SecureRandom生成随机数超慢 导致tomcat启动时间过长的解决办法

用腾讯云的CentOS 7.2 CVM 服务器跑Tomcat时发现，Tomcat启动的特别慢，通过查看日志，发现时间主要花在实例化SecureRandom对象上了。

由该日志可以看出，实例化该对象使用了460秒，导致整个应用启动了480秒之久。

根本原因是SecureRandom 这个jre的工具类的问题. 
具体内容：JDK-6521844 : SecureRandom hangs on Linux Systems

那为什么SecureRandom generateSeed这么慢，甚至挂在Linux操作系统呢？

当您登录时，它挂起或花费超过一分钟获得响应。如果你的服务器在linux操作系统上，这里的罪魁祸首是SecureRandom generateSeed（）。它使用/dev/random生成种子。但是/dev/random是一个阻塞数字生成器，如果它没有足够的随机数据提供，它就一直等，这迫使JVM等待。键盘和鼠标输入以及磁盘活动可以产生所需的随机性或熵。但在一个服务器缺乏这样的活动，可能会出现问题。

注意这条日志： 
org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [460,653] milliseconds.

Tomcat 使用SHA1PRNG算法，该算法是基于SHA-1算法实现且保密性较强的伪随机数生成器。

在SHA1PRNG中，有一个种子产生器，它根据配置执行各种操作。

1）如果Java.security.egd属性或securerandom.source属性指定的是”file:/dev/random”或”file:/dev/urandom”，那么JVM会使用本地种子产生器NativeSeedGenerator，它会调用super()方法，即调用SeedGenerator.URLSeedGenerator(/dev/random)方法进行初始化。

2）如果java.security.egd属性或securerandom.source属性指定的是其它已存在的URL，那么会调用SeedGenerator.URLSeedGenerator(url)方法进行初始化。

这就是为什么我们设置值为”file:///dev/urandom”或者值为”file:/./dev/random”都会起作用的原因。

在这个实现中，产生器会评估熵池（entropy pool）中的噪声数量。随机数是从熵池中进行创建的。当读操作时，/dev/random设备会只返回熵池中噪声的随机字节。/dev/random非常适合那些需要非常高质量随机性的场景，比如一次性的支付或生成密钥的场景。

当熵池为空时，来自/dev/random的读操作将被阻塞，直到熵池收集到足够的环境噪声数据。这么做的目的是成为一个密码安全的伪随机数发生器，熵池要有尽可能大的输出。对于生成高质量的加密密钥或者是需要长期保护的场景，一定要这么做。

那么什么是环境噪声？

随机数产生器会手机来自设备驱动器和其它源的环境噪声数据，并放入熵池中。产生器会评估熵池中的噪声数据的数量。当熵池为空时，这个噪声数据的收集是比较花时间的。这就意味着，Tomcat在生产环境中使用熵池时，会被阻塞较长的时间。

有2种解决方案：

1. 可以通过配置JRE使用非阻塞的Entropy Source： 
   在catalina.sh中加入这么一行：-Djava.security.egd=file:/dev/./urandom 即可。 
   加入后再启动Tomcat，整个启动耗时下降到Server startup in 20130 ms。 
   这种方案是在修改随机数获取方式，那这里urandom是啥呢？

   /dev/random的一个副本是/dev/urandom（“unblocked”，非阻塞的随机数发生器[4]），它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞，但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器，不建议用于生成高强度长期密码。 - - - wikipedia

2. 在JVM环境中解决 
   打开$JAVA_PATH/jre/lib/security/java.security这个文件，找到下面的内容：

   securerandom.source=file:/dev/random

   • 1
   • 1

   替换成

   securerandom.source=file:/dev/./urandom

   • 1
   • 1

参考： 
1. Tomcat 8熵池阻塞变慢详解 
2. SecureRandom第一次生成随机数非常慢