HSM连接持续或非持续

Question

我即将使用泰雷兹HSM只是为了做一些AES加密/解密使用http://www.pkcs11interop.net/

但是，在我的心目中，我有一个问题提出。 我有两种方法可以使用泰利斯HSM我的服务器应用程序

• 一种方式是：每当我需要做的AES操作，打开连接，做的工作，关闭连接。

• 另一种方式：打开在服务器应用程序的启动连接，进行AES运算在服务器 应用的生命周期，关闭连接每当服务器需要 关闭。

所以我的问题是，它的方法是使用HSM的正确（或建议）的方式？

Answer 1

这完全取决于您的HSM需求和使用情况。如果您在5分钟内发送1条消息，最好打开每个AES操作的连接并在完成作业后关闭连接。通常情况下，如果您在一分钟内发送更多1条消息，您应该拥有持久连接，因为HSM的有限连接资源可能会在短时间内耗尽。

Thales HSM默认设置允许您打开最多64个连接，并以60分钟为间隔检查这些连接。如果连接关闭，60分钟后可以理解。

如果您打开每个请求的连接，您可以在短时间内达到64个连接限制，并且一般HSM开始不允许再打开新的连接。要摆脱它，您可以将Hsm设置更改为1分钟检查时间间隔以进行垃圾回收连接。

我建议使用永久性连接（池）来大量使用HSM，并以20分钟为间隔更新（关闭）所有连接。