Khi chủ thẻ mua sắm trên mạng bằng thẻ tín dụng của mình, công ty phát hành thẻ sẽ tạo ra một bộ mã xác thực và được chia thành hai hình ảnh bằng kỹ thuật của mật mã trực quan. Sau đó, hai hình ảnh này sẽ được gửi tới điện thoại di động và hòm thư điện tử của chủ thẻ. Khi chủ thẻ nhận được hai hình ảnh này, một trong những hình ảnh được chia sẻ sẽ được chuyển tới các máy tính cá nhân thông qua một thiết bị không dây và nó được xếp chồng với hình ảnh còn lại đã được lưu trong máy. Mã xác thực thu được đó sẽ được tái truyền lại cho công ty phát hành thẻ thông qua đại diện của thương nhân và công ty phát hành thẻ sẽ xác nhận tính hợp lệ của mã để xác nhận danh tính thực sự của chủ thẻ. Dưới đây là hình minh họa quá trình xác thực của hệ thống.
Hình 17. Quá trình xác thực
1. Chủ thẻ nhập số thẻ tín dụng để truyền tới thương nhân 2. Kiểm tra tính hợp lệ và hạn mức tín dụng của thẻ
3. Ngân hàng đại diện của thương nhân yêu cầu xác thực tới công ty phát hành thẻ.
4. Công ty phát hành thẻ kiểm tra cơ sở dữ liệu của chủ thẻ để kiểm tra số thẻ và những thông tin liên quan khác. Công ty phát hành thẻ truyền chứng thực một cách gián tiếp tới thương nhân thông qua đại diện của họ và thương nhân sẽ yêu cầu mã xác thực của chủ thẻ.
5. Đưa cho hệ thống mật mã trực quan số điện thoại di động và địa chỉ hòm thư của chủ thẻ để hệ thống này sẽ gửi đi những hình ảnh đã được chia. Ngoài ra, mã xác thực sẽ được tạo bởi máy tạo số giả ngẫu nhiên.
6. Hai hình ảnh được chia của mã xác thực sẽ được tạo bằng cách sử dụng mật mã trực quan.
7. Hình ảnh chia sẻ 1 và 2 sẽ được gửi tới điện thoại di động của chủ thẻ và máy tính qua e-mail server.
8. Chủ thẻ sẽ gửi một trong những hình ảnh được chia sẻ được lưu trong điện thoại di động của mình vào máy tính và xếp chồng nó với hình ảnh được chia đã có trong máy tính để lấy được mã xác thực.
9. Chủ thẻ sẽ truyền mã xác thực và dữ liệu khác của thẻ tín dụng tới cho thương nhân.
10. Thương nhân sẽ gửi mã xác thực và dữ liệu thẻ tín dụng tới đại diện của mình.
11. Đại diện của thương nhân gửi mã xác thực và dữ liệu của thẻ tới công ty phát hành thẻ
12.Công ty phát hành thẻ xử lý việc xác thực chủ thẻ thông qua mã xác thực. Dưới đây là hình minh họa cho quá trình thanh toán của hệ thống.
Hình 18. Quá trình thanh toán
13. Công ty phát hành thẻ gửi thông điệp xác thực định danh cho đại diện của thương nhân
14. Đại diện của thương nhân gửi thông điệp này cho thương nhân. 15. Thương nhân và chủ thẻ tiến hành giao dịch
16. Đại diện của thương nhân và công ty phát hành thẻ tiến hành kiểm tra tổng tiền.
17. Thương nhân lấy tổng tiền sau khi đã được ngân hàng đại diện của mình kiểm tra
18. Công ty phát hành thẻ gửi hóa đơn thanh toán tới chủ thẻ. 19. Chủ thẻ trả hóa đơn.
Trong kiến trúc đề xuất này có thể thấy rằng chủ thẻ không thể có được bất kỳ thông tin về mã xác thực nào nếu họ chỉ sở hữu một hình ảnh chia sẻ. Và tất nhiên họ sẽ không thể thực hiện giao dịch với thương nhân. Còn đối với công ty phát hành thẻ, mã xác thực được sử dụng cho mỗi thời điểm là ngẫu nhiên và sau đó nó được mã bởi mật mã trực quan điều này làm tăng độ an toàn hơn rất nhiều cho cơ chế SSL đơn giản.
3.4.3. So sánh giữa phương thức SSL truyền thống và hệ thống đề xuất
So với phương thức SSL truyền thống, hệ thống này có tính bảo mật tốt hơn và có thể cung cấp khả năng xác thực, được mô tả dưới đây:
Xác thực:
Máy di động và hòm thư điện tử đều có các đặc tính an toàn của nó như mật khẩu thẻ SIM, mật khẩu di động và mật khẩu cho hòm thư. Tất cả điều này làm tăng cường các chức năng xác thực lên ba cấp và gây khó khăn hơn cho những kẻ xấu muốn có được mã xác thực này.
Tính bảo mật:
Giao dịch được mã hóa thông qua SSL và mã xác thực được tạo một cách ngẫu nhiên và chỉ được sử dụng trong một khoảng thời gian. Hơn nữa, thông qua mật mã trực quan có thể phân ảnh gốc với các xác suất khác nhau làm cho kẻ xấu chỉ nhận được một trong số các hình ảnh đã được chia mà không thể trích xuất được bất kỳ thông tin gì về mã xác thực. Hệ thống này có thể ngăn người không được phép truy cập các thông tin bí mật. Trong hệ thống này, chủ thẻ sẽ nhận được một e-mail bằng cách sử dụng phần mềm Outlook giúp truyền thông tin dưới dạng bản rõ, điều này có thể làm cho kẻ xấu có thể đánh chặn thông tin. Nếu chủ thẻ sử dụng phần mềm khác với mức độ bảo mật cao hơn để nhận e-mail thì sẽ làm giảm xác suất đánh chặn thông tin này xuống.