Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.02 MB, 147 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
HOÀNG VIỆT BẮC
PHÂN TÍCH CÁC VẤN ĐỀ BẢO MẬT TRONG
HỆ THỐNG CUNG CẤP DỊCH VỤ IPTV
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ
LUẬN VĂN THẠC SĨ NGÀNH KỸ THUẬT ĐIỆN TỬ
NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. NGUYỄN PHAN KIÊN
Hà nội, 2009
LỜI CAM KẾT
Tôi xin cam đoan đây là kết quả của quá trình tự tìm tòi nghiên cứu của chính tôi,
không sao chép bất cứ thành quả của công trình nghiên cứu nào và tôi hoàn toàn
chịu trách nhiệm trước các nội dung đã trình bày trong luận văn.
Tác giả
Hoàng Việt Bắc
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
MỤC LỤC
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT.................................................................. 3
DANH MỤC BẢNG................................................................................................. 6
DANH MỤC HÌNH VẼ............................................................................................ 7
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI......................................................................... 9
1.1. Tổng quan về đề tài ............................................................................................ 9
1.2. Mục tiêu, đối tượng và phạm vi nghiên cứu .................................................... 11
1.3. Bố cục của đề tài .............................................................................................. 11
CHƯƠNG 2: CẤU HÌNH HỆ THỐNG IPTV ....................................................... 13
2.1. Kiến trúc hệ thống IPTV.................................................................................. 13
2.2. Kiến trúc cụ thể hệ thống IPTV ....................................................................... 18
CHƯƠNG 3: MẠNG TRUYỀN DẪN IPTV – CÁC GIAO THỨC SỬ DỤNG... 30
3.1. Mạng LAN ảo - VLANs (Virtual Local Area Networks)................................ 30
3.2. Giao thức IGMP - Internet group membership protocol ................................. 31
3.3. Giao thức RTP và RTSP .................................................................................. 36
3.4. Ismacryp........................................................................................................... 38
3.5. PIM – Protocol Independent Multicast ............................................................ 40
3.6. MSDP - Multicast source discovery protocol.................................................. 40
3.7. DSM-CC - Digital storage Media Command and Control .............................. 41
3.8. DSLAM - Digital Serial Line Access Multiplexer .......................................... 41
CHƯƠNG 4: TỔNG QUAN CÁC VẤN ĐỀ BẢO MẬT VÀ CÁC CÔNG NGHỆ
TRONG BẢO MẬT HỆ THỐNG IPTV ................................................................ 43
4.1. Bản quyền sở hữu trí tuệ Intellectual Property (IP) trong quản lý nội dung số43
4.2. Các công nghệ hỗ trợ hệ thống bảo mật mạng IPTV....................................... 49
4.3. Các cơ chế chung cho bảo mật nội dung ......................................................... 55
4.4. Quá trình hoạt động của DRM trong hệ thống mạng IPTV:............................ 59
4.5. Watermarking và Fingerprinting...................................................................... 61
4.6. Chứng thực - Authentication............................................................................ 62
4.7. Tổng hợp .......................................................................................................... 63
HV: Hoàng Việt Bắc
-1-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
CHƯƠNG 5: CÁC NGUY CƠ BẢO MẬT TRONG TRIỂN KHAI HỆ THỐNG
MẠNG DỊCH VỤ IPTV HIỆN NAY..................................................................... 64
5.1. Giới thiệu về các nguy cơ đối với mạng IPTV ................................................ 67
5.2. Tổng hợp ........................................................................................................ 100
CHƯƠNG 6: CÁC GIẢI PHÁP CHO CÁC NGUY CƠ TẤN CÔNG BẢO MẬT
............................................................................................................................... 101
6.1. Các nền tảng cơ bản của giải pháp bảo mật................................................... 102
6.2. Hệ thống Head-end của nhà cung cấp dịch vụ IPTV..................................... 111
6.3. Mạng truyền dẫn dịch vụ IPTV...................................................................... 126
6.4. Hệ thống thiết bị đấu cuối home-end ............................................................. 135
6.5. Tổng hợp ........................................................................................................ 141
CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN...................................... 143
TÀI LIỆU THAM KHẢO..................................................................................... 145
HV: Hoàng Việt Bắc
-2-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
Thuật ngữ
Tiếng anh
Tiếng việt
AES
Advanced encryption
standard
Mã hóa bảo mật cấp cao
ATSC
Advanced Television
Systems Committee
Ủy ban truyền hình Hoa kỳ
BRAS
Broadband Remote Access
Server
Server quản lý truy cập băng rộng
từ xa
CA
Certification Authority
Người cấp chứng thực số
CAS
Conditional access systems
Hệ thống quản lý truy cập
CPS
Content protection systems
Hệ thống bảo vệ nội dung số
DES
Data Encryption Standard
Chuẩn mã hóa bảo mật dữ liệu
DHCP
Dynamic Host
Configuration Protocol
Cấp phát cấu hình đầu cuối kết nối
động
DRM
Digital Rights Management
Hệ thống quản lý bản quyền nội
dung số
DSL
Digital subscriber line
(ADSL, ADSL2, ADSL+,
ADSL2+)
Đường thuê bao số
DSLAM
Digital Subscriber Line
Access Multiplexer
Thiết bị ghép kênh trụy cập thuê
bao số
DSM
Digital storage Media
Giao thức điều khiển dòng truyền
video
DVI
Digital Visual Interface
Giao diện kết nối video số
DVR
Digital Video recoder
Thiết bị ghi Video số
EPG
Electronic Program Guide
Bảng hướng dẫn chương trình
FTTx
Fiber to the x
Hệ thống truyền dẫn thuê bao
quang
HV: Hoàng Việt Bắc
-3-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
H.264/ AVC H.264/ AVC is a standard
for video compression
Chuẩn định dạng Video được xây
dựng trên hợp tác giữa tổ chức
ITU-T Video Coding Experts
Group (VCEG) kết hợp với
ISO/IEC Moving Picture Experts
Group (MPEG)
HD
High Definition
Truyền hình phân giải cao
HFC
Hybrid Fibre-Coaxial
Truyền dẫn quang lai
HIS
High-speed Internet access
Truy cập Internet tốc độ cao
IEEE
Institute of Electrical and
Electronics Engineers
Viện nghiên cứu công nghệ điện và
điện tử
IGMP
Internet Group Membership
Protocol
Giao thức nhóm truyền dẫn quảng
bá
IP
Intellectual Property
Bản quyền sở hữu trí tuệ
IPTV
Internet Protocol Television
Truyền hình qua giao thức Internet
IRD
Integrated Receiver Decoder Thiết bị thu nhận giải mã vệ tinh
ISMACRYP Internet Streaming Media
Alliance Encryption and
Authentication
Công nghệ mã khóa chứng thực
của tổ chức ISMA
KMS
Key management systems
Hệ thống quản lý khóa
LAN
Local Area Network
Mạng cục bộ
MPEG
Moving Picture Experts
Group
Nhóm phát triển tiêu chuẩn nén và
định dạng cho hình ảnh
MSDP
Multicast source discovery
protocol
Giao thức chia sẻ định tuyến
Multicast
NTSC
National Television System
Committee
Chuẩn truyền hình tương tự NTSC
PAL
Phase Alternating Line
Chuẩn truyền hình tương tự PAL
HV: Hoàng Việt Bắc
-4-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
PIM
Protocol Independent
Multicast
Phương thức Multicast độc lập giao
thức
PVR
Personal Video Recorder
Thiết bị ghi video cá nhân
RSA
Rivest, Shamir and Adleman Mã khóa công khai
RTCP
RTP Control Protocol
Giao thức điều khiển RTP
RTP
Real-time Transport
Protocol
Giao thức truyền dẫn thời gian thực
RTSP
Real Time Streaming
Protocol
Giao thức streaming video thời
gian thực
SSL
Secure socket layer
Lớp socket bảo mật
STB
Set Top Box
Thiết bị thuê bao thu nhận giải mã
nội dung
TCP
Transmission Control
Protocol
Bộ giao thức truyền dẫn gói trong
mạng IP
TLS
Transport Layer Security
Lớp truyền dẫn bảo mật
TS
Transport Stream
Dòng truyền Video
UDP
User Datagram Protocol
Giao thức truyền dẫn gói người
dùng
VLAN
Virtual Local Area Network
Mạng LAN ảo
VOD
Video On Demand
Truyền hình theo yêu cầu
VoIP
Voice-over IP
Thoại qua mạng IP
WAN
Wide area network
Mạng diện rộng
WiMAX
Worldwide Interoperability
for Microwave Access
Truy cập không dây công nghệ
Wimax
HV: Hoàng Việt Bắc
-5-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
DANH MỤC BẢNG
Bảng 6.1 – Biện pháp bảo mật cho hệ thống quản lý khóa................................... 115
Bảng 6.2 – Các phương pháp bảo mật cho các phương tiện mang tin vật lý ....... 115
Bảng 6.3 – Các phương pháp bảo vệ hệ thống mã hóa MPEG và hệ thống chuyển
mã .......................................................................................................................... 116
Bảng 6.4 – Các phương pháp bảo mật cho Content management server ............. 117
Bảng 6.5 – Các phương pháp bảo vệ hệ thống lưu trữ Video repository ............. 119
Bảng 6.6 – Các phương pháp bảo vệ Video repository disk................................. 119
Bảng 6.7 – Các phương thức bảo vệ lớp DRM..................................................... 122
Bảng 6.8 – Các phương pháp bảo vệ DRM web service ...................................... 123
Bảng 6.9 - Phương pháp bảo vệ DRM disk .......................................................... 124
Bảng 6.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống nhất và tính
liên tục của dịch vụ ............................................................................................... 130
Bảng 6.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống nhất và
tính liên tục của dịch vụ ........................................................................................ 131
Bảng 6.12 - Phương thức tách biệt các thuê bao đảm bảo tính bảo mật, thống nhất
và tính liên tục của dịch vụ ................................................................................... 132
Bảng 6.13 - Chức năng QoS đảm bảo tính bảo mật, thống nhất và tính liên tục của
dịch vụ................................................................................................................... 133
Bảng 6.14 - Giải pháp mạng ảo đảm bảo tính bảo mật, thống nhất và tính liên tục
của dịch vụ ............................................................................................................ 134
HV: Hoàng Việt Bắc
-6-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
DANH MỤC HÌNH VẼ
Hình 2.1: Kiến trúc hệ thống IPTV....................................................................... 13
Hình 2.2: Mô hình chức năng hệ thống IPTV....................................................... 16
Hình 2.3: Khối chức năng cụ thể IPTV ................................................................ 18
Hình 2.4: Cấu trúc tổng thể hệ thống IPTV .......................................................... 19
Hình 2.5: Cấu trúc Middleware............................................................................. 22
Hình 2.6: Phương thức truyền Unicast.................................................................. 23
Hình 2.7: Phương thức truyền Multicast............................................................... 24
Hình 2.8: Mô hình tập trung.................................................................................. 25
Hình 2.9: Mô hình Phân tán .................................................................................. 25
Hình 2.10: Mô hình P2P ....................................................................................... 26
Hình 2.11: Cấu trúc IP Set-Top-Box .................................................................... 28
Hình 2.12: Quá trình xử lý trong Set-Top-Box..................................................... 28
Hình 3.1: Ví dụ phân bố các VLAN trong đường truyền dẫn dịch vụ.................. 30
Hình 3.2: Cấu trúc gói tin VLAN tiêu chuẩn IEEE 802.1Q ................................. 31
Hình 3.3: Cấu trúc gói tin IGMP V2..................................................................... 32
Hình 3.4: Truyền dẫn các gói tin IGMP v2 giữa DSLAM và STB ...................... 34
Hình 3.5: Cấu trúc gói tin IGMP V3..................................................................... 35
Hình 3.6: Truyền dẫn các gói tin IGMP v3 giữa DSLAM và STB ...................... 36
Hình 3.7: Cấu trúc gói tin RTP – RFC 3550......................................................... 37
Hình 3.8: Ví dụ về sự hoạt động RTSP................................................................. 38
Hình 3.9: Sử dụng Ismacryp ................................................................................. 40
Hình 3.10: Chức năng của DSLAM...................................................................... 42
Hình 4.1: Một số chọn lựa để bảo vệ tài nguyên số.............................................. 45
Hình 4.2: Một số loại hình truy cập từ phía người sử dụng.................................. 46
Hình 4.3: DRM Domain........................................................................................ 47
Hình 4.4: Giá trị theo thời gian của nội dung số................................................... 48
Hình 4.5: Ví vụ về quá trình thực hiện chữ ký số ................................................. 54
Hình 4.6: Tương tác giữa DRM và Middleware trong mạng IPTV ..................... 58
HV: Hoàng Việt Bắc
-7-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 4.7: Các thành phần của hệ thống DRM ...................................................... 60
Hình 5.1: Các tài nguyên thông tin tại home-end ................................................. 64
Hình 5.2: Các nguy cơ bảo mật được tìm thấy ..................................................... 65
Hình 5.3: Các thông tin tài nguyên trong hệ thống DRM và VOD ...................... 66
Hình 5.4: Các nguy cơ bảo mật trong hệ thống DRM và VOD............................ 66
Hình 5.5: Phân chia các nguy cơ trong mạng IPTV ............................................. 68
Hình 5.6: Mô hình cấp cao của hệ thống IPTV .................................................... 78
Hình 6.1: Hệ thống IPTV Head-end ................................................................... 112
Hình 6.2: Các lớp bảo mật tại Head-end............................................................. 113
Hình 6.3: Các lớp bảo mật – Truy cập trực tiếp tới DRM .................................. 121
HV: Hoàng Việt Bắc
-8-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI
1.1. Tổng quan về đề tài
Công nghiệp truyền hình trải qua nhiều thập kỷ phát triển biến đổi liên tục không
ngừng, từ cách thức sản xuất chương trình đến các phương thức phân phối nội dung
chương trình truyền hình đến người xem. Người xem ngày càng được thưởng thức
các chương trình với kỹ thuật hình ảnh đẹp hơn, nhiều thông tin hơn, thêm vào đó
người xem có thể chủ động với khả năng tương tác trực quan hơn.
Theo thời gian, ngành công nghiệp đã chứng kiến sự ra đời các mạng lưới truyền
hình mới rộng lớn hơn, nội dung phong phú hơn: Hệ thống truyền hình vệ tinh, hệ
thống truyền hình cáp, và gần đây là sự ra đời của truyền hình phân giải cao HD
(High Definition TV) đã nâng chất lượng nội dung và khả năng truyền tải của hệ
thống truyền hình lên một cấp độ mới trong việc ứng dụng các công nghệ hàng đầu
trong ngành thông tin và truyền thông vào phục vụ cuộc sống. Việc phát sóng các
chương trình truyền hình phân dải cao HD được xem là xu thế nhắm đến của ngành
công nghiệp truyền hình trong những năm tới trên phạm vi toàn thế giới.
Hệ thống truyền hình IPTV - Internet Protocol Television ra đời trong xu hướng
phát triển công nghệ đó và trở thành thuật ngữ hiện nay được sử dụng ngày càng
phổ biến cũng có thể sẽ là sự lựa chọn tương lai của ngành công nghệp này.
IPTV thực chất là hệ thống sản xuất truyền tải các chương trình truyền hình (hình
ảnh và âm thanh) thông qua việc đóng gói và truyền tải các gói tin trong mạng IP,
sử dụng giao thức truyền dẫn trong mạng IP (Internet Protocol). Xu hướng xây
dựng các hệ thống truyền hình mới IPTV được hình thành hiện nay, do những yếu
tố chủ yếu sau:
-
Sự phát triển nhanh của khoa học kỹ thuật trong lĩnh vực điện tử, tin học
trong những năm qua cho phép thực hiện các chương trình truyền hình bằng các
trang thiết bị kỹ thuật số, trên nền tảng công nghệ thông tin trở nên ngày càng phổ
biến. Việc ứng dụng các kỹ thuật mới này khiến việc sản xuất các chương trình trở
lên nhanh hơn, chất lượng cao hơn và sản phẩm sau khi sản xuất dễ dàng thích ứng
HV: Hoàng Việt Bắc
-9-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
để cung cấp đến các khu vực dịch vụ khác nhau: Ứng dụng xem video trên máy
tính, trên điện thoại di động, các thiết bị cầm tay di động PDA thế hệ mới,…
-
Công nghệ truyền dẫn phát triển, cùng với sự phát triển nhanh chóng của các
công nghệ nén và giải nén hình ảnh âm thanh kéo theo khả năng phân phối các nội
dung Video trên các dòng truyền IP trở nên dễ dàng thực hiện được.
-
Xu hướng sử dụng các sản phẩm đa chức năng, các hệ thống dịch vụ tích
hợp trên nền dịch vụ gốc (dịch vụ gia tăng – Value Add) phát triển ngày càng mạnh
đáp để ứng nhu cầu ngày càng tăng của người dùng. Các hãng cung cấp thiết bị đầu
cuối hiện đang tích cực nghiên cứu cho ra các các thiết bị đa chức năng, có khả
năng thực hiện "Triple play" cho Voice, Data, và Video, tất cả thông qua giao tiếp
truyền dẫn phổ thông và rộng lớn nhất hiện nay: Giao tiếp IP.
-
Hệ thống IPTV cũng cho phép thực hiện các chương trình truyền hình tương
tác hơn, phong phú hơn rất nhiều nếu so sánh với các thế hệ truyền hình trước đó.
Người xem truyền hình sẽ chủ động hơn trong nhu cầu xem các chương trình của
mình. Hơn nữa với khả năng tương tác mạnh, lần đầu tiên người xem có thể tham
gia luôn vào trong phần trình diễn chương trình truyền hình của nhà cung cấp dịch
vụ IPTV.
-
Việc tận dụng các cơ sở hạ tầng mạng sẵn có để truyền tải nội dung có ý
nghĩa quan trọng trên quan điểm đầu tư đối với các nhà cung cấp dịch vụ nội dung.
Các nhà cung cấp dịch vụ chỉ cần mua lại một phần dải thông mạng của các nhà
cung cấp dịch vụ mạng sẵn có mà không cần đầu tư xây dựng một hạ tầng mạng
mới. Hơn nữa, mạng IP hiện là mạng kết nối rộng khắp thế giới, khiến việc truyền
tải nội dung không bị ảnh hưởng nhiều bởi ngăn cách địa lý, vùng miền.
-
Một hệ thống sản xuất và cung cấp nội dung chất lượng cao hơn, nhanh hơn
và đáp ứng tốt nhu cầu về chất lượng đang ngày càng phát triển của người xem,
thêm vào đó là khả năng tiếp cận người tiêu dùng rộng lớn của IPTV cũng là đích
đến mong muốn của tất cả các công ty, tổ chức truyền thông nói chung trên thế giới.
Vì vậy việc xây dựng các hệ thống IPTV mới là mong muốn hường đến của các
công ty này.
HV: Hoàng Việt Bắc
-10-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Do những lợi điểm nêu trên, hệ thống IPTV ra đời và phát triển mạnh trong thời
gian gần đây là yêu cầu phát triển khách quan trong ngành công nghiệp truyền hình.
Để đảm bảo mô hình kinh doanh dịch vụ IPTV đem lại hiệu quả và hợp lệ, các nhà
cung cấp dịch vụ IPTV cần đảm bảo hệ thống cung cấp dịch vụ phải thực hiện được
khả năng cung cấp dịch vụ ổn định liên tục trong diện rộng, bảo mật tránh hiện
tượng xao chép, trộm cắp, tái phân phối nội dung phi pháp, sử dụng không bản
quyền các nội dung số. Luận văn này tập trung đi vào tìm hiểu, phân tích kiến trúc
hệ thống mạng dịch vụ IPTV, các điểm yếu trong bảo mật hiện nay của các hệ
thống IPTV để từ đó đưa ra các phương án nhằm giảm tối đa các nguy cơ về bảo
mật trong hệ thống mạng dịch vụ này.
1.2. Mục tiêu, đối tượng và phạm vi nghiên cứu
Mục tiêu đề tài:
Mục tiêu chính của đề tài là tìm hiểu các điểm yếu bảo mật trong một hệ thống
mạng IPTV tiêu chuẩn, từ đó đưa ra các nguyên tắc, công cụ cần thực hiện nhằm
đảm bảo bảo mật cho hệ thống mạng IPTV.
Đối tượng và phạm vi nghiên cứu của đề tài:
Đối tượng của đề tài là các vấn đề liên quan đến bảo mật của hệ thống mạng dịch vụ
truyền hình internet - IPTV. Hệ thống mạng truyền hình IPTV trong đề tài này được
nghiên cứu theo cách phân chia các thành phần cụ thể, phân tích mối quan hệ giữa
các thành phần đó, từ đó đưa ra các nguy cơ có thể xảy ra đối với các hệ thống này.
Phạm vi nghiên cứu bao gồm các hệ thống, công nghệ có liên quan đến triển khai
một hệ thống IPTV thực tế như: Công nghệ nén mã hóa Video; Công nghệ mã
khóa; các công nghệ đảm bảo bản quyền nội dung số; công nghệ truyền dẫn mạng
truy cập thuê bao băng rộng; Công nghệ bảo mật ứng dụng vào trong hệ thống
truyền hình.
1.3. Bố cục của đề tài
Đề tài gồm các phần chính sau:
HV: Hoàng Việt Bắc
-11-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Chương 1: Giới thiệu đề tài
Phần này trình bày tổng quan, mục đích và yêu cầu của các phần được nghiên cứu
trong luận văn. Phần này cũng trình bày về phạm vi và đối tượng của đề tài.
Chương 2: Cấu hình hệ thống IPTV
Phần này đi vào tìm hiểu cấu hình và vận hành hệ thống mạng IPTV tiêu chuẩn, từ
đó có được các khái niệm cơ bản về hệ thống mạng dịch vụ IPTV.
Chương 3: Mạng truyền dẫn IPTV – Các giao thức sử dụng
Phần này tập trung tìm hiểu phương thức truyền dẫn phân phối dịch vụ IPTV, các
giao thức chính sử dụng trong truyền dẫn dịch vụ IPTV.
Chương 4: Tổng quan các vấn đề bảo mật và các công nghệ trong bảo mật hệ
thống IPTV
Phần này đi vào tìm hiểu một số khái niệm bảo mật, bản quyền nội dung số và các
công nghệ nền tảng hỗ trợ đảm bảo bảo mật hệ thống mạng IPTV.
Chương 5: Các nguy cơ bảo mật trong triển khai hệ thống mạng dịch vụ IPTV
hiện nay
Phần này đi vào phân tích cụ thể các nguy cơ, các lỗ hổng bảo mật có thể xảy ra đối
với từng phần trong hệ thống mạng IPTV. Phần này cũng miêu tả một số phương
pháp có thể phá hỏng tính bảo mật trong hệ thống mạng IPTV.
Chương 6: Các giải pháp cho các nguy cơ tấn công bảo mật
Trên cơ sở các điểm yếu của hệ thống IPTV được phân tích trong Phần 5, Phần 6
này đưa ra một số các phương pháp nhằm đảm bảo bảo mật cho hệ thống mạng
IPTV đồng thời đưa ra đánh giá về hiệu quả của từng phương pháp bảo mật đối với
các nguy cơ bảo mật cụ thể trong hệ thống.
Chương 7: Kết luận và hướng phát triển
HV: Hoàng Việt Bắc
-12-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
CHƯƠNG 2: CẤU HÌNH HỆ THỐNG IPTV
Trong phần này tập trung đi vào phân tích các thành phần cơ bản nhất của các hệ
thống IPTV thường được sử dụng để triển khai ngày nay. Từ các thành phần cơ bản
này, các yếu tố về bảo mật trong hệ thống IPTV sẽ được trình bày kỹ tại các phần
tiếp theo.
2.1. Kiến trúc hệ thống IPTV
2.1.1 Kiến trúc thượng tầng hệ thống IPTV
Một hệ thống IPTV về tổng quát bao gồm 4 khu vực chính đại diện cho những
chức năng khác nhau và có mối liên hệ với nhau được mô tả như Hình 2.1 sau đây,
bao gồm:
Hình 2.1: Kiến trúc hệ thống IPTV
Nhà cung cấp nội dung (Content Provider): Đây là đơn vị sản xuất,
mua/bán trao đổi các nội dung chương trình, từ đó cung cấp các gói nội dung này
cho các nhà cung cấp dịch vụ IPTV. Các Nhà cung cấp nội dung sử dụng các
phương tiện lưu trữ như: Băng Video (tape), Băng đĩa từ, Băng/Đĩa quang, đĩa
cứng… hoặc sử dụng hệ thống sẵn có của mình để đưa (feed) các nội dung chương
trình đến các nhà cung cấp dịch vụ IPTV. Các Feed có thể được thực hiện thông qua
Vệ tinh (satellite), IPTV, hay bất kỳ một hệ thống mạng truyền hình mà họ có.
HV: Hoàng Việt Bắc
-13-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Trong trường hợp các Feed được sử dụng, Nhà cung cấp dịch vụ IPTV phải có cơ
sở hạ tầng để thu nhận nội dung.
Nhà cung cấp dịch vụ IPTV (IPTV Service Provider): Đơn vị cung cấp
dịch vụ IPTV cho người dùng. Khu vực này thực hiện chức năng tổng hợp các tài
nguyên nội dung, sau đó các nội dung chương trình (Content) được đóng gói thành
các gói IP, truyền nội dung đến người dùng thông qua Nhà cung cấp dịch vụ mạng.
Việc tổng hợp các nội dung được thực hiện thông qua các hợp đồng cung cấp nội
dung với các nhà cung cấp nội dung chương trình. Trong hợp này, các điều khoản
về sử dụng và phân phối theo bản quyền tác giả được đề cập để đảm bảo các nội
dung chương trình được sử dụng hợp pháp, đúng mục đích. Các nhà cung cấp dịch
vụ luôn ở vị trí trung gian giữa nhà cung cấp dịch vụ IPTV và người dùng cuối.
Nhà cung cấp dịch vụ mạng truyền dẫn (Network Provider): Đơn vị cung
cấp dịch vụ hệ thống mạng kết nối, quản lý dịch vụ truyền dẫn với công nghệ được
nghiên cứu đảm bảo cho dịch vụ IPTV, theo yêu cầu của nhà cung cấp dịch vụ
IPTV. Như đã trình bày trong phần ưu điểm của một hệ thống IPTV, bất kỳ một hệ
thống mạng nền tảng IP nào cũng có thể sử dung để cung cấp dịch vụ IPTV, chỉ cần
hạ tầng mạng đảm bảo dải thông yêu cầu của nhà cung cấp dịch vụ IPTV. Ví dụ: Hệ
thống mạng LAN, WAN, Internet, Mobile Phone Network,…. Chính lợi điểm này,
các nhà cung cấp dịch vụ IPTV có thể làm việc với nhiều nhà cung cấp dịch vụ
mạng khác nhau, cho phép họ tiếp cận người dùng rộng lớn hơn, đối với một nguồn
vào nội dung (Content).
Người dùng dịch vụ (Subcriber): Hệ thống đầu cuối dịch vụ cung cấp cho
người sử dụng cho dịch vụ IPTV. Khu vực bao gồm các hệ thống thu nhận, biên
dịch/giải mã và đưa ra Video/Audio hiển thị trên màn ảnh thuê bao. Khu vực này
chiếm tỷ trọng lớn trong việc phát triển hệ thống IPTV.
Các khu vực trên có thể cùng do một nhà cung cấp thực hiện hoặc có thể do
các nhà cung cấp khác nhau thực hiện, tùy theo quy mô và nhu cầu của hệ thống cần
có. Đối với các tổ chức nhà nước, an ninh, quốc phòng có thể triển khai hệ thống
IPTV chỉ với 3 khu vực đầu tiên để cung cấp nội dung đến những người có liên
HV: Hoàng Việt Bắc
-14-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
quan. Đối với các đơn vị kinh doanh dịch vụ, hệ thống thông thường bao gồm cả 4
khu vực trên. Mô hình đưa ra ở trên chỉ là mô hình cơ bản chung nhất. Hiện nay
trên thế giới còn nhiều mô hình khác nhưng chủ yếu là sự kết hợp khác nhau hoặc
sự giảm thiểu các khu vực chính trên, tùy theo mục đích triển khai.
2.1.2 Các dịch vụ IPTV
Các nhà cung cấp dịch vụ IPTV có thể cung cấp nhiều loại hình dịch vụ khác
nhau, tùy theo khả năng cung cấp và mục đích cung cấp. Các dịch vụ thông dụng
nhất gồm có: Truyền hình IPTV (Content Broadcast), VOD (Video On Demand) –
Dịch vụ truyền hình theo yêu cầu (Thư viện phim, phóng sự, tư liệu…), hay hệ
thống Game khi sử dụng dịch vụ IPTV với tính năng tương tác.
Truyền hình quảng bá IPTV (Broadcast): Là dịch vụ cung cấp các chương
trình dạng truyền hình, các phóng sự, tin tức, games show,…. Với loại hình dịch vụ
này, các nhà cung cấp dịch vụ IPTV sử dụng quỹ thời gian để đưa ra các chương
trình, phát trên mạng IPTV sử dụng giao thức phát quảng bá – Multicast/broadcast.
Với IPTV, người dùng có thể dễ dàng chọn lựa chương trình xem, tùy chọn ghi lưu
các chương trình ưa thích và đặc biệt số lượng kênh chương trình là rất lớn so với
các hệ thống truyền hình thông thường hiện nay.
Truyền hình theo yêu cầu – VOD: Thường ứng dụng trong dịch vụ IPTV cung
cấp thuê bao đến người xem chương trình có trả phí. Phương thức truyền dẫn
Unicast được sử dụng cho từng thuê bao, cho phép người xem có thể độc lập chọn
lựa chương trình, film hay Video Clip trong các thư viện khổng lồ của nhà cung
cấp. Phương thức cung cấp dịch vụ này yêu cầu dải thông truyền dẫn cao vì mỗi
người dùng cuối chiếm lĩnh một dải thông độc lập của nhà cung cấp dịch vụ.
Tùy theo yêu cầu, các nhà cung cấp dịch vụ IPTV có thể cung cấp đồng thời 2 loại
hình dịch vụ trên.
HV: Hoàng Việt Bắc
-15-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
2.1.3. Mô hình chức năng của hệ thống dịch vụ IPTV
Một hệ thống dịch vụ IPTV có thể phân ra thành các bộ phận chức năng cơ bản
cho phép xác định cụ thể chức năng của từng khu vực riêng biệt. Hình 2.2 dưới đây
là một trong những cách chung nhất để định nghĩa hệ thống IPTV chia thành 6 khu
vực chức năng khác nhau.
Hình 2.2: Mô hình chức năng hệ thống IPTV
Các khối chức năng chính trên hô hình trên gồm: Khối cung cấp nội dung Content provisioning, Khối truyền tải nội dung- content delivery, Hệ thống điều
khiển mạng dịch vụ IPTV - IPTV control, Khối IPTV transport, Khối người dùng
cuối - subscriber và khối thực hiện chức năng bảo mật – security.
Khối cung cấp nội dung - content provisioning: Tất cả các nội dung
chương trình, trong loại hình dịch vụ quảng bá (broadcast) hay VOD đều được đưa
qua hệ thống xử lý này. Tại đây, hệ thống thực hiện chức năng mã hóa (tiếp nhận dữ
liệu-ingest, chuyển mã - transcoder, mã hóa - encoder) thành các luồng Video số
thích hợp cho truyền dẫn trong mạng IP. Trong quá trình này, các nội dung có thể
được dựng hay biên tập lại (ví dụ để tăng giá trị nội dung, quảng cáo, đưa logo,
thương hiệu…) và thực hiện các chức năng đảm bảo bảo mật thông qua phương
thức Watermarking hay DRM Encryption.
HV: Hoàng Việt Bắc
-16-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Khối truyền tải nội dung- content delivery: Khối này thực hiện nhiệm vụ
truyền tải các dòng video đã được mã hóa ở trên đến người xem. Các thông tin về
địa chỉ người xem nhận được thông qua hệ thống điều khiển IPTV và các khu vực
phụ trợ khác. Khối chức năng này bao gồm hệ thống lưu trữ, hệ thống đệm chương
trình (Cache) hay các thiết bị ghi video số DVR (Digital Video Recoder). Khi người
xem yêu cầu đến trung tâm dịch vụ IPTV, yêu cầu dịch vụ được chuyển tới các khu
vực chức năng này để cung cấp dòng Video đúng theo yêu cầu.
Hệ thống điều khiển mạng dịch vụ IPTV - IPTV control: Đây được coi là
khối trung tâm của hệ thống IPTV. Khối này có nhiệm vụ kết nối các khối chức
năng khác nhau để đảm bảo cho hệ thống cung cấp dịch vụ ổn định, bảo mật, đúng
chức năng. Đối với vấn đề bảo mật hệ thống, khối này có vai trò rất quan trọng để
đưa đến các phương thức bảo mật tối ưu cho hệ thống. Khối này cũng có nhiệm vụ
tạo ra các giao diện cho phép người dùng dễ dàng chọn lựa nội dung muốn xem. Hệ
thống điều khiển mạng IPTV còn có chức năng vận hành điều khiển hệ thống DRM.
Khối người dùng cuối – subscriber: Bao gồm tập hợp các thành phần chức
năng và tác vụ giúp cho người dùng cuối có thể truy nhập các nội dung IPTV. Một
số chức năng hỗ trợ việc giao tiếp với khối IPTV Transport để thực hiện quá trình
truyền dẫn đến trung kế dịch vụ của nhà cung cấp dịch vụ truyền dẫn. Một số chức
năng khác trong khối chức năng này như cung cấp Web Server cho kết nối với các
phần mềm Middle Ware Server tại trung tâm dịch vụ và lưu trữ thông tin bảo mật
DRM.
Khối thực hiện chức năng bảo mật – Security: Tất cả các khối chức năng
trong hệ thống IPTV đều được hỗ trợ bởi các phương thức bảo mật, với những cấp
độ khác nhau. Khối cung cấp nội dung bao gồm các mã khóa bảo mật của chủ sở
hữu nội dung chương trình.
HV: Hoàng Việt Bắc
-17-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Mỗi khối chức năng có thể bao gồm nhiều thành phần chức năng khác nhau. Ví dụ
Khối chức năng điều khiển dịch vụ IPTV bao gồm các thành phần trung gian
(Middleware) và các bộ phận của DRM (Digital Rights Management). Các thành
phần chức năng trong các khối chức năng có liên hệ mật thiết với nhau như Hình
2.3 dưới đây:
Hình 2.3: Khối chức năng cụ thể IPTV
2.2. Kiến trúc cụ thể hệ thống IPTV
Hệ thống IPTV gồm 3 phần chính sau:
-
Hệ thống thiết bị Head-end: Bao gồm hệ thống cơ sở hạ tầng thu thập nội
dung các chương trình (Content Feeds) và xử lý trực tiếp để đưa sản phẩm nội dung
phân phối vào trong hệ thống mạng IPTV đến người dùng cuối. Các nội dung bao
gồm nội dung được cung cấp bởi các nhà sản xuất chương trình khác đã được mua
lại có bản quyền hoặc các chương trình có bản quyền do chính nhà cung cấp dịch vụ
IPTV sản xuất.
HV: Hoàng Việt Bắc
-18-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
-
Home–End: Bao gồm thiết bị thu nhận dữ liệu như Modem, và các thiết bị
giải mã và hiển thị nội dung như STB (Set Top Box) hay Computer. Tại khu vực
này, các nội dung chứa DRM được giải mã và hiển thị cho người xem.
-
Hệ thống mạng truyền dẫn IPTV: Bao gồm hạ tầng trang thiết bị mạng cho
truyền dẫn nội dung chương trình, điều khiểu mạng IPTV từ nhà cung cấp dịch vụ
đến người dùng cuối.
Sơ đồ tổng thể một hệ thống IPTV với những thành phần cơ bản có thể biểu diễn
như Hình 2.4 sau đây:
Hình 2.4: Cấu trúc tổng thể hệ thống IPTV
2.2.1. Hệ thống thiết bị Head-end
Head-end là phần thiết bị trung tâm của hệ thống IPTV. Head-end bao gồm
nhiều loại thiết bị khác nhau gồm: Các thiết bị thu nhận nội dung; các thiết bị mã
hóa chỉnh sửa nội dung, các thiết bị phân phối nội dung đến các thuê bao của mạng.
HV: Hoàng Việt Bắc
-19-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Trong mạng IPTV, các Head-end được xây dựng tại trung tâm dịch vụ và các điểm
phân phối khu vực/vùng miền tại các khu vực khác nhau trong toàn hệ thống.
Head-end cũng có nhiệm vụ thu nhận các yêu cầu của thuê bao để đưa nội dung yêu
cầu đến Set top boxes của các thuê bao.
Sau đây là một số loại thiết bị chính phần Head-end.
*) Đầu vào nội dung chương trình – Content Input
- Các thiết bị thu vệ tinh - Integrated Receiver Decoder (IRD), có thể nội dung thu
được chuyển thành tín hiệu video thuần túy dưới dạng thành analog hoặc digital
hoặc dữ liệu số đã được mã hóa;
- Các nội dung kênh chương trình được mua lại từ các nhà cung cấp nội dung khác.
- Các nội dung đã được mã hóa và sẵn sàng để đưa tới khu vực đóng gói truyền đi.
- Các kênh truyền hình quảng bá thông thường, định dạng NTSC, PAL hay ATSC.
- Các nội dung lưu trữ trong các phương tiện lưu trữ như: Băng từ, đĩa quang, đĩa
cứng,…
- Hệ thống các nội dung quảng cáo của các đơn vị thuê quảng cáo trên hệ thống
IPTV.
*) Hệ thống mã hóa Video - Video Encoder:
Hiện nay, các nội dung của hệ thống mạng IPTV thường được xử lý bởi quá trình
mã hóa dữ liệu Video/Audio theo các chuẩn MPEG trước khi đưa đến khu vực đóng
gói IP để đưa nội dung đến thuê bao. Hiện nay có nhiều chuẩn MPEG khác nhau đã
được nghiên cứu phát triển cho mã hóa video/audio, thông dụng nhất cho ứng dụng
IPTV là MPEG-2, MPEG-4 hay H.264, AVC codec.
*) Đóng gói gói tin IP:
Các nội dung sau khi mã hóa được đưa tới khu vực đóng gói thành các gói tin IP.
Các dòng video sau mã hóa video Transport Stream (TS) được đóng gói thành các
gói tin IP trước khi có thể truyền đi trong mạng IP.
*) Hệ thống chuyển mã Video – Video Transcoder:
HV: Hoàng Việt Bắc
-20-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Các bộ này có nhiệm vụ chuyển đổi định dạng Video theo các codec khác nhau, tùy
vào mục đích sử dụng của hệ thống mạng. Các bộ này cung cấp chức năng thích
nghi các nguồn nội dung sẵn với các codec khác nhau chuyển đổi codec về một
dạng chung nhất (MPEG2, MPEG-4 hoặc H.264) cho phép phía thuê bao với Set
Top Boxes với codec nhất định có thể giải mã và xem được chương trình.
*) Content Management Server – Server quản lý nội dung:
Server này có nhiệm vụ quản lý nội dung chương trình, đưa các nội dung chương
trình cần phát đến Video server hoặc các lưu trữ trên hệ thống lưu trữ.
*) Hệ thống lưu trữ video:
Đây là hệ thống cung cấp chức năng lưu trữ tất cả các nội dung Video cần cung cấp
dịch vụ đến thuê bao. Bao gồm các thư viện nội dung video/Audio.
*) Digital Rights Management - DRM:
Khối này thực hiện chức năng bảo mật và đảm bảo các nội dung được cung cấp có
bản quyền tác giả. Khối này có chức năng đảm bảo quyền truy cập của những thuê
bao hợp lệ đến từng nguồn tài nguyên chương trình cụ thể, tùy theo cấp độ đăng ký
dịch vụ của từng thuê bao.
*) Video streaming server:
Server chịu trách nhiệm tiếp nhận yêu cầu từ thuê bao truy cập đưa để đưa các dòng
Video stream đến thuê bao theo giao thức TCP/IP hay UDP. Định dạng video
streaming có thể là MPEG-2, MPEG-4, H.264, AVC hay bất kỳ một codec nào phù
hợp với hệ thống IPTV cung cấp.
*) Thiết bị giao tiếp thuê bao - Subscriber Interaction, Middleware servers:
Đây là phần trung gian cho phép giao tiếp giữa người dùng thuê bao và hệ thống
cung cấp dịch vụ IPTV. Các STB (Set Top Box) kết nối đến Middleware servers để
đưa yêu cầu về nội dung thuê bao muốn xem. Một trình duyệt trong STB sẽ kết nối
đến Middleware servers để lấy các thông tin chương trình, sau đó gửi yêu cầu của
người xem đến Middleware Servers. Phần này được biểu diễn như Hình 2.5 sau
đây:
HV: Hoàng Việt Bắc
-21-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 2.5: Cấu trúc Middleware
2.2.2. Hệ thống mạng truyền dẫn IPTV
Nội dung chương trình từ Head-end đưa ra hệ thống mạng đến các STB – Set
Top Box theo một trong 2 cách: truyền theo phương thức Unicast hoặc Multicast.
Unicast: Theo cách này, dữ liệu video được truyền đến một thuê bao cụ thể.
Phương thức truyền này cho phép thuê bao có thể chọn lựa chương trình muốn xem
từ bảng hướng dẫn nội dung của nhà cung cấp dịch vụ IPTV. Yêu cầu được gửi đi
từ STB đến Video –On- Demand server (theo yêu cầu). Phương pháp truyền
Unicast hạn chế số người truy cập tại cùng một thời điểm do mỗi thuê bao sẽ chiếm
dụng 1 phần dải thông nhất định. Unicast được sử dụng trong cung cấp dịch vụ
VOD (Video On Demand -truyền hình theo yêu cầu). Sơ đồ phương thức truyền
Unicast được biểu diễn như Hình 2.6 sau:
HV: Hoàng Việt Bắc
-22-
GVHD: TS. Nguyễn Phan Kiên
Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV
Hình 2.6: Phương thức truyền Unicast
Multicast: Theo phương thức này, một nội dung chương trình được truyền
đồng thời đến cho nhiều thuê bao cùng lúc. Phương pháp này không hạn chế số
lượng dải thông chiếm dụng bởi số thuê bao trong cùng nhóm nhận thông tin.
Phương thức này thường được sử dụng với hình thức các kênh truyền hình quảng bá
(Broadcast). Sơ đồ truyền tin của phương thức truyền dẫn này có thể biểu diễn như
Hình 2.7 sau:
HV: Hoàng Việt Bắc
-23-
GVHD: TS. Nguyễn Phan Kiên
