AD RMS高可用（一）rms工作原理及實驗環境

   Active Directory 權限管理服務 (AD RMS) 是一種資訊保護技術，它與支援 AD RMS 的應用程式協同工作，以防止在未經授權的情況下使用數字資訊（無論是聯機和脫機，還是在防火牆内外）。AD RMS 适用于需要保護敏感資訊和專有資訊（例如财務報表、産品說明、客戶資料和機密電子郵件消息）的組織。AD RMS 通過永久使用政策（也稱為使用權限和條件）提供對資訊的保護，進而增強組織的安全政策，無論資訊移到何處，永久使用政策都保持與資訊在一起。AD RMS 永久保護任何二進制格式的資料，是以使用權限保持與資訊在一起，而不是權限僅駐留在組織網絡中。這樣也使得使用權限在資訊被授權的接收方通路（無論是聯機和脫機，還是在防火牆内外）後得以強制執行。AD RMS 可以建立以下必要元素，通過永久使用政策來幫助保護資訊：

受信任的實體。組織可以指定實體，包括作為 AD RMS 系統中受信任參與者的 個人、使用者組、計算機和應用程式。通過建立受信任的實體，AD RMS 可以通過将通路權限僅授予适當的受信任參與者來幫助保護資訊。

使用權限和條件。組織和個人可以指定定義了特定受信任實體如何可以使用受權限保護的内容的使用權限和條件。讀取、複制、列印、儲存、轉發和編輯的權限都是使用權限。使用權限可以附加條件，例如這些權限何時過期。組織可以阻止應用程式和實體通路受權限保護的内容。

加密。加密是通過使用電子密鑰鎖定資料的過程。AD RMS 可加密資訊，使通路建立在成功驗證受信任實體的條件之上。一旦資訊被鎖定，隻有在指定條件（如果有）下授予了使用權限的受信任實體可以在支援 AD RMS 的應用程式或浏覽器中對資訊解除鎖定或解密。随後應用程式将強制執行已定義的使用權限和條件。

     RMS工作原理：

<a href="http://s3.51cto.com/wyfs02/M01/59/FB/wKioL1Tx5Q-z_CJnAAEWB6NA_sQ862.jpg" target="_blank"></a>

1.文檔的線上釋出過程

由RMS用戶端線上向授權伺服器發送請求，釋出過程如下。

（1）由密碼箱生成對稱密鑰作為内容密鑰。

（2）内容密鑰會被授權伺服器的公鑰加密，目的是通過網絡将其發送給授權伺服器。然後授權伺服器能夠用自己的私鑰将這個内容解出，而在傳送的過程中不會被他人截獲後擷取内容密鑰。

（3）加密的内容密鑰和權限被發送給請求釋出許可的授權伺服器。

（4）授權伺服器使用其私鑰解開加密的内容密鑰。

（5）授權伺服器使用其公鑰加密内容密鑰和使用權限。

（6）加密後的密鑰和使用權限被添加到釋出許可中。

（7）授權伺服器使用私鑰簽署釋出許可。

（8）釋出許可傳回給申請的用戶端。

（9）支援AD RMS的應用程式将釋出許可合并到受保護的文檔中。

2．文檔的離線釋出過程

如果使用者所使用的是筆記本電腦等移動辦公等的計算機裝置，有可能在自己的家中不能夠連接配接到公司的AD RMS伺服器。為通路使用由AD RMS建立的文檔，需要一個用戶端許可證書（CLC）。保護過程如下：

（2）用戶端從用戶端許可證書中取出授權伺服器的公鑰。

（3）用戶端使用伺服器的公鑰加密内容密鑰，加密的内容密鑰隻能由伺服器的私鑰所解密。

（4）用戶端使用用戶端許可證書的公鑰對内容密鑰再進行一次加密，進而再次獲得一個加密後的對稱密鑰。需要注意的是，在離線和線上釋出不同是離線釋出過程中對内容進行了兩次加密。

（5）兩個加密後的對稱密鑰同時被放到釋出許可中。

（6）用戶端使用權限賬戶證書中的私鑰解密用戶端許可證書中的私鑰。

（7）用戶端使用CLC的私鑰簽署釋出許可。

（8）支援AD RMS的應用程式将釋出許可合到受保護的文檔中。

3．受保護文檔的使用過程

使用受保護文檔的具體過程如下。

（1）用戶端将權限賬戶證書和文檔的釋出許可發送到頒發釋出許可的授權伺服器。

（2）授權伺服器使用其私鑰解出釋出許可中的内容密鑰。

（3）授權伺服器使用權限賬戶證書中使用者的公鑰加密内容密鑰。

（4）把加密的内容密鑰和使用者的使用權限添加到使用許可中。

（5）授權伺服器使用其私鑰簽署使用許可。

（6）作為響應，将該使用許可發送給用戶端。

（7）密碼箱使用計算機的私鑰解密儲存在權限賬戶證書中和使用者私鑰。

（8）密碼箱使用使用者的私鑰解密内容密鑰。

（9）密碼箱使用内容密鑰解密被加密的受保護内容。

使用伺服器的公鑰所加密的内容隻能由伺服器的私鑰來解開。

（7）伺服器将使用者的密鑰對存儲到AD RMS的資料庫中，該權限賬戶證書就是以後該使用者進行申請各種使用許可的證書。

        在企業内部搭建一套rms系統來保護内部機密檔案是很有必要的，然而rms的安全、穩定、高可用優勢至關重要的，因為如果rms系統出現故障很可能導緻加密了的檔案會讀取不了，其高可用重要性就不言而喻了。對于現在的趨勢“移動為先，雲為先”，建立内部加密系統加密上傳到公有雲中的文檔也是一個很不錯的選擇，相信未來很多企業也會采取此措施來防止企業資訊外洩的。閑話少說言歸正傳，讓我們開始本次實驗之旅吧！

本次實驗拓撲環境如下：

<a href="http://s3.51cto.com/wyfs02/M02/59/FB/wKioL1Tx5Q-yx-OOAADZrhyGYy8344.jpg" target="_blank"></a>

       環境簡單說明：一台ad伺服器rms-ad01，兩台rms伺服器rms01、02，兩台sql伺服器rms-sql01、02。兩台rms伺服器組成一個群集，確定一台出現問題後，另外一台可以馬上啟用，同樣道理，後端的sql伺服器做成Alwayson。本次實驗采用系統是：Windows Server 2012 R2 Datacenter+SQL 2012 。

      更多詳細情況請參考“AD RMS高可用（二）為rms伺服器申請證書”。我們下一章節再見。

本文轉自 月缺 51CTO部落格，原文連結：http://blog.51cto.com/yueque/1616083，如需轉載請自行聯系原作者