数字钱包鉴证：欧盟、美国和澳大利亚的框架

了解欧盟、美国和澳大利亚的数字钱包鉴证框架，重点介绍其主要差异和生物识别验证方法。

1. 引言#

世界正迅速迈向数字身份时代，数字钱包正成为人们管理凭证的主要方式。但这些钱包的可信度有多高呢？它们的价值完全取决于其背后鉴证框架的强度。在本文中，我们将深入探讨三大全球主要经济体的数字身份鉴证和认证领域：欧盟的 eIDAS 2.0、美国的 NIST SP 800-63，以及澳大利亚的 TDIF/AGDIS 框架。

我们将探讨在全球范围内惊人地相似的核心原则，例如基于风险的鉴证级别，以及生物识别技术在将数字凭证与真人关联起来的关键作用。然而，我们也将揭示它们在架构和法规上的显著差异。我们将分析美国精细、灵活的模型，欧盟统一、可互操作的方法，以及澳大利亚的混合系统。

我们将探讨的一个中心主题是，设备中心的安全性和基于账户的用户便利性之间的张力，特别是像 Apple 和 Google 这样的主要参与者如何在设备绑定的凭证之上叠加云账户层。我们还将详细介绍凭证载入的实际步骤，解释为什么为每台新设备证明身份的“重新注册代价”是一项刻意的安全功能，而非缺陷。

最后，我们将仔细研究欧洲数字身份 (EUDI) 钱包的独特之处，以及欧盟内部合格电子签名 (QES) 的威力，它与手写签名具有同等的法律效力。读完本文，您将对复杂且不断演变的全球数字身份格局，以及开发者、政府和用户所面临的战略选择有一个全面的了解。

2. 数字信任的基础：理解鉴证级别#

2.1 定义鉴证：安全性、可用性和风险的关键三要素#

在数字领域，身份不是一个已知或未知的二元概念，而是一个置信度的谱系。鉴证级别 (LoA) 量化了这种置信度，代表了声称拥有特定身份的个人确实是该身份“真正”所有者的确定程度。这一衡量标准是数字信任的基石，支撑着每一次安全的交易和互动。更高的 LoA 意味着更严格的身份验证和认证过程，从而降低了身份欺诈、未经授权访问和其他形式滥用的风险。

然而，实现更高的鉴证级别并非没有代价。所需的过程——例如亲身验证或使用专门的硬件——可能会给用户（身份持有者）和服务提供商（依赖方）带来巨大的开销和不便。这种固有的摩擦可能会造成访问障碍，可能导致那些缺乏必要文件、技术手段或能力来应对复杂程序的人被排除在外。因此，选择适当的 LoA 不仅仅是一个技术决策，更是一项关键的风险管理实践，旨在在安全性、可用性和潜在的排他性之间寻求微妙的平衡。

这种平衡取决于认证错误的潜在影响。对于低风险活动，例如在公共论坛上创建账户或更改邮寄地址，较低的 LoA 可能完全可以接受。因为错误的后果微乎其微。相反，对于高风险交易，例如访问敏感的财务或健康记录、发起大额资金转移或签署具有法律约束力的合同，则必须要求更高的 LoA，以减轻严重的潜在危害。

因此，选择一个鉴证框架及其要求的级别，已经超越了技术实施，成为一种经济和社会政策工具。一个将鉴证标准设得过高的框架，可能会创建一个安全但大部分人无法访问的坚固堡垒，从而扼杀数字化的普及和经济参与。相反，一个标准过低的框架会招致普遍的欺诈，侵蚀消费者和企业的信心，最终损害其旨在支持的数字经济。这种根本性的张力影响了全球主要经济体采取的不同方法，根据其独特的监管理念和社会优先事项塑造了各自的数字生态系统。

2.2 信任的基石：解构 IAL、AAL 和 FAL#

历史上，鉴证级别是一个单一的概念。数字身份领域的一个新发展是美国国家标准与技术研究院 (NIST) 在其特别出版物 800-63 第三修订版中对这一概念进行了解构。该修订版将 LoA 分解为三个独立的、正交的组成部分，从而实现了更精确、更精细的风险管理：身份鉴证级别 (IAL)、认证器鉴证级别 (AAL) 和联合鉴证级别 (FAL)。

鉴证级别	涵盖内容	关键焦点	典型技术/要求
身份鉴证级别 (IAL)	身份证明过程：确认声称的身份确实属于申请人。	注册或登记的一次性事件；将真实世界身份与数字凭证绑定。	验证实体证件（如护照、驾照）、与权威来源进行验证、生物识别检查。
认证器鉴证级别 (AAL)	认证过程：确认访问服务的人是数字身份的合法持有者。	注册后登录或认证的持续过程。	使用一个或多个认证因素：你所知道的（密码）、你所拥有的（令牌、智能手机）或你自身的特征（指纹、面部）。
联合鉴证级别 (FAL)	联合身份系统中的断言协议：保护从身份提供商发送到依赖方的信息。	断言（包含认证和属性数据的签名包）的安全性和完整性。	强大的加密保护，例如断言加密和用户持有加密密钥的证明。

这种关注点分离是与欧盟更为统一的模型在架构上的根本分歧。NIST 模型允许服务提供商将注册风险与访问风险解耦。例如，一个政府机构可能要求非常高置信度的亲身身份证明事件 (IAL3) 来签发用于访问敏感记录的数字凭证。然而，对于后续查看这些记录的常规访问，它可能只需要中等强度的多因素认证 (AAL2)。这种灵活性允许根据服务内的特定操作更细致地应用安全控制。

相比之下，欧盟的 eIDAS 框架使用统一的 LoA（低、较高、高），涵盖了注册和认证两个方面。在两个系统之间进行映射时，一个服务的整体鉴证级别由其最薄弱的环节决定。例如，一个设计有最高级别身份证明 (IAL3) 和联合 (FAL3) 但仅使用中等级别认证 (AAL2) 的系统，将被归类为等同于 eIDAS LoA“较高”，而不是“高”。这种区别对构建全球系统的开发者和架构师具有深远的影响，因为它迫使他们在为最高粒度 (NIST) 设计然后向下映射到更简单的欧盟模型，或维护独立的逻辑流以符合每个地区独特的架构理念之间做出选择。美国模型优先考虑依赖方的风险管理灵活性，而欧盟模型则优先考虑跨境认可的简单性和明确的互操作性。

2.3 鉴证的后果：LoA 解锁了什么#

鉴证级别不是一个抽象的技术评级；它是决定用户在数字世界中被允许做什么的主要看门人。分配给数字身份或服务所要求的 LoA 直接决定了交易的范围、可访问数据的敏感性以及所执行操作的法律效力。

在谱系的最低端，一个低鉴证级别的身份——通常是未经核实的自我声明身份——授予对低风险服务的访问权限。这包括参与在线论坛、创建基本网络邮件账户或访问面向公众的网站等活动，在这些活动中，冒名者获得访问权限的后果可以忽略不计。

随着鉴证级别提高到“较高”，用户可以访问更广泛、更敏感的服务范围。这个级别通常要求用户的身份已经通过官方文件验证，并强制使用多因素认证 (MFA)。因此，它是许多常见且重要的数字交互的标准。在 LoA 较高解锁的服务示例包括：

访问在线政府门户网站报税或查询福利。
进行在线银行交易。
访问个人健康记录或保险信息。
与公用事业提供商或电信公司互动。

最高鉴证级别“高”，是为最关键和高风险的交易保留的，在这些交易中，认证失败的后果可能非常严重，导致重大的财务损失、法律责任或对个人或公共利益的损害。达到这个级别需要最严格的身份证明方法，通常涉及亲身或有监督的远程验证，以及使用基于硬件的、防篡改的认证器。要求 LoA 高的服务包括：

电子签署具有与手写签名同等效力的法律约束性文件，如房地产合同或大额贷款协议。
访问高度敏感的政府或企业数据。
执行高价值的金融交易或大额资金转移。
授权受管制物质的电子处方。
签发基础身份文件本身，如护照。

一个能够支持多个鉴证级别的数字身份系统，允许一个灵活且风险适宜的架构，使用户能够根据不同交易的需要提升其鉴证级别。在 LoA 高获得的身份凭证，经用户同意，可用于访问要求“较高”或“低”鉴证级别的服务，但反之则不行。这种层级结构确保了所建立的信任水平始终与所涉及的风险水平相称。

3. 全球身份鉴证框架比较#

随着各国建设其数字基础设施，它们正在通过独特的鉴证框架来规范信任。虽然这些框架通常源于像 ISO 29115 这样的国际标准，但欧盟、美国和澳大利亚的具体实施揭示了它们在互操作性、灵活性和安全性方面的不同优先事项。

3.1 欧盟的 eIDAS 2.0：统一、可互操作的愿景#

欧盟的数字身份方法以 eIDAS 法规（电子身份识别、认证和信任服务）为基础，旨在为所有成员国的电子交易创建一个可预测且可互操作的法律环境。更新后的 eIDAS 2.0 框架通过强制要求为每位公民、居民和企业创建欧盟数字身份 (EUDI) 钱包，扩展了这一愿景。

eIDAS 的核心是三个鉴证级别 (LoA)：低、较高和高。这些级别为电子身份 (eID) 凭证提供了一个统一的置信度衡量标准，涵盖了从注册到认证的整个生命周期。这种统一的方法旨在简化相互承认；一个成员国以某个 LoA 通知的 eID 凭证，必须被所有其他成员国认可，用于要求相同或更低 LoA 的服务。这些级别的定义如下：

鉴证级别 (LoA)	置信度	注册流程	认证要求	典型用例
LoA 低	有限	在网站上自行注册；无需身份验证	单因素（例如，用户名和密码）	低风险应用，如访问公共网站
LoA 较高	较高	必须提供用户信息并与权威来源进行核实	至少两个不同因素（多因素认证），例如密码加上发送到手机的一次性代码	访问政府服务、网上银行、保险平台
LoA 高	最高	亲身注册或有监督的远程身份文件验证	使用受防复制和防篡改方法保护的多因素认证，通常使用硬件认证器（例如，智能卡、移动设备中的安全元件）	高风险交易、EUDI 钱包、具有法律约束力的行为

虽然 eIDAS 定义了级别，但它没有规定具体技术，允许成员国开发自己的国家 eID 方案以反映其本地情况，例如丹麦的 MitID（支持所有三个 LoA）或比利时的 itsme®（在 LoA 高级别运行）。

3.2 美国的 NIST SP 800-63：精细化、风险调整的模型#

美国的框架由 NIST 特别出版物 800-63-3 定义，采用了一种更精细、更组件化的鉴证方法。它没有使用单一、统一的 LoA，而是将过程分为三个独立的鉴证级别：身份 (IAL)、认证器 (AAL) 和联合 (FAL)。该模型为联邦机构和其他组织提供了一个灵活的工具包，以进行数字身份风险评估 (DIRA)，并根据特定交易的风险精确调整安全控制。

身份鉴证级别 (IAL)：

身份鉴证级别 (IAL)	描述	身份证明要求	典型用例
IAL1	最低级别；身份是自我声明的。	无需将申请人与现实生活中的身份关联；不执行身份证明。	创建社交媒体账户。
IAL2	对声称的身份有高置信度。	需要远程或亲身进行身份证明。申请人必须出示“强”或“优”证据（例如，护照、驾照），并且系统必须验证与真实世界身份的关联。	访问大多数政府服务或进行金融交易。
IAL3	最高级别；非常高的置信度。	身份证明必须亲身或通过有监督的远程会话进行。需要更多和更高质量的证据，并强制收集生物识别样本（例如，指纹或面部图像）并与身份证据进行验证。	高风险场景，例如签发像符合 REAL ID 标准的驾照这样的基础凭证。

认证器鉴证级别 (AAL)：

认证器鉴证级别 (AAL)	描述	认证要求	认证器示例
AAL1	提供一定的保证；适用于低风险场景。	允许单因素认证。	密码、PIN、OTP 设备
AAL2	提供高置信度；适用于中等风险场景。	需要多因素认证。用户必须出示两个不同的认证因素。至少一个因素必须是抗重放的，并使用经批准的加密技术。	密码加认证器应用、密码加硬件令牌、Passkeys（基于软件或设备绑定）
AAL3	最高级别；适用于高风险场景。	需要多因素认证，包括一个“硬”加密认证器（基于硬件的设备），该认证器能抵抗验证者冒充攻击。	FIDO2 安全密钥（硬件 Passkey）、智能卡、安全硬件令牌

这种精细化的模型允许组织根据需要混合和匹配级别。例如，一个系统可以在注册时要求一次性的 IAL2 证明事件，但随后允许用户在同一应用程序内为低风险操作选择 AAL1（仅密码），为高风险操作选择 AAL2 (MFA)。

3.3 澳大利亚的可信数字身份框架 (TDIF)：混合、分阶段的方法#

澳大利亚的方法，历史上由可信数字身份框架 (TDIF) 管理，现在根据 2024 年数字身份法案演变为澳大利亚政府数字身份系统 (AGDIS)，代表了一种混合模型，与欧盟和美国的系统都有共同特征。TDIF 将身份证明和认证强度的概念分开，很像 NIST 的 IAL/AAL 划分，但使用了自己独特的术语。

身份证明 (IP) 级别：

TDIF 根据验证的身份文件数量和质量以及将用户与身份绑定的方法，定义了一系列递增的 IP 级别。

IP 级别	描述	典型用例
IP1 (基础)	支持自我声明或匿名的身份，无需文件验证。	风险可忽略的服务，例如支付停车罚单
IP1+ (基础)	需要验证一份身份文件。	低风险服务，例如会员卡计划
IP2 (标准)	需要验证两份或更多身份文件，类似于传统的“100分检查”。	中等风险服务，例如设立公用事业账户
IP2+ (标准)	在 IP2 的基础上，要求满足“绑定目标”，即在个人与其声称的身份之间建立生物识别链接。	中到高风险交易
IP3 (强)	高置信度级别，也需要生物识别绑定。例如，myGovID 的“强”身份需要将“自拍”与护照照片进行生物识别匹配。	高风险政府服务，例如申请税号
IP4 (非常强)	最高级别，需要四份或更多文件，满足所有 IP3 要求，并强制要求亲身面试。	非常高风险的服务，例如签发护照

凭证级别 (CL)：

TDIF 定义了用于持续访问的认证凭证的强度。

凭证级别 (CL)	描述	认证要求	备注
CL1	基础凭证	单因素认证（例如，密码）
CL2	强凭证	需要双因素认证 (MFA)	澳大利亚当局强烈建议将 CL2 作为大多数面向互联网服务的最低标准
CL3	非常强凭证	双因素认证加硬件验证

这种混合结构允许澳大利亚的服务为访问指定所需的身份强度（IP 级别）和必要的认证强度（CL 级别），提供了一个原则上类似于 NIST 的基于风险的框架。

3.4 比较分析：综合全球框架#

尽管术语和架构理念不同，但在欧盟、美国和澳大利亚的框架中，一个清晰的三层风险等级模式浮现出来。通过映射它们的要求，我们可以创建一个总览。

这种比较揭示了一个强有力的潜在趋势：全球正趋向于将生物识别绑定作为高鉴证级别身份的最终信任锚。虽然这些框架使用不同的语言——NIST 在 IAL3 的“强制性生物识别收集”，澳大利亚对 IP2+ 及更高级别的“绑定目标”，以及 EUDI 钱包计划使用活体检测以达到 LoA 高——但原则是相同的。在所有三个主要的西方生态系统中，最高级别的数字信任不再仅仅通过检查文件或询问秘密问题来建立。它是通过生物识别验证，将一个活生生的、在场的人与他们权威的、政府签发的身份证据绑定起来实现的。这种“活体与证件”核对，通常是将面部扫描与护照或驾照照片进行匹配，已成为高鉴证级别数字身份证明的事实上的国际标准。这对任何身份提供商的技术栈都有影响，将经过认证的活体检测和高精度生物识别匹配从增值功能提升为任何寻求在数字信任经济最高层级运营的平台的核心、不可或缺的组件。

下表提供了直接的比较分析，将每个框架的要求转换为一个通用结构。

特性	欧盟 (eIDAS)	美国 (NIST SP 800-63)	澳大利亚 (TDIF/AGDIS)
级别 1 (低/基础)
术语	LoA 低	IAL1 / AAL1	IP1 / CL1
身份证明	自行注册，无需验证	自我声明，无需证明	自我声明或匿名，无需验证
认证	单因素（例如，密码）	单因素（例如，密码、OTP 设备）	单因素（例如，密码）
用例示例	访问公共网站、在线论坛	创建社交媒体账户	支付停车罚单、获取钓鱼许可证
级别 2 (较高/标准)
术语	LoA 较高	IAL2 / AAL2	IP2, IP2+ / CL2
身份证明	身份信息与权威来源核实	使用强证据（例如护照、驾照）进行远程或亲身证明	验证两份或更多文件 (IP2)；外加生物识别绑定 (IP2+)
认证	需要多因素认证 (MFA)	需要 MFA；抗重放	需要双因素认证 (MFA)
用例示例	网上银行、报税、访问政府服务	访问金融账户、政府记录 (CUI)	访问公用事业服务、大额金融交易
级别 3 (高/强)
术语	LoA 高	IAL3 / AAL3	IP3, IP4 / CL3
身份证明	亲身或同等的有监督注册	亲身/有监督的远程证明；强制性生物识别收集	生物识别绑定 (IP3)；外加亲身面试 (IP4)
认证	具有防复制/篡改保护的 MFA（例如，智能卡）	具有基于硬件、抗验证者冒充的认证器的 MFA	具有硬件验证的双因素认证
用例示例	签署具有法律约束力的合同、访问高度敏感数据	受管制物质的电子处方、REAL ID 签发	访问福利服务、签发护照

3.5 英国和加拿大：与全球规范保持一致#

英国曾属于欧盟的 eIDAS 体系，现在已经走上了自己的道路，其鉴证框架仍然反映了国际最佳实践。英国的《良好实践指南 45》(GPG45) 定义了一个严格的身份证明流程，产生四种身份验证的_置信度_之一：低、中、高或非常高。这种方法与我们熟悉的多层 LoA 模型非常吻合；实际上，GPG45 明确提及其与 eIDAS、NIST 800-63、ISO/IEC 29115 和加拿大泛加拿大信任框架的一致性。在实践中，GPG45 使用基于分数的检查（文件真实性、活动历史、生物识别匹配等）来确定用户身份配置文件的置信度。在此基础上，英国政府正在推出一个新的数字身份和属性信任框架（目前处于测试版），该框架将为身份提供商和依赖方建立认证规则。英国信任框架的一个关键目标是国际互操作性——确保英国的数字身份在国外可以被信任，反之亦然——同时维护该国自己的隐私和安全原则。这反映了即使在英国发展其后欧盟时代的数字身份生态系统时，也要与全球标准保持趋同的更广泛战略。

加拿大的方法，由加拿大数字身份和认证委员会 (DIACC) 通过泛加拿大信任框架 (PCTF) 领导，同样采纳了多级鉴证和互操作性的核心原则。历史上，加拿大采用了一个四级鉴证模型（1到4级），与 NIST 和 ISO 29115 方案相当，大多数联邦电子政务服务要求“高”鉴证登录（大致相当于3级）。然而，加拿大的利益相关者已经认识到，单一的、复合的 LoA 可能会掩盖身份验证方式的重要差异。例如，截然不同的证明方法——比如，远程基于知识的验证与亲身文件检查——可能都满足相同的传统 LoA，从而掩盖了不同的风险水平。现在，加拿大已达成广泛共识，认为鉴证需要更加精细化和针对特定能力。PCTF 正在向一个现代化的、基于风险的模型演变，该模型将身份证明鉴证与认证器（凭证）鉴证分开，呼应了 NIST 开创的 IAL/AAL 区别。这一演变需要一个全面的信任框架和认证计划：身份提供商、凭证签发方和审计员根据共同标准进行认证，以便在一个省或行业审查的数字身份可以在另一个省或行业被自信地接受。结果是一种趋同的方法，即英国和加拿大——各自通过自己的机制——加强了相同的全球规范：基于强大的初始证明（通常带有生物识别）、持续的多因素认证以及严格的隐私和用户控制标准的高鉴证级别数字身份。两国都展示了不同司法管辖区如何在实施上进行创新，同时与支撑跨境数字交易的国际信任结构保持一致。

4. 保护数字钱包：认证与凭证载入#

虽然鉴证框架为信任提供了理论基础，但它们在数字钱包中的实际应用决定了系统的真实世界安全性和可用性。这涉及两个关键阶段：保护对钱包本身的访问，以及初始的、高风险的载入可信数字凭证的过程。

4.1 第一道防线：钱包访问的最佳实践#

数字钱包是存放个人最敏感凭证的安全容器。保护这个容器至关重要。钱包的安全性是一个多层次的结构，从设备的物理安全开始，延伸到管理其使用的加密协议。

第一道也是最基本的防线是设备自身的访问控制机制，如 PIN、密码或生物识别扫描（例如，Face ID、指纹扫描）。这可以防止机会主义攻击者在获得对未锁定设备的物理访问权限后立即访问钱包。然而，仅凭这一层对于高鉴证级别的操作是不足够的。

NIST SP 800-63B 明确指出，仅仅解锁设备，如智能手机，不得被视为 AAL2 或更高级别交易所需的认证因素之一。

因此，需要第二层独立的认证来访问钱包应用程序本身，更重要的是，授权出示凭证。最佳实践和新兴法规，如 EUDI 钱包框架，强制要求使用强大的多因素认证 (MFA) 来访问钱包的功能。这通常涉及结合以下至少两个因素：

你所知道的： 钱包专用的 PIN 或密码。
你所拥有的： 包含加密密钥的物理设备本身。
你自身的特征： 在交易时进行的生物识别验证，如指纹或面部扫描。

除了用户认证，钱包的底层技术也必须稳健。核心安全实践包括：

使用安全元件 (SE) 或可信执行环境 (TEE)： 关键的加密密钥应存储在设备的硬件保护、防篡改部分，与主操作系统分离。这可以防止恶意软件提取私钥。
端到端加密： 所有数据，无论是在钱包内静止存储还是在出示过程中传输，都必须进行加密，以防止拦截和未经授权的访问。
稳健的备份和恢复： 由于凭证可能本地存储，因此在设备丢失、被盗或损坏的情况下，安全的恢复机制至关重要。这可以通过加密的云备份实现，或者在去中心化系统中更常见的是，通过用户持有的恢复或“种子”短语在另一台新设备上恢复钱包。

遵循“零信任”原则也至关重要；钱包不应隐式信任任何请求，而应验证每一次交互。通过将强大的用户认证与加固的技术架构相结合，数字钱包可以成为用户数字身份的真正可信赖的保管人。

4.2 获取数字凭证的路径：分析载入流程#

将高鉴证级别的人员身份数据 (PID) 凭证或移动驾照 (mDL) 签发到钱包中的过程，是 IAL2 或更高级别身份证明事件的实际体现。这个过程是凭证生命周期中最关键的一步，因为它建立了所有未来交易将依赖的基础信任。这种高鉴证级别的载入主要有两种方法：依赖设备摄像头的光学流程和使用近场通信 (NFC) 的加密流程。

4.2.1 光学载入流程#

这是对于没有 NFC 芯片或不使用 NFC 的证件最常见的方法。虽然具体步骤可能因司法管辖区和钱包提供商而略有不同，但核心流程非常一致，涉及一系列验证和绑定操作：

步骤	描述
1. 启动	用户开始载入过程，可以从原生操作系统钱包（如 Apple 或 Google Wallet）内部启动，也可以通过下载专门的第三方签发方应用启动。
2. 证件捕获	系统提示用户拍摄其政府签发的实体身份证件（例如，驾照或个人身份证）的图像。通常，会扫描卡片的正反两面以收集所有相关数据字段，包括机读区 (MRZ) 或条形码。高质量的扫描至关重要，需要良好的光线和无反光的背景。
3. 活体检测和生物识别绑定	为防止欺骗攻击，用户必须完成一次活体检测——通常是通过自拍或拍摄一段短视频。他们可能会被要求执行微笑、眨眼或转头等动作。这些实时生物识别数据有两个目的：确认用户在场，并将其面部与扫描的身份证件上的照片进行匹配，从而将活生生的人与其官方身份证据绑定。
4. 后端验证	捕获的证件和生物识别数据被安全地传输到签发机构（例如，州机动车管理局或国家身份登记处）。该机构验证证件的真实性，并将其数据与记录进行交叉核对，以确认用户的身份。
5. 签发和配置	验证成功后，签发方对数字凭证进行加密签名，并将其安全地配置到用户的钱包中。凭证现在已激活并可供使用。

整个过程旨在满足像 NIST IAL2 或 eIDAS LoA 较高/高这样的高置信度框架的要求。特别是活体检测，是防止远程光学载入过程中最常见身份欺诈形式的不可或缺的组成部分。

4.2.2 加密载入流程 (NFC)#

对于现代电子身份证件 (eID)，如国民身份证（例如德国的 Personalausweis），可以使用 NFC 实现更安全的加密载入流程。这种方法直接从证件的嵌入式芯片中读取数据，提供了比光学扫描更高的安全性。

典型的 NFC 载入流程如下：

启动： 用户在钱包应用中启动流程，并被提示使用其电子身份证。
解锁芯片： 要访问芯片，必须先将其解锁。这通过输入卡片访问码 (CAN)——一个印在证件上的6位数字——来完成，通过一种称为密码认证连接建立 (PACE) 的协议建立安全连接。
NFC 数据读取： 用户将其身份证件贴近智能手机上的 NFC 阅读器。应用安全地从芯片中读取数据，包括个人详细信息和一张高分辨率、政府认证的照片。
加密验证： 应用在后台执行关键的安全检查。被动认证验证数据上签发机构的数字签名，确保其未被篡改。主动认证向芯片发送一个挑战，以确认其是真品而非克隆品。
持有人验证（绑定）： 即使有了加密安全的证件，系统也必须验证持有它的人是真正的所有者。这可以通过两种方式完成：
- 活体和生物识别匹配： 用户进行活体检测（如光学流程中），并将其面部与从芯片中读取的高质量、可信照片进行生物识别匹配。
- eID PIN 输入： 为了达到最高级别的鉴证，例如使用德国 eID，用户会被提示输入其个人的6位 PIN。这证明了“拥有和知晓”（用户拥有卡片并知道 PIN），从而创建了一个 LoA 高的绑定，而无需在该特定步骤中进行活体检测。
签发和配置： 在身份成功验证到高鉴证级别后，签发方对数字凭证进行加密签名，并将其配置到用户的钱包中。

EUDI 钱包框架明确认识到基于 NFC 的载入对于实现 LoA 高的重要性，将其视为初始设置和账户恢复的基石。这种加密方法从根本上比光学流程更安全，因为它直接验证证件的数字真实性，而不是依赖于对扫描图像的视觉检查。

4.3 原生钱包与第三方钱包：载入流程对比分析#

用户的载入体验可能会有很大差异，这取决于他们是将凭证添加到集成到设备操作系统中的原生钱包（例如，Apple Wallet、Google Wallet），还是添加到由签发方或其他实体提供的独立第三方应用程序中。在这些模型之间进行选择，对签发方和用户来说都是一种权衡：原生平台的集成便利性和广泛覆盖面，与专用应用程序的完全控制和定制体验。下表对这两种载入流程进行了逐步比较，为任何计划签发或验证数字凭证的组织提供了关键指南。

步骤	原生钱包 (Apple/Google)	第三方钱包（例如，签发方应用）
1. 启动	用户在预装的操作系统钱包应用中点击“添加身份证件”。	用户必须从 App Store 或 Google Play 搜索、下载并安装特定的签发方应用。
2. 证件捕获	利用标准化的、操作系统级别的摄像头界面扫描实体身份证的正反面。	使用由应用提供商开发的自定义、应用内摄像头界面。不同应用之间的体验可能有所不同。
3. 活体和生物识别检查	使用操作系统提供的提示和 API 进行自拍和基于手势的活体检测。	实现自己的活体检测技术或集成第三方 SDK。提示和要求是应用特定的。
4. 后端验证	操作系统平台安全地将捕获的数据包发送到注册的签发机构（例如，DMV）进行验证和批准。	应用直接与其自己的后端通信，然后连接到签发机构的系统进行验证。
5. 凭证签发	批准后，凭证由签发方进行加密签名，并直接配置到操作系统钱包的安全存储中。	批准后，凭证被配置到第三方应用本身的安全存储中。通常无法在原生操作系统钱包中访问。
6. 新设备配置	Apple：与 Apple 账户绑定；在设置过程中提供到新设备的“转移”流程，利用账户的可信状态。 Google：通常需要在新设备上重新注册；凭证与设备和 Google 账户绑定，但必须提交新的请求。	几乎普遍要求在新设备上进行完整的重新注册，包括重复证件扫描和活体检测。一些应用可能提供专有的备份/恢复功能。

这可能导致一个碎片化的生态系统，如果用户需要来自不同州或签发方的凭证（例如，一个应用用于他们的路易斯安那州 mDL，另一个用于他们的加利福尼亚州 mDL），他们可能需要安装和管理多个不同的钱包应用。

5. 技术深潜：ISO 18013-5 和 EUDI 钱包#

数字身份钱包的实际实施建立在技术标准和架构框架的基础之上。本节详细分析了现代身份领域中两个最重要的支柱：用于移动驾照的 ISO/IEC 18013-5 标准和即将推出的欧盟数字身份钱包的架构。

5.1 mDL 标准 (ISO/IEC 18013-5)#

ISO/IEC 18013-5 是定义存储、出示和验证移动驾照 (mDL) 及其他类似凭证接口的国际标准。它旨在确保安全性、隐私性，以及最重要的互操作性，允许在一个司法管辖区签发的 mDL 在另一个司法管辖区被读取和信任。

5.1.1 数据绑定：用户账户 vs. 设备#

钱包架构中的一个关键问题是，数字凭证是绑定到用户的设备还是用户的账户。ISO 18013-5 标准在其安全架构中从根本上是以设备为中心的。其主要目标是防止凭证克隆，并确保出示操作来自凭证签发到的真实设备。这是通过强大的设备绑定实现的，其中凭证的私钥存储在移动设备的安全、防篡改的硬件组件中，例如安全元件 (SE) 或可信执行环境 (TEE)。在出示过程中，设备使用此密钥执行加密操作，证明它是凭证的真正持有者。该标准明确要求凭证存储在原始移动设备上或由签发机构管理的服务器上，从而加强了这种以设备为中心的模型。

然而，该标准并不明确禁止使用用户账户作为管理和协调层。这导致了一种混合模型的出现，尤其是在 Apple 和 Google 的原生钱包实现中。在这种模型中，加密安全锚点仍然是物理设备，但以用户为中心的云账户（例如，Apple ID 或 Google 账户）充当生命周期管理锚点。这个账户层可以促进用户友好的功能，例如在 Apple 的情况下，将凭证转移到新的受信任的附近设备。

5.1.2 活体验证要求：“重新注册的代价”#

ISO 18013-5 标准主要关注数据模型和_出示_凭证的接口，而不是初始_注册_过程的具体细节。然而，要使 mDL 被视为高鉴证级别（例如，满足 NIST IAL2 或 eIDAS LoA 高），注册过程必须稳健。在实践中，每个高鉴证级别 mDL 的主要实现都在初始载入期间强制要求进行活体检测。这一步对于将活生生的人类用户与其物理身份文件绑定并防止出示攻击至关重要。

当用户获得新设备时，问题变得更加复杂。每次将 mDL 配置到新手机时都需要进行活体检测吗？对于基于光学的载入，答案绝大多数是肯定的。最安全的做法是将配置到新设备视为一次完整的重新注册。这不是系统缺陷，而是一个刻意的安全设计选择。因为安全模型是以设备为中心的，加密密钥与特定硬件绑定，所以简单地复制凭证是不可行或不安全的。必须在用户和新硬件之间建立新的绑定。

然而，这种重新注册并不总是需要活体检测。如果用户拥有带 NFC 芯片的高鉴证级别身份文件和支持它的钱包，他们可以通过读取芯片并证明所有权（例如，使用 PIN）来执行加密重新注册，如第 4.2.2 节所述。这为新设备提供了同样强大，甚至更强的绑定。

实施方案证实了这一立场。该领域的技术提供商 Credence ID 明确表示，出于安全原因，每当用户更换手机时都必须重新注册，因为该过程使用设备特定的密钥，数据不可转移。同样，在新的 Android 手机上将 mDL 添加到 Google Wallet 的过程要求用户向 DMV 提交一个全新的请求。

Apple 提供了一个更简化的“转移”过程，但这是一个建立在底层安全原则之上的可用性层。转移依赖于用户 Apple 账户的可信状态和新 iPhone 的安全设置过程，作为完全重新证明的代理。用户仍需要进行身份验证并确认移动，从而有效地重新授权与新硬件的绑定。

每次在新设备上重新建立生物识别链接的必要性，带来了一定程度的用户摩擦，这可以被视为维持高安全性的**“重新注册代价”**。虽然不便，但这是一个安全模型的直接后果，该模型正确地将防止凭证克隆置于高鉴证级别身份文件的无缝同步之上。

5.2 EUDI 钱包生态系统#

欧洲数字身份 (EUDI) 钱包是 eIDAS 2.0 法规的核心。它被设想为一个安全的、由用户控制的应用程序，将由每个欧盟成员国提供，允许公民存储和共享个人身份数据 (PID) 和其他电子属性证明 (EAA)，例如驾照、大学文凭或处方。

5.2.1 多设备问题：一个公民，多个钱包？#

EUDI 钱包的一个关键架构问题是它将如何处理多设备使用。当前的架构和参考框架 (ARF) 及相关分析表明，EUDI 钱包将不会像典型的云服务那样在多个设备之间无缝同步其状态。相反，该架构指向一个模型，即用户拥有一个主要的、设备锚定的钱包，作为其信任根。

该法规强制要求每个成员国必须向其公民提供至少一个钱包。核心架构组件是钱包单元，它驻留在用户的个人移动设备上，并依赖于本地或远程的钱包安全加密设备 (WSCD) 来保证其安全性。这种设计固有地将钱包的最高安全功能与特定的设备上下文联系起来。虽然 ARF 明确概述了跨设备_使用_的流程——例如，使用智能手机扫描二维码以在笔记本电脑上验证会话——但这是一种_交互_模型，而不是_同步_模型。钱包状态的真正同步，包括其私钥和凭证，在多个设备之间技术上复杂，并引发了重大的安全挑战，可能与 eIDAS 的用户“唯一控制”原则相冲突。

目前对该框架的分析得出结论，大多数 EUDI 钱包实现都是为单设备使用而设计的。这导致了关于多设备格局的几个结论：

一个主钱包： 一个公民可能拥有一个由其成员国签发的主 EUDI 钱包，锚定在其主要的个人设备上。
多个独立的钱包： 一个拥有双重国籍的公民可能拥有多个 EUDI 钱包（例如，一个来自德国，一个来自法国），但这些将是独立的、非同步的实例。
独立的商业钱包： 使用个人的、单设备的钱包处理专业事务的不切实际性，导致了欧洲商业钱包 (EUBW) 概念的发展，这是一个用于管理组织角色和凭证的独立钱包基础设施。

这种架构方法将 EUDI 钱包定位为**“数字身份中心”**，而不是“同步的云钱包”。用户的主移动设备将作为其高鉴证级别数字交互的个人信任根。其他设备将与这个中心_交互_，而不是成为平等的对等设备。这具有重要的可用性影响：用户将需要他们的主设备来执行关键操作。这也强调了稳健且用户友好的备份和恢复机制的至关重要性，因为主设备的丢失可能导致数字身份无法访问，直到完成完整的重新注册。

5.2.2 架构与互操作性：构建信任支柱#

EUDI 钱包生态系统建立在一个详细的架构和参考框架 (ARF) 之上，旨在在整个欧盟创建一个联合但完全可互操作的系统。ARF 建立在四个关键设计原则之上：以用户为中心、互操作性、设计安全和设计隐私。

该架构定义了一套清晰的角色和交互：

角色	描述
钱包用户	持有并控制钱包的个人。
钱包提供商	向用户提供钱包应用程序的实体（公共或私有）。
个人身份数据 (PID) 提供商	一个受信任的实体，通常是政府机构，执行高鉴证级别的身份验证并向钱包签发核心 PID 凭证。
证明提供商	任何签发其他凭证 (EAA) 的受信任实体（公共或私有），例如文凭或专业执照。
依赖方	任何请求并使用钱包数据以提供服务的实体（公共或私有）。

互操作性是这个生态系统的基石，确保在一个成员国签发的钱包可以在任何其他成员国用于访问服务。这是通过强制采用通用技术标准来实现的。对于远程（在线）交互，ARF 指定使用 OpenID for Verifiable Presentations (OpenID4VP) 和 OpenID for Verifiable Credentials Issuance (OpenID4VCI) 协议。对于近距离（亲身）交互，该框架强制要求符合 ISO/IEC 18013-5 标准。

在这个庞大的、去中心化的网络中，信任是通过一个可信列表系统建立和维护的。每个成员国将维护经认证的钱包提供商、PID 提供商和其他合格信任服务提供商的列表。这些国家列表被汇总到一个中央的欧盟可信列表清单中，创建了一个可验证的“信任支柱”，允许生态系统中的任何参与者以加密方式验证任何其他参与者的合法性。

6. 合格电子签名 (QES)#

虽然认证是为了访问服务而确认身份，但数字签名服务于一个不同且更深远的目的：它捕捉了一个人同意文件或数据集内容的法律意图。在欧盟的 eIDAS 框架内，最高且法律意义最重大的形式是合格电子签名 (QES)。

6.1 超越认证：实时凭证签名#

eIDAS 法规建立了一个清晰的电子签名层级，每一级都建立在前一级的基础上。

签名类型	定义和要求	典型示例	法律地位
简单电子签名 (SES)	最基本的形式，定义为“附加于或逻辑上与其他数据相关联的电子形式数据……并由签署人用于签名”。无特定技术要求。	在电子邮件末尾输入姓名、勾选“我同意”框，或插入手写签名的扫描图像。	最低级别；通常被接受用于低风险交易，但证据价值有限。
高级电子签名 (AES)	必须唯一地链接到签署人，能够识别他们，使用签署人唯一控制的数据创建，并与签名文件链接，以便任何更改都可被检测。	大多数基于公钥基础设施 (PKI) 的数字签名，例如安全文档签名平台中使用的签名。	法律价值更高；适用于需要更高鉴证级别的大多数商业交易。
合格电子签名 (QES)	最高级别，在 AES 的基础上增加了两个额外要求：使用由合格信任服务提供商 (QTSP) 签发的合格证书，并使用合格签名创建设备 (QSCD) 创建。	直接从经过认证的数字钱包签署合同或官方文件，并进行实时身份验证。	在整个欧盟范围内与手写签名具有同等法律效力；具有最高的证据价值和法律效力。

6.2 QES 在欧盟的法律效力#

QES 最重要的后果是其法律效力。根据 eIDAS 法规第 25 条，合格电子签名 应具有与手写签名同等的法律效力。这是一个在所有 27 个欧盟成员国中得到统一承认的强大法律推定。

这意味着，用 QES 签署的文件不能仅仅因为它采用电子形式而被拒绝法律效力或在法律程序中作为证据的可采性。虽然国家法律仍然决定哪些类型的合同需要书面形式，但对于任何手写签名即为充分的交易，QES 都是其法律等同物。这使得 QES 成为涉及高价值、重大法律风险或法定要求书面签名的交易的黄金标准，例如：

房地产买卖协议。
高价值贷款和信贷协议。
公证文件和官方法院文件。
雇佣合同和公司决议。

使用 QES 提供了不可否认性，意味着签署人不能否认他们参与了已签署的协议，这是法律纠纷中的一个关键特征。这种跨境法律认可是欧盟数字单一市场的基本支柱，使企业和公民能够进行安全便捷的电子交易，而无需纸质流程的行政负担和成本。

6.3 QES 创建流程#

创建一个具有 QES 法律效力的签名涉及一个严格、受监管的过程，以确保最高级别的身份鉴证和安全性。两个核心组件是强制性的：

合格电子签名证书： 这是一个数字证书，它将签名验证数据（一个公钥）与一个特定的、具名的个人绑定。该证书只能由合格信任服务提供商 (QTSP) 签发。一个 QTSP 是一个经过国家监管机构严格审计和认证过程，并被列入欧盟可信列表的组织。在签发合格证书之前，QTSP 必须以高鉴证级别验证申请人的身份，通常通过亲身或同等的远程身份识别程序。
合格签名创建设备 (QSCD)： 电子签名本身必须使用 QSCD 创建。这是一个经过配置的硬件或软件，已被认证符合 eIDAS 的严格安全要求。QSCD 的主要功能是安全地生成签名并保护签署人的私有签名密钥，确保它始终处于其唯一控制之下。QSCD 的示例包括经认证的硬件安全模块 (HSM)、智能卡或由 QTSP 管理的安全远程签名服务。

EUDI 钱包被明确设计为集成此功能，可以通过自身被认证为 QSCD，也可以通过与 QTSP 提供的远程 QSCD 服务安全通信。这种集成将使 QES 的使用大众化，允许任何拥有完全设置好的 EUDI 钱包的欧洲公民只需轻点几下即可创建具有法律约束力的数字签名，这是迈向完全数字化、无纸化行政和经济的重要一步。

7. 可行的建议#

全球数字身份格局正在围绕生物识别信任和以设备为中心的安全等关键原则趋于一致。要驾驭这个不断演变的领域，所有参与者都需要采取战略行动。以下建议旨在指导关键利益相关者在安全性、可用性和互操作性之间取得平衡。

7.1 致钱包签发方、开发者和服务提供商#

分析目标鉴证级别： 在开发之前，精确确定您的钱包或服务需要达到的鉴证级别。如果凭证将用于受监管的流程，如 KYC 或高风险验证，请确保身份证明和认证措施从一开始就足够稳健，以满足这些特定的法律和合规要求。
优先考虑钱包采用率： 最安全的钱包如果没人用也毫无价值。设计简单、低摩擦的载入流程，鼓励用户安装和配置他们的钱包。只有在目标用户群中达到临界采用量，在钱包生态系统之上构建增值服务才可行。
采用灵活的架构： 设计身份和认证平台时，采用能够同时映射到精细化（NIST 风格）和统一（eIDAS 风格）鉴证模型的内部架构。这确保了服务全球市场的能力，而无需完全独立的产品栈。
投资核心信任技术： 经认证的活体检测和高精度生物识别匹配不再是可选功能；它们是任何高鉴证级别身份产品的核心组件。投资于符合 ISO/IEC 30107-3 等标准的演示攻击检测技术至关重要。
为“重新注册的代价”而设计： 承认在新设备上重新注册是一项安全功能，而不是一个缺陷。设计清晰、用户友好且高度安全的载入和重新注册流程，在保持生物识别绑定过程完整性的同时，最大限度地减少摩擦。
保护整个生命周期： 不仅要关注载入，还要关注安全的备份和恢复机制。随着 EUDI 钱包和其他以设备为中心的模型变得普遍，用户友好且安全的恢复过程（例如，基于种子短语或签发方管理的协议）将成为一个关键的差异化因素。
实施钱包升级并提供可互操作的后备方案： 在集成基于钱包的身份验证（例如，用于 KYC）时，尽可能使用新兴标准，如 Digital Credentials API。然而，为了确保在可能尚不支持该 API 的平台和钱包之间具有广泛的兼容性，应实施稳健的后备机制，例如基于二维码或深度链接的流程（例如，使用 OpenID4VP）。这确保了一致的用户体验和更广泛的覆盖范围。
使用 Passkeys 保护账户： 对于使用在线账户管理用户元数据或凭证的第三方钱包，这些账户成为一个关键的安全边界。它们必须使用最强大的、抗网络钓鱼的认证方法来保护，例如 Passkeys (FIDO2)。这可以防止可能危及用户数据或促成欺诈性重新注册活动的账户接管攻击。

7.2 致依赖方（企业和政府）#

进行严格的风险评估： 不要对鉴证采取一刀切的方法。利用风险评估框架，例如美国的 DIRA 流程，来确定每个特定服务或交易所需的适当 IAL 和 AAL。对低风险交互过度保护会产生不必要的摩擦，而对高风险交互保护不足则会招致欺诈。
使用 Passkeys 保护账户： 在使用数字钱包进行高鉴证级别的身份验证（升级）后，用户账户具有已确认的身份状态。保护这个高价值账户免受网络钓鱼攻击至关重要。强制或强烈鼓励在后续登录时使用 Passkeys，因为它们提供抗网络钓鱼的 MFA，并确保已验证的账户不会被较弱的认证方法所危害。
为多钱包世界做准备： 未来不是一个钱包，而是许多钱包。企业和政府机构必须投资于可互操作且基于标准的验证器技术和基础设施。这意味着支持像 OpenID4VP 和 ISO 18013-5 这样的协议，以确保能够接受来自各种钱包的凭证，包括 EUDI 钱包、原生操作系统钱包和其他第三方解决方案。
监控高鉴证场景的设备绑定标准： 对于依赖于识别特定物理设备（尤其是在同步 Passkeys 的情况下）的风险模型，请密切关注 WebAuthn 标准中关于设备绑定信任信号的演变。虽然早期的提案已停止，但新的解决方案正在开发中，以允许依赖方区分受信任的设备和新同步的设备，从而在不牺牲用户便利性的情况下实现更精细的风险评估。
相信加密，而非屏幕： 培训员工并设计流程，依赖于来自合规阅读器的加密验证，而不是对用户手机屏幕上凭证的视觉检查。视觉检查极易受到欺骗和欺诈的影响。

7.3 致政策制定者#

促进国际合作： 继续支持并参与国际标准组织（如 ISO 和 W3C），以减少碎片化并推广数字信任的通用语言。在可能的情况下协调定义和要求，将降低贸易和创新的壁垒。
应对多设备挑战： 认识到多设备管理带来的重大可用性和安全挑战。鼓励开发安全、以用户为中心的凭证恢复和同步标准及框架，同时不损害“唯一控制”原则。
平衡隐私与安全： 随着生物识别数据成为高鉴证级别身份的基石，确保法律和监管框架为这些敏感信息提供稳健的隐私保护，符合 GDPR 等原则。

通过采纳这些策略，利益相关者不仅可以驾驭当前环境的复杂性，还可以积极为未来构建一个更安全、可互操作且以用户为中心的数字身份生态系统做出贡献。

8. Corbado 如何提供帮助#

数字身份的未来是一种机器对机器的范式，设备上的安全硬件元件通过签署加密挑战来证明用户的身份。这种从人类可记忆的秘密到硬件锚定信任的转变，是消除整类攻击（尤其是网络钓鱼）的根本。

Corbado 专注于这一转型。我们帮助企业，从钱包提供商到受监管的依赖方，加速他们迈向真正无密码未来的旅程。我们的平台旨在：

通过智能驱动 Passkey 采用： 仅仅提供 Passkeys 是不够的；用户体验必须无缝才能推动采用。Passkey Intelligence 是我们解决方案的核心组件，它是一个智能逻辑层，可以优化认证流程。它分析用户的上下文——设备、浏览器和历史记录——以防止常见的死胡同，如令人困惑的二维码循环或在错误的设备上提示输入 Passkeys。通过智能地引导用户走上最成功的路径，它极大地提高了 Passkey 创建和使用率，确保高价值、经过身份验证的账户受到既安全又无摩擦的认证方法的保护。
促进身份识别与恢复： Corbado 的解决方案通过原生集成和现有身份验证 (IDV) 供应商的插件，支持稳健的账户恢复和身份识别流程。
验证数字凭证： 展望未来，我们的平台旨在原生支持使用新兴标准（如 Digital Credentials API）验证数字凭证，使您能够满足受监管环境中要求的最高鉴证级别。

无论您是希望提供安全认证的钱包提供商，还是需要信任向您出示的凭证的依赖方，Corbado 都提供了在现代、抗网络钓鱼的身份标准之上构建的基础设施。

9. 结论#

我们对欧盟、美国和澳大利亚数字身份框架的探索揭示了全球在信任核心原则上的明确共识。所有主要的西方框架都采用分层、基于风险的方法，并已将生物识别验证——“活体与证件”核对——作为高鉴证级别身份的黄金标准。然而，实现这种信任的路径各不相同。美国模型提供了精细的灵活性，而欧盟的 eIDAS 框架则倡导统一的互操作性，澳大利亚的系统则介于这两种理念之间。最终，数字钱包的成功取决于用户、依赖方和政府之间的信任网络。我们所探讨的框架是这个新时代的蓝图。现在的挑战是在此基础上进行建设，创建一个不仅安全、可互操作，而且真正为每个个体赋能的身份生态系统。