专利名称:量子随机数发生器及其均匀交替变换标准基的方法
技术领域:
本发明属于信息安全产品安全应用与中间件产品。
2.背景技术本发明源自目前引起世界广泛研究热潮的量子密码通信。之所以这样说,主要在于两个方面一、量子密码通信需要真正的随机数,而且这点至关重要。如果随机数序列被攻破,量子密码通讯极易攻破。因此,国际上几个执量子密码通信领域牛耳的小组都各自开发了自己的量子随机数发生器系统。二、本发明采用的技术几乎源自量子通信技术,例如单光子探测、光子态的利用等。此外,我们对原始数据的均匀交替变换标准基处理也是启发于量子通信的BB84方案的创意。
随机数在密码术、数值计算、博弈、电子游戏等领域得到广泛应用,然而真正的随机数产生却不容易。正如美国国家航空和宇宙航行局两位资深计算机专家S.K.Park和K.W.Miller发出的感慨“RANDOMNUMBER GENERATORSGOOD ONES ARE HARD TO FIND”(随机数发生器好产品好难求)。计算机一直是具有完全确定性的机器,所以,特别在行为随机性方面表现不尽人意。所以当程序员需要一个或一组真正的随机数时,他们必须通过各种方式近似地生成随机数。随机数发生器根据其工作原理大致可以分为如下几类基于软件的随机数发生器,是根据某个算法生成随机数,具有可重复性,相关性等,很容易被破解,常称为伪随机数发生器。虽然伪随机数产生的技术使得伪随机数越来越逼近真随机数,在数值计算、一般电子游戏中已经足够好了,但是在博弈、密码术中应用却有被破解的危险。基于软件和硬件结合的随机数发生器产生的随机数的质量决定于软件所采用的算法和硬件的工作原理,同样具有部分相关和部分可重复性。基于硬件的随机数发生器是对一些自然现象进行测量得到的参数来生成随机数(或至少是伪随机数发生器的种子),一般可以提供比全软件解决方案更高的保证,但是基于硬件的解决方案并不总是可行,即并非都能保证产生真随机数,我们确实意识到这点是非常重要的。除非基于量子的随机现象,一个发生器系统的确定性还是有可能导致产生的随机数序列被攻破的危险。基于硬件的随机数发生器一般可分为经典的和量子的。经典的硬件随机数发生器常用的一种就是噪声随机数发生器,Ultra Stereo实验室的资深信号处理专家Don Morgan撰文指出,即使是噪声也是有规律可寻的。因此,噪声随机数发生器产生的随机数序列是由一个经典系统决定的,且受环境诸多因素影响,其均匀性也很难控制。虽然破解很难,但对于噪声专家来说还是有潜在的被攻破的危险。
真正的随机数发生器是非确定的。那表示,作为旁观者,应该永远无法以任何一致性猜测到设备的输出,即使您知道设备的原理和使用的算法。例如,如果设备输出一系列0和1,0和1在任何特定输出中出现的机会应该相等。即使掌握了设备内部工作的全部知识,任何猜中的可能性也只有50%左右。量子力学的量子态叠加原理告诉我们,量子系统可以处在对应一个力学量的本征态的叠加态,对叠加态的测量将使系统塌陷到某个确定的态,测量的结果是完全随机的。这种不确定性完全是一种量子效应,并无经典对应。
基于量子力学原理,人们开发了多种量子随机数发生器。其中一种常用的方法就是利用放射性材料的衰变事例的随机性。在这种发生器中使用电子Geiger计数器,每次当它检测到放射性衰变时,它就会生成一个脉冲。衰变之间的时间间隔是一个实足的、纯粹的随机部分。尤其是,没有人可以预测到下一次衰变的时间大于还是小于自上次衰变以来的时间,那就产生了随机信息。然而,我们所用的计时器的精确度总是有限的而且不是绝对稳定的。美国空军研究实验室首席调研员G.McGraw与其合作者在他们有关软件安全性的文章中就指出了这种量子随机数发生器由于此因数引起的非随机性。除此之外,保存放射性材料也是一个大麻烦。此外,还有利用被囚禁的单离子产生的共振荧光辐射的光子间隙时间、激光斑纹图样的空间分布等来研制量子随机数发生器的报道,但是这类仪器系统复杂、造价昂贵,使用起来极不方便。
随着单光子探测技术的发展,近年已有不少基于光量子的真随机源的实验和理论工作刊登在国际一流学术刊物上。对于这类成果我们就最近几个典型的方案在此略做介绍。
(1)据中国科学院物理所2001年的实验成果报道,他们的方案采用He-Ne激光器作为光子源、50∶50分束器(BS)分光、光电倍增管作为单光子探测器。为了改善序列0,1的均衡采用了数学处理。设计了相关驱动电路,编制了相关的驱动程序和数据处理程序。他们方案的随机序列采集速率理论上可达200kbit/s.没有商品化和其他应用的报道。
(2)据举世注目的奥地利Wein大学量子信息小组2000年报道,他们的方案采用半导体发光二极管(LED)作为光子源(红色可见光)、50∶50分束器(BS)或者45°极化分束器(PBS)分光、光电倍增管作为单光子探测器。设计了相关驱动电路和计算机接口电路,编制了相关的驱动程序。他们方案的随机序列采集速率可达1Mbit/s.没有商品化但已经用于他们的量子密码通信等实验中。
(3)根据瑞士Geneva大学的光通讯实验室2000年报道,他们的方案采用半导体发光二极管(LED)作为光子源(近红外光)、50∶50分束器(BS)、雪崩二极管作为单光子探测器、单模光纤选模、长达几十米的多模光纤做延迟等。设计了相关驱动电路和计算机接口电路,编制了相关的驱动程序。他们方案的随机序列采集速率可达50kbit/s.已经用于他们的量子密码通信等实验中而且已将方案商品化(每台售价5000美元)。
(4)根据英国国防研究部1994年报道,他们只是提出一个简单的理论方案。用50∶50分束器(BS)或者45°极化分束器(PBS)分光。由于他们研究的保密性,后期未见详细报道。但是据文献,他们量子通信的技术处于当前领先的几个顶尖小组之一。
上述四个方案对随机序列的不均匀采用数学方法进行处理,不可避免会引起相互间的部分相关,降低了随机数的质量。他们采用了下述两种分光方法中的一种。这两种有如下缺点a)50∶50分束器(BS)采用这种方法要使两边的几率绝对相等在工艺上不可能作到。分束器一般采用镀膜的厚度来决定反射和透射率,真正做到绝对均匀,厚度恰到好处工艺上是不可能的。不过,反射和透射率与入射光和分束器的夹角有关,一般调试时采用入射较强的光束,用高灵敏激光功率计测量,调节入射角使两边读数相等。这样调试非常耗时不说,而且很难保证实际的光路与调试时光路完全一致。
b)45°极化分束器(PBS)采用这种方法要使两边的几率绝对相等在工艺上也是不可能做到。因为这要求偏振片的透振方向与分光的Wollaston棱镜(或双折射晶体)的透振方向夹角是严格意义上的45°,工艺上不可能做到绝对精确的45°,但调试到比较准确比上一方法相对要容易些。
此外,这些方案还有如下缺憾第一个方案的最大的缺点是采用气体激光器和光电倍增管。他们都需要高压电源,本身是真空管器件体积大,易碎。他们的实验结果也显示效果不太好,采集的序列还需要复杂的数学处理。系统庞大、造价又高,使用起来不方便,或者说这个方案根本不具备实用性。
第二个方案同样采用了光电倍增管。如果商品化将会成本很高、产品体积大。其市场不会太好。
第三个方案是这几个方案中最好的,但是也有缺点。首先,他们采用多模光纤做延迟使两部分光路不对称设计很难保证随机序列的均衡,如此长的光纤也很难小型化。此外,他们采用延迟符合的方法来区分两支光路的信号,这将限制采样速率的提高,因为如果频率太高会导致前后信号相关。
第四个方案只是简单概念设计。
本发明具体是这样实现的一种量子随机数发生器,包括二极管激光器DL构成的光子源,置于二极管激光器DL后面的衰减器Θ,置于衰减器Θ后面的分光装置和置于分光装置后面的由雪崩二极管D1、D2构成的单光子探测器及外围电路,其特征在于所述的分光装置是菲涅耳组合棱镜Φ。
在本发明中,较好的方案是二极管激光器DL为产生中心波长约为650nm,脉冲频率为10MHZ的红色脉冲弱光的二极管激光器DL。
在本发明中,较好的方案是所述的衰减器Θ由两个偏振器组成。
在本发明中,较好的方案是所述的雪崩二极管为硅雪崩二极管。一种量子随机数发生器均匀交替变换标准基的方法是如果前一次测量约定A探测器测到的信号为1,B探测器测到的信号为0;那么后一次测量约定A探测器测到的信号为0,B探测器测到的信号为1。
基于此,在每次使用量子随机数发生器前,即在量子随机数发生器没有约定转换的情况下,产生一个足够长的随机序列S1,再用S1作控制信号来产生一个同样长的序列S2,用S2控制生成同样长的序列S3,依此往复,直至Sn,发生器接通电源后就让当时的Sn控制输出序列。
本发明采用的技术都是目前成熟技术,我们创新点之一是使用了菲涅耳组合棱镜分光。菲涅耳组合棱镜是一般光学实验常用的器件,它由几块左旋和右旋石英晶体组成。石英与其他光学晶体相比,有性能稳定、不会潮解,便于制造和保存。雪崩二极管在有源抑制Geiger模式下工作。特别是我们使用的硅雪崩二极管的量子效率为90%(波长650nm左右),采用半导体制冷,探测器电源电压为5±0.25V,整个探测器工作温度范围为5℃-40℃,暗记数小于200counts/s(每个脉冲因此的出错率可以低于千万分之一),探测效率可达70%。我们方案当前的样品随机序列采集速率可达0.5Mbit/s。创新点之二是对采集0,1随机序列采用均匀交替变换标准基,克服了光路、探测器的非对称性带来的随机不均匀性。这可以通过软件或数字逻辑电路很容易实现。
我们设计的量子随机数发生器是作为计算机结合的配件使用的,但目前的装置有自己独立的电源系统。我们采用USB口与计算机相连。驱动发光二极管脉冲信号由计算机驱动软件控制,从USB口输出到量子随机数发生器。量子随机数发生器输出的原始序列也通过USB口采集。因此目前序列采集速率受USB口传输速率限制,我们的采样频率10MHz。原始序列的处理通过软件完成,对于用户来说,使用量子随机数发生器就如使用伪随机数发生器一样方便,仅仅只须调用一个特殊的函数,暂且我们命名为QRNG()。我们的产品包括一个驱动软件和一个外置的有源发生器盒。
随着信息技术和网络技术的高速发展,带来了传播及沟通的革命,越来越多的人和企业希望通过网络传输大量的数据和信息与外界进行沟通和交流,因为网络改变了时间和空间的概念,把全世界连在了一起,走向网络就意味着走向了世界,可以寻找到更多、更好的商机。但随着人们普遍的使用网络,其开放性、国际性和自由性的特点也使得网络与信息安全同样成为人们高度关注的社会性问题,尤其是电子商务和虚拟私用网络的兴起,使网络传输过程中信息的安全性显得极为重要,它直接关系到国家安全和人们的日常生活。而网络传输的危险是网络本身通讯协议的缺陷所固有的,所以对于那些要想通过网络窃取数据的黑客或者是专业人士来说在网上截取信息是轻而易举的。特别是随着量子计算技术的出现,基于现有加密技术的安全系统将根本不起作用,因为量子计算带来的计算能力的提升将使它能闪电般的完成高难数学问题的计算任务,而这些难题恰恰就是现有加密技术的基础。
据《星期日电讯》报道,2000年3月,两名18岁的青年闯入全球九个电子商务网站偷取了2.6万多个信用卡资料,把包括比尔·盖茨在内的个人信用卡资料寄给美国全国广播公司的一个附属机构。实际上,全球每天都在发生加密信息被盗事件。在加密技术中用到的产生随机数技术可能被认为是个很容易的不关键的技术,但随机序列被破解而导致泄密的报道屡见报端。例如,Ian Goldberg和DavidWagner从1996年1月开始的研究,演示了随机数对于密码安全的重要性,他们研究出来的这份揭秘显示了Netscape早期的SSL实现之一存在着严重的缺陷,这使得有可能解密编码的通信数据。此外,也有报道从破解随机数序列入手来破解网上在线博弈游戏而导致博彩公司蒙受巨大损失的,尤其是那些对信息加密要求较高的商务网站以及军方通讯等高度机密的信息如果被破译的话,造成的损失将是无可估量的。所以提高加密信息的安全性带来的社会意义是不言而喻的。
古今中外,保密通信和窃取、破译情报同样重要。密码学作为一门严格的科学,从本世纪初发展成为数学的一个分支,也促进了计算机的发展。计算机的飞速发展使破译的手段越来越高明,对加密的方法要求就越来越高。尽管加密的方法多种多样,有软件加密、硬件加密等等,但保密通信的目的都是为了让通讯双方互相交流信息而不让非法第三者窃取或破坏信息的内容。对信息加密就是对信息明文M进行数据变换Gk,得到密文C,密文发给合法的接受者,通过逆变换进行解密,恢复明文M。明文和密文之间的密码算法在参数K作用下完成,这样的参数可称为密钥。保密通信的关键就在于生成密钥、编码规则和密钥传送。随着密码学数学理论的发展,出现了越来越复杂的密码。但是,随着计算机的能力日益增强,即使是很复杂的密码也不断被破译。除了不重复使用的随机数密码本(称为vernam或一次性便笺式密码本)从数学上被证明是不可破译的外,其它的经典密码在理论上不可破译还未得以证明。目前在军事、外交中广泛使用vernam密码本,例如莫斯科—华盛顿热线。可见随机数对于经典密码通信的安全性是何等的重要。虽然,vernam密码本和明文一样长,而且要求通讯双方经常生成、传送——很不方便,但是现在仍常用于网络传送密码、确认身份等。即使vernam密码术其密码本也有可能被截获、复制。
量子密码技术是一项崭新的技术,最大的优点是其绝对的安全保密性,在密码技术领域中具有一定的市场,例如一些军事、政治、重要的商业情报的传递,需要信息的绝对安全。量子密码通信的市场的大小,取决于量子计算机的实现。量子计算机的诞生,将彻底摧毁现有的广泛使用的公开密钥体系如RSA,椭圆曲线体系等。一些保密要求并不十分高的领域如银行、网络商务等领域将都可能使用量子密码技术及其相关产品。到目前为止,只有量子密码技术是绝对安全的,量子计算机的出现不会破坏量子密码技术的保密性。然而,众多的量子密码分配方案中都要用到随机数,如果随机数序列被破获,即使是量子密码术也可能被攻破。因此,一个真正的随机数发生器无论是现在经典密信息技术还是未来量子信息技术中都是至关重要的。
目前,美国、英国、日本等发达国家的军方在量子信息及相关技术的研发上投入了大量资金,例如,目前美国一流大学40%新成立了量子信息研究小组,而且这个比例还在增加。我们获得的文献上报道的类似产品几乎都是来源于这些研究组。除此之外,真随机数在很多领域有广泛的应用,一个体积小、价格便宜、性能可靠的量子随机数发生器的市场是巨大的,对我们国家安全方面的意义也是重大的。我们的量子随机数发生器解决方案就满足了这一需要,它的研发成功,不仅为一些高机密性的信息传输提供了可靠的安全保证,也为人们对数据信息的加密需求提供了性能价格比更优的加密方案,使人们可以更放心地使用网络的商业价值来为企业、为自己寻找更多的商机,实现电子商务的实用化和虚拟私用网络的启用,为企业走向国际化创造了更好的条件,节省了更多的费用,提高了很大的经济社会效益。
5、实现方式我们的解决方案的原理如
图1所示,由二极管激光器(DL)产生红色脉冲弱光(波长约为650nm),脉冲频率为10MHz。因为平均数为0.1的Poisson光子数分布是单光子理想δ分布的很好近似,所以我们用一个衰减器(Θ)将发光二极管发射的脉冲光衰减到大约每个脉冲0.1个光子(或者说每10个脉冲一个光子)。衰减器(Θ)是由两个偏振器组成,通过调整它们透振方向的夹角来调节衰减率(如果夹角为90度,那么没有光子透过)。这样从衰减器出射的光子是线性极化的,不失一般性,我们假设极化方向与水平方向的夹角为θ,则光子的态可以表示为|Ψ>=cosθ|H>+sinθ|V>,
其中|H>和|V>分别表示水平和竖直方向线性极化态。当这样一个光子通过菲涅耳组合棱镜(Φ)进行测量时,它就会随机塌陷到光子的本征态右旋态|R>或者左旋态|L>。|ψ⟩=12(cosθ-isinθ)|R⟩+12(cosθ+isinθ)|L⟩,]]>其中,|R⟩=12(|H⟩+i|V⟩)]]>|L⟩=12(|H⟩-i|V⟩)]]>从上式我们可以看出,塌陷到右旋态|R>或左旋态|L>的几率分别为|12(cosθ-isinθ)|2=50%]]>|12(cosθ+isinθ)|2=50%]]>这是严格的50%,且与极化角θ无关,也就是说入射的光子,无论极化角为多少,随机塌陷到右旋态|R>或左旋态|L>的几率严格相等,都是50%。
菲涅耳组合棱镜由几块左旋和右旋石英晶体做成。左旋光在左旋晶体中传播的速度比右旋光传播速度快,而在右旋晶体中情况正好相反。这样经过几次折射,左旋光子和右旋光子将被分开。图中虚线表示晶体的光轴方向。
理想情况下,记录探测器D1和D2的信号就可以得到随机的0,1序列,然而实际情况并非这么简单。
首先,雪崩二极管不可避免有暗记数,虽然目前的技术已经能将暗记数控制在很低。所谓暗记数就是在没有信号时自发的雪崩。我们采用探测器D1、D2输出与驱动二极管激光器DL的脉冲Pulse进行符合(&),如果没有驱动时的雪崩信号将不会在A,B端输出。这样可将暗记数导致的误差降低好几个量级。
第二,一般情况下,一个驱动脉冲最多使一个光子通过衰减器(Θ),但是在极少的情况下会有两个或更多光子通过,这时可能会出现两只雪崩二极管同时触发。这是由于光子数分布规律决定的,不可能通过技术改进来消灭这种现象。我们为了克服这种极少数的情况产生的误差,对A、B同时有输出信号的情况作舍弃处理。
第三,无论工艺怎样先进,两只探测器都不可能完全相同,为了克服两只探测器本身量子效率和光路耦合不一致而导致的随机序列的不均匀,我们采用均匀交替变换标准基的方法来保证。简单说就是,如果第一次测量约定A探测器测到信号为1,B探测器测到信号为0;那么第二次测量约定A探测器测到信号为0,B探测器测到信号为1。即使两个探测器量子效率有差异,我们还是可以保证得到的随机序列的均匀性。我们用C来表示约定转换控制的信号。
考虑了上述因数后得到的输出序列的布尔代数运算式为CAB+CAB=1→1CAB+CAB=1→0其真值表为
上述处理同领域的普通技术人员很容易设计出相应的驱动软件来实现,或者用数字逻辑电路来实现。因此,输出的结果的均匀性不会受两只探测器的量子效率有差异的影响。但是这样也有一个缺点,即奇数位上的0,1偏差正好与偶数位的0,1偏差相反。攻击者很容易利用这个偏差。我们为了克服这点,将上述的约定转换控制由一个理想均匀的随机数来控制。对此,我们每次在使用前用我们的发生器在没有约定转换的情况下(C≡1)产生一个足够长的随机序列S1,我们再用这个序列作控制信号(C=S1)来产生一个同样长的序列S2,用序列S2控制生成同样长的序列S3,等等。发生器接通电源后就让它一直这样循环地更新序列Si。不失一般性,我们设从A端输出的有效信号与B端的比率为(1+ε)∶1,这里ε是一个小参数。于是,在序ξn=[1+(12+ϵ)n]:[1-(12+ϵ)n]]]>列S1中1,0的比率为ξ1=(1+ε)∶1;而在序列S2中1,0的比率为ξ2=[(1+ε)2+1]∶[(1+ε)+(1+ε)];……,对于在序列Sn中1,0的比率为从上式我们可以看出,只要n足够大,ξn很快就趋向1∶1。这里我们可以作一个简单的估计,如果我们的控制序列为一万位,而发生器的产生率约为0.5Mbit/s,那么只需一秒钟n就可以达到50。如果ε=0.5(实际上A、B之间没有这么大的偏差),我们得到ξn≌(1.0+10-20)∶1,可见其均匀性的精度之高。当需要随机数时,我们就用发生器当时的序列Sn作控制序列来产生输出随机序列。这样得到的最终输出序列和量子通信BB84方案相似,不过没将序列传给第二者。这个控制序列的安全性被AT&T实验室的著名数学家W.P.Shor和它的同事J.Preskill在BB84方案中严格证明(W.P.Shor因他发明的大数分解的量子算法-Shor算法闻名于世,该算法将使量子计算机严重威胁到目前的公钥加密体系,引发了全球研究量子计算机的热潮)。即使攻击者知道我们仪器的原理和克服偏差的方法也不可能预测到输出的随机数序列,因为他得到的最终输出序列的随机性由量子力学来保证,均匀性可由控制随机数的序列(C)的均匀性来保证。我们得到了理想的0,1随机序列后再根据需要的精度通过软件将二进制序列化成介于0-1之间的随机数以供使用。
权利要求
1.一种量子随机数发生器,包括二极管激光器DL构成的光子源,置于二极管激光器DL后面的衰减器Θ,置于衰减器Θ后面的分光装置和置于分光装置后面的由雪崩二极管D1、D2构成的A、B两个单光子探测器及外围电路,其特征在于所述的分光装置是菲涅耳组合棱镜Φ。
2.根据权利要求1所述的量子随机数发生器,其特征在于所述的二极管激光器DL为产生中心波长约为650nm,脉冲率为10MHZ的红色脉冲弱光的二极管激光器DL。
3.根据权利要求1所述的量子随机数发生器,其特征在于所述的衰减器Θ由两个偏振器组成。
4.根据权利要求1所述的量子随机数发生器,其特征在于所述的雪崩二极管为硅雪崩二极管。
5.一种量子随机数发生器均匀交替变换标准基的方法,其特征是如果前一次测量约定A探测器测到的信号为1,B 控测器测到的信号为0;那么后一次测量约定A探测器测到的信号为0,B 探测器测到的信号为1。
6.根据权利要求5所述的量子随机数发生器均匀 交替变换标准基的方法,其特征是在每次使用量子随机数发生器前,即在量子随机数发生器没有约定转换的情况下,产生一个足够长的随机序列S1,再用S1作控制信号来产生一个同样长的序列S2,用S2控制生成同样长的序列S3,依此往复,直至Sn,发生器接通电源后就让当时的Sn控制输出序列。
全文摘要
本发明涉及一种量子随机数发生器,属于信息安全产品。主要包括二极管激光器DL构成的光子源,置于二极管激光器DL后面的衰减器Θ,置于衰减器Θ后面的分光装置和置于分光装置后面的由雪崩二极管D1、D2构成的单光子探测器及外围电路,其特征在于所述的分光装置是菲涅耳组合棱镜Φ。该量子随机数发生器均匀交替变换标准基的方法是如果前一次测量约定A探测器测到的信号为1,B探测器测到的信号为0;那么后一次测量约定A探测器测到的信号为0,B探测器测到的信号为1。
文档编号G06F7/58GK1396518SQ0213361
公开日2003年2月12日 申请日期2002年8月15日 优先权日2002年8月15日
发明者祝文军 申请人:祝文军