Oracle Internal errors Ora 600 [Kzthsminit: xxxxxx] 使用 TDE 和说明的HSM

如果自己搞不定可以找诗檀软件专业ORACLE数据库修复团队成员帮您恢复!

诗檀软件专业数据库修复团队

服务热线 : 13764045638 QQ号:47079569 邮箱:[email protected]

 

适用于:

Oracle Database – Enterprise Edition – 版本11.1.0.7 及以上
本文信息适用于任何平台。

症状

在版本11.1.0.7:

当尝试以TDE 和HSM使用Oracle RDBMS 11.1.0.7.0;生成以下错误。

ERROR
———————–
ORA-00600: internal error code, arguments: [kzthsmedck: C_DecryptInit], [5], [], [], [], [], [], [], [], [], [], []

‘C_DecryptInit’ can also be another pkcs#11 library API call.

STEPS
———————–
该问题会因为以下步骤再现:
1. 使用以HSM配置的含TDE的RDBMS 11.1.0.7.0 ,错误随机但不断发生

原因

在11.1.0.7及以上版本,由PKCS#11 library报告的HSM设备的任何错误作为内部错误ora-600 引发且参数表明失败的PKCS#11 library函数,在这里C_DecryptInit 失败并生成错误5,这通常表示 ‘CKR_GENERAL_ERROR’。

一些问题的相关bug报告是:

Bug: 13021523: PROCESS CRASH WITH ORA-00600: [KZTHSMEDCK: C_DECRYPTINIT]
Which is closed as a duplicate of ER Bug: 9375776: DO NOT CRASH DATABASE WHEN THE HSM IS DISCONNECTED FORCEFULLY

Stack跟踪表示HSM有问题,这可能是网络问题或其他HSM 问题。

解决方案

要注意这是由HSM供应商在其PKCS#11 library中提供的代码,所以与HSM供应商检查并确认发生原因是很重要的。

可能有网络故障(network glitch)导致PKCS#11 library丢失与HSM的连接。通常pkcs11 / HSM 实施有在安全的ssl网络连接下连接到集中HSM设备的一个local library。

在版本11.2中,Oracle不会再报告pkcs#11 library / HSM device 错误一个内部错误信息,但它们会报告如下:

ORA-28407 “Hardware Security Module error detected”

使用事件28400跟踪,能发现pkcs#11 library错误代码。

当这些错误发生,查看note 1228046.1中是否列出相关补丁。

参考

BUG:13021523 – PROCESS CRASH WITH ORA-00600: [KZTHSMEDCK: C_DECRYPTINIT]

BUG:9375776 – DO NOT CRASH DATABASE WHEN THE HSM IS DISCONNECTED FORCEFULLY
NOTE:1228046.1 – Master Note For Transparent Data Encryption ( TDE )


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *