JavaAPI 提 供 了java,util.Random 类 来 实 现PRNG。 这 个 PRNG 是可移植和可重复的。因此,如
果 两 个java.util.Random 类的实例使用了相同的种子,会在所有的 Java 实 现 中 生 成 相 同 的 数 值 序 列 。 在应用初始化时,或者在每一 次系统重启后,种子常常会被重用。在其他情况下,种子会从系统时钟基 于当前的时刻获取。攻击者可以通过对有漏洞的目标系统做探查而获取种子数值,然后可以建立 一 个 查找表来对所有的种子值进行估计。
因 此 ,java.util.Random 不能在安全应用或者在需对敏感数据进行保护的场合使用(如:密码学), 应该使用更安全的随机数生成器,比如java.security.SecureRandom、java.util.concurrent.ThreadLocal-
Random 类。可预测的随机数序列在像密码学这样的关键应用中会消弱其安全性。
对于生成强随机数的情况,示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法 (Java语言)示例。
- 示例1:
-
- import java.util.Random;
-
- //...
-
- Random number = new Random(123L);
-
- /1...
-
- for(inti=0;i<20;i++){
-
- // Generate another random integer in the range [0,20]
-
- int n = number.nextInt(21);
-
- System.out.println(n);
-
-
在如上示例中,使用了java.util.Random 生成随机数。
- 示例2:
-
- import java.security.SecureRandom;
-
- import java.security.NoSuchAlgorithmException;
-
- //...
-
- public static void main(String args[]){
-
- try {
-
- SecureRandom number = SecureRandom.getInstance("SHA1PRNG");
-
- // Generate 20 integers 0..20
-
- for(inti = 0;i<20;i++){
-
- System.out.println(number.nextInt(21));
-
-
-
- }catch(NoSuchAlgorithmExceptionnsae){
-
- // Forward to handler
-
-
-
-
在如上示例中,使用了java.security.SecureRandom 生成随机数。