5G/6G-Kommunikationsnetze
TSN-MACsec IP-Core sichert Datenübertragung
Industrielle Digitalisierung und Vernetzung erfordern nicht nur hohe Datenübertragungsraten, sondern auch höchste Sicherheit. Aktuelle 5G- und kommende 6G-Netze müssen sowohl funktionale Sicherheit als auch Datensicherheit gewährleisten. Ein neuartiger TSN-MACsec IP-Core vereint beide Aspekte.
Das Projekt »RealSec5G«, in dem das Fraunhofer-Institut für Photonische Mikrosysteme IPMS gemeinsam mit der Aconnic AG den neuen IP-Cote entwickelt hat, verfolgt das Ziel, die funktionale Sicherheit (Safety) und die Datensicherheit (Security) in einem kosteneffizienten und einfach zu integrierenden System zu kombinieren. Die Integration von Cyber-Sicherheit, also den Security-Aspekten, in TSN-Umgebungen ermöglicht es, kritische Datenströme nicht nur zeitgerecht zu übermitteln, sondern diese auch vor unbefugtem Zugriff und Manipulation zu schützen. Der entwickelte IP-Core hat nun beide Standards kombiniert. Er bietet eine Linespeed-Verschlüsselung und garantiert eine hohe Leistung und Verfügbarkeit bei minimalen Latenzzeiten.
Technische Umsetzung
Die technische Implementierung des TSN-MACsec IP-Cores erfolgte mit der Hardwarebeschreibungssprache System Verilog. Dabei wurde insbesondere darauf geachtet, dass eine Überführung der IP-Cores in unterschiedliche Technologien mit den marktüblichen Synthesewerkzeugen möglich ist. Damit kann die Baugruppe sowohl in anwendungsspezifischen, integrierten Schaltkreisen (ASICs) als auch in frei programmierbare Gate Arrays (FPGA) problemlos eingesetzt werden. Für die durchgeführten Untersuchungen wurden Prototypen im FPGA realisiert, um das System unmittelbar praktisch zu testen und verschiedene Ansätze evaluieren zu können.
Time-Sensitive Networking (TSN)
TSN ist eine Erweiterung der Ethernet-Technologie, die deterministische Übertragungen ermöglicht (Bild 1). Der TSN IP-Core des Fraunhofer IPMS nutzt die folgenden Mechanismen:
- Zeitsynchronisation: Implementierung des Precision Time Protocol (PTP) gemäß IEEE 802.1AS zur Synchronisation aller Netzwerkgeräte.
- Priorisierung von Datenströmen: Sicherstellung, dass zeitkritische Informationen vorrangig behandelt werden.
- Bandbreitenreservierung: Sicherstellung, dass ausreichend Netzwerkressourcen für die Übertragung zeitkritischer Daten zur Verfügung stehen.
Diese Funktionen garantieren, dass Daten zuverlässig und pünktlich übertragen werden. Der IMPS-TSN-IP-Core unterstützt zudem verschiedene Standards, darunter Traffic Shaping (IEEE 802.1Qav) und Frame Preemption (IEEE 802.3br). Für die Anwendung standen im Wesentlichen die vorhandenen Datenpfade und notwendige Berechnungen, zum Beispiel für Prüfsummen und hohe Geschwindigkeiten, im Fokus.
Media Access Control Security (MACsec)
MACsec ist ein internationaler Sicherheitsstandard, der die Vertraulichkeit und Integrität von Daten in Ethernet-Netzwerken gewährleistet. Für die gemeinsame Implementierung mit dem TSN-Core wurde der bestehende MACsec IP-Core so optimiert, dass die Verschlüsselung in Echtzeit erfolgt und dass sich möglichst geringe und konstante Latenzzeiten ergeben. Dafür ist es wichtig, dass die Ethernet-Datenpakete zur Verarbeitung nicht erst im MACsec IP-Core zwischengespeichert, sondern umgehend weitergeleitet werden. Eine Speicherung würde die Latenzzeit sehr stark von der Datenlänge abhängig machen, der IP-Core wäre somit nicht für die Integration mit TSN geeignet.
Die Vermeidung einer Zwischenspeicherung ist jedoch nicht uneingeschränkt möglich, da die Verarbeitung erst beginnen kann, wenn bestimmte Informationen auf dem IP-Core eingehen. Eine minimale Zwischenspeicherung nach dem »First-in-First-Out«-Prinzip kann aber so gestaltet werden, dass die Latenzzeit konstant ist und damit gut bei der Zeitsynchronisierung berücksichtigt werden kann. Im Gesamtsystem muss aber berücksichtigt werden, dass im MACsec erst am Ende des Frames, also am Ende einer Dateneinheit, entschieden werden kann, ob dieser valide ist.
Die Implementierung (Bild 2) nutzt den Advanced Encryption Standard (AES) mit Galois Counter Mode (GCM) zur Gewährleistung der Sicherheit. Um die gewünschte hohe Verarbeitungsgeschwindigkeit zu erreichen, müsste hier ein ressourcenintensives Pipelining angewendet werden.
Integration von TSN und MACsec
Die Kombination beider Technologien stellt sicher, dass sowohl die funktionale Sicherheit als auch die Datensicherheit in einem einzigen System erreicht werden. Zwei Hauptkonzepte wurden entwickelt:
- Konzept 1: Der MACsec-IP-Core wird zwischen der physischen Protokollebene und dem TSN-Core integriert (Bild 3).
- Konzept 2: Der MACsec wird nach dem TSN IP-Core integriert, sodass die Zeitsynchronisation bereits unbeeinflusst durchgeführt wurde (Bild 4). Das entspricht der für den MACsec im OSI-Schichtenmodell üblicherweise vorgesehenen Position. Der MACsec und der TSN IP-Core können damit ohne individuelle Eingriffe problemlos kombiniert werden. Allerdings werden die Zeitstempel hier nicht ebenfalls vom MACsec validiert.
Positive Ergebnisse unter realen Testbedingungen
Die Tests umfassten simulierte Angriffsszenarien sowie Performance-Tests unter realistischen Bedingungen. Dabei konnten vielversprechende Ergebnisse erreicht werden:
| Testparameter | Ergebnis |
|---|---|
| Datenübertragungsrate | Bis zu 10 Gbit/s |
| Latenzzeit | Unter 1 ms |
| Integrität der Daten | 100% erfolgreich |
| Leistungsaufnahme | Noch nicht untersucht |
Die Tests zeigen, dass die Integration beider IP-Cores erfolgreich war, ohne negative Auswirkungen auf die Übertragungsgeschwindigkeit oder die Genauigkeit der Zeitstempel. Bild 5 zeigt die Implementierung beider Aufbauten auf FPGA-Boards.
Konzept 1 erfordert eine tiefgreifende Verzahnung des MACsec und des TSN IP-Cores und kann nur erfolgen, wenn in beide Cores inhaltlich eingegriffen und die Strukturebenen aufgeweicht werden. Das ist aber beispielsweise bei der Verwendung von »Third Party«-IP-Cores meistens nicht möglich.
Konzept 2 hingegen kann leicht angewendet werden und beeinflusst die Qualität der bestehenden TSN-Lösung nicht. Ob es kritisch ist, dass die Zeitstempel nicht vom sicherheitsspezifischen MACsec-Standard profitieren, muss individuell je nach Anwendungsszenario beurteilt werden. So kann MACsec einen manipulierten Zeitstempel zwar erkennen, aber nicht wieder herstellen. Ein konkreter Angriff auf TSN-Zeitstempel ist also ein separat zu betrachtendes Aufgabenfeld, denn auch die in TSN enthaltenen Mechanismen bieten bereits eine gewisse Schutzleistung.
Technische Details und Optimierungen
Zusätzlich zu den grundlegenden Funktionen des kombinierten TSN-MACsec IP-Cores wurden während und nach den Tests zahlreiche Optimierungen vorgenommen, um die Effizienz und Leistung zu steigern. Neben der bereits erwähnten Pipelining-Architektur und der Direktverarbeitung wurde die Verarbeitungsbreite der Schnittstellen erhöht, um die gewünschten hohen Datenraten zu erfüllen. Es erfolgte eine flexible Gestaltung mithilfe von Syntheseparametern, so dass die IP-Cores in verschiedene Zielsysteme ohne Mehraufwand einpassbar sind (Bild 6).
Die optimierte Speicherverwaltung trägt zur Minimierung der Latenz bei der Datenübertragung bei und bringt weitere positive Effekte bei der Anwendung der Cores mit sich. Diese technischen Details unterstreichen die Innovationskraft des Projekts und die Bemühungen, sowohl Sicherheit als auch Leistung in modernen Kommunikationsnetzen zu gewährleisten.
Branchenübergreifende Relevanz
Die Integration von MACsec in TSN-Umgebungen eröffnet zahlreiche Anwendungsmöglichkeiten in verschiedenen Bereichen, darunter:
Verkehr und Transport: sicherer Datenaustausch in autonomen Fahrzeugen und intelligenten Verkehrssteuerungssystemen.
- Energie: Schutz kritischer Infrastruktur in Smart Grids.
- Gesundheitswesen: sicherer Austausch von Daten zwischen medizinischen Geräten.
- Telekommunikation: Verbesserung der Netzwerksicherheit in 5G- und 6G-Infrastrukturen.
- Darüber hinaus können die Ergebnisse auf weitere industrielle Kommunikationslösungen übertragen werden, insbesondere in der Industrie 4.0 und bei Cyber-Physischen Systemen (CPS).
Ein potenzielles Folgethema des Projekts könnte die Kombination der Ergebnisse mit Quantentechnologien sein, um die künftigen Sicherheitsanforderungen im Hinblick auf Post-Quanten-Kryptografie zu adressieren. Dr. Alexander Noack, Leiter des Geschäftsfeldes Data Communication and Computing am Fraunhofer IPMS, betont:
| »Die Kombination der Ethernet-IP-Core-Standards TSN und MACsec ist ein entscheidender Schritt in Richtung einer sicheren Kommunikation in 5G/6G-Netzen.« |
|---|
Der entwickelte TSN-MACsec IP-Core stellt einen bedeutenden Fortschritt in der sicheren Datenübertragung für moderne Kommunikationsnetze und die vernetzte Welt dar. Durch die Integration von TSN und MACsec können Unternehmen die Herausforderungen der digitalen Zukunft effizient meistern und neue Anwendungen in einem sich schnell entwickelnden Technologiefeld realisieren. (uh)
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
UWB voranbringen
STMicroelectronics tritt dem FiRa-Vorstand bei
Schnell von Maschinendaten zu Infos
IIoT-Plattform mit Sensoren und Edge-Gateways
Fehlende Sicherheitsstrukturen
Cybersecurity-Report: Verantwortlichkeiten oft unklar
Cybersecurity, KI und 5G
Was die Embedded- und IoT-Welt 2025 antreibt
Healthcare-Netzwerke
5G für die Patientenversorgung
AI & Electronics in Medicine 2024
Drahtlose Medizintechnik: Vom NFC-Diagnose-Kit ins 6G-Krankenhaus
