今年10月ARM向IETF提交了A Firmware Update Architecture for Internet of Things Devices的草案，如果通过就会成为标准，可以推进IoT安全的发展。

开发IoT设备的过程中，最大的难题是如何升级设备上的固件。一旦设备投入应用，固件更新就是其生命周期中很重要的一部分，尤其是那些安装在偏远地区、生命周期又比较长的设备，和手动升级花费较多的情况：

Ø 可以用固件更新修复软件bug；

Ø 可以用固件更新在设备中添加新功能；

Ø 固件更新必须保证：1）固件的真实性；2）固件的机密性。

需求

文中固件镜像的升级机制需求如下：

Ø 不知道固件镜像的分布；

Ø 支持广播传送方式；

Ø 使用最新的安全机制；

Ø 用小的bootloader来操作；

Ø 对现有固件镜像格式的修改最少；

Ø 鲁棒的权限。

固件升级架构

消息流

下面的消息流说明了分发固件镜像到设备的交互过程：

安全考虑

下面是IoT固件升级中的一些安全考虑：

安装固件更新要确保不影响设备运行的环境的功能；

安装固件更新要及时，同时考虑更新设备、潜在的重认证需求、用户是否同意安装更新等复杂的决策过程；

在没有人干预的情况下以一种高效的方式分发固件更新到大量的设备中；

能源效率和电池寿命的考虑；

验证数字签名所需的密钥管理；

制造商作为IoT产品的一部分提供固件更新机制的动机。