伪随机数生成器

玻尔百科

核心要点

伪随机数生成器 (PRNG) 是确定性算法，它们创建的序列看起来是随机的，但可以从一个初始“种子”完全复现。
一个好的 PRNG 必须生成统计上均匀且不相关的数，以避免在蒙特卡洛模拟等科学计算中引入系统误差。
生成器的选择取决于应用：用于模拟的快速 PRNG、用于积分的低差异序列以及用于密码学的不可预测的 CSPRNG。
PRNG 是强大计算方法背后的引擎，这些方法包括蒙特卡洛积分、金融建模、物理过程模拟和随机优化。

引言

现代计算科学的核心存在一个深刻的悖论：确定性的机器擅长遵循严格的规则，如何能被用来模拟宇宙中不可预测的、概率性的本质？答案在于伪随机数生成器 (PRNG) 优雅的“骗局”之中。这是一种基石算法，能生成经过巧妙构造、足以以假乱真的数字序列。本文旨在揭开这一基本工具的神秘面纱，弥合仅会使用随机数函数与懂得如何正确、有力地驾驭它之间的关键鸿沟。在接下来的章节中，我们将解开这个悖论。首先，在“原理与机制”中，我们将探索 PRNG 内部的确定性运作机制，定义何为统计上稳健的生成器，并区分从模拟到密码学等不同任务所需的生成器类型。然后，在“应用与跨学科联系”中，我们将遍览被这些方法所改变的各个领域，从物理学中的蒙特卡洛积分到金融领域的风险分析，揭示受控的随机性如何成为发现的引擎。

原理与机制

如果你问一位物理学家计算机是做什么的，他们可能会说它是一台遵守规则的机器。它是确定性的典范。如果你问同一位物理学家，模拟真实世界——从液体中原子的振动到星系的混沌之舞——最重要的工具是什么，他们很可能会说是随机数生成器。这怎么可能呢？一台只能遵循指令的机器，如何能产生像随机数一样狂野和不可预测的东西？这不是一个刁钻的问题，而是理解现代科学中最强大的思想之一的关键。答案是，它并不能。相反，它创造了一个巧妙的幻象，一个经过精心设计的确定性序列，足以以假乱真。这就是伪随机数生成器（PRNG）的世界。

机器的灵魂：一个发条宇宙

从本质上讲，PRNG是一种简单的确定性算法。它是一个函数，接受一个称为状态的内部秘密数字，并用它来执行两个任务：输出一个新数字，并计算一个新的内部状态。这个新状态随后被反馈到函数中用于下一轮计算。它将产生的整个、极长的数字序列，在我们选择其最初始的状态——一个被称为种子的值——的那一刻，就已完全固定。

这导致了一种迷人的二元性。从理论角度看，PRNG 是一个离散时间的确定性系统，就像一个具有有限但数量庞大的齿轮和状态的发条机器。给定相同的起始位置——相同的种子——它总是会精确地按照相同的状态序列运行，并产生完全相同的数字序列，精确到最后一个比特。然而，从实践角度看，如果你不知道种子，其输出是不可预测的。我们在科学中使用的“随机性”并非源于机器本身，而是源于我们对其初始条件的无知。

想象一下，两个学生 Chloe 和 David 在完全相同的计算机上运行完全相同的蒙特卡洛模拟。Chloe 运行她的程序并得到一个结果。她再次运行，得到了完全相同的数字。David 也这样做，他的结果同样是完美可复现的。但当他们比较笔记时，他们的数字却不同。如果其他一切都相同，这怎么可能呢？答案是种子。他们的程序很可能被不同地播种，也许是使用了程序启动那一刻的系统时钟。Chloe 的程序从一个“秘密”的初始状态开始，而 David 的程序从另一个开始。他们各自的模拟都是在一个完全确定、可复现的宇宙中的一次旅程，但他们探索的是两个不同的宇宙。

这就引出了在科学工作中使用 PRNG 的第一条，也是最重要的一条规则：控制你的种子！能够复现结果是科学的基石。通过固定种子，你使你的“随机”模拟变得完全确定和可重复。一个常见的错误是对播种过于热情。假设你正在模拟 $M$ 个独立的粒子。你可能会想：“我需要为每个粒子提供一条独立的随机路径，所以我在模拟每个粒子之前都重新播种生成器。” 如果你每次都用相同的数字重新播种，你就犯了模拟中的一个大忌。PRNG 是确定性的，它会为每个粒子生成完全相同的“随机”数字序列。你最终会得到 $M$ 条相同的、完全相关的路径，而不是 $M$ 条独立的路径。你的统计平均值将坍缩为单条路径的结果，蒙特卡洛方法引以为傲的威力——通过增加样本量来减少误差——将荡然无存。正确的做法几乎总是在程序的最开始播种一次，然后让生成器运行，顺序地使用其输出。

一个优秀伪装者的标志

所以，PRNG 是一个确定性的伪装者。但什么才能造就一个优秀的伪装者？什么样的品质能将一个高保真度的生成器与一个会误导你研究的粗劣生成器区分开来？目标不是要做到真正的随机，而是要使其统计特性对于手头的应用来说与真随机无法区分。

首先，也是最重要的一点，生成的数字应该是均匀的。如果你要求生成 0 到 1 之间的数字，那么你应该得到在区间前半部分和后半部分的数字的频率相同。一个常见的检查方法是拟合优度检验。想象一下用你的 PRNG 来模拟一个公平的六面骰子。你“掷”了数千次并计算结果。你会期望看到每个面——1 到 6——出现的次数大约是总次数的六分之一。卡方检验（ $\chi^2$ ）为我们提供了一种形式化的方法来衡量观测计数与期望计数之间的偏差。如果偏差太大，我们就可以自信地拒绝“我们的数字骰子是公平的”这一“零假设”；换句话说，我们有统计证据表明我们的 PRNG 是有偏的。

一个更隐蔽、且往往更危险的缺陷是相关性。一个生成器可能产生正确数量的 1、2 等等，但序列中可能隐藏着模式。也许偶数后面总是跟着奇数，或者小数后面很可能跟着另一个小数。一个看似简单的公式，如逻辑斯谛映射 $x_{n+1} = 4 x_n (1 - x_n)$ ，可以生成混沌的、看似随机的序列。然而，它却是一个糟糕的 PRNG，因为其连续值之间高度相关。更糟糕的是，某些“不幸”的种子可能导致序列陷入短周期或不动点，产生如 $\{0.75, 0.75, 0.75, \dots\}$ 这样的序列。一个好的 PRNG 必须经过严格测试，以确保这种序列相关性可以忽略不计。

我们为什么如此在意这些统计缺陷？因为一个有缺陷的生成器会给我们的计算引入系统误差。这与任何蒙特卡洛模拟中固有的随机误差有着根本的不同。随机误差的产生是因为我们只取了有限数量的样本 $N$ 。它表现为统计噪声，随着我们增加 $N$ 而减小（通常按 $1/\sqrt{N}$ 的规律）。如果你通过向一个靶子投掷飞镖来估算 $\pi$ 值，随机误差就是你每次实验答案的微小变化。然而，系统误差是一种持续的偏差，无论你取多少样本都不会消失。这就像用一只歪斜的手臂投掷飞镖；即使投掷一百万次，你的平均落点也会偏离中心。例如，一个 PRNG 如果略微偏爱在正方形的某个角落生成点，那么它将系统地扭曲任何依赖于在该正方形内均匀采样的计算结果。

不同的工作，不同的工具

对完美随机数的追求是微妙的，因为“完美”的工具完全取决于工作任务。模拟热流的物理学家的需求与保障交易安全的银行家的需求截然不同。

对于科学计算中的许多应用，比如计算一个高维积分，目标并非真正要模仿随机性的所有奇特之处。真随机数可能是成块的；你可能纯粹出于偶然，在某个小区域内得到一长串的点。对于积分，我们只是想尽可能均匀地采样一个空间。这是准随机或低差异序列的工作。例如，一个 Sobol 序列根本不是随机的。它是一个精心构造的序列，旨在以最大的均匀性填充一个空间，避免了伪随机序列的间隙和聚集。我们可以用一个称为差异度的度量来衡量这种均匀性——差异度越低，覆盖越均匀。对于许多问题，使用低差异序列代替 PRNG 可以使结果收敛得更快，因为它避免了在已经充分采样的区域上浪费样本。这是一个绝妙的见解：有时，为了得到更好的答案，你需要一些明确不是随机的东西。

当我们进入密码学的世界时，要求就发生了巨大变化。对于模拟，我们需要速度和良好的统计特性。对于安全，我们最需要的是一样东西：不可预测性。一个密码学安全伪随机数生成器（CSPRNG）被设计用来抵御有目的的对手。其决定性属性是，即使攻击者观察到其一长串输出，他们猜对下一个比特的几率也不应优于 50/50。标准的科学 PRNG，如著名的梅森旋转算法（Mersenne Twister，MT19937），在这个测试中惨败。MT19937 非常适合模拟——它速度快，统计特性优异。但它建立在线性反馈机制之上。通过观察其仅仅 624 个输出，攻击者就可以重建其整个内部状态，并预测它将产生的每一个未来数字。用它来生成密码或加密密钥无异于密码学上的自杀行为。CSPRNG 通常基于更慢但更复杂的密码学原语构建，是这项工作的正确工具。权衡是明确的：为科学牺牲速度，为安全牺牲不可预测性。

平行宇宙问题

我们讨论的这些原理在现代高性能计算的世界里发生了碰撞。为了解决最重大的问题，科学家们使用数千个处理器并行工作。我们如何为它们全部提供随机数？这不是一个简单的问题；一步走错就可能悄无声息地使整个计算失效。

考虑一个在 $T$ 个并行线程上运行的程序的选项：

安全但缓慢的路径：使用一个由锁保护的单一全局 PRNG。一次只有一个线程可以获取数字。这在统计上是正确的——它产生与串行程序相同的序列——但它造成了巨大的瓶颈，违背了并行的初衷。
混乱之路：使用一个没有锁的单一生成器。多个线程将同时访问和修改其内部状态，导致“数据竞争”。状态被破坏，输出是一串毫无意义、统计上已损坏的垃圾数据。
微妙的陷阱：给每个线程自己的 PRNG，但用简单的相邻整数（ $1, 2, 3, \dots, T$ ）作为种子。这看起来很合理，但对于许多常见的生成器来说，由相近种子产生的序列并非独立的；它们可能强相关。你的并行线程可能正在探索几乎相同的“随机”宇宙，从而毒害了你样本的统计独立性。
现代解决方案：使用专为并行计算设计的 PRNG。这些先进的生成器具有流分割机制或使用基于计数器的方法。它们可以创建大量可证明独立的随机数流，确保你的数千个处理器中的每一个都在探索一个真正不同的可能性空间切片。

从确定性的哲学难题到超级计算机的实践工程，伪随机数生成的原理是人类智慧的证明。它们是精心制定的规则，让我们能够驾驭确定性机器的力量，去探索宇宙无限的、概率性的本质。

应用与跨学科联系

我们已经看到，伪随机数生成器本质上是一台设计精妙的确定性发条装置。它是一台旨在生成数字序列的机器，对于不知情的观察者来说，这些序列看起来完全是随意和不可预测的。有人可能会认为这是一个局限，是对真正机会的廉价模仿。但事情发生了奇妙的转变，正是这种确定性——这种完美的、可重复的预测能力——将 PRNG 从一个新奇玩意转变为现代科学和工程学中最强大、最通用的工具之一。

通过提供一个可控的“随机性”来源，PRNG 允许我们进行数值实验。我们可以模拟十亿次掷骰子、股票价格的波动或蛋白质的折叠，而且我们可以在完全相同的条件下一次又一次地重复，每次只调整一个变量，观察系统如何响应。这就是科学方法的精髓，现在应用于只存在于计算机内存中的世界。让我们踏上旅程，穿越其中一些世界，看看伪随机性的巧妙骗局让我们能够发现什么。

平均的力量：蒙特卡洛积分

PRNG 最根本的应用或许是一种名字让人联想到赌场和机会游戏的方法：蒙特卡洛积分。其核心思想惊人地简单，但其影响却十分深远。想象一下，你想计算一个画在巨大方形庭院里的形状奇特的湖泊的面积。你可以尝试用成千上万个微小的几何形状来近似它，这是一项繁琐而复杂的任务。或者，你可以站在高塔上，让朋友随机向庭院投掷一千颗石子。最后，你只需数一数有多少石子落入湖中，又有多少落入庭院。这两个计数的比率乘以庭院的面积，就能给你一个非常好的湖泊面积估算值。

这种“击中或错过”的方法正是蒙特卡洛积分的工作原理。我们将一个复杂的问题嵌入一个更简单、更大的空间中，然后使用随机采样来探测它。当“湖泊”不是一个简单的二维形状而是一个高维体积时，这种技术的优势最为突出。例如，用传统微积分计算一个十维超球体的体积是一场噩梦，但对于蒙特卡洛模拟来说，这几乎不比二维情况更难——我们只需在一个 10D 超立方体中生成随机点，然后计算有多少点落在超球体内。

这种通过对许多随机样本取平均来估算一个量的原则具有极强的普适性。它不仅仅关乎几何体积。在量子力学中，由密度矩阵 $\rho$ 描述的系统中可观测量 $A$ 的期望值由迹给出， $\langle A \rangle = \mathrm{Tr}(\rho A)$ 。如果状态和可观测量是对角的，这简化为一个加权和 $\sum_i p_i a_i$ 。这无非就是期望值的定义，其中 $a_i$ 是一个可能的结果，其概率为 $p_i$ 。我们可以通过根据概率分布 $\{p_i\}$ 抽取许多随机样本，然后取其算术平均值来简单地估计这个值。看似抽象的迹运算被转化为一个具体的数值实验，而这一切都由一个 PRNG 提供动力。

模拟世界：从光子到金融

掌握了采样平均的概念，我们就可以从静态问题转向动态问题。我们可以构建随时间演化的系统模型，其中机会在每一步都扮演着角色。

例如，在计算金融学中，准确模拟股票价格或其他资产的混乱波动是一个核心挑战。简单的模型常常失效，因为现实世界的回报表现出“肥尾”特性——极端事件发生的频率比标准正态分布所预测的要高。使用一种称为逆变换采样的技术，我们可以用我们的均匀 PRNG 从更复杂的分布中生成随机数，例如能更好地捕捉这种现实行为的学生 t 分布。通过模拟数千条可能的未来价格路径，每一条都是从精心选择的分布中抽取的随机步长的序列，分析师可以为复杂的金融工具定价。例如，一个碳补偿信用的价值可能取决于未来的碳价格，而碳价格可能会因新的气候政策而发生巨大变化。通过将此建模为一个可以随机切换状态的过程，我们可以运行蒙特卡洛模拟来找出所有可能未来下的平均贴现收益，从而得出该信用今天的公允价格。

同样的理念适用于整个物理科学和工程领域。考虑脆性材料中裂纹的扩展。虽然裂纹的总体方向由材料中的应力场引导，但在微观层面，其路径是一系列锯齿状的、不可预测的微小偏离。我们可以通过在裂纹扩展的每一步增加一个小的、随机的角度扰动来对此进行建模。通过模拟许多这样的随机路径，我们可以理解断裂的统计特性，比如可能的出口点或最终裂纹路径的“曲折度”。PRNG 让我们能够捕捉到一个过于复杂以至于无法用确定性定律描述的物理过程的随机性本质。

这种逻辑甚至可以延伸到社会和生物世界。一个谣言或一种疾病是如何在人群网络中传播的？我们可以将其建模为基于智能体的模拟，其中在每个时间步，每个“被感染”的人都有一定的概率将谣言传播给他们的邻居。整个流行病的模式是由这数百万个微小的、独立的随机事件累积而成的。

警示故事：当糟糕的随机性出错时

在所有这些应用中，我们都含蓄地假设我们的 PRNG 是一个好的“演员”，其确定性的发条装置产生的序列在统计上与真正的随机性无法区分。当这个演员忘记台词时会发生什么？其后果可能从滑稽到灾难性不等。

有些失败在视觉上是显而易见的。想象一下，使用 PRNG 通过在网格上执行随机深度优先搜索来生成迷宫。一个高质量的生成器会产生一个复杂、错综的迷宫。但是一个简单的、有缺陷的生成器，比如一个周期非常小的线性同余生成器，会很快重复其“随机”选择的序列。结果呢？迷宫会包含大块相同的、彼此复制的区域，这是底层确定性、重复性模式的明显标志。

其他的失败则更为微妙，但同样具有破坏性。著名的快速排序算法依赖于随机选择枢轴来实现其卓越的 $\mathcal{O}(n \log n)$ 平均情况性能。如果使用一个短周期的 PRNG 来挑选枢轴，对手可以构造一个输入数组，迫使算法总是挑选糟糕的枢轴。这会使其性能下降到最坏情况的 $\Theta(n^2)$ ，对于大输入实际上是破坏了该算法。基于良好随机性假设的效率保证就这样蒸发了。

也许最危险的失败是当一个有缺陷的 PRNG 导致一个虚假的科学发现。让我们回到我们的谣言传播模拟。如果我们使用一个会引入相关性的 PRNG——例如，某个代表特定“个人”生成的所有随机数都是相关的——它可能会使某些人看起来在传播谣言方面比其他人成功得多。研究人员可能会得出结论，他们发现了一类“超级传播者”。实际上，这种异质性完全是糟糕生成器造成的人为假象。模型反映的是工具的缺陷，而不是它本应模拟的现实。这凸显了严格测试 PRNG 以确保其适用于科学目的的至关重要性。

发现的引擎：作为搜索策略的随机性

到目前为止，我们已经使用随机性来模拟过程或估计已知量。但它最令人兴奋的用途之一是作为发现的引擎——一个在广阔、复杂的空间中搜索最优解的工具。

科学和工程中许多最困难的问题都可以被框定为寻找某个“能量”或“成本”函数的最小值。例如，蛋白质折叠成特定的三维形状，以最小化其势能。可能的形状数量是天文数字。一个简单的“爬山”搜索会立即陷入一个附近的局部最小值，这是一个非最优的形状，任何微小的改变都会增加能量。

这就是随机优化算法发挥作用的地方。像差分进化或粒子群优化这样的方法维持一个候选解的“种群”，并使用随机性来探索搜索空间。它们允许“跳跃”到全新的区域，防止搜索陷入困境。随机性提供了必要的创造性和探索性冲动，以便在崎岖的地形中导航并找到真正的全局最小值。

类似的逻辑也支撑着马尔可夫链蒙特卡洛 (MCMC) 系列算法，其中 Metropolis-Hastings 是一个著名的例子。这里的目标不仅仅是找到一个最小值，而是要描绘出整个高维概率分布。该算法在可能性空间中进行“随机游走”。在每一步，它使用一个 PRNG 来提议一个随机移动，并使用第二个 PRNG 来根据该移动如何改变概率，做出是否接受该移动的概率性决定。通过智能地漫游，这个过程生成了一组样本，这些样本合在一起构成了目标分布的忠实表示，即使这个分布的复杂性难以想象。这项技术是现代贝叶斯统计的基石，使我们能够推断从天体物理学到遗传学等领域中复杂模型的属性。

最后，我们回到了伪随机数生成器的美丽悖论。它是一台纯粹逻辑和确定性的机器，但它却是我们用来应对宇宙中机会作用的主要工具。它让我们能够构建和探索模拟世界，测试物理和社会理论的极限，并寻找棘手问题的新颖解决方案。谦逊的 PRNG，以其巧妙和可重复的骗局，无异于是打开计算发现之门的一把钥匙。