固件空中升级 (OTA)
固件空中升级 (OTA) 是什么?
固件空中升级 (OTA)通过无线或网络通道为远程设备分发并安装固件升级的机制,无需物理接触设备。
固件空中升级 (Firmware Over-the-Air, OTA) 指通过无线或网络通道向设备安全分发固件更新的过程,广泛用于智能手机、车辆、IoT 传感器、路由器、智能电表与工业网关。健全的 OTA 流水线会生成固件镜像,使用 HSM 中的私钥签名,通过 CDN 或更新服务器分发,并在设备端基于不可变代码 (安全启动) 构建的信任链验证签名,还应支持 A/B 分区或回滚。SUIT (RFC 9019) 与 Uptane (用于联网车辆) 等标准规范化了清单格式、防回滚与多方签名。如果 OTA 不安全 —— 未签名的更新、硬编码的密钥或可从公网访问的更新服务器 —— 就可能在一次操作中同时危及整个 IoT 设备群。
● 示例
- 01
智能电表通过 LPWAN 接收签名的固件包,并通过厂商根证书链验证。
- 02
电动车制造商通过 OTA 修复电池管理系统的全球设备漏洞。
● 常见问题
固件空中升级 (OTA) 是什么?
通过无线或网络通道为远程设备分发并安装固件升级的机制,无需物理接触设备。 它属于网络安全的 OT / ICS / 物联网 分类。
固件空中升级 (OTA) 是什么意思?
通过无线或网络通道为远程设备分发并安装固件升级的机制,无需物理接触设备。
固件空中升级 (OTA) 是如何工作的?
固件空中升级 (Firmware Over-the-Air, OTA) 指通过无线或网络通道向设备安全分发固件更新的过程,广泛用于智能手机、车辆、IoT 传感器、路由器、智能电表与工业网关。健全的 OTA 流水线会生成固件镜像,使用 HSM 中的私钥签名,通过 CDN 或更新服务器分发,并在设备端基于不可变代码 (安全启动) 构建的信任链验证签名,还应支持 A/B 分区或回滚。SUIT (RFC 9019) 与 Uptane (用于联网车辆) 等标准规范化了清单格式、防回滚与多方签名。如果 OTA 不安全 —— 未签名的更新、硬编码的密钥或可从公网访问的更新服务器 —— 就可能在一次操作中同时危及整个 IoT 设备群。
如何防御 固件空中升级 (OTA)?
针对 固件空中升级 (OTA) 的防御通常结合技术控制与运营实践,详见上方完整定义。
固件空中升级 (OTA) 还有哪些其他名称?
常见的别称包括: OTA 升级, FOTA, 空中固件升级。
● 相关术语
- ot-iot№ 552
物联网安全
针对物联网设备、网关、网络与云服务的安全防护学科。需要应对其规模、资源受限以及长生命周期等挑战。
- network-security№ 878
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
- defense-ops№ 802
补丁管理
对修复漏洞或缺陷的软件更新进行识别、测试、部署和验证的端到端流程。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- ot-iot№ 551
IoT 僵尸网络
由被攻陷的物联网设备组成、受远程控制的网络,用于发动 DDoS、撞库、点击欺诈或挖矿等攻击。
- ot-iot№ 683
Mirai 僵尸网络
2016 年首次出现的 IoT 恶意软件家族,通过默认口令收编路由器、摄像头和 DVR,曾用于击垮美国大半互联网的 Dyn DNS DDoS 攻击。
● 参见
- № 1267Zigbee 安全
- № 634LoRaWAN 安全