一旦嵌入式Linux產(chǎn)品離開實驗室進入現(xiàn)實世界,如何更新設備的問題將成為重要考慮。

更新并不總是必要的,但是很難想出有哪些軟件沒有在某個時候發(fā)現(xiàn)的錯誤。即使您的軟件是完美的,如果設備在網(wǎng)絡上或互聯(lián)網(wǎng)上與任何開源庫進行通信,安全更新也可能成為必需品。

以CV-2104-01650(心出血)為例。這個漏洞影響了開放SSL密碼庫,也影響了網(wǎng)絡上三分之二的網(wǎng)站。即使在三年后的今天,還有很多嵌入式的Linux設備運行著一個未經(jīng)防御的版本的開放式攻擊。

塊與文件更新

在討論更新Linux時,您可能會看到"塊"和"文件"更新系統(tǒng)正在被提及。這是指通過直接寫入塊設備或更新單個文件來一次更新整個分區(qū)。您可能熟悉來自臺式機或服務器Linux的文件更新系統(tǒng)(例如"Sudo應用程序升級")。

在基于嵌入式Linux塊的升級中,由于其原子性和整個文件系統(tǒng)通常是嵌入式Linux構建系統(tǒng)的輸出這一事實,這是前進的道路。我們希望每個嵌入式設備上的存儲空間對于一個特定的產(chǎn)品來說是常量的,所以我們每次都創(chuàng)建相同的大小分區(qū)。這種類型的更新與具有某種備份或恢復的圖像同時進行。

失敗時回收

我們絕不希望該設備處于無法使用的狀態(tài)(例如,如果發(fā)生斷電)。我們可以通過確保在更新過程中出現(xiàn)任何錯誤時總是有可能"退回"到另一個分區(qū)來解決這個問題。

圖1失敗時的恢復-撤退選項

上面您可以看到兩個可能的實現(xiàn),在電源中斷的情況下,一個備份模式。在左側,引導加載程序啟動一個救援分區(qū),然后引導進入一個主分區(qū)。在右側,引導加載程序啟動基于開關的兩個分區(qū)之一。

引導加載程序應該實現(xiàn)某種方法,以確定引導是否成功,如果沒有,則應該返回到救援分區(qū)(左側圖)或先前的工作分區(qū)(右側圖)。

救援方法(左)允許向主分區(qū)提供更多的空間,而雙根方法(右)要求在兩個分區(qū)之間或多或少地平均分配空間。如果空間不是一個問題,那么建議使用雙根法,只是因為它會減少停機時間。通過救援方法更新需要兩次重新啟動,一次進入救援分區(qū),另一次回到主分區(qū)。雙根文件方法只需要重新啟動一次,因為任何時候都可以執(zhí)行更新。

在這些系統(tǒng)中,您無法安全地更新的是引導加載程序(或者說救援分區(qū))。如果您也希望能夠更新引導加載程序,那么您將需要兩個獨立的引導加載程序分區(qū),以及某種董事會管理控制器來實現(xiàn)在這兩個程序之間切換的邏輯。

圖2故障恢復--董事會管理控制器

當然,這是一個復雜的解決方案,需要一個額外的微控制器,一套新的固件,以及一個更復雜的硬件設計(它在一些設備中使用,例如那些包含單獨的智能平臺管理接口(IPMI)控制器的設備)。因此,您應該致力于構建一個功能性的引導加載程序,其范圍小,因此不需要更新。

U-腳環(huán)境變量

U-Boot實現(xiàn)了一個可以存儲變量的非易失性"環(huán)境"。這些數(shù)據(jù)甚至可以從Linux中訪問(根據(jù)環(huán)境存儲方式的不同,有不同的方式)。這是實現(xiàn)上述"轉換"的最明顯方式。它還可以用來存儲有關以前引導成功或失敗的信息,以便在引導失敗的情況下,可以逆轉開關,恢復工作分區(qū)。

圖3u-Boot環(huán)境變量

安裝看門狗

您的處理器的硬件監(jiān)視器應該由U-Boot(康菲-沃奇狗)安裝,然后在啟動完成后由Linux維護。這將導致在整個系統(tǒng)掛起的情況下重置。

檢查引導失敗

一旦您的任務關鍵應用程序運行完畢,它應該在U-Boot環(huán)境中設置一個變量,表示已完成的引導。然后,U腳將能夠檢查下一個引導是否設置了這個設置,如果引導失敗(有時是在連續(xù)幾次失敗之后),則采取行動。

它的精確架構將取決于您的應用程序和產(chǎn)品;您將需要稍微定制一下,以適應您的需求。您將需要確定所有可能的失敗模式,并實現(xiàn)所有這些模式的恢復。

實施更新

正如我們在更新之前所說的,應該作為一個單獨的密碼簽名文件出現(xiàn)。私鑰簽名確保其來源于你,制造商?，F(xiàn)在系統(tǒng)只需要打開它并在其中運行一個腳本來執(zhí)行更新本身。它將寫入將要更新的分區(qū);輕彈需要的任何開關并重新啟動。這應該盡快發(fā)生,以盡可能減少停機時間。

確保更新

我們希望確保提供給設備的更新文件是來自我們的制造商,而不是來自其他人。為了實現(xiàn)這一點,更新文件與一個由制造商持有的私鑰簽署。相應的公鑰是設備上的所持有的,它將驗證要求它執(zhí)行更新的任何更新文件。如果提供的文件被視為無效,那么更新將失敗。

得到更新

更新如何到達是另一回事。這里有四種可能性:

最明顯和最簡單的是,更新是由一個工程師應用的,他在設備上有一個根登錄。他運行更新腳本,設備被更新。這充滿了安全方面的擔憂,可能僅適用于正在開發(fā)的系統(tǒng),或在工程或工業(yè)環(huán)境中使用的系統(tǒng)。

物理介質插入設備(USB棒),其中包含所需的更新.板上的軟件將通過輪詢守護進程或UDEV規(guī)則自動檢測和安裝。

通過某些方法(例如Web應用程序)將更新文件上傳到單個機器上。

如下一節(jié)所描述的,實時更新。

廣播最新消息

超空(OTA)更新通常是指通過安全通道從中央服務器上更新的設備。它一般指的是多功能設備、移動電話、汽車ECU等。在本文中,我將描述一種可以在任何連接到互聯(lián)網(wǎng)的設備上工作的更新類型,這可能是通過Wi-Fi(超廣播)、以太網(wǎng)(超銅)或其他協(xié)議。

查詢更新情況

首先要做的是檢查更新情況。在設備上運行的守護進程可以將請求發(fā)送到預定的服務器,提供其當前的版本和硬件版本。然后,服務器可以根據(jù)該信息,在必要時將簽名更新文件發(fā)送到設備上進行安裝,或者報告沒有可用的或不需要的更新。

復雜性可以在許多方面增加,從僅提供更新到基于不同標準的設備子集,到完全加密更新文件,到向中央服務器報告更新狀態(tài)或其他信息。

現(xiàn)成與內部解決方案

有許多現(xiàn)成的更新機制可以與您的嵌入式Linux系統(tǒng)集成,而無需重新發(fā)明上述的車輪。

這可能需要花費一些時間和努力來集成到您當前的嵌入式Linux構建系統(tǒng)中,但是它可能比在內部開發(fā)定制方法的工作要少,而且它可能更健壯,因為其中一些項目已經(jīng)投入了數(shù)百小時。

你可能不希望現(xiàn)成的解決方案的原因:

你希望為你的董事會定制每個級別的東西

你可能在使用一個相對較新的,而且沒有被廣泛使用或認可的大型代碼庫時會有安全問題。