1. Trang chủ
  2. » Công Nghệ Thông Tin

Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)

76 412 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 76
Dung lượng 1,39 MB

Nội dung

Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)Nghiên cứu vấn đề bảo mật hệ thống TPTV và ứng dụng cho dịch vụ Mytv (LV thạc sĩ)

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGÔ LINH HUY

NGHIÊN CỨU VẤN ĐỀ BẢO MẬT HỆ THỐNG IPTV VÀ ỨNG

DỤNG CHO DỊCH VỤ MyTV

LUẬN VĂN THẠC SĨ KỸ THUẬT

(Theo định hướng ứng dụng)

Hà Nội, 2017

Trang 2

LỜI CẢM ƠN

Trước tiên, em xin gửi lời cảm ơn chân thành sâu sắc đến tới các thầy cô giáo trong Học viện Công Nghệ Bưu Chính Viễn Thông nói chung và các thầy cô giáo trong khoa quốc tế và đào tạo sau đại học nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiêm quý báu trong suốt thời gian qua

Đặc biệt em xin gửi lời cảm ơn đến thầy giáo TS Vũ Văn Thỏa đã tận tình giúp

đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm luận văn Trong thời gian làm việc cùng thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích và đã học được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả Đây là những điều rất cần thiết cho em trong quá trình học tập và công việc sau này

Sau cùng em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên, đóng góp ý kiến và giúp đỡ em trong quá trình học tập, nghiên cứu và hoàn thành luận văn

Trong luận văn do điều kiện thời gian cũng như điều kiện nghiên cứu còn hạn chế nên còn nhiều thiếu sót, em rất mong nhận được sự góp ý từ các quý thầy cô và các bạn

Một lần nữa em xin chân thành cảm ơn tất cả mọi người Chúc mọi người sức khỏe và thành đạt

Hà Nội, ngày tháng năm

Học viên

Ngô Linh Huy

Trang 3

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi Nội dung của luận văn có tham khảo và sử dụng các tài liệu, thông tin được đăng tải trên các tạp chí và các trang web theo danh mục tài liệu tham khảo Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỉ luật theo quy định cho lời cam đoan của mình

TÁC GIẢ LUẬN VĂN

NGÔ LINH HUY

Trang 4

MỤC LỤC

DANH MỤC HÌNH VẼ (i)

DANH MỤC CÁC TỪ VIẾT TẮT (ii)

LỜI MỞ ĐẦU 1

CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Giới thiệu công nghệ IPTV 3

1.1.1 Khái niệm về IPTV 3

1.1.2 Hệ thống IPTV 4

1.2 Các dịch vụ cơ bản của IPTV 7

1.3 Các yêu cầu bảo mật cho IPTV 11

1.3.1 Yêu cầu bảo mật nội dung số 11

1.3.2 Yêu cầu bảo mật hệ thống Head-end 12

1.3.3 Yêu cầu bảo mật hệ thống truyền dẫn IPTV 12

1.3.4 Yêu cầu bảo mật hệ thống thiết bị đầu cuối 13

1.4 Kết luận chương I 14

CHƯƠNG II NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ IPTV 2.1 Các nguy cơ làm mất an toàn, bảo mật hệ thống dịch vụ IPTV 15

2.1.1 Truy cập gian lận 17

2.1.2 Phát sóng trái phép 18

2.1.3 Xuyên tạc nội dung .19

2.1.4 Nguy cơ xâm nhập và tấn công đối với nhà cung cấp dịch vụ IPTV 20

2.1.5 Nguy cơ đối với thiết bị đầu cuối thuê bao IPTV 24

2.2 Các giải pháp bảo mật cho dịch vụ IPTV 27

2.2.1 Giải pháp bảo vệ nội dung 27

2.2.1.1 Hệ thống bảo vệ nội dung (CPS) 27

Trang 5

2.2.1.2 Hệ thống truy cập có điều kiện (CAS) 27

2.2.1.3 Quản lý bản quyền số (DRM) 28

2.2.2 Giải pháp bảo mật hệ thống Head-end của nhà cung cấp dịch vụ IPTV 31

2.2.3 Bảo mật trong mạng truyền dẫn dịch vụ IPTV 34

2.2.3.1 DSLAM 34

2.2.3.2 Định tuyến – routing 39

2.2.3.3 Tách biệt các thuê bao 40

2.2.3.4 Mạng ảo và mạng kết nối thuê bao ảo 41

2.2.4 Giải pháp bảo mật hệ thống thiết bị đấu cuối home-end 43

2.2.4.1 Residential Gateway 43

2.2.4.2 Filtering 43

2.2.4.3 Set top box 43

2.3 Kết luận chương II 44

CHƯƠNG III NGHIÊN CỨU ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ MyTV CỦA VNPT 3.1 Giới thiệu dịch vụ MyTV 45

3.1.1 Dịch vụ truyền hình (Live TV) 45

3.1.2 Dịch vụ tạm dừng (Time shift TV - TSTV) 46

3.1.3 Dịch vụ lưu trữ (Network Personal Video Recorder - NPVR) 46

3.1.4 Sóng phát thanh trực tuyến 46

3.1.5 Truyền hình xem lại (TV on Demand) 46

3.1.6 Phim truyện 46

3.1.7 Ca nhạc 47

3.1.8 Karaoke 47

3.1.9 Games 47

3.1.10 Dịch vụ Thông tin cần biết (T-Information) 48

Trang 6

3.1.11 Dịch vụ Tiếp thị truyền hình (T-Marketing) 48

3.1.12 Dịch vụ chia sẻ hình ảnh (Media Sharing) 49

3.1.13 Dịch vụ thể thao 49

3.1.14 Dịch vụ tin tức 49

3.1.15 Dịch vụ đọc truyện 49

3.1.16 Dịch vụ sức khỏe làm đẹp 50

3.1.17 Dịch vụ nhịp cầu MyTV 50

3.1.18 Quảng cáo (Advertising) 50

3.2 Các yêu bảo mật trong MyTV 50

3.2.1 Mô hình cung cấp dịch vụ MyTV 50

3.2.2 Các yêu cầu bảo mật trong dịch vụ MyTV 55

3.3 Các giải pháp bảo mật trong MyTV 56

3.3.1 Đường dây thuê bao 56

3.3.2 IP DSLAM / Access Switch 56

3.3.3 Router thực thi chức năng Multicast (UPE, PE-AGG) 58

3.3.4 DHCP Server 59

3.3.5 EPG Server 59

3.3.6 Account Server 61

3.3.7 VoD Server 62

3.3.8 Video Storage Server 64

3.3.9 Hệ thống DRM/CAS 64

3.4 Kết luận chương III 65

KẾT LUẬN 66

TÀI LIỆU THAM KHẢO 67

Trang 7

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình kiến trúc hệ thống IPTV

Hình 2.1 Phân loại các rủi ro cho hệ thống IPTV

Hình 2.2 Biểu thị mô hình môi trường IPTV mức cao

Hình 2.3 Một số STB thường gặp

Hình 2.4 Hệ thống IPTV Head-end

Hình 2.5 Các lớp bảo mật tại Head-end

Hình 3.1 Cấu hình đấu nối hệ thống cung cấp dịch vụ IPTV của VASC Hình 3.2 Cấu hình các giao thức thiết bị mạng cho dịch vụ MyTV Hình 3.3 Sơ đồ cung cấp địa chỉ động DHCP cho STB

Hình 3.4 Sơ đồ cung cấp dịch vụ IPTV dựa trên FTTx

Hình 3.5 Mô hình S-VLAN trong mạng truy nhập

Trang 9

MỞ ĐẦU

Sự phát triển nhanh chóng của Internet băng rộng đã làm thay đổi cả về nội dung và kỹ thuật truyền hình Hiện nay truyền hình có nhiều dạng khác nhau: truyền hình số, truyền hình vệ tinh, truyền hình cáp, truyền hình Internet và IPTV Trong số

đó, IPTV đang là cấp độ cao nhất và được đánh giá là công nghệ truyền hình của tương lai Sự vượt trội của công nghệ IPTV là tính năng tương tác giữa hệ thống với người xem, cho phép người xem chủ động về thời gian và khả năng triển khai nhiều dịch vụ giá trị gia tăng tiện ích khác trên hệ thống nhằm đáp ứng nhu cầu của người sử dụng

Hiện nay trên thế giới đã có một số quốc gia triển khai thành công IPTV như Trung Quốc, Singapore, Bỉ, Theo các chuyên gia dự báo thì tốc độ phát triển IPTV

đã và sẽ tăng theo cấp số nhân theo từng năm và đó là xu thế truyền hình của tương lai

Về công nghệ IPTV ở Việt Nam hiện nay, một số nhà cung cấp đã triển khai IPTV từ năm 2009 trên mạng băng rộng và thu được những thành công đáng kể Trong số đó có dịch vụ MyTV của VNPT được triển khai rộng khắp và bước đầu đáp ứng được yêu cầu của người sử dụng

Tuy nhiên vấn đề bảo mật cho một dịch vụ công nghệ thông tin và truyền thông đang là một vấn đề cần quan tâm trong thời địa số hóa hiên nay Mặt khác do dịch vụ IPTV triển khai trên nền mạng Internet nên rất nhiều vấn đề về bảo mật hệ thống IPTV cần phải nghiên cứu để đảm bảo an toàn cho dịch vụ được cung cấp tời người dùng Hơn nữa việc ứng dụng các giải pháp bảo mật cho dịch vụ MyTV cũng là yêu cầu cấp thiết trong quá trình vận hành, khai thác dịch vụ thực tế

Với mục đích đưa những tiến bộ công nghệ vào phục vụ cho cuộc sống, học viên xin chọn đề tài nghiên cứu “Nghiên cứu vấn đề bảo mật hệ thống IPTV và ứng dụng cho dịch vụ MyTV”

Mục tiêu của luận văn là nghiên cứu các giải pháp bảo mật hệ thống IPTV và đề xuất một số giải pháp bảo mật cho dịch vụ MyTV của VNPT

Trang 10

Đối tượng nghiên cứu của luận văn là hệ thống IPTV nói chung và dịch vụ MyTV của VNPT nói riêng Phạm vi nghiên cứu là các vấn đề và giải pháp bảo mật cho hệ thống IPTV

Bố cục của luận văn gồm 3 chương nội dung như sau:

CHƯƠNG 1: Tổng quan về hệ thống IPTV và các yêu cầu bảo mật cho dịch vụ IPTV

CHƯƠNG 2: Nghiên cứu các giải pháp bảo mật cho dịch vụ IPTV

CHƯƠNG 3: Nghiên cứu đề xuất các giải pháp bảo mật cho dịch vụ MyTV của VNPT

Trang 11

CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC

YÊU CẦU BẢO MẬT

Nội dung chính của chương I là trình bày tổng quan về IPTV và các vấn đề liên quan đến các yêu cầu về bảo mật cho dịch vụ IPTV

1.1 Giới thiệu công nghệ IPTV

1.1.1 Khái niệm về IPTV

Hệ thống truyền hình tương tự quảng bá đã được phát triển rộng rãi hơn 60 năm trước đây Trong giai đoạn này, trải nghiệm của người xem chuyển từ bộ máy thu hình trắng đen sang máy thu hình màu và sự dịch chuyển từ truyền hình trắng đen sang truyền hình màu yêu cầu người xem phải mua bộ máy thu hình mới cũng và nhà cung cấp phát quảng bá phải đầu tư bộ phát mới trước và sau đó Ngày nay, ngành công nghiệp đã trải qua một cuộc cách mạng sâu sắc từ truyền hình truyền thống sang một kỉ nguyên mới của công nghệ số Phần lớn nhà cung cấp dịch vụ truyền hình đã nâng cấp mạng lưới hiện có và triển khai nhiều hệ thống số tiên tiến nhằm mục đích dời khách hàng từ hệ thống truyền hình tương tự truyền thống sang các dịch vụ số hiện đại hơn Một công nghệ mới được gọi là truyền hình trên giao thức Internet ( IPTV ) đã bắt đầu nắm bắt xu thế toàn cầu bắt đầu bằng câu chuyện về một vài công ty viễn thông, truyền hình cable, vệ tinh, số mặt đất và một vài nhà cung cấp dịch vụ Internet truyền hình ảnh qua một dịch vụ dựa vào nền tảng hạ tầng IP Như được miêu tả qua cái tên, IPTV thể hiện một cơ chế cho việc truyền các luồng nội dung hình ảnh qua một hạ tầng mạng truyền dẫn sử dụng giao thức mạng IP Theo quan điểm của đối tượng sử dụng, việc khai thác và xem IPTV cũng giống như dịch vụ TV trả tiền ITU-T (ITU-T FG IPTV)

đã chính thức chấp thuận định nghĩa IPTV như sau [5]:

IPTV được định nghĩa là các dịch vụ đa phương tiện như truyền hình/video/audio/văn bản/đồ họa/số liệu truyền tải trên các mạng dựa trên IP được

Trang 12

kiểm soát nhằm cung cấp mức chất lượng dịch vụ, độ mãn nguyện, độ bảo mật và tin cậy theo yêu cầu

Từ quan điểm của nhà cung cấp dịch vụ, IPTV bao gồm quá trình thu thập, xử

lý, và truyền tải một cách an toàn nội dung video trên hạ tầng mạng dựa trên công nghệ

IP Tham gia vào quá trình cung cấp dịch vụ IPTV có nhiều nhà cung cấp dịch vụ từ các nhà cung cấp dịch vụ truyền hình cáp, truyền hình vệ tinh đến các công ty Viễn thông lớn và các nhà khai thác mạng riêng ở nhiều nơi trên thế giới

Trên thế giới, IPTV đã được khá nhiều tập đoàn viễn thông quan tâm đầu tư và triển khai cung cấp dịch vụ Tính đến hết năm 2011, trên thế giới có 51 triệu thuê bao, đạt doanh thu 9.7 tỉ USD Trên thế giới, IPTV đã bước sang thời kỳ phát triển ổn định

Số thuê bao IPTV được dự báo sẽ tăng từ 51 triệu năm 2011 tới 165 triệu thuê bao vào cuối năm 2017 với tốc độ tăng trưởng hàng năm là trên 30% Tổng doanh thu từ dịch

vụ IPTV sẽ tăng từ từ 9.7 tỉ USD năm 2011 tới 21,3 tỉ USD vào năm 2017 với tốc độ tăng hàng năm là 18,2% (Nguồn IPTV-news)

Hiện nay tại Việt Nam có 4 nhà cung cấp và số lượng khách hàng không ngừng tăng:

• Công ty VASC - VNPT cung cấp dịch vụ IPTV mang thương hiệu MyTV

• Công ty VTC Digicom hợp tác với một loạt các tỉnh/thành phố cung cấp dịch vụ IPTV trên cơ sở hạ tầng mạng viễn thông công cộng của các VNPT địa phương

• Công ty FPT Telecom cung cấp dịch vụ IPTV có tên thương mại là “iTV

- Muốn gì xem nấy”

• Công ty Viettel cung cấp dịch vụ NetTV

1.1.2 Hệ thống IPTV

Trang 13

IPTV là một công nghệ mới cho phép linh hoạt hơn trong quản lý và tạo điều kiện để tương tác trực tiếp với nguồn của nội dung, cải thiện những phản hồi và lên kế hoạch trong tương lai Trải nghiệm của khách hàng được cải thiện đáng kể bởi họ được kiểm soát toàn bộ nội dung ngay lập tức khi nó xuất hiện, cũng như thông tin liên lạc hai chiều với nhà cung cấp nội dung

IPTV là dịch vụ đa truyền thông gồm truyền hình, văn bản, đồ họa, dữ liệu truyền trên các mạng dựa trên phương thức IP được quản lý để cung cấp đảm bảo chất lượng dịch vụ, tính bảo mật, tương tác và độ tin cậy cao

IPTV không giống như truyền hình cáp truyền thống mà nó là một tổng thể các chuỗi dịch vụ truyền hình có tính tương tác Chính vì vậy mô hình kiến trúc của IPTV cũng phải thực sự đặc biệt

Hình 1.1 dưới đây mô tả kiến trúc chung của một hệ thống IPTV

Trang 14

Hình 1.1 Mô hình kiến trúc hệ thống IPTV [5]

Có thể chia hệ thống IPTV từ nhà cung cấp nội dung tới người sử dụng thành các khối chức năng như sau:

 Hệ thống cung cấp nội dung: Cung cấp nguồn dữ liệu được thu, nhận, xử

lí từ các nguồn như: Vệ tinh, truyền hình mặt đất và chuyển sang Head end

 Head end: Thu, điều chế và giải mã nội dung hình ảnh, âm thanh thành luồng dữ liệu IP (dùng bộ mã hóa Encoder) Các chương trình sau khi được mã hóa sẽ

Trang 15

phân phối tới người sử dụng trên các luồng IP Multicast qua truy nhập và mạng lõi IP Các chương trình này có thể được mã mật bởi hệ thống bảo mật bảo vệ nội dung

 Hệ thống Middleware: Có chức năng quản lí thuê bao, nội dung và báo cáo hoàn chỉnh cùng với các chức năng quản lí EPG và STB Middlewave là một giao diện hệ thống cung cấp dịch vụ IPTV cho người sử dụng, nó cho phép xác định danh tính người sử dụng Middlewave có lưu trữ một Profile cho tất cả các dịch vụ Middlewave đảm bảo đảm bảo các hoạt động bên trong, không có giới hạn hoạt động riêng rẽ nào trong hệ thống

 Hệ thống phân phối nội dung: Thành phần gồm có cụm máy chủ VoD và các hệ thống quản lí tương ứng có chức năng lưu trữ nội dung được mã hóa, đưa ra chính sách phân phối hợp lí Trong đó máy chủ VoD sẽ lưu lại các nội dung thực và cung cấp cho thuê bao khi nó nhận được sự xác thực từ Middleware

 Hệ thống quản lý bản quyền số (DRM): Chức năng bảo vệ nội dung, trộn tín hiệu truyền hình hay mã hóa nội dung DRM dùng để bảo mật nội dung các khóa giải mã thuê bao

và thực hiện chức năng như hẹn lịch xem, nhắn tin tương tác giữa nhà cung cấp và người sử dụng

1.2 Các dịch vụ cơ bản của IPTV

Khả năng của IPTV gần như là vô tận và hứa hẹn mang đến cho người sử dụng những dịch vụ kĩ thuật số chất lượng cao

Trang 16

Dưới đây là bảng thống kê một số dịch vụ cơ bản của IPTV:

Dịch vụ phát các kênh truyển hình quảng bá thông thường Ví dụ: VTV1, VTV2, VTV3

Multi - Angel Service

Dịch vụ cung cấp cho người dùng xem nhiều góc quay của một phim (3D) hoặc một trận bóng đá

Electronic Program Guide (EPG)

Dịch vụ hướng dẫn trực tiếp trên màn hình về lịch phát sóng, danh sách các phim,

cước phí Quảng cáo truyền hình truyền thống

Quảng cáo phát kèm với các chương trình truyền hình truyền thống

Linear/Broadcast with Trick Modes

Truyền hình quảng bá cho phép người dùng tạm dừng, xem lại, xem tiếp, bỏ qua các đoạn quảng cáo, ghi lại chương trình bằng các thiết

bị ghi

Cho phép người sử dụng lựa chọn phim, chương trình

Trang 17

Trò chơi theo yêu cầu( Game On Demand Service - MoD)

Cho phép người sử dụng lựa chọn các chương trình trò chơi, có thanh toán cước phí

Thanh toán theo nội dung (Pay Per View

- PPV, OPPV, IPPV)

Xem các chương trình phải trả phí ( Đăng kí theo lịch phát hoặc chương trình

Trang 18

Service

Thương mại (T- Commerce)

Dịch vụ giao dịch ngân hàng, mua sắm, đặt chỗ khách sạn, tàu, vé máy bay,

vé xem phim, xem ca nhạc

tại nhà

Dịch vụ Voting

Cho phép người xem tham gia trực tiếp các trò chơi trên truyền hình có thể thông qua

Remote

Giải trí (T- Entertainment)

Các trò chơi, karaoke, xem ảnh, xổ số, nhật kí điện tử Có thể chơi một người hoặc một nhóm Thông tin chính sách

(T- Goverment)

Các thông tin về chế độ chính sách xã hội liên quan đến nhà nước, chính phủ, thành phố, địa phương

Interactive Program Guide (IPG)

Electronic Contents Guide (ECG)

Dịch vụ tra cứu tìm kiếm nội dung trên TV theo các chủ đề mà khách hàng lựa

Trang 19

bá toàn mạng)

Bảng 1.1 Một số dịch vụ của IPTV [2]

1.3 Các yêu cầu bảo mật cho IPTV

Trong mô hình kinh doanh dịch vụ IPTV, nhà cung cấp dịch vụ truyền video streaming tới các thuê bao Theo mô hình trong hình 1.1, đối với hệ thống IPTV, các yêu cầu bảo mật được đặt ra như sau:

(1) Bảo mật nội dung số được cung cấp trong hệ thống IPTV

(2) Bảo mật hệ thống Head-end

(3) Bảo mật mạng truyền dẫn IPTV

(4) Bảo mật thiết bị đầu cuối

Trong mục này, luận văn trình bày một số vấn đề liên quan đến các yêu cầu trên

1.3.1 Yêu cầu bảo mật nội dung số

Intellectual Property (IP) là thuật ngữ được sử dụng để mô tả các quyền hợp pháp cho sở hữu trí tuệ, các phát minh sáng chế trong công nghệ cũng như trong sản xuất kinh doanh IP được dùng để ngăn cản sự đánh cắp hoặc sử dụng trái phép các sản phẩm trí tuệ - ở đây là các nội dung chương trình - trong khi cung cấp sự hỗ trợ hợp pháp cho phát triển các mô hình kinh doanh dựa trên các sản phẩm này Bản quyền IP bao gồm một số nội dung như: Copyright, Patents, Trademarks và Design rights Bộ phận đóng vai trò quan trọng nhất trong việc phân phối nội dung thông qua IPTV là copyright

Copyright gìn giữ các nội dung khỏi việc xao chép trái phép cũng như các hoạt động khác như: làm giả, đưa nội dung ra công chúng trái phép, quảng bá –

Trang 20

Broadcasting - và chỉnh sửa nội dung Luật bản quyền tác giả copyright đã được thực hiện ở hầu hết các nước trên thế giới ngày nay

Trong mạng IPTV có nhu cầu lớn về bảo mật nội dung Có một số lượng lớn các người sử dụng mong muốn bẻ gẫy hàng rào bảo mật để truy cập đến các nội dung số trong hệ thống, sau đó cung cấp lại hoặc bán các nội dung này trái phép, không có bản quyền Một cơ chế phù hợp cần được triển khai cho mỗi hệ thống IPTV đảm bảo tương thích với cam kết bản quyền giữa chủ sở hữu nội dung và nhà phân phối nội dung

Vì vậy, yêu cầu bảo mật nội dung số được cung cấp trong IPTV là phải đảm bảo quyền sở hữu trí tuệ Đồng thời các nội dung không bị xuyên tạc, sao chép hay phát tán không đúng thẩm quyền [7]

1.3.2 Yêu cầu bảo mật hệ thống Head-end

Trong hệ thống IPTV, hệ thống Head-end đóng một vai trò quan trọng Do đó

hệ thống này phải được bảo vệ tránh các xâm nhập trái phép, đảm bảo cho hệ thống hoạt động an toàn và hiệu quả Các yêu cầu bảo mật phải đảm bảo phòng chống được các rủi ro sau [2]:

 Truy cập trái phép;

 Trộm cắp thông tin thuê bao;

 Trộm cắp dữ liệu cấu hình hệ thống;

 Trộm cắp thông tin về nội dung - metadata

 Xóa hoặc thay đổi nội dung thông tin tính cước;

1.3.3 Yêu cầu bảo mật hệ thống truyền dẫn IPTV

Hệ thống truyên dẫn IPTV dựa trên mạng Internet Do đó, các nhà cung cấp dịch vụ IPTV phải quan tâm và có các giải pháp đảm bảo an toàn hệ thống truyền dẫn trong quá trình vận hành và khai thác dịch vụ Yêu cầu chính của hệ thống truyền dẫn

là phòng chống tấn công làm nghẽn mạng cung cấp dịch vụ Thông thường, tấn công

DOS từ một người dùng bằng cách gửi đi rất nhiều các gói tin hợp lệ vào trong mạng truyền dẫn gây ra hiện tượng nghẽn mạng và gián đoạn dịch vụ Khi đó, có thể gây lỗi

Trang 21

cho các thành phần hệ thống mạng, video server hoặc game server, dẫn đến hiện tượng khởi động lại máy hoặc làm cạn kiệt tài nguyên Do đó, sẽ gây nguy hiểm tiềm tàng đến hàng nghìn thuê bao của nhà cung cấp dịch vụ (mỗi DSLAM hay Video server có thể hỗ trợ hàng nghìn thuê bao) [3]

1.3.4 Yêu cầu bảo mật hệ thống thiết bị đầu cuối

Đối với hệ thống thiết bị đầu cuối trong IPTV yêu cầu bảo mật nhằm tránh các nguy cơ có thể xảy ra như:

 Ghi lấy lại chứng thực số từ các STB để truy cập nội dung hay tái phân phối nội dung cho các thuê bao khác;

 Ghi lại các gói tin trong mạng home network;

 Đưa đường ra tương tự của thiết bị đầu cuối thu đến đầu vào của một thiết bị ghi bên ngoài để ghi lại nội dung;

 Đưa đường ra số của thiết bị đầu cuối thu đến đầu vào của một thiết bị ghi bên ngoài để ghi lại nội dung;

 Sử dụng dịch vụ nhiều hơn mức đăng ký thuê bao với nhà cung cấp dịch vụ;

 Truy cập các nội dung cấm (ví dụ các nội dung riêng tư,…);

 Phá vỡ hệ thống quản lý truy cập CAS để cho phép truy cập đến nội dung;

 Sao chép nội dung chương trình

 Các nguy cơ trên sẽ làm ảnh hưởng nghiêm trọng đến quá trình cung cấp

và quản lý dịch vụ IPTV [4]

1.4 Kết luận chương 1

Trong chương 1, luận văn đã khảo sát tổng quan về công nghệ và dịch vụ IPTV Đồng thời, luận văn cũng đã nêu ra các yêu cầu chung cho vấn đề bảo mật hệ thống

Trang 22

IPTV Dựa trên các nội dung này, chương 3 luận văn sẽ nghiên cứu các giải pháp bảo mật cho hệ thống IPTV

Trang 23

CHƯƠNG II NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT

CHO DỊCH VỤ IPTV

Nội dung của chương 2 là khảo sát các vấn đề và giải pháp bảo mật cho dịch vụ IPTB bao gồm: các nguy cơ làm mất an toàn, bảo mật hệ thống dịch vụ IPTV và các giải pháp phòng chống

2.1 Các nguy cơ làm mất an toàn, bảo mật hệ thống dịch vụ IPTV

Hệ thống dịch vụ IPTV có tất cả các tính chất dễ bị tổn thương về an toàn, bảo mật như là mạng truyền tải dựa trên TCP/IP và dịch vụ được cung cấp trên Internet Trong phần này, luận văn khảo sát một số nguy cơ dẫn đến mất an toàn, bảo mật cho

hệ thống IPTV

Hình 2.1 dưới đây mô tả phân loại các rủi ro đối với hệ thống IPTV

Hình 2.1 Phân loại các rủi ro cho hệ thống IPTV [9]

Trong đó:

Một là: Lấy cắp hoặc lạm dụng tài sản IPTV

 Tài sản chính của dịch vụ IPTV là các bản copy số của nội dung được lưu trữ và truyền tải trong cơ sở hạ tầng IPTV Lạm dụng các tài sản liên quan đến lạm dụng cơ sở hạ tầng IPTV với mục đích ngoài các chức năng đã phân công của các phần

Trang 24

tử Đó có thể là truy nhập bất hợp pháp những kho video để lấy cắp các bản sao số, hoặc sao chép bất hợp pháp các video đã được lưu trữ dưới dạng số hoặc truy nhập bất hợp pháp thiết bị chuyển mã để lấy cắp các bản sao số

 Tấn công tài sản IPTV với mục đích bán lại, phân phối và sửa đổi để kiếm lợi nhuận Nếu một thuê bao có ý định thu các nội dung mà không trả tiền, hoặc một kẻ bên ngoài muốn thu chương trình IPTV mà không muốn trả tiền thì ta gọi đó là những hình thức tấn công dịch vụ

Ba là: Tấn công số liệu liên quan IPTV

 Môi trường IPTV bao gồm rất nhiều các số liệu liên quan đến các thuê bao, các tài sản số, hạ tầng và dịch vụ Số liệu thuê bao được coi là các hiểm họa riêng

và được bảo vệ bởi các quy định luật chung của nhiều nước Các đối thủ cạnh tranh hoặc tội phạm có thể sử dụng số liệu liên quan đến IPTV để nghe trộm Các thông tin này cần phải được được bảo vệ tránh nguy hiểm và mất mát cho khách hàng

 Số liệu liên quan đến IPTV được lưu trữ trong hầu hết các phần tử Head- end: Middlewave có thể chứa thông tin về các quyền ưu tiên của từng thuê bao, DSLAM chứa các chi tiết yêu cầu video Lượng tin và thông tin tính cước có trong các Server liên quan đến kinh doanh và sẽ được sử dụng để nhận dạng các hình thức tấn công và các hiểm họa có liên quan

Bốn là: Phá hỏng dịch vụ

Trang 25

 Các thuê bao phải luôn luôn được cung cấp dịch vụ với mức chất lượng đảm bảo Các dịch vụ truyền hình qua vệ tinh, TV cáp, truyền hình mặt đất phải bảo đảm tin cậy và không can nhiễu Khách hàng luôn mong chất lượng dịch vụ cao và không chấp nhận chất lượng dịch vụ thường xuyên bị gián đoạn hoặc các hình ảnh chất lượng kém vì chính những người sử dụng đã trả tiền để mua những điều đó Các tấn công đến Head end đều ảnh hưởng không nhỏ tới hệ thống các thuê bao Cũng có những tấn công chỉ trong phạm vi của một vùng hoặc một khu vực địa lí nhất định có thể ảnh hưởng tới hàng ngàn thuê bao Do đó người ta yêu cầu cấu trúc mạng nhà phải

đủ tin cậy để đảm bảo yêu cầu dịch vụ cho các thuê bao

 Trong một số trường hợp, những đối tượng tấn công có thể thực hiện điều khiển nhiều Set Top Box, tấn công Middlewave Server và chặn các truy nhập đến dịch vụ IPTV Một số tấn công khác nhau có thể làm thay đổi cấu hình của DSLAM, các chuyển mạch, hoặc các quy tắc của Multicast làm phá vỡ dịch vụ

Năm là: Phá vỡ mối liên hệ bí mật

 Các quy luật riêng yêu cầu các nhà cung cấp dịch vụ IPTV phải bảo vệ các thông tin cá nhân của thuê bao Những đối tượng tấn công có khả năng truy nhập vào các Server có cơ sở dữ liệu lưu trữ thông tin cá nhân hoặc bắt được các xử lí từ các Set Top Box

 Các giải pháp để tránh bị lấy cắp thông tin cá nhân từ các thuê bao là thực hiện mã bảo mật hoặc che dấu các cuộc ghi âm

Dưới đây luận văn trình bày chi tiết hơn một số rủi ro là nguy cơ gây mất an toàn, bảo mật cho IPTV

2.1.1 Truy cập gian lận

Truy cập gian lân là một trong những dạng lâu đời nhất của hình thức gian lận trong bảo hiểm/truyền hình trả tiền Tình trạng này sẽ xảy ra khi một cá nhân lừa các truy cập vào các cơ chế để đạt được truy cập trái phép vào các nội dung truyền hình mà không cần trả tiền phí thuê bao hoặc tăng quyền truy cập cấp Ví dụ về loại hình đe dọa

Trang 26

các chủ IPTV phải đối mặt đến từ ngành công nghiệp truyền hình vệ tinh Trong nhiều năm qua, họ đã chiến đấu truy cập gian lận Sự phổ biến rộng rãi của gian lân trong những năm gần đây, một số công ty truyền hình vệ tinh đã bắt đầu tham gia hành động pháp lý chống lại quyền cho phép truy cập hoặc không được phép vào nội dung truyền hình

Toàn bộ ngành công nghiệp đã được phát triển xung quanh phân phối các loại thẻ truy cập không giới hạn cho phép truy cập vào phần mềm và truyền hình, làm ăn mòn doanh thu của nhà cung cấp truyền hình vệ tinh Kinh nghiệm của các ngành công nghiệp truyền hình vệ tinh cho thấy rằng những người gian lận đã tiến xa để phá vỡ các biện pháp an ninh Điều này bao gồm bẻ khóa (crack) bảo vệ thẻ thông minh sử dụng cho STB và phân phối các thẻ ‘miễn phí truy cập’ Mặc dù nhà cung cấp dịch vụ truyền hình vệ tinh đã thay đổi thẻ, người gian lận vẫn có thể tìm cách thay thế các biên pháp phá vỡ bao vệ kết hợp trong các phiên bản mới, và điều này là chu kỳ lặp đi lặp lại liên tục

IPTV là chuyển giao, không chỉ để cài đặt STB mà còn cho máy tính và các thiết bị cầm tay Điều này tạo điều kiện cho quá trình vi phạm an ninh nội dung Kẻ xâm nhập có thể thao tác hoặc sửa đổi những hành vi ứng xử của khách hàng và trích xuất nội dung kỹ thuật số trong hình thức sẵn sàng để được sao chép hoặc phát sóng Sửa đổi, bổ sung đơn giản, giới thiệu phần mềm của họ để cho phép tin tặc vi phạm cac

hệ thống mã hóa và áp dụng các biện pháp an ninh khác, hoặc thậm chí nắm bắt và phân phối lại bằng cách sử dụng các nội dung trên mạng ngang hàng Chính thực tế liên quan đến truy cập gian lận này, theo thứ tự một hệ thống IPTV làm việc, cuối cùng người sử dụng phải được cung cấp với mã hóa nội dung, và các thuật toán mật mã với chìa khóa Bất cứ ai quen thuộc với các công nghệ này sẽ cho bạn biết rằng bạn đã mất trò chơi tại đó giống như bạn không còn kiểm soát đối với nội dung của nó

2.1.2 Phát sóng trái phép

Trang 27

Nội dung IPTV được phân phối ở định dạng số, đơn giản hóa công việc cá nhân với quan tâm trong việc sao chép hoặc phát sóng các nội dung Một trong những tranh luận trong chiến dịch chống lại ăn cắp bản quyền phim là phát trộm những DVD có xu hướng ghi lén tại rạp phim bởi người sử dụng camera cầm tay Tuy nhiên với nội dung

kỹ thuật số quảng bá như là một phần của một dịch vụ IPTV không có sự khác biệt giữa nội dung ăn cắp và nội dung ban đầu Một ảnh hưởng lớn trên các ngành công nghiệp truyền hình vệ tinh đã được những kẻ gian lận bán thẻ thông minh có quyền truy cập tát cả dựa trên các sửa đổi thẻ thông minh và các thiết bị nhận thẻ thông minh sao cho hợp lệ Nếu những kẻ gian lân thành công tại cùng một loại hình tấn công trong một môi trường IPTV, chúng sẽ có thể tạo ra ‘tất cả các truy cập’ IPTV đặt tại các STB hoặc thẻ Kết quả là, các ngành công nghiệp phải đối mặt với một mối đe dọa IPTV hoàn toàn mới – với các trạm phát sóng ở trên mỗi máy tính tin tặc sẽ có thể phân phối lại các quảng bá cho dòng mày tính khác trên thế giới

Thuê bao hợp lệ có thể kéo dài nội dung kỹ thuật số và sử dụng các mạng mang hàng phân phối nội dung chất lượng cao cho một lượng lớn đối tượng, loại trừ sự cần thiết cho những người xem phải trả tiền cho các nội dung hoặc đăng ký để duy trì bất

kỳ dịch vụ thương mại truyền hình, Tất cả các công nghệ đang sẵn sàng đối phó với tình trạng này

2.1.3 Xuyên tạc nội dung

Đối với IPTV thực tiễn trên các môi trường khác nhau gửi tín hiệu bằng cách sử dụng giao thức IP chuẩn và các đối tượng tấn công có thể kết nối thông qua các Webside và điều khiển Middleware Server hoặc các Server truyền hình, người ta có thể thay đổi số liệu trong nội dung mà trước đó đã được mã hóa bảo mật bằng phần mềm DRM Đối tượng tấn công có thể điều khiển nội dung khiến cho các công ty cung cấp IPTV phát các nội dung không thích hợp hoặc không được phép

Nội dung đã đi qua các môi trường trung gian khác nhau trước khi đến thuê bao

Có ba quá trình trên quãng đường từ nhà cung cấp cho tới các thuê bao:

Trang 28

Thứ nhất: Đường khởi đầu giữa công ty sở hữu nội dung và nhà cung cấp dịch

vụ IPTV Nó có thể thông qua vệ tinh, Internet hoặc môi trường điện từ Trong bất cứ khâu nào trong đó cũng có thể làm thay đổi nội dung Trong một số trường hợp người

ta thường sử dụng mã bảo mật, nhưng những đối tượng xâm nhập vẫn có thể bẻ khóa

Vì vậy cần phải có cơ cấu thích hợp để cập nhật và quản lí các mã khóa

Thứ hai: Sau đó người ta lưu trữ nội dung ở cơ sở dữ liệu nội dung, đây là một

cơ hội thuận lợi để các đối tượng xâm nhập trái phép truy nhập bất hợp pháp hoặc một người nào đó trong những người lao động trong các công ty truyền hình sửa đổi nội dung Các nhân viên có mâu thuẫn với công ty có thể truy nhập đến cơ sở dữ liệu và sửa đổi các nội dung bằng cách thay đổi hoặc thay thế các File dữ liệu

Thứ ba: Giai đoạn cuối cùng là truyền tải giữa đầu Head end và STB Nếu không được bảo vệ thích hợp thì nội dung có thể bị thay đổi hoặc thay bằng nội dung mới truyền đến các thuê bao Những đối tượng xâm nhập trái pháp có thể xem lưu lượng truyền hình mà STB đã thu được để truyền đến các thuê bao khác

2.1.4 Nguy cơ xâm nhập và tấn công đối với nhà cung cấp dịch vụ IPTV

Môi trường IPTV sẽ có một loạt các tấn công phụ thuộc vào chức năng Tác động an ninh vào Head end lớn hơn nhiều so với tác động vào thiết bị đầu cuối Mạng truyền tải có một số nguy hại đối với các dịch vụ chạy trên nó

Trang 29

Mô hình IPTV cấp cao

Thuê bao IPTV / Subcriber

Network Provider/

Nhà cung cấp mạng truyền dẫn

IPTV Service Provider/

Nhà cung cấp dịch vụ

Content Provider/

Nhà cung cấp nội dung

Hình 2.2 Biểu thị mô hình môi trường IPTV mức cao [8]

Các hệ thống thuộc về trung tâm dữ liệu hoặc các trung tâm hệ thống thường bị tấn công bên trong nhiều hơn bên ngoài và thỉnh thoảng nhân viên làm việc tại các trung tâm đó truy nhập tương đối nhiều thông tin

Trước đây có một số nhân viên trong quá trình làm việc muốn chiếm đoạt tài sản của các công ty truyền hình mà họ làm việc Do đó cần phải thiết lập các ứng dụng nội bộ để hạn chế truy nhập đối với các đối tượng sử dụng hợp pháp và ngăn chặn, xác định các sửa đổi trong nội bộ

Một số loại tấn công ở Head end:

 Video cung cấp các hình ảnh về cuộc sống hoặc ghi lại các chương trình

vô tuyến để sau này sử dụng lại Mỗi hệ thống được cấp một tài khoản, việc để lộ tài khoản này là nguyên nhân cho sự phá hoại môi trường vật lí Do quản lí không thận trọng cũng có thể gây nên sự phá hoại

 Chuyển mạch Video: Truy nhập bất hợp pháp đối với chuyển mạch video

có thể tạo ra khả năng cung cấp video bất hợp pháp thành dịch vụ IPTV Hoạt động của chuyển mạch video không có bản quyền giống tấn công nội bộ

 Hệ thống quản lí nội dung: Hệ thống quản lí nội dung bộc lộ một số hiểm họa liên quan đến các điểm yếu dễ bị tấn công của bộ đệm truyền tải Loại này xuất

Trang 30

hiện riêng đối với những hệ thống sử dụng mã bảo mật yếu Các đối tượng tấn công có thể lợi dụng các yếu điểm này bằng cách đưa vào các dãy số dài hơn bộ đệm Các đối tượng tấn công có thể gửi các bản tin giao thức làm cho ứng dụng tạm thời bị ngừng hoặc gửi các lệnh quản lí làm sập hệ thống ứng dụng

 Số liệu nội dung từ đáp ứng Video: Một tín hiệu xóa bất hợp pháp số liệu nội dung đã lưu trong đáp ứng video làm gián đoạn dịch vụ Số liệu nội dung đã được sửa đổi thì chương trình ứng dụng không có khả năng phục vụ các yêu cầu từ các chương trình ứng dụng của Middlewave và quản lí nội dung

 Nội dung MPEC-2 từ đáp ứng Video: Việc xóa nội dung bất hợp pháp trong MPEC - 2 đã lưu trong chương trình đáp ứng Video làm phá vỡ dịch vụ Điều đó

có thể gây ảnh hưởng tương tự đến các nội dung bị chiếm dụng hoặc bị lộ khóa bảo mật

 Nội dung MPEC- 4: Những đối tượng xâm nhập bất hợp pháp hoặc nhân viên có thể cải biến hoặc xóa nội dung MPEC-4 Các thay đổi này làm gián đoạn dịch

vụ Cả hai chương trình ứng dụng đáp ứng video và vận hành hệ thống có thể đáp ứng

để hạn chế truy nhập nội dung Nếu nội dung MPEC-4 không bảo mật và phân phối lại cho người khác như vậy họ đã tước đoạt tiền đầu tư nội dung

 Phần mềm cân bằng tải: Truy nhập bất hợp pháp vào chương trình ứng dụng để dừng ứng dụng hoặc làm gián đoạn dịch vụ bằng cách thay đổi các tham số của bộ phận cân bằng tải, loại bỏ các phần tử ra khỏi danh sách của các Server trợ giúp hoặc làm giảm tải băng thông

 Phần mềm luồng Master Video: Server luồng Master Video thu yêu cầu quản lí kết nối từ IPTV Middlewave và định hướng lại kết nối của thuê bao đến Serve luồng video thích hợp Điểm yếu dễ bị tấn công trong chính bản thân phần mềm luồng Master Video là do các kĩ thuật biên lập mã không hợp lí

 Các dịch vụ CA/DRM: Các đối tượng tấn công có thể lợi dụng khả năng tấn công toàn bộ đệm trong phần mềm CA/DRM Client và sử dụng để cải biên chương

Trang 31

trình hoạt động của chương trình ứng dụng Các đối tượng tấn công trái phép có thể sử dụng điểm yếu dễ bị tấn công hiện tại để lấy cắp các khóa bảo mật Loại tấn công này ảnh hưởng đến tính nguyên vẹn của ứng dụng

 Các khóa SRTP: Có thể sử dụng truy nhập bất hợp phápđể xóa khóa SRTP Loại tấn công này có thể do những đối tượng tấn công nội bộ hoặc bên ngoài thực hiện và gây gián đoạn dịch vụ của các thuê bao Các đối tượng xâm nhập trái phép

có thể lấy cắp các khóa SRTP và sử dụng để tạo nên các khóa giả hoặc truy nhập vào nội dung đã được bảo mật Cũng có thể lấy cắp khóa SRTP trong khi phát các gói tin công khai Những đối tượng tấn công này truy nhập vào Middle VLAN giữu hệ thống CA/DRM và điểm của trạm vùng

 Giao thức quản lí khóa: Các gói giao thức quản lí khóa có thể bị lấy cắp trong lúc phát các gói tin công khai Những đối tượng tấn công này truy nhập vào Middlewave VLAN giữa hệ thống CA/DRM và điểm của Head end

 Quản lí dịch vụ CA/DRM: Những đối tượng xâm nhập trái phép có thể truy nhập vào mạng để gửi các lệnh qua mạng quản lí và xóa thông tin xác thực quản lí dịch vụ Có thể sử dụng lưu lượng tràn bộ đệm để phá vỡ dịch vụ

 Phần mềm luồng video: Điểm yếu tràn bộ đệm trong bản thân phần mềm luồng video là do lỗi của các nhân viên kĩ thuật lập mã không đúng và đo thử không thích hợp Những đối tượng xâm nhập trái phép có thể thực hiện các lệnh quản lí để tạo nên các hoạt động quản lí sai lệch

 Thay đổi thông tin xác thực: Những đối tượng tấn công trái phépcó thể gửi các lệnh quản lí để xóa hoặc cải biên thông tin xác thực Không có xác thực đúng thì không thể thiết lập thông tin ứng dụng với các thành phần khác của hệ thống và hệ thống không hoạt động.Với các Password ( mật khẩu) yếu tạo điều kiện dễ dàng cho các đối tượng xâm nhập trái phép đoán thông tin xác thực và truy nhập trái phép vào hệ thống Bản sao không xác thực về thông tin vị trí bổ sunglàm cho những đối tượng tấn công bất hợp pháp có thể thực hiện những hoạt động quản lí sai lệch

Trang 32

 Nội dung bổ sung vị trí MPEC-2/ MPEC-4: Có thể sử dụng mạng truy nhập trái phép để gửi các lệnh qua mạng quản lý để xóa nội dung bổ sung vị trí MPEC-2/ MPEC-4 đã lưu trữ trong hệ thống Trong hoàn cảnh tương tự, các đối tượng xâm nhập trái phép có thể vào hoặc cải biên MPEC-2/ MPEC-4 Nội dung cải biên có thể làm gián đoạn dịch vụ hoặc gây ra nguy hiểm cho nhà cung cấp dịch vụ IPTV

 Thông tin bổ sung vị trí: Những đối tượng tấn công có thể gửi các lệnh qua mạng quản lí để xóa thông tin bổ sung vị trí Việc xóa bất hợp pháp này có thể do những đối tượng tấn công bất hợp pháp bên trong hoặc bên ngoài gây ra Việc đọc bất hợp pháp các nội dung sau khi những đối tượng tấn công bất hợp đánh sập hệ thống (Tấn công bên ngoài) hoặc nội bộ truy nhập trái phép thông tin vị trí Người ta có thể gửi các bản sao thông tin bổ sung vị trí cho các đối tác cạnh tranh

 Nội dung MPEC-2/MPEC-4 đã ghi hoặc lưu trữ: Những đối tượng tấn công có thể sử dụng truy nhập để gửi các lệnh quản lí xóa nội dung MPEC-2/MPEC-4

đã ghi hoặc lưu trữ ứng dụng Nếu nội dung MPEC-2/MPEC-4 đã ghi hoặc lưu trữ bị xóa hoặc bị phá thì những đối tượng truy nhập có thể sao chép từng bit nội dung và phân phối cho người khác

 Phần mềm ghi video: Những đối tượng tấn công bất hợp pháp để gửi lệnh qua mạng quản lý với mục đích phá phần mềm video Lệnh không xác thực có thể làm cho phần mềm ghi video tự bị hỏng

2.1.5 Nguy cơ đối với thiết bị đầu cuối thuê bao IPTV

Có nhiều Set Top Box khác nhau trên thị trường STB là thiết bị đầu cuối cho phép thu, giải mã và hiển thị nội dung trên màn hình TV Một số được sản xuất bằng phần cứng và phần mềm thích hợp Còn một số khác dựa trên các hệ thống vận hành nguồn mở Hiện nay, có một số đã bắt đầu sử dụng công nghệ PC chuẩn, có phần cứng nhỏ gọn, cho phép các thuê bao tải OS, middlewave và DRM client riêng của chúng STB cần hỗ trợ các chuẩn MPEG-4/H.264 Ngoài ra STB cũng có thể hỗ trợ HDTV, kết nối với thiết bị lưu trữ bên ngoài: USB, Video phone…STB cung cấp các ứng dụng

Trang 33

truyền thông giải trí Nó có thể giải mã những chuỗi dữ liệu và hình ảnh đến địa chỉ IP Ngoài ra STB cũng hỗ trợ chuẩn H.264/MPEG-4 part 10 Cùng với STB có đồng bộ kèm theo là Remote control có chức năng điều khiển từ xa và thực hiện chức năng như hẹn lịch xem, nhắn tin tương tác giữa nhà cung cấp và người sử dụng

Hình 2.3 Một số STB thường gặp

Công nghệ Cable đã sử dụng Set Top Box với mục đích riêng là giải mã các tín hiệu số thành các tín hiệu Analog cho các thiết bị TV Theo thời gian dung lượng và độ linh hoạt của loại này giảm và bây giờ nhiều công ty sử dụng các STB có nhiều điểm đặc biệt

IPTV cũng yêu cầu các STB giải mã thông tin số như các TV

Các STB của một số nước có bảo mật cơ bản do công ty sở hữu nội dung quản

lí Chúng gồm các khả năng xác thực loại nội dung mà thuê bao đã đặt tên để xem Loại thẻ thông minh tự giúp các hệ thống truy nhập có điều kiện để lưu trữ thông tin xác thực về thuê bao Chức năng các loại thẻ thông minh này bắt đầu được triển khai bằng cách sử dụng độ linh hoạt và khả năng của các hệ thống PW do ITU-TX.509 trợ giúp

Trang 34

X509 xác định cấu trúc, các trường và toàn bộ toàn bộ tiêu chuẩn chứng chỉ và chữ kí số Sử dụng các chứng chỉ là một phần nội dung STB, các nhà cung cấp có khả năng áp dụng độ đo bảo mật cho thuê bao

Tuy vậy vẫn có một số rủi ro cho công nghệ này, những đối tượng tấn công vẫn

có thể điều khiển các STB và chiếm chứng chỉ và sẽ có khả năng sắp xếp các nội dung

và thậm chí phát luồng cho các thuê bao khác Nếu đối tượng tấn công chiếm được chứng chỉ số từ nhà cung cấp nội dung, thì chúng có khả năng sửa luồng bao gồm cả những thông tin mà chúng muốn

Trong chục năm trở lại đây, lực lượng kĩ sư thiết kế hệ thống đã che dấu cho các thiết bị này bằng cách sử dụng mã bảo mật, vì chúng hoạt động trên môi trường bảo mật chặt chẽ và đã không xảy ra những sự cố đáng tiếc Tuy vậy hoàn cảnh này trong tương lai sẽ thay đổi Với các Modem cáp và các STB ngày càng nhiều, những đối tượng tấn công nhằm mục tiêu vào hệ thống này như đối với hệ thống điện thoại di dộng ngày nay

Người ta đã bổ sung các chức năng Game và lưu trữ cho các STB Hệ thống vận hành và phần mềm cần trợ giúp các ứng dụng Điều này tạo điều kiện dễ hơn cho những đối tượng tấn công và các thiết bị viết chương trình Virus

Các nhà vận hành TV vệ tinh từ rất lâu đã nghiên cứu các bài toán bảo mật bao gồm các thẻ thông minh và mã bảo mật Trên cơ sở hệ thống kết hợp STB nói chung và thẻ thông minh người ta đưa ra khuyến nghị với thuê bao rằng cần phải có thông tin cá nhân và mã bảo mật thông tin để khôi phục tín hiệu vệ tinh Trong những năm gần đây, các đối tương tấn công có khả năng sao chép bản gốc và phân phối lại cho các thẻ đã được sao chép để truy nhập không hạn chế với các dịch vụ vệ tinh Điều đó làm tổn thất rất lớn cho ngành truyền hình, đặc biệt truyền hình vệ tinh Mỗi lần một mật mã mới được đưa ra, ngay lập tức những đối tượng tấn công chỉ mất vài giờ, vài ngày đã

có thể đưa ra được ngay ra các thẻ sao chép mới Điều này chứng tỏ bài toán bảo mật thông tin cho các STB là một vấn đề hết sức quan trọng và cần thiết [6]

Trang 35

2.2 Các giải pháp bảo mật cho dịch vụ IPTV

2.2.1 Giải pháp bảo vệ nội dung

2.2.1.1 Hệ thống bảo vệ nội dung (CPS)

Hệ thống bảo vệ nội dung được sử dụng để đảm bảo nội dung chỉ được xem bởi thuê bao được ủy quyền Trong cả VOD và live IPTV, những kẻ xâm nhập có thể dễ dàng tiếp cận với các luồng multicast và unicast Mục đích của CPS để đảm bảo đối tượng trái phép sẽ không có khả năng giải mã các nội dung hoặc phân phối lại các nội dung trên cơ sở của luồng ban đầu

Để bảo vệ các phiên multicast của IPTV, đầu cuối sẽ mã hóa bảo mật các nội dung sau khi chúng đã được mã hóa Có một số thiết lập và các tùy chọn cho việc bảo

vệ này Một khi sử dụng khóa đối xứng ngẫu nhiên, khóa này sẽ được sử dụng cho tất

cả các nội dung từ đầu cuối hoặc nội dung cho một kênh cụ thể, hoặc nó có thể được thay đổi trong ngày Khóa này sẽ được kiểm soát ở mức ứng dụng và sẽ hạn chế sử dụng bởi IGMP để chỉ cho phép một nhóm các máy chủ có thể truy cập để phát sóng thông tin gửi đi

Với trường hợp unicast VOD thì lại khác, vì đầu cuối sẽ mã hóa tất cả các nội dung với một khóa đối xứng ngẫu nhiên chỉ có sẵn cho các thuê bao trả tiền Sau đó các khóa sẽ được cung cấp cho các thuê bao sử dụng khóa công khai để mã hóa nội dung Biện pháp an ninh bổ sung bao gồm thay đổi khóa đối xứng trong quá trình truyền để tăng sự phức tạp của quá trình và làm giảm cơ hội của những kẻ xâm nhập tìm kiếm hoặc đoán khóa

Trong IPTV, CPS là một trong những cơ chế sử dụng rộng rãi hơn đối với chủ

sở hữu nội dung để bảo vệ tài sản số Nó cũng là sự bảo vệ cơ bản nhất mà họ yêu cầu

vì nó đảm bảo một khi nội dung rời đầu cuối sẽ được bảo vệ trong quá trình truyền cho đến khi nó đi đến các thuê bao và thậm chị nó vẫn còn trong một số giới hạn tối thiểu hạn chế sự sao chép và phân phối lại [9]

2.2.1.2 Hệ thống truy cập có điều kiện (CAS)

Trang 36

Hệ thống truy cập có điều kiện được các nhà khai thác sử dụng để kiểm soát quyền truy cập vào nội dung CAS thực hiện sự dịch tần số đơn giản và nhiễu để mã hóa nội dung Vì các công ty viễn thông và các hãng phải đỗi mặt với các mối đe dọa khác nhau liên quan đến IPTV, một loạt các công nghệ mới đã được phát triển để bảo

vệ dữ liệu

Chức năng CAS dựa trên cùng một nguyên tắc như CPS: một khi thông tin đã được mã hóa, hệ thống sẽ đảm bảo khóa phiên chỉ được gửi đến những thuê bao có thẩm quyền để nhận được nội dung Trong một số trường hợp, CAS có thể được triển khai sử dụng danh sách kiểm soát truy cập duy nhất, mà không cần mã hóa nội dung

Thực hiện xác minh nội bổ để đảm bảo chỉ có các thuê bao hợp lệ có thể yêu cầu tiêu đề VOD, và điều này bao gồm cả việc kiểm tra tình trạng tài khoản [9]

Các nhà cung cấp công nghệ thường cài đặt ban đầu các giải pháp thiếu cơ chế DRM, một số sử dụng công nghệ cơ bản hoặc các cơ chế mã hóa yếu Ngày nay, thay

vì điều khiển DRM đường truyền, một số nhà cung cấp vẫn không giải quyết vấn đề ghi âm và phát lại Thuê bao có thể lưu trữ các bản sao của tài liệu DRM và phát hành lại trên web Điều này cần thiết phải có nội dung điều khiển DRM mạnh mẽ để giảm thiểu nguy cơ truy cập trái phép vào nội dung

Hiện tại có hai lựa chọn cơ bản cho phân phối nội dung sử dụng IPTV – video theo yêu cầu (VOD) và phát sóng Mỗi lựa chọn có yêu cầu bảo mật và DRM riêng của nó:

Trang 37

 Đối với VOD: thường được khuyến nghị là nội dung được phân đoạn và được mã hóa bằng một khóa đối xứng Khóa có thể được thay đổi nhiều lần trong một

bộ phim để tăng cường bảo vệ Mỗi set top box có khóa riêng của người mua, và máy chủ VOD gửi nội dung được mã hóa và khóa đối xứng được mã hóa để các set top box giải mã và phát lại

 Nội dung phát sóng cũng theo một quá trình tương tự Nội dung được mã hóa tại nguồn với một khóa đối xứng Các set top box gửi một yêu cầu cần khóa nội dung hiện tại và máy chủ dữ liệu gửi một khóa đối xứng được mã hóa để các set top box truy xuất nội dung

Những yêu cầu khác của DRM bao gồm các quy định đối với thông tin được DRM bảo vệ phải được mã hóa bảo mật sau khi rời khỏi nguồn Và chỉ nên được giải

mã sau khi nó đã đến địa điểm cần đến Điều này liên quan đến việc thay đổi kiến trúc

an ninh trong đó kho lưu trữ khóa là một phần của quá trình mã hóa

Cần có ứng dụng DRM để hỗ trợ bộ code cụ thể do nhà cung cấp dịch vụ IPTV lựa chọn để bảo vệ nội dung (ví dụ H.264, MPEG-4 và MPEG-2) Để cung cấp mức độ bảo vệ chấp nhận được về nội dung, hình ảnh video phải được mã hóa để xác minh tính toàn vẹn và thực hiện các tiêu chuẩn mã hóa tiên tiến cho các chức năng mã hóa Chiều dài khóa nên lớn hơn 128 (lý tưởng, 256 cho AES)

Môi trường DRM có thể có hoặc không được phần cứng hỗ trợ việc giải mã khóa, ví dụ chip trong IP set top box hoặc thẻ thông minh có thể được chèn vào trong set top box Thẻ thông minh đã được sử dụng rộng rãi bởi các nhà cung cấp truyền hình

vệ tinh video Đã có một số trường hợp mức bảo mật của những nền tảng đã bị phá vỡ

Để mã hóa nội dung, cần các máy chủ DRM mã hóa thời gian thực Trong một

số trường hợp VOD có thể được mã hóa sau khi đã được nhận và có thể được lưu trữ

để sử dụng trong tương lai Tương tự với nội dung phát sóng, nội dung được mã hóa khi đang được nhận, cũng thường xuyên thay đổi các khóa truy cập để phát sóng các kênh truyền hình

Trang 38

Cả VOD và các kênh truyền hình phát sóng phải mã hóa Trong nhiều trường hợp chức năng này sẽ được thực hiện theo thời gian thực Một số chức năng bổ sung là trao đổi khóa mã hóa với set top box Hai chức năng này coi là tải trên máy chủ DRM; thành phần này phải được thiết kế để hỗ trợ số lượng theo yêu cầu thích hợp

Sự phân phối khóa phát sóng IPTV được thực hiện bằng cách gửi các khóa theo

cơ sở người dùng Phương pháp này an toàn hơn, mặc dù khả năng mở rộng của nó hạn chế Cũng có thể gửi các khóa cùng các nội dung (ECMS) và gửi khóa giải mã ECM cho tất cả các set top box, nơi nó được lưu trữ an toàn Sau đó, thông tin về quyền người dùng được gửi cũng theo cơ sở one-to-one, và cũng được lưu trữ an toàn và được các thiết bị đầu cuối sử dụng để quyết định nên hay không nên giải mã nội dung

STB Client

Máy trạm DRM ở set top box có khả năng quản lý tương tác PKI với CA và các yếu tố khác trong chuỗi, cũng như lưu trữ các khóa tin liên kết với các chứng chỉ X.509 v3 giao cho set top box Chiều dài khóa được xác định theo các quy định về mã hóa, khả năng xử lỹ của set top box và khả năng tương thích với các phần tử khác Phương pháp mã hóa thông thường với kiểu máy trạm này là khóa 1024 bit

Mã hóa DRM

Với các luồng phát sóng, DRM phải có khả năng mã hóa thời gian thực nội dung Mô tả tải trên thiết bị và có thể được phân phối bởi một số máy chủ dành riêng cho các kênh truyền hình cụ thể

Một số nội dung VOD được chuẩn bị sẵn và được lưu trữ ở dạng mã hóa để xem trực tiếp tại một thời điểm sau đó Video được mã hóa bằng các thuật toán tương thích được tải về các set top box

Một mã hóa tiêu chuẩn cho VOD được tạo ra cho tất cả các set top box Điều quan trọng hơn là thay đổi thường xuyên để tránh truy cập trái phép vào nội dung Một vài DRM sẽ thay đổi khóa sau vài giờ Phần lớn sản phẩm DRM cho phép cá nhân hóa việc thay đổi thời gian đổi khóa [7]

Ngày đăng: 27/04/2017, 14:11

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] Vũ Văn Thỏa (2011), Nghiên cứu xây dựng qui trình đo chất lượng kỹ thuật IPTV và triển khai đo thử nghiệm tại viễn thông tỉnh/thành phố, Báo cáo nhiệm vụ 004-2011-TĐ-VT.Tiếng Anh Khác
[2] Agilent (2005), Ensure IPTV Quality of Experience, WP Khác
[3] ETSI TS 181 014 V2.0.0 (2007-11), Requirements for network transport capabilities for support IPTV services Khác
[4] ETSI TR 187 013 V3.1.1 (2011-02), Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN); Feasibility study on IPTV Security Architecture Khác
[5] Gilbert Held (2007), Understanding IPTV, Auerbach Khác
[6] Myrio (2003), The Value of Middleware Taking IPTV from Headend to Home, Tehnical Paper Khác
[7] C. Naenakl (2011), Copyright Protection of IPTV Content Khác
[8] Gerard O’Driscoll (2008), Next Generation IPTV Services and Technologies Khác
[9] David Ramiez (2008), IPTV Security: Protecting High-Value Digital Contents Khác

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w