CN116506128B - 一种打包零知识证明方法、装置、电子设备和存储介质 - Google Patents

Abstract

本发明公开了一种打包零知识证明方法、装置、电子设备和存储介质，所述方法包括：1)证明者根据公开参数计算得到私有数据y，并对y和自己的隐私数据s进行承诺得到承诺值计算与y相关的向量的掩盖然后将与发送给验证者；2)根据公开参数、与计算挑战值c；3)根据c、y和s生成用于验证的辅助信息并发送给验证者；证明者根据公开参数和辅助信息计算挑战值F；4)将的打开信息打包后与F结合，生成承诺打开信息的知识证明Z并发送给验证者；5)验证者根据收到数据计算得到挑战值c、F；6)根据收到的信息和c、F对Z进行验证。本发明减少了零知识证明的重复次数，提高了零知识证明的效率。

Description

一种打包零知识证明方法、装置、电子设备和存储介质

技术领域

本发明属于密码学领域，涉及一种打包零知识证明方法、装置、电子设备和存储介质。

背景技术

零知识证明在上世纪八十年代由Goldwasser、Micali和Rackoff提出。它是运行在证明者和验证者之间的一种两方密码协议,可用于进行成员归属命题证明或知识证明。证明者在不提供任何额外信息的情况下，能使得验证者相信证明者的论述，被广泛应用。后期衍生出了非交互零知识证明，减少了验证者的通信步骤，能够覆盖更多的应用场景。

将零知识证明用于保护用户的隐私数据是重要应用之一，如区块链、隐私计算中对数据的隐私性和安全性都有较高要求。现有的多种零知识证明系统在达到目标安全要求时，不仅需要复杂的计算，还会导致交互轮数上升，总体效率很差，不符合实际应用中的基本要求。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种打包零知识证明方法、装置、电子设备和存储介质。在给定安全参数的情况下，为了达到所需的知识合理性，可以减少零知识证明的交互轮数，以减小证明大小，提高运行效率。

为实现上述目标，本发明提供一种打包零知识证明方法，应用于证明者，其包括以下步骤：

步骤1，根据公开参数计算得到私有数据，利用所得私有数据和自己的隐私数据进行承诺并发送；

步骤2，根据上述数据计算第一挑战值，用于对隐私数据的宽松证明；

步骤3，生成并发送用于验证的辅助信息；

步骤4，根据上述数据计算第二挑战值，用于对承诺所用随机向量的打包证明；

步骤5，将承诺的打开信息打包后与第二挑战值结合，生成承诺打开信息的知识证明并发送。

进一步的，步骤1，证明者计算私有数据，并对私有数据和隐私数据进行承诺和掩盖包括：

步骤11，在公开参数决定的均匀分布和高斯分布中分别采样随机数y和随机向量

步骤12，以作为打开信息，利用一种承诺方案对私有数据y和隐私数据s承诺；

步骤13，使用公共参数中的A′对与对随机数y作数论变换得到的向量做掩盖，这里的A′是由第三方选取的随机矩阵，用于计算公开数据/>和计算承诺；

步骤14，将私有数据y、隐私数据s的承诺值和的掩盖发送给验证者。

上述步骤的有益效果是：利用承诺方案和掩盖，将采样所得随机量包含在具有新生成的随机值中，具有较高的安全性，不会泄露证明者的私有数据。而通过设计的承诺方案和掩盖的形式，可以保证在统计分布与随机选取不可区分的情况下，不会影响验证者的计算和验证。

步骤2，将上述数据中的A′，承诺所用公共参数，承诺值和向量的掩盖输入随机谕示机，得到第一挑战值。

进一步的，步骤3，根据上述数据，证明者生成辅助信息，包括：

步骤31，计算隐私数据的宽松零知识证明z；

步骤32，在公共参数决定的高斯分布中采样向量

步骤33，使用公共参数中的对向量/>做掩盖；

步骤34，计算与第一挑战值，公共参数向量/>相关的辅助信息x₁；

步骤35，计算与第一挑战值，宽松零知识证明z，公共参数向量/>相关的辅助信息x₂；

步骤36，将宽松零知识证明z、的掩盖、辅助信息x₁和x₂发送给验证者。

进一步的，步骤4，把上述数据中的A′，所用公共参数隐私数据的宽松零知识证明z，向量/>的掩盖，辅助信息x₁，x₂输入随机谕示机，得到第二挑战值。

上述步骤的有益效果是：利用公共参数和验证者接收的数据，借助随机谕示机，证明者可以自行生成第一挑战值和第二挑战值，取代等待验证者发送的挑战，验证者也可以根据接收信息访问随机谕示机获取第一挑战值和第二挑战值。这样生成非交互式零知识证明，既减少了等待时间，也减少了通信复杂度，提高了零知识证明的效率。

步骤5，根据公共参数中的安全参数要求，证明者计算所需要的打包规模，将承诺的打开信息按照打包规模编码，并与第二挑战值结合，与随机向量/>的打包Y相加得到承诺打开信息的知识证明Z。然后将Z，打包后的/>与第二挑战值的乘积，公共参数σ′输入拒绝采样算法，当算法输出为0时，拒绝采样算法通过，Z作为证明发送给验证者。否则回到步骤3。

上述步骤的有益效果是，其他零知识证明为达到确定的知识合理性，需要进行多次重复证明，涉及多轮挑战、应答的通信。本发明的打包方法，只需一轮的挑战、应答，就可以输出满足给定知识合理性的证明，大大减少了证明长度。

进一步地，所述承诺选用BDLOP承诺方案。

本发明还提供一种打包零知识证明方法，应用于验证者，包括：

步骤6，计算第一挑战值，第二挑战值；

步骤7，借助接受的信息和第一、第二挑战值，验证零知识的证明。

其中，步骤7，验证者根据接收信息和计算结果，验证零知识证明，包括：

步骤71，验证零知识证明Z的范数范围；

步骤72，验证宽松的知识证明z；

步骤73，验证零知识证明Z；

步骤74，验证辅助信息中x₁符合验证等式；

步骤75，验证辅助信息中x₂符合验证等式。

本发明提供一种打包零知识证明装置，包括：

公共参数生成模块，计算并分发零知识证明中所需的公共参数；

计算模块，根据公共参数，计算私有数据和用于验证的辅助信息；

承诺模块，根据公共参数，对分布采样后进行承诺和掩盖；

证明模块，根据辅助信息，生成打包零知识证明；

接收模块，接受证明者发送的承诺信息，辅助信息和证明；

验证模块，根据公开参数，公开数据，承诺信息，辅助信息对证明者发送的证明进行验证。

本发明提供一种电子设备，包括：存储设备，可以运行存储设备上程序的处理设备。当所述处理设备执行存储设备上程序的时候，能够实现所述的打包零知识证明方法。

本发明提供一种可读取的存储介质，储存有所述打包非交互零知识证明方法，并且存储介质被读取后，可以实现所述的打包零知识证明方法。

附图说明

图1为本发明实施例一的打包零知识证明方法的总体流程图。

图2为本发明打包零知识证明方法中证明者生成打包零知识证明步骤1的流程图。

图3为本发明打包零知识证明方法中证明者生成打包零知识证明步骤3的流程图。

图4为本发明打包零知识证明方法中证明者生成打包零知识证明步骤5的流程图。

图5为本发明打包零知识证明方法中验证者验证打包零知识证明的流程图。

图6为本发明打包零知识证明装置的结构图。

具体实施方式

下面结合附图对本发明进行进一步详细描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

实施例1

首先说明一些基本设置，

d：形式为2的方幂的值。

R：环 为整数环上的多项式集合。

R_q：环R模素数q形成的商环由于d是2的方幂，所以X^d+1是一个分圆多项式。所以R_q是一个分圆环。

第二挑战值分量的取值空间。这里Xⁱ是多项式环中自变量X的所有幂次小于d的集合。

隐私数据s的数论变换(NTT)表示。

对素数q，当q-1≡2lmod(4l)时，分圆多项式的所有2l-次本原单位根均落在中。设分圆多项式X^d+1的所有本原单位根是ξ₁,…,ξ_l，此时多项式X^d+1在/>中可以分裂为l个不可约多项式/>的乘积，即/>因此多项式环R_q的结构可以写成从而对于任意的g(X)∈R_q，它的数论变换表示为(g₁(X),…,g_l(X))，其中/>

随机数y的NTT表示。

证明z的NTT表示。

λ：安全参数。协议想要达到的安全标准，比如2¹²⁸或2²⁵⁶。

证明者希望在不泄露隐私数据s的情况下，向验证者证明满足/>并且其中/>是满足格上ISIS困难问题的等式，/>可以由证明者计算并发送给验证者。为此，如图1所示，本实施例展示一种打包零知识证明方法，包括：

步骤1，证明者根据公开参数计算私有数据，对私有数据和隐私数据进行承诺；

其中，证明者拥有如下信息：

隐私数据s；

公共参数:A′，安全参数λ，运算基于的环R_q，用于承诺的随机向量的分布η，用于证明的随机向量分布标准差σ，标准差σ′，其中σ′是对用于证明的随机向量打包后得到随机矩阵的标准差，承诺所需向量其中/>用于对全零向量0做承诺和计算掩盖的向量；/>用于计算私有数据y和隐私数据s的承诺以及用于计算辅助信息x₁的向量；/>用于对y(2s-3)和y²(s-3)做承诺以及用于计算辅助信息x₂的向量。

如图2所示，步骤1中证明者计算私有数据并对私有数据和隐私数据承诺包括以下子步骤：

步骤11，证明者根据公开参数R_q、η、d，在R_q均匀随机采样随机数y，在η^6d中采样随机向量

步骤12，以作为打开信息，利用一种承诺方案对私有数据y和隐私数据s及二者的复合关系做承诺。具体的，使用BDLOP承诺方案，计算承诺值/>

其中是对全零向量0的承诺，用于对承诺使用随机向量/>的证明；/>是对私有数据y的承诺，/>是对隐私数据s的承诺，用于隐私数据s的宽松证明；/>和/>是对y(2s-3)和y²(s-3)的承诺。

步骤13，使用公共参数中的A′对与随机数y相关的向量做掩盖，计算/>

步骤14，将发送给验证者。

步骤2，根据上述数据计算第一挑战值。

具体地，证明者调用随机谕示机Oracle，输入得到输出第一挑战值c。

如图3所示，步骤3中证明者生成用于验证的辅助信息，包括以下子步骤：

步骤31，根据第一挑战值c，步骤11采样的随机数y和隐私数据s，计算s的宽松证明z＝y+cs；

步骤32，从6d维，标准差为σ的离散高斯分布η^6d中采样得到随机向量

步骤33，对采样的随机向量做掩盖，计算/>

步骤34，根据公共参数中的和第一挑战值c,计算用于验证的辅助信息

步骤35，根据步骤32计算的宽松证明z，公共参数中的和第一挑战值c，计算用于验证隐私数据s精确范围的辅助信息/>

步骤36，将发送给验证者。

步骤4，根据上述数据计算第二挑战值。

具体地，证明者调用随机谕示机Oracle，输入得到输出第二挑战值F。

如图4所示，步骤5中证明者将承诺的打开信息打包后与第二挑战值结合，生成承诺打开信息的知识证明。首先证明者根据公共参数中的安全参数λ，决定打开信息/>的打包规模，打包为矩阵/>对应地根据第二挑战值的维数，打包随机向量/>为/>计算这里R与F相乘再与Y相加得到/>中的矩阵Z，按列来写得到τ个列向量/>然后调用拒绝采样算法Rej，输入参数(Z,RF,σ′)，得到输出rej。如果rej＝0，则接受，将Z作为零知识证明发送给验证者；否则，拒绝，回到步骤3。其中σ′是将/>打包后Y的标准差，与σ相关。

验证者验证证明者生成的零知识证明，包括：

步骤6，验证者调用随机谕示机Oracle，将公共参数和接收到的/>输入，得到输出第一挑战值c；将公共参数/>和接收到的辅助信息输入随机谕示机Oracle，得到输出第二挑战值F。

步骤7，如图5所示，验证零知识证明，包括以下子步骤：

步骤71，验证者计算零知识证明Z的二范数，检验是否小于如果继续验证；否则返回验证不通过；

步骤72，验证步骤3中隐私数据的宽松零知识证明z。验证者计算检验a₁和b₁是否相等。如果相等，继续验证；否则返回验证不通过；

步骤73，验证零知识证明Z。对Z，F的分量f_i，0≤i≤τ，验证者计算/> 检验对所有的i，是否都有a_2,i与b_2,i相等。如果全部相等，继续验证；否则返回验证不通过。

步骤74，验证辅助信息中x₁符合验证等式。对0≤i≤τ，验证者计算 b_3,i＝x₁+f_i(t₂+ct₃)。检验对所有的i，是否都有a_3,i与b_3,i相等。如果全部相等，继续验证；否则返回验证不通过。

步骤75，验证辅助信息中x₂符合验证等式。对0≤i≤τ，验证者计算 b_4,i＝x₂+f_i((z-c)(z-2c)t₃-zt₄+t₅)。检验对所有的i，是否都有a_4,i与b_4,i相等。如果全部相等，返回验证通过；否则返回验证不通过。

实施例2

为了实现实施例1中的打包零知识证明方法，如图6所示，本实施例提出了一种基于打包零知识证明方法的非交互零知识证明装置，包括公共参数分发单元；零知识证明生成单元；零知识证明验证单元。

具体的，公共参数分发单元中包括公共参数生成模块：计算并分发零知识证明中所需的公共参数。

零知识证明生成单元，对应于实施例1中证明者的步骤，包括：

计算模块，根据公共参数，计算私有数据和用于验证的辅助信息；

承诺模块，根据公共参数，对分布采样后进行承诺和掩盖；

证明模块，根据辅助信息，私有数据，承诺和掩盖信息，生成打包零知识证明,与承诺信息，辅助信息一起作为证明。

零知识证明验证单元，对应于实施例1中验证者的步骤，包括：

接收模块，接收证明者发送的承诺信息，辅助信息和零知识证明；

验证模块，根据公开参数，承诺信息，辅助信息对证明者发送的零知识证明进行验证。

尽管为说明目的公开了本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (10)

1.一种打包零知识证明方法，其步骤包括：

1)证明者根据公开参数计算得到私有数据y，并对私有数据y和自己的隐私数据s进行承诺，得到一承诺值计算与私有数据y相关的向量/>的掩盖/>然后将该承诺值/>与该掩盖发送给验证者；

2)证明者根据所述公开参数、承诺值与掩盖/>计算第一挑战值c；

3)证明者根据所述第一挑战值c、私有数据y和隐私数据s，生成用于验证的辅助信息并发送给验证者；

4)证明者根据所述公开参数和所述辅助信息计算第二挑战值F；

5)证明者将所述承诺值的打开信息/>打包后与所述第二挑战值F结合，生成承诺打开信息的零知识证明Z并发送给验证者；

6)验证者根据所述公开参数、收到的承诺值与掩盖/>计算得到第一挑战值c，根据所述公开参数和收到的所述辅助信息计算得到第二挑战值F；

7)验证者根据收到的辅助信息和第一挑战值c、第二挑战值F对所述零知识证明Z进行验证。

2.根据权利要求1所述的方法，其特征在于，步骤1)的具体实现方法为：

11)从根据所述公开参数决定的均匀分布中采样随机数作为私有数据y；从根据所述公开参数决定的高斯分布中采样随机向量

12)以所述随机向量作为打开信息，利用承诺方案对私有数据y和隐私数据s做承诺，得到承诺值/>

13)使用公开参数中的公共参数A′对与私有数据y相关的向量做掩盖，得到掩盖

14)将该承诺值与该掩盖/>发送给验证者。

3.根据权利要求2所述的方法，其特征在于，生成所述辅助信息的方法为：

31)根据第一挑战值c，计算隐私数据s的宽松零知识证明z＝y+cs；

32)从所述高斯分布中采样得到随机向量

33)对所述随机向量做掩盖，计算/>

34)计算用于验证的辅助信息

35)计算用于验证隐私数据s范围的辅助信息

36)将辅助信息发送给验证者；其中，/>为所述公开参数中进行承诺所需的向量，/>是用于对全零向量0做承诺和计算掩盖的向量；/>是用于计算私有数据y和隐私数据s的承诺以及用于计算辅助信息x₁的向量；/>是用于对y(2s-3)和y²(s-3)做承诺以及用于计算辅助信息x₂的向量。

4.根据权利要求3所述的方法，其特征在于，证明者调用随机谕示机Oracle，输入得到第一挑战值c；证明者调用随机谕示机Oracle，输入得到第二挑战值F。

5.根据权利要求3所述的方法，其特征在于，生成承诺打开信息的零知识证明Z的方法为：首先证明者根据公开参数中的安全参数λ，决定打开信息的打包规模，将打开信息/>打包为矩阵R，根据第二挑战值F的维数将随机向量/>打包为矩阵Y，计算Z＝Y+RF；然后调用拒绝采样算法Rej，输入参数(Z,RF,σ′)，得到输出rej；如果rej＝0，则将Z作为零知识证明发送给验证者；否则回到步骤3)；其中σ′为矩阵Y的标准差。

6.根据权利要求5所述的方法，其特征在于，对所述零知识证明Z进行验证的方法为：

71)验证者计算零知识证明Z的二范数，检验零知识证明Z是否小于如果则进行步骤72)；否则验证不通过；d为形式为2的方幂的值；

72)验证宽松零知识证明z，如果验证通过则进行步骤73)；否则验证不通过；

73)验证零知识证明Z，如果验证通过则进行步骤74)；否则验证不通过；

74)验证辅助信息中x₁是否符合验证等式，如果验证通过则进行步骤75)；否则验证不通过；

75)验证辅助信息中x₂是否符合验证等式，如果验证通过则验证成功；否则验证不通过。

7.根据权利要求1所述的方法，其特征在于，所述公开参数包括：公共参数A′，安全参数λ，承诺所需向量环R_q，用于承诺的随机向量的分布η，用于证明的随机向量分布标准差σ，对随机向量打包后得到随机矩阵的标准差；环R_q为环R模素数q形成的商环，环/> 为整数环上的多项式集合，X^d+1是一个分圆多项式，d为形式为2的方幂的值。

8.一种打包零知识证明装置，包括：

公开参数生成模块，用于生成零知识证明中所需的公开参数并分别发送给证明者和验证者；

计算模块，位于证明者，用于根据所述公开参数计算得到私有数据y；根据所述公开参数、承诺值与掩盖/>计算第一挑战值c；以及根据第一挑战值c、私有数据y和隐私数据s，生成用于验证的辅助信息；根据所述公开参数和所述辅助信息计算第二挑战值F；

承诺模块，位于证明者，用于根据所述公开参数对私有数据y和隐私数据s进行承诺，得到一承诺值计算与私有数据y相关的向量/>的掩盖/>

证明模块，位于证明者，用于将所述承诺值的打开信息/>打包后与所述第二挑战值F结合，生成承诺打开信息的零知识证明Z；

验证模块位于验证者，用于根据所述公开参数、收到的承诺值与掩盖/>计算得到第一挑战值c，根据所述公开参数和收到的所述辅助信息计算得到第二挑战值F，根据收到的辅助信息和第一挑战值c、第二挑战值F对所述零知识证明Z进行验证。

9.一种电子设备，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1至7任一所述方法中各步骤的指令。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一所述方法的步骤。