给定

谁能帮助我解决以下问题？

我想找到一些值$a_i,b_j$（mod $N$），其中$i=1,2,…,K, j=1,2,…,K$（例如$K=6$），给定一个$K^2$值的列表，对应于差$a_i-b_j\pmod N$（例如$N=251$），而无需知道具体的对应关系。由于价值观$a_i,b_j\pmod N$并不是唯一确定给定的差异$a_i-b_j\pmod N$，我们寻找任何 价值的有效分配。

绝对地，尝试列表中$K^2$数字的每个置换（总共$K^2!$可能的情况），然后以$a_i,b_j$作为变量求解模块化方程是不可行的。

实际上，此问题出现在有关对NTRU签名方案的早期版本进行密码分析的论文中（http://eprint.iacr.org/2001/005）。但是，作者只写了一个句子“简单的回溯算法找到了一种解决方案……”（在第3.3节中），所以有人可以给出更多的解释吗？此外，作者还提到“每个循环移位$\{((a_i+M)\mod N,(b_i+M)\mod N\}_{i=1}^K$或掉期交易$(\{(N-1-b_i,N-1-a_i)\}_{i=1}^K)$导致a_i-b_j \ mod N的模式相同，$a_i-b_j\mod N$这对您有帮助吗？

对于和，这是一个建议。给我们一个列表。首先选择其中一个，而不失一般性。不失一般性，，我们得到的值。现在再取一个，并希望它的形式为（这种情况的发生概率为），并推论出。N = 251 a i − b $K = 6$$N = 251$一个1 - b 1 b 1 = 0 一1 一2 - b 1 5 / 35 = 1 / 7 一个$a_i - b_j \pmod{N}$$a_1-b_1$$b_1=0$$a_1$$a_2-b_1$$5/35 = 1/7$$a_2$

在这一阶段，我们知道。我们的下一个目标是寻找为。对于每个候选，如果则也应在列表中。如果，则也出现在列表中的约为。因此，如果我们做到发现一些候选人为此也榜上有名，那么很可能。这样，我们可以确定地恢复。a 1 - b j j ≠ 1 a i - b j i = 1 （a i - b j）+ （a 2 - a 1）= a 2 - b j i ≠ 1 （a i − b j）+ （a 2 − $a_1,a_2,b_1$$a_1-b_j$$j \neq 1$$a_i-b_j$$i=1$$(a_i-b_j)+(a_2-a_1)=a_2-b_j$$i \neq 1$33 / 251 一个我 - b Ĵ（一个我 - b Ĵ）+ （一个2 - 一个1）我= 1 b $(a_i-b_j)+(a_2-a_1)$$33/251$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$$i=1$$b_2$

在这个阶段，我们知道。以与恢复相同的方式，我们可以确定地恢复。然后，我们可以通过查找候选来恢复，而候选的和都在列表中。因为我们有更大 s，所以我们的失败概率会明显下降。我们继续找到。b 2 a 3 b 3 a i - b j（a i - b j）+ （a 2 - a 1）（a i - b j）+ （a 3 - a 1）a b 3，a 4，b $a_1,a_2,b_1,b_2$$b_2$$a_3$$b_3$$a_i-b_j$$(a_i-b_j)+(a_2-a_1)$$(a_i-b_j)+(a_3-a_1)$$a$$b_3,a_4,b_4,a_5,b_6,a_6,b_6$

在该算法的任何时候，我们可能都猜错了，这最终将导致矛盾（比如在某个时候，没有好的候选）。然后，我们回溯并尝试另一种可能性；如果我们用尽了所有可能性，我们将再次回溯，并尝试另一种可能性（针对算法的不同阶段）；等等。$a_i-b_j$

实际编程此算法是一个很好的练习-这可能是了解如何正确实现回溯的唯一方法。这也是判断该算法是否在实践中有效的唯一方法。

更新：以下描述针对一个不同的问题（在一个集合中您具有所有成对距离，而不是两个不同集合之间的成对距离）。无论如何，我都会保留它，因为它关系密切。

此问题称为环行问题，是一般托罗斯嵌入问题的特例。它也与收费公路问题密切相关，在收费公路问题中，距离差异是绝对的（不是模数）。$d$

尚不清楚环行道问题是否允许采用多重时间算法。对于相关问题有多种伪多时算法。最好的参考文献（还是旧文献）是Lemke，Skiena和Smith的论文。

我认为这是您的立足点，可能足以解决问题。

假设我们有四个差异，，和，它们是两个和两个之间的成对差异。称其为四重差异。请注意，我们有一个不平凡的关系：a 1 - b 2 a 2 - b 1 a 2 - b 2 a $a_1-b_1$$a_1-b_2$$a_2-b_1$$a_2-b_2$$a$$b$

您可以尝试使用这种关系从列表中识别潜在的四重奏。例如，从列表中选择四个差异。如果它们不满足上述关系，那么它们绝对不是四方结构。如果他们确实满足关系，则可能来自四重奏。$K^2$

您可以通过多种方式从这里取货，但是我怀疑这已经足够了。

我特别怀疑，对于您的示例参数设置，问题将非常容易，因为上述用于识别四重奏的测试可能不会有太多的误报。从列表中选择4个差异的所有种方式中，将有四重奏（将全部满足关系），其余为非四重奏（满足启发式地与概率为的关系）。因此，我们期望看到误报，即即使不是四重奏也通过测试的4元组。对于您的参数，这意味着我们有225个四重奏和（${K^2 \choose 4}$1/N（（K${K \choose 2}^2$$1/N$（58905-225）/251≈$({K^2 \choose 4}-{K \choose 2}^2)/N$$(58905-225)/251 \approx 234$其他误报；因此，通过测试的4元组中大约有一半实际上是四重奏。这意味着上述测试是识别四重奏的一种很好的方法。一旦您识别了四重奏，您就可以真正地恢复差异列表的结构。

这是另一种方法，它基于迭代查找不能出现的数字。调用一组对的过近似的，如果我们知道。类似地，如果我们知道，则是的。显然，越小，这种过度逼近就越有用，并且。我的方法基于迭代地细化这些过大的近似值，即迭代地减小这些集合的大小（因为我们排除了越来越多的值是不可能的）。$\{a_1,\dots,a_6\}$一个{ 一个1，... ，一个6 } ⊆ 甲乙b { b 1，... ，b 6 } ⊆ 乙甲$A$$a$$\{a_1,\dots,a_6\} \subseteq A$$B$$b$$\{b_1,\dots,b_6\} \subseteq B$$A$$B$

该方法的核心是一种方法的改进：给定的过近似为的和过近似为的，找到一个新的过近似为的，使得。特别是，通常将小于，所以这让我们提炼过近似为的。一个乙b 甲*一个甲* ⊊ 甲甲*甲$A$$a$$B$$b$$A^*$$a$$A^* \subsetneq A$$A^*$$A$$a$

根据对称性，基本上是相同的把戏，让我们改善了近似为的：给过近似对的和过近似为的，它会产生一个新的过-近似为的。A a B b B ∗$b$$A$$a$$B$$b$$B^*$$b$

因此，让我告诉您如何进行优化，然后将所有内容放在一起以获得针对此问题的完整算法。在下文中，令表示差的多组，即；在给定，我们将专注于找到精炼的超逼近。d = { 一个我 - b Ĵ：1 ≤ 我，Ĵ ≤ 6 } 甲*甲，$D$$D=\{a_i-b_j:1 \le i,j \le 6\}$$A^*$$A,B$

如何计算细化。 考虑一个单一的差别。考虑集合。基于我们的知识是的一个过度逼近，我们知道至少一个元素必须是的元素。因此，我们可以将中的每个元素都视为“建议”，以使数字可能包含在。因此，让我们浏览所有差异并为每个确定建议的数字。d + 乙= { d + ÿ ：Ý ∈ 乙} 乙b d + 乙{ 一个1，... ，一个6 } d + 乙甲d ∈ d $d \in D$$d+B=\{d+y : y \in B\}$$B$$b$$d+B$$\{a_1,\dots,a_6\}$$d+B$$A$$d \in D$$d$

现在，我将观察到在此过程中，建议至少建议使用数字 6次。为什么？因为差异在，并且当我们处理它时，将是它建议的数字之一（因为我们保证，肯定会包含）。同样，差异出现在中的某个位置，这将导致再次建议。这样，我们看到将建议的正确值至少6次。对于和同样适用一1 - b 1 d 一个1 b 1 ∈ 乙（一个1 - b 1）+ 乙一个1 一1 - b 2 d 一个1 一1 一2 一$a_1$$a_1-b_1$$D$$a_1$$b_1 \in B$$(a_1-b_1)+B$$a_1$$a_1-b_2$$D$$a_1$$a_1$$a_2$$a_3$， 等等。

因此，让为至少建议6次的数字的集合。这肯定是对的过近似的，由上述意见。a *$A^*$$a^*$$a$

作为一种优化，我们可以筛选出不存在于所有建议立即：换句话说，我们可以把该差为暗示所有的值。这将确保我们将有。我们希望严格小于 ; 没有保证，但是如果一切顺利，也许会的。d （d + 乙）∩ 甲甲* ⊆ 甲甲*$A$$d$$(d+B)\cap A$$A^* \subseteq A$$A^*$$A$

综上所述，将细化为的算法如下：A $A,B$$A^*$

1. 令。这是多套建议。$S = \cup_{d \in D} (d+B)\cap A$

2. 计算每个值在出现多少次。令为在中出现至少6次的值的集合。（这可以通过建立一个数组高效地实现 251最初，最初都是零，并且每个数时间建议，则递增 ;在结束你通过扫寻找元素其值为6或更大）A * S a s a [ s ] $S$$A^*$$S$$a$$s$$a[s]$$a$

可以建立类似的方法来细化以获得。你基本上反向上面的事和倒装一些迹象：例如，而不是，你看。B ∗ d + B − d + $A,B$$B^*$$d+B$$-d+A$

如何计算初始的超近似值。为了得到我们最初的近似值，一个想法是假设（wlog）。由此可见，每个值必须出现中某处，因此差异列表可以作为我们最初的过度近似为的。不幸的是，这并没有给我们一个非常有用的的过度逼近。a i D D a $b_1=0$$a_i$$D$$D$$a$$b$

更好的方法是另外猜测之一的值。换句话说，我们假设（wlog），该，并使用作为我们的初始过近似的。然后，我们猜测这36个值中的哪个确实是的值之一，例如。这然后使我们有过近似为的。我们使用此初始超逼近，然后对其进行迭代细化直至收敛，并测试结果是否正确。我们最多重复36次，在上进行36次不同的猜测（平均6次猜测就足够了），直到找到一个可行的为止。b 1 = 0 A = D a a a 1 B = a 1 - D b A ，B a $a$$b_1=0$$A=D$$a$$a$$a_1$$B=a_1-D$$b$$A,B$$a_1$

完整的算法。 现在我们可以使用完整的算法来计算。基本上，我们得出和的初始过度逼近，然后进行迭代细化。 A $a_1,\dots,a_6,b_1,\dots,b_6$$A$$B$

1. 猜一猜：对于每个，猜测。请执行下列操作：一个1 = $z \in D$$a_1=z$

   1. 初始过度逼近：定义和。B = z − $A=D$$B=z-D$

   2. 迭代优化：重复应用以下内容，直到收敛为止：

      • 瑞风获得一个新的超逼近中的的。B *$A,B$$B^*$$b$
      • 瑞风得到一个新的超逼近中的的。A ∗$A,B^*$$A^*$$a$
      • 令和。 B ：= B $A:= A^*$$B:= B^*$

   3. 检查是否成功：如果结果集大小均为6，则测试它们是否是该问题的有效解决方案。如果是，请停止。如果不是，请继续循环候选值。$A,B$$z$

分析。 这样行吗？它最终会收敛在和还是会在没有完全解决问题的情况下卡住？找出答案的最佳方法可能是对其进行测试。但是，对于您的参数，是的，我希望它会有效。B = { b 1，… ，b 6$A=\{a_1,\dots,a_6\}$$B=\{b_1,\dots,b_6\}$

如果我们使用方法＃1，只要并不是太大，试探性地，我希望这些集合的大小能够单调地缩小。考虑从派生。每个差异表示价值观 其中一个正确，而另一个可以（启发式）视为随机数。如果是不与中出现了一些的，什么是概率，它生存的过滤，并且加入到？好了，我们期待被建议约A ∗ A ，B d | B | | B | − 1 x a A ∗ a （| B | − 1 ）× 36 / 251 | B | ≤ 36 X p = 0.4 | B | | B | = 30 p ≈ 0.25 甲*$|A|,|B|$$A^*$$A,B$$d$$|B|$$|B|-1$$x$$a$$A^*$$a$$(|B|-1) \times 36/251$总计（平均，标准偏差大约是平方根）。如果，则错误的幸免于滤波的可能性应约为左右（使用二项式的法线近似，并进行连续性校正）。（如果较小，则概率较小；例如，对于，我期望。）我期望的大小约为，因为它严格小于，因此将严格改善过逼近度。例如，如果，那么基于这些启发式方法，我期望$|B|\le 36$$x$$p=0.4$$|B|$$|B|=30$$p\approx 0.25$$A^*$| A | | A | = | B | = 36 | A ∗ | ≈ 18 | A $p (|A|-6) + 6$$|A|$$|A|=|B|=36$$|A^*|\approx 18$，比有很大的改进 。$|A|$

因此，我预计运行时间将非常快。我期望大约3-5次细化迭代足以实现收敛，并且在大约6次猜测可能就足够了。每个优化操作可能涉及数千次内存读/写，而我们执行的次数可能为20-30次。因此，对于您指定的参数，我希望它很快。但是，唯一能确定的方法就是尝试一下，看看它是否运行良好。$z$