身份数据演进：从ICAO 9303到可验证凭证 (ZH-1)

ICAO 9303 基础ICAO 9303 标准通过定义机器可读区 (MRZ) 和数据组，彻底改变了旅行证件，实现了全球安全、可互操作的身份验证。

电子护照演进电子护照 (eMRTD) 的引入通过嵌入式芯片、数字签名和先进的加密保护增强了身份数据的安全性，超越了视觉检查。

可验证凭证范式可验证凭证代表了一次重大飞跃，实现了身份属性的选择性披露、用户对个人数据的控制以及发行和出示的加密证明，从而促进了自主主权身份模型。

增强隐私和控制从静态、全有或全无的数据共享转向精细、用户控制的披露机制，标志着隐私新时代的到来，减少了数字互动中的数据暴露和欺诈风险。

从实体证件到数字数据：理解 ICAO 9303 数据组

现代身份验证的旅程始于对标准化、机器可读旅行证件的需求。国际民用航空组织 (ICAO) 认识到这一必要性，从而制定了 ICAO 9303 数据组 标准。该规范定义了机器可读旅行证件 (MRTD) 的布局和内容，包括护照、签证和身份证，确保了全球互操作性和高效的边境控制。ICAO 9303 的核心是规定了机器可读区 (MRZ) 的结构，这是一个包含关键身份信息的标准化文本块。

MRZ 通常位于身份页面的底部，编码了持证人的姓名、证件号码、国籍、出生日期、性别和证件有效期等数据。这些信息旨在通过光学字符识别 (OCR) 系统快速扫描和处理。然而，真正的技术创新随着电子护照（也称为电子机器可读旅行证件 eMRTD）的出现而到来。这些证件嵌入了微芯片，存储了在视觉和 MRZ 区域中找到的相同数据，但具有显著增强的安全功能。

芯片的数据按照 ICAO 9303 第 10 部分的规定组织成逻辑数据组。例如：

• 数据组 1 (DG1)：包含 MRZ 数据。
• 数据组 2 (DG2)：存储持证人的面部图像。
• 数据组 3 (DG3)：保存指纹数据（可选）。
• 数据组 4 (DG4)：包含虹膜图像（可选）。
• 数据组 14 (DG14)：包括高级安全功能和数字签名。

这些电子护照的安全性严重依赖于公钥基础设施 (PKI)。芯片上存储的数据由签发机构使用文档签名证书进行数字签名。该证书又由国家签名证书颁发机构 (CSCA) 签名。在电子护照数据提取和验证过程中，读取设备执行加密检查，以确保数据的真实性和完整性，确认自签发以来未被篡改。这种机制提供了高度的保证，即出示证件的人确实是其合法持有人，并且证件本身是有效的。

可验证凭证数据的兴起：数字身份的新范式

虽然 ICAO 9303 为实体和基于芯片的身份证件提供了强大的框架，但数字世界需要更灵活、更注重隐私和以用户为中心的解决方案。这正是可验证凭证 (VC) 作为一项变革性技术出现的地方。VC 是防篡改的数字凭证，使个人能够在不泄露不必要的个人信息的情况下证明其身份的某些方面。

可验证凭证由三个主要组成部分构成：发行者、持有者和验证者。发行者（例如，大学、政府机构或银行）对关于主体（持有者）的一组声明进行加密签名。持有者随后将这些 VC 存储在数字钱包中，并可以将其呈现给验证者。验证者可以通过检查发行者的数字签名来加密确认凭证的真实性和其声明的完整性。

VC 的核心创新在于其对选择性披露身份的支持。与传统身份系统不同，在传统身份系统中，出示身份证件通常意味着泄露其上的所有信息（例如，用于年龄验证的驾驶执照也会泄露地址、全名等），VC 允许持有者仅证明特定的属性。例如，用户可以证明他们已满 18 岁而无需透露其确切的出生日期，或者证明他们拥有特定许可证而无需显示其全名或地址。这通过零知识证明 (ZKP) 等高级加密技术或简单地呈现声明的子集来实现。

VC 的数据结构由 W3C（万维网联盟）的标准定义。典型的 VC 有效负载包括：

• @context：指定词汇定义 的 JSON-LD 上下文。
• id：凭证的唯一标识符。
• type：一个数组，指示凭证的类型（例如，“VerifiableCredential”，“UniversityDegreeCredential”）。
• issuer：发行者的去中心化标识符 (DID) 或 URL。
• issuanceDate：凭证的签发日期和时间。
• credentialSubject：关于持有者的核心声明，由其 DID 标识。
• proof：发行者的加密签名。

这种架构赋予了自主主权身份 (SSI) 权力，让个人对自己的个人数据以及如何共享拥有更大的控制权。它将权力动态从中心化机构转移到个人。

比较身份数据模式：安全性、隐私性和互操作性

从 ICAO 9303 到可验证凭证数据的演变代表了身份管理和验证方式的根本性转变。虽然两者都旨在实现安全和可互操作的身份，但它们的方法和益处却大相径庭。

安全性： ICAO 9303 电子护照通过 PKI、数字签名和防篡改功能为实体和基于芯片的证件提供了强大的安全性。然而，一旦数据被提取，其数字表示形式仍可能面临传统数据安全风险。另一方面，VC 将安全性内置于数据本身。每个声明都经过加密签名，并且整个凭证的完整性可以独立验证。DID 的使用确保了全球、去中心化的标识符，这些标识符能够抵御单点故障。

隐私： 这正是 VC 真正闪耀的地方。ICAO 9303 根据设计要求完整出示证件或其提取的数据。没有固有的部分披露机制。VC 凭借其对选择性披露的支持，通过允许用户仅共享必要的最小信息，极大地改善了隐私。这减少了数据泄露的攻击面，并减轻了身份盗窃的风险，因为在交易过程中暴露的个人数据更少。

互操作性： ICAO 9303 为旅行证件实现了全球互操作性，这是一项巨大的成就。VC 旨在为从在线银行到医疗保健等各种用例的数字身份实现类似水平的互操作性。通过利用开放标准（W3C VC、DID），VC 被设计为平台无关，并可在不同的数字生态系统中工作。

Didit 如何提供帮助：连接传统与未来的身份验证

Didit 站在这一演变的最前沿，提供了一个全面的平台，不仅能够熟练处理传统的身份验证需求，还通过可验证凭证拥抱数字身份的未来。我们的平台提供强大的电子护照数据提取功能，利用 AI 驱动的 OCR 和 NFC 芯片读取来处理符合 ICAO 9303 标准的文档。这确保了从实体文档中准确安全地捕获身份数据，为可靠的初始验证奠定了基础。

除了传统的身份验证（IDV）之外，Didit 的架构还专为应对 VC 带来的挑战和机遇而构建。我们理解选择性披露身份和用户控制的重要性。虽然我们的核心身份验证模块侧重于建立初始信任，但我们的愿景与使用户能够以精细控制管理和共享其已验证属性相一致。Didit 的平台可以配置为颁发凭证，允许企业利用我们强大的验证流程来创建值得信赖的数字身份证明。我们的模块化设计和工作流编排功能允许企业构建验证流程，这些流程可以作为颁发可验证凭证的基础，从而实现向更私密和以用户为中心的身份生态系统的无缝过渡。

通过将文档验证、生物识别和欺诈检测集成到单个 API 中，Didit 确保任何未来 VC 的基础数据都是准确、值得信赖且能够抵抗欺骗的。我们对设计隐私和遵守 eIDAS2 等标准的承诺使我们能够促进可重用、可选择性披露的数字身份的广泛采用。

准备好开始了吗？

探索 Didit 如何改变您的身份验证流程。无论您是希望通过尖端的文档和生物识别验证来增强当前的 KYC/AML 合规性，还是为可验证凭证和选择性披露的未来做准备，Didit 都拥有工具和专业知识。请访问我们的产品页面了解更多信息，或发送电子邮件至hello@didit.me联系我们，获取个性化演示。

常见问题

什么是 ICAO 9303，它为什么重要？

ICAO 9303 是国际民用航空组织制定的一项国际标准，定义了机器可读旅行证件（如护照和身份证）的规范。它对全球互操作性至关重要，确保这些证件能够被全球机器一致地读取和验证，从而促进高效安全的边境控制和身份验证流程。

与传统身份证件相比，可验证凭证如何增强隐私？

可验证凭证通过一种称为选择性披露的概念显著增强了隐私。与传统身份证件不同，传统身份证件在出示时会泄露所有包含的信息，而 VC 允许个人仅共享特定且必要的属性（例如，在不透露出生日期或地址的情况下证明年龄）。这最大限度地减少了数据暴露，降低了身份盗窃的风险，并赋予用户对其个人信息的更大控制权。

电子护照中的“数据组”是什么？

在电子护照（eMRTD）中，“数据组”是嵌入式微芯片上的逻辑结构，根据 ICAO 9303 第 10 部分存储不同类型的身份信息。示例包括用于机器可读区数据的数据组 1（DG1）、用于面部图像的数据组 2（DG2）以及用于安全功能和数字签名的数据组 14（DG14）。这些组经过加密保护，以防止篡改。

可验证凭证可以取代护照等实体身份证件吗？

在许多数字环境中，可验证凭证旨在通过提供加密可验证的身份属性证明来取代对实体身份证件的需求。虽然 VC 提供了增强的隐私和数字便利性，但它们在所有用例（例如国际旅行）中与实体证件的完全法律等效性仍在发展中，并取决于各地司法管辖区的监管采纳和基础设施发展，例如欧盟正在进行的 eIDAS2 的努力。