王雪飛1，俞海英2，伍紅兵2

　?。?.解放軍理工大學(xué) 野戰(zhàn)工程學(xué)院，江蘇 南京 210046；2.解放軍理工大學(xué) 國防工程學(xué)院，江蘇 南京 210046）

       摘要：在數(shù)據(jù)擦除工程環(huán)境中，需要進(jìn)行遠(yuǎn)程自動(dòng)數(shù)據(jù)擦除、數(shù)據(jù)備份等處理工作，同時(shí)為了適應(yīng)信息安全保密工作的管理現(xiàn)狀和軍事信息化建設(shè)的需要，提出了基于PXE的數(shù)據(jù)擦除系統(tǒng)構(gòu)建方案。與傳統(tǒng)方法相比，該方案實(shí)現(xiàn)了數(shù)據(jù)中心的虛擬化，處理方式更加具有靈活性和安全性，提高了擦除的效率，同時(shí)使擦除記錄收集于數(shù)據(jù)庫中，更易于管理。

　　關(guān)鍵詞：PXE；數(shù)據(jù)擦除；PHP；軍事

　　中圖分類號(hào)：E919文獻(xiàn)標(biāo)識(shí)碼：ADOI： 10.19358/j.issn.1674-7720.2017.02.001

　　引用格式：王雪飛，俞海英，伍紅兵.基于PXE的數(shù)據(jù)擦除系統(tǒng)研究及其在軍事領(lǐng)域中的應(yīng)用［J］.微型機(jī)與應(yīng)用，2017,36（2）：1-4，7.

0引言

　　隨著網(wǎng)絡(luò)化時(shí)代的到來，人們所依賴的數(shù)據(jù)存儲(chǔ)量越來越多，隨之而來的數(shù)據(jù)安全性問題成為必須考慮的因素。然而，隨著科技的進(jìn)步，專業(yè)人士越來越善于對(duì)數(shù)據(jù)進(jìn)行恢復(fù)處理，重新得到已清除的各種數(shù)據(jù)［1］。如何保證數(shù)據(jù)安全，如何將私密數(shù)據(jù)安全徹底地銷毀，已經(jīng)引起了人們的廣泛關(guān)注［2］，尤其在軍事領(lǐng)域中表現(xiàn)得更為明顯。為了滿足軍隊(duì)野戰(zhàn)環(huán)境的需要，美軍在信息安全防護(hù)建設(shè)中提出了遙毀、自毀的概念，并且已經(jīng)開始在一些系統(tǒng)中進(jìn)行研制。我國從2004年開始進(jìn)行數(shù)據(jù)清除技術(shù)專項(xiàng)研究，自2005年下半年以來，來自國家各個(gè)部門對(duì)數(shù)據(jù)清除技術(shù)的需求日益增加。目前已有很多數(shù)據(jù)清除軟件如Wipe Info、Eraser、CleanDisk Security等，但這些工具軟件都是基于計(jì)算機(jī)主機(jī)，專注于對(duì)指定文件的清除。能脫離計(jì)算機(jī)、獨(dú)立對(duì)存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)清除的設(shè)備還比較少，如指揮自動(dòng)化研究所開發(fā)的“存儲(chǔ)介質(zhì)數(shù)據(jù)粉碎機(jī)”。而在野外或者重大軍事活動(dòng)撤場時(shí)，大批量的硬盤或者其他存儲(chǔ)介質(zhì)中的數(shù)據(jù)需要快速銷毀，銷毀方法應(yīng)當(dāng)滿足處理速度快、數(shù)據(jù)清除徹底、工作環(huán)境搭建簡單、操作一鍵式全部完成和撤收方便快捷等要求。所以本文提出將虛擬化PXE擦除技術(shù)應(yīng)用于軍事領(lǐng)域中，可以同時(shí)處理軍網(wǎng)中的所有存儲(chǔ)設(shè)備，并且系統(tǒng)自動(dòng)將擦除操作的詳細(xì)信息寫入數(shù)據(jù)庫，從而可與“存儲(chǔ)介質(zhì)管理系統(tǒng)”緊密集成，提供對(duì)涉密存儲(chǔ)介質(zhì)從入場、使用、擦除（銷毀）全程化的跟蹤和管理，杜絕由于管理失控等原因而造成泄密。

1數(shù)據(jù)銷毀方法

　　目前數(shù)據(jù)銷毀方法有消磁、熔毀、粉碎和安全擦除等方法，特性對(duì)比如表1所示。消磁方法通過消除磁性存儲(chǔ)介質(zhì)的磁性來消除數(shù)據(jù)，銷毀后存儲(chǔ)介質(zhì)不能再次使用，這種方法無法消除Flash存儲(chǔ)介質(zhì)中的數(shù)據(jù)；熔毀通過高溫將存儲(chǔ)介質(zhì)融化來消除數(shù)據(jù)，能耗高，有污染；粉碎通過對(duì)存儲(chǔ)介質(zhì)實(shí)施物理銷毀至粉末狀來銷毀數(shù)據(jù)；擦除通過擦除設(shè)備覆寫存儲(chǔ)介質(zhì)中的數(shù)據(jù)來實(shí)現(xiàn)數(shù)據(jù)銷毀。

　　國內(nèi)采用擦除方式銷毀數(shù)據(jù)的產(chǎn)品有兩類，一種是便攜式的存儲(chǔ)介質(zhì)擦除設(shè)備，一次只能對(duì)單個(gè)存儲(chǔ)介質(zhì)進(jìn)行擦除，并且需要將存儲(chǔ)介質(zhì)從主機(jī)拆除，操作麻煩，工作效率低，也不提供對(duì)存儲(chǔ)介質(zhì)的數(shù)據(jù)庫管理。另一種是采用U盤或者光盤啟動(dòng)主機(jī)，運(yùn)行擦除軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)的擦除，其缺點(diǎn)是并行程度低，操作較為麻煩，人為干預(yù)程度高，缺乏自動(dòng)化的管理能力。因此需要一種操作便捷、可以大規(guī)模實(shí)現(xiàn)數(shù)據(jù)銷毀的擦除系統(tǒng)。表1存儲(chǔ)介質(zhì)數(shù)據(jù)銷毀方法比較銷毀方法效率介質(zhì)類型限制重新使用其他特點(diǎn)消磁高僅限于磁性介質(zhì)不可以能耗高熔毀一般任何介質(zhì)不可以能耗高，有污染粉碎一般任何介質(zhì)不可以能耗高，有污染擦除低光盤以外的介質(zhì)可以能夠?qū)崿F(xiàn)自動(dòng)化管理

2PXE技術(shù)介紹

　　2.1簡介

　　預(yù)啟動(dòng)執(zhí)行環(huán)境PXE（Preboot eXecution Environment）是一個(gè)用于在客戶/服務(wù)器環(huán)境下啟動(dòng)客戶機(jī)的規(guī)范［34］。PXE客戶端只需要支持PXE的網(wǎng)卡NIC或者ROM，服務(wù)器采用DHCP和TFTP服務(wù)器。PXE規(guī)范依賴于標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議：UDP/IP、DHCP和TFTP，選擇使用這些協(xié)議是因?yàn)樗鼈冋加煤苄〉腞OM空間，容易在客戶端的網(wǎng)卡固件實(shí)現(xiàn)。PXE的設(shè)計(jì)目標(biāo)是PXE固件鏡像標(biāo)準(zhǔn)化、體積小和使用系統(tǒng)資源少［5］，這樣，PXE客戶端既可以是強(qiáng)大的客戶端計(jì)算機(jī)，也可以是資源有限的單板計(jì)算機(jī)(SingleBoard Computers，SBC)或者單芯片系統(tǒng)(SystemonaChip，SoC)。

　　2.2PXE工作原理

　　PXE啟動(dòng)過程如圖1所示。DHCP服務(wù)器負(fù)責(zé)為PXE客戶端提供IP地址、默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼等網(wǎng)絡(luò)參數(shù)，以及TFTP服務(wù)器地址、網(wǎng)絡(luò)啟動(dòng)程序NBP（Network Bootstrap Program）文件名［6］。TFTP服務(wù)器用于為PXE客戶端提供NBP鏡像文件。

　　PXE客戶端啟動(dòng)時(shí)，通過UDP協(xié)議向DHCP服務(wù)器的67端口廣播一個(gè)DHCPDISCOVER消息，消息中包含PXEspecific選項(xiàng)，用于向DHCP服務(wù)器請(qǐng)求網(wǎng)絡(luò)參數(shù)以及TFTP服務(wù)器地址、NBP文件名。PXEspecific選項(xiàng)標(biāo)識(shí)DHCPDISCOVER是一個(gè)與PXE相關(guān)的消息。標(biāo)準(zhǔn)的DHCP服務(wù)器（不支持PEX規(guī)范的DHCP服務(wù)器）收到DHCPDISCOVER消息后返回一個(gè)普通的DHCPOFFER消息，該消息僅包含網(wǎng)絡(luò)參數(shù)，PXE客戶端無法啟動(dòng)。只有支持PXE的DHCP客戶端返回的DHCPOFFER消息才能包含支持PXE啟動(dòng)的信息。

　　PXE客戶端解析DHCPOFFER消息后,能夠建立自己的網(wǎng)絡(luò)IP地址等網(wǎng)絡(luò)參數(shù)，并獲得TFTP服務(wù)器的IP地址和NBP文件名。接著，PXE客戶端從TFTP服務(wù)器下載指定的NBP程序到內(nèi)存,然后用NBP啟動(dòng)客戶端。通常NBP只是引導(dǎo)程序鏈的第一部分，NBP接著可以從TFTP服務(wù)器中請(qǐng)求少量的補(bǔ)充文件，從而能夠運(yùn)行一個(gè)精簡的操作系統(tǒng)(比如WindowsPE,或基本的Linux內(nèi)核+initrd)。該精簡的操作系統(tǒng)能夠加載網(wǎng)絡(luò)驅(qū)動(dòng)程序以及完整的TCP/IP堆棧，這樣PXE客戶端就可以不使用TFTP而是使用更健壯的傳輸協(xié)議(如HTTP、CIFS、NFS)獲得完整操作系統(tǒng)及應(yīng)用程序［78］。

3系統(tǒng)設(shè)計(jì)

　　PXE技術(shù)具有方便引導(dǎo)多種操作系統(tǒng)，省去硬盤以及并不消耗服務(wù)器的CPU、RAM等資源的優(yōu)點(diǎn)，系統(tǒng)可以借助于PXE標(biāo)準(zhǔn)，通過網(wǎng)絡(luò)啟動(dòng)聯(lián)網(wǎng)主機(jī)，自動(dòng)運(yùn)行擦除程序完成存儲(chǔ)介質(zhì)的擦除操作。為了適用于大規(guī)模的網(wǎng)絡(luò)擦除，要滿足以下條件：

　?。?）啟動(dòng)速度快，帶寬占用小；

　?。?）傳輸可靠；

　　（3）具有靈活的可配置性，可根據(jù)主機(jī)特性采用不同的擦除標(biāo)準(zhǔn)。

　　而將啟動(dòng)鏡像封裝在一個(gè)文件中有很多弊端，一是體積大，下載時(shí)帶寬占用高；二是TFTP協(xié)議不可靠，不適合下載大文件；三是無法提供可配置性。為此，系統(tǒng)考慮采用以下方案：

　?。?）采用鏈?zhǔn)絾?dòng)模式，初始啟動(dòng)文件很小，采用TFTP協(xié)議傳輸。

　　（2）初始啟動(dòng)文件支持完整的TCP/IP協(xié)議，通過HTTP協(xié)議下載第二階段所需的啟動(dòng)配置文件、Linux內(nèi)核及初始內(nèi)存鏡像文件，HTTP協(xié)議基于TCP連接，從而保證可靠性。

　?。?）第二階段啟動(dòng)后，將Linux根文件系統(tǒng)映射到網(wǎng)絡(luò)文件服務(wù)器NFS，因此，系統(tǒng)并不需要下載完整的系統(tǒng)文件，系統(tǒng)運(yùn)行時(shí)按需下載文件，效率高，帶寬占用小。同時(shí)，NFS采用可靠的TCP連接，因此可靠性高。

　　擦除系統(tǒng)目錄結(jié)構(gòu)及主要文件設(shè)計(jì)如圖2所示，整個(gè)擦除系統(tǒng)結(jié)構(gòu)圖如圖3所示。

　　圖3基于PXE的擦除系統(tǒng)結(jié)構(gòu)圖擦除時(shí)，主機(jī)通過PXE協(xié)議啟動(dòng)服務(wù)器上的“擦除系統(tǒng)鏡像”，該鏡像基于獨(dú)立操作系統(tǒng)架構(gòu)，體積小，啟動(dòng)快，直接驅(qū)動(dòng)磁盤擦除數(shù)據(jù)，擦除強(qiáng)度可配置，擦除操作無需用戶干預(yù)，擦除完成后自動(dòng)將擦除結(jié)果上傳給服務(wù)器，管理員可以與先前登記的數(shù)據(jù)進(jìn)行比對(duì)，查看擦除進(jìn)度以及確認(rèn)是否所有介質(zhì)擦除完成。

4擦除過程

　　4.1第一階段啟動(dòng)

　　第一階段啟動(dòng)Undionly.ipxe文件。該文件是一個(gè)基于PXE的NBP程序，體積很小，只有60 KB，通過TFTP協(xié)議下載。主機(jī)通過PXE啟動(dòng)時(shí)，在DHCP返回的消息中給出TFTP服務(wù)器IP地址和NBP文件名Undionly.ipxe［9］，主機(jī)PXE根據(jù)DHCP返回的信息下載Undionly.ipxe，并把控制權(quán)交給該程序。Undionly.ipxe是一個(gè)基于PXE的程序，如圖4所示，該程序封裝了完整的TCP/IP協(xié)議，通過UNDI接口訪問網(wǎng)卡驅(qū)動(dòng)［10］。

　　Undionly.ipxe再次向DHCP發(fā)送PXE請(qǐng)求，請(qǐng)求包中加入了自定義擴(kuò)展標(biāo)記tag:NEH，DHCP返回啟動(dòng)配置文件URL：file:http://Httpdserverip/boot.php，于是，Undionly.ipxe從HTTP協(xié)議下載boot.php文件。

　　boot.php是一個(gè)PHP腳本文件，該文件在Web服務(wù)器中運(yùn)行。boot.php腳本查詢數(shù)據(jù)庫，從而可以實(shí)現(xiàn)任意的策略［1112］，比如，根據(jù)主機(jī)MAC地址確定主機(jī)屬性，根據(jù)主機(jī)屬性選擇第二階段啟動(dòng)鏡像，根據(jù)主機(jī)屬性選擇不同的擦除模式［13］。

　　boot.php程序的執(zhí)行結(jié)果樣式為：

　　kernelhttp://httpdserverip/vmlinuz

　　initrdhttp://httpdserverip/initrd.imgimgargs

　　kernel ramdisk_size=16192 root=/dev/nfs

　　nfsroot=nfsserverip:/pxeroot rw

　　接著，Undionly.ipxe按照boot.php的指示，下載內(nèi)核文件vmlinuz以及初始內(nèi)存磁盤鏡像文件，供第二階段啟動(dòng)過程使用。

　　4.2第二階段啟動(dòng)

　　主機(jī)獲得boot.php、vmlinuz、initrd.img文件后即可啟動(dòng)Linux內(nèi)核，進(jìn)入第二階段啟動(dòng)。

　　第二階段啟動(dòng)過程中，根據(jù)boot.php中的配置項(xiàng)root=nfs://nfsserverip/pxeroot，將Linux的根文件系統(tǒng)映射到系統(tǒng)的網(wǎng)絡(luò)文件服務(wù)器NFS。由于采用了鏈?zhǔn)絾?dòng)模式，并將系統(tǒng)的根文件系統(tǒng)映射到NFS，使得主機(jī)網(wǎng)絡(luò)啟動(dòng)速度非?？欤趯?shí)際測試中，啟動(dòng)時(shí)間僅為3 s左右。

　　4.3啟動(dòng)擦除程序

　　系統(tǒng)接著執(zhí)行/etc/rc.local腳本，啟動(dòng)擦除控制程序controld。controld獲取存儲(chǔ)介質(zhì)型號(hào)和序列號(hào)等信息，從/proc/cmdline獲取擦除標(biāo)準(zhǔn)，啟動(dòng)相應(yīng)的擦除進(jìn)程，監(jiān)控進(jìn)度，監(jiān)控異常信息，通過http post向Web服務(wù)器提交擦除結(jié)果。

　　4.4HPA扇區(qū)的擦除

　　將HPA技術(shù)加入到ATA-4標(biāo)準(zhǔn)中，其目的是設(shè)置一個(gè)供計(jì)算機(jī)廠商存儲(chǔ)數(shù)據(jù)的區(qū)域，該區(qū)域中的數(shù)據(jù)使用常規(guī)的格式化和刪除操作無法刪除。HPA位于磁盤的末端，只有對(duì)磁盤重新配置才能訪問。

　　ATA中有兩個(gè)命令返回可尋址扇區(qū)的最大值，如果存在HPA，這兩個(gè)命令的返回值是不同的。READ_NATIVE_MAX_ADDRESS命令返回物理地址的最大值，而IDENTIFY_DEVICE命令返回的是用戶可訪問的最大扇區(qū)數(shù)，因此，如果HPA存在，READ_NATIVE_MAX_ADDRESS命令返回的是磁盤的實(shí)際大小，而IDENTIFY_DEVICE命令返回的是用戶區(qū)域的大小，也就是HPA的起始扇區(qū)的地址。如果DCO區(qū)域存在，則READ_NATIVE_MAX_ADDRESS命令返回的也不是磁盤最末端的物理地址。

　　比如，如果磁盤為20 GB，READ_NATIVE_MAX_ADDRESS返回容量為20 GB的扇區(qū)數(shù)41 943 040。要?jiǎng)?chuàng)建1 GB的HPA，執(zhí)行SET_MAX_ADDRESS命令設(shè)置用戶最大可訪問地址為39 845 888，任何試圖訪問磁盤末尾的2 097 152個(gè)扇區(qū)都將產(chǎn)生一個(gè)錯(cuò)誤。IDENTIFY_DEVICE命令返回的最大地址為39845888，如圖5所示?！?/p>

　　創(chuàng)建HPA可以使用SET_MAX_ADDRESS命令設(shè)置用戶可訪問最大扇區(qū)號(hào)，刪除HPA可以使用SET_MAX_ADDRESS命令將用戶可訪問的最大扇區(qū)號(hào)設(shè)置為磁盤的實(shí)際最大扇區(qū)號(hào)。

5結(jié)束語

　　基于PXE的主機(jī)存儲(chǔ)介質(zhì)擦除系統(tǒng)是根據(jù)我軍信息安全保密工作的管理現(xiàn)狀和軍事信息化建設(shè)的需要提出的，并針對(duì)各軍事單位的基本環(huán)境與需求而開發(fā)，適應(yīng)了我軍信息化建設(shè)的需要。同時(shí)，系統(tǒng)研究中充分考慮了現(xiàn)有技術(shù)設(shè)備的功能擴(kuò)展及網(wǎng)絡(luò)化要求，在數(shù)據(jù)安全、數(shù)據(jù)保密等軍事工程方面有廣闊的應(yīng)用前景。

參考文獻(xiàn)

　?。?］ DEI C T,SIMOES P,BASTOS F. Integration of PXEbased desktop solutions into broadband access networks［C］.Network and Service Management,2010 Internetional Conference,2010:182198.

　?。?］ Li Jinhui, Zhang Ke, Zhang Fang. Network center’s highlyefficient management solutions based on intern PXEbased remote cloning system［C］.Advanced Computer Control,2011:408411.

　?。?］ DELLINGER M,GARYALI P,RAVINDRAN B. Chron OS Linux:a besteffort realtime multiprocessor Linux kernel［C］.Design Automation Conference,48th ACM/EDAC/IEEE，2011:474479.

　?。?］ HUGHES G F,COUGHLIN T,COMMINS D M. Disposal of disk and tape data by secure sanitization［J］.Security and Privacy, 2009,7(4):2934.

　　［5］ 彭仁明,李岷.基于云平臺(tái)的PXE技術(shù)在遠(yuǎn)程數(shù)據(jù)處理中的應(yīng)用［J］.綿陽師范學(xué)院學(xué)報(bào),2013,32(5):35.

　?。?］ 紀(jì)慧榮,趙云飛.無盤工作站技術(shù)研究［J］.信息與電腦,2010,17(1):4445.

　?。?］ MOKHTARIAN F,  MACKWORTH A K. A theory of multiscale, curvaturebased shape representation for planar curves［J］.IEEE Transactions on Pattern Analysis and Machine Intelligence,1992,14(8): 789805.

　　［8］ RAHM E, Do H H. Data cleaning:problems and current approaches［J］. 2000,23(4):313.

　?。?］ 吳慶波.基于虛擬機(jī)的可信操作系統(tǒng)關(guān)鍵技術(shù)及應(yīng)用研究［D］.合肥：國防科學(xué)技術(shù)大學(xué),2010.

　　［10］ 羅軍舟,金嘉暉,宋愛波.云計(jì)算:體系架構(gòu)與關(guān)鍵技術(shù)［J］.通信學(xué)報(bào),2011,32(7):321.

　?。?1］ 葛欣.多虛擬機(jī)自動(dòng)網(wǎng)絡(luò)配置系統(tǒng)［D］.武漢：華中科技大學(xué),2009.

　?。?2］ 于洪梅.基于虛擬機(jī)的動(dòng)態(tài)遷移技術(shù)的研究及應(yīng)用［C］.應(yīng)用進(jìn)展·2007——全國第18屆計(jì)算機(jī)技術(shù)與應(yīng)用(CACIS)學(xué)術(shù)會(huì)議論文集,長春：2007.