Authentifizierung erforderlich für SPEKE - Spezifikation für Secure Packager und Encoder Key Exchange API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung erforderlich für SPEKE

SPEKEerfordert eine Authentifizierung für lokale Produkte sowie für Dienste und Funktionen, die in der AWS Cloud ausgeführt werden.

Authentifizierung für AWS Cloud-Implementierungen

SPEKEerfordert eine AWS Authentifizierung über IAM Rollen für die Verwendung mit einem Verschlüsseler. IAMRollen werden vom DRM Anbieter oder vom Betreiber erstellt, dem der DRM Endpunkt in einem AWS Konto gehört. Jeder Rolle wird ein Amazon-Ressourcenname (ARN) zugewiesen, den der AWS Elemental-Servicebetreiber auf der Servicekonsole angibt, wenn er die Verschlüsselung anfordert. Die Richtlinienberechtigungen der Rolle müssen so konfiguriert werden, dass sie die Erlaubnis zum Zugriff auf den Schlüsselanbieter API und keinen anderen AWS Ressourcenzugriff gewähren. Wenn der Verschlüsseler den DRM Schlüsselanbieter kontaktiert, verwendet er die Rolle, ARN um die Rolle des Kontoinhabers des Schlüsselanbieters zu übernehmen. Dieser gibt temporäre Anmeldeinformationen zurück, die der Verschlüsseler für den Zugriff auf den Schlüsselanbieter verwenden kann.

Eine gängige Implementierung besteht darin, dass der Betreiber oder DRM Plattformanbieter Amazon API Gateway vor dem Schlüsselanbieter verwendet und dann die AWS Identity and Access Management (AWSIAM) -Autorisierung für die API Gateway-Ressource aktiviert. Sie können das folgende Beispiel für eine Richtliniendefinition einer neuen Rolle anfügen, um der entsprechenden Ressource Berechtigungen zu erteilen. In diesem Fall gelten die Berechtigungen für alle API Gateway-Ressourcen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke" ], "Resource": [ "arn:aws:execute-api:us-west-2:*:*/*/GET/*" ] } ] }

Schließlich erfordert die Rolle das Hinzufügen einer Vertrauensstellung und der Operator muss den Service auswählen können.

Das folgende Beispiel zeigt eine RolleARN, die für den Zugriff auf den DRM Schlüsselanbieter erstellt wurde:

arn:aws:iam::2949266363526:role/DRMKeyServer

Weitere Informationen zur Erstellung einer Rolle finden Sie unter AWS AssumeRole. Weitere Informationen zum Signieren einer Anfrage finden Sie unter AWSSigv4.

Authentifizierung für lokale Produkte

Für lokale Produkte empfehlen wir die Verwendung vonSSL/TLS- und Digest-Authentifizierung aus Sicherheitsgründen. Sie sollten jedoch mindestens die Standardauthentifizierung über verwenden. HTTPS

Beide Authentifizierungstypen verwenden den Authorization Header in der HTTP Anfrage:

  • Digest-Authentifizierung — Der Autorisierungsheader besteht aus dem Identifier, Digest gefolgt von einer Reihe von Werten, die die Anfrage authentifizieren. Insbesondere wird ein Antwortwert durch eine Reihe von MD5 Hashfunktionen generiert, zu denen eine eindeutige one-time-use Nonce vom Server gehört, mit der sichergestellt wird, dass das Passwort sicher übertragen wird.

  • Standardauthentifizierung — Der Autorisierungsheader besteht aus der Kennung, Basic gefolgt von einer Base-64-kodierten Zeichenfolge, die den Benutzernamen und das Passwort darstellt, getrennt durch einen Doppelpunkt.

Informationen zur Standard- und Digest-Authentifizierung, einschließlich detaillierter Informationen zum Header, finden Sie in der Internet Engineering Task Force (IETF) -Spezifikation RFC2617 — HTTP Authentifizierung: Basic and Digest Access Authentication.