在这个教程中我们将学习如何使用零知识证明技术解决在线旅游行业中服务提供商在不透露太多商业秘密的情况下如何向OTA平台证明其服务能力的问题。我们将使用以太坊区块链上的零知识证明应用开发框架ZoKrates来完成这个应用。
区块链开发教程链接: 以太坊 | 比特币 | EOS | Tendermint | Hyperledger Fabric | Omni/USDT | Ripple
1、在线旅游应用背景简介
我们假设如下的场景:在线旅游OTA平台作为面向终端消费者的唯一入口提供度假旅游服务,因此它需要与若干提供具体服务的供应商合作,例如航空、酒店、导游等,并将这些服务整合为一个完整的产品包出售给客户:
当OTA平台针对特定的目标群体提供度假产品包时,它就从合作伙伴中根据该产品包的特性筛选满足条件的供应商。因此如果一个新的供应商例如一个新酒店要加入该网络,就需要向OTA平台提供其服务能力的证明,例如酒店综合评价不低于3.5,或者房间价格区间为$100~$150。
这一筛选过程可以视为:OTA平台给出一组KPI,供应商则需要证明自己符合这一组KPI。例如在上面的描述中就涉及到两个KPT:
- 酒店综合评价:rating >= 3.5
- 房间价格区间: $100 < price < $150
供应商只需要证明其满足特定的KPI要求就可以了,它并不需要提供自己的具体KPI数值,这个证明过程就是零知识证明。
现在让我们用ZoKrates来实现这个具体的零知识证明应用。
2、安装ZoKrates
ZoKrates是以太坊上第一个zk-SNARK实现,可以直接使用预置的docker镜像:
docker run -ti zokrates/zokrates /bin/bash也可以用源代码自己构建:
git clone https://github.com/JacobEberhardt/ZoKrates
cd ZoKratesdocker
build -t zokrates .
docker run -ti zokrates /bin/bash
cd ZoKrates/target/release3、ZoKrates建模:使用DSL
我们假设OTA只接收综合评价在4~5的酒店,并且由于OTA设计的该度假产品目标客户群体是成本敏感型,因此要求房间价格区间为$100~$150,这些要求转化为Zokrates的DSL(领域专用语言)描述如下:
def main(private field price, private field rating) -> (field):
field minPrice = 100
field maxPrice = 150
field minRating = 4
field result = if price >= minPrice && price <= maxPrice
&& rating >= minRating then 1 else 0 fi
return result在上面的代码中,函数接收两个字段:价格/price和评分/rating,这两个字段都是私有/private的,因此基于该函数构造的任何证据都不会包含可以重构这两个字段的信息。如果price参数符合指定的最低/最高价格区间,并rating参数高于4,那么该函数就返回1,否则返回0。
看起来zokrates的DSL有点像Python,但它不是。Zokrates会编译这个DSL编写的程序并生成可以进行验证的R1CS(一阶约束系统)表示。
每一个我们希望构造证据的程序都需要从这种高层的DSL转换为数学上可以验证的表示,例如ZoKrates使用的R1CS表示,从DSL到R1CS的转换过程意味着将上述程序分解为基本的数学运算:
幸运的是,ZoKrates已经帮我们完成了上述分解工作,只需要将上述代码存入文件kpibounds.code,然后用ZokRates编译:
./zokrates compile -i kpibounds.code输出结果如下:
...
(1 * ~one) * (1 * ~one + 21888242871839275222246405745257275088548364400416034343698204186575808495616 * _2305) == 1 * _2306
(1 * _2305) * (1 * ~one) == 1 * _2307
(1 * _2306) * () == 1 * _2308
(1 * ~one) * (1 * _2307 + 1 * _2308) == 1 * _2309
(1 * ~one) * (1 * _2309) == 1 * ~out_0
return (1 * ~one) * (1 * ~out_0)
Compiled code written to 'out'
Human readable code to 'out.code'
Number of constraints: 2305注意上面输出的最后一行,这说明上述代码的R1CS表示中包含了2305个约束。这么简单的一个问题就产生这么多约束,是不是感觉有点过分了?好消息是验证的数据大小和约束的数量没有关系!我们只需要上传验证,证据是在链下计算的。
4、ZoKrates计算见证
为了构造证据,我们需要一个所描述问题的有效解,直接用zokrates命令行:
./zokrates compute-witness -a 120 4-a表示我们传入参数,第一个参数是我们的产品价格,第二个参数是评级得分。上述命令执行后ZoKrates给出了见证的R1CS表示:
...
# _2305 = Rust::Identity(1 * _2304)
(1 * ~one) * (1 * ~one + 21888242871839275222246405745257275088548364400416034343698204186575808495616 * _2305) == 1 * _2306
(1 * _2305) * (1 * ~one) == 1 * _2307
(1 * _2306) * () == 1 * _2308
(1 * ~one) * (1 * _2307 + 1 * _2308) == 1 * _2309
(1 * ~one) * (1 * _2309) == 1 * ~out_0
return (1 * ~one) * (1 * ~out_0)
Witness:~out_0 1最后一行很重要,因为它表明见证是有效的。我们可以试着传另一组参数:
./zokrates compute-witness -a 120 3你可以得到如下的输出结果:
...
Witness:~out_0 05、ZoKrates设置:生成密钥对
构造zksnark应用需要一对密钥用于证据生成和验证,这同样是用zokrates命令行来完成:
./zokrates setup上述命令执行后,生成文件proving.key和verification.key分别用于证据的生成和验证。
6、ZokRates生成证据
有了生成密钥,现在可以用zokrates命令行生成证据了:
./zokrates generate-proof输出如下:
...
"H":["0x99b2d8f0e11c030ec383d6993a745c6ca6a2d2c96ff968aca54c7f12f1af6b9", "0xee87810b5bafcb94259b5fb18db449e737250d8814f2bd3f6423a04dab91a74"],
"K":["0x2256ad47f190e9da72bee9e6a1b56785dd7c0b4f402effe5dcc9895aff280528", "0x104fc9c7ba4f4a70b2f0c26c76baa014f4ffbaf82a3f49fc60cee407e78c5a17"]
},
"input":[0]
}"input": [0]指的是公开输入,由于我们将所有输入都定义为私有,因此不需要公开输入。
在ZoKrates内部使用了libsnark,因此在执行上面命令之前我们需要先计算见证、生成密钥对。生成的证据存入json文件proof.json。随后我们将该文件上传以便进行验证。
7、ZoKrates验证证据
现在我们终于可以利用以太坊区块链了。我们将向Rposten测试链上传一个用于验证的智能合约。
为了创建 验证代码,我们需要前面生成的验证密钥,然后执行如下命令:
./zokrates export-verifier该命令会生成一个新的文件:verifier.sol,这就是一个solidity智能合约。我们利用Solidity IDE将其部署到Ropsten测试链:
注意在这里我们选择了较早的Solidity编译器版本0.4.24。整个验证合约为559行代码,其中包含了所需的椭圆曲线操作代码。部署结果如下:
我们现在就可以访问这个合约的verifyTx方法了。在remix ide中我们手工输入proof.json中的数据:
发送交易之后我们需要稍等一会儿,然后检查验证是否成功。验证合约同时也会触发一个成功事件:
COOOOOOOOOOOOOOOOOOOOOOOOOOOOOOL.
