[发明专利]基于国密SM3的哈希原像零知识证明电路生成方法及装置

权利要求书

1.一种基于国密SM3的哈希原像零知识证明电路生成方法，其特征在于，电路采用电路分层架构，所述电路分层架构包括计算入口层、压缩函数层、辅助函数层和基础计算层，其中，所述方法包括以下步骤：

按照所述电路分层架构自底向上将国密SM3的计算过程中的混合计算转换为仅包含加法和乘法电路门的计算；

按照所述电路分层架构自底向上将所述国密SM3转换后的加法和乘法电路门的输入和输出变量添加R1CS约束；

按照所述国密SM3的计算过程对转换后的加法和乘法电路门的输入输出变量进行赋值，并且结合所述R1CS约束生成哈希原像的零知识证明。

2.根据权利要求1所述的方法，其特征在于，构成SM3完整计算电路的所述计算入口层，用于输入原像计算SM3哈希值；构成SM3消息扩展和迭代压缩的计算电路的所述压缩函数层，用于作为所述计算入口层的子电路；构成SM3压缩迭代计算中使用的布尔函数及置换函数的计算电路的所述辅助函数层，用于作为所述压缩函数层的子电路；构成三数异或运算、消息字拆分与合并、循环移位及取模运算的计算电路的所述基础计算层，用于作为所述辅助函数层的子电路。

3.根据权利要求1或2所述的方法，其特征在于，所述按照所述电路分层架构自底向上将国密SM3的计算过程中的混合计算转换为仅包含加法和乘法电路门的计算，包括：

将所述基础计算层的三数异或、消息字拆分与合并、循环移位及取模计算过程转换为加乘运算形式；

将所述辅助函数层的布尔函数计算过程转换为所述基础计算层的消息字拆分与合并的加乘运算及其它加乘运算的组合，并将置换函数计算过程转换为所述基础计算层的三数异或和循环移位加乘运算组合；

将所述压缩函数层的消息扩展计算过程转换为所述辅助函数层置换函数加乘运算及其它加乘运算的组合，并将迭代压缩计算过程转换为下层多种子计算的加乘运算组合；

将所述计算入口层的SM3完整计算过程转换为多级压缩函数层的加法和乘法运算串联组合。

4.根据权利要求3所述的方法，其特征在于，所述按照所述电路分层架构自底向上将所述国密SM3转换后的加法和乘法电路门的输入和输出变量添加R1CS约束，包括：

将所述基础计算层的三数异或、消息字拆分与合并、循环位移及取模运算加乘运算等式转换成R1CS电路约束；

将所述辅助函数层的布尔函数计算的加乘运算等式转换为所述基础计算层的消息字拆分与合并R1CS电路约束及其它R1CS约束组合，并且将所述置换函数计算的加乘运算等式转换为所述基础计算层的三数异或和循环移位R1CS电路约束组合；

将所述压缩函数层的消息扩展的加乘运算等式转换为所述辅助函数层置换函数的R1CS电路约束与其它R1CS约束的组合，并将迭代压缩加乘运算等式转换为下层多种子运算的R1CS电路约束组合；

将所述计算入口层的SM3完整运算过程中的各级压缩函数间的输入与输出转换为R1CS电路约束形式。

5.根据权利要求4所述的方法，其特征在于，所述按照所述国密SM3的计算过程对转换后的加法和乘法电路门的输入输出变量进行赋值，并且结合所述R1CS约束生成哈希原像的零知识证明，包括：

将电路的输入，按照所述国密SM3的计算过程对电路中每个变量进行计算并赋值；

运行零知识证明后端工具，对生成且已对电路中各变量赋值的SM3零知识证明电路生成所述零知识证明。

6.一种基于国密SM3的哈希原像零知识证明电路生成装置，其特征在于，电路采用电路分层架构，所述电路分层架构包括计算入口层、压缩函数层、辅助函数层和基础计算层，其中，所述装置包括：

加乘电路转换模块，用于按照所述电路分层架构自底向上将国密SM3的计算过程中的混合计算转换为仅包含加法和乘法电路门的计算；

约束添加模块，用于按照所述电路分层架构自底向上将所述国密SM3转换后的加法和乘法电路门的输入和输出变量添加R1CS约束；

赋值及生成模块，用于按照所述国密SM3的计算过程对转换后的加法和乘法电路门的输入输出变量进行赋值，并且结合所述R1CS约束生成哈希原像的零知识证明。