作者：Lei Pao

翻譯：鄧彥輝  王霆

wBMS技術(shù)的好處，只有確定從流程到產(chǎn)品的系統(tǒng)安全性才能全部體現(xiàn)。

在與電動(dòng)汽車(EV)整車廠的早期溝通交流中，就無(wú)線電池管理系統(tǒng)(wBMS)的技術(shù)和商務(wù)方面的挑戰(zhàn)非常大，但卻有不容忽視的豐厚回報(bào)。無(wú)線連接相對(duì)于有線/電纜架構(gòu)的許多固有優(yōu)勢(shì)已經(jīng)在無(wú)數(shù)商業(yè)應(yīng)用中得到證明，BMS是又一個(gè)明確要拋棄線纜的領(lǐng)域。

圖1.使用無(wú)線電池管理系統(tǒng)(wBMS)的電動(dòng)汽車

更輕巧、模塊化、緊湊型電動(dòng)汽車電池組是未來(lái)的趨勢(shì)——?jiǎng)恿﹄姵刈罱K擺脫繁瑣的通信線束——已被大家廣泛接受。通過消除高達(dá)90%的電池組布線和減少15%的電池組體積，整車的設(shè)計(jì)和尺寸得以顯著簡(jiǎn)化，物料清單(BOM)成本、開發(fā)復(fù)雜性和相關(guān)的人工安裝/維護(hù)工作也大幅減少。

還有單一無(wú)線電池設(shè)計(jì)可以很容易在整車廠的整個(gè)EV車輛中進(jìn)行擴(kuò)展，無(wú)需針對(duì)每個(gè)品牌和型號(hào)每次都進(jìn)行成本高昂的電池組線束設(shè)計(jì)。依靠wBMS，整車廠可以自由修改其車架設(shè)計(jì)，無(wú)需擔(dān)心重新布置電池組內(nèi)的大量BMS線束。

從長(zhǎng)遠(yuǎn)來(lái)看，車輛重量和電池組尺寸的持續(xù)減小對(duì)于未來(lái)幾年延長(zhǎng)電動(dòng)汽車的續(xù)航里程至關(guān)重要。wBMS技術(shù)將在幫助整車廠提升續(xù)航能力方面發(fā)揮重要作用，進(jìn)而幫助改善消費(fèi)者對(duì)于電動(dòng)汽車的里程焦慮。

這不僅有望刺激電動(dòng)汽車整體的市場(chǎng)采用率的提升，而且還使整車廠有機(jī)會(huì)憑借其實(shí)現(xiàn)長(zhǎng)續(xù)航的實(shí)力躍入電動(dòng)汽車市場(chǎng)領(lǐng)導(dǎo)地位。展望未來(lái)，這仍將是電動(dòng)汽車車廠的一個(gè)主要差異化因素。關(guān)于優(yōu)勢(shì)的更多詳細(xì)說(shuō)明和市場(chǎng)分析，請(qǐng)參閱 “電動(dòng)汽車無(wú)線電池管理革命已經(jīng)開始，投資回報(bào)潛力巨大”。

01

新安全標(biāo)準(zhǔn)

對(duì)于wBMS還需克服許多挑戰(zhàn)。在汽車行駛的時(shí)候，wBMS中使用的無(wú)線通信需要對(duì)通信干擾具有足夠的健壯性，系統(tǒng)在所有場(chǎng)景下都必須是安全的。但是，僅靠魯棒和安全的設(shè)計(jì)可能不足以對(duì)抗高級(jí)的攻擊者——這是需要系統(tǒng)安全性的原因。

汽車行駛的地點(diǎn)（例如是城市還是農(nóng)村地區(qū)），同時(shí)是否有人在車內(nèi)操作一個(gè)同頻段的無(wú)線設(shè)備，都會(huì)導(dǎo)致干擾源發(fā)生變化。電池組內(nèi)的反射也會(huì)降低性能，具體取決于用于封裝電池的電池組的材料。wBMS信號(hào)很可能會(huì)產(chǎn)生變化，在自然條件下通信可能會(huì)被破壞，更不用說(shuō)面對(duì)黑客攻擊了。

如果wBMS通信因?yàn)槟撤N原因被中斷，汽車可以返回到“安全模式”，降低性能以允許駕駛員及時(shí)采取安全行為，或者當(dāng)wBMS通信完全消失時(shí)，汽車能夠安全停車。這些可以通過適當(dāng)?shù)陌踩O(shè)計(jì)來(lái)實(shí)現(xiàn)，考慮系統(tǒng)中所有可能的故障模式，并實(shí)現(xiàn)端到端安全機(jī)制以應(yīng)對(duì)組件發(fā)生的故障。

但是，安全設(shè)計(jì)并未考慮惡意行為者利用該系統(tǒng)達(dá)到某種目的的可能性，包括遠(yuǎn)程控車。在2016年黑帽會(huì)議期間，研究人員對(duì)一輛運(yùn)動(dòng)中的汽車展示了通過車輛網(wǎng)關(guān)實(shí)現(xiàn)了遠(yuǎn)程接管。因此，只有無(wú)線魯棒性和故障安全應(yīng)對(duì)設(shè)計(jì)是不夠的，還需要抵御攻擊。黑帽演示是一個(gè)有價(jià)值的攻擊，說(shuō)明未來(lái)汽車中的無(wú)線系統(tǒng)需要進(jìn)行安全設(shè)計(jì)，使其不能作為一個(gè)遠(yuǎn)程入口點(diǎn)被利用。相比之下，常規(guī)有線電池組不提供遠(yuǎn)程接入，要獲得對(duì)電池?cái)?shù)據(jù)的訪問權(quán)，黑客需要以物理方式接入車輛中的高電壓環(huán)境。

在電動(dòng)汽車電池的全壽命周期中，還可能出現(xiàn)其他安全挑戰(zhàn)，如圖2所示。ADI的wBMS設(shè)計(jì)方法注重了解電動(dòng)汽車電池的不同階段——從出廠到部署和維護(hù)，最后到下一次壽命或淘汰處理。這些使用場(chǎng)景定義了wBMS必須支持的多種功能。例如，防止未經(jīng)授權(quán)的遠(yuǎn)程訪問是在電動(dòng)汽車部署期間的一個(gè)重要操作，但在制造過程中需要更靈活的訪問。另一個(gè)例子是在維修期間，修理權(quán)法律要求提供一種方式以便車主解決電池或相關(guān)wBMS的故障。這意味著必須支持wBMS中的軟件以合法方式更新，并且當(dāng)汽車離開維修站時(shí)，更新機(jī)制不應(yīng)損害汽車的安全性。

圖2.電動(dòng)汽車電池生命周期及其wBMS生命周期

此外，當(dāng)電動(dòng)汽車電池不能達(dá)到電動(dòng)汽車標(biāo)準(zhǔn)要求時(shí)，這些電池有時(shí)會(huì)被重新部署到能源部門。這需要將電動(dòng)汽車電池的所有權(quán)安全轉(zhuǎn)移到下一生命階段。電池是沒有內(nèi)置智能的設(shè)備，因此在wBMS中實(shí)現(xiàn)合適的安全策略以便更好的為電動(dòng)汽車服務(wù)。過渡到第二生命（梯次利用）之前，必須安全擦除第一使用中的所有私有信息。

ADI預(yù)見了這些問題并按照我們自己的核心設(shè)計(jì)原則（即特別注重維護(hù)和增強(qiáng)從流程到產(chǎn)品的安全完整性）加以解決。與此同時(shí)，ISO/SAE 214342標(biāo)準(zhǔn)“道路車輛：網(wǎng)絡(luò)安全工程”經(jīng)過過去三年的發(fā)展，已于2021年8月正式發(fā)布。它定義了類似的窮舉式端到端過程框架，網(wǎng)絡(luò)安全保證分為四級(jí)。車廠和供應(yīng)商的在1到4的尺度上評(píng)分，4表示最高級(jí)別的（參見圖3）

圖3.ISO/SAE 21434框架與CAL 4期望

ADI的wBMS方法實(shí)現(xiàn)了ISO/SAE 21434要求，完成實(shí)現(xiàn)了汽車行業(yè)安全產(chǎn)品開發(fā)所需的最高水平的檢查。為此ADI聘請(qǐng)了著名的可信認(rèn)證實(shí)驗(yàn)室 TüV-NORD來(lái)評(píng)估我們內(nèi)部的開發(fā)策略和流程。我們的策略和流程經(jīng)過審查，并且通過新標(biāo)準(zhǔn)ISO 21434認(rèn)證，如圖4所示。

圖 4. 北德認(rèn)證的證書。

02

從設(shè)備到網(wǎng)絡(luò)的嚴(yán)格審查

按照我們?cè)?wBMS 產(chǎn)品設(shè)計(jì)中的系統(tǒng)流程，進(jìn)行了威脅評(píng)估和風(fēng)險(xiǎn)分析 (TARA)，以根據(jù)客戶打算如何使用產(chǎn)品來(lái)繪制威脅圖。通過了解系統(tǒng)的作用，以及在其生命周期內(nèi)的各種使用方式，我們可以確定哪些關(guān)鍵資產(chǎn)需要保護(hù)以及免受哪些潛在威脅。

功能安全是一種主動(dòng)形式的安全。例如，它能確保馬達(dá)以足夠快的速度關(guān)閉，防止對(duì)打開防護(hù)門的操作員造成傷害，或者當(dāng)有人在附近時(shí)，機(jī)器人會(huì)降低運(yùn)行的速度和力度。

TARA 技術(shù)有多種選擇，包括著名的 Microsoft STRIDE 方法，它試圖通過考慮 STRIDE 一詞縮寫的六種威脅來(lái)對(duì)威脅進(jìn)行建模：欺騙(Spoofing)，篡改(Tampering)，否認(rèn)(Repudiation)，信息泄露(Information disclosure)，拒絕服務(wù)(Denial of service)和特權(quán)提升(Elevation of privilege)。然后，我們可以將其應(yīng)用于構(gòu)成 wBMS 系統(tǒng)的組件的不同接口，如圖 5 所示。這些接口是沿著數(shù)據(jù)和控制流路徑的自然?？奎c(diǎn)，潛在的攻擊者可能會(huì)在這些路徑上獲得對(duì)系統(tǒng)資產(chǎn)的未授權(quán)訪問。在這里，通過扮演攻擊者的角色并自問每個(gè)威脅在每個(gè)接口上的適用程度以及原因，我們可以繪制出可能的攻擊路徑并確定威脅發(fā)生的可能性有多大，以及如果成功的話后果有多嚴(yán)重。 然后，我們?cè)诓煌纳芷陔A段重復(fù)這個(gè)思考過程，因?yàn)橥{的可能性和影響可能因產(chǎn)品所處的環(huán)境（例如，倉(cāng)庫(kù)與部署）而異。此信息將指出需要采取某些對(duì)策。

以部署期間無(wú)線電池單元監(jiān)視器和 wBMS 管理器之間的無(wú)線信道為例，如圖 5 所示。如果資產(chǎn)是來(lái)自無(wú)線電池單元監(jiān)視器的數(shù)據(jù)，并且擔(dān)心數(shù)據(jù)值泄露給竊聽者，那么 我們可能希望在數(shù)據(jù)通過無(wú)線信道時(shí)對(duì)其進(jìn)行加密。如果我們擔(dān)心數(shù)據(jù)在通過通道時(shí)被篡改，那么我們可能希望使用數(shù)據(jù)完整性機(jī)制來(lái)保護(hù)數(shù)據(jù)，例如消息完整性代碼。如果關(guān)心的是識(shí)別數(shù)據(jù)的來(lái)源，那么我們將需要一種方法來(lái)向 wBMS 管理器驗(yàn)證無(wú)線電池單元監(jiān)視器。

圖5

通過這個(gè)練習(xí)，我們可以確定 wBMS 系統(tǒng)的關(guān)鍵安全目標(biāo)，如圖 6 所示。這些目標(biāo)將需要一些機(jī)制來(lái)實(shí)現(xiàn)。

圖6. wBMS安全目標(biāo)

通常，“我們?cè)谶x擇實(shí)現(xiàn)特定安全目標(biāo)的機(jī)制方面走了多遠(yuǎn)？”的問題會(huì)被問到。如果添加更多的對(duì)策，幾乎肯定會(huì)改善產(chǎn)品的整體安全態(tài)勢(shì)，但代價(jià)很高，并且可能給使用該產(chǎn)品的最終消費(fèi)者帶來(lái)不必要的不便。一個(gè)常見的策略是減輕最容易部署對(duì)策的最有可能的威脅。更復(fù)雜的攻擊往往以更高價(jià)值的資產(chǎn)為目標(biāo)，可能需要更強(qiáng)大的安全對(duì)策，但這些攻擊極不可能發(fā)生，因此即使實(shí)施也會(huì)產(chǎn)生低回報(bào)。

例如，在 wBMS 中，當(dāng)車輛在路上行駛時(shí)，通過物理篡改 IC 組件來(lái)獲取電池?cái)?shù)據(jù)測(cè)量值的可能性極小，因?yàn)樾枰幻?xùn)練有素且具有深厚 EV 電池知識(shí)的機(jī)械師在汽車行駛時(shí)的汽車零件上做“體操”。如果存在的話，現(xiàn)實(shí)生活中的攻擊者可能會(huì)嘗試更簡(jiǎn)單的路徑。對(duì)聯(lián)網(wǎng)系統(tǒng)的一種常見攻擊類型是拒絕服務(wù) (DoS) 攻擊——?jiǎng)儕Z用戶對(duì)產(chǎn)品的使用。您可以創(chuàng)建一個(gè)便攜式無(wú)線干擾器來(lái)嘗試干擾 wBMS 功能（困難），但您也可以讓空氣從輪胎中排出（簡(jiǎn)單）。

將風(fēng)險(xiǎn)與一組適當(dāng)?shù)木徑獯胧┫鄥f(xié)調(diào)的這一步驟稱為風(fēng)險(xiǎn)分析。 通過權(quán)衡在采取適當(dāng)?shù)膶?duì)策前后相關(guān)威脅的影響和可能性，我們可以確定剩余風(fēng)險(xiǎn)是否已被合理地最小化。最終的結(jié)果是，僅在需要且成本水平為客戶可接受的情況下才納入安全功能。

wBMS 的 TARA 指出了 wBMS 安全的兩個(gè)重要方面：設(shè)備級(jí)安全和無(wú)線網(wǎng)絡(luò)安全。

任何安全系統(tǒng)的第一條規(guī)則是“保密您的密鑰！” 這意味著無(wú)論是在設(shè)備上還是在我們的全球制造業(yè)務(wù)中。ADI 的 wBMS 設(shè)備安全性考慮了硬件、IC 和 IC 上的低級(jí)軟件，并確保系統(tǒng)能夠從不可變內(nèi)存安全地啟動(dòng)到可信平臺(tái)以運(yùn)行代碼。所有軟件代碼在執(zhí)行前都經(jīng)過身份驗(yàn)證，任何現(xiàn)場(chǎng)軟件更新都需要預(yù)裝的授權(quán)證書。 在系統(tǒng)部署到車輛中后，禁止回滾到以前（并且可能易受攻擊）的軟件版本。此外，一旦系統(tǒng)部署完畢，調(diào)試端口就會(huì)被鎖定，從而消除了未經(jīng)授權(quán)的后門訪問系統(tǒng)的可能性。

網(wǎng)絡(luò)安全旨在保護(hù) wBMS 電池單元監(jiān)控節(jié)點(diǎn)與電池組外殼內(nèi)的網(wǎng)絡(luò)管理器之間的無(wú)線通信。安全性始于網(wǎng)絡(luò)加入，其中檢查所有參與節(jié)點(diǎn)的成員資格。這可以防止隨機(jī)節(jié)點(diǎn)加入網(wǎng)絡(luò)，即使它們碰巧在物理上很近。節(jié)點(diǎn)與應(yīng)用層網(wǎng)絡(luò)管理器的相互認(rèn)證將進(jìn)一步保護(hù)無(wú)線通信通道，使中間人攻擊者不可能偽裝成管理器的合法節(jié)點(diǎn)，反之亦然。此外，為確保只有預(yù)期的接收者才能訪問數(shù)據(jù)，使用基于 AES 的加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密加擾，防止信息泄露給任何潛在的竊聽者。

03保護(hù)密鑰

與所有安全系統(tǒng)一樣，安全的核心是一組加密算法和密鑰。ADI 的 wBMS 遵循 NIST 批準(zhǔn)的指南，這意味著選擇的算法和密鑰大小符合適用于靜態(tài)數(shù)據(jù)保護(hù)的最低 128 位安全強(qiáng)度（例如，AES-128、SHA-256、EC-256 ) 并使用經(jīng)過充分測(cè)試的無(wú)線通信標(biāo)準(zhǔn)（例如 IEEE 802.15.4）中的算法。

用于設(shè)備安全的密鑰通常在 ADI 的制造過程中安裝，并且永遠(yuǎn)不會(huì)離開 IC 設(shè)備。這些用于確保系統(tǒng)安全的密鑰，在使用中和靜止時(shí)都受到 IC 設(shè)備的物理保護(hù)，以防止未經(jīng)授權(quán)的訪問。然后，分層密鑰框架通過將它們作為加密的 blob 保存在非易失性存儲(chǔ)器中來(lái)保護(hù)所有應(yīng)用程序級(jí)密鑰，包括用于網(wǎng)絡(luò)安全的密鑰。

為了促進(jìn)網(wǎng)絡(luò)中節(jié)點(diǎn)的相互驗(yàn)證，ADI 的 wBMS 在制造過程中為每個(gè) wBMS 節(jié)點(diǎn)提供了一個(gè)唯一的公私密鑰對(duì)和一個(gè)簽名的公鑰證書。簽名的證書允許節(jié)點(diǎn)驗(yàn)證它正在與另一個(gè)合法的 ADI 節(jié)點(diǎn)和有效的網(wǎng)絡(luò)成員對(duì)話，而唯一的公私密鑰對(duì)由節(jié)點(diǎn)在密鑰協(xié)商方案中用于與另一個(gè)節(jié)點(diǎn)或與BMS控制器建立安全通信通道。這種方法的一個(gè)好處是無(wú)需安全安裝環(huán)境即可更輕松地安裝 wBMS，因?yàn)楣?jié)點(diǎn)被編程為在部署后自動(dòng)處理網(wǎng)絡(luò)安全。

相比之下，過去使用預(yù)共享密鑰建立安全通道的方案通常需要安全的安裝環(huán)境和安裝人員為通信端點(diǎn)手動(dòng)編程密鑰值。為了簡(jiǎn)化和降低處理密鑰分發(fā)問題的成本，為網(wǎng)絡(luò)中的所有節(jié)點(diǎn)分配一個(gè)默認(rèn)的公共網(wǎng)絡(luò)密鑰通常是許多人采取的捷徑。這通常會(huì)導(dǎo)致在發(fā)生破壞性災(zāi)難（單一節(jié)點(diǎn)被侵入，則所有節(jié)點(diǎn)被侵入）時(shí)吸取慘痛的教訓(xùn)。

隨著 OEM 生產(chǎn)規(guī)模的擴(kuò)大，對(duì)于能夠在不同的 EV 平臺(tái)上利用具有不同數(shù)量無(wú)線節(jié)點(diǎn)的相同 wBMS 并安裝在必須安全的不同制造或服務(wù)站點(diǎn)，我們傾向于使用分布式密鑰方法來(lái)簡(jiǎn)化整體密鑰管理的復(fù)雜性。

04結(jié)論

只有在從設(shè)備到網(wǎng)絡(luò)以及電動(dòng)汽車電池的整個(gè)生命周期都能確保安全的情況下，才能實(shí)現(xiàn) wBMS 技術(shù)的全部?jī)?yōu)勢(shì)。從這個(gè)角度來(lái)看，安全性需要系統(tǒng)級(jí)的設(shè)計(jì)理念，包括流程和產(chǎn)品。ADI 預(yù)見到 ISO/SAE 21434 標(biāo)準(zhǔn)在其草案期間解決的核心網(wǎng)絡(luò)安全問題，并將它們納入我們自己的 wBMS 設(shè)計(jì)和開發(fā)理念中。我們很自豪能夠成為首批在我們的政策和流程上實(shí)現(xiàn) ISO/SAE 21434 合規(guī)性的技術(shù)供應(yīng)商之一，并且目前正在接受 wBMS 技術(shù)的最高網(wǎng)絡(luò)安全保證級(jí)別認(rèn)證。

參考文獻(xiàn)

1．Shane O'Mahony。“電動(dòng)汽車無(wú)線電池管理革命已經(jīng)開始，投資回報(bào)率潛力巨大?！?Analog Devices, Inc.，2021 年 11 月。

2．ISO/SAE 21434:2021 - 道路車輛。國(guó)際標(biāo)準(zhǔn)化組織，2021 年。