[新产品/新功能] Amazon CloudFront 为签名 URL 新增 ECDSA 支持

**发布时间:** 2025-09-09 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudfront-ecdsa-signed-urls/ ---  [新产品/新功能] Amazon CloudFront 为签名 URL 新增 ECDSA 支持   # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 现已为其 **签名URL (signed URLs)** 和 **签名Cookie (signed cookies)** 功能增加了对 **椭圆曲线数字签名算法 (ECDSA)** 的支持。这项新功能旨在为客户提供一种在性能和安全性上更优的内容访问控制方案。 - **核心定义**：该功能允许用户使用 **ECDSA** 算法来生成和验证用于授权访问私有内容的令牌，作为对传统 **RSA** 算法的补充选项。 - **技术原理**：当用户请求受保护的内容时，CloudFront 会在 **边缘节点 (edge location)** 验证附加在URL或Cookie中的 **ECDSA** 签名。由于 **ECDSA** 的数学特性，其签名生成和验证过程比 **RSA** 更快，且生成的签名体积更小。 - **产品背景**：此前，CloudFront 的签名机制仅支持 **RSA** 算法。引入 **ECDSA** 是为了顺应现代密码学的发展趋势，满足市场对更高效率和更强安全性的需求。 - **目标用户群与市场定位**：主要面向需要对内容进行精细化、有时效性访问控制的客户，特别是那些高流量应用、移动环境和物联网（IoT）设备场景。这些场景对处理效率、网络带宽和延迟非常敏感。 ## 关键客户价值 - **提升性能与效率** - **ECDSA** 提供更快的签名生成和验证速度。对于需要大规模、高频次生成访问令牌的应用（如视频流、付费内容分发），这意味着更低的服务器计算开销和更短的请求处理延迟。 - **差异化优势**：相比仅支持 **RSA** 的CDN服务，CloudFront 在高并发的授权场景下能提供更优的性能表现，直接降低了源站的认证压力。 - **优化带宽与载荷** - **ECDSA** 生成的签名尺寸更小，从而使整个 **签名URL** 的长度变得更短。这对于URL长度受限的客户端环境（如部分移动应用或嵌入式设备）至关重要，同时也能减少网络传输的数据量，优化带宽利用。 - **差异化优势**：在IoT和移动优先的业务场景中，这种载荷优化是一个显著的竞争优势，能够改善在弱网环境下的用户体验和设备能效。 - **增强安全性与灵活性** - **ECDSA** 能够以更小的密钥尺寸提供与 **RSA** 相当的安全强度（例如，256位的 **ECDSA** 密钥安全性约等于3072位的 **RSA** 密钥）。这简化了密钥管理，并降低了加密操作的计算成本。 - 客户现在可以根据自身的安全策略和性能要求，在 **RSA** 和 **ECDSA** 之间自由选择，获得了更高的技术灵活性。 ## 关键技术洞察 - **集成现代密码学标准** - 该功能的核心是采用了 **椭圆曲线密码学 (Elliptic Curve Cryptography, ECC)**。_基于椭圆曲线上的离散对数难题_，**ECDSA** 相比依赖大数分解难题的 **RSA**，在密码学效率上具有天然优势。 - **技术创新点**：创新之处在于将 **ECDSA** 无缝集成到全球分布式CDN网络的访问控制核心逻辑中，确保在所有边缘节点上都能高效、一致地执行签名验证，这对大规模公钥基础设施的管理和性能调优提出了很高的要求。 - **边缘安全计算优化** - 签名验证操作在靠近用户的CloudFront **边缘节点** 上完成。**ECDSA** 更高的验证效率意味着在边缘侧可以更快地完成授权决策，从而缩短了安全检查所需的时间，有助于降低请求的整体延迟，尤其是 **TTFB (Time To First Byte)**。 ## 其他信息 - **可用性**：该功能已在全球所有CloudFront边缘节点上线，但不包括由光环新网运营的AWS中国（北京）区域和由西云数据运营的AWS中国（宁夏）区域。 - **成本**：使用此功能无需支付额外费用，降低了客户采纳新技术的门槛。   # Amazon CloudFront 为签名 URL 新增 ECDSA 支持发布于：2025 年 9 月 9 日 Amazon CloudFront 现已支持椭圆曲线数字签名算法 (Elliptic Curve Digital Signature Algorithm, ECDSA)，用于签名 URL (signed URLs) 和签名 Cookie (signed cookies)，为客户在内容访问控制方面提供了更强的性能和安全性。这一新增功能使客户可以根据其特定的安全和性能需求，在 RSA 和 ECDSA 加密算法之间灵活选择。此前，CloudFront 仅支持基于 RSA 的加密算法来创建签名令牌 (signed tokens)。与传统的 RSA 签名相比，ECDSA 具有多项优势，包括更快的签名生成和验证速度、更小的签名尺寸 (从而缩短 URL 长度)，以及用更小的密钥长度实现同等的安全性。这使得 ECDSA 签名 URL 和签名 Cookie 特别适用于高流量应用、移动环境和物联网 (IoT) 设备等对处理效率和带宽优化至关重要的场景。所有边缘站点 (edge locations) 均已支持通过签名 URL 和签名 Cookie 使用 ECDSA。此功能不包括由光环新网 (Sinnet) 运营的亚马逊云科技中国 (北京) 区域和由西云数据 (NWCD) 运营的亚马逊云科技中国 (宁夏) 区域。使用此功能无需额外付费。要了解有关限制通过 Amazon CloudFront 分发内容的更多信息，请访问 [CloudFront 文档。](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html#private-content-how-signed-urls-work)