前言
在《
Binder源码分析之ServiceManager
》一文中我们介绍了利用Binder进行通讯的流程,即ServiceManager把自己注册为“管理员”之后,负责其他Service的add操作,或者其他Client的get操作。在这个过程中,有一些接口我们并没有深入分析,比如:
1、打开Binder
open( "/dev/binder" , O_RDWR)
2、映射虚拟空间
mmap(NULL, mapsize, PROT_READ, MAP_PRIVATE, bs->fd, 0 )
3、设置ServiceManager为管理员
ioctl(bs->fd, BINDER_SET_CONTEXT_MGR, 0 )
4、与其他Service或者Client交换数据
ioctl(bs->fd, BINDER_WRITE_READ, &bwr)
由于这些接口都属于Binder驱动的范畴,因此我们放到本章中来学习。
在整个Binder框架中,涉及到四个参与方:ServiceManager、Binder驱动、Service、Client。
其中ServiceManager是管理者,Binder是驱动提供者,Service和Client可以看作是Binder的使用方 。
在上面提到的四个参与方中,只有Binder驱动运行于内核控件,其他部分全部运行于用户空间
Binder驱动的核心是维护一个binder_proc类型的链表。里面记录了包括ServiceManager在内的所有Client信息,当Client去请求得到某个Service时,Binder驱动就去binder_proc中查找相应的Service返回给Client,同时增加当前Service的引用个数 。
Binder驱动源码主要在google-code\kernel\drivers\staging\Android \binder.c中,下面我们分别介绍Binder驱动中重要的接口。
Binder驱动的初始化是在binder_init()函数中完成的:
static int __init binder_init( void ) { int ret; binder_deferred_workqueue = create_singlethread_workqueue("binder" ); binder_debugfs_dir_entry_root = debugfs_create_dir("binder" , NULL); if (binder_debugfs_dir_entry_root) binder_debugfs_dir_entry_proc = debugfs_create_dir("proc" , binder_debugfs_dir_entry_root); ret = misc_register(&binder_miscdev); if (binder_debugfs_dir_entry_root) { debugfs_create_file("state" , S_IRUGO, binder_debugfs_dir_entry_root, NULL, &binder_state_fops); debugfs_create_file("stats" , S_IRUGO, binder_debugfs_dir_entry_root, NULL, &binder_stats_fops); debugfs_create_file("transactions" , S_IRUGO, binder_debugfs_dir_entry_root, NULL, &binder_transactions_fops); debugfs_create_file("transaction_log" , S_IRUGO, binder_debugfs_dir_entry_root, &binder_transaction_log, &binder_transaction_log_fops); debugfs_create_file("failed_transaction_log" , S_IRUGO, binder_debugfs_dir_entry_root, &binder_transaction_log_failed, &binder_transaction_log_fops); } return ret; }
上面的过程
将binder_miscdev注册为misc设备 :
static struct miscdevice binder_miscdev = { .minor = MISC_DYNAMIC_MINOR, .name = "binder" , .fops = &binder_fops };
这就是Binder的初始化过程,在这个过程中,把Binder驱动(binder_miscdev)注册为了misc设备,并且创建了一些必要的目录。另外,我们来看binder_miscdev这个数据的fops成员变量,他的作用是标识当前设备的操作函数:
static const struct file_operations binder_fops = { .owner = THIS_MODULE, .poll = binder_poll, .unlocked_ioctl = binder_ioctl, .mmap = binder_mmap, .open = binder_open, .flush = binder_flush, .release = binder_release, };
从这个成员变量的定义中我们可以看到这个设备所具备的接口,其中最重要的就是binder_ioctl、open和mmap。当我们对这个设备进行各种操作时,就会调用其中的函数。
我们在《
Binder源码分析之ServiceManager
》中介绍过,ServiceManager初始化的第一步就是打开Binder设备:
bs->fd = open( "/dev/binder" , O_RDWR);
这里的open函数,将会调用到当前设备的open接口,对于Binder设备来说,就是前面看到的binder_fops中的binder_open()函数:
static int binder_open(struct inode *nodp, struct file *filp) { struct binder_proc *proc; proc = kzalloc(sizeof(*proc), GFP_KERNEL); if (proc == NULL) return -ENOMEM; get_task_struct(current); proc->tsk = current; INIT_LIST_HEAD(&proc->todo); init_waitqueue_head(&proc->wait); proc->default_priority = task_nice(current); mutex_lock(&binder_lock); binder_stats_created(BINDER_STAT_PROC); hlist_add_head(&proc->proc_node, &binder_procs); proc->pid = current->group_leader->pid; INIT_LIST_HEAD(&proc->delivered_death); filp->private_data = proc; mutex_unlock(&binder_lock); return 0 ; }
我们看到,在binder_open的过程中,构建了binder_procs类型的proc数据,并把他保存在file的private_data中。
我们在ServiceManager的分析中讲到,打开Binder设备之后紧接着就进行了地址映射:
bs->mapped = mmap(NULL, mapsize, PROT_READ, MAP_PRIVATE, bs->fd, 0 );
与open操作类似,这里的mmap操作对应了Binder驱动中binder_fops的mmap,也就是binder_mmap(),我们即将看到,在binder_mmap()的过程中,
Binder驱动将会把同一块物理页面分别映射到内核空间和进程空间 。
static int binder_mmap(struct file *filp, struct vm_area_struct *vma) { int ret; struct vm_struct *area; struct binder_proc *proc = filp->private_data; struct binder_buffer *buffer; if ((vma->vm_end - vma->vm_start) > SZ_4M) vma->vm_end = vma->vm_start + SZ_4M; vma->vm_flags = (vma->vm_flags | VM_DONTCOPY) & ~VM_MAYWRITE; area = get_vm_area(vma->vm_end - vma->vm_start, VM_IOREMAP); proc->buffer = area->addr; proc->user_buffer_offset = vma->vm_start - (uintptr_t)proc->buffer; proc->pages = kzalloc(sizeof(proc->pages[0 ]) * ((vma->vm_end - vma->vm_start) / PAGE_SIZE), GFP_KERNEL); proc->buffer_size = vma->vm_end - vma->vm_start; vma->vm_ops = &binder_vm_ops; vma->vm_private_data = proc; if (binder_update_page_range(proc, 1 , proc->buffer, proc->buffer + PAGE_SIZE, vma)) { ret = -ENOMEM; failure_string = "alloc small buf" ; goto err_alloc_small_buf_failed; } buffer = proc->buffer; INIT_LIST_HEAD(&proc->buffers); list_add(&buffer->entry, &proc->buffers); buffer->free = 1 ; binder_insert_free_buffer(proc, buffer); proc->free_async_space = proc->buffer_size / 2 ; barrier(); proc->files = get_files_struct(current); proc->vma = vma; return 0 ; err_alloc_small_buf_failed: kfree(proc->pages); proc->pages = NULL; err_alloc_pages_failed: vfree(proc->buffer); proc->buffer = NULL; err_get_vm_area_failed: err_already_mapped: err_bad_arg: return ret; }
我们看到,binder_mmap()的参数中有一个vm_area_struct类型的vma变量,同时在binder_mmap()的内部又定义了一个vm_struct类型的area变量,这两个变量分别代表映射的进程空间虚拟地址信息和内核空间映射的虚拟地址信息。
在binder_mmap()的开始地方,将申请的进程空间地址的大小约束在了4M,然后通过get_vm_area()函数在内核空间映射了一块虚拟地址,同时把进程空间的虚拟地址和内核空间的虚拟地址之间偏移量放入了proc->user_buffer_offset变量中,接着,
调用binder_update_page_range()函数为进程空间和内核空间的虚拟地址映射同一个物理页面,从而达到进程空间和内核空间共享一块物理页面的目的 。
我们具体来看一下如何把同一块物理页面同时插入内核空间和用户空间中:
static int binder_update_page_range(struct binder_proc *proc, int allocate, void *start, void *end, struct vm_area_struct *vma) { void *page_addr; unsigned long user_page_addr; struct vm_struct tmp_area; struct page **page; struct mm_struct *mm; for (page_addr = start; page_addr < end; page_addr += PAGE_SIZE) { int ret; struct page **page_array_ptr; page = &proc->pages[(page_addr - proc->buffer) / PAGE_SIZE]; *page = alloc_page(GFP_KERNEL | __GFP_ZERO); if (*page == NULL) { goto err_alloc_page_failed; } tmp_area.addr = page_addr; tmp_area.size = PAGE_SIZE + PAGE_SIZE ; page_array_ptr = page; ret = map_vm_area(&tmp_area, PAGE_KERNEL, &page_array_ptr); if (ret) { goto err_map_kernel_failed; } user_page_addr = (uintptr_t)page_addr + proc->user_buffer_offset; ret = vm_insert_page(vma, user_page_addr, page[0 ]); if (ret) { goto err_vm_insert_page_failed; } } return 0 ; }
那么,为什么要这么映射地址呢?
这恰恰是Binder通讯的精华所在:当把同一块物理页面同时映射到进程空间和内核空间时,当需要在两者之间传递数据时,只需要其中任意一方把数据拷贝到物理页面,另一方直接读取即可,也就是说,数据的跨进程传递,只需要一次拷贝就可以完成。 我们用图来对比一下这种设计思路的优势。
首先看一下正常情况下数据跨进程传递的过程:
这个过程中,至少需要两次拷贝的动作
我们发现Binder通讯中只需要执行一次拷贝的动作就可以完成数据的传递
对Binder驱动来说,无论是ServiceManager还是Service和Client,都是客户端。我们在ServiceManager流程的介绍中看到,他与Binder驱动的数据交换是通过ioctl()实现的:
static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg) { int ret; struct binder_proc *proc = filp->private_data; struct binder_thread *thread; thread = binder_get_thread(proc); switch (cmd) { case BINDER_WRITE_READ:{} case BINDER_SET_MAX_THREADS:{} case BINDER_SET_CONTEXT_MGR:{} case BINDER_THREAD_EXIT:{} case BINDER_VERSION:{} default :{} } ret = 0 ; return ret; }
从这个函数的case中我们看到,他可以实现读写、设置“管理员”、设置最大线程数、退出线程、查询版本等操作,其中最有用的就是BINDER_WRITE_READ 和BINDER_SET_CONTEXT_MGR 这两个分支。
我们先来看BINDER_WRITE_READ这个处理:
static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg) { int ret; thread = binder_get_thread(proc); switch (cmd) { case BINDER_WRITE_READ: { struct binder_write_read bwr; if (copy_from_user(&bwr, ubuf, sizeof(bwr))) { ret = -EFAULT; goto err; } if (bwr.write_size > 0 ) { ret = binder_thread_write(proc, thread, (void __user *)bwr.write_buffer, bwr.write_size, &bwr.write_consumed); } if (bwr.read_size > 0 ) { ret = binder_thread_read(proc, thread, (void __user *)bwr.read_buffer, bwr.read_size, &bwr.read_consumed, filp->f_flags & O_NONBLOCK); if (!list_empty(&proc->todo)) wake_up_interruptible(&proc->wait); } if (copy_to_user(ubuf, &bwr, sizeof(bwr))) { } break ; } case BINDER_SET_MAX_THREADS:{} case BINDER_SET_CONTEXT_MGR:{} case BINDER_THREAD_EXIT:{} case BINDER_VERSION:{} default :{} } ret = 0 ; return ret; }
我们看到,在ioctl()内部区分了读写的操作,其中写操作是通过binder_thread_write()实现的,读操作是通过binder_thread_read()实现的,我们分开来分析。
所谓写的操作,主要完成的任务有两种:
1、写入数据;2、设置状态 。我们直接来看负责写操作的函数。
int binder_thread_write(struct binder_proc *proc, struct binder_thread *thread, void __user *buffer, int size, signed long *consumed) { uint32_t cmd; void __user *ptr = buffer + *consumed; void __user *end = buffer + size; while (ptr < end && thread->return_error == BR_OK) { if (get_user(cmd, (uint32_t __user *)ptr)) return -EFAULT; ptr += sizeof(uint32_t); switch (cmd) { case BC_INCREFS: case BC_ACQUIRE: case BC_RELEASE: case BC_DECREFS:{} case BC_INCREFS_DONE: case BC_ACQUIRE_DONE:{} case BC_ATTEMPT_ACQUIRE:{} case BC_ACQUIRE_RESULT:{} case BC_FREE_BUFFER:{} case BC_TRANSACTION: case BC_REPLY:{} case BC_REGISTER_LOOPER:{} case BC_ENTER_LOOPER:{} case BC_EXIT_LOOPER:{} case BC_REQUEST_DEATH_NOTIFICATION: case BC_CLEAR_DEATH_NOTIFICATION:{} case BC_DEAD_BINDER_DONE:{} default : } *consumed = ptr - buffer; } return 0 ; }
我们先简要说明一下主要case分支的作用,然后分别做详细分析:
BC_INCREFS:
用于得到一个Service,而且得到的是Service的弱引用
BC_ACQUIRE:
与BC_INCREFS类似,得到一个Service,但是得到的是强引用
BC_ENTER_LOOPER
: Service将要进入Loop状态时,发送此消息
BC_EXIT_LOOPER:
Service退出Loop状态
下面我们来详细分析。
当一个客户端对ServiceManager请求getService时,ServiceManager将会对Binder驱动发送这两种命令,目的就是把目标Service发送给客户端,同时增加目标Service的引用个数。
int binder_thread_write(struct binder_proc *proc, struct binder_thread *thread, void __user *buffer, int size, signed long *consumed) { uint32_t cmd; void __user *ptr = buffer + *consumed; void __user *end = buffer + size; while (ptr < end && thread->return_error == BR_OK) { if (get_user(cmd, (uint32_t __user *)ptr)) return -EFAULT; ptr += sizeof(uint32_t); switch (cmd) { case BC_INCREFS: case BC_ACQUIRE: case BC_RELEASE: case BC_DECREFS: { uint32_t target; struct binder_ref *ref; if (get_user(target, (uint32_t __user *)ptr)) return -EFAULT; ptr += sizeof(uint32_t); if (target == 0 && binder_context_mgr_node && (cmd == BC_INCREFS || cmd == BC_ACQUIRE)) { ref = binder_get_ref_for_node(proc, binder_context_mgr_node); } else { ref = binder_get_ref(proc, target); } switch (cmd) { case BC_INCREFS: binder_inc_ref(ref, 0 , NULL); break ; case BC_ACQUIRE: binder_inc_ref(ref, 1 , NULL); break ; case BC_RELEASE: binder_dec_ref(ref, 1 ); break ; case BC_DECREFS: default : binder_dec_ref(ref, 0 ); break ; } break ; } default : return -EINVAL; } *consumed = ptr - buffer; } return 0 ; }
在这个过程中,先通过get_user()函数得到要get的Service名字,然后再利用binder_get_refXXX()函数得到该Service的引用,最后需要用binder_inc_ref()增加该Service的引用(强引用或弱引用)。
但是在得到目标Service的过程中出现了两种情况,第一种情况是,Client要得到的Service正好是ServiceManager这个“Service”,第二种情况是,Client要得到的Service是普通的Service。
对于要得到ServiceManager这种情况,需要通过binder_get_ref_for_node()的方式从Binder的binder_proc红黑树中查找binder_context_mgr_node的节点,并把表示ServiceManager的节点传递给Client。
而对于普通的Service这种情况,与ServiceManager类似,需要通过binder_get_ref()的函数从Binder的binder_proc红黑树中查找相应的节点:
static struct binder_ref *binder_get_ref(struct binder_proc *proc, uint32_t desc) { struct rb_node *n = proc->refs_by_desc.rb_node; struct binder_ref *ref; while (n) { ref = rb_entry(n, struct binder_ref, rb_node_desc); if (desc < ref->desc) n = n->rb_left; else if (desc > ref->desc) n = n->rb_right; else return ref; } return NULL; }
完成了以上查找的任务后,就要根据当前是弱引用还是强引用去增加目标Service的引用个数了,无论是哪种引用,都是通过binder_inc_ref()函数来实现的,只是参数不同而已:
static int binder_inc_ref(struct binder_ref *ref, int strong, struct list_head *target_list) { int ret; if (strong) { if (ref->strong == 0 ) { ret = binder_inc_node(ref->node, 1 , 1 , target_list); if (ret) return ret; } ref->strong++; } else { if (ref->weak == 0 ) { ret = binder_inc_node(ref->node, 0 , 1 , target_list); if (ret) return ret; } ref->weak++; } return 0 ; }
经过以上的过程,就完成了整个binder_thread_write操作中的BC_INCREFS和BC_ACQUIRE分支。
下面我们来分析关于进退Loop状态的两种binder_thread_write两种case。
int binder_thread_write(struct binder_proc *proc, struct binder_thread *thread, void __user *buffer, int size, signed long *consumed) { uint32_t cmd; void __user *ptr = buffer + *consumed; void __user *end = buffer + size; while (ptr < end && thread->return_error == BR_OK) { if (get_user(cmd, (uint32_t __user *)ptr)) return -EFAULT; ptr += sizeof(uint32_t); switch (cmd) { case BC_ENTER_LOOPER: if (thread->looper & BINDER_LOOPER_STATE_REGISTERED) { thread->looper |= BINDER_LOOPER_STATE_INVALID; } thread->looper |= BINDER_LOOPER_STATE_ENTERED; break ; case BC_EXIT_LOOPER: thread->looper |= BINDER_LOOPER_STATE_EXITED; break ; default : return -EINVAL; } *consumed = ptr - buffer; } return 0 ; }
从这个过程我们看到,进入和退出Loop状态只需要将当前binder_thread的looper标志位置位或者重置即可。
至此,我们分析了ioctl的写操作的过程,主要是针对其内部四个主要的消息进行分析,分别是BC_INCREFS、BC_ACQUIRE、BC_ENTER_LOOPER、BC_EXIT_LOOPER。
下面我们来分析ioctl的读操作:
static int binder_thread_read(struct binder_proc *proc, struct binder_thread *thread, void __user *buffer, int size, signed long *consumed, int non_block) { retry: wait_for_proc_work = thread->transaction_stack == NULL && list_empty(&thread->todo); mutex_unlock(&binder_lock); if (wait_for_proc_work) { binder_set_nice(proc->default_priority); if (non_block) { if (!binder_has_proc_work(proc, thread)) ret = -EAGAIN; } else { ret = wait_event_interruptible_exclusive(proc->wait, binder_has_proc_work(proc, thread)); } } else { if (non_block) { if (!binder_has_thread_work(thread)) ret = -EAGAIN; } else ret = wait_event_interruptible(thread->wait, binder_has_thread_work(thread)); } mutex_lock(&binder_lock); thread->looper &= ~BINDER_LOOPER_STATE_WAITING; while ( 1 ) { uint32_t cmd; struct binder_transaction_data tr; struct binder_work *w; struct binder_transaction *t = NULL; if (!list_empty(&thread->todo)) w = list_first_entry(&thread->todo, struct binder_work, entry); else if (!list_empty(&proc->todo) && wait_for_proc_work) w = list_first_entry(&proc->todo, struct binder_work, entry); else { if (ptr - buffer == 4 && !(thread->looper & BINDER_LOOPER_STATE_NEED_RETURN)) goto retry; break ; } switch (w->type) { case BINDER_WORK_TRANSACTION: { t = container_of(w, struct binder_transaction, work); } break ; case BINDER_WORK_TRANSACTION_COMPLETE: { cmd = BR_TRANSACTION_COMPLETE; if (put_user(cmd, (uint32_t __user *)ptr)) return -EFAULT; ptr += sizeof(uint32_t); binder_stat_br(proc, thread, cmd); list_del(&w->entry); kfree(w); binder_stats_deleted(BINDER_STAT_TRANSACTION_COMPLETE); } break ; case BINDER_WORK_NODE: {} break ; case BINDER_WORK_DEAD_BINDER: case BINDER_WORK_DEAD_BINDER_AND_CLEAR: case BINDER_WORK_CLEAR_DEATH_NOTIFICATION: {} break ; } } done: return 0 ; }
在读的过程中并没有特殊的处理,只是读取数据而已。
下面用一张图来小结一下ioctl的读写操作流程。
ioctl中的BINDER_SET_CONTEXT_MGR分支,只有ServiceManager在binder_become_context_manager()中调用:
int binder_become_context_manager(struct binder_state *bs) { return ioctl(bs->fd, BINDER_SET_CONTEXT_MGR, 0 ); }
通过这样的操作,ServiceManager可以将自己注册为管理员。下面我们来看详细过程:
static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg) { thread = binder_get_thread(proc); switch (cmd) { case BINDER_WRITE_READ: { } case BINDER_SET_MAX_THREADS: break ; case BINDER_SET_CONTEXT_MGR: if (binder_context_mgr_node != NULL) { printk(KERN_ERR "binder: BINDER_SET_CONTEXT_MGR already set\n" ); ret = -EBUSY; goto err; } if (binder_context_mgr_uid != - 1 ) { if (binder_context_mgr_uid != current->cred->euid) { ret = -EPERM; goto err; } } else { binder_context_mgr_uid = current->cred->euid; } binder_context_mgr_node = binder_new_node(proc, NULL, NULL); if (binder_context_mgr_node == NULL) { ret = -ENOMEM; goto err; } binder_context_mgr_node->local_weak_refs++; binder_context_mgr_node->local_strong_refs++; binder_context_mgr_node->has_strong_ref = 1 ; binder_context_mgr_node->has_weak_ref = 1 ; break ; case BINDER_THREAD_EXIT: break ; case BINDER_VERSION: break ; default : goto err; } ret = 0 ; err: if (thread) thread->looper &= ~BINDER_LOOPER_STATE_NEED_RETURN; mutex_unlock(&binder_lock); wait_event_interruptible(binder_user_error_wait, binder_stop_on_user_error < 2 ); return ret; }
我们看到,BINDER_SET_CONTEXT_MGR的过程就是创建binder_context_mgr_node节点,并且设置binder_context_mgr_uid为ServiceManager的uid的过程。
现在我们回顾一下5.1.1.1节中介绍的ioctl函数中请求BC_INCREFS与BC_ACQUIRE的命令,当客户端请求该命令时,即要求得到某个Service,此时就要区分客户端得到的Service是否是ServiceManager,如果要得到的Service就是ServiceManager,那么就需要去红黑树中查找binder_context_mgr_node节点,而这个节点就是ServiceManager在Binder驱动中的节点。否则的话,就用目标Service名字去查找相应的节点即可。
这就是ioctl中BINDER_SET_CONTEXT_MGR分支所做的工作。
至此,Binder驱动部分的主要原理也介绍完毕,经过这一节的分析,我们了解了Binder驱动设备的创建、打开过程,以及其他进程是如何与Binder设备交换数据的。
原文地址:http://blog.csdn.net/u010961631/article/details/20479507
扫一扫
528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
