Windows Server 2012 RMS介绍

【摘要】此文章为大家介绍的是一款简单，好用，免费，效果还不错的安全软件，属于Windows Server系统中的一个角色，那就是ADRMS，微软文档安全管理服务(RMS)：Right Management Service，主要针对于office文档的加密和权限控制，比如：打开这些文档时多了一部身份验证的过程，意味着对这些文档的安全性有一个很好的掌控，唯一遗憾是，RMS与Windows Live ID集成功能因为一个不可解决的问题，官方已经关闭了此服务。【正文】RMS最开始从Windows Server 2003引入，在2003系统使用RMS需要独立安装。从Windows Server2008开始，RMS的环境整合到AD中，从而RMS也称ADRMS，ADRMS可以支持office的应用程序，也可以支持PDF等应用程序。

1部署简述
ADRMS的部署存在基本运行环境，同时运行ADRMS做一个管理时是以群集为单元，所以在RMS部署中会部署RMS群集，群集中包含两台不同的服务器，从而实现负载平衡以及冗余的功能，一般可通过DNS轮询来实现。
在构建好RMS群集环境后，便可查看最终用户是如何使用RMS运行环境，从而去实现对文档权限的控制，即使文档被拷贝出去，对文档的权限设置依然是处于有效状态。

2原理及架构介绍
RMS基础架构如下：




首先我们打开的office文档要能支持RMS的应用程序，企业中必须存在RMS服务器，在打开文档需要输入用户名和密码的情况，实际上就是连接到RMS服务器。其中，RMS的权限配置信息也会保存在数据库中。

假设场景进行说明，更为容易理解其工作过程：
a.用户名A设置




在此基础架构中，用户A使用RMS保存加密文档，需要使用自己的用户登陆到RMS，首次登录时，RMS会为用户A颁发两张证书：客户端证书（CLC）和权限用户证书（RAC），这两张证书的信息会保存到RMS数据库和客户端本机上。
此时，用户A就可以选择指定用户对指定的文件做特定的访问。
b.用户A设置完成并保存后，文档处理过程




阶段一：
文档会使用随机的密钥key（128位，AES加密方式）将文档变成密文---此随机的密钥key会由RMS服务器证书SLC（该证书在创建和配置RMS时自己生成的自签名证书）进行加密。

阶段二：
在完成文件加密过程后，对于文件来说，需要做一个权限访问列表，例如：哪些用户可以访问、哪些用户可以打印、哪些用户可以复制。对于该权限列表，在保存文档时（该列表在本地也是存在的）也会使用RMS服务器证书SLC对该列表也会进行加密，除了SLC，还有客户端证书CLC的公钥对如上所说的整体做加密。
加密完成后，访问的信息也在文件当中。最终用户保存的文件便是如此：密文以及加密的key也做了加密，访问的权限也做了加密。

c.文件传播后
用户B得到该文件，能够正常看到该文件（因为该文档程序支持RMS，因此可以读懂这些信息，可以看到该文档为加密）----然后可以读取RMS服务器地址（也就是找到许可访问的入口）----RMS服务器查看文件的访问的信息，因为这些信息也会保存在数据库中，所以可以通过数据库查看这些信息。

用户B首次打开文档也要输入用户名和密码进行登陆，登陆时也会有自己的客户端证书（CLC）和用户证书（RAC），获取这些证书后，请求打开用户A传递过来的文档，所以会把自己的RAC提交（也就是个人用户信息）到服务器。

RMS服务器先去解密访问列表：该列表会和需要去打开该文档的用户B进行对比，发现列表当中是有用户B，接下来对文件进行解密。然后把解密的这部分信息通过网络传
递（传递前先做解密，解密后再用RAC公钥做一次加密）到RMS服务器上，最终传递到用户B的计算机上。
传递完成后，RAC的私钥会对文件进行解密，解密后即可获得用户B自己的访问权限。