上一篇主要描述了PLONK协议里的一个核心部分，用置换校验的方法去证明电路门之间的一致性；接下来，将继续分享如何证明门的约束关系得成立，以及整体的协议剖析。

门约束

举个简单的例子，假如存在一个电路，电路中仅有3个乘法门，对应的约束如下：

L1 * R1 - O1 = 0

L2 * R2 - O2 = 0

L3 * R3 - O3 = 0

进行多项式压缩：定义多项式函数L(X),R(X),O(X) 满足：

L(1) = L1, R(1) = R1, O(1) = O1

L(2) = L2, R(2) = R2, O(2) = O2

L(3) = L3, R(3) = R3, O(3) = O3

此时，定义新的多项式函数F(X)，令F(X) = L(X) * R(X) - O(X)

则有：

F(1) = L(1) * R(1) - O(1) = 0

F(2) = L(2) * R(2) - O(2) = 0

F(3) = L(3) * R(3) - O(3) = 0

也就是表明：如果多项式函数F(X)在X=1,2,3处有零点，则说明门关系约束成立。

多项式函数F(X)在X=1,2,3处有零点则表明多项式F(X)可以被(X - 1)(X - 2)(X - 3)整除，为了和论文一致，我们把这个多项式函数设置成Z(X)，即：

F(X) = T(X) * Z(X) ==> T(X) = F(X) / Z(X)

如果能证明T(X)是一个多项式，则说明多项式F(X)与Z(X)有相同的零点，进而说明门约束关系成立。

一般过程应该如下：

1. P计算F(X)并把F(X)发送给V；

2. V根据Z(X)直接校验F(X) / Z(X)

但是如此过程存在两个问题，一个是复杂性问题，假如F(X)的阶为n，那通信复杂度就是O(n)；而是安全性问题，多项式F(X)完全暴露给V。

那应该如何解决这两个问题呢？最佳的答案可能就是：多项式承诺

多项式承诺

什么是多项式承诺？就是证明方P用一个很短的数据来代表一个多项式F，这些很短的数据可以被验证方V用来验证多项式F在某一点的值确实为证明方P声称的值z。

具体看一下论文里的定义：