本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是安全包装程序和编码器密钥交换?
安全包装程序和编码器密钥交换 (SPEKE) 定义加密程序与媒体内容的包装程序以及数字版权管理 (DRM) 密钥提供程序之间的通信标准。该规范适用于在本地和 AWS 云中运行的加密器。
**Topics**
+ [常规架构](#general-architecture)
+ [基于 AWS 云的架构](#services-architecture)
+ [如何开始](#how-to-start)
## 常规架构
下图显示了内部产品的 SPEKE 内容加密架构的高级视图。
以下是上述架构的主要组件:
+ **加密程序** – 提供加密技术。接收来自其操作人员的加密请求,并从 DRM 密钥提供程序检索所需密钥以保护加密内容。
+ **DRM 平台密钥提供程序** – 通过符合 SPEKE 规范的 API 将加密密钥提供给加密程序。此外,提供程序将许可证提供给媒体播放器以进行解密。
+ **播放器** – 请求来自同一 DRM 平台密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。
## 基于 AWS 云的架构
下图显示将 SPEKE 与在 AWS 云中运行的服务和功能 结合使用时的高级架构。
以下是主要服务和组件:
+ **加密程序** – 在 AWS 云中提供加密技术。加密程序接收来自其操作人员的请求,并通过 Amazon API Gateway 从 DRM 密钥提供程序检索所需加密密钥以保护加密的内容。它会将加密的内容传输到 Amazon S3 存储桶或通过亚马逊 CloudFront 分发。
+ **AWS IAM 和 Amazon API Gateway** – 管理客户信任的角色以及加密程序与密钥提供程序之间的代理通信。API Gateway 提供日志记录功能,使客户能够控制其与加密程序以及 DRM 平台之间的关系。客户通过 IAM 角色配置实现密钥提供程序访问。API Gateway 必须与加密器位于相同的 AWS 区域。
+ **AWS Certificate Manager** –(可选)提供针对内容密钥加密的证书管理。要确保通信安全,建议的做法是加密内容密钥。证书管理器必须位于加密程序所在的同一 AWS 区域中。
+ **DRM 平台密钥提供程序** – 通过符合 SPEKE 规范的 API 将加密密钥提供给加密程序。此外,提供程序将许可证提供给媒体播放器以进行解密。
+ **播放器** – 请求来自同一 DRM 平台密钥提供程序的密钥,播放器将使用该密钥解锁内容并将内容提供给查看者。
## 如何开始
有关 SPEKE 的更多介绍材料,请参阅 [SPEKE 的新用户?](are-you-new-to-speke.md)。
**您是客户吗?**
与 AWS Elemental DRM 平台提供商合作以开始使用加密。有关详细信息,请参阅[客户登记](customer-onboarding.md)。
**您是 DRM 平台提供商还是具有自己的密钥提供程序的客户?**
根据 SPEKE 规范,公开密钥提供程序的 REST API。有关详细信息,请参阅 [SPEKE API 规范](speke-api-specification.md)。