Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)
1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGÔ LINH HUY NGHIÊN CỨU VẤN ĐỀ BẢO MẬT HỆ THỐNG IPTV VÀ ỨNG DỤNG CHO DỊCH VỤ MyTV LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) Hà Nội, 2017 LỜI CẢM ƠN Trước tiên, em xin gửi lời cảm ơn chân thành sâu sắc đến tới thầy cô giáo Học viện Công Nghệ Bưu Chính Viễn Thông nói chung thầy cô giáo khoa quốc tế đào tạo sau đại học nói riêng tận tình giảng dạy, truyền đạt cho em kiến thức, kinh nghiêm quý báu suốt thời gian qua Đặc biệt em xin gửi lời cảm ơn đến thầy giáo TS Vũ Văn Thỏa tận tình giúp đỡ, trực tiếp bảo, hướng dẫn em suốt trình làm luận văn Trong thời gian làm việc thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích học tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu Đây điều cần thiết cho em trình học tập công việc sau Sau em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, đóng góp ý kiến giúp đỡ em trình học tập, nghiên cứu hoàn thành luận văn Trong luận văn điều kiện thời gian điều kiện nghiên cứu hạn chế nên nhiều thiếu sót, em mong nhận góp ý từ quý thầy cô bạn Một lần em xin chân thành cảm ơn tất người Chúc người sức khỏe thành đạt Hà Nội, ngày tháng Học viên Ngô Linh Huy năm LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng Nội dung luận văn có tham khảo sử dụng tài liệu, thông tin đăng tải tạp chí trang web theo danh mục tài liệu tham khảo Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin hoàn toàn chịu trách nhiệm chịu hình thức kỉ luật theo quy định cho lời cam đoan TÁC GIẢ LUẬN VĂN NGÔ LINH HUY MỤC LỤC DANH MỤC HÌNH VẼ (i) DANH MỤC CÁC TỪ VIẾT TẮT (ii) LỜI MỞ ĐẦU .1 CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Giới thiệu công nghệ IPTV 1.1.1 Khái niệm IPTV 1.1.2 Hệ thống IPTV 1.2 Các dịch vụ IPTV 1.3 Các yêu cầu bảo mật cho IPTV 11 1.3.1 Yêu cầu bảo mật nội dung số 11 1.3.2 Yêu cầu bảo mật hệ thống Head-end 12 1.3.3 Yêu cầu bảo mật hệ thống truyền dẫn IPTV 12 1.3.4 Yêu cầu bảo mật hệ thống thiết bị đầu cuối 13 1.4 Kết luận chương I .14 CHƯƠNG II NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ IPTV 2.1 Các nguy làm an toàn, bảo mật hệ thống dịch vụ IPTV 15 2.1.1 Truy cập gian lận 17 2.1.2 Phát sóng trái phép .18 2.1.3 Xuyên tạc nội dung .19 2.1.4 Nguy xâm nhập công nhà cung cấp dịch vụ IPTV 20 2.1.5 Nguy thiết bị đầu cuối thuê bao IPTV 24 2.2 Các giải pháp bảo mật cho dịch vụ IPTV 27 2.2.1 Giải pháp bảo vệ nội dung 27 2.2.1.1 Hệ thống bảo vệ nội dung (CPS) 27 2.2.1.2 Hệ thống truy cập có điều kiện (CAS) 27 2.2.1.3 Quản lý quyền số (DRM) 28 2.2.2 Giải pháp bảo mật hệ thống Head-end nhà cung cấp dịch vụ IPTV 31 2.2.3 Bảo mật mạng truyền dẫn dịch vụ IPTV 34 2.2.3.1 DSLAM 34 2.2.3.2 Định tuyến – routing 39 2.2.3.3 Tách biệt thuê bao .40 2.2.3.4 Mạng ảo mạng kết nối thuê bao ảo .41 2.2.4 Giải pháp bảo mật hệ thống thiết bị đấu cuối home-end 43 2.2.4.1 Residential Gateway 43 2.2.4.2 Filtering 43 2.2.4.3 Set top box .43 2.3 Kết luận chương II 44 CHƯƠNG III NGHIÊN CỨU ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ MyTV CỦA VNPT 3.1 Giới thiệu dịch vụ MyTV 45 3.1.1 Dịch vụ truyền hình (Live TV) .45 3.1.2 Dịch vụ tạm dừng (Time shift TV - TSTV) 46 3.1.3 Dịch vụ lưu trữ (Network Personal Video Recorder - NPVR) 46 3.1.4 Sóng phát trực tuyến 46 3.1.5 Truyền hình xem lại (TV on Demand) 46 3.1.6 Phim truyện 46 3.1.7 Ca nhạc .47 3.1.8 Karaoke 47 3.1.9 Games 47 3.1.10 Dịch vụ Thông tin cần biết (T-Information) .48 3.1.11 Dịch vụ Tiếp thị truyền hình (T-Marketing) .48 3.1.12 Dịch vụ chia sẻ hình ảnh (Media Sharing) 49 3.1.13 Dịch vụ thể thao 49 3.1.14 Dịch vụ tin tức 49 3.1.15 Dịch vụ đọc truyện 49 3.1.16 Dịch vụ sức khỏe làm đẹp 50 3.1.17 Dịch vụ nhịp cầu MyTV 50 3.1.18 Quảng cáo (Advertising) 50 3.2 Các yêu bảo mật MyTV 50 3.2.1 Mô hình cung cấp dịch vụ MyTV .50 3.2.2 Các yêu cầu bảo mật dịch vụ MyTV 55 3.3 Các giải pháp bảo mật MyTV 56 3.3.1 Đường dây thuê bao 56 3.3.2 IP DSLAM / Access Switch 56 3.3.3 Router thực thi chức Multicast (UPE, PE-AGG) 58 3.3.4 DHCP Server 59 3.3.5 EPG Server 59 3.3.6 Account Server 61 3.3.7 VoD Server 62 3.3.8 Video Storage Server 64 3.3.9 Hệ thống DRM/CAS 64 3.4 Kết luận chương III 65 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 67 DANH MỤC HÌNH VẼ Hình 1.1 Mô hình kiến trúc hệ thống IPTV Hình 2.1 Phân loại rủi ro cho hệ thống IPTV Hình 2.2 Biểu thị mô hình môi trường IPTV mức cao Hình 2.3 Một số STB thường gặp Hình 2.4 Hệ thống IPTV Head-end Hình 2.5 Các lớp bảo mật Head-end Hình 3.1 Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV VASC Hình 3.2 Cấu hình giao thức thiết bị mạng cho dịch vụ MyTV Hình 3.3 Sơ đồ cung cấp địa động DHCP cho STB Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa FTTx Hình 3.5 Mô hình S-VLAN mạng truy nhập DANH MỤC BẢNG BIỂU Bảng 1.1 Một số dịch vụ IPTV Bảng 2.1 Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảng 2.2 Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảng 2.3 Phương thức tách biệt thuê bao đảm bảo tính bảo mật, thống tính liên tục dịch vụ Bảng 2.4 Giải pháp mạng ảo đảm bảo tính bảo mật, thống tính liên tục dịch vụ MỞ ĐẦU Sự phát triển nhanh chóng Internet băng rộng làm thay đổi nội dung kỹ thuật truyền hình Hiện truyền hình có nhiều dạng khác nhau: truyền hình số, truyền hình vệ tinh, truyền hình cáp, truyền hình Internet IPTV Trong số đó, IPTV cấp độ cao đánh giá công nghệ truyền hình tương lai Sự vượt trội công nghệ IPTV tính tương tác hệ thống với người xem, cho phép người xem chủ động thời gian khả triển khai nhiều dịch vụ giá trị gia tăng tiện ích khác hệ thống nhằm đáp ứng nhu cầu người sử dụng Hiện giới có số quốc gia triển khai thành công IPTV Trung Quốc, Singapore, Bỉ, Theo chuyên gia dự báo tốc độ phát triển IPTV tăng theo cấp số nhân theo năm xu truyền hình tương lai Về công nghệ IPTV Việt Nam nay, số nhà cung cấp triển khai IPTV từ năm 2009 mạng băng rộng thu thành công đáng kể Trong số có dịch vụ MyTV VNPT triển khai rộng khắp bước đầu đáp ứng yêu cầu người sử dụng Tuy nhiên vấn đề bảo mật cho dịch vụ công nghệ thông tin truyền thông vấn đề cần quan tâm thời địa số hóa hiên Mặt khác dịch vụ IPTV triển khai mạng Internet nên nhiều vấn đề bảo mật hệ thống IPTV cần phải nghiên cứu để đảm bảo an toàn cho dịch vụ cung cấp tời người dùng Hơn việc ứng dụng giải pháp bảo mật cho dịch vụ MyTV yêu cầu cấp thiết trình vận hành, khai thác dịch vụ thực tế Với mục đích đưa tiến công nghệ vào phục vụ cho sống, học viên xin chọn đề tài nghiên cứu “Nghiên cứu vấn đề bảo mật hệ thống IPTV ứng dụng cho dịch vụ MyTV” Mục tiêu luận văn nghiên cứu giải pháp bảo mật hệ thống IPTV đề xuất số giải pháp bảo mật cho dịch vụ MyTV VNPT Đối tượng nghiên cứu luận văn hệ thống IPTV nói chung dịch vụ MyTV VNPT nói riêng Phạm vi nghiên cứu vấn đề giải pháp bảo mật cho hệ thống IPTV Bố cục luận văn gồm chương nội dung sau: CHƯƠNG 1: Tổng quan hệ thống IPTV yêu cầu bảo mật cho dịch vụ IPTV CHƯƠNG 2: Nghiên cứu giải pháp bảo mật cho dịch vụ IPTV CHƯƠNG 3: Nghiên cứu đề xuất giải pháp bảo mật cho dịch vụ MyTV VNPT 54 Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa FTTx [1] Mô hình cung cấp dịch vụ IPTV cho khách hàng dựa mạng FTTx tương tự trường hợp dựa mạng ADSL với việc thay thiết bị IP DSLAM/MSAN OLT Phía mạng truy nhập tỉnh/thành phố triển khai theo mô hình SVLAN (Vlan per service) Mô hình S-VLAN mạng truy nhập Hìn bao gồm: HSI Vlan : Vlan dành cho internet VOD vlan: Vlan dành cho dịch vụ VOD – chạy unicast LiveTV vlan: Vlan dành cho dịch vụ liveTV – chạy multicast 55 Hình 3.5 Mô hình S-VLAN mạng truy nhập [1] Cụ thể hệ thống mạng tại, mô hình S-VLAN hoạt động sau: Tại IP-DSLAM, cổng ADSL2+ gồm PVC, PVC dành cho dịch vụ (Internet, VoIP, video) Tại giao diện uplink, PVC ánh xạ vào S-VLAN tương ứng với loại dịch vụ sử dụng phương thức đóng gói 802.1q Tại switch lớp 2, access switch, cấu hình giao diện trunk mang lưu lượng S-VLAN BRAS/PE có nhiệm vụ kết cuối S-VLAN thực định tuyến gói tin đến đích mong muốn Các biện pháp đảm bảo QoS áp dụng S-VLAN thông qua cấu hình 802.1p S-VLAN tương ứng Tại BRAS/PE, nơi kết cuối SVLAN, thực QoS lớp DSCP (Diffrentiated Service Code Point) Như BRAS/PE cần cấu hình chuyển đổi QoS từ 802.1p lớp sang DSCP lớp 3.2.2 Các yêu cầu bảo mật dịch vụ MyTV Đối với dịch vụ MyTV, yêu cầu bảo mật tương tự nội dung trình bày mục 1.3 56 3.3 Các giải pháp bảo mật MyTV 3.3.1 Đường dây thuê bao [3] Sử dụng cáp có độ bền tốt, trang bị cáp dự phòng (Redundance) Đi ngầm cáp, có hệ thống bể, cống, ống cáp tốt tránh xâm phạm trái phép 3.3.2 IP DSLAM / Access Switch [6] Có khả phát cách ly xảy tượng áp, dòng Nếu khả trên, phải lắp thêm mạch phụ trợ Không kích hoạt giao thức CDP Access Switch Chỉ nhận tin ARP Reply giao diện cấu hình tin cậy (Dynamic ARP Inspection) Không kích hoạt chức Auto Trunking giao diện phía thuê bao Cấu hình Vlan Trunking Protocol (VTP) chế độ Transparent Tạo riêng Vlan với cổng Trunk tách biệt với thuê bao Phải cấu hình Port Security địa MAC nhận thuê bao đăng ký sử dụng dịch vụ IPTV Nếu khả cấu hình Port Security, phải cấu hình danh sách giới hạn địa MAC nguồn chấp nhận Phải nhận biết tin yêu cầu DHCP hợp lệ thuê bao tin trả lời DHCP tin cậy từ DHCP Server gửi tới việc cấp phát địa IP cho STB thuê bao Cấu hình tùy chọn DHCP Relay Option 82 Cấu hình danh sách giới hạn kênh chương trình cho Broadcast Nên cấu hình hỗ trợ chức sau đây: o Chỉ báo số tin IGMP tối đa giây (max-msg-rate) nhận 57 o Chỉ báo tổng số loại tin (total-msg) nhận từ phía thuê bao, gồm tin IGMP tin không hợp lệ o Chỉ báo tổng số tin IGMP (total-igmp-msg) nhận từ phía thuê bao, gồm tin IGMP Join IGMP Leave thành công không thành công o Chỉ báo tổng số tin IGMP Join (total-req) nhận từ phía thuê bao, gồm tin IGMP Join thành công không thành công o Chỉ báo tổng số tin IGMP Join thành công (success-req) nhận từ phía thuê bao, gồm tin IGMP Join tin IGMP Join lại o Chỉ báo tổng số tin IGMP Join không thành công (unsuccessreq) nhận từ phía thuê bao o Chỉ báo tổng số tin IGMP Leave (total-leave-req) nhận từ phía thuê bao o Chỉ báo số lượng kết nối tin IGMP Join không thành công (num-connects) nhận từ phía thuê bao o Chỉ báo số phiên bị ngắt kết nối tới thuê bao (num-disconnects o Chỉ báo số lượng nhóm Multicast kết nối (curr-root-conn) o Chỉ báo số lượng nhóm Multicast có khai báo bảng nguồn Multicast kết nối (con-cfgd) o Chỉ báo số lượng nhóm Multicast không khai báo bảng nguồn Multicast kết nối (con-un-cfgd) Cần cấu hình kiểm tra xác thực tin IGMP Phải cấu hình băng thông đường lên tối đa cho thuê bao Nếu băng thông sử dụng cổng đường lên cho thuê bao vượt ngưỡng cho phép, chương trình thuê bao chọn bị ngưng (treo) tạm thời Khi băng thông 58 đường lên ngang với ngưỡng cho phép, chương trình bị tạm ngưng (treo) xem trở lại Phải cấu hình số chương trình tối đa thuê bao xem thời Cấu hình chức ghi Log khóa cổng thuê bao phát thuê điểm bao muốn xem số kênh chương trình vượt gới hạn cho phép Tham gia VLAN quản lý thiết bị hạ tầng mạng: IP DSLAM, Access Switch, UPE, PE-AGG Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 3.3.3 Router thực thi chức Multicast (UPE, PE-AGG)[8] UPE Phải cấu hình danh sách giới hạn địa MAC STB Cấu hình danh sách giới hạn kênh chương trình cho Broadcast Cấu hình ánh xạ tĩnh PIM-SSM (Static PIM-SSM Mapping) Cấu hình chức lọc tin PIM-SSM láng giềng lân cận (PIM Neighbor Filtering) để ngăn chặn Router không thuộc miền Multicast tham gia chuyển tiếp tin giao thức định tuyến PIM Bảo vệ tài nguyên CPU có nhiều phiên Multicast yêu cầu tiến trình đăng ký PIM thời điểm (PIM Register Rate Limiting) Cấu hình kiểm tra xác thực tin thuộc giao thức định tuyến PIM-SSM mã hoá xác thực thông báo MD5 Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 59 Cơ sở thông tin quản lý (Management Information Base) dành cho quản lý mạng Multicast (Multicast MIBs) cần dùng với công cụ SNMP (Simple Network Management Protocol) việc gửi tin thông báo lỗi hệ thống Multicast (Multicast Traps) thông báo PIM thay đổi kênh Multicast tới người quản trị hệ thống Các chế ghi Multicast Syslog giám sát lưu lượng mạng (NetFlow) Lưu ý sử dụng số không gian địa dành riêng cho Multicast 3.3.4 DHCP Server [6] Phải cấu hình chức DCHP Snooping để ánh xạ việc cấp phát địa IP cho STB dựa vào địa MAC STB Phải cấu hình giới hạn nhận tin DHCP Request hợp lệ thuê bao Nên sử dụng ánh xạ tĩnh cấp địa IP cho STB thuê bao theo chế gán tĩnh địa IP theo địa MAC Serial Number STB Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus 3.3.5 EPG Server Giới hạn tốc độ gửi gói tin ICMP gửi đến EPG Server từ thuê bao (ICMP Rate Limiting) Cấu hình kiểm tra xác thực tin thuộc kết nối TCP/UDP EPG Server mã hoá xác thực thông báo MD5 60 Giới hạn tốc độ gửi gói tin SYN đến EPG Server (SYN Rate Limiting) Cấu hình lọc ký tự đặc biệt không tương thích với giá trị cấu trúc chấp thuận từ trước để chặn tin công Buffer Overflow từ phía thuê bao Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo công Đặt trước EPG Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo công o Gửi nhiều phân đoạn xấu gói tin IP từ phía thuê bao o Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn o Gửi nhiều gói tin SYN o Tấn công Buffer Overflow qua giao thức HTTP Dự phòng thiết bi NetFlow Sử dụng giao thức HTTPs (HTTP over Secure Socket Layer) thay cho HTTP tương tác với STB Không kích hoạt mô đun Web (Web Modules) thường gọi plug-ins yêu cầu Gỡ bỏ tập tin nháp, Scripts, Code thực thi từ thư mục gốc dành cho Web Site Cấu hình tập tin Web Site đọc tiến trình xử lý ghi đè ninh Duy trì Copy nội dung Web Site Host đảm bảo an 61 Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus Sao lưu File hệ thống mã nguồn chương trình ứng dụng 3.3.6 Account Server Kết hợp xác thực tài khoản thuê bao với xác thực STB (Bundled Authentication), giá trị tài khoản thuê bao lưu Smart Card STB Dùng giá trị Serial Number STB để xác thực STB thuê bao Xác thực thuê bao cần kết hợp với Profile cấp quyền cho việc hạn chế số kênh chương trình thuê bao xem Xác thực thuê bao cần kết hợp với Profile cấp quyền cho việc xem nội dung Metadata Áp dụng chế phân quyền truy cập nội dung Video thuê bao Cấu hình lọc ký tự đặc biệt không tương thích với giá trị cấu trúc chấp thuận từ trước để chặn tin công Buffer Overflow / SQL Injection từ phía thuê bao Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản 62 Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus 3.3.7 VoD Server Phải cấu hình lọc ký tự đặc biệt không tương thích với giá trị cấu trúc chấp thuận từ trước để chặn tin công Buffer Overflow từ phía thuê bao Đặt trước VoD Server phía giao diện kết nối đến thuê bao thiết bị giám sát lưu lượng mạng (NetFlow) để phân tích lưu lượng đưa cảnh báo công từ phía thuê bao Gửi nhiều phân đoạn xấu gói tin IP Gửi nhiều gói tin ICMP Echo Request với tần xuất lớn (ICMP Rate Limiting) Gửi nhiều yêu cầu xem phân đoạn phim khác Gửi nhiều tin báo cáo lỗi chất lượng luồng Video Gửi nhiều gói tin RTSP/RTCP công Buffer Overflow Dự phòng thiết bi NetFlow Cấu hình kiểm tra xác thực tin thuộc kết nối TCP/UDP mã hoá xác thực thông báo MD5 Có nhớ Cache lớn (chuyên dụng) để đáp ứng nhu cầu xem phân đoạn phim khác thuê bao 63 Phải cấu hình xác thực để kiểm soát truy cập từ phía thuê bao tập tin Video Streaming Tạo tập tin dùng cho kiểm soát truy cập thư mục có chứa tập tin Video Streaming Tập tin kiểm soát truy cập chứa thông tin thuê bao xác thực để xem nội dung Video thư mục có lưu trữ tập tin Video Streaming Nên cấu hình chức Streaming kết hợp với Firewall địa IP đơn (Single IP Address) trường hợp VoD Server có cấu hình Multihome Firewall cần cấu hình để hạn chế gói tin TCP/UDP số hiệu cổng mở Khi cho phép lưu lượng Video qua cổng 80, cần ngăn lưu lượng Web qua cổng 80 để tránh xung đột Không kích hoạt nội dung Media không cần thiết Phải cấu hình hỗ trợ đính kèm cấu trúc liệu (Metadata) nội dung Video phân phát c tới thuê bao theo quyền hạn sử dụng thuê bao Sử dụng giao thức SRTP (Secure Real-time Protocol) để truyền tải luồng Video tin cậy dùng chế mã hoá, xác thực trao đổi khóa mã hóa thay cho RTSP tương tác với STB Tham gia VLAN quản lý máy chủ: EPG, VoD, DHCP, máy chủ quản lý tài khoản Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 Phải cập nhật vá lỗi, chương trình diệt virus Sao lưu File hệ thống mã nguồn chương trình ứng dụng 64 Dùng SFTP (Secure FTP) thay dùng FTP để đảm bảo xác thực truyền tải tập tin an toàn Sử dụng IPSec việc bổ xung nội dung Video từ Third Party Che dấu địa máy chủ cần bảo vệ thông qua địa NAT phiên truyền thông với Third Party 3.3.8 Video Storage Server Hạn chế truy cập tới Video Storage Server với Host yêu cầu Video Storage Server cần bổ xung thêm ổ cứng mã hóa để đảm bảo an ninh tài nguyên Video Dữ liệu Metadata gán cho tài nguyên Video cần bảo vệ sử dụng chế hợp lệ chẳng hạn tính checksum kiểm tra chữ ký số Phân loại nội dung Video trước sử dụng lưu trữ kiểm tra định kỳ tính an toàn toàn vẹn nội dung Video lưu trữ Cấu hình VLAN quản lý Video Storage Server Cần có Card mạng chuyên biệt để quản trị theo VLAN Card mạng khác tùy thuộc vào nhu cầu cần thiết cho truyền thông VLAN cần cấu hình ACL lọc địa MAC địa IP tương ứng với tác vụ quản trị truyền thông Đặt mật truy cập, kiểm soát truy cập qua: xác thực, cấp quyền Giới hạn số lần người dùng đăng nhập không thành công Tất tác vụ quản trị phải thông qua kênh truyền thông an toàn: SSH, SSL/TSL, SNMPv3 3.3.9 Hệ thống DRM/CAS [9] Dùng mô hình hạ tầng khoá công khai (Public Key Infrastructure – PKI) để tạo khoá (Primary Key) theo chuẩn X.509 Primary Key tạo lần đầu cài đặt cấu hình STB Primary Key cần lưu trữ an toàn STB không nên bị thay đổi đến cài đặt lại STB 65 Dùng Primary Key để tạo khóa phiên (Session Key) cho mã hoá nội dung kênh truyền thông STB máy chủ xác thực Session Key cần thay đổi sau khoảng thời gian định để trì an toàn hệ thống xác thực Cơ chế trao đổi khóa theo giải thuật Differ Hellman Kết hợp xác thực tài khoản thuê bao với xác thực STB (Bundled Authentication), giá trị tài khoản thuê bao lưu Smart Card STB Dùng giá trị Serial Number STB để xác thực STB thuê bao 3.4 Kết luận chương III Trong chương III luận văn trình bày tổng quan dịch vụ MyTV, mô hình cung cấp dịch vụ đề xuất giải pháp bảo mật Các giải pháp đề xuất có tiềm triển khai thực tế nhằm nâng cao chất lượng dịch vụ, đảm bảo hài long khách hàng 66 KẾT LUẬN Các kết đạt Luận văn đạt số kết sau đây: - Khảo sát tổng quan công nghệ dịch vụ IPTV - Nghiên cứu yêu cầu bảo mật hệ thống IPTV - Khảo sát nguy dẫn đến an toàn, bảo mật hệ thống IPTVB - Nghiên cứu số giải pháp bảo mật hệ thống IPTV - Khảo sát chung dịch vụ MyTV VNPT - Nghiên cứu đề xuất số giải pháp bảo mật cụ thể cho hệ thống MyTV nhằm đảm bảo chất luopwngj dịch vụ trình vận hành khai thác Hướng phát triển luận văn Luận văn tiếp tục nghiên cứu sâu triển khai bảo mật cho thành phần cụ thể hệ thống IPTV với giải pháp tiên tiến hữu hiệu Đồng thời triển khai số giải pháp môi trường mạng dịch vụ cụ thể 67 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Vũ Văn Thỏa (2011), Nghiên cứu xây dựng qui trình đo chất lượng kỹ thuật IPTV triển khai đo thử nghiệm viễn thông tỉnh/thành phố, Báo cáo nhiệm vụ 004-2011-TĐ-VT Tiếng Anh [2] Agilent (2005), Ensure IPTV Quality of Experience, WP [3] ETSI TS 181 014 V2.0.0 (2007-11), Requirements for network transport capabilities for support IPTV services [4] ETSI TR 187 013 V3.1.1 (2011-02), Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN); Feasibility study on IPTV Security Architecture [5] Gilbert Held (2007), Understanding IPTV, Auerbach [6] Myrio (2003), The Value of Middleware Taking IPTV from Headend to Home, Tehnical Paper [7] C Naenakl (2011), Copyright Protection of IPTV Content [8] Gerard O’Driscoll (2008), Next Generation IPTV Services and Technologies [9] David Ramiez (2008), IPTV Security: Protecting High-Value Digital Contents 68 ... nghệ vào phục vụ cho sống, học viên xin chọn đề tài nghiên cứu Nghiên cứu vấn đề bảo mật hệ thống IPTV ứng dụng cho dịch vụ MyTV Mục tiêu luận văn nghiên cứu giải pháp bảo mật hệ thống IPTV đề. .. CHƯƠNG 1: Tổng quan hệ thống IPTV yêu cầu bảo mật cho dịch vụ IPTV CHƯƠNG 2: Nghiên cứu giải pháp bảo mật cho dịch vụ IPTV CHƯƠNG 3: Nghiên cứu đề xuất giải pháp bảo mật cho dịch vụ MyTV VNPT 3 CHƯƠNG... số giải pháp bảo mật cho dịch vụ MyTV VNPT 2 Đối tượng nghiên cứu luận văn hệ thống IPTV nói chung dịch vụ MyTV VNPT nói riêng Phạm vi nghiên cứu vấn đề giải pháp bảo mật cho hệ thống IPTV Bố