Julkisen avaimen infrastruktuuri ja sertifikaattien hallinta automaatiojärjestelmän laitetasolla
Sahlgren, Juha (2018)
2018
Automaatiotekniikka
Teknisten tieteiden tiedekunta - Faculty of Engineering Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2018-06-06
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201805221794
https://urn.fi/URN:NBN:fi:tty-201805221794
Tiivistelmä
Automaatioverkkoja ja erityisesti prosessiverkkoja ei voida pitää enää eristettyinä ympäristöinä, vaan TCP/IP:tä ja etähallintaa hyödyntävinä teollisuusverkkoina. Vakiintuneita tietoliikenne- ja tietoturvastandardeja on lukuisia, mutta automaatioteollisuudessa niiden soveltaminen ja käyttäminen tuovat varsin suuria haasteita erityisesti automaatiojärjestelmän resurssirajoittuneelle laitetasolle, jossa vaaditaan aikakriittisiä ja deterministisiä vasteita, reaaliaikaisuutta ja jatkuvatoimisuutta.
Tämän diplomityön tarkoituksena on tutkia ja selvittää julkisen avaimen infrastruktuurin (PKI), X.509-sertifikaattien sekä yksinkertaisen julkisen avaimen infrastruktuurin ja hajautetun tietoturvainfrastruktuurin (SPKI/SDSI) hallintamenetelmiä ja implementointimahdollisuuksia automaatiojärjestelmässä ja erityisesti sen laitetasolla. Työ perustuu selvitystyöhön kirjallisuutta ja tutkimustuloksia hyödyntäen. Rajaus on asetettu tutkimaan erityisesti kehittyvän OPC UA -standardin tietoturvaominaisuuksien soveltuvuutta automaatioverkossa. OPC UA on horisontaaliseen ja vertikaaliseen integraatioon kehitetty tehokas, skaalautuva ja alustariippumaton tiedonsiirtostandardi, jonka tavoite on kattaa tiedonsiirto laitetasolta MES-tasolle. UA:ssa käytetään salausmenetelmiä, sertifikaatteja ja digitaalisia allekirjoituksia, mutta niiden soveltaminen laitetasolla on haastavaa ja usein mahdotonta laitteiden puutteellisen muistin ja laskentakyvyn takia.
Selvitys alkaa katsauksella teollisuusautomaation järjestelmistä, kontrollihierarkiasta ja tietoliikenteen viitemalleista. Teoriaosuudessa käsitellään tietoturvaa automaatioverkoissa – erityisesti tietoturvan merkitystä, päämääriä ja riskejä. OPC UA:n yksityiskohtainen toiminta, informaatiomallit, profiilit, palvelut ja sovellusarkkitehtuuri jätetään käsittelemättä. Sen sijaan työssä keskitytään OPC UA:n tietoturvamalliin sivuten tarvittaessa edellä mainittuja osa-alueita. UA:n lisäksi suuri osa työstä käsittelee kryptografisia menetelmiä, kuten salausta, digitaalisia allekirjoituksia ja sertifikaatteja. Työn yksityiskohtaisimmissa teoriaosuuksissa selvitetään ja analysoidaan PKI:hin ja SPKI/SDSI:n hallintamenetelmiin liittyviä toimintoja ja osapuolia.
Diplomityön tulokset ovat kooste ja analyysi PKI:n erilaisista menettelytavoista sertifikaattien hallintaan automaatiojärjestelmässä. SPKI/SDSI-menetelmien soveltuvuutta käsitellään suhteellisen lyhyesti, koska kyseinen standardi on puutteellinen, eikä se ole laajassa käytössä, minkä takia siitä ei löydy juurikaan toteutettuja sovelluskohteita. OPC UA hyödyntää standardeja X.509-sertifikaatteja tietoturvallisessa tiedonsiirrossa, mutta nykyiset UA-profiilit eivät välttämättä sovellu laitetasolle. Tästä syystä UA:han tarvitaan mahdollisesti kevyempiä tietoturvaprofiileja ja sertifikaattien hallintaominaisuuksia, jotta reaaliaika-, deterministisyys-, eheys- ja saatavuusvaatimukset täyttyvät.
Tämän diplomityön tarkoituksena on tutkia ja selvittää julkisen avaimen infrastruktuurin (PKI), X.509-sertifikaattien sekä yksinkertaisen julkisen avaimen infrastruktuurin ja hajautetun tietoturvainfrastruktuurin (SPKI/SDSI) hallintamenetelmiä ja implementointimahdollisuuksia automaatiojärjestelmässä ja erityisesti sen laitetasolla. Työ perustuu selvitystyöhön kirjallisuutta ja tutkimustuloksia hyödyntäen. Rajaus on asetettu tutkimaan erityisesti kehittyvän OPC UA -standardin tietoturvaominaisuuksien soveltuvuutta automaatioverkossa. OPC UA on horisontaaliseen ja vertikaaliseen integraatioon kehitetty tehokas, skaalautuva ja alustariippumaton tiedonsiirtostandardi, jonka tavoite on kattaa tiedonsiirto laitetasolta MES-tasolle. UA:ssa käytetään salausmenetelmiä, sertifikaatteja ja digitaalisia allekirjoituksia, mutta niiden soveltaminen laitetasolla on haastavaa ja usein mahdotonta laitteiden puutteellisen muistin ja laskentakyvyn takia.
Selvitys alkaa katsauksella teollisuusautomaation järjestelmistä, kontrollihierarkiasta ja tietoliikenteen viitemalleista. Teoriaosuudessa käsitellään tietoturvaa automaatioverkoissa – erityisesti tietoturvan merkitystä, päämääriä ja riskejä. OPC UA:n yksityiskohtainen toiminta, informaatiomallit, profiilit, palvelut ja sovellusarkkitehtuuri jätetään käsittelemättä. Sen sijaan työssä keskitytään OPC UA:n tietoturvamalliin sivuten tarvittaessa edellä mainittuja osa-alueita. UA:n lisäksi suuri osa työstä käsittelee kryptografisia menetelmiä, kuten salausta, digitaalisia allekirjoituksia ja sertifikaatteja. Työn yksityiskohtaisimmissa teoriaosuuksissa selvitetään ja analysoidaan PKI:hin ja SPKI/SDSI:n hallintamenetelmiin liittyviä toimintoja ja osapuolia.
Diplomityön tulokset ovat kooste ja analyysi PKI:n erilaisista menettelytavoista sertifikaattien hallintaan automaatiojärjestelmässä. SPKI/SDSI-menetelmien soveltuvuutta käsitellään suhteellisen lyhyesti, koska kyseinen standardi on puutteellinen, eikä se ole laajassa käytössä, minkä takia siitä ei löydy juurikaan toteutettuja sovelluskohteita. OPC UA hyödyntää standardeja X.509-sertifikaatteja tietoturvallisessa tiedonsiirrossa, mutta nykyiset UA-profiilit eivät välttämättä sovellu laitetasolle. Tästä syystä UA:han tarvitaan mahdollisesti kevyempiä tietoturvaprofiileja ja sertifikaattien hallintaominaisuuksia, jotta reaaliaika-, deterministisyys-, eheys- ja saatavuusvaatimukset täyttyvät.