Security features and configurations of industrial applications based on OPC UA

Hellgren, Niko (2018-08-13)
Security features and configurations of industrial applications based on OPC UA

Hellgren, Niko
(13.08.2018)

Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.

Turun yliopisto
Näytä kaikki kuvailutiedot
Tiivistelmä
Industrial control systems (ICS) are digital control systems used for monitoring, analysing, and managing industrial processes. They interact with physical processes which consist of long chains of components with extreme internal conditions, such as high pressure, temperature, or flow rate. A fault in the process could cause significant financial losses, physical damage to the machinery, the facility, or the surrounding environment, or even injury, or loss of human life. The critical nature of these control systems combined with the ongoing trend of building systems with comprehensive inter-connectivity increases these solutions' attack surface and attractiveness to malicious actors, making the exploration of their security aspects essential.

OPC UA is a communication protocol designed for industrial applications. One of its core objectives is the security and trustworthiness of the communications, and it presents extensive built-in measures to fulfil these goals. This thesis focuses on the security of industrial applications communicating via OPC UA, and many of the findings and approaches are applicable to solutions using other protocols as well. The analysis of OPC UA is based on a review of existing literature, established industry solutions and best practices, and ongoing standardisation work both in OPC UA and ICSs in general. Based on the theoretical work, a public-key infrastructure (PKI) solution that can be used to manage the digital certificates and security configurations of interconnected OPC UA systems in a small network of 2--20 nodes is implemented. The motivation for this practical study is the importance of digital certificates in OPC UA communications, as the majority of the protocol's security characteristics are based upon them. Special attention is given to the integrity and authentication of the communications. The security and applicability of the implemented solution are also analysed, and the system is compared against existing certificate management and OPC UA configuration solutions, OPC UA Configuration Tool, OpenSSL, Active Directory, and OPC UA Global Discovery Server.
 
Teollisuuden automaatiojärjestelmät (industrial control systems, ICS) ovat digitaalisia ohjausjärjestelmiä, joita käytetään teollisten prosessien valvontaan, analysointiin ja ohjaukseen. Koska prosessit, joihin järjestelmät vaikuttavat, voivat sisältää ääriolosuhteita -- esimerkiksi korkeita lämpötiloja tai paineita -- viat voivat aiheuttaa merkittävää vahinkoa laitteille, niiden ympäristölle tai ihmisille. Teollisuuden automaatiojärjestelmien tietoturvan tutkiminen on keskeistä, sillä alalla vallitsevat trendit laajentavat järjestelmien keskinäistä kommunikaatiota, mikä samalla kasvattaa järjestelmien hyökkäysrajapintaa ja lisää niiden houkuttelevuutta hyökkäyskohteena.

OPC UA on teollisuuden automaatiojärjestelmien väliseen tiedonsiirtoon tarkoitettu kommunikaatioprotokolla, jossa on kattavasti tietoturvaa ja luotettavuutta korostavia ominaisuuksia. Tämä diplomityö keskittyy OPC UA -protokollaa viestinnässään hyödyntävien järjestelmien tietoturvaan, mutta työn löydökset ovat suurelta osin yleistettävissä myös muihin sovelluskohteisiin. OPC UA -protokollaa analysoidaan alan kirjallisuuden, yleisten käytäntöjen ja alan tämänhetkisten kehityssuuntien pohjalta. Teoreettisen selvityksen perusteella toteutetaan julkisavaininfrastruktuuri (public key infrastructure, PKI), joka soveltuu pienen (2--20 päätelaitetta) OPC UA -infrastruktuurin digitaalisten sertifikaattien ja tietoturva-asetusten hallinnointiin. Toteutuksessa kiinnitetään erityistä huomiota viestien eheyden, alkuperän ja todenperäisyyden varmistamiseen. Työssä analysoidaan myös toteutuksen turvallisuutta ja soveltuvuutta suunniteltuun käyttötarkoitukseen. Tämän lisäksi toteutettua sovellusta verrataan olemassa oleviin digitaalisten sertifikaattien ja OPC UA -konfiguraatioiden hallinnointisovelluksiin (esimerkiksi OPC UA Configuration Tool, Active Directory ja OpenSSL).
 
Kokoelmat