Ich denke, es könnte ganz einfach gehen.
Die Stationen kommen wohl immer mit derselben IPv6 beim mirror an, um die Updates abzufragen.
Da kann man dann auf einem anständigen Webserver einfach eine.htaccess mit allow/deny in das Verzeichnis schmeißen, bevor man die neuen Versionen der Firmware publiziert.
Dann können nur die per IP autentifizierten Stationen die Updates downloaden. Wenn die alles gut verkraftet haben, löscht man die .htaccess, bzw ersetzt den Inhalt durch „allowed from all“ und alle anderen können auch updaten.
Der Webserver muss dafür nicht neu gestartet werden oder die config reloaden. .htaccess funktioniert on the fly.
Wenn jemand weiß, wie das auch mit nginx gehf, bitte mal posten.