当前关注：无线电池管理系统(wBMS)的新时代，安全任务成为焦点

作者：

【资料图】

LeiPao

翻译：邓彦辉 王霆

wBMS技术的好处，只有确定从流程到产品的系统安全性才能全部体现。

在与电动汽车

(EV)

整车厂的早期沟通交流中，就无线电池管理系统

(wBMS)

的技术和商务方面的挑战非常大，但却有不容忽视的丰厚回报。无线连接相对于有线/电缆架构的许多固有优势已经在无数商业应用中得到证明，BMS是又一个明确要抛弃线缆的领域。

图1.使用无线电池管理系统(wBMS)的电动汽车

更轻巧、模块化、紧凑型电动汽车电池组是未来的趋势——动力电池最终摆脱繁琐的通信线束——已被大家广泛接受。通过消除高达90%的电池组布线和减少15%的电池组体积，整车的设计和尺寸得以显著简化，物料清单

(BOM)

成本、开发复杂性和相关的人工安装/维护工作也大幅减少。

还有单一无线电池设计可以很容易在整车厂的整个EV车辆中进行扩展，无需针对每个品牌和型号每次都进行成本高昂的电池组线束设计。依靠wBMS，整车厂可以自由修改其车架设计，无需担心重新布置电池组内的大量BMS线束。

从长远来看，车辆重量和电池组尺寸的持续减小对于未来几年延长电动汽车的续航里程至关重要。wBMS技术将在帮助整车厂提升续航能力方面发挥重要作用，进而帮助改善消费者对于电动汽车的里程焦虑。

这不仅有望刺激电动汽车整体的市场采用率的提升，而且还使整车厂有机会凭借其实现长续航的实力跃入电动汽车市场领导地位。展望未来，这仍将是电动汽车车厂的一个主要差异化因素。关于优势的更多详细说明和市场分析，请参阅 “电动汽车无线电池管理革命已经开始，投资回报潜力巨大”。

01

新安全标准

对于wBMS还需克服许多挑战。在汽车行驶的时候，wBMS中使用的无线通信需要对通信干扰具有足够的健壮性，系统在所有场景下都必须是安全的。但是，仅靠鲁棒和安全的设计可能不足以对抗高级的攻击者——这是需要系统安全性的原因。

汽车行驶的地点

（例如是城市还是农村地区）

，同时是否有人在车内操作一个同频段的无线设备，都会导致干扰源发生变化。电池组内的反射也会降低性能，具体取决于用于封装电池的电池组的材料。wBMS信号很可能会产生变化，在自然条件下通信可能会被破坏，更不用说面对黑客攻击了。

如果wBMS通信因为某种原因被中断，汽车可以返回到“安全模式”，降低性能以允许驾驶员及时采取安全行为，或者当wBMS通信完全消失时，汽车能够安全停车。这些可以通过适当的安全设计来实现，考虑系统中所有可能的故障模式，并实现端到端安全机制以应对组件发生的故障。

但是，安全设计并未考虑恶意行为者利用该系统达到某种目的的可能性，包括远程控车。在2016年黑帽会议期间，研究人员对一辆运动中的汽车展示了通过车辆网关实现了远程接管。因此，只有无线鲁棒性和故障安全应对设计是不够的，还需要抵御攻击。黑帽演示是一个有价值的攻击，说明未来汽车中的无线系统需要进行安全设计，使其不能作为一个远程入口点被利用。相比之下，常规有线电池组不提供远程接入，要获得对电池数据的访问权，黑客需要以物理方式接入车辆中的高电压环境。

在电动汽车电池的全寿命周期中，还可能出现其他安全挑战，如图2所示。ADI的wBMS设计方法注重了解电动汽车电池的不同阶段——从出厂到部署和维护，最后到下一次寿命或淘汰处理。这些使用场景定义了wBMS必须支持的多种功能。例如，防止未经授权的远程访问是在电动汽车部署期间的一个重要操作，但在制造过程中需要更灵活的访问。另一个例子是在维修期间，修理权法律要求提供一种方式以便车主解决电池或相关wBMS的故障。这意味着必须支持wBMS中的软件以合法方式更新，并且当汽车离开维修站时，更新机制不应损害汽车的安全性。

图2.电动汽车电池生命周期及其wBMS生命周期

此外，当电动汽车电池不能达到电动汽车标准要求时，这些电池有时会被重新部署到能源部门。这需要将电动汽车电池的所有权安全转移到下一生命阶段。电池是没有内置智能的设备，因此在wBMS中实现合适的安全策略以便更好的为电动汽车服务。过渡到第二生命

（梯次利用）

之前，必须安全擦除第一使用中的所有私有信息。

ADI预见了这些问题并按照我们自己的核心设计原则

（即特别注重维护和增强从流程到产品的安全完整性）

加以解决。与此同时，ISO/SAE 214342标准“道路车辆：网络安全工程”经过过去三年的发展，已于2021年8月正式发布。它定义了类似的穷举式端到端过程框架，网络安全保证分为四级。车厂和供应商的在1到4的尺度上评分，4表示最高级别的

（参见图3）

图3.ISO/SAE 21434框架与CAL 4期望

ADI的wBMS方法实现了ISO/SAE 21434要求，完成实现了汽车行业安全产品开发所需的最高水平的检查。为此ADI聘请了著名的可信认证实验室 TÜV-NORD来评估我们内部的开发策略和流程。我们的策略和流程经过审查，并且通过新标准ISO 21434认证，如图4所示。

图 4. 北德认证的证书。

02

从设备到网络的严格审查

按照我们在 wBMS 产品设计中的系统流程，进行了威胁评估和风险分析

(TARA)

，以根据客户打算如何使用产品来绘制威胁图。通过了解系统的作用，以及在其生命周期内的各种使用方式，我们可以确定哪些关键资产需要保护以及免受哪些潜在威胁。

功能安全是一种主动形式的安全。例如，它能确保马达以足够快的速度关闭，防止对打开防护门的操作员造成伤害，或者当有人在附近时，机器人会降低运行的速度和力度。

TARA 技术有多种选择，包括著名的 Microsoft STRIDE 方法，它试图通过考虑 STRIDE 一词缩写的六种威胁来对威胁进行建模：欺骗

(Spoofing)

，篡改

(Tampering)

，否认

(Repudiation)

，信息泄露

(Information disclosure)

，拒绝服务

(Denial of service)

和特权提升

(Elevation of privilege)

。然后，我们可以将其应用于构成 wBMS 系统的组件的不同接口，如图 5 所示。这些接口是沿着数据和控制流路径的自然停靠点，潜在的攻击者可能会在这些路径上获得对系统资产的未授权访问。在这里，通过扮演攻击者的角色并自问每个威胁在每个接口上的适用程度以及原因，我们可以绘制出可能的攻击路径并确定威胁发生的可能性有多大，以及如果成功的话后果有多严重。然后，我们在不同的生命周期阶段重复这个思考过程，因为威胁的可能性和影响可能因产品所处的环境

（例如，仓库与部署）

而异。此信息将指出需要采取某些对策。

以部署期间无线电池单元监视器和 wBMS 管理器之间的无线信道为例，如图 5 所示。如果资产是来自无线电池单元监视器的数据，并且担心数据值泄露给窃听者，那么 我们可能希望在数据通过无线信道时对其进行加密。如果我们担心数据在通过通道时被篡改，那么我们可能希望使用数据完整性机制来保护数据，例如消息完整性代码。如果关心的是识别数据的来源，那么我们将需要一种方法来向 wBMS 管理器验证无线电池单元监视器。

图5

通过这个练习，我们可以确定 wBMS 系统的关键安全目标，如图 6 所示。这些目标将需要一些机制来实现。

图6.wBMS安全目标

通常，“我们在选择实现特定安全目标的机制方面走了多远？”的问题会被问到。如果添加更多的对策，几乎肯定会改善产品的整体安全态势，但代价很高，并且可能给使用该产品的最终消费者带来不必要的不便。一个常见的策略是减轻最容易部署对策的最有可能的威胁。更复杂的攻击往往以更高价值的资产为目标，可能需要更强大的安全对策，但这些攻击极不可能发生，因此即使实施也会产生低回报。

例如，在 wBMS 中，当车辆在路上行驶时，通过物理篡改 IC 组件来获取电池数据测量值的可能性极小，因为需要一名训练有素且具有深厚 EV 电池知识的机械师在汽车行驶时的汽车零件上做“体操”。如果存在的话，现实生活中的攻击者可能会尝试更简单的路径。对联网系统的一种常见攻击类型是拒绝服务

(DoS)

攻击——剥夺用户对产品的使用。您可以创建一个便携式无线干扰器来尝试干扰 wBMS 功能

（困难）

，但您也可以让空气从轮胎中排出

（简单）

。

将风险与一组适当的缓解措施相协调的这一步骤称为风险分析。通过权衡在采取适当的对策前后相关威胁的影响和可能性，我们可以确定剩余风险是否已被合理地最小化。最终的结果是，仅在需要且成本水平为客户可接受的情况下才纳入安全功能。

wBMS 的 TARA 指出了 wBMS 安全的两个重要方面：设备级安全和无线网络安全。

任何安全系统的第一条规则是“保密您的密钥！”这意味着无论是在设备上还是在我们的全球制造业务中。ADI 的 wBMS 设备安全性考虑了硬件、IC 和 IC 上的低级软件，并确保系统能够从不可变内存安全地启动到可信平台以运行代码。所有软件代码在执行前都经过身份验证，任何现场软件更新都需要预装的授权证书。在系统部署到车辆中后，禁止回滚到以前

（并且可能易受攻击）

的软件版本。此外，一旦系统部署完毕，调试端口就会被锁定，从而消除了未经授权的后门访问系统的可能性。

网络安全旨在保护 wBMS 电池单元监控节点与电池组外壳内的网络管理器之间的无线通信。安全性始于网络加入，其中检查所有参与节点的成员资格。这可以防止随机节点加入网络，即使它们碰巧在物理上很近。节点与应用层网络管理器的相互认证将进一步保护无线通信通道，使中间人攻击者不可能伪装成管理器的合法节点，反之亦然。此外，为确保只有预期的接收者才能访问数据，使用基于 AES 的加密技术对数据进行加密加扰，防止信息泄露给任何潜在的窃听者。

03保护密钥

与所有安全系统一样，安全的核心是一组加密算法和密钥。ADI 的 wBMS 遵循 NIST 批准的指南，这意味着选择的算法和密钥大小符合适用于静态数据保护的最低 128 位安全强度

（例如，AES-128、SHA-256、EC-256 )

并使用经过充分测试的无线通信标准

（例如 IEEE 802.15.4）

中的算法。

用于设备安全的密钥通常在 ADI 的制造过程中安装，并且永远不会离开 IC 设备。这些用于确保系统安全的密钥，在使用中和静止时都受到 IC 设备的物理保护，以防止未经授权的访问。然后，分层密钥框架通过将它们作为加密的 blob 保存在非易失性存储器中来保护所有应用程序级密钥，包括用于网络安全的密钥。

为了促进网络中节点的相互验证，ADI 的 wBMS 在制造过程中为每个 wBMS 节点提供了一个唯一的公私密钥对和一个签名的公钥证书。签名的证书允许节点验证它正在与另一个合法的 ADI 节点和有效的网络成员对话，而唯一的公私密钥对由节点在密钥协商方案中用于与另一个节点或与BMS控制器建立安全通信通道。这种方法的一个好处是无需安全安装环境即可更轻松地安装 wBMS，因为节点被编程为在部署后自动处理网络安全。

相比之下，过去使用预共享密钥建立安全通道的方案通常需要安全的安装环境和安装人员为通信端点手动编程密钥值。为了简化和降低处理密钥分发问题的成本，为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。这通常会导致在发生破坏性灾难

（单一节点被侵入，则所有节点被侵入）

时吸取惨痛的教训。

随着 OEM 生产规模的扩大，对于能够在不同的 EV 平台上利用具有不同数量无线节点的相同 wBMS 并安装在必须安全的不同制造或服务站点，我们倾向于使用分布式密钥方法来简化整体密钥管理的复杂性。

04结论

只有在从设备到网络以及电动汽车电池的整个生命周期都能确保安全的情况下，才能实现 wBMS 技术的全部优势。从这个角度来看，安全性需要系统级的设计理念，包括流程和产品。ADI 预见到 ISO/SAE 21434 标准在其草案期间解决的核心网络安全问题，并将它们纳入我们自己的 wBMS 设计和开发理念中。我们很自豪能够成为首批在我们的政策和流程上实现 ISO/SAE 21434 合规性的技术供应商之一，并且目前正在接受 wBMS 技术的最高网络安全保证级别认证。

参考文献

1．Shane O"Mahony。“电动汽车无线电池管理革命已经开始，投资回报率潜力巨大。” Analog Devices, Inc.，2021 年 11 月。

2．ISO/SAE 21434:2021 - 道路车辆。国际标准化组织，2021 年。

标签：