深坑:SecureRandom.getInstanceStrong() next方法阻塞啦

已于 2023-02-24 10:55:42 修改
阅读量2.7k 收藏 7
点赞数 6
分类专栏: JAVA 文章标签: SecureRandom InstanceStrong next阻塞
于 2021-11-03 22:24:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wilsonpeng3/article/details/121131962
版权

背景

我遇到的场景是,我们有个生成随机数的场景,采用的便是 SecureRandom.getInstanceStrong() 获取Random 实例。在windows电脑以及在docker环境中都运行正常,所以没发现问题。直到我们把代码部署到centos系统中时发现了问题(没有采用docker)。就发现这个方法执行时间很长,导致前端接口504 time out 错误。

最开始感觉很纳闷,一样的代码怎么会这样子。经过排查才发现是next方法执行时间很长导致的。

深究原因可以参考: https://blog.csdn.net/weixin_45244678/article/details/106137948
我的情况和这篇博文的情况很相似。

总结下来导致这个问题的原因是

SecureRandom.getInstanceStrong() 在linux环境下会读取操作系统的 /dev/random 文件来生成随机数,
而这个文件的数据来源于系统的扰动,比如键盘的输入、鼠标点击等等操作。当系统产生扰动很少的时候,就会导致读取这个文件的线程阻塞(和采用的代码语言无关)。操作系统产生的这个扰动可以通过 cat /proc/sys/kernel/random/entropy_avail 查看(即系统熵值)。

解决办法

  1. 采用 new SecureRandom() 实例化,这个实例化底层是读取的是操作系统的 /dev/urandom文件,这个是伪随机,相比 SecureRandom.getInstanceStrong() 方式,它的随机性稍微弱一些,但大多数场景够用了。
  2. 仍然采用 SecureRandom.getInstanceStrong() 方式,这种方式适合对随机性要求高的场景。采用这种方式为了避免阻塞问题,就需要系统产生足够的扰动。于是可以安装 haveged 并启动 haveged,启动haveged后可以发现 cat /proc/sys/kernel/random/entropy_avail 返回的值变大了,所以不再阻塞。也可以安装rng-tools这个来达到这个目的

实战

查看本机熵值
在这里插入图片描述
安装rng-tools
yum install rng-tools -y

启动rng-tools
systemctl enable rngd --now

再次查看本机熵值
在这里插入图片描述

RockyPeng3
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ApigeeEdge-Java-SecureRandom:使用java.security.SecureRandom在Apigee Edge策略内生成伪随机数的Java标注
05-13
标注使用java.security.SecureRandom在策略Apigee Edge代理内生成随机数(int,UUID或高斯值),并使用该信息设置上下文变量。免责声明此示例不是正式的Google产品,也不是正式的Google产品的一部分。使用此标注您...
Random random = SecureRandom.getInstanceStrong();堵塞线程问题解决
最新发布
Apollo
06-15 863
sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,就是他–》【SecureRandom.getInstanceStrong()】,分别在本地,测试环境测过没问题上生产,但是运行了一段时间突然报错!然后还是像那个博主一样,一段一段代码的注释上测试环境才发现问题在哪里,坑就坑在这,在win10环境正常得很,一到linux上面就和个发病的一样生成随机数字卡顿,导致接口请求无响应。sonar推荐的不一定都是适合自己业务场景,只是站在了技术层面考虑,推荐的东西自己还是要慎用!
SecureRandom 引发的线程阻塞
guorun18的专栏
09-23 8066
写在前面--每个人都是在不断碰壁中获得成长,bug的逼格越高, 成长速度越快。 本人上周亲手写下了一个牛逼的bug,直接导致的结果是,晚上12点升级后台接口以后,第二天早上7点多开始,所有的app页面出现卡顿,白屏。公司研发老总,迅速召集公司运维大佬,产品大佬,研发大佬奔赴公司解决bug。所有人,开始手忙脚乱,查看线上日志,抓包,阿尔萨斯监听 接口耗时。各个大神,各种手段,各显才...
java中的安全随机类SecureRandom
z_ssyy的博客
04-16 1724
// 不推荐使用SecureRandom.getInstanceStrong()方式获取SecureRandom(除非对随机要求很高) // SecureRandom.getInstanceStrong();依赖操作系统的随机操作 // 比如键盘输入, 鼠标点击, 等等, 当系统扰动很小时, 产生的随机数不够, 导致读取/dev/random的进程会阻塞等待. 可以做个小实验, 当阻塞时, 多点击鼠标, 键盘输入数据等操作, 会加速结束阻塞 SecureRandom instanceStrong = Se.
SecureRandom.getInstanceStron获取随机数线程阻塞
qq_33590654的博客
03-31 1327
1、(强伪随机数,难以预测的随机数)采用 new SecureRandom() 实例化,这个实例化底层是读取的是操作系统的 /dev/urandom文件,这个是伪随机,相比 SecureRandom.getInstanceStrong() 方式,它的随机性稍微弱一些,但大多数场景够用了。2、(弱伪随机数,易于预测的随机数)使用commons-lang3工具包中的RandomUtils.nextLong(起始值,结束值)方法,可以得到一个在该范围内的随机数。(和采用的代码语言无关)。
SecureRandom.getInstanceStrong()引发的线程阻塞
抽象的螺旋
12-06 1691
概述 sonar扫描到使用Random随机函数不安全,推荐使用SecureRandom替换,当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式是,在linux产生较长时间的阻塞,但开发环境(windows7)并未重现。 问题现象 测试代码: package com.study.practice.secure; import java.security.NoSuchAlgorithmException; import java.securit
SecureRandom.getInstanceStrong()引发的线程阻塞问题分析
weixin_45244678的博客
05-15 1万+
1. 背景介绍 sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换之, 当使用SecureRandom.getInstanceStrong()获取SecureRandom并调用next方式时, 在生产环境(linux)产生较长时间的阻塞, 但开发环境(windows7)并未重现 2. 现象展示 使用测试代码: package com.youai.test; import java.security.NoSuchAlgorithmException; import jav
java SecureRandom.getInstanceStrong()随机数的深坑
weisian的博客
11-03 2013
2、SecureRandom.getInstanceStrong()造成阻塞的原因:在不同的系统环境执行的底层代码不相同,在linux系统中通过底层NativePRNG方法,通过/dev/random方式读取随机数,/dev/random方式受系统环境的影响容易造成线程阻塞;1、在获取随机数时,使用new Random()写发时,在sonar扫描提示建议使用SecureRandom.getInstanceStrong()语法获取。
SecureRandom.getInstanceStrong() 导致线程阻塞
03-30 315
如无特殊要求,可用Random random = new SecureRandom();真是史前巨坑,上生产环境导致线程阻塞,靠打印日志一点点定位这行代码。
securerandom:制作一个随机的十六进制字符串
05-31
它的功能类似于 Ruby 中的 SecureRandom.hex 方法。 用法 var SecureRandom = require('securerandom'); console.log(SecureRandom.hex(12)); // prints a random 12 byte string 测试 npm test 贡献 欢迎。
PASSword:使用SecureRandom和来自https的熵数据的安全密码生成器
05-02
密码 使用SecureRandom和来自熵数据的安全密码生成器
jsse-2.0.5.jar.zip
06-25
java.security.NoSuchAlgorithmException: SHA1PRNG SecureRandom not available at sun.security.jca.GetInstance.getInstance(GetInstance.java:142) at java.security.SecureRandom.getInstance(SecureRandom....
带有SecureRandom补丁的Android加密库。.zip
03-26
`SecureRandom`类是Java和Android中用于生成随机数的重要工具,它通常被用于密码学中的密钥生成、初始化向量(IV)的创建以及其他安全性相关的需求。然而,原生的`SecureRandom`在某些版本的Android上可能存在性能...
SecureRandom.getInstanceStrong引起的线程阻塞
qq_38536878的博客
03-30 1826
项目场景: 某个项目中,sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,于是就换成了使用SecureRandom.getInstanceStrong()获取SecureRandom并调用nextInt()。 悲剧开始了... 问题描述 在生产环境(linux)产生较长时间的阻塞,造成了nginx返回大量499,一度以为是tomcat不接收消息或是nginx转发问题,但开发环境(windows10)并未重现。 原因分析: 通过jstack发现,有599个线
SecureRandom
ys.hubery
02-12 2989
       Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字。         相同种子数的Random对象,相同次数生成的随机数字是完全相同的。所以,两个种子数相同的Random对象,生成的随机数字完全相同。所以在需要频繁生成随机数,或者安全要求较高的时候,不要使用Ran...
使用 SecureRandom 产生随机数原理和问题
weixin_39106547的博客
06-29 1181
SecureRandom.getInstanceStrong()
Java 8 SecureRandom 生成随机数
Hatsune_Miku_的博客
06-19 3万+
Java 8的SecureRandom API对原有的有几个变化 根据Oracle,已经做出了以下有趣的变化: 对于类UNIX平台,已经引入了两个新的实现,它们提供了阻塞和非阻塞行为:NativePRNGBlocking和NativePRNGNonBlocking。所述getInstanceStrong()方法是在JDK 8中引入此方法返回的每个平台上可用的最强SecureRa
使用SecureRandom.getInstanceStrong() 遇到的深坑
liulinnnnnnnnnn的博客
06-23 1085
解决 double nonce = SecureRandom.getInstanceStrong() 在华为云CCE 执行时间过长问题
线上FullGC频繁排查-druid
热门推荐
Rocky的博客
04-11 4万+
线上FullGC频繁的排查问题
怎么用SHA256PRNG或者SecureRandom.getInstanceStrong()方法来创建SecureRandom实例。
04-02
使用SecureRandom.getInstanceStrong()来创建SecureRandom实例: ``` SecureRandom sr = SecureRandom.getInstanceStrong(); ``` 请注意,使用SHA256PRNG可能会导致性能问题,因为它需要更多的计算。因此,建议在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值