其公钥加密内容密钥和使用权限。
(6)加密后的密钥和使用权限被添加到发布许可中。
(7)授权服务器使用私钥签署发布许可。
(8)发布许可返回给申请的客户端。
(9)支持AD RMS的应用程序将发布许可合并到受保护的文档中。
2.文档的离线发布过程
如果用户所使用的是笔记本电脑等移动办公等的计算机设备,有可能在自己的家中不能够连接到公司的AD RMS服务器。为访问使用由AD RMS创建的文档,需要一个客户端许可证书(CLC)。保护过程如下:
(1)由密码箱生成对称密钥作为内容密钥。
(2)客户端从客户端许可证书中取出授权服务器的公钥。
(3)客户端使用服务器的公钥加密内容密钥,加密的内容密钥只能由服务器的私钥所解密。
(4)客户端使用客户端许可证书的公钥对内容密钥再进行一次加密,从而再次获得一个加密后的对称密钥。需要注意的是,在离线和在线发布不同是离线发布过程中对内容进行了两次加密。
(5)两个加密后的对称密钥同时被放到发布许可中。
(6)客户端使用权限账户证书中的私钥解密客户端许可证书中的私钥。
(7)客户端使用CLC的私钥签署发布许可。
(8)支持AD RMS的应用程序将发布许可合到受保护的文档中。
3.受保护文档的使用过程
使用受保护文档的具体过程如下。
(1)客户端将权限账户证书和文档的发布许可发送到颁发发布许可的授权服务器。
(2)授权服务器使用其私钥解出发布许可中的内容密钥。
(3)授权服务器使用权限账户证书中用户的公钥加密内容密钥。
(4)把加密的内容密钥和用户的使用权限添加到使用许可中。
(5)授权服务器使用其私钥签署使用许可。
(6)作为响应,将该使用许可发送给客户端。
(7)密码箱使用计算机的私钥解密保存在权限账户证书中和用户私钥。
(8)密码箱使用用户的私钥解密内容密钥。
(9)密码箱使用内容密钥解密被加密的受保护内容。
使用服务器的公钥所加密的内容只能由服务器的私钥来解开。
(7)服务器将用户的密钥对存储到AD RMS的数据库中,该权限账户证书就是以后该用户进行申请各种使用许可的证书。
上述部分内容来自:http://book.51cto.com/art/200903/116728.htm;https://technet.microsoft.com/zh-cn/library/cc772403.aspx
在企业内部搭建一套rms系统来保护内部机密文件是很有必要的,然而rms的安全、稳定、高可用优势至关重要的,因为如果rms系统出现故障很可能导致加密了的文件会读取不了,其高可用重要性就不言而喻了。对于现在的趋势“移动为先,云为先”,创建内部加密系统加密上传到公有云中的文档也是一个很不错的选择,相信未来很多企业也会采取此措施来防止企业信息外泄的。闲话少说言归正传,让我们开始本次实验之旅吧!
本次实验拓扑环境如下:
环境简单说明:一台ad服务器rms-ad01,两台rms服务器rms01、02,两台sql服务器rms-sql01、02。两台rms服务器组成一个群集,确保一台出现问题后,另外一台可以马上启用,同样道理,后端的sql服务器做成Alwayson。本次实验采用系统是:Windows Server 2012 R2 Datacenter+SQL 2012 。
更多详细情况请参考“AD RMS高可用(二)为rms服务器申请证书”。我们下一章节再见。
本文转自 月缺 51CTO博客,原文链接:http://blog.51cto.com/yueque/1616083,如需转载请自行联系原作者