Office 2003 中的版權保護技術

[psac]

作為微軟即將上市的新一代生產力軟體Office 2003，其採用的眾多心功能吸引了大批用戶的注意，本文將對其中比較實用的IRM（Information Rights Management，信息版權管理）作一簡單介紹。

什麼是IRM

在以前版本的Office軟體中，如果我們要保護自己新增的我的文件，基本上就只能在儲存該我的文件的時候設定一個密碼，這樣沒有密碼的人就只能讀取該我的文件，而不能修改，這種保護技術的功能非常有限。


不過在Office 2003 中，一切都不同了。

通過使用IRM功能，用戶可以新增一個受保護的我的文件，而該我的文件對不同的人有不同的權限。

這裡所說的權限有三個等級：

只讀：顧名思義，擁有只讀權限的用戶只能檢視該檔案，不能編輯、列印和從中複製文件內容。

更改：

擁有更改權限的用戶除了檢視外，還可以編輯，但是仍然不可以列印。

完全控制：擁有完全控制權限的用戶除了以上所說過的所有權限外，還可以對我的文件設定更多的權限。

而對用戶身份的認證則是通過專門的伺服器進行的。這就要求要新增和閱讀帶有IRM技術保護的我的文件時，電腦必須能夠連線到網上：網際網路和區域網路都可以，只要可以訪問到相應的權限管理伺服器。

Office 2003的IRM技術可套用於Word 2003、Excel 2003和PowerPoint 2003上，而Outlook 2003中也可以簡單使用。


受IRM保護的我的文件是被128位AES算法加密的，因此不用擔心安全性問題。

新增使用IRM技術保護的我的文件

下面我們會通過直接的實例瞭解如何使用IRM保護我們的我的文件。需要注意的是，由於本文撰寫時Office 2003還沒有正式發佈，因此使用的是Beta2測試版，某些細節方面可能會跟正式版有些不同，請注意分別。

以Word 2003為例，開啟後新增一個我的文件，然後隨意輸入一些文字，接著點擊工作列上的「（自由訪問）的權限」按鈕。



在第一次使用這個功能的時候首先要連網下載一個IRM的元件，



在的界面上點擊「是」按鈕即可。下載並安裝後開始安裝，因為在企業中使用IRM技術時企業會有專門的權限管理伺服器，而我們現在只是在測試，沒有這樣的條件，因此我們選項使用微軟提供的免費試用服務。


選項「是，我希望註冊使用….」後點擊「下一步」按鈕，然後登入你的.Net Passport（如果還沒有就在這裡申請）。


最後還需要你選項證書的類型，在這裡我們選項標準證書，然後點擊「下一步」。



元件安裝好後重新點擊「（自由訪問）的權限」按鈕，可以看見圖四的界面，



選「限制對此我的文件的權限」後我們就可以針對不同的用戶設定權限。


因為我們選項的是微軟所提供的認證服務，而用戶認證是通過.Net Passport進行的，這也就決定了以後閱讀該檔案的用戶必須也有自己的.Net Passport賬戶，而且你要知道他的賬戶。

為了實現更複雜的權限設定，我們點擊視窗下方的「其他選項」按鈕，看到的界面。



點擊「增加」按鈕，然後分別根據想要分配的權限，把該用戶的.Net Passport（例如example@hotmail.com）輸入到「讀取」或者「更改」對話視窗中。


當然，你也可以設定多個用戶對該我的文件擁有完全控制的權限，只要簡單得在該用戶的「訪問級別」下拉表單中指定。


如果你提供的我的文件具有一定的時效性，而你只希望對方在某個特定的日期之前閱讀，那麼就選「此我的文件的到期日期為」的複選框，然後在下面指定到期日期。


這樣沒有完全控制權限的用戶在該日期之後就無法開啟這個我的文件了。

同樣的，如果你想讓沒有完全控制權限的人可以列印或者複製該我的文件
的內容，也可以選「列印內容」或者「允許具有讀取權限的用戶複製內容」。


相應的還有一種情況，那就是對方在得到你的我的文件後由於一些原因而需要對該我的文件獲得進一步的權限，那麼你可以在其他設定下選「用戶可以從此處請求附加權限」。這樣一旦用戶有需要，就可以直接通過你所提供的電子郵件位址給你發信，請求更多的權限。

而如果你新增的我的文件要考慮到還沒有昇級到Office 2003的用戶，那麼就可以選「允許使用Office 早期版本的用戶….」，這樣對於只安裝了Office XP或者Office 2000的用戶，他們還可以通過給IE安裝插件的方式來閱讀具有IRM技術保護的我的文件。

直接的方法我們會在後面詳細說明。

所有權限設定完後點擊「確定」，在Word視窗的右側，你會看到一個名為「共享工作區」的區域，在這裡你可以對我的文件的權限進行進一步的操作，例如分別點擊「更改權限」和「更改用戶」來對已有的權限作些調整。



一切都設定好之後就可以通過各種途徑把文件發佈出去了。這下你不用擔心機密文件被無關人員查閱，因為他們根本打不開。

閱讀使用IRM技術保護的我的文件

對於文件的閱讀者，我們假設了兩種情況，一是閱讀者也安裝了Office 2003，二是閱讀者只安裝了Office 2000或者Office XP等低版本的Office 應用程式。

對於第一種情況，這是很簡單的，只要簡單地雙按我的文件。如果你是第一次開啟有IRM保護的我的文件，或者你以前沒有新增過這樣的我的文件，那麼你也需要先下載並安裝一個元件。



點擊確定，並下載和安裝。

這個程序跟之前我們新增我的文件時是一樣的，因此跳過不說。安裝程序中同樣需要登入.Net Passport，我們使用了一個Passport登入，該帳戶對要開啟的我的文件擁有只讀的權限。


安裝好元件後，由於我們新增的我的文件是通過微軟來驗證身份的，因此我們需要在微軟的伺服器上驗證憑據和下載權限，只要簡單地點擊「確定」，剩下的就交給軟體來解決了。



我的文件開啟後的界面如，在Word視窗的右下角狀態列中有一個「禁止」符號，證明該我的文件受保護。



而我們只有最基本的只讀權限，因此不能編輯和列印該我的文件，你可以看到，列印相關的按鈕都是灰色不可選的，而複製、貼上、字體設定等表單也是灰色不可選的。點擊右側的「察看我的權限」後會彈出圖十的視窗，在這裡我們可以看到自己擁有的權限。



如果你需要用具有完全控制或者更改權限的用戶檢視這個我的文件，只要點擊「更改用戶」，然後用相應的.Net Passport登入；如果你想向我的文件的新增者要求更多的權限，則可以點擊「請求附加權限」，然後程序會自動使用預設的電子郵件客戶端軟體，給新增者寫信，由新增者把新的我的文件傳送給你。

對於第二種情況，則有些不同。如果我們直接在不支持IRM的Office XP或者WPS中開啟受保護我的文件，則該我的文件不會正確顯示。


我們做了一個實驗，在Windows 2000 Professional SP4上安裝Office XP SP1+SP2，然後直接在該系統上用Word 2002開啟一個受保護我的文件，接著Word會顯示一個出錯界面，



按照提示點擊連接後程序會自動連網下載用於IE6 的IRM載入項，這樣安裝了載入項後我們就可以直接用IE開啟受保護的WORD我的文件。


不過遺憾的是，在成功安裝載入項後用IE開啟該我的文件，仍然失敗了，IE說載入項沒有安裝，可是你應該可以從上看出，IE的工作列最右側已經多了一個「IRM載入項」的圖示了。猜想可能是測試版的Bug吧，相信正式版會解決這個問題的，因而這個實驗沒有繼續下去。



IRM 技術的不足

作為一項新技術，IRM的優勢是顯而易見的，商業我的文件、郵件等可以更加安全和可信賴，可是同樣的還有一些問題是需要加好的。

從新增者來看，受IRM技術保護的我的文件只能由Office 2003 軟體新增，這也就是說，對於Office XP或者Office 2000用戶，如果想要使用這一新功能，就必須把Office 軟體昇級到2003版。

然而僅僅昇級Office 還是不夠的。因為IRM技術需要身份認證等操作，這就必然要網路中有一台用於此用途的伺服器。


微軟目前提供的Passport認證只是一種免費的試用服務，不可能讓我們永久使用。因此如果要在企業內部使用這一版權保護系統，就必須有一台進行身份認證工作的伺服器，根據微軟的說明，該伺服器是作為Windows Server 2003 企業版及更高版本的一個元件的形式出現的，這也就意味著，企業中還要有Windows Server 2003 企業版伺服器，這又是一筆不小的投資。

從閱讀者來看，想要閱讀受IRM保護的文件，最好的辦法是安裝Office 2003，不過微軟也提供了變通的方法，那就是針對IE的IRM載入項，在安裝了載入項後我們可以直接用IE檢視受保護的我的文件。


如果你不喜歡用IE，微軟還承諾會提供一系列的SDK開發工具，供其他程序員為自己的軟體開發載入項（例如針對Netscape、WPS、OpenOffice的載入項），因此如果有必要，所有的常用軟體都有可能在安裝了相應的載入項後檢視受保護的我的文件。進而對於閱讀者，這並不會造成太多經濟上或者其他方面的困擾。

那麼是不是使用了IRM技術後我們的我的文件就絕對安全了呢？

當然不是這樣，畢竟IRM還是從軟體上來保證安全的，硬體上的「破解」根本無法避免。


例如某人對一個我的文件具有只讀的權限，他雖然不能複製出我的文件中的文字，但他還可以使用截屏軟體把文件的內容作為圖形文件截取出來並傳播。



就算微軟針對截屏軟體採取措施，使得這些軟體全部失效，別忘了我們還有照相機和攝像機呢，我們完全可以在螢幕上顯示相關內容的時候把它拍攝下來！這種方法微軟能夠避免嗎？

IRM還是個新技術，還有很多地方需要完善，希望這個技術能越來越好用，也希望IRM能使得我們的我的文件越來越安全。