2016 CUPT 第一题真实随机数 解答

学期论文：CUPT第一题

什么是真实随机数？

随机数在很多方面很有用。

科学家们为了获得随机数想出了一系列的方法。 有人根据一定的算法来生成随机数。

可是这样生成的“随机数”并不具有绝对的随机性。因为是根据算法这样有逻辑的方法得出的随机数，所以这种随机数不具有绝对的随机性，具有可预测性。

这样就不是真正的随机数了，而是伪随机数。 科学家们想尽方法想要制造出真正的随机数，就是具有绝对的随机性的随机数——真实随机数。

读到这里，我们知道，真实随机数是伪随机数衬托出的概念。如果没有伪随机数，就没有真实随机数。

如何生成真实随机数？

首先，生成真实随机数是不能依靠既定的算法的，我们知道，有算法就意味着有规律，那就不是随机的了。

这里有一个思路，那就是依靠自然界的一些随机的现象来生成随机数。

自然界的一些事物，随机性是很强的，比如说宇宙背景辐射，比如说地球无处不在的电磁辐射（但是参杂了很多人类自己制造的一些电磁波），还比如说水分子的布朗运动。

科学家们利用一些仪器检测这些毫无章法的现象，然后通过一定的手段，生成随机数。

真实随机数的价值。

有一则这样的新闻：（你可以直接略过英文）

The NSA is reported to have inserted a backdoor into

the NIST certified cryptographically secure pseudorandom number

generator Dual_EC_DRBG. If for example an SSL connection is created using this random number generator, then according to Matthew Green it would allow NSA to determine the state of the random number generator, and thereby eventually be able to read all data sent over the SSL connection.[13] Even though it was apparent that Dual_EC_DRBG was a very poor and possibly backdoored pseudorandom number generator long before the NSA backdoor was confirmed in 2013, it had seen significant usage in practice until 2013, for

example by the prominent security company RSA Security.[14] There have subsequently been accusations that RSA Security knowingly inserted a NSA backdoor into its products, possibly as part of the Bullrun program. RSA has denied knowingly inserting a backdoor into its products.[15]

Main article: Random number generator attack 大概意思就是NSA破解了NIST这个机构的防御系统，因为NSA破解了NIST的伪随机数生成方式。

由此可见，伪随机数是很不安全的，一旦掌握了它的生成方式，防御系统就很容易被破坏。

真实随机数在密码学中是很关键的。

如果是真实实随机数，就没那么容易了。 所以真实随机数的价值是很大的。

压缩包里面的的 (STEPHEN K. PARK AND KEITH W. MILLER)这篇文章证明了真实随机数的稀有性。这又增加了它的价值。

关于具体的制造真实随机数的装置？

请看附在压缩包中的文献：《基于电阻热噪声与振荡器的真随机数产生器设计》 这篇文献详细地介绍了如何设计、制造一个真实随机数发生器。

如何测试真实随机数的随机性？

压缩包中的中的(Dan Biebighauser)写得非常清楚。

真实随机数如何抵御恶意攻击？ 请看以下文章：

Tomcat7 使用随机数去防止跨站请求伪造攻击

Wikipedia将跨站请求伪造攻击(Cross Site Request forgery，CSRF)定义为：“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时，被强行执行恶意代码。

Wikipedia将跨站请求伪造攻击(Cross Site Request forgery，CSRF)定义为：“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时，被强行执行恶意代码。

经典的防止CSRF攻击的方法是使用随机数的方式，Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中，以确保旧的不能在以后的重放攻击中被利用”。 Tomcat 7中有一个servlet过滤器，用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数，必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的，该请求是判断来自指定的网站。如果它们是不同的，该请求被认为是从其他网站发出并且会被拒绝。每个URL地址中都有一个从用户session中提取的随机数，这种方法的缺点就是所有的链接都必须带上这个随机数，对用户和搜索引擎不友好。

尾声

基本上以上的内容就可以解决第一道CUPT题的大半了。 我阅读了一些文献，最终浓缩出了可以结题的这几篇。

关于题目最后的一句话“分析随机性抵御恶意攻击的能力”我实在是参不透，找不到相关的文件。