诗檀软件专业数据库修复团队
适用于:
Oracle Database - Enterprise Edition – 版本11.1.0.7 及以上
本文信息适用于任何平台。
症状
在版本11.1.0.7:
当尝试以TDE 和HSM使用Oracle RDBMS 11.1.0.7.0;生成以下错误。
ERROR
-----------------------
ORA-00600: internal error code, arguments: [kzthsmedck: C_DecryptInit], [5], [], [], [], [], [], [], [], [], [], []
'C_DecryptInit' can also be another pkcs#11 library API call.
STEPS
-----------------------
该问题会因为以下步骤再现:
1. 使用以HSM配置的含TDE的RDBMS 11.1.0.7.0 ,错误随机但不断发生
原因
在11.1.0.7及以上版本,由PKCS#11 library报告的HSM设备的任何错误作为内部错误ora-600 引发且参数表明失败的PKCS#11 library函数,在这里C_DecryptInit 失败并生成错误5,这通常表示 'CKR_GENERAL_ERROR'。
一些问题的相关bug报告是:
Bug: 13021523: PROCESS CRASH WITH ORA-00600: [KZTHSMEDCK: C_DECRYPTINIT]
Which is closed as a duplicate of ER
Bug: 9375776: DO NOT CRASH DATABASE WHEN THE HSM IS DISCONNECTED FORCEFULLY
Stack跟踪表示HSM有问题,这可能是网络问题或其他HSM 问题。
解决方案
要注意这是由HSM供应商在其PKCS#11 library中提供的代码,所以与HSM供应商检查并确认发生原因是很重要的。
可能有网络故障(network glitch)导致PKCS#11 library丢失与HSM的连接。通常pkcs11 / HSM 实施有在安全的ssl网络连接下连接到集中HSM设备的一个local library。
在版本11.2中,Oracle不会再报告pkcs#11 library / HSM device 错误一个内部错误信息,但它们会报告如下:
ORA-28407 "Hardware Security Module error detected"
使用事件28400跟踪,能发现pkcs#11 library错误代码。
当这些错误发生,查看
note 1228046.1中是否列出相关补丁。
参考
BUG:13021523 - PROCESS CRASH WITH ORA-00600: [KZTHSMEDCK: C_DECRYPTINIT]
BUG:9375776 - DO NOT CRASH DATABASE WHEN THE HSM IS DISCONNECTED FORCEFULLY
NOTE:1228046.1 - Master Note For Transparent Data Encryption ( TDE )