OTA 更新對于連接設備的開發人員來說至關重要。在今天的文章中，我們將探討嵌入式開發人員在實施其 OTA 解決方案時應牢記的幾個最佳實踐。盡管我將指出一些特定于 AWS 的最佳實踐，但其中大部分都是通用的。

　　最佳實踐1 – 加密你的固件更新

　　創建和測試非常耗時，并且會消耗很大一部分開發預算。軟件雖然也驅動產品中的大多數功能，并且可以顯著改變產品，該軟件是值得通過加密保護的知識產權。

　　加密固件映像有幾個好處。首先，它可以將你的固件二進制文件轉換為看似隨機或無意義的形式。這是理想的，因為開發人員不希望他們的二進制圖像容易被研究、調查或逆向工程。這使某人更難竊取知識產權，并且對可能對攻擊系統感興趣的人來說更難理解。其次，加密圖像意味著發送者必須擁有與解密圖像的設備相匹配的某種密鑰或憑證。這可以看一個簡單的源來幫助驗證源，盡管應該做更多的工作而不只是加密來完全驗證和驗證完整性，例如簽署圖像。

　　最佳實踐2 – 不支持固件回滾

　　關于系統是否應支持固件回滾經常存在爭議?；貪L的論點通常是，如果固件更新出現問題，那么用戶可以回滾到正在運行的舊版本。乍一看，這似乎是個好主意，但它可能是系統中的漏洞來源。例如，假設 1.7 版系統中存在允許遠程攻擊者訪問系統的錯誤，新的固件版本 1.8 修復了這個缺陷?？蛻魧⑺麄兊墓碳碌?1.8 版本，但攻擊者知道如果他們可以強制系統恢復到 1.7，他們就可以擁有該系統。在當今我們執行 OTA 更新的互聯世界中，固件回滾是一個漏洞，因此嵌入式開發人員可以禁用它們以保護你的用戶。

　　最佳實踐3 – 保護你的引導加載程序

　　無線更新固件需要多個組件來確保安全且成功地完成。通常，重點是將新圖像發送到設備并對其進行解密。然而，就像在傳統固件更新中一樣，引導加載程序仍然是更新過程的關鍵部分，在 OTA 更新中，引導加載程序不僅是你的傳統風格，而且必須是安全的。

　　有很多方法可以與板載引導加載程序一起使用，但無論使用哪種方法，引導加載程序都必須是安全的。安全引導加載程序需要能夠在加載之前驗證固件的真實性和完整性。一些系統將使用應用程序代碼來驗證固件并將其安裝到新的應用程序插槽中，而其他系統則完全依賴引導加載程序。在任何一種情況下，安全引導加載程序都需要能夠在接受新固件映像之前驗證固件的真實性和完整性。

　　嵌入式開發人員確保在信任鏈中引導加載程序內置，并且不輕易修改或更新也是一個好主意。安全引導加載程序是確保系統安全所必需的信任鏈中的關鍵組件。

　　最佳實踐4 — 建立信任鏈

　　信任鏈是在啟動設備時發生的一系列事件，可確保鏈中的每個鏈接都是受信任的軟件。例如，如果部件出廠時帶有基于硬件的信任根，以驗證 MCU 來自安全來源。然后將該信任根 (RoT) 轉移給開發人員，該開發人員將安全引導加載程序和安全策略編程到設備上。在引導序列期間，RoT 驗證引導加載程序的完整性和真實性，然后驗證任何第二階段引導加載程序或軟件的完整性和真實性，然后驗證應用程序的真實性和完整性。然后應用程序驗證其數據、密鑰、操作參數等的真實性和完整性。

　　該序列創建了一個信任鏈，固件 OTA 更新需要和使用該鏈。當發出新固件請求時，應用程序必須解密圖像并驗證新固件的真實性和完整性是否完好無損。只有當信任鏈能夠成功通過鏈中的每個環節時，才能使用新固件。最重要的是，開發人員和最終用戶知道，當系統成功啟動時，新固件是合法的。

　　結論

　　OTA 更新是幾乎所有嵌入式開發設備的關鍵基礎設施組件。當然，有些系統一旦部署就永遠不會更新，但是，這些可能只是系統的一小部分。 OTA 更新是現場更新固件的首選機制。