数据销毁技术综述

张鹏　秦飞舟

摘要：为了防止数据泄露给用户造成的损失，敏感数据需要通过数据销毁技术进行安全销毁。该文在研究磁盘存储器和闪存存储器的基础上，对不同存储器上的数据销毁方法进行了总结，同时着重探讨了分布式网络和云平台下的数据自毁机制。

关键字：数据销毁；敏感数据；磁盘存储器；闪存存储器

中图法分类号：TP311 文献标识码： A 文章编号：1009-3044（2015）28-0061-02

随着计算机系统的普及，越来越多的单位和个人开始使用计算机来处理自己的数据，数据的安全也就变得日益重要。数据的保护方法很多，如传统的数据加密，数据隐藏，都可以实现保护敏感数据的目的。但传统的方法也有其局限性，如数据加密，一旦密文落入攻击者手中，就存在着被破解的风险。而对于数据隐藏，其目的是使得攻击者不知道敏感数据的存在，从而达到数据保护的目的。但是如加密一样，一旦含有敏感数据的载体被截获，也存在着被提取的风险。

如果发生了数据被非法获取的情况，最安全的方式莫过于在数据被攻击者分析之前，将其完全销毁。数据销毁作为信息安全的一个重要分支，早已引起世界各国的重视，早在1985年，美国国防部（DOD）就发布了数据销毁标准（5220.22M标准）。我国在2000年《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》第六章第三十四条中明确规定要销毁秘密载体，应当确保秘密信息无法还原。最新的国家保密标准《涉及国家秘密的载体销毁与信息消除安全保密要求》中详细地指出了数据销毁的技术要求。

本文以数据销毁为主要研究目标，研究了磁盘存储器、闪存存储器上的数据销毁方法以及数据销毁的机制。

1物理销毁

物理销毁是采用物理手段破坏信息存储介质，使其失去信息存储能力的一种方法，常见的物理销毁方法主要有：

1.1消磁法

这种方法只适用于磁盘存储器，利用消磁机产生的强大磁场，这种方法可以破坏存储器原有的磁性结构。一旦磁性结构被破坏，磁盘就失去了存储数据的能力，磁盘上原有的敏感数据也随之湮灭。

1.2化学腐蚀和物理破坏法

这种方法不仅适合于磁盘存储器，也适合于闪存存储器。2005年美国Ensconce公司开发出了一款专门针对军方、银行、高度商业机密用途的自毁式硬盘。这种硬盘采用的数据保护技术关键在于外部信号，当传感器探知硬盘被拆卸或离开安全区域后，事先藏在硬盘盒内的容器会向磁盘喷射一种化学制剂，永久抹掉上面的数据。除了使用化学溶剂对存储器进行破坏之外，划损盘片、回炉火烧、外力破损等方法都可以对存储器的功能进行破坏，使其无法正常工作，从而保护敏感数据的安全。

2软件销毁

由于物理销毁会造成存储器的永久性损坏，使其无法再继续使用，因此物理销毁只适用于对数据机密等级要求较高的特殊场合。对于普通用户，为了阻止个人敏感信息的泄露，应该使用软件销毁的方法来清除数据。软件销毁的核心思想是用垃圾数据来代替敏感数据，使得数据原先所携带的信息随着数据的改变而消失。

对于磁盘存储器，数据销毁可以通过将垃圾数据反复写入敏感数据的存放区域来实现。由于硬盘上的数据都是以二进制的“1”和“0”形式存储的，一旦垃圾数据写入了敏感数据的存储区域，敏感数据中的二进制序列就会被垃圾数据代替，攻击者也就无法恢复出原先的敏感数据。对于垃圾数据的写入次数和垃圾数据的模式，不同的国家和地区有不同的要求，如美国国防部的DOD 5220.22 M标准要求敏感数据必须进行三次垃圾数据覆盖：第一次用一个8位的字符覆盖，第二次用该字符的补码（0和1全反转的字符）覆盖，最后再用随机字符覆盖。而Peter Gutmann在文献[1]中提出，敏感数据必须经过35次垃圾数据覆盖，垃圾数据的模式不仅包括随机数，同时也包括该数据的补码和反码等多种形式。

对于闪存存储器（包括固态硬盘、U盘等），由于其单个存储单元的最大写入次数比磁盘低很多，因此闪存存储器一般会内置磨损均衡算法 （Wear Leveling）来平衡每个存储单元的写入次数。如果使用与磁盘相同的数据销毁方法，闪存存储器中的敏感数据很可能得不到有效的清除。Wei在文献[2]中对多种常见的固态硬盘进行了测试，结果表明，在固态硬盘上使用数据覆盖方法清除敏感数据的效果十分有限。这是因为磨损均衡算法并不会将垃圾数据写入敏感数据的存储区域，而是选择存储器的空闲区域将其写入，而后再通过地址变换，将写入的物理地址映射到原来的逻辑地址。

为了彻底清除闪存存储器中的敏感数据，Wei在文献[2]中提出一种针对SSD（Solid State Disk）的物理层安全删除方法。该方法利用将新数据直接写入原有数据的存储页面来“清洗”原有数据，虽然违反了NAND闪存的写入机制，即页面数据在更新前需要先擦除包含该页面的整个块，然后才能进行数据更新，但文献[2]中的实验表明这种方法在一部分闪存芯片上没有造成任何影响。Wei等将这种方法集成到SSD的FTL（Flash Translation Layer）中，使得SSD具备了从物理层安全删除指定文件的功能。

Ilhoon Shin在文献[3]中提出了一种在FTL中加入缓存管理功能的物理层安全删除方法。这种方法对每个逻辑页面上的数据覆盖次数进行计数，如果次数超过阈值，说明外部主机可能正试图运行数据覆盖程序来清除指定数据，控制器可以根据这一判断对相应的物理页面进行彻底清除。这样不仅避免了内置的数据缓存区对数据更新操作的“吸收”作用（即数据的更新会优先在缓冲区中完成，直到外部主机调用了数据同步命令才会写入物理介质），也可以使控制器能够判断外部主机是否需要安全删除指定数据。

Yi Qin在文献[4]中提出一种改变SSD控制器算法的物理层安全删除方法。这种方法在外部主机更新指定逻辑地址数据时，首先将数据写入一个新的物理地址，然后对原先物理地址上的数据进行清零。为了提高执行的效率，该方法允许用户对SSD的不同分区进行标记，只有标记为“机密”的分区，控制器才会在数据更新之后自动清除原有数据，其他未标记的分区则执行正常的数据更新操作。这样使得针对磁盘的数据安全删除软件也可以实现安全删除SSD上的指定文件。

3数据销毁的机制

对于数据销毁的机制，除了使用人工控制的方式之外，目前的研究热点集中在如何使敏感数据能够自主感知和自动销毁。例如卢正添在文献[5]给出了针对单个失效主机的数据销毁方法，该方法将应答失效作为自毁感知条件，使用数据的生命周期和数据访问权限设置作为自毁感知技术。但这种方法的缺点是方法过于简单，无法适于复杂的分布式系统。为了对文献[5]中的方法进行改进，Junyu Lin在文献[6]中提出一种针对分布式系统的层次化自毁模型。该模型通过感知层的事件监控服务来完成自毁感知，使用粗糙集理论判定分布式系统自毁的触发条件，在自毁时，通过“组件自毁”—“服务自毁”—“系统自毁”逐层地实现了分布式系统的自毁。由于利用粗糙集进行自毁条件判定时，其按等价关系进行分类的精确性不高，其提出的层次化自毁方法还存在一定的局限性。

姜冬在文献[7]中以私密性威胁指数作为分布式系统的自毁激励条件，提出一种基于模糊层次化评估的分布式系统自毁感知方法，该方法能够感知分布式系统的环境安全并在系统私密性即将被破坏的状况下实现分布式系统的自毁。

在云存储模式下Web 应用数据在网络中被大量缓存和存储，用户无法确定数据在网络中的备份数量及存储位置，因此用户不可能将网络中数据的所有存储备份都全部清除，而这些未被清除的数据则可能遭到未授权第三方的非法访问，从而导致数据的拥有者所不期望的数据泄漏。因此，如何实现过期或备份数据在失控时（超出了属主控制范围）自毁，是云存储安全研究的重要内容。一些研究者将失控的数据删除问题等价为密钥管理问题，并开展了一些研究工作。Yang Tang在文献[8]提出了一种基于策略的文件自毁方法，通过删除与策略相关联的控制密钥（加密数据密钥）实现云存储系统中数据及其备份的自毁。但该方案中控制密钥是由第三方的密钥管理者管理，是一种集中式的管理方式，存在密钥管理者不可信而未删除或泄漏控制密钥的安全隐患。Roxana Geambasu在文献[9]中提出了一种分布式密钥管理系统。该系统将密钥经过门限密码处理后随机分发到采用了DHT （Distributed Hash Tables）技术的P2P 网络中，使得当授权时间到达后，密钥将被网络删除，导致加密数据不能被解密，实现了邮件服务器和网络中邮件副本的自销毁。

4总结

数据销毁的目的是使得被删除的敏感数据不留踪迹、不可恢复，是信息安全领域的重要分支之一。本文对磁盘存储器和闪存存储器上的数据销毁方法进行了分析总结，并探讨了数据销毁的机制。

参考文献：

[1] Gutmann P.Secure deletion of data from magnetic and solid-state memory[C]. Proceedings of the Sixth USENIX Security Symposium， San Jose，CA. 1996（14）.

[2] M.Wei，L.M.Grupp，F.M. Spada， and S. Swanson. Reliably Erasing Data from Flash-Based Solid State Drives.USENIX conference on File and Storage Technologies，Berkeley， CA， USA， 2011：105–117.

[3] Ilhoon Shin.Implementing Secure File Deletion in NAND based Block Devices with Internal Buffers.IEEE， 2012.

[4] Yi Qin， Wei Tong， Jingning Liu and Zhiming Zhu. SmSD：A Smart Secure Deletion Scheme for SSDs. Journal of Convergence，Volume 4，Number 4， December ，2013.

[5] 卢正添，李涛，胡晓勤.一种数据自毁方法[J].计算机应用研究，2009，1（1）.

[6]Junyu Lin，Huiqiang Wang，Zhitao Qiu，Guangsheng Feng.Hierarchical Self-destruction Method and Case Study on Distributed Computing System[C].Fifth International Conference on Internet Computing for Science and Engineering，2010：319-322.

[7] 姜冬，王慧强，冯光升，吕宏武，林俊宇.基于模糊层次化评估的分布式系统自毁感知方法及应用[J].小型微型计算机系统，2012，4（33）：768-772.

[8] Tang Y， Lee P P C， Lui J C S， et al. FADE： Secure overlay cloud storage with file assured deletion[M].Security and Privacy in Communication Networks. Springer Berlin Heidelberg，2010：380-397.

[9] Roxana Geambasu， Tadayoshi Kohno， Amit Levy， Henry M. Levy.Vanish： Increasing Data Privacy with Self-Destructing Data[C]. // In Proc. of the USENIX Security Symposium，Montreal，Canada，2009：299–315.

[10] CURIAC D I，DOBOH A.BANAS.Combined malicious node discovery and self-destruction technique for wireless sensor networks[C]. Proc of the 3rd International Conference On Sensor Technology Applications，2009.