HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGÔ LINH HUY
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT HỆ THỐNG IPTV VÀ
ỨNG DỤNG CHO DỊCH VỤ MyTV

CHUYÊN NGÀNH: KHOA HỌC MÁY TÍNH
MÃ SỐ: 60.48.01.01
TÓM TẮT LUẬN VĂN

Hà Nội - 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học:
TS. Vũ Văn Thỏa

Phản biện 1:
Trần Quý Nam
Phản biện 2:
Nguyễn Hà Nam

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện
Công nghệ Bưu chính Viễn thông
Vào lúc: 08 giờ 00 ngày 11 tháng 03 năm 2017


LỜI MỞ ĐẦU
Sự phát triển nhanh chóng của Internet băng rộng đã làm thay đổi cả về nội dung

và kỹ thuật truyền hình. Hiện nay truyền hình có nhiều dạng khác nhau: truyền hình số,
truyền hình vệ tinh, truyền hình cáp, truyền hình Internet và IPTV. Trong số đó, IPTV
đang là cấp độ cao nhất và được đánh giá là công nghệ truyền hình của tương lai. Sự vượt
trội của công nghệ IPTV là tính năng tương tác giữa hệ thống với người xem, cho phép
người xem chủ động về thời gian và khả năng triển khai nhiều dịch vụ giá trị gia tăng tiện
ích khác trên hệ thống nhằm đáp ứng nhu cầu của người sử dụng.
Hiện nay trên thế giới đã có một số quốc gia triển khai thành công IPTV như
Trung Quốc, Singapore, Bỉ,... Theo các chuyên gia dự báo thì tốc độ phát triển IPTV đã
và sẽ tăng theo cấp số nhân theo từng năm và đó là xu thế truyền hình của tương lai. Về
công nghệ IPTV ở Việt Nam hiện nay, một số nhà cung cấp đã triển khai IPTV từ năm
2009 trên mạng băng rộng và thu được những thành công đáng kể. Trong số đó có dịch
vụ MyTV của VNPT được triển khai rộng khắp và bước đầu đáp ứng được yêu cầu của
người sử dụng.
Tuy nhiên vấn đề bảo mật cho một dịch vụ công nghệ thông tin và truyền thông
đang là một vấn đề cần quan tâm trong thời địa số hóa hiên nay. Mặt khác do dịch vụ
IPTV triển khai trên nền mạng Internet nên rất nhiều vấn đề về bảo mật hệ thống IPTV
cần phải nghiên cứu để đảm bảo an toàn cho dịch vụ được cung cấp tời người dùng. Hơn
nữa việc ứng dụng các giải pháp bảo mật cho dịch vụ MyTV cũng là yêu cầu cấp thiết
trong quá trình vận hành, khai thác dịch vụ thực tế.


CHƯƠNG I. TỔNG QUAN VỀ HỆ THỐNG IPTV VÀ CÁC YÊU
CẦU BẢO MẬT
1.1. Giới thiệu công nghệ IPTV
1.1.1 Khái niệm về IPTV
Hệ thống truyền hình tương tự quảng bá đã được phát triển rộng rãi hơn 60 năm
trước đây. Trong giai đoạn này, trải nghiệm của người xem chuyển từ bộ máy thu hình
trắng đen sang máy thu hình màu và sự dịch chuyển từ truyền hình trắng đen sang truyền
hình màu yêu cầu người xem phải mua bộ máy thu hình mới cũng và nhà cung cấp phát
quảng bá phải đầu tư bộ phát mới trước và sau đó. Ngày nay, ngành công nghiệp đã trải

qua một cuộc cách mạng sâu sắc từ truyền hình truyền thống sang một kỉ nguyên mới của
công nghệ số. Phần lớn nhà cung cấp dịch vụ truyền hình đã nâng cấp mạng lưới hiện có
và triển khai nhiều hệ thống số tiên tiến nhằm mục đích dời khách hàng từ hệ thống
truyền hình tương tự truyền thống sang các dịch vụ số hiện đại hơn. Một công nghệ mới
được gọi là truyền hình trên giao thức Internet ( IPTV ) đã bắt đầu nắm bắt xu thế toàn
cầu bắt đầu bằng câu chuyện về một vài công ty viễn thông, truyền hình cable, vệ tinh, số
mặt đất và một vài nhà cung cấp dịch vụ Internet truyền hình ảnh qua một dịch vụ dựa
vào nền tảng hạ tầng IP. Như được miêu tả qua cái tên, IPTV thể hiện một cơ chế cho
việc truyền các luồng nội dung hình ảnh qua một hạ tầng mạng truyền dẫn sử dụng giao
thức mạng IP. Theo quan điểm của đối tượng sử dụng, việc khai thác và xem IPTV cũng
giống như dịch vụ TV trả tiền. ITU-T (ITU-T FG IPTV) đã chính thức chấp thuận định
nghĩa IPTV như sau:
IPTV được định nghĩa là các dịch vụ đa phương tiện như truyền
hình/video/audio/văn bản/đồ họa/số liệu truyền tải trên các mạng dựa trên IP được kiểm
soát nhằm cung cấp mức chất lượng dịch vụ, độ mãn nguyện, độ bảo mật và tin cậy theo
yêu cầu.
1.1.2 Hệ thống IPTV
IPTV là một công nghệ mới cho phép linh hoạt hơn trong quản lý và tạo điều kiện
để tương tác trực tiếp với nguồn của nội dung, cải thiện những phản hồi và lên kế hoạch
trong tương lai. Trải nghiệm của khách hàng được cải thiện đáng kể bởi họ được kiểm


soát toàn bộ nội dung ngay lập tức khi nó xuất hiện, cũng như thông tin liên lạc hai chiều
với nhà cung cấp nội dung.
IPTV là dịch vụ đa truyền thông gồm truyền hình, văn bản, đồ họa, dữ liệu truyền
trên các mạng dựa trên phương thức IP được quản lý để cung cấp đảm bảo chất lượng
dịch vụ, tính bảo mật, tương tác và độ tin cậy cao.
IPTV không giống như truyền hình cáp truyền thống mà nó là một tổng thể các
chuỗi dịch vụ truyền hình có tính tương tác. Chính vì vậy mô hình kiến trúc của IPTV
cũng phải thực sự đặc biệt.

1.2. Các dịch vụ cơ bản của IPTV
Khả năng của IPTV gần như là vô tận và hứa hẹn mang đến cho người sử dụng
những dịch vụ kĩ thuật số chất lượng cao.
Dưới đây là bảng thống kê một số dịch vụ cơ bản của IPTV:

Nhóm

Tên dịch vụ

Mô tả về dịch vụ

dịch vụ
Dịch vụ phát các
Truyền

hình

quảng

bá kênh truyển hình quảng bá

(Linear/Broadcast TV)

thông

thường.

Ví

dụ:


VTV1, VTV2, VTV3 . . .
Dịch vụ cung cấp cho
người dùng xem nhiều góc
quay của một phim (3D)
Multi - Angel Service

hoặc một trận bóng đá.
Dịch vụ hướng dẫn
trực tiếp trên màn hình về
lịch phát sóng, danh sách các

Electronic Program Guide (EPG)
Dịch vụ

phim, cước phí
Quảng cáo phát kèm


quảng

Quảng cáo truyền hình truyền với các chương trình truyền

bá

(Broadcast

thống

hình truyền thống.


Service)

Truyền hình quảng bá
cho phép người dùng tạm
dừng, xem lại, xem tiếp, bỏ
qua các đoạn quảng cáo, ghi
Linear/Broadcast

with

Modes

Trick lại chương trình bằng các
thiết bị ghi.
Cho phép người sử
dụng lựa chọn phim, chương

Phim theo yêu cầu(VoD)

trình yêu thích và có thanh
toán cước phí
Cho phép người sử

Nhạc theo yêu cầu(Music On dụng lựa chọn bản nhạc, âm
Dịch vụ Demand Service - MoD)
theo yêu cầu
(On

thanh, có thanh toán cước

phí

Demand

Service)
Cho phép người sử
Trò chơi theo yêu cầu( Game On dụng lựa chọn các chương
Demand Service - MoD)

trình trò chơi, có thanh toán
cước phí
Xem

các

chương

Thanh toán theo nội dung (Pay Per trình phải trả phí ( Đăng kí
View - PPV, OPPV, IPPV)

theo lịch phát hoặc chương
trình mới).


Thông tin chung

Các dịch vụ thông tin

( T- Information)


trên truyền hình như tin tức

Dịch vụ
tương

thời sự, thời tiết, giá cả thị

tác

trường.

(Interactive)

T-

Communication:

dịch vụ thông tin qua truyền
hình cung cấp cho khách
T- Communication

hàng khả năng trao đổi thông
tin thông qua IPTV dưới các
hình thức như email, tin
nhắn, chat, duyệt Web…
Dịch vụ giao dịch

Thương mại

ngân hàng, mua sắm, đặt chỗ


(T- Commerce)

khách sạn, tàu, vé máy bay,
vé xem phim, xem ca nhạc
tại nhà.
Cho phép người xem
tham gia trực tiếp các trò

Dịch vụ Voting

chơi trên truyền hình có thể
thông qua Remote.

Giải trí
(T- Entertainment)

Các trò chơi, karaoke,
xem ảnh, xổ số, nhật kí điện
tử..Có thể chơi một người

Service

hoặc một nhóm.
Thông tin chính sách
(T- Goverment)

Các thông tin về chế
độ chính sách xã hội liên
quan đến nhà nước, chính



phủ, thành phố, địa phương.
Dịch vụ tra cứu tìm
Interactive Program Guide (IPG).

kiếm nội dung trên TV theo

Electronic Contents Guide (ECG).

các chủ đề mà khách hàng
lựa chọn.
( Tương tác)
Quảng cáo theo yêu
cầu của doanh nghiệp (Tập

Quảng cáo chọn lọc

trung vào một số đối tượng
khách hàng nhất định không
quảng bá toàn mạng).

Bảng 1.1 Một số dịch vụ của IPTV
1.3 Các yêu cầu bảo mật cho IPTV
Trong mô hình kinh doanh dịch vụ IPTV, nhà cung cấp dịch vụ truyền video
streaming tới các thuê bao. Theo mô hình trong hình 1.1, đối với hệ thống IPTV, các yêu
cầu bảo mật được đặt ra như sau:
(1) Bảo mật nội dung số được cung cấp trong hệ thống IPTV
(2) Bảo mật hệ thống Head-end
(3) Bảo mật mạng truyền dẫn IPTV

(4) Bảo mật thiết bị đầu cuối.


CHƯƠNG II. NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ
IPTV
2.1. Các nguy cơ làm mất an toàn, bảo mật hệ thống dịch vụ IPTV
Hệ thống dịch vụ IPTV có tất cả các tính chất dễ bị tổn thương về an toàn, bảo mật
như là mạng truyền tải dựa trên TCP/IP và dịch vụ được cung cấp trên Internet. Trong
phần này, luận văn khảo sát một số nguy cơ dẫn đến mất an toàn, bảo mật cho hệ thống
IPTV.
Hình 2.1 dưới đây mô tả phân loại các rủi ro đối với hệ thống IPTV.

Hình 2.1. Phân loại các rủi ro cho hệ thống IPTV
2.1.1 Truy cập gian lận
Truy cập gian lân là một trong những dạng lâu đời nhất của hình thức gian lận
trong bảo hiểm/truyền hình trả tiền. Tình trạng này sẽ xảy ra khi một cá nhân lừa các truy
cập vào các cơ chế để đạt được truy cập trái phép vào các nội dung truyền hình mà không
cần trả tiền phí thuê bao hoặc tăng quyền truy cập cấp. Ví dụ về loại hình đe dọa các chủ
IPTV phải đối mặt đến từ ngành công nghiệp truyền hình vệ tinh. Trong nhiều năm qua,
họ đã chiến đấu truy cập gian lận. Sự phổ biến rộng rãi của gian lân trong những năm gần
đây, một số công ty truyền hình vệ tinh đã bắt đầu tham gia hành động pháp lý chống lại
quyền cho phép truy cập hoặc không được phép vào nội dung truyền hình.
2.1.2 Phát sóng trái phép


Nội dung IPTV được phân phối ở định dạng số, đơn giản hóa công việc cá nhân
với quan tâm trong việc sao chép hoặc phát sóng các nội dung. Một trong những tranh
luận trong chiến dịch chống lại ăn cắp bản quyền phim là phát trộm những DVD có xu
hướng ghi lén tại rạp phim bởi người sử dụng camera cầm tay. Tuy nhiên với nội dung kỹ
thuật số quảng bá như là một phần của một dịch vụ IPTV không có sự khác biệt giữa nội

dung ăn cắp và nội dung ban đầu. Một ảnh hưởng lớn trên các ngành công nghiệp truyền
hình vệ tinh đã được những kẻ gian lận bán thẻ thông minh có quyền truy cập tát cả dựa
trên các sửa đổi thẻ thông minh và các thiết bị nhận thẻ thông minh sao cho hợp lệ. Nếu
những kẻ gian lân thành công tại cùng một loại hình tấn công trong một môi trường
IPTV, chúng sẽ có thể tạo ra ‘tất cả các truy cập’ IPTV đặt tại các STB hoặc thẻ. Kết quả
là, các ngành công nghiệp phải đối mặt với một mối đe dọa IPTV hoàn toàn mới – với
các trạm phát sóng ở trên mỗi máy tính tin tặc sẽ có thể phân phối lại các quảng bá cho
dòng mày tính khác trên thế giới
2.1.3 Xuyên tạc nội dung
Đối với IPTV thực tiễn trên các môi trường khác nhau gửi tín hiệu bằng cách sử
dụng giao thức IP chuẩn và các đối tượng tấn công có thể kết nối thông qua các Webside
và điều khiển Middleware Server hoặc các Server truyền hình, người ta có thể thay đổi số
liệu trong nội dung mà trước đó đã được mã hóa bảo mật bằng phần mềm DRM. Đối
tượng tấn công có thể điều khiển nội dung khiến cho các công ty cung cấp IPTV phát các
nội dung không thích hợp hoặc không được phép.
2.1.4 Nguy cơ xâm nhập và tấn công đối với nhà cung cấp dịch vụ IPTV
Môi trường IPTV sẽ có một loạt các tấn công phụ thuộc vào chức năng. Tác động
an ninh vào Head end lớn hơn nhiều so với tác động vào thiết bị đầu cuối. Mạng truyền
tải có một số nguy hại đối với các dịch vụ chạy trên nó.


Mô hình IPTV cấp cao

Thuê bao
IPTV /
Subcriber

Network
Provider/
Nhà cung

cấp mạng
truyền dẫn

IPTV Service
Provider/
Nhà cung
cấp dịch vụ

Content
Provider/
Nhà cung
cấp nội
dung

Hình 2.2. Biểu thị mô hình môi trường IPTV mức cao
Các hệ thống thuộc về trung tâm dữ liệu hoặc các trung tâm hệ thống thường bị
tấn công bên trong nhiều hơn bên ngoài và thỉnh thoảng nhân viên làm việc tại các trung
tâm đó truy nhập tương đối nhiều thông tin.
Trước đây có một số nhân viên trong quá trình làm việc muốn chiếm đoạt tài sản
của các công ty truyền hình mà họ làm việc. Do đó cần phải thiết lập các ứng dụng nội bộ
để hạn chế truy nhập đối với các đối tượng sử dụng hợp pháp và ngăn chặn, xác định các
sửa đổi trong nội bộ.
2.1.5. Nguy cơ đối với thiết bị đầu cuối thuê bao IPTV
Có nhiều Set Top Box khác nhau trên thị trường. STB là thiết bị đầu cuối cho
phép thu, giải mã và hiển thị nội dung trên màn hình TV. Một số được sản xuất bằng
phần cứng và phần mềm thích hợp. Còn một số khác dựa trên các hệ thống vận hành
nguồn mở. Hiện nay, có một số đã bắt đầu sử dụng công nghệ PC chuẩn, có phần cứng
nhỏ gọn, cho phép các thuê bao tải OS, middlewave và DRM client riêng của chúng. STB
cần hỗ trợ các chuẩn MPEG-4/H.264. Ngoài ra STB cũng có thể hỗ trợ HDTV, kết nối
với thiết bị lưu trữ bên ngoài: USB, Video phone…STB cung cấp các ứng dụng truyền

thông giải trí. Nó có thể giải mã những chuỗi dữ liệu và hình ảnh đến địa chỉ IP. Ngoài ra
STB cũng hỗ trợ chuẩn H.264/MPEG-4 part 10. Cùng với STB có đồng bộ kèm theo là
Remote control có chức năng điều khiển từ xa và thực hiện chức năng như hẹn lịch xem,
nhắn tin tương tác giữa nhà cung cấp và người sử dụng.


2.2. Các giải pháp bảo mật cho dịch vụ IPTV
2.2.1. Giải pháp bảo vệ nội dung
2.2.1.1 Hệ thống bảo vệ nội dung (CPS)
Hệ thống bảo vệ nội dung được sử dụng để đảm bảo nội dung chỉ được xem bởi
thuê bao được ủy quyền. Trong cả VOD và live IPTV, những kẻ xâm nhập có thể dễ dàng
tiếp cận với các luồng multicast và unicast. Mục đích của CPS để đảm bảo đối tượng trái
phép sẽ không có khả năng giải mã các nội dung hoặc phân phối lại các nội dung trên cơ
sở của luồng ban đầu.
2.2.1.2 Hệ thống truy cập có điều kiện (CAS)
Hệ thống truy cập có điều kiện được các nhà khai thác sử dụng để kiểm soát quyền
truy cập vào nội dung. CAS thực hiện sự dịch tần số đơn giản và nhiễu để mã hóa nội
dung. Vì các công ty viễn thông và các hãng phải đỗi mặt với các mối đe dọa khác nhau
liên quan đến IPTV, một loạt các công nghệ mới đã được phát triển để bảo vệ dữ liệu.
Chức năng CAS dựa trên cùng một nguyên tắc như CPS: một khi thông tin đã
được mã hóa, hệ thống sẽ đảm bảo khóa phiên chỉ được gửi đến những thuê bao có thẩm
quyền để nhận được nội dung. Trong một số trường hợp, CAS có thể được triển khai sử
dụng danh sách kiểm soát truy cập duy nhất, mà không cần mã hóa nội dung.
Thực hiện xác minh nội bổ để đảm bảo chỉ có các thuê bao hợp lệ có thể yêu cầu
tiêu đề VOD, và điều này bao gồm cả việc kiểm tra tình trạng tài khoản.
2.2.1.3 Quản lý bản quyền số (DRM)
Chủ sở hữu nội dung nhận ra rằng IPTV cung cấp một kênh tuyệt vời, nhưng cũng
là một nguy cơ rất lớn. Sự phát triển của các mạng peer-to-peer cho thấy nội dung số có
thể dễ dàng được giao dịch trên Internet với ít sự kiểm soát sở hữu nội dung và không có
sự công nhận thích hợp của IP. Phân phối rộng khắp các bản sao bất hợp pháp sẽ làm suy

yếu các hoạt động kinh doanh trên phương tiện truyền thông số và sẽ làm giảm doanh thu
của các chủ sở hữu nội dung.
Các nhà cung cấp công nghệ thường cài đặt ban đầu các giải pháp thiếu cơ chế
DRM, một số sử dụng công nghệ cơ bản hoặc các cơ chế mã hóa yếu. Ngày nay, thay vì
điều khiển DRM đường truyền, một số nhà cung cấp vẫn không giải quyết vấn đề ghi âm


và phát lại. Thuê bao có thể lưu trữ các bản sao của tài liệu DRM và phát hành lại trên
web. Điều này cần thiết phải có nội dung điều khiển DRM mạnh mẽ để giảm thiểu nguy
cơ truy cập trái phép vào nội dung.
2.2.2 Giải pháp bảo mật hệ thống Head-end của nhà cung cấp dịch vụ IPTV
Thành phần trung tâm của hệ thống IPTV là hệ thống Head-End. Thành phần này
bao gồm một số các thành phần cho phép thu nhận nội dung, chuyển đổi định dạng, quy
cách và tái phân phối đến các thuê bao tùy theo mô hình kinh doanh và theo các gói thuê
bao cung cấp. Head-end có thể được triền khai thành các Head-end trung tâm và các
Head-end khu vực vùng miền. Head-end khu vực vùng miền cung cấp nội dung cho các
thuê bao trực thuộc khu vực đó nhằm đảm bảo độ trễ thấp.
Hệ thống head-end nhận một tập các dòng truyền nội dung – data feeds với các
định dạng khác nhau bao gồm: các dòng video trực tiếp từ các trường quay, các nội dung
chính từ các công ty khác, tái truyền dẫn các nội dung, các nguyền Video từ vệ tinh và
các dòng video đã có sẵn trong hệ thống. Do các nội dung được nhận về có các định dạng
khác nhau, định dạng Analog không thể truyền dẫn được qua mạng IP. Nội dung có thể
nhận được nhờ các phương tiện lưu trữ khác như DVD, CD, Tape hoặc các dòng trực tiếp
như từ vệ tinh và truyền hình mặt đất. Các nội dung cần mã hóa sang số và đóng gói theo
giao thức TCP/IP. Một số thành phần khác cũng liên quan như DRM và hệ thống quản lý
nội dung cũng bao gồm trong hệ thống. Tất cả các quá trình truyền dẫn thông tin với thuê
bao được phối hợp bởi Middleware server nhận các yêu cầu kết nối từ STB.
2.2.3 Bảo mật trong mạng truyền dẫn dịch vụ IPTV
2.2.3.1. DSLAM
DSLAM thực tế là thành phần đầu tiên có ý nghĩa quan trọng về bảo mật trong hệ

thống IPTV. STB được triển khai bởi các nhà cung cấp dịch vụ IPTV, nhưng lại nằm
ngoài phạm vi bảo vệ được bởi nhà cung cấp. Gateway khu vực điểm truy cập dịch vụ
cũng nằm ngoài phạm vi quản lý của nhà cung cấp dịch vụ IPTV.
Đặc biệt, khi nói về mạng dịch vụ sử dụng truy cập băng rộng, có một nhu cầu
chính về IP DSLAM như là một thiết bị đầu tiên cần có độ tin cậy trong kiến trúc hệ
thống. DSLAM là nơi các thuê bao kết nối vật lý (cáp đồng hay cáp quang) trực tiếp đến


mạng dịch vụ. Các điểm truy cập là nơi duy nhất có thể kết nối đến giao thức chứng thực
người dùng hợp lệ cho sử dụng về sau.
2.2.3.2 Định tuyến - routing
Nhà cung cấp dịch vụ có thể sử dụng định tuyến lớp 3 tĩnh, động hoặc theo các
chính sách bởi nhà cung cấp dịch vụ. Định tuyến dựa trên chính sách được thực hiện
bằng cách sử dụng một số miền địch tuyến ảo Virtual routing domains (VRDs). Mỗi
VRD được sử dụng để cung cấp quyết định định tuyến cho các gói tin thuê bao và dựa
trên các thành phần định tuyến VRD để xác định thuê bao thuộc về cây định tuyến nào.
Với phương thức định tuyến cơ bản, các gói tin có thể được phân đoạn chỉ trong
các miền hợp lệ, đảm bảo rằng chỉ các thành phần mạng đã được chứng thực được phép
truyền dẫn trong IPTV VRD. Các STB không được chứng thực sẽ không thể gửi các gói
tin trong mạng IPTV. Điều này cũng bao gồm trường hợp kẻ tấn công cố gắng truy cập
mạng dịch vụ bằng cách tấn công một đường truyền vật lý.
2.2.3.3 Tách biệt các thuê bao
Với các nguy cơ xảy ra từ các viruses và worms, cùng với các nguy cơ hiển nhiên
của việc kẻ tấn công sử dụng một STB để tấn công các STB lân cận, cần phải tách biệt
các người dùng trong mạng dịch vụ cung cấp. Chức năng tách biệt các người dùng đảm
bảo rằng các người dùng không thể truy cập các STB của người dùng khác, giảm các ảnh
hưởng của quá trình lây nhiễm hàng loạt các đầu cuối trong mạng bởi Virus, worm. Nếu
kẻ tấn công có thể lấy được quyền điều khiển của một STB, khi đó kẻ tấn công này cũng
không thể kết nối đến các STB khác trong cùng mạng để thực hiện tấn công được. Do các
gói tin truyền giữa các STb là không hợp lệ và bị loại bỏ bởi DSLAM, do đó cũng không

ảnh hưởng đến truyền dẫn dịch vụ trong mạng.
2.2.3.4 Mạng ảo và mạng kết nối thuê bao ảo
Khi mạng ảo virtual private networks (VPNs và VLANs) được sử dụng để truyền
các thông tin giá trị sử dụng nền tảng mạng công cộng, các dữ liệu được bảo vệ khỏi các
truy cập trái phép.
Trong mạng VPN, một nhóm các thành phần mạng đã được chứng thực được phép
truy cập đến nội dung. Các mạng ảo có thể được sử dụng để tách biệt các giải thông IPTV


khỏi tất cả các loại hình dịch vụ khác thông qua DSLAM. Với chức năng QoS và
DSLAM, các dải thông có thể được điều khiển đảm bảo loại trừ các tấn công từ chối dịch
vụ.
VLAN hoặc VPNs có thể được sử dụng để chia tách các giải thông truyền dẫn
giữa các dịch vụ khác nhau như: IPTV, VoIP, Internet access, control, … Trong mỗi
mạch vòng thuê bao, các quy tắc và các cơ chế bảo mật khác nhau có thể được triển khai,
các dải thông nhất định có thể bị khóa và giảm thiểu các nhiễu trong mạng. Ví dụ trong
VLAN dùng trong IPTV, các cơ chế bảo mật có thể được triển khai để đảm bảo chỉ các
yêu cầu giao thức HTTPS được truyền từ STB đến Head-end.
Tùy thuộc vào loại thiết bị, chức năng này có thể triển khai sử dụng các hệ thống
lọc lớp 2 hoặc lớp 3 – chức năng này liên kết đến các yêu cầu về bảo mật cũng như các
khả năng bảo mật của thiết bị.
2.2.4 Giải pháp bảo mật hệ thống thiết bị đấu cuối home-end
2.2.4.1 Residential Gateway
Residential gateway – Gateway khu vực truy cập thuê bao – tập trung các dịch vụ
khác nhau được cung cấp đến thuê bao vào trên một đường truyền dẫn duy nhất.
Residential gateway có một số các cơ chế bảo mật cơ bản bao gồm các chức năng lọc
cũng như khả năng thực hiện QoS. Residential gateway chia sẻ các kết nối cục bộ bao
gồm VoIP phones, high-speed Internet access và IPTV services.
2.2.4.2 Filtering
Residential gateway có thể được cấu hình để lọc các gói tin và chỉ cho phép các

yêu cầu hợp lệ từ các thiết bị Home-end tới Head-end. Đặc biệt, các filter có thể khóa bất
kỳ một giải thông truyền dẫn nội dung nào không phù hợp với loại dải thông truyền hợp
lệ (ví dụ 80, 443 và RSTP). Chức năng này giảm thiểu nguy cơ sâu máy tính worms hoặc
viruses gây lây nhiễm cho một diện số lượng lớn các STB để thực hiện tấn công DOS đối
với head-end.
2.2.4.3 Set top box
STB thông thường là các phần cứng tích hợp trên một IC. Có một số giới hạn đối
với các STB dựa trên nền tảng PC. STB cũng có các nguy cơ về bảo mật như việc truy


cập trái phép nội dung số hoặc sự đánh cắp các khóa mã khóa bảo mật. Kẻ tấn công có
thể tháo rời các thành phần phần cứng để tìm ra các điểm yếu trong hệ thống STB, và
trong một số trường hợp có thể chế tạo hoặc lập trình lại các chương trình bên trong STB
để tạo ra các kẽ hở. Các PC cho phép truy cập dễ dàng hơn đến các khóa và nội dung, khi
kẻ tấn công có quyền điều khiển toàn bộ hệ thống và chỉ cần thực hiện các thao tác đơn
giản trên STB là có thể lấy được các khóa được lưu trữ trong bộ nhớ hoặc các nội dung
ghi nhớ đệm trong quá trình giải mã.
STB được thiết kế để chứa đựng các hệ điều hành và các chương trình sử dụng các
thành phần phần cứng. Một trong những thành phần chính trong STB là bộ nhớ Flash.
Flash memory là loại bộ nhớ có thể dễ dàng bị bị xóa điện và tái lập trình. Các thành
phần này có thể được sử dụng để lưu các mã chương trình và khóa. Các thông tin có thể
được lưu lại ngay cả khi STB ngắt kết nối khỏi nguồn điện.


CHƯƠNG III. NGHIÊN CỨU ĐỀ XUẤT CÁC GIẢI PHÁP
BẢO MẬT CHO DỊCH VỤ MyTV CỦA VNPT
3.1. Giới thiệu dịch vụ MyTV
MyTV là dịch vụ truyền hình đa phương tiện do Tập đoàn Bưu chính Viễn thông
Việt Nam cung cấp, mang đến cho khách hàng hình thức giải trí khác biệt: “Truyền
Hình Theo Yêu Cầu”.

Dịch vụ IPTV của VNPT, do Công ty Phát triển dịch vụ Truyền hình trực tiếp xây
dựng và triển khai trên phạm vi toàn quốc với tên gọi thương mại MyTV, là sản phẩm
của sự hội tụ, dựa trên công nghệ IPTV, tính hiệu truyền hình được chuyển hóa thành tín
hiệu IP, truyền qua hạ tầng mạng băng thông rộng của VNPT đến thiết bị đầu cuối STB
và tới TV của khách hàng.
Với MyTV, khách hàng không chỉ dừng lại ở việc xem truyền hình đơn thuần mà
có thể xem bất cứ chương trình nào mình yêu thích vào bất kì thời điểm nào và sử dụng
nhiều dịch vụ khác qua màn hình TV như: xem phim theo yêu cầu, xem trực tiếp, xem lại
các chương trình, hát karaoke, nghe nhạc.
3.2. Các yêu bảo mật trong MyTV
3.2.1 Mô hình cung cấp dịch vụ MyTV
3.3. Các giải pháp bảo mật trong MyTV
3.3.1. Đường dây thuê bao
3.3.2. IP DSLAM / Access Switch
3.3.4. DHCP Server
3.3.5. EPG Server
3.3.6. Account Server
3.3.7. VoD Server
3.3.8. Video Storage Server
3.3.9. Hệ thống DRM/CAS


KẾT LUẬN
Các kết quả đạt được
Luận văn đi sâu vào tìm hiểu kiến trúc cơ bản của IPTV và nghiên cứu kĩ về các
mô hình giao thức có trong IPTV, các định dạng gói khi truyền từ các tầng trên xuống và
các cơ chế phát hiện lỗi mất gói, và định tuyến gói đến đúng địa chỉ theo tuyến Multicast
và Unicast.
Luận văn cũng đi vào nghiên cứu các nguy hiểm rủi ro chính khi mà triển khai
IPTV trên diện rộng. Các nguy cơ này đến từ phía khách hàng truy nhập trái phép và nạ

tin tặc tấn công các server gây ra từ chối dịch vụ hoặc ăn cắp bản quyển. Từ đó đưa ra các
giải pháp an ninh cho hệ thống IPTV
Hướng phát triển của luận văn
Tiếp đến luận văn sẽ tiếp tục nghiên cứu sâu hơn về triển khai bảo mật cho từng
thành phần cụ thể trong mạng cùng với các thuật toán mật mã tiên tiến.
Như đã trình bày, cùng với sự phát triển không ngừng của IPTV thì đi cùng với nó
là sự gian lận trong truy cập trái phép, sao chép trái phép các nội dung, các loại hình tấn
công từ chối dịch vụ nhằm phá vỡ hệ thống bảo mật của IPTV. Vì vậy khi triển khai
mạng IPTV thì các nhà cung cấp dịch vụ cần phải xem xét cụ thể các biện pháp bảo mật
có thẻ triển khai nhằm cung cấp cho khách hàng các nội dung theo đúng cam kết và đảm
bảo chất lượng dịch vụ.