Android 15存储子系统深度解析（三）：FBE加密文件系统与存储性能优化实战

引言

在前两篇文章中，我们深入分析了Android 15的Vold存储管理框架和FUSE文件系统。本篇作为存储子系统系列的收官之作，将重点聚焦于存储安全与性能优化两大核心主题：

• FBE（File-Based Encryption）：Android 7.0引入、在Android 15进一步增强的文件级加密机制
• f2fs：针对Flash存储优化的文件系统，Android 15默认推荐文件系统
• 存储性能优化：从诊断到调优的完整实战方法论

这三者紧密关联：FBE加密保证了数据安全但会带来性能开销，f2fs通过专门优化减少这一开销，而性能优化则需要理解二者的配合机制。

本文内容概览

1. FBE加密机制深度解析

   • FBE vs FDE对比
   • CE/DE密钥体系
   • 加密策略与密钥派生
   • Keymaster HAL与硬件支持

2. f2fs文件系统核心特性

   • Flash友好的设计哲学
   • 多头日志与热/冷数据分离
   • 在线碎片整理与GC机制
   • Android 15中的f2fs增强

3. Metadata加密与完整性保护

   • dm-default-key设备映射器
   • Metadata加密实现
   • fsverity完整性验证

4. 存储性能分析与优化

   • I/O性能基准测试
   • systrace/perfetto存储追踪
   • 常见性能问题诊断
   • f2fs调优参数详解

5. 实战：存储问题诊断案例

   • 慢速读写问题定位
   • 随机I/O性能调优
   • 空间占用异常排查

让我们开始深入探索Android 15存储系统的安全与性能奥秘！

一、FBE加密机制深度解析

1.1 为什么需要FBE？

在Android 7.0之前，Android使用FDE（Full Disk Encryption，全盘加密）：整个/data分区使用单一密钥加密，解锁手机后密钥加载到内存，所有数据可访问。

FDE的问题：

• 开机后无法接听电话、接收闹钟（因为/data未解密）
• 必须先输入密码才能启动系统核心功能
• OTA升级需要用户手动输入密码

FBE的优势：

┌─────────────────┬──────────────────┐ │ FDE (全盘加密) │ FBE (文件加密) │ ├─────────────────┼──────────────────┤ │ 单一加密密钥 │ 多密钥体系 │ │ 必须解锁才能开机 │ Direct Boot支持 │ │ 无法接听来电 │ 开机即可接电话 │ │ OTA需要密码 │ OTA可后台进行 │ │ 性能开销大 │ 按需加密，开销小 │ └─────────────────┴──────────────────┘

1.2 FBE核心概念：CE与DE密钥

FBE引入了两级密钥体系：

DE (Device Encrypted) - 设备加密

// system/vold/FsCrypt.cpp - DE密钥路径staticstd::stringget_de_key_path(userid_t user_id){returnStringPrintf("%s/de/%d",user_key_dir.c_str(),user_id);}

特点：

• 开机后即可用（系统启动时自动加载）
• 不依赖用户凭证（PIN/密码/指纹）
• 用于存储系统核心功能数据

典型用途：

# DE加密的目录示例/data/user_de/0/com.android.providers.telephony# 电话应用/data/user_de/0/com.android.deskclock# 闹钟应用/data/user_de/0/com.android.bluetooth# 蓝牙

CE (Credential Encrypted) - 凭证加密

// system/vold/FsCrypt.cpp - CE密钥路径staticstd::stringget_ce_key_directory_path(userid_t user_id){returnStringPrintf("%s/ce/%d",user_key_dir.c_str(),user_id);}

特点：

• 用户解锁后才可用（从Keymaster派生）
• 基于用户凭证（PIN/密码/指纹）
• 用户锁屏后，CE密钥从内存清除

典型用途：

# CE加密的目录示例/data/user/0/com.android.providers.contacts# 联系人/data/user/0/com.android.providers.media# 相册/data/user/0/com.whatsapp# 应用私有数据

1.3 FBE密钥派生流程

让我们从源码角度看密钥是如何生成和管理的：

1.3.1 DE密钥创建

// system/vold/FsCrypt.cppstaticboolcreate_de_key(userid_t user_id,boolephemeral){KeyBuffer de_key;std::string de_key_path=get_de_key_path(user_id);// 1. 生成随机密钥（或从Keymaster派生）autoconst&options=BuildDataEncryptionOptions(s_data_options,ephemeral);KeyGeneration key_gen=makeGen(options);if(!generateStorageKey(key_gen,&de_key)){LOG(ERROR)<<"Failed to generate DE key for user "<<user_id;returnfalse;}// 2. 将密钥存储到文件系统if(!android::vold::storeKey(de_key_path,user_key_temp,de_key)){LOG(ERROR)<<"Failed to store DE key";returnfalse;}// 3. 在内核中安装加密策略EncryptionPolicy de_policy;if(!installKey(de_key,de_policy)){LOG(ERROR)<<"Failed to install DE policy";returnfalse;}s_de_policies[user_id].internal=de_policy;LOG(INFO)<<"Created DE key for user "<<user_id;returntrue;}

关键步骤：

1. 生成密钥：调用generateStorageKey()生成AES-256密钥
2. 持久化存储：密钥文件存放在/data/misc/vold/user_keys/de/<userid>/
3. 内核安装：通过FS_IOC_ADD_ENCRYPTION_KEYioctl安装到内核

1.3.2 CE密钥创建与派生

// system/vold/FsCrypt.cppboolfscrypt_prepare_user_storage(conststd::string&volume_uuid,userid_t user_id,intserial,intflags){// CE密钥创建if(flags&android::os::IVold::STORAGE_FLAG_CE){// 1. 从用户凭证派生密钥android::vold::KeyAuthentication auth;if(!getUserKeyAuth(user_id,&auth)){returnfalse;}KeyBuffer ce_key;if(!retrieveOrGenerateKey(ce_key_path,auth,makeGen(s_data_options),&ce_key)){returnfalse;}// 2. 安装CE加密策略EncryptionPolicy ce_policy;if(!install_storage_key(BuildDataPath(volume_uuid),s_data_options,ce_key,&ce_policy)){returnfalse;}s_ce_policies[user_id].internal=ce_policy;}returntrue;}

CE密钥派生链：

用户密码/PIN ↓ scrypt(密码, salt) ← 密钥派生函数 ↓ 派生密钥 (Derived Key) ↓ Keymaster派生 (Hardware-backed) ↓ CE加密密钥 (AES-256) ↓ 内核fscrypt子系统

1.4 Fscrypt内核接口

Android通过libfscrypt库与内核fscrypt子系统交互：

// system/extras/libfscrypt/fscrypt.cpp// 添加加密密钥到内核boolfscrypt_add_key_to_keyring(constfscrypt_key&key,constchar*mountpoint){android::base::unique_fdfd(open(mountpoint,O_RDONLY|O_DIRECTORY|O_CLOEXEC));structfscrypt_add_key_argarg;memset(&arg,0,sizeof(arg));arg.key_spec.type=FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR;memcpy(arg.key_spec.u.descriptor,key.fek,FSCRYPT_KEY_DESCRIPTOR_SIZE);arg.raw_size=key.fek_size;memcpy(arg.raw,key.fek,key.fek_size);// ioctl系统调用if(ioctl(fd,FS_IOC_ADD_ENCRYPTION_KEY,&arg)!=0){PLOG(ERROR)<<"FS_IOC_ADD_ENCRYPTION_KEY failed";returnfalse;}returntrue;}// 设置目录加密策略boolfscrypt_policy_set(constchar*directory,constfscrypt_policy_v2&policy){android::base::unique_fdfd(open(directory,O_RDONLY|O_DIRECTORY|O_CLOEXEC));// 使用v2策略（Android 11+）if(ioctl(fd,FS_IOC_SET_ENCRYPTION_POLICY,&policy)!=0){PLOG(ERROR)<<"FS_IOC_SET_ENCRYPTION_POLICY failed on "<<directory;returnfalse;}returntrue;}

内核ioctl命令：

// Linux kernel include/uapi/linux/fscrypt.h#defineFS_IOC_SET_ENCRYPTION_POLICY_IOR('f',19,structfscrypt_policy_v2)#