Binder学习笔记(十二)—— binder_transaction(...)都干了什么?

最新推荐文章于 2025-06-14 06:00:10 发布
原创 最新推荐文章于 2025-06-14 06:00:10 发布 · 1w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android #binder

本文详细解析了Android中Binder通信的核心函数binder_transaction,包括binder_open和binder_mmap的准备工作,以及binder_transaction的执行过程,涉及到binder_proc、binder_node、binder_ref等关键数据结构的建立和使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

binder_open(…)都干了什么?

在回答binder_transaction(…)之前,还有一些基础设施要去探究,比如binder_open(…),binder_mmap(…),这些调用是在打开设备文件/dev/binder之后必须完成的程式化操作,而在它们内部需要做一些数据结构的准备。首先来看binder_open(…)
kernel/drivers/staging/android/binder.c:2979

static int binder_open(struct inode *nodp, struct file *filp)
{
    struct binder_proc *proc;
    ......
    proc = kzalloc(sizeof(*proc), GFP_KERNEL); // 创建binder_proc结构体
    ......
    get_task_struct(current);
    proc->tsk = current;
    INIT_LIST_HEAD(&proc->todo);  // 初始化链表头
    init_waitqueue_head(&proc->wait);   
    proc->default_priority = task_nice(current);

    ......
    // 将proc_node串入全局链表binder_procs中
    hlist_add_head(&proc->proc_node, &binder_procs); 
    proc->pid = current->group_leader->pid;
    INIT_LIST_HEAD(&proc->delivered_death);
    filp->private_data = proc;

    ......
    return 0;
}

binder_open(…)生成并初始化binder_proc结构体如下:
binder_open(...)初始化的binder_proc结构体

struct binder_proc

struct binder_proc描述一个“正在使用Binder进程间通信机制”的进程,它的定义参见kernel/goldfish/drivers/staging/android/binder.c:286

struct binder_proc {
    // 进程打开设备文件/dev/binder时,Binder驱动会为它创建一个binder_proc结构体,并将它
    // 保存在全局hash列表中,proc_node是该hash列表的节点。
    struct hlist_node proc_node;

    // 每个使用了Binder机制的进程都有一个Binder线程池,用来处理进程间通信请求。threads以
    // 线程ID作为key来组织进程的Binder线程池。进程可以调用ioctl将线程注册到Binder驱动中
    // 当没有足够的空闲线程处理进程间通信请求时,驱动可以要求进程注册更多的线程到Binder线程
    // 池中
    struct rb_root threads; 

    struct rb_root nodes;           // 组织Binder实体对象,它以成员ptr作为key
    struct rb_root refs_by_desc;    // 组织Binder引用对象,它以成员desc作为key
    struct rb_root refs_by_node;    // 组织Binder引用对象,它以成员node作为key
    int pid;                        // 指向进程组ID
    struct vm_area_struct *vma;     // 内核缓冲区的用户空间地址,供应用程序使用
    struct mm_struct *vma_vm_mm;
    struct task_struct *tsk;        // 指向进程任务控制块
    struct files_struct *files;     // 指向进程打开文件结构体数组

    // 一个hash表,保存进程可以延迟执行的工作项,这些延迟工作有三种类型
    // BINDER_DEFERRED_PUT_FILES、BINDER_DEFERRED_FLUSH、BINDER_DEFERRED_RELEASE
    // 驱动为进程分配内核缓冲区时,会为该缓冲区创建一个文件描述符,进程可以通过该描述符将该内
    // 核缓冲区映射到自己的地址空间。当进程不再需要使用Binder机制时,就会通知驱动关闭该文件
    // 描述符并释放之前所分配的内核缓冲区。由于这不是一个马上就要完成的操作,因此驱动会创建一
    // 个BINDER_DEFERRED_PUT_FILES类型的工作来延迟执行;
    // Binder线程池中的空闲Binder线程是睡眠在一个等待队列中的,进程可以通过调用函数flush
    // 来唤醒这些线程,以便它们可以检查进程是否有新的工作项需要处理。此时驱动会创建一个
    // BINDER_DEFERRED_FLUSH类型的工作项,以便延迟执行唤醒空闲Binder线程的操作;
    // 当进程不再使用Binder机制时,会调用函数close关闭文件/dev/binder,此时驱动会释放之
    // 前为它分配的资源,由于资源释放是个比较耗时的操作,驱动会创建一个
    // BINDER_DEFERRED_RELEASE类型的事务来延迟执行
    struct hlist_node deferred_work_node;

    int deferred_work;              // 描述该延迟工作项的具体类型
    void *buffer;                   // 内核缓冲区的内核空间地址,供驱动程序使用
    ptrdiff_t user_buffer_offset;   // vma和buffer之间的差值

    // buffer指向一块大的内核缓冲区,驱动程序为方便管理,将它划分成若干小块,这些小块的内核缓
    // 冲区用binder_buffer描述保存在列表中,按地址从小到大排列。buffers指向该列表的头部。
    struct list_head buffers; 

    struct rb_root free_buffers;      // buffers中的小块有的正在使用,被保存在此红黑树
    struct rb_root allocated_buffers;   // buffers中的空闲小块被保存在此红黑树
    size_t free_async_space;            // 当前可用的保存异步事务数据的内核缓冲区的大小

    struct page **pages;    // buffer和vma都是虚拟地址,它们对应的物理页面保存在pages
                            // 中,这是一个数组,每个元素指向一个物理页面
    size_t buffer_size;     // 进程调用mmap将它映射到进程地址空间,实际上是请求驱动为它
                            // 分配一块内核缓冲区,缓冲区大小保存在该成员中
    uint32_t buffer_free;   // 空闲内核缓冲区的大小
    struct list_head todo;  // 当进程接收到一个进程间通信请求时,Binder驱动就将该请求封
                            // 装成一个工作项,并且加入到进程的待处理工作向队列中,该队列
                            // 使用成员变量todo来描述。
    wait_queue_head_t wait; // 线程池中空闲Binder线程会睡眠在由该成员所描述的等待队列中
                            // 当宿主进程的待处理工作项队列增加新工作项后,驱动会唤醒这
                            // 些线程,以便处理新的工作项
    struct binder_stats stats;  // 用来统计进程数据

    // 当进程所引用的Service组件死亡时,驱动会向该进程发送一个死亡通知。这个正在发出的通知被
    // 封装成一个类型为BINDER_WORK_DEAD_BINDER或BINDER_WORK_DEAD_BINDER_AND_CLEAR
    // 的工作项,并保存在由该成员描述的队列中删除
    struct list_head delivered_death;  

    int max_threads;        // 驱动程序最多可以主动请求进程注册的线程数
    int requested_threads;
    int requested_threads_started;
    int ready_threads;      // 进程当前的空闲Binder线程数
    long default_priority;  // 进程的优先级,当线程处理一个工作项时,线程优先级可能被
                            // 设置为宿主进程的优先级
    struct dentry *debugfs_entry;
};

binder_proc中的链表

在binder_proc内部有若干个list_head类型的字段,用来把binder_proc串到不同的链表中去。一般写链表的做法是在链表节点结构体中追加业务逻辑字段,顺着链表的prev、next指针到达指定节点,然后再访问业务逻辑字段:
一般的链表做法
在Linux代码中则常常反过来,先定义业务逻辑的结构体,在其内部嵌入链表字段list_head,顺着该字段遍历链表,在每个节点上根据该字段与所在结构体的偏移量找到所在结构体,访问业务逻辑字段:
Linux中常用的链表做法
这样做的好处是让业务逻辑和链表逻辑分离,Linux还定义了宏用于操作链表,以及根据链表字段找到所在结构体。如binder_proc结构体内部盛放多个list_head,表示把该结构体串入了不同的链表。
具体技巧可参见《Linux内核设计与实现》第6章。

INIT_LIST_HEAD(&proc->todo)

回到binder_open(…),除了直接字段赋值,需要解释的是几个链表字段的处理。
INIT_LIST_HEAD(&proc->todo)用于将todo的next、prev指针指向自己,该宏的定义在kernel/goldfish/include/linux/lish.t:24

static inline void INIT_LIST_HEAD(struct list_head *list)
{
    list->next = list;
    list->prev = list;
}

init_waitqueue_head(&proc->wait)

init_waitqueue_head(&proc->wait)这个宏定义在kernel/goldfish/include/linux/wait.h:81

#define init_waitqueue_head(q)              \
    do {                        \
        static struct lock_class_key __key; \
                            \
        __init_waitqueue_head((q), #q, &__key); \
    } while (0)

__init_waitqueue_head(...)定义在kernel/goldfish/kernel/wait.c:13,主要完成了对task_list字段的初始化:

void __init_waitqueue_head(wait_queue_head_t *q, const char *name, struct lock_class_key *key)
// q=(&proc->todo)
{
    spin_lock_init(&q->lock);
    lockdep_set_class_and_name(&q->lock, key, name);
    INIT_LIST_HEAD(&q->task_list);  // 为什么使用符号->来提领task_list呢?
}

说到底还是初始化proc->wait->task_list字段。不过有点奇怪task_list是wait内的结构体,而不是结构体指针,为什么对task_list的提领使用符号->呢?

struct binder_proc {
    ......
    wait_queue_head_t wait;
    ......
};

kernel/goldfish/include/linux/wait.h:53

struct __wait_queue_head {
    spinlock_t lock;
    struct list_head task_lis
最低0.47元/天 解锁文章

200万优质内容无限畅学
binder IPC TRANSACTION过程分析(BC_TRANSACTION->Binder Driver)
山庄来客的专栏
04-06 5108
Binder IPC通信过程中,进程间通过
binder学习笔记(十四)—— binder_thread_read(...)了什么?
ZChongr
08-13 5870
binder请求的发起端,binder_transaction()函数的结尾,第#198行,它将struct binder_transaction的work字段插入target_list的尾部,然后完成发起端的工作。 在接收端binder_loop()函数的第#19行,也在通过调用ioctl(bs->fd, BINDER_WRITE_READ, &bwr)等待着来自发起端的请求。在驱动层
Android内核之Binder消息处理:binder_transaction用法实例(七十三)
Android系统攻城狮
05-09 1579
本篇目的:Android内核之Binder消息处理:binder_transaction用法实例binder_transaction 函数是 Android Binder 驱动中的一个核心函数,它用于在 Binder 机制中实现客户端向服务端发送请求并接收响应的过程。以下是对 binder_transaction 函数作用的详细介绍:消息传递: 在 Android 中,Binder 机制允许不同的应用程序或系统组件之间进行进程间通信(IPC)。
深入解析Binder驱动核心结构
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
06-14 340
Binder驱动通过binder_proc结构体管理每个进程的Binder通信资源,该结构包含进程ID、线程池、服务对象和事务队列等信息。当进程首次打开/dev/binder时,驱动创建binder_proc并加入全局哈希表;关闭时释放资源。该结构体还负责进程间通信调度、权限校验和资源管理,是Binder机制的核心,所有事务处理都围绕它展开。关键源码位于drivers/android/binder.c,涵盖进程生命周期管理、事务分发等功能。
Android binder学习笔记4 - binder transact流程分析
HZero
09-10 4425
目录1. 前言2. IPCThreadState::self()->transact|- -writeTransactionData|- -IPCThreadState::waitForResponse|- - -talkWithDriver|- - - -binder_thread_write|- - - -binder_thread_read参考文档 1. 前言 在Android binder学习笔记2 - 获取ServiceManager中defaultServiceManager->Pr
Android Binder进程间通信机制
2401_84815303的博客
05-06 750
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Binder学习笔记(十三)—— 小结
ZChongr
08-07 1986
驱动层为什么要篡改binder_buffer内的数据?先给出这张图: 上图中标红的部分需要重点考虑,为什么驱动层要篡改这两个字段呢?我们结合前面的文章或许可以找出端倪。在Binder学习笔记(七)—— ServiceManager如何响应addService请求 ?一文中其实留下了挺多疑问。server端调用addService()向ServiceManager注册该Service,Serv
Android Binder 机制初步学习 笔记(二)—— Binder 设备基本操作实现
小石不识月,呼作白玉盘。
09-28 1806
Binder 设备基本操作实现:Binder 设备初始化、打开、内存映射与缓冲区管理。 binder_init() / binder_open() / binder_mmap()
Binder驱动笔记
guoqifa29的专栏
02-10 4342
Binder驱动笔记对于Binder驱动,可以一个个函数进行拆分学习,以管窥豹的方式进行理解。 以下函数分析都是基于驱动binder.c文件。1.binder_get_ref_for_node(target_proc,binder_node),该函数用来为Binder实体节点创建一个Binder引用节点,target_proc代表binder引用所在的进程。比如client获取service的Bin
Binder机制情景分析之transaction_stack
weixin_33738578的博客
12-01 687
. 概述 这里以注册服务为例,当led_control_service请求注册服务时是通过handle找到的ServiceManager,但是ServiceManager是如何找到led_control_service进行回复的呢? 答:这里驱动中用到了一个传送栈记录了发送和接收进程,线程的信息; 接下来我们讲下具体的流程; 二. t...
binder系统驱动情景分析 transaction_stack机制
aningxiaoxixi的博客
07-09 479
个人感觉似乎就是 源进程把数据放到 目的进程的 todo 链表,从而唤醒目的进程,数据被目的进程处理。 当一个进程进入 binder驱动,那么就会创建一个 binder_proc 结构体 结构体binder_proc用来描述一个正在使用Binder进程间通信机制的进程。当一个进程调用函数open打开/dev/binder设备文件时, Binder驱动程序就会为该进程创建一个binder_proc结构体,并且保存在全局的binder_procs链表中。 当A给B发送数据的时候 数据会带上 BC_T.
Binder
somethingstill的博客
08-12 607
每个线程都有一个IPCThreadState,每个IPCThreadState中都有一个mIn,mOut,mIn是用来接收来自Binder设备的数据,mOut是用来存储发往Binder设备的数据。c、client根据得到的service信息与service所在的server进程建立通信的通路,然后就可以直接与 service交互,client是service的客户端。注:TLS是Thread Local Storage线程本地存储空间的简称,这种空间每个线程都有,线程间不会共享。...
2.7_Binder系统_transaction_stack机制_REPLY
u010798513的博客
05-27 308
总体流程: 有两个问题 1、发给谁: test_server中可能有多个线程,binder_proc进程中有todo链表, 进程的thread中也有多个链表。 数据一般放在bind_proc的todo链表中,线程中哪个空闲哪个来执行(唤醒等待于binder_proc,wait的空闲进程)。 proc中有todo链表与wait 对于双向传输,则放放在binder_thread.todo里,如何判断是否为双向传输通过 binder_transaction判断 一开始没有数据,那就放至p.
【译】BINDER TRANSACTIONS IN THE BOWELS OF THE LINUX KERNEL
omnispace的博客
03-31 641
活页夹是Android中主要的IPC / RPC(进程间通信)系统。它允许应用程序彼此通信,并且它是Android环境中几种重要机制的基础。例如,Android服务是建立在Binder之上的。与Binder交换的消息称为活页夹事务,它们可以传输简单数据(例如整数),但也可以处理更复杂的结构,例如文件描述符,内存缓冲区或对象上的弱/强引用。Internet上有很多有趣的Binder文档,但...
binder驱动-交互时的传输实现()
zgolee的专栏
09-20 3201
目录: 一、binder初始化 二、binder_open()、binder_mmap() 三、binder通讯实现 3.1场景概念 3.2 Transaction request 3.3 transaction async request 3.4 receive
红茶一杯话Binder(传输机制篇_上)
weixin_34357436的博客
08-12 266
2019独角兽企业重金招聘Python工程师标准>>> ...
::ndk::ScopedAStatus BpCameraService::addListener(const std::shared_ptr<::aidl::android::frameworks::cameraservice::service::ICameraServiceListener>& in_listener, std::vector<::aidl::android::frameworks::cameraservice::service::CameraStatusAndId>* _aidl_return) { binder_status_t _aidl_ret_status = STATUS_OK; ::ndk::ScopedAStatus _aidl_status; ::ndk::ScopedAParcel _aidl_in; ::ndk::ScopedAParcel _aidl_out; _aidl_ret_status = AIBinder_prepareTransaction(asBinder().get(), _aidl_in.getR()); if (_aidl_ret_status != STATUS_OK) goto _aidl_error; _aidl_ret_status = ::ndk::AParcel_writeData(_aidl_in.get(), in_listener); if (_aidl_ret_status != STATUS_OK) goto _aidl_error; _aidl_ret_status = AIBinder_transact( asBinder().get(), (FIRST_CALL_TRANSACTION + 0 /*addListener*/), _aidl_in.getR(), _aidl_out.getR(), 0 #ifdef BINDER_STABILITY_SUPPORT | FLAG_PRIVATE_LOCAL #endif // BINDER_STABILITY_SUPPORT ); if (_aidl_ret_status == STATUS_UNKNOWN_TRANSACTION && ICameraService::getDefaultImpl()) { _aidl_status = ICameraService::getDefaultImpl()->addListener(in_listener, _aidl_return); goto _aidl_status_return; } if (_aidl_ret_status != STATUS_OK) goto _aidl_error; _aidl_ret_status = AParcel_readStatusHeader(_aidl_out.get(), _aidl_status.getR()); if (_aidl_ret_status != STATUS_OK) goto _aidl_error; if (!AStatus_isOk(_aidl_status.get())) goto _aidl_status_return; _aidl_ret_status = ::ndk::AParcel_readData(_aidl_out.get(), _aidl_return); if (_aidl_ret_status != STATUS_OK) goto _aidl_error; _aidl_error: _aidl_status.set(AStatus_fromStatus(_aidl_ret_status)); _aidl_status_return: return _aidl_status; }
最新发布
08-14
嗯,用户给了一个C++的Binder客户端代码片段,看起来是Android NDK中的BpCameraService的addListener方法实现。用户可能是在开发Android相机服务相关的功能,遇到了问题,或者想理解这段代码的工作原理。首先,我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值