使用光学参数的密码密钥创建的制作方法

背景技术：

许多密码学方法采用密钥服务器或者以其他方式在多个设备之间交换加密密钥。其他设备在两个或更多个设备之间生成并且交换密钥或部分密钥。从服务器获得密码密钥或交换密钥存在拦截密钥的风险，因此可能会恶意解密利用所述密钥加密的数据。有效的密码密钥分发是安全通信系统的重要元素。尽管当前的方法能够在许多情况下确保有效的密钥分发，但是其仍然容易受到攻击。

技术实现要素：

本发明内容并不是所要求保护的主题的广泛概述。其既不旨在标识所要求保护的主题的关键元素，也并不旨在描绘所要求保护的主题的范围。其唯一目的是以简化形式呈现所要求保护的主题的一些概念，作为稍后呈现的更详细描述的序言。

根据一个方面，第一光学收发机在第一光电检测器处经由光学通道从第二光学收发机接收第一连续波光学束。所述第一光学收发机对来自所述第一光电检测器的表示在第一多个间隔中的每个间隔期间入射在光电检测器上的光子的信号进行采样和数字化。所述第一光学收发机根据经数字化的样本来创建密码密钥。

根据另一方面，所述第一光学收发机还包括：光源，其被配置为产生第二光束；以及光学耦合器，其被配置为选择性地将来自所述光源的第二光束引导至光学通道，并且将来自所述光学通道的第一光束引导至所述光电检测器。所述光学耦合器被配置为：在第一多个间隔期间将来自所述光学通道的第一光束引导至所述光电检测器；以及在与所述第一多个间隔不同的第二多个间隔期间将来自所述光源的第二光束引导至所述光学通道，导致由所述第二光学收发机创建匹配的密码秘钥。

下文的描述和附图详细阐述了所要求保护的主题的某些说明性方面。然而，这些方面指示可以采用所要求保护的主题的原理的各种方式中的数种方式，并且所要求保护的主题旨在包括所有这些方面及其等同物。当结合附图考虑时，根据以下详细描述，所要求保护的主题的其他优点和新颖特征将变得显而易见。

附图说明

图1a和图1b是示例性光学网络的框图。

图2是光学网络的框图，其示出了两个示例性光学收发机的细节。

图3a是示出了可以在图1a中所示的网络中使用的示例性密钥生成器的操作的流程图。

图3b和图3c是示出了图3a中的流程图的细节的流程图。

图4a和图4b是示出了用于从m个符号的集合中生成加密密钥的方法的流程图。

图5是示出了可以在图1b中所示的网络中使用的另一示例性密钥生成器的操作的流程图。

图6a和图6b是用于描述示例性实施例的功率与时间的曲线图。

具体实施方式

所公开的实施例描述了这样的方法：通过所述方法，由公共光学通道连接的两个光学收发机能够独立地创建匹配的密码密钥，同时交换很少的关于密钥的信息或者不交换该信息。这些实施例提供的技术优势在于：两个光学收发机可以创建匹配的密钥，并且使用所述密钥来加密和解密数据以用于在两个光学收发机之间的通道上的安全通信，而无需在任何通道上交换密钥或密钥相关的信息。示例性实施例提供的另一优点在于：通信光学收发机可以紧接在发起经加密的通信之前确定所述密钥。

在两个光学收发机之间的所述光学通道是互易的(reciprocal)；从第一光学收发机发送到第二光学收发机以及从第二光学收发机发送到第一光学收发机的光学束经历基本相同的通道特性。根据泊松分布，通过光学通道的一端从连续波光源发送的光子在所述光学通道的另一端处被接收和感测。泊松分布可以通过具有平均值λ的高斯分布来近似，平均值λ对应于在预定间隔期间感测到的光子的平均数量。在该近似中，高斯分布的方差也是λ。λ的值取决于光源、光学通道和检测器的特性。因此，当在光学通道的两侧使用相似的设备时，每个光学收发机在预定间隔期间以相似的方差来感测光子的相似平均数量。这两个光学收发机可以捕获光子数量的变化并且将其转换为密码密钥。由于光学通道的互易性，两个光学收发机在对应的间隔期间接收相似数量的光子。每个光学收发机随后可以使用其密码密钥来加密数据以发送到另一光学收发机，并且解密从另一光学收发机接收到的数据。尽管下文所描述的实施例在光学通道中利用一根或多根光纤，但是可以设想到在光学通道中可以使用任何类型的光学波导(例如，由玻璃、晶体或半导体形成的)。替代地或另外地，设想到了每个光学收发机可以将经准直的光束通过中间介质(例如，空气、水、真空或其他介质)引导到另一光学收发机上。在这种情况下，所述光学通道可以包括在两个光学收发机之间的介质。

因为在每个预定间隔期间感测到的光子数量取决于两个光学收发机的特性以及连接光学收发机的光学通道，所以只有两个光学收发机可能遭受这些特性的影响。试图拦截通信的第三光学收发机(例如，经由与光学通道短暂耦合的光学耦合器)将不能够创建密钥或解码通信，这是因为由第三方感测到的光子将由不同的泊松分布来控制。第三光学收发机不能够拦截密钥或密钥信息，因为密码密钥或关于密码密钥的信息未在任何通道上交换。实施例还提供的优点在于：可以适当地更新在两个光学收发机的每个光学收发机中创建的密钥，以提供额外的安全性。因为基于各个光源、光学通道和光电检测器的当前特性创建了秘钥，因此在不同时间创建的密码密钥可能受到不同特性(例如，热效应)的影响，从而每个新密钥都可能与先前创建的密钥不同。

所创建的密码密钥可以例如在对称加密算法(诸如但不限于数据加密标准(des)、三重des、blowfish、高级加密标准(aes)、rivestcipher4(rc4)、rc5或rc6)中使用以加密和/或解密数据。

作为初步事项，附图中的一些附图在一个或多个结构组件的上下文中描述了概念，所述结构组件被不同地称为功能、模块、特征、元件等。附图中所示的各种组件能够以任何方式来实现，诸如软件、硬件、固件或者其组合。在一些情况下，在附图中所示的各种组件可以反映在实际实现方式中对应组件的使用。在其他情况下，在附图中图示的任何单个组件可以由多个实际组件来实现。附图中的任何两个或更多个单独的组件的描绘可以反映由单个实际组件执行的不同功能。

其他图以流程图形式描述了这些概念。以这种形式，某些操作被描述为以构成以特定次序执行的不同框。这样的实现方式是示例性的并且是非限制性的。能够将在本文中所描述的某些框分组在一起并且以单个操作来执行，能够将某些框分解为多个组成框，并且能够以与在本文中所图示的次序不同的次序来执行某些框，包括执行框的并行方式。在流程图中所示的框能够通过软件、硬件、固件、手动处理等来实现。如在本文中所使用的，硬件可以包括微处理器、数字信号处理器(dsp)、微控制器、计算机系统、离散逻辑组件和/或定制逻辑组件，诸如现场可编程门阵列(fpga)、专用集成电路(asic)、可编程逻辑阵列(pla)等。

关于术语，短语“被配置为”涵盖了能够构造任何种类的功能以执行识别出的操作的任何方式。所述功能能够被配置为使用例如软件、硬件、固件等来执行操作。例如，短语“被配置为”能够指代被布置为实现相关联的功能的硬件元件的逻辑电路结构。短语“被配置为”还能够指代被布置为实现固件或软件的相关联功能的编码设计的硬件元件的逻辑电路结构。术语“模块”指代能够使用任何合适的硬件(例如，处理器等)、软件(例如，应用等)、固件和/或硬件、软件和固件的任何组合来实现的结构元件。术语“逻辑”涵盖用于执行任务的任何功能。例如，流程图中所图示的每个操作对应于用于执行该操作的逻辑。能够使用软件、硬件、固件等来执行操作。术语“组件”、“系统”等可以指代计算机相关的实体、硬件，以及执行中的软件、固件或者其组合。组件可以是在处理器上运行的过程，对象、可执行文件、程序、函数、子例程、计算机或者软件和硬件的组合。术语“处理器”可以指代硬件组件，诸如计算机系统的处理单元，其可以包括单核或多核微处理器、微控制器和/或数字信号处理器(dsp)。

此外，可以使用标准编程和工程技术将所要求保护的主体实现为方法、装置或制品，以产生软件、固件、硬件或者其任意组合来控制计算设备实现所公开的主题。如在本文中所使用的，术语“制品”旨在涵盖能从任何非暂时性计算机可读存储设备或介质访问的计算机程序。计算机可读存储介质能够包括但不限于：磁存储设备，例如硬盘、软盘、磁条、光盘、紧致盘(cd)、数字通用盘(dvd)、智能卡、闪存设备等。相反，计算机可读介质(即，非存储介质)可以另外地包括通信介质，诸如用于无线信号等的传输介质。

图1a是简单的光学通信网络100的框图，其中两个光学收发机102和104经由包括光纤的连接光学通道106进行通信。选择形成示例性光学通道106的光纤，使得设备可以实现半双工和/或全双工通信。图1b是示出了另一光学通信网络150的框图。在该光学网络中，两个光学收发机152和154通过光学通道进行通信，所述光学通道包括多个光纤(例如156和160)以及耦合光纤的多个中继器(例如158和162)。中继器158和162可以例如对光纤进行滤波和放大以增加信号强度，同时去除带外噪声。

图2是示出了通过光学通道230耦合的两个光学收发机210和250的细节的框图。例如，光学收发机210包括光学耦合器204、光电检测器206、采样器/模数转换器(adc)208、处理器212、存储器214、输入/输出(i/o)接口216、调制器218、光源230、镜子224以及可选的伪随机数(pn)生成器226。光源220生成经准直的光束222。类似地，示例性光学收发机250包括光学耦合器254、光电检测器256、采样器/adc258、处理器262、存储器264、i/o接口266、调制器268、光源270、镜子274以及可选的伪随机数(pn)生成器276。光源270生成经准直的光束272。光学收发机250的元件以与光学收发机210的对应元件相同的方式来操作。存储器214和264可以为各个处理器212和216保存程序指令，并且还可以保存在密钥创建中所使用的数据，如下文所描述的。以下材料描述了收发机210的元件的操作。该描述也适用于光学收发机250的对应元件。

在图2的示例中示出的光源220和270中的每个光源可以包括被耦合到准直透镜(未示出)的半导体激光学器或发光学二极管(led)。所述光源可以在红外(ir)、可见或紫外(uv)光谱波段中的一个或多个中操作。光电检测器206和256可以包括例如光电二极管、光电晶体管或光电电阻器，并且还可以包括显微镜物镜(未示出)，所述显微镜物镜被配置为将来自光学耦合器204或254的光聚焦在光电检测器206或256上。为了在光学收发机210和250之间提供互易性，希望两个光学收发机的光源220和270、光电检测器206和256以及光学耦合器204和254匹配。如下文所描述的，光源220和270以及光电检测器206和256可以是任何这样的光学收发机，只要其具有相似的特性。确实，使用质量相对较低的设备可能是有利的，因为这些设备在其稳态操作中往往比高质量的设备表现出更大的可变性。这种更大的可变性可能导致连续密码秘钥具有更大差异，因此可以增强使用多个连续密码密钥加密的数据的安全性。

尽管将示例描述为使用具有电调制的固态光源，但是设想到了，可以使用其他类型的光源，诸如气体激光学器、化学激光学器或染料激光学器，和/或可以使用分别被配置在光源220或270与光学耦合器204或254之间的光学调制器(诸如电光学调制器(eom)(未示出))来调制由光源提供的光束。

在光学收发机210中，示例性光学耦合器204由处理器212来控制，以将来自光学通道230的光束引导至光电检测器206或镜子224，和/或将来自光源220的光束222引导至光学通道230。在一些实施例中，所述光学耦合器可以被实现为在三个位置之间枢转的数字微镜(dmm)设备。在图2所示的取向上，这些位置是：相对于光学通道230的轴为135度角，以将来自通道230的光引导至光电检测器206；315度角度，以将光束222引导至光学通道；以及90度角，以将由光学通道230提供的光束反射回到光学通道230。在这些实施例中，dmm设备可以在光学耦合器204的内部，并且可以用作镜子224。

替代地，所述光学耦合器可以包括分束器或者位于光学通道230与光电检测器206、镜子224和光源220之间的一个或多个光导。所述光学耦合器还可包括相应的光阀(例如，lcd或机械快门)，其可以被控制以选择性地通过或阻挡在光学通道230与光电检测器206、镜子334和光源220中的每个之间的各个光学路径。该第二配置可以被用于在光学收发机210和250之间实现全双工通道。

示例性光电检测器206产生与来自光学通道230的光束的光学功率成比例的电信号。在光电检测器206上的光束的光学功率继而与在采样间隔期间入射在光电检测器206上的光子数量有关。在采样间隔期间入射在光电检测器206上的光子数量由泊松分布来控制，泊松分布可以由高斯分布来建模，高斯分布具有每个采样间隔的光子的平均数量以及对应于平均值的方差。下文所描述的实施例假定由光学收发机210和250接收的光束根据相似的泊松分布进行操作。

实施例的示例性实现方式还提供的优点在于：这些实现方式可以被用在具有使用相对低质量的光源和光电检测器的光学收发机的网络或系统中。然而，在这些网络中，与由另一光学收发机接收的经采样和量化的光学信号相比，由一个光学收发机接收的经采样和量化的光学信号可能具有一个或多个符号差。因此，根据经采样和量化的信号直接创建的密码密钥在两个光学收发机中可能并不相同。例如，由于热噪声，经采样和量化的信号可能展现出低水平变化。在一些实施例中，经量化的样本可以进一步被处理以生成仅包括经量化的样本的选定位的符号。此外，零值符号可以被忽略。所生成的符号对应于在所选间隔期间入射在光电检测器上的连续波光学信号的光子。如上文所描述的，由光电检测器检测到的光子数量遵循泊松分布，并且至少部分地由光学通道的特性来确定。

示例性系统还可以通过将经量化的样本应用于ecc解码器(诸如reed-solomon解码器)，来将具有相对少量差异的不相同的密钥转换为相同的密钥。在这些实施例中，解码器可以实现多对一映射，通过该映射，多个符号序列映射到公共密码密钥中。因此，根据由不同的光学收发机接收到的两个经采样的信号生成并且具有相对少量的不同经量化的值的符号序列可以映射到公共密码密钥中。能够映射为相同值的符号差的数量取决于特定ecc的hamming距离。如上文所描述的，具有足够大的hamming距离的ecc解码器可以被用于将经采样的序列映射到可以与加密算法一起使用的公共密钥。如下文所描述的，这些实施例所使用的ecc取决于待创建的密码密钥的类型和长度。

对于使用在图2中所示的实施例的密钥创建，光学收发机210和250被同时地放置在密钥创建模式中。例如，这可以使用在两个设备之间的非加密通信来实现。在示例性密钥创建模式中，每个光学收发机210和250可以被分配预定的时间量以从另一收发机接收连续波光学信号，以便创建密码密钥。在一个示例性实施例中，光学收发机201的光学耦合器204首先由处理器212来控制，以将来自光学通道230的光束引导至光电检测器206，同时光学收发机250传输未经调制的连续波光学信号通过光学通道230。在该间隔中，光电检测器206累积入射光子以生成电荷，然后由采样器/adc208对所述电荷进行采样。在示例性实施例中，采样器/adc208在介于1ns与50ns之间的累积间隔之后对在光电检测器206上累积的电荷进行采样。在一些实施例中，采样器/adc208的adc可以每秒10⁶和10⁷个样本之间的速率生成10位至20位采样值。因此，采样器/adc208的采样器可以以比采样器/adc208的adc更高的速率来操作。特别地，所述采样器可以在1ns与50ns之间的时段期间获得由光电检测器206积分的采样，重置光电检测器206，并且将样本保持100ns到1ns的时段，以用于由adc进行数字化。在将样本数字化之后，采样器允许光电检测器在另一采样间隔内累积电荷，并且在该间隔结束时捕获下一值并且将其数字化。如下文所描述的，来自采样器/adc208的输出量化的样本被施加到处理器212，处理器212创建或生成密码密钥。所生成的密码密钥可以被存储在存储器214中。光学收发机250使用相同的过程来创建密码密钥，由于通道对称性，其期望与由光学收发机210创建的密码密钥相同。

光学收发机250在由光学收发机210创建密码密钥之前、期间或之后创建其密码密钥。由光学收发机250对密码密钥的创建类似于由光学收发机250的创建，并且在下文进行了简要描述。在光学收发机210与光学收发机250之间达成一致的时间，光学收发机210将来自光源220的未经调制的连续波光束222通过光学耦合器引导至光学通道230。光学收发机250的光学耦合器254由处理器262配置为将来自光学通道230的光束引导至光电检测器256。在光电检测器256上的电荷被采样器/adc258采样并数字化，以生成被提供给处理器262的经量化样本的序列。处理器262将值的序列转换为被存储在存储器264中的密码密钥。

在图2中所示的伪随机数生成器226和276如下文所描述的可以被用于调整在密码密钥创建期间由各个光学收发机210和250所提供的连续波束的功率水平。

在光学收发机210和250这两者都已经创建了密码密钥之后，光学收发机210可以加密已知数据流并且将其发送给光学收发机250。如果光学收发机250能够使用其密码秘钥对已知数据流进行解密，则光学收发机250可以将加密或未加密的确认信号发送给光学收发机210，以指示这两个密钥匹配。替代地，每个光学收发机可以加密已知数据并且将其发送给另一光学收发机，并且在成功解码之后，进行存储并且开始使用所创建的密码密钥，而无需发送确认信号。如果光学收发机250不能够解密数据流，则两个密钥不匹配，并且光学收发机210和250两者都重新开始生成其各自的密码密钥的过程。

在光学收发机210中，处理器212可以使用密码密钥来加密经由i/o接口216提供的数据。然后，可以将经加密的数据施加到调制器218，调制器218对光源220进行调制以生成光学束222。为了将光学束222上的经加密的数据发射到光学收发机250，处理器212控制光学耦合器204以将光学束222引导至光学通道230。在光学收发机250中，处理器262以密码秘钥来加密经由i/o接口266提供的数据，并且将经加密的数据提供给调制器268。调制器268控制光源270将经调制的光束272提供给光学耦合器254，光学耦合器254由处理器262控制以将经调制的光束引导至光学通道230以用于传输到光学收发机210。

光学收发机210和250这两者都在交换经加密的数据之前创建加密密钥。可以顺序地创建密钥，使得一个光学收发机210或250在另一光学收发机250或210之前创建密码密钥。替代地，这两个光学收发机可以同时地创建密钥，使得光学收发机210生成并且发送连续波光学信号到光学收发机250，同时光学收发机250生成并且发送连续波光学信号到光学收发机210。这些信号可以被同时地发送(全双工)，或者可以被交织，使得光学收发机210接收n个量化的样本，随后光学收发机250接收n个量化的样本，直到这两个光学收发机都已经生成了用于创建密码密钥的m个符号。

如上文所描述的，因为两个光学收发机210和250独立地创建其密码密钥，所以密钥可以匹配或者可以不匹配。图3a是根据示例性实施例的由光学收发机210和250实施以实现匹配的密钥的示例性密码密钥创建过程300的流程图。在光学收发机210的上下文中描述了图3a。然而，相同的操作适用于光学收发机250。

在框310处，光学收发机210创建密码密钥。下文参考图3b、3c、4a、4b和5描述用于生成密码密钥的示例性过程。在框312处，在生成密钥之后，光学收发机210的处理器212以创建的密码秘钥来加密已知数据集，并且将经加密的数据集传输给光学收发机250。处理器212使用调制器218以经加密的数据集来调制光源220，同时控制光学耦合器204将光束222引导至光学通道230。包含经加密的数据的经调制的光束经由光学通道230被传输给光学收发机250。接下来，在框314处，处理器212将光学耦合器204配置为将来自光学通道230的光束引导至光电检测器206。然后，光学收发机210接收、量化和采样接收到的光学信号。如果光学收发机250成功地解密了数据集，则接收到的信号可以是确认。替代地，接收到的信号可以是由光学收发机250加密并且传输的已知数据集。在这种情况下，光学收发机210的处理器212应用密码密钥来对经采样的数据信号进行解码，并且将结果与已知数据进行比较以确定解密是否成功。

当接收光学收发机接收到确认信号或者能够解密已知数据时，密码密钥匹配。在框316处，如果密码密钥不匹配，则控制转移到框310以重新开始生成密码密钥的过程。当在框316处确定密码密钥匹配时，框322将密码密钥存储在存储器214中，以用于对经由i/o接口216接收到的数据进行加密并且用于对经由光学通道230从光学收发机250接收到的数据进行解密。

图3b、3c、4a、4b和图5是描述了用于生成密码密钥的框310的过程的示例的流程图。由两个光学收发机210和250对加密密钥的创建可以在生成加密密钥之前根据收发机210和250两者都已知的协议进行同步或者在收发机210和250之间进行通信。替代地，可以基于例如从收发机210和250中的每个收发机中的gps接收机(未示出)接收到的公共信号来使光学收发机210和250同步。该协议还可以包括用于在两个光学收发机中同步时钟信号的数据，以使得所述收发机中的每个收发机能够在另一收发机分别接收和发射连续波光学信号的间隔期间发射和接收连续波光学信号。图3a描述了生成可以包括两个可选元素的密码密钥的基本过程。在框324处，第一可选元件涉及改变在密码秘钥的创建期间发送和接收的连续波的功率水平。在框328处，第二可选元件涉及仅选择幅度大于阈值的符号以便减少低水平噪声的影响。

关于使用不同的功率水平，尽管在密钥生成期间入射在光电检测器206上的光束是未经调制的连续波信号，但是取决于在光学收发机210和250之间实现的协议，光学信号可以在不同时间具有不同的功率水平。这对于密码密钥的创建是有利的，因为光学信号在不同的功率水平处可以具有不同的均值和方差，因此产生不同的经采样和量化的符号。在一个实施例中，响应于伪随机数(pn)生成器226来确定在特定时间所使用的功率水平。在该实施例中，光学收发机210和光学收发机250这两者都具有对应的pn生成器，其可以例如使用各自的线性反馈移位寄存器来实现。可以在密码密钥创建模式的开始时使用公共种子值来操作对应的pn生成器226和276。因此，这两个pn生成器226和276都产生相同的伪随机数序列。当每个光学收发机210或250确定要使用新的功率水平时(例如，在已经发射和/或接收到预定数量的样本之后)，光学收发机可以从生成器226或276获得下一伪随机数。光学收发机250使用伪随机数来确定基于当前伪随机数(例如，基于伪随机数的两个或三个最高有效位(msb))提供给光学收发机210的连续波束的功率水平。光学收发机210继而基于由pn生成器226产生的伪随机数的相同msb获知经由光学通道230接收到的光束的功率水平。

可以通过对由采样器/adc208提供的经量化的样本进行滤波以消除具有小于阈值的值的样本来实现在框328处对幅度大于阈值的经量化的样本的选择。框328可以与框324交互，使得所使用的阈值可以随着接收到的波束的功率水平改变而改变。替代地，阈值可以保持相同，而不管接收到的光束的功率水平如何。

在框324处，过程320可选地确定从光学收发机250接收到的信号的新功率水平。在框326中，对接收到的信号进行采样和量化以生成n个量化的样本。如上文所描述的，在采样器/adc208中所使用的adc可以生成16位数字化的样本值。采样器/adc208的adc(未单独地示出)可以产生线性量化的样本或非线性量化的样本，其中，更多量化水平被分配给较高值的样本。

当过程320包括可选框328时，可以对n个量化的样本进行处理以仅选择具有大于阈值的值的量化的样本，或者仅选择量化的样本值的较高有效位以提供输出符号值。所述阈值可以是固定值，或者，当该过程包括可选框324时，所述阈值可以随着功率水平的改变而改变。阈值化可以例如通过仅选择数字化的样本值的某些位来实现。在一个示例中，每个数字化的样本值具有i位，并且阈值化选择每个数字化的值的k个最高有效位(msb)来形成k个位符号。在由数字化的样本值占据的值的范围使得j个msb被期望为零的情况下，阈值化可以包括在选择k个msb之前删除每个数字化样本值的j个msb。例如，当在低功率水平时，其中光电检测器206产生0到2v范围内的电信号，而采样器/adc208产生16位数字化的值(i＝16)，其范围从0到16v，框328可以删除三个msb(j＝3)和三个最低有效位(lsb)以提供10个位符号值(k＝10)。

在较高功率水平下，例如，当光电检测器206产生范围从0至16v的电信号时，框328可以删除每个样本的六个lsb以仍然产生10位符号。在框330处，过程320确定是否已经获得了m个符号。如果其还没有，则过程320将控制转移到框324或326以获得n个更多的量化的样本。当在框330处获得了m个符号时，框332从m个符号中创建密码密钥。

数字n和m取决于密码密钥的期望大小，而密码密钥的大小继而取决于待加密的数据的量。例如，为了创建1024位的密码密钥，过程320可能需要从经量化的样本生成103个10位符号。在图3b中所示的示例中，n可以具有10或更大的值，而m可以具有110的值，从而通过过程320的循环的至少11次迭代产生期望数量的符号。在另一实施例中，样本大小可以是10位，n可以是1，并且m可以是13，例如以创建128位的des加密密钥。

图3c是示出了由光学收发机210执行的示例性过程350的流程图，其中光学收发机210和250这两者同时地创建密码密钥。使用该过程，光学收发机210和250在各个第一和第二光学帧时间期间交替地发送和接收连续波信号。在框352处，光学收发机210例如基于来自pn生成器226的下一伪随机数的两个或三个msb来确定新的功率水平。在框354处，光学收发机210的处理器212控制光学耦合器204以将来自光学通道的光束引导至光电检测器206。然后，在来自光学通道230的光束被引导至光电检测器206的时间期间，采样器/adc208生成n个量化的样本。在框358中，处理器212基于量化的样本与阈值的关系，可选地选择量化的样本。

在框358之后，在图2中所示的系统切换到由光学收发机250对密码密钥的创建。在框360处，处理器212控制光学耦合器204以引导来自光源220的光束222以将光束222引导至光学通道230。在框362处，处理器212还可以控制光源220以在框352中确定出的功率水平提供光束222。在框360以及可选地在框362之后，在框364中，处理器212激活光源222以在足以使光学收发机250生成n个量化的样本的时间将连续波光学信号传输给光学通道230。在该时间期间，光学收发机250执行上文参考框352至358所描述的操作，以生成n个量化的样本值。该过程继续，光学收发机210和250中的每个光学收发机交替地生成n个量化的样本值并且将样本值转换为符号，直到光学收发机210和250中的每个光学收发机已经获得了m个符号。在框366处已经获得m个符号之前，过程350分支到框352或框354，以允许光学收发机210和250各自获得接下来的n个量化的样本。当在框366处已经获得了m个符号时，过程350执行框368以根据m个符号中生成加密密钥。

图4a是示出了根据如上文参考图3a和图3b所述生成的m个符号直接地创建加密密钥的示例性过程400的流程图。在框410处，过程400将m个符号格式化为密码密钥。这可能需要将由m个符号表示的二进制值进行级联，并且删除二进制位以实现所需的密钥长度。例如，当期望的加密密钥是128位des密钥时，框410可以将13个10位符号进行级联，并且删除级联结果的最后两位以产生128位密钥。为了确保由光学收发机210和250这两者创建相同的密钥，期望使用通用方法来处理m个符号以产生加密密钥。在框412处，过程400将加密密钥存储到存储器214或264中。

图4b是示出了使用ecc解码器来创建密码密钥的替代过程420的流程图。在框422处，处理器212或262将如上文参考图3a和图3b所述生成的m个符号进行级联，并且将结果值应用于ecc解码器。在示例性实施例中，ecc解码器可以是由光学收发机210和250以软件实现的reed-solomon解码器。如上文所描述的，ecc解码器可以实现多对一映射，其中响应于若干级联样本值中的每个而提供了加密密钥集合中的一个。所述映射可以将级联的符号值投射到密码密钥上，其中级联的符号值在例如1、2、3或更多个位位置上与密码密钥不同。在框424处获得密码密钥之后，过程420将密码密钥存储到存储器214或264中。

上文所描述的实施例以诸如在图1a中所示的网络配置来操作，其中第一光学收发机102经由使用单个光学通道的光学通道106被耦合到第二光学收发机104。如在图1b中所示的，当在第一光学收发机152与第二光学收发机154之间的光学通道中存在一个或多个中继器158、162时，在第一光学收发机152与第二光学收发机154之间实现互易通道可能会更加困难。图5是描述了可以在诸如图1b中所示的网络中使用的密码密钥创建过程500的流程图。过程500使用在第一光学收发机152与第二光学收发机154之间的通道164作为全双工通道，其在这两个方向上同时地传输光信号。在该过程中，从第一光学收发机152发送的光信号被第二光学收发机154反射，然后在第一光学收发机152处被采样和数字化，以便创建由第一光学收发机152使用的密码密钥。类似地，从第二光学收发机154发送的光信号被第一光学收发机152反射，然后在第二光学收发机154处被采样和数字化，以创建由第二光学收发机154使用的对应的密码密钥。尽管在图5中未示出，但是设想到了过程500可以使用具有不同功率水平的光束，并且可以通过第一收发机154对光学信号的发射和采样与在第二收发机156处对光学信号的发射和采样进行交织。

根据为描述图5在图2中示出的光学收发机210和250来描述图5，假定在收发机210和250之间的光学通道230包括一个或多个中继器(在图2中未示出)。关于收发机210，在发起过程500之前，将光学收发机250的光学耦合器254配置为将来自光学通道230的光引导至镜子元件274。然后，在框510处，过程500激活光源220，并且在框512处，控制光学耦合器204将来自光学通道230的光引导至光电检测器206，并且同时地将光束222从光源220引导至光学通道230。这导致光束222穿过光学通道230被收发机250的镜子元件274反射，然后被接收并且被引导至光学收发机210的光电检测器206。

在框514处，如上文所描述的，由采样器/adc208对入射在光电检测器206上的光学信号进行采样和量化，并且将得到的量化的样本提供给处理器212。所述处理器可以在框516处对样本进行过滤，以例如通过如上文所描述的删除样本的较低有效位和样本的可能较高有效位来去除幅度小于阈值的量化的样本，以生成与量化的样本相对应的符号。同样如上文所描述的，过程500可以删除零值符号。在框518处，过程500然后可以如上文参考图3a至图4b所描述的从累积的样本中创建并且存储密码密钥。在框520处，在生成和存储密码密钥之后，光学收发机210可以控制光学耦合器204，以将光学通道230引导至镜子元件224。光学收发机210然后可以将该配置维持足够的时间量，以用于使光学收发机250创建其密码密钥。

在框522处，光学收发机210然后控制光学耦合器204以将光束222引导至光学通道230，并且在框254处，使用创建的加密密码对已知数据集进行加密并且发射到光学收发机250。所述已知数据集可以是在光学收发机210和250之间的协议的一部分。如下文所描述的，其用于确定两个光学收发机210和250的密码密钥是否匹配。如上文所描述的，光学收发机210然后可以等待接收确认，或者可以从光学收发机250接收经加密的已知数据集。当光学收发机210没有接收到确认或者不能够解密所述已知数据集时，可以重新启动过程500以创建另一加密密钥。

图6a和图6b是信号功率与时间的曲线图，其示出了在示例性光学收发机210和250中执行的采样操作。图6a和图6b示出了在图2的收发机210处接收到的各个光学信号的示例性采样。sa1、sa2、sa3、sa4、sa5、sa6、sa7、...、san-1和san是由采样器/adc208以沿着水平时间轴示出的时间间隔生成的量化的样本。在相应样本sa1、sa2、sa3、sa5、sa6、...、和san下方的标记sy1、sy2、sy3、sy4、sy5、sy6、...、和syn-2指示根据n个量化的样本所生成的相应的n-2个符号。如上文所描述的，在一个示例中，量化的样本可以是16位值，而符号可以是从量化的样本中相应的量化的样本中导出的10位值。

每个量化的样本是位串，其指示由量化样本的高度指示的采样的光学功率水平的值，如垂直功率轴所示的。如上文所描述的，功率水平与在积分间隔(例如，1ns至50ns)期间入射在光电检测器206上的光子的数量有关。量化的样本的相对高度在图6a和图6b中被放大，以图示实施例的操作。替代地，量化的样本的相对高度可以表示实现非线性传递函数的采样器/adc208的adc，所述非线性传递函数将更多量化水平分配给较高功率水平而不是较低功率水平，从而增强了较高功率样本之间的差异，同时减小了较低功率样本之间的差异。

在图6a所示的场景中，光学收发机210的采样器/adc208以单个功率水平接收由光学收发机250发射的光学信号。水平线t表示阈值。如上文所描述的，当生成被用于创建密码密钥的输出符号时，所述收发机可以忽略具有小于阈值t的值的量化的样本。如在图6a中所示的，样本sa4和san-1具有小于阈值t的值，并且被忽略，使得光学收发机210的处理器212生成符号sy1、sy2、sy3、sy4、sy5、sy6和syn-2，对应于各个样本sa1、sa2、sa3、sa5、sa6、sa7和san。

在图6b中所示的场景图示了示例，其中由光学收发机250提供的连续波光学信号的功率水平在功率水平1与功率水平2之间变化。经量化的样本sa1、sa2、sa3和sa4表示以功率水平1接收的样本，而样本sa5、sa7、...、san-1和san表示以功率水平2接收的样本，其中功率水平2低于功率水平1。由图6b图示的实施例示出了两个阈值t1和t2。在该实施例中，t1被用于经量化的样本sa1、sa2、sa3和sa4，而t2被用于经量化的样本sa5、sa6、sa7、...、san-1和san。如在图6b中所示的，经量化的样本sa4小于t1，并且经量化的样本sa6和san-1小于t2。因此，这些样本被忽略，并且不生成对应的符号。因此，在图6b中所示的场景中，光学收发机210的处理器212根据n个量化的样本sa1、sa2、sa3、sa4、sa5、sa6、sa7、...、san-1和san生成n-3个符号sy1、sy2、sy3、sy4、sy5、...、和syn-3。如上文所描述的，当根据量化的样本生成符号时，处理器212可以从量化的样本中减去阈值(例如，删除与阈值相对应的lsb)。此外，处理器212可以基于当前功率水平来删除期望为零值的量化的符号的msb。

在本文中所公开的示例性实施例可以在被存储在存储器上的处理器可执行代码或指令的一般上下文中进行描述，所述存储器可以包括一个或多个计算机可读存储介质(例如，有形的非暂时性计算机可读存储介质，诸如存储器214或264)。应当容易理解，术语“计算机可读存储介质”或“非暂时性计算机可读介质”包括用于存储数据、代码和程序指令的介质，诸如存储器214、264，并且不包括用于存储暂时性传播或调制的数据通信信号的介质的部分。

示例

示例1是一种用于第一光学收发机的密码密钥生成器，包括：光电检测器，其被配置为从光学通道接收第一光束；包括程序指令的存储器；被耦合到所述存储器和所述光电检测器的处理器，所述处理器由所述程序指令配置为：接收响应于所述第一光束的、来自所述光电检测器的信号；对在第一多个间隔期间的来自所述光电检测器的所述信号进行采样，以生成表示在所述第一多个间隔中的每个间隔期间入射在所述光电检测器上的光子的相应数量的相应样本；量化所述样本以生成多个数字值；以及根据所述多个数字值来创建密码密钥。

在示例2中，示例1的主题包括：其中，所述程序指令将所述处理器配置为：选择所述多个数字值中幅度大于阈值的数字值用于所述密码密钥的创建。

在示例3中，示例1-2的主题包括：其中，所述数字值是i位数字值，其中，i是整数，并且程序指令将所述处理器配置为：选择i位数字值中的每个数字值的k个位，其中，k是小于i的整数，以生成多个k位符号；删除所述k位符号中值为零的符号，以提供非零值的k位符号的集合；以及级联非零值的k位符号以创建所述密码密钥。

在示例4中，示例3的主题包括：其中，程序指令将所述处理器配置为：将经级联的值应用于纠错码(ecc)解码器以生成输出值；以及将所述输出值作为所述密码密钥存储在所述存储器中。

在示例5中，示例3-4的主题包括：其中，所述k个位是所述i位数字值的k个最高有效位(msb)。

在示例6中，示例3-5的主题包括：其中，期望所述i位数字值具有一系列值，使得每个i位数字值具有j个零值最高有效位(msb)，其中，j是小于i的整数并且j+k小于i，并且所述程序指令使所述处理器用于：删除i位值中的每个值的j个msb以形成i-j位数字值；以及选择i-j位数字值中的每个数字值的k个msb来生成k位符号。

在示例7中，示例1-6的主题包括：其中，所述第一光束是连续波光束。

在示例8中，示例1-7的主题包括：其中，在所述第一多个间隔中的预定间隔期间，所述第一光束分别具有不同的功率水平，并且所述程序指令将所述处理器配置为：选择用于在所述预定间隔中的每个预定间隔期间使用的相应阈值；在每个预定间隔期间，选择所述多个数字值中幅度大于所选择的阈值的数字值；以及根据所选择的数字值来创建所述密码密钥。

在示例9中，示例1-8的主题包括：其中，所述第一光学收发机还包括：光源，其被配置为产生第二光束；以及光学耦合器，其被配置为选择性地将来自所述光源的所述第二光束引导至所述光学通道，并且将来自所述光学通道的所述第一光束引导至所述光电检测器；以及所述程序指令还将所述密码密钥生成器的所述处理器配置为控制所述光学耦合器和所述光源用于：在所述第一多个间隔期间将来自所述光学通道的所述第一光束引导至所述光电检测器；以及在与所述第一多个间隔不同的第二多个间隔期间，将来自所述光源的所述第二光束引导至所述光学通道。

在示例10中，示例9的主题包括：其中，所述第二多个间隔发生在所述第一多个间隔之后。

在示例11中，示例9-10的主题包括：其中，所述第二多个间隔与所述第一多个间隔交织。

在示例12中，示例9-11的主题包括：其中，所述第一多个间隔发生在第一光学帧时间期间，并且所述第二多个间隔发生在第二光学帧时间期间；以及所述程序指令还将所述处理器配置为：使用所创建的密码密钥对要经由所述光学通道传输的数据进行加密；控制所述光源在与第一光学帧时间和第二光学帧时间不同的第三间隔期间，根据经加密的数据来调制所述第二光束；控制所述光学耦合器在所述第三间隔期间将所述第二光束引导至所述光学通道，并且在第四间隔期间将来自所述光学通道的所述第一光束引导至所述光电检测器，其中所述第四间隔与所述第三间隔以及所述第一光学帧时间和所述第二光学帧时间不同；以及在所述第四间隔期间，使用所述密码密钥，响应于入射在所述光电检测器上的所述第二光束，来解密由所述处理器生成的所述数字值。

在示例13中，主题1-12的主题包括：光源，其被配置为生成第二光束；反射元件；以及光学耦合器，其被配置为：选择性地将来自所述光学通道的所述第一光束引导至所述反射元件或者将所述第一光束引导至所述光电检测器，以及将所述第二光束引导至所述光学通道；其中，所述指令还将所述处理器配置为控制所述光学耦合器和所述光源用于：在所述第一多个间隔期间，将所述第二光束引导至所述光学通道，并且将所述第一光束引导至所述光电检测器；以及在与所述第一多个间隔不同的第二多个间隔期间将所述第一光束引导至所述反射元件。

示例14是一种用于在光学收发机中生成密码密钥的方法，所述方法包括：接收响应于入射在所述光学收发机的光电检测器上的光束的、来自所述光电检测器的信号；对在多个间隔期间的来自所述光电检测器的所述信号进行采样，以生成表示在所述多个间隔中的每个间隔期间入射在所述光电检测器上的光子的相应数量的相应样本；量化所述样本以生成多个数字值；以及根据所述多个数字值来创建所述密码密钥。

在示例15中，示例14的主题包括：选择所述多个数字值中幅度大于阈值的数字值，用于所述密码密钥的创建。

在示例16中，示例15的主题包括：级联所述多个数字值中的所选择的数字值，并且将经级联的值应用于纠错码(ecc)解码器以创建所述密码密钥。

在示例17中，示例14-16的主题包括：其中，所述光束是连续波光束。

在示例18中，示例肢体14-17的主题包括：其中，光束在多个间隔中的预定间隔期间分别具有不同的功率水平，并且所述方法还包括：选择用于在每个预定间隔期间使用的相应阈值；以及生成所述密码密钥包括：选择在每个预定间隔期间的所述多个数字值中幅度大于所选择的阈值的数字值。

示例19是一种用于在光学收发机中生成密码代码的装置，包括：用于接收表示在多个间隔中的每个间隔期间由所述光学收发机接收到的光束的光子的相应数量的多个信号的单元；用于生成表示接收到的多个信号的相应数字值的单元；用于选择所述多个数字值中幅度大于阈值的数字值的单元；以及用于根据所述多个数字值中的所选择的数字值来生成所述密码密钥的单元。

在示例20中，示例19的主题包括：其中，所述光束在所述多个间隔中的预定间隔期间分别具有不同的功率水平，并且所述装置还包括：用于选择用于在每个预定间隔期间使用的相应阈值的单元；以及用于生成所述密码密钥的单元包括：用于选择在每个预定间隔期间的所述多个数字值中幅度大于所选择的阈值的数字值的单元。

示例21是至少一个机器可读介质，其包括指令，所述指令当由处理电路执行时使所述处理电路执行用于实现示例1-20中的任意示例的操作。

示例22是一种装置，所述装置包括用于实现示例1-20中的任意示例的单元。

示例23是实现示例1-20中的任意示例的系统。

示例24是示例1-20中的任意示例的方法。

上面已经描述的内容包括所要求保护的主题的示例。当然，为了描述所要求保护的主题的目的，不可能描述组件或方法的每种可能的组合，但是本领域普通技术人员可以认识到，所要求保护的主题的许多其他组合和置换是可能的。因此，要求保护的主题旨在涵盖落入所附权利要求的范围内的所有这样的改变、修改和变化。

特别地，关于由上文所描述的组件、设备、电路、系统等执行的各种功能，除非另有说明，否则用于描述这样的组件的术语旨在对应于执行所描述的组件的指定功能的任何组件，例如功能等同物，即使在结构上不等同于所公开的结构，也在所要求保护的主题的示例性示出方面中执行该功能。就此而言，还将认识到，所公开的示例性实施例和实现方式包括一种系统以及具有用于执行所要求保护的主题的各种方法的动作和事件的计算机可执行指令的计算机可读存储介质。

存在多种方式来实现所要求保护的主题，例如，适当的api、工具套件、驱动器代码、操作系统、控件、独立或可下载的软件对象等，其使得应用和服务能够使用本文所述的技术。从api(或其他软件对象)的角度以及从根据本文阐述的技术进行操作的软件或硬件对象的角度出发，所要求保护的主题考虑了用途。因此，本文描述的所要求保护的主题的各种实现方式可以具有全部以硬件、部分以硬件且部分以软件以及软件的方面。

已经关于若干组件之间的交互描述了前述示例性系统。可以理解的是，根据上述的各种排列和组合，这样的系统和组件可以包括那些组件或指定的子组件，一些指定的组件或子组件以及附加组件。子组件还可以实现为与其他组件通信耦合的组件，而不是包含于父组件中(分层)。

另外，应当注意，一个或多个组件可以被组合成提供聚合功能的单个组件，或者被划分成若干单独的子组件，并且任何一个或多个中间层，例如管理层，可以被提供为可通信地耦合到这样的子组件以便提供集成功能。本文所述的任何组件也可与本文未具体描述但本领域技术人员通常已知的一个或多个其他组件交互。

此外，尽管已经相对于若干实现方式之一公开了所要求保护的主题的特定特征，但是这种特征可以与其他实现方式的一个或多个其他特征组合，这对于任何给定或特定应用是期望且有利的。另外，在详细描述或权利要求书中使用术语“包括”、“包含”、“具有”、“含有”、其变体和其他类似词语的程度，这些术语旨在包含性的，以类似于术语“包括”作为开放过渡词的方式，而不排除任何附加或其他元素。

起点商标作为专业知识产权交易平台，可以帮助大家解决很多问题，如果大家想要了解更多知产交易信息请点击 【在线咨询】或添加微信 【19522093243】与客服一对一沟通，为大家解决相关问题。

此文章来源于网络,如有侵权,请联系删除