汽車電氣化趨勢已勢不可擋。這一變革將有助于減少污染和化石燃料的消耗，為環(huán)境保護和可持續(xù)發(fā)展帶來顯著的好處。當前的技術(shù)進步正在加速電氣化進程。如今的電動汽車在一次充電后的續(xù)航里程已可媲美加滿油的傳統(tǒng)內(nèi)燃機汽車，同時在加速性能方面也毫不遜色，甚至更勝一籌。全球每年生產(chǎn)約1億輛新車，鋰離子電池的應用達到了空前的規(guī)模。電動汽車(EV)制造商將因此面臨一系列新的挑戰(zhàn)，而妥善應對這些挑戰(zhàn)已成為行業(yè)的當務之急。首先，安全始終是首要考量，這不僅關(guān)乎車內(nèi)人員，對行人和其他車輛中的人員也同樣重要。其次，隨著使用壽命有限的車用電池的大規(guī)模部署，必須關(guān)注可持續(xù)能源和環(huán)境問題。最后，電動汽車電池是高價值部件，更換成本高昂。這可能會誘發(fā)盜竊行為，催生被盜電池的黑市交易。如果汽車原始設(shè)備制造商(OEM)對這三個問題處理不慎，不僅會造成自身品牌聲譽受損，而且正品OEM更換電池的銷售收入也會流失。電動汽車電池的安全認證可以幫助解決這些問題。ADI公司還提供有線電池管理系統(tǒng)(BMS)拓撲解決方案。本篇文章重點關(guān)注了有線BMS應用，并詳細介紹能夠增強電動汽車電池安全性的汽車安全認證器。如果您希望結(jié)合無線電池管理系統(tǒng)(wBMS)解決方案實現(xiàn)電池認證功能，請聯(lián)系ADI公司代表。配備DS28C40等認證器的電池模組可從源頭確保安全。

安全與防護往往相互依存。就汽車而言，如果關(guān)鍵系統(tǒng)的安全性得不到保障，車輛的整體安全性就可能被削弱。以鋰離子電池為例，產(chǎn)品制造缺陷可能引發(fā)火災和爆炸¹。與OEM認證產(chǎn)品相比，未經(jīng)授權(quán)的制造商所生產(chǎn)的電池價格可能較低，但在結(jié)構(gòu)用料和安全檢測方面往往不達標。大多數(shù)電池雖不至于引起火災，但性能下降可能間接損害OEM的品牌聲譽。正品電池在汽車中結(jié)束使用壽命后，通常仍具備“第二次生命”的潛力，可重新部署于固定式儲能中心。為了防止正品OEM電池被重新用于其他車輛，應通過不可逆的報廢程序?qū)⑵渫艘?。?shù)字認證技術(shù)讓汽車能夠識別所連接電池的真?zhèn)?，確保僅使用正品電池，拒絕假冒產(chǎn)品。ADI公司的DS28C40和DS28E40認證器就屬于此類設(shè)備，不僅提供認證功能，還能將電池使用記錄安全存放在存儲器中，實現(xiàn)可追溯性。制造信息、服務信息和退役狀態(tài)等關(guān)鍵信息，可以輕松存儲在由認證器數(shù)字簽名的安全一次性可編程(OTP)存儲器中。

隨著鋰離子電池逐漸老化，其單次充電所能儲存的能量及可提供的峰值電流都會下降，導致電動汽車續(xù)航里程縮短和整體性能下降。每年有數(shù)千萬至數(shù)億的電池包退役，二次利用是提升能源可持續(xù)性的重要途徑²。固定式儲能中心能夠非常有效地儲存能源，并且平抑風能、太陽能等波動性較大的可再生能源的電力輸出。退役的電動汽車電池非常適合重新部署到這些固定式儲能中心。可追溯性依然重要，不僅要記錄電池加入儲能中心的時間，還要追蹤電池的各項性能指標。

圖1 電動汽車電池生命周期

如今，大多數(shù)電動汽車電池包難以拆卸，因此并非盜竊的主要目標。另一方面，一些OEM提出了輕松更換電池包的策略³：建立一個配備預充電電池包和專用電池包存取設(shè)備的換電站體系，讓駕駛員能在極短時間內(nèi)完成補能，比現(xiàn)有燃油車(ICE)加油還要迅捷。由于電動汽車電池價值高昂，這種做法無疑容易招來竊賊。通過身份驗證器將電池與特定車輛綁定，可以有效防止竊賊將電池從原車拆下后，再安裝到其他車輛上。為實現(xiàn)這一機制，授權(quán)換電站在日常電池更換操作中，必須能夠連接到電池電子控制單元(ECU)，并啟動與授權(quán)電池的配對過程。服務站設(shè)備可能需要通過云連接，為汽車OEM提供合法配對操作記錄的審計路徑。這種方法所需的基礎(chǔ)設(shè)施相當龐大。因此，倡導換電策略的OEM是否會繼續(xù)推進實施，仍有待觀察。

實施電動汽車電池認證

質(zhì)詢-響應身份驗證的優(yōu)勢

上文探討了電動汽車電池認證和退役處理的不同動因，包括防止電池在未經(jīng)授權(quán)的情況下再次用于電動汽車。接下來，我們將明確提出一種足夠強大的實施方案，以真正確保用戶安全和車輛性能，同時保護汽車OEM的經(jīng)濟利益和品牌聲譽。

一些看似直觀的方法，例如通過序列號追蹤或?qū)?shù)據(jù)存儲在無安全防護的存儲器中，往往容易被攻破，缺乏足夠的安全強度：一名具備中等技術(shù)水平并使用低成本設(shè)備的黑客，一般在半天時間內(nèi)就能繞過此類安全措施。身份驗證方法的強度應與所需應對的挑戰(zhàn)相匹配。強身份驗證需要借助加密手段。對于許多應用而言，質(zhì)詢-響應認證已被證明是驗證設(shè)備或備件身份的首選技術(shù)。

圖2 通過質(zhì)詢-響應認證，在不泄露任何秘密信息的情況下對電池進行認證

采用對稱和非對稱方案的質(zhì)詢-響應身份驗證

質(zhì)詢-響應認證必須以強健的算法作為支撐。ADI公司的DS2478、DS28C40和DS28E40支持以下算法：

●   安全哈希算法(SHA)，它基于汽車BMS和電芯之間的共享密鑰，是一種對稱方案。

●   基于橢圓曲線數(shù)字簽名算法(ECDSA)的非對稱方案，它在模組中使用私鑰，在汽車側(cè)BMS上使用公鑰。

圖3 采用基于SHA-256的對稱方案實現(xiàn)質(zhì)詢-響應認證

圖4 采用基于ECDSA的非對稱方案實現(xiàn)質(zhì)詢-響應認證

ECDSA和SHA算法被密碼專家公認為安全性較高的算法，并已由美國國家標準與技術(shù)研究院(NIST)實現(xiàn)標準化。

DS2478、DS28C40和DS28E40均符合汽車AEC-Q100標準，專為子系統(tǒng)或備件認證而設(shè)計。它們支持認證所需的基本特性，避免了市面上解決方案的功能堆砌和過度設(shè)計。

這些安全IC中的硬件加速器支持SHA-256和ECDSA計算。

現(xiàn)在，我們來探討對稱和非對稱認證方法的優(yōu)點與局限性。

基于SHA-256的對稱方案的主要優(yōu)點是性能。雖然SHA-256是一種高安全性算法，但其復雜度適中。因此，它計算速度很快，運行一個模組的質(zhì)詢-響應認證大約需要5ms。 

該方案要求特定汽車和車上所有電池模組共享同一密鑰。

安裝此類共享密鑰的一種可能方法如下：

電池供應商和OEM（以及授權(quán)維修機構(gòu)）最初共享一個主密鑰。

利用DS28C40或DS28E40提供的唯一ID和該主密鑰，一端的電池供應商和另一端的安裝機構(gòu)為特定模組計算出唯一的派生共享密鑰。所述派生密鑰采用SHA-256算法來計算。此計算由電池模組側(cè)的DS28C40/DS28E40執(zhí)行，也可由汽車/電池管理側(cè)的DS2478執(zhí)行。

圖5 派生密鑰計算

挑戰(zhàn)在于，一級主密鑰必須始終受到保護。為此，往往需要在供應鏈的各個環(huán)節(jié)設(shè)立安全設(shè)施，但這樣做不僅實施難度大，而且成本高昂。ADI公司可以代表OEM或一級客戶設(shè)置主密鑰，從而免除他們保護設(shè)施物理安全的負擔，并克服對稱加密方法的一個主要弱點。

另一方面，基于ECDSA的非對稱認證方案的主要優(yōu)點是避免了共享密鑰。此外，基于證書的方案支持每個電池模組實現(xiàn)唯一密鑰對。

圖6 制造期間板載密鑰對的生成和證書安裝過程

圖7 基于證書的身份驗證

該方案的一個主要優(yōu)點是，模組可以憑借其獨有的私鑰進行認證，該私鑰始終駐留在DS28C40或DS28E40的安全存儲器中。顯然，相較于共享密鑰方案，私鑰遭到泄露的風險要低得多。唯一需要設(shè)施安全防護的環(huán)節(jié)是認證機構(gòu)使用其私鑰對證書進行簽名的操作。此環(huán)節(jié)可由OEM或電池供應商使用所謂的硬件安全模塊，通過合理的投入來完成，而無需為整個設(shè)施提供物理安全防護。密鑰對生成和證書簽名也可以委托給ADI公司，OEM或電池供應商收到的器件可直接集成，無需額外配置。

但在享受這種靈活性的同時，也要付出一定的代價：每次電池認證，都需要運行兩次ECDSA驗證操作，導致認證執(zhí)行時間延長。在模組以菊花鏈方式連接的配置中，每次引擎啟動都需要較長的認證時間，因此這種方案的實用性大打折扣。

為了克服這一缺點，同時仍然保留基于SHA-256的認證的優(yōu)勢及性能，配置共享密鑰的一種替代方法是利用DS28C40的非對稱加密能力：DS28C40支持橢圓曲線Diffie-Hellman (ECDH)算法。該算法支持為兩個相互認證的實體計算一個共享密鑰。

圖8 使用Diffie-Hellman算法建立共享密鑰

在此方案中，密鑰和證書分別安裝在電池和車輛中。證書受相關(guān)認證機構(gòu)的信任。認證過程可能涉及多家電池供應商的認證機構(gòu)及多家電池管理控制器一級供應商。

安裝時，在汽車和電池模組進行ECDSA相互認證之后，使用ECDH算法在汽車電池管理控制器(BMC)和電池模組上計算共享密鑰。計算發(fā)生在BMC側(cè)的DS2478上及電池模組側(cè)的DS28C40/DS28E40上，得到的共享密鑰存儲在DS28C40或DS28E40的安全存儲器中。每次需要認證操作時，可以使用共享密鑰運行HMAC/SHA-256身份驗證。耗時的非對稱認證和共享密鑰計算只需在安裝期間進行一次，電池認證期間性能不受影響。這樣既能在汽車啟動時發(fā)揮SHA-256的性能優(yōu)勢，又能確保密鑰在整個供應鏈中不會被泄露。

得益于非對稱加密和證書的靈活性，上述方案可以適應更復雜的供應鏈組織。有關(guān)所有可能版本的更多信息，請聯(lián)系A(chǔ)DI公司代表。

公鑰證書存儲使汽車OEM能夠：

●   利用現(xiàn)有公鑰基礎(chǔ)設(shè)施(PKI)來管理OEM和一級供應商密鑰。

●   實現(xiàn)車輛與電池模組的配對。

安全存儲器可以存儲和保護敏感數(shù)據(jù)，例如可追溯性信息、制造數(shù)據(jù)和生命周期信息。

與ADI電池管理系統(tǒng)相結(jié)合

有線電池管理系統(tǒng)

在ADI有線BMS中，電池管理控制器通過ISO SPI與電池模組通信。ISO SPI協(xié)議允許兩個隔離器件進行串行外設(shè)接口(SPI)通信。ISO SPI具有I2C隧道能力，支持與DS28C40連接，如圖9所示。通過這種通信媒介，BMC可以單獨驗證每個電池模組的身份。有關(guān)ISO SPI的更多信息，請參閱本文。

圖9 有線電池管理系統(tǒng)

無線電池管理系統(tǒng)

雖然ADI公司的wBMS解決方案具有內(nèi)置安全性，但對電池模組本身進行身份驗證仍然有意義。如果您對此類解決方案感興趣，請聯(lián)系A(chǔ)DI公司銷售代表。

使用安全認證器進行退役處理

正如本應用筆記第一部分所述，將退役的電動汽車電池重新部署于固定式儲能中心，是應對未來環(huán)境挑戰(zhàn)的重要舉措。

為此，必須確保這些退役電池在其性能已不符合電動汽車要求后，不再重復用于其他車輛。也就是說，應以安全且不可逆的方式對電動汽車電池模組進行退役處理。除了電池模組認證之外，DS28C40、DS28E40和DS2478還支持安全退役。一個很直觀的想法是：我們可以在電池模組附加的芯片中存儲一個“魔法值”（即任意已知的預設(shè)值），利用它來判斷電池模組是否仍可用于電動汽車，還是已經(jīng)退役。這種簡單方法只有在滿足以下條件時才有意義：

●   未經(jīng)授權(quán)的實體無法更改存儲器內(nèi)容。

●   從存儲器中讀出的值是可信的，并且在讀取時不會被修改。

否則，攻擊者只需在編程或讀取階段更改存儲器內(nèi)容，便可輕松破壞該機制，重新啟用本應退役的電池模組。

DS28C40或DS28E40及可選配的DS2478提供了確保存儲器內(nèi)容可信的機制。6kb板載一次性可編程存儲器(OTP)的用戶頁面保護設(shè)置可能根據(jù)需求進行自定義。更具體地說，通過將保護設(shè)置為“認證寫入”，可以防止未經(jīng)授權(quán)寫入頁面。

為了對寫入操作進行認證，有效載荷數(shù)據(jù)會附加哈希消息認證碼(HMAC)。HMAC是有效載荷數(shù)據(jù)和共享密鑰的函數(shù)。得益于SHA-256的數(shù)學特性，不知道密鑰就無法偽造HMAC。這樣就可以確保，只有車輛的BMC或授權(quán)服務中心才被允許對存儲魔法值的存儲器頁面進行編程。一旦魔法值被寫入板載芯片存儲器中，攻擊者就無法修改它。

讀取存儲器內(nèi)容時，DS28C40或DS28E40也會根據(jù)IC中存儲的密鑰附加HMAC，從而保證從存儲器中讀取的值是可信的。同樣，由于攻擊者不知道共享密鑰，因此無法替換從存儲器中提取的值。

圖10 寫入和讀取魔法值以確保安全退役

結(jié)語

ADI公司為各類垂直市場和應用提供身份驗證解決方案已有逾35年歷史。ADI公司的成熟技術(shù)能夠保障醫(yī)療配件和耗材的安全，防止患者使用劣質(zhì)產(chǎn)品，從而有效守護患者的健康與安全。這些技術(shù)現(xiàn)在可用來應對電動汽車和環(huán)境保護面臨的重大挑戰(zhàn)。

借助ADI公司的安全認證器，開發(fā)者能夠?qū)崿F(xiàn)強加密保護，而無需依賴復雜或過度設(shè)計且昂貴的解決方案。

參考文獻

1 “Lithium-ion battery fires are happening more often.Here's how to prevent them” | CNN Business

2 “Electric vehicles, second life batteries, and their effect on the power sector” | McKinsey

3  Innovative Smart Power Service Solution