CN111316594A

CN111316594A - 分布式计算系统和方法

Info

Publication number: CN111316594A
Application number: CN201880072729.6A
Authority: CN
Inventors: 亚历山卓·科瓦奇; 西蒙娜·马代奥; 帕特里克·莫特林斯基; 史蒂芬·文森特
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2017-11-09
Filing date: 2018-11-01
Publication date: 2020-06-19
Also published as: US20210192514A1; EP3707871B1; US11575511B2; CN111316595A; JP2023052834A; EP3707623A1; KR20200086281A; WO2019092544A1; KR20200079503A; US11635950B2; ZA202002575B; US20200366492A1; WO2019092561A1; US20210377041A1; JP2021502746A; CN111345004B; SG11202004146WA; US20200348916A1; JP2023182741A; JP2021502634A

Abstract

本发明涉及一种分布式处理系统，该系统涉及将计算任务分配给一个或更多个不受信任的工作方计算机系统。当不受信任的工作方计算机系统代表请求计算机系统执行计算时，将向请求计算机系统(或其他证实计算机系统)提供信息，该信息允许请求计算机系统以密码方式证实该任务已正确完成。完成计算后，工作方计算机系统向请求方提供包括证明和I/O数据的信息。请求计算机系统可以使用一组公共证实密钥参数、证明和I/O数据来证实不受信任的工作方计算机系统执行的计算正确。在一些示例中，工作方执行的计算与区块链交易的证实相关联。例如，由不受信任的工作方计算机系统执行的计算的证实可以作为验证区块链节点上的交易的一部分而发生。

Description

分布式计算系统和方法

技术领域

本发明总体上涉及分布式计算系统的操作，并且更具体地涉及用于以加密方式证实分发给第三方计算机系统并由第三方计算机系统执行的计算任务的正确完成的方法和系统。本发明的一些实施方式可以特别适合于但不限于在区块链系统中使用。

背景技术

在本文中，术语“区块链”指的是一些类型的基于计算机的电子分布式账本中的任意一种。这些包括基于共识的区块链和交易链技术、经许可和未经许可的账本、共享账本及其变体。区块链技术最广为人知的应用是比特币账本，尽管已经提出并开发了其他区块链实现方式。虽然出于方便和说明的目的在本公开中可以参考比特币的示例，然而应当注意，本发明不限于与比特币区块链一起使用，并且替代性的区块链实现方式和协议落入本发明的范围内。例如，本发明在其他区块链实现方式中可以是有用的，该其他区块链实现方式关于在交易内可以对什么约束进行编码方面与比特币具有相似限制。

区块链是一种点对点的电子账本，其被实现为基于计算机的去中心化的分布式系统，该系统由区块组成，而区块又由交易和其他信息组成。例如，对于比特币，每个交易都是这样的数据结构，该数据结构对区块链系统中的参与方之间的数字资产的控制转移进行编码，并包括至少一个输入和至少一个输出。。在一些实施方式中，“数字资产”是指与使用权相关联的二进制数据。数字资产的示例包括比特币、以太币和莱特币。在一些实施方式中，可以通过将数字资产的至少一部分从第一实体重新关联到第二实体来执行数字资产控制权的转移。每个区块包含前一个区块的哈希，以致于这些区块变为链接在一起，以创建自区块链开始以来就已经写入区块链的所有交易的永久、不可更改的记录。

交易包含嵌入其输入和输出中称为脚本的小程序，它们指定如何以及通过谁可以访问交易的输出。在比特币平台上，这些脚本是使用基于堆栈的脚本语言来编写的。

一般说来，在将交易写入区块链之前，对其进行“验证”。网络节点(矿工)进行工作以确保每次交易都有效，而无效交易从网络中被拒绝。一个节点可以具有不同于其他节点的有效性标准。由于区块链中的有效性是基于共识的，因此，如果大多数节点同意交易有效，则该交易被视为有效。安装在节点上的软件客户端通过执行未耗用交易(UTXO)锁定和解锁脚本，来部分地对引用该未耗用交易(UTXO)的交易进行该验证工作。如果锁定和解锁脚本的执行评估为TRUE且满足其他验证条件(适用的情况下)，则交易被节点验证。经过验证的交易将传播到其他网络节点，随后矿工节点可以选择将该交易包括在区块链中。因此，为了将交易写入区块链，该交易必须i)由接收交易的第一节点来验证-如果交易被验证，则节点将其中继到网络中的其他节点；ii)被加入由矿工构建的新区块；并且iii)被挖掘，即加入过去交易的公共账本。当将足够数量的区块被添加到区块链以使交易实际上不可逆时，该交易被视为已确认。

虽然区块链技术最广为人知的地方在于使用加密货币实现方式，但是数字企业家已经开始探索使用比特币所基于的加密安全系统以及可以存储在区块链上的数据这两者以实现新系统。如果区块链可用于并不限于加密货币领域的自动化任务和过程，这将是非常有利的。这样的解决方案将能够利用区块链的好处(例如，事件的永久性、防篡改记录，分布式处理等)，同时在其应用中更通用。

当前研究的一个领域是使用区块链来实施“智能合约”。智能合约是自动化以机器可读形式存储的合约或协议条款的执行和/或确认的计算机实现的系统。与将用自然语言编写的传统合约不同，智能合约是对条款和条件的机器可读描述，其可由计算机系统处理以产生结果，然后可使得动作基于这些结果被执行。

令人感兴趣的另一区块链相关领域是使用“令牌”(或“彩色币”)来表示真实世界实体经由区块链进行的转移。潜在敏感或私密的项目可以由没有可辨认含义或值的令牌来表示。因此，令牌用作标识符，其使得真实世界的项目能够从区块链查阅到。

在实施方式中，就没有给创建者或某些其他特定实体分配以强制智能合约执行和/或执行智能合约的意义而言，智能合约是“智能”的。也就是说，尽管可以在智能合约中的特定步骤对与特定实体的交互进行编码，但是智能合约也可另外地自动执行和自我执行。智能合约是机器可读和可执行的。在一些示例中，自动执行是指能够解锁UTXO并具有对于这样做的激励(例如，奖励)的任何实体。请注意，在此类示例中，能够解锁UTXO的“任何实体”是指能够创建解锁脚本而无需证明知道某些私密信息的实体。换句话说，可以在不证实(verify)数据源能够访问加密的私密(例如，私密非对称密钥，对称密钥等)的情况下验证(validate)解锁交易。另外，在这样的示例中，自我执行是指使区块链网络的验证节点根据约束来强制执行耗用交易。在一些示例中，“解锁”UTXO指创建这样的解锁交易，该解锁交易引用UTXO并在有效时执行。“解锁”交易有时这被称为“耗用”交易。

区块链交易输出包括锁定脚本和有关数字资产(比如比特币)的所有权的信息。锁定脚本(也可以称为阻碍)通过指定解锁输出所需满足的条件来“锁定”数字资产。例如，锁定脚本可能要求在解锁脚本中提供某些数据以解锁关联的数字资产。锁定脚本在比特币中也称为“scriptPubKey”。要求一方提供数据以解锁数字资产的技术涉及将数据的哈希嵌入锁定脚本中。然而，在创建锁定脚本时如果没有确定(例如不知道且不固定)数据，这会带来问题。

发明内容

因此，期望提供一种在一个或更多个方面改进分布式计算系统的方法和系统。现已设计出这种改进的方案。因此，根据本发明，提供了如所附权利要求中所限定的方法。

因此，期望提供一种计算机实现的方法，该计算机实现的方法包括：向一组独立的计算机系统提供任务，所述独立的计算机系统能够竞争以提供所提供任务的结果，所述任务指定要执行的计算；以及通过至少以下方式，在证实计算机系统处，证实计算由所述一组独立计算机系统中的工作方计算机系统正确地执行，所述计算基于具有一组乘法门的电路：生成评估密钥；向工作方计算机系统提供所述评估密钥；从所述工作方计算机系统接收证明，所述证明至少部分地基于所述评估密钥；生成证实密钥；以及使用所述证明和所述证实密钥证实计算是正确的。

证实密钥基于到所述一组乘法门的输入和所述一组乘法门的输出中的一个或更多个。在实施方式中，证实密钥是公共证实密钥，且公共证实密钥可由计算机系统发布。

证明可至少部分地基于所述乘法门的一组中间输出。在实施方式中，一组中间输出排除了电路的最终输出。

证明可至少部分地基于公共评估密钥。

证明和证实密钥可至少部分地基于生成不同群组的第一生成器和第二生成器。

优选地，该方法还可以包括：证实所述证明的元素与所述评估密钥的元素一致。在实施方式中，可以以如下方式确定评估密钥，其中i代表电路内部导线的索引，deg(t)是多项式t(x)的次数，deg(t)等于电路中乘法门的数量：

优选地，该方法还可以包括：证实所述证明的元素是使用匹配系数而构造的。在实施方式中，以如下方式针对V_mid(s)P、W_mid(s)Q和Y_mid(s)P确认匹配系数：

以及

优选地，该方法还可以包括：证实对所述证明的项的可除性要求。在实施方式中，证实实体通过进行以下确认来确认满足了可除性要求：

其中

以及

工作方计算机系统可以提供与所述电路的输入和输出值相对应的一组I/O值。在实施方式中，I/O数据是工作方计算机系统评估的函数的输入和输出。

电路可以包括一个或更多个加法门，所述加法门以其对所述乘法门的贡献来建模。在实施方式中，电路可被视为一组乘法门和加法门，其中电路包含连接到d个乘法门的m个导线，且加法门以其对乘法门的贡献来建模。

计算可以是比特币交易验证的一部分，或在其他实施方式中，计算可以是区块链交易验证的一部分。

至少通过以下步骤来证实所述计算是正确的：向证实计算机系统提供所述证明、所述证实密钥和一组I/O值；以及从所述证实计算机系统接收所述计算是正确的的指示。在实施方式中，该指示是表示计算是正确的可加密证实的指示，比如以证实计算机系统关联的密钥生成的数字签名。

证实计算机系统可以是区块链节点或比特币节点。

期望提供一种系统，包括：处理器；和存储器，包括可执行指令，作为被所述处理器执行的结果，所述可执行指令使所述系统执行所声称所述的方法中的任意方法。

还期望提供一种非暂时性计算机可读存储介质，其上存储有可执行指令，作为被计算机系统的一个或更多个处理器执行的结果，所述可执行指令使所述计算机系统至少执行所声称的方法中的任意方法。

附图说明

通过在此描述的实施方式，本发明的这些和其他方面将变得明显，且将参考在此所述的实施方式阐述本发明的这些和其他方面。现在参考附图仅作为示例描述本发明的实施方式，在附图中：

图1示出了可以在其中实现各种实施方式的区块链环境；

图2是示出了如下过程的示例的泳道图，该过程在被客户端计算机系统和工作方计算机系统执行时，使得客户端能够根据实施方式使用证明π和证实密钥V_K来证实工作方执行的工作；

图3示出了根据实施方式的表示算术函数的电路的示例；

图4是示出如下过程的示例的流程图，根据实施方式该过程在被客户端计算机系统执行时，确定证实密钥V_K；

图5是示出如下过程的示例的流程图，根据实施方式该过程在被客户端计算机系统执行时，使用证明π证实工作方计算机系统执行的计算；以及

图6示出了可以在其中实现各种实施方式的计算环境。

具体实施方式

在分布式计算环境中，可以将单个任务划分为多个子任务，这些子任务可以分布在多个计算机系统中用于执行。多个计算机系统中的每一个可以执行一个或更多个子任务。在各个示例中，由各个计算机系统产生的结果由协调计算机系统累加和汇总，以产生原单个任务的结果。因此，在许多实施方式中，协调计算机系统有兴趣确定每个子任务被正确执行，从而针对原单个任务产生的结果是正确的。这在被分配了子任务的各个计算机系统不能被协调计算机系统完全信任的情况下，尤其成问题。本文中描述的系统和方法允许证实计算机系统以加密方式证实另一计算机系统执行的工作，即使该另一计算机系统可能是不受信任的计算机系统。这允许协调计算机系统将工作分配到不一定受信任的更广泛的一组计算机系统，这是因为可以对生成的工作进行加密证实，而无需再现分配的子任务。

本文通过各种示例描述了可对不受信任的工作方计算机系统的工作进行证实的过程。在一些实施方式中，可以将分配至工作方计算机系统的工作视为逻辑电路的一部分，并且证实与该电路的一些或全部相关联的工作允许证实方继续进行与该逻辑电路有关的其他子任务。在一些实现方式中，使用区块链交换与子任务的执行和证实有关的信息。然而，本文描述的方法适用于任何分布式计算环境，在其中需要证实实体来确认由一个或更多个不受信任的计算机系统执行的工作。

在本文档中可以使用以下符号。数学群组可以使用双重

字母表示，例如

群组生成器可以用手写体字母表示，例如

例如，给定一个群组

如果

可以说

生成

双重

字母可用于表示字段。例如，

可用于表示特征p的有限字段，而

可用于表示

的次k的扩展字段，其中k是非零整数。由非零元素组成的子集

可以写为

在另一个示例中，对于质数p，

且

在另一个示例中，E是有限字段

(相应地

)上的椭圆曲线，r阶阿贝尔子群组

(相应地

)可以写为

(相应地

)。从集合X中随机采样的元素x可以表示为

符号

可用于表示有效的可计算双线性图，其中

和

是相同质数r阶的循环群组。

和

是加法群组，

是乘法群组。算术运算以r为模执行。

本文描述了利用二次算术规划(“QAP”)的一个或更多个实施方式。在各种实施方式中，一般计算在质数r阶的字段

上被编码为一组多项式运算。在一个示例中，

其中v_i,w_i,y_i,t∈次为deg(v_i),deg(w_i),deg(y_i)<deg(t)＝d的

多项式。参考前面的示例，可以通过以下陈述来描述QAP：Q的大小为m(m表示内部导线的数量)，并且Q的次是t的次d，其中d是乘法门的数目。在另一个示例中，令

成为QAP。在t除

的情况下，元组(a₀,...,a_m)是Q的解。多项式

将左输入编码到每个乘法门，多项式

将右输入编码到每个乘法门，多项式

对输出进行编码。

首先参考图1，其示出了根据本公开的实施方式的与区块链相关联的示例性区块链网络100。在该实施方式中，示例性区块链网络100包括被实现为点对点分布式电子设备的区块链节点，每个节点运行软件和/或硬件的实例，该软件和/或硬件的实例执行遵循区块链协议的操作，该区块链协议至少部分地在节点102的操作方之间达成一致。在一些示例中，“节点”是指在区块链网络中分布的点对点电子设备。区块链协议的一个例子是比特币协议。

在一些实施方式中，节点102可以包括任何合适的计算设备(例如，通过数据中心中的服务器，客户端计算设备(例如，台式计算机、膝上型计算机、平板计算机、智能手机等)，计算资源服务提供商的分布式系统中的多个计算设备，或通过任何合适的电子客户端设备，诸如图6的计算设备600)。在一些实施方式中，节点102具有输入以接收代表所提议的交易(例如交易104)的数据消息或对象。在一些实施方式中，可在节点查询其所维护的信息，例如交易104状态的信息。

如图1所示，一些节点102通信地耦合到一个或更多个其他节点102。这种通信耦合可以包括有线或无线通信中的一个或更多个。在实施方式中，节点102各自维护区块链中所有交易的“账本”的至少一部分。以这种方式，账本将是分布式账本。由影响账本的节点处理的交易可由一个或更多个其他节点证实，从而维护账本的完整性。

关于哪些节点102可以与哪些其他节点通信，使得示例区块链网络100中的每个节点能够与一个或更多个其他节点102通信就足够了，从而在节点之间传递的消息可以遍历示例区块链网络100(或网络的某些重要部分)而传播--假设该消息是区块链协议指示应转发的消息。一个这样的消息可以是节点102之一(比如节点102A)发布所提议的交易，然后其沿着路径比如路径106传播。另一个这样的消息可以是发布新区块--该新区块是被提议包括进区块链中的。

在实施方式中，至少一些节点102是执行复杂的计算比如求解加密问题的矿工节点。求解加密问题的矿工节点为区块链创建新区块，并将该新区块广播到节点102中的其他节点。节点102中的其他节点证实矿工节点的工作，并在证实后将区块接受到区块链中(例如，通过将其添加到区块链的分布式账本中)。在一些示例中，区块是一组交易，通常用前一个区块的时间戳和“指纹”(例如，哈希)标记。通过这种方式，每个区块都可以链接到先前的区块，从而在区块链中创建链接区块的“链”。在实施方式中，通过节点102的共识将有效区块添加到区块链。此外，在一些示例中，区块链包括一列已验证区块。

在实施方式中，至少一些节点102作为如本公开所述验证交易的验证节点操作。在一些示例中，交易包括提供数字资产(例如，许多比特币)所有权的证明的数据以及用于接受或转移数字资产所有权/控制权的条件。在一些示例中，“解锁交易”是指将由先前交易的未耗用交易输出(UTXO)指示的数字资产的至少一部分重新关联(例如，转移所有权或控制权)到与区块链地址相关联的实体的区块链交易。在一些示例中，“先前交易”是指包含由解锁交易所引用的UTXO的区块链交易。在一些实施方式中，交易包括“锁定脚本”，该“锁定脚本”以在转移(“解锁”)所有权/控制权之前必须满足的条件来阻碍交易。

在一些实施方式中，区块链地址是一串字母数字字符，其与将数字资产的至少一部分的控制权正被转移/重新关联到其的实体相关联。在一些实施方式中实现的一些区块链协议中，与该实体相关联的公共密钥与区块链地址之间存在一一对应的关系。在一些实施方式中，交易的验证涉及验证在锁定脚本和/或解锁脚本中指定的一个或更多个条件。在成功验证交易104之后，验证节点将交易104添加到区块链并将其分发给节点102。

图2是示出了如下过程的示例的泳道图，如果该过程由客户端计算机系统和工作方计算机系统执行，则该过程允许客户端根据实施方式使用证明π和证实密钥V_K来证实工作方执行的工作。过程200(或所描述的任何其他过程，或这些过程的变型和/或组合)中的一些或全部可以在配置有可执行指令和/或其他数据的一个或更多个计算机系统的控制下执行，并且可以作为在一个或更多个处理器上共同执行的可执行指令来实施。可执行指令和/或其他数据可以存储在非暂时性计算机可读存储介质上(例如，永久存储在磁、光或闪存介质上的计算机程序)。

例如，过程200的一些或全部可以由一个或更多个计算设备(例如，由数据中心中的服务器，由客户端计算设备，由计算资源服务提供商的分布式系统中的多个计算设备，或通过任何合适的电子客户端设备，例如图6的计算设备600)来执行。

在各种实施方式中，客户端计算机系统提交将由工作方计算机系统执行的计算。客户端计算机系统可能不完全信任工作方计算机系统，因此，工作方计算机系统提供信息以允许客户端计算机系统或另一个受信任的证实计算机系统证实工作方计算机系统执行的计算是正确的。

在许多示例中，客户端不完全信任工作方计算机系统，因此，为了满足客户端计算机系统，工作方计算机系统会提交允许客户端计算机系统证明计算被正确执行的信息。在一些实施方式中，由客户端计算机系统信任的证实计算机系统执行对工作方计算机系统执行的工作的证实。

在各种实施方式中，公共证实密钥参数V_K、证明π和I/O数据被用来证实由不受信任的工作方计算机系统提供的所声称的正确计算的证明。在各种实施方式中，证实计算机系统从客户端计算机系统和不受信任的工作方计算机系统收集在证实过程中使用的材料，并代表客户端计算机系统执行证实。在实施方式中，由不受信任的工作方计算机系统执行的计算的证实发生在交易的验证期间，因此证实计算系统可以是任何比特币节点或区块链节点。

该过程在框202处开始，其中客户端计算机系统识别将由工作方计算机系统评估的函数。在框204，客户端计算机系统为提交给工作方计算机系统的功函数构造评估密钥E_K。在框206处，客户端计算机系统生成可用于证实工作方计算机系统执行的工作的证实密钥V_K。在框208，客户端计算机系统将函数和评估密钥E_K提交给工作方计算机系统。

在实施方式中，如下完成对公共评估密钥E_K的构造。

在上述实施方式中，i代表电路内部导线的索引，deg(t)是多项式t(x)的次数，deg(t)等于电路中乘法门的数量。对于图3所示的电路，公共评估密钥E_K如下：

在框210处，工作方计算机系统从客户端计算机系统接收评估密钥E_K和描述要执行的函数的信息。工作方计算机系统评估客户端计算机系统请求的函数，并构造212证明π，该证明π可用于证实工作方计算机系统执行的计算。在框214，工作方计算机系统将证明π和计算的I/O数据提供给客户端计算机系统。在实施方式中，I/O数据是工作方计算机系统正在评估的函数的输入和输出。

在框216，客户端计算机系统从工作方计算机系统接收I/O数据和证明π。在框218，客户端计算机系统使用来自V_K、π和I/O数据的元素来证实由工作方计算机系统执行的计算。

注意，在202-218中执行的一个或更多个操作可以以各种顺序和组合(包括并行地)执行。

注意，在描述公开的实施方式的上下文中，除非另有说明，否则，使用关于可执行指令(也称为代码，应用程序，代理等)执行操作(即，“指令”通常不独立执行的操作(例如传输数据、计算等))的表达表示指令正在由机器执行，从而使得机器执行指定的操作。

在Gennaro，R.等人题为“Quadratic Span Programs and Succinct NIZKswithout PCPs”的论文中(2013)，描述了一种基于二次算术规划的用于可证实计算的协议。在该协议中，电路将n个元素作为输入，并生成n′个元素的输出，总共N＝n+n′个IO元素(或I/O数据)。可以将电路视为一组乘法和加法门，其中电路包含连接到d个乘法门的m个导线，并且对加法门以其对乘法门的贡献进行建模。

为了使证实实体证明输入/输出导线上的分配(a₁,a₂,...,a_N)是有效的，证明存在与内部导线上的分配相对应的系数(a_N+1,...,a_m)就足够了，这使得多项式p(x)的根为(x₁,x₂,...,x_d)，即p(x_i)_i＝1...d＝0。多项式p(x)对门方程和导线值进行编码。因此，存在一个多项式h(x)，其中p(x)＝h(x)·t(x)，其中

如果

为了证明t能除

证明方在未知点s上计算商多项式

并使用双线性映射来检查p(s)＝t(s)·h(s)。在各种示例中，将执行附加证实，以确保工作方计算机系统正确地并入了输入(a₁,A₂,...,a_n)，以及工作方计算机系统使用客户端的评估密钥E_K生成证明。

其中

是选定根值的集合，多项式

可表示为拉格朗日多项式的总和，即

对于生成器

和

使用随机

生成的证实密钥V_K为：

证明包含以下元素：

在V_K、π和(a₁,a₂,...,a_N)的实施方式中，证实计算机系统证实t(x)能除p(x)，因此(x_N+1,...,x_m)＝f(x₀,...,x_N)，如下所示。首先，证实计算机系统通过进行以下确认来检查三个α项：

其中

以及

然后，证实计算机系统通过确认以下来检查项β：

以及

另外，证实方通过确认以下内容来确认满足可除性要求：

其中

以及

图3示出了根据实施方式的表示算术函数的电路的示例。图3所示的电路代表函数302：

f(a₁,a₂,a₃,a₄)＝a₁+a₂a₃(a₃+a₄)

在电路中，每个导线值都来自质数域阶字段

并且在该字段上执行所有操作。多项式根据其在三个乘法门304、308和312处的评估而被定义。加法门306和310利用其对乘法门的贡献而被建模。该电路产生输出值314。

当输入值a₁,a₂,a₃,a₄被分配给电路时，工作方计算机系统确定相应的输出值。例如，在输入

上，工作方评估电路以获得与每个乘法门304、308和312的输出值相对应的集合(a₅,a₆,a₇)

将设置为1的虚拟输入导线a₀添加到电路。对于电路中的每个乘法门304、308和312，选择不同的根值

因此，对于图3所示的电路，随机选择三个值

并将目标多项式t(x)设置为：

t(x)＝(x-x₅)(x-x₆)(x-x₇)

在实施方式中，多项式{v_i(x)}表示乘法门的左输入，多项式{w_i(x)}表示乘法门的右输入，多项式{y_i(x)}表示电路的输出值。对于图3所示的示例电路，多项式{v_i(x)},{w_i(x)},{y_i(x)}的显式表达式如下：

左输入多项式{v_i(x)}

v₁(x)＝v₃(x)＝v₄(x)＝v₆(x)＝v₇(x)＝0

右输入多项式{w_i(x)}

w₀(x)＝w₂(x)＝w₅(x)＝w₇(x)＝0

输出多项式{y_i(x)}

y₀(x)＝y₁(x)＝y₂(x)＝y₃(x)＝y₄(x)＝0

在实施方式中，

和

是

和

的生成器，使得

并且

另外，考虑非对称配对，即

并且

(相应地

)被当作

(相应地

)的(r阶)子群组。密钥生成处理包括随机元素：

其中r_y＝r_v·r_w.

在图3所示的示例中，公共证实密钥V_K可被确定为：

在实施方式中，公共证实密钥被实现为具有各自表示不同分量的子序列的比特序列，然而将分量编码为公共证实密钥的不同方式被视为落在本公开的范围内。

证明π包含以下元素：

其中(h₀,h₁,h₂,h₃)是工作方评估的多项式h(x)的系数，而h(x)＝h₀+h₁x+h₂x²+h₃x³。在实施方式中，证明被实现为具有子序列的比特序列，每个子序列表示证明的不同分量，然而将分量编码成证明的不同方式被认为在本公开的范围内。元素集合χ属于公共评估密钥E_K。

在实施方式中，以下等式用于证实所声称的证明π。给定证实密钥V_K、证明π和IO值a_i＝{a₀,a₁,a₂,a₃,a₄,a₇}，证实算法首先检查

和

是使用来自评估密钥E_K的元素构造的。即，协议首先证实以下等式(1)至(3)。

其次，证实计算机系统检查是否在

和

中使用相同的系数a_mid＝{a₅,a₆}。在实施方式中，证实计算机系统通过证实下面的等式(4)来实现这一点。

另外，证实计算机系统结合承诺中的项对证明项h(x)进行可除性检查。即，证实计算机系统证明：

通过进行以下确认来该证明：

图4是示出如下过程的示例的流程图，根据实施方式该过程如果由客户端计算机系统执行，则确定证实密钥V_K。过程400(或所描述的任何其他过程，或这些过程的变化和/或组合)中的一些或全部可以在配置有可执行指令和/或其他数据的一个或更多个计算机系统的控制下执行，并且可以实现为在一个或更多个处理器上共同执行的可执行指令。可执行指令和/或其他数据可以存储在非暂时性计算机可读存储介质上(例如，永久存储在磁、光或闪存介质上的计算机程序)。

例如，过程400的一些或全部可以由一个或更多个计算设备(例如，由数据中心中的服务器，由客户端计算设备，由计算资源服务提供商的分布式系统中的多个计算设备，或通过任何合适的电子客户端设备、例如图6的计算设备600)来执行。

在各种实施方式中，客户端计算机系统提交要由工作方计算机系统执行的计算。客户端计算机系统可能不完全信任工作方计算机系统，因此，工作方计算机系统提供这样的信息，该信息允许客户端计算机系统或另一个受信任的证实计算机系统来证实工作方计算机系统执行的计算是正确的。在许多示例中，客户端不完全信任工作方计算机系统，因此，为了满足客户端计算机系统，工作方计算机系统向客户端计算机系统提供这样的信息，该信息允许客户端计算机系统证明工作方计算机系统执行的计算是正确的。在各种实施方式中，公共证实密钥参数V_K、证明π和I/O数据被用于证实由工作方计算机系统提供的正确计算的所声称的证明。流程图400示出了用于生成证实密钥V_K的过程。

在实施方式中，在框402处，客户端计算机系统识别将由不受信任的工作方计算机系统执行的函数F。函数F将n个值作为输入。客户端计算机系统生成与该函数相对应的电路模型，其中该电路由一组乘法门和加法门组成。在框404，客户端计算机系统识别电路中的乘法门。

在实施方式中，在框406，客户端计算机系统随机选择与电路中每个乘法门的输出相对应的根值。在具有m个乘法门的电路中，客户端计算机系统选择m个根值(x_n+1...x_n+m)。

在实施方式中，在框408处，客户端计算机系统使用所选择的根植(x_n+1...x_n+m)确定对应于电路的目标多项式t(x)＝(x-x_n)(x-x_n+1)...(x-x_n+m)。在框410处，客户端计算机系统确定乘法门的左输入{v_i(x)}，乘法门的右输入{w_i(x)}以及乘法门的输出值{y_i(x)}。

在实施方式中，在框412处，客户端计算机系统从质数阶r的字段中选择用于退化(degeneration)的随机元素r_v,r_w,s,α_v,α_w,α_y,β,γ，使得r_y＝r_v·r_w。

在实施方式中，在框414，客户端计算机系统确定公共证实密钥V_K。令

和

为

和

的生成器，使得

且

应注意，(i)我们考虑不对称配对，即

和(ii)

(相应地

)作为

(相应地

)的(r阶)子群组。给定生成器

和

使用随机

生成的证实密钥V_K如下：

注意，可以以各种顺序和组合(包括并行地)执行在202-214中执行的一个或更多个操作。

注意，在描述公开的实施方式的上下文中，除非另有说明，否则，使用关于可执行指令(也称为代码、应用程序、代理等)执行操作(即，“指令”通常不独立执行的操作(例如传输数据、计算等))的表达表示指令正在由机器执行，从而使得机器执行指定的操作。

图5是示出了如下过程的示例的流程图，根据实施方式，该过程如果由客户端计算机系统执行，则使用证明π来证实由工作方计算机系统执行的计算。过程500(或所描述的任何其他过程，或这些过程的变型和/或组合)中的一些或全部可以在配置有可执行指令和/或其他数据的一个或更多个计算机系统的控制下执行，并且可以实现为在一个或更多个处理器上共同执行的可执行指令。可执行指令和/或其他数据可以存储在非暂时性计算机可读存储介质上(例如，永久存储在磁、光或闪存介质上的计算机程序)。

例如，过程500的一些或全部可以由一个或更多个计算设备(例如，由数据中心中的服务器，由客户端计算设备，由计算资源服务提供商的分布式系统中的多个计算设备，或通过任何合适的电子客户端设备、例如图6的计算设备600)来执行。

在各种实施方式中，客户端计算机系统提交要由工作方计算机系统执行的计算。客户端计算机系统可能不完全信任工作方计算机系统，因此，工作方计算机系统提供这样的信息，该信息允许客户端计算机系统或另一个受信任的证实计算机系统来证实工作方计算机系统执行的计算是正确的。在许多示例中，客户端不完全信任工作方计算机系统，因此，为了满足客户端计算机系统，工作方计算机系统向客户端计算机系统提供这样的信息，该信息允许客户端计算机系统证明工作方计算机系统执行的计算是正确的。在各种实施方式中，公共证实密钥参数V_K、证明π和I/O数据被用于证实由工作方计算机系统提供的正确计算的所声称的证明。流程图500示出了使用工作方计算机系统提供的证明π证实工作方计算机系统执行的计算的过程。

在实施方式中，在框502，客户端计算机系统从工作方计算机系统接收证明π和I/O数据。证明包括以下内容：

在实施方式中，在框504，客户端计算机系统开始确认工作方计算机系统执行的工作是正确的过程。客户端计算机系统确认使用来自评估密钥E_K的元素构造r_vV_mid(s)P、r_wW_mid(s)Q和r_yY_mid(s)P，如下所示：

其中，

以及

在框506，客户端计算机系统确认对Vmid(s)P、Wmid(s)Q和Ymid(s)P使用匹配系数，如下所示：

以及

在框508，客户端计算机系统将来自承诺的项进行组合以对证明项h(x)执行可除性检查，如下所示：

其中

以及

如果以上检查成功，则客户端计算机系统确定由工作方计算机系统执行的计算正确，并且客户端计算机系统可以信任工作方计算机系统提供的结果。

注意，可以以各种顺序和组合(包括并行地)执行在502-508中执行的一个或更多个操作。

本文描述了增强和扩展区块链的能力的系统和方法。各种实施方式允许用户在公共区块链上安全地列出和交换权利，并集成几乎完整的匿名数字交易。各种实施方式可用于提供针对以下问题的解决方案：(i)公共参考字符串(CRS)和工作方的证明(π)存储问题，(ii)解锁脚本和CRS之间以及解锁脚本和π之间的相互作用。

可以使用各种实施方式来提供智能合约的安全、紧凑的表示：智能合约可以遵循使用诸如XML派生、FpML之类的特殊语言的格式化的约定。可使用各种实施方式将合约执行外包给不受信任的各方，或者公开地证实合约执行的正确性。合约验证可能并不意味着代码会重新执行。计算可能不被网络中的每个节点复制。在一些实施方式中，诚实执行的证明被存储在公共区块链中并用于验证目的。

图6是可用于实践本公开的至少一个实施方式的计算设备600的示例性简化框图。在各种实施方式中，计算设备600可以用于实现如上所示和描述的系统中的任何一个。例如，计算设备600可以被配置为用作数据服务器、网络服务器、便携式计算设备、个人计算机或任何电子计算设备。如图6所示，计算设备600可以包括一个或更多个处理器602，其在实施方式中经由总线子系统604与多个外围子系统通信并且可操作地耦合到多个外围子系统。在一些实施方式中，这些外围子系统包括存储子系统606(包括存储器子系统608和文件/磁盘存储子系统610)、一个或更多个用户接口输入设备612、一个或更多个用户接口输出设备614以及网络接口子系统616。该存储子系统606可以用于信息的临时或长期存储。

在一些实施方式中，总线子系统604提供用于使计算设备600的各个组件和子系统能够按预期彼此通信的机制。尽管总线子系统604被示意性地示出为单个总线，但是总线子系统的替代实施方式利用多个总线。在一些实施方式中，网络接口子系统616提供到其他计算设备和网络的接口。网络接口子系统616在一些实施方式中用作从其他系统接收数据以及从计算设备600向其他系统发送数据的接口。在一些实施方式中，总线子系统604用于传送诸如细节、搜索项等的数据。

在一些实施方式中，用户接口输入设备612包括一个或更多个用户输入设备，例如键盘；指向设备，例如集成鼠标、轨迹球、触摸板或图形输入板；扫描仪；条形码扫描仪；并入显示器中的触摸屏；音频输入设备，例如语音识别系统，麦克风；和其他类型的输入设备。通常，术语“输入设备”的使用旨在包括用于向计算设备600输入信息的所有可能类型的设备和机制。在一些实施方式中，一个或更多个用户接口输出设备614包括显示子系统、打印机或非视觉显示器比如音频输出设备等。在一些实施方式中，显示子系统包括阴极射线管(CRT)、平板设备例如液晶显示器(LCD)、发光二极管(LED)显示器或投影或其他显示设备。通常，术语“输出设备”的使用旨在包括用于从计算设备600输出信息的所有可能类型的设备和机制。一个或更多个用户接口输出设备614可以用于例如呈现用户接口，以便利于用户与执行所述处理和其中变型的应用交互—在这样的交互适当时。

在一些实施方式中，存储子系统606提供用于存储基本编程和数据结构的计算机可读存储介质，该基本编程和数据结构可以提供本公开的至少一个实施方式的功能性。当在实施方式中由一个或更多个处理器执行时，应用程序(程序、代码模块、指令)提供本公开的一个或更多个实施方式的功能性，并且在实施方式中被存储在存储子系统606中。这些应用程序模块或指令可以由一个或更多个处理器602执行。在各种实施方式中，存储子系统606另外地提供了用于存储根据本公开使用的数据的存储库。在一些实施方式中，存储子系统606包括存储器子系统608和文件/磁盘存储子系统610。

在实施方式中，存储器子系统608包括多个存储器，比如用于在程序执行期间存储指令和数据的主随机存取存储器(RAM)618和/或可以存储固定指令的只读存储器(ROM)620。在一些实施方式中，文件/磁盘存储子系统610为程序和数据文件提供非暂时性的永久性(非易失性)存储，并且可以包括硬盘驱动器、软盘驱动器以及关联的可移除介质、紧凑型盘只读存储器(CD-ROM)驱动器、光盘驱动器、可移除介质盒以及其他类似的存储介质。

在一些实施方式中，计算设备600包括至少一个本地时钟624。本地时钟624在一些实施方式中是表示从特定开始日期开始发生的滴答数的计数器，并且在一些实施方式中一体地位于计算设备600内。在各种实施方式中，本地时钟624用于以特定的时钟脉冲来同步计算设备600的处理器和其中所包括的子系统的处理器中的数据转移，并且可以用于协调计算设备600与数据中心中的其他系统之间的同步操作。在一实施方式中，本地时钟是可编程间隔计时器。

计算设备600可以是各种类型中的任意类型，包括便携式计算机设备、平板计算机、工作站或以下描述的任何其他设备。另外，计算设备600可以包括另一设备，在一些实施方式中该另一设备可以通过一个或更多个端口(例如，USB、耳机插孔、闪电连接器等)连接到计算设备600。在实施方式中，这样的设备包括接受光纤连接器的端口。因此，在一些实施方式中，该设备将光信号转换为电信号，该电信号可以通过将设备连接至计算设备600的端口进行传输以进行处理。由于计算机和网络的不断变化的性质，因此对图6所描绘的计算设备600的说明仅用作具体示例，用以示出设备的优选实施方式。具有比图6所示系统更多或更少组件的许多其他配置也是可以的。

相应地，说明书和附图应以示例性角度而不是限制性角度来理解。然而，明显的是，可对本发明进行各种修改和变化，而不脱离权利要求中阐述的本发明的范围。类似地，其他变化也在本公开的范围内。因此，所公开的技术可进行各种修改和替代性构造，而特定的所示实施方式在附图中示出且在以上进行了详细描述。然而，应理解，没有意图将本发明限制到所公开的具体形式，相反，本发明意在覆盖落入所附权利要求限定的本发明范围内的所有修改、替代性构造和等同物。

在描述所公开的实施方式的上下文中(特别是在所附权利要求的上下文中)术语“a”和“an”以及“the”、以及类似指代的使用应被解释为涵盖单数形式和复数形式，除非另有说明或与上下文明显矛盾。除非另有说明，否则术语“包括(comprising)”，“具有(having)”，“包括(including)”和“包含(containing)”应被解释为开放式术语(即，意思是“包括但不限于”)。术语“连接”在没有修改且指代物理连接时，应被理解为部分地或全部地包含在其中、附接到或结合在一起，即使有事物介入其间。在本公开中提到值的范围意图是：仅用于分别提到落入该范围内的各个单独值的快捷方式，除非另有说明，且每个单独值被包括在说明书中，就如同其被单独提起一样。术语“集”(比如“项目的集合”)或“子集”的使用应被理解为包括一个或更多个成员的非空集合，除非另有说明或与上下文矛盾。此外，术语对应集合的“子集”不必然表示对应集合的适当子集，而是：子集和对应集合可以是等同的，除非另有说明或根据上下文矛盾。

除非另有明确说明或与上下文明显矛盾，否则应按通常使用的上下文来理解连词语言比如下面形式的短语“A、B和C中的至少一个”或“A、B和C中的至少一个”，从而呈现出：项目、术语等可以是A、B或C，或A和B和C的集合中的任何非空子集。例如，在具有三个成员的集合的说明性示例中，连词短语“A，B和C中的至少一个”和“A，B和C中的至少一个”是指以下任意集合：{A}，{B}，{C}，{A，B}，{A，C}，{B，C}，{A，B，C}。因此，这种连词语言通常不意在表明特定实施方式需要至少一个A、至少一个B以及至少一个C各自都存在。

所描述的过程的操作可以以任何合适的顺序执行，除非另外指出或与上下文明显矛盾。可以在配置有可执行指令的一个或更多个计算机系统的控制下执行所描述的过程(或其变形和/或组合)，并且可以将其实现为代码(例如，可执行指令，一个或更多个计算机程序或一个或更多个应用程序)通过硬件或其组合在一个或更多个处理器上共同执行。在一些实施方式中，该代码可以例如以计算机程序的形式存储在计算机可读存储介质上，该计算机程序包括可由一个或更多个处理器执行的多个指令。在一些实施方式中，计算机可读存储介质是非暂时性的。

所提供的任何和所有示例或示例性语言(例如，“比如”)的使用仅旨在更好地阐明本发明的实施方式，并且不构成对本发明范围的限制，除非另有声明。说明书中的任何语言都不应解释为指示：任何未要求保护的要素对于实施本发明必不可少。

描述了本公开的实施方式，包括发明人已知用于执行本发明的最佳模式。通过阅读前述说明，那些实施方式的变型对于本领域技术人员而言将变得明显。发明人期望熟练的技术人员适当地采用这样的变型，并且发明人希望本公开的实施方式可以以不同于具体描述的方式来实践。因此，本公开的范围包括适用法律所允许的所附权利要求中记载的主题的所有修改和等同物。而且，除非另外指出或与上下文明显矛盾，否则上述元件在其所有可能的变化中的任何组合都被本公开的范围涵盖。

所引用的所有参考文献，包括出版物、专利申请和专利，均通过引用并入本文，其程度如同：每个参考文献被单独具体指示为通过引用并入，且其整体被阐述。

应当注意，上述实施方式说明而不是限制本发明，并且本领域技术人员将能够设计许多替代实施方式而不脱离由所附权利要求限定的本发明的范围。在权利要求中，括号中的任何附图标记都不应被理解为是对权利要求的限制。词语“包括”(“comprising”和“comprises”)等不排除还存在任何权利要求或说明书作为一个整体列出的元件或步骤之外的其他元件或步骤。在本说明书中，“包括”是指“包括或由……组成”。元件的单数形式并不排除此类元件的复数形式，反之亦然。本发明可以通过包括若干不同元件的硬件以及通过适当编程的计算机来实现。在列举若干装置的设备权利要求中，这些装置中的若干个可以由一项且同一项硬件来实现。在互不相同的从属权利要求中记载某些措施这一事实并不意味着不能有利地使用这些措施的组合。

综述

本公开中描述和提议的技术通过使用公共证实密钥参数V_K和I/O数据来证实第三方提供的证明π，改进了计算领域，尤其是确认第三方计算机系统执行的计算的正确性的领域。另外，本公开所描述和提议的技术通过使计算能够在不受信任的第三方计算机系统网络中分布，改进了计算系统的功能。此外，本公开所描述和提议的技术必植根于计算机技术，从而通过将合约建模为逻辑电路，来克服特别与证实数字合约的性能一起出现的问题。

Claims

1.一种计算机实现的方法，包括：

向一组独立的计算机系统提供任务，所述独立的计算机系统能够竞争以提供所提供任务的结果，所述任务指定要执行的计算；以及

通过至少以下方式，在证实计算机系统处，证实所述计算由所述一组独立计算机系统中的工作方计算机系统正确地执行，所述计算基于具有一组乘法门的电路：

生成评估密钥；

向所述工作方计算机系统提供所述评估密钥；

从所述工作方计算机系统接收证明，所述证明至少部分地基于所述评估密钥；

生成证实密钥；以及

使用所述证明和所述证实密钥证实所述计算是正确的。

2.根据权利要求1所述的计算机实现的方法，其中，所述证实密钥基于到所述乘法门的输入和所述乘法门的输出。

3.根据权利要求1或2所述的计算机实现的方法，其中，所述证明至少部分地基于所述乘法门的一组中间输出。

4.根据权利要求1至3中任一项所述的计算机实现的方法，其中，所述证明至少部分地基于公共评估密钥。

5.根据权利要求1至4中任一项所述的计算机实现的方法，其中，所述证明和所述证实密钥至少部分地基于生成不同群组的第一生成器和第二生成器。

6.根据权利要求1至5中任一项所述的计算机实现的方法，还包括：证实所述证明的元素与所述评估密钥的元素一致。

7.根据权利要求1至6中任一项所述的计算机实现的方法，还包括：证实所述证明的元素是使用匹配系数构造的。

8.根据权利要求1至7中的任一项所述的计算机实现的方法，还包括：证实对所述证明的项的可除性要求。

9.根据权利要求1至8中的任一项所述的计算机实现的方法，其中，所述工作方计算机系统提供与所述电路的输入值和输出值相对应的一组I/O值。

10.根据权利要求1至9中的任一项所述的计算机实现的方法，其中，所述电路包括一个或更多个加法门，所述加法门以其对所述乘法门的贡献来建模。

11.根据权利要求1至10中的任一项所述的计算机实现的方法，其中，所述计算是比特币交易验证的一部分。

12.根据权利要求1至11中的任一项所述的计算机实现的方法，其中，至少通过以下步骤来证实所述计算是正确的：

向证实计算机系统提供所述证明、所述证实密钥和一组I/O值；以及

从所述证实计算机系统接收所述计算是正确的的指示。

13.根据权利要求1至12中的任一项所述的计算机实现的方法，其中，所述证实计算机系统是区块链节点。

14.一种系统，包括：

处理器；和

存储器，包括可执行指令，作为被所述处理器执行的结果，所述可执行指令使所述系统执行权利要求1-13中任一项所述的计算机实现的方法。

15.一种非暂时性计算机可读存储介质，其上存储有可执行指令，作为被计算机系统的处理器执行的结果，所述可执行指令使所述计算机系统至少执行权利要求1-13中任一项所述的计算机实现的方法。