央行数字货币离线支付的实现逻辑

国际清算银行(BIS)创新中心北欧中心发布的《北极星计划:央行数字货币离线支付手册》讨论了央行数字货币(CBDC)如何用于离线支付的关键方面，包括安全性、隐私性、可能的风险、解决方案、适用性和操作因素，为央行实现CBDC离线支付提供了指导。

随着央行数字货币的发展，CBDC线下支付越来越受到关注。作为北极星项目的一部分，国际清算银行创新中心北欧中心和Consult Hyperion共同开展了CBDC线下支付的研究工作，为央行实现CBDC线下支付提供指导。

一、CBDC线下支付概述

CBDC离线支付是指在没有互联网连接的情况下使用CBDC，无论是暂时没有互联网还是由于覆盖范围的限制。实现线下功能，需要考虑技术、安全、运营等诸多因素，尽早进行规划设计。

离线支付定义为不连接任何账本系统的设备之间的价值转移。结算是履行财务义务。在离线支付的背景下，它是指付款人和收款人之间的资金转移。使用CBDC提供离线支付是许多央行的重要要求，但其实现非常复杂，涉及许多技术、安全和操作方面的考虑。这些考虑因素将对与政策、生态系统角色和责任、设计、架构、安全性、持续运营、变更管理和风险管理相关的决策产生影响。

为此，国际清算银行创新中心对部分央行进行了调查。

(一)CBDC进行线下支付的动机

调查显示，各国央行推动CBDC线下支付的主要原因是金融包容性、稳健性和现金相似性，其次是通信基础设施可靠性、隐私性、交易成本、可扩展性、普及性、应急能力、增强信任和减少干预等因素。

一、线下支付功能的意义。调查显示，49%的央行认为CBDC的线下支付功能非常重要，尤其是在数字支付服务不发达的国家，线下支付被认为是必不可少的。此外，49%的受访者认为这是有益的。

第二，线下支付有多重目标。40%的受访者认为，普惠性应该是目标之一，只要技术上可行，就可以支持CBDC的线下支付功能。40%的受访者认为，以现金相似性为目标之一，CBDC应该拥有类似现金的用户体验和功能。也有33%的受访者认为灵活性应该是目标之一，应该应用于停电、离网等各种网络问题。

(二)线下支付的主要探索

在互联网或智能手机普及之前，离线支付系统就已经存在。尽管基础设施可能已经改变，但许多相同的问题仍然存在。以下总结了历史上支付系统的各种例子，无论是离线还是其他相关。更详细地讨论这些系统。

在过去三十年中，已经部署了一系列离线支付解决方案:

？电子钱包系统(1 1990s)，例如Digicash 10(已命名的数字硬币)、Mondex 1(支持自动恢复丢失值的离线结算值)和Proton/dancoin/chipnip/isacash(离线分期和记账钱包)。在1990年代。芬兰银行的Avant声称是世界上第一个CBDC，基于智能卡解决方案(可充值和不可充值)。

？EMV离线(since 1990s): EMV离线是用支付卡进行离线交易的能力，它有重要的用途，使人们即使没有网络连接也能进行交易。事实上，世界各地仍然有一些EMV Offlineo，他们的综合处理能力表明了可以采取的措施，以实现安全和灵活的离线处理。这些可以与今天的分阶段离线解决方案相媲美，这些解决方案支持离线交易作为在线支付的备份，但要求收款人在线清算和结算价值，然后才能用于进一步的支出。

公共交通中的离线非接触式支付(自2000年代以来):自20 12伦敦(TfL)交通局以来，非接触式EMV解决方案已在世界各地的公共交通系统中使用，展示了结合离线和在线功能的强大功能。初始检验可以快速离线运行，进一步的处理可以在线进行。第一，选择离线功能，不作为备份方案，因为可以支持快速、可扩展、大容量的处理。

M-PESA(自2000年以来):虽然不是严格意义上的离线，但M-PESA 14展示了移动货币如何在有限的可用带宽下非常有效。它仍然是一个非常成功的支付系统，已经扩展到坦桑尼亚、莫桑比克、刚果民主共和国、莱索托、加纳和埃及，并催生了一系列类似的系统。它清楚地表明了包容性和根据当地条件和服务使用者的需求定制服务的重要性，从而提供了关于可用性的重要经验。

？TAP(2000): TAP演示了如何使用网格系统将多个离线设备与中央系统同步。虽然试点是成功的，但它的失败表明需要一个可持续的商业模式。

？QS parc(2016):RuPay芯片的快速支付应用规范(gSPARC)是基于印度交通系统中的离线支付，其概念是通过RuPay卡上的设备钱包，通过间歇在线机制进行即时支付。利用EMV的概念，它可以在同一张卡上的多个设备上创建钱包进行离线支付，以便与多个闭环流量运营商一起使用，或者创建一个通用的钱包，用于向互操作的流量运营商进行离线支付。

这些开创性的离线数字支付方式反映了如今仍在使用的离线支付方式的多样性。试图过于严密地复制实物现金可能会导致流程过于严格。也许这些早期系统最重要的教训是，需要一个健全的商业模式和丰富经验的重要性。

这些历史案例为使用CBDC实现离线支付提供了一些经验:

？安全性:防篡改钱包和加密协议允许设备验证其身份并安全地交换支付指令，这是一个持续的要求。

？风险:重复支出和伪造价值是长期存在的问题。非常重要的一点是，要检测到价值在运输途中丢失，需要恢复或以其他方式解释(或假设价值永远丢失)的情况。

？操作流程:支付流程的主密钥需要妥善保管。现在，移动计算设备的可用性意味着可以在用户手中提供支付应用。这提出了历史离线支付解决方案没有面临的新挑战。

？用户体验:当部署这些解决方案中的大多数时，使用户体验优于现金替代方案的能力是有限的。例如，非接触式解决方案尚未部署，智能手机尚未发明。近年来，PIX(一种基于智能手机的即时支付解决方案)在巴西的成功采用凸显了广泛的经验在采用新支付方式中的重要性。

？商业模式:历史上很多线下支付解决方案都是试图提供一种商业模式，解决吸引付款人(主要是个人)和收款人(主要是商户)的问题，产生足够的价值，得到中介的支持。这可能是引入CBDC线下支付时的一个重要考虑因素。

总的来说，技术挑战和解决方案仍然是相似的。这些经验、教训和解决方案仍然值得CBDC线下支付借鉴。

二、CBDC线下支付解决方案

(1)类型的离线支付方案

提供离线支付功能的解决方案可分为以下几类:

？完全离线:付款人和收款人无需连接总账系统即可完成支付，任何交换的价值都将立即转移到收款人，以便他们在价值转移结束时(最终结算发生在离线状态下)进行消费。付款人和收款人都可以完全离线，没有时间限制。

断断续续离线；就像完全离线一样，付款人和收款人不需要连接到总账系统来完成支付，任何交换的价值都会立即转移到收款人，以便他们可以在价值转移结束时进行消费(最终的结算将在离线状态下进行)。但离线风险参数可能会在某些时候限制钱包的交易能力，钱包可能要间歇性地与中央系统同步才能继续运行。

？离线阶段:付款人和收款人可以在不连接到分类帐系统的情况下交换价值，但交换的价值不会在收款人处结算，直到收款人连接到分类帐系统(最终结算在线进行)。直到在线结算的第二阶段发生时，才能使用转移给收款人的金额。

(二)线下支付解决方案的基本框架

离线支付解决方案包括防篡改用户设备、核心组件、远程组件和价值转移机制四个模块。主要工作原理如下:

CBDC离线支付解决方案的基本框架

(三)离线支付解决方案模块的具体结构

1。防篡改用户设备

保护钱包中的数据存储容量对于离线支付解决方案非常重要。任何解决方案都必须加强用户设备的防篡改能力，以防止物理和网络攻击。防篡改解决方案主要基于硬件和软件。

首先是硬件方面。首先是防篡改芯片，如EMV分行【aeternity and Ethereum】支付卡中常用的芯片，也称为“安全组件”，将应用和数据加载到安全组件中，通过高级别的安全认证，提供防篡改的用户特征。其次是可靠的执行环境。可靠执行环境(TEE)是智能手机硬件的一部分，它支持移动设备上的应用程序安全地执行代码、处理和存储数据。无法查看或修改设备上运行的其他进程或软件应用程序，从而增强了移动设备的安全性。

第二是软件。与基于硬件的解决方案不同，它们不需要特殊的组件来执行应用程序，并使用软件技术来保护静态或处理密钥和数据。与安全组件和可信执行环境相比，软件解决方案通常提供较低水平的防篡改能力。

2.核心组件

核心组件主要包括新用户注册、配置和生命周期管理、线上线下台账、线下风险管理等。

(1)新用户注册管理。离线支付解决方案所需的隐私类型和级别与在线支付不同，需要考虑用户注册标准和授权计划。例如，如果允许不良行为者注册，可能会出现欺诈，因为线下支付无法监控交易。

(2)配置和生命周期管理。包括用户安全配置、加密密钥生成、配置更新和配置取消，这些配置涵盖了资金交易的全过程，应该具有较高等级的安全标准。

安全配置过程。基于硬件的用户设备需要用其钱包配置加密密钥等机密信息，安全配置过程必须在严格的物理和信息安全规则下在安全设施中运行，以确保数据和加密密钥的安全。

加密密钥生成。加密密钥的生成过程非常重要，因为这些密钥可以保证值传输协议和值形式的安全性。加密密钥可以在安全处理设施中生成并配置到钱包中，或者直接在钱包中生成。

(3)生命周期管理。当用户设备刷新、丢失或损坏时，如何从旧钱包中找回已有的离线值并重新加载到新钱包中，是重新配置钱包时需要考虑的问题。

(4)线上线下账户管理。首先，当完全离线时，在线分类帐可以提供离线CBDC支付所需的一些特性和功能。例如，联机分类帐可以支持单独的联机和脱机余额，而无需设置脱机分类帐。第二，分阶段、间歇性离线时，需要建立离线台账，记录和核对离线钱包内的价值【所有数字货币交易】。离线分类帐提供离线钱包的当前已知状态，而不是实时或实际状态。设备上线时，交易后的某个时点会更新账本。

(5)线下风险管理。风险管理是离线支付解决方案的重要组成部分。大多数离线解决方案都包含特定的风险管理组件，这些组件主要具有以下功能:

线下风险管理参数主要限制余额、交易金额、速度、交易量。它可以在用户的设备和钱包中执行。在间歇性或阶段性离线解决方案的情况下，当离线钱包在线连接到账本时，或者当它与连接的设备(如POS终端)进行支付时，也可以通过中央风险管理系统进行更新或推送。

交易历史管理。从钱包中检索交易历史信息可以是特定设备的交易级别或交易链的历史，以便风险管理系统可以检测异常或潜在的金融犯罪。

限制加密密钥的寿命或使用。出于风险管理的目的，钱包可能会限制特定加密密钥的使用次数或使用期限。在基于软件的钱包中，通常需要定期刷新密钥和相关证书才能完成交易操作。

风险列表管理。风险管理组件可以检测到该问题，并且当伪造的CBDC值被注入到系统的受损设备中时，风险管理系统将启动预防或隔离措施。

3.远程组件

远程组件主要包括钱包、价值转移协议、价值表单、在线更新、交易对手钱包等。

(1)钱包。安装在用户设备上实现离线支付功能的软件。钱包应用软件运行在防篡改用户设备中，主要功能有:管理安全资金转移协议，为其他用户设备上的其他钱包进行安全离线支付；提供与其他钱包相互验证的方法；支持用于实现资金交易转移协议的价值转移机制等。以上功能并不都是必须的，但却是评价解决方案的重要依据。

(2)价值转移协议。用于在一个用户设备和另一个用户设备之间传输支付指令的装置。目前，该解决方案主要使用某种形式的公钥加密，允许用户设备和钱包相互认证、交换密钥并发送可在接收设备上验证的签名消息。

(3)在线更新。离线解决方案需要在某个时间连接在线，以接收风险管理[以太坊钱包地址]或设备更新，例如更改钱包中的特定阈值等风险参数，更新密钥，以及阻止或限制不使用最新软件的设备更新。

4.价值转移机制

基于通信介质或寻址机制，设备之间的通信技术，如近场通信(NFC)，是允许设备进行交互的常用方法，是两个钱包之间转移价值形式的一种方式。

三、其他需要注意的问题

考虑到线下支付的特殊性，CBDC生态系统规划之初就要考虑以下几个方面——风险管理、隐私性、包容性和健壮性。本文着重探讨线下支付面临的风险及可能的对策。

由于离线支付更容易受到攻击和影响，风险管理对于提供离线支付的CBDC系统尤为重要。线下支付面临的风险主要包括以下几个方面:一是技术故障中断实体业务或运营的技术风险；二是内部流程、人员和系统缺陷或故障或外部事件导致的操作风险；三是未能满足其利益相关者的期望，受到负面事件影响而产生的声誉风险。

具体来说，风险管理方案主要体现在以下几个方面。

1。技术风险管理

一种是通过设备管理。用户设备提供的防篡改程度(由安全元素、可信执行环境(TEE)或安全软件提供)以及保护钱包和用户设备价值的加密安全性非常重要。具有高抗篡改性的用户设备可以用于任何类型的解决方案，而具有低抗篡改性的用户设备只能用于间歇性离线解决方案和分阶段离线解决方案。

第二种是通过加密协议进行管理。在价值转移过程中保护价值形式的加密算法应由具有相应资质的专家进行审查和认证。算法应防止重放攻击(重复传递相同的值形式)；修改(修改数值形式)；以及重定向(将实值形式发送到与最初预期不同的钱包)。

第三是通过内置的防御措施。应该对基于硬件的用户设备进行侧信道攻击认证，并且还应该针对这些措施对基于软件的钱包进行专门测试。应该有内置的防御措施，减少侧信道信息的泄露或用虚假操作掩盖，生成与正常操作无法区分的信息，从而降低侧信道攻击成功的可能性。

四是通过加密技术升级。离线支付解决方案必须包括允许在需要时随时改变加密密钥和算法的机制。无论CBDC系统是在线还是离线，都必须通过技术部署和操作流程快速加密。

此外，操作风险管理需要采取措施应对主加密密钥泄露、第三方设备泄露、重复支付指令、欺诈和缺乏实时交易监控等风险。

2.运营风险管理

如果使用来自多个供应商的组件，操作支付系统可能会带来重大风险。例如，不同供应商开发的线上和线下支付解决方案的集成，或者总账系统与风险管理或其他组件的集成，都可能带来操作风险。解决方案:首先，需要与提供操作系统的供应商协商明确的服务水平协议(SLA)，以确保达到恢复时间目标(RTO)。第二，要确保所使用的第三方组件具有完全的透明性和明确的责任划分。第三，应对系统进行压力测试，以确保它们能够承受各种故障情况。比如整个运营站点离线，网络攻击。第四，离线支付系统应提供风险监控和管理服务，以检测和应对攻击。第五，系统的设计和测试应满足中央银行的性能和可用性要求。第六，应在与供应商的合同义务中明确供应商停止支持某些国家的支付系统的可能性。

3.声誉风险管理

一些破坏支付系统声誉的做法是为了潜在的经济利益，而另一些做法可能对财务利益不太感兴趣，而是更注重损害一国CBDC系统和央行的信心和信任，从而影响该国经济的声誉。在声誉风险的背景下，如果线下CBDC系统受到攻击，快速检测并做出反应很重要，因此对线下支付系统的需求监控更为重要。

四。结论和建议

CBDC的离线支付是实施CBDC系统的一个复杂部分，应在前期进行规划和设计。离线支付的原因和适用性因国家而异，但它们都应得到包容性、隐私性、稳健性和风险管理等明确目标的支持。不同的国家/地区面临不同的风险，拥有不同的基础设施，使用不同的解决方案。

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=67066