一種基于離散量控制的軟件毀鑰設計方法

段澤偉

摘要：面對復雜態勢下對機載信息安全的需要，討論不同毀鑰方案的優缺點，并根據對毀鑰電路工作原理及保證措施和軟件毀鑰工作原理的分析，提出一種對電子盤模塊的基于輸入離散量信號控制的軟件毀鑰設計方法。

關鍵詞：信息安全 離散量控制 軟件毀鑰

引言

隨著信息化技術在航空機載領域廣泛應用，信息安全越發引起重視。面對紛繁復雜的態勢，關鍵數據的重要性不言而喻。目前保護數據信息的方法一般有設置密碼和數據加密，但即使安最強的加密系統，也存在被破解可能。為保證關鍵信息在任何情況下不被泄露，作為數據保護的手段，需要運用數據毀鑰技術。針對機載計算機中存儲的關鍵信息安全需求，本文提出一種基于離散量輸入信號控制的電子盤軟件毀鑰設計方法，防止數據泄露。

1 毀鑰方式

目前通用的毀鑰方式分為：“軟件毀鑰”，即對原有存儲數據進行數據擦除覆蓋;“硬件毀鑰”，即通過專門的毀鑰電路引入毀鑰能量對存儲數據的載體進行物理毀壞。“軟件毀鑰”，通過處理器對存儲數據進行“寫0”或“寫1”操作。該方式相對于物理毀鑰簡單易行，模塊升級改動代價小，不用重新設計專門的毀鑰電路，且無需從外部引入毀鑰能量或自身產生毀鑰能量，無需考慮毀鑰能量注入對產品的安全性等問題。但軟件毀鑰時要求CPU正常工作，當CPU發生故障無法正常對存儲載體讀寫，軟件毀鑰無法實現，其工作可靠性不如硬件毀鑰方式。本文以某型機載計算機為例進行驗證，綜合產品各項硬件資源現狀考慮，采用軟件毀鑰方式實現對某型機載計算機的關鍵數據銷毀。

2 軟件毀鑰原理

產品內部的電子盤模塊是數據存儲模塊，也是需要進行毀鑰的模塊。電子盤中存儲有索引文件和數據文件，索引文件引用正常才可以解析數據文件。毀壞索引文件即可實現數據毀鑰。產品支持毀鑰操作，當毀鑰信號有效時，啟動電子盤擦除程序，對電子盤內存儲索引文件區域進行擦除。

電子盤模塊內部存儲結構如圖1所示。

產品內部電子盤為NAND Flash存儲介質，共含Z個物理塊，每個物理塊的大小為8MB，物理塊塊號范圍為0～（Z-1）。其中電子盤會分配出一個物理塊用來存儲壞塊列表，同時其內部還會存在若干個物理壞塊，剩余空間為電子盤實際可用空間。將存儲壞塊列表信息的物理塊首塊和在電子盤存儲空間隨機出現的若干個壞塊從Z個物理塊中減去，再將剩余塊重新排列，得到實際可使用的邏輯塊空間，每個邏輯塊的大小也為8MB，可用的邏輯塊塊數y=（Z-1）-1-x（其中x為電子盤壞塊數），可用的邏輯塊塊號范圍為0～y（y< Z-1）。

電子盤中的索引文件邏輯塊號范圍為a～b，占用空間為b-a個塊，存儲區大小為（b-a）*8MB。數據文件邏輯塊號范圍為c～d，占用空間約d-c個塊，存儲區大小約為（d-c）*8MB，數據文件需通過索引文件調用。

毀鑰測試前，電子盤內貫裝所需索引文件和數據文件，并驗證顯示正常。

毀鑰測試中，計算機接收毀鑰信號后，觸發啟動擦除程序，對索引文件存儲區內的信息進行3次擦除。

毀鑰測試后，根據NAND FLASH器件的技術特點和工作原理，擦除后除索引文件的數據應為0xFFFFFFFF，即毀鑰后，電子盤內的索引數據區域應全部清‘0。程序應無法調取顯示數據圖形。

3 毀鑰電路工作原理及保證措施

本文采用軟毀鑰，毀鑰信號（SYS_DS）作為離散量信號來使用，該功能電路由計算機中的IOM模塊實現，其中離散量信號內部由光電耦合器來實現內外隔離，其實現原理如圖2所示，可保證毀鑰時被毀設備無反向電壓輸出。

利用離散量輸入信號INDIS05控制毀鑰信號，當外部未施加毀鑰信號SYS_DS（INDIS05開路）時，光耦V2第1路不導通，LIN05信號做上拉處理，此時，IOM模塊采集到的毀鑰離散量值為“高”，IOM模塊將采集到的離散量值通過VME總線傳給CPU模塊，CPU模塊判定受試件處于正常工作模式。當毀鑰信號有效（INDIS05施加電應力18-30VDC）時，光耦V2第1路導通，LIN05信號接地，此時，采集到的毀鑰離散量值為“低”，IOM模塊中的定時器定義為350us，即程序對離散量的采樣周期是350us，為避免將外部干擾信號誤認為毀鑰信號，規定判定連續3次離散量值采樣為“低”時，觸發中斷，CPU模塊判定計算機進入毀鑰模式，對電子盤內指定范圍的數據進行連續3次重復擦除。

由于采用軟毀鑰模式，INDIS05所施加電應力撤銷后，被毀設備仍維持圖所示電路的正常工作模式，可保證其不會出現短路現象。

4 毀鑰程序函數

調用高任務等級的數據擦除函數ediskDestroyTest（a，b），對邏輯塊號a～b范圍內容進行數據擦除，利用while循環累加計數判斷對同一區域連續擦除3次，并通過時鐘函數tickGet（）及sysClkRateGet（）計算擦除時間，擦除函數正常運行完成后打印毀鑰成功信息和毀鑰時間。

測試驗證

利用本文方法對計算機進行毀鑰測試驗證，電子盤毀鑰程序運行成功后產品的CPU模塊串口打印具體測試信息，對電子盤960MB空間共進行3次擦除，共用時間為200ms，毀鑰時間滿足要求，具有及時性。

在毀鑰測試前后將同一對應地址位置文件進行下載比對，可發現毀鑰后下載文件的內容為0xFFFFFFFF，證明已全被擦除。且重啟計算機，數據圖形無法調用顯示，滿足測試預期，證明毀鑰成功實現。

5 結語

本文通過對毀鑰原理和內部功能電路的分析，提出一種利用現有離散量輸入信號控制的電子盤軟件毀鑰設計方法。通過對毀鑰能力的驗證，證明該技術的可行性。

參考文獻

[1]王博，劉帥，白晨.任務管理計算機關鍵數據毀鑰技術研究與實現[J].數字通信世界，2018，54（5）：76-77.

[2]Wei M Y C，Grupp L M，Spada F E，et al. Reliably Erasing Data from Flash-Based Solid State Drives[C].FAST，2011：8-8.

[3]趙世昊，沈桂將，鄭澤霖，劉成.基于VxWorks系統的直升機存儲數據清除技術研究[J].價值工程，2019，42（16）：131-133.