NGHIÊN CỨU VỀ THỦ TỤC CHỐNG CHỐI BỎ TRONG THƯƠNG MẠI ĐIỆN TỬ

Ngoài phần mở đầu, kết luận và danh mục tài liệu tham khảo, luận văn được kết cấu gồm 3 chương: Chương I: Trong chương này em giới thiệu chung về thương mại điện tử, tiếp đó em đã trình

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN PHONG PHÚ

NGHIÊN CỨU VỀ THỦ TỤC CHỐNG CHỐI BỎ

TRONG THƯƠNG MẠI ĐIỆN TỬ

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - NĂM 2013

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: GS-TS NGUYỄN BÌNH

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

LỜI MỞ ĐẦU

1 Lý do chọn đề tài

Với sự bùng nổ và phát triển Internet như vũ bão hiện nay, mạng máy tính đã và đang ngày càng đóng vai trò cần thiết trong mọi lĩnh vực hoạt động của toàn xã hội Mạng Internet, mạng máy tính đã trở thành phương tiện, nền tảng để điều hành các hệ thống mạng

và các hệ thống thông tin Trong đó hệ thống thương mại điện tử ngày nay cũng đã và đang rất phát triển dựa trên nền tảng của đó Thương mại điện tử đã phát huy được thế mạnh của mình trong công cuộc đổi mới và phát triển nền kinh tế, chính trị và xã hội toàn cầu Với sự bùng nổ và phát triển như vậy thì nhu cầu trao đổi thông tin trên mạng ngày nay ngày càng phổ biến và phần lớn các thông tin kinh tế, chính trị, xã hội được truyền trên các mạng dưới dạng số hóa Vì vậy nhu cầu bảo mật thông tin trên mạng Internet, các mạng máy tình và trong thương mại điện tử ngày càng cao và được đặt lên hàng đầu Chính vì thế mà rất nhiều các công ty truyền thông, các nhà khai thác mạng của các quốc gia trên toàn thế giới đã đầu

tư rất nhiều kinh phí, nhân lực vào vấn đề nghiên cứu bảo mật thông tin trên Internet và đặc biệt là trong thương mại điện tử Chính vì lý do trên và để phục vụ cho công việc nghiên cứu

và giảng dạy của mình, em đã chọn đề tài: Nghiên cứu về thủ tục chống chối bỏ trong thương mại điện tử để nghiên cứu làm luận văn tốt nghiệp của mình

2 Mục đích nghiên cứu

- Tìm hiểu chung về thương mại điện tử

- Tìm hiểu về thủ tục trong thương mại điện tử

- Giới thiệu về thủ tục chống chối bỏ trong thương mại điện tử

- Nghiên cứu rõ về chống chối bỏ trong chữ ký số

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Tìm hiểu chung và các thủ tục trong thương mại điện tử và cách chống chối bỏ trong thương mại điện tử và chữ ký số

Phạm vi nghiên cứu: Nghiên cứu về thủ tục chống chối bỏ của các hệ thống thương mại điện tử, hệ thống ngân hàng thương mại hiện nay

4 Phương pháp nghiên cứu

- Khảo sát các nghiên cứu, tài liệu liên quan để thu thập thông tin về cơ sở lý thuyết

- Tham khảo một số mô hình các hệ thống thương mại hiện có và của các hệ thống ngân hàng thương mại hiện nay

5 Kết cấu của luận văn

Ngoài phần mở đầu, kết luận và danh mục tài liệu tham khảo, luận văn được kết cấu gồm 3 chương:

Chương I: Trong chương này em giới thiệu chung về thương mại điện tử, tiếp đó em

đã trình bầy về các đặc trưng của thương mại điện tử và cuối cùng của chương em đề cập đến yêu cầu pháp lý của thương mại điện tử hiện nay

Chương II: Chương này em sẽ nghiên cứu các khía cạnh cơ bản của dịch vụ chống

chối bỏ, thảo luận về các phương pháp tiếp cận để đảm bảo chữ ký số như một bằng chứng chống chối bỏ hợp lệ, nghiên cứu các giao thức chống chối bỏ công bằng điển hình hiện tại,

và mở rộng chống chối bỏ với mô hình có nhiều bên cùng tham gia

Chương III: Trong chương này em đã tìm hiểu về các lược đồ chữ ký số và đặc biệt

là lược đồ chữ ký số chống chối bỏ trong thương mại điện tử Qua đó ta có thể hiểu được thuật toán được sử dụng trong các lược đồ, các bược mã hóa, giải mã và xác nhận của chữ

ký số, chữ ký số chống chối bỏ đã được nêu ở trên

CHƯƠNG I: CÁC ĐẶC TRƯNG CƠ BẢN VÀ YÊU CẦU TRONG THƯƠNG MẠI ĐIỆN TỬ

1.1 Giới thiệu chung về Thương mại điện tử

Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tình toàn cầu Thương mại điện tử bao gồm các hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới người tiêu dung và các dịch vụ sau bán hàng

1.2 Các đặc trưng cơ bản của Thương mại điện tử

So với các hoạt động thương mại truyền thống, Thương mại điện tử có một số các đặc trưng cơ bản sau:

1.2.1 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

1.2.2 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không biên giới (thị trường thống nhất toàn cầu) 1.2.3 Trong hoạt động giao dịch Thương mại điện tử đều có sự tham gia của ít nhất ba chủ thể, trong đó

có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực

1.2.4 Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện

để trao đổi dữ liệu, còn đối với Thương mại điện tử thì mạng lưới thông tin chính

là thị trường

1.3 Các yêu cầu trong thương mại điện tử

1.3.1 Yêu cầu về kết cấu hạ tầng công nghệ

1.3.2 Yêu cầu về con người

1.3.3 Yêu cầu về khuôn khổ pháp lý

1.3.4 Yêu cầu về môi trường kinh tế

1.3.5 Yêu cầu hệ thống thanh toán tài chính tự động

Hệ thống thương mại điện tử chỉ có thể hoạt động và phát triển mạnh mẽ thông qua

hệ thống thanh toán thẻ ngân hàng (ATM), hệ thống thanh toán thẻ quốc tế (Visa, Master, JCB, American Express,…)

1.2.6 Yêu cầu an toàn và bảo mật

Giao dịch thương mại bằng phương tiện điện tử đặt ra đòi hỏi rất cao về bảo mật và

an toàn, nhất là khi hoạt động trên Internet/web Bảo mật điện tử là một nhân tố tối quan trọng cho sự phát triển của thương mại điện tử Mặt trái của internet là đã tạo ra một môi trường trú ngụ cho các tin tặc đang sở hữu những công cụ tự động hóa ngày càng phức tạp

và hiệu quả phá hoại rất lớn

1.4 Kết luận chương I

Qua chương này ta có thể thấy rằng sự hình thành và phát triển của TMĐT quan hệ mật thiết với các xu thế kinh tế - chính trị - xã hội – công nghệ và là một xu hướng khách quan, phù hợp với các quy luật thị trường Thương mại điện tử, con người có thể giao tiếp

dễ dàng hơn trong một cộng đồng rộng lớn Tuy nhiên đối với các giao dịch mang tính nhạy cảm, cần phải có cơ chế đảm bảo an toàn trong phiên giao dịch đó Cần thiết hơn cả đó là mỗi bên cần xác định chính xác người mình giao tiếp và hợp tác xem có đúng đối tượng mình mong đợi hay không? Trong chương này em giới thiệu chung về thương mại điện tử hiện nay, tiếp đó em đã trình bầy về các đặc trưng của thương mại điện tử và cuối cùng của chương em đề cập đến yêu cầu pháp lý của thương mại điện tử hiện nay Đó là các nội dung chính của chương em đã trình bầy ở trên

CHƯƠNG II:

CHỐNG CHỐI BỎ TRONG THƯƠNG MẠI ĐIỆN TỬ

Chống chối bỏ là một dịch vụ bảo mật nhằm tạo ra, thu thập, xác thực và duy trì bằng chứng mật mã, chẳng hạn như việc dùng chữ ký số, trong giao dịch điện tử để được hỗ trợ giải quyết các tranh chấp có thể xảy ra Bằng cách cung cấp dịch vụ chống chối bỏ trong thương mại điện tử, các bên giao dịch sẽ có sự tin tưởng hơn trong việc thực hiện kinh doanh qua mạng Internet

2.1 Những yêu cầu chống chối bỏ

2.1.1 Dịch vụ chống chối bỏ

Dịch vụ chống chối bỏ giúp các bên giải quyết các tranh chấp có thể xảy ra trong một

sự kiện hoặc hành động nào đó trong một giao dịch Các mô hình của giao dịch điện tử thì

có các dịch vụ chống chối bỏ tương ứng được sử dụng

• Chống chối bỏ khi nhận (NRR)

• Chống chối bỏ quá trình gửi (NRS)

• Chống chối bỏ quá trình giao hàng (NRD)

2.1.2 Các giai đoạn trong chống chối bỏ

Việc cung cấp dịch vụ này có thể được chia thành các giai đoạn khác nhau

• Các loại hình dịch vụ chống chối bỏ được cung cấp

• Sự đồng nhất của người gửi

• Sự đồng nhất của người nhận

• Sự đồng nhất của các bằng chứng thế hệ khi có sự khác nhau từ người gửi và người nhận

• Sự đồng nhất qua các bên thứ ba khác (đáng tin cậy) có liên quan

• Thông điệp được chuyển giao

• Một time stamp đáng tin được xác định khi các hành động liên quan đến việc chuyển giao thông điệp đến nơi

• Một time stamp đáng tin được xác định khi các bằng chứng được tạo ra, và thời hạn

sử dụng của bằng chứng này

sau khi khóa đã hết hạn hoặc bị thu hồi

• Rõ ràng, người sử dụng bằng chứng có để có thể phân biệt giữa hai trường hợp này

2.1.5 Các yêu cầu trong chống chối bỏ

Các yêu cầu chung về việc thiết kế một giao thức chống chối bỏ tốt

2.2.1 Phương pháp tiếp cận của chống chối bỏ

Giao thức chống chối bỏ cơ bản đã được đề xuất trong ISO/IEC 13.888-3

1 A → B: fEOO, B, M, SA (fEOO, B, M)

2 B → A: fEOR, A, SB (fEOR, A, M)

Trong giao thức này, M là một thông điệp được gửi từ người khởi tạo A đến người nhận B Chữ ký của A và B tương ứng sẽ làm chứng cứ về nguồn gốc (EOO) và bằng chứng nhận (EOR) Các giá trị cờ fEOO và fEOR cho biết mục tiêu dự định của một thông điệp được

ký kết

• Các giao thức bên thứ ba ví dụ, cái mà làm cho việc sử dụng của bên thứ ba đáng tin cậy như in-line, on-line hoặc off-line

Phương pháp tiếp cận trao đổi dần dần phải thoả mãn hai điều kiện sau đây:

đúng đắn của nó Điều này là để bảo vệ bạn chống lại có các gian lận có thể, một bên tạo ra bit chính xác trong khi bên kia thì bit không có thật

• Công bằng: Các nỗ lực tính toán yêu cầu các bên có được các bit bí mật còn lại của bên kia nên được xấp xỉ tương đương tại bất kỳ giai đoạn nào của một giao thức đang dùng

2.2.2 Sử dụng In-Line TTP để giao hàng kịp thời

Ngoài cung cấp bằng chứng về nguồn gốc và nhận được một tin nhắn, các giao thức cũng cung cấp bằng chứng đáng tin cậy về thời gian nộp và cung cấp các tin nhắn Giả sử người khởi tạo A muốn gửi một thông điệp M cho người nhận B thông qua một giao quyền

DA Các ký hiệu trong mô tả giao thức như sau:

• Tsub: thời điểm mà DA nhận được đệ trình (kế hoạch) của A

• Tdel: thời điểm mà M được cung cấp và có sẵn cho B

• Tabo: thời điểm mà DA hủy bỏ việc giao hàng

• L = H (A, B, DA, M, Tsub): nhãn xác định thông điệp M, và ràng buộc nó cho các đơn

vị và thời điểm đệ trình

• EPDA(M): mã hóa M với khóa công khai của DA

• EOO = SA (fEOO, DA, B, M): bằng chứng về nguồn gốc của M do A cấp

• EOS = S (fEOS, A, B, Tsub, L, EOO): bằng chứng về việc đệ trình M do DA

• EOR = SB (fEOR, DA, L, EOO): bằng chứng nhận một tin nhắn có nhãn L

• EOD = SDA (fEOD, A, B, Tdel, L, EOR): bằng chứng về việc giao hàng của M do DA

• fEOO, fEOS, fEOR, fEOD, fabo, fntf: Cờ chỉ thị cho thấy mục đích của một ký hiệu tin nhắn

• abort = SDA (fabo, A, B, Tabo, L, EOO): bằng chứng phá hủy việc giao hàng do DA Một phiên bản sửa đổi của giao thức như sau:

1 A → DA: fEOO, DA, B, EPDA (M), EOO

2 A ← DA: fEOS, A, B, Tsub, L, EOS

3 DA → B: fntf, L, EOO, SDA (fntf, B, L, EOO)

4 Nếu B → DA: fEOR, L, EOR Sau đó

4.1 B ← DA: L, M

4.2 A ← DA, fEOD, Tdel, EOR, EOD

5 A ← DA khác: fabo, Tabo, L, hủy bỏ

Có hai kết quả có thể có trong giao thức trên

và EOR

EOS và hủy bỏ Trong cả hai trường hợp, các giao thức đảm bảo công bằng, tức là, A nhận được EOR khi và chỉ khi B nhận được M

để EOS chứng minh rằng DA nhận đệ trình của M tại thời điểm Tsub Điều này chỉ ra một cách rõ ràng A gửi M kịp thời

2.2.3 Sử dụng Light Weight On-Line TTP

Giao thức trên được cung cấp kịp thời với chi phí của việc sử dụng in-line TTP Nếu bằng chứng về việc đề trình và giao hàng là không cần thiết, thì sự tham gia của TTP có thể được giảm bớt

Các ký hiệu dưới đây được sử dụng trong các mô tả giao thức

• K: Khóa thông điệp được định nghĩa bởi A

• C = EK(M): mã hóa với K

• M = DK(C): giải mã với K

• L = H(A, B, T, M, K): một nhãn đặc biệt liên kết C và K

• EOOC = SA(B, L, C): bằng chứng về nguồn gốc của C

• EORC = SB(A, L, C): bằng chứng nhận của C

• SubK = SA(B, L, K): xác thực của K được cung cấp bởi A

• ConK = ST (A, B, L, K): bằng chứng xác nhận của K do T

Các giao thức như sau Để đơn giản, các giá trị cờ cho thấy mục đích dự định của một tin nhắn đã ký được bỏ qua

1 A → B: B, L, C, EOOC

(M, C, K, L) cho trọng tài bên thứ ba Trọng tài sẽ kiểm tra:

• Một chữ ký của EOOC = SA(B, L, C)

• T chữ ký của conk = ST(A, B, L, K)

• L = H (A, B, T, M, K)

• M = DK(C)

Nếu hai điều đầu tiên được kiểm tra là có, thì trọng tài cho rằng C và K có nguồn gốc

từ A Nếu hai điều cuối cùng cũng được kiểm tra là có, trọng tài sẽ kết luận rằng C và K là liên kết duy nhất của L và M là thông điệp thể hiện bởi C và K là từ A

cho trọng tài Trọng tài sẽ thực hiện kiểm tra tương tự như trên

2.2.4 Sử dụng TTP On-line cho việc chấm dứt kịp thời

Trong các giao thức trên, khối lượng công việc của bên thứ ba đáng tin đã được giảm đáng kể, với TTP chỉ cần công chứng các khóa thông điệp theo yêu cầu và cung cấp dịch vụ chỉ dẫn Tuy nhiên, TTP vẫn phải được trực tuyến

từ chối xác định trong các giao thức trên

• EOOC = SA (B, L, C): bằng chứng về nguồn gốc của C

• EORC = SB (A, L, H (C), EPT(K)), bằng chứng nhận của C

• EOOK = SA (B, L, K): bằng chứng về nguồn gốc của K

• EORK = SB (A, L, K): bằng chứng nhận của K

• SubK = SA (B, L, K, H (C)): xác thực của K được cung cấp bởi A

• Conk = ST (A, B, L, K): bằng chứng về xác nhận con của K do T

• Hủy bỏ = ST (A, B, L): bằng chứng hủy bỏ của một giao dịch do T

Trong giao thức này có ba giao thức nhỏ hơn: Trao đổi, Hủy bỏ, và giải quyết Giả

định rằng các kênh thông tin liên lạc giữa T và mỗi bên giao dịch A và B không bị hỏng vĩnh viễn Chúng tôi cũng giả định rằng các kênh truyền thông giữa A và B được giữ kín nếu hai bên muốn trao đổi tin nhắn một cách bí mật

Trao đổi - một giao thức phụ:

2 Nếu ngoại giải quyết Sau đó, A ← T: A, B, L, K, conk, EORC.

3 Khác Một T ← A, B, L hủy bỏ: Giải quyết – một giao thức nhỏ (người khởi xướng U là một trong hai A hoặc B)

B không nhận được K và EOOK sau khi gửi EORC A ở Bước 3

Nếu giao thức trao đổi được thực hiện thành công, B sẽ nhận được C và K và do đó

M = DK(C) cùng với bằng chứng nhận xuất xứ (EOOC, EOOK) Trong khi đó, A sẽ được nhận chứng nhận (EORC, EORK)

cầu như vậy, đầu tiên nó sẽ kiểm tra trạng thái của một giao dịch duy nhất được xác nhận bởi (A, B, L) Nếu giao dịch đã được hủy bỏ hoặc được giải quyết, T chỉ đơn giản là bỏ qua các yêu cầu Nếu không, T sẽ:

• Xác minh với EORC rằng EPT (K) đã nhận được bằng B

• Giải mã EPT (K) và xác nhận với subK K được gửi bởi A

• Kiểm tra xem EORC phù hợp với subK về L và H(C)

• Tạo ra bằng chứng conk, đặt bộ (A, B, L, K, conk, EORC) trong thư mục có thể truy cập công khai (chỉ đọc)

• Thiết lập trạng thái của giao dịch giải quyết

conk, EORC) nếu giao dịch được giải quyết, hoặc hủy bỏ mã thông báo nếu giao dịch đã được hủy bỏ

Nếu phát sinh tranh chấp, A có thể sử dụng bằng chứng (EORC; EORK) hoặc (EORC; conk) để chứng minh B nhận được tin nhắn M, B có thể sử dụng bằng chứng (EOOC; EOOK) hoặc (EOOC; Conk) để chứng minh rằng A gửi tin nhắn M

2.3 Các giải pháp kỹ thuật hiện có

2.3.1 Chống chối bỏ với nhiều bên liên quan (multi-party non-repudiation)

a Giao thức MPNR cho các thông điệp khác nhau

Gửi tin nhắn (có nội dung giống hoặc khác nhau) đến nhiều người nhận có nghĩa là một giao dịch đơn lẻ trong một ứng dụng đặc biệt

Ở đây chúng tôi chứng minh việc mở rộng giao thức MPNR trong việc phân phối các thông điệp khác nhau, dựa trên giao thức chống chối bỏ công bằng khi có hai bên tham gia,

sử dụng light weight on-line TTP như được mô tả ở phần trên

b Các ký hiệu được sử dụng trong các mô tả giao thức như sau

• T: một bên thứ ba đáng tin cậy

• A: một khởi

• B: một tập hợp các người nhận dự định

• B’: một tập hợp con của B trả lời A với bằng chứng nhận

• Mi: Thông điệp được gửi đi từ A đến một người nhận Bi∈ B

• ni: giá trị ngẫu nhiên được tạo ra bởi một cho Bi

• vi = EPBi (ni): mã hóa ni với khóa công khai của Bi

• K: chính được lựa chọn bởi A

• Ki = K ⊕ ni: chìa khóa để được chia sẻ giữa A và Bi

• Ci = Eki(Mi): tin nhắn mã hóa cho Bi với K chính