管理交易数据组的方法、参与者单元、交易登记册和支付系统

技术领域

本发明涉及一种用于在传输电子币数据组时管理交易数据组的在第一参与者单元中的方法、一种在交易登记册中的方法、一种参与者单元、一种交易登记册和一种支付系统。

背景技术

保护隐私对社会来说是一项重要的价值，尤其是在涉及如支付信息之类的非常敏感的数据时。支付交易和相关支付交易数据的安全意味着保护交换的数据的机密性；以及保护交换的数据的完整性；以及保护交换的数据的可用性。

在此，对于电子币数据组，必须能够证明基本的控制功能，特别是(1)识别多次输出过程，也称为双重支出，以及(2)识别无资金支付。在情况(1)中，有人试图多次输出相同的币数据组，在情况(2)中，有人试图输出币数据组，尽管他不(不再)拥有存款。

为了说明情况(1)，在图1a和图1b中示出了一种支付系统，在该支付系统中，可以在支付系统中的终端设备M之间直接以电子币数据组C的形式交换资金价值数额。在终端设备M之间的直接传输中，不需要支付系统的中央实体、例如币登记册2。在图1a中，终端设备M1将币数据组C

在图1a的支付系统中，终端设备M2进一步分割币数据组C

如图1b所示，当终端设备M7将币数据组C

此外，由于电子币数据组的大量交易并且也由于延长的使用寿命，对电子币数据组进行操纵的风险增加。

从长远来看，应该有可能完全放弃现金(纸币和模拟币)，至少放弃模拟币。

在一定情况下可能期望的是，例如当怀疑有犯罪活动时，按照符合规定的程序限制隐私。迄今为止，支付系统保护参与者的隐私。

发明内容

因此，本发明要解决的技术问题是，提供一种方法和一种系统，在所述方法和系统中，支付系统的参与者之间的支付交易被安全地但仍然简单地设计。在此，尤其应在参与者单元之间实现直接且匿名的支付，所述参与者单元例如是设备、令牌、智能手机、安全元件，但也可以是机器、销售点终端设备或自动售货机。多个币数据组应该可以在参与者(用户)处任意彼此组合和/或分割，以便能够实现灵活的交换(传输)。交换的币数据组应当对其他系统参与者保密，但允许每个系统参与者对币数据组执行基本检查，即(1)识别“多次输出尝试”；(2)识别以不存在的货币数额进行支付的尝试；(3)识别针对已经输出的币数据组的返还标准、例如币数据组应当到期。

特别是，应该有可能按照官方询问对交易进行去匿名化处理，以便例如允许刑事起诉。

所述技术问题利用独立权利要求的特征来解决。其他有利的设计方案在从属权利要求中进行描述。

所述技术问题尤其通过第一参与者单元、优选第一安全元件中的方法来解决，该第一参与者单元具有在支付系统的币登记册中登记的电子币数据组。该方法具有以下方法步骤：产生交易数据组，该交易数据组与电子币数据组到第二参与者单元、优选第二安全元件的传输相关，或者与电子币数据组在币登记册处待登记的修改相关；利用密码密钥对产生的交易数据组进行加密，其中，密码密钥由分别不同的远程实体的至少两个密码子密钥、优选至少三个密码子密钥组成；并且启动与交易登记册的通信连接建立，以便将加密的交易数据组发送到交易登记册。

在一定情况下可能期望的是，例如当怀疑有犯罪活动时，按照符合规定的程序限制隐私。通过根据本发明的方法将对保密信息的访问权授予定义的(特定)人群、特别是刑事起诉中的执法机构，以便防止或起诉犯罪。为了获得访问权、即为了能够对加密的交易数据组进行解密，需要不同远程实体的多个(至少两个)子密钥。因此进一步维护了支付系统的机密性和数据完整性。

在下面的描述中，交易数据组的通信过程(＝发送)在概念上与币数据组的通信过程(传输)分开。

特别地，电子币数据组是代表资金价值(＝货币)数额的电子数据组，也通俗地称为“数字币”或“电子币”，英文称为“digital/electronic Coin”。在所述方法中，资金价值数额可以从第一终端设备变更到其他终端设备。在下文中，资金价值数额被理解为数字数额，该数字数额例如可以记入金融机构的账户中，或者可以兑换成另外的支付手段。因此，电子币数据组代表电子形式的现金。

用于传输资金价值数额的电子币数据组与用于数据交换或数据传输的电子数据组、例如交易数据组基本上不同，因为例如经典的数据交易是基于问答原则或基于数据传输伙伴、例如参与者单元和交易登记册之间的相互通信进行的。然而，电子币数据组是唯一的、明确的并且处于安全概念的上下文中，该安全概念例如可以包括掩蔽、签名或加密。在电子币数据组中，原则上包含进行接收的实体在验证、认证和转发给其他实体方面所需的所有数据。因此，在这种类型的数据组的情况下，终端设备之间在交换时的相互通信原则上是不需要的。

与电子数据组的复制、即数字数据的拷贝不同，有效的电子币数据组只允许在支付系统中唯一地存在。尤其在传输电子币数据组时，必须遵守该系统要求。

为了安全地设计传输协议，电子币数据组通过相应的参与者单元、例如通过集成在那里的安全元件进行管理，并且也通过该参与者单元进行传输。在一种优选的设计方案中，将安全元件运行准备就绪地引入到参与者单元中。在此，参与者单元可以包含应用程序，用户(＝参与者)通过该应用程序控制支付过程并且在该支付过程中访问安全元件的电子币数据组。

参与者单元例如可以是诸如智能手机、平板电脑、计算机、服务器或机器之类的移动终端设备。电子币数据组例如从第一参与者单元的(第一)安全元件传输到另外的参与者单元的(第二)安全元件。在此，可以建立参与者单元到参与者单元的传输路径，通过该传输路径例如在两个安全元件之间建立安全通道，然后通过该安全通道传输电子币数据组。在参与者单元上运行准备就绪地引入(安装)的应用程序可以通过使用相应参与者单元的输入和/或输出装置来启动和控制币数据组的传输。例如可以显示电子币数据组的数额并且可以监督传输过程。

根据本发明规定，交易数据组由第一参与者单元、即发送(至少一个)币数据组的参与者单元产生。交易数据组包括能够在整个传输(支付交易)中明确地识别支付系统的两个参与者单元之间的币数据组的传输所需的信息。交易数据组在此尤其包括参与传输的参与者单元和关于待传输的币数据组的信息。利用(解密的)交易数据组，可以明确地重建电子币数据组的传输。

在一种优选的设计方案中，交易数据组至少具有第一参与者单元(＝发送者)的标识符或地址、即用以可以在支付系统中明确地识别该安全元件的数据。此外，交易数据组至少具有第二参与者单元(＝接收者)的标识符或地址、即用以可以在支付系统中明确地识别该安全元件的数据。此外，交易数据组具有电子币数据组的资金价值数额。

在另一种优选的设计方案中，交易数据组具有交易号。该交易号例如是在产生步骤之前产生的随机数。为此，优选地使用参与者单元或安全元件的随机数发生器。替换地或附加地，交易号是交易的识别号，该识别号对于第一参与者单元的传输是明确且唯一的。附加地，交易号可以是支付系统中的交易的标识。

在另一种优选的设计方案中，交易数据组还具有对应于待传输的电子币数据组的掩蔽的电子币数据组，优选地代替电子币数据组的资金价值数额或代替电子币数据组。掩蔽将在稍后解释。不引入电子币数据组使得能够保留两个系统要求，即，电子币数据组在系统中仅存在一次(并且在交易数据组中没有副本)，其次，拥有电子币数据组将有权进行支付，即尚未加密的交易数据组(可能在传输到第二参与者单元之后)或解密的交易数据组将包含潜在的可用于支付过程的币数据组，并且因此欺诈风险上升。

在另一种优选的设计方案中，交易数据组具有交易时间点。为此，生成时间戳并将该时间戳添加到交易数据组中。时间戳优选地在支付系统范围中是唯一的。

交易数据组可能包含其他数据、例如交易地点(GPS)。但是，该交易地点优选地由所提及的数据组成。

在一种优选的设计方案中，第一参与者单元将交易时间点(以明文形式)添加到加密的交易数据组中，例如作为元数据。因此，该交易时间点可以在交易登记册中作为用于计算加密的交易数据组的删除时间点的输入参数。因此，例如在存货数据存储的框架中，加密的交易数据组可以在设定的存储时间(例如X个月或Y年)到期后从交易登记册中自动删除。这对于如下情况是有利的：交易数据组在时间上在币数据组的传输之后很晚地才发送到交易登记册，以便不延长存储(可能以非法的方式)。

也可以以明文形式添加交易数据组的一个或多个标识符作为进一步的元数据。

在另一种优选的设计方案中，交易数据组具有第二参与者单元的接收确认。接收凭证用作在第二参与者单元中按照规定地接收电子币数据组的证明或收据，并且在第一参与者单元中拥有接收确认证实了电子币数据组的按照规定的传输。

该交易数据组首先与对支付系统的匿名性要求相矛盾。出于这个原因，交易数据组在后续步骤中被加密。交易数据组的加密优选地紧接在其产生之后进行，更优选地，产生和加密作为原子运算进行。加密利用密码密钥进行。因此，交易数据组对于未参与的第三方而言不可查看，并且该交易数据组的内容对于该未参与的第三方是隐藏的。因此确保了为窥探未加密的交易数据而对参与者身份模块进行的攻击不会成功。

密码密钥由至少两个子密钥组成。每个子密钥都来自(唯一的)远程实体。远程实体彼此独立。远程实体只知道并拥有一个(自己的)子密钥。远程实体尤其不知道也不拥有另外的远程实体的子密钥。密码密钥的组成还包括推导出PKI密钥基础设施的用于进行加密的公钥部分，该公钥部分在必要时在使用组合的私钥部分的情况下生成。

远程实体在此是指，该实体不是参与者单元的本地实体。远程实体优选地不是支付系统的币登记册、不是支付系统的交易登记册并且不是支付系统的监督登记册，因此为了保持支付系统中的匿名性和中立性，独立支付系统的登记册实体无法对加密的交易数据组进行解密或者说不能贡献用于解密的子密钥。

因此，交易数据组可以以加密形式存储在可信的位置、即交易登记册中。作为法院判决的结果，该加密的交易数据组可以由作为远程实体的授权方解密。这些授权方例如可以是刑事起诉机构、公证处、司法部、中央银行、支付程序的发行者实体、法院实体或其他机构。

在一种优选的设计方案中，密码子密钥分别来自执法机构实体；公证处实体；司法部实体；支付系统的中央发行者实体；或支付系统的商业银行实体。

在一种优选的设计方案中，用于对交易数据组进行加密的密码密钥为非对称密钥基础设施的公钥部分(公钥基础设施，public key infrastructure，简称PKI)，其中，用于对加密的交易数据组进行解密的对应的私钥部分通过加法运算或逐比特的异或(XOR)运算由不同远程实体的所有密码子密钥组成。

在一种优选的设计方案中，用于对交易数据组进行加密的密码密钥是非对称密钥基础设施的公钥部分(PKI)，其中，用于对加密的交易数据组进行解密的对应的私钥部分由不同远程实体的预定义数量的密码子密钥组成，其中，该预定义数量小于(具有子密钥的)不同远程实体的总数量。

所有远程实体仅分别拥有解密密钥的子密钥，也就是说，总是需要所有远程实体或远程实体的子集来共同地对加密的交易数据组进行解密。这改善了防止滥用的安全性，因为需要多个实体来执行数据访问，这在攻击场景中代表着巨大的额外开销。

子密钥组合成共同的(私人)解密密钥。该组合例如在交易登记册中进行。替换地，该组合在第一参与者单元中进行。该组合例如通过相加或通过逐比特的异或链接进行，没有远程实体仅通过对子密钥的了解就可以独自获得该逐比特的异或链接。该共同的(私人)解密密钥然后被用于对加密的交易数据组进行解密。

该共同的私人解密密钥的相应的公钥部分在第一参与者单元中被用于对产生的交易数据组进行加密。该公钥部分可以从交易登记册发送到参与者单元并在那里被接收。然而，公钥优选地存储在参与者单元中、尤其预先进行存储、进一步优选地以受更改保护的方式进行存储。

在一种替换的设计方案中，用于进行加密的密码密钥是对称密钥，其中，用于解密交易数据组的对应的私钥部分通过加法运算或逐比特的异或运算由至少两个密码子密钥组成。

该密钥方案确保了没有远程实体可以绕过所有其他远程实体而独自解密数据。在一种设计方案中，应用阈值密码学，以便允许并非所有远程实体都必须贡献其子密钥，而是实体的子集足以组成解密密钥。在此适用的是，至少有一定数量的子集必须贡献其各自的子密钥。如果子集小于远程实体的预定义最小数量，则解密是不可能的。

在一种不太优选的替换的设计方案中，所有远程实体(所有授权方)具有用于对加密的交易数据组进行解密的全套解密子密钥。然后每个远程实体拥有安全元件、例如智能卡、TSM、eUICC，所有子密钥都存储在该安全元件的数据存储器中。然后，例如一旦对加密的交易数据组的访问已得到了可信部门、例如法院机构在发布决定之后的认证，那么每个所述远程实体在技术上都能够独自对加密的交易数据组进行解密。只有当机构能够出示反映在这方面的法院判决的具有法律约束力的文件时，才能由可信部门(交易登记册)授予该访问权。该设计方案具有优点，即在紧急情况下可以更快地执行对可能相关的交易数据组的分析，而参与的远程实体更少。

在一种替换的设计方案中，所有远程实体生成自己的由私钥部分和公钥部分组成的PKI密钥对。各个密钥对的公钥部分被提供和/或由第一参与者单元接收。第一参与者单元利用第一远程实体的第一公钥部分对产生的交易数据组进行加密，以便获得第一未完全加密的交易数据组。该第一加密交易数据组由第一参与者单元利用第二远程实体的公钥部分进行加密，以便获得第二加密交易数据组。优选地，该第二加密交易数据组由第一参与者单元利用第三远程实体的公钥部分进行加密，以便获得第三加密交易数据组。例如在支付系统范围内规定应用相应远程实体的公钥部分的数量和/或顺序，以便简化在交易登记册中利用远程实体的对应的私钥部分的后续解密。替换地，至少改变应用相应实体的公共密钥的顺序、在一种设计方案中还改变该公共密钥的数量，并且通过“试错法(Trial&Error)”、即启发式方法在交易登记册中进行解密，其中，一直寻找/尝试解密顺序和密钥选择，直到发生所期望的解密，以便更好地保护该方法。

此处描述的加密方法是透明的，以确保用户接受。

在该方法的后续步骤中，启动与支付系统的交易登记册的通信连接，以便将加密的交易数据组发送到交易登记册。从而尝试将交易数据组发送到交易登记册。在此，可以使用通用通信协议、例如TCP/IP或移动无线电通信。在安全元件的情况下，例如将主动指令发送到参与者单元。

“启动”表示连接建立的尝试或连接建立的开始，其中止也是根据本发明的方法的场景。“启动”还可以包含，参与者单元在知道与交易登记册的连接是不可能的情况下、例如在识别到第一参与者单元的离线状态、例如“无接收”或“飞行模式”或“无结余”时，不进行连接建立尝试。然后，知道与交易登记册的不可能的连接，例如通过事先查询或检查现有的通信可能性，就等同于启动。

“启动”还包含通过第一参与者单元读取第一安全元件的存储器内容并且通过第一参与者单元发送读取的内容。

“启动”还包含通过交易登记册读取第一安全元件的存储器内容并且在交易登记册中接收读取的内容。

支付系统的交易登记册用于对加密的交易数据组进行存档。该加密的交易数据组可以在那里尤其在官方询问之后借助远程实体的组成的(组合的)子密钥进行解密，随后由进行询问的实体(法院机构等)查看。因此，出于控制检查目的地查看电子币数据组在支付系统中的每次传输和/或电子币数据组在支付系统中的每个要登记的修改或每个已登记的修改是可能的，但只有在非常严格的条件下才能在技术上实现。

官方询问、例如法院命令包含参与者单元标识符并且查询该标识符在特定时间段内或在特定时间点的所有交易。交易数据组的元数据然后简化了在交易登记册中对该询问的回答。

交易登记册例如可以是支付系统的非公开数据库。加密的交易数据组存储在该数据库中，以用于可能的之后的检查。交易登记册例如被设计为以支付系统的数据存储器或业务服务器形式的中央管理的数据库。

在一种优选的设计方案中，第一安全元件运行准备就绪地引入到第一参与者单元中。因此确保了，交易数据组不被篡改地产生、加密以及必要时发送。在一种设计方案中，交易数据组在安全元件中创建，然后通过参与者单元加密。

安全元件是一种技术资源有限的装置。安全元件例如是特殊的计算机程序产品，特别是以终端设备操作系统内的受保护的运行时环境(可信的执行环境，TrustedExecution Environments，TEE)或eSIM软件的形式存储在数据存储器、例如诸如(移动)终端设备、机器或自动取款机之类的参与者单元上。替换地或附加地，安全元件例如被设计为特殊硬件，特别是以安全的硬件平台模块(可信的平台模块，Trusted Platform Module，TPM)的形式或作为芯片卡或嵌入式安全模块、eUICC、eSIM。安全元件提供可信的环境，因此具有比在必要时运行准备就绪地集成有安全元件的终端设备更高的信任级别(Level-of-Trust)。

电子币数据组的传输优选地在两个安全元件之间进行，以便创建可信的环境。在此，电子币数据组的逻辑传输直接进行，相反地，物理传输可能具有一个或多个位于其间的实体，所述一个或多个位于其间的实体例如是用于创建安全元件的运行准备的一个或多个参与者单元和/或远程数据存储服务，在该远程数据存储服务中物理存储有具有电子币数据组的钱包应用程序。

安全元件可以在彼此之间传输电子币数据组，然后继续直接使用该电子币数据组，而无需登记册检查，特别是当支付系统要求来自安全元件的电子币数据组本身被视为有效时。

一个或多个电子币数据组可以安全地存储在参与者单元或安全元件中，例如大量电子币数据组可以安全地存储在专门与参与者单元或安全元件相关联的数据存储器中。数据存储器然后例如代表电子钱包应用程序。该数据存储器相对于安全元件例如可以是内部的、外部的或虚拟的。

第一安全元件还可以例如通过安全元件的导入(Import)/导出(Export)功能从诸如参与者单元、即终端设备或机器之类的可信度较低的单元中获得电子币数据组。以这种方式获得的电子币数据组不是直接从另外的安全元件获得的，因此被认为可信度较低。支付系统的要求可能是，必须借助币登记册检查这种电子币数据组的有效性，或者在允许转发电子币数据组之前，通过进行接收的安全元件的动作(修改)将该电子币数据组转移到该进行接收的安全元件。

电子币数据组在第一和第二安全元件之间的传输可以集成到两个参与者单元之间的传输协议中和/或集成在相应参与者单元的两个应用之间的安全通道中。此外，传输可以包含到外部数据存储器、例如在线存储器的互联网数据连接。

(待传输或待修改的)电子币数据组登记在支付系统的币登记册中。因此规定，例如建立与币登记册的通信连接以用于登记电子币数据组。现在，该通信连接在传输过程(支付过程)期间不一定必须存在。优选地，币登记册被设置为用于对掩蔽的电子币数据组进行管理和检查。币登记册附加地可以管理和检查参与者单元之间的其他(非支付)交易。

币登记册是数据库，掩蔽的电子币数据组与掩蔽的电子币数据组的相应处理一起登记在该数据库中。掩蔽将在稍后解释。在一种优选的设计方案中，由此可以推导出(掩蔽的)电子币数据组的有效性状态。优选地，(掩蔽的)电子币数据组的有效性记录在币登记册中并且通过币登记册记录。对各个电子币数据组的修改、例如变换、分割或组合，都登记在币登记册中。优选地，请求的或执行的或待执行的修改同样引起上面描述的交易数据组的产生，该交易数据组以加密形式存储在交易登记册中。以这种方式，交易登记册还用于对币数据组的修改进行存档。支付系统中的相对于币登记册或监督登记册的信息可能冗余的信息提高了支付系统的稳定性和安全性。

在支付系统的一种设计方案中，针对相应修改的处理或者说处理步骤的登记也可以涉及与电子币数据组的有效性有关的检查结果和中间检查结果的登记，特别是相应币数据组的检查值和计数器值的确定。如果处理是最终的，则这例如通过币登记册中的相应的标记或推导出的整体标记进行显示。最终的处理然后决定了电子币数据组是有效还是无效。

在支付系统的一种优选的设计方案中，与参与者单元或其安全元件之间的传输过程或者相应的修改有关并且与电子币数据组的有效性(特别是对于显示)有关的检查结果和中间检查结果的登记，特别是相应电子币数据组的检查值和计数器值的确定，不在支付系统的币登记册中进行，而是在支付系统的监督登记册中进行。

在支付系统的一种优选的设计方案中，监督登记册被设置为用于存储匿名化和/或假名化的交易数据组，以便使得能够在支付系统的持续运行中监督交易。监督登记册是相同支付系统的与币登记册分开的实体。通过在支付系统内划分币登记册和监督登记册，币登记册可以复杂度更低地设计并且塑造简单的有效性检查，而传输过程的正确性、可能需要的参与者单元的去匿名化和/或电子币数据组的计数值或检查值的检查在监督登记册中进行。此外，通过该划分，币登记册(较少地包含或)不包含机密的或安全关键的数据。由此，尤其参与者单元的与币登记册的通信可以在没有(或仅利用弱的组密钥/共享密钥/…)认证的情况下进行。

币登记册和监督登记册都例如可以是分散的公共数据库。该数据库使得能够以简单的方式检查电子币数据组的有效性，并防止“双重支出”、即多次输出，而无需登记或记录传输本身。数据库、例如分布式分类账技术(Distributed-Ledger-Technologie，DLT)在此描述了一种用于联网计算机的技术，其就特定交易的顺序以及这些交易更新数据的事实达成协议。它对应于分散管理的管理系统或分散管理的数据库。

替换地，币登记册是中央管理的数据库，例如以可公开访问的数据存储器的形式或作为中央数据库和分散数据库的混合形式。例如，币登记册和监督登记册被设计为支付系统的业务服务器。

在一种优选的设计方案中，第一参与者单元将加密的交易数据组发送到交易登记册。在这种情况下，在启动之后，可以在参与者单元和交易登记册之间成功建立通信并且成功发送加密的交易数据组。随后，第一参与者单元可以在本地删除该交易数据组，以便节省存储器空间。

在一种优选的设计方案中，将加密的交易数据组以密码运输安全的方式发送到交易登记册。在此，例如应用参与者单元和交易登记册之间的相互认证。在此，密钥交换要么作为会话密钥预先协商，要么预先发布。这种附加的运输安全性防止了攻击者获悉交易数据组正在被传输。这提高了在传输交易数据组时的安全性。

在一种优选的设计方案中，如果与交易登记册的通信连接建立(在启动之后)失败或加密的交易数据组的发送失败，则加密的交易数据组存储在第一参与者单元中。只要加密的交易数据组尚未成功发送到交易登记册，存储就可以是临时存储。存储的加密的交易数据组因此用于在连接错误或认证问题情况下的必要的发送的重复(RETRY，重试)，然后不必重新进行创建和加密。

在一种优选的设计方案中，一旦与交易登记册的通信连接建立成功，加密的交易数据组就从第一安全元件发送到交易登记册。成功的连接建立例如意味着，使得能够通过已建立的通信通道进行数据通信，即交易登记册和参与者单元之间的通信通道已经建立。因此，交易登记册在已进行/计划的传输方面保持最新状态，并且最近进行的交易即时存档在交易登记册中。此外，针对在传输币数据组的时间点没有与交易登记册的连接可用的情况，优先考虑发送，并且提醒参与者单元或其安全元件在(识别到的)可用的通信连接的情况下即时将加密的交易数据组发送到交易登记册。

在一种优选的设计方案中，电子币数据组从第一参与者单元传输到第二参与者单元。传输例如紧接在产生步骤之前进行，从而交易数据组与待传输的币数据组相关。传输例如紧接在产生步骤之后但在加密步骤之前进行，从而传输可能是上面描述的原子运算的一部分，并且只能实施产生-传输-加密的整个链。因此避免了产生的交易数据组和实际传输的币数据组之间的差异。传输例如紧接在加密步骤之后并且在启动步骤之前进行，从而交易数据组与待传输的币数据组相关。传输例如紧接在启动步骤之后进行，从而交易数据组与已经传输的币数据组相关。

为了将电子币数据组传输到第二参与者单元，不一定存在到支付系统的其余实体的网络数据连接。为了安全地设计传输协议，电子币数据组例如通过相应的参与者单元内的安全元件进行管理，并且也通过其进行传输。在(离线)传输环境中重要的是，可以在没有支付系统的连接在中间的中央实体(例如币登记册或监督登记册)的情况下解决传输错误或传输冲突。传输协议可以通过检查存在接收消息和使用安全元件来确保传输过程(支付过程)是可信的，即使该传输过程是异步实施的。优选地确保两阶段的传输(发送，然后删除)，从而确保资金价值数额不被销毁，并且在激活状态下不会产生复制。

在一种优选的设计方案中，产生的交易数据组优选地以非易失性的方式存储在第一参与者单元中。只要电子币数据组尚未成功传输到第二参与者单元，存储就可以是临时存储。存储在此在本地进行。在错误传输的情况下，交易数据组可以用于重复参与者单元之间的传输过程。在此，币数据组或交易数据组本身不需要进行任何更改。存储的交易数据组因此用于在传输时的连接错误或认证问题情况下的必要的传输的重复(RETRY)。

附加地或替换地，在币数据组的传输失败的情况下，存储的交易数据组用于回滚(或者说逆转，ROLLBACK)。该方法因此提供回滚方法和重复方法，以便能够在币数据组的传输未结束的传输错误情况下逆转或重复该交易。

因此，在重复情况下，传输完全完成或完全撤消。

在一种优选的设计方案中，在传输错误情况下，根据存储的交易数据组重新发送电子币数据组。在此假定，电子币数据组的传输失败，但传输过程将完成。电子币数据组的传输被即时重复。要重新发送的电子币数据组对应于在其传输时发生传输错误情况的电子币数据组。因此，对于重新发送而言，不需要电子币数据组的改变。在一种设计方案中，生成另一交易数据组以用于记录目的。

例如，如果在预定义的持续时间内没有在第一安全元件中接收到接收确认，则假定传输错误情况。为此，例如开启计时器，优选地，在电子币数据组的发送步骤期间开启计时器。

替换地或附加地，可以通过第一或第二安全元件的错误消息来显示传输错误情况。因此，明确地显示错误情况。

还可以通过识别到的连接故障(connectivity failure)来假定传输错误情况。因此，隐式地显示错误情况。

传输错误情况也可能由于失败的认证(authentication failure)而发生。

传输错误情况也可能通过在其中运行准备就绪地引入了安全元件之一的终端设备关断(device shutdown)，或者通过由于参与者的运动而超出传输范围(exceededdistance)时，也可能发生。

传输错误情况也可能由于第一或第二安全元件中、终端设备的应用程序中或相应终端设备中的内部错误(internal error)而发生，例如由于存储错误或存储器空间不足而发生。

在一种优选的设计方案中，第一安全元件以预定义的周期性时间间隔查询第二安全元件并主动请求接收确认，替换地，当超过计时器的时间值时，第一安全元件也请求第二安全元件并主动请求接收确认。

在一种优选的设计方案中，在传输步骤之后，在第一参与者单元中显示成功的传输。在此，可以更新用户显示或者可以从可用的资金价值数额的列表中删除该资金价值数额。通过该显示将“传输过程是成功的”可视化给支付系统的参与者(用户)。附加地或替换地，更新可用的资金价值数额，特别是对应于所传输的资金价值数额地减少。

在一种优选的设计方案中，在显示步骤中，将电子币数据组作为第一参与者单元的应用程序的输入参数进行评估。该电子币数据组的交易数据因此主动地控制传输过程，而不考虑在第一参与者单元中可实施地引入的应用程序。通过第一参与单元上的应用程序将电子币数据组的变化可视化给用户，用户因此获得关于待传输/已传输的电子币数据组的有效性/状态的即时反馈。

在一种优选的设计方案中，仅当检查步骤表明检查值低于或等于预定义的阈值时才实施传输步骤，该检查值是关于到第二参与者单元或到一个或多个其他参与者单元的传输在与交易登记册的通信连接建立失败或向交易登记册发送加密的交易数据组失败的情况下的次数。因此，当在此期间没有进行或不可能进行相应的交易数据组到交易登记册的发送时，将第一参与者单元传输币数据组的次数限制在最大值。因此迫使第一参与者单元始终检查是否达到了阈值、例如100次、更优选地50次、更优选地10次传输、理想地5次传输。

在一种优选的设计方案中，如果检查值超过了预定义的阈值，则必须在传输电子币数据组之前将加密的交易数据组和/或存储的交易数据组发送到交易登记册，该检查值是关于到第二参与者单元或到一个或多个其他参与者单元的传输在与交易登记册的通信连接建立失败或向交易登记册发送加密的交易数据组失败的情况下的次数。因此，当在此期间没有进行或不可能进行相应的交易数据组到交易登记册的发送时，将第一参与者单元传输币数据组的次数限制在最大值。因此迫使第一参与者单元发送加密的交易数据组。币数据组的传输被阻止，直到成功发送交易数据组。该阈值例如是100次、更优选地50次、更优选地10次传输、理想地5次传输。

在一种优选的设计方案中，在电子币数据组的成功传输和与交易登记册的通信连接建立失败或向交易登记册发送加密的交易数据组失败的情况下，在第一参与者单元中将检查值递增。以这种方式，待检查的检查值相对于传输的币数据组总是最新的，该传输的币数据组的对应的交易数据组还没有从参与者单元发送到交易登记册。

在一种优选的设计方案中，该方法包括进一步的步骤：通过将同态的单向函数应用到电子币数据组上来掩蔽电子币数据组，以获得掩蔽的电子币数据组，并且将掩蔽的电子币数据组登记在支付系统的币登记册中，其中，登记优选地针对掩蔽的电子币数据组的变换、分割或连接。因此，对币数据组的修改被跟踪并记录在币登记册中，而支付系统中的匿名性不会被消除。掩蔽将在稍后解释。

所述技术问题还通过一种之前描述的参与者单元来解决。参与者单元具有计算单元，该计算单元被设置为用于实施在此描述的方法。参与者单元还具有用于访问数据存储器的装置，其中，至少一个电子币数据组存储在数据存储器中。参与者单元还具有接口，该接口被设置为用于建立与交易登记册的通信连接，以便将加密的交易数据组发送到交易登记册。

所述技术问题还通过一种在交易登记册中用于保存支付系统的加密的交易数据组的方法来解决，该方法具有方法步骤：从第一参与者单元接收加密的交易数据组，其中，接收的加密的交易数据组已经通过之前描述的方法产生和加密；并且将加密的交易数据组存储在交易登记册的存储器区域中。

所述技术问题还通过一种用于保存支付系统的加密的交易数据组的方法来解决，该方法具有方法步骤：由第一参与者单元产生交易数据组，该交易数据组与电子币数据组到第二参与者单元、优选第二安全元件的传输相关，或者与电子币数据组在币登记册处待登记的修改相关；由第一参与者单元利用密码密钥对产生的交易数据组进行加密，其中，密码密钥由分别不同的远程实体的至少两个密码子密钥、优选至少三个密码子密钥组成；将加密的交易数据组发送到交易登记册；接收加密的交易数据组，其中，接收到的加密的交易数据组尤其已经通过之前描述的方法产生和加密；将加密的交易数据组存储在交易登记册的存储器区域中。

在一种优选的设计方案中，在交易登记册中的存储在时间上被限制在预定义的时间段内。该时间段例如以在交易登记册中接收到加密的交易数据组的时间点开始，或者由作为元数据附加到加密的交易数据组的交易时间点开始。该时间段例如是法律规定、即用于保存交易数据组的最短或最长持续时间，例如在存货数据存储的框架内、例如X个月或Y年。

在一种优选的设计方案中，该方法包括进一步的步骤：利用密码密钥对加密的交易数据组进行解密，其中，用于对加密的交易数据组进行解密的密钥由交易登记册中的相应的不同远程实体的至少两个密码子密钥组成。

在一种优选的设计方案中，该组成通过加法运算或逐比特的异或运算进行。

在一种优选的设计方案中，用于对加密的交易数据组进行解密的密码密钥由不同远程实体的预定义数量的密码子密钥组成，其中，该预定义数量小于不同实体的总数量。

在一种优选的设计方案中，解密仅根据外部询问而进行。该询问可能是调查程序的结果，该调查程序在其框架中检查交易是否实际上发生。

在一种优选的设计方案中，交易登记册具有硬件安全模块(Hardware SecurityModule)，简称HSM，其中，硬件安全模块是安全的密钥存储器，在该密钥存储器中保存有各个远程实体的不同代的子密钥。因此，可以更新或交换各个远程实体的子密钥，而不必重新加密存储到其中的加密的交易数据组，甚至不必在交易登记册中保持不可解密状态。对密钥生成的跟踪优选地通过交易登记册的HSM进行。

在一种优选的设计方案中，交易登记册具有硬件安全模块，不同实体在对存储的加密的交易数据组进行解密之前相对于该硬件安全模块认证自己。HSM因此可以实现不同功能，HSM主要是安全的密钥存储器和安全的处理单元。HSM模块例如可以包含子密钥的不同密钥代，其中，远程实体相对于HSM认证自己，以便准许利用所有代进行解密。

在一种优选的设计方案中，在接收到来自第一参与者单元的加密的交易数据组之后，将加密的交易数据组重新加密。因此，在接收到加密的交易数据时总是进行重新加密(即解密和新的加密)，并且因此避免交易数据组以不同的加密方式存储在交易登记册中。这简化了对交易登记册中的加密的交易数据组的管理。

替换地，在接收到来自实体之一的更新的子密钥之后，将加密的交易数据组重新加密。因此在实体的密钥变更的情况下避免交易数据组以不同的加密方式存储在交易登记册中。

在一种优选的设计方案中，在接收到来自第一参与者单元的加密的交易数据组之后，对加密的交易数据组进行解密，并且通过交易数据组中的假名替换(第一和/或第二)参与者单元的标识符，以便获得解密的假名化的交易数据组。在该方法的一种设计方案中，接收到的加密的交易数据组的存储不受此影响。

在一种优选的设计方案中，将支付系统中的参与者单元的标识符(例如终端设备的参与者ID)明确地与自然人相关联。该人员关联例如由支付系统的发行者实体或支付系统的银行实体执行并且必要时也在那里进行管理。该人员关联也可以由服务实体进行管理，该服务实体例如是为终端设备提供钱包应用程序的实体或提供对云钱包的在线访问的实体。只有在例如通过出示诸如身份证或护照之类的官方身份证明文件成功地识别了人员之后，才由相应的实体执行人员与标识符的关联。

在一种优选的设计方案中，在接收到来自第一参与者单元的加密的交易数据组之后，对加密的交易数据组进行解密，并且通过交易数据组中的一个或多个数额类别替换电子币数据组的资金价值数额，以便获得解密的数额分类的交易数据组。数额类别例如是币数据组的资金价值数额所在的数额范围(从-到)。数额类别例如是资金价值数额的要么向上要么向下舍入的四舍五入的数额值。在该方法的一种设计方案中，接收到的加密的交易数据组的存储不受此影响。

在一种优选的设计方案中，将解密的假名化的交易数据组或解密的数额分类的交易数据组发送到支付系统的监督登记册并存储在那里。匿名化或假名化的交易数据组因此可以存储在该监督登记册中，由此实现在持续运行中对交易的监督。

随着假名化的交易数据组的创建，相应的交易数据组的匿名性等级被改变。假名化的交易数据组总是具有比(未假名化的)交易数据组更高的匿名性。利用更高的匿名性等级，在支付系统的规定下，假名化的交易数据组还可以未加密地存储在登记册实体(币登记册、监督登记册、交易登记册)中并且用于支付系统中的进一步的有效性检查。因此可以通过支付系统本身以改进的方式揭露支付系统中的欺诈情况或操纵，官方询问(法院决定)然后可能不是必要的。

数据组的匿名性等级反映了(币或交易)数据组的匿名性的程度、即固定身份、例如参与者标识符、ID号码、自然人等与数据组的关联的可能性。在该方法中优选地区分多个等级、例如3个等级：完全匿名(等级1)、假名(等级2)或非匿名(等级3)。支付系统的目标是匿名地传输资金价值数额(等级1)，也就是说，支付系统的参与者应该不可能基于模拟现金从接收到的币数据组出发推断出参与者的固定身份。然而，相反地，对于刑事起诉而言重要的是，能够毫无疑义地将固定身份与币数据组相关联。因此，产生的交易数据组是非匿名的(等级3)，即该交易数据组明确地与固定身份、例如参与者标识符相关联，该参与者标识符可以通过人员关联指向自然人。

混合形式是假名(等级2)。这是推导出的身份与数据组的临时或永久的关联。例如在诸如监督登记册之类的可信的实体中生成该推导。

加密的交易数据组中的参与者标识符优选地具有等级3的匿名性，从而交易数据组的解密显示固定的参与者标识符。

加密的交易数据组中的资金价值数额优选地具有等级3的匿名性，从而交易数据组的解密显示准确的数额。

在一种优选的设计方案中，交易数据组中的参与者标识符的匿名性等级不同于数额类别的匿名性等级，从而可以在假名化的交易数据组中存在混合形式(不同等级)。

所述技术问题还通过一种用于支付系统的交易登记册来解决。交易登记册具有计算单元，该计算单元被设置为用于在交易登记册中实施上面描述的方法。交易登记册还具有用于访问数据存储器的装置，其中，在数据存储器中存储有至少一个加密的交易数据组。交易登记册还具有接口，该接口被设置为用于与参与者单元通信，以便接收来自参与者单元的加密的交易数据组。

该系统优选地具有用于实施上面描述的方法的产生步骤和加密步骤的装置。加密的交易数据组可以被发送到交易登记册。

在一种优选的设计方案中，交易登记册还具有：硬件安全模块，其被设置为用于安全地保存不同代的子密钥；并对加密的交易数据组进行解密。

在一种优选的设计方案中，交易登记册的HSM被设置为用于对加密的交易数据组进行解密；通过交易数据组中的假名来替换参与者单元的标识符，以便获得解密的假名化的交易数据组。

在一种优选的设计方案中，交易登记册的HSM被设置为用于对加密的交易数据组进行解密，并通过交易数据组中的数额类别来替换电子币数据组的资金价值数额，以便获得解密的数额分类的交易数据组。

在一种优选的设计方案中，接口被设置为用于将解密的假名化的交易数据组或解密的数额分类的交易数据组发送到支付系统的监督登记册。

所述技术问题还通过一种支付系统来解决，该支付系统具有：至少一个之前描述的参与者单元，其中，该参与者单元被设置为用于在第一参与者单元中实施之前描述的方法；以及之前描述的交易登记册，其中，交易登记册被设置为用于在交易登记册中实施之前描述的方法。

在一种优选的设计方案中，支付系统还具有发行者实体，该发行者实体被设计为用于创建用于支付系统的电子币数据组；和/或币登记册，该币登记册被设置为用于登记掩蔽的电子币数据组，其中，该登记优选地针对掩蔽的电子币数据组的变换、分割或连接；和/或监督登记册，该监督登记册被设置为用于接收来自参与者单元的假名化的掩蔽的电子币数据组或接收来自交易登记册的解密的假名化的交易数据组或解密的数额分类的交易数据组。

优选地，支付系统还被设置为用于管理来自其他发行者实体的电子币数据组，和/或被设计为用于管理作为账面资金的货币数额。

在一种优选的设计方案中，电子币数据组具有货币数额、即表示电子币数据组的资金价值的数据，以及混淆数额、例如随机数。此外，电子币数据组可以具有其他元数据、例如货币数额代表了哪种货币。电子币数据组由这至少两个数据(货币数额、混淆数额)明确地代表。能够访问电子币数据组的这些数据的任何人都可以使用该电子币数据组进行支付。因此，知道这两个数据(货币数额、混淆数额)就等同于拥有数字资金。该电子币数据组可以在两个参与者单元之间直接传输。在本发明的一种设计方案中，为了交换数字资金仅需要传输货币数额和混淆数额。在一种设计方案中，电子币数据组的状态(激活、非激活)也被一起添加到币数据组中，从而该币数据组由三个数据(货币数额、混淆数额、状态)组成。替换地，币数据组的状态不附加到币数据组中并且仅保留在安全元件本身和/或币登记册中。

在一种优选的设计方案中，在相应的方法中，每个电子币数据组都与对应的掩蔽的电子币数据组相关联。对掩蔽的电子币数据组的了解并不授权输出由电子币数据组所代表的数字资金。这代表了掩蔽的电子币数据组和(未掩蔽的)电子币数据组之间的关键区别。掩蔽的电子币数据组是唯一的，并且也明确地与电子币数据组相关联，因此在掩蔽的电子币数据组和(未掩蔽的)电子币数据组之间存在一对一的关系。电子币数据组的掩蔽优选地通过参与者单元的计算单元进行。参与者单元具有至少一个电子币数据组。替换地，掩蔽可以通过接收电子币数据组的参与者单元的计算单元进行。

通过应用同态的单向函数、尤其同态的密码函数来获得掩蔽的电子币数据组。该函数是单向函数、即在复杂性理论方面能够“容易”地计算但“困难”到实际上不可能反演的数学函数。在此，单向函数也表示如下函数，对于所述函数迄今还不知道能够在适当的时间内并且以合理的耗费在实践中实施的反演。因此，根据电子币数据组计算掩蔽的电子币数据组类似于在关于剩余类群(Restklassengruppe)的加密方法中生成公钥。优选地，使用单向函数，该单向函数在根据相应的密码方法的私钥难以解决离散对数问题的群上进行运算，该单向函数例如是类似于椭圆曲线加密(elliptischer-Kurve-Verschlüsselung，简称ECC)的密码方法。反向的函数，即根据掩蔽的电子币数据组产生电子币数据组，在此(相当于在关于剩余类群的加密方法中从公钥生成私钥)是非常耗时的。如果在本文件中提到求和以及求差或其他数学运算，则在此应在数学意义上理解为对相应数学群、例如对椭圆曲线上的点群的相应运算。

单向函数是同态的，即具有同态特性的密码方法。因此，可以对掩蔽的电子币数据组执行数学运算，所述数学运算与此并行地也可以在(未掩蔽的)电子币数据组上执行并且因此可以被跟踪。借助同态的单向函数，可以在币登记册和/或监督登记册中跟踪对掩蔽的电子币数据组的计算，而不必在那里知道相应的(未掩蔽的)电子币数据组。因此，对电子币数据组的特定计算，例如用于处理(未掩蔽的)电子币数据组(例如分割或连接)，也可以在币登记册中与相关联的掩蔽的电子币数据组并行地证明，例如用于验证检查(＝有效性)。此外，关于相应的电子币数据组的合法性的监督可以并行地在监督登记册中证明。同态特性至少适用于加法运算和减法运算，使得电子币数据组的变换(＝Switch)、分割(＝Split)或组合(＝Verbinden，连接)也可以借助相应的掩蔽的电子币数据组来记录在币登记册中，或借助检查电子币数据组是否被返还(删除)或被货币转换(ummünzen)来记录在监督登记册中，并且可以由进行询问的参与者单元或其安全元件和/或由币登记册和/或监督登记册跟踪，而无需获得对货币数额和进行执行的参与者单元的了解。

因此，同态特性能够实现，即使当电子币数据组被处理(分割、连接、变换)或直接传输时、即对该电子币数据组执行动作时，也能够在币登记册和监督登记册中基于有效和无效的电子币数据组的掩蔽的电子币数据组对该有效和无效的电子币数据组进行录入，而无需了解这些电子币数据组。在此总是确保：没有附加的货币数额已经被创建，或者参与者单元或其安全元件的身份被记录在币登记册或监督登记册中。掩蔽实现了高度的安全性，而不提供对货币数额或参与者单元的洞察。

当将电子币数据组从第一参与者单元直接传输到第二参与者单元时，两个参与者单元同时知道要传输的电子币数据组。这是为了防止进行发送的第一参与者单元在另外的(第三)参与者单元中同样使用该电子币数据组进行支付(所谓的双重支出)。在此，可以在传输之前将电子币数据组的状态设置为非激活状态，以便使该电子币数据组失效，然后发送到第二参与者单元(作为传输的第一步骤)，并且在存在来自第二参与者单元的接收确认的情况下，在第一参与者单元中删除电子币数据组(作为传输的第二步骤)。来自第一参与者单元的删除确认可以发送到币登记册或第二参与者单元，以便显示(在第一参与者单元中执行的)电子币数据组的成功删除。

此外，可以将传输的电子币数据组从第一参与者单元变换(＝Switch)到第二参与者单元。变换可以优选地在接收到电子币数据组的删除确认时在第二参与者单元中自动地进行。附加地，变换也可以根据请求、例如来自第一参与者单元和/或第二参与者单元的命令进行。附加地，一个电子币数据组也可以分割(“Split”)为至少两个电子币子数据组。附加地，两个电子币数据组可以连接(“Merge，合并”)为一个电子币数据组。

变换、分割和连接是对电子币数据组的不同修改、即对电子币数据组的动作。这些修改引起在支付系统的币登记册中登记掩蔽的币数据组。各个修改的具体执行将在稍后解释。

此外，当电子币数据组被改变、例如被分割或与其他电子币数据组连接时，尤其为了能够适当地清偿要支付的货币数额，会进行变换。

下面对这种假名化进行了更详细的解释：在支付系统中传输电子币数据组是匿名的，除非应通过附加的措施明确取消匿名性。依据货币数额的价值取消匿名性可能是支付系统中的要求。换言之，支付系统中的典型要求可能是匿名发送低于特定极限值的货币数额。如果超过该极限值，则在系统中对传输进行去匿名化。

在一种优选的设计方案中，该方法具有进一步的步骤：通过将同态的单向函数应用到电子币数据组上来掩蔽电子币数据组，以获得掩蔽的电子币数据组；将掩蔽的电子币数据组与假名链接，以获得假名化的掩蔽的电子币数据组；以及将假名化的掩蔽的电子币数据组发送到支付系统的监督登记册。因此，对电子币数据组的修改被记录在币登记册中，并以假名记录在监督登记册中，而在支付系统中没有消除匿名性。因此，即使知道假名和参与者单元的关联性，监督登记册也可以识别从参与者单元输出的交易。

在上述根据本发明的方法中，假名化的掩蔽的电子币数据组优选地在产生步骤中通过第一参与者单元(进一步优选地代替掩蔽的电子币数据组)一起引入到交易数据组中，并且因此以加密形式发送到交易登记册。随后的解密然后也揭露假名，交易是在该假名下进行的。

该方法代表了上述提供交易登记册的假名化的交易数据的替换方案，并且可以并行于或附加于该方法地在监督登记册中使用。相应的假名化方法的选择可以在支付系统中灵活设置，并且与支付系统的实际要求相匹配，例如与交易登记册或监督登记册的计算能力或支付系统中的传输能力相匹配。

由于大的资金价值数额的数字支付交易(电子币数据组的传输)也可以被分割为多个较小的资金价值数额的数字支付交易，该较小的资金价值数额的数字支付交易分别可以低于极限值，因此极限值必须是特定于参与者单元和/或取决于时间段的。此外，由于币数据组在多个不同参与者单元之间的不透明的多次的(直接的)传输，这种对去匿名化的要求(也被称为重新识别)并不针对两个参与者单元之间的单个传输(交易)，而是通常涉及在特定单位时间(时间周期)内由参与者单元接收和/或发送的所有交易的总和。因此提供了一种机制，利用该机制可以确定在特定单位时间内由参与者单元发送或接收的所有货币数额之和是多少。为此，描述了一种方法，该方法可以实现针对每个单位时间在超过极限值时取消进行发送的参与者单元的匿名性。

为了实现这种去匿名化的机制，在该方法的一种优选的设计方案中执行假名化。为此，在掩蔽步骤之前执行链接步骤，以便将第一参与者单元的假名与电子币数据组链接。假名优选地是特定于参与者单元的。假名是任何一种掩蔽的身份，其可以实现不可能仅仅知道电子币数据组就直接推断出参与者单元和与其进行的交易。

参与者单元必须对每个接收到的币数据组执行修改(分割、变换、连接)，以便将假名与币数据组链接。与每个修改(用于验证修改)一起进行的在币登记册中的登记足以基于链接的假名将利用参与者单元执行的所有币数据组交易明确地与该参与者单元相关联。监督登记册在知道假名和参与者单元的关联性的情况下，可以识别在参与者单元中发生的交易。

因此，将对电子币数据组的修改与存储在参与者单元上的假名链接。这个假名可以是永久的，也可以只针对特定的时间段有效。

因此，匿名的掩蔽的电子币数据组和假名化的掩蔽的电子币数据组之间的区别在于，当参与者单元使用假名时，监督登记册能够识别该参与者单元。匿名的掩蔽的电子币数据组不包含任何关于其来源的信息，因此不能与参与者单元建立联系。与此相反，假名化的掩蔽的电子币数据组具有与参与者单元的假名的链接，使得将假名化的掩蔽的电子币数据组发送到监督登记册的参与者单元可以通过所链接的假名被识别。

所描述的机制足以确定参与者单元的所有交易的货币数额之和是否低于极限值，优选地在特定的单位时间内。如果发现所期望的修改超过了极限值，则监督登记册可以通过阻断或拒绝在币登记册中登记相应的电子币数据组来迅速阻止这种修改。替换地或附加地，可以通知参与者单元，只有当参与者单元去匿名化，即例如在登记修改和电子币数据组被设置为有效之前公开个人访问数据，才会执行修改(以及由此的交易)，由此才会接受交易。

在假名化的一种优选的设计方案中，通过发送假名化的掩蔽的电子币数据组而不是匿名的掩蔽的电子币数据组，减少了监督登记册从第一参与者单元请求的范围确认或范围证明的数量。

监督登记册、币登记册和/或第一参与者单元可以以匿名模式或以假名模式处理掩蔽的电子币数据组。监督登记册以匿名模式请求必要的和另外的(可补充的)范围证明或范围确认。在假名模式下，监督登记册不请求至少一个另外的范围证明或范围确认，但针对假名检查是否满足(补充)标准。一旦进行了必要的检查，电子币数据组就可以被视为有效。只有在满足(补充)标准后，才会向参与者单元请求范围证明或总和范围证明(或确认)。例如，对于假名来说可以使用时间段或掩蔽的电子币数据组的数量作为(补充)标准。

在假名化的另一种优选的设计方案中，第一参与者单元从监督登记册接收总和范围确认或总和范围证明的请求，并将所请求的总和范围确认或所请求的总和范围证明发送到监督登记册。

在一种替换的设计方案中，第一参与者单元创建未请求的总和范围确认或未请求的总和范围证明，并将未请求的总和范围确认或请求的总和范围证明发送到监督登记册。

在此，总和范围确认或总和范围证明是参与者单元的关于多个电子币数据组的货币数额的总和的报告，所述电子币数据组优选地是在参与者单元之间直接传输的电子币数据组。该总和报告与监督登记册中的范围报告进行比较。在超出范围报告的情况下对电子币数据组进行去匿名化，以保护或控制大的货币数额的传输。

优选地，第一参与者单元形成多个电子币数据组的货币数额的总和，并利用总和范围确认来确认所形成的总和在一个范围内。总和范围确认在监督登记册中被理解为参与者单元的指示，并且参与者单元被归类为可信的。

在假名化的一种替换的设计方案中，第一参与者单元针对多个电子币数据组创建可由监督登记册验证的总和范围证明。然后由监督登记册检查总和范围，并在那里确认总和处于范围内(或不在范围内)。总和范围证明优选地也是交易登记册的交易数据组的一部分。

在假名化的一种优选的设计方案中，多个电子币数据组仅包括所选择的电子币数据组。因此，不针对参与者单元的所有电子币数据组执行总和范围确认或总和范围证明，而仅针对针对性的选择执行。在一种设计方案中，选择仅涉及来自所发送的假名化的掩蔽的电子币数据组的电子币数据组。在假名化的一种替换的设计方案中，仅涉及来自发送的匿名的掩蔽的电子币数据组或发送的假名化的掩蔽的电子币数据组的电子币数据组。在假名化的一种替换的设计方案中，仅涉及来自发送的匿名的掩蔽的电子币数据组、发送的假名化的掩蔽的电子币数据组和/或未发送到监督登记册的掩蔽的电子币数据组的电子币数据组。在假名化的一种优选的设计方案中，在作为选择标准的预选择的时间段之后选择多个电子币数据组。作为时间段可以选择一天、一周或更短的时间段。

该选择优选地被掩蔽，并且然后作为交易数据组的一部分以加密形式发送到交易登记册。

在假名化的一种替换或附加设计方案中，能够使用第一参与者单元或监督登记册中的列表作为选择标准，根据该列表选择电子币数据组。

该列表优选地被掩蔽，并且然后作为交易数据组的一部分以加密形式发送到交易登记册。

在假名化的一种优选的设计方案中，监督登记册在总和检查的框架中请求参与者单元的范围确认或范围证明。优选地，匿名的掩蔽的电子币数据组的监督登记册应用第一总和检查模式。优选地，假名化的掩蔽的电子币数据组的监督登记册应用第二总和检查模式。

在假名化的一种优选的设计方案中，监督登记册针对每个接收到的修改的电子币数据组检查范围证明。

在假名化的一种优选的设计方案中，监督登记册定期或准随机地从参与者单元请求范围确认或范围证明。例如，这是在第一总和模式下进行的。

在假名化的一种替换或附加设计方案中，监督登记册仅从针对假名而接收的币数据组的一定数量开始才从参与者单元请求范围确认或范围证明。例如，这是在第二总和检查模式下进行的。该数量优选地取决于参与者单元类型和/或币数额范围。因此，范围证明或范围确认可以灵活地适应特定的用户情况，从而增加支付系统的安全性。

原则上，识别输出的交易或输入的交易就足够了，因此在一种设计方案中，不执行以下内容：对电子币数据组进行掩蔽，并将第二参与者单元中的掩蔽的电子币数据组与第二参与者单元中的第二参与者单元的假名链接，并将假名化的掩蔽的电子币数据组发送到监督登记册。

这些识别出的输出的交易优选地作为交易数据组的一部分以加密形式发送到交易登记册。

假名化的链接步骤优选地以如下方式执行，即利用第二参与者单元的私人签名密钥对第二参与者单元中的相应的掩蔽的电子币数据组进行签名，以获得签名的掩蔽的电子币数据组作为假名化的掩蔽的电子币数据组或作为假名化的掩蔽的传输的电子币数据组。

利用参与者单元的私人签名密钥进行签名。该签名密钥优选地是特定于参与者单元的，这意味着，在知道验证密钥的情况下，可以跟踪谁最后修改了(变换，分割，连接)币数据组。签名的掩蔽的电子币数据组被登记在监督登记册中。

在上述根据本发明的方法中，优选地在产生步骤中通过第一参与者单元将签名的掩蔽的电子币数据组一起引入到交易数据组中，并且进一步优选地代替掩蔽的电子币数据组，从而以加密形式发送到交易登记册。随后的解密还揭露了签名，在该签名下发生交易。

因此，为了产生签名，优选地使用非对称密码系统，其中参与者单元借助秘密签名密钥(在此被称为私人签名密钥或“私钥(Private Key)”)针对数据组来计算值。该值可以实现任何人都可以借助公共验证密钥(“公钥(Public Key)”)检查数据组的作者身份和完整性。

优选地，利用登记步骤，在监督登记册中对签名进行检查，其中监督登记册为此具有签名的公共验证密钥。通过在那里已知签名的公共验证密钥，现在可以由监督登记册检查签名。

用于检查签名的公共验证密钥优选地仅对于监督登记册已知，从而该方法对于参与者单元彼此之间继续保持匿名。

优选地，币登记册将参与者单元的签名与每个修改、即变换、分割和/或连接一起登记。以这种方式，通过币登记册和/或监督登记册可以针对参与者单元的所有交易来监督和确定货币数额的总和。例如，签名是交易数据组的一部分，并且以加密形式或明文形式发送到交易登记册并在那里存储(存档)。

优选地，签名在特定的单位时间内有效，其中，特定的单位时间优选地为一天。因此，对于这个特定的单位时间，可以检查每个参与者单元的交易量(＝交易中的货币数额的总和)。

因此，每个参与者单元具有非对称的密钥对，以便利用私人签名密钥对每个修改进行签名。公钥对于监督登记册(以及币登记册)是已知的。因此，监督登记册可以将每个交易与作为币数据组的发送者或接收者的参与者单元链接。

所描述的机制足以采集(测量)，针对每个单位时间，每个参与者单元(＝交易)的所有货币数额的总和是否位于极限值、例如日极限值内。

下面解释对已经输出的币数据组的返还标准(例如币数据组应该到期)的识别：

电子币数据组由中央发行者实体输出，其中，每个电子币数据组附加地具有检查值。当电子币数据组在两个参与者单元之间直接传输时，检查值递增，或者当参与者单元对电子币数据组执行动作(修改)时，检查值是不变的。该方法包括以下步骤：参与者单元根据电子币数据组的检查值确定该电子币数据组是否由参与者单元在支付系统中显示，或者参与者单元根据电子币数据组的检查值确定该电子币数据组是否返还到中央发行者实体。因此，在优选的设计方案中，对于返还标准的识别，还根据上面已经提到的用于未发送的交易数据组的检查值或根据另外的检查值确定是否由第一参与者单元在支付系统、特别是币登记册中显示电子币数据组，和/或是否将电子币数据组返还到中央发行者实体。

在该方法中，使用电子币数据组的每个检查值，以便可以实现或改进支付系统中的控制功能。每个检查值优选地是电子币数据组的数据元素，其可由参与者单元读取，或者是参与者单元中的数据元素，其值可以由参与者单元确定。返还标准的检查值与电子币数据组相耦合。

在第一设计方案中，当电子币数据组在两个参与者单元之间直接传输时，返还标准的检查值递增(＝逐步增加)。递增由进行发送的参与者单元紧接在将币数据组发送到进行接收的终端设备之前进行。或者递增在进行接收的参与者单元中紧接在接收到币数据组之后进行。因此，针对每个币数据组确定参与者单元之间的直接传输的数量。

在第二设计方案(作为第一设计方案的替换方案)中，检查值在由参与者单元对电子币数据组执行的动作中是不变的(动作不变)。“动作不变”意味着，在对币数据组的动作中，检查值保持不变。动作不变的检查值对于电子币数据组是非个体化的，而是特定于组的，并且因此适用于多个不同的币数据组，以保持匿名性并防止币数据组跟踪。

作为对币数据组的动作是终端设备对币数据组执行的任何修改，即尤其变换、分割、组合，如后面所述。此外，动作是指币数据组的任何传输，例如向(另外的)参与者单元或支付系统中的实体的传输。此外，动作是指兑换

根据电子币数据组的检查值，通过参与者单元确定，该电子币数据组是否在支付系统中显示(＝报告)。例如，当参与者单元之间的传输次数超过预定义的阈值时，向支付系统显示电子币数据组。在该方法的示例性的设计方案中，显示对应于向支付系统的币登记册发送变换指令，以便在那里促使币数据组变换到发送币数据组的参与者单元。在所述方法的一种替换的示例性的设计方案中，显示促使在支付系统的监督登记册中标记币数据组。检查值和/或币数据组可以但不必为了显示目的而传输到支付系统。参与者单元返还电子币数据组需要兑换与电子币数据组相关联的货币数额或输出具有相同货币数额的新的电子币数据组。

参与者单元返还电子币数据组可以触发支付系统中监督登记册中关于电子币数据组的所有现有条目的重置或删除。这将删除电子币数据组的数字痕迹，并确保该过程的匿名性。

替换地，根据电子币数据组的检查值，通过参与者单元确定是否将电子币数据组返还到中央发行者实体。由此可以利用检查值定义返还电子币数据组的标准。以这种方式，电子币数据组例如可能会因其使用寿命或对币数据组执行的动作次数而到期，以便增加支付系统的安全性。

在一种优选的设计方案中，作为显示的结果，电子币数据组从支付系统(监督登记册)返还到中央发行者实体。因此，通过在支付系统中显示，在支付系统中确定是否要返还币数据组。在该设计方案中，确定是否必须返还是在支付系统中而不是在参与者单元中进行的。将确定的结果通知给参与者单元，并且由支付系统要求参与者单元返还电子币数据组。

在一种优选的设计方案中，作为显示的结果，支付系统(监督登记册)要求修改电子币数据组。修改、例如分割、组合或变换需要在支付系统中登记电子币数据组。在数字货币系统的多个设计方案中，返还到发行者实体不是必要的，并且有时也不是有意义的。如果币数据组在其输出后迅速被修改，则尤其适用于这一点。在该设计方案中，币数据组不被返还，但被视为已返还。

在一种优选的设计方案中，作为显示的结果，通过支付系统在使用电子币数据组的检查值的情况下，确定支付系统(监督登记册)中关于该电子币数据组的计数器值。币数据组的检查值优选地从参与者单元传输到支付系统(监督登记册)。在此，计数器值不是币数据组的组成部分。优选地，在支付系统中管理计数器值。优选地，计数器值随着有关电子币数据组的每个动作(修改、传输、兑换)增加。对于不同的动作，计数器值优选地以不同的权重增加。由此可以相应于不同的动作以改进的方式控制返还。因此，在币数据组中，将检查值设置为数据元素，其尤其随着参与者单元之间的每次直接传输而递增。支付系统中的计数器值包括检查值，例如通过将以前的计数器值与检查值相加。

在一种优选的设计方案中，每个电子币数据组具有第一检查值和第二检查值。然后在两个参与者单元之间直接传输电子币数据组时相应地递增第一检查值，其中，根据电子币数据组的第一检查值确定是否由参与者单元在支付系统中显示电子币数据组。根据电子币数据组的至少第二检查值，确定电子币数据组是否返还到中央发行者实体。因此，在币数据组中设置了与返还检查值分开的显示检查值。

优选地，第二检查值在参与者单元对电子币数据组执行的动作中是不变的，其中，第二检查值优选地是来自如下列表的至少一个值：电子币数据组的返还日期；电子币数据组的输出日期；电子币数据组登记日期；以及电子币数据组的识别值。动作不变的检查值对于电子币数据组而言不是个体化的，而是特定于组的，并且因此适用于多个不同的币数据组，以保持匿名性并防止币数据组跟踪。在此，第二动作不变的检查值对于电子币数据组而言不是个体化的，而是适用于多个不同的币数据组(组ID)，以便保持匿名性并防止币数据组跟踪。

在一种有利的设计方案中，第二检查值是可变的，并且包括第一检查值，以确定是否返还电子币数据组。在此，可以形成总和并将该总和与预定义的阈值进行比较。例如，直接传输的次数可以是返还标准，从而在支付系统中不需要维护用于在币数据组的返还方面用于评估币数据组的基础设施，即在创建控制功能的情况下实现更简单且更安全的管理。

在一种有利的设计方案中，通过第一终端设备确定“超过了电子币数据组的检查值的阈值”，并且仅当在第一终端设备中确定在第一终端设备中不存在其他电子币数据组时，才执行对该电子币数据组的动作、尤其是将该电子币数据组从第一终端设备直接传输到第二终端设备。以这种方式确保，在终端设备中缺乏替换的币数据组的情况下，尽管该币数据组在终端设备之间的直接传输次数很多，两个终端设备之间的支付交易仍然可以利用该币数据组执行和完成。

在一种有利的设计方案中，通过第一参与者单元确定“超过了电子币数据组的检查值的阻断阈值”，并且与在该第一参与者单元中是否存在其他电子币数据组无关地阻断对该电子币数据组执行动作、尤其是阻断将该电子币数据组从第一参与者单元直接传输到第二参与者单元。因此，定义了阈值，当达到该阈值时，参与者单元之间的直接转发(传输)被完全地阻止(阻断)。例如，该币数据组可以存储在安全的存储区域中，并且参与者单元仅可以访问返还过程，而不能访问动作过程。

产生威胁的阻断可以由参与者单元预先采集并通知给参与者单元的用户，以便通过立即返还币数据组来阻止币数据组的阻断。附加地或替换地，当识别到超过阻断阈值时，参与者单元可以返还电子币数据组。

优选地，检查值的阈值小于检查值的阻断阈值。阻断阈值可以是阈值的倍数，以避免过早地阻断币数据组。例如，阈值为10，或者例如为5，或者例如为3。阻断阈值相应地为30，或者例如为15，或者例如为10。

在一种优选的设计方案中，发行者实体以预定义的周期性的时间间隔或针对性控制的方式查询币数据组的检查值，并且如果超过了电子币数据组的检查值，则自动召回电子币数据组。

在返还方法的一种优选的设计方案中，支付系统的监督登记册在使用电子币数据组的检查值的情况下确定监督登记册中与电子币数据组有关的计数器值。如果超过计数器值的阈值，则将电子币数据组(直接或间接)返还到中央发行者实体。在此在监督登记册中，优选地只管理掩蔽的币数据组。发行者实体或支付系统从参与者单元请求相应的币数据组，或由支付系统向参与者单元提供相应的信息，以便(直接)返还。计数器值优选地随着电子币数据组上的每个动作而增加，其中，对于不同的动作，计数器值优选地以不同的权重增加。参见这种方法的上述优点。

在返还方法的一种优选的设计方案中，当通过监督登记册执行对电子币数据组的动作时，支付系统重置电子币数据组的检查值。这简化了该方法，因为参与者单元不需要适合于所有允许的行动的总和，而只需要适合于彼此相继地允许的直接传输的总和。

在一种优选的设计方案中，当电子币子数据组组合(＝连接)成组合的电子币数据组时，通过支付系统确定电子币子数据组的最高检查值，并且采用该最高检查值作为组合的电子币数据组的检查值。

在一种优选的设计方案中，当通过监督登记册将电子币子数据组组合成组合的电子币数据组时，根据“电子币子数据组的所有检查值的总和”除以“币子数据组的数量与恒定校正值的乘积”来确定新的检查值，其中，采用该新的检查值作为组合的电子币数据组的检查值，其中，该校正值大于等于1，并且其中优选地，该校正值取决于电子币子数据组的各个检查值的最大偏差或取决于其中一个电子币子数据组的最大检查值，其中进一步优选地，该校正值小于等于2。校正值在支付系统范围中是恒定的。

在一种优选的设计方案中，当终端设备促使电子币数据组的资金价值数额兑换到支付系统的帐户和/或当参与者单元请求将电子币数据组的资金价值数额变更到支付系统的另一个货币系统时，电子币数据组从监督登记册返还到发行者实体。

可以在参与者单元中分割电子币数据组，然后将该分割登记在币登记册中。这具有优点，即至少一个电子币数据组的拥有者不必总是一次传输整个货币数额，而是形成并传输相应的货币子数额。只要所有电子币子数据组都具有小于从中进行分割的电子币数据组的货币数额的正货币数额，并且电子币子数据组的总和等于待分割的电子币子数据组，那么资金价值就可以被分割，而不受对称或非对称的限制。替换地或附加地，可以使用固定面额。分割为子数额是任意的。分割例如触发上面描述的用于产生和加密交易数据组的方法的实施，并且掩蔽的分割的电子币数据组可以是交易登记册的交易数据组的一部分。

优选地，所述方法具有进一步的以下步骤：变换所传输的电子币数据组；和/或将所传输的电子币数据组与第二电子币数据组连接成(新的)连接的电子币数据组。

在变换时，由第一参与者单元获得的电子币子数据组得出优选地具有相同的货币数额的新的电子币数据组、即所谓的待变换的电子币数据组。新的电子币数据组由第二参与者单元生成，优选地，方式为将获得的电子币数据组的货币数额用作待变换的电子币数据组的货币数额。在此，生成新的混淆数额、例如随机数。新的混淆数额例如与获得的电子币数据组的混淆数额相加，由此两个混淆数额(新的和获得的)的总和用作待变换的电子币数据组的混淆数额。在变换之后，优选地，在参与者单元中通过将同态的单向函数分别应用于所获得的电子币子数据组和待变换的电子币子数据组来对获得的电子币子数据组和待变换的电子币子数据组进行掩蔽，以便相应地获得掩蔽的所获得的电子币子数据组和掩蔽的待变换的电子币子数据组。变换例如触发上面描述的用于产生和加密交易数据组的方法的实施，并且掩蔽的待变换的电子币子数据组可以是交易登记册的交易数据组的一部分。

因此，通过将新的混淆数额添加到所获得的电子币数据组的混淆数额来保护变换，从而获得只有第二参与者单元知道的混淆数额。新创建的混淆数额必须具有高的熵，因为其被用作对应的掩蔽的电子币子数据组的扰乱因子(Blendungsfaktor)。为此优选地使用安全元件上的随机数发生器。可以在币登记册中跟踪这种保护。

在变换的框架中，优选地在参与者单元中计算附加信息，该附加信息对于在币登记册中登记掩蔽的电子币数据组的变换是必需的。优选地，附加信息包括关于掩蔽的待变换的电子币数据组的范围证明和关于掩蔽的所获得的电子币数据组的范围证明。范围证明涉及证明电子币数据组的货币数额为非负数、电子币数据组是有效创建的和/或电子币数据组的货币数额和混淆数额是范围证明的创建者已知的。范围证明尤其用于提供这种(这些)证明而不暴露掩蔽的电子币数据组的货币数额和/或混淆数额。范围证明也称为“零知识范围证明(Zero-Knowledge-Range-Proof)”。优选地，将环签名用作范围证明。随后，在远程币登记册中登记掩蔽的电子币数据组的变换。登记例如触发上面描述的用于产生和加密交易数据组的方法的实施，并且掩蔽的待变换的电子币子数据组可以是交易登记册的交易数据组的一部分。

登记步骤优选地在第二参与者单元与币登记册连接时才实施。当电子币数据组用于两个参与者单元之间的直接支付时，掩蔽的币数据组能够在币登记册中以假名登记。登记例如触发上面描述的用于产生和加密交易数据组的方法的实施，并且假名化的掩蔽的待变换的电子币子数据组可以是交易登记册的交易数据组的一部分。

在所述方法的另一种优选的设计方案中，为了连接电子币子数据组，根据第一和第二电子币子数据组确定另外的电子币数据组(连接后的电子币数据组)。在此，通过形成第一和第二电子币数据组的相应的混淆数额的总和来计算待连接的电子币数据组的混淆数额。此外，优选地通过形成第一和第二电子币数据组的相应的货币数额的总和来计算连接后的电子币数据组的货币数额。

在连接之后，通过将同态的单向函数分别应用于第一电子币子数据组、第二电子币子数据组以及待连接的电子币数据组，在(第一和/或第二)参与者单元中对第一电子币子数据组、第二电子币子数据组和待连接的电子币数据组进行掩蔽，以便相应地获得掩蔽的第一电子币子数据组、掩蔽的第二电子币子数据组和掩蔽的待连接的电子币数据组。此外，在参与者单元中计算附加信息，该附加信息对于在远程币登记册中登记掩蔽的电子币数据组的连接是必需的。优选地，附加信息包括关于掩蔽的第一电子币子数据组的范围证明和关于掩蔽的第二电子币子数据组的范围证明。范围证明涉及证明电子币数据组的货币数额为非负数、电子币数据组是有效创建的和/或电子币数据组的货币数额和混淆数额是范围证明的创建者已知的。范围证明尤其用于提供这种(这些)证明而不暴露掩蔽的电子币数据组的货币数额和/或混淆数额。范围证明也称为“零知识范围证明(Zero-Knowledge-Range-Proof)”。优选地，将环签名用作范围证明。随后，在远程币登记册中登记两个掩蔽的电子币子数据组的连接。登记例如触发上面描述的用于产生和加密交易数据组的方法的实施，并且掩蔽的连接的电子币子数据组可以是交易登记册的交易数据组的一部分。

利用连接的步骤，可以将两个电子币数据组或者说两个电子币子数据组组合。在此，将货币数额和混淆数额相加。因此，与在分割中一样，在连接中也可以执行两个原始币数据组的有效性。

在一种优选的设计方案中，登记步骤包括：在币登记册中接收掩蔽的待变换的电子币子数据组，检查掩蔽的待变换的电子币子数据组的有效性；并且当检查步骤成功时，在币登记册中登记掩蔽的待变换的电子币数据组，由此将待变换的电子币子数据组视为已检查。

因此得出例如至少三层支付系统。在第一层(直接交易层)中，在各个参与者单元或其安全元件之间直接传输电子币数据组。在第二层(检查层)中，将掩蔽的电子币数据组在币登记册和监督登记册中登记和检查。在第二层中，优选地不记录支付交易，而仅记录掩蔽的电子币数据组、其状态、必要时检查值、签名以及修改，以验证(未掩蔽的)电子币数据组的有效性。因此确保了支付系统参与者的匿名性。第二层给出关于有效和无效电子币数据组的情况，以便例如避免相同的电子币数据组的多次输出；或者验证电子币数据组作为有效发行的电子货币的真实性；或者获取每个安全元件的货币数额的总和，以将该总和与阈值进行比较并相应地阻止或允许修改。第二层可以根据电子币数据组的计数器值确定电子币数据组是否已到期并要返还，或者要进行相应的修改以使其被视为返还。在第三层(存档层)中，将加密的交易数据组存储在交易登记册中，并且应官方询问如上所述地解密，以便进行检查。

此外，支付系统例如还包括发行者实体，该发行者实体生成(创建)并再次索要(删除)电子币数据组。当从发行者实体向参与者单元发行电子币数据组时，掩蔽的电子币数据组也可以从发行者实体并行地输出到支付系统的币登记册和/或监督登记册，以用于登记电子币数据组。

在本文中，参与者单元可以具有安全元件或本身是安全元件，在该安全元件中安全地存储有电子币数据组。在参与者单元上可以运行准备就绪地引入有应用程序，该应用程序控制或至少启动传输过程的一部分。

电子币数据组的传输可以分别借助作为参与者单元的与安全元件在逻辑上和/或在物理上连接的终端设备进行。

两个参与者单元之间必要时利用各自的安全元件进行的通信可以无线地或有线地进行，或者例如也可以以光学方式、优选地通过QR码或条形码进行，并且可以设计为例如参与者单元的应用程序之间的安全通道。光学方式可以包括例如生成光学编码、尤其2D编码、优选QR码的步骤以及读取光学编码的步骤。

电子币数据组的传输例如通过密码密钥来保护，该密码密钥例如是针对电子币数据组交换而协商的会话密钥或者对称的或非对称的密钥对。

通过参与者单元之间例如通过其安全元件进行的通信，所交换的电子币数据组被保护免于被盗或篡改。因此，安全元件层面补充了已创立的区块链技术的安全性。

在一种优选的设计方案中，币数据组的传输作为APDU指令进行。为此，币数据组优选地存储在作为安全元件的(嵌入式)UICC中并且在那里被管理。APDU是UICC和终端设备之间的连接协议的组合的指令/数据块。APDU的结构由标准ISO-7816-4定义。APDU表示应用层级(OSI层模型的层7)的信息元素。

此外，有利的是，电子币数据组可以以任何格式传输。这意味着，电子币数据组可以在任意通道上进行通信、即传输。电子币数据组不必以固定的格式或在特定的程序中存储。

尤其将移动电信终端设备、例如智能手机视为参与者单元。替换地或附加地，参与者单元也可以是如下设备，例如可穿戴设备、智能卡、机器、工具、自动售货机或也可以是集装箱或车辆。因此，参与者单元要么是静止的，要么是移动的。参与者单元优选地设计为使用互联网和/或其他公共或私人网络。为此，参与者单元使用合适的连接技术、例如蓝牙、LoRa、NFC和/或WiFi，并且具有至少一个相应的接口。参与者单元也可以设计为借助对移动无线电网络的访问来与互联网和/或其他网络连接。

两个参与者单元例如通过协议建立本地的无线通信连接，然后引入位于其中的两个安全元件之间的传输。

在一种设计方案中可以规定，当存在或接收到多个电子币数据组时，第一和/或第二安全元件相应于其货币价值地处理接收到的电子币数据组。因此可以规定，在处理具有较低货币价值的电子币数据组之前处理具有较高货币价值的电子币数据组。

在一种设计方案中，参与者单元可以设计为，在接收到电子币数据组之后根据所附信息(例如货币或面额)将该电子币数据组与参与者单元中已经存在的电子币数据组连接，并且相应地实施连接步骤。此外，参与者单元还可以设计为在接收到电子币数据组之后自动地实施变换。

在一种设计方案中，在传输时，其他信息、尤其元数据，例如货币，从第一参与者单元或第一安全元件传输到第二参与者单元或第二安全元件。在一种设计方案中，该信息可以包含在电子币数据组中。

所述方法不限于一种货币。因此，支付系统可以被设计为用于管理不同发行者实体的不同货币。例如，支付系统被设计为用于将第一货币的电子币数据组转换(＝变更)为另外的货币的电子币数据组。这种变更也是对电子币数据组的修改。随着变更，原始币数据组变为无效并被视为返还。因此可以使用不同的货币进行灵活支付并且提高用户友好性。

此外，所述方法能够实现电子币数据组转换为账面资金，即例如将货币数额赎回到支付系统中参与者的账户上。这种转换也是一种修改。随着赎回，电子币数据组变为无效并被视为返还。

优选地，至少一个初始的电子币数据组仅由发行者实体创建，其中，优选地，分割后的电子币数据组、尤其电子币子数据组也可以由参与者单元生成。优选地，创建和选择货币数额还包括选择具有高熵的混淆数额。发行者实体是计算系统，其优选地远离第一和/或第二参与者单元。在创建新的电子币数据组后，在发行者实体中通过将同态的单向函数应用于新的电子币数据组来对新的电子币数据组进行掩蔽，以便相应地获得掩蔽的新的电子币数据组。此外，在发行者实体中计算为了在远程币登记册中登记掩蔽的新的电子币数据组的创建所需的附加信息。优选地，该附加信息是对(掩蔽的)新的电子币数据组源自发行者实体的证明，例如通过掩蔽的新的电子币数据组的签名。在一种设计方案中可以规定，发行者实体用其签名在产生电子币数据组时对掩蔽的电子币数据组进行签名。为此，将发行者实体的签名存储在币登记册中。发行者实体的签名与由参与者单元或安全元件产生的签名不同。

优选地，发行者实体可以将其拥有的电子币数据组(即发行者实体知道其货币数额和混淆数额)去激活，方式为，利用同态的单向函数来掩蔽掩蔽的待去激活的电子币数据组并且为币登记册准备去激活命令。除了掩蔽的待去激活的电子币数据组之外，去激活命令的一部分优选地也证明了去激活步骤是由发行者实体发起的，例如以已签名的掩蔽的待去激活的电子币数据组的形式。针对掩蔽的待去激活的电子币数据组的范围检查可以作为附加信息包含在去激活命令中。去激活可以是返还的结果。随后在远程币登记册中登记掩蔽的电子币数据组的去激活。利用去激活命令触发去激活步骤。

创建步骤和去激活步骤优选地在安全位置处、尤其不在参与者单元中执行。在一种优选的设计方案中，创建步骤和去激活步骤仅由发行者实体执行或触发。这些步骤优选地在安全位置处进行、例如在开发用于处理不安全网络中的敏感数据材料的硬件和软件架构中进行。将相应的掩蔽的电子币数据组去激活具有如下效果：相应的掩蔽的电子币数据组不再可用于进一步的处理、尤其是交易。然而，在一种设计方案中可以规定，已去激活的掩蔽的电子币数据组以存档的形式在发行者实体中保持存在。已去激活的掩蔽的电子币数据组不再有效或被返还的事实例如可以借助标记或其他编码来标识，或者已去激活的掩蔽的电子币数据组可以被销毁和/或删除。已去激活的电子币数据组也物理地从参与者单元或安全元件上移除。

通过根据本发明的方法能够实现对电子币数据组和相应的掩蔽电子币数据组进行不同的处理操作(修改)。在此，处理操作中的每个(尤其是创建，去激活，分割，连接和变换)被记录在币登记册中，并且在该登记册中以不变的形式附加到相应的掩蔽的电子币数据组的先前处理操作列表中。处理操作中的每个都触发例如用于产生和加密交易数据组的方法。在此，登记在时间和位置(空间)上都独立于参与者单元之间的支付过程。处理操作“创建”和“去激活”(＝返还)(其涉及货币数额本身的存在，即意味着资金的创建和销毁直至删除)需要发行者实体的额外授权，例如以签名的形式，以便在币登记册中登记(即记录)。其余的处理操作(分割，连接，变换)(其中分割和连接也可以从一个参与者单元委托给另一个参与者单元)不需要发行者实体或命令发起者(＝付款者，例如参与者单元或安全元件)的授权。

在直接交易层中的处理仅涉及所有权和/或币数据组与相应的电子币数据组的参与者单元的关联。相应的处理在币登记册或监督登记册中的登记例如通过数据库中的相应的列表条目实现，所述列表条目包括一系列标记，所述标记必须由币登记册执行。列表条目的可能结构包括例如：用于前任币数据组的列，用于继任币数据组的列，用于发行者实体的签名列，用于发送和/或接收安全元件的签名列，用于币分割过程的签名列以及至少一个标记列。如果所需的标记已由币登记册或监督登记册验证，即在相应的检查例如从状态“0”更改为状态“1”之后，更改(修改)是最终的。如果检查失败或持续时间过长，则替代地将其例如从状态“-”改为状态“0”。可以想到其他状态值和/或这里提到的状态值可以更换。关于修改的状态与传输过程中的状态无关(非激活/激活)。优选地，相应的(掩蔽的)电子币数据组的有效性由标记的状态值组合地分别在针对在登记处理中涉及的每个掩蔽的电子币数据组的列中示出。

在另外的实施例中，前述标记中的至少两个优选三个或甚至所有标记也可以由唯一的标记代替，当所有检查都成功完成时，所述唯一的标记被设置。此外，用于前任数据组和继任数据组的每两列可以分别组合成一列，在该列中一起列出所有币数据组。由此也可以为每个字段条目管理多于两个电子币数据组，并且因此例如实现分割成多于两个币数据组。

已在上文中描述了，通过监督登记册的检查以检查处理是否是最终的，并且特别地：

-(多个)前任列的掩蔽的电子币数据组是否有效？

-监督是否产生正确的检查值？

-掩蔽的电子币数据组的范围证明是否成功？

-掩蔽的电子币数据组的签名是否为发行者实体的有效签名？

-进行发送/接收的参与者单元(假名)是否超过了允许的最大货币数额的极限值，特别是针对单位时间？

-币数据组是否由于参与者单元之间的传输是非激活的？

优选地，此外适用：如果以下检查之一符合，则掩蔽的电子币数据组无效，即：

(1)掩蔽的电子币数据组未在币登记册中登记；

(2)对掩蔽的电子币数据组的最后处理表明，其存在前任币数据组，但该最后处理不是最终的；或

(3)对掩蔽的电子币数据组的最后处理表明，其存在继任币数据组，并且该最后处理是最终的；

(4)除非由发行者实体签名，否则掩蔽的电子币数据组不是有效的掩蔽的电子数据组的继任；

(5)掩蔽的电子币数据组的货币数额导致，超过允许的最大货币数额的阈值、特别是针对单位时间，并且所要求的去匿名化被相应参与者单元拒绝；

(6)在币登记册中输入安全元件的激活状态，但另外的参与者单元在所有权指示下询问动作(变换，组合，分割)。

优选地，支付系统被构造为用于执行上述方法和/或实施变型方案中的至少一个。

另一个方面涉及一种货币系统，所述货币系统包括发行者实体、币登记层、第一安全元件和第二安全元件，其中发行者实体被构造为用于创建电子币数据组。掩蔽的电子币数据组被构造为能够通过发行者实体可证明地创建。检查层被构造为用于实施如在上述方法中那样实施的登记步骤。优选地，安全元件，即至少所述第一和第二安全元件，适用于执行上面提到的(i)用于传输和(ii)用于生成+加密+启动的方法中的一个。

在货币系统的一种优选的实施方案中，只有发行者实体才有权初始创建和最终收回电子币数据组。例如，连接、分割和/或变换步骤的处理可以并且优选地通过参与者单元执行。去激活的处理步骤优选地只能由发行者实体执行。

优选地，币登记册、监督登记册和发行者实体布置在共同的服务器实体中，或者作为计算机程序产品存在于服务器和/或计算机上。

优选地，交易登记册被布置在不同于共同的服务器实体的服务器实体中，或者作为计算机程序产品存在于其中。

电子币数据组在此可以以多种不同的外观形式存在，并且因此通过不同的通信通道(以下也称为接口)来交换。由此实现了电子币数据组的非常灵活的交换。

电子币数据组例如能够以文件的形式表示。在此，文件由内容相关的数据组成，所述数据存储在数据载体、数据存储器或存储介质上。每个文件首先是一维的比特(Bit)串，其通常被综合地解释为字节(Byte)块。安全元件和/或终端设备的应用程序(Application)或操作系统例如将该比特序列或字节序列解释为文本、图像或声音记录。在此使用的文件格式可以是不同的，例如可以是纯文本文件，其代表电子币数据组。在此，货币数额和盲签名特别是被映射为文件。

电子币数据组例如是美国信息交换标准代码(American Standard Code forInformation Interchange，ASCII)的序列。特别地，货币数额和盲签名被映射为这个序列。

电子币数据组也可以在参与者单元中从一种显示形式变换为另一种显示形式。因此，电子币数据组例如可以作为QR码在参与者单元中接收并且作为文件或字符串由参与者单元输出。

在使用不同的传输介质(空气、纸、有线的传输)并且考虑到参与者单元的技术设计方案的情况下，同一电子币数据组的这些不同表示形式可以实现在不同技术装备的参与者单元或安全元件或终端设备之间的非常灵活的交换。电子币数据组的显示形式的选择优选自动地进行，例如基于识别的或协商的传输介质和设备部件。附加地，参与者单元的用户也可以选择用于交换(＝传输)电子币数据组的显示形式。

在简单的情况下，数据存储器是参与者单元的内部数据存储器。在此存储电子币数据组。由此确保了对电子币数据组的简单访问。

数据存储器尤其是外部数据存储器，也称为线上存储器。因此，安全元件或参与者单元仅具有对外部并且因此安全存储的电子币数据组的访问装置。特别是在安全元件或参与者单元丢失的情况下，或在安全元件或参与者单元故障的情况下，电子币数据组不会丢失。由于拥有(未掩蔽的)电子币数据组等于拥有货币数额，因此通过使用外部数据存储器可以更安全地存储和管理资金。

如果币登记册是远程实体，则参与者单元优选地具有用于借助常见的互联网通信协议、例如TCP、IP、UDP或HTTP进行通信的接口。传输可以包含通过移动无线电网络的通信。

在一种优选的设计方案中，用于输出(＝发送)至少一个电子币数据组的接口是借助用于无线通信的通信协议通过参与者单元将电子币数据组无线发送到另外的安全元件的协议接口。在此，尤其设置近场通信，例如借助蓝牙协议或NFC协议或IR协议，替换地或附加地，可以想到WLAN连接或移动无线电连接。然后根据协议属性对电子币数据组进行调整或者将其集成到协议中并进行传输。

在一种优选的设计方案中，用于输出至少一个电子币数据组的接口是用于借助应用程序将电子币数据组提供给另外的参与者单元的数据接口。与协议接口不同，电子币数据组在此借助应用程序来传输。然后，该应用程序以相应的文件格式传输电子币数据组。可以使用特定于电子币数据组的文件格式。以最简单的形式，币数据组作为ASCII字符串或作为文本消息、例如SMS、MMS、即时消息(如Threema或WhatsApp)进行传输。在一种替换形式中，币数据组作为APDU字符串进行传输。也可以设置钱包应用程序。在此，进行更换的参与者单元优选地确保借助应用程序进行更换是可能的，即两个参与者单元具有应用程序并且能够用于更换。

在一种优选的设计方案中，参与者单元还具有用于接收电子币数据组的接口。

在一种优选的设计方案中，用于接收至少一个电子币数据组的接口是安全元件或终端设备的电子检测模块，所述电子检测模块被设置为用于检测以视觉形式示出的电子币数据组。于是，检测模块例如是照相机或条形码或QR码扫描仪。

在一种优选的设计方案中，用于接收至少一个电子币数据组的接口是用于借助用于无线通信的通信协议从另外的安全元件或终端设备无线地接收电子币数据组的协议接口。在此，尤其设置近场通信，例如借助蓝牙协议或NFC协议或IR协议。替换地或附加地，可以想到WLAN连接或移动无线电连接。

在一种优选的设计方案中，用于接收至少一个电子币数据组的接口是用于借助应用程序从另外的参与者单元接收电子币数据组的数据接口。然后，该应用程序以相应的文件格式接收币数据组。可以使用特定于币数据组的文件格式。以最简单的形式，币数据组作为ASCII字符串或作为文本消息、例如SMS、MMS、Threema或WhatsApp进行传输。在一种替换形式中，币数据组作为APDU字符串进行传输。附加地，可以借助钱包应用程序进行传输。

在一种优选的设计方案中，参与者单元包括：至少一个安全元件读取设备，所述安全元件读取设备被设置为用于读取安全元件；随机数发生器；和/或到保险箱模块和/或银行机构的通信接口，所述保险箱模块和/或银行机构具有对银行账户的待授权的访问。

在一种优选的设计方案中，数据存储器是共同的数据存储器，至少另外的参与者单元还能够访问该共同的数据存储器，其中，参与者单元中的每个都具有应用程序，其中，该应用程序被设置为用于与币登记册通信，以相应地登记电子币子数据组。

因此，在此提出一种解决方案，该解决方案以电子币数据组的形式发行数字资金，该数字资金类似于使用传统的(模拟的)纸币和/或硬币。在此，数字资金通过电子币数据组映射。与(模拟的)纸币一样，这些电子币数据组可以用于所有形式的支付，包括点对点和/或POS支付。了解有效的电子币数据组的所有组成部分(特别是货币数额和混淆数额)，就等于拥有数字资金(所有权)。因此适宜的是，保密地处理这些有效的电子币数据组，即例如存储在终端设备的安全元件/保险箱模块中并且在那里进行处理。为了决定电子币数据组的真实性并且防止双重支出，在币登记册中保存掩蔽的电子币数据组作为电子币数据组的唯一的、对应的公开表示。了解或拥有掩蔽的电子币数据组并不构成拥有资金。相反，这类似于检查模拟支付手段的真实性。

币登记册例如还包含关于对掩蔽的电子币数据组的已执行和计划的处理的标记。从用于处理的标记中导出相应的掩蔽的电子币数据组的状态，所述状态说明：相应的(没有掩蔽的)电子币数据组是否有效，即是否能用于付款。因此，电子币数据组的接收器首先产生掩蔽的电子币数据组，并且掩蔽的电子币数据组的有效性可以通过币登记册来认证。根据本发明的解决方案的一大优点是，将数字资金分布到终端设备、商家、银行和系统的其他用户上，但是没有数字资金或其他元数据存储在币登记册或监督登记册(即共同的实体)处。

所提出的解决方案可以集成到现有的支付系统和基础设施中。特别地，可以存在根据本发明的解决方案的具有纸币和硬币的模拟支付过程和数字支付过程的组合。因此，可以利用纸币和/或硬币进行支付过程，但是变换的资金或找回的资金作为电子币数据组存在。为了进行交易，例如可以设置具有相应配置、特别是具有合适通信接口的ATM和/或移动终端设备。此外，可以想到将电子币数据组交换成纸币或硬币。

在此列出的创建、变换、分割、连接和去激活(返还)步骤分别通过相应的创建、变换、分割、连接或去激活(返还)命令触发。

附图说明

下面根据附图详细解释本发明或本发明的其他实施方式和优点，其中附图仅描述本发明的实施例。附图中相同的组成部分具有相同的附图标记。附图不应被视为是按比例的，附图的各个元件可以过大或过于简化地示出。

附图中：

图1a、图1b示出了根据现有技术的支付系统的实施例；

图2示出了根据本发明的支付系统的实施例；

图3示出了在参与者单元中根据本发明的方法的方法流程图的实施例；

图4示出了在交易登记册中根据本发明的方法的方法流程图的实施例；

图5示出了交易数据组的加密和解密的实施例；

图6示出了图2的支付系统的实施例的扩展方案；

图7示出了图2的支付系统的实施例的替换的扩展方案；

图8示出了币登记册和监督登记册的实施例；

图9示出了根据本发明的系统的用于分割和变换和直接传输电子币数据组的实施例；

图10示出了根据本发明的支付系统的用于连接电子币数据组的实施例；

图11示出了根据本发明的方法的方法流程图和币数据组的相应处理步骤的实施例；

图12示出了根据本发明的方法的方法流程图和币数据组的相应处理步骤的实施例；

图13示出了根据本发明的安全元件的实施例；

图14示出了根据本发明的支付系统；

图15示出了根据本发明的支付过程在监督每个参与者单元的货币数额的情况下的流程的实施例；并且

图16示出了根据本发明的范围确认的流程的实施例。

具体实施方式

图1a和图1b示出了根据现有技术的支付系统的实施例并且在背景技术中进行了描述。图1a和图1b已经在说明书引言中进行了描述。再次指出，终端设备M8想要将币数据组C

例如当具有终端设备M1的攻击者将币数据组C

因此，在支付系统中，当超过一定的使用寿命或总体上对/利用币数据组进行的动作的次数时，币数据组应该到期，即，一方面应该限制币数据组的直接传输的次数，并且另一方面，在识别到攻击的情况下应该可以跟踪是谁执行的攻击(在此是终端设备M1)。为了证据保存，下面描述一种方法/系统，在该方法/系统中，参与者单元(终端设备或安全元件)的交易数据存档在远程交易登记册中并且可以在官方决定的情况下被检查。

为此，根据本发明的支付系统包括至少两个、优选大量的参与者单元TE以及交易登记册，所述参与者单元在下文中也被称为或图示为安全元件SEx或终端设备Mx。支付系统还可以包括例如至少一个发行者实体1、一个或多个商业银行、一个(或多个)中央币登记册2，所述中央币登记册登记币数据组并且检查和记录币数据组处的修改。关于支付系统的根据本发明的进一步示例在图6、图7、图14和图16中示出。

图2示出了根据本发明的支付系统BZ的实施例。支付系统BZ包括至少两个安全元件SE1和SE2。SE1和SE2在此可以运行准备就绪地引入到相应的终端设备M1和M2中，并且与相应的终端设备M1和M2逻辑地或物理地连接。此外，示出了支付系统BZ的交易登记册4。

在图2的支付系统中还设置有发行者实体1、例如中央银行，该发行者实体除了人员关联7之外也产生电子币数据组C。关于电子币数据组C产生掩蔽的电子币数据组Z并且该掩蔽的电子币数据组在支付系统的币登记册2中登记104。在步骤102中，电子币数据组C从发行者实体1输出到第一终端设备M1。在步骤104中，掩蔽的电子币数据组Z例如从发行者实体1直接地或通过第一终端设备M1输出到币登记册2。替换地，掩蔽的电子币数据组Z由第一终端设备M1(或第二终端设备M2)产生，并且在步骤104中发送到币登记册2。

在电子币数据组C的计划执行或已经执行的传输105中，如下面将详细描述的那样，在第一终端设备M1中产生交易数据组TDS。交易数据组TDS具有进行发送的终端设备M1的参与者ID、进行接收的终端设备M2的参与者ID、可选地具有交易号、可选地具有币数据组的资金价值数额、可选地具有对应于电子币数据组C的掩蔽的币数据组Z(掩蔽将在稍后解释)并且可选地具有交易时间点。终端设备的每个参与者ID在支付系统范围内与一个自然人相关联。该人员关联7在此例如由发行者实体执行和管理。该关联7仅在通过出示身份证或护照成功地识别该人员之后才执行。例如在变更参与者单元或添加另外的参与者单元时，该关联7可以根据人的要求而改变。

在产生交易数据组TDS之后，第一终端设备M1利用密码密钥对该交易数据组进行加密。该密码密钥例如是对应的所组成的私钥部分的公钥部分。该私钥部分由三个子密钥8a、8b、8c组成，其中，子密钥8a、8b、8c例如相加或异或链接。子密钥8a、8b、8c的链接要么在第一终端设备M1中要么在交易登记册4中进行。子密钥8a、8b、8c的链接例如在系统范围内是秘密的。知道或拥有仅一个子密钥8a、8b、8c不允许交易数据组TDS的解密。图5示出了用于加密和解密交易数据组TDS的实施例。

在图2中，加密的交易数据组TDS从第一终端设备M1发送到交易登记册4并存储在那里。发送的时间点优选地与电子币数据组的传输105紧密关联，使得交易登记册4总是关于在支付系统BZ中执行的交易的最新状态。

在涉嫌欺诈的情况下，可以在官方决定、例如法院判决的框架中命令，对加密的交易数据组TDS进行解密，以便对记录在其中的交易(传输105)进行揭露和分析。借助官方决定，然后例如将在交易登记册4处针对终端设备M(借助标识符)查询在特定时间点或特定时间段内的所有存储的交易。此外，可以查询交易数据的其他属性、例如币数据组的资金价值数额的大小、相应的交易伙伴等。

作为法院判决的结果，可以对交易数据进行解密，方式为，作为授权方的多个远程实体通过组合其子密钥生成(或提供)解密密钥。远程实体例如是执法机构、公证处、司法部、中央银行等。

所有远程实体(授权方)仅具有解密密钥的子密钥8a、8b、8c。需要所有成员或m个远程实体中的至少数量n个远程实体，以便共同解密交易数据组TDS。从技术角度看，不同远程实体的各个子密钥8a、8b、8c通过相加或通过逐比特的异或链接组成为共同的私钥部分。然后使用该私钥部分(对应于加密的相应的公钥部分)来解密交易数据组TDS。该方案保证了没有远程实体可以独自解密交易数据组TDS并且因此可能绕过其他实体。如果该方案不应指定所有m个远程实体的可用性，则可以应用阈值加密，以便使用子密钥8a、8b、8c的子集n。该子集n然后定义待组合的子密钥8a、8b、8c的最小数量。

在图2中示出的支付系统三层地构建。在第一层中，发行者实体1、例如中央银行负责货币创造和货币销毁，如后面将解释的那样。商业银行(未示出)可以存储币数据组C，例如存储在设计为高度安全模块、例如设计为HSM的保险库模块中。向用户分发资金，并向中央银行发送资金或从中央银行接收资金。

在第二层中设置有币登记册2和交易登记册4。该层用于检查币数据组C、特别是流通中的币数据组C的有效性和真实性，并且检查币数据组C是否已经输出过两次。为了建立刑事起诉系统，设置交易登记册4。还可以想到，将该交易登记册4与支付系统BZ解耦，以便遵循“关注点分离”的原则。为简单起见，交易登记册4随后与支付系统BZ的第二层相关联。交易登记册4作为可信的实体负责在常规情况下保护人们的隐私，并在由于法院判决要求时公开加密的交易数据组TDS。因此可以检查没有发生非常规的交易或货币操作，特别是没有(新的)货币被非法创造或销毁。交易登记册4代表了刑事起诉中应用情况的扩展，目标在于揭露可疑的交易数据。交易登记册4存储如下交易的加密的数据组，所述交易(必须)由参与的参与者报告并根据符合规定的程序转发给机构。交易数据组TDS以加密形式存储在交易登记册4中。由此确保必须遵循符合规定的程序，并且没有人可以随意访问这些敏感的交易数据。附加地，可以在交易登记册中设置重加密单元，该重加密单元对TDS执行重新加密，使得刑事起诉机构只能获得对官方批准的数据的访问。诸如交易时间点和参与者ID之类的元数据用于提供所询问的数据。重新加密单元可以访问所有数据和对其进行解密。

第三层是直接交易层3，在该直接交易层中，所有参与者，即消费者、经销商等通过其参与者单元TE平等地进行参与，以便交换电子币数据组C。每个参与者单元TE可以具有钱包应用程序，以便管理币数据组C。币数据组C可以本地地存储在参与者单元TE中，或者所述币数据组存储在在线存储器(＝云存储器)中，并且参与者单元TE可以远程管理所述币数据组。在离线场景的情况下，在该离线场景中传输105在没有支付系统BZ的控制实体或登记册实体2、4、6的情况下进行，参与者单元TE可以径直地(直接地)与其他参与者单元TE相互作用。币数据组的实际数据传输可能包括其他连接在其间的实体。支付系统BZ的这种离线设计要求币数据组C保存在经认证的区域、例如钱包应用程序中，理想地保存在安全元件SE、例如智能卡或eSim环境内，以便获得支付系统BZ中的可信度。

为了产生电子币数据组C，提出以下方法。

传输105例如通过WLAN、NFC或蓝牙无线地进行，即优选地在本地进行。传输105可以通过密码加密方法附加地进行保护，例如方式为，对会话密钥进行协商或应用PKI基础设施。传输105也可以使用在线数据存储器进行，电子币数据组C从该在线存储器传输到TE2(M2，SE2)。

在传输步骤105中，例如在SE1和SE2之间建立安全通道，在该安全通道的框架中，两个SE相互认证。SE1和SE2之间的传输路径不一定是径直直接的，而是可以是互联网通信路径或也可以是具有连接在其间的实体(终端设备、路由器、交换机、应用程序)的近场通信路径。代替使用作为TE的终端设备ME，通过使用SE作为安全环境，可以产生更高的信任级别(Level-of-Trust)、即提高支付系统BZ中的可信度。可选地，与eMD C的发送同时地或紧接在其之前或之后开启计时器。事先可以使eMD C失效并且然后不能再被SE1用于动作(如下所述)。因此，由于已经触发(且尚未结束)的传输过程105，eMD C在支付系统BZ中被阻止。因此防止了双重支出。“失效”实现了在传输过程105期间的简单操作。

在SE2中符合规定地接收到eMD C的情况下，SE2生成接收确认并将其发送回到SE1。来自SE2的接收确认可以作为删除请求发送，因为只有在SE1中删除了eMD C之后，才可以(允许)在SE2中使eMD C生效并使用该eMD C。可以可选地显示从SE1中删除eMD C。在此，例如更新SE1(或SE1在逻辑上所在的终端设备ME1)的数额显示。例如，从SE1的可用于支付交易的数额中减去eMD C的货币数额。可以将删除确认从SE1发送到SE2。这用于确认eMD C在SE1中不再存在，并且因此可以在SE2中使其生效。随着在SE2中获得删除确认，SE2可以将eMD C在SE2中的状态转换为激活状态，eMD C因此生效并且从该时间点开始可以用于SE2中的进一步的支付交易或动作(分割、组合、变换)。可选地，SE2的eMD C在币登记册中变换到SE2(参见下文)，由此，eMD C登记到SE2(步骤104)。

可以在SE1中例如通过由定时器指示超过了预定义的持续时间或通过接收到来自SE2或终端设备M1或另外的终端设备M2(未示出)的错误消息来确定传输105的传输错误情况。例如，计数器值可以随着每次用于传输eMD C的新的发送尝试(RETRY)而递增，并且如果超过重复尝试的最大允许次数、例如10次或5次或3次，则在步骤308中自动地且与错误情况无关地决定，不执行新的发送尝试(RETRY)，而是将传输105作为不成功而结束并且进行回滚(ROLLBACK)。

在传输方法105的一种替换的设计方案中，eMD的状态由SE1报告给币登记册2。然后建立与币登记册2的连接，以用于对eMD C的状态查询。如果币登记册2继续反馈关于eMDC(登记到SE1)的非激活状态，则假定没有交易错误(操纵尝试)。然而，如果币登记册2反馈关于eMD C的激活状态或者反馈登记到另一个SE上，则假定交易错误(操纵尝试)并且支付系统被警告。使用SE1的交易数据组TDS以作凭证。

可以预先在发行者实体1中询问电子币数据组C并且可选地由终端设备M(或SE)或发行者实体1或另外的支付系统接收该电子币数据组。步骤104和105可以对应于图11的步骤104和105。对eMD C的动作(分割、连接、变换、传输、赎回、变更)可以对应于图9至图12的动作之一。

例如，产生真实的随机数作为混淆数额r

C

有效的电子币数据组可用于支付。因此，两个值υ

Z

函数f(C

Z

其中，H和G是离散对数问题严重的群G的生成点，具有生成元G和H，针对其，相应另外底数的离散对数是未知的。例如，G和H是椭圆曲线加密的生成点，ECC，即ECC的私钥。该生成点G和H必须以G和H之间的关系不是公开已知的方式选择，使得：

G＝n·H(4)

为了防止货币数额υ

即使在本示例中描述了基于椭圆曲线的加密，也可以想到基于离散对数方法的另外的密码学方法。

等式(3)通过混淆数额r

等式(3)是单向函数，即从C

此外，等式(3)对于加法和减法是同态的，即成立：

Z

因此，加法运算和减法运算既可以在直接交易层3中执行，也可以在币登记册2中并行地执行，而币登记册2不了解电子币数据组C

通过该同态特性，币数据组C

C

其中成立：

v

r

针对相应的掩蔽的币数据组成立：

Z

利用等式(9)，例如可以以简单的方式检查根据图9或图12的币数据组的“对称或非对称的分割”处理或“对称或非对称的分割”处理步骤，而币登记册2不了解C

电子币数据组C也可以以相同的方式结合(连接)，参见图10或图11和对此的解释。

附加地，还必须检查是否登记了(不允许的)负的货币数额。在此，电子币数据组C

v

和

r

对于每个比特，优选地，利用如下等式来执行环签名

C

和

C

其中，在一种设计方案中可以规定，仅针对特定的比特执行环签名。

在图3中示出了在参与者单元TE(下面也称为终端设备M或安全元件SE)中根据本发明的方法300的方法流程图的实施例。虚线所示的方法300的块在此是可选的。每个所述步骤都可能包含参与者交互或至少一个参与者信息通知，例如通过TE的GUI。

在步骤301中，产生交易数据组TDS。交易数据组TDS包括来自第一参与者单元TE1(进行发送的TE)和来自第二参与者单元TE2的参与者标识符。此外，包含关于待传输(或已传输)的电子币数据组C的信息、例如资金价值数额υ。代替关于待传输(或已传输)的电子币数据组C的信息，可以将掩蔽的电子币数据组Z引入到TDS中。此外，交易时间点可以包含在TDS中，其表征电子币数据组C在两个参与者单元TE之间的传输105的时间点。产生301的时间点可以在时间上与传输105的时间点紧密耦合。在支付系统BZ的规定中可以要求，在发送加密的交易数据组TDS之前必须首先传输电子币数据组C(步骤105)。

在产生步骤301之后，对产生的交易数据组TDS进行加密。为此，第一参与者单元TE1具有公钥部分K，该公钥部分由不同远程实体的子密钥组成。密钥组成例如在图5中示出。替换地，例如根据在交易登记册4中对密钥的询问，参与者单元TE1在步骤302中接收相应的密码密钥K。密钥K可以是PKI结构的密钥或对称密钥。

在步骤303中，然后在第一参与者单元TE1中利用密码密钥K对交易数据组TDS进行加密，例如通过第一参与者单元TE1的加密模块或计算单元。

在图3中未示出(明文)元数据到加密的交易数据组TDS的可选的链接步骤，所述元数据例如是第一参与者单元TE1的标识符、第二参与者单元TE2的标识符和/或交易时间点。元数据允许对存储在本地和/或交易登记册4中的加密的TDS进行索引或编目。

在步骤304中，然后启动与交易登记册4的通信连接。因此尝试在第一参与者单元TE1和交易登记册4之间建立通信通道。启动还包括，相应的参与者单元TE识别出/知道，当前计划/执行离线交易并且不能或不应建立与远程交易登记册4的连接。

在随后的检查步骤305中，在参与者单元TE1中查询，是否可以在步骤304中建立连接。

在检查步骤305的“是”情况下，在步骤306中将加密的交易数据组TDS发送到交易登记册4。必要时，还发送电子币数据组C的较早传输的进一步交易数据组TDS，如果通信连接自这些传输以来首次建立的话。在这种情况下，然后也重置检查值(在图3中未示出)，该检查值代表在没有发送交易数据组TDS的情况下进行的电子币数据组C的传输的次数。在检查步骤305a中，在必要时查询在加密的交易数据组TDS的发送305中是否发生发送错误。在检查步骤305a的“否”情况下，加密和/或未加密的交易数据组TDS然后可选地本地地存储在第一参与者单元TE2中，以用于存档目的或用于存储历史或用于基于官方询问的查询。随后，如果支付系统BZ中的规定是，在允许在步骤105中传输电子币数据组C之前首先发送加密的交易数据组TDS，则在步骤105中将电子币数据组C传输到第二参与者单元TE2。在方法300的一种设计方案中，在传输105之后，必须在币登记册2中进行掩蔽的电子币数据组Z的登记104。在方法300的一种设计方案中，在步骤104中，在币登记册2或监督登记册6中登记假名化的掩蔽的币数据组，如在图7、图15和图16中描述的那样。

在检查步骤305的“否”情况下(离线交易、飞行模式、期望不发送(参与者的)交易数据TDS)并且也在检查步骤305a的“是”情况下(传输错误、连接中止)，在步骤307中确定连接错误。接着在检查步骤308中将第一参与者单元TE1中的检查值p与阈值X进行比较。步骤308中的检查值代表在没有发送交易数据组TDS的情况下进行的电子币数据组C的(离线)传输105的次数。从第一参与者单元TE1出发的(离线)传输105可以被传输到任意x个另外的参与者单元TEx。在检查步骤308的“是”情况下，即当该检查值p大于阈值X、例如100或50或10次传输时，存储交易数据组TDS(加密和/或未加密)并且必须重复步骤304。在检查步骤308的“否”情况下，如果支付系统BZ中的规定是，在允许在步骤105中传输电子币数据组C之前首先发送加密的交易数据组TDS，则进行传输105。在步骤310中，然后检查值p递增，即逐级地增加、优选地增加1。

利用步骤308至310确保，参与者单元TE的离线行为保持被监督并且不可能超过传输次数的预定义的特定(支付系统预给定的)阈值X。在步骤309中，不能立即发送的离线交易的交易数据组TDS、即没有登记104或报告给支付系统BZ的登记册实体2、4、6之一的传输105，被缓存并在稍后的时间点发送。允许参与者单元TE执行的离线交易的次数在支付系统技术方面被限制并且在步骤308中借助检查值p进行控制。如果已经达到阈值X，则必须在另外的离线交易105是可能的之前(参见步骤309到步骤304)首先发送交易数据组TDS。该检查值p可以独立于参与者单元TE中的其他检查地采集和管理。该检查值p可以与币数据组C的其他检查值或计数器值p

各个方法步骤在此可以交换。因此，支付系统BZ中的通用第一规定可以是，币数据组C仅在为此创建交易数据组TDS之前在TE之间传输。然后，TDS将始终与已经传输的币数据组C相关，步骤105将必须在关联的步骤301、303之前执行。

替换地，支付系统BZ中的通用第一规定可以是，币数据组C仅在已经为此创建了交易数据组TDS(步骤301)之后在TE之间传输(步骤105)。然后，TDS将始终与尚待传输的币数据组C相关，步骤105将必须在关联的步骤301之后执行。

支付系统BZ中的第二通用规定可能与TDS在TE中的本地存储相关。因此可能要求，TDS也存储在本地(即历史或存档)。存储步骤309然后不仅被设置为用于传输重复(在第一次传输尝试的错误情况下)。在此，规定细节可以是，TDS也以加密的方式存储在TE中。冗余于TDS在交易登记册4中的存储的、TDS的本地存储可以在官方询问(法院决定)的框架中被一起读取，即强制参与者提供该本地存储，或者本地存储的传输可以在参与者单元TE的(后台)过程中进行而无需用户交互。

支付系统BZ中的第三通用规定可以是，将假名化的TDS

支付系统BZ中的第四通用规定可以是，当计划/执行离线交易时，不将加密的TDS发送到交易登记册4。该规定可以与检查值p紧密耦合，使得参与者单元TE在选择传输模式(在线或离线)之前就已经向参与者输出警告，即检查值p已经超过了针对离线传输105的最大次数的阈值，并且在没有先将(旧)TDS发送到交易登记册4(随着检查值计数器的重置)的情况下，进一步的离线传输是不可能的。

在图4中示出了交易登记册8中根据本发明的方法400的方法流程图的实施例。虚线所示的方法400的块在此是可选的。

在此，在步骤401中，在交易登记册4中接收来自参与者单元TE的加密的交易数据组TDS。该交易数据组TDS是根据在图3中示出的方法产生的。

在可选的检查步骤402中，检查不同代的子密钥是否存在于支付系统BZ、例如交易登记册4、优选交易登记册4内的作为密钥存储器的HSM模块中。在步骤402的“是”情况下，交易数据组TDS在步骤403中利用密码密钥的私钥部分k作为解密密钥进行解密并且利用密码密钥、例如利用交易登记册4的HSM密钥再次加密。以这种方式，防止了在交易登记册4中存储利用远程实体的不同密钥版本加密的不同的加密的交易数据组TDS。交易登记册4中的管理开销因此减少。

在重新加密步骤403之后或者在检查步骤402的“否”情况之后，交易数据组TDS存储在存储器区域中并在那里存档。必要时，交易数据组TDS具有以明文形式的元数据，其在交易登记册4的数据库中进行录入或跟踪。例如，如果存在作为TDS的元数据的交易时间点，则可以在存货数据存储的框架中生成删除时间点。然后，在经过设置的时间段(删除时间点)后，TDS将自动从交易登记册4中删除。

TDS以加密形式存储在交易登记册4(例如作为可信的实体的数据库)中，对于其解密需要多个子密钥。由此确保必须遵循符合规定的程序，并且没有人可以随意访问敏感的交易数据TDS。

可选地，例如在交易登记册4中不存在密钥存储器的情况下，在步骤405中接收密码密钥k的子密钥并在步骤406中在交易登记册4中进行组合，例如在使用PKI密钥结构的情况下密钥部分组合成密钥的私钥部分。该组合例如是秘密的，以便不允许子密钥8a、8b、8c的拥有者对解密密钥进行组合。组合的密钥也可以仅由子密钥的子集组成，这可以通过应用阈值密码学来实现。

在由支付系统BZ外部产生的官方询问的框架中，特别是基于法院决定，在步骤407中向交易登记册4提出解密询问。在此，交易数据组的元数据可以与解密问题的参数进行匹配，例如以便查询在特定时间点或时间段内具有特定参与者ID的所有交易数据组。随后，在步骤408中，要求每个远程实体在交易登记册4处进行认证。替换地，仅查询所需的远程实体的子集，该子集对于解密所述一个或多个交易数据组TDS是必要的。在步骤409，然后利用来自远程实体的共同存在的子密钥的组合密钥进行解密。

可选地，在步骤410中，例如也在没有步骤407的情况下，通过参与者单元TE的假名替换在解密的交易数据组TDS中的参与者单元标识符。假名优选地对应于图7、图15和图16的假名。因此改变了TDS的匿名性等级，使得为了检查币数据组可以使用以未加密的形式的TDS。

可选地，在步骤411中，例如也在没有步骤407的情况下，附加于或替换于步骤410，通过一个或多个数额类别替换在解密的交易数据组TDS中的资金价值数额。在一种设计方案中，例如币数据组C的资金价值数额被向上或向下舍入，例如：

·1.97的资金价值数额变为数额类别“2欧元”

·878.99的资金价值数额变为数额类别“1000欧元”

·4.07的资金价值数额被变为数额类别“4欧元”

·2118.22的资金价值数额变为数额类别“2000欧元”

在另一种设计方案中，将资金价值数额分类为一个或多个反映数额范围的数额类别，例如：

·1.97的资金价值数额变为数额类别“少于10欧元”

·878.99的资金价值数额变为数额类别“在100到1000欧元之间”

·4.07的资金价值数额被变为数额类别“大于1欧元”

步骤410和/或411可以由交易登记册4中的HSM执行。假名化的交易数据TDS

假名化的交易数据组TDS

在图5中示出了交易数据组TDS的加密和解密的实施例。远程实体8a、8b、8c分别具有子密钥，其逐比特的相加得出密码密钥(密钥对)的私钥部分k。私钥部分k例如存储在交易登记册4的密钥存储器、例如交易登记册4的硬件安全模块中。

公钥部分K是从私钥部分k中推导出的并且提供给参与者单元TE。产生的交易数据组TDS的图3中的加密步骤303或解密的交易数据组TDS的图4中的重新加密步骤403然后利用公钥部分K进行。非对称的密码系统必须确保，公钥部分K实际上是从组合后的私钥部分k中推导出的密钥部分，并且这在此不涉及欺诈者的伪造。数字证书用于此目的，该数字证书确认公钥部分K的可靠性。数字证书本身可以由数字签名保护。利用公钥部分K加密的交易数据组TDS存储在交易登记册4中。

在将私钥部分k用于对存储的加密的交易数据组TDS进行解密之前，子集或所有远程实体必须在交易登记册4处进行认证。在认证成功的情况下，使用私钥部分k对交易数据组TDS进行解密。

产生的交易数据组例如由交易号、接收者地址(此处来自TE2)、发送者地址(此处来自TE1)和eMD C的资金价值数额组成。产生的交易数据组也可以在TE1中用于记录传输105，以便在传输错误情况下执行传输105的回滚(ROLLBACK)或重复(RETRY)。

图6示出了图2的系统的实施例的扩展方案。参考图2的解释以避免重复。

根据图6，在电子币数据组C中附加地还可以管理至少一个检查值p

在支付系统BZ中，还可以管理或确定计数器值p

如已经利用图3描述的那样，可以在支付系统BZ中，在参与者单元TE(即在图6中示出的终端设备M1、M2或安全元件SE1、SE2)中设置检查值p，该检查值代表了在没有加密的交易数据组TDS到交易登记册4的(直接的)相关联的发送的情况下已经传输的币数据组C的次数。当在步骤307中确定了连接错误的情况下，将该检查值p与阈值X进行比较。在此确定，是否允许(支付系统规定)执行进一步的(离线)传输105。

在图6中示出了交易登记册4，其已经利用图2至图5进行了描述。此外，交易登记册4可以与监督登记册6通信，以便在监督登记册6中登记假名化的交易数据组TDS

在图6中，从电子币数据组C

在SE2中，获得作为C

由于在使用SE时可信度较高，SE1、SE2相互信任并且原则上不需要用于传输105的进一步的步骤。然而，SE2不知道电子币数据组C

为了检查所获得的电子币数据组C

优选地，然后对获得的电子币数据组进行变换(＝Switch)。

仅知道掩蔽的电子币数据组Z

仅知道电子币数据组C

掩蔽的电子币数据组Z

为了防止多次输出或确保更灵活的传输105，可以修改电子币数据组C。在下面的表1中列出了示例性的操作，其中，利用所说明的命令实施相应的处理步骤：

表1-在TE或发行者实体中每次处理C时可执行的操作次数

可能需要其他未在表1中列出的操作、例如转换货币或将货币数额赎回到账户中。代替所列出的实现方式，还可以想到包含其他操作的其他实现方式。表1示出，对于每个币数据组，每个处理(修改)“创建”、“返还”、“分割”、“连接”和“变换”可以设置不同的操作“创建签名”；“创建随机数”；“创建掩蔽”；“范围检查”，其中，每个处理操作都在币登记册2中登记并且在那里以不改变的形式附加到掩蔽的电子币数据组Z

各个处理的操作次数在表1中用“0”、“1”或“2”表示。次数“0”在此表示参与者单元TE或发行者实体1不必为电子币数据组C的该处理执行该操作。数字“1”在此表示参与者单元TE或发行者实体1必须能够为电子币数据组C的该处理执行该操作一次。数字“2”在此表示参与者单元TE或发行者实体1必须能够为电子币数据组的该处理执行该操作两次。

原则上，在一种设计方案中还可以规定，在产生和/或删除时也通过发行者实体1执行范围检查。

在下面的表2中列出了币登记册2和/或监督登记册6针对各个处理所需的操作：

表2-在币登记册中每次处理C时可执行的操作次数

可能需要其他未在表2中列出的操作。代替所列出的实现方式，还可以想到包含其他操作的其他实现方式。表2的所有操作都可以在币登记册2中执行，该币登记册作为可信的实体、例如作为服务器实体、例如作为分布式可信的服务器确保电子币数据组C的足够的完整性。

表3示出了为图1的支付系统中的系统参与者优选要安装的组件：

/>

表3-系统组件中的优选单元

表3示出了在每个系统参与者、即发行者实体1、参与者单元TE和登记册实体、即币登记册2、监督登记册6、交易登记册4中优选要使用的组件的概述。

参与者单元TE可以借助用于电子币数据组C

图7示出了图2的系统的实施例的替换于图6的扩展方案。参考图2和图6的解释以避免重复。图7的设计方案也可以与图6的设计方案组合。

图7示出了支付系统BZ的实施例，该支付系统具有终端设备M1和M2(作为参与者单元TE的示例)、发行方实体1、币登记册2、监督登记册6和交易登记册4。终端设备M1和M2在此也可以是设备或安全元件SE1、SE2。

币登记册2包含登记册210，在该登记册中存储了有效的掩蔽的电子币数据组Z

在图7中示出了，第二终端设备M2将掩蔽的电子币数据组Z

币登记册2在登记册210中存储来自发行方实体1的电子币数据组C

在图7中还示出了，第二终端设备M2还可以将掩蔽的电子币数据组S

假名P可以是上述参与者单元标识符的推导。除了参与者单元标识符之外，假名P可以附加地列在发行者实体1(或替换地服务供应商、例如钱包应用程序供应商或在线存储器供应商)的人员关联7中。为了保护自然人，假名P必要时可以仅在可信的实体中与自然人相关联。

监督登记册6处理以假名模式2p假名地发送的掩蔽的电子币数据组S

下面描述的方面至少部分地建立在图2、图6或图7的设计方案的细节上。在那里主要描述了更复杂的假名模式2p或者说M2p，因为更简单的匿名模式2a或者说M2a在没有假名(或签名)的情况下运行。相反地，在图15和图16中描述了设计方案，其只能可选地与其他设计方案的细节组合。

图8示出了前面图示的币登记册2和/或监督登记册6的数据结构。在图8中，币登记册2和/或监督登记册6的数据为了进行说明在共同的数据结构中作为表格被一起示出。在登记册2、6中登记掩蔽的电子币数据组Z

在此，用于处理(创建、去激活、分割、连接和变换)的每个处理操作在币登记册2中登记并且例如在那里以不改变的形式附加到用于掩蔽的电子币数据组Z

处理“创建”和“去激活”，其涉及货币数额υ

例如通过根据图8的数据库中的对应的列表条目来实现相应处理的登记。在此，每个列表条目具有进一步的标记25到28，其记录必须由币登记册2和/或监督登记册6执行的相应处理的中间结果。优选地，标记25至28用作辅助并且在命令完成后被币登记册2和/或监督登记册6丢弃。

对于匿名的币数据组，必须始终执行所有的检查，从而也可以丢弃所有的标记25至28。另一方面，对于假名化的币数据组来说也可以省去检查或者稍后执行检查。

例如，在图8中，对应于标记27b和27c的检查对于假名化的币数据组是不必要的，因为它们随后以不同的形式执行。另一方面，标记25、26、27a和28的检查步骤是必要的。下面相应地部分讨论了必要的或与有效性相关的检查步骤以及可补充的或与有效性无关的检查步骤，因为它们是直接或间接补充的。如果进行了必要的检查，币数据组可以被视为有效。图8中以粗体突出显示的列24、28和29中的数据仅与假名化获得的币数据组相关，因此主要涉及监督登记册6中的条目。

例如，可选的标记29可以指示处理的完成。例如，当接收到处理命令时，标记29处于状态“-”，并且在成功完成所有检查(标记25至28)后被设置为状态“1”，并且在至少一次检查失败的情况下被设置为状态“0”。例如，值为“2”的(完成)标记29可以指示只完成了必要的检查，而省略了可补充的检查。如果终端设备利用假名随后补充了对一个或多个条目的检查，则可以将标记设置为值“1”。当然，可以使用要补充的检查的标记27b和27c，而不是使用完成标记29，和/或使用单独的假名标记。

币数据组的列表条目的可能结构包括例如用于前任币数据组(O1，O2)的两列22a、22b、用于继任币数据组(S1，S2)的两列23a、23b、用于发行者实体1的签名和终端设备M的签名的签名列24，以及六个标记列25、26、27a、27b和27c以及28。列25到28中的每个条目具有三个替换的状态“-”、“1”或“0”。

列25(O-标记)表示关于列22a/b中的前任电子币数据组的有效性检查是否成功。状态“1”意味着：有效性检查表明列22a/b的电子币数据组有效；状态“0”表示：有效性检查表明列22a/b的电子币数据组无效；状态“-”表示：有效性检查尚未完成。对于多个前任币数据组，优选地使用共同的O-标记(两个都是有效的)，而不是两个单独的O-标记。列26(C-标记)表示：对掩蔽的电子币数据组的第一检查计算是否成功。利用第一检查计算特别是检查命令是否是数额中立的，即主要是所参与的货币数额的总和为零。状态“1”表示计算成功，状态“0”表示计算不成功，状态“-”表示计算尚未完成。

在列26中执行的计算例如是：

(Z

列27a(R1-标记)表示范围证明或该范围证明的初始检查是否成功。这同样适用于其他列27b(R2-标记)和27c(R3-标记)。状态“1”表示有效性检查表明一个或多个范围证明是可追踪的，状态“0”表示有效性检查表明一个或多个范围证明是不可追踪的，状态“-”表示有效性检查尚未完成，不成功。列27a的第一范围证明总是必要的，以便一个或多个币数据组可以被认为是有效的。必要检查的典型例子是检查货币数额不是负的(或者货币数额都不是负的)。第二和第三范围证明不影响币数据组的有效性，并且可以/能够为假名化的掩蔽的币数据组进行补充，例如在假名的后续交易中。列27b的范围证明用于检查掩蔽的币数据组(或每个币数据组)的货币数额是否低于最大数额。最大数额可以在系统范围内预先确定，也可以针对特定的终端设备预先确定。例如，利用列27c的范围证明，将参与者单元TE(发送的或)在特定时间段内(例如24小时)接收到的货币数额的总和与总和极限值进行比较，或者例如检查参与者单元TE的单位时间内的交易次数，例如每分钟最多5笔或每天最多100笔。极限值可以由支付系统BZ在系统范围中预先给定，或者也可以针对特定的参与者单元类型(即特定于参与者单元地)定义。例如，X型咖啡机设备导致地每分钟只能提供四份热饮，并且因此每分钟只允许进行四次币交易。

列28(S-标记)表示电子币数据组的签名是否与列24的签名一致，其中，状态“1”意味着：有效性检查表明该签名可以识别为发行者实体的签名；状态“0”表示：有效性检查表明该签名无法识别为发行者实体的签名；状态“-”表示：有效性检查尚未完成。

其中一个标记(也被称为Flag)的状态的改变需要币登记册2和/或监督登记册6的批准，然后必须以不改变的方式存储在图8的数据结构中。当且仅当所要求的标记25至28已经被币登记册6验证时、即在相应的检查之后从状态“0”变为状态“1”或状态“1”时，在匿名模式中(或对于匿名的掩蔽的币数据组来说)处理才是最终的。如果对标记25至27a和28的检查是由监督登记册6进行的，则在假名模式下(或对于假名化的掩蔽的币数据组来说)处理完成。

下面假定没有完成标记29的数据结构，并首先考虑匿名的币数据组的有效性。为了确定掩蔽的电子币数据组Z是否有效，币登记册2搜索与掩蔽的电子币数据组Z有关的最后改变。适用的是，如果掩蔽的电子币数据组Z关于其最后处理在继任列23a、23b之一中被列出并且当且仅当该最后处理具有相应的最终标记25至28时，掩蔽的电子币数据组Z才有效。也适用的是，如果掩蔽的电子币数据组Z关于其最后处理在前任列22a、22b之一中被列出并且当且仅当该最后处理失败时、即标记25至28的相应所需的状态中的至少一个状态设置为“0”时，掩蔽的电子币数据组Z才有效。

如果在币登记册2中找不到掩蔽的电子币数据组Z，则它是无效的。此外适用的是，匿名的掩蔽的电子币数据组Z对所有其余情况不是有效的。例如当掩蔽的电子币数据组Z的最后处理在继任列23a、23b之一中列出但是该最后处理不是最终的时；或者当掩蔽的电子币数据组Z的最后处理在前任列22a、22b之一中列出并且该最后处理是最终的时。

“由币登记册2和/或监督登记册6检查以确定处理是否是最终的”通过列25至28映射：列25中的状态表示根据前任列22a、22b的一个/多个掩蔽的电子币数据组是否有效。列26中的状态说明根据等式(10)对掩蔽的电子币数据组的计算是否正确。列27a中的状态说明是否成功检查了掩蔽的电子币数据组Z的范围证明。列28中的状态说明掩蔽的电子币数据组Z的列24中的签名是否为发行者实体1的有效签名。

列25至28中的状态“0”在此表示检查不成功。列25至28中的状态“1”在此表示检查成功。列25至28中的状态“-”在此表示没有进行检查。状态也可以具有另外的值，只要可以在检查的成功/失败之间做出明确的区分并且可以明显看出是否执行了特定的检查。

示例性地定义了五种不同的处理，在此将对其详细阐述。在此，参考图8中的对应的列表条目。

处理例如是“产生”电子币数据组C

处理例如是“去激活”。去激活、即销毁货币这样作用，即，在通过发行者实体1成功实施去激活命令后，掩蔽的电子币数据组Z

处理(修改)例如是“分割”。分割、即将电子币数据组Z

处理例如是“连接”。连接、即将两个电子币数据组Z

另外的处理例如是“变换”。如果电子币数据组已经传输到另外的参与者单元TE，并且要排除进行传输的参与者单元TE的再输出，则变换是必要的。在变换(也称为“switch”)时，将从第一参与者单元TE1获得的电子币数据组C

v

成立，第二参与者单元TE2必须能够证明Z

也可以将对电子币数据组的修改“分割”和“连接”从第一参与者单元TE1委托给另外的参与者单元TE，例如当不存在与币登记册2和/或监督登记册6的通信连接时。

在图9中示出了根据本发明的支付系统BZ的实施例，用于电子币数据组C的动作“分割”、“连接”和“变换”。在图9中，第一参与者单元TE1已经获得币数据组C

v

在此，每个所获得的数额υ

在一种优选的设计方案中，货币数额υ

v

在此，数量n是大于或等于二的整数。例如，10个单位的货币数额可以分割为2份5个单位的子数额(n＝2)或5份分别2个单位的子数额(n＝5)或10份分别一个单位的子数额(n＝10)。

此外，还推导出新的混淆数额：

r

如果对称地分割，则在第一参与者单元TE1中针对每个币子数额形成个体化的、唯一的混淆数额r

尤其适用的是，最后一个混淆子数额r

/>

以这种方式，可以任意地选择混淆数额r

在非对称分割的情况下，掩蔽的币数据组Z

在对称分割的情况下，在相应的参与者单元TE中计算签名。为此，对于第k个币子数据组C

sig＝r

在此，n是对称分割的币子数据组的数量。在对称分割的情况下，可以利用以下验证密钥Sig根据(13c)检查第k个币子数据组C

Sig＝Z

在此，Z

Z

其中，由于分割的对称属性，适用：

(v

因此等式13e被简化为：

Z

基于等式13f的简化使得能够完全省去零知识证明，由此，使用对称分割节省大量的计算功率和数据量。

然后币子数据组(在此为C

然后，根据等式(14)将新的混淆数额r

r

从而获得只有第二参与者单元TE2知道的混淆数额r

R

其中，G是ECC的生成点。然后，借助等式(3)对待变换的币数据组C

证明如下：

Z

Z

Z

＝r

图10示出了根据本发明的支付系统的实施例，用于连接(也称为组合)电子币数据组。在此，在第二参与者单元TE2中获得两个币数据组C

在通过支付系统BZ进行组合时，确定相应的电子币子数据组C

替换地，在通过支付系统2进行组合(＝连接)时，新的检查值由“电子币子数据组C

在图11和图12中分别示出了方法100的方法流程图的实施例。下面一并解释图11和图12。在可选的步骤101和102中，询问并由第一参与者单元TE1的发行者实体1在创建电子币数据组之后提供币数据组。在步骤103中向币登记册2和/或监督登记册6发送签名的掩蔽的电子币数据组。在步骤103中，根据等式(3)对所获得的电子币数据组C

然后，在可选的步骤108中，将所获得的币数据组C

在步骤108′中，在币登记册2和/或监督登记册6中进行相应的检查。在此，根据图8中的表格将Z

在可选的步骤109中，将两个币数据组C

在步骤109′中，在币登记册2和/或监督登记册6中进行相应的检查。在此，根据图2中的表格将Z

在可选的步骤110中，将币数据组C

在步骤110′中，在币登记册2和/或监督登记册6进行相应的检查。在此，根据图2中的表格将Z

图13示出了根据本发明的第一参与者单元TE1的实施例。第一参与者单元TE1可以是设备M1，其中包括安全元件SE1。为了简化起见，下面使用术语“设备M1”。在设备M1中，电子币数据组C

在一种情况下，电子币数据组C

设备M1具有至少一个接口12，其用作用于输出币数据组C

此外，设备M1的接口12或另外的接口(未示出)设计为与币登记册4交互。设备M1为此优选地是有在线能力的。

此外，设备M1还可以具有用于接收电子币数据组的接口。该接口设计为接收例如借助检测模块、如摄像机或扫描仪视觉呈现的币数据组，或者接收数字呈现的币数据组，如通过NFC、蓝牙、TCP、IP、UDP、HTTP接收，或者接收借助应用程序呈现的币数据组。

设备M1还包括计算单元13，其能够执行上面描述的用于掩蔽币数据组的方法和对币数据组的处理。

设备M1具有在线能力并且可以优选地借助位置识别模块15识别其何时与WLAN连接。可选地，特定的WLAN网络可以被标记为优选的(＝位置区域)，从而仅当设备M1在该WLAN网络中登录时才实施特殊功能。替换地，位置识别模块15识别设备M1何时处于包括定义半径的预定义的GPS坐标中，并且相应于如此定义的位置区域地执行特殊功能。该位置区域可以要么手动地引入到设备M1中，要么通过其他单元/模块引入到设备M1中。设备M1在识别到位置区域时执行的特殊功能尤其是，电子币数据组从外部数据存储器10到保险库模块14的传输或从保险库模块14到外部数据存储器10的传输，并且在必要时、例如在对币数据组的上述处理的框架中将掩蔽的电子币数据组Z传输到币登记册2和/或监督登记册6。因此，设备M1被设置为执行根据图3的方法。设备M1被设置为创建和加密交易数据组TDS。设备M1被设置为启动到交易登记册的通信。设备M1被设置为将加密的交易数据组TDS发送到交易登记册。设备M1被设置为将元数据(以明文形式)连接到交易数据组TDS。设备M1被设置为在本地(临时)存储交易数据组TDS。

在最简单的情况下，在设备M1中，所有币数据组C

图14示出了支付系统以便更好地理解。根据本发明的整个系统包括发行者实体(中央银行)1a。此外，可以设置另外的发行者实体1b、1c，其例如以另外的货币发行电子币数据组。此外，还示出了至少一个支付系统BZ，其中设置了支付系统BZ的至少一个币登记册2、监督登记册6和交易登记册4，以进行币数据组C

此外，在图14中设置了大量的参与者，这些参与者被表示为终端设备Mx(具有相应的SEx)。终端设备M1至M6可以在直接交易层3中直接交换币数据组C

图15中示出了例如允许遵守针对单位时间的货币数额的极限值的方法的流程图。

在图的上部中示出了由三个终端设备M1、M2、M3组成的支付系统BZ。在图的下部中示出了相应登记册2、4、6的三个数据结构910、920、930。在币登记册2的数据结构910中，存储有效的掩蔽的币数据组Z

已经执行如下交易：

1.第一终端设备M1将币分割901。因此，币登记册2知道币C

2.第一终端设备M1在直接传输步骤902中将币C

3.第二终端设备M2将币C

4.第二终端设备M2在另外的直接传输步骤905中将币C

5.在步骤904中，第三终端设备M3将接收到的币C

6.第三终端设备M3在步骤906中直接向第二终端设备M2发送币C

7.在进一步的步骤903中，第二终端设备M2将币C

在具体的示例中，监督登记册6具有如下信息，即第二终端设备M2具有币C

交易登记册4在其数据结构930中具有加密形式的交易数据组TDS

在图15的未示出设计方案中，交易登记册被解密和假名化。在假名化中，终端设备M1至M3的标识符被假名P替换，并且相应的数额在数额类别方面被转换。假名化的未加密的交易数据组被发送到监督登记册6。由于币C

在图16中，示出了具有掩蔽的币数据组的支付系统BZ中的流程的另外的实施例。第一终端设备M1在步骤151中向币登记册2发送匿名的掩蔽的币数据组。另一方面，第二终端设备M2在步骤161中向监督登记册6发送假名化的掩蔽的币数据组。

币登记册2利用对掩蔽的币数据组或第一终端设备M1的(可补充的)检查，对第一终端设备M1的匿名发送步骤151中的每个(在其匿名模式下)作出响应。必要时附加的、必要的检查在图11中未示出。在步骤152中，币登记册2针对每个掩蔽的币数据组请求范围证明(或相应的范围确认)，即来自步骤151的掩蔽的币数据组的货币数额低于最大值。替换地或附加地，币登记册2利用步骤152请求来自第一终端设备M1的总和范围证明(或总和范围确认)。第一终端设备M1必须在步骤153中创建(多个)所请求的证明，并在步骤154中发送，以使步骤151的(至少一个)掩蔽的币数据组在币登记册2中被视为有效。

监督登记册6利用跳过针对掩蔽的币数据组或第二终端设备M2的(可补充的)检查，对第二终端设备M2的第一发送步骤161(在其假名模式下)作出响应。假名发送的掩蔽的币数据组被登记为有效。例如，执行此处未示出的必要检查，但这些检查不要求与第二终端设备M2进行进一步的通信。如前面在其它示例中所描述的，监督登记册6存储假名与(多个)假名发送的掩蔽的币数据组之间的关联。在示出的示例中，监督登记册6还类似地对第二终端设备M2的第二(或另外的)发送步骤161作出响应。在此，检查假名是否满足补充标准。

仅在所示出的第三步骤161中，监督登记册6确定要针对假名补充检查。其会向第二终端设备M2发送请求162，例如创建针对多个币数据组的范围证明或总和范围证明。在步骤163中，第二终端设备M2创建多个范围证明、总和范围证明或总和范围确认，并且在步骤164中将其发送到监督登记册6。例如，在步骤163中选择第二终端设备M2的多个币数据组，并在其货币数额上形成总和。这些币数据组要么只涉及假名化的币数据组，要么涉及匿名和假名化的币数据组(在此，基于已经发送的掩蔽的币数据组，并且总和是由对应的未掩蔽的币数据组的货币数额形成的)。选择可以根据标准来进行，这些标准由于系统原因是已知的或者在步骤162中已经由监督登记册6传输。标准例如是一个时间段，特别是一个预定义的时间跨度，在该时间跨度内，所有货币数额的总和不应/不得超过一个特定的范围，例如，每单位时间y的货币数额x欧元。替换地或附加地，该标准也可以是第一终端设备M1或监督登记册6中的列表。由此，一定的范围随机化是可能的，利用其进一步保护该系统。然后将形成的总和与范围进行比较(并在必要时在使用标准的情况下)。在步骤164中，所请求的总和范围确认(或所请求的总和范围证明)从第二终端设备M2被传输到监督登记册6。

由于具有大的资金价值数额的支付交易(币数据组的传输)也可以被分割成具有较小的资金价值数额的多个支付交易，每个支付交易可能低于一个范围，因此利用该方法在必要时特定于终端设备并与时间段相关地定义范围(＝极限值)。该范围通常涉及由终端设备接收和/或发送的特定单位时间内的所有交易的总和。因此建立一种机制，利用该机制确定在特定的单位时间内从终端设备发送或接收的所有货币数额的总和是多少。

在本发明的框架内，所有描述和/或绘制和/或要求保护的元件可以任意地相互组合。

附图标记列表

BZ 支付系统

1，1a-c 发行者实体或银行

2币登记册

21 命令条目

22a，b待处理的电子币数据组的条目(前任)

23a，b已处理的电子币数据组的条目(继任)

24 签名条目

25 有效性检查的标记

26 计算检查的标记

27 范围证明检查的标记

28 签名检查的标记

29 完成标记

3直接交易层

4交易登记册

5应用程序共同的钱包

6监督登记册

7人与标识符的关联

8a-c 远程实体的子密钥

9司法机构

10，10′ 数据存储器

11 显示器

12 接口

13 计算单元

14 保险库模块

15 位置识别模块

Mx 第x个设备

C

C

C

C

C

Z

Z

Z

Z

S已签名的掩蔽的电子币数据组

SEx第x个安全元件

TEx第x个参与者单元

TDS加密的交易数据组

TDS

υ

υ

υ

υ

p

p

p交易登记册的检查值

n对称分割的币子数据组的数量

r

r

r

C

C

Z

Z

f(C) 同态的单向函数

[Z

101-110根据实施例的支付系统的方法步骤

301-310根据实施例的参与者单元中的方法步骤

401-412根据实施例的交易登记册中的方法步骤