أمن نظام NFC و SE الأساسي
نظام NFC و SE الأساسي هي حل آمن طورته شركة Apple يتيح للمطورين المعتمدين توفير الإمكانات من داخل تطبيق iOS الخاص بهم. على الأجهزة التي تعمل بنظام iOS 18.1 أو أحدث، يمكن للمطورين تخزين بيانات الاعتماد في Secure Element. تدعم بيانات الاعتماد هذه المدفوعات والوصول والمواصلات وبرامج الولاء والتذاكر. يتعين على المطورين حماية خصوصية المستخدم وبياناته، بما في ذلك تفاصيل البطاقة. يوفر النظام الأساسي ميزات أمان من أجهزة iPhone والبرامج وخوادم Apple. يمكن للمطورين استخدام Secure Element وأجهزة الاستشعار البيومترية وSecure Enclave وخوادم Apple لحماية بيانات الاعتماد أثناء مراحل الاستخدام التالية:
ملاحظة: يجب منح المطورين الحق في استخدام نظام NFC و SE الأساسي. يساعد هذا في ضمان أن المطورين المعتمدين فقط والملتزمين بالحفاظ على معايير الخصوصية والأمان يمكنهم استخدام نظام NFC و SE الأساسي.
أمن مكون نظام NFC و SE الأساسي
يوفر نظام NFC و SE الأساسي إمكانية الوصول إلى ميزات المكونات المادية والبرامج التي تمكّن المطورين من توفير معاملات آمنة لمستخدمي iPhone.
Secure Element
يعد Secure Element عبارة عن دائرة متكاملة قياسية في الصناعة تعمل على تشغيل منصة Java Card. معتمد من قبل كل من EMVCo والمعايير العامة، وهو يدعم تطبيقات Java Card الصغيرة القياسية، بما في ذلك تلك المعتمدة لنظام NFC و SE الأساسي. كما يحتوي على تطبيق صغير خاص لإدارة تفويض وتنشيط تطبيقات نظام NFC و SE الأساسي الصغيرة. يمكن تشفير بيانات الاعتماد وإرسالها إلى هذه التطبيقات الصغيرة باستخدام مفاتيح فريدة. يتم تخزين هذه البيانات في التطبيقات الصغيرة وتأمينها من خلال ميزات Secure Element الأمنية. أثناء المعاملات، تتواصل الوحدة الطرفية مباشرة مع Secure Element من خلال وحدة تحكم الاتصال بالحقل القريب (NFC).
وحدة تحكم NFC
تعالج وحدة تحكم NFC بروتوكولات NFC وتوجِّه الاتصالات بين معالج التطبيق و Secure Element، وبين Secure Element والوحدة الطرفية لنقطة البيع. تساعد وحدة تحكم NFC على ضمان إجراء معاملات الدفع غير التلامسية باستخدام وحدة طرفية تكون على مسافة قريبة من الجهاز. وتقوم وحدة تحكم NFC بتمييز الطلبات الواردة من وحدة طرفية في المجال فقط على أنها معاملات غير تلامسية.
بعد أن يتم التصريح بمتابعة المعاملة من قبل المستخدم باستخدام بصمة الوجه أو بصمة الإصبع أو رمز المرور الخاص بالهاتف، يتم توجيه الاستجابات غير التلامسية التي يتم إعدادها بواسطة نظام NFC و SE الأساسي داخل Secure Element حصرياً بواسطة وحدة تحكم NFC إلى حقل NFC. وبالتالي، يتم تضمين تفاصيل المعاملات غير التلامسية في حقل NFC المحلي ولا يتم كشفها لمعالج التطبيق.
Secure Enclave
يدير Secure Enclave عمليات مصادقة المستخدم وعمليات النية الآمنة على الجهاز، مما يسمح بمتابعة المعاملات المصرح بها. يجري الاتصال بين Secure Enclave و Secure Element عبر واجهة تسلسلية، مع توصيل Secure Element بوحدة تحكم NFC، والتي بدورها تكون متصلة بمعالج التطبيق. على الرغم من عدم اتصاله بشكل مباشر، يمكن لكل من Secure Enclave و Secure Element التواصل بشكل آمن باستخدام سر مشترك يتم إنشاؤه في وقت التشغيل، والذي يمكن استخدامه لتوفير السرية والتكامل عبر رابط الاتصال حسب الحاجة.
خوادم Apple
تستضيف خوادم Apple حزم التطبيقات الصغيرة المعتمدة لشركاء نظام NFC و SE الأساسي. كما أنها تدير أيضًا إعداد وإنشاء نطاقات الأمان والتطبيقات الصغيرة في Secure Element، بما في ذلك تلك التي يستخدمها نظام NFC و SE الأساسي.
التطبيقات الصغيرة والتكوينات
لاستخدام نظام NFC و SE الأساسي، يجب أن يكون لدى المطورين حزمة تطبيقات صغيرة معتمدة وتكوينات منتج لدعم بيانات الاعتماد الخاصة بهم. قبل تسليمها إلى Apple للتثبيت الآمن على العنصر الآمن، يجب أن تخضع جميع التطبيقات الصغيرة لمراجعة أمنية من قبل مختبر تقييم أمني معتمد من طرف ثالث. بعد التسليم إلى Apple، تتم مراجعة حزمة التطبيقات الصغيرة وتكوين المنتج المرتبط بها ويجب الموافقة عليها قبل أن يمكن استخدامها مع نظام NFC و SE الأساسي. بعد الموافقة، يتم توقيع حزمة التطبيقات الصغيرة واستضافتها على خوادم Apple.
المطورون مسؤولون أيضًا بشكل مستقل عن الحصول على أي شهادات أو مؤهلات ضرورية أخرى لتطبيقاتهم الصغيرة بناءً على حالة الاستخدام وخطط التشغيل الخاصة بهم، مثل تلك المطلوبة بموجب القانون أو اللوائح أو مشغلي شبكات الدفع.
توفير بيانات الاعتماد
يتحمل مطور نظام NFC و SE الأساسي مسؤولية حماية أمان العملية حتى يتمكن المستخدم من توفير بيانات اعتماد جديدة. قد يتضمن هذا خطوات مثل مصادقة المستخدم في تطبيق iOS الخاص به، وحماية البيانات الحساسة التي يدخلها المستخدم والتحقق من صحتها، والاتصال بالخوادم، ومنح الموافقة على إضافة بيانات اعتماد، وبدء توفير بيانات الاعتماد، ومعالجة بيانات التخصيص. المطور مسؤول أيضًا عن ضمان أن حلوله تلبي أي لوائح ومعايير صناعية معمول بها تتعلق بأمان توفير بيانات الاعتماد واستخدامها.
عند طلب تطبيق iOS إنشاء بيانات اعتماد جديدة، يرسل نظام NFC و SE الأساسي الطلب إلى خوادم Apple. إذا لم يتم تنزيل التطبيق الصغير المرتبط بتكوين المنتج المطلوب إلى Secure Element بعد، يبدأ خادم Apple في تنزيل الحزمة الموقعة إلى Secure Element. بعد ذلك، يتم تثبيت مثيل جديد للتطبيق الصغير داخل نطاق أمن معزول في Secure Element لاستخدامه لتخزين بيانات الاعتماد الجديدة. بعد التثبيت، يمكن لمدير الخدمة الموثوق به (TSM) الذي اختاره المطور تخصيص مثيل التطبيق الصغير بشكل سري بأي بيانات اعتماد ضرورية، مثل المفاتيح وأرقام الحسابات.
التخزين الآمن والوصول
تتوفر وظائف أمان المكونة المادية والبرامج في Secure Element لحماية بيانات اعتماد نظام NFC و SE الأساسي سواء في حالة عدم النشاط أو أثناء الاستخدام. يضمن المطورون أن تطبيقاتهم المصغرة على Secure Element تُنفذ بطريقة آمنة، وتلتزم بالإرشادات الأمنية، وتستفيد بالكامل من ميزات الأمان المتوفرة على النظام الأساسي لحماية بيانات الاعتماد بشكل كافٍ.
يمنع نظام NFC و SE الأساسي الوصول إلى تكوينات المنتج وحالات التطبيقات المصغرة إلا من خلال تطبيقات iOS المرتبطة بها. نتيجة لذلك، لا يمكن للتطبيقات غير المصرح لها التفاعل مع التطبيقات المصغرة أو تعديلها أو استخدامها. مسموح فقط لتطبيقات iOS المرتبطة بما يلي:
طلب إنشاء مثيل للتطبيق المصغر
تخصيص حالات التطبيقات المصغرة وتحديثها وإرسال الأوامر إليها.
بدء المعاملات
طلب حذف مثيل للتطبيق المصغر
اعتماد المعاملات
يجب أن تحصل التطبيقات على إذن المستخدم لجميع المعاملات؛ يوفر نظام NFC و SE الأساسي وسيلة لمطوري التطبيقات لضمان الحصول على هذا الإذن. يقوم المستخدمون باعتماد المعاملات باستخدام القياسات الحيوية أو رمز المرور، إلى جانب إيماءة فعلية نحو Secure Enclave. بعد الموافقة، يرسل Secure Enclave بيانات المصادقة إلى Secure Element. حيث يتحقق Secure Element منها ويُبلغ التطبيق المصغر لتفعيل واجهة NFC. يجب على مطور نظام NFC و SE الأساسي تنفيذ تطبيق iOS الخاص به والتطبيق المصغر على Secure Element وفقًا للمواصفات التي توفرها Apple لضمان أمان آلية اعتماد المعاملات وإتمامها.
لبدء معاملة، يجب أن يكون تطبيق iOS في الواجهة الأمامية وأن يكون iPhone مفتوحًا. عند تعيين تطبيق iOS كالتطبيق غير التلامسي الافتراضي في الإعدادات، يتم تشغيل التطبيق تلقائيًا عند نقر المستخدم مرتين على الزر الجانبي (بالنسبة لبصمة الوجه) أو زر الشاشة الرئيسية (بالنسبة لبصمة الإصبع) بعد مصادقة المستخدم (إذا كان iPhone مغلقًا).
علاوة على ذلك، يتحمل تطبيق iOS لنظام NFC و SE الأساسي للمطور مسؤولية إبلاغ المستخدم بشكل واضح ببيانات الاعتماد التي سيتم استخدامها في المعاملة وعرض أي تفاصيل ذات صلة بالمعاملة.
إدارة دورة الحياة
باستخدام واجهات API لنظام NFC و SE الأساسي، يمكن للمطورين تحديث بيانات الاعتماد أو حذفها وإرسال الأوامر المناسبة إلى التطبيق المصغر من تطبيق iOS الخاص بهم. يمكنهم أيضًا إضافة ميزات لتعليق بيانات الاعتماد أو إلغاء ربطها، ولكن هذه الوظائف مستقلة عن نظام NFC و SE الأساسي.
تُحذف كل بيانات الاعتماد على Secure Element بشكل آمن عند:
تسجيل خروج المستخدم من iCloud
إزالة رمز مرور الجهاز
مسح محتويات الجهاز باستخدام خيار "مسح جميع المحتويات والإعدادات" أو عن بُعد عبر تحديد الموقع
طلب حذف حساب Apple الخاص به من صفحة البيانات والخصوصية من Apple
يتمتع المستخدمون أيضًا بالقدرة على إزالة بيانات اعتماد معينة من أجهزة iPhone الخاصة بهم عن طريق حذف تطبيق iOS المرتبط.