吊销问题是任何未来数字国际驾照(IDP)中最难解决的挑战。最简便的解决方案也是最危险的:让签发机构参与每一次凭证出示。现代跨境驾驶凭证应默认拒绝这条捷径。
几乎所有数字身份提案都包含同一句令人放心的话:
“凭证可即时验证。”
有时这句话代表真正的进步,有时它描述的不过是换了个更友好界面的监控行为。
现行已发布的标准已明确指出,验证方在每次查验凭证时无需联系签发机构:
- 美国国家标准与技术研究院(NIST)的现行移动驾照(mDL)架构指出,验证方可通过信任签发机构的签名和公钥来验证真实性与完整性,无需与签发机构进行任何直接联系。
- 美国机动车管理协会(AAMVA)确认,ISO/IEC 18013-5要求支持设备检索,而仅可选地允许服务器检索。
- AAMVA同时警告称,在服务器检索模式下,签发机构会实时参与每一次使用——这意味着它在技术上可记录凭证的使用时间、共享的数据内容,甚至通过IP分析推断位置信息。
这绝非微不足道的脚注,而是下一代跨境驾驶凭证的核心设计命题。
危险的捷径:将四个问题合并为一次网络请求
糟糕的架构将四个截然不同的问题捆绑为一次对签发机构的实时调用:
- 该凭证是否真实?
- 出示凭证的人是否为合法持有人?
- 凭证本身是否仍然有效?
- 底层的国家驾驶权利是否仍然有效?
设计拙劣的系统通过实时回拨来回答全部四个问题。设计良好的系统会将它们分开处理——因为这四个问题并非同一类问题,不应共用同一种机制。
真实性应在本地验证,而非通过网络
凭证在密码学上的真实性无需签发机构观察交易过程即可得到验证。
- NIST的mDL信任模型指出,真实性和完整性通过签发机构的签名和公钥进行验证——无需实时联系签发机构。
- AAMVA的数字信任服务正是为了让验证方能够获取有效的签发机构公钥,而无需进行逐笔回调。
设计原则一:不要用实时网络连接去解决数字签名已能解决的问题。
若验证方持有受信任的签发机构密钥,并收到符合标准的凭证出示,则真实性验证是本地的密码学操作,而非网络依赖项。
持有人绑定应在本地证明,而非向全局报告
第二个问题——此人是否为合法持有人?——同样有无需联网的解答。
现行的欧盟数字身份(EUDI)架构强制要求为个人身份数据(PID)和ISO/IEC 18013-5证明实施设备绑定。验证方要求钱包使用与凭证中嵌入的公钥相对应的私钥对新鲜挑战值进行签名:
- 在ISO/IEC 18013-5中,此机制称为mdoc认证。
- 在SD-JWT VC中,此机制称为密钥绑定。
两种情况下,持有权均在本地以密码学方式证明,任何个人数据均无需到达签发机构。
设计原则二:在本地证明持有权,而非向全局证明身份。
未来的国际驾照应在考虑任何签发机构侧机制之前,充分利用设备绑定、本地持有人认证和验证方挑战-响应机制。
凭证状态与驾驶权利状态是两回事
许多数字身份设计混淆了这一区别,问题便由此产生。
W3C的位串状态列表规范对此有明确阐述:附加于可验证凭证的状态信息适用于可验证凭证本身,而不一定适用于底层的现实世界权利。数字凭证可能因其签名机制遭到破坏而被吊销,而底层的驾驶权利却依然完全有效。
因此,未来的国际驾照需要两个独立的状态层:
- 凭证状态层——针对数字凭证或出示渠道本身。
- 驾驶权利层——针对底层的国家驾驶资格。
有时两者同步变化,但往往并不如此。混淆两者的系统将会反应过度、暴露超出必要的数据,或两者兼有。
钱包被攻陷应通过状态层级联处理,而非触发验证方回调
未来的国际驾照还需要对钱包被攻陷的情况给出清晰的应对方案。
EUDI架构为此提供了解决方案:
- 钱包提供商签发含有吊销信息的钱包单元证明。
- 钱包完整性会定期重新验证;若钱包不再安全,其证明将被吊销。
- 个人身份数据提供商必须定期检查钱包是否已被吊销。若已被吊销,则相应吊销PID。
- 依赖方通过验证PID状态,隐式地完成对钱包状态的验证。
这正是未来国际驾照应采用的分层方式。不要要求每个验证方独立检查钱包提供商,而应让钱包被攻陷的信息通过现有的凭证状态管道传播,让验证方查阅那个单一的隐私保护渠道。
三种可行的吊销方案(无需回调)
EUDI要求提供商使用以下三种吊销方法之一:
- 短期证明——有效期不超过24小时,从而使吊销变得不必要。
- 证明状态列表——已发布的列表,供验证方查阅。
- 证明吊销列表——已吊销凭证的明确列表。
对于有效期超过24小时的证明,EUDI要求嵌入包含以下内容的吊销信息:
- 依赖方可获取状态列表的URL地址。
- 在该列表中定位该凭证的标识符。
若可靠的吊销信息不可用——例如依赖方处于离线状态时——EUDI指示依赖方在接受或拒绝凭证前进行风险分析。
结论:吊销并非单一机制,更不能成为强制要求签发机构回调的理由。
默认短期,仅在必要时采用长期
整个技术栈中最有效的隐私保护措施之一,同时也是最简单的:保持出示内容的短期有效性。
- EUDI规定,有效期不超过24小时的证明无需吊销基础设施——它们在吊销生效前便已过期。
- W3C指出,可验证出示通常是短期的,并非为长期存储而设计。
- NIST明确警告,不应在日常使用中反复传输可重用标识符。日常认证应依赖专为此目的构建的技术,如通行密钥(passkeys),而非反复出示包含丰富身份信息的凭证。
- NIST还专门选择本地设备认证而非服务器端生物特征匹配,正是因为本地认证能够保护隐私,且在操作上更加高效。
设计原则三:基础凭证可具有中等有效期,但出示本身应是短期的、针对特定验证方的且不可重用的。
状态列表是正确的默认机制
当无法使所有内容都保持短期有效时,就需要状态基础设施——而状态列表是正确的默认选择。
W3C的位串状态列表v1.0描述了一种隐私保护、空间高效、高性能的机制,用于发布暂停或吊销等状态数据。其主要特性包括:
- 每个签发机构管理一份针对其已签发凭证的列表。
- 该格式压缩效果良好,因为绝大多数凭证不会被吊销。
- 默认列表大小为131,072条目,W3C表示这在一般情况下能提供充分的群组隐私保护。
- 在需要更强群组隐私保护的场合,可使用更大的列表。
这将问题从:
“我现在能否向签发机构查询该用户的信息?”
转变为:
“我是否已有足够新的隐私保护状态列表,可在本地作出判断?”
这是一个更好的问题——无论从技术角度还是政治角度而言。
“无回拨”是一种下载模式,而非口号
EUDI隐私指南中最重要的规则是程序性的,而非哲学性的。
依赖方不得在每次出示凭证时请求状态列表,而必须:
- 每次只下载一次列表的最新版本。
- 在与任何用户出示行为无关的时间和地点进行下载。
- 在依赖方组织内部分发该列表。
- 在不对依赖方进行身份认证的情况下获取列表。
这是无回拨验证的操作核心:将状态刷新与用户出示行为分离——永远不针对特定用户,永远不针对特定交易。
这一单一的设计决策,能防止签发机构或状态提供商知晓哪个验证方在何时查询了哪个凭证。
群组隐私:大多数设计都会忽视的要求
许多系统大力宣传出示过程中的选择性披露,却悄然忽视状态查询的隐私问题。这是一个重大漏洞。
EUDI的隐私要求规定:
- 状态列表中的索引必须随机分配,以确保索引本身不会成为追踪信号。
- 每份列表必须覆盖足够数量的凭证,以确保群组隐私。
- 若列表规模不足,提供商应添加未使用的条目,以掩盖真实的凭证数量。
未来的国际驾照不能仅凭选择性披露就声称具备隐私保护能力。若吊销机制泄露了出示事件,则隐私设计是不完整的。
离线操作不是边缘情况——而是核心需求
任何假设网络连接完美无缺的旅行系统,都是设计糟糕的系统。
- AAMVA确认,设备检索无需持证人设备或读取设备的外部网络连接即可工作,且ISO/IEC 18013-5要求移动驾照支持设备检索。
- EUDI承认,依赖方可能处于离线状态且缺乏缓存的状态列表,此时建议在作出决定前进行风险分析。
应尽早接受这一权衡:
完美的离线操作与完美的实时数据新鲜度,二者不可兼得。
任何声称两者兼顾而无需妥协的架构,要么表述不够精确,要么在悄悄重新引入监控。正确的做法是将数据新鲜度作为策略输入,而非普遍的网络依赖项。
日志:隐私悄然失守之处
即使是出色的状态架构,也可能因粗心的日志记录而功亏一篑。
- EUDI要求依赖方实例在不再需要时立即丢弃唯一标识符和时间戳,并禁止转发。
- AAMVA禁止相关方追踪移动驾照持有人或其使用情况(法律另有要求的除外),要求签发机构最小化静态或长期元数据的共享,并将活动日志的访问权限限制于持有人本身。
- AAMVA还要求设备端删除操作须清除可揭示使用历史的日志信息和元数据,且该删除操作须可在离线状态下执行。
这是协议行为,而非行政事务。未来的国际驾照必须将长期标识符、时间戳和日志视为潜在的追踪工具,除非有明确证据证明并非如此。
未来国际驾照的具体无回拨架构
综合上述原则,该系统的实际运作方式应如下所示:
- 签发设备绑定的基础凭证。将凭证绑定至钱包安全环境中受保护的密钥——这在EUDI中对PID和ISO/IEC 18013-5证明是强制要求。
- 仅请求所需属性,并附带新鲜挑战值。在OpenID4VP交易中,DCQL查询可让钱包向持有人展示被请求的属性,验证方则发出挑战值以防止重放攻击(依据NIST现行mDL架构)。
- 生成短期出示内容,而非可重用标识符。每次出示应针对特定验证方、特定请求和特定时刻。
- 在本地验证真实性。离线验证签发机构签名和公钥;AAMVA的信任服务正是为此而建。
- 从缓存的、单独刷新的列表中检查状态。对于有效期过长而无法跳过吊销检查的凭证,使用按独立于用户出示行为的计划刷新的本地缓存状态列表。
- 在数据新鲜度不可用时应用风险策略。将离线决策明确为验证方策略,而非无序的猜测。
- 积极删除追踪数据。在不再需要时丢弃交易唯一标识符和时间戳;不保留可重建行动轨迹的日志。
这就是严肃的无回拨架构的面貌——分层、保护隐私、密码学本地化,并对离线现实保持操作上的诚实。
应在设计层面加以禁止的三种模式
成熟的未来国际驾照生态系统应将以下情形视为架构缺陷,而非优化选项:
- 每次出示时强制回拨签发机构。AAMVA自身的隐私指南已阐明其危害。
- 将驾驶凭证用作日常登录手段。NIST明确警告不应反复出示含有身份信息的凭证进行日常认证。
- 保留可重建出示历史的标识符、时间戳和日志。EUDI和AAMVA均要求做到相反的一点。
核心论点,一句话概括
即时验证不能成为签发机构实施监控的许可证。
未来的国际驾照应能够:
- 在本地证明真实性。
- 在本地证明持有权。
- 以隐私保护方式检查数据新鲜度。
- 容忍离线现实。
- 在信息不完整时正常运作。
这些要求不会削弱系统,反而使其值得大规模部署。
一旦驾驶凭证变成记录谁在何时何地出示了什么信息的工具,它就不再是纸质凭证的更安全替代品,而是成为了监控基础设施。
这正是未来国际驾照应拒绝成为的东西。
常见问题解答
什么是”回拨验证”?
这是指验证方实时联系签发机构以验证凭证的任何设计。尽管这种方式能同时解决真实性和吊销问题,但也使签发机构能够观察每一次出示事件。
ISO/IEC 18013-5是否要求在线联系签发机构?
不。AAMVA确认,ISO/IEC 18013-5要求支持设备检索,而仅可选地允许服务器检索。
不联系签发机构如何实现吊销?
通过短期凭证、证明状态列表或证明吊销列表——理想情况下,依赖方应独立于用户出示行为单独下载状态数据。
为什么”群组隐私”对状态列表很重要?
若状态列表规模过小或其索引可预测,一次状态请求便可能泄露刚刚出示的是哪个具体凭证。随机索引和大规模列表能防止这种情况。
离线验证在实践中真的可行吗?
可行——包括AAMVA和EUDI在内的标准机构均明确要求支持离线验证。需要接受的权衡是:完美的实时数据新鲜度与完美的离线操作不可兼得,因此数据新鲜度必须成为策略决策,而非硬性依赖项。
出版 五月 04, 2026 • 4m
