(Luận văn) nghiên cứu vấn đề bảo mật hệ thống tptv và ứng dụng cho dịch vụ mytv

TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Giới thiệu công nghệ IPTV

Khái niệm về IPTV

Hệ thống truyền hình tương tự quảng bá đã được phát triển rộng rãi hơn 60 năm trước đây Trong giai đoạn này, trải nghiệm của người xem chuyển từ bộ máy thu hình trắng đen sang máy thu hình màu và sự dịch chuyển từ truyền hình trắng đen sang truyền hình màu yêu cầu người xem phải mua bộ máy thu hình mới cũng và nhà cung cấp phát quảng bá phải đầu tư bộ phát mới trước và sau đó Ngày nay, ngành công nghiệp đã trải qua một cuộc cách mạng sâu sắc từ truyền hình truyền thống sang một kỉ nguyên mới của công nghệ số Phần lớn nhà cung cấp dịch vụ truyền hình đã nâng cấp mạng lưới hiện có và triển khai nhiều hệ thống số tiên tiến nhằm mục đích dời khách hàng từ hệ thống truyền hình tương tự truyền thống sang các dịch vụ số hiện đại hơn. Một công nghệ mới được gọi là truyền hình trên giao thức Internet ( IPTV ) đã bắt đầu nắm bắt xu thế toàn cầu bắt đầu bằng câu chuyện về một vài công ty viễn thông, truyền hình cable, vệ tinh, số mặt đất và một vài nhà cung cấp dịch vụ Internet truyền hình ảnh qua một dịch vụ dựa vào nền tảng hạ tầng IP Như được miêu tả qua cái tên, IPTV thể hiện một cơ chế cho việc truyền các luồng nội dung hình ảnh qua một hạ tầng mạng truyền dẫn sử dụng giao thức mạng IP Theo quan điểm của đối tượng sử dụng, việc khai thác và xem IPTV cũng giống như dịch vụ TV trả tiền ITU-T (ITU-T FG IPTV) đã chính thức chấp thuận định nghĩa IPTV như sau [5]:

IPTV được định nghĩa là các dịch vụ đa phương tiện như truyền hình/video/audio/văn bản/đồ họa/số liệu truyền tải trên các mạng dựa trên IP được kiểm soát nhằm cung cấp mức chất lượng dịch vụ, độ mãn nguyện, độ bảo mật và tin cậy theo yêu cầu.

Từ quan điểm của nhà cung cấp dịch vụ, IPTV bao gồm quá trình thu thập, xử lý, và truyền tải một cách an toàn nội dung video trên hạ tầng mạng dựa trên công nghệ

IP Tham gia vào quá trình cung cấp dịch vụ IPTV có nhiều nhà cung cấp dịch vụ từ các nhà cung cấp dịch vụ truyền hình cáp, truyền hình vệ tinh đến các công ty Viễn thông lớn và các nhà khai thác mạng riêng ở nhiều nơi trên thế giới.

Trên thế giới, IPTV đã được khá nhiều tập đoàn viễn thông quan tâm đầu tư và triển khai cung cấp dịch vụ Tính đến hết năm 2011, trên thế giới có 51 triệu thuê bao, đạt doanh thu 9.7 tỉ USD Trên thế giới, IPTV đã bước sang thời kỳ phát triển ổn định.

Số thuê bao IPTV được dự báo sẽ tăng từ 51 triệu năm 2011 tới 165 triệu thuê bao vào cuối năm 2017 với tốc độ tăng trưởng hàng năm là trên 30% Tổng doanh thu từ dịch vụ IPTV sẽ tăng từ từ 9.7 tỉ USD năm 2011 tới 21,3 tỉ USD vào năm 2017 với tốc độ tăng hàng năm là 18,2% (Nguồn IPTV-news)

Hiện nay tại Việt Nam có 4 nhà cung cấp và số lượng khách hàng không ngừng tăng:

• Công ty VASC - VNPT cung cấp dịch vụ IPTV mang thương hiệu MyTV.

• Công ty VTC Digicom hợp tác với một loạt các tỉnh/thành phố cung cấp dịch vụ IPTV trên cơ sở hạ tầng mạng viễn thông công cộng của các VNPT địa phương.

• Công ty FPT Telecom cung cấp dịch vụ IPTV có tên thương mại là “iTV

• Công ty Viettel cung cấp dịch vụ NetTV.

Hệ thống IPTV

IPTV là một công nghệ mới cho phép linh hoạt hơn trong quản lý và tạo điều kiện để tương tác trực tiếp với nguồn của nội dung, cải thiện những phản hồi và lên kế hoạch trong tương lai Trải nghiệm của khách hàng được cải thiện đáng kể bởi họ được kiểm soát toàn bộ nội dung ngay lập tức khi nó xuất hiện, cũng như thông tin liên lạc hai chiều với nhà cung cấp nội dung.

IPTV là dịch vụ đa truyền thông gồm truyền hình, văn bản, đồ họa, dữ liệu truyền trên các mạng dựa trên phương thức IP được quản lý để cung cấp đảm bảo chất lượng dịch vụ, tính bảo mật, tương tác và độ tin cậy cao.

IPTV không giống như truyền hình cáp truyền thống mà nó là một tổng thể các chuỗi dịch vụ truyền hình có tính tương tác Chính vì vậy mô hình kiến trúc của IPTV cũng phải thực sự đặc biệt.

Hình 1.1 dưới đây mô tả kiến trúc chung của một hệ thống IPTV.

Hình 1.1 Mô hình kiến trúc hệ thống IPTV [5]

Có thể chia hệ thống IPTV từ nhà cung cấp nội dung tới người sử dụng thành các khối chức năng như sau:

Hệ thống cung cấp nội dung: Cung cấp nguồn dữ liệu được thu, nhận, xử lí từ các nguồn như: Vệ tinh, truyền hình mặt đất và chuyển sang Head end.

Head end: Thu, điều chế và giải mã nội dung hình ảnh, âm thanh thành luồng dữ liệu IP (dùng bộ mã hóa Encoder) Các chương trình sau khi được mã hóa sẽ phân phối tới người sử dụng trên các luồng IP Multicast qua truy nhập và mạng lõi IP. Các chương trình này có thể được mã mật bởi hệ thống bảo mật bảo vệ nội dung.

Hệ thống Middleware: Có chức năng quản lí thuê bao, nội dung và báo cáo hoàn chỉnh cùng với các chức năng quản lí EPG và STB Middlewave là một giao diện hệ thống cung cấp dịch vụ IPTV cho người sử dụng, nó cho phép xác định danh tính người sử dụng Middlewave có lưu trữ một Profile cho tất cả các dịch vụ. Middlewave đảm bảo đảm bảo các hoạt động bên trong, không có giới hạn hoạt động riêng rẽ nào trong hệ thống.

Hệ thống phân phối nội dung: Thành phần gồm có cụm máy chủ VoD và các hệ thống quản lí tương ứng có chức năng lưu trữ nội dung được mã hóa, đưa ra chính sách phân phối hợp lí Trong đó máy chủ VoD sẽ lưu lại các nội dung thực và cung cấp cho thuê bao khi nó nhận được sự xác thực từ Middleware.

Hệ thống quản lý bản quyền số (DRM): Chức năng bảo vệ nội dung, trộn tín hiệu truyền hình hay mã hóa nội dung DRM dùng để bảo mật nội dung các khóa giải mã thuê bao.

Hệ thống quản lý mạng và tính cước.

Set Top Box: Là thiết bị đầu cuối cho phép thu, giải mã và hiển thị nội dung trên màn hình TV STB cần hỗ trợ các chuẩn MPEG-4/H.264 Ngoài ra STB cũng có thể hỗ trợ HDTV, kết nối với thiết bị lưu trữ bên ngoài: USB, Video phone…STB cung cấp các ứng dụng truyền thông giải trí Nó có thể giải mã những chuỗi dữ liệu và hình ảnh đến địa chỉ IP Ngoài ra STB cũng hỗ trợ chuẩn H.264/MPEG-4 part 10. Cùng với STB có đồng bộ kèm theo là Remote control có chức năng điều khiển từ xa và thực hiện chức năng như hẹn lịch xem, nhắn tin tương tác giữa nhà cung cấp và người sử dụng.

Các dịch vụ cơ bản của IPTV

Khả năng của IPTV gần như là vô tận và hứa hẹn mang đến cho người sử dụng những dịch vụ kĩ thuật số chất lượng cao.

Dưới đây là bảng thống kê một số dịch vụ cơ bản của IPTV:

Nhóm dịch vụ Tên dịch vụ Mô tả về dịch vụ

Dịch vụ phát các kênh Truyền hình quảng bá truyển hình quảng bá thông (Linear/Broadcast TV) thường Ví dụ: VTV1,

Dịch vụ cung cấp cho người dùng xem nhiều góc quay của một phim (3D) hoặc Multi - Angel Service một trận bóng đá.

Dịch vụ hướng dẫn trực tiếp trên màn hình về lịch phát sóng, danh sách các phim, Electronic Program Guide (EPG) cước phí

Dịch vụ quảng Quảng cáo phát kèm với các bá (Broadcast Quảng cáo truyền hình truyền thống chương trình truyền hình

Truyền hình quảng bá cho phép người dùng tạm dừng, xem lại, xem tiếp, bỏ qua các đoạn quảng cáo, ghi lại Linear/Broadcast with Trick Modes chương trình bằng các thiết bị ghi.

Cho phép người sử dụng lựa chọn phim, chương trình

Phim theo yêu cầu(VoD) yêu thích và có thanh toán cước phí

Cho phép người sử dụng lựa Nhạc theo yêu cầu(Music On Demand chọn bản nhạc, âm thanh, có

Dịch vụ theo Service - MoD) thanh toán cước phí yêu cầu (On

Cho phép người sử dụng lựa Trò chơi theo yêu cầu( Game On chọn các chương trình trò Demand Service - MoD) chơi, có thanh toán cước phí

Xem các chương trình phải Thanh toán theo nội dung (Pay Per View trả phí ( Đăng kí theo lịch

- PPV, OPPV, IPPV) phát hoặc chương trình mới).

Thông tin chung Các dịch vụ thông tin trên ( T- Information) truyền hình như tin tức thời

Dịch vụ tương sự, thời tiết, giá cả thị tác trường.

(Interactive) T- Communication: dịch vụ thông tin qua truyền hình cung cấp cho khách hàng T- Communication khả năng trao đổi thông tin thông qua IPTV dưới các hình thức như email, tin nhắn, chat, duyệt Web…

Dịch vụ giao dịch ngân

Thương mại hàng, mua sắm, đặt chỗ

(T- Commerce) khách sạn, tàu, vé máy bay, vé xem phim, xem ca nhạc tại nhà.

Cho phép người xem tham gia trực tiếp các trò chơi trên Dịch vụ Voting truyền hình có thể thông qua

Giải trí Các trò chơi, karaoke, xem (T- Entertainment) ảnh, xổ số, nhật kí điện tử Có thể chơi một người hoặc một nhóm.

Service Thông tin chính sách Các thông tin về chế độ

(T- Goverment) chính sách xã hội liên quan đến nhà nước, chính phủ, thành phố, địa phương.

Dịch vụ tra cứu tìm kiếm Interactive Program Guide (IPG) nội dung trên TV theo các Electronic Contents Guide (ECG) chủ đề mà khách hàng lựa chọn.

Quảng cáo theo yêu cầu của doanh nghiệp (Tập trung Quảng cáo chọn lọc vào một số đối tượng khách hàng nhất định không quảng bá toàn mạng).

Bảng 1.1 Một số dịch vụ của IPTV [2]

Các yêu cầu bảo mật cho IPTV

Trong mô hình kinh doanh dịch vụ IPTV, nhà cung cấp dịch vụ truyền video streaming tới các thuê bao Theo mô hình trong hình 1.1, đối với hệ thống IPTV, các yêu cầu bảo mật được đặt ra như sau:

(1) Bảo mật nội dung số được cung cấp trong hệ thống IPTV

(2) Bảo mật hệ thống Head-end

(3) Bảo mật mạng truyền dẫn IPTV

(4) Bảo mật thiết bị đầu cuối.

Trong mục này, luận văn trình bày một số vấn đề liên quan đến các yêu cầu trên.

1.3.1 Yêu cầu bảo mật nội dung số

Intellectual Property (IP) là thuật ngữ được sử dụng để mô tả các quyền hợp pháp cho sở hữu trí tuệ, các phát minh sáng chế trong công nghệ cũng như trong sản xuất kinh doanh IP được dùng để ngăn cản sự đánh cắp hoặc sử dụng trái phép các sản phẩm trí tuệ - ở đây là các nội dung chương trình - trong khi cung cấp sự hỗ trợ hợp pháp cho phát triển các mô hình kinh doanh dựa trên các sản phẩm này Bản quyền IP bao gồm một số nội dung như: Copyright, Patents, Trademarks và Design rights Bộ phận đóng vai trò quan trọng nhất trong việc phân phối nội dung thông qua IPTV là copyright.

Copyright gìn giữ các nội dung khỏi việc xao chép trái phép cũng như các hoạt động khác như: làm giả, đưa nội dung ra công chúng trái phép, quảng bá –

Broadcasting - và chỉnh sửa nội dung Luật bản quyền tác giả copyright đã được thực hiện ở hầu hết các nước trên thế giới ngày nay.

Trong mạng IPTV có nhu cầu lớn về bảo mật nội dung Có một số lượng lớn các người sử dụng mong muốn bẻ gẫy hàng rào bảo mật để truy cập đến các nội dung số trong hệ thống, sau đó cung cấp lại hoặc bán các nội dung này trái phép, không có bản quyền Một cơ chế phù hợp cần được triển khai cho mỗi hệ thống IPTV đảm bảo tương thích với cam kết bản quyền giữa chủ sở hữu nội dung và nhà phân phối nội dung.

Vì vậy, yêu cầu bảo mật nội dung số được cung cấp trong IPTV là phải đảm bảo quyền sở hữu trí tuệ Đồng thời các nội dung không bị xuyên tạc, sao chép hay phát tán không đúng thẩm quyền [7]

1.3.2 Yêu cầu bảo mật hệ thống Head-end

Trong hệ thống IPTV, hệ thống Head-end đóng một vai trò quan trọng Do đó hệ thống này phải được bảo vệ tránh các xâm nhập trái phép, đảm bảo cho hệ thống hoạt động an toàn và hiệu quả Các yêu cầu bảo mật phải đảm bảo phòng chống được các rủi ro sau [2]:

Trộm cắp thông tin thuê bao;

Trộm cắp dữ liệu cấu hình hệ thống;

Trộm cắp thông tin về nội dung - metadata.

Xóa hoặc thay đổi nội dung thông tin tính cước;

1.3.3 Yêu cầu bảo mật hệ thống truyền dẫn IPTV

Hệ thống truyên dẫn IPTV dựa trên mạng Internet Do đó, các nhà cung cấp dịch vụ IPTV phải quan tâm và có các giải pháp đảm bảo an toàn hệ thống truyền dẫn trong quá trình vận hành và khai thác dịch vụ Yêu cầu chính của hệ thống truyền dẫn là phòng chống tấn công làm nghẽn mạng cung cấp dịch vụ Thông thường, tấn côngDOS từ một người dùng bằng cách gửi đi rất nhiều các gói tin hợp lệ vào trong mạng truyền dẫn gây ra hiện tượng nghẽn mạng và gián đoạn dịch vụ Khi đó, có thể gây lỗi cho các thành phần hệ thống mạng, video server hoặc game server, dẫn đến hiện tượng khởi động lại máy hoặc làm cạn kiệt tài nguyên Do đó, sẽ gây nguy hiểm tiềm tàng đến hàng nghìn thuê bao của nhà cung cấp dịch vụ (mỗi DSLAM hay Video server có thể hỗ trợ hàng nghìn thuê bao) [3].

1.3.4 Yêu cầu bảo mật hệ thống thiết bị đầu cuối Đối với hệ thống thiết bị đầu cuối trong IPTV yêu cầu bảo mật nhằm tránh các nguy cơ có thể xảy ra như:

Ghi lấy lại chứng thực số từ các STB để truy cập nội dung hay tái phân phối nội dung cho các thuê bao khác;

Ghi lại các gói tin trong mạng home network; Đưa đường ra tương tự của thiết bị đầu cuối thu đến đầu vào của một thiết bị ghi bên ngoài để ghi lại nội dung; Đưa đường ra số của thiết bị đầu cuối thu đến đầu vào của một thiết bị ghi bên ngoài để ghi lại nội dung;

Sử dụng dịch vụ nhiều hơn mức đăng ký thuê bao với nhà cung cấp dịch vụ;

Truy cập các nội dung cấm (ví dụ các nội dung riêng tư,…);

Phá vỡ hệ thống quản lý truy cập CAS để cho phép truy cập đến nội dung;

Sao chép nội dung chương trình.

Các nguy cơ trên sẽ làm ảnh hưởng nghiêm trọng đến quá trình cung cấp và quản lý dịch vụ IPTV [4].

Kết luận chương I

Trong chương 1, luận văn đã khảo sát tổng quan về công nghệ và dịch vụ IPTV.Đồng thời, luận văn cũng đã nêu ra các yêu cầu chung cho vấn đề bảo mật hệ thống

IPTV Dựa trên các nội dung này, chương 3 luận văn sẽ nghiên cứu các giải pháp bảo mật cho hệ thống IPTV.

NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ IPTV 2.1 Các nguy cơ làm mất an toàn, bảo mật hệ thống dịch vụ IPTV

Truy cập gian lận

Truy cập gian lân là một trong những dạng lâu đời nhất của hình thức gian lận trong bảo hiểm/truyền hình trả tiền Tình trạng này sẽ xảy ra khi một cá nhân lừa các truy cập vào các cơ chế để đạt được truy cập trái phép vào các nội dung truyền hình mà không cần trả tiền phí thuê bao hoặc tăng quyền truy cập cấp Ví dụ về loại hình đe dọa các chủ IPTV phải đối mặt đến từ ngành công nghiệp truyền hình vệ tinh Trong nhiều năm qua, họ đã chiến đấu truy cập gian lận Sự phổ biến rộng rãi của gian lân trong những năm gần đây, một số công ty truyền hình vệ tinh đã bắt đầu tham gia hành động pháp lý chống lại quyền cho phép truy cập hoặc không được phép vào nội dung truyền hình.

Toàn bộ ngành công nghiệp đã được phát triển xung quanh phân phối các loại thẻ truy cập không giới hạn cho phép truy cập vào phần mềm và truyền hình, làm ăn mòn doanh thu của nhà cung cấp truyền hình vệ tinh Kinh nghiệm của các ngành công nghiệp truyền hình vệ tinh cho thấy rằng những người gian lận đã tiến xa để phá vỡ các biện pháp an ninh Điều này bao gồm bẻ khóa (crack) bảo vệ thẻ thông minh sử dụng cho STB và phân phối các thẻ ‘miễn phí truy cập’ Mặc dù nhà cung cấp dịch vụ truyền hình vệ tinh đã thay đổi thẻ, người gian lận vẫn có thể tìm cách thay thế các biên pháp phá vỡ bao vệ kết hợp trong các phiên bản mới, và điều này là chu kỳ lặp đi lặp lại liên tục.

IPTV là chuyển giao, không chỉ để cài đặt STB mà còn cho máy tính và các thiết bị cầm tay Điều này tạo điều kiện cho quá trình vi phạm an ninh nội dung Kẻ xâm nhập có thể thao tác hoặc sửa đổi những hành vi ứng xử của khách hàng và trích xuất nội dung kỹ thuật số trong hình thức sẵn sàng để được sao chép hoặc phát sóng. Sửa đổi, bổ sung đơn giản, giới thiệu phần mềm của họ để cho phép tin tặc vi phạm cac hệ thống mã hóa và áp dụng các biện pháp an ninh khác, hoặc thậm chí nắm bắt và phân phối lại bằng cách sử dụng các nội dung trên mạng ngang hàng Chính thực tế liên quan đến truy cập gian lận này, theo thứ tự một hệ thống IPTV làm việc, cuối cùng người sử dụng phải được cung cấp với mã hóa nội dung, và các thuật toán mật mã với chìa khóa Bất cứ ai quen thuộc với các công nghệ này sẽ cho bạn biết rằng bạn đã mất trò chơi tại đó giống như bạn không còn kiểm soát đối với nội dung của nó.

Phát sóng trái phép

Nội dung IPTV được phân phối ở định dạng số, đơn giản hóa công việc cá nhân với quan tâm trong việc sao chép hoặc phát sóng các nội dung Một trong những tranh luận trong chiến dịch chống lại ăn cắp bản quyền phim là phát trộm những DVD có xu hướng ghi lén tại rạp phim bởi người sử dụng camera cầm tay Tuy nhiên với nội dung kỹ thuật số quảng bá như là một phần của một dịch vụ IPTV không có sự khác biệt giữa nội dung ăn cắp và nội dung ban đầu Một ảnh hưởng lớn trên các ngành công nghiệp truyền hình vệ tinh đã được những kẻ gian lận bán thẻ thông minh có quyền truy cập tát cả dựa trên các sửa đổi thẻ thông minh và các thiết bị nhận thẻ thông minh sao cho hợp lệ Nếu những kẻ gian lân thành công tại cùng một loại hình tấn công trong một môi trường IPTV, chúng sẽ có thể tạo ra ‘tất cả các truy cập’ IPTV đặt tại các STB hoặc thẻ Kết quả là, các ngành công nghiệp phải đối mặt với một mối đe dọa IPTV hoàn toàn mới – với các trạm phát sóng ở trên mỗi máy tính tin tặc sẽ có thể phân phối lại các quảng bá cho dòng mày tính khác trên thế giới

Thuê bao hợp lệ có thể kéo dài nội dung kỹ thuật số và sử dụng các mạng mang hàng phân phối nội dung chất lượng cao cho một lượng lớn đối tượng, loại trừ sự cần thiết cho những người xem phải trả tiền cho các nội dung hoặc đăng ký để duy trì bất kỳ dịch vụ thương mại truyền hình, Tất cả các công nghệ đang sẵn sàng đối phó với tình trạng này.

Xuyên tạc nội dung

Đối với IPTV thực tiễn trên các môi trường khác nhau gửi tín hiệu bằng cách sử dụng giao thức IP chuẩn và các đối tượng tấn công có thể kết nối thông qua các Webside và điều khiển Middleware Server hoặc các Server truyền hình, người ta có thể thay đổi số liệu trong nội dung mà trước đó đã được mã hóa bảo mật bằng phần mềm DRM Đối tượng tấn công có thể điều khiển nội dung khiến cho các công ty cung cấp IPTV phát các nội dung không thích hợp hoặc không được phép.

Nội dung đã đi qua các môi trường trung gian khác nhau trước khi đến thuê bao.

Có ba quá trình trên quãng đường từ nhà cung cấp cho tới các thuê bao:

Thứ nhất: Đường khởi đầu giữa công ty sở hữu nội dung và nhà cung cấp dịch vụ IPTV Nó có thể thông qua vệ tinh, Internet hoặc môi trường điện từ Trong bất cứ khâu nào trong đó cũng có thể làm thay đổi nội dung Trong một số trường hợp người ta thường sử dụng mã bảo mật, nhưng những đối tượng xâm nhập vẫn có thể bẻ khóa.

Vì vậy cần phải có cơ cấu thích hợp để cập nhật và quản lí các mã khóa.

Thứ hai: Sau đó người ta lưu trữ nội dung ở cơ sở dữ liệu nội dung, đây là một cơ hội thuận lợi để các đối tượng xâm nhập trái phép truy nhập bất hợp pháp hoặc một người nào đó trong những người lao động trong các công ty truyền hình sửa đổi nội dung Các nhân viên có mâu thuẫn với công ty có thể truy nhập đến cơ sở dữ liệu và sửa đổi các nội dung bằng cách thay đổi hoặc thay thế các File dữ liệu.

Thứ ba: Giai đoạn cuối cùng là truyền tải giữa đầu Head end và STB Nếu không được bảo vệ thích hợp thì nội dung có thể bị thay đổi hoặc thay bằng nội dung mới truyền đến các thuê bao Những đối tượng xâm nhập trái pháp có thể xem lưu lượng truyền hình mà STB đã thu được để truyền đến các thuê bao khác.

Nguy cơ xâm nhập và tấn công đối với nhà cung cấp dịch vụ IPTV

Môi trường IPTV sẽ có một loạt các tấn công phụ thuộc vào chức năng Tác động an ninh vào Head end lớn hơn nhiều so với tác động vào thiết bị đầu cuối Mạng truyền tải có một số nguy hại đối với các dịch vụ chạy trên nó.

Mô hình IPTV cấp cao

Nhà cung cấp mạng truyền dẫn

IPTV Service Provider/ Nhà cung cấp dịch vụ

Nhà cung cấp nội dung

Hình 2.2 Biểu thị mô hình môi trường IPTV mức cao [8]

Các hệ thống thuộc về trung tâm dữ liệu hoặc các trung tâm hệ thống thường bị tấn công bên trong nhiều hơn bên ngoài và thỉnh thoảng nhân viên làm việc tại các trung tâm đó truy nhập tương đối nhiều thông tin.

Trước đây có một số nhân viên trong quá trình làm việc muốn chiếm đoạt tài sản của các công ty truyền hình mà họ làm việc Do đó cần phải thiết lập các ứng dụng nội bộ để hạn chế truy nhập đối với các đối tượng sử dụng hợp pháp và ngăn chặn, xác định các sửa đổi trong nội bộ.

Một số loại tấn công ở Head end:

Video cung cấp các hình ảnh về cuộc sống hoặc ghi lại các chương trình vô tuyến để sau này sử dụng lại Mỗi hệ thống được cấp một tài khoản, việc để lộ tài khoản này là nguyên nhân cho sự phá hoại môi trường vật lí Do quản lí không thận trọng cũng có thể gây nên sự phá hoại.

Chuyển mạch Video: Truy nhập bất hợp pháp đối với chuyển mạch video có thể tạo ra khả năng cung cấp video bất hợp pháp thành dịch vụ IPTV Hoạt động của chuyển mạch video không có bản quyền giống tấn công nội bộ.

Hệ thống quản lí nội dung: Hệ thống quản lí nội dung bộc lộ một số hiểm họa liên quan đến các điểm yếu dễ bị tấn công của bộ đệm truyền tải Loại này xuất hiện riêng đối với những hệ thống sử dụng mã bảo mật yếu Các đối tượng tấn công có thể lợi dụng các yếu điểm này bằng cách đưa vào các dãy số dài hơn bộ đệm Các đối tượng tấn công có thể gửi các bản tin giao thức làm cho ứng dụng tạm thời bị ngừng hoặc gửi các lệnh quản lí làm sập hệ thống ứng dụng.

Số liệu nội dung từ đáp ứng Video: Một tín hiệu xóa bất hợp pháp số liệu nội dung đã lưu trong đáp ứng video làm gián đoạn dịch vụ Số liệu nội dung đã được sửa đổi thì chương trình ứng dụng không có khả năng phục vụ các yêu cầu từ các chương trình ứng dụng của Middlewave và quản lí nội dung

Nội dung MPEC-2 từ đáp ứng Video: Việc xóa nội dung bất hợp pháp trong MPEC - 2 đã lưu trong chương trình đáp ứng Video làm phá vỡ dịch vụ Điều đó có thể gây ảnh hưởng tương tự đến các nội dung bị chiếm dụng hoặc bị lộ khóa bảo mật.

Nội dung MPEC- 4: Những đối tượng xâm nhập bất hợp pháp hoặc nhân viên có thể cải biến hoặc xóa nội dung MPEC-4 Các thay đổi này làm gián đoạn dịch vụ Cả hai chương trình ứng dụng đáp ứng video và vận hành hệ thống có thể đáp ứng để hạn chế truy nhập nội dung Nếu nội dung MPEC-4 không bảo mật và phân phối lại cho người khác như vậy họ đã tước đoạt tiền đầu tư nội dung.

Phần mềm cân bằng tải: Truy nhập bất hợp pháp vào chương trình ứng dụng để dừng ứng dụng hoặc làm gián đoạn dịch vụ bằng cách thay đổi các tham số của bộ phận cân bằng tải, loại bỏ các phần tử ra khỏi danh sách của các Server trợ giúp hoặc làm giảm tải băng thông.

Phần mềm luồng Master Video: Server luồng Master Video thu yêu cầu quản lí kết nối từ IPTV Middlewave và định hướng lại kết nối của thuê bao đến Serve luồng video thích hợp Điểm yếu dễ bị tấn công trong chính bản thân phần mềm luồng

Các dịch vụ CA/DRM: Các đối tượng tấn công có thể lợi dụng khả năng tấn công toàn bộ đệm trong phần mềm CA/DRM Client và sử dụng để cải biên chương trình hoạt động của chương trình ứng dụng Các đối tượng tấn công trái phép có thể sử dụng điểm yếu dễ bị tấn công hiện tại để lấy cắp các khóa bảo mật Loại tấn công này ảnh hưởng đến tính nguyên vẹn của ứng dụng.

Các khóa SRTP: Có thể sử dụng truy nhập bất hợp phápđể xóa khóa SRTP Loại tấn công này có thể do những đối tượng tấn công nội bộ hoặc bên ngoài thực hiện và gây gián đoạn dịch vụ của các thuê bao Các đối tượng xâm nhập trái phép có thể lấy cắp các khóa SRTP và sử dụng để tạo nên các khóa giả hoặc truy nhập vào nội dung đã được bảo mật Cũng có thể lấy cắp khóa SRTP trong khi phát các gói tin công khai Những đối tượng tấn công này truy nhập vào Middle VLAN giữu hệ thống

Giao thức quản lí khóa: Các gói giao thức quản lí khóa có thể bị lấy cắp trong lúc phát các gói tin công khai Những đối tượng tấn công này truy nhập vào Middlewave VLAN giữa hệ thống CA/DRM và điểm của Head end.

Quản lí dịch vụ CA/DRM: Những đối tượng xâm nhập trái phép có thể truy nhập vào mạng để gửi các lệnh qua mạng quản lí và xóa thông tin xác thực quản lí dịch vụ Có thể sử dụng lưu lượng tràn bộ đệm để phá vỡ dịch vụ.

Nguy cơ đối với thiết bị đầu cuối thuê bao IPTV

Có nhiều Set Top Box khác nhau trên thị trường STB là thiết bị đầu cuối cho phép thu, giải mã và hiển thị nội dung trên màn hình TV Một số được sản xuất bằng phần cứng và phần mềm thích hợp Còn một số khác dựa trên các hệ thống vận hành nguồn mở Hiện nay, có một số đã bắt đầu sử dụng công nghệ PC chuẩn, có phần cứng nhỏ gọn, cho phép các thuê bao tải OS, middlewave và DRM client riêng của chúng.STB cần hỗ trợ các chuẩn MPEG-4/H.264 Ngoài ra STB cũng có thể hỗ trợ HDTV,kết nối với thiết bị lưu trữ bên ngoài: USB, Video phone…STB cung cấp các ứng dụng truyền thông giải trí Nó có thể giải mã những chuỗi dữ liệu và hình ảnh đến địa chỉ IP. Ngoài ra STB cũng hỗ trợ chuẩn H.264/MPEG-4 part 10 Cùng với STB có đồng bộ kèm theo là Remote control có chức năng điều khiển từ xa và thực hiện chức năng như hẹn lịch xem, nhắn tin tương tác giữa nhà cung cấp và người sử dụng.

Hình 2.3 Một số STB thường gặp

Công nghệ Cable đã sử dụng Set Top Box với mục đích riêng là giải mã các tín hiệu số thành các tín hiệu Analog cho các thiết bị TV Theo thời gian dung lượng và độ linh hoạt của loại này giảm và bây giờ nhiều công ty sử dụng các STB có nhiều điểm đặc biệt.

IPTV cũng yêu cầu các STB giải mã thông tin số như các TV

Các STB của một số nước có bảo mật cơ bản do công ty sở hữu nội dung quản lí Chúng gồm các khả năng xác thực loại nội dung mà thuê bao đã đặt tên để xem.Loại thẻ thông minh tự giúp các hệ thống truy nhập có điều kiện để lưu trữ thông tin xác thực về thuê bao Chức năng các loại thẻ thông minh này bắt đầu được triển khai bằng cách sử dụng độ linh hoạt và khả năng của các hệ thống PW do ITU-TX.509 trợ giúp.

X509 xác định cấu trúc, các trường và toàn bộ toàn bộ tiêu chuẩn chứng chỉ và chữ kí số Sử dụng các chứng chỉ là một phần nội dung STB, các nhà cung cấp có khả năng áp dụng độ đo bảo mật cho thuê bao.

Tuy vậy vẫn có một số rủi ro cho công nghệ này, những đối tượng tấn công vẫn có thể điều khiển các STB và chiếm chứng chỉ và sẽ có khả năng sắp xếp các nội dung và thậm chí phát luồng cho các thuê bao khác Nếu đối tượng tấn công chiếm được chứng chỉ số từ nhà cung cấp nội dung, thì chúng có khả năng sửa luồng bao gồm cả những thông tin mà chúng muốn.

Trong chục năm trở lại đây, lực lượng kĩ sư thiết kế hệ thống đã che dấu cho các thiết bị này bằng cách sử dụng mã bảo mật, vì chúng hoạt động trên môi trường bảo mật chặt chẽ và đã không xảy ra những sự cố đáng tiếc Tuy vậy hoàn cảnh này trong tương lai sẽ thay đổi Với các Modem cáp và các STB ngày càng nhiều, những đối tượng tấn công nhằm mục tiêu vào hệ thống này như đối với hệ thống điện thoại di dộng ngày nay.

Người ta đã bổ sung các chức năng Game và lưu trữ cho các STB Hệ thống vận hành và phần mềm cần trợ giúp các ứng dụng Điều này tạo điều kiện dễ hơn cho những đối tượng tấn công và các thiết bị viết chương trình Virus.

Các nhà vận hành TV vệ tinh từ rất lâu đã nghiên cứu các bài toán bảo mật bao gồm các thẻ thông minh và mã bảo mật Trên cơ sở hệ thống kết hợp STB nói chung và thẻ thông minh người ta đưa ra khuyến nghị với thuê bao rằng cần phải có thông tin cá nhân và mã bảo mật thông tin để khôi phục tín hiệu vệ tinh Trong những năm gần đây, các đối tương tấn công có khả năng sao chép bản gốc và phân phối lại cho các thẻ đã được sao chép để truy nhập không hạn chế với các dịch vụ vệ tinh Điều đó làm tổn thất rất lớn cho ngành truyền hình, đặc biệt truyền hình vệ tinh Mỗi lần một mật mã mới được đưa ra, ngay lập tức những đối tượng tấn công chỉ mất vài giờ, vài ngày đã có thể đưa ra được ngay ra các thẻ sao chép mới Điều này chứng tỏ bài toán bảo mật thông tin cho các STB là một vấn đề hết sức quan trọng và cần thiết [6].

Các giải pháp bảo mật cho dịch vụ IPTV

2.2.1 Giải pháp bảo vệ nội dung

2.2.1.1 Hệ thống bảo vệ nội dung (CPS)

Hệ thống bảo vệ nội dung được sử dụng để đảm bảo nội dung chỉ được xem bởi thuê bao được ủy quyền Trong cả VOD và live IPTV, những kẻ xâm nhập có thể dễ dàng tiếp cận với các luồng multicast và unicast Mục đích của CPS để đảm bảo đối tượng trái phép sẽ không có khả năng giải mã các nội dung hoặc phân phối lại các nội dung trên cơ sở của luồng ban đầu. Để bảo vệ các phiên multicast của IPTV, đầu cuối sẽ mã hóa bảo mật các nội dung sau khi chúng đã được mã hóa Có một số thiết lập và các tùy chọn cho việc bảo vệ này Một khi sử dụng khóa đối xứng ngẫu nhiên, khóa này sẽ được sử dụng cho tất cả các nội dung từ đầu cuối hoặc nội dung cho một kênh cụ thể, hoặc nó có thể được thay đổi trong ngày Khóa này sẽ được kiểm soát ở mức ứng dụng và sẽ hạn chế sử dụng bởi IGMP để chỉ cho phép một nhóm các máy chủ có thể truy cập để phát sóng thông tin gửi đi.

Với trường hợp unicast VOD thì lại khác, vì đầu cuối sẽ mã hóa tất cả các nội dung với một khóa đối xứng ngẫu nhiên chỉ có sẵn cho các thuê bao trả tiền Sau đó các khóa sẽ được cung cấp cho các thuê bao sử dụng khóa công khai để mã hóa nội dung Biện pháp an ninh bổ sung bao gồm thay đổi khóa đối xứng trong quá trình truyền để tăng sự phức tạp của quá trình và làm giảm cơ hội của những kẻ xâm nhập tìm kiếm hoặc đoán khóa.

Trong IPTV, CPS là một trong những cơ chế sử dụng rộng rãi hơn đối với chủ sở hữu nội dung để bảo vệ tài sản số Nó cũng là sự bảo vệ cơ bản nhất mà họ yêu cầu vì nó đảm bảo một khi nội dung rời đầu cuối sẽ được bảo vệ trong quá trình truyền cho đến khi nó đi đến các thuê bao và thậm chị nó vẫn còn trong một số giới hạn tối thiểu hạn chế sự sao chép và phân phối lại [9].

2.2.1.2 Hệ thống truy cập có điều kiện (CAS)

Hệ thống truy cập có điều kiện được các nhà khai thác sử dụng để kiểm soát quyền truy cập vào nội dung CAS thực hiện sự dịch tần số đơn giản và nhiễu để mã hóa nội dung Vì các công ty viễn thông và các hãng phải đỗi mặt với các mối đe dọa khác nhau liên quan đến IPTV, một loạt các công nghệ mới đã được phát triển để bảo vệ dữ liệu.

Chức năng CAS dựa trên cùng một nguyên tắc như CPS: một khi thông tin đã được mã hóa, hệ thống sẽ đảm bảo khóa phiên chỉ được gửi đến những thuê bao có thẩm quyền để nhận được nội dung Trong một số trường hợp, CAS có thể được triển khai sử dụng danh sách kiểm soát truy cập duy nhất, mà không cần mã hóa nội dung.

Thực hiện xác minh nội bổ để đảm bảo chỉ có các thuê bao hợp lệ có thể yêu cầu tiêu đề VOD, và điều này bao gồm cả việc kiểm tra tình trạng tài khoản [9].

2.2.1.3 Quản lý bản quyền số (DRM)

Chủ sở hữu nội dung nhận ra rằng IPTV cung cấp một kênh tuyệt vời, nhưng cũng là một nguy cơ rất lớn Sự phát triển của các mạng peer-to-peer cho thấy nội dung số có thể dễ dàng được giao dịch trên Internet với ít sự kiểm soát sở hữu nội dung và không có sự công nhận thích hợp của IP Phân phối rộng khắp các bản sao bất hợp pháp sẽ làm suy yếu các hoạt động kinh doanh trên phương tiện truyền thông số và sẽ làm giảm doanh thu của các chủ sở hữu nội dung.

Các nhà cung cấp công nghệ thường cài đặt ban đầu các giải pháp thiếu cơ chế DRM, một số sử dụng công nghệ cơ bản hoặc các cơ chế mã hóa yếu Ngày nay, thay vì điều khiển DRM đường truyền, một số nhà cung cấp vẫn không giải quyết vấn đề ghi âm và phát lại Thuê bao có thể lưu trữ các bản sao của tài liệu DRM và phát hành lại trên web Điều này cần thiết phải có nội dung điều khiển DRM mạnh mẽ để giảm thiểu nguy cơ truy cập trái phép vào nội dung.

Hiện tại có hai lựa chọn cơ bản cho phân phối nội dung sử dụng IPTV – video theo yêu cầu (VOD) và phát sóng Mỗi lựa chọn có yêu cầu bảo mật và DRM riêng của nó: Đối với VOD: thường được khuyến nghị là nội dung được phân đoạn và được mã hóa bằng một khóa đối xứng Khóa có thể được thay đổi nhiều lần trong một bộ phim để tăng cường bảo vệ Mỗi set top box có khóa riêng của người mua, và máy chủ VOD gửi nội dung được mã hóa và khóa đối xứng được mã hóa để các set top box giải mã và phát lại.

Nội dung phát sóng cũng theo một quá trình tương tự Nội dung được mã hóa tại nguồn với một khóa đối xứng Các set top box gửi một yêu cầu cần khóa nội dung hiện tại và máy chủ dữ liệu gửi một khóa đối xứng được mã hóa để các set top box truy xuất nội dung.

Những yêu cầu khác của DRM bao gồm các quy định đối với thông tin được DRM bảo vệ phải được mã hóa bảo mật sau khi rời khỏi nguồn Và chỉ nên được giải mã sau khi nó đã đến địa điểm cần đến Điều này liên quan đến việc thay đổi kiến trúc an ninh trong đó kho lưu trữ khóa là một phần của quá trình mã hóa.

Cần có ứng dụng DRM để hỗ trợ bộ code cụ thể do nhà cung cấp dịch vụ IPTV lựa chọn để bảo vệ nội dung (ví dụ H.264, MPEG-4 và MPEG-2) Để cung cấp mức độ bảo vệ chấp nhận được về nội dung, hình ảnh video phải được mã hóa để xác minh tính toàn vẹn và thực hiện các tiêu chuẩn mã hóa tiên tiến cho các chức năng mã hóa Chiều dài khóa nên lớn hơn 128 (lý tưởng, 256 cho AES).

Môi trường DRM có thể có hoặc không được phần cứng hỗ trợ việc giải mã khóa, ví dụ chip trong IP set top box hoặc thẻ thông minh có thể được chèn vào trong set top box Thẻ thông minh đã được sử dụng rộng rãi bởi các nhà cung cấp truyền hình vệ tinh video Đã có một số trường hợp mức bảo mật của những nền tảng đã bị phá vỡ. Để mã hóa nội dung, cần các máy chủ DRM mã hóa thời gian thực Trong một số trường hợp VOD có thể được mã hóa sau khi đã được nhận và có thể được lưu trữ để sử dụng trong tương lai Tương tự với nội dung phát sóng, nội dung được mã hóa khi đang được nhận, cũng thường xuyên thay đổi các khóa truy cập để phát sóng các kênh truyền hình.

Cả VOD và các kênh truyền hình phát sóng phải mã hóa Trong nhiều trường hợp chức năng này sẽ được thực hiện theo thời gian thực Một số chức năng bổ sung là trao đổi khóa mã hóa với set top box Hai chức năng này coi là tải trên máy chủ DRM; thành phần này phải được thiết kế để hỗ trợ số lượng theo yêu cầu thích hợp.

Sự phân phối khóa phát sóng IPTV được thực hiện bằng cách gửi các khóa theo cơ sở người dùng Phương pháp này an toàn hơn, mặc dù khả năng mở rộng của nó hạn chế Cũng có thể gửi các khóa cùng các nội dung (ECMS) và gửi khóa giải mã ECM cho tất cả các set top box, nơi nó được lưu trữ an toàn Sau đó, thông tin về quyền người dùng được gửi cũng theo cơ sở one-to-one, và cũng được lưu trữ an toàn và được các thiết bị đầu cuối sử dụng để quyết định nên hay không nên giải mã nội dung.

Kết luận chương II

Trong chương 2, luận văn đã khảo sát các nguy cơ dẫn đến mất an toàn bảo mật của hệ thống dịch vụ IPTV Trên cơ sở đó, luận văn đã nghiên cưú một số giải pháp bảo mật hệ thống IPTV Các giải pháp này nhằm bảo đảm an toàn cho toàn bộ hệ thốngIPTV cũng như tính liên tục của dịch vụ được cung cấp cho khách hàng với chất lượng tốt nhất Các nội dung chương 2 sẽ là nền tảng cho các nghiên cứu tiếp theo trong chương 3.

NGHIÊN CỨU ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT

Dịch vụ truyền hình (Live TV)

Cung cấp cho bạn gần 200 kênh truyền hình với tất cả các thể loại: phim, thể thao, tin tức, thời sự, ca nhạc, khám phá, đặc sắc trong nước và quốc tế Ngoài các kênh truyền hình theo chuẩn SD (Standard Definition) thông thường, lần đầu tiên tại

Việt Nam, MyTV cung cấp các kênh truyền hình có chất lượng hình ảnh và âm thanh tuyệt hảo theo chuẩn HD (High Definition).

Sự khác biệt lớn nhất giữa dịch vụ truyền hình của MyTV so với các dịch vụ truyền hình truyền thống trước đây là khách hàng có thể sử dụng các tính năng:

Khóa các chương trình có nội dung không phù hợp với trẻ em (Parental

Hướng dẫn chương trình điện tử (EPG): giúp tìm kiếm chương trình truyền hình, lấy thông tin chi tiết về chương trình theo từng thể loại, xem lịch phát sóng.

Dịch vụ tạm dừng (Time shift TV - TSTV)

Là dịch vụ kết hợp giữa dịch vụ truyền hình và dịch vụ theo yêu cầu cho phép bạn có thể tạm dừng hoặc tua lại chương trình truyền hình đang phát và tiếp tục xem lại sau đó kể từ thời điểm tạm dừng.

Dịch vụ lưu trữ (Network Personal Video Recorder - NPVR)

Giúp bạn lựa chọn, ghi và lưu trữ các chương trình phát sóng trên các kênh truyền hình, sau đó mở ra xem lại bất cứ khi nào Đặc biệt bạn có thể vừa xem vừa ghi lại chương trình truyền hình mà mình yêu thích hay đặt chế độ ghi tự động khi có việc bận trùng với khung giờ phát sóng của chương trình.

Sóng phát thanh trực tuyến

Bạn có thể lựa chọn và thưởng thưc các chương trình phát thanh trong nước,quốc tế qua hệ thống MyTV vào bất kỳ thời điểm nào trong ngày.

Truyền hình xem lại (TV on Demand)

Dịch vụ Truyền hình xem lại giúp bạn lựa chọn và xem lại các chương trình truyền hình đã phát trước đó Với dịch vụ Truyền hình theo yêu cầu của MyTV, bạn không phải phụ thuộc vào thời gian phát sóng của các đài truyền hình và sẽ không bao giờ để lỡ bất cứ một chương trình truyền hình yêu thích nào.

Phim truyện

Thỏa thích lựa chọn phim trực tiếp từ thư viện phim khổng lồ gồm nhiều thể loại như phim hành động, hài, tâm lý xã hội, v.v từ kinh điển đến hiện đại, thuộc các quốc gia khác nhau vào bất cứ thời điểm nào. Đặc biệt hơn, MyTV còn mang đến cho bạn một số phim theo chuẩn HD với chất lượng hình ảnh và âm thanh của một rạp chiếu phim ngay tại nhà.

Không chỉ dừng lại ở việc xem phim đơn thuần, bạn có thể xem các bộ phim yêu thích với rất nhiều tính năng ưu việt như:

Khóa các phim có nội dung không phù hợp với trẻ em.

Xem trước nội dung giới thiệu của mỗi phim.

Xem lại 1 bộ phim nhiều lần.

Sử dụng các chức năng như với đầu DVD: tua đi, tua lại, nhảy đến bất kỳ vị trí nào của phim.

Ca nhạc

Dịch vụ Âm nhạc của MyTV giúp bạn tận hưởng giây phút thư thái sau giờ làm việc căng thẳng với danh sách gần 10.000 nội dung âm nhạc bao gồm Audio, xem clip,các bài hát liên tục được cập nhật Với dịch vụ Ca nhạc của MyTV, bạn có thể lựa chọn: Bài hát mình yêu thích, những bài hát mới nhất thuộc mọi thể loại với chất lượng hình ảnh, âm thanh sống động.

Karaoke

Dịch vụ Karaoke là dịch vụ giúp khách hàng hát Karaoke ngay tại nhà với chất lượng âm thanh và hình ảnh hoàn hảo, giao diện thân thiện dễ sử dụng Dịch vụ Karaoke của MyTV sẽ mang đến cho bạn những phút giây thư giãn tuyệt vời với bạn bè và người thân của mình.

Games

Dịch vụ Games của MyTV giúp bạn lựa chọn và chơi game trên màn hình tivi rộng lớn ngay tại nhà của mình với hình ảnh sống động và giao diện bắt mắt mang phong cách hiện đại.

Bạn có thể lựa chọn game từ danh sách sẵn có Số lượng game phong phú và được cập nhật liên tục Nội dung game hấp dẫn với nhiều thể loại game như: thể thao,giải trí, hành động, vui nhộn, phiêu lưu Với hệ thống lưu điểm xếp hạng người chơi có điểm số cáo nhất trong tuần, tháng khách hàng có cơ hội trúng thưởng bằng tiền và hiện vật rất hấp dẫn.

Dịch vụ Thông tin cần biết (T-Information)

Dịch vụ Thông tin cần biết cung cấp cho khách hàng các thông tin hữu ích hàng ngày như: Kết quả xổ số; Dự báo thời tiết; Giá cả thị trường; Phương tiện đi lại; Du lịch giải trí…

Hiện tại, dịch vụ cung cấp thông tin theo các chuyên mục cụ thể như sau:

Thông tin thị trường: Cung cấp các thông tin được cập nhật thường xuyên, liên tục về sàn giao dịch chứng khoán; Mua bán nhà đất; Giá vàng, ngoại tệ; Kết quả xổ số.

Phương tiện đi lại: Cung cấp thông tin về lịch tàu, lịch bay, thông tin chi tiết về các tuyến xe buýt; địa chỉ, điện thoại của các hãng taxi, hàng không, các đại lý bán vé tàu, vé bay trên khắp các tỉnh thành cả nước…

Du lịch, giải trí: Cung cấp các thông tin hữu ích về điểm đặt ATM; Lịch chiếu phim; Địa chỉ nhà hàng, khách sạn, café, bar- karaoke.

Dự báo thời tiết: Cung cấp thông tin được cập nhât thường xuyên, liên tục về thời tiết các vùng của 64 tỉnh thành trong cả nước.

Danh bạ điện thoại: Cung cấp thông tin hữu ích về các số điện thoại khẩn, điện thoại cần biết, mã vùng, mã quốc gia…

Dịch vụ Tiếp thị truyền hình (T-Marketing)

Dịch vụ Tiếp thị truyền hình cung cấp cho khách hàng các thông tin về sản phẩm, dịch vụ (mẫu mã, giá cả, loại hình dịch vụ…) của doanh nghiệp để khách hàng xem xét, lựa chọn và mua sắm Đây là một không gian tốt thu hút các doanh nghiệp quảng cáo thương hiệu, sản phẩm và dịch vụ của mình.

Hiện tại, dịch vụ bao gồm các chuyên mục sản phẩm, dịch vụ theo nhóm hàng hóa như: Đồ điện, điện tử, đồ nội thất, thời trang, du lịch, mỹ phẩm, ẩm thực.

Dịch vụ chia sẻ hình ảnh (Media Sharing)

Dịch vụ chia sẻ hình ảnh cung cấp cho khách hàng tiện ích upload và chia sẻ hình ảnh, video clips với người thân, gia đình, bạn bè qua MyTV. Đến với dịch vụ Chia sẻ hình ảnh khách hàng có được những phút giây thư giãn, ngắm nhìn những tấm hình kỷ niệm của mình và chia sẻ những tấm hình đó với bạn bè, người thân của mình trên khắp các tỉnh thành cả nước qua MyTV.

Dịch vụ hiện thu hút rất nhiều khách hàng quan tâm và là không gian tốt cho việc quảng bá thương hiệu, hình ảnh cho các doanh nghiệp.

Dịch vụ thể thao

Người hâm mộ thể thao có cơ hội được thưởng thức những giải thể thao uy tín, chất lượng, những clip thể thao đặc sắc, những thông tin thể thao nóng hổi, hấp dẫn trên chuyên mục THỂ THAO của MyTV.

Lựa chọn dịch vụ Thể thao, bạn có thể xem trực tiếp, xem lại những trận đấu bóng đá đỉnh cao của giải Ngoại hạng Anh English Premiere Cup, Cúp quốc gia ÝItalian Cup, những trận thi đấu bóng chuyền trong nước, quốc tế sôi nổi hấp dẫn, và những clip dạy thể thao bổ ích, lý thú.

Dịch vụ tin tức

Là dịch vụ cung cấp những thông tin nóng hổi về tình hình thời sự trong nước và quốc tế, những phân tích bình luận đa chiều từ các trang báo mới những thông tin cập nhật, hấp dẫn Với dịch vụ Tin tức, dù bất cứ lúc nào bật tivi bạn cũng có thể cập nhật những thông tin mới nhất, thời sự nhất.

Dịch vụ đọc truyện

Lần đầu tiên trên truyền hình, bạn có thể lắng nghe những câu chuyện Audio hấp dẫn, phiêu lưu cùng tranh truyện hiện đại, đắm mình cũng những tiểu thuyết hấp dẫn, hồn nhiên cùng tranh truyện thiếu nhi với dịch vụ Đọc truyện của MyTV.

Dịch vụ sức khỏe làm đẹp

Dịch vụ “Sức khỏe & Làm đẹp” cung cấp cho bạn những nội dung phong phú, những clip hay và hấp dẫn từ cách trang điểm, chăm sóc da, chăm sóc tóc, vẽ móng cho đến những mẹo nhỏ chăm sóc sức khỏe, cách học khiêu vũ, múa bụng, yoga, thẩm mỹ, nấu ăn… Giờ đây, chỉ cần ngồi nhà, bạn cũng có thể tự trang bị cho mình những kiến thức cơ bản về làm đẹp và chăm sóc sức khỏe cho chính bản thân, gia đình và bạn bè Hãy tận hưởng những giá trị đích thực của cuộc sống với dịch vụ “Sức khỏe & Làm đẹp” trên MyTV.

Dịch vụ nhịp cầu MyTV

Với tính năng tương tác ưu việt, MyTV cung cấp những chương trình truyền hình, những clip chọn lọc, đặc sắc theo yêu cầu thông tin giải trí ngày càng cao của khán giá trên chuyên mục Nhịp cầu MyTV.

Quảng cáo (Advertising)

Cung cấp cho các doanh nghiệp và cá nhân có nhu cầu quảng cáo, giới thiệu sản phẩm trên MyTV qua nhiều hình thức: TVC, Panel, Logo, Text.

Các yêu bảo mật trong MyTV

3.2.1 Mô hình cung cấp dịch vụ MyTV

Dịch vụ Truyền hình tương tác MyTV là dịch vụ truyền hình qua giao thức Internet của Tập đoàn Bưu chính Viễn thông Việt Nam-VNPT cung cấp tới khách hàng dựa trên công nghệ IPTV (Internet Protocol Television) Tín hiệu truyền hình được chuyển hóa thành tín hiệu IP, truyền qua hạ tầng mạng băng thông rộng của VNPT đến thiết bị đầu cuối STB (Set – top – box : bộ giải mã tín hiệu truyền hình) và tới TV của khách hàng.

Giải pháp và thiết bị cung cấp dịch vụ IPTV của VNPT do hãng ZTE cung cấp Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV của VASC như trong hình dưới đây.

Hình 3.1 Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV của VASC [1]

Trong cấu hình trên, VASC là chủ cung cấp dịch vụ với trung tâm nội dung và quản lý IPTV tại Hà Nội Công ty VTN cung cấp hạ tầng mạng core truyền tải dịch vụ IPTV đến các VNPT tỉnh/thành phố Các VNPT tỉnh/thành phố cung cấp hạ tầng mạng truy nhập truyền tải dịch vụ IPTV đến từng khách hàng Để giảm tải, tại mỗi tỉnh/thành phố đêu đặt các VoD Server.

Lưu lượng multicast cho dịch vụ broadcast TV: Để tiết kiệm tài nguyên mạng, một số dịch vụ của hệ thống IPTV như LiveTV và NVOD sử dụng phương thức truyền tải lưu lượng multicast Để các lưu lượng multicast có thể truyền tải trong hệ thống mạng một cách hiệu quả, các tính năng multicast cần được hỗ trợ tại các thiết bị mạng Các giao thức thực hiện tại các thiết bị mạng như Hình dưới đây

Hình 3.2 Cấu hình các giao thức thiết bị mạng cho dịch vụ MyTV [1]

Trong giải pháp cung cấp dịch vụ IPTV của VASC, dịch vụ IPTV cung cấp cho khách hàng dựa trên mạng ADSL hoặc mạng FTTx.

Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa trên mạng ADSL

Mạng khách hàng sử dụng mô hình ánh xạ dịch vụ multi-PVC.

Dịch vụ IPTV được cung cấp trên các kết nối ADSL2+ Mỗi kết nối

ADSL2+ đến thuê bao gồm có 2 PVC khác nhau nhằm cung cấp 2 loại dịch vụ:

PVC 1: cung cấp dịch vụ truy nhập Internet tốc độ cao (HSI).

PVC 2: cung cấp dịch vụ video (bao gồm cả VoD, LiveTV, VAS ).

Khách hàng sử dụng các thiết bị đầu cuối khác nhau cho từng loại dịch vụ: Video: STB (Set-Top - Box).và Internet: PC Đối với dịch vụ IPTV, địa chỉ IP được cấp phát động bằng DHCP Tại các PE được cấu hình DHCP relay để chuyển tiếp các gói tin DHCP đến DHCP server và thực hiện định tuyến các gói tin đến đích mong muốn.

Kết nối ADSL2+ được kết cuối bởi thiết bị modem Các thiết bị này chuyển các lưu lượng trên các PVC đến các giao diện đầu ra tương ứng kết nối với các thiết bị đầu cuối dịch vụ.

Sơ đồ cung cấp địa chỉ động DHCP cho STB như Hình dưới đây.

Hình 3.3 Sơ đồ cung cấp địa chỉ động DHCP cho STB [1] Đối với dịch vụ truy nhập Internet tốc độ cao (HSI), thuê bao thực hiện quay số PPPoE đến BRAS BRAS cấp địa chỉ IP cho từng kết nối PPPoE, thực hiện NAT (nếu cần) và chuyển tiếp các lưu lượng ra Internet. Đối với các dịch vụ IPTV, địa chỉ IP được cấp phát động bằng DHCP. Tại BRAS hoặc PE cấu hình DHCP relay chuyển tiếp các gói tin DHCP đến DHCP server và thực hiện định tuyến các gói tin của các dịch vụ này đến đích mong muốn.

Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa trên mạng FTTx như sau:

Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa trên FTTx [1]

Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa trên mạng FTTx tương tự như trường hợp dựa trên mạng ADSL với việc thay thế thiết bị IP DSLAM/MSAN bởi OLT.

Phía mạng truy nhập tại các tỉnh/thành phố được triển khai theo mô hình S- VLAN (Vlan per service) Mô hình S-VLAN trong mạng truy nhập như Hìn dưới đây bao gồm:

HSI Vlan : Vlan dành cho internet

VOD vlan: Vlan dành cho dịch vụ VOD – chạy unicast

LiveTV vlan: Vlan dành cho dịch vụ liveTV – chạy multicast

Hình 3.5 Mô hình S-VLAN trong mạng truy nhập [1]

Cụ thể đối với hệ thống mạng hiện tại, mô hình S-VLAN hoạt động như sau:

Tại các IP-DSLAM, mỗi cổng ADSL2+ gồm 3 PVC, mỗi PVC dành cho một dịch vụ (Internet, VoIP, video).

Tại các giao diện uplink, các PVC được ánh xạ vào các S-VLAN tương ứng với từng loại dịch vụ sử dụng phương thức đóng gói 802.1q

Tại các switch lớp 2, access switch, cấu hình các giao diện trunk mang lưu lượng của các S-VLAN này.

BRAS/PE có nhiệm vụ kết cuối các S-VLAN và thực hiện định tuyến các gói tin đến đích mong muốn.

Các biện pháp đảm bảo QoS được áp dụng trên từng S-VLAN thông qua cấu hình 802.1p đối với các S-VLAN tương ứng Tại BRAS/PE, nơi kết cuối các S- VLAN, thực hiện QoS lớp 3 bằng DSCP (Diffrentiated Service Code Point) Như vậy tại BRAS/PE cần cấu hình chuyển đổi QoS từ 802.1p của lớp 2 sang DSCP của lớp 3.

3.2.2 Các yêu cầu bảo mật trong dịch vụ MyTV Đối với dịch vụ MyTV, các yêu cầu bảo mật cũng tương tự như các nội dung đã trình bày trong mục 1.3.

Các giải pháp bảo mật trong MyTV

Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng (Redundance). Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép

Có khả năng phát hiện và cách ly khi xảy ra hiện tượng quá áp, quá dòng. Nếu không có khả năng trên, khi đó phải lắp thêm mạch phụ trợ

Không kích hoạt giao thức CDP trên Access Switch

Chỉ nhận các bản tin ARP Reply trên các giao diện được cấu hình là tin

Không kích hoạt chức năng Auto Trunking giao diện phía thuê bao Cấu hình Vlan Trunking Protocol (VTP) chế độ Transparent

Tạo riêng một Vlan với các cổng Trunk tách biệt với thuê bao

Phải cấu hình Port Security đối với từng địa chỉ MAC nhận được khi thuê bao đăng ký sử dụng dịch vụ IPTV Nếu không có khả năng cấu hình Port Security, phải cấu hình danh sách giới hạn những địa chỉ MAC nguồn được chấp nhận.

Phải nhận biết được bản tin yêu cầu DHCP hợp lệ của thuê bao cũng như bản tin trả lời DHCP tin cậy từ DHCP Server gửi tới trong việc cấp phát địa chỉ IP cho STB của thuê bao.

Cấu hình tùy chọn DHCP Relay Option 82

Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.

Nên cấu hình hỗ trợ các chức năng sau đây: o Chỉ báo số bản tin IGMP tối đa trên 1 giây (max-msg-rate) có thể được nhận o Chỉ báo tổng số các loại bản tin (total-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP và các bản tin không hợp lệ o Chỉ báo tổng số các bản tin IGMP (total-igmp-msg) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join và IGMP Leave thành công và không thành công. o Chỉ báo tổng số bản tin IGMP Join (total-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join thành công và không thành công. o Chỉ báo tổng số bản tin IGMP Join thành công (success-req) nhận được từ phía các thuê bao, gồm các bản tin IGMP Join mới và các bản tin o Chỉ báo tổng số bản tin IGMP Join mới không thành công (unsuccess- req) nhận được từ phía các thuê bao. o Chỉ báo tổng số bản tin IGMP Leave (total-leave-req) nhận được từ phía các thuê bao o Chỉ báo số lượng các kết nối bởi các bản tin IGMP Join mới không thành công (num-connects) nhận được từ phía thuê bao o Chỉ báo số phiên bị ngắt kết nối tới thuê bao (num-disconnects o Chỉ báo số lượng các nhóm Multicast đã được kết nối (curr-root-conn) o Chỉ báo số lượng các nhóm Multicast có được khai báo trong bảng nguồn Multicast đã được kết nối (con-cfgd) o Chỉ báo số lượng các nhóm Multicast không được khai báo trong bảng nguồn Multicast đã được kết nối (con-un-cfgd)

Cần cấu hình kiểm tra xác thực trong các bản tin IGMP

Phải cấu hình băng thông đường lên tối đa cho từng thuê bao Nếu băng thông được sử dụng bởi cổng đường lên cho từng thuê bao vượt quá ngưỡng cho phép,chương trình được thuê bao đã chọn sẽ bị ngưng (treo) tạm thời Khi băng thông đường lên đã ngang bằng với ngưỡng cho phép, chương trình bị tạm ngưng (treo) sẽ được xem trở lại

Phải cấu hình số chương trình tối đa thuê bao có thể xem tại một thời điểm

Cấu hình chức năng ghi Log và khóa cổng thuê bao khi phát hiện thuê bao muốn xem số kênh chương trình vượt quá gới hạn cho phép.

Tham gia trong VLAN quản lý các thiết bị hạ tầng mạng: IP DSLAM, Access Switch, UPE, PE-AGG. Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.

Giới hạn số lần người dùng đăng nhập không thành công Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.

3.3.3 Router thực thi chức năng Multicast (UPE, PE-AGG) [8]

UPE Phải cấu hình danh sách giới hạn các địa chỉ MAC của STB

Cấu hình danh sách giới hạn các kênh chương trình cho Broadcast.

Cấu hình ánh xạ tĩnh PIM-SSM (Static PIM-SSM Mapping)

Cấu hình chức năng lọc bản tin PIM-SSM của các láng giềng lân cận

(PIM Neighbor Filtering) để ngăn chặn các Router không thuộc miền Multicast tham gia chuyển tiếp bản tin giao thức định tuyến PIM

Bảo vệ tài nguyên CPU khi có nhiều phiên Multicast yêu cầu tiến trình đăng ký PIM tại cùng một thời điểm (PIM Register Rate Limiting)

Cấu hình kiểm tra xác thực trong các bản tin thuộc giao thức định tuyến PIM-SSM bằng mã hoá xác thực thông báo MD5. Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.

Giới hạn số lần người dùng đăng nhập không thành công Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.

Cơ sở thông tin quản lý (Management Information Base) dành cho quản lý mạng Multicast (Multicast MIBs) cần được dùng với công cụ SNMP (Simple Network Management Protocol) trong việc gửi các bản tin thông báo lỗi hệ thống Multicast (Multicast Traps) như thông báo PIM không đúng hoặc những thay đổi về kênh Multicast tới người quản trị hệ thống.

Các cơ chế ghi Multicast Syslog và giám sát lưu lượng mạng (NetFlow)

Lưu ý khi sử dụng một số không gian địa chỉ dành riêng cho Multicast.

Phải cấu hình chức năng DCHP Snooping để ánh xạ việc cấp phát địa chỉ

Phải cấu hình giới hạn nhận bản tin DHCP Request hợp lệ đối với từng thuê bao.

Nên sử dụng ánh xạ tĩnh khi cấp địa chỉ IP cho STB của thuê bao theo cơ chế gán tĩnh địa chỉ IP theo địa chỉ MAC và Serial Number của STB.

Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản. Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền. Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.

Giới hạn số lần người dùng đăng nhập không thành công Tất cả các tác vụ quản trị phải thông qua các kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3.

Phải được cập nhật các bản vá lỗi, các chương trình diệt virus.

Giới hạn tốc độ gửi các gói tin ICMP gửi đến EPG Server từ các thuê bao (ICMP Rate Limiting).

Cấu hình kiểm tra xác thực trong các bản tin thuộc kết nối TCP/UDP tại EPG Server bằng mã hoá xác thực thông báo MD5.

Giới hạn tốc độ gửi các gói tin SYN đến EPG Server (SYN Rate Limiting).

Cấu hình bộ lọc các ký tự đặc biệt không tương thích với những giá trị và cấu trúc được chấp thuận từ trước để chặn những bản tin tấn công Buffer Overflow từ phía thuê bao. Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng và đưa ra các cảnh báo về các cuộc tấn công. Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng và đưa ra các cảnh báo về các cuộc tấn công. o Gửi nhiều phân đoạn xấu gói tin IP từ phía thuê bao. o Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn. o Gửi nhiều gói tin SYN. o Tấn công Buffer Overflow qua giao thức HTTP Dự phòng thiết bi

Sử dụng giao thức HTTPs (HTTP over Secure Socket Layer) thay cho

Không kích hoạt các mô đun Web (Web Modules) thường được gọi là plug-ins khi không có yêu cầu

Gỡ bỏ các tập tin nháp, Scripts, Code thực thi từ thư mục gốc dành cho Web Site.

Cấu hình các tập tin của Web Site có thể đọc được bởi các tiến trình xử lý tại nhưng không thể ghi đè.

Duy trì bản Copy nội dung Web Site trên một Host được đảm bảo an ninh.

Tham gia trong VLAN quản lý các máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản.

Cần có một Card mạng chuyên biệt để quản trị theo VLAN và các Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần được cấu hình các ACL lọc địa MAC và địa chỉ IP tương ứng với các tác vụ quản trị và truyền thông. Đặt mật khẩu truy cập, kiểm soát truy cập qua: xác thực, cấp quyền.

Kết luận chương III

Trong chương III luận văn đã trình bày tổng quan về dịch vụ MyTV, mô hình cung cấp dịch vụ và các đề xuất giải pháp bảo mật Các giải pháp đề xuất có tiềm năng triển khai trong thực tế nhằm nâng cao chất lượng dịch vụ, đảm bảo sự hài long của khách hàng.