王雪飛1，俞海英2，伍紅兵2

　?。?.解放軍理工大學(xué) 野戰(zhàn)工程學(xué)院，江蘇 南京 210046；2.解放軍理工大學(xué) 國防工程學(xué)院，江蘇 南京 210046）

       摘要：在數(shù)據(jù)擦除工程環(huán)境中，需要進(jìn)行遠(yuǎn)程自動數(shù)據(jù)擦除、數(shù)據(jù)備份等處理工作，同時為了適應(yīng)信息安全保密工作的管理現(xiàn)狀和軍事信息化建設(shè)的需要，提出了基于PXE的數(shù)據(jù)擦除系統(tǒng)構(gòu)建方案。與傳統(tǒng)方法相比，該方案實現(xiàn)了數(shù)據(jù)中心的虛擬化，處理方式更加具有靈活性和安全性，提高了擦除的效率，同時使擦除記錄收集于數(shù)據(jù)庫中，更易于管理。

　　關(guān)鍵詞：PXE；數(shù)據(jù)擦除；PHP；軍事

　　中圖分類號：E919文獻(xiàn)標(biāo)識碼：ADOI： 10.19358/j.issn.1674-7720.2017.02.001

　　引用格式：王雪飛，俞海英，伍紅兵.基于PXE的數(shù)據(jù)擦除系統(tǒng)研究及其在軍事領(lǐng)域中的應(yīng)用［J］.微型機與應(yīng)用，2017,36（2）：1-4，7.

0引言

　　隨著網(wǎng)絡(luò)化時代的到來，人們所依賴的數(shù)據(jù)存儲量越來越多，隨之而來的數(shù)據(jù)安全性問題成為必須考慮的因素。然而，隨著科技的進(jìn)步，專業(yè)人士越來越善于對數(shù)據(jù)進(jìn)行恢復(fù)處理，重新得到已清除的各種數(shù)據(jù)［1］。如何保證數(shù)據(jù)安全，如何將私密數(shù)據(jù)安全徹底地銷毀，已經(jīng)引起了人們的廣泛關(guān)注［2］，尤其在軍事領(lǐng)域中表現(xiàn)得更為明顯。為了滿足軍隊野戰(zhàn)環(huán)境的需要，美軍在信息安全防護(hù)建設(shè)中提出了遙毀、自毀的概念，并且已經(jīng)開始在一些系統(tǒng)中進(jìn)行研制。我國從2004年開始進(jìn)行數(shù)據(jù)清除技術(shù)專項研究，自2005年下半年以來，來自國家各個部門對數(shù)據(jù)清除技術(shù)的需求日益增加。目前已有很多數(shù)據(jù)清除軟件如Wipe Info、Eraser、CleanDisk Security等，但這些工具軟件都是基于計算機主機，專注于對指定文件的清除。能脫離計算機、獨立對存儲介質(zhì)進(jìn)行數(shù)據(jù)清除的設(shè)備還比較少，如指揮自動化研究所開發(fā)的“存儲介質(zhì)數(shù)據(jù)粉碎機”。而在野外或者重大軍事活動撤場時，大批量的硬盤或者其他存儲介質(zhì)中的數(shù)據(jù)需要快速銷毀，銷毀方法應(yīng)當(dāng)滿足處理速度快、數(shù)據(jù)清除徹底、工作環(huán)境搭建簡單、操作一鍵式全部完成和撤收方便快捷等要求。所以本文提出將虛擬化PXE擦除技術(shù)應(yīng)用于軍事領(lǐng)域中，可以同時處理軍網(wǎng)中的所有存儲設(shè)備，并且系統(tǒng)自動將擦除操作的詳細(xì)信息寫入數(shù)據(jù)庫，從而可與“存儲介質(zhì)管理系統(tǒng)”緊密集成，提供對涉密存儲介質(zhì)從入場、使用、擦除（銷毀）全程化的跟蹤和管理，杜絕由于管理失控等原因而造成泄密。

1數(shù)據(jù)銷毀方法

　　目前數(shù)據(jù)銷毀方法有消磁、熔毀、粉碎和安全擦除等方法，特性對比如表1所示。消磁方法通過消除磁性存儲介質(zhì)的磁性來消除數(shù)據(jù)，銷毀后存儲介質(zhì)不能再次使用，這種方法無法消除Flash存儲介質(zhì)中的數(shù)據(jù)；熔毀通過高溫將存儲介質(zhì)融化來消除數(shù)據(jù)，能耗高，有污染；粉碎通過對存儲介質(zhì)實施物理銷毀至粉末狀來銷毀數(shù)據(jù)；擦除通過擦除設(shè)備覆寫存儲介質(zhì)中的數(shù)據(jù)來實現(xiàn)數(shù)據(jù)銷毀。

　　國內(nèi)采用擦除方式銷毀數(shù)據(jù)的產(chǎn)品有兩類，一種是便攜式的存儲介質(zhì)擦除設(shè)備，一次只能對單個存儲介質(zhì)進(jìn)行擦除，并且需要將存儲介質(zhì)從主機拆除，操作麻煩，工作效率低，也不提供對存儲介質(zhì)的數(shù)據(jù)庫管理。另一種是采用U盤或者光盤啟動主機，運行擦除軟件實現(xiàn)對數(shù)據(jù)的擦除，其缺點是并行程度低，操作較為麻煩，人為干預(yù)程度高，缺乏自動化的管理能力。因此需要一種操作便捷、可以大規(guī)模實現(xiàn)數(shù)據(jù)銷毀的擦除系統(tǒng)。表1存儲介質(zhì)數(shù)據(jù)銷毀方法比較銷毀方法效率介質(zhì)類型限制重新使用其他特點消磁高僅限于磁性介質(zhì)不可以能耗高熔毀一般任何介質(zhì)不可以能耗高，有污染粉碎一般任何介質(zhì)不可以能耗高，有污染擦除低光盤以外的介質(zhì)可以能夠?qū)崿F(xiàn)自動化管理

2PXE技術(shù)介紹

　　2.1簡介

　　預(yù)啟動執(zhí)行環(huán)境PXE（Preboot eXecution Environment）是一個用于在客戶/服務(wù)器環(huán)境下啟動客戶機的規(guī)范［34］。PXE客戶端只需要支持PXE的網(wǎng)卡NIC或者ROM，服務(wù)器采用DHCP和TFTP服務(wù)器。PXE規(guī)范依賴于標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議：UDP/IP、DHCP和TFTP，選擇使用這些協(xié)議是因為它們占用很小的ROM空間，容易在客戶端的網(wǎng)卡固件實現(xiàn)。PXE的設(shè)計目標(biāo)是PXE固件鏡像標(biāo)準(zhǔn)化、體積小和使用系統(tǒng)資源少［5］，這樣，PXE客戶端既可以是強大的客戶端計算機，也可以是資源有限的單板計算機(SingleBoard Computers，SBC)或者單芯片系統(tǒng)(SystemonaChip，SoC)。

　　2.2PXE工作原理

　　PXE啟動過程如圖1所示。DHCP服務(wù)器負(fù)責(zé)為PXE客戶端提供IP地址、默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼等網(wǎng)絡(luò)參數(shù)，以及TFTP服務(wù)器地址、網(wǎng)絡(luò)啟動程序NBP（Network Bootstrap Program）文件名［6］。TFTP服務(wù)器用于為PXE客戶端提供NBP鏡像文件。

　　PXE客戶端啟動時，通過UDP協(xié)議向DHCP服務(wù)器的67端口廣播一個DHCPDISCOVER消息，消息中包含PXEspecific選項，用于向DHCP服務(wù)器請求網(wǎng)絡(luò)參數(shù)以及TFTP服務(wù)器地址、NBP文件名。PXEspecific選項標(biāo)識DHCPDISCOVER是一個與PXE相關(guān)的消息。標(biāo)準(zhǔn)的DHCP服務(wù)器（不支持PEX規(guī)范的DHCP服務(wù)器）收到DHCPDISCOVER消息后返回一個普通的DHCPOFFER消息，該消息僅包含網(wǎng)絡(luò)參數(shù)，PXE客戶端無法啟動。只有支持PXE的DHCP客戶端返回的DHCPOFFER消息才能包含支持PXE啟動的信息。

　　PXE客戶端解析DHCPOFFER消息后,能夠建立自己的網(wǎng)絡(luò)IP地址等網(wǎng)絡(luò)參數(shù)，并獲得TFTP服務(wù)器的IP地址和NBP文件名。接著，PXE客戶端從TFTP服務(wù)器下載指定的NBP程序到內(nèi)存,然后用NBP啟動客戶端。通常NBP只是引導(dǎo)程序鏈的第一部分，NBP接著可以從TFTP服務(wù)器中請求少量的補充文件，從而能夠運行一個精簡的操作系統(tǒng)(比如WindowsPE,或基本的Linux內(nèi)核+initrd)。該精簡的操作系統(tǒng)能夠加載網(wǎng)絡(luò)驅(qū)動程序以及完整的TCP/IP堆棧，這樣PXE客戶端就可以不使用TFTP而是使用更健壯的傳輸協(xié)議(如HTTP、CIFS、NFS)獲得完整操作系統(tǒng)及應(yīng)用程序［78］。

3系統(tǒng)設(shè)計

　　PXE技術(shù)具有方便引導(dǎo)多種操作系統(tǒng)，省去硬盤以及并不消耗服務(wù)器的CPU、RAM等資源的優(yōu)點，系統(tǒng)可以借助于PXE標(biāo)準(zhǔn)，通過網(wǎng)絡(luò)啟動聯(lián)網(wǎng)主機，自動運行擦除程序完成存儲介質(zhì)的擦除操作。為了適用于大規(guī)模的網(wǎng)絡(luò)擦除，要滿足以下條件：

　　（1）啟動速度快，帶寬占用??；

　　（2）傳輸可靠；

　?。?）具有靈活的可配置性，可根據(jù)主機特性采用不同的擦除標(biāo)準(zhǔn)。

　　而將啟動鏡像封裝在一個文件中有很多弊端，一是體積大，下載時帶寬占用高；二是TFTP協(xié)議不可靠，不適合下載大文件；三是無法提供可配置性。為此，系統(tǒng)考慮采用以下方案：

　　（1）采用鏈?zhǔn)絾幽Ｊ?，初始啟動文件很小，采用TFTP協(xié)議傳輸。

　?。?）初始啟動文件支持完整的TCP/IP協(xié)議，通過HTTP協(xié)議下載第二階段所需的啟動配置文件、Linux內(nèi)核及初始內(nèi)存鏡像文件，HTTP協(xié)議基于TCP連接，從而保證可靠性。

　?。?）第二階段啟動后，將Linux根文件系統(tǒng)映射到網(wǎng)絡(luò)文件服務(wù)器NFS，因此，系統(tǒng)并不需要下載完整的系統(tǒng)文件，系統(tǒng)運行時按需下載文件，效率高，帶寬占用小。同時，NFS采用可靠的TCP連接，因此可靠性高。

　　擦除系統(tǒng)目錄結(jié)構(gòu)及主要文件設(shè)計如圖2所示，整個擦除系統(tǒng)結(jié)構(gòu)圖如圖3所示。

　　圖3基于PXE的擦除系統(tǒng)結(jié)構(gòu)圖擦除時，主機通過PXE協(xié)議啟動服務(wù)器上的“擦除系統(tǒng)鏡像”，該鏡像基于獨立操作系統(tǒng)架構(gòu)，體積小，啟動快，直接驅(qū)動磁盤擦除數(shù)據(jù)，擦除強度可配置，擦除操作無需用戶干預(yù)，擦除完成后自動將擦除結(jié)果上傳給服務(wù)器，管理員可以與先前登記的數(shù)據(jù)進(jìn)行比對，查看擦除進(jìn)度以及確認(rèn)是否所有介質(zhì)擦除完成。

4擦除過程

　　4.1第一階段啟動

　　第一階段啟動Undionly.ipxe文件。該文件是一個基于PXE的NBP程序，體積很小，只有60 KB，通過TFTP協(xié)議下載。主機通過PXE啟動時，在DHCP返回的消息中給出TFTP服務(wù)器IP地址和NBP文件名Undionly.ipxe［9］，主機PXE根據(jù)DHCP返回的信息下載Undionly.ipxe，并把控制權(quán)交給該程序。Undionly.ipxe是一個基于PXE的程序，如圖4所示，該程序封裝了完整的TCP/IP協(xié)議，通過UNDI接口訪問網(wǎng)卡驅(qū)動［10］。

　　Undionly.ipxe再次向DHCP發(fā)送PXE請求，請求包中加入了自定義擴展標(biāo)記tag:NEH，DHCP返回啟動配置文件URL：file:http://Httpdserverip/boot.php，于是，Undionly.ipxe從HTTP協(xié)議下載boot.php文件。

　　boot.php是一個PHP腳本文件，該文件在Web服務(wù)器中運行。boot.php腳本查詢數(shù)據(jù)庫，從而可以實現(xiàn)任意的策略［1112］，比如，根據(jù)主機MAC地址確定主機屬性，根據(jù)主機屬性選擇第二階段啟動鏡像，根據(jù)主機屬性選擇不同的擦除模式［13］。

　　boot.php程序的執(zhí)行結(jié)果樣式為：

　　kernelhttp://httpdserverip/vmlinuz

　　initrdhttp://httpdserverip/initrd.imgimgargs

　　kernel ramdisk_size=16192 root=/dev/nfs

　　nfsroot=nfsserverip:/pxeroot rw

　　接著，Undionly.ipxe按照boot.php的指示，下載內(nèi)核文件vmlinuz以及初始內(nèi)存磁盤鏡像文件，供第二階段啟動過程使用。

　　4.2第二階段啟動

　　主機獲得boot.php、vmlinuz、initrd.img文件后即可啟動Linux內(nèi)核，進(jìn)入第二階段啟動。

　　第二階段啟動過程中，根據(jù)boot.php中的配置項root=nfs://nfsserverip/pxeroot，將Linux的根文件系統(tǒng)映射到系統(tǒng)的網(wǎng)絡(luò)文件服務(wù)器NFS。由于采用了鏈?zhǔn)絾幽Ｊ?，并將系統(tǒng)的根文件系統(tǒng)映射到NFS，使得主機網(wǎng)絡(luò)啟動速度非?？欤趯嶋H測試中，啟動時間僅為3 s左右。

　　4.3啟動擦除程序

　　系統(tǒng)接著執(zhí)行/etc/rc.local腳本，啟動擦除控制程序controld。controld獲取存儲介質(zhì)型號和序列號等信息，從/proc/cmdline獲取擦除標(biāo)準(zhǔn)，啟動相應(yīng)的擦除進(jìn)程，監(jiān)控進(jìn)度，監(jiān)控異常信息，通過http post向Web服務(wù)器提交擦除結(jié)果。

　　4.4HPA扇區(qū)的擦除

　　將HPA技術(shù)加入到ATA-4標(biāo)準(zhǔn)中，其目的是設(shè)置一個供計算機廠商存儲數(shù)據(jù)的區(qū)域，該區(qū)域中的數(shù)據(jù)使用常規(guī)的格式化和刪除操作無法刪除。HPA位于磁盤的末端，只有對磁盤重新配置才能訪問。

　　ATA中有兩個命令返回可尋址扇區(qū)的最大值，如果存在HPA，這兩個命令的返回值是不同的。READ_NATIVE_MAX_ADDRESS命令返回物理地址的最大值，而IDENTIFY_DEVICE命令返回的是用戶可訪問的最大扇區(qū)數(shù)，因此，如果HPA存在，READ_NATIVE_MAX_ADDRESS命令返回的是磁盤的實際大小，而IDENTIFY_DEVICE命令返回的是用戶區(qū)域的大小，也就是HPA的起始扇區(qū)的地址。如果DCO區(qū)域存在，則READ_NATIVE_MAX_ADDRESS命令返回的也不是磁盤最末端的物理地址。

　　比如，如果磁盤為20 GB，READ_NATIVE_MAX_ADDRESS返回容量為20 GB的扇區(qū)數(shù)41 943 040。要創(chuàng)建1 GB的HPA，執(zhí)行SET_MAX_ADDRESS命令設(shè)置用戶最大可訪問地址為39 845 888，任何試圖訪問磁盤末尾的2 097 152個扇區(qū)都將產(chǎn)生一個錯誤。IDENTIFY_DEVICE命令返回的最大地址為39845888，如圖5所示?！?/p>

　　創(chuàng)建HPA可以使用SET_MAX_ADDRESS命令設(shè)置用戶可訪問最大扇區(qū)號，刪除HPA可以使用SET_MAX_ADDRESS命令將用戶可訪問的最大扇區(qū)號設(shè)置為磁盤的實際最大扇區(qū)號。

5結(jié)束語

　　基于PXE的主機存儲介質(zhì)擦除系統(tǒng)是根據(jù)我軍信息安全保密工作的管理現(xiàn)狀和軍事信息化建設(shè)的需要提出的，并針對各軍事單位的基本環(huán)境與需求而開發(fā)，適應(yīng)了我軍信息化建設(shè)的需要。同時，系統(tǒng)研究中充分考慮了現(xiàn)有技術(shù)設(shè)備的功能擴展及網(wǎng)絡(luò)化要求，在數(shù)據(jù)安全、數(shù)據(jù)保密等軍事工程方面有廣闊的應(yīng)用前景。

參考文獻(xiàn)

　　［1］ DEI C T,SIMOES P,BASTOS F. Integration of PXEbased desktop solutions into broadband access networks［C］.Network and Service Management,2010 Internetional Conference,2010:182198.

　?。?］ Li Jinhui, Zhang Ke, Zhang Fang. Network center’s highlyefficient management solutions based on intern PXEbased remote cloning system［C］.Advanced Computer Control,2011:408411.

　?。?］ DELLINGER M,GARYALI P,RAVINDRAN B. Chron OS Linux:a besteffort realtime multiprocessor Linux kernel［C］.Design Automation Conference,48th ACM/EDAC/IEEE，2011:474479.

　?。?］ HUGHES G F,COUGHLIN T,COMMINS D M. Disposal of disk and tape data by secure sanitization［J］.Security and Privacy, 2009,7(4):2934.

　?。?］ 彭仁明,李岷.基于云平臺的PXE技術(shù)在遠(yuǎn)程數(shù)據(jù)處理中的應(yīng)用［J］.綿陽師范學(xué)院學(xué)報,2013,32(5):35.

　　［6］ 紀(jì)慧榮,趙云飛.無盤工作站技術(shù)研究［J］.信息與電腦,2010,17(1):4445.

　?。?］ MOKHTARIAN F,  MACKWORTH A K. A theory of multiscale, curvaturebased shape representation for planar curves［J］.IEEE Transactions on Pattern Analysis and Machine Intelligence,1992,14(8): 789805.

　?。?］ RAHM E, Do H H. Data cleaning:problems and current approaches［J］. 2000,23(4):313.

　?。?］ 吳慶波.基于虛擬機的可信操作系統(tǒng)關(guān)鍵技術(shù)及應(yīng)用研究［D］.合肥：國防科學(xué)技術(shù)大學(xué),2010.

　?。?0］ 羅軍舟,金嘉暉,宋愛波.云計算:體系架構(gòu)與關(guān)鍵技術(shù)［J］.通信學(xué)報,2011,32(7):321.

　?。?1］ 葛欣.多虛擬機自動網(wǎng)絡(luò)配置系統(tǒng)［D］.武漢：華中科技大學(xué),2009.

　?。?2］ 于洪梅.基于虛擬機的動態(tài)遷移技術(shù)的研究及應(yīng)用［C］.應(yīng)用進(jìn)展·2007——全國第18屆計算機技術(shù)與應(yīng)用(CACIS)學(xué)術(shù)會議論文集,長春：2007.