西安航空計(jì)算技術(shù)研究所 王志強(qiáng) 劉 陶 左清清

江西洪都航空工業(yè)集團(tuán)有限責(zé)任公司 黃子露

在航空機(jī)載領(lǐng)域，飛行任務(wù)系統(tǒng)中存在大量的關(guān)鍵性數(shù)據(jù)，這些數(shù)據(jù)一旦被敵方截獲，會(huì)對(duì)戰(zhàn)場(chǎng)態(tài)勢(shì)產(chǎn)生重大影響。針對(duì)復(fù)雜戰(zhàn)場(chǎng)態(tài)勢(shì)下機(jī)載數(shù)據(jù)安全的需求，本文以電子對(duì)抗告警分機(jī)為例，通過(guò)對(duì)毀鑰電路采用硬件損毀的方式對(duì)FLASH芯片進(jìn)行毀傷，并對(duì)毀傷結(jié)果進(jìn)行分析，評(píng)估毀鑰技術(shù)的效果，從根本上消除數(shù)據(jù)恢復(fù)條件，防止數(shù)據(jù)被截獲。

在航空機(jī)載領(lǐng)域，飛行任務(wù)系統(tǒng)中存在各種關(guān)鍵數(shù)據(jù)。為保證數(shù)據(jù)的安全性，在某一些特殊情況下，需要將保密信息、涉密工作參數(shù)等關(guān)鍵信息進(jìn)行擦除和破壞，以免關(guān)鍵數(shù)據(jù)信被敵方截獲。

本文針對(duì)某型電子對(duì)抗告警分機(jī)關(guān)鍵數(shù)據(jù)安全需求，采用硬件損毀方式對(duì)存儲(chǔ)載體進(jìn)行物理銷毀，通過(guò)對(duì)毀傷結(jié)果的分析，驗(yàn)證毀鑰電路可以從根本上消除數(shù)據(jù)恢復(fù)條件，防止數(shù)據(jù)泄露。

1 毀鑰電路

告警計(jì)算機(jī)內(nèi)存在關(guān)鍵的涉密信息，在特殊情況下，需要對(duì)存儲(chǔ)體中的保密信息進(jìn)行毀鑰，存儲(chǔ)體采用FLASH進(jìn)行關(guān)鍵信息的存儲(chǔ)，因此毀鑰對(duì)象為L(zhǎng)ASH及其存儲(chǔ)信息。毀鑰電路做法是將28V接入FLASH的供電管腳，進(jìn)行物理銷毀。系統(tǒng)毀鑰的具體實(shí)現(xiàn)電路見(jiàn)圖1。

圖1 毀鑰電路圖

當(dāng)系統(tǒng)毀鑰信號(hào)“浮空”時(shí)，繼電器管腳2連接4，6連接8，正向輸出3.3V電源給FLASH_VCC并提供GND地回路，F(xiàn)LASH正常工作；當(dāng)系統(tǒng)毀鑰信號(hào)“有效”時(shí)，系統(tǒng)毀鑰信號(hào)同時(shí)進(jìn)入告警計(jì)算機(jī)處理器模塊內(nèi)部和延時(shí)繼電器。其中模塊識(shí)別毀鑰信號(hào)后觸發(fā)最高級(jí)中斷，中斷程序完成對(duì)FLASH芯片的“寫(xiě)0”覆蓋；毀鑰信號(hào)進(jìn)入延時(shí)進(jìn)電器后，延遲特定時(shí)間（“寫(xiě)0”覆蓋時(shí)間+時(shí)間余量），待FLASH完成數(shù)據(jù)覆蓋后，管腳2連接8，7連接1，繼電器管腳2連接5，6連接1，輸出+28V及28VGND信號(hào)，燒毀FLASH。

圖2 Flash存儲(chǔ)器代碼

圖3 芯片43端口金相形貌

2 毀傷分析

毀鑰試驗(yàn)完成后，在常溫條件下，告警計(jì)算機(jī)加電后通過(guò)超終端窗口未觀察到任何打印信息，告警計(jì)算機(jī)沒(méi)有啟動(dòng)工作。正常情況下，告警計(jì)算機(jī)啟動(dòng)后運(yùn)行自檢測(cè)試（PUBIT），并通過(guò)串口輸出測(cè)試結(jié)果。自檢測(cè)試等程序代碼（應(yīng)用程序、密鑰等）位于Flash存儲(chǔ)器中。通過(guò)仿真器連接CPU模塊，觀察Flash存儲(chǔ)器中的代碼。圖2為引導(dǎo)Flash存儲(chǔ)器代碼區(qū)域的截圖。通過(guò)圖2可以看到，F(xiàn)lash存儲(chǔ)器中代碼均為0，說(shuō)明Flash存儲(chǔ)器區(qū)域無(wú)法讀取有效的代碼。

為了更進(jìn)一步分析Flash存儲(chǔ)器內(nèi)部的毀傷情況，將存儲(chǔ)芯片進(jìn)行失效分析。分析過(guò)程包括外觀檢查、I-V特性測(cè)試、X光檢查、開(kāi)封檢查等項(xiàng)目。Flash存儲(chǔ)器芯片表面標(biāo)識(shí)清晰無(wú)異常。I-V特性測(cè)試發(fā)現(xiàn)電源地之間存在短路或異常漏電。X光檢查發(fā)現(xiàn)43端口（43端口對(duì)應(yīng)信號(hào)為VCC）鍵合絲均存在過(guò)流燒毀現(xiàn)象。在金相顯微鏡下對(duì)芯片表面進(jìn)行觀察，發(fā)現(xiàn)Flash存儲(chǔ)器芯片43端口及鍵合絲（43端口對(duì)應(yīng)信號(hào)為VCC）均存在過(guò)電流燒毀痕跡，其余部位無(wú)電損傷痕跡。43端口電路燒毀典型金相形貌如圖3所示。

3 毀鑰評(píng)估

當(dāng)告警分機(jī)進(jìn)行毀鑰操作后，F(xiàn)LASH存儲(chǔ)器已無(wú)法訪問(wèn)，F(xiàn)LASH內(nèi)部端口及鍵合絲過(guò)流燒毀，存儲(chǔ)器失效。因此，實(shí)施毀鑰后的Flash存儲(chǔ)器芯片，存儲(chǔ)功能失效，不能讀取數(shù)據(jù)。根據(jù)硬件設(shè)計(jì)，毀鑰電壓僅與Flash存儲(chǔ)器芯片電壓輸入端相連，因此僅對(duì)Flash存儲(chǔ)器芯片有毀傷功能，對(duì)其它功能電路無(wú)毀傷效果，不影響其它硬件電路功能。

結(jié)束語(yǔ)：該分機(jī)通過(guò)毀鑰電路采用硬件損毀的方式對(duì)FLASH芯片進(jìn)行毀傷，通過(guò)對(duì)毀傷結(jié)果進(jìn)行分析，評(píng)估了毀鑰技術(shù)的效果，可以從根本上消除數(shù)據(jù)恢復(fù)條件，防止數(shù)據(jù)被截獲，并滿足復(fù)雜戰(zhàn)場(chǎng)態(tài)勢(shì)下機(jī)載數(shù)據(jù)安全的需求。