Hệ thống home-end cho thấy một số khó khăn trong việc quản lý các vấn đề bảo mật trong mạng IPTV. Các thành phần ngoài tầm kiểm soát của nhà cung cấp dịch vụ IPTV và các phần cứng đối diện trước nguy cơ bị chỉnh sửa bởi kẻ tấn công. Các phương pháp đã được triển khai tại các thiết bị home-end với mục đích làm chậm các cuộc tấn công và khóa các cuộc tấn công tầm thường ở mức độ đơn giản. Các cơ chế bảo mật mạnh hơn được sử dụng trong hệ thống mạng truyền dẫn.
Cũng cần lưu ý là STB có truy cập ảo đến các hệ thống lưu trữ nội dung tại trung tâm dịch vụ IPTV thông qua các yêu cầu hợp lệ. Nếu kẻ tấn công lấy được quyền điều khiển STB thông qua mạng Internet, họ có thể lấy được các nội dung từ STB.
6.4.1. Residential Gateway
Residential gateway – Gateway khu vực truy cập thuê bao – tập trung các dịch vụ khác nhau được cung cấp đến thuê bao vào trên một đường truyền dẫn duy nhất. Residential gateway có một số các cơ chế bảo mật cơ bản bao gồm các chức năng lọc cũng như khả năng thực hiện QoS. Residential gateway chia sẻ các kết nối cục bộ bao gồm VoIP phones, high-speed Internet access và IPTV services.
6.4.1.1. Filtering
Residential gateway có thể được cấu hình để lọc các gói tin và chỉ cho phép các yêu cầu hợp lệ từ các thiết bị Home-end tới Head-end. Đặc biệt, các filter có thể khóa bất kỳ một giải thông truyền dẫn nội dung nào không phù hợp với loại dải thông truyền hợp lệ (ví dụ 80, 443 và RSTP). Chức năng này giảm thiểu nguy cơ sâu máy tính worms hoặc viruses gây lây nhiễm cho một diện số lượng lớn các STB để thực hiện tấn công DOS đối với head-end.
Các bộ lọc cũng có thể sử dụng để khóa các cố gắng truy cập trái phép từ head-end tới STB hay các thiết bị khác tại Home-end. Chức năng này loại bỏ khả năng bị tấn công thông qua các công cụ Port scan.
6.4.1.2. QoS
Quản lý chất lượng dịch vụ QoS có thể được thực hiện trên residential gateway để hỗ trợ tăng cường cho vấn đề bảo mật. Các dòng truyền nội dung yêu cầu một mức giới hạn các dải thông để truyền dẫn. Nếu một STB bị nhiễm bởi sâu hay virus và cố gắng gửi đi một số lượng lớn các dữ liệu qua cổng hợp lệ (80, 443, RSTP), khi đó QoS sẽ hạn chế dải thông và sẽ hạn chế mức độ của cách tấn công này.
Quá trình thực hiện QoS có thể thực hiện lại nhiều lần tại nhiều điểm giữa Home-end và head-end, đặc biệt tại DSLAM và firewall.
6.4.2. Set top box
STB thông thường là các phần cứng tích hợp trên một IC. Có một số giới hạn đối với các STB dựa trên nền tảng PC. STB cũng có các nguy cơ về bảo mật như việc truy cập trái phép nội dung số hoặc sự đánh cắp các khóa mã khóa bảo mật. Kẻ tấn công có thể tháo rời các thành phần phần cứng để tìm ra các điểm yếu trong hệ thống STB, và trong một số trường hợp có thể chế tạo hoặc lập trình lại các chương trình bên trong STB để tạo ra các kẽ hở. Các PC cho phép truy cập dễ dàng hơn đến các khóa và nội dung, khi kẻ tấn công có quyền điều khiển toàn bộ hệ thống và chỉ cần thực hiện các thao tác đơn giản trên STB là có thể lấy được các khóa được lưu trữ trong bộ nhớ hoặc các nội dung ghi nhớ đệm trong quá trình giải mã.
STB được thiết kế để chứa đựng các hệ điều hành và các chương trình sử dụng các thành phần phần cứng. Một trong những thành phần chính trong STB là bộ nhớ Flash. Flash memory là loại bộ nhớ có thể dễ dàng bị bị xóa điện và tái lập trình. Các thành phần này có thể được sử dụng để lưu các mã chương trình và khóa. Các thông tin có thể được lưu lại ngay cả khi STB ngắt kết nối khỏi nguồn điện.
Trong quá trình thiết kế mạng IPTV, các chuyên gia bảo mật cần đảm bảo chọn được các STB có cấu trúc có thể chấp nhận được và có các chức năng bảo mật nhất định, đảm bảo bảo vệ hệ thống khỏi các tấn công. Khi so sánh các model sản phẩm khác nhau, các chuyên gia bảo mật cần xác định các nguy cơ trong mỗi STB và xác định chất lượng của các model này trong việc bảo vệ khỏi các cuộc tấn công.
Các hệ điều hành trong các STB cần được làm kiên cố hóa chặt chẽ theo các khuyến cáo của nhà sản xuất. Các cổng truyền dẫn không cần thiết phải được vô hiệu hóa để tránh khả năng bị truy cập trái phép.
6.4.2.1. Bộ xử lý bảo mật
Một số hãng sản xuất STB có thể tạo ra các cơ chế bảo mật trong Chipset để bảo vệ các chương trình bên trong. Chức năng này cho phép bảo mật các thông tin được lưu trữ. Kẻ tấn công không thể thực hiện thu bắt các thông tin được lưu trữ trong các vùng nhớ.
Trong một số loại sản phẩm, sự khóa các bộ nhớ flash có thể bảo vệ khỏi các tấn công xóa hoặc cấy các chương trình độc hại. Việc khóa này luôn đảm bảo STB chạy các ứng dụng theo đúng chức năng ban đầu.
Các cơ chế khác có thể sử dụng bao gồm các cơ chế chứng thực giữa flash và CPU. Mỗi thành phần có thể được kiểm tra hợp lệ và cung cấp các thông tin chứng thực. Quá trình chứng thực này đảm bảo các hoạt động sai thông qua sự thao túng của kẻ tấn công bị kiểm tra ngăn chặn.
Cũng có các cơ chế chống đọc đảm bảo không thể đọc được các bộ nhớ, hay xao chép các dữ liệu, do đó đảm bảo an toàn về bản quyền nội dung cũng như các chương trình lập trình.
Nói chung các thành phần trong hệ thống được thực hiện dưới dạng nhúng vào trong các chip vi xử lý. Các thành phần xử lý bảo mật nhúng trong chíp bao gồm:
• Processors – bộ xử lý;
• Tamper detection system – hệ thống phát hiện sự thâm nhập; • Key storage section – thành phần lưu trữ khóa;
• Boot protection information – các thông tin khởi động; • Access controls – điều khiển truy cập;
• Cryptographic engines – hệ thống xử lý mã khóa; • secure channel – kênh bảo mật.
Hệ thống phát hiện sự xâm nhập là cơ chế phát triển thêm cho phép phát hiện các quá trình thay đổi thao túng trên phần cứng. Nếu bộ xử lý bị tháo rời khỏi bản mạch hoặc kẻ tấn công cố gắng truy cập vào các thành phần vật lý, các thành phần sẽ bị lỗi và sự hoạt động của STB sẽ bị dừng.
Kênh bảo mật được sử dụng để trao đổi thông tin với các bộ xử lý. Các nội dung được mã khóa được gửi đến các thành phần, các đường ra từ vi xử lý cũng được bảo vệ theo cách tương tự.
khóa công khai của STB, các gói tin này sẽ nhận được bởi STB theo dạng đã được mã khóa và sẽ gửi đến bộ xử lý bảo mật để giải mã và lưu lại cho sử dụng về sau. Các hệ thống thực hiện mã khóa được sử dụng để tăng cường khả năng xử lý mã khóa và đảm bảo môi trường công việc an toàn cho các thông tin bảo mật. các nội dung mã khóa được gửi tới bộ xử lý bảo mật thông qua kênh bảo mật và được giải mã khóa thông qua các khóa đối xứng. Các khóa không bao giờ rới khỏi bộ xử lý dưới dạng thô không mã hóa – clearntext, do đó không có khả năng kẻ tấn công có thể lấy được nội dung nguyên thủy.
Mục đích chính của các bộ xử lý là để bảo vệ các thông tin và dữ liệu quan trọng. Các dữ liệu mã khóa nhận được, giải mã và thực hiện bởi bộ xử lý an toàn. Các bộ nhớ cũng được mã hóa cũng như các dữ liệu được điều khiển bởi các bộ xử lý. Do đó không có cơ hội để kẻ tấn công có thể lấy được các nội dung nguyên gốc. Tất cả các thành phần trong hệ thống đã được mã khóa.
6.4.2.2. DRM
DRM Client được thực hiện bởi quá trình trao đổi khóa và kiểm tra. Trong môi trường máy tính, DRM client có các tùy chọn hạn chế để quản lý và bảo vệ khóa, như trong phần lớn trường hợp hợp sẽ được lưu trong các bộ nhớ hệ thống. (adsbygoogle = window.adsbygoogle || []).push({});
DRM client cũng tham dự vào quá trình kiểm tra trao đổi khóa PKI, bao gồm quá trình đưa ra chứng thực số của STB, các thông tin kiểm tra mã khóa (thông qua bộ xử lý bảo mật) và quá trình kiểm tra các thông tin về tính hợp lệ từ DRM server và Middleware server.
Các DRM client và Web browser phải được cấu hình đúng đắn để kiểm tra các thông tin PKI. Danh mục các chứng thực số hết hạn – CRL - và không còn hợp lệ cần được download về và kiểm tra thường xuyên bởi hệ thống.
CRL phải được ký bởi CA hợp lệ, nhưng các chứng thực gốc CA cần được lưu trong một hệ thống bảo mật an toàn trong STB và bảo vệ khỏi sự thay đổi các thông tin này. Kẻ tấn công có thể giả mạo các chứng thực CA để giả mạo STB để có được các chứng thực hợp lệ từ Middleware server hay Middleware.
Trong tình huống tương tự, các chứng thực số từ STB và các khóa bí mật cần được lưu trữ trong các khu vực an toàn trong STB để tránh sự can thiệp trái phép.
6.4.2.3. Bảo vệ đầu ra
Các kẻ tấn công có thể cố gắng lấy được quyền điều khiển STB để lấy ra các thông tin cũng như các nội dung. Các đường ra của STB có thể bị can thiệp để tái phân phối trái phép các nội dung số. Các đầu ra cần được bảo vệ theo các tiêu chuẩn quốc tế sau:
• High-bandwidth digital content protection (DHCP): High-bandwidth digital content protection (HDCP) được sử dụng để bảo vệ các nội dung số khỏi quá trình xao chép xử lý và tái phân phối nội dung. Tiêu chuẩn này áp dụng cho các đầu ra số từ DVI và HDMI. DHCP cung cấp các cơ chế chứng thực để khóa các đường ra phân giải cao đến các thiết bị không được chứng nhận. DHCP làm việc bằng cách cung cấp một tập 40 khóa cho mỗi thiết bị. Các khóa chiều dài 56 bits. Một vector phụ trợ Key selection vector (KSV) được gán cho mỗi thiết bị và được sử dụng bởi các bộ thu và STB để trao đổi các thông tin về tính hợp lệ và chọn ra các khóa mã khóa DHCP.
• Digital transmission content protection: Transmission content protection (DTCP) được sử dụng để cho phép kết nối các thành phần trong hệ thống Home-end. Phương thức kết nối này cho phép set top boxes, personal computers, media consoles và các thiết bị khác sử dụng USB, PCI, Bluetooth, Firewire và IP. Đường ra STB sẽ bị hạn chế bởi các thành phần được chứng nhận DTCP. Phương thức này giảm thiểu các nguy cơ trộm cắp các nội dung số.
6.5. Tổng hợp
Xem xét tất cả các thành phần cần thiết cho hoạt động của hệ thống dịch vụ IPTV có thể thấy rất nhiều các điểm yếu cũng như nguy cơ bảo mật trong quá trình triển khai
Hầu hết các ứng dụng được sử dụng trong hệ thống IPTV sẽ chạy trên các hệ điều hành đã phổ thông trên thị trường hiện nay. Các hệ điều hành và các ứng dụng có thể mang đến một số lượng lớn các điểm yếu bảo mật, và thông thường các điểm yếu này không thường xuyên được vá lỗi bởi các nhà cung cấp mà cần đến sự thực hiện của đội ngũ làm việc vận hành để đảm bảo bảo vệ hệ thống dịch vụ này. Tất cả các thành phần phải chạy và được thử nghiệm qua các quá trình trước khi thực hiện vào hệ thống cung cấp dịch vụ.
Với khả năng và sự khéo léo trong xử lý của các kẻ tấn công và các điểm yếu liên quan đến các công nghệ mới ra đời, bảo mật trong hệ thống IPTV sẽ thay đổi và sự phát triển nhanh chóng của các hệ thống mới trong khi các công nghệ bảo mật không được cập nhập kịp thời làm tăng khả năng của các kẻ tấn công trong việc xâm nhập các hệ thống. Việc thực hiện một hệ thống chặt chẽ dựa trên các kinh nghiệm về bảo mật sẽ làm giảm các nguy cơ bị tấn công và cho phép hệ thống dịch vụ IPTV được triển khai như là một dịch vụ mới và linh động đến người dùng.
Hệ thống IPTV phải được bảo vệ sử dụng cách tiếp cận đầu cuối đến đầu cuối. Hacker sẽ cố gắng tấn công vào hạ tầng mạng để có được truy cập đến các nội dung và các thông tin từ thuê bao dựa trên khai thác các điểm yếu bảo mật.
Các thành phần trong hệ thống Head-end có một số các điểm yếu kế thừa từ các hệ điều hành sử dụng cho các ứng dụng mạng IPTV và trong các thiết bị truyền dẫn. Dải thông trong hệ thống head-end phải bị hạn chế cho các VLAN cụ thể, và tất cả các thành phần phải được cập nhập với các bản vá lỗi mới nhất một cách thường xuyên. Hệ thống IPTV cho phép các người dùng có mức độ kết nối lớp cao với các ứng dụng trong mạng IPTV. Một số trong các ứng dụng sử dụng các giao thức HTTP và TFTP. Đã có các điểm yếu đã được công bố trong các giao thức này, kẻ tấn công có thể khai thác các điểm yếu đó để lấy được quyền điều khiển cho Server cũng như các chương trình ứng dụng cụ thể.
Hệ thống home-end cũng có nguy cơ bị tấn công flood các gói tin hàng loạt đến các máy tính trong mạng hoặc các STB. STB đã được cải tiến để bao gồm các ổ cứng và
hệ điều hành nhằm tăng tính tương tác cho dịch vụ, tuy nhiên chính sự phát triển này làm tăng các mối nguy cơ bị tấn công bởi hacker.
Từ góc độ nhà cung cấp dịch vụ, STB phải được coi là thành phần kém bảo mật trong hệ thống mạng dịch vụ. Đã có các trường hợp các người dùng thay đổi cấu hình của modem và trộm cắp dịch vụ.
Các điều khiển cũng cần được triển khai để phát hiện các truy cập, và các thủ tục cần được thực hiện khi có xung đột xảy ra để ngăn chặn các đối tượng tấn công.
Tất cả các kết nối cần được theo dõi để đảm bảo các thuê bao không tái phân phối các nội dung mà họ nhận được. Trong phần lớn trường hợp các dòng truỳen sẽ được gửi cùng trên một đường truyền, như vậy tạo ra khả năng phát hiện xâm nhập.
Các thuê bao sẽ cần được cảnh báo cũng như hướng dẫn để hiểu được các nguy cơ từ vấn đề bảo mật xảy ra với STB. Các thuê bao có thể có khả năng nhận biết sự tấn công cơ bản. Các thuê bao cũng cần phải hiểu được trách nhiệm của họ trong việc quản lý thông tin thuê bao, mã số PIM, và chịu trách nhiệm về việc các nội dung được ghi và lấy ra khỏi STB.
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN