观点摘要：近期，国际清算银行（BIS）创新中心北欧中心发布了《北极星项目：中央银行数字货币离线支付手册》，探讨了中央银行数字货币（CBDC）如何用于离线支付的关键方面，包括安全、隐私、可能的风险、解决的方案、以及适用性和运营因素等，为中央银行实现CBDC离线支付提供了指引。

随着中央银行数字货币的发展，CBDC离线支付吸引了越来越多的关注。作为北极星项目（Project Polaris）的一部分，BIS创新中心北欧中心与Consult Hyperion联合开展了CBDC离线支付的研究工作，为中央银行实现CBDC离线支付提供指引。

一、CBDC离线支付概述

CBDC离线支付是指在不连接互联网情况下使用CBDC，无论是暂时没有互联网还是由于覆盖范围的限制。实现离线功能需要考虑技术、安全和运营等多方面因素，要尽可能早的进行规划和设计。为此，国际清算银行创新中心对部分中央银行进行了调查。

（一）CBDC用于离线支付的动机

调查显示，各国央行推动CBDC离线支付主要原因有金融包容性、稳健性和现金相似性，其次还考虑到通信基础设施可靠性、隐私、交易成本、可扩展性、普及度、应急能力、提升信任度、减少干预等因素。

一是离线支付功能的重要意义。调查显示，49%的中央银行认为CBDC离线支付功能至关重要，尤其在数字支付服务欠发达的国家，离线支付被认为是必不可少的。另外还有49%的被访者认为它是有利的。

二是离线支付具有多重目标。40%的被访者认为应将包容性作为目标之一，只要技术上可行，就可以支持CBDC离线支付功能。40%的被访者认为将现金相似性作为目标之一，CBDC应具备与现金类似的用户体验和功能。还有33%的被访者认为应将弹性作为目标之一，应适用于停电、脱网等各种网络问题。

（二）离线支付的主要探索

过去三十年，EMV离线支付、公共交通非接触式支付、M-PESA、TAP、QSPARC等支付系统对离线支付进行了探索，提供了一系列的解决方案。虽然基础设施有所改进，但有些问题依然存在，一些经验教训和解决方案的思路依然值得CBDC离线支付借鉴。

一是安全性：允许设备相互验证并安全地交换支付指令的防篡改钱包和加密协议是长期要求。

二是风险管理：交易的重复列支是需要持续关注的风险点，必须重点监测资金在交易过程中的损失以及追索情况。

三是操作流程：保护支付流程的主加密密钥需要确保安全。移动计算设备的可用性目前意味着支付应用程序可以在用户手中进行配置，这带来了以往线下支付解决方案没有的新挑战。

四是用户体验：在大多数解决方案中，能让用户体验到比现金更好的替代品的能力是有限的。

五是商业模式：许多历史上的离线支付解决方案都难以提供一种能产生足够价值吸引收付款双方的商业模式。

二、CBDC离线支付解决方案

（一）离线支付方案类型

离线支付解决方案通常包括完全离线、间歇离线和分阶段离线三种方案类型。一是完全离线。是指付款人和收款人都可以完全离线，不受时间限制，付款人和收款人不需要连接到央行数字货币登记系统即可完成付款，并且转账信息会立即转移给收款人，以便他们可以在价值转移结束时使用。二是间歇性离线。与完全离线一样，付款人和收款人不需要连接到央行数字货币登记系统即可完成付款，并且转账信都会立即转移给收款人，转账额度可以在交易后使用，区别是离线支付参数在某些时候可能会限制交易，间歇性地与中央系统同步才能继续运行。三是分阶段离线。其特点是在收款人连接到支付系统之前，转账报文不会发送至收款人，转账给收款人的资金不能使用。

（二）离线支付解决方案基本框架

离线支付解决方案包括防篡改用户设备、核心组件、远程组件以及价值转移机制四大模块，主要运行原理如下：

CBDC离线支付解决方案的基本框架

（三）离线支付解决方案模块具体构成

1.防篡改用户设备

保护钱包中的数据存储能力对于离线支付解决方案至关重要。任何解决方案都必须加强用户设备的防篡改性，以防止物理和网络攻击。防篡改的解决方案主要基于硬件和软件两个方面。

一是硬件方面。首先是防篡改芯片，例如EMV支付卡中常用的芯片，也被称为“安全元件”，将应用程序和数据加载到安全元件，经过高级别安全认证，提供防篡改用户特性。其次是可靠的执行环境，可靠的执行环境（TEE）是智能手机硬件的一部分，支持移动设备上的应用程序安全地执行代码以及处理和存储数据，设备上运行的其他进程或软件应用程序无法查看或修改，增强移动设备的安全性。二是软件方面。与基于硬件的解决方案不同，不需要专门的组件来执行其应用程序，利用软件技术保护静态或正在处理的密钥和数据，软件解决方案通常提供比安全元件和可信执行环境更低的防篡改级别。

2.核心组件

核心组件主要包括新用户注册、配置和生命周期管理、在线离线分类账、离线风险管理等方面。

（1）新用户注册管理。离线支付解决方案所需的隐私类型和级别要求与在线支付有所不同，需要考虑用户注册标准及授权计划等。例如，如果允许不良行为者注册，因离线支付无法监控交易则可能产生欺诈行为。

（2）配置和生命周期管理。包括用户安全配置、加密密钥生成、配置更新和配置取消，这些配置涵盖资金交易的全流程，应具备较高级别的安全标准。

安全配置流程。基于硬件的用户设备需要与其钱包一起配置加密密钥等机密信息，安全配置流程必须在严格的物理和信息安全规则下的安全设施中运行，确保数据和加密密钥安全。

加密密钥生成。加密密钥生成过程至关重要，因为这些密钥可确保价值传输协议和价值形式的安全性。加密密钥可以在安全的处理设施中生成并配置到钱包中，也可以直接在钱包中生成。

（3）生命周期管理。用户设备刷新、丢失或损坏时，重新配置钱包应考虑如何从旧钱包中检索现有的离线价值并将其重新加载到新钱包中。

（4）在线和离线账管理。一是完全离线时，可以通过在线分类账提供离线CBDC支付所需的一些特性和功能，例如在线账本可以支持单独的在线和离线余额，不需设置离线分类账。二是分阶段离线和间歇性离线时，需要设置离线分类账来记录和核对离线钱包中的价值。离线分类账提供了离线钱包当前已知状态，不是实时或实际状态，当设备上线时，账本会在交易发生后的某个时间点更新。

（5）离线风险管理。风险管理是线下支付解决方案的重要组成部分。大多数离线解决方案都包括用于风险管理的特定组件，主要有以下功能：

离线风险管理参数，主要是对余额、交易金额、速度和交易量的限制。可以在用户设备和钱包中执行，在间歇性或分阶段离线解决方案的情况下，也可以在离线钱包上线连接到分类账时，或者在与连接的设备（如POS终端）接触支付时，通过中央风险管理系统更新或推送。

交易历史记录管理。从钱包中检索交易历史信息，可以是特定设备进行的交易级别，也可以是交易链的历史记录，从而使风险管理系统检测到异常或潜在的金融犯罪。

限制加密密钥的生存期或使用。出于风险管理目的，钱包可能会限制特定加密密钥的使用次数或周期。在基于软件的钱包中，通常需要定期刷新密钥和相关证书完成交易操作。

风险列表管理。风险管理组件可能会检测到问题，对假冒CBDC值注入系统的受损设备时，风险管理系统会启动阻止或隔离措施。

3.远程组件

远程组件主要包括钱包、价值传输协议、价值形式、在线更新、交易对手的钱包等几个方面。

（1）钱包。安装在用户设备上的实现离线支付功能的软件。钱包应用软件在防篡改用户设备中运行，主要功能有：管理安全的资金转移协议，对其他用户设备上的其他钱包进行安全的离线支付；提供与其他钱包相互验证的方法；支持用于实现资金交易传递协议的价值传递机制等。上述功能并非要全部具备，但却是评估解决方案的重要依据。

（2）价值传输协议。用于在一个用户设备和另一个用户设备之间传输支付指令的方式。目前解决方案主要使用某种形式的公钥加密，它允许用户设备和钱包相互验证，交换密钥并发送可以在接收设备上验证的签名消息。

（3）在线更新。离线解决方案需要在某些时候在线连接才能接收风险管理或设备更新，如改变钱包中的特定阈值等风险参数更新、密钥更新、阻止或限制未使用最新软件的设备更新等。

4.价值转移机制

基于通信媒体或寻址机制，用于设备之间的通信技术，如近场通信（NFC）就是允许设备交互的常用方法，是价值形式在两个钱包之间转移的方式。

三、其他需关注的问题

考虑到离线支付的特殊性，在CBDC生态系统规划之初还应该考虑以下几个方面----风险管理、隐私、包容性以及稳健性等方面。本文重点探讨了离线支付面临的风险以及可能的应对措施。

由于离线支付更容易受到攻击和影响，因而对于提供离线支付的CBDC系统而言，风险管理尤为重要。离线支付面临的风险主要有以下几个方面:一是技术故障扰乱实体业务或运营的技术风险;二是因内部流程、人员和系统不足或故障或外部事件而导致的操作风险;三是未能满足其利益相关者的期望并受负面事件影响带来的声誉风险。

具体来看，风险管理方案主要体现在以下几个方面。

1.技术风险管理

一是通过设备管理。用户设备提供的防篡改程度（由安全元件、可信执行环境（TEE）或安全软件提供）和保护钱包和用户设备价值的加密安全性非常重要。具有高度防篡改性的用户设备可用于任何类型的解决方案，而防篡改程度较低的用户设备只可用于间歇性离线解决方案，以及分阶段离线解决方案。

二是通过加密协议管理。在价值转移过程中保护价值形式的加密算法应由具有适当资格的专家进行审查和认证。算法应防止重放攻击（重复相同价值形式的转移）;修改(修改值形式);和重定向（将真正的价值形式发送到与最初预期不同的钱包）。

三是通过内置防御措施。基于硬件的用户设备应经过侧通道攻击的认证，基于软件的钱包也应针对这些措施进行专门测试。应具有内置防御措施，通过减少侧信道信息的泄漏，或使用虚假操作对其进行掩盖，以生成与正常操作相比而无法区分的信息，从而降低侧信道攻击成功的可能性。

四是通过加密技术升级。离线支付解决方案必须包括允许在需要时随时更改加密密钥和算法的机制。CBDC系统无论是在线还是离线，都必须通过技术部署和运营流程来实现快速加密。

此外，操作风险管理方面还需采取措施应对主加密密钥泄露风险、第三方设备泄露风险、重复付款指令风险、欺诈风险以及缺乏实时交易监控风险等。

2.操作风险管理

如果使用来自多个供应商的组件,运营支付系统可能会带来重大风险。例如，不同供应商开发的在线和离线支付解决方案的集成，或者分类账系统与风险管理或其他组件的集成都可能带来操作风险。解决方案：一是需要与提供操作系统的供应商商定明确的服务级别协议（SLA），以确保实现恢复的时间目标（RTO）。二是应确保所使用的第三方组件具有完全的透明度和明确的责任分工。三是系统应进行压力测试，以确保它们能够抵御各种故障情况。例如整个操作站点脱机和网络攻击。四是线下支付系统应提供风险监控和管理服务，以检测和应对攻击。五是系统的设计和测试应满足中央银行的性能和可用性要求。六是供应商停止支持某些国家支付系统的可能性，应在与供应商的合同义务中予以明确。

3.声誉风险管理

有一些破坏支付系统声誉的做法是为了潜在的经济利益，有一些则是可能对金融收益不太感兴趣，而是更重视损害一个国家CBDC系统和中央银行的信心和信任，进而影响该国经济的声誉。在声誉风险的背景下，如果离线CBDC系统受到攻击，重要的是能够快速检测到并做出反应，监控离线支付系统的需求变得更加重要。

四、结论和建议

CBDC离线支付是CBDC系统实施的一个复杂部分，应在早期阶段进行规划和设计。离线支付的原因和设想的适用性因国家/地区而异，但都应得到以包容性、隐私性、稳健性和风险管理为明确目标的相关支持。不同国家/地区面对的风险程度不同，自身的基础设施不同，所使用的解决方案也将有所不同。