西安航空计算技术研究所 王志强 刘 陶 左清清

江西洪都航空工业集团有限责任公司 黄子露

在航空机载领域，飞行任务系统中存在大量的关键性数据，这些数据一旦被敌方截获，会对战场态势产生重大影响。针对复杂战场态势下机载数据安全的需求，本文以电子对抗告警分机为例，通过对毁钥电路采用硬件损毁的方式对FLASH芯片进行毁伤，并对毁伤结果进行分析，评估毁钥技术的效果，从根本上消除数据恢复条件，防止数据被截获。

在航空机载领域，飞行任务系统中存在各种关键数据。为保证数据的安全性，在某一些特殊情况下，需要将保密信息、涉密工作参数等关键信息进行擦除和破坏，以免关键数据信被敌方截获。

本文针对某型电子对抗告警分机关键数据安全需求，采用硬件损毁方式对存储载体进行物理销毁，通过对毁伤结果的分析，验证毁钥电路可以从根本上消除数据恢复条件，防止数据泄露。

1 毁钥电路

告警计算机内存在关键的涉密信息，在特殊情况下，需要对存储体中的保密信息进行毁钥，存储体采用FLASH进行关键信息的存储，因此毁钥对象为LASH及其存储信息。毁钥电路做法是将28V接入FLASH的供电管脚，进行物理销毁。系统毁钥的具体实现电路见图1。

图1 毁钥电路图

当系统毁钥信号“浮空”时，继电器管脚2连接4，6连接8，正向输出3.3V电源给FLASH_VCC并提供GND地回路，FLASH正常工作；当系统毁钥信号“有效”时，系统毁钥信号同时进入告警计算机处理器模块内部和延时继电器。其中模块识别毁钥信号后触发最高级中断，中断程序完成对FLASH芯片的“写0”覆盖；毁钥信号进入延时进电器后，延迟特定时间（“写0”覆盖时间+时间余量），待FLASH完成数据覆盖后，管脚2连接8，7连接1，继电器管脚2连接5，6连接1，输出+28V及28VGND信号，烧毁FLASH。

图2 Flash存储器代码

图3 芯片43端口金相形貌

2 毁伤分析

毁钥试验完成后，在常温条件下，告警计算机加电后通过超终端窗口未观察到任何打印信息，告警计算机没有启动工作。正常情况下，告警计算机启动后运行自检测试（PUBIT），并通过串口输出测试结果。自检测试等程序代码（应用程序、密钥等）位于Flash存储器中。通过仿真器连接CPU模块，观察Flash存储器中的代码。图2为引导Flash存储器代码区域的截图。通过图2可以看到，Flash存储器中代码均为0，说明Flash存储器区域无法读取有效的代码。

为了更进一步分析Flash存储器内部的毁伤情况，将存储芯片进行失效分析。分析过程包括外观检查、I-V特性测试、X光检查、开封检查等项目。Flash存储器芯片表面标识清晰无异常。I-V特性测试发现电源地之间存在短路或异常漏电。X光检查发现43端口（43端口对应信号为VCC）键合丝均存在过流烧毁现象。在金相显微镜下对芯片表面进行观察，发现Flash存储器芯片43端口及键合丝（43端口对应信号为VCC）均存在过电流烧毁痕迹，其余部位无电损伤痕迹。43端口电路烧毁典型金相形貌如图3所示。

3 毁钥评估

当告警分机进行毁钥操作后，FLASH存储器已无法访问，FLASH内部端口及键合丝过流烧毁，存储器失效。因此，实施毁钥后的Flash存储器芯片，存储功能失效，不能读取数据。根据硬件设计，毁钥电压仅与Flash存储器芯片电压输入端相连，因此仅对Flash存储器芯片有毁伤功能，对其它功能电路无毁伤效果，不影响其它硬件电路功能。

结束语：该分机通过毁钥电路采用硬件损毁的方式对FLASH芯片进行毁伤，通过对毁伤结果进行分析，评估了毁钥技术的效果，可以从根本上消除数据恢复条件，防止数据被截获，并满足复杂战场态势下机载数据安全的需求。