YD∕T 3907.3-2021 基于BB84协议的量子密钥分发（QKD）用关键器件和模块第3部分：量子随机数发生器（QRNG）(通信).pdf

资源描述

1、ICS33.180.01 M 33 YD 中华人民共和国通信行业标准 YD/T XXXX.3XXXX 基于 BB84 协议的量子密钥分发（QKD）用关键器件和模块第 3 部分：量子随机数发生器（QRNG） Key components and modules for Quantum Key Distribution (QKD) based on BB84 protocol - part 3: Quantum Random Number Generator (QRNG) （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施中华人民共和国工业和信息化部发布 YD

2、/T xxxxxxxxI目次前言 .II 1 范围 .1 2 规范性引用文件 .1 3 符号和缩略语 .1 4 量子随机数发生器结构 .2 5 量子随机数发生器的功能模块 .3 5.1 量子熵源 .3 5.2 熵评估 .3 5.3 熵源健康检测 .4 5.4 后处理 .4 5.5 在线随机性检测 .4 6 量子随机数发生器应用接口 .5 7 量子随机数发生器测试要求及方法 .5 7.1 量子随机数发生器原理审查 .5 7.2 量子熵源模块测试 .5 7.3 熵源健康检测模块测试 .6 7.4 后处理模块测试 .6 7.5 随机性检测 .7 7.6 应用接口测试要求及方法 .7 附录A （资料

3、性附录）量子随机数发生器方案原理 .8 附录B （资料性附录）推荐的熵源健康检测方法 .13 附录C （资料性附录）后处理方法 .15 YD/T xxxxxxxxII前言 YD/T XXXX基于BB84协议的量子密钥分发（QKD）用关键器件和模块拟分为以下三个部分：第1部分：光源；第2部分：单光子探测器；第3部分：量子随机数发生器（QRNG）。本部分是YD/T XXXX的第3部分。本部分按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由中国通信标准化协会提出并归口。本部分起草单位：科大国盾量子

4、技术股份有限公司、中国信息通信研究院、中国电子科技网络信息安全有限公司、国科量子通信网络有限公司、华为技术有限公司、中兴通讯股份有限公司、北京邮电大学、山东量子科学技术研究院有限公司、浙江九州量子信息技术股份有限公司、济南量子技术研究院。本部分主要起草人：赵梅生、贾云、赵文玉、赖俊森、徐兵杰、马彰超、李政宇、徐继东、赵永利、郁小松、武宏宇、宋萧天、周飞、李明翰。 YD/T xxxxxxxx1基于 BB84 协议的量子密钥分发（QKD）用关键器件和模块第 3 部分：量子随机数发生器（QRNG） 1 范围范围本部分规定了基于BB84协议的量子密钥分发（QKD）用量子随机数发生器（QRNG

5、）的结构、功能模块、应用接口等要求，以及QRNG模块和接口的测试方法。本部分适用于量子随机数发生器。 2 规范性引用文件规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 4088-2008 数据的统计处理和解释二项分布参数的估计与检验 GB/T 4089-2008 数据的统计处理和解释泊松分布参数的估计和检验 GB/T 4882-2001 数据的统计处理和解释正态性检验 GB/T 32915-2016 信息安全技术二元序列随机性检测方法 GM/T 0005

6、随机性检测规范 GM/T 0018-2012 密码设备应用接口规范 3 符号和缩略语符号和缩略语下列符号和缩略语适用于本文件。 A 重复性测试中当前统计的样本值显著性水平重复性测试中预先设定的可接受的误报率 AC 自发辐射噪声拟合中的经典噪声系数 ASE 放大自发辐射（ Amplified Spontaneous Emission） AQ 自发辐射噪声拟合中的量子噪声系数 B 重复性测试中当前统计的样本值出现的次数 C 重复性测试不通过的临界值 CBC 密文分组链接（Cipher Block Chaining） CRC 循环冗余校验（Cyclic Redundancy Check） D

7、d n 位原始随机序列 Dr m 位最终随机序列 1 比特随机数提取器 Extmm 比特随机数提取器 x,yEYD/T xxxxxxxx2EDFA 掺饵光纤放大器（Erbium Doped Fiber Amplifiers) F 经典常数噪声 Hmin 最小熵 Hquantum 量子随机成分的最小熵 LFSR 线性反馈移位寄存器（Linear Feedback Shift Register） m-LSB m 最不显著比特（m Least Significant Bit） N 一次测试中必须观察的样本总数 n 随机序列长度 NFSR 非线性反馈移位寄存器（Nonlinear Feedback S

8、hift Register） OFB 输出反馈（Output Feedback） P 激光器输出功率 Pr(x) 事件 x 发生的概率 P_max量子随机成分取某个样本值的最大可能概率 PCIe 高速串行计算机扩展总线标准（Peripheral Component Interconnect express） PD 光电探测器（Photo Diode） QKD 量子密钥分发（Quantum Key Distribution） QRNG 量子随机数发生器（Quantum Random Number Generator） ri 异或链方法中第 i 个输入序列相邻 n 比特异或值的结果 S 已检验的噪

9、声源样本数 SLED 超辐射发光二极管（Superluminescent Light Emitting Diodes） SPD 单光子探测器（Single Photon Detector） TDC 时间数字转换器（Time to Digital Converter） V2 相位干涉测量电信号的方差 W 适配比例测试的误报率 X 随机序列 Xi 随机序列的第 i 位 x 对实数 x 取不小于该实数的最小整数值 4 量子随机数发生器量子随机数发生器结构结构量子随机数发生器利用量子随机过程产生随机数，其随机性由量子力学的基本原理保证。量子随机数发生器产品主要包括基于相位涨落的量子随机数发生器、

10、基于真空涨落的量子随机数发生器、基于分支路径的量子随机数发生器和基于放大自发辐射噪声的量子随机数发生器等。各产品方案原理参见附录A。量子随机数发生器一般由量子熵源、熵评估、熵源健康检测、后处理（可选）、在线随机性检测（可选）和输出开关（可选）等功能模块组成。其中，量子熵源又包含量子态制备、测量和状态监测（可选）等子功能模块。量子随机数发生器一般框架的基本模型如图 1 所示。 YD/T xxxxxxxx3 图 1 量子随机数发生器总体框架量子随机数发生器的工作原理如下：量子熵源部分应制备对应的量子态并对其进行测量，输出原始随机序列；对量子熵源可进行状态监测，应对其输出进行熵源健

11、康检测以保证其工作在正常状态，对量子熵源输出的原始随机序列应进行熵评估，估计该原始随机序列的熵值；该原始随机序列非满熵时可通过后处理进行熵浓缩，后处理的最终输出应为二元随机序列。量子随机数发生器可设置输出开关，用于开启或关闭对外输出二元随机序列的功能；可设置在线随机性检测模块，对输出的二元随机序列进行在线随机性检测。熵源健康检测、熵评估、状态监测（若有该功能）和在线随机性检测（若有该功能）的结果应对外输出。 5 量子随机数发生器的功能模块量子随机数发生器的功能模块 5.15.1 量子熵源量子熵源 5.1.15.1.1 量子态制备与测量量子态制备与测量量子态制备应基于至少一种量子

12、随机过程，其随机性来源于量子态叠加、量子态纠缠、自发辐射相位涨落或者强度涨落等。量子态测量应设计对应的测量方案，通过对于量子态的测量实现原始随机序列的正确提取。 5.1.25.1.2 量子熵源状态监测量子熵源状态监测该模块监测各种影响量子熵源稳定性的因素，例如温度、电压、光强、相位等。当熵源处于正常状态才能进行随机数的提取和输出；当熵源状态异常时，应输出告警信息，并执行对应措施。该模块为可选模块，应根据不同产品方案的熵源稳定性需求，提供对应状态监测模块。 5.25.2 熵评估熵评估熵评估是通过统计检测的方法对量子熵源输出的原始随机序列进行预测评估，得到熵估值。可以采集未经后处理的原

13、始随机序列用于统计最小熵。量子态制备量子态制备后处理后处理输出开关输出开关熵源健熵源健康检测康检测熵评估熵评估状态监测状态监测状态监测状态监测、熵估熵估值值、告警信息告警信息二元随机二元随机序列输出序列输出原始随原始随机序列机序列量子信号量子信号状态状态/指令指令必备功必备功能模块能模块可选功可选功能模块能模块图例图例量子熵源量子熵源量子熵源量子熵源量子随机量子随机数发生器数发生器在线随机性在线随机性检测检测二元随二元随机序列机序列测量测量YD/T xxxxxxxx4对于一个长度为n的二元随机序列 0,1，最小熵的计算方法见公式（1）： min= log2.（1）其中表示随机序列 X 取某

14、个样本值的最大可能概率。在熵评估过程中，应选择适当的方法估计原始随机序列中的量子随机成分，结合模数转换采样设置等因素估算出量子随机成分取某个样本值的最大可能概率 P_max，从而利用公式（2）计算出单位长度的原始随机序列中量子随机成分的最小熵quantum。（2） 5.35.3 熵源健康检测熵源健康检测熵源健康检测通过判断量子熵源特性是否符合预期的统计特性，识别量子熵源是否处于异常状。熵源健康检测应检测量子熵源输出的原始随机序列，并在量子熵源运行过程中持续或周期性执行。执行熵源健康检测时不应导致量子熵源输出被抑制或输出速率被减低。若熵源健康检测结果为失败时，应告警并可以关闭量

15、子随机数输出。熵源健康检测的方法和参数应根据量子熵源的特性合理设置。推荐的熵源健康检测方法包括重复计数测试和适配比例测试（推荐的熵源健康检测方法参见附录 B）。 5.45.4 后处理后处理 5.4.15.4.1 概述概述通过后处理可以对原始随机序列存在的偏差进行调整，生成符合统计检验要求的随机数序列。 5.4.25.4.2 输入输出数据输入输出数据后处理的输入为量子熵源输出原始随机序列，后处理的输出为真随机数。 5.4.35.4.3 后处理方法后处理方法后处理方法有很多种，如基于分组密码、基于杂凑函数、基于 m 序列等的密码函数后处理方法和诺依曼校正器、异或链、奇偶分组、m-LSB

16、等的轻量级后处理方法。在考虑针对随机数的量子攻击的情况下，还有一些被证明抗量子攻击的强随机数提取器方案，比如Trevisan 提取器和 Toeplitz 提取器。实际中可根据量子熵源的特性进行设计（后处理方法参见附录 C）。 5.55.5 在线随机性检测在线随机性检测在线随机性检测是量子随机数发生器的可选模块。在线随机数检测分为上电检测和周期检测两个应用阶段，待检测数据以二元序列的形式接受检测。上电检测所采用的随机性检测项目包括 GB/T32915-2016 规定的 15 项，分别为：单比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大游

17、程检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似熵检测、线性复杂度检测、maurer 通用统计检测、离散傅立叶检测。上电检测一次的检测数据量为 2107比特，分成 20 组，每组 106比特。周期检测执行 GB/T32915-2016 中除离散傅里叶检测、线性复杂度检测、通用统计检测外的 12 项检测，执行周期可配置，检测间隔最长不超过 12h。周期检测一次的检测数据量为 4105比特，分成 20组，每组 2104比特。本部分规定的在线随机性检测，采用的显著性水平均为=0.01。对于上电检测，单次检测如果 2 组或者 2 组以上不通过，则告警检测不合格。允许重复 1 次随机

18、数vXn,vPrmax10maxlog2PHquantumYD/T xxxxxxxx5采集与检测，如果重复检测仍不合格，则判定为量子随机数发生器失效。对于周期检测，单次检测如果 2 组或者 2 组以上不通过，则告警检测不合格。允许重复 1 次随机数采集与检测，如果重复检测仍不合格，则判定为量子随机数发生器失效。 6 量子随机数发生器应用接口量子随机数发生器应用接口量子随机数发生器应用接口的软件、硬件形态和输出速率等应满足 QKD 设备的需求。对于高速率需求，推荐使用 PCIe，RapidIO 等高速硬件接口，软件接口推荐遵照 GM/T 0018-2012 第 6.2.6 节的规定。注：若

19、量子随机数发生器用于密码系统等其他应用时，硬件接口可根据应用需求自定义；软件接口推荐遵照 GM/T 0018-2012 第 6.2.6 节的规定，相关应用领域另有要求的，按照相关要求定义。 7 量子随机数发生器测试方法量子随机数发生器测试方法 7.17.1 量子随机数发生器原理量子随机数发生器原理测试测试 7.1.17.1.1 测试目的测试目的检测量子随机数发生器的原理方案，判断是否可以被用来产生量子随机数。 7.1.27.1.2 测试方法测试方法检测量子随机数发生器的说明文档和原理图。同时，需提供必要的光学设计图、软件源代码、硬件电路图和 FPGA 源代码以供检查。 7.1.37.1.3

20、合格判据合格判据量子随机数发生器方案原理采用了已知的量子随机性过程，且实现和原理方案一致。 7.27.2 量子熵源模块测试量子熵源模块测试 7.2.17.2.1 测试目的测试目的测试量子随机数发生器是否正确制备了原理方案中要求的量子态并正确测量。 7.2.27.2.2 测试方法测试方法测试方法如下： a) 采集足够数量的量子熵源输出的原始随机序列； b) 根据原理方案中所要求的测量结果理论分布，对采样样本计算相应的统计量； c) 在指定的显著性水平下，根据原理方案中所要求的量子态测量结果理论分布计算拒绝域临界值，检查统计量是否超过临界值。根据具体测试需求，显著性水平可以在 0.10、0

21、.05 和 0.01中选择。 - 当测量结果理论分布为正态分布时，步骤 a)c)中应采集的原始随机序列的数量、应计算的统计量和拒绝域临界值的设置遵照 GB/T 4882-2001 的规定； - 当测量结果理论分布为二项式分布时，步骤 a)c)中应采集的原始随机序列的数量、应计算的统计量和拒绝域临界值的设置遵照 GB/T 4088-2008 的规定； - 当测量结果理论分布为泊松分布时，步骤 a)c)中应采集的原始随机序列数量、应计算的统计量和拒绝域临界值的设置遵照 GB/T 4089-2008 的规定。 YD/T xxxxxxxx67.2.37.2.3 合格判据合格判据当测量结果理论分布为二

22、项式分布时，合格判据按照 GB/T 4088-2008 的规定执行。当测量结果理论分布为泊松分布时，合格判据按照 GB/T 4089-2008 的规定执行。当态测量结果理论分布为正态分布时，合格判据按照 GB/T 4882-2001 的规定执行。 7.37.3 熵源健康检测熵源健康检测模块测试模块测试 7.3.17.3.1 测试目的测试目的测试熵源健康检测的方法是否被正确实现，并且当熵源健康检测结果为失败时，量子随机数输出是否会被关闭。 7.3.27.3.2 测试方法测试方法测试方法如下： a) 对熵源健康检测相关的源代码进行代码走查； b) 将正常状态下的熵源信号输入至熵源健康检

23、测模块，记录检测结果； c) 准备一组与上一步数据量相等的异常信号（比如，幅度恒定的信号），再次输入至熵源健康检测模块，记录检测结果； d) 如果步骤 b)的检测结果为正常，步骤 c）的检测结果为失败且告警，则说明熵源健康检测执行正常，否则说明熵源健康检测实现方式错误； e) 对于不支持在线输入的设备，也可通过软件仿真的方式进行对比测试，即通过软件仿真模拟熵源健康检测模块的功能，测试方法与步骤 a)步骤 d)一致。 7.3.37.3.3 合格判据合格判据对于正常信号和异常信号，熵源健康检测执行结果均正确。 7.47.4 后处理模块测试后处理模块测试 7.4.17.4.1 测试目的测试目

24、的测试后处理方法实现是否正确，提取输出的二元随机序列长度是否小于熵评估得到的值。 7.4.27.4.2 测试方法测试方法测试方法如下： a) 提供源代码，进行代码走查； b) 对于支持在线输入的设备，在线输入多种标准输入，比较后处理算法的输出和相应的标准输出，观察是否一致； c) 对于不支持在线输入的设备，可在模拟器上仿真源代码。审查模拟器代码，保证源代码中关键参数和源代码一致，且可以正确实现所需要的功能； d) 记录输入的随机序列长度，以及后处理算法相应输出的二元随机序列长度。计算出对于每单位长度的随机序列输入，后处理提取输出的二元随机序列长度，要求该长度不大于熵评估给出的量子随机成

25、分最小熵值quantum。 7.4.37.4.3 合格判据合格判据后处理算法输出和标准输出一致，并且对于每单位长度的随机序列输入，后处理输出的二元随机序列长度不大于熵评估给出的量子随机成分最小熵值。 YD/T xxxxxxxx77.57.5 随机性检测随机性检测 7.5.17.5.1 检测检测目的目的测试量子随机数发生器最终输出的随机数随机性是否合格。 7.5.27.5.2 检测方法检测方法按照 GB/T32915-2016 和 GM/T 0005 执行。GB/T32915-2016 和 GM/T 0005 要求不一致之处按照GM/T 0005 执行。第一次检测不合格时，允许重复 1

26、次随机数采集与检测，如果重复检测仍不合格，则判定为随机数发生器失效。 7.5.37.5.3 合格判据合格判据按照 GB/T32915-2016 和 GM/T 0005 执行。GB/T32915-2016 和 GM/T 0005 规定不一致之处按照GM/T 0005 执行。 7.67.6 应用接口测试应用接口测试 7.6.17.6.1 测试目的测试目的测试量子随机数发生器输出随机数的速率是否达到产品规定的指标要求，以及其输出给应用设备的随机数的随机性是否合格。 7.6.27.6.2 测试方法测试方法测试方法如下： a) 按照产品手册(或者其他经生产商认可具有效力的技术资料）正确配置量子

27、随机数发生器，使其正常工作，采集单位时间内量子随机数产品输出的全部随机数，计算得到输出速率，检查该计算值是否满足产品手册(或者其他经生产商认可具有效力的技术资料）中规定的指标要求。 b) 采集经应用接口输出的量子随机数进行随机性测试，随机性检测方法按照 5.5 节在线随机性检测的规定执行。 7.6.37.6.3 合格判据合格判据量子随机数发生器输出随机数的速率达到产品手册(或者其他经生产商认可具有效力的技术资料）中规定的指标要求，并且应用接口输出的量子随机数通过 5.5 节规定的随机性检测。 YD/T xxxxxxxx8附录A （资料性附录）量子随机数发生器方案原理 A.1 概述概述量

28、子随机源种类繁多，所用的协议与原理各不相同，目前较为成熟且已有商用产品的是基于相位涨落的量子随机数发生器、基于真空噪声的量子随机数发生器、基于放大自发辐射噪声的量子随机数发生器和基于分支路径量子随机数发生器。本附录对这四种不同原理的量子随机数发生器技术原理进行介绍，并对其各自的主要特点列表总结如表 A.1 所示，表 A.1 各种量子随机数发生器的技术特点 QRNG 类型技术特征相位涨落真空噪声放大自发辐射噪声分支路径量子信号源自发辐射光场真空态放大自发辐射单光子探测器光电管平衡探测器光电管单光子探测器随机比特数量/每信号 1 1 1 1 量子信号理论

29、分布高斯分布/均匀分布高斯分布玻色-爱因斯坦分布/高斯分布二项式分布经典噪声解耦较易较易较难较易 A.2 基于相位涨落的量子随机数发生器基于相位涨落的量子随机数发生器该类随机数发生器的主要结构如图 A.1 所示，包括：激光器、干涉仪、光电探测器、模数转换器。其中：激光器设置在临界状态上，以保证自发辐射光子的比例占优势；干涉仪通过光的干涉将输入激光信号中的相位涨落转化为强度涨落，干涉仪可以是马赫-曾德干涉仪、法拉第旋转镜干涉仪或者光纤环等；光电探测器对光信号的强度进行探测，输出模拟电信号；模数转换器将连续的模拟电信号转化为原始数字信号。对于模数转换化器输出的原始数字信号，

30、还要经过一个后处理过程将其转化为无偏的最终随机数。 YD/T xxxxxxxx9 图 A.1 基于相位涨落的量子随机数发生器基本结构相位涨落量子随机数发生器的随机性来自于激光器内部介质的自发辐射带来的随机相位涨落。激光器内部工作介质的原子能级跃迁会产生两种辐射，受激辐射和自发辐射。后者由真空涨落引起，发射出的光子相位具有高度的随机性。相位涨落量子随机数发生器的功能是将这种自发辐射的随机相位提取出来产生随机数。激光器的泵浦电流存在一个阈值，低于这个阈值，激光器内部仅存在微弱的自发辐射，无激光输出，高于此阈值时才会有输出，随着泵浦电流增大，受激辐射将成为主导。量子随机数发生器工作时，

31、将泵浦电流强度设为略高于阈值，这样可以使激光器输出中自发辐射的比例尽可能高。光电探测器输出的电信号中同时包含量子信号与经典噪声，其定量关系由（A.1）式表示： 2= + 2+ （A.1）其中等号左侧为电信号的方差，是一个统计量，可以通过大量样本计算出来。等号右侧，AQ，AC是系数，P 为激光器输出功率，为经典常数噪声。第一项为量子信号，后两项2+ 为经典常噪声。公式（A.1）表明，量子信号与经典噪声和激光器功率 P 均有关。可以看出经典电信号的方差是P 的二次函数，各项系数 AQ，AC，F 可以通过拟合的方式计算出来。通过改变 P 的值，即可改变量子信号与经典噪声的比例，设置一个适当的 P

32、值可以使这一比例达到最大，量子随机数的产生过程便在这个功率下进行。根据所使用的制备和测量方案，量子信号测量结果可能呈高斯分布或者其他分布。通过测出总信号的方差可以计算出量子信号的方差，进而根据理论分布计算出测量值的最大可能概率 P_max，随后可根据最小熵公式计算出模数转化后得到的数字序列的量子随机成分的最小熵值，根据该熵值即可以设置后处理的提取参数，提取出无偏的随机数。 A.3 基于真空涨落的量子随机数发生器基于真空涨落的量子随机数发生器真空涨落量子随机数发生器是一种连续变量随机数发生器，通过对真空态进行零差探测，将其结果作为随机数的原始数据。这种随机数发生器的结构如图 A.

33、2 所示，主要由本振光激光器、零差探测器、模数转换器和后处理模块组成。零差探测器是经典相干光通信中常用器件，内部结构包括一个分束器，用于信号光和本振光的干涉；两个光电探测器，将光强转化为光电流；减法器，输出两路光电流的差值，本振光测量噪声可以经由这一操作互相抵消。本振光是一束强相干光，作为输入待测信号光的参考光。通过调节本振光的相位可以改变其与信号光的相对相位，从而实现对信号光不同正交分量的测量。在真空涨落量子随机数发生器中，输入的信号光为真空态，真空态在相空间中是各向同性的，也就是说，测量真空态光场的不同的正交分量会得到相同的统计结果，因此不需要刻意调节本振光的相位。激光器激光

34、器光电探光电探测器测器不等臂不等臂干涉仪干涉仪模数转模数转换器换器后处理后处理功能模块光信号电信号最终随机数图例YD/T xxxxxxxx10 图 A.2 基于真空涨落的量子随机数发生器基本结构真空涨落量子随机数发生器的测量结果中会包含量子信号和经典噪声。量子信号在本振光的光强很强的条件下近似服从高斯分布；经典噪声一般是电子器件引入的噪声，一般认为与量子信号是彼此独立的，也服从高斯分布。因此测量得到原始数据是两个独立的高斯分布的叠加，总方差满足2= 2+ 2，等式右边分别是量子信号和经典噪声的方差。其中前者可以被本振光的光强放大，而后者不能被放大，是一个常数。因此可以通过改变本振光的光

35、强来标定经典噪声的强度。真空涨落量子随机数发生器的随机性通过拟合的方法来计算。零差探测的测量结果，也就是模数转换器的输入是一个高斯分布的连续信号，最大概率 P_max 的计算取决于模数转换器的分辨率以及区间设置。以一个刻度均匀的模数转换器为例，最大概率就是高斯分布概率密度函数在模数转换器最中间的刻度内的面积。当然，可以通过合理设置模数转换器的刻度区间，使得高斯分布概率密度函数在每个区间内的面积相等，这样模数转换器输出的数字信号便具有相对较大的最小熵。 A.4 基于分支路径的量子随机数发生器基于分支路径的量子随机数发生器分支路径量子随机数发生器是出现最早的量子随机数发生器方案之一，

36、其基本原理是对一个测量基矢（Z 基矢，本征态为|0，|1）的量子叠加态进行测量来产生随机数。量子叠加态的数学表达形式如式（A.2）所示。 | + =12(|0 + |1 )（A.2）在光学系统中，上述量子态非常方便制备以及测量。光源理论上应为单光子源，但一般可以使用将相干能量衰减至每脉冲小于 1 个光子的弱相干光源作为替代。基于分支路径的单光子随机数发生器基本结构如图 A.3 所示。图 A.3 基于分支路径的量子随机数发生器基本结构准/单光子源发出一个光子通过一个平衡的分束器，会以等同的概率透射或者反射。如果是透射的话，光子就会进入路径 T，则记为|0|1。其中，下标表示路径，而数字表

37、示进入该路径的光子数。光电探光电探测器测器分束器分束器减法器减法器模数转模数转换器换器本振光本振光激光器激光器光电探光电探测器测器零差探测器后处理后处理功能模块光信号电信号最终随机数图例真空态单光子单光子探测器探测器单光子单光子探测器探测器多路多路TDC后处理后处理准准/单单光子源光子源平衡分平衡分束器束器路径T路径R功能模块光信号电信号最终随机数图例YD/T xxxxxxxx11路径 T 上有一个光子经过，记为|1。同时，因为光源是一个单光子而且这个光子已经透射了，所以反射路径 R 上没有光子经过，记为|0。同样的，如果光子反射，进入反射路径 R，那么对应的量子态就可以记为|1|0。结合在

38、一起，单光子入射一个反光镜后，形成的态就是可能通过的路径的叠加态，数学表达形式如式（A.3）所示。 |1R|0T+ |0R|1T2 （A.3）要测量|0|1和|1|0两个量子态的话，只要测量 T 路径和 R 路径是否有光子就可以了。在具体实现中，可以通过单光子探测器（SPD）来实现。在一个基于该原理的量子随机数发生器中，如果 R 路径的 SPD 响应，经过时间数字转换器（TDC）测量记录，输出就是 0，如果 T 路径的 SPD 响应，经过时间数字转换器（TDC）测量记录，输出就是 1。理论上，0 和 1 输出的概率是相同的。由于物理器件的不完美性，实际输出的原始数据可能会存在 0、1 概

39、率偏差、双计数、暗计数等问题，并不满熵。故还需要通过后处理压缩数据使之满熵，再输出为最终随机数。分支路径单光子量子随机数发生器方案还可以通过光子偏振的性质来实现，基于偏振的分支路径单光子量子随机数发生器方案如图 A.4 所示。图 A.4 基于偏振的分支路径方案准/单光子源发出的光子经过起偏器制备成为一个处于 45 度偏振偏振态的单光子态，可记为| +。经过一个极化分束器后，水平偏振和竖直偏振光将分别进入 H 路径和 V 路径。因此，| +态的光子有各有一半概率分别进入 H 路径和 V 路径。如果路径 H 的 SPD 响应，测到输出就是 0，如果路径 V 的响应，测量输出就是 1。此后的

40、处理和一般的分支路径单光子随机数发生器相同。 A.5 基于放大自发辐射噪声的量子随机数发生器基于放大自发辐射噪声的量子随机数发生器放大自发辐射（ASE）噪声是一种广泛存在于光纤通信系统中的现象，例如利用掺饵光纤放大器（EDFA）或半导体光放大器对信号光进行放大时，除受激辐射效应之外，不可避免地会产生自发辐射，自发辐射信号经过增益介质后得到放大即产生 ASE 噪声信号。ASE 噪声是一种典型的量子效应，其信号幅值体现出真随机性。图 A.5 基于放大自发辐射的量子随机数发生器基于放大自发辐射的 QRNG 系统主要由四部分组成（如 Error! Reference source not fou

41、nd.5 所示）：ASE 光源、光电探测器、模数转换器和后处理。ASE 光源模块输出放大自发辐射光量子噪声信单光子单光子探测器探测器单光子单光子探测器探测器多路多路TDC后处理后处理准准/单单光子源光子源偏振分偏振分束器束器路径H路径V起起偏偏器器图例功能模块光信号电信号最终随机数光电探光电探测器测器模数转模数转换器换器后处理后处理ASE光源光源图例功能模块光信号电信号最终随机数YD/T xxxxxxxx12号，通常由超辐射发光二极管（SLED）构成；光电探测器用于实现对 SLED 输出的 ASE 噪声进行光电变换，将 ASE 光噪声信号转换为易于采集处理的模拟电噪声信号；ADC 器件将光电探

42、测器输出的模拟电信号转换为离散化初始随机序列；数据后处理使初始随机序列的随机性提取，得到最终的随机序列。光电探测器（PD）对 ASE 光信号进行直接探测，得到与 ASE 光场强度成正比的光电流信号，而 ASE光场强度与 PD 实际探测到的光子数成正比，因此探测输出的光电流大小应正比于 ASE 光场实际被探测到的光子数目，二者在理论上具有一致的统计特性。因此，可认为 ASE 噪声信号的随机性源自于其光子数分布的随机性。ASE 光场可用多模热场态来进行等价建模。当 ASE 光场包含 M 个独立模式时，其光子数的统计分布是这 M 个模式统计分布的卷积，也就是著名的波色爱因斯坦分布，由式（A

43、.4）表示。（A.4）其中为总模式数，是 PD 探测时间窗口内每个模式的平均光子数。，当为正整数时，可以证明伽玛函数。当、和均为正整数时，波色爱因斯坦分布的等价表达形式如式（A.5）所示。（A.5）当模式数 M 增大时，该分布渐进收敛于高斯分布。上述光子数分布的 ASE 光场经光电探测后即可得到正比于光场光子数的高斯分布随机信号。基于放大自发辐射噪声的 QRNG 的测量结果中通常包含量子噪声和经典噪声，两者相互独立且都服从高斯分布。在已知两者方差之比的条件下，可量化计算观测结果中仅由量子噪声所引起的最小熵。基于该最小熵估计，结合数据

44、后处理方法，可提取出无偏的随机序列。目前，在一般情况下还没有好的方法测算评估放大自发辐射噪声中量子噪声和经典噪声的比例。 1, ,111nMnMP n n MnnMn1 !1, ,11!1 !nMnMP n n MnnMnYD/T xxxxxxxx13附录B （资料性附录）推荐的熵源健康检测方法 B.1 概述概述推荐的熵源健康检测的连续性测试方法包括重复计数测试和适配比例测试，测试方法更详细的描述参见NISTSpecial Publication (SP) 800-90B。 B.2 重复计数测试重复计数测试重复计数测试的目的是快捷地检测出噪声源长时间地重复输出某一个数的极端异常状态。

45、根据量子熵源的最小熵 Hmin，可计算出连续 N 个样本为相同值的概率。令 A 为最近一次出现的样本值，B 为该样本值 A 出现的次数，C 为重复性测试不通过的临界值，为预先设定的可接受的误报率（可设为2-202-40或者其他更低的值）。在最小熵值为 H 的条件下，由可以得到临界值 C，见公式（B.1）。（B.1）即 C 是满足且大于 1 的最小整数，以确保连续出现 C 个相同样本值的概率不会超过。测试流程如下： a) A 为第一次出现的某个样本值，令 B=1。 b) 对每一个新产生的样本值： 1）如果=A，则 B 赋值 B+1； i.如果 B=C，则没通过测试，并报警。 2）否则，

46、i. A 赋值新的样本值； ii. B 赋值 1； iii. 返回到步骤 b)。 B.3 适配比例测试适配比例测试适配比例测试适用于检测物理器件损坏或者环境变化导致的大量熵损失，通过连续检验某些样本值的局部发生频率，判断这些样本值是否出现得过于频繁。设 A 为当前已计算的样本值，S 为已检验的噪声源样本数，B 为 S 个样本中的样本值 A 出现次数，N 为一次测试中必须观察的样本总数，C 为标志测试没通过的临界值，W 为误报率。其中 A、B、S 为变量，W、N、C 为常量，这几个常量在测试前综合最小熵进行设定。测试流程如下： a) 从量子熵源获取样本值。 b) 如果 S=N，则开始新一轮测

47、试： 1） A 赋值当前样本值； 2） S 赋值 0； 3） B 赋值 0； c) 否则： 1） S 赋值 S+1； AAYD/T xxxxxxxx142）如果 A=当前样本值，则： i. B 赋值 B+1； ii.如果 BC，则未通过测试。YD/T xxxxxxxx15附录C （资料性附录）后处理方法 C.1 概述概述对于不满熵的原始随机序列，可以认为第三方实际上掌握了随机序列的部分信息，称为侧信息或者边信息（side information）。因此，需要通过后处理进行信息压缩，使之成为满熵的随机数，将第三方掌握的随机序列侧信息彻底清除。实现这个功能的设备称为随机数提取器。随机

48、数提取器可使用的后处理方法有很多种，如基于分组密码、基于杂凑函数、基于 m 序列等的密码函数后处理方法和诺依曼校正器、异或链、奇偶分组、m-LSB 等的轻量级后处理方法。考虑量子理论之后，针对随机数提取器提出了所谓的量子攻击，这时第三方攻击者所掌握的关于原始序列的边信息是量子形式的。在这种情况下，只有一部分随机数提取器方案被证明仍然可以彻底清除第三方掌握的边信息。这些随机数提取器方案被称为具有量子证明(quantum proof)的强随机数提取器方案，如 Trevisan 提取器和 Toeplitz 提取器。 C.2 密码函数方法密码函数方法 C.2.1 概述概述采用密码函数方法实

49、现后处理算，是利用密码算法的混乱、扩散特性，将量子熵源产生的原始随机序列进行处理，得到符合统计特性要求的随机数。 C.2.2 基于分组密码的后处理方法基于分组密码的后处理方法基于分组密码的后处理方法需要采用经过认可的安全分组密码算法，可采用 CBC 和 OFB 模式，可采用加密和解密运算方式。使用分组密码算法作为后处理方法，其输入包括密钥数据、初始向量和明文/密文数据。后处理方法启动运算时，密钥数据、初始向量应由量子熵源的输出序列进行设置、后处理方法明文/密文数据应由量子熵源的输出序列提供，后处理方法的输出是对应算法的运算结果密文/明文数据。 C.2.3 基于杂凑函数的后处理方法基于杂

50、凑函数的后处理方法基于杂凑函数的后处理方法需要采用经过认可的安全杂凑函数。使用杂凑算法作为后处理方法，其输入时消息数据，由随机源的输出数据提供，后处理方法的输出是消息摘要。 C.2.4 基于基于 m 序列的后处理方法序列的后处理方法利用长度为 K 的 m 序列实现后处理，通常采用线性反馈移位寄存器或者非线性反馈移位寄存器实现。随机源的输出与移位寄存器的循环移位同步，反馈位与数字化噪声信号当前位进行异或等运算后输出。采用 m 序列方法，应满足以下几点要求： a) 线性反馈移位寄存器的级数不能低于 32. b) 线性反馈移位寄存器的反馈多项式必须是本原多项式。 YD/T xxxxxxx

展开阅读全文

YD∕T 3907.3-2021 基于BB84协议的量子密钥分发（QKD）用关键器件和模块 第3部分：量子随机数发生器（QRNG）(通信).pdf

YD∕T 3907.3-2021 基于BB84协议的量子密钥分发（QKD）用关键器件和模块第3部分：量子随机数发生器（QRNG）(通信).pdf