1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN HỮU TÀI CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG ĐỐI VỚI HỆ THỐNG IPTV LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – NĂM 2014 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN HỮU TÀI CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG ĐỐI VỚI HỆ THỐNG IPTV Chuyên ngành: Kỹ thuật viễn thông Mã số: 60.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS TRẦN HỒNG QUÂN LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa t ừng công b ố công trình khác Tác giả luận văn ký ghi rõ họ tên Nguyễn Hữu Tài LỜI CẢM ƠN Sau năm tháng học tập Học Viện Công Nghệ Bưu Chính Viễn Thông, tích lũy khối lượng kiến thức đáng k ể Trong thời gian làm lu ận v ăn t ốt nghi ệp học nhiều kiến thức rút kinh nghiệm quý báu để xây d ựng cách làm việc nghiên cứu khoa học ngày hiệu Một lu ận văn hoàn chỉnh không công sức cá nhân thực mà có âm th ầm giúp s ức t thầy cô, bạn bè gia đình Trong khuôn khổ luận văn tốt nghiệp, với thời gian nghiên c ứu có hạn, lĩnh v ực nghiên cứu rộng, kết nghiên cứu chắn chưa th ể th ỏa mãn yêu c ầu m ức độ cao Tuy nhiên, với nỗ lực thân kết đạt được, hy vọng luận văn gợi mở cần thiết cho nghiên cứu sâu sau Tôi xin chân thành cám ơn Thầy Cô trường truyền đạt kiến thức cho suốt trình học, thật kiến thức quý báu góp phần không nhỏ làm tảng để nghiên c ứu đề t ài Tôi xin gửi lời cảm ơn sâu sắc đến P.GS TS Trần Hồng Quân- Học viện B ưu viễn thôngđã tận tình giúp đỡ thời gian làm luận văn Tôi xin gửi lời cảm ơn chân thành đến thầy giáo bạn đồng nghiệp khoa Kỹ thu ật viễn thông - Trường Học viện bưu viên thông động viên, giúp đỡ, tạo điều kiện để ho àn thành luận văn tiến độ Và cuối xin gửi lời cảm ơn chân thành đến gia đình, bạn bè, người sát cánh động viên để vượt qua khó khăn, hoàn thành luận văn theo yêu cầu Học viện Hà Nội, Ngày 18 tháng năm 2014 Nguyễn Hữu Tài MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh ADSL Asymmetric Digital Subscriber Line D-DOS DSLAM DRM DVB DVD DVR Distributed Denial of Service Digital Subscriber Line Acces Multiplexers Digital Right Managent Digital Video Broadcasting Digital Video Disc Digital Video Recoder FTP File Tranfer Protocol HTTP Hyper Text Transfer Protocol IETF IGMP IP ITU Internet Enginerring Task Force Internet Group Management Protocol Internet Protocol International Telecommunication Union MPEG MSDP MBGP Moving Picture Experts Group Multicast Source Discovery Protocol Multicast Border Gateway Protocol PIM Protocol independent multicast Tiếng Việt A Đường dây thuê bao số bất đối xứng D F H I M Tấn công từ chối phân phối dịch vụ Bộ ghép kênh truy nhập đường dây thuê bao Phần mềm quản lí quyền số Video số phát quảng bá Đĩa video số Thiết bị ghi video số Giao thức truyền tệp tin Giao thức truyền dẫn siêu văn Tổ chức tiêu chuẩn mạng quốc tế Giao thức nhóm quản lí mạng Giao thức mạng Liên minh viên thông giới Tổ chức chuyên nghiên cứu ảnh động Giao thức nguồn tài nguyên Giao thức cổng P Q Giao thức độc lập Viết tắt QoS RSVP RTCP RTP RTSP Tiếng Anh Quality of Service Resource Reservatiion Protocol Real-time Control Protocol Real-time Transport Protocol Real-time Streaming Protocol SA STB Source Active Set top Box TCP Transport Control Protocol UDP User Datagram Protocol VCD VoD Video Compact Disk Video on Demand Wimax World Wide Interoperability For MicroWave Access R S T U V W Tiếng Việt Quản lí chất lượng dịch vụ Giao thức dành riêng tài nguyên mạng Giao thức điều khiển thời gian thực Giao thức truyền tải thời gian thực Giao thức dòng liệu thời gian thực Nguồn đăng nhập Bộ chuyển đổi tín hiệu số sang tương tự Giao thức điều khiển truyền tin Giao thức người sử dụng Đĩa quang có hình Truyền hình yêu cầu Tương tác toàn cầu với truy nhập vi ba DANH MỤC CÁC HÌNH Số hiệu hình vẽ 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2.1 2.2 2.3 2.4 2.5 3.1 3.2 Tên hình vẽ Sơ đồ hệ thống IPTV Mô hình truyền thông IPTV Tổ hợp khung hình MPEG-4 Cấu trúc mã hóa giải mã MPEG-4 Mã hóa tổng hợp khung hình video sử dụng MPEG-4 Cấu trúc phân lớp H.264 Các bán ảnh khung Phân loại rủi ro Biểu thị mô hình môi trường IPTV mức cao Cấu trúc IGMP Cấu trúc RTP Một số STB thường gặp Quan hệ IPTV Head End Mô hình chống xâm nhập công Trang 10 11 12 13 15 26 30 38 40 43 59 67 DANH MỤC CÁC BẢNG Số hiệu bảng 1.1 3.1 3.2 3.3 3.4 3.5 3.6 Tên hình vẽ Các dịch vụ cung cấp IPTV Biểu thị số biện pháp quản lí khóa bảo mật Các giải pháp phòng chống phương tiện vật lý Biểu thị số giải pháp chống lại mã video chuyển đổi MPEG Các giải pháp phòng chống phương tiện vật lý Giải pháp bảo đảm tình trạng, tính nguyên vẹn độ khả dụng mạng Giải pháp định tuyến để đảm bảo tình trạng, tính nguyên vẹn độ khả dụng Trang 16 60 61 61 62 63 63 10 MỞ ĐẦU Cùng với phát triển Internet, IPTV đời phát tri ển ph ạm vi to àn th ế giới ( có Việt Nam) chục năm trở lại chứng tỏ m ột lĩnh vực truyền hình hấp dẫn cạnh tranh mạnh mẽ với mạng truyền hình khác b ởi tính ti ện ích, chất lượng giá Tuy đời, song IPTV hệ thống truyền hình giao th ức IP nên có chung nguy bị xâm nhập công hệ thống, đặc biệt truy ền môi trường vô tuyến Do phát triển, người ta chưa ý nhiều đến đấu tranh b ảo m ật cho d ịch v ụ truyền nội dung cung cấp thời gian qua nhi ều hãng ch ịu nhi ều th ất thoát lớn Trong lịch sử từ năm 1990 tác giả Komatsu, N and Tominaga đưa kết nghiên cứu việc che dấu ảnh số hệ thống truyền ảnh Sau đến năm 2007 nhiều tác giả đồng loạt nghiên cứu giải pháp bảo vệ nội dung truyền dẫn số khả xâm nhập, công trái phép phần hệ thống: đầu cuối, môi trường truyền, nhà cung cấp dịch vụ từ đưa giải pháp chống xâm nhập Với tác giả Crosby, S and Goldberg sâu nghiên cứu hệ thống bảo mật nội dung số băng rộng giải pháp mã bảo mật Tuy tác giả có nhiều công trình ứng dụng cho bảo mật IPTV xong môi trường truyền dẫn lớn (ví dụ: vệ tinh) nguy bị xâm nhập trái phép lớn lại chưa đề cập nhiều Các giải pháp phát xâm nhập chủ yếu dựa vào luật Bayess chủ yếu Trong luận văn đề cập đến nghiên cứu khả bị xâm nhập công Đặc biệt phân tích kĩ việc xâm nhập công môi trường truyền TV qua vệ tinh Nghiên cứu bảo mật IPTV yêu cầu cấp thiết để học viên lựa chọn h ướng nghiên cứu Mục đích luận văn tập trung vào nghiên cứu, tìm hiểu đánh giá phương thức xâm nhập trái phép IPTV từ đề xuất giải pháp chống lại xâm nhập trái phép hệ thống thông tin Với mục đích đó, luận văn b ố cục nh sau: Chương 1: Tổng quan IPTV Chương 2: Các mối nguy bị xâm nhập công hệ thống IPTV Chương 3: Các giải pháp chống xâm nhập công hệ thống IPTV 45 Trong RFC 4259 nói ULE cần phải có khả đề kháng v ững v ới l ỗi v công an ninh mạng Bảo mật cần phải xét cho kết nối vô hướng song hướng Trong [ RFC 4252] có phân tích ban đầu bảo mật mạng truyền dẫn MPEC-2 Dưới luận văn phân tích số hiểm họa truyền TV qua vệ tinh: 2.5.2 Phân tích số hiểm họa truyền TV qua vệ tinh a) Cấu trúc mạng truyền dẫn MPEC-2: + ULE Eucapsulation Gateway(hoặc Eucapsulation nguồn ULE) + Máy phát tín hiệu (đầu ghép kênh) + Các tách- ghép kênh + Các điều chế b) Trong mạng MPEC-2 tập tin báo hiệu cần cho phát qu ảng bá m mã bảo mật Cần phải bảo đảm tính nguyên vẹn xác th ực tin Các gói TS truyền đến máy thu qua lớp vật lí thường có mã hóa sửa l ỗi tr ước(FEC) v chèn byte Loại công đơn giản công thụ động, bao gồm: Nghe trộm nội dung nói chuyện riêng giám sát truyền dẫn với mục đích thu thông tin truyền Trong mạng quảng bá truyền hình sử dụng giao tiếp lớp vật lí chi phí thấp nh DVB công thụ động loại công chủ yếu Họ lút giám sát vi ệc phát MPEC- v sau tách thông tin lưu lượng liên quan thông tin IP Host s dụng k ết n ối Nh ững đối tượng xâm nhập cố thu thông tin bên cách theo dõi ULE c h ọ Đối t ượng công thu thông tin cách xác định nhận dạng lớp bên thông tin khối lượng lưu lượng họ Các công tích cực, nói chung khó th ực hi ện h ơn so v ới t ấn công th ụ động thường cần nguồn lực tinh vi cần truy nhập vào máy phát Trong truyền MPEC-2 số công tích cực thường gặp: Giả mạo: Một ULE Eucapsulation Gateway giả tạo ULE Eucapsulation Gateway Điều bao gồm tin điều khiển phân mạng giả tạo Sửa đổi tin cách không xác thực Các công quay lại: Khi kẻ xâm nhập gửi số tin cũ đến máy thu Trong trường hợp kết nối quảng bá việc truy nhập đến số liệu phát quảng bá dễ dàng Tấn công dịch vụ: Là công phổ biến nhất, hệ thống IP việc giả mạo sửa đổi gói IP tương đối dễ dàng Ta tóm tắt ba kịch công: + Trường hợp 1: Tấn công thụ động – giám sát Ởđây đối tượng công giám sát việc phát quảng bá để thu thông tin v ề số liệu ULE bám thông tin Trong kịch này, cần phải th ực hi ện đo l ường để b ảo vệ số liệu ULE nhận dạng máy thu ULE 46 + Trường hợp 2: Chặn cục ghép kênh MPEC-2 Sửa đổi gói tin để phát cho hay nhóm máy thu ULE Nhà vận hành mạng truyền d ẫn MPEG không th ể biết công Vì cần phải thực hi ện đo lường để tránh, đảm b ảo tính xác thực nguồn ngăn chặn quay lại tin cũ + Trường hợp 3: Chặn toàn ghép kênh MPEG-TS Ởđây ta gi ả thi ết đối t ượng xâm nhập tinh vi có khả chặn toàn ghép kênh MPEG Để chặn hành động này, nhà khai thác cần đo lường để phát công lưu lại truyền dẫn gốc Đối với hai trường hợp sau có hai trường hợp phụ: Một công nội bộ: Các công tích cực xuất phát từ k ẻ chống đối mà họ lại có tín nhiệm Hai công bên ngoài: Các công xu ất phát t phía ngo ài c m ột m ạng riêng ảo Các công trường hợp coi công chủ yếu hệ thống truyền dẫn MPEG Trường hợp có mức độ c ấu trúc m ạng hi ện nay, đặc bi ệt có công bên Do đó, việc bảo vệ chống lại ho ạt động tích c ực ch ỉ nên dùng có hiểm họa Trong trường hợp trường hợp khó qua mặt nhà v ận hành người ta yêu cầu lưu truyền dẫn gốc Tổng kết chương Môi trường IPTV hình thành với nhiều thành phần có ểm yếu v ề an ninh mức độ khác Các hệ thống vận hành, ứng dụng giao thức t ồn số điểm yếu bảo mật Điều tạo điều kiện cho đối tượng xâm nhập có th ể thực điều khiển môi trường gây cố vận hành hệ thống Vấn đề cốt lõi toán bảo mật phải thực toàn b ộ t đầu đến cu ối c môi trường IPTV, bao gồm giai đoạn thiết kế, ứng dụng vận hành Cần có giải pháp hợp lí để phân tích rủi rocho mạng IPTV gồm thành phần môi trường Head end, truyền tải mạng nhà 47 Chương – CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG MẠNG Qua nghiên cứu chương thấy mối nguy hiểm công đến an ninh mạng IPTV Chương đưa giải pháp thông dụng chống lại xâm nh ập t ấn công hệ thống IPTV 3.1 Các giải pháp bảo mật 3.1.1 Bảo mật hệ thống vận hành Hầu hết phần tử môi trường IPTV hệ thống v ận hành th ương m ại Trong số trường hợp STB chạy số hệ thống vận hành thích hợp v thông tin an ninh bị hạn chế Tuy khuynh hướng thị trường m ở, nên s ản ph ẩm ph ải có độ linh hoạt cao tương thích với sản phẩm khác Đối với hệ thống chạy hệ thống vận hành quen thuộc, chuyên gia an ninh cần phải đảm bảo hệ thống có cấu hình thích hợp kết nối toàn an ninh quen thuộc Hiện Bộ an ninh nội địa Mỹ phát triển nhiều dự án tr ợ giúp công ngh ệ t ự động xử lí an toàn Platform tính toán [3] Công ty Mitre phát triển m ột s ố dự án liên quan đến mục đích này, bao gồm: a) Các điểm độ phơi nhiễu chung (CVE) + Platform chung + Cấu hình chung b) Các hoạt động bảo vệ bao gồm: + Bảo vệ kết nối thực + Loại bỏ lượng người không dùng cần thiết + Các hạn chế Password + Hoạt động chặn file kiểm tra + Ứng dụng điều khiển truy nhập + Danh sách trắng ứng dụng xác thực Thực phối hợp tất hoạt độngcủa Server, phần tử mạng STB hoạt động quan trọng để trì môi trường an toàn Các chuyên gia an ninh cần phải có phòng thí nghiệm để th t ất c ả tr ường h ợp xảy Đối với STB phải bảo đảm có thay đổi không ảnh h ưởng t ới ho ạt động dịch vụ Các hệ thống vận hành cónhiều dịch vụ không thiết yếu cho vi ệc vận h ành dịch vụ Các STB sử dụng hệ thống vận hành nguồn mở tiến tới phải có dịch vụ Email, dịch vụ Web dịch vụ liên quan đến TCP/IP khác Không cần chức mở STB Các dịch vụ bổ sung mở cửa cho đối tượng xâm nhập vào hệ thống B ằng cách b ỏ bớt dịch vụ không cần thiết tạo nhiều điều kiện cho hoạt động khác v hạn chế việc truy nhập bất hợp pháp, rủi ro Virus Tất hệ thống vận hành ứng dụng phải đặt cấu hình đến m ức t ối thiểu độ phức tạp Password Điều làm cho Password không bị giá trị v 48 đối tượng công tìm Password cách sử dụng t đơn giản Truy nhập từ xa phải yêu cầu Password hiệu l ực, chí truy nh ập ch ỉ xu ất phát t đầu cu ối nhà Nếu ứng dụng biết nhà cung cấp dịch vụ IP cho phép, triển khai danh sách trắng Server môi trường STB Mỗi ứng d ụng có in d ấu xác định hệ thống vận hành kiểm tra trước cho phép ứng dụng Điều chặn diệt số virus ảnh hưởng đến hệ thống Những sửa chữa trái phép phần hệ thống vận hành ứng dụng ghi nhận bị chặn so sánh với danh sách trắng Nếu đối tượng xâm nhập trái phép lợi dụng điểm yếu an ninh ho ặc c ấu hình sai Server ứng dụng toàn mô hình bảo mật m để ch ống lại xâm nhập trái phép 3.1.2 Phát ngăn chặn truy nhập bất hợp pháp Tất lưu lượng môi trường IPTV cần phải cần phải giám sát để phát hi ện xâm nhập, công trái phép bám xâm nhập Các hoạt động trái phép , Virus v đối tượng xâm nhập trái phép, cần phải có nh ững giải pháp khác để phát hành động kịp thời Thông qua sử dụng tường lửa ACL cho môi trường IPTV, người ta phải trì quy tắc IDS/IPS để phát hi ện c v d ịch v ụ b ị chặn tường lửa Hoạt động giống cấu thứ hai để phát hi ện xâm nhập trái phép tìm lọc bị hỏng Từ IDS/IPS, ta nhận thấy: Tương lai có số hệ thống khác bảo vệ: + Kho cất giữ Video + Server DRM + Middlewave Server + Video streaming Server + Video theo yêu cầu Mục tiêu thứ 2, có độ phơi nhiễu đối tượng truy nhập trái phép khó xâm nhập vào hệ thống hơn, hệ thống sau có HIDS: + Bộ rút ngắn MPEG + Bộ chuyển mã + Server quản lí nội dung + Serverquản lí kinh doanh Cần phải sử dụng tường lửa mạng để điều khiển lưu lượng Head end Lưu lượng chuyển Server VLAN biết t ường lửa mạng ho ặc cấu tương đương dùng để đảm bảo phát yêu cầu hợp lí Có th ể sử dụng số chuyển mạch để tăng cường cho VLAN kiểm tra lưu lượng Bức tường lửa cấu tương đương giảm lưu lượng phần tử làm thuận lợi xử lí, phát truy nhập bất hợp pháp Bức tường lửa sử dụng kết nối băng thông hẹp phía Head end điều khiển lưu lượng luồng bên Middlewave VLAN 3.1.3 Ngăn chặn gian lận Các dịch vụ IPTV phải có khả ngăn chặn gian lận Chúng chặn lạm d ụng môi trường thuê bao gian lận nội 49 Middlewave công bố hoạt động thuê bao phát m ột thuê bao yêu cầu nội dung sử dụng cho địa IP khác Điều dễ phát sử dụng kết hợp số cấu chống gian lận khác Middlewave Server phát STB yêu cầu nhi ều mục VoD Điều biểu thị có truy nhập bất hợp pháp đến STB N ếu STB bị đối t ượng xâm nh ập trái phép ngăn chặn chúng Download mục có thể, cấu STB làm nhiệm vụ đặc biệt xuất cảnh báo RAMIUS Server phát thuê bao yêu c ầu truy nhập đến địa IP khác DSLAM phát thuê bao yêu c ầu truy nh ập t hai đường v ật lí khác ( DSLAM) Bussiness Server RAMIUS Server nhận dạng người dùng thiết lập có thuê bao hệ thống RAMIUS không hình thành Bussiness Server Nói chung phải thực kiểm tra để khẳng định tất c ả phần t IPTV có số thuê bao nghiên cứu kĩ tất trường hợp bất thường Bussiness Server Middlewave Server xác thực ng ười dùng, vi ệc n ày thực có thuê bao thông tin tới Middlewave Server DSLAM Server công bố cho Bussiness Server thuê bao thu mục Unicast Thông tin dược phối hợp với ghi hóa đơn tính c ước để xác định có thao tác lạ hệ thống 3.2 Giải pháp chống xâm nhập công cho nhà cung cấp d ịch v ụ IPTV Phần tử trung tâm hạ tầng IPTV Head end, hình thành s ố phần tử thực chức năng, thu nội dung, truyền tải nội dung phân phối nội dung cho thuê bao Head end sử dụng cho head end trung tâm Head end vùng 3.2.1 Các phần tử Head end Nhiệm vụ: Thu, điều chế giải mã nội dung hình ảnh, âm từ nguồn khác sử dụng thiết bị mã hóa (encoder) để chuyển đổi nội dung th ành lu ồng liệu IP khuôn dạng mã hóa mong muốn Hiện tín hiệu video chủ yếu mã hóa MPEG-4/H.264đảm bảo tốc độ thấp, cho phép triển khai tốt m ạng xDSL Các chương trình sau mã hóa phân phối tới khách hàng lu ồng IP Multicast qua mạng truy nhập mạng lõi IP Các chương trình có th ể m ật mã b ởi hệ thống bảo vệ nội dung Tùy vào chương trình chọn, STB khách hàng chuyển tới luồng muticast tương ứng sử dụng giao thức IGMP Đầu vào hệ thống Video Head end chương trình truyền hình quảng bá, kênh truy ền hình mua b ản quy ền thu từ vệ tinh, kênh truyền hình cáp, phim t ngu ồn khác nh t ự sản xu ất, t thiết bị VCD/DVD Player Các máy thu vệ tinh: Bộ giải mã tích hợp [8] Các phần tử khác: + Lưu trữ Video + Thư viện Video + Thư viện Media 50 + Các Serverthư viện + Mạng phạm vi lưu trữ + Cơ sở liệu Video theo yêu cầu + Server phim( Các file Video Audio) Hệ thống quản lí nội dung, bao gồm: + Trung tâm lệnh + Hệ thống quản lí tài sản + Quản lí luật số Server luồng Master video/ Server trò chơi, bao gồm: + Dịch vụ chương trình + Dịch vụ luồng Gate way hấp thụ (thu video), bao gồm: + Hệ thống ghi + Quản lí ghi + Thu/ Server phân phối Server cất giữ luồng video, bao gồm: + Server cất giữ + Bộ tạo cụm Media Middewave, gồm Server middlewave Hệ thống liên quan kinh doanh, bao gồm: + Thống kê, kế toán + Hậu cần + Thông tin khách hàng Head end thu loạt số liệu dạng khác từ studio địa ph ương, phát lại, nội dung vệ tinh, thông tin video địa phương Các n ội dung ghi DVD, băng từ qua nguồn cung cấp video vệ tinh Sau nội dung mã hóa cho phép phát sở TCP/IP Các phần tử phụ bao gồm: h ệ th ống ứng d ụng DRM hệ thống quản lí nội dung Tất thông tin với thuê bao Middlewave Server phối hợp thu yêu cầu từ STB khác Các thành phần miêu t ả hình 3.2 51 Hình 3.2 Quan hệ IPTV Head end Ởđây cần sử dụng lọc an ninh để bảo vệ thông tin Head end 3.2.2 Đầu nội dung Các sản phẩm video có phương tiện khác v ứng d ụng khác môi trường Head end loại hiểm họa xác định khác v gi ải pháp ch ống l ại khác Một số giải pháp chống lại truy nhập ngẫu nhiên bất h ợp pháp v s ản phẩm IPTV sau: Một số nhà sở hữu nội dung phân phối nội dung thông qua kết n ối v ệ tinh Nhà cung cấp dịch vụ IPTV sử dụng máy thu vệ tinh để thu tín hi ệu H ầu h ết máy thu có ứng dụng quản lí khóa cho phép người gửi mã hóa lu ồng tin v chia s ẻ khóa v ới n thu tín hiệu Các tín hiệu sử dụng thời gian dài Phương pháp thích h ợp để chống lại truy nhập bất hợp pháp dùng khóa bảo mật Bảng 3.1 Bi ểu th ị m ột s ố bi ện pháp quản lí khóa bảo mật Bảng 3.1 Biểu thị số biện pháp quản lí khóa bảo mật 52 STT Giải pháp quản lí khóa để chống lại xâm nhập công Tác dụng IPTV Lấy cắp/ lạm dụng tài sản Giải pháp giảm tính ngẫu nhiên lấy cắp tài sản IPTV Lấy cắp dịch vụ Không thể áp dụng Lấy cắp số liệu liên quan đến IPTV Không thể áp dụng Làm gián đoạn dịch vụ Giải pháp giảm tính ngẫu nhiên sửa đổi phi pháp khóa máy thu vệ tinh; mất, hệ thống không cấu hình để thu tín hiệu tạm thời nội dung Vi phạm tính riêng tư Không thể áp dụng Làm thương tổn thương Không thể áp dụng đến tính nguyen vẹn Platform Bảng 3.2 Các giải pháp phòng chống phương tiện vật lý STT Giải pháp bảo vệ môi trường Lấy cắp/ lạm dụng tải sản IPTV Giải pháp giảm tính ngẫu nhiên lấy cắp tài sản IPTV, nội dung gốc nằm phương tiện vật lí Lấy cắp dịch vụ Không thể áp dụng Tác dụng 53 STT Giải pháp bảo vệ môi trường Lấy cắp số liệu liên quan đến IPTV Không thể áp dụng Làm gián đoạn dịch vụ Giải pháp giảm tính ngẫu nhiên củaviệc làm gián đoạn dịch vụ IPTV Vi phạm tính riêng tư Không thể áp dụng Làm tổn thương đến tính nguyên vẹn Platform Giải pháp giảm tính ngẫu nhiên nội dung không xác thực vào môi trường IPTV, sửa chữa nội dung Tác dụng 3.2.3 Bộ giải mã Video MPEG chức chuyển mã Video Bảng 3.3 Biểu thị số giải pháp chống lại mã video chuyển đổi MPEG STT Giải pháp chống Tác dụng Gi ả i pháp n y có th ể ảm tính ngẫu nhiên lấy Lấy cắp/ lạm dụng tải sản cắp tài sản IPTV, chủgi y ế u tài sản mã hóa IPTV MPEG Lấy cắp dịch vụ Không thể áp dụng Lấy cắp số liệu liên quan Không thể áp dụng Làm gián đoạn dịch vụ Giải pháp giảm tính ngẫu nhiên việc làm gián đoạn dịch vụ IPTV Vi phạm tính riêng tư Không thể áp dụng àm thương tổn thương L đến tính nguyên vẹn Giải pháp giảm tính ngẫu nhiên nội dung không xác thực đưa vào môi trường IPTV, sửa chữa nội dung đến IPTV Platform 3.2.4 Server quản lí nội dung Server quản lí nội dung thành phần chủ yếu môi tr ường IPTV Để bảo vệ Server quản lí nội dung cần phải sử dụng c cấu có hi ệu l ực nh t kiểm tra chữ kí số Điều tránh việc sửa đổi không xác th ực B ảng 3.4 bi ểu thị giải pháp phòng chống serve quản lí nội dung Bảng 3.4 Các giải pháp phòng chống phương tiện vật lý 54 Giải pháp chống Tác dụng Lấy cắp/ lạm dụng tải sản IPTV Giải pháp giảm tính ngẫu nhiên lấy cắp tài sản IPTV, chủ yếu gửi lại nội dung IPTV Lấy cắp dịch vụ Không thể áp dụng Lấy cắp số liệu liên quan đến IPTV Giải pháp giảm tính ngẫu nhiên lấy cắp số liệu IPTV liên kết với tài sản IPTV Làm gián đoạn dịch vụ Giải pháp giảm tính ngẫu nhiên việc làm gián đoạn dịch vụ IPTV riêng Serve quản lí nội dung Vi phạm tính riêng tư Không thể áp dụng Làm thương tổn thương đến tính nguyên vẹn Platform Giải pháp làm giảm tính ngẫu nhiên nội dung không xác thực đưa vào môi trường IPTV, sửa chữa nội dung STT 3.3 Giải pháp chống xâm nhập công cho nhà cung cấp mạng IPTV Bảng 3.5 miêu tả tham chiếu sử dụng danh sách điều khiển truy nhập để đảm bảo tình trạng nguyên vẹn độ khả dụng mạng truyền tải Bảng 3.5 Giải pháp bảo đảm tình trạng, tính nguyên vẹn độ khả dụng mạng Truy nhập phần điều khiển phiên Tình trạng Tình trạng DHCP-SI giảm tính ngẫu nhiên MAC Tính nguyên vẹn Tính nguyên vẹn đối tượng công lấy địa hiệu lực để công head end sửa đổi thông tin Độ khả dụng Độ khả dụng kẻ công lấy địa hiệu lực công Bảng 3.6 Giải pháp định tuyến đểđảm bảo tình trạng, tính nguyên vẹn vàđộ khả dụng Tình trạng Tính nguyên vẹn Độ khả dụng 55 Định tuyến ảo Tạo yêu cầu định tuyến Trong VRD thông tin Mỗi VRD xác định (VRI) ảo làm giảm rủi ro truy trì mà độ thông qua QoS nhập không xác thực không cần sửa đổi xác định Người dùng phép truy nhập vào head end cho dịch vụ IPTV Còn yêu cầu khác thực phép 3.4 Giải pháp chống xâm nhập, công cho thuê bao c h ệ th ống IPTV 3.4.1 Giới thiệu Môi trường đầu cuối có số đòi hỏi khó khăn với an ninh môi trường IPTV Các thành phần nằm điều khiển nhà cung cấp dịch vụ IPTV v ph ần c ứng ph b ày d ễ dàng cho đối tượng công Các giải pháp sử dụng đầu cuối nhằm để làm chậm trình công ngăn chặn chúng Một điều quan trọng STB có truy nhập ảo đến nơi cất giữ video thông qua yêu cầu chuẩn hiệu lực Nếu đối tượng công bất hợp pháp có khả điều ển STB thông qua Internet chúng có khả tách nội dung số từ STB 3.4.2 Gateway khu dân cư Gateway tập trung dịch vụ khác để cung cấp cho thuê bao Gateway có m ột số cấu bảo mật bao gồm chức lọc QoS Gateway tham gia m ọi kết nối bao gồm: điện thoại, VoIP, truy nhập internet tốc độ cao[10] dịch vụ IPTV[5][12] Gateway lọc gói cho phép yêu cầu hiệu lực từ đầu cuối đến Head end Trong thực tế lọc chặn lưu lượng lu ồng lên bất kỳ, lu ồng xác định l lưu lượng trái phép Đề i u làm giảm ngẫu nhiên nh ững hành động xâm nh ập trái phép virus máy tính vượt qua số STB để công DoS máy đầu cuối[3],[10] Các lọc có khả chặn truy nhập không xác thực từ Head end đến STB v thiết bị khác bố trí nhà Một số hãng sản xuất STB có gắn chip bảo mật để bảo vệ chương trình thiết bị Điều cho phép lưu thông tin bảo mật, logic định tuyến Những đối t ượng t ấn công xâm nhập bất hợp pháp khả lấy thông tin lưu nhớ Thủ tục giải mã khóa bảo mật lưu phần t xử lí bảo mật Các khóa không rời khỏi xử lí bảo mật dạng rõ đối t ượng công công lấy thông tin toàn văn rõ từ nhớ Mục đích c b ộ x lí mật bảo vệ số liệu quan trọng Những đối tượng công cố gắng thực điều khiển STB để tách luồng nội dung có giá trị Phía STB bị chặn không phân ph ối b ản t ài nguyên số Một điều quan trọng bảo vệ phải tuân thủ theo tiêu chuẩn quốc tế như: Quy định bảo vệ nội dung số băng rộng [14] (HDCP) Bảo vệ nội dung truyền dẫn số Sử dụng bảo vệ cho phép kết nối nội thiết bị nhà như: STB, máy tính cá nhân, bàn điều khiển Media thiết bị khác kết n ối sử d ụng USB, PCI, 56 Bluetooth, Firewire IP Ngoài STB giới hạn thành phần không xác định DTCP Điều ngăn chặn copy không quyền nội dung số 3.5 Các giải pháp chống xâm nhập công hệ thống IPTV truy ền qua vệ tinh 3.5.1 Các yêu cầu bảo mật IP qua MPEG Xuất phát từ phân tích hiểm họa công vào hệ thống IPTV nói chung IPTV truyền qua vệ tinh nói riêng Từ rút s ố yêu c ầu bảo v ệ an ninh ch ủ yếu[RFC3715] Bí mật số liệu yêu cầu chủ yếu để loại bỏ công thụ động mạng truyền hình quảng bá MPEC- Bảo vệ địa lớp 2: Trong mạng truyền hình sử dụng bảo vệ để ngăn chặn đối tượng xâm nhập trái phép nhận dạng máy thu ULE lưu lượng chúng Bảo vệ tính nguyên vẹn xác thực nguồn ULE để chống lại công tích cực Bảo vệ chống lại công tích cực quay lại Bảo vệ nguồn ULE lớp xác thực máy thu yêu c ầu th ời gian chuyển đổi khóa ban đầu giai đoạn xác thực trước lúc máy thu ULE tham gia phiên an ninh Tách chức quản lý khóa ULE khỏi dịch vụ an ninh c ULE mã bảo mật xác thực nguồn Trợ giúp chèn tự động nhân công khóa sách vào sở liệu Thay đổi thuật toán mã hóa Khả bám: Phải bám liên tục mạng truyền dẫn b ằng cách s d ụng log file để ghi lại hoạt động mạng phát xâm nhập trái phép Xác thực tin điều khiển, quản lý mạng truyền dẫn MPEC-2 Quản lý sách an ninh Tính tương thích với chức kết nối mạng khác Tính tương thích vận hành với mào đầu mở rộng ULE, t ức cho phép mã bảo mật SnDU 3.5.2 Các giải pháp chống xâm nhập, công hệ thống IPTV truy ền qua vệ tinh Từ phân tích rút [RFC4301] Cần phải bảo mật lớp tuyến (L2) mạng truyền dẫn MPEG -2 b ằng cách ứng d ụng: Bổ sung cấu bảo mật cho điều khiển IP bảo mật lớp ứng dụng bảo vệ nhận dạng máy thu ULE Thiết kế modul bảo mật ULE để tăng hiệu sử dụng giao thức quản lý khóa 3.6 Mô hình chống xâm nhập công vào hệ thống IPTV Xét mô hình tổng quát: Lớp thực thành phần Network Firewalls Network IDS/IPS Lớp cung cấp hệ thống quản lí truy cập thành phần ch ức n ăng bảo đảm bảo vệ khỏi công biết đến Worms loại Virus 57 Lớp thứ bao gồm mạng VLAN tạo chuyển mạch VLAN cấu hình cho phép máy hợp lệ gia nhập vào mạng Máy chủ có card mạng kết nối đến VLAN quản trị số card mạng khác cho VLAN khác theo cấu hình truyền dẫn cần có Truy cập đến VLAN điều khiển địa MAC card mạng địa IP máy Hình 3.2 Mô hình chống xâm nhập công Lớp thứ thực danh mục quản lí truy cập ACL t ại Swicher Trong phần lớn trường hợp, đường truyền dẫn được khởi tạo đầu chấp nhận kết nối đích đến Cả dải thông truyền theo hướng chấp nhận thông qua trước với cổng dịch vụ cụ thể Trình quản trị Cosole có tính linh hoạt cao truy cập đến Server, phải chứng thực Firewall Lớp thứ thực hệ thống đóng gói giao thức bảo mật Lớp chất đường truyền dẫn ngầm thiết lập máy b ằng giao th ức truy ền kênh SSL, TLS, SSH, SNMPv3 giao thức kênh truyề khác, kênh truy ền bảo m ật n ày b ảo vệ phiên truyền dẫn khỏi can thiệp chỉnh sửa gi ảm thi ểu nguy c t ấn công MITM ( man in the middle attack) Lớp thứ thực chế bảo mật cụ thể triển khai b ởi nh cung cấp phần mềm người tạo ứng dụng đực biệt cho chức Trong phần lớn trường hợp, ứng dụng yêu cầu thông tin chứng minh hợp lệ trước truy cập với vai trò người dùng hay quản trị viên gắn Profile khác nahu cho đối tượng truy cập Lớp thứ lớp làm kiên cố hóa hệ thống Platform, bao gồm trình thực vá lỗi cấu hình cho hệ điều hành, số trường hợp bao gồm khuyến cáo t SCAP Với cách tiếp cận theo lớp 6, khó để coc th ể l quy ền truy c ập c thành phần hệ thống Head end Tuy nhiên việc phân chia lại không áp dụng cho VOD Server Middleware server Tổng kết chương An ninh cho IPTV yêu cầu cần thiết nhằm chống lại kẻ xâm nhập, t ấn công phần tử mạng Chương giới thiệu giải pháp nhằm đảm bảo an ninh cho 58 phần tử mạng từ nhà cung cấp dịch vụ IPTV Nhà cung cấp m ạng, thuê bao IPTV tuyến kết nối qua vệ tinh KẾT LUẬN VÀ KHUYẾN NGHỊ Với nhu cầu ngày cao người, hệ thống truyền hình đặc biệt IPTV luôn phải phát triển để đáp ứng yêu cầu Tuy nhiên, có xâm nhập công nhũng đối tượng bên vào hệ thống IPTV với mục đích khai thác v s dung chương trình, dịch vụ IPTV mà trả tiền cho nhà cung c ấp d ịch vụ nhà cung cấp mạng, việc bảo mật cho hệ thống IPTV việc quan trọng, giúp cho nhà cung cấp dịch vụ, mạng thuê bao không bị xâm nhập, công từ bên từ nâng cao chất lượng dịch vụ cung lợi ích kinh tế Với kỹ thuật trình bày luận văncó nhiều ưu ểm đáp ứng r ất nhi ều đòi hỏi toán chống xâm nhập trái phép vào hệ thống IPTV, lợi ích v ề kinh t ế c ũng chất lượng dịch vụ điều phủ nhận.Mặc dù kĩ thuật có nhược điểm riêng đòi hỏi tiếp tục cần phải đầu tư nghiên cứu nhiều tương lai Luận văn tập trung nghiên cứu phân tích công vào thành phần mạng nhà cung cấp dịch vụ IPTV, nhà cung cấp mạng, thuê bao đặc bi ệt phần IPTV truyền qua vệ tinh Đồng thời giới thiệu giải pháp ch ống l ại vi ệc b ị xâm nhập, công hệ thống IPTV: Các giải pháp đến giải pháp riêng đặc tr ưng cho phần mạng IPTV Đó giải pháp cho nhà cung cấp dịch vụ, nh cung c ấp mạng, cho thuê bao cho phần mạng IPTV truyền qua vệ tinh Hướng phát triển đề tài: Nghiên cứu kỹ thuậtnâng cao tính bảo mật cho lớp L2 truy ền tín hi ệu IPTV qua vệ tinh mã bảo mật,các phương pháp phát hi ện xâm nh ập trái phép v m ạng truyền IPTV mạng nơron 59 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng việt [1] Chu Xuân Trường (2011), Nghiên cứu an toàn IPTV, luận văn thạc sĩ kĩ thuật, Học viện Công nghệ Bưu Viễn Thông, Hà Nội [2] Đỗ Hoàng Tiến- Dương Thanh Phương (2004), Truyền hình kĩ thuật số, luận văn thạc sĩ kĩ thuật, NXB Khoa học Kĩ Thuật Tiếng Anh [3] An IMS- based VoD service Supporting Session Continuation- Jonatan Johansson [4] Crosby, S and Golodberg, I., ‘A Cryptanalysis of the High-bandwidth Digital Content Protection System’[2 October 2007] [5] Cisco, ‘MSDP MD5 Password Authentication’[2 October 2007] [6] Chiang, A., ‘Integrating System-wide Security into SOC Designs’, 2007 [7] DIRECTV’s Anti-Fraud and Anti-Piracy Enforcement, 2006 [8] ‘High Bandwidth Digital Content Protection System [2 October 2007] [9] Komatsu, N and Tominaga, H., ‘A Proposal on Digital Watermark in Document Image Communication and its Application to Realizing a Signature’, Electronics and Communication in Japan, 1990 [10] Investigation of IMS in an IPTV context by Tobias Gustafsson [11] Meerwald, P., ‘Digital Image Watermarking in the Wavelet Transform Domain’ [2 October 2007] [12] Mutz, M., ‘Linux Encryption – How to?’,2007 [2 October 2007] [13] Villegas A., ‘DRM Convergence Analysis of Products and Standards’, AlcatelLucent, 2007 [14] ‘5C Digital Transmission Content Protection’, 1998 ... Phân tích hình thức xâm nhập, t ấn công v IPTV t đưa giải pháp chống lại Phân tích kịch xâm nhập, công vào hệ th ống IPTV Đưa giải pháp để nâng cao tính bảo mật cho hệ thống IPTV truy ền d ẫn n... tâm liệu IPTV Mạng phân phối IPTV Bộ giải mã STB Đồng thời số nguy bị xâm nhập công đối v ới m ột ho ặc t ất c ả thành phần Chương 2– CÁC NGUY CƠ XÂM NHẬP VÀ TẤN CÔNG ĐỐI VỚI HỆ THỐNG IPTV 2.1...2 HÀ NỘI – NĂM 2014 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN HỮU TÀI CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG ĐỐI VỚI HỆ THỐNG IPTV Chuyên ngành: Kỹ thuật viễn