一种固态自毁硬盘功能验证及数据残留检测方法

1.一种固态自毁硬盘功能验证及数据残留检测方法，其特征在于：该方法具体步骤如下：
步骤一：分析固态自毁硬盘功能及结构，包括SATA接口固态硬盘、自毁控制器软硬自毁指令结构、固态硬盘结构及存储器读写方式，确定自毁控制器在软自毁指示下，通过CPLD/FPGA向SATA接口发送自毁指令对固态硬盘进行数据擦除，硬自毁指示下，通过CPLD/FPGA将升压电路的高压通过继电器阵列轮流将FLASH存储器销毁；确定FLASH存储器的型号和数目、升压电路输出的高压具体值、继电器阵列信息；
步骤二：写入特征“检测指纹”；“检测指纹”由具有特定模式的数字串列构成，对于4K字节的页，每个“检测指纹”的长度由128个字节组成，分别是页首标记8个字节、相接数据字段#8个字节、逻辑块地址字段4个字节、重复数据字段#48个字节、校验各字段8个字节、引导字段8个字节、位组合字段44个字节；在每页中重复写32次，写满“检测指纹”，这样“检测指纹”便于确定、重建以及统计，以确定FLASH芯片中残存数据率，“检测指纹”中还包含一个128字节识别码，利用这个识别码以区别不同的“检测指纹”集合；以页重复写入的“检测指纹”都将会有相同的识别码；由于不同的固态硬盘，其内部闪存芯片的数据分配和储存的方式不相同，有些固态硬盘将连续字节储存在不同的芯片中，另一些固态硬盘在首先反转数据再将其写入；故采用的“检测指纹”具有特性的结构，其作用类似于真实的指纹，用于证明数据的存在性，通过IO写操作指令写到FLASH中；
步骤三：软自毁控制功能验证；执行软自毁指令，软自毁后，拔下固态硬盘，插入到带有SATA接口的PC机，进行直接数据读取，检测硬盘数据是否为空；如为空，则证明自毁控制器软自毁功能正常，否则软自毁功能失效；自毁控制器工作时有两种状态：成功与失败，故符合“伯努力试验”，假定伯努力试验为n次，在这n次试验中成功次数为k，则伯努力试验成功概率，即自毁控制器成功执行任务的可靠度：p＝k/n；按需求进行n次重复操作以验证软自毁功能的可靠性；
步骤四：软自毁后“检测指纹”数据恢复；通过信息重组算法编程从SATA接口对SSD的FLASH存储数据进行恢复，恢复“检测指纹”数据，也能采用专门针对固态硬盘的PC3000-FOR-FLASH，V5.0，专业数据恢复软件进行“检测指纹”的数据还原；
步骤五：软自毁数据残留特性检测；通过IO读操作指令，向FLASH控制器发送读指令，FLASH控制器接收读命令并将指令传递到NAND FLASH各个区、块到页，读取整页的数据；
步骤六：硬自毁控制功能验证；由于硬自毁具有破坏性和不可恢复性，故采用模拟验证法；断开SATA接口，在继电器阵列输出端，接入与继电器数目相同的等效阻性负载，通过A/D转换机数据采集连接到示波器，向自毁硬盘控制器发送硬自毁信号，观测示波器波形是否轮流将高压加到相应的负载上，验证自毁控制器硬自毁控制功能，对硬自毁操作进行测试n次，计算硬自毁控制功能的可靠性；
步骤七：硬自毁数据残留特性检测；采用进行基于破坏性物理的失效分析，深入FLASH存储器内部晶片级检测数据不可恢复性；执行硬自毁指令，指令执行完毕后，将FLASH存储器芯片逐片拆下，然后清除FLASH芯片管脚的焊锡，之后，进行基于破坏性物理的失效分析，最后得出存储器数据残留特性验证结果。
2.根据权利要求1所述的一种固态自毁硬盘功能验证及数据残留检测方法，其特征在于：步骤二所述的IO写操作指令，包括以下步骤：
步骤201：通过指令向FLASH控制器发送写指令；
步骤202：FLASH控制器接收写命令；
步骤203：将指令传递到NAND FLASH各个区块；
步骤204：根据写指令将“检测指纹”重复写到指定的页；
步骤205：将“检测指纹”数据及识别码写到指定的块、区。
3.根据权利要求1所述的一种固态自毁硬盘功能验证及数据残留检测方法，其特征在于：步骤五所述的软自毁数据残留特性检测，包括以下步骤：
步骤501：通过指令向FLASH控制器发读命令；
步骤502：FLASH控制器接收读命令，并将指令传递到NAND FLASH各个区块；
步骤503：FLASH接收指令选择指定的页；
步骤504：读取整页的数据；
将读取后的数据与事先写入的检测指纹数据进行比对，检测“检测指纹”软自毁后数据残留程度。
4.根据权利要求1所述的一种固态自毁硬盘功能验证及数据残留检测方法，其特征在于：步骤七所述的硬自毁数据残留特性检测，包括以下步骤：
步骤701：用3～10倍显微镜对芯片进行外观检查，有无裂纹、分层、夹杂物，观察FLASH存储器外表损坏程度；
步骤702：对FLASH存储器内数据进行阻抗特性测试，测量每个管脚对电源和地的阻抗特性并与良片进行对比分析，因为芯片损毁时，阻抗将发生较大改变，初步确定内部烧毁部位；
步骤703：对器件开封，通过显微镜内部目检，观察记录存储器件引脚与芯片间连线和键合丝的状态，与正常芯片内部形貌进行比对，初步评估自毁对这些结构的破坏性；
步骤704：利用扫描电镜进行材料成份分析，与正常存储器芯片数据特征流材料对比，验证芯片中的数据残留性；用500倍以上的显微镜进行切片金相分析，观察记录器件内部晶片损毁后的形貌，与正常晶片的内部形貌进行比对；
步骤705：芯片内部晶片数据存储单元逻辑损坏程度分析，通过C-V测量、除去钝化层、除去氧化层显微分析，验证芯片中的数据残留不能被晶片级反向工程恢复。

一种固态自毁硬盘功能验证及数据残留检测方法\n技术领域\n[0001] 本发明涉及一种固态自毁硬盘功能验证及数据残留检测方法，它是一种带有自毁控制器的具有指令进行软硬件自毁固态硬盘的功能验证及数据不可恢复性检测方法，适用于带有控制器的固态自毁硬盘的自毁控制功能可靠性验证及数据的残留特性分析，属于信息技术领域。\n背景技术\n[0002] 固态自毁硬盘一般由硬盘自毁控制器和SATA固态硬盘组成，如附图1所示。硬盘自毁控制器具有指令软件擦除固态硬盘上的数据和硬件销毁固态硬盘的功能，固态硬盘(solid stat DISK，SSD)采用NAND FLASH芯片作为存储介质。软自毁时，自毁控制器通过定制的专用嵌入式程序指令，对全盘进行擦除，将NAND FLASH存储器中写满F；硬自毁由CPLD控制继电器把超级电容器充电高电压反向加到NAND FLASH电压引脚，实现芯片的逐个销毁，使数据无法恢复。由于此种自毁硬盘具有传输速率高、可靠性高、抗恶劣环境、抗振强度高、耐冲击、能耗低、工作温度范围大、数据保护不受电源影响等特点，广泛应用于车载、电力、医疗、军事、航空飞行记录仪等航空航天和军工领域。\n[0003] 固态自毁硬盘模块是为了高保密要求的需要而设计的，硬盘自毁控制器和固态硬盘中任何一个组成部分或两个部分同时在执行自毁功能时失效都会导致组合的整体自毁功能失效。为使产品功能失常的泄密风险降至最小，产品投入使用前应对控制器自毁功能进行验证及软硬自毁功能完成后固态硬盘数据的不可恢复性进行检测。固态自毁硬盘为确保数据无法恢复，一般先通过指令软件销毁数据，然后再从硬件上对存储介质进行自毁，以保证数据的不可恢复性，因此对固态自毁硬盘的验证方法也要从软件和硬件两个方面进行分析和验证。\n[0004] 目前国内外存储芯片数据残存特性和现有残余数据恢复手段主要是通过软件恢复的方式，但由于核心存储部件FLASH芯片的读写操作与传统的硬盘存储装置具有很大的不同，数据软擦除通常采用的是不同于普通硬盘的内建定制专用嵌入式SATA擦除命令，因此目前市场上通用的恢复软件不能彻底检测自毁功能执行成功后数据残留特性，此外，固态自毁硬盘的可靠性取决于自毁控制器及固态硬盘两个方面。目前还没有针对固态自毁硬盘的基本原理和功能，对硬盘自毁控制器和固态硬盘进行自毁功能验证和数据残留特性检测相结合的完整验证方法。\n发明内容\n[0005] 1)发明目的：\n[0006] 本发明的目的是针对现有硬盘自毁功能验证技术的不足，提出一种固态自毁硬盘功能验证及数据残留检测方法。它不仅可以验证自毁控制器自毁功能，还能够验证固态硬盘中FLASH内写入的特征数据流的数据残余率，进行数据残留特性分析，验证FLASH存储器内硬自毁后数据存储单元逻辑损坏和物理无法恢复的程度。\n[0007] 2)技术方案：\n[0008] 本发明的验证方法是对硬盘自毁控制器进行功能验证，以及对固态硬盘内部的核心FLASH存储器进行自毁操作后的数据残留特性检测。自毁功能验证检查自毁功能能否正常可靠执行，数据残留特性检测则检查软、硬自毁功能执行后硬盘上的数据是否可以被现有技术手段所恢复。总体方案如图2所示。\n[0009] 本发明一种固态自毁硬盘功能验证及数据残留检测方法，该方法具体步骤如下：\n[0010] 步骤一：分析固态自毁硬盘功能及结构，包括SATA接口固态硬盘、自毁控制器软硬自毁指令结构、固态硬盘结构及存储器读写方式，确定自毁控制器在软自毁指示下，通过CPLD/FPGA向SATA接口发送自毁指令对固态硬盘进行数据擦除，硬自毁指示下，通过CPLD/FPGA将升压电路的高压通过继电器阵列轮流将FLASH存储器销毁。确定FLASH存储器的型号和数目、升压电路输出的高压具体值(一般10V以上)、继电器阵列信息。\n[0011] 步骤二：写入特征“检测指纹”。“检测指纹”由具有特定模式的数字串列构成，有一定规律性，如对于4K字节的页，每个“检测指纹”的长度有128个字节组成，分别是页首标记(8个字节)、相接数据字段#(8个字节)、逻辑块地址字段(4个字节)、重复数据字段#(48个字节)、校验各字段(8个字节)、引导字段(8个字节)、位组合字段(44个字节)。\n在每页中重复写32次，写满“检测指纹”，这样“检测指纹”便于确定、重建以及统计，以确定FLASH芯片中残存数据率，“检测指纹”中还包含一个128字节识别码，利用这个识别码以区别不同的“检测指纹”集合。例如，以页重复写入的“检测指纹”都将会有相同的识别码。\n由于不同的固态硬盘，其内部闪存芯片的数据分配和储存的方式不相同，有些固态硬盘将连续字节储存在不同的芯片中(例如，将奇数字节和偶数字节数据储存在不同芯片)，另一些固态硬盘在首先反转数据再将其写入。故采用的“检测指纹”具有特性的结构，其作用类似于真实的指纹，用于证明数据的存在性，数据结构见图3。通过IO写操作指令写到FLASH中，IO写操作指令包括以下步骤参照图4(a)：\n[0012] 步骤201：通过指令向FLASH控制器发送写指令；\n[0013] 步骤202：FLASH控制器接收写命令；\n[0014] 步骤203：将指令传递到NAND FLASH各个区块；\n[0015] 步骤204：根据写指令将“检测指纹”重复写到指定的页；\n[0016] 步骤205：将“检测指纹”数据(页)及识别码写到指定的块、区。\n[0017] 步骤三：软自毁控制功能验证。执行软自毁指令，软自毁后，拔下固态硬盘，插入到带有SATA接口的PC机，进行直接数据读取，检测硬盘数据是否为空。如为空，则证明自毁控制器软自毁功能正常，否则软自毁功能失效。自毁控制器工作时有两种状态：成功与失败，故符合“伯努力试验”，假定伯努力试验为n次，在这n次试验中成功次数为k，则伯努力试验成功概率，即自毁控制器成功执行任务的可靠度：p＝k/n。可按需求进行n次重复操作以验证软自毁功能的可靠性。\n[0018] 步骤四：软自毁后“检测指纹”数据恢复。通过信息重组算法编程从SATA接口对SSD的FLASH存储数据进行恢复，恢复“检测指纹”数据，也可采用专门针对固态硬盘的PC3000-FOR-FLASH(V5.0)等专业数据恢复软件进行“检测指纹”的数据还原。\n[0019] 步骤五：软自毁数据残留特性检测。通过IO读操作指令，向FLASH控制器发送读值令，FLASH控制器接收读命令并将指令传递到NAND FLASH各个区、块到页，读取整页的数据。流程如图4(b)。\n[0020] 步骤501：通过指令向FLASH控制器发读命令；\n[0021] 步骤502：FLASH控制器接收读命令，并将指令传递到NAND FLASH各个区块；\n[0022] 步骤503：FLASH接收指令选择指定的页；\n[0023] 步骤504：读取整页的数据。\n[0024] 将读取后的数据与事先写入的检测指纹数据进行比对，检测“检测指纹”软自毁后数据残留程度。\n[0025] 步骤六：硬自毁控制功能验证。由于硬自毁具有破坏性和不可恢复性，故采用模拟验证法。断开SATA接口，在继电器阵列输出端，接入与继电器数目相同的等效阻性负载，通过A/D转换机数据采集连接到示波器，如图5所示。向自毁硬盘控制器发送硬自毁信号，观测示波器波形是否轮流将高压加到相应的负载上，验证自毁控制器硬自毁控制功能。对硬自毁操作进行测试n次，计算硬自毁控制功能的可靠性。\n[0026] 步骤七：硬自毁数据残留特性检测。采用进行基于破坏性物理的失效分析，深入FLASH存储器内部晶片级检测数据不可恢复性。执行硬自毁指令，指令执行完毕后，将如图\n6所示的FLASH存储器芯片逐片拆下，然后清除FLASH芯片管脚的焊锡。之后，进行基于破坏性物理的失效分析，流程图如图7。具体要点是：\n[0027] 步骤701：用3～10倍显微镜对芯片进行外观检查，有无裂纹、分层、夹杂物等，观察FLASH存储器外表损坏程度。\n[0028] 步骤702：对FLASH存储器内数据进行阻抗特性测试，测量每个管脚对电源和地的阻抗特性并与良片进行对比分析，因为芯片损毁时，阻抗将发生较大改变。初步确定内部烧毁部位。\n[0029] 步骤703：对器件开封，通过显微镜内部目检，观察记录存储器件引脚与芯片间连线和键合丝的状态，与正常芯片内部形貌进行比对，初步评估自毁对这些结构的破坏性。\n[0030] 步骤704：利用扫描电镜进行材料成份分析，与正常存储器芯片数据特征流材料对比，验证芯片中的数据残留性。用500倍以上的显微镜进行切片金相分析，观察记录器件内部晶片损毁后的形貌，与正常晶片的内部形貌进行比对。\n[0031] 步骤705：芯片内部晶片数据存储单元逻辑损坏程度分析，通过C-V测量、除去钝化层、除去氧化层等显微分析，验证芯片中的数据残留不能被晶片级反向工程恢复。\n[0032] 最后得出存储器数据残留特性验证结果。\n[0033] 3)优点及功效：\n[0034] 本发明可以从功能和数据的残留程度两个方面实现对固态自毁硬盘功能验证验证。该验证方法执行容易，检测效果好。具体可以实现如下功效：\n[0035] (1)验证自毁控制器是否能可靠地向固态硬盘中FLASH给出自毁能量，自毁能量是否适当；\n[0036] (2)验证执行软自毁指令后写入的特征数据流残留程度。\n[0037] (3)采用破坏性物理分析和失效分析技术验证硬自毁后n片FLASH器件电测特性及器件内的数据存储单元是否损坏到无法进行物理恢复的程度。\n附图说明\n[0038] 图1基于闪存的固态自毁硬盘组成示意图\n[0039] 图2本发明的验证方法总体方案流程框图\n[0040] 图3检测指纹数据结构示意图\n[0041] 图4a“检测指纹”数据写入示意图\n[0042] 图4b“检测指纹”恢复程度读取示意图\n[0043] 图5固态自毁硬盘硬自毁模拟负载示意图\n[0044] 图6固态硬盘中的NAND FLASH芯片示意图\n[0045] 图7基于破坏性物理的FLASH失效分析流程图\n具体实施方式\n[0046] 见图2，本发明一种固态自毁硬盘功能验证及数据残留检测方法，以SUMSUNG公司的16片NAND FLASH(K9GAG08U0M)为核心组成固态自毁硬盘为例，该方法具体步骤如下：\n[0047] 步骤一：分析固态自毁硬盘功能及结构，包括SATA接口固态硬盘、自毁控制器软硬自毁指令结构、固态硬盘结构及存储器读写方式，确定自毁控制器在软自毁指示下，通过CPLD向SATA接口发送自毁指令对固态硬盘进行数据擦除，硬自毁指示下，通过CPLD将升压电路的高压通过16路继电器阵列轮流将FLASH存储器销毁。确定FLASH存储器为SUMUNG公司的16片NAND FLASH K9GAG08U0M、升压电路输出的高压为24V。\n[0048] 步骤二：写入特征“检测指纹”。在软自毁前，通过IO写操作指令先向SSD中写入一种具有特定结构的可识别数据的“检测指纹”，由于不同的固态硬盘，其内部闪存芯片的数据分配和储存的方式不相同，有些固态硬盘将连续字节储存在不同的芯片中(例如，将奇数字节和偶数字节数据储存在不同芯片)，另一些固态硬盘在首先反转数据再将其写入，故采用具有“检测指纹”特点的结构，其作用类似于真实的指纹，用于证明数据的存在性。“检测指纹”由具有特定模式的数字串列构成，有一定规律性。由于每片K9GAG08U0M有8192个块，每个块有128个页，每页有(4K+128)个字节，以页为单位写入，故定义每个“检测指纹”的长度有128个字节组成，分别是页首标记(8个字节)、相接数据字段#(8个字节)、逻辑块地址字段(4个字节)、重复数据字段#(48个字节)、校验各字段(8个字节)、引导字段(8个字节)、位组合字段(44个字节)，在每页中重复写32次，写满“检测指纹”，这样“检测指纹”便于确定、重建以及统计，以确定FLASH芯片中残存数据率，“检测指纹”中还包含一个\n128字节识别码，利用这个识别码以区别不同的“检测指纹”集合，以页重复写入的“检测指纹”都将会有相同的识别码，数据结构见图3。参照图4(a)，IO写操作指令包括以下步骤：\n[0049] 步骤201：通过指令向FLASH控制器发送写指令：write 80h\n[0050] 步骤202：FLASH控制器接收写命令：write address1；\n[0051] 步骤203：将指令传递到NAND FLASH各个区块：write address2；\n[0052] 步骤204：根据写指令将“检测指纹”重复写到指定的页：write data(128byte)；\nwrite 10h；\n[0053] 步骤205：将“检测指纹”数据(页)及识别码写到指定的块、区：read padding data；repeat。\n[0054] 步骤三：软自毁控制功能验证。执行软自毁指令后，拔下固态硬盘，插入到带有SATA接口的PC机，进行直接数据读取，检测硬盘数据是否为空。如为空，则证明自毁控制器软自毁功能正常，否则软自毁功能失效。自毁控制器工作时有两种状态：成功与失败，故符合“伯努力试验”，假定伯努力试验为n次，在这n次试验中成功次数为k，则伯努力试验成功概率，即自毁控制器成功执行任务的可靠度：p＝k/n。根据需求进行n次重复操作，计算软自毁功能的可靠性是否符合要求。\n[0055] 步骤四：软自毁后“检测指纹”数据恢复。通过信息重组算法编程从SATA接口对SSD的FLASH存储数据进行恢复，恢复“检测指纹”数据，也可采用专门针对固态硬盘的PC3000-FOR-FLASH(V5.0)等专业数据恢复软件进行“检测指纹”的数据还原。\n[0056] 步骤五：检测软自毁后数据残留特性。通过IO读操作指令，向FLASH控制器发送读值令，FLASH控制器接收读命令并将指令传递到NAND FLASH各个区、块到页，读取整页的数据。流程如图4(b)。\n[0057] 步骤501：通过指令向FLASH控制器发读命令；\n[0058] 步骤502：FLASH控制器接收读命令，并将指令传递到NAND FLASH各个区块；\n[0059] 步骤503：FLASH接收指令选择指定的页；\n[0060] 步骤504：读取整页的数据。\n[0061] 将读取后的数据与事先写入的检测指纹数据进行比对，检测“检测指纹”软自毁后数据残留程度。\n[0062] 对于K9GAG08U0M，要点包括：\n[0063] (1)向FLASH控制器发读命令：write 00h；\n[0064] (2)寻址：write address。\n[0065] 寻址包括块地址、页地址及位地址，由于地址和命令只能在I/O[7:0]上传递，可操作如下：\n[0066] (a)传递位地址，即NAND_ADDR[7:0]；\n[0067] (b)将NAND_ADDR右移9位，将NAND_ADDR[16:9]传到I/O[7:0]上\n[0068] (c)将NAND_ADDR[24:17]放到I/O上\n[0069] (3)指令选择指定的页：write 30h。\n[0070] (4)进行读相应操作：read data。\n[0071] 例用C语言：\n[0072] for(i＝column_addr；i＜4096；i++)\n[0073] {\n[0074] *buf++＝NF_RDDATA()；\n[0075] }\n[0076] 将读取后的数据与事先写入的检测指纹数据进行比对，检测数据不可恢复的程度。\n[0077] 步骤六：硬自毁控制功能验证。由于硬自毁具有破坏性和不可恢复性，故采用模拟验证法。断开SATA接口，在继电器阵列输出端，接入与继电器数目相同的等效阻性负载，通过A/D转换机数据采集连接到示波器，如图5所示。向自毁硬盘控制器发送硬自毁信号，观测示波器波形是否轮流将高压加到相应的负载上，验证自毁控制器硬自毁控制功能。对硬自毁操作进行测试n次，计算硬自毁控制功能的可靠性。如进行硬自毁1000次，成功999次，则自毁控制器硬自毁功能可靠度为0.999。\n[0078] 步骤七：硬自毁数据残留特性检测。进行基于破坏性物理的失效分析，深入FLASH存储器内部晶片级检测数据不可恢复性。执行硬自毁指令，指令执行完毕后，将如图6所示的FLASH存储器芯片逐片拆下，可一边用尖口钳轻轻夹住FLASH芯片，一边用吹风枪将芯片轻轻吹下，然后清除FLASH芯片管脚的焊锡。之后，进行基于破坏性物理的失效分析，流程图见图7。，主要过程是：\n[0079] 步骤701：用3～10倍显微镜对K9GAG08U0M芯片进行外观检查，有无裂纹、分层、夹杂物等，观察FLASH存储器外表损坏程度，必要时进行X光检查确定。\n[0080] 步骤702：对FLASH存储器内数据进行阻抗特性测试，测量每个管脚对电源和地的阻抗特性进行并与良片对比分析，因为芯片损毁时，阻抗将发生较大改变。初步确定内部烧毁部位。\n[0081] 步骤703：对器件开封，通过显微镜内部目检，观察记录存储器件引脚与芯片间连线和键合丝的状态，与正常芯片内部形貌进行比对，观察器件损毁形貌，初步评估自毁对这些结构的破坏性。\n[0082] 步骤704：利用扫描电镜进行材料成份分析，与正常存储器芯片数据特征流材料对比，验证芯片中的数据残留性。用500倍以上的显微镜进行切片金相分析，观察记录器件内部晶片损毁后的形貌，与正常晶片的内部形貌进行比对。\n[0083] 步骤705：芯片内部晶片数据存储单元逻辑损坏程度分析，通过C-V测量、除去钝化层、除去氧化层等显微分析，验证芯片中的数据残留不能被晶片级反向工程恢复。\n[0084] 最后得出存储器数据残留特性检测结果，验证芯片内部晶片的数据存储单元是否已被高压电彻底销毁，无法利用多层探测等芯片级反向工程恢复。