Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
MỤC LỤC
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ................................................................. 2
DANH MỤC BẢNG .............................................................................................. 5
DANH MỤC HÌNH VẼ .......................................................................................... 6
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI ....................................................................... 8
CHƯƠNG 2: CẤU HÌNH HỆ THỐNG IPTV ....................................................... 12
CHƯƠNG 3: MẠNG TRUYỀN DẪN IPTV – CÁC GIAO THỨC SỬ DỤNG .... 29
CHƯƠNG 4: TỔNG QUAN CÁC VẤN ĐỀ BẢO MẬT VÀ CÁC CÔNG NGHỆ
TRONG BẢO MẬT HỆ THỐNG IPTV ............................................................... 42
CHƯƠNG 5: CÁC NGUY CƠ BẢO MẬT TRONG TRIỂN KHAI HỆ THỐNG
MẠNG DỊCH VỤ IPTV HIỆN NAY .................................................................... 63
CHƯƠNG 6: CÁC GIẢI PHÁP CHO CÁC NGUY CƠ TẤN CÔNG BẢO MẬT 100
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .................................... 141
TÀI LIỆU THAM KHẢO ................................................................................... 143
HV: Hoàng Việt Bắc -1- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
Thuật ngữ Tiếng anh Tiếng việt
AES Advanced encryption
standard
Mã hóa bảo mật cấp cao
ATSC Advanced Television
Systems Committee
Ủy ban truyền hình Hoa kỳ
BRAS Broadband Remote Access
Server
Server quản lý truy cập băng rộng từ
xa
CA Certification Authority Người cấp chứng thực số
CAS Conditional access systems Hệ thống quản lý truy cập
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
(MPEG)
HD High Definition Truyền hình phân giải cao
HFC Hybrid Fibre-Coaxial Truyền dẫn quang lai
HIS High-speed Internet access Truy cập Internet tốc độ cao
IEEE Institute of Electrical and
Electronics Engineers
Viện nghiên cứu công nghệ điện và
điện tử
IGMP Internet Group Membership
Protocol
Giao thức nhóm truyền dẫn quảng
bá
IP Intellectual Property Bản quyền sở hữu trí tuệ
IPTV Internet Protocol Television Truyền hình qua giao thức Internet
IRD Integrated Receiver Decoder Thiết bị thu nhận giải mã vệ tinh
ISMACRYP Internet Streaming Media
Alliance Encryption and
Authentication
Công nghệ mã khóa chứng thực của
tổ chức ISMA
KMS Key management systems Hệ thống quản lý khóa
LAN Local Area Network Mạng cục bộ
MPEG Moving Picture Experts
Group
Nhóm phát triển tiêu chuẩn nén và
định dạng cho hình ảnh
MSDP Multicast source discovery
protocol
Giao thức chia sẻ định tuyến
VLAN Virtual Local Area Network Mạng LAN ảo
VOD Video On Demand Truyền hình theo yêu cầu
VoIP Voice-over IP Thoại qua mạng IP
WAN Wide area network Mạng diện rộng
WiMAX Worldwide Interoperability
for Microwave Access
Truy cập không dây công nghệ
Wimax
HV: Hoàng Việt Bắc -4- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
DANH MỤC BẢNG
Bảng 6.1 – Biện pháp bảo mật cho hệ thống quản lý khóa ..................................114
Bảng 6.2 – Các phương pháp bảo mật cho các phương tiện mang tin vật lý........114
Bảng 6.3 – Các phương pháp bảo vệ hệ thống mã hóa MPEG và hệ thống chuyển mã
............................................................................................................................115
Bảng 6.4 – Các phương pháp bảo mật cho Content management server..............116
Bảng 6.5 – Các phương pháp bảo vệ hệ thống lưu trữ Video repository..............117
Bảng 6.6 – Các phương pháp bảo vệ Video repository disk.................................118
Bảng 6.7 – Các phương thức bảo vệ lớp DRM....................................................120
Bảng 6.8 – Các phương pháp bảo vệ DRM web service......................................121
Bảng 6.9 - Phương pháp bảo vệ DRM disk.........................................................122
Bảng 6.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống nhất và tính
liên tục của dịch vụ.............................................................................................128
Bảng 6.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống nhất và
tính liên tục của dịch vụ......................................................................................129
Bảng 6.12 - Phương thức tách biệt các thuê bao đảm bảo tính bảo mật, thống nhất và
tính liên tục của dịch vụ......................................................................................129
Bảng 6.13 - Chức năng QoS đảm bảo tính bảo mật, thống nhất và tính liên tục của
dịch vụ................................................................................................................131
Bảng 6.14 - Giải pháp mạng ảo đảm bảo tính bảo mật, thống nhất và tính liên tục của
Hình 4.4: Giá trị theo thời gian của nội dung số....................................................47
Hình 4.5: Ví vụ về quá trình thực hiện chữ ký số..................................................53
HV: Hoàng Việt Bắc -6- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 4.6: Tương tác giữa DRM và Middleware trong mạng IPTV........................57
Hình 4.7: Các thành phần của hệ thống DRM.......................................................59
Hình 5.1: Các tài nguyên thông tin tại home-end...................................................63
Hình 5.2: Các nguy cơ bảo mật được tìm thấy.......................................................64
Hình 5.3: Các thông tin tài nguyên trong hệ thống DRM và VOD.........................65
Hình 5.4: Các nguy cơ bảo mật trong hệ thống DRM và VOD..............................65
Hình 5.5: Phân chia các nguy cơ trong mạng IPTV...............................................67
Hình 5.6: Mô hình cấp cao của hệ thống IPTV......................................................77
Hình 6.1: Hệ thống IPTV Head-end....................................................................111
Hình 6.2: Các lớp bảo mật tại Head-end..............................................................112
Hình 6.3: Các lớp bảo mật – Truy cập trực tiếp tới DRM....................................119
HV: Hoàng Việt Bắc -7- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI
1.1. Tổng quan về đề tài
Công nghiệp truyền hình trải qua nhiều thập kỷ phát triển biến đổi liên tục không
ngừng, từ cách thức sản xuất chương trình đến các phương thức phân phối nội dung
chương trình truyền hình đến người xem. Người xem ngày càng được thưởng thức
các chương trình với kỹ thuật hình ảnh đẹp hơn, nhiều thông tin hơn, thêm vào đó
người xem có thể chủ động với khả năng tương tác trực quan hơn.
Theo thời gian, ngành công nghiệp đã chứng kiến sự ra đời các mạng lưới truyền
hình mới rộng lớn hơn, nội dung phong phú hơn: Hệ thống truyền hình vệ tinh, hệ
thống truyền hình cáp, và gần đây là sự ra đời của truyền hình phân giải cao HD
(High Definition TV) đã nâng chất lượng nội dung và khả năng truyền tải của hệ
thống truyền hình lên một cấp độ mới trong việc ứng dụng các công nghệ hàng đầu
IP.
- Hệ thống IPTV cũng cho phép thực hiện các chương trình truyền hình tương
tác hơn, phong phú hơn rất nhiều nếu so sánh với các thế hệ truyền hình trước
đó. Người xem truyền hình sẽ chủ động hơn trong nhu cầu xem các chương
trình của mình. Hơn nữa với khả năng tương tác mạnh, lần đầu tiên người xem
có thể tham gia luôn vào trong phần trình diễn chương trình truyền hình của
nhà cung cấp dịch vụ IPTV.
- Việc tận dụng các cơ sở hạ tầng mạng sẵn có để truyền tải nội dung có ý nghĩa
quan trọng trên quan điểm đầu tư đối với các nhà cung cấp dịch vụ nội dung.
Các nhà cung cấp dịch vụ chỉ cần mua lại một phần dải thông mạng của các
nhà cung cấp dịch vụ mạng sẵn có mà không cần đầu tư xây dựng một hạ tầng
mạng mới. Hơn nữa, mạng IP hiện là mạng kết nối rộng khắp thế giới, khiến
việc truyền tải nội dung không bị ảnh hưởng nhiều bởi ngăn cách địa lý, vùng
miền.
- Một hệ thống sản xuất và cung cấp nội dung chất lượng cao hơn, nhanh hơn
và đáp ứng tốt nhu cầu về chất lượng đang ngày càng phát triển của người
xem, thêm vào đó là khả năng tiếp cận người tiêu dùng rộng lớn của IPTV
cũng là đích đến mong muốn của tất cả các công ty, tổ chức truyền thông nói
HV: Hoàng Việt Bắc -9- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
chung trên thế giới. Vì vậy việc xây dựng các hệ thống IPTV mới là mong
muốn hường đến của các công ty này.
Do những lợi điểm nêu trên, hệ thống IPTV ra đời và phát triển mạnh trong thời gian
gần đây là yêu cầu phát triển khách quan trong ngành công nghiệp truyền hình. Để
đảm bảo mô hình kinh doanh dịch vụ IPTV đem lại hiệu quả và hợp lệ, các nhà cung
cấp dịch vụ IPTV cần đảm bảo hệ thống cung cấp dịch vụ phải thực hiện được khả
năng cung cấp dịch vụ ổn định liên tục trong diện rộng, bảo mật tránh hiện tượng xao
chép, trộm cắp, tái phân phối nội dung phi pháp, sử dụng không bản quyền các nội
dung số. Luận văn này tập trung đi vào tìm hiểu, phân tích kiến trúc hệ thống mạng
dịch vụ IPTV, các điểm yếu trong bảo mật hiện nay của các hệ thống IPTV để từ đó
thống IPTV
Phần này đi vào tìm hiểu một số khái niệm bảo mật, bản quyền nội dung số và các
công nghệ nền tảng hỗ trợ đảm bảo bảo mật hệ thống mạng IPTV.
Chương 5: Các nguy cơ bảo mật trong triển khai hệ thống mạng dịch vụ IPTV
hiện nay
Phần này đi vào phân tích cụ thể các nguy cơ, các lỗ hổng bảo mật có thể xảy ra đối
với từng phần trong hệ thống mạng IPTV. Phần này cũng miêu tả một số phương
pháp có thể phá hỏng tính bảo mật trong hệ thống mạng IPTV.
Chương 6: Các giải pháp cho các nguy cơ tấn công bảo mật
Trên cơ sở các điểm yếu của hệ thống IPTV được phân tích trong Phần 5, Phần 6 này
đưa ra một số các phương pháp nhằm đảm bảo bảo mật cho hệ thống mạng IPTV
đồng thời đưa ra đánh giá về hiệu quả của từng phương pháp bảo mật đối với các
nguy cơ bảo mật cụ thể trong hệ thống.
Chương 7: Kết luận và hướng phát triển
HV: Hoàng Việt Bắc -11- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
CHƯƠNG 2: CẤU HÌNH HỆ THỐNG IPTV
Trong phần này tập trung đi vào phân tích các thành phần cơ bản nhất của các hệ
thống IPTV thường được sử dụng để triển khai ngày nay. Từ các thành phần cơ bản
này, các yếu tố về bảo mật trong hệ thống IPTV sẽ được trình bày kỹ tại các phần
tiếp theo.
2.1. Kiến trúc hệ thống IPTV
2.1.1 Kiến trúc thượng tầng hệ thống IPTV
Một hệ thống IPTV về tổng quát bao gồm 4 khu vực chính đại diện cho những
chức năng khác nhau và có mối liên hệ với nhau được mô tả như Hình 2.1 sau đây,
bao gồm:
Hình 2.1: Kiến trúc hệ thống IPTV
Nhà cung cấp nội dung (Content Provider): Đây là đơn vị sản xuất,
mua/bán trao đổi các nội dung chương trình, từ đó cung cấp các gói nội dung này cho
các nhà cung cấp dịch vụ IPTV. Các Nhà cung cấp nội dung sử dụng các phương tiện
trọng lớn trong việc phát triển hệ thống IPTV.
Các khu vực trên có thể cùng do một nhà cung cấp thực hiện hoặc có thể do
các nhà cung cấp khác nhau thực hiện, tùy theo quy mô và nhu cầu của hệ thống cần
có. Đối với các tổ chức nhà nước, an ninh, quốc phòng có thể triển khai hệ thống
IPTV chỉ với 3 khu vực đầu tiên để cung cấp nội dung đến những người có liên quan.
HV: Hoàng Việt Bắc -13- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Đối với các đơn vị kinh doanh dịch vụ, hệ thống thông thường bao gồm cả 4 khu vực
trên. Mô hình đưa ra ở trên chỉ là mô hình cơ bản chung nhất. Hiện nay trên thế giới
còn nhiều mô hình khác nhưng chủ yếu là sự kết hợp khác nhau hoặc sự giảm thiểu
các khu vực chính trên, tùy theo mục đích triển khai.
2.1.2 Các dịch vụ IPTV
Các nhà cung cấp dịch vụ IPTV có thể cung cấp nhiều loại hình dịch vụ khác
nhau, tùy theo khả năng cung cấp và mục đích cung cấp. Các dịch vụ thông dụng
nhất gồm có: Truyền hình IPTV (Content Broadcast), VOD (Video On Demand) –
Dịch vụ truyền hình theo yêu cầu (Thư viện phim, phóng sự, tư liệu…), hay hệ thống
Game khi sử dụng dịch vụ IPTV với tính năng tương tác.
Truyền hình quảng bá IPTV (Broadcast): Là dịch vụ cung cấp các chương
trình dạng truyền hình, các phóng sự, tin tức, games show,…. Với loại hình dịch vụ
này, các nhà cung cấp dịch vụ IPTV sử dụng quỹ thời gian để đưa ra các chương
trình, phát trên mạng IPTV sử dụng giao thức phát quảng bá – Multicast/broadcast.
Với IPTV, người dùng có thể dễ dàng chọn lựa chương trình xem, tùy chọn ghi lưu
các chương trình ưa thích và đặc biệt số lượng kênh chương trình là rất lớn so với các
hệ thống truyền hình thông thường hiện nay.
Truyền hình theo yêu cầu – VOD: Thường ứng dụng trong dịch vụ IPTV cung
cấp thuê bao đến người xem chương trình có trả phí. Phương thức truyền dẫn Unicast
được sử dụng cho từng thuê bao, cho phép người xem có thể độc lập chọn lựa
chương trình, film hay Video Clip trong các thư viện khổng lồ của nhà cung cấp.
Phương thức cung cấp dịch vụ này yêu cầu dải thông truyền dẫn cao vì mỗi người
dùng cuối chiếm lĩnh một dải thông độc lập của nhà cung cấp dịch vụ.
chức năng này để cung cấp dòng Video đúng theo yêu cầu.
Hệ thống điều khiển mạng dịch vụ IPTV - IPTV control: Đây được coi là
khối trung tâm của hệ thống IPTV. Khối này có nhiệm vụ kết nối các khối chức năng
khác nhau để đảm bảo cho hệ thống cung cấp dịch vụ ổn định, bảo mật, đúng chức
năng. Đối với vấn đề bảo mật hệ thống, khối này có vai trò rất quan trọng để đưa đến
các phương thức bảo mật tối ưu cho hệ thống. Khối này cũng có nhiệm vụ tạo ra các
giao diện cho phép người dùng dễ dàng chọn lựa nội dung muốn xem. Hệ thống điều
khiển mạng IPTV còn có chức năng vận hành điều khiển hệ thống DRM.
Khối người dùng cuối – subscriber: Bao gồm tập hợp các thành phần chức
năng và tác vụ giúp cho người dùng cuối có thể truy nhập các nội dung IPTV. Một số
chức năng hỗ trợ việc giao tiếp với khối IPTV Transport để thực hiện quá trình
truyền dẫn đến trung kế dịch vụ của nhà cung cấp dịch vụ truyền dẫn. Một số chức
năng khác trong khối chức năng này như cung cấp Web Server cho kết nối với các
phần mềm Middle Ware Server tại trung tâm dịch vụ và lưu trữ thông tin bảo mật
DRM.
Khối thực hiện chức năng bảo mật – Security: Tất cả các khối chức năng
trong hệ thống IPTV đều được hỗ trợ bởi các phương thức bảo mật, với những cấp
độ khác nhau. Khối cung cấp nội dung bao gồm các mã khóa bảo mật của chủ sở hữu
nội dung chương trình.
HV: Hoàng Việt Bắc -16- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Mỗi khối chức năng có thể bao gồm nhiều thành phần chức năng khác nhau. Ví dụ
Khối chức năng điều khiển dịch vụ IPTV bao gồm các thành phần trung gian
(Middleware) và các bộ phận của DRM (Digital Rights Management). Các thành
phần chức năng trong các khối chức năng có liên hệ mật thiết với nhau như Hình 2.3
dưới đây:
Hình 2.3: Khối chức năng cụ thể IPTV
2.2. Kiến trúc cụ thể hệ thống IPTV
Hệ thống IPTV gồm 3 phần chính sau:
- Hệ thống thiết bị Head-end: Bao gồm hệ thống cơ sở hạ tầng thu thập nội
dữ liệu số đã được mã hóa;
- Các nội dung kênh chương trình được mua lại từ các nhà cung cấp nội dung khác.
- Các nội dung đã được mã hóa và sẵn sàng để đưa tới khu vực đóng gói truyền đi.
- Các kênh truyền hình quảng bá thông thường, định dạng NTSC, PAL hay ATSC.
- Các nội dung lưu trữ trong các phương tiện lưu trữ như: Băng từ, đĩa quang, đĩa
cứng,…
- Hệ thống các nội dung quảng cáo của các đơn vị thuê quảng cáo trên hệ thống
IPTV.
*) Hệ thống mã hóa Video - Video Encoder:
Hiện nay, các nội dung của hệ thống mạng IPTV thường được xử lý bởi quá trình mã
hóa dữ liệu Video/Audio theo các chuẩn MPEG trước khi đưa đến khu vực đóng gói
IP để đưa nội dung đến thuê bao. Hiện nay có nhiều chuẩn MPEG khác nhau đã được
nghiên cứu phát triển cho mã hóa video/audio, thông dụng nhất cho ứng dụng IPTV
là MPEG-2, MPEG-4 hay H.264, AVC codec.
*) Đóng gói gói tin IP:
Các nội dung sau khi mã hóa được đưa tới khu vực đóng gói thành các gói tin IP. Các
dòng video sau mã hóa video Transport Stream (TS) được đóng gói thành các gói tin
IP trước khi có thể truyền đi trong mạng IP.
*) Hệ thống chuyển mã Video – Video Transcoder:
HV: Hoàng Việt Bắc -19- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Các bộ này có nhiệm vụ chuyển đổi định dạng Video theo các codec khác nhau, tùy
vào mục đích sử dụng của hệ thống mạng. Các bộ này cung cấp chức năng thích nghi
các nguồn nội dung sẵn với các codec khác nhau chuyển đổi codec về một dạng
chung nhất (MPEG2, MPEG-4 hoặc H.264) cho phép phía thuê bao với Set Top
Boxes với codec nhất định có thể giải mã và xem được chương trình.
*) Content Management Server – Server quản lý nội dung:
Server này có nhiệm vụ quản lý nội dung chương trình, đưa các nội dung chương
trình cần phát đến Video server hoặc các lưu trữ trên hệ thống lưu trữ.
*) Hệ thống lưu trữ video:
On Demand -truyền hình theo yêu cầu). Sơ đồ phương thức truyền Unicast được
biểu diễn như Hình 2.6 sau:
HV: Hoàng Việt Bắc -21- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 2.6: Phương thức truyền Unicast
Multicast: Theo phương thức này, một nội dung chương trình được truyền
đồng thời đến cho nhiều thuê bao cùng lúc. Phương pháp này không hạn chế số
lượng dải thông chiếm dụng bởi số thuê bao trong cùng nhóm nhận thông tin.
Phương thức này thường được sử dụng với hình thức các kênh truyền hình quảng bá
(Broadcast). Sơ đồ truyền tin của phương thức truyền dẫn này có thể biểu diễn như
Hình 2.7 sau:
HV: Hoàng Việt Bắc -22- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 2.7: Phương thức truyền Multicast
Để đảm bảo an toàn thông tin truy nhập cũng như đảm bảo bản quyền, các hệ thống
mạng IPTV thường được thực hiện bởi các mạng LAN ảo – VLAN, theo tiêu chuẩn
IEEE 802.1Q/P.
Trong phương thức truyền Multicast, giao thức IGMP (Internet Group Membership
Protocol) được sử dụng để truyền các gói tin quảng bá ra một nhóm các địa chỉ thuê
bao yêu cầu từ mạng.
Trong truyền dẫn mạng IPTV, nội dung chương trình cần được truyền đi đảm bảo
thời gian thực – Realtime, do đó các giao thức truyền gói UDP thông qua RTP và
RTSP thường được sử dụng.
Các mô hình phân phối của các hệ thống IPTV hiện nay:
Công nghệ IPTV hiện nay thường được xây dựng với hệ thống phân phối tập trung,
phân tán hoặc theo mô hình mạng ngang hàng P2P (Peer to Peer).
Mô hình tập trung:
HV: Hoàng Việt Bắc -23- GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 2.8: Mô hình tập trung
thường là các loại mạng truy cập sau: xDSL (ADSL, ADSL2, ADSL+, ADSL2+);
HFC; FTTx; WiMAX… Đây là các phương thức truy cập thông dụng cho các dịch
vụ băng rộng Broad-band hiện nay.
2.2.3. Các thiết bị thiết lập thuê bao – Home End
Home-End bao gồm một số thiết bị đầu cuối mạng hay điểm truy nhập mạng.
Đầu cuối mạng này sẽ được kết nối đến một Modem để chuyển các dữ liệu thành các
gói tin IP. Trong một số trường hợp, một bộ chia -Splitter có thể được sử dụng khi
HV: Hoàng Việt Bắc -25- GVHD: TS. Nguyễn Phan Kiên
Copyright: Tài liệu đại học ©