1、概述
本文主要介绍HaaS100 对升级的固件做验签的功能进而防止升级非法固件;如下图流程所示,当用户开启阿里云IOT物联网平台的安全升级功能,对应的产品就启动了针对这个产品的安全升级功能,云端会对这个产品的升级固件做秘钥、公钥管理并对这个产品的固件做数字签名;对应的设备端,在OTA的过程中,会用从云端获取的公钥对升级的固件做数字签名的验证;整个流程,用户不需要管理公私钥,使用起来也非常方便,下图为HaaS100 安全升级使用流程图:
2、使用流程
2.1、开发环境搭建
组件使用示例相关的代码下载、编译和固件烧录均依赖AliOS Things配套的开发工具 alios-studio ,所以首先需要参考《aos-studio使用说明之搭建开发环境》,下载安装 alios-studio ,待开发环境搭建完成后,可以按照以下步骤进行示例的测试。
2.2、 创建工程
创建新的工程:
组件的示例代码可以通过编译链接到AliOS Things的任意案例(solution)来运行,这里选择ota_demo案例, 开发板:HaaS100。
ota_demo案例相关的源代码下载可参考《aos-studio使用说明之创建工程》。
打开已有工程:
如果用于测试的案例工程已存在,可参考《aos-studio使用说明之打开工程》打开已有工程。
2.3、打开云端安全升级功能并获取公钥
2.4、将公钥内嵌到代码中
如步骤1图示,通过复制按钮获取的公钥内嵌到 AliOS-Things/components/dm/ota/hal/ota_hal_digest.c文件中,覆盖如下的两个数组:
/* RSA Public Key:User needs sign in alibaba cloud to get and replace them. */
static const unsigned char ota_pubn_buf[256];
static const unsigned char ota_pube_buf[3];
2.5、配置固件版本号
根据需求修改版本号,如app-1.0.0等
修改位置:solutions/ota_demo/otaappdemo.c中的,MY_APP_VER宏定义。
2.6、配置四元祖
修改位置:solutions/ota_demo/otaappdemo.c中的,mqtt_main函数中的char product_key, char device_name, char *device_secret;填入自己的pk,dn,ds;
2.7、编译固件
完成上面步骤后,就可以编译ota_demo案例来生成固件了,具体编译方法可参考《aos-studio使用说明之编译固件》。
2.8、烧录固件
ota_demo案例的固件生成后,可参考《aos-studio使用说明之烧录固件》来烧录固件。
2.9、打开串口
固件烧录完成后,可以通过串口查看示例的运行结果,打开串口的具体方法可参考《aos-studio使用说明之查看日志》。
当串口终端打开成功后,可在串口中输入help来查看已添加的测试命令。
2.10、配网连云
输入wifi账号和密码配网:在终端输入:
netmgr -t wifi -c wifi_ssid wifi_password
注意修改其中的wifi_ssid和wifi_password为需要连接的wifi名字和wifi密码。
连网成功后,登录物联网平台可以看到对应的设备在线:
2.11、编译上云固件及云端操作
本地烧录完成后,需要做一个高版本固件上传到云端,通过云端操作完成固件的升级,所以需要按照步骤3中修改版本号的方法,修改固件版本号,其他不用修改,再编译生成一个高版本的固件,然后登录物联网平台平台,按如下图顺序操作:
点击添加固件后,如下图将platform/mcu/haas1000/release/write_flash_gui/ota_bin/ota_bin/ota_rtos_ota.bin上传到云端:
点击确定后,选择验证固件即可开始固件升级;
2.12、升级结果验证
按照上面的操作步骤完成后,可以完成固件的数字签名验签进而实现固件升级,端侧的log如下图:
如果开启了安全升级,但HaaS100没有内嵌公钥,触发升级会怎么样呢?答案是HaaS100会数字签名验证失败,禁止固件升级,端侧的log会如下图所示:
云端升级结果可以通过点击“查看”获取详情;物联网平台的OTA操作可参考文档阿里云物联网平台固件升级文档
注:在做OTA之前确保设备端已连接云端
开发者支持
HaaS解决方案中心:https://haas.iot.aliyun.com/
HaaS技术社区:https://blog.csdn.net/HaaSTech
开发者钉钉群和公众号见下图,开发者钉钉群每天都有技术支持同学值班。