Verkkoliikenteen salausratkaisu automaatiojärjestelmään
Asikainen, Paavo (2025)
2025
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-05-28
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202505225955
https://urn.fi/URN:NBN:fi:tuni-202505225955
Tiivistelmä
Teollisuuden alat ovat yhä riippuvaisempia automaatiosta, mikä tekee automaatiojärjestelmistä yhteiskunnan toiminnan kannalta kriittisiä. Ne ovat keskeisessä roolissa esimerkiksi prosessiteollisuudessa ja kriittisessä infrastruktuurissa, joiden häiriöt voivat aiheuttaa tuotantokatkoksia, vaaratilanteita tai laajamittaisia yhteiskunnallisia seurauksia.
Perinteisesti automaatioverkkojen liikenne on ollut salaamatonta, sillä ensisijaisia tavoitteita ovat olleet saatavuus ja reaaliaikaisuus. Diplomityön tavoitteena oli suunnitella, toteuttaa ja tuotteistaa verkkoliikenteen salausratkaisu Valmet DNAe -automaatiojärjestelmään vastaamaan nykyaikaisia uhkia. Työn taustalla oli automaatioverkkojen kehitys kohti TCP/IP-pohjaista tiedonsiirtoa ja lisääntyneet ulkoiset uhkat, jotka ovat luoneet tarpeen suojata myös verkkoliikenteen luottamuksellisuus, eheys ja todennus.
Työssä esiteltiin ja vertailtiin kolmea vaihtoehtoista salausprotokollaa teknisten ominaisuuksien ja automaation asettamien vaatimusten osalta. Nämä protokollat olivat IPsec, DTLS ja WireGuard. Vertailun perusteella IPsec valittiin salausratkaisun toteutusmenetelmäksi, koska se täyttää automaatioympäristön keskeiset vaatimukset tietoturvan, suorituskyvyn sekä käytännön toteutuksen näkökulmasta. Erityisesti IPsecin ESP-protokolla kuljetustilassa mahdollistaa sovelluksille läpinäkyvän mutta turvallisen salausratkaisun ilman laajoja muutostarpeita automaatiojärjestelmään.
Suunniteltu IPsec-pohjainen salausratkaisu konfiguroitiin testijärjestelmään. Salausratkaisua testattiin kattavasti useasta näkökulmasta. Salaus kohdistettiin prosessiverkkojen väliseen UDP-pohjaiseen liikenteeseen, ja todennus toteutettiin X.509-varmenteilla. Suojausassosiaatioiden muodostaminen vahvalla todennuksella, hallinta ja uudelleenneuvottelu testattiin, ja niillä varmistettiin salausyhteyksien turvallinen elinkaaren hallinta. Suorituskykytestit osoittivat, että AES-GCM-128-algoritmia hyödyntävä IPsec-salaus ei vaikuttanut merkittävästi järjestelmän suorituskykyyn. Sovellustestauksessa varmistettiin, että ratkaisu ei aiheuta häiriöitä automaatiojärjestelmän normaalille toiminnalle.
Testattu ratkaisu tuotteistettiin keskitetysti hallittavaksi ja automatisoiduksi prosessiksi, joka mahdollistaa salausratkaisun käyttöönoton sekä ylläpidon myös ilman syvällistä tietoturvaosaamista. Järjestelmän tila pysyy jatkuvasti seurattavana keskitetyn lokien keruun avulla, mikä tehostaa häiriöiden havaitsemista ja hallintaa.
Lopputuloksena syntyi teknisesti turvallinen ja operatiivisesti läpinäkyvä IPsec-pohjainen salausratkaisu, joka integroituu osaksi automaatioympäristön infrastruktuuria. Ratkaisun merkitys korostuu erityisesti sen kyvyssä suojata prosessiliikenne ilman, että järjestelmän toimintavarmuus, saatavuus tai reaaliaikaisuus vaarantuu. Diplomityö toimii konkreettisena ja todennetusti toimivana esimerkkinä siitä, kuinka verkkoliikenteen salausratkaisu voidaan integroida automaatiojärjestelmään. Industrial sectors are increasingly dependent on automation, making automation systems critical to society. They play a key role in sectors such as process industries and critical infrastructure, where failures can cause production downtime, incidents or large-scale societal consequences.
Traditionally, network traffic in automation environments has been unencrypted, as the primary goals have been availability and real-time performance. The objective of this thesis was to design, implement, and productize a network traffic encryption solution for the Valmet DNAe automation system to address modern threats. The background for the work is the evolution of automation networks towards TCP/IP-based technologies and the increased external threats, which have created the need to protect the confidentiality, integrity, and authenticity of network traffic.
Three alternative encryption protocols were presented and compared in terms of technical characteristics and automation requirements. These protocols were IPsec, DTLS and WireGuard. Based on the comparison, IPsec was selected as the implementation method for the network traffic encryption solution because it meets the security, performance, and implementation requirements of the automation environment. Specifically, IPsec's ESP protocol in transport mode enables a transparent and secure encryption solution, ensuring application compatibility without significant modifications to the automation system.
The designed IPsec-based encryption solution was configured in a test system and extensively tested. Encryption was targeted at UDP-based traffic between process networks, and authentication was implemented with X.509 certificates. The establishment of security associations with strong authentication, management, and re-negotiation were tested to ensure the secure lifecycle management of encrypted connections. Performance tests indicated that IPsec encryption utilizing the AES-GCM-128 algorithm did not significantly affect the system's performance. Application testing ensured that the solution did not cause disruptions to the normal operation of the automation system.
The tested solution was productized into a centrally managed and automated process that allows the deployment and maintenance of the encryption solution even without deep cybersecurity expertise. The state of the system is continuously monitored through centralized log collection, enhancing the detection and management of disruptions.
The result was a technically secure and operationally transparent IPsec-based encryption solution that integrates into the infrastructure of the automation environment. The significance of the solution is particularly emphasized in its ability to protect process traffic without compromising the system's reliability, availability, or real-time performance. The thesis serves as a concrete and proven example of how a network traffic encryption solution can be integrated into an automation system.
Perinteisesti automaatioverkkojen liikenne on ollut salaamatonta, sillä ensisijaisia tavoitteita ovat olleet saatavuus ja reaaliaikaisuus. Diplomityön tavoitteena oli suunnitella, toteuttaa ja tuotteistaa verkkoliikenteen salausratkaisu Valmet DNAe -automaatiojärjestelmään vastaamaan nykyaikaisia uhkia. Työn taustalla oli automaatioverkkojen kehitys kohti TCP/IP-pohjaista tiedonsiirtoa ja lisääntyneet ulkoiset uhkat, jotka ovat luoneet tarpeen suojata myös verkkoliikenteen luottamuksellisuus, eheys ja todennus.
Työssä esiteltiin ja vertailtiin kolmea vaihtoehtoista salausprotokollaa teknisten ominaisuuksien ja automaation asettamien vaatimusten osalta. Nämä protokollat olivat IPsec, DTLS ja WireGuard. Vertailun perusteella IPsec valittiin salausratkaisun toteutusmenetelmäksi, koska se täyttää automaatioympäristön keskeiset vaatimukset tietoturvan, suorituskyvyn sekä käytännön toteutuksen näkökulmasta. Erityisesti IPsecin ESP-protokolla kuljetustilassa mahdollistaa sovelluksille läpinäkyvän mutta turvallisen salausratkaisun ilman laajoja muutostarpeita automaatiojärjestelmään.
Suunniteltu IPsec-pohjainen salausratkaisu konfiguroitiin testijärjestelmään. Salausratkaisua testattiin kattavasti useasta näkökulmasta. Salaus kohdistettiin prosessiverkkojen väliseen UDP-pohjaiseen liikenteeseen, ja todennus toteutettiin X.509-varmenteilla. Suojausassosiaatioiden muodostaminen vahvalla todennuksella, hallinta ja uudelleenneuvottelu testattiin, ja niillä varmistettiin salausyhteyksien turvallinen elinkaaren hallinta. Suorituskykytestit osoittivat, että AES-GCM-128-algoritmia hyödyntävä IPsec-salaus ei vaikuttanut merkittävästi järjestelmän suorituskykyyn. Sovellustestauksessa varmistettiin, että ratkaisu ei aiheuta häiriöitä automaatiojärjestelmän normaalille toiminnalle.
Testattu ratkaisu tuotteistettiin keskitetysti hallittavaksi ja automatisoiduksi prosessiksi, joka mahdollistaa salausratkaisun käyttöönoton sekä ylläpidon myös ilman syvällistä tietoturvaosaamista. Järjestelmän tila pysyy jatkuvasti seurattavana keskitetyn lokien keruun avulla, mikä tehostaa häiriöiden havaitsemista ja hallintaa.
Lopputuloksena syntyi teknisesti turvallinen ja operatiivisesti läpinäkyvä IPsec-pohjainen salausratkaisu, joka integroituu osaksi automaatioympäristön infrastruktuuria. Ratkaisun merkitys korostuu erityisesti sen kyvyssä suojata prosessiliikenne ilman, että järjestelmän toimintavarmuus, saatavuus tai reaaliaikaisuus vaarantuu. Diplomityö toimii konkreettisena ja todennetusti toimivana esimerkkinä siitä, kuinka verkkoliikenteen salausratkaisu voidaan integroida automaatiojärjestelmään.
Traditionally, network traffic in automation environments has been unencrypted, as the primary goals have been availability and real-time performance. The objective of this thesis was to design, implement, and productize a network traffic encryption solution for the Valmet DNAe automation system to address modern threats. The background for the work is the evolution of automation networks towards TCP/IP-based technologies and the increased external threats, which have created the need to protect the confidentiality, integrity, and authenticity of network traffic.
Three alternative encryption protocols were presented and compared in terms of technical characteristics and automation requirements. These protocols were IPsec, DTLS and WireGuard. Based on the comparison, IPsec was selected as the implementation method for the network traffic encryption solution because it meets the security, performance, and implementation requirements of the automation environment. Specifically, IPsec's ESP protocol in transport mode enables a transparent and secure encryption solution, ensuring application compatibility without significant modifications to the automation system.
The designed IPsec-based encryption solution was configured in a test system and extensively tested. Encryption was targeted at UDP-based traffic between process networks, and authentication was implemented with X.509 certificates. The establishment of security associations with strong authentication, management, and re-negotiation were tested to ensure the secure lifecycle management of encrypted connections. Performance tests indicated that IPsec encryption utilizing the AES-GCM-128 algorithm did not significantly affect the system's performance. Application testing ensured that the solution did not cause disruptions to the normal operation of the automation system.
The tested solution was productized into a centrally managed and automated process that allows the deployment and maintenance of the encryption solution even without deep cybersecurity expertise. The state of the system is continuously monitored through centralized log collection, enhancing the detection and management of disruptions.
The result was a technically secure and operationally transparent IPsec-based encryption solution that integrates into the infrastructure of the automation environment. The significance of the solution is particularly emphasized in its ability to protect process traffic without compromising the system's reliability, availability, or real-time performance. The thesis serves as a concrete and proven example of how a network traffic encryption solution can be integrated into an automation system.