一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法与流程

1.本发明属于密码学隐私保护领域，尤其涉及一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法。


背景技术：

2.零知识证明在区块链中被广泛使用。例如，zcash使用zk
‑
snark作为其识别交易的核心技术。到目前为止，已经提出了各种范围证明，它们的效率和区间灵活性得到增强。bootle等人使用内积方法和递归来构建有效的零知识证明。随后，benediky bunz等人提出了一种称为bulletproofs的有效范围证明方案，它可以说服验证者一个秘密数字位于[0,2
κ
‑
1]中，其中κ是正整数。通过结合内积和拉格朗日三平方定理，我们提出一个新的范围证明方案,该证明方案可以证明一个秘密数v∈[a，b]而不暴露v的额外信息。在bulletproofs中，其通信成本为6 2logκ，而在我们的方案中，所有通信成本、证明时间和验证时间恒定不变。


技术实现要素：

[0003]
本发明的目的在于提供一种基于拉格朗日三整数定理和内积的零知识范围证明方法来证明v∈[a，b],以解决bulletproofs中通信成本与κ成亚线性关系的问题。
[0004]
为解决上述技术问题，本发明的一种基于拉格朗日三整数定理和内积的零知识范围证明方法的具体技术方案如下：
[0005]
一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法，包括如下步骤：
[0006]
步骤1：生成公共参数；
[0007]
步骤2：生成秘密值和承诺值；
[0008]
步骤3：证明者将这些承诺值发送给验证者；
[0009]
步骤4：验证者向证明者发送挑战值；
[0010]
步骤5：证明者第一次生成回复值并发送给验证者；
[0011]
步骤6：验证者第二次向证明者发送挑战值；
[0012]
步骤7：证明者第二次生成回复值并发送给验证者；
[0013]
步骤8：验证者验证等式是否成立。
[0014]
进一步地，步骤1包括如下具体步骤：
[0015]
步骤1.1：第三方可信设置根据安全参数λ来选取两个大素数p和q，设置p和q的长度为1024bit，并计算出p和q的积n；
[0016]
步骤1.2：找出所有与n互素的数并构建出rsa群随机选出中的元素g、h、g、h，设置g、h、g、h、n、λ为公共参数,我们用粗体字母表示向量如(g＝(g1，g2，...，g6)),另外0
x
表示长度为x,元素全为0的向量。
[0017]
进一步地，步骤2包括如下具体步骤：
[0018]
步骤2.1：秘密值的计算：
[0019]
验证者计算满足步骤2.2：承诺值的计算：
[0020]
验证者选取两个随机数和两个随机向量计算
[0021]
进一步地，步骤3包括如下步骤：
[0022]
证明者将a，s，v发送给验证者。
[0023]
进一步地，步骤4包括如下具体步骤：
[0024]
步骤4.1：计算挑战值：
[0025]
验证者选择两个随机数y
′
并计算出挑战值y＝g
y
′
，z＝g
y
′
[0026]
步骤4.2：发送挑战值：
[0027]
验证者将y，z发送给证明者。
[0028]
进一步地，步骤5包括如下具体步骤：
[0029]
步骤5.1：计算t1，t2：
[0030]
证明者根据公式以及以及以及来计算出t1，t2；其中<i(x)，r(x)>表示为向量i(x)与向量r(x)的内积,||表示为两个向量的拼接，d
[:l]
＝d
[0:l]
＝(d1，...，d
l
)，d
[l:]
＝d
[l:s]
＝(d
l 1
，...，d
s
)；y＝(y，2y，3y，4y，5y，6y)；
[0031]
步骤5.2：计算回复值t1，t2：
[0032]
证明者随机选取计算证明者将t1，t2发送给验证者。
[0033]
进一步地，步骤6中验证者随机选择计算然后将x发送给证明者。
[0034]
进一步地，步骤7包括如下具体步骤：
[0035]
证明者收到x后，计算证明者收到x后，计算然后将再计算r1＝4r，＝4r，
[0036]
证明者将发送给验证者。
[0037]
进一步地，步骤8验证者使用从证明者处获取的数值，构建等式并验证它们是否相等,包括如下具体步骤:
[0038]
步骤8.1：
[0039]
计算计算
[0040]
步骤8.2：
[0041]
验证以下等式是否成立：
[0042]
其中表示为向量(1,2)；
°
表示为向量之间的hadamard积；δ(y)＝<y，y>
[0043]
如果所有等式成立，证明者就成功证明v∈[a，b]。
[0044]
发明了一种基于拉格朗日三整数定理和内积的零知识范围证明方法具有以下优点：本发明证明的范围区间可以是任意的，本发明的方案具有完备性，合理性以及零知识性。通过本发明设计的零知识证明方案提供了保护信息安全的能力。在实验中，成功的将拉格朗日三整数定理和内积计算相结合，从生成公共参数和秘密值开始，到证明的生成与验证，提供了一套完整的解决方案。同时通过实验表明，本发明的方案在通信开销和计算开销上也更具实用性。
附图说明
[0045]
图1为本发明的一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法的流程框图；
[0046]
图2为本发明的证明生成时间以及验证时间折线图；
[0047]
图3为本发明的不同区间的范围证明的证明大小图。
具体实施方式
[0048]
为了更好地了解本发明的目的、结构及功能，下面结合附图,对本发明一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法做进一步详细的描述。
[0049]
如图1所示，本发明的一种基于拉格朗日三整数定理和内积的大小恒定的零知识范围证明方法，包括如下步骤：
[0050]
步骤1：生成公共参数。
[0051]
为了确保信息的安全性，第三方可信设置根据安全参数λ来选取两个大素数p和q，设置p和q的长度为1024bit，只有当p和q足够大时，才能够确保别人不会通过p和q的乘积n来分解出p和q。随后找出所有与n互素的数并构建出rsa群在该发明中，所有有关群元素的运算都是要去模n的。为了确保恶意的证明者只能以很小的概率通过验证者的验证p和q必须足够大。随机选出中的元素g、h、g、h，设置g、h、g、h、n、λ为公共参数，我们用粗体字母表示向量如(g＝(g1，g2，...，g6)),另外0
x
表示长度为x,元素全为0的向
量。在该方案中g、h、g、h被用于生成承诺值。
[0052]
步骤2：生成第一阶段证明数据。
[0053]
步骤2.1：秘密值的计算
[0054]
验证者计算满足通过拉格朗日三整数定理来证明v
‑
a>0以及b
‑
v>0以此来证明v∈[a，b]。
[0055]
步骤2.2：承诺值的计算
[0056]
验证者选取两个随机数和两个随机向量计算通过承诺值a，s，v来对秘密值进行加密并且a，s，v会被验证者用于后续的等式验证。
[0057]
步骤3：证明者将承诺值发送给验证者。
[0058]
证明者将a，s，v发送给验证者。
[0059]
步骤4：生成第一份挑战值。
[0060]
验证者选择两个随机数y
′
并计算出挑战值y＝g
y
′
，z＝g
z
′
验证者将y，z发送给证明者。
[0061]
步骤5：证明者第一次生成回复值并发送给验证者。
[0062]
步骤5.1：计算t1，t2[0063]
证明者根据公式以及以及以及计算出t1，t2，其中<i(x)，r(x)>表示为向量i(x)与向量r(x)的内积，||表示为两个向量的拼接，d
[:l]
＝d
[0:l]
＝(d1，...，d
l
)，d
[l：]
＝d
[l:s]
＝(d
l 1
，...，d
s
)，y＝(y，2y，3y，4y，5y，6y)。
[0064]
步骤5.2：计算回复值t1，t2[0065]
证明者随机选取计算t1，t2的承诺值i∈{1，2}，证明者将t1，t2发送给验证者。
[0066]
步骤6：验证者第二次向证明者发送挑战值。
[0067]
验证者随机选择计算然后将x发送给证明者。
[0068]
步骤7：证明者第二次生成回复值并发送给验证者。
[0069]
证明者收到x后，计算证明者收到x后，计算然后将再计算
[0070]
证明者将发送给验证者。
[0071]
步骤8：验证者验证等式是否成立。
[0072]
步骤8.1：
[0073]
计算
[0074][0075]
步骤8.2：
[0076]
验证以下等式是否成立：
[0077]
其中表示为向量(1,2)；
[0078]
°
表示为向量之间的hadamard积,δ(y)＝<x，y>。
[0079]
如果所有等式成立，证明者就成功证明了v∈[a，b]。
[0080]
本发明的效果可以通过以下仿真进一步说明：
[0081]
1.仿真条件：
[0082]
本发明仿真的硬件环境是：计算机系统windows 10，处理器intel i5
‑
8265u，内存8gb，硬盘512gb。我们以模n的rsa群作为基准，其中n＝p*q。对于每组数据我们都是通过做10000次实验然后取结果的平均值所得到的。
[0083]
2.仿真内容和结果分析：
[0084]
在实验中我们设置大素数p，q的长度为1024比特，因此n的长度为2048。
[0085]
表1显示了在不同的区间下范围证明的证明时间、验证时间和门的数量。图2分别显示了证明时间和范围证明的验证时间。无论区间有多大，证明时间都是接近170毫秒，验证时间接近447毫秒。图3显示了不同区间范围证明的证明大小。
[0086][0087]
表1不同区间内的范围证明的证明时间、验证时间和门的数量
[0088]
仿真实验结果表明:通过本发明设计的零知识证明方案提供了保护信息安全的能力。在这里，成功的将拉格朗日三整数定理和内积计算相结合，从生成公共参数和秘密值开始，到证明的生成与验证，提供了一套完整的解决方案。同时通过实验表明，我们发明的方案在通信开销和计算开销上也更具实用性。
[0089]
可以理解，本发明是通过一些实施例进行描述的，本领域技术人员知悉的，在不脱离本发明的精神和范围的情况下，可以对这些特征和实施例进行各种改变或等效替换。另外，在本发明的教导下，可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此，本发明不受此处所公开的具体实施例的限制，所有落入本技术的权利要求范围内的实施例都属于本发明所保护的范围内。