IPTV
Thành phần trung tâm của hệ thống IPTV là hệ thống Head-End. Thành phần này bao gồm một số các thành phần cho phép thu nhận nội dung, chuyển đổi định dạng, quy cách và tái phân phối đến các thuê bao tùy theo mô hình kinh doanh và theo các gói thuê bao cung cấp. Head-end có thể được triền khai thành các Head-end trung tâm và các Head-end khu vực vùng miền. Head-end khu vực vùng miền cung cấp nội dung cho các thuê bao trực thuộc khu vực đó nhằm đảm bảo độ trễ thấp.
Hệ thống head-end nhận một tập các dòng truyền nội dung – data feeds với các định dạng khác nhau bao gồm: các dòng video trực tiếp từ các trường quay, các nội dung chính từ các công ty khác, tái truyền dẫn các nội dung, các nguyền Video từ vệ tinh và các dòng video đã có sẵn trong hệ thống. Do các nội dung được nhận về có các định dạng khác nhau, định dạng Analog không thể truyền dẫn được qua mạng IP. Nội dung có thể nhận được nhờ các phương tiện lưu trữ khác như DVD, CD, Tape hoặc các dòng trực tiếp như từ vệ tinh và truyền hình mặt đất. Các nội dung cần mã hóa sang số và đóng gói theo giao thức TCP/IP. Một số thành phần khác cũng liên quan như DRM và hệ thống quản lý nội dung cũng bao gồm trong hệ thống. Tất cả các quá trình truyền dẫn thông tin với thuê bao được phối hợp bởi Middleware server nhận các yêu cầu kết nối từ STB.
Hình 2.4. Hệ thống IPTV Head-end [6]
Các server trong hệ thống head-end được bảo vệ bởi 6 lớp bảo mật được thực hiện bởi các cơ chế bảo mật độc lập. Các lớp bảo mật này thường gồm một số công nghệ khác nhau và được quản trị bởi các nhóm cũng như giảm thiểu các nguy cơ cấu kết thông đồng và giả mạo. Hình 2.5 sau mô tả các lớp bảo mật trong hệ thống Head- end.
Hình 2.5. Các lớp bảo mật tại Head-end
- Lớp ngoài cùng được thực hiện bởi các thành phần network firewalls và network IDS/IPS. Lớp này cung cấp hệ thống quản lý truy cập giữa các chức năng chính cũng như đảm bảo bảo vệ khỏi các tấn công đã được biết đến như worms và viruses.
- Lớp thứ 2 bao gồm mạng VLAN được tạo ra tại các chuyển mạch. VLAN được cấu hình cho phép chỉ các máy hợp lệ được gia nhập vào mạng. Máy chủ sẽ có một card mạng kết nối đến VLAN quản trị và một số các Card mạng khác cho các VLAN khác tùy theo cấu hình truyền dẫn cần có. Truy cập đến VLAN được điều khiển bởi địa chỉ MAC của card mạng hoặc địa chỉ IP của một máy.
- Lớp thứ 3 được thực hiện bởi danh mục quản lý truy cập ACL tại các Switcher. Trong phần lớn trường hợp, các đườn truyến dẫn sẽ được khởi tạo bởi một đầu và được chấp nhận kết nối bởi đích đến. Các dải thông này sẽ được truyền đi theo hướng đã được chấp nhận thông qua trước đó với các cổng và dịch vụ cụ thể. Trình
quản trị console có tính linh hoạt cao trong truy cập đến Server, nhưng phải được chứng thực bởi firewall.
- Lớp thứ 4 được thực hiện bởi hệ thống đóng gói và các giao thức bảo mật. Lớp này bản chất là các đường truyền dẫn ngầm được thiết lập giữa các máy bằng giao thức kênh truyền SSL, TLS, SSH, SNMPv3 hoặc các giao thức kênh truyền khác, các kênh truyền bảo mật này bảo vệ các phiên truyền dẫn khỏi sự can thiệp và chỉnh sửa cũng như giảm thiểu nguy cơ tấn công MITM (man-in-the-middle attack).
- Lớp thứ 5 được thực hiện bởi các cơ chế bảo mật cụ thể được triển khai bởi các nhà cung cấp phần mềm người tạo ra các ứng dụng đặc biệt cho các chức năng này. Trong phần lớn trường hợp, các ứng dụng sẽ yêu cầu các thông tin chứng minh sự hợp lệ trước khi cho phép truy cập với vai trò là người dùng hay quản trị viên và gán các profile khác nhau cho từng đối tượng truy cập.
- Lớp thứ 6 là lớp làm kiên cố hóa hệ thống platform, bao gồm các quá trình thực hiện vá lỗi hệ thống và các hình cho hệ điều hành, trong một số trường hợp bao gồm các khuyến cáo từ SCAP như đã được trình bày ở phần trước.
Với cách tiếp cận theo lớp này, rất khó để lấy cắp quyền truy cập của một thành phần trong hệ thống Head-end. Tuy nhiên việc phân chia này lại không áp dụng cho VOD server và Middleware server. Các phần này sẽ được đề cập chi tiết sau trong chương này.