1.本发明笼统地涉及量子随机数生成(qrng)系统和方法。
背景技术:2.随机数生成是许多应用中的一项重要活动,例如密码学(加密、身份验证、数字签名)、金融(交易算法、电子货币)、物理过程的数值模拟、使用蒙特卡罗技术的优化问题以及基础研究。随机数的随机性和不可预测性是信息安全的关键,尤其是在密码学应用中。
3.随机数生成器(rng)可分为两大类:根据使用种子值的确定性算法生成随机数的伪随机数生成器(prng),和真随机数生成器(trng),其中随机数是根据诸如流动中的湍流,或在电路或电路组件中的抖动等不可预测的物理效应生成的。
4.大多数基于物理现象的trng的问题是它们根据经典物理学生成随机数。因此,尽管系统噪声或混沌现象可能会引入一定程度的不可预测性,但随机数的源是最终确定的。
5.因此,最近有尝试设计基于量子物理过程的量子随机数生成器(qrng)。因为量子现象本质上是随机的,所以qrng提供了一种实现真随机数生成的方法。然而,qrng的性能取决于所利用的量子特性、系统组件的正常运行,以及区分来自真正量子过程或可预测的经典信号的随机性的能力。
6.例如,在通过量子识别(id quantique)开发的一种已知qrng产品中,单光子被注入半透明镜面。依据检测到光子路径(反射或传输),系统公布位(bit)0或位1作为随机输出。
7.id quantique系统的操作原理假设单个光子生成已被充分表征,镜面是理想的半透明镜面,并且光子检测是完美的。但是,如果存在一些设备缺陷(实际上是不可避免的),或者核心组件随着时间的推移而劣化,则系统可能实际上无法实施理想的量子过程。换句话说,很难确定随机性是由噪声还是量子效应引起的。
8.该问题的一种解决方案是充分表征每个组件的特性,并相应地修改随机数生成方案。然而,这带来了另一个困难,即仍然需要验证充分表征系统实际上在实践中产生了量子随机数。目前还没有关于应该如何或多久执行核心量子组件准确表征的明确指导。
9.克服或减轻上述问题中的至少一个,或至少提供有用的替代方案是可取的。
技术实现要素:10.本发明内容公开了一种量子随机数生成(qrng)系统,包括:
11.单光子或等效单光子光源;
12.分束器,所述分束器被布置成将来自所述光源的输出引导至具有第一本地振荡器的第一零差检测器和具有第二本地振荡器的第二零差检测器;以及
13.信号控制和处理单元,所述信号控制和处理单元被配置为:
14.改变所述第一本地振荡器和所述第二本地振荡器的相位;
15.从所述第一零差检测器和所述第二零差检测器接收所述输出的多个测量,所述多
个测量取决于所述光源的强度以及所述第一本地振荡器和所述第二本地振荡器的相位;
16.从所述多个测量中确定是否满足chsh不等式;以及
17.根据是否满足chsh不等式,输出一个或多个随机数。
18.还公开了一种量子随机数生成(qrng)方法,包括:
19.通过分束器将来自单光子或等效单光子光源的输出引导至耦接到第一本地振荡器的第一零差检测器和耦接到第二本地振荡器的第二零差检测器;
20.改变所述第一本地振荡器和所述第二本地振荡器的相位;
21.在信号控制和处理单元处,从所述第一零差检测器和所述第二零差检测器接收所述输出的多个测量,所述多个测量取决于所述光源的强度以及所述第一本地振荡器和所述第二本地振荡器的相位;
22.从所述多个测量中确定是否满足chsh不等式;以及
23.根据是否满足chsh不等式,输出一个或多个随机数。
24.还公开了一种光子芯片,包括如本发明内容所公开的系统和/或实施如本发明内容所公开的方法。
附图说明
25.参考附图,现在仅通过非限制性示例的方式描述本发明的实施例,其中:
26.图1(a)和1(b)示出了根据某些实施例的量子随机数生成器(qrng)的高水平示意图;
27.图2是qrng的信号控制和处理模块的示例架构的框图;
28.图3是根据某些实施例的qrng的另一种可能实现的示意图;
29.图4是qrng作为光子芯片的示例实施的示意图;
30.图5是根据某些实施例由qrng产生的随机位数作为检测器阈值的函数的示图;
31.图6是根据某些实施例的作为qrng的检测器阈值的函数的chsh违例示图;以及
32.图7是根据某些实施例由qrng产生的作为检测器阈值函数的随机位数的另一示图。
具体实施方式
33.本发明的实施例提供了一种用于基于量子非局部相关性和零差检测来生成可证明的量子随机数的方法和系统。
34.本发明的实施例能够保证输出随机性来自真正的量子相关性,而不使用任何昂贵的设备,诸如单光子检测器。
35.实施例提供了一种用于自测qrng的方法和系统,其随机性仅取决于贝尔不等式的违例,表明量子纠缠的真正随机特性,而不是设备的正常运行。因此,可以确定随机性来自量子过程,而不是来自由组件劣化引起的经典噪声。
36.在之前基于贝尔不等式违例的qrng中,需要严格的实验要求,例如高质量的纠缠生成和单光子检测。相比之下,本文公开的qrng方法的实施例可以仅使用现成的组件来执行,使得与先前已知的方法相比成本大大降低。
37.一般而言,根据本实施例的方法和系统将单光子按顺序注入50:50分束器上,然后
根据两个不同的输出路径a和b生成一系列纠缠量子态:
[0038][0039]
可以通过chsh不等式违例来量化的量子纠缠态的相关性被用来确保随机性是量子的而不是经典的。
[0040]
首先参考图1(a),量子随机数生成(qrng)系统10的实施例包括被配置为以单光子水平输出光的单光子或等效单光子光源12。源12的输出被导向50:50分束器14以生成一系列单光子纠缠态,每个纠缠态由第一测量装置16或第二测量装置18检测。
[0041]
系统10可以广义地被认为实现三个功能:量子态生成、量子态测量以及信号调制和采集。
[0042]
量子态生成可以通过单光子源12(例如,其可以包括激光二极管、强度调制器和衰减器)和50:50分束器14来实现。在理想情况下,可以使用单光子源来生成纠缠。然而,可以通过其他方式提供等效的单光子源,例如通过使用相干态和诱饵状态技术来检索单光子贡献。为了执行该技术,改变相干态的强度,并执行适当的后处理,如下面将进一步详细描述的。激光二极管可用于生成相干态,强度调制器可用于强度变化,以及衰减器可用于单光子水平功率衰减。
[0043]
量子态测量部分被描绘为在图1(a)中的第一测量装置16和第二测量装置18,其可以包括两组零差检测器和相关联的本地振荡器,本地振荡器的相位可以由相位调制器控制。每个零差检测器可以包括一对光电检测器和电放大器。通过改变两个本地振荡器的相位,可以获得以不同设置为条件的测量统计以估计贝尔违例程度,以及可以从系统获得的最小随机性。
[0044]
第一测量装置16可以包括耦接到第一本地振荡器的第一平衡零差检测器;同样,第二测量装置18可以包括耦接到第二本地振荡器的第二平衡零差检测器。平衡零差检测器的使用是有利的,因为这意味着不需要冷却,就使得根据实施例的系统适合集成到在室温下操作的光子芯片中。
[0045]
由图1(a)中的信号控制与处理模块20表示的信号调制与采集部分,负责针对诸如量子态生成部分的强度调制器和衰减器以及量子态测量部分的相位调制器等的组件的控制信号的调制、系统的实时校准和数据处理,以生成最终随机数。
[0046]
信号控制和处理单元20执行许多功能,包括控制零差检测器16和18的第一本地振荡器和第二本地振荡器的相位,控制源12的强度,从零差检测器16和18的光电检测器采集信号,以及对采集的信号执行各种处理操作,以促进随机数的生成。处理可以包括例如分析测量序列(以本地振荡器的相位和源12的强度为条件)以确定是否满足chsh不等式,从而确定在序列中观察到的随机性是由于量子源或经典源导致的。然后可以响应chsh不等式违例的检测来执行随机性提取。
[0047]
本发明基于单光子的纠缠可用于通过真空和单光子子空间上的零差测量来创建随机数的实现。至关重要的是,这样做可以自检量子过程的质量,并确定可以从测量数据中提取的私有随机性的数量。如果任何系统组件出现故障,这将反映在贝尔违例程度的降低上,从而减少随机性提取。
[0048]
有利地,本发明的实施例利用超快零差检测和激光源,从而提供生成高达并超过1ghz的随机数的能力。在本发明人基于现成组件管理的模拟中,已经发现该方法可以容易地生成高达每秒1.4gbit的量子认证随机数。
[0049]
qrng系统的一种可能的实现在图1(b)中以示意图形式被示出,其中实线代表光路,带箭头的实线代表输出信号,以及带箭头的虚线代表控制信号。
[0050]
qrng系统100使用照射第一分束器104的激光二极管102来实现量子态生成。第一分束器被布置成将第一光束引向强度调制器120,强度调制器120的输出被引向衰减器140,衰减器140被布置成将第一光束的功率衰减到单光子水平。衰减器140的输出被引向第二分束器106以生成纠缠态。
[0051]
qrng系统100使用第一平衡零差检测器150和第二平衡零差检测器152实现量子态测量。第三分束器108被布置成接收来自第一分束器104的第二光束,并进一步将第二光束沿着第一和第二光路分束到各自的相位调制器130和132。第一相位调制器130馈入第一平衡零差检测器150,为第一平衡零差检测器150提供第一本地振荡器信号。同样,第二相位调制器132馈入第二平衡零差检测器152,为第二平衡零差检测器152提供第二本地振荡器信号。第一平衡零差检测器150包括分束器110,分束器110被布置成将来自量子态生成部分和相位调制器130的输入光子引向光电检测器150a和150b中。第二平衡零差检测器152包括分束器112,分束器112被布置成将来自量子态生成部分和相位调制器132的输入光子引向光电检测器152a和152b中。
[0052]
qrng系统100还包括信号控制和处理(scp)模块20。scp模块20将控制信号传输到激光二极管102、强度调制器120、衰减器140和相位调制器130、132以改变来自激光二极管102的相干态的强度和针对零差检测器150、152的本地振荡器信号的相位。scp模块20还接收来自零差检测器150、152的光电流测量,这形成了随机数生成的基础。来自光电检测器150a、150b的光电流沿着信号线151a、151b传播到scp模块20,并且来自152a、152b的光电流沿着信号线153a、153b传播。
[0053]
scp模块20的示例架构如图2所示。scp模块20的一部分或全部可以是独立组件,例如片上系统(soc),但应当理解的是scp模块20的不同子模块可以形成单独物理组件的一部分。
[0054]
scp模块20可以包括信号输入组件202,以接收来自零差检测器150和152的光电流信号,并且scp模块20还可以接收来自qrng的其他部分的信号,例如用于诊断目的。scp模块20还包括控制信号输出模块204,使scp 20能够将控制信号传输到诸如激光二极管102、强度调制器120和衰减器140之类的组件,以打开或关闭它们或调谐它们从而达到所需的输出强度。控制信号输出204还将信号传输到相位调制器130和132以控制它们的操作,例如在零差检测器的本地振荡器的两个预定相位值之间切换。
[0055]
在信号输入202处接收到的光电流信号可以通过预处理模块203使用本领域已知的方法进行预处理,并且可以将预处理的信号传输到scp 20的其他组件以进行进一步处理。
[0056]
scp 20还包括一个过程控制模块210,它协调scp 20的整体操作,从而协调qrng 100的整体操作。
[0057]
例如,过程控制模块210可以被配置为通过校准模块212进行校准过程。校准模块
212可以被配置为开启激光二极管102,使用强度调制器120和衰减器140校准相干态的强度,并通过监测在信号输入102处接收的零差检测器150、152输出信号,校准具有相位调制器130和132的本地振荡器的相位参考。
[0058]
过程控制模块210还可以被配置为通过调制激光二极管102产生的相干态的强度和相位、确定不同强度和相位的多个光电流测量、然后将多个光电流测量传递到基于光电流测量提取随机数的一个或更多个数据处理模块来执行随机数生成过程。
[0059]
例如,在每一轮测量中,过程控制模块210可以确定相干态μ∈{μ1,μ2,
…
μm}的具体强度和本地振荡器的相位选择,其中i∈{a,b}表示两个平衡零差检测器150和152之一,以及j∈{0,1}表示本地振荡器的两种不同相位设置。然后强度和相位选择经由强度调制组件206和相位调制组件208通过控制信号输出204传播到强度调制器120、衰减器140和相位调制器130、132。
[0060]
然后过程控制模块210可以接收由平衡零差检测器150、152执行的多个光电流测量。原始光电流测量可以被提供给后处理模块214,后处理模块214确定来自每个平衡零差检测器150或152的测量结果
[0061]
每个测量结果表示零差检测器的光电检测器之间的光电流差(例如,由零差检测器150的光电检测器150a和150b测量的光电流之间的差)。测量结果取决于量子态μ的强度和本地振荡器的相位设置j∈{0,1}。也就是说,每次测量都与特定的量子态强度和本地振荡器相位设置相关联。
[0062]
后处理模块214可以将测量结果与一组预定义的后选择阈值{-t,t}进行比较。如本领域技术人员将理解的,可以选择阈值以优化随机数生成率。若特定平衡零差检测器的最终测量结果被指定为1,以及若被指定为1,以及若被指定为-1。
[0063]
接下来,通过调节的不同设置和相关的测量结果后处理模块214可以获得归一化的相关概率(对于每个相干态μ)。此外,通过部署诱饵状态技术,后处理模块214可以获得相关测量的单光子贡献
[0064]
诱饵状态技术可用于通过以下方式获得单光子事件的统计。
[0065]
在根据当前公开的实施例的系统中,具有三个或更多不同强度的相位随机弱相干态(wcs)被用于高精度地重构单光子统计。
[0066]
通过随机化相干态的相位,可以将相干态的密度矩阵重写为遵循泊松分布的一系列光子数态(fock态)的密度矩阵的混合。那么三个wcs{μ1,μ2,μ3}的成功概率(即满足chsh不等式的相干态生成测量的概率)可以表示为:
composable privacy amplification against quantum adversaries(针对量子对手的通用可组合保密增强),theory of cryptography(密码学理论),407
–
425页(springer,2005),其内容通过引用并入本文)。在一个示例中,可以使用toeplitz散列提取器。在另一个例子中,可以使用trevisan的提取器(参见x.ma等人,phys.rev.a 87,062327,其内容通过引用并入本文)。如本领域技术人员将理解的,可以使用适用于生成的量子随机数的许多其他随机性提取或保密增强。
[0081]
例如,可以通过使用从前几轮测量和随机数提取中生成的随机数来获得用于随机性提取器的种子值。由于不需要在每一轮中更改通用散列函数,因此使用之前生成的随机数的一些不应过度消耗生成的随机数。
[0082]
现在参考图3,示出了qrng 300的另一个示例。qrng 300使用照射偏振分束器310的激光二极管302实现量子态生成。偏振控制器304可以插入激光二极管302和第一分束器310之间的光束路径中,以控制两个平衡零差检测器350、352的信号和本地振荡器之间的强度分布。偏振分束器被布置成将第一光束引向强度调制器320,强度调制器320的输出经由偏振调制器330被引向衰减器340,衰减器340被布置成将第一光束的功率衰减到单光子水平。偏振调制器330可用于随机化信号的相位以实现诱饵状态机制。在一些实施例中,为此目的可能不需要偏振调制器330;例如,增益切换激光二极管302可用于产生相干态的脉冲,从而为要部署的诱饵状态机制提供本质上随机的相位。衰减器340的输出被导向分束器314以生成纠缠态。
[0083]
qrng系统300使用第一平衡零差检测器350和第二平衡零差检测器352来实现量子态测量。第三分束器312被布置成接收来自第一(偏振)分束器310的第二光束,并进一步将第二光束沿着第一和第二光路分束到各自的相位调制器332和334。第一相位调制器332馈入第一平衡零差检测器350,为第一平衡零差检测器350提供第一本地振荡器信号。同样,第二相位调制器332馈入第二平衡零差检测器352,为第二平衡零差检测器352提供第二本地振荡器信号。第一和第二平衡零差检测器350、352可以以与图1(b)的第一和第二零差检测器150、152类似的方式构造。
[0084]
qrng系统300的组件各自耦接到信号控制和处理(scp)模块,例如scp模块20,尽管这些连接未在图4中示出。
[0085]
有利地,qrng系统100、300能够以比先前已知的系统更快的速度生成量子随机数,使用标准光学组件代替昂贵且高度定制的组件,例如单光子检测器。通过部署用于量子纠缠检测的高速平衡零差检测器(例如finisar cprv1222a光传感器),而不是使用传统的散粒噪声限制(snl)bhd,可以进一步提高qrng系统100、300的速度。高速bhd可能具有25ghz的标称3db带宽,比最先进的snl bhd快20倍以上。为了解决高电噪声问题,可以对电噪声做出三个合理的假设:1)来自两个检测器(例如150、152)的电噪声应该相互独立,2)电噪声与测量的量子信号无关,以及3)它具有高斯分布。因此,如果这些假设成立,则电噪声的影响相当于信号上的光损耗。因此,激光源的合成输出以及等效的光损耗可以看作是量子态的来源。由于探测器的电噪声是独立局部的,它们将不会对单光子纠缠态的非局部相关性做出贡献。因此,可以轻松消除电噪声的影响,克服使用snlbhd的电路设计中噪声和带宽之间的严格权衡。
[0086]
事实上,其他实际问题,如数据采集设备(例如adc)的噪声、光电二极管的低效率、
信号和本地振荡器之间的极化失配等,也可以通过这种损耗等效方案来解决,从而导致chsh不等式的量子最大违例。
[0087]
在实验室规模的系统中,bhd(例如150、152)的输出可以通过带宽为20ghz、采样率为50gs/s的高速示波器(泰克dpo72004c)获取。然后可以存储获取的数据以用于离线数字信号处理(dsp)。因此,根据wiener-khinchin定理,采样率为40gs/s的下转换数据在试验之间拥有最小相关性。如将理解的并且如上所述,一些实施例可以以集成电路形式(例如在光子芯片中)实现qrng,在这种情况下,数据采集和dsp功能可以集成在芯片本身内的组件中。
[0088]
在一些实施例中,最终的随机输出位可以通过fpga硬件上的高速随机性提取来获得。为了解释有限数据大小的影响,熵累积定理(eat)可用于在安全证明中获取随机数生成率。
[0089]
作为光子芯片的qrng的一种可能实现方式将参考图4所示。光子芯片400类似于图3中所示的qrng系统300。
[0090]
应该理解的是,光子芯片400包括对于这种设备的典型的多个组件和特征,例如衬底和至少一个光导(光子电路)层,并且光导结构可以包括光纤、光波导等。这些组件和特征将不在本文中详细描述。
[0091]
光子芯片400使用照射分束器410的激光二极管402实现量子态生成。不同于图3的布置,利用分束器310和312,单个三输出分束器可用于将来自激光二极管402的光引导至三个不同的路径431、432和433。路径431和433用于通过由各自的相位调制器412(沿着路径431)和414(沿着路径433)实现的相位调制来分别为平衡零差检测器450和452生成本地振荡器信号。
[0092]
光沿着路径432传播到用作强度调制器的第一干涉仪420。强度调制器420包括将光束分成第一光束和第二光束的第一分束器422,光束然后在第二分束器426处重新组合,第一光束在途中经过相位调制器424。相位调制器424受信号控制和处理模块20的控制。
[0093]
强度调制器420的输出被指向作为衰减器的第二干涉仪440。衰减器440包括第一分束器442,第一分束器442将光引导至在第二分束器446处重新组合的第一路径和第二路径。沿着第一路径传播的光穿过相位调制器444,相位调制器444再次受信号控制和处理模块20的控制,使得衰减器440可以被配置为将从衰减器440出射的光束的功率衰减到单光子水平。相位调制器444可用于随机化信号的相位以实现诱饵状态机制,或者激光二极管402可以是用于生成相干态脉冲的增益切换激光二极管,从而为要部署的诱饵状态机制提供本质上的随机相位。
[0094]
一旦信号已经被衰减到单光子水平,衰减器440的输出是由分束器446生成的纠缠态。然后使用第一平衡零差检测器450和第二平衡零差检测器452测量输出纠缠态。第一平衡零差检测器450包括分束器460,分束器460被布置成将来自衰减器440和相位调制器412的输入光子引导到光电检测器450a和450b中。第二平衡零差检测器452包括分束器462,分束器462被布置成将来自衰减器440和相位调制器414的输入光子引导到光电检测器452a和452b中。
[0095]
如上所述,第一相位调制器412馈入第一平衡零差检测器450,以沿路径431为第一平衡零差检测器450提供第一本地振荡器信号。同样,第二相位调制器414馈入第二平衡零差检测器452,以沿路径433为第二平衡零差检测器452提供第二本地振荡器信号。
[0096]
实验结果
[0097]
为了模拟qrng系统100的实际性能,根据j.appel、d.hoffman、e.figueroa和a.i.lvovsky、phys.rev.a 75,035802(2007)(其全部内容通过引用并入本文)的教导,开发了一个真实的模型,以解释实际系统缺陷,例如零差检测器150和152的电噪声、测量的统计波动等。
[0098]
模拟的试验总数(每次试验对应于每个零差检测器的一个测量结果)设置为10
10
。如图5所示,模拟表明可以从系统100获取固有随机数以作为后选择阈值{-t,t}的函数。
[0099]
图5示出了随机数总量与后选择阈值t的关系。δ,∈s和∈e是计算的误差参数。曲线a是不考虑电噪声或统计波动的理想结果。曲线b对应于考虑统计波动和安全分析但没有噪声的结果。曲线c是在考虑系统噪声、统计波动等的情况下,在实际系统中可以得到的随机数的数量。
[0100]
从图5的曲线c中,考虑到实际系统的缺陷,可以看出,如果系统100的工作频率设置为1ghz,可以获得大约140mbits/sec左右的粗略随机数生成率。这远高于为单个设备提供4mbits/sec的生成率的id quantique的现有的商业qrng产品。
[0101]
依据qrng 300的系统被构建并被用于执行量子随机数生成。使用来自系统300的理论分析的优化参数(即,通过对系统300建模并确定最大化可提取随机性的量的参数),实现了2.38的chsh违例,这可以导致大于1gbps的高吞吐量随机数生成。
[0102]
图6和图7示出了qrng 300的实验结果。图6示出了chsh违例与阈值设置的关系。点划线602示出了具有理想单光子源的理论上的chsh违例(如s所反映的,如上所述)。实线604示出了当使用三强度诱饵状态方法时理论上的chsh违例。圆圈表示系统300实现的实验结果。
[0103]
图7示出了最终随机数生成率与阈值的关系。实线表示使用三强度诱饵状态方法时的理论(模拟)随机数生成率,而圆圈表示实验结果。
[0104]
从上文可以看出,本发明的实施例提供了一种从本征纠缠量子系统生成随机性的简单且经济的方式,其不受分束器、检测器等构成组件的功能的影响。相反,相位和强度的调制用于生成可以从中提取随机性的测量。这比电气或光学系统组件的状况更容易控制。此外,可以使用标准组件来实现实施例,从而促进在光子芯片中的实现。此外,根据模拟结果,目前提出的系统的随机数估计量可以远高于已知的qrng产品。
[0105]
在不脱离本发明范围的情况下,许多修改对于本领域技术人员来说将是显而易见的。
[0106]
在整个说明书中,除非上下文另有要求,否则词语“包括”以及诸如“包括”和“包含”的变体将被理解为暗示包含指定的整数或步骤或整数组或步骤组,但不排除任何其他整数或步骤或整数组或步骤组。
[0107]
本说明书中对任何先前出版物(或从其衍生的信息)或任何已知事项的引用不是,也不应被视为承认或承认或任何形式的建议,即先前的出版物(或从中得出的信息)或已知事项构成本说明书所涉及的领域中的公知常识的一部分。