Master's Thesis

Sensor Network with Secured Data Transfers

Final Thesis 3.85 MB

Author of thesis: Ing. Matúš Nosko

Acad. year: 2025/2026

Supervisor: prof. Dr. Ing. Pavel Zemčík, dr. h. c.

Reviewer: doc. Ing. Michal Španěl, Ph.D.

Abstract:

Industrial communication protocols, such as Modbus RTU, natively lack encryption and authentication, making them vulnerable to modern cyber threats. The aim of this thesis was to design and implement a secure architecture utilizing mutual authentication and data stream encryption via the symmetric AES-GCM algorithm. The proposed system operates in a hybrid mode, enabling the master unit to communicate with both secure and older, unsecured devices on a single physical bus. The secure end nodes were implemented using an ESP32 microcontroller and a Raspberry Pi 4 platform. Subsequent analysis demonstrated the functionality of the solution. The thesis proves that modern security standards can be integrated into industrial networks with backward compatibility.

Keywords:

RS-485, Modbus RTU, Cybersecurity, Symmetric Cryptography, Asymmetric Cryptography, Industrial Networks, AES-GCM, Mutual Authentication, Backward Compatibility

Date of defence

25.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.

Topics for thesis defence

  1. Rušení komunikační linky, případně zahlcení falešnými zprávami, může vést k častým opakováním autentizace a výměny klíčů. Jakou režiji představuje tento proces? Jakými způsoby by bylo možné omezit takové typy útoků?
  2. V případě bateriových uzlů je důležitá spotřeba a kryptografické operace ji mohou zvyšovat. Měřil jste vliv šifrované komunikace na spotřebu uzlů?
  3. V kapitole 5.1 popisujete roli master uzlu takto: "Jej úlohou bude nielen riadiť komunikáciu a vykonávať zber dát, ale predovšetkým bezpečne spravovať kľúče a plniť rolu lokálnej autority." Co přesně se rozumí rolí lokální autority?
  4. Proč jste si zvolil implementaci elektroměru?
  5. Proč vymýšlet nové protokoly, když se v praxi standardně používá protokol GLSM?

Language of thesis

Slovak

Faculty

Department

Study programme

Information Technology and Artificial Intelligence (MITAI)

Specialization

Embedded Systems (NEMB)

Composition of Committee

doc. Ing. Zdeněk Vašíček, Ph.D. (předseda)
doc. Ing. Michal Bidlo, Ph.D. (místopředseda)
doc. Mgr. Adam Rogalewicz, Ph.D. (člen)
Ing. Marcela Zachariášová, Ph.D. (člen)
doc. Dr. Ing. Otto Fučík (člen)
Ing. Josef Strnadel, Ph.D. (člen)

Celkově se, podle mého názoru, jedná o velmi solidní práci. Realizační část práce je zdařilá a funkční. Skýtá dobrý potenciál pro využití v praxi a jsem přesvědčen, že bude i vbrzku využita. Text práce je také na velmi solidní úrovní a proto celkově hodnotím práci stupněm výborně (A).

Evaluation criteria Verbal classification
Informace k zadání

Zadání diplomové práce bylo poměrně náročné a částečně bylo založeno i na iniciativě studenta. Jeho náročnost spočívalal zejména v rozsáhlé experimentální práci, která byla potřeba pro dosažení dobrého výsledku. Podle mého názoru se student práce zhostil zodpovědně, zadání splnil a s výsledkem jeho práce jsem spokojen. Jsem si jist, že výsledek je využitelný v praxi.

Aktivita při dokončování

Realizační část práce byla připravena včas a byla konzultována. Pokud se týká textové části práce, ta byla připravena poměrně těsně před termínem odevzdání, ale zavčas na to, aby bylo možné provést konzultace struktury, i obsahu a také korekce textu.

Publikační činnost, ocenění

-

Práce s literaturou

S literaturou pracoval student iniciativně a daleko nad rámec doporučení. Dohledával vlastní literární prameny a studijní zdroje k řešení své práce.

Aktivita během řešení, konzultace, komunikace

Student byl při řešení práce aktivní a práci řešil průbežně. Na konzultace chodil sice jen občas, ale vždy předvedl velmi dobrý postup práce a dá se říci, že častějsí konzultace vlastně "moc nepotřeboval". Vždy, když přišel, byl připraven.

Points proposed by supervisor: 95

Grade proposed by supervisor: A

Pan Nosko se velmi dobře zorientoval v tématu a všech aspektech zadání. Vyzkoušel si návrh jednoduché desky, realizoval propojení senzorové sítě se dvěma typy měřících uzlů a zejména navrhnul mechanismus autentizace a zabezpečené komunikace uzlů, který řeší různé typy útoků, ale také omezení Modbus RTU protokolu. To vše jako celek představuje velké množství práce. Přínos práce by mohl být ještě větší, pokud by se v rámci koncepčního návrhu pokusil cíle práce formulovat jako porovnání více variant řešení (např. různé druhy asymetrického šifrování) než jako testování jednoho konceptu.

Evaluation criteria Verbal classification Points
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

V rámci implementace zvolené senzorové sítě student realizoval i návrh a výrobu desky s obvodem ATM90E36A a galvanickým oddělením sběrnice SPI pro měření proudu a napětí na zařízení v síti nízkého napětí (230 V), což považuji za rozšíření zadání.

Hlavním cílem byl návrh autentizace uzlů a zabezpečené komunikace nad protokolem Modbus RTU a demonstrační implementace sítě pro ověření funkčnosti a základních vlastností. Drobnou rezervu vidím v naplnění bodu 3. Možnostem správy a konfigurace zabezpečené senzorové sítě se autor příliš nevěnuje.

Rozsah technické zprávy

Evaluation level: přesahuje obvyklé rozmezí

Rozsahem se technická zpráva pohybuje u maximální očekávané hranice, ale neobsahuje nepodstatné texty. Kapitoly 2 a 3 přehledně shrnují principy průmyslových IoT sítí, požadavky na jejich zabezpečení a možnosti řešení. Primárně se zaměřují na mechanismy, které student ve své práci dále využívá. Pouze v implementaci mi uniká přínos výpisů Python kódu v technické zprávě. Chybí u nich komentář, co se autor snaží kódem demonstrovat.

Prezentační úroveň technické zprávy
  • Přehlednější a logičtější by bylo již v koncepčním návrhu (Kapitola 5.3) explicitně uvést s jakými certifikáty, asymetrickými a symetrickými šiframi bude řešení pracovat a volby zdůvodnit.
  • Také návrh zabezpečeného protokolu (kapitola 6.2) patří spíše do kapitoly 5 a nikoliv až do popisu implementace a HW realizace.
  • V příloze A postrádám schéma zapojení.
75
Formální úprava technické zprávy

Po formální a jazykové stránce je technická zpráva v pořádku. Příležitostně se v textu objevují překlepy (chybějící mezery mezi slovy, chybějící tečky, apod.).

75
Práce s literaturou

Výběr literatury je vhodný. Analýza požadavků je dobře zpracovaná, je zřejmé, že student získal detailní povědomí o problematice zabezpečení IIoT sítí a využil je v návrhu. Překvapivě chybí odkazy na průmyslové standardy typu IEC 62351 nebo Modbus Security Protocol, které zabezpečení komunikace řeší v kontextu jiných komunikačních protokolů. Studentem formulované požadavky na řešení by na ně mohly být navázány.

85
Realizační výstup

Technické řešení má charakter ověření konceptu. Skládá se z návrhu a realizace HW zapojení demonstrační senzorové sítě s jedním řídícím (master) uzlem a dvěma měřícími (slave) uzly, a z programové části implementující zabezpečenou komunikaci v různých platformách (Odyssey STM32MP157C, Raspberry PI 4 a ESP32-S3) a realizace desky s galvanickým oddělením pro měření spotřebiče. Řešení mi bylo předvedeno, je plně funkční a jde o pěkný výsledek práce.

Charakter konceptu je silně patrný v kódu. Velké množství funkcionality masteru je v main() fci, žádná snaha o vytvoření knihovny tříd, nebo funkcí. Konfigurační soubor se v masteru používá jen pro popis měřících uzlů. Vše ostatní je definováno jako konstanty v kódu včetně nastavení RS-485. Certifikáty v Pythonu se načítají z pevných cest. V případě ESP32 jsou certifikáty přímo v kódu jako konstanty, student pro uložení nepoužívá flash paměť a souborový systém, nebo NVS.

85
Využitelnost výsledků

Výsledky práce jsou přínosné. Student navrhnul a realizoval funkční koncept zabezpečené komunikace v senzorové síti s připojením uzlů přes sériovou linku RS-485. Navržený koncept a provedená měření mohou být základem pro vývoj reálného řešení.

Autor se věnoval testování sítě a uzlů z různých pohledů, od ověření správnosti měřených hodnot, přes simulaci vybraných typů útoků, až po vlastnosti samotné zabezpečené komunikace. V tabulkách 7.1 až 7.3 uvádí průměrné časy RTT (vyčtení měřené hodnoty z uzlu sítě). Zajímavé však jsou nejen průměrné hodnoty a případně i časového intervaly, v jakých je master schopný hodnoty z uzlů opakovaně vyčíst. Ty mohou být totiž ovlivněny implementovaným mechanismem automatické obnovy klíčů. V praxi by také bylo nutné využít zabezpečené způsoby uložení certifikátů, což může ovlivnit výsledky měření.

Náročnost zadání

Evaluation level: obtížnější zadání

Student se zaměřil na zabezpečení průmyslových senzorových sítí připojených přes sériovou linku RS-485 s komunikačním protokolem Modbus RTU a realizaci mechanismu autentizace a šifrované komunikace. Jedná se o otevřené téma, jehož řešení musel student sám navrhnout, implementovat v různých prostředích (Raspberry PI 4, ESP32) a ověřit jeho funkčnost.

Topics for thesis defence:
  1. Rušení komunikační linky, případně zahlcení falešnými zprávami, může vést k častým opakováním autentizace a výměny klíčů. Jakou režiji představuje tento proces? Jakými způsoby by bylo možné omezit takové typy útoků?
  2. V případě bateriových uzlů je důležitá spotřeba a kryptografické operace ji mohou zvyšovat. Měřil jste vliv šifrované komunikace na spotřebu uzlů?
  3. V kapitole 5.1 popisujete roli master uzlu takto: "Jej úlohou bude nielen riadiť komunikáciu a vykonávať zber dát, ale predovšetkým bezpečne spravovať kľúče a plniť rolu lokálnej autority." Co přesně se rozumí rolí lokální autority?
Points proposed by reviewer: 88

Grade proposed by reviewer: B

Responsibility: Mgr. et Mgr. Hana Odstrčilová