摘要: Smartlcok v2.0是一款文档(内容)权限管理系统,用于保证文档(or 邮件)内容在共享使用过程中的安全,使文档(或邮件)内容能够在正确的时间,被正确的人以正确的方式使用,从而达到了按照角色授权,分等级保护文档之目的,防止文档非法使用,杜绝了不当的...
Smartlcok v2.0是一款文档(内容)权限管理系统,用于保证文档(or 邮件)内容在共享使用过程中的安全,使文档(或邮件)内容能够在正确的时间,被正确的人以正确的方式使用,从而达到了按照角色授权,分等级保护文档之目的,防止文档非法使用,杜绝了不当的泄密行为,保护了企事业单位的核心秘密。
该文档权限管理系统对微软RMS Service进行了拓展和延伸,其基本架构与微软RMS保持一致。整个软件架构为C/S工作模式,以B/S方式进行管理。
其中运行在windows 2003 上的rms service作为Smartlock v2.0的服务器,rms client作为smartlock v2.0的客户端。
Smartlock v2.0 服务器端(RMS server)
1、Microsoft Windows Rights Management Service(RMS)是微软最新推出的基于Microsoft Windows Server 2003操作系统系列产品之上的服务组件,它与日常办公所使用的应用程序协作来保护数字内容,专为那些需要保护敏感的Web内容、文档和电子邮件的单位和用户而设计。它将Windows RM客户端和服务器技术综合起来,可以提供创建受RM保护的内容、授权和分发受RM保护的内容、获取许可并打开受RM保护的信息,并可以将信息安全策略在企业内部快速部署。
2、RMS确定出可信的实体包括用户、用户群、计算机和应用软件,他们可以分享一个机构的RM系统。RMS向可信实体发布数字证书,授权受保护信息,登记服务器和用户,而且完成事件日志功能。可信实体被授予许可,这使他们能设置策略并访问受保护的内容。
3、可信实体由RMS发布的数字证书进行身份鉴别,他们可以创建使用权限并被其控制。这些权限使用户可以拷贝、打印、转送、修改等等。使用权限也可以被控制为过期,从而拒绝所有对内容的访问。
4、当一个可信实体(例如一个用户)将使用权限赋给内容时,他向RMS要求一个发行许可。发行许可将使用权限与内容捆绑,发行许可由XrML(Extensible Rights Markup Language,可扩展权限标示语言)描述。XrML是用于描述赋与数字化内容权限的一个建议标准,其内容也会被加密。此后,受保护内容的接受者申请使用许可。使用许可检查发行许可中的策略,并在本地应用这些策略。只有使用许可确认了接受者是一个向RMS注册的有效可信实体之后,受保护信息才会被解密。这样,即使用户偶然向企业可信实体网络之外的某人发送了受RM保护的信息,该信息仍然会处于一个不可读的混乱密码文本状态。
5、RMS实现权限保护的工作流程如下图:
6、如上图所示,一般情况下,客户端计算机必须连接到内部网络中才可以获得受RM保护内容的发布许可。如果在客户端计算机未连接到内部网络的情况下使用这些计算机发布受RM保护的内容,则需要进行客户端注册,使用许可证书在未连接到内部网络的情况下发布受RM保护的内容。文档的作者可以使用RMS客户端应用程序(比如Office 2003)来设置与企业的业务策略相一致的内容使用权限和条件。接收了RM保护内容的每个用户均可以通过Windows RMS请求和接收用户许可证,其中列出了该用户使用该内容时的使用权限和条件。RMS客户端应用程序(如Office 2003)可以使用Windows RM技术来读取、解释和实施使用权限和条件。支持RM的应用程序使用对称密钥加密内容,所有Windows RMS服务器、客户端计算机和用户账户都具有相关联的1024位的RSA密钥。
7、IT管理人员可以为用户创建和分发文档定义使用权限和条件的权限策略模板。例如,可以为员工创建权限策略模板,以便对本单位的机密信息按照不同部门的访问能力单独分配使用权限和条件。对于那些要为其内容建立文档分类层次结构的组织而言,这些模板提供了一种便于管理的方法。同时,Windows RMS支持日志记录,管理员可以跟踪和审计组织内受RM保护内容的使用情况,以便记录RM的活动情况
Smartlock v2.0 客户端 (RMS Client)
1、Windows RM 客户端组件是一套可用于开发支持 RM 的应用程序接口。支持 RM 的应用程序既可用于发布受 RM 保护的内容,又可用于使用这些内容。RM 系统中的每台客户端计算机都必须装有 Windows RM 客户端组件。Windows RM 客户端组件是计算机激活的前提条件,也是使用支持 RM 的应用程序所必需的。Windows Rights Management 客户端可以安装在任何运行 Windows 98 Second Edition 或更高版本操作系统的计算机上。此版本不支持较早的 Windows 操作系统。
2、支持 RM 的应用程序允许内容作者将使用权限以发布许可证的形式附加到其创建的文件中,以控制内容的使用方式。支持 RM 的应用程序还可处理加密的文件信息,并允许用户根据发布许可证中定义的权限使用该内容。
3、目前,支持MS RMS的典型的客户端应用包括微软的 WSS/MOSS,OFFICE2003/2007,OUTLOOK,IE,Media Player,vista等。
4、通过使用 Windows RM 客户端 SDK,开发人员可以建立支持 RM 的应用程序,以授权、发布和使用受 RM 保护的内容。可以为运行 Microsoft® Windows® 98 Second Edition 或更高版本的计算机开发支持 RM 的应用程序。
5、开发人员还可以使用 Windows Rights Management 服务 SDK 来建立支持 RM 的服务器应用程序。这应用程序可以发布内容,但不能使用内容。
6、为了更好地解决企业内部和外部大量知识文档需要权限管理的问题,我们使用微软的RMS (Rights Management Service)信息权限管理架构,扩展了RMS所支持的文档格式,使得用户在Microsoft RMS 技术框架下,既可以保护MS Office文档,邮件(Outlook Web Access (OWA) 客户可以使用适用于 Internet Explorer 的权限管理插件来使用受 RM 保护的电子邮件),也可以保护图档文件,包括pdf、bmp,jpeg,gif,dwg,dwf等等,理论上,扩展后的RMS技术框架,可以保护所有格式的文档。
功能特色
◆架构
Smartlock v2.0基于微软RMS,架构灵活,易于大规模部署。能轻易支持20万以上的用户。
可跨地域多级分布式部署,每个分支机构均可使用独立的权限服务器,可统一设置多台服务器的配置和授权策略,实现统一安全管理。
◆应用广泛
Smartlock v2.0基于微软的RMS,与微软的MS Office,vista,IE,outlook,WSS/MOSS等内置的RM自然协同,无须定制开发就可实现文档的权限管理。
◆全过程控制
Smartlock v2.0 可实现文档在全生命周期内受到控制和保护,使文档在创建,发布,使用,作废,销毁过程中,均可控,从而达到全过程保护文档之目的。
◆客户端自激活
Smartlock v2.0使用微软RMS client,在第一次使用rms client功能时,客户端自动激活。
◆系统稳定
Smartlock v2.0 基于微软RMS架构,系统稳定行强,客户端使用微软的rms client,服务器端使用微软windows 2003 server的RMS service,避免了定制客户端所带来的不稳定因素,对用户的应用系统没有负面作用,让用户安心。
◆与AD域整合
Smartlock v2.0 整合了微软Acitive Directory 域控,使用户(组)的管理和维护变的统一,减少了管理员对人员、帐户、角色的维护工作。
◆支持丰富的文档格式
Smartlock v2.0支持MS Office
全系列格式,图片,PDF,2D/3D CAD/CAM图纸,flash,html,音频,视频等多种常见应用格式。
◆丰富的专用格式保护模块
针对不同的文档格式,有对应的文档保护模块供用户选择。
针对不同的设计软件,有对应的权限定义模块与之对应。
◆支持定制格式开发
对于非主流的专用格式,Smartlock v2.0提供API,支持对非主流的专有文档格式的权限管理。
◆支持Autodesk 公司的AutoCAD 2008
◆支持Adobe Acrobat ,Adobe reader
◆支持UG,Pro/E
◆支持对设计软件系统或者其他应用系统的嵌入式权限管理开发
能够很好在其他应用系统中,使用rms sdk实现文档内容权限管理的定制开发,接口标准规范而且开放。
◆文档管理
Smartlock v2.0通过与WSS3.0/MOSS2007 的绑定,可完美实现文档管理功能,使文档的审批,草稿管理,版本控制等功能自然导入用户的业务习惯,丰富了用户对文档的管理手段。
◆支持服务器群
Smartlock v2.0 支持服务器群,支持负载均衡和多机热备,从而保证了系统的安全稳定。
◆禁止拷屏
受保护文档在打开时,操作系统能够自动禁止拷屏行为。
◆保护临时文件
受保护文档在打开时所产生的临时文件也是受保护的。
◆保护内存
受保护文档在打开时,内存自动受保护,防止针对内存的非法操作行为。
◆控制编程访问受保护文档
可以禁止编程访问已经打开的受保护的文档内容。
◆允许离线使用
允许文档的合法使用者在不连接单位的RMS服务器的情况下,使用受控文档。
◆允许离线发布(授权)
允许文档作者在离线状态下针对相关人员定义使用权限。
◆允许分级管理
可以根据业务情况,分级设置超级管理员,部门管理员等,实现分级管理
◆灵活的授权方式
允许文件作者单独对某一用户(或群组)授权;同时,文档作者也可以使用管理员制定的统一文档访问权限策略。
◆遵守SOAP协议,支持LDAP。
◆支持第三方身份认证方式
◆支持Microsoft Midea DRM 标准
◆支持Mircrosoft OOXML文档格式标准
◆支持XrML 权限标记语言
◆支持x.509 数字证书标准
如果您想更深层次了解本文提到的产品,欢迎和我联系。
网路游侠(www.youxia.org) QQ:55984512,邮件:zbc98@163.com
