真隨機數(shù)發(fā)生器及方法、真隨機數(shù)密鑰加密系統(tǒng)及方法
【專利摘要】本發(fā)明公開了真隨機數(shù)發(fā)生器及方法、真隨機數(shù)密鑰加密系統(tǒng)及方法。該真隨機數(shù)發(fā)生器包括:模擬信號獲取單元,使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;模擬信號處理單元,對一個或多個該模擬信號進行處理,獲得處理后的模擬信號;模數(shù)轉換單元,對處理后的模擬信號進行放大和模數(shù)轉換得到數(shù)字信號;真隨機數(shù)信號生產單元,對數(shù)字信號進行處理,生成真隨機數(shù)信號:計算數(shù)字信號的自相關函數(shù),根據自相關函數(shù)計算出數(shù)字信號的功率譜,根據該功率譜計算出白化濾波器的頻譜作為該真隨機數(shù)信號。
【專利說明】真隨機數(shù)發(fā)生器及方法、真隨機數(shù)密鑰加密系統(tǒng)及方法
【技術領域】
[0001] 本發(fā)明涉及一種真隨機數(shù)發(fā)生器及該真隨機數(shù)發(fā)生器的真隨機數(shù)生成方法、應用 該真隨機數(shù)發(fā)生器的真隨機數(shù)密鑰加密系統(tǒng)、該真隨機數(shù)密鑰加密系統(tǒng)的加密方法。
【背景技術】
[0002] 隨著信息化的高速發(fā)展,人們對信息安全的需求越來越多。人員流動、市場競爭、 金融危機、敵對勢力等都給企事業(yè)單位的發(fā)展帶來巨大風險,內部竊密、黑客攻擊、無意識 泄密等竊密手段成為了人與人之間、企業(yè)與企業(yè)之間、國與國之間的安全隱患。傳統(tǒng)的人傳 遞信息,雖然可靠性高、但時效性低,影響信息處理等的后續(xù)工作。因此加密系統(tǒng)的研究與 發(fā)展顯得尤為重要。
[0003] 在加密應用中,經常用到隨機數(shù)作為密鑰。因此,隨機數(shù)廣泛應用于密碼學中?,F(xiàn) 有隨機數(shù)有兩種,如下介紹。
[0004] 1.偽隨機數(shù):它是由算法計算得出的,是可以預測的,也就是說當隨機種子相同 時,對于同一個隨機函數(shù),得出的隨機數(shù)列是固定不變的。偽隨機數(shù)的生成方法有:取中法, 移位法和同余。
[0005] 2.真隨機數(shù):想要實現(xiàn)真隨機數(shù)靠程序是永遠無法實現(xiàn)的,很多情況下只能利用 一些物理現(xiàn)象,比如布朗運動,量子效應,放射性衰變等。如以下介紹。
[0006] 2. 1振蕩器采樣:利用熱噪聲放大后,影響一個由電壓控制的振蕩器,通過另一個 高頻振蕩器來收集數(shù)據。
[0007] 2. 2直接放大電路噪聲:利用電路中各種噪聲,如上述的熱噪聲作為隨機源,對其 放大,然后對一定時間內超過閾值的數(shù)據進行統(tǒng)計,這樣就產生的隨機數(shù)。
[0008] 2. 3電路亞穩(wěn)態(tài):亞穩(wěn)態(tài)表示觸發(fā)器無法在規(guī)定時間內達到一個可確認狀態(tài),一 定條件下,觸發(fā)器達到兩個穩(wěn)態(tài)的幾率為50%,所以先使電路進入亞穩(wěn)態(tài),之后根據狀態(tài)轉 化為隨機數(shù)。
[0009] 2. 4混沌電路:不可預測,對初始條件的敏感的依賴性。以及混沌電路在芯片中易 于實現(xiàn)的特點,可以產生效果不錯的隨機數(shù)。
[0010] 2. 5利用物理信息,如宇宙射線,粒子衰變,空氣噪聲等作為隨機源,來產生隨機 數(shù)。
[0011] 然而以上隨機數(shù)存在如下問題。
[0012] (1)偽隨機數(shù)不真正地隨機,它們實際上是可以計算出來的,一旦知道生成方法和 一些參數(shù)(例如隨機數(shù)種子),就可得到完全相同的偽隨機數(shù),從而進行密碼破譯。因此偽 隨機數(shù)不宜在密碼學中應用。
[0013] (2)真隨機數(shù):真隨機數(shù)發(fā)生器可能無法確定分布,無法保證平穩(wěn)和數(shù)據間的獨 立性,給破譯帶來可能。
【發(fā)明內容】
[0014] 有鑒于此,本發(fā)明提供一種真隨機數(shù)發(fā)生器及該真隨機數(shù)發(fā)生器的真隨機數(shù)生成 方法、應用該真隨機數(shù)發(fā)生器的真隨機數(shù)密鑰加密系統(tǒng)、該真隨機數(shù)密鑰加密系統(tǒng)的加密 方法,其使用超級長度的真隨機數(shù)作為數(shù)據文件的加密密鑰,秘鑰數(shù)據絕無任何規(guī)律可循。
[0015] 本發(fā)明是這樣實現(xiàn)的,一種真隨機數(shù)發(fā)生器,其包括:
[0016] 模擬信號獲取單元,使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0017] 模擬信號處理單元,對一個或多個該模擬信號進行處理,獲得處理后的模擬信 號;
[0018] 模數(shù)轉換單元,對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0019] 真隨機數(shù)信號生產單元,對該數(shù)字信號進行處理,生成真隨機數(shù)信號;
[0020] 其中,該真隨機數(shù)信號生產單元對該數(shù)字信號進行白化處理:計算該數(shù)字信號的 自相關函數(shù),根據該自相關函數(shù)計算出該數(shù)字信號的功率譜,根據該功率譜計算出白化濾 波器的頻譜作為該真隨機數(shù)信號。
[0021] 作為上述方案的進一步改進,該模擬信號獲取單元利用電阻器件生成該模擬信 號:測量該電阻器件上的自由電子的布朗運動引起的電流,作為該模擬信號;或利用晶體 管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動引起的電流,作為該模擬信號;或 記錄自然界中的聲音,作為模擬信號。
[0022] 作為上述方案的進一步改進,該模擬信號處理單元將該模擬信號的不同位置的信 號進行相加,相乘處理,獲得處理后的模擬信號;或將多個模擬信號的不同位置的信號進行 相加,相乘處理,獲得處理后的模擬信號。
[0023] 本發(fā)明還提供一種真隨機數(shù)生產方法,其包括以下步驟:
[0024] (1)使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0025] (2)對一個或多個該模擬信號進行處理,獲得處理后的模擬信號;
[0026] (3)對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0027] (4)對該數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征在于:
[0028] 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的 布朗運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的 電子不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號;
[0029] 在步驟(2)中,將該模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后 的模擬信號;或將多個模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后的模擬 信號;
[0030] 在步驟(4)中,對該數(shù)字信號進行白化處理:計算該數(shù)字信號的自相關函數(shù),根據 該自相關函數(shù)計算出該數(shù)字信號的功率譜,根據該功率譜計算出白化濾波器的頻譜作為該 真隨機數(shù)信號。
[0031] 本發(fā)明還提供另一種真隨機數(shù)發(fā)生器,其包括:
[0032] 模擬信號獲取單元,使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0033] 模數(shù)轉換單元,對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0034] 數(shù)字信號處理單元,對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號;
[0035] 真隨機數(shù)信號生產單元,對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號;其 中:
[0036] 該真隨機數(shù)信號生產單元對該處理后的數(shù)字信號進行白化處理:計算該處理后的 數(shù)字信號的自相關函數(shù),根據該自相關函數(shù)計算出該處理后的數(shù)字信號的功率譜,根據該 功率譜計算出白化濾波器的頻譜作為該真隨機數(shù)信號。
[0037] 作為上述方案的進一步改進,該模擬信號獲取單元利用電阻器件生成該模擬信 號:測量該電阻器件上的自由電子的布朗運動引起的電流,作為該模擬信號;或利用晶體 管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動引起的電流,作為該模擬信號;或 記錄自然界中的聲音,作為模擬信號。
[0038] 作為上述方案的進一步改進,該數(shù)字信號處理單元將該數(shù)字信號的不同位置的信 號進行相加,相乘處理,獲得該處理后的數(shù)字信號;或將多個該數(shù)字信號的不同位置的信號 進行相加,相乘處理,獲得該處理后的數(shù)字信號。
[0039] 本發(fā)明還提供另一種真隨機數(shù)生產方法,其包括以下步驟:
[0040] (1)使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0041] (2)對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0042] (3)對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號;
[0043] (4)對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征在于:
[0044] 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的 布朗運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的 電子不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號;
[0045] 在步驟(2)中,將該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理 后的數(shù)字信號;或將多個該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理后 的數(shù)字信號;
[0046] 在步驟(4)中,對該處理后的數(shù)字信號進行白化處理:計算該處理后的數(shù)字信號 的自相關函數(shù),根據該自相關函數(shù)計算出該處理后的數(shù)字信號的功率譜,根據該功率譜計 算出白化濾波器的頻譜作為該真隨機數(shù)信號。
[0047] 本發(fā)明還提供一種真隨機數(shù)密鑰加密系統(tǒng),其包括可分發(fā)存儲介質、真隨機數(shù)發(fā) 生器、防火墻和專用數(shù)據加解密機構,其中,該真隨機數(shù)發(fā)生器為上述任一真隨機數(shù)發(fā)生 器,該防火墻為光纖單向數(shù)據隔離防火墻;該真隨機數(shù)發(fā)生器產生真隨機數(shù)信號輸送至該 可分發(fā)存儲介質進行存儲作為密鑰,該專用數(shù)據加解密機構透過該光纖單向數(shù)據隔離防火 墻向該可分發(fā)存儲介質獲取該密鑰用于加密;該可分發(fā)存儲介質將該密鑰以模塊化方式儲 存:將采集到的二進制隨機數(shù)存儲,每一定容量為一個模塊,其索引為模塊序號。
[0048] 本發(fā)明還提供一種真隨機數(shù)密鑰加密方法,其應用于上述真隨機數(shù)密鑰加密系統(tǒng) 中,該真隨機數(shù)密鑰加密方法包括以下步驟:將該真隨機數(shù)信號進行存儲作為密鑰,存儲時 將該密鑰以模塊化方式儲存:將采集到的二進制隨機數(shù)存儲,每一定容量為一個模塊,其索 引為模塊序號。
[0049] 與現(xiàn)有技術相比,本發(fā)明的有益效果是使用超級長度的真隨機數(shù)作為數(shù)據文件的 加密密鑰,秘鑰數(shù)據絕無任何規(guī)律可循;使用超大容量存儲介質(例如藍光光盤)作為秘鑰 存儲介質和分發(fā)介質,秘鑰的長度足以保證在較長的使用時間內以逐字逐密的方式對大量 明文數(shù)據進行加密處理;密鑰以模塊化方式存儲,每個秘鑰片段僅使用一次--每次加密 和解密使用不重復的密鑰片段。只要能確保用戶端秘鑰數(shù)據的安全就可以完全確保密文數(shù) 據不可破譯特性。
【專利附圖】
【附圖說明】
[0050] 圖1為本發(fā)明第一實施方式提供的真隨機數(shù)發(fā)生器的模塊結構示意圖。
[0051] 圖2為本發(fā)明第二佳實施方式提供的真隨機數(shù)發(fā)生器的模塊結構示意圖。
【具體實施方式】
[0052] 為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白,以下結合附圖及實施實例, 對本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明, 并不用于限定本發(fā)明。
[0053] 本發(fā)明的真隨機數(shù)發(fā)生器能產生真正的真隨機數(shù),真隨機數(shù)密鑰加密系統(tǒng)利用真 隨機數(shù)發(fā)生器產生的真隨機數(shù)作為密鑰進行加密。
[0054] 實施方式1
[0055] 1、密鑰產生
[0056] 如圖1所示,真隨機數(shù)發(fā)生器包括模擬信號獲取單元1、模擬信號處理單元2、模數(shù) 轉換單元3、真隨機數(shù)信號生產單元4。
[0057] 模擬信號獲取單元1使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號。具體 地,如利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的布朗運動引起的電 流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動 引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號。
[0058] 模擬信號處理單元2對一個或多個該模擬信號進行處理,獲得處理后的模擬信 號。具體地,對一個模擬信號進行處理時:將這個模擬信號的不同位置的信號進行相加,相 乘處理,獲得處理后的模擬信號;對多個模擬信號進行處理時:將多個模擬信號的不同位 置的信號進行相加,相乘處理,獲得處理后的模擬信號。
[0059] 模數(shù)轉換單元3對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號。
[0060] 真隨機數(shù)信號生產單元4對該數(shù)字信號進行處理,生成真隨機數(shù)信號。具體地,計 算該數(shù)字信號的自相關函數(shù)根據自相關函數(shù)計算出該數(shù)字信號的功率譜H1 (S),將功率譜H1 (S)分解成在S的左半平面和后半平面,取功率譜在S的左半平面的那些 值,找出零、極點,根據公式€(?)=α\?ω\α"\'?〇\α"\和/Z1 計算出白化 濾波器的頻譜,其中,α為零點,β為極點。
[0061] 該真隨機數(shù)發(fā)生器的真隨機數(shù)生成步驟如下:
[0062] (1)使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0063] (2)對一個或多個該模擬信號進行處理,獲得處理后的模擬信號;
[0064] (3)對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0065] (4)對該數(shù)字信號進行處理,生成真隨機數(shù)信號。
[0066] 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的 布朗運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的 電子不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號;
[0067] 在步驟(2)中,將該模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后 的模擬信號;或將多個模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后的模擬 信號;
[0068] 在步驟⑷中,對該數(shù)字信號進行白化處理:計算該數(shù)字信號的自相關函數(shù)GJC·),根據自相關函數(shù)GJ(ω〉」計算出該數(shù)字信號的功率譜H1 (s),將功率譜H1 (s)分解 成在S的左半平面和后半平面,取功率譜在S的左半平面的那些值,找出零、極點,根據公式 0:((0)=^\?ω+〇"\''\?ω+α^和計算出白化濾波器的頻譜,其中,α為 L (,+A )..·(,+ /3/)」 G;(5) 零點,β為極點。
[0069] 2、加密
[0070] 該真隨機數(shù)密鑰加密系統(tǒng)除了真隨機數(shù)發(fā)生器還包括可分發(fā)存儲介質、防火墻和 專用數(shù)據加解密機構。該防火墻為光纖單向數(shù)據隔離防火墻。
[0071] 該真隨機數(shù)發(fā)生器產生真隨機數(shù)信號輸送至該可分發(fā)存儲介質進行存儲作為密 鑰,該專用數(shù)據加解密機構透過該光纖單向數(shù)據隔離防火墻向該可分發(fā)存儲介質獲取該密 鑰用于加密。
[0072] 該可分發(fā)存儲介質將該密鑰以模塊化方式儲存:將采集到的二進制隨機數(shù)存儲, 每一定容量為一個模塊,其索引為模塊序號。如利用數(shù)據庫將采集到的二進制隨機數(shù)存儲, 每IOMB為一個模塊,其索引為模塊序號。模塊序號由1為第一個模塊,其后依次遞增。該 可分發(fā)存儲介質根據存儲大小可以選擇硬盤或者藍光光碟作為存儲媒介。
[0073] 真隨機數(shù)發(fā)生器可利用電阻器件的自然熱噪聲,然后通過放大器放大之后使用高 速ADC采樣后,之后對采集數(shù)據進行功率譜均勻化處理,然后使用專用電路在大容量存儲 介質即該該可分發(fā)存儲介質中存儲。真隨機數(shù)發(fā)生器同時可以完成秘鑰副本(鏡像)的復 制工作??梢垣@得某個秘鑰版本的若干秘鑰副本,并用于秘鑰的分發(fā)。
[0074] 該真隨機數(shù)密鑰加密系統(tǒng)可采用成熟的基于PXIE構架的FPGA高速數(shù)據采集和處 理模塊作為基礎設計。密鑰分發(fā),如在約定日期(例如每年年初),由專業(yè)人員或者通過機 密函件方式傳遞密鑰硬盤,為通信雙方分發(fā)新密鑰。
[0075] 加密系統(tǒng)與公網的隔離--光纖單向隔離防火墻,用于加密硬件系統(tǒng)和外部非安 全網絡的數(shù)據安全隔離,用于防止外部網絡對的加密硬件系統(tǒng)的攻擊。故采用專門設計的 光纖單向隔離防火墻硬件系統(tǒng)作為隔離防火墻。
[0076] 針對真隨機數(shù)發(fā)生器可設計加密和解密硬件模塊,然后結合工控處理機,將加密 或解密文件路徑導入,并導入下一個未用模塊序號的數(shù)據庫密鑰,設置輸出文件路徑確認 即可完成。
[0077] 本發(fā)明首先真隨機數(shù)發(fā)生器產生數(shù)T字節(jié)的超長隨機數(shù)并復制和存儲于大容量 存儲介質中。然后定期(例如每一年)通過專用渠道分發(fā)該超長秘鑰。用戶使用時根據約 定一次性選用與明文長度相當?shù)拿罔€,然后在專用數(shù)據加密機對明文進行逐字逐密的加密 運算。加密后對數(shù)據進行交織和糾檢錯編碼然后送入單向隔離防火墻并融入公共數(shù)據通訊 網絡并發(fā)送給對方用戶。對方用戶收到密文后做反向處理,然后使用約定的一次性秘鑰進 行解密運算,還原密文為明文。
[0078] 實施方式2
[0079] 實施方式1與實施方式2的區(qū)別在于,實施方式1是先進行模擬信號處理后再轉 換為數(shù)字信號,而實施方式2是先轉換為數(shù)字信號后再進行模擬信號處理。
[0080] 1、密鑰產生
[0081] 如圖2所示,真隨機數(shù)發(fā)生器包括模擬信號獲取單元21、模數(shù)轉換單元22、數(shù)字信 號處理單元23、真隨機數(shù)信號生產單元24。
[0082] 模擬信號獲取單元21使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號。具體 地,如利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的布朗運動引起的電 流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動 引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號。
[0083] 模數(shù)轉換單元22對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號。
[0084] 數(shù)字信號處理單元23對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號。對一個數(shù) 字信號進行處理,獲得處理后的數(shù)字信號:將這個數(shù)字信號的不同位置的信號進行相加,相 乘處理,獲得處理后的數(shù)字信號;對多個數(shù)字信號進行處理,獲得處理后的數(shù)字信號:將多 個數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得處理后的數(shù)字信號。
[0085] 真隨機數(shù)信號生產單元24對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號。 具體地,對該數(shù)字信號進行白化處理:計算該處理后的數(shù)字信號的自相關函數(shù)根 據自相關函數(shù)Gi〔ω)計算出該處理后的數(shù)字信號的功率譜H1 (s),將功率譜H1 (s)分解成 在s的左半平面和后半平面,取功率譜在s的左半平面的那些值,找出零、極點,根據公式 €(?)=α\!ω+α〇\'?°\α〇\和計算出白化濾波器的頻譜,其中,α為 零點,β為極點。
[0086] 該真隨機數(shù)發(fā)生器的真隨機數(shù)生成步驟如下:
[0087] (1)使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號;
[0088] (2)對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號;
[0089] (3)對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號;
[0090] (4)對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號。
[0091] 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的 布朗運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的 電子不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號;
[0092] 在步驟(2)中,將該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理 后的數(shù)字信號;或將多個該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理后 的數(shù)字信號;
[0093]在步驟(4)中,對該處理后的數(shù)字信號進行白化處理:計算該處理后的數(shù)字信 號的自相關函數(shù):Gi(co),根據自相關函數(shù)〇?(ω)甘算出該處理后的數(shù)字信號的功率譜 H1 (s),將功率譜H1 (s)分解成在s的左半平面和后半平面,取功率譜在s的左半平面的那些 值,找出零、極點,根據公式G(?)=α!7::;1))::·).:=;))和/Α計算出白化 濾波器的頻譜,其中,α為零點,β為極點。
[0094] 2、加密
[0095] 該真隨機數(shù)密鑰加密系統(tǒng)除了真隨機數(shù)發(fā)生器還包括可分發(fā)存儲介質、防火墻和 專用數(shù)據加解密機構。該防火墻為光纖單向數(shù)據隔離防火墻。
[0096] 該真隨機數(shù)發(fā)生器產生真隨機數(shù)信號輸送至該可分發(fā)存儲介質進行存儲作為密 鑰,該專用數(shù)據加解密機構透過該光纖單向數(shù)據隔離防火墻向該可分發(fā)存儲介質獲取該密 鑰用于加密。
[0097] 該可分發(fā)存儲介質將該密鑰以模塊化方式儲存:將采集到的二進制隨機數(shù)存儲, 每一定容量為一個模塊,其索引為模塊序號。如利用數(shù)據庫將采集到的二進制隨機數(shù)存儲, 每IOMB為一個模塊,其索引為模塊序號。模塊序號由1為第一個模塊,其后依次遞增。該 可分發(fā)存儲介質根據存儲大小可以選擇硬盤或者藍光光碟作為存儲媒介。
[0098] 真隨機數(shù)發(fā)生器可利用電阻器件的自然熱噪聲,然后通過放大器放大之后使用高 速ADC采樣后,之后對采集數(shù)據進行功率譜均勻化處理,然后使用專用電路在大容量存儲 介質即該該可分發(fā)存儲介質中存儲。真隨機數(shù)發(fā)生器同時可以完成秘鑰副本(鏡像)的復 制工作。可以獲得某個秘鑰版本的若干秘鑰副本,并用于秘鑰的分發(fā)。
[0099] 該真隨機數(shù)密鑰加密系統(tǒng)可采用成熟的基于PXIE構架的FPGA高速數(shù)據采集和處 理模塊作為基礎設計。密鑰分發(fā),如在約定日期(例如每年年初),由專業(yè)人員或者通過機 密函件方式傳遞密鑰硬盤,為通信雙方分發(fā)新密鑰。
[0100] 加密系統(tǒng)與公網的隔離--光纖單向隔離防火墻,用于加密硬件系統(tǒng)和外部非安 全網絡的數(shù)據安全隔離,用于防止外部網絡對的加密硬件系統(tǒng)的攻擊。故采用專門設計的 光纖單向隔離防火墻硬件系統(tǒng)作為隔離防火墻。
[0101] 針對真隨機數(shù)發(fā)生器可設計加密和解密硬件模塊,然后結合工控處理機,將加密 或解密文件路徑導入,并導入下一個未用模塊序號的數(shù)據庫密鑰,設置輸出文件路徑確認 即可完成。
[0102] 本發(fā)明首先真隨機數(shù)發(fā)生器產生數(shù)T字節(jié)的超長隨機數(shù)并復制和存儲于大容量 存儲介質中。然后定期(例如每一年)通過專用渠道分發(fā)該超長秘鑰。用戶使用時根據約 定一次性選用與明文長度相當?shù)拿罔€,然后在專用數(shù)據加密機對明文進行逐字逐密的加密 運算。加密后對數(shù)據進行交織和糾檢錯編碼然后送入單向隔離防火墻并融入公共數(shù)據通訊 網絡并發(fā)送給對方用戶。對方用戶收到密文后做反向處理,然后使用約定的一次性秘鑰進 行解密運算,還原密文為明文。
[0103] 以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精 神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發(fā)明的保護范圍之內。
【權利要求】
1. 一種真隨機數(shù)發(fā)生器,其包括: 模擬信號獲取單元,使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號; 模擬信號處理單元,對一個或多個該模擬信號進行處理,獲得處理后的模擬信號; 模數(shù)轉換單元,對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號; 真隨機數(shù)信號生產單元,對該數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征在于: 該真隨機數(shù)信號生產單元對該數(shù)字信號進行白化處理:計算該數(shù)字信號的自相關函 數(shù),根據該自相關函數(shù)計算出該數(shù)字信號的功率譜,根據該功率譜計算出白化濾波器的頻 譜作為該真隨機數(shù)信號。
2. 如權利要求1所述的真隨機數(shù)發(fā)生器,其特征在于:該模擬信號獲取單元利用電阻 器件生成該模擬信號:測量該電阻器件上的自由電子的布朗運動引起的電流,作為該模擬 信號;或利用晶體管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動引起的電流,作 為該模擬信號;或記錄自然界中的聲音,作為模擬信號。
3. 如權利要求1所述的真隨機數(shù)發(fā)生器,其特征在于:該模擬信號處理單元將該模擬 信號的不同位置的信號進行相加,相乘處理,獲得處理后的模擬信號;或將多個模擬信號的 不同位置的信號進行相加,相乘處理,獲得處理后的模擬信號。
4. 一種真隨機數(shù)生產方法,其包括以下步驟: (1) 使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號; (2) 對一個或多個該模擬信號進行處理,獲得處理后的模擬信號; (3) 對該處理后的模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號; (4) 對該數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征在于: 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的布朗 運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的電子 不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號; 在步驟(2)中,將該模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后的模 擬信號;或將多個模擬信號的不同位置的信號進行相加,相乘處理,獲得處理后的模擬信 號; 在步驟(4)中,對該數(shù)字信號進行白化處理:計算該數(shù)字信號的自相關函數(shù),根據該自 相關函數(shù)計算出該數(shù)字信號的功率譜,根據該功率譜計算出白化濾波器的頻譜作為該真隨 機數(shù)信號。
5. -種真隨機數(shù)發(fā)生器,其包括: 模擬信號獲取單元,使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號; 模數(shù)轉換單元,對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號; 數(shù)字信號處理單元,對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號; 真隨機數(shù)信號生產單元,對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征 在于: 該真隨機數(shù)信號生產單元對該處理后的數(shù)字信號進行白化處理:計算該處理后的數(shù)字 信號的自相關函數(shù),根據該自相關函數(shù)計算出該處理后的數(shù)字信號的功率譜,根據該功率 譜計算出白化濾波器的頻譜作為該真隨機書信號。
6. 如權利要求5所述的真隨機數(shù)發(fā)生器,其特征在于:該模擬信號獲取單元利用電阻 器件生成該模擬信號:測量該電阻器件上的自由電子的布朗運動引起的電流,作為該模擬 信號;或利用晶體管生成該模擬信號:測量該晶體管的電子不規(guī)則熱運動引起的電流,作 為該模擬信號;或記錄自然界中的聲音,作為模擬信號。
7. 如權利要求5所述的真隨機數(shù)發(fā)生器,其特征在于:該數(shù)字信號處理單元將該數(shù)字 信號的不同位置的信號進行相加,相乘處理,獲得該處理后的數(shù)字信號;或將多個該數(shù)字信 號的不同位置的信號進行相加,相乘處理,獲得該處理后的數(shù)字信號。
8. -種真隨機數(shù)生產方法,其包括以下步驟: (1) 使用一個或多個自然界中的物理現(xiàn)象獲取模擬信號; (2) 對該模擬信號進行放大和模數(shù)轉換,得到數(shù)字信號; (3) 對該數(shù)字信號進行處理,獲得處理后的數(shù)字信號; (4) 對該處理后的數(shù)字信號進行處理,生成真隨機數(shù)信號;其特征在于: 在步驟(1)中,利用電阻器件生成該模擬信號:測量該電阻器件上的自由電子的布朗 運動引起的電流,作為該模擬信號;或利用晶體管生成該模擬信號:測量該晶體管的電子 不規(guī)則熱運動引起的電流,作為該模擬信號;或記錄自然界中的聲音,作為模擬信號; 在步驟(2)中,將該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理后的 數(shù)字信號;或將多個該數(shù)字信號的不同位置的信號進行相加,相乘處理,獲得該處理后的數(shù) 字信號; 在步驟(4)中,對該處理后的數(shù)字信號進行白化處理:計算該處理后的數(shù)字信號的自 相關函數(shù),根據該自相關函數(shù)計算出該處理后的數(shù)字信號的功率譜,根據該功率譜計算出 白化濾波器的頻譜作為該真隨機數(shù)信號。
9. 一種真隨機數(shù)密鑰加密系統(tǒng),其包括可分發(fā)存儲介質、真隨機數(shù)發(fā)生器、防火墻和專 用數(shù)據加解密機構,其特征在于:該真隨機數(shù)發(fā)生器為如權利要求1至3、權利要求5至7中 任意一項所述的真隨機數(shù)發(fā)生器,該防火墻為光纖單向數(shù)據隔離防火墻;該真隨機數(shù)發(fā)生 器產生真隨機數(shù)信號輸送至該可分發(fā)存儲介質進行存儲作為密鑰,該專用數(shù)據加解密機構 透過該光纖單向數(shù)據隔離防火墻向該可分發(fā)存儲介質獲取該密鑰用于加密;該可分發(fā)存儲 介質將該密鑰以模塊化方式儲存:將采集到的二進制隨機數(shù)存儲,每一定容量為一個模塊, 其索引為模塊序號。
10. -種真隨機數(shù)密鑰加密方法,其應用于如權利要求9所述的真隨機數(shù)密鑰加密系 統(tǒng)中,其特征在于:該真隨機數(shù)密鑰加密方法包括以下步驟: 將該真隨機數(shù)信號進行存儲作為密鑰,存儲時將該密鑰以模塊化方式儲存:將采集到 的二進制隨機數(shù)存儲,每一定容量為一個模塊,其索引為模塊序號。
【文檔編號】H04L9/06GK104317552SQ201410623403
【公開日】2015年1月28日 申請日期:2014年11月6日 優(yōu)先權日:2014年11月6日
【發(fā)明者】龔明, 王茁, 詹麗華, 魯禮云, 李超君 申請人:昆明通渡電氣有限公司