PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN IPTV 1.1.Khái niệm 1.2.Cấu hình hệ thống IPTV .5 1.2.1 Kiến trúc hệ thống IPTV .5 1.2.2 Kiến trúc cụ thể hệ thống IPTV 10 CHƯƠNG 2: MẠNG TRUYỀN DẪN IPTV – CÁC GIAO THỨC SỬ DỤNG 19 2.1 Mạng LAN ảo - VLANs (Virtual Local Area Networks) 19 2.2 Giao thức IGMP - Internet group membership protocol 20 2.2.1 IGMP V2 20 2.2.2 IGMP V3 23 2.3 Giao thức RTP RTSP 24 2.3.1 Real-time transport protocol – RTP 24 2.3.2 RTSP 25 2.4 Ismacryp 26 2.5 PIM – Protocol Independent Multicast 27 2.6 MSDP - Multicast source discovery protocol 27 2.7 DSM-CC - Digital storage Media Command and Control .28 2.8 DSLAM - Digital Serial Line Access Multiplexer 28 CHƯƠNG 3: CÁC NGUY CƠ MẤT AN TOÀN TRONG TRIỂN KHAI HỆ THỐNG MẠNG DỊCH VỤ IPTV HIỆN NAY 30 3.1 Giới thiệu nguy mạng IPTV 32 3.1.1 Các nguy cụ thể mạng IPTV 35 3.1.2 Các nguy cụ thể hệ thống Head-end 42 3.1.4 Các nguy hệ thống thiết bị đầu cuối thuê bao – Home end 59 3.2 Tổng hợp 63 SVTH: Ngơ Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV CHƯƠNG 4: CÁC GIẢI PHÁP CHỐNG CÁC NGUY CƠ TẤN CÔNG BẢO MẬT .65 4.1 Các tảng giải pháp bảo mật .66 4.1.1 Kiên cố hóa hệ điều hành 66 4.1.2 Đảm bảo tính liên tục, tin cậy dịch vụ 69 4.1.3 Phát ngăn chặn công – IDS/IPS .70 4.1.4 Firewall mạng 72 4.1.5 Bảo vệ khỏi giả mạo 73 4.2 Hệ thống Head-end nhà cung cấp dịch vụ IPTV .74 4.2.1 Các thành phần thiết yếu hệ thống head-end 74 4.2.2 Các đầu vào nội dung – Content input 77 4.2.3 Hệ thống mã hóa MPEG chức chuyển đổi định dạng Video .79 4.2.4 Hệ thống quản lý nội dung 79 4.2.5 Hệ thống lưu trữ nội dung 80 4.2.6 Hệ thống Digital Rights Management -DRM 82 4.2.7 Video streaming Server 86 4.2.8 Middleware Server 87 4.3 Mạng truyền dẫn dịch vụ IPTV .87 4.3.1 DSLAM 87 4.3.2 Firewalls 96 4.4 Hệ thống thiết bị đấu cuối home-end .96 4.4.1 Residential Gateway 96 4.4.2 Set top box 97 KẾT LUẬN 102 TÀI LIỆU THAM KHẢO .104 SVTH: Ngơ Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV DANH MỤC HÌNH VẼ Hình 1.1: Kiến trúc hệ thống IPTV Hình 1.2: Mơ hình chức hệ thống IPTV Hình 1.3: Khối chức cụ thể IPTV Hình 1.4: Cấu trúc tổng thể hệ thống IPTV .10 Hình 1.5: Cấu trúc Middleware 13 Hình 1.6: Phương thức truyền Unicast .13 Hình 1.7: Phương thức truyền Multicast 14 Hình 1.8: Mơ hình tập trung 15 Hình 1.9: Mơ hình Phân tán .15 Hình 1.10: Mơ hình P2P 16 Hình 1.11: Cấu trúc IP Set-Top-Box 17 Hình 1.12: Quá trình xử lý Set-Top-Box 18 Hình 2.1: Ví dụ phân bố VLAN đường truyền dẫn dịch vụ 19 Hình 2.2: Cấu trúc gói tin VLAN tiêu chuẩn IEEE 802.1Q .20 Hình 2.3: Cấu trúc gói tin IGMP V2 21 Hình 2.4: Truyền dẫn gói tin IGMP v2 DSLAM STB 22 Hình 2.5: Cấu trúc gói tin IGMP V3 23 Hình 2.6: Truyền dẫn gói tin IGMP v3 DSLAM STB 24 Hình 2.7: Cấu trúc gói tin RTP – RFC 3550 25 Hình 2.8: Ví dụ hoạt động RTSP 26 Hình 2.9: Chức DSLAM .28 Hình 3.1: Các tài nguyên thông tin home-end .30 Hình 3.2: Các nguy bảo mật tìm thấy (Số liệu từ Alcatel-Lucent Bell Labs) 31 Hình 3.3: Các thơng tin tài ngun hệ thống DRM VOD 31 Hình 3.4: Các nguy bảo mật hệ thống DRM VOD (Số liệu từ AlcatelLucent Bell Labs) 32 Hình 3.5: Phân chia nguy mạng IPTV 33 Hình 3.6: Mơ hình cấp cao hệ thống IPTV 43 Hình 4.1: Hệ thống IPTV Head-end 75 Hình 4.2: Các lớp bảo mật Head-end 76 Hình 4.3: Các lớp bảo mật – Truy cập trực tiếp tới DRM .82 SVTH: Ngô Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV DANH MỤC BẢNG Bảng 4.1 – Biện pháp bảo mật cho hệ thống quản lý khóa 78 Bảng 4.2 – Các phương pháp bảo mật cho phương tiện mang tin vật lý 78 Bảng 4.3 - Các phương pháp bảo vệ hệ thống mã hóa MPEG hệ thống chuyển mã79 Bảng 4.4 – Các phương pháp bảo mật cho Content management server 80 Bảng 4.5 – Các phương pháp bảo vệ hệ thống lưu trữ Video repository 81 Bảng 4.6 – Các phương pháp bảo vệ Video repository disk 82 Bảng 4.7 – Các phương thức bảo vệ lớp DRM 84 Bảng 4.8 – Các phương pháp bảo vệ DRM web service 85 Bảng 4.9 - Phương pháp bảo vệ DRM disk 86 Bảng 4.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống tính liên tục dịch vụ 91 Bảng 4.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống tính liên tục dịch vụ .92 Bảng 4.12 - Phương thức tách biệt thuê bao đảm bảo tính bảo mật, thống tính liên tục dịch vụ .93 Bảng 4.13 - Chức QoS đảm bảo tính bảo mật, thống tính liên tục dịch vụ 94 Bảng 4.14 - Giải pháp mạng ảo đảm bảo tính bảo mật, thống tính liên tục dịch vụ 95 SVTH: Ngô Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT AES ATSC BRAS CA CAS CPS DES DHCP DRM DSL Advanced encryption standard Advanced Television Systems Committee Broadband Remote Access Server Certification Authority Conditional access systems Content protection systems Data Encryption Standard Dynamic Host Configuration Protocol Digital Rights Management DSM Digital subscriber line (ADSL, ADSL2, ADSL+, ADSL2+) Digital Subscriber Line Access Multiplexer Digital storage Media DVI DVR EPG FTTx Digital Visual Interface Digital Video recoder Electronic Program Guide Fiber to the x DSLAM H.264/ AVC H.264/ AVC is a standard for video compression HD HFC HIS IEEE IGMP High Definition Hybrid Fibre-Coaxial High-speed Internet access Institute of Electrical and Electronics Engineers Internet Group Membership Protocol SVTH: Ngơ Quang Vinh Mã hóa bảo mật cấp cao Ủy ban truyền hình Hoa kỳ Server quản lý truy cập băng rộng từ xa Người cấp chứng thực số Hệ thống quản lý truy cập Hệ thống bảo vệ nội dung số Chuẩn mã hóa bảo mật liệu Cấp phát cấu hình đầu cuối kết nối động Hệ thống quản lý quyền nội dung số Đường thuê bao số Thiết bị ghép kênh trụy cập thuê bao số Giao thức điều khiển dòng truyền video Giao diện kết nối video số Thiết bị ghi Video số Bảng hướng dẫn chương trình Hệ thống truyền dẫn thuê bao quang Chuẩn định dạng Video xây dựng hợp tác tổ chức ITU-T Video Coding Experts Group (VCEG) kết hợp với ISO/IEC Moving Picture Experts Group (MPEG) Truyền hình phân giải cao Truyền dẫn quang lai Truy cập Internet tốc độ cao Viện nghiên cứu cơng nghệ điện điện tử Giao thức nhóm truyền dẫn quảng bá MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV IP IPTV IRD ISMACRYP KMS LAN MPEG MSDP NTSC PAL PIM PVR RSA RTCP RTP RTSP SSL STB TCP TLS TS UDP VLAN VOD VoIP WAN WiMAX Intellectual Property Internet Protocol Television Integrated Receiver Decoder Internet Streaming Media Alliance Encryption and Authentication Key management systems Local Area Network Moving Picture Experts Group Multicast source discovery protocol National Television System Committee Phase Alternating Line Protocol Independent Multicast Personal Video Recorder Rivest, Shamir and Adleman RTP Control Protocol Real-time Transport Protocol Real Time Streaming Protocol Secure socket layer Set Top Box Transmission Control Protocol Transport Layer Security Transport Stream User Datagram Protocol Virtual Local Area Network Video On Demand Voice-over IP Wide area network Worldwide Interoperability for Microwave Access SVTH: Ngô Quang Vinh Bản quyền sở hữu trí tuệ Truyền hình qua giao thức Internet Thiết bị thu nhận giải mã vệ tinh Công nghệ mã khóa chứng thực tổ chức ISMA Hệ thống quản lý khóa Mạng cục Nhóm phát triển tiêu chuẩn nén định dạng cho hình ảnh Giao thức chia sẻ định tuyến Multicast Chuẩn truyền hình tương tự NTSC Chuẩn truyền hình tương tự PAL Phương thức Multicast độc lập giao thức Thiết bị ghi video cá nhân Mã khóa cơng khai Giao thức điều khiển RTP Giao thức truyền dẫn thời gian thực Giao thức streaming video thời gian thực Lớp socket bảo mật Thiết bị thuê bao thu nhận giải mã nội dung Bộ giao thức truyền dẫn gói mạng IP Lớp truyền dẫn bảo mật Dịng truyền Video Giao thức truyền dẫn gói người dung Mạng LAN ảo Truyền hình theo yêu cầu Thoại qua mạng IP Mạng diện rộng Truy cập không dây cơng nghệ Wimax MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV LỜI NÓI ĐẦU Cơng nghiệp truyền hình trải qua nhiều thập kỷ phát triển biến đổi liên tục không ngừng, từ cách thức sản xuất chương trình đến phương thức phân phối nội dung chương trình truyền hình đến người xem Người xem ngày thưởng thức chương trình với kỹ thuật hình ảnh đẹp hơn, nhiều thơng tin hơn, thêm vào người xem chủ động với khả tương tác trực quan Theo thời gian, ngành công nghiệp chứng kiến đời mạng lưới truyền hình rộng lớn hơn, nội dung phong phú hơn: Hệ thống truyền hình vệ tinh, hệ thống truyền hình cáp, gần đời truyền hình phân giải cao HD (High Definition TV) nâng chất lượng nội dung khả truyền tải hệ thống truyền hình lên cấp độ việc ứng dụng công nghệ hàng đầu ngành thông tin truyền thông vào phục vụ sống Việc phát sóng chương trình truyền hình phân dải cao HD xem xu nhắm đến ngành cơng nghiệp truyền hình năm tới phạm vi toàn giới Hệ thống truyền hình IPTV - Internet Protocol Television đời xu hướng phát triển cơng nghệ trở thành thuật ngữ sử dụng ngày phổ biến lựa chọn tương lai ngành công nghệp IPTV thực chất hệ thống sản xuất truyền tải chương trình truyền hình (hình ảnh âm thanh) thơng qua việc đóng gói truyền tải gói tin mạng IP, sử dụng giao thức truyền dẫn mạng IP (Internet Protocol) Xu hướng xây dựng hệ thống truyền hình IPTV hình thành nay, yếu tố chủ yếu sau: Sự phát triển nhanh khoa học kỹ thuật lĩnh vực điện tử, tin học năm qua cho phép thực chương trình truyền hình trang thiết bị kỹ thuật số, tảng công nghệ thông tin trở nên ngày phổ biến Việc ứng dụng kỹ thuật khiến việc sản xuất chương trình trở lên nhanh hơn, chất lượng cao sản phẩm sau sản xuất dễ dàng thích ứng để cung cấp đến khu vực dịch vụ khác nhau: Ứng dụng xem video máy tính, điện thoại di động, thiết bị cầm tay di động PDA hệ mới,… SVTH: Ngơ Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV Công nghệ truyền dẫn phát triển, với phát triển nhanh chóng cơng nghệ nén giải nén hình ảnh âm kéo theo khả phân phối nội dung Video dòng truyền IP trở nên dễ dàng thực Xu hướng sử dụng sản phẩm đa chức năng, hệ thống dịch vụ tích hợp dịch vụ gốc (dịch vụ gia tăng – Value Add) phát triển ngày mạnh đáp để ứng nhu cầu ngày tăng người dùng Các hãng cung cấp thiết bị đầu cuối tích cực nghiên cứu cho các thiết bị đa chức năng, có khả thực "Triple play" cho Voice, Data, Video, tất thông qua giao tiếp truyền dẫn phổ thông rộng lớn nay: Giao tiếp IP Hệ thống IPTV cho phép thực chương trình truyền hình tương tác hơn, phong phú nhiều so sánh với hệ truyền hình trước Người xem truyền hình chủ động nhu cầu xem chương trình Hơn với khả tương tác mạnh, lần người xem tham gia ln vào phần trình diễn chương trình truyền hình nhà cung cấp dịch vụ IPTV Việc tận dụng sở hạ tầng mạng sẵn có để truyền tải nội dung có ý nghĩa quan trọng quan điểm đầu tư nhà cung cấp dịch vụ nội dung Các nhà cung cấp dịch vụ cần mua lại phần dải thông mạng nhà cung cấp dịch vụ mạng sẵn có mà không cần đầu tư xây dựng hạ tầng mạng Hơn nữa, mạng IP mạng kết nối rộng khắp giới, khiến việc truyền tải nội dung không bị ảnh hưởng nhiều ngăn cách địa lý, vùng miền Một hệ thống sản xuất cung cấp nội dung chất lượng cao hơn, nhanh đáp ứng tốt nhu cầu chất lượng ngày phát triển người xem, thêm vào khả tiếp cận người tiêu dùng rộng lớn IPTV đích đến mong muốn tất cơng ty, tổ chức truyền thơng nói chung giới Vì việc xây dựng hệ thống IPTV mong muốn hường đến công ty Do lợi điểm nêu trên, hệ thống IPTV đời phát triển mạnh thời gian gần yêu cầu phát triển khách quan ngành cơng nghiệp truyền hình Để đảm bảo mơ hình kinh doanh dịch vụ IPTV đem lại hiệu hợp lệ, SVTH: Ngơ Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV nhà cung cấp dịch vụ IPTV cần đảm bảo hệ thống cung cấp dịch vụ phải thực khả cung cấp dịch vụ ổn định liên tục diện rộng, bảo mật tránh tượng xao chép, trộm cắp, tái phân phối nội dung phi pháp, sử dụng không quyền nội dung số Luận văn tập trung vào tìm hiểu, phân tích kiến trúc hệ thống mạng dịch vụ IPTV, điểm yếu bảo mật hệ thống IPTV để từ đưa phương án nhằm giảm tối đa nguy bảo mật hệ thống mạng dịch vụ SVTH: Ngô Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV CHƯƠNG I: TỔNG QUAN IPTV 1.1.Khái niệm IPTV gọi truyền hình giao thức Internet, Telco TV hay truyền hình băng rộng, với nghĩa truyền tải truyền hình quảng bá video theo yêu cầu, chương trình phát có chất lượng cao mạng băng rộng Theo quan điểm đối tượng sử dụng, việc khai thác va xem IPTV giống dịch vụ TV trả tiền ITU-T (ITU-TFGIPTV) thức chấp thuận định nghĩa IPTV sau: IPTV định nghĩa dịch vụ đa phương tiện truyền hình/video/audio/văn bản/đồ họa/số liệu truyền tải mạng dựa IP kiểm soát nhằm cung cấp mức chất lượng dịch vụ, độ mãn nguyện, độ bảo mật tin cậy theo yêu cầu Từ quan điểm nhà cung cấp dịch vụ, IPTV bao hàm trình thu thập, xử lí truyền tải cách an toàn nội dung video hạ tầng mạng dựa công nghệ IP Tham gia vào trình cung cấp dịch vụ IPTV gồm nhiều nhà cung cấp dịch vụ từ nhà cung cấp dịch vụ truyền hình cáp, truyền hình vệ tinh đến công ty viễn thông lớn nhà khai thác mạng riêng nhiều nơi giới IPTV có đặc điểm sau: Hỗ trợ truyền hình tương tác: Các khả hoạt động hai chiều hệ thống IPTV cho phép nhà cung cấp dịch vụ đưa số lượng lớn ứng dụng truyền hình tương tác Các loại hình dịch vụ phân phối qua dịch vụ IPTV bao gồm truyền hình trực tiếp tiêu chuẩn, truyền hình độ trung thực cao (HDTV), trò chơi trực tuyến kết nối Internet tốc độ cao Không phụ thuộc thời gian: IPTV kết hợp với máy thu video số cho phép tạo chương trình nội dung khơng phụ thuộc thời gian chế ghi lưu lại nội dun IPTV sau xem lại Tăng tính cá nhân: Hệ thống IPTV từ đầu cuối- đầu cuối hỗ trợ thông tin hai chiều cho phép user sử dụng lựa chọn thiết lập xem TV theo sở thích riêng chương trình thời gian xem ưa thích SVTH: Ngơ Quang Vinh MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV 4.3.1.1 Access Session control DSLAM hỗ trợ tập chế chứng thực thuê bao khác khả kiểm tra phiên giao dịch – chức quan trọng xác thực cho STB hệ thống IPTV Sử dụng thông tin định danh thuê bao STB, thuê bao chứng thực thông qua hệ thống sở liệu người dùng lưu DSLAM hay RADIUS server bên ngồi DSLAM trao đổi thơng tin sở liệu người dùng vớiư RADIUS server với Middleware server Thuê bao liệu đường truyền vật lý xem xét trình chứng thực Chỉ cổng vật lý đăng kỹ quyền truy cập thông tin mạng dịch vụ truy cập đến hệ thống Head-end Cơ chế giảm thiểu phần lớn truy cập trái phép đến hệ htống mạng Có mối liên hệ một cổng vật lý thuê bao Bất kỳ kẻ công phải chứng thực qua nhờ sử dụng cổng vật lý hợp lệ DSLAM kiểm tra tính hợp lệ người dùng truy cập sở địa MAC, sử chế chứng thực phổ thông khác chẳng hạn như: giao thức bắt tay, chứng thực địa IP giao thức chứng thực PPP Khi cổng liên kết với địa MAC thuê bao, giả mạo thuê bao từ đường truyền khác Trong môi trường IP dễ dàng việc giả mạo gói tin hay dễ dàng thực công phiên giao dịch IP Tuy nhiên trình xác thực cung cấp DSLAM loại trừ kiểu công Hệ thống IPTV bao gồm hàng nghìn th bao Thơng thường có từ 5,000 đến 10,000 thuê bao đối DSLAM, cách thực tế khả thi để quản lý địa IP sử dụng giao thức DHCP Khi DHCP sử dụng, DSLAM sử dụng trường thơng tin DHCP Option 82 để đưa vào thông tin liệu có liên quan đến đường truyền vật lý Quá trình chứng thực với STB chủ yếu thực thông qua giao thức DHCP option 82 DHCP option 82 nghe ngóng yêu cầu DHCP từ thuê bao chèn thông tin xác định đường truyền vật lý trường option 82 gói tin DHCP Thơng tin thông thường bao gồm: access node ID, shelf ID, slot ID cuối line ID Trường thông tin sử dụng để xác định thuê bao gán (hoặc từ chối gán) địa IP hợp lệ cho thuê bao SVTH: Ngô Quang Vinh 92 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV để truy cập dịch vụ Nếu thuê bao cố gắng làm sai trình chứng thực DSLAM, hệ thống dễ dàng nhận tham số chỉnh sửa thởi thuê bao DHCP option 82 chế mạnh để đảm bảo điều khiển truy cập đến hệ thống mạng dịch vụ Các địa MAC chứng thực lưu lại với thơng tin đường thuê bao vật lý, cho phép thuê bao có số lượng nhỏ thiết bị mạng tiền chứng thực để truy cập mạng Mỗi địa mạng cố gắng truy cập mạng, hệ thống hỏi thông tin cho chứng thực (user name, password) trước thêm địa MAC vào hệ thống sở liệu Khi triển khai đắn, DHCP option 82 loại trừ hầu hết hội để công giả mạo IP địa IP DSLAM cung cấp lọc với quy tắc lọc cung cấp bới gateway Đặc biệt DSLAM quản lý loại yêu cầu gửi từ STB thông qua mạng VLAN khác Ví dụ DSLAM cấu hình phép yêu cầu dịch vụ HTTP, HTTPS, DHCP, DNS RTSP từ STB Bằng cách loại bỏ tất yêu cầu đến cổng khơng cần thiết, DSLAM bảo vệ phần lại hệ thống khỏi công DOS Bảng 4.10 sau cho thấy tác dụng phương thức bảo mật với ACL nhằm đảm bảo tính bảo mật, thống khả cung cấp dịch vụ liên tục: Bảng 4.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống tính liên tục dịch vụ Điều khiển Bảo mật Thống Tính liên tục dịch vụ DHCP option 82 Kẻ công không Kẻ công không truy cập Giảm thiểu nguy thể giả mạo địa thể giả mạo địa phiên truyền dẫn làm giả địa chỉ hợp lệ để hợp lệ để công MAC, địa IP công Head-end từ chối dịch vụ DOS chỉnh sử thông tin SVTH: Ngơ Quang Vinh 93 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV 4.3.1.2 Định tuyến - routing Nhà cung cấp dịch vụ sử dụng định tuyến lớp tĩnh, động theo sách nhà cung cấp dịch vụ Định tuyến dựa sách thực cách sử dụng số miền địch tuyến ảo Virtual routing domains (VRDs) Mỗi VRD sử dụng để cung cấp định định tuyến cho gói tin thuê bao dựa thành phần định tuyến VRD để xác định thuê bao thuộc định tuyến Với phương thức định tuyến bản, gói tin phân đoạn miền hợp lệ, đảm bảo thành phần mạng chứng thực phép truyền dẫn IPTV VRD Các STB không chứng thực gửi gói tin mạng IPTV Điều bao gồm trường hợp kẻ công cố gắng truy cập mạng dịch vụ cách công đường truyền vật lý Bảng 4.11 sau cho thấy tác dụng phương thức định tuyến nhằm đảm bảo tính bảo mật, thống khả cung cấp dịch vụ liên tục: Bảng 4.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảo mật Định tuyến Thống Tạo miền Trong VRDs, Tính liên tục dịch vụ Mỗi VRD gán VRDs giảm thiểu thông tin bảo vệ lức dải thông nguy truy khỏi trình định hoạt cập trái phép đến chỉnh sửa thay đổi động với tham số thông tin QoS 4.3.1.3 Tách biệt thuê bao Với nguy xảy từ viruses worms, với nguy hiển nhiên việc kẻ công sử dụng STB để công STB lân cận, cần phải tách biệt người dùng mạng dịch vụ cung cấp Chức tách biệt người dùng đảm bảo người dùng truy cập STB người dùng khác, giảm ảnh hưởng trình lây nhiễm hàng loạt đầu cuối mạng Virus, worm Nếu kẻ cơng lấy quyền điều khiển SVTH: Ngô Quang Vinh 94 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV STB, kẻ cơng kết nối đến STB khác mạng để thực công Do gói tin truyền STb khơng hợp lệ bị loại bỏ DSLAM, không ảnh hưởng đến truyền dẫn dịch vụ mạng Bảng 4.12 sau cho thấy tác dụng phương thức tách biệt thuê bao nhằm đảm bảo tính bảo mật, thống khả cung cấp dịch vụ liên tục: Bảng 4.12 - Phương thức tách biệt thuê bao đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảo mật Tách Thống Tính liên tục dịch vụ biệt STB các thiết Kẻ công không người sử bị khác an thể thực truy cập dụng toàn cách biệt với STB từ STB truy cập từ để thực thuê bao khác thao túng STB xa 4.3.1.4 Quản lý chất lượng dịch vụ DSLAM phân loại dải thơng để đảm bảo QoS dịch vụ đạt đường truyền Quy tắc DSLAM đảm bảo dịch vụ thiết yếu quan trọng cung cấp Chức cung cấp bảo vệ thêm cho hệ thống khỏi công DOS từ thuê bao cố gắng dành hết dải thông dịch vụ từ head-end Các phiên truyền dẫn điều khiển đảm bảo ln có lượng dải thơng tối thiểu cho dịch vụ quan trọng thiết yếu Trong thiết kế triển khai DSLAM yêu cầu dải thông dịch vụ, người thiết kế cần xác định mức dải thơng lớn STB u cầu Mọi cố gắng sử dụng nhiều giải thông phép bị loại trừ chức đảm bảo QoS tỏng hệ thống DSLAM Trong hệ thống IPTV, cần thiết phải đảm bảo người dùng thực công Flood cách gửi nhiều yêu cầu đến head-end Một giải thông tối thiểu cần dành để đảm bảo tất người dùng kết nối SVTH: Ngơ Quang Vinh 95 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV đến Head-end thời điểm để truy cập dịch vụ Hơn nội dung quảng bá gửi head-end cần có mức giải thơng tối thiểu đến thỏa mãn cấp chất lượng người xem Bảng 4.13 sau cho thấy tác dụng phương thức QOS nhằm đảm bảo tính liên tục dịch vụ: Bảng 4.13 - Chức QoS đảm bảo tính bảo mật, thống tính liên tục dịch vụ Quản lý chất lượng Bảo mật Thống Tính liên tục dịch vụ Kẻ cơng khơng thể sử dụng tồn dịch dải thông nhằm công từ chối vụ QoS dịch vụ DOS 4.3.1.5 Mạng ảo mạng kết nối thuê bao ảo Khi mạng ảo virtual private networks (VPNs VLANs) sử dụng để truyền thông tin giá trị sử dụng tảng mạng công cộng, liệu bảo vệ khỏi truy cập trái phép Trong mạng VPN, nhóm thành phần mạng chứng thực phép truy cập đến nội dung Các mạng ảo sử dụng để tách biệt giải thông IPTV khỏi tất loại hình dịch vụ khác thơng qua DSLAM Với chức QoS DSLAM, dải thơng điều khiển đảm bảo loại trừ công từ chối dịch vụ VLAN VPNs sử dụng để chia tách giải thông truyền dẫn dịch vụ khác như: IPTV, VoIP, Internet access, control, … Trong mạch vòng thuê bao, quy tắc chế bảo mật khác triển khai, dải thơng định bị khóa giảm thiểu nhiễu mạng Ví dụ VLAN dùng IPTV, chế bảo mật triển khai để đảm bảo yêu cầu giao thức HTTPS truyền từ STB đến Head-end SVTH: Ngô Quang Vinh 96 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV Tùy thuộc vào loại thiết bị, chức triển khai sử dụng hệ thống lọc lớp lớp – chức liên kết đến yêu cầu bảo mật khả bảo mật thiết bị Bảng 4.14 sau cho thấy tác dụng hệ thống mạng ảo nhằm đảm bảo tính bảo mật, thống nhất, liên tục dịch vụ: Bảng 4.14 - Giải pháp mạng ảo đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảo mật Mạng ảo & Các thơng Thống Tính liên tục dịch vụ tin Cung cấp khả Các dòng truyền Mạng truy phân đoạn hạn chế kiểu loại phân đoạn, giảm thiểu cập thuê cho phép bảo vệ liệu truyền dẫn khả công bao ảo tốt cho tính phép, giảm thiểu loại flooding bảo mật thơng cơng làm ảnh tin hưởng đến tính thống liệu hệ thống 4.3.1.6 Giao thức chứng thực 802.1X Authentication IEEED phát triển tiêu chuẩn cho mạng cục LAN MAN, thực chức điều khiển truy cập mạng thông cổng dịch vụ Rất nhiều mạng có số lượng cổng vật lý bị cơng bới truy cập trái phép Các cổng vật lý sử dụng để truy cập cần điều khiển logic hợp lệ để hạn chế hiểm nguy bảo mật Mục đích tiêu chuẩn cho phép hạn chế truyền dẫn kết nối thực kiểm tra đầu cuối qua bước chứng thực cho phép sử dụng dịch vụ Các thiết bị kết nối gọi supplicants, bên chứng thực gọi authenticators (trường hợp DSLAM) có server cho chứng thực để đưa định chứng thực (trường hợp RADIUS server sử dụng EAP) Supplicant bắt đầu với yêu cầu 802.1X sử dụng EAPoL Yêu cầu nhận authenticators gửi đến authentication server sử dụng SVTH: Ngô Quang Vinh 97 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV EAP/RADIUS Một authentication server xác nhận thông tin chứng thực hợp lệ chứng thực thành công cho Supplicant, cấu hình Port lúc điều chỉnh gán quyền truy cập dịch vụ cho thuê bao 4.3.2 Firewalls Firewall thành phần cần có để bảo vệ dải thông từ DSLAM đến Middleware server Thậm chí gateway khu vực truy cập thuê bao DSLAM khóa yêu cầu từ cổng khơng chứng thực, có số nguy theo kẻ cơng thay đổi chế Trước vào mạng Home-end, hệ thống firewall phải triển khai để lọc tất yêu cầu cho phép yêu cầu đến Middleware server Cơ chế bảo mật Web server cung cấp chức bảo vệ cho cổng 80/443 nhiên cổng khác có nguy bị công 4.4 Hệ thống thiết bị đấu cuối home-end Hệ thống home-end cho thấy số khó khăn việc quản lý vấn đề bảo mật mạng IPTV Các thành phần tầm kiểm soát nhà cung cấp dịch vụ IPTV phần cứng đối diện trước nguy bị chỉnh sửa kẻ công Các phương pháp triển khai thiết bị home-end với mục đích làm chậm cơng khóa công tầm thường mức độ đơn giản Các chế bảo mật mạnh sử dụng hệ thống mạng truyền dẫn Cũng cần lưu ý STB có truy cập ảo đến hệ thống lưu trữ nội dung trung tâm dịch vụ IPTV thông qua yêu cầu hợp lệ Nếu kẻ công lấy quyền điều khiển STB thông qua mạng Internet, họ lấy nội dung từ STB 4.4.1 Residential Gateway Residential gateway – Gateway khu vực truy cập thuê bao – tập trung dịch vụ khác cung cấp đến thuê bao vào đường truyền dẫn Residential gateway có số chế bảo mật bao gồm chức lọc khả thực QoS Residential gateway chia sẻ kết nối cục bao gồm VoIP phones, high-speed Internet access IPTV services SVTH: Ngô Quang Vinh 98 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV 4.4.1.1 Filtering Residential gateway cấu hình để lọc gói tin cho phép yêu cầu hợp lệ từ thiết bị Home-end tới Head-end Đặc biệt, filter khóa giải thơng truyền dẫn nội dung không phù hợp với loại dải thông truyền hợp lệ (ví dụ 80, 443 RSTP) Chức giảm thiểu nguy sâu máy tính worms viruses gây lây nhiễm cho diện số lượng lớn STB để thực công DOS head-end Các lọc sử dụng để khóa cố gắng truy cập trái phép từ head-end tới STB hay thiết bị khác Home-end Chức loại bỏ khả bị công thông qua công cụ Port scan 4.4.1.2 QoS Quản lý chất lượng dịch vụ QoS thực residential gateway để hỗ trợ tăng cường cho vấn đề bảo mật Các dòng truyền nội dung yêu cầu mức giới hạn dải thông để truyền dẫn Nếu STB bị nhiễm sâu hay virus cố gắng gửi số lượng lớn liệu qua cổng hợp lệ (80, 443, RSTP), QoS hạn chế dải thơng hạn chế mức độ cách cơng Q trình thực QoS thực lại nhiều lần nhiều điểm Home-end head-end, đặc biệt DSLAM firewall 4.4.2 Set top box STB thông thường phần cứng tích hợp IC Có số giới hạn STB dựa tảng PC STB có nguy bảo mật việc truy cập trái phép nội dung số đánh cắp khóa mã khóa bảo mật Kẻ cơng tháo rời thành phần phần cứng để tìm điểm yếu hệ thống STB, số trường hợp chế tạo lập trình lại chương trình bên STB để tạo kẽ hở Các PC cho phép truy cập dễ dàng đến khóa nội dung, kẻ cơng có quyền điều khiển toàn hệ thống cần thực thao tác đơn giản STB lấy khóa lưu trữ nhớ nội dung ghi nhớ đệm trình giải mã SVTH: Ngơ Quang Vinh 99 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV STB thiết kế để chứa đựng hệ điều hành chương trình sử dụng thành phần phần cứng Một thành phần STB nhớ Flash Flash memory loại nhớ dễ dàng bị bị xóa điện tái lập trình Các thành phần sử dụng để lưu mã chương trình khóa Các thơng tin lưu lại STB ngắt kết nối khỏi nguồn điện Trong trình thiết kế mạng IPTV, chuyên gia bảo mật cần đảm bảo chọn STB có cấu trúc chấp nhận có chức bảo mật định, đảm bảo bảo vệ hệ thống khỏi công Khi so sánh model sản phẩm khác nhau, chuyên gia bảo mật cần xác định nguy STB xác định chất lượng model việc bảo vệ khỏi công Các hệ điều hành STB cần làm kiên cố hóa chặt chẽ theo khuyến cáo nhà sản xuất Các cổng truyền dẫn khơng cần thiết phải vơ hiệu hóa để tránh khả bị truy cập trái phép 4.4.2.1 Bộ xử lý bảo mật Một số hãng sản xuất STB tạo chế bảo mật Chipset để bảo vệ chương trình bên Chức cho phép bảo mật thông tin lưu trữ Kẻ công thực thu bắt thông tin lưu trữ vùng nhớ Trong số loại sản phẩm, khóa nhớ flash bảo vệ khỏi cơng xóa cấy chương trình độc hại Việc khóa ln đảm bảo STB chạy ứng dụng theo chức ban đầu Các chế khác sử dụng bao gồm chế chứng thực flash CPU Mỗi thành phần kiểm tra hợp lệ cung cấp thơng tin chứng thực Q trình chứng thực đảm bảo hoạt động sai thông qua thao túng kẻ công bị kiểm tra ngăn chặn Cũng có chế chống đọc đảm bảo khơng thể đọc nhớ, hay xao chép liệu, đảm bảo an tồn quyền nội dung chương trình lập trình SVTH: Ngơ Quang Vinh 100 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV Nói chung thành phần hệ thống thực dạng nhúng vào chip vi xử lý Các thành phần xử lý bảo mật nhúng chíp bao gồm: • Processors – xử lý; • Tamper detection system – hệ thống phát thâm nhập; • Key storage section – thành phần lưu trữ khóa; • Boot protection information – thơng tin khởi động; • Access controls – điều khiển truy cập; • Cryptographic engines – hệ thống xử lý mã khóa; • secure channel – kênh bảo mật Hệ thống phát xâm nhập chế phát triển thêm cho phép phát trình thay đổi thao túng phần cứng Nếu xử lý bị tháo rời khỏi mạch kẻ công cố gắng truy cập vào thành phần vật lý, thành phần bị lỗi hoạt động STB bị dừng Kênh bảo mật sử dụng để trao đổi thông tin với xử lý Các nội dung mã khóa gửi đến thành phần, đường từ vi xử lý bảo vệ theo cách tương tự Giải mã khóa bí mật lưu sử dụng thành phần bảo đảm xử lý Nếu DRM hay Middleware server gửi khóa mã khóa đối xứng khóa cơng khai STB, gói tin nhận STB theo dạng mã khóa gửi đến xử lý bảo mật để giải mã lưu lại cho sử dụng sau Các hệ thống thực mã khóa sử dụng để tăng cường khả xử lý mã khóa đảm bảo mơi trường cơng việc an tồn cho thơng tin bảo mật nội dung mã khóa gửi tới xử lý bảo mật thông qua kênh bảo mật giải mã khóa thơng qua khóa đối xứng Các khóa khơng rới khỏi xử lý dạng thơ khơng mã hóa – clearntext, khơng có khả kẻ cơng lấy nội dung nguyên thủy Mục đích xử lý để bảo vệ thông tin liệu quan trọng Các liệu mã khóa nhận được, giải mã thực xử lý an tồn SVTH: Ngơ Quang Vinh 101 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV Các nhớ mã hóa liệu điều khiển xử lý Do khơng có hội để kẻ cơng lấy nội dung ngun gốc Tất thành phần hệ thống mã khóa 4.4.2.2 DRM DRM Client thực q trình trao đổi khóa kiểm tra Trong mơi trường máy tính, DRM client có tùy chọn hạn chế để quản lý bảo vệ khóa, phần lớn trường hợp hợp lưu nhớ hệ thống DRM client tham dự vào q trình kiểm tra trao đổi khóa PKI, bao gồm trình đưa chứng thực số STB, thơng tin kiểm tra mã khóa (thơng qua xử lý bảo mật) trình kiểm tra thơng tin tính hợp lệ từ DRM server Middleware server Các DRM client Web browser phải cấu hình đắn để kiểm tra thơng tin PKI Danh mục chứng thực số hết hạn – CRL - khơng cịn hợp lệ cần download kiểm tra thường xuyên hệ thống CRL phải ký CA hợp lệ, chứng thực gốc CA cần lưu hệ thống bảo mật an toàn STB bảo vệ khỏi thay đổi thông tin Kẻ công giả mạo chứng thực CA để giả mạo STB để có chứng thực hợp lệ từ Middleware server hay Middleware Trong tình tương tự, chứng thực số từ STB khóa bí mật cần lưu trữ khu vực an toàn STB để tránh can thiệp trái phép 4.4.2.3 Bảo vệ đầu Các kẻ cơng cố gắng lấy quyền điều khiển STB để lấy thông tin nội dung Các đường STB bị can thiệp để tái phân phối trái phép nội dung số Các đầu cần bảo vệ theo tiêu chuẩn quốc tế sau: • High-bandwidth digital content protection (DHCP): High-bandwidth digital content protection (HDCP) sử dụng để bảo vệ nội dung số khỏi trình xao chép xử lý tái phân phối nội dung Tiêu chuẩn áp dụng cho đầu số từ DVI HDMI DHCP cung cấp chế chứng thực để khóa đường phân giải cao đến thiết bị không chứng nhận DHCP làm việc cách SVTH: Ngơ Quang Vinh 102 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV cung cấp tập 40 khóa cho thiết bị Các khóa chiều dài 56 bits Một vector phụ trợ Key selection vector (KSV) gán cho thiết bị sử dụng thu STB để trao đổi thơng tin tính hợp lệ chọn khóa mã khóa DHCP • Digital transmission content protection: Transmission content protection (DTCP) sử dụng phép kết nối thành phần hệ thống Home-end Phương thức kết nối cho phép set top boxes, personal computers, media consoles thiết bị khác sử dụng USB, PCI, Bluetooth, Firewire IP Đường STB bị hạn chế thành phần chứng nhận DTCP Phương thức giảm thiểu nguy trộm cắp nội dung số SVTH: Ngô Quang Vinh 103 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV KẾT LUẬN Công nghệ truyền hình Internet IPTV ngày phát triển mạnh thay mạng truyền hình truyền thống Hệ thống mạng truyền hình IPTV có nhiều lợi điểm to lớn tính đa dạng linh hoạt cung cấp dịch vụ, tính tương tác người dùng mạnh, đáp ứng nhu cầu truyền hình theo yêu cầu (Video On Demand) – đặc điểm mà mạng truyền hình trước khơng có Hơn ngày nay, hầu hết đầu cuối người dùng áp dụng công nghệ truyền dẫn xử lý trao đổi thông tin qua IP, việc xây dựng hệ thống dịch vụ IPTV cho phép tiếp cận diện rộng đối tượng thuê bao khác Tuy nhiên, xem xét tất thành phần cần thiết cho hoạt động hệ thống dịch vụ IPTV dễ dàng nhận thấy hàng trăm chí hàng nghìn điểm yếu nguy bảo mật trình triển khai xây dựng hệ thống lần đầu Một hệ thống IPTV bảo mật với giá thành phải thực cách nắm bắt hiểu rõ cơng nghệ có liên quan q trình truyền thơng tin thành phần hệ thống dịch vụ Các chuyên gia bảo mật phải xem xét tác động tác vụ thêm vào hay bỏ chức bảo mật phải biết nguy tiềm tàng xảy hệ thống mạng dịch vụ triển khai Nhà cung cấp dịch vụ IPTV phải có kế hoạch xây dựng triển khai hệ thống với khả bảo mật định để đảm bảo an toàn cho tài nguyên số đảm bảo thu lợi nhuận hợp lý từ nguồn đầu tư Việc nghiên cứu tiếp tục phát triển công nghệ bảo mật cho hệ thống mạng dịch vụ IPTV cần thực thường xuyên liên tục Không hệ thống DRM, mã khóa, hay CAS đảm bảo an toàn liên tục thời gian dài Công nghệ phát triển kéo theo phát triển công nghệ xử lý mới, khiến cho cơng nghệ mã khóa bảo mật chế bảo mật cũ trở lên lỗi thời khơng cịn phù hợp Các hệ thống bảo mật mới, chế mã SVTH: Ngô Quang Vinh 104 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV khóa cần triển khai để liên tục cập nhập khắc phục cố xảy trình khai thác dịch vụ Mục tiêu luận văn chủ yếu vào phân tích làm bật điểm yếu bảo mật, nguy hữu hệ thống cung cấp dịch vụ IPTV đưa số phương pháp công nghệ thường sử dụng để đảm bảo bảo tính bảo mật cho hệ thống IPTV SVTH: Ngô Quang Vinh 105 MSSV: 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV TÀI LIỆU THAM KHẢO Tiếng Anh [1] ATIS-0800007 (2007), ‘IPTV High Level Architecture’, ATIS-IIF [2] Fenner, W (1997), ‘Internet Group Management Protocol, Version 2’, IETF [3] Gilbert Held (2006), ‘Understanding IPTV’, AUERBACH PUBLICATIONS [4] Internet Streaming Media Alliance (2005), ‘Encryption and Authentication, Version 1.1’ [5] IETF (1998), ‘Real Time Streaming Protocol (RTSP)’ [6] IETF (1998), ‘Protocol Independent Multicast (PIM)’ [7] IETF (2002), ‘Internet Group Management Protocol, Version 3’ [8] IETF (2002), ‘RTP:a Transport Protocol for Real-Time Applications’ [9] IETF (2003), ‘Multicast Source Discovery Protocol (MSDP)’ [10] Institute of Electrical and Electronics Engineers (2005), ‘802.1Q – Virtual LANs’ [11] International Telecommunication Union (1997), ITU-T Recommendation X.509 [12] Johan Hjelm (2008), ‘Why IPTV? Interactivity, Technologies and Services’, A John Wiley and Sons, Ltd, Publication [13] Ramachandran, K (2002), ‘Spoofed IGMP Report Denial of Service Vulnerability’ [14] Website: http://www.ietf.org/ [15] Website: http://www.rsa.com/ [16] Website http://www.ieee802.org [17] Website http://www.isma.tv/ [18] Website: http://broadcastengineering.com/iptv/ SVTH: Ngô Quang Vinh 106 MSSV: 508102091 ... từ hệ thống mạng sử dụng để truyền tải dịch vụ; IPTV tồn điểm yếu bảo mật tồn giao thức TCP/IP thành phần mạng truyền dẫn Do phương thức tương tự để bảo vệ thống mạng TCP/IP sử dụng mạng TCP/IP... 508102091 PHÂN TÍCH CÁC VẪN ĐỀ BẢO MẬT TRONG HỆ THỐNG IPTV CHƯƠNG MẠNG TRUYỀN DẪN IPTV – CÁC GIAO THỨC SỬ DỤNG Nội dung chương trình (Content) sau rời khỏi khu vực Head-end truyền theo dạng: Unicast... thuê bao yêu cầu từ mạng Trong truyền dẫn mạng IPTV, nội dung chương trình cần truyền đảm bảo thời gian thực – Realtime, giao thức truyền gói UDP thơng qua RTP RTSP thường sử dụng SVTH: Ngô Quang