RK3568 OTA升级实战:从签名验证到AB分区切换的完整避坑指南
RK3568 OTA升级实战:从签名验证到AB分区切换的完整避坑指南
在嵌入式设备开发中,OTA(Over-The-Air)升级是确保设备长期稳定运行的关键技术。RK3568作为一款广泛应用于物联网和工业控制领域的高性能处理器,其OTA实现方案直接关系到设备的可靠性和维护效率。本文将深入探讨RK3568平台OTA升级的全流程技术细节,特别针对AB分区切换、签名验证等核心环节提供可落地的解决方案。
1. RK3568 OTA升级架构设计
RK3568的OTA升级系统通常由三个核心组件构成:升级包生成工具、客户端升级程序和bootloader逻辑。与通用Linux系统不同,嵌入式设备的OTA需要特别考虑存储空间限制、断电保护和回滚机制。
典型升级流程中的关键节点:
- 升级包生成阶段:包含镜像文件哈希计算、清单文件生成和数字签名
- 客户端验证阶段:执行签名验证、哈希校验和分区状态检查
- 写入阶段:通过dd命令写入目标分区,并设置misc标志
- 验证阶段:系统重启后检查关键服务是否正常
注意:RK3568的uboot不支持OTA更新,这与NVIDIA的cboot方案有本质区别。所有内核和系统更新必须通过AB分区机制实现。
2. 升级包制作与签名验证
制作可靠的升级包是OTA流程的第一步。以下是一个完整的升级包制作脚本示例:
#!/bin/bash # build_ota_package.sh OTA_DIR="ota_temp" OUTPUT_PKG="update_v2.3.zip" TARGET_SLOT="B" # 根据当前系统动态确定 # 清理并创建临时目录 rm -rf ${OTA_DIR} mkdir -p ${OTA_DIR} # 拷贝需要升级的镜像文件 cp ./output/boot.img ${OTA_DIR}/ cp ./output/system.img ${OTA_DIR}/ cp ./output/vendor.img ${OTA_DIR}/ # 生成manifest.json文件 cat > ${OTA_DIR}/manifest.json << EOF { "version": "2.3.0", "timestamp": "$(date +%s)", "target_slot": "${TARGET_SLOT}", "partitions": [ { "name": "boot", "image": "boot.img", "sha256": "$(sha256sum ${OTA_DIR}/boot.img | awk '{print $1}')", "size": $(stat -c %s ${OTA_DIR}/boot.img) }, { "name": "system", "image": "system.img", "sha256": "$(sha256sum ${OTA_DIR}/system.img | awk '{print $1}')", "size": $(stat -c %s ${OTA_DIR}/system.img) } ] } EOF # 使用私钥生成签名(实际生产环境) openssl dgst -sha256 -sign private.pem -out ${OTA_DIR}/manifest.sig ${OTA_DIR}/manifest.json # 打包为ZIP文件 cd ${OTA_DIR} && zip -r ../${OUTPUT_PKG} ./* && cd .. echo "OTA包生成完成: ${OUTPUT_PKG}" # 清理临时文件 rm -rf ${OTA_DIR}签名验证的C语言实现关键代码:
#include <openssl/evp.h> #include <openssl/pem.h> int verify_signature(const char *pubkey_path, const char *data_file, const char *sig_file) { FILE *pubkey_fp = fopen(pubkey_path, "r"); if (!pubkey_fp) return -1; EVP_PKEY *pubkey = PEM_read_PUBKEY(pubkey_fp, NULL, NULL, NULL); fclose(pubkey_fp); if (!pubkey) return -1; EVP_MD_CTX *ctx = EVP_MD_CTX_new(); EVP_VerifyInit(ctx, EVP_sha256()); // 读取待验证数据 FILE *data_fp = fopen(data_file, "r"); if (!data_fp) { EVP_MD_CTX_free(ctx); EVP_PKEY_free(pubkey); return -1; } unsigned char buffer[4096]; size_t bytes_read; while ((bytes_read = fread(buffer, 1, sizeof(buffer), data_fp)) > 0) { EVP_VerifyUpdate(ctx, buffer, bytes_read); } fclose(data_fp); // 读取签名文件 FILE *sig_fp = fopen(sig_file, "r"); if (!sig_fp) { EVP_MD_CTX_free(ctx); EVP_PKEY_free(pubkey); return -1; } fseek(sig_fp, 0, SEEK_END); long sig_len = ftell(sig_fp); fseek(sig_fp, 0, SEEK_SET); unsigned char *sig_data = malloc(sig_len); fread(sig_data, 1, sig_len, sig_fp); fclose(sig_fp); // 执行验证 int ret = EVP_VerifyFinal(ctx, sig_data, sig_len, pubkey); free(sig_data); EVP_MD_CTX_free(ctx); EVP_PKEY_free(pubkey); return (ret == 1) ? 0 : -1; }3. AB分区切换与状态管理
RK3568的AB分区方案要求开发者精确管理分区状态。以下是分区状态检测和设置的完整实现:
分区状态检测函数:
#include <stdio.h> #include <string.h> #include <fcntl.h> #include <unistd.h> #define MISC_PARTITION "/dev/block/by-name/misc" struct slot_info { char current_slot; // 'A' 或 'B' int boot_count; // 启动尝试次数 int is_successful; // 上次启动是否成功 }; int read_slot_info(struct slot_info *info) { int fd = open(MISC_PARTITION, O_RDONLY); if (fd < 0) return -1; char buffer[256] = {0}; read(fd, buffer, sizeof(buffer)-1); close(fd); // 解析misc分区内容 info->current_slot = 'A'; info->boot_count = 0; info->is_successful = 0; char *p = buffer; while (*p) { if (strncmp(p, "current_slot=", 13) == 0) { info->current_slot = *(p + 13); } else if (strncmp(p, "boot_count=", 11) == 0) { info->boot_count = atoi(p + 11); } else if (strncmp(p, "slot_successful=", 16) == 0) { info->is_successful = (*(p + 16) == info->current_slot); } p = strchr(p, '\n'); if (!p) break; p++; } return 0; } int write_slot_info(const struct slot_info *info) { int fd = open(MISC_PARTITION, O_WRONLY); if (fd < 0) return -1; char buffer[256]; snprintf(buffer, sizeof(buffer), "current_slot=%c\n" "boot_count=%d\n" "slot_successful=%c\n", info->current_slot, info->boot_count, info->is_successful ? info->current_slot : '0'); write(fd, buffer, strlen(buffer)); close(fd); return 0; }分区切换的典型场景处理:
| 场景 | 处理逻辑 | 恢复措施 |
|---|---|---|
| 正常升级 | 写入B分区后设置misc标志为B | 无 |
| 首次启动失败 | boot_count递增,重试最多3次 | 超过次数回滚到A分区 |
| 写入过程断电 | 检查分区头部的magic number | 重新开始写入流程 |
| 签名验证失败 | 立即终止升级流程 | 保持当前分区不变 |
4. 断电保护与错误恢复
在嵌入式环境中,断电是不可忽视的风险。我们采用以下策略增强OTA的可靠性:
分块写入实现:
#define BLOCK_SIZE (4 * 1024 * 1024) // 4MB块大小 int safe_write_partition(const char *img_path, const char *part_name) { int src_fd = open(img_path, O_RDONLY); if (src_fd < 0) return -1; int dst_fd = open(part_name, O_WRONLY); if (dst_fd < 0) { close(src_fd); return -1; } // 读取写入位置日志 off_t write_pos = 0; if (access("/var/ota_progress", F_OK) == 0) { FILE *fp = fopen("/var/ota_progress", "r"); if (fp) { fscanf(fp, "%ld", &write_pos); fclose(fp); lseek(src_fd, write_pos, SEEK_SET); } } unsigned char *buffer = malloc(BLOCK_SIZE); ssize_t bytes_read; int retry_count = 0; while ((bytes_read = read(src_fd, buffer, BLOCK_SIZE)) > 0) { ssize_t bytes_written = write(dst_fd, buffer, bytes_read); if (bytes_written != bytes_read) { if (retry_count++ < 3) { lseek(dst_fd, -bytes_written, SEEK_CUR); continue; } free(buffer); close(src_fd); close(dst_fd); return -1; } write_pos += bytes_written; // 更新进度日志 FILE *fp = fopen("/var/ota_progress", "w"); if (fp) { fprintf(fp, "%ld", write_pos); fclose(fp); sync(); } retry_count = 0; } free(buffer); close(src_fd); close(dst_fd); unlink("/var/ota_progress"); return 0; }错误恢复策略对比:
| 错误类型 | 检测方法 | 恢复动作 | 日志记录 |
|---|---|---|---|
| 写入中断 | 检查进度文件 | 从断点继续 | 记录最后写入位置 |
| 校验失败 | 比较哈希值 | 重试写入(最多3次) | 记录失败次数 |
| 分区损坏 | 检查magic值 | 回滚到备份分区 | 记录损坏扇区 |
| 空间不足 | 预先检查分区大小 | 终止升级流程 | 记录所需空间 |
5. 系统验证与回滚机制
升级后的系统验证是确保设备可用性的最后防线。以下是验证程序的实现要点:
#include <sys/statvfs.h> #define MIN_DISK_SPACE (50 * 1024 * 1024) // 50MB最小空间要求 #define CRITICAL_SERVICES {"sshd", "networkd", "main_app"} int post_update_validation() { // 检查磁盘空间 struct statvfs vfs; if (statvfs("/", &vfs) == 0) { uint64_t free_space = vfs.f_bsize * vfs.f_bfree; if (free_space < MIN_DISK_SPACE) { syslog(LOG_ERR, "Insufficient disk space: %llu bytes", free_space); return -1; } } // 检查关键服务 const char *services[] = CRITICAL_SERVICES; for (size_t i = 0; i < sizeof(services)/sizeof(services[0]); i++) { char cmd[128]; snprintf(cmd, sizeof(cmd), "pgrep %s > /dev/null", services[i]); if (system(cmd) != 0) { syslog(LOG_ERR, "Critical service not running: %s", services[i]); return -1; } } // 检查文件系统完整性 if (system("fsck -n /dev/system_$(get_current_slot)") != 0) { syslog(LOG_ERR, "Filesystem check failed"); return -1; } // 验证通过,更新分区状态 struct slot_info info; if (read_slot_info(&info) == 0) { info.is_successful = 1; write_slot_info(&info); } return 0; }在实际项目中,我们发现最常出现的问题集中在签名验证和分区切换两个环节。一个实用的调试技巧是在misc分区中添加详细的日志记录,帮助追踪升级过程中的状态变化。对于资源受限的设备,可以考虑使用差分升级包减少传输数据量,但需要特别注意差分算法的可靠性和恢复能力。