Microsoft 版權管理技術探討

更新日期: 2004 年 8 月 10 日

本頁內容

前言
Windows 版權管理基本元件
Windows RM 如何運作–加密
Windows RM 如何運作–解密
Windows RMS 基礎結構需求
安裝 Windows RMS
設定『提供 RMS 根憑証伺服器』
Windows RM 用戶端
結論

前言

資訊科技帶來新的便利,也帶來新的危機,各種不同規模的組織,正面臨如何有效地保護重要資訊的挑戰,以避免因人為因素,造成敏感資訊的不當處理,甚至惡意的使用。資訊遭遇不當竊取的案例與日俱增,也更加突顯需要提供數位內容,增加更安全的保護措施。

一般而言,組織使用以防禦為基礎的安全性方法,來保全數位檔案和資訊,例如:防火牆可以隔離內部、外部網路,限制存取公司網路,Share Permission 與 NTFS Permission,可以限制特定資料夾或檔案的存取,檔案加密系統(EFS)可進一歩確保檔案資料儲存的安全性,使用虛擬私人網路(VPN)、網際網路通訊協定安全性(IPSec)、安全通訊端層級(SSL)等加密和驗證技術可協助傳輸時加以保全數位內容。

以上這些方法可以協助組織控制機密內容的存取,但是一但使用者通過驗証且合法解密內容後,就沒有任何限制可控制對內容的處理或進一歩傳送到何處,所以以防禦為基礎的保全方法,是無法控制人們合法取得數位內容後的使用與散佈。

若是信賴個別使用者自行決定和敏感資訊責任的處理,可能會有極高的風險,而在法律的約束條文也不明確的情況下,此時可部署端對端的軟體解決方案『Windows 版權管理(Rights Management,RM)系統』,即可提供較佳的資訊保護解決方案,有效地控制資料無論到哪裡,都可保護機密的網路內容、文件和電子郵件。控制數位內容的使用,精確地定義誰可以開啟、讀取、修改和轉發佈內容。還可以建立權限原則範本,來執行您的組織可套用到內容的原則。

Windows 版權管理基本元件

Windows RM 系統包含伺服器和用戶端技術,仰賴一組共同運作的技術元件來提供 RM 服務,這些基本技術元件說明如下﹕

  1. Windows RMS﹕
    Windows RMS 是 Windows RM 的核心技術,提供系統的伺服器元件。Windows RM 系統的運作需藉由RMS伺服器,提供授權註冊伺服器和使用者以及管理受到 RM 保護資訊的權限,並提供驗証信任實體。

  2. RM 相容的應用程式﹕
    當使用者需要對他們所建立和發佈的內容指定使用權限時,必須藉由RM相容的應用程式執行,例如:Microsoft Office 2003 中使用『資訊授權管理(Information Rights Management,IRM)』,另外您也可以在 Microsoft 網站下載 Rights Management Add-on for Internet Explorer,加以擴充 IE5.01 版或更新版,用來支援RM相容應用程式,以便檢視受到 RM 保護的內容。

  3. Windows RM 用戶端元件﹕
    Windows RM 用戶端元件是一組應用程式介面,可用來開發 RM 相容的應用程式。在安裝及使用 RM 相容應用程式的電腦上,必須要安裝 Windows RM 用戶端元件。

Windows RM 如何運作–加密

  1. 取得 RMS 發行憑証 ﹕
    首先使用者需要先取得 RMS Server 發行憑証,此憑証申請可藉由RM應用程式,例如:Word 2003 的『檔案』->『權限』->『限制權限為』取得 RMS 帳號憑証,並儲存在用戶端電腦。

  2. 指派使用權限和條件 ﹕
    取得 RMS 發行帳號憑証後,內容作者可建立文件內容,再使用 RM 相容的應用程式指定使用者可使用權限和條件給他們所撰寫並想要保護的內容。接下來RM系統會驗証在發行授權要求中信任的實體,再發行包含特定使用內容權限和條件的授權。

  3. 加密 ﹕
    RM 相容的應用程式會產生對稱『內容金鑰』,然後傳送發行授權要求到『憑證伺服器』或『授權伺服器』。要求中包含內容金鑰和使用設定。 授權伺服器會產生『發行授權』,以伺服器『公開金鑰』加密『內容金鑰』,然後將發行授權傳回到 RM 相容的應用程式。 應用程式會使用內容金鑰加密檔案,並將發行授權繫結到檔案,內容被此機制鎖住後,只有在發行授權中指定的使用者可以解鎖並使用該內容。

  4. 內容作者將該檔案,經由網路傳送到內容使用者,傳輸過程該內容持續受到RM保護並控制數位內容的使用權限(如圖一)。

Windows RM 如何運作–加密

圖一:Windows RM 如何運作–加密

Windows RM 如何運作–解密

  1. 當使用者嘗試開啟受到RM保護內容時,RM 相容應用程式會傳送要求到 Windows RMS。

  2. 要求內容包含使用者的 RM 帳號憑證,以及由 Windows RMS 伺服器發出的『發行授權』。

  3. Windows RMS 伺服器會驗證使用者的憑證,如果使用者驗證成功,就會產生使用授權。

  4. 使用 Windows RMS 伺服器的『私密金鑰』解開『對稱加密金鑰』,再使用內容使用者的『公開金錀』重新加密『對稱加密金鑰』,並插入使用授權,再傳回到用戶端電腦。

  5. 用戶端電腦的 RM 相容的應用程式,使用內容使用者的『私密金鑰』解開『對稱加密金鑰』。取得對稱加密金鑰後,再解密內容,並執行發行授權中指定的使用權限及條件而這些使用權限和條件不論內容到哪裡都是持續的(如圖二)。

Windows RM 如何運作–解密

圖二:Windows RM 如何運作–解密

Windows RMS 基礎結構需求

在安裝 RMS 伺服器之前,必須先確認是否已建立 AD 目錄服務以及 MS-SQL 資料庫伺服器。

Active Directory 目錄服務需要執行在Windows 2000 SP3 或是 Windows Server 2003 網域。AD 目錄服務主要提供使用者驗証和群組展開,並儲存服務探索位置。

MS-SQL Server 需要 Microsoft SQL Server 2000 搭配 SP3 或 Microsoft SQL Server Desktop Engine(Windows)搭配 SP3。MS-SQL Server 主要負責管理根憑証的記錄,目錄服務和設定資料庫,儲存根憑証的 RM 帳號憑証。

安裝 Windows RMS

安裝網域控制站並設定好 MS-SQL 伺服器,接著就可以開始安裝Windows RMS。先準備好一部 Windows Server 2003 作業系統的電腦,磁碟分割使用NTFS檔案系統,並且指定一個靜態IP位址,再從『新增/移除程式』安裝IIS 6.0、ASP.NET 以及訊息佇列等 Windows 元件,最後再測試是否可以進入 http://uddi.microsoft.com 以驗証網際網路存取。

一切就緒後,可連線到 Microsoft 網站,下載 Windows RMS 1.0 安裝程式,檔名是 RMSSetup.exe,約 2.199MB。該檔案提供了 Windows RMS 的安裝精靈,可依循安裝精靈指示完成。

Windows RMS 繁體中文下載:
http://www.microsoft.com/downloads/details.aspx?familyid=be7fae0c-2db2-4f7f-8aa1-416fe1b04fb1&displaylang=zh-tw

設定『提供 RMS 根憑証伺服器』

在 Active Directory 樹系中部署的首部 Windows RMS 伺服器,即為『根憑證伺服器』。這個伺服器同時提供憑證和授權支援。在『提供』期間根憑證伺服器會在『註冊』程序中,從 Microsoft 註冊服務接收伺服器授權人憑證。此憑證包含根憑證伺服器的公開金鑰,而且是由註冊服務的私密金鑰簽署的。

在 Windows Server 2003 伺服器上安裝好 Windows RMS 之後,可在『開始』功能表上,指向『所有程式』,再按下『Windows RMS』,然後按一下『Windows RMS 管理』之後,便會出現『通用管理』網頁,再選擇『提供此網站上的 RMS』。

出現『提供 RMS 根憑証伺服器』的表單網頁(如圖三),設定資料庫、RMS 服務帳號、叢集 URL、私密金鑰保護與註冊等資料。以上設定比較需要注意的是『RMS 服務帳號』,此帳號建議建立在AD網域上,且基於安全的理由,僅提供給RMS服務使用,不作他用。此外,也不要給予此帳號其它的權限,並且設定複雜化帳號密碼。

設定『提供 RMS 根憑証伺服器』

圖三:設定『提供 RMS 根憑証伺服器』

在提供 RMS 根憑証伺服器的表單網頁內,所指定 RMS 服務帳號的名稱格式是 domain_name\user_name 並提供密碼。如果此密碼與AD上的密碼不相符時,Windows RMS 將停止運作,因此輸入密碼的正確性是非常重要的。此服務帳號會自動成為『RMS服務』群組成員之一。該群組是在安裝Windows RMS時,自動在本機電腦上建立,並授予其使用Windows RMS作業所需資源的適當權限,且在 MS-SQL 資料庫上授予『執行』權限。另外 RMS 服務帳號不能與安裝 Windows RMS 伺服器的網域帳號相同。

當一切都設定正確後按下『送出』,按下『送出』後便開始根憑証伺服器的註冊程序,在這段期間 Windows RMS 會在 SQL Server 上建立設定目錄服務和記錄資料庫,並為 Web 服務和 Windows RMS 管理網站建立虛擬目錄,最後 Windows RMS 會產生公開/私密金鑰組,並將公開金鑰傳送給 Microsoft 『註冊服務』。『Microsoft 註冊服務』會建立伺服器授權人憑証,然後在幾分鐘之內將其傳回設定資料庫。

執行註冊程序後,最後還有一個動作,設定註冊服務連接點(SCP),完成此設定後才能使用 Windows RMS 伺服器。

設定歩驟如下,開啟『通用管理』頁面,然後按一下『管理此網站上的 RMS』連結。在『管理首頁』頁面上,按一下『RMS 服務連接點』連結。在 RMS 服務連接點頁面上,按一下『註冊 URL』按鈕即可﹙必須擁有 Enterprise Admins 的群組成員才有足夠權限﹚。

Windows RM 用戶端

RM 系統的用戶端電腦,必須安裝 Windows RM 用戶端元件,並完成機器啟動程序。此安裝程式可連線到 Microsoft 網站,下載 Windows Rights Management 用戶端 1.0 安裝程式。安裝完成後,此時用戶端即已就緒。可供任何設計支援 Windows Rights Management 的應用程式使用,例如Office 專業版 2003 中的 IRM 功能。

Windows RM 用戶端 1.0 繁體中文下載 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=3115a374-116d-4a6f-beb2-d6eb6fa66eec&displaylang=zh-tw

Word 2003、Excel 2003 及 PowerPoint 2003 中的 IRM,以設定不同的保護層級。例如:根據角色和職責指派權限,可分為『讀取』、『變更』以及『完全控制』等不同的權限。例如:(如圖四)User 1 具有『讀取』存取權限可以讀取該文件,但是不能編輯、列印或複製的權限。User 2 具有『變更』存取權限,可以讀取、編輯及儲存文件的變更,但是沒有列印的權限。Administrator 是該文件的作者,具有『完全控制』存取權限,可以對該檔案做任何事情。也可以進一歩設定到期日,以規定到期後無法再開啟檔案的時間限制。

Windows RM 用戶端

圖四

使用 Outlook 2003 中的 IRM,可以控制電子郵件訊息和附件的權力,甚至是傳送出去的訊息。有效幫助防止電子郵件遭複製、轉寄或列印。並可在傳送郵件時自動加密電子郵件訊息,透過限制可防止您的檔案在傳輸時遭竄改。例如:(如圖五),當寄件者 Administrator 選擇防止收件者使用複製、轉寄或列印等功能,當收件者 RMSAdminR 收到該訊息時,這些命令都是停用狀態,限制無法使用。

Windows RM 用戶端

圖五

結論

Windows 版權管理可部署為組織的安全性策略,提供資訊內容保護的基礎建設,而使用者的操作可藉由容易方便的控制方式,控制數位內容的使用與散佈,減輕使用者學習的困擾,是組織資訊保護有效且可行的最佳解決方案。

作者簡介:

楊森盛,現任巨匠電腦─國際認証中心 資深講師
本身擁有 Microsoft MCT、MCSE、MCP+Internet、MCP 認証資格

顯示: