深入解析Binder源码

时间:2024-12-12 15:26:23

Linux鼻祖LinusTorvalds曾说过的一句话:Read The Fucking Source Code。

注:以下记录需对照着源码看

 

目录

 

一、Binder核心方法:

二、Binder通信协议:

三、Binder启动ServiceManager:

四、获取ServiceManager

五、注册服务addService

六、获取服务getService()

七、Framework层分析


一、Binder核心方法:

binder_init()驱动设备的初始化
	misc_register()注册misc设备
binder_open()打开binder驱动设备
	binder_proc对象 管理IPC所需的各种信息,并拥有其他结构体的根结构体
	filp->private_data = proc;  把binder_proc对象保存到文件指针filp
binder_mmap() 用户空间的Buffer和内核空间的Buffer映射
	area=get_vm_area() 分配一个连续的内核虚拟空间,与用户虚拟空间大小一致
	binder_update_page_range() 分配物理页面,同时映射到内核空间和用户空间
		alloc_page() 分配一个page的物理内存
		ret=map_kernel_range_noflush() 物理空间映射到虚拟内核空间
		ret=vm_insert_page() 物理空间映射到虚拟用户空间
	//binder_alloc_buf() 用于分配内存
 binder_ioctl() 数据操作( ioctl(文件描述符,ioctl命令,数据类型))
	binder_get_thread() 获取binder_thread
		 //根据当前进程的pid,从binder_proc中查找相应的binder_thread
		 //如果不存在则创建binderthread,并将当前线程添加到当前的proc
	binder_ioctl_write_read() 进行binder读写操作
		copy_from_user() 把用户空间的数据ubuf拷贝到内核空间bwr
			if(bwr.write_size>0即bwr写缓存有数据) 
				ret=binder_thread_write() 执行binder写操作
				if(ret<0写失败)
					copy_to_user将bwr数据写回用户空间
			if(bwr.read_size>0读缓存中有数据)
				ret=binder_thread_read() 执行binder读操作
				if(ret<0读失败)
					copy_to_user将bwr数据写回用户空间
			if(copy_to_user()) 将内核数据bwr拷贝到用户空间ubuf

二、Binder通信协议:

binder_thread_write() 处理Binder协议中的请求码。
	请求码为BC_TRANSACTION或BC_REPLY
		copy_from_user()//拷贝用户空间tr到内核
		binder_transaction()
			分配两个结构体内存
			从target_proc分配一块buffer
			向目标进程的target_list添加BINDER_WORK_TRANSACTION事务
			向当前线程的todo队列添加BINDER_WORK_TRANSACTION_COMPLETE事务
binder_thread_read() 根据不同的binder_work->type以及不同状态,生成相应的响应码。
	根据wait_for_proc_work来决定wait在当前线程还是进程的等待队列


三、Binder启动ServiceManager:


1.打开bndier驱动,binder_open
2.注册成为binder服务的大管家:binder_beome_context_manager
3.启动无限循环,处理client端发来的binder
service_manager.c中的main() service_manager 的入口函数
	binder_open() 打开binder驱动,申请内存
		open() 通过系统调用陷入内核,打开Binder设备驱动
		通过系统调用,ioctl获取binder版本信息
		mmap()通过系统调用,mmap内存映射,mmap必须是page的整数倍
	成为上下文管理者
	if(selinux_enabled>0)
		if(sehandle==null)
			abort()无法获取
		if(getcon(&service_manager_context)!=0)
			abort()无法获取service_manager上下文
	binder_loop() 进入无限循环,处理client端发来的请求
		binder_write() 将BC_ENTER_LOOPER命令发送给binder驱动,让service manager进入循环
			根据传进来的参数,初始化bwr
			return ioctl() 通过ioctl将bwr数据发送给binder驱动
		ioctl()进入循环,不断地binder读写过程
			binder.get_thread() 获取binder_thread
			binder_ioctl_write_read()
				copy_from_user()把用户空间数据拷贝到bwr
				binder_thread_write() 主要是设置当前线程的looper状态为BINDER_LOOPER_STATE_ENTERED
				copy_to_user()将内核数据bwr拷贝到用户空间
		binder_parse()解析binder信息	
			bio_init()
			bio_init_from_txn()
			func(bs,txn,&msg,&reply);//svcmgr_handler()
				bio_get_string16()服务名
				do_find_service() 根据名称查找相应的服务
					find_svc() 查询相应的服务
						服务存在,返回相应服务名,否则返回null		
					检查服务是否允许孤立于进程而单独存在
					服务是否满足查询条件
				bio_put_ref() 
					if(handle) bio_alloc_obj()
						bio_alloc()
					else bio_alloc()
				bio_get_string16()服务名
				bio_get_ref()
				do_add_service()注册指定服务	
					svc_can_register()权限检查
						check_mac_perms_form_lookup()检查selinux权限是否满足
					find_svc()服务检索
					svcinfo_death()服务已注册时,释放相应的服务	
					binder_acquire()
					binder_link_to death()	
						binder_write()	
			binder_send_reply()
				binder_write() 这个
binder_become_context_manager() 通 知 binder 驱 动 使 其 成 为 守 护 进 程
	return ioctl(bs->fd,BINDER_SET_CONTEXT_MGR,0)通过ioctl,传递BINDER_SET_CONTEXT_MGR指令
		binder_ioctl_set_ctx_mgr()里面调用的这个方法
			binder_new_node()创建service实体
				kzallor给新建的binder_node分配内核空间
				rb_linko_node() 将新建的node对象添加到proc红黑树


四、获取ServiceManager

defaultServiceManager()
gDefaultServiceManager的创建过程:
	1.ProcessState::self() 获取ProcessState对象(单例),一个进程一个,存在则返回,否则创建
		new ProcessState 实例化ProcessState
		初始化ProcessState
		open_driver()
			open("/dev/binder",o_RDWR);打开/dev/binder设备,建立与内核的Binder驱动的交互通道
	2.getContextObject() 获取BpBinder对象
		getStrongProxyForHandle(0) 获取handle=0的IBinder
			lookupHandleLocked(handle) 查找handle对应的资源项
				根据handle查找对应的handle_entry
				当handle大于mHandleToObject的Vector长度时
					mHandleToObject.insertAt() 则向该Vector添加(handle+1-N)个结构体,
				然后再返回handle向对应位置的handle_entry结构体指针
			new BpBinder(handle) 当handle值对应的IBinder不存在或弱引用无效,则创建BpBinder对象()
			针对handle=0特殊情况,通过PING_TRANSACTION来判断是否准备就绪
	3.interface_cast<IServiceManager>() 获取BpServiceManager对象
		INTERFACE::asInterface()
		DECLARE_META_INTERFACE(ServiceManager) 
			声明asInterface(),getInterfaceDesciptor()
		IMPLEMENT_META_INTERDACE(ServiceManager,"android.os.IServiceManager")
		BpServiceManager实例化<-BpInterface<-BpRefBase //BpRefBase的mRemote指向new BpBinder(0)


五、注册服务addService

media服务注册
main_mediaserver.cpp的main() 入口函数
	sp<ProcessState> proc(ProcessState::self())获得ProcessState实例
		new ProcessState 单例,保证一个进程一个ProcessState对象
			open_driver() 打开Binder驱动
				open("/dev/binder",O_RDWR) 打开/dev/binder设备,建立与内核的Binder驱动的交互通道
				ioctl() 设置binder驱动,能支持的最大线程数
			mmap() 采用内存映射函数,给binder分配一块虚拟地址空间
			close() 没有足够空间分配,关闭驱动
	defaultServiceManager() 获取BpServiceManager对象
	注册多媒体服务
	startThreadPool() 启动Binder线程池
	joinThreadPool() 当前线程加入到线程池
服务注册MediaPlayerService::instantiate()
	addService()注册服务
		Parcelle data ,reply; Parcel数据通道
		data.writeInterfaveToken(IServiceManager::getInterfaceDescriptor()) 写入头信息
		data.writeString16(name) 
		data.writeStrongBinder(service) MediaPlayerService对象
			flatten_binder()
				localBinder()
				finish_flatten_binder()
		remote()->transact() //remote()指向BpBinder对象
	BpBinder::transact	
		IPCThreadState::self()->transact() Binder代理类调用transact(),真正工作还是交给IPCThreadSate进行transact工作
			new IPCThreadState;  初始IPCThreadState
			pthread_key_creat() 创建线程的TLS
	IPC::transact
		errorCheck() 数据检查错误
		writeTransactionData() 传输数据
		waitForResponse() 等待相应
			talkWithDriver() 
				ioctl() 通过ioctl不停读写,跟Binder Driver进行通信
			executeCommand()
Binder Driver		
binder_ioctl_write_read()
	copy_from_user() 将用户空间bwr结构体拷贝到内核空间
	binder_thread_write() 将数据放入目标进程
	binder_thread_read() 读取自己队列的数据
	copy_to_user() 将内核空间bwr结构体拷贝到用户空间
binder_thread_write()
	getUser() 拷贝用户空间的cmd命令
	copy_from_user() 拷贝用户空间的binder_transaction_data
	binder_transaction() 
		binder_get_node() //从binder_proc来根据binder指针ptr指,查询相应的binder_node
		binder_new_node() 服务所在进程 创建binder_node实体
			kzaalloc() 给新创建的binder_node分配内核空间
			rb_link_node() 将新创建的node添加到proc红黑树
		binder_get_ref_for_node() servicemanager进程binder_ref
ServiceManager:
启动ServiceManager,循环在binder_loop()过程,会调用binder_parse()
binder_parse()
	bio_init_from_txn() 从txn解析出binder_io信息
	func() 收到binder事务
	binder_send_reply() 发送reply事件
svcmgr_handler()
	do_add_service() 注册指定服务
		权限检查
		服务检索
binder_rend_reply()
	binder_write() 向Binder驱动通信

六、获取服务getService()

getMediaPlayService()
	defaultServiceManager() 获取驱动Service
	getService("media.player") 获取名为“media.player”的服务
		checkService() 检索服务,存在即返回,否则sleep(1)再检索,循环5次
			data.writeInterfaceToken()写入RPC头
			data.writeString16()写入服务名
			remote()->transact() remote()为BpBinder
				IPCThreadState::self()->transact() 真正工作交给IPCThreadState来进行transact
					errorCheck() 数据错误检查
					writeTransactionData() 数据传输
					waitForResponse() 等待响应
						talkWithDriver() 
							ioctl() 通过ioctl不停的读写操作,跟Binder Driver进行通信
							binder_transaction()
							binder_thread_read()
			readStrongBinder() 功能:flat_binder_object解析并创建BpBinder对象
				unflatten_binder()
					reinterpret_cast() 当请求服务的进程和服务属于同一进程
					getStrongProxyForHandle() 请求服务的进程与服务属于不同进程
						lookupHandleLocked() 查找handle对应的资源项

	linkToDeath() 将死亡通知连接到binder

七、Framework层分析

1.初始化
AndroidRuntime::startReg() //完成jni方法的注册
	register_jni_procs(gRegJNI, NELEM(gRegJNI),env) //注册jni(), gRegJNI是数组,记录所有需要注册的jni(),比如REG_JNI(register_android_os_Binder)
register_android_os_Binder()
	int_register_android_os_Binder() //注册Binder类的jni()
		gBinderOffsets //是全局静态结构体,保存了类本身及成员方法,execTransat(),mObject属性。
		gBinderMethodsOrDie //将gBinderMethods数组完成映射关系,从而为Java层访问JNI层提供通道
	int_register_android_os_BinderInternal() //注册BinderInternal类的jni()
		gBinderInternalOffsetd() //保存了BinderInternal的forceBinderIGc()
	int_register_android_os_BinderProxy() //注册BinderProxy类的jni()
		gBinderProxyOffsets //保存了BinderProxy的构造方法,sendDeayhNotice(),mObject,mySelf,mOrgue
2.注册服务(有点乱)
ServiceManager.addService()
	getIServiceManager() //先获取SMP对象,则执行注册服务操作
		getContextObject() //等价于new BinderProxy()
			getContextObject() //等价于new BpBinder(0)
			javaObjectForIBinder() //创建BinderProxy对象,并存到BinderProxy.mObject成员变量            
ServiceManagerNative.asInterface()
	new ServiceManagerProxy() //SMP初始化
ServiceManagerProxy.addService()
	writeStrongBinder()
		nativewriteStrongBinder()//此处为native调用
			android_os_Parcel_writeStrongBinder()
				reinterpret_cast() //将Java层Parcel转换为native
				ibinderForJavaObject() //创建JavaBBinderHolder对象,并把地址保存到Binder.mObject成员变量
					JavaBBinderHolder.get()
						new JavaBinder() //首次进来,创建JavaBBinder对象
	mRemote.transact()	
BinderProxy.transact
	checkParcel() //用于检测Parcel大小
	transactNative()
		 //最终交由Native层的BpBinder::transact()完成	
3.获取服务
ServiceManager.getService()
	sCache.get() //先从缓存中查看
	getIServiceManager().getService() //getIServiceManager()等价于ServiceManagerProxy(new BinderProxy())
		ServiceManagerProxy.getService()
			mRemote.transact() //mRemote为BinderProxy:
				android_os_BinderProxy_transact()
					parcelForJavaObject() //Java Parcel转为native parcel
					gBinderProxyOffsets.mObject()// 保存的是new BpBinder(0)对象
					transact() //此处便是BpBinder::transact(),经过native层
						IPCThreadState::transact()
							errorCheck() //数据错误检查
							writeTransactionData() //传输数据
							waitForResponse() //等待回应事件
								//当reply对象回收时,则会调用freeBuffer来回收内存。
								//reply来源:binder_send_reply
			reply.readStrongBinder() //从reply里面解析出获取的IBinder对象,基本是writeStrongBinder逆过程
				readStrongBinder()
					unflatten_binder()
						getStrongProxyForHandle()
							lookupHandleLocked()//查找handle对应的资源项
							new BpBinder() //当handle值所对应的IBinder不存在或弱引用无效,则创建BpBinder对象