在无线电池管理系统新时代，安全性成为焦点

wBMS技术的全部优势只有在从过程到产品都能确保系统安全性的情况下才能实现。

在与电动汽车（EV）OEM厂商就无线电池管理系统（wBMS）的技术和商业优势进行的早期对话中发现的挑战似乎令人生畏，但回报太有希望了，不容忽视。无线连接相对于有线/有线架构的许多固有优势已经在无数商业应用中得到证明，BMS是另一个明确的线切割候选者。

更轻量、模块化和紧凑的电动汽车电池组的前景——最终从繁琐的通信线束中解放出来——已经得到了广泛的接受。通过消除高达 90% 的电池组布线和 15% 的电池组体积，可以显著简化整车的设计和占地面积，以及物料清单 （BOM） 成本、开发复杂性和相关手动安装/维护劳动力。

更重要的是，单个无线电池设计可以很容易地扩展到OEM的整个电动汽车车队，从而排除了为每个品牌和型号进行广泛而昂贵的包装线束重新设计。借助wBMS，OEM可以自由修改其车架设计，而不必担心必须在电池组内重新布线大量的BMS布线。

从长远来看，持续减少车辆重量和电池组尺寸对于未来几年延长电动汽车的行驶里程至关重要。因此，wBMS技术将在帮助OEM提高其续航能力方面发挥重要作用，从而帮助克服消费者长期挥之不去的电动汽车里程焦虑。

这不仅有望刺激电动汽车市场的整体采用率，而且还使原始设备制造商有机会凭借其行驶里程优势跃升为电动汽车市场的领导地位。这仍将是未来电动汽车原始设备制造商之间的主要差异化因素。有关优势和市场分析的更多详细信息，请参阅“电动汽车无线电池管理革命已经开始，投资回报潜力巨大”。

新的安全标准

要实现wBMS提供的承诺，需要克服许多挑战。wBMS中使用的无线通信需要在汽车行驶时具有足够的抗干扰能力，并且系统必须在所有条件下都是安全的。但是，仅靠稳健和安全的设计可能不足以抵御坚定的攻击者 - 这就是系统安全性发挥作用的地方。

干扰源根据汽车行驶的位置（例如，城市与农村地区）以及是否有人在车内使用在同一频段内运行的其他无线设备而变化。电池组内的反射也会降低性能，具体取决于用于容纳电池单元的电池组的材料。wBMS信号很有可能波动，从而在自然条件下中断通信，更不用说面对恶意行为者了。

如果wBMS通信以某种方式中断，汽车可以恢复到性能降低的“安全模式”，以允许驾驶员采取行动，或者在完全失去wBMS通信的情况下安全停止。这可以通过适当的安全设计来实现，该设计考虑了系统中所有可能的故障模式，并实施了解决组件随机故障的端到端安全机制。

但安全设计没有考虑恶意行为者可能利用系统为自己谋利的可能性，其中可能包括远程控制汽车。在 2016 年黑帽会议期间，研究人员在移动车辆上使用通过车辆网关进行远程访问，证明了这种可能性。因此，无线鲁棒性和故障安全设计是不够的;他们需要有安全保障。黑帽演示是一个宝贵的教训，表明未来的汽车无线系统需要以这样的方式设计，即它们不能被用作另一个远程入口点。相比之下，传统的有线电池组不提供远程访问，因此要访问电池数据，黑客需要物理访问车辆中的高压环境。

在整个电动汽车电池寿命周期中可能会出现额外的安全挑战，如图 2 所示。在ADI公司（ADI），我们的wBMS设计方法侧重于了解电动汽车电池从诞生到出厂、部署和维护，最后到下一次寿命或报废的不同阶段。这些用例定义了wBMS必须支持的各种功能。例如，防止未经授权的远程访问是电动汽车部署期间的一个考虑因素，但在制造过程中需要更灵活的访问。另一个例子是可维护性，其中维修权法律要求车主解决源于电池或相关wBMS的问题。这意味着必须支持在wBMS中更新软件的合法方式，并且更新机制不应在车辆离开服务中心时损害其安全性。

此外，当电动汽车电池不再符合电动汽车性能标准时，有时会重新部署到能源部门。这需要将电动汽车电池的所有权从第一次生命转移到下一次生命。由于电池是没有内置智能的设备，因此随附的wBMS需要执行最适合电动汽车电池寿命的适当安全策略。在过渡到第二人生之前，需要安全地擦除第一人生的秘密。

ADI预见到了这些问题，并根据我们自己的核心设计原则解决了这些问题，这些原则对维护和增强从流程到产品的安全集成给予了高度重视和详尽的审查。同时，ISO/SAE 214342过去三年一直在开发的“道路车辆：网络安全工程”标准于 2021 年 8 月正式发布。它定义了一个类似的详尽的端到端流程框架，具有四个级别的网络安全保证。汽车 OEM 和供应商的评级范围为 1 到 4，其中 4 表示最高一致性级别（见图 3）。

图2.电动汽车电池生命周期及其相关的 wBMS 生命周期。

图3.ISO/SAE 21434 框架和 CAL 4 期望。

ADI的wBMS方法与ISO/SAE 21434相呼应，可实现汽车行业安全产品开发所需的最高水平检查和严格性。为此，ADI与知名值得信赖的认证实验室TÜV-Nord合作，评估我们的内部开发政策和流程。这导致我们的政策和流程经过审查，以完全符合新标准ISO 21434。

从设备到网络的严格审查

遵循我们在wBMS产品设计中的系统流程，进行了威胁评估和风险分析（TARA），以根据客户打算如何使用产品来绘制威胁态势。通过了解系统的功能以及在其生命周期内使用的各种方式，我们可以确定哪些关键资产需要保护以及哪些潜在威胁。

TARA 技术有多种选择，包括著名的 Microsoft STRIDE 方法，该方法试图通过考虑单词 STRIDE 缩写的六种威胁来对威胁进行建模：Spoofing、Tampering、Repudiation、Ininformation disclosure 、Denial of Service和 E提升特权。然后，我们可以将其应用于构成wBMS系统的组件的不同接口，如图5所示。这些接口是数据和控制流路径上的自然停止，潜在攻击者可能会未经授权访问系统资产。在这里，通过扮演攻击者并问自己每个威胁在每个接口上的适用性以及原因，我们可以绘制出可能的攻击路径，并确定威胁发生的可能性以及如果成功的后果可能有多严重。然后，我们在不同的生命周期阶段重复这一思维过程，因为威胁的可能性和影响可能会因产品所处的环境而异（例如，仓库与部署）。这些信息将指出需要采取某些对策。

以部署期间无线小区监视器和wBMS管理器之间的无线通道为例，如图5所示。如果资产是来自无线蜂窝监视器的数据，并且担心数据值泄漏给窃听者，那么我们可能希望在数据通过无线通道时对其进行加密。如果我们担心数据在通过通道时被篡改，那么我们可能希望使用数据完整性机制（例如消息完整性代码）来保护数据。如果担心的是确定数据来自何处，那么我们将需要一种方法来向wBMS管理器验证无线蜂窝监视器。

通过本练习，我们可以确定wBMS系统的关键安全目标，如图6所示。这些目标将需要一些机制来实施。

人们经常问“我们在选择实现特定安全目标的机制方面走多远？如果添加更多的对策，几乎肯定会改善产品的整体安全状况，但成本很高，并可能给使用该产品的最终消费者增加不必要的不便。一种常见的策略是缓解最容易部署的最可能的威胁。倾向于针对更高价值资产的更复杂的攻击可能需要更强大的安全对策，但这些措施极不可能发生，因此如果实施，回报率较低。

图5.wBMS 的威胁面注意事项。

例如，在wBMS中，在车辆行驶时对IC组件进行物理篡改以访问电池数据测量值的可能性极小，因为需要训练有素的机械师，具有深厚的电动汽车电池知识，以便在汽车行驶时对汽车部件进行体操。如果存在，现实生活中的攻击者可能会尝试更简单的路径。对网络系统的常见攻击类型是拒绝服务 （DoS） 攻击，即剥夺用户的产品效用。您可以创建一个便携式无线干扰器来尝试干扰wBMS功能（硬），但您也可以让空气从轮胎中排出（容易）。

将风险与一组适当的缓解措施进行协调的步骤称为风险分析。通过权衡引入适当对策前后相关威胁的影响和可能性，我们可以确定残余风险是否已被合理地最小化。最终结果是，安全功能仅在需要且成本水平客户可接受的情况下被合并。

wBMS的TARA指出了wBMS安全的两个重要方面：设备级安全和无线网络安全。

任何安全系统的第一条规则都是“保密你的密钥！这意味着无论是在设备上还是在我们的全球制造业务中。ADI的wBMS器件安全性考虑了IC上的硬件、IC和低级软件，并确保系统能够安全地从不可变存储器启动到可信平台，以便代码运行。所有软件代码在执行之前都经过身份验证，任何现场软件更新都需要预安装凭据的授权。在车辆中部署系统后，禁止回滚到软件的先前（可能易受攻击）版本。此外，一旦系统部署，调试端口就会被锁定，从而消除了未经授权的后门访问系统的可能性。

网络安全旨在保护wBMS单元监控节点与电池组外壳内网络管理器之间的无线通信。安全性从网络加入开始，其中检查所有参与节点的成员资格。这可以防止随机节点加入网络，即使它们碰巧在物理上靠近。在应用层向网络管理器相互验证节点将进一步保护无线通信通道，使中间人攻击者无法伪装成管理器的合法节点，反之亦然。此外，为了确保只有预期的接收者才能访问数据，基于AES的加密用于对数据进行加密加扰，防止信息泄露给任何潜在的窃听者。

保护密钥

与所有安全系统一样，安全的核心是一组加密算法和密钥。ADI公司的wBMS遵循NIST批准的准则，这意味着选择符合最低安全强度128位的算法和密钥大小，适用于静态数据保护（例如AES-128、SHA-256、EC-256），并使用IEEE 802.15.4等经过良好测试的无线通信标准中的算法。

器件安全中使用的密钥通常在ADI的制造过程中安装，永远不会离开IC器件。这些密钥用于确保系统安全，反过来又受到IC设备的物理保护，无论是在使用中还是在静止时，防止未经授权的访问。然后，分层密钥框架通过将所有应用程序级密钥作为加密 blob 保存在非易失性内存中来保护它们，包括网络安全中使用的密钥。

为了便于网络中节点的相互认证，ADI公司的wBMS在制造过程中为每个wBMS节点配置了唯一的公钥-私钥对和签名公钥证书。签名证书允许节点验证它是否正在与另一个合法的ADI节点和有效的网络成员通信，而节点在密钥协议方案中使用唯一的公钥-私钥对与另一个节点或BMS控制器建立安全通信通道。这种方法的一个好处是更容易安装wBMS，而无需安全的安装环境，因为节点被编程为在部署后自动处理网络安全。

相比之下，过去使用预共享密钥建立安全通道的方案通常需要安全的安装环境和安装程序来手动编程通信端点的密钥值。为了简化和降低处理密钥分发问题的成本，为网络中的所有节点分配默认的通用网络密钥通常是许多人采取的捷径。这往往导致在发生中断、中断的灾难时吸取惨痛的教训。

随着OEM生产规模的扩大，我们能够利用跨不同EV平台的不同数量的无线节点的相同wBMS，并安装在必须安全的不同制造或服务站点，我们倾向于使用分布式密钥方法，以简化整体密钥管理的复杂性。

结论

wBMS技术的全部优势只有在确保从设备到网络以及电动汽车电池的整个生命周期内的安全性时才能实现。从这个角度来看，安全性需要系统级设计理念，包括流程和产品。

ADI在ISO/SAE 21434标准草案期间预测了其解决的核心网络安全问题，并将其纳入我们自己的wBMS设计和开发理念。我们很自豪能成为首批在我们的政策和流程上实现 ISO/SAE 21434 合规性的技术供应商之一，目前正在接受 wBMS 技术的最高网络安全保证级别的认证。

审核编辑：郭婷