Blog · Mühendislik

Güvenli OTA Güncellemeleri:
Her Cihazı Güncel Tutma Yöntemimiz

Simplinx'in şifreli firmware güncellemelerini nasıl aldığını, güvenli geri alma için çift önyükleme bölümünü nasıl kullandığına ve sahadaki her cihazın herhangi bir kullanıcı işlemi olmadan her zaman en güncel firmware'i nasıl çalıştırdığına içeriden bir bakış.

Haziran 2026 · 6 dk okuma
Firmware Güncellemeleri Güvenlik

Geleneksel OT ortamlarında firmware güncellemeleri, sistem entegratörlerin ürperdiği şeylerdir. Planlı duruş gerektirir, sahaya gidilir, her cihaza manuel olarak bağlanılır ve güncellemenin sorunsuz geçmesi ümit edilir. Sorun çıkarsa, her dakikanın önem taşıdığı bir üretim katında saatler süren sorun giderme anlamına gelebilir.

Simplinx güncelleme sistemini tüm bunları ortadan kaldıracak şekilde inşa ettik. Sahada bulunan her cihaz, üretimi kesintiye uğratmadan otomatik ve güvenli biçimde güncelleme alır. İşte nasıl çalıştığı.

Güncelleme Sunucusundan Şifreli Teslimat

Yeni bir firmware sürümü yayınlandığında, bir cihaza ulaşmadan önce güncelleme sunucumuzda imzalanır ve şifrelenir. Cihaz, güncelleme süreci başlamadan önce paketi dahili bir açık anahtarla doğrular — imzasız veya değiştirilmiş bir paket direkt reddedilir.

İndirme kanalı TLS kullanır. Bu, firmware'in aktarım sırasında iki katmanda korunduğu anlamına gelir: taşıma katmanı ele geçirmeyi önler, imza doğrulaması ise taşıma ele geçirilmiş olsa bile değiştirilmiş herhangi bir ikili dosyanın kurulmasını engeller.

İndirme Sırasında Cihaz Çalışmaya Devam Eder

Güncelleme, cihaz normal çalışmayı sürdürürken ayrı bir bölüme indirilip yazılır. Uzak bağlantılar aktif kalmaya devam eder. Veri toplama işlemi çalışır. Güvenlik duvarı kuralları uygulanmaya devam eder. Bunların hiçbiri güncelleme indirmesiyle kesintiye uğramaz.

Yalnızca son adım — geçiş — bir yeniden başlatma gerektirir. Bu yeniden başlatma, güç kesiminin ardından gerçekleşecek olan 30 saniyelik yeniden başlatmanın aynısıdır. Fabrika zeminine bu, olağanüstü bir durum değil; bilinen, yönetilebilir bir olaydır.

Endüstriyel DIN rail cihazına güvenli OTA firmware güncellemesi iletimi

Çift Önyükleme: Güvenlik Ağı

Her Simplinx cihazında iki firmware bölümü bulunur — bunlara Slot A ve Slot B diyelim. Her an bir slot çalışan firmware'i, diğeri ise gelen güncellemeyi (ya da önceki sürümü) barındırır.

İndirme tamamlandığında cihaz yeni firmware'i boştaki slota yazar. Yeniden başlatmada önyükleyici yeni slota geçer ve sistemi başlatır. Eski slot dokunulmadan ve bozulmadan bırakılır.

Bu, gömülü sistemlerde köklü bir yaklaşımdır — havacılık, otomotiv ve tıbbi cihazlarda tam da bu nedenle kullanılır: güncellemeyi tamamen atomik hale getirir. Ya yeni firmware temiz çalışır ya da cihaz herhangi bir manuel müdahale olmaksızın bilinen iyi slottan önyükleme yapar.

Doğrula, Onayla ya da Geri Al

Yeni firmware'e önyüklendikten sonra cihaz bir kendini doğrulama dizisi çalıştırır. Sistem bütünlüğünü kontrol eder, çalışan sürümü beklenen hash ile doğrular ve temel hizmetlerin doğru başladığını onaylar.

Doğrulama başarılı olursa önyükleyici yeni slotu onaylanmış olarak işaretler ve güncelleme tamamlanır. Herhangi bir nedenle doğrulama başarısız olursa — bozuk yazma, ilk önyüklemede beklenmedik çökme, her ne olursa olsun — önyükleyici sonraki yeniden başlatmada başarısızlığı algılar ve otomatik olarak önceki slota geçer.

Cihaz, güncellemeden önceki firmware'i çalıştırarak veri kaybı olmadan ve manuel kurtarma prosedürü gerektirmeden yeniden çevrimiçi olur. Başarısız güncelleme kaydedilir ve araştırılmak üzere güncelleme sunucusuna bildirilir.

Otomatik — Kullanıcı İşlemi Gerekmez

Güncellemeleri kasıtlı olarak kullanıcıya bırakmama kararı aldık. Yeni bir firmware sürümü yayınlandığında cihazlar otomatik olarak alır. Birisinin tıklaması gereken "güncelleme mevcut" bildirimi yoktur. Süresiz ertelenen güncelleme penceresi yoktur. Bazıları güncellenip bazıları güncellenmediği için altı farklı firmware sürümü çalıştıran cihaz filosu yoktur.

Bu güvenlik açısından önemlidir. N sürüm firmware'deki bilinen bir zafiyet, yalnızca N+1 sürümünde düzeltme yayınlandığında cihazlar hâlâ N sürümünü çalıştırıyorsa bir risk oluşturur. Otomatik OTA dağıtımıyla, yama sürümü ile dağıtımı arasındaki maruz kalma penceresi aylar değil saatlerle ölçülür.

Bu aynı zamanda her müşterinin — kurulumlarını ne kadar aktif yönettiklerinden bağımsız olarak — her zaman aynı güncel firmware'i çalıştırdığı anlamına gelir. Destek daha basittir. Güvenlik duruşu tutarlıdır. Üretim katında eski firmware çalıştırmanın operasyonel riski tasarımla ortadan kalkar.

Güncelleme Süreci — Özet

1
Yayınlandı
Yeni firmware güncelleme sunucusunda imzalanır ve şifrelenir.
2
İndirildi
Cihaz paketi TLS üzerinden alır. Yazılmadan önce imza doğrulanır.
3
Boştaki slota yazıldı
Firmware boştaki bölüme yazılır. Cihaz normal çalışmayı sürdürür.
4
Yeniden Başlatma
Önyükleyici yeni slota geçer. ~30 saniyelik yeniden başlatma.
5
Doğrulandı
Sistem bütünlük kontrolü başarıyla tamamlanır. Yeni slot aktif olarak onaylanır.
6
Tamamlandı — ya da geri alındı
Doğrulama başarısız olursa önyükleyici önceki slotu otomatik olarak geri yükler.
Bloga Dön

Simplinx'in Nasıl Çalıştığını Daha Fazla Öğrenmek İster misiniz?

Mühendislik ekibimizle konuşun — platformun herhangi bir konusunda daha derine inmeye hazırız.

İletişime Geçin