HSM 连接持久或非持久

【问题标题】:HSM Connection Persistent or Non-persistentHSM 连接持久或非持久
【发布时间】:2017-07-12 14:39:41
【问题描述】:

我将使用 thales hsm 来做一些使用 http://www.pkcs11interop.net/ 的 aes 加密/解密

但是,我想到了一个问题。 我有两种方法可以在我的服务器应用程序中使用 thales hsm

  • 一种方法是:每当我需要做aes操作时,打开一个连接,做这个工作,关闭连接。

  • 另一种方式:在服务端应用启动时打开连接,在服务端生命周期内做AES操作 应用程序,在服务器需要时关闭连接 关闭。

所以我的问题是,哪种方式是使用 hsm 的正确(或建议)方式?

【问题讨论】:

  • “打开连接”到底是什么意思?创建实例Pkcs11 类?还是Session 类的实例?还是完全不同的东西?

标签: connection persistent hsm hardware-security-module


【解决方案1】:

这完全取决于您对 HSM 的需求和使用情况。如果您在 5 分钟内发送 1 条消息,最好为每个 AES 操作打开连接并在完成工作后关闭连接。一般来说,如果您在一分钟内发送超过 1 条消息,您应该有持久连接,因为 HSM 有限的连接资源可能会在短时间内耗尽。

Thales HSM 的默认设置允许您打开最多 64 个连接并以 60 分钟的间隔检查这些连接。如果连接关闭,它可以在 60 分钟后理解它。

如果您为每个请求打开一个连接,您可以在短时间内达到 64 个连接限制,并且通常 HSM 开始不允许再打开新连接。要摆脱它,您可以将 Hsm 设置更改为 1 分钟检查间隔以进行垃圾收集连接。

我建议使用持久连接(池)来大量使用 HSM,并在 20 分钟间隔内更新(关闭打开)所有连接。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2014-05-18
    • 2011-03-29
    • 2011-01-16
    • 2013-01-22
    • 2012-12-05
    • 1970-01-01
    • 1970-01-01
    • 2011-11-30
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode