央行数字货币DCEP双线下支付场景分析及解决方案

2019年6月，自Facebook主导的加密货币项目Libra发布白皮书以来，全球主要国家央行开始密集释放数字货币发展信号。 2019年8月以来，中国人民银行多次表示将加快法定数字货币（央行DC/EP）的研发步伐。

中国人民银行支付结算司副司长穆长春在《科技与金融前沿：Libra与数字货币前景》课程中提到，央行数字货币可以像纸币一样实现“双线下支付” ，即支付和支付都处于离线状态。 以后只要两个人都安装好央行数字货币的数字钱包，不需要网络，不需要信号。 只要手机有电，两部手机就可以通过相互触碰实现实时传输。

截至目前，虽然关于如何实现“双离线支付”的文献还不多，但从已有的文献中可以探寻到一些蛛丝马迹。 本文试图从交易设备的角度简要探讨双离线支付的原理、难点和技术解决方案。

•概述•

央行数字货币主要交易场景在线，交易结果即时反映在央行数字货币登记系统中。 双离线支付场景是指数字货币交易的付款方和支付方在交易过程中都不能直接或间接连接到线上账本的场景，是对联网交易场景的补充。

根据公开的新闻报道和文献解读[1]，央行数字货币拟采用集中发行和集中管理的两级运行体系。 每个数字货币的所有者由中央银行的数字货币登记系统记录和更改。 具体场景 此外，还有商业银行参与。

为简单起见，本文将央行数字货币账本和管理机制统称为央行数字货币登记系统，终端（可能通过商业机构）与央行数字货币的交互协议和密钥系统。数字货币注册系统 在交易过程中，将付款人私钥签名的交易报文简单地提交给终端的中央银行数字货币注册系统。

为了简单起见，本文只讨论收款方和收款方的交易终端均为智能手机的场景。 收款方为智能手机，支付方为数字货币实体芯片卡，或者一方或双方为配备专用数字货币芯片的特殊设备的场景，基本适用本文所述的原理。

本文提出以下几点：

1. 数字货币双离线支付的基本原理是付款人在离线状态下构造并签署交易报文，通过近场通信将已签署的交易报文传递给收款人，并在连接时提交给中央银行网络数字货币注册系统记录。 这个过程可以类比为付款人现场签发支票，然后收款人到银行兑现支票。

2、双离线支付最关键的问题是解决签名交易消息的防伪识别问题，包括验证数字货币本身的真伪，验证发出交易的付款人是否为数字货币的所有者。 智能手机上的央行数字货币钱包必须受到央行的强力监管。 解决防伪问题的关键技术措施是利用智能手机TEE保护央行数字货币钱包，抵御恶意攻击。

3、如果双线下支付只需要单笔线下交易，即线下赚取的数字货币必须在线确认后才能再次交易，那么数字货币的可变面额更有利于提高使用的便利性. 如果需要在离线状态下支持数字货币的二次流通，即离线赚取的数字货币可以在线下消费，那么采用固定面额的数字货币更为稳妥。 实现线下二次流通的关键技术措施，也是TEE保护的央行数字货币钱包。

4、中央银行的数字货币钱包只能绑定一台同时满足安全要求的智能手机，保证一个控制者（数字货币的拥有者）的一个公私钥对账户只能绑定到同时使用一部智能手机。 对于线上支付，收款方需要验证支付方钱包是否为央行认证的合法钱包，以抵御线下双花。 实现钱包手机绑定的关键技术手段是基于手机根信任的远程认证（Remote Attestation）技术。

•双线下支付的特点和技术要素•

根据中国人民银行的相关说法，央行数字货币的主要目的是替代M0，即纸币数字化。 以纸币为参照物，央行的数字货币除了像今天的网上银行、微信支付、支付宝一样可以在线下收付，还必须能像纸币一样方便地在线下使用。

下面就央行数字货币的上述特征进行炒作原因分析。

1.线下交易

与没有所有者ID的纸币不同，央行数字货币有所有者ID，央行数字货币登记系统的中心化账本维护着数字货币的所有者ID。 由于央行数字货币的所有权最终由央行数字货币登记系统确认，因此央行数字货币的主流交易形式应该是线上交易[iii]，双线下交易是线上交易的补充。

网上交易的基本原理是付款人用绑定的私钥签署支付承诺（给谁多少），并提交给中央银行的数字货币登记系统，由中央银行验证交易的数字货币有效，付款人签字及支付承诺生效后，交易确认完成。

双线下支付的本质是双方认可的延迟交易。 在双离线支付过程中，付款人用绑定的私钥签署支付承诺，然后将签署的支付承诺交给收款人。 收款人在网络恢复后向中央银行提交支付承诺。 由于付款承诺已由付款人签署，虽然由收款人提交给中央银行，但经中央银行核实后也可完成交易确认。 这类似于付款人开出支票，然后收款人凭支票向银行要求付款。

双离线支付的基本流程如图1所示。

图1 央行DC/EP双离线场景基本流程

纸币具有无限流通的能力。 例如，商户A收到客户A支付的钞票，可以作为零钱支付给客户B，客户B可以拿着这张钞票支付给商户B。

央行数字货币在线下交易中面临两种选择：一是只支持单笔线下交易，即线下赚取的数字货币必须在线上确认后才能再次交易； 或者支持离线状态下数字货币的二次流通，即离线收入数字货币可以在线下消费。

线下二次流通是根据数字货币的最新上线状态，每个线下流通中的持有者依次对交易进行签名，形成一个连续的签名序列。 只要签名序列中初始签名的拥有者与在央行数字货币登记系统中注册的相同，且签名序列顺序有效，联网后，央行数字货币系统就可以兑现数字货币到最后签名。 指定收款人。 线下二次流通类似于支票背书。 只要背书连续有效，银行就可以兑现最后背书指定的收款人。 由于央行数字货币所有权的最终确认必须在线上进行，出于风险控制的考虑，央行可能会对每种数字货币的线下流通数量进行一定的限制。 数字货币线下流通数量超过一定门槛后，可能需要联网与央行数字货币登记系统同步，才能再次线下流通。

线下单笔交易和二次流通本质上只是单次和多次的区别，但二次流通面临更严苛的防伪考验比特币代付支付宝付款，在便利性和方便性上要付出代价（详见后文“货币识别与货币面额”）和“防伪”章节）。

如果作为纸币和硬币的替代品，要达到类似的线下流通能力，央行数字货币应该可以实现线下二次流通。 但是，考虑到当今中国几乎无处不在的网络覆盖，对于数字货币线下二次流通的小概率是否值得去讨论是否值得付出相关的代价，已经超出了本文的讨论范围。

2. 账户/代币范式

提及电子非现金M1和M​​2账户、微信支付、支付宝账户以及比特币、以太坊等公链数字货币，有两种典型范式：账户范式和通证范式。

今天的银行账户属于账户范式。 开户一般需要审批，尤其是个人银行账户和支付账户需要严格的身份验证要求。

比特币、以太坊等区块链虚拟货币属于Token范式，对用户开放度高。 任何人根据数字签名算法生成公私钥对，就可以在区块链中拥有一个地址。 根据交易过程和余额计量的不同，Token范式主要有两种模型：余额模型和UTXO模型[iv]。

本节讲解UTXO模型时，以固定面额UTXO模型为例。 详见“货币标识和货币面额”部分。

根据中国人民银行等机构发布的信息，央行数字货币更有可能采用Token范式的UTXO模型。 从线下支付的角度，本文认为 UTXO 模型比余额模型更适合央行数字货币。

余额模型在处理离线条件下的二次流通时，存在严重的兑现订单问题。 例如，某商户原本账户中有50元，先收到客户A线下支付的100元数字货币（客户A签署的支付承诺），然后线下向供应商A支付120元数字货币（商户签署） ) 付款承诺）。

若商户尚未恢复联网，供应商A先联网，向央行提交商户签署的120元支付承诺。 此时商户央行账本上只有50元，无法完成120元的支付。 该问题的解决方案是，商户将客户A签署的付款承诺100元交给供应商A，供应商A先将客户A签署的付款承诺提交给央行，再将商户签署的付款承诺发送给中央银行。 承诺向中央银行提交。

然而，这并不完美。 当客户和供应商较多，线下交易较多时，要求多方协商向央行提交已签署支付承诺的顺序，在实践中难以操作。

UTXO模型的支付过程是围绕每一种数字货币进行的。 在UTXO模型下，在数字货币的多次离线流通过程中，流通过程中的每个币种所有者将依次签署自己的支付承诺，连同之前签署的支付承诺一起转让给下一个所有者。 只要每个签名都可以连续追溯，并且第一个签名与央行数字货币登记系统中记录的所有者一致，那么这个数字货币就可以兑现到最后一个签署的支付承诺人指定的收款人。 任何人在离线状态下收到的数字货币，只要联网即可兑现，与其他人无关，且无兑现顺序要求。 因此，从线下支付的角度来看，UTXO模型更适合央行数字货币。

三、货币标识和货币面额

根据面额是否固定，UTXO可以细分为两个子模型：可变面额的UTXO和固定面额的UTXO。

比特币采用可变面额 UTXO 模型。 当一个或多个 UTXO 在一笔交易中被花费时，它被分成一个或多个 UTXO 给一个或多个接收者，一个 UTXO 给自己找零（如果找零可用），以及矿工的交易费用分为三部分，这三部分的总和等于花费的 UTXO 数量的总和。

在这种模式下，UTXO 并不是永久存在的。 在UTXO存续期间，有一个唯一的owner（即前一个owner签署的交易中指定的收款人），owner不可更改。 一旦用完，就会销毁。 同时，一个新的UTXO诞生，并在当前交易中指定新UTXO的所有者。 UTXO 由生成它的交易标识。 例如，比特币使用交易消息的哈希值加上交易中UTXO的输出序列号来识别UTXO。

固定面额的 UTXO 模型与纸币非常相似。 在这个模型中，每个 UTXO 在发出时都被编译成一个永久唯一的标识符，而账本维护每个已识别的 UTXO 的所有者是谁。 消费时，像纸币一样，固定面额的 UTXO 只能按照面值参与交易。 如果交易金额不等于面额，那么要么使用多个不同面额的UTXO来凑齐交易金额，要么收款人找零。 如果发件人和发件人都没有足够的零钱，交易可能不会通过。

在固定面额 UTXO 模型下，除非 UTXO 被发行方标记为销毁，否则其标识是永久性的，其交易实际上是 UTXO 所有者的变更。

对于比特币，由于交易需要支付金额不等的交易手续费，因此只能采用可变面额UTXO模型。 如果采用固定面额的UTXO模型，可能需要本次交易以外的UTXO来收取交易手续费，而使用其他UTXO实际上构造了新的交易，进而产生交易手续费，最终导致交易无法进行模型收敛。

央行数字货币，根据其公开报道的替代M0的目的，应该是没有交易手续费的。 因此，在技术上，可变面额和固定面额 UTXO 模型都可以采用。

如果央行数字货币采用可变面额UTXO模型，则：

如果央行数字货币采用固定面额UTXO模型，则：

两种模式相比，可变面额UTXO模式无需准备零钱，使用更方便，但UTXO标识不固定，央行监管更复杂。 在线下交易的情况下，交易产生的 UTXO 无法通过中央银行的认证，攻击者可能不容易伪造数字货币。 虽然收款人长时间不在线下的可能性较小，但一旦出现假钞，可能会给群众造成不好的印象，影响央行数字货币线下交易的健康发展。 为了控制其风险，如果采用可变面额UTXO模型，可能需要限制一种数字货币只能进行一次线下交易，然后必须联网并与央行数字货币注册系统同步在它可以再次交易之前。

固定面额UTXO模型虽然需要零钱，使用起来不太方便，但是由于央行数字货币发行的公钥可以用来验证任何数字货币的真伪，即使发生线下恶意攻击，攻击者只能将同一种数字货币以“双花”的方式离线多次支付给多个不同的人，而数字货币本身是无法被伪造的。 这样更有利于防范金融风险的发生，可以支持线下二次流通。

在下面的“防伪”部分，我们将进一步阐述使用TEE实现防伪，尤其是离线防伪的能力。

基于以上分析，本文认为，如果双线下支付只需要单笔线下交易，即线下赚取的数字货币必须在线确认后才能再次交易，则数字货币的可变面额为更有利于提高使用的便利性。 如果需要在离线状态下支持数字货币的二次流通，即离线赚取的数字货币可以在线下消费，那么采用固定面额的数字货币更为稳妥。

4.货币所有者身份识别

数字货币使用公私钥对中的公钥（或公钥的某个哈希值）来标识所有者。 只有配对的私钥签署的数字签名才能被公钥成功验证。 数字货币必须经过签名验证才能使用。 相关原理本文不再赘述。

5. 匿名

匿名性是指是否公开币主的真实身份。

由于数字货币的拥有者是通过公钥来识别的，所以匿名问题实际上就是公钥与持有公私钥对的人的真实身份之间的关系是否公开。

对于央行的数字货币，匿名性取决于用户在打开数字钱包时进行的KYC（Know Your Customer）的程度。 一般解读为只有中央银行才能通过KYC更高层级的KYC流程掌握用户真实身份，而一般商业机构并不知道公钥与用户真实身份之间的关系。

6、防伪

防伪是双离线支付的核心问题。 本节重点介绍固定面额UTXO模型来说明防伪的实现，必要时对可变面额UTXO模型的区别进行说明。

在网上交易中，将已签名的交易报文提交给央行数字货币登记系统后，由央行数字货币登记系统负责对交易报文的有效性进行权威判断。 获得相关 UTXO 所有者变更的确认。

央行数字货币注册系统至少要判断以下几点：

在双离线支付中，交易消息的有效性只能由交易参与方通过交易终端进行判断。 显然，交易终端必须具备一定的央行数字货币登记系统背书权限，才能做出上述判断。

可以推断，央行用于交易的数字货币钱包必须受到央行的强力监管，执行严格的安全标准，并进行测试和认证。 具体来说，它应该具有以下特点：

上述三个需要预置在钱包TA中的公钥/证书的作用分别是：

（一）央行数字货币发行公钥

央行数字货币发行的私钥用于对央行发行的每一种数字货币进行签名。 其对应的公钥应内置在钱包TA中，以便离线验证数字货币的真实性。

如果央行数字货币采用面额不定的UTXO模型，那么只有上一次线上交易产生的UTXO可以用央行数字货币发行的私钥进行签名，而线下交易产生的UTXO则不能进行签名由央行数字货币发行的私钥签名，不能由央行数字货币发行的私钥签名。 流通过程中的签名验证，因此只能进行单笔离线交易。

如果央行数字货币采用固定面额UTXO模型，那么每一枚数字货币在最初发行时都是由央行用央行数字货币发行私钥签名的，在流通过程中不需要重新签名过程。 因此，可以进行离线二次循环。

(2)央行数字货币注册系统服务器根证书

该根证书用于钱包软件接入央行数字货币注册系统时验证央行数字货币注册系统的真实性，从而抵御DNS攻击和中间人攻击。 央行数字货币注册系统可能有多个服务入口，根证书用于验证所有这些入口服务器的证书。

该证书还用于协商远程通信的通信密钥。

(3) 央行钱包认证根公钥

央行钱包认证根公钥对用于线下交易比特币代付支付宝付款，收付款双方相互验证对方的数字钱包是央行认证的合法钱包。

由于用户知道自己的私钥，恶意用户可能利用私钥签署合法的交易报文，在离线状态下对自己的一种数字货币进行多次交易。 为防御线下双花攻击，收款方必须验证付款方的交易报文是由央行认证的数字钱包发送的。

钱包激活过程中，央行通过手机远程认证完成钱包与智能手机的绑定后，由央行钱包认证根私钥导出钱包的认证子私钥密钥根据钱包标识、绑定时间、密钥有效期等因素确定。 密钥通过央行数字货币注册系统服务器根证书建立的安全通道下载到钱包并存储在TEE中。

在交易中，支付方必须使用上述钱包认证子私钥对交易中传递的消息进行签名（包括子私钥的推​​导要素和用户私钥签名的交易消息）。 收款方需根据推导因子从预设的央行钱包认证根公钥中推导出支付钱包对应的子公钥，检查密钥是否在有效期内，验证交易通信报文是否来自合法钱包。

密钥对还用于协商用于近场通信的通信密钥。

除了以上特点，为了方便用户在双离线支付中使用，央行数字货币钱包还应该具备这些能力：

收款人钱包可以通过近场通信将收款地址告诉付款人钱包；

如果央行数字货币采用固定UTXO模型，付款人钱包应验证是否有足够的UTXO用于支付，并与收款人钱包协商确定如何组合合适的UTXO来补足交易金额和补零;

收款人钱包应检查付款人提供的已签名交易消息中的收款人是否正确，并使用TUI将交易金额安全地呈现给收款人进行确认。

•一种双线下支付方式•

动机分析

如前所述，双离线支付的基本流程是付款人用自己的私钥对交易报文进行签名，然后通过近场通信提供给收款人，付款人或收款人将交易提交给央行的数字货币注册系统已备案。 本节分析此过程中可能存在的恶意动机。

由于双线下支付的进入无法在收款人回网前在央行数字货币登记系统中得到确认，因此交易的执行与交易的确认存在时间差。 交易双方（主要是付款方）都可能利用这个时间差来作恶。

例如，在双离线场景下，甲方给乙方一个签名的交易消息，并让乙方相信消息可以按预期传递给乙方，于是乙方向甲方提供了某种商品。但是，如果甲方之后B重新上线，发现消息无法按预期记录，此时甲方已经离开，由于央行数字货币的匿名性，乙方无法知道甲方是谁，可能会比较困难追踪。

一种反恶意双离线支付方案

根据前述分析，本节介绍双离线支付方案。 程序的总体架构如图2所示。

图2 某央行数字货币双离线支付方案总体架构

（一）央行数字货币注册系统

本文将简化整个央行数字货币的操作系统称为“央行数字货币注册系统”。 该系统负责中央银行数字货币的发行、销毁和所有者变更。

(2) 智能手机和钱包

在本文中，央行数字货币以智能手机为载体。 钱包的敏感部分在可信执行环境TEE中实现。

当连接到互联网时，钱包与中央银行的数字货币注册系统同步钱包中账户拥有的 UTXO 信息。 线下交易时，收款人和付款人通过近场通信（NFC、蓝牙、互扫二维码等）交换交易信息和交易消息。 收款方随后返回互联网时，将线下期间签署的交易报文提交至央行数字货币登记系统，完成交易录入。

(3) 手机远程认证系统

手机远程认证系统由手机芯片厂商或手机厂商提供。 此函数用于验证特定数据是否由特定手机发送。 在央行的数字货币钱包应用中，利用该功能实现一个账户只能在一个钱包里，绑定一部手机。

主进程

(1) 生产时预设要求

央行数字货币钱包需要手机厂商提前授权使用其TEE。 央行数字货币钱包APP出厂时不需要预置到手机中，而是位于TEE的可信应用（TA）部分。 需要手机厂商提前签名，让用户下载后，手机允许安装运行。 智能手机如何使用其信任根来安全启动和验证TA是否被授权超出了本文的范围，将不展开。

The TA part of the central bank's digital currency wallet is responsible for presetting the central bank's digital currency issuance public key, the central bank's wallet authentication root public key, the server root certificate of the central bank's digital currency registration system, storing UTXO account information, the central bank's wallet authentication sub-private key, and user private keys, etc. Sensitive information, handle sensitive operations such as signature/signature verification, transaction information interacted in near field communication, UTXO transaction message assembly, and use the secure display (TUI) to realize the display/input of user information.

(2) Wallet activation

When a user applies for a digital currency account to the central bank's digital currency registration system, or changes a mobile phone for wallet migration, the wallet needs to be activated in order to register the device identification with the central bank's digital currency registration system and associate its digital currency account to ensure that an account can only be used in one transactions on mobile phones.

① The user downloads the central bank digital currency wallet on the mobile phone.

②The digital currency wallet connects to the server of the central bank's digital currency registration system and uses the root certificate of the central bank's digital currency registration system preset in TEE to verify that the server is genuine.

③ The central bank's digital currency registration system uses the mobile phone remote authentication system to verify the mobile phone to confirm that the mobile phone is real and safe (not an Android emulator, not rooted, etc.), and obtains the trusted identity of the mobile phone through the verification process ( Different from the IMEI, the identity is the public key of the public-private key pair associated with the remote authentication function of the mobile phone, which can authenticate the signature of the mobile phone in the remote authentication), and registers the association between the user's digital currency account and the trusted identity of the mobile phone. Remote authentication is essentially to use the public-private key pair embedded under security conditions during the production of mobile phones to perform signature authentication on the subsequent data generated on the mobile phone (including the trusted identification of the mobile phone). Huawei's mobile phone root key module and Qualcomm's QWES (Qualcomm Wireless Edge Service) all provide this function. The specific scheme of remote authentication is beyond the scope of this article and will not be repeated here.

④The user goes through the necessary KYC process. KYC has multiple levels of strength and weakness. From weak to strong, it may include: mobile phone verification code authentication, name ID card number authentication, ID card photo + face comparison authentication, second-generation ID card or eID citizen network identity + face comparison authentication, counter processing Face-to-face certification, etc. Except for over-the-counter processing, everything else can be done online.

⑤ The central bank digital currency registration system derives the wallet authentication key, and sends the derived parameters and the generated sub-private key to the wallet.

⑥ All communication processes are encrypted.

(3) Ledger synchronization

When the mobile phone is connected to the Internet, the wallet is connected to the central bank's digital currency registration system for account book synchronization. The ledger synchronization information mainly includes all UTXOs owned by the digital currency account in the wallet:

In addition, in order to carry out risk control, according to the different KYC levels, the central bank's digital currency registration system may have certain restrictions on the total daily transaction amount, transaction number, single transaction amount, offline transaction limit, and offline maximum time limit of a specific digital currency account. 限制。 The wallet needs to download relevant control strategies and implement them during transactions.

(4) Offline transaction

Offline transactions involve multiple interactions between the sender and the payer. NFC and Bluetooth are convenient for two-way communication, which is more convenient. The two-dimensional code can only communicate in one direction, and the two parties need to scan each other multiple times to achieve two-way communication, which is inconvenient to operate.

①The receiving and paying parties establish a near-field communication channel, send Challenge and their own wallet authentication key derivation parameters to each other, and the other party uses the central bank wallet authentication root public key preset in the TEE to derive the other party's wallet sub-public key, and determine that it is within the validity period. And verify its transaction message to ensure that the other party is a wallet certified by the central bank. Then the two parties conduct near-field communication key negotiation, and the subsequent process is encrypted.

②The payee's wallet sends the transaction amount and the payee's digital currency account number to the payer.

③The payer's wallet combines the UTXOs of various denominations it owns according to the transaction amount to make up the transaction amount. If the central bank's digital currency adopts a fixed-denomination UTXO model, if it cannot be made up, it will be negotiated with the payee through near-field communication to make change. Or prompt the user to perform manual negotiation. If the variable denomination UTXO model is adopted, it is only necessary to collect UTXOs greater than or equal to the transaction amount.

④The payer wallet constructs the transaction message and signs it.

⑤ The payer's wallet sends the signed transaction message to the payee. If it is an offline secondary transfer, all signed transaction messages of the UTXO participating in the transaction that have not been connected to the account before are also sent to the payee.

⑥The payee's wallet uses the central bank's digital currency to issue a public key to verify that the digital currency is real.

⑦The payee's wallet verifies the transaction signature, checks the receiving account, updates the local offline UTXO ledger information, and presents the transaction amount to the payee through the TUI.

⑧ After the payee confirms that it is correct, he will deliver the goods purchased by the payer to the payer.

⑨If the central bank's digital currency adopts the fixed denomination UTXO model, if there is change, a payment from the payee to the payer is initiated, and the process is the same as before. If the variable denomination UTXO model is adopted, the change UTXO is realized by the payer pointing the owner to himself in the payment transaction.

In order to control risks, wallets may limit the number of UTXO transfers under offline conditions. After a certain number of times, the UTXO can no longer participate in offline transactions, and must be connected to the Internet and synchronized with the central bank's digital currency registration system. The wallet may also limit the maximum time offline. After a certain time, it must also be synchronized online.

(5) Delayed transaction entry

After the payee returns to the Internet, the signed transaction message of the UTXO received offline and not spent offline is submitted to the central bank's digital currency registration system for entry. If the UTXO is obtained after the second transfer, it is also necessary to submit all signed transaction messages of the UTXO during the offline transfer process.

*The author of this article is the CTO of Molian Technology

参考：

Zero One Think Tank China Central Bank Digital Currency: Operating Framework and Technical Analysis;

"China Finance" Yao Qian: New financial market infrastructure based on blockchain;

Zou Chuanwei, Chief Economist of Wanxiang Blockchain & PlatON: Preliminary analysis of DC/EP of the People's Bank of China;

Patent CN201811240336-offline payment method, terminal and agent delivery equipment based on digital currency, People's Bank of China Printing Science and Technology Research Institute, Yao Qian et al. Patent CN201610179317-method and system for offline payment using digital currency chip card, Industrial and Commercial Bank of China Co., Ltd., Zan Chuanhui, etc.;

https://github.com/ethereumbook/ethereumbook