什么是安全包装程序和编码器密钥交换? - 安全包装程序和编码器密钥交换 API 规范
常规架构基于 AWS 云的架构如何开始

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是安全包装程序和编码器密钥交换?

安全包装程序和编码器密钥交换 (SPEKE) 定义加密程序与媒体内容的包装程序以及数字版权管理 (DRM) 密钥提供程序之间的通信标准。该规范适用于在本地和 AWS 云中运行的加密程序。

常规架构

下图显示了内部产品的 SPEKE 内容加密架构的高级视图。

加密程序接收来自其操作人员的加密请求。加密程序将请求发送到 DRM 平台密钥提供程序以获取用于保护加密内容的密钥。密钥提供程序返回密钥。加密程序将加密内容发送到播放器。播放器请求来自同一密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。

以下是上述架构的主要组件:

  • 加密程序 – 提供加密技术。接收来自其操作人员的加密请求,并从 DRM 密钥提供程序检索所需密钥以保护加密内容。

  • DRM 平台密钥提供程序 – 通过符合 SPEKE 规范的 API 将加密密钥提供给加密程序。此外,提供程序将许可证提供给媒体播放器以进行解密。

  • 播放器 – 请求来自同一 DRM 平台密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。

基于 AWS 云的架构

下图显示将 SPEKE 与在 AWS 云中运行的服务和功能 结合使用时的高级架构。

加密程序、Amazon API Gateway、AWS IAM 和 AWS Certificate Manager 都位于同一 AWS 区域中。AWS 操作人员配置 API Gateway 和 IAM 以提供媒体服务与 DRM 平台密钥提供程序之间的代理。AWS 操作人员可以选择在 AWS Certificate Manager 中配置由加密程序用于对内容密钥进行加密的证书。加密程序接收来自其操作人员的加密请求。加密程序通过 API Gateway 将请求发送到密钥提供程序以获取用于保护加密内容的密钥。如果已为其配置证书,则加密程序与证书管理器进行通信以管理内容密钥加密。加密器将加密内容发送到 Amazon S3 存储桶或亚马逊 CloudFront。当观看者要求查看玩家上的内容时,玩家会从 Amazon S3 或 Amazon 请求加密内容, CloudFront 并从同一 DRM 平台请求密钥。播放器使用密钥解锁内容并将内容提供给其查看者。

以下是主要服务和组件:

  • 加密程序 – 在 AWS 云中提供加密技术。加密程序接收来自其操作人员的请求,并通过 Amazon API Gateway 从 DRM 密钥提供程序检索所需加密密钥以保护加密的内容。它将加密的内容传输到 Amazon S3 存储桶或通过亚马逊 CloudFront 分发传输。

  • AWS IAM 和 Amazon API Gateway – 管理客户信任的角色以及加密程序与密钥提供程序之间的代理通信。API Gateway 提供日志记录功能,使客户能够控制其与加密程序以及 DRM 平台之间的关系。客户通过 IAM 角色配置实现密钥提供程序访问。API Gateway 必须位于加密程序所在的同一 AWS 区域中。

  • AWS Certificate Manager –(可选)提供针对内容密钥加密的证书管理。要确保通信安全,建议的做法是加密内容密钥。证书管理器必须位于加密程序所在的同一 AWS 区域中。

  • DRM 平台密钥提供程序 – 通过符合 SPEKE 规范的 API 将加密密钥提供给加密程序。此外,提供程序将许可证提供给媒体播放器以进行解密。

  • 播放器 – 请求来自同一 DRM 平台密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。

如何开始

有关 SPEKE 的更多介绍材料,请参阅 SPEKE 的新用户?

您是客户吗?

与 AWS Elemental DRM 平台提供商合作以开始使用加密。有关详细信息,请参阅客户登记

您是 DRM 平台提供商还是具有自己的密钥提供程序的客户?

根据 SPEKE 规范,公开密钥提供程序的 REST API。有关详细信息,请参阅 SPEKE API 规范