什么是安全打包器和编码器密钥交换? - 安全包装程序和编码器密钥交换 API 规范

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是安全打包器和编码器密钥交换?

安全打包程序和编码器密钥交换 (SPEKE) 定义了媒体内容的加密者和打包者与数字版权管理 (DRM) 密钥提供者之间的通信标准。该规范适用于在本地和 AWS 云中运行的加密器。

一般架构

下图概要介绍本地产品的 SPEKE 内容加密架构。


            加密程序接收来自其操作人员的加密请求。加密程序将请求发送到 DRM 平台密钥提供程序以获取用于保护加密内容的密钥。密钥提供程序返回密钥。加密程序将加密内容发送到播放器。播放器请求来自同一密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。

以下是上述架构的主要组件:

  • 加密器-提供加密技术。接收来自其操作人员的加密请求,并从 DRM 密钥提供程序检索所需密钥以保护加密内容。

  • DRM 平台密钥提供商 — 通过符合 Speke 的 API 向加密器提供加密密钥。此外,提供程序将许可证提供给媒体播放器以进行解密。

  • 玩家 — 向同一 DRM 平台密钥提供商请求密钥,玩家使用该密钥来解锁内容并将其提供给观众。

AWS 云端架构

下图显示了 SPEKE 与 AWS 云中运行的服务和功能一起使用时的高级架构。


            加密器、Amazon API Gateway、AWS IAM 和 AWS Certificate Manager 都位于同一 AWS 区域。AWS 运营商配置 API Gateway 和 IAM 以在媒体服务和 DRM 平台密钥提供商之间提供代理。AWS 操作员可以选择在 AWS Certificate Manager 中配置证书,供加密人员用于内容密钥加密。加密程序接收来自其操作人员的加密请求。加密程序通过 API Gateway 将请求发送到密钥提供程序以获取用于保护加密内容的密钥。如果已为其配置证书,则加密程序与证书管理器进行通信以管理内容密钥加密。加密器将加密内容发送到 Amazon S3 存储桶或Amazon CloudFront。当观众要求查看播放器上的内容时,玩家会从 Amazon S3 或 Amazon 请求加密内容, CloudFront 并从同一 DRM 平台请求密钥。玩家使用钥匙解锁内容并将其提供给观众。

以下是主要服务和组件:

  • Encryptor — 在 AWS 云中提供加密技术。加密程序接收来自其操作人员的请求,并通过 Amazon API Gateway 从 DRM 密钥提供程序检索所需加密密钥以保护加密的内容。它会将加密内容传送到 Amazon S3 存储桶或通过Amazon CloudFront 发行版。

  • AWS IAM 和 Amazon API Gatewa y — 管理客户信任的角色以及加密者和密钥提供者之间的代理通信。API Gateway 提供日志记录功能,使客户能够控制其与加密程序以及 DRM 平台之间的关系。客户通过 IAM 角色配置实现密钥提供程序访问。API Gateway 必须与加密器位于同一 AWS 区域。

  • AWS Certificate Manager —(可选)为内容密钥加密提供证书管理。要确保通信安全,建议的做法是加密内容密钥。证书管理器必须与加密器位于同一 AWS 区域。

  • DRM 平台密钥提供商 — 通过符合 Speke 的 API 向加密器提供加密密钥。此外,提供程序将许可证提供给媒体播放器以进行解密。

  • 玩家 — 向同一 DRM 平台密钥提供商请求密钥,玩家使用该密钥来解锁内容并将其提供给观众。

如何开始

有关 SPEKE 的其他入门资料,请参阅 SP EKE 你是新手吗?

您是客户吗?

与 AWS Elemental DRM 平台提供商合作,设置为使用加密。有关详细信息,请参阅客户入职

您是 DRM 平台提供商还是具有自己的密钥提供程序的客户?

根据 SPEKE 规范为您的密钥提供商公开 REST API。有关详细信息,请参阅 SPEKE API 规范