国际清算银行（BIS）创新中心北欧中心发布的《北极星项目：中央银行数字货币离线支付手册》，探讨了中央银行数字货币（CBDC）如何用于离线支付的关键方面，包括安全、隐私、可能的风险、解决的方案、以及适用性和运营因素等，为中央银行实现CBDC离线支付提供了指引。

随着中央银行数字货币的发展，CBDC离线支付吸引了越来越多的关注。作为北极星项目（Project Polaris）的一部分，BIS创新中心北欧中心与Consult Hyperion联合开展了CBDC离线支付的研究工作，为中央银行实现CBDC离线支付提供指引。

一、CBDC离线支付概述

CBDC离线支付是指在不连接互联网情况下使用CBDC，无论是暂时没有互联网还是由于覆盖范围的限制。实现离线功能需要考虑技术、安全和运营等多方面因素，要尽可能早的进行规划和设计。

离线支付被定义为设备之间无需连接任何账本系统即可发生的价值转移，结算是一种财务义务的履行，在离线支付的背景下，是指付款人和收款人之间的资金转移。使用CBDC提供线下支付是许多中央银行的重要要求,但其实施很复杂,涉及许多技术、安全和操作考虑因素。这些考虑因素又会对与政策、生态系统角色和责任、设计、架构、安全、持续运营、变更管理和风险管理相关的决策产生影响。

为此，国际清算银行创新中心对部分中央银行进行了调查。

（一）CBDC用于离线支付的动机

调查显示，各国央行推动CBDC离线支付主要原因有金融包容性、稳健性和现金相似性，其次还考虑到通信基础设施可靠性、隐私、交易成本、可扩展性、普及度、应急能力、提升信任度、减少干预等因素。

一是离线支付功能的重要意义。调查显示，49%的中央银行认为CBDC离线支付功能至关重要，尤其在数字支付服务欠发达的国家，离线支付被认为是必不可少的。另外还有49%的被访者认为它是有利的。

二是离线支付具有多重目标。40%的被访者认为应将包容性作为目标之一，只要技术上可行，就可以支持CBDC离线支付功能。40%的被访者认为将现金相似性作为目标之一，CBDC应具备与现金类似的用户体验和功能。还有33%的被访者认为应将弹性作为目标之一，应适用于停电、脱网等各种网络问题。

（二）离线支付的主要探索

离线支付系统在互联网或智能手机普及之前就已经存在。尽管基础设施可能发生了变化,但许多相同的问题仍然存在。下面总结了历史上支付系统的各种示例,无论是具体离线的还是其他相关的。对这些系统进行了更详细的讨论。

在过去的三十年里，已经部署了一系列的线下支付解决方案：

•电子钱包系统（1990年代）例如,Digicash10（计价数字硬币）Mondex11（支持自动丢失价值恢复的末记账离线价值)和Proton/Dancoin/Chipknip/isa Cash（离线上演、记账钱包)12均在20世纪90年代开发。20世纪90年代。芬兰银行的Avant声称是世界上第一个CBDC,基于智能卡解决方案（可重新加载和不可重新加载）。

•EMV Offline（20世纪90年代起）：EMV Offline是使用支付卡进行离线交易的能力，具有重要的用途，使人们即使在没有网络连接的情况下也可以进行交易。事实上,世界各地仍然存在一些EMV Offlineo其综合处理能力展示了可以采取的措施来实现安全和弹性的离线处理。这些与当今的分阶段离线解决方案相当,后者支持离线交易作为在线支付的后备，但要求收款人在可用于进一步支出之前先在线清算和结算价值。

公共交通中的离线非接触式支付（2000年代起）：从2012年伦敦交通局(TfL）开始，世界各地的公共交通系统都使用了非接触式EMV解決方案，展示了结合离线和在线功能的强大功能。初步检查可以在离线状态下快速运行,进一步处理则在线进行。首先选择离线功能,而不是作为后备方案,因为它可以支持快速、可扩展、大容量的处理。

M-PESA(2000年代起）：虽然不是严格离线,但M-PESA14展示了移动货币如何在可用带宽有限的情况下非常有效。它仍然是一个非常成功的支付系统,己扩展到坦桑尼亚、莫桑比克、刚果民主共和国、莱索托、加纳和埃及,并催生了一系列类似的系统。它清楚地表明了包容性和根据当地情况以及使用该服务的人们的需求定制服务的重要性，因此提供了关于可用性的重要教训。

•TAP(2000年代）：TAP演示了如何使用网状系统将多个离线设备与中央系统同步。尽管试点取得了成功，但它的失败表明了对可持续商业模式的需求。

•QSPARC(2016)：RuPay芯片支付应用快速规范(gSPARC)规范基于印度交通系统中的离线支付,其概念是通过RuPay卡上的设备钱包立即支付,并通过间歇在线机制。它使用EMV概念,可以在同一张卡上创建多个设备上的钱包，用于离线支付，以便与多个闭环交通运营商一起使用，或者创建一个通用钱包，用于向可互操作的交通运营商进行离线支付。

这些开创性的线下数宇支付方式反映了当今仍在使用的线下支付方式的多样性。尝试过于紧密地复制实物现金可能会导致流程过于严格。也许这些早期系统最重要的教训是需要健全的商业模式和用广体验的重要性。

这些历史例子为使用CBDC实施线下支付提供了一些经验教训：

•安全性：防篡改钱包和加密协议允许设备相互验证自身身份并安全地交换支付指令是持久的要求。

•风险:双重支出和伪造价值是持续存在的问题。检测价值在运输过程中丢失并需要恢复或以其他方式说明的情况非常重要(或者假设价值永远丢失）。

•操作流程：保护支付流程的主密钥需要保持安全。现在移动计算设备的可用性意味着可以在用户手中提供支付应用程序。这提出了历史线下支付解决方案没有面临的新挑战。

•用户体验：在部署大多数这些解决方案时，使用户体验优于现金替代方案的能力有限例如,非接触式解决方案尚末部署，智能手机尚末发明。近年来,基于智能手机的即时支付解决方案PIX在巴西的成功采用凸显了用广体验对于采用新支付方式的重要性。

•商业模式：许多历史上的线下支付解决方案都在努力提供一种商业模式来解决吸引付款人（主要是个人)和收款人（主要是商家)的问题,并产生足够的价值以值得中介机构为其提供支持。在引入CBDC离线支付时,这可能是一个重要的考虑因素。

总体而言，技术挑战和解決方案仍然相似。这经验教训和解决方案的思路依然值得CBDC离线支付借鉴。

二、CBDC离线支付解决方案

（一）离线支付方案类型

提供离线支付功能的解决方案可分为以下几类：

•完全离线：付款人和收款人不需要连接到账本系统即可完成支付，任何交换的价值都会立即转移给收款人，以便他们可以在价值转移结束时进行支出（最终结算发生）离线）。付款人和收款人都可以完全离线，不受时间限制。

间歇性离线;与完全离线一样，付款人和收款人不需要连接到账本系统来完成支付,任何交换的价值都会立即转移给收款人，以便他们可以在价值转移结束时进行支出（最终结算离线进行）。然而,离线风险参数可能在某些时候限制钱包的交易能力,并且钱包可能必须间歇性地与中央系统同步才能继续运行。

•离线阶段：付款人和收款人不需要连接到分类账系统即可交换价值,但交换的价值直到收款人连接到分类账系统后才会在收款人处结算（最终结算发生在网上）。在在线结算的第二阶段发生之前，转移给收款人的金额无法使用。

（二）离线支付解决方案基本框架

离线支付解决方案包括防篡改用户设备、核心组件、远程组件以及价值转移机制四大模块，主要运行原理如下：

CBDC离线支付解决方案的基本框架

（三）离线支付解决方案模块具体构成

1.防篡改用户设备

保护钱包中的数据存储能力对于离线支付解决方案至关重要。任何解决方案都必须加强用户设备的防篡改性，以防止物理和网络攻击。防篡改的解决方案主要基于硬件和软件两个方面。

一是硬件方面。首先是防篡改芯片，例如EMV支付卡中常用的芯片，也被称为“安全元件”，将应用程序和数据加载到安全元件，经过高级别安全认证，提供防篡改用户特性。其次是可靠的执行环境，可靠的执行环境（TEE）是智能手机硬件的一部分，支持移动设备上的应用程序安全地执行代码以及处理和存储数据，设备上运行的其他进程或软件应用程序无法查看或修改，增强移动设备的安全性。

二是软件方面。与基于硬件的解决方案不同，不需要专门的组件来执行其应用程序，利用软件技术保护静态或正在处理的密钥和数据，软件解决方案通常提供比安全元件和可信执行环境更低的防篡改级别。

2.核心组件

核心组件主要包括新用户注册、配置和生命周期管理、在线离线分类账、离线风险管理等方面。

（1）新用户注册管理。离线支付解决方案所需的隐私类型和级别要求与在线支付有所不同，需要考虑用户注册标准及授权计划等。例如，如果允许不良行为者注册，因离线支付无法监控交易则可能产生欺诈行为。

（2）配置和生命周期管理。包括用户安全配置、加密密钥生成、配置更新和配置取消，这些配置涵盖资金交易的全流程，应具备较高级别的安全标准。

安全配置流程。基于硬件的用户设备需要与其钱包一起配置加密密钥等机密信息，安全配置流程必须在严格的物理和信息安全规则下的安全设施中运行，确保数据和加密密钥安全。

加密密钥生成。加密密钥生成过程至关重要，因为这些密钥可确保价值传输协议和价值形式的安全性。加密密钥可以在安全的处理设施中生成并配置到钱包中，也可以直接在钱包中生成。

（3）生命周期管理。用户设备刷新、丢失或损坏时，重新配置钱包应考虑如何从旧钱包中检索现有的离线价值并将其重新加载到新钱包中。

（4）在线和离线账管理。一是完全离线时，可以通过在线分类账提供离线CBDC支付所需的一些特性和功能，例如在线账本可以支持单独的在线和离线余额，不需设置离线分类账。二是分阶段离线和间歇性离线时，需要设置离线分类账来记录和核对离线钱包中的价值。离线分类账提供了离线钱包当前已知状态，不是实时或实际状态，当设备上线时，账本会在交易发生后的某个时间点更新。

（5）离线风险管理。风险管理是线下支付解决方案的重要组成部分。大多数离线解决方案都包括用于风险管理的特定组件，主要有以下功能：

离线风险管理参数，主要是对余额、交易金额、速度和交易量的限制。可以在用户设备和钱包中执行，在间歇性或分阶段离线解决方案的情况下，也可以在离线钱包上线连接到分类账时，或者在与连接的设备（如POS终端）接触支付时，通过中央风险管理系统更新或推送。

交易历史记录管理。从钱包中检索交易历史信息，可以是特定设备进行的交易级别，也可以是交易链的历史记录，从而使风险管理系统检测到异常或潜在的金融犯罪。

限制加密密钥的生存期或使用。出于风险管理目的，钱包可能会限制特定加密密钥的使用次数或周期。在基于软件的钱包中，通常需要定期刷新密钥和相关证书完成交易操作。

风险列表管理。风险管理组件可能会检测到问题，对假冒CBDC值注入系统的受损设备时，风险管理系统会启动阻止或隔离措施。

3.远程组件

远程组件主要包括钱包、价值传输协议、价值形式、在线更新、交易对手的钱包等几个方面。

（1）钱包。安装在用户设备上的实现离线支付功能的软件。钱包应用软件在防篡改用户设备中运行，主要功能有：管理安全的资金转移协议，对其他用户设备上的其他钱包进行安全的离线支付；提供与其他钱包相互验证的方法；支持用于实现资金交易传递协议的价值传递机制等。上述功能并非要全部具备，但却是评估解决方案的重要依据。

（2）价值传输协议。用于在一个用户设备和另一个用户设备之间传输支付指令的方式。目前解决方案主要使用某种形式的公钥加密，它允许用户设备和钱包相互验证，交换密钥并发送可以在接收设备上验证的签名消息。

（3）在线更新。离线解决方案需要在某些时候在线连接才能接收风险管理或设备更新，如改变钱包中的特定阈值等风险参数更新、密钥更新、阻止或限制未使用最新软件的设备更新等。

4.价值转移机制

基于通信媒体或寻址机制，用于设备之间的通信技术，如近场通信（NFC）就是允许设备交互的常用方法，是价值形式在两个钱包之间转移的方式。

三、其他需关注的问题

考虑到离线支付的特殊性，在CBDC生态系统规划之初还应该考虑以下几个方面----风险管理、隐私、包容性以及稳健性等方面。本文重点探讨了离线支付面临的风险以及可能的应对措施。

由于离线支付更容易受到攻击和影响，因而对于提供离线支付的CBDC系统而言，风险管理尤为重要。离线支付面临的风险主要有以下几个方面：一是技术故障扰乱实体业务或运营的技术风险；二是因内部流程、人员和系统不足或故障或外部事件而导致的操作风险；三是未能满足其利益相关者的期望并受负面事件影响带来的声誉风险。

具体来看，风险管理方案主要体现在以下几个方面。

1.技术风险管理

一是通过设备管理。用户设备提供的防篡改程度（由安全元件、可信执行环境（TEE）或安全软件提供）和保护钱包和用户设备价值的加密安全性非常重要。具有高度防篡改性的用户设备可用于任何类型的解决方案，而防篡改程度较低的用户设备只可用于间歇性离线解决方案，以及分阶段离线解决方案。

二是通过加密协议管理。在价值转移过程中保护价值形式的加密算法应由具有适当资格的专家进行审查和认证。算法应防止重放攻击（重复相同价值形式的转移）;修改(修改值形式);和重定向（将真正的价值形式发送到与最初预期不同的钱包）。

三是通过内置防御措施。基于硬件的用户设备应经过侧通道攻击的认证，基于软件的钱包也应针对这些措施进行专门测试。应具有内置防御措施，通过减少侧信道信息的泄漏，或使用虚假操作对其进行掩盖，以生成与正常操作相比而无法区分的信息，从而降低侧信道攻击成功的可能性。

四是通过加密技术升级。离线支付解决方案必须包括允许在需要时随时更改加密密钥和算法的机制。CBDC系统无论是在线还是离线，都必须通过技术部署和运营流程来实现快速加密。

此外，操作风险管理方面还需采取措施应对主加密密钥泄露风险、第三方设备泄露风险、重复付款指令风险、欺诈风险以及缺乏实时交易监控风险等。

2.操作风险管理

如果使用来自多个供应商的组件,运营支付系统可能会带来重大风险。例如，不同供应商开发的在线和离线支付解决方案的集成，或者分类账系统与风险管理或其他组件的集成都可能带来操作风险。解决方案：一是需要与提供操作系统的供应商商定明确的服务级别协议（SLA），以确保实现恢复的时间目标（RTO）。二是应确保所使用的第三方组件具有完全的透明度和明确的责任分工。三是系统应进行压力测试，以确保它们能够抵御各种故障情况。例如整个操作站点脱机和网络攻击。四是线下支付系统应提供风险监控和管理服务，以检测和应对攻击。五是系统的设计和测试应满足中央银行的性能和可用性要求。六是供应商停止支持某些国家支付系统的可能性，应在与供应商的合同义务中予以明确。

3.声誉风险管理

有一些破坏支付系统声誉的做法是为了潜在的经济利益，有一些则是可能对金融收益不太感兴趣，而是更重视损害一个国家CBDC系统和中央银行的信心和信任，进而影响该国经济的声誉。在声誉风险的背景下，如果离线CBDC系统受到攻击，重要的是能够快速检测到并做出反应，监控离线支付系统的需求变得更加重要。

四、结论和建议

CBDC离线支付是CBDC系统实施的一个复杂部分，应在早期阶段进行规划和设计。离线支付的原因和设想的适用性因国家/地区而异，但都应得到以包容性、隐私性、稳健性和风险管理为明确目标的相关支持。不同国家/地区面对的风险程度不同，自身的基础设施不同，所使用的解决方案也将有所不同。