[发明专利]随机数生成器诊断方法

说明书

本发明涉及一种熵测量方法，所述方法包括以下步骤：启动阶段，其包括将熵源单元通电；信号发射步骤，其包括发射以由经典噪声和量子噪声组成的总噪声为特征的量子信号；噪声测量步骤，其包括测量在照明时通过有源像素的总噪声的统计和通过未照明像素的经典噪声的统计；量子噪声计算步骤，其包括基于所述总噪声和所述经典噪声之间的差异计算所述量子噪声；健康检查步骤，其包括将所得到的量子噪声与预期的量子噪声和/或预定阈值进行比较；以及健康控制步骤，其基于熵估计步骤的结果控制所述熵源单元。

技术领域

本发明涉及一种用于诊断随机数生成器的功能——更具体地用于实时估计RNG的熵——并且甚至更具体地用于对随机数生成器进行健康检查——的方法。

背景技术

总体上，本发明是在随机数生成的背景下。现代科学和技术中的许多任务利用随机数，包括模拟、统计取样、游戏应用和密码学，既有经典的又有量子的。良好的随机数生成器应以高速率产生具有高熵(entropy)的比特(bit)序列。高熵意味着在比特被揭示之前没有人能够预测比特的值，熵也可以被理解为随机性。这在大多数现代密码算法和协议中是基本要求。事实上，所有通常采用的密码协议——诸如DSA-、RSA-和迪菲-赫尔曼(Diffie-Hellman)算法——遵循柯克霍夫(Kerckhoffs)原则，该原则追溯到19世纪并且指出密码的安全性必须完全位于密钥中，即完全位于用作秘密的随机序列中，该随机序列是完全不可预测的。因此，特别重要的是，在密码算法中使用的密钥是安全的，这在实践中要求其完全随机地被选择，即随机地被生成。

如今，在商业上使用许多类型的真随机数生成器。在密码学中，术语“真随机”被用于强调随机数生成器产生真实的、真正的随机比特，而不是伪随机或看起来随机的比特。目前，如果随机数生成器具有良好的物理熵源和良好的提取方法，并且其安全性由理论证据支持，则它们可以被称为真随机数生成器。它们使用它们自己的物理熵源，该物理熵源生成不可预测的随机信号或比特序列。然而，物理熵生成原则是复杂的并且不明确的，并且难以做出对提供的熵的质量的适当估计。

此外，除了通过熵生成原则生成的主要熵噪声之外，熵输出还受各种附加噪声(例如来自物理或电子部件)影响，所述附加噪声与其他噪声一起累积。附加噪声可以是确定性的，即可预测的，或失控的，或甚至无法解释的，以致使熵测量不可能。因此，为了恰当的熵估计，最好最小化或去除这些附加噪声的贡献。

此外，为了提供良好的随机数生成器，即“安全”并且“真实随机并且具有高熵”的RNG，重要的是，在熵质量下降或失效发生时立即检测到该熵质量下降或失效，以便能够尽快对其进行校正。处理这的最常见的方式是应用统计健康检查功能，诸如在Turan等人2018年1月的“Recommendation for the Entropy Sources Used for Random BitGeneration”中所解释的NIST SP800-90B中的“重复计数测试”和“自适应比例测试”。这样的健康功能通过检查不太典型的或不太可能的比特序列是否连续或经常发生来检测统计异常。

然而，对于被提供有熵源的随机数生成器，出于任何原因，该熵源无论如何都能够生成偏差不太大的或很好混合的或看起来随机的模式(pattern)，则此统计方法不能够检测到熵失效。

因此，为了识别熵质量下降，附加处理——诸如通过监测物理部件的各种参数或其他可以证明熵质量的特征(signature，签名)进行实时熵估计——是必要的。使得为了增强安全性，只有当统计测试和熵估计给出可接受的熵测量时，熵输出才被传输到接下来的步骤，例如后处理或用户应用。

大多数商业随机数生成器不能够实时计算熵量，而是它们仅应用密码标准中所要求的上文所提及的统计健康检查功能。一些先进的随机数生成器——例如量子随机数生成器——使得能够基于熵生成原则测量实际的熵量。然而，由于熵生成理论和实施方式的复杂性，熵计算花费长的时间段并且阻碍实时测量。事实上，通常为了检查熵质量，需要使用大量外部设备来分析各种部件的信号、噪声和当前状态。大多数情况下，这仅在实验室中可用，并且在部署之后通常不允许实时熵估计。