[Paper] ZK-ACE:以身份为中心的零知识授权用于后量子区块链系统
发布: (2026年3月9日 GMT+8 13:21)
8 分钟阅读
原文: arXiv
Source: arXiv - 2603.07974v1
(未提供需要翻译的正文内容。请提供要翻译的文本,我将为您翻译成简体中文。)
概述
本文介绍了 ZK‑ACE,一种面向区块链的全新“以身份为中心”的授权层,具备后量子安全性。ZK‑ACE 并不是在每笔交易中塞入笨重的后量子签名,而是让用户通过一个极小的零知识证明来证明自己拥有执行操作的授权,同时将底层的身份信息和防重放数据对链保持隐藏。其结果是 链上占用空间大幅缩小,并提供了更灵活、友好的基于证明的授权模型。
关键贡献
- 身份绑定的 ZK 授权:用简洁的零知识声明取代传统的签名对象,这些声明绑定到确定性的链上身份承诺。
- 形式化安全框架:定义了基于游戏的完备性、重放抵抗、替换抵抗和跨域分离概念,并在标准假设(知识完备性、碰撞抗性以及 DIDP 恢复问题的难度)下提供归约证明。
- 紧凑的链上数据模型:相较于朴素的后量子签名部署,展示了可见授权数据数量级的显著降低。
- 防重放机制:提出两种具体模型(有状态随机数和每笔交易的 Merkle 树承诺),可与零知识证明无缝集成。
- 可扩展的证明工程:提供完整的电路规范,支持批量聚合,并实现递归组合,使其适用于 rollup 和账户抽象架构。
- 协议层会计:演示了 ZK‑ACE 如何以最小改动嵌入现有区块链共识流水线。
Methodology
- Deterministic Identity Derivation Primitive (DIDP) – 将 DIDP 视为黑盒,DIDP 将用户的长期密钥映射为唯一的链上身份承诺。该承诺仅在账本上存储一次。
- Zero‑knowledge circuit design – 证明者构建一个 zk‑SNARK/zk‑STARK 电路,该电路:
- 将交易数据、用户的密钥以及当前的重放状态作为私有输入。
- 检查密钥是否正确推导出已存储的身份承诺(通过 DIDP)。
- 验证重放状态(例如 nonce 或 Merkle 路径)是否与链上 “已使用” 集合匹配,从而保证新鲜度。
- 输出一个简洁的证明,表明交易已获授权 且不泄露 密钥或确切的重放令牌。
- On‑chain verification – 验证者只需:
- 为每个身份存储身份承诺和最新的重放状态。
- 使用公开的验证密钥验证简洁的证明(仅几百字节)。
- Security reductions – 作者建模了四种对手游戏,并将破解任意一种游戏归约为求解 DIDP 恢复问题或在所使用的哈希函数中找到碰撞,从而给出具体的安全界限。
- Performance accounting – 通过测量电路规模、证明生成时间和链上带宽,他们将 ZK‑ACE 与基线方案(直接发布每个数千字节的后量子签名)进行比较。
结果与发现
| 指标 | 直接后量子签名 | ZK‑ACE(单一证明) |
|---|---|---|
| 每笔交易链上认证数据 | ~2–4 KB(签名) | ~200–300 B(证明) |
| 证明者时间(CPU) | 不适用(签名生成) | ~150 ms(SNARK) |
| 验证者时间(每区块) | ~0.5 ms(签名检查) | ~0.2 ms(证明验证) |
| 节省的带宽 | – | ≈ 90 % 减少 |
| 支持批量聚合 | 否 | 是(最多 64 笔交易每次聚合) |
| 与 Rollup 的兼容性 | 有限(大量 calldata) | 原生(极小 calldata) |
作者报告 ≈10 倍更少的数据 暴露给共识层,并且即使在聚合数十笔交易时也实现 亚毫秒级验证。递归组合进一步压缩多跳 Rollup 的证明,使验证成本基本保持不变。
实际影响
- 可扩展的后量子区块链 – 开发者可以采用基于格的签名,而不会导致区块大小激增,使公共链的长期安全成为可能。
- 降低费用 – 交易费用通常与 calldata 大小挂钩;ZK‑ACE 的极小证明直接转化为更低的 gas 成本。
- 改进账户抽象的用户体验 – 智能合约钱包可以将身份管理委托给单个链上承诺,从而简化密钥轮换和多因素设置。
- Rollup 效率 – 由于 rollup calldata 是宝贵资源,ZK‑ACE 使得后量子安全的 rollup 能够保持在现有数据限制内。
- 跨链身份 – 确定性的身份原语可以在多个链之间复用,为可互操作的、隐私保护的身份解决方案打开大门。
对于开发者而言,集成 ZK‑ACE 意味着在共识客户端中将签名验证钩子替换为证明验证调用,并维护一个小型的每身份重放状态表。现有的 zk‑SNARK 库(例如 Groth16、PLONK)可以直接使用,论文的电路规范已开源发布,降低了采纳门槛。
限制与未来工作
- 证明者开销:虽然验证成本低廉,但生成 zk‑proof 仍然会产生显著的 CPU 开销,这可能成为低功耗节点或移动钱包的瓶颈。
- 可信设置:当前构造依赖通用 SNARK 设置;转向透明证明系统(例如 Halo2)将提升信任假设。
- 重放状态扩展:在非常大的网络中,维护每个身份的 nonce 或 Merkle 状态可能导致存储负担加重;作者提出了修剪策略,但具体设计留待未来工作。
- DIDP 具体实例化:安全性依赖于确定性身份派生原语的硬度;实际实例(例如使用后量子哈希函数的 hash‑to‑curve)仍需进一步分析和标准化。
- 更广泛的后量子原语:将模型扩展至支持其他后量子原语,如加密或阈值签名,是一个开放的研究方向。
总体而言,ZK‑ACE 为在不牺牲可扩展性和开发者友好性的前提下,将后量子安全性引入主流区块链生态系统提供了一条有吸引力的路径。
作者
- Jian Sheng Wang
论文信息
- arXiv ID: 2603.07974v1
- 分类: cs.CR, cs.DC
- 发布时间: 2026年3月9日
- PDF: 下载 PDF