CN116112181A

CN116112181A - 一种通用非交互式零知识证明方法及系统

Info

Publication number: CN116112181A
Application number: CN202310085347.XA
Authority: CN
Inventors: 柏伟浩; 陈隆; 张振峰
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2023-01-17
Filing date: 2023-01-17
Publication date: 2023-05-12

Abstract

本发明公开了一种通用非交互式零知识证明方法及系统。本方法为：证明者和验证者交互运行预计算阶段，产生证明阶段所需的材料；证明阶段，证明者首先根据证据w随机选取随机数r_w计算证据w的承诺值C_w并将其发送给验证者，将证据w和陈述x作为电路C(x,w)的输入运行电路得到电路中计算每个乘法门的副本以及副本对应的承诺的随机数并将其发送给验证者；根据随机数r_w计算打开值并将其发送给验证者；验证阶段：验证者首先将证据w的承诺值C_w和x作为电路C(x,w)的输入，运行电路得到电路中每个乘法门副本对应的承诺；然后根据证明者所发过来乘法门副本及其承诺的随机数验证乘法门执行的正确性。本发明可以抵抗量子计算机攻击且效率高。

Description

一种通用非交互式零知识证明方法及系统

技术领域

本发明属于密码技术领域，具体涉及一种基于多方安全计算和同态承诺的通用非交互式零知识证明方法及系统。

背景技术

多方安全计算：多个参与方在不泄露各自输入的情况下共同计算某个函数。

同态承诺：满足Com(a)+Com(b)＝Com(a+b)的承诺方案。

非交互式零知识证明：证明者在不需要交互和不泄露证据的情况下证明某一命题的正确性。

零知识(ZK)证明及其非交互的变体是理论和实践中最基本和最通用的密码原语之一。零知识证明允许证明者在不透露任何其他信息的情况下说服验证者一个陈述的有效性，而非交互零知识(NIZK)证明系统要求在没有验证者参与的情况下生成证明。NIZK证明可以用任意的验证器进行验证，而不需要指定特殊的验证器。NIZK证明系统将是非常有用的，它可以对于任意的算术电路，甚至NP语言类进行证明。具体的，其应用场景包括用于构建IND-CCA安全公钥加密方案、签名方案、区块链等。

人们已经广泛研究了可以从因式分解和具有双线性映射的群等标准假设出发构建NIZK。最近一项研究也表明，用于对任意NP语言进行证明的NIZK也可以由基于格的假设构建。这种协议是特别可取的，因为基于格的假设被认为是困难的，即使是在量子计算机模型下的平均情况下的困难性。虽然这一方面的工作已经令人兴奋地实现了基于格假设的新的可行性，但我们对如何优化这种结构效率的理解仍处于初级阶段。

目前主要有两种可能的方法获得对通用算数电路的NIZKs。第一种方法主要是理论上的。在CRYPTO 2019中，Peikert和sheiehan展示了如何通过相关哈希族(CI-hash)将针对任意NP语言类的基于Σ协议范式的零知识证明系统转换为非交互式系统。构建通用非交互式零知识证明的另一种巧妙方法来自Ishai等人提出的安全多方计算(MPC)，称为MPC-in-the-head范式。MPC协议允许多个参与方联合计算n方函数(输入的函数)，同时保持输入的私密性和输出的正确性。

在CRYPTO 2019中，Peikert和sheiehan展示的利用相关哈希族(CI-hash)将针对任意NP语言类的基于Σ协议范式的零知识证明系统转换为非交互式系统。然而，正如他们文章所指出的，这样的变换需要并行重复运行Σ协议O(λ)次，这导致了证明尺寸的显著膨胀。此外，该方法中使用的∑协议是专门为特定的NP完全问题设计的。将一个特定的算术电路，例如用密文加密的消息，转换为这个特定的NP完全问题通常是不方便的。

构建通用非交互式零知识证明的一种巧妙方法来自Ishai等人提出的安全多方计算(MPC)，称为MPC-in-the-head范式。目前现有的基于MPCitH范式构造零知识证明均是基于半诚实模型下安全的MPC协议。当从n方具有半诚实安全性的MPC构造NIZKs时，由于违反稳健性需要作弊的证明者产生至少一对不一致的副本，通过随机揭示两个参与人的副本来检测作弊行为的概率可能为1/n。为了使完整性误差的概率达到可忽略值，NIZKs证明器需要重复运行所需证明陈述对应的MPC协议O(λ)次，其中λ为安全参数。最近，一系列漂亮的工作显示出从各种应用中半诚实的安全MPC协议构建高效NIZKs的巨大潜力，但是仍然无法解决其重绕次数过多的问题。

因此，如何构造一个高效的、只需要运行所证明问题电路一次、可以抵抗量子计算机攻击、不依赖于任何的代数结构的基于多方安全计算的通用非交互式零知识证明系统仍然是一个开放问题。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种基于多方安全计算和同态承诺的通用非交互式零知识证明方法及系统。本发明是一种高效的、只需要运行所证明问题对应的电路一次、可以抵抗量子计算机攻击、不依赖于任何的代数结构的通用非交互式零知识证明方法。

本发明基于多方安全计算和同态承诺的通用非交互式零知识证明方法，其步骤包括：

(1)提出了新的证明框架。算法框架主要分为：预计算阶段、证明阶段和验证阶段三个部分。对于任意的NP语言类其中为陈述为x、证据为w的公知的NP问题对应的描述。假设其对应的算术电路记为C(x，w)＝1，乘法门个数为k。首先证明者和验证者交互地运行第一阶段：预计算阶段，产生第二阶段证明阶段所需的材料，即后续步骤(2)中所阐述的N个beaver三元组中剩余未打开的beaver三元组。第二阶段证明阶段由证明者运行，证明者根据证据w，随机选取随机数r_w，调用同态承诺算法Com计算证据w的承诺值C_w＝Com(w；r_w)发送给验证者，其中Com算法输入证据w和随机数r_w，计算结果为对证据w的承诺。然后，证明者根据证据w和陈述x以及预计算阶段产生的材料，运行电路C(w，x)，得到算数电路C(x，w)中计算每个乘法门的副本以及副本对应的承诺的随机数并输出，该结果供验证者验证电路运行的正确性。最后，证明者根据对证据w承诺时的随机数r_w，计算最终结果对应的承诺的打开值r_result，即r_result＝C(r_w)。最终，证明者输出证明，证明为证明者计算算数电路C(x，w)中的副本信息，其包含：电路乘法门的副本、副本承诺对应的随机数、r_result。将证明最终发送给验证者。第三阶段验证阶段由验证者运行。验证者根据证据w的同态承诺值C_w＝Com(w；r_w)和陈述x，运行电路C(C_w，x)，得到相同的算数电路C关于输入为(C_w，x)的每一个乘法门副本对应的承诺，根据证明中包含的乘法门副本及其承诺的随机性验证乘法门执行的正确性，验证过程为众所周知的承诺打开算法。

进一步，验证者根据r_result对电路C(C_w，x)运行的结果进行承诺的打开，验证证明通过与否。其中，Com为满足加法同态的承诺算法，本发明C_w＝Com(w；r_w)表示使用随机数r_w对w进行承诺，承诺打开为公布随机性r_w，根据r_w和C_w可以恢复出w验证承诺值的正确性。

进一步地，本发明不依赖于任何的代数结构，可以基于任意的群、环及其对应的代数假设构造。大量的关于同态承诺算法的相关研究表明，目前已有高效的满足加法同态的承诺算法。

(2)提出了新的零知识证明预计算阶段。由证明者和验证者共同运行预计算算法，在预计算阶段可以在不需要知道证明电路的情况下产生证明所需要的某些材料。具体的讲，预计算阶段证明者和验证者通过GenTriple协议产生一系列的beaver三元组，其中beaver为发明该三元组的作者名字。具体的讲，证明者随机选取N个beaver三元组(a_i，b_i，c_i)_i∈[N]，其中满足c_i＝a_i×b_i，同时独立的随机选取三元组其中i为第i个随机的三元组用于对beaver三元组进行承诺。利用同态承诺算法Com将产生的N个beaver三元组分别计算其承诺值其中为使用随机数对a_i进行承诺，为使用随机数对b_i进行承诺，为使用随机数对c_i进行承诺。证明者输出beaver三元组的承诺值，发送给验证者，验证者收到N个beaver三元组的承诺后，随机选择集合C＝{i₁，i₂，…，i_t}，其中i_t∈{1，2，...，N}，发送给证明者，其中i₁，i₂，…，i_t为从N个beaver三元组中随机抽取t个beaver三元组对应的承诺值的索引。证明者根据收到的挑战集合C，打开对应的承诺值，即证明者将承诺中使用的随机性发送给验证者。验证者验证：验证者根据收到的随机性和承诺恢复出承诺对应的beaver三元组(a_i，b_i，c_i)_i∈[C]。如果恢复出承诺对应的beaver三元组均满足c_i＝a_i×b_i，则验证通过。证明者利用剩余未打开的N\C个beaver triples进入第二步在线阶段的算法，在这里我们记为k＝|N|-|C|，即k为未打开的beaver三元组的个数，用于第二阶段证明算法中。其中beaver三元组是一个三元组(a，b，c)满足c＝a×b，同态承诺算法是指满足加法同态性的承诺算法，即Com(a，r_a)+Com(b，r_b)＝Com(a+b，r_a+r_b)。

进一步地，在预计算阶段，本发明使用的GenTriple协议涵盖采用任何方法产生所需的beaver triples的协议。大量的关于同态承诺算法的相关研究表明，目前已有高效的GenTriple协议。本发明说明书只以”Cut-and-Choose”方法产生相应的beaver triples为例，介绍本发明的方法。

(3)提出了新的证据承诺方式。对于任意的NP语言类在证明阶段中：证明者手中拥有证据w、NP问题的陈述x、在预计算阶段(如(2)所示)产生的k个、未被打开的beaver三元组以及对应的承诺的随机性，验证者仅仅拥有NP问题的陈述x和预计算阶段产生的k个、未被打开的beaver三元组的承诺(如(2)所示)。证明算法中证明者随机选取随机数r_w，利用同态承诺算法Com对证据w计算其承诺值C_w＝Com(w；r_w)并将承诺C_w发送给验证者，证明者将r_w作为承诺的打开保存不发送。其中，C_w＝Com(w；r_w)是使用随机r_w数对证据w进行承诺。同态承诺算法是指满足加法同态性的承诺算法，即Com(a，r_a)+Com(b，r_b)＝Com(a+b，r_a+r_b)。

(4)提出了新的证明算法。证明者根据证据w以及对应的承诺的随机性r_w，预计算阶段产生的、未被打开的k个beaver三元组(a_i，b_i，c_i)_i∈[k](如(2)所示)以及对应的承诺的随机性运行证明算法：

·证明者计算关于NP语言对应的算术电路C(x，w)＝1：

1)加法门Add(e，f)：对于代数电路中任意两个需要进行加法门操作的元素e，f∈F_q：证明者计算加法门为d＝e+f，其中，F_q元素取自于{0，1，...，q-1}之间的集合；

2)乘法门Multi(g_i，h_i，a_i，b_i，c_i)：对于电路的第i个乘法门需要计算元素g_i，h_i对应的乘法结果。证明者利用预计算阶段(如(2)预计算阶段所示)产生的第i个beaver三元组(a_i，b_i，c_i)，计算：ε_i＝g_i-a_i∈F_q，δ_i＝h_i-b_i∈F_q，最终计算乘法结果：z＝c_i+ε_ia_i+δ_ib_i+ε_iδ_i∈F_q。通过引入beaver三元组，可以将乘法门的非线性运算转换为线性运算，其中，ε_i，δ_i表示第i个乘法门的计算副本，a_i和b_i和c_i为预计算阶段产生的第i个beaver三元组，g_i，h_i为第i个乘法门需要进行乘法的两个元素，表示F_q为元素取自于{0，1，...，q-1}之间的集合，i表示乘法门的索引。

·为了保证证明者不能够伪造证明，我们需要给出每个乘法门运行的正确性，即证明者是诚实运行算术电路C(x，w)＝1。具体的讲，对于每一个乘法门，验证者根据证据的承诺C_w＝Com(w，r_w)和预计算阶段得到的beaver triples的承诺计算Com(g_i)-Com(a_i)＝Com(ε_i)和Com(h_i)-Com(b_i)＝Com(δ_i)。进一步，证明者需要给出ε_i和δ_i的承诺的打开值和即证明者计算和并加入证明Π中-起发送给验证者，其中，F_q为元素取自于{0，1，...，q-1}之间的集合。和为对ε_i和δ_i承诺中使用的随机性，ε_i和δ_i为第i个乘法门的副本。和为对g_i和h_i承诺中使用的随机性，g_i和h_i为第i个乘法门需要进行乘法运算的元素。和为对a_i和b_i承诺中使用的随机性，a_i和b_i为预计算阶段产生的第i个beaver三元组。

·为了验证最终输出的正确性，证明者需要给出最终计算结果承诺的打开值，即证明者需要计算：其中，为第k个beaver三元组对应承诺的随机性，ε_k和δ_k为第k个乘法门的副本。终证明者输出证明：

·进一步，根据通用的Fiat-Shamir变换，我们可以将上述通用交互式零知识证明协议转换为非交互式零知识证明协议。

(5)提出了新的验证算法。验证者根据收到的证明Π和预计算得到的beavertriples的承诺和证据的承诺值C_w＝Com(w，r_w)，运行验证算法：

·首先验证者验证乘法门运行的正确性：对于每一个乘法门，验证者根据和验证：和其中，为使用随机数对g_i进行的承诺，为使用随机数对h_i进行的承诺，g_i和h_i为第i个乘法门需要进行乘法操作的元素；为使用随机数对a_i进行的承诺，为使用随机数对b_i进行的承诺，a_i和b_i为第i个乘法门需要进行乘法操作时使用的beaver三元组；为使用随机数对ε_i进行的承诺，为使用随机数对δ_i进行的承诺，ε_i和δ_i为第i个乘法门需要进行乘法操作时产生的副本；

·验证输出结果的正确性：对于最终输出的结果，验证者验证：其中，为使用随机数对result进行的承诺，result为电路运行的结果，即为使用随机数对c_k进行的承诺，为使用随机数对a_k进行的承诺。为使用随机数对b_k进行的承诺；a_k、b_k、c_k为第k个乘法门所使用的的beaver三元组，ε_kδ_k为第k个乘法门产生的副本。

本发明的优点如下：

本发明的零知识证明系统是高效的，与类似的基于多方安全计算的非交互零知识证明相比，本发明只需要运行所证明问题电路一次，可以抵抗量子计算机攻击，同时本发明框架不依赖于任何的代数结构。

附图说明

图1为基于多方安全计算和同态承诺的非交互式零知识证明方法流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明不依赖于任意的代数结构，可以基于任意的群、环及其对应的代数假设构造，本发明以取自F_q上的元素为例，介绍本发明。大量的关于同态承诺算法的相关研究表明，目前已有高效的满足加法同态的承诺算法。本发明使用的GenTriple协议涵盖采用任何方法产生所需的beaver三元组的协议，其中beaver三元组为一个三元组(a，b，c)满足c＝a×b。大量的关于多方安全计算技术的相关研究表明，目前已有高效的GenTriple协议。本发明说明书只以”Cut-and-Choose”方法产生相应的beaver triples为例，结合附图1介绍本发明的方法。

一、预处理算法

零知识证明的预处理算法由证明者P和验证者V两个参与方运行，最终证明者产生证明阶段乘法门所需要的beaver三元组，验证者产生对应的beaver三元组的承诺，具体的协议流程如下：

1.证明者本地产生的N个beaver三元组(a_i，b_i，c_i)_i∈[N]，其中a_i，b_i，c_i∈F_q且满足c_i＝a_i×b_i。随机选取随机数利用同态承诺算法Com分别计算beaver三元组的承诺值并发送给验证者，其中为同态承诺算法输入的随机性，beaver三元组是一个三元组(a，b，c)满足c＝a×b，同态承诺算法是指满足加法同态性的承诺算法，即Com(a，r_a)+Com(b，r_b)＝Com(a+b，r_a+r_b)，F_q为元素取自于{0，1，...，q-1}之间的集合，为使用随机数对a_i进行承诺。其中为使用随机数对b_i进行承诺。其中为使用随机数对c_i进行承诺。

2.验证者收到N个beaver triples的承诺值后，随机选择集合C＝{i₁，i₂，…，i_t}，其中i_t∈{1，2，...，N}，发送给证明者，其中i₁，i₂，…，i_t为从N个beaver三元组中随机抽取t个三元组的索引。

3.证明者根据收到的挑战集合C，打开对应的承诺值，即证明者将承诺中使用的随机性发送给验证者。验证者验证：验证者根据收到的随机性和承诺恢复出承诺值(a_i，b_i，c_i)_i∈[C]。如果打开的承诺值均满足c_i＝a_i×b_i，则验证通过。证明者利用剩余未打开的N\C个beaver triples进行在线阶段的证明，在这里我们记为k＝|N|-|C|，即k为证明算法中使用的未打开的beaver三元组的个数。

二、证明算法

对于任意的NP语言类其对应的算术电路C(x，w)＝1，乘法门个数为k，其中k为正整数。证明者手中拥有证据_w和NP问题的陈述x和预计算产生的k个未被打开的beaver三元组以及对应的承诺的随机性(如上述预计算算法产生beaver三元组所示)，验证者仅仅拥有NP问题的陈述x和预计算产生的k个未被打开的beaver三元组的承诺(如上述预计算算法产生beaver三元组所示)。

1.证明者随机选取r_w∈F_q，利用同态承诺算法Com对证据w计算其承诺值C_w＝Com(w，r_w)∈F_q并发送给验证者，证明者将r_w作为承诺的密钥保存。

2.证明者根据证据w以及对应的承诺的随机性r_w，预计算得到的k个beavertriples(a_i，b_i，c_i)_i∈[k]以及对应的承诺的随机性运行证明算法：

·证明者计算关于NP语言对应的算术电路C(x，w)＝1：算术电路可以分解为加法门操作和乘法门操作

1)加法门Add(e，f)：对于代数电路中任意两个需要进行加法门操作的元素e，f∈F_q：证明者计算加法门为d＝e+f，其中，F_q为元素取自于{0，1，...，q-1}之间的集合；

2)乘法门Multi(g_i，h_i，a_i，b_i，c_i)：对于电路的第i个乘法门需要计算元素g_i，h_i对应的乘法结果。证明者利用预计算阶段(如一预计算阶段所示)产生的第i个beaver三元组(a_i，b_i，c_i)，计算：ε_i＝g_i-a_i∈F_q，δ_i＝h_i-b_i∈F_q，最终计算乘法结果：z＝c_i+ε_ia_i+δ_ib_i+ε_iδ_i∈F_q。通过引入beaver三元组，可以将乘法门的非线性运算转换为线性运算，其中，ε_i，δ_i表示第i个乘法门的计算副本，a_i和b_i和c_i为预计算阶段产生的第i个beaver三元组，g_i，h_i为第i个乘法门需要进行乘法的两个元素，表示F_q为元素取自于{0，1，...，q-1}之间的集合，i表示乘法门的索引。

·为了保证证明者不能够伪造证明，我们需要给出每个乘法门运行的正确性，即证明者是诚实运行算术电路C(x，w)＝1。具体的讲，对于每一个乘法门，验证者根据证据的承诺C_w＝Com(w，r_w)和预计算阶段得到的beaver triples的承诺计算Com(g_i)-Com(a_i)＝Com(ε_i)和Com(h_i)-Com(b_i)＝Com(δ_i)。进一步，证明者需要给出ε_i和δ_i的承诺的打开值和即证明者计算和并加入证明Π中，其中，F_q为元素取自于{0，1，...，q-1}之间的集合。和为对ε_i和δ_i承诺中使用的随机性，ε_i和δ_i为第i个乘法门的副本。和为对g_i和h_i承诺中使用的随机性，g_i和h_i为第i个乘法门需要进行乘法运算的元素。和为对a_i和b_i承诺中使用的随机性，a_i和b_i为预计算阶段产生的第i个beaver三元组。

·为了验证最终输出的正确性，证明者需要给出最终计算结果承诺的打开值，即证明者需要计算：其中，最为第k个beaver三元组对应承诺的随机性，ε_k和δ_k为第k个乘法门的副本。

3.最终证明者输出证明：

三、验证算法

验证者根据收到的证明Π和预计算得到的beaver triples的承诺和证据的承诺值C_w＝Com(w，r_w)，运行验证算法：·首先验证者验证乘法门运行的正确性：对于每一个乘法门，验证者根据Com(x_i)，Com(a_i)，Com(yi)，Com(b_i)和验证：Com(a_i)和其中，为使用随机数对g_i进行的承诺，为使用随机数对h_i进行的承诺，g_i和h_i为第i个乘法门需要进行乘法操作的元素；为使用随机数对a_i进行的承诺，为使用随机数对b_i进行的承诺，a_i和b_i为第i个乘法门需要进行乘法操作时使用的beaver三元组；为使用随机数对ε_i进行的承诺，为使用随机数对δ_i进行的承诺，ε_i和δ_i为第i个乘法门需要进行乘法操作时产生的副本；

本发明涵盖任何零知识证明协议框架的技术方案：证明者根据证据w随机选取随机数r_w并调用同态承诺算法Com计算证据的承诺值Com(w，r_w)发送给验证者。证明者根据证据w和陈述x和对证据w承诺的随机性r_w，运行电路C(w，x)。验证者根据证据的同态承诺值C_w＝Com(w，r_w)和陈述x，运行电路C(C_w，x)。最终，证明者根据承诺的随机性r_w计算电路C(C_w，x)最终结果对应的承诺的打开值r_result，作为输出的证明。其中，Com为满足加法同态的承诺算法。验证者根据r_result对电路C(C_w，x)运行的结果进行承诺的打开，验证证明通过与否。

本发明不依赖于任何的代数结构，可以基于任意的群、环及其对应的代数假设构造。本发明只以在F_q域中为例介绍本发明算法。

在预计算阶段，本发明使用的GenTriple协议涵盖采用任何方法产生所需的beaver triples的协议。大量的关于同态承诺算法的相关研究表明，目前已有高效的GenTriple协议。本发明说明书只以”Cut-and-Choose”方法产生相应的beaver triples为例，介绍本发明的方法。

本发明涵盖任何使用不同的同态承诺算法运行证明电路。

本发明涵盖任何使用不同的同态承诺算法运行验证电路。

尽管为说明目的公开了本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims

1.一种通用非交互式零知识证明方法，其步骤包括：

1)对于任意的NP语言类

其对应的算术电路记为C(x,w)＝1，乘法门个数为K；证明者和验证者交互运行预计算阶段，产生证明阶段所需的材料；

2)证明者运行证明阶段：证明者首先根据证据w随机选取随机数r_w，调用同态承诺算法Com计算证据w的承诺值C_w＝Com(w；r_w)并将其发送给验证者；然后证明者将证据w和陈述x作为电路C(x,w)的输入记为电路C(w,x)，运行电路C(w,x)得到电路中计算每个乘法门的副本以及副本对应的承诺的随机数并将其发送给验证者；然后证明者根据随机数r_w计算打开值r_result＝C(r_w)并将其发送给验证者；

3)验证者运行验证阶段：验证者首先将证据w的承诺值C_w＝Com(w；r_w)和陈述x作为电路C(x,w)的输入记为电路C(C_w,x)，运行电路C(C_w,x)得到电路中每个乘法门副本对应的承诺；然后根据证明者所发过来乘法门副本及其承诺的随机数验证乘法门执行的正确性。

2.根据权利要求1所述的方法，其特征在于，证明者和验证者交互地运行预计算阶段，产生证明阶段所需的材料的方法为：

11)证明者和验证者首先通过GenTriple协议产生一系列的beaver三元组；

12)证明者从所生成的beaver三元组中随机选取N个beaver三元组，(a_i,b_i,c_i)为第i个beaver三元组，满足c_i＝a_i×b_i，同时为每一所选beaver三元组随机选取一用于计算其承诺的三元组；其中，i＝1～N，

为用于计算(a_i,b_i,c_i)的承诺值的三元组；

13)证明者利用同态承诺算法Com对所选N个beaver三元组分别计算其承诺值并发送给发送给验证者；其中，

为(a_i,b_i,c_i)的承诺值，

为使用随机数

对a_i进行承诺，

为使用随机数

对b_i进行承诺，

为使用随机数

对c_i进行承诺；

14)验证者从收到该N个beaver三元组的承诺值中随机t个承诺值，将该t个承诺值的索引集合C＝{i₁,i₂,…,i_t}发送给证明者，i_t为所选第t个beaver三元组承诺值的索引；

15)证明者根据收到的集合C，将对应承诺中使用的随机数发送给验证者；

16)验证者根据收到的随机数和承诺恢复出该t个承诺值对应的beaver三元组；如果打开的每一beaver三元组(a,b,c)满足c＝a×b，则验证通过；

17)证明者利用该N个beaver三元组中剩余未打开的beaver三元组作为证明阶段的材料。

3.根据权利要求2所述的方法，其特征在于，该N个beaver三元组中剩余未打开的beaver三元组个数为k。

4.根据权利要求1或2或3所述的方法，其特征在于，步骤2)中，对于电路中的每一个乘法门，验证者根据证据的承诺C_w＝Com(w,r_w)和预计算阶段得到的beaver三元组(a_k,b_k,c_k)的承诺计算Com(g_k)-Com(a_k)＝Com(ε_k)和Com(h_k)-Com(b_k)＝Com(δ_k)；证明者计算ε_k和δ_k对应的承诺的打开值

并加入证明Π中；其中，ε_k和δ_k为第k个乘法门的副本，

和

为对g_k和h_k承诺中使用的随机数，g_k和h_k为第k个乘法门需要进行乘法运算的元素，

和

为对a_k和b_k承诺中使用的随机数。

5.根据权利要求4所述的方法，其特征在于，步骤2)中，证明者计算

其中，

为第k个beaver三元组对应承诺的随机数，ε_k和δ_k为第k个乘法门的副本；证明者将证明

发送给验证者。

6.根据权利要求5所述的方法，其特征在于，步骤3)中，验证者验证乘法门执行的正确性的方法为：31)对于每一个乘法门，验证者根据

和

验证

和

是否成立，如果成立则执行32)；其中，

为使用随机数

对g_k进行的承诺，

为使用随机数

对h_k进行的承诺，g_k和h_k为第k个乘法门需要进行乘法操作的元素；

为使用随机数

对a_k进行的承诺，

为使用随机数

对b_k进行的承诺，

为使用随机数

对ε_k进行的承诺，

为使用随机数

对δ_k进行的承诺，ε_k和δ_k为第k个乘法门需要进行乘法操作时产生的副本；32)验证者验证

是否成立，如果成立则乘法门执行正确；其中，

为使用随机数

对result进行的承诺，result为电路运行的结果；

为使用随机数

对c_k进行的承诺，

为使用随机数

对a_k进行的承诺；

为使用随机数

对b_k进行的承诺；ε_kδ_k为第k个乘法门产生的副本。

7.根据权利要求1或2或3所述的方法，其特征在于，算术电路C(x,w)＝1中第k个乘法门的运算方法为：第k个乘法门需要计算元素为g_k,h_k对应的乘法结果，所用的beaver三元组为(a_k,b_k,c_k)，首先计算：ε_k＝g_k-a_k,δ_k＝h_k-b_k,然后计算乘法结果z＝c_k+ε_ka_k+δ_kb_k+ε_kδ_k。

8.根据权利要求1所述的方法，其特征在于，步骤3)中，验证者根据r_result对电路C(C_w,x)运行的结果进行承诺的打开，验证证明通过与否。

9.一种通用非交互式零知识证明系统，其特征在于，包括证明者客户端和验证者客户端；

预计算阶段：证明者客户端和验证者客户端进行交互，产生证明阶段所需的材料；

证明阶段：证明者客户端首先根据证据w随机选取随机数r_w，调用同态承诺算法Com计算证据w的承诺值C_w＝Com(w；r_w)并将其发送给验证者客户端；然后证明者客户端将证据w和陈述x作为电路C(x,w)的输入记为电路C(w,x)，运行电路C(w,x)得到电路中计算每个乘法门的副本以及副本对应的承诺的随机数并将其发送给验证者客户端；然后证明者客户端根据随机数r_w计算打开值r_result＝C(r_w)并将其发送给验证者客户端；

验证阶段：验证者客户端首先将证据w的承诺值C_w＝Com(w；r_w)和陈述x作为电路C(x,w)的输入记为电路C(C_w,x)，运行电路C(C_w,x)得到电路中每个乘法门副本对应的承诺；然后根据证明者客户端所发过来乘法门副本及其承诺的随机数验证乘法门执行的正确性。