電動(dòng)汽車領(lǐng)域無(wú)線電池管理系統(tǒng)的安全性

　　在與電動(dòng)汽車 （EV） 原始設(shè)備制造商就無(wú)線電池管理系統(tǒng) （wBMS） 的技術(shù)和商業(yè)利益進(jìn)行的早期對(duì)話中發(fā)現(xiàn)的挑戰(zhàn)似乎令人生畏，但回報(bào)卻大有希望，不容忽視。無(wú)線連接相對(duì)于有線/有線架構(gòu)的許多固有優(yōu)勢(shì)已經(jīng)在無(wú)數(shù)商業(yè)應(yīng)用中得到證明，而 BMS 是另一個(gè)明確的線切割候選者。

　　圖 1. 使用無(wú)線電池管理系統(tǒng) （wBMS） 的電動(dòng)汽車。

　　更輕巧、模塊化和緊湊的電動(dòng)汽車電池組的前景——最終擺脫了繁瑣的通信線束——已被廣泛接受。通過(guò)消除高達(dá) 90% 的電池組布線和 15% 的電池組體積，可以顯著簡(jiǎn)化整車的設(shè)計(jì)和占地面積，以及材料清單 （BOM） 成本、開(kāi)發(fā)復(fù)雜性和相關(guān)的手動(dòng)安裝/維護(hù)勞動(dòng)。

　　更重要的是，單個(gè)無(wú)線電池設(shè)計(jì)可以很容易地在 OEM 的整個(gè) EV 車隊(duì)中進(jìn)行擴(kuò)展，從而排除了針對(duì)每個(gè)品牌和型號(hào)進(jìn)行廣泛且成本高昂的電池組線束重新設(shè)計(jì)。借助 wBMS，原始設(shè)備制造商可以自由修改其車架設(shè)計(jì)，而不必?fù)?dān)心必須重新布置電池組內(nèi)的大量 BMS 布線。

　　從長(zhǎng)遠(yuǎn)來(lái)看，車輛重量和電池組尺寸的持續(xù)減小對(duì)于未來(lái)幾年延長(zhǎng)電動(dòng)汽車的行駛里程至關(guān)重要。因此，wBMS 技術(shù)將在幫助 OEM 提升續(xù)航能力方面發(fā)揮重要作用，從而幫助克服消費(fèi)者長(zhǎng)期揮之不去的 EV 續(xù)航焦慮。

　　這不僅有望刺激更大的整體電動(dòng)汽車市場(chǎng)采用率，而且還使原始設(shè)備制造商有機(jī)會(huì)憑借其行駛里程聲明的實(shí)力躍入電動(dòng)汽車市場(chǎng)的領(lǐng)導(dǎo)地位。這仍將是未來(lái)電動(dòng)汽車原始設(shè)備制造商之間的主要差異化因素。有關(guān)優(yōu)勢(shì)和市場(chǎng)分析的更多詳細(xì)信息，請(qǐng)參閱“電動(dòng)汽車無(wú)線電池管理 革命已經(jīng)開(kāi)始，投資回報(bào)潛力巨大”。［1］

　　新的安全標(biāo)準(zhǔn)

　　要實(shí)現(xiàn) wBMS 提供的承諾，需要克服許多挑戰(zhàn)。wBMS 中使用的無(wú)線通信需要在汽車行駛時(shí)對(duì)干擾具有足夠的魯棒性，并且系統(tǒng)必須在所有條件下都是安全的。但是，僅靠穩(wěn)健和安全的設(shè)計(jì)可能不足以對(duì)抗堅(jiān)定的攻擊者——這就是系統(tǒng)安全發(fā)揮作用的地方。

　　干擾源的變化取決于汽車行駛的地點(diǎn)（例如，城市與農(nóng)村地區(qū)）以及是否有人在車內(nèi)使用另一個(gè)在相同頻段運(yùn)行的無(wú)線設(shè)備。電池組內(nèi)的反射也會(huì)降低性能，具體取決于用于容納電池單元的電池組的材料。wBMS 信號(hào)很有可能會(huì)波動(dòng)，在自然條件下可能會(huì)破壞通信，更不用說(shuō)面對(duì)惡意行為者了。

　　如果 wBMS 通信以某種方式中斷，汽車可以恢復(fù)到“安全模式”，降低性能以允許駕駛員采取行動(dòng)，或者在 wBMS 通信完全丟失的情況下安全停車。這可以通過(guò)適當(dāng)?shù)陌踩O(shè)計(jì)來(lái)實(shí)現(xiàn)，該設(shè)計(jì)考慮系統(tǒng)中所有可能的故障模式并實(shí)施解決組件隨機(jī)故障的端到端安全機(jī)制。

　　但安全設(shè)計(jì)并未考慮惡意行為者利用系統(tǒng)為自己謀利的可能性，其中可能包括遠(yuǎn)程控制汽車。在 2016 年黑帽會(huì)議期間，研究人員在移動(dòng)車輛上證明了這種可能性，通過(guò)車輛網(wǎng)關(guān)使用遠(yuǎn)程訪問(wèn)。因此，無(wú)線穩(wěn)健性和故障安全設(shè)計(jì)是不夠的；他們需要有保安陪同。黑帽演示是一個(gè)寶貴的教訓(xùn)，它表明未來(lái)汽車中的無(wú)線系統(tǒng)需要設(shè)計(jì)成不能用作另一個(gè)遠(yuǎn)程入口點(diǎn)。相比之下，傳統(tǒng)的有線電池組不提供遠(yuǎn)程訪問(wèn)，因此要訪問(wèn)電池?cái)?shù)據(jù)，黑客需要物理訪問(wèn)車輛中的高壓環(huán)境。

　　如圖 2 所示，在整個(gè) EV 電池生命周期中可能會(huì)出現(xiàn)其他安全挑戰(zhàn)。在 Analog Devices， Inc. （ADI），我們?cè)O(shè)計(jì) wBMS 的方法側(cè)重于了解 EV 電池從誕生到出廠的不同階段部署和維護(hù)，最后到下一個(gè)生命周期或生命周期結(jié)束。這些用例定義了 wBMS 必須支持的各種功能。例如，防止未經(jīng)授權(quán)的遠(yuǎn)程訪問(wèn)是 EV 部署過(guò)程中的一項(xiàng)考慮因素，但在制造過(guò)程中需要更靈活的訪問(wèn)。另一個(gè)例子是可維修性，其中維修權(quán)法律要求車主解決由電池或相關(guān) wBMS 引起的問(wèn)題。

　　此外，當(dāng)電動(dòng)汽車電池不再符合電動(dòng)汽車性能標(biāo)準(zhǔn)時(shí)，它們有時(shí)會(huì)被重新部署到能源領(lǐng)域。這需要將 EV 電池的所有權(quán)從其第一個(gè)生命周期安全地轉(zhuǎn)移到下一個(gè)生命周期。由于電池是沒(méi)有內(nèi)置智能的設(shè)備，因此需要隨附的 wBMS 來(lái)執(zhí)行最適合 EV 電池生命周期的適當(dāng)安全策略。在過(guò)渡到第二人生之前，需要安全擦除第一人生的秘密。

　　ADI 預(yù)見(jiàn)到了這些問(wèn)題，并根據(jù)我們自己的核心設(shè)計(jì)原則解決了這些問(wèn)題，這些原則對(duì)維護(hù)和增強(qiáng)從流程到產(chǎn)品的安全完整性給予了極高的評(píng)價(jià)和詳盡的審查。與此同時(shí)，過(guò)去三年一直在開(kāi)發(fā)的關(guān)于“道路車輛：網(wǎng)絡(luò)安全工程”的 ISO/SAE 21434 ［2］ 標(biāo)準(zhǔn)于 2021 年 8 月正式發(fā)布。它定義了一個(gè)類似的詳盡的端到端流程框架，具有四個(gè)級(jí)別的網(wǎng)絡(luò)安全保證。汽車 OEM 和供應(yīng)商的評(píng)分范圍為 1 到 4，其中 4 表示最高級(jí)別的一致性（參見(jiàn)圖 3）。

　　圖 2. EV 電池生命周期及其相關(guān)的 wBMS 生命周期。

　　圖 3. ISO/SAE 21434 框架和 CAL 4 期望。

　　ADI 的 wBMS 方法符合 ISO/SAE 21434 的要求，適用于汽車行業(yè)安全產(chǎn)品開(kāi)發(fā)所需的最高級(jí)別的檢查和嚴(yán)格性。為此，ADI 與著名的可信認(rèn)證實(shí)驗(yàn)室TüV-Nord合作，評(píng)估我們的內(nèi)部開(kāi)發(fā)政策和流程。這導(dǎo)致我們的政策和流程經(jīng)過(guò)審查，以完全符合新標(biāo)準(zhǔn) ISO 21434，如圖 4 所示。

　　圖 4. TüV-Nord 的證書(shū)。

　　從設(shè)備到網(wǎng)絡(luò)的嚴(yán)格審查

　　按照我們?cè)?wBMS 產(chǎn)品設(shè)計(jì)中的系統(tǒng)流程，我們進(jìn)行了威脅評(píng)估和風(fēng)險(xiǎn)分析 （TARA），以根據(jù)客戶打算如何使用產(chǎn)品來(lái)繪制威脅態(tài)勢(shì)。通過(guò)了解系統(tǒng)的功能以及在其生命周期內(nèi)使用的各種方式，我們可以確定哪些關(guān)鍵資產(chǎn)需要保護(hù)以及免受哪些潛在威脅。

　　TARA技術(shù)有多種選擇，包括著名的Microsoft STRIDE方法，該方法嘗試通過(guò)考慮STRIDE一詞縮寫(xiě)的六種威脅來(lái)對(duì)威脅進(jìn)行建模：欺騙、篡改、拒絕服務(wù)、信息泄露、拒絕服務(wù)， 和E特權(quán)提升。然后，我們可以將其應(yīng)用于構(gòu)成 wBMS 系統(tǒng)的組件的不同接口，如圖 5 所示。

　　圖 5. wBMS 的威脅面注意事項(xiàng)。

　　這些接口是沿著數(shù)據(jù)和控制流路徑的自然停止點(diǎn)，潛在的攻擊者可能會(huì)在未經(jīng)授權(quán)的情況下訪問(wèn)系統(tǒng)資產(chǎn)。在這里，通過(guò)扮演攻擊者的角色并問(wèn)自己每個(gè)威脅在每個(gè)接口上的適用程度以及原因，我們可以繪制出可能的攻擊路徑，并確定威脅發(fā)生的可能性以及如果成功，后果可能有多嚴(yán)重。然后，我們?cè)诓煌纳芷陔A段重復(fù)這個(gè)思考過(guò)程，因?yàn)橥{的可能性和影響可能會(huì)因產(chǎn)品所處的環(huán)境（例如，倉(cāng)庫(kù)與部署）而異。這些信息將表明需要采取某些對(duì)策。

　　以部署期間無(wú)線小區(qū)監(jiān)視器和 wBMS 管理器之間的無(wú)線信道為例，如圖 5 所示。如果資產(chǎn)是來(lái)自無(wú)線小區(qū)監(jiān)視器的數(shù)據(jù)，并且擔(dān)心數(shù)據(jù)值泄露給竊聽(tīng)者，那么我們可能希望在數(shù)據(jù)通過(guò)無(wú)線通道時(shí)對(duì)其進(jìn)行加密。如果我們擔(dān)心數(shù)據(jù)在通過(guò)通道時(shí)被篡改，那么我們可能希望使用數(shù)據(jù)完整性機(jī)制來(lái)保護(hù)數(shù)據(jù)，例如消息完整性代碼。如果關(guān)心的是識(shí)別數(shù)據(jù)的來(lái)源，那么我們將需要一種方法來(lái)向 wBMS 管理器驗(yàn)證無(wú)線小區(qū)監(jiān)視器。

　　通過(guò)這個(gè)練習(xí)，我們可以確定 wBMS 系統(tǒng)的關(guān)鍵安全目標(biāo)，如圖 6 所示。這些目標(biāo)需要一些機(jī)制來(lái)實(shí)現(xiàn)。

　　圖 6. wBMS 的安全目標(biāo)。

　　很多時(shí)候，“我們?cè)谶x擇機(jī)制以實(shí)現(xiàn)特定安全目標(biāo)方面走了多遠(yuǎn)？”的問(wèn)題。被問(wèn)到。如果增加更多的對(duì)策，幾乎肯定會(huì)改善產(chǎn)品的整體安全狀況，但代價(jià)是巨大的，并且可能給最終消費(fèi)者使用產(chǎn)品帶來(lái)不必要的不??便。一種常見(jiàn)的策略是減輕最容易部署的最可能威脅。傾向于針對(duì)更高價(jià)值資產(chǎn)的更復(fù)雜的攻擊可能需要更強(qiáng)大的安全對(duì)策，但這些可能極不可能發(fā)生，因此如果實(shí)施，回報(bào)率很低。

　　例如，在 wBMS 中，在車輛行駛時(shí)對(duì) IC 組件進(jìn)行物理篡改以獲取電池?cái)?shù)據(jù)測(cè)量值的可能性極小，因?yàn)樾枰幻?xùn)練有素且具有深厚 EV 電池知識(shí)的機(jī)械師才能在汽車行駛時(shí)的汽車零件。如果存在，現(xiàn)實(shí)生活中的攻擊者可能會(huì)嘗試更簡(jiǎn)單的路徑。對(duì)網(wǎng)絡(luò)系統(tǒng)的一種常見(jiàn)攻擊類型是拒絕服務(wù) （DoS） 攻擊——?jiǎng)儕Z用戶的產(chǎn)品效用。您可以創(chuàng)建一個(gè)便攜式無(wú)線干擾器來(lái)嘗試干擾 wBMS 功能（硬），但您也可以讓輪胎中的空氣排出（簡(jiǎn)單）。

　　將風(fēng)險(xiǎn)與一組適當(dāng)?shù)木徑獯胧┫鄥f(xié)調(diào)的這一步驟稱為風(fēng)險(xiǎn)分析。通過(guò)在采取適當(dāng)對(duì)策之前和之后權(quán)衡相關(guān)威脅的影響和可能性，我們可以確定剩余風(fēng)險(xiǎn)是否已被合理地最小化。最終結(jié)果是僅因?yàn)樾枰⑶乙钥蛻艨梢越邮艿某杀舅讲虐踩δ堋?/p>

　　wBMS 的 TARA 指出了 wBMS 安全的兩個(gè)重要方面：設(shè)備級(jí)安全和無(wú)線網(wǎng)絡(luò)安全。

　　任何安全系統(tǒng)的第一條規(guī)則是“保密您的密鑰！” 這意味著在設(shè)備和我們的全球制造業(yè)務(wù)中。ADI 的 wBMS 設(shè)備安全性考慮了硬件、IC 和 IC 上的低級(jí)軟件，并確保系統(tǒng)能夠安全地從不可變內(nèi)存引導(dǎo)到可信平臺(tái)以運(yùn)行代碼。所有軟件代碼在執(zhí)行之前都經(jīng)過(guò)身份驗(yàn)證，任何現(xiàn)場(chǎng)軟件更新都需要通過(guò)預(yù)安裝的憑據(jù)進(jìn)行授權(quán)。將系統(tǒng)部署到車輛中后，禁止回滾到軟件的先前（并且可能是易受攻擊的）版本。此外，一旦部署系統(tǒng)，調(diào)試端口就會(huì)被鎖定，從而消除了未經(jīng)授權(quán)的后門(mén)訪問(wèn)系統(tǒng)的可能性。

　　網(wǎng)絡(luò)安全旨在保護(hù) wBMS 電池監(jiān)控節(jié)點(diǎn)和電池組外殼內(nèi)的網(wǎng)絡(luò)管理器之間的空中通信。安全性始于網(wǎng)絡(luò)加入，其中檢查所有參與節(jié)點(diǎn)的成員資格。這可以防止隨機(jī)節(jié)點(diǎn)加入網(wǎng)絡(luò)，即使它們碰巧在物理上很近。在應(yīng)用層向網(wǎng)絡(luò)管理器的節(jié)點(diǎn)相互認(rèn)證將進(jìn)一步保護(hù)無(wú)線通信通道，使中間人攻擊者不可能偽裝成管理器的合法節(jié)點(diǎn)，反之亦然。此外，為了確保只有預(yù)期的接收者可以訪問(wèn)數(shù)據(jù)，基于 AES 的加密用于加密數(shù)據(jù)，防止信息泄露給任何潛在的竊聽(tīng)者。

　　保護(hù)密鑰

　　與所有安全系統(tǒng)一樣，安全的核心是一組加密算法和密鑰。ADI 的 wBMS 遵循 NIST 批準(zhǔn)的指南，這意味著選擇符合 128 位最小安全強(qiáng)度的算法和密鑰大小，適用于靜態(tài)數(shù)據(jù)保護(hù)（例如，AES-128、SHA-256、EC-256 ） 并使用經(jīng)過(guò)充分測(cè)試的無(wú)線通信標(biāo)準(zhǔn)（如 IEEE 802.15.4）中的算法。

　　設(shè)備安全中使用的密鑰通常在 ADI 的制造過(guò)程中安裝，并且永遠(yuǎn)不會(huì)離開(kāi) IC 設(shè)備。這些用于確保系統(tǒng)安全的密鑰反過(guò)來(lái)又受到使用和靜止的 IC 設(shè)備的物理保護(hù)，防止未經(jīng)授權(quán)的訪問(wèn)。然后，分層密鑰框架通過(guò)將所有應(yīng)用程序級(jí)密鑰保存為非易失性內(nèi)存中的加密 blob 來(lái)保護(hù)所有應(yīng)用程序級(jí)密鑰，包括用于網(wǎng)絡(luò)安全的那些。

　　為了促進(jìn)網(wǎng)絡(luò)中節(jié)點(diǎn)的相互身份驗(yàn)證，ADI 的 wBMS 在制造過(guò)程中為每個(gè) wBMS 節(jié)點(diǎn)提供了一個(gè)唯一的公鑰-私鑰對(duì)和一個(gè)簽名的公鑰證書(shū)。簽署的證書(shū)允許節(jié)點(diǎn)驗(yàn)證它正在與另一個(gè)合法的 ADI 節(jié)點(diǎn)和有效的網(wǎng)絡(luò)成員通信，而唯一的公私密鑰對(duì)由節(jié)點(diǎn)在密鑰協(xié)商方案中用于建立與另一個(gè)節(jié)點(diǎn)的安全通信通道或與 BMS 控制器。這種方法的一個(gè)好處是更容易安裝 wBMS，而不需要安全的安裝環(huán)境，因?yàn)楣?jié)點(diǎn)被編程為在部署后自動(dòng)處理網(wǎng)絡(luò)安全。

　　相比之下，過(guò)去使用預(yù)共享密鑰來(lái)建立安全通道的方案通常需要安全的安裝環(huán)境和安裝程序來(lái)手動(dòng)編程通信端點(diǎn)的密鑰值。為了簡(jiǎn)化和降低處理密鑰分配問(wèn)題的成本，為網(wǎng)絡(luò)中的所有節(jié)點(diǎn)分配一個(gè)默認(rèn)的公共網(wǎng)絡(luò)密鑰通常是許多人采取的捷徑。這通常會(huì)導(dǎo)致當(dāng)一場(chǎng)徹底的、全面的災(zāi)難發(fā)生時(shí)吸取教訓(xùn)。

　　隨著 OEM 生產(chǎn)規(guī)模的擴(kuò)大，能夠利用相同的 wBMS 和跨不同 EV 平臺(tái)的不同數(shù)量的無(wú)線節(jié)點(diǎn)，并安裝在不同的制造或服務(wù)站點(diǎn)，這些站點(diǎn)必須是安全的，我們傾向于使用分布式密鑰方法來(lái)簡(jiǎn)化整體密鑰管理復(fù)雜性。

　　結(jié)論

　　只有在從設(shè)備到網(wǎng)絡(luò)以及在 EV 電池的整個(gè)生命周期內(nèi)確保安全性的情況下，wBMS 技術(shù)的全部?jī)?yōu)勢(shì)才能實(shí)現(xiàn)。從這個(gè)角度來(lái)看，安全性需要一種系統(tǒng)級(jí)的設(shè)計(jì)理念，包括流程和產(chǎn)品。

　　ADI 預(yù)見(jiàn)到 ISO/SAE 21434 標(biāo)準(zhǔn)在其起草期間解決的核心網(wǎng)絡(luò)安全問(wèn)題，并將它們納入我們自己的 wBMS 設(shè)計(jì)和開(kāi)發(fā)精神中。我們很自豪能夠成為首批在我們的政策和流程上實(shí)現(xiàn) ISO/SAE 21434 合規(guī)性的技術(shù)供應(yīng)商之一，并且目前正在對(duì) wBMS 技術(shù)進(jìn)行最高網(wǎng)絡(luò)安全保證級(jí)別的認(rèn)證。

　　參考

　?。?］ 肖恩·奧馬奧尼。“電動(dòng)汽車無(wú)線電池管理革命已經(jīng) 開(kāi)始，投資回報(bào)潛力巨大?！?模擬設(shè)備公司，2021 年 11 月。

　?。?］ ISO/SAE 21434:2021 – 道路車輛。國(guó)際標(biāo)準(zhǔn)化組織，2021。

　　所有圖片均由 ADI 公司提供。

　　Lei Poo是ADI汽車業(yè)務(wù)部電動(dòng)汽車集團(tuán)的系統(tǒng)架構(gòu)總監(jiān)目前管理系統(tǒng)架構(gòu)團(tuán)隊(duì)，該團(tuán)隊(duì)負(fù)責(zé)設(shè)計(jì)無(wú)線電池管理系統(tǒng) （wBMS）。她之前曾領(lǐng)導(dǎo) ADI 的安全架構(gòu)和平臺(tái)團(tuán)隊(duì)建立內(nèi)部安全產(chǎn)品開(kāi)發(fā)流程，現(xiàn)在將 HW 嵌入式安全構(gòu)建到 ADI 用于工業(yè)以太網(wǎng)和 wBMS 的新興硅產(chǎn)品中。在加入 ADI 之前，Lei 曾在 NXP、Broadcom 和 Marvell 擔(dān)任嵌入式系統(tǒng)和安全架構(gòu)師，為智能卡/智能手機(jī)、機(jī)頂盒和安全磁盤(pán)驅(qū)動(dòng)器設(shè)計(jì)安全芯片/控制器解決方案。雷獲得博士學(xué)位。2005 年獲得斯坦福大學(xué)電氣工程博士學(xué)位，在硬件嵌入式安全、系統(tǒng)和算法領(lǐng)域擁有 20 項(xiàng)美國(guó)專利。