File-Based Encryption，又稱Filesystem-Level Encryption，文件系統(tǒng)加密。相比于FBE，第二個(gè)名字更能體現(xiàn)方案基于文件系統(tǒng)的技術(shù)特點(diǎn)。而基于文件系統(tǒng)的特點(diǎn)，一方面決定了只能由軟件實(shí)現(xiàn)，另一方面決定了各方案差異也主要圍繞在文件系統(tǒng)。

常見(jiàn)FBE方案，一般分為Stackable cryptographic filesystem 和Native/General filesystem
with encryption兩種。

第一種，新增一個(gè)加解密文件系統(tǒng)，堆疊在現(xiàn)有存儲(chǔ)軟件棧的某一層。例如Linux內(nèi)核自v2.6.19開(kāi)始支持，已很成熟穩(wěn)定的eCryptfs方案，就是在VFS-》 Native FS層之間加入新加解密文件系統(tǒng)支持。類(lèi)似還有基于用戶態(tài)文件系統(tǒng)FUSE的各種方案。

第二種，在現(xiàn)有文件系統(tǒng)中引入加解密功能。例如Linux內(nèi)核自v4.1支持的Ext4文件系統(tǒng)加密，自v4.2支持的F2FS文件系統(tǒng)加密，自v4.10后支持的UBIFS文件系統(tǒng)加密。需要說(shuō)明的是，內(nèi)核中Ext4、F2FS、ubifs共用加解密功能模塊，即內(nèi)核fscrypt特性。另外，Android系統(tǒng)引入的FBE方案，底層內(nèi)核實(shí)現(xiàn)也是基于F2FS+fscrypt。

和FDE方案相比，F(xiàn)BE有幾個(gè)顯著的特點(diǎn)：

1、支持單獨(dú)的目錄或文件加密，方便靈活使用配置。只加密目標(biāo)對(duì)象，不加密整個(gè)磁盤(pán)，降低了系統(tǒng)加解密負(fù)載開(kāi)銷(xiāo)。

2、支持不同目錄/文件使用不同加密密鑰。

3、加密目錄和非加密目錄并存（甚至一個(gè)加密目錄中加密和非加密文件也可以并存）。加密目錄文件的備份傳輸靈活方便。

FDE vs FBE

前面分析已經(jīng)知道，軟件FDE和FBE都是基于文件系統(tǒng)，差別主要在文件系統(tǒng)實(shí)現(xiàn)差異，整理對(duì)比如下：

【說(shuō)明】軟件FDE/FBE主要是指其加解密功能主體在軟件（文件系統(tǒng)）實(shí)現(xiàn)，并不意味著不使用硬件，相反為了提高性能，也會(huì)利用類(lèi)似Crypto Engine等硬件引擎來(lái)加速。

從整個(gè)系統(tǒng)軟硬件架構(gòu)分析，可將硬件FDE、軟件FDE、以FBE實(shí)現(xiàn)和系統(tǒng)軟硬件架構(gòu)的關(guān)系位置描述如下圖：

上圖中，磁盤(pán)加密方案，越往上層實(shí)現(xiàn)用戶使用配置越靈活，但性能差；越往下層實(shí)現(xiàn)越不靈活，但對(duì)用戶越透明且性能越好。結(jié)合前文描述，將FDE和FBE兩種方案的差異對(duì)比整理如下：