Otentikasi diperlukan untuk SPEKE - Spesifikasi Pertukaran Kunci Pengemas dan Encoder Aman API
Otentikasi untuk implementasi AWS cloudOtentikasi untuk produk lokal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi diperlukan untuk SPEKE

SPEKEmemerlukan otentikasi untuk produk lokal dan untuk layanan dan fitur yang berjalan di Cloud. AWS

Otentikasi untuk implementasi AWS cloud

SPEKEmembutuhkan AWS otentikasi melalui IAM peran untuk digunakan dengan enkripsi. IAMperan dibuat oleh DRM penyedia atau oleh operator yang memiliki DRM titik akhir di akunAWS. Setiap peran diberi Amazon Resource Name (ARN), yang disediakan oleh operator layanan AWS Elemental di konsol layanan saat meminta enkripsi. Izin kebijakan peran harus dikonfigurasi untuk memberikan izin untuk mengakses penyedia kunci API dan tidak ada akses AWS sumber daya lainnya. Ketika enkripsi menghubungi penyedia DRM kunci, ia menggunakan peran ARN untuk mengambil peran sebagai pemegang akun penyedia kunci, yang mengembalikan kredensyal sementara untuk enkripsi yang akan digunakan untuk mengakses penyedia kunci.

Salah satu implementasi umum adalah operator atau vendor DRM platform menggunakan Amazon API Gateway di depan penyedia kunci, dan kemudian mengaktifkan otorisasi AWS Identity and Access Management (AWSIAM) pada sumber daya API Gateway. Anda dapat menggunakan contoh definisi kebijakan berikut dan melampirkannya ke peran baru untuk memberikan izin ke sumber daya yang sesuai. Dalam hal ini, izin untuk semua sumber daya API Gateway:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "execute-api:Invoke"
            ],
            "Resource": [
                "arn:aws:execute-api:us-west-2:*:*/*/GET/*"
            ]
        }
    ]
}

Akhirnya, peran tersebut membutuhkan penambahan hubungan kepercayaan, dan operator harus dapat memilih layanan.

Contoh berikut menunjukkan peran ARN yang dibuat untuk mengakses penyedia DRM kunci:

arn:aws:iam::2949266363526:role/DRMKeyServer

Untuk informasi lebih lanjut tentang pembuatan peran, lihat AWS AssumeRole. Untuk informasi selengkapnya tentang menandatangani permintaan, lihat AWSSigv4.

Otentikasi untuk produk lokal

Untuk produk lokal, kami menyarankan Anda menggunakanSSL/TLSdan mencerna otentikasi untuk keamanan terbaik, tetapi setidaknya Anda harus menggunakan otentikasi dasar. HTTPS

Kedua jenis otentikasi menggunakan Authorization header dalam HTTP permintaan:

  • Autentikasi intisari - Header otorisasi terdiri dari pengenal Digest diikuti oleh serangkaian nilai yang mengautentikasi permintaan. Secara khusus, nilai respons dihasilkan melalui serangkaian fungsi MD5 hash yang mencakup unik, one-time-use nonce dari server yang digunakan untuk memastikan bahwa kata sandi berjalan dengan aman.

  • Otentikasi dasar - Header otorisasi terdiri dari pengenal Basic diikuti oleh string yang dikodekan basis-64 yang mewakili nama pengguna dan kata sandi, dipisahkan oleh titik dua.

Untuk informasi tentang otentikasi dasar dan intisari, termasuk informasi terperinci tentang header, lihat spesifikasi Satuan Tugas Teknik Internet (IETF) RFC2617 - HTTP Otentikasi: Otentikasi Akses Dasar dan Intisari.