(Luận văn) nghiên cứu vấn đề bảo mật hệ thống tptv và ứng dụng cho dịch vụ mytv

1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG lu an n va NGÔ LINH HUY p ie gh tn to w NGHIÊN CỨU VẤN ĐỀ BẢO MẬT HỆ THỐNG IPTV VÀ ỨNG d oa nl DỤNG CHO DỊCH VỤ MyTV ul nf va an lu oi lm LUẬN VĂN THẠC SĨ KỸ THUẬT z at nh (Theo định hướng ứng dụng) z m co l gm @ an Lu Hà Nội, 2017 n va ac th si LỜI CẢM ƠN Trước tiên, em xin gửi lời cảm ơn chân thành sâu sắc đến tới thầy giáo Học viện Cơng Nghệ Bưu Chính Viễn Thơng nói chung thầy giáo khoa quốc tế đào tạo sau đại học nói riêng tận tình giảng dạy, truyền đạt cho em kiến thức, kinh nghiêm quý báu suốt thời gian qua lu Đặc biệt em xin gửi lời cảm ơn đến thầy giáo TS Vũ Văn Thỏa tận tình giúp an đỡ, trực tiếp bảo, hướng dẫn em suốt trình làm luận văn Trong thời gian va n làm việc thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích học tn to tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu Đây Sau em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, p ie gh điều cần thiết cho em trình học tập công việc sau oa nl văn w đóng góp ý kiến giúp đỡ em q trình học tập, nghiên cứu hồn thành luận d Trong luận văn điều kiện thời gian điều kiện nghiên cứu hạn lu bạn nf va an chế nên cịn nhiều thiếu sót, em mong nhận góp ý từ quý thầy cô khỏe thành đạt oi lm ul Một lần em xin chân thành cảm ơn tất người Chúc người sức z at nh Hà Nội, ngày tháng năm Học viên z l gm @ Ngô Linh Huy m co an Lu n va ac th si LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi Nội dung luận văn có tham khảo sử dụng tài liệu, thông tin đăng tải tạp chí trang web theo danh mục tài liệu tham khảo Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỉ luật theo quy định lu cho lời cam đoan an va n TÁC GIẢ LUẬN VĂN p ie gh tn to d oa nl w an lu oi lm ul nf va NGÔ LINH HUY z at nh z m co l gm @ an Lu n va ac th si MỤC LỤC DANH MỤC HÌNH VẼ (i) DANH MỤC CÁC TỪ VIẾT TẮT (ii) LỜI MỞ ĐẦU .1 CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Giới thiệu công nghệ IPTV lu an 1.1.1 Khái niệm IPTV n va 1.1.2 Hệ thống IPTV tn to 1.2 Các dịch vụ IPTV 1.3.1 Yêu cầu bảo mật nội dung số 11 p ie gh 1.3 Các yêu cầu bảo mật cho IPTV 11 w 1.3.2 Yêu cầu bảo mật hệ thống Head-end 12 oa nl 1.3.3 Yêu cầu bảo mật hệ thống truyền dẫn IPTV 12 1.3.4 Yêu cầu bảo mật hệ thống thiết bị đầu cuối 13 d an lu 1.4 Kết luận chương I .14 ul nf va CHƯƠNG II NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ IPTV oi lm 2.1 Các nguy làm an toàn, bảo mật hệ thống dịch vụ IPTV 15 z at nh 2.1.1 Truy cập gian lận 17 2.1.2 Phát sóng trái phép .18 z 2.1.3 Xuyên tạc nội dung .19 @ gm 2.1.4 Nguy xâm nhập công nhà cung cấp dịch vụ IPTV 20 l 2.1.5 Nguy thiết bị đầu cuối thuê bao IPTV 24 m co 2.2 Các giải pháp bảo mật cho dịch vụ IPTV 27 2.2.1 Giải pháp bảo vệ nội dung 27 an Lu 2.2.1.1 Hệ thống bảo vệ nội dung (CPS) 27 n va ac th si 2.2.1.2 Hệ thống truy cập có điều kiện (CAS) 27 2.2.1.3 Quản lý quyền số (DRM) 28 2.2.2 Giải pháp bảo mật hệ thống Head-end nhà cung cấp dịch vụ IPTV 31 2.2.3 Bảo mật mạng truyền dẫn dịch vụ IPTV 34 2.2.3.1 DSLAM 34 2.2.3.2 Định tuyến – routing 39 lu an 2.2.3.3 Tách biệt thuê bao .40 n va 2.2.3.4 Mạng ảo mạng kết nối thuê bao ảo .41 tn to 2.2.4 Giải pháp bảo mật hệ thống thiết bị đấu cuối home-end 43 gh 2.2.4.1 Residential Gateway 43 p ie 2.2.4.2 Filtering 43 2.2.4.3 Set top box .43 oa nl w 2.3 Kết luận chương II 44 CHƯƠNG III NGHIÊN CỨU ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT d an lu CHO DỊCH VỤ MyTV CỦA VNPT nf va 3.1 Giới thiệu dịch vụ MyTV 45 oi lm ul 3.1.1 Dịch vụ truyền hình (Live TV) .45 3.1.2 Dịch vụ tạm dừng (Time shift TV - TSTV) 46 z at nh 3.1.3 Dịch vụ lưu trữ (Network Personal Video Recorder - NPVR) 46 3.1.4 Sóng phát trực tuyến 46 z 3.1.5 Truyền hình xem lại (TV on Demand) 46 @ gm 3.1.6 Phim truyện 46 l 3.1.7 Ca nhạc .47 m co 3.1.8 Karaoke 47 3.1.9 Games 47 an Lu 3.1.10 Dịch vụ Thông tin cần biết (T-Information) .48 n va ac th si 3.1.11 Dịch vụ Tiếp thị truyền hình (T-Marketing) .48 3.1.12 Dịch vụ chia sẻ hình ảnh (Media Sharing) 49 3.1.13 Dịch vụ thể thao 49 3.1.14 Dịch vụ tin tức 49 3.1.15 Dịch vụ đọc truyện 49 3.1.16 Dịch vụ sức khỏe làm đẹp 50 3.1.17 Dịch vụ nhịp cầu MyTV 50 lu an 3.1.18 Quảng cáo (Advertising) 50 n va 3.2 Các yêu bảo mật MyTV 50 tn to 3.2.1 Mơ hình cung cấp dịch vụ MyTV .50 3.3 Các giải pháp bảo mật MyTV 56 p ie gh 3.2.2 Các yêu cầu bảo mật dịch vụ MyTV 55 w 3.3.1 Đường dây thuê bao 56 oa nl 3.3.2 IP DSLAM / Access Switch 56 3.3.3 Router thực thi chức Multicast (UPE, PE-AGG) 58 d an lu 3.3.4 DHCP Server 59 nf va 3.3.5 EPG Server 59 oi lm ul 3.3.6 Account Server 61 3.3.7 VoD Server 62 z at nh 3.3.8 Video Storage Server 64 3.3.9 Hệ thống DRM/CAS 64 z 3.4 Kết luận chương III 65 @ gm KẾT LUẬN 66 m co l TÀI LIỆU THAM KHẢO 67 an Lu n va ac th si DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình kiến trúc hệ thống IPTV Hình 2.1 Phân loại rủi ro cho hệ thống IPTV Hình 2.2 Biểu thị mơ hình mơi trường IPTV mức cao Hình 2.3 Một số STB thường gặp Hình 2.4 Hệ thống IPTV Head-end Hình 2.5 Các lớp bảo mật Head-end lu an Hình 3.1 Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV VASC n va Hình 3.2 Cấu hình giao thức thiết bị mạng cho dịch vụ MyTV tn to Hình 3.3 Sơ đồ cung cấp địa động DHCP cho STB Hình 3.5 Mơ hình S-VLAN mạng truy nhập p ie gh Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa FTTx d oa nl w oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si DANH MỤC BẢNG BIỂU Bảng 1.1 Một số dịch vụ IPTV Bảng 2.1 Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảng 2.2 Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảng 2.3 Phương thức tách biệt thuê bao đảm bảo tính bảo mật, thống lu an tính liên tục dịch vụ n va Bảng 2.4 Giải pháp mạng ảo đảm bảo tính bảo mật, thống tính liên tục p ie gh tn to dịch vụ d oa nl w oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si MỞ ĐẦU Sự phát triển nhanh chóng Internet băng rộng làm thay đổi nội dung kỹ thuật truyền hình Hiện truyền hình có nhiều dạng khác nhau: truyền hình số, truyền hình vệ tinh, truyền hình cáp, truyền hình Internet IPTV Trong số đó, IPTV cấp độ cao đánh giá công nghệ truyền hình tương lai Sự vượt trội cơng nghệ IPTV tính tương tác hệ thống với người xem, cho phép người xem chủ động thời gian khả triển khai nhiều dịch vụ lu an giá trị gia tăng tiện ích khác hệ thống nhằm đáp ứng nhu cầu người sử dụng n va Hiện giới có số quốc gia triển khai thành công IPTV tn to Trung Quốc, Singapore, Bỉ, Theo chuyên gia dự báo tốc độ phát triển IPTV gh tăng theo cấp số nhân theo năm xu truyền hình tương lai p ie Về công nghệ IPTV Việt Nam nay, số nhà cung cấp triển khai IPTV từ năm 2009 mạng băng rộng thu thành cơng đáng kể Trong số có oa nl w dịch vụ MyTV VNPT triển khai rộng khắp bước đầu đáp ứng yêu cầu người sử dụng d an lu Tuy nhiên vấn đề bảo mật cho dịch vụ công nghệ thông tin truyền thông va vấn đề cần quan tâm thời địa số hóa hiên Mặt khác dịch vụ ul nf IPTV triển khai mạng Internet nên nhiều vấn đề bảo mật hệ thống IPTV oi lm cần phải nghiên cứu để đảm bảo an toàn cho dịch vụ cung cấp tời người dùng z at nh Hơn việc ứng dụng giải pháp bảo mật cho dịch vụ MyTV yêu cầu cấp thiết trình vận hành, khai thác dịch vụ thực tế z Với mục đích đưa tiến cơng nghệ vào phục vụ cho sống, học @ l dụng cho dịch vụ MyTV” gm viên xin chọn đề tài nghiên cứu “Nghiên cứu vấn đề bảo mật hệ thống IPTV ứng m co Mục tiêu luận văn nghiên cứu giải pháp bảo mật hệ thống IPTV đề xuất số giải pháp bảo mật cho dịch vụ MyTV VNPT an Lu n va ac th si Đối tượng nghiên cứu luận văn hệ thống IPTV nói chung dịch vụ MyTV VNPT nói riêng Phạm vi nghiên cứu vấn đề giải pháp bảo mật cho hệ thống IPTV Bố cục luận văn gồm chương nội dung sau: CHƯƠNG 1: Tổng quan hệ thống IPTV yêu cầu bảo mật cho dịch vụ IPTV CHƯƠNG 2: Nghiên cứu giải pháp bảo mật cho dịch vụ IPTV lu an CHƯƠNG 3: Nghiên cứu đề xuất giải pháp bảo mật cho dịch vụ MyTV n va VNPT p ie gh tn to d oa nl w oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si 54 lu an n va tn to Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa FTTx [1] gh Mơ hình cung cấp dịch vụ IPTV cho khách hàng dựa mạng FTTx tương tự p ie trường hợp dựa mạng ADSL với việc thay thiết bị IP DSLAM/MSAN w OLT oa nl Phía mạng truy nhập tỉnh/thành phố triển khai theo mơ hình S- d VLAN (Vlan per service) Mơ hình S-VLAN mạng truy nhập Hìn an lu bao gồm: HSI Vlan : Vlan dành cho internet  VOD vlan: Vlan dành cho dịch vụ VOD – chạy unicast  LiveTV vlan: Vlan dành cho dịch vụ liveTV – chạy multicast oi lm ul nf va  z at nh z m co l gm @ an Lu n va ac th si 55 lu an n va tn to Cụ thể hệ thống mạng tại, mơ hình S-VLAN hoạt động sau: p ie gh Hình 3.5 Mơ hình S-VLAN mạng truy nhập [1] Tại IP-DSLAM, cổng ADSL2+ gồm PVC, PVC dành w  Tại giao diện uplink, PVC ánh xạ vào S-VLAN tương d  oa nl cho dịch vụ (Internet, VoIP, video) lu Tại switch lớp 2, access switch, cấu hình giao diện trunk mang nf va  an ứng với loại dịch vụ sử dụng phương thức đóng gói 802.1q  oi lm ul lưu lượng S-VLAN BRAS/PE có nhiệm vụ kết cuối S-VLAN thực định tuyến z at nh gói tin đến đích mong muốn Các biện pháp đảm bảo QoS áp dụng S-VLAN thơng qua z cấu hình 802.1p S-VLAN tương ứng Tại BRAS/PE, nơi kết cuối S- @ gm VLAN, thực QoS lớp DSCP (Diffrentiated Service Code Point) Như 3.2.2 Các yêu cầu bảo mật dịch vụ MyTV m co l BRAS/PE cần cấu hình chuyển đổi QoS từ 802.1p lớp sang DSCP lớp dung trình bày mục 1.3 an Lu Đối với dịch vụ MyTV, yêu cầu bảo mật tương tự nội n va ac th si 56 3.3 Các giải pháp bảo mật MyTV 3.3.1 Đường dây thuê bao [3]  Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng (Redundance)  Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép 3.3.2 IP DSLAM / Access Switch [6] lu  Có khả phát cách ly xảy tượng áp, q dịng an Nếu khơng có khả trên, phải lắp thêm mạch phụ trợ n va tn to  Khơng kích hoạt giao thức CDP Access Switch  Chỉ nhận tin ARP Reply giao diện cấu hình tin  Khơng kích hoạt chức Auto Trunking giao diện phía thuê bao Cấu hình Vlan Trunking Protocol (VTP) chế độ Transparent  Tạo riêng Vlan với cổng Trunk tách biệt với thuê bao p ie gh cậy (Dynamic ARP Inspection) oa nl Phải cấu hình Port Security địa MAC nhận thuê d  w  lu va an bao đăng ký sử dụng dịch vụ IPTV Nếu khơng có khả cấu hình Port Security, Phải nhận biết tin yêu cầu DHCP hợp lệ thuê bao oi lm ul  nf phải cấu hình danh sách giới hạn địa MAC nguồn chấp nhận tin trả lời DHCP tin cậy từ DHCP Server gửi tới việc cấp phát địa IP cho z at nh STB thuê bao Cấu hình tùy chọn DHCP Relay Option 82  Cấu hình danh sách giới hạn kênh chương trình cho Broadcast  Nên cấu hình hỗ trợ chức sau đây: z  l gm @ nhận m co o Chỉ báo số tin IGMP tối đa giây (max-msg-rate) an Lu n va ac th si 57 o Chỉ báo tổng số loại tin (total-msg) nhận từ phía thuê bao, gồm tin IGMP tin không hợp lệ o Chỉ báo tổng số tin IGMP (total-igmp-msg) nhận từ phía thuê bao, gồm tin IGMP Join IGMP Leave thành công không thành công o Chỉ báo tổng số tin IGMP Join (total-req) nhận từ phía thuê bao, gồm tin IGMP Join thành công không thành công lu an o Chỉ báo tổng số tin IGMP Join thành công (success-req) nhận n va từ phía thuê bao, gồm tin IGMP Join tin tn to IGMP Join lại gh o Chỉ báo tổng số tin IGMP Join không thành công (unsuccess- p ie req) nhận từ phía thuê bao thuê bao oa nl w o Chỉ báo tổng số tin IGMP Leave (total-leave-req) nhận từ phía o Chỉ báo số lượng kết nối tin IGMP Join không thành d an lu công (num-connects) nhận từ phía thuê bao va o Chỉ báo số phiên bị ngắt kết nối tới thuê bao (num-disconnects ul nf o Chỉ báo số lượng nhóm Multicast kết nối (curr-root-conn) oi lm o Chỉ báo số lượng nhóm Multicast có khai báo bảng nguồn z at nh Multicast kết nối (con-cfgd) o Chỉ báo số lượng nhóm Multicast khơng khai báo bảng z nguồn Multicast kết nối (con-un-cfgd) @ Cần cấu hình kiểm tra xác thực tin IGMP  Phải cấu hình băng thơng đường lên tối đa cho thuê bao Nếu băng l gm  m co thông sử dụng cổng đường lên cho thuê bao vượt ngưỡng cho phép, an Lu chương trình thuê bao chọn bị ngưng (treo) tạm thời Khi băng thông n va ac th si 58 đường lên ngang với ngưỡng cho phép, chương trình bị tạm ngưng (treo) xem trở lại  Phải cấu hình số chương trình tối đa th bao xem thời  Cấu hình chức ghi Log khóa cổng thuê bao phát thuê điểm bao muốn xem số kênh chương trình vượt gới hạn cho phép  Tham gia VLAN quản lý thiết bị hạ tầng mạng: IP DSLAM, lu an Access Switch, UPE, PE-AGG n va Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác tn to  3.3.3 Router thực thi chức Multicast (UPE, PE-AGG)[8] p ie gh vụ quản trị phải thông qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 UPE Phải cấu hình danh sách giới hạn địa MAC STB  Cấu hình danh sách giới hạn kênh chương trình cho Broadcast oa Cấu hình ánh xạ tĩnh PIM-SSM (Static PIM-SSM Mapping) d lu Cấu hình chức lọc tin PIM-SSM láng giềng lân cận an  nl  w  nf va (PIM Neighbor Filtering) để ngăn chặn Router không thuộc miền Multicast tham  oi lm ul gia chuyển tiếp tin giao thức định tuyến PIM Bảo vệ tài nguyên CPU có nhiều phiên Multicast u cầu tiến trình  z at nh đăng ký PIM thời điểm (PIM Register Rate Limiting) Cấu hình kiểm tra xác thực tin thuộc giao thức định tuyến z @ PIM-SSM mã hố xác thực thơng báo MD5 Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác m co l gm  vụ quản trị phải thơng qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 an Lu n va ac th si 59  Cơ sở thông tin quản lý (Management Information Base) dành cho quản lý mạng Multicast (Multicast MIBs) cần dùng với công cụ SNMP (Simple Network Management Protocol) việc gửi tin thông báo lỗi hệ thống Multicast (Multicast Traps) thông báo PIM thay đổi kênh Multicast tới người quản trị hệ thống  Các chế ghi Multicast Syslog giám sát lưu lượng mạng (NetFlow)  Lưu ý sử dụng số không gian địa dành riêng cho Multicast lu an 3.3.4 DHCP Server [6] n va  Phải cấu hình chức DCHP Snooping để ánh xạ việc cấp phát địa tn to IP cho STB dựa vào địa MAC STB Phải cấu hình giới hạn nhận tin DHCP Request hợp lệ ie gh  p thuê bao Nên sử dụng ánh xạ tĩnh cấp địa IP cho STB thuê bao theo w  Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy d  oa nl chế gán tĩnh địa IP theo địa MAC Serial Number STB lu an chủ quản lý tài khoản Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác oi lm ul nf va   z at nh vụ quản trị phải thông qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus @ Giới hạn tốc độ gửi gói tin ICMP gửi đến EPG Server từ thuê bao (ICMP Rate Limiting) m co  l gm  z 3.3.5 EPG Server Cấu hình kiểm tra xác thực tin thuộc kết nối TCP/UDP an Lu EPG Server mã hố xác thực thơng báo MD5 n va ac th si 60  Giới hạn tốc độ gửi gói tin SYN đến EPG Server (SYN Rate Limiting)  Cấu hình lọc ký tự đặc biệt khơng tương thích với giá trị cấu trúc chấp thuận từ trước để chặn tin cơng Buffer Overflow từ phía thuê bao  Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo lu an cơng n va  Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám tn to sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo gh công p ie o Gửi nhiều phân đoạn xấu gói tin IP từ phía th bao w o Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn oa nl o Gửi nhiều gói tin SYN d o Tấn công Buffer Overflow qua giao thức HTTP Dự phòng thiết bi NetFlow  Sử dụng giao thức HTTPs (HTTP over Secure Socket Layer) thay cho nf va an lu   oi lm ul HTTP tương tác với STB Khơng kích hoạt mơ đun Web (Web Modules) thường gọi  Gỡ bỏ tập tin nháp, Scripts, Code thực thi từ thư mục gốc dành cho z Web Site @ Cấu hình tập tin Web Site đọc tiến trình xử Duy trì Copy nội dung Web Site Host đảm bảo an an Lu ninh m co  l lý ghi đè gm  z at nh plug-ins khơng có u cầu n va ac th si 61  Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản  Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông lu an  Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác va vụ quản trị phải thơng qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 n Phải cập nhật vá lỗi, chương trình diệt virus  Sao lưu File hệ thống mã nguồn chương trình ứng dụng 3.3.6 Account Server p ie gh tn to  Kết hợp xác thực tài khoản thuê bao với xác thực STB (Bundled w  lu Xác thực thuê bao cần kết hợp với Profile cấp quyền cho việc hạn an  Dùng giá trị Serial Number STB để xác thực STB thuê bao d  oa nl Authentication), giá trị tài khoản thuê bao lưu Smart Card STB Xác thực thuê bao cần kết hợp với Profile cấp quyền cho việc xem nội dung Metadata oi lm ul  nf va chế số kênh chương trình thuê bao xem Áp dụng chế phân quyền truy cập nội dung Video thuê bao  Cấu hình lọc ký tự đặc biệt khơng tương thích với giá trị z at nh  z SQL Injection từ phía thuê bao l  gm @ cấu trúc chấp thuận từ trước để chặn tin công Buffer Overflow / Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy m co chủ quản lý tài khoản an Lu n va ac th si 62  Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thơng VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông  Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thơng qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 lu an  Phải cập nhật vá lỗi, chương trình diệt virus va 3.3.7 VoD Server n Phải cấu hình lọc ký tự đặc biệt khơng tương thích với giá tn to  ie gh trị cấu trúc chấp thuận từ trước để chặn tin công Buffer p Overflow từ phía thuê bao Đặt trước VoD Server phía giao diện kết nối đến thuê bao thiết bị giám w  oa nl sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo d công từ phía th bao lu Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn (ICMP Rate oi lm ul nf Limiting) va  an  Gửi nhiều phân đoạn xấu gói tin IP  Gửi nhiều yêu cầu xem phân đoạn phim khác z at nh  Gửi nhiều tin báo cáo lỗi chất lượng luồng Video  Gửi nhiều gói tin RTSP/RTCP cơng Buffer Overflow Dự phịng thiết bi NetFlow  Cấu hình kiểm tra xác thực tin thuộc kết nối TCP/UDP m co l gm @ mã hố xác thực thơng báo MD5  z  Có nhớ Cache lớn (chuyên dụng) để đáp ứng nhu cầu xem phân an Lu đoạn phim khác thuê bao n va ac th si 63  Phải cấu hình xác thực để kiểm sốt truy cập từ phía thuê bao tập tin Video Streaming Tạo tập tin dùng cho kiểm sốt truy cập thư mục có chứa tập tin Video Streaming Tập tin kiểm soát truy cập chứa thông tin thuê bao xác thực để xem nội dung Video thư mục có lưu trữ tập tin Video Streaming  Nên cấu hình chức Streaming kết hợp với Firewall địa IP đơn (Single IP Address) trường hợp VoD Server có cấu hình Multihome lu an Firewall cần cấu hình để hạn chế gói tin TCP/UDP số hiệu cổng n va mở Khi cho phép lưu lượng Video qua cổng 80, cần ngăn lưu lượng Web qua tn to cổng 80 để tránh xung đột Khơng kích hoạt nội dung Media khơng cần thiết gh  Phải cấu hình hỗ trợ đính kèm cấu trúc liệu (Metadata) nội p ie dung Video phân phát c tới thuê bao theo quyền hạn sử dụng thuê bao Sử dụng giao thức SRTP (Secure Real-time Protocol) để truyền tải luồng w  oa nl Video tin cậy dùng chế mã hoá, xác thực trao đổi khóa mã hóa thay cho d RTSP tương tác với STB lu Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản nf Cần có Card mạng chuyên biệt để quản trị theo VLAN Card oi lm ul  va an  VLAN cần cấu mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thơng thơng z at nh hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác z  gm @ m co l vụ quản trị phải thông qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus  Sao lưu File hệ thống mã nguồn chương trình ứng dụng an Lu  n va ac th si 64  Dùng SFTP (Secure FTP) thay dùng FTP để đảm bảo xác thực truyền tải tập tin an toàn  Sử dụng IPSec việc bổ xung nội dung Video từ Third Party  Che dấu địa máy chủ cần bảo vệ thông qua địa NAT phiên truyền thông với Third Party 3.3.8 Video Storage Server lu  Hạn chế truy cập tới Video Storage Server với Host yêu cầu an Video Storage Server cần bổ xung thêm ổ cứng mã hóa để đảm bảo an ninh va n tài nguyên Video Dữ liệu Metadata gán cho tài nguyên Video cần tn to bảo vệ sử dụng chế hợp lệ chẳng hạn tính checksum kiểm tra chữ ký  Phân loại nội dung Video trước sử dụng lưu trữ kiểm tra định kỳ p ie gh số w tính an tồn toàn vẹn nội dung Video lưu trữ Cần có Card mạng chuyên biệt để quản trị theo VLAN Card d  oa nl  Cấu hình VLAN quản lý Video Storage Server lu VLAN cần cấu an mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thơng nf va hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền oi lm ul thơng Đặt mật truy cập, kiểm sốt truy cập qua: xác thực, cấp quyền  Giới hạn số lần người dùng đăng nhập không thành công Tất tác z at nh  vụ quản trị phải thơng qua kênh truyền thơng an tồn: SSH, SSL/TSL, SNMPv3 @ Dùng mơ hình hạ tầng khố cơng khai (Public Key Infrastructure – PKI) l gm  z 3.3.9 Hệ thống DRM/CAS [9] để tạo khố (Primary Key) theo chuẩn X.509 Primary Key tạo lần đầu m co cài đặt cấu hình STB Primary Key cần lưu trữ an toàn STB an Lu không nên bị thay đổi đến cài đặt lại STB n va ac th si 65  Dùng Primary Key để tạo khóa phiên (Session Key) cho mã hố nội dung kênh truyền thơng STB máy chủ xác thực  Session Key cần thay đổi sau khoảng thời gian định để trì an tồn hệ thống xác thực  Cơ chế trao đổi khóa theo giải thuật Differ Hellman  Kết hợp xác thực tài khoản thuê bao với xác thực STB (Bundled Authentication), giá trị tài khoản thuê bao lưu Smart Card STB lu an  Dùng giá trị Serial Number STB để xác thực STB thuê bao va n 3.4 Kết luận chương III tn to Trong chương III luận văn trình bày tổng quan dịch vụ MyTV, mơ hình gh cung cấp dịch vụ đề xuất giải pháp bảo mật Các giải pháp đề xuất có tiềm p ie triển khai thực tế nhằm nâng cao chất lượng dịch vụ, đảm bảo hài long khách hàng d oa nl w oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si 66 KẾT LUẬN Các kết đạt Luận văn đạt số kết sau đây: - Khảo sát tổng quan công nghệ dịch vụ IPTV - Nghiên cứu yêu cầu bảo mật hệ thống IPTV - Khảo sát nguy dẫn đến an toàn, bảo mật hệ thống IPTVB lu - Nghiên cứu số giải pháp bảo mật hệ thống IPTV an - Khảo sát chung dịch vụ MyTV VNPT va n - Nghiên cứu đề xuất số giải pháp bảo mật cụ thể cho hệ thống MyTV nhằm tn to đảm bảo chất luopwngj dịch vụ trình vận hành khai thác Luận văn tiếp tục nghiên cứu sâu triển khai bảo mật cho thành p ie gh Hướng phát triển luận văn w phần cụ thể hệ thống IPTV với giải pháp tiên tiến hữu hiệu Đồng thời có d oa nl thể triển khai số giải pháp môi trường mạng dịch vụ cụ thể oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si 67 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Vũ Văn Thỏa (2011), Nghiên cứu xây dựng qui trình đo chất lượng kỹ thuật IPTV triển khai đo thử nghiệm viễn thông tỉnh/thành phố, Báo cáo nhiệm vụ 004-2011-TĐ-VT Tiếng Anh lu [2] Agilent (2005), Ensure IPTV Quality of Experience, WP an [3] ETSI TS 181 014 V2.0.0 (2007-11), Requirements for network transport va n capabilities for support IPTV services tn to [4] ETSI TR 187 013 V3.1.1 (2011-02), Telecommunications and Internet ie gh converged Services and Protocols for Advanced Networking (TISPAN); Feasibility p study on IPTV Security Architecture [5] Gilbert Held (2007), Understanding IPTV, Auerbach w oa nl [6] Myrio (2003), The Value of Middleware Taking IPTV from Headend to d Home, Tehnical Paper lu an [7] C Naenakl (2011), Copyright Protection of IPTV Content oi lm ul Technologies nf va [8] Gerard O’Driscoll (2008), Next Generation IPTV Services and [9] David Ramiez (2008), IPTV Security: Protecting High-Value Digital z at nh Contents z m co l gm @ an Lu n va ac th si 68 lu an n va p ie gh tn to d oa nl w oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va ac th si