RMS 加密文件的访问机制
RMS 通过加密文件并为每个用户分配特定的访问权限来保护数据。当用户首次打开 RMS 加密文件时,客户端应用程序会执行以下步骤:
- 验证发布许可证(Publishing License):
- 文件中嵌入了发布许可证,其中定义了文件的访问策略,例如谁可以查看、编辑或打印文件。
- 获取使用许可证(User License):
- 用户需要通过网络连接到 RMS 服务器,验证自己的身份并获取使用许可证。该许可证是根据用户的权限和身份生成的,允许用户在本地访问文件。
- 解密文件:
- 使用许可证中包含的密钥解密文件内容,用户可以在本地查看或编辑文件。
离线访问的挑战
如果用户处于无网络环境,他们将无法直接从 RMS 服务器获取使用许可证。这可能导致文件无法打开,即使文件已被复制到离线设备上。那么,如何解决这一问题呢?
解决方案:离线许可证
为了支持离线访问,RMS 提供了离线许可证机制。用户可以在有网络连接时提前获取离线许可证,然后在无网络环境下使用这些许可证。以下是具体步骤:
- 提前获取离线许可证:
- 在有网络连接时,用户需要打开文件一次,客户端会自动从 RMS 服务器获取离线许可证。
- 离线许可证通常有一个有效期,例如 30 天。
- 手动传输许可证:
- 如果用户无法直接联网,可以采用手动方式:
- 在有网络的设备上,为用户生成一个激活请求文件。
- 将请求文件上传到 RMS 服务器,获取使用许可证。
- 将许可证文件手动传输到离线设备上,完成激活。
注意事项
- 许可证有效期:离线许可证有时间限制,过期后需要重新连接 RMS 服务器获取新的许可证。
- 客户端支持:并非所有客户端应用程序都支持 RMS 离线功能,需要确保使用的是支持 RMS 的应用程序(如 Office)。
- 安全风险:虽然 RMS 提供了强大的保护机制,但离线许可证可能会增加数据泄露的风险,因为文件在本地解密后可以被访问。
https://learn.microsoft.com/zh-cn/azure/information-protection/how-does-it-work
