吊销列表中指定了已经被吊销的内容、应用程序、用户或其他主体。基于下面一个或多个原因,组织可能包括吊销列表中的某个实体:
- 某个私钥已失密或怀疑如此。
- 所有者请求吊销其认为已失密的密钥。
- 主体不再有效(例如,雇员已离职)。
- 存在某个安全实施缺陷(例如,颁发给客户端计算机的证书已失效)。
- 由于授权变更而需要重新认证。
- 支持 RMS 的应用程序中存在安全漏洞,使得该应用程序不适于使用高度敏感的内容或任何受保护的内容。
- 以前分发的某一内容现在已经过时了,或是已不再适用。
下表说明了可以在吊销列表中指定的实体,以及帮助这些实体相互之间进行标识的信息。
| 实体 | 标识符 |
|---|---|
| 一组许可证或证书 | 颁发者的 ID 或公钥 |
| 一组应用程序清单 | 颁发者的 ID 或公钥 |
| 特定的许可证或证书 | 许可证 ID 或哈希 |
| 特定的应用程序清单 | 许可证 ID 或哈希 |
| 特定的主体 | 主体的 ID 或公钥 |
| 特定的内容 | 内容的 ID |
备注
对于吊销和排除而言,所有的哈希都是 SHA-1 [NIS94c],也即安全哈希算法 (SHA) 的修订版,它是在安全哈希标准 (SHS, FIPS 180) 中指定的。ANSI X9.30(第 2 部分)标准中对 SHA-1 进行了说明。 要通过应用程序清单吊销,必须从应用程序清单中提取颁发者 ID、颁发者公钥、许可证 ID 或许可证哈希值。但是,应用程序清单经过了 base 64 编码,因此该信息不能直接显示。安装 Rights Management 客户端 SDK 后,可使用 DRMConstructCertificateChain、DRMDeconstructCertificateChain 和 DRMDecode 方法开发程序,以对应用程序清单解码并获取所需的信息。如果要防止某个特定应用程序使用受 RMS 保护的内容,可使用应用程序排除来禁止 RMS 服务器向这些应用程序授予用户许可证。排除法的局限在于它不能防止持有有效用户许可证的人对受 RMS 保护的内容进行解密。有关应用程序排除的详细信息,请参阅本文档集中的“运行 RMS 服务器”中的“排除应用程序”。
吊销列表是 XrML 文件,它们可以指定下列参数。
| 参数 | 说明 |
|---|---|
| ISSUEDTIME | 创建 XrML 文件时的系统时间。用户许可证中的 REFRESH 条件使用此参数来确定吊销列表的使用期限。 |
| ISSUER | 吊销列表颁发者的姓名、ID 和地址。 |
| PUBLICKEY | 吊销列表颁发者的公钥。 |
| REVOCATIONLIST | 所吊销的每个实体的名称、类型和 ID。 |