java random 随机性和安全性小议

Posted 大树叶

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了java random 随机性和安全性小议相关的知识,希望对你有一定的参考价值。

在Java 代码中,生成随机数可以用 Random、SecurityRandom、ThreadLocalRandom和Math.random()。

  1. Random类
    它也是java.util.Random 工具类。
    基本算法:linear congruential pseudorandom number generator (LGC) 线性同余法伪随机数生成器缺点:可预测。在注重信息安全的应用中,不要使用 LCG 算法生成随机数,请使用 SecureRandom。
    Random类默认使用当前系统时钟作为种子。

  2. Math.random() 静态方法
    当第一次调用 Math.random() 方法时,自动创建了一个伪随机数生成器,实际上用的是 new java.util.Random()。当接下来继续调用 Math.random() 方法时,就会使用这个新的伪随机数生成器。
    源码如下:

public static double random()  {    
Random rnd = randomNumberGenerator;   
 if (rnd == null) rnd = initRNG(); // 第一次调用,创建一个伪随机数生成器    return rnd.nextDouble();
 }
 
 private static synchronized Random initRNG()  {  
   Random rnd = randomNumberGenerator;    
   return (rnd == null) ? (randomNumberGenerator = new Random()) : rnd; 
   // 实际上用的是new java.util.Random()
   }
  1. Random() 是线程安全的,内部的Seed 是全局变量,多线程生成随机数时,使用了 cas. Random类默认使用当前系统时钟作为种子。只要种子一样,产生的随机数也一样: 因为种子确定,随机数算法也确定,因此输出是确定的!

3.ThreadLocalRandom
ThreadLocalRandom 是 Java7 新增的,给多线程并发使用的 , 速度比Random 要快。 ThreadLocalRandom 是通过 ThreadLocal 改进的用于随机生成的工具类,每个线程单独持有一个,不存在竞争问题。

ThreadLocalRandom threadLocalRandom = ThreadLocalRandom.current();
for(int i=0;i<10;i++){
    System.out.println(threadLocalRandom.nextInt(10));
}

构造方法是 private ,只能是单例模式,不能够设置 seed

4.SecurityRandom
SeurityRandom 内置两种随机数算法,NativePrRNG 和 SHA1PRNG 。通过 new 来创建,默认使用 NavivePRNG 算法生成随机数,也可以通过参数修改。也可以通过 getInstance 来初始化对象,有一个参数传递算法名就可以,第二个参数指定算法程序包 。SHA1PRNG 的性能比 NATIVEPRNG 性能好一倍。可以使用 new创建 ,也可以是静态方法getInstance() 获取,可以设置 seed ,如果seed 固定,那么随机的结果也将不变。

  1. 如果仅指定算法名称
    如下所示:
SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
  1. 如果既指定了算法名称又指定了包提供程序
    如下所示:
SecureRandom random = ecureRandom.getInstance("SHA1PRNG", "SUN");

总结:
1)随机性
使用随机数,对安全要求不高的情况,使用Random,
要求较高使用 SecurityRandom。

  1. 线程安全性
    Random 是线程安全的,用CAS 保持,但是性能不高。
    SecureRandom 也是线程安全的,但是性能不高。
    多线程情况下尽量使用 ThreadLocalRandom。

2)关于随机性的讨论
Instances of java.util.Random are not cryptographically secure. Consider instead using SecureRandom to get a cryptographically secure pseudo-random number generator for use by security-sensitive applications.SecureRandom takes Random Data from your os (they can be interval between keystrokes etc - most os collect these data store them in files - /dev/random and /dev/urandom in case of linux/solaris) and uses that as the seed.
操作系统收集了一些随机事件,比如鼠标点击,键盘点击等等,SecureRandom 使用这些随机事件作为种子。

  1. Math.random()是令系统随机选取大于等于 0.0 且小于 1.0 的伪随机 double 值,是Java语言常用代码。例如:Number=Math.random()3+1,设置一个随机1到4的变量;
    Random 类有含参数和不含参数的构造;其中不含参的构造方法每次都是使用当前系统时间作为种子,而含参构造是使用一个固定值(参数)作为种子(种子也就是Random生成随机数时使用的参数)。每次使用时先创建一个Random对象,也叫随机数生成器,然后调用Random.next
    *()方法获取数值。
    java.util.Random类中
    ①随机数是种子经过计算生成的。
    ②Random类中不含参的构造函数每次都是使用当前时间作为种子,随机性更强;而含参数的构造函数是以参数为种子产生的伪随机数,更有可预见性。
    ③具有相同种子值的Random对象生成的随机数相同;种子值不同,产生的随机数不再一致。

Math.random()方法中内部调用的方法就是Random类中的nextDouble()方法。
5. 使用 java.security.egd 选项来执行 java程序。

通过测试可以发现,hotspot需要使用配置项"-Djava.security.egd=file:/dev/./urandom"才能从urandom读取数据,这里openjdk做了优化,直接从urandom读取数据。SecureRandom在java各种组件中使用广泛,可以可靠的产生随机数。但在大量产生随机数的场景下,性能会较低。这时可以使用
“-Djava.security.egd=file:/dev/./urandom”
加快随机数产生过程。例如,可以用下面的例子来启动jar

java ${JAVA_OPTS} -Djava.security.egd=file:/dev/./urandom -jar /data/server/app.jar

以上是关于java random 随机性和安全性小议的主要内容,如果未能解决你的问题,请参考以下文章

java编码中怎样产生四位随机数

java获取随机数的几种方法

java怎样产生不同随机数

关于网络安全攻防演化博弈的研究小议

java如何实现这样的随机数字呢?

java怎么获得以当前时间为种子的随机数?