Meridian Phone 数字身份,握在手里 English
试点级硬件 · 承载 MID · 不签发身份。从甲骨上的氏族,到铜符上的官印,到通关文牒,到钢印的护照——每一个时代,人都需要一件被信任的物,去证明自己曾经被承认。Meridian Phone 想做的,是这个时代的那件物。

Meridian
Phone

它不是又一台用来夸耀的旗舰,也不是又一个新概念。它是一件被认真造的、用来承担的物——让一份已经被制度签发的数字身份,能从档案里走出来,被一个人稳妥地拿在手里:可以从容地出示,可以稳定地启动,丢失之后还能回来。每一次使用,都站得住脚。

我们做了三种。Care 让一位长辈,在新时代里不必独自摸索;Kids 替一个孩子,把童年的边界画得更稳;One 让一个成年人,把身份、政务与日常,安顿在同一台值得托付的机器上。三机一系——同一套制度,分别交给一个家庭里三代人的样子。

认识三机一系 → 查看试点路径
如果你是来审阅的:先看设备在身份生命周期里所处的位置,再回到这里看 Care · Kids · One 各自如何承载。
先看设备生命周期 →
3角色版本
¥150–¥260指导价区间
Path A设备纲领边界
0 助记词MPC 阈值密钥
PRECEDENT · 先例印信 → 通关文牒 → 护照 → MID
VERBS · 设备做什么承载 · 验证 · 恢复 · 分离 · 审计
STANDARDS · 标准W3C DID/VC · FIDO2 · ISO 18013-5
CRYPTO · 密码TEE + SE · MPC 阈值密钥
BOUNDARY · 边界Path A · 承载,不签发
为什么是一台手机

每一种文明,都要回答同一道题:
如何让一个人,被识别、被相信、被当作他自己。

早先,我们用印信,用通关文牒,用一本盖了钢印的护照。今天,这道题被搬到了数字世界,需要重新回答一次。领境特区——一套面向数字时代的身份与服务制度框架——给出了制度上的答案;Meridian Phone,是把这个答案从档案里取出、放进日常里的那台设备。它本身不发明身份,它只是让 MID 与 MCID,能被一个普通人,从清晨到深夜,用得起来。

这道题的难处在另一边:每一种身份制度,都会有它没顾到的人。无家可归者、不识字的老人、外来务工者、残障人士、无国籍者——他们最需要一份被承认的关系,又最容易被表格、二维码与需要登入的应用挡在门外。一份值得被信任的数字身份,要先承认这些被忽略的人;一台想要承担它的设备,要从一开始就为他们留一道门。

这也是为什么——在一切都被软件化、什么都不再被拿在手里的时代——还需要一件可以被握住的物。当关系完全消失成代码,它就容易被任意复制、任意撤销、任意遗忘。一件被信任的物,握在手里那一下,本身就是一种克制:它提醒所有人,身份不只是一行数据,是一个活着的人在场。

问题

身份长期住在数据库里,不在生活里

过去十年的数字身份大多停留在后台系统中——人要使用自己的身份,得先登入别人的产品。

转向

设备成为身份的"家"

当身份能被妥善承载在一台个人设备里,它就从一个"账号",变成一份"成员资格"——人不再是在别人的产品里登入,而是带着自己被承认的样子,走进每一个场合。

边界

设备承载,制度签发

手机不签发身份。它只是签发之后,那个让身份被安全携带、被快速出示、必要时也能被放下的容器。

结果

每一次出示,都更值得相信

验证方相信的是凭证,不是屏幕;用户出示的是一项资格,不是整份资料——一次次出示,留下的是被信任的痕迹,而不是被泄漏的踪迹。

PATH A · 设备纲领

设备做什么 ·
设备不做什么。

这一条边界,是这台机器愿意被一个国家郑重审阅的起点——它写在硬件里,也写在制度里。下面三条是它的承担,下面三条是它的克制——一台值得被托付的设备,要同时说清这两件事。

承载 已合规签发的 MID 与 MCID,并提供选择性披露与受控离线使用。
验证 来自他方的可信凭证,输出审计就绪的事件记录。
恢复 通过 MPC 阈值与监护人机制,让丢机不等于丢身份。
不签发 MID 与 MCID——签发归发行机构,手机不越界。
不存储 原始身份资料与生物模板的明文——仅保留受保护表征。
不提供 医疗、用药与诊断功能(合规由更高级别专用器械承担)。
三机一系 · 三种关系,一套系统

一个家庭里,
三代人共用一套被信任的关系。

一个家庭不只有一种关系。一个人会变老,一个孩子会长大,一个成年人在中间——撑着两头。我们做了三款机器,让一个家里这三代人,被同一套身份制度温柔地承担:长辈被守护,孩子被陪伴,成年人被托付以日常。它们共用同一套底层系统,但每一款,只专心做好一件事。

为长辈而设
Meridian Care 长辈版

调大字号是容易的;做稳一段关系是难的。Care 让一位长辈不必独自面对一个不断变化的世界——一只跌倒的手腕,能直接呼到子女;一张缴费的单据,可以代为打理;陌生的服务窗口,留有一条远程过来的协助通道。它把一份日常的体面,留给一个被尊重的老人。

  • 家庭授权与可控的代理代办
  • 跌倒检测 · SOS · 用药提醒(提示性、非医疗)
  • 电话与服务双入口,远程协助通话
  • 简明的政务与水电缴费台
¥260指导价 关怀位
为孩子而设
Meridian Kids 儿童版

童年不该是缩小的成年。Kids 不是一台小一号的成人手机——它是一台陪孩子一起长大的设备。学生身份、校园通行、上学路上的公交,借由家长授权下的"派生子凭证"承载:签发权仍归制度,使用经过家长——一个孩子第一次拿到的"身份",是被认真照看过的。

  • 父母派生子凭证(非学校签发,符合 Path A)
  • 家庭白名单 · 时段管理 · 步行轨迹温和共享
  • 不含成瘾性社交与不适内容的应用台
  • 校园通行、公交、阅读与学习入口
¥150指导价 入门位
为公民日用
Meridian One 标准版

一个成年人,要替自己签合同、替家人买药、替父母办手续、替自己交税。这些事,应该都能在同一台被信任的设备里完成。One 把 MID 与 MCID 承载在同一台机器上,把商户支付、政务台与企业服务汇拢到同一个屏幕——它是一个公民最常打开的那一台,也最不应该让人失望的那一台。

  • MID / MCID 承载与选择性披露
  • 商户支付 + 政务台 + 企业服务三合一
  • MPC 阈值钱包,无助记词的安全恢复
  • 受控离线交易与延迟结算
¥220指导价 主力位

¥150 / ¥220 / ¥260——三档差异化的指导价,不是补贴,也不是促销。它们对应一个家庭里三种不同的位置:孩子的入门、成年人的主力、长辈的关怀。一个家庭可以从这道阶梯上走过去,三代人,共用同一套被信任的关系。

MID 生命周期

身份是有一生的:
申请、核验、签发、日常、恢复、撤销。

身份不是一次性发生的事,它有自己的生命:从一份申请开始,被核验,被签发,被日常地使用;偶尔遗失,需要被恢复;终有一天,也会被撤销——这条路上一共六段,关系到四种人。Meridian Phone 在这条生命周期里,刻意不是签发节点。它只做四件事——承载、协助、记录、保护。这种克制,本身就是它能够被一个国家郑重审阅的理由。

阶段
申请
核验
签发
日常
恢复
撤销
发行机构
Meridian Phone
·
监护人 / 家人
·
·
·
·
验证方 / 服务方
·
·
·
·
·
主责 协助 / 承载 ○ 间接参与 · · 不参与
身份的权威在制度;手机的权威,只在"承载"这一件事上。 这不是局限,而是设计——一件被人托付的物,必须既被信任,也被边界约束。
MPC 阈值钱包

一个人不该因为忘了一串单词,
就失去自己十年的关系。

传统加密钱包恰好让这件事变成了现实——丢失助记词,等于丢失一切。Meridian Phone 用 MPC 阈值方案,把私钥切分到设备、托管方与监护人三处:任何一方都无法独自动用密钥,但任何一处出问题,账户都能在另外两处的配合下被恢复。一份身份不再握在一段冷冰冰的助记词里,而是托付在一个有人陪着的小网络里。

更要紧的是:钱包不是身份。它只是 MID 在制度足够成熟之后,才被授予出来的一项资格——先有身份,再有结算;先有关系,再谈金额。

查看安全设计 查看开放标准
2-of-3
阈值密钥
设备 · 托管方 · 监护人
  • 无明文私钥
  • 无助记词
  • 分布式生成
Recovery
设备恢复
社交监护 · 重新核验
  • 新设备配对
  • 身份再核验
  • 状态可追溯
商户支付与政务台

把可被信任的支付,
放回到柜台两端的人之间。

在小镇上买一份早饭、在医院开一张方、在律所签一份合同——每一笔交易之前,本就有一段关系:买的是谁、卖的是谁、谁替谁担保。十年里,我们把这段关系,缩进了一个二维码后头。Meridian Phone 想把它放回来:当 MID 与 MCID 同时在场,一笔交易不必每次都从"你是谁、我是谁"重新解释——支付,回到了柜台两端的人之间。

第 01 步

互证身份

商户 MCID 与公民 MID 同时出示证明:谁在交易、谁在收款、谁在做担保,都被签名记录。

第 02 步

选择最小披露

用户只出示交易必需的那一项资格——例如"已满 18"或"持有营业资格"——不交出额外资料。

第 03 步

受控结算

第一阶段不开放公开链上交易;结算走受监管通道,结算证明回写到 Meridian Chain。

第 04 步

留下可被复核的痕迹

事件哈希、时间戳与签名记录被锚定到记忆层,可在合规审查中被独立验证。

政务台 · 个人

一站式办理

  • 身份证明、资格查验、表格预填。
  • 居住地通知、缴费、申诉与续期。
  • 选择性披露:能证明,而不必交出全部资料。
企业台 · MCID

主体与代表

  • 主体状态、授权代表与商户能力可视化。
  • 对外出示可被验证的资质,无需冗长尽调。
  • 商户支付、收据与服务关系成体系。
安全 · 隐私 · 边界

信任不能写在广告里,
它要写在三个地方。

一颗芯片,一段流程,一份审计——可被信任的事物,从来都不靠口号。Meridian Phone 把可被信任的部分写进硬件,把可被审阅的部分写进制度,把不该存在一台个人手机里的东西,留在受控的环境里。三处都站住了,一台设备才配得上"被托付"这三个字。

硬件信任根

TEE + SE 双层

关键操作运行在可信执行环境里,凭证密钥落在安全元件中——不被普通应用接触,不被 OS 越界读取。

生物模板保护

ISO/IEC 24745 表征

不存原始指纹或面部图像,只存可撤销、可重新生成的受保护表征——丢机也不等于生物特征泄露。

威胁模型

STRIDE 全分类

从克隆、回放、降级到供应链植入,每一类威胁都有对应的硬件、协议或制度控制,并被列入威胁模型文档。

设计

面向外部审阅而设计

硬件 BOM、安全基线与威胁模型在量产前定稿;设计阶段就开放给独立第三方审阅。

制造

受信任的产线

安全元件在受控产线预注密钥,每一台设备都可被追溯到来源——供应链植入有应对。

运营

透明的安全更新

所有更新都被签名;漏洞被发现到修复,有公开的时间线,不靠默不作声。

退役

有尊严地放下

设备退役时凭证被安全销毁,硬件可被回收——不留废墟,也不留遗忘的密钥。

契约

边界写在合同里

运营方与制度方的责任各有边界。任何一个环节出问题,有人对它签字、对它负责。

开放标准对齐

不重新发明身份,
站在全世界已经被信任的轨道上。

一台手机想被全球的验证方相信,靠的不是品牌名,而是它会讲国际通用的身份与认证语言。这种语言不是由一家公司说了算,而是 W3C、FIDO、ISO 这样的开放组织,由许多国家与许多研究者一起,慢慢约定出来的——它属于这个时代的所有人。Meridian Phone 与下列标准保持对齐,凭证、认证与互操作性,不被任何一家公司锁住。

W3C DID Core

去中心化标识符

身份标识与解析协议,凭证主体与发行方共用同一套规范。

W3C VC 2.0

可验证凭证

结构化、可被签名验证的凭证模型,支持选择性披露。

FIDO2 / WebAuthn

无密码认证

设备绑定的强认证,凭证与生物表征不离开本机。

OIDC / OIDC4VC

身份联合

身份与可验证凭证的传递协议,连接第三方服务方。

ISO/IEC 18013-5

移动驾照与同类凭证

面向监管场景的移动凭证传输与离线验证规范。

ISO/IEC 24745

生物模板保护

受保护、可撤销的生物表征——不存原始模板。

eIDAS 2.0 EUDI

欧盟数字身份钱包

欧盟数字身份钱包的概念框架,提供长期可对齐路径。

NIST 800-63-3

身份保证等级

IAL / AAL / FAL 分级——不同服务匹配不同核验强度。

本地化与可及性

一份价格框架,
在不同辖区里活成不同的形状。

¥150 / ¥220 / ¥260 是试点期的指导价框架。落到一个具体的合作辖区,它会被本地化、被补贴、被减免——一个身份制度有没有顾到那些最容易被忽略的人,最后看的不是宣言,而是落到一份采购清单与一份减免方案上。下面是这份框架在现实里通常会变成的样子。

辖区本地化

与发行机构共定

每一个合作辖区在最终采购阶段,与发行机构共同确定本地化价格——不强求全球统一,让一台机器在它要被使用的地方,变成那个地方支付得起的样子。

  • 本币标价 · 由发行机构与辖区共同确定
  • 批次采购可触发台阶式价格
  • SLA 与服务条款随辖区合同确定
公益与减免

先为容易被忽略的人留位

面向无家可归者、不识字的长辈、外来务工者、残障人士与无国籍者,预留分级减免与无障碍配置——一份身份系统的可信,先取决于它有没有为这些人留下入口。

  • 分级减免与零成本入口
  • 无障碍模式(语音、放大、对比度、单手)
  • 无固定地址者的核验路径
政府与社保通道

采购、教育、长辈关怀

面向公务、教育、医疗与社保系统的批量采购通道,能与各辖区的预算与代际方案接轨——Care 在合作辖区可纳入长辈关怀计划,由政府 / 家庭 / 慈善三方共担成本。

  • 政府批量采购框架
  • 校园 / 医保 / 社保配套方案
  • Care 长辈关怀三方共担机制

指导价不是定价,是讨论的起点。每一个合作辖区落地时,价格、补贴、采购框架与减免方案,都由发行机构与辖区政府共同决定——并写进双方都能引用的合同里。

试点路径

一座新的城,
不该在一夜之间冒出来。

Meridian Phone 也是。我们倾向从一个清楚的试点辖区开始——在那一座城里,把身份、商户、政务与恢复机制一一跑通,让一份制度在一组真实的关系里慢慢长稳。跑稳了,才讨论下一座城。一种被认真做的事物,应当被允许慢一些。第一座城从来不是"试点市场",它是合作者——它愿意第一个采纳一份新制度的耐心,正是这件事变得可信的开端。

第 0 阶段

地基与制度

明确发行机构、签发流程、Path A 边界与试点审阅材料;硬件 BOM、安全基线与威胁模型在量产前定稿。

第 1 阶段

One 主力上线

面向公民的标准版本先行。MID 承载、商户支付、政务台与基础审计跑通——验证基础设计成立。

第 2 阶段

Care 与 Kids 加入

在 One 跑通的同一套系统上扩展长辈版与儿童版;家庭授权、监护人恢复与派生子凭证依次开放。

第 3 阶段

跨辖区互操作

与其他采纳同套标准的辖区互认凭证;钱包、结算与更多服务作为受监管扩展逐步纳入。

每一阶段,都对应一组先就位的控制——先有边界,再添功能;先有审计,再谈规模;先有信任,再讲扩展。这是一种慢,也是一种把事情做到值得被信任的耐心。

常见问题

先把容易被误解的问题,
诚实地答清楚。

这一节是给政府审阅者与采购方写的——先把容易被误读的几道题答清楚,再讨论真正的细节。一份制度愿意被先质疑、再讨论,是它配得上被信任的开端。

问题 01

Meridian Phone 会签发身份吗?

不会。手机不签发 MID 或 MCID。签发权归发行机构。设备只承载、协助、记录与保护。

问题 02

Care 是医疗设备吗?

不是。Care 提供陪伴与提示(跌倒、用药提醒),不提供诊断、治疗或处方功能;医疗合规由专用器械承担。

问题 03

Kids 的"学生身份"从哪里来?

来自家长授权下的派生子凭证(parent-derived sub-credential),不是学校直接签发——符合 Path A 边界。

问题 04

丢机会丢身份吗?

不会。MPC 阈值方案让任何一片都无法独自动作;通过监护人与重新核验流程,可在新设备上恢复访问。

问题 05

身份资料会上链吗?

不会。链上只锚定哈希、状态与时间戳等可验证证据;原始身份资料留在受控环境,必要时可被删除。

问题 06

面向哪一类辖区?

面向有清晰数字身份立法、可指定发行机构、并愿意采用 W3C / FIDO / ISO 等开放标准的合作辖区。

问题 07

为什么不是一个 App,而要做一台手机?

因为身份不只是一个登入步骤,它需要一个被信任的硬件根。一个 App 可以被卸载、被替换、被截屏;一台被认真造的设备,能在硬件层(TEE + SE)守住边界,让"承载身份"这件事,不只是软件的承诺,而是物理结构上的事实。

问题 08

与 Apple Wallet、EUDI 钱包是什么关系?

互补,不互斥。Apple Wallet 是商业生态里的票务与凭证容器;EUDI 是欧盟的官方钱包框架;Meridian Phone 是一台符合 W3C / FIDO / ISO 的设备,可以在合规辖区里与这两者互操作——不锁定,不替代,也不假装能取代它们解决不了的问题。

下一步

把数字身份,
体面地交到一个人手上。

一个数字时代值不值得期待,不在于它跑得多快,而在于它能不能温柔地承担一个普通人——能不能让一位老人,在新时代里不必独自摸索;能不能让一个孩子,第一次拿到的身份是被认真照看的;能不能让一个成年人,把一天里最要紧的几件事,安顿在一台可以托付的机器上。Meridian Phone 不试图取代制度,也不试图取代信任。它只是想做这个时代的那件物:把一份已经被承认的关系,体面地、稳妥地、可以被一代代传承下去地,交到一个人的手里。

准备试点审阅包 认识三机一系