基于量子隧道效应的量子随机数发生器研究进展

 

刘宇轩¹  白玉明¹  杨哲²  李俊林¹

（1.清华大学物理系低维量子物理国家重点实验室，北京 100084；

2.首都师范大学物理系太赫兹光电子学教育部重点实验室，北京 100048）

 

作者简介

 

刘宇轩：清华大学物理系低维量子物理国家重点实验室博士研究生在读，主要研究方向为量子测量和量子成像。

白玉明：清华大学物理系低维量子物理国家重点实验室博士研究生在读，主要研究方向为量子测量和量子成像。

杨哲：首都师范大学物理系太赫兹光电子学教育部重点实验室讲师，主要研究方向为量子测量、量子成像和太赫兹通信。

李俊林：清华大学物理系低维量子物理国家重点实验室副教授，主要研究方向为量子测量和量子成像。

 

摘要：从2000年开始，量子随机数发生器（Quantum Random Number Generator，QRNG）逐渐受到广泛关注。与算法或经典物理系统随机数发生器相比，QRNG的量子随机源不由确定性的算法或方程描述，仅由波函数进行概率描述，具有内禀随机性。目前，QRNG方案大多基于光子体系。近年来，基于电子体系的量子随机数发生器（electronic Quantum Random Number Generator，eQRNG）方案相继被提出。与光子QRNG相比，eQRNG没有电-光-电转换，有效避免了转换过程中经典噪声的影响，在随机性上具有更大优势，且结构简单、系统稳定，与半导体工艺兼容，具有可集成性。基于此，通过介绍基于量子隧道效应的eQRNG研究进展，包括基于隧道二极管的eQRNG、基于范德瓦尔斯异质结的eQRNG与基于雪崩光电二极管的eQRNG等，阐述了eQRNG在随机性与量子性上的独特优势。

关键词：随机数；量子随机数发生器；量子隧道效应

 

引言

 

信息安全是社会稳定的必要条件，信息网络空间已经成为继陆、海、空、天外的第五维国家安全领域。信息安全技术涵盖众多学科，其中密码学是最重要的部分之一。传统密码技术包含了对称密码、公钥密码、数字签名等^[1]，直至今日依然在信息保护中发挥着重要作用。传统非对称加密技术的安全性基于难以解决的数学问题，例如著名的RSA公钥系统基于两个较大质数p、q与其乘积N生成密钥，其安全性依赖于大数分解问题，即找到N的两个因子p、q的困难性^[2]。但随着数学的进步与量子计算机的发展，传统密码技术的安全性受到挑战。1994年，Shor^[3]提出了能够有效解决大数分解问题的量子算法，使RSA攻破难度大大降低^[4]。因此，基于量子系统的量子密码学成为密码学的最新方向，利用量子系统的纠缠、叠加和坍缩等独特性质实现更加安全的加密^[5]。

 

无论在经典或量子加密协议中，随机数都是安全性的基石。密钥由随机数生成，安全性由随机数的不可预测性保证。在量子密钥分发协议中，若随机选择的测量基能被攻击者有效预测，协议将不再具有安全性^[6-7]。对于任何数据加密的方法，攻击者若能有效预测系统中的随机数，加密都将失效，因此高随机性的随机数发生器始终是密码学的重要需求。

 

1 随机数发生器发展历程

 

随机数伴随着人类文明的发展，在任何时期都是重要的资源。最早的骰子（四面骰）出现于公元前24世纪；夏商周时期，祭祀通过火烧龟壳产生的随机龟裂纹来预测国运。随着时代发展，随机数的需求越来越大，骰子或硬币等方法无法满足实际应用需求，用于生成随机数的机器——随机数发生器开始快速发展。

 

1946年，伪随机数发生器（Pseudo-Random Number Generator，PRNG）被提出，其基本思想是从一个随机数种子开始，将种子输入一个算法得到一个输出，而这个输出又作为新的随机数种子输入算法产生下一个输出，反复迭代输出序列。在计算机出现的时代，PRNG大大提升了随机数生成速率，满足了许多应用的需求。然而，随着密码学的发展，PRNG应用于加密技术后，人们切身体会到了PRNG的两大本质问题——周期性问题与确定性问题。

 

周期性问题是指由于PRNG状态有限，无论从什么种子开始，系统最终都会进入有限状态的循环，并且是不可避免的，好的情况PRNG能够遍历较大的状态空间，坏的情况可能陷入一些很短的周期^[8]。这意味着PRNG本质上输出的是周而复始的有限长序列，这不符合随机序列的特征。确定性问题是指PRNG使用确定性的算法，本质上是非随机的，唯一的随机性来源于PRNG外部选择的种子。攻击者只需要猜中种子值就能预测整个序列，早期部分SSL web服务器使用“当前时间附加一组特殊序列”作为随机数种子，非常容易猜到，猜种子值也成为一种常规的攻击手段。

 

为了避免PRNG的两大本质问题，人们开始从实际的物理系统中提取随机数。最直接的方法是从宏观经典物理系统中提取随机数，如系统噪声或对初始条件敏感的混沌物理系统等，具体方案有混沌激光^[9]、多模态环形激光器^[10]、随机拉曼光纤激光^[11]、存储器^[12-13]等。实际物理系统具有连续的状态空间，无穷多可能的状态，不存在有限次演化后必然回到初始状态的问题，可以输出无限长不重复的序列，解决了周期性问题。

 

但针对确定性问题，经典物理随机数发生器仍然无法解决。经典物理系统可用确定的动力学方程描述，本质上和算法一致，只有状态空间的大小、离散或连续的区别。攻击者若能获得系统的状态信息，就能对系统进行预测。即便实际物理系统复杂度高，难以给出准确动力学描述，系统状态也是随时间连续演化，带宽有限，信号在局域时间内也必然存在关联，攻击者只要获取足够的信息，就能对系统的状态演化进行预测。

 

确定性问题威胁着加密的安全性，量子随机数最终解决了这一问题。根据量子力学的哥本哈根诠释，量子态坍缩结果是随机的，随机性来源于波函数的内禀概率特性，而非对于系统初始条件的未知；坍缩时间是瞬时的，等效带宽无穷大，输出信号不存在任何关联性^[14]。从2000年开始，量子随机数发生器（Quantum Random Number Generator，QRNG）逐渐受到关注^[15]。

 

随机数发生器的发展历程也是人类对于随机性理解加深的过程。如图1所示，从算法随机数、经典物理随机数到量子随机数，人们努力解决周期性问题与确定性问题，不断追寻更高的随机性。目前已有许多光子QRNG方案被提出与验证，包括光子路径选择^[15-17]、光子随机到达时间^[18]、光子相位涨落^[19]、真空态涨落^[20]、放大自发辐射^[21]等实现方式。近年基于电子体系的量子随机数发生器（electronic Quantum Random Number Generator，eQRNG）方案相继被提出。这些方案大多基于电子体系的量子隧道效应，例如基于Si二极管的eQRNG^[22]、基于隧道二极管的eQRNG^[23-24]、基于范德瓦尔斯异质结的eQRNG^[25]、基于雪崩光电二极管（Avalanche Photo Diode，APD）的eQRNG^[26]等。本文介绍了基于量子隧道效应的eQRNG的研究进展，并对其特点、优势进行了分析。

 

图1 随机数发展趋势

 

2 基本原理简介

 

2.1 量子隧道效应

 

量子隧道效应（简称“隧道效应”）是指粒子有概率穿过高于自身能量的势垒，是一个典型的量子效应。如图2所示，以处在一维势阱中的电子为例，在经典力学中，当电子向势垒方向运动时，随着电子在势垒上“爬升”，动能转换为势能，速度降低。当电子运动至势能等于总能量的位置（经典截止点）时，动能降为0，速度为0，在势垒作用下返回，无法越过势垒。而在量子力学中，粒子具有波的特性，波函数由薛定谔方程描述，能够穿透势垒，电子有概率通过“隧穿”到达势阱之外。两种情况相比，经典情况下，电子不可能越过势垒到达势阱之外；量子情况下，势阱中的电子有概率以“隧穿”的方式逃脱，隧穿的随机性由波函数的内禀概率特性决定，这种随机性通常称为内禀随机性。

 

图2 电子隧道效应示意图^[25]

 

对于任意势垒V(x)，可计算能量为E的单个粒子发生隧穿的概率TC(E)，TC(E)也被称为传输系数^[27]，其计算方式如下

 

 

其中，m为粒子质量，a、b表示V＞E（经典截止区）的两个端点位置。

 

以隧道二极管为例，1957年，Esaki在重掺杂的锗二极管中发现了隧穿电流，证明了固体中的电子存在着量子隧道效应^[28]。隧穿电流是指在电场作用下半导体内电子穿过禁带势垒形成的电流。对于一维势垒，半导体内隧穿电流密度J可以表示为^[27]

 

 

其中，k为玻尔兹曼常量，m_eff为电子有效质量，q为电子电荷量，ħ为约化普朗克常数，ε_F1为势垒一侧的费米能级，ε_x=p_x²/2m_eff为x方向动能，T为绝对温度，TC(ε_x)为能量为ε_x的电子的传输系数，与势垒的形状相关。

 

半导体中的隧道效应存在于能带弯曲的位置，能带弯曲越剧烈，对应于势垒的宽度w越小，则隧道效应越显著。Esaki最初在重掺杂的pn结中发现隧道效应，重掺杂的半导体具有较高载流子浓度，因此pn结内建电场强，空间电荷区窄，在低电压下隧道电流相对漂移电流占据主导，由此展现出独特的负阻效应，这类二极管也被称为隧道二极管。

 

2.2 随机数发生器评价规范

 

量子随机数的内禀随机性对密码学等对随机性有较高要求的领域有重要意义。随机性意味着加密的安全性，在应用层面，验证随机数的随机性非常重要。针对应用于密码学的随机数，美国国家标准技术研究所（National Institute of Standards and Technology，NIST）制定了NIST SP 800-22规范^[29]；中国国家密码管理局制定了GM/T 0005-2021随机性检测规范^[30]。两种规范对频数、游程、周期性、相关性和可压缩性等检测项进行统计，最终给出一个p值，通过对p设定一个阈值来判断被测试序列是否是随机的。然而这两种规范并未对数据来源作出规定，仅从统计规律上考虑序列是否“像”随机的。在不考虑数据来源的情况下，仅从数学角度声称部分序列比其他序列“更随机”是不合适的。真随机数出现任何序列的概率均相等，以一段8 bit的序列为例，序列为“01011001”和“00000000”的概率均为1/28，但两组规范会判定后者是非随机的，因为后者的“0”“1”占比不满足1∶1。从中可以看出，单从数学角度并不能很好地验证系统的随机性与序列的安全性。

 

验证序列随机性不仅仅是一个数学问题，更与随机性的实际物理来源——熵源相关，验证序列随机性本质上是验证熵源的随机性，可将数学统计方法作为一种手段，结合对实际物理熵源的分析来验证随机性。因此，针对物理随机数发生器的熵源评估，NIST发布了NIST SP 800-90B规范^[31]，提出了基于物理熵源的随机数发生器架构，并提供了进行最小熵评估的测试算法，利用最小熵比较熵源的好坏。最小熵反映了熵源的随机性，熵值越高，熵源随机性越好，具体定义与计算方法可见附录。熵评估主要包含两个步骤：第一，确定数据是否满足独立同分布（Independent and Identically Distributed，IID）特性；第二，根据数据的IID特性进行熵值评估，若数据为IID，利用统计最小熵的修正结果作为熵评估值，否则取十项熵评估方法中的最小值作为熵评估值。目前国内针对实际物理熵源的随机性评估规范也正在制定之中。

 

3 基于量子隧道效应的eQRNG

 

固体内电子的量子隧穿具有内禀随机性，是良好的量子熵源。光子QRNG系统需要使用电产生光，再通过光学系统由探测器接收产生电信号。电到光和光到电的两个过程中会不可避免地产生经典噪声，导致系统的随机性降低。基于量子隧道效应的eQRNG为纯电子系统，不存在上述两个转换过程，理论上系统可获得更高的量子性。表1给出了部分QRNG方案的最小熵值，在未进行后处理的条件下，eQRNG实现了超越0.9 bits/bit的最小熵，可见eQRNG系统在量子性与随机性上具有很大的优势，基于隧道效应的eQRNG已经在许多方案中得到了验证。

 

表1 部分QRNG方案的最小熵

 

3.1 基于隧道二极管的eQRNG

 

隧道二极管是具有显著量子隧道效应的固体器件。给隧道二极管两端施加正向电压会产生显著隧穿电流，而随着电压的增大，隧穿电流逐渐被抑制，隧道二极管电流又逐渐被漂移电流主导，形成隧道二极管最显著的特点：N型I-V特性曲线，即负阻曲线。随着电压增大，电流值会先增大后减小，此过程中电流的最大值称为峰值电流Ip，是隧道二极管的一个重要参数。

 

2017年，兰卡斯特大学Bernardo等[23]成功利用共振隧道二极管（Resonant Tunnelling Diodes，RTD）完成随机输出。双势垒RTD如图3（a）所示，图3（b）给出了RTD的伏安特性曲线，灰色线为电压扫描下的负阻曲线，随着电压增加RTD的电流值先增加，达到峰值点（Vp，Ip）后，电流随电压降低，直至谷点（Vv，Iv）后电流重新随着电压增加而增加；红线是在电流正向扫描模式下，当隧道二极管电流接近峰值电流时，结区附近载流子有概率发生隧穿被杂质原子俘获或释放，导致RTD由低阻态跃迁至高阻态，相应的RTD电压值突然增加；蓝线为电流负向扫描模式下，当电流达到谷值点附近时，RTD由高阻态跃迁至低阻态，电压值突然降低。电子隧穿具有内禀随机性，如图3（c）所示，进行100次电流正向扫描，统计发生阻态跃迁的电流值（简称“跃迁电流”），黄色柱状图为统计分布，呈现出高斯型分布。

 

图3 基于RTD的eQRNG^[23]

 

如图4所示，Bernardo等^[23]通过给RTD施加幅度为1.50 mA、脉宽为1 ms、占空比50%的电流脉冲，测量RTD的电压，若为高电平（1.11.2 V）则输出“1”，低电平（0.30.4 V）则输出“0”。该工作未使用NIST SP 800-90B分析熵源的特性，但对原始数据进行后处理后能够通过NIST SP 800-22测试。

 

图4 基于RTD的eQRNG原理示意图^[23]

 

2021年，Aungskunsiri等^[24]利用计时器实现了对隧道二极管的随机性提取。给二极管施加一个非负的电流正弦信号I=Asin(ωt)+A，电流信号的峰值2A超过隧道二极管的峰值电流Ip，从而保证每次电流扫描必然发生电压突变，利用时间分辨率为6.7 ns的计时模块测量隧道二极管电压突变的时刻，从而输出原始序列。Aungskunsiri等利用NIST SP 800-90B对原始数据进行了熵值评估，由于该实验中对于温度等条件并未做到严格控制，原始数据中包含了较多经典噪声，原始数据未通过NIST SP 800-90B的IID测试，最小熵评估结果仅为0.62 bits/bit。对原始数据进行Toeplitz-hashing后处理后通过了NIST SP 800-22统计测试。

 

3.2 基于范德瓦尔斯异质结的eQRNG

 

2022年，Abraham等^[25]制备了一个单层WS2-MoS2-WS2三明治结构的范德瓦尔斯异质结，如图5（a）所示。利用栅极在结区内施加电场，实现了xy方向的二维量子阱，如图5（b）所示，与三明治结构创造的z方向势阱共同形成了一个三维量子阱。如图5（c）所示，给异质结施加I=100 nA恒定电流时，量子阱通过隧穿效应随机俘获/释放电子使得异质结电阻态发生改变，由此产生随机电压信号（图5（d））。异质结温度控制在7 K，气压为10-4 Torr，利用电压突变的时刻进行随机序列输出，原始序列能够通过NIST SP 800-90B的IID检测，最小熵评估结果为0.983 bits/bit，该值超过了所有光学QRNG，首次证明eQRNG在量子性上具备更大的优势。

 

图5 基于范德瓦尔斯异质结的eQRNG^[25]

 

3.3 基于APD的eQRNG

 

当APD处在高压下时，内部也存在着电子隧穿效^应[39]。2023年，清华大学李俊林团队[26]利用APD内电子隧穿效应成功实现了高质量的随机序列输出。如图6所示，APD工作在约-20℃的环境下，温度波动不超过±0.002℃，在给APD两端施加高压HV后（低于雪崩电压），额外施加一个100 MHz脉冲电压激励，当电子发生隧穿后将会产生电压信号，利用比较器测量电压信号来判断每次脉冲时间内是否发生了电子隧穿效应，如果发生输出“1”，反之输出“0”。

 

图6 基于APD的eQRNG结构示意图^[26]

 

系统在无任何后处理的条件下获取了NIST SP 800-90B所需的连续数据集与重启数据集，统计图如图7所示。两组数据均通过了IID检测，NIST SP 800-90B认证最小熵为0.987 2 bits/bit，对连续数据集计算的统计最小熵为0.994 4 bits/bit，这是目前无后处理的QRNG原始序列的最高值，向理想的QRNG更进一步。

 

图7 8-bit值概率统计图^[26]

 

在长时间连续输出时数据质量的稳定性方面，该eQRNG连续运行约11 744 s，输出无任何后处理的1 174 405 120 000 bits原始数据，对每8 Mbits数据进行最小熵计算，给出统计最小熵分布，结果如图8（a）所示。最终eQRNG原始输出序列统计最小熵平均值为0.989 2 bits/bit，标准差为0.020 8 bits/bit。长数据最小熵统计如图8（b）所示，统计最小熵稳定在0.99 bits/bit附近，说明系统具有良好的长时间稳定性。在相当长的连续工作时间内，系统始终可以保持输出序列的高随机性，实现了高随机性高稳定性的可应用eQRNG。

 

图8 eQRNG长时间稳定性测试结果^[26]

 

4 结束语

 

eQRNG在随机性方面处于领先地位，已成为QRNG的一个重要研究方向。与光子QRNG相比，少了电-光-电转换过程，在量子性与安全性上更具优势，并且成本低、结构简单、稳定性高、可集成性高、与半导体工艺兼容，具有良好的应用前景。

 

本文刊于《信息通信技术与政策》2024年 第7期

基于量子隧道效应的量子随机数发生器研究进展

 

刘宇轩¹  白玉明¹  杨哲²  李俊林¹

（1.清华大学物理系低维量子物理国家重点实验室，北京 100084；

2.首都师范大学物理系太赫兹光电子学教育部重点实验室，北京 100048）

 

作者简介

 

刘宇轩：清华大学物理系低维量子物理国家重点实验室博士研究生在读，主要研究方向为量子测量和量子成像。

白玉明：清华大学物理系低维量子物理国家重点实验室博士研究生在读，主要研究方向为量子测量和量子成像。

杨哲：首都师范大学物理系太赫兹光电子学教育部重点实验室讲师，主要研究方向为量子测量、量子成像和太赫兹通信。

李俊林：清华大学物理系低维量子物理国家重点实验室副教授，主要研究方向为量子测量和量子成像。

 

摘要：从2000年开始，量子随机数发生器（Quantum Random Number Generator，QRNG）逐渐受到广泛关注。与算法或经典物理系统随机数发生器相比，QRNG的量子随机源不由确定性的算法或方程描述，仅由波函数进行概率描述，具有内禀随机性。目前，QRNG方案大多基于光子体系。近年来，基于电子体系的量子随机数发生器（electronic Quantum Random Number Generator，eQRNG）方案相继被提出。与光子QRNG相比，eQRNG没有电-光-电转换，有效避免了转换过程中经典噪声的影响，在随机性上具有更大优势，且结构简单、系统稳定，与半导体工艺兼容，具有可集成性。基于此，通过介绍基于量子隧道效应的eQRNG研究进展，包括基于隧道二极管的eQRNG、基于范德瓦尔斯异质结的eQRNG与基于雪崩光电二极管的eQRNG等，阐述了eQRNG在随机性与量子性上的独特优势。

关键词：随机数；量子随机数发生器；量子隧道效应

 

引言

 

信息安全是社会稳定的必要条件，信息网络空间已经成为继陆、海、空、天外的第五维国家安全领域。信息安全技术涵盖众多学科，其中密码学是最重要的部分之一。传统密码技术包含了对称密码、公钥密码、数字签名等^[1]，直至今日依然在信息保护中发挥着重要作用。传统非对称加密技术的安全性基于难以解决的数学问题，例如著名的RSA公钥系统基于两个较大质数p、q与其乘积N生成密钥，其安全性依赖于大数分解问题，即找到N的两个因子p、q的困难性^[2]。但随着数学的进步与量子计算机的发展，传统密码技术的安全性受到挑战。1994年，Shor^[3]提出了能够有效解决大数分解问题的量子算法，使RSA攻破难度大大降低^[4]。因此，基于量子系统的量子密码学成为密码学的最新方向，利用量子系统的纠缠、叠加和坍缩等独特性质实现更加安全的加密^[5]。

 

无论在经典或量子加密协议中，随机数都是安全性的基石。密钥由随机数生成，安全性由随机数的不可预测性保证。在量子密钥分发协议中，若随机选择的测量基能被攻击者有效预测，协议将不再具有安全性^[6-7]。对于任何数据加密的方法，攻击者若能有效预测系统中的随机数，加密都将失效，因此高随机性的随机数发生器始终是密码学的重要需求。

 

1 随机数发生器发展历程

 

随机数伴随着人类文明的发展，在任何时期都是重要的资源。最早的骰子（四面骰）出现于公元前24世纪；夏商周时期，祭祀通过火烧龟壳产生的随机龟裂纹来预测国运。随着时代发展，随机数的需求越来越大，骰子或硬币等方法无法满足实际应用需求，用于生成随机数的机器——随机数发生器开始快速发展。

 

1946年，伪随机数发生器（Pseudo-Random Number Generator，PRNG）被提出，其基本思想是从一个随机数种子开始，将种子输入一个算法得到一个输出，而这个输出又作为新的随机数种子输入算法产生下一个输出，反复迭代输出序列。在计算机出现的时代，PRNG大大提升了随机数生成速率，满足了许多应用的需求。然而，随着密码学的发展，PRNG应用于加密技术后，人们切身体会到了PRNG的两大本质问题——周期性问题与确定性问题。

 

周期性问题是指由于PRNG状态有限，无论从什么种子开始，系统最终都会进入有限状态的循环，并且是不可避免的，好的情况PRNG能够遍历较大的状态空间，坏的情况可能陷入一些很短的周期^[8]。这意味着PRNG本质上输出的是周而复始的有限长序列，这不符合随机序列的特征。确定性问题是指PRNG使用确定性的算法，本质上是非随机的，唯一的随机性来源于PRNG外部选择的种子。攻击者只需要猜中种子值就能预测整个序列，早期部分SSL web服务器使用“当前时间附加一组特殊序列”作为随机数种子，非常容易猜到，猜种子值也成为一种常规的攻击手段。

 

为了避免PRNG的两大本质问题，人们开始从实际的物理系统中提取随机数。最直接的方法是从宏观经典物理系统中提取随机数，如系统噪声或对初始条件敏感的混沌物理系统等，具体方案有混沌激光^[9]、多模态环形激光器^[10]、随机拉曼光纤激光^[11]、存储器^[12-13]等。实际物理系统具有连续的状态空间，无穷多可能的状态，不存在有限次演化后必然回到初始状态的问题，可以输出无限长不重复的序列，解决了周期性问题。

 

但针对确定性问题，经典物理随机数发生器仍然无法解决。经典物理系统可用确定的动力学方程描述，本质上和算法一致，只有状态空间的大小、离散或连续的区别。攻击者若能获得系统的状态信息，就能对系统进行预测。即便实际物理系统复杂度高，难以给出准确动力学描述，系统状态也是随时间连续演化，带宽有限，信号在局域时间内也必然存在关联，攻击者只要获取足够的信息，就能对系统的状态演化进行预测。

 

确定性问题威胁着加密的安全性，量子随机数最终解决了这一问题。根据量子力学的哥本哈根诠释，量子态坍缩结果是随机的，随机性来源于波函数的内禀概率特性，而非对于系统初始条件的未知；坍缩时间是瞬时的，等效带宽无穷大，输出信号不存在任何关联性^[14]。从2000年开始，量子随机数发生器（Quantum Random Number Generator，QRNG）逐渐受到关注^[15]。

 

随机数发生器的发展历程也是人类对于随机性理解加深的过程。如图1所示，从算法随机数、经典物理随机数到量子随机数，人们努力解决周期性问题与确定性问题，不断追寻更高的随机性。目前已有许多光子QRNG方案被提出与验证，包括光子路径选择^[15-17]、光子随机到达时间^[18]、光子相位涨落^[19]、真空态涨落^[20]、放大自发辐射^[21]等实现方式。近年基于电子体系的量子随机数发生器（electronic Quantum Random Number Generator，eQRNG）方案相继被提出。这些方案大多基于电子体系的量子隧道效应，例如基于Si二极管的eQRNG^[22]、基于隧道二极管的eQRNG^[23-24]、基于范德瓦尔斯异质结的eQRNG^[25]、基于雪崩光电二极管（Avalanche Photo Diode，APD）的eQRNG^[26]等。本文介绍了基于量子隧道效应的eQRNG的研究进展，并对其特点、优势进行了分析。

 

图1 随机数发展趋势

 

2 基本原理简介

 

2.1 量子隧道效应

 

量子隧道效应（简称“隧道效应”）是指粒子有概率穿过高于自身能量的势垒，是一个典型的量子效应。如图2所示，以处在一维势阱中的电子为例，在经典力学中，当电子向势垒方向运动时，随着电子在势垒上“爬升”，动能转换为势能，速度降低。当电子运动至势能等于总能量的位置（经典截止点）时，动能降为0，速度为0，在势垒作用下返回，无法越过势垒。而在量子力学中，粒子具有波的特性，波函数由薛定谔方程描述，能够穿透势垒，电子有概率通过“隧穿”到达势阱之外。两种情况相比，经典情况下，电子不可能越过势垒到达势阱之外；量子情况下，势阱中的电子有概率以“隧穿”的方式逃脱，隧穿的随机性由波函数的内禀概率特性决定，这种随机性通常称为内禀随机性。

 

图2 电子隧道效应示意图^[25]

 

对于任意势垒V(x)，可计算能量为E的单个粒子发生隧穿的概率TC(E)，TC(E)也被称为传输系数^[27]，其计算方式如下

 

 

其中，m为粒子质量，a、b表示V＞E（经典截止区）的两个端点位置。

 

以隧道二极管为例，1957年，Esaki在重掺杂的锗二极管中发现了隧穿电流，证明了固体中的电子存在着量子隧道效应^[28]。隧穿电流是指在电场作用下半导体内电子穿过禁带势垒形成的电流。对于一维势垒，半导体内隧穿电流密度J可以表示为^[27]

 

 

其中，k为玻尔兹曼常量，m_eff为电子有效质量，q为电子电荷量，ħ为约化普朗克常数，ε_F1为势垒一侧的费米能级，ε_x=p_x²/2m_eff为x方向动能，T为绝对温度，TC(ε_x)为能量为ε_x的电子的传输系数，与势垒的形状相关。

 

半导体中的隧道效应存在于能带弯曲的位置，能带弯曲越剧烈，对应于势垒的宽度w越小，则隧道效应越显著。Esaki最初在重掺杂的pn结中发现隧道效应，重掺杂的半导体具有较高载流子浓度，因此pn结内建电场强，空间电荷区窄，在低电压下隧道电流相对漂移电流占据主导，由此展现出独特的负阻效应，这类二极管也被称为隧道二极管。

 

2.2 随机数发生器评价规范

 

量子随机数的内禀随机性对密码学等对随机性有较高要求的领域有重要意义。随机性意味着加密的安全性，在应用层面，验证随机数的随机性非常重要。针对应用于密码学的随机数，美国国家标准技术研究所（National Institute of Standards and Technology，NIST）制定了NIST SP 800-22规范^[29]；中国国家密码管理局制定了GM/T 0005-2021随机性检测规范^[30]。两种规范对频数、游程、周期性、相关性和可压缩性等检测项进行统计，最终给出一个p值，通过对p设定一个阈值来判断被测试序列是否是随机的。然而这两种规范并未对数据来源作出规定，仅从统计规律上考虑序列是否“像”随机的。在不考虑数据来源的情况下，仅从数学角度声称部分序列比其他序列“更随机”是不合适的。真随机数出现任何序列的概率均相等，以一段8 bit的序列为例，序列为“01011001”和“00000000”的概率均为1/28，但两组规范会判定后者是非随机的，因为后者的“0”“1”占比不满足1∶1。从中可以看出，单从数学角度并不能很好地验证系统的随机性与序列的安全性。

 

验证序列随机性不仅仅是一个数学问题，更与随机性的实际物理来源——熵源相关，验证序列随机性本质上是验证熵源的随机性，可将数学统计方法作为一种手段，结合对实际物理熵源的分析来验证随机性。因此，针对物理随机数发生器的熵源评估，NIST发布了NIST SP 800-90B规范^[31]，提出了基于物理熵源的随机数发生器架构，并提供了进行最小熵评估的测试算法，利用最小熵比较熵源的好坏。最小熵反映了熵源的随机性，熵值越高，熵源随机性越好，具体定义与计算方法可见附录。熵评估主要包含两个步骤：第一，确定数据是否满足独立同分布（Independent and Identically Distributed，IID）特性；第二，根据数据的IID特性进行熵值评估，若数据为IID，利用统计最小熵的修正结果作为熵评估值，否则取十项熵评估方法中的最小值作为熵评估值。目前国内针对实际物理熵源的随机性评估规范也正在制定之中。

 

3 基于量子隧道效应的eQRNG

 

固体内电子的量子隧穿具有内禀随机性，是良好的量子熵源。光子QRNG系统需要使用电产生光，再通过光学系统由探测器接收产生电信号。电到光和光到电的两个过程中会不可避免地产生经典噪声，导致系统的随机性降低。基于量子隧道效应的eQRNG为纯电子系统，不存在上述两个转换过程，理论上系统可获得更高的量子性。表1给出了部分QRNG方案的最小熵值，在未进行后处理的条件下，eQRNG实现了超越0.9 bits/bit的最小熵，可见eQRNG系统在量子性与随机性上具有很大的优势，基于隧道效应的eQRNG已经在许多方案中得到了验证。

 

表1 部分QRNG方案的最小熵

 

3.1 基于隧道二极管的eQRNG

 

隧道二极管是具有显著量子隧道效应的固体器件。给隧道二极管两端施加正向电压会产生显著隧穿电流，而随着电压的增大，隧穿电流逐渐被抑制，隧道二极管电流又逐渐被漂移电流主导，形成隧道二极管最显著的特点：N型I-V特性曲线，即负阻曲线。随着电压增大，电流值会先增大后减小，此过程中电流的最大值称为峰值电流Ip，是隧道二极管的一个重要参数。

 

2017年，兰卡斯特大学Bernardo等[23]成功利用共振隧道二极管（Resonant Tunnelling Diodes，RTD）完成随机输出。双势垒RTD如图3（a）所示，图3（b）给出了RTD的伏安特性曲线，灰色线为电压扫描下的负阻曲线，随着电压增加RTD的电流值先增加，达到峰值点（Vp，Ip）后，电流随电压降低，直至谷点（Vv，Iv）后电流重新随着电压增加而增加；红线是在电流正向扫描模式下，当隧道二极管电流接近峰值电流时，结区附近载流子有概率发生隧穿被杂质原子俘获或释放，导致RTD由低阻态跃迁至高阻态，相应的RTD电压值突然增加；蓝线为电流负向扫描模式下，当电流达到谷值点附近时，RTD由高阻态跃迁至低阻态，电压值突然降低。电子隧穿具有内禀随机性，如图3（c）所示，进行100次电流正向扫描，统计发生阻态跃迁的电流值（简称“跃迁电流”），黄色柱状图为统计分布，呈现出高斯型分布。

 

图3 基于RTD的eQRNG^[23]

 

如图4所示，Bernardo等^[23]通过给RTD施加幅度为1.50 mA、脉宽为1 ms、占空比50%的电流脉冲，测量RTD的电压，若为高电平（1.11.2 V）则输出“1”，低电平（0.30.4 V）则输出“0”。该工作未使用NIST SP 800-90B分析熵源的特性，但对原始数据进行后处理后能够通过NIST SP 800-22测试。

 

图4 基于RTD的eQRNG原理示意图^[23]

 

2021年，Aungskunsiri等^[24]利用计时器实现了对隧道二极管的随机性提取。给二极管施加一个非负的电流正弦信号I=Asin(ωt)+A，电流信号的峰值2A超过隧道二极管的峰值电流Ip，从而保证每次电流扫描必然发生电压突变，利用时间分辨率为6.7 ns的计时模块测量隧道二极管电压突变的时刻，从而输出原始序列。Aungskunsiri等利用NIST SP 800-90B对原始数据进行了熵值评估，由于该实验中对于温度等条件并未做到严格控制，原始数据中包含了较多经典噪声，原始数据未通过NIST SP 800-90B的IID测试，最小熵评估结果仅为0.62 bits/bit。对原始数据进行Toeplitz-hashing后处理后通过了NIST SP 800-22统计测试。

 

3.2 基于范德瓦尔斯异质结的eQRNG

 

2022年，Abraham等^[25]制备了一个单层WS2-MoS2-WS2三明治结构的范德瓦尔斯异质结，如图5（a）所示。利用栅极在结区内施加电场，实现了xy方向的二维量子阱，如图5（b）所示，与三明治结构创造的z方向势阱共同形成了一个三维量子阱。如图5（c）所示，给异质结施加I=100 nA恒定电流时，量子阱通过隧穿效应随机俘获/释放电子使得异质结电阻态发生改变，由此产生随机电压信号（图5（d））。异质结温度控制在7 K，气压为10-4 Torr，利用电压突变的时刻进行随机序列输出，原始序列能够通过NIST SP 800-90B的IID检测，最小熵评估结果为0.983 bits/bit，该值超过了所有光学QRNG，首次证明eQRNG在量子性上具备更大的优势。

 

图5 基于范德瓦尔斯异质结的eQRNG^[25]

 

3.3 基于APD的eQRNG

 

当APD处在高压下时，内部也存在着电子隧穿效^应[39]。2023年，清华大学李俊林团队[26]利用APD内电子隧穿效应成功实现了高质量的随机序列输出。如图6所示，APD工作在约-20℃的环境下，温度波动不超过±0.002℃，在给APD两端施加高压HV后（低于雪崩电压），额外施加一个100 MHz脉冲电压激励，当电子发生隧穿后将会产生电压信号，利用比较器测量电压信号来判断每次脉冲时间内是否发生了电子隧穿效应，如果发生输出“1”，反之输出“0”。

 

图6 基于APD的eQRNG结构示意图^[26]

 

系统在无任何后处理的条件下获取了NIST SP 800-90B所需的连续数据集与重启数据集，统计图如图7所示。两组数据均通过了IID检测，NIST SP 800-90B认证最小熵为0.987 2 bits/bit，对连续数据集计算的统计最小熵为0.994 4 bits/bit，这是目前无后处理的QRNG原始序列的最高值，向理想的QRNG更进一步。

 

图7 8-bit值概率统计图^[26]

 

在长时间连续输出时数据质量的稳定性方面，该eQRNG连续运行约11 744 s，输出无任何后处理的1 174 405 120 000 bits原始数据，对每8 Mbits数据进行最小熵计算，给出统计最小熵分布，结果如图8（a）所示。最终eQRNG原始输出序列统计最小熵平均值为0.989 2 bits/bit，标准差为0.020 8 bits/bit。长数据最小熵统计如图8（b）所示，统计最小熵稳定在0.99 bits/bit附近，说明系统具有良好的长时间稳定性。在相当长的连续工作时间内，系统始终可以保持输出序列的高随机性，实现了高随机性高稳定性的可应用eQRNG。

 

图8 eQRNG长时间稳定性测试结果^[26]

 

4 结束语

 

eQRNG在随机性方面处于领先地位，已成为QRNG的一个重要研究方向。与光子QRNG相比，少了电-光-电转换过程，在量子性与安全性上更具优势，并且成本低、结构简单、稳定性高、可集成性高、与半导体工艺兼容，具有良好的应用前景。

 

本文刊于《信息通信技术与政策》2024年 第7期