Архитектура IRM и RMS представляет собой управляемую веб-службу, которая использует ASP.NET, протокол запроса/ответа HTTP SOAP и язык XrML (eXtensible rights Markup Language), что позволяет организациям создавать и развертывать собственные решения защиты информации.
Основой технологии Windows RMS является серверный компонент, который управляет сертификацией доверяемых объектов, лицензированием защищенной информации, подачей заявок для серверов и пользователей, а также выполняющий административные функции. Серверное программное обеспечение облегчает прохождение шагов по настройке, которые позволяют доверяемым объектам использовать защищенную информацию.
Публикация и использование защищенной информации выполняются следующим образом.
1. Перед тем, как авторы смогут защитить свой документ, им необходимо подать заявку в систему RMS и получить на свой компьютер защищенное хранилище, RAC и сертификат издателя клиента. RAC (Rights management account certificates) — это управление правами учетных записей, представленное сертификатами, с помощью которых устанавливается соответствие между учетными записями пользователей и определенными компьютерами.
2. Используя RMS-совместимое приложение (например, Office Professional 2003), автор создает файл и устанавливает для него права и условия использования.
3. После этого приложение шифрует файл с помощью симметричного ключа, который в свою очередь шифруется с помощью открытого ключа RMS-сервера автора. После чего ключ добавляется в лицензию на публикацию, которая в свою очередь добавляется в файл. Только RMS-сервер автора может выдавать лицензии для дешифрования файла.
4. Автор распространяет файл.
5. Пользователь получает защищенный файл обычным способом и открывает его с помощью RMS-совместимого приложения или обозревателя. В случае, если на компьютере или устройстве получателя нет сертификата учетной записи, то сертификат будет выдан (при этом предполагается, что у получателя есть доступ к корневому RMS-серверу и имеется учетная запись на предприятии).
6. Приложение запрашивает лицензию на использование у сервера, который выдал лицензию на публикацию защищенных данных. В запрос включен сертификат учетной записи получателя (в котором содержится открытый ключ получателя) и лицензия на публикацию (содержащей симметричный ключ, с помощью которого шифровался файл). В лицензии на публикацию, выданной сертификатом лицензиара клиента, содержится URL-адрес сервера, который выдал сертификат. В этом случае запрос лицензии на использование направляется RMS-серверу, который выдал сертификат лицензиара клиента, а не компьютеру, выдавшему лицензию на публикацию.
7. RMS-сервер лицензирования проверяет имя пользователя, подтверждает подлинность получателя и создает лицензию на использование. Во время это процесса сервер дешифрует симметричный ключ с помощью закрытого ключа сервера, повторно шифрует его с помощью открытого ключа получателя и добавляет его в лицензию на использование. Кроме этого, сервер добавляет в лицензию на использование такие соответствующие условия, как срок истечения, исключение определенных приложений или операционных систем. После этого только тот пользователь, кому предназначена эта информация, сможет дешифровать симметричный ключ, тем самым, дешифруя защищенный файл.
8. После завершения проверки подлинности сервер лицензирования возвращает лицензию на использование клиентскому компьютеру получателя.
9. После получения лицензии на использование приложение проверяет как лицензию, так и сертификат учетной записи получателя для определения того, имеется ли в доверительной цепочке сертификат, который необходимо проверить в списке отзыва. Если такой имеется, то приложение проверяет наличие локальной копии списка отзыва, срок действия которого еще не истек. В случае необходимости приложение получает копию действующего списка отзыва и после этого соблюдает все условия отзыва, которые применены в данном случае. Если нет ни одного условия отзыва, которое бы блокировало доступ к файлу, приложение предоставляет данные пользователю, после чего он может с ними работать в соответствии с теми правами, которые были ему предоставлены. Наверх страницы
Список литературы
1. Защита информации в Microsoft Office 2003 с помощью служб RMS и IRM. — http://4win.ru/engine/print.php?newsid=217&news_page=1