图6.wBMS的安全目标
很多时候,要回答这样一个问题:“为了实现特定安全目标而选择某些机制时,我们愿意付出多大代价?”如果增加更多应对措施,则几乎肯定会改善产品的整体安全态势,但代价会很大,而且可能给使用产品的最终消费者带来不必要的麻烦。一个常见策略是减轻可能性最大且最容易部署的威胁。更复杂的攻击往往针对较高价值的资产,可能需要更强的安全对策,但这种情况极不可能发生,因此如果实施的话,回报并不划算。
例如,在wBMS中,当车辆正在道路上行驶时,对IC器件进行物理篡改以获得对电池数据测量的访问权是极不可能发生的,因为要对行驶中的汽车的部件动手脚,需要一个训练有素且对电动汽车电池有深厚了解的机修工。如果存在更容易的途径,现实生活中的攻击者可能才会去尝试。对网络系统的常见攻击类型是拒绝服务(DOS)攻击——让用户无法使用产品。可以创建便携式无线干扰器来尝试干扰wBMS功能(很难),但也可以给车胎放气(容易)。
利用一组适当的缓解措施应对风险的步骤称为风险分析。通过衡量相关威胁在引入适当对策前后的影响和可能性,可以确定残留风险是否已被合理地最小化。最终结果是,之所以纳入安全特性,是因为这些安全特性是必须的,并且其成本是客户可以接受的。
wBMS的TARA指向wBMS安全性的两个重要方面:器件级安全性和无线网络安全性。
任何安全系统的第一规则都是“维护密钥安全!”这意味着,在器件上和全球制造业务中都要如此。ADI公司的wBMS器件安全性考虑了硬件、IC和IC上的底层软件,并确保系统能够从无法改变的存储器安全引导到可信平台以供运行代码。所有软件代码在执行之前都要进行身份验证,任何现场软件更新都需要预先安装的凭据提供授权。系统部署到车辆中之后,禁止回滚到之前(且可能易受攻击)的软件版本。此外,系统部署后便要锁定调试端口,从而消除通过未经授权的后门访问系统的可能性。
网络安全性旨在保护wBMS单元监视节点与电池包外壳内的网络管理器之间的无线通信。安全性从加入网络开始,所有参与节点的成员资格都要进行检查。这样可以防止随机节点加入网络,哪怕它们碰巧是附近的节点。在应用层对与网络管理器通信的节点进行相互认证,将能进一步保护无线通信通道,使得中间人攻击者无法充当合法节点来与管理器通信,反之亦然。此外,为了确保只有目标接收者可以访问数据,使用基于AES的加密来扰乱数据,防止信息泄漏给任何潜在的窃听者。
保护密钥
同所有安全系统一样,安全性的核心是一组加密算法和密钥。ADI公司的wBMS遵循NIST批准的指导方针,这意味着所选的算法和密钥大小应与适合静态数据保护的最低安全强度128位一致(例如AES-128、SHA-256、EC-256),并使用经过充分测试的无线通信标准(例如IEEE 802.15.4)中的算法。
保障器件安全所用的密钥通常是在ADI制造过程中安装的,并且永远不会离开IC器件。确保系统安全性的这些密钥则由IC器件在物理上加以保护,无论在使用时还是未使用时,未经授权的访问均会被阻止。然后,分层密钥框架将所有应用层密钥作为加密二进制大对象(blob)保存在非易失性存储器中保护起来,包括网络安全中使用的密钥。
为了便于网络中节点的相互认证,ADI的wBMS在制造期间将一个唯一公钥密钥对和一个签名的公钥证书置入了每个wBMS节点。通过签名证书,节点可以验证与之通信的是另一个合法ADI节点和有效网络成员,而唯一公钥密钥对由该节点用在密钥协议方案中,以与另一个节点或BMS控制器建立安全通信通道。这种方法的一个好处是wBMS安装更容易,不需要安全安装环境,因为节点被设定为在部署后自动处理网络安全性。
相比之下,过去使用预共享密钥建立安全通道的方案通常需要一个安全的安装环境和安装程序来手动写入通信端点的密钥值。为了简化和降低处理密钥分布问题的成本,为网络中的所有节点分配一个默认公共网络密钥通常是许多人采用的捷径。这常常导致“一处崩溃,满盘崩溃”的灾难发生,必须引以为戒。
随着生产规模的扩大,车厂需要能够将具有不同数量无线节点的相同wBMS用于不同的电动汽车平台,并安装在不同的安全制造或维修场所,ADI倾向使用分布式密钥方法来降低整体密钥管理的复杂性。
结论
只有在电动汽车电池的全生命周期内确保从器件到网络的安全性,才能实现wBMS技术的全部优势。考虑到这一点,安全性要求采取系统级设计理念,涵盖过程和产品。
ADI公司预料到了ISO/SAE 21434标准在草案期间解决的核心网络安全问题,并在wBMS设计和开发过程中采纳了相关应对措施。目前,ADI是首批在政策和流程方面实现ISO/SAE 21434合规性的技术供应商,ADI wBMS技术正在接受最高网络安全保障等级认证。