电动汽车领域无线电池管理系统的安全性

　　在与电动汽车 （EV） 原始设备制造商就无线电池管理系统 （wBMS） 的技术和商业利益进行的早期对话中发现的挑战似乎令人生畏，但回报却大有希望，不容忽视。无线连接相对于有线/有线架构的许多固有优势已经在无数商业应用中得到证明，而 BMS 是另一个明确的线切割候选者。

 

 

　　图 1. 使用无线电池管理系统 （wBMS） 的电动汽车。

　　更轻巧、模块化和紧凑的电动汽车电池组的前景——最终摆脱了繁琐的通信线束——已被广泛接受。通过消除高达 90% 的电池组布线和 15% 的电池组体积，可以显着简化整车的设计和占地面积，以及材料清单 （BOM） 成本、开发复杂性和相关的手动安装/维护劳动。

　　更重要的是，单个无线电池设计可以很容易地在 OEM 的整个 EV 车队中进行扩展，从而排除了针对每个品牌和型号进行广泛且成本高昂的电池组线束重新设计。借助 wBMS，原始设备制造商可以自由修改其车架设计，而不必担心必须重新布置电池组内的大量 BMS 布线。

　　从长远来看，车辆重量和电池组尺寸的持续减小对于未来几年延长电动汽车的行驶里程至关重要。因此，wBMS 技术将在帮助 OEM 提升续航能力方面发挥重要作用，从而帮助克服消费者长期挥之不去的 EV 续航焦虑。

　　这不仅有望刺激更大的整体电动汽车市场采用率，而且还使原始设备制造商有机会凭借其行驶里程声明的实力跃入电动汽车市场的领导地位。这仍将是未来电动汽车原始设备制造商之间的主要差异化因素。有关优势和市场分析的更多详细信息，请参阅“电动汽车无线电池管理 革命已经开始，投资回报潜力巨大”。［1］

　　新的安全标准

　　要实现 wBMS 提供的承诺，需要克服许多挑战。wBMS 中使用的无线通信需要在汽车行驶时对干扰具有足够的鲁棒性，并且系统必须在所有条件下都是安全的。但是，仅靠稳健和安全的设计可能不足以对抗坚定的攻击者——这就是系统安全发挥作用的地方。

　　干扰源的变化取决于汽车行驶的地点（例如，城市与农村地区）以及是否有人在车内使用另一个在相同频段运行的无线设备。电池组内的反射也会降低性能，具体取决于用于容纳电池单元的电池组的材料。wBMS 信号很有可能会波动，在自然条件下可能会破坏通信，更不用说面对恶意行为者了。

　　如果 wBMS 通信以某种方式中断，汽车可以恢复到“安全模式”，降低性能以允许驾驶员采取行动，或者在 wBMS 通信完全丢失的情况下安全停车。这可以通过适当的安全设计来实现，该设计考虑系统中所有可能的故障模式并实施解决组件随机故障的端到端安全机制。

　　但安全设计并未考虑恶意行为者利用系统为自己谋利的可能性，其中可能包括远程控制汽车。在 2016 年黑帽会议期间，研究人员在移动车辆上证明了这种可能性，通过车辆网关使用远程访问。因此，无线稳健性和故障安全设计是不够的；他们需要有保安陪同。黑帽演示是一个宝贵的教训，它表明未来汽车中的无线系统需要设计成不能用作另一个远程入口点。相比之下，传统的有线电池组不提供远程访问，因此要访问电池数据，黑客需要物理访问车辆中的高压环境。

　　如图 2 所示，在整个 EV 电池生命周期中可能会出现其他安全挑战。在 Analog Devices， Inc. （ADI），我们设计 wBMS 的方法侧重于了解 EV 电池从诞生到出厂的不同阶段部署和维护，最后到下一个生命周期或生命周期结束。这些用例定义了 wBMS 必须支持的各种功能。例如，防止未经授权的远程访问是 EV 部署过程中的一项考虑因素，但在制造过程中需要更灵活的访问。另一个例子是可维修性，其中维修权法律要求车主解决由电池或相关 wBMS 引起的问题。

　　此外，当电动汽车电池不再符合电动汽车性能标准时，它们有时会被重新部署到能源领域。这需要将 EV 电池的所有权从其第一个生命周期安全地转移到下一个生命周期。由于电池是没有内置智能的设备，因此需要随附的 wBMS 来执行最适合 EV 电池生命周期的适当安全策略。在过渡到第二人生之前，需要安全擦除第一人生的秘密。

　　ADI 预见到了这些问题，并根据我们自己的核心设计原则解决了这些问题，这些原则对维护和增强从流程到产品的安全完整性给予了极高的评价和详尽的审查。与此同时，过去三年一直在开发的关于“道路车辆：网络安全工程”的 ISO/SAE 21434 ［2］ 标准于 2021 年 8 月正式发布。它定义了一个类似的详尽的端到端流程框架，具有四个级别的网络安全保证。汽车 OEM 和供应商的评分范围为 1 到 4，其中 4 表示最高级别的一致性（参见图 3）。

 

 

　　图 2. EV 电池生命周期及其相关的 wBMS 生命周期。

 

 

　　图 3. ISO/SAE 21434 框架和 CAL 4 期望。

　　ADI 的 wBMS 方法符合 ISO/SAE 21434 的要求，适用于汽车行业安全产品开发所需的最高级别的检查和严格性。为此，ADI 与著名的可信认证实验室TÜV-Nord合作，评估我们的内部开发政策和流程。这导致我们的政策和流程经过审查，以完全符合新标准 ISO 21434，如图 4 所示。

 

 

　　图 4. TÜV-Nord 的证书。

　　从设备到网络的严格审查

　　按照我们在 wBMS 产品设计中的系统流程，我们进行了威胁评估和风险分析 （TARA），以根据客户打算如何使用产品来绘制威胁态势。通过了解系统的功能以及在其生命周期内使用的各种方式，我们可以确定哪些关键资产需要保护以及免受哪些潜在威胁。

　　TARA技术有多种选择，包括著名的Microsoft STRIDE方法，该方法尝试通过考虑STRIDE一词缩写的六种威胁来对威胁进行建模：欺骗、篡改、拒绝服务、信息泄露、拒绝服务， 和E特权提升。然后，我们可以将其应用于构成 wBMS 系统的组件的不同接口，如图 5 所示。

 

 

　　图 5. wBMS 的威胁面注意事项。

　　这些接口是沿着数据和控制流路径的自然停止点，潜在的攻击者可能会在未经授权的情况下访问系统资产。在这里，通过扮演攻击者的角色并问自己每个威胁在每个接口上的适用程度以及原因，我们可以绘制出可能的攻击路径，并确定威胁发生的可能性以及如果成功，后果可能有多严重。然后，我们在不同的生命周期阶段重复这个思考过程，因为威胁的可能性和影响可能会因产品所处的环境（例如，仓库与部署）而异。这些信息将表明需要采取某些对策。

　　以部署期间无线小区监视器和 wBMS 管理器之间的无线信道为例，如图 5 所示。如果资产是来自无线小区监视器的数据，并且担心数据值泄露给窃听者，那么我们可能希望在数据通过无线通道时对其进行加密。如果我们担心数据在通过通道时被篡改，那么我们可能希望使用数据完整性机制来保护数据，例如消息完整性代码。如果关心的是识别数据的来源，那么我们将需要一种方法来向 wBMS 管理器验证无线小区监视器。

　　通过这个练习，我们可以确定 wBMS 系统的关键安全目标，如图 6 所示。这些目标需要一些机制来实现。

 

 

　　图 6. wBMS 的安全目标。

　　很多时候，“我们在选择机制以实现特定安全目标方面走了多远？”的问题。被问到。如果增加更多的对策，几乎肯定会改善产品的整体安全状况，但代价是巨大的，并且可能给最终消费者使用产品带来不必要的不​​便。一种常见的策略是减轻最容易部署的最可能威胁。倾向于针对更高价值资产的更复杂的攻击可能需要更强大的安全对策，但这些可能极不可能发生，因此如果实施，回报率很低。

　　例如，在 wBMS 中，在车辆行驶时对 IC 组件进行物理篡改以获取电池数据测量值的可能性极小，因为需要一名训练有素且具有深厚 EV 电池知识的机械师才能在汽车行驶时的汽车零件。如果存在，现实生活中的攻击者可能会尝试更简单的路径。对网络系统的一种常见攻击类型是拒绝服务 （DoS） 攻击——剥夺用户的产品效用。您可以创建一个便携式无线干扰器来尝试干扰 wBMS 功能（硬），但您也可以让轮胎中的空气排出（简单）。

　　将风险与一组适当的缓解措施相协调的这一步骤称为风险分析。通过在采取适当对策之前和之后权衡相关威胁的影响和可能性，我们可以确定剩余风险是否已被合理地最小化。最终结果是仅因为需要并且以客户可以接受的成本水平才包含安全功能。

　　wBMS 的 TARA 指出了 wBMS 安全的两个重要方面：设备级安全和无线网络安全。

　　任何安全系统的第一条规则是“保密您的密钥！” 这意味着在设备和我们的全球制造业务中。ADI 的 wBMS 设备安全性考虑了硬件、IC 和 IC 上的低级软件，并确保系统能够安全地从不可变内存引导到可信平台以运行代码。所有软件代码在执行之前都经过身份验证，任何现场软件更新都需要通过预安装的凭据进行授权。将系统部署到车辆中后，禁止回滚到软件的先前（并且可能是易受攻击的）版本。此外，一旦部署系统，调试端口就会被锁定，从而消除了未经授权的后门访问系统的可能性。

　　网络安全旨在保护 wBMS 电池监控节点和电池组外壳内的网络管理器之间的空中通信。安全性始于网络加入，其中检查所有参与节点的成员资格。这可以防止随机节点加入网络，即使它们碰巧在物理上很近。在应用层向网络管理器的节点相互认证将进一步保护无线通信通道，使中间人攻击者不可能伪装成管理器的合法节点，反之亦然。此外，为了确保只有预期的接收者可以访问数据，基于 AES 的加密用于加密数据，防止信息泄露给任何潜在的窃听者。

　　保护密钥

　　与所有安全系统一样，安全的核心是一组加密算法和密钥。ADI 的 wBMS 遵循 NIST 批准的指南，这意味着选择符合 128 位最小安全强度的算法和密钥大小，适用于静态数据保护（例如，AES-128、SHA-256、EC-256 ） 并使用经过充分测试的无线通信标准（如 IEEE 802.15.4）中的算法。

　　设备安全中使用的密钥通常在 ADI 的制造过程中安装，并且永远不会离开 IC 设备。这些用于确保系统安全的密钥反过来又受到使用和静止的 IC 设备的物理保护，防止未经授权的访问。然后，分层密钥框架通过将所有应用程序级密钥保存为非易失性内存中的加密 blob 来保护所有应用程序级密钥，包括用于网络安全的那些。

　　为了促进网络中节点的相互身份验证，ADI 的 wBMS 在制造过程中为每个 wBMS 节点提供了一个唯一的公钥-私钥对和一个签名的公钥证书。签署的证书允许节点验证它正在与另一个合法的 ADI 节点和有效的网络成员通信，而唯一的公私密钥对由节点在密钥协商方案中用于建立与另一个节点的安全通信通道或与 BMS 控制器。这种方法的一个好处是更容易安装 wBMS，而不需要安全的安装环境，因为节点被编程为在部署后自动处理网络安全。

　　相比之下，过去使用预共享密钥来建立安全通道的方案通常需要安全的安装环境和安装程序来手动编程通信端点的密钥值。为了简化和降低处理密钥分配问题的成本，为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。这通常会导致当一场彻底的、全面的灾难发生时吸取教训。

　　随着 OEM 生产规模的扩大，能够利用相同的 wBMS 和跨不同 EV 平台的不同数量的无线节点，并安装在不同的制造或服务站点，这些站点必须是安全的，我们倾向于使用分布式密钥方法来简化整体密钥管理复杂性。

　　结论

　　只有在从设备到网络以及在 EV 电池的整个生命周期内确保安全性的情况下，wBMS 技术的全部优势才能实现。从这个角度来看，安全性需要一种系统级的设计理念，包括流程和产品。

　　ADI 预见到 ISO/SAE 21434 标准在其起草期间解决的核心网络安全问题，并将它们纳入我们自己的 wBMS 设计和开发精神中。我们很自豪能够成为首批在我们的政策和流程上实现 ISO/SAE 21434 合规性的技术供应商之一，并且目前正在对 wBMS 技术进行最高网络安全保证级别的认证。

　　参考

　　［1］ 肖恩·奥马奥尼。“电动汽车无线电池管理革命已经 开始，投资回报潜力巨大。” 模拟设备公司，2021 年 11 月。

　　［2］ ISO/SAE 21434:2021 – 道路车辆。国际标准化组织，2021。

　　所有图片均由 ADI 公司提供。

　　Lei Poo是ADI汽车业务部电动汽车集团的系统架构总监目前管理系统架构团队，该团队负责设计无线电池管理系统 （wBMS）。她之前曾领导 ADI 的安全架构和平台团队建立内部安全产品开发流程，现在将 HW 嵌入式安全构建到 ADI 用于工业以太网和 wBMS 的新兴硅产品中。在加入 ADI 之前，Lei 曾在 NXP、Broadcom 和 Marvell 担任嵌入式系统和安全架构师，为智能卡/智能手机、机顶盒和安全磁盘驱动器设计安全芯片/控制器解决方案。雷获得博士学位。2005 年获得斯坦福大学电气工程博士学位，在硬件嵌入式安全、系统和算法领域拥有 20 项美国专利。