search query: @keyword automaatiojärjestelmä / total: 25
results-list
reference: 8 / 25
« previous | next »
Author:Kokkinen, Atte
Title:Rakennusautomaation tietoturva
Information security of building automation
Publication type:Master's thesis
Publication year:2009
Pages:105      Language:   fin
Department/School:Informaatio- ja luonnontieteiden tiedekunta
Degree programme:Tietotekniikan tutkinto-ohjelma
Main subject:Automaation tietotekniikka   (AS-116)
Supervisor:Koskinen, Kari
Instructor:Kiravuo, Timo
OEVS:
Electronic archive copy is available via Aalto Thesis Database.
Instructions
close

Reading digital theses in the closed network of the Aalto University Harald Herlin Learning Centre

In the closed network of Learning Centre you can read digital and digitized theses not available in the open network.

The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/

You can read theses on the Learning Centre customer computers, which are available on all floors.

Logging on to the customer computers

  • Aalto University staff members log on to the customer computer using the Aalto username and password.
  • Other customers log on using a shared username and password.

Opening a thesis

  • On the desktop of the customer computers, you will find an icon titled:

    Aalto Thesis Database

  • Click on the icon to search for and open the thesis you are looking for from Aaltodoc database. You can find the thesis file by clicking the link on the OEV or OEVS field.

Reading the thesis

  • You can either print the thesis or read it on the customer computer screen.
  • You cannot save the thesis file on a flash drive or email it.
  • You cannot copy text or images from the file.
  • You cannot edit the file.

Printing the thesis

  • You can print the thesis for your personal study or research use.
  • Aalto University students and staff members may print black-and-white prints on the PrintingPoint devices when using the computer with personal Aalto username and password. Color printing is possible using the printer u90203-psc3, which is located near the customer service. Color printing is subject to a charge to Aalto University students and staff members.
  • Other customers can use the printer u90203-psc3. All printing is subject to a charge to non-University members.
Location:P1 Ark Aalto     | Archive
Keywords:building automation
home automation
automation system
field bus
information security
integration
LON
BACnet
oBIX
ModBUS
rakennusautomaatio
kotiautomaatio
automaatiojärjestelmä
kenttäväylä
tietoturva
integraatio
LON
BACnet
oBIX
ModBUS
Abstract (eng): The objective of this thesis was to get a general view in the information security of the protocols and transmission media used in building automation (BA) systems.
Traditionally different building control systems were all separate but a continuing trend of integration has been noticed.
The systems are melted together and more and more internet connectivity is required of them.
This evolution brings about new threats and risks in the building control world.
Similar development has already been seen in the realm of industrial automation and work on the information security aspects has begun there a few years ago.
The work on information security of BA systems is just starting.

This thesis is based on literary research aimed to define the status quo of the research field.
The protocols studied in this work are: ModBUS, LonTalk, BACnet and oBIX.
Their information security characteristics were determined through a thorough examination of the international and other standards which define said protocols.
A hands-on point of view on the subject was acquired from interviews with two BA specialists.
After creating the theoretical base and charting the information security aspects, the protocols' and media's ability to withstand certain attacks was put to test.
These theoretical scenarios consisted of a denial of service attack, a packet sniffing attack and a spoofing attack.
When the technical vulnerabilities and applicable threats were charted a synthesis in the form of a check list was created.
It is a collection of matters that should be considered while evaluating the information security level of a building automation system - be it an existing one or one in its initial planning phases.
The list is designed to be universal and extensive and therefore only to be used in conjunction with the results of a risk analysis.
They define the value and importance of each point.

The results from the analysis of the protocols were mostly expectable.
ModBUS contained no features supporting information security and all its traffic is in plain text.
In LonTalk the only service related to information security is the possibility to authenticate the sender of certain types of messages.
However, it is not used in real life applications.
The process is not entirely trustworthy and it can even be used in a denial of service attack.
LonTalk's traffic is also plain text.
BACnet offers several information security services, e.g. encrypted messages and authentication of both the sender and the receiver of certain types of messages.
They are, however, based on now-obsolete DES - which is only 56 bits strong and thus not considered adequately safe anymore.
Surprisingly all the security features were intentionally left unspecified in the oBIX standard.
It is possible to use the services provided by HTTP and HTTPS but they are limited at best.
The reviewed protocols can not be used iii any application which requires heightened levels of security.
They simply can not fulfil those kinds of requirements.
The analysis of the transmission media provided no great surprises.
It was noticed that their information security depends on two factors: the signal's ability to pass through walls and how easy it is to connect to the medium.
The two most unsafe media were power line communications and radio network.
Safest option was the optic cable.
This work validated the assumption regarding the state of the information security of BA systems.
There is a lot of work to be done in the field.
The requirements for information security have to be defined.
Otherwise, rational decisions about them can not be made.
Abstract (fin): Tämän diplomityön tarkoituksena oli tutkia rakennusautomaatiojärjestelmissä käytettävien protokollien ja siirtomedioiden tietoturvallisuutta.
Rakennusten perinteiset erillisjärjestelmät integroituvat keskenään ja Internetin kanssa.
Tästä syntyy uudenlaisia uhkakuvia ja riskitekijöitä.
Vastaava kehitys on havaittu teollisuusautomaation maailmassa ja siellä onkin ryhdytty tutkimaan järjestelmien tietoturvallisuutta jo muutama vuosi sitten.
Rakennusautomaatiopuolella tietoturvallisuuden tutkimus on kuitenkin vielä alussa.

Diplomityö pohjautuu kirjallisuustutkimukseen, jossa selvitettiin alan tutkimuksen nykytilanne.
Työssä käsiteltävien protokollien (ModBUS, LonTalk, BACnet ja oBIX) tietoturvallisuusominaisuudet on arvioitu tutkimalla standardeja, joissa protokollat on määritelty.
Käytännön näkökulmaa työhön on saatu kahdesta asiantuntijahaastattelusta.
Teoriapohjan luomisen ja tietoturvaominaisuuksien kartoituksen jälkeen työssä tutkittiin protokollien ja siirtomedioiden kykyä torjua tiettyjä hyökkäyksiä.
Nämä hyökkäysskenaariot ovat: palvelunesto, salakuuntelu ja pakettien väärennys.
Kun järjestelmien tekniset haavoittuvuudet ja käytännölliset uhkakuvat oli kartoitettu, voitiin luoda synteesinomainen tietoturvallisuuden tarkistuslista.
Siinä on lueteltu rakennusautomaatiojärjestelmän tietoturvallisuuden tilaa arvioitaessa käsiteltäviä asioita.
Listan sisältämiä kohtia on syytä pohtia myös uusien järjestelmien suunnittelun yhteydessä.
Lista on suunniteltu yleispäteväksi ja kattavaksi, jolloin riippuu erillisen riskianalyysin tuloksista, kuinka kriittisesti sen eri asiakohtiin tulee suhtautua kulloisessakin rakennuskohteessa.

Protokollien analyysin tulokset olivat melko pitkälti odotetun kaltaiset.
ModBUS-protokollassa ei ollut lainkaan tietoturvallisuutta tukevia ominaisuuksia ja sen liikenne on selväkielistä.
LonTalk-protokollassa ainoa tietoturvallisuuspalvelu on mahdollisuus käyttää eräissä viestityypeissä viestinlähettäjän autentikointia.
Menettelyä ei kuitenkaan ole toteutettu käytännön sovelluksissa.
Se ei ole täysin luotettava, ja sitä on jopa helppoa käyttää palvelunestohyökkäyksen välineenä.
LonTalk-protokollan kaikki liikenne on selväkielistä.
BACnet-protokolla tarjoaa useita tietoturvallisuutta tukevia palveluita, esimerkiksi liikenteen salauksen ja viestien lähettäjän sekä vastaanottajan autentikoinnin.
Niiden pohjana on kuitenkin 56-bittinen Des-salaus, jota ei nykypäivänä enää voi pitää kovinkaan turvallisena.
Oli yllättävää havaita, että oBIX-protokollasta on jätetty tarkoituksellisesti kaikki tietoturvallisuuteen liittyvät palvelut pois.
Siinä on mahdollista hyödyntää HTTP- ja HTTPS-protokollien tarjoamia tietoturvapalveluita, mutta nekin ovat hyvin rajallisia.
Käsitellyt protokollat soveltuvat nykyisellään melko huonosti esimerkiksi turvallisuusjärjestelmien toteutukseen, koska ne eivät voi kunnolla täyttää sellaisille asetettuja vaatimuksia.
Siirtomedioiden analyysi ei tarjonnut suuria yllätyksiä.
Havaittiin, että niiden tietoturvallisuus riippuu kahdesta tekijästä: signaalin kyvystä läpäistä seiniä, ja siirtotielle liittymisen helppoudesta.
Näillä perusteilla turvattomimmat olivat sähkö- ja radioverkko ja tietoturvallisin vaihtoehto oli valokaapeli.

Työ vahvisti käsitystä rakennusautomaatiojärjestelmien tietoturvallisuuden kehnosta tilasta.
Alalla tarvitaan vielä paljon työtä.
Järjestelmien tietoturvallisuustarpeet pitää määritellä jotta voidaan tehdä tietoisia ratkaisuja niiden täyttämiseksi.
ED:2010-01-11
INSSI record number: 38705
+ add basket
« previous | next »
INSSI