2.2.1. Giải pháp bảo vệ nội dung
2.2.1.1 Hệ thống bảo vệ nội dung (CPS)
Hệ thống bảo vệ nội dung được sử dụng để đảm bảo nội dung chỉ được xem bởi thuê bao được ủy quyền. Trong cả VOD và live IPTV, những kẻ xâm nhập có thể dễ dàng tiếp cận với các luồng multicast và unicast. Mục đích của CPS để đảm bảo đối tượng trái phép sẽ không có khả năng giải mã các nội dung hoặc phân phối lại các nội dung trên cơ sở của luồng ban đầu.
Để bảo vệ các phiên multicast của IPTV, đầu cuối sẽ mã hóa bảo mật các nội dung sau khi chúng đã được mã hóa. Có một số thiết lập và các tùy chọn cho việc bảo vệ này. Một khi sử dụng khóa đối xứng ngẫu nhiên, khóa này sẽ được sử dụng cho tất cả các nội dung từ đầu cuối hoặc nội dung cho một kênh cụ thể, hoặc nó có thể được thay đổi trong ngày. Khóa này sẽ được kiểm soát ở mức ứng dụng và sẽ hạn chế sử dụng bởi IGMP để chỉ cho phép một nhóm các máy chủ có thể truy cập để phát sóng thông tin gửi đi.
Với trường hợp unicast VOD thì lại khác, vì đầu cuối sẽ mã hóa tất cả các nội dung với một khóa đối xứng ngẫu nhiên chỉ có sẵn cho các thuê bao trả tiền. Sau đó các khóa sẽ được cung cấp cho các thuê bao sử dụng khóa công khai để mã hóa nội dung. Biện pháp an ninh bổ sung bao gồm thay đổi khóa đối xứng trong quá trình truyền để tăng sự phức tạp của quá trình và làm giảm cơ hội của những kẻ xâm nhập tìm kiếm hoặc đoán khóa.
Trong IPTV, CPS là một trong những cơ chế sử dụng rộng rãi hơn đối với chủ sở hữu nội dung để bảo vệ tài sản số. Nó cũng là sự bảo vệ cơ bản nhất mà họ yêu cầu vì nó đảm bảo một khi nội dung rời đầu cuối sẽ được bảo vệ trong quá trình truyền cho đến khi nó đi đến các thuê bao và thậm chị nó vẫn còn trong một số giới hạn tối thiểu hạn chế sự sao chép và phân phối lại [9].
Hệ thống truy cập có điều kiện được các nhà khai thác sử dụng để kiểm soát quyền truy cập vào nội dung. CAS thực hiện sự dịch tần số đơn giản và nhiễu để mã hóa nội dung. Vì các công ty viễn thông và các hãng phải đỗi mặt với các mối đe dọa khác nhau liên quan đến IPTV, một loạt các công nghệ mới đã được phát triển để bảo vệ dữ liệu.
Chức năng CAS dựa trên cùng một nguyên tắc như CPS: một khi thông tin đã được mã hóa, hệ thống sẽ đảm bảo khóa phiên chỉ được gửi đến những thuê bao có thẩm quyền để nhận được nội dung. Trong một số trường hợp, CAS có thể được triển khai sử dụng danh sách kiểm soát truy cập duy nhất, mà không cần mã hóa nội dung.
Thực hiện xác minh nội bổ để đảm bảo chỉ có các thuê bao hợp lệ có thể yêu cầu tiêu đề VOD, và điều này bao gồm cả việc kiểm tra tình trạng tài khoản [9].
2.2.1.3 Quản lý bản quyền số (DRM)
Chủ sở hữu nội dung nhận ra rằng IPTV cung cấp một kênh tuyệt vời, nhưng cũng là một nguy cơ rất lớn. Sự phát triển của các mạng peer-to-peer cho thấy nội dung số có thể dễ dàng được giao dịch trên Internet với ít sự kiểm soát sở hữu nội dung và không có sự công nhận thích hợp của IP. Phân phối rộng khắp các bản sao bất hợp pháp sẽ làm suy yếu các hoạt động kinh doanh trên phương tiện truyền thông số và sẽ làm giảm doanh thu của các chủ sở hữu nội dung.
Các nhà cung cấp công nghệ thường cài đặt ban đầu các giải pháp thiếu cơ chế DRM, một số sử dụng công nghệ cơ bản hoặc các cơ chế mã hóa yếu. Ngày nay, thay vì điều khiển DRM đường truyền, một số nhà cung cấp vẫn không giải quyết vấn đề ghi âm và phát lại. Thuê bao có thể lưu trữ các bản sao của tài liệu DRM và phát hành lại trên web. Điều này cần thiết phải có nội dung điều khiển DRM mạnh mẽ để giảm thiểu nguy cơ truy cập trái phép vào nội dung.
Hiện tại có hai lựa chọn cơ bản cho phân phối nội dung sử dụng IPTV – video theo yêu cầu (VOD) và phát sóng. Mỗi lựa chọn có yêu cầu bảo mật và DRM riêng của nó:
Đối với VOD: thường được khuyến nghị là nội dung được phân đoạn và được mã hóa bằng một khóa đối xứng. Khóa có thể được thay đổi nhiều lần trong một bộ phim để tăng cường bảo vệ. Mỗi set top box có khóa riêng của người mua, và máy chủ VOD gửi nội dung được mã hóa và khóa đối xứng được mã hóa để các set top box giải mã và phát lại.
Nội dung phát sóng cũng theo một quá trình tương tự. Nội dung được mã hóa tại nguồn với một khóa đối xứng. Các set top box gửi một yêu cầu cần khóa nội dung hiện tại và máy chủ dữ liệu gửi một khóa đối xứng được mã hóa để các set top box truy xuất nội dung.
Những yêu cầu khác của DRM bao gồm các quy định đối với thông tin được DRM bảo vệ phải được mã hóa bảo mật sau khi rời khỏi nguồn. Và chỉ nên được giải mã sau khi nó đã đến địa điểm cần đến. Điều này liên quan đến việc thay đổi kiến trúc an ninh trong đó kho lưu trữ khóa là một phần của quá trình mã hóa.
Cần có ứng dụng DRM để hỗ trợ bộ code cụ thể do nhà cung cấp dịch vụ IPTV lựa chọn để bảo vệ nội dung (ví dụ H.264, MPEG-4 và MPEG-2). Để cung cấp mức độ bảo vệ chấp nhận được về nội dung, hình ảnh video phải được mã hóa để xác minh tính toàn vẹn và thực hiện các tiêu chuẩn mã hóa tiên tiến cho các chức năng mã hóa. Chiều dài khóa nên lớn hơn 128 (lý tưởng, 256 cho AES).
Môi trường DRM có thể có hoặc không được phần cứng hỗ trợ việc giải mã khóa, ví dụ chip trong IP set top box hoặc thẻ thông minh có thể được chèn vào trong set top box. Thẻ thông minh đã được sử dụng rộng rãi bởi các nhà cung cấp truyền hình vệ tinh video. Đã có một số trường hợp mức bảo mật của những nền tảng đã bị phá vỡ.
Để mã hóa nội dung, cần các máy chủ DRM mã hóa thời gian thực. Trong một số trường hợp VOD có thể được mã hóa sau khi đã được nhận và có thể được lưu trữ để sử dụng trong tương lai. Tương tự với nội dung phát sóng, nội dung được mã hóa khi đang được nhận, cũng thường xuyên thay đổi các khóa truy cập để phát sóng các kênh truyền hình.
Cả VOD và các kênh truyền hình phát sóng phải mã hóa. Trong nhiều trường hợp chức năng này sẽ được thực hiện theo thời gian thực. Một số chức năng bổ sung là trao đổi khóa mã hóa với set top box. Hai chức năng này coi là tải trên máy chủ DRM; thành phần này phải được thiết kế để hỗ trợ số lượng theo yêu cầu thích hợp.
Sự phân phối khóa phát sóng IPTV được thực hiện bằng cách gửi các khóa theo cơ sở người dùng. Phương pháp này an toàn hơn, mặc dù khả năng mở rộng của nó hạn chế. Cũng có thể gửi các khóa cùng các nội dung (ECMS) và gửi khóa giải mã ECM cho tất cả các set top box, nơi nó được lưu trữ an toàn. Sau đó, thông tin về quyền người dùng được gửi cũng theo cơ sở one-to-one, và cũng được lưu trữ an toàn và được các thiết bị đầu cuối sử dụng để quyết định nên hay không nên giải mã nội dung.
STB Client
Máy trạm DRM ở set top box có khả năng quản lý tương tác PKI với CA và các yếu tố khác trong chuỗi, cũng như lưu trữ các khóa tin liên kết với các chứng chỉ X.509 v3 giao cho set top box. Chiều dài khóa được xác định theo các quy định về mã hóa, khả năng xử lỹ của set top box và khả năng tương thích với các phần tử khác. Phương pháp mã hóa thông thường với kiểu máy trạm này là khóa 1024 bit.
Mã hóa DRM
Với các luồng phát sóng, DRM phải có khả năng mã hóa thời gian thực nội dung. Mô tả tải trên thiết bị và có thể được phân phối bởi một số máy chủ dành riêng cho các kênh truyền hình cụ thể.
Một số nội dung VOD được chuẩn bị sẵn và được lưu trữ ở dạng mã hóa để xem trực tiếp tại một thời điểm sau đó. Video được mã hóa bằng các thuật toán tương thích được tải về các set top box.
Một mã hóa tiêu chuẩn cho VOD được tạo ra cho tất cả các set top box. Điều quan trọng hơn là thay đổi thường xuyên để tránh truy cập trái phép vào nội dung. Một vài DRM sẽ thay đổi khóa sau vài giờ. Phần lớn sản phẩm DRM cho phép cá nhân hóa việc thay đổi thời gian đổi khóa [7].
2.2.2 Giải pháp bảo mật hệ thống Head-end của nhà cung cấp dịch vụ IPTV IPTV
Thành phần trung tâm của hệ thống IPTV là hệ thống Head-End. Thành phần này bao gồm một số các thành phần cho phép thu nhận nội dung, chuyển đổi định dạng, quy cách và tái phân phối đến các thuê bao tùy theo mô hình kinh doanh và theo các gói thuê bao cung cấp. Head-end có thể được triền khai thành các Head-end trung tâm và các Head-end khu vực vùng miền. Head-end khu vực vùng miền cung cấp nội dung cho các thuê bao trực thuộc khu vực đó nhằm đảm bảo độ trễ thấp.
Hệ thống head-end nhận một tập các dòng truyền nội dung – data feeds với các định dạng khác nhau bao gồm: các dòng video trực tiếp từ các trường quay, các nội dung chính từ các công ty khác, tái truyền dẫn các nội dung, các nguyền Video từ vệ tinh và các dòng video đã có sẵn trong hệ thống. Do các nội dung được nhận về có các định dạng khác nhau, định dạng Analog không thể truyền dẫn được qua mạng IP. Nội dung có thể nhận được nhờ các phương tiện lưu trữ khác như DVD, CD, Tape hoặc các dòng trực tiếp như từ vệ tinh và truyền hình mặt đất. Các nội dung cần mã hóa sang số và đóng gói theo giao thức TCP/IP. Một số thành phần khác cũng liên quan như DRM và hệ thống quản lý nội dung cũng bao gồm trong hệ thống. Tất cả các quá trình truyền dẫn thông tin với thuê bao được phối hợp bởi Middleware server nhận các yêu cầu kết nối từ STB.
Hình 2.4. Hệ thống IPTV Head-end [6]
Các server trong hệ thống head-end được bảo vệ bởi 6 lớp bảo mật được thực hiện bởi các cơ chế bảo mật độc lập. Các lớp bảo mật này thường gồm một số công nghệ khác nhau và được quản trị bởi các nhóm cũng như giảm thiểu các nguy cơ cấu kết thông đồng và giả mạo. Hình 2.5 sau mô tả các lớp bảo mật trong hệ thống Head- end.
Hình 2.5. Các lớp bảo mật tại Head-end
- Lớp ngoài cùng được thực hiện bởi các thành phần network firewalls và network IDS/IPS. Lớp này cung cấp hệ thống quản lý truy cập giữa các chức năng chính cũng như đảm bảo bảo vệ khỏi các tấn công đã được biết đến như worms và viruses.
- Lớp thứ 2 bao gồm mạng VLAN được tạo ra tại các chuyển mạch. VLAN được cấu hình cho phép chỉ các máy hợp lệ được gia nhập vào mạng. Máy chủ sẽ có một card mạng kết nối đến VLAN quản trị và một số các Card mạng khác cho các VLAN khác tùy theo cấu hình truyền dẫn cần có. Truy cập đến VLAN được điều khiển bởi địa chỉ MAC của card mạng hoặc địa chỉ IP của một máy.
- Lớp thứ 3 được thực hiện bởi danh mục quản lý truy cập ACL tại các Switcher. Trong phần lớn trường hợp, các đườn truyến dẫn sẽ được khởi tạo bởi một đầu và được chấp nhận kết nối bởi đích đến. Các dải thông này sẽ được truyền đi theo hướng đã được chấp nhận thông qua trước đó với các cổng và dịch vụ cụ thể. Trình
quản trị console có tính linh hoạt cao trong truy cập đến Server, nhưng phải được chứng thực bởi firewall.
- Lớp thứ 4 được thực hiện bởi hệ thống đóng gói và các giao thức bảo mật. Lớp này bản chất là các đường truyền dẫn ngầm được thiết lập giữa các máy bằng giao thức kênh truyền SSL, TLS, SSH, SNMPv3 hoặc các giao thức kênh truyền khác, các kênh truyền bảo mật này bảo vệ các phiên truyền dẫn khỏi sự can thiệp và chỉnh sửa cũng như giảm thiểu nguy cơ tấn công MITM (man-in-the-middle attack).
- Lớp thứ 5 được thực hiện bởi các cơ chế bảo mật cụ thể được triển khai bởi các nhà cung cấp phần mềm người tạo ra các ứng dụng đặc biệt cho các chức năng này. Trong phần lớn trường hợp, các ứng dụng sẽ yêu cầu các thông tin chứng minh sự hợp lệ trước khi cho phép truy cập với vai trò là người dùng hay quản trị viên và gán các profile khác nhau cho từng đối tượng truy cập.
- Lớp thứ 6 là lớp làm kiên cố hóa hệ thống platform, bao gồm các quá trình thực hiện vá lỗi hệ thống và các hình cho hệ điều hành, trong một số trường hợp bao gồm các khuyến cáo từ SCAP như đã được trình bày ở phần trước.
Với cách tiếp cận theo lớp này, rất khó để lấy cắp quyền truy cập của một thành phần trong hệ thống Head-end. Tuy nhiên việc phân chia này lại không áp dụng cho VOD server và Middleware server. Các phần này sẽ được đề cập chi tiết sau trong chương này.
2.2.3 Bảo mật trong mạng truyền dẫn dịch vụ IPTV 2.2.3.1. DSLAM 2.2.3.1. DSLAM
DSLAM thực tế là thành phần đầu tiên có ý nghĩa quan trọng về bảo mật trong hệ thống IPTV. STB được triển khai bởi các nhà cung cấp dịch vụ IPTV, nhưng lại nằm ngoài phạm vi bảo vệ được bởi nhà cung cấp. Gateway khu vực điểm truy cập dịch vụ cũng nằm ngoài phạm vi quản lý của nhà cung cấp dịch vụ IPTV.
Đặc biệt, khi nói về mạng dịch vụ sử dụng truy cập băng rộng, có một nhu cầu chính về IP DSLAM như là một thiết bị đầu tiên cần có độ tin cậy trong kiến trúc hệ
thống. DSLAM là nơi các thuê bao kết nối vật lý (cáp đồng hay cáp quang) trực tiếp đến mạng dịch vụ. Các điểm truy cập là nơi duy nhất có thể kết nối đến giao thức chứng thực người dùng hợp lệ cho sử dụng về sau.
Quá trình chứng thực chủ yếu dựa trên giao thức DHCP Option 82. DHCP option 82 thực hiện thu nhận các yêu cầu DHCP từ thuê bao và đưa phản hồi các thông tin về xác định đường truyền vật lý vào trường option 82 trong giao thức DHCP. Thông tin này chủ yếu bao gồm: node ID, shelf ID, slot ID và cuối cùng là line ID. Quá trình chứng thực được thực hiện sau hơn trong hệ thống mạng bởi DHCP Server, server này được sử dụng để xác định danh tính thuê bao và gán cho (hoặc không gán cho) một địa chỉ IP hợp lệ cho thuê bao để truy cập dịch vụ. Hơn nữa nếu thuê bao điều khiển STB và gateway, các thông tin sẽ luôn được đưa thêm vào bởi một thành phần mới ngoài tầm kiểm suát của thuê bao.
Tiếp theo cơ chế chứng thực ở trên là các cơ chế bảo mật được sử dụng trong DSLAM. Trong lớp 2, có các cơ chế như chống giả mạo địa chỉ MAC, và ở Lớp 3 có cơ chế chống giả mạo IP.
Chức năng chống giả mạo địa chỉ MAC được sử dụng để bảo vệ mạng khỏi các kẻ tấn công giả mạo địa chỉ MAC của đầu cuối trung với địa chỉ MAC của một thuê bao trong mạng. Chức năng này gắn mỗi địa chỉ MAC với một đường truyền vật lý tới