对央行数字货币(DCEP)的技术研究报告

概述

最近关于人行的数字货币DCEP（Digital Currency Electronic Payment）的消息不断涌现，加上Facebook的libra对数字货币的推波助澜，以及政府将区块链定位为核心技术自主创新重要突破口，一下子区块链的风头无出其右。在看了央行数字货币研究所所长穆长春先生对DCEP以及libra的分析对比后，本人对DCEP的顶层设计非常好奇，但是苦于当前关于DCEP的相关报道都是基于宏观方面的，作为一个技术人员迫切的想知道DCEP与区块链的切合点，于是在仔细阅读了人行的数字货币系统的专利后，写一篇作为一个技术人员或者说区块链从业人员的角度来看DCEP的某些技术细节。

在看完数字货币系统专利后，整体的感觉就是，DCEP并没有采用区块链技术，而是一个以央行为中心的系统，其实也能理解，毕竟权利与义务是对等的，央行承担着法币兑付的义务，因此这个记账的权利自然也应该由他承担。当然在部分自由主义者看来，这种做法似乎不够纯粹，不够Decentralization。但是去中心化并不是银弹，不能够寄希望他来解决一切问题。相反的，是否选择去中心化是需要和当前场景的主要矛盾相符合，如果当对公平或者透明的诉求成为了主要矛盾，那么去中心化将是一个不错的解决方法，但是在当前很多领域中，对效率的需求还是主要矛盾，所以在这些场景下，采用去中心化效果并不是会很好，反而会起到不断消耗的反作用。

接下来，本文将根据数字货币系统专利，从DCEP的特征、实现细节、离线支付场景来着重介绍。

DCEP的特征

DCEP的特征主要体现在两大方面，一个是金融上的特征，一个是技术上的特征。专利上主要阐述了技术上的特征，关于金融上的特征，主要源自穆长春先生在公开课中的报道。

关于金融上的特征

• 替代M0——首先DCEP是对M0的替代，也就是对现金的替代，之所以只对M0替代，是因为M1、M2已经实现了数字化，如果把M0也数字化后，那么央妈对资金的监管就比较完整了。另外，之所以从现金入手，一部分原因也是因为现金只是承担了货币的功能，所以对社会的影响并不会非常大。
• 双层运营模式——是指上面一层是人行对商业银行，下面一层是商业银行或者商业机构对老百姓。也就是说，商业银行向人行交付100%的准备金，然后人行给与商业银行等额的DCEP，接下来用户通过现金或者存款等向商业银行兑换DCEP。如果人行直接面向老百姓，理论上也是可以的，这样的话，人行就需要面对全中国所有的消费者，他就需要设计一个既满足用户体验又满足高性能要求的系统，显然人行是不擅长做这个的，所以最好的方式由市场经济来决定，也就是说将面向用户的那一端交给商业银行或者机构来做，充分发挥市场竞争。

关于技术上的特征

这一块是指DCEP在设计上所需要满足的几个特征，这几个特征与BTC等基于区块链的虚拟货币概念比较相似。当然，与其说和BTC等虚拟货币的概念比较相似，不如说满足那几个基本特征的才算是数字货币。

• 安全性——这个要求防止商务中任意一方更改或者非法使用数字货币，这个更多的是体现在对DCEP使用的监管上，甚至于说可以终止某次非法的交易。
• 不可重复花费性——这个是指数字货币只能使用一次，重复花费容易被检查出来。之所以提这个，是因为一旦现金被数字化后，那么数据的复制就是难免了，比如有个用户用面额是100的DCEP买了一张电影票，但是又复制了这么一份相同的DCEP去进行消费，那么就是对同一份数字货币进行重复花费，所以对于数字货币来说这个是基本特性。对于BTC来说，是通过UTXO来实现防止双花，而对于Ethereum、libra来说则是通过交易的seq来防止双花。对于DCEP来说，则是采用类似UTXO的方式，至于这里的UTXO与BTC的UTXO的区别，会在下一篇文章中介绍。而现金则由于难以伪造的特性，在物理上可以保证只此一份。
• 可控匿名性——这个意思是说，即使商业银行和商户相互勾结，也不能跟踪DCEP的使用，换句话说就是除了DCEP的发行方（人行）外，其他的结构都无法追踪用户的购买行为。终于可以摆脱部分隐私泄露的问题了。
• 不可伪造性——比较好理解，除了发行方以外，不能伪造假的数字货币。对于现金来说，是通过物理上的防伪手段来保证。对于DCEP来说，做法比较简单，就是只有经过央行的私钥签名的才是真的DCEP。岔开说下，之前Google暴出量子计算的新闻，币圈各种自嗨，觉得BTC会被破解，量子计算真出来了，他的攻击目标就算不是核武器，怎么也得是央行这种级别，币圈真的是太把自己当回事了。
• 公平性——支付过程是公平的，保证交易双方的交易过程要么都成功，要么都失败，更贴切的应该是满足交易原子性。
• 兼容性 这个表示DCEP的发行和流通环节，要尽可能的参照现金的发行与流通。

DCEP实现细节

这里的实现细节主要针对上述的特性来展开讲解。

货币模型

基于对当前各个专利的研究，大致能确定DCEP是一种类似UTXO结构的货币模型。DCEP的发行模式有三种方式（这里为了简单我们称央行的发行的数字货币为D币）1. 按照最小面额产生，比如说央行发行总量为100元，并且最小面额是1分，那么央行将发行10000个面额为1分的D币；2. 根据用户具体提款金额来生产，例如某个用户通过转账得到了12.34元的D币，那么央行相当于发行了一个面额的12.34的D币；3. 按照流通中实际货币面额产生，这个是最贴近当前实际现金的，例如央行发行面额为100、50、20、10、5、1元等的D币，那么后续流通过程中都是以这些面额的D币进行流通。关于UTXO结构，这块与BTC有很大不同，UTXO表示未花费的交易，BTC中通过这个未花费的交易来表示你拥有的余额。比如说Alice转给Bob一个BTC，对于Bob来说如果没有花掉这个BTC的话，那么Bob就拥有了一个金额为1 BTC的UTXO，就像现金一样Bob拿到了纸钞，只要不花掉，那么就是你的钱。Bob如何证明他的确拥有这个UTXO呢？简单地说，谁拥有解开UTXO的锁的钥匙，这个UTXO就是谁的，至于有哪些锁，如何开锁，大家可以查询下P2PKH，P2SH等信息，我们也会在接下来的文章中详细介绍。在DCEP中，是通过登记中心来完成UTXO的功能，至于如何做的会在下面仔细介绍。

系统核心要素

央行的DCEP系统主义功能就是对法定数字货币的资金转移，它由中央银行与各商业银行一起联合运营。总的来说DCEP的核心要素有：一种币，两类库，三个中心。

• 一种币 ：这里的一种币就是指央行发行的法定数字货币，也就是说系统中只能转移央行发行的这个法定数字货币，正如前面说的，只有央行私钥签名的才是法定数字货币，因此我们的电子钱包等都会内置央行的公钥，用来验证改数字货币是否为央行发行的。
• 两类库 ：两类库是发行库和商业银行库，这两个库是数据库。比如说，根据数字货币发行总量，央行根据上面说的方式用它的私钥签名生成对应总量的数字货币，此时这些数字货币是存放在央行的发行库中。如果某个商业银行需要提取一定量的数字货币，那么系统就会将对应的数字货币发送到该商业银行的商业银行库中，即数字货币从发行库到银行库的转移。需要注意的是，用户想商业银行提取数字货币，是数字货币从银行库进入到电子钱包的过程，属于流通环节。
• 三个中心 ：三个中心一共两种类型，一个是登记中心，另外一个是认证中心。

登记中心主义负责管理数字货币的整个生命周期，包括印制、转移、销毁、回笼等过程。他主要有两张表，一个为数字货币权属登记表，另外一张为交易流水表。这个权属登记表的作用是记录某面额的数字货币是属于谁的（如下图所示），每当数字货币发生了转移，在央行的登记中心都会对对应的数字货币的属主进行更改，通过这个表可以实现确权查询。这里的重点是，登记中心确定用户到底有多少钱。

认证中心分为两类，一个是CA认证，一个IBC认证。CA认证主要用于相对来说比较高级的机构，而IBC认证则是用于个人的。这里引入认证中心的原因是，当用户或者机构发起一笔DCEP的转账时，需要通过自己的私钥进行签名，也就是说这笔转账的合法性是通过签名来保证的。在一般意义中的BTC、Ethereum或者Libra中，私钥是用户自己创建，由自己保管，并且用户的地址是由私钥对应的公钥通过一系列运算（Hash，checksum）等得到的，这种方式的优点是资产账户和私钥是天然绑定的，你拥有了私钥也就拥有了其对应的资产。但是在DCEP中，由于存在监管这个特性，资产归属和私钥是分开的，也就是说央行会在用户注册了一个DCEP钱包后，会通过认证中心给钱包用户分配一个私钥，这个私钥用来证明是这个用户，至于这个用户是否拥有数字货币，是在登记中心来确定的。所以这里的重点是，用户私钥是央行生成的。另外，这里简单介绍下IBC认证，IBC（Identity-Based Cryptograph）是基于身份标识的密码系统，还是基于非对称的秘钥体系，他与CA认证的最大区别就是不需要证书，而是通过用户标识例如手机号码、邮箱等作为公钥，由IBC认证中心根据用户标志生成对应的私钥，由于用户标志本身就是一个公钥，通过用户标志就能确认身份有效性了，从而就不用再依赖证书和证书管理系统了。当然，此时央行的公钥还有用户的私钥、证书数据就相当的重要了，需要将该数据存储在SE区域。

通过对一种币，两类库，三个中心的介绍，大致可以了解DCEP的一些顶层设计原则，接下来会结合具体的场景，来实际将顶层设计的逻辑走一遍。

DCEP具体场景描述

在货币模型中提到了DCEP关于面额一共有三种方案，我们这里以第三种固定面额来介绍。

印制

相比纸币的印制过程，DCEP的印制其实就是产生一串由央行签名过的数字，这里根据数字货币系统专利来介绍如何生成这串分量十足的数字。

1、由央行的主密码与面额数字1，5，10，20，50，100分别产生6个基本加密密码。这6个加密密码分别是用于不同面额的数字货币。

2、由Hash算法生成系统随机数，这个随机数就跟纸币上的冠字号码一样。

3、由步骤1生成的基本加密密码与随机数加密，生成加密密码。这个加密密码其实就已经对应特定冠字号的数字货币了。

4、央行通过私钥对加密密码进行签名，此时一枚新的法定数字货币就产生了。

下图是印制的过程

用户登录

这里简单说下登录过程，商业银行系统对连接央行的认证中心和登记中心。

1、用户下载对应的某商业银行的电子钱包APP

2、用户在APP的登录页注册相关信息，例如姓名，身份证号，手机号，住址等信息

3、商业银行通过上述注册信息，利用手机号作为IBC的公钥进行登记，在IBC完成唯一性验证后，IBC为该用户生成私钥。

4、用户登录后，下载用户用户私钥和央行公钥数据，并将这些数据存储在SE区域。

提取

这里介绍下用户通过商业银行账户提取法定数字货币（简称D币），例如用户从自己的工商银行账户取150元，然后兑换成D币。

1、用户登录钱包APP，选择“提取数字货币”，并选择工商银行，输入银行账户以及兑换的数字货币额度。

2、商业银行验证该请求的合法性：校验账户密码，用户账户资金是否足够，以及该商业银行的银行库中的D币是否足够。若通过合法性校验，那么将该用户的在商业银行中的账户扣除250元，商业银行从银行库中支出D100、D50(D100表示面额为100的D币），并将这些信息发送至央行数字货币系统。

3、央行数字货币系统收到商业银行数字货币系统的请求后，进行发核心校验，例如判断发送过来的D100和D50是否归属于该商业银，以及对应的签名验证等。在校验通过后，登记中心变更商业银行发送过来的D币的属主信息，将工商银行的属主变更为该用户，并且记录对应的交易流水。完成完整动作后，返回处理成功的信息给商业银行。

4、商业银行将D币发送到用户手机端，至此，用户的手机端便有了D100和D50。需要注意的是，真正决定你是否拥有这150元D币，不是你手机端存储了这150D币，而是登记中心决定的。

这里岔开一下，在另外几篇专利中，我们发现，并不是通过更改属主关系，而是直接将原有的D币进行销毁，再重新生成新的D币，也就是说央行在收到请求并校验通过后，是将商业银行的那250元D币直接销毁，然后再重新生成一个新的250元D币，这样的优点在于，只要央行不公布交易流水，只单单公布一个数字货币确权信息，那么外部是无法将数字货币的转移信息给串联起来的，这样既符合了匿名，又满足了央行的监管，因此后续有可能采取销毁的方案。

支付

这里指用户A和用户B之间进行D币的在线支付，假设A用户的电子钱包中有D100，D50总计150元的D币，先需要支付150元给B用户，支付步骤如下。

1、A用户登录APP，选择付款功能，并输入：付款金额，收款人（例如手机号），点击发送

2、A用户的APP根据付款金额，自动选择总额为150的D币，并将信息发送至商业银行数字货币系统。

3、商业银行校验支付信息的合法性，例如：D100和D50的合法性，交易金额与数字货币是否等值，以及接收用户的相关校验。校验通过后，将请求发送至央行的数字货币系统。

4、央行数字货币系统收到请求后，验证D100、D50是否为交易发起者等，在登记中心更改D100、D50的属主为B用户，并记录对应的流水。最后将成功信息返回给商业银行数字货币系统

5、商业银行收到成功信息后，将D100和D50发送到B用户APP中，并分别向A、B用户的APP发送交易成功的信息。

这里的支付和提取的流程基本一致，只要明白属主信息是在央行的登记中心进行修改就可以了。

如何实现匿名、监管

因为现金交易存在匿名的特性，如果DCEP不能满足匿名性，那么有很多的场景下，普通用户可能还会选择用现金，因此DCEP必然需要满足匿名性。但是，DCEP的另外一个功能是为了满足监管需求，因此DCEP目前对匿名也是前台匿名后台实名的方式。

• 匿名——在上面支付的场景中，交易信息M可以设计为M=交易代码||发送者公钥||D币信息||支付金额||接受者公钥，再通过Hash算法将M信息做摘要，并用发送者的私钥对摘要进行签名得到m，最后将M||m信息发送到商业银行的数字货币系统。由于对交易双方做了一定的匿名处理，若再采取每次转账都销毁再生成的方式，商业银行和机构是难以追踪资金转移的。
• 监管——由于在认证中心需要用户登记身份标识作为公钥，同时在注册时用户会上传对应的信息，因此央行的后台系统对用户信息是一清二楚的，同时登记中心会记录交易流水，因此通过大数据分析可以做到一定的监管。

关于双离线支付场景分析

DCEP相比支付宝等电子支付有一个特性，就是离线支付。这个特性非常重要，因为DCEP是现金的数字化，因此需要具备现金的特性，可以想象下，如果有一天出现了极端恶劣的情况例如大地震、战争等，导致网络不可用，如果DCEP不支持双离线支付，那么就意味着普通百姓没办法进行正常的生活了。因此，即使出现双离线支付的场景概率非常小，但是还是必须支持这个功能。

在数字货币系统专利中，提到了双离线支付的解决方案。例如A用户的电子钱包中有D100，现在A、B用户都离线的情况下需要支付D100给B用户。

1、A用户打开APP后，选择离线支付功能，输入付款金额和接收方信息后点击支付。

2、A用户对上述信息利用自己的私钥进行签名，并用收款人的手机号或者其他标识收款人的信息通过NFC等近场通讯的方式进行加密传输。

3、B用户APP接收到加密信息后，解密并验证D币的合法性，以及金额是否等值。此时对于A、B用户来说已经完成了双离线支付，但是此时B其实并没有真正收到A转给他的D币，在APP界面上来说，接受到的D币应该是出于不正常状态（不可用）。接下来，B用户的APP会在联机状态后，将支付信息发送给商业银行数字货币系统。

4、商业银行收到这个支付信息后，在校验了合法性后，会将这个信息发送给央行数字货币系统。

5、央行数字货币系统收到支付信息后，在完成与在线支付一样的校验后，就会更改属主，将原本属于A的D币，变更为B用户，最后将结果返回给商业银行。

6、商业银行收到成功信息后，通知A、B用户APP发送交易成功的消息，此时B用户接收到的D币状态才会变成可用状态。

因此，如果A转给B，那么B在联网之前，A转给B的D币无法转给C的，这个双离线支付并不能完成链式的支付。总体感觉，这个解决方案只能用于临时性的离线情况，例如在地下停车场或者网络不好的场所进行支付。

另外，在双离线支付场景中，若用户利用某些漏洞实施了双花，从专利来看，是通过事后追责的形式来处理的。

为什么要推DCEP

要推行DCEP的理由，对内一方面是加强对资金转移的监管，提高金融稳定性，增强反腐、反洗钱的能力。对外，有利于人民币国际化，不过人民币国际化，不会因为人民币数字化了而成功，国际化的背后必然是我国国力强大，坚持通过用真理说服人。但是，DCEP可以降低国际友人的使用门槛，随着中国消费者走出国门进行境外的消费，说不定在不久的将来，我们的国际友人也可以通过手机号注册一个钱包，直接收款，而不必再通过开通银行账号。在不久的将来，自上而下的通过整理说服人，自下而上的通过消费者带动国际友人使用人民币。

本文作者知乎专栏：https://zhuanlan.zhihu.com/c_1124734224619773952