Tải bản đầy đủ (.pdf) (25 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG ĐỐI VỚI HỆ THỐNG IPTV

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (726.45 KB, 25 trang )


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG







NGUYỄN HỮU TÀI



CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ TẤN CÔNG ĐỐI
VỚI HỆ THỐNG IPTV


Chuyên ngành: Kĩ thuật viễn thông
Mã số: 60.52.02.08



TÓM TẮT LUẬN VĂN THẠC SĨ



HÀ NỘI - 2014










Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


Người hướng dẫn khoa học: P.GS- TS TRẦN HỒNG QUÂN

Phản biện 1: PGS.TS Trương Vũ Bằng Giang- Đại Học Công
Nghệ/ Đại Học Quốc gia

Phản biện 2: TS Nguyễn Chiến Trinh – Khoa Viễn Thông 1/
HVCNBCVT



Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: 11 giờ 30 ngày 09 tháng 8 năm 2014



Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1


MỞ ĐẦU
Cùng với sự phát triển của Internet, IPTV đã ra đời và phát triển trên
phạm vi toàn thế giới ( trong đó có cả ở Việt Nam) trong chục năm trở lại
đây và đã chứng tỏ là một lĩnh vực truyền hình hấp dẫn và cạnh tranh
mạnh mẽ với các mạng truyền hình khác bởi tính tiện ích, chất lượng và
giá cả.
Khi mới ra đời truyền hình trên các giao thức IP đều có chung một
nguy cơ đó là bị xâm nhập và tấn công trên cả hệ thống, đặc biệt khi
truyền trên môi trường vô tuyến.
Do mới phát triển nên người ta chưa chú ý nhiều đến bảo mật cho
các dịch vụ truyền trên đó, cũng như là nội dung cung cấp vì vậy thời gian
qua nhiều hãng chịu nhiều thất thoát lớn.
Trong lịch sử từ năm 1990 các tác giả Komatsu, N. and Tominaga
đã đưa ra những kết quả nghiên cứu về việc che dấu ảnh số trong hệ thống
truyền ảnh.
Tuy các tác giả đã có nhiều công trình ứng dụng tốt cho bảo mật
IPTV xong khi môi trường truyền dẫn càng lớn (vệ tinh), nguy cơ bị xâm
nhập trái phép càng lớn thì lại chưa được đề cập nhiều. Các giải pháp phát
hiện xâm nhập chủ yếu dựa vào luật Bayess là chủ yếu.
Trong luận văn này sẽ đề cập đến các nghiên cứu về các khả năng bị
xâm nhập và tấn công. Đặc biệt sẽ phân tích kĩ hơn về việc xâm nhập và
tấn công trong môi trường truyền TV qua vệ tinh.
Nghiên cứu bảo mật IPTV là một yêu cầu cấp thiết để học viên lựa
chọn hướng nghiên cứu này.
2

Mục đích của luận văn tập trung vào nghiên cứu, tìm hiểu đánh giá
các phương thức xâm nhập trái phép đối với IPTV từ đó đề xuất được các
giải pháp chống lại sự xâm nhập trái phép đó đó trong các hệ thống thông

tin hiện nay. Với mục đích đó, luận văn được bố cục như sau:
CHƯƠNG 1: TỔNG QUAN VỀ IPTV
- Tổng quan hệ thống IPTV.
- Các chuẩn nén và dịch vụ của IPTV.
- Các phương thức xâm nhập và tấn công có thể tác động đến hệ
thống IPTV.
CHƯƠNG 2: CÁC MỐI NGUY CƠ BỊ XÂM NHẬPVÀ TẤN
CÔNG CỦA HỆ THỐNG IPTV.
- Nguy cơ bị xâm nhập và tấn công đối với nhà cung cấp dịch vụ
IPTV .
- Nguy cơ bị xâm nhập và tấn công đối với nhà cung cấp mạng
IPTV .
- Nguy cơ bị xâm nhập và tấn công đối với các thuê bao IPTV .
- Nguy cơ bị xâm nhập và tấn công đối với hệ thống IPTV qua vệ
tinh.
CHƯƠNG 3: CÁC GIẢI PHÁP CHỐNG LẠI VIỆC
BỊ XÂM NHẬP VÀ TẤN CÔNG CỦA HỆ THỐNG IPTV
-

Các giải pháp bảo mật cơ bản.

-

Giải pháp chống xâm nhập và tấn công cho nhà cung cấp mạng
IPTV.

-

Giải pháp chống xâm nhập và tấn công cho nhà cung cấp dịch vụ
IPTV.


3

-

Giải pháp chống xâm nhập và tấn công cho các thuê bao IPTV.

-

Giải pháp chống xâm nhập và tấn công cho hệ thống IPTV qua vệ
tinh.

-

Mô hình chống xâm nhập và tấn công.

4

CHƯƠNG 1: TỔNG QUAN VỀ IPTV
1.1. Tổng quan hệ thống IPTV
1.1.1. Khái niệm, mô hình hệ thống IPTV
IPTV ( Internet Protocol Television) được hiểu là phân phối nội dung
video số thông qua giao thức IP. Trong đó nhấn mạnh tới việc khẳng định
vai trò của Internet trong truyền phát tín hiệu truyền hình. Vì vậy, IPTV đề
cập tới cách dùng IP làm cơ chế có thể sử dụng Internet.
Hệ thống IPTV từ nhà cung cấp nội dung tới người sử dụng thành
các khối chức năng như sau:
+ Hệ thống cung cấp nội dung.
+ Hệ thống Head end.
+ Hệ thống Middleware.

+ Hệ thống phân phối nội dung.
+ Hệ thống quản lí bản quyền số (DRM).
+ Mạng truyền tải.
+ Hệ thống quản lí mạng và tính cước.
+ Thiết bị Set Top Box(STB).
1.1.2. Giới thiệu các chuẩn nén sử dụng trong IPTV.
1.1.2.1. Chuẩn MPEG.
1.1.2.2. Chuẩn MPEG- 2.
1.1.2.3. Chuẩn MPEG-4.
1.1.2.4. Chuẩn H.264/AVC.
5

1.1.3. Các dịch vụ cơ bản của IPTV.
+ Dịch vụ quảng bá (Broadcast Service).
+ Dịch vụ theo yêu cầu ( On Demand Service).
+ Dịch vụ tương tác (Interactive).
+ Service.
1.2. Các phương thức xâm nhập và tấn công có thể tác động đến hệ
thống IPTV
1.2.1. Lừa gạt truy nhập.
Lừa gạt truy nhập là một trong những dạng lừa gạt cổ điển nhất trong
hệ thống truyền hình trả tiền. Trường hợp này xảy ra khi một cá nhân đánh
lừa các cơ cấu truy nhập thông thường để đạt được truy nhập trái phép đối
với các nội dung truyền hình mà không phải trả tiền thuê bao.
1.2.2. Truyền hình không được phép.
Các nội dung IPTV được phân phối dưới dạng số. Một minh chứng
trong chiến dịch chống lại tính riêng tư của điện ảnh là DVD hiện có
khuynh hướng thực hiện ghi bằng Camera cầm tay trong rạp chiếu phim.
1.2.3. Làm gián đoạn truy nhập.
Nếu một đối tượng xâm nhập nào đó có thể gây ra nguy hiểm cho hạ

tầng hoặc một thành phần nào đó của dịch vụ truyền hình, thì khách hàng
sẽ mất quyền truy nhập đến các dịch vụ, làm mất lòng tin vào dịch vụ. Các
công ty truyền hình cáp thường cho dịch vụ rất tin cậy và khách hàng sẽ có
sự so sánh giữa các mạng IPTV với giải pháp khác nhau.
6

1.2.4. Xuyên tạc nội dung.
Đối với IPTV thực tiễn trên các môi trường khác nhau gửi tín hiệu
bằng cách sử dụng giao thức IP chuẩn và các đối tượng tấn công có thể kết
nối thông qua các Webside và điều khiển Middleware Server hoặc các
Server truyền hình, người ta có thể thay đổi số liệu trong nội dung mà
trước đó đã được mã hóa bảo mật bằng phần mềm DRM.
1.3. Các công trình nghiên cứu về khả năng chống xâm nhập và
tấn công
1.4. Đặt bài toán và phạm vi nghiên cứu.
Tổng kết chương 1
IPTV là một hệ thống cho phép phân phối nội dung các chương trình
thời gian thực, phim truyện và các nội dung video tương tác khác trền nên
IP. Hạ tầng mạng IPTV end- to- end có thể bao gồm tất cả hoặc một số
thành phần như sau:
Trung tâm dữ liệu IPTV
Mạng phân phối IPTV
Bộ giải mã STB
Đồng thời chỉ ra một số nguy cơ có thể bị xâm nhập tấn công đối với
một hoặc tất cả thành phần của hệ thống







7

CHƯƠNG 2: CÁC NGUY CƠ XÂM NHẬP VÀ TẤN
CÔNG ĐỐI VỚI HỆ THỐNG IPTV
2.1. Giới thiệu chung
2.1.1. Giới thiệu.
Bảo mật đối với dịch vụ IPTV dựa vào bảo mật từ hạ tầng của hệ
thống. Bây giờ người dùng và người cung cấp nội dung đều bộc lộ các
vấn đề liên quan đến bảo mật như nhau khi đối mặt với người sử dụng máy
tính có dịch vụ internet. Các ngành công nghiệp truyền thông đã chỉ ra
rằng các thiết bị ở tại các gia đình có mức bảo mật tối thiểu bao gồm cả
việc sử dụng Password cho tất cả các thiết bị. Trong khi lắp đặt, bảo dưỡng
các thiết bị này, người ta có thể tạo nêu một bài toán bảo mật.
2.1.2. Một số tấn công đặc trưng đối với môi trường IPTV
Một số hình thức tấn công an ninh hạ tầng chung là:
- Truy nhập bất hợp pháp đến các phần tử
- Các tấn công ứng dụng
- Tấn công hoặc lạm dụng các tài sản IPTV
- Tấn công dịch vụ
- Tấn công số liệu liên quan đến IPTV
- Làm gián đoạn dịch vụ
- Vi phạm tính riêng tư
2.2. Nguy cơ xâm nhập và tấn công đối với nhà cung cấp dịch vụ
IPTV.
Một số loại tấn công ở Head end:
- Video cung cấp các hình
8

- Chuyển mạch Video

- Hệ thống quản lí nội dung
- Số liệu nội dung từ đáp ứng Video
- Nội dung MPEC-2 từ đáp ứng Video
- Nội dung MPEC- 4
- Phần mềm cân bằng tải
- Phần mềm luồng Master Video
- Các khóa SRTP
- Giao thức quản lí khóa
- Quản lí dịch vụ CA/DRM
- Phần mềm luồng video
- Xen bổ sung thông tin xác thực
- Nội dung bổ sung vị trí MPEC-2/ MPEC-4
- Thông tin bổ sung vị trí
- Nội dung MPEC-2/MPEC-4 đã ghi hoặc lưu trữ
- Phần mềm ghi video
2.3. Nguy cơ bị xâm nhập và tấn công đối với nhà cung cấp mạng
IPTV.
2.3.1. Các giao thức được sử dụng trong IPTV.
2.3.1.1. Giao thức truyền tải thời gian thực- RTP.
2.3.1.2. Giao thức điều khiển truyền tải thời gian thực- RTCP.
2.3.1.3. Giao thức luồng thời gian thực- RTSP (Real Time Streaming
Protocol).
2.3.1.4. Giao thức quản lí nhóm Internet- IGMP.
2.3.2. Nguy cơ tấn công giao thức.
9

Có một số giao thức trong vận hành IPTV, mỗi giao thức có những
bài toán bảo mật khác nhau và nguy cơ bị tấn công khác nhau.
2.3.2.1. Nguy cơ tấn công giao thức.
Cũng giống như giao thức Multicast, nguy cơ tấn công bất kì đối với

IGMP lớn hơn rất nhiều so với các giao thức khác do tác động mạnh mẽ
của giao thức IGMP. Với một tấn công đơn giản thì đã có hàng ngàn thuê
bao Set top Box bị ảnh hưởng.
2.3.2.2. Tổn thất của MSDP đối với các tấn công DOS.
Hạ tầng IPTV trong Multicast và MSDP hoạt động, những đối tượng
xâm nhập trái phép có thể sử dụng các điểm yếu dễ bị tấn công trong giao
thức đang xét làm cho toàn bộ hạ tầng dễ bị đổ sụp. Các tấn công MSDP
DOS làm tràn ngập mạng bằng các bản tin hoạt động của nguồn giả tạo
(SA).
2.3.2.3. Các tấn công kết nối mạng.
a) DOS- Tấn công từ chối dịch vụ
b) Gián đoạn DOS (D-DOS)- Tấn công từ chối dịch vụ phân tán
2.3.2.4. Làm tràn UDP.
Có thể thực hiện làm tràn ngập giao thức chương trình số liệu người
dùng bằng cách sử dụng đặc điểm dễ bị tấn công trong các dịch vụ Echo.
Những đối tượng xâm nhập trái phép lừa dịch vụ trả lời các yêu cầu.
2.3.2.5. Tấn công phân liệt.
Loại tấn công này gửi một loạt các gói tải không nguy hiểm có dạng
các gói tải bình thường nhưng thực ra nhằm tấn công bất ngờ các bức
tường lửa hoặc các hệ thông phát hiện xâm nhập.
2.3.3. Dịch vụ phân phối nội dung.
10

Có thể đưa nội dung giả vào các ứng dụng (game) để phân phối đến các
Server nội dung game thông qua mạng phân phối. Điều này được thực hiện
bằng cách đưa các gói giả mạo vào luồng truyền tải hoặc bằng tấn công
MITM.
2.3.4. Chương trình định tuyến Multicast.
a) IGMP- Giao thức nhóm quảng bá.
Những đối tượng tấn công sửa các gói IGMP trong mạng phân phối nội

dung trong lúc phát giữa mạng quản lí nội dung và các Server luồng video
và các Server trong Head end miền.
b) PIM- Protocol Intependent Muticast.
Các gói PIM tuân thủ giả mạo do kẻ xâm nhập tạo ra có thể cho phép
can dự bất hợp pháp vào một nhóm multicast tạo khả năng thu nội dung
mà không phải trả tiền.
c) MBGP.
MBGP bổ sung các đặc điểm cho BGP để thiết lập định tuyến
Multicast giữa các hệ thống tự quản BGP.
d) MSDP- Muticast Source Dicovery Protocol.
Các bản tin MSDPSA chứa các thông tin về nguồn multicast trong
miền PIM-SM. Các bản tin giả mạo hoặc sửa đổi do những đối tượng có ý
định xâm nhập tạo ra, sử dụng các hình thức tấn công MITM tham dự bất
hợp pháp trong nhóm multicast giả để thu nội dung.
e) MFTP.
Các gói MFTP giả mạo hoặc các gói đã bị sửa đổi bất hợp pháp trong
lúc phát làm mất đi độ trung thực của luồng video hoặc xen các nội dung
giả mạo vào nội dung video hoặc nội dung ứng dụng phân phối. Điều này
11

được thực hiện bằng cách đưa các gói giả vào nội dung để truyền tải và có
thể thu được các gói MFTP trong lúc phát MITM.
f) RTP- Real time Transport Protocol.
Các gói RTP giả hoặc các gói RTP đã bị sửa đổi nội dung trong lúc
phát sẽ làm mất đi tính trung thực của luồng video hoặc xen vào nội dung
giả vào nội dung video hoặc nội dung ứng dụng đang được chuyển vào
luồng RTP hoặc bằng cách tấn công MITM.
2.3.5. Báo hiệu QoS ( RSVP, Diffserv).
Đối tượng tấn công có thể tạo ra các bản tin RSVP giả mạo hoặc các
bản tin RSVP đã bị sửa đổi và gửi cho hệ thống quản lí nội dung, các

Server lưu dòng video hoặc các Server game. Tất cả các bản tin này đều có
QoS bất hợp pháp và chạy trong mạng phân phối nội dung hoặc điều chỉnh
dòng hiện có.
2.3.6. Quản lí dịch vụ phân phối nội dung.
2.3.7. Dịch vụ quản lí kết nối.
2.4. Nguy cơ xâm nhập, tấn công đối với các thuê bao IPTV.
2.4.1. Set top Box.
Có nhiều Set Top Box khác nhau trên thị trường. STB là thiết bị đầu
cuối cho phép thu, giải mã và hiển thị nội dung trên màn hình TV. Một số
được sản xuất bằng phần cứng và phần mềm thích hợp.
2.4.2. Các hệ thống phần mềm
2.4.2.1. Phần mềm DRM.
2.4.2.2. Phần mềm Middlewave client SW.
2.4.2.3. Phần mềm DVR/PVR.
12

Các khả năng tấn công toàn bộ đệm trong chính phần mềm
DVR/PVR do kĩ thuật lập mã không thích hợp và không thử nghiệm tương
thích. Chúng được khởi động do các bản tin thu được qua kết nối WAN
hoặc mạng ở nhà và có thể gây ra hiện tượng viết tràn phần mềm
DVR/PVR hoặc số liệu.
Có thể sử dụng truy nhập bất hợp pháp đối với bàn điều khiển quản lí
để gửi các lệnh qua VLAN quản lí hoặc mạng trong nhà biểu hiện sự lỏng
lẻo của STB. Trên cơ sở phần mềm DVR/PVR đối tượng tấn công có thể
tạo ra các lệnh quản lí và thực hiện quản lí bằng phần mềm giả.
2.4.2.4. Bản quyền STB ( ủy nhiệm).
Hoạt động bất hợp pháp có thể xóa ủy quyền STB. Người ta có thể
sử dụng bàn điều khiển quản lí để gửi các lệnh qua VLAN quản lí hoặc
mạng nhà để xóa bản quyền STB. Kết quả hoạt động quản lí bất hợp pháp
thực hiện chữa trộm bản quyền STB. Trong truy nhập bất hợp pháp đến

bàn điều khiển quản lí hoặc mạng nhà để sửa nội dung và bản quyền STB.
Đối tượng xâm nhập có thể tạo ra các hành động quản lí hoặc làm hỏng
phần mềm quản lí.
Việc xóa các bản quyền STB ngăn chặn STB xác thực dịch vụ IPTV,
làm phá vỡ dịch vụ IPTV.
2.4.2.5. Chứng nhận số ( Dành cho nhà cung cấp phần mềm).
Hoạt động quản lí bất hợp pháp có thể xóa chứng nhận số của nhà
cung cấp phần mềm. Người ta có thể sử dụng truy nhập bất hợp pháp đến
bàn điều khiển quản lí để gửi các lệnh qua managent VLAN hoặc mạng
nhà để xóa chứng nhận số của nhà cung cấp.
2.4.2.6. Chứng nhận số STB
13

Hoạt động quản lí có thể xóa giấy chứng nhận số STB. Đối tượng tấn
công có thể truy nhập bất hợp pháp đến bàn điều khiển để gửi các lệnh qua
Management VLAN hoặc mạng nhà để chỉnh sửa giấy chứng nhận số của
STB. Để thực hiện nội dung này, đối tượng tấn công có thể thực hiện các
hoạt động quản lí bằng phần mềm giả tạo.
2.4.2.7. Các khóa công khai ( sử dụng chứng nhận số).
Hoạt động quản lí có thể xóa các khóa công khai đã lưu. Đối tượng
tấn công có thể truy nhập bất hợp pháp đến bàn điều khiển để gửi các lệnh
qua Management VLAN hoặc mạng nhà để xóa các khóa công khai đã lưu
ra khỏi STB.
Do việc xóa hoặc chữa trái phép các khóa đã lưu sẽ chặn STB khỏi
việc xác thực chữ kí số và xác thực chứng nhận số vì vậy phá vỡ dịch vụ
IPTV.
2.4.3. DSLAM- Ghép kênh thuê bao số.
Có một hiểm họa của hoạt động quản lí kết hợp bất hợp pháp là xóa
thông tin điều khiển gian lận. Việc tấn công bên ngoài trước hết là bẻ gãy
DSLAM, sau đó đối tượng tấn công xóa thông tin điều khiển gian lận.

2.4.4. Dịch vụ Multicast TV VLAN.
Những đối tượng tấn công có thể xóa khóa giải mật mã, họ gửi các
lệnh quản lí Management VLAN hoặc mạng nhà để xóa khóa giải mật mã.
Việc này có thể do những đối tượng tấn công bên ngoài hoặc nội bộ. Họ có
thể truy nhập vào làm quản lí, gửi lệnh qua Management VLAN hoặc
mạng nhà để sửa đổi khóa mật mã.
2.4.5. Ứng dụng Multicast TV VLAN.
14

Các gói MPEC giả có khả năng làm tràn bộ đệm hoặc làm sập hệ
thống. Luồng MPEC-2 gian có thể làm tràn bộ đệm, trong phần mềm dễ bị
tấn công từ xa dễ dàng bị phá mã. Các thiết bị Multimedia chấp nhận được
các loại tấn công này.
2.4.6. Ứng dụng Middlewave.
Hoạt động quản lí phi pháp có thể xóa EPG khỏi STB. Người ta có
thể truy nhập bất hợp pháp đến bàn điều khiển quản lí để gửi các lệnh qua
management VLAN hoặc mạng nhà để xóa EPG khỏi STB.
2.4.7. Quản lí ứng dụng.
2.4.7.1. Thông tin sử dụng IPTV.
2.4.7.2. Thông tin tính cước IPTV.
2.5. Nguy cơ xâm nhập, tấn công đối với IPTV qua vệ tinh.
2.5.1. Giới thiệu.
Trên thế giới người ta sử dụng rộng rãi luồng truyền tải MPEC-2
không chỉ để cho dịch vụ TV số mà còn cho một số công nghệ xây dựng
trên nền IP. Cơ cấu Unidirectional IPv4/ IPv6 và các gói giao thức mạng
khóa trực tiếp truyền tải số liệu riêng qua luồng tải MPEC-2.
2.5.2. Phân tích một số hiểm họa trong truyền TV qua vệ tinh.
a) Biểu thị một số thực thể trong cấu trúc mạng truyền dẫn MPEC-2:
+ ULE Eucapsulation Gateway (hoặc Eucapsulation hoặc nguồn
ULE)

+ Máy phát tín hiệu (đầu bộ ghép kênh)
+ Các bộ tách- ghép kênh
+ Các bộ điều chế
15

b) Trong mạng MPEC-2 một tập các bản tin báo hiệu cần cho phát
quảng bá mà không có mã bảo mật. Cần phải bảo đảm tính nguyên vẹn
cũng như xác thực các bản tin này.
Các gói TS truyền đến máy thu qua lớp vật lí thường có mã hóa sửa
lỗi trước (FEC) và chèn byte.
Ta có thể tóm tắt ba kịch bản tấn công:
+ Trường hợp 1: Tấn công thụ động – giám sát
+ Trường hợp 2: Chặn cục bộ đối với bộ ghép kênh MPEC-2.
+ Trường hợp 3: Chặn toàn bộ ghép kênh MPEG-TS.
Tổng kết chương 2
Môi trường IPTV được hình thành với rất nhiều thành phần có những
điểm yếu về an ninh ở những mức độ khác nhau. Các hệ thống vận hành,
các ứng dụng và các giao thức tồn tại một số điểm yếu về bảo mật. Điều
đó tạo điều kiện cho các đối tượng xâm nhập có thể thực hiện điều khiển
môi trường hoặc gây ra các sự cố vận hành hệ thống.
Vấn đề cốt lõi là bài toán bảo mật phải được thực hiện toàn bộ từ đầu
đến cuối của môi trường IPTV, bao gồm cả giai đoạn thiết kế, ứng dụng và
vận hành.
Cần có giải pháp hợp lí để phân tích các rủi ro cho mạng IPTV gồm
những thành phần môi trường Head end, truyền tải và mạng trong nhà.
16

Chương 3 – CÁC GIẢI PHÁP CHỐNG XÂM NHẬP VÀ
TẤN CÔNG MẠNG.
3.1. Các giải pháp bảo mật cơ bản.

3.1.1. Bảo mật các hệ thống vận hành.
Hầu hết các phần tử trong môi trường IPTV là các hệ thống vận hành
thương mại. Trong một số trường hợp các STB sẽ chạy trên một số hệ
thống vận hành thích hợp và thông tin an ninh bị hạn chế.
Các hệ thống vận hành hiện cónhiều dịch vụ không thiết yếu cho việc
vận hành các dịch vụ. Các STB sử dụng các hệ thống vận hành nguồn mở
tiến tới phải có dịch vụ Email, dịch vụ Web và các dịch vụ liên quan đến
TCP/IP khác. Không cần chức năng cơ bản mở STB. Các dịch vụ bổ sung
này mở cửa cho những đối tượng xâm nhập vào hệ thống. Bằng cách bỏ
bớt các dịch vụ không cần thiết này tạo nhiều điều kiện hơn cho các hoạt
động khác và hạn chế hơn việc truy nhập bất hợp pháp, các rủi ro và Virus.
3.1.2. Phát hiện ngăn chặn truy nhập bất hợp pháp.
Tất cả lưu lượng trong môi trường IPTV cần phải cần phải được
giám sát để phát hiện các xâm nhập, tấn công trái phép và bám các xâm
nhập. Các hoạt động trái phép , Virus và các đối tượng xâm nhập trái phép,
chúng ta cần phải có những giải pháp khác nhau để phát hiện và hành động
kịp thời.
Thông qua sử dụng các bức tường lửa và các ACL cho môi trường
IPTV, người ta vẫn phải duy trì các quy tắc IDS/IPS để phát hiện các cổng
và dịch vụ đã bị chặn bởi bức tường lửa. Hoạt động này giống như một cơ
17

cấu thứ hai để phát hiện xâm nhập trái phép và tìm ra khi một trong những
bộ lọc bị hỏng.
3.1.3. Ngăn chặn gian lận.
Các dịch vụ IPTV phải có khả ngăn chặn gian lận. Chúng có thể chặn
sự lạm dụng môi trường của các thuê bao hoặc các gian lận nội bộ.
Middlewave có thể công bố các hoạt động từ các thuê bao và phát
hiện khi cùng một thuê bao yêu cầu các nội dung sử dụng cho 2 địa chỉ IP
khác nhau. Middlewave Server có thể phát hiện khi nào STB yêu cầu rất

nhiều mục VoD.
3.2. Giải pháp chống xâm nhập và tấn công cho nhà cung cấp dịch
vụ IPTV.
Phần tử trung tâm của hạ tầng của IPTV là Head end, nó được hình
thành bởi một số phần tử thực hiện các chức năng, thu nội dung, truyền tải
nội dung và phân phối nội dung cho các thuê bao. Head end sử dụng cho
head end trung tâm và Head end vùng.
3.2.1. Các phần tử của Head end.
Nhiệm vụ: Thu, điều chế và giải mã nội dung hình ảnh, âm thanh từ
các nguồn khác nhau và sử dụng các thiết bị mã hóa (encoder) để chuyển
đổi nội dung này thành các luồng dữ liệu IP ở khuôn dạng mã hóa mong
muốn. Hiện nay tín hiệu video chủ yếu được mã hóa MPEG-4/H.264đảm
bảo tốc độ khá thấp, cho phép triển khai tốt trên mạng xDSL. Các chương
trình sau khi được mã hóa sẽ được phân phối tới khách hàng trên các luồng
IP Multicast qua mạng truy nhập và mạng lõi IP.
1. Các máy thu vệ tinh: Bộ giải mã tích hợp [8].
2. Bao gồm :
18

+ Lưu trữ Video.
+ Thư viện Video
+ Thư viện Media
+ Các Server thư viện
+ Mạng phạm vi lưu trữ.
+ Cơ sở dữ liệu phim video theo yêu cầu
+ Server phim( các file video và Audio)
3. Hệ thống quản lí nội dung, bao gồm:
4. Server luồng Master video/ Server trò chơi, bao gồm:
5. Gate way hấp thụ (thu video), bao gồm:
6. Server cất giữ luồng video, bao gồm:

7. Middewave, gồm các Server middlewave.
8. Hệ thống liên quan kinh doanh, bao gồm:
3.2.2. Đầu ra của nội dung.
Các sản phẩm video có trong các phương tiện khác nhau và các ứng
dụng khác nhau trong môi trường Head end và mỗi loại hiểm họa xác định
khác nhau và giải pháp chống lại cũng khác nhau. Một số giải pháp chống
lại truy nhập ngẫu nhiên bất hợp pháp vào các sản phẩm của IPTV như
sau:
Một số nhà sở hữu nội dung phân phối các nội dung thông qua các
kết nối vệ tinh. Nhà cung cấp dịch vụ IPTV sử dụng các máy thu vệ tinh
để thu tín hiệu.
3.2.3. Bộ giải mã Video MPEG và chức năng chuyển mã Video.
3.2.4. Server quản lí nội dung.
19

Server quản lí nội dung là một trong những thành phần chủ yếu trong
môi trường IPTV. Để bảo vệ Server quản lí nội dung cần phải sử dụng các
cơ cấu có hiệu lực như tổng kiểm tra hoặc chữ kí số. Điều này sẽ tránh
được việc sửa đổi không xác thực.
3.3. Giải pháp chống xâm nhập, tấn công cho nhà cung cấp mạng
IPTV.
3.4. Giải pháp chống xâm nhập, tấn công cho các thuê bao của hệ
thống IPTV.
3.4.1. Giới thiệu.
3.4.2. Gateway khu dân cư.
Gateway tập trung các dịch vụ khác nhau để cung cấp cho thuê bao.
Gateway có một số cơ cấu bảo mật cơ bản bao gồm các chức năng lọc và
QoS. Gateway tham gia trong mọi kết nối bao gồm: điện thoại, VoIP, truy
nhập internet tốc độ cao[10] và dịch vụ IPTV[5], [12].
3.5. Các giải pháp chống xâm nhập, tấn công hệ thống IPTV khi

truyền qua vệ tinh
3.5.1. Các yêu cầu về bảo mật đối với IP qua MPEG
Bảo vệ địa chỉ lớp 2: Trong mạng truyền hình sử dụng bảo vệ này để
ngăn chặn những đối tượng xâm nhập trái phép nhận dạng máy thu ULE
và lưu lượng của chúng.
Bảo vệ tính nguyên vẹn và xác thực của nguồn ULE để chống lại các
tấn công tích cực.
Bảo vệ chống lại các tấn công tích cực quay lại.
20

Bảo vệ nguồn ULE lớp 2 và xác thực của máy thu đây là yêu cầu
trong thời gian chuyển đổi khóa ban đầu và giai đoạn xác thực trước lúc
máy thu ULE tham gia phiên an ninh.
Tách các chức năng quản lý khóa ULE ra khỏi các dịch vụ an ninh
của ULE như mã bảo mật và xác thực nguồn.
Trợ giúp chèn tự động hoặc nhân công các khóa và chính sách vào
các cơ sở dữ liệu.
Thay đổi các thuật toán mã hóa.
Khả năng bám: phải bám liên tục mạng truyền dẫn bằng cách sử
dụng các log file để ghi lại các hoạt động trong mạng và phát hiện mọi
xâm nhập trái phép.
Xác thực các bản tin điều khiển, quản lý trong các mạng truyền dẫn
MPEC-2
Quản lý chính sách an ninh
Tính tương thích với các chức năng kết nối mạng khác.
Tính tương thích và vận hành với các mào đầu mở rộng của ULE, tức
là cho phép mã bảo mật SnDU
3.5.2. Các giải pháp chống xâm nhập, tấn công hệ thống IPTV
khi truyền qua vệ tinh.
Cần phải bảo mật lớp tuyến (L2) trong mạng truyền dẫn MPECG -2

bằng cách ứng dụng: Bổ sung cơ cấu bảo mật cho điều khiển IP và bảo mật
lớp ứng dụng và bảo vệ nhận dạng máy thu ULE.
Thiết kế một modul bảo mật ULE để tăng hiệu quả sử dụng các giao
thức quản lý khóa.
3.6. Mô hình chống xâm nhập và tấn công vào hệ thống IPTV.
21

Tổng kết chương 3
An ninh cho IPTV là một yêu cầu cần thiết nhằm chống lại các kẻ
xâm nhập, tấn công trên mọi phần tử của mạng. Chức năng giới thiệu các
giải pháp nhằm đảm bảo an ninh cho các phần tử của mạng từ nhà cung
cấp dịch vụ IPTV. Nhà cung cấp mạng, các thuê bao IPTV và các tuyến
kết nối qua vệ tinh.



















22

KẾT LUẬN
Với nhu cầu ngày càng cao của con người, hệ thống truyền hình đặc
biệt IPTV luôn luôn phải phát triển để đáp ứng được những yêu cầu mới.
Tuy nhiên, luôn có sự xâm nhập tấn công của nhũng đối tượng bên ngoài
vào hệ thống IPTV với mục đích được khai thác và sử dung các chương
trình, dịch vụ của IPTV mà không phải trả tiền cho các nhà cung cấp dịch
vụ cũng như nhà cung cấp mạng.
Với các kỹ thuật được trình bày trong luận văn có nhiều ưu điểm đã
đáp ứng rất nhiều đòi hỏi của bài toán chống xâm nhập trái phép vào hệ
thống IPTV, lợi ích về kinh tế cũng như chất lượng dịch vụ là điều không
thể phủ nhận. Mặc dù vậy từng kĩ thuật vẫn có những nhược điểm riêng
đòi hỏi tiếp tục cần phải đầu tư nghiên cứu nhiều hơn nữa trong tương lai.
Luận văn cũng đã tập trung nghiên cứu phân tích các tấn công vào
các thành phần mạng như nhà cung cấp dịch vụ IPTV, nhà cung cấp mạng,
các thuê bao và đặc biệt là các phần trong IPTV truyền qua vệ tinh. Đồng
thời giới thiệu các giải pháp chống lại việc bị xâm nhập, tấn công của hệ
thống IPTV: Các giải pháp cơ bản đến các giải pháp riêng đặc trưng cho
từng phần trong mạng IPTV. Đó là các giải pháp cho nhà cung cấp dịch
vụ, nhà cung cấp mạng, cho các thuê bao và cho phần mạng IPTV truyền
qua vệ tinh
Hướng phát triển tiếp theo của đề tài:
Nghiên cứu các kỹ thuật nâng cao tính bảo mật cho lớp L2 khi
truyền tín hiệu IPTV qua vệ tinh bằng mã bảo mật, các phương pháp phát
hiện xâm nhập trái phép vào mạng truyền IPTV bằng mạng nơron.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×