Java SecureRandom的一点记录

最新推荐文章于 2025-09-12 11:09:33 发布
最新推荐文章于 2025-09-12 11:09:33 发布 · 734 阅读 · 0
文章标签:

#securerandom #卡 #java #prng

本文探讨了Java中SecureRandom类在Linux环境下可能导致线程阻塞的问题。具体介绍了SecureRandom的工作原理,不同操作系统下的默认算法,以及如何通过配置避免性能瓶颈。
先记录一下两个帖子的地址:
1. [url=https://www.cigital.com/blog/proper-use-of-javas-securerandom/]Proper Use Of Java SecureRandom[/url]
2. [url=https://tersesystems.com/2015/12/17/the-right-way-to-use-securerandom/]The Right Way to Use SecureRandom[/url]

JDK版本: 1.8.0_66

事情的起因还是 SecureRandom.generateSeed()在Linux系统上卡住导致线程block这个现象。见讨论:
http://stackoverflow.com/questions/137212/how-to-solve-performance-problem-with-java-securerandom

事实上,如果使用SecureRandom.getInstanceStrong()这种方法初始化SecureRandom对象的话,也会在Linux上产生类似问题。

记录一下知识点(这玩意儿其实挺冷门的):
1.SecureRandom本身并不是伪随机算法的实现,而是使用了其他类提供的算法来获取伪随机数。

2.如果简单的new一个SecureRandom对象的话,在不同的操作平台会获取到不同的算法,windows默认是SHA1PRNG,Linux的话是NativePRNG。

3. Linux下的NativePRNG,如果调用generateSeed()方法,这个方法会读取Linux系统的/dev/random文件,这个文件在JAVA_HOME/jre/lib/securiy/java.security里面有默认定义。而/dev/random文件是动态生成的,如果没有数据,就会阻塞(后面这句结论阻塞正确,至于为什么阻塞没细看)。也就造成了第一个现象。

4.可以使用-Djava.security.egd=file:/dev/./urandom (这个文件名多个u)强制使用/dev/urandom这个文件,避免阻塞现象。中间加个点的解释是因为某个JDK BUG,SO那个帖子有链接。

5.如果使用SecureRandom.getInstanceStrong()这种方法初始化SecureRandom对象的话,会使用NativePRNGBlocking这个算法,而NativePRNGBlocking算法的特性如下:
NativePRNGBlocking uses /dev/random for all of the following operations:
Initial seeding: This initializes an internal SHA1PRNG instance using 20 bytes from /dev/random
Calls to nextBytes(), nextInt(), etc.: This provides the XOR of the output from the internal SHA1PRNG instance (see above) and data read from /dev/random
Calls to getSeed(): This provides data read from /dev/random

可见这个算法完全依赖/dev/random,所以当这个文件随机数不够的时候,自然会导致卡顿了。
6.如果使用NativePRNGBlocking算法的话,4中的系统参数失效!!!(这个是从http://hongjiang.info/java8-nativeprng-blocking/看到的)
7.一般使用SecureRandom不需要设置Seed,不需要设置算法,使用默认的,甚至一个静态的即可,如果有需求的话可以在运行一段时间后setSeed一下。(这点是自己总结的)
SecureRandom
weixin_30307267的博客
12-19 685
我们知道,Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字。相同种子数的Random对象,相同次数生成的随机数字是完全相同的。也就是说,两个种子数相同的Random对象,生成的随机数字完全相同。所以在需要频繁生成随机数,或者安全要求较高的时候,不要使用Random,因为其生成的...
Java基础篇--SecureRandom(安全随机)类
qq_53058639的博客
02-24 3910
类是Java中用于生成安全的随机数的一个类。与普通的不同,它提供了一种可信赖的随机数生成器,用于生成具有高度随机性的随机数。类的实例使用了更加安全的随机数生成算法,这些算法通常经过密码学安全专家的审查认证。它们被设计为在保密性、完整性不可预测性等方面具有更高的安全性。下面是一些nextInt():生成一个伪随机的int值。// 生成int范围内的随机整数:生成一个介于0(包括)指定值n(不包括)之间的伪随机int值。// 生成0到99之间的随机整数。
java 生成随机数的5种方式 其中SecureRandom可指定算法
最新发布
从对比中寻找伤害
09-12 1109
本文介绍了Java中生成随机数的多种方法:1. 基础方法(非安全场景)包括Math.random()Random类,适用于游戏、测试等场景;2. 安全随机数生成使用SecureRandom类,支持DRBG算法,适用于加密等高安全需求场景;3. 多线程环境下推荐使用ThreadLocalRandom;4. 高级技巧包括自定义随机分布。文章还对比了不同随机数生成器的特性,并提供了详细的代码示例安全配置说明。
Java编码指南:编写安全可靠程序的75条建议》—— 指南14:确保SecureRandom正确地选择随机数种子...
weixin_33721344的博客
05-02 331
本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.14节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),...
linux文本模式住,SecureRandom linux 下 住的解决方案
weixin_32159771的博客
05-13 596
本文描述Tomcat启动因为 Creation of SecureRandom instance for session ID generation using [SHA1PRNG] 住的问题,以及解决办法背景起因是线上Tomcat的启动缓慢,看到日志里面有一行:[2019-05-17 14:06:20] [localhost-startStop-1] INFO o.a.c.util.Sessi...
Java 中的 SecureRandom 与 Random 深度解析:安全性、性能与应用场景
WenZhang的博客
10-11 1925
对于性能优先、对安全性没有严格要求的场景,Random是首选。对于安全性至关重要的场景(如加密、身份认证),毫不犹豫地选择。
java 随机数字加密_java随机数之RandomSecureRandom
weixin_39777875的博客
02-13 842
一、前言在一次项目的安全测试源代码扫描中,报由random()实施的随机数生成器不能抵挡加密攻击。其中报漏洞的源代码如下:int number = (int) ((Math.random() * 9 + 1) * Math.pow(10, 6 -1));String numStr= String.valueOf(number);其中的报漏洞的解释是这样说的,在对安全性要求较高的环境中,使用能够生成...
基于JAVA实现GPG加密解密(Windows+java两种方式)
AspireLXH的博客
07-16 2988
基于JAVA实现GPG加密解密
Java学习(上)
Lzdnydppx的博客
08-09 1179
Java简介、Java程序基础、流程控制、数组操作、面向对象基础、Java核心类、异常处理、反射、注解、泛型、集合、IO、日期与时间、单元测试
36、嵌入式 Java 安全深度剖析
omega的博客
05-17 80
本文深入剖析了嵌入式Java平台(特别是Java ME)的安全机制,详细介绍了其平台架构、安全模型、潜在漏洞及加固措施。内容涵盖Java ME的三层架构、MIDP API、安全策略执行、存储与网络漏洞分析,以及数字版权管理(DRM)技术。通过风险分析实际代码示例,帮助开发人员理解并提升Java ME平台的安全性,是嵌入式系统开发者的重要参考资料。
Java 8 SecureRandom 生成随机数
热门推荐
Hatsune_Miku_的博客
06-19 3万+
Java 8的SecureRandom API对原有的有几个变化 根据Oracle,已经做出了以下有趣的变化: 对于类UNIX平台,已经引入了两个新的实现,它们提供了阻塞非阻塞行为:NativePRNGBlockingNativePRNGNonBlocking。所述getInstanceStrong()方法是在JDK 8中引入此方法返回的每个平台上可用的最强SecureRa
SecureRandom.getInstanceStrong引起的线程阻塞
qq_38536878的博客
03-30 2037
项目场景: 某个项目中,sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,于是就换成了使用SecureRandom.getInstanceStrong()获取SecureRandom并调用nextInt()。 悲剧开始了... 问题描述 在生产环境(linux)产生较长时间的阻塞,造成了nginx返回大量499,一度以为是tomcat不接收消息或是nginx转发问题,但开发环境(windows10)并未重现。 原因分析: 通过jstack发现,有599个线
SecureRandom 引发的线程阻塞
guorun18的专栏
09-23 8721
写在前面--每个人都是在不断碰壁中获得成长,bug的逼格越高, 成长速度越快。 本人上周亲手写下了一个牛逼的bug,直接导致的结果是,晚上12点升级后台接口以后,第二天早上7点多开始,所有的app页面出现顿,白屏。公司研发老总,迅速召集公司运维大佬,产品大佬,研发大佬奔赴公司解决bug。所有人,开始手忙脚乱,查看线上日志,抓包,阿尔萨斯监听 接口耗时。各个大神,各种手段,各显才...
【无标题】
Reische的博客
12-28 955
随机数,这个没有小伙伴没有用过吧,Java 提供了几个用于生成随机数的类,他们使用起来是这么地简单,以至于我们很少去认真的对待随机数的具体结果,就好像它是真的随机一样。
java中的安全随机类SecureRandom
z_ssyy的博客
04-16 2078
// 不推荐使用SecureRandom.getInstanceStrong()方式获取SecureRandom(除非对随机要求很高) // SecureRandom.getInstanceStrong();依赖操作系统的随机操作 // 比如键盘输入, 鼠标点击, 等等, 当系统扰动很小时, 产生的随机数不够, 导致读取/dev/random的进程会阻塞等待. 可以做个小实验, 当阻塞时, 多点击鼠标, 键盘输入数据等操作, 会加速结束阻塞 SecureRandom instanceStrong = Se.
java securerandom使用_SecureRandom的正确使用
weixin_34174789的博客
02-26 3875
1. 什么是安全的随机数?在安全应用场景,随机数应该使用安全的随机数。密码学意义上的安全随机数,要求必须保证其不可预测性。2. 怎么得到安全的随机数可以直接使用真随机数产生器产生的随机数。或者使用真随机数产生器产生的随机数做种子,输入密码学安全的伪随机数产生器产生密码学安全随机数。非物理真随机数产生器有:Linux操作系统的/dev/random设备接口Windows操作系统的CryptGenRa...
SecureRandom.getInstanceStrong()造成Jenkins流水线编译
qiuhui123456的博客
12-03 1222
最近在整改sonar扫描的问题,有一个是不允许随机数直接去new Random(),sonar提供的解决办法是用SecureRandom.getInstanceStrong()替换new Random(),整改之后在本机测试没有问题,上传后git仓流水线后一直在改动后的类 查询资料看到SecureRandom.getInstanceStrong()在windowsliunx’下加载的不同的随机数库,取完熵之后会造成线程阻塞,因系统用随机数生成流水号,并发量要求也不是很高,并且在前面增加有时间,故使用ne
Tomcat启动Creation of SecureRandom instance 住解决办法
weixin_44387972的博客
10-23 1340
本文描述Tomcat启动因为 Creation of SecureRandom instance for session ID generation using [SHA1PRNG] 住的问题,以及At least one JAR was scanned for TLDs yet contained no TLDs 解决办法 最初是升级dubbo项目开始,项目启动变慢一两分钟,后边突然就很过分十分钟,甚至还要多。 导致几乎不能再白天随意发版了,找到两个问题奇怪的日志 1. At least one
把注释写的详细一点
04-11
<think>嗯,用户问的是如何编写详细的代码注释,需要示例最佳实践。让我先回忆一下相关的引用内容。用户提供了三个引用,都是关于代码注释的重要性最佳实践的。引用1提到好的注释能增加可读性、协作维护,引用2强调清晰明了、及时更新避免冗余,引用3则建议内联注释用于解释复杂部分。 首先,我需要整理这些要点,然后结合示例来说明。用户可能希望具体的例子,比如函数注释、复杂逻辑的注释等。需要分步骤回答,结构清晰,比如按注释类型分类,每个类型给出示例最佳实践。 还要注意用户提到的系统级指令,比如数学公式要用$...$,不过这里的问题是关于代码注释,可能用不上数学公式,但得确保其他格式正确。比如代码块需要用反引号包裹,单独成段。 可能用户是开发人员,尤其是团队协作中的开发者,他们需要提高代码的可维护性。深层需求可能是希望代码更易理解,减少沟通成本,或者在维护时更容易定位问题。 接下来,我需要将引用中的建议整合到回答中。比如引用2提到的及时更新注释,避免冗余,使用文档注释。引用3的内联注释的例子。这些都可以作为不同部分的例子。 然后,结构方面,可能分为注释类型、示例、最佳实践、常见误区。每个部分用标题,然后给出具体内容。确保每个建议都有对应的引用标注,比如[^1][^2][^3]。 需要检查是否有遗漏的最佳实践,比如是否需要提到工具生成文档,或者注释风格的一致性。引用2提到了Javadoc,所以可以包含在文档注释部分。 最后,相关问题部分要生成三个相关问题,可能涉及注释工具、维护策略、自动化生成等。要确保问题相关且有价值,帮助用户进一步探索。</think>### 如何编写详细的代码注释:示例与最佳实践 代码注释是提升代码可维护性协作效率的关键工具。以下是分步指南具体示例: --- #### 一、注释的三大类型及示例 1. **文档注释(描述整体功能)** ```python def calculate_interest(principal, rate, time): """ 计算复利利息(基于年利率) Args: principal (float): 本金 rate (float): 年利率(如5%输入为0.05) time (int): 投资年限 Returns: float: 总金额(本金+利息) Raises: ValueError: 当输入参数为负数时触发 """ if principal < 0 or rate < 0 or time < 0: raise ValueError("参数必须为非负数") return principal * (1 + rate) ** time ``` **最佳实践** - 使用标准格式(如Python的docstring、JavaJavadoc)[^2] - 明确参数类型、返回值异常情况 2. **逻辑注释(解释复杂算法)** ```javascript // 使用快速选择算法查找第k小元素(时间复杂度O(n)) function quickSelect(arr, k) { // 递归终止条件:数组长度为1时直接返回 if (arr.length === 1) return arr[0]; // 随机选择基准元素避免最坏情况 const pivot = arr[Math.floor(Math.random() * arr.length)]; // 分区操作:小于、等于、大于基准值的三个数组 const lows = arr.filter(x => x < pivot); const highs = arr.filter(x => x > pivot); const pivots = arr.filter(x => x === pivot); // 根据k值所在区间递归处理 if (k < lows.length) return quickSelect(lows, k); else if (k < lows.length + pivots.length) return pivots[0]; else return quickSelect(highs, k - lows.length - pivots.length); } ``` **最佳实践** - 解释算法选择复杂度(如快速选择算法的时间复杂度) - 标注关键步骤的意图而非重复代码[^3] 3. **内联注释(澄清易混淆细节)** ```cpp void processImage(Image& img) { // 将图像从BGR转为RGB格式(OpenCV默认使用BGR) cvtColor(img, img, COLOR_BGR2RGB); // 添加高斯模糊(σ=1.5)以降低高频噪声 GaussianBlur(img, img, Size(5,5), 1.5); } ``` **最佳实践** - 说明参数选择依据(如σ=1.5的物理意义) - 标注第三方库的特殊行为(如OpenCV颜色空间)[^3] --- #### 二、注释的黄金准则 1. **可操作性原则** ```python # 错误示例:冗余注释 x = x + 1 # 将x增加1 # 正确示例:解释业务逻辑 # 用户连续登录失败5次后锁定账户(安全策略第3章) if login_attempts >= 5: lock_account() ``` 2. **同步更新机制** - 在代码审查清单中加入"注释与代码同步检查"[^2] - 使用IDE插件自动检测过时注释(如VS Code的Todo Tree) 3. **分层注释策略** ```java /** * 实现JWT令牌生成(RFC 7519标准) * 包含HS256签名30分钟过期时间 */ public class JwtGenerator { // 使用线程安全的SecureRandom生成盐值 private static final SecureRandom secureRandom = new SecureRandom(); public String generateToken(User user) { // 避免敏感信息泄漏:payload仅包含userId角色 Map<String, Object> claims = new HashMap<>(); claims.put("userId", user.getId()); claims.put("role", user.getRole()); // 代码继续... } } ``` --- #### 三、注释的典型误区 | 错误类型 | 反例 | 改进方案 | |---------|------|---------| | 幽灵注释 | `// 这里需要优化` | `// 优化点:数据库查询未使用索引(见ISSUE-45)` | | 故事注释 | `// 张三在2020年添加了这个补丁` | 使用版本控制系统记录修改历史 | | 过度注释 | 每行代码都添加解释 | 仅在关键逻辑点注释 | --- #### 四、工具链推荐 1. **文档生成**:Doxygen(C++)、Sphinx(Python)、Javadoc(Java) 2. **静态检查**:SonarQube(检测注释覆盖率)、ESLint(强制注释规范) 3. **协作平台**:结合Git注释审查(如GitLab的Code Review功能) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值