我即将使用thales hsm进行加密/解密,使用http://www.pkcs11interop.net/
但是,我在脑海中提出了一个问题。 我有两种方法可以在我的服务器应用程序中使用thales hsm
一种方法是:每当我需要进行aes操作,打开连接,完成工作,关闭连接。
另一种方式:在服务器应用程序启动时打开连接,在服务器的生命周期内执行aes操作 应用程序,每当服务器需要时关闭连接 闭合。
所以我的问题是,使用hsm的正确(或建议)方式是哪种方式?
答案 0 :(得分:0)
这完全取决于您对HSM的需求和使用情况。如果您在5分钟内发送1条消息,最好为每个AES操作打开连接,并在完成作业后关闭连接。通常,如果您在一分钟内发送超过1条消息,则应该具有持久连接,因为HSM的有限连接资源可能会在短时间内耗尽。
Thales HSM默认设置允许您打开最多64个连接并以60分钟为间隔检查这些连接。如果连接关闭,它可以在60分钟后理解它。
如果您为每个请求打开一个连接,您可以在短时间内达到64连接限制,并且通常HSM启动时不再允许打开新连接。要摆脱它,您可以将Hsm设置更改为1分钟检查间隔以进行垃圾收集连接。
我建议使用持久连接(池)来大量使用HSM,并在20分钟内更新(关闭 - 打开)所有连接。