步入無(wú)線電池管理系統(tǒng)(wBMS)新時(shí)代,,安全為第一要?jiǎng)?wù)
2022-09-12
作者:ADI汽車事業(yè)部電動(dòng)交通部門系統(tǒng)架構(gòu)總監(jiān)Lei Poo
來(lái)源:ADI
只有從流程到產(chǎn)品確保系統(tǒng)安全性,wBMS技術(shù)的全部?jī)?yōu)勢(shì)才能體現(xiàn),。
與電動(dòng)汽車(EV)車廠的早期對(duì)話中,無(wú)線電池管理系統(tǒng)(wBMS)在技術(shù)和商務(wù)方面的挑戰(zhàn)似乎令人生畏,,但回報(bào)卻非常豐厚,,不容忽視。無(wú)線連接相對(duì)于有線/電纜架構(gòu)的許多固有優(yōu)勢(shì)已經(jīng)在無(wú)數(shù)商業(yè)應(yīng)用中得到證明,,BMS是又一個(gè)明確要拋棄線纜的候選領(lǐng)域,。
圖1.使用無(wú)線電池管理系統(tǒng)(wBMS)的電動(dòng)汽車
更輕巧、模塊化,、緊湊型電動(dòng)汽車電池組的前景——最終擺脫繁瑣的通信線束——已被廣泛接受,。通過(guò)消除高達(dá)90%的電池組布線和15%的電池組體積,整車的設(shè)計(jì)和尺寸得以顯著簡(jiǎn)化,物料清單(BOM)成本,、開(kāi)發(fā)復(fù)雜性和相關(guān)的人工安裝/維護(hù)工作也大幅減少,。
更重要的是,單一無(wú)線電池設(shè)計(jì)可以很容易在車廠的整個(gè)EV車隊(duì)中進(jìn)行擴(kuò)展,,而無(wú)需針對(duì)每個(gè)品牌和型號(hào)進(jìn)行廣泛且成本高昂的電池組線束重新設(shè)計(jì),。借助wBMS,車廠可以自由修改其車架設(shè)計(jì),,而不用擔(dān)心需要重新布置電池組內(nèi)的大量BMS布線,。
從長(zhǎng)遠(yuǎn)來(lái)看,車輛重量和電池組尺寸的持續(xù)減小對(duì)于未來(lái)幾年延長(zhǎng)電動(dòng)汽車的續(xù)航里程至關(guān)重要,。因此,,wBMS技術(shù)將在幫助車廠提升續(xù)航能力方面發(fā)揮重要作用,進(jìn)而幫助消費(fèi)者克服對(duì)電動(dòng)汽車?yán)锍痰拈L(zhǎng)期焦慮,。
這不僅有望刺激電動(dòng)汽車整體市場(chǎng)采用率的提升,,還讓車廠有機(jī)會(huì)憑借其長(zhǎng)續(xù)航能力躍入電動(dòng)汽車市場(chǎng)領(lǐng)導(dǎo)地位。展望未來(lái),,這仍將是電動(dòng)汽車車廠的一個(gè)主要差異化因素,。關(guān)于優(yōu)勢(shì)的更多詳細(xì)說(shuō)明和市場(chǎng)分析,可參閱“電動(dòng)汽車無(wú)線電池管理革命已經(jīng)開(kāi)始,,投資回報(bào)潛力巨大”,。
新安全標(biāo)準(zhǔn)
要兌現(xiàn)wBMS的承諾,需要克服許多挑戰(zhàn),。當(dāng)汽車行駛時(shí),,wBMS中使用的無(wú)線通信需要對(duì)干擾具有足夠穩(wěn)定性,系統(tǒng)必須在所有情況下都是安全的,。但是,,僅靠穩(wěn)定和安全的設(shè)計(jì)可能不足以對(duì)抗頑固的攻擊者——這就是系統(tǒng)安全性發(fā)揮作用的地方。
汽車行駛的地點(diǎn)(例如是城市還是農(nóng)村地區(qū)),,是否有人在車內(nèi)使用另一個(gè)同頻段的無(wú)線設(shè)備,,都會(huì)導(dǎo)致干擾源發(fā)生變化。電池組內(nèi)的反射也會(huì)降低性能,,具體取決于用于封裝電池的電池組材料,。wBMS信號(hào)很可能會(huì)波動(dòng),在自然條件下通信可能會(huì)被破壞,,更不用說(shuō)面對(duì)惡意攻擊者了,。
如果wBMS通信因?yàn)槟撤N原因被中斷,汽車可以回到“安全模式”,,降低性能以允許駕駛員采取行動(dòng),,或者當(dāng)wBMS通信完全丟失時(shí),,汽車能夠安全停車。這可以通過(guò)適當(dāng)?shù)陌踩O(shè)計(jì)來(lái)實(shí)現(xiàn),,考慮系統(tǒng)中所有可能的故障模式,,并實(shí)現(xiàn)端到端安全機(jī)制以應(yīng)對(duì)組件隨機(jī)故障。
但是,,安全設(shè)計(jì)并未考慮惡意行為者利用該系統(tǒng)達(dá)到某種目的的可能性,,包括遠(yuǎn)程控制車輛。在2016年黑帽會(huì)議期間,,研究人員對(duì)一輛運(yùn)動(dòng)中的汽車展示了這種可能性,,通過(guò)車輛網(wǎng)關(guān)實(shí)現(xiàn)了遠(yuǎn)程接入。因此,,只有無(wú)線穩(wěn)定性和故障安全設(shè)計(jì)是不夠的,,還需要抵御攻擊的安全性。黑帽演示是一個(gè)有價(jià)值的教訓(xùn),,表明汽車中的未來(lái)無(wú)線系統(tǒng)需要以某種方式進(jìn)行設(shè)計(jì),,使其不能作為另一個(gè)遠(yuǎn)程入口點(diǎn)被利用。相比之下,,常規(guī)有線電池組不提供遠(yuǎn)程接入,要獲得對(duì)電池?cái)?shù)據(jù)的訪問(wèn)權(quán),,黑客需要以物理手段接入車輛中的高電壓環(huán)境,。
在電動(dòng)汽車電池的全生命周期中,還可能出現(xiàn)其他安全挑戰(zhàn),,如圖2所示,。ADI公司的wBMS設(shè)計(jì)方法注重了解電動(dòng)汽車電池經(jīng)歷的不同階段——從出廠到部署和維護(hù),最后到下一次壽命或壽命終結(jié),。這些使用場(chǎng)景定義了wBMS必須支持的各種功能,。例如,防止未經(jīng)授權(quán)的遠(yuǎn)程訪問(wèn)是在電動(dòng)汽車部署期間的一個(gè)考慮事項(xiàng),,但在制造過(guò)程中需要更靈活的訪問(wèn),。另一個(gè)例子是在維修期間,修理權(quán)法律要求提供一種方式以便車主解決電池或相關(guān)wBMS的故障,。這意味著必須支持wBMS中的軟件以合法方式更新,,并且當(dāng)汽車離開(kāi)維修站時(shí),更新機(jī)制不應(yīng)損害汽車的安全性,。
圖2.電動(dòng)汽車電池生命周期及其相關(guān)的wBMS生命周期
此外,,當(dāng)電動(dòng)汽車電池不再符合電動(dòng)汽車性能標(biāo)準(zhǔn)時(shí),這些電池有時(shí)會(huì)被重新部署到能源部門,。這需要將電動(dòng)汽車電池的所有權(quán)安全轉(zhuǎn)移到下一生命階段,。電池是沒(méi)有內(nèi)置智能的設(shè)備,,因此與之相伴的wBMS的責(zé)任在于,實(shí)施適當(dāng)?shù)陌踩呗砸宰詈玫貫殡妱?dòng)汽車電池壽命周期服務(wù),。過(guò)渡到第二生命(梯次利用)之前,,必須安全擦除第一生命的所有秘密。
ADI公司預(yù)見(jiàn)了這些問(wèn)題并按照自身核心設(shè)計(jì)原則(即特別注重維護(hù)和增強(qiáng)從流程到產(chǎn)品的安全完整性并進(jìn)行詳盡審查)加以解決,。與此同時(shí),,ISO/SAE 21434標(biāo)準(zhǔn)“道路車輛:網(wǎng)絡(luò)安全工程”經(jīng)過(guò)過(guò)去三年的開(kāi)發(fā),已于2021年8月正式發(fā)布,。它定義了類似的窮舉式端到端過(guò)程框架,,網(wǎng)絡(luò)安全保證分為四級(jí)。車廠和供應(yīng)商的在1到4的尺度上評(píng)分,,4表示最高級(jí)別的符合性(參見(jiàn)圖3),。
圖3.ISO/SAE 21434框架與CAL 4期望
ADI的wBMS方法響應(yīng)了ISO/SAE 21434要求,實(shí)施了汽車行業(yè)安全產(chǎn)品開(kāi)發(fā)所需的最高水平的檢查和嚴(yán)謹(jǐn)性,。為此目的,,ADI聘請(qǐng)了著名的可信認(rèn)證實(shí)驗(yàn)室T?V-NORD來(lái)評(píng)估內(nèi)部開(kāi)發(fā)策略和流程。經(jīng)過(guò)審查,,ADI的策略和流程完全符合新標(biāo)準(zhǔn)ISO 21434,,如圖4所示。
圖4.TüV-Nord證書(shū)
從器件到網(wǎng)絡(luò)的嚴(yán)格審查
在wBMS產(chǎn)品設(shè)計(jì)的系統(tǒng)化流程之后,,可執(zhí)行威脅評(píng)估和風(fēng)險(xiǎn)分析(TARA),,以根據(jù)客戶意圖使用該產(chǎn)品的方式來(lái)明確威脅概況。通過(guò)了解系統(tǒng)用途,,以及在生命周期期間的各種使用方式,,可以確定哪些關(guān)鍵資產(chǎn)需要防范哪些潛在威脅。
TARA技術(shù)有多種選擇,,包括眾所周知的Microsoft STRIDE方法,,即通過(guò)考慮縮寫(xiě)詞STRIDE所表示的六大威脅來(lái)對(duì)威脅建模:欺騙(S)、篡改(T),、否認(rèn)(R),、信息披露(I)、拒絕服務(wù)(D)和權(quán)限提升(E),。ADI將其應(yīng)用于構(gòu)成wBMS系統(tǒng)組件的不同接口,,如圖5所示。這些接口是數(shù)據(jù)和控制流路徑上的自然暫停點(diǎn),,潛在攻擊者可能會(huì)借此對(duì)系統(tǒng)資產(chǎn)進(jìn)行未經(jīng)授權(quán)的訪問(wèn),。這種情況下,通過(guò)扮演攻擊者并詢問(wèn)自己,,每個(gè)威脅與每個(gè)接口的相關(guān)程度有多高以及為什么,,就可以找出可能的攻擊路徑,,并確定威脅發(fā)生的可能性,以及如果攻擊得逞,,后果可能有多嚴(yán)重,。然后,在生命周期的不同階段重復(fù)這個(gè)思維過(guò)程,,因?yàn)榭赡艿耐{和影響因產(chǎn)品所處的環(huán)境(例如倉(cāng)庫(kù)與部署)而有所不同,。此信息將指出需要某些對(duì)策。
以部署期間的無(wú)線蜂窩監(jiān)視器與wBMS管理器之間的無(wú)線通道為例,,如圖5所示,。如果資產(chǎn)是來(lái)自無(wú)線蜂窩監(jiān)視器的數(shù)據(jù),擔(dān)心將數(shù)據(jù)值泄漏給竊聽(tīng)者,,那么可能需要在數(shù)據(jù)通過(guò)無(wú)線通道時(shí)加密數(shù)據(jù),。如果擔(dān)心數(shù)據(jù)通過(guò)通道被篡改,那么可能需要利用數(shù)據(jù)完整性機(jī)制(例如消息完整性代碼)保護(hù)數(shù)據(jù),。如果擔(dān)心有人識(shí)別出數(shù)據(jù)來(lái)自何處,,那么需要一種方法來(lái)對(duì)與wBMS管理器通信的無(wú)線蜂窩監(jiān)視器進(jìn)行身份驗(yàn)證。
圖5.wBMS的威脅面考慮
通過(guò)此練習(xí),,就能明確wBMS系統(tǒng)的關(guān)鍵安全目標(biāo),,如圖6所示。這些目標(biāo)將要求實(shí)施一些機(jī)制,。
圖6.wBMS的安全目標(biāo)
很多時(shí)候,,要回答這樣一個(gè)問(wèn)題:“為了實(shí)現(xiàn)特定安全目標(biāo)而選擇某些機(jī)制時(shí),我們?cè)敢飧冻龆啻蟠鷥r(jià),?”如果增加更多應(yīng)對(duì)措施,則幾乎肯定會(huì)改善產(chǎn)品的整體安全態(tài)勢(shì),,但代價(jià)會(huì)很大,,而且可能給使用產(chǎn)品的最終消費(fèi)者帶來(lái)不必要的麻煩。一個(gè)常見(jiàn)策略是減輕可能性最大且最容易部署的威脅,。更復(fù)雜的攻擊往往針對(duì)較高價(jià)值的資產(chǎn),,可能需要更強(qiáng)的安全對(duì)策,但這種情況極不可能發(fā)生,,因此如果實(shí)施的話,,回報(bào)并不劃算。
例如,,在wBMS中,,當(dāng)車輛正在道路上行駛時(shí),對(duì)IC器件進(jìn)行物理篡改以獲得對(duì)電池?cái)?shù)據(jù)測(cè)量的訪問(wèn)權(quán)是極不可能發(fā)生的,,因?yàn)橐獙?duì)行駛中的汽車的部件動(dòng)手腳,,需要一個(gè)訓(xùn)練有素且對(duì)電動(dòng)汽車電池有深厚了解的機(jī)修工,。如果存在更容易的途徑,現(xiàn)實(shí)生活中的攻擊者可能才會(huì)去嘗試,。對(duì)網(wǎng)絡(luò)系統(tǒng)的常見(jiàn)攻擊類型是拒絕服務(wù)(DOS)攻擊——讓用戶無(wú)法使用產(chǎn)品,。可以創(chuàng)建便攜式無(wú)線干擾器來(lái)嘗試干擾wBMS功能(很難),,但也可以給車胎放氣(容易),。
利用一組適當(dāng)?shù)木徑獯胧?yīng)對(duì)風(fēng)險(xiǎn)的步驟稱為風(fēng)險(xiǎn)分析。通過(guò)衡量相關(guān)威脅在引入適當(dāng)對(duì)策前后的影響和可能性,,可以確定殘留風(fēng)險(xiǎn)是否已被合理地最小化,。最終結(jié)果是,之所以納入安全特性,,是因?yàn)檫@些安全特性是必須的,,并且其成本是客戶可以接受的。
wBMS的TARA指向wBMS安全性的兩個(gè)重要方面:器件級(jí)安全性和無(wú)線網(wǎng)絡(luò)安全性,。
任何安全系統(tǒng)的第一規(guī)則都是“維護(hù)密鑰安全,!”這意味著,在器件上和全球制造業(yè)務(wù)中都要如此,。ADI公司的wBMS器件安全性考慮了硬件,、IC和IC上的底層軟件,并確保系統(tǒng)能夠從無(wú)法改變的存儲(chǔ)器安全引導(dǎo)到可信平臺(tái)以供運(yùn)行代碼,。所有軟件代碼在執(zhí)行之前都要進(jìn)行身份驗(yàn)證,,任何現(xiàn)場(chǎng)軟件更新都需要預(yù)先安裝的憑據(jù)提供授權(quán)。系統(tǒng)部署到車輛中之后,,禁止回滾到之前(且可能易受攻擊)的軟件版本,。此外,系統(tǒng)部署后便要鎖定調(diào)試端口,,從而消除通過(guò)未經(jīng)授權(quán)的后門訪問(wèn)系統(tǒng)的可能性,。
網(wǎng)絡(luò)安全性旨在保護(hù)wBMS單元監(jiān)視節(jié)點(diǎn)與電池包外殼內(nèi)的網(wǎng)絡(luò)管理器之間的無(wú)線通信。安全性從加入網(wǎng)絡(luò)開(kāi)始,,所有參與節(jié)點(diǎn)的成員資格都要進(jìn)行檢查,。這樣可以防止隨機(jī)節(jié)點(diǎn)加入網(wǎng)絡(luò),哪怕它們碰巧是附近的節(jié)點(diǎn),。在應(yīng)用層對(duì)與網(wǎng)絡(luò)管理器通信的節(jié)點(diǎn)進(jìn)行相互認(rèn)證,,將能進(jìn)一步保護(hù)無(wú)線通信通道,使得中間人攻擊者無(wú)法充當(dāng)合法節(jié)點(diǎn)來(lái)與管理器通信,,反之亦然,。此外,為了確保只有目標(biāo)接收者可以訪問(wèn)數(shù)據(jù),,使用基于AES的加密來(lái)擾亂數(shù)據(jù),,防止信息泄漏給任何潛在的竊聽(tīng)者,。
保護(hù)密鑰
同所有安全系統(tǒng)一樣,安全性的核心是一組加密算法和密鑰,。ADI公司的wBMS遵循NIST批準(zhǔn)的指導(dǎo)方針,,這意味著所選的算法和密鑰大小應(yīng)與適合靜態(tài)數(shù)據(jù)保護(hù)的最低安全強(qiáng)度128位一致(例如AES-128、SHA-256,、EC-256),,并使用經(jīng)過(guò)充分測(cè)試的無(wú)線通信標(biāo)準(zhǔn)(例如IEEE 802.15.4)中的算法。
保障器件安全所用的密鑰通常是在ADI制造過(guò)程中安裝的,,并且永遠(yuǎn)不會(huì)離開(kāi)IC器件,。確保系統(tǒng)安全性的這些密鑰則由IC器件在物理上加以保護(hù),無(wú)論在使用時(shí)還是未使用時(shí),,未經(jīng)授權(quán)的訪問(wèn)均會(huì)被阻止,。然后,分層密鑰框架將所有應(yīng)用層密鑰作為加密二進(jìn)制大對(duì)象(blob)保存在非易失性存儲(chǔ)器中保護(hù)起來(lái),,包括網(wǎng)絡(luò)安全中使用的密鑰,。
為了便于網(wǎng)絡(luò)中節(jié)點(diǎn)的相互認(rèn)證,ADI的wBMS在制造期間將一個(gè)唯一公鑰密鑰對(duì)和一個(gè)簽名的公鑰證書(shū)置入了每個(gè)wBMS節(jié)點(diǎn),。通過(guò)簽名證書(shū),,節(jié)點(diǎn)可以驗(yàn)證與之通信的是另一個(gè)合法ADI節(jié)點(diǎn)和有效網(wǎng)絡(luò)成員,而唯一公鑰密鑰對(duì)由該節(jié)點(diǎn)用在密鑰協(xié)議方案中,,以與另一個(gè)節(jié)點(diǎn)或BMS控制器建立安全通信通道,。這種方法的一個(gè)好處是wBMS安裝更容易,不需要安全安裝環(huán)境,,因?yàn)楣?jié)點(diǎn)被設(shè)定為在部署后自動(dòng)處理網(wǎng)絡(luò)安全性,。
相比之下,過(guò)去使用預(yù)共享密鑰建立安全通道的方案通常需要一個(gè)安全的安裝環(huán)境和安裝程序來(lái)手動(dòng)寫(xiě)入通信端點(diǎn)的密鑰值,。為了簡(jiǎn)化和降低處理密鑰分布問(wèn)題的成本,,為網(wǎng)絡(luò)中的所有節(jié)點(diǎn)分配一個(gè)默認(rèn)公共網(wǎng)絡(luò)密鑰通常是許多人采用的捷徑。這常常導(dǎo)致“一處崩潰,,滿盤崩潰”的災(zāi)難發(fā)生,必須引以為戒,。
隨著生產(chǎn)規(guī)模的擴(kuò)大,,車廠需要能夠?qū)⒕哂胁煌瑪?shù)量無(wú)線節(jié)點(diǎn)的相同wBMS用于不同的電動(dòng)汽車平臺(tái),并安裝在不同的安全制造或維修場(chǎng)所,,ADI傾向使用分布式密鑰方法來(lái)降低整體密鑰管理的復(fù)雜性,。
結(jié)論
只有在電動(dòng)汽車電池的全生命周期內(nèi)確保從器件到網(wǎng)絡(luò)的安全性,才能實(shí)現(xiàn)wBMS技術(shù)的全部?jī)?yōu)勢(shì),??紤]到這一點(diǎn),,安全性要求采取系統(tǒng)級(jí)設(shè)計(jì)理念,涵蓋過(guò)程和產(chǎn)品,。
ADI公司預(yù)料到了ISO/SAE 21434標(biāo)準(zhǔn)在草案期間解決的核心網(wǎng)絡(luò)安全問(wèn)題,,并在wBMS設(shè)計(jì)和開(kāi)發(fā)過(guò)程中采納了相關(guān)應(yīng)對(duì)措施。目前,,ADI是首批在政策和流程方面實(shí)現(xiàn)ISO/SAE 21434合規(guī)性的技術(shù)供應(yīng)商,,ADI wBMS技術(shù)正在接受最高網(wǎng)絡(luò)安全保障等級(jí)認(rèn)證。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<