步入無線電池管理系統（wBMS）新時代，安全為第一要務

只有從流程到產品確保系統安全性，wBMS技術的全部優勢才能體現。

與電動汽車(EV)車廠的早期對話中，無線電池管理系統（wBMS）在技術和商務方面的挑戰似乎令人生畏，但回報卻非常豐厚，不容忽視。無線連接相對于有線/電纜架構的許多固有優勢已經在無數商業應用中得到證明，BMS是又一個明確要拋棄線纜的候選領域。

圖1.使用無線電池管理系統(wBMS)的電動汽車

更輕巧、模塊化、緊湊型電動汽車電池組的前景——最終擺脫繁瑣的通信線束——已被廣泛接受。通過消除高達90%的電池組布線和15%的電池組體積，整車的設計和尺寸得以顯著簡化，物料清單(BOM)成本、開發復雜性和相關的人工安裝/維護工作也大幅減少。

更重要的是，單一無線電池設計可以很容易在車廠的整個EV車隊中進行擴展，而無需針對每個品牌和型號進行廣泛且成本高昂的電池組線束重新設計。借助wBMS，車廠可以自由修改其車架設計，而不用擔心需要重新布置電池組內的大量BMS布線。

從長遠來看，車輛重量和電池組尺寸的持續減小對于未來幾年延長電動汽車的續航里程至關重要。因此，wBMS技術將在幫助車廠提升續航能力方面發揮重要作用，進而幫助消費者克服對電動汽車里程的長期焦慮。

這不僅有望刺激電動汽車整體市場采用率的提升，還讓車廠有機會憑借其長續航能力躍入電動汽車市場領導地位。展望未來，這仍將是電動汽車車廠的一個主要差異化因素。

新安全標準

要兌現wBMS的承諾，需要克服許多挑戰。當汽車行駛時，wBMS中使用的無線通信需要對干擾具有足夠穩定性，系統必須在所有情況下都是安全的。但是，僅靠穩定和安全的設計可能不足以對抗頑固的攻擊者——這就是系統安全性發揮作用的地方。

汽車行駛的地點（例如是城市還是農村地區），是否有人在車內使用另一個同頻段的無線設備，都會導致干擾源發生變化。電池組內的反射也會降低性能，具體取決于用于封裝電池的電池組材料。wBMS信號很可能會波動，在自然條件下通信可能會被破壞，更不用說面對惡意攻擊者了。

如果wBMS通信因為某種原因被中斷，汽車可以回到“安全模式”，降低性能以允許駕駛員采取行動，或者當wBMS通信完全丟失時，汽車能夠安全停車。這可以通過適當的安全設計來實現，考慮系統中所有可能的故障模式，并實現端到端安全機制以應對組件隨機故障。

但是，安全設計并未考慮惡意行為者利用該系統達到某種目的的可能性，包括遠程控制車輛。在2016年黑帽會議期間，研究人員對一輛運動中的汽車展示了這種可能性，通過車輛網關實現了遠程接入。因此，只有無線穩定性和故障安全設計是不夠的，還需要抵御攻擊的安全性。黑帽演示是一個有價值的教訓，表明汽車中的未來無線系統需要以某種方式進行設計，使其不能作為另一個遠程入口點被利用。相比之下，常規有線電池組不提供遠程接入，要獲得對電池數據的訪問權，黑客需要以物理手段接入車輛中的高電壓環境。

在電動汽車電池的全生命周期中，還可能出現其他安全挑戰，如圖2所示。ADI公司的wBMS設計方法注重了解電動汽車電池經歷的不同階段——從出廠到部署和維護，最后到下一次壽命或壽命終結。這些使用場景定義了wBMS必須支持的各種功能。例如，防止未經授權的遠程訪問是在電動汽車部署期間的一個考慮事項，但在制造過程中需要更靈活的訪問。另一個例子是在維修期間，修理權法律要求提供一種方式以便車主解決電池或相關wBMS的故障。這意味著必須支持wBMS中的軟件以合法方式更新，并且當汽車離開維修站時，更新機制不應損害汽車的安全性。

圖2.電動汽車電池生命周期及其相關的wBMS生命周期

此外，當電動汽車電池不再符合電動汽車性能標準時，這些電池有時會被重新部署到能源部門。這需要將電動汽車電池的所有權安全轉移到下一生命階段。電池是沒有內置智能的設備，因此與之相伴的wBMS的責任在于，實施適當的安全策略以最好地為電動汽車電池壽命周期服務。過渡到第二生命（梯次利用）之前，必須安全擦除第一生命的所有秘密。

ADI公司預見了這些問題并按照自身核心設計原則（即特別注重維護和增強從流程到產品的安全完整性并進行詳盡審查）加以解決。與此同時，ISO/SAE21434標準“道路車輛：網絡安全工程”經過過去三年的開發，已于2021年8月正式發布。它定義了類似的窮舉式端到端過程框架，網絡安全保證分為四級。車廠和供應商的在1到4的尺度上評分，4表示最高級別的符合性（參見圖3）。

圖3.ISO/SAE 21434框架與CAL 4期望

ADI的wBMS方法響應了ISO/SAE21434要求，實施了汽車行業安全產品開發所需的最高水平的檢查和嚴謹性。為此目的，ADI聘請了著名的可信認證實驗室TüV-NORD來評估內部開發策略和流程。經過審查，ADI的策略和流程完全符合新標準ISO21434，如圖4所示。

圖4.TüV-Nord證書

從器件到網絡的嚴格審查

在wBMS產品設計的系統化流程之后，可執行威脅評估和風險分析(TARA)，以根據客戶意圖使用該產品的方式來明確威脅概況。通過了解系統用途，以及在生命周期期間的各種使用方式，可以確定哪些關鍵資產需要防范哪些潛在威脅。

TARA技術有多種選擇，包括眾所周知的Microsoft STRIDE方法，即通過考慮縮寫詞STRIDE所表示的六大威脅來對威脅建模：欺騙(S)、篡改(T)、否認(R)、信息披露(I)、拒絕服務(D)和權限提升(E)。ADI將其應用于構成wBMS系統組件的不同接口，如圖5所示。這些接口是數據和控制流路徑上的自然暫停點，潛在攻擊者可能會借此對系統資產進行未經授權的訪問。這種情況下，通過扮演攻擊者并詢問自己，每個威脅與每個接口的相關程度有多高以及為什么，就可以找出可能的攻擊路徑，并確定威脅發生的可能性，以及如果攻擊得逞，后果可能有多嚴重。然后，在生命周期的不同階段重復這個思維過程，因為可能的威脅和影響因產品所處的環境（例如倉庫與部署）而有所不同。此信息將指出需要某些對策。

以部署期間的無線蜂窩監視器與wBMS管理器之間的無線通道為例，如圖5所示。如果資產是來自無線蜂窩監視器的數據，擔心將數據值泄漏給竊聽者，那么可能需要在數據通過無線通道時加密數據。如果擔心數據通過通道被篡改，那么可能需要利用數據完整性機制（例如消息完整性代碼）保護數據。如果擔心有人識別出數據來自何處，那么需要一種方法來對與wBMS管理器通信的無線蜂窩監視器進行身份驗證。

圖5.wBMS的威脅面考慮

通過此練習，就能明確wBMS系統的關鍵安全目標，如圖6所示。這些目標將要求實施一些機制。

圖6.wBMS的安全目標

很多時候，要回答這樣一個問題：“為了實現特定安全目標而選擇某些機制時，我們愿意付出多大代價？”如果增加更多應對措施，則幾乎肯定會改善產品的整體安全態勢，但代價會很大，而且可能給使用產品的最終消費者帶來不必要的麻煩。一個常見策略是減輕可能性最大且最容易部署的威脅。更復雜的攻擊往往針對較高價值的資產，可能需要更強的安全對策，但這種情況極不可能發生，因此如果實施的話，回報并不劃算。

例如，在wBMS中，當車輛正在道路上行駛時，對IC器件進行物理篡改以獲得對電池數據測量的訪問權是極不可能發生的，因為要對行駛中的汽車的部件動手腳，需要一個訓練有素且對電動汽車電池有深厚了解的機修工。如果存在更容易的途徑，現實生活中的攻擊者可能才會去嘗試。對網絡系統的常見攻擊類型是拒絕服務(DOS)攻擊——讓用戶無法使用產品。可以創建便攜式無線干擾器來嘗試干擾wBMS功能（很難），但也可以給車胎放氣（容易）。

利用一組適當的緩解措施應對風險的步驟稱為風險分析。通過衡量相關威脅在引入適當對策前后的影響和可能性，可以確定殘留風險是否已被合理地最小化。最終結果是，之所以納入安全特性，是因為這些安全特性是必須的，并且其成本是客戶可以接受的。

wBMS的TARA指向wBMS安全性的兩個重要方面：器件級安全性和無線網絡安全性。

任何安全系統的第一規則都是“維護密鑰安全！”這意味著，在器件上和全球制造業務中都要如此。ADI公司的wBMS器件安全性考慮了硬件、IC和IC上的底層軟件，并確保系統能夠從無法改變的存儲器安全引導到可信平臺以供運行代碼。所有軟件代碼在執行之前都要進行身份驗證，任何現場軟件更新都需要預先安裝的憑據提供授權。系統部署到車輛中之后，禁止回滾到之前（且可能易受攻擊）的軟件版本。此外，系統部署后便要鎖定調試端口，從而消除通過未經授權的后門訪問系統的可能性。

網絡安全性旨在保護wBMS單元監視節點與電池包外殼內的網絡管理器之間的無線通信。安全性從加入網絡開始，所有參與節點的成員資格都要進行檢查。這樣可以防止隨機節點加入網絡，哪怕它們碰巧是附近的節點。在應用層對與網絡管理器通信的節點進行相互認證，將能進一步保護無線通信通道，使得中間人攻擊者無法充當合法節點來與管理器通信，反之亦然。此外，為了確保只有目標接收者可以訪問數據，使用基于AES的加密來擾亂數據，防止信息泄漏給任何潛在的竊聽者。

保護密鑰

同所有安全系統一樣，安全性的核心是一組加密算法和密鑰。ADI公司的wBMS遵循NIST批準的指導方針，這意味著所選的算法和密鑰大小應與適合靜態數據保護的最低安全強度128位一致（例如AES-128、SHA-256、EC-256），并使用經過充分測試的無線通信標準（例如IEEE802.15.4）中的算法。

保障器件安全所用的密鑰通常是在ADI制造過程中安裝的，并且永遠不會離開IC器件。確保系統安全性的這些密鑰則由IC器件在物理上加以保護，無論在使用時還是未使用時，未經授權的訪問均會被阻止。然后，分層密鑰框架將所有應用層密鑰作為加密二進制大對象(blob)保存在非易失性存儲器中保護起來，包括網絡安全中使用的密鑰。

為了便于網絡中節點的相互認證，ADI的wBMS在制造期間將一個唯一公鑰密鑰對和一個簽名的公鑰證書置入了每個wBMS節點。通過簽名證書，節點可以驗證與之通信的是另一個合法ADI節點和有效網絡成員，而唯一公鑰密鑰對由該節點用在密鑰協議方案中，以與另一個節點或BMS控制器建立安全通信通道。這種方法的一個好處是wBMS安裝更容易，不需要安全安裝環境，因為節點被設定為在部署后自動處理網絡安全性。

相比之下，過去使用預共享密鑰建立安全通道的方案通常需要一個安全的安裝環境和安裝程序來手動寫入通信端點的密鑰值。為了簡化和降低處理密鑰分布問題的成本，為網絡中的所有節點分配一個默認公共網絡密鑰通常是許多人采用的捷徑。這常常導致“一處崩潰，滿盤崩潰”的災難發生，必須引以為戒。

隨著生產規模的擴大，車廠需要能夠將具有不同數量無線節點的相同wBMS用于不同的電動汽車平臺，并安裝在不同的安全制造或維修場所，ADI傾向使用分布式密鑰方法來降低整體密鑰管理的復雜性。

結論

只有在電動汽車電池的全生命周期內確保從器件到網絡的安全性，才能實現wBMS技術的全部優勢。考慮到這一點，安全性要求采取系統級設計理念，涵蓋過程和產品。

ADI公司預料到了ISO/SAE21434標準在草案期間解決的核心網絡安全問題，并在wBMS設計和開發過程中采納了相關應對措施。目前，ADI是首批在政策和流程方面實現ISO/SAE21434合規性的技術供應商，ADIwBMS技術正在接受最高網絡安全保障等級認證。

審核編輯 ：李倩