Как обновляется операционная система OS Malevich

OS Malevich — это операционная система для управления работой централей и ретрансляторов систем Ajax в режиме реального времени.

Обновления — неотъемлемая часть развития и совершенствования продукта. Они повышают стабильность и защищенность операционной системы хабов Ajax, оптимизируют ее работу, обеспечивают совместимость с новыми устройствами и расширяют возможности.

Обновления системы не происходят по фиксированному графику. Мы выпускаем обновления тогда, когда это необходимо для внедрения новых функций, усиления стабильности системы и ее безопасности.

Обновление операционной системы хаба

1. Хаб проверяет, есть ли на сервере обновления операционной системы

Зашифрованный файл прошивки хаба хранится на сервере Ajax Cloud, который не знает ключей и типа шифрования файла. Доступ к базе с прошивками разрешен только из рабочей сети и только ограниченному кругу лиц компании Ajax Systems. Поскольку такие лица имеют разные уровни доступа, никто из них не может внести критические изменения и саботировать систему. Система фиксирует и контролирует все действия, поэтому команда Ajax точно знает, кто и когда вносил изменения. Внутренние правила безопасности запрещают использовать пароли для доступа к базе прошивок. Вместо них сотрудники применяют SSH-ключи.

Хаб обменивается данными с сервером через зашифрованный проприетарный протокол связи. Системы аутентификации и верификации защищают сервер от подлога.

Хаб проверяет обновления операционной системы каждые 5 минут. Если в настройках хаба включена опция автоматического обновления, оно начнется, когда система будет снята с охраны и подключена к внешнему источнику питания. Если эта опция выключена, то установить обновление можно в мобильном приложении. Если хаб обнаруживает новую прошивку, когда система находится под охраной, обновление загружается в фоновом режиме и устанавливается после снятия системы с охраны. Это не препятствует работе системы.

Технологии защиты:

• доступ к базе с прошивками только через SSH-ключи;
• разграничение доступов и фиксация изменений на сервере;
• системы аутентификации и верификации сервера;
• использование зашифрованного проприетарного протокола связи.

2. Передача файла обновления с сервера на хаб

При обнаружении файла обновления хаб загружает прошивку на внешнюю флеш-память. Для этого хаб использует любой доступный канал связи с сервером: Ethernet, Wi-Fi или GSM. Загрузка происходит в фоновом режиме и не влияет на работу системы.

Время загрузки файла обновления может отличаться в зависимости от канала связи хаба и количества подключенных к нему ретрансляторов. Примерное время загрузки прошивки приведено в таблице:

*Если хаб имеет только канал связи 2G GSM, время загрузки может увеличиться.

Данные, передаваемые между хабом и сервером, защищены с помощью сертифицированного NIST шифрования в рамках закрытого бинарного протокола.

Технологии защиты:

• аутентификация;
• шифрование.

3. Проверка файла обновлений

Прошивка хаба зашифрована и подписана контрольной суммой. Если файл прошивки поврежден (намеренно или вследствие ошибок при передаче), обновление игнорируется, поскольку контрольные суммы не будут совпадать.

Контрольная сумма внутри файла дешифрованной прошивки не будет совпадать с подписью, даже если злоумышленник испортит зашифрованный файл прошивки и подменит контрольную сумму. Поэтому хаб отклонит файл обновления.

Максимум, что можно сделать, — считать файл прошивки с внешней флеш-памяти хаба. Однако на дешифровку этого файла, учитывая возможности современных компьютеров, уйдут тысячи лет.

Файл прошивки содержит систему маркеров и свойств, которые проверяются перед установкой. Информация о них доступна ограниченному кругу лиц для предотвращения саботажа. Если какой-либо маркер или свойство не проходит проверку, обновление отменяется. В таком случае Hub не установит прошивку от Hub Plus.

Технологии защиты:

• проверка контрольных сумм, маркеров и свойств;
• шифрование.

4. Обновление прошивки хаба

Во время обновления программа-загрузчик в ППС микроконтроллера устройства считывает зашифрованный файл прошивки с внешней флеш-памяти хаба.

Прошивка дешифруется только внутри микроконтроллера, к которому нет доступа снаружи, поэтому нет и возможности считать или подменить прошивку. После дешифровки файла прошивки контрольные суммы проверяются повторно. Это позволяет убедиться, что данные не были повреждены во время дешифровки.

Программа-загрузчик внутри хаба также контролирует корректность работы хаба на новой прошивке. При обнаружении критических ошибок или сбоев в работе, хаб удаляет испорченную версию прошивки и перепрошивается на последнюю стабильную версию.

Только ограниченный круг лиц знает, каким образом выбирается стабильная прошивка и контролируется корректность ее работы. Это значительно усложняет саботаж. Сама программа-загрузчик не обновляется — это предотвращает саботаж механизма отката прошивки.

Технологии защиты:

• проверка контрольной суммы после дешифровки;
• контроль критических ошибок;
• контроль корректности работы хаба на новой прошивке.

5. Необходимые условия для обновления прошивки

Чтобы успешно и незаметно обновить прошивку системы, до начала и во время процедуры нужно соблюдать следующие условия:

• стабильное внешнее питание хаба во время обновления;
• стабильное интернет-соединение при загрузке обновления (при нестабильном соединении загрузка может прерываться и начинаться сначала);
• система безопасности снята с охраны (если система под охраной, обновление начнется после снятия с охраны);
• пожарные датчики Ajax не в состоянии тревоги на хабе с версией OS Malevich 2.14 или выше.

Если в системе есть ретранслятор ReX или ReX 2, для успешного обновления его прошивки дополнительно нужно соблюдать следующие требования:

• стабильное внешнее питание ретранслятора во время обновления;
• стабильная связь между хабом и ретранслятором.

👉 Обновление прошивки ретрансляторов

6. Как обновить хаб вручную

По умолчанию хабы обновляются автоматически. Однако вы можете проверить наличие обновлений хаба вручную:

Функция доступна в настройках хаба в приложении Ajax (Хаб → Настройки → Сервисные → Обновления прошивки → Проверить наличие обновлений).

После обновления прошивки

Обновление прошивки и последующая перезагрузка хаба длится до 10 секунд, после чего хаб снова подключается к серверу. Время подключения зависит от количества активных каналов связи и не превышает 30 секунд. Оповещения о событиях и тревогах сохраняются в ленте событий даже при обновлении хаба.

О начале и завершении обновления прошивки хаба приложения Ajax информируют уведомлениями:

Автоматическое обновление не является обязательным и его можно отключить. Для этого перейдите в сервисные настройки хаба (Устройства → Хаб → Настройки (⚙️) → Сервисные) и отключите опцию Автоматическое обновление ПО.

После этого хаб продолжит проверять наличие обновлений, но они не будут установлены автоматически. Когда появится новая прошивка, в приложении вы увидите кнопку для установки обновления.

Мы выпускаем обновления безопасности для хабов как минимум в течение двух лет гарантийного срока.

👉 Последние обновления операционной системы хаба

Обновление прошивки ретрансляторов

Обновление ретрансляторов радиосигнала отличается только процессом получения файла прошивки. Сначала файл загружается с сервера Ajax Cloud на хаб, а затем передается ретранслятору по протоколу Cargo — радиопротоколу связи на базе Jeweller.

Передача файла прошивки длится около 40 минут для ReX и 30 минут для ReX 2. В настоящее время система безопасности продолжает работать в штатном режиме. Как только ретранслятор получит файл прошивки и система безопасности будет снята с охраны, ReX установит обновление. Установка прошивки и последующая перезагрузка ReX продолжаются до 5 секунд. События и тревоги устройств охранной системы при обновлении не теряются.

Настроить автоматическое обновление ретранслятора можно так же, как и автоматическое обновление хаба. Чтобы отключить автоматическое обновление, перейдите в меню: Устройства → Хаб → Настройки (⚙️) → Сервисные.