确保无线电池管理系统的安全

在与电动汽车（EV）原始设备制造商就无线电池管理系统（wBMS）的技术和业务优势进行的早期对话中发现的挑战似乎令人望而生畏，但回报太大，不容忽视。无线连接相对于有线/有线架构的许多固有优势已经在无数的商业应用中得到了证明，BMS是另一个明显的跳线切割候选者。

图1。使用无线电池管理系统（wBMS）的电动车辆。

一种更轻量化、模块化和紧凑型电动汽车电池组的前景最终从其笨重的通信线束中解放出来，这一前景已被广泛接受。通过消除敢达90%的电池组布线和15%的电池组体积，整个车辆的设计和占地面积可以大大简化，材料清单（BOM）成本、开发复杂性以及相关的手动安装/维护劳动力也可以大大简化。

此外，单个无线电池设计可以很容易地扩展到OEM的整个EV车队，从而避免了针对每个品牌和型号进行大量且昂贵的电池组线束重新设计。有了wBMS，原始设备制造商可以自由修改其车架设计，而无需担心电池组内的大量BMS布线需要重新布线。

从长远来看，持续降低车辆重量和电池组尺寸对于未来几年扩大电动汽车行驶里程至关重要。因此，wBMS技术将在帮助原始设备制造商提高其续航里程能力方面发挥重要作用，从而帮助克服消费者长期以来对电动汽车续航里程的焦虑。

这不仅有助于推动电动汽车市场的整体采用率，而且也让原始设备制造商有机会凭借其行驶里程的优势，一跃成为电动汽车市场领先地位。这仍然是未来电动汽车原始设备制造商的主要区别。有关优势和市场分析的更多详细信息，请参见“电动汽车无线电池管理 革命已经开始，投资回报潜力巨大.”[1]

一种新的安全标准

要实现wBMS提供的承诺，需要克服许多挑战。wBMS中使用的无线通信需要在汽车行驶时具有足够的抗干扰能力，并且系统必须在所有条件下都是安全的。但是，单靠稳健和安全的设计可能不足以抵御确定的攻击者，这正是系统安全发挥作用的地方。

干扰源的变化取决于汽车行驶的位置（例如，城市与农村地区），以及是否有人在车内使用另一个在同一频段工作的无线设备。电池组内的反射也会降低性能，这取决于电池组外壳所用的材料。wBMS信号很有可能会波动，在自然条件下可能会中断通信，更不用说面对恶意行为者了。

如果wBMS通信以某种方式中断，汽车可以恢复到性能降低的“安全模式”，以允许驾驶员采取行动，或者在完全失去wBMS通信的情况下，安全停车。这可以通过适当的安全设计来实现，该设计考虑了系统中所有可能的故障模式，并实现了端到端的安全机制，以解决组件的随机故障。

但安全设计没有考虑恶意行为者利用系统的可能性，这可能包括远程控制汽车。2016年黑帽大会期间，研究人员在移动车辆上通过车辆网关远程访问，证明了这种可能性。因此，无线鲁棒性和故障安全设计是不够的；他们需要有安全保障。黑帽子的演示是一个宝贵的教训，它表明未来汽车无线系统的设计必须确保它们不能被用作另一个远程入口。相比之下，传统的有线电池组不提供远程访问，因此为了访问电池数据，黑客需要物理访问车辆中的高压环境。

如图2所示，在整个电动汽车电池寿命周期内，可能会出现额外的安全挑战。在模拟设备股份有限公司（ADI），我们设计wBMS的方法侧重于了解电动汽车电池从出生到工厂、部署和维护，最后到下一个寿命或寿命终止的不同阶段。这些用例定义了wBMS必须支持的各种功能。例如，在EV部署过程中，防止未经授权的远程访问是一个考虑因素，但在制造过程中需要更灵活的访问。另一个例子是在可维护性方面，维修权法律要求车主有一种方法来解决由电池单元或相关的wBMS引起的问题。这意味着必须支持wBMS中更新软件的合法方式，并且更新机制不应影响车辆离开服务中心时的安全性。

此外，当电动汽车电池不再符合电动汽车性能标准时，有时会将其重新部署到能源部门。这需要将电动汽车电池的所有权从其第一次使用寿命转移到下一次使用寿命。由于电池是没有内置智能的设备，因此相应的wBMS需要执行适当的安全策略，以最有效地服务于电动汽车电池的生命周期。在过渡到第二个生命之前，需要安全地擦除第一个生命的秘密。

ADI预见到了这些问题，并根据我们自己的核心设计原则解决了这些问题。这些设计原则对维护和增强从流程到产品的安全完整性具有极高的价值和详尽的审查。与此同时，在过去三年中制定的ISO/SAE 21434[2]“道路车辆：网络安全工程”标准于2021 8月正式发布。它定义了一个类似的详尽的端到端流程框架，具有四个级别的网络安全保证。汽车原始设备制造商和供应商的评级从1到4，其中4表示最高的合规水平（见图3）。

单击以查看全尺寸图像

图2:EV电池寿命周期及其相关的wBMS寿命周期。

单击以查看全尺寸图像

图3。ISO/SAE 21434框架和CAL 4预期。

ADI的wBMS方法与ISO/SAE 21434相一致，以实现汽车行业安全产品开发所需的最高水平的检查和严格性。为此，ADI与TÜV-Nord，一个著名的可信认证实验室，以评估我们的内部开发政策和流程。这导致我们的政策和流程经过审查，完全符合新标准ISO 21434，如图4所示。

图4。TÜV-Nord认证。

从设备到网络的严格审查

根据我们在wBMS产品设计中的系统流程，进行了威胁评估和风险分析（TARA），以根据客户打算如何使用产品来规划威胁环境。通过了解该系统的功能以及在其生命周期内使用该系统的各种方式，我们可以确定哪些关键资产需要保护，以及免受哪些潜在威胁。

TARA技术有多种选择，包括众所周知的微软 步幅该方法试图通过考虑单词STRIDE缩写的六种威胁来模拟威胁：S鞭打，T安培数，R音频，我信息披露，D服务质量，以及E特权的提升。然后，我们可以将其应用于组成wBMS系统的组件的不同接口，如图5所示。

单击以查看全尺寸图像

图5。wBMS的威胁面考虑。

这些接口是数据流和控制流路径上的自然停止点，潜在攻击者可以在那里获得对系统资产的未经授权的访问。在这里，通过扮演攻击者并询问我们自己每个威胁在每个界面上的适用性以及原因，我们可以绘制出可能的攻击路径，并确定威胁发生的可能性以及如果成功的话后果的严重程度。然后，我们在不同的生命周期阶段重复这个思考过程，因为威胁的可能性和影响可能会因产品所处的环境而异（例如，仓库与部署）。这些信息将表明需要采取某些对策。

例如，在部署期间，无线小区监控器和wBMS管理器之间的无线信道，如图5所示。如果资产是来自无线小区监视器的数据，并且担心数据值泄漏给窃听者，那么我们可能希望在数据通过无线信道时对其进行加密。如果我们担心数据在通过通道时被篡改，那么我们可能需要使用数据完整性机制（例如消息完整性代码）来保护数据。如果关注的是识别数据来自何处，那么我们将需要一种向wBMS管理器验证无线小区监视器的方法。

通过本练习，我们可以确定wBMS系统的关键安全目标，如图6所示。这些目标需要实施一些机制。

单击以查看全尺寸图像

图6。wBMS的安全目标。

人们经常会问“我们在选择机制以实现特定安全目标方面要走多远？”。如果增加更多的应对措施，几乎肯定会改善产品的整体安全状况，但代价高昂，可能会给使用产品的最终消费者带来不必要的不便。一种常见的策略是减轻最容易部署的最可能的威胁。更复杂的攻击往往针对价值更高的资产，这可能需要更强有力的安全对策，但这些攻击极不可能发生，因此如果实施，回报率很低。

例如，在wBMS中，当车辆在道路上行驶时，对IC组件进行物理篡改以获取电池数据测量是极不可能的，因为人们需要一名训练有素的机械师，具备深厚的电动汽车电池知识，在汽车行驶时对汽车部件进行体操。现实生活中的攻击者可能会尝试一条更容易的道路（如果存在的话）。网络系统上常见的攻击类型是拒绝服务（DoS）攻击，剥夺了用户的产品实用性。您可以创建一个便携式无线干扰器来尝试干扰wBMS功能（硬），但也可以让轮胎中的空气排出（容易）。

将风险与一套适当的缓解措施进行协调的这一步骤称为风险分析。通过权衡在采取适当对策之前和之后相关威胁的影响和可能性，我们可以确定剩余风险是否已合理最小化。最终的结果是，安全功能仅因需要而被纳入，且成本水平为客户所接受。

wBMS的TARA指出了wBMS安全的两个重要方面：设备级安全和无线网络安全。

任何安全系统的第一条规则都是“对您的密钥保密！”这意味着无论是在设备上还是在我们的全球制造业务中。ADI的wBMS设备安全性考虑到了硬件、IC和IC上的低级别软件，并确保系统能够从不可变内存安全地引导到可信的平台，以便代码运行。所有软件代码在执行前都经过验证，任何现场软件更新都需要预先安装的凭据进行授权。在车辆中部署系统后，禁止回滚到软件的先前版本（可能存在漏洞）。此外，一旦部署系统，调试端口将被锁定，从而消除未经授权的后门访问系统的可能性。

网络安全旨在保护wBMS电池监控节点和电池组外壳内的网络管理器之间的空中通信。安全性从网络加入开始，其中检查所有参与节点的成员资格。这防止了随机节点加入网络，即使它们恰好在物理上靠近。节点与应用层网络管理器的相互认证将进一步保护无线通信信道，使中间人攻击者不可能伪装成管理器的合法节点，反之亦然。此外，为了确保只有目标接收者才能访问数据，基于AES的加密用于加密数据，防止信息泄露给任何潜在的窃听者。

固定钥匙

与所有安全系统一样，安全的核心是一组加密算法和密钥。ADI的wBMS遵循NIST批准的指南，这意味着选择符合128位最小安全强度的算法和密钥大小，这些算法和密钥适合于静态数据保护（例如，AES-128、SHA-256、EC-256），并使用IEEE 802.15.4等经过良好测试的无线通信标准中的算法。

用于设备安全的密钥通常在ADI的制造过程中安装，永远不会离开IC设备。这些用于确保系统安全的钥匙，在使用和休息时都受到IC设备的物理保护，防止未经授权的访问。然后，分层密钥框架通过将所有应用程序级密钥保存为非易失性存储器中的加密块（包括网络安全中使用的加密块）来保护它们。

为了促进网络中节点的相互认证，ADI的wBMS在制造过程中为每个wBMS节点提供了唯一的公私密钥对和签名的公钥证书。签名的证书允许节点验证它正在与另一个合法的ADI节点和有效的网络成员通话，而唯一的公私密钥对由节点在密钥协议方案中使用，以建立与另一节点或BMS控制器的安全通信信道。这种方法的一个好处是更容易安装wBMS，而不需要安全的安装环境，因为节点被编程为在部署后自动处理网络安全。

相比之下，过去使用预共享密钥来建立安全信道的方案通常需要安全的安装环境和安装程序来手动编程通信端点的密钥值。为了简化和降低处理密钥分配问题的成本，为网络中的所有节点分配默认的公共网络密钥通常是许多人采取的捷径。这通常会导致在发生“一刀切”的灾难时吸取惨痛教训。

随着OEM生产规模的扩大，我们能够在不同的EV平台上利用相同的wBMS和不同数量的无线节点，并安装在不同的制造或服务场所，这些场所必须是安全的，因此我们倾向于采用分布式密钥方法，以简化总体密钥管理复杂性。

结论

只有在从设备到网络以及在电动汽车电池的使用寿命内确保安全性，才能实现wBMS技术的全部好处。因此，安全性需要系统级的设计理念，包括过程和产品。

ADI预计ISO/SAE 21434标准在起草期间将解决核心网络安全问题，并将其纳入我们自己的wBMS设计和开发理念。我们很荣幸成为首批在我们的政策和流程中实现ISO/SAE 21434合规性的技术供应商之一，目前正在接受wBMS技术的最高网络安全保证级别认证。

参考

[1] 尚恩·奥马奥尼。“电动汽车无线电池管理革命 开始，投资回报潜力巨大“模拟设备有限公司，2021 11月。

[2]ISO/SAE 21434:2021–道路车辆ISO，2021。

所有图片均由Analog Devices提供。

---

雷波是汽车事业部电子移动集团的系统架构总监模拟设备目前管理负责设计无线电池管理系统（wBMS）的系统架构团队。她曾领导ADI的安全架构和平台团队建立内部安全产品开发流程，现在将硬件嵌入式安全构建到ADI新兴的工业以太网和wBMS硅产品中。在加入ADI之前，Lei曾在NXP、Broadcom和Marvell任职，她是一名嵌入式系统和安全架构师，为智能卡/智能手机、机顶盒和安全磁盘驱动器设计安全芯片/控制器解决方案。雷于2005年获得斯坦福大学电气工程博士学位，在硬件嵌入式安全、系统和算法领域拥有20项美国专利。可以在lei.poo@analog.com.