OTA — qurilma yoki applicationga software, firmware, configuration va boshqa ma’lumotlarni fizik kabelsiz, tarmoq orqali masofadan yetkazish va o‘rnatish jarayoni. To‘liq nomi Over-the-Air. OTA smartphone, avtomobil, router, IoT sensor, smart TV va embedded qurilmalarda qo‘llanadi.
OTA update xavfsizlik zaifligini tuzatish, yangi funksiya qo‘shish va qurilma behaviorini yangilash imkonini beradi. Noto‘g‘ri tashkil etilgan update esa minglab qurilmani bir vaqtda ishdan chiqarishi mumkin.
Update artifact
OTA server quyidagi artifactlardan birini tarqatishi mumkin:
- to‘liq system image;
- firmware binary;
- application package;
- delta patch;
- configuration;
- modem firmware;
- bootloaderga oid image.
Har artifact qurilma modeli, hardware revision va joriy versionga mos bo‘lishi kerak.
Full update
Yangi image to‘liq yuboriladi.
Afzalligi:
- sodda;
- oldingi file holatiga kam bog‘liq;
- verification osonroq.
Kamchiligi — download hajmi katta.
Past bandwidthli IoT qurilmada qimmat bo‘lishi mumkin.
Delta update
Faqat eski va yangi version orasidagi farq yuboriladi.
Download hajmi kamayadi.
Patch aynan ma’lum source versionga qo‘llanadi.
Qurilmadagi file o‘zgargan yoki boshqa version bo‘lsa patch ishlamasligi mumkin.
Fallback full image saqlanadi.
Manifest
Update manifest quyidagilarni ko‘rsatadi:
- version;
- target model;
- minimum source version;
- artifact URL;
- hajm;
- hash;
- signature;
- release channel;
- dependency;
- rollout policy.
Manifestning o‘zi ham authenticated va integrity himoyasiga ega bo‘ladi.
Digital signature
Qurilma update’ni faqat trusted vendor private key bilan imzolangan bo‘lsa qabul qiladi.
Public key bootloader yoki secure storage’da saqlanadi.
Faqat HTTPS yetarli emas, chunki server yoki distribution qatlam compromise bo‘lishi mumkin.
Signature artifactning origin va integrity’sini tekshiradi.
Hash
Cryptographic hash download buzilmaganini tekshiradi.
Hash manifest ichida himoyalangan bo‘lishi kerak.
Attacker artifact va oddiy plaintext hashni birga almashtira olsa foyda yo‘q.
Signature yoki authenticated channel kerak.
Secure boot
Secure boot qurilma ishga tushganda boot chain componentlarining signature’ini tekshiradi.
OTA faqat signed image o‘rnatsa ham, bootloader keyingi bosqichda verify qilishi muhim.
Bu persistent malicious firmware yuklanishini qiyinlashtiradi.
A/B partition
Qurilmada systemning ikki sloti bo‘lishi mumkin:
- active slot;
- inactive slot.
Update inactive slotga yoziladi.
Rebootdan keyin yangi slot sinovdan o‘tadi.
Boot muvaffaqiyatsiz bo‘lsa eski slotga rollback qilinadi.
Recovery update
A/B bo‘lmagan tizim recovery environment orqali update o‘rnatishi mumkin.
Main system to‘xtatiladi, package verify va filelar almashtiriladi.
Power uzilishi yoki storage xatosi qurilmani boot qilolmaydigan holatga olib kelmasligi uchun journal va recovery logic kerak.
Rollback
Yangi version crash, boot failure yoki health check xatosi bersa oldingi ishlaydigan versionga qaytiladi.
Rollback faqat filelarni emas, database schema va configuration compatibility’ni ham hisobga oladi.
Irreversible migration eski software bilan ishlamasligi mumkin.
Anti-rollback
Security zaif eski firmware’ga ataylab qaytishni cheklash kerak bo‘lishi mumkin.
Secure version counter yoki bootloader policy minimum versionni saqlaydi.
Biroq development va emergency recovery jarayoni ham nazoratli bo‘lishi kerak.
Staged rollout
Update barcha qurilmaga bir vaqtda berilmaydi.
Bosqichlar:
- internal;
- test group;
- 1%;
- 10%;
- 50%;
- 100%.
Crash va health metric yomonlashsa rollout to‘xtatiladi.
Device cohort
Qurilmalar:
bo‘yicha guruhlanadi.
Har cohort uchun mos artifact va rollout tezligi belgilanadi.
Noto‘g‘ri hardware image jo‘natish kritik xato.
Update check
Qurilma periodic serverdan manifest so‘rashi yoki push signal olishi mumkin.
Request device model, version va channelni yuboradi.
Server authorization va privacy talablarini hisobga oladi.
Juda ko‘p qurilma bir vaqtda check qilmasligi uchun jitter ishlatiladi.
Download
Katta artifact resume va range request bilan yuklanadi.
Qurilma oldindan:
holatini tekshiradi.
Metered networkda user roziligi talab qilinishi mumkin.
Installation
Update o‘rnatish atomik yoki recoverable bo‘lishi kerak.
Firmware write paytida power yo‘qolsa bootable copy saqlanadi.
Watchdog va boot counter yangi version healthini tekshiradi.
Muvaffaqiyat serverga report qilinadi.
Configuration OTA
Faqat firmware emas, remote configuration ham OTA hisoblanishi mumkin.
Feature flag, threshold va certificate yangilanadi.
Configuration schema versionlanadi va signature bilan himoyalanadi.
Noto‘g‘ri config ham software bug kabi katta ta’sir qiladi.
Certificate rotation
Uzoq yashaydigan IoT qurilmada TLS va signing certificate muddati tugashi mumkin.
OTA key rotation va trust store update’ni oldindan rejalashtiradi.
Eski va yangi key overlap davrida qo‘llanishi mumkin.
Private signing key offline yoki hardware security module’da saqlanadi.
Observability
OTA tizimi kuzatadi:
- download success;
- install success;
- reboot;
- rollback;
- battery failure;
- model bo‘yicha xato;
- version distribution;
- vaqt.
Faqat server “200 OK” bergani update muvaffaqiyatli degani emas.
Supply-chain xavfi
Build server, artifact repository yoki signing key compromise bo‘lsa zararli update qonuniydek tarqalishi mumkin.
Himoya:
- reproducible build;
- separated signing;
- multi-party approval;
- immutable artifact;
- audit;
- key rotation;
- incident revoke.
OTA yuqori privilege distribution kanali hisoblanadi.
Bog‘liq tushunchalar
Over-the-Air update, OTA, Firmware update, Delta update, Digital signature, Secure boot, A/B partition, Rollback, Staged rollout, IoT device management