Java中的随机数生成器：Random，ThreadLocalRandom，SecureRandom

 

Java中的随机数生成器：Random，ThreadLocalRandom，SecureRandom

 

文中的

Random即：java.util.Random，
ThreadLocalRandom 即：java.util.concurrent.ThreadLocalRandom
SecureRandom即：java.security.SecureRandom


Q：Random是否是线程安全的？
A：Random是线程安全的，可是多线程下可能性能比较低。
参考：
http://docs.oracle.com/javase/7/docs/api/java/util/Random.html
http://stackoverflow.com/questions/5819638/is-random-class-thread-safe

Q：ThreadLocalRandom为何这么快？
A：其实这个看下源码就知道了。。由于Random用了不少CAS的类，ThreadLocalRandom根本没有用到。

Q：为何在高强度要求的状况下，不要用Random？

A：特别是在生成验证码的状况下，不要使用Random，由于它是线性可预测的。记得有个新闻说的是一个赌博网站，为了说明其公平，公开的它的源代码，结果由于随机数可预测漏洞被攻击了。因此在安全性要求比较高的场合，应当使用SecureRandom。

update 2014-4-22:  http://news.cnblogs.com/n/206074/

参考：http://www.inbreak.net/archives/349

Q：从理论上来讲计算机产生的随机数都是伪随机数，那么如何产生高强度的随机数？
A：产生高强度的随机数，有两个重要的因素：种子和算法。固然算法是能够有不少的，可是如何选择种子是很是关键的因素。如Random，它的种子是System.currentTimeMillis()，因此它的随机数都是可预测的。那么如何获得一个近似随机的种子？这里有一个很别致的思路：收集计算机的各类信息，如键盘输入时间，CPU时钟，内存使用状态，硬盘空闲空间，IO延时，进程数量，线程数量等信息，来获得一个近似随机的种子。这样的话，除了理论上有破解的可能，实际上基本没有被破解的可能。而事实上，如今的高强度的随机数生成器都是这样实现的。
好比Windows下的随机数生成器：
http://blogs.msdn.com/b/michael_howard/archive/2005/01/14/353379.aspx
http://msdn.microsoft.com/en-us/library/aa379942%28VS.85%29.aspx
Linux下的 /dev/random：
http://zh.wikipedia.org/wiki//dev/random
据SecureRandom的Java doc，说到在类unix系统下，有多是利用 /dev/random，来实现的。


其它的一些有意思的东东：
最快的安全性要求不高的生成UUID的方法（注意，强度不高，有可能会重复）：

new UUID(ThreadLocalRandom.current().nextLong(), ThreadLocalRandom.current().nextLong());

在一个网站上看到的，忘记出处了。


随机生成产生随机数的函数？
是否能够利用一个随机数生成器来生成一系列的随机代码，而后做为一个新的随机数生成器？貌似强度是传递的，彷佛没意义。