20260515-【Vastbase G100】时间同步差异导致的KMS解密失败问题案例

适用范围

Vastbase G100 所有版本
涉及加密机（KMS）的场景

概述

客户反馈升级操作系统内核后，数据库重启，执行加解密相关的SQL时出现解密失败报错。本文记录了该问题的排查过程与根因分析，供后续类似问题参考。

案例：操作系统内核升级后KMS解密失败

问题现象

客户执行如下SQL语句时报错：

czmsda_sqy=> select login_name from sys_user;
ERROR:  decrypt failed, not load kms or cryptcard library.

数据库日志无相关堆栈信息，加密机服务端日志显示连接异常。

环境信息

属性	值
产品	Vastbase G100
模块	加密机/KMS
触发操作	升级操作系统内核后重启数据库
涉及组件	数据库服务器、KMS加密服务器（格尔加密）

排查过程

1. 环境基础检查

首先检查数据库环境变量配置，发现以下问题：

• 客户使用 vastbase3 用户启动数据库，但环境变量配置混乱
• 数据目录权限归属于 vastbase 用户，与启动用户不一致
• kms.yml 配置文件存在乱码，无法直接编辑修改，后重新手写了一份配置文件

修正环境变量后，数据库可正常启动，但加密机日志仍持续报错。

2. SSL配置确认

排查数据库与KMS之间的SSL配置：

• 格尔加密配置文件：SSL未开启
• 数据库侧：SSL已开启

经确认，SSL非本次问题的直接原因。

3. KMS服务端日志分析

联系格尔加密技术支持查看KMS服务端日志，发现服务端返回了两种关键错误：

错误类型一：请求时间戳不在指定范围内（防重放攻击校验失败）
错误类型二：AK/SK签名校验失败（签名计算时间戳与服务端不一致）

根因直指——数据库服务器与KMS服务器的系统时间不同步。

4. 时间同步验证

检查两台服务器的时间：

• KMS服务器时间与数据库服务器时间存在偏差
• 时间差导致请求中的时间戳超出了KMS服务端允许的范围窗口
• 同时基于时间戳计算的AK/SK签名也因时间不一致而校验失败

解决方案

1. 同步系统时间：使用 NTP 或手动方式，确保数据库服务器与KMS服务器的系统时间保持一致
2. 验证修复：时间同步后，重新执行加解密SQL，验证是否恢复
3. 环境规范化（辅助建议）：
   • 统一使用同一个操作系统用户启动数据库，避免权限混乱
   • 确保 kms.yml 配置文件编码正确、无乱码
   • 配置 NTP 定时同步，防止时间再次偏移

根因总结

问题	根因
decrypt failed 报错	数据库服务器与KMS服务器系统时间不同步
时间不同步影响机制	① 请求时间戳超出KMS防重放攻击校验范围 ② AK/SK签名校验因时间戳不一致失败
辅助问题	环境变量配置混乱、kms.yml乱码、启动用户不一致

经验教训

1. 涉及加密机的场景，时间同步是前提条件，在问题排查时应优先检查
2. 操作系统内核升级后，需关注系统时间是否被重置或发生偏移
3. KMS相关报错不一定是配置或密钥问题，时间同步也需纳入排查范围

参考文档

• [Vastbase G100 加密机配置指南]
• 如何使用 gdb 分析数据库实例 crash 问题
• Vastbase G100 数据库启动失败常见原因分析及案例

---

注：本文基于2026年5月15日客户案例编写。问题排查过程中涉及的环境变量修正、kms.yml重写等工作虽非根因，但也是确保环境健康度的必要条件。