Android安全之DM-verity中的Device Mapper机制分析

最新推荐文章于 2025-06-09 20:17:10 发布
原创 最新推荐文章于 2025-06-09 20:17:10 发布 · 9.6k 阅读 · 44 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #dev-mapper #dm-verity #android安全 #手机安全

本文详细探讨了Android系统中的DM-verity机制,这是一种利用Device Mapper实现的存储区块设备的校验技术,确保数据在传输和存储过程中未被篡改。文章介绍了Device Mapper的基本概念、工作原理,包括Mapped Device、Mapping Table和Target Device等关键组件,并阐述了DM-verity如何在Linux内核中实现数据完整性检查。同时,文中还分析了Device Mapper的设备创建流程和IO处理流程,为理解Android系统的安全性提供了深入见解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 我们想法:
    1. 能不能将多个硬盘,映射成一个逻辑的硬盘,那样我们程序就不用关心复杂的地址问题了,也不用关系是哪个device了? DM-raid技术RAID全称为独立磁盘冗余阵列(Redundant Array of Independent Disks)
    2. 将某个地址段的数据进行加密,只有授权方式才可访问,比如FDE DM-crypt技术
    3. 访问存储介质上的数据时,校验下是否被篡改过。DM-verity技术。

 

总结一下:DM就是Device-Mapper的缩写,也就说上述的想法都可以基于Device Mapper实现,Device Mapper可不仅仅实现了这些,还包括LVM2DM-multipach等。

 

  • 什么是Device Mapper?
    1. Device Mapper Linux 2.6内核中提供的一种将物理块设备的映射虚拟(逻辑)块设备的框架机制,在该机制下,开发者可以很方便的根据自己的需要制定实现存储资源的管理策略,比如过滤、IO重定向、dm-verity这种hash tree的校验、raid多个磁盘管理等。
    2. Device Mapper在内核中是以一个块设备注册的。映射到Device Mapper框架上的物理设备,通过映射时所选择的方式进行IO处理。
    3. Device mapper本质功能就是根据映射关系和target driver描述的IO处理规则,将IO请求从逻辑设备mapped device转发相应的target device上。

 

举例:我将system分区以dm-verity target方式映射到devicemapper上,当用户程序访问system数据时,要通过device mapper的规则后才能转发到system分区上。

 Device Mapper处于LinuxStorage Stack位置:

 



 

简单点:

 

 


 

  • 理论部分:

Device Mapper在内核中的体系架构:


 

 

从上图就可以看出,Device Mapper有三部分组成,分别有Mapped DeviceMapping TableTarget Device,说此图的时候必须说一下内核设计的哲学,内核设计经常将一个框架实现,给用户态提供尽量少、简单接口来下发策略,内核根据用户态下发策略运行相应机制。Device Mapper机制也不例外:

Mapped Device:又称MD,注意不是DMMD是一个逻辑的抽象设备,用户态可以通过IOCTL访问操作,它通过Mapping Table描述的映射关系与Target Device建立映射关系。

Mapping Table:描述了Target DeviceMapped Device的映射关系,其中最核心的是其指定了这种映射关系使用了何种Target Driver

Target Driver:其实严格的说,这不是Device Mapper框架的一部分,因为Target Driver以插件的方式插入

最低0.47元/天 解锁文章

200万优质内容无限畅学
Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介
洛奇看世界
01-09 2477
上一篇 《Android AVB 分析(十一)bootloader 是如何进行 verify boot 检查的?》 分析了 bootloader 中是如何调用 libavb 函数库验证 vbmeta 和 boot 等分区的。接下来就打算写一篇介绍 dm-verity 原理的文章,然后再写一篇徒手 dm-verity 实践的文章,结果偶然发现了本篇的英文原版。写得太好,我觉得自己完全没有必要再写原理了。由于原文是英文,有些英语不太好的朋友不一定能完全理解。我花了点时间,结合 AI 将英语原文翻译成中文。
dm-verity给内核传递的参数解析
a3121772305的博客
07-12 362
这篇博客完整解析了dm-verity在使用过程中bootloader(uboot)向Linux kernel应该传递哪些参数以及这些参数分别是什么意思。
Android 中的dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 中的Verified Boot之dm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
Device Mapper 机制
qq_35223473的博客
06-09 1125
fill:#333;color:#333;color:#333;fill:none;准备 /dev/sdb1 和 /dev/sdb2清空数据生成映射表 mytable.txtmkfs.ext4 格式化挂载到 /mnt/dmtestdd 写入 10M 随机数据ls/df 验证umount 卸载Device Mapper 是 Linux 块设备虚拟化的基石,具有高扩展性和灵活性。通过 dmsetup 等工具可以方便地对存储进行抽象和管理。
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 3622
dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。
dm device mapper
juliaputao的专栏
08-09 484
Device mapper 是 Linux 2.6 内核中提供的一种从逻辑设备到物理设备的映射框架机制. 重要概念 Device mapper 在内核中作为一个块设备驱动被注册的,它包含三个重要的对象概念,mapped device、映射表、target device。 Mapped device 是一个逻辑抽象,可以理解成为内核向外提供的逻辑设备,它通过映射表描述的映射关系和 ta
android AVB2.0(五)Device MapperDm verity详解
楼中望月
12-23 8112
文章目录一、Device Mapper1. Device Mapper概述2. Device Mapper的使用二、Dm Verity1. Dm Verity验证思想2. Hashtree脚本处理2.1 镜像编译2.2 创建verity tree2.3 创建metadata3. Dm verity设备的创建3.1 SetUpDmVerity函数3.2 hash table处理 一、Device Mapper 1. Device Mapper概述 Device mapper是LINUX提供的一种逻辑设备到物理
DeviceMapper架构及在android上的应用
内核工匠
06-05 3900
手机上敲一下mount命令,看到很多挂载成dm设备,它们到底是什么?背后的原理又是怎样的?以OPPO Reno3为例:首先请看下:Linux Storage Stack Diagram...
Android AVB 分析(十三)dm-verity 设备是如何映射的?
洛奇看世界
01-17 2048
在上一篇《Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介》介绍 dm-verity 原理的时候,作者提供了一个 dm-verity 演示的例子。本篇我们基于 AOSP 源码 `android-13.0.0_r41` 实际编译生成的 Google Pixel 7 (“panther”) 设备的 system 分区镜像进行 dm-verity 设备验证实战。
介绍Android dm-verity机制以及storage中是怎么实现开机mount的
最新发布
08-08
-Android中,通常在init.rc脚本中通过`veritysetup`工具(或类似的机制)来设置dm-verity设备。命令格式大致如下: ``` veritysetup create <dm-device-name> <block-device> <hash-device> <root-hash> [] ``...
linux - DM - Device Mapper机制
迟来大师的博客
12-08 648
Device mapper 是 能让用户自己定制管理块设备的策略的一套框架。 使用这套框架去写管理块设备的策略比直接去管理块设备肯定要轻松许多。
verity:适用于Android的各种dm-verity工具
05-12
适用于Android的经过验证的启动(dm-verity)工具 适用于Android的各种dm-verity工具和脚本。 用于启用验证启动。 有关详细信息,请参见博客文章:
device mapper & dm-verity
Fybon的专栏
11-02 1084
device mapper & dm-verity
Device mapper
li_jiejun的专栏
06-21 1876
Device mapper   基本概念 Device mapper是Linux内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略   基本原理及其构造     构造 整个device mapper机制由两部分组成--内核空间的device mapper驱动、用户空间的device mapp
device mapper驱动
yuxinghai2008的专栏
05-06 2084
dmdevice mapper)驱动实际做的一件事就是将多个设备映射成一个块设备显示 在上层,LVM和multipath等工具都是基于这个驱动,将多个设备虚拟成一个设备 的。 dm驱动位于linux/driver/md/目录下 由dm.c dm-target.c dm-tabel.c dm-ioctl.c dm-io.c等几个文件组成框架。 因为它对上层显示的是一个虚拟的块设备,所以会
Android Verified Boot dm-verity 优化和实战
求变,从思想开始
05-31 6180
Android O/P 版本以来,谷歌加入了system-as-root的特性,此时ramdisk和system是一起放在同一个system.img镜像中的。而系统起来之后也就不存在system分区了,而是直接把system镜像挂载到/根目录上。那么这个操作是怎么进行的呢? system.img默认是需要使能dm-verity来挂载的,那么这就涉及到如何使能dm-verity来挂载...
Android Verified Boot dm-verity 优化和实战2
求变,从思想开始
06-20 4004
在网上查了很多的资料,有很多写的不错,但很系统的比较少。 我只是按自己的思路把 文档理顺一下。按如下的思路: 问题是什么,原理是什么,具体怎么去解,然后实际的打印log。 问题在前一篇已经写完,已经找到了内核的入口android-verity.c。 这里还是要补充一下dm的原理,否则的话,不管是别人写的文档还是下面写的东西,...
Android系统安全 — 4-理解系统签名用dm-verity机制
qincheng168的博客
07-11 3449
理解android系统签名用的dm-verity机制
文末送书啦!| Device Mapper,那些你不知道的Docker核心技术
优快云云计算
07-09 996
戳蓝字“优快云云计算”关注我们哦!接触Docker 比较早的同学应该知道,Docker 在最开始只能在Ubuntu和Debian等少数的Linux 发行版上运行,并且在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值