受限物聯網設備空中下載技術概要

景意新

（威凱檢測技術有限公司 廣州 510663）

引言

近年來，隨著硬件成本進一步降低，同時新的低功耗無線電技術發展，以及專門為這些嵌入式設備設計的實時操作系統越來越完善，使得物聯網（IoT）可為更廣泛的開發人員所使用。IoT設備更是用于許多垂直行業，從物流到家電產業，從精準農業到養老產業，均引入了優化現有業務流程的新方法，并通過創新使產業實現了了進一步發展。IoT設備還廣泛應用于關鍵基礎設施當中，其安全保障發揮著更重要的作用。

然而，雖然IoT設備對我們的經濟社會有著重大影響，但現階段因其薄弱的安全性也存在很多隱患。例如，Mirai僵尸網絡攻擊事件表明，利用被入侵的IoT設備進行的大規模DDoS攻擊可威脅到其他通信基礎設施。更甚者，許多被入侵的IoT設備沒有配備固件更新機制，被攻擊后仍未安裝補丁進行升級防御。這些案例凸顯了在產品研發之初就將固件更新機制設計到IoT設備中的必要性。需要注意的是，如果設計不正確，固件更新本身也會成為攻擊載體。例如，Zigbee蠕蟲引發了一系列惡意固件更新與雜亂的無線通信相結合的連鎖反應。如果開發者能夠使用標準化的固件更新機制，而非自行設計固件更新機制，那么情況將得到顯著改善。

本文特別關注了符合開源IoT標準的受限設備的固件更新機制。如RFC 7228中所規定的，使用微控制器（如Arm Cortex-M）在其上運行實時操作系統，如C/OS、Contiki、RIOT、FreeRTOS、mbed OS等。

與運行完整的操作系統（如Linux）的機器相比。受限IoT設備使用的是一低功耗，并配備了RAM和大小在千字節范圍內的閃存。受限IoT設備因無法承受Wi-Fi的能量消耗，故而利用鏈路層低功耗、無線技術連接網絡，如低功耗藍牙、LoRa、IEEE 802.15.4、3GPP蜂窩IoT（NB-IoT），或如BACnet協議利用總線技術。

1 受限IoT設備軟件升級

IoT固件升級屬于軟件升級的特例，包括以下三方面工作：①在低端IoT設備上進行嵌入式軟件設計；②后端框架；③固件向IoT設備的網絡傳輸。

圖1 OTA固件升級流程

1.1 在低端IoT設備上進行嵌入式軟件設計

IoT設備上的軟件必須具備支持固件更新的機制。設備需要一個引導加載程序（Bootloader），即設備啟動時首先執行的邏輯，并決定啟動哪個固件。

有時設備會配備多個引導加載程序，例如，ROM中的第1級引導加載程序和可更新的第2級引導加載程序。這種設計方式與安全有關，因為更新引導加載程序可能會導致設備死機。每當設備上出現一個引導加載程序，便需考慮硬件的內存布局，異常處理程序必須重新定位。

典型的固件更新程序相當簡單，開發人員重新編譯代碼，并生成一個全新的固件鏡像文件，然后將其分發到設備。IoT設備的閃存被分為多塊存儲區域（插槽），包含引導加載程序和固件鏡像文件（含一些元數據）。新的固件存儲在其中一個可用的插槽中。然后重置IoT設備，以便啟動加載程序，從而可以運行新的固件鏡像文件。例如MCUboot和ESPER便是運用這種方法。

從不同角度考量會產生差異化的設計。例如，人們可能會考慮軟件更新的粒度，或更新所需傳輸的數據量。某些方法通過動態加載二進制模塊，來實現部分更新，而其他方法則使用差分二進制補丁。還有一種技術是二進制壓縮。使用基于組件的編程、的方法旨在通過強制執行系統模塊之間的黑盒式交互，來簡化系統在受限IoT設備上的動態修改和可重構。軟件的部分更新也可以使用腳本取代二進制代碼，如JavaScript。而另一種技術則是利用微型虛擬機，如Mate或ReLog。

雖然上文列舉了不同的方法，但IoT設備軟件更新通常采用一次性替換完整的固件鏡像，其優勢在于簡單易操作。

1.2 后端框架

IoT固件更新的第二個方面涉及IoT軟件的后端框架和保障安全。互聯網工程任務組（IETF）IoT軟件更新（SUIT）工作組為IoT固件更新制定了一個簡單的后端架構。有認證和完整性保護，可在不受信任的存儲庫上更新存儲，SUIT規范還實現了對固件鏡像的加密，以防止基于逆向工程的攻擊。SUIT工作組遵循了已有的工作，如FOSE，它提出了使用JSON和JOSE的固件加密和簽名。

更新框架(TUF)和Uptane旨在確保軟件更新系統的安全性，即使是針對破壞存儲庫或簽名密鑰的攻擊者。

ASSURED則是建立在TUF的基礎上，通過利用更新倉庫和IoT設備之間的可信中間控制器，提高對受限IoT設備的支持。

另一種方法是CHAINIAC，它使用類似區塊鏈的機制來表明之前更新的歷史，甚至沒有中央控制。

1.3 網絡傳輸

IoT固件更新的第三個方面涉及通過網絡軟件分發。最近發表的文獻中介紹了針對這一主題的各種方法，包括在多跳網絡、低功耗無線網絡中通過多路徑優化廣播更新的協議，更新網絡堆棧模塊直接重新配置網絡，以及使用消息隊列遙測傳輸（MQTT）協議向IoT設備群分發軟件更新。6LoWPAN協議實現了從受限IoT設備到(IPv6)互聯網上任何地方的端到端IP連接。IETF的可信執行環境供應 (TEEP)工作組正在將一個傳輸機制標準化，該機制在可信執行環境（TEE）更新受信任的應用程序，如Arm TrustZone和英特爾SGX。

2 開源標準

近年來，針對固件升級過程涉及的各個方面，技術社群一直致力于研究開源標準，從而可以將這些標準組合，促進IoT設備固件更新機制發展。這些開源標準可分為以下幾類：加密算法，固件元數據，通過網絡傳輸更新的協議，IoT設備管理協議。

2.1 加密算法

使用最先進的加密算法是保證固件更新安全性的必要條件。以往，人們的印象是在更廣泛的互聯網上使用的算法不能用于受限IoT設備。然而事實證明，對不同算法進行優化和選擇便有機會實現。對于公鑰加密，通常使用橢圓曲線加密算法（ECC），因為它的密鑰與RSA加密算法相比較小。美國國家標準與技術研究院(NIST)將橢圓曲線數字簽名算法(ECDSA)標準化，用于P256r1曲線，在業界較為流行。另一種基于不同曲線的簽名算法——ed25519也實現了標準化。此外，評估后量子加密領域的算法的標準化工作也在開展。

2.2 固件元數據

IETF SUIT工作組目前正在制定描述固件更新的規范。SUIT工作組定義了一個清單，該清單提供了：①更新設備所需固件的信息；②保護端到端元數據的安全封裝。

例如，以TUF/Uptane為參考，SUIT清單格式可以提供適用Uptane固件映像的兼容（自定義）元數據。相較于SUIT標準，TUF標準既不以互操作性為目標，也不指定具體的元數據格式。

SUIT 規范包括結構文件，一份信息模型說明，和一份清單規范的提案。為了達到其目的，SUIT是建立在許多提供通用構建模式的開放標準之上。特別是將簡潔二進制對象表示法（CBOR）用作數據格式規范。CBOR是為了小信息量二優化的使用二進制編碼的無架構格式。此外，CBOR對象簽名和加密（COSE）規范用于對通過CBOR序列化的數據進行加密保護。COSE定義了多種結構，其中包括符號結構，該結構指定了如何通過使用密碼簽名來保護有效載荷以防止篡改。

2.3 IoT固件傳輸標準

許多協議提供了用于通過網絡傳輸固件更新的規范。基本傳輸方案通過特定的低功耗介質訪問控制層（MAC）技術（例如藍牙）或特定的總線技術（例如USB）啟用設備固件更新（DFU）。另一方面，為了在多跳或異構低功耗網絡之間傳輸固件，IETF協議套件對網絡堆棧進行了標準化，該網絡堆棧結合了UDP上的約束應用協議（CoAP）和TCP/TLS上的CoAP。 CoAP提供了與HTTP等效的功能，但專為受限的IoT設備量身定制。6LoWPAN規范旨在為不能直接使用IPv6的網絡提供適配層。為了提供通信安全性，對DTLS和TLS配置文件進行了標準化，以用于IoT部署。

2.4 遠程IoT設備管理標準

最為突出的IoT設備管理開放標準是由OMA Spec-Works研制的輕量級機器對機器協議（LwM2M）。為了傳輸數據，LwM2M V1.1用CoAP，可使用DTLS保證安全。LwM2M 規范定義了一個簡單的數據模型和幾個用于遠程管理 IoT 設備的 RESTful 接口。這些接口使設備能夠注冊到服務器、提供信息更新和獲取密鑰材料。大量對象和資源已經標準化，以支持常用的傳感器、執行器和其他資源。標準化對象中包括固件更新對象。

由IETF開發了 CoAP 管理接口標準（CoMI）。CoMI使用 CoAP 和基于 YANG 建模語言的數據模型，旨在重用現有的 SNMP 定義的對象和資源。CoMI仍在開發中，固件更新機制尚未定義，希望將來會定義這種擴展。

開放互聯基金會（OCF）對在CoAP 和TLS/DTLS之上運行的IoT設備管理協議進行標準化，以促進設備間的互聯互通，其類似于LwM2M。OCF定義了一個以RESTful API建模語言（RAML） 作為數據建模語言的數據模型。在針對智能家居環境中更大的IoT設備的同時，OCF在也在考慮其他垂直行業。

IoT設備的設備管理的早期工作使用遠程過程調用而不是 RESTful 設計。 例如，TR-069，即寬帶論壇開發的CPE 廣域網管理協議（CWMP），可為更高端的IoT設備（例如聯網打印機）提供固件更新功能。寬帶論壇最近發布了TR-069的繼任者，稱為用戶服務平臺 （USP）。

2.5 標準IoT操作系統

現成的開源操作系統（如 Linux），無法用于缺乏必要硬件資源的受限IoT設備。更甚，連接互聯網的設備日益復雜，需要相當復雜的協議棧，其中包括 IPv6、UDP、DTLS和CoAP。這種情況促使IoT操作系統的發展，包括許多開源IoT操作系統，如RIOT Zephyr、Mbed OS、MyNewt或Tock。此類別中流行的商業操作系統包括μC/OS和FreeRTOS。

3 結論和展望

OTA 固件更新系統是每個IoT項目的重要組成部分，必須設計詳細的結構及架構。本文介紹了受限IoT設備軟件升級的三個主要工作，以及針對固件升級過程的開源標準，對于現階段主要發展情況做出了較為詳細的概括。盡管方法及架構各有不同，但其總體向著安全、便捷、高效的方向發展。此外，隨著技術不斷發展，IoT真正實現萬物互聯，在某些情況下便需要技術遷移，因此對用于創建和實施的結構化流程的管理非常重要。未來，計劃研究絕大多數可用的技術，并提出可以覆蓋更廣泛的IoT設備和嵌入式軟件項目OTA升級技術架構和機制，涵蓋拓撲與技術獨立性，最大限度地減少技術遷移到引發的不確定性。