通過無線方式更新引導(dǎo)加載程序的注意事項

現(xiàn)代電子設(shè)備越來越復(fù)雜，并且與互聯(lián)網(wǎng)相連。作為一般規(guī)則，復(fù)雜性與安全性背道而馳，不安全的互聯(lián)網(wǎng)連接設(shè)備已經(jīng)成熟，罪魁禍首可以濫用。在設(shè)計這些系統(tǒng)時，我們必須假設(shè)所有軟件都會有錯誤，其中一些錯誤將是可利用的漏洞。解決這些問題的第一步是確保軟件更新可以交付到您的系統(tǒng)，最好是自動和無線（OTA）。歐盟“消費者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全：基線要求（ETSI EN 303 645）”標準草案特別將及時自動更新作為其要求之一。它確實為不可變的第一階段引導(dǎo)加載程序提供了例外，以最大限度地降低將現(xiàn)場設(shè)備置于非引導(dǎo)狀態(tài)（也稱為“磚砌”）的風(fēng)險［1］“董事會）。

本文將討論在連接的設(shè)備中更新引導(dǎo)加載程序的問題。請注意，雖然這里討論的原則適用于任何軟件系統(tǒng)，但我們將專門討論運行Linux的系統(tǒng)。使用更小、更定制設(shè)計的系統(tǒng)可能會提供更多這些系統(tǒng)獨有的選擇。

系統(tǒng)設(shè)計

圖 1 顯示了一個通用的 Linux 系統(tǒng)，其中包含可能更新的主要相關(guān)組件。存儲介質(zhì)將是某種塊設(shè)備，例如eMMC或SATA硬盤驅(qū)動器。在該設(shè)備中，將有引導(dǎo)加載程序，內(nèi)核，設(shè)備樹（取決于正在使用的CPU）和包含構(gòu)建系統(tǒng)所需的所有文件的根文件系統(tǒng)。在某些情況下使用更復(fù)雜的體系結(jié)構(gòu)，但出于本討論的目的，我們將將其限制為最簡單的情況。

系統(tǒng)更新實用程序，如曼德［2］、swupdate［3］，其他人能夠開箱即用地更新內(nèi)核，設(shè)備樹和根文件系統(tǒng)，在許多情況下，這種級別的可更新性就足夠了。

引導(dǎo)加載程序是系統(tǒng)的組件，負責(zé)在開機時初始化系統(tǒng)，從 CPU 重置指令開始。它負責(zé)以下任務(wù)：

？初始化和擦除內(nèi)存

？設(shè)置電源軌和時鐘

？將所有外設(shè)設(shè)置為已知和靜止狀態(tài)，以避免意外中斷。

？加載并啟動內(nèi)核

如前所述，所有軟件都有錯誤，因此我們可以假設(shè)也會有引導(dǎo)加載程序錯誤。我們可以通過最小化引導(dǎo)加載程序的功能來減少攻擊面，但是我們可以完全消除錯誤的風(fēng)險。為什么更新引導(dǎo)加載程序比更新系統(tǒng)的其他組件更復(fù)雜？如果我們嘗試，風(fēng)險是什么？如果我們不嘗試，有什么風(fēng)險？

無線支持系統(tǒng)

此框圖顯示了能夠進行可靠無線 （OTA） 更新的系統(tǒng)的基本系統(tǒng)設(shè)計。［4］引導(dǎo)加載程序負責(zé)系統(tǒng)初始化并與 OTA 客戶端交互，以選擇要使用的內(nèi)核、設(shè)備樹和根文件系統(tǒng)。健壯性是通過對正在運行的 Linux 映像所需的組件具有完全冗余來實現(xiàn)的。這可確保在 OTA 更新中斷的情況下，始終有已知良好的映像可以回滾到該映像。此外，這可確保完全原子更新，因為更新客戶端是系統(tǒng)中唯一知道更新正在進行中的組件，直到更新完成并準備好運行。

任何更新 OTA 的組件都可能導(dǎo)致設(shè)備無法正常工作，因此系統(tǒng)的健壯性與引導(dǎo)加載程序處理回滾到以前已知良好的配置的能力直接相關(guān)。這意味著系統(tǒng)中必須有一個組件，該組件是不可變的，可以正確處理錯誤的更新。

引導(dǎo)加載程序更新

在大多數(shù)情況下，處理回滾的不可變組件 _is_ 引導(dǎo)加載程序。在典型的嵌入式 Linux 應(yīng)用程序中，是 Das U-Boot［5］。如果我們嘗試更新引導(dǎo)加載程序，由于沒有冗余，因此我們面臨著將主板砌成磚塊的風(fēng)險。如果主板在我們開始寫入新的引導(dǎo)加載程序映像后，但在寫入完成之前重新啟動，則我們的映像包含舊版本的一部分和新版本的一部分。在這種情況下，行為是未定義的，唯一的緩解措施是能夠物理訪問設(shè)備以編寫正確的引導(dǎo)加載程序，通常使用USB或其他硬連線連接。

但是，我們?yōu)槭裁匆乱龑?dǎo)加載程序呢？至少，引導(dǎo)加載程序只是用作初始化硬件，然后將控制權(quán)移交給Linux內(nèi)核的一種手段。由于功能有限，引導(dǎo)加載程序出現(xiàn)問題的風(fēng)險降至最低。

對于許多設(shè)計來說，這種風(fēng)險水平是可以接受的，架構(gòu)師可以決定干脆不在其部署的設(shè)備中提供OTA引導(dǎo)加載程序更新。使用硬連線機制仍然是最后的手段。

然而，對于許多設(shè)計，這種風(fēng)險水平被認為是不可接受的，并且必須為引導(dǎo)加載程序的OTA更新提供一些機制。此外，許多設(shè)計為引導(dǎo)加載程序添加了更多功能;諸如系統(tǒng)診斷或其他特定于應(yīng)用程序的要求之類的東西可能會在引導(dǎo)加載程序中實現(xiàn)，從而導(dǎo)致更有可能需要更新。那么我們?nèi)绾翁幚磉@個問題呢？

用于提供引導(dǎo)加載程序更新的選項

有許多選項允許更新引導(dǎo)加載程序。本討論不是一個完整的解決方案，而是對可能適用于您的設(shè)計的方法的高級描述。每個都有其權(quán)衡取舍。

選項 1：無冗余

如果對于特定應(yīng)用程序來說，磚砌板的風(fēng)險是可以接受的，那么您可以簡單地嘗試部署引導(dǎo)加載程序更新OTA，并在發(fā)生時處理后果。如果您的隊列規(guī)模較小，并且獲得對設(shè)備的物理訪問的成本較低，那么這可能很有效。如果需要引導(dǎo)加載程序更新，并且OTA嘗試失敗，那么您并沒有因為嘗試過而變得更糟。OTA 引導(dǎo)加載程序更新失敗的情況與沒有 OTA 引導(dǎo)加載程序更新功能的情況相同。即，您必須獲得對設(shè)備的物理訪問權(quán)限，并使用制造商提供的機制來重新刷新引導(dǎo)加載程序。

選項 2：多階段引導(dǎo)加載程序

此體系結(jié)構(gòu)將引導(dǎo)加載程序功能分為兩個階段（或更多階段，具體取決于設(shè)計的復(fù)雜程度）。最終，這仍然需要階段 1 中的一段不可變代碼。在更新階段 2 時，您確實具有冗余性和健壯性，因此，如果您仔細選擇在何處實現(xiàn)功能，則可以提供引導(dǎo)加載程序功能的 OTA 更新。這是一個不錯的選擇，因為不可變階段 1 二進制文件中的代碼量會減少，從而降低總體風(fēng)險。

U-Boot 使用 SPL（輔助程序加載程序）和 TPL（第三級程序加載程序）實現(xiàn)多階段引導(dǎo)。引入此機制是為了允許支持具有單獨引導(dǎo) ROM 的系統(tǒng)，這些系統(tǒng)太小而無法存儲完整的 U-Boot 映像。在這種情況下，U-Boot SPL 映像將包含足夠的初始化代碼來加載和啟動完整的 U-Boot 映像，通常是從大型塊設(shè)備（如 MMC）上啟動。SPL 需要能夠初始化足夠的 RAM 和包含完整 U-Boot 映像的設(shè)備。

即使對于沒有小型引導(dǎo)ROM限制的設(shè)備，我們也可以利用此架構(gòu)在第2階段實現(xiàn)我們的可更新功能，同時在第1階段保留最低限度，包括正確處理冗余塊。

存在階段 1 存在問題的風(fēng)險，需要物理訪問才能解決。鑒于階段 1 中的功能降低，在許多情況下，這種風(fēng)險水平是可以接受的。

選項 3：并行引導(dǎo)加載程序

許多主板提供從多個設(shè)備啟動的功能。例如，許多主板可以從板載 eMMC 或可拆卸 SD/MMC 卡啟動?；蛘?，他們可能為引導(dǎo)加載程序使用專用的 NOR 閃存設(shè)備，但仍能夠從 eMMC 塊介質(zhì)中運行引導(dǎo)加載程序。

這些類型的主板可以配置為在其中一個受支持的設(shè)備中存儲不可變的引導(dǎo)加載程序，然后將OTA可更新的引導(dǎo)加載程序存儲在另一個設(shè)備中。通常，可更新的引導(dǎo)加載程序?qū)⑴c根文件系統(tǒng)位于相同的介質(zhì)（即eMMC）中，因此很容易更新。由于“備用”媒體中的引導(dǎo)加載程序是不可變的，因此可以依賴它從“標準”位置的引導(dǎo)加載程序的損壞的OTA更新中恢復(fù)。

這種方法的問題在于，選擇引導(dǎo)設(shè)備通常需要物理訪問電路板以移動跳線或更改開關(guān)設(shè)置。如果您的設(shè)備位于最終用戶可以訪問它們的位置，這可能是一個可行的選擇，因為最終用戶可以在發(fā)生故障時選擇恢復(fù)介質(zhì)。這可以通過文檔或根據(jù)支持人員的指示來完成。

某些系統(tǒng)使用外部硬件來選擇引導(dǎo)加載程序。運行RTOS的小型MCU可以監(jiān)視正確的系統(tǒng)活動，并在Linux系統(tǒng)未運行時選擇備用引導(dǎo)加載程序。使用外部源正確檢測這可能很棘手，但看門狗計時器切換GPIO引腳或?qū)懭牍蚕韮?nèi)存可能就足夠了。這也是一個更復(fù)雜的設(shè)計，需要根據(jù)您的系統(tǒng)要求進行考慮。請注意，您可能需要考慮對MCU固件映像進行OTA更新，這是另一個復(fù)雜程度。

選項 4：eMMC 引導(dǎo)分區(qū)

電子監(jiān)控器的 4.3 版［6］規(guī)范要求 2 個單獨的硬件啟動分區(qū)。這些分區(qū)通常每個為 4MB，用于存儲引導(dǎo)加載程序。這些分區(qū)可以從Linux用戶空間中讀取和寫入，但是默認情況下它們以只讀方式提供;讀寫功能是通過寫入 /sys 偽文件系統(tǒng)中的文件來實現(xiàn)的：

然后可以使用 dd 實用程序?qū)⒁龑?dǎo)加載程序?qū)懭脒@些分區(qū)

eMMC 設(shè)備用作引導(dǎo)塊的分區(qū)由設(shè)備本身設(shè)置的參數(shù)確定。這可以從 U-Boot 提示符中完成：

或者從 Linux 用戶空間：

曼德的方法

利用 eMMC 引導(dǎo)分區(qū)，對分區(qū)的更新是原子的，并且獨立于對根文件系統(tǒng)的更新。eMMC 引導(dǎo)分區(qū)之間沒有自動故障轉(zhuǎn)移，因此這不會減輕由于引導(dǎo)加載程序更新失敗而導(dǎo)致的磚砌設(shè)備的問題。但是，這確實可以輕松地僅向引導(dǎo)加載程序提供更新，而無需對根文件系統(tǒng)進行任何特定調(diào)整。

由于在提供引導(dǎo)加載程序更新時存在磚砌板的風(fēng)險以及OTA更新過程的魯棒性降低，Mender［7］不提供開箱即用的引導(dǎo)加載程序更新。如前所述，很難以通用方式完成，并且最終可能會非常特定于應(yīng)用程序和硬件。 Mender 更新模塊框架允許插件架構(gòu)支持自定義更新類型。Mender 可以使用自定義更新模塊支持任何任意負載類型。此插件體系結(jié)構(gòu)允許提供處理特定有效負載類型的自定義腳本。允許在特定系統(tǒng)中進行引導(dǎo)加載程序更新可以使用更新模塊來實現(xiàn)。根據(jù)應(yīng)用程序的需要以及所使用的硬件的功能，可以使用上述任何方法。

結(jié)束語

在現(xiàn)場部署的設(shè)備中上傳系統(tǒng)引導(dǎo)加載程序存在許多風(fēng)險。在不合時宜的時間發(fā)生電源故障可能會使設(shè)備在現(xiàn)場陷入困境，從而導(dǎo)致潛在的昂貴召回過程。但是，不提供引導(dǎo)加載程序更新機制可能會帶來不可接受的風(fēng)險，具體取決于特定應(yīng)用程序的配置文件。我們介紹了許多允許引導(dǎo)加載程序更新的方法，并討論了每種方法的優(yōu)缺點。作為系統(tǒng)設(shè)計人員，這有望讓您能夠為您的系統(tǒng)做出適當?shù)倪x擇，并幫助您快速進入市場，并適當了解設(shè)計的風(fēng)險。

審核編輯：郭婷