使用騰訊云的CentOS 7.2 CVM 服務(wù)器跑Tomcat時(shí)發(fā)現(xiàn)，Tomcat啟動(dòng)的特別慢，通過查看日志，發(fā)現(xiàn)時(shí)間主要花在實(shí)例化SecureRandom對象上了。

由該日志可以看出，實(shí)例化該對象使用了460秒，導(dǎo)致整個(gè)應(yīng)用啟動(dòng)了480秒之久。

根本原因是SecureRandom 這個(gè)jre的工具類的問題. 具體內(nèi)容：JDK-6521844 : SecureRandom hangs on linux Systems

那為什么SecureRandom generateSeed這么慢，甚至掛在Linux操作系統(tǒng)呢？

當(dāng)您登錄時(shí)，它掛起或花費(fèi)超過一分鐘獲得響應(yīng)。如果你的服務(wù)器在Linux操作系統(tǒng)上，這里的罪魁禍?zhǔn)资荢ecureRandom generateSeed（）。它使用/dev/random生成種子。但是/dev/random是一個(gè)阻塞數(shù)字生成器，如果它沒有足夠的隨機(jī)數(shù)據(jù)提供，它就一直等，這迫使JVM等待。鍵盤和鼠標(biāo)輸入以及磁盤活動(dòng)可以產(chǎn)生所需的隨機(jī)性或熵。但在一個(gè)服務(wù)器缺乏這樣的活動(dòng)，可能會(huì)出現(xiàn)問題。

注意這條日志： org.apache.catalina.util.sessionIdGeneratorBase.createSecureRandom Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [460,653] milliseconds.

Tomcat 使用SHA1PRNG算法，該算法是基于SHA-1算法實(shí)現(xiàn)且保密性較強(qiáng)的偽隨機(jī)數(shù)生成器。

在SHA1PRNG中，有一個(gè)種子產(chǎn)生器，它根據(jù)配置執(zhí)行各種操作。

1）如果java.security.egd屬性或securerandom.source屬性指定的是”file:/dev/random”或”file:/dev/urandom”，那么JVM會(huì)使用本地種子產(chǎn)生器NativeSeedGenerator，它會(huì)調(diào)用super()方法，即調(diào)用SeedGenerator.URLSeedGenerator(/dev/random)方法進(jìn)行初始化。

2）如果java.security.egd屬性或securerandom.source屬性指定的是其它已存在的URL，那么會(huì)調(diào)用SeedGenerator.URLSeedGenerator(url)方法進(jìn)行初始化。

這就是為什么我們設(shè)置值為”file:///dev/urandom”或者值為”file:/./dev/random”都會(huì)起作用的原因。

在這個(gè)實(shí)現(xiàn)中，產(chǎn)生器會(huì)評估熵池（entropy pool）中的噪聲數(shù)量。隨機(jī)數(shù)是從熵池中進(jìn)行創(chuàng)建的。當(dāng)讀操作時(shí)，/dev/random設(shè)備會(huì)只返回熵池中噪聲的隨機(jī)字節(jié)。/dev/random非常適合那些需要非常高質(zhì)量隨機(jī)性的場景，比如一次性的支付或生成密鑰的場景。

當(dāng)熵池為空時(shí)，來自/dev/random的讀操作將被阻塞，直到熵池收集到足夠的環(huán)境噪聲數(shù)據(jù)。這么做的目的是成為一個(gè)密碼安全的偽隨機(jī)數(shù)發(fā)生器，熵池要有盡可能大的輸出。對于生成高質(zhì)量的加密密鑰或者是需要長期保護(hù)的場景，一定要這么做。

那么什么是環(huán)境噪聲？

隨機(jī)數(shù)產(chǎn)生器會(huì)手機(jī)來自設(shè)備驅(qū)動(dòng)器和其它源的環(huán)境噪聲數(shù)據(jù)，并放入熵池中。產(chǎn)生器會(huì)評估熵池中的噪聲數(shù)據(jù)的數(shù)量。當(dāng)熵池為空時(shí)，這個(gè)噪聲數(shù)據(jù)的收集是比較花時(shí)間的。這就意味著，Tomcat在生產(chǎn)環(huán)境中使用熵池時(shí)，會(huì)被阻塞較長的時(shí)間。

有2種解決方案：

可以通過配置JRE使用非阻塞的Entropy Source： 在catalina.sh中加入這么一行：-Djava.security.egd=file:/dev/./urandom 即可。 加入后再啟動(dòng)Tomcat，整個(gè)啟動(dòng)耗時(shí)下降到Server startup in 20130 ms。 這種方案是在修改隨機(jī)數(shù)獲取方式，那這里urandom是啥呢？

/dev/random的一個(gè)副本是/dev/urandom（“unblocked”，非阻塞的隨機(jī)數(shù)發(fā)生器[4]），它會(huì)重復(fù)使用熵池中的數(shù)據(jù)以產(chǎn)生偽隨機(jī)數(shù)據(jù)。這表示對/dev/urandom的讀取操作不會(huì)產(chǎn)生阻塞，但其輸出的熵可能小于/dev/random的。它可以作為生成較低強(qiáng)度密碼的偽隨機(jī)數(shù)生成器，不建議用于生成高強(qiáng)度長期密碼。 - - - wikipedia

在JVM環(huán)境中解決 打開$JAVA_PATH/jre/lib/security/java.security這個(gè)文件，找到下面的內(nèi)容：

替換成

參考： 1. Tomcat 8熵池阻塞變慢詳解 2. SecureRandom第一次生成隨機(jī)數(shù)非常慢