CN107066236A

CN107066236A - 基于光学的量子随机数生成的方法和装置

Info

Publication number: CN107066236A
Application number: CN201610990894.2A
Authority: CN
Inventors: 布鲁诺·圣圭内蒂; 格雷戈瑞·瑞博迪
Original assignee: Id Quantum Technologies Inc
Current assignee: Id Quantum Technologies Inc; ID Quantique SA
Priority date: 2015-11-10
Filing date: 2016-11-10
Publication date: 2017-08-18
Anticipated expiration: 2036-11-10
Also published as: WO2017080860A1; EP3375130A1; CN107066236B

Abstract

本发明公开了基于光学的量子随机数生成的方法和装置。本发明涉及基于量子性质的光学过程生成随机数的方法和装置。根据一个示例性方面，该方法包括从光源随机发射光子以及由具有多个像素的光子传感器吸收发射的光子。此外，可以计算光子传感器的每个像素的各自的最小熵水平，并且随机性提取器可以基于所计算的该像素的最小熵水平与每个像素相关联。在该校准之后，该方法和装置生成用于生成随机数的多个高熵位。

Description

基于光学的量子随机数生成的方法和装置

技术领域

本发明涉及一种用于基于量子性质的光学过程的量子随机数生成的装置以及相应的方法，其中，该装置包括随机发射光子的光源，该装置和方法都能够获得高质量的随机数。

背景技术

总的来说，本发明的上下文是生成随机数。事实上，生成高质量的随机数对于例如加密协议(经典的和量子的)的许多应用的安全性是必要的。例如，常规的非对称密钥协议，如公知的DSA-算法、RSA-算法和Diffie-Hellman算法，使用进行素性检测的随机数来生成它们的密钥。另一个示例是无条件安全的一次性密码本协议，其需要长度等于待加密的数据的长度的完全随机数的字符串。该协议的主要限制是需要密钥交换。量子密钥分配提供了在远距离处产生两个安全密钥的方法，但是其实施也需要大量的随机数。所有这些示例反映了Kerckhoffs原理，Kerckhoffs原理可追溯到19世纪且并声称密码的安全性必须完全存在于密钥中。

因此，特别重要的是，在加密算法中使用的密钥是安全的，这在实践中需要随机选择密钥。在过去，随机数生成的薄弱已导致破坏大量系统和协议，例如由Arjen K.Lenstra、James P.Hughes、Maxime Augier、Joppe W.Bos、Thorsten 5Kleinjung和ChristopheWachter在他们的文章“Ron was Wrong,Whit is Right”(发表于Cryptology ePrintArchive，2012)中所报道的。这样的破坏涉及多种领域：例如，操作系统安全性，参见LeoDorrendorf、Zvi Gutterman和Benny Pinkas在文章“Cryptanalysis of the RandomNumber Generator of the Windows Operating System”(发表于ACMTrans.Inf.Syst.Secur.,13(1):1-32,2009)；通信协议，参见Luciano Bello的文章“Openssl—Predictable Random Number Generator”(发表于Debian security advisory1571-1,2008)；数字版权管理，参见Bushing、Marcan、Segher和Sven在2010年第27届混沌通信大会上发表的出版物“Ps3 Epic Fail”；和金融系统，参见Richard Chirgwin的文章“Android Bug Batters Bitcoin Wallets”(发表于The Register,2013)。因此，生成随机数当前不仅涉及国防问题，如Kerckhoffs的研究最初针对的问题，而且影响许多其他领域，如通常的计算机科技、经济、彩票和游戏，以及基于使用随机数的协议存储或加密的机构数据或个人的个人数据的隐私问题。

然而，高质量的随机数难以产生，特别是它们不能由例如计算机程序的确定性算法生成。事实上，现有的基于算法的拟随机数发生器可以有利地用于模拟目的，但是不适用于密码术，因为所得到的拟随机数原则上是可再现的。为了确保所生成的位串的唯一性和重要的随机性，需要物理随机数发生器，例如C.H.Vincent在文章“The Generation ofTruly Random Binary Numbers”(Journal of Physics E:Scientific Instruments,3(8):594,1970)中或者Y.Saitoh、J.Hori和T.Kiryu的文章“Generation of PhysicalRandom Number Using Frequency Modulated LC Oscillation Circuit with ShotNoise”(Electron Comm.Jpn.3,88(5):12-19,2005)中所解释的。

在过去，已经提出了利用物理过程的统计性质的两种类型的物理随机数发生器。第一类型的发生器使用原则上遵守确定性规律但由于初始系统状态的复杂性和不完整知识而具有混沌性质的过程。作为示例，图像传感器已经用于通过从移动场景(例如熔岩灯)中提取信息或使用传感器读出噪声来生成经典来源的随机数，如R.G.Mende、L.C.Noll、和S.Sisodiya在名称为“Method for Seeding a Pseudo-Random Number Generator with aCryptographic Hash of a Digitization of a Chaotic System”的专利US 5,732,138(1998年)中所公开的。在US6,831,980、US 6,215,874、WO2013/003943、EP 1 821 196、W001/95091中公开了这种物理随机数发生器的其他示例。然而，在这种装置和相应方法的随机性和吞吐量方面的性能一直很低。

第二类型的发生器使用以某些内在基本随机性为特征的物理过程，例如量子力学过程。出于该原因，量子随机数发生器(QRNG)特别受到关注，该量子随机数发生器由于其自身性质产生不能被预测的字符串，即使攻击者具有关于该装置的完整的信息，如在J.G.Rarity、P.C.M.Owens、和P.R.Tapster的文章“Quantum Random-Number Generationand Key Sharing”(发表于Journal of Modern Optic,41(12):2435-2444,1994)中进行了更详细解释。已知的QRNG基于专用硬件，例如：单光子源和单光子检测器，例如由A.Stefanov、N.Gisin、O.Guinnard、L.Guinnard、和H.Zbinden在他们的文章“OpticalQuantum Random Number Generator”(发表于Journal of Modern Optic,47(4):595-598,2000)中公开的；与分束器组合的光子对源，如由Wolfgang Dultz和Eric Hildebrandt在他们的名称为“Optical Random-Number Generator Based on Single-Photon Statisticsat the Optical Beam Splitter”的专利US 6,393,448(2002)中公开的；或W.Wei和H.Guo在文章“Bias-Free True Random-Number Generator”(发表于Opt.Letters,34(12):1876-1878,2009)中提出的装置；或零差检测，如例如由Christian Gabriel、ChristofferWittmann、Denis Sych、Ruifang Dong、Wolfgang Mauerer、Ulrik L.Andersen、ChristophMarquardt、和Gerd Leuchs在他们的文章“A Generator for Unique Quantum RandomNumbers Based on Vacuum States”(发表于Nat.Photon,4(10):711-715,2010)中公开的。在US 7,284,024、US 2012/045053、JP 2009/070009、EP 2 592 547、GB 2 473 078、以及W002/091147中公开了这种物理随机数发生器的其他示例。然而，这些QRNG具有明显的缺点，特别是在由于所需的专用硬件带来的尺寸和复杂性方面以及在速度和可扩展性方面，这需要高的生产成本，相应地应用性受限制。

因此，根据现有技术的解决方案内在地包括多个问题。如果已知的QRNG确实生成量子的随机数，即随机来源的随机数，则相应的装置是复杂的并且成本高。生成传统来源的随机数的装置在随机性和吞吐量方面具有低的性能。

发明内容

所公开的系统和方法的目的是克服上述困难并实现用于量子随机数生成的装置以及相应的方法。与现有装置相比，该装置应当具有减小的尺寸、复杂性和生产成本以及增大的应用范围。

为此目的，本发明提出了一种实现上述目的的装置以及相应的方法。在示例性方面，根据本发明的用于基于量子性质的光学过程生成随机数的装置的特征在于，其还包括：适于吸收随机发射的光子并测量通过所述光源在时间间隔T中产生的n个光子的光检测器以及随机性提取器，其中所述检测器包括充当光子-电子转换器的光子传感器；用于将从所述光子传感器接收的电子信号转换为电压并放大电压信号V的放大器；以及模数转换器，该模数转换器用于通过将放大的信号V编码为数字值d来处理从放大器接收的放大的信号V并将这些数字值d发送到随机性提取器用于进一步处理，例如用以基于由所述光源在时间间隔T中所产生的所述n个光子来产生量子随机数(QRN)。

根据该装置的某些方面，光源可以选择为发光二极管或激光二极管，并且光子传感器可以由CCD摄像机或CMOS摄像机形成。摄像机以及常用的光子传感器，在其Fano因子接近1的线性状态下操作，以及-为了获得最佳性能，模数转换器被调谐成使得具有满足条件ξ>1的电子到数字转换因子ξ。

在下面的描述中更详细地说明的摄像机、处理电子装置和随机性提取器的这些和其它操作参数能够实现小尺寸和低成本的量子随机数发生器，该量子随机数发生器产生高质量的量子源的随机数并且其可以集成在大量的固定的或移动的设备和仪器中。

根据本发明的另一示例性方面，用于生成随机数的装置可以包括多个或一系列随机性提取器，并且该装置可以使用这些提取器来校准。在这方面，该装置包括发射光子的光源和吸收从光源发射的光子的具有多个像素的光子传感器。另外，该装置可以包括具有软件的处理器，该处理器计算光子传感器的多个像素的各自的最小熵水平并且基于这些计算的熵水平将随机性提取器之一与每个像素匹配或相关联。在装置的该校准过程之后，与每一像素相关联的提取器可生成用于生成随机数的多个高熵位。

本发明还涉及适于实现该方法的相应方法和计算机程序部件。

在从属权利要求中以及参考附图在下面更详细地公开系统和方法的描述中提及本发明的其他特征和优点。示例方面的上述简要概述用于提供对本发明的基本理解。该概述不是所有构思方面的全面描述，并且既不旨在确定所有方面的关键要素或重要要素，也不旨在限定本发明的任何或所有方面的范围。其唯一目的是以简化形式呈现一个或多个方面，作为随后公开的更详细描述的前序。为了实现前述内容，本发明的一个或多个方面包括在权利要求中描述和举例指出的特征。

附图说明

附图示例性和示意性地示出本发明的原理以及多个方面。并入本说明书中并构成本说明书的一部分的附图示出本发明的一个或多个示例方面，并且与详细描述一起用于解释本发明的一个或多个示例方面的原理和实现方式。

图1示意性地示出由图像传感器的像素测量的(数量)n个光子的概率P(n)的分布，所述概率是源自光源的量子性质的量子不确定性σ_q和源自所使用的技术设备的技术噪声Gt的组合。

图2示意性地示出根据示例性方面的用于随机数生成的装置的主要部件以及该装置的工作原理，这些部件是光源、检测器和随机性提取器，其中检测器包括多个子元件。

图3示意性地示出根据示例性方面的用于随机数生成的装置的示例，该装置包括作为光源的LED、由所述LED照射的检测器、以及处理检测器的数字输出的随机性提取器。

图4a和图4b针对ATIK 383L摄像机以及包括在诺基亚N9移动电话中的摄像机分别示出各种照射强度的法诺(Fano)因子F。

图5a和图5b示出当分别使用ATIK 383L CCD摄像机和Nokia N9 CMOS摄像机作为检测器时获得的光子分布的归一化直方图。

图6示意性地示出根据本发明的另一方面的用于随机数生成的装置的框图。

图7A示出根据示例性方面的光子传感器的示例，以示出用于校准本文所述的随机数生成装置的方法。

图7B示出由如图7A所示的对应区域“A”、“B”和“C”中的像素测量n个光子的概率P(n)的分布。

图8示出根据本发明的一个方面的根据吸收的光子n的变化绘制的最小熵变的表示的曲线图。

图9示出根据本发明的一个方面的用于在像素水平下校准随机数生成装置的方法的流程图。

图10示出根据本发明的一个方面的用于校准随机数生成装置的方法。

具体实施方式

在下文中，将参考上述附图详细描述示例性装置和方法。本文在用于沿树形图识别计算机资源的路径的系统、方法和计算机程序产品的上下文中描述了示例方面。本领域的普通技术人员将认识到以下描述仅是说明性的，并且不旨在以任何方式进行限制。受益于本发明的本领域技术人员将容易地想到其他方面。现在将详细参考如附图中所示的示例方面的实现方式。在所有附图和以下描述中将尽可能使用相同的附图标记来指代相同或相似的项目。

在第一部分中，将描述所提出的系统的概念，包括其各种熵源和如何提取量子源的熵。在第二部分中，将揭示所提出的随机数生成的两个不同的示例性设计。最后，将给出借助于这些随机数发生器在所生成的随机数方面获得的结果，其包括对所生成的随机数执行的测试。

本发明的概念依赖于以下事实：量子状态的一些性质在测量之前是未知的以及从根本上是不可预测的。在大多数已知QRNG中使用的一个这样的性质是由入射在分束器上的光子所采用的路径。另一个这样的性质是在时间间隔T中由光源产生的光子的数量。在本发明的上下文中使用后一种效应。事实上，大多数光源在随机时间发射光子或一次发射随机数量的光子。为了语言的易读性，在进一步的描述过程中，这两种效应应该被以下措辞涵盖：这样的光源随机地发射光子。在任何情况下，都不可能预测每单位时间发射的光子数。这种量子效应通常被称为“量子噪声”或“散粒噪声”，并且已被示出是光场的性质，而不是光源或检测器的技术限制，参见例如G.Brida、M.Genovese、和I.R.Berchera的文章“Experimental Realization of Sub-Shot Noise Quantum Imaging”(发表于Nat.Photon,4(4):227-230,2010)。只有一些特定的光源，即振幅压缩光，可以克服这种基本噪声，例如由Daniel F.Walls的文章“Squeezed States of Light”(发表于Nature,306:141-146,1983)中所报道的。除了这些非常具体的源之外，每单位时间T由光源发射的光子数量由关于标准偏差的泊松分布控制，其中是在时间间隔T中发射的光子的平均数。因此，可以利用该量子效应以通过使用能够求解这种分布的检测器来实现QRNG，例如用以生成源自基本上随机的物理过程的随机数。例如在图1中示意性地示出，该方法的基本假设在于：(a)通过检测器(例如，图像传感器的像素)可以以概率P(n)测量n个光电子，(b)假设检测器在线性状态下操作，该测量的分布将是量子不确定性σ_q和技术噪声σ_t的组合，以及(c)从单次测量不能区分这两个噪声分量，然而技术噪声σ_t被假定为完全确定性的因此对于对手是已知的。如将在下文中变得清楚的，为了实现根据本发明的QRNG，优选地但非必要地，检测器的不可避免的技术噪声σ_t小于源于光源的量子性质的量子不确定性σ_q或与源于光源的量子性质的量子不确定性σ_q相当。

适于实现上述概念的装置包括例如图2中示意性示出的光源1、检测器2和随机性提取器3。光源1可以选自发光二极管(LED)、激光二极管(LD)或任何其它适当的光源，甚至环境光，只要光源以上面限定的含义随机地发射光子即可。例如也在图2中示意性地示出，检测器2包括多个元件，并且可以被建模成具有传输概率η的有损信道2.1(类似于具有给定分光比的分束器)，之后是作为具有单位效率的光子-电子转换器的光子传感器2.2。在这个模型中，传输概率η包含由于光学元件和光子传感器2.2的量子效率引起的所有损耗。光子传感器2.2可以由任何种类的光子检测器实现，特别是通过具有像素阵列的图像传感器、或者甚至由这种图像传感器的每个单独像素实现，像现在市售的CCD或CMOS摄像机或类似的适于用作图像传感器并且具有足够的光敏度的现成部件。来自光源1的少量光入射在光子传感器2.2上。这可以通过在染色位置、封装位置或组装位置引导、反射或散射来完成。对于每个吸收的光子γ，光子传感器2.2生成电子e^-，例如在图2中用符号指出。检测器2还包括处理电子器件，特别是放大器2.3以及模数转换器(ADC)2.4，放大器2.3用于将从光子传感器2.2接收的电子信号转换为电压并放大电压信号V，模数转换器(ADC)2.4通过将表示光子数量或电子数量的放大的信号V编码为数字值并将这些值发送以进一步处理(即发送到所述随机性提取器3)来处理从放大器2.3接收的放大的信号V，这将在下面更详细地描述。放大器2.3和ADC 2.4也可以在市售元件中选择。所有上述部件可以集成在电路、封装或染色位置上。有利地，随机性提取器可以在软件中实现，但是也可以通过硬件实现该部件。此外，在处理电子器件的上下文中，可以定义电子-数字转换因子ξ。如果ξ>1，则对于由光子传感器2.2生成的电子的每个可能数量，即对于由光源1产生并被传感器2.2吸收的光子的每个可能数量，在ADC 2.4的输出端(即在检测器2的输出端处)存在一个唯一的数字值或代码。因此，条件ξ>1不是强制性要求，但是对于装置的最佳性能是优选的。为了完成检测器的模型，需要添加噪声，因为在实际装置中不能避免不同来源的噪声，例如热噪声、泄漏电流或读出噪声。通常，该噪声遵循正态分布并且线性地添加到信号，如图1中用符号指出。

因此，如上所述的装置能够访问光源1的散粒噪声统计，并且因此生成量子来源的随机数。事实上，如果使用具有像素阵列的图像传感器，则由光子传感器2.2吸收的每个光子将产生电子，特别是在相应的像素内产生电子。由于光和吸收过程的量子性质，在时间间隔T中产生的电子数量是不可预测的。该数量的电子被转换成电压、电压由传感器2.2内部或外部的部件放大和数字化。重要的是，光的量和用于放大和数字化的参数是适当的，使得收集到大量的量子熵。不是所有由该过程产生的熵具有量子源，因为一些熵是由于传统噪声(例如电噪声、热噪声、放大噪声、数字化噪声)或由图像本身给出的结构引起的。然而，适当调谐的随机性提取器3能够确保所输出的随机数具有量子来源，即每个输出位的量子熵的量接近1，例如在描述的进一步的过程中将变得清楚，描述的进一步的过程还将更详细地指定所需的光量和用于放大和数字化的所述参数。

事实上，在检测器2的输出端处，获得随机变量X＝X_q+X_t，其中X_q和X_t是分别取自量子不确定性分布D_q和技术噪声分布D_t的独立随机变量。假定技术噪声对于对手(在图1中被称为“Eve”)是完全已知的，使得其仅可能依赖于产生的量子熵。因此，检测器2的输出端处的量子熵的量将对应于均值等于所吸收的光子的平均数量的泊松分布的熵，其以位表示为

对于的大值，该表达式可以近似为：

为了完全收集这种熵，检测器优选地应当满足上述条件ξ>1。测量值X可被编码b个位，但是当然可以在与二进制系统不同的另一基础上对值进行编码。输出的每位的量子来源的熵H(X_q)将平均为H(X_q)/b<1。假设适当选择的操作条件，如本文如上所述的操作条件，其中ADC 2.4不是饱和的，则可以通过将H(X_q)除以ADC的输出位的数量来近似每位的熵s。为了获得完全随机的位的串(即，利用每位的单位量子熵)，需要提取器。如M.Troyy和R.Renner在文章“A Randomness Extractor for the Quantis Device”(发表于IdQuantique Technical Report，2012)中所详细描述的，并且其内容通过引用并入本文中，提取器从大于k的l个较低熵输入位r_i计算k个高熵输出位y_i。这可以通过根据y_j＝∑M_jir_i(3)在由原始位值ri形成的向量和随机l×k矩阵M(执行的模2)之间执行向量矩阵乘法来完成。

虽然M的元素是随机分布的，但是用作随机性提取器3的矩阵M通常是预先生成的常数。对于每位具有熵s的原始输入位，输出向量y_i偏离完全随机位串的概率由ε＝2^{–(sl–k)/2}(4)约束。

可替选地，适当的随机性提取器3也可以通过执行等同于上述矩阵乘法提取器的操作的散列函数来实现。这是本领域技术人员已知的，因此不需要在此处进一步描述。

为了证明如上所述的装置(包括刚刚描述的类型的光源1、检测器2和随机性提取器3)的可行性以及通过该装置可以获得的结果，现在将揭示所提出的随机数发生器的两个不同的示例性设计。事实上，近年来，像在数码摄像机和智能电话中发现的图像传感器之类的图像传感器已经大大改进。现在它们的读出噪声是大约数个电子，它们的量子效率可以达到80％。除了它们以高精度解析量子噪声的能力之外，这样的图像传感器是5个内在并行的并且提供高数据速率。因此可以使用这样的图像传感器作为量子随机数发生器的部件，在下面将用商用天文单色CCD摄像机、ATIK 383L摄像机、移动电话中的CMOS传感器和诺基亚N9摄像机来说明二者。后者是彩色摄像机，为了下面的说明目的仅使用该彩色摄像机的绿色像素。

图3示意性地示出根据本发明的示例性方面的用于随机数生成的装置的示例，该装置包括由LED实现的光源1、被所述LED完全并且均匀照射的摄像机2(该摄像机2的原始数据(即，由摄像机2产生的像素值的二进制表示)被级联并通过随机性提取器3)，该随机性提取器3接着输出准备使用的量子随机数(QRN)。假设摄像机2由所述ATIK 383L摄像机或所述诺基亚N9摄像机形成。

首先，应当检查上述摄像机是否符合制造商的规范，并且操作条件是否适于产生量子随机数。关于后一点，重要的是光子数量分布不超过一区域(在该区域中，摄像机以及据此实现的光子检测器是线性的)并且具有足够的数字码以表示吸收光子的每个可能的数量，即，满足上面已经提到的条件ξ>1。

为了表征上述两个摄像机，使用例如图3中示意性地示出的例如LED的良好控制的光源。根据图2所示的原理，n个光子被每个摄像机2的光子传感器2.2吸收并转换成相等数量的电子。该电荷接着被放大器2.3转换成电压，并最终由ADC 2.4数字化。为了便于描述，这些部件被假设形成图3中的摄像机2的一部分。在市售摄像机中对应于“ISO”设置的放大器增益被选择为使得每个附加的输入电子将导致输出电压增加足以由ADC解析，这意味着每个电子将数字输出码c至少增加1。这可以通过用已知的光量照射摄像机来检查。通过这样做并且使用摄像机的标称量子效率来推断对于ATIK摄像机观察到ξ＝c/e为2.3码/电子，对于诺基亚摄像机观察到ξ＝c/e为1.9码/电子，如从装置的说明书所预期的。

ξ的值然后可以用于从数字读数推断吸收的光子的数量n。这能够评估定义为F＝σ²(n)/的Fano因子F，其对于泊松分布预期为1。相反，对于线性检测器，Fano因子F＝1可以用于测量Q_e和ξ。图4a和图4b分别针对ATIK摄像机、诺基亚摄像机示出的对于这些检测器的各种照射强度以这种方式获得的Fano因子F。因此，两个检测器具有大范围的强度，在该大范围的强度中，Fano因子接近1，具体而言，ATIK摄像机和诺基亚摄像机两者具有良好的线性度，即，对于大范围的光强度，优于0.998的良好的线性度。在该范围内，统计由量子不确定性(即由散粒噪声)控制。在强照射下，发生饱和，这意味着Fano因子减小，因为输出是常数。对于诺基亚N9摄像机，这发生在对应于每个像素吸收约450至500个光子的强度时，而对于ATIK摄像机，这发生在每个像素吸收约2×10⁴个光子时。这是由于使用的高放大器增益，其是在ISO 3200选择的。在低照射强度下，观察到远远大于1的Fano因子，这是由于检测器的技术噪声引起的。

例如CCD和CMOS的图像传感器具有各种噪声源，例如热噪声、泄漏电流和读出噪声。热噪声和泄漏噪声随着积分时间累积，使得可以通过使用短曝光时间(例如，毫秒量级的曝光时间，例如在0.1毫秒至100毫秒的范围内)消除或至少大大减少这些噪声源。在这种情况下，读出噪声成为技术噪声的主要源，由读出电路、放大器和ADC给出读出噪声。在图像传感器中，噪声通常以电子(e^-)计数。ATIK 383L CCD摄像机和诺基亚N9 CMOS摄像机分别具有10e^-和3.3e^-的噪声。然而，不可能针对所有类型的摄像机归纳上述曝光时间的值，因为这也取决于入射光强度。事实上，必须根据摄像机的类型(即，检测器2的类型)和光强度来选择曝光时间，使得检测器以其线性状态工作，并且优选地，读出噪声成为技术噪声的主要来源。实际上，曝光时间因此可能变化很大。

鉴于根据上述本发明的QRNG的工作原理，为了能够使用这些摄像机生成量子源的随机数，摄像机需要被照射，使得吸收的光子的平均数足以在不使检测器饱和的情况下给出尽可能大的量子不确定性因此，在实践中，在这里用于证明根据本示例性方面的量子随机数生成的装置的可行性的ATIK摄像机和诺基亚摄像机在足以分别产生1.5×10⁴e^-和410e^-的时间间隔T期间被照射。上面提到的规格和操作参数总结在表1中。对于ATIK383L CCD摄像机和诺基亚N9 CMOS摄像机所获得的光子分布的归一化直方图分别在图5a和图5b中示出。

表1：两台摄像机所采用的规格和操作参数

第二，可以基于这些事实和操作参数使用等式(2)来计算每像素的量子源的熵的量，其对于ATIK 383L CCD摄像机和诺基亚N9 CMOS摄像机分别是8.9位和6.4位。这些分别被编码16位和10位，导致ATIK 383L CCD摄像机的每个输出位的平均熵为0.56，而诺基亚N9CMOS摄像机的每个输出位的平均熵为0.64。这些结果也在表1中用数字表示。最后，根据等式(3)应用适当的提取器3，等式(3)允许将从检测器2获得的每个原始位中包含的量子源的随机性的混合应用于形成QRNG的最终数字输出的随机性提取器3的输出位，以及与从检测器2获得的原始位中的熵比较，增加随机性提取器3的输出位中的熵。这是以下内容的重要原因：对于实现根据本发明的QRNG来说优选的但不是必要的是，检测器2的不可避免的技术噪声σ_t小于或相当于量子不确定度σ_q。提取器3的选择，特别是关于其尺寸k的选择是根据上述原理进行的。事实上，如上所述，检测的光子数分布可以由泊松分布描述，并且其最小熵可以由等式(1)近似。因此，提取器3的大小和压缩因子可以被调整，以便通过确定随机性提取器的大小和压缩因子来确保来自提取器的输出的每个位具有接近1的量子熵的量，使得每次测量的输出位的数量小于检测到的光子数分布的最小熵。在上面介绍的矩阵乘法提取器的特定情况下，这可以使用等式(4)来完成，并且确保针对每位的平均熵s，提取器的参数l和k被选择成确保提取器的输出位串偏离完全随机的位串的概率ε很小。具体地，上述等式(4)允许通过使用诺基亚手机中的摄像机和具有压缩因子4的提取器来对其进行计算，例如k＝500和l＝2000，将需要约10¹¹⁸次尝试以注意到与完全随机的位串的偏差。因此，如果地球上的每个人使用这样的不断地为1Gbps的装置，其将需要花费宇宙的年龄的大约10⁸⁰倍来注意到与完全随机的位串的偏差。

为了测试以这种方式生成的随机数的质量，通过具有2000位的输入向量和500位的输出向量的提取器在计算机上收集和处理对应于使用上述框架生成的大约5Gbit的原始随机数的48个帧，这允许生成1.25Gbit的随机数。尽管随机数发生器众所周知难以测试，但是可以针对特定的弱点检查所生成的位串。第一测试步骤可以是将系统的潜在问题个别化，然后测试它们。在当前情况下，在提取之前测试所生成的随机位串。在这个阶段，每位的熵仍然明显小于一(unity)；此外，可能的错误可起因于检测器2的损坏的像素或死像素以及可起因于由于电噪声引起的像素值之间的相关性。实际上，除了增加每位的平均熵之外，随机性提取器3还确保如果一些像素变得被损坏、被灰尘覆盖或遭受任何其他问题，则保持极好的随机性质量。第二测试步骤可以在于“坚持到底(die harder)”随机测试，该随机测试可以应用于提取的位串(即在检测器2的输出处产生的原始随机数)和由随机性提取器3传送的随机数。这组测试包含NIST测试、顽固测试(diehard test)和一些额外的测试。根据本发明的QRNG通过了所有这些测试。

次于所生成的随机数的质量，QRNG的其他参数也是重要的，例如，随机数的产生速度，以及装置的可承受性和可携带性。事实上，对于许多应用，例如生成用于常规使用或游戏的密钥，速度不像由该系统提供的可承受性和可携带性那么重要。然而，基于图像传感器的量子随机数发生器可以在速度方面提供非常合理的性能。所用的例如CCD和CMOS检测器的消费级装置以每秒100兆像素和每秒1千兆像素之间的速率采集数据。在必要的处理之后，每个像素通常将提供3个随机位，使得可以获得在300Mbps和3Gbps之间的速率。为了维持这样的高数据速率，可以在现场可编程门阵列(FPGA)上进行处理，或者处理可以直接嵌入在CMOS传感器芯片上，包括由随机性提取器3实现的处理步骤，在这种情况下，随机性提取器3特征在于硬件。可替选地，在消费者装置的软件中完全实现随机性提取器3是可能的，并且可以维持大于1Mbps的随机位速率，这在很大程度上足以满足大多数消费者应用。因此，通过使用与消费者和便携式电子器件兼容的技术可以实现根据本发明的用于量子随机数生成的装置。

因此，通过照射已知的图像传感器并且将特定的操作参数应用于光子传感器2.2、处理电子器件和随机性提取器3可以提取量子源的随机数。事实上，根据上述的关于用于基于量子性质的光学过程生成随机数的装置的图解说明，用于随机数生成的相应方法包括以下步骤：提供随机发射光子的光源1；提供光检测器2，该光检测器2适于吸收随机发射的光子以及在时间间隔T内测量由所述光源1产生的光子的数量n，并且该光检测器2包括光子传感器2.2、放大器2.3和模数转换器2.4；以及提供随机性提取器3，以便允许在时间间隔T中检测由所述光源1产生的光子的数量n、并且在检测器2的所述光子传感器2.2的帮助下将所述数量的光子转换为相应的数量的电子、将从光子传感器2.2所接收的电子信号变换为电压并且在检测器2的所述放大器2.3的帮助下放大电压信号V，并且通过在检测器2的所述模数转换器2.4的帮助下将放大的信号V编码为数字值，来处理从放大器2.3接收的放大的信号V，并将这些值发送到随机性提取器3以用于进一步处理，以便基于在时间间隔T中由光源1产生的所述光子的所述数量n而产生量子随机数(QRN)。

检测器2的光子传感器2.2在时间间隔T期间被光源1照射，时间间隔T被选择成使得所吸收的光子的平均数足以给出尽可能大的量子不确定性同时使光子传感器2.2不饱和。具体地，检测器2的光子传感器2.2被光源1照射，其中光子强度处于光子传感器2.2的Fano因子接近1的强度范围内。通过将摄像机的曝光时间调整在以下限制内也可以控制吸收的光子的平均数，该限制为曝光时间需要被选择成使得摄像机以其线性状态工作。

有利地，在检测器2的输出端处生成的原始数字值r_i以及在随机性提取器3的输出端处的数字值y_i被编码b位，或者在与二进制系统不同的另一基础上编码。

鉴于根据本发明的装置和相应方法的以上描述，其优点是清楚的。最重要的是，根据示例性装置和方法的用于量子随机数生成的装置允许生成量子源的高质量的随机数，因为其基于从基本上随机的物理过程。随机数可以以高速率生成。该装置可以用市售的成像装置来实现，例如小型且低成本的CMOS摄像机和CCD摄像机。此外，其可以容易地集成在印刷电路板上。事实上，例如光源、光检测器和随机性提取器以及例如用于自测试和进一步数据处理(例如加密和传输)的其它可选部件的所有元件可以在系统、电路、封装或染色位置集成，这改进了整个装置的尺寸、易用性、安全性、可靠性和能量效率。此外，许多当前的移动和计算装置包括适于通过微小修改使用或在一些情况下直接用作诸如根据本发明的装置中所需的检测器的类型的图像传感器，以生成量子随机数。这样的图像传感器具有与移动和电池供电的应用兼容的低功耗。随机性提取器可以用硬件或软件实现。由于其尺寸小，该装置可以与其他部件集成，该其他部件例如摄像机、加密装置、传输装置、诊断装置等；具体而言，鉴于许多消费电子产品总是配备有适用于本发明的目的的图像传感器，后者可有利地与这样的部件和相应的软件集成到计算机、电话、特别是移动计算机或电话、平板电脑、网络加密装置、个人加密装置、电子钱包或任何其他类型的类似仪器。因此，通常，与现有QRNG相比，本文公开的装置和方法的简单性和性能允许广泛使用物理量子随机数发生器，且对信息安全性具有重要影响。

根据上文关于图2和图3所描述的示例性方面，用于随机数生成的示例性装置具有单一随机性提取器3。具体而言，光源1照射光子传感器2.2的像素矩阵或阵列，以及在给定时间间隔T期间由光源1发射的光子的数量的统计分布被用作随机性源。根据示例性方面，如上所讨论的，每个像素可以产生根据泊松分布统计分布的整数。此外，提供随机性提取器3不仅消除缺陷，而且使整数的分布均匀和无偏。因此，如本领域技术人员将理解的，由光子传感器2.2的阵列的特定像素产生的实际熵可以取决于局部参数，包括照度、像素的灵敏度等。

图6示意性地示出根据本发明的另一方面的用于随机数生成的装置的框图。根据本发明，公开了一种随机数生成装置，其通过基于每个像素的质量和条件调适多个随机性提取器中的一个随机性提取器来提供每位的高熵。如下面将详细描述的，对于光子传感器，例如由于不足的照射、像素饱和度或其他像素缺陷和非线性，通常一个或多个像素或一组像素将产生次优的熵。根据示例性实施方式，评估由每个像素或一组像素生成的真实量子熵的量，并且将来自这些像素的测量值发送到适当的提取器，这将产生熵足够高的输出位。

如图6所示，所示的随机数生成装置包括上面关于图2描述的示例性方面的许多相同的部件。即，该装置包括光源1和检测器2，检测器2还包括有损通道2.1、光子传感器2.2、放大器2.3和ADC 2.4。这些部件的细节在上面已经描述并且是相同的，因此将不进一步描述。然而，如图6进一步所示，随机数生成装置包括多个随机性提取器。如所示出的，该装置包括一对随机性提取器3a和3b，但是应当理解，根据本文所述的本发明的精神，示例装置可以包括三个或更多个随机发生器。如下面详细讨论的，根据图6的随机数生成装置通过使一个或多个随机性提取器3a和3b适应于光子传感器2.2的各元件来优化随机提取之后的随机位输出。

具体而言，在一个随机性提取器用于光子传感器2.2(例如，如上文关于图2所述)的所有像素的设计中，随机性提取器的大小和压缩因子必须根据具有最低熵的元件或像素来调整。结果，对于所有其他像素，随机性提取器将是次优的，导致降低的随机输出吞吐量。如本领域技术人员应当理解的，该限制不太适合于处理由于光子传感器2.2的老化等引起的熵降低。事实上，由于老化效应(例如，光源1等的劣化)，可能的是，像素元件的熵能够降低到低于随机性提取器的最小阈值，导致不完全的随机生成。

根据图6所示的示例性配置，随机数生成装置经历周期性校准，其中测量每个像素的熵，然后所述多个随机性提取器3a和3b与像素匹配。在一个方面中，随机性提取器与像素(或像素区域)匹配，使得测量的熵高于所选择的随机性提取器的最小熵阈值，并且所选择的随机性提取器是满足先前测量的条件的最有效提取器。如上所述，随机性提取器可以使用向量-矩阵乘法、散列函数等来实现，并且可以使用软件和/或软件和硬件的组合来实现。因此，匹配可以通过以下来实现：识别像素(或像素区域)的熵水平，确定所述多个随机性提取器中哪些随机性提取器具有低于测量的熵水平的最小熵阈值，然后调整软件和硬件使得对应于由相应像素输出的电子信号的数字值在装置的正常操作期间(即，当装置操作以生成随机数时)输入到匹配/相关联的随机性提取。

根据一个方面，所述多个随机性提取器可以将存在于许多弱随机位中的随机性集中到分别具有高随机性水平(例如大约为1的最小熵)的几位中。根据在示例性方面中的具体改进，随机性提取器可以按位操作(by bit operation)来配置。也就是说，如果确定已知位串(例如，10位长)具有最小熵H_min>1，则随机性提取器可以应用取决于所有位的操作，例如，采用10位的异或(XOR)，导致熵非常接近1的的一位(single bit)输出。根据另一个改进，随机性提取器可以基于向量-矩阵乘法。在该改进中，长度为X的具有每位低熵的输入位向量乘以大小为X、Y的(固定的)随机位矩阵，这导致具有每位高熵的大小为Y的较短输出位向量。应当理解，矩阵大小的选择是提取器的效率(即，提取多少熵)和对计算资源的需求之间的适当折中。换句话说，较大的矩阵将更有效地提取随机性，但需要实现更多的门或更长的软件运行时间或需要更大的缓存器来获取位。最后，在另一个改进中，可以将随机性提取器选择成散列函数，该散列函数将来自任意长度输入字符串的熵集中到每位具有更高熵的固定长度输出。

根据如上所述的示例性方面，根据示例性方面，所述多个随机性提取器3a、3b中的每一个可以具有不同的最小熵阈值。首先，每个像素将与所述多个随机性提取器3a、3b中的特定提取器相关联。根据一个方面，可以通过提取器对像素进行分组。优选地，随机数生成装置将在执行装置的校准之前运行一段时间。校准包括测量光子传感器2.2的每个像素(或其一部分)的熵，然后确定待用于每个像素(或像素组)的所述多个随机性提取器3a、3b的最佳随机性提取器。下面将参照图10更详细地描述用于对像素或像素组选择最佳随机性提取器的过程。

图7A示出根据示例性方面的光子传感器的示例，以示出用于校准本文所述的随机数生成装置的方法。如所示出的，应当被理解为光子传感器2.2的光子传感器例如由X个像素组成。此外，可以基于特定像素的列编号和行编号将每个像素从X_(1,1)到X_(M，N)分类。如上所述，基于所使用的典型光源(例如，LED光源)，每单位时间发射的光子的数量由泊松分布控制。结果，可检测的光子的数量显示出取决于被描述为泊松分布的像素位置的统计变化。实际上，照射可能不均匀，例如由于装置的几何布置，这可导致取决于像素位置的附加统计变化。此外，检测到的信号还可以取决于像素固有特性和默认值(因为它可以是死像素或热像素)。因此，所检测的信号水平将跨越像素阵列而变化，这意味着可提取的熵的水平也将跨越像素阵列而变化。

如图7A所示，示出三个区域以说明泊松分布和像素固有特性的影响。第一区域“A”(其对应于像素位置X_(i,j))是具有高强度照射和高光子密度检测的光传感器区域。接着，第二区域“B”是具有中等强度照射和中等光子密度检测的光传感器区域。此外，第三区域“C”是具有低强度照射和低光子密度检测的光传感器区域。此外，为了示例性目的，以X(_i,t)示出死像素。

图7B进一步示出在时隙期间在对应区域“A”、“B”和“C”中由像素测量的n个光子的概率P(n)的分布。如上所述，应当理解，概率P(n)可以基于源自光源的量子性质的量子不确定性σ_q和源自所使用的技术装置的技术噪声σ_t的组合。如图7B所示，将测量的n个光子的分布和概率P(n)的平均值在像素位置X_(i,j)处最高，并且在与焦点像素相邻的像素(例如，X_(i,j-1)或X_(i,j+1))处略低，且在距焦点像素(例如，X_(i,j))较远的像素(例如，X_(i,j+2))处最低。如上所述，根据示例性方面，在每个像素处输出的测量值被编码b位，但是当然可以在与二进制系统不同的另一基础上对值进行编码。

如上文进一步所述，量子熵的量对应于泊松分布的熵，该泊松分布的熵的平均值等于吸收的光子的平均数其中n是所吸收的光子的数量。根据本文所述的示例，根据以下公式计算最小熵变：

具体地，图8示出根据吸收的光子数n的变化绘制的最小熵变的表示的曲线图。如所示出的，图8中所示的曲线图提供了多个区域，这些区域可以根据区域中的照度来限定，如由在该区域中检测到的光子数限定的。具体地，图8示出对应于上面关于图7A描述的像素阵列的区域的区域“A”和“B”。

在图8的示例中，区域“B”是定义为的区域，区域“A”是的区域。如上所述，等于在给定时间间隔T内吸收的光子数的平均值。应当理解，面积“A”是最多照射的像素或区域，而区域“B”较少照射。此外，相应地定义最小熵水平或阈值H_A和图H_B。此外，H_MAX对应于像素在饱和之前可以获得的熵的最高水平，这导致如下面将详细讨论的“空”提取器。例如，区域“C”可能是不足的或饱和的，并且因此需要与空提取器相关联。

通常，每位输出的量子源的熵s被平均地定义为H_min/b，其中b是在每个像素处输出的测量值被编码的位数。因此，对于区域“A”的每位的原始输入位的熵S_A为H_A/b，同样，对于区域“B”的熵S_B为H_B/b。如上进一步所述，需要随机性提取器以获得完全随机位的串(即，具有每位单位量子熵)。随机性提取器被配置成从大于k的l个较低熵位r_i计算k个高熵输出位y_j。该操作可以通过根据公式(3)在由原始位值r_i形成的向量和随机l×k矩阵M之间执行向量-矩阵乘法来进行。

因此，根据图8所示的示例性方面和计算，对于每个区域检测“A”和“B”，可以计算最小熵H_A和图H_B，并且基于如上所述的各个最小熵值可以关联专用随机性提取器。根据示例性方面，矩阵M_A是l×k_A矩阵，矩阵M_B是l×k_B矩阵，且k_A＞k_B。还应当理解，根据示例性方面，当光传感器使光子传感器2.2和像素的特定像素阵列饱和时，熵变化快速降低到0。在这种情况下，装置将定义随机性提取器作为0矩阵，因为H_min将被设置为空。

通过计算对于每个像素或每个区域(例如，像素阵列)的最小熵H_min，随机数生成装置被配置成被周期性地校准。具体而言，可以暂时中断正常操作(即，如上所述的生成随机数)以运行校准阶段。基于对每个像素或每个区域(例如，像素阵列)测量的熵，装置可以将每个这样的元素与所述多个随机性提取器3a和/或3b中的特定随机性提取器相关联。根据一个示例性方面，通过确定测量的熵高于所选择的提取器的最小熵阈值来执行该关联。此外，装置可以确保所选择的随机性提取器是满足该条件的所有提取器中最有效的随机性提取器。因此，一旦进行了该关联，则随机数生成装置可以返回到正常操作(即，生成随机数)，其中对于给定像素或像素区域的相关联的随机性提取器将从特定像素或像素区域接收相应的数字值以基于在时间间隔T中由光源产生的n个光子产生量子随机数，如上所述。

根据一个示例性方面，可以周期性地重复校准过程。结果，随机数生成装置被配置成调整数字生成过程，以避免或最小化导致熵降低的光子传感器2.2的老化效应。

图9示出根据本发明的一个方面的用于在像素水平下校准随机数生成装置的方法的流程图。具体而言，图9示出用于根据经受照射的特定像素的响应来选择特定随机性提取器的方法。在第一步骤900中，校准开始，并且通过如上所述的像素照射来执行每个像素X_(i,j)的N个读取周期(如图9中的步骤905所示)。照射可以是连续的，即，光源在全部的N个读取周期期间是开启的，或者被施加脉冲，即光源在N个周期的每个周期被开启和关闭。对于每个像素X_(i,j)，N个读取周期的输出用于绘制所检测的光子的直方图(步骤910)。接着，在步骤915，针对每个像素估计吸收的光子的量n和相关联的熵最小熵H_min。估计最小熵的一种可能的方法是计算与由直方图表示的统计分布相关联的平均光子数。装置可以例如对每个像素X_(i,j)计算和存储每个读取周期的吸收光子的平均值n_X(i,j)和特定像素最小熵H_X(i,j)的估计值。

如上所述，装置的示例性方面包括多个随机性提取器3a和3b。在图9的该示例中，假设提供了第三随机性提取器3o。在这种情况下，根据在读取周期上由像素检测到的光子数可以选择随机性提取器(其包括一组提取器(3a、3b和3o))。根据示例性方面，提取器3a被设计成将M位变换成N位(其中2×N<M)，其中提取器3a专用于具有较高照射的区域。此外，提取器3b具有将M位变换成N位的能力(其中10×N<M)，其中提取器3b专用于低的光照射区域。最后，提取器3o将M位变换成0位，其专用于饱和或非常低光照射的区域(例如，上述的空提取器)。

再次参考图9，在步骤920，来自一组预定义的提取器的系列(提取器3a、3b和3o的组)的提取器与每个照射区域(例如，分别为图7a的A、B和C)相关联，并且因此与像素或像素的子矩阵(子矩阵不需要由相邻像素形成)相关联。所述步骤920依赖于两个子步骤925和930，其中执行所公开的装置的软件以确定哪个随机性提取器应当用于哪个像素。根据示例性方法，在步骤925a，如果n_X(i,j)<n_B，则装置将使提取器3o与像素X相关联(步骤930a)。此外，在步骤925b，如果n_B<n_X(i,j)<n_A，则装置将使提取器3b与像素X相关联(步骤930b)。此外，在步骤925c，如果n_A<n_X(i,j)<n_MAX，则装置将使提取器3a与像素X相关联(步骤930c)。最后，在步骤925d，如果n_MAX<n_X(i,j)，则装置将使提取器3o与像素X相关联(步骤930d)。应当理解，n_A，n_B和n_MAX可以是用于关联随机性提取器的预定阈值。具体而言，应当理解，对于低于n_B的吸收的任何光子数，装置假设像素在非常微弱的光下吸收，并且因此指定空提取器，如上所述。类似地，当所吸收的光子数高于n_MAX时，装置识别出像素已经达到饱和，并且再次指定空提取器，如上所述。图9中描述的过程的结果是“熵到提取器映射”。该映射将每个像素与提取器系列(例如，提取器3a、3b、3o)的特定提取器相关联。当所公开的装置被开启时，在量子随机数生成操作之前，图9中描述的该校准过程可以作为引导步骤来完成。它也可以在装置的正常操作(即，生成随机数)期间不时地重复。在这种情况下，该校准过程的激活可以由例如自上次校准以来的时间间隔、环境条件的变化或者甚至外部用户请求的事件而被触发。

可替选地，图10示出用于基于实时更新来校准随机数生成装置的方法，这意味着在并行完成随机位采集的同时完成校准。如所示出的，在第一步骤1005中，操作周期开始以便生成随机数。这是在光源1照射包括像素矩阵的光子传感器2.2时完成的，并且在第二步骤1010中测量所吸收的光子以表征光传感器矩阵的输出。如上所述，照射可以是连续的或脉冲式的。该照射-读取步骤1010能够同时获取随机位，并且基于所获取的位来更新“熵到提取器映射”。为了做到这一点，并行地执行两个过程，即：基于H_min计算更新随机位存储(步骤1020)和熵到提取器映射(步骤1040)。在步骤1020，将在步骤1010中对光传感器矩阵的每个像素读取的值存储在缓存器中。根据“熵到提取器映射”来确定用于每个像素的缓存器。缓存器可以与单一像素相关联。在这种情况下，从该特定像素读取的值在每个步骤1020被添加到缓存器。缓存器还可以与由多于一个像素组成的子矩阵相关联。注意，子矩阵不需要由相邻像素组成。在这种情况下，从子矩阵的所有像素读取的值在每个步骤1020被添加到缓存器。步骤1020的缓存器不时地被清空(图10中未示出)。这通过将存储在缓存器中的至少一些值发送到与该缓存器相关联的随机性提取器并从该缓存器擦除这些值来实现。另一方面，在步骤1030，在每个读取周期，计算最小熵H_min。该计算考虑了在前一步骤计算的最小熵值以及当前的照射-读取周期。计算该最小熵的一种可能性是更新在一个周期中吸收的光子的平均数量的移动平均值，并使用该值来计算最小熵。如本领域技术人员应当理解的，由于校准过程与量子随机数生成的适当操作并行地完成，所以可以在每次读取之后更新移动平均值，同时随机数生成装置操作以确保有缺陷的元件不会影响随机数输出。最后，在步骤1040，更新熵到提取器映射，这意味着基于在步骤1030所计算的最小熵H_min对每个像素(或像素区域)限定多个随机性提取器3a和3b中的一个随机性提取器。在该点，与随机数生成装置正常操作并行地完成校准处理，并且当操作周期结束时校准过程结束(步骤1050)。

返回参考图6，根据示例性方面的一个改进，对于随机数生成装置可以实现空随机性提取器或“伪”随机性提取器。正如任何摄像机或其他光子传感器，像素可能随着时间的推移而出现故障或劣化，其中它们不呈现对于根据上述装置和方法生成随机数的实际目的是足够的熵水平。这些元件可以被称为光子传感器的“热”元件或像素。

根据该方面，空随机性提取器可以被应用或与这些像素或像素区域相关联。在这种情况下，由任何“热”元件生成的数字值将被输出到空随机性提取器，该空随机性提取器则不输出用于随机数生成的任何随机位。根据图6所示的配置，随机性提取器3a可以是可操作提取器，并且随机性提取器3b可以是空提取器。一旦随机数生成装置执行如上所述的校准方法，则未能呈现足够的最小熵水平的所有像素或像素区域将与空提取器相关联。如本领域技术人员应当理解的，“足够的”最小熵水平可以容易地被视为存储在随机数生成装置的存储器中的预定阈值，并且每个像素的熵水平可以与该预定阈值进行比较以确定所述像素是否表现出用于对随机数生成输出位的足够熵水平。

鉴于根据本发明的装置和相应方法的以上描述，其优点是清楚的。最重要的是，根据本发明的用于量子随机数生成的装置能够生成量子源的高质量随机数，因为其基于基本上随机的物理过程。此外，通过实施本文公开的校准方法和技术，装置最大化通过对每个元件选择最佳随机性提取器所产生的位速率。此外，该装置被配置成通过周期性地执行和重复校准步骤并且对每个元件使用多个随机性提取器来克服老化效应。最后，根据一个改进，该装置克服了表现出过低且不足以用于生成随机数的熵水平的“热”元件的新状况。在这方面，校准方法使得装置能够保持最佳随机性并且避免由于包括老化、热、机械、照射功率、静电场等的多个效应而可能出现的死像素(“白色像素”)。因此，本领域技术人员将理解，即使光子传感器2.2的某些单一元件可能有缺陷，校准方法也能够实现最佳的随机数生成。

最后，应当注意，本发明还涉及存储在适于实现上述方法的计算机可读介质中的计算机程序部件。例如，在各个方面中，本文所描述的系统和方法可以在硬件、软件、固件或其任何组合中实施。如果在软件中实施，则所述方法可以作为一个或多个指令或代码存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。作为示例而非限制，这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪速存储器或其他类型的电存储介质、磁存储介质或光存储介质，或可用于以指令或数据结构的形式携带或存储所需程序代码并且可由通用计算机的处理器访问的任何其他介质。

在各个方面中，本发明中描述的系统和方法可以模块来实现。如本文所使用的术语“模块”是指使用硬件(例如专用集成电路(ASIC)或现场可编程门阵列(FPGA))实施的现实生活的装置、部件或部件排列，或作为硬件和软件的组合，例如通过微处理器系统和一组指令来实施模块的功能，其(在被执行时)将微处理器系统转换为专用装置。模块也可以实施成两者的组合，具有通过单独硬件促进的某些功能与通过硬件和软件的组合促进的其他功能。在某些实施方式中，在通用计算机(如上文图3中详细描述的计算机)的处理器上可以执行模块的至少一部分和在一些情况下模块的所有部分。因此，每个模块可以以各种合适的配置实现方式，并且不应限于本文中举例说明的任何示例性实现方式。

为了清楚起见，在本文没有公开这些方面的所有常规特征。将可以理解，在本发明的任何实际实现方式的开发中，必须做出许多特定实现方式的决定以便实现开发者的特定目标，并且这些特定目标将对于不同的实现方式和不同的开发者而变化。应当理解，这样的开发努力可能是复杂和耗时的，但是对于受益于本发明的本领域普通技术人员来说仍然是工程的常规任务。

此外，应当理解，本文使用的措辞或术语是为了描述而不是限制的目的，使得本说明书的术语或措辞将由本领域技术人员根据本文所呈现的教导和指导结合相关领域的技术人员的知识来解释。此外，除非明确地阐述，否则说明书或权利要求中的任何术语不意图归于不常见或特殊的含义。

本文公开的各个方面涵盖本文通过说明提到的已知模块的当前和将来知道的等同物。此外，虽然已经示出和描述了多个方面和应用，但是对于受益于本发明的本领域技术人员来说显而易见的是，在不脱离本文所公开的发明构思的情况下，可以进行比上文所述内容更多的修改。

Claims

1.一种用于基于量子性质的光学过程生成随机数的方法，所述方法包括：

从光源发射光子；

由具有多个像素的光子传感器吸收从所述光源发射的所述光子；

计算所述光子传感器的所述多个像素的各自的最小熵水平；

基于至少一个像素的所计算的最小熵水平将多个提取器中的一个提取器与所述多个像素中的所述至少一个像素相关联；和

由与所述至少一个像素相关联的所述提取器生成用于生成随机数的多个高熵位。

2.根据权利要求1所述的生成随机数的方法，还包括：

通过模数转换器将从所述光子传感器接收的电子信号转换成电压；和

由放大器放大电压信号，并将放大的电压输入到与所述光子传感器的所述至少一个像素相关联的所述提取器。

3.根据权利要求1所述的生成随机数的方法，其中，生成所述多个高熵位包括从大于k的l个较低熵位r_i生成k个高熵输出位y_j。

4.根据权利要求1所述的生成随机数的方法，其中，计算所述最小熵水平包括计算泊松分布的熵，其中所述熵的平均值等于通过所述光子传感器的所述多个像素的区域所吸收的光子的平均数。

5.根据权利要求4所述的生成随机数的方法，还包括：周期性地重新计算所述光子传感器的所述多个像素的所述最小熵水平。

6.根据权利要求5所述的生成随机数的方法，还包括基于重新计算的所述最小熵水平将所述多个提取器中的所述一个提取器与所述多个像素中的另一个像素相关联。

7.根据权利要求1所述的生成随机数的方法，还包括：

将一个或多个像素的所计算的所述最小熵水平中的每一个最小熵水平与预定阈值进行比较；和

如果各个计算的所述最小熵水平低于所述预定阈值，则确定所述一个或多个像素不呈现足以生成随机数的输出位的最小熵水平。

8.根据权利要求7所述的生成随机数的方法，还包括将不呈现最小熵水平的所述一个或多个像素与所述多个提取器中的第二提取器相关联，其中所述第二提取器不输出所述高熵位。

9.根据权利要求1所述的生成随机数的方法，还包括：

基于各个计算的所述最小熵水平确定所述一个或多个像素是饱和的；和

将饱和的所述一个或多个像素与所述多个提取器中的第二提取器相关联，其中所述第二提取器不输出所述高熵位。

10.一种用于基于量子性质的光学过程生成随机数的装置，所述装置包括：

光源，所述光源被配置成发射光子；

具有多个像素的光子传感器，所述光子传感器被配置成吸收从所述光源发射的所述光子；和

处理器，所述处理器被配置成计算所述光子传感器的所述多个像素的各自的最小熵水平，且基于至少一个像素的所计算的最小熵水平将多个提取器中的一个提取器与所述多个像素中的所述至少一个像素相关联，

其中，与所述至少一个像素相关联的所述提取器被配置成生成用于生成随机数的多个高熵位。

11.根据权利要求10所述的生成随机数的装置，还包括：

模数转换器，所述模数转换器被配置成将从所述光子传感器接收的电子信号转换成电压；和

放大器，所述放大器被配置成放大待输入到与所述光子传感器的所述至少一个像素相关联的所述提取器的电压信号。

12.根据权利要求10所述的生成随机数的装置，其中，所述提取器生成所述多个高熵位包括从大于k的l个低熵位r_i生成k个高熵输出位y_j。

13.根据权利要求10所述的生成随机数的装置，其中，所述处理器被配置成通过计算平均值等于所述光子传感器的所述多个像素的区域所吸收的光子的平均数的泊松分布的熵，计算所述最小熵水平。

14.根据权利要求13所述的生成随机数的装置，其中，所述处理器还被配置成周期性地重新计算所述光子传感器的所述多个像素的所述最小熵水平。

15.根据权利要求14所述的生成随机数的装置，其中，基于重新计算的所述最小熵水平将所述多个提取器中的所述一个提取器与所述多个像素中的另一个像素相关联。

16.根据权利要求10所述的生成随机数的装置，其中，所述处理器还被配置成：

将一个或多个像素的所计算的最小熵水平中的每一个最小熵水平与预定阈值进行比较；和

17.根据权利要求16所述的生成随机数的装置，其中，将不呈现最小熵水平的所述一个或多个像素与所述多个提取器中的第二提取器相关联，且所述第二提取器被配置成不输出所述高熵位。

18.根据权利要求10所述的生成随机数的装置，其中，所述处理器还被配置成：

将饱和的所述一个或多个像素与所述多个提取器中的第二提取器相关联，并且所述第二提取器不输出所述高熵位。

19.根据权利要求10所述的生成随机数的装置，其中，所述光源选自包括发光二极管、激光二极管、环境光或随机发射光子的任何其它适当光源的光源组。

20.根据权利要求10所述的生成随机数的装置，其中，所述光子传感器选自包括CCD摄像机、CMOS摄像机、特别是具有像素阵列的图像传感器、或用于生成随机数的具有单光子分辨率的光子检测器的光子检测器组。