本文主要介绍java里的一些随机函数实现与用法,也会附带介绍一些随机数知识。
目前计算机实现的随机函数过程中,都是伪随机的,不过,可以实现统计学意义上的随机。比如手机鼠标移动位置,点击,系统的参数等等作为种子,这种随机统计上看起来就是“真随机数”了,具有较高的安全性。当然对于多线程,仍然需要做一些讨论。
关键字:随机数,java,伪随机数,种子, SecureRandom
1、分类
随机数被准确地分成了三类:真随机数、准随机数、伪随机数。那么这三种的区别是什么呢?书上的定义:
1)真随机数 :产生的数不可预计,也不可能重复产生两个相同的真随机数序列。真随机数只能通过某些随机的物理过程来产生,如放射性衰变、电子设备的热噪声等。java里将一些不可测的因素引入,收集计算机的各种信息,如键盘输入时间,CPU时钟,内存使用状态,硬盘空闲空间,IO延时,进程数量,线程数量等信息,来得到一个近似随机的种子。我们暂且将这种随机数称为真随机。比如linux里的/dev/random(会产生阻塞)与/dev/urandom(不会产生阻塞)
2)准随机数:其随机数序列不具备随机性质,仅仅是用它来处理问题能够得到正确的结果。分布相对于伪随机数更为均匀。(参考本文底部 [2],[3])
3)伪随机数:通过某种数学公式或者算法产生的数值序列。虽然在数学意义上伪随机数是不随机的,但是如果能够通过统计检验,可以当成真随机数使用。
本文讨论的都是伪随机数和真随机数。伪随机数生成器被称为PRNG(Pseudo-random number generator, PRNG)
2、java里的随机实现主要有三个类
- Random : 伪随机的方式提供随机
- SecureRandom : 真随机
- ThreadLocalRandom :线程安全的伪随机
3、Random有两种方式来制作伪随机。
一种是通过种子的方式。
如传一个参数123
/**
* 测试伪随机数种子发生器
*
*/
@Test
public void testRandomNumber() {
//以随机数 123 为例,他每次产生的随机数都是固定的 -5106534569952410475L
Random random = new Random(123);
long l = random.nextLong();
assertEquals(-5106534569952410475L, l);
}
4、Random VS SerureRandom
Random类是Java最基本的提供随机的方式。其中ThreadLocalRandom是jdk7才出现的,是Random的增强版,功能上与Random类似。主要区别是:在并发访问的环境下,使用ThreadLocalRandom来代替Random可以减少多线程竞争,最终保证系统具有更好的线程安全。在不考虑并发的场景下,与Random功能相同。
/**
* 测试安全随机
*
*/
@Test
public void testSecureRandomNumber() {
// 每次产生的随机数都是不固定的
SecureRandom random = new SecureRandom();
long number = random.nextLong();
System.out.println("number = " + number);
}
5、重点介绍SecureRandom
他继承Random,但是比Random更为安全
SecureRandom r = new SecureRandom();
System.out.println("r = " + r.nextInt());
通过输出,很容易看到,每次的结果都不一样。
查看构造方法,发现调用了getDefaultPRNG()这个方法,继续查看这个方法。发现现实调用getPrngAlgorithm();这个方法得个算法名称。
以上是jdk的实现,我们写个单元测试看看输出是什么:
@Test
public void testPrivode() {
for (Provider p : Providers.getProviderList().providers()) {
for (Provider.Service s : p.getServices()) {
if (s.getType().equals("SecureRandom")) {
System.out.println("s.getProvider() = " + s.getProvider());
System.out.println("s.getType() = " + s.getType());
System.out.println("algorithm :" + s.getAlgorithm());
}
}
}
}
输出:
s.getProvider() = SUN version 1.8
s.getType() = SecureRandom
algorithm :SHA1PRNG
s.getProvider() = SunMSCAPI version 1.8
s.getType() = SecureRandom
algorithm :Windows-PRNG
我们看出这里有两个输出,实际上程序运行时会选择第一个(还不清楚为什么是第一个),也就是SHA1PRNG。 (不太清楚这个算法的具体逻辑?以及和线性同余的PRNG的算法有何区别?)
如果第一步getDefaultPRNG获取失败,然后调用SecureRandom.getInstance("算法名称");
java提供的随机函数,通过如下方式获取。
Security.getProviders()
/**
* 遍历提供商提供的算法
*/
@Test
public void test() {
Provider[] providers = Security.getProviders();
for (Provider it : providers) {
System.out.println("provider name: " + it.getName());
for (Provider.Service s : it.getServices()) {
System.out.println("type :" + s.getType() + ",algorithm :" + s.getAlgorithm());
}
}
}
/**
* 遍历提供商
*/
@Test
public void testProviders() {
Provider[] providers = Security.getProviders();
for (Provider it : providers) {
System.out.println("provider name: " + it.getName());
}
}
输出
provider name: SUN
provider name: SunRsaSign
provider name: SunEC
provider name: SunJSSE
provider name: SunJCE
provider name: SunJGSS
provider name: SunSASL
provider name: XMLDSig
provider name: SunPCSC
provider name: SunMSCAPI
本文参考文章,感谢下列文章作者的付出:
[1] 伪随机数算法(一)
[2] 伪随机数与准随机数的比较
[3] 随机数与伪随机数
[4] 利用系统时间可预测破解java随机数
[5] 当随机不够随机:一个在线扑克游戏的教训
[6] Java 8 SecureRandom 生成随机数