很多工程里的“校验”看起来只是几个异或、一次移位、一个固定常数表。可一旦追问为什么这样做能发现错误,为什么某些常数比另一些常数更好,为什么同一个多项式还会有正向、反向、初值、异或输出这些变体,表面上的位操作就会迅速露出背后的代数结构。
这篇文章不从某个具体实现开始,而是先把底层对象摆清楚:二进制位如何变成有限域里的元素,位串如何变成多项式,生成多项式如何定义一组可被接受的码字,以及“错误能不能被发现”为什么可以转化成一个整除问题。理解了这条线,后面再看查表法、切片法、并行展开、LFSR 硬件和协议参数时,很多细节就不再像孤立技巧。
1 为什么错误检测需要一点代数
最朴素的错误检测是奇偶校验:把一串比特里 1 的个数压缩成一个校验位。它很便宜,也很直观,但它只能保证发现奇数个比特翻转。两个比特同时翻转时,奇偶性不变,错误就会漏掉。
这说明校验码真正要解决的问题不是“算出一个摘要”这么简单,而是要让不同错误模式尽量落到不同的校验结果上。换句话说,我们希望把消息映射到一个更大的结构里,让非法扰动很难伪装成另一个合法结果。
循环校验码的思路是:不要只数 1 的个数,而是把整段比特看成一个多项式,再用一个固定的生成多项式去约束它。只要接收端拿到的整体不能被这个生成多项式整除,就说明传输或存储过程中发生了错误。
这种做法的好处是,它仍然只需要非常便宜的位运算。这里的加法没有进位,减法和加法相同,因此在二进制机器上天然对应异或。代数结构提供了检错能力,硬件和软件实现则把它折叠成移位与异或。
2 为什么二进制校验天然落在 GF(2) 上
有限域可以先不从抽象定义理解。对工程师来说,最重要的是它提供了一套封闭的算术规则:在这个集合里做加、减、乘、除,结果仍然留在这个集合里。二进制校验最常用的有限域是 $GF(2)$,它只有两个元素:$0$ 和 $1$。
2.1 为什么加法就是异或
在 $GF(2)$ 中,加法规则如下:
\[0 + 0 = 0\] \[0 + 1 = 1\] \[1 + 0 = 1\] \[1 + 1 = 0\]这正好就是 XOR。关键点在最后一行:两个 $1$ 相加不会产生进位,而是回到 $0$。因此,在这个世界里不存在十进制或普通二进制整数加法里的“进位传播”。这让校验计算可以被写成并行的异或网络,也能被软件用机器字快速处理。
减法也没有额外规则,因为在 $GF(2)$ 中:
\[a - b = a + b\]例如:
\[1 - 1 = 0\] \[1 + 1 = 0\]所以多项式长除法里原本的“减去某一项”,在实现里也只是异或掉某一组比特。
2.2 为什么位串可以看成多项式
一串比特可以被解释为多项式的系数。例如比特串 101101 可以写成:
省略系数为 $0$ 的项后得到:
\[x^5 + x^3 + x^2 + 1\]这里的 $x$ 不是某个具体数值,而是一个形式变量。把位串看成多项式,并不是为了真的求 $x=2$ 时的整数值,而是为了使用多项式的除法、余数、因式和整除关系。
这个视角有一个非常重要的工程含义:左移一位相当于乘以 $x$。例如:
\[x^5 + x^3 + x^2 + 1\]左移后变成:
\[x^6 + x^4 + x^3 + x\]也就是比特串末尾补一个 $0$。这正好对应校验计算中常见的移位寄存器行为。
2.3 有限域和普通整数运算的差异
很多误解来自把 CRC 一类算法当作普通整数除法。二者的外形相似,但算术规则不同。
| 对比项 | 普通整数/普通多项式 | $GF(2)$ 上的多项式 |
|---|---|---|
| 系数范围 | 整数、实数等 | 只有 $0$ 和 $1$ |
| 加法 | 可能产生进位或系数累加 | 异或,无进位 |
| 减法 | 与加法不同 | 与加法相同 |
| 左移含义 | 整数乘以 2 | 多项式乘以 $x$ |
| 除法结果 | 商和余数按普通减法得到 | 商和余数按异或消项得到 |
因此,看到“多项式除法”时,不要把它想成 CPU 的整数除法指令。它更接近一个按最高项对齐、用异或不断消去最高项的过程。
3 生成多项式到底生成了什么
生成多项式 $g(x)$ 是循环校验码的核心参数。它不是随便挑出来的魔法常数,而是定义了哪些多项式可以被视为合法码字。
3.1 从“附加校验位”到“构造合法码字”
设原始消息多项式为 $m(x)$,生成多项式的次数为 $r$。如果要附加 $r$ 个校验比特,第一步通常是把消息左移 $r$ 位:
\[x^r m(x)\]然后用 $g(x)$ 去除它,得到余数 $p(x)$:
\[p(x) = x^r m(x) \bmod g(x)\]最后构造发送多项式:
\[c(x) = x^r m(x) + p(x)\]因为 $GF(2)$ 中加法和减法相同,所以也可以理解为“把余数补上去,让整体余数归零”。于是:
\[c(x) \bmod g(x) = 0\]这就是生成多项式生成的东西:所有能被 $g(x)$ 整除的合法码字集合。
3.2 一个小例子:用低阶多项式看清机制
为了避免一开始就陷入 32 位多项式,可以先看一个很小的例子。设:
\[m(x) = x^3 + x + 1\]对应比特串 1011。选择:
生成多项式次数为 $3$,所以先把消息左移三位:
\[x^3 m(x) = x^6 + x^4 + x^3\]接着求余:
\[x^3 m(x) \bmod g(x) = p(x)\]如果余数为:
\[p(x) = x^2 + 1\]那么发送多项式为:
\[c(x) = x^6 + x^4 + x^3 + x^2 + 1\]对应比特串就是 1011101。接收端不需要知道中间的商,只需要检查:
如果不为 $0$,就说明收到的比特串不属于这个生成多项式定义的合法集合。
3.3 为什么余数长度等于校验位宽
如果生成多项式 $g(x)$ 的次数是 $r$,那么任何多项式除以 $g(x)$ 后,余数次数都小于 $r$:
\[\deg p(x) < r\]因此余数最多需要 $r$ 个比特表示。这也是为什么一个 $r$ 次生成多项式对应 $r$ 位校验值。常见的“32 位校验”背后,就是一个次数为 $32$ 的生成多项式。
4 错误检测为什么变成了整除问题
设发送端发出的合法码字为 $c(x)$,传输或存储过程中出现错误模式 $e(x)$。接收端实际拿到的是:
\[r(x) = c(x) + e(x)\]接收端检查:
\[r(x) \bmod g(x)\]由于 $c(x)$ 本身能被 $g(x)$ 整除,有:
\[c(x) \bmod g(x) = 0\]所以:
\[r(x) \bmod g(x) = e(x) \bmod g(x)\]这条式子非常关键。它说明检错能力只取决于错误模式 $e(x)$ 是否会被 $g(x)$ 整除。如果错误模式不能被 $g(x)$ 整除,就一定能被发现;如果错误模式刚好也是 $g(x)$ 的倍数,就会漏检。
4.1 单比特错误为什么容易发现
单比特错误可以写成:
\[e(x) = x^k\]只要生成多项式不是单项式,它就不可能整除 $x^k$。实际使用的生成多项式都至少包含最高项和常数项,因此单比特错误通常都能被检测出来。
4.2 突发错误为什么是循环校验码擅长的场景
很多真实错误不是均匀散布的,而是集中在一段连续比特里。例如磁盘、链路、电气噪声、串行传输中的干扰,常常会造成一段连续位置上的比特异常。这类错误可以抽象成突发错误。
长度不超过 $r$ 的突发错误,其错误多项式可以写成:
\[e(x) = x^i b(x)\]其中 $b(x)$ 的次数小于 $r$,且首尾项非零。若生成多项式 $g(x)$ 的次数为 $r$,并且包含常数项,那么 $g(x)$ 不会整除这种低于自身次数的突发模式。因此,次数为 $r$ 的生成多项式可以保证检测长度不超过 $r$ 的突发错误。
这就是循环校验码在通信和存储系统中长期有生命力的原因之一:它不是平均意义上“看起来不错”,而是对某些常见错误形态有明确的代数保证。
4.3 奇数个比特错误和因子 $x+1$
如果生成多项式包含因子 $x+1$,那么它可以检测所有奇数个比特翻转。原因是把一个错误多项式代入 $x=1$:
\[e(1)\]在 $GF(2)$ 中,这个值等于错误比特个数的奇偶性。如果错误比特个数为奇数,则:
\[e(1) = 1\]而任何包含因子 $x+1$ 的多项式,在 $x=1$ 处取值为 $0$。因此奇数权重的错误多项式不可能被这样的生成多项式整除。
这个结论也提醒我们:生成多项式的因子结构会直接影响它能系统性排除哪些错误模式。
5 循环结构为什么重要
“循环”这个词不是修饰语。循环码有一个特殊性质:如果一个码字合法,那么它的循环移位仍然合法。这让码字集合可以用多项式环里的理想来描述,不过工程上不必一开始就陷入抽象代数。
5.1 乘以 $x$ 和移位的关系
在普通位串里,移位只是位置变化;在多项式表示里,左移对应乘以 $x$。如果考虑固定长度 $n$ 的码字,并让最高位再绕回最低位,就相当于在下面这个关系下做运算:
\[x^n = 1\]也就是在模 $x^n - 1$ 的多项式世界里工作:
\[GF(2)[x] / (x^n - 1)\]这解释了为什么循环码和生成多项式天然联系在一起:一个循环码可以看作由某个生成多项式 $g(x)$ 生成的倍数集合,而 $g(x)$ 通常是 $x^n - 1$ 的因子。
5.2 从数学结构到移位寄存器
多项式模除法每一步都在做同一件事:
- 看当前最高项是否需要消去。
- 如果需要,就把生成多项式对齐到这个最高项。
- 用异或消去这一组项。
- 继续向低次项推进。
这正好可以用线性反馈移位寄存器表示。寄存器保存当前余数,输入比特逐个进入;当反馈位为 $1$ 时,把生成多项式中对应的抽头异或到寄存器里。所谓“抽头”,本质上就是生成多项式里哪些系数为 $1$。
6 生成多项式不是越长越好
校验位宽越大,随机错误漏检概率通常越低,但这不等于“位宽越长就自动更适合”。生成多项式的选择要同时看错误模型、消息长度、协议约束和实现成本。
6.1 汉明距离关心的是最小不可区分差异
一个码的汉明距离可以理解为任意两个合法码字之间至少相差多少个比特。距离越大,越能保证发现更多低重量错误。
如果一个码的最小汉明距离为 $d$,那么它可以检测任意少于 $d$ 个比特的错误:
\[w(e) < d\]其中 $w(e)$ 表示错误模式中非零项的个数。生成多项式会影响这个距离,但距离还与消息长度有关。同一个生成多项式,在短帧上可能具有很高的检测能力,到了很长的数据块上保证就会下降。
6.2 常见多项式不代表所有场景最优
工程上常见的多项式往往来自标准、历史兼容和实现生态。例如很多系统使用 32 位校验,但不同协议可能选用不同的 32 位生成多项式。选择时需要回答几个问题:
| 问题 | 影响 |
|---|---|
| 最大消息长度是多少 | 决定目标汉明距离能保持到多长 |
| 错误更像随机翻转还是突发错误 | 决定该优先优化哪类错误模型 |
| 是否必须兼容既有协议 | 决定能不能更换多项式 |
| 软件还是硬件实现 | 影响查表、并行展开和寄存器抽头设计 |
| 是否需要检测全零前缀、尾部填充等异常 | 影响初值、终值异或和数据预处理 |
因此,生成多项式不是一个孤立常数,而是一组工程假设的压缩表达。
6.3 多项式表示也会带来混淆
同一个生成多项式可能有不同写法。例如有的文档省略最高项,因为最高项必然为 $1$;有的文档使用正常位序,有的文档使用反射位序;有的实现把多项式写成适合右移寄存器的形式。
以常见 32 位校验多项式为例,其正常表示常写为 0x04C11DB7,反射实现中常见的表示则是 0xEDB88320。这两个数看起来不同,但常常描述的是同一组代数约束在不同位序下的实现形态。
所以阅读协议或代码时,至少要同时确认:
- 多项式宽度。
- 多项式十六进制表示是否省略最高项。
- 输入比特是否反射。
- 输出余数是否反射。
- 初始寄存器值。
- 最终是否异或固定值。
只看一个 poly 参数,很容易把数学对象和实现约定混在一起。
7 从代数到实现时会遇到哪些约束
一旦进入工程实现,核心问题就从“能不能算”变成“怎样在给定资源下算得足够快、足够稳定、足够容易验证”。
7.1 串行实现:最接近多项式长除法
按 bit 串行处理最容易和数学过程对齐。每来一个输入比特,寄存器移位一次,根据反馈位决定是否异或生成多项式抽头。这种方式面积小、逻辑简单、适合低速链路或资源受限场景。
它的限制也很明显:每个周期只处理一个 bit,吞吐率直接受时钟和接口宽度限制。如果数据路径本身是 8 bit、32 bit 或 512 bit 宽,逐 bit 处理就会成为瓶颈。
7.2 查表实现:用空间换时间
软件中常见的 byte-at-a-time 查表法,本质上是把连续 8 次移位和条件异或预先合并成一个表项。处理一个字节时,只需用当前余数的一部分和输入字节形成索引,再查表更新余数。
更激进的 slicing-by-N 方法会同时使用多张表,把多个字节的影响并行折叠进余数。它减少循环次数,但会增加表空间、缓存压力和端序处理复杂度。
7.3 并行硬件:把多轮状态转移展开
在硬件里,如果每周期要处理 $k$ 个 bit,就可以把“单 bit 状态转移”连续展开 $k$ 次,得到输入数据和旧余数到新余数的一组 XOR 方程。
形式上可以把一次状态更新看成矩阵变换:
\[s_{t+1} = A s_t + B d_t\]连续处理 $k$ 个 bit 后变成:
\[s_{t+k} = A^k s_t + \sum_{i=0}^{k-1} A^i B d_{t+k-1-i}\]实现上,这会变成一片组合 XOR 网络。吞吐率提高了,但代价是逻辑扇入、布线延迟、时序收敛和验证复杂度上升。对 FPGA 来说,还要关心 LUT 利用率和跨区域布线;对 ASIC 来说,则要看面积、功耗和时钟目标。
7.4 参数化实现最容易错在边界
很多校验错误不是多项式本身错了,而是边界约定不一致:
| 易错点 | 典型后果 |
|---|---|
| bit 输入顺序不一致 | 与标准测试向量不匹配 |
| 初值设错 | 空消息或短消息结果异常 |
| 反射处理重复或遗漏 | 软件和硬件结果互为位反转变体 |
| 末尾补零规则理解错误 | 余数计算偏移一个校验宽度 |
| 大小端混淆 | 多字节接口下结果随平台变化 |
因此,严肃实现需要同时保留数学定义、协议参数表和测试向量。只靠肉眼比较多项式常数并不可靠。
8 常见误解与边界
理解有限域和生成多项式后,很多流行说法可以被更精确地限定。
8.1 “校验值越长越安全”并不完整
更长的校验值通常降低随机漏检概率,也能覆盖更长的突发错误。但如果多项式选择不合适,或者消息长度远超该多项式的设计区间,实际汉明距离可能并不理想。位宽是重要变量,但不是唯一变量。
8.2 “生成多项式只是一个常数”会遮蔽设计目标
生成多项式的因子、权重、阶、与消息长度的关系,都会影响检错性质。把它只当作代码里的 POLY 常量,会让人忽视它背后的错误模型和协议假设。
8.3 “结果不一致就是多项式错了”经常误判
同一个数学多项式,在不同实现约定下会产生不同中间值和不同十六进制常数。排查时应先确认参数全集,而不是立刻更换多项式。
8.4 “循环校验码能保证数据正确”是过度表述
校验码只能检测它能够区分的错误模式。它不提供密码学意义上的抗伪造能力,也不能替代认证码或数字签名。对偶发传输错误和存储错误,它很有效;对主动攻击者,它不是安全边界。
9 继续深入时应该抓住哪条主线
如果只保留一条主线,可以这样记:
- 比特不是普通整数,而是 $GF(2)$ 上的系数。
- 位串可以表示为多项式。
- 生成多项式定义了合法码字集合。
- 校验过程是在检查接收多项式是否能被生成多项式整除。
- 错误检测能力取决于错误多项式是否会落入生成多项式的倍数集合。
- 工程实现是把多项式模除折叠成移位、异或、查表或并行 XOR 网络。
进一步学习时,可以沿着三条路径展开。
第一条是数学路径:研究循环码、有限域扩展、BCH 码和 Reed-Solomon 码。它能解释为什么生成多项式的根、因子和最小距离之间存在深层关系。
第二条是实现路径:从 bit 串行算法推导 byte 查表,再推导 slicing-by-N 和并行矩阵展开。它能解释为什么同一个校验规则在软件、FPGA 和 ASIC 中会呈现完全不同的形态。
第三条是工程选择路径:根据消息长度、错误模型、兼容要求和资源约束选择多项式与参数。它能帮助我们判断什么时候沿用标准,什么时候需要重新评估校验方案。
有限域和生成多项式看起来抽象,但它们真正的价值在于给低成本位运算提供了可分析的保证。只要抓住“余数”和“整除”这两个核心概念,很多校验算法的复杂表象都会收束到同一套清晰的机制上。
10 参考资料
- W. W. Peterson, D. T. Brown, “Cyclic Codes for Error Detection”, Proceedings of the IRE, 1961.
- Ross N. Williams, “A Painless Guide to CRC Error Detection Algorithms”, 1996, https://www.ross.net/crc/download/crc_v3.txt
- Philip Koopman, “Best CRC Polynomials”, Carnegie Mellon University, https://users.ece.cmu.edu/~koopman/crc/
- CRC RevEng, “Catalogue of parametrised CRC algorithms”, https://reveng.sourceforge.io/crc-catalogue/all.htm
- RFC Editor, “RFC 3385: Internet Protocol Small Computer System Interface (iSCSI) Cyclic Redundancy Check (CRC)/Checksum Considerations”, https://www.rfc-editor.org/rfc/rfc3385
- W3C, “Portable Network Graphics (PNG) Specification, Second Edition”, https://www.w3.org/TR/PNG/
