FBE是什么 FDE和FBE有什么區(qū)別

File-Based Encryption，又稱Filesystem-Level Encryption，文件系統(tǒng)加密。相比于FBE，第二個名字更能體現(xiàn)方案基于文件系統(tǒng)的技術(shù)特點。而基于文件系統(tǒng)的特點，一方面決定了只能由軟件實現(xiàn)，另一方面決定了各方案差異也主要圍繞在文件系統(tǒng)。

常見FBE方案，一般分為Stackable cryptographic filesystem 和Native/General filesystem
with encryption兩種。

第一種，新增一個加解密文件系統(tǒng)，堆疊在現(xiàn)有存儲軟件棧的某一層。例如Linux內(nèi)核自v2.6.19開始支持，已很成熟穩(wěn)定的eCryptfs方案，就是在VFS-》 Native FS層之間加入新加解密文件系統(tǒng)支持。類似還有基于用戶態(tài)文件系統(tǒng)FUSE的各種方案。

第二種，在現(xiàn)有文件系統(tǒng)中引入加解密功能。例如Linux內(nèi)核自v4.1支持的Ext4文件系統(tǒng)加密，自v4.2支持的F2FS文件系統(tǒng)加密，自v4.10后支持的UBIFS文件系統(tǒng)加密。需要說明的是，內(nèi)核中Ext4、F2FS、ubifs共用加解密功能模塊，即內(nèi)核fscrypt特性。另外，Android系統(tǒng)引入的FBE方案，底層內(nèi)核實現(xiàn)也是基于F2FS+fscrypt。

和FDE方案相比，F(xiàn)BE有幾個顯著的特點：

1、支持單獨的目錄或文件加密，方便靈活使用配置。只加密目標對象，不加密整個磁盤，降低了系統(tǒng)加解密負載開銷。

2、支持不同目錄/文件使用不同加密密鑰。

3、加密目錄和非加密目錄并存（甚至一個加密目錄中加密和非加密文件也可以并存）。加密目錄文件的備份傳輸靈活方便。

FDE vs FBE

前面分析已經(jīng)知道，軟件FDE和FBE都是基于文件系統(tǒng)，差別主要在文件系統(tǒng)實現(xiàn)差異，整理對比如下：

【說明】軟件FDE/FBE主要是指其加解密功能主體在軟件（文件系統(tǒng)）實現(xiàn)，并不意味著不使用硬件，相反為了提高性能，也會利用類似Crypto Engine等硬件引擎來加速。

從整個系統(tǒng)軟硬件架構(gòu)分析，可將硬件FDE、軟件FDE、以FBE實現(xiàn)和系統(tǒng)軟硬件架構(gòu)的關(guān)系位置描述如下圖：

上圖中，磁盤加密方案，越往上層實現(xiàn)用戶使用配置越靈活，但性能差；越往下層實現(xiàn)越不靈活，但對用戶越透明且性能越好。結(jié)合前文描述，將FDE和FBE兩種方案的差異對比整理如下：