固態硬盤數據銷毀技術綜述

鄧宗永 張鵬

摘要：為了保護固態硬盤上的敏感數據，可以采取數據銷毀技術對敏感數據進行安全清除。但固態硬盤采用了與機械硬盤完全不同的閃存介質進行數據存儲，導致固態硬盤在數據讀寫方面與機械硬盤存在很明顯的區別，因此需要根據閃存的特點和固態硬盤的結構設計適用于固態硬盤的數據銷毀技術，本文在研究固態硬盤的存儲特點的基礎上，對不同層次的固態硬盤數據銷毀方法進行了總結。

關鍵字：固態硬盤； 數據銷毀； 閃存

中圖法分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）28-0239-02

1固態硬盤的結構

固態硬盤（Solid State Disk，SSD）是一種以固態半導體芯片為存儲介質的大容量存儲器。它主要使用兩種固態半導體進行數據存儲，一種是DRAM（易失性存儲器），另一種是NAND Flash（閃存）。前者的優點在于存取速度較高，但需要獨立電源。后者的優點在于無須獨立電源即可工作，但存取速度相對較低。由于目前常見的固態硬盤主要以NAND Flash為存儲介質，因此本文討論的數據銷毀方式僅適用于以NAND Flash為存儲介質的固態硬盤。

固態硬盤由控制芯片、緩存芯片和閃存芯片三部分構成。控制芯片的作用是合理調配數據在各個芯片上的負荷， 連接閃存芯片和SATA 接口。緩存芯片的作用與機械硬盤類似，主要完成讀寫數據的緩沖、存儲最近訪問數據等功能。閃存芯片的作用是存儲用戶數據，根據每單元（Cell）存儲數據量的多少可分為SLC（Single-Level Cells）、MLC（Multi-Level Cells）和TLC（Trinary-Level Cell）三種。其中，SLC每單元存儲1位數據，擦寫壽命約為10萬次，MLC每單元存儲2位數據，擦寫壽命約為3000-10000次，TLC每單元存儲3位數據，擦寫壽命約500-1000次。

固態硬盤不僅在存儲介質上與機械硬盤有所不同，在管理和存儲數據的方式上也有區別。固態硬盤維持了一個在操作系統存取數據的邏輯塊地址和原始數據閃存地址的間接層來轉換物理數據的儲存。通過隱藏閃存特殊的接口和管理每個塊的寫入和擦除次數，該間接層增強了固態硬盤的存取性能和可靠性并大大提高了flash的使用壽命，但是它也產生了對于用戶不可見的副本數據，而攻擊者卻可用其進行數據的恢復，對數據的安全造成極大隱患。

2固態硬盤的數據銷毀技術

近年來， 針對硬盤的數據安全刪除方法已經很成熟， 但由于SSD 和硬盤存在許多的不同， 所以現有的硬盤安全刪除方法并不全都適合運用到SSD. 目前，針對固態硬盤的數據銷毀技術可以分為三類：

2.1控制器層數據銷毀技術

傳統的NAND存儲介質的數據銷毀方式主要利用內置于閃存設備固件中的數據清理機制，但是數據銷毀的可靠性無法保證。如果繞開固件直接對閃存芯片進行讀取，可以發現雖然已經執行了數據銷毀，但是很多數據還完好的保留在閃存上。

除此之外，目前還有一種利用加密技術進行數據銷毀的方法。用戶的機密文件以加密的方式進行存儲，當用戶希望銷毀數據時，直接刪除密鑰。由于密鑰一般較小，因此數據銷毀可以在很短的時間內完成。然而該方式主要存在兩個問題：第一是針對閃存芯片的側信道攻擊（Side Channel Attack）可能允許攻擊者可以恢復出密鑰和相關數據；第二是密鑰管理不善也會給數據銷毀方法的實現帶來非常嚴重的安全漏洞。

Swanson[1]等結合以上兩種數據銷毀技術設計并實現了一種可驗證的，效率較高的數據銷毀方法SAFE（Scramble and Finally Erase）。該方法完成數據銷毀需要兩個步驟，首先SAFE先將密鑰數據進行銷毀，然后SAFE再對NAND的每一個物理頁進行垃圾數據覆蓋。通過執行SAFE后對NAND的檢查，Swanson等證實了SAFE可以安全地銷毀指定數據。

2.2文件系統層數據銷毀技術

閃存的讀寫單位為頁，根據芯片的不同一般大小為4KB或8KB，但是操作系統讀寫數據是按照HDD（Hard Disk Drive）的扇區尺寸進行的，一般為512Byte。更麻煩的是，閃存數據的寫入需要先執行擦除動作，而擦除是以塊為單位。這些與HDD明顯不同的差異導致操作系統對閃存設備的管理必須采取一些不同的方法。一種是閃存設備通過在自身的固件（主控）程序實現一個FTL（Flash Translation Layer）層[2]，其中功能如圖1所示，將閃存設備“虛擬”成一個類似于HDD的塊設備，將文件系統對扇區的操作 “翻譯”成對閃存的操作。這種方法的優點在于操作系統不需要做出任何改變，只需要按照HDD的方法管理SSD即可。

1 FTL功能

另一種方法是設計專用于閃存的文件系統，如UBIFS、YAFFS。在專用的文件系統中已經設計了通過軟件實現的FTL層，因此操作系統也可以直接將SSD視為HDD，對SSD進行“扇區”操作即可。FTL會將扇區的LBA地址翻譯成SSD閃存中的物理地址。

從圖1中可以看到，當文件系統發送指令要寫入或者更新一個特定的邏輯頁時，它會采用如日志結構的寫入方式，FTL實際上是把數據寫入到一個空閑物理頁并更新映射表，當從邏輯塊地址寫入一個新數據時，舊數據將失效但是會保留在存儲設備中，成為冗余的數據。為了加速這個掃面的進程，FTL儲存了一個包含整個文件塊的摘要信息在每個塊的最后一頁。當需要再次寫入到一個閃存塊時，就需要先把塊上的有效數據合并到一個空白塊上再進行擦除，這個操作就是GC（Garbage collection）垃圾回收。也可發送Trim指令給SSD主控，通知它哪些數據占用的地址是無效的，從而提高GC的效率，一次擦除多個無效塊。

FTL在提高了閃存設備存取性能和閃存芯片使用壽命的同時，也使得找到實際物理存儲區域變得困難，也導致數據銷毀技術中對于HDD的覆寫刪除單個文件的方法不能直接應用于SDD。Lee[3]等人提出一種利用加密技術的數據銷毀方法，該方法用唯一的密鑰加密每個文件，密鑰存儲在相應的文件頭里，操作系統只需要在儲存所有文件頭的擦除塊中將其銷毀就可使得所有數據的安全刪除。

Wei[4]等人在實證評估基于驅動器的SSD內置清掃命令和軟件方式對于SSD的擦除效果后發現：（1）大多數ATA命令運行正確，但有些可能包含幾個bug，導致整個待擦除數據完好的保留在了驅動器中。（2）對于基于軟件的整個磁盤的擦除方式，該技術并不總是有效，測試顯示數據模式可能對覆寫的有效性產生影響。（3）軟件在SSD上對單個文件的擦除總是失敗。可靠的單文件擦除要求改變閃存FTL層，該結論使用他們開始研究如何設計支持單文件擦除的FTL組件。

他們發現雖然從一個塊中擦除某些頁是困難的，但是編程單個文件確是可行的，所以一個可選的擦除方式是對頁進行再編程使頁中冗余數據從1變為0。根據使用環境的不同，擦洗又分為三種方式，即刻安全擦洗（immediate scrubbing）、后臺式擦洗（background scrubbing）和基于掃描的擦洗（scan-based scrubbing）。其中即刻安全擦洗提供了最高級別的安全性，因為直到FTL擦洗以前頁中包含的陳舊數據完成后，寫操作才會完成；后臺式擦洗提供了更高的性能通過允許寫操作完成后在后臺執行擦洗工作；基于掃描的擦洗在沒有寫入工作時通過添加一個命令來擦除一個范圍的LBA到0，然后通過查找邏輯地址物理地址的映射表來擦洗存儲了冗余數據的頁，在該方式中FTL將讀取每個塊中的摘要表來確定其中的頁是否包含了失效數據。擦洗操作的不足在于對于MLC（Multi-Level Cell）一個存儲器存儲單元存放了2位元（bit）的芯片，擦洗單個頁總是會造成幾個錯誤到另一頁，這個bug是因為MLC存儲單元陣列中，每個晶體管總是包含屬于不同頁的兩位。

2.3用戶應用程序層的數據銷毀

用戶應用程序層的刪除，可以很容易地刪除特定數據對象，但保證數據不可恢復的程度最小，且會帶來很高的磨損。現有的數據安全刪除方法，一般都是通過塊擦除或零覆寫和隨機數據覆蓋的方法實現該目的。

塊擦除是通過擦除整塊的密鑰或原始數據，該方法可用于大量數據的刪除，但是當塊上含有有效密鑰或數據時，就需要先將有效密鑰或數據復制到有效頁，然后擦除，必須導致額外的時間開銷和更多設備磨損。零覆寫是指通過將頁中的位全部置零實現數據安全刪除，比較著名的有Gutmann[5]算法和美國國防部US DoD 5220-22.M[6]算法。

Gutmann方法的核心是增加數據覆蓋的次數，按照古特曼教授的理論，在刪除數據時，用特定的數據片段覆蓋原始數據35次，從而有效避免任何形式的數據還原。但是，在增加覆蓋次數的同時，該方法也會耗費相當長的時間。另外，古特曼方法不考慮全面性，只考慮數據銷毀的徹底性。

US DoD 5220-22.M方法是美國國防部標準中的一部分，這種方法僅僅需要覆蓋數據幾次，安全性沒有古特曼方法高，但耗費的時間卻相對較少。對于覆蓋使用的數據，標準中也相應給出相應的建議，比如使用補碼或隨機數字等。

3總結

由于固態硬盤和傳統機械硬盤在存儲介質和數據存取方式上存在明顯不同，很多應用于機械硬盤的數據銷毀方法對固態硬盤不再適用。本文在分析固態硬盤結構的基礎上，分別對控制器層面、文件系統層面和用戶應用程序層面具有代表性的數據安全銷毀方法進行了總結。

參考文獻：

[1] Swanson S， Wei M. Safe： Fast， verifiable sanitization for ssds[J]. San Diego， CA： University of California-San Diego， 2010.

[2] Qin Z， Wang Y， Liu D， et al. MNFTL： An efficient flash translation layer for MLC NAND flash memory storage systems[C]. Proceedings of the 48th Design Automation Conference， 2011： 17-22.

[3] Lee J， Yi S， Heo J， et al. An Efficient Secure Deletion Scheme for Flash File Systems[J]. J. Inf. Sci. Eng.， 2010， 26（1）： 27-38.

[4] Wei M Y C， Grupp L M， Spada F E， et al. Reliably Erasing Data from Flash-Based Solid State Drives[C]. FAST， 2011： 8-8.

[5] Gutmann P. Secure deletion of data from magnetic and solid-state memory[C]. Proceedings of the Sixth USENIX Security Symposium， San Jose， CA， 1996： 77-89.

[6] Garfinkel S. Anti-forensics： Techniques， detection and countermeasures[C]. 2nd International Conference on i-Warfare and Security， 2007： 77-84.

【通聯編輯：光文玲】