通过hijack了解bio
背景
bio是block io,它是一个描述硬盘里面的位置与page cache的页对应关系的数据结构,每个bio对应的
硬盘里面一块连续的位置,每一块硬盘里面连续的位置,可能对应着page cache的多页,或者一页,
所以它里面会有一个bio_vec *bi_io_vec的表。
而每个bio_vec都只能描述一个页内数据的连续的数据的偏移和长度:
通过bi_sectors和bi_size来描述硬盘中起始位置和长度。
一个bio的处理:一个bio通常通过submit_bio来提交给设备队列,下面会经过bio聚合,转化成request,磁盘调度队列,块设备驱动,磁盘处理,对于bio来说大部分都是异步,所以处理结束通过bio->bi_end_io来作为callback获取结果,外部的接口使用bio_endio。同步的读写是通过等待callback事件到来从而完成同步读写。
中间贴的只是代码片段,介绍怎么做的,不能直接运行的。获取全部的代码片段,请联系我
目标
进行块设备加密,磁盘落盘的数据是密文,而对于文件系统来说是明文.加密算法因为用过sm4,所以就选用了最简单的sm4(ecb)加解密。
设计
submit_bio是写IO的起手势,所以通过hook submit_bio来进行写加密,保证提交给下面的数据是经过加密的就好了。而对于读IO可以通过在IO完成之后通知给文件系统之前进行解密,可以hook bio_endio来进行数据解密,确保page cache上的数据是经过解密后的明文。
写加密
bio只是管理的数据结构,数据仍然是存放在page cache中的,最终的结果要求是page cache中的所述句仍然是明文,提交给磁盘的数据是密文,所以一块数据是搞不定这件事了,我们需要重新申请一块内存来存放密文数据。
long origin_submit_bio(int rw, struct bio *bio); void hook_submit_bio(int rw, struct bio *bio) { ret = try_crypt_bio(rw, bio); if (ret != 0) { origin_submit_bio(rw, bio); } return; } int bfx_bio_alloc_pages(struct bio *bio, gfp_t gfp) { int i; struct bio_vec *bv; bio_for_each_segment(bv, bio, i) { bv->bv_page = alloc_page(gfp); if (!bv->bv_page) { while (bv-- != bio->bi_io_vec + bio->bi_idx) __free_page(bv->bv_page); return -ENOMEM; } } return 0; } void bfx_crypt_callback(struct bio *bio, int error) { unsigned int i; struct bio_vec *bv; struct bio *origin = (struct bio *)bio->bi_private; bio_for_each_segment_all(bv, bio, i) { BUG_ON(!bv->bv_page); __free_page(bv->bv_page); bv->bv_page = NULL; } bio_endio(origin, error); bio_put(bio); } struct bio* bfx_bio_clone(struct bio *origin) { struct bio *new = NULL; new = bio_clone(origin, GFP_NOIO); if (!new) return NULL; if (bfx_bio_alloc_pages(new, GFP_NOIO)) { bio_put(new); return NULL; } new->bi_private = origin; new->bi_end_io = bfx_crypt_callback; return new; } int try_crypt_bio(int rw, struct bio *bio) { sm4_key_t key; int i, j; char buffer[SM4_BLOCK_SIZE * 2 + 1]; struct bio_vec *bv; struct bio *new; if (!(rw & WRITE)) { return -1; } new = bfx_bio_clone(bio); if (!new) { BUG(); return -ENOMEM; } new->bi_rw |= rw; bio->bi_rw |= rw; sm4_set_key1(&key, mykey, 16); bio_for_each_segment(bv, bio, i) { void *p1 = kmap(bv->bv_page); void *p2 = kmap(new->bi_io_vec[i].bv_page); /* Encrypt your bio data */ /* for (j = bv->bv_offset; j < bv->bv_offset + bv->bv_len; j+= SM4_BLOCK_SIZE) { sm4_do_crypt(key.rkey_enc, (u32 *)(p2 + j), (u32 *)(p1 + j)); } */ kunmap(bv->bv_page); kunmap(new->bi_io_vec[i].bv_page); } generic_make_request(new); return 0; } 读解密
相对于写操作,读IO就比较简单了,从磁盘中读取到了密文数据到page cache中,我们只需要在文件系统看到这块page cache前解密就好,不需要倒腾内存,只需要原地解密。
遍历bio指向的内存数据:
void origin_bio_endio(struct bio *bio, int error); void hook_bio_endio(struct bio *bio, int error) { try_decrypt_bio(bio, error); origin_bio_endio(bio, error); return; } void try_decrypt_bio(struct bio *bio, int error) { sm4_key_t key; int i, j; char buffer[SM4_BLOCK_SIZE]; char *ptr = NULL; unsigned long flags; struct bio_vec *bv; if (bio_data_dir(bio) == WRITE) return; sm4_set_key1(&key, mykey, 16); bio_for_each_segment(bv, bio, i) { ptr = bvec_kmap_irq(bv, &flags); for (j = 0; j < bv->bv_len; j+= SM4_BLOCK_SIZE) { /* Decrypt ptr pointer buffer */ /* sm4_do_crypt(key.rkey_dec, (u32 *)buffer, (u32 *)(ptr + j)); memcpy(ptr + j, buffer, SM4_BLOCK_SIZE); */ } bvec_kunmap_irq(ptr, &flags); } } 后续改进
因为加解密完全使用cpu来进行,速度肯定比较慢,最终的结果就是IO速率大幅度下降.
一个选择就是使用有硬件加密卡支持的算法,提升速率;
另外一个选择就是启动一个线程,先将bio缓存下来慢慢加解密,为了提升体验,可以提升读IO的优先级,让用户优先看到数据,至于写放在后台慢慢整吧。
参考
https://lwn.net/Articles/26404/
www.eeworld.com.cn/mp/ymc/a52704.jspx
drivers/md/dm-crypt.c