在双离线支付中，交易报文的有效性只能由交易参与者通过交易终端来判断。显然，交易终端必须具备一定的由央行数字货币登记系统背书的权威性，上述判断才能做出。

由此推断，用于交易的央行数字货币钱包，必须由央行强监管，执行严格的安全标准，强制检测认证。具体应具备以下特点：

• 安装钱包软件的智能手机必须支持可信执行环境（TEE），且启用了安全启动、安全显示（TUI）等能力。钱包软件必须利用 TEE 对央行数字货币发行公钥、央行钱包认证根公钥、央行钱包认证子私钥、央行数字货币登记系统的服务器根证书、UTXO 账本信息、用户私钥等敏感信息加以保护；签名 / 验签、近场通信中交互的交易信息、UTXO 交易报文组装等敏感处理和用户信息的显示 / 输入，必须在 TEE/TUI 内进行，以防被篡改或窃取。尽管 SE 可以提供更高级别的安全保护，但 TEE 可以提供几乎覆盖所有智能手机的普适性，而能支持 SE 的手机则少得多。本文认为，放置在 TEE 中的敏感信息除用户私钥和央行钱包认证子私钥有不可泄露不可篡改的较高要求外，其他敏感信息主要是要求不可篡改，安全性要求相对低。用户私钥放置在 TEE 中虽然安全性低于 SE，但央行可以限制绑定在智能手机上的数字钱包的最大存币量，从而控制其风险（更大的存币量要求可以使用数字货币芯片卡而非智能手机钱包）。央行钱包认证子私钥则可以通过限制有效期，联网时定期更新，来控制风险。并且，作为兜底，必要时央行数字货币登记系统有可能通过回滚中心化账本而挽回损失。此外，用户有备份私钥以便更换手机时可以在新手机上导入钱包的要求，而 SE 出于安全考虑，一般只能导入私钥而无法导出私钥，因此用户私钥保存在 TEE 中也便于用户离线备份。
• 每个用户账号只能绑定在一个钱包上，并且只能在一台智能手机上激活。激活时，手机必须联网，并由央行数字货币登记系统对手机安全性进行远程认证（例如检测手机没有被 root，也不是在调试状态，详见「一种抗作恶的双离线支付方案」一节），通过后，登记手机标识信息。更换手机迁移账号必须在联网状态下完成。该过程中，央行数字货币登记系统通过验证码、身份证等方式进行用户身份验证。确保每个用户账号只能在一台智能手机上发起交易，是为了保证离线状态下，只有一套 UTXO 离线账本，防止恶意用户在多个设备上对同一 UTXO 签署多个不同的交易报文（抗「双花」）。
• 钱包应当在 TA （Trusted Application 可信应用，指钱包软件运行在 TEE 中的部分）中初始内置央行数字货币发行公钥、央行数字货币登记系统的服务器根证书、以及央行钱包认证根公钥。 (责任编辑：admin)