CN111316595A

CN111316595A - 用于保护验证密钥不被更改并验证正确性证明的有效性的系统

Info

Publication number: CN111316595A
Application number: CN201880072801.5A
Authority: CN
Inventors: 亚历山卓·科瓦奇; 西蒙·马蒂奥; 帕特里克·蒙特利斯基; 史蒂芬·文森特
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2017-11-09
Filing date: 2018-10-29
Publication date: 2020-06-19
Also published as: US20210192514A1; EP3707871B1; US11575511B2; JP2023052834A; EP3707623A1; KR20200086281A; WO2019092544A1; KR20200079503A; US11635950B2; ZA202002575B; US20200366492A1; WO2019092561A1; US20210377041A1; JP2021502746A; CN111345004B; SG11202004146WA; US20200348916A1; JP2023182741A; JP2021502634A; SG11202004153UA

Abstract

本发明涉及分布式账本技术，例如，基于共识的区块链。区块链交易可能包括被锁定脚本锁定(encumber)的数字资源，该锁定脚本对使用被锁定资源(例如，转移对被锁定资源的所有权/控制)之前必须满足的一组条件进行编码。工作者(例如，计算机系统)执行一个或多个计算来生成证明，该证明被编码为解锁脚本的一部分。验证算法可以利用证明、验证密钥和附加数据(诸如与工作者相关联的加密材料(例如，数字签名))，来验证交易的数字资产应该被转移。作为该交易的验证结果，任何第三方都能够检验合约是否被执行校正，而不是重新执行该合约，从而节省计算能力。

Description

用于保护验证密钥不被更改并验证正确性证明的有效性的系统

技术领域

本发明通常涉及区块链技术，更具体地，涉及通过利用锁定脚本在区块链上执行零知识(zero-knowledge)协议以保护验证密钥不被更改并验证正确性证明的有效性。本发明进一步利用加密和数学技术来加强与通过区块链网络进行的电子传输相关的安全性。本发明特别适合但不限于在智能合约生成和执行中使用。

背景技术

在本文中，术语“区块链”可指若干种类型的电子的、基于计算机的分布式账本中的任何一种。这些包括基于共识的区块链和交易链技术、许可及未许可的账本、共享账本及其变体。尽管已经提出并开发了其他区块链实现方式，但是区块链技术最广为人知的应用是比特币账本。虽然比特币可以称为本申请中所描述的技术的有用应用，但是出于方便和说明的目的，比特币仅仅是应用于本申请所描述的技术的许多应用中的一个。然而，应当注意的是，本发明不限于与比特币区块链一起使用；包括非商用应用在内的替代的区块链实现方式和协议也落在本发明的范围内。

区块链是一种点对点(peer-to-peer)电子账本，该电子账本被实现为基于计算机的、去中心化的分布式系统，该系统由区块组成，而区块又可以由交易和其他信息组成。在一些示例中，“区块链交易”是指对包括数据和一组条件的字段值的结构化集合进行编码的输入消息，其中，满足这组条件是将字段集写入区块链数据结构的先决条件。例如，就比特币情况而言，每个交易都是对区块链系统中参与者之间数字资产的控制的转移进行编码的数据结构，并且每个交易包括至少一个输入和至少一个输出。在一些实施例中，“数字资产”是指与使用权相关联的二进制数据。数字资产的示例包括比特币、以太坊(ether)和莱特币(Litecoins)。在一些实现方式中，可以通过将数字资产的至少一部分从第一实体重新关联到第二实体来执行数字资产的控制转移。区块链的每个区块可能都包含前一区块的散列，以便将区块链接在一起，以创建一个永久的、不可更改的所有交易的记录，这些交易自区块链创建以来写入区块链。

在一些示例中，“基于堆栈的脚本语言”是指支持各种基于堆栈或面向堆栈的执行模型和操作的编程语言。即，基于堆栈的脚本语言可以利用堆栈。通过使用堆栈，可以将值推送至堆栈顶部，或者从堆栈顶部弹出。对堆栈执行的各种操作会导致将一个或多个数值推送至堆栈顶部或从堆栈顶部弹出。例如，OP_EQUAL操作从堆栈中弹出前两项，将其进行比较，并将结果(例如，在相等的情况下为1，在不相等的情况下为0)推送至堆栈顶部。对堆栈执行的其他操作，例如，OP_PICK，可允许从堆栈顶部以外的位置选择项。在一些实施例使用的某些脚本语言中，可以有至少两个堆栈：主堆栈(main stack)和备用堆栈(alternatestack)。脚本语言的一些操作可以将项从一个堆栈的顶部移动到另一堆栈的顶部。例如，OP_TOALTSTACK将值从主堆栈的顶部移动到备用堆栈的顶部。应当注意的是，在某些情况下，基于堆栈的脚本语言可能不仅限于以严格的后进先出(LIFO)方式进行的操作。例如，基于堆栈的脚本语言可以支持将堆栈中的第n个项复制或移动到顶部的操作(例如，在比特币中分别为OP_PICK和OP_ROLL)。可将以基于堆栈的脚本语言编写的脚本推送至逻辑堆栈，其中可以使用任何合适的数据结构，例如，向量、列表或堆栈，来实现该逻辑堆栈。

为了将交易写入区块链，必须对交易进行“验证”。网络节点(挖矿节点)执行工作，以确保每个交易有效，无效交易则被网络拒绝。一个节点可以具有不同于其他节点的有效性标准。因为区块链的有效性是基于共识的，所以如果大多数节点同意交易是有效的，则该交易被认为是有效的。安装在节点上的软件客户端部分地通过执行未花费的交易输出(UTXO)锁定和解锁脚本对引用UTXO的交易执行该验证工作。如果锁定和解锁脚本的执行评估为真(TRUE)，并且满足其他验证条件(如果适用的话)，则由节点验证该交易。已验证的交易被传播到其他网络节点，随后挖矿节点可以选择将该交易包括在区块链中。因此，为了将交易写入区块链，该交易必须i)由接收该交易的第一节点进行验证(如果交易得到验证，则该节点将该交易中继到网络中的其他节点)；ii)添加到由挖矿节点创建的新区块中；并且iii)被挖矿(即，将交易添加到过去交易的公共账本中)。当区块链添加了足够数量的区块以使交易实际上不可逆转时，该交易被视为已确认。

尽管区块链技术以使用加密货币实现方式而闻名，但数字企业家已经开始探索使用比特币所基于的加密安全系统以及可存储在区块链上的数据来实现新系统。如果区块链能够用于自动化任务和流程，而不仅仅局限于加密货币领域，则将是非常有利的。此类解决方案能够利用区块链的优势(例如，事件的永久防篡改记录、分布式处理等)，同时在其应用中更加通用。

本公开描述了一个或多个基于区块链的计算机程序的技术方面。基于区块链的计算机程序可以是记录在区块链交易中的机器可读且可执行程序。基于区块链的计算机程序可以包括可处理输入以产生结果的规则，然后可以根据这些结果执行动作。当前研究的一个领域是使用基于区块链的计算机程序来实现“智能合约”。与用自然语言编写的传统合约不同，智能合约可以是旨在用于自动执行机器可读合约或协议的条款的计算机程序。

另一与区块链相关的感兴趣的领域是使用‘令牌’(或“彩币”)来表示现实世界实体并且经由区块链对其进行转移。潜在的敏感或秘密项可以由没有可辨别意义或价值的令牌来表示。因此，令牌充当允许从区块链引用现实世界项的标识符。

在实施例中，尽管与特定实体的交互可以在智能合约中的特定步骤进行编码，但智能合约也可以自动执行和自我实施。智能合约是机器可读和可执行的。在一些示例中，自动执行是指成功执行智能合约，以实现UTXO的转移。注意，在这些示例中，能够导致UTXO转移的“实体”是指能够创建解锁脚本而无需证明知道某个秘密的实体。换言之，可以验证解锁交易而无需验证数据源(例如，创建解锁交易的实体)有权访问加密秘密(例如，私有非对称密钥、对称密钥等)。此外，在这样的示例中，自我实施是指使区块链网络的验证节点根据约束来实施解锁交易。在一些示例中，在技术意义上使用的“解锁”UTXO(也称为“花费UTXO”)，是指创建引用UTXO并作为有效执行的解锁交易。

区块链交易输出包括锁定脚本和关于如比特币等数字资产的所有权的信息。锁定脚本也可以称为负载(encumbrance)，其通过指定转移UTXO所需满足的条件来“锁定”数字资产。例如，锁定脚本可要求在解锁脚本中提供某些数据来解锁相关联的数字资产。锁定脚本在比特币中也称为“脚本公钥”。一种要求一方提供数据以解锁数字资产的技术包括在锁定脚本内部嵌入数据的散列。

发明内容

因此，期望提供在这些方面中的一个或多个方面改进区块链技术的方法和系统。现在已经设计出这样一种改进的解决方案。因此，根据本发明，提供了一种如所附权利要求中定义的方法。

现在已经设计出这样一种改进的解决方案。

因此，根据本发明，提供了如所附权利要求中定义的系统和方法。

根据本发明，可以提供一种用于区块链网络的节点的计算机实现的方法，该计算机实现的方法包括：生成交易的交易输出，该交易输出包括数字资产指示和锁定脚本，该锁定脚本对用于转移对数字资产的控制的一组条件进行编码，至少部分地基于验证密钥和证明来确定这组条件的满足；生成该交易的交易输入，该交易输入包括：与交易输出相关联的标识符以及包含该证明的解锁脚本；并且至少部分地基于锁定脚本和解锁脚本来验证这组条件的满足；以及响应于验证这组条件的满足，转移对数字资产的控制。

该验证密钥可以包括第一多个有限域元素，并且该证明包括第二多个有限域元素。

该有限域元素可以是椭圆曲线上的点。

该有限域元素可以以压缩格式编码。

优选地，该方法可以包括客户端利用验证密钥和与该客户端相关联的第一数字证书对该交易输入进行编码，并且工作者利用该证明和与该工作者相关联的第二数字证书对该交易输入进行编码。

该锁定脚本可以包括指令，该指令在解锁脚本未满足这组条件的情况下，为数字资产的提供者收回数字资产。

该解锁脚本还可以包括赎回脚本，其中，该验证密钥和该赎回脚本对足够的信息进行编码，以确定满足这组条件的至少一个子集；并且该锁定脚本对这组条件的一个条件进行编码，该条件为赎回脚本的散列与预定值匹配。

该赎回脚本可以小于或等于预定的最大值，例如，520字节。

该解锁脚本可以包括该验证密钥的一个或多个元素，该赎回脚本可以包括该验证密钥的至少一些剩余元素。解锁脚本和赎回脚本可以共同包括该验证密钥。

交易的锁定脚本、解锁脚本和赎回脚本可以根据基于比特币的协议的支付给脚本散列(P2SH)交易或其变体。

该交易可以根据如比特币协议等基于区块链的协议的标准交易。

诸如锁定脚本和解锁脚本等脚本可以利用基于堆栈的脚本语言中的命令和数据来编码，其中，该命令和数据以后进先出的顺序放置在堆栈上。

这组条件可以包括一个或多个双线性约束。

还期望提供一种系统，包括：处理器；以及包括可执行指令的存储器，该可执行指令由处理器执行使得该系统执行如权利要求所述的任一方法。

还期望提供一种非暂时性计算机可读存储介质，其上存储有可执行指令，该可执行指令由计算机系统的一个或多个处理器执行使得该计算机系统至少执行如权利要求所述的任一方法。

本发明可以被描述为一种验证方法/系统和/或一种用于控制经由区块链交换或转移数字资产的控制方法/系统。在一些实施例中，数字资产是令牌或加密货币的一部分。如下所述，本发明也可以被描述为用于通过区块链网络或平台执行操作的新型、改进的和有利的方式的安全方法/系统。

附图说明

参考本文描述的实施例，本发明的这些和其他方面将变得清楚并得以阐明。现在将参考附图，仅以示例的方式描述本发明的实施例，其中：

图1示出了可以实现各种实施例的区块链环境；

图2示出了根据各种实施例的可用于实现协议的计算环境；

图3示出了适于执行可验证计算的环境的示图；

图4示出了根据实施例的示例图，其中，使用压缩与未压缩编码来表示椭圆曲线上的点，该编码适用于与例如锁定或解锁脚本等区块链脚本一起使用；

图5示出了一个示图，其中，客户端提供验证密钥，以用于对证明进行验证；

图6示出了一个示图，其中，工作者提供验证密钥，以用于对证明进行验证；

图7示出了根据实施例的用于生成赎回脚本的流程700的示图；以及

图8示出了可以用于实践本发明的至少一个实施例的计算设备。

具体实施方式

首先参考图1，其示出了根据本申请的实施例的与区块链相关联的示例区块链网络100。在该实施例中，示例区块链网络100包括被实现为点对点分布式电子设备的区块链节点，每个节点运行软件和/或硬件的实例，该实例执行遵循区块链协议的操作，该区块链协议至少部分地得到节点102的运营商的同意。在一些示例中，“节点”是指分布在区块链网络中的点对点电子设备。区块链协议的一个示例是比特币协议。

在一些实施例中，节点102可以由任何合适的计算设备(例如，由数据中心中的服务器、客户端计算设备(例如，台式电脑、膝上型计算机、平板电脑、智能手机等)、计算资源服务提供商的分布式系统中的多个计算设备或者如图8的计算设备800等任何合适的电子客户端设备)组成。在一些实施例中，节点102具有接收数据消息或对象的输入，该数据消息或对象表示所提议的交易(例如，交易104)。在一些实施例中，可以查询节点以获取其维护的信息，例如，获取交易104的状态信息。

如图1所示，一些节点102通信耦合到一个或多个其他节点102。这种通信耦合可以包括有线或无线通信中的一种或多种。在该实施例中，每个节点102维护区块链中所有交易的“账本”的至少一部分。以这种方式，账本将是分布式账本。由影响账本的节点处理的交易可由一个或多个其他节点验证，从而保持账本的完整性。

至于哪些节点102可以与哪些其他节点通信，假设消息是区块链协议指示应该转发的消息，则示例区块链网络100中的每个节点能够与一个或多个其他节点102通信，使得在节点之间传递的消息可以在示例区块链网络100(或其某个重要部分)中传播，这就足够了。一个这样的消息可能是由一个节点102，例如，节点102A，发布所提议的交易，然后该交易将沿着路径，例如，路径106，传播。另一这样的消息可能是发布提议包含到区块链上的新区块。

在一个实施例中，至少一些节点102是执行如解决加密问题等复杂计算的挖矿节点。解决加密问题的挖矿节点为区块链创建新区块，并将该新区块广播给其他节点102。其他节点102验证挖矿节点的工作，并且在验证后，将该区块接受到区块链中(例如，通过将其添加到区块链的分布式账本中)。在一些示例中，区块是一组交易，通常标记有时间戳和前一区块的“指纹”(例如，散列)。以这种方式，每个区块可以链接到前一区块，从而创建链接区块链中区块的“链”。在实施例中，通过节点102的共识将有效区块添加到区块链。同样在一些示例中，区块链包括已验证区块的列表。

在一个实施例中，至少一些节点102作为验证节点来操作，这些验证节点如本申请所描述的那样验证交易。在一些示例中，交易包括提供数字资产(例如，一些比特币)的所有权证明的数据以及用于接受或转移数字资产的所有权/控制的条件。在一些示例中，“解锁交易”是指将由前一个交易的UTXO指示的数字资产的至少一部分和与区块链地址相关联的实体重新关联(例如，转移所有权或控制)的区块链交易。在一些示例中，“前一个交易”是指包含解锁交易所引用的UTXO的区块链交易。在一些实施例中，交易包括“锁定脚本”，该“锁定脚本”用条件来锁定(encumber)交易，该条件必须在所有权/控制可以被转移(“解锁”)之前被满足。

在一些实施例中，区块链地址是与实体相关联的字母数字字符串，其中对数字资产的至少一部分的控制被转移/重新关联到该实体。在一些实施例中实现的一些区块链协议中，在与实体相关联的公钥和区块链地址之间存在一对一的对应关系。在一些实施例中，交易的验证包括验证锁定脚本和/或解锁脚本中指定的一个或多个条件。在交易104成功验证后，验证节点将交易104添加到区块链，并将其分发给节点102。

本文所述的系统和方法涉及使锁定脚本能够保护验证密钥V_K不被更改并检验证明π的有效性，从而允许在交易验证期间在区块链上执行零知识协议。

可验证计算是一种允许生成计算证明的技术。在一个实施例中，客户端利用这种技术将对输入x上的函数f的评估外包给在本文称为工作者的另一计算实体。在一些情况下，客户端在计算上是有限制的，使得客户端执行函数的评估是不可行的(例如，使用客户端可用计算资源的计算的预期运行时间超过最大可接受阈值)，尽管情况未必如此，但一般而言，客户端可以基于任何合适的标准，例如，计算运行时间、计算成本(例如，分配计算资源以执行函数评估的财务成本)等，来委托对输入x上的函数f的评估。

在一个实施例中，工作者是任何合适的计算实体，例如，在本申请的其他地方更详细描述的区块链节点。在一个实施例中，工作者(例如，区块链节点)评估输入x上的函数f，并生成输出y和输出y的正确性的证明π，该证明可以由其他计算实体(例如，如上所述的客户端)和/或区块链网络的其他节点来验证。证明也可以称为论证，其可以比实际计算更快地验证，因此，通过验证证明的正确性，而不是重新计算在输入x上的函数f来确定由上述工作者生成的输出的正确性，可以减少计算开销(例如，减少供电及运行计算资源相关的电力开销和成本)。在零知识可验证计算中，工作者向客户端提供证据，证明工作者知晓具有特定属性的输入。

零知识证明的一个有效变体是zk_SNARK(简洁非交互式的知识论证)。在一个实施例中，所有基于配对的zk_SNARK包括一个过程，在该过程中，工作者使用通用组操作来计算多个组元素，并且验证者使用多个配对乘积方程来检验证明。在一个实施例中，线性交互式证明在有限域上工作，并且工作者和验证者的消息包括编码、引用或以其他方式包括可用于确定域元素的向量的信息。

在一个实施例中，本文描述的系统和方法允许区块链的挖矿节点执行一次计算(例如，输入x上的函数f的评估)并生成可用于验证输出的正确性的证明，其中，评估该证明的正确性在计算上比评估该函数要便宜。在这种情况下，操作和任务的成本(即，多贵)可以是指执行操作或任务的计算复杂度。在一个实施例中，计算复杂度是指执行排序算法的平均计算成本或最坏情况计算成本，例如，堆排序算法和快速排序算法都具有平均计算成本O(n logn)，但是快速排序具有最坏情况计算成本O(n²)，而堆排序具有最坏情况计算成本O(n logn)。在一个实施例中，评估输入x上的函数f的平均计算成本和/或最坏情况计算成本比评估证明的正确性的平均计算成本和/或最坏情况计算成本要贵。因此，本文描述的系统和方法的使用是非常有利的，并且例如可以允许运行计算上更昂贵的合约，因为这样的合约不会成比例增加验证区块链所需的时间。进一步的优点可以包括减少验证者系统的功耗，从而提高验证者计算机系统的效率，并降低与运行这种验证者计算机系统以评估证明的正确性相关的能源成本。目前，必须在所有节点上执行和验证智能合约，这一约束限制了智能合约的复杂性。本文描述的方法和系统可以用来实现一种通过执行一次合约来生成正确性证明从而提高区块链的效率的系统，并且基于由工作者提供的正确性证明和由客户端提供的验证密钥，区块链的所有节点可以验证合约的有效性。这样，区块链的效率通过增加智能合约的吞吐量得以提高，这些智能合约可以由区块链的节点一起执行和/或允许计算更昂贵的智能合约。

在一个实施例中，可以从输入/输出数据以及在零知识协议的设置阶段生成的并与证明π一起使用的公共参数中提取验证密钥V_K或其部分，以验证由工作者提供的所谓的正确性计算证明。例如，如上文和下文更详细描述的，允许锁定脚本的系统和方法保护验证密钥V_K不被更改并检验证明π的有效性，由此允许零知识协议在交易验证期间在区块链上执行。因此，本申请提供了使用区块链脚本(例如，在基于比特币的网络中)来执行验证阶段的系统和方法，用于存储在计算的验证中所使用的元素。

图2示出了根据各种实施例的可用于实现协议的计算环境200。可以使用区块链技术来实现该协议，以存储正确性证明，并将“按构造正确(correct-by-construction)”的加密方法与智能合约相结合。在一个实施例中，公共可验证计算方案包括三个阶段：设置阶段、计算阶段和验证阶段。

设置阶段可以作为流程的一部分来执行，以外包计算任务的执行。如下所述，客户端可以指将计算任务的执行委托给工作者的实体，例如，客户或客户端计算机系统，该实体可以是不同的计算机系统。一般来说，客户端可以出于各种原因委托计算任务的执行，包括但不限于有限的计算资源、计算资源的缺乏、与利用客户端计算机系统来执行任务相关联的财务成本、与利用客户端计算机系统来执行任务相关联的能源成本(例如，依赖电池供电的移动设备或膝上型电脑可以利用工作者来执行计算密集型任务，从而节省电力并延长电池动力设备的使用)等。

在一个实施例中，设置阶段包含客户端、客户、组织的雇员或任何其他使用具有精确语义的正式语言编写合约的合适的实体。可以用高级编程语言，例如，C或Java等来编写合约。一般来说，合约可以用可转换为由计算机系统操纵的格式的任何语言或语法来表示。在一个实施例中，具有有限目的的域特定语言可以提供类型安全(type-safety)，并且可以利用受限的表达能力。生成的源代码可能是合约的精确描述。

编译器202可以是包括可执行代码的任何硬件、软件或其组合，如果可执行代码由计算机系统的一个或多个处理器执行，则使系统将源代码206视为输入并产生电路。编译器202可以指基于已经编译成机器可读格式(例如，二进制代码)的指令来执行或完成指令的计算机程序。应当注意的是，虽然示出了编译器202，但是可以利用解释器、汇编器和其他合适的软件和/或硬件组件来将源代码转换成电路。在一个实施例中，该电路是运算电路，该运算电路包括携带来自域F的值并连接到逻辑和/或运算门的导线。在一个实施例中，系统使用电路

来生成二次程序Q 208，该二次程序包括提供原始电路

的完整描述的一组多项式。

在一个实施例中，编译器202能够识别编程语言(例如，C或Java)的实质子集，包括但不限于：预处理器指示、静态初始化器、全局和局部函数、区块范围(block-scoped)变量、数组、数据结构、指针、函数调用、函数运算符(例如，函子)、条件和循环语句以及算术的和以比特为单位的布尔运算符(bitwise Boolean operator)。在一个实施例中，编译器202按照编程语言的标准不支持整组命令(在某些情况下，这可能旨在防止某些类型的算法在智能合约中执行，例如，禁止递归算法)。在一个实施例中，编译器将源代码的表达扩展成运算门语言，以产生运算电路。Campanelli,M.等人(2017年)在“重新审视零知识或有支付：服务的攻击和支付(Zero-Knowledge Contingent Payments Revisited:Attacks andPayments for Services)”中，以及Tillich,S.和Smart,B在“适用于MPC和FHE的基本功能电路(Circuits of Basic Functions Suitable For MPC and FHE)”中，都曾设想过电路实现方式。运算电路可以被编译器202或任何其他合适的硬件、软件或其组合(例如，图2中未示出的软件模块)用来构建二次算术问题(QAP)。根据实施例，二次程序被编译成用于客户端(例如，密钥生成和验证)和工作者(例如，计算和证明生成)的一组加密程序。在一些实施例中，如在英国专利申请号1718505.9中描述的那些运算电路优化技术可以用于减少工作者确定智能合约的结果所需的资源。

在一个实施例中，密钥生成器204是包括可执行代码的硬件、软件或其组合，该可执行代码如果由计算机系统的一个或多个处理器执行，则使得系统生成评估密钥和验证密钥，以形成二次程序。在Gennaro,R.等人(2013年)的“二次跨程序和无PCPs的简洁NIZKs(Quadratic Span Programs and Succinct NIZKs without PCPs)”中设想了将计算编码为二次程序的技术。在一个实施例中，二次算术问题(QAP)Q对域F上的电路

进行编码，并且包含一组m+1多项式：

V＝{v_k(x)},W＝{w_k(x)},Y＝{y_k(x)}

其中，0≤k≤m。此外，也定义了目标多项式t(x)。给定函数f，其将F的n个元素作为输入并输出n’个元素，其中，N＝n+n’。那么，如果{c₁,…,c_N}∈F^N是f的输入和输出组的有效赋值并且存在系数列表{c_N+1,…,c_m}，则Q计算f，使得t(x)除以p(x)：

因此，在一个实施例中，必须存在某个多项式h(x)，使得h(x)·t(x)＝p(x)。Q的大小是m，其次数是t(x)的次数。

在一个实施例中，为运算电路构建QAP包括为电路中的每个乘法门g选取任意根r_g∈F，并将目标多项式定义为t(x)＝∏_g(x-r_g)。在一个实施例中，索引k∈{1...m}与电路的每个输入和乘法门的每个输出相关联。V中的多项式对每个门的左输入进行编码，W对每个门的右输入进行编码，Y对输出进行编码。例如，如果第k条导线是门g的左输入，则v_k(r_g)＝1，否则v_k(r_g)＝0。因此，对于特定的门g及其根r_g，前面的方程式可以如下简化：

门的输出值等于其输入的乘积。整除性检验分解成deg(t(x))个单独的检验，t(x)的每个门g和根r_g具有一个检验，使得p(r_g)＝0。加法门和乘以常数门对QAP的大小和次数没有影响。

在一个实施例中，在域Fp上定义QAP，其中，p是大质数。在一个实施例中，期望Fp上的QAP有效地计算任何可用模p的加法和乘法来表示的函数。运算分离门可以被设计成将运算导线a∈Fp(已知在[0,2^k-1]中)转换成k个二进制输出导线。因此，由此可见，可以使用运算门来表示布尔函数。例如，NAND(a,b)＝1–ab。每个嵌入式布尔门只需要一次乘法运算。此外，诸如分离(split)之类的新门可以被定义为独立的，并与其他门组合在一起。给定输入a∈F_p(已知在[0,2^k-1]中)，分离门输出k个导线，该k个导线保持a的二进制数字a₁,...,a_k，使得∑^k2^i-1a_i＝a，每个a_i为0或1。

最后，系统生成所有证明者和验证者使用的公共参数作为设置阶段的一部分。应当注意的是，评估密钥E_K和验证密钥V_K是使用客户端选择的秘密值导出的。密钥生成器204可以结合密钥生成算法利用二次算术程序(QAP)来生成评估密钥E_K210和验证密钥V_K212。

在一个实施例中，执行计算任务包括由工作者计算输入216上的函数(即，用于评估f(x)的过程)。在一个实施例中，工作者是客户端可以向其委托计算任务的任何合适的计算机系统。在一个实施例中，输入216包括证明工作者身份的信息，例如，使用与工作者相关联的私钥生成的数字签名。在一个实施例中，工作者是客户端为成功的计算支付费用(例如，通过数字资产的转移)的计算机系统。在一个实施例中，客户端向工作者提供输入x和评估密钥E_K，工作者将评估模块214用于计算程序来计算输出y(即，y＝f(x)，其中，输入是x，函数是f)，并且使用评估密钥E_K210来产生正确性证明218。在一个实施例中，评估模块是包括指令的硬件和/或软件，该指令如果由计算机系统的一个或多个处理器执行，则使得计算机系统评估QAP 208的内部电路导线的值并产生QAP的输出y。

在一个实施例中，二次程序的每个多项式v_k(x)∈F被映射到双线性组中的元素g^vk ^(s)，其中，s是由客户端选择的秘密值，g是该组的生成器，F是g的离散对数的域。在一个实施例中，对于给定的输入，工作者评估电路，以获得对应于二次程序的系数c_i的输出和内部电路导线的值。因此，工作者可以评估v(s)＝∑_k∈{m}c_k·v_k(s)，以获得g^v(s)；计算w(s)和y(s)；计算h(x)＝p(x)/t(x)＝∑^dh_i·xⁱ；并使用评估密钥中的h_i和g^s(i)项计算g^h(s)。在一个实施例中，正确性证明218包括(g^v(s),g^w(s),g^y(s),g^h(s))，并且验证者使用双线性映射来检验p(s)＝h(s)·t(s).。在一个实施例中，证明π存储在区块链222上，以供以后使用，或者可以由多方验证而无需证明者单独与这些方中的每一个交互。在一个实施例中，可以执行对正确性证明的电路存储的评估，以解锁由交易的锁定脚本锁定(encumber)的数字资产。

在一个实施例中，证明π被广播到区块链网络，并且验证者220被用于验证证明。在一个实施例中，验证者220是任何合适的计算实体，例如，区块链上的节点。还应注意的是，在某些情况下，生成评估密钥E_K和验证密钥V_K的同一计算实体也验证该证明。在一个实施例中，区块链的节点可以使用验证密钥V_K和证明π来验证支付交易，从而在验证成功的情况下验证合约。该协议的一个要求是，即使工作者知道验证密钥V_K，也不能提供不正确的证明。因此，在该协议中，公共参考串(CRS)由客户端或至少公布了评估密钥E_K和验证密钥V_K的可信第三方产生。在一个实施例中，任何计算实体都可以使用公布的验证密钥V_K来验证计算。

通过使用本文描述的技术，客户端能够部分混淆交易数据，例如，区块链交易的接收者的身份。在一个实施例中，解锁脚本不公开接收者的地址和接收者的公钥。然而，在一些情况下，交易的价值(例如，转移的数字资产的数量)对于区块链网络的节点可能是可见的。在一个实施例中，客户端利用上文和下文描述的加密技术将锁定脚本转换成二次算术程序，工作者利用这些加密技术解决算术程序，以生成证明。

一般来说，客户端能够使用标准交易(例如，基于比特币的区块链网络中定义的标准交易)，例如，P2PK和P2PKH，向交易对方或工作者付款。例如，在一个实施例中，客户端将P2PK锁定脚本转换成运算电路并广播支付交易，该支付交易包括从该电路导出的难题。交易对方或工作者接收该电路，提供恰当的输入(例如，证明工作者身份的信息(例如，在客户端和工作者之间共享的秘密或使用工作者的私钥生成的数字签名))，并运行电路，以生成正确性证明π。在一个实施例中，证明被用于解锁数字资产，此外，可能的情况是，识别交易对方或工作者的信息(例如，与交易对方或工作者相关联的公钥和/或数字签名)没有以清晰的格式记录到区块链。

在一个实施例中，根据上文和/或下文描述的技术生成验证密钥和相应的证明。因此，给验证者提供验证密钥V_K和证明π：

使得验证者计算多个椭圆曲线乘法(例如，对每个公共输入变量使用一个椭圆曲线乘法)和五对检验，其中一对检验包括附加的配对乘法。

给定验证密钥V_K、证明π和(a₁,a₂,…,a_N)，以验证t(x)除以p(x)，由此(x_N+1,…,x_m)＝f(x₀,…,x_N)，验证者进行如下操作。首先，检验全部的三个α项目：

其中，

并且

然后，验证者检验项目β：

并且

最后，验证者检验整除性要求：

其中，

并且

因此，根据实施例，在考虑来自上述部分的符号和本申请描述的示例后，验证包括以下元素的一组对检验：

图3示出了用于协调可验证计算的执行的示图300。客户端302、工作者304和验证者306可以是区块链网络的节点。客户端302可以是可包括可执行代码的任何合适的计算机系统，该可执行代码如果由计算机系统的一个或多个处理器执行，则使得计算机系统接收智能合约308。在一个实施例中，智能合约308是用高级编程语言编码的源代码，例如，C、C++或Java。在一个实施例中，诸如编译器、解释器和/或汇编器之类的软件可以被用来将智能合约308转换成运算电路310，该运算电路310由携带来自域

的值并连接到加法和乘法门的“导线”组成。应当注意的是，运算电路是指可以由包括一系列物理门的物理电路实现的逻辑电路(例如，使用晶体管-晶体管逻辑(TTL)集成电路(例如，7400系列门、触发器、缓冲器、解码器、多路复用器等))，这一系列物理门通过物理导线连接。

在一个实施例中，客户端302向工作者304提供运算电路310和电路的输入312。电路310可用于生成二次程序Q，该二次程序Q包括一组提供原始电路完整描述的多项式。在任一情况下，工作者304可以在输入312上执行电路

或二次程序Q，以生成一个或多个输出314。在一些实施例中，期望工作者(即，证明者)获得有效抄本

作为输出，该抄本是对电路导线的赋值，使得赋值给输入导线的值是x，中间值对应于

中的每个门的正确操作，赋值给输出导线的值是

如果所要求的输出是不正确的(即，

)，则不存在

的有效抄本。在一个实施例中，期望工作者提供电路导线的值的子集，其中，所选择的电路导线的值的子集对于工作者来说不是提前已知的。

在实施例中，输出

内部电路导线(或其子集)的值和评估密钥E_K用于产生正确性证明316。该证明π可以存储在区块链上并由多方验证，而无需工作者304单独与多方交互。以这种方式，验证者306可以使用公共验证密钥V_K和证明π来验证支付交易，从而验证合约。在一些情况下，如果验证失败，则客户端302可以收回支付交易锁定(encumber)的数字资产。在一些情况下，验证者306和客户端302是相同的计算机系统。

图4示出了本申请的实施例的示图400。具体地，图4描绘了以各种格式编码的椭圆曲线402上的点，其中这些格式适用于基于区块链的脚本，例如，基于比特币的锁定和解锁脚本。

在各种实施例中，椭圆曲线点可以在与交易相关联地执行的锁定和解锁脚本中编码。在基于比特币的系统中，可以用基于堆栈的脚本语言编写这些脚本。例如，验证密钥V_K可以包括

证明π可以包括一组元素{π₁,..,π₈}，其中，

和π_j是有限域

上的椭圆曲线上的点。图4示出了示例图400，其中，椭圆曲线402上的点使用压缩(P_C)或未压缩(P_U)编码来表示，该编码适用于与例如锁定或解锁脚本等区块链脚本一起使用。

在一个实施例中，假设

是椭圆曲线上的点。如果

则该点由其仿射坐标表示。在未压缩编码404中，点P由指示未压缩编码的信息(例如，前缀406(例如，下文描述的参数‘C’))和两个域元素(x和y坐标408和410)来表示，而在压缩编码中，该点仅由其x坐标和唯一标识y坐标的附加位来表示。因此，在一个实施例中，P_U＝C||X||Y，其中：

C＝0x04

X＝FieldElements2OctetString(x)

Y＝FieldElements2OctetString(y)

其中，双管运算符“||”是指串联操作，FieldElements2OctetString()函数可用于将域(例如，有限域)的元素转换为正好包含八位的八位位组串。关于压缩编码，P_C＝C||X，其中：

X＝FieldElements2OctetString(x)

在一个实施例中，未压缩编码404包括有限域(即

)的点P，例如，椭圆曲线上的点的x坐标408和y坐标410。未压缩编码404还包括可用于确定编码是未压缩编码的信息(例如，在x坐标408和y坐标410前加/后加的前缀406值)。相反，压缩编码412包括有限域的点P的编码(例如，如上所述)，以及可用于确定编码是压缩编码的信息。例如，压缩编码412A编码前缀414和点P的x坐标408，其中，至少部分地基于前缀414来确定相应的y坐标。例如，前缀414表示y坐标是偶数。相反，第二压缩编码412B编码不同的前缀416和点P的x坐标408，并用于确定奇数的y坐标。

应当注意的是，一般来说，未压缩点P_U可以以任何合适的格式表示，该格式可以编码用于确定P_U是未压缩椭圆曲线点的信息、该点的x坐标和该点的y坐标。类似地，压缩点P_C可以以任何合适的格式表示，该格式可以编码用于确定P_C是压缩椭圆曲线点的信息和用于确定该点的x坐标和y坐标的压缩信息。

作为一个示例，考虑在基于比特币的系统中secp256k1椭圆曲线的点的表示。在表示未压缩点的实施例中，未压缩椭圆曲线P的编码位串中的第一个八位字节是0x04，其后是对应于点的X坐标和点的Y坐标的两个256位数字(即P＝C||X||Y)。作为一个示例，尽管在本申请的范围内还考虑了其他合适的编码格式，例如，基本编码规则(BER)和规范编码规则(CER)，但是使用了可辨别编码规则(DER)编码格式。

在一个实施例中，包括椭圆曲线点的长度的单字节脚本操作码连接到实际点(例如，将该长度连接到实际点的前面)。例如，如果：

x＝0xe3b01684a8a8b66f8e44203db5869b4dcb74a0afc905ae9197ed74a8d6cecdcc

y＝0x6424d186a23687532c8b20911defc2f42c93749b3736857912c6abe2dc3f01d1

则在一个实施例中，压缩和未压缩脚本P_C和P_U分别是：

脚本：P_C:0x21||0x03e3b01684a8a8b66f8e44203db5869b4dcb74a0afc905ae9197ed74a8d6cecdcc脚本：P_U:0x41||

0x04e3b01684a8a8b66f8e44203db5869b4dcb74a0afc905ae9197ed74a8d6cecdcc6424d1 86a23687532c8b20911defc2f42c93749b3736857912c6abe2dc3f01d1

在一个实施例中，客户端是智能合约的一方，并且确定利用区块链来执行合约。作为确定的一部分，客户端向区块链发布支付转移，以将客户端控制的数字资产转移到公布证明π的一方(例如，工作者)。如上所述的验证者计算机系统可以执行验证程序，来确定证明π是正确的。

根据协议，客户端可以为产生和生成证明π而生成公共参考串。在一些实施例中，公共参考串由可信方(例如，第三方)生成。应当注意的是，虽然可信第三方可以生成公共参考串，但是将可信第三方引入协议是可选的-该协议需要客户端和工作者，并且可以在没有额外的第三方的情况下执行。

继续该协议，计算的验证作为交易验证阶段的一部分进行。在一个实施例中，例如，基于比特币的网络、客户端或工作者被限制为提供

作为锁定脚本和/或解锁脚本的一部分。可以通过多种方式实现这种约束。例如，在一个实施例中，工作者通过注入串行化解锁交易来提供验证密钥V_K，该串行化解锁交易在其一个解锁脚本中包含有

作为第二示例，客户端广播交易，其中，锁定脚本包括

和在验证阶段使用的方程式，并创建由包含验证密钥V_K的SIGHASH_NONE|SIGHASH_ANYONECANPAY签名的交易输入。客户端将该输入传递给需要添加{π₁,..,π₈}、签名和广播的工作者。作为又一示例，工作者通过使用固定长度的脚本散列(例如，20字节的脚本散列)来提供验证密钥V_K，该固定长度的脚本散列在为执行付费的交易的锁定脚本中。当然，这些仅仅是如何提供

作为锁定脚本、解锁脚本或任何其他合适的脚本或操作的一部分的说明性示例，根据任何合适的区块链协议来执行这些脚本或操作作为交易验证的一部分。在一个实施例中，工作者提供{π₁,..,π₈}作为解锁脚本的一部分，并且如果证明π满足输出脚本中设置的条件，则授权证明π。

在一个实施例中，基于区块链的系统(如基于比特币的系统)支持根据Script等脚本语言(例如，基于比特币的系统支持Script)执行操作(也称为操作码和命令)。在一个实施例中，交易包括锁定(输出)和解锁(输入)脚本，并且可以被识别为标准类型列表中的一个。例如，在基于比特币的系统中，有五种标准类型：支付给公钥(P2PK)、支付给公钥散列(P2PKH)、多重签名、支付给脚本散列(P2SH)和OP_RETURN。

在运行本文描述的提议zk协议时，诸如公共参考串、证明π和/或其部分等信息存储在区块链上。此外，作为验证过程的一部分，也可以是系统在交易验证过程中提取在堆栈上推送的特定元素并如上所述从验证阶段检查配对的情况。

交易可包括嵌入到其输入和输出中的称为脚本的小程序，这些小程序指定了如何以及由谁来访问交易的输出。在比特币平台上，使用基于堆栈的脚本语言编写这些脚本。在一个实施例中，协议包括对交易的各种技术规则和基于语法的限制，这些规则和限制确定交易是标准交易还是非标准交易。在一个实施例中，对在执行堆栈上推送的元素的大小和输入脚本的总大小有限制。例如，在基于比特币的系统中，在执行堆栈上推送的每个元素被限制为520字节，每个输入脚本被限制为1650字节。在一个实施例中，在脚本执行之后，堆栈恰好包括一个非假元素。输入脚本不能包含除OP_PUSHDATA之外的任何OP代码(赎回脚本部分除外)。在一个实施例中，尽管应当注意，不同的区块链系统可能将待包含的不同数量和/或单位的数字资产定义为输出值(例如，对交易的挖矿节点的最小支付)，但是基于比特币的系统要求最小输出值为546中本聪。在一个实施例中，最小输出值为零(即，不需要转移数字资产)。偏离这些规则的交易被认为是非标准的。

作为验证阶段的一部分，验证者(例如，客户端)提取验证密钥V_K和证明π的元素，并在配对检验中使用。在一个实施例中，验证检验包括满足一组约束的双线性映射。作为一个示例，考虑满足形式

的约束的双线性映射e(x,y)＝2^xy，如下所示：

e(3,4+5)＝2^3*9＝2²⁷

e(3,4)*e(3,5)＝2^3*42^3*5＝2¹²2¹⁵＝2²⁷

应当注意的是，上述这种配对是出于说明的目的，尽管对于在加密系统中的应用来说，这种逐字映射可能不是很有用，但是应当注意的是，验证双线性约束的过程是相同的，其中，双线性映射在椭圆曲线上扩展。同样，出于说明的目的，下面示出了一个示例，说明如何使用比特币脚本在验证阶段从公共参考串(例如，验证密钥V_K)和证明π中提取和使用信息：

应当注意的是，上面提供的示例仅仅用于说明配对检验的示例，并且可以包括附加约束，例如，上面结合图2讨论的那些约束。

有多种技术可以提供验证密钥V_K用于验证证明π。图5是说明性示图500，其中，客户端510提供验证密钥V_K，用于验证证明π。在一个实施例中，客户端创建交易输出502，其中，该交易包括输出值504(例如，向执行合约的工作者支付的数字资产)和锁定脚本508，或与输出值504和锁定脚本508相关联，该锁定脚本508执行包括满足一组约束的双线性映射的验证检验。在一个实施例中，锁定脚本至少部分基于客户端的数字签名来验证验证密钥V_K的完整性。在某些情况下，锁定脚本可以规定，如果验证失败，则客户端能够收回该交易相关的上述数字资产。这种交易可以发送到要被区块链网路上的节点(如工作者)挖矿的区块链网络。在一些区块链系统中，交易在与锁定脚本相关联的情况下编码指示锁定脚本的大小(例如，以字节为单位)的参数，该参数可以称为锁定脚本大小506，如结合图5所示。

作为一个示例，可以基于以下内容来描述锁定脚本：

应当注意的是，上面提供的示例是对锁定脚本的描述，而不一定是对锁定脚本508本身的逐字描述。例如，上面在括号中描述的一些域(例如，“<PubKey Client>”，其可以指客户端的公钥)没有逐字地包含在锁定脚本508中。类似地，括号中的一些域是以数学计算为基础，例如，如上所述，“OP_(i+1)”可能不逐字地包含在锁定脚本中，而是指至少部分地基于数学计算而确定的操作码或命令，在这种情况下，“i”是指证明π的元素的数量，因此，在π＝{π₁,..,π₈}的示例中，“OP_(i+1)”可以在锁定脚本中以基于堆栈的脚本语言表示为“OP_7”。还应当注意的是，在上面的双斜线“//”后面的文本是指与可执行代码不对应的注释。例如，“//验证配对”并不映射到可执行代码，而只是向人们表明，在注释之后的文本是用来执行配对的验证。

应当再次注意的是，如上所述的交易输出502仅仅是说明性的，并且可以存在这样的变化即交易可以包括采用任何合适的衡量单位的任何合适的支付量，并且可以存在各种锁定脚本，例如，如上所述利用锁定脚本的一些或全部功能的锁定脚本。一般来说，锁定脚本508可以是执行一组配对检验的任何合适的一组命令。在一个实施例中，锁定脚本508包括使用与客户端相关联的至少一个非对称公钥对验证密钥V_K进行完整性检验。在一个实施例中，如果验证失败，则锁定脚本允许客户端收回数字资产。在一个实施例中，锁定脚本508包括在阈值持续时间之后将交易标记为无效的指令(例如，对应于“<n days>”的值，如上所述)。

客户端510可以是本申请中其他地方描述的那些客户端，其可以创建引用上述交易502的交易输入512，并将其传输给交易对方(例如，意图计算有效证明π的工作者)。在一个实施例中，交易输入512可以编码与交易输出502相关联的标识符514、与交易输出502相关联的交易输出索引516(例如，在一些情况下，该索引是基于零的)、解锁脚本520、指示解锁脚本大小(例如，以字节为单位)的参数(其可以称为解锁脚本大小518)、序列号522及其任何合适的组合。例如，在一些实施例中，解锁脚本大小没有在交易输入512中被明确编码，而是可以导出的(例如，通过检测指示解锁脚本结束的特定终止序列)。在一个实施例中，解锁脚本518包括验证密钥V_K524和与客户端相关联的数字签名526。在一些情况下，解锁脚本518包括附加信息，例如，控制验证过程执行的分支信息的指示。

作为一个示例，可以基于以下内容来描述解锁脚本：

应当注意的是，上面提供的示例是对解锁脚本的描述，而不一定是对解锁脚本本身的逐字描述。例如，上面括号中描述的一些域没有逐字包含在解锁脚本518中。回到上面描述解锁脚本的示例，解锁脚本518可以包括验证密钥V_K524的有序或无序元素序列、与客户端相关联的数字签名526和分支信息。在一个实施例中，数字签名526包括散列类型标志。在一个实施例中，根据基于比特币的系统，散列标志是SIGHASH_NONE|SIGHASH_ANYONECANPAY。解锁脚本518可以包括执行控制信息，该执行控制信息可与锁定脚本结合使用来验证交易。例如，在上述示例中，“1”表示脚本应该进入解锁脚本中的控制语句的第一分支(例如，OP_IF分支，而不是OP_ELSE分支)。

在一个实施例中，工作者528计算证明π530，并且将该证明与和工作者相关联的数字签名532附加到解锁脚本518，并且广播该交易(例如，向客户端和/或区块链网络的一个或多个节点广播)。

作为一个示例，可以基于以下内容来描述具有证明和工作者数字签名的解锁脚本：

因此，在一个实施例中，根据以上描述的解锁脚本能够满足锁定脚本设置在输出上的条件，并且可以允许花费数字资产(例如，如输出值所示)。

有多种技术可以提供验证密钥V_K，用于验证证明π。图6是说明性示图600，其中，工作者提供验证密钥V_K，用于验证证明π。交易输出602可根据基于比特币的系统，并且可包括输出值604、锁定脚本606(可选地，在一些系统中)和锁定脚本608。在一个实施例中，该交易是根据基于比特币的系统的支付给脚本散列(P2SH)交易。在一个实施例中，交易输出612根据基于比特币的系统，并且包括交易ID、输出索引616、解锁脚本大小618、解锁脚本618和序列号622，如上面结合图5所述。应当注意的是，虽然图6中描述的交易的结构可以依照图5中描述的结构，但是图6可特别包括根据P2SH交易的锁定脚本608和解锁脚本618。客户端610可以生成验证密钥V_K和赎回脚本628，并将其提供给工作者624。

在一个实施例中，区块链系统支持各种类型的交易。在一个实施例中，所支持的交易(例如，标准交易)是基于脚本散列的交易，例如，根据基于比特币的系统的支付给脚本散列(P2SH)交易。一般来说，基于脚本散列的交易是指其中验证解锁脚本的有效性包括提供与指定的散列值匹配的脚本的任何交易。例如，在基于比特币的P2SH交易中，解锁脚本620包括赎回脚本628，锁定脚本608包括至少一个条件，即由解锁脚本提供的赎回脚本的散列与指定值匹配。例如，在基于比特币的系统中，可以基于以下内容来描述锁定脚本：

OP_HASH160<20-byte hash of redeem script>OP_EQUAL

在一些情况下，工作者624提供验证密钥V_K626，用于验证阶段。在一个实施例中，检验验证阶段的解锁条件可以存储在赎回脚本中。在一个实施例中，P2SH交易的锁定脚本包括赎回脚本的散列，并且在一些情况下，赎回脚本是保密的(例如，由工作者加密)，并且仅在指示进行转移输出值时才被披露。

在一个实施例中，客户端610通过识别赎回脚本来创建P2SH未花费交易输出，并对其应用散列(例如，HASH160)。为了转移UTXO，客户端创建包括和/或引用赎回脚本的输入脚本(其引用UTXO)。应当注意的是，在一个实施例中，尽管基于区块链的系统可能对可包括在赎回脚本中的数据的类型或数量有限制，但赎回脚本是适于存储任意数据的。例如，在基于比特币的系统中，对于可以发布到堆栈上的数据的大小有限制(例如，PUSHDATA操作被限制为520字节的数据)。在一个实施例中，赎回脚本分别包括压缩和未压缩的点P_C和P_U，如结合图4所述。因此，在一个实施例中，根据基于比特币的协议，可存储在赎回脚本中的椭圆曲线点的最大数量是15个压缩点(例如，15个点*34字节/点＝510字节)或7个未压缩点(例如，7个点*66字节/点＝462字节)。在一个实施例中，解锁脚本618包括可以一起用于满足锁定脚本608中被编码的一组条件的证明630、赎回脚本628和命令(例如，操作码)。

图7是根据实施例的用于生成赎回脚本的流程700的示意图。在一个实施例中，使用硬件、软件或其组合来实现流程700。执行该流程的合适系统包括工作者，该工作者提供与图6的讨论相关的P2SH解锁脚本。

在一个实施例中，系统确定验证密钥V_K具有足够的基数。在一个实施例中，系统确定赎回脚本的大小(702)，该赎回脚本包括验证密钥的每个元素和检验一组约束的脚本，其中，赎回脚本和证明π足以解锁相应的锁定脚本。系统可以确定赎回脚本的大小是否超过预定阈值(704)，该阈值可以基于区块链协议施加的大小限值，例如，区块链协议可以要求赎回脚本的大小小于或等于520字节。如果赎回脚本具有足够的大小，则系统生成赎回脚本和解锁脚本(706)，其中，赎回脚本包括验证密钥和检验一组约束的脚本，解锁脚本包括证明π，其中，赎回脚本和解锁脚本一起包括足以验证支付交易的一组命令。

例如，在验证密钥V_K的基数小于16的情况下，可能是：

其中，赎回脚本和解锁脚本足以解锁锁定脚本。

如果赎回脚本超过预定阈值，则系统生成解锁脚本，该解锁脚本将验证密钥V_K的一个或多个元素存储在赎回脚本之前的解锁脚本的部分中(708)，使得赎回脚本的总大小在阈值内，并且利用上述验证密钥的元素和约束生成赎回脚本(710)。在一个实施例中，可以在解锁脚本中的其他地方对验证密钥V_K的一个或多个元素进行编码。例如，在V_K的基数大于15的情况下，可能是：

其中，赎回脚本和解锁脚本足以解锁锁定脚本。

因此，通过在锁定脚本中编码验证阶段所需的阶段，交易的验证应该成为具有zk协议的验证阶段的等效过程。在一个实施例中，可以如下使用OP_VERIFYPROOF操作码：

解锁和锁定脚本可以以任何合适的方式来实现。解锁脚本以任何合适的方式来实现，其中，解锁脚本编码<π₁>..<π₈>和验证密钥V_K。类似地，锁定脚本可以以任何合适的方式来实现，其中π_i和

被提取并配对调用被执行。在一个实施例中，如上所述的OP_PAIRING是支持具有高效双线性映射的椭圆曲线的操作码，例如，该曲线可以是由等式y²＝x³+3定义的bn128曲线。

图8是可用于实践本申请至少一个实施例的计算设备800的说明性简化框图。在各种实施例中，计算设备800可以用于实现上面示出和描述的任何系统。例如，计算设备800可以用于用作数据服务器、网页服务器、便携式计算设备、个人计算机或任何电子计算设备。如图8所示，计算设备800可以包括一个或多个处理器802，在一些实施例中，处理器802经由总线子系统804与多个外围子系统通信并可操作地耦合。在一些实施例中，这些外围子系统包括存储子系统806、一个或多个用户接口输入设备812、一个或多个用户接口输出设备814和网络接口子系统816，其中存储子系统806包括存储器子系统808和文件/磁盘存储子系统810。这种存储子系统806可以用于临时或长期存储信息。

在一些实施例中，总线子系统804提供用于使计算设备800的各种组件和子系统能够如预期的那样彼此通信的机制。尽管总线子系统804被示意性地示为单个总线，但是总线子系统的替代实施例可以利用多个总线。在一些实施例中，网络接口子系统816给其他计算设备和网络提供接口。在一些实施例中，网络接口子系统816用作从其他系统接收数据且从计算设备800向其他系统发送数据的接口。在一些实施例中，总线子系统804用于传送诸如细节、搜索词等数据。

在一些实施例中，用户接口输入设备812包括一个或多个用户输入设备，例如，键盘；指向设备，例如，集成鼠标、跟踪球、触摸面板或图形输入板；扫描仪；条形码扫描仪；包含到显示器中的触摸屏；音频输入设备，例如，语音识别系统、麦克风；以及其他类型的输入设备。通常，术语“输入设备”的使用旨在包括用于向计算设备800输入信息的所有可能类型的设备和机构。在一些实施例中，一个或多个用户接口输出设备814包括显示子系统、打印机或非视觉显示器，例如，音频输出设备等。在一些实施例中，显示子系统包括阴极射线管(CRT)、平板设备(例如，液晶显示器(LCD)、发光二极管(LED)显示器或投影显示器或其他显示设备。通常，术语“输出设备”的使用旨在包括用于从计算设备800输出信息的所有可能类型的设备和机构。一个或多个用户接口输出设备814可以用于例如呈现用户界面，以便于当交互适当时用户与执行所描述的流程和其变形的应用程序进行交互。

在一些实施例中，存储子系统806提供计算机可读存储介质，用于存储提供本申请至少一个实施例的功能的基本编程和数据结构。在一些实施例中，当由一个或多个处理器执行应用程序时，该应用程序(程序、代码模块、指令)提供本申请一个或多个实施例的功能，并且在实施例中，应用程序存储在存储子系统806中。这些应用模块或指令可以由一个或多个处理器802执行。在各种实施例中，存储子系统806另外提供用于存储根据本申请使用的数据的储存库。在一些实施例中，存储子系统806包括存储器子系统808和文件/磁盘存储子系统810。

在一些实施例中，存储器子系统808包括多个存储器，例如，用于在程序执行期间存储指令和数据的主随机存取存储器(RAM)818和/或其中可以存储固定指令的只读存储器(ROM)820。在一些实施例中，文件/磁盘存储子系统810为程序和数据文件提供非暂时性持久(非易失性)存储，并且可以包括硬盘驱动器、软盘驱动器以及相关联的可移动介质、光盘只读存储器(CD-ROM)驱动器、光学驱动器、可移动介质盒或其他类似的存储介质。

在一些实施例中，计算设备800包括至少一个本地时钟824。在一些实施例中，本地时钟824是表示从特定开始日期起经过的滴答数量的计数器，并且在一些实施例中，本地时钟824整体位于计算设备800内。在各种实施例中，本地时钟824用于以特定的时钟脉冲同步计算设备800及其包括的子系统的处理器中的数据传输，并且可以用于协调计算设备800和数据中心中的其他系统之间的同步操作。在另一实施例中，本地时钟是可编程间隔定时器。

计算设备800可以是多种类型中的任何一种，包括便携式计算机设备、平板电脑、工作站或下面描述的任何其他设备。另外，计算设备800可以包括另一设备，在一些实施例中，该另一设备可以通过一个或多个端口(例如，USB、耳机插孔、闪电连接器等)连接到计算设备800。在一些实施例中，这种设备包括接受光纤连接器的端口。因此，在一些实施例中，该设备将光信号转换成电信号，并通过将该设备连接到计算设备800的端口传输这些电信号，以进行处理。由于计算机和网络的不断变化的性质，图8中描绘的计算设备800的描述仅旨在作为说明该设备的优选实施例的特定示例。具有比图8中描绘的系统更多或更少组件的许多其他配置是可能的。

应当注意，上述实施例说明而不是限制本发明，并且本领域技术人员将能够在不脱离由所附权利要求限定的本发明的范围的情况下设计许多替代实施例。在权利要求中，括号中的任何附图标记不应被解释为对权利要求的限制。词语“包括(comprising)”和“包括(comprises)”等不排除任何权利要求或说明书整体列出的元件或步骤之外的其他元件或步骤的存在。在本说明书中，“包括(comprises)”是指“包括(includes)或者由……组成(consists of)”，而“包括(comprising)”是指“包括(including)或者由……组成(consisting of)”。元件的单数引用不排除这些元件的复数引用，反之亦然。本发明可以通过包括几个不同元件的硬件以及通过适当编程的计算机来实现。在列举了若干装置的设备权利要求中，这些装置中的几个可以由同一个硬件来实现。在相互不同的从属权利要求中引用某些措施这一事实并不表示这些措施的组合不能有利地使用。

本文引用的所有参考文献(包括出版物、专利申请和专利)通过引用并入本文，如同单独地和具体地指示每个参考文献通过引用并入本文，并且在本文中完整地阐述每个参考文献。

Claims

1.一种计算机实现的方法，包括：

生成交易的交易输出，所述交易输出包括数字资产的指示和锁定脚本，所述锁定脚本对用于转移对数字资产的控制的一组条件进行编码，至少部分地基于验证密钥和证明来确定这组条件的满足；

生成所述交易的交易输入，所述交易输入包括：

与所述交易输出相关联的标识符；以及

包含所述证明的解锁脚本；以及

至少部分地基于所述锁定脚本和所述解锁脚本来验证这组条件的满足；以及

响应于验证这组条件的满足，转移对数字资产的控制。

2.根据权利要求1所述的计算机实现的方法，其中，所述验证密钥包括第一多个有限域元素，并且所述证明包括第二多个有限域元素。

3.根据权利要求2所述的计算机实现的方法，其中，所述有限域元素是椭圆曲线上的点。

4.根据权利要求2至3中任一项所述的计算机实现的方法，其中，所述有限域元素以压缩格式编码。

5.根据任一前述权利要求所述的计算机实现的方法，其中，客户端利用所述验证密钥和与所述客户端相关联的第一数字证书对所述交易输入进行编码，并且工作者利用所述证明和与所述工作者相关联的第二数字证书对所述交易输入进行编码。

6.根据任一前述权利要求所述的计算机实现的方法，其中，所述锁定脚本包括指令，所述指令在所述解锁脚本未满足这组条件的情况下，为所述数字资产的提供者收回所述数字资产。

7.根据任一前述权利要求所述的计算机实现的方法，其中：

所述解锁脚本还包括赎回脚本，其中，所述验证密钥和所述赎回脚本需满足这组条件；并且

所述锁定脚本对这组条件的一个条件进行编码，所述条件为所述赎回脚本的散列与预定值匹配。

8.根据权利要求7所述的计算机实现的方法，其中，所述赎回脚本的大小为小于或等于520字节。

9.根据权利要求7至8中任一项所述的计算机实现的方法，其中，所述解锁脚本包括所述验证密钥的一个或多个元素。

10.根据权利要求7至9中任一项所述的计算机实现的方法，其中，所述交易是根据基于比特币的协议的P2SH交易。

11.根据任一前述权利要求所述的计算机实现的方法，其中，所述交易是根据基于区块链的协议的标准交易。

12.根据任一前述权利要求所述的计算机实现的方法，其中，所述锁定脚本和所述解锁脚本以基于堆栈的脚本语言编码。

13.根据任一前述权利要求所述的计算机实现的方法，其中，这组条件包括双线性约束。

14.一种系统，包括：

处理器；以及

包括可执行指令的存储器，所述可执行指令由处理器执行使得所述系统执行根据任一前述权利要求所述的计算机实现的方法。

15.一种非暂时性计算机可读存储介质，其上存储有可执行指令，所述可执行指令由计算机系统的处理器执行使得所述计算机系统至少执行根据权利要求1至13中任一项所述的计算机实现的方法。