تخويل الدفع باستخدام Apple Pay
بالنسبة للأجهزة التي تحتوي على Secure Element، لا يمكن إجراء أي عملية دفع إلا بعد تلقي تخويل من Secure Enclave. يتضمن هذا التحقق من أن المستخدم قد أكد نيته للدفع وأنه قد قام بالمصادقة باستخدام إحدى الطرق التالية:
المصادقة ببيانات بيومترية
رمز الدخول أو كلمة السر للجهاز
النقر مرتين على الزر الجانبي لـ Apple Watch غير المقفلة.
المصادقة ببيانات بيومترية، إذا كانت متوفرة، هي الطريقة الافتراضية، لكن يمكن استخدام رمز الدخول أو كلمة السر في أي وقت ويتم عرض هذا الخيار تلقائيًا بعد ثلاث محاولات فاشلة لمطابقة بصمة الإصبع أو محاولتين فاشلتين لمطابقة الوجه. بعد خمس محاولات فاشلة، يلزم وجود رمز الدخول أو كلمة السر.
يلزم استخدام رمز الدخول أو كلمة السر كذلك في حال عدم تكوين المصادقة البيومترية أو عدم تشغيلها لـ Apple Pay.
استخدام مفتاح اقتران مشترك
يتواصل Secure Enclave و Secure Element عبر واجهة تسلسلية. يرتبط Secure Element بوحدة تحكم NFC، التي تتصل بدورها بمعالج التطبيقات. على الرغم من أن Secure Element و Secure Enclave لا يتصلان مباشرة، إلا أنه يمكنهما التواصل بشكل آمن باستخدام مفتاح سري يتم إنشاؤه أثناء التشغيل. في المصنع، يتم إعداد كليهما بمفاتيح عامة طويلة الأجل خاصة بكل منهما. يتم إنشاء المفتاح العام لـ Secure Enclave باستخدام مفتاح UID الخاص به ومعرّف Secure Element. يتم تخزين المفتاح الخاص المقابل في المكونات المادية ولا يمكن الوصول إليه من خلال البرامج. أثناء التشغيل، تُستخدم المفاتيح العامة طويلة الأجل لإنشاء سر مشترك باستخدام بروتوكول اتفاقية المفاتيح منحنى القطع الناقص Diffie-Hellman (ECDHE). يضمن هذا السر المشترك الاتصال الآمن بين العنصرين.
تخويل المعاملات الآمنة
عندما يصرّح المستخدم بإجراء معاملة تتضمن إيماءة فعلية يتم توصيلها مباشرةً إلى Secure Enclave، ترسل Secure Enclave بيانات مُوقَّعة حول نوع المصادقة وتفاصيل حول نوع المعاملة (غير تلامسية أو داخل التطبيقات) إلى Secure Element، وتكون مرتبطة بقيمة تخويل عشوائي (AR). يتم إنشاء قيمة AR في Secure Enclave عندما يقوم المستخدم أولاً بتوفير بطاقة ائتمان مع استمرار ذلك أثناء تمكين Apple Pay، وتكون محمية بتشفير Secure Enclave وآلية مكافحة التراجع. ويتم تسليمها بشكل آمن إلى Secure Element من خلال الاستفادة من مفتاح الاقتران. عند استلام قيمة AR جديدة، يقوم Secure Element بتمييز أي بطاقات تمت إضافتها سابقًا على أنها منتهية.
استخدام تشفير الدفع للأمن الديناميكي
تتضمن معاملات الدفع التي تنشأ من تطبيقات الدفع الصغيرة تشفيرًا لعملية الدفع بجانب رقم حساب الجهاز. ويتم حساب هذا الرمز المشفر المخصص للاستخدام مرة واحدة باستخدام عدّاد معاملات ومفتاح. ويزداد عدّاد المعاملات مع كل معاملة جديدة. بينما يتم توفير المفتاح في تطبيق الدفع الصغير أثناء التخصيص ويكون معروفًا لدى شبكة الدفع أو جهة إصدار البطاقة أو كليهما. وحسب نظام الدفع، قد تُستخدم أيضًا بيانات أخرى في عملية الحساب، بما في ذلك التالي:
رقم وحدة طرفية غير متوقع لمعاملات الاتصال بالحقل القريب (NFC)
قيمة غير قابلة لإعادة التشغيل لخادم Apple Pay، للمعاملات داخل التطبيقات
نتائج التحقق من المستخدم، مثل معلومات طريقة التحقق من حامل البطاقة (CVM).
يتم تقديم رموز الأمن هذه إلى شبكة الدفع وإلى جهة إصدار البطاقة، مما يتيح لجهة الإصدار التحقق من كل معاملة. وقد يختلف طول رموز الأمان هذه بناءً على نوع المعاملة.