嵌入式Linux的OTA更新,第1部分-基礎(chǔ)知識和實現(xiàn)
一旦嵌入式Linux產(chǎn)品離開實驗室進(jìn)入現(xiàn)實世界,如何更新設(shè)備的問題將成為重要考慮。
更新并不總是必要的,但是很難想出有哪些軟件沒有在某個時候發(fā)現(xiàn)的錯誤。即使您的軟件是完美的,如果設(shè)備在網(wǎng)絡(luò)上或互聯(lián)網(wǎng)上與任何開源庫進(jìn)行通信,安全更新也可能成為必需品。
以CV-2104-01650(心出血)為例。這個漏洞影響了開放SSL密碼庫,也影響了網(wǎng)絡(luò)上三分之二的網(wǎng)站。即使在三年后的今天,還有很多嵌入式的Linux設(shè)備運行著一個未經(jīng)防御的版本的開放式攻擊。
塊與文件更新
在討論更新Linux時,您可能會看到"塊"和"文件"更新系統(tǒng)正在被提及。這是指通過直接寫入塊設(shè)備或更新單個文件來一次更新整個分區(qū)。您可能熟悉來自臺式機(jī)或服務(wù)器Linux的文件更新系統(tǒng)(例如"Sudo應(yīng)用程序升級")。
在基于嵌入式Linux塊的升級中,由于其原子性和整個文件系統(tǒng)通常是嵌入式Linux構(gòu)建系統(tǒng)的輸出這一事實,這是前進(jìn)的道路。我們希望每個嵌入式設(shè)備上的存儲空間對于一個特定的產(chǎn)品來說是常量的,所以我們每次都創(chuàng)建相同的大小分區(qū)。這種類型的更新與具有某種備份或恢復(fù)的圖像同時進(jìn)行。
失敗時回收
我們絕不希望該設(shè)備處于無法使用的狀態(tài)(例如,如果發(fā)生斷電)。我們可以通過確保在更新過程中出現(xiàn)任何錯誤時總是有可能"退回"到另一個分區(qū)來解決這個問題。
圖1失敗時的恢復(fù)-撤退選項
上面您可以看到兩個可能的實現(xiàn),在電源中斷的情況下,一個備份模式。在左側(cè),引導(dǎo)加載程序啟動一個救援分區(qū),然后引導(dǎo)進(jìn)入一個主分區(qū)。在右側(cè),引導(dǎo)加載程序啟動基于開關(guān)的兩個分區(qū)之一。
引導(dǎo)加載程序應(yīng)該實現(xiàn)某種方法,以確定引導(dǎo)是否成功,如果沒有,則應(yīng)該返回到救援分區(qū)(左側(cè)圖)或先前的工作分區(qū)(右側(cè)圖)。
救援方法(左)允許向主分區(qū)提供更多的空間,而雙根方法(右)要求在兩個分區(qū)之間或多或少地平均分配空間。如果空間不是一個問題,那么建議使用雙根法,只是因為它會減少停機(jī)時間。通過救援方法更新需要兩次重新啟動,一次進(jìn)入救援分區(qū),另一次回到主分區(qū)。雙根文件方法只需要重新啟動一次,因為任何時候都可以執(zhí)行更新。
在這些系統(tǒng)中,您無法安全地更新的是引導(dǎo)加載程序(或者說救援分區(qū))。如果您也希望能夠更新引導(dǎo)加載程序,那么您將需要兩個獨立的引導(dǎo)加載程序分區(qū),以及某種董事會管理控制器來實現(xiàn)在這兩個程序之間切換的邏輯。
圖2故障恢復(fù)--董事會管理控制器
當(dāng)然,這是一個復(fù)雜的解決方案,需要一個額外的微控制器,一套新的固件,以及一個更復(fù)雜的硬件設(shè)計(它在一些設(shè)備中使用,例如那些包含單獨的智能平臺管理接口(IPMI)控制器的設(shè)備)。因此,您應(yīng)該致力于構(gòu)建一個功能性的引導(dǎo)加載程序,其范圍小,因此不需要更新。
U-腳環(huán)境變量
U-Boot實現(xiàn)了一個可以存儲變量的非易失性"環(huán)境"。這些數(shù)據(jù)甚至可以從Linux中訪問(根據(jù)環(huán)境存儲方式的不同,有不同的方式)。這是實現(xiàn)上述"轉(zhuǎn)換"的最明顯方式。它還可以用來存儲有關(guān)以前引導(dǎo)成功或失敗的信息,以便在引導(dǎo)失敗的情況下,可以逆轉(zhuǎn)開關(guān),恢復(fù)工作分區(qū)。
圖3u-Boot環(huán)境變量
安裝看門狗
您的處理器的硬件監(jiān)視器應(yīng)該由U-Boot(康菲-沃奇狗)安裝,然后在啟動完成后由Linux維護(hù)。這將導(dǎo)致在整個系統(tǒng)掛起的情況下重置。
檢查引導(dǎo)失敗
一旦您的任務(wù)關(guān)鍵應(yīng)用程序運行完畢,它應(yīng)該在U-Boot環(huán)境中設(shè)置一個變量,表示已完成的引導(dǎo)。然后,U腳將能夠檢查下一個引導(dǎo)是否設(shè)置了這個設(shè)置,如果引導(dǎo)失敗(有時是在連續(xù)幾次失敗之后),則采取行動。
它的精確架構(gòu)將取決于您的應(yīng)用程序和產(chǎn)品;您將需要稍微定制一下,以適應(yīng)您的需求。您將需要確定所有可能的失敗模式,并實現(xiàn)所有這些模式的恢復(fù)。
實施更新
正如我們在更新之前所說的,應(yīng)該作為一個單獨的密碼簽名文件出現(xiàn)。私鑰簽名確保其來源于你,制造商?,F(xiàn)在系統(tǒng)只需要打開它并在其中運行一個腳本來執(zhí)行更新本身。它將寫入將要更新的分區(qū);輕彈需要的任何開關(guān)并重新啟動。這應(yīng)該盡快發(fā)生,以盡可能減少停機(jī)時間。
確保更新
我們希望確保提供給設(shè)備的更新文件是來自我們的制造商,而不是來自其他人。為了實現(xiàn)這一點,更新文件與一個由制造商持有的私鑰簽署。相應(yīng)的公鑰是設(shè)備上的所持有的,它將驗證要求它執(zhí)行更新的任何更新文件。如果提供的文件被視為無效,那么更新將失敗。
得到更新
更新如何到達(dá)是另一回事。這里有四種可能性:
最明顯和最簡單的是,更新是由一個工程師應(yīng)用的,他在設(shè)備上有一個根登錄。他運行更新腳本,設(shè)備被更新。這充滿了安全方面的擔(dān)憂,可能僅適用于正在開發(fā)的系統(tǒng),或在工程或工業(yè)環(huán)境中使用的系統(tǒng)。
物理介質(zhì)插入設(shè)備(USB棒),其中包含所需的更新.板上的軟件將通過輪詢守護(hù)進(jìn)程或UDEV規(guī)則自動檢測和安裝。
通過某些方法(例如Web應(yīng)用程序)將更新文件上傳到單個機(jī)器上。
如下一節(jié)所描述的,實時更新。
廣播最新消息
超空(OTA)更新通常是指通過安全通道從中央服務(wù)器上更新的設(shè)備。它一般指的是多功能設(shè)備、移動電話、汽車ECU等。在本文中,我將描述一種可以在任何連接到互聯(lián)網(wǎng)的設(shè)備上工作的更新類型,這可能是通過Wi-Fi(超廣播)、以太網(wǎng)(超銅)或其他協(xié)議。
查詢更新情況
首先要做的是檢查更新情況。在設(shè)備上運行的守護(hù)進(jìn)程可以將請求發(fā)送到預(yù)定的服務(wù)器,提供其當(dāng)前的版本和硬件版本。然后,服務(wù)器可以根據(jù)該信息,在必要時將簽名更新文件發(fā)送到設(shè)備上進(jìn)行安裝,或者報告沒有可用的或不需要的更新。
復(fù)雜性可以在許多方面增加,從僅提供更新到基于不同標(biāo)準(zhǔn)的設(shè)備子集,到完全加密更新文件,到向中央服務(wù)器報告更新狀態(tài)或其他信息。
現(xiàn)成與內(nèi)部解決方案
有許多現(xiàn)成的更新機(jī)制可以與您的嵌入式Linux系統(tǒng)集成,而無需重新發(fā)明上述的車輪。
這可能需要花費一些時間和努力來集成到您當(dāng)前的嵌入式Linux構(gòu)建系統(tǒng)中,但是它可能比在內(nèi)部開發(fā)定制方法的工作要少,而且它可能更健壯,因為其中一些項目已經(jīng)投入了數(shù)百小時。
你可能不希望現(xiàn)成的解決方案的原因:
你希望為你的董事會定制每個級別的東西
你可能在使用一個相對較新的,而且沒有被廣泛使用或認(rèn)可的大型代碼庫時會有安全問題。