الملخص:

تنمو التجارة الإلكترونية بشكل ملحوظ، حيث أنها توفر الوصول غير المحدود للمنتجات والخدمات في أنحاء العالم المختلفة من خلال شبكة الانترنت. و بالرغم من وجود تحديات عديدة تواجهه عملياتها إلا أنه لا تزال عملية الدفع هي القضية الأكثر أهمية في موضوع التجارة الإلكترونية لأنها تجري بين أنظمة الكمبيوتر  المختلفة ومن خلال وسائل اتصال متعددة  بين شبكة من المشترين والبائعين وما يتعلق بذلك من مشاكل تأمين تحويل الأموال وتأمين الحسابات وتأمين أرقام البطاقات الأئتمانيه المستخدمة في عمليات الدفع وبالتالي فهي عمليه ليست بسيطة. ومن ثم فان هذا البحث سوف يناقش عمليه الدفع مع مناقشة القضايا الأخرى في حالة الحاجة لذلك ولكن بشكل مختصر.

على الرغم من أن هناك أساليب كثيرة للدفع  الإلكتروني إلا انه لا يزال استخدام بطاقات السحب الآلي وكروت الأئتمان هو الأسلوب  الأكثر شيوعا نظراً لأنتشار هذه الكروت وإمكانية استخدامها دون التقيد بمكان إصدار البطاقة،
وعند  استخدام  البطاقات في عملية الدفع  يلزم علي صاحب البطاقة أن يقوم بإدخال بيانات البطاقة حتى يتم اخذ الموافقة بعد التأكد من صحة بيانات البطاقة وكفاية الرصيد  وهذه العملية تسمي ” عمليه بدون بطاقة ”  حيث أنها لا تشترط وجود البطاقة فعلياً . ومن هنا تكون الخطورة حيث أنه من السهل الحصول علي  سرقة بيانات البطاقات بطرق احتيالية متعددة وبالتالي يمكن استخدامها بهذا الشكل في تنفيذ عمليات من خلال الانترنت .

وبالتالي يمكن القول بان  وسائل تأمين استخدام بطاقات السحب الآلي وكروت الائتمان في عمليه الدفع الالكتروني لا يكفي أن  تحقق فقط المبادئ الأساسية لتأمين البيانات كالتحقق و السرية و عدم الإنكار وصحة البيانات بل أكثر من  ذلك يجب أن  توفر عامل الثقة بين أطراف العملية عند استخدام بيانات هذه البطاقات وهذا يمثل التحدي الذي يسعي البحث لتحقيقه .ويقدم البحث مقترح  لتأمين الدفع الإلكتروني يقوم على استخدام البطاقات الذكية بمواصفات الـ EMV  بدلا من البطاقات الممغنطة مع  تجنب إدخال بيانات البطاقة  بشكل مباشر بأن يتم ذلك من  خلال قراءة البطاقة الذكية باستخدام قارئ مخصص لذلك متصل بجهاز الكمبيوتر لتبادل البيانات مع  البطاقة الذكية وتكوين بيانات ديناميكية و مشفره باستخدام المفاتيح المخزنة علي البطاقة والتي لا يمكن فكها والتعرف عليها إلا من خلال مصدر البطاقة الحقيقي .

Keywords:   EMV,   CC , DES , RSA , SHA

1- المقدمة:

يمكن تعريف عملية الدفع بأنها  عملية تحويل  قيمة الخدمة أو المنتج الذي  تم شراؤه من حساب  المشتري إلى حساب  البائع، وفي حالة وضع الحرف اللاتيني “E”  قبل كلمة الدفع  “E-Payment”  فإننا نقصد بذلك الدفع الإلكتروني  ، وهو يعني  أنه سوف يتم تحويل القيمة إلكترونياً عبر الوسائل الألكترونيه  وإن كان معظم مشتري والبائعين يفضلون الدفع نقدا لتجنب تكلفة أساليب الدفع الإلكترونية وخاصة   في حالة أن تكون قيمة السلعة مبلغ صغير وهو ما يسمي Micro-Payment.

الدفع الإلكتروني هو مجموعة عمليات ذات أهمية واضحة في معاملات التجارة  الإلكترونية ، وهذه العمليات تتصف بالتعقيد وعدم السهول وذلك لأنها تتم  بين شبكة من  أنظمة الكمبيوتر لكل من المشترين والبائعين  ،بالإضافة لما يرتبط  بها من العديد من القضايا الأمنية [24] . هناك أكثر من طريقة شائعة للدفع الإلكتروني  ولكن استخدام بطاقات الائتمان يعتبر أكثر الطرق انتشارا ، وتركز هذه الورقة على تقديم حل لتأمين استخدام بطاقات الائتمان في عملية الدفع .
وبالنظر إلي التوقيع الرقمي  (Digital Signature (DS)) نجد أنه يقدم حلاً جيداً لتحقيق المتطلبات الأمنية الأساسية مثل التحقق والسرية والسلامة وعدم الإنكار   [26]، حيث يستخدم المرسل أسلوب التشفير  المفتاح العام والخاص  والهاش لتشفير الرسالة وتكوين التوقيع الإلكتروني وإلحاقه بها ثم يقوم مستقبل الرسالة بفك التشفير مستخدماً مفتاحه الخاص ثم تنفيذ الهاش علي الرسالة ومقارنة النتائج والتأكد من صحة الرسالة وعدم وجود أي تغيرات بها كما يمكنه ذلك من التأكد
من أن الرسالة تم استلامها من المرسل نفسه دون غيرة.

وسوف يتم التعرض لأسلوبين يستخدمان التوقيع الرقمي هما التوقيع الإلكتروني وبطاقات الـ أي أم في   EMV . ونموذج التوقيع الإلكتروني سوف يستعرض تجربة التوقيع الإلكتروني المصري  المدعوم بواسطة هيئة تنمية صناعة تكنولوجيا المعلومات المعروفة بـ ITIDA    ، أما نموذج بطاقات الـ أي أم في   EMV فإنة سوف يتم مناقشة  الحل المقدم من مؤسسة الفيزا لإصدار هذه الكروت وهو يعرف بـ Visa Smart Debit and Credit (VSDC). وكلاً من النموذجين يستخدم وسيلة التشفير ” المفتاح العام والخاص ” وتكون الفيزا هي سلطة التصديق في حالة بطاقات الـ أي أم في   EMV أما في حالة التوقيع الرقمي فيتم الترخيص لبعض الشركات لسلطة تصديق من قبل ITIDA.

وتشمل الورقة ستة أجزاء أساسية كالتالي:
الجزء الأول: ويشمل المقدمة.
الجزء الثاني: يعرض التجارة الإلكترونية، مميزاتها وعيوبها، أساليبها المختلفة، التهديدات التي تواجهها ووسائل الحماية المستخدمة  وأنظمة الدفع الألكترونيه.
الجزء الثالث: يعرض تكنولوجيا البطاقات الذكية وخصائصها الإلكترونية وأنظمة تشغيلها وأساليب الحماية التي تدعمها وإدارتها للمفاتيح وكذلك عناصر البيانات والأوامر المستخدمة.
الجزء الرابع : يعرض مواصفات الـ EMV  ، أهمية التوافق مع هذه المواصفات  ، القواعد التي يلزم إتباعها والمسؤلية عند كسرها ، أساليب المصادقة ومراحل تنفيذ عمليات مالية تستخدم الـ EMV.
الجزء الخامس: يتعرض للتوقيع الالكتروني، تعريفه ، التوقيع الرقمي، وأمن التوقيع الرقمي، وكسر التوقيع الرقمي ومتطلبات تطبيقه  (دراسة تجربة  التوقيع الالكتروني المصري)
الجزء السادس: يعرض الحل المقترح باستخدام الـكروت الذكية المتوافقة مع تكنولوجيا  EMV cards لتأمين عمليات الدفع الإلكتروني في حالة الدفع باستخدام الكروت البلاستيكية .

2- التجارة الإلكترونية (E-C) :

2-1 تعريف :

للتجارة الإلكترونية تعريفات كثيرة  منها “كل المعاملات والصفقات التي تتم  بواسطة الأسلوب الإلكتروني” [21]. ” استخدام وسائل النقل الالكتروني (الاتصالات اللاسلكية) للمشاركة في التبادل بما في ذلك شراء وبيع المنتجات والخدمات التي تتطلب وسائل النقل، سواء ماديا أو رقميا، من موقع إلى آخر “[14]. ” ما  يمكن الأعمال التجارية لبَيْع المنتجات والخدماتِ إلى المستهلكين عالمياً”[15] . وبالتالي فهي النظام الأساسي التي تقوم عليها أساليب جديدة لبيع وتوزيع لمنتجات وخدمات مستحدثة إلكترونياً.
والباحث يعرفها بأنها عملية تبادل المنتجات أو الخدمات إلكترونيا باستخدام وسيلة الكترونية ، وتشمل هذه العملية الاتصالات ، معالجة البيانات ، والتسوية والمقاصة وعمليات التأمين . والتجارة الإلكترونية تبدأ من اختيار المنتجات حتى دفع ثمن المنتجات وتسليم المنتج إلى المشتري ولذلك فإن  النمو السريع للإنترنت وغيرها من الخدمات الـ    on-line POS – ATM –   ساعدت في نمو التجارة الإلكترونية .
و تشير الأرقام إلى أن هناك نمو في حجم التجارة الإلكترونية. ، فوفقاً لمؤتمر التجارة الإلكترونية  2009 في واشنطن فإنها وصلت إلي  3 تريليون دولار أمريكي في جميع أنحاء العالم.
 

2-2 فوائد التجارة الإلكترونية:

– توفر خيارات عديدة و أكثر مرونة للوصول إلى كتالوجات المنتجات.
– تقلل من الوقت والتكلفة للبحث عن العملاء والشركات، سواء بحث الزبائن في محاولة للعثور المنتجات والخدمات وبحث الشركات في محاولة للعثور العملاء.
– تؤدي إلي خلق  السوق حيث أنها تساعد في تقابل كل من   المشترين والبائعين  للتعامل مع بعضهم البعض.
– تحول الأسواق من المحلية إلى الأسواق الدولية مع الحد الأدنى من النفقات الرأسمالية والمعدات و الموظفين.
– تقلل من الوقت بين إنفاق رأس المال واستلام المنتجات والخدمات.
– تساعد علي  الإنتاج اللحظي  في الوقت المناسب ، مما يخفض النفقات العامة وزيادة المخزون.
– تقلل من وسائل النقل وارتفاع تكاليف العمالة لخلق ومعالجة وتوزيع وتخزين واسترجاع المعلومات والتفاوض مع الزبائن والموردين المحتملين.
– تمكن من بناء  قاعدة بيانات يمكن الاعتماد عليها  في التصميم والتسويق، والمبيعات ، ومعلومات الدفع.

2-3 عيوب التجارة الإلكترونية:

بالرغم من المزايا التي تم ذكرها في الفقرة السابقة إلا أنه هناك عدة عيوب أو نواقص للتجارة الإلكترونية يمكن ذكر منها التالي :
–  الصعوبات فيما يتعلق باختلاف اللغات التي يتم استخدامها عبر الإنترنت.
– إرتفاع تكلفة النقل.
– صعوبة صيانة السلع والخدمات المتبادلة عبر الإنترنت.
–  أكثر 10عوائق أمام التجارة الإلكترونية  في الولايات المتحدة من حيث الأهمية : الأمن ، الثقة و المخاطر، ونقص الموظفين المؤهلين ، نقص وجود  نماذج الأعمال التجارية، الثقافة ، ومصادقة المستخدم وعدم وجود البنية التحتية للمفتاح العام، والاحتيال، بطأ  شبكة الإنترنت ، والنواحي  القانونية [7].

2-4 مخاطر التجارة الإلكترونية:

بناءً علي [16] يوجد ثلاث عوامل رئيسيه تزيد من مخاطر التجارة الإلكترونية وهي :
إاعتماد عمليات التجارة الإلكترونية على الوسطِ الإلكترونيِ .
– زيادة تعقيدات الأنظمة التكنولوجية التي يحتاجها تنفيذ عمليات التجارة الإلكترونية.
– التعامل على الإنترنتَ غير أمن ويتعرض لمخاطر كثيرة منها:
* منع الخدمة أو ما يسمي  Denial of services attacks (DOS) .
* مخاطر الاحتيال.
* مخاطر سرقة أرقام الكروت.
* مخاطر الاحتيال علي السوفتيور   malicious   Software ٍ.

2-5 تأمين التجارة الإلكترونية :

تأمين التجارة الإلكترونية يعني الحماية ضد التهديدات والمخاطر للتأكد من وجود عناصر التأمين الرئيسية مثل:
–    استمرارية إتاحة الخدمة   Availability   
  –   سلامة البيانات   Integrity
  –   عدم التنصل Non-repudiation
  –    السرية    Confidentiality
  –   التوثيق  Authentication
و لتأمين التجارة الإلكترونية ، ينبغي أن يتم توفير طرق أكثر أمناً علي  كل المستويات (  التاجر والزبون )  خلال هذه العملية. وينبغي للتاجر القيام بكل عملية ضرورية لتأمين موقعه على الانترنت وحماية بيانات العميل والتي تتطلب تحديث السوفتيور المستخدم بأحدث  مضادات  الفيروسات antivirus ، استخدام جدار حماية  Firewall  والتوافق مع المعايير الأمنية القياسية (مثل ايزو 177799، ايزو 270001، وPCIDSS). أما  علي مستوي العميل فيجب علية  القيام ببعض التعليمات لتأمين التجارة الإلكترونية  مثل التعامل مع مواقع آمنة فقط، استخدام بطاقة  خاصة  للدفع فقط ، متابعة كشف حساب البطاقة   والاحتفاظ بالرقم الشخصي السري وعدم إبلاغ أي شخص أخر به.
2-5-1 الجدران النارية  Firewalls :

وهي عبارة عن مجموعة من البرامج لرصد ومراقبة حركة مرور شبكة الاتصال الواردة والصادرة. ويمكن حماية الملفات ضد الدخلاء وحصان طروادة.
2-5-2 الشبكة الافتراضية الخاصة   Virtual Private Network (VPN):-
وهو ما يعني بناء خطوط الاتصال الخاصة الظاهرية من خلال شبكات الاتصالات العامة باستخدام تقنيات الـ Tunnels .
2-5-3 التصديق Authentication:
وهي تعني  استخدام طريقه لتحديد الهوية والتي  تساعد في زيادة الثقة من التجارة الإلكترونية.  وقد تستخدم طريقة أو أسلوب للتصديق واحداً أو أكثر كالتالي :-
–  Something the user “Knows”   مثل اسم للمستخدم وكلمة ســـر. 
– Something the user “Has” مثل امتلاك بطاقة للتعريف.
– Something the user “Is” مثل الصفات الشخصية للتحقق من الهوية .
وقد يكون التصديق ديناميكي Dynamic Authentication و هي طريقة لخلق كلمة السر ديناميكياً من وقت لآخر، ومن ثم في حالة القرصنة علي كلمة السر سوف يقلل من الخطر لأنها سوف تتغير. يمكن أن تستخدم جهاز Token لتخليق كلمة السر و هذا يتطلب خادم المصادقة والذي يقوم بالتحقق من سلامة كلمة السر.

2-6 وسائل الدفع الإلكتروني :

هناك العديد من أساليب الدفع الإلكتروني [24]، مثل : تحويل الأموال الكترونيا (EFT)  – النقود الإلكترونية Electronic cash – الشيكات الالكترونية Electronic  Cheque – العملات الإلكترونية Electronic Coins – المحفظة الرقمية Digital Wallet – وبطاقات الائتمان . بالرغم من كثرة هذه الأساليب إلا أنه لا يزال أسلوب الدفع الإلكتروني الأكثر شيوعا هو استخدام  بطاقات الأئتمان لبساطته وسهولته .
واستخدام  بطاقات الأئتمان له مخاطر عالية لأن المشتري يجب أن يقدم معلومات البطاقة الائتمانية  في موقع التاجر ويمكن أن تستخدم هذه المعلومات من قبل أي شخص أخر ليس صاحب البطاقة في حالة سرقتها في تنفيذ عمليات بهذه البطاقة ،وسبب هذا أن هذه العملية لا تحتاج إلي وجود الكارت فعلي   ” Non Present Card  ” . والخطر يأتي من قدرة اختراق معلومات بطاقة الائتمان مع التكنولوجيا المتقدمة  من يوم إلي أخر ، وتشير جميع الإحصاءات إلي  رفع متوسط معدلات الاحتيال لبيانات بطاقات الائتمان في السنوات الماضية.
2-6-1 تأمين الدفع الإلكتروني:
ويمكن تعريف تأمين الدفع الإلكتروني بأنها أساليب الحماية التي توفرها أنظمة الدفع لتأمين عملية الدفع ضد الاحتيال. هذه الحماية ينبغي أن تشمل جميع عمليات التجارة الإلكترونية  بما في ذلك عمليات التخزين والنقل.

وهكذا، فإنه يمكن توفير الأساليب التالية :
 التوثيق    Authentication: فهذا يعني أن الشخص في المعاملة هو الذي كان يجب أن يكون.
 سلامة البيانات Data integrity: فهذا يعني أن المعلومات المرسلة كما هي  ودون أي تغيير .
عدم التنصل  Non-repudiation: هذا يعني منع أي طرف  من التنكر ورفض العملية.
 السرية   Confidentiality: أنها وسيلة لحماية البيانات من الاستخدام الغير مصرح به.

2-6-1-1 الوسائل التكنولوجية لتأمين الدفع الإلكتروني:
هناك العديد من التقنيات لتأمين الدفع الإلكتروني، وقد وضعت هذه التقنيات من قبل مؤسسات عالمية متخصصة في توفير حلول لأنظمة  المدفوعات الإلكترونية مثل مؤسسة الفيزا والماستر. هذه الأساليب تعتمد على المبادئ الأساسية للتأمين عند  جميع البيانات وتخزينها ونقلها ومن أمثلة هذه الوسائل ما يلي :

2-6-1-1-1 تكنولوجيا ثلاثي النطاق   3D-Secure Technology
تكنولوجيا  3D-Secure  تعني المصادقة المسبقة للمشاركين.  هذه التكنولوجيا تفترض أن يتم تحويل مسؤولية رفض العملية من موقع التاجر إلي البنك المصدر للبطاقة ، ثم لحامل البطاقة نفسه  وهو ما يسمي liability Shift  . والمعاملات التي تتم باستخدام هذه التكنولوجيا تتطلب كلمة مرور خاصة لا يعرفها سوى العميل حامل البطاقة. وهذا يتيح الحد من عدد حالات الرفض.
3D-Secure اختصار “Three-Domain Model” وهم   :   Issuer Domain, Acquirer Domain and   Interoperability Domain  .

2-6-1-1-2 تأمين المعاملات الإلكترونية   Secure Electronic Transaction (SET)
وهو بروتوكول الدفع المستخدم لضمان تأمين عملية الدفع الالكتروني عند استخدام  بطاقات الائتمان ،فهو بروتكول عام تم تكوينة بواسطة الفيزا والماستر لتأمين العمليات علي الأنترنت من خلال حمية وتأمين السرية والتأكد من مصدقية المسخدمين .يستخدم طريقتي التشفير المتماثل (DES),  واللامتماثلRSA   بهدف الجمع بين خصائصهم حيث يتم تشفير السيشون كي بإستخدام اللامتماثل Public and Private key   مما يؤمن عملية نقلة بين طرفي العملية ثم يتم تشفير باقي الرسالة  باستخدام مفتاح  السيشون.
ومكوناته البرامج المثبتة على متصفحات الويب، خادم الويب ، والأطراف الأخرى المشاركة في عملية الدفع الإلكتروني [20].
2-6-1-1-3 أكواد التحقق    Card Security Codes
وهي  ثلاثة أو أربعة أرقام مطبوعة على الجهه الأمامية أو الخلفية للبطاقة – وفقا لنوع البطاقة – وتستخدم في عمليات التجارة الإلكترونية   لضمان أن المالك الحقيقي للبطاقة هو الذي يقوم بتنفيذ العملية . هذه الأكواد تعرف باسم          CVV2 لبطاقات  الفيزا، أما بطاقات  ماستركارد فتعرف بإسم  CVVC وتعرف بإسم  CID لبطاقات أمريكان اكسبريس.
يتكون الكود من أربعة أرقام تظهر على الوجه الأمامي للبطاقة أمريكان اكسبريس لكن بالنسبة لبطاقات الفيزا وماستركارد فهو يتكون من عدد ثلاثة أرقام  تظهر في نهاية رقم الحساب على ظهر البطاقة. لا تتم طباعة هذا الكود على أي إيصالات، ويوفر ضمانات إضافية على أن البطاقة فعلاً في حوزة الشخص عند تنفيذ المعاملة وتعد بمثابة دليل رادع و قوي ضد الاحتيال.
2-6-1-1-4 التحقق بالعنوان     Address Verification Service (AVS)
وهو أسلوب يتم فيه مطابقة العنوان المسجل أثناء تنفيذ العمليه والذي يدونه منفذ العملية مع عنوان العميل المسجل من قبل في قاعدة البيانات  للتأكد من أن مستخدم  البطاقة هو صاحبها فعلاً  ويستخدم هذه الأسلوب في بعض مناطق
الفيزا فقط مثل منطقة أوروبا وليس كل المناطق.
2-6-1-1-5 الموافقة اللحظية Real-Time authorization
بإرسال  بيانات الحركة إلي الخادم الرئيسي الموجود علية بيانات البطاقة المحدثة  وبالتالي تضمن التعامل مع حالة الكارت الحقيقية بأخر وضع تم تعديله .
2-6-1-1-6 إرسال رسالة إعلامية   Send Alert Message  
باستخدام تكنولوجيا الهاتف المحمول يقوم  البنك المصدر للبطاقة  بإرسال رسالة تنبيه إلى العميل بعد كل عملية، مما  يمكن من  تنبيه  العميل  بأنه  يتم استخدام بطاقته في الوقت الحالي ، مما يمكن من  تجنب أي استخدام غير مشروع للبطاقة والاتصال بمصرفه لوقف البطاقة في حالة حدوث مثل هذا الاستخدام الغير مشروع  . تعتمد  هذه التكنولوجيا على أن   معظم حاملي البطاقة لديهم هاتف محمول ولكن تتطلب أن يكون البنك لدية خدمة عملاء علي مدار الساعة  مثلاً مركز الاتصال على مدار 24 ساعة لتلقي طلب  العميل  لوقف بطاقته في أي وقت خلال الـ 24 ساعة  أو توفر وسيلة أخري لتنفيذ ذلك بسرعة مثلاً الانترنت .

2-6-1-1-7  استخدام بطاقة  مخصصه للأنترنت  Using Internet Prepaid card    
للحد من استخدام  البطاقة في حالة الاحتيال عليها أو سرقة بياناتها تقوم بعض البنوك بإصدار بطاقات خاصة للقيام بعمليات  التجارة الإلكترونية فقط، ولا تسمح بأي خدمات أخري  لهذه البطاقة ، بحيث يمكن للعميل تحميل  هذه البطاقة بمبالغ  صغيرة لاستخدامها عبر الإنترنت ، كما يمكن للعميل إعادة شحن البطاقة عن طريق القيام إيداع المال في البنك له أو تحويل الأموال من حساب آخر لهذه البطاقة.
2-6-1-1-8 حلول خاصة للفيزا والماستر كاردز Customized Cards  
قامت كلاً من مؤسستي الفيزا والماستر كارد العالمتين بتصميم حلول تطبق من جانب مصدري أو مستخدمي البطاقات الخاصة بكل منهما في حالة تنفيذ عمليات التجارة الألكترونيه . الفيزا نفذت حل يسمي Verified By Visa ( VBV )  أما الماستر فنفذت حل يسمي  MasterCard’s Secure Payment Application  . ويعتمد   حل الفيزا  VBV    علي تقديم  رقم سري للعميل   يحتفظ به ويستخدمه في عمليات التجارة الإلكترونية ويتم إدخال هذا الرقم علي موقع مصدر البطاقة وليس موقع التاجر حيث أن  موقع التاجر يرسل الرسالة إلي  مؤسسة الفيزا التي ترد علية بموقع مصدر البطاقة ليتم إدخال الرقم السري له علي هذا الموقع.
أما في حالة الماستر فإنة يستخدم الـ Token     حيث يتم استخدام الرقم الموجود علية كأحد بيانات الرسالة المرسلة في عملية التجارة الإلكترونية .
والشكل  التالي يوضح مراحل تنفيذ عملية التجارة الإلكترونية باستخدام الـ  VBV

 

Figure-1: VBV Transaction Follow

2-6-1-2 وسائل تأمين غير تكنولوجية  Non Technological security solutions :   
بالإضافة  إلى الحلولِ التقنيةِ التي  طوّرتْ لتأمين  الدفع الإلكتروني ، هناك  أيضاً أساليب غير تقنية  يجب إتباعها  من قبل المؤسساتِ الماليةِ بهدف تأمين  نظامِ الدفع الإلكترونيِ مثل تطبيق والاعتماد علي وجود   الـ    Security Policy  للمؤسسة بحيث تشتمل علي  القواعدِ التي تنظم الدُخُول للأماكن  بالشركة ودخول الزوّارِ ووضع قواعد تطبق في حالة الكوارث  وضرورة توافر أنظمة بديلة يتم اختبارها من فترة لآخري للتأكد من جدية وفعالية استخدامها في حالة الحاجة لها .

3- تكنولوجيا الطاقات الذكية  Smart card Technology  :

البطاقات الذكية أو ما تسمي  Smart cards or  Chip Cards وهي كروت بلاستيكية مثل الممغنطة تماماً مع وجود   Embedded IC ( Integrated Circuit )  وهي  تعتبر كمبيوتر صغير حيث يوجد بها CPU & Memory and O/S  والاختلاف بينها وبين الكمبيوتر الحقيقي أنه ليس لها وحدات طرفية كما أنها سالبة بمعني أنها تستقبل الأوامر وترد عليها ولكن لا يمكن لها أن تصدر أوامر . والشكل التالي يوضح شكل ومقاس البطاقة وفقا للمعايير العالمية.

 

Figure-2: Smart card – ISO7816

والبطاقات الذكية تعتبر تكنولوجيا متقدمة في أنظمة الدفع الالكترونية حيث أنها سريعة ومرنة وأكثر أمناً حيث تشفر البيانات الموجودة لتمنع الاستخدام الغير مصرح به كما أنها تدعم وسائل مختلفة لعملية الـ Authentication  مثل

–  Online  Authentication
–  Offline Authentication  
–  Static Data Authentication  ( SDA )
–  Dynamic Data Authentication ( DDA )

والبطاقات الذكية تخضع أو تصدر وفقاَ للمعايير العالمية ISO7816  والتي تغطي جميع الجوانب الخاصة بالبطاقات الذكية سواء كان بالشكل والخصائص المادية أو طريقة ومراحل ومتطلبات تنفيذ العمليات باستخدامها أو بطرق التأمين والتشفير وإدارة المفاتيح المستخدمة في التشفير وإعادة التشفير .

3-1 أنواع البطاقات الذكية :

يمكن تصنيف البطاقات الذكية وفقاً لمجموعتين كالأتي :-
Group-1: Memory Cards and Microprocessor cards
Group-2 : Contact cards and Contactless cards

والمجموعة الأولي تعتمد علي الاختلاف في إمكانيات الكروت الفنية فبعضها Memory Cards  لا يوجد به وحدة ذاكرة وبالتالي لا يقوم بالعمليات الحسابية المعقدة فهو كارت رصيد ينتهي بمجرد نفاذ الرصيد مثال ذلك البطاقات  المستخدمة في مواقف السيارات أو ما تسمي Parking smart cards
أما النوع الأخر Microprocessor cards  فله وحدة ذاكرة ومعالج بيانات يقوم بالعمليات الحسابية المعقدة وبالتالي يمكن تغذية رصيد الكارت عند نفاذه مما يمكن من إعادة استخدام الكارت مرة أخري . والذاكرة الموجودة علي هذه البطاقة  لها عدة أشكال لكل شكل منها الاستخدام الخاص به كالأتي :-
– ROM (Read Only Memory )    يتم تخزين التعليمات بطريقة الحرق وكذلك يوجد عليها البيانات الأساسية وتطبيقات المستخدم والتي تكتب بطريقة تسمي Masking  .
– EEPROM ( Electronically Erasable Programming ROM )   ويتم فيها تخزين البيانات التي تحتاج إلي تعديلات أثناء التشغيل فهي تمثل الـ Hard Disk    .
ووفقاً للمعايير الدولية فإن EEPROM يلزم أن تدعم  عدد  100000 قراءة وكتابة أثناء عمر البطاقة  وبالمقارنة مع ROM  فإن القراءة تكون أسرع في حين تكون الكتابة أبطأ.
– RAM   وتقوم بدور    Work Area ويتم التعامل معها أثناء التشغيل وتفقد كل ما عليها من بيانات عند في حالة الـ Power off .
أما التصنيف الثاني للكروت الذكية Group-2 : Contact cards and Contactless cards فهو يتناولها من حيث طريقة التعامل معها من حيث قراءة بيانات البطاقةز
– Contact cards  وهذا النوع يتطلب إدخال البطاقة في قارئ البطاقات وتستخدم البطاقة ثمانية موصلات للتعامل معها من خلال إرسال الأوامر لها من Host software application  . أحد هذه الموصلات مسئول عن الـ  Power off/On     الشكل التالي – Figure-3 – يوضح الثماني موصلات .

 

Figure-3: Eight Contacts points

 

– Contactless cards
وهذا النوع لا يحتاج إلي إدخال البطاقة للقارئ ولكن تتم القراءة من علي بعد من خلال توجيه البطاقة إلي القارئ الذي يجب أن يدعم هذه الخاصية . ولهذا النوع من البطاقات ثلاث أشكال بناءً علي المسافة بين البطاقة والقارئ وطريقة توجيه البطاقة مقابل القارئ كما هو موضح في الجدول التالي :-

 

Table-1: Contactless cards type

Variant   degree

Distance Between card and the reader

Type

Less than 2° variance from vertical

Less than 1 mm distance from reader

Immediate Proximity

Specific orientation

Between 1 mm and 2 mm distance from reader

Close   Proximity

No Required orientation

Between 3 mm and 5 mm distance from reader

No required orientation

Remote Proximity

3 -2 خصائص البطاقات الذكية :

سوف يتناول البحث بعض خصائص البطاقات الذكية ومنها:
– سالبة (Passive ) حيث أنها تستمد الـ power   من القارئ كذلك هي تقوم بالرد علي الأوامر المرسلة لها ولكن لا يمكنها أن تصدر أوامر [10].
– تستخدم أسلوب Half-Duplex  في حركة البيانات بينها وبين القارئ.
– نقل البيانات بينها وبين القارئ يلزم أن يكون متوافقاً مع APDU protocol (Application Protocol Data Unit ) وهو البروتكول الذي يحدد شكل ومحتويات الأوامر المرسلة إلي البطاقة والرد عليها ويوضح الشكل التالي – Figure-4 –  والجدولين (2) (3) مكونات هذه ألأوامر:-

 

Figure-4:  Smart Card Communication Model

 
TABLE -2 C-APDU STRUCTURE

Mandatory Header

Optional body

CLA

INS

P1

P2

Lc

Data filed

Le

 
TABLE-3  R-APDU STRUCTURE

Optional body

Mandatory trailer

Data

SW1

SW2

– شكل البيانات  Format يجب أن يكون متوافقاً مع البروتوكول  TPDU ( Transmit  Protocol Data Unit )   وهو نوعان T=1  and T=0  والفارق بينهما   أن الأول ينقل البيانات في شكل  البايت أما الثاني فينقل البيانات في شكل بلوك .
– عند حدوث الأتصال بين البطاقة والقارئ ترسل البطاقة قيمة تسمي ATR ( Answer To Reset )  بحد أقص 33 بايت وتحتوي علي عدة قيم تحدد معلومات عن البطاقة مثل نوع البروتوكول – سرعة نقل البيانات – رقم السمارت و الـ Mask Version   وكذلك بعض البيانات التي تحتاجها الـ Host application  للتعامل مع البطاقة.

3-3 وسائل التأمين في السمارت كارد:

نظراً لأن البيانات يتم تداولها بين البطاقة والأبلكيشن من خلال القارئ لذلك فإن تصميم كلاًَ من البطاقة والقارئ يحتوي علي وسائل تأمين معقدة More sophisticated Security logic  ومنها Algorithms , Certificate Authority and keys
كذلك فإن وجود معالج بيانات ضمني بداخل السمارت يساعد علي توفير  حماية أكبر لنقل البيانات باستخدام
التشفير بالمفاتيح الموجودة علي البطاقة.
كذلك يتم إخفاء المفاتيح علي السمارت باستخدام الكتابة بالحرق Writing Fuses  وبالتالي لا يمكن إستنتاج
هذه المفاتيح.

4- مواصفات الـ  EMV :

الـ EMV  هي كلمه مكونه من الأحرف الأولي للمؤسسات المالية  Europay, MasterCard and VISA  ثم انضمت لهم الـ JCB   وهي مواصفات تشتمل علي القواعد والخصائص التي يجب توافرها في كل من البطاقة الذكية والأجهزة ( القارئ ) التي تتعامل مع البطاقة ،وتوضح كيفية التفاعل فيما بينهما بالنسبة للعمليات المالية . وتعتمد علي المواصفات الرئيسية للسمارت والمعروف بـ  ISO 7816 .
في عام 1998 تم تأسيس شركة لتقديم الدعم الفني والصيانة المطلوبة لهذه الموصفات بهدف توحيدها وتوحيد المتطلبات الفنية لتطبيقها مع وضع بعض التفاصيل الخاصة التي تميز كل مؤسسة عن غيرها من الثلاث مؤسسات . والجدول التالي يوضح اسم الـ EMV  الخاص بكل مؤسسه :

 

Table-3:  EMV application names

Financial Institution

EMV specification implementation

Visa

VSDC ( Visa Smart Debit & Credit )

Master card

MChip   (Master Cards Chip )

AMEX

AEIPS (American Express ICC Payment Specification )

JCB

J Smart

 

– والتوافق مع موصفات الـ EMV  يكون علي مستويين كالأتي :-
Level-1  for the Hardware and level-2 for Software  وبالنسبة للمستوي الأول فإن كل الأجهزة المصنعة حديثا سواء كانت ATM – POS – Readers  فإنه يشترط توافقها أما المستوي الثاني فهو اختياري في معظم المناطق وغير مطبق نهائياً في أمريكا . وتحاول المؤسسات الضغط علي البنوك والمتعاملين في البطاقات التوافق من خلال تحميل المسئولية  – في حالة حدوث كسر لوسائل التأمين وإساءة استخدام البطاقات –  علي الطرف الغير متوافق وهو ما يسمي Liability shift  [19].
– العمليات المالية التي تتم باستخدام هذه البطاقات أكثر تأميناَ ضد عمليات الاحتيال مقارنة بالبطاقات الممغنطة العادية والتي تستخدم البيانات المكودة علي الشريط المغناطيسي الموجود في الجانب الخلفي للبطاقة . ويرجع هذه التأمين العالي إلي أن هذه التكنولوجيا تستخدم وسائل تشفير عده لإخفاء بيانات البطاقة ومن هذه الوسائل DES, Triple-DES, RSA and SHA بالإضافة إلي وسائل التحقق التي تستخدم للتحقق من بيانات  البطاقة  وكذلك التأكد من بيانات  مصدر البطاقة.
– أحد أساليب التحقق المستخدمة في هذه التكنولوجيا تعرف بالـ  “Online Authentication “  وفيها يقوم الكارت بتخليق قيمة ديناميكية تختلف من عملية لآخري وتعتمد في تخلقها علي بيانات ترتبط بالعملية نفسها وكذلك بيانات من البطاقة تختلف من عملية لأخرى ثم تقوم بعملية التشفير باستخدام المفاتيح الموجودة علي البطاقة ، وذلك كله يؤدي إلي عدم إمكانية تقليد هذه القيمة وكذلك عدم إمكانية إعادة استخدامها في عمليات أخري وهذه القيمة تسمي  Aauthorization Request Cryptogram (ARQC ) .
– وبعد أن يتأكد مصدر البطاقة من صحة وسلامة الـ ARQC   يقوم بنفس الفكرة مصدر البطاقة بتخليق قيمة أخري تعرف باسم Authorization Response Cryptogram  (ARPC)  والتي ترسل إلي البطاقة للتأكد من صحة وسلامة  مصدر البطاقة.

4-1 مميزات بطاقات الـ EMV :

– صعوبة تقليد البطاقات الذكية .
– عند تحميل البطاقة بالبيانات ( Personalization ) يتم تحميلها بالمفاتيح الخاصة بمصدر البطاقة ويتم وضع هذه المفاتيح في أماكن مؤمنة.
– هذه المفاتيح تكون علي مستوي رقم البطاقة وتسمي UDK (Unique Derivation Key) وبالتالي في حالة كسرها يكون الخطر فقط علي مستوي البطاقة وليس علي مستوي كل البطاقات للمنتج.
– تدعم عدة طرق للتحقق والوثوقية مما يؤمنها كالأتي :

– Static Data Authentication (SDA), enable make sure no alteration of card data.
– Dynamic Data Authentication (DDA) , Protects against skimming
– Online Card / Issuer Authentication , both  Card and Issuer exchange cryptogram for mutual authentication  

5- التوقيع الإلكتروني :

يستخدم بواسطة الأفراد والجهات الذين يرغبون أن يرسلوا أوراق أو عقود لأخرين مما يستلزم توقيعهم عليها بحيث يتأكد المستلم من صحة هذه الأوراق وعدم التعديل فيها وكذلك التأكد من أنها أرسلت فعلاَ من المرسل الحقيقي .
ويعتمد التوقيع الإلكتروني علي فكرة التشفير باستخدام المفتاح الخاص والمفتاح العام Public/Private Key  أثناء نقل البيانات بين المرسل والمستقبل . ويوضح الشكل التالي مراحل التوقيع الإلكتروني  في حالة أن يريد شخص إرسال رسالة لأخر موقع عليها إلكترونياَ .

 

Figure-5  Electronic Signature

هناك بعض المتطلبات والعناصر لتنفيذ التوقيع الإلكتروني :
– جهة التوثيق Certificate Authority (CA) وهي الجهة التي تقوم بإدارة عملية تخليق وإرسال المفاتيح بين المرسل والمستقبل فهي تكون حلقة الوصل للتأكد من صحة كلا منهما.
– Public/Private Key technology
– Hashing Technology
– Host Security Module (HSM) to manage the key generation

6- الحل المقترح   Smart-Card solution:

كما ذكرنا من قبل فإن عملية الدفع باستخدام البطاقات رغم انتشارها  إلا أنه يحفها الكثير من المخاطر والتهديدات التي تتمثل في إمكانية سرقة بيانات البطاقات واستخدامها في تنفيذ عمليات غير حقيقية حيث أنة لا يتم التأكد من وجود البطاقة فعلياَ ، وبناء علي ذلك فإن الحل المقترح تجنب هذه المخاطر بطريقة بسيطة وغير مكلفة ولا تتطلب من العميل إجراءات معقدة .
وحني يتحقق ذلك فقد أعتمد الحل المقترح علي عدة أسس :
– ضرورة توافر البطاقة عند تنفيذ العملية .
– تجنب إدخال بيانات البطاقة يدوياَ علي صفحة الويب .
– استخدام البطاقات الذكية بدلاً من الممغنطة حيث أنه يصعب تزويرها .
– الاعتماد علي بيانات ديناميكية تختلف في كل عملية حني تمنع أو تتجنب استخدام نفس بيانات عملية  في أتمام عملية أخري ونستفيد من خاصية ARQC and ARPC  في إتمام ذلك.
ولتحيق ذلك فإن الحل يعتمد علي قراءة بيانات البطاقة باستخدام قاري البطاقات وتكوين بيانات العملية وإرسالها لمصدر البطاقة للتأكد من صحتها.
يوضح الشكل التالي مراحل العملية وفقاً للحل المقترح :

 

Figure-6:   E-commerce Follow  of Smart-Card solution

_ يختار العميل السعلة ثم يختار طريقة الدفع Smart-Card solution
– يطلب من العميل إدخال البطاقة في قارئ البطاقات المتصل بجهازة ( الأجهزه الحديثة مجهزة بذلك ) .
– يقوم قارئ البطاقات وفقاً للابلاكيشن الموجودة بقراءة بيانات البطاقة وتكوين الـ ARQC .
– يتم إرسال بيانات العملية إلي Acquirer  والذي يرسلها إلي منظمة الفيزا بفرض أن البطاقة من نوع  فيزا .
– يتم إرسال بيانات العملية إلي مصدر البطاقة .
– يتأكد مصدر البطاقة من صحة البيانات ويرد بالموافقة مع إرسال الـ ARPC .
– يتم التأكد من صحة الـ     ARPC .

6-1 متطلبات الحل المقترح :

لتنفيذ هذا لحل تم تحديد المتطلبات وتقسيمها إلي خمس عمليات رئيسية لكل عملية منها مجموعة من الأنشطة يلزم القيام بها لتنفيذ العملية وتم ترتيبها وفقا للشكل التالي:-

 

Figure-7:  Proposed solution’s requirements

وتم تصميم أبلاكيشن تقوم بتفيذ هذا الحل والتعامل مع قارئ البطاقات المتصل بجاهز العميل من خلال بيئة  الأنترنت أو ما يعرف  .Net  بحيث لا نحتاج إلي وجود أي برامج علي جهاز العميل سوي تعريف القارئ.

تم الأستعانة بمكتبة الـ MSDN  حيث أنها تحتوي علي مجموعة وظائف و API  تدعم الوظائف الرئيسية عند التعامل مع البطاقات الذكية مثل التعرف علي القارئ وتحديد نوعه – الأتصال بالبطاقة وهي وظائف عامة لا نحتاج إلي تكوينها من جديد.

تم استخدام لغة الـ  C#   بهدف تحويلها إلي ASP.NET Application  .

والشكل التالي يوضح كيفية عمل الأبلاكيشن والوظائف المستخدمة

 7- التوصيات :

هناك مجموعة من التوصيات أستخلصها الباحث كالأتي :
– يري الباحث أن هذا الحل مناسب لفكرة الحكومة الالكترونية والذي يعتمد علي إصدار بطاقة لكل مواطن واستخدامها لدفع قيمة الخدمات علي الأنترنت.
– ويقترح الباحث أن يتم أكشاك لتقديم الخدمة للمواطنين ودفع قيمتها ياستخدام البطاقة الذكية التي يجب توافرها مع العميل عند دفع القيمة وبالتالي لن يتم الأستفادة من بيانات البطاقة الموجودة لدي البائع في تنفيذ أي عمليات غير حقيقية حيث أن تنفيذ أي عملية أخري يستلزم وجود البطاقة .
وتنفيذ هذا الحل يحقق المزايا الأتية :
– تقليل تكلفة الخدمة مع زيادة عدد العمليات .
– يوفر حل تأميني مناسب للمواطن العادي الذي يصعب علية الألتزام بمتطلبات التأمين .
– يشارك في حل مشكلة البطالة.
– يساعد في عدم التكدس في أماكن الخدمات .
– يساعد في التحول إلي مجتمع اللانقود.