4.2.1.1. Truy nhập trỏi phộp
Truy nhập trỏi phộp là một trong những dạng thức vi phạm thường gặp nhất trong lĩnh vực truyền hỡnh thu phớ. Tỡnh trạng này diễn ra dựa trờn cở sở lợi dụng tớnh thuận tiện của cơ chế truy nhập làm gia tăng truy nhập bất hợp phỏp mà khụng trả phớ hoặc làm xuất hiện hiện tượng gia tăng truy nhập một cỏch giả tạo. Trong quỏ khứ cỏc phương thức khỏc như truyền hỡnh cỏp hoặc truyền hỡnh vệ tinh đều đó gặp phải vẫn đề này và với mỗi phương thức thỡ đều phải cú giải phỏp chống lại cỏc truy nhập trỏi phộp này.
IPTV cung cấp dịch vụ trờn nền IP với thực trạng mức độ nguy hại ngày càng gia tăng làm cho vấn đề tỡm ra một giải phỏp hữu hiệu vẫn cũn là vấn đề thời sự cho hệ thống IPTV. Trong khi kiến trỳc đạt tới mức độ hoàn thiện thỡ cỏc điểm yếu của hệ thống IPTV càng được phỏt hiện nhiều hơn. Vấn đề quan trọng là phải đảm bảo sao cho cú được một hạ tầng với cơ chế an ninh tương xứng. Điều này làm tăng độ an toàn cho hệ thống cũng như hạn chế cỏc yếu điểm.
Hệ thống IPTV khụng chỉ truyền tải tới bộ giải mó Set-Top Box (STB) mà cũn truyền tải tới cỏc mỏy tớnh cũng như cỏ thiết bị cầm tay khỏc. Đặc điểm này là điều kiện thuận lợi cho việc tấn cụng vào hệ thống bảo vệ nội dung. Cú thể chỉ với một phần mềm phỏ khúa đơn giản cũng cú thể giỳp truy cập cũng như cỏc tỏc vụ như sao lưu tỏi phõn phối nội dung của hệ thống. Thực tế, trong hệ thống IPTV người dựng cuối được cung cấp dịch vụ với nội dung được mó húa, giải thuật dựng để mó húa và khúa mó.
Truy nhập trỏi phộp sẽ giảm đỏng kể nhờ việc thực hiện một cỏch đầy đủ cỏc biện phỏp kỹ thuật khỏc nhau nhằm ngăn chặn những truy nhập trỏi phộp. Cỏc kỹ thuật này cú thể được liệt kờ sau đõy :
- Bộ giải mó Set-Top Box (STB) cú một bản quản lý bản quyền số DRM (Digital Rights Management) dành cho khỏch hàng và bản này phải tương ứng với phần mềm ứng dụng quản lý bản quyền số DRM (Digital Rights Management) để cú được khúa mó đỳng mới truy xuất được nội dung.
- Việc giao tiếp với hệ thống mỏy chủ Middleware được bảo vệ bởi giao thức SSL (Secure Socket Layer) để cấp quyền hợp phỏp cho cỏc bộ giải mó Set-Top Box (STB) nhằm đảm bảo chỉ những hệ thống hợp phỏp mới cú thể truy xuất nội dung.
- Bộ ghộp kờnh truy cập đường dõy thuờ bao số DSLAM (Digital Subcriber Line Access Multiplexer) cú khả năng xỏc nhận tớnh hợp lệ của cỏc thuờ bao khi kết nối với hệ thống mạng cũng như giao tiếp với hệ thống mỏy chủ Middleware. Hệ thống đường vật lý kết nối đến thuờ bao được ỏnh xạ địa chỉ MAC và IP chỉ xỏc nhận những truy cập hợp phỏp. Bộ ghộp kờnh truy cập đường dõy thuờ bao số DSLAM (Digital Subcriber Line Access Multiplexer) sẽ ngăn chặn cỏc kết nối giữa cỏc hệ thống ngang hàng là hệ thống cú nguy cơ bị xõm nhập trỏi phộp. 4.2.1.2. Quảng bỏ bất hợp phỏp
Hệ thống IPTV cung cấp nội dung với dạng thức số, đơn giản là sự cấp phỏt một cỏch quảng bỏ cỏc bản sao tới cỏc cỏ nhõn riờng lẻ. Do tớnh chất như vậy nờn nguy cơ bị xõm nhập rồi lại bị phõn phối lại là hoàn toàn cú thể xảy ra. Cú nhiều kỹ thuật đó được triển khai để phũng ngừa nguy cơ này.
4.2.1.3. Ngắt truy cập
Trong hệ thống IPTV, những xõm nhập trỏi phộp cú thể sẽ dẫn đến việc dịch vụ cấp tới cỏc thuờ bao hợp phỏp bị ngưng hoặc giỏn đoạn. Cỏc yếu điểm của hệ thống IPTV dẫn đến nguy cơ ngắt truy cập cú thể được liệt kờ như sau:
- Hệ thống mỏy chủ Middleware dự được bảo vệ vẫn cú nguy cơ bị xõm nhập và kẻ xõm nhập hoàn toàn cú khả năng tắt toàn bộ hệ thống này. - Từ chối dịch vụ cũng là một trong những nguy cơ phổ biến trong hệ
thống mỏy chủ Middleware. Nếu khụng cú được cơ chế an ninh đỳng đắn kẻ xõm nhập cú thể gửi hàng loạt những yờu cầu truy nhập bất hợp phỏp và ngăn cỏc truy nhập hợp phỏp.
- Cỏc bộ ghộp kờnh truy cập đường dõy thuờ bao số DSLAM (Digital Subcriber Line Access Multiplexer) cú xu thế sử dụng cựng một hệ
điều hành. Nếu cú thể xõm nhập vào cỏc hệ thống này thỡ một số lượng lớn cỏc thuờ bao cú thể bị ngắt dịch vụ.
- Cỏc bộ giải mó Set-Top Box (STB) cũng cú xu thế sử dụng cỏc hệ điều hành cú sẵn và việc xõm nhập của virus là hoàn toàn cú thể. Và một khi đó xõm nhập thỡ chỳng cú thể tắt cỏc bộ giải mó Set-Top Box (STB) này ngay lập tức thậm chớ là tắt vĩnh viễn.
- Ngoài ra, cỏc thành phần khỏc như cỏc Gateway địa phương (Residential gateway), cỏc thành phần mạng lừi, cỏc trụ sở chớnh/địa phương (Head End/Regional Head End), phần quản lý bản quyền số DRM (Digital Rights Management) đều cú nguy cơ bị xõm nhập và từ đõy dẫn đến việc ngưng ngắt dịch vụ
Tổng kết lại thỡ toàn bộ kiến trỳc hệ thống IPTV phải được thiết kế trờn quan điểm hướng đến một hệ thống cú tớnh an toàn cao.
4.2.1.4. Gõy sai hỏng nội dung
Hệ thống IPTV dựa trờn nền tảng Internet với giao thức IP do đú những kẻ xõm nhập cú thể lợi dụng sự thuận tiện vốn cú của hệ thống để xõm nhập. Nếu xõm nhập thành cụng chỳng cú thể sửa đổi nội dung trước khi nội dung này được mó húa bởi hệ thống quản lý bản quyền số DRM (Digital Rights Management). Việc này dẫn đến những nội dung khụng phự hợp hoặc bất hợp phỏp bị phỏt tỏn.
Việc truyền tải tới khỏch hàng trong hệ thống IPTV qua nhiều chặng và cú thể kể ra 3 chặng chớnh như sau:
- Chặng đầu tiờn phải kể đến và phần kết nối giữa bờn cung cấp nội dung và nhà cung cấp dịch vụ. Trờn thực tế nguồn cung cấp cú thể là từ vệ tinh, từ Internet, từ nguồn cỏc thiết bị lưu trữ từ. Nguy cơ xõm nhập cỏc nguồn này cả trong trường hợp cú mó húa là hoàn toàn cú thể dẫn đến nội dung cú thể sẽ bị sửa đổi.
- Phần nội dung chương trỡnh được lưu trữ tại trung tõm dữ liệu của nhà cung cấp dịch vụ và đõy cũng là cơ hội cho kẻ xõm nhập thậm chớ là những người làm cụng bất món xõm nhập và chỉnh sửa nội dung.
- Chặng sau cựng là chặng giữa trụ sở địa phương (Regional Head End) tới bộ giải mó Set-Top Box (STB). Nếu khụng cú cơ chế an ninh phự hợp kẻ xõm nhập cú thể xõm nhập dẫn đến làm nghẽn mạng dẫn đến thuờ bao hoặc giả cung cấp đến thuờ bao những nội dung giả mạo. 4.2.2. Cỏc biện phỏp an ninh trong hệ thống IPTV
Như đó đề cập ở phần trờn do đặc thự hệ thống IPTV tồn tại rất nhiều yếu điểm mà từ đú khả năng hệ thống bị xõm hại là rất cao. Do tồn tại nhiều yếu điểm như vậy cựng với việc cỏc kỹ thuật xõm nhập ngày càng tinh vi thỡ vấn đề an ninh trong hệ thống IPTV phải đối mặt với thực tế là phải đứng vững và phỏt triển nhanh chúng cỏc kỹ thuật sao cho cú thể bắt kịp và khống chế được cỏc nguy cơ đe dọa từ bờn ngoài.
Hệ thống IPTV phải được bảo vệ theo phương thức xuyờn suốt toàn bộ hệ thống. Việc xõm nhập cú thể xảy ra ở bất kỳ điểm yếu nào trong toàn bộ hệ thống.
Trụ sở chớnh (Head End) cú những yếu điểm cố hữu do cỏc hệ điều hành cơ sở được dựng trong một loạt cỏc thiết bị cũng như cỏc phần mềm ứng dụng. Yờu cầu đặt ra là hệ thống IPTV phải được đảm bảo tỏch biệt như cỏc mạng cục bộ ảo (VLANs) và luụn được cập nhật cỏc biện phỏp an ninh mới nhất.
Về phớa cỏc thuờ bao, phải cú trỏch nhiệm cảnh bỏo cũng như nõng cao nhận thức để cỏc khỏch hàng này hiểu và thực hiện tốt cỏc yờu cầu về an ninh đối với cỏc thiết bị phớa khỏch hàng cũng như cỏc biện phỏp phũng ngừa xõm nhập.
Yờu cầu đối với cỏc nhà cung cấp dịch vụ là phải luụn chủ động trong việc phỏt hiện ra cỏc điểm yếu của hệ thống từ đú nhận thức ra cỏc nguy cơ cú thể cú để cú được sự bổ sung kịp thời cỏc biện phỏp an ninh cho hệ thống.
Trong khuụn khổ luận văn khụng thể đi hết chi tiết hàng loạt những biện phỏp an ninh trong hệ thống IPTV, chỉ xin được liệt kờ ra đõy cỏc biện phỏp an ninh cơ bản cũng như cỏc phần từ trong toàn bộ hệ thống cần quan tõm khi thực thi cỏc biện phỏp này:
4.2.2.1. Cỏc biện phỏp an ninh cơ bản
- Tăng cường thế mạnh cho hệ thống cỏc hệ điều hành sử dụng trong toàn bộ hệ thống IPTV.
- Đảm bảo dịch vụ được cung cấp một cỏch liờn tục khụng bị giỏn đoạn. - Bảo vệ và ngăn ngừa xõm nhập.
- Sử dụng cỏc hệ thống tường lửa cho cỏc hệ thống mạng.
- Hệ thống quản lý bản quyền số DRM (Digital Rights Management) và hệ thống truy nhập cú điều kiện CAS (Conditional Access Systems) phải đảm bảo hoạt động tốt.
4.2.2.2. Trụ sở chớnh (Nhà cung cấp dịch vụ)
Cỏc phần tử được coi là then chốt của trụ sở chớnh (xỏc định cỏc yếu tố này để cú cỏc biện phỏp an ninh thớch hợp cho cỏc phần tử này):
- Hệ thống thu vệ tinh. - Hệ thống lưu trữ Video. - Hệ thống quản lý nội dung.
- Hệ thống mỏy chủ Game và Video chớnh. - Gateway nhập liệu (nhập dữ liệu Video). - Hệ thống mỏy chủ đệm cho Streaming Video. - Middleware.
- Cỏc hệ thụng liờn quan đến thương mại.
4.2.2.3. Hệ thống mạng truyền tải và mạng tập kết: cần quan tõm tới cỏc thành phần quan trọng sau:
- Bộ ghộp kờnh truy cập đường dõy thuờ bao số DSLAM (Digital Subcriber Line Access Multiplexer).
- Hệ thống tường lửa.
4.2.2.4. Thuờ bao đầu cuối: cỏc phần tử cần quan tõm là: - Gateway địa phương.
Khi cung cấp cỏc dịch vụ viến thụng cỳng như cỏc dịch vụ Interner, một vấn đề mà bất cứ nhà cung cấp dịch vụ nào cũng quan tõm và luụn được đặt lờn hàng đầu, đú là bảo mật và đảm bảo chất lượng dịch vụ. Khi triển khai IPTV cỏc nhà cung cấp cũng phải đối mặt với những vần đề này. Kết hợp những cụng nghệ và biện phỏp kỹ thuật đó triển khai cho những dịch vụ truyền thống cựng với việc đưa ra những giải phỏp mới giỳp cho cỏc nhà cung cấp dịch vụ cú thể cung cấp một dịch vụ truyền hỡnh an toàn và đảm bảo chất lượng.
CHƯƠNG 5. TRIỂN KHAI HỆ THỐNG IPTV
5.1. Mụ hỡnh tổng quan
Hỡnh 5.1. Mụ hỡnh tổng quan IPTV Cơ bản gồm 3 khối chớnh:
Content Provider:
- Cung cấp cỏc chương trỡnh truyền hỡnh cho cỏc nhà khai thỏc IPTV. - Cỏc nhà cung cấp chương trỡnh phim truyện như HBO, StarMovie… - Cỏc chương trỡnh truyền hỡnh trực tiếp như: ESPN, UBC, StarSport…
Head-End: (bao gồm cỏc thiết bị server, MGW, và hệ thống lưu trữ…)
- Tập hợp hoặc tạo ra cỏc tớn hiệu video số trước khi chuyển tới mạng IP - Off-line Encoding: Lựa chọn nguồn nội dung, lựa chọn Codec cho
Audio và Video, lựa chọn cỏc tham số mó húa…
Networks: Truyền tải lưu lượng cỏc luồng dữ liệu bao gồm từ 2-3 loại
mạng khỏc nhau:
- Mạng lừi: thường được tạo bởi cỏc router cú hỗ trợ IGMP. - Mạng truy nhập : ADSL, VDSL, FTTH…
- Mạng client: LAN, Wireless.
Hỡnh 5.2. Mụ hỡnh mạng cơ bản 5.2. Sơ lược hoạt động của hệ thống
Trong hệ thống IPTV cú 2 phương thức truyền tớn hiệu cú thể núi là cơ bản đó dự định trước (scheduled programs). Đú là:
- Phỏt quảng bỏ (broadcasting), truyền phỏt tới mọi nơi. - Phỏt đến địa điểm theo yờu cầu (on demand).
Nguyờn lý hoạt động của hệ thống quảng bỏ, cỏc chương trỡnh được vẽ trờn hỡnh 5.3. Trong đú MBone (mạng xương sống của hệ thống đa điểm) chớnh là đường trục Internet. Tuy nhiờn người sử dụng chỉ theo lệnh của bộ quản lý nội dung (content manager) để được giới thiệu nội dung chương trỡnh hữu quan. Chương trỡnh cụ thể do rất nhiều bộ IPTV server thu thập được hoặc cựng do cỏc server của mạng MBone cung cấp
Hỡnh 5.4 minh họa sự hoạt động của hệ thống IPTV phục vụ theo yờu cầu (VoD) được gọi là IPTV đơn điểm. Trong đú cỏc server của bộ quản lý nội dung được tổ chức thành cụm server (server cluster) tổng hợp kho dữ liệu (database) của cỏc chương trỡnh.
Cỏch bố trớ cụm server để phục vụ được cỏc user được hiệu quả sẽ được núi rừ trờn sơ đồ tổng thể ở dưới đõy. Cỏc bước thực hiện VOD như sau:
Hỡnh 5.4. Mụ hỡnh IPTV VOD.
1. Một thuờ bao được chứng nhận nhập mạng và chịu sự quản lý của bộ chỉ dẫn chương trỡnh EPG (Electronic Program Guide).
2. Thuờ bao muốn yờu cầu một nội dung nào đú. Thuờ bao gửi yờu cầu đến EGP
3. EGP cho biết địa chỉ của server cần tỡm 4. Thuờ bao gửi yờu cầu tới server đú.
Như đó đề cập ở phần Cấu trỳc mạng IPTV, hệ thống IPTV hoàn chỉnh cú 6 yếu tố, cỏc bộ phận của một hệ thống IPTV tương tỏc với nhau để truyền phỏt cỏc chương trỡnh trực tiếp hoặc thu trước, cỏc chương trỡnh theo yờu cầu hoặc kết hợp cả hai loại.
Hỡnh 5.5 cho thấy dũng số liệu giữa cỏc bộ phận trong hệ thống IPTV trong trường hợp phỏt chương trỡnh trực tiếp:
Hỡnh 5.5. Dũng số liệu giữa cỏc bộ phận trong hệ thống IPTV trong khi phỏt trực tiếp
- Tớn hiệu truyền hỡnh trực tiếp được đưa vào Content Creator nơi chỳng được mó hoỏ/chuyển mó thành dạng MPEG và gửi đến Streaming Server.
- Streaming Server chuyển tiếp cỏc dũng tớn hiệu đến mạng IP băng rộng và lưu lại trong ổ cứng.
- Mạng IP băng rộng phỏt cỏc luồng tớn hiệu này đến thiết bị cơ sở của khỏch hàng, cỏc thiết bị này nhận cỏc tớn hiệu và gửi chỳng đến set-top box (STB)
- STB giải mó cỏc tớn hiệu và phỏt lại trờn tivi
Nếu bất cứ khi nào khỏch hàng đỏp ứng lại cỏc điều khiển như PVR của TVoIP, vớ dụ như PAUSE, dũng tương tỏc như sau: (xem hỡnh 5.6)
- Khỏch hàng gửi một yờu cầu qua điều khiển từ xa đến STB
- Set-top box nhận yờu cầu trước và chuyển lại nú đến Media Switch - Media Switch xỏc định streaming server với media được yờu cầu, hướng yờu cầu đến cỏc streaming server đú và điều khiển hoạt động của cỏc thiết bị này.
Streaming server đỏp ứng lại yờu cầu bằng cỏch ngừng cung cấp dũng stream
- Cỏc yờu cầu tiếp theo của khỏch hàng được gửi trực tiếp đến streaming server và được xử lý tại đú cho đến khi một thao tỏc chuyển tiếp đến một điểm truyền hỡnh trực tiếp được thực hiện hoặc khỏch hàng chuyển sang kờnh khỏc.
Hỡnh 5.6. Dũng tương tỏc giữa cỏc bộ phận ở trạng thỏi PAUSE trong quỏ trỡnh truyền hỡnh trực tiếp
Một dũng tương tỏc điển hỡnh của streaming video theo yờu cầu như sau (xem hỡnh 5.7):
- Khỏch hàng lựa chọn xem một nội dung đó được lưu
- Media Switch xỏc định streaming server với nội dung được yờu cầu và gửi yờu cầu đến cỏc Streaming server đú đồng thời phối hợp cỏc thao tỏc
- Streaming server đỏp ứng lại yờu cầu, gọi ra nội dung được lưu và gửi đến mạng băng rộng nơi nội dung được truyền đến khỏch hàng.
- Cỏc yờu cầu tiếp theo của khỏch hàng được gửi trực tiếp đến streaming server và được đỏp ứng tại đú cho đến khi khỏch hàng chuyển sang chương trỡnh khỏc.
Hỡnh 5.7. Dũng tương tỏc giữa cỏc bộ phận khi phỏt chương trỡnh video theo yờu cầu Trờn đõy chỉ là những vớ dụ đơn giản nhất. Hiện nay cỏc nhu cầu nghiệp