确保无线电池管理系统的安全性

在与电动汽车 (EV) OEM们就无线电池管理系统 (wBMS) 的技术和业务优势进行早期探讨时，似乎有很多挑战，但如若成功，回报则非常之大。无线连接相对于有线/有线架构的许多固有优势已经在无数商业应用中得到证明，而 BMS 则是下一个。

图 1. 使用无线电池管理系统 (wBMS) 的电动汽车。

更轻巧、模块化和紧凑的电动汽车电池组，可以摆脱繁琐的通信线束，这一优势已被广泛接受。通过消除高达 90% 的电池组布线和 15% 的电池组体积，可以显着简化整车的设计和占地面积，以及材料清单 (BOM) 成本、开发复杂性和相关的手动安装/维护成本。

更重要的是，单个无线电池设计可以很容易地在 OEM 的整个 EV 产线中进行扩展，从而排除了针对每个品牌和型号进行广泛且成本高昂的电池组线束的重新设计。借助 wBMS，OEM可以自由修改其车架设计，而不必担心必须重新布线。

从长远来看，车辆重量和电池组尺寸的持续减小对于未来几年延长电动汽车的行驶里程至关重要。因此，wBMS 技术将在帮助 OEM 提升续航能力方面持续发挥重要作用，从而解决续航焦虑。

这不仅有望刺激更大的整体电动汽车市场采用率，而且行驶里程仍将是未来电动汽车OEM之间的主要差异化。

新的安全标准

要实现 wBMS 提供的承诺，需要克服许多挑战。 wBMS 中使用的无线通信需要在汽车行驶时对干扰具有足够的鲁棒性，并且系统必须在所有条件下都是安全的。但是，仅靠稳健和安全的设计可能不足以对抗黑客——这就是系统安全发挥作用的地方。

干扰源的变化取决于汽车行驶的地点（例如城市与农村）以及是否有人在车内使用另一个在相同频段运行的无线设备。电池组内的反射也会降低性能，具体取决于用于容纳电池单元的电池组的材料。 wBMS 信号很可能会波动，在自然条件下可能会破坏通信，更不用说面对恶意攻击者了。

如果 wBMS 通信以某种方式中断，汽车可以恢复到“安全模式”，降低性能以允许驾驶员采取补救措施，或者在 wBMS 通信完全丢失的情况下安全停车。这可以通过适当的安全设计来实现，该设计考虑系统中所有可能的故障模式并实施解决组件随机故障的端到端安全机制。

但安全设计并未考虑黑客行为，其中可能包括远程控制汽车。在 2016 年黑帽会议期间，研究人员在汽车上证明了这种可能性，通过车辆网关破解了远程访问权。因此，无线稳健性和故障安全设计是不够的；他们需要有信息安全辅助。黑帽演示是一个宝贵的教训，它表明未来汽车中的无线系统不能被用作另一个远程接口。相比之下，传统的有线电池组不提供远程访问，因此要访问电池数据，黑客需要物理访问车辆中的高压环境。

如图 2 所示，在整个 EV 电池生命周期中可能会出现其他安全挑战。在ADI，我们设计 wBMS 的方法侧重于了解 EV 电池从诞生到出厂的不同阶段部署和维护，最后到下一个生命周期或生命周期结束。这些用例定义了 wBMS 必须支持的各种功能。例如，防止未经授权的远程访问是 EV 部署过程中的一项考虑因素，但在制造过程中需要灵活的访问。另一个例子是可维修性，其中维修权法律要求车主解决由电池或相关 wBMS 引起的问题。这意味着一种合法的更新必须支持 wBMS 中的软件，并且更新机制不应危及车辆的安全性。

此外，当电动汽车电池不再符合电动汽车性能标准时，它们有时会被重新部署到能源领域。这需要将 EV 电池的所有权从其第一个生命周期安全地转移到下一个生命周期。由于电池是没有内置智能的设备，因此需要随附的 wBMS 来执行最适合 EV 电池生命周期的适当安全策略。在过渡到第二用途之前，需要安全擦除其在汽车应用中存放的数据。

ADI 预见到了这些问题，并根据我们自己的核心设计原则解决了这些问题，这些原则对维护和增强从流程到产品的安全完整性给予了极高的评价和详尽的审查。与此同时，过去三年一直在开发的关于“道路车辆：网络安全工程”的 ISO/SAE 21434 标准于 2021 年 8 月正式发布。它定义了一个类似的详尽的端到端流程框架，具有四个级别的网络安全保证。汽车 OEM 和供应商的评分范围为 1 到 4，其中 4 表示最高级别的一致性（参见图 3）。

图 2. EV 电池生命周期及其相关的 wBMS 生命周期。

图 3. ISO/SAE 21434 框架和 CAL 4 期望。

ADI 的 wBMS 方法符合 ISO/SAE 21434 的要求，适用于汽车行业安全产品开发所需的最高级别的检查和严格性。为此，ADI 与著名的可信认证实验室 TÜV-Nord 合作，评估我们的内部开发政策和流程。这使我们的政策和流程经过审查，以完全符合新标准 ISO 21434，如图 4 所示。

图 4. TÜV-Nord 的证书。

从设备到网络的严格审查

按照我们在 wBMS 产品设计中的系统流程，进行了威胁评估和风险分析 (TARA)，以根据客户如何使用产品来绘制威胁状态。通过了解系统的功能以及在其生命周期内将使用的各种方式，我们可以确定哪些关键资产需要保护以及免受哪些潜在威胁。

TARA 技术有多种选择，包括著名的 Microsoft STRIDE 方法，该方法试图通过考虑 STRIDE 一词缩写的六种威胁来对威胁进行建模：欺骗、篡改、否认、信息泄露、拒绝服务和特权提升.然后，我们可以将其应用于构成 wBMS 系统的组件的不同接口，如图 5 所示。

图 5. wBMS 的威胁注意事项。

这些接口是沿数据和控制流路径的自然停止点，潜在的攻击者可能会在未经授权的情况下访问系统资产。在这些地方，通过扮演攻击者的角色并试图访问威胁测试，我们可以绘制出可能的攻击路径，并确定威胁发生的可能性以及评估最终的后果。然后，我们在不同的生命周期阶段重复这个思考过程，因为威胁的可能性和影响可能会因产品所处的环境（例如，仓库与部署）而异。这些信息将表明需要采取某些对策。

以无线监视器和 wBMS 管理器之间的无线信道为例，如图 5 所示。如果资产是来自无线监视器的数据，并且担心数据值泄露给窃听者，那么我们可能希望在数据通过无线通道时对其进行加密。如果我们担心数据在通过通道时被篡改，那么我们可能希望使用数据完整性机制来保护数据，例如消息完整性代码。如果关注的是识别数据的来源，那么我们将需要一种方法来向 wBMS 管理器验证无线监视器。

通过这个练习，我们可以确定 wBMS 系统的关键安全目标，如图 6 所示。这些目标需要一些机制来实现。

图 6. wBMS 的安全目标。

很多时候，我们经常被问到特定安全目标方面走了多远？。如果增加更多的对策，几乎肯定会改善产品的整体安全状况，但代价高昂，并且可能给最终消费者使用产品带来不便。一种常见的策略是通过最容易部署减轻最可能威胁。更复杂的攻击倾向于针对更高价值的资产可能需要更强大的安全对策，但这些可能极不可能发生，因此实施回报率很低。

例如，在 wBMS 中，在车辆行驶时对 IC 组件进行物理篡改以获取电池数据测量值的可能性极小，因为需要一名训练有素且具有深厚 EV 电池知识的机械师才能控制在汽车行驶时的汽车零件。如果存在，现实生活中的攻击者可能会尝试更简单的路径。对网络系统的一种常见攻击类型是拒绝服务 (DoS) 攻击——剥夺用户的产品效用。您可以创建一个便携式无线干扰器来尝试干扰 wBMS 功能，但您也可以轻松扎爆轮胎。

将风险与一组适当的缓解措施相协调的这一步骤称为风险分析。通过在采取适当对策之前和之后权衡相关威胁的影响和可能性，我们可以确定剩余风险是否已被合理地最小化。最终可以帮助客户以可接受的成本满足必需的安全功能。

wBMS 的 TARA 指出了 wBMS 安全的两个重要方面：设备级安全和无线网络安全。

任何安全系统的第一条规则是“保密您的密钥！”这意味着在设备和我们的全球制造业务中。 ADI 的 wBMS 设备安全性考虑了硬件、IC 和 IC 上的底层软件，并确保系统能够安全地从不可变内存引导到可信平台以运行代码。所有软件代码在执行之前都经过身份验证，任何现场软件更新都需要通过预安装的凭据进行授权。将系统部署到车辆中后，禁止回滚到软件的先前（并且可能是易受攻击的）版本。此外，一旦部署系统，调试端口就会被锁定，从而消除了未经授权的后门。

网络安全旨在保护 wBMS 电池监控节点和电池组外壳内的网络管理器之间的空中通信。安全性始于网络加入，其中检查所有参与节点的成员资格。这可以防止随机节点加入网络，即使它们碰巧在物理上很近。在应用层向网络管理器的节点相互认证将进一步保护无线通信通道，使中间人攻击者不可能伪装成管理器的合法节点，反之亦然。此外，为了确保只有预期的接收者可以访问数据，基于 AES 的加密用于加密数据，防止信息泄露给任何潜在的窃听者。

保护密钥

与所有安全系统一样，安全的核心是一组加密算法和密钥。 ADI 的 wBMS 遵循 NIST 批准的指南，这意味着选择与适用于静态数据保护（例如 AES-128、SHA-256、EC-256）的最低 128 位安全强度一致的算法和密钥大小) 并使用经过充分测试的无线通信标准（如 IEEE 802.15.4）中的算法。

设备安全中使用的密钥通常在 ADI 的制造过程中安装，并且永远不会离开 IC 设备。这些用于确保系统安全的密钥反过来又受到使用和静止的 IC 设备的物理保护，防止未经授权的访问。然后，分层密钥框架通过将所有应用程序级密钥保存为非易失性内存中的加密块来保护所有应用程序级密钥，包括用于网络安全的那些。

为了促进网络中节点的相互身份验证，ADI 的 wBMS 在制造过程中为每个 wBMS 节点提供了唯一的公私钥对和签名的公钥证书。签署的证书允许节点验证它正在与另一个合法的 ADI 节点和有效的网络成员通信，而唯一的公私密钥对由节点在密钥协商方案中用于建立与另一个节点的安全通信通道或与 BMS 控制器。这种方法的一个好处是更容易安装 wBMS，而不需要安全的安装环境，因为节点被编程为在部署后自动处理网络安全。

相比之下，过去使用预共享密钥建立安全通道的方案通常需要安全的安装环境和安装人员手动编程通信端点的密钥值。为了简化和降低处理密钥分配问题的成本，为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。这通常会导致惨痛的教训发生了一场破坏性的、破坏性的灾难。

随着 OEM 生产规模的扩大，能够利用相同的 wBMS 和不同数量的无线节点跨越不同的 EV 平台，并安装在不同的制造或服务站点，这些站点必须是安全的，我们倾向于使用分布式密钥方法来简化整体密钥管理复杂性。

结论

只有在从设备到网络以及在 EV 电池的整个生命周期内确保安全性的情况下，wBMS 技术的全部优势才能实现。从这个角度来看，安全性需要一种系统级的设计理念，包括流程和产品。

ADI 预见到 ISO/SAE 21434 标准在其起草期间解决的核心网络安全问题，并将它们纳入我们自己的 wBMS 设计和开发精神中。我们很自豪能够成为首批在我们的政策和流程上实现 ISO/SAE 21434 合规性的技术供应商之一，并且目前正在对 wBMS 技术进行认证，以达到最高的网络安全保证级别。

本文作者：ADI 汽车业务部电动汽车集团的系统架构总监Lei Poo