目录
1.RMS认证机制 (1)
1.1.RMS所使用的技术 (1)
1.2.RMS的工作方式 (1)
1.3.RMS的实现方法 (2)
1.3.1.RMS的组件 (2)
1.3.2.RMS文档的发布过程 (2)
1.4.RMS应用存在的问题 (2)
1.5.可行的解决方法 (3)
2.汽车企业RMS应用 (3)
2.1.环境 (3)
2.2.加密文档类型 (4)
2.3.验证机制 (4)
寻星房车
2.4.功能缺陷 (4)
潍坊网上车管所2.5.实现过程 (4)
2.5.1.如何建立策略模板文件 (4)
2.5.2.策略模板文件如何绑定共享文件 (5)
1.RMS认证机制
1.1.RMS所使用的技术
RMS是采用对文档加密的方式来实现权限的管理的。所有文档都经过对称加密,所采用的算法是ASE对称加密算法,其存放在储存介质上都是用密文的方式存放。这样就把文档的权限管理转变成了对密钥的管理,其对密钥的管理所采用的是XrML标准,其中用到了公钥加密及数字签名技术,采用的算法RSA算法。整个
系统运行在windows 活动目录域内(DC),所有用户和计算的验证都由DC完成。
1.2.RMS的工作方式
RMS的工作由RMS服务器和已经获得证书的用户和计算机完成。其工作方式大致分为四个步骤。
1)文档创建后连同权限设置的信息使用对称加密生成密文,然后把对称密码的密钥联同主体信息向服务器发送申请发布许可。网络传输的数据都采用密文传输。
2)服务器经过身份验证后返回给作者发布许可。
3)使用者得到文档后向服务器申请使用许可。
4)使用者得到许可后,解密文档并根据相应的权限使用文档。
1.3.RMS的实现方法
1.3.1.RMS的组件
RMS的工作组件包括RMS服务器端、RMS客户端和支持RMS应用程序软件。
1) RMS服务器端包括证书服务器和许可服务器。整个RMS系统工作在windows
活动目录域上(DC),所有对用户和计算机的认证都是通过活动目录域服务器完成。证书服务器通过DC给用户及计算机颁发证书,许可服务器通过DC及证书服务器给文档颁发许可。用户证书包括可信任主体、一对密钥对和服务器签名,其中用户的私钥是用计算机的公钥加密的,所以用户证书是和特定计算机相关联的。计算机证书也有一对密钥对,私钥是存储在计算机密码箱中的。
2) RMS客户端包括计算机密码箱和计算机证书,其中密码箱中存储着计算机证
书的私钥同时完成生成对称密钥的功能。客户端提供给RMS应用程序软件提供加密解密服务和向服务器申请许可的功能。
3) RMS应用程序软件根据特定文档的RMS权限给授予特定用户相应的文档操作
权限。包括文档只读、修改、转发和打印等权限。
节气门多久清洗1.3.
5万元以下新车2.RMS文档的发布过程
根证书服务器同时具备证书服务和许可服务两种角。根证书服务器首先生成自己的密钥对,并且需要向微软的服务器注册。当有用户或计算机向服务器发出RMS请求时,服务器给用户或计算机颁发证书。
当用户创建文档并添加权限后,由计算密码箱生成对称密钥对文档加密然后向服务器申请文档发布许可,许可服务器给文档颁发发布许可。发布许可的内容包括用服务器公钥加密的权限和对主体的签名。应用程序得到发布许可后和加密文档整合后通过各种渠道发送给使用者。使用者接收到文档后则向服务器申请使用许可,使用许包括使用主体的说明和对文档解密的对称密钥同时还具有签名。应用程序软件得到使用许可后对文档进行解密并根据文档权限给予用户相应的使用
操作权限。
1.4.RMS应用存在的问题
RMS只能针对一般对文档安全程度要求不高的企业具有可行性,对于政府部门或者一些相应的军工企业其可行性还存在着一些问题,具体表现如下:
1、如果需要使用微软的RMS则必须要向微软的服务器注册,虽然其声称只是用证书服务器的公钥注册但难于保证服务器所生成的密钥对是否留有后门。即所选用的密钥对既符合RES算法又可以通过特定的公式由公钥推导出私钥来。
2、所有身份验证都是通过活动目录域完成的,而DC的验证只需要提供用户和密码,在X.509标准中属于弱安全认证方式,安全级别相对较抵。
3、密码箱存储在计算内,有可能通过调试工具出计算机私钥来。另计算机私钥可以对任何的文档进行加密和签名,由于采用的是RES算法,则有可能通过选择明文攻击方法破解计算密钥对。
4、目前针对不同的文档权限保护相应的应用程序支持程度较弱(支持RMS的只有Office),功能也相较为单一,如不能支持不用用户对文档的不同部份的权限管理。同时业界也缺乏相应的标准,使得每一种应用程序都要针对不同的权限管理系统做一次二次开发。
1.5.可行的解决方法
现在电子政务对信息安全的要求非常高,由于安全的原因所使用的office工具大多为WPS,但WPS的权限服务又必须通过internet上的服务认证使用,而政府部门又要求内网与外网物理隔离,所以WPS也不能满足要求。企业的OA和ERP系统都存在着大量的文档权限保护要求,所以有必要考虑采取一种新的文档权限管理解决方案。
1、架设自己的权限管理服务器可以避免使用微软RMS系统所需要的注册。
2、采用IC卡加用户口令的身份认证方式。密码箱存储在IC卡内,密钥的生成也由IC卡计算完成、同时IC卡可与工作证集成为一体,计算机采用读卡器识别。
3、只针对不同用户的签名采用不同的杂凑密钥进行数字签名,防止通过选择明文攻击方法破解IC卡
内密钥对。
4、文档权限管理的,应用软件接口标准尽早出台。使不用应用软件的开发商可以遵循统一的标准开发权限管理功能。
成都汽车俱乐部2.汽车企业RMS应用
2.1.环境
SQL SERVER 2008 + Windows server 2008 R2 + Sharepoint 2010。
2.2.加密文档类型
开发的部分支持的文件类型:Pdf、txt、jpg格式。
2.3.验证机制
在文件服务器上,设置所需加密的共享文件夹及访问权限,在共享文件夹下放置权限策略模板文件(xml格式),这些策略模板与RMS的权限策略模板一致。当文件(pdf、txt、jpg格式)拷贝到共享文件夹或子目录下时,会自动生成一个新的对应文件格式,*.pdf→*.s、*.txt→*.s、*.jpg→*.
2.4.功能缺陷
1、文件只能只读形式打开;
2、打开加密的文件或者上传文件,必须安装Lockr客户端;
3、权限只能控制查看、打印权限,任何人都不可再编辑文档;
2.5.实现过程
2.5.1.如何建立策略模板文件
建立了sharepoint文档库,用来存储模板文件,模板文件使用表单形式,自动生成,具体形式如下图
速派奇电动车价格表
保存后,将出现一个xml文件中文档库中。Xml自身文件的权限利用sharepoint自带权限进行控制。
2.5.2.策略模板文件如何绑定共享文件
开发了一套文件管理器webpart,
如果当前选中节点为根节点”文件服务器”,点击”创建目录”则会弹出”注册文件服务器”对话框。