Luận văn Phân tích các vấn đề bảo mật trong hệ thống cung cấp dịch vụ IPTV

ý Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội tấn công trộm cắp các tài nguyên số mạng IPTV, chủ yếu các nội dung số được lưu trong các phương tiện lưu trữ vật lý. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ do bị mất nội dung. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội thực hiện truyền các nội dung không được phép trong hệ thống mạng dịch vụ IPTV, cũng như khả năng làm thay đổi chỉnh sửa nội dung. 6.2.3. Hệ thống mã hóa MPEG và chức năng chuyển đổi định dạng Video Các thiết bị mã hóa MPEG cần có kết nối đến mạng cho phép quản trị và các hoạt động hỗ trợ được thực hiện. Kết nối này có thể được sử dụng bởi hệ điều hành hoặc các chương trình ứng dụng. Hệ điều hành của các bộ mã hóa MPEG phải được vá lỗi đúng đắn để loại trừ các tấn công bảo mật thông thường cũng như tác hại của Virus. Hơn nữa, mạng truy cập có thể được quản lý để loại trừ các truy cập trái phép đến hệ thống mã hóa này. VLAN có thể được thiết lập cho MPEG encoder và trong các bộ chuyển mã transcoder để có thể trao đổi với hệ thống đóng gói IP trong một mạng VLAN, dành ra các VLAN cho chức năng quản trị hệ thống. Server cho các ứng dụng Encoder và transcoder phải được cấu hình để loại trừ bất kỳ ổ lưu trữ di động như ổ USB Flash. Điều này nhằm đảm bảo không bị trộm cắp nội dung qua các thiết bị lưu trữ di động. Bảng 6.3 sau cho thấy tác dụng của phương thức bảo mật áp dụng cho phương tiện mang tin vật lý đối với các nguy cơ tấn công. Bảng 6.3 – Các phương pháp bảo vệ hệ thống mã hóa MPEG và hệ thống chuyển mã Hạn chế truy cập vật lý đến các hệ thống MPEG và hệ thống chuyển mã Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các tài nguyên nội dung số, chủ yếu là các nội dung chương trình dưới dạng MPEG. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm sụp đổ hệ thống cung cấp dịch vụ IPTV do các trình ứng dụng MPEG bị thất lạc, mất. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội thực hiện truyền các nội dung không được phép trong hệ thống mạng dịch vụ IPTV, cũng như khả năng làm thay đổi chỉnh sửa nội dung. 6.2.4. Hệ thống quản lý nội dung Hệ thống server quản lý nội dung là một trong những thành phần cốt lõi của hệ thống IPTV. Nó không bao gồm các nội dung số mà cung cấp sự tương tác và điều khiển dòng truyền của các nội dung. Bất kỳ sự nguy hiểm đe dọa sự hoạt động đúng đắn của hệ thống này cũng ảnh hưởng lớn đến sự hoạt động của hệ thống dịch vụ IPTV do sự mất và thiếu hụt nội dung, đồng thời mở ra nguy cơ tấn công truy cập nội dung trái phép. Hệ thống quản lý nội dung phải là một phần của mạng VLAN trong đó chỉ các hệ thống hợp lệ mới có thể được phép tương tác. Theo cách tiếp cận này, VLAN sẽ cung cấp một môi trường an toàn bảo mật trong đó chỉ các hệ thống cần thiết mới có thể trao đổi các thông tin. Hơn nữa hệ thống quản lý truy cập ACL sẽ chỉ cho phép các dòng truyền hợp lệ trong mạng. Tất cả các cơ chế này được hỗ trợ bằng cách đảm bảo đường truyền ở trong một kênh truyền an toàn bảo mật, ví dụ các giao thức SSL, TLS, SSH or SNMPv3. Các metadata gán cho mỗi nội dung số cần được bảo vệ sử dụng các cơ chế hợp lệ chẳng hạn như checksum hoặc chữ ký số. Điều này sẽ loại trừ nguy cơ tấn công chỉnh sửa. Bảng 6.4 sau cho thấy tác dụng của phương thức bảo mật áp dụng cho hệ thống quản lý nội dung. Bảng 6.4 – Các phương pháp bảo mật cho Content management server Điều khiển truy cập lớp cho Content Management Server Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các tài nguyên số mạng IPTV, chủ yếu là chuyển hướng các dòng Video nội dung sang các đích bất hợp lệ Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các thông tin Metadata của nội dung liên kết với các tài nguyên nội dung số. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội phá hủy dịch vụ do hệ thống quản lý nội dung bị lỗi và ngừng cung cấp dịch vụ. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội thực hiện truyền tải các nội dung không được phép trong hệ thống mạng dịch vụ IPTV, cũng như khả năng làm thay đổi chỉnh sửa nội dung. 6.2.5. Hệ thống lưu trữ nội dung Hệ thống lưu trữ nội dung Video chắc chắn là thành phần có giá trị quan trọng nhất trong hệ thống IPTV do đây lưu trữ toàn bộ tài nguyên số của nhà cung cấp dịch vụ IPTV. Truy cập đến server lưu trữ này phải được hạn chế cho một số ít các máy truy cập cần thiết. Trong thực tế, rất nhiều server phải được cho phép để truy cập đến hệ thống này, bao gồm DSR Server, IP encapsulator, content management server, video on demand và trong một số trường hợp video streaming server; Server này yêu cầu thêm cơ chế mã khóa đĩa cứng để đảm bảo các tài nguyên Video được bảo vệ đúng đắn thậm chí ngay cả trong trường hợp quản trị viên, người hỗ trợ kỹ thuật hay kẻ tấn công cố gắng lấy ra nội dung số. Quản lý mã khóa đĩa cứng sẽ giúp bảo vệ các nội dung một khi một đĩa cứng bị lỗi và quá trình xử lý loại bỏ không hoàn toàn. Server dùng cho Video Reposity phải được cấu hình loại bỏ khả năng kết nối các thiết bị lưu trữ di động. Tất cả các metadata được gán cho các nội dung số cũng cần được bảo vệ nhờ sử dụng các cơ chế kiểm tra như checksum hay sử dụng chữ ký số. Điều này loại trừ tấn công thay đổi trái phép thông tin. Bảng 6.5 và 6.6 sau cho thấy tác dụng của phương thức bảo mật áp dụng cho hệ thống lưu trữ nội dung video và hệ thống bảo vệ đĩa cứng. Bảng 6.5 – Các phương pháp bảo vệ hệ thống lưu trữ Video repository Điều khiển truy cập Video Repository Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các tài nguyên số mạng IPTV, chủ yếu là các nội dung số. Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các thông tin Metadata liên kết đến các nội dung số. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ do nội dung bị xóa bỏ hoặc bị thay đổi Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội thực hiện truyền tải các nội dung không được phép trong hệ thống mạng dịch vụ IPTV, cũng như khả năng làm thay đổi chỉnh sửa nội dung. Bảng 6.6 – Các phương pháp bảo vệ Video repository disk Mã khóa Video Repository Disk Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các tài nguyên số mạng IPTV, chủ yếu là các nội dung video đã được lưu trữ lại. Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các thông tin Metadata liên kết đến các nội dung số. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ do các nội dung bị xóa bỏ hoặc thay đổi. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội thực hiện truyền tải các nội dung không được phép trong hệ thống mạng dịch vụ IPTV, cũng như khả năng làm thay đổi chỉnh sửa nội dung. 6.2.6. Hệ thống Digital Rights Management -DRM DRM là thành phần quan trọng cốt lõi trong hệ thống cần có để đảm bảo vệ các tài nguyên số cung cấp trong dịch vụ IPTV. Trong một số mô hình triển khai DRM, STB được phép kết nối đến DRM server. Điều này tạo ra vấn đề về bảo mật và cần phải được quản lý để loại trừ nguy cơ sụp đổ hệ thống. Trong phần trước đã đề cập đến mô hình 6 lớp bảo mật, mô hình này không đựợc áp dụng cho hệ thống DRM khi thuê bao được phép kết nối đến server. Trong trường hợp đó, Firewall và VLAN có thể bao gồm truy cập đến đường dẫn URL mà STB có thể download các khóa và nội dung mã khóa. Các lớp bảo mật bị mở cho loại truy cập đó như mô tả trong Hình 6.3 sau đây: Hình 6.3: Các lớp bảo mật – Truy cập trực tiếp tới DRM Firewall sẽ cho phép truy cập bởi tất cả các STB, đặc biệt các kết nối tới cổng 80/443 trên DRM server. VLAN cũng được mở cho tất cả các STB, do đó tạo ra nguy cơ rất lớn về khả năng tấn công bởi kẻ xâm nhập. các bộ lọc có thể được triển khai tại lớp switcher, thực hiện lọc các kết nối tới các cổng ngoài 80/443 từ STB. Các kết nối sẽ được thực hiện bởi SSL, nhưng điều này không cung cấp sự bảo vệ nào nếu kẻ tấn công sử dụng các điểm yếu của dịch vụ Web service. Các điểm yếu trong bảo mật của các ứng dụng Web có thể cho phép kẻ tấn công có được quyền điều khiển server thậm chí có các cơ chế bảo vệ khác đã được triển khai. Đối với các server cho phép các STB truy cập đến dịch vụ Web, có 3 phương pháp có thể triển khai để bảo vệ: Web services gateway, Reverse proxy hoặc Web application firewall. (i) Web Services Gateway (WSG) Đây là một phần của cách tiếp cận kiến trúc hướng dịch vụ service-oriented architecture (SOA) và cho phép các kiến trúc tích hợp với tất cả các dịch vụ Web trong một cổng trước với một quá trình chứng thực, bảo mật và kiểm tra sự thay đổi duy nhất. Nếu xảy ra tai nạn về bảo mật, nó sẽ bị ngăn ranh giới bởi WSG và không ảnh hưởng ngay lập tức đến Web server. Hệ thống này cung cấp thêm thời gian cho việc phát hiện và ngăn chặn một quá trình tấn công. DRM server có thể có một cổng mạng NIC để kết nối truyền dẫn với WSG, và sử dụng mô hình bảo mật 6 lớp như trên. (ii) Reverse Proxy Thành phần này là một phần trung gian giữa STB và DRM server. Reverse proxy loại phiên giao dịch với STB và thành lập một phiên khác với DRM server. DRM có thể có một cổng mạng NIC để kết nối đến reverse proxy, do đó sẽ giảm số lượng các máy cần truy cập trực tiếp đến DRM server và và tiếp tục hỗ trợ mô hình bảo mật 6 lớp. Reverse proxy sẽ kiểm tra tính hợp lệ của yêu cầu HTTP và xác nhận nếu phù hợp với giao thức. Chức năng này sẽ lọc bỏ hầu hết nguy cơ tràn bộ nhớ và tấn công DOS. Chức năng chứng thực sẽ cho phép chỉ địa chỉ hợp lệ mới có thể kết nối đến DRM server. Cung cần chú ý là DRM có thể có một hoặc hai trang web hợp lệ và cần phải được cấu hình đúng đắn. (iii) Web Application Firewall Web application firewall sẽ khóa tất cả các truy cập tới các trang không được phép trong hệ thống DRM. Nó cũng có thể khóa các yêu cầu không hợp lệ với các giá trị hoặc cấu trúc hợp lý đã được thông qua trước cho hệ thống. các phản hối cũng phải được kiểm tra trước, và bất kỳ một gói tin phản hồi không bình thường cũng bị khóa. Hệ thống DRM sẽ có một cổng mạng để kết nối đến firewall ứng dụng Web, do đó cho phép sử dụng mô hình bảo mật 6 lớp đã đề cập ở trên. Bảng 6.7 sau cho thấy tác dụng của phương thức bảo mật phân lớp áp dụng cho hệ thống DRM. Bảng 6.7 – Các phương thức bảo vệ lớp DRM Điều khiển truy cập DRM Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các tài nguyên số mạng IPTV, chủ yếu là trộm cắp các nội dung video do trộm cắp khóa DRM. Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các khóa DRM Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ do không tìm thấy khóa DRM để giải mã nội dung tại STB. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội các khóa bí mật DRM bị đánh cắp bởi kẻ tấn công. Các giải pháp trên cho bảo mật dịch vụ Web ((WSG, reverse proxy, web application firewall) có thể áp dụng cho một hệ thống IPTV khi mỗi quá trình triển khai có các yêu cầu và có ngân sách đầu tư khác nhau. Bảng 6.8 sau cho thấy tác dụng của phương thức bảo mật cho dịch vụ Web của hệ thống DRM. Bảng 6.8 – Các phương pháp bảo vệ DRM web service Bảo mật DRM - Web Service Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp các khóa DRM. Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp khóa DRM. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ do khóa DRM không có để giải mã các nội dung tại STB. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội khóa DRM bị đánh cắp bởi kẻ tấn công. Các khóa bí mật từ hệ thống DRM phải được bảo vệ liên tục, khi chúng được sử dụng thường xuyên. Server phải có cơ chế để bảo vệ các khóa bí mật này. Hơn nữa, tất cả các dữ liệu thiết yếu liên quan đến STB và khóa đối xứng sử dụng cho kã khóa dòng Video stream cũng cần đựợc bảo vệ. Có một số thiết bị lưu trữ mật mã cũng như công nghệ mã khóa đĩa cứng có thể được sử dụng. Khi chọn một giải pháp, cần phải tính đến sự phù hợp với giá trị của tài nguyên số cần được bảo vệ và mức độ nguy hiểm của vấn đề cần giải quyết. Các khóa có thể được truy cập chỉ bởi DRM, chứ không phải bởi người quản trị viên hay một user nào đó. Chứng thực DRM cũng như middleware và VOD phải có các cơ chế để bảo vệ hệ thống khỏi các truy cập trái phép. Trong các phiên khi thuê bao cần phải nhập vào personal identification numbers (PINs) hoặc passwords, hệ thống phải cung cấp các quá trình dừng ngẫu nhiên khi kiểm tra các thông tin password. Điều này sẽ gây trở ngại cho khả năng sử dụng các script để thực hiện tấn công brute-force. Hệ thống cũng phải ghi lại các địa chỉ IP và các thông tin định danh thuê bao để cho mục đích phân tích lỗi và khóa địa chỉ IP sau khi phát hiện các hành vi và biểu hiện trên IP này. Bảng 6.9 sau cho thấy tác dụng của phương thức bảo mật cho hệ thống đĩa cứng của DRM. Bảng 6.9 - Phương pháp bảo vệ DRM disk Mã khóa DRM Disk Trộm cắp/lạm dụng các tài nguyên mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội trộm cắp khóa DRM. Trộm cắp các dữ liệu liên quan đến mạng IPTV Phương pháp này sẽ giảm thiểu cơ hội bị trộm cắp khóa DRM. Làm gián đoạn dịch vụ Phương pháp này sẽ giảm thiểu cơ hội làm gián đoạn dịch vụ IPTV do khóa DRM bị xóa bỏ hoặc chỉnh sửa. Thay đổi tính thống nhất của hệ thống Phương pháp này sẽ giảm thiểu cơ hội chỉnh sửa các khóa. 6.2.7. Video streaming Server Video streaming server nhận các nội dung đã được mã khóa từ hệ thống lưu trữ Video repository hoặc trực tiếp từ DRM cho các thông tin về mẫu mã khóa. Một mạng VLAN có thể được cài đặt trên các thành phần này để cung cấp chức năng truyền dẫn. Theo cách tiếp cận này, VLAN sẽ cung cấp một môi trường an toàn trong đó chỉ có các hệ thống được mong muốn trao đổi thông tin. Hơn nữa hệ thống ACL cũng cho phép chỉ các dải thông dữ liệu được chứng thực mới được truyền dẫn. Tất cả thành phần này sau đó cần được hỗ trợ bởi các kênh truyền bảo mật an toàn nhờ sử dụng các giao thức như: SSL, TLS, SSH và SNMPv3. Video repository cũng tham gia vào VLAN TVBroadcast. Mạng VLAN này sẽ bao gồm các dải thông multicast với tất cả các kênh hợp lệ. Ưu điểm chính về bảo mật là các dải thông multicast không cần phải hai chiều. VLAN có thể được cấu hình để khóa bất kỳ một giải thông nào hướng từ mạng STB. Khả năng tấn công Video server rất giới hạn. các server này được cung cấp các phương thức làm kiên cố hóa tiêu chuẩn và thực hiện các lớp bảo mật, và khi đối diện với Home-end, VLAN sẽ bị lọc bởi các mức khác nhau (residential gateway, DSLAM, mạng và mức chuyển mạch). Trong một số trường hợp Video streaming server sẽ gửi các nội dung lưu trữ trong STB. Do đó cần thực hiện theo các khuyến nghị sau: • Loại bỏ các truy cập FTP vô danh - Disable anonymous FTP log-ins. • SFTP (ví dụ secure FTP) nên được sử dụng thay vì FTP. SFTP không cung cấp chứng thực và tính thống nhất. Các giao thức ngầm phải được cung cấp để thực hiện chứng thực và kiểm tra tính thống nhất. SFTP được sử dụng chủ yếu như là một hệ thống phụ của SSHv2 – hệ thống cung cấp chức năng đảm bảo tính thống nhất và chứng thực trong hệ thống. • Cấu hình ACLs trên giao diện firewall để khóa các gói SFTP có nguồn gốc từ các giao diện không đúng hoặc với địa chỉ IP không đúng. 6.2.8. Middleware Server Middleware servers là thành phần hàng đầu trong hệ thống IPTV. Tất cả các STB được phép truyền dẫn đến Middleware server để yêu cầu một nội dung cụ thể. Trong một số trường hợp Middleware server sẽ cung cấp khóa DRM và cũng có htể nhận các yêu cầu cho các nội dung VOD được gửi đến VOD server. Các đường kết nối giữa STB và Middleware server thường được thực hiện với sự hỗ trợ của HTTP (HTTPS, SSL, TLS). Một trình duyệt trong STB sẽ trao đổi với Middleware server, yêu cầu một thông tin cụ thể nào đó. Mức truy cập này bởi STB trực tiếp đến Middleware tạo ra một vấn đề về bảo mật. Truy cập trực tiếp tới Middleware giảm đi sự bảo vệ bởi các lớp bảo mật. Như đã trình bày trong phần DRM, STB có thể trao đổi truy cập qua các thành phần hệ thống như firewall, VLAN, ACL và trong một số trường hợp qua cả khu vực bảo mật của các ứng dụng. Để loại trừ các tai nạn bảo mật cũng như khả năng bị truy cập trái phép tới Middleware server, cơ chế đảm bảo bảo mật cho dịch vụ Web cần được triển khai. 6.3. Mạng truyền dẫn dịch vụ IPTV 6.3.1. DSLAM DSLAM thực tế là thành phần đầu tiên có ý nghĩa quan trọng về bảo mật trong hệ thống IPTV. STB được triển khai bởi các nhà cung cấp dịch vụ IPTV, nhưng lại nằm ngoài phạm vi bảo vệ được bởi nhà cung cấp. Gateway khu vực điểm truy cập dịch vụ cũng nằm ngoài phạm vi quản lý của nhà cung cấp dịch vụ IPTV. Đặc biệt, khi nói về mạng dịch vụ sử dụng truy cập băng rộng, có một nhu cầu chính về IP DSLAM như là một thiết bị đầu tiên cần có độ tin cậy trong kiến trúc hệ thống. DSLAM là nơi các thuê bao kết nối vật lý (cáp đồng hay cáp quang) trực tiếp đến mạng dịch vụ. Các điểm truy cập là nơi duy nhất có thể kết nối đến giao thức chứng thực người dùng hợp lệ cho sử dụng về sau. Quá trình chứng thực chủ yếu dựa trên giao thức DHCP Option 82. DHCP option 82 thực hiện thu nhận các yêu cầu DHCP từ thuê bao và đưa phản hồi các thông tin về xác định đường truyền vật lý vào trường option 82 trong giao thức DHCP. Thông tin này chủ yếu bao gồm: node ID, shelf ID, slot ID và cuối cùng là line ID. Quá trình chứng thực được thực hiện sau hơn trong hệ thống mạng bởi DHCP Server, server này được sử dụng để xác định danh tính thuê bao và gán cho (hoặc không gán cho) một địa chỉ IP hợp lệ cho thuê bao để truy cập dịch vụ. Hơn nữa nếu thuê bao điều khiển STB và gateway, các thông tin sẽ luôn được đưa thêm vào bởi một thành phần mới ngoài tầm kiểm suát của thuê bao. Tiếp theo cơ chế chứng thực ở trên là các cơ chế bảo mật được sử dụng trong DSLAM. Trong lớp 2, có các cơ chế như chống giả mạo địa chỉ MAC, và ở Lớp 3 có cơ chế chống giả mạo IP. Chức năng chống giả mạo địa chỉ MAC được sử dụng để bảo vệ mạng khỏi các kẻ tấn công giả mạo địa chỉ MAC của đầu cuối trung với địa chỉ MAC của một thuê bao trong mạng. Chức năng này gắn mỗi địa chỉ MAC với một đường truyền vật lý tới thuê bao, một khi một máy mới truy cập đường truyền vật lý, quá trình chứng thực được thực hiện. Khi khả năng bảo mật trong lớp 2 được đảm bảo, các cơ chế bảo vệ cũng được tiếp tục thực hiện tại lớp 3. Trong hệ thống mạng truy cập băng rộng DHCP, các người dùng giả mạo có thể dùng các PC và tự cấu hình địa chỉ IP để truy cập đến mạng dịch vụ và có thể không phải trả phí dịch vụ. Với chức năng chống giả mạo địa chỉ IP, các điểm truy cập mạng sẽ khóa tất cả các dải thông từ thuê bao trước khi có yêu cầu DHCP và gói tin trả lời về sự hợp lệ của người truy cập, điều này đảm bảo các người dùng không được chứng thực bởi DHCP sẽ không thể truy cập được dịch vụ. Một chức năng khác được sử dụng trong hệ thống DSLAM là khóa các giao dịch từ user đến user. Chức năng này cung cấp sự tách biệt giữa các thuê bao trong hệ thống mạng đồng thời giảm thiểu các nguy cơ tấn công mức thấp vào các thiết bị đầu cuối thuê bao. Một chức năng khác là sử dụng cơ chế địa chỉ MAC ảo (là địa chỉ được thông dịch bởi DSLAM) và sử dụng các hệ thống lọc – dựa trên các chính sách với các quy tắc lọc từ nhà cung cấp dịch vụ, nhằm điều khiển luồng dữ liệu đến và đi từ các thuê bao DSL. Với khả năng thêm các tính năng trên vào DSLAM, có thể đảm bảo bất kỳ các kết nối đến dịch vụ nào được chấp nhận đều được thực hiện từ các đường truyền vật lý hợp lệ và không có cách nào để truyền tin trực tiếp giữa các thuê bao. Worms, viruses và các hacker sẽ chỉ có thể truy cập từ các điểm đầu cuối hợp lệ và các đầu cuối này sẽ được bảo vệ. DSLAM được triển khai trong một môi trường mạng vật lý được bảo vệ ở đó các cấu hình logic để xâm nhập hệ thống có thể bị phát hiện và ngăn chặn. Đây là bức tường chính của nhà cung cấp dịch vụ IPTV để ngăn chặn các truy cập trái phép. Có 3 chức năng chính trong DSLAM: 1. IP concentration. Chức năng này tập hợp các dữ liệu nhận được bởi các chức năng khác và sự chuẩn bị dữ liệu cho truyền dẫn. 2. IP services. Chức năng này cung cấp các chức năng mở rộng về IP và bao gồm các khu vực chẳng hạn như routing và bridging. Các chức năng lớp 2 và lớp 3 được thực hiện bởi chức năng này. Hầu hết các cơ chế bảo mật trong hệ thống DSLAM được thực hiện bởi chức năng này. 3. DSL line service. Chức năng này cung cấp các chức năng xử lý về đường truyền thuê bao vật lý và quản lý các thiết bị đầu cuối thuê bao. Hầu hết các đặc điểm bảo mật chính trong hệ thống DSLAM nằm trong chức năng IP Service. Các đặc tính chính cần xem xét như sau: 6.3.1.1 Access và Session control DSLAM hỗ trợ một tập các cơ chế chứng thực thuê bao khác nhau cũng như khả năng kiểm tra phiên giao dịch – một chức năng rất quan trọng trong xác thực cho một STB trong hệ thống IPTV. Sử dụng các thông tin định danh của thuê bao trên STB, các thuê bao được chứng thực thông qua hệ thống cơ sở dữ liệu người dùng được lưu trên DSLAM hay trên một RADIUS server bên ngoài. DSLAM có thể trao đổi các thông tin cơ sở dữ liệu người dùng vớiư RADIUS server hoặc với Middleware server. Thuê bao và các dữ liệu về đường truyền vật lý có thể được xem xét trong quá trình chứng thực. Chỉ những cổng vật lý đã được đăng kỹ được quyền truy cập các thông tin trên mạng dịch vụ cũng như truy cập đến hệ thống Head-end. Cơ chế này sẽ giảm thiểu phần lớn các truy cập trái phép đến hệ htống mạng. Có mối liên hệ một một giữa các cổng vật lý và các thuê bao. Bất kỳ kẻ tấn công nào cũng phải được chứng thực qua nhờ sử dụng các cổng vật lý hợp lệ. DSLAM có thể kiểm tra tính hợp lệ của các người dùng truy cập trên cơ sở địa chỉ MAC, cũng như sử các cơ chế chứng thực phổ thông khác chẳng hạn như: giao thức bắt tay, chứng thực địa chỉ IP và giao thức chứng thực PPP. Khi mỗi cổng được liên kết với một địa chỉ MAC của thuê bao, do đó không thể giả mạo thuê bao từ các đường truyền khác nhau. Trong môi trường IP sẽ dễ dàng việc giả mạo các gói tin hơn hay dễ dàng thực hiện tấn công một phiên giao dịch IP. Tuy nhiên quá trình xác thực cung cấp bởi DSLAM sẽ loại trừ kiểu tấn công này. Hệ thống IPTV bao gồm hàng nghìn các thuê bao. Thông thường có từ 5,000 đến 10,000 thuê bao đối mỗi DSLAM, và cách thực tế duy nhất khả thi để quản lý địa chỉ IP là sử dụng giao thức DHCP. Khi DHCP được sử dụng, DSLAM có thể sử dụng trường thông tin DHCP Option 82 để đưa vào các thông tin dữ liệu có liên quan đến đường truyền vật lý. Quá trình chứng thực với một STB chủ yếu thực hiện thông qua giao thức DHCP option 82. DHCP option 82 nghe ngóng các yêu cầu DHCP từ các thuê bao và chèn các thông tin xác định đường truyền vật lý trong trường option 82 của gói tin DHCP. Thông tin này thông thường bao gồm: access node ID, shelf ID, slot ID và cuối cùng là line ID. Trường thông tin này được sử dụng để xác định thuê bao và gán (hoặc từ chối gán) địa chỉ IP hợp lệ cho thuê bao để truy cập dịch vụ. Nếu một thuê bao cố gắng làm sai quá trình chứng thực của DSLAM, hệ thống sẽ dễ dàng nhận ra các tham số đã được chỉnh sửa bởi thởi thuê bao này. DHCP option 82 là một cơ chế rất mạnh để đảm bảo điều khiển truy cập đến hệ thống mạng dịch vụ. Các địa chỉ MAC đã được chứng thực có thể lưu lại với thông tin về đường thuê bao vật lý, cho phép mỗi thuê bao có một số lượng nhỏ các thiết bị mạng đã được tiền chứng thực để truy cập mạng. Mỗi khi một địa chỉ mạng mới cố gắng truy cập mạng, hệ thống sẽ hỏi các thông tin cho chứng thực (user name, password) trước khi thêm địa chỉ MAC đó vào trong hệ thống cơ sở dữ liệu. Khi được triển khai đúng đắn, DHCP option 82 sẽ loại trừ hầu hết các cơ hội để tấn công giả mạo IP cũng như địa chỉ IP. DSLAM cũng có thể cung cấp các bộ lọc với các quy tắc lọc được cung cấp bới gateway. Đặc biệt DSLAM có thể quản lý loại yêu cầu được gửi từ các STB thông qua các mạng VLAN khác nhau. Ví dụ DSLAM có thể được cấu hình để chỉ cho phép các yêu cầu dịch vụ HTTP, HTTPS, DHCP, DNS và RTSP từ STB. Bằng cách loại bỏ tất cả các yêu cầu đến các cổng không cần thiết, DSLAM có thể bảo vệ phần còn lại của hệ thống khỏi các tấn công DOS. Bảng 6.10 sau cho thấy tác dụng của phương thức bảo mật với ACL nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục: Bảng 6.10 - Cách bảo mật hệ thống ACL đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Điều khiển truy cập và phiên truyền dẫn DHCP option 82 Giảm thiểu nguy cơ làm giả địa chỉ MAC, địa chỉ IP. Kẻ tấn công không thể giả mạo các địa chỉ hợp lệ để tấn công Head-end và chỉnh sử các thông tin. Kẻ tấn công không thể giả mạo các địa chỉ hợp lệ để tấn công từ chối dịch vụ DOS. 6.3.1.2. Định tuyến - routing Nhà cung cấp dịch vụ có thể sử dụng định tuyến lớp 3 tĩnh, động hoặc theo các chính sách bởi nhà cung cấp dịch vụ. Định tuyến dựa trên chính sách được thực hiện bằng cách sử dụng một số miền địch tuyến ảo Virtual routing domains (VRDs). Mỗi VRD được sử dụng để cung cấp quyết định định tuyến cho các gói tin thuê bao và dựa trên các thành phần định tuyến VRD để xác định thuê bao thuộc về cây định tuyến nào. Với phương thức định tuyến cơ bản, các gói tin có thể được phân đoạn chỉ trong các miền hợp lệ, đảm bảo rằng chỉ các thành phần mạng đã được chứng thực được phép truyền dẫn trong IPTV VRD. Các STB không được chứng thực sẽ không thể gửi các gói tin trong mạng IPTV. Điều này cũng bao gồm trường hợp kẻ tấn công cố gắng truy cập mạng dịch vụ bằng cách tấn công một đường truyền vật lý. Bảng 6.11 sau cho thấy tác dụng của phương thức định tuyến nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục: Bảng 6.11 - Cách bảo mật hệ thống định tuyến đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Định tuyến Tạo ra các miền VRDs giảm thiểu các nguy cơ truy cập trái phép đến các thông tin. Trong VRDs, các thông tin được bảo vệ khỏi các quá trình chỉnh sửa thay đổi. Mỗi VRD được gán một lức dải thông nhất định và hoạt động với các tham số QoS. 6.3.1.3. Tách biệt các thuê bao Với các nguy cơ xảy ra từ các viruses và worms, cùng với các nguy cơ hiển nhiên của việc kẻ tấn công sử dụng một STB để tấn công các STB lân cận, cần phải tách biệt các người dùng trong mạng dịch vụ cung cấp. Chức năng tách biệt các người dùng đảm bảo rằng các người dùng không thể truy cập các STB của người dùng khác, giảm các ảnh hưởng của quá trình lây nhiễm hàng loạt các đầu cuối trong mạng bởi Virus, worm. Nếu kẻ tấn công có thể lấy được quyền điều khiển của một STB, khi đó kẻ tấn công này cũng không thể kết nối đến các STB khác trong cùng mạng để thực hiện tấn công được. Do các gói tin truyền giữa các STb là không hợp lệ và bị loại bỏ bởi DSLAM, do đó cũng không ảnh hưởng đến truyền dẫn dịch vụ trong mạng. Bảng 6.12 sau cho thấy tác dụng của phương thức tách biệt các thuê bao nhằm đảm bảo tính bảo mật, thống nhất và khả năng cung cấp dịch vụ liên tục: Bảng 6.12 - Phương thức tách biệt các thuê bao đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Tách biệt người sử dụng STB các các thiết bị khác được an toàn cách biệt với các truy cập từ các thuê bao khác Kẻ tấn công không thể thực hiện truy cập các STB từ một STB bất kỳ để thực hiện thao túng STB ở xa. Các kẻ tấn công không thể giả mạo để thực hiện tấn công từ chối dịch vụ DOS trên các thiết bị và đầu cuối thuê bao khác. 6.3.1.4. Quản lý chất lượng dịch vụ DSLAM có thể phân loại các dải thông để đảm bảo QoS của dịch vụ đạt được trên các đường truyền. Quy tắc trên DSLAM đảm bảo các dịch vụ thiết yếu quan trọng luôn được cung cấp. Chức năng này cung cấp sự bảo vệ thêm cho hệ thống khỏi các tấn công DOS từ các thuê bao cố gắng dành hết các dải thông dịch vụ từ head-end. Các phiên truyền dẫn được điều khiển đảm bảo luôn có một lượng dải thông tối thiểu cho mỗi dịch vụ quan trọng thiết yếu. Trong khi thiết kế triển khai DSLAM và các yêu cầu về dải thông dịch vụ, người thiết kế cần xác định được mức dải thông lớn nhất mỗi STB có thể yêu cầu. Mọi cố gắng sử dụng nhiều hơn giải thông được phép sẽ bị loại trừ do chức năng đảm bảo QoS tỏng các hệ thống DSLAM. Trong hệ thống IPTV, cần thiết phải đảm bảo các người dùng không thể thực hiện tấn công Flood bằng cách gửi đi rất nhiều các yêu cầu đến head-end. Một giải thông tối thiểu cần được dành ra để đảm bảo tất cả các người dùng có thể kết nối đến Head-end tại bất kỳ thời điểm nào để truy cập dịch vụ. Hơn nữa các nội dung quảng bá gửi đi bởi head-end cần có một mức giải thông tối thiểu đến thỏa mãn cấp chất lượng của người xem. Bảng 6.13 sau cho thấy tác dụng của phương thức QOS nhằm đảm bảo tính liên tục dịch vụ: Bảng 6.13 - Chức năng QoS đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Quản lý chất lượng dịch vụ QoS -- -- Kẻ tấn công không thể sử dụng toàn bộ dải thông nhằm tấn công từ chối dịch vụ DOS. 6.3.1.5. Mạng ảo và mạng kết nối thuê bao ảo Khi mạng ảo virtual private networks (VPNs và VLANs) được sử dụng để truyền các thông tin giá trị sử dụng nền tảng mạng công cộng, các dữ liệu được bảo vệ khỏi các truy cập trái phép. Trong mạng VPN, một nhóm các thành phần mạng đã được chứng thực được phép truy cập đến nội dung. Các mạng ảo có thể được sử dụng để tách biệt các giải thông IPTV khỏi tất cả các loại hình dịch vụ khác thông qua DSLAM. Với chức năng QoS và DSLAM, các dải thông có thể được điều khiển đảm bảo loại trừ các tấn công từ chối dịch vụ. VLAN hoặc VPNs có thể được sử dụng để chia tách các giải thông truyền dẫn giữa các dịch vụ khác nhau như: IPTV, VoIP, Internet access, control, … Trong mỗi mạch vòng thuê bao, các quy tắc và các cơ chế bảo mật khác nhau có thể được triển khai, các dải thông nhất định có thể bị khóa và giảm thiểu các nhiễu trong mạng. Ví dụ trong VLAN dùng trong IPTV, các cơ chế bảo mật có thể được triển khai để đảm bảo chỉ các yêu cầu giao thức HTTPS được truyền từ STB đến Head-end. Tùy thuộc vào loại thiết bị, chức năng này có thể triển khai sử dụng các hệ thống lọc lớp 2 hoặc lớp 3 – chức năng này liên kết đến các yêu cầu về bảo mật cũng như các khả năng bảo mật của thiết bị. Bảng 6.14 sau cho thấy tác dụng của hệ thống mạng ảo nhằm đảm bảo tính bảo mật, thống nhất, và liên tục dịch vụ: Bảng 6.14 - Giải pháp mạng ảo đảm bảo tính bảo mật, thống nhất và tính liên tục của dịch vụ Bảo mật Thống nhất Tính liên tục dịch vụ Mạng ảo & Mạng truy cập thuê bao ảo Các thông tin được phân đoạn cho phép bảo vệ tốt hơn cho tính bảo mật của thông tin. Cung cấp khả năng hạn chế kiểu loại dữ liệu truyền dẫn được phép, giảm thiểu loại tấn công làm ảnh hưởng đến tính thống nhất của dữ liệu và hệ thống. Các dòng truyền được phân đoạn, giảm thiểu khả năng tấn công flooding. 6.3.1.6. Giao thức chứng thực 802.1X Authentication IEEED phát triển một tiêu chuẩn cho mạng cục bộ LAN và MAN, thực hiện chức năng điều khiển truy cập mạng thông quá các cổng dịch vụ. Rất nhiều các mạng có một số lượng các cổng vật lý có thể bị tấn công bới các truy cập trái phép. Các cổng vật lý này được sử dụng để truy cập và cần các điều khiển logic hợp lệ để hạn chế các hiểm nguy về bảo mật. Mục đích của tiêu chuẩn này là cho phép hạn chế truyền dẫn giữa các kết nối mới và thực hiện kiểm tra đầu cuối mới này cho đến khi qua bước chứng thực và cho phép sử dụng dịch vụ. Các thiết bị kết nối được gọi là supplicants, bên chứng thực gọi là authenticators (trường hợp này là DSLAM) và có một server cho chứng thực để đưa ra các quyết định chứng thực (trường hợp này là RADIUS server sử dụng EAP). Supplicant bắt đầu với yêu cầu 802.1X sử dụng EAPoL. Yêu cầu này được nhận bởi authenticators và gửi đến authentication server sử dụng EAP/RADIUS. Một khi authentication server xác nhận các thông tin chứng thực là hợp lệ và chứng thực thành công cho Supplicant, cấu hình Port lúc đó sẽ được điều chỉnh và gán quyền truy cập dịch vụ cho thuê bao. 6.3.2. Firewalls Firewall là thành phần cần có để bảo vệ các dải thông từ DSLAM đến Middleware server. Thậm chí nếu gateway khu vực truy cập thuê bao và DSLAM đang khóa các yêu cầu từ các cổng không được chứng thực, có một số nguy cơ theo đó kẻ tấn công vẫn có thể thay đổi các cơ chế trên. Trước khi đi vào mạng Home-end, một hệ thống firewall phải được triển khai để lọc tất cả các yêu cầu và chỉ cho phép các yêu cầu đến Middleware server. Cơ chế bảo mật trong các Web server cung cấp chức năng bảo vệ cho cổng 80/443 tuy nhiên đối với các cổng khác vẫn có nguy cơ bị tấn công. 6.4. Hệ thống thiết bị đấu cuối home-end Hệ thống home-end cho thấy một số khó khăn trong việc quản lý các vấn đề bảo mật trong mạng IPTV. Các thành phần ngoài tầm kiểm soát của nhà cung cấp dịch vụ IPTV và các phần cứng đối diện trước nguy cơ bị chỉnh sửa bởi kẻ tấn công. Các phương pháp đã được triển khai tại các thiết bị home-end với mục đích làm chậm các cuộc tấn công và khóa các cuộc tấn công tầm thường ở mức độ đơn giản. Các cơ chế bảo mật mạnh hơn được sử dụng trong hệ thống mạng truyền dẫn. Cũng cần lưu ý là STB có truy cập ảo đến các hệ thống lưu trữ nội dung tại trung tâm dịch vụ IPTV thông qua các yêu cầu hợp lệ. Nếu kẻ tấn công lấy được quyền điều khiển STB thông qua mạng Internet, họ có thể lấy được các nội dung từ STB. 6.4.1. Residential Gateway Residential gateway – Gateway khu vực truy cập thuê bao – tập trung các dịch vụ khác nhau được cung cấp đến thuê bao vào trên một đường truyền dẫn duy nhất. Residential gateway có một số các cơ chế bảo mật cơ bản bao gồm các chức năng lọc cũng như khả năng thực hiện QoS. Residential gateway chia sẻ các kết nối cục bộ bao gồm VoIP phones, high-speed Internet access và IPTV services. 6.4.1.1. Filtering Residential gateway có thể được cấu hình để lọc các gói tin và chỉ cho phép các yêu cầu hợp lệ từ các thiết bị Home-end tới Head-end. Đặc biệt, các filter có thể khóa bất kỳ một giải thông truyền dẫn nội dung nào không phù hợp với loại dải thông truyền hợp lệ (ví dụ 80, 443 và RSTP). Chức năng này giảm thiểu nguy cơ sâu máy tính worms hoặc viruses gây lây nhiễm cho một diện số lượng lớn các STB để thực hiện tấn công DOS đối với head-end. Các bộ lọc cũng có thể sử dụng để khóa các cố gắng truy cập trái phép từ head-end tới STB hay các thiết bị khác tại Home-end. Chức năng này loại bỏ khả năng bị tấn công thông qua các công cụ Port scan. 6.4.1.2. QoS Quản lý chất lượng dịch vụ QoS có thể được thực hiện trên residential gateway để hỗ trợ tăng cường cho vấn đề bảo mật. Các dòng truyền nội dung yêu cầu một mức giới hạn các dải thông để truyền dẫn. Nếu một STB bị nhiễm bởi sâu hay virus và cố gắng gửi đi một số lượng lớn các dữ liệu qua cổng hợp lệ (80, 443, RSTP), khi đó QoS sẽ hạn chế dải thông và sẽ hạn chế mức độ của cách tấn công này. Quá trình thực hiện QoS có thể thực hiện lại nhiều lần tại nhiều điểm giữa Home-end và head-end, đặc biệt tại DSLAM và firewall. 6.4.2. Set top box STB thông thường là các phần cứng tích hợp trên một IC. Có một số giới hạn đối với các STB dựa trên nền tảng PC. STB cũng có các nguy cơ về bảo mật như việc truy cập trái phép nội dung số hoặc sự đánh cắp các khóa mã khóa bảo mật. Kẻ tấn công có thể tháo rời các thành phần phần cứng để tìm ra các điểm yếu trong hệ thống STB, và trong một số trường hợp có thể chế tạo hoặc lập trình lại các chương trình bên trong STB để tạo ra các kẽ hở. Các PC cho phép truy cập dễ dàng hơn đến các khóa và nội dung, khi kẻ tấn công có quyền điều khiển toàn bộ hệ thống và chỉ cần thực hiện các thao tác đơn giản trên STB là có thể lấy được các khóa được lưu trữ trong bộ nhớ hoặc các nội dung ghi nhớ đệm trong quá trình giải mã. STB được thiết kế để chứa đựng các hệ điều hành và các chương trình sử dụng các thành phần phần cứng. Một trong những thành phần chính trong STB là bộ nhớ Flash. Flash memory là loại bộ nhớ có thể dễ dàng bị bị xóa điện và tái lập trình. Các thành phần này có thể được sử dụng để lưu các mã chương trình và khóa. Các thông tin có thể được lưu lại ngay cả khi STB ngắt kết nối khỏi nguồn điện. Trong quá trình thiết kế mạng IPTV, các chuyên gia bảo mật cần đảm bảo chọn được các STB có cấu trúc có thể chấp nhận được và có các chức năng bảo mật nhất định, đảm bảo bảo vệ hệ thống khỏi các tấn công. Khi so sánh các model sản phẩm khác nhau, các chuyên gia bảo mật cần xác định các nguy cơ trong mỗi STB và xác định chất lượng của các model này trong việc bảo vệ khỏi các cuộc tấn công. Các hệ điều hành trong các STB cần được làm kiên cố hóa chặt chẽ theo các khuyến cáo của nhà sản xuất. Các cổng truyền dẫn không cần thiết phải được vô hiệu hóa để tránh khả năng bị truy cập trái phép. 6.4.2.1. Bộ xử lý bảo mật Một số hãng sản xuất STB có thể tạo ra các cơ chế bảo mật trong Chipset để bảo vệ các chương trình bên trong. Chức năng này cho phép bảo mật các thông tin được lưu trữ. Kẻ tấn công không thể thực hiện thu bắt các thông tin được lưu trữ trong các vùng nhớ. Trong một số loại sản phẩm, sự khóa các bộ nhớ flash có thể bảo vệ khỏi các tấn công xóa hoặc cấy các chương trình độc hại. Việc khóa này luôn đảm bảo STB chạy các ứng dụng theo đúng chức năng ban đầu. Các cơ chế khác có thể sử dụng bao gồm các cơ chế chứng thực giữa flash và CPU. Mỗi thành phần có thể được kiểm tra hợp lệ và cung cấp các thông tin chứng thực. Quá trình chứng thực này đảm bảo các hoạt động sai thông qua sự thao túng của kẻ tấn công bị kiểm tra ngăn chặn. Cũng có các cơ chế chống đọc đảm bảo không thể đọc được các bộ nhớ, hay xao chép các dữ liệu, do đó đảm bảo an toàn về bản quyền nội dung cũng như các chương trình lập trình. Nói chung các thành phần trong hệ thống được thực hiện dưới dạng nhúng vào trong các chip vi xử lý. Các thành phần xử lý bảo mật nhúng trong chíp bao gồm: • Processors – bộ xử lý; • Tamper detection system – hệ thống phát hiện sự thâm nhập; • Key storage section – thành phần lưu trữ khóa; • Boot protection information – các thông tin khởi động; • Access controls – điều khiển truy cập; • Cryptographic engines – hệ thống xử lý mã khóa; • secure channel – kênh bảo mật. Hệ thống phát hiện sự xâm nhập là cơ chế phát triển thêm cho phép phát hiện các quá trình thay đổi thao túng trên phần cứng. Nếu bộ xử lý bị tháo rời khỏi bản mạch hoặc kẻ tấn công cố gắng truy cập vào các thành phần vật lý, các thành phần sẽ bị lỗi và sự hoạt động của STB sẽ bị dừng. Kênh bảo mật được sử dụng để trao đổi thông tin với các bộ xử lý. Các nội dung được mã khóa được gửi đến các thành phần, các đường ra từ vi xử lý cũng được bảo vệ theo cách tương tự. Giải mã và các khóa bí mật được lưu và sử dụng chỉ trong các thành phần bảo đảm của bộ xử lý. Nếu DRM hay Middleware server gửi một khóa mã khóa đối xứng bởi khóa công khai của STB, các gói tin này sẽ nhận được bởi STB theo dạng đã được mã khóa và sẽ gửi đến bộ xử lý bảo mật để giải mã và lưu lại cho sử dụng về sau. Các hệ thống thực hiện mã khóa được sử dụng để tăng cường khả năng xử lý mã khóa và đảm bảo môi trường công việc an toàn cho các thông tin bảo mật. các nội dung mã khóa được gửi tới bộ xử lý bảo mật thông qua kênh bảo mật và được giải mã khóa thông qua các khóa đối xứng. Các khóa không bao giờ rới khỏi bộ xử lý dưới dạng thô không mã hóa – clearntext, do đó không có khả năng kẻ tấn công có thể lấy được nội dung nguyên thủy. Mục đích chính của các bộ xử lý là để bảo vệ các thông tin và dữ liệu quan trọng. Các dữ liệu mã khóa nhận được, giải mã và thực hiện bởi bộ xử lý an toàn. Các bộ nhớ cũng được mã hóa cũng như các dữ liệu được điều khiển bởi các bộ xử lý. Do đó không có cơ hội để kẻ tấn công có thể lấy được các nội dung nguyên gốc. Tất cả các thành phần trong hệ thống đã được mã khóa. 6.4.2.2. DRM DRM Client được thực hiện bởi quá trình trao đổi khóa và kiểm tra. Trong môi trường máy tính, DRM client có các tùy chọn hạn chế để quản lý và bảo vệ khóa, như trong phần lớn trường hợp hợp sẽ được lưu trong các bộ nhớ hệ thống. DRM client cũng tham dự vào quá trình kiểm tra trao đổi khóa PKI, bao gồm quá trình đưa ra chứng thực số của STB, các thông tin kiểm tra mã khóa (thông qua bộ xử lý bảo mật) và quá trình kiểm tra các thông tin về tính hợp lệ từ DRM server và Middleware server. Các DRM client và Web browser phải được cấu hình đúng đắn để kiểm tra các thông tin PKI. Danh mục các chứng thực số hết hạn – CRL - và không còn hợp lệ cần được download về và kiểm tra thường xuyên bởi hệ thống. CRL phải được ký bởi CA hợp lệ, nhưng các chứng thực gốc CA cần được lưu trong một hệ thống bảo mật an toàn trong STB và bảo vệ khỏi sự thay đổi các thông tin này. Kẻ tấn công có thể giả mạo các chứng thực CA để giả mạo STB để có được các chứng thực hợp lệ từ Middleware server hay Middleware. Trong tình huống tương tự, các chứng thực số từ STB và các khóa bí mật cần được lưu trữ trong các khu vực an toàn trong STB để tránh sự can thiệp trái phép. 6.4.2.3. Bảo vệ đầu ra Các kẻ tấn công có thể cố gắng lấy được quyền điều khiển STB để lấy ra các thông tin cũng như các nội dung. Các đường ra của STB có thể bị can thiệp để tái phân phối trái phép các nội dung số. Các đầu ra cần được bảo vệ theo các tiêu chuẩn quốc tế sau: • High-bandwidth digital content protection (DHCP): High-bandwidth digital content protection (HDCP) được sử dụng để bảo vệ các nội dung số khỏi quá trình xao chép xử lý và tái phân phối nội dung. Tiêu chuẩn này áp dụng cho các đầu ra số từ DVI và HDMI. DHCP cung cấp các cơ chế chứng thực để khóa các đường ra phân giải cao đến các thiết bị không được chứng nhận. DHCP làm việc bằng cách cung cấp một tập 40 khóa cho mỗi thiết bị. Các khóa chiều dài 56 bits. Một vector phụ trợ Key selection vector (KSV) được gán cho mỗi thiết bị và được sử dụng bởi các bộ thu và STB để trao đổi các thông tin về tính hợp lệ và chọn ra các khóa mã khóa DHCP. • Digital transmission content protection: Transmission content protection (DTCP) được sử dụng để cho phép kết nối các thành phần trong hệ thống Home-end. Phương thức kết nối này cho phép set top boxes, personal computers, media consoles và các thiết bị khác sử dụng USB, PCI, Bluetooth, Firewire và IP. Đường ra STB sẽ bị hạn chế bởi các thành phần được chứng nhận DTCP. Phương thức này giảm thiểu các nguy cơ trộm cắp các nội dung số. 6.5. Tổng hợp Xem xét tất cả các thành phần cần thiết cho hoạt động của hệ thống dịch vụ IPTV có thể thấy rất nhiều các điểm yếu cũng như nguy cơ bảo mật trong quá trình triển khai xây dựng hệ thống IPTV. Hầu hết các ứng dụng được sử dụng trong hệ thống IPTV sẽ chạy trên các hệ điều hành đã phổ thông trên thị trường hiện nay. Các hệ điều hành và các ứng dụng có thể mang đến một số lượng lớn các điểm yếu bảo mật, và thông thường các điểm yếu này không thường xuyên được vá lỗi bởi các nhà cung cấp mà cần đến sự thực hiện của đội ngũ làm việc vận hành để đảm bảo bảo vệ hệ thống dịch vụ này. Tất cả các thành phần phải chạy và được thử nghiệm qua các quá trình trước khi thực hiện vào hệ thống cung cấp dịch vụ. Với khả năng và sự khéo léo trong xử lý của các kẻ tấn công và các điểm yếu liên quan đến các công nghệ mới ra đời, bảo mật trong hệ thống IPTV sẽ thay đổi và sự phát triển nhanh chóng của các hệ thống mới trong khi các công nghệ bảo mật không được cập nhập kịp thời làm tăng khả năng của các kẻ tấn công trong việc xâm nhập các hệ thống. Việc thực hiện một hệ thống chặt chẽ dựa trên các kinh nghiệm về bảo mật sẽ làm giảm các nguy cơ bị tấn công và cho phép hệ thống dịch vụ IPTV được triển khai như là một dịch vụ mới và linh động đến người dùng. Hệ thống IPTV phải được bảo vệ sử dụng cách tiếp cận đầu cuối đến đầu cuối. Hacker sẽ cố gắng tấn công vào hạ tầng mạng để có được truy cập đến các nội dung và các thông tin từ thuê bao dựa trên khai thác các điểm yếu bảo mật. Các thành phần trong hệ thống Head-end có một số các điểm yếu kế thừa từ các hệ điều hành sử dụng cho các ứng dụng mạng IPTV và trong các thiết bị truyền dẫn. Dải thông trong hệ thống head-end phải bị hạn chế cho các VLAN cụ thể, và tất cả các thành phần phải được cập nhập với các bản vá lỗi mới nhất một cách thường xuyên. Hệ thống IPTV cho phép các người dùng có mức độ kết nối lớp cao với các ứng dụng trong mạng IPTV. Một số trong các ứng dụng sử dụng các giao thức HTTP và TFTP. Đã có các điểm yếu đã được công bố trong các giao thức này, kẻ tấn công có thể khai thác các điểm yếu đó để lấy được quyền điều khiển cho Server cũng như các chương trình ứng dụng cụ thể. Hệ thống home-end cũng có nguy cơ bị tấn công flood các gói tin hàng loạt đến các máy tính trong mạng hoặc các STB. STB đã được cải tiến để bao gồm các ổ cứng và hệ điều hành nhằm tăng tính tương tác cho dịch vụ, tuy nhiên chính sự phát triển này làm tăng các mối nguy cơ bị tấn công bởi hacker. Từ góc độ nhà cung cấp dịch vụ, STB phải được coi là thành phần kém bảo mật trong hệ thống mạng dịch vụ. Đã có các trường hợp các người dùng thay đổi cấu hình của modem và trộm cắp dịch vụ. Các điều khiển cũng cần được triển khai để phát hiện các truy cập, và các thủ tục cần được thực hiện khi có xung đột xảy ra để ngăn chặn các đối tượng tấn công. Tất cả các kết nối cần được theo dõi để đảm bảo các thuê bao không tái phân phối các nội dung mà họ nhận được. Trong phần lớn trường hợp các dòng truỳen sẽ được gửi cùng trên một đường truyền, như vậy tạo ra khả năng phát hiện xâm nhập. Các thuê bao sẽ cần được cảnh báo cũng như hướng dẫn để hiểu được các nguy cơ từ vấn đề bảo mật xảy ra với STB. Các thuê bao có thể có khả năng nhận biết sự tấn công cơ bản. Các thuê bao cũng cần phải hiểu được trách nhiệm của họ trong việc quản lý thông tin thuê bao, mã số PIM, và chịu trách nhiệm về việc các nội dung được ghi và lấy ra khỏi STB. CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 7.1. Kết luận Công nghệ truyền hình Internet IPTV đang ngày càng phát triển mạnh như là sự thay thế các mạng truyền hình truyền thống. Hệ thống mạng truyền hình IPTV có nhiều lợi điểm to lớn như tính đa dạng và linh hoạt trong cung cấp dịch vụ, tính tương tác người dùng mạnh, đáp ứng nhu cầu truyền hình theo yêu cầu (Video On Demand) – các đặc điểm mà các mạng truyền hình trước đây không có được. Hơn nữa ngày nay, hầu hết các đầu cuối người dùng đều áp dụng công nghệ truyền dẫn và xử lý trao đổi thông tin qua IP, do đó việc xây dựng hệ thống dịch vụ IPTV cho phép tiếp cận trên diện rộng các đối tượng thuê bao khác nhau. Tuy nhiên, khi xem xét tất cả các thành phần cần thiết cho hoạt động của hệ thống dịch vụ IPTV có thể dễ dàng nhận thấy hàng trăm thậm chí hàng nghìn các điểm yếu cũng như nguy cơ bảo mật trong quá trình triển khai xây dựng hệ thống lần đầu. Một hệ thống IPTV bảo mật với giá thành phải chăng có thể thực hiện bằng cách nắm bắt và hiểu rõ các công nghệ có liên quan cũng như quá trình truyền thông tin giữa các thành phần của hệ thống dịch vụ. Các chuyên gia về bảo mật phải xem xét tác động của các tác vụ thêm vào hay bỏ đi các chức năng bảo mật và phải biết được các nguy cơ tiềm tàng có thể xảy ra đối với hệ thống mạng dịch vụ triển khai. Nhà cung cấp dịch vụ IPTV phải có kế hoạch xây dựng triển khai hệ thống với khả năng bảo mật nhất định để đảm bảo an toàn cho các tài nguyên số và đảm bảo thu được lợi nhuận hợp lý từ nguồn đầu tư của mình. Việc nghiên cứu và tiếp tục phát triển các công nghệ bảo mật cho hệ thống mạng dịch vụ IPTV vẫn cần được thực hiện thường xuyên liên tục. Không một hệ thống DRM, mã khóa, hay CAS nào có thể đảm bảo an toàn liên tục trong một thời gian dài. Công nghệ luôn phát triển kéo theo sự phát triển của các công nghệ xử lý mới, khiến cho các công nghệ mã khóa bảo mật cũng như các cơ chế bảo mật cũ trở lên lỗi thời và không còn phù hợp nữa. Các hệ thống bảo mật mới, các cơ chế mã khóa mới cần được triển khai để liên tục cập nhập và khắc phục các sự cố xảy ra trong quá trình khai thác dịch vụ. Mục tiêu của luận văn này chủ yếu đi vào phân tích và làm nổi bật các điểm yếu bảo mật, các nguy cơ hiện hữu trong hệ thống cung cấp dịch vụ IPTV hiện nay và đưa ra một số phương pháp và công nghệ thường được sử dụng để đảm bảo bảo tính bảo mật cho các hệ thống IPTV này. 7.2. Hướng phát triển đề tài Một số hướng phát triển của đề tài như sau: - Nghiên cứu sâu về cơ chế mã khóa AES và ứng dụng của phương pháp mã khóa này trong mạng dịch vụ IPTV. - Xây dựng danh mục kiểm tra chi tiết (checklist) về các vấn đề bảo mật cho một hệ thống mạng IPTV tiêu chuẩn, từ đó tạo ra một chu trình chuẩn cho kiểm tra các vấn đề bảo mật. - Nghiên cứu sâu hơn cơ chế phát hiện xâm nhập và bảo vệ bảo mật trong hệ thống mạng IPTV (IDS/IPS). - Nghiên cứu và tìm hiểu tính tương tác người dùng trong hệ thống mạng truyền hình IPTV, các công nghệ và kỹ thuật cụ thể cần triển khai để thực hiện chương trình tương tác. TÀI LIỆU THAM KHẢO Tiếng Anh [1] ATIS-0800007 (2007), ‘IPTV High Level Architecture’, ATIS-IIF. [2] Fenner, W. (1997), ‘Internet Group Management Protocol, Version 2’, IETF. [3] Gilbert Held (2006), ‘Understanding IPTV’, AUERBACH PUBLICATIONS. [4] Internet Streaming Media Alliance (2005), ‘Encryption and Authentication, Version 1.1’. [5] IETF (1998), ‘Real Time Streaming Protocol (RTSP)’. [6] IETF (1998), ‘Protocol Independent Multicast (PIM)’. [7] IETF (2002), ‘Internet Group Management Protocol, Version 3’. [8] IETF (2002), ‘RTP:a Transport Protocol for Real-Time Applications’. [9] IETF (2003), ‘Multicast Source Discovery Protocol (MSDP)’. [10] Institute of Electrical and Electronics Engineers (2005), ‘802.1Q – Virtual LANs’. [11] International Telecommunication Union (1997), ITU-T Recommendation X.509. [12] Johan Hjelm (2008), ‘Why IPTV? Interactivity, Technologies and Services’, A John Wiley and Sons, Ltd, Publication. [13] Ramachandran, K. (2002), ‘Spoofed IGMP Report Denial of Service Vulnerability’. [14] Website: [15] Website: [16] Website [17] Website [18] Website: