Архитектура IRM и RMS
- Лицензии на публикацию, которыми определяются права и условия использования. Доверяемые объекты могут использовать простые средства, включенные в состав RMS-совместимых приложений, для назначения особых прав и условий использования их информации, согласованными с политиками деятельности их организации. Права и условия использования указаны в опубликованных лицензиях, в которых перечислены авторизованные служащие, которым разрешен доступ к информации, а также определен порядок использования информации и предоставление ее для совместной работы. Для назначения прав и условий использования служба RMS использует язык XrML (eXtensible rights Markup Language) версии 1.2.1, основанный на языке XML.
- Лицензии на использование, определяющие принудительное применение прав и условий использования. Каждый доверяемый объект, выступающий в роли получателя защищенной информации, при попытке ее открытия запрашивает и получает от RMS-сервера лицензию на использование, причем это выполняется незаметно для получателя. Лицензия на использование предоставляется авторизованным получателям, определяя для них права и условия использования информации. RMS-совместимые приложения используют возможности технологии Windows RMS для чтения информации, обработки и принудительного применения прав и условий использования, определенных в лицензии на использование.
- Шифрование и ключи. Защищенная информация всегда зашифрована. RMS-совместимые приложения используют симметричные ключи для шифрования информации. Все RMS-серверы, клиентские компьютеры и учетные записи пользователей имеют пару RSA ключей (открытый и закрытый ключи) размером 1024-бит. Windows RMS использует открытый и закрытый ключи для шифрования симметричного ключа, хранящегося в публикуемых и используемых лицензиях, а также для подписания лицензий и сертификатов на основе XrML, используемых для управления правами, что позволяет предоставлять доступ только доверяемым объектам.
- Шаблоны политики прав. Администраторы могут создавать и распространять официальные шаблоны политики прав, назначая определенным служащим права и условия использования. Для получения более подробной информации обратитесь к разделу "Использование шаблонов политики прав". Использование шаблонов в организации позволяет управлять информацией, приводя ее к упорядоченному иерархическому виду. Например, для служащих организации можно создать шаблоны политики прав, указав в них различные права и условия использования конфиденциальной информации компании, засекреченных и частных данных. Эти шаблоны могут использоваться RMS-совместимыми приложениями, что позволяет служащим легко и последовательно применять к информации предопределенные политики.
- Списки отзыва. Администраторы могут создавать и распространять списки отзыва, в которых указываются доверяемые объекты, ставшие ненадежными, из-за чего они были удалены из системы RMS и стали недействительными (к доверяемым объектам относятся индивидуальные пользователи, группы пользователей, компьютеры или программы, которые являются доверенными участниками системы RMS). Список отзыва, распространяемый в организации, позволяет сделать недействительными определенные компьютеры или учетные записи пользователей. Например, в случае увольнения работника все связанные с ним доверяемые объекты могут быть добавлены в список отзыва, из-за чего они больше не будут использоваться в операциях, связанных с RMS.
- Политики исключения. На стороне сервера администраторы могут применять политики исключения. Эти политики позволяют запретить обработку запросов лицензий, которые основаны на идентификаторе пользователя (учетных данных, используемых для входа в Windows, или паспорте .NET), сертификате, определяющего права учетной записи, или на версии защищенного хранилища, управляющего правами. Политики исключения запрещают обработку новых запросов лицензий, подаваемых ненадежными доверяемыми объектами, но в отличие от отзыва, политики исключения не делают недействительными доверяемые объекты. Администраторы также могут применить политику исключения к потенциально опасным или ненадежным приложениям, благодаря чему исключается возможность расшифровки защищенной информации этими приложениями.
- Ведение журнала. Администраторы могут отслеживать и проверять использование защищенной информации в пределах организации. RMS обеспечивает поддержку ведения журнала, благодаря чему в организации имеется запись действий, связанных с использованием RMS, включая записи о выдаче или запрете выдачи лицензий на публикацию и использование.