汽車電氣化趨勢已勢不可擋。這一變革將有助于減少污染和化石燃料的消耗，為環境保護和可持續發展帶來顯著的好處。當前的技術進步正在加速電氣化進程。如今的電動汽車在一次充電后的續航里程已可媲美加滿油的傳統內燃機汽車，同時在加速性能方面也毫不遜色，甚至更勝一籌。全球每年生產約1億輛新車，鋰離子電池的應用達到了空前的規模。電動汽車(EV)制造商將因此面臨一系列新的挑戰，而妥善應對這些挑戰已成為行業的當務之急。首先，安全始終是首要考量，這不僅關乎車內人員，對行人和其他車輛中的人員也同樣重要。其次，隨著使用壽命有限的車用電池的大規模部署，必須關注可持續能源和環境問題。最后，電動汽車電池是高價值部件，更換成本高昂。這可能會誘發盜竊行為，催生被盜電池的黑市交易。如果汽車原始設備制造商(OEM)對這三個問題處理不慎，不僅會造成自身品牌聲譽受損，而且正品OEM更換電池的銷售收入也會流失。電動汽車電池的安全認證可以幫助解決這些問題。ADI公司還提供有線電池管理系統(BMS)拓撲解決方案。本篇文章重點關注了有線BMS應用，并詳細介紹能夠增強電動汽車電池安全性的汽車安全認證器。如果您希望結合無線電池管理系統(wBMS)解決方案實現電池認證功能，請聯系ADI公司代表。配備DS28C40等認證器的電池模組可從源頭確保安全。

安全與防護往往相互依存。就汽車而言，如果關鍵系統的安全性得不到保障，車輛的整體安全性就可能被削弱。以鋰離子電池為例，產品制造缺陷可能引發火災和爆炸1。與OEM認證產品相比，未經授權的制造商所生產的電池價格可能較低，但在結構用料和安全檢測方面往往不達標。大多數電池雖不至于引起火災，但性能下降可能間接損害OEM的品牌聲譽。正品電池在汽車中結束使用壽命后，通常仍具備“第二次生命”的潛力，可重新部署于固定式儲能中心。為了防止正品OEM電池被重新用于其他車輛，應通過不可逆的報廢程序將其退役。數字認證技術讓汽車能夠識別所連接電池的真偽，確保僅使用正品電池，拒絕假冒產品。ADI公司的DS28C40和DS28E40認證器就屬于此類設備，不僅提供認證功能，還能將電池使用記錄安全存放在存儲器中，實現可追溯性。制造信息、服務信息和退役狀態等關鍵信息，可以輕松存儲在由認證器數字簽名的安全一次性可編程(OTP)存儲器中。

隨著鋰離子電池逐漸老化，其單次充電所能儲存的能量及可提供的峰值電流都會下降，導致電動汽車續航里程縮短和整體性能下降。每年有數千萬至數億的電池包退役，二次利用是提升能源可持續性的重要途徑2。固定式儲能中心能夠非常有效地儲存能源，并且平抑風能、太陽能等波動性較大的可再生能源的電力輸出。退役的電動汽車電池非常適合重新部署到這些固定式儲能中心。可追溯性依然重要，不僅要記錄電池加入儲能中心的時間，還要追蹤電池的各項性能指標。

圖1.電動汽車電池生命周期

如今，大多數電動汽車電池包難以拆卸，因此并非盜竊的主要目標。另一方面，一些OEM提出了輕松更換電池包的策略3：建立一個配備預充電電池包和專用電池包存取設備的換電站體系，讓駕駛員能在極短時間內完成補能，比現有燃油車(ICE)加油還要迅捷。由于電動汽車電池價值高昂，這種做法無疑容易招來竊賊。通過身份驗證器將電池與特定車輛綁定，可以有效防止竊賊將電池從原車拆下后，再安裝到其他車輛上。為實現這一機制，授權換電站在日常電池更換操作中，必須能夠連接到電池電子控制單元(ECU)，并啟動與授權電池的配對過程。服務站設備可能需要通過云連接，為汽車OEM提供合法配對操作記錄的審計路徑。這種方法所需的基礎設施相當龐大。因此，倡導換電策略的OEM是否會繼續推進實施，仍有待觀察。

實施電動汽車電池認證

質詢-響應身份驗證的優勢

上文探討了電動汽車電池認證和退役處理的不同動因，包括防止電池在未經授權的情況下再次用于電動汽車。接下來，我們將明確提出一種足夠強大的實施方案，以真正確保用戶安全和車輛性能，同時保護汽車OEM的經濟利益和品牌聲譽。

一些看似直觀的方法，例如通過序列號追蹤或將數據存儲在無安全防護的存儲器中，往往容易被攻破，缺乏足夠的安全強度：一名具備中等技術水平并使用低成本設備的黑客，一般在半天時間內就能繞過此類安全措施。身份驗證方法的強度應與所需應對的挑戰相匹配。強身份驗證需要借助加密手段。對于許多應用而言，質詢-響應認證已被證明是驗證設備或備件身份的首選技術。

圖2.通過質詢-響應認證，在不泄露任何秘密信息的情況下對電池進行認證

采用對稱和非對稱方案的質詢-響應身份驗證

質詢-響應認證必須以強健的算法作為支撐。ADI公司的DS2478、DS28C40和DS28E40支持以下算法：

安全哈希算法(SHA)，它基于汽車BMS和電芯之間的共享密鑰，是一種對稱方案。

基于橢圓曲線數字簽名算法(ECDSA)的非對稱方案，它在模組中使用私鑰，在汽車側BMS上使用公鑰。

圖3.采用基于SHA-256的對稱方案實現質詢-響應認證

圖4.采用基于ECDSA的非對稱方案實現質詢-響應認證

ECDSA和SHA算法被密碼專家公認為安全性較高的算法，并已由美國國家標準與技術研究院(NIST)實現標準化。

DS2478、DS28C40和DS28E40均符合汽車AEC-Q100標準，專為子系統或備件認證而設計。它們支持認證所需的基本特性，避免了市面上解決方案的功能堆砌和過度設計。

這些安全IC中的硬件加速器支持SHA-256和ECDSA計算。

現在，我們來探討對稱和非對稱認證方法的優點與局限性。

基于SHA-256的對稱方案的主要優點是性能。雖然SHA-256是一種高安全性算法，但其復雜度適中。因此，它計算速度很快，運行一個模組的質詢-響應認證大約需要5ms。  

該方案要求特定汽車和車上所有電池模組共享同一密鑰。

安裝此類共享密鑰的一種可能方法如下：

電池供應商和OEM（以及授權維修機構）最初共享一個主密鑰。

利用DS28C40或DS28E40提供的唯一ID和該主密鑰，一端的電池供應商和另一端的安裝機構為特定模組計算出唯一的派生共享密鑰。所述派生密鑰采用SHA-256算法來計算。此計算由電池模組側的DS28C40/DS28E40執行，也可由汽車/電池管理側的DS2478執行。

圖5.派生密鑰計算

挑戰在于，一級主密鑰必須始終受到保護。為此，往往需要在供應鏈的各個環節設立安全設施，但這樣做不僅實施難度大，而且成本高昂。ADI公司可以代表OEM或一級客戶設置主密鑰，從而免除他們保護設施物理安全的負擔，并克服對稱加密方法的一個主要弱點。

另一方面，基于ECDSA的非對稱認證方案的主要優點是避免了共享密鑰。此外，基于證書的方案支持每個電池模組實現唯一密鑰對。

圖6.制造期間板載密鑰對的生成和證書安裝過程

圖7.基于證書的身份驗證

該方案的一個主要優點是，模組可以憑借其獨有的私鑰進行認證，該私鑰始終駐留在DS28C40或DS28E40的安全存儲器中。顯然，相較于共享密鑰方案，私鑰遭到泄露的風險要低得多。唯一需要設施安全防護的環節是認證機構使用其私鑰對證書進行簽名的操作。此環節可由OEM或電池供應商使用所謂的硬件安全模塊，通過合理的投入來完成，而無需為整個設施提供物理安全防護。密鑰對生成和證書簽名也可以委托給ADI公司，OEM或電池供應商收到的器件可直接集成，無需額外配置。

但在享受這種靈活性的同時，也要付出一定的代價：每次電池認證，都需要運行兩次ECDSA驗證操作，導致認證執行時間延長。在模組以菊花鏈方式連接的配置中，每次引擎啟動都需要較長的認證時間，因此這種方案的實用性大打折扣。

為了克服這一缺點，同時仍然保留基于SHA-256的認證的優勢及性能，配置共享密鑰的一種替代方法是利用DS28C40的非對稱加密能力：DS28C40支持橢圓曲線Diffie-Hellman (ECDH)算法。該算法支持為兩個相互認證的實體計算一個共享密鑰。

圖8.使用Diffie-Hellman算法建立共享密鑰

在此方案中，密鑰和證書分別安裝在電池和車輛中。證書受相關認證機構的信任。認證過程可能涉及多家電池供應商的認證機構及多家電池管理控制器一級供應商。

安裝時，在汽車和電池模組進行ECDSA相互認證之后，使用ECDH算法在汽車電池管理控制器(BMC)和電池模組上計算共享密鑰。計算發生在BMC側的DS2478上及電池模組側的DS28C40/DS28E40上，得到的共享密鑰存儲在DS28C40或DS28E40的安全存儲器中。每次需要認證操作時，可以使用共享密鑰運行HMAC/SHA-256身份驗證。耗時的非對稱認證和共享密鑰計算只需在安裝期間進行一次，電池認證期間性能不受影響。這樣既能在汽車啟動時發揮SHA-256的性能優勢，又能確保密鑰在整個供應鏈中不會被泄露。

得益于非對稱加密和證書的靈活性，上述方案可以適應更復雜的供應鏈組織。有關所有可能版本的更多信息，請聯系ADI公司代表。

公鑰證書存儲使汽車OEM能夠：

利用現有公鑰基礎設施(PKI)來管理OEM和一級供應商密鑰。

實現車輛與電池模組的配對。

安全存儲器可以存儲和保護敏感數據，例如可追溯性信息、制造數據和生命周期信息。

與ADI電池管理系統相結合

有線電池管理系統 

在ADI有線BMS中，電池管理控制器通過ISO SPI與電池模組通信。ISO SPI協議允許兩個隔離器件進行串行外設接口(SPI)通信。ISO SPI具有I2C隧道能力，支持與DS28C40連接，如圖9所示。通過這種通信媒介，BMC可以單獨驗證每個電池模組的身份。有關ISO SPI的更多信息，請參閱本文。

圖9.有線電池管理系統

無線電池管理系統

雖然ADI公司的wBMS解決方案具有內置安全性，但對電池模組本身進行身份驗證仍然有意義。如果您對此類解決方案感興趣，請聯系ADI公司銷售代表。

使用安全認證器進行退役處理

正如本應用筆記第一部分所述，將退役的電動汽車電池重新部署于固定式儲能中心，是應對未來環境挑戰的重要舉措。

為此，必須確保這些退役電池在其性能已不符合電動汽車要求后，不再重復用于其他車輛。也就是說，應以安全且不可逆的方式對電動汽車電池模組進行退役處理。除了電池模組認證之外，DS28C40、DS28E40和DS2478還支持安全退役。一個很直觀的想法是：我們可以在電池模組附加的芯片中存儲一個“魔法值”（即任意已知的預設值），利用它來判斷電池模組是否仍可用于電動汽車，還是已經退役。這種簡單方法只有在滿足以下條件時才有意義：

未經授權的實體無法更改存儲器內容。

從存儲器中讀出的值是可信的，并且在讀取時不會被修改。

否則，攻擊者只需在編程或讀取階段更改存儲器內容，便可輕松破壞該機制，重新啟用本應退役的電池模組。

DS28C40或DS28E40及可選配的DS2478提供了確保存儲器內容可信的機制。6kb板載一次性可編程存儲器(OTP)的用戶頁面保護設置可能根據需求進行自定義。更具體地說，通過將保護設置為“認證寫入”，可以防止未經授權寫入頁面。

為了對寫入操作進行認證，有效載荷數據會附加哈希消息認證碼(HMAC)。HMAC是有效載荷數據和共享密鑰的函數。得益于SHA-256的數學特性，不知道密鑰就無法偽造HMAC。這樣就可以確保，只有車輛的BMC或授權服務中心才被允許對存儲魔法值的存儲器頁面進行編程。一旦魔法值被寫入板載芯片存儲器中，攻擊者就無法修改它。

讀取存儲器內容時，DS28C40或DS28E40也會根據IC中存儲的密鑰附加HMAC，從而保證從存儲器中讀取的值是可信的。同樣，由于攻擊者不知道共享密鑰，因此無法替換從存儲器中提取的值。

圖10.寫入和讀取魔法值以確保安全退役

結語

ADI公司為各類垂直市場和應用提供身份驗證解決方案已有逾35年歷史。ADI公司的成熟技術能夠保障醫療配件和耗材的安全，防止患者使用劣質產品，從而有效守護患者的健康與安全。這些技術現在可用來應對電動汽車和環境保護面臨的重大挑戰。

借助ADI公司的安全認證器，開發者能夠實現強加密保護，而無需依賴復雜或過度設計且昂貴的解決方案。

參考文獻

1. “Lithium-ion battery fires are happening more often.Here's how to prevent them” | CNN Business
2. “Electric vehicles, second life batteries, and their effect on the power sector” | McKinsey
3. Innovative Smart Power Service Solution

©2024 Analog Devices, Inc.保留所有權利。所有商標和注冊商標均屬各自所有人所有。One Analog Way, Wilmington, MA 01887-2356, U.S.A.

關于ADI公司

Analog Devices, Inc. (NASDAQ: ADI)是全球領先的半導體公司，致力于在現實世界與數字世界之間架起橋梁，以實現智能邊緣領域的突破性創新。ADI提供結合模擬、數字和軟件技術的解決方案，推動數字化工廠、汽車和數字醫療等領域的持續發展，應對氣候變化挑戰，并建立人與世界萬物的可靠互聯。ADI公司2024財年收入超過90億美元，全球員工約2.4萬人。ADI助力創新者不斷超越一切可能。更多信息，請訪問www.analog.com/cn。