整體架構(gòu)

eCryptfs整體架構(gòu)如下圖，主要是內(nèi)核模塊eCryptfs以及用戶態(tài)進程ecryptfsd。ecryptfsd進程只在使用key type為openssl模式時需要，使用passphrase模式（如上述測試用例）時不需要。ecryptfs-utils可作為用戶態(tài)輔助工具或C接口編程參考。

應(yīng)用程序發(fā)起系統(tǒng)調(diào)用時先經(jīng)過VFS，判斷目錄類型為eCryptfs時調(diào)用eCryptfs模塊的注冊函數(shù)。之后eCryptfs根據(jù)mountsession中保存的key signature參數(shù)從keyring中找到對應(yīng)密鑰（FEKEK），再調(diào)用crypto模塊API完成文件加解密。

eCryptfs核心加解密機制如下圖，主要特點歸納如下：

1、FEK（File Encryption Key）唯一，即每個文件的加密密鑰均不同，是隨文件創(chuàng)建時生成的一個隨機數(shù)。

2、每個文件的FEK經(jīng)過FEKEK（File Encryption Key Encryption Key）加密保護，加密后FEK稱為EFEK（Encrypted File Encryption Key），并保存在eCryptfs加密文件的header信息中（如前述page 0區(qū)域）。

3、passphrase模式下，F(xiàn)EKEK是基于用戶passphrase_passwd派生而來，派生方式是hash計算（參考代碼分析章節(jié)）。

4、文件內(nèi)容按照page大小（Data Extent）進行塊加密。

核心過程可簡單描述為：

1、新文件加密時，生成隨機數(shù)FEK，對文件內(nèi)容進行分塊加密并存儲。根據(jù)用戶傳遞的key_sig參數(shù)從keyring找到對應(yīng)的FEKEK，用FEKEK加密FEK，生成EFEK并保存在文件header中。

2、解密時，同樣根絕key_sig找到FEKEK，用FEKEK解密EFEK后得到FEK，再用FEK解密文件內(nèi)容。