Namo-Embedded

菜单

Administrator
发布于 2025-03-04 / 3 阅读
0
0

企业级OTA做法

企业级 STM32 OTA 方案:稳定性、完整性和安全性

如果从 企业级别 角度来看 STM32 OTA(远程升级),通常会涉及:

  1. 安全性​(防篡改、加密传输)
  2. 可靠性​(断点续传、掉电保护、回滚机制)
  3. 兼容性​(适配不同 Flash、MCU 资源优化)
  4. 批量管理​(设备分批升级、版本管理)

1. 典型的企业级 OTA 方案

✅ 方案概览

企业级 OTA 方案通常采用 ​三层架构​:

  1. 云端管理​:存储固件、管理版本、分发固件
  2. 中间件(ESP32/网关​:负责下载固件、校验、传输给 STM32
  3. STM32 Bootloader​:执行 OTA、校验完整性、异常回滚
【服务器】—— 固件存储、版本管理
    │
    └── AWS/GCP/Azure 或私有云
    └── MQTT / HTTPS 提供固件下载地址
          |
【ESP32/WiFi 模块】—— 下载固件,校验完整性
    └── (1) 下载 firmware.bin
    └── (2) 计算 CRC32/SHA256 确保完整性
    └── (3) 通过 SPI/UART 发送给 STM32
          |
【STM32】—— Bootloader 处理 OTA
    ├── (1) 擦除 Flash
    ├── (2) 写入固件
    ├── (3) 计算 SHA256 校验完整性
    ├── (4) 若失败,回滚旧版本
    ├── (5) 若成功,重启运行新固件

2. 企业级 OTA 关键特性

🔹(1)安全性

✅ 防止篡改

  • 固件加密​:AES-128 / AES-256
  • 固件签名​:RSA / ECC 证书验证
  • 哈希校验​:SHA-256

📌 加密传输流程

  1. 服务器 端用 RSA 生成签名(firmware.bin.sig
  2. STM32 Bootloader 校验签名,防止非法固件
  3. AES 加密存储 固件,防止反编译

📌 示例:固件签名验证

bool verify_firmware_signature(uint8_t *firmware, uint32_t size, uint8_t *signature) {
    return RSA_Verify(firmware, size, signature, public_key);
}

🔹(2)断点续传​

企业级产品 升级过程中断电 是 ​高概率事件​,所以 断点续传​ 必不可少:

  • ESP32 记录已传输数据
  • STM32 只写入未完成的部分
  • 失败重启后,ESP32 继续从上次位置传输

📌 固件传输协议

[ESP32] ————> [STM32]
[0x0000-0x03FF] OK
[0x0400-0x07FF] OK
[0x0800-0x0BFF] 失败
        ⬇️ 重新连接
[ESP32] 继续从 0x0800 传输

📌 STM32 存储已接收的地址

#define OTA_PROGRESS_ADDR 0x08070000
void save_progress(uint32_t address) {
    FLASH_ProgramWord(OTA_PROGRESS_ADDR, address);
}
uint32_t get_last_progress() {
    return *(volatile uint32_t*)OTA_PROGRESS_ADDR;
}

🔹(3)掉电保护

掉电导致 Flash 数据写入失败时,Bootloader 需要:

  1. 检测 OTA 是否完整
  2. 不完整时回滚到旧版本

📌 存储 OTA 状态

Flash 地址 说明
0x08000000 Bootloader
0x08010000 旧固件(App1)
0x08040000 OTA 缓存区(App2)
0x08070000 配置区(OTA状态)

📌 OTA 状态记录

typedef struct {
    uint32_t ota_flag;   // 0xA5A5A5A5 = 更新成功
    uint32_t app_version;
    uint32_t last_success_address;
} OTA_Status_t;
  • OTA 失败时,回滚到 0x08010000 旧固件
  • OTA 完成后,标记 0xA5A5A5A5 说明更新成功

🔹(4)多设备批量管理

企业级产品通常 ​批量管理 OTA​:

  • 分批次更新​,避免所有设备同时升级
  • 分组策略​,不同设备型号使用不同固件
  • 远程日志收集​,检测 OTA 成功率

📌 使用 MQTT 远程管理

服务器 ——> ESP32 发送 OTA 任务
ESP32 下载 firmware.bin
STM32 处理 OTA
OTA 结果反馈服务器

3. 现实开发遇到的问题

🔻 问题 1:OTA 失败,设备变砖

原因:

  • Bootloader 未校验固件完整性
  • 固件写入失败,导致 Flash 数据损坏

📌 解决方案

  1. 启用双分区(旧固件/新固件)
  2. Bootloader 启动前检查 SHA-256 是否正确
  3. SHA 校验失败,回滚到旧版本

🔻 问题 2:ESP32 传输速度慢

原因:

  • UART 115200 太慢(仅 ​11 KB/s​)
  • SPI 配置错误,导致数据丢失

📌 解决方案

  • UART 改为 921600 或 SPI(8MHz)
  • 使用 DMA 传输数据,减少 CPU 负担
  • ESP32 端启用硬件流控
Serial.begin(921600, SERIAL_8N1, RX_PIN, TX_PIN, true);

🔻 问题 3:OTA 过程断电,数据损坏

原因:

  • Flash 写入未完成,导致新固件损坏
  • Bootloader 启动时无法识别固件

📌 解决方案

  • 先写入 Flash 的最后一页,标记 OTA 完成
  • Bootloader 只有检测到 OTA 完成标志才运行新固件
uint32_t OTA_COMPLETE_FLAG = 0x12345678;
Flash_Write(OTA_STATUS_ADDR, &OTA_COMPLETE_FLAG, sizeof(OTA_COMPLETE_FLAG));

4. 总结

问题 解决方案
固件被篡改 AES-256 加密 + RSA 签名校验
OTA 失败导致变砖 启用双分区(App1 + App2)
ESP32 传输慢 UART 提升到 921600 或改用 SPI
掉电导致数据损坏 启用掉电保护,Bootloader 先验证 SHA-256

企业级 STM32 OTA 设计核心是:

  • 安全性​(防篡改、签名验证)
  • 可靠性​(断点续传、掉电保护)
  • 可扩展性​(批量管理、多设备升级)

你打算用 UART 还是 SPI 传输固件?是否需要 ​加密保护​?

企业级oat做法

在企业级 OTA 更新方案中,客户端主动请求查询当前版本并比对是常见的做法。通常有以下几种方式来处理版本更新的检测和应用:

1. 客户端主动请求查询版本

客户端(如 STM32 或 ESP32)通过向服务器发送请求,获取最新版本信息,然后比对当前设备的固件版本。如果版本不同,则启动 OTA 更新。

流程:

  1. 客户端 定期或按需向 服务器 请求当前最新的固件版本。
  2. 服务器 返回当前可用的版本号和固件下载地址(可能会附带签名信息)。
  3. 客户端 比较当前固件版本与服务器返回的版本号:
    • 如果版本一致,则不更新。
    • 如果版本不同,则启动 OTA 更新流程。

例子:

客户端 ——> 服务器请求当前版本号
服务器 ——> 返回版本号(如:1.2.3)和固件下载链接
客户端 ——> 比较当前版本与返回的版本号
        ├── 如果版本相同,不更新
        └── 如果版本不同,开始下载并更新

请求与响应格式:

GET /api/version HTTP/1.1
Host: firmware.example.com

{
  "version": "1.2.3",
  "firmware_url": "http://firmware.example.com/firmware-v1.2.3.bin",
  "signature": "abcd1234"
}

客户端可以根据返回的 version 字段来比对是否需要更新。如果有新版本,则下载固件并验证其完整性。

2. 客户端定时检查版本

在一些情况下,客户端会设定一个定时器,每隔一段时间主动检查版本。这样避免了每次启动时都进行版本检查,降低了延迟。

流程:

  1. 客户端 通过定时器周期性地向 服务器 请求版本信息。
  2. 服务器 返回当前版本信息和固件下载链接。
  3. 客户端 比较当前版本和返回的版本号:
    • 如果不同,则执行 OTA 更新。
    • 如果相同,则等待下一次检查。

例子:

// ESP32 或 STM32 设置定时检查
void check_for_update() {
  if (should_check_version()) {
    request_version_from_server();
  }
}

3. 服务器推送更新请求

这种方式适合某些特殊场景,比如需要控制更新的时机或推送重要更新。​服务器主动通知客户端更新​。这种方式可以通过 ​推送通知​、​WebSocket​、MQTT 等方式实现。

流程:

  1. 服务器 检查是否有新固件,或者某个特定条件下触发更新。
  2. 服务器 通过推送通知或消息队列(如 MQTT)告知 ​客户端​,要求其进行版本检查和更新。
  3. 客户端 接收到推送通知后,立即请求版本信息并进行比对。
  4. 客户端 下载并更新固件。

例子:

服务器 ——> 客户端推送新版本消息
客户端 ——> 向服务器请求版本并更新

推送通知示例:

{
  "message": "New firmware update available!",
  "version": "1.3.0",
  "update_url": "http://firmware.example.com/firmware-v1.3.0.bin"
}

4. 常见的实现方式

(1)客户端版本请求与比对(常见实现)

客户端(STM32 / ESP32)代码实现

客户端请求服务器版本并比对:

// ESP32 向服务器请求版本信息
void check_version() {
  HTTPClient http;
  http.begin("http://firmware.example.com/api/version");
  int httpCode = http.GET();

  if (httpCode == HTTP_CODE_OK) {
    String payload = http.getString();
    DynamicJsonDocument doc(1024);
    deserializeJson(doc, payload);
    
    String server_version = doc["version"];
    String current_version = get_current_firmware_version(); // 获取当前版本

    if (server_version != current_version) {
      Serial.println("New firmware available!");
      start_ota_update(doc["firmware_url"]);
    } else {
      Serial.println("No new firmware.");
    }
  } else {
    Serial.println("Failed to check version.");
  }
  http.end();
}

服务器端(固件管理)

服务器端返回版本信息及下载链接:

{
  "version": "1.2.3",
  "firmware_url": "http://firmware.example.com/firmware-v1.2.3.bin",
  "signature": "abcd1234"
}

5. 方案选择:主动查询 vs 推送更新

方案 优点 缺点
主动查询 - 灵活,客户端可以定期查询是否有更新 - 可能会引起请求频繁,增加服务器压力
定时检查 - 减少不必要的请求,按时检查 - 可能会错过重要的紧急更新
推送通知 - 即时更新,服务器控制更新时机 - 需要配置推送服务(如 MQTT / WebSocket 等),复杂性较高

6. 选择最佳方案

推荐方案:客户端主动请求

对于大部分应用,使用 客户端主动查询 是最常见且适用的方案。特别是在资源有限的嵌入式系统中,周期性地请求服务器并进行版本比对是比较简单、易维护的做法。

使用主动查询的好处:

  • 简洁易用​:客户端只需定期发起 HTTP 请求。
  • 避免推送复杂性​:不需要处理额外的推送服务和通信协议。
  • 减少服务器负载​:可以灵活控制检查频率,避免频繁请求。

如果是对 实时性要求较高 或是 ​急需紧急更新​,则可以选择 服务器推送 的方式,但需要更多的基础设施支持(如消息队列、推送服务等)。

7. 总结

  • 主动查询版本 是最常见的做法,设备定期检查是否有新的固件版本,判断是否需要更新。
  • 服务器推送通知 更适用于需要紧急更新的场景,但需要额外的消息推送机制支持。
  • 选择时要考虑设备资源、网络延迟、推送方案的可行性等因素。

企业级更新选项

在企业级OTA方案中,定期检查版本更新推送通知 各有其应用场景,但通常 定期检查版本更新 是最常见和广泛采用的做法。这两者的选择依赖于具体的应用需求、网络条件以及设备的特性。以下是对两者的详细比较,以及企业级常用的做法:

1. 定期检查版本更新(主动查询)

定期检查版本更新 是指设备(如STM32或ESP32)定期或按需向服务器请求最新固件的版本信息,并进行比对,以决定是否需要更新。

优点:

  • 简单易实现​:客户端定期发送HTTP请求或者通过MQTT等协议查询版本号,无需额外的推送基础设施支持。
  • 灵活性高​:设备可以根据其实际情况(例如电量、网络状态)来决定是否进行更新。更新时机可以灵活控制,不会对设备性能造成突发负担。
  • 减小网络压力​:通过控制检查频率,可以避免服务器端的过多推送请求,降低网络带宽和服务器负载。

缺点:

  • 更新延迟​:设备只能在下一次定时检查时才会得知有更新,可能会有一定的延迟,特别是当设备不在线时。
  • 服务器负担​:如果检查频率设置较高,可能会导致服务器需要处理大量的请求。

适用场景:

  • 资源有限的设备​:如嵌入式设备,客户端硬件资源有限,推送通知的复杂性不适合。
  • 更新周期不频繁​:适用于没有非常急迫的更新需求的场景。
  • 设备联网条件不稳定​:例如设备需要连接到Wi-Fi或LTE网络时,定期检查可以灵活调整检查频率,避免过多的网络请求。

企业常见应用:

在很多设备管理平台(如Amazon AWS IoT、Google Cloud IoT等)中,定期检查版本是默认的方式。设备通常按天、按周或者按月周期性地检查固件版本,特别是当设备的更新较为频繁时。

2. 推送通知(服务器主动通知)

推送通知 是指服务器主动向设备推送固件更新的消息,告知设备可以进行固件更新。

优点:

  • 及时性高​:服务器能够在发现新版本后立即通知设备更新,无需等待设备下次查询。这样可以保证更新的实时性,尤其是当有紧急修复或者重要功能发布时,推送通知非常有效。
  • 减少设备空闲时检查的频率​:不需要设备定期去主动请求,可以减少资源消耗和网络请求。
  • 适合大规模设备管理​:通过推送通知,设备可以及时响应,尤其是对于大规模企业环境中的设备,推送通知能够更高效地进行管理。

缺点:

  • 需要额外的基础设施支持​:推送通知通常需要额外的服务,如 ​MQTT​、WebSocketHTTP/2 Push 等,这可能增加系统架构的复杂性。
  • 网络要求高​:推送通知需要设备能够保持与服务器的长连接或接收即时消息,因此要求设备必须在网络连接较为稳定的环境下运行。
  • 可能会带来额外的成本​:推送通知服务(如APNs、Firebase Cloud Messaging等)通常需要付费,尤其是当设备数量非常庞大时。

适用场景:

  • 紧急修复或更新​:如果需要紧急推送修复更新,推送通知是最佳选择。例如,安全漏洞修复、重要功能或配置更新。
  • 设备始终在线且网络稳定​:适用于那些持续在线的设备(例如智能家居设备、工业设备等),这些设备能够接收到实时通知并快速响应。
  • 需要实时更新的场景​:例如某些控制系统、关键任务设备,需要保持同步更新,以避免出现不一致的版本。

企业常见应用:

对于一些需要高实时性和即时响应的场景,企业级应用会使用推送通知。例如,IoT设备管理平台通常使用 MQTT 协议来推送更新消息。推送消息告知设备有新的固件可用,设备收到消息后会立刻进行固件下载和安装。

3. 企业级常见的做法:

  • 定期检查版本更新 更为常见,特别是在设备数量庞大、更新频率较低的场景中。通过 ​定期版本检查​,设备可以灵活地选择最佳时机进行更新,且服务器负担较轻。
  • 推送通知 适用于对 更新及时性要求较高 的场景,如智能家居设备、健康监测设备等实时性要求较强的设备,尤其是当需要紧急推送更新时,推送通知是最佳选择。

4. 混合方案(结合两者)

在一些企业级 OTA 方案中,通常会采用 ​混合方案​,即 ​定期检查与推送通知结合使用​。例如:

  • 定期检查​:设备按照固定的周期(如每天、每周)检查固件版本。
  • 推送通知​:当有紧急修复或特定需要时,服务器会通过推送通知设备进行版本检查或直接进行更新。

这种混合方案能够在保持系统灵活性的同时,满足紧急更新的需求。

总结:

  1. 定期检查版本更新​:适用于大多数企业级应用,特别是对于资源受限的设备、更新周期不频繁的设备。
  2. 推送通知​:适用于紧急更新、需要实时响应的场景,如智能设备或需要高实时性的设备。
  3. 混合方案​:结合了两者的优点,能够根据具体情况灵活切换。
异常与中断

评论