英格兰银行：2024销售点（POS）概念验证：数字英镑实验报告

销售点概念验证 数字英镑实验报告2024年5月 目录 摘要 作为数字英镑设计阶段的一部分，英格兰银行（银行）正在与私营部门创新者和一系列利益相关者合作进行实验和概念验证（PoC）。这些实验旨在评估潜在数字英镑设计特征的技術可行性以及技术和政策影响。关于是否构建数字英镑尚未作出决定。 本实验的目的是评估使用目前在英国使用的现有销售点（POS）硬件，以启动数字英镑支付的技术可行性。这涉及到了一个原型验证，其中使用了EMV[1]标准以从智能卡向POS设备发送付款指令，然后再到应用程序编程接口（“BoE API”）。 尽管该银行没有建立数字英镑基础设施，也没有进行真实货币支付，但该实验从技术角度来看证明了以下内容： 现有的英国POS终端原则上可用于启动数字英镑支付。这些终端似乎无需修改即可进行数字英镑支付。 该实验还得出结论，在销售点使用现有的POS终端实现离线支付功能在技术上是可行的。但是，这可能需要将离线支付应用程序部署到这些终端上以存储离线余额。因此，尽管现有的POS终端可能不需要修改即可进行在线数字英镑支付，但它们可能需要修改以实现离线支付。 有几个其他因素，例如运营、法律和商业考虑，将对销售点数字英镑支付的设计选择产生影响。这些因素在本实验中未进行测试。 背景 技术工作论文，伴随在2023年2月，该行发布了《银行与英国财政部的联合》关于数字英镑的咨询文件. 银行和 英国财政大臣办公室2024年1月确认进一步的前期准备工作是合理的，以使我们能够应对支付领域的发展，并在未来决定引入数字英镑的情况下，实质性减少准备时间。因此，银行和英国财政部已从数字英镑工作的研究和探索阶段转向设计阶段，这将导致在十年中旬左右做出是否建设数字英镑的决定。 设计阶段的目的是： 缩短数字英镑开发的交货期，并为我们配备所需的知识和能力，以进入建设阶段；确定建立数字英镑所需的技术可行性和投资；详细阐述数字英镑的技术和运营架构；评估和评价数字英镑架构的利益和成本；深化银行对央行数字货币（CBDC）技术的了解，并支持利益相关方对我们技术方法的了解；通过合作、知识共享、实验和概念验证，支持更广泛的英国数字货币技术产业的发展；并为是否引入数字英镑和进入建设阶段提供未来的决策基础。 在设计阶段，银行正与私营部门创新者和一系列利益相关者合作进行实验和原型验证（PoC）。这些实验和PoC并不表示要建设数字英镑或最终数字英镑设计的决定。它们的目的是评估数字英镑的技术可行性和技术政策影响，以便帮助银行和英国财政部探索数字英镑的设计，并为是否建设数字英镑提供支持决策的证据。通过在实验和PoC上进行合作，银行和英国财政部寻求催化私人部门在数字货币技术方面的创新，鼓励创新的数字货币商业模式，并支持英国金融科技行业的知识共享。 销售点可行性研究 正如在技术工作论文中所讨论的，为了使数字英镑实现其政策目标，它需要适用于日常支付，包括能够在店内进行支付。今天，店内卡支付是通过商家POS终端向付款人的卡发行机构发送支付指令来实现的。这由商家的收单机构和与付款人卡关联的支付方案来促成。 如果数字英镑能够利用现有的POS终端，这将减少，甚至可能消除商家投资新硬件的需求。现有的POS终端在英国有着广泛的采用，商家通常保持相同的终端多年而不更换它们。这些终端也熟悉于商家、其员工和消费者，提供了一致的用户体验。 银行的POS可行性工作分为两个阶段。首先，银行委托进行一项可行性研究，以探讨如何利用英国现有的POS基础设施进行数字英镑支付。研究得出结论，从技术角度来看，可以使用现有的POS硬件进行数字英镑支付，并突出了可以用来实现这一目标的不同的支付流程。本报告涵盖了银行POS可行性工作的第二阶段，即一个旨在验证可行性研究结果的原型验证（PoC）。 项目概述 咨询超音速[2]我们开发了这一原型（PoC）以帮助我们测试使用现有POS硬件进行数字英镑支付的启动。我们（银行和咨询Hyperion）使用了以下组件来模拟店内数字英镑支付： POS设备，即传统POS终端、移动POS终端以及运行在安卓手机上的软件POS应用；符合EMV标准的非接触式内核；[3]智能卡[4]与EMV应用[5]以及不同的验证方法，即消费者设备持卡人验证方法（CDCVM）。[6]并且在线PIN；由Consult Hyperion开发的一个代理服务器，被称为BoE API；以及一个显示余额、交易和错误日志的网页应用仪表板。 除此之外，我们开发了一个可以在POS设备上实现离线支付的应用程序。 实施 支付流 本实验探索了三种不同的支付流程： PASSTHRU – 在此情况下，支付请求通过商家的支付接口提供商（PIP）发送至BoEAPI；DIRECT – 支付请求直接发送至BoE API，绕过商家的PIP；以及PEER – 两个设备之间在没有网络连接的情况下进行支付，支持离线支付。 对于每笔支付流水，我们考虑了销售和退款交易以及交易查询。 PASSTHRU 此流程假设余额存储在由银行提供的核心账本上。 商家的POS设备请求支付。付款人将他们的设备在商家的POS设备上轻触。付款人可以使用CDCVM对他们的设备进行认证，或者在商家的POS设备上输入他们的PIN码。商家从POS设备向商家的PIP发送带有付款人认证数据的支付请求。商家的PIP将此请求（认证数据被加密）发送给BoE API，该API将其路由到付款人的PIP。付款人的PIP使用请求中的认证数据对付款人进行认证。认证成功后，付款人的PIP向核心账本发送支付指令，以从付款人转移到商家，转出数字英镑。数字英镑从付款人的钱包转移到商家的钱包，且交易数据可在Web应用中查看。[7] 直接 此流程假设余额存储在由银行提供的核心账本上。 商家的POS设备请求支付。付款人将他们的设备轻触商家的POS设备。付款人可以使用CDCVM对其设备进行验证，或者在商家的POS设备上输入他们的PIN码。加密的支付请求，连同付款人验证数据，从商家的POS直接发送到BoE API。BoE API将此请求路由到付款人的PIP。付款人的PIP使用请求中的验证数据对付款人进行验证。验证成功后，付款人的PIP将支付指令发送到核心账本，以将数字英镑从付款人转移给商家。数字英镑从付款人的钱包转移到商家的钱包，交易数据可在网络应用程序上查看。[8] 同行 本流程假定余额存储在用户的设备上。因此，可以进行离线支付，并立即确认和结算。 本流程还引入了“控制器”和“服务器”的交易概念。控制器是发起转账的应用程序。它可以位于商家POS设备或消费者设备上。服务器是接收转账请求的应用程序。[9]控制器或服务器可以是付款方或收款方。 控制器启动交易。服务器设备连接到控制器设备。在控制器的请求下，每个设备都会验证对方是否有效以进行交易，并且支付者使用CDCVM进行身份验证。如果验证成功，控制器将从控制器向服务器发送支付请求。如果此支付请求被接受，数字英镑将直接从支付者的设备转移到收款者的设备，支付者的余额在收款者的余额被贷记之前被扣除。如果设备处于在线状态，转账详情将立即通知核心账本并在网络应用程序中可见。如果设备处于离线状态，交易详情将存储在设备上，直到它们重新连接到网络。 智能卡上的EMV应用不适合存储离线余额，因为它们主要是作为风险管理对冲设计的。[10]因此，我们开发了一个新的应用程序，可以在智能卡上存储离线余额。这个新应用程序不是基于EMV标准，因此我们还需要在终端上部署一个新的内核，以便与之交互。 身份验证 我们启用了两种用户认证验证机制，即CDCVM和在线PIN。CDCVM是通过智能卡上的指纹传感器启用的。[11]尽管没有得到广泛采用，具备指纹识别功能的智能卡已经存在了多年，并且如今可用于POS支付。 为了设置这张卡，付款人将他们的指纹登记到了卡片上。在使用进行身份验证时，传感器上的指纹将与登记的指纹进行比对。指纹数据存储在用户的卡片上，并且从未传输到银行或用户的PIP。 在线PIN验证通过商家的POS终端、付款人的PIP、商家的PIP和英国银行（BoE）API之间的加密密钥交换得以实现。此过程确保了，与英国信用卡支付和自动柜员机（ATM）交易类似，用户的PIN安全传输。BoE API与商家的PIP（商家PIP工作密钥）以及付款人的PIP（付款人PIP工作密钥）共享密钥。不向银行传输任何个人数据。在选择了在线PIN验证的地方： PIN值在销售点终端上被捕获为加密的PIN块。 如果使用了PASSTHRU流程，PIN块立即被发送至商户PIP进行PIN翻译。[12]如果使用了直接流动，PIN块被发送到了BoE API，然后它被返回给商户PIP进行PIN翻译。 商家PIP将终端工作密钥中的PIN块翻译为商家PIP工作密钥，然后再将其发送到BoE API。BoE API将商家PIP工作密钥翻译为付款方PIP工作密钥，然后再将其发送到付款方的PIP。付款方的PIP检查PIN是否与付款方的参考PIN匹配，在批准认证之前。[13] 结果 支付流 我们成功实施了通过传统、移动和软件POS终端进行的PASSTHRU和DIRECT支付流程。 直接流要求所有POS终端连接到英国银行API（BoE API），这给密钥管理带来了重大的负荷。[14]在BoE API上。此外，由于支付指令直接发送到BoE API，它们附带的是主要账户号码（PAN）的SHA256哈希值，而不是PAN本身。[15]这确保了PAN不会被BoE API所看到。此流程未使用在英国今天常用的协会支付结算服务（APACS）70标准。[16]PAN是APACS 70文件定义中的必填字段。因此，APACS 70标准不适用于此实施中的DIRECT流动。 虽然我们成功地在传统的POS终端和软件POS应用程序中实现了PEER流，但由于无法访问终端的软件开发工具包，我们无法在移动POS终端中实施它。尽管存在这一限制，我们仍能够展示使用该支付流程的离线支付，因为支付可以在不立即连接到BoE API的情况下执行。 与DIRECT和PASSTHRU支付流程不同，PEER流程要求修改或更新POS终端的软件。 身份验证 我们成功实施了CDCVM和在线PIN验证，使支付方的PIP能够授权支付方。CDCVM验证适用于所有支付流程，无论是在线还是离线（PEER）交易。 在线PIN验证在PASSTHRU和DIRECT流程中均已实施。然而，由于DIRECT流程需要英国银行（BoE）API在将支付指令路由到付款方的PIP之前，将加密的PIN块发送到商家的PIP，因此引入了复杂性。此外，由于在线PIN验证需要在线批准，此验证机制不适用于离线（PEER）交易。 反思与下一步行动 这个实验证明了使用现有的POS硬件启动数字英镑支付的技术可行性。它有助于银行了解在POS机上启动数字英镑支付的需求，包括在线和离线。 这个原型（PoC）对数字英镑的设计选择做出了一些假设，包括应使用何种POS硬件、是否会有卡片以及卡片的类型、余额存储的位置以及适用的PIN码转换机制。目前，尚未做出此类设计选择。除了技术可行性之外，还有一系列考虑因素将影响店内数字英镑支付的设计选择。 1. EMV（Europay, Mastercard and Visa）是一系列技术规范，它使得基于卡片的支付可以在不同的支付方案中得到一致接受。 2.咨询超音速被授予销售点咨询服务合同。 3. EMV内核是实现EMV功能的软件应用，它使得支付处理成为可能。 4. 这些智能卡配备了指纹识别功能，使我们能够在不要求用户对智能手机进行身份验证。用户的指纹留在卡片上，并未与其他方共享。参见支付服务法规2017有关强大的客户身份验证要求的信息。 我们开发了基于EMV标准的应用程序，这些应用程序可以与POS设备上的EMV内核进行交互。 6. CDCVM使用户能够在自己的设备上而不是在商家的POS设备上进行身份验证。这机制支持非接触式支付。 第七条：交