JVM上的随机函数与熵池策略导致Tomcat7启动慢

http://wiki.apache.org/tomcat/HowTo/FasterStartUp  关于Tomcat7启动的优化项之一:关于随机数生成时,采用的”源”的策略

Tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”

在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random/dev/urandom

  1. /dev/random
    在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止.
  2. /dev/urandom
    是一个非阻塞的发生器,/dev/random的一个副本是/dev/urandom (”unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。

Tomcat7文档里的建议,采用非阻塞的熵源(entropy source),通过java系统属性来设置:

if [[ “$JAVA_OPTS” != *-Djava.security.egd=* ]];then

           JAVA_OPTS = “$JAVA_OPTS –Djava.securityegdfile:/dev/./urandom*

fi

这个系统属性egd表示熵收集守护进程(entropy gathering daemon),但这里值为何要在devrandom之间加一个点呢?是因为一个jdk的bug,在这个bug的连接里有人反馈即使对 securerandom.source 设置为 /dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对securerandom.source设置为 /dev/./urandom 才行。也有人评论说这个不是bug,是有意为之。

此条目发表在Experience, Tomcat分类目录。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注