随着新一代EV引入无线电池管理技术,将电池组从笨重的通信线束中解放出来,重量更轻、更紧凑,减轻了里程忧虑,但也带来安全性问题。本文作者观点认为,必须确保从设备到网络、再到电池整个寿命周期实施全覆盖,安全性才有保证;故需要涵盖所有可能故障模式,并实施端到端安全机制的系统级设计理念。
在与电动汽车(EV)原始设备制造商(OEM)进行的早期对话中,论及无线电池管理系统(wBMS)技术和业务优势,发现其挑战似乎令人望而生畏!但凡事有两面,其回报也很大,大到不容忽视。相对于有线架构,无线连接的许多固有优势已经在无数应用中得到验证,且BMS是又一个明确摒弃有线方案的对象。
图1:采用wBMS的电动汽车。本文资料来源:ADI
最终采用无线方案后,可将EV电池组从笨重的通信线束中解放出来,使其重量更轻、模块化、更紧凑,这一美好前景已被广泛期待。届时,可省掉高达90%的组件布线以及15%的体积,整个车辆的设计和占用面积可以得到显著优化。同样省去的还有BOM成本、复杂的开发、以及相关的手动安装/维护劳动力成本。
此外,OEM可以很容易地将一项无线电池设计扩展到其整个电动车系,从而不用为每个品牌和型号重新设计大量且昂贵的电池组线束。有了wBMS,OEM可以自由修改其车架设计,而无需担心电池组内大量BMS的重新布线。
从长远来看,持续减轻车辆重量和电池组尺寸,对于未来扩大EV行驶里程至关重要。因此,wBMS技术将在帮助OEM提高其行程能力方面发挥重要作用,有助于消费者克服长期以来对EV的里程焦虑。
这不仅有助于EV的市场普及,也为OEM厂商凭借其实力一跃而起、从而攀升到EV市场领先地位提供了机会。这将是未来电动车领域OEM厂商差异化的主要地方。
安全新标准
不过,要实现wBMS提供的承诺,尚需要克服许多挑战。在汽车行驶时,wBMS中使用的无线通信需要具有足够的抗干扰能力,并且系统必须在所有条件下都是安全的。然而,这是系统安全发挥作用的地方,仅靠稳健和安全的设计,可能还不足以抵御蓄意攻击。
干扰源在不断变化,具体取决于汽车行驶的地方(例如,城市还是农村地区),以及是否有人在车内使用工作在同一频段的其他无线设备。电池组内的反射也会降低性能,具体取决于电池芯封装所用的材料。wBMS信号有可能会波动,从而在自然条件下都可能会出现通信中断,更不用说面对恶意行为了。
如果wBMS通信因某种原因中断,则汽车应该可以恢复到“安全模式”,通过驾驶员的干预,降低一些性能便是;更严重的情况是,wBMS通信完全丧失,必须安全停车。这些可以通过适当的安全设计来实现。设计中须考虑到系统中所有可能的故障模式,并实施端到端安全机制,来应对各种随机故障。
但一般的安全设计,没有考虑恶意行为者可能蓄意利用系统谋私、包括远程控制汽车的可能性。早在2016年黑帽(Black Hat)大会期间,这种风险就得到了验证:通过车辆网关,研究人员成功对一辆正在高速行驶中的车辆进行了远程访问!因此,传统的无线解决方案鲁棒性和故障安全设计是不够的,还需要其他的安全措施。黑帽期间的演示是一个宝贵的教训,表明未来汽车中设计的无线系统,不能被用作另一个远程接入点。相比之下,传统的有线解决方案不提供远程访问,因此黑客要获取电池数据,就必须身临车中的高压环境。
在EV电池的整个生命周期中,可能还会出现其他额外的安全挑战,如图2所示。wBMS设计解决方案侧重于掌控EV电池的不同阶段,从诞生到车厂、再到部署和维护、最后到下一个生命周期或寿命结束。这些用例定义了wBMS必须支持的各种功能。例如,在EV使用期间的一个重要考虑因素,就是防止未经授权的远程访问,但是在制造期间却又要赋予更多的灵活性。另一个例子是可维性方面的问题,即维修权法要求车主解决本来源于电池或wBMS方面的相关问题。这意味着必须支持wBMS中软件的合法更新,并且当车辆离开服务中心时,更新机制不能削弱车辆的安全性。
此外,当汽车电池不再满足性能标准时,有时会将其重新用到其他地方。这需要对EV电池的所有权进行安全转移。由于EV电池本身缺乏内置智能,因此需要所附的wBMS来实施适当的安全策略,以最好地服务于EV电池的各个生命周期。在过渡到第二个生命周期之前,需要安全地擦除第一生命周期的所有秘密。ADI已预见了这些问题,并根据核心设计原则(即对维护和增强产品的每个流程中的安全完整性都给予高度重视和全面详尽审查),解决了这些问题。
图2:EV电池及相关wBMS的生命周期。
与此同时,历经三年的制订,事关“道路车辆:网络安全工程”的ISO/SAE 21434标准也于去年8月正式发布。该标准定义了一个类似且详尽的端到端流程框架,具有四个级别的网络安全保证等级。汽车OEM厂商和供应商的评级范围为1~4,其中4代表合规水平最高。该标准实现了汽车行业安全产品开发所需的最高级别的检查和严格性,见图3。
图3:ISO/SAE 21434框架和CAL 4的预期。
从设备到网络的严格审查
按照wBMS产品设计的系统流程,进行威胁评估和风险分析(TARA),并根据客户产品使用方式绘制出威胁图。通过了解系统工作原理以及在其生命周期内使用的各种方式,可以确定哪些关键资产需要保护,又有哪些潜在威胁。
TARA技术有多种选择,包括著名的Microsoft STRIDE方法,该方法试图通过一缩写词STRIDE所代表的六种威胁(欺骗、篡改、拒绝、信息披露、拒绝服务、特权提升)来进行威胁建模。然后,将其应用于组成wBMS系统组件的不同接口,如图4所示。
图4:wBMS的威胁面注意事项。
这些接口是数据和控制流路径上的自然停止点,潜在攻击者可能会在此处未经授权访问系统资产。在这里,通过扮演攻击者的角色,看看每个威胁在每个接口的适用性以及原因,找出可能的攻击路径,并确定威胁发生的可能性,以及所产生后果的严重程度(如果攻击成功的话)。由于威胁的可能性和影响会因产品所处的环境而异(例如,仓库存放与实际应用环境),故在产品不同的生命周期阶段需要重复执行这一思维过程。另外,这些信息将表明需要采取哪些对策。
以图4所示的无线小区监控器和wBMS管理器之间的无线信道为例,如果资产是来自无线小区监控器的数据,并且担心数据泄漏给窃听者,那么可能希望在数据通过无线信道时对其进行加密。如果担心数据在通过通道时被篡改,那么可能希望采用数据完整性机制(如消息完整性代码)来保护数据。如果担心的是数据的来源,那么需要一种能使wBMS管理器无线小区监控器进行鉴权的方法。
通过实践,可以确定wBMS系统的关键安全目标,如图5所示。这些目标需要一些机制来实现。
图5:wBMS的安全目标。
通常我们会经常被问及,“在选择实现特定安全目标的机制方面走了多远?”如果增加过多的措施,毫无疑问会改善产品的整体安全态势,但代价往往太高,并可能给产品最终消费者带来不必要的不便。一种常见的策略是,采用最容易的手段来消除出现可能性最大的威胁。只有价值更高的资产目标才会招致更复杂的攻击,这时才需要更强的安全对策。但这些攻击发生概率极低,因此如果广泛实施,回报率太低。
例如,在wBMS中,当车辆行驶在道路上时,不太可能对IC进行物理篡改来获取蓄电池数据,因为要想在汽车行驶过程中操控汽车部件,需要一名训练有素的机械师,且具备深厚的EV蓄电池知识。现实生活中的攻击者可能会尝试更简单的路径。对网络系统的一种常见攻击是拒绝服务(DoS)攻击,它剥夺用户的产品使用权。如果创建一个便携式无线干扰器,来试图干扰wBMS功能,可能就比较难,但如果是对轮胎放气就非常简单。
将风险与一组适当的措施进行权衡的过程称为风险分析。引入适当对策的前后,通过权衡相关威胁的影响和可能性,可以确定剩余风险是否已降低到合理程度。最终的安全功能只能是客户真正需要的东西、且成本是可接受的。
wBMS的TARA指出了wBMS安全的两个重要方面:设备级安全和无线网络安全。
任何安全系统的第一条规则都是对密钥“保密!”这意味着无论是在设备本身,还是在全球各地的制造过程中都是如此。ADI wBMS设备安全性不仅考虑了硬件和IC,还考虑了IC中的低层软件,确保系统能够将代码从不可篡改的内存安全引导到可信的运行平台。所有软件代码在执行之前都必须经过鉴权,任何现场软件更新都需要依据预装凭据进行授权。系统部署到车辆中后,禁止回退到之前的旧版本(可能易受攻击)。此外,一旦系统部署好,调试端口将被锁定,从而彻底消除未经授权的后门访问系统的可能性。
网络安全旨在保护wBMS电池监控节点与电池组内网络管理器之间的空中通信。安全性从网络接入开始,其中检查所有参与节点的成员资格。这可以防止任何随机节点(即便恰好就在附近)加入网络。在应用层,节点与网络管理器的身份互验证,将进一步保护无线通信,使攻击者不可能在网络管理器中伪装成合法节点,反之亦然。此外,为了确保只有预定的接收者才能访问数据,采用AES加密方式对数据进行加密,防止信息泄漏给任何潜在的窃听者。
密钥防护
与所有安全系统一样,安全的核心是一系列加密算法和密钥。ADI wBMS遵循NIST批准的指导原则,这意味着选择了适合静态数据保护的算法和密钥长度(最小安全强度为128位,如AES-128、SHA-256、EC-256),算法则是通过IEEE 802.15.4这类无线通信标准认证测试的算法。
设备安全中使用的密钥通常在制造过程中安装,并且从不离开IC器件。反过来,无论是在使用或者静止期间,这些用于确保系统安全的密钥,都受到IC器件的物理保护,以防未经授权的访问。作为加密blob,保存在非易失性内存中,层级分明的密钥架构可以保护所有应用级的密钥,包括网络安全密钥。
为了便于网络节点互认证,在制造过程中,wBMS为每个节点提供了唯一的公私密钥对和签名的公钥证书。签名证书允许节点验证其是否正在与另一个合法的节点和有效的网络成员通信,而节点在密钥协议方案中使用唯一的公私密钥对,与另一个节点或BMS控制器建立安全通信信道。这种方法的一个好处是不需要提供安全的安装环境,从而使得wBMS的安装更容易,因为在部署后,通过自动编程,这些节点即可被赋予处理网络安全的权限。
相比之下,过去使用预共享密钥建立安全通道的方案,通常需要安全的安装环境,并要求程序安装员手动编程通信端点的键值。为了简化和降低处理密钥分配问题的成本,为网络中的所有节点分配一个默认的公共网络密钥通常是许多人采取的捷径。但这往往导致了一个惨痛的教训:即任何一点出问题,全盘皆毁!
随着OEM生产规模的扩大,能够利用同一wBMS,在不同的EV平台上掌控众多数量不等的无线节点,并安装在多个不同但必须是安全的制造或服务站点,故倾量向于采用分布式密钥方法,以简化整体密钥管理的复杂性。
只有在确保安全性从设备到网络实施全覆盖,并覆盖到EV电池的整个使用寿命,才能实现wBMS技术的全部益处。从这个角度来看,安全性要求系统级设计理念,包括产品设计生产和使用过程。
作者:Lei poo,ADI汽车电子移动系统架构总监
(参考原文:Ensuring security in wireless battery management systems)
本文为《电子工程专辑》2022年9月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅
您可能感兴趣
