基于ESAM安全模塊的電動(dòng)汽車(chē)電池管理系統(tǒng)

0 引言

能源緊張和氣候變化使具有節(jié)能環(huán)保優(yōu)勢(shì)的電動(dòng)汽車(chē)受到了全球的關(guān)注。電動(dòng)汽車(chē)采用清潔能源電能作為動(dòng)力，是未來(lái)交通的長(zhǎng)遠(yuǎn)解決方案[1]。對(duì)于個(gè)人用戶(hù)而言，充電時(shí)需要到就近的充電站或充電樁進(jìn)行充電，充電時(shí)間較長(zhǎng)，如選擇電池快充，則對(duì)電池?fù)p傷較大。如當(dāng)前車(chē)內(nèi)電池電量不足且時(shí)間較緊，則需常備備用電池隨時(shí)進(jìn)行更替。電動(dòng)汽車(chē)電池體積較大，操作不易且成本較高，如個(gè)人購(gòu)買(mǎi)備用電池勢(shì)必將造成個(gè)人基礎(chǔ)投入的提高，造成電動(dòng)汽車(chē)在個(gè)人用戶(hù)中難以推廣。因此，由充電站或電池租賃公司常備多塊電池，由公司統(tǒng)一對(duì)電池進(jìn)行充電和維護(hù)，根據(jù)需求為使用者進(jìn)行電池更換。電動(dòng)汽車(chē)的電能補(bǔ)充以換電方式為主。

該方式具有以下優(yōu)點(diǎn)：降低了用戶(hù)的基礎(chǔ)投入;延長(zhǎng)電池的使用壽命;提高電池的利用率;有助于解決充電網(wǎng)點(diǎn)外的緊急情況;租賃公司利用峰谷電統(tǒng)一進(jìn)行充電，有利于整體電網(wǎng)的調(diào)配等。由于使用換電模式，電池將在多用戶(hù)多地域間進(jìn)行流通，在電池進(jìn)行更換時(shí)根據(jù)電池狀況進(jìn)行資費(fèi)結(jié)算，因此電動(dòng)汽車(chē)電池需與不同使用者的信息(如車(chē)牌號(hào)等)掛鉤。一方面，需要保證使用者的個(gè)人信息不被泄露;另一方面，又需要保證電池在流通使用時(shí)的資產(chǎn)安全。此時(shí)，電池資產(chǎn)的所屬者(如充電站或電池租賃公司)，對(duì)于電動(dòng)汽車(chē)電池管理的安全性要求大大提高。

本文將ESAM安全模塊與射頻模塊相結(jié)合，形成新的安全性更高的電池安全模塊RF收發(fā)器，將其安裝在電動(dòng)汽車(chē)電池中，同時(shí)，設(shè)置與該ESAM安全模塊配套的手持終端。此時(shí)，將使用者的個(gè)人信息以及電池的資產(chǎn)信息存儲(chǔ)在ESAM安全模塊中，不僅個(gè)人信息被進(jìn)行加密，同時(shí)，在進(jìn)行充電或換電時(shí)，也需首先將電池中ESAM安全模塊與智能電網(wǎng)的后臺(tái)售電系統(tǒng)進(jìn)行認(rèn)證，認(rèn)證通過(guò)后才可正常進(jìn)行充換電，從而保證了電池資產(chǎn)的安全性。

1 系統(tǒng)結(jié)構(gòu)

為實(shí)現(xiàn)電動(dòng)汽車(chē)電池管理，整套系統(tǒng)共分為以下幾部分：電動(dòng)汽車(chē)電池端的電池安全RFID模塊、手持機(jī)、固定讀頭、后臺(tái)管理系統(tǒng)。

在電動(dòng)汽車(chē)電池上加裝電池安全RFID模塊，簡(jiǎn)稱(chēng)電池模塊。該模塊用于實(shí)現(xiàn)電池信息存儲(chǔ)、數(shù)據(jù)加解密認(rèn)證、數(shù)據(jù)交互傳輸?shù)裙δ?，主要由MCU、ESAM及射頻發(fā)射RF收發(fā)器構(gòu)成。系統(tǒng)組織結(jié)構(gòu)如圖1所示。

2 電池端的電池安全RFID模塊

2.1 ESAM安全模塊

ESAM(Enbedded Secure Access Module)嵌入式安全控制模塊是以專(zhuān)用高性能安全微處理器為硬件平臺(tái)，具有內(nèi)部獨(dú)立的片上操作系統(tǒng)(Card Operating System，簡(jiǎn)稱(chēng)COS)的嵌入式安全產(chǎn)品，除了具有防檢測(cè)、抗攻擊、自毀等硬件特性外，還具有安全的文件密鑰管理和完善的安全機(jī)制，以及標(biāo)準(zhǔn)的加解密運(yùn)算功能等特性。內(nèi)部結(jié)構(gòu)包括微處理器、加密協(xié)處理器、真隨機(jī)數(shù)發(fā)生器、ROM、RAM、EEPROM以及數(shù)據(jù)I/O口[2]。

由于ESAM安全模塊具有以上安全特性，因此，將電動(dòng)汽車(chē)電池的關(guān)鍵數(shù)據(jù)存儲(chǔ)在ESAM模塊中。對(duì)于不同的電池?cái)?shù)據(jù)進(jìn)行分類(lèi)管理，按安全性需求設(shè)置為透明文件或不透明文件，即數(shù)據(jù)通信時(shí)是否進(jìn)行加密。

2.2 主控MCU作用

在電池模塊上，選擇適當(dāng)?shù)膯纹瑱C(jī)作為MCU，目前該模塊選用STM32芯片作為MCU，包括多個(gè)的外設(shè)接口，可以同時(shí)連接汽車(chē)本身的BMS系統(tǒng)、ESAM安全模塊以及射頻發(fā)射RF收發(fā)器，可以實(shí)現(xiàn)多個(gè)模塊間的數(shù)據(jù)交互，同時(shí)在進(jìn)行數(shù)據(jù)交互時(shí)對(duì)數(shù)據(jù)進(jìn)行協(xié)議處理運(yùn)算。

2.3 RF收發(fā)器

電池模塊上的RF收發(fā)器與MCU通過(guò)SPI接口進(jìn)行連接，同時(shí)，在手持機(jī)側(cè)配置相同的RF收發(fā)器，兩者設(shè)置相同的無(wú)線(xiàn)通信頻率，即可實(shí)現(xiàn)無(wú)線(xiàn)數(shù)據(jù)通信。

同時(shí)，由于RF收發(fā)器可以實(shí)現(xiàn)多個(gè)標(biāo)簽同時(shí)處理，因此，也可在電池管理倉(cāng)庫(kù)門(mén)口設(shè)置固定的無(wú)線(xiàn)通信讀頭，便于倉(cāng)儲(chǔ)的出入庫(kù)管理。

3 手持機(jī)/固定讀頭

手持機(jī)/固定讀頭為對(duì)電池模塊進(jìn)行信息讀寫(xiě)的設(shè)備，區(qū)別為手持機(jī)為移動(dòng)讀寫(xiě)設(shè)備，主要用于在野外的緊急換電或倉(cāng)儲(chǔ)內(nèi)的盤(pán)庫(kù)清點(diǎn)等場(chǎng)合，可攜帶性高，包含顯示屏、鍵盤(pán)及人機(jī)交互系統(tǒng)等外圍輔助，便于操作人員應(yīng)用。而固定讀頭主要用于倉(cāng)庫(kù)出入庫(kù)等固定地點(diǎn)，利用RF收發(fā)器可實(shí)現(xiàn)多個(gè)標(biāo)簽同時(shí)讀取、后臺(tái)處理的特性，快捷地進(jìn)行出入庫(kù)管理。

在手持機(jī)上具備可選的GPRS模塊，用于手持機(jī)采集信息后可通過(guò)GPRS與后臺(tái)主站及時(shí)進(jìn)行數(shù)據(jù)更新。對(duì)于關(guān)鍵數(shù)據(jù)，在通過(guò)GPRS公網(wǎng)進(jìn)行傳輸時(shí)進(jìn)行加密，以免在公網(wǎng)傳輸過(guò)程中被他人截獲或進(jìn)行篡改[3]。

在手持機(jī)或固定讀頭設(shè)備終端內(nèi)均需配置PSAM卡，PSAM卡即銷(xiāo)售點(diǎn)終端安全存取模塊(Purchase Secure Access Module)，用于商戶(hù)POS、網(wǎng)點(diǎn)終端、直聯(lián)終端等末端設(shè)備上，負(fù)責(zé)機(jī)具的安全控管[4]。該P(yáng)SAM卡與電池模塊中的ESAM對(duì)應(yīng)配套發(fā)行，用于在數(shù)據(jù)交換中的加解密操作。[!--empirenews.page--]

4 后臺(tái)管理系統(tǒng)

由于電動(dòng)汽車(chē)電池在運(yùn)行使用時(shí)，可能在多用戶(hù)、多地域間進(jìn)行流通，后臺(tái)管理系統(tǒng)主要用于全部信息的存儲(chǔ)及管理。可通過(guò)手持機(jī)或固定讀頭從電池安全模塊中讀出信息，并最終匯總在后臺(tái)管理系統(tǒng)中，便于統(tǒng)一的資產(chǎn)控制及信息管理。

在后臺(tái)系統(tǒng)對(duì)應(yīng)安裝加密機(jī)，以應(yīng)對(duì)對(duì)上傳數(shù)據(jù)的加解密處理。

5 ESAM的安全實(shí)現(xiàn)機(jī)制

根據(jù)數(shù)據(jù)安全要求不同，電池模塊與外界的數(shù)據(jù)交換可以采用以下4種模式：明文、密文、明文加校驗(yàn)或密文加校驗(yàn)?zāi)Ｊ健?duì)數(shù)據(jù)的加密可以保證數(shù)據(jù)的可靠性，而數(shù)據(jù)完整性和對(duì)發(fā)送方的認(rèn)證通過(guò)使用校驗(yàn)碼來(lái)實(shí)現(xiàn)。加密模式就是將要傳送的報(bào)文數(shù)據(jù)加密變換后再傳輸;校驗(yàn)?zāi)Ｊ骄褪菍?duì)要傳送的報(bào)文數(shù)據(jù)使用一個(gè)算法進(jìn)行加密得到一個(gè)4 B的校驗(yàn)碼MAC，打包到要傳送的數(shù)據(jù)中一起傳輸，接收方收到數(shù)據(jù)后根據(jù)MAC對(duì)數(shù)據(jù)進(jìn)行判別;而加密校驗(yàn)?zāi)Ｊ郊嫒《咧L(zhǎng)[5]。

5.1 身份認(rèn)證

在電池模塊ESAM中取隨機(jī)數(shù)并進(jìn)行加密計(jì)算產(chǎn)生認(rèn)證數(shù)據(jù)，上傳至及手持終端，再由手持終端中的PSAM卡進(jìn)行內(nèi)部認(rèn)證密文計(jì)算，核對(duì)兩方產(chǎn)生內(nèi)部認(rèn)證密文是否一致，以實(shí)現(xiàn)終端設(shè)備對(duì)電池模塊合法性的認(rèn)證，流程如圖2所示。

隨機(jī)數(shù)由ESAM中內(nèi)置的真隨機(jī)數(shù)發(fā)生器產(chǎn)生，真隨機(jī)數(shù)發(fā)生器利用內(nèi)部的電磁白噪聲產(chǎn)生隨機(jī)數(shù)，消除了偽隨機(jī)數(shù)因周期性而被預(yù)測(cè)的可能，從而保證了加密過(guò)程的安全性[6]。

5.2 數(shù)據(jù)交互流程

當(dāng)身份認(rèn)證通過(guò)后，才可進(jìn)入下一步的數(shù)據(jù)交互流程，即電池模塊與外界的手持機(jī)或充電樁進(jìn)行通信和數(shù)據(jù)交互。

對(duì)于存儲(chǔ)在電池模塊中的數(shù)據(jù)，以數(shù)據(jù)文件的重要程度分別進(jìn)行分類(lèi)，按不同的安全級(jí)別進(jìn)行讀寫(xiě)等操作的權(quán)限設(shè)置。安全性要求越高，加密等級(jí)越高，通信時(shí)的加密方式級(jí)別也對(duì)應(yīng)較高;安全性要求較低，加密等級(jí)也可相應(yīng)降低，即對(duì)應(yīng)加密方式可降低或?yàn)橥该鞑患用?，用以提高通信速度及減低冗余計(jì)算。因此，根據(jù)對(duì)安全等級(jí)的不同需求，通信方式采用明文、密文、明文+校驗(yàn)、密文+校驗(yàn)4種方式。

在電池模塊的ESAM中，密鑰文件加密等級(jí)最高，由于在電池管理系統(tǒng)中使用的ESAM安全芯片為硬加密方式，因此所有密鑰文件均不可更改，但可自由使用，安全等級(jí)最高，用于對(duì)傳輸數(shù)據(jù)的加解密。

其余數(shù)據(jù)，如應(yīng)用信息文件，則根據(jù)安全等級(jí)分為透明文件及不透明文件。如充電文件、資產(chǎn)信息等由于涉及到資產(chǎn)歸屬以及充電次數(shù)及金額等重要信息，因此對(duì)安全性需求較高，此部分文件屬于不透明文件，在進(jìn)行交互通信時(shí)，使用密文+校驗(yàn)方式，以保證在空間傳輸過(guò)程中時(shí)無(wú)法被第三方進(jìn)行破譯察看及修改;部分電池運(yùn)行信息文件則無(wú)需進(jìn)行mac校驗(yàn)，使用密文方式進(jìn)行通信;如電池地址查詢(xún)、廣播校時(shí)等查詢(xún)操作，由于不涉及用戶(hù)或所有者隱私信息，則可無(wú)需經(jīng)由ESAM加解密，在主站與電池模塊間直接使用明文進(jìn)行通信，以節(jié)省通信時(shí)間。

5.3 安全管理系統(tǒng)

由于安全模塊的加解密功能，因此，電動(dòng)汽車(chē)電池在流通過(guò)程中，將和后臺(tái)主站間通過(guò)配套的密鑰系統(tǒng)連接起來(lái)，從而實(shí)現(xiàn)對(duì)電動(dòng)汽車(chē)電池的資產(chǎn)控制。

當(dāng)電動(dòng)汽車(chē)電池在進(jìn)行充電時(shí)，電動(dòng)汽車(chē)內(nèi)模塊通過(guò)BMS與充電樁進(jìn)行通信，只有身份認(rèn)證通過(guò)后，充電樁才會(huì)對(duì)電池進(jìn)行充電。同時(shí)，在交互過(guò)程時(shí)充電樁也可讀出電池模塊內(nèi)相關(guān)信息并傳輸至后臺(tái)系統(tǒng)備份，操作人員可以通過(guò)后臺(tái)系統(tǒng)隨時(shí)查詢(xún)電池的流通去向。

相同的讀寫(xiě)設(shè)備也可以配置在固定讀頭或手持機(jī)上，用于在出入庫(kù)或是人員手動(dòng)查詢(xún)電池資產(chǎn)信息。

除了在程序算法流程上確保安全外，在應(yīng)用管理系統(tǒng)方面，在后臺(tái)系統(tǒng)軟件及手持機(jī)上分別設(shè)置權(quán)限等級(jí)不同的登陸密碼，用于對(duì)系統(tǒng)內(nèi)信息的安全管理。

6 結(jié)束語(yǔ)

作為未來(lái)可能的交通工具的發(fā)展方向之一，電動(dòng)汽車(chē)的發(fā)展顯得尤為引人關(guān)注。其中，電動(dòng)汽車(chē)電池是電動(dòng)汽車(chē)中的最為重要組成部分和核心技術(shù)之一。本文基于ESAM安全模塊、手持終端，引入對(duì)電動(dòng)汽車(chē)電池管理系統(tǒng)改善的設(shè)計(jì)方法，提高電池的資產(chǎn)管理安全性，使其更為系統(tǒng)、安全、便捷，對(duì)于未來(lái)電動(dòng)汽車(chē)進(jìn)一步的推廣和應(yīng)用有著深重的影響。