[发明专利]用于实现零知识证明的计算机实现的系统及方法

说明书

本发明涉及对复合语句的有效零知识验证，该复合语句同时涉及算术电路可满足性和有关公钥有效性的从属语句(密钥语句证明)二者。该方法使得证明者能够以零知识证明该特定语句。更具体地，本发明涉及一种用于实现语句(S)的零知识证明或验证的计算机实现的方法，在其中，证明者在将对语句的见证(w)保密的同时向验证者证明语句为真。本发明还涉及验证证明的验证者所采用的对等的方法。该方法包括证明者向验证者发送包括语句的数据集，该语句是对于给定的功能电路输出和椭圆曲线点，功能电路输入等于对应的椭圆曲线点乘数。数据包括针对语句的电路的各个线承诺和/或成批的承诺、输入和输出。证明者可以将语句中使用的该椭圆曲线或每个椭圆曲线的规范包括在数据中，或者已经提前共享语句中使用的该椭圆曲线或每个椭圆曲线的规范。然后，响应于来自验证者的挑战，证明者发送公开。备选地，证明者附加地包括证明密钥。利用从证明者接收到的数据，验证者能够确定电路得到满足并计算椭圆曲线点且验证语句，由此确定证明者持有对语句的见证。在接收到数据时，验证者通过计算来确定数据符合该语句。

技术领域

本说明书总体上涉及适用于在计算机处理器(例如，区块链网络的节点)或成组的此类处理器中实施的计算机实现的方法和系统。提供了一种生成证明的改进方法，该方法能够实现对语句(statement)的有效零知识验证。该方法适用于并入到现有的针对不需要使用双线性配对友好椭圆曲线的电路可满足性的基于离散对数的零知识证明协议中。本发明特别适合于但不限于由证明者执行的用于准备证明的方法和由验证者执行的用于验证证明的方法以及两个或更多个参与者之间的协作。各方之一可以在不透露所述语句的情况下证明知道密钥或语句，以便在所述参与者之间产生安全的去信任交换。

背景技术

在本文献中，术语“区块链”用来包括所有形式的电子的、基于计算机的、分布式的账本。这些包括基于共识的区块链和交易链技术、被许可的和未被许可的账本、共享账本及其变型。尽管已经提出并开发了其他区块链实现，但是区块链技术最广为人知的应用是比特币帐本。

尽管为了方便和说明的目的在本文中可能提及比特币，但是应当注意，本发明不限于与比特币区块链一起使用，并且替代的区块链实现和协议落入本发明的范围内。术语“用户”在本文中可以指基于人类或基于处理器的资源。区块链是一种点对点的电子帐本，其被实现为基于计算机的去中心化的、分布式系统，该系统由区块组成，该区块又由交易组成。

每个交易是一个数据结构，该数据结构对区块链系统中的参与者之间的数字资产的控制权的转移进行编码，并包括至少一个输入和至少一个输出。每个区块都包含前一个区块的哈希值，以使得区块被链接在一起来创建自区块链建立以来就已经被写入到该区块链的所有交易的永久、不可更改的记录。交易包含被称为嵌入到交易的输入和输出中的脚本的小程序，这些小程序指定如何以及谁可以访问交易的输出。在比特币平台上，这些脚本是使用基于堆栈的脚本语言编写的。

此外，在该文献中，参考了已知的零知识证明协议的结构和使用算术电路的系统。区块链提供了一种去中心化且无需许可的全局机制，该机制实现了一种能够在无需第三方仲裁或托管的情况下解决两个互相去信任方之间的公平交换问题的方案。针对经济报酬的或诸如数字商品之类的信息的交换中的数据或信息的公平交换被体现在称为零知识或有支付(ZKCP)^{[Maxwell 2016]}的交易协议中。在ZKCP中，仅当确认支付的情况下，指定的数据才从卖方转移到买方，并且仅当指定的数据根据销售条件有效时，才完成从买方到卖方的支付。这种协议的细节是已知的^{[Campanelli 2017]}，但是它本质上基于哈希时间锁定合约(HTLC)与零知识证明的结合，其同时验证某些加密信息(“数字商品”)是有效/正确的，并且验证解密此信息的“密码”是必须在区块链上透漏才能要求支付的数据。