android AVB2.0(五)Device Mapper和Dm verity详解

已于 2022-07-01 17:10:37 修改
阅读量7.3k 收藏 24
点赞数 7
分类专栏: AVB专栏 文章标签: android Device Mapper Dm verity
于 2021-12-23 20:41:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackone12347/article/details/122115691
版权

文章目录

一、Device Mapper

1. Device Mapper概述

Device mapper是LINUX提供的一种逻辑设备到物理设备的映射框架,中间传递消息的是用户自定义的target driver插件,用户可以编写好具体的IO请求的target driver就行,用户层可以使用ioctl命令的方式向底层进行通讯。
target driver主要定义对IO请求的处理规则,在device mapper中对target driver的操作已定义好了统一的接口,可实现几个常见的方法就行。同时device mapper提供了一种底层消息上报的机制,通过target driver将事件消息传递到用户空间。

在android的init启动的第一阶段中主要调用了InitDeviceMapper函数,来进行device mapper的初始化

原创不易,转载请注明出处 https://blog.csdn.net/jackone12347/article/details/122115691

2. Device Mapper的使用

在android的init启动的第一阶段中主要调用了InitDeviceMapper函数,来进行device mapper的初始化。
分析一下代码@block_dev_initializer.cpp

bool FirstStageMount::InitRequiredDevices(std::set<std::string> devices) {
    if (!block_dev_init_.InitDeviceMapper()) {
        return false;
    }
    if (devices.empty()) {
        return true;
    }
    return block_dev_init_.InitDevices(std::move(devices));
}


bool BlockDevInitializer::InitDeviceMapper() {
    const std::string dm_path = "/devices/virtual/misc/device-mapper";
    bool found = false;
    auto dm_callback = [this, &dm_path, &found](const Uevent& uevent) {
        if (uevent.path == dm_path) {
            device_handler_->HandleUevent(uevent);
            found = true;
            return ListenerAction::kStop;
        }
        return ListenerAction::kContinue;
    };
    uevent_listener_.RegenerateUeventsForPath("/sys" + dm_path, dm_callback);
    if (!found) {
        Timer t;
        uevent_listener_.Poll(dm_callback, 10s);
    }
    if (!found) {
         return false;
    }
    return true;
}

调用InitDmDevice函数初始化Device mapper 设备。通过代码分析来看,直观的功能是通过uevent上报的节点,在其中去查找dtsi中配置的各个分区;

如果找到了就从device集合中删除,添加个10秒的等待,如果10秒内都找不到这个分区,说明此分区可能没有挂载到文件系统,或者配置出错。

bool BlockDevInitializer::InitDmDevice(const std::string& device) {
auto uevent_callback = [&device_name, &device, this, &found](const Uevent& uevent) {
        if (uevent.device_name == device_name) {
device_handler_->HandleUevent(uevent);
            found = true;
            return ListenerAction::kStop;
        }
        return ListenerAction::kContinue;
    };
uevent_listener_.RegenerateUeventsForPath(syspath, uevent_callback);
    if (!found) {
Timer t;
        uevent_listener_.Poll(uevent_callback, 10s);
    }return true;
}

ListenerAction BlockDevInitializer::HandleUevent(const Uevent& uevent,
                                                 std::set<std::string>* devices) {
    auto name = uevent.partition_name;
    if (name.empty()) {
        size_t base_idx = uevent.path.rfind('/');
        if (base_idx == std::string::npos) {
            return ListenerAction::kContinue;
        }
        name = uevent.path.substr(base_idx + 1);
    }
    auto iter = devices->find(name);
    if (iter == devices->end()) {
        return ListenerAction::kContinue;
    }
    devices->erase(iter);
    device_handler_->HandleUevent(uevent);
    return devices->empty() ? ListenerAction::kStop :     ListenerAction::kContinue;
}

二、Dm Verity

1. Dm Verity验证思想

上层应用通过文件系统读取某个block时,调用dm-verity读取对应的block,
dm-verity会根据verity-table调用block_device读取对应的block,然后逐层计算到根block,
计算得到root-hash和kernel中保存的root hash进行对比,hash值进行比较,如果相等,则说明该块没有被修改过,一切正常。

2. Hashtree脚本处理

2.1 镜像编译

编译system.img时调用了build_image.py脚本

define build-systemimage-target
  @echo "Target system fs image: $(1)"
  $(call generate-userimage-prop-dictionary,   $(systemimage_intermediates)/system_image_info.txt, \
      skip_fsck=true)
  $(hide) PATH=$(foreach p,$(INTERNAL_USERIMAGES_BINARY_PATHS),$(p):)$$PATH \
      build/make/tools/releasetools/build_image.py \
      $(TARGET_OUT) $(systemimage_intermediates)/system_image_info.txt $(1) $(TARGET_OUT) \

2.2 创建verity tree

/build/tools/releasetools/build_image.py中,调用build_verity_tree程序

def BuildImage(in_dir, prop_dict, out_file, target_out=None):
if verity_supported and is_verity_partition:
    if not MakeVerityEnabledImage(out_file, verity_fec_supported, prop_dict):
      return False
 
def MakeVerityEnabledImage(out_file, fec_supported, prop_dict):
   # build the verity tree and get the root hash and salt
  if not BuildVerityTree(out_file, verity_image_path, prop_dict):
    return False
 def BuildVerityTree(sparse_image_path, verity_image_path, prop_dict):
  cmd = ["build_verity_tree", "-A", FIXED_SALT, sparse_image_path,
         verity_image_path]
  output, exit_code = RunCommand(cmd)
  if exit_code != 0:
    print("Could not build verity tree! Error: %s" % output)
    return False
  root, salt = output.split()
  prop_dict["verity_root_hash"] = root
  prop_dict["verity_salt"] = salt
  return True

调用到system\extras\verity\build_verity_tree.cpp,
过程包括:
根据block_size大小和hash_size大小,计算得到一个block可以存放的hash个数从level 0开始,计算需要多少个level;
创建数组verity_tree_levels, 用于指示每一个level在verity_tree中的起始地址;
创建数组verity_tree_level_blocks, 用于指示每一个level在verity_tree中的长度;
计算ext4 image中各个块的hash值存到verity_tree的level0,然后逐层往上计算各层的hash值,并填入verity_tree中相应的level。
在这里插入图片描述

2.3 创建metadata

def build_verity_metadata(data_blocks, metadata_image, root_hash, salt,
        block_device, signer_path, signing_key, signer_args=None,
        verity_disable=False):
    # build the verity table
    verity_table = build_verity_table(block_device, data_blocks, root_hash, salt)
    # build the verity table signature
    signature = sign_verity_table(verity_table, signer_path, signing_key, signer_args)
    # build the metadata block
    metadata_block = build_metadata_block(verity_table, signature, verity_disable)
    # write it to the outfile
    with open(metadata_image, "wb") as f:
        f.write(metadata_block)

build_verity_table函数中,第一个参数block_device描述了dm-verity设备对应了那个底层的block,第二个参数block_device指定了hash-tree存在于哪个block设备上,
BLOCK_SIZE参数为默认的4k, data_blocks描述了有多少个block,data_blocks + (METADATA_SIZE / BLOCK_SIZE)表示hash-tree在对应block设备上的偏移位置,
最后可找到hash-tree,root_hash为hash-tree的根hash。
另外,verity table是存在分区中的super block(超级块)之后的位置,便于找到校验的位置。

def build_verity_table(block_device, data_blocks, root_hash, salt):
    table = "1 %s %s %s %s %s %s sha256 %s %s"
    table %= (  block_device,
                block_device,
                BLOCK_SIZE,
                BLOCK_SIZE,
                data_blocks,
                data_blocks,
                root_hash,
                salt)
    return table

3. Dm verity设备的创建

3.1 SetUpDmVerity函数

调用的入口在Init的第一阶段的SetUpDmVerity函数。

Fstab::iterator end;
if (!MountPartition(current, false /* erase_same_mounts */, &end)) {}
 
bool FirstStageMount::MountPartition(const Fstab::iterator& begin, bool erase_same_mounts,
Fstab::iterator* end) {if (!SetUpDmVerity(&(*begin))) {
        PLOG(ERROR) << "Failed to setup verity for '" << begin->mount_point << "'";
        return false;
    }
}
else if (fstab_entry->fs_mgr_flags.avb) {
        //InitAvbHandle完成此分区的AVB验证
        if (!InitAvbHandle()) return false;
 
#然后执行创建hash tree table并建立与driver侧的ioctl交互连接。
        hashtree_result =
                avb_handle_->SetUpAvbHashtree(fstab_entry, false /* wait_for_verity_dev */);

相关代码在:system\core\fs_mgr\libfs_avb\ avb_util.cpp

bool HashtreeDmVeritySetup(FstabEntry* fstab_entry, const 	    	FsAvbHashtreeDescriptor& hashtree_desc,
                           bool wait_for_verity_dev) {
    android::dm::DmTable table;
    if (!ConstructVerityTable(hashtree_desc, fstab_entry->blk_device, &table) || !table.valid()) {
        LERROR << "Failed to construct verity table.";
        return false;
    }
    table.set_readonly(true);if (!dm.CreateDevice(device_name, table, &dev_path, timeout)) {
        LERROR << "Couldn't create verity device!";
        return false;
    }

3.2 hash table处理

Hash table传入的格式如下,中间做了序列号处理,其实就是一串长值拼成的字串。
调用的入口在Init的第一阶段的SetUpDmVerity函数。

android::dm::DmTargetVerity target(
            0, hashtree_desc.image_size / 512, hashtree_desc.dm_verity_version, blk_device,
            blk_device, hashtree_desc.data_block_size, hashtree_desc.hash_block_size,
            hashtree_desc.image_size / hashtree_desc.data_block_size,
            hashtree_desc.tree_offset / hashtree_desc.hash_block_size, hash_algorithm.str(),
            hashtree_desc.root_digest, hashtree_desc.salt);

CreateDevice函数里面有三个函数,分别实现了上述的几个ioctl命令,把拼接好的hashtable传到驱动侧。

bool DeviceMapper::CreateDevice(const std::string& name, const DmTable& table, std::string* path,
                                const std::chrono::milliseconds& timeout_ms) {
    std::string uuid = GenerateUuid();
    if (!CreateDevice(name, uuid)) {
        return false;
    }
    std::string unique_path;
    if (!LoadTableAndActivate(name, table)    || !GetDeviceUniquePath(name, &unique_path) ||
        !GetDmDevicePathByName(name, path)) {
        DeleteDevice(name);
        return false;
    }

对应的IOCTL命令

ioctl(fd_, DM_DEV_CREATE, &io)
ioctl(fd_, DM_TABLE_LOAD, io)
ioctl(fd_, DM_DEV_SUSPEND, io)

好了,以上就是Device Mapper和Dm verity的简介了,实际上的内容会更多,大家学习的过程中多多发现吧。

为方便与大家及时交流,弄了一个微信公众号,欢迎大家留言沟通~
在这里插入图片描述

楼中望月
关注
专栏目录
android avb2.0问题解答 汇总
鹅鹅鹅的博客
02-12 888
3、avbtool解析 4、avb2.0验证流程图 5、问题解答
docker 文件映射_Docker 文件存储驱动 Devicemapper
weixin_30998797的博客
01-19 847
什么是 DevicemapperDevicemapper 是 Linux 内核提供的框架,从 Linux 内核 2.6.9 版本开始引入,Devicemapper 与 AUFS 不同,AUFS 是一种文件系统,而Devicemapper 是一种映射块设备的技术框架。Devicemapper 提供了一种将物理块设备映射到虚拟块设备的机制,目前 Linux 下比较流行的 LVM (Lo...
Android Verified Boot (AVB) 与 dm-verity 之间的关系、相同点与差异点
achirandliu的专栏
06-09 1336
Android Verified Boot (AVB) 和 dm-verityAndroid 操作系统中用于确保设备启动过程和运行时数据完整性的两个重要技术。尽管它们有着不同的实现和侧重点,但它们都旨在提高系统的安全性,防止未授权的修改和恶意软件的注入。和dm-verity都是 Android 安全架构中的关键组件,共同确保设备从启动到运行时的数据完整性。尽管二者都使用了哈希树和签名验证技术,但它们在功能、实现层次和验证时机上有显著差异。
Android 中的dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 中的Verified Boot之dm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
AndroidAVB详解
最新发布
江上清风山间明月的博客
08-15 1100
Android Verified Boot (AVB) 是一种用于确保Android设备软件完整性和安全性的机制。它通过在设备启动时验证操作系统及其组件的完整性,来防止恶意软件或未经授权的软件篡改。AVB在引导过程中依次验证每个分区,确保其未被篡改。通过配置和实现AVB机制,设备制造商可以大幅提升Android设备的安全性,保护用户免受恶意软件和未经授权软件的侵害。
Linux系统内核中的DeviceMapper机制
03-02
本文结合具体代码对Linux内核中的devicemapper映射机制进行了介绍。Devicemapper是Linux2.6内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略,当前比较流行的Linux下的逻辑卷管理器如LVM2(LinuxVolumeManager2version)、EVMS(EnterpriseVolumeManagementSystem)、dmraid(DeviceMapperRaidTool)等都是基于该机制实现的。理解该机制是进一步分析、理解这些卷管理器的实现及设计的基础。通过本文也可以进一步理解Lin
Device mapper
li_jiejun的专栏
06-21 1750
Device mapper   基本概念 Device mapper是Linux内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略   基本原理及其构造     构造 整个device mapper机制由两部分组成--内核空间的device mapper驱动、用户空间的device mapp
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 2986
dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。
Device Mapper 简介
爱死亡机器人
04-15 7454
文章目录1. 简介2. 用户空间和内核空间3. Device Mapper 技术分析4. Docker 中的 Device Mapper 核心技术 1. 简介 Device Mapper 是 linux 的内核用来将块设备映射到虚拟块设备的 framework,它支持许多高级卷管理技术。docker 的 devicemapper 存储驱动程序利用此框架的自动精简配置(thin provisioning) 和快照功能来管理 docker 镜像和容器。本文将 Device Mapper 存储驱动称为 devi
Qcom android_verified_boot AVB2.0 introduction
11-30
Android Verified Boot 2.0 (AVB2.0) 是Google推出的一种安全机制,用于确保Android设备在启动过程中加载的固件是经过验证的、未被篡改的。这一技术在Qualcomm平台上得到了广泛的应用,特别是在高通骁龙(Qcom)...
Android验证启动2.0介绍文档及源码
04-30
Android验证启动2.0(Android Verified Boot 2.0,简称AVB 2.0)是Google为了增强Android设备的安全性而推出的一项技术。这项技术主要用于确保设备在启动时加载的系统映像是经过验证的,从而防止恶意软件篡改系统...
Android启动时验证(AVB
10-03
Android 启动时验证(AVB)是Android操作系统的...总的来说,Android启动时验证(AVB)是Android平台对抗恶意软件和保护用户隐私的重要工具,通过严格的签名验证和状态管理,确保了设备在启动过程中的安全性和可靠性。
device mapper机制详解
u013083918的博客
07-15 9418
转自:http://idcnews.net/html/edu/20080425/300802.html   最近实验室有几个学生在研究md的代码,我听了讲座也比较感兴趣,也准备着手读一下md,在开始读代码之前,发现在通用块层提供的一个devicemapper机制是raid能够成为raid的根源,下面的是转自上面网址的一点devicemapper的资料,让我对通用的虚拟块层有了更深的了解:    本...
Docker存储驱动devicemapper介绍和配置
DockerInfo的博客
08-29 2万+
devicemapper介绍 Device Mapper是Linux系统中基于内核的高级卷管理技术框架。Docker的devicemapper存储驱动就是基于该框架的精简置备和快照功能来实现镜像和容器的管理。 注:Device Mapper是Linux的一种技术框架,而devicemapper是Docker Engine基于Device Mapper提供的一种存储驱动。 早期的D
dmsetup--device mapper 管理工具(误删除逻辑卷lvm设备文件处理方法)
gary.guo
03-16 4971
dmsetup 命令 一、介绍 Mapped Device 是一个逻辑抽象,可以理解成为内核向外提供的逻辑设备,它通过Mapping Table描述的映射关系和Target Device建立映射。Target device表示的是Mapped Device所映射的物理空间段,对Mapped Device所表示逻辑设备来收,就是该逻辑设备映射到的一个物理设备。 Mapping Table里有 Mapped Device 逻辑的起始地址、范围、和表示在 Target Device 所在物理设备的地址偏移量以
device mapper & dm-verity
Fybon的专栏
11-02 1045
device mapper & dm-verity
文末送书啦!| Device Mapper,那些你不知道的Docker核心技术
CSDN云计算
07-09 898
戳蓝字“CSDN云计算”关注我们哦!接触Docker 比较早的同学应该知道,Docker 在最开始只能在Ubuntu和Debian等少数的Linux 发行版上运行,并且在...
android avb
07-01
### 回答1: Android AVB (Android Verified Boot) 是安卓系统中的一种安全功能,目的是确保用户设备上的操作系统和应用程序未被篡改。它使用了基于密钥的验证方法,以验证设备上的固件和启动程序的完整性和可靠性。 Android AVB的工作原理是,在设备启动时,固件和启动程序会被验证。首先,设备会检查固件和启动程序的数字签名,以确保它们是由受信任的开发者签名的。如果签名验证通过,则设备会继续启动,否则会发出警告或者拒绝启动。 除了验证签名外,Android AVB还会检查系统分区的哈希值是否与预期的哈希值匹配。这些哈希值是在设备正常运行时生成的,并被记录在一个被称为AVB表的数据结构中。如果发现系统分区的哈希值与预期的哈希值不匹配,设备将中断启动并显示一条警告信息。 通过使用Android AVB,设备能够有效防止来自未经授权的来源的操作系统和启动程序的篡改。这增加了设备的安全性,使用户能够放心使用设备,而不担心潜在的恶意软件或未经授权的更改。 总之,Android AVB是安卓系统中的一种安全功能,它通过验证数字签名和哈希值来确保设备上的操作系统和启动程序的完整性。它帮助防止未经授权的篡改,提高了设备的安全性。 ### 回答2: Android AVBAndroid Verified Boot)是安卓系统中的一种验证引导机制,它通过在设备启动过程中验证系统的完整性,防止未经授权的修改及恶意软件损害系统安全。以下是关于Android AVB的一些要点。 首先,Android AVB使用数字签名验证系统引导映像的完整性。在设备启动时,引导加载程序(Bootloader)会验证引导映像的签名,只有通过数字证书签名的映像才能被加载,这样可以确保系统引导过程没有受到非法篡改。 其次,Android AVB启用分区级别的验证,每个分区的映像都需要通过数字签名进行验证。这使得系统分区、供应商分区和OEM分区等可以被独立验证,并且可以防止未经授权修改。 另外,Android AVB还使用了完整性元数据(Integrity Metadata)来确保系统分区的数据安全。完整性元数据存储了每个分区的哈希值和签名信息,设备启动时会加载并验证这些元数据,以确保分区的数据没有被篡改。 最后,Android AVB还可以在设备上使用强制加密(Force Encryption)来确保用户数据的密钥只能被正确验证的引导映像解锁。这可以防止未经授权的访问或修改用户数据。 总的来说,Android AVB通过数字签名、分区级别的验证以及完整性元数据等机制,确保了安卓设备系统引导过程的完整性和安全性,并且防止了未经授权的修改和恶意软件的攻击。 ### 回答3: Android AVB是指Android Verified Boot的缩写,是一种用于验证和保护Android设备的引导过程的安全机制。它的目标是检测和阻止未经授权的软件从设备的启动过程中加载和运行。 Android Verified Boot通过使用数字签名和哈希算法来验证引导镜像的完整性和真实性。在设备启动的过程中,它会使用设备制造商预装的公钥来验证引导镜像的数字签名是否有效,并且只有当验证通过时才会加载和运行系统。这样可以防止未经授权的软件或者恶意代码被插入到引导过程中,提高了设备的安全性。 此外,Android AVB还可以更容易地检测到设备的Root状态和未经授权的修改。通过保护系统分区和检测分区是否已被修改,它可以提供更可靠的保护机制,防止未经授权的软件或者恶意代码对设备进行篡改。这可以帮助用户避免安全漏洞和数据泄露。 总之,Android AVB是一种用于验证和保护设备启动过程的安全机制,通过验证引导镜像的完整性和真实性,检测设备的Root状态和分区是否被修改,提高了Android设备的安全性。这有助于保护用户的个人数据和设备免受恶意软件和未经授权的修改的威胁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值