吳忠勛

（中國電子科技南湖研究院，浙江 嘉興 314002）

0 引言

在物聯(lián)網(wǎng)（Internet of Things，IoT）時代，全球聯(lián)網(wǎng)設(shè)備日益增多，數(shù)據(jù)的濫用、破壞、盜竊、偽造等威脅日益嚴(yán)重。從汽車工業(yè)到智能工廠，數(shù)據(jù)安全問題已經(jīng)成為大范圍物聯(lián)網(wǎng)設(shè)備應(yīng)用的重要關(guān)注點。數(shù)據(jù)攻擊不僅限于通過軟件系統(tǒng)漏洞入侵，還可以通過物理的方式進行數(shù)據(jù)竊取。為了全方位保障數(shù)據(jù)安全，可以使用數(shù)據(jù)銷毀電路的方案來解決純軟件數(shù)據(jù)防護方案不全面的問題。

SD卡（Secure Digital Memory Card）作為存儲數(shù)據(jù)的重要載體，它是一種專為滿足新興音頻、視頻消費電子設(shè)備固有的安全性、容量、性能和環(huán)境要求而設(shè)計的低功耗高速存儲卡。目前擴展容量SD存儲卡（SD eXtended Capacity，SDXC）內(nèi)存容量超過32GB，最高容量可達2TB。然而，受芯片制造工藝限制，目前市面上的SD卡內(nèi)存容量最大只有1TB。受單張SD卡內(nèi)存容量限制，一些工業(yè)存儲設(shè)備開始采用矩陣控制器連接至多張SD卡的方式進行內(nèi)存容量擴展，從而組建成一個超大內(nèi)存容量的存儲設(shè)備。

數(shù)據(jù)銷毀是指利用各種可靠方式，對存儲介質(zhì)中所存儲的數(shù)據(jù)進行清除，使重要數(shù)據(jù)信息不會被竊取者恢復(fù)和盜用?，F(xiàn)今，幾乎各行各業(yè)都涉及到維護數(shù)據(jù)信息安全的問題。在對如何維護涉密信息的數(shù)據(jù)安全問題上，國家也頒布了相關(guān)的法律法規(guī)和制定了有關(guān)標(biāo)準(zhǔn)。如《涉及國家秘密的載體銷毀與信息消除安全保密要求》[1]是國家保密局對涉及國家秘密的信息載體的銷毀而出臺的執(zhí)行標(biāo)準(zhǔn)，其中要求對磁性介質(zhì)通過物理消磁、化學(xué)溶解和焚燒等處理方法以達到數(shù)據(jù)銷毀的目的[2]。

本文分析了各種數(shù)據(jù)銷毀方式和多張SD卡組建大容量存儲設(shè)備的框架，在傳統(tǒng)數(shù)據(jù)銷毀方式的基礎(chǔ)上提出了一種針對多張SD卡的數(shù)據(jù)銷毀電路。該電路具有數(shù)據(jù)銷毀迅速、載體銷毀徹底、銷毀對象廣泛等特點，具有良好的數(shù)據(jù)銷毀效果。

1 大容量存儲設(shè)備與數(shù)據(jù)銷毀技術(shù)

1.1 多張SD卡組建大容量存儲設(shè)備

大容量存儲設(shè)備主要通過矩陣控制器將一路SDIO總線擴展至多路，每路SDIO總線上分別掛載一張SD卡，從而實現(xiàn)多張SD卡的組建，電路結(jié)構(gòu)圖如圖1所示。寫入數(shù)據(jù)時，低功耗低速MCU（Microcontroller Unit）控制矩陣控制器，使MCU的SDIO接口通過SDIO總線連接至一張SD卡，同時控制其他SD卡關(guān)閉供電，實現(xiàn)低功耗低速寫入數(shù)據(jù)功能。讀取數(shù)據(jù)時，MCU控制矩陣控制器，使高功耗高速接口通過SDIO總線連接至一張SD卡，同時控制其他SD卡關(guān)閉供電，實現(xiàn)高功耗高速讀取數(shù)據(jù)功能。通過矩陣控制器對多張SD卡的SDIO總線切換，實現(xiàn)內(nèi)存容量擴展，從而組建成一個超大內(nèi)存容量的存儲設(shè)備[3]。

圖1 大容量存儲設(shè)備電路結(jié)構(gòu)圖Figure 1 Circuit diagram of mass storage device

1.2 數(shù)據(jù)銷毀技術(shù)

針對目前的數(shù)據(jù)銷毀技術(shù)，主要的銷毀方式如下[4][5][6]：

（1）數(shù)據(jù)刪除法：刪除和格式化命令并不能真正從磁盤上徹底刪除數(shù)據(jù)，通過特定的軟件即可恢復(fù)原數(shù)據(jù)。

（2）強力消磁法：適用于大多數(shù)磁性存儲介質(zhì)。張承臣和張曙光（2005）設(shè)計了一種強磁數(shù)據(jù)銷毀儀，使用時只需將磁記錄存儲介質(zhì)放入此實用新型的磁場工作區(qū)域，就可以完成數(shù)據(jù)的銷毀[7]。

（3）焚燒、高溫銷毀法：通過高溫爐使得存儲介質(zhì)變成碎片直至完全融化，從而破壞了數(shù)據(jù)的完整性，增加了數(shù)據(jù)恢復(fù)的難度。

（4）物理破壞法：借助于專業(yè)設(shè)備將存儲介質(zhì)切割粉碎，被粉碎后介質(zhì)的顆粒很微小，從而使得數(shù)據(jù)無法被恢復(fù)。

（5）化學(xué)腐蝕法：利用化學(xué)試劑，將硬盤盤片磁介質(zhì)進行腐蝕破壞，從而避免數(shù)據(jù)還原。

（6）數(shù)據(jù)覆寫法：也被稱為數(shù)據(jù)擦除法。隨著覆寫次數(shù)的逐漸增多，即使用專業(yè)的數(shù)據(jù)恢復(fù)軟件也很難將原先的數(shù)據(jù)完全還原。

上述數(shù)據(jù)銷毀方法各有利弊，針對不同的應(yīng)用背景應(yīng)該采用不同的數(shù)據(jù)銷毀方法。數(shù)據(jù)刪除法不能徹底清除數(shù)據(jù)，安全性較弱；強力消磁法、焚燒和高溫銷毀法、物理破壞法、化學(xué)腐蝕法這幾種方式都需要專業(yè)的銷毀設(shè)備或化學(xué)試劑，并且需要人工干預(yù)才能實現(xiàn)數(shù)據(jù)銷毀[8]。

通過對比各種數(shù)據(jù)銷毀技術(shù)的優(yōu)缺點，行業(yè)內(nèi)普遍使用高電壓電路進行數(shù)據(jù)銷毀，使存儲設(shè)備承受過高電壓而被擊穿，在極短的時間內(nèi)使數(shù)據(jù)存儲介質(zhì)物理損壞，達到數(shù)據(jù)無法恢復(fù)的目的。高電壓進行數(shù)據(jù)銷毀的方式占用體積小，可以通過主控電路進行控制，數(shù)據(jù)銷毀程度徹底，因此在行業(yè)內(nèi)應(yīng)用領(lǐng)域較廣。

2 傳統(tǒng)SD卡數(shù)據(jù)銷毀電路

傳統(tǒng)SD卡數(shù)據(jù)銷毀電路主要通過一個開關(guān)器件控制高電壓輸出，外部需要配備一個專用高電壓電源，同時配備一個二極管用于阻斷高電壓進入MCU電路，MCU電路通過SDIO總線對SD卡進行數(shù)據(jù)存儲，電路結(jié)構(gòu)圖如圖2所示。

圖2 傳統(tǒng)SD卡數(shù)據(jù)銷毀電路結(jié)構(gòu)圖Figure 2 Structure diagram of traditional SD card data destruction circuit

當(dāng)滿足數(shù)據(jù)銷毀條件時，MCU電路控制開關(guān)器件導(dǎo)通，使高電壓直接連接至SD卡的供電端口，SD卡內(nèi)部存儲芯片承受高電壓而被擊穿后對地短路，內(nèi)部的數(shù)據(jù)因存儲介質(zhì)物理損壞而不能進行數(shù)據(jù)恢復(fù)，從而達到數(shù)據(jù)銷毀的目的。

當(dāng)進行多張SD卡數(shù)據(jù)銷毀時，若簡單按照傳統(tǒng)方式將開關(guān)器件輸出直接連接至多張SD卡的供電端口，開關(guān)器件導(dǎo)通時，會出現(xiàn)某張SD卡承受高電壓而被擊穿后對地短路，開關(guān)器件的輸出電壓被強制持續(xù)拉低，導(dǎo)致其他SD卡接入的電壓過低而無法被擊穿，無法達到多張SD卡全部進行數(shù)據(jù)銷毀的目的。單個開關(guān)器件直接對多張SD卡進行數(shù)據(jù)銷毀的電路結(jié)構(gòu)圖如圖3所示。

圖3 單個開關(guān)器件直接對多張SD卡進行數(shù)據(jù)銷毀的電路結(jié)構(gòu)圖Figure 3 Circuit structure diagram of a single switch device directly destroying data on multiple SD cards

3 針對多張SD卡的數(shù)據(jù)銷毀電路

在傳統(tǒng)SD卡數(shù)據(jù)銷毀電路的基礎(chǔ)上，通過重新規(guī)劃電路布局，引入新的功能器件，設(shè)計出一個針對多張SD卡數(shù)據(jù)銷毀的電路。該電路主要包含一個高電壓電源、一個電源芯片、一個MCU電路、一個小功率二極管、一個開關(guān)器件、一個大功率二極管、多個保險絲和多張SD卡，其電路結(jié)構(gòu)圖如圖4所示。

圖4 多張SD卡的數(shù)據(jù)銷毀電路結(jié)構(gòu)圖Figure 4 Data destruction circuit structure diagram of multiple SD cards

3.1 功能模塊說明

電路中各模塊的功能如下：

（1）高電壓電源：為SD卡存儲介質(zhì)物理擊穿提供高電壓，同時為MCU電路與SD卡的常規(guī)工作提供電源；

（2）電源芯片：將高電壓電源的高電壓轉(zhuǎn)換為低電壓（如3.3V），在常規(guī)工作時，為MCU電路和SD卡提供推薦的輸入電壓；

（3）MCU電路：通過SDIO總線為SD卡傳輸數(shù)據(jù)信息，同時控制開關(guān)器件的通斷狀態(tài)；

（4）小功率二極管：阻斷高電壓反向進入電源芯片造成電源芯片輸出端被擊穿損壞，同時為SD卡常規(guī)工作提供定向低電壓通路；

（5）開關(guān)器件：為高電壓電源的高電壓提供一個開關(guān)通路；

（6）大功率二極管：防止SD卡常規(guī)工作時的低電壓反向進入開關(guān)器件，導(dǎo)致開關(guān)器件導(dǎo)通不再受MCU電路控制，同時為開關(guān)器件輸出的高電壓提供定向通路；

（7）保險絲：保險絲一端與大、小功率二極管的輸出端連接，另一端與SD卡的供電端口連接，當(dāng)SD卡被高電壓擊穿而對地短路產(chǎn)出大電流時，及時斷開處于對地短路狀態(tài)的SD卡上的高電壓，同時為SD卡常規(guī)工作提供低電壓通路；

（8）SD卡：主要用于存儲MCU電路傳輸過來的數(shù)據(jù)。

3.2 工作過程

常規(guī)工作時，開關(guān)器件默認處于通路斷開的狀態(tài)，高電壓電源的高電壓通過電源芯片轉(zhuǎn)換為低電壓，使MCU電路和SD卡處于常規(guī)工作狀態(tài)，MCU電路處理的數(shù)據(jù)通過SDIO總線傳輸至SD卡進行數(shù)據(jù)存儲。

當(dāng)滿足數(shù)據(jù)銷毀條件時，MCU電路直接控制開關(guān)器件，使其處于導(dǎo)通的狀態(tài)。高電壓電源的高電壓依次通過開關(guān)器件、大功率二極管、保險絲，到達SD卡供電端口，使SD卡內(nèi)部的存儲介質(zhì)被高電壓擊穿而對地短路，達到數(shù)據(jù)銷毀的目的。當(dāng)SD卡內(nèi)部對地短路時，會在保險絲上通過較大的電流。當(dāng)通過的電流達到保險絲燒斷條件時，保險絲物理斷開，高電壓不會被繼續(xù)拉低，從而繼續(xù)對其他SD卡進行高電壓擊穿。通過重復(fù)進行以上步驟，依次將所有SD卡進行數(shù)據(jù)銷毀。

3.3 關(guān)鍵器件參數(shù)

保險絲作為SD卡數(shù)據(jù)銷毀后及時斷開高電壓通路的關(guān)鍵器件，其熔斷特性是十分重要的電性能指標(biāo)，它表明了保險絲在不同過載電流下熔斷的時間范圍。一種保險絲的額定熔斷電流與熔斷時間曲線如圖5所示。

圖5 保險絲額定熔斷電流與熔斷時間曲線[9]Figure 5 Curve of rated fusing current and fusing time of fuse

保險絲在使用時，需參考熔斷特性，同時結(jié)合實際電路進行匹配調(diào)試。若選擇的保險絲額定熔斷電流過小，會出現(xiàn)SD卡還未完全被高電壓物理擊穿，保險絲就提前斷開高電壓通路的現(xiàn)象，就不能將SD卡數(shù)據(jù)進行銷毀。若選擇的保險絲額定熔斷電流過大，會出現(xiàn)SD卡已被高電壓物理擊穿而對地短路，但高電壓電源的輸出電流仍低于保險絲熔斷電流，保險絲一直保持導(dǎo)通狀態(tài)的現(xiàn)象，就不能將所有SD卡進行數(shù)據(jù)銷毀。

3.4 實驗結(jié)果

基于多張SD卡的數(shù)據(jù)銷毀電路已在一款低功耗大容量數(shù)據(jù)存儲器中成功投入使用。該款存儲器主要功能為長時間自適應(yīng)采集存儲海底聲吶信號，數(shù)據(jù)存儲容量為2TB，總功耗小于2W。為防止該款存儲器被未知人員打撈和竊取采集存儲的數(shù)據(jù)，存儲器中設(shè)置了本文所述的數(shù)據(jù)銷毀電路進行數(shù)據(jù)保護。一旦存儲器使用非官方手段拆解，數(shù)據(jù)銷毀電路就會立刻工作，將存儲器中的存儲卡進行高電壓擊穿，避免數(shù)據(jù)泄露到未知人員手中。該款存儲器的數(shù)據(jù)銷毀電路原理圖如圖6所示。

圖6 多張SD卡的數(shù)據(jù)銷毀電路原理圖Figure 6 Schematic diagram of data destruction circuit for multiple SD cards

電路原理圖中的高電壓電源為多串16節(jié)1.5V一次性一號干電池串聯(lián)組成的一個24V直流高電壓電源；電路中的兩張SD卡都選用雷克沙1TBSD高速存儲卡（633×）；MCU電路選用的是TI公司的TMS320C5000系列芯片及外圍電路，其他器件型號已在電路原理圖中標(biāo)注。

高電壓電源輸出功率一定，選擇的保險絲額定熔斷電流數(shù)值過大的情況下，某張SD卡被高壓擊穿而對地短路后，保險絲通過的電流會立刻大幅度上升，電壓會立刻大幅度下降。此時保險絲雖然會通過一定較大數(shù)值的電流，但由于該電流數(shù)值低于保險絲的額定熔斷電流數(shù)值，保險絲會一直保持導(dǎo)通狀態(tài)。保險絲通過的電壓下降至一定數(shù)值后，保險絲會一直持續(xù)保持低電壓大電流的工作狀態(tài)，整個電路中不會再有高電壓，此時其他SD卡就不會被高電壓擊穿而對地短路。保險絲未能及時熔斷的實測電壓變化曲線如圖7所示。此時，已被高壓擊穿而對地短路的SD卡里的數(shù)據(jù)會被徹底銷毀，其他SD卡里的數(shù)據(jù)會繼續(xù)完好保存至存儲介質(zhì)內(nèi)部，該電路就不能達到多張SD卡的數(shù)據(jù)同時被銷毀的目的。

圖7 保險絲未能及時熔斷的實測電壓變化曲線Figure 7 The measured voltage change curve when the fuse fails to blow in time

高電壓電源輸出功率一定，選擇的保險絲額定熔斷電流數(shù)值適當(dāng)?shù)那闆r下，某張SD卡被高壓擊穿而對地短路后，保險絲通過的電流會立刻大幅度上升，電壓會立刻大幅度下降。當(dāng)保險絲通過的電流上升至一定數(shù)值，該電流數(shù)值高于保險絲的額定熔斷電流數(shù)值時，保險絲會立刻熔斷斷開。其他保險絲通過的電壓在小幅度降低后會重新恢復(fù)至高電壓，之后其他SD卡就會被高電壓擊穿而對地短路。保險絲及時熔斷的實測電壓變化曲線如圖8所示。此時，所有SD卡都會被高電壓擊穿而對地短路，存儲介質(zhì)內(nèi)部的數(shù)據(jù)都會被徹底銷毀，此電路達到了多張SD卡的數(shù)據(jù)同時被銷毀的目的。

圖8 保險絲及時熔斷的實測電壓變化曲線Figure 8 The measured voltage change curve of the fuse blown in time

因各廠家的SD卡制造工藝不同，SD卡內(nèi)部芯片的參數(shù)沒有詳細公開，所以其內(nèi)阻與電壓擊穿門限都有一定差異，實際調(diào)試時需參照保險絲的熔斷特性針對不同廠家的SD卡進行電路匹配。在對數(shù)據(jù)銷毀電路進行匹配時，應(yīng)按照多種規(guī)格熔斷電流的保險絲分批次進行實際驗證的方法進行調(diào)試。通過大量的實踐調(diào)試，統(tǒng)計各種規(guī)格保險絲進行數(shù)據(jù)銷毀的效果，最終確定使用集電通的一次性保險絲BFS0402-1125TS時該存儲器的數(shù)據(jù)銷毀電路效果最優(yōu)，兩張SD卡每次都能同時進行數(shù)據(jù)銷毀。

4 結(jié)語

本文提出了一種針對多張SD卡的數(shù)據(jù)銷毀電路。實驗數(shù)據(jù)表明，該電路的數(shù)據(jù)銷毀效果顯著。理論上，該電路的銷毀對象不僅限于SD卡，還可以適用于其他低電壓工作的電子器件。因此，它可以為其他多目標(biāo)存儲的場景提供數(shù)據(jù)銷毀解決方案，具備廣泛的應(yīng)用前景。