微软RMS常见问题解答之证书密钥和加密篇-服务器专区

微软RMS常见问题解答之证书密钥和加密篇

作者：泉之源整理编辑：杨晓勇 2009-05-31 09:24 来源：IT168�

　　【IT168 专稿】Microsoft Windows Rights Management Services（权限管理服务，简称 RMS）是一种信息保护技术，它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术（包括加密、证书和身份验证），RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随（无论信息到达何处）的信息保护，RMS 扩充了组织的安全战略。

　　本文介绍RMS的有关证书、密钥和加密部分常见问题解答。

　　1、RMS 中使用什么加密算法？

　　RMS 对 RMS 服务器使用 2048 位 RSA 密钥，对用户和计算机密钥对使用 1024 位 RSA 密钥。

　　2、RMS 是否使用经过 FIPS 认证的加密？

　　在 RMS Service Pack 1 或更高版本中，如果 RMS 客户端安装在运行 Windows XP 或 Windows Server 2003 的计算机上，则由该客户端应用程序生成的密码箱使用经过 FIPS 认证的 AES 加密。但是，如果 RMS 客户端安装在运行 Windows 2000 的计算机上，则不会安装经过 FIPS 认证的 AES 库，因此这些密码箱不符合 FIPS。

　　3、对于将权限授予通讯组列表而不是个人用户的发布许可证或模板，是否采用不同的方式处理用户许可证以便动态评估成员？

　　用户许可证总是颁发给个人用户。如果发布许可证或模板指定一个组，则 RMS 会在颁发用户许可证时评估组成员身份。如果请求用户许可证的用户是指定组中的一个成员，则会将用户许可证颁发给该用户的标识。

　　4、在网亭中使用 RMS 时，将颁发临时权限帐户证书 (RAC)。临时 RAC 与标准 RAC 有何区别？RMS 如何检测网亭中是否正在使用它？

　　启用了 RMS 的应用程序必须确定 RMS 客户端应该为用户请求临时 RAC 还是标准 RAC。在这种情况下，没有检测方法。Microsoft Office 2003 是启用了 RMS 的应用程序之一，它允许用户选择合适的 RAC。

　　临时 RAC 和标准 RAC 之间的主要区别在于指定的有效期不同以及是否存在用户安全标识符。临时 RAC 不包括用户 SID，其指定的有效期为几分钟。临时 RAC 的默认有效期为 15 分钟。但是，标准 RAC 包括用户 SID，其指定的有效期为几天。标准 RAC 的默认有效期为 365 天。

　　5、何时使用临时 RAC？

　　临时 RAC 设计为允许用户在满足下列任何条件的计算机上使用受 RMS 保护的内容：

　　计算机不是从中获取 RAC 的 RMS 安装所在林的成员。

　　计算机不是用户帐户所在林的成员。

　　不能保证用户以后使用同一台计算机。

　　满足这些条件的计算机的示例可在机场候机楼、公共图书馆和网吧中找到。

　　6、RMS 是否颁发 X.509v3 证书？

　　否。RMS 颁发旨在代表用户和超出 X.509v3 证书范围的策略表达式的 XrML 证书。

　　7、XrML 证书存储在何处？

　　RMS 系统使用存储在客户端计算机上的 XrML 中的下列证书和许可证。

　　计算机证书

　　文件名：CERT-Machine.drm 文件

　　位置：%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM\

　　权限帐户证书

　　文件名前缀：GIC

　　位置：%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM

　　客户端许可方证书

　　文件名前缀：CLC

　　位置：%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM

　　用户许可证

　　文件名前缀：EUL

　　位置：%USERPROFILE%\Local Settings\Application Data\Microsoft\DRM

　　注意

　　对于访问的每部分内容，用户帐户都有一个计算机证书、GIC 文件和 CLC 文件，但有多个 EUL 文件。

　　注意

　　对于与 Windows Vista? 集成的 RMS 客户端，该位置为 %USERPROFILE%\AppData\Local\Microsoft\DRM。

　　8、计算机私钥/公钥对存储在何处？

　　计算机私钥被安全存储，由与用户的登录凭据和计算机配置相关的加密密钥保护。

　　9、客户端私钥/公钥对存储在何处？

　　用户帐户的密钥对存储在权限帐户证书中。

　　10、AES 是对称算法。如何在服务器和用户之间安全传递密钥？

　　系统中同时使用对称密钥和公钥/私钥。内容使用对称密钥进行加密，但系统中的其他密钥（用户、计算机和服务器）是 RSA 公钥/私钥。对称内容密钥总是在各种许可证中加密的，要么在发布许可证中加密为 RMS 服务器 RSA 公钥，要么在用户许可证中加密为用户的 RSA 公钥。

关注我们