44、基于树的私有认证的最优密钥树

基于树的私有认证的最优密钥树

1. 引言

实体认证是一方（证明者）向另一方（验证者）证实其身份的过程，通常基于认证协议，双方通过互相传递消息来完成认证。不过，这些协议往往较少关注保护参与方（通常是证明者）相对于窃听第三方的隐私。在许多知名且广泛使用的认证协议中，证明者的身份以明文形式发送，这就容易被窃听者获取。

为解决这一问题，有两种基于公钥密码学的方法：
- 用验证者的公钥加密证明者的身份信息，这样只有验证者能得知证明者的身份。
- 双方先进行匿名的Diffie - Hellman密钥交换，建立一个安全通道，然后证明者通过该通道向验证者发送身份和认证信息。

但这些方法仅在参与方能够承担公钥密码学的成本时才适用。在很多应用场景中，如低成本的RFID标签和基于非接触式智能卡的公共交通自动收费系统，使用公钥密码学并不现实，然而这些系统又非常需要保护隐私（尤其是位置隐私）。

使用对称密钥加密来隐藏证明者身份也存在问题，因为验证者在不知道证明者身份的情况下，无法确定使用哪个对称密钥来解密加密的身份信息。如果验证者尝试在其密钥数据库中逐个尝试所有可能的密钥，当潜在证明者数量很大时，会大大增加认证延迟。长认证延迟通常是不可取的，在某些情况下甚至是不可接受的。

最近，Molnar和Wagner提出了一种基于对称密钥密码学的隐私保护认证方法，该方法能确保较短的认证延迟。其核心思想是使用密钥树，每个边分配一个唯一的密钥，树的叶子节点代表潜在的证明者（后续称为成员）。每个成员拥有从根节点到对应叶子节点路径上的所有密钥，验证者则知道树中的所有密钥。成员进行认证时，依次使用其拥有的密钥，从树的第一层开始向下进行。验证者先确定使用了哪个第一层密钥