[发明专利]一种zk-snark底层双线性对的国密替代实现方法

权利要求书

1.一种zk-snark底层双线性对的国密替代实现方法，其特征在于，包括以下步骤：

步骤1，确定椭圆曲线的基域和阶：具体包括：

将参数t初始值设为2的63次方，对t进行如下循环：

根据公式q(t)＝36t⁴+36t³+24t²+6t+1，n(t)＝q(t)-6t²’计算q(t)和n(t)的值；

利用素性检测算法判断q(t)和n(t)是否为素数；

如果q(t)和n(t)均为素数，则确定基域为q(t)，椭圆曲线阶为n(t)；

如果q(t)和n(t)不满足均为素数，则计算t＝t+2²⁰，进行下一次循环；

步骤2，确定基域上的椭圆曲线方程：

步骤3，确定双线性对的群1的生成元；

步骤4，确定二次扩域上的椭圆曲线方程：

步骤5，确定群2的生成元：

步骤6，确定塔式扩张的约化多项式：

步骤7，计算Miller函数：

步骤8，Miller函数的幂函数的优化运算：

步骤9，计算R-ate对；将该R-ate对用于zk-snark的底层双线性对的国密替代。

2.根据权利要求1所述的方法，其特征在于，所述步骤2包括：

将1设为x坐标，将b的初始值设为1，对b进行如下循环：

计算y≡b+1mod p，利用基域上求解平方跟算法求解y的平方根；

如果无解，则设b＝b+1，进入下一次循环；

如果求解平方根有解，设y的平方根为y₀，设点P为(1，y₀)，根据椭圆曲线的多倍点算法，计算点P的n倍点nP；如果nP不是无穷远点，则设b＝b+1，进入下一次循环；如果nP是无穷远点，则确定基域上的椭圆曲线方程为y²＝x³+b mod q。

3.根据权利要求1所述的方法，其特征在于，所述步骤3包括：

随机选取基域上的元素x作为x坐标，根据椭圆曲线方程y²＝x³+b mod q带入x坐标，求解对应的y坐标；

如果无解，则重新随机选取x坐标，进行下一次循环；

如果有解，则设点P为(x，y)，根据椭圆曲线的多倍点算法，计算点P的n倍点nP；如果nP不是无穷远点，则重新随机选取x坐标，进入下一次循环；如果nP是无穷远点，则确定点P为群1的生成元。

4.根据权利要求1所述的方法，其特征在于，所述步骤4包括：

随机选取二次扩域上的元素ξ，其中ξ即不是二次扩域上的二次元也不是二次扩域上的三次元；

随机选取二次扩域上的元素x作为x坐标，在二次扩域上计算y′＝x³+b/ξ，利用二次扩域上的求解平方根算法求解y’的平方根；

如果无解，则重新随机选取二次扩域上的元素x作为x坐标，重新求解平方根，直到有解，则设y’的平方根为y，设点p为(x，y)，利用椭圆曲线的多倍点算法计算点p的q+1-t倍点，设为P₁点，计算点P₁的n倍点n P₁，如果n P₁不是无穷远点，则重新随机选取二次扩域上的元素ξ，重新进行计算，如果n P₁是无穷远点，则确定二次扩域上的椭圆曲线方程为y²＝x³+b/ξ。

5.根据权利要求1所述的方法，其特征在于，所述步骤5包括：

随机选取二次扩域上的元素作为x坐标，计算y′＝x³+b/ξ；

利用二次扩域上的求解平方根算法求解y’的平方根；

如果无解，则重新随机选取二次扩域上的元素x作为x坐标，重新求解平方根，直到有解，则设y’的平方根为y，设点p为(x，y)，利用椭圆曲线的多倍点算法计算点p的q+1-t倍点，设为P₁点，则P₁点为群2的生成元。