IP-säkerhet för inbyggda system sker genom kryptering. Säkerhetsprotokollet läggs vanligen i en inbyggnadsprocessor eller en hjälpprocessor. Irländska Amphion tar dock ett nytt grepp med sina processorkärnor för kryptering som direkt kan byggas in i kislet.
Många inbyggda tillämpningar handhar säkerhetskritiska system som övervakning, flygledning eller trafiken i telekommunikationsnäten. Detta i sin tur ställer krav på att inbyggda tillämpningar har ett omfattande stöd för IP-säkerhet, då detta inte finns inbyggt i Internetprotokollet från början.
Flexibelt med hjälpprocessor
TCP/IP-stacken säkras genom kryptering, något som i sig är prestandakrävande. Det utgör ofta ett problem för små, inbyggda system med internetkoppling, och det finns flera vägar att gå för att lösa det problemet. Den mer konventionella lösningen är att lägga säkerhetsprotokollet i inbyggnadsprocessorn. Andra menar att man genom att lägga säkerhetsprotokollet i en speciell hjälpprocessorer som hakas på en vanlig processor får en mer flexibel lösning. Hjälpprocessorn krypterar ingående data till huvudprocessorn, och dekrypterar utgående data.
Att lägga säkerhetsprotokollet direkt i inbyggnadsprocessorn kräver investeringar och utvecklingstid för varje ny processor. En hjälpprocessor kan istället hängas på valfri inbyggd processorkärna och därmed ge en mer generell lösning som inte behöver anpassas till de olika processorerna.
En sådan hjälpprocessor är Cryptomaniac. Den har tagits fram vid Advanced Computer Architecture Laboratory vid universitetet i Michigan. Cryptomaniac är en snabb, strömsnål och flexibel hjälpprocessor för kryptering, som använder sig av den officiella amerikanska krypteringsstandarden AES. AES bygger på algoritmen Rijndael, en symmetrisk algoritm med nyckellängder på 128, 192 och 256 bitar. Cryptomaniac kör Rijndael 2,25 gånger snabbare än en 600 MHz Alpha 21264-processor, bland annat genom att utnyttja parallellismen i kommunikationsprotokollen.
Cryptomaniac har en 32-bitars processorkärna med vliw-arkitektur (very long instruction word) för inbyggda tillämpningar. Krypteringsalgoritmen körs snabbt tack vare att alla instruktioner är mikrokodade. Detta sägs ske så snabbt att det är transparent för användaren.
Säkerhet direkt i kislet
Ett tredje sätt att få plats med säkerhetsprotokollet är att göra TCP/IP-stacken distribuerad. Svenska OSE Systems jobbar på en lösning där den kompletta stacken ska ligga på en styrkrets, som exempelvis PowerPC, Arm eller Mips. IP forwarding engine, som är TCP/IP-stackens gränssnitt ut mot nätet, kan däremot ligga på en digital signalprocessor som kan köra både Macprotokollet och Internetprotokollet samtidigt, eller på en nätverksprocessor. Signalprocessorn eller nätverksprocessorn kan sedan i sin tur ligga på en server eller basstation.
- Det man vinner med att göra TCP/IP-stacken distribuerad är dels att det inte finns plats för så mycket på signalprocessorerna, dels att man vill hålla systemet litet och effektivt, säger Marie Samuelsson, produktchef för IP-infrastruktur på Enea-bolaget OSE Systems.
- Alternativet skulle vara att lägga en hel TCP/IP-stack både på styrkretsen och på en DSP eller en nätverksprocessor, men då förlorar man i prestanda, säger hon.
OSE Systems har ett eget internetprotokoll för inbyggda system som heter OSE Inet. Det kan exempelvis användas i wap-telefoner eller styrsystem i basstationer.
OSE har löst datasäkerheten genom att komplettera Inet med IPsec- och IKE-moduler, där IPsec är en säker version av internetprotokollet, medan IKE (Internet Key Exchange) är en krypteringsnyckelhanterare. Modulerna har tagits fram av likaledes svenska leverantören Interpeak.
Det irländska halvledarföretaget Amphion, som tidigare hette ISS, Integrated Silicon Systems, har konstruktörer inriktade på inbyggda system som främsta målgrupp. I dagarna släpper Amphion något de kallar för CS5210-80-serien, och som utgörs av inte mindre än 22 tillämpningsspecifika processorkärnor för kryptering enligt AES. Amphion har optimerat CS5210-5280-serien för Apex20K, en PLD från Alteras Apex-serie, samt FPGA:er ur Xilinx kretsfamilj Virtex-II.
IP-kärnorna från Amphion finns som programvarukomponenter i en syntetiserbar kod, färdiga att integreras i system-på-kisel, asicar och i programmerbara logiska enheter från företag som Altera eller Xilinx. Genom att använda Amphions kärnor i en programmerbar logisk krets behövs inga externa processorer för krypteringen, utan man kan lägga allt på samma chips. De tillämpningsspecifika kärnorna för AES-tillämpningar underlättar direkt implementering av krypteringsalgoritmen Rijndael i kiselhårdvara.
Torun Bager