DID Connect: Authentication in TLS with Decentralized Identifiers and Verifiable Credentials

TLS中的身份验证主要通过由证书颁发机构（CA）颁发的X.509数字证书进行。然而，当前公共密钥基础设施的集中化特性存在严重的风险，如单点故障和易受网络攻击，可能会破坏整个系统的安全性和可信度。使用分散式身份标识符（DID）和分布式账本技术，可以在不需要由集中式和易受攻击的CA对证明公钥进行认证的情况下，技术上证明对唯一标识符的所有权。本文介绍了DID Connect，这是一种新型的TLS 1.3身份验证方案，它使实体能够以符合TLS标准的方式进行身份验证，使用装备有账本锚定的DID而不是CA颁发的标识符的自颁发X.509证书。它通过DID绑定可验证凭证的形式，促进了不可篡改和第三方验证的声明的交换，以完成与通信伙伴的完全身份验证。一个原型实现显示出与缓存验证材料相比，DID Connect的TLS握手持续时间相当，如果从账本中获取，则会有合理的延长。由此产生的TLS通道的显着速度改进，超过了应用层上广泛使用的基于DID的替代传输协议，展示了DID Connect成为建立具有分散式管理数字身份的安全和可信的端到端通信链路的可行解决方案的潜力。

解决当前公钥基础设施中心化所带来的单点故障和易受网络攻击的问题，提出一种去中心化的身份验证方案。

使用分布式账本技术和去中心化标识符（DID）来实现自颁发X.509证书的身份验证，避免了依赖于易受攻击的证书颁发机构（CA）的问题。在TLS握手完成后，使用DID绑定的可验证凭证来完成身份验证。

使用DID Connect方案可以建立安全可靠的端到端通信链路，具有可扩展性和去中心化的特点。实验结果表明，DID Connect的TLS握手时间与当前广泛使用的基于DID的替代传输协议相当，同时也提供了更快的TLS通道速度。

最近的相关研究包括：《基于区块链的身份验证和访问控制：综述》、《去中心化数字身份：一个综述》等。