Архитектура IRM и RMS
Компоненты RMS
Наряду с пакетом средств разработки (Software Development Kit, SDK) технология RMS включает в себя следующее программное обеспечение:
- Серверное программное обеспечение Windows RMS представлено веб-службой Windows Server 2003, которая управляет сертификацией доверяемых объектов на основе XrML, лицензированием защищенной информации, подачей заявок для серверов и пользователей, а также выполняет административные функции.
- Клиентское программное обеспечение Windows Rights Management представлено группой интерфейсов прикладного программирования Windows API, которые облегчают процесс активации компьютеров и позволяют RMS-совместимым приложениям работать с RMS-сервером для предоставления лицензий на публикацию и использования защищенной информации.
- Пакет SDK для серверного и клиентского компонентов включает в себя документацию и примеры программного кода, которые позволяют разработчикам программного обеспечения настраивать окружение Windows RMS-сервера, а также создавать RMS-совместимые приложения.
Серверное программное обеспечение RMS
Основой технологии Windows RMS является серверный компонент, который управляет сертификацией доверяемых объектов, лицензированием защищенной информации, подачей заявок и предварительной подачей заявок (sub-enrollment) для серверов и пользователей, а также выполняющий административные функции. Серверное программное обеспечение облегчает прохождение шагов по настройке, которые позволяют доверяемым объектам использовать защищенную информацию. Ниже указаны возможности, обеспечиваемые серверной частью RMS:
- Настройка доверяемых объектов. Технология Windows RMS предоставляет средства для установки и настройки серверов, клиентских компьютеров и учетных записей пользователей в качестве доверяемых объектов системы RMS. При этом выполняется:
- Подача заявки для сервера. Подача заявки для сервера является частью подготовительного процесса. Во время подачи заявки для сервера открытый ключ отсылается из корневого RMS-сервера организации в службу подачи заявок RMS Server Enrollment Service корпорации Microsoft. Служба подачи заявок создает и возвращает XrML сертификат лицензиара, соответствующий открытому ключу организации. Служба RMS Server Enrollment Service не выдает пары ключей (открытый/закрытый ключ) корневому серверу организации, она просто подписывает открытый ключ. Службу RMS Server Enrollment Service нельзя использовать для разблокировки данных, создаваемых в организации. Во время данного процесса проверка подлинности не производится.
- Предварительная подача заявок для сервера. После того, как в организации будет настроен корневой сервер установки для системы RMS, можно выполнять предварительную подачу заявок и настройку дополнительных серверов, которые будут частью системы. В процессе предварительной подачи заявок для сервера устанавливаются основанные на XrML сертификаты, которые позволяют дополнительным серверам выдавать доверяемые системой RMS лицензии.
- Активация клиентского компьютера. Для того, чтобы клиентские компьютеры могли использоваться в организации для создания и получения доступа к защищенной информации, должна быть произведена их активация. Во время этого процесса (выполняемого однократно) клиентскому компьютеру выдается уникальное защищенное хранилище RMS. Защищенное хранилище RMS обеспечивает принудительную защиту информации на стороне клиентского компьютера. Оно является уникальным для каждого компьютера и не может быть использовано на другом компьютере.
- Сертификация пользователей. Организациям необходимо идентифицировать сотрудников, которые выступают в качестве доверяемых объектов в системе RMS. Для этих целей служба Windows RMS выдает основанные на XrML сертификаты для управления правами учетных записей, называемые также RAC (Rights management account certificates), с помощью которых устанавливается соответствие между учетными записями пользователей и определенными компьютерами.
Рисунок 6 – Процесс получения RAC (выполняемый однократно)Наличие сертификатов позволяет служащему получать доступ и использовать защищенные файлы и информацию. Каждый уникальный сертификат содержит открытый ключ, используемый для получения лицензии на использование информации, предназначенной для этого служащего.
- Подача заявок для клиентского компьютера. Иногда для публикации защищенной информации необходимо использовать клиентские компьютеры, не подключенные к корпоративной сети. В этом случае необходимо запустить локальный процесс подачи заявок. Клиентские компьютеры подают заявку серверу корневой инсталляции или серверу лицензирования службы RMS и получают от них сертификаты лицензиара клиента, управляющие правами. Это позволяет служащим публиковать защищенную информацию с этих компьютеров без необходимости подключения к корпоративной сети.