修改bio完成加解密文件系统

最新推荐文章于 2024-07-15 11:31:12 发布
最新推荐文章于 2024-07-15 11:31:12 发布
阅读量728 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faxiang1230/article/details/91891496
版权

修改bio完成加解密文件系统

背景

bio是block io,它是一个描述硬盘里面的位置与page cache的页对应关系的数据结构,每个bio对应的是硬盘里面一块或多块连续的位置,每一块硬盘里面连续的位置,可能对应着page cache的多页或者一页,bio中bio_vec *bi_io_vec的表保存着内存和硬盘位置的关系。
而每个bio_vec都只能描述一个页内数据的连续的数据的偏移和长度,当一次IO长度大于一页的时候需要一个数组来表示他们的关系:

images通过bv_offset和bv_len来描述硬盘中起始位置和长度。

一个bio的处理:一个bio通常通过submit_bio来提交给设备队列,下面会经过bio聚合,转化成request,磁盘调度队列,块设备驱动,磁盘处理;对于bio来说大部分都是异步,这样提交完bio请求之后CPU就可以去完成其他工作,在bio完成后通过bio->bi_end_io来作为callback获取结果,外部的接口使用bio_endio。同步方式的读写请求是通过等待callback事件到来从而完成同步读写。

实践操作bio进行加解密

下面通过对块设备数据加解密来实践一下bio的操作,磁盘中保存的数据是密文,但是page cache中保存的数据时明文,对于文件系统来说是透明的,通过这样hook bio的操作实际上就完成了一次软加解密,和ecryptfs比较相似完成一个简单的加密文件系统,这里加密算法选用最简单的sm4(ecb)加解密。

设计

submit_bio是发起读写IO的起点,也是bio和request层的临界点,非常适合来进行做一些小动作,所以通过hook submit_bio来进行写加密,保证提交给下面的数据是经过加密的就好了。而对于读IO可以通过在IO完成之后通知给文件系统之前进行解密,可以hook bio_endio来进行数据解密,确保page cache上的数据是经过解密后的明文。

写加密

bio只是管理的数据结构,数据仍然是存放在page cache中的,最终的结果要求是page cache中的内容仍然是明文,提交给磁盘的数据是密文。写的内容是保存在page cache中的,我们不能直接修改它否则page cache中的内容就变成密文了,一块数据是搞不定这件事了,我们需要重新clone一个bio,也就是申请一块内存来存放密文数据,将clone后的bio提交给通用块设备。

long origin_submit_bio(int rw, struct bio *bio);
void hook_submit_bio(int rw, struct bio *bio)		//hook submit_bio,先完成加密操作然后将加密后的bio提交给block层
{
    ret = try_crypt_bio(rw, bio);		//克隆bio并对其中的内容进行加密
    if (ret != 0) {
        origin_submit_bio(rw, bio);    //对于不需要进行加密的bio通过原路径提交给block
    }
    return;
}
int bfx_bio_alloc_pages(struct bio *bio, gfp_t gfp)
{
    int i;
    struct bio_vec *bv;

    bio_for_each_segment(bv, bio, i) {
        bv->bv_page = alloc_page(gfp);
        if (!bv->bv_page) {
            while (bv-- != bio->bi_io_vec + bio->bi_idx)
                __free_page(bv->bv_page);
            return -ENOMEM;
        }
    }

    return 0;
}

void bfx_crypt_callback(struct bio *bio, int error)
{
    unsigned int i;
    struct bio_vec *bv;
    struct bio *origin = (struct bio *)bio->bi_private;

    bio_for_each_segment_all(bv, bio, i) {
        BUG_ON(!bv->bv_page);
        __free_page(bv->bv_page);
        bv->bv_page = NULL;
    }

    bio_endio(origin, error);

    bio_put(bio);
}
struct bio* bfx_bio_clone(struct bio *origin)
{
    struct bio *new = NULL;
    new = bio_clone(origin, GFP_NOIO);
    if (!new)
        return NULL;
    if (bfx_bio_alloc_pages(new, GFP_NOIO)) {
        bio_put(new);
        return NULL;
    }
    new->bi_private = origin;				//利用bi_private成员引用原始的bio
    new->bi_end_io = bfx_crypt_callback;	//新的clone bio操作完成后通知原始的bio
    return new;
}
int try_crypt_bio(int rw, struct bio *bio)
{
    sm4_key_t key;
    int i, j;                                                                                                                                  
    char buffer[SM4_BLOCK_SIZE * 2 + 1];
    struct bio_vec *bv;
    struct bio *new;

    if (!(rw & WRITE)) {
        return -1;
    }

    new = bfx_bio_clone(bio);
    if (!new) {
        return -ENOMEM;
    }
    new->bi_rw |= rw;
    bio->bi_rw |= rw;

    sm4_set_key1(&key, mykey, 16);

    bio_for_each_segment(bv, bio, i) {	//遍历bio对其内容进行原地加密操作
        void *p1 = kmap(bv->bv_page);
        void *p2 = kmap(new->bi_io_vec[i].bv_page);
        /* Encrypt your bio data */
        for (j = bv->bv_offset; j < bv->bv_offset + bv->bv_len; j+= SM4_BLOCK_SIZE) {
            sm4_do_crypt(key.rkey_enc, (u32 *)(p2 + j), (u32 *)(p1 + j));
        }
        kunmap(bv->bv_page);
        kunmap(new->bi_io_vec[i].bv_page);
    }
    generic_make_request(new);	//将新的bio而不是原始的bio提交给block层
    return 0;
}

读解密

相对于写操作,读IO就比较简单了,从磁盘中读取到了密文数据到page cache中,我们只需要在文件系统看到这块page cache前解密好,不需要倒腾内存,只需要原地解密,这里我们利用bio完成之后的callback,在其中进行原地解密之后再通知原始的bio。

遍历bio指向的内存数据:

void origin_bio_endio(struct bio *bio, int error);
void hook_bio_endio(struct bio *bio, int error)	//hook正常的bio callbak:bio_endio
{
    try_decrypt_bio(bio, error);	//将读bio中的内容原地解密
    origin_bio_endio(bio, error);   	//不需要加密的bio通过正常路径通知完成                                                                                                        
    return;
}
void try_decrypt_bio(struct bio *bio, int error)
{
    sm4_key_t key;
    int i, j;
    char buffer[SM4_BLOCK_SIZE];
    char *ptr = NULL;
    unsigned long flags;
    struct bio_vec *bv;

    if (bio_data_dir(bio) == WRITE)
        return;

    sm4_set_key1(&key, mykey, 16);

    bio_for_each_segment(bv, bio, i) {
        ptr = bvec_kmap_irq(bv, &flags);
        for (j = 0; j < bv->bv_len; j+= SM4_BLOCK_SIZE) {
            /* Decrypt ptr pointer buffer */
            sm4_do_crypt(key.rkey_dec, (u32 *)buffer, (u32 *)(ptr + j));
            memcpy(ptr + j, buffer, SM4_BLOCK_SIZE);
        }
        bvec_kunmap_irq(ptr, &flags);
    }   
}

上面只是一个简单的加解密文件系统,存在着诸多缺点。这时候加解密完全使用cpu来进行,速度肯定比较慢,最终的结果就是IO发送给磁盘的速度下降,瓶颈是在cpu这,可以考虑加个专用的片子进行加解密操作。另一个因为加解密操作和原来的bio流程是串行的,一条流水线多加了一段肯定会多耗一点实践,这时候可以考虑异步的加解密,也就是将加解密操作放在一个专用线程中,先将bio缓存下来慢慢加解密,另外用户对于读速度比较敏感,可以让读操作串行,写操作放在后台线程慢慢整吧。

参考

https://lwn.net/Articles/26404/
www.eeworld.com.cn/mp/ymc/a52704.jspx
drivers/md/dm-crypt.c

Frank-Wang
关注
专栏目录
【QT开发教程】Qt中的数据加密与解密
科技改变人类,技术成就未来
08-16 381
在现代应用程序中,数据加密与解密是保护敏感信息的重要手段。Qt本身并不直接提供数据加密与解密的支持,但可以使用第三方库,如OpenSSL或Crypto++,来实现这一功能。本文将介绍如何在Qt中使用OpenSSL进行数据加密与解密,包括基本概念、使用方法以及一些实际的示例。
小白都看懂了系列之jffs2文件系统制作与移植
LYX_WIN
07-23 5815
jffs2文件系统制做与移植   JFFS文件系统最早是由瑞典Axis Communications公司基于Linux2.0的内核为嵌入式系统开发的文件系统。JFFS2(Journalling Flash FileSystem v2,日志闪存文件系统版本2 )是RedHat公司基于JFFS开发的闪存文件系统,最初是针对RedHat公司的嵌入式产品eCos开发的嵌入式文件系统,所JFFS2
利用openssl库实现BIO加密
qq_22743617的博客
11-26 949
最近在工作之余,研究了下openssl的代码,想尝试着写一篇如何利用openssl中的crypto实现数据的加密;后期再更新通过加密算法加密TCP数据,也是希望可以在工作可以用到; 以下就是源代码,其实在编写这个代码的时候也发现了 一个openssl库中的一个接口的问题,但是已经被修复了。 在openssl-1.0.2l中的static long enc_ctrl(BIO *b, int cmd
Linux read系统调用之 submit_bio()
嘉明的博客
08-07 3830
1 submit_bio() 接上一篇文章,mpage_bio_submit() 函数最终调用 submit_bio(),将 bio 请求提交到 generic block layer。 void submit_bio(int rw, struct bio *bio) { bio->bi_rw |= rw; /* * If it's a regular read/write or ...
linux内核钩子函数实现监测块设备读写事件
最新发布
jiujiederoushan的博客
07-15 285
linux块设备读写监控
generic_make_request函数处理bio流程分析
biaotai的博客
09-13 1526
generic_make_request 函数注释 /** generic_make_request - re-submit a bio to the block device layer for I/O @bio: The bio describing the location in memory and on the device. This is a version of submit_bio() that shall only be used for I/O that is re
加密方式之SM4
热门推荐
sinat_38259539的博客
06-04 1万+
JS代码 /** * @author mc * @company * @date 2019-05 * */ (function(r){if(typeof exports==="object"&&typeof module!=="undefined"){module.exports=r()}else{if(typeof define=== "function"&a...
使用vim+gtags阅读内核源码
PaulForReading的博客
04-12 2092
这个功能就是gtags-cscope的Find this global definitionIT行业,技术更新换代快,人们都喜欢追求最新的技术,对老技术和产品多少有些轻视。这一点在编辑器中也是这样,cscope、gtags这些以tag为基础的产品,由于不是真的懂得C代码,在现在的编程环境中,已经比不上lsp了。但是,在C代码阅读的场景中,特别是内核源码阅读的场景中,这些技术还是有一席用武之地,在历史的长河中继续发光发热。
openssl加密解密
oooo2316的博客
03-01 6358
openssl加密解密 常用加密方式 对称加密:发送方和接受方使用同样的一把私钥,私钥用于加密和解密 非对称加密:有一把公钥,有一把私钥,使用公钥加密,只能使用私钥进行解密 但非对称加密比对称加密慢,有时会慢一两个数量级,所以常用方式是: 使用使用对称加密对非对称加密的公私钥进行加密 1. 什么是OpenSSL OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装...
C++ 使用openssl实现RSA加解密
hallyz的博客
06-13 2312
openssl 自行编译,可参考网上教程 RSA私钥解密算法证明 youxingq
使用OpenSSL1.1.1中的libcrypto库进行RSA加密与解密数据
Ninsun的博客
11-05 2909
废话不多说, 直接说怎么写代码 编译的时候如何包含库文件这种事情就不说了. 第一步, 包含头文件. #include <openssl/rsa.h> // 既然是RSA加密该头文件肯定是需要的 #include <openssl/bn.h> // 这个头文件用于RSA的公钥私钥生成中, 生成大数用的 #include <openssl/pem.h> // 这个是用于将公钥私钥保存成pem文件用的 // 其它所需的头文件会被上述三个头文件自动包含, 比如bio.h 第二
【Linux驱动】块设备驱动(三)—— 块设备读写(不使用请求队列)
challenglistic的博客
02-08 1047
【Linux驱动】块设备驱动(三)—— 块设备读写(不使用请求队列)
块设备驱动
jiuweideqixu的博客
02-03 1746
注册块IO设备 为了注册块IO设备,register_blkdev()被使用。取消注册时使用unregister_blkdev()方法。自从4.9版本的内核开始,对register_blkdev()的调用是可选的。 下面是一个典型的场景。 #include <linux/fs.h> #define MY_BLOCK_MAJOR 240 #define MY_BLK...
BLOCK层代码分析(4)IO下发之BIO的切分和合并
flyingnosky的专栏
11-17 3387
之前计划先将bounce过程,但bounce过程涉及bio的切分,因此本节将bio的操作:切分和合并。前面对bio的组织和分配做了基本的介绍,bio的切分是将一个bio分成两个bio,而合并准确来说是将bio与IO请求request进行合并。 1. IO请求request和bio的关系 下图反应了request和bio之间的关系。request是由在硬盘位置连续的bio链接起来的。图中request中有3个bio,每个分别指向硬盘中一段数据。只有硬盘上相邻的bio才可以合...
biobio_vec
LDD施工队
12-25 6374
通用块层的核心数据结构称为bio描述符,它描述了块设备的io操作。每一个bio结构都包含一个磁盘存储区标识符(存储区中的起始扇区号和扇区数目)和一个或多个描述与IO操作相关的内存区段(bio_vec数组)
块层介绍 第一篇: bio
weixin_34198453的博客
01-29 482
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux文件系统(四) - 从文件系统到块设备/从page cache到bio, request, request_queue
luckywang1103的专栏
07-20 4759
回写线程一步步会把page cache变成bio,然后bio组织成request,最终request链接到resquest queue中,供块设备层使用。 上一节中do_writepages通过a_ops->writepages会调用不同文件系统中在struct address_space_operations中实现的writepage函数来将page cache写到磁盘,在fat文件系统中这个结
opensslBIO系列之2---BIO结构和BIO相关文件介绍
内网安全与OpenSSL专栏
12-23 3558
BIO结构和BIO相关文件介绍    (作者:DragonKing Mail:wzhah@263.net 发布于:http://gdwzh.126.com openssl专业论坛)        BIO的结构定义和相关项解析如下:    (包含在bio.h文件中,其主文件为bio_lib.c)    typedef struct bio_st BIO;        struct bio_st  
Java BIO与NIO文件操作对比详解及代码实例
BIO中,当进行I/O操作时,如读取文件,线程会被阻塞,直到操作完成。例如,如果有一个线程正在读取文件,那么它将一直等待直到文件数据完全读取完毕。这就导致了线程在等待期间的空闲,降低了系统的并发性能。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值