在资源受限的嵌入式机器人系统中,固件升级不仅是功能迭代的核心环节,更是保障设备长期安全运行的关键基础设施。早期开发阶段,我们依赖ST-Link调试器或串口DFU(Device Firmware Upgrade)进行物理烧录------这种方式虽然直接,但效率低下、无法远程维护,且在量产部署后几乎不可行。随着产品进入多用户、多场景应用阶段,一套安全、可靠、可远程执行的OTA(Over-The-Air)升级机制成为刚需。
然而,在STM32等主流MCU上启用Flash读保护(Readout Protection, RDP Level 1)是防止代码被逆向工程的标准做法。这一安全措施虽有效,却也阻断了常规串口Bootloader的写入路径------因为RDP开启后,调试接口(SWD/JTAG)和部分内存访问会被锁定,导致传统DFU失效。
为破解这一矛盾,我们设计了一套"临时解锁 + 安全验证 "的混合升级流程。具体而言,当系统接收到特定的升级指令序列(例如:0xAA 0x55 [密钥哈希]),主控MCU会执行以下操作:
1FLASH_Unlock();
2FLASH_ReadOutProtection(DISABLE); // 临时关闭RDP
3// 此时可接收并写入新固件
4FLASH_Program(...);
5FLASH_ReadOutProtection(ENABLE); // 升级完成后立即重新启用RDP
6FLASH_Lock();该过程需在极短时间内完成,并配合看门狗机制防止死锁。更重要的是,解锁指令必须经过身份认证,避免被恶意触发。
在此基础上,我们利用机器人搭载的OpenWrt Linux子系统作为升级代理。手机App通过Wi-Fi连接机器人热点后,将加密固件上传至OpenWrt的/tmp目录(基于RAMFS,避免频繁写入Flash造成磨损)。随后,OpenWrt通过串口或USB CDC通道向主控发送校验与刷写指令。
为确保固件完整性与来源可信,我们定义了自研的固件头结构,包含以下字段:
- 设备型号(4字节)
- 固件版本号(4字节)
- 程序入口地址(4字节)
- SHA256签名(32字节)
固件主体则使用AES-128-CBC模式加密,密钥由设备唯一ID(如STM32的96-bit UID)动态派生,确保"一机一密"。即使固件包被截获,也无法在其他设备上解密运行。
整个升级流程高度自动化:
- App检测到新版本 → 下载加密固件;
- 通过SSH/SCP上传至
/tmp/firmware.bin; - OpenWrt调用升级脚本,解析固件头,验证签名;
- 若合法,则通过串口通知主控进入升级模式;
- 主控临时解除RDP,接收并写入固件,通过stm32flash;
- 写入成功后复位,新固件启动;
- 升级结果通过MQTT或HTTP回调上报至服务器。
该方案已在多代产品中稳定运行,成功支持超过15MB的大体积固件(如集成神经网络模型的视觉模块)的远程更新。实测表明,在2.4GHz Wi-Fi环境下,10MB固件传输+校验+刷写全过程耗时约45秒,失败率低于0.3%。
更重要的是,这套机制构建了纵深防御的安全体系:物理接口受RDP保护,网络传输经AES加密,逻辑流程依赖设备唯一密钥。即便攻击者控制了网络层,也无法伪造有效固件;即便获取了固件文件,也无法在非目标设备上执行。
未来,我们将探索基于TEE(可信执行环境)的更高级验证机制,以及差分升级(Delta Update)以进一步压缩带宽消耗。但目前这套"临时解锁 + SSH代理 + 动态加密"的组合,已为嵌入式机器人提供了一条兼顾安全性、实用性与可维护性的固件升级路径。