CN115885251A

CN115885251A - 随机数量子生成方法，特别是彩票、游戏及用于量子生成随机数的设备

Info

Publication number: CN115885251A
Application number: CN202080099391.0A
Authority: CN
Inventors: 马辛·帕洛夫斯基; 古斯塔沃·德阿基诺·莫雷拉·利马
Original assignee: Universidad de Concepcion; Politechnika Gdanska
Current assignee: Universidad de Concepcion; Politechnika Gdanska
Priority date: 2020-04-24
Filing date: 2020-04-24
Publication date: 2023-03-31
Also published as: US20230214187A1; EP4139789C0; EP4139789B1; WO2021215941A1; EP4139789A1

Abstract

本发明涉及一种量子生成随机数的方法和设备。本发明能够在生成彩票和游戏中的随机数时实现。特别是彩票和游戏中的自测试式量子数生成器的设备包括：干涉仪，连接到信号源S的控制单元CU，信号具有干涉特性，改变所述信号的特性的部件A，以及通过电线测量信号强度的检测器

部件A由所述控制单元CU经由电线利用参数x进行控制。检测器D被配置为测量信号强度，并经由电线将测量结果

发送到控制单元CU。控制单元CU基于测量结果

执行自测试并返回其结果H_min。控制单元CU返回随机数

和自测试结果H_min。

Description

随机数量子生成方法，特别是彩票、游戏及用于量子生成随机数的设备

技术领域

本发明涉及一种用于量子生成随机数的新型方法和设备。本发明能在生成彩票和游戏中的随机数中实施。本发明用于二进制或非二进制随机数串的快速生成。

背景技术

随机处理过程的存在，除了哲学重要性之外，也应用于多种技术学科之中。随机数对于科学仿真以及博彩和游戏产业来说都是必不可少的。生成的衡量质量标准的随机值被称作最小熵且在公布之前与猜测生成的序列数概率有关。好的随机数生成器应该具备快速生成高熵有序比特串的能力。

一般来说，随机数生成器可以分为两类：伪随机数生成器(PRNG)和真随机数生成器(TRNG)。伪随机数生成器基于复杂的数学算法来模拟随机生成过程，公开于Gentle JE2003年出版的Random Number Generation and Monte Carlo Methods书中。这种情况下，随机数的隐秘性和不可预测性无法得到保证，并且取决于CH Vincent在"The generationof truly random binary numbers"中提到的因素(物理学报第3卷第6文第594-598页，1970)。

比如，如果伪随机数算法的种子参数被外界知晓，那么生成的随机数将不具备保密性(Barker E,Kelsey J,Recommendation for Random Number Generation UsingDeterministic Random Bit Generators,NIST SP800-90A,January 2012)。算法的实现过程中引入的问题也会导致随机数保密性降低(L.Bello.“Openssl-predictable randomnumber generator".Debian Security Advisory,1571-1,2008)，比如文中提到的周期性和缺乏一致性。

另一方面，真随机数生成器是基于一个或多个不可预测的物理过程。LavaRnd(www.lavarnd.org)是真随机数生成器中的一种，它利用CCD芯片将混沌光源数字化，并使用反转偏置半导体装置Araneus Alea II(www.araneus.fi/products/alea2/en/)来产生高斯白噪声。随机数也可以通过自然界的随机现象来生成，比如放射性衰变(www.fourmilab.ch/hotbits/)，或者大气噪声(www.random.org)。另一种可选方法是量子随机数生成器(QRGNs)，其基于量子系统测量过程中固有的不确定性，公开于EP1821196。

上述所有随机数生成方法，其随机数的随机性和不可预测性都是基于理论上保证生成器安全的模型，操作过程中无异常、故障和恶意攻击。而在实际过程中，由于在非理想条件下不可避免地使用非理想组件或系统固有的周期性干扰(例如：温度波动、人类活动、组件磨损等)，随机数的产生会逐渐变得规律。因此，随机数必须经过校验来保证随机数生成器的运行符合预期。当前已存在用于找寻随机数之间不同类型的相关性的统计测试(DieHarder,NIST STS 2.1.2)。然而，这些测试无法保证随机数生成设备的绝对安全(Darren Hurley-Smith and Julio Hernandez-Castro.“Quam Bene Non Quantum:Biasin a Family of Quantum Random Number Generators."School of Computing,University of Kent,Canterbury CT27NF,Kent,UK)。

不过，可以通过让随机数生成器持续分析其运行结果这样的自校验方式来保证其绝对安全性。在这个方向上，已经出现了一些不同的尝试，即如今所谓的“设备无关QRNGs”(DI-QRNGs)，如Davide Rusca,Thomas van Himbeeck,Anthony Martin,Jonatan BohrBrask,Weixu Shi,Stefano Pironio,Nicolas Brunner,Hugo Zbinden等人提出的“Practical self-testing quantum random number generator based on an energybound”(arXiv:1904.04819,2019)。但是目前所提出的这些DI-QRNGs并不实用，因为他们是基于复杂的量子通信协议(disclosed in Anatoly Kulikov,Markus Jerger,Anton

Andreas Wallraff,and Arkady Fedorov."Realization of a Quantum RandomGenerator Certified with the Kochen-Specker Theorem."Phys.Rev.Lett.119,240501,2017)，即Bell tests，且需要量子纠缠。在这些情况下，用户可以来校验真随机数的生成。具体来说，随机数生成器产生的最小熵可以从观测数据中直接估计得到。这种情况下，随机数生成器可以实时自校验随机数的随机性和不可预测性，这样就不再需要对生成的比特串进行统计测试。然而在实际情况下，DI-QRNGs需要大量复杂且昂贵的硬件设备，且即便如此，随机数生成也只能以极低速率运行(Davide G.Marangon,Giuseppe Vallone,and Paolo Villoresi.“Source-Device-Independent Ultrafast Quantum RandomNumber Generation.”Phys.Rev.Lett.118,060503,2017)，严重限制了它的应用。

在EP 1447740中公开了一种带有随机数生成器(RNG)的微处理器，其可以在系统复位时执行自检，并可以基于自检结果可选性的开启或关闭RNG。随机数生成器RNG包含了一个自检单元，该单元执行自检以确定RNG响应于上电或者热复位情况下是否在正常工作。如果自检失败，微处理器将禁用RNG。禁用RNG可能包括：响应于CPUID指令返回扩展信息指示RNG不存在。禁用RNG可能包括：响应于执行关联于RNG的MSR指令，具体的为RDMSR或WRMSR指令，生成通用保护性错误。禁用RNG可能包括：响应于执行尝试从RNG获取随机数的指令，生成无效操作码错误。该设备是一个可在启动时进行自检的设备。然而，自检只包括设备的基础特性并不包括对熵的检测。此外，该设备并不是基于量子力学而是基于经典物理学，因此自检程序并不十分精确。

EP 3040853描述了一个随机数生成器(1,1000)，其包括：用于测量在量子态下电磁场中两个连续可观测量的装置；以及转换装置，用于通过测量每个可观测量来获得比特流的第一序列和第二序列。其中，处理单元用于计算与第一序列相关的随机变量的有条件最小熵。后处理单元用于提取第三随机比特序列，其长度依赖于第一序列有条件最小熵。后处理单元的输出是一个可插入于数字信号(比如带有加密密钥的数字信号)的随机比特集合。该发明同样有关于随机数生成方法。该设备是一个量子设备但无法进行自检。该设备可以估算其输出结果的熵，但该熵只基于输出结果的概率分布，而不是基于输入和输入的条件概率。

在US 2015/227343中，描述了一种随机数生成系统和方法。该系统可以包括：随机数生成器(RNG)，比如配置了自校正/适应的量子随机数生成器(QRNG)，可以基于RNG的输出来大致实现随机性。通过调控，RNG可以随机数，该随机数可以在不经过随机数测试的情况被认作是随机数。例如，RNG可以包括监控运行过程中一个或多个随机数生成器特性的组件，可以基于监控得到的特性数据来进行调控或自校正，最终根据一个或多个性能标准提供随机数。该设备没有根据其输入和输出来估算熵，而是用来评估他的运行效率(根据某种标准)，并根据计算结果来调整输入达到最高的运行效率。我们的设备无法自行选择输入。

在WO 2018/065593中，提到了一种支持随机性自校验的设备，但其需要在明确重叠情况下能够产生一种或两种可能状态的源。

此外，需要这样一种技术解决方案，对于具备对生成的流进行不可预测性自测试的随机数生成技术仍然存在需求。

发明内容

本发明目的是提供可高速生成具备不可预测性的数字串的生成器和方法，其特征在于具备可实时自测试的高熵。

本发明基于最终具有固有随机性结果的量子态生成和检测的物理过程。特别重要的是本发明可进行自我检测，可对生成的随机数进行实时的随机性验证。该种方法下，设备的功能正确性可以始终得到保证，且所得随机数的安全性不以后续统计测试的实现为条件。该方案易于实现，能够高效提取最终的随机数串，对设备缺陷具有鲁棒性，支持高速生成二进制或非二进制随机数串。

本发明提出了一种实用的量子真随机数生成器的实现方法和技术设备，且支持实时自验证。该设备的运行基于干涉仪的主动操作法。该技术特别容易实现，仅需要易于商业购买的标准组件，即可集成组装为设备。本发明提出了一种比现有系统更低成本和复杂度的简化系统。该设备支持高速随机生成(Mbit/s量级)。另一个优点在于不同于大部分现存方案，本发明中生成的随机比特的最小熵可被实时计算和监控。

相较于目前最先进的技术，本发明的本质区别在于可恒定监控随机性的熵，该监控方法不需要特定的量子态源或特定的测量设备。本发明可保证对组成随机数生成设备的所有组件的可能缺陷具有鲁棒性，因此在博彩和游戏产业拥有广阔的应用前景。组件的任何原有问题或篡改都会在启动阶段被检测到，任何故障或者损耗也会被设备运行阶段被检测到。如果输出结果不为随机数，测量得到的熵将会为0，使其能够被被本发明检测到。

附图说明

本发明将通过如下示例和附图中详细描述：

图1为标准多路干涉仪；

图2a为基于添加信号修改组件和探测器改进后干涉仪的设备；

图2b为基于添加信号修改组件改进后干涉仪的设备；

图2c为基于未做修改干涉仪的设备；

图3为本发明具体实施方式-在博彩和游戏中的应用；

图4为图2a、2b、2c中控制单元CU的示意图。

具体实施方式

一般性实施例

a)系统-生成器

该设备由两部分组成：(a)干涉仪；(b)控制单元CU。干涉仪是常见仪器，将在下文描述。本设备干涉仪的组成部分可以改进添加其他组件。控制单元CU管理干涉仪的工作并自测干涉仪产生的随机性结果的质量。自测通过计算输出的数字串最小熵的下边界来实现。

干涉仪是一个用于度量呈信号形式的波的干涉特性的设备。图1是描述了干涉仪的示意图。

干涉仪具有来自源(S)的信号，并由n条路径组成。信号可以根据控制组件A₁，...，A_n中的参数(x₁，...，x_n)来修改。干涉仪出现在干涉区域(I)中，信号在检测区域(D₁，...，D_m)中处理。检测器数量m通常与路径条数相等，但不是必须的。

初始波状信号是由源S发射并通过两条或更多路径传播。初始波状信号可以是具备干涉特性的任何形式，比如粒子、电流、光或声波。在每条路径上，在每条路径中，可以根据其输入参数(x₁，...，x_n)的配置独立地修改信号，以改变其在由A₁，...，A_n表示的部件中的特性。随即在图(1)中说明的干涉区域I内发生信号干涉。离开干涉区域I后，信号在检测区域(D₁，...，D_m)内被测量。度量频段数量m可以等于路径条数n，但不是必须的。根据输入参数(x₁，...，x_n)测量检测区域的测量结果的联合概率分布p(D₁，...，D_m)，用于建立信号干涉特性。

基本思想

本文描述的发明是基于上文提到的干涉仪以及与其连接的控制单元CU实现的。本发明的主要思路是：在设备工作正常的情况下，对于来自控制单元CU的输入参数(x₁，...，x_n)中的一些组合而言，那么检测单元的输出应该是确定的，而对另外的部分则完全随机。当我们期望输出确定结果时，检查偏差并估算偏差大小可以让我们能够量化当前设备及其产出的随机输出的质量。只有设备的行为根据量子理论建模(而不是经典理论)时，设备的输出才是允许自测的随机输出。

设备的构成

该设备包含图2a-2c中描述的干涉仪和控制单元CU。

干涉仪可以与图1中描述的一样保持不变，或者在部分或者全部路径上添加附属组件来改进。由B₁，...，B_k表示的附加部件从控制单元CU获得它们自己的输入(y₁，...，y_k)，如图(2a)所示，也可以如图2b中描述的一样添加检测单元(D′₁，...，D′_k)。控制单元CU是FPGA或者ASIC形式的微处理器，必要时可包含已知的辅助电子器件。

信号源，必备的干涉仪(x₁，...，x_n)，可选组件(y₁，...，y_k)，探测器(D₁，...，D_m)，附属的探测频段(D′₁，...，D′_k)(若有)，均通过控制单元CU控制。

表示来自探测器(D₁，...，D_m)或(D′₁，...，D′_k)(若有)并送往控制单元CU的消息，/>

表示所有输入参数(x₁，...，x_n)或者附加输入参数(y₁，...，y_k)(若有)。控制单元CU自身拥有四个主要组件：计时器T，硬件驱动器HD，内存M以及计算处理器CP，都经由电路通信。

根据图2a，设备信号来自于源(S)并经由n条路径传播。信号在控制单元CU部件A₁，...，A_n中根据参数(x₁，...，x_n)进行加工。其中，部分路径上存在附加组件B₁，...，B_k，其包含自身的参数(y₁，...，y_k)。基于第i条见路径中的参数值y_i，信号可以在原路径中继续传播或者重定向到附加探测器D′₁，...，D′_k中的一个。停留在原路径中的信号在干涉区域(I)中发生干涉，之后被送完探测区域D₁，...，D_m进行测量。控制单元CU为FPGA或ASIC形式，控制除自身外其他组件，其拥有计时器，将设备的操作分为若干步骤。在每一个步骤中，控制单元CU触发信号源(S)发送信号，生成输入(x₁，...，x_n)和(y₁，...，y_k)信息，这些信息通过电路在组件A₁，...，A_n和B₁，...，B_k之间通信。在每一个步骤中，全部的探测器D₁，...，D_m和D′₁，...，D′_k测量输入信号并通过电路将测量结果

发送到控制单元CU。每一步骤中，控制单元CU发送测量结果/>

和估算的最小熵H_min给用户。

如图2b所示，设备中信号来自信号源(S)并通过n条路径传播。信号可在控制单元CU部件A₁，...，A_n中根据参数(x₁，...，x_n)来加工。部分路径中存在附加组件B₁，...，B_k，其拥有自身参数(y₁，...，y_k)。信号会经过两部分组件共同处理。干涉在干涉区域发生，其后信号在探测区域D₁，...，D_m中测量。控制单元CU为FPGA或ASIC形式，控制除自身外其他组件，其拥有计时器，将设备的操作分为若干步骤。每一个步骤中，控制单元CU触发信号源(S)发送信号生成输入信息(x₁，...，x_n)和(y₁，...，y_k)，他们通过电路在组件A₁，...，A_n和B₁，...，B_k之间通信。在每一个步骤中，全部的探测器D₁，...，D_m和D′₁，...，D′_k测量输入信号并通过电路将测量结果

发送到控制单元CU。每一步骤中，控制单元CU发送测量结果/>

和估算的最小熵H_min给用户。

如图2c中描述的一样，设备中信号来自信号源(S)并通过n条路径传播。信号可在控制单元CU部件A₁，...，A_n中根据参数(x₁，...，x_n)来加工。干涉在干涉区域发生，其后信号在探测区域D₁，...，D_m中测量。控制单元CU为FPGA或ASIC形式，控制除自身外其他组件，其拥有计时器，将设备的操作分为若干步骤。每一步步骤中，控制单元CU触发信号源(S)发送信号，生成输入(x₁，...，x_n)，通过电路送达到组件A₁，...，A_n。在每一个步骤中，全部的探测器D₁，...，D_m测量输入信号并通过电路将测量结果

发送到控制单元CU。每一步骤中，控制单元CU发送测量结果/>

和估算的最小熵H_min给用户。

方法

随机生成

控制单元CU的内部结构在图4中展示。控制单元CU在每一个步骤中生效。每一个步骤开始于计时器T发送信号给硬件驱动器HD，通知其新的步骤开始。然后硬件驱动器HD从内存M中获取随机变量

硬件驱动器HD传输/>

到组件A₁，...，A_n和B₁，...，B_k，且命令信号源S发送信号。在信号被探测器(D₁，...，D_m)(及(D′₁，...，D′_k)，若有)测量后，探测器将/>

发送到硬件驱动器HD，其又将结果传输到内存M。然后计算单元CP从内存M获取/>

和/>

集合，并从中计算自测结果，即/>

的最小熵/>

的下边界。这是信息论中标准的随机数质量度量手段。计算处理器用于计算/>

的方法将在下一部分描述。步骤结束于计算单元CP发送/>

和

给用户。/>

表示本次步骤产生的随机数，/>

表示自测结果。

计算单元CP也会实用随机抽取器(著名的数学函数)来从

提取发送到内存M中的的/>

的值，会用于在下一步设置组件A₁，...，A_n和B₁，...，B_k。

自测，第一部分：估算概率分布

本方法用于建立和更新基于

和/>

的/>

按如下方法工作：/>

控制单元CU将上一步N₀的结果

和/>

存储于内存M。N₀是由用户自行随意选择的参数。在任一步骤中，会在内存中添加/>

和/>

对，并从内存中移除存在时间最长的一对。当前内存存储的是/>

的列表，以及下一步骤(周期)的/>

值。给定任意步骤中返回的/>

值是上一个N₀步骤中/>

的平均最小熵。

作为/>

的函数的第一条件概率分布/>

由控制单元CU估算得到。对于上一个N₀个步骤中任意特定/>

的任意给定/>

值的概率，可以有下述等同公式给出：

其中，δ(a，b)是Kronecker函数，在a＝b时为1，否则为0。

自测，第二部分：估算最小熵

被成为可观测的概率分布，并假设其来自潜在概率/>

此处有两种我们无法直接访问的参数：

γ表示干涉仪设置的特性，比如不同路径的损失或者干涉区域的特性。虽然他们会随着时间发生变化，但是这个变化对于我们来足够缓慢，我们可以假设γ在最新N₀个步骤块中是恒定不变的。

另一方面，

表示在设备运行期间每一步中可以变更的参数。快速的参数变化只会出现在控制信号源S和探测器(D₁，...，D_m)行为(以及(D′₁，...，D′_k)(若有))的电子电路上。因此，我们标记/>

其中D为探测器数量，在图2a中等于m，在图2b中等于m+k，λ₀为信号源相关参数，λ_i为探测器D_i相关参数。

控制单元CU在内存中保存有限的

和/>

对，它们预先通过对设备的行为建模得到的γ和/>

的函数来计算。使用γ和/>

来对设备进行精确的参数化及其参数范围取决于安全范式的选择。例如，为了对设备进行建模，我们可以假设设备的参数没有快速变化并且/>

是恒定的，或者假设信号源总是产生单个光子。设备可以存储多套(参数)集合，用户可在不同的范式之间切换，牺牲安全范式级别来获取更高的随机生成率。为保证

和/>

对是一个有限集合，参数γ和/>

可能需要粗粒度化。而后对每一个γ和/>

计算/>

而后得到概率/>

的最小的最小熵/>

其中，Γ和/>

表示在粗粒度化时分别产生γ和/>

的值集合，即：

如果我们使用

和/>

来表示概率分布。那么对于特定γ的潜在对手的最小熵，其下限为：

针对特定γ观测到的概率分布为：

此时控制单元CU可执行线性规划来在约束

下得到(*)的最小值，其中∈为与粗粒度化匹配的隐式常量。该约束的意义是通过线性规划得到与观测到的概率分布兼容的最小的最小熵/>

在对γ的全部值解算线性规划后，/>

可表示为所有γ的最小熵最小值，即：/>

实施例2

本发明的优选实施方案的描述

本发明的优选方案(图3所示)，基于现代化光纤技术构建的四臂Mach-Zehnder干涉仪。

该设备可应用于博彩业，因为抽签的结果需要使用随机数。可通过向设备的控制单元CU发送信号来得到随机数。

控制单元CU是一个现场可编程门阵列(FPGA)。它包含了控制单元CU所需的全部必须元素：内存M，计时器T，硬件驱动HD及计算单元CP。FPGA单元控制和同步信号源S，信号修改器A、B，探测器D。

在从激光器发射光之后，然后使用光衰减器来降低初始信号强度。光衰减器将每个脉冲的平均光子数设定为μ＝0.2。这种情况下，信号源可以认为是对单光子不确定性源的良好近似。我们使用量子信息的标准右矢表示法，并通过|χ₀>＝|0>来描述生成单个光子后的光状态。经过光衰减器后，信号会被4×4多端口分束器单元(MBS₀)分离到四条通道中。该单元包含商用解复用器(DEMUX)，使用1根光纤作为输入，4根光纤作为输出。其实现了4维Hadamard门操作：

光离开源后的量子态为：

其中，|k>表示光子在第k个通道中的模态。

本设备按照图2b所示实现。组件A₁，...，A₄是连接于MBS₀出口光纤的相位解调器(PM)。参数(x₁，...，x₄)是相位

FPGA通过给PM的驱动器不同的电压来控制

在经过组件A₁，...，A₄后，光的状态变为：

组件B₁，...，B₄是另一组连接于每条光纤的相位解调器(PM)。参数(y₁，...，y₄)为相位

现场可编程门阵列FPGA通过给PM驱动器不同的电压来控制

在经过组件B₁，...，B₄处理后，光的状态变为：

干涉区域I是另一个与(MBS₀)相同方式构建的4×4多端口分束器单元(MBS₁)，并进行与MBS₀同样的处理。处理之后，光的状态变为：

而后光通过探测器进行测量。在模态|0>的光子通过探测器D₁测量，模态|1>的光子由探测器D₂测量，模态|2>的光子通过探测器D₃测量，模态|3>的光子由探测器D₄测量。探测器是商用触发式InGaAs单光子泻光探测器。

探测器将测量结果输出到FPGA，FPGA再对结果估算最小熵

现场可编程门阵列FPGA采用常见的随机提取方法对/>

进行后处理，该方法输入为/>

和/>

输出为质量任意的随机数串/>

下一步现场可编程门阵列FPGA将/>

返回给用户，用户可将/>

中的数字作为彩票抽奖结果。

致谢

本发明人感谢波兰科学基金会通过授权First TEAM/2016-1/5的支持。