应用软件安全编程-20生成强随机数

JavaAPI 提 供 了java,util.Random  类 来 实 现PRNG。   这 个 PRNG   是可移植和可重复的。因此，如

果 两 个java.util.Random 类的实例使用了相同的种子，会在所有的 Java 实 现 中 生 成 相 同 的 数 值 序 列 。 在应用初始化时，或者在每一 次系统重启后，种子常常会被重用。在其他情况下，种子会从系统时钟基  于当前的时刻获取。攻击者可以通过对有漏洞的目标系统做探查而获取种子数值，然后可以建立 一 个  查找表来对所有的种子值进行估计。

因 此 ，java.util.Random 不能在安全应用或者在需对敏感数据进行保护的场合使用(如：密码学), 应该使用更安全的随机数生成器，比如java.security.SecureRandom、java.util.concurrent.ThreadLocal-

Random  类。可预测的随机数序列在像密码学这样的关键应用中会消弱其安全性。

对于生成强随机数的情况，示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法 (Java语言)示例。

示例1:
 
import java.util.Random;
 
//...
 
Random      number      =      new      Random(123L);
 
/1...
 
for(inti=0;i<20;i++){
 
// Generate another random integer in the range [0,20]
 
int      n      =      number.nextInt(21);
 
System.out.println(n);
 
 

在如上示例中，使用了java.util.Random 生成随机数。

示例2:
 
import java.security.SecureRandom;
 
import java.security.NoSuchAlgorithmException;
 
//...
 
public  static  void  main(String  args[]){
 
try {
 
SecureRandom number =  SecureRandom.getInstance("SHA1PRNG");
 
// Generate 20 integers 0..20
 
for(inti    =    0;i<20;i++){
 
System.out.println(number.nextInt(21));
 
 
 
}catch(NoSuchAlgorithmExceptionnsae){
 
//    Forward    to    handler
 
 
 
 

在如上示例中，使用了java.security.SecureRandom 生成随机数。