王 博，劉 帥，白 晨

（中國航空工業(yè)集團公司西安航空計算技術(shù)研究所，西安 710068）

1 引言

隨著數(shù)字信息化技術(shù)的廣泛深入，信息安全越來越引起人們的重視。尤其在航空機載領(lǐng)域，面對紛繁復(fù)雜、瞬息萬變的戰(zhàn)場態(tài)勢，關(guān)鍵數(shù)據(jù)的重要性不言而喻。目前，保護數(shù)據(jù)信息的方法主要有設(shè)置密碼和數(shù)據(jù)加密[1]。但是，即使是安全性最強的數(shù)據(jù)加密系統(tǒng)，一旦被破解，數(shù)據(jù)信息便一覽無余。為保證關(guān)鍵數(shù)據(jù)在任何情況下都不被敵方截獲，作為保護數(shù)據(jù)的最后一道壁障，數(shù)據(jù)毀鑰技術(shù)應(yīng)運而生。

本文針對某型無人機任務(wù)管理計算機關(guān)鍵數(shù)據(jù)信息安全需求，系統(tǒng)分析了毀鑰設(shè)計技術(shù)的注意因素，提出了一種毀鑰設(shè)計方法，從根本上消除數(shù)據(jù)恢復(fù)條件，防止數(shù)據(jù)被截獲。

2 系統(tǒng)組成

任務(wù)管理計算機是飛機任務(wù)管理系統(tǒng)控制和管理的核心，主要負責任務(wù)系統(tǒng)中任務(wù)載荷的管理與控制、火控計算、任務(wù)導(dǎo)航、武器管理以及總線通信管理等。

任務(wù)管理計算機由數(shù)據(jù)處理核心模塊、輸入輸出控制模塊、離散量控制模塊、電源管理模塊以及母板和機箱等部件組成。如圖1所示。

圖1 任務(wù)管理計算機整機架構(gòu)圖

核心處理模塊主要實現(xiàn)任務(wù)管理計算機的任務(wù)調(diào)度、接口管理、數(shù)據(jù)收發(fā)等功能；輸入輸出控制模塊主要包括智能12路全雙工RS422串行總線接口，實現(xiàn)數(shù)據(jù)交互功能；離散量控制模塊主要提供24路兼容28V/地和地/開信號的離散量輸入信號以及24路28V/28VGND的離散量輸出信號，實現(xiàn)命令控制功能；電源管理模塊將機上28V直流電源轉(zhuǎn)換為任務(wù)管理計算機所需的二次電源，并提供電源監(jiān)控管理功能。

3 系統(tǒng)毀鑰設(shè)計

任務(wù)管理計算機系統(tǒng)毀鑰設(shè)計主要從以下三個方面進行考慮：毀鑰方式選擇；毀鑰能量來源；毀鑰電路的具體位置。

3.1 毀鑰方式選擇

通用的毀鑰方式是對原有信息進行數(shù)據(jù)覆蓋。數(shù)據(jù)覆蓋實現(xiàn)簡單，通過處理器模塊對存儲數(shù)據(jù)的芯片進行“寫0”或“寫1”操作即可，但數(shù)據(jù)覆蓋不能從根本上消除本次寫入數(shù)據(jù)與上次寫入數(shù)據(jù)的關(guān)聯(lián)性[2]，存在數(shù)據(jù)恢復(fù)的可能。且數(shù)據(jù)覆蓋過分依賴于處理器模塊，當處理器模塊發(fā)生故障、無法正常對存儲載體進行讀寫時，數(shù)據(jù)覆蓋便無法實現(xiàn)。

為了增強毀鑰的可靠性，同時彌補數(shù)據(jù)覆蓋的缺陷，系統(tǒng)需要考慮對信息存儲載體的銷毀。在數(shù)據(jù)處理模塊正常工作的情況下，系統(tǒng)接收毀鑰指令，對原有信息進行數(shù)據(jù)覆蓋，隨后對信息存儲載體進行物理銷毀；在數(shù)據(jù)處理模塊無法正常工作的情況下，則直接對信息存儲載體進行物理銷毀。

3.2 毀鑰能量來源

毀鑰能量的來源主要有兩種途徑：外部引入毀鑰能量；內(nèi)部提供毀鑰能量。

（1）外部引入毀鑰能量。從外部引入毀鑰能量需要確保能量的衰減不影響載體的銷毀。引入之前，系統(tǒng)對銷毀信息存儲載體所需能量的大小進行評估，能量在可控范圍內(nèi)應(yīng)大于理論需求；同時，對于能量的傳輸路徑也有不同的選擇，毀鑰能量可通過母板接入電路，也可繞過母板直接接入電路。由于毀鑰能量與機內(nèi)信號定義不同，通過母板進入的方案需要在母板印制板中預(yù)留單獨的信號層以及匹配電阻，這種方式增加了母板的復(fù)雜性；而繞過母板的方案則需要在走線及電磁兼容[3]設(shè)計方面作出權(quán)衡。

（2）內(nèi)部提供毀鑰能量。內(nèi)部提供的毀鑰能量可忽略能量衰減和信號的電磁輻射影響，但增加了電源管理模塊的負載壓力，母板印制板中同樣需要預(yù)留單獨的信號層及匹配電阻。更重要的是當電源管理模塊發(fā)生故障導(dǎo)致任務(wù)管理計算機故障時，則可能無法完成數(shù)據(jù)的清除和信息存儲載體的銷毀。

3.3 毀鑰電路的位置

在確定毀鑰方式、毀鑰能量來源的基礎(chǔ)上，毀鑰電路的位置由存儲載體的位置和機內(nèi)的模塊分布共同決定。任務(wù)管理計算機中擁有數(shù)據(jù)載體的位置為數(shù)據(jù)處理模塊和離散量控制模塊，毀鑰電路可在上述兩個模塊間進行選擇。而對比數(shù)據(jù)處理模塊和離散量控制模塊在機內(nèi)的位置分布（圖2），選擇靠近能量來源的離散量控制模塊能大大減少單導(dǎo)線性質(zhì)的電磁輻射，并降低毀鑰能量的衰減。

根據(jù)以上討論，任務(wù)管理計算機的數(shù)據(jù)銷密采用“關(guān)鍵存儲單元數(shù)據(jù)寫0覆蓋+存儲器芯片燒毀”的綜合銷密方式，毀鑰能量從系統(tǒng)外部引入且繞過母板，具體毀鑰電路設(shè)置在距離能量來源較近的離散量控制模塊上。

圖2 任務(wù)管理計算機功能模塊分布圖

4 毀鑰電路設(shè)計

任務(wù)管理計算機采用NVRAM進行關(guān)鍵信息的存儲，因此毀鑰對象為NVRAM及其存儲信息。毀鑰能量采用遠高于NVRAM的工作電壓（NVRAM正常工作時供電電壓為3.3V，毀鑰能量取機上28V直流電源）。具體做法是將28V接入NVRAM的供電管腳，進行物理銷毀。在物理銷毀前需要預(yù)留數(shù)據(jù)覆蓋的時間，系統(tǒng)采用定制的延時繼電器進行時間的控制。如圖3所示。

圖3 延時繼電器原理圖

開始時延時繼電器管腳2與管腳4接通，管腳7與管腳5接通，當信號來臨，經(jīng)過特定的時間后，管腳2與管腳8接通，管腳7與管腳1接通。系統(tǒng)毀鑰的具體實現(xiàn)電路見圖4。

圖4 毀鑰電路功能框圖

當系統(tǒng)毀鑰信號“浮空”時，延時繼電器管腳2連接4，7連接5，正向輸出3.3V電源給NVRAM并提供GND地回路，NVRAM正常工作；當系統(tǒng)毀鑰信號“有效”時，系統(tǒng)毀鑰信號同時進入數(shù)據(jù)處理模塊和延時繼電器。其中數(shù)據(jù)處理模塊識別毀鑰信號后觸發(fā)最高級中斷，中斷程序完成對NVRAM的“寫0”覆蓋；毀鑰信號進入延時進電器后，延遲特定時間（“寫0”覆蓋時間+時間余量），待NVRAM完成數(shù)據(jù)覆蓋后，管腳2連接8，7連接1，輸出反向的28GND及其VDD（28V）信號，燒毀NVRAM。

5 測試驗證

為了驗證任務(wù)管理計算機毀鑰技術(shù)的正確性和可行性，搭建了驗證平臺，如圖5所示。其中毀鑰信號由機載發(fā)電機/蓄電池提供。

圖5 任務(wù)管理計算機毀鑰實驗連接框圖

產(chǎn)品正常工作時，任務(wù)管理計算機通過總線與其他機載設(shè)備進行信息交互，GME可正常加載NVRAM存儲的數(shù)據(jù)，當產(chǎn)品進行毀鑰操作后，GME無法訪問NVRAM，任務(wù)管理計算機與外部設(shè)備通信異常。拆下任務(wù)管理計算機進行檢查，NVRAM已被燒毀，無法訪問，見圖6。

圖6 毀鑰后的NVRAM芯片

6 進一步工作

通過毀鑰銷毀關(guān)鍵信息是設(shè)計目的，但在燒毀關(guān)鍵信息的同時，對DIO模塊板內(nèi)的其他資源也造成了損傷。分析造成損傷的原因：主要是因為NVRAM的數(shù)據(jù)線和地址線與板內(nèi)其他資源互聯(lián)，造成NVRAM在被燒毀的同時，多余的毀鑰能量進入附近資源，造成損傷。如何避免在毀鑰過程中保證附近資源的完好，是后續(xù)需要進行的工作。

7 結(jié)束語

本文通過對任務(wù)管理計算機體系結(jié)構(gòu)的分析，提出了一種利用延時繼電器實現(xiàn)的毀鑰技術(shù)。并通過對毀鑰能力的驗證，證明該毀鑰技術(shù)的可行性。后續(xù)將圍繞縮小毀鑰范圍進行進一步的研究。

[1] 卡茨安.標準數(shù)據(jù)加密算法.北京：人民郵電出版社，1983.

[2] M.Wei，L.M.Grupp，F(xiàn).M.Spada.and S.Swanson.Reliably Erasing Data from Flash-Based Solid State Drives USENIX conference on File and Storage Technologies，Berkeley，CA，USA，2011：105–117.

[3] 白同云.電磁兼容設(shè)計[M].北京：北京郵電大學(xué)出版社，2001：113-119.