唯有著重安全性 wBMS優勢方能盡顯

作者 : Lei Poo,ADI系統架構總監

只有從流程到產品均確保系統安全性,無線電池管理系統(wBMS)技術的全部優勢才能實現。

在與電動車(EV)車廠的早期對話中,就wBMS的技術和商務方面的挑戰似乎令人生畏,但回報卻非常豐厚,不容忽視。無線連接相對於有線/電纜架構的許多固有優勢,已經在無數商業應用中得到證明,而BMS又是一個明確拋棄線纜的候選領域。

 

圖1:使用wBMS的電動車。

 

更輕巧、模組化、精巧型電動車電池組的前景——最終擺脫繁瑣的通訊線束——已被廣泛接受。透過消除高達90%的電池組佈線和15%的電池組體積,整車的設計和尺寸得以明顯簡化,物料清單(BOM)成本、開發複雜性和相關的人工安裝/維護工作也大幅減少。

更重要的是,單一無線電池設計很容易在車廠的整個電動車車隊中進行擴展,而無需針對每個品牌和型號進行廣泛且成本高昂的電池組線束重新設計。借助wBMS,車廠可以自由修改其車架設計,而不用擔心需要重新佈置電池組內的大量BMS佈線。

從長遠來看,車輛重量和電池組尺寸的持續減小對於未來幾年延長電動車的續航里程非常重要。因此,wBMS技術將在協助車廠提升續航能力方面發揮重要作用,進而協助克服消費者長期揮之不去的電動車里程焦慮。

這不僅可望刺激電動車整體的市場採用率的提升,而且還使車廠有機會憑藉其實現長續航的實力躍入電動車市場領導地位。展望未來,這仍將是電動車車廠的一個主要差異化因素。

新安全標準

要兌現wBMS的承諾,需要克服許多挑戰。當車輛行駛時,wBMS中使用的無線通訊需要對干擾具有足夠的穩固性,系統必須在所有情況下都是安全的。但是,僅靠穩固和安全的設計可能不足以對抗頑固的攻擊者——這就是系統安全性發揮作用的地方。

車輛行駛的地點(例如城市或是鄉村),是否有人在車內使用另一個同頻段的無線裝置,都會導致干擾源發生變化。電池組內的反射也會降低性能,具體取決於用於封裝電池的電池組的材料。wBMS訊號很可能會波動,在自然條件下通訊可能會被破壞,更不用說面對惡意攻擊者了。

如果wBMS通訊因為某種原因被中斷,汽車可以回到「安全模式」,降低性能以允許駕駛人採取行動,或者當wBMS通訊完全失效時,車輛能夠安全停車。這可以透過適當的安全設計來實現,考慮系統中所有可能的故障模式,並實現端到端安全機制以因應元件隨機故障。

但是,安全設計並未考慮惡意行為者利用該系統達到某種目的的可能性,包括遠端控制車輛。在2016年黑帽會議期間,研究人員對一輛運動中的汽車展示了這種可能性,透過車輛閘道實現了遠端接入。因此,只有無線穩固性和故障安全設計是不夠的,還需要抵禦攻擊的安全性。黑帽展示是一個有價值的教訓,表示汽車中的未來無線系統需要以某種方式進行設計,使其不能作為另一個遠端入口點被利用。相形之下,常規有線電池組不提供遠端接入,要獲得對電池資料的存取權,駭客需要以物理手段接入車輛中的高電壓環境。

在電動車電池的全壽命週期中,還可能出現其他安全挑戰,如圖2所示。ADI的wBMS設計方法注重瞭解電動車電池經歷的不同階段——從出廠到部署和維護,最後到下一次壽命或壽命終結。這些使用場景定義了wBMS必須支援的各種功能。例如,防止未經授權的遠端存取是在電動車部署期間的一個考慮事項,但在製造過程中需要更彈性的存取。另一個例子是在維修期間,修理權法律要求提供一種方式以便車主解決電池或相關wBMS的故障。表示必須支援wBMS中的軟體以合法方式更新,並且當汽車離開維修站時,更新機制不應損害汽車的安全性。

 

圖2:電動車電池生命週期及其相關的wBMS生命週期。

 

此外,當電動車電池不再符合電動車性能標準時,這些電池有時會被重新佈署到能源部門。這需要將電動車電池的所有權安全轉移到下一生命階段。電池是沒有內建智慧的裝置,因此與之相伴的wBMS的責任在於,建置適當的安全性原則以最好地為電動車電池壽命週期服務。轉換到第二生命(梯次利用)之前,必須安全擦除第一生命的所有秘密。

ADI預見了這些問題並按照我們自己的核心設計原則(即特別注重維護和增強從流程到產品的安全完整性並進行詳盡審查)加以解決。與此同時,ISO/SAE 21434標準「道路車輛:網路安全工程」經過過去3年的開發,已於2021年8月正式發佈。其定義了類似的窮舉式端到端過程框架,網路安全保證分為四級。車廠和供應商的在1到4的尺度上評分,4表示最高級別的符合性(圖3)。

 

圖3:ISO/SAE 21434框架與CAL 4期望。

 

ADI的wBMS方法回應了ISO/SAE 21434要求,進行汽車產業安全產品開發所需的最高水準的檢查和嚴謹性。為此目的,ADI聘請著名的可信認證實驗室TÜV-NORD來評估內部的開發策略和流程。我們的策略和流程經過審查,完全符合新標準ISO 21434,如圖4所示。

 

圖4:TÜV-Nord證書。

 

從元件到網路的嚴格審查

在wBMS產品設計的系統化流程之後,執行威脅評估和風險分析(TARA),以根據客戶意圖使用該產品的方式來明確威脅概況。透過瞭解系統的用途,以及在壽命期間它的各種使用方式,可以確定哪些關鍵資產需要防範哪些潛在的威脅。

TARA技術有多種選擇,包括眾所皆知的Microsoft STRIDE。即透過考慮縮寫詞STRIDE所表示的六大威脅來對威脅建模:欺騙(S)、篡改(T)、否認(R)、資訊披露(I)、拒絕服務(D)和許可權提升(E)。然後,可以將其應用於構成wBMS系統的元件的不同介面,如圖5所示。這些介面是資料和控制流路徑上的自然暫停點,潛在攻擊者可能會藉此對系統資產進行未經授權的存取。在這種情況下,透過扮演攻擊者並詢問自己,每個威脅與每個介面的相關程度有多高以及為什麼,可以找出可能的攻擊路徑,並確定威脅發生的可能性,以及如果攻擊得逞,後果可能有多嚴重。然後,在生命週期的不同階段重複這個思維過程,因為可能的威脅和影響因產品所處的環境(例如倉庫與部署)而有所不同,此資訊將指出需要某些對策。

 

圖5:wBMS的威脅面考慮。

 

以部署期間的無線行動通訊監視器與wBMS管理器之間的無線通道為例,如圖5所示。如果資產是來自無線行動通訊監視器的資料,擔心將資料值洩漏給竊聽者,那麼可能需要在資料透過無線通道時加密資料。如果擔心資料透過通道被篡改,那麼可能需要利用資料完整性機制(例如消息完整性程式碼)保護資料。如果擔心有人識別出資料來自何處,那麼需要一種方法來對與wBMS管理器通訊的無線行動通訊監視器進行身份驗證。

透過此練習,就能明確wBMS系統的關鍵安全目標,如圖6所示。這些目標將要求建置一些機制。

 

圖6:wBMS的安全目標。

 

很多時候,我們要回答這樣一個問題:「為了實現特定安全目標而選擇某些機制時,我們願意付出多大代價?」如果增加更多因應措施,則幾乎肯定會改善產品的整體安全態勢,但代價會很大,而且可能為使用產品的最終消費者帶來不必要的不便,一個常見策略是減輕可能性最大且最容易佈部署的威脅。更複雜的攻擊往往針對較高價值的資產,可能需要更強的安全對策,但這種情況極不可能發生,因此如果果進行的話,回報並不划算。

例如,在wBMS中,當車輛正在道路上行駛時,對IC元件進行物理篡改以獲得對電池資料測量的存取權是極不可能發生的,因為要對行駛中的車輛零件動手腳,需要一個訓練有素且對電動車電池有深厚瞭解的機修工。如果存在更容易的途徑,現實生活中的攻擊者很可能會嘗試這樣的路徑。對網路系統的常見攻擊類型是拒絕服務(DOS)攻擊——使得使用者無法使用產品。可以創建可攜式無線干擾器來嘗試干擾wBMS功能(很難),但也可以為車胎放氣(容易)。

利用一組適當的緩解措施應對風險的步驟稱為風險分析。透過衡量相關威脅在引入適當對策前後的影響和可能性,可以確定殘留風險是否已被合理地最小化。最終結果是,之所以納入安全特性,是因為這些安全特性是必須的,並且其成本是客戶可以接受的。

wBMS的TARA指向wBMS安全性的兩個重要方面:元件級安全性和無線網路安全性。

任何安全系統的第一規則都是「維護金鑰安全!」這表示在元件上和我們的全球製造業務中都要如此。ADI的wBMS元件安全性考慮了硬體、IC和IC上的低階軟體,並確保系統能夠從無法改變的記憶體安全引導到可信平台以供執行程式碼。所有軟體程式碼在執行之前都要進行身份驗證,任何現場軟體更新都需要預先安裝的憑據提供授權。系統部署到車輛中之後,禁止回滾到先前(且可能易受攻擊)的軟體版本。此外,系統部署後便要鎖定除錯埠,從而消除透過未經授權的後門存取系統的可能性。

網路安全性目的在保護wBMS單元監視節點與電池包外殼內的網路管理器之間的無線通訊。安全性從加入網路開始,所有參與節點的成員資格都要進行檢查,如此可以防止隨機節點加入網路,哪怕其碰巧是附近的節點。在應用層對與網路管理器通訊的節點進行相互認證,將能進一步保護無線通訊通道,使得中間人攻擊者無法充當合法節點來與管理器通訊,反之亦然。此外,為了確保只有目標接收者可以存取資料,使用基於AES的加密來擾亂資料,防止資訊洩漏給任何潛在的竊聽者。

保護金鑰

和所有安全系統一樣,安全性的核心是一組加密演算法和金鑰。ADI的wBMS遵循NIST批准的指導方針,表示所選的演算法和金鑰大小應與適合靜態資料保護的最低安全強度128位元一致(例如AES-128、SHA-256、EC-256),並使用經過充分測試的無線通訊標準(例如IEEE 802.15.4)中的演算法。

保障元件安全所用的金鑰通常是在ADI製造過程中安裝的,並且永遠不會離開IC元件。確保系統安全性的這些金鑰則由IC元件在物理上加以保護,無論在使用時還是未使用時,未經授權的存取均會被阻止。然後,分層金鑰框架將所有應用層金鑰作為加密二進位大物件(blob)保存在非易失性記憶體中保護起來,包括網路安全中使用的金鑰。

為了便於網路中節點的相互認證,ADI的wBMS在製造期間將一個唯一公開金鑰對和一個簽名的公開金鑰證書置入了每個wBMS節點。透過簽章憑證,節點可以驗證與之通訊的是另一個合法ADI節點和有效網路成員,而唯一公開金鑰對由該節點用在金鑰協議方案中,以與另一個節點或BMS控制器建立安全通訊通道。此種方法的一個好處是wBMS安裝更容易,不需要安全安裝環境,因為節點被設定為在部署後自動處理網路安全性。

相較之下,過去使用預共用金鑰建立秘密頻道的方案通常需要一個安全的安裝環境和安裝程式來手動寫入通訊端點的金鑰值。為了簡化和降低處理金鑰分佈問題的成本,為網路中的所有節點分配一個預設公共網路金鑰通常是許多人採用的捷徑。這常常導致「一處崩潰,全盤崩潰」的災難發生,必須引以為戒。

隨著生產規模的擴大,車廠需要能夠將具有不同數量無線節點的相同wBMS用於不同的電動車平台,並安裝在不同的安全製造或維修場所,ADI傾向使用分散式金鑰方法來降低整體金鑰管理的複雜性。

結論

只有在電動車電池的全壽命週期內確保從元件到網路的安全性,才能實現wBMS技術的全部優勢。基於此考量,安全性要求採取系統級設計理念來涵蓋過程和產品。

ADI認識到ISO/SAE 21434標準在草案期間解決的核心網路安全問題,並在自己的wBMS設計和開發過程中採納了相關因應措施。我們自豪地成為首批在政策和流程方面實現ISO/SAE 21434合規性的技術供應商,目前ADI的wBMS技術正接受最高網路安全保障等級認證。

參考電路

1.Shane O’Mahony。「電動車無線電池管理革命已經開始,投資回報潛力巨大」。ADI,2021年11月。

2.ISO/SAE 21434:2021-道路車輛。ISO,2021年。

本文同步刊登於EE Times China 9月號雜誌

 

 

 

加入我們官方帳號LINE@,最新消息一手掌握!

發表評論