tomcat 7+ 啓動慢熵池阻塞變慢詳解

時間 2019-11-19

原文原文鏈接

緣由：java

Tomcat 7/8都使用org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom類產生安全隨機類SecureRandom的實例做爲會話ID，這裏花去了342秒，也即接近6分鐘。算法

SHA1PRNG算法是基於SHA-1算法實現且保密性較強的僞隨機數生成器。apache

在SHA1PRNG中，有一個種子產生器，它根據配置執行各類操做。安全

1）若是Java.security.egd屬性或securerandom.source屬性指定的是」file:/dev/random」或」file:/dev/urandom」，那麼JVM會使用本地種子產生器NativeSeedGenerator，它會調用super()方法，即調用SeedGenerator.URLSeedGenerator(/dev/random)方法進行初始化。數據結構

2）若是java.security.egd屬性或securerandom.source屬性指定的是其它已存在的URL，那麼會調用SeedGenerator.URLSeedGenerator(url)方法進行初始化。dom

這就是爲何咱們設置值爲」file:///dev/urandom」或者值爲」file:/./dev/random」都會起做用的緣由。加密

在這個實現中，產生器會評估熵池（entropy pool）中的噪聲數量。隨機數是從熵池中進行建立的。當讀操做時，/dev/random設備會只返回熵池中噪聲的隨機字節。/dev/random很是適合那些須要很是高質量隨機性的場景，好比一次性的支付或生成密鑰的場景。url

當熵池爲空時，來自/dev/random的讀操做將被阻塞，直到熵池收集到足夠的環境噪聲數據。這麼作的目的是成爲一個密碼安全的僞隨機數發生器，熵池要有儘量大的輸出。對於生成高質量的加密密鑰或者是須要長期保護的場景，必定要這麼作。.net

那麼什麼是環境噪聲？get

隨機數產生器會手機來自設備驅動器和其它源的環境噪聲數據，並放入熵池中。產生器會評估熵池中的噪聲數據的數量。當熵池爲空時，這個噪聲數據的收集是比較花時間的。這就意味着，Tomcat在生產環境中使用熵池時，會被阻塞較長的時間。

有兩種解決辦法：

1）在Tomcat環境中解決

能夠經過配置JRE使用非阻塞的Entropy Source。

在catalina.sh中加入這麼一行：-Djava.security.egd=file:/dev/./urandom 便可。

加入後再啓動Tomcat，整個啓動耗時降低到Server startup in 2912 ms。

2）在JVM環境中解決（*實測，真實好使）