Tip:

打开security的debug log

通过设置参数

-Djava.security.debug=all

可以控制台看到所有security的log

在JAVA中的配置发生器

在JAVA中可以通过两种方式去设置指定的随机数发生器

1.-Djava.security.egd=file:/dev/random或者 -Djava.security.egd=file:/dev/urandom

2.修改配置文件java.security 在jvm_home\jre\lib\security

参数securerandom.source=file:/dev/urandom

/dev/random 是堵塞的，在读取随机数的时候，当熵池值为空的时候会堵塞影响性能，尤其是系统大并发的生成随机数的时候，如果在随机数要求不高的情况下，可以去读取/dev/urandom

整个流程如下：

JAVA中首先读取系统参数java.security.egd，

如果值为空的时候，读取java.security配置文件中的参数securerandom.source,

在通常情况下，就是读取参数securerandom.source，默认值是/dev/urandom，也就是因该是不堵塞的。

但实际情况是，在测试linux环境下的时候，你会发现默认值却是堵塞的。 

 

我们知道，Random类中实现的随机算法是伪随机，也就是有规则的随机。在进行随机时，随机算法的起源数字称为种子数(seed)，在种子数的基础上进行一定的变换，从而产生需要的随机数字。

相同种子数的Random对象，相同次数生成的随机数字是完全相同的。也就是说，两个种子数相同的Random对象，生成的随机数字完全相同。

所以在需要频繁生成随机数，或者安全要求较高的时候， 不要使用Random，因为其生成的值其实是可以预测的。

• SecureRandom类提供加密的强随机数生成器 (RNG)
• 当然，它的许多实现都是伪随机数生成器 (PRNG) 形式，这意味着它们将使用确定的算法根据实际的随机种子生成伪随机序列
• 也有其他实现可以生成实际的随机数
• 还有另一些实现则可能结合使用这两项技术

 

SecureRandom和Random都是，也是如果种子一样，产生的随机数也一样： 因为种子确定，随机数算法也确定，因此输出是确定的。

只是说， SecureRandom类收集了一些随机事件，比如鼠标点击，键盘点击等等，SecureRandom 使用这些随机事件作为种子。这意味着，种子是不可预测的，而不像Random默认使用系统当前时间的毫秒数作为种子，有规律可寻。

 

SecureRandom generater = new SecureRandom(); System.out.println(generater.nextInt(37)); 

1、创建SecureRandom

内置两种随机数算法，NativePRNG和SHA1PRNG，看实例化的方法了。

1.1 new

通过new来初始化，默认来说会使用NativePRNG算法生成随机数，但是也可以配置-Djava.security参数来修改调用的算法，如果是/dev/[u]random两者之一就是NativePRNG，否则就是SHA1PRNG。

 

在JVM启动参数这样加就好了，-Djava.security=file:/dev/ urandom 或者 -Djava.security=file:/dev/random

1.2 getInstance

可以通过getInstance来初始化对象：

• 其中需要传参的方法，则传算法名即可，如果不存在算法会抛出异常；
• 另外需要传参，传两个参数的，第二个参数还可以指定算法程序包。

SecureRandom secureRandom = new SecureRandom();SecureRandom secureRandom3 = SecureRandom.getInstance("SHA1PRNG");SecureRandom secureRandom2 = SecureRandom.getInstance("SHA1PRNG", "SUN");

 

 

 

---

 

2、SecureRandom的使用

通常的nextInt之类的方法就不列举了，和Random的使用是类似的，这里举两个其他方法意思意思。

 

2.1 nextBytes(byte[] bytes)

Typical callers of SecureRandom invoke the following methods to retrieve random bytes: 

可以获取随机的一个byte数组，注意这里不是返回，这个方法是void返回类型，是直接随机改变了test

SecureRandom random = new SecureRandom();byte[] test = new byte[20];random.nextBytes(test);

 

2.2 generateSeed(int numBytes)

Callers may also invoke the generateSeed method to generate a given number of seed bytes (to seed other random number generators, for example): 

通常，也可以使用generateSeed方法，来获取一个随机的byte数组，这个数组中的数通常可以用来做其他随机生成器的种子

 

byte seed[] = random.generateSeed(20);

2.3 示例 彩票随机生成器

这是伟哥写的一个彩票生成器的代码，也是从里面我再延伸去学习的SecureRandom，如下：

private List
      
       
        > generateCakes(int num, int seedLength, int rowLen) {    SecureRandom random = new SecureRandom();    byte[] seeds = SecureRandom.getSeed(seedLength); //获取随机的byte数组，用来后续作为种子    int counter = 0;    int realCount = 0;    int tmprows = 0;    List
        
         
          > CakesList = new ArrayList
          
           
            >(); while (num > tmprows) { List
            
              list = new ArrayList
             
              (); while (counter < rowLen) { random.setSeed(seeds); //设置种子 int cake = random.nextInt(38); //随机生成0-37的数字 if (!list.contains(cake) && 0 != cake) { list.add(cake); counter++; } random.nextBytes(seeds); //随机获取新的byte数组用以作为下次的种子，不断循环 realCount++; } Collections.sort(list); pairs++; tmprows++; counter = 0; CakesList.add(list); if (pairs % Constants.MSG_COUNT == 0) { System.out.println(pairs + " cakes generated."); } } System.out.println("乱数取得回数：" + realCount); return CakesList;}
             
            
           
          
         
        
       
      

 

 

---

 

3、其他 关于种子seed获取思路

产生高强度的随机数，有两个重要的因素：种子和算法。当然算法是可以有很多的，但是如何选择种子是非常关键的因素。

 

如Random，它的种子是System.currentTimeMillis()，所以它的随机数都是可预测的。可预测有什么危险呢，可以看两个案例：

• 《》
• 《》

 

那么如何得到一个近似随机的种子？这里有一个思路：

• 收集计算机的各种信息，如键盘输入时间，CPU时钟，内存使用状态，硬盘空闲空间，IO延时，进程数量，线程数量等信息，来得到一个近似随机的种子
• 这样的话，除了理论上有破解的可能，实际上基本没有被破解的可能。而事实上，现在的高强度的随机数生成器都是这样实现的

 

---

 

4、参考链接

 

https://www.cnblogs.com/deng-cc/p/8064481.html