EMV金融交易风险评估新方法的研究

可在www.sciencedirect.com在线获取理论计算机科学电子笔记340（2018）137-150www.elsevier.com/locate/entcsEMV金融交易系统的风险评估方法Mohammed Alqahtani1和Aad van Moorsel2英国纽卡斯尔大学计算机学院摘要银 行 已 引 入 各 种 金 融 交 易 系 统 ， 以 管 理 本 地 和 国 际 账 户 之 间 的 资 金 转 移 。EMV （ 以 其 发 明 者 命 名 ）Europay、MasterCard和Visa）最广泛的金融交易系统。引入EMV的目的是消除诈骗 然而，EMV系统存在一些漏洞，它已经成功地抵御了一些攻击。 的目的本文旨在发展一套适用于EMV交易系统的风险评估方法。该方法的目的是通过分析、建模和评估EMV支付交易期间可能发生关键词：风险评估，风险管理，建模，EMV，金融交易系统。1介绍银行使用几个系统来管理、跟踪和结算支付和账户之间的资金转移。这些系统既在线又在线，从自动取款机网络到信用卡处理和簿记系统[4]。市场经济受益于金融交易系统，以方便国内和国际交易中不同当事人之间的货币兑换[15]。随着科技发展的加快，新的金融交易系统不断涌现。然而，金融交易系统存在不同的漏洞和漏洞，这增加了使用此类系统的风险金融交易系统需要满足一系列要求，如安全性、可接受性、可用性和成本，在这些方面，它们都有各种优点和缺点[16]。1电邮地址：newcastle.ac.uk2电子邮件：aad. newcastle.ac.ukhttps://doi.org/10.1016/j.entcs.2018.09.0101571-0661/© 2018作者。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。138M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137引入EMV是为了减少欺诈交易;然而，现实比假设更困难[3，8]。事实上，EMV还存在一些新的漏洞，并且已经注册了许多攻击[3]。这些攻击包括卡不存在，伪造，丢失和被盗卡，邮件无收据，支票欺诈，ID盗窃以及在线和电话银行攻击[3，8，21]。最终，客户是EMV交易中损失最大的利益相关者[2]。欺诈类型金额（百万英镑）病例数%远程采购（CNP）/其中电子商务432.3 /308.81,437,832百分之七十假冒36.9108,5976%丢失被盗96.3231,164百分之十六卡ID被盗4031,756占6%卡未收12.511,377百分之二总6181,820,726百分百英国418--国外诈骗200.1--总618.1--表12016年英国发行的信用卡的年度欺诈损失和案例分析所有文件 几百万 （数据来源：Financial Fraud Action UK（FFA UK））尽管金融交易系统存在漏洞，并且已经记录了一些攻击，但仍然必须就使用哪种支付系统做出风险管理决策，以减轻或忽略某些漏洞并保持可用性。本文是一个正在进行的研究项目的一部分，旨在通过建立一个适当的方法来模拟风险，从而为管理人员提供结果，以提高他们的决策，以开发金融交易系统的风险管理。该项目将把拟议的方法应用于三个案例研究，首先是EMV系统。本文提出了一种EMV系统的风险评估方法。所提出的方法将研究EMV交易过程并识别利益相关者。之后，将进行风险识别程序，以识别付款交易期间可能发生的潜在风险最后，我们将对EMV交易系统进行建模。论文的其余部分组织如下。第二部分介绍了风险评估和风险管理的背景，EMV系统和相关工作。第3节显示了拟议的方法。第四节是论文的总结。M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）1371392背景本节将分为三个小节。第一部分载列有关风险评估及风险管理程序的一般背景资料。第二部分将提供EMV系统的背景审查。第三部分介绍了金融交易系统风险评估及相关工作的背景调查。2.1风险评估和风险管理首先，这里有必要澄清风险一词的确切含义。出现了各种各样的风险定义，这些定义可能具有不同的焦点，例如结果的确定性或不确定性，发生某事的概率或其他风险要素，例如不确定性的子集[5]。根据ISO 31000，风险是不确定性对目标的影响[24]。ISO 31000对风险的定义侧重于事件发生的概率，而不是事件发生的可能性[24]。Haimes将风险情况定义为一个行动的潜在结果或后果可以用中等知名的概率分布来描述的情况[14]。然而，本研究检查了金融交易系统以及支付交易期间可能发生的攻击概率。此外，这项研究将审查谁对损失的钱负有责任，以回答谁应该赔偿的问题。因此，需要解决每次攻击的相关成本。在本研究中，风险被定义为支付交易过程中出现问题的可能性以及与此相关的成本。风险管理由一系列过程组成，从识别风险开始，到处理措施或计划结束风险评估是风险管理过程的一部分Haimes将风险评估过程定义为一组逻辑的、系统的和明确定义的活动，为决策者提供与某些自然现象或人为活动相关的风险的合理识别、测量、量化和评估[14]。根据Haimes[14]，风险评估和管理过程包括以下内容：风险评估过程：• 风险识别（什么可能出错？）。• 风险建模，量化（出问题的可能性有• 风险评估（后果是什么？）。风险管理过程：• 风险的接受和规避。• 风险管理此外，根据Hessami[17]，风险评估过程包括以下内容：（a）危害识别;（b）原因分析;（c）后果分析;(d)损失分析;（e）备选办法分析;（f）影响分析;（g）示范140M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137遵守。根据ISO 31000：2009[24]，风险评估过程是风险管理过程的一部分，包括以下过程：（a）风险识别;（b）风险分析;及（c）风险评估。本研究将采用[24]和[14]中的风险评估过程来评估和建模与金融交易系统相关的风险。拟议的方法将结合上述风险评估过程和第3节中提到的一些额外步骤2.2EMVEMV系统支持通过芯片进行磁条身份验证，由于它使用加密技术对交易进行身份验证，因此很难篡改。持卡人通过签名或PIN识别，PIN由芯片本地验证。在一些国家（如英国和加拿大），这被称为芯片和PIN，因为PIN验证用于大多数销售点交易，而在其他国家（如新加坡），签名验证仍用于验证客户身份[3，20]。EMV支付交易包括三个过程（图1），即卡认证，持卡人验证和交易授权。首先，卡认证是卡中的芯片向终端验证卡的真实性。接下来，持卡人验证向终端机保证客户输入的PIN码或签名与卡上嵌入的PIN码或签名匹配。最后，交易授权是发卡银行（发卡机构）参与交易批准的地方[21，20]。图1：EMV支付交易流程，即卡认证、持卡人验证和交易授权。根据英国金融欺诈行动（FFA UK）的数据，2016年，借记卡和信用卡的总支出为9040亿英镑，交易量为191亿笔。此外，2016年，我们花在卡上的钱的整体卡欺诈损失达到每100英镑 8.3便士[1]。M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）1371412.3金融交易系统风险评估方法本节将介绍金融交易系统风险评估方法的背景调查结果。这项调查旨在确定现有的EMV和其他金融交易系统的风险评估/建模研究。在EMV系统的风险评估方法方面，文献表明，没有论文提出了EMV系统的风险评估方法。然而，大多数关于EMV系统风险评估和风险建模的研究都是在以下三个领域之一进行的：测试EMV协议[13]，基于模型的测试以生成漏洞测试用例[22，11]或攻击[7]。此外，一些文件提出了对其他金融交易系统进行风险评估或建立模型的建议为了解决这些论文，我们将采用高层次的系统映射方法.它将调查目前使用的过程和方法。有各种科学数据库可供检索文献，如ACM Digital Library、IEEE Explore、Sci-enceDirect和Scopus。然而，在这一点上，搜索的重点是Scopus数据库。此外，选择术语作为论文检索的主要关键词，如表2所示对出版日期在2000年至2017年之间的文件以及所有文件类型（文章、书籍等）进行了检索。在获得这些结果之后，对所有论文进行了筛选，以选出具有明确的风险评估/建模过程或方法的相关论文，排除所有其他论文。有关文件要么介绍了一种方法，要么只是进行了风险评估、建模或分析。上述标准（关键词，时间范围限制和筛选步骤），以缩小我们的研究重点。应用上述检索标准后，结果显示有论文对单一金融交易系统进行风险评估/建模。有四篇关于移动支付系统的论文[22，11，7，10]，四篇关于在线支付和电子商务的论文[18，25，13，9]，两篇关于智能卡的论文[19，23]，一篇关于虚拟货币和加密货币的论文[27]。有些论文评估/模拟一般金融交易系统的风险，有些则针对金融交易系统的一个或多个方面比如说，[10]提出了对移动支付系统的风险评估，[18]讨论了在线支付对第三方的风险从方法论的角度来看，不同的方法被用来评估、模拟或分析几个金融交易系统的风险。大多数论文首先分析所讨论的金融交易系统的业务流程。例如，[25]对移动支付进行了风险评估，首先了解和分析移动支付系统，确定角色，并将这些角色与移动支付流程联系起来。此外，一些文件利用业务流程图来说明业务流程。例如，[9]使用了几个UML图来更好地理解智能卡支付。142M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137风险评估付款系统风险评估移动支付/ Mpayment信用卡分期风险评估智能卡网上银行风险评估在线支付风险评估比特币风险评估EMV风险评估区块链风险建模支付系统风险建模移动支付/ Mpayment信用卡风险建模智能卡网上银行业务风险建模在线支付风险建模比特币风险建模EMV风险建模区块链安全评估付款系统安全评估移动支付/移动支付安全评估信用卡安全评估智能卡安全评估网上银行安全评估在线支付安全评估比特币安全评估EMV安全评估区块链安全建模支付系统安全建模移动支付/M支付信用卡安全建模智能卡安全建模网上银行安全建模在线支付安全建模比特币安全建模EMV安全建模区块链表2检索论文时使用的关键字列表管理系统此外，[10]提出了一个移动支付系统的框架，该框架构建了一个交易流程模型来显示业务流程。此外，一些论文在其工作中涉及风险识别[19，10，23，27，17]。总之，文献清楚地表明，迄今为止，没有研究提出或模拟EMV系统的风险评估方法此外，大多数文章从分析所讨论的金融交易系统的业务流程开始，有些涉及业务流程的概念模型M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）1371433方法本文主要讨论EMV系统的安全性和风险。图2显示了本文件中为协助和模拟风险而采取的方法步骤。本文中采取的步骤调整了[24]和[14]中的风险评估过程。本文中提出的方法将包括[24]和[14]中的风险识别和风险评估步骤以及[14]中的风险建模步骤，并结合其他步骤。 尽管这两个参考文献对期限风险有不同的定义，但这两个参考文献的过程仍然适用，并且可以应用于任何系统。建议的风险评估方法将从研究EMV支付系统开始。我们将首先识别持份者并研究付款交易流程。在此之后，我们将建立一个概念模型来表示使用业务流程管理国家（BPMN）将每个流程链接到特定利益相关者的支付交易流程然后，将识别支付交易过程中可能发生的所有潜在风险。概念模型及已识别风险将使用绩效评估流程代数（PEPA）转换为可执行模型。最后，将通过应用风险表达来评估风险并将其与每个利益相关者联系起来图二：EMV交易系统3.1识别相关方拟议方法的第一步是确定利益相关者。利益相关者是风险评估和管理过程的关键要素迪埃杰伦特144M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137利益相关者参与支付交易期间的不同过程因此，此步骤将告知支付系统的业务流程以及谁应该支付的EMV支付系统涉及四个主要利益相关者：发行银行（持卡人银行），客户，商家和收单银行（商家银行）[12]。此外，为了覆盖交易中涉及的所有各方，我们将卡支付网络作为利益相关者[6]。此外，有两个实体在EMV支付交易中发挥着重要作用;它们是卡和POS（销售点）终端。图3：EMV支付交易系统的业务流程。M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）1371453.2BPMNBPMN（Business Process Model and Notation）是一个标准的业务流程建模符号。它是一种非常强大的建模语言，可用于对业务流程以及如何执行这些流程进行建模。BPMN的优势在于使用泳道，显示谁在执行每个过程。因此，BPMN将在我们提出的方法中发挥重要作用， 充分理解金融交易系统，并将每个流程与特定的利益相关者联系起来。图3显示了用于基于联系人的事务的EMV系统的BPMN。3.3风险识别根据[14]，风险识别是风险评估过程中的一个重要步骤。此外，这一步将检查失败的来源及其原因，并回答什么会出错的问题。.表3列出了已登记的攻击、已知漏洞和可能出错的元素。这些攻击将在未来添加到BPMN模型中，并随后添加到可执行模型中。可能出错的元素将在风险表达式中使用会出什么问题呢？漏洞攻击其账户记入其他客户交易记录身份验证方法卡不存在错误的人得到钱错误的人得到钱假冒非法付款EMV终端（与磁条卡兼容）读卡器和PIN键盘是独立的设备丢失和被盗未从卡交易中扣款的客户EMV终端（与磁条卡兼容）PIN垫更换为篡改的PIN垫邮件未收到过期的卡仍然有效用户界面支票欺诈跨境诈骗被盗卡身份证盗窃洗钱购买方式网上银行/电话银行表3在EMV支付交易中可能出错的潜在事情列表，已知漏洞 和记录在案的袭击146M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）1373.4风险建模、量化和测量管理风险的格言，必须衡量它为风险分析师指出了正确的方向，而建模则为风险评估的道路提供了指导[14]。建模的主要好处是，它将各种系统的流程整合到一个框架中，然后为利益相关者提供了一个有用的工具，以进行分析，评估结果并分享结果[26]。人们普遍认为，模型将有效地增强决策过程，管理人员将利用这些模型[26]。因此，支付系统的风险建模将有助于加强银行的决策过程。这一步将实现一个可执行的模型，以调查各种风险发生的可能性它还将确定概率，并对风险来源及其影响进行建模。• 工具有多种建模工具，选择合适的工具将在风险评估过程中发挥重要首先，绩效评估过程代数（PEPA）将在本文中使用• 解决在这个阶段，研究将集中在EMV基于接触的交易。连续时间马尔可夫链（CTMC）最初被选为建模方法。首先，EMV流程（卡认证、持卡人验证和交易授权）将以PEPA为模型，交易流程将取自BPMN。下一步是将攻击添加到模型中。攻击将被添加到可能发生攻击的流程中，如BPMN中所示。之后，建模结果将用于以下步骤。此时，我们开始对EMV事务流程进行建模，下面的代码显示了模型。支付=（startTransaction、paymentRate）。 卡认证;//卡认证过程卡认证=（request，rq）。AuthenticationMethod ; Authentication Method=（response，r s）.发送公钥;发送公钥 = （确认， rc）。Ca r d H o l d e r V e r i f i c a t i o n+（cancel，r j）.交易取消;//Cardholder Ve r i f i c a t i o n process持卡人验证=（v e r i f y 、rv）。ChipPIN+ （v e r i fy，rv）.芯片签名;ChipPIN=（回应 、俄.西 ）的。 在线验证+M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137147（回应、俄.西 ）的。 离线验证;0 n l i n e V e r i f i c a t i o n =（request，rq）.IssuerVerification;IssuerVerification =（response，r s）.如果我是你，离线验证=（请求 、rq）。Ca r d Ver i f i c a t i o n ; Ca r d Ver if i c a t i o n =（响应，r s）。V e r i f i c a t i o n;Chip Signature =（request，rq）. SignatureVerification =（response，rs）. V e r i fi c a t i o n;V e r i f i c a t i o n=（确认 、rc）。 交易授权+ （r e j e c t，rj）。TransactionRejected;//交易授权过程交易授权=（ 授权、RA）的。 在线授权+（a u tho r i s e 、ra）。 离线授权;OnlineAuthorisation =（request，rq）. Card Decisions ;CardDecisions =（response，r s）. SendARQC +（d e c l i n e，r j）。transactionDeclined ;SendARQC =（request，rq）. SendARPC;SendARPC=（批准，rap）。 交易批准+ （d e c l i ne，r j）。交易拒绝;Of f f l i n e A ut h or is a t i on =（request，rq）. CardDecisions1 ;CardDecisions1=（回应，r s）。在Lin n e Au thor i s a t i o n+（批准，说唱）。交易批准+（d e c l i n e 、r j）。 交易拒绝;transactionRejected =（r e j e c t，r j）. Payment ;TransactionCanceled =（cancel，r j）.付款;TransactionDeclined =（d e c l i n e，r j）。付款;transactionApproved =（approve，rap）. 支付;支付开始交易>卡认证<3.5风险评价风险评价是风险评价过程与风险管理之间的桥梁。在我们确定了什么可能出错以及148M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137这些事件发生的可能性之后，我们需要确定后果。此步骤的目的是评估建模结果并确定攻击的成本。这将有助于应用基于特定利益相关者的风险表述，M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137149责任。然而，这一步骤是现阶段未来工作的一部分3.6风险表述风险表达识别将基于特定的利益相关者，对于每个利益相关者，我们将列出事件X成本，例如，什么可能出错？vs.成本。不同的利益相关者会有不同的表达方式，但模式是相同的实际上什么会出错呢？是为了整个系统谁来买单是该特定涉众的手段风险表达。这一步骤的目的是将风险表达与风险评估过程的结果联系起来，以便我们知道可能出现的问题，谁来买单？多少钱？不过，这一步骤也是现阶段未来工作的图4：风险表达将链接到每个利益相关者，对于每个利益相关者，他们将列出风险和成本4结论本文是正在进行的研究的一部分，以实施将应用于不同金融交易系统的风险方法。在本文中，我们提出了EMV支付系统的风险评估方法。我们采用高层次的系统性检讨，以检视金融交易系统的现有风险评估方法。我们已经开始了风险评估程序，150M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137希望在今后工作中完成。所提出的方法的许多不同步骤已留待将来进行。作为本文的后续工作，我们将把这些攻击添加到概念模型BPMN中。之后，我们将使用BPMN模型在PEPA中实现一个可执行模型，以对支付交易流程和潜在攻击进行建模。接下来，我们将更新这两种模式，以包括非接触式在线支付。然后，风险评估步骤将使用型号并确定后果。最后，我们将应用风险表达，这是我们提出的方法的最后一步引用[1] 诈骗真相2016可在以下网址在线获取：https://www.financialfraudaction.org.uk/fraudfacts17/[2017年6月8日]。[2] 安德森河，M. Bond和S. J. Murdoch，Chip and Spin，Computer Security Journal22（2006），pp. 1比6[3]安德森河，巴西-地和S.J. EmvMurdoch：Why Payment Systems Fail，Communications of the ACM57（2014），pp. 24比28[4] 安德森河，巴西-地J.，“Security engineering: a guide to building dependable distributed systems,”John Wiley[5] Bessis，J.，[6] 布莱克威尔角，使用欺诈树来分析互联网信用卡欺诈，在：IFIP数字取证国际会议，施普林格，2014年，pp。十七比二十九[7] 邦德，M.，M. O. Chouvet，S. J. Murdoch，S. Skorobogatov和R. Anderson，Be Prepared：The EMVPreplay Attack，IEEE Security Privacy13（2015），pp.56比64[8] 邦德，M.，O. Chouvet，S. J. Murdoch，S. Skorobogatov和R. Anderson，Chip and skim：cloningemv cards with the pre-play attack， in： Security and Privacy（ SP） ， 2014 IEEE Symposiumon，IEEE，2014，pp.49比64[9] Bushager ， A. 和 M.Zwolinski ， Modeling smart card security protocols in systemc tlm ， in ：Embedded and Ubiquitous Computing （ EUC ） ， 2010 IEEE/IFIP 8th International Conferenceon，IEEE，2010，pp.637-643[10] 克拉克河移动支付的风险评估框架，BLED 2008 Proceedings（2008），p.40岁。[11] 小德阿尔梅达河 一、 使用emv标准的b模型进行基于模型的测试（2012）。[12] Drimer，S.，S. J. Murdoch等人，保持你的敌人接近：距离反弹对中继攻击. ，312，2007.[13] 埃姆斯，M.，L. Freitas和A. van Moorsel，“一个仿真器的严格设计和实现 EMV非接触式支付，[14] Haimes，Y.是的，“Risk modeling, assessment, and management,” John Wiley[15] Hancock，D.和D.B. Humphrey，Payment transactions，instruments，and systems：A survey，Journal of Banking Finance21（1997）.1573-1624年。[16] 哈文加山口J.，G. J. Smit和A.Helme，[17] Hessami，A.，A systems framework for strategic approach to risk in e-business，InternationalJournal of Information Science and Management，Special（2010）.[18] 老挝湾和S.江，基于pest模型的第三方网上支付风险分析，载：管理与服务科学，2009年。马萨诸塞州09年。 国际会议，IEEE，2009年，pp。1比5。[19] Madlmayr，G.，J. Langer，C. Kantner，J. Scharinger和我。Schaumuller-Bichl，《近场通信》，2009年，NFC生态系统中空中交易的风险分析。NFC'09。第一届国际研讨会，IEEE，2009，pp。87比92M. Alqahtani，A.van Moorsel/Electronic Notes in Theoretical Computer Science 340（2018）137151[20] Murdoch， S.J. 和R.Anderson ， Security protocols and evidence ：Where many payment systemsfail ， in ： International Conference on Financial Cryptography and Data Security ， Springer ，2014，pp.21比32[21] Ogundele，O.，P. Zavarsky，R. Ruhl和D. Lindskog，销售点交易的完整emv协议的实施及其对销售点交易的影响，在：隐私，安全，风险和信任（PASSAT），2012年国际会议和2012年国际社会计算会议（SocialCom），IEEE，2012，pp.797-806[22] Ouerdi，N.，M. Azizi，J.- L. Lanet，A. Azizi和M. Ziane，Emv卡：基于sysml模型，IERI Procedia4（2013），pp.133-138[23] 彼得斯湾，澳-地W.，A. Chapelle和E. Panayi，关于虚拟货币的银行业风险暴露和脆弱性的公开讨论：操作风险视角，银行监管杂志17（2016），第17页。239-272.[24] 珀迪，G.， ISO 31000：2009为风险管理制定新标准，风险分析30（2010），pp. 881-886[25] Runtong，Z.例如，移动支付安全的风险评估管理，2，IEEE，2008年，pp. 1966-1970.[26] Sawah，S.和A. Rizzoli，《综合环境评估和管理的六种建模方法中的选择》。[27] 乌玛，K.，K. Mutijarsa和W. Adijarto，使用nist sp 800-160的angkot电子支付系统的，在：信息技术系统和创新（ICITSI），2016年国际会议，IEEE，2016年，pp.1-6.