JDK优化之熵池策略

最新推荐文章于 2021-06-17 16:37:52 发布
最新推荐文章于 2021-06-17 16:37:52 发布
阅读量3.3k 收藏 1
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wysnxzm/article/details/98482143
版权

首先请看:JVM上的随机数与熵池策略
要看结果请直接拉到本文底部

在apache-tomcat官方文档:如何让tomcat启动更快 里面提到了一些启动时的优化项,其中一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。

他提到tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”

private String secureRandomAlgorithm = “SHA1PRNG”; 在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random和/dev/urandom,对于这两个设备块的描述以前也见过讨论随机数的文章,wiki中有比较详细的描述,摘抄过来,先看/dev/random :

在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止

而 /dev/urandom 则是一个非阻塞的发生器:

dev/random的一个副本是/dev/urandom (”unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。

另外wiki里也提到了为什么linux内核里的随机数生成器采用SHA1散列算法而非加密算法,是为了避开法律风险(密码出口限制)。

回到tomcat文档里的建议,采用非阻塞的熵源(entropy source),通过java系统属性来设置:

-Djava.security.egd=file:/dev/./urandom 这个系统属性egd表示熵收集守护进程(entropy gathering daemon),但这里值为何要在dev和random之间加一个点呢?是因为一个jdk的bug,在这个bug的连接里有人反馈及时对 securerandom.source 设置为 /dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对securerandom.source设置为 /dev/./urandom 才行。也有人评论说这个不是bug,是有意为之。

我看了一下我当前所用的jdk7的java.security文件里,配置里仍使用的是/dev/urandom:

Select the source of seed data for SecureRandom. By default an

attempt is made to use the entropy gathering device specified by

the securerandom.source property. If an exception occurs when

accessing the URL then the traditional system/thread activity

algorithm is used.

On Solaris and Linux systems, if file:/dev/urandom is specified and it

exists, a special SecureRandom implementation is activated by default.

This “NativePRNG” reads random bytes directly from /dev/urandom.

On Windows systems, the URLs file:/dev/random and file:/dev/urandom

enables use of the Microsoft CryptoAPI seed functionality.

securerandom.source=file:/dev/urandom 我不确定jdk7里,这个 /dev/urandom 也同那个bug报告里所说的等同于 /dev/random;要使用非阻塞的熵池,这里还是要修改为/dev/./urandom 呢,还是jdk7已经修复了这个问题,就是同注释里的意思,只好验证一下。

使用bug报告里给出的代码:

import java.security.SecureRandom;
class JRand {
    public static void main(String args[]) throws Exception {
        System.out.println("Ok: " +
            SecureRandom.getInstance("SHA1PRNG").nextLong());
    }
}

然后设置不同的系统属性来验证,先是在我的mac上:

% time java -Djava.security.egd=file:/dev/urandom JRand Ok: 8609191756834777000 java -Djava.security.egd=file:/dev/urandom JRand
0.11s user 0.03s system 115% cpu 0.117 total

% time java -Djava.security.egd=file:/dev/./urandom JRand Ok:
-3573266464480299009 java -Djava.security.egd=file:/dev/./urandom JRand
0.11s user 0.03s system 116% cpu 0.116 total 可以看到/dev/urandom和 /dev/./urandom 的执行时间差不多,有点纳闷,再仔细看一下wiki里说的:

FreeBSD操作系统实现了256位的Yarrow算法变体,以提供伪随机数流。与Linux的/dev/random不同,FreeBSD的/dev/random不会产生阻塞,与Linux的/dev/urandom相似,提供了密码学安全的伪随机数发生器,而不是基于熵池。而FreeBSD的/dev/urandom则只是简单的链接到了/dev/random。

尽管在我的mac上/dev/urandom并不是/dev/random的链接,但mac与bsd内核应该是相近的,/dev/random也是非阻塞的,/dev/urandom是用来兼容linux系统的,这两个随机数生成器的行为是一致的。参考这里。

然后再到一台ubuntu系统上测试:

% time java -Djava.security.egd=file:/dev/urandom JRand Ok: 6677107889555365492 java -Djava.security.egd=file:/dev/urandom JRand
0.14s user 0.02s system 9% cpu 1.661 total

% time java -Djava.security.egd=file:/dev/./urandom JRand Ok: 5008413661952823775 java -Djava.security.egd=file:/dev/./urandom JRand

0.12s user 0.02s system 99% cpu 0.145 total 这回差异就完全体现出来了,阻塞模式的熵池耗时用了1.6秒,而非阻塞模式则只用了0.14秒,差了一个数量级,当然代价是转换为对cpu的开销了。

// 补充,连续在ubuntu上测试几次/dev/random方式之后,导致熵池被用空,被阻塞了60秒左右。应用服务器端要避免这种方式。

启动缓慢的原因是jdk在初始化熵池,而熵池初始化使用的是阻塞策略那么优化方案为使用并行策略
结论是将random改为./urandom可优化jdk启动效率,不直接改为urandom是因为在linux下./urandom和urandom存在区别

网瘾少年徐志摩
关注
专栏目录
IBM JDK5垃圾收集策略
04-25
在IBM JDK 5中,垃圾收集(Garbage Collection, GC)是Java平台中至关重要的一个部分,用于自动管理内存...后续的文章将详细介绍如何量化选择策略的方法和示例,以帮助开发者更好地理解和优化IBM JDK 5的垃圾收集行为。
[Python] Random_seed(), Shuffle, Permutation
02-14 908
1. random_seed()函数 描述 seed() 方法改变随机数生成器的种子,可以在调用其他随机模块函数之前调用此函数。 语法 以下是 seed() 方法的语法: import random random.seed ( [x] ) 在调用 random.random() 生成随机数时,每一次生成的数都是随机的。但是,当我们预先使用 random.seed(x) 设定好种子之后,其中的 x 可以是任意数字,如10,这个时候,再调用它的情况下,使用 random() 生成的随机数将会是同
随机化系统函数和随机化方法——($random/$urandom/$urandom_range 和 srandom/randomzie/std::randomize)
热门推荐
Mr.翟的博客
07-31 6万+
文章目录一、$random——系统方法,返回32bit的有符号伪随机数二、$urandom——系统方法,返回32bit的无符号伪随机数三、$urandom_range()——系统方法,返回指定范围内的无符号随机整数四、srandom()——对象方法,在类方法内/外为随机数据发生器(RNG)添加随机种子五、randomize() —— 对象方法,为对象中的随机化变量随机赋值 $random —— 系统随机化调用函数,返回32bit有符号数; $urandom() —— 系统随机化调用函数,返回32bit无符
verilog仿真random选择
树洞虫的博客
09-24 4423
verilog仿真 random 的选择 在verilog仿真中常用的random有如下三个: $random $urandom $urandom_range(low,high) 做如下实验 initial begin repeat(5) begin $display("random %d", $random); end repeat(5) begin $displ...
OpenWRT18.06配置各项默认参数
qiuyongzheng123的博客
09-05 2720
OpenWRT配置各项默认参数 1配置默认WiFi参数 /*配置路径*/ package/kernel/mac80211/files/lib/wifi/mac80211.sh 2配置默认NET参数 /*15.05之前版本配置路径*/ package/base-files/files/lib/functions/uci-default.sh /*修改默认端口*/ set network.lan...
JVM上的随机数与策略
chengtingh74089的博客
09-07 363
关于 java启动参数 -Djava.security.egd=file:/dev/./urandom 在apache-tomcat官方文档:如何让tomcat启动更快里面提到了一些启动时的优化项,其中一项是关于随机数生成时,采用的“源”(entropy source)的策略。 他提...
JDK优化
02-14
12. **数据库连接**:使用合适的数据库连接,如HikariCP、C3P0等,优化数据库连接管理。 以上只是JDK优化的一部分知识点,实际操作中还需要根据具体应用的需求和场景进行细致的调优工作。请确保在优化过程中...
jdk1.8.0_131和JCE无限制权限策略文件
07-23
"jdk1.8.0_131和JCE无限制权限策略文件" 这个标题指的是Java Development Kit (JDK) 的一个特定版本——1.8.0_131,以及与之相关的Java Cryptography Extension (JCE) 无限制权限策略文件。JCE是Java平台的一个组件...
Tomcat、JDK优化配置
04-03
本篇文章将深入探讨如何对Tomcat和JDK进行优化配置,以提高应用性能。 首先,我们来讨论Tomcat的优化。`catalina.sh`是Tomcat的启动脚本,它包含了启动、停止和运行Tomcat的各种选项。以下是一些关键的优化策略: ...
JDK8无限制c策略JCE文件
04-08
标题中的"JDK8无限制c策略JCE文件"指的是解除这些限制的特殊版本JCE政策文件。 在JDK8之前,JCE有一个被称为“本地法律限制”(Local Law Restrictions)的政策,这个政策规定了对某些加密算法的最大密钥长度,例如...
openwrt修改默认主机名
Eric
11-07 9097
openwrt默认主机名为【OpenWrt】,透过修改源码方式,修改默认主机名。 适用版本openwrt v19.07.4 查看etc/config/system,默认hostname=OpenWrt root@Eric:/# cat etc/config/system config system option hostname 'OpenWrt' option timezone 'UTC' option ttylogin '0' o.
25. OpenWRT 日志自动上报 syslog / rsyslog 配置详解
weixin_38387929的博客
06-17 6926
调试 OpenWRT 网络组件和用户软件时,需要通过日志信息的分析,来解决系统问题;产品上线质量跟踪也需要日志信息来分析产品bug,因此系统日志使用非常重要,本篇记录 OpenWRT-19.07 版本日志开启和日志自动上报至服务器的过程。 1. 运行环境说明 服务器端 采用 ubuntu-16.04 系统自动安装的 rsyslog 组件; OpenWRT -19.07 系统移植 syslog 组件; 客户端 采用 mtk7621 路由器。 2. 服务端 ubuntu16 系统 rsyslog 参数配置
CentOS7 Tomcat 启动过程很慢,JVM上的随机数与策略
Black Shadow
07-14 1万+
1. CentOS7 Tomcat 启动过程很慢在centos启动官方的tomcat时,启动过程很慢,需要几分钟: SessionIdGenerator.createSecureRandom Creation of SecureRa ndom instance for session ID generation using [SHA1PRNG] took [142,673] milliseconds
urandom java_JVM上的随机数与策略
weixin_29204121的博客
02-13 931
在apache-tomcat官方文档:如何让tomcat启动更快 里面提到了一些启动时的优化项,其中一项是关于随机数生成时,采用的“源”(entropy source)的策略。他提到tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”private String secureRandomAl...
Tomcat 8阻塞变慢详解
chszs的专栏
10-29 3万+
Tomcat 8阻塞变慢详解作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszsTomcat 8启动很慢,且日志上无任何错误,在日志中查看到如下信息:Log4j:[2015-10-29 15:47:11] INFO ReadProperty:172 - Loading properties file from class path resource [r
JVM的随机数与策略
leekari
08-13 424
在apache-tomcat官方文档:如何让tomcat启动更快里面提到了一些启东市的优化项,其中一项是关于随机数生成时,采用的“源”(entropy source)的策略。 该文档提到tomcat7的session id 的生成主要是通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是"SHA1PRNG",声明如下: private String secureRandomAlgorithm = “SHA1PRNG”; 在sun/oracle的jdk中,这个算
怎样使得Tomcat服务器启动更快 使用随机数与策略
Nothing
06-14 4211
随着微服务技术快速发展,SpringCloud与Docker新的技术也不断涌现出来,但是SpringCloud已SpringBoot为基础开发的默认内嵌Tomcat服务器,在SpringCloud与Docker整合的时候,使用docker DockerFile或者docker-compose启动镜像文件的时候,需要同时启动多个Tomcat,由于Tomcat 的sessionId在启动使用Java的
通过rng-tools自动补充
jason的笔记
12-13 1万+
首先查看系统当前的大小 如果发现的size 不够,导致生成random的时候卡住,则可以通过安装rng-tools自动补充 安装rng-tools 修改/etc/sysconfig/rngd 文件 启动服务,并重新查询
一步到位安装JDK8无限强度JCE策略
JDK8中,Oracle引入了对无限制强度加密策略的支持,即不再限制加密算法使用的密钥长度。该更新主要是为了解决之前版本中对于加密密钥长度的限制问题,这对于某些需要更高安全性加密的应用程序来说至关重要。 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值