基于Windows文件权限管理AD RMS应用.docVIP

基于Windows文件权限管理AD RMS应用 　　摘 要：保护文件安全是现代企业管理的重要工作，微软公司随操作系统提供的AD RMS通过数字证书和用户身份验证技术对各种Office 文档的访问权限加以限制，可以有效防止未经授权的用户通过各种途径擅自泄露机密文档内容，从而确保数据文件访问的安全性。 　　关键字：AD RMS；文件权限管理，访问安全性 　　中图分类号：TP391.1 文献标识码：A 文章编号：2095-2163（2015）01- 　　Abstract ： Protecting the security of the files is an important work for modern enterprise management. Microsoft provides AD RMS with the operating system. The AD RMS can limit the visit authorities of all kinds of office documents through digital certification technology and identification authentication technology for user， which could effectively prevent unauthorized users disclose confidential document content without permission by the various ways， therefore ensure the safety of data file access. 　　Keywords： AD RMS； File Authority Management； Access Security 　　0 引 言 　　信息安全在信息化高速发展的今天尤为重要，如何保护好企业内部的机密信息不为外界窃取已经成为关键工作，如果机密的技术文档或财务资料出现了外泄，必将会给企业造成巨大的损失[1-2]。如何加强文档安全管理，限制文件的打印、复制、粘贴等常规操作，以及防止未经授权的用户对文档进行访问，则已成为企业信息安全的重要任务。微软的RMS（Rights Management Services，权限管理服务）服务通过数字证书技术和用户的身份验证技术对重要或敏感的Office文档信息进行权限管理，避免员工通过各种途径泄露企业的机密信息，以提高数据信息的安全性。 　　RMS服务早在Windows Server 2003操作系统中即已有所应用， Windows Server 2008操作系统又将RMS服务实行了一定改进，且与Active Directory及其联合身份验证等服务配合应用，功能更加强大，正式命名为AD RMS（活动目录权限管理服务），本文将以Windows Server 2008 R2系统为例完成AD RMS环境的搭建和测试[3]。 　　1 构建AD RMS环境 　　AD RMS属于典型的服务器/客户端结构，完整的AD RMS系统包括AD RMS客户端和AD RMS服务器端。其中，客户端需要安装支持AD RMS的应用程序Office供用户创建和使用文件，服务器端则负责为信任实体颁发证书、授权服务，并为使用AD RMS保护的文档授权。 　　1.1 AD RMS的工作流程 　　AD RMS的工作流程如图1所示。用户在执行第一次保护文件时，会首先从AD RMS服务器获取一个CLC（Client Licensor Certifcate）证书。用户拥有此证书后，即使在离线状态，依然可以使用该证书实现文件保护。 　　由图1可见，AD RMS工作流程的具体解析如下： 　　（1） 用户tom使用AD RMS客户端应用程序创建文件，并执行保护文件工作，即设置可使用此文件的用户及权限。同时，还创建发布许可证，发布许可证包含文件使用权限、使用条件和解密密钥。 　　（2） 用户jerry使用AD RMS客户端应用程序打开文件时，会向AD RMS服务器发出索取使用许可证的请求。AD RMS服务器通过发布许可证中的信息来确认用户jerry是否有权访问该文件；确认其拥有访问权限后，服务器将会创建包含文件使用权限、使用条件和解密密钥的用户请求的许可证，再将许可证传递给用户jerry。 　　（3） 用户jerry的AD RMS客户端应用程序接收到服务器发来的许可证后，使用许可证中包含的解密密钥来解密文件并打开文件[4]。 　　1.2安装AD RMS服务器的准备 　　在Windows Server 2008 R2系统安装AD RMS服务要满足以下软件要求：安装