板载固态硬盘数据销毁策略的设计与实现

张志强，宁东平，黄 茨，刘骁知，范晋文

（中国电子科技集团公司第五十八研究所，江苏无锡 214072）

1 引言

近年来，伴随着大数据及信息化技术的高速发展，固态硬盘（Solid State Disk,SSD）凭借着优越的性能已广泛应用于国家安全、国防军工、高性能计算等领域。通过SSD 保存涉密信息已经非常普遍，同时带来的数据安全问题也更加凸显，适用于SSD 硬件的数据安全领域的研究也已成为热点[1]，为了保护存储数据的安全，防止数据发生泄露，除了研究数据本身的存储安全性外[2]，研究数据销毁技术对信息安全工作也具有重要意义[3-6]。

对于数据销毁技术的研究，目前国内相比于国外的科研水平还有着较大的差距，主要体现在数据的安全销毁标准和数据安全销毁产品的应用普及方面[7]。早在30 年前美国就把数据销毁技术列入重点发展技术，美国国防部在1995 年颁布了数据销毁DOD5220.22-M 标准[8]。在后续的几十年里，美国在数据销毁技术方面取得了很多成果，研发了多种类型的数据销毁技术[9]。中国在2007 年颁布了BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》，对于涉及国家秘密的载体、设备，从研制到生产再到检测都做了详尽的规定，同时对涉密载体、销毁判定级别、相应的技术指标与安全管理也做了要求[10]。但是，随着数据销毁技术的发展以及制造工艺的升级，传统磁盘的数据销毁技术，如数据覆盖技术和消磁技术已显现出较多的弊端。近些年随着固态存储技术的普及以及SSD 特有的电子存储结构具备数据销毁的彻底性及时效性等特点，SSD 已经成为安全硬盘的首选存储介质。

本文通过研究SSD 的数据销毁方法，针对板载SSD 的应用场景，设计了一种基于控制板卡的数据销毁策略，并通过实验证明了销毁电路的有效性和可靠性。

2 SSD 数据销毁方法

SSD 是由存储芯片Flash 作为存储介质的固态存储设备，SSD 的数据销毁主要分为软件销毁和硬件销毁两种方式。

2.1 软件销毁

软件销毁是指通过软件操作的方式删除存储介质中的数据，软件销毁并不会造成SSD 的永久性损坏。常见的软销毁方式主要包括格式化和数据覆盖。

2.1.1 格式化

格式化是最常见的存储设备数据销毁方式，SSD通过控制器算法将Flash 芯片的存储单元进行一次擦除操作，使数据状态呈现全0 或全F[11]。由于该方式可通过专业的数据恢复技术对数据进行恢复，一般应用于处理非敏感数据。

2.1.2 数据覆盖

数据覆盖主要指在进行数据销毁的时候，用垃圾数据来代替原有存储数据，使得数据原先所携带的信息随着数据的改变而消失。该理论最早在第六届USENIX 安全会议上由奥克兰大学计算机科学学院GUTMANN 教授提出，但如果需要安全地删除数据，需要覆盖数据35 次才可以达到无法恢复的程度[12]，因此该方式需要耗费较长的时间。

2.2 硬件销毁

硬件销毁是指通过物理手段毁坏存储介质，使存储介质失去存储能力的一种方式。因为SSD 是以Flash 芯片为存储介质，不同于磁盘或者机械硬盘，消磁、化学腐蚀等物理销毁方式并不适用于SSD，因此SSD 的物理破坏方式主要是通过外力损毁或者通过高电压方式损坏存储芯片。针对板载SSD 的应用场景，主要通过高电压的方式进行毁坏。实现方式是通过引入高电压将存储单元击毁，确保数据不发生泄露，使得系统存储的数据彻底丢失，但这种方式会对存储器造成不可逆的损坏，设备将无法继续使用。

3 板载SSD 数据销毁策略设计

基于SSD 销毁方法的分析，并结合项目应用场景的特点，本文提出了一种以国产CPU 为控制芯片的板载SSD 数据销毁策略，采用软硬销毁相结合的方式，对非密的存储数据采用格式化的软件销毁方式，对于含有涉密信息的存储数据采用高压烧毁SSD 的硬件销毁方式。图1 为数据销毁硬件设计框图，CPU 选用的是国产龙芯CPU，SSD 选用的是威固的RS20 系列RSSD。

图1 数据销毁硬件设计框图

软件销毁策略是利用该SSD 支持的智能数据软销毁功能，即HOST 命令方式，龙芯CPU 收到上位机发来的数据软销毁指令后，通过I/O 管脚电平信号触发数据软销毁。具体方式为持续拉低SSD QE 管脚电平2 s，SSD 芯片的主控启动数据软销毁，存储在Flash中的数据被删除，SSD 恢复至未初始化状态，再次使用时需要重新进行初始化分区。

由于龙芯CPU 启动阶段I/O 口默认为低电平，为防止在启动阶段触发软销毁，本文将MOSFET 设计成反逻辑，当CPU I/O 口高电平时MOSFET 导通，SSD QE 被拉成低电平，否则QE 管脚为高电平，电路结构如图2 所示。

图2 数据软件销毁控制电路

硬件销毁设计策略是在系统内部设置高压电路与SSD 相连，系统需要硬销毁数据时，由逻辑开关控制接通高压电路，使SSD 与高压直接相连而烧毁。基于SSD 存储芯片Flash 的内部结构特点，VDD 电源贯穿到芯片内部的每一个晶体管上，而其他信号线覆盖部分区域，因此在硬件设计中将高电压引到VDD 管脚上，击穿内部的存储芯片及电源电路，使SSD 存储单元烧毁，失去存储能力。

由于硬件销毁对SSD 会造成永久性损坏，为防止CPU 出现软失效等故障导致I/O 口电平不稳而误触发硬销毁指令，在硬销毁的硬件电路设计上，本文提出了一种基于计数器控制的硬销毁方案。

计数器选用的是CD4017，该计数器是5 位Johnson 计数器，有9 个译码输出端，在设计中用第9路输出端控制逻辑开关，当CPU 收到上位机下发的硬销毁指令后，对计数器CD4017 进行清零，再向计数器发送连续的9 个触发脉冲，当计数器收到CPU 连续发送的9 个触发脉冲后，计数器第9 路输出端输出高电平并控制逻辑开关打开高压电路，使高压释放到SSD的VDD 管脚，进而使SSD 烧毁，电路结构如图3 所示。SSD 数据销毁软件逻辑流程如图4 所示。

图3 数据硬件销毁控制电路

图4 数据销毁软件逻辑流程

4 试验验证

原理验证板如图5 所示，分别测试了软件销毁和硬件销毁，获得了销毁时间、销毁后的系统状态以及修复时间等信息，具体结果如表1 所示。从试验结果分析，基于不同的销毁命令，可有效完成数据销毁。

表1 数据销毁验证结果

4.1 软件销毁验证

在数据软销毁前，存储在SSD 内的系统文件可正常引导板卡启动，并可查询盘内存储的数据。当上位机下发软件销毁后，SSD 盘被格式化，存储在SSD 中的数据及系统文件被删除，板卡重新上电后，系统无法启动，软件销毁后串口界面如图6 所示。

图6 软件销毁后串口界面

1：CPU 模块2：计数器模块3：SSD 模块图5 原理验证板卡

4.2 硬件销毁验证

图7为通过示波器测试的硬销毁过程波形，通道1（黄色）为龙芯CPU 发出9 个销毁脉冲，通道2（蓝色）为引入到SSD VDD 管脚的高压波形，当计数器收到CPU 发来的9 个连续脉冲后，计数器打开逻辑开关引入12 V 高压，SSD 被烧毁。

图7 硬件销毁测试波形

5 结束语

存储设备在国防军工等领域有着广泛的应用，数据销毁技术作为数据安全的最后屏障，对其进行研究具有重要的意义。本文对SSD 的数据销毁方法进行了分析总结，提出了一种板载SSD 应用场景的数据销毁设计方案，并经过试验验证该方法可有效解决板载SSD 应用场景的数据销毁问题。在本设计方案中采用计数器控制的方式实现硬件销毁，可有效解决因控制器软失效等原因造成的误触发硬销毁的问题，为后续板载数据销毁技术研究提供参考。