请选择 进入手机版 | 继续访问电脑版

免责声明:所有资讯仅代表作者个人观点,与本平台立场无关,未经许可,任何人不得复制、转载、或以其它方式使用本网站的内容

 找回密码
 立即注册
  • QQ空间
  • 回复
  • 收藏

日本央行研究报告:如何设计央行数字货币,使之具有与现金相同功能? ... ...

2021-8-5 12:13 186人围观 BTC(比特币)

日本银行的目的是概述支付系统的趋势,对其进行评估,并介绍日本银行及相关组织为提高支付系统的安全性和效率所做的努力。“支付系统报告”会定期发布。

“清算系统报告”旨在对与清算系统有关的特定主题进行深入的研究和分析,该问题与中央银行数字货币(CBDC)有关。对于CBDC,要考虑各种主题,不仅包括支付系统的角度,还包括发行对金融系统和金融政策的影响,但本报告重点关注技术。具体来说,将总结CBDC具有“任何人都可以安全,随时随地使用它进行付款”这一当前特征的技术问题。

要旨

为了使中央银行数字货币(CBDC)具有与当前货币相同的功能,要求支付方式为“任何人、任何时间、任何地方”。因此,在考虑CBDC时,重要的是要考虑CBDC在技术上是否具有两个特性,即“通用访问”和“弹性”。

从普遍接入的观点来看,可以开发出为各种用户所能使用的终端,这一点是重要的。关于弹性,期望具有抵抗通信和电力中断的离线支付功能。在使用智能手机的情况下,现有技术可能适用于离线支付所需的许多功能,但是在实际使用中,存在诸如功能稳定性、确保处理性能和成本等问题。关于确保普遍访问,对于不拥有智能手机的用户开发终端将是一个需要考虑的问题。

在考虑CBDC时,除了这些技术问题外,重要的是要解决保护措施,以确保安全性和合规性问题,例如隐私和AML / CFT。这些对于在线和离线支付都是重要的问题,但是在离线环境中将更加难以处理,因此有必要仔细考虑它们。关于安全性,有必要通过定期更换终端来应对离线环境中CBDC伪造的风险。另外,在离线环境中,由于管理员不能始终发现存在的威胁,因此预先设置CBDC的使用量上限并限制损害程度可能是一种选择。对于合规性,重要的是要考虑如何确保隐私,但是为了从AML / CFT的角度减少欺诈风险,请考虑对付款信息进行事后收集,并设置离线使用量的上限是有必要的。

1.简介

现金是支持经济活动的重要付款方式。现金不需要使用专用设备或操作,并且具有任何人都可以使用的特征。另外,它具有可以在任何时间使用的特性,包括在诸如灾难之类的紧急情况下,而无需依赖于诸如通信和电力之类的基础设施。这两个特征使当前交易变得方便和稳定。

但是,近年来随着社会数字化的发展,在瑞典等一些国家,现金市场流通量减少了,因此对于确保中央银行资金的获取的关注也在增长。在包括日本在内的许多其他发达国家,当前现金流通量仍在增加,获取中央银行的资金没有问题。但是,从长远来看,在经济数字化的背景下,所有国家的无现金性将稳步发展。

在考虑各个经济主体的经济活动的基础上,谁都可以使用的便利且稳定性高的付款方式是不存在的,在数字社会中,也很少有人对该供给应该由中央银行来承担这一问题产生异议。中央银行数字货币(CBDC)的发展意义也基本上在这一点上被要求[1]。换句话说,为了使CBDC具有与现金相同的功能,需要“任何人都可以随时随地安全使用的付款方式”。即CBDC应该具有“通用访问权限”和“弹性”。

认为关于通用访问,有必要在设计层面好好斟酌,以免限制CBDC的目标用户。例如,在将使用局限于特定终端的情况下,这阻碍了不能购买该设备的每个人的使用,并且如果在可操作性和便携性方面存在问题,则它可能不被许多用户所接受。期望其可以被从儿童到老年人的广泛使用,并且希望可以被访问日本的外国游客所使用。另外,支付功能不限于从一个人向另一个人汇钱(例如在商店中进行支付)。必须将其设计为可用于点对点P2P。

在弹性方面,克服利用计算机网络(如Internet)的在线服务中的漏洞是一个问题[2]。除了传统的信用卡和借记卡,近年来使用越来越多的使用智能手机的许多新支付方式在进行支付和支付时通常会在线连接到某个网络。带来的问题一是必须安装,二是在系统/通信故障期间会限制使用,三是在线支付需要持续供电。例如,许多安装在商店等中的用于阅读的支付终端应该一直在线,并且在停电期间需要使用诸如发电机的设备。在自然灾害多的日本,强烈需要有弹性的解决手段。

综上所述,为了使CBDC具备通用接入和弹性,希望多个机构能够实现对通信、电源中断具有耐受性的离线P2P交易功能[3]。

私人交易公司非常重视在线服务,该服务始终可以检查存储卡和信用卡的费用,余额和交易历史记录,而且大多数还承担交易功能的公司都是在线的。因此,离线P2P支付所需的硬件和软件的全面实施尚未取得进展。还要指出的是,如果允许离线P2P支付,将会发生支付运营商无法实时掌握的交易,并且容易对不受持续监控的终端进行各种攻击,从而增加了安全风险。另外,支付提供商可能难以灵活地收集和利用已通过离线P2P实现的支付信息。考虑到这些要点,认为私营部门支付公司在将线下P2P支付投入实际使用时持谨慎态度。

另一方面,确保普遍接入和弹性对于中央银行来说是重要的问题,在发行CBDC时,有必要从与私营交易公司不同的角度来考虑其设计。具体而言,除了(1)确定使用通用接入终端实现离线P2P支付的技术问题之外,(2)CBDC设计和操作中的问题,例如确保安全性的保障措施,以及重要的是要考虑合规性问题,例如保护隐私和满足AML / CFT。无论是在线还是离线支付,问题(2)都很重要,但是在离线环境中处理它会更加困难,因此有必要仔细考虑。

本文的结构如下:在第2节中,将组织用于CBDC记录的分类帐的管理,并考虑与离线支付的关系。第3节总结了离线P2P支付所需的功能和技术,第4节总结了使用通用访问终端的离线支付的实现映像和问题。第5节总结了CBDC离线支付的安全性问题和合规性问题。最后第6节总结了报告的内容。

2.CBDC账本管理

发行CBDC时,使用账本记录交易余额和交易历史。作为CBDC发行机构的中央银行,从他们的财务核算和分配管理的角度来看,需要严格要求并正确了解发行的余额。

为了理解包括离线交易功能在内的CBDC能够提供的各种功能和服务,首先需要理解账本管理的方法。关于账本管理,根据管理主体、信息的记录方法、信息的管理场所这3个不同而有差异,CBDC能够提供的服务和技术特性也产生了差异。对于离线交易,如后所述,不是账本的管理主体和记录方法的不同,而是账本信息的管理场所变得重要。

(账本管理机构:集中管理型、分布式管理型)

账本管理主体主要有两种类型:集中管理类型和分布式管理类型。集中管理型是单个实体持有账本并负责交易验证和历史记录的情况。由于单个实体具有立即完成交易的简单结构,因此认为处理大量和高处理速度是优势。但是,系统故障等导致系统完全停止的结构(单故障点的存在)是被公认的问题。因此解决故障等的弹性一般通过设置应用备份设备等来确保。许多现有的支付服务都是集中的,在可靠性和稳定性方面拥有良好的记录是一个优势。

另一方面,在分布式管理型中,多个实体具有相同的账本,各自承担验证交易并记录历史记录。它通常基于分布式账本(DLT)。如果通过验证者的多样化来实现总帐所在地等的分散化的话,则可以提高弹性。此外,在分布式管理类型中,有许多基于预定程序(如智能合约)的自动交易的实现示例,我们知道使用此类功能的可扩展性[4]。但是,为了完成交易,需要多个验证者达成共识,所以除了有在交易处理上趋于花费时间,且易被网络攻击作为目标的风险是一种风险[5]。由于分布式管理类型是一种相对较新的方法,因此预计该技术将在将来进行更新。

这样,中央管理型和分布式管理型均有缺点。在选择双方时,重要的是要考虑使用环境和未来技术创新的可能性。例如,在预计会进行大笔交易的情况下,例如发达国家的零售支付,似乎很熟悉集中式的使用类型,它具有出色的数量和高速处理能力,并且拥有丰富的使用记录。另一方面,在交易处于一定水平的情况下,如果重点是弹性,功能扩展和未来潜力,则有空间考虑分布式管理类型。

另外,如后所述,关于离线交易,无论是中央管理型、分布式管理型哪一种,只要底层账本具备一定级别的安全性和处理性能,在技术上都是可行的。

(账本的记录方法:基于账户类型,基于代币类型)

记录账本的方法有两种:(1)将总货币值(剩余金额)与每个用户相关联的类型;(2)将用户与每个货币量(代币)相关联的类型。CBDC通常分为两种类型:账户类型和代币类型,但是在账本中通常将账户类型记录在前①中,将代币类型记录在后②中。(见方框)[6]。无论账本记录方法是基于账户还是基于还是代币,账本管理机构是集中管理还是分布式管理的主体,都可以发行CBDC。

对于基于账户的CBDC,与私人银行账户相同,将用户的地理编号和个人信息(真实姓名,地址等)链接起来,然后计算每个用户的货币价值(CBDC)。设想将用户必须将用户设置的密码发送给账本管理员,以证明他们是账户的持有者。提供密码-此信息在总部和账本管理员之间共享,并进行管理以免泄露。这种机制使账本管理员更容易确认AML / CFT中的身份(了解您的客户,KYC),但很难保护隐私。此外,要指出的是,在提供个人信息方面有困难的人(例如外国游客)不能拥有CBDC,这在普遍访问方面造成了问题。

另一方面,基于代币的CBDC可被视为在将用户与每个代币相关联时基于加密技术对用户进行匿名化的方法。也就是说,每个代币都通过公钥与用户相关联,并且在创建公钥时不会与个人信息相关联(请参见BOX)。由于很难跟踪交易历史记录,因此很容易保护隐私[7]。这种管理账本的方法已经在诸如比特币之类的加密资产交易中使用。另外,由于使用公钥密码术的认证可以不受司法辖区限制在全世界使用,因此就通用访问而言,比基于账户更有优势。另一方面,基于代币的CBDC的特征(例如确保匿名性和可追溯性的困难)可能会成为执行AML / CFT的障碍。

如上所述,基于账户型和基于代币各有优劣势,但为了实现离线支付,如在下一个子部分(账本的管理位置)中说明的那样,基于账户和基于代币都可用。

BOX基于账户和基于代币账本的图形

在基于账户CBDC的情况下,用户有一个与个人信息相关联的公开id (账号)。此ID与用户持有的CBDC的合计金额相关联。在发送时,用户向帐本管理员提供信息(本人设定的密码)以证明用户是ID持有者。

在传输时,用户使用加密技术向自己证明自己是令牌持有者,即成为公钥对(只有委托人拥有)。向交易对手方显示您拥有私钥-并将其分解为要发送的新令牌和您仍然拥有的新令牌。例如,假定链接了用于令牌的用户的公钥A 100,000日元,并将其中的30,000日元发送给链接到公钥B的用户。公钥A的持有者创建了一个新的公钥C,以便他们可以继续持有剩余的70,000日元,并将其发送给公钥C的持有者,也就是给所有者。在此过程中,包括帐本管理员在内的其他人无法确定公钥A和公钥C的持有者是相同的。即使可以跟踪从公共密钥A到B和C的令牌流,也很难识别公钥的持有者并掌握每个人的交易历史。

基于账户和代币的CBDC总账的图形如下:

左:【基于账户】保留每个用户的余额

右:【基于代币】将每个代币与用户关联起来

(帐本信息管理位置:远程类型,本地类型)

如上所述,账本除了具有对CBDC的总量进行管理之外,还具有通过交易记录(无论是基于账户还是基于代币)将用户的货币价值与CBDC联系起来的功能。对于账本中的记录,通常使用服务器上安装的数据库。如果是集中管理类型,则由管理员的服务器管理账本;如果是分布式管理类型,则由每个验证者的服务器管理账本。无论哪种情况,总账管理都是在CBDC用户基础之外进行的。对于用户而言,可以说是“远程”价值存储。

即使账本的信息没有存储在用户终端(例如智能手机或个人计算机)中,也就是说,即使货币值没有存储在终端中,只要它在线连接[8],立即与交易对手方进行交易,交易结果实时反映在账本中。此外,在在线环境下,用户始终可以访问帐本并检查最新的CBDC持有余额。

如上所述,账本基本上是在在线环境中使用的,但是当进行离线支付时,用户需要预先在终端中将他/她自己持有的CBDC(货币价值信息)记录在在线环境中的帐本上。通过这样的操作,用户在自己的终端进行“本地”的价值存储。离线支付实现的可能性与账本管理主体(中央管理型、分布式管理型)及信息的记录法(基于账户、基于代币)独立——无论哪种情况——都以在用户终端实施本地型价值保存为前提[9]。

对于离线支付,有必要记录并维护用户在终端上存储的CBDC信息,而不会从账本(总账)中删除。这是因为如果将终端中存储的CBDC从账本中删除,则中央银行将高估CBDC发行的总额。只要离线继续进行,离线环境中CBDC的交易历史就不会反映在帐本中,但是CBDC发行的总金额在此期间不会改变,因此中央银行可以准确地掌握余额。

另一方面,当通过离线支付获得CBDC的用户在线使用时,离线支付结算的交易信息有必要在账本中记录。此时,在账本中仅记录离线取得的CBDC,这将导致总账中出现与交易对象客户端保存该CBDC价值的记录信息重复累加的情况。因此有必要删除交易对象之前保存的CBDC信息。

(应对离线支付中的双花的风险)

如果交易双方在离线环境下进行P2P交易,线下交易完成到在线联网到总账确认实际交易结果的这段时间,有双花的风险。例如,用户a将总账中1万日元的CBDC全额保存在智能手机中。如前所属,在总账上保持着1万日元的CBDC的记录,用户A的智能手机上记录着1万日元的CBDC的价值信息。即使用户A在离线环境下使用智能手机内保存的CBDC,与用户B进行交易,只要双方继续离线环境,该交易就不会反映在总账中。在这期间,用户A使用价值储藏的智能手机以外的终端——比如,从电脑访问总账(账本),使用1万日元的CBDC,就会发生双花。

为了避免这种情况,将CBDC的价值从总账(账本)存储到终端时,按将该CBDC的账本上的使用按价值保存的量锁定——使其无法利用——这成为实现方案。锁定的结果,最新的CBDC的交易信息仅在终端记录,所以只要终端保持离线环境,最新信息就会被记录在终端内,而不是在线上的账本。这样,可以避免双花风险。

如果要在在线环境中再次使用总账(账本)上锁定的CBDC,则需要如前所述删除终端上的CBDC。例如,当在用户A的终端中价值存储的CBDC通过离线交易被传递给用户B,并且用户B恢复在线想要使用CBDC,除了删除在用户B的终端中价值存储的CBDC以外,还要删除用户A进行价值存储时被锁定的账户上的CBDC信息。

这样,在账本功能在时间上划分在线和终端之间的结构下,我们可以通过为离线交易设置货币价值锁定功能和分类账反映程序来避免双花的风险。

3.离线P2P支付所需的基本功能

在离线环境中,帐本管理员无法确认交易,因此,如何确保并迅速确保使用用户终端进行交易的最终结果至关重要。下面,我们介绍一个在肯尼亚实施的名“ DigiTally”的试点计划,以了解离线P2P支付的基本机制[10]。DigiTally使用功能手机(所谓Callaphone)作为终端,其机制是它具有最简单但精确的离线付款所需的功能。[11]

(DigiTally概述)

考虑发送方A和接收方B之间的离线付款(图1)。首先,接收方B将收到的金额和发送方的电话号码输入其功能手机。然后,在接收方的功能电话中,根据接收到的金额和两个电话号码,使用加密技术生成代码号码(代码1)[12]。接收方B将代码1转发给发送方A。

接着,发送方A在他们的功能手机中输入发送金额和接收方的电话号码之外,还输入从接收方发送的代码1。然后,发送方A的功能手机基于发送金额和电话号码,使用与接收方B相同的密码技术来生成代码,并输入该代码,如果与代码1匹配,则功能手机中的货币价值减少所发送的金额。同时,发送方A的功能手机基于发送金额和电话号码、代码1生成新的代码(代码2 ),并且发送方A把代码2传递到接收方B。

接收方B在他们的功能手机上输入代码2时,接收方的功能手机生成基于接收金额、双方的电话号码、代码1的代码,如果与代码2匹配,就把接收金额加到功能手机存储的货币价值中。这样就完成了离线发送。在此期间,功能手机的通信功能没有被利用。

图1 离线P2P支付试点程序DigiTally传输过程

上述的离线支付基于简单的机制,但是离线支付所需的功能包括:①货币价值的安全存储,②用户间的信息传递,③所有者和终端的认证,④付款指令,⑤确保电源。下面将详细介绍这5个功能。

01货币价值的安全存储

DigiTally通过SIM卡内的IC芯片内置的安全元件中保存货币价值,以确保安全性(图2) [13]。为了利用功能手机的安全元件,需要在SIM卡上添加DigiTally的程序,因此新开发了存储交易所需功能的密封型SIM [14],并将其贴在SIM卡的表面上。通过这种操作,除了可以保存SIM卡内的安全元件的货币价值之外,还可添加认证中使用的私钥等。安全元件例如具有当硬件受到攻击,电路结构也同时被破坏时,防止篡改(Tamper ressistance)功能[15]。

安全元件已经在安全支付领域广泛使用[16]。例如,与DigiTally一样,诸如Suica和PASMO之类的电子货币也用于存储货币价值。即使在信用卡/借记卡中,安全元件也用于存储终端认证所需的私钥,这将在后面进行描述。当前,由于它变得流行而价格低廉,并且被广泛用于IC芯片中。

图2:IC芯片和安全元件

02用户之间的信息传递

在DigiTally的情况下,由于不使用终端间的通信功能,所以用户在进行支付时,会需要发送必要的信息(交易金额、发送方和接收方的电话号码、代码)。这些信息在以下说明的交易对方的终端认证和交易指令中被使用。

03认证:持有者和终端认证

为了确保付款安全,用户执行两项任务:使用其手机所需的持有者身份验证和交易对手方的终端身份验证。

持有者身份验证是一种确认功能手机用户是合法持有者的方法。使用和操作功能手机时可以设置密码。当设备丢失或被盗时,可以防止不知道密码的真正拥有者以外的任何人非法使用该设备。

另外,用户需要在交易之前确认交易对手方终端的合法性。这种工作称为终端认证,并且广泛用于电子货币和信用卡/借记卡。如果使用伪造的终


路过

雷人

握手

鲜花

鸡蛋

前瞻经济学人微信二维码

前瞻经济学人

专注于中国各行业市场分析、未来发展趋势等。扫一扫立即关注。

前瞻产业研究院微信二维码

前瞻产业研究院

如何抓准行业的下一个风口?未来5年10年行业趋势如何把握?(站长自定义)

我有话说......

商业洽谈

文章投递

邮箱咨询