張鵬　秦飛舟

摘要：為了防止數(shù)據(jù)泄露給用戶造成的損失，敏感數(shù)據(jù)需要通過數(shù)據(jù)銷毀技術(shù)進(jìn)行安全銷毀。該文在研究磁盤存儲器和閃存存儲器的基礎(chǔ)上，對不同存儲器上的數(shù)據(jù)銷毀方法進(jìn)行了總結(jié)，同時著重探討了分布式網(wǎng)絡(luò)和云平臺下的數(shù)據(jù)自毀機(jī)制。

關(guān)鍵字：數(shù)據(jù)銷毀；敏感數(shù)據(jù)；磁盤存儲器；閃存存儲器

中圖法分類號：TP311 文獻(xiàn)標(biāo)識碼： A 文章編號：1009-3044（2015）28-0061-02

隨著計算機(jī)系統(tǒng)的普及，越來越多的單位和個人開始使用計算機(jī)來處理自己的數(shù)據(jù)，數(shù)據(jù)的安全也就變得日益重要。數(shù)據(jù)的保護(hù)方法很多，如傳統(tǒng)的數(shù)據(jù)加密，數(shù)據(jù)隱藏，都可以實現(xiàn)保護(hù)敏感數(shù)據(jù)的目的。但傳統(tǒng)的方法也有其局限性，如數(shù)據(jù)加密，一旦密文落入攻擊者手中，就存在著被破解的風(fēng)險。而對于數(shù)據(jù)隱藏，其目的是使得攻擊者不知道敏感數(shù)據(jù)的存在，從而達(dá)到數(shù)據(jù)保護(hù)的目的。但是如加密一樣，一旦含有敏感數(shù)據(jù)的載體被截獲，也存在著被提取的風(fēng)險。

如果發(fā)生了數(shù)據(jù)被非法獲取的情況，最安全的方式莫過于在數(shù)據(jù)被攻擊者分析之前，將其完全銷毀。數(shù)據(jù)銷毀作為信息安全的一個重要分支，早已引起世界各國的重視，早在1985年，美國國防部（DOD）就發(fā)布了數(shù)據(jù)銷毀標(biāo)準(zhǔn)（5220.22M標(biāo)準(zhǔn)）。我國在2000年《中共中央保密委員會辦公室、國家保密局關(guān)于國家秘密載體保密管理的規(guī)定》第六章第三十四條中明確規(guī)定要銷毀秘密載體，應(yīng)當(dāng)確保秘密信息無法還原。最新的國家保密標(biāo)準(zhǔn)《涉及國家秘密的載體銷毀與信息消除安全保密要求》中詳細(xì)地指出了數(shù)據(jù)銷毀的技術(shù)要求。

本文以數(shù)據(jù)銷毀為主要研究目標(biāo)，研究了磁盤存儲器、閃存存儲器上的數(shù)據(jù)銷毀方法以及數(shù)據(jù)銷毀的機(jī)制。

1物理銷毀

物理銷毀是采用物理手段破壞信息存儲介質(zhì)，使其失去信息存儲能力的一種方法，常見的物理銷毀方法主要有：

1.1消磁法

這種方法只適用于磁盤存儲器，利用消磁機(jī)產(chǎn)生的強(qiáng)大磁場，這種方法可以破壞存儲器原有的磁性結(jié)構(gòu)。一旦磁性結(jié)構(gòu)被破壞，磁盤就失去了存儲數(shù)據(jù)的能力，磁盤上原有的敏感數(shù)據(jù)也隨之湮滅。

1.2化學(xué)腐蝕和物理破壞法

這種方法不僅適合于磁盤存儲器，也適合于閃存存儲器。2005年美國Ensconce公司開發(fā)出了一款專門針對軍方、銀行、高度商業(yè)機(jī)密用途的自毀式硬盤。這種硬盤采用的數(shù)據(jù)保護(hù)技術(shù)關(guān)鍵在于外部信號，當(dāng)傳感器探知硬盤被拆卸或離開安全區(qū)域后，事先藏在硬盤盒內(nèi)的容器會向磁盤噴射一種化學(xué)制劑，永久抹掉上面的數(shù)據(jù)。除了使用化學(xué)溶劑對存儲器進(jìn)行破壞之外，劃損盤片、回爐火燒、外力破損等方法都可以對存儲器的功能進(jìn)行破壞，使其無法正常工作，從而保護(hù)敏感數(shù)據(jù)的安全。

2軟件銷毀

由于物理銷毀會造成存儲器的永久性損壞，使其無法再繼續(xù)使用，因此物理銷毀只適用于對數(shù)據(jù)機(jī)密等級要求較高的特殊場合。對于普通用戶，為了阻止個人敏感信息的泄露，應(yīng)該使用軟件銷毀的方法來清除數(shù)據(jù)。軟件銷毀的核心思想是用垃圾數(shù)據(jù)來代替敏感數(shù)據(jù)，使得數(shù)據(jù)原先所攜帶的信息隨著數(shù)據(jù)的改變而消失。

對于磁盤存儲器，數(shù)據(jù)銷毀可以通過將垃圾數(shù)據(jù)反復(fù)寫入敏感數(shù)據(jù)的存放區(qū)域來實現(xiàn)。由于硬盤上的數(shù)據(jù)都是以二進(jìn)制的“1”和“0”形式存儲的，一旦垃圾數(shù)據(jù)寫入了敏感數(shù)據(jù)的存儲區(qū)域，敏感數(shù)據(jù)中的二進(jìn)制序列就會被垃圾數(shù)據(jù)代替，攻擊者也就無法恢復(fù)出原先的敏感數(shù)據(jù)。對于垃圾數(shù)據(jù)的寫入次數(shù)和垃圾數(shù)據(jù)的模式，不同的國家和地區(qū)有不同的要求，如美國國防部的DOD 5220.22 M標(biāo)準(zhǔn)要求敏感數(shù)據(jù)必須進(jìn)行三次垃圾數(shù)據(jù)覆蓋：第一次用一個8位的字符覆蓋，第二次用該字符的補(bǔ)碼（0和1全反轉(zhuǎn)的字符）覆蓋，最后再用隨機(jī)字符覆蓋。而Peter Gutmann在文獻(xiàn)[1]中提出，敏感數(shù)據(jù)必須經(jīng)過35次垃圾數(shù)據(jù)覆蓋，垃圾數(shù)據(jù)的模式不僅包括隨機(jī)數(shù)，同時也包括該數(shù)據(jù)的補(bǔ)碼和反碼等多種形式。

對于閃存存儲器（包括固態(tài)硬盤、U盤等），由于其單個存儲單元的最大寫入次數(shù)比磁盤低很多，因此閃存存儲器一般會內(nèi)置磨損均衡算法 （Wear Leveling）來平衡每個存儲單元的寫入次數(shù)。如果使用與磁盤相同的數(shù)據(jù)銷毀方法，閃存存儲器中的敏感數(shù)據(jù)很可能得不到有效的清除。Wei在文獻(xiàn)[2]中對多種常見的固態(tài)硬盤進(jìn)行了測試，結(jié)果表明，在固態(tài)硬盤上使用數(shù)據(jù)覆蓋方法清除敏感數(shù)據(jù)的效果十分有限。這是因為磨損均衡算法并不會將垃圾數(shù)據(jù)寫入敏感數(shù)據(jù)的存儲區(qū)域，而是選擇存儲器的空閑區(qū)域?qū)⑵鋵懭?，而后再通過地址變換，將寫入的物理地址映射到原來的邏輯地址。

為了徹底清除閃存存儲器中的敏感數(shù)據(jù)，Wei在文獻(xiàn)[2]中提出一種針對SSD（Solid State Disk）的物理層安全刪除方法。該方法利用將新數(shù)據(jù)直接寫入原有數(shù)據(jù)的存儲頁面來“清洗”原有數(shù)據(jù)，雖然違反了NAND閃存的寫入機(jī)制，即頁面數(shù)據(jù)在更新前需要先擦除包含該頁面的整個塊，然后才能進(jìn)行數(shù)據(jù)更新，但文獻(xiàn)[2]中的實驗表明這種方法在一部分閃存芯片上沒有造成任何影響。Wei等將這種方法集成到SSD的FTL（Flash Translation Layer）中，使得SSD具備了從物理層安全刪除指定文件的功能。

Ilhoon Shin在文獻(xiàn)[3]中提出了一種在FTL中加入緩存管理功能的物理層安全刪除方法。這種方法對每個邏輯頁面上的數(shù)據(jù)覆蓋次數(shù)進(jìn)行計數(shù)，如果次數(shù)超過閾值，說明外部主機(jī)可能正試圖運(yùn)行數(shù)據(jù)覆蓋程序來清除指定數(shù)據(jù)，控制器可以根據(jù)這一判斷對相應(yīng)的物理頁面進(jìn)行徹底清除。這樣不僅避免了內(nèi)置的數(shù)據(jù)緩存區(qū)對數(shù)據(jù)更新操作的“吸收”作用（即數(shù)據(jù)的更新會優(yōu)先在緩沖區(qū)中完成，直到外部主機(jī)調(diào)用了數(shù)據(jù)同步命令才會寫入物理介質(zhì)），也可以使控制器能夠判斷外部主機(jī)是否需要安全刪除指定數(shù)據(jù)。

Yi Qin在文獻(xiàn)[4]中提出一種改變SSD控制器算法的物理層安全刪除方法。這種方法在外部主機(jī)更新指定邏輯地址數(shù)據(jù)時，首先將數(shù)據(jù)寫入一個新的物理地址，然后對原先物理地址上的數(shù)據(jù)進(jìn)行清零。為了提高執(zhí)行的效率，該方法允許用戶對SSD的不同分區(qū)進(jìn)行標(biāo)記，只有標(biāo)記為“機(jī)密”的分區(qū)，控制器才會在數(shù)據(jù)更新之后自動清除原有數(shù)據(jù)，其他未標(biāo)記的分區(qū)則執(zhí)行正常的數(shù)據(jù)更新操作。這樣使得針對磁盤的數(shù)據(jù)安全刪除軟件也可以實現(xiàn)安全刪除SSD上的指定文件。

3數(shù)據(jù)銷毀的機(jī)制

對于數(shù)據(jù)銷毀的機(jī)制，除了使用人工控制的方式之外，目前的研究熱點集中在如何使敏感數(shù)據(jù)能夠自主感知和自動銷毀。例如盧正添在文獻(xiàn)[5]給出了針對單個失效主機(jī)的數(shù)據(jù)銷毀方法，該方法將應(yīng)答失效作為自毀感知條件，使用數(shù)據(jù)的生命周期和數(shù)據(jù)訪問權(quán)限設(shè)置作為自毀感知技術(shù)。但這種方法的缺點是方法過于簡單，無法適于復(fù)雜的分布式系統(tǒng)。為了對文獻(xiàn)[5]中的方法進(jìn)行改進(jìn)，Junyu Lin在文獻(xiàn)[6]中提出一種針對分布式系統(tǒng)的層次化自毀模型。該模型通過感知層的事件監(jiān)控服務(wù)來完成自毀感知，使用粗糙集理論判定分布式系統(tǒng)自毀的觸發(fā)條件，在自毀時，通過“組件自毀”—“服務(wù)自毀”—“系統(tǒng)自毀”逐層地實現(xiàn)了分布式系統(tǒng)的自毀。由于利用粗糙集進(jìn)行自毀條件判定時，其按等價關(guān)系進(jìn)行分類的精確性不高，其提出的層次化自毀方法還存在一定的局限性。

姜冬在文獻(xiàn)[7]中以私密性威脅指數(shù)作為分布式系統(tǒng)的自毀激勵條件，提出一種基于模糊層次化評估的分布式系統(tǒng)自毀感知方法，該方法能夠感知分布式系統(tǒng)的環(huán)境安全并在系統(tǒng)私密性即將被破壞的狀況下實現(xiàn)分布式系統(tǒng)的自毀。

在云存儲模式下Web 應(yīng)用數(shù)據(jù)在網(wǎng)絡(luò)中被大量緩存和存儲，用戶無法確定數(shù)據(jù)在網(wǎng)絡(luò)中的備份數(shù)量及存儲位置，因此用戶不可能將網(wǎng)絡(luò)中數(shù)據(jù)的所有存儲備份都全部清除，而這些未被清除的數(shù)據(jù)則可能遭到未授權(quán)第三方的非法訪問，從而導(dǎo)致數(shù)據(jù)的擁有者所不期望的數(shù)據(jù)泄漏。因此，如何實現(xiàn)過期或備份數(shù)據(jù)在失控時（超出了屬主控制范圍）自毀，是云存儲安全研究的重要內(nèi)容。一些研究者將失控的數(shù)據(jù)刪除問題等價為密鑰管理問題，并開展了一些研究工作。Yang Tang在文獻(xiàn)[8]提出了一種基于策略的文件自毀方法，通過刪除與策略相關(guān)聯(lián)的控制密鑰（加密數(shù)據(jù)密鑰）實現(xiàn)云存儲系統(tǒng)中數(shù)據(jù)及其備份的自毀。但該方案中控制密鑰是由第三方的密鑰管理者管理，是一種集中式的管理方式，存在密鑰管理者不可信而未刪除或泄漏控制密鑰的安全隱患。Roxana Geambasu在文獻(xiàn)[9]中提出了一種分布式密鑰管理系統(tǒng)。該系統(tǒng)將密鑰經(jīng)過門限密碼處理后隨機(jī)分發(fā)到采用了DHT （Distributed Hash Tables）技術(shù)的P2P 網(wǎng)絡(luò)中，使得當(dāng)授權(quán)時間到達(dá)后，密鑰將被網(wǎng)絡(luò)刪除，導(dǎo)致加密數(shù)據(jù)不能被解密，實現(xiàn)了郵件服務(wù)器和網(wǎng)絡(luò)中郵件副本的自銷毀。

4總結(jié)

數(shù)據(jù)銷毀的目的是使得被刪除的敏感數(shù)據(jù)不留蹤跡、不可恢復(fù)，是信息安全領(lǐng)域的重要分支之一。本文對磁盤存儲器和閃存存儲器上的數(shù)據(jù)銷毀方法進(jìn)行了分析總結(jié)，并探討了數(shù)據(jù)銷毀的機(jī)制。

參考文獻(xiàn)：

[1] Gutmann P.Secure deletion of data from magnetic and solid-state memory[C]. Proceedings of the Sixth USENIX Security Symposium， San Jose，CA. 1996（14）.

[2] M.Wei，L.M.Grupp，F(xiàn).M. Spada， and S. Swanson. Reliably Erasing Data from Flash-Based Solid State Drives.USENIX conference on File and Storage Technologies，Berkeley， CA， USA， 2011：105–117.

[3] Ilhoon Shin.Implementing Secure File Deletion in NAND based Block Devices with Internal Buffers.IEEE， 2012.

[4] Yi Qin， Wei Tong， Jingning Liu and Zhiming Zhu. SmSD：A Smart Secure Deletion Scheme for SSDs. Journal of Convergence，Volume 4，Number 4， December ，2013.

[5] 盧正添，李濤，胡曉勤.一種數(shù)據(jù)自毀方法[J].計算機(jī)應(yīng)用研究，2009，1（1）.

[6]Junyu Lin，Huiqiang Wang，Zhitao Qiu，Guangsheng Feng.Hierarchical Self-destruction Method and Case Study on Distributed Computing System[C].Fifth International Conference on Internet Computing for Science and Engineering，2010：319-322.

[7] 姜冬，王慧強(qiáng)，馮光升，呂宏武，林俊宇.基于模糊層次化評估的分布式系統(tǒng)自毀感知方法及應(yīng)用[J].小型微型計算機(jī)系統(tǒng)，2012，4（33）：768-772.

[8] Tang Y， Lee P P C， Lui J C S， et al. FADE： Secure overlay cloud storage with file assured deletion[M].Security and Privacy in Communication Networks. Springer Berlin Heidelberg，2010：380-397.

[9] Roxana Geambasu， Tadayoshi Kohno， Amit Levy， Henry M. Levy.Vanish： Increasing Data Privacy with Self-Destructing Data[C]. // In Proc. of the USENIX Security Symposium，Montreal，Canada，2009：299–315.

[10] CURIAC D I，DOBOH A.BANAS.Combined malicious node discovery and self-destruction technique for wireless sensor networks[C]. Proc of the 3rd International Conference On Sensor Technology Applications，2009.