王雪飞1，俞海英2，伍红兵2

　　（1.解放军理工大学 野战工程学院，江苏 南京 210046；2.解放军理工大学 国防工程学院，江苏 南京 210046）

       摘要：在数据擦除工程环境中，需要进行远程自动数据擦除、数据备份等处理工作，同时为了适应信息安全保密工作的管理现状和军事信息化建设的需要，提出了基于PXE的数据擦除系统构建方案。与传统方法相比，该方案实现了数据中心的虚拟化，处理方式更加具有灵活性和安全性，提高了擦除的效率，同时使擦除记录收集于数据库中，更易于管理。

　　关键词：PXE；数据擦除；PHP；军事

　　中图分类号：E919文献标识码：ADOI： 10.19358/j.issn.1674-7720.2017.02.001

　　引用格式：王雪飞，俞海英，伍红兵.基于PXE的数据擦除系统研究及其在军事领域中的应用［J］.微型机与应用，2017,36（2）：1-4，7.

0引言

　　随着网络化时代的到来，人们所依赖的数据存储量越来越多，随之而来的数据安全性问题成为必须考虑的因素。然而，随着科技的进步，专业人士越来越善于对数据进行恢复处理，重新得到已清除的各种数据［1］。如何保证数据安全，如何将私密数据安全彻底地销毁，已经引起了人们的广泛关注［2］，尤其在军事领域中表现得更为明显。为了满足军队野战环境的需要，美军在信息安全防护建设中提出了遥毁、自毁的概念，并且已经开始在一些系统中进行研制。我国从2004年开始进行数据清除技术专项研究，自2005年下半年以来，来自国家各个部门对数据清除技术的需求日益增加。目前已有很多数据清除软件如Wipe Info、Eraser、CleanDisk Security等，但这些工具软件都是基于计算机主机，专注于对指定文件的清除。能脱离计算机、独立对存储介质进行数据清除的设备还比较少，如指挥自动化研究所开发的“存储介质数据粉碎机”。而在野外或者重大军事活动撤场时，大批量的硬盘或者其他存储介质中的数据需要快速销毁，销毁方法应当满足处理速度快、数据清除彻底、工作环境搭建简单、操作一键式全部完成和撤收方便快捷等要求。所以本文提出将虚拟化PXE擦除技术应用于军事领域中，可以同时处理军网中的所有存储设备，并且系统自动将擦除操作的详细信息写入数据库，从而可与“存储介质管理系统”紧密集成，提供对涉密存储介质从入场、使用、擦除（销毁）全程化的跟踪和管理，杜绝由于管理失控等原因而造成泄密。

1数据销毁方法

　　目前数据销毁方法有消磁、熔毁、粉碎和安全擦除等方法，特性对比如表1所示。消磁方法通过消除磁性存储介质的磁性来消除数据，销毁后存储介质不能再次使用，这种方法无法消除Flash存储介质中的数据；熔毁通过高温将存储介质融化来消除数据，能耗高，有污染；粉碎通过对存储介质实施物理销毁至粉末状来销毁数据；擦除通过擦除设备覆写存储介质中的数据来实现数据销毁。

　　国内采用擦除方式销毁数据的产品有两类，一种是便携式的存储介质擦除设备，一次只能对单个存储介质进行擦除，并且需要将存储介质从主机拆除，操作麻烦，工作效率低，也不提供对存储介质的数据库管理。另一种是采用U盘或者光盘启动主机，运行擦除软件实现对数据的擦除，其缺点是并行程度低，操作较为麻烦，人为干预程度高，缺乏自动化的管理能力。因此需要一种操作便捷、可以大规模实现数据销毁的擦除系统。表1存储介质数据销毁方法比较销毁方法效率介质类型限制重新使用其他特点消磁高仅限于磁性介质不可以能耗高熔毁一般任何介质不可以能耗高，有污染粉碎一般任何介质不可以能耗高，有污染擦除低光盘以外的介质可以能够实现自动化管理

2PXE技术介绍

　　2.1简介

　　预启动执行环境PXE（Preboot eXecution Environment）是一个用于在客户/服务器环境下启动客户机的规范［34］。PXE客户端只需要支持PXE的网卡NIC或者ROM，服务器采用DHCP和TFTP服务器。PXE规范依赖于标准的互联网协议：UDP/IP、DHCP和TFTP，选择使用这些协议是因为它们占用很小的ROM空间，容易在客户端的网卡固件实现。PXE的设计目标是PXE固件镜像标准化、体积小和使用系统资源少［5］，这样，PXE客户端既可以是强大的客户端计算机，也可以是资源有限的单板计算机(SingleBoard Computers，SBC)或者单芯片系统(SystemonaChip，SoC)。

　　2.2PXE工作原理

　　PXE启动过程如图1所示。DHCP服务器负责为PXE客户端提供IP地址、默认网关、子网掩码等网络参数，以及TFTP服务器地址、网络启动程序NBP（Network Bootstrap Program）文件名［6］。TFTP服务器用于为PXE客户端提供NBP镜像文件。

　　PXE客户端启动时，通过UDP协议向DHCP服务器的67端口广播一个DHCPDISCOVER消息，消息中包含PXEspecific选项，用于向DHCP服务器请求网络参数以及TFTP服务器地址、NBP文件名。PXEspecific选项标识DHCPDISCOVER是一个与PXE相关的消息。标准的DHCP服务器（不支持PEX规范的DHCP服务器）收到DHCPDISCOVER消息后返回一个普通的DHCPOFFER消息，该消息仅包含网络参数，PXE客户端无法启动。只有支持PXE的DHCP客户端返回的DHCPOFFER消息才能包含支持PXE启动的信息。

　　PXE客户端解析DHCPOFFER消息后,能够建立自己的网络IP地址等网络参数，并获得TFTP服务器的IP地址和NBP文件名。接着，PXE客户端从TFTP服务器下载指定的NBP程序到内存,然后用NBP启动客户端。通常NBP只是引导程序链的第一部分，NBP接着可以从TFTP服务器中请求少量的补充文件，从而能够运行一个精简的操作系统(比如WindowsPE,或基本的Linux内核+initrd)。该精简的操作系统能够加载网络驱动程序以及完整的TCP/IP堆栈，这样PXE客户端就可以不使用TFTP而是使用更健壮的传输协议(如HTTP、CIFS、NFS)获得完整操作系统及应用程序［78］。

3系统设计

　　PXE技术具有方便引导多种操作系统，省去硬盘以及并不消耗服务器的CPU、RAM等资源的优点，系统可以借助于PXE标准，通过网络启动联网主机，自动运行擦除程序完成存储介质的擦除操作。为了适用于大规模的网络擦除，要满足以下条件：

　　（1）启动速度快，带宽占用小；

　　（2）传输可靠；

　　（3）具有灵活的可配置性，可根据主机特性采用不同的擦除标准。

　　而将启动镜像封装在一个文件中有很多弊端，一是体积大，下载时带宽占用高；二是TFTP协议不可靠，不适合下载大文件；三是无法提供可配置性。为此，系统考虑采用以下方案：

　　（1）采用链式启动模式，初始启动文件很小，采用TFTP协议传输。

　　（2）初始启动文件支持完整的TCP/IP协议，通过HTTP协议下载第二阶段所需的启动配置文件、Linux内核及初始内存镜像文件，HTTP协议基于TCP连接，从而保证可靠性。

　　（3）第二阶段启动后，将Linux根文件系统映射到网络文件服务器NFS，因此，系统并不需要下载完整的系统文件，系统运行时按需下载文件，效率高，带宽占用小。同时，NFS采用可靠的TCP连接，因此可靠性高。

　　擦除系统目录结构及主要文件设计如图2所示，整个擦除系统结构图如图3所示。

　　图3基于PXE的擦除系统结构图擦除时，主机通过PXE协议启动服务器上的“擦除系统镜像”，该镜像基于独立操作系统架构，体积小，启动快，直接驱动磁盘擦除数据，擦除强度可配置，擦除操作无需用户干预，擦除完成后自动将擦除结果上传给服务器，管理员可以与先前登记的数据进行比对，查看擦除进度以及确认是否所有介质擦除完成。

4擦除过程

　　4.1第一阶段启动

　　第一阶段启动Undionly.ipxe文件。该文件是一个基于PXE的NBP程序，体积很小，只有60 KB，通过TFTP协议下载。主机通过PXE启动时，在DHCP返回的消息中给出TFTP服务器IP地址和NBP文件名Undionly.ipxe［9］，主机PXE根据DHCP返回的信息下载Undionly.ipxe，并把控制权交给该程序。Undionly.ipxe是一个基于PXE的程序，如图4所示，该程序封装了完整的TCP/IP协议，通过UNDI接口访问网卡驱动［10］。

　　Undionly.ipxe再次向DHCP发送PXE请求，请求包中加入了自定义扩展标记tag:NEH，DHCP返回启动配置文件URL：file:http://Httpdserverip/boot.php，于是，Undionly.ipxe从HTTP协议下载boot.php文件。

　　boot.php是一个PHP脚本文件，该文件在Web服务器中运行。boot.php脚本查询数据库，从而可以实现任意的策略［1112］，比如，根据主机MAC地址确定主机属性，根据主机属性选择第二阶段启动镜像，根据主机属性选择不同的擦除模式［13］。

　　boot.php程序的执行结果样式为：

　　kernelhttp://httpdserverip/vmlinuz

　　initrdhttp://httpdserverip/initrd.imgimgargs

　　kernel ramdisk_size=16192 root=/dev/nfs

　　nfsroot=nfsserverip:/pxeroot rw

　　接着，Undionly.ipxe按照boot.php的指示，下载内核文件vmlinuz以及初始内存磁盘镜像文件，供第二阶段启动过程使用。

　　4.2第二阶段启动

　　主机获得boot.php、vmlinuz、initrd.img文件后即可启动Linux内核，进入第二阶段启动。

　　第二阶段启动过程中，根据boot.php中的配置项root=nfs://nfsserverip/pxeroot，将Linux的根文件系统映射到系统的网络文件服务器NFS。由于采用了链式启动模式，并将系统的根文件系统映射到NFS，使得主机网络启动速度非常快，在实际测试中，启动时间仅为3 s左右。

　　4.3启动擦除程序

　　系统接着执行/etc/rc.local脚本，启动擦除控制程序controld。controld获取存储介质型号和序列号等信息，从/proc/cmdline获取擦除标准，启动相应的擦除进程，监控进度，监控异常信息，通过http post向Web服务器提交擦除结果。

　　4.4HPA扇区的擦除

　　将HPA技术加入到ATA-4标准中，其目的是设置一个供计算机厂商存储数据的区域，该区域中的数据使用常规的格式化和删除操作无法删除。HPA位于磁盘的末端，只有对磁盘重新配置才能访问。

　　ATA中有两个命令返回可寻址扇区的最大值，如果存在HPA，这两个命令的返回值是不同的。READ_NATIVE_MAX_ADDRESS命令返回物理地址的最大值，而IDENTIFY_DEVICE命令返回的是用户可访问的最大扇区数，因此，如果HPA存在，READ_NATIVE_MAX_ADDRESS命令返回的是磁盘的实际大小，而IDENTIFY_DEVICE命令返回的是用户区域的大小，也就是HPA的起始扇区的地址。如果DCO区域存在，则READ_NATIVE_MAX_ADDRESS命令返回的也不是磁盘最末端的物理地址。

　　比如，如果磁盘为20 GB，READ_NATIVE_MAX_ADDRESS返回容量为20 GB的扇区数41 943 040。要创建1 GB的HPA，执行SET_MAX_ADDRESS命令设置用户最大可访问地址为39 845 888，任何试图访问磁盘末尾的2 097 152个扇区都将产生一个错误。IDENTIFY_DEVICE命令返回的最大地址为39845888，如图5所示。　

　　创建HPA可以使用SET_MAX_ADDRESS命令设置用户可访问最大扇区号，删除HPA可以使用SET_MAX_ADDRESS命令将用户可访问的最大扇区号设置为磁盘的实际最大扇区号。

5结束语

　　基于PXE的主机存储介质擦除系统是根据我军信息安全保密工作的管理现状和军事信息化建设的需要提出的，并针对各军事单位的基本环境与需求而开发，适应了我军信息化建设的需要。同时，系统研究中充分考虑了现有技术设备的功能扩展及网络化要求，在数据安全、数据保密等军事工程方面有广阔的应用前景。

参考文献

　　［1］ DEI C T,SIMOES P,BASTOS F. Integration of PXEbased desktop solutions into broadband access networks［C］.Network and Service Management,2010 Internetional Conference,2010:182198.

　　［2］ Li Jinhui, Zhang Ke, Zhang Fang. Network center’s highlyefficient management solutions based on intern PXEbased remote cloning system［C］.Advanced Computer Control,2011:408411.

　　［3］ DELLINGER M,GARYALI P,RAVINDRAN B. Chron OS Linux:a besteffort realtime multiprocessor Linux kernel［C］.Design Automation Conference,48th ACM/EDAC/IEEE，2011:474479.

　　［4］ HUGHES G F,COUGHLIN T,COMMINS D M. Disposal of disk and tape data by secure sanitization［J］.Security and Privacy, 2009,7(4):2934.

　　［5］ 彭仁明,李岷.基于云平台的PXE技术在远程数据处理中的应用［J］.绵阳师范学院学报,2013,32(5):35.

　　［6］ 纪慧荣,赵云飞.无盘工作站技术研究［J］.信息与电脑,2010,17(1):4445.

　　［7］ MOKHTARIAN F,  MACKWORTH A K. A theory of multiscale, curvaturebased shape representation for planar curves［J］.IEEE Transactions on Pattern Analysis and Machine Intelligence,1992,14(8): 789805.

　　［8］ RAHM E, Do H H. Data cleaning:problems and current approaches［J］. 2000,23(4):313.

　　［9］ 吴庆波.基于虚拟机的可信操作系统关键技术及应用研究［D］.合肥：国防科学技术大学,2010.

　　［10］ 罗军舟,金嘉晖,宋爱波.云计算:体系架构与关键技术［J］.通信学报,2011,32(7):321.

　　［11］ 葛欣.多虚拟机自动网络配置系统［D］.武汉：华中科技大学,2009.

　　［12］ 于洪梅.基于虚拟机的动态迁移技术的研究及应用［C］.应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集,长春：2007.