ESAM安全模块的电动汽车电池管理系统

1、【Word版本下载可任意编辑】 ESAM安全模块的电动汽车电池管理系统 0 引言 能源紧张和气候变化使具有节能环保优势的电动汽车受到了的关注。电动汽车采用清洁能源电能作为动力，是未来交通的长远解决方案1。对于个人用户而言，充电时需要到就近的充电站或充电桩开展充电，充电时间较长，如选择电池快充，则对电池损伤较大。如当前车内电池电量缺陷且时间较紧，则需常备备用电池随时开展更替。电动汽车电池体积较大，操作不易且成本较高，如个人购买备用电池势必将造成个人根底投入的提高，造成电动汽车在个人用户中难以推广。因此，由充电站或电池租赁公司常备多块电池，由公司统一对电池开展充电和维护，根据需求为使用者开展电池更

2、换。电动汽车的电能补充以换电方式为主。 该方式具有以下优点：降低了用户的根底投入；延长电池的使用寿命；提高电池的利用率；有助于解决充电网点外的紧急情况；租赁公司利用峰谷电统一开展充电，有利于整体电网的调配等。由于使用换电模式，电池将在多用户多地域间开展流通，在电池开展更换时根据电池状况开展资费结算，因此电动汽车电池需与不同使用者的信息（如车牌号等）挂钩。一方面，需要保证使用者的个人信息不被泄露;另一方面，又需要保证电池在流通使用时的资产安全。此时，电池资产的所属者（如充电站或电池租赁公司），对于电动汽车电池管理的安全性要求大大提高。 本文将ESAM安全模块与射频模块相结合，形成新的安全性更高的

3、电池安全模块RF收发器，将其安装在电动汽车电池中，同时，设置与该ESAM安全模块配套的手持终端。此时，将使用者的个人信息以及电池的资产信息存储在ESAM安全模块中，不仅个人信息被开展加密，同时，在开展充电或换电时，也需首先将电池中ESAM安全模块与智能电网的后台售电系统开展，通过后才可正常开展充换电，从而保证了电池资产的安全性。 1 系统构造 为实现电动汽车电池管理，整套系统共分为以下几部分：电动汽车电池端的电池安全RFID模块、手持机、固定读头、后台管理系统。 在电动汽车电池上加装电池安全RFID模块，简称电池模块。该模块用于实现电池信息存储、数据加解密、数据交互传输等功能，主要由MCU、E

4、SAM及射频发射RF收发器构成。系统组织构造如图1所示。 2 电池端的电池安全RFID模块 2.1 ESAM安全模块 ESAM（Enbedded Secure Access Module）嵌入式安全控制模块是以专用高性能安全微处理器为硬件平台，具有内部独立的片上操作系统（Card Operating System，简称COS）的嵌入式安全产品，除了具有防检测、抗攻击、自毁等硬件特性外，还具有安全的文件密钥管理和完善的安全机制，以及标准的加解密运算功能等特性。内部构造包括微处理器、加密协处理器、真随机数发生器、ROM、RAM、EEPROM以及数据I/O口2。 由于ESAM安全模块具有以上安全特性

5、，因此，将电动汽车电池的关键数据存储在ESAM模块中。对于不同的电池数据开展分类管理，按安全性需求设置为透明文件或不透明文件，即数据通信时是否开展加密。 2.2 主控MCU作用 在电池模块上，选择适当的单片机作为MCU，目前该模块选用STM32芯片作为MCU，包括多个的外设接口，可以同时连接汽车本身的BMS系统、ESAM安全模块以及射频发射RF收发器，可以实现多个模块间的数据交互，同时在开展数据交互时对数据开展协议处理运算。 2.3 RF收发器 电池模块上的RF收发器与MCU通过SPI接口开展连接，同时，在手持机侧配置相同的RF收发器，两者设置相同的无线通信频率，即可实现无线数据通信。 同时，

6、由于RF收发器可以实现多个标签同时处理，因此，也可在电池管理仓库门口设置固定的无线通信读头，便于仓储的出入库管理。 3 手持机/固定读头 手持机/固定读头为对电池模块开展信息读写的设备，区别为手持机为移动读写设备，主要用于在野外的紧急换电或仓储内的盘库清点等场合，可携带性高，包含显示屏、键盘及人机交互系统等外围辅助，便于操作人员应用。而固定读头主要用于仓库出入库等固定地点，利用RF收发器可实现多个标签同时读取、后台处理的特性，快捷地开展出入库管理。 在手持机上具备可选的GPRS模块，用于手持机采集信息后可通过GPRS与后台主站及时开展数据更新。对于关键数据，在通过GPRS公网开展传输时开展加密

7、，以免在公网传输过程中被他人截获或开展篡改3。 在手持机或固定读头设备终端内均需配置PSAM卡，PSAM卡即销售点终端安全存取模块（Purchase Secure Access Module），用于商户POS、网点终端、直联终端等末端设备上，负责机具的安全控管4。该PSAM卡与电池模块中的ESAM对应配套发行，用于在数据交换中的加解密操作。 4 后台管理系统 由于电动汽车电池在运行使用时，可能在多用户、多地域间开展流通，后台管理系统主要用于全部信息的存储及管理。可通过手持机或固定读头从电池安全模块中读出信息，并终汇总在后台管理系统中，便于统一的资产控制及信息管理。 在后台系统对应安装加密机，以

8、应对对上传数据的加解密处理。 5 ESAM的安全实现机制 根据数据安全要求不同，电池模块与外界的数据交换可以采用以下4种模式：明文、密文、明文加校验或密文加校验模式。对数据的加密可以保证数据的可靠性，而数据完整性和对发送方的通过使用校验码来实现。加密模式就是将要传送的报文数据加密变换后再传输；校验模式就是对要传送的报文数据使用一个算法开展加密得到一个4 B的校验码MAC，打包到要传送的数据中一起传输，接收方收到数据后根据MAC对数据开展判别；而加密校验模式兼取二者之长5。 5.1 身份 在电池模块ESAM中取随机数并开展加密计算产生数据，上传至及手持终端，再由手持终端中的PSAM卡开展内部密文

9、计算，核对两方产生内部密文是否一致，以实现终端设备对电池模块合法性的，流程如图2所示。 随机数由ESAM中内置的真随机数发生器产生，真随机数发生器利用内部的电磁白噪声产生随机数，消除了伪随机数因周期性而被预测的可能，从而保证了加密过程的安全性6。 5.2 数据交互流程 当身份通过后，才可进入下一步的数据交互流程，即电池模块与外界的手持机或充电桩开展通信和数据交互。 对于存储在电池模块中的数据，以数据文件的重要程度分别开展分类，按不同的安全级别开展读写等操作的权限设置。安全性要求越高，加密等级越高，通信时的加密方式级别也对应较高；安全性要求较低，加密等级也可相应降低，即对应加密方式可降低或为透明

10、不加密，用以提高通信速度及减低冗余计算。因此，根据对安全等级的不同需求，通信方式采用明文、密文、明文+校验、密文+校验4种方式。 在电池模块的ESAM中，密钥文件加密等级，由于在电池管理系统中使用的ESAM安全芯片为硬加密方式，因此所有密钥文件均不可更改，但可自由使用，安全等级，用于对传输数据的加解密。 其余数据，如应用信息文件，则根据安全等级分为透明文件及不透明文件。如充电文件、资产信息等由于涉及到资产归属以及充电次数及金额等重要信息，因此对安全性需求较高，此部分文件属于不透明文件，在开展交互通信时，使用密文+校验方式，以保证在空间传输过程中时无法被第三方开展破译察看及修改；部分电池运行信息

11、文件则无需开展mac校验，使用密文方式开展通信；如电池地址查询、广播校时等查询操作，由于不涉及用户或所有者隐私信息，则可无需经由ESAM加解密，在主站与电池模块间直接使用明文开展通信，以节省通信时间。 5.3 安全管理系统 由于安全模块的加解密功能，因此，电动汽车电池在流通过程中，将和后台主站间通过配套的密钥系统连接起来，从而实现对电动汽车电池的资产控制。 当电动汽车电池在开展充电时，电动汽车内模块通过BMS与充电桩开展通信，只有身份通过后，充电桩才会对电池开展充电。同时，在交互过程时充电桩也可读出电池模块内相关信息并传输至后台系统备份，操作人员可以通过后台系统随时查询电池的流通去向。 相同的读写设备也可以配置在固定读头或手持机上，用于在出入库或是人员手动查询电池资产信息。 除了在程序算法流程上确保安全外，在应用管理系统方面，在后台系统软件及手持机上分别设置权限等级不同的登陆