基于ESAM安全模塊的電動汽車電池管理系統(tǒng)

　　0 引言
　　能源緊張和氣候變化使具有節(jié)能環(huán)保優(yōu)勢的電動汽車受到了全球的關注。電動汽車采用清潔能源電能作為動力，是未來交通的長遠解決方案［1］。對于個人用戶而言，充電時需要到就近的充電站或充電樁進行充電，充電時間較長，如選擇電池快充，則對電池損傷較大。如當前車內電池電量不足且時間較緊，則需常備備用電池隨時進行更替。電動汽車電池體積較大，操作不易且成本較高，如個人購買備用電池勢必將造成個人基礎投入的提高，造成電動汽車在個人用戶中難以推廣。因此，由充電站或電池租賃公司常備多塊電池，由公司統(tǒng)一對電池進行充電和維護，根據需求為使用者進行電池更換。電動汽車的電能補充以換電方式為主。
　　該方式具有以下優(yōu)點：降低了用戶的基礎投入；延長電池的使用壽命；提高電池的利用率；有助于解決充電網點外的緊急情況；租賃公司利用峰谷電統(tǒng)一進行充電，有利于整體電網的調配等。由于使用換電模式，電池將在多用戶多地域間進行流通，在電池進行更換時根據電池狀況進行資費結算，因此電動汽車電池需與不同使用者的信息（如車牌號等）掛鉤。一方面，需要保證使用者的個人信息不被泄露;另一方面，又需要保證電池在流通使用時的資產安全。此時，電池資產的所屬者（如充電站或電池租賃公司），對于電動汽車電池管理的安全性要求大大提高。
　　本文將ESAM安全模塊與射頻模塊相結合，形成新的安全性更高的電池安全模塊RF收發(fā)器，將其安裝在電動汽車電池中，同時，設置與該ESAM安全模塊配套的手持終端。此時，將使用者的個人信息以及電池的資產信息存儲在ESAM安全模塊中，不僅個人信息被進行加密，同時，在進行充電或換電時，也需首先將電池中ESAM安全模塊與智能電網的后臺售電系統(tǒng)進行認證，認證通過后才可正常進行充換電，從而保證了電池資產的安全性。
　　1 系統(tǒng)結構
　　為實現電動汽車電池管理，整套系統(tǒng)共分為以下幾部分：電動汽車電池端的電池安全RFID模塊、手持機、固定讀頭、后臺管理系統(tǒng)。
　　在電動汽車電池上加裝電池安全RFID模塊，簡稱電池模塊。該模塊用于實現電池信息存儲、數據加解密認證、數據交互傳輸等功能，主要由MCU、ESAM及射頻發(fā)射RF收發(fā)器構成。系統(tǒng)組織結構如圖1所示。

　　2 電池端的電池安全RFID模塊
　　2.1 ESAM安全模塊
　　ESAM（Enbedded Secure Access Module）嵌入式安全控制模塊是以專用高性能安全微處理器為硬件平臺，具有內部獨立的片上操作系統(tǒng)（Card Operating System，簡稱COS）的嵌入式安全產品，除了具有防檢測、抗攻擊、自毀等硬件特性外，還具有安全的文件密鑰管理和完善的安全機制，以及標準的加解密運算功能等特性。內部結構包括微處理器、加密協(xié)處理器、真隨機數發(fā)生器、ROM、RAM、EEPROM以及數據I/O口［2］。
　　由于ESAM安全模塊具有以上安全特性，因此，將電動汽車電池的關鍵數據存儲在ESAM模塊中。對于不同的電池數據進行分類管理，按安全性需求設置為透明文件或不透明文件，即數據通信時是否進行加密。
　　2.2 主控MCU作用
　　在電池模塊上，選擇適當的單片機作為MCU，目前該模塊選用STM32芯片作為MCU，包括多個的外設接口，可以同時連接汽車本身的BMS系統(tǒng)、ESAM安全模塊以及射頻發(fā)射RF收發(fā)器，可以實現多個模塊間的數據交互，同時在進行數據交互時對數據進行協(xié)議處理運算。
　　2.3 RF收發(fā)器
　　電池模塊上的RF收發(fā)器與MCU通過SPI接口進行連接，同時，在手持機側配置相同的RF收發(fā)器，兩者設置相同的無線通信頻率，即可實現無線數據通信。
　　同時，由于RF收發(fā)器可以實現多個標簽同時處理，因此，也可在電池管理倉庫門口設置固定的無線通信讀頭，便于倉儲的出入庫管理。
　　3 手持機/固定讀頭
　　手持機/固定讀頭為對電池模塊進行信息讀寫的設備，區(qū)別為手持機為移動讀寫設備，主要用于在野外的緊急換電或倉儲內的盤庫清點等場合，可攜帶性高，包含顯示屏、鍵盤及人機交互系統(tǒng)等外圍輔助，便于操作人員應用。而固定讀頭主要用于倉庫出入庫等固定地點，利用RF收發(fā)器可實現多個標簽同時讀取、后臺處理的特性，快捷地進行出入庫管理。
　　在手持機上具備可選的GPRS模塊，用于手持機采集信息后可通過GPRS與后臺主站及時進行數據更新。對于關鍵數據，在通過GPRS公網進行傳輸時進行加密，以免在公網傳輸過程中被他人截獲或進行篡改［3］。
　　在手持機或固定讀頭設備終端內均需配置PSAM卡，PSAM卡即銷售點終端安全存取模塊（Purchase Secure Access Module），用于商戶POS、網點終端、直聯終端等末端設備上，負責機具的安全控管［4］。該PSAM卡與電池模塊中的ESAM對應配套發(fā)行，用于在數據交換中的加解密操作。
　　4 后臺管理系統(tǒng)
　　由于電動汽車電池在運行使用時，可能在多用戶、多地域間進行流通，后臺管理系統(tǒng)主要用于全部信息的存儲及管理。可通過手持機或固定讀頭從電池安全模塊中讀出信息，并最終匯總在后臺管理系統(tǒng)中，便于統(tǒng)一的資產控制及信息管理。
　　在后臺系統(tǒng)對應安裝加密機，以應對對上傳數據的加解密處理。
　　5 ESAM的安全實現機制
　　根據數據安全要求不同，電池模塊與外界的數據交換可以采用以下4種模式：明文、密文、明文加校驗或密文加校驗模式。對數據的加密可以保證數據的可靠性，而數據完整性和對發(fā)送方的認證通過使用校驗碼來實現。加密模式就是將要傳送的報文數據加密變換后再傳輸；校驗模式就是對要傳送的報文數據使用一個算法進行加密得到一個4 B的校驗碼MAC，打包到要傳送的數據中一起傳輸，接收方收到數據后根據MAC對數據進行判別；而加密校驗模式兼取二者之長［5］。
　　5.1 身份認證
　　在電池模塊ESAM中取隨機數并進行加密計算產生認證數據，上傳至及手持終端，再由手持終端中的PSAM卡進行內部認證密文計算，核對兩方產生內部認證密文是否一致，以實現終端設備對電池模塊合法性的認證，流程如圖2所示。
　　隨機數由ESAM中內置的真隨機數發(fā)生器產生，真隨機數發(fā)生器利用內部的電磁白噪聲產生隨機數，消除了偽隨機數因周期性而被預測的可能，從而保證了加密過程的安全性［6］。

　　5.2 數據交互流程
　　當身份認證通過后，才可進入下一步的數據交互流程，即電池模塊與外界的手持機或充電樁進行通信和數據交互。
　　對于存儲在電池模塊中的數據，以數據文件的重要程度分別進行分類，按不同的安全級別進行讀寫等操作的權限設置。安全性要求越高，加密等級越高，通信時的加密方式級別也對應較高；安全性要求較低，加密等級也可相應降低，即對應加密方式可降低或為透明不加密，用以提高通信速度及減低冗余計算。因此，根據對安全等級的不同需求，通信方式采用明文、密文、明文+校驗、密文+校驗4種方式。
　　在電池模塊的ESAM中，密鑰文件加密等級最高，由于在電池管理系統(tǒng)中使用的ESAM安全芯片為硬加密方式，因此所有密鑰文件均不可更改，但可自由使用，安全等級最高，用于對傳輸數據的加解密。
　　其余數據，如應用信息文件，則根據安全等級分為透明文件及不透明文件。如充電文件、資產信息等由于涉及到資產歸屬以及充電次數及金額等重要信息，因此對安全性需求較高，此部分文件屬于不透明文件，在進行交互通信時，使用密文+校驗方式，以保證在空間傳輸過程中時無法被第三方進行破譯察看及修改；部分電池運行信息文件則無需進行mac校驗，使用密文方式進行通信；如電池地址查詢、廣播校時等查詢操作，由于不涉及用戶或所有者隱私信息，則可無需經由ESAM加解密，在主站與電池模塊間直接使用明文進行通信，以節(jié)省通信時間。
　　5.3 安全管理系統(tǒng)
　　由于安全模塊的加解密功能，因此，電動汽車電池在流通過程中，將和后臺主站間通過配套的密鑰系統(tǒng)連接起來，從而實現對電動汽車電池的資產控制。
　　當電動汽車電池在進行充電時，電動汽車內模塊通過BMS與充電樁進行通信，只有身份認證通過后，充電樁才會對電池進行充電。同時，在交互過程時充電樁也可讀出電池模塊內相關信息并傳輸至后臺系統(tǒng)備份，操作人員可以通過后臺系統(tǒng)隨時查詢電池的流通去向。
　　相同的讀寫設備也可以配置在固定讀頭或手持機上，用于在出入庫或是人員手動查詢電池資產信息。
　　除了在程序算法流程上確保安全外，在應用管理系統(tǒng)方面，在后臺系統(tǒng)軟件及手持機上分別設置權限等級不同的登陸密碼，用于對系統(tǒng)內信息的安全管理。
　　6 結束語
　　作為未來可能的交通工具的發(fā)展方向之一，電動汽車的發(fā)展顯得尤為引人關注。其中，電動汽車電池是電動汽車中的最為重要組成部分和核心技術之一。本文基于ESAM安全模塊、手持終端，引入對電動汽車電池管理系統(tǒng)改善的設計方法，提高電池的資產管理安全性，使其更為系統(tǒng)、安全、便捷，對于未來電動汽車進一步的推廣和應用有著深重的影響。