Đại Học Quốc Gia Tp. Hồ Chí Minh
TRƯỜNG ĐẠI HỌC BÁCH KHOA
--------------------

PHAN THỊ THANH HUYỀN

CHỐNG THOÁI THÁC TRONG M-COMMERCE
(NON-REPUDIATION IN M-COMMERCE)
Chuyên ngành : Khoa học máy tính

LUẬN VĂN THẠC SĨ

TP. HỒ CHÍ MINH, tháng 11 năm 2007


CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI
TRƯỜNG ĐẠI HỌC BÁCH KHOA
ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

Cán bộ hướng dẫn khoa học : TS. Đặng Trần Khánh..................................................

Cán bộ chấm nhận xét 1 : TS. Nguyễn Tuấn Anh .......................................................

Cán bộ chấm nhận xét 2 : TS. Nguyễn Đức Cường ....................................................

Luận văn thạc sĩ được bảo vệ tại
HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ
TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 31 tháng 1 năm 2008

Trang 2

ĐẠI HỌC QUỐC GIA TP. HCM

CỘNG HOÀ XÃ HỘI CHỦ NGHIÃ VIỆT NAM

TRƯỜNG ĐẠI HỌC BÁCH KHOA

Độc Lập - Tự Do - Hạnh Phúc

----------------

---oOo--Tp. HCM, ngày . .05. . tháng . .11. . năm .2007.

NHIỆM VỤ LUẬN VĂN THẠC SĨ
Họ và tên học viên : Phan Thị Thanh Huyền .....................Giới tính : Nam …/ Nữ ;
Ngày, tháng, năm sinh : 02/05/1982...................................Nơi sinh : Quảng Ngãi..............
Chuyên ngành : Khoa học Máy tính......................................................................................
Khố : 2005 .........................................................................................................................
1- TÊN ĐỀ TÀI : ................................................................................................................
CHỐNG THỐI THÁC TRONG M-COMMERCE (NON-REPUDIATION IN MCOMMERCE) ..................................................................................................................
...........................................................................................................................................
2- NHIỆM VỤ LUẬN VĂN :..............................................................................................
- Tìm hiểu về chống thối thác trong e/m-commerce .......................................................
- Xây dựng các giao thức chống thoái thác cho một giao dịch m-commerce tiêu biểu ....
- Kiểm định, đánh giá giải pháp đưa ra.............................................................................
...........................................................................................................................................
3- NGÀY GIAO NHIỆM VỤ : 1/2007 ...............................................................................
4- NGÀY HOÀN THÀNH NHIỆM VỤ : 11/2007 ............................................................
5- HỌ VÀ TÊN CÁN BỘ HƯỚNG DẪN : TS. Đặng Trần Khánh....................................
Nội dung và đề cương Luận văn thạc sĩ đã được Hội Đồng Chuyên Ngành thông qua.

CÁN BỘ HƯỚNG DẪN

CHỦ NHIỆM BỘ MÔN

(Họ tên và chữ ký)

QUẢN LÝ CHUYÊN NGÀNH
(Họ tên và chữ ký)

TS. Đặng Trần Khánh

TS. Đinh Đức Anh Vũ
Trang 3


LỜI CẢM ƠN
Tôi xin chân thành cảm ơn Tiến sĩ Đặng Trần Khánh, khoa Khoa học và Kỹ thuật máy
tính Trường Đại học Bách Khoa Thành phố Hồ Chí Minh đã tận tình hướng dẫn và chỉ
bảo cho tơi trong suốt quá trình làm luận văn.
Xin gởi đến các thầy cơ trong khoa Khoa học và Kỹ thuật máy tính - Trường Đại học
Bách Khoa Thành phố Hồ Chí Minh lòng biết ơn đối với sự giúp đỡ, tạo mọi điều kiện
thuận lợi cũng như sự hỗ trợ tận tình.
Sau cùng, xin gởi lời cảm ơn đến gia đình, bạn bè, những người đã hỗ trợ về mặt vật
chất và tinh thần để tơi có thể hồn thành tốt luận văn này

Trang 4


TĨM TẮT LUẬN VĂN
Chống thối thác, một trong những dịch vụ dùng để đối phó với nguy cơ tấn cơng từ

bên trong, đóng một vai trị hết sức quan trọng trong mơi trường e/m-commerce. Mục
đích của dịch vụ chống thối thác là sinh ra, tập hợp, lưu trữ, cung cấp các chứng cứ
khi có nhu cầu và kiểm chứng các chứng cứ được đưa ra để giải quyết các tranh chấp
việc các sự kiện, hành vi đó có thực sự xảy ra hay khơng. Chống thối thác trong ecommerce đã xây dựng được một nền tảng tương đối vững chắc trong khi đó vấn đề
này trong m-commerce chỉ mới bắt đầu. Tuy m-commerce được coi là một bộ phận
của e-commerce nhưng khơng thể đem các giao thức chống thối thác trong ecommerce áp dụng trực tiếp vào trong m-commerce vì bản chất thiếu an tồn của
mạng khơng dây, những hạn chế về khả năng tính tốn... của các thiết bị di động. Với
những hạn chế trên, cần phải có những cơ chế chống thoái thác gọn nhẹ nhưng vẫn
phải đủ bảo mật để bảo vệ các giao dịch trên môi trường m-commerce. Việc xây dựng
các giao thức chống thoái thác trong m-commerce cần dựa trên nền tảng các giao thức
của e-commerce và điều chỉnh lại cho phù hợp với những ràng buộc về tài nguyên của
các thiết bị di động cũng như những đặc điểm riêng của từng loại giao dịch.
Trong luận văn này, chúng tôi đã đưa ra một mơ hình dịch vụ mobile payment mở
rộng (Extended Mobile Payment Service hay EMPS), dựa trên giả định về sự hợp tác
giữa các nhà cung cấp mạng di động và các tổ chức tài chính để hỗ trợ các loại chi trả
có giá trị khác nhau. Mơ hình tập trung vào vấn đề chống thoái thác trong mcommerce với các giao thức chống thoái thác cho một giao dịch m-commerce tiêu biểu
gồm: thương lượng giá cả, chi trả và phân phối hàng hóa. Joint signatures được sử
dụng nhằm giảm chi phí tính tốn trên các thiết bị cầm tay và giúp khách hàng khơng
phải phụ thuộc hồn tồn vào hệ thống EMPS. Trong giải pháp đề ra, EMPS đóng vai
trị semi-trusted third party và là một nhân tố không thể thiếu để tạo ra tính cơng bẳng.
Các nhận định và đề xuất riêng cho việc xây dựng các giao thức chống thối thác trong
m-commerce cũng như những phân tích, chứng minh về các tính chất chống thối thác
của các giao thức đề nghị cũng được tiến hành.

Trang 5


Abstract
Non-repudiation, one of the services used to deal with internal attacks, plays an
important role in e/m-commerce. The goal of the non-repudiation service is to

generate, collect, maintain, make available and verify evidence concerning a claimed
event or action in order to resolve disputes about the occurrence or non-occurrence of
the event or action. Non-repudiation in e-commerce has built a relatively sound
foundation while this issue in m-commerce is still at the very beginning. Although mcommerce can be considered as mobile e-commerce, we can not apply the same nonrepudiation protocols in e-commerce to the new environment because of the inherently
insecure nature of wireless network and limited capability of mobile devices.
Therefore, we need lightweight but sufficiently secure non-repudiation protocols to
protect transactions conducted in wireless environment. Non-repudiation protocols in
m-commerce should be based on existing ones in e-commerce and adjusted to suit the
resource constraints of mobile devices as well as specific requirements of different
transaction types.
In this thesis, we propose an extension of existing mobile payment models to introduce
an extended mobile payment service (EMPS) model, which is based on assumptions
about the cooperation between mobile network operators and financial institutions to
deal with different payment amounts ranging from micro to macro payment. The novel
model focuses on enhancement of non-repudiation problem. Fair non-repudiation
protocols are developed for not only payment phase but also other phases in a typical
m-commerce transaction, including price negotiation and content delivery. Joint
signatures method is used in protocols to overcome the limitations in mobile handheld
device capability and to reduce the trust dependence totally on the payment service. As
with the proposed non-repudiation protocols, EMPS plays the role of a semi-trusted
third party and is an indispensable factor for creating the fairness property. Nonrepudiation analyses of these protocols are also conducted besides some guidelines for
ensuring non-repudiation in m-commerce.

Trang 6


Mục lục
CHƯƠNG 1 Giới thiệu............................................................................................................11
1.2
Chống thoái thác (Non-repudiation)...................................................................15

1.3
Hệ thống M-Commerce ......................................................................................16
1.4
Ngữ cảnh bài toán...............................................................................................18
1.5
Mục tiêu của đề tài..............................................................................................20
1.6
Tổ chức của luận văn..........................................................................................21
CHƯƠNG 2 Nền tảng về chống thoái thác .............................................................................22
2.1
Những khái niệm và kỹ thuật mã hóa cơ bản sử dụng trong chống thoái thác...22
2.1.1
Số ngẫu nhiên và số giả ngẫu nhiên (Pseudorandom Number)..........................22
2.1.2
Mã hóa bằng khóa bí mật (Secret-Key Cryptosystems) .....................................22
2.1.3
Mã hóa bằng khóa cơng khai (Public-Key Cryptosystems) ...............................23
2.1.4
Hàm băm một chiều (One way hash function) và chuỗi băm (hash chain)........24
2.1.5
Chữ ký số (Digital Signature).............................................................................24
2.2
Ký hiệu ...............................................................................................................25
2.3
Mơ hình kênh truyền ..........................................................................................26
2.4
Các tính chất của một giao thức chống thối thác..............................................27
2.5
Giao tiếp giữa các thực thể trong giao thức chống thối thác ............................28
2.6

Vai trị của TTP trong các giao thức chống thoái thác .......................................29
2.7
Bằng chứng trong các giao thức chống thoái thác..............................................30
2.7.1
Các loại bằng chứng ...........................................................................................30
2.7.2
Các thành phẩn của một bằng chứng chống thối thác ......................................31
2.7.3
Tính hợp lệ của bằng chứng ...............................................................................32
2.8
Kiểm chứng các giao thức chống thoái thác.......................................................34
CHƯƠNG 3 Một số giao thức chống thoái thác tiêu biểu trong e-commerce ........................35
3.1
Các giao thức chống thối thác khơng sử dụng TTP..........................................35
3.1.1
Gradual secret release Protocol ..........................................................................35
3.1.2
Giao thức xác suất (Probabilistic Protocol) ........................................................35
3.2
Các giao thức chống thoái thác sử dụng TTP.....................................................39
3.2.1
Inline TTP...........................................................................................................39
3.2.2
Online TTP .........................................................................................................41
3.2.3
Offline TTP ........................................................................................................47
3.2.4
Transparent TTP .................................................................................................52
3.2.5
Multi Party..........................................................................................................55

3.3
So sánh................................................................................................................58
CHƯƠNG 4 Tổng quan về chống thối thác trong m-commerce...........................................59
4.1
Bằng chứng.........................................................................................................60
4.1.1
Sử dụng khóa đối xứng.......................................................................................60
4.1.2
Chữ ký số............................................................................................................63
4.2
TTP .....................................................................................................................68
4.3
Các yêu cầu chống thoái thác trong một giao dịch m-commerce tiêu biểu........69
CHƯƠNG 5 Chống thoái thác trong m-payment....................................................................70
5.1
Tổng quan về m-payment ...................................................................................70
5.1.1
Các actor trong một hệ thống m-payment ..........................................................70
5.1.2
Các lựa chọn cho vai trò Mobile Payment Service (MPS).................................71
5.1.3
Các đặc điểm của m-payment.............................................................................72
5.1.4
Ngữ cảnh chi trả .................................................................................................74
Trang 7


5.1.5
Các tác vụ trong giao dịch m-payment...............................................................75
5.2

Một số mơ hình m-payment và chống thối thác trong m-payment...................76
5.2.1
Mơ hình của Xiaolin và Deren Chen ..................................................................77
5.2.2
Mơ hình Paybox .................................................................................................79
5.2.3
Mơ hình SEMOPS..............................................................................................79
5.2.4
Mơ hình của Jun Liu, Jianxin Liao, Xiaomin Zhu .............................................81
5.2.5
Giao thức của Ritest Kumar Tiwari ..................................................................84
5.3
Nhận xét..............................................................................................................86
CHƯƠNG 6 Dịch vụ Mobile Payment mở rộng (EMPS) và các giao thức chống thoái thác 88
6.1
Tổng quan về giải pháp ......................................................................................88
6.2
Mơ hình hệ thống Dịch vụ M-payment mở rộng (EMPS) .................................89
6.2.2
Các phần tử của mô hình ....................................................................................90
6.2.3
Kiến trúc EMPS..................................................................................................91
6.2.4
Các phương pháp chi trả.....................................................................................92
6.3
Giao thức ............................................................................................................93
6.3.2
Giai đoạn trao đổi khóa ......................................................................................94
6.3.3
Giai đoạn thương lượng giá cả (Price-negotiation phase) ..................................95

6.3.4
Giai đoạn chi trả (Payment phase)......................................................................99
6.3.5
Giai đoạn giao hàng (content delivery phase) ..................................................109
CHƯƠNG 7 Phân tích, Đánh giá, Demo...............................................................................113
7.1
Chứng minh tính chống thối thác ...................................................................113
7.1.1
Giai đoạn thương lượng giá cả (Price-negotiation phase) ................................115
7.1.2
Giai đoạn chi trả (Payment phase)....................................................................117
7.1.3
Giai đoạn giao hàng (Content Delivery phase) ................................................119
7.2
Tính Roaming ...................................................................................................121
7.3
Network Failure................................................................................................123
7.4
So sánh..............................................................................................................123
7.5
Đánh giá hiệu suất hệ thống. ............................................................................125
CHƯƠNG 8 Tổng kết và hướng làm việc tương lai .............................................................131
Tài liệu tham khảo .................................................................................................................133
Phụ lục 1. Từ viết tắt .............................................................................................................138
Phụ lục 2. Ký hiệu .................................................................................................................139
Phụ lục 3. Kết quả nghiên cứu khoa học của luận văn ..........................................................141
Lý lịch trích ngang.................................................................................................................148

Trang 8



Danh mục hình
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4
Hình 4.1
Hình 4.2
Hình 5.1

Dự đốn về nhu cầu của thiết bị tính tốn cầm tay............................................... 12
Các ứng dụng của m-commerce ........................................................................... 14
Một cơ chế chống thoái thác đơn giản.................................................................. 16
Cấu trúc của một hệ thống m-commerce.............................................................. 17
Lưu đồ biểu diễn quá trình xử lý một yêu cầu trong hệ thống m-commerce ....... 18
Cơ chế mã hóa bằng khóa đối xứng ..................................................................... 23
Cơ chế mã hóa bằng khóa cơng khai .................................................................... 23
Quá trình tạo chữ ký số......................................................................................... 25
Quá trình kiểm chứng chữ ký số........................................................................... 25
Giao thức chứng thực giữa MS-SP....................................................................... 62
Tổng quan về hệ thống joint-signature ................................................................. 65
Mối quan hệ giữa các bên trong một hệ thống M-payment có sự tham gia của một
TTP ....................................................................................................................... 71
Hình 5.2 Mối quan hệ giữa các bên trong một hệ thống M-payment khơng có sự tham gia
của TTP ................................................................................................................ 71

Hình 5.3 Hệ thống chi trả cho Content Download .............................................................. 74
Hình 5.4 Hệ thống chi trả cho Point of Sale........................................................................ 75
Hình 5.5 Hệ thống chi trả cho Content on Device .............................................................. 75
Hình 5.6 Layered Framework của hệ thống Mobile Payment của X. Zheng và D. Chen.. 78
Hình 5.7 Mobile Payment Process của X. Zheng và D. Chen............................................ 78
Hình 5.8 Giao dịch của Paybox ........................................................................................... 79
Hình 5.9 Tổng quan về kiến trúc SEMOPS payment network............................................ 80
Hình 5.10
Kiến trúc giao dịch của SEMOPS .................................................................... 81
Hình 5.11
Mơ hình hệ thống của Jun Liu, Jianxin Liao, Xiaomin Zhu............................. 82
Hình 5.12
Dịng chảy dữ liệu trong giao thức ................................................................... 84
Hình 6.1 Mơ hình hệ thống EMPS ...................................................................................... 89
Hình 7.1 Topology của hệ thống EMPS mô phỏng........................................................... 128

Trang 9


Danh mục bảng
Bảng 2.1
Bảng 3.1
Bảng 3.2
Bảng 3.3
Bảng 3.4
Bảng 3.5
Bảng 3.6
Bảng 3.7
Bảng 3.8
Bảng 3.9


Các ký hiệu thường dùng trong các giao thức chống thoái thác........................... 26
Các ký hiệu dùng trong các giao thức xác suất .................................................... 36
Các ký hiệu dùng trong giao thức online TTP của Zhou, Gollmann.................... 42
Các ký hiệu dùng trong giao thức ontline TTP cải tiến của Zhou, Golmann ....... 43
Các ký hiệu dùng trong giao thức online TTP của Kim, Park và Back................ 44
Các ký hiệu dùng trong giao thức online TTP của Li Botao, Luo Junzhou ......... 46
Các ký hiệu dùng trong giao thức offline TTP của Zhou, Gollmann ................... 48
Các ký hiệu dùng trong giao thức offline TTP của Kremer, Markowitch............ 50
Các ký hiệu dùng trong giao thức transparent TTP của Markowitch, Kremer .... 53
Các ký hiệu dùng trong giao thức Online Multi Party của Kremer và Markowitch
..............................................................................................................................56
Bảng 3.10 Các ký hiệu dùng trong giao thức Offline Multi-Party của Markowitch, Kremer ..
............................................................................................................................. 57
Bảng 3.11 So sánh các giao thức chống thoái thác trong e-commerce................................. 58
Bảng 4.1 Các ký hiệu dùng trong giao thức NAETEA........................................................ 61
Bảng 4.2 Các ký hiệu dùng trong hệ thống joint-signature của Li-Sha He, Ning Zhang .... 66
Bảng 5.1 Các ký hiệu dùng trong giao thức của J. Liu, J. Liao, X. Zhu.............................. 83
Bảng 5.2 Các ký hiệu dùng trong giao thức chống thoái thác trong m-commerce của R. K.
Tiwari ................................................................................................................... 85
Bảng 6.1 Các ký hiệu sử dụng trong các giao thức chốngthối thác của mơ hình hệ thống
EMPS.................................................................................................................... 94
Bảng 7.1 So sánh về mơ hình và giao thức chống thối thác của EMPS với một số hệ thống
khác..................................................................................................................... 125
Bảng 7.2 Chi phí của MC .................................................................................................. 126
Bảng 7.3 Chi phí của SP .................................................................................................... 126
Bảng 7.4 Chi phí của EMPS-MC....................................................................................... 127
Bảng 7.5 Chi phí của EMPS-SP ........................................................................................ 127
Bảng 7.6 Kích thước các message sử dụng trong benmark ............................................... 129
Bảng 7.7 Chi phí thực hiện một số tác vụ mã hóa cơ bản trên điện thoại K320i .............. 129

Bảng 7.8 Chi phí thực hiện các giai đoạn của một giao dịch m-commerce trên điện thoại
K320i .................................................................................................................. 130

Trang 10


CHƯƠNG 1
Giới thiệu
Trong những năm gần đây, thuật ngữ “thương mại điện tử” đã trở nên rất phổ biến.
Thương mại điện tử (Electronic commerce hay E-commerce) đề cập đến những hoạt
động thương mại diễn ra giữa công ty và người tiêu dùng (Business to customer: B2C)
cũng như giữa các công ty với nhau (Business to Business: B2B) và những hoạt động
này cần tới sự hỗ trợ của một mạng lưới liên lạc điện tử nào đó, ví dụ Internet. Sự ra
đời của thương mại điện tử đã làm thay đổi bộ mặt của nền thương mại truyền thống
và làm đa dạng hóa các hình thức trao đổi hàng hóa, thơng tin.
Khơng dừng lại ở đó, sự ra đời và phát triển của mạng vô tuyến và mạng di động đã
đưa đến một lĩnh vực nghiên cứu và ứng dụng mới dựa trên e-commerce, đó chính là
Mobile commerce hay m-commerce. M-commerce là sự trao đổi, mua bán hàng hóa,
thơng tin, dịch vụ, trên Internet thông qua việc sử dụng những thiết bị cầm tay di động.
Nói cách khác, m-commerce là sự phân phối những khả năng của thương mại điện tử
trực tiếp tới tay người dùng dựa trên công nghệ không dây. Do đó m-commerce là ecommerce được thực hiện trên mơi trường khơng dây hay cịn được gọi là mobile ecommerce. Hình thức thương mại này cho phép tiếp cận khách hàng một cách trực
tiếp, vào bất kì lúc nào, ở bất cứ nơi đâu [24].
Chỉ trong một vài năm m-commerce đã có những bước tiến đáng kể và trở thành
khuynh hướng được chú ý nhất trong giao dịch thương mại với những nhận định hết
sức lạc quan [13]:
ƒ Hình 1.1 cho thấy sự tăng trưởng của nhu cầu về thiết bị tính tốn cầm tay (khơng
bao gồm smart cellular phone) đến năm 2007, theo dự đốn của cơng ty nghiên cứu
In-Stat/MDR (PalmInfocenter.com, 2003).

Trang 11



ƒ Reuters vào năm 2001 đã tiên đoán tới năm 2006 sẽ có khoảng 50 triệu người sử
dụng điện thoại di động sẽ dùng các thiết bị cầm tay để thực hiện chi trả, chiếm 26%
số lượng khách hàng.
ƒ Jupiter Research tin tưởng rằng tới năm 2009, tổng giá trị giao dịch của mcommerce sẽ lên tới 88 tỉ USD, trong đó bán lẻ chiếm 299 triệu USD và 39 triệu
USD từ bán vé [21].
ƒ M-commerce là một cách hiệu quả và thuận tiện để đưa thương mại điện tử đến
khách hàng mọi nơi, mọi lúc. Nhận thấy những lợi ích từ m-commerce, các công ty
đã bắt đầu cung cấp nhiều lựa chọn về m-commerce cho khách hàng bên cạnh ecommerce (The Yankee Group, 2002)

Hình 1.1

Dự đốn về nhu cầu của thiết bị tính tốn cầm tay

Các ưu điểm của m-commerce so với e-commerce [25]:
ƒ Sự có mặt khắp nơi (Ubiquity): Đây là ưu điểm chính của m-commerce. Người sử
dụng có thể lấy những thơng tin mong muốn ở bất kì nơi đâu thơng qua những thiết
bị di động có khả năng kết nối Internet. Trong các ứng dụng m-commerce, người sử
dụng vừa có thể tham gia vào các hoạt động khác vừa vẫn tiến hành các giao dịch
hoặc tiếp nhận thông tin. Theo ngữ nghĩa này, m-commerce làm cho dịch vụ và ứng
dụng sẵn sàng đáp ứng nhu cầu ở mọi lúc mọi nơi.
ƒ Khả năng kết nối (Reachability): Nhờ có các thiết bị di động, các nhà cung cấp có
thể tiếp cận với khách hàng mọi lúc mọi nơi. Mặt khác vào bất cứ lúc nào, bất cứ nơi
đâu người sử dụng cũng có thể liên lạc với những người khác và ngược lại. Ngoài ra,

Trang 12


người sử dụng có khả năng giới hạn khả năng kết nối đến mình trong một nhóm

người và trong những khoảng thời gian nhất định.
ƒ Sự định vị (Localization): Khả năng theo dõi vị trí vật lý của người sử dụng tại mọi
thời điểm đã làm gia tăng đáng kể giá trị của m-commerce. Dựa trên các thông tin
này, hàng loạt các ứng dụng dựa trên nền tảng vị trí ra đời, ví dụ ứng dụng chỉ
đường, tìm nhà hàng gần nhất…
ƒ Cá nhân hóa (Personalization): Các thiết bị di động chứa đựng nhiều thông tin cá
nhân và gắn liền với những sở thích, nhu cầu riêng của người sở hữu. Do đó các ứng
dụng m-commerce nên có khả năng cá nhân hóa để biểu diễn thơng tin hoặc cung
cấp dịch vụ theo nhiều cách khác nhau và cho người sử dụng có nhiều lựa chọn tuỳ
theo sở thích, nhu cầu riêng của mình.
ƒ Tính phổ biến (Dissemination): Các cơ sở hạ tầng vô tuyến hỗ trợ khả năng phân
phối đồng thời dữ liệu cho tất cả khách hàng di động trong một vùng địa lý cụ thể.
Chức năng này tạo ra một phương tiện hữu hiệu cho việc phổ biến thông tin đến một
lượng lớn người tiêu dùng.
Các ứng dụng của m-commerce rất đa dạng như các dịch vụ tài chính, giải trí, mua
hàng, các dịch vụ thơng tin, trả tiền, quảng cáo... Hình 1.2 cho ta thấy một cách tổng
quan về các ứng dụng trong m-commerce.

Trang 13


Hình 1.2

Các ứng dụng của m-commerce

Bất kể những đặc điểm nổi trội của m-commerce, sự đa dạng trong ứng dụng và những
dự đoán về tương lai tươi sáng của m-commerce, tổng giá trị giao dịch trong mcommerce vẫn còn rất nhỏ bé so với nền thương mại truyền thống. Một trong những
nguyên nhân cho sự trái ngược này là sự phát triển của tội phạm điện tử và thiếu
những biện pháp bảo mật tương xứng. Việc đảm bảo thông tin trao đổi giữa các hệ
thống đầu cuối (mobile users và content providers) an tồn và tin cậy sẽ góp phần rất

lớn trong việc quyết định thành công của m-commerce. Những tính chất bảo mật của
m-commerce được quan tâm như [13]:
ƒ Tính tin cậy (Confidentiality): Người, thiết bị và q trình khơng có thẩm quyền
khơng được biết về các thơng tin và hệ thống.
ƒ Thẩm định quyền (Authentication): Đảm bảo các bên tham gia vào giao dịch đã
được chứng thực là người dùng hợp lệ, khơng giả mạo.
ƒ Tính tồn vẹn (Integrity): Thông tin và hệ thống không bị thay đổi hay gián đoạn
bởi người dùng không hợp lệ.

Trang 14


ƒ Quyền hạn (Authorization): Người dùng tùy theo quyền hạn sẽ được thực hiện các
giao dịch phù hợp.
ƒ Tính sẵn sàng (Availability): Một người dùng hợp lệ, đủ quyền có thể truy xuất
thông tin một cách tin cậy trong một khoảng thời gian nhất định để thực hiện các
giao dịch m-commerce.
ƒ Chống thoái thác (Non-repudiation): Đảm bảo các bên tham gia vào giao dịch
không thể từ chối sự tham gia của họ vào một phần hay toàn bộ giao dịch.
M-commerce an toàn nên hỗ trợ sự thực thi tin cậy của các giao dịch thương mại thực
hiện trên các hệ thống liên lạc và lưu trữ không tin cậy, nơi mà các giao dịch có thể bị
tấn cơng bởi các thực thể bên trong lẫn bên ngoài.
Những nguy cơ bảo mật do tấn cơng từ bên ngịai liên quan đến việc xem trộm
message (confidentiality), thay đổi message (integrity), giả dạng (authentication) giành
được khá nhiều sự quan tâm và đã triển khai vào trong thực tế từ nhiều năm nay.
Trong khi đó, các nguy cơ gây ra bởi những tác nhân bên trong không làm đúng thẩm
quyền, nghĩa là các bên tham gia giao dịch hoặc một người dùng hợp lệ có những hành
vi gian lận, chưa được nghiên cứu nhiều. Loại tấn công này tăng trong những năm gần
đây và khá khó đối phó. Nếu các bên tham gia giao dịch cảm thấy họ có thể rơi vào
tranh chấp với bên kia nhưng lại thiếu sự hỗ trợ từ phía hệ thống, họ sẽ không muốn

tham gia vào giao dịch với các đối tác họ chưa từng gặp hoặc chưa từng làm ăn trước
đó. Chống thối thác, một trong những dịch vụ dùng để đối phó với nguy cơ tấn cơng
từ bên trong, vẫn cịn là một vấn đề mở và sẽ là nội dung chính của luận văn này.
1.2

Chống thoái thác (Non-repudiation)

Thoái thác (Repudiation) là từ chối sự liên quan của thực thể vào một phần hay toàn
bộ một giao tiếp mà nó đã tham gia [ISO89]. Chống thối thác (Non-repudiation) sẽ
ngăn ngừa hành vi gian lận đó.
Các dịch vụ chống thoái thác phải đảm bảo cho các bên tham gia giao dịch không thể
phủ nhận về hành vi đã tham gia vào một phần hoặc toàn bộ giao dịch đó.Giả sử có 2
đối tác A và B trao đổi thông tin cho nhau, A gởi cho B một message và việc gởi nhận
Trang 15


này là thành cơng. Giao thức chống thối thác sẽ đảm baỏ rằng A không thể phủ nhận
về hành vi đã gởi message cho B và B không thể phủ nhận việc đã nhận được một
message từ A. Muốn thế giao thức chống thoái thác phải taọ ra các chứng cứ về nguồn
gốc của message (EOO) và chứng cứ đã nhận message (EOR). Khi giao thức kết thúc,
B sẽ giữ các chứng cứ EOO và A sẽ giữ các chứng cứ EOR. Khi có tranh chấp xảy ra,
một trọng tài được chỉ định sẽ đánh giá các chứng cứ được các bên đưa ra và cho
quyết định sau cùng. Với sự ra đời của cách mã hóa cơng khai (public key
cryptography) nói chung và chữ ký số nói riêng, những nền tảng cho việc tạo ra các
chứng cứ chống thoái thác đã được hình thành. Những chứng cứ khơng thể bác bỏ có
thể được tạo ra dựa trên chữ ký số với giả định là có một hệ thống khóa cơng khai phù
hợp (PKI: public key infrastructure).
Message+ EOO

B


A
EOR

Sender
Hình 1.3

Receipt

Một cơ chế chống thoái thác đơn giản

Thách thức của các giao thức chống thối thác là làm sao có thể đảm bảo được tính
cơng bằng. Một giao thức chống thối thác có tính cơng bằng (fairness) nếu như khi
kết thúc giao thức hoặc cả 2 bên đều nhận được chứng cứ mong muốn, hoặc cả 2 bên
đều ko nhận được thông tin có giá trị nào để có thể ở vị trí thuận lợi hơn bên kia. Rất
nhiều các giao thức được nêu ra giải quyết vấn đề này. Các giao thức thường chia làm
2 loại: trực tiếp (các đối tác trong giao thức trực tiếp trao đổi message và chứng cứ cho
nhau) và thông qua một đối tác trung gian tin cậy (Trusted Third Party hay TTP). TTP
sẽ can thiệp vào quá trình trao đổi message và các chứng cứ giữa các đối tác của giao
thức. Các giao thức sử dụng TTP rất đa dạng dựa trên mức độ can thiệp của TTP vào
trong giao thức cũng như độ tin cậy của TTP.
1.3

Hệ thống M-Commerce

Một hệ thống m-commerce liên quan tới nhiều vấn đề và có thể hiện thực theo nhiều
cách khác nhau. Hình 1.4 miêu tả cấu trúc của 1 hệ thống m-commerce và một ví dụ
Trang 16



tiêu biểu của hệ thống đó [14]. Cấu trúc hệ thống gồm 6 thành phần: 1) MC
applications, 2) mobile devices, 3) mobile middleware, 4) wireless networks, 5) wired
networks, và 6) host computers.

Hình 1.4

Cấu trúc của một hệ thống m-commerce

1. Các ứng dụng Mobile commerce (MC applications):

Các ứng dụng E-

commerce rất đa dạng, ví dụ: đấu giá, ngân hàng, chứng khốn, tin tức, bán lẻ...Các
ứng dụng của m-commerce không chỉ bao gồm những ứng dụng của e-commerce
mà còn thêm vào những ứng dụng mới có thể thực hiện mọi lúc mọi nơi bằng cách
sử dụng cơng nghệ tính tốn di động, theo dõi vận chuyển hàng, dự án Beer Living,
là một ví dụ.
2. Các thiết bị di động (Mobile devices): Các thiết bị cầm tay di động là phương
tiện để người dùng tương tác trực tiếp với các ứng dụng m- commerce, ví dụ: PDA,
điện thoại di động, smartphone...
3. Mobile middleware: Nhiệm vụ của mobile middleware là giúp cho việc chuyển
đổi từ các nội dung trên Internet (Internet Content) sang Mobile Station và ngược
lại được trong suốt và liên tục. Mobile middleware hỗ trợ nhiều hệ điều hành, các
Trang 17


ngôn ngữ đánh dấu, microbrowser và các giao thức. 2 loại mobile middleware
chính hiện nay là WAP và i-mode.
4. Mạng vô tuyến và hữu tuyến (Wireless & wired networks): Khả năng liên lạc
vơ tuyến hỗ trợ tính di động cho người dùng cuối trong hệ thống mobile commerce.

5. Máy chủ (Host computers): Máy chủ là nơi những yêu cầu từ phía người sử dụng
như truy xuất hay cập nhật cơ sở dữ liệu thực sự được thực hiện. Máy chủ thường
chứa 3 loại phần mềm chính là Web servers, database servers, và các chương trình
ứng dụng và phần mềm hỗ trợ.
Cách các thành phần trong hệ thống phối hợp với nhau để xử lý một yêu cầu từ phía
người sử dụng được miêu tả trong lưu đồ dưới đây [6].

Hình 1.5

1.4

Lưu đồ biểu diễn quá trình xử lý một yêu cầu trong hệ thống m-commerce

Ngữ cảnh bài toán

Chống thoái thác là một trong những dịch vụ bảo mật cần thiết trong mạng máy tính,
thường được áp dụng trong các hệ thống quản lý message (message handling system),
e-commerce và gần đây là m-commerce. Phần lớn các giao thức chống thoái thác hiện
nay được thiết kế để phục vụ cho các hệ thống quản lý message và e-commerce.
Chống thoái thác trong m-commerce hiện nay còn rất mới mẻ. Tuy m-commerce được
coi là một bộ phận của e-commerce hay là e-commerce được thực hiện qua các thiết bị
di động nhưng không thể đem các giao thức chống thoái thác trong e-commerce áp
dụng trực tiếp vào trong m-commerce vì một số hạn chế về bảo mật của m-commerce
Trang 18


do thực hiện trên môi trường vô tuyến so với e-commerce được xây dựng dựa trên môi
trường hữu tuyến [13]:
ƒ Tính tin cậy và tồn vẹn (Reliability and Integrity): Nhiễu và sự suy giảm tín
hiệu trên đường truyền làm cho kênh vô tuyến dễ bị lỗi. Thường xuyên mất liên lạc

cũng làm giảm chất lương các dịch vụ bảo mật.
ƒ Tính riêng tư (Confidentiality/Privacy): Bản chất broadcast của kênh radio làm
cho nó dễ bị xâm nhập. Thơng tin truyền đi có thể bị lấy cắp và sử dụng dễ dàng nếu
khơng có cơ chế bảo mật nào được sử dụng, ví dụ mã hóa dữ liệu.
ƒ Định danh và chứng thực (Identification and Authentication): Tính chất di động
của các thiết bị khơng dây tạo thêm các khó khăn trong việc định danh và chứng
thực một thiết bị cuối di động (mobile terminal).
ƒ Khả năng (Capability): Các thiết bị di động có khả năng hạn chế về tính tốn, bộ
nhớ, kích thước, băng thông đường truyền và năng lượng pin. Những hạn chế này
gây ra khó khăn trong việc sử dụng những cơ chế bảo mật cao cấp, ví dụ mã hóa 256
bit.
Với những hạn chế trên, cần phải có những cơ chế chống thoái thác gọn nhẹ để phù
hợp với các thiết bị cầm tay di động nhưng vẫn phải đủ bảo mật để bảo vệ các giao
dịch thực hiện trên môi trường không dây. Việc xây dựng các giao thức chống thoái
thác trong m-commerce cần dựa trên nền tảng các giao thức của e-commerce và điều
chỉnh lại cho phù hợp với những ràng buộc về tài nguyên của các thiết bị không dây,
chẳng hạn sử dụng các lọai chữ ký như proxy signature, join signature, mobile agent
thay cho chữ ký số truyền thống… Ngoài ra ứng với mỗi loại giao dịch trong mcommerce nên xây dựng một giao thức chống thối thác riêng vì tùy theo đặc điểm của
từng giao dịch mà những yêu cầu về chống thoái thác sẽ khác nhau dẫn đến cách hiện
thực khác nhau, chẳng hạn giao dịch có giá trị lớn sẽ yêu cầu về chống thoái thác cao
hơn so với những giao dịch giá trị nhỏ… Trong luận văn này những vấn đề về chống
thối thác nói chung và trong m-commerce sẽ được tập trung nghiên cứu và làm rõ.
M-commerce là một tập hợp các giao dịch tài chính có thể thực hiện qua mạng di động
không dây như mobile payment, content distribution service, entertainment,
Trang 19


community communication và business service trong đó mobile payment hay mobile
billing là bộ phận quan trọng nhất của m-commerce. Mobile payment (m-payment)
được định nghĩa là quá trình mà 2 đối tác trao đổi các giá trị tài chính dùng để trả cho

hàng hóa hay các dịch vụ thơng qua các thiết bị di động [19]. M-payment cho phép
chuyển các giá trị tài chính và các dịch vụ, hàng hóa tương ứng giữa các bên tham gia
mà không cần một hợp đồng thực sự. Bảo mật trong m-payment là một trong những
vấn đề hàng đầu vì tính chất nhạy cảm của vấn đề chi trả. Bên cạnh những yêu cầu về
authentication, confidentiality, integrity, chống thối thác là một u cầu khơng thể
thiếu đề tránh những thoái thác về trách nhiệm của các bên tham gia giao dịch. Hầu hết
các nghiên cứu có đề cập đến vấn đề chống thối thác trong m-commerce chỉ chú ý
đến vấn đề này trong ngữ cảnh chi trả tức mobile payment hay mobile billing. Tuy
nhiên, bên cạnh vấn đề chi trả, một giao dịch m-commerce cơ bản còn bao gồm các
bước thương lượng giá cả, phân phối hàng hóa và các bước này đều có nhu cầu về dịch
vụ chống thối thác. Do đó trên cơ sở những nhận định, đánh giá, đề xuất riêng cho
vấn đề chống thối thác trong m-commerce, luận văn sẽ trình bày một hướng tiếp cận
mới nhằm giải quyết vấn đề chống thoái thác cho một giao dịch m-commerce tiêu biểu
dựa trên nền tảng của m-payment.
1.5

Mục tiêu của đề tài

ƒ Tìm hiểu những kiến thức nền tảng trong chống thoái thác
ƒ Phân tích đánh giá những giao thức chống thối thác trong e-commerce
ƒ Tổng kết thực trạng chống thoái thác trong m-commerce
ƒ Đưa ra những nhận định và đề xuất riêng cho việc xây dựng các giao thức chống
thoái thác trong m-commerce
ƒ Xây dựng một mơ hình dịch vụ m-payment mở rộng hỗ trợ vấn đề chống thoái thác
cùng với các giao thức chống thoái thác cho một giao dịch m-commerce tiêu biểu.
ƒ Phân tích, chứng minh, đánh giá mơ hình và các giao thức chống thoái thác đề nghị
và tiến hành đo đạc chi phí của phần ứng dụng chạy trên thiết bị di động.

Trang 20



1.6

Tổ chức của luận văn

Phần còn lại của luận văn được tổ chức như sau:
ƒ Chương 2 trình bày những kiến thức nền tảng về chống thoái thác.
ƒ Chương 3 giới thiệu một số giao thức chống thoái thác tiêu biểu trong e-commerce.
ƒ Chương 4 đưa ra những những nhận định và đề xuất riêng cho việc xây dựng các
giao thức chống thoái thác trong m-commerce.
ƒ Chương 5 tổng kết một số mơ hình mobile payment và cách giải quyết vấn đề chống
thối thác của các mơ hình này.
ƒ Chương 6 trình bày giải pháp chống thối thác chúng tơi đã xây dựng cho một giao
dịch tiêu biểu trong m-commerce dựa trên nền tảng m-payment.
ƒ Chương 7 phân tích, chứng minh và đánh giá về giải pháp đề xuất cùng với một số
kết quả thực nghiệm.
ƒ Chương 8 tổng kết lại những cơng việc đã làm được, các đóng góp và hướng phát
triển của luận văn.

Trang 21


CHƯƠNG 2
Nền tảng về chống thoái thác
2.1
2.1.1

Những khái niệm và kỹ thuật mã hóa cơ bản sử dụng trong chống
thối thác
Số ngẫu nhiên và số giả ngẫu nhiên (Pseudorandom Number)


Số ngẫu nhiên (Random Number) là những số được sinh ngẫu nhiên mà những kẻ tấn
cơng (attacker) khơng thể tiên đốn trước được. Các số này được sinh ra dựa trên
những sự kiện ngẫu nhiên tự nhiên. Tuy nhiên cách tiếp cận này hiếm được sử dụng để
sinh ra các số ngẫu nhiên trong các ứng dụng mã hóa vì nó đòi hỏi những thiết bị phần
cứng đặc thù, thay vào đó máy tính sẽ sử dụng các bộ sinh số giả ngẫu nhiên
(Pseudorandom number Generators hay PRNGs).
PRNG là một giải thuật đơn định có thể tạo ra một chuỗi các số từ một nhân ngẫu
nhiên (random seed). Các số được tạo ra nên được phân bố đều và số kế tiếp khơng
nên được tiên đốn từ số trước đó trong chuỗi. PRNG thường được khởi tạo (nhân
được khởi tạo) bằng một sự kiện ngẫu nhiên, chẳng hạn thời gian hiện tại (tính theo
đơn vị mili giây), để có thể sinh ra các chuỗi số khác nhau mỗi khi nó được sử dụng.
Nếu kẻ tấn cơng đốn được nhân, họ có thể sẽ tạo ra được các chuỗi số như PRNG, do
đó nhân cần phải thật sự ngẫu nhiên và được giữ bí mật.
Ứng dụng quan trọng nhất của số ngẫu nhiên trong mã hóa là trong các giao thức bảo
mật mạng và sinh ra các khóa mã hóa. Trong lĩnh vực bảo mật mạng, nó được sử dụng
để đảm bảo tính freshness của các message và ngăn ngừa replay attack. Trong ứng
dụng thứ hai, sử dụng số ngẫu nhiên để sinh ra các khóa sẽ giúp ngăn ngừa những khá
năng tấn cơng dựa trên việc đốn khóa.
2.1.2

Mã hóa bằng khóa bí mật (Secret-Key Cryptosystems)

Trong hệ thống mã hóa bằng khóa bí mật, một khóa bí mật được chia sẻ giữa người
gửi và người nhận. Khóa này vừa có chức năng mã hóa vừa có chức năng giải mã
Trang 22


thơng điệp đã được mã hóa bởi chính nó. Vì vậy, kỹ thuật này cịn có tên gọi khác là
mã hóa đối xứng (symmectric-key cryptosystems).


Hình 2.1

Cơ chế mã hóa bằng khóa đối xứng

Mã hóa đối xứng nhanh và dễ hiện thực, chi phí thấp nên nó được ứng dụng rất rộng
rãi trong những giao thức bảo mật mạng. Tuy nhiên điều thách thức đối với kỹ thuật
này là làm sao để người gởi và người nhận có thể thỏa thuận về khóa dùng chung mà
khơng ai ngồi họ biết về khóa này. Do đó nếu khơng có một hệ thống quản lý khóa an
tồn, hiệu quả, chịu trách nhiệm về việc sinh khóa, phân phối khóa, lưu trữ khóa thì
việc sử dụng kĩ thuật này sẽ rất hạn chế. Ngoài ra, mã hóa đối xứng khơng thể được sử
dụng để tạo ra các chứng cứ trong chống thối thác vì khơng chứng minh được người
đã mã hóa message là người được chia sẻ khóa một cách hợp lệ. Những hạn chế này
đã dẫn đến sự ra đời của mã hóa bằng khóa cơng khai (public-key cryptosystems).
2.1.3

Mã hóa bằng khóa cơng khai (Public-Key Cryptosystems)

Khơng giống như mã hóa bí mật, mã hóa cơng khai sử dụng 2 khóa khác nhau: khóa
cơng khai (public-key) và khóa bí mật (private-key). Public-key có thể được chia sẻ
cho nhiều người nhưng private-key phải được giữ bí mật. Người gửi sử dụng publickey của người nhận để mã hóa thơng điệp cần gửi đi và người nhận sẽ dùng privatekey của họ để giải mã.

Hình 2.2

Cơ chế mã hóa bằng khóa cơng khai

Trang 23


Mã hóa cơng khai có nhiều ưu điểm hơn mã hóa bí mật nhưng ngược lại độ phức tạp

sẽ lớn hơn rất nhiều.
2.1.4

Hàm băm một chiều (One way hash function) và chuỗi băm (hash
chain)

Gọi {0, 1} k là tập hợp tất cả các chuỗi bit có chiều dài là k.
Một hàm băm h: {0, 1}* → {0, 1} k, ánh xạ một chuỗi bit bất kì sang 1 chuỗi bit có
chiều dài cố định gọi là giá trị băm (hash value). Như vậy, khi sử dụng hàm băm người
ta có thể ánh xạ 1 thông điệp dài thành một giá trị băm nhỏ hơn (message digest).
Hàm băm một chiều là hàm băm có khả năng tránh đụng độ, nghĩa là với 2 message
khác nhau thì sẽ tạo ra 2 message digest khác nhau.
Một chuỗi băm chiều dài n được tạo nên bằng cách áp dụng hàm băm n lần lên một
giá trị ngẫu nhiên xn. xn được gọi là giá trị gốc (root value) của chuỗi băm. Một chuỗi
băm được định nghĩa một cách đệ quy như sau:
hn (y) = h(hn-1 (y)), h0 (y) = xn
hn (y) là kết quả khi áp dụng hàm băm n lần lên giá trị ban đầu y
x0 = hn (xn) được gọi là chain anchor (Giá trị băm cuối cùng của chuỗi băm sau khi áp
dụng hàm băm n lần). Các giá trị băm được đánh số tăng dần từ chain anchor x0, sao
cho h (x1) = x0, và h (x2) = x1.
2.1.5

Chữ ký số (Digital Signature)

Chữ ký số là một chuỗi dữ liệu được gắn vào một message để kiểm tra xem message
có bị thay đổi khơng. Một chữ ký số có những đặc điểm sau: chỉ có người sở hữu
private-key mới có thể tạo ra nó và bất kì ai sở hữu public-key của người ký đều có thể
xác minh tính chính xác của chữ ký. Quá trình tạo ra chữ ký số và kiểm chứng được
miêu tả trong 2 hình dưới đây:


Trang 24


Hình 2.3

Hình 2.4

Quá trình tạo chữ ký số

Quá trình kiểm chứng chữ ký số

Giống như chữ ký truyền thống, chữ ký số có thể cung cấp bằng chứng về nguồn gốc
của message đã được ký. Do chữ ký chỉ có thể được tạo ra bằng private key của người
gởi và chỉ có người gởi mới biết về khóa này nên message được ký phải là của người
gởi. Bằng cách này, người gửi không thể phủ nhận việc anh ta đã ký và gửi thông điệp.
2.2

Ký hiệu

A → B: m

A gởi message m cho B.

A↔ B: m

A tải message m về từ B, ví dụ sử dụng giao thức ftp.

m

Thơng điệp gởi từ A sang B, ở dạng plaintext (chưa mã hóa)


k

Khóa mà A dùng để mã hóa m và k thay đổi theo từng session.

x, y

Hợp của x và y.

(pkA, skA)

Cặp khóa RSA public/private của A

pkA = (eA, nA)
skA = (dA, nA)
Trang 25