HSM 连接持久或非持久
HSM Connection Persistent or Non-persistent
我将使用 thales hsm 来做一些 aes encryption/decryption 并使用 http://www.pkcs11interop.net/
但是,我想到了一个问题。
我有两种方法可以在我的服务器应用程序中使用 thales hsm
一种方法是:每当我需要做 aes 操作时,打开一个连接,完成工作,关闭连接。
另一种方式:在服务器应用启动时打开连接,在服务器的生命周期内做aes操作
应用程序,在服务器需要时关闭连接
已关闭。
所以我的问题是,哪种方式是使用 hsm 的正确(或建议)方式?
这完全取决于您对 HSM 的需求和使用情况。如果您在 5 分钟内发送 1 条消息,最好为每个 AES 操作打开连接并在完成作业后关闭连接。通常,如果您在一分钟内发送超过 1 条消息,您应该拥有持久连接,因为 HSM 有限的连接资源可能会在短时间内耗尽。
Thales HSM 的默认设置允许您打开最多 64 个连接并以 60 分钟为间隔检查这些连接。如果连接关闭,它可以在 60 分钟后理解它。
如果您为每个请求打开一个连接,您可以在短时间内达到 64 个连接限制,并且通常 HSM 开始不再允许打开新连接。要摆脱它,您可以将 Hsm 设置更改为 1 分钟的连接垃圾收集检查间隔。
我建议使用持久连接(池)来大量使用 HSM,并以 20 分钟为间隔更新(关闭-打开)所有连接。
我将使用 thales hsm 来做一些 aes encryption/decryption 并使用 http://www.pkcs11interop.net/
但是,我想到了一个问题。 我有两种方法可以在我的服务器应用程序中使用 thales hsm
一种方法是:每当我需要做 aes 操作时,打开一个连接,完成工作,关闭连接。
另一种方式:在服务器应用启动时打开连接,在服务器的生命周期内做aes操作 应用程序,在服务器需要时关闭连接 已关闭。
所以我的问题是,哪种方式是使用 hsm 的正确(或建议)方式?
这完全取决于您对 HSM 的需求和使用情况。如果您在 5 分钟内发送 1 条消息,最好为每个 AES 操作打开连接并在完成作业后关闭连接。通常,如果您在一分钟内发送超过 1 条消息,您应该拥有持久连接,因为 HSM 有限的连接资源可能会在短时间内耗尽。
Thales HSM 的默认设置允许您打开最多 64 个连接并以 60 分钟为间隔检查这些连接。如果连接关闭,它可以在 60 分钟后理解它。
如果您为每个请求打开一个连接,您可以在短时间内达到 64 个连接限制,并且通常 HSM 开始不再允许打开新连接。要摆脱它,您可以将 Hsm 设置更改为 1 分钟的连接垃圾收集检查间隔。
我建议使用持久连接(池)来大量使用 HSM,并以 20 分钟为间隔更新(关闭-打开)所有连接。