为何区块链对未来国际驾驶许可证（IDP）而言是可选项

未来的国际驾驶许可证（IDP）需要透明度、信任锚点和公众问责机制。但它默认情况下并不需要——将驾驶人本身置于分布式账本之上。

每当有关数字化跨境IDP的严肃讨论开始，总会出现同一个提议：“直接上区块链就行了。” 这种想法的吸引力不难理解。区块链提供防篡改证明、共享可见性和只追加历史记录，这些都是真实存在的特性。但在跨境驾驶人身份验证的场景中，这些特性往往被应用在了错误的层次上。

本文将解释其中原因，梳理相关标准的实际规定，并提出一种更合理的架构模式。

区块链是一组属性，而非一项要求

第一个错误是将”区块链”视为单一要求。它并不是。它是一组可能属性的集合，包括：

共享发布
只追加历史记录
分布式运营
收据生成
抵御单方面篡改

其中一些属性对未来IDP有用，一些无关紧要，还有一些在应用于凭证主体（即真实的人）时甚至存在风险。W3C注册表模型之所以刻意允许多种实现方式，正是因为不同的生态系统需要不同的权衡取舍。

三个不应混为一谈的问题

第二个错误是将三个不同问题合并到同一个系统中。对于未来的IDP，这三个问题必须保持独立：

法律事实的归属。驾驶权利应保存于权威的国家驾照记录中。
信任材料的分发方式。签发方密钥和验证方证书应保存于受控的信任注册表中。
生态系统对变更的审计方式。这属于透明层的职责。

现实世界中的生态系统已经如此运作。美国机动车管理员协会（AAMVA）的数字信任服务在验证方与移动驾照（mDL）交互之前，通过可下载列表分发签发方公钥。欧盟移动驾照手册规定，各成员国须向欧盟委员会申报经授权的mDL签发方，委员会随后发布这些机构的核验列表。这就是无需区块链的信任分发。

证书透明度给我们的启示

公共互联网上最有效的透明度模型并非消费级区块链，而是证书透明度（CT）。

RFC 9162将CT描述为一种公开记录TLS服务器证书的协议，使任何人都能够：

审计证书颁发机构的行为
检测存在问题或错误签发的证书
对日志本身进行审计

CT的核心设计理念是：透明度最有价值的用途是记录签发方行为和信任材料，而非终端用户的活动。

应用于未来IDP，这意味着应记录以下内容：

签发方密钥的签发与轮换
信任锚点的发布
验证方类别的注册
政策变更
合规声明
与安全相关的事件

但这不意味着要建立一个公开或半公开的账本来记录持有人、凭证标识符或出示事件。那不是透明度，那是过度收集数据。

SCITT：为何透明度不等于真相

IETF SCITT架构草案进一步延伸了这一思路。SCITT定义了一种透明服务，该服务维护可验证的数据结构，并签发密码学收据以证明已签名声明的包含情况。透明服务的身份通过依赖方已知的公钥来标识，信任锚点和注册策略本身也被纳入透明化管理。

这对IDP基础设施而言是一种强大的模型，因为它将透明度转化为一项围绕信任材料和政策的可审计服务，而非围绕个人出行事件。

SCITT同样清楚地界定了透明度的局限性：

一条已注册的声明只能证明某签发方生成并注册了它，并不能证明该声明永久有效。
后续的已签名声明可以替代之前的声明。
透明度无法阻止不诚实或已被攻破的签发方，但能追究其责任。

对于驾驶人身份而言，这一区别至关重要：透明日志是证据和审计历史，而非某人驾驶权利的权威法律状态。

SCITT还指出，透明服务可以结合可信硬件、共识协议和密码学证据来保护其只追加序列。即便是透明层本身，也不需要某种特定的区块链设计。共识只是一种选择，而非唯一选择。

未来IDP的正确架构分层

未来的IDP应将各项职责分离为四个独立层次：

权威记录——记录谁有权驾驶（由国家驾照管理机构负责）
信任注册表——管理签发方和验证方密钥
状态基础设施——处理时效性和吊销
可选透明层——用于对政策、信任锚点、收据和合规声明进行公开审计

透明度服务于基础设施，而非服务于个人

一旦将这些层次分离，关于区块链的问题就会变得更加清晰。它不再是“未来IDP是否应该上区块链？”，而变成了：

哪个层次（如果有的话）真正能从只追加的公开审计中受益？

链上驾驶人身份不应成为默认方案的五大原因

1. 制造持久的追踪信号

欧盟数字身份钱包（EUDI）的隐私研究指出，凭证出示过程中可能包含唯一值，例如：

随机盐值
哈希值
吊销标识符
设备绑定公钥
签名
时间戳

由于这些值对同一凭证是固定的，依赖方可以借此关联不同交易，从而构建用户的行为画像。EUDI明确警告，这违反了用户对”各次钱包活动不会被关联”的合理期望。

如果将稳定的持有人标识符、稳定的凭证标识符、可复用的哈希值或可单独追踪的吊销事件发布到公开账本上，不仅无法解决追踪问题——反而会让追踪永久化。

2. 暴露吊销与时效事件

W3C位串状态列表建议清楚地描述了这一问题：若凭证与其状态发布URL之间存在一一对应关系，发布方便能关联持有人、验证方和查询时间。该规范以驾照为例，说明了为何在进入某场所时被签发方追踪违反了普遍的隐私预期。

位串状态列表提出的更优默认方案：

大型可压缩状态列表，多张凭证共享同一状态资源
默认列表长度为131,072条记录
依赖方在无需验证自身身份的情况下，单独下载最新版本
随机化索引和群组隐私保障

这与个性化的链上吊销追踪恰恰相反。

3. 混淆凭证状态与合法驾驶状态

数字凭证可能因签名机制遭到破坏而被吊销——即便真实世界的驾驶权利依然有效。凭证事件的公开账本，并不能干净地替代国家驾照记录的权威状态。

SCITT再次强调了这一点：已注册的声明可能被后续声明所替代，依赖方依据政策和历史记录决定信任何者。日志并非永久的真相，而是关于谁在何时、依据何种政策发表了何种声明的证据。国家驾照管理机构依然是法律事实的根本来源。

4. 针对了错误的治理问题

跨境驾驶人身份的核心挑战首先不是共识问题，而是治理问题：

谁有权签发凭证？
哪些公钥是当前有效的？
哪些验证方是经过授权的？
哪些数据请求符合其声明的用途？
彼时有效的是哪个政策版本？

现实中的生态系统已经通过受治理的信任基础设施来回答这些问题，而非依赖去中心化共识：

美国机动车管理员协会（AAMVA）的数字信任服务通过可下载列表发布签发机构公钥。
欧盟移动驾照手册规定，欧盟委员会发布经授权的mDL签发方列表。
欧洲电信标准化协会（ETSI）的钱包依赖方证书工作，提供了带有预期用途和已注册请求属性的机器可读验证方认证。

这是明确的公共信任管理，而非去中心化治理。

5. 无法解决路边执法的现实需求

许多区块链提案默认将实时网络访问视为一种优势。然而对驾驶凭证而言——尤其是在路边检查或出行途中——情况往往并非如此。

美国机动车管理员协会（AAMVA）的实施指南明确指出：

设备端数据检索在交易时无需持有人或读取方具备外部网络连接。
ISO/IEC 18013-5要求支持设备端数据检索。
验证方对签发方公钥的获取无需在交易时实时进行，密钥可提前下载。

如果验证方已能使用缓存的信任材料在本地完成验证，则对实时区块链的依赖就并非必要。充其量，这只是某些后端审计功能的一种实现选择。

未来IDP中哪些内容应当透明

未来的IDP确实需要透明度——但要用在正确的地方。

以下内容应默认透明：

签发方公钥及密钥轮换事件
信任锚点和经授权的签发方列表
验证方访问证书及已注册用途元数据
政策版本和注册规则
合规声明和与安全相关的软件发布声明
证明上述声明已完成注册的可审计收据

以下内容默认不应公开：

公开账本上的持有人标识符
跨验证方复用的稳定凭证标识符
每次出示事件的记录
可单独定位某一个人的原始吊销条目
在哈希值或元数据即可满足需求的情况下，包含个人数据的完整已签名声明

SCITT明确警告签发方：在向透明服务提交声明之前，应审查其中是否包含私密、保密或个人身份信息。该文档同时指出，透明服务可以仅保留密码学元数据（如哈希值），而非完整的已签名声明。

更优模式：透明度围绕生态系统，而非穿透个人

未来IDP的清晰架构应如下所示：

权威国家注册表——始终作为驾驶权利的法律事实来源。
凭证层——将机器可验证的驾驶资格传递至持有人的数字钱包。
信任注册表层——分发签发方密钥、验证方证书和经授权的签发方列表。
状态层——使用短期凭证或隐私保护状态列表，定期单独刷新。
透明层——在内部可选择是否采用共识机制，记录信任锚点、密钥变更、政策更新、收据及可从只追加公开审计中受益的生态系统声明。

这一架构汲取了区块链思想中有价值的部分——只追加的可审计性、公开审查、防篡改证明、收据机制——同时避免将驾驶人变成系统的公开主体。它也与现行标准的描述完全吻合：注册表可以有不同形式，DID不要求分布式账本，信任注册表已经存在，隐私保护状态机制已经标准化。

核心论点

未来的IDP应采纳区块链最有价值的理念——对基础设施的公众问责——同时摒弃其对个人最有害的默认行为：持久的、全球可见的追踪。

在实践中，这意味着：

对签发方透明，而非暴露持有人
可审计的信任锚点，而非公开的出行记录
政策和注册的收据，而非凭证使用的永久时间线
生态系统治理的只追加证据，而非将驾驶人身份默认上链

这并非反对区块链的论点，而是反对将区块链应用于错误层次的论点。

未来的IDP很可能在生态系统的某个环节使用基于共识的透明服务。但若设计之初便将驾驶人、凭证或出示记录置于账本之上，那就已经选择了错误的默认方案。

经过 Sofia Laurent

出版五月 18, 2026 • 4m