量子隨機性與量子隨機數發生器的發展

|作者：劉宇軒　白玉明　李俊林?

(清華大學物理系 低維量子物理全國重點實驗室)

本文選自《物理》2025年第10期

摘 要：隨機數是信息安全的基石。信息加密的安全性來源于隨機數的不可預測性，高隨機性的隨機數發生器是密碼學的重要需求。隨機性作為隨機數最重要的性質一直被廣泛討論與研究。文章介紹了隨機性的基本特性、隨機數發生器的發展歷程、量子隨機數發生器的量子優勢及近年國內外在該領域的發展狀況。

關鍵詞：量子隨機數發生器，內稟隨機性，量子性

01

引 言

信息安全是社會穩定的必要條件，信息網絡空間已經成為繼陸、海、空、天外的第五維國家安全領域。信息安全技術涵蓋了許多學科，其中密碼學是最重要的部分之一。傳統密碼技術包含了對稱密碼、公鑰密碼、數字簽名等，直至今日，它們在信息安全中依然發揮著重要作用。信息安全事件例如網絡攻擊、數據泄露、基礎設施入侵等往往會對國家安全、經濟穩定甚至國際關系造成嚴重影響。

圖1　經典密碼系統的原理

密碼由隨機數和算法組成。如圖1所示，經典密碼技術基于算法(例如加密函數

E

m

k

)與解密函數

D

c

k

)，其中

k

為密碼算法的密鑰，是加解密函數的一個參量，通常是一段特定長度的隨機數)實現明文(簡寫為

m

)與密文(簡寫為

c

)的相互轉換，其側重點在于算法，即通過采用復雜的算法，讓破解密鑰的時間遠長于密碼保護信息的有效期。通俗來說，就是采用一道困難的數學題來保護信息，在現有計算機的計算能力下，需要很多年(大于50年)才能破解。與之相反的，對于隨機數的 態度是夠用就行。因此當前許多密碼系統大多采用基于數學算法的偽隨機數，稍好一點的是采用基于經典物理過程的隨機數(如電噪聲、熱噪聲等)。

需要說明的是，加密算法一般是公開的，即題目是公開的。即使是不公開的加密算法也存在著被破解的可能性：1999年，DVD的密碼算法被破解；2007年，NXP公司的非接觸IC卡產品(MIFARE Classic)的密碼算法被破解；大名鼎鼎的RSA公司開發的RC4算法也被破解。

隨機數和算法共同構成了密碼，因此密碼的安全性也就依賴于隨機數的安全性與算法的安全性。經典的加密技術安全性側重于算法的安全性，但算法的安全性是有條件的，即要求攻擊者的計算能力在某一限定值下才能夠保證安全，而量子計算機的強大算力顛覆了算法安全性的條件。并且量子計算機的能力極限目前仍無定論，因此在算法無法保證安全性的情況下，必須依賴隨機數的質量來保證安全性。簡單來說就是對整個密碼系統，應當保證即使算法被破譯，信息仍然是安全的。

量子計算機的出現使得計算能力出現指數級的巨大提升。2024年谷歌最新的量子計算芯片Willow在5分鐘內完成了一項隨機電路的采樣計算，而目前頂尖超算完成該計算需要超1025年(超過宇宙年齡)。今年國內成功構建的超導量子計算原型機“祖沖之三號”也比目前最快的超算快千萬億倍，再次打破超導體系量子計算優越性世界紀錄。依賴于數學算法的密碼安全性在量子計算機強大的算力下非常脆弱，很容易被量子計算機破解。例如著名的RSA公鑰系統基于兩個較大質數

p

q

與它們的乘積

N

pq

生成密鑰，其安全性依賴于大數分解問題，即找到

N

的兩個因子

p

q

的困難性。而早在1994年，Shor就提出了能夠有效解決大數分解問題的量子算法，證明量子計算機能夠輕易破解RSA公鑰系統。

一旦足夠強大的量子計算機投入使用，許多互聯網通信、數字簽名、密碼、合同和其他文件的數據保護機制將立即過時。此外，攻擊方可能會現在就下載并存儲密文數據，然后在量子計算機足夠強大時再進行解密。這種策略被稱為“現在收集，未來解密”，在未來可能會造成敏感信息泄露，危及國家安全。因此，密碼體系的安全性提升刻不容緩。

在量子計算機時代，加密技術的安全性將更側重于隨機數的安全性。例如量子密鑰分發(quantum key distribution，QKD)，作為量子威脅的應對方案之一，隨機數替代了算法成為安全性的主要部分。當量子密鑰分發協議中隨機選擇的測量基能夠被攻擊者有效預測時，協議將不再具有安全性[1，2]。而隨機數的安全性來源于隨機數的隨機性，高隨機性的隨機數是密碼系統的基石。量子隨機數發生器即將成為密碼系統的重要基礎設施，我國工信部也正在加緊制定量子隨機數發生器行業規范。下面我們將對隨機數的隨機性、隨機數發生器的發展與量子隨機性進行介紹。

02

隨機數的隨機性

隨機性是隨機數的本質屬性。馮·米塞斯、馬丁-洛夫、柯爾莫戈洛夫等著名數學家都對隨機性的科學定義進行了長時間的研究與討論[3，4]。最終，馬丁-洛夫基于柯爾莫戈洛夫復雜性(柯氏復雜性)的理論形式化地給出了“隨機性”的定義[5，6]：一個二進制序列x是隨機的，當且僅當它的柯爾莫戈洛夫復雜度

K

)接近其自身長度|

|，即：

K

) ≥ |

c

c

為常數).

通俗來說就是指不存在比x本身短得多的程序來生成

，即它沒有簡潔的規律性描述。馬丁-洛夫在柯氏復雜性的基礎上將隨機性定義為能通過所有有效的統計測試，并證明對于無限長序列而言二者的等價性 [6] ，通俗而言就是通過數據統計的方法無法找到序列存在的任何規律。二者都從不可計算性的角度給出了隨機性的描述，成為了現代密碼學、隨機性檢測理論的嚴格數學基礎。在這一定義下，已經制定一些證明不可計算隨機性的標準，例如美國國家標準技術研究所(NIST)的NIST SP 800-22規范 [7] 與中國國家密碼管理局的GM/T0005-2021隨機性檢測規范 [8] 。

需要注意的是，雖然以上定義的隨機性具有嚴格的數學形式，但它并不是本文所說的真隨機性。柯爾莫戈洛夫本人也清楚這一點：“通常理解的隨機過程是指無法找到規律、無法預測結果的過程。在概率論的應用中，我們需要區分隨機性(沒有任何規律性)和統計隨機性(概率論的主題)。概率論無法否定隨機過程中可能存在的規律性，它僅僅是從實際現象的統計隨機性假設中推導出一些正確的結論[9，10]”。

綜上，柯氏復雜性定義的隨機性僅證明了序列具有不可計算的特性，即這個序列看起來足夠“混亂”，但這并不意味著序列是不可預測的，因此它并不是真隨機性的定義。真隨機性的定義一直處于討論之中，但從目前的結果來看，許多數學家對從數學上給出隨機性的嚴格定義持悲觀態度。漢斯-弗賴登塔爾說道：“任何試圖以規范的方式來定義無序的嘗試都會走入矛盾。雖然無序的概念并不矛盾，但當我試圖將其規范化時，情況就是如此”[11]。

數學嚴格定義隨機性的困難在于隨機性是產生隨機序列過程的特性，而不是序列本身的特性。數學定義的本質是劃定一個滿足隨機性條件的序列的標準，然而一個真隨機過程可能產生任何序列(所有序列都是等概率出現的)，而同樣的序列也能由確定性過程生成(例如計算機程序)，因此一個序列是否隨機無法通過制定一個確定的標準來定義，即序列的產生方法影響著這個序列是否隨機。舉一個通俗的例子，π的十進制序列能夠通過統計測試，滿足柯氏復雜性定義的隨機性，但顯然它并不是隨機的。正如馮·諾依曼所言：“沒有所謂的隨機數，只有產生隨機數的方法[12]”。

從以上的分析中可以看出，本文所討論的隨機性是隨機過程或隨機源不可預測的真隨機性，而非序列不可計算的統計隨機性。雖然真隨機性的嚴格定義尚未有定論，但在漫長的討論中可以總結出真隨機序列應當具備以下特性：

(1)無限長

隨機源能夠輸出無限長的序列，不會在有限長輸出后重復之前的輸出，輸出序列不存在周期性。在密碼學應用中，不滿足該特性的隨機源一旦輸出序列超過最大長度后，攻擊者能對序列進行完全預測。

(2)不可計算

隨機源的輸出序列具有良好的柯氏復雜性，能夠通過所有有效的統計檢測，無法利用序列的前

n

位有效預測第

n

+1位的值。滿足該特性的隨機源在密碼學應用中能保證一定條件下的安全，即在攻擊者僅能獲取其他輸出序列的條件下保證序列安全。例如使用圓周率π的十進制序列來進行加密，若攻擊者不知道序列來源，則能保證安全。但若攻擊者具有隨機源信息，例如序列來源于π，則能夠對序列進行有效預測。

(3)不可預測

隨機源的輸出序列無法預測，即使攻擊者獲取了隨機源全部的狀態信息與環境信息，也無法預測隨機源的輸出。滿足該特性的隨機源在密碼學應用中能無條件保證輸出序列的安全。

需要注意的是，以上的三個特性是遞進的關系：有限長的序列總可以被完整描述，因此必然是可計算的；可計算的序列，將計算視為預測方法的一個特例，其必然是可預測的。從無限長、不可計算到不可預測，隨機源的隨機性在不斷提升，恰好對應了隨機數發生器的發展歷程。

03

隨機數發生器發展歷程

隨機數發生器是用于產生隨機數的機器，對信息安全、數學與物理計算(如Monte Carlo算法)、人工智能與機器學習、金融工程與經濟學等領域都具有重大意義，其發展歷程對應著隨機性不斷提升的歷程，如圖2所示。圍繞著隨機數的無限長、不可計算和不可預測特性，從最早的基于算法的隨機數發生器發展到基于物理源的隨機數發生器(實現無限長與不可計算)，又發展到了量子隨機數發生器(實現不可預測)。

圖2　隨機數發生器發展歷程

1946年，偽隨機數發生器(pseudo-random number generator，PRNG)被提出[12]，其基本思想是將隨機數種子(一串序列)輸入算法得到一個輸出，再將該輸出作為新的種子計算下一個輸出，反復迭代輸出隨機序列。PRNG的出現大大提升了隨機數生成率，滿足了許多應用的需求。但在實際應用中，由于PRNG種子長度有限，取值空間有限，導致PRNG無論從什么種子開始，最終都會進入有限狀態的循環，意味著PRNG的輸出是周期性重復的有限長序列。這是PRNG種子空間有限和確定性演化的必然結果，可以將種子序列比喻成手串上的珠子，將PRNG算法比喻成兩兩連接珠子的鏈條，由于珠子的數量有限，有限次連接后必然形成環，對應PRNG種子回到之前的狀態，開始周期性輸出。因此PRNG不具備無限長特性，那么必然也是可計算與可預測的，難以滿足密碼學對于序列安全的要求。

為了解決PRNG周期性輸出問題，人們開始利用實際的物理系統生成隨機數。最直接的方法是通過宏觀經典物理系統生成隨機數，如系統噪聲或對初始條件敏感的混沌物理系統[13，14]。實際物理系統具有無窮多可能的狀態，不存在有限次演化必然回到初始狀態的問題，可輸出無限長序列。經典物理隨機數發生器利用經典物理系統的隨機信號，配合數學后處理過程，輸出的序列能夠通過大多數統計測試，基本滿足了隨機性不可計算的特性，一定程度上能夠滿足信息安全的基本要求。因此，為與PRNG相區分，有人稱它們為真隨機數發生器(true random number generator，TRNG)。但從物理學的視角來看，經典物理系統是可預測的，所以TRNG產生的序列并不是真隨機數。經典物理系統由確定的動力學方程描述，本質上和PRNG僅存在狀態空間大小的區別，若獲取了系統的狀態信息，就能對系統進行預測。即使實際物理系統復雜度高，難以給出準確動力學描述，系統狀態也隨時間連續演化，帶寬有限，信號在局域時間內必然存在關聯，攻擊者只要獲取足夠的信息，就能對系統的狀態演化進行預測。與PRNG相比，經典物理隨機數具備無限長與不可計算特性，能夠一定程度滿足信息安全的需求，但其原理上仍是確定性的，不具備不可預測性。

而量子隨機數發生器(quantum random number generator，QRNG)在原理上滿足了不可預測性。在量子力學的哥本哈根詮釋中[15]，量子態測量坍縮結果具有內稟隨機性，即使獲得了量子態所有的信息，也無法預測坍縮結果；坍縮時間是瞬時的，等效帶寬無窮大，前后坍縮結果不存在任何關聯性。因此QRNG自2000年開始逐漸受到廣泛關注[16]。與經典隨機數發生器相比，QRNG在具備無限長、不可計算特性的基礎上，根據量子力學的波函數測量坍縮假設，原理上保證了輸出序列的不可預測性，這就是QRNG相比于經典隨機數發生器的量子性優勢。下一節會詳細分析經典系統和量子系統在隨機性上的區別。

04

兩種隨機性：

表觀隨機性與內稟隨機性

經典系統與量子系統均能夠實現隨機序列輸出，但兩者在可預測性上存在著本質區別，由此引出了兩類隨機性的概念：表觀隨機性與內稟隨機性。

表觀隨機性是對于系統狀態與演化缺乏足夠的信息而展現的隨機性。若得到系統狀態與演化的信息，則系統演化是可預測的。經典系統的隨機性為表觀隨機性，例如大氣系統、電磁噪聲等。表觀隨機性對經典力學研究有重要意義，與統計力學的基本假設具有深刻聯系[17]，很多復雜系統內部遵循確定性的演化規律，但基于概率論的假設引入隨機數進行分析也能得到有意義的結論。即使經典系統的某些特性和概率論中隨機過程的特性吻合，也不意味著系統的隨機性是真實的，正如馮·諾依曼所言[12]：“一些用隨機方法解決的問題可能存在使用更嚴格序列解決的可能”。理論上，所有經典物理系統展現的隨機特性均屬于表觀隨機性，信息客觀存在，系統并非不可預測。如圖3所示，著名的比喻拉普拉斯妖指出了經典物理系統表觀隨機性可預測的本質[18]：“有一個智者，在給定的時刻，了解了自然界中的所有物質的能量與動量，它足夠強大，可以對這些數據進行分析，它能以同樣的公式描繪宇宙中最大物體和最輕原子的運動。那么對它來說，沒有什么是不確定的，未來就像過去一樣，在它的眼中同時存在”。在表觀隨機性的世界(經典物理世界)，所有事件只有一種發展方式，一切看似隨機的過程都是可預測的。在密碼學應用的角度，利用表觀隨機性進行加密的本質就是利用一段信息去保護另一段信息，風險始終存在，如果攻擊者能夠更好地預測隨機源，安全性就會被破壞。

圖3　拉普拉斯妖對宇宙中一切物質的演化進行預測

內稟隨機性指隨機性是作為系統內稟屬性而存在的，即使了解系統所有的狀態信息，也無法預測系統的輸出。只有利用具有內稟隨機性的隨機源才可能實現無條件安全的信息加密。量子力學理論中的疊加態測量隨機坍縮正是內稟隨機的，它的隨機性是系統的內在屬性，即使完全了解系統狀態，也無法預測疊加態的坍縮結果。

從系統演化的角度看，在經典力學中，只要確定系統某一時刻的坐標與動量，系統狀態就被完全確定，之后系統的一切都是完全確定的，不存在隨機性，只要提高我們的測量精度與計算設備，就能夠以想要的精度對系統演化進行預測。而在量子力學的觀點中，量子態存在著內稟隨機性，僅能利用概率波函數對系統的演化進行描述，量子力學本質上是概率的。

圖4　經典系統和量子系統的狀態與測量結果的關系

從測量的角度看，經典系統的測量結果就是系統所處的狀態，測量不影響經典系統的狀態，測量結果也隨狀態而客觀存在，即經典系統力學量滿足實在論，僅存在表觀隨機性。而量子系統的測量結果伴隨著量子態坍縮，在測量之前該結果并不實際存在。如圖4所示，經典系統的測量結果=狀態，量子系統的測量結果≠狀態。量子系統的結果僅能通過測量坍縮獲取，并且在測量后系統坍縮至力學量本征態，系統失去了測量前的狀態信息，因此量子系統力學量不滿足實在論，具有內稟隨機性。定域實在論的討論也是量子力學基本問題研究的重要部分，持續了近一個世紀，最終通過貝爾不等式的提出與實驗驗證證明了量子力學不滿足定域實在論[19—23]，2022年諾貝爾物理學獎也頒給了在貝爾不等式驗證實驗中做出貢獻的三位學者：阿斯佩(A. Aspect)、克勞澤(J. F. Clauser)與塞林格(A. Zeilinger)。

圖5　扔硬幣的經典隨機過程

以扔硬幣為例，這是一個經典隨機的典型例子，如圖5所示。數學中通常認為硬幣的正反面是完全隨機的，但實際過程中如果有一個高速相機，對扔出的硬幣不停地拍照(觀測)，獲取硬幣足夠多的運動信息后是可以預知最終結果的，或者在硬幣接近停止時也可以知道結果。

若考慮該問題的量子版本，“量子硬幣”從扔出到靜止的演化時間是0，中間無法插入任何過程獲取信息(例如拍攝)，該隨機性由疊加態的內稟隨機性保證。

從以上例子可以看出，表觀隨機性在具有更多信息的攻擊者角度可預測，不具備安全性，而內稟隨機性保證了無論攻擊者獲取了多少信息，序列均具有不可預測性。因此只有QRNG能夠保證加密系統的安全性，這也是QRNG相比于經典隨機數發生器的量子優勢。內稟隨機性同時保證了隨機序列的不可重現性，即使兩個完全相同的QRNG在完全相同的條件下工作，其輸出結果也是不一樣的，二者輸出不存在任何的關聯性和邏輯性，各自具有獨立的隨機性，即QRNG產生的隨機數具有唯一性。而在經典物理中，在完全相同的條件下拋出兩個相同的硬幣，兩個硬幣的結果一定是相同的。不可重現性也是QRNG相比于經典隨機數發生器的顯著特征。

為何微觀粒子具有內稟隨機性而大量微觀粒子組成的經典系統是確定性的？2024年數學界的諾貝爾獎——阿貝爾獎的獲得者米歇爾·塔拉格朗(Michel Talagrand)的結論解釋了這一問題[24]：“一個隨機變量如果依賴于(以一種“平滑”的方式)許多獨立的隨機變量(權重不集中在某一個變量上)，那么這個隨機變量本質上是一個常量”。即如果一個過程依賴于許多相互獨立的隨機過程，不同的隨機因素不會提高該過程的隨機性，反而更加傾向于相互抵消，使得該過程趨向于確定性的過程。經典理論描繪的宏觀物體，大量微觀粒子的隨機性相互抵消，導致宏觀物體展現出確定性的運動規律。可以將宏觀物體的物理量理解為大量粒子物理量的平均值，量子力學中的埃倫費斯特定理也驗證了經典物理與量子物理的聯系[25]。在經典極限下，量子期望值的運動方程為

與經典正則方程相對應。可以理解為經典物理是量子物理的“平均效應”，即經典理論包含在了量子理論之中。

在實際應用中，選擇量子系統的根本原因是量子系統能夠帶來超越經典物理框架的優勢，因此量子系統的量子性(見Box1)是應用中的一個重要指標。

Box 1

量子性

當我們稱一個系統具有量子性時，并不是因為這個系統使用了量子理論進行描述，而是因為這個系統展現出了無法使用經典理論所解釋的特性。以光為例，盡管光的雙縫干涉可以用量子理論中的概率波函數干涉進行解釋，但也能夠使用經典的電磁波理論進行描述，因此光的雙縫干涉并沒有明顯的量子性；而糾纏光子的貝爾不等式違背現象與經典理論的定域實在論存在本質矛盾，經典理論無法解釋，即超出了經典理論框架之外，因此光子糾纏就具有顯著的量子性。以電子為例，當電子在電場中自由運動時，既可以使用薛定諤方程對波函數波包的運動進行描述，也可以使用經典運動方程對電子運動進行描述，因此自由運動的電子不存在顯著的量子性；而當電子被束縛在勢阱中時，能夠以隧穿方式穿過高于自身能量的勢壘從勢阱中逃逸，這樣的現象無法使用經典理論進行描述，因此電子隧穿具有顯著的量子性。同樣地，在QRNG領域，并不是QRNG系統能夠使用量子理論進行描述，系統就具有了顯著的量子性。在QRNG中，只有波函數坍縮的內稟隨機性是經典理論無法描述的，由此可以定義出量子隨機性與QRNG系統的量子性等概念，下面將對量子隨機性與量子性進行詳細地分析。

05

量子隨機性、量子性的定義與特性

基于對量子系統隨機性的分析，可以將基于量子疊加態坍縮的內稟隨機性定義為量子隨機性。

5.1　量子隨機性定義

量子隨機性是量子疊加態波函數測量坍縮結果的隨機性。量子隨機性來源于量子疊加態的波函數坍縮，與任何經典理論不存在關聯，也不存在于任何經典理論框架中。需要注意的是，雖然量子隨機性是量子理論中獨有的特性，但并不代表某個QRNG的隨機源能夠被量子理論所描述，這個QRNG就具有良好的量子隨機性，也并不是只要系統處于量子純態，測量結果就能夠展現量子隨機性。其一，在理論框架上，量子隨機性僅屬于量子力學理論的一部分，即量子測量坍縮假設的部分。而量子理論中的其余部分不產生內稟隨機性，例如量子系統的幺正演化雖然遵循薛定諤方程，但其仍是確定性的方程，在期望值上和經典理論相互對應，僅存在表觀隨機性。其二，在實際測量中，量子隨機性僅來源于純態波函數單次坍縮的力學量結果，而經典探測器的響應往往對應了大量獨立純態波函數坍縮結果的平均值，導致測量趨向于經典測量，信號趨同于經典信號，量子隨機性趨于零。在QRNG應用中，即使隨機源是一個純態量子源，若測量結果是大量純態測量坍縮結果的平均值，其信號的量子隨機性也會趨于零。

以光為例，單光子級的光場測量結果能夠展現出顯著的量子漲落。而隨著光強增強，探測器響應的獨立光子數不斷增加，測量結果不再是單個光子態坍縮的結果，而變為大量光子態坍縮結果的平均值，其值與經典電磁波理論所描述的一致，即量子特性消失，不表現出量子隨機性。因此探測過程作為測量坍縮的一部分也對QRNG量子隨機性存在顯著的影響，在QRNG設計中需要被仔細考慮。例如若單光子路徑選擇型QRNG中將單光子探測器換成簡單的光強探測器，單光子源換成脈沖光源，那么探測器的信號是大量光子態坍縮的平均光子數，該QRNG的隨機性為表觀隨機性。

與經典隨機信號相比，量子隨機性的最大特性是獨立同分布(independent and identically distributed，IID)特性。

5.2　獨立性

獨立性是量子疊加態坍縮的本質屬性。疊加態的波函數坍縮是瞬時過程，信號上表現為階躍過程，坍縮結果與系統的歷史狀態無關，天然具有獨立性，例如對于電子自旋疊加態|

>=|↑>+|↓>，即使兩次測量坍縮的量子態完全相同，測量 條件也完全相同，兩次坍縮的結果也是獨立的，各自獨立等概率地出現↑或↓的測量結果。而與波函數坍縮過程相反，經典系統局域時間信號必然存在相關性。其一，從源的角度看，經典物理系統按確定性的正則方程演化，帶寬有限，相關性不可避免，例如電路中的經典電磁噪聲，由于電路中不可避免的分布電容、分布電感效應，電信號不存在信號的階躍突變，局域時間內的信號必然存在顯著關聯，根據奈奎斯特采樣定理 [26] ，只要采樣信號大于系統信號帶寬的兩倍，就能夠恢復原有信號。其二，從探測器的角度看，經典信號對應于探測器響應時間范圍內大量粒子物理量的平均值，探測器輸出信號響應時間范圍內的相關性也不可避免。以光功率計為例，其帶寬有限，測量結果是一段時間內光功率的平均值，輸出的光功率結果不存在突變，即局域時間內的信號必然存在關聯。綜上，獨立性是量子隨機性與經典隨機性的本質區別。

5.3　同分布性

同分布性是量子疊加態等概率坍縮的必然要求，是量子隨機性的必要條件。其一，在理論框架上，量子隨機性是疊加態波函數坍縮產生的隨機性，與量子態的幺正演化無關。量子態的幺正演化遵循薛定諤方程，在期望值上與經典理論相互對應，只存在表觀隨機性。只有每次坍縮前的系統被復位至相同的量子疊加態，才能保證該量子系統的坍縮結果具有相同的內稟概率分布，即理想的量子隨機性。即使采用量子系統作為隨機源，如果每次坍縮后量子系統沒有被正確復位，那么該系統幺正演化的表觀隨機性將會作為噪聲進入測量結果中，導致信號的量子隨機性下降。例如，假設一個量子源的量子態存在幺正演化，以拉比振蕩的形式為例 |

>=cos(

Ωt

/2)|0>-i sin(

Ωt

/2)|1>，每次測量坍縮結果的概率分布為

P

0 (

t

)=cos 2 (

Ωt

P

1 (t)=sin 2 (

Ωt

/2)，這類演化(正弦函數)顯然是確定性的演化，但若QRNG系統對此不加區分，將其也作為隨機輸出的一部分，那么這些幺正演化的部分就作為表觀隨機性(噪聲)混入了最終輸出，雖然統計結果上依然能滿足，但其中表觀隨機的部分將與拉比頻率Ω等外界條件(例如外部磁場)產生關聯，導致量子隨機性降低。其二，在實際測量中，測量系統的不變性也要求了每次測量前應當保證量子系統被正確復位。總而言之，量子隨機性來源于波函數的瞬時坍縮，不存在任何演化過程，而經典表觀隨機性恰是來源于信息不足的隨機演化，這也是量子隨機性和經典隨機性的本質區別。非同分布就意味著系統狀態存在演化，存在演化就代表系統存在表觀隨機性，因此同分布性是量子隨機性的必要條件之一。

從量子隨機性的定義與特性可以看到，并非只要使用了量子系統作為隨機源，就能保證QRNG具有良好的量子隨機性。實際QRNG系統必然包含了控制、采樣等經典部分，輸出的隨機信號不可避免地包含量子隨機性與非隨機、表觀隨機性的成分，其中僅有純態坍縮的量子隨機性是內稟隨機的。可將除去量子隨機性的部分定義為QRNG系統的噪聲，將QRNG系統的量子性定義為量子隨機性所占比例：

噪聲廣泛存在于整個系統，包括量子隨機源與測量、采樣系統等，產生的原因也不盡相同。對于量子隨機源，系統量子態由于環境擾動、狀態制備不完美等因素發生的演化就是一種噪聲。這類演化理論上是確定性的，具有有限帶寬，能夠通過反饋、補償等方式進行抑制，而量子態坍縮信號作為量子系統本質屬性并不會受這些操作的影響。對于測量與采樣系統，測量設備誤差與不穩定是一種噪聲。由于實際測量系統為經典系統，帶寬有限，與波函數瞬時坍縮無限大的等效帶寬存在矛盾，即使隨機源是理想的量子系統，根據塔拉格朗的結論，如果每次采樣對應了多個粒子的坍縮，這些粒子的隨機性傾向于相互抵消，導致信號的隨機性下降，這也是系統的噪聲。此外如果采樣系統帶寬大于信號帶寬，根據奈奎斯特采樣定律，采樣結果本身將具有相關性，導致量子性損失，這也是一種噪聲。

對于QRNG系統而言，僅有量子隨機性的部分是我們所需的信號，其余的部分均為噪聲。但由于噪聲也具備一定“無序”(統計上無序但非內稟隨機)的特點，部分QRNG工作中忽視了對于量子隨機性與噪聲的分析，簡單地將噪聲也視為系統隨機性的一部分，導致隨機信號中量子隨機性的比例較低，系統量子性不顯著。這樣的QRNG系統和經典隨機系統相比不存在量子優勢，也就失去了其在安全性上本應具備的重要意義。因此QRNG的量子性在設計與檢測中是一個被忽視但卻十分重要的問題。

06

量子時代密碼系統發展現狀

量子計算技術正在迅速發展，并且發展速度大大超過了許多人的預期，量子計算對現有密碼體系的威脅進度遠比想象中要快，這也成為了傳統密碼體系頭頂的達摩克里斯之劍。為了對抗量子計算對現有密碼體系的破壞，2024年8月13日，美國NIST正式發布首批后量子加密(post-quantum cryptography，PQC)標準，旨在利用更復雜的算法以抵御量子計算機的威脅。但由于目前對于量子計算算法的研究尚不充分，PQC算法只能抵御已知的量子密碼破解算法，量子計算機的能力上限也尚不明確，因此對于PQC算法能否完全抵御量子計算攻擊仍存在爭議。利用PQC來應對量子計算機的方式只是一種過渡方案，密碼體系正向著超越計算復雜性、依賴量子物理原理與隨機數的不可預測性來保證安全的方向發展。未來隨機數將完全成為密碼體系安全性的保障，QRNG也將成為密碼體系的核心。

目前已經有很多QRNG技術方案被提出，并且很多方案都已實現可實用化與芯片化，主要可以分為兩類：一類是基于光子體系的QRNG，包括光子路徑選擇、光子到達時間、光子相位漲落與光的真空漲落等技術方案[16，27—33]；另一類是基于電子體系的QRNG，包括雪崩二極管、隧道二極管與范德瓦耳斯異質結等技術方案[34—36]。

6.1　基于光子體系的量子隨機數發生器

量子光學的實驗技術比較成熟，包括高性能量子光源、單光子探測技術、光纖技術以及各種靈活的光學元件等。目前實驗室對于光子的操控普遍具有較高水平，因此光子系統在性能與工程實現難度上達到了良好的平衡，成為當前QRNG的主流實現方案。但由于光子測量過程涉及到了光電轉換等諸多經典物理過程，降低了熵源輸出的原始數據的隨機性，因此光子體系的QRNG依賴對原始數據的數學后處理。不過后處理是確定性的數學過程(如Toeplitz hash算法)，不會增加原始數據的隨機性。對光子體系QRNG而言，如何提升熵源原始數據的隨機性仍然是一大挑戰。基于相位漲落與真空漲落的方案是目前光子體系QRNG中實用化較高的方案，以下進行簡單的介紹。

圖6　基于相位漲落QRNG的原理圖[27]

基于相位漲落的QRNG利用激光器內自發輻射效應導致的光場相位隨機量子漲落，通過干涉儀將相位漲落轉換為強度漲落來輸出隨機數，如圖6所示。2012年，清華大學研究組利用激光相位漲落實現了隨機數生成，驗證了量子相位漲落作為隨機源的可行性[27]。2015年，中國科學技術大學研究組將相位漲落QRNG速率提高至68 Gbps[28]。目前，基于相位漲落的QRNG已實現了集成化與實用化(實時后處理輸出)[29，30]，是主流QRNG方案之一。

圖7　基于真空漲落QRNG的原理圖[31]

基于真空漲落的QRNG利用不確定性原理導致的光場真空態漲落，通過平衡零差檢測等技術將真空漲落轉化為電信號輸出隨機數，如圖7所示。2010年，德國馬克斯普朗克研究所利用真空態正交振幅的不確定性實現了6.5 Mbps的隨機數輸出[31]。同年，國防科技大學研究組將真空漲落的QRNG輸出速率提升至12 Mbps[32]。目前該方案的QRNG也實現了集成化與實用化[37]。

6.2　基于電子體系的量子隨機數發生器

電子體系的QRNG通常基于固體內的電子隧穿效應來輸出隨機數。當固體中的勢壘寬度較窄時，處于勢阱中的電子有概率越過能量高于自身的勢壘，形成隧穿電流。隧穿效應是典型的量子效應，具備內稟隨機性。與光子體系相比，電子體系QRNG不存在電—光—電轉換過程，能夠避免轉換過程中的經典噪聲，未經后處理的原始序列質量普遍更高，在隨機性與安全性上更具優勢。

2017年，英國蘭卡斯特大學研究組利用隧道二極管內的電子隧穿效應實現了隨機數輸出[34]。2022年，基于范德瓦耳斯異質結的QRNG被提出，在不存在任何數學處理的條件下，NISTSP800-90B認證最小熵達到了0.983 bits/bit，是當時QRNG的最高記錄[35]。2023年，清華大學研究組利用雪崩二極管內的電子隧穿效應實現了100 Mbps的隨機數輸出，在無任何后處理的條件下，NIST SP 800-90B認證最小熵達到了0.9872 bits/bit，首次實現了實用化的電子體系QRNG。

07

總 結

隨機數是信息安全的基石。隨著人們對于隨機性的理解加深，量子力學中的內稟隨機性對于信息安全的重要性越來越顯著，QRNG領域也正處于百花齊放的時代。作為信息安全系統中最重要的基礎設施，QRNG正向著高隨機性、高穩定性、高輸出率、高集成性的方向發展，將在未來的信息網絡安全中發揮不可替代的作用，我們期待著這一天的到來。

致 謝感謝清華大學物理系朱邦芬教授在本論文立意、框架等方面給予的具體指導。感謝邵舜先生和首都師范大學物理系楊哲老師在論文立意方面的啟發與支持。

參考文獻

[1] Bouda J，Pivoluska M，Plesch M et al. Physical Review A，2012，86(6)：062308

[2] Li H W，Yin Z Q，Wang S et al. Scientific Reports，2015，5(1)：16200

[3] Li M，Vitányi P. An introduction to Kolmogorov complexity and its applications. New York：Springer，2008.pp.49—56

[4] Van Lambalgen M. Random Sequences. Amsterdam：University of Amsterdam，2014. pp.1—160

[5] Kolmogorov A N. Problems of Information Transmission，1965，1(1)：1

[6] Martin-L?f P. Information and Control，1966，9(6)：602

[7] Bassham L，Rukhin A，Soto J et al. A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications. Gaithersburg：National Institute of Standards and Technology Special Publication，2010. pp.1—131

[8] 密碼行業標準化技術委員會 . GM/T 0005-2021：隨機性檢測規范. 北京：中國標準出版社，2021. pp.1—32

[9] Kolmogorov A N. Russian Mathematical Surveys，1983，38(4)：29

[10] Kolmogorov A N. On Logical Foundations of Probability Theory. In：Prokhorov J V， It? K eds. Probability Theory and Mathematical Statistics. Berlin，Heidelberg：Springer Berlin Heidelberg，1983. pp.1—5

[11] Freudenthal H. Realistic Models in Probability. In：Lakatos I，eds. Studies in Logic and the Foundations of Mathematics. London：Elsevier，1968. pp.1—23

[12] Von Neumann J. Appl. Math. Ser.，1951，12(3)：36

[13] Pareschi F，Setti G，Rovatti R. IEEE Transactions on Circuits and Systems I-Regular Papers，2010，57(12)：3124

[14] Gong L S，Zhang J G，Liu H F et al. IEEE Access，2019，7：125796

[15] Von Neumann J. Mathematical Foundations of Quantum Mechanics：New edition. Princeton：Princeton University Press，2018.pp.1—303

[16] Jennewein T，Achleitner U，Weihs G et al. Review of Scientific Instruments，2000，71(4)：1675

[17] Penrose O. Reports on Progress in Physics，1979，42(12)：1937

[18] Laplace P S. Théorie analytique des probabilités. Paris：V. Courcier，1820. pp. vi—vii

[19] Bell J S. Physics Physique Fizika，1964，1(3)：195

[20] Aspect A，Dalibard J，Roger G. Phys. Rev. Lett.，1982，49(25)：1804

[21] Aspect A，Grangier P，Roger G. Phys. Rev. Lett.，1981，47(7)：460

[22] Freedman S J，Clauser J F. Phys. Rev. Lett.，1972，28(14)：938

[23] Bennett C H，Brassard G，Crépeau C et al. Phys. Rev. Lett.，1993，70(13)：1895

[24] Talagrand M. The Annals of Probability，1996，24(1)：1

[25] Ehrenfest P. Zeitschrift für Physik，1927，45(7)：455

[26] Nyquist H. Proceedings of the IEEE，2002，90(2)：280

[27] Xu F，Qi B，Ma X et al. Optics Express，2012，20(11)：12366

[28] Nie Y Q，Huang L，Liu Y et al. Review of Scientific Instruments，2015，86(6)：063105

[29] Lei W，Xie Z，Li Y et al. Quantum Information Processing，2020，19(11)：405

[30] Huang Z，Li J，Chen Y et al. Optics Express，2025，33(5)：11985

[31] Gabriel C，Wittmann C，Sych D et al. Nature Photonics，2010，4(10)：711

[32] Shen Y，Tian L，Zou H. Phys. Rev. A，2010，81(6)：063814

[33] 廖靜，梁創，魏亞軍 等.物理學報，2001，50(3)：467

[34] Bernardo-Gavito R，Bagci I E，Roberts J et al. Scientific Reports，2017，7(1)：17879

[35] Abraham N，Watanabe K，Taniguchi T et al. ACS Nano，2022，16(4)：5898

[36] Liu Y X，Huang K X， Bai Y M et al. Chinese Physics Letters，2023，40(7)：070303

[37] Qiao G R，Bai B，Weng Z X et al. IEEE Journal of Selected Topics in Quantum Electronics，2025，31(5：Quantum Materials and Quantum Devices)：1

（參考文獻可上下滑動查看）

《物理》50年精選文章