DE102020112056A1

DE102020112056A1 - Framework für den datenschutzrechtlichen austausch von big data mittels verteilter kontenbücher (distributed ledgers)

Info

Publication number: DE102020112056A1
Application number: DE102020112056.7A
Authority: DE
Inventors: Gang Wang; Mark J. Nixon; Anthony Amaro jun.
Original assignee: Fisher Rosemount Systems Inc
Current assignee: Fisher Rosemount Systems Inc
Priority date: 2019-05-06
Filing date: 2020-05-05
Publication date: 2020-11-12
Also published as: GB202307303D0; GB2615281B; US20230400837A1; US20210278820A1; GB2610981B; GB2615281A; US11782421B2; GB202307302D0; JP7469133B2; GB2615280A; GB2610981A; GB2586682A; GB202005105D0; US11009859B2; GB202218506D0; JP2020184335A; GB2586682B; CN111897871A; GB2615280B; US20200356082A1

Abstract

Um eine vertrauenswürdige, sichere und unveränderliche Aufzeichnung der von einem Speicherzentrum ausgeführten Speicheroperationen zur Speicherung von Messdaten, die von einer Prozessanlage bereitgestellt werden, bereitzustellen, werden Techniken zur Verwendung eines verteilten Kontenbuchs beschrieben. Wenn ein Datenlieferant, wie z. B. eine Prozessanlage, Messdaten erzeugt, wird eine verschlüsselte Version eines Messdatensatzes zur sicheren Speicherung der Messdaten an ein Speicherzentrum übertragen. In einigen Fällen teilt der Datenlieferant den Messdatensatz in mehrere Teilsätze auf und überträgt jeden Teilsatz verschlüsselter Messdaten an ein anderes Speicherzentrum. Außerdem erzeugt das Speicherzentrum eine Transaktion für die Speicheroperation, die in einem verteilten Kontenbuch aufgezeichnet wird. Wenn ein Datenabonnent die verschlüsselten Messdaten von einem Speicherzentrum abruft, kann der Datenabonnent die Authentizität der Daten auf der Grundlage der im verteilten Kontenbuch aufgezeichneten Informationen überprüfen.

Description

TECHNISCHER BEREICH
Die vorliegende Offenbarung bezieht sich im Allgemeinen auf Prozessanlagen und Prozessleitsysteme und im Besonderen auf die Verwendung verteilter Kontenbücher (Distributed Ledgers) für die sichere Speicherung von Daten, die von Datenlieferanten wie z. B. Prozessanlagen erzeugt werden.
HINTERGRUND
Prozessleitsysteme, wie sie in Chemie-, Mineralöl- oder anderen Prozessanlagen eingesetzt werden, umfassen typischerweise einen oder mehrere Prozessregler, die über analoge, digitale oder kombinierte Analog-/Digitalbusse oder über eine drahtlose Kommunikationsverbindung oder ein Netzwerk mit einem oder mehreren Feldgeräten kommunikativ gekoppelt sind. Die Feldgeräte, die z. B. Ventile, Ventilstellungsregler, Schalter und Transmitter (z. B. Temperatur-, Druck-, Füllstands- und Durchflusssensoren) sein können, befinden sich innerhalb der Prozessumgebung und übernehmen in der Regel physische oder prozesssteuernde Funktionen wie z. B. das Öffnen oder Schließen von Ventilen, die Messung von Prozessparametern wie Druck, Temperatur usw., um einen oder mehrere in der Prozessanlage oder im System ablaufende Prozesse zu steuern. Intelligente Feldgeräte, wie z. B. jene, die dem bekannten Feldbus-Protokoll entsprechen, können auch Steuerungsberechnungen, Alarmfunktionen und andere in der Steuerung üblicherweise implementierte Steuerungsfunktionen durchführen. Die Prozesssteuerungen, die sich ebenfalls typischerweise in der Anlagenumgebung befinden, empfangen Signale, die für die von den Feldgeräten durchgeführten Prozessmessungen und/oder andere die Feldgeräte betreffende Informationen kennzeichnend sind, und führen eine Steuerungsanwendung aus, in der z. B. verschiedene Steuermodule laufen, die Entscheidungen zur Prozesssteuerung treffen, auf der Grundlage der empfangenen Informationen Steuersignale erzeugen und sich mit den Steuermodulen oder Blöcken koordinieren, die in den Feldgeräten ausgeführt werden, wie z. B. HART®-, WirelessHART®- und FOUNDATION®-Fieldbus-Feldgeräte. Die Steuermodule in der Steuerung senden die Steuersignale über die Kommunikationsleitungen oder Verknüpfungen zu den Feldgeräten, um so den Betrieb zumindest eines Teils der Prozessanlage oder des Systems zu steuern. Wie vorliegend verwendet, werden Feldgeräte und Steuerungen im Allgemeinen als „Prozesssteuerungsgeräte“ bezeichnet.
Informationen von den Feldgeräten und der Steuerung werden in der Regel über eine Datenautobahn einem oder mehreren anderen Hardwaregeräten zur Verfügung gestellt, wie z. B. Bedienerarbeitsplätzen, Personal Computern oder Computergeräten, Datenhistorikern, Berichtsgeneratoren, zentralisierten Datenbanken oder anderen zentralisierten administrativen Computergeräten, die typischerweise in Kontrollräumen oder an anderen Orten abseits der raueren Anlagenumgebung platziert sind. Jedes dieser Hardware-Geräte ist in der Regel über die gesamte Prozessanlage oder einen Teil der Prozessanlage hinweg zentralisiert. Diese Hardwaregeräte führen Anwendungen aus, die es beispielsweise einem Bediener ermöglichen können, Funktionen in Bezug auf die Steuerung eines Prozesses und/oder den Betrieb der Prozessanlage auszuführen, wie z. B. das Ändern der Einstellungen der Prozesssteuerungsroutine, das Ändern des Betriebs der Steuerungsmodule innerhalb der Steuerungen oder der Feldgeräte, das Anzeigen des aktuellen Prozesszustands, das Anzeigen von Alarmen, die von Feldgeräten und Steuerungen generiert werden, das Simulieren des Betriebs des Prozesses zum Zwecke der Schulung von Personal oder das Testen der Prozesssteuerungssoftware, das Halten und Aktualisieren einer Konfigurationsdatenbank usw. Die von den Hardwaregeräten, Steuerungen und Feldgeräten verwendete Datenautobahn kann einen drahtgebundenen Kommunikationsweg, einen drahtlosen Kommunikationsweg oder eine Kombination aus drahtgebundenen und drahtlosen Kommunikationswegen beinhalten.
Das von Emerson Process Management verkaufte DeltaV™-Steuerungssystem beispielsweise umfasst mehrere Anwendungen, die in verschiedenen Geräten gespeichert sind und von verschiedenen Geräten an verschiedenen Stellen innerhalb einer Prozessanlage ausgeführt werden. Eine Konfigurationsanwendung, die in einem oder mehreren Arbeitsplätzen oder Computergeräten untergebracht ist, ermöglicht Benutzern das Erstellen oder Ändern von Prozesssteuerungsmodulen und das Herunterladen dieser Prozesssteuerungsmodule über eine Datenautobahn auf dedizierte, dezentrale Steuerungen. Typischerweise bestehen diese Steuermodule aus kommunikativ miteinander verknüpften Funktionsblöcken, die Objekte in einem objektorientierten Programmierprotokoll sind, die Funktionen innerhalb des Steuerschemas auf der Basis von dort erfolgten Eingängen ausführen und die Ausgänge zu anderen Funktionsblöcken innerhalb des Steuerungsschemas bereitstellen. Mit der Konfigurationsanwendung kann ein Konfigurationsdesigner auch Bedienerschnittstellen erstellen oder ändern, die von einer Anzeigeanwendung verwendet werden, um einem Bediener Daten anzuzeigen und es dem Bediener zu ermöglichen, Einstellungen, wie z. B. Sollwerte, innerhalb der Prozesssteuerungsroutinen zu ändern. Jede dedizierte Steuerung und in einigen Fällen ein oder mehrere Feldgeräte speichern und führen eine entsprechende Steuerungsanwendung aus, die die ihr zugeordneten und heruntergeladenen Steuerungsmodule ausführt, um die eigentliche Prozesssteuerungsfunktionalität umzusetzen. Die Betrachtungsanwendungen, die auf einem oder mehreren Bedienerarbeitsplätzen (oder auf einem oder mehreren Remote-Computergeräten in kommunikativer Verbindung mit den Bedienerarbeitsplätzen und der Datenautobahn) ausgeführt werden können, empfangen Daten von der Steuerungsanwendung über die Datenautobahn und zeigen diese Daten den Prozessleitsystem-Entwicklern, den Bedienern oder den Benutzern, die die Benutzerschnittstellen verwenden, an. Sie bieten eine Reihe von verschiedenen Ansichten, wie z. B. die Ansicht eines Bedieners, eines Ingenieurs, eines Technikers usw. Eine Datenhistoriker-Anwendung wird normalerweise in einem Datenhistoriker-Gerät gespeichert und ausgeführt, das einige oder alle über die Datenautobahn bereitgestellten Daten sammelt und speichert, während eine Konfigurationsdatenbank-Anwendung in einem weiteren, an die Datenautobahn angeschlossenen Computer laufen kann, um die aktuelle Konfiguration der Prozesssteuerungsroutine und die damit verbundenen Daten zu speichern. Alternativ kann sich die Konfigurationsdatenbank auf der gleichen Arbeitsstation wie die Konfigurationsanwendung befinden.
Im Allgemeinen umfasst ein Prozessleitsystem einer Prozessanlage Feldgeräte, Steuerungen, Arbeitsstationen und andere Geräte, die durch eine Reihe von Schichtnetzwerken und Bussen miteinander verbunden sind. Das Prozessleitsystem kann wiederum mit verschiedenen geschäftlichen und externen Netzwerken verbunden werden, z. B. zur Senkung der Herstellungs- und Betriebskosten, zur Steigerung der Produktivität und Effizienz, für einen zeitnahen Zugriff auf Prozesssteuerungs- und/oder Prozessanlageninformationen usw. Andererseits erhöht die Verbindung von Prozessanlagen und/oder Prozessleitsystemen mit Unternehmens- und/oder externen Netzwerken und Systemen das Risiko von Cyber-Einbrüchen und/oder böswilligen Cyber-Angriffen, die sich aus erwarteten Schwachstellen in kommerziellen Systemen und Anwendungen, wie sie z. B. in Unternehmens- und/oder externen Netzwerken verwendet werden, ergeben können. Cyber-Einbrüche und böswillige Cyber-Angriffe auf Prozessanlagen, Netzwerke und/oder Steuerungssysteme können die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Informationswerten beeinträchtigen, die im Allgemeinen ähnliche Schwachstellen wie diejenigen in allgemeinen Computernetzwerken darstellen. Im Gegensatz zu allgemeinen Computernetzwerken können Cyber-Einbrüche in Prozessanlagen, Netzwerke und/oder Steuerungssysteme jedoch auch zu Beschädigung, Zerstörung und/oder Verlust nicht nur von Anlagen, Produkten und anderen physischen Vermögenswerten, sondern auch zum Verlust von Menschenleben führen. Zum Beispiel kann ein Cyber-Einbruch dazu führen, dass ein Prozess außer Kontrolle gerät und dadurch Explosionen, Brände, Überschwemmungen, Exposition gegenüber gefährlichen Stoffen usw. hervorgerufen werden. Daher ist die Sicherung der Kommunikation in Bezug auf Prozessleitsysteme und -anlagen von größter Bedeutung.
„Big Data“ bezieht sich im Allgemeinen auf eine Sammlung von einem oder mehreren Datensätzen, die so groß oder komplex sind, dass herkömmliche Datenbankmanagement-Werkzeuge und/oder Datenverarbeitungsanwendungen (z. B. relationale Datenbanken und Desktop-Statistikpakete) nicht in der Lage sind, die Datensätze innerhalb einer tolerierbaren Zeitspanne zu verwalten. Üblicherweise sind Anwendungen, die große Datenmengen verwenden, transaktional und auf den Endbenutzer ausgerichtet oder fokussiert. Beispielsweise können Web-Suchmaschinen, Social-Media-Anwendungen, Marketing-Anwendungen und Anwendungen für den Einzelhandel große Datenmengen nutzen und bearbeiten. Big Data kann durch eine verteilte Datenbank unterstützt werden, die es ermöglicht, die Parallelverarbeitungsmöglichkeiten moderner Multi-Prozess- und Multi-Core-Server voll auszunutzen.
Derzeit mangelt es an Vertrauen zwischen den Datenlieferanten, wie Prozessanlagen, Krankenhäusern usw., die diese großen Datensätze erzeugen, und den Speicherzentren, die die großen Datensätze speichern. In der Regel schließen die Datenlieferanten einen Vertrag mit einem einzigen Speicherzentrum ab, um die großen Datensätze zu speichern. Dies führt jedoch zu Schwachstellen, wenn die Sicherheit des einzelnen Speicherzentrums gefährdet ist. Die Datenlieferanten möchten die Daten auch aus Datenschutzgründen nicht an Speicherzentren weitergeben. Darüber hinaus vertrauen Datenabonnenten wie Analytik- und Deep-Learning-Unternehmen in der Regel nicht auf die Integrität der von den Speicherzentren bereitgestellten Datensätze.
ZUSAMMENFASSUNG
Hierin werden Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren zur Verwendung eines verteilten Kontenbuchs oder einer Blockchain in Prozessleitsystemen und Speicherzentren offenbart. Die genannten Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren können auf industrielle Prozessleitsysteme, Umgebungen und/oder Anlagen angewendet werden, die hier austauschbar als „industrielle Steuerungssysteme“, „Prozessleitsysteme“ oder „Prozesssysteme“, Umgebungen und/oder Anlagen bezeichnet werden. Üblicherweise bieten solche Systeme und Anlagen eine verteilte Steuerung eines oder mehrerer Prozesse, die zur Herstellung, Optimierung, Umwandlung, Erzeugung oder Produktion von physischen Materialien oder Produkten eingesetzt werden.
Um Vertrauens-, Datenschutz- und Sicherheitsfragen zwischen Datenlieferanten wie Prozessanlagen, Speicherzentren und Datenabonnenten zu klären, senden die Datenlieferanten anstelle der Rohdaten verschlüsselte Daten an die Speicherzentren. Zu den Daten können Messdaten gehören, die von Feldgeräten oder Prozessanlageneinheiten einschließlich Geräten innerhalb einer Prozessanlage zur Verwendung in einem Teil des Prozesses erzeugt werden, die physische Materialien enthalten, umwandeln, erzeugen oder übertragen, wie z. B. ein Ventil, einen Tank, einen Mischer, eine Pumpe, einen Wärmetauscher usw. Die Messdaten können Prozessparameterwerte für Prozessparameter enthalten, die den Prozessanlageneinheiten entsprechen. Die Messdaten können auch Werte von Produktparametern umfassen, wie z. B. Eigenschaften eines physischen Materials oder eines von der Prozessanlage hergestellten Produkts, einschließlich einer Temperatur des Produkts, eines Volumens des Produkts, einer Masse des Produkts, einer Dichte des Produkts, eines Drucks des Produkts usw.
Durch die Verschlüsselung der Daten und das Senden der verschlüsselten Daten an die Speicherzentren sind die Daten weniger anfällig für einen Angriff, da ein Hacker nicht an die Rohdaten gelangen kann, wenn er sich unbefugten Zugriff zu einem Speicherzentrum verschafft.
Darüber hinaus speichern die Speicherzentren nicht nur verschlüsselte Messdaten in den Speicherzentren, sondern verwalten auch ein verteiltes Kontenbuch, indem sie Transaktionen bezüglich der Speicheroperationen erzeugen und validieren, die an ein Netzwerk des verteilten Kontenbuchs (Distributed-Ledger-Netzwerk) übertragen werden. In einigen Szenarien enthalten die Transaktionen eine Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, eine Kennung des Datenlieferanten, der die verschlüsselten Messdaten erzeugt hat, eine Kennung der verschlüsselten Messdaten zum Abrufen der verschlüsselten Messdaten aus dem entsprechenden Speicherzentrum und einen Hinweis auf die verschlüsselten Messdaten. In einigen Ausführungen ist der Hinweis auf die verschlüsselten Messdaten ein kryptographischer Hash-Wert, der den verschlüsselten Messdaten entspricht.
Ein Datenabonnent, wie z. B. ein Analytik- oder Deep-Learning-Unternehmen, kann dann die verschlüsselten Messdaten aus dem Speicherzentrum und den Hinweis auf die verschlüsselten Messdaten aus dem verteilten Kontenbuch abrufen und beide vergleichen, um die Authentizität der verschlüsselten Messdaten zu überprüfen. Darüber hinaus stellt der Datenlieferant Entschlüsselungsinformationen für den Datenabonnent zur Verfügung, um die verschlüsselten Messdaten zu entschlüsseln, wie z. B. eine Einmalverschlüsselung (One-Time-Pad).
In einigen Ausführungen teilt ein Datenlieferant einen Satz verschlüsselter Messdaten in mehrere Teilsätze auf. Der Datenlieferant stellt dann jeden Teilsatz einem anderen Speicherzentrum zur Verfügung, das den verschlüsselten Teilsatz speichert und eine Transaktion erzeugt, die einen Hinweis auf den verschlüsselten Teilsatz enthält, die im verteilten Kontenbuch aufgezeichnet wird. Wenn dann ein Datenabonnent zumindest einen Teil der Messdaten oder einen Satz von Messdaten anfordert, stellt der Datenlieferant dem Datenabonnenten Identifikationsinformationen zum Abrufen jeder verschlüsselten Teilmenge von den Speicherzentren zur Verfügung, in denen der jeweilige verschlüsselte Teilsatz gespeichert ist. Der Datenlieferant stellt auch Entschlüsselungsinformationen für den Datenabonnenten zur Verfügung, um jeden verschlüsselten Teilsatz zu entschlüsseln, wie z. B. One-Time-Pads. Dann entschlüsselt der Datenabonnent jeden verschlüsselten Teilsatz und kombiniert die Teilsätze, um den Satz von Messdaten zu erzeugen.
Durch die Verwendung verteilter Kontenbücher in Prozessanlagen oder Speicherzentren, die von den Prozessanlagen erzeugte verschlüsselte Messdaten speichern, kann jedes Speicherzentrum oder ein Netzwerk von Speicherzentren eine vertrauenswürdige, sichere und unveränderliche Aufzeichnung von Messdaten bereitstellen. Die sichere, unveränderliche und vertrauenswürdige Natur von verteilten Kontenbüchern ist besonders wichtig in Prozessleitsystemen, in denen Cyber-Einbrüche nicht nur zur Beschädigung, Zerstörung und/oder zum Verlust von Anlagen, Produkten und anderen physischen Vermögenswerten, sondern auch zum Verlust von Menschenleben führen können. Darüber hinaus ist die sichere, unveränderliche und vertrauenswürdige Natur von verteilten Kontenbüchern auch besonders in Speicherzentren wichtig, in denen sowohl die Datenlieferanten als auch die Datenabonnenten nicht darauf vertrauen, dass die Speicherzentren die Integrität und den Schutz der Daten gewährleisten. Aufgrund der Schwierigkeit, die erfassten Daten in den verteilten Kontenbüchern zu ändern, müssen konkurrierende Einheiten nicht darauf vertrauen, dass die Daten zuverlässig sind.
Figurenliste

1 ist ein Blockschaltbild einer beispielhaften Prozessanlage oder eines Prozessleitsystems, das u. a. die Zusammenhänge zwischen verschiedenen Beispielkomponenten des Prozessleitsystems, dem Prozessleitsystem selbst und anderen Beispielsystemen bzw. Netzwerken veranschaulicht;
2 ist ein Blockschaltbild einer beispielhaften Sicherheitsarchitektur für eine Prozessanlage oder ein Prozessleitsystem;
3 ist ein beispielhaftes System eines verteilten Kontenbuchs (Distributed-Ledger-System) für die Erfassung von Transaktionen und die Ausführung von Smart Contracts in einem Prozessleitsystem;
4 zeigt beispielhaft die validierenden Netzwerkknoten und einen beispielhaften Transaktionsfluss auf einem Distributed-Ledger-Netzwerk in einem Prozessleitsystem;
5 zeigt beispielhaft die Komponenten eines Netzwerkknotens auf einem Distributed-Ledger-Netzwerk in einem Prozessleitsystem;
6 zeigt beispielhaft ein verteiltes Kontenbuch einschließlich einer Blockkette mit Blöcken von Transaktionen in einem Prozessleitsystem;
7 zeigt beispielhaft Verschlüsselungs- und Teilungstechniken, die von einem Datenlieferanten an einem Messdatensatz durchgeführt werden;
8 zeigt ein Blockdiagramm mit beispielhaften Speicherzentren und entsprechenden Messdatensätzen oder Teilsätzen, die in den Speicherzentren gespeichert sind;
9 zeigt beispielhafte Transaktionen, die von Speicherzentren generiert werden, die in eine Blockkette eingebunden sind;
10 zeigt ein Beispiel für die Interaktion zwischen einem Datenlieferanten, einem Speicherzentrum und einem Datenabonnenten zum Abrufen eines Messdatensatzes;
11 ist ein Nachrichtendiagramm, das eine beispielhafte Interaktion zwischen einem Datenlieferanten, einem Speicherzentrum und einem Datenabonnenten zum Sammeln, Speichern und Abrufen eines Messdatensatzes veranschaulicht;
12 zeigt ein Flussdiagramm, das ein beispielhaftes Verfahren zur sicheren Speicherung von Messdaten in einer Prozessanlage in einem Speicherzentrum unter Verwendung eines verteilten Kontenbuchs darstellt,
13 zeigt ein Flussdiagramm, das ein beispielhaftes Verfahren zur Speicherung von Messdaten unter Verwendung eines von mehreren Teilnehmern verwalteten verteilten Kontenbuchs darstellt; und
14 zeigt ein Flussdiagramm, das ein beispielhaftes Verfahren zur Gewinnung sicher gespeicherter Messdaten aus einem Speicherzentrum und einem verteilten Kontenbuch darstellt.

DETAILLIERTE BESCHREIBUNG
Ein verteiltes Kontenbuch ist ein Speichermechanismus für Daten, Ereignisse, Transaktionen usw., der von mehreren Teilnehmern verwaltet wird. Genauer gesagt, ist ein verteiltes Kontenbuch eine Möglichkeit, einen verteilten Konsens über die Gültigkeit oder Ungültigkeit der im verteilten Kontenbuch erfassten Informationen zu erlangen. Mit anderen Worten, das verteilte Kontenbuch bietet den Teilnehmern und Beobachtern ein dezentrales Vertrauen. Im Gegensatz zu einer zentralen Instanz ist ein verteiltes Kontenbuch eine dezentrale Datenbank, in der ein Transaktionsprotokoll der Änderungen des Kontenbuchs von jedem Knoten eines Peer-to-Peer-Netzwerks geführt und validiert wird. Ein Typ des verteilten Kontenbuchs, eine Blockchain, besteht aus Gruppierungen von Transaktionen, die in einem „Block“ organisiert und sequentiell geordnet sind (daher der Begriff „Blockchain“). Während die hier besprochenen verteilten Kontenbücher im Rahmen einer Blockchain genannt werden, ist dies nur ein Beispiel für ein verteiltes Kontenbuch. Verteilte Kontenbücher können auch ein Tangle, ein Blockgitter oder einen anderen gerichteten azyklischen Graphen (engl. „directed acyclic graph“, DAG) umfassen. In jedem Fall können Knoten im Laufe der Zeit dem Blockchain-Netzwerk beitreten und dieses verlassen und Blöcke von Peer-Knoten erhalten, die während der Abwesenheit des Knotens weitergegeben wurden. Knoten können Adressen anderer Knoten verwalten und Adressen bekannter Knoten untereinander austauschen, um die Verbreitung neuer Informationen über das Netzwerk in einer dezentralen Peer-to-Peer-Art zu erleichtern.
Die Knoten, die sich das Kontenbuch teilen, bilden das so genannte „Distributed-Ledger-Netzwerk“ (Netzwerk des verteilten Kontenbuchs). Die Knoten im Distributed-Ledger-Netzwerk validieren Änderungen an der Blockchain (z. B. wenn eine neue Transaktion und/oder ein neuer Block angelegt wird) nach einem Satz von Konsensregeln. Die Konsensregeln hängen von den Informationen ab, die von der Blockchain nachverfolgt werden, und können Regeln bezüglich der Chain selbst enthalten. Beispielsweise kann eine Konsensregel beinhalten, dass der Urheber einer Änderung einen Identitätsnachweis liefert, so dass nur zugelassene Einheiten Änderungen an der Chain veranlassen dürfen. Eine Konsensregel kann vorsehen, dass Blöcke und Transaktionen Formatvorgaben einhalten und bestimmte Metainformationen zur Änderung liefern müssen (z. B. Blöcke müssen unterhalb einer Größengrenze liegen, Transaktionen müssen eine Anzahl von Feldern enthalten usw.). Die Konsensregeln können einen Mechanismus zur Festlegung der Reihenfolge enthalten, in der neue Blöcke in die Chain eingefügt werden (z. B. durch ein Proof-of-Work-System, Proof-of-Sake usw.).
Zusätze zur Blockchain, die die Konsensregeln erfüllen, werden von Knoten, die den Zusatz validiert haben, an andere Knoten, die dem validierenden Knoten bekannt sind, weitergegeben. Wenn alle Knoten, die eine Änderung an der Blockchain erhalten, den neuen Block validieren, dann spiegelt das verteilte Kontenbuch die neue Änderung so wider, wie sie auf allen Knoten gespeichert ist, und es kann gesagt werden, dass ein verteilter Konsens in Bezug auf den neuen Block und die darin enthaltenen Informationen erlangt wurde. Jede Änderung, die die Konsensregel nicht erfüllt, wird durch die Validierung der Knoten, die die Änderung erhalten, ignoriert und die Änderung wird nicht an andere Knoten weitergegeben. Dementsprechend kann eine einzelne Partei im Gegensatz zu einem herkömmlichen System, das eine zentrale Instanz verwendet, das verteilte Kontenbuch nicht einseitig ändern, es sei denn, die einzelne Partei kann dies in einer Weise tun, die die Konsensregeln erfüllt. Die Unfähigkeit, vergangene Transaktionen zu verändern, führt dazu, dass Blockchains allgemein als vertrauenswürdig, sicher und unveränderlich beschrieben werden.
Die Validierungsaktivitäten von Knoten, die Konsensregeln auf ein Blockchain-Netzwerk anwenden, können verschiedene Formen annehmen. In einer Ausführung kann die Blockchain als eine gemeinsame Tabelle betrachtet werden, welche die Daten, wie den Besitz von Vermögenswerten, nachverfolgt. In einer anderen Ausführung führen die validierenden Knoten den Code aus, der in Smart Contracts enthalten ist, und der verteilte Konsens äußert sich darin, dass sich die Netzwerkknoten über die Ausgabe des ausgeführten Codes einigen.
Ein Smart Contract ist ein Computerprotokoll, das die automatische Ausführung und/oder Durchsetzung einer Vereinbarung zwischen verschiedenen Parteien ermöglicht. Insbesondere kann der Smart Contract ein Computercode sein, der sich an einer bestimmten Adresse auf der Blockchain befindet. In einigen Fällen kann der Smart Contract automatisch ablaufen, wenn ein Teilnehmer der Blockchain Gelder (z. B. eine Kryptowährung wie Bitcoin, Ether oder eine andere digitale/virtuelle Währung) an die Adresse sendet, an der der Smart Contract gespeichert ist. Zusätzlich können Smart Contracts einen Saldo des Betrags der Gelder führen, die an ihrer Adresse gespeichert sind. In einigen Szenarien, wenn dieser Saldo Null erreicht, ist der Smart Contract möglicherweise nicht mehr funktionsfähig.
Der Smart Contract kann eine oder mehrere Auslösebedingungen enthalten, die, wenn sie erfüllt sind, einer oder mehreren Aktionen entsprechen. Bei einigen Smart Contracts kann/können die durchgeführte(n) Aktion(en) auf der Grundlage einer oder mehrerer Entscheidungsbedingungen bestimmt werden. In einigen Fällen können Datenströme an den Smart Contract geleitet werden, so dass der Smart Contract das Eintreten einer Auslösebedingung erkennen und/oder eine Entscheidungsbedingung analysieren kann.
Blockchains können öffentlich, dezentral und genehmigungsfrei eingesetzt werden, was bedeutet, dass jede Partei das verteilte Kontenbuch einsehen, neue Informationen zum Kontenbuch hinzufügen oder dem Netzwerk als Validierungsknoten beitreten kann. Andere Blockchains sind privat (z. B. geschlossene Kontenbücher), die Chain-Daten zwischen einer Gruppe von Einheiten geheim halten, die zur Teilnahme am Blockchain-Netzwerk berechtigt sind. Andere Blockchain-Ausführungen können sowohl offen als auch geschlossen sein, wobei die Teilnehmer möglicherweise validiert werden müssen, wobei jedoch nur die Informationen veröffentlicht werden, die die Teilnehmer des Netzwerks veröffentlichen möchten.
In einigen Ausführungen enthält ein verteiltes Kontenbuch mehrere Blockchains, wie z. B. eine Haupt-Blockchain und mehrere unabhängig von der Haupt-Blockchain arbeitende Neben-Chains. Die Neben-Chains interagieren dann mit der Haupt-Blockchain, um einige der Transaktionsdaten von den Neben-Chains an die Haupt-Blockchain zu liefern. Auf diese Weise können die Neben-Chains privat sein, während die Haupt-Blockchain öffentlich ist oder einer größeren Anzahl von Einheiten als die Neben-Chains zur Verfügung steht. Nicht sensible Informationen aus den Neben-Chains können in der Haupt-Blockchain freigegeben werden. Ebenso enthält ein verteiltes Kontenbuch in einigen Ausführungen mehrere Schichten oder separate, parallel ausgeführte Blockchains, die von denselben Validierungsknoten verwaltet werden. Ein Teil der Transaktionsdaten von der Blockchain für die erste Schicht kann der Blockchain für die zweite Schicht zur Verfügung gestellt werden oder umgekehrt.
In einem Beispiel kann ein verteiltes Kontenbuch durch die Validierung von Knotenpunkten verwaltet werden, welche Daten an Remote-Systeme übertragen, die ein oder mehrere öffentliche und/oder private Netzwerke nutzen, wie z. B. ein privates Unternehmensnetzwerk, das Internet, einen Mobilfunkrouter, eine Backhaul-Internetverbindung oder eine Backhaulverbindung anderen Typs. Die Validierungsknoten empfangen Transaktionen, die z. B. von Speicherzentren an das Distributed-Ledger-Netzwerk gesendet werden. Andere Computergeräte, wie z. B. Bedienerarbeitsplätzen, Servergeräte oder andere Benutzerschnittstellen-Geräte in der Prozessanlage können ebenfalls Transaktionen an das Distributed-Ledger-Netzwerk senden. Anschließend validieren die Validierungsknoten die gesendeten Transaktionen. In einigen Ausführungen validieren die Speicherzentren auch Knoten, so dass die Speicherzentren Transaktionen an das Distributed-Ledger-Netzwerk senden und die gesendeten Transaktionen validieren.
1 ist ein Blockdiagramm einer beispielhaften Prozessanlage 10, die eine oder mehrere der hier beschriebenen neuartigen Techniken für verteilte Kontenbücher verwenden kann. Die Prozessanlage 10 (die hier austauschbar auch als Prozessleitsystem 10 oder Prozessleitsystemumgebung 10 bezeichnet wird) umfasst eine oder mehrere Prozesssteuerungen, die Signale empfangen, die für die von Feldgeräten durchgeführten Prozessmessungen kennzeichnend sind, diese Informationen verarbeiten, um eine Steuerroutine umzusetzen, und Steuersignale erzeugen, die über drahtgebundene oder drahtlose Prozesssteuerungs-Kommunikationsverbindungen oder Netzwerke an andere Feldgeräte gesendet werden, um den Betrieb eines Prozesses in der Anlage 10 zu steuern. Typischerweise führt mindestens ein Feldgerät eine physische Funktion aus (z. B. Öffnen oder Schließen eines Ventils, Erhöhen oder Verringern einer Temperatur, Durchführung einer Messung, Erfassen eines Zustands usw.), um den Betrieb eines Prozesses zu steuern. Einige Arten von Feldgeräten kommunizieren mit Steuerungen über E/A-Geräte. Prozesssteuerungen, Feldgeräte und E/A-Geräte können drahtgebunden oder drahtlos sein, und jede Anzahl und Kombination von drahtgebundenen und drahtlosen Prozesssteuerungen, Feldgeräten und E/A-Geräten kann in die Umgebung der Prozessanlage oder des Systems 10 eingebunden werden.
So zum Beispiel zeigt 1 eine Prozesssteuerung 11, die über die Ein-/Ausgabekarten (E/A-Karten) 26 und 28 mit den drahtgebundenen Feldgeräten 15-22 und über ein Wireless-Gateway 35 und eine Prozesssteuerungsdatenautobahn oder ein Backbone 105 mit den drahtlosen Feldgeräten 40-46 kommunikativ verbunden ist. Die Prozesssteuerungsdatenautobahn 105 kann eine oder mehrere drahtgebundene und/oder drahtlose Kommunikationsverbindungen beinhalten und kann mit jedem gewünschten oder geeigneten Kommunikationsprotokoll, wie z. B. einem Ethernet-Protokoll, umgesetzt werden. In einigen Konfigurationen (nicht abgebildet) kann die Steuerung 11 über ein oder mehrere andere Kommunikationsnetzwerke außer dem Backbone 105 kommunikativ mit dem Wireless-Gateway 35 verbunden werden, z. B. durch die Verwendung einer beliebigen Anzahl anderer drahtgebundener oder drahtloser Kommunikationsverbindungen, die ein oder mehrere Kommunikationsprotokolle unterstützen, z. B. Wi-Fi oder ein anderes IEEE-802.11-konformes, drahtloses, lokales Netzwerkprotokoll, Mobilkommunikationsprotokoll (z. B. WiMAX, LTE oder ein anderes ITU-R-kompatibles Protokoll), Bluetooth®, HART®, WirelessHART®, Profibus, FOUNDATION® Fieldbus usw.
Die Steuerung 11, die z. B. die von Emerson Process Management verkaufte DeltaV™-Steuerung sein kann, ermöglicht die Ausführung eines Batch-Prozesses oder eines kontinuierlichen Prozesses unter Verwendung mindestens einiger der Feldgeräte 15-22 und 40-46. In einer Ausführungsform ist die Steuerung 11 nicht nur kommunikativ mit der Prozesssteuerungsdatenautobahn 105 verbunden, sondern auch mit mindestens einigen der Feldgeräte 15-22 und 40-46, wobei jede gewünschte Hard- und Software verwendet wird, die z. B. mit 4-20-mA-Standardgeräten, E/A-Karten 26, 28 und/oder jedem intelligenten Kommunikationsprotokoll wie dem FOUNDATION®-Fieldbus-Protokoll, dem HART®-Protokoll, dem WirelessHART®-Protokoll usw. verbunden ist. In 1 sind die Steuerung 11, die Feldgeräte 15-22 und die E/A-Karten 26, 28 drahtgebundene Geräte und die Feldgeräte 40-46 drahtlose Feldgeräte. Natürlich könnten die drahtgebundenen Feldgeräte 15-22 und die drahtlosen Feldgeräte 40-46 jedem anderen gewünschten Standard oder Protokoll entsprechen, wie z. B. allen drahtgebundenen oder drahtlosen Protokollen, einschließlich aller in der Zukunft entwickelten Standards oder Protokolle.
Die Prozesssteuerung 11 von 1 beinhaltet einen Prozessor 30, der eine oder mehrere Prozesssteuerungsroutinen 38 (z. B. solche, die in einem Speicher 32 abgelegt sind) implementiert oder überwacht. Der Prozessor 30 ist konfiguriert, um mit den Feldgeräten 15-22 und 40-46 und mit anderen mit der Steuerung 11 kommunikativ verbundenen Knoten zu kommunizieren. Zu beachten ist, dass beliebige der hier beschriebenen Steuerungsroutinen oder Module von verschiedenen Steuerungen oder anderen Geräten umgesetzt oder ausgeführt werden können, sofern dies gewünscht ist. Ebenso können die hier beschriebenen Steuerungsroutinen oder Module 38, die innerhalb des Prozessleitsystems 10 zu implementieren sind, jede Form annehmen, einschließlich Software, Firmware, Hardware usw. Die Steuerungsroutinen können in jedem gewünschten Softwareformat implementiert werden, wie z. B. durch objektorientierte Programmierung, Kontaktplan, Ablaufsprache, Funktionsblockdiagramm oder durch jede andere Software-Programmiersprache oder jedes andere Design-Modell. Die Steuerungsroutinen 38 können in jedem beliebigen Speichertyp 32, wie z. B. RAM (Random Access Memory) oder ROM (Read Only Memory), gespeichert werden. Ebenso können die Steuerungsroutinen 38 z. B. in ein oder mehrere EPROMs, EEPROMs, anwendungsspezifische integrierte Schaltkreise (ASICs) oder andere Hardware- oder Firmware-Elemente fest einprogrammiert werden. Somit kann die Steuerung 11 so konfiguriert werden, dass eine Steuerungsstrategie oder Steuerungsroutine in jeder gewünschten Weise umgesetzt werden kann.
Die Steuerung 11 implementiert eine Steuerungsstrategie mit Hilfe von sogenannten Funktionsblöcken, wobei jeder Funktionsblock ein Objekt oder ein anderer Teil (z. B. ein Unterprogramm) einer übergreifenden Steuerungsroutine ist und in Verbindung mit anderen Funktionsblöcken (über Kommunikationswege, die als Links bezeichnet wird) arbeitet, um Prozesssteuerungskreise innerhalb des Prozessleitsystems 10 umzusetzen. Steuerungsbasierte Funktionsblöcke führen typischerweise eine Eingangsfunktion aus, wie z. B. diejenige, die mit einem Transmitter, einem Sensor oder einem anderen Prozessparameter-Messgerät verbunden ist, eine Steuerungsfunktion, wie z. B. diejenige, die mit einer Steuerungsroutine verbunden ist, die eine PID-, Fuzzy-Logik-Steuerung usw. durchführt, oder eine Ausgangsfunktion, die den Betrieb eines Gerätes, wie z. B. eines Ventils, steuert, um eine physische Funktion innerhalb des Prozessleitsystems 10 auszuführen. Natürlich gibt es auch hybride und andere Arten von Funktionsblöcken. Funktionsblöcke können in der Steuerung 11 gespeichert und von ihr ausgeführt werden, was in der Regel der Fall ist, wenn diese Funktionsblöcke für 4-20-mA-Standardgeräte und einige Arten von intelligenten Feldgeräten wie HART^®-Geräte verwendet werden, oder sie können in den Feldgeräten selbst gespeichert und von ihnen implementiert werden, was bei FOUNDATION^®-Fieldbus-Geräten der Fall sein kann. Die Steuerung 11 kann eine oder mehrere Steuerungsroutinen 38 beinhalten, die einen oder mehrere Steuerungskreise implementieren können, die durch die Ausführung eines oder mehrerer Funktionsblöcke ausgeführt werden.
Bei den drahtgebundenen Feldgeräten 15-22 kann es sich um beliebige Gerätetypen wie Sensoren, Ventile, Messumformer, Stellungsregler usw. handeln, während die E/A-Karten 26 und 28 beliebige Typen von E/A-Geräten sein können, die jedem gewünschten Kommunikations- oder Steuerungsprotokoll entsprechen. In 1 sind die Feldgeräte 15-18 Standardgeräte 4-20-mA-Standardgeräte oder HART^®-Geräte, die über analoge Leitungen oder kombinierte analoge und digitale Leitungen mit der E/A-Karte 26 kommunizieren, während die Feldgeräte 19-22 intelligente Geräte, wie z. B. FOUNDATION^®-Fieldbus-Feldgeräte, sind, die über einen digitalen Bus mit einem FOUNDATION^®-Fieldbus-Kommunikationsprotokoll mit der E/A-Karte 28 kommunizieren. In einigen Ausführungsformen kommunizieren jedoch zumindest einige der drahtgebundenen Feldgeräte 15, 16 und 18-21 und/oder zumindest einige der E/A-Karten 26, 28 zusätzlich oder alternativ mit der Steuerung 11 über die Prozesssteuerungsdatenautobahn 105 und/oder über andere geeignete Steuerungssystemprotokolle (z. B. Profibus, DeviceNet, Foundation Fieldbus, ControlNet, Modbus, HART usw.).
In 1 kommunizieren die drahtlosen Feldgeräte 40-46 über ein drahtloses Kommunikationsnetzwerk 70 der Prozesssteuerungstechnik mit einem drahtlosen Protokoll, wie z. B. dem WirelessHART^®-Protokoll. Solche drahtlosen Feldgeräte 40-46 können direkt mit einem oder mehreren anderen Geräten oder Knoten des drahtlosen Netzwerks 70 kommunizieren, die ebenfalls für die drahtlose Kommunikation (z. B. über das drahtlose Protokoll oder ein anderes drahtloses Protokoll) konfiguriert sind. Zur Kommunikation mit einem oder mehreren anderen Knoten, die nicht für die drahtlose Kommunikation konfiguriert sind, können die drahtlosen Feldgeräte 40-46 ein Wireless-Gateway 35 verwenden, das an die Prozesssteuerungsdatenautobahn 105 oder mit einem anderen Prozesssteuerungs-Kommunikationsnetzwerk verbunden ist. Das Wireless-Gateway 35 ermöglicht den Zugriff auf verschiedene drahtlose Geräte 40-58 des drahtlosen Kommunikationsnetzwerks 70. Insbesondere das Wireless-Gateway 35 sorgt für die kommunikative Kopplung zwischen den drahtlosen Geräten 40-58, den drahtgebundenen Geräten 15-28 und/oder anderen Knoten bzw. Geräten der Prozesssteuerungsanlage 10. Das Wireless-Gateway 35 kann z. B. eine kommunikative Kopplung über die Prozesssteuerungsdatenautobahn 105 und/oder über ein oder mehrere andere Kommunikationsnetzwerke der Prozessanlage 10 ermöglichen.
Ähnlich wie die drahtgebundenen Feldgeräte 15-22 übernehmen die drahtlosen Feldgeräte 40-16 des drahtlosen Netzwerkes 70 physische Steuerungsfunktionen innerhalb der Prozessanlage 10, z. B. das Öffnen oder Schließen von Ventilen oder die Messung von Prozessparametern. Die drahtlosen Feldgeräte 40-46 sind jedoch zur Kommunikation über das drahtlose Protokoll des Netzwerks 70 konfiguriert. So sind die drahtlosen Feldgeräte 40-46, das Wireless-Gateway 35 und andere drahtlose Knoten 52-58 des drahtlosen Netzwerks 70 Erzeuger und Verbraucher von drahtlosen Kommunikationspaketen.
In einigen Konfigurationen der Prozessanlage 10 umfasst das drahtlose Netzwerk 70 auch nichtdrahtlose Geräte. So ist z. B. in 1 ein Feldgerät 48 aus 1 ein Legacy-4-20-mA-Gerät und ein Feldgerät 50 ist ein drahtgebundenes HART^®-Gerät. Zur Kommunikation innerhalb des Netzwerks 70 sind die Feldgeräte 48 und 50 über einen drahtlosen Adapter 52A, 52B mit dem drahtlosen Kommunikationsnetzwerk 70 verbunden. Die drahtlosen Adapter 52A, 52B unterstützen ein drahtloses Protokoll wie WirelessHART und können auch ein oder mehrere andere Kommunikationsprotokolle wie Foundation^® Fieldbus, PROFIBUS, DeviceNet usw. unterstützen. Zusätzlich enthält das drahtlose Netzwerk 70 in einigen Konfigurationen einen oder mehrere Netzwerkzugangspunkte 55A, 55B, die separate physische Geräte in drahtgebundener Kommunikation mit dem Wireless-Gateway 35 sein können oder mit dem Wireless-Gateway 35 als integrales Gerät ausgestattet sein können. Das drahtlose Netzwerk 70 kann auch einen oder mehrere Router 58 enthalten, um Pakete von einem drahtlosen Gerät zu einem anderen drahtlosen Gerät innerhalb des drahtlosen Kommunikationsnetzwerks 70 weiterzuleiten. In 1 kommunizieren die drahtlosen Geräte 40-46 und 52-58 untereinander und mit dem Wireless-Gateway 35 über drahtlose Verbindungen 60 des drahtlosen Kommunikationsnetzwerkes 70 bzw. über die Prozesssteuerungsdatenautobahn 105.
In 1 umfasst das Prozessleitsystem 10 eine oder mehrere Bedienerarbeitsstationen oder Benutzerschnittstellengeräte 8, die kommunikativ mit der Datenautobahn 105 verbunden sind. Über die Bedienarbeitsstationen 8 können Bediener den laufenden Betrieb der Prozessanlage 10 einsehen und überwachen sowie ggf. erforderliche Diagnose-, Korrektur-, Wartungs- und/oder sonstige Maßnahmen ergreifen. Zumindest ein Teil der Bedienerarbeitsstationen 8 kann sich an verschiedenen, geschützten Stellen in oder nahe der Anlage 10 befinden, und in manchen Situationen kann zumindest ein Teil der Bedienerarbeitsstationen 8 weit entfernt, aber dennoch in kommunikativer Verbindung mit der Anlage 10 stehen. Bedienerarbeitsstationen 8 können drahtgebundene oder drahtlose Computergeräte sein.
Das beispielhafte Prozessleitsystem 10 kann weiterhin eine Konfigurationsanwendung (nicht dargestellt) und eine Konfigurationsdatenbank (nicht dargestellt) enthalten, die jeweils auch kommunikativ mit der Datenautobahn 105 verbunden sind. Wie oben besprochen, können verschiedene Instanzen der Konfigurationsanwendung (nicht dargestellt) auf einem oder mehreren Benutzerschnittstellengeräten 8 ausgeführt werden, um dem Benutzer die Erstellung oder Änderung von Prozesssteuerungsmodulen und den Download dieser Module über die Datenautobahn 105 zu den Steuerungen 11 zu ermöglichen sowie um dem Benutzer die Erstellung oder Änderung von Bediengeräten zu ermöglichen, über die ein Bediener Daten einsehen und Dateneinstellungen innerhalb von Prozesssteuerungsroutinen ändern kann. In der Konfigurationsdatenbank (nicht dargestellt) werden die erstellten (z. B. konfigurierten) Module bzw. Benutzerschnittstellen gespeichert.
In einigen Konfigurationen enthält das Prozessleitsystem 10 einen oder mehrere andere drahtlose Zugangspunkte 7a, die mit anderen Geräten über andere drahtlose Protokolle wie Wi-Fi oder andere IEEE-802.11-konforme, drahtlose, lokale Netzwerkprotokolle, mobile Kommunikationsprotokolle wie WiMAX (Worldwide Interoperability for Microwave Access), LTE (Long Term Evolution) oder andere ITU-R-(International Telecommunication Union Radiocommunication Sector)-kompatible Protokolle, kurzwellige Funkkommunikation wie Nahfeldkommunikation (NFC) und Bluetooth oder andere drahtlose Kommunikationsprotokolle kommunizieren. In der Regel ermöglichen solche drahtlosen Zugangspunkte 7a Handheld- oder anderen tragbaren Computergeräten über ein entsprechendes drahtloses Prozesssteuerungs-Kommunikationsnetzwerk zu kommunizieren, das sich vom drahtlosen Netzwerk 70 unterscheidet und ein anderes drahtloses Protokoll als das drahtlose Netzwerk 70 unterstützt. Zum Beispiel kann ein drahtloses oder tragbares Benutzerschnittstellengerät 8 eine mobile Arbeitsstation oder ein Diagnose-Testgerät sein, das von einem Bediener innerhalb der Prozessanlage 10 verwendet wird. In einigen Szenarien kommunizieren neben tragbaren Computergeräten auch ein oder mehrere Prozesssteuerungsgeräte (z. B. die Steuerung 11, die Feldgeräte 15-22 oder die drahtlosen Geräte 35, 40-58) über das von den Zugangspunkten 7a unterstützte, drahtlose Protokoll.
In einigen Konfigurationen beinhaltet das Prozessleitsystem 10 ein oder mehrere Gateways 7b, 7c zu Systemen, die außerhalb des unmittelbaren Prozessleitsystems 10 liegen (hier auch als „Edge-Gateway“ bezeichnet und nachfolgend näher beschrieben). In der Regel handelt es sich bei solchen Systemen um Kunden oder Anbieter von Informationen, die durch das Prozessleitsystem 10 erzeugt oder gesteuert werden. So kann z. B. die Prozesssteuerungsanlage 10 einen Gateway-Knoten 7b enthalten, um die unmittelbare Prozessanlage 10 mit einer anderen Prozessanlage kommunikativ zu verbinden. Zusätzlich oder alternativ kann die Prozesssteuerungsanlage 10 einen Gateway-Knoten 7c zur kommunikativen Anbindung der unmittelbaren Prozesssteuerungsanlage 10 an ein externes öffentliches oder privates System, wie z. B. ein Laborsystem (z. B. Laborinformationsmanagementsystem oder LIMS), eine Operator-Round-Datenbank, ein Materialflusssystem, ein Wartungsmanagementsystem, ein Produktbestandsführungssystem, ein Produktionsplanungssystem, ein Wetterdatensystem, ein Versand- und Handlingsystem, ein Verpackungssystem, das Internet, das Prozessleitsystem eines anderen Anbieters oder andere externe Systeme enthalten.
Es wird darauf hingewiesen, dass 1 zwar nur eine einzelne Steuerung 11 mit einer endlichen Anzahl von Feldgeräten 15-22 und 40-46, Wireless-Gateways 35, drahtlosen Adaptern 52, Zugangspunkten 55, Routern 58 und drahtlosen Prozesssteuerungs-Kommunikationsnetzwerken 70, die in der beispielhaften Prozessanlage 10 enthalten sind, darstellt, dies aber nur eine veranschaulichende und nicht einschränkende Ausführungsform ist. Eine beliebige Anzahl von Steuerungen 11 kann in die Prozesssteuerungsanlage oder das System 10 eingebunden werden, und jede der Steuerungen 11 kann mit einer beliebigen Anzahl von drahtgebundenen oder drahtlosen Geräten und Netzwerken 15-22, 40-46, 35, 52, 55, 58 und 70 kommunizieren, um einen Prozess in der Anlage 10 zu steuern.
Weiterhin ist zu beachten, dass die Prozessanlage bzw. das Steuerungssystem 10 von 1 eine Feldumgebung (z. B. „die Ebene der Prozessanlage“) und eine Backend-Umgebung (z. B. die Server 12) umfasst, die über die Datenautobahn 105 kommunikativ verbunden sind. Wie in 1 gezeigt, enthält die Feldumgebung physische Komponenten (z. B. Prozesssteuerungsgeräte, Netzwerke, Netzwerkelemente usw.), die zur Steuerung des Prozesses während der Laufzeit angeordnet, installiert und darin miteinander verbunden sind. So befinden sich z. B. die Steuerung 11, die E/A-Karten 26, 28, die Feldgeräte 15-22 und weitere Geräte und Netzwerkkomponenten 40-46, 35, 52, 55, 58 und 70 in der Feldumgebung der Prozessanlage 10, die platziert, angeordnet oder anderweitig in diese einbezogen werden. In der Regel werden in der Feldumgebung der Prozessanlage 10 Rohstoffe entgegengenommen und mit den darin befindlichen physischen Komponenten zu einem oder mehreren Produkten verarbeitet.
Die Backend-Umgebung der Prozessanlage 10 umfasst verschiedene Komponenten wie Server-Computer 12, Bedienerarbeitsstationen 8, Datenbanken oder Datenbestände usw., die gegen die rauen Bedingungen und Materialien der Feldumgebung abgeschirmt bzw. geschützt sind. Bezogen auf 1 umfasst die Backend-Umgebung z. B. die Bedienerarbeitsstationen 8, die Server-Rechengeräte 12 und/oder Funktionen, die den Laufzeitbetrieb der Prozessanlage 10 unterstützen. In einigen Konfigurationen können sich verschiedene Computergeräte, Datenbanken und andere Komponenten und Ausrüstungen, die in der Backend-Umgebung der Prozessanlage 10 enthalten sind, physisch an verschiedenen Orten befinden, von denen einige lokal in der Prozessanlage 10 und andere entfernt sein können.
2 enthält ein Blockdiagramm einer beispielhaften Sicherheitsarchitektur 200 für die Prozessanlage 10. Wie in 2 dargestellt, sind ein oder mehrere Geräte 202 kommunikativ mit einem oder mehreren Wireless-Gateways 205A, 205B verbunden, die z. B. Instanzen des Wireless-Gateways 35 aus 1 sein können. Die kommunikativen Verbindungen zwischen den Gateways 205A, 205B und den Geräten 202 sind mit den Bezugszeichen 204A, 204B bezeichnet.
Der Geräte-Satz 202 wird als eine endliche Anzahl von drahtlosen Feldgeräten dargestellt. Es versteht sich jedoch, dass die hierin in Bezug auf die Geräte 202 beschriebenen Konzepte und Merkmale problemlos auf eine beliebige Anzahl von Feldgeräten der Prozessanlage 10 sowie auf beliebige Feldgeräte-Typen angewendet werden können. Beispielsweise können die Feldgeräte 202 ein oder mehrere drahtgebundene Feldgeräte 15-22 enthalten, die über ein oder mehrere drahtgebundene Kommunikationsnetzwerke der Prozessanlage 10 kommunikativ mit den Wireless-Gateways 205A, 205B verbunden sind, und/oder die Feldgeräte 202 können drahtgebundene Feldgeräte 48, 50 enthalten, die an drahtlose Adapter 52A, 52B gekoppelt sind.
Ferner versteht es sich, dass der Geräte-Satz 202 nicht nur auf Feldgeräte beschränkt ist, sondern zusätzlich oder alternativ jedes Gerät oder jede Komponente innerhalb der Prozessanlage 10 umfassen kann, die Daten als Ergebnis der Steuerung des Online-Prozesses durch die Prozessanlage 10 erzeugt. Beispielsweise kann der Geräte-Satz 202 ein Diagnosegerät oder eine Komponente enthalten, die Diagnosedaten erzeugt, ein Netzwerk-Routing-Gerät oder eine Komponente, die Informationen zwischen verschiedenen Komponenten der Prozessanlage 10 überträgt, und Ähnliches. Tatsächlich kann jede der in 1 gezeigten Komponenten (z. B. die Komponenten 7a-7c, 8, 11, 12, 15-22, 26, 28, 35, 40-46, 52, 55, 58, 60 und 70) und andere Komponenten, die nicht gezeigt werden, ein Gerät sein, das Daten für die Lieferung an die Speicherzentren 210 erzeugt. Als Solches wird der Geräte-Satz 202 hier austauschbar als „Datenquellen 202“ oder „Datenquellen-Geräte 202“ bezeichnet.
2 zeigt weiter eine Reihe von Remote-Anwendungen oder -Services 208, die für die Prozessanlage 10 genutzt werden können und/oder die die Prozessanlage 10 nutzt. Der Satz von Remote-Anwendungen oder -Diensten 208 kann auf einem oder mehreren Remote-Systemen ausgeführt oder gehostet werden. Insbesondere können die Remote-Systeme Speicherzentren 210 enthalten, die die in der Prozessanlage 10 erzeugten Daten speichern. Die Remote-Systeme können auch Datenabonnenten enthalten, die die Daten abrufen und die Remote-Anwendungen 208 ausführen. Zumindest einige der Anwendungen oder Dienste 208 arbeiten in Echtzeit mit Echtzeitdaten, da die Echtzeitdaten von der Prozessanlage 10 erzeugt und von den Anwendungen oder Diensten 208 empfangen werden. Andere Anwendungen oder Dienste 208 können auf den von Prozessanlagen generierten Daten mit weniger strikten Zeitanforderungen arbeiten oder diese ausführen. Beispiele für Anwendungen/Dienste 208, die auf dem Remote-System ausgeführt oder gehostet werden können und die Verbraucher von Daten sind, die von der Prozessanlage 10 erzeugt werden, sind Anwendungen, die in der Prozessanlage 10 auftretende Zustände und/oder Ereignisse überwachen und/oder erfassen, sowie Anwendungen oder Dienste, die zumindest einen Teil des Online-Prozesses selbst überwachen, während er in der Prozessanlage 10 ausgeführt wird. Weitere Beispiele für Anwendungen/Dienstleistungen 208 sind die beschreibende und/oder präskriptive Analytik, die mit Daten arbeiten kann, die von der Prozessanlage 10 erzeugt werden, und in einigen Fällen mit Erkenntnissen arbeiten kann, die aus der Analyse der von der Prozessanlage erzeugten Daten gewonnen oder entdeckt wurden, sowie mit Daten, die von anderen Prozessanlagen erzeugt und von diesen empfangen wurden. Weitere Beispiele für Anwendungen/Dienstleistungen 208 sind eine oder mehrere Routinen, die präskriptive Funktionen und/oder Änderungen implementieren, die z. B. aufgrund einer anderen Dienstleistung oder Anwendung wieder in die Prozessanlage 10 implementiert werden sollen. Andere Beispiele von Anwendungen und Diensten 208 basieren auf Kenntnissen, die aus der Analyse von historischen Daten, die von der Prozessanlage und/oder anderen Prozessanlagen erzeugt wurden, oder aus dem Vergleich von Daten für eine Prozessanlageneinheit mit Datenprozessanlageneinheiten desselben oder eines ähnlichen Typs gewonnen wurden.
Die Speicherzentren 210 können auf jede gewünschte Art und Weise implementiert werden, z. B. durch eine entfernte Bank von vernetzten Servern, Cloud-Computing-Systemen, Netzwerken usw., einschließlich der Rechengeräte der Speicherzentren.
Generell bietet die Sicherheitsarchitektur 200 eine Ende-zu-Ende-Sicherheit von der Feldumgebung der Prozessanlage 10, in der die Geräte 202 installiert sind und betrieben werden, bis hin zum Remote-System, das Anwendungen und/oder Dienste 208 bereitstellt, die die von der Prozessanlage 10 erzeugten Daten verbrauchen und verarbeiten. So können Daten, die von den Geräten 202 und anderen Komponenten der Prozessanlage 10 erzeugt werden, sicher zum Remote-System einschließlich der Speicherzentren 210 zur Nutzung durch die Remote-Anwendungen/-Dienste 208 transportiert werden, während die Anlage 10 vor Cyber-Angriffen, Einbrüchen und/oder anderen böswilligen Ereignissen geschützt wird. Die Sicherheitsarchitektur 200 umfasst insbesondere ein Feld-Gateway 212 und ein Edge-Gateway 218, die zwischen der Prozessanlage 10 (z. B. zwischen den Wireless-Gateways 205A, 205B der Prozessanlage 10) und den Speicherzentren 210 angeordnet sind.
Daten, die aus der Prozessanlage 10 herausgehen und vom Eingangsport 220 zum Ausgangsport 222 übertragen werden, können durch Verschlüsselung weiter gesichert werden. In einem Beispiel verschlüsselt das Feld-Gateway 212 Daten und liefert verschlüsselte Daten an den Eingangsport 220. Der verschlüsselte und übermittelte Datenverkehr kann in einem Beispiel ein UDP-Datenverkehr (User Datagram Protocol) und in einem anderen Beispiel ein JSON-Datenverkehr oder ein anderes allgemeines Kommunikationsformat sein.
Das Feld-Gateway 212 verbindet sich kommunikativ mit der Prozesssteuerungsanlage 10. Wie in 2 dargestellt, ist das Feld-Gateway 212 kommunikativ mit den Wireless-Gateways 205A, 205B verbunden, die in der Feldumgebung der Prozessanlage 10 angeordnet sind und die mit einem oder mehreren Geräten oder mit einer oder mehreren Datenquellen 202 kommunikativ verbunden sind. Wie bereits erwähnt, können die Geräte bzw. Datenquellen 202 und die Wireless-Gateways 205A, 205B über das Industrieprotokoll WirelessHART oder ein anderes geeignetes drahtloses Protokoll kommunizieren, das so strukturiert ist, dass es eine sichere Kommunikation über einen oder mehrere Sicherheitsmechanismen ermöglicht. Das WirelessHART-Industrieprotokoll bietet beispielsweise eine 128-Bit-AES-Verschlüsselung, wobei sich die Kommunikationspfade 204A, 204B entsprechend absichern lassen.
Zusätzlich wird die kommunikative Verbindung 225 zwischen den Wireless Gateways 205A, 205B und dem Feld-Gateway 212 jeweils mit dem gleichen oder einem anderen Sicherheitsmechanismus gesichert, wie es für die kommunikativen Verbindungen 204A, 204B der Fall ist. In einem Beispiel ist die Kommunikationsverbindung 225 durch einen TLS-Wrapper (Transport Layer Security) gesichert. Die Wireless-Gateways 205A, 205B generieren beispielsweise Pakete im HART-IP-Format, die durch einen TLS-Wrapper für die Übertragung zum Feld-Gateway 212 gesichert sind.
So können, wie oben beschrieben, in einer Ausführungsform Daten oder Pakete, die von den Geräten 202 generiert werden, für den Transit 204A, 204B zu den Wireless-Gateways 205A, 205B mit einem ersten Sicherheitsmechanismus gesichert werden und anschließend für den Transit 225 von den Wireless-Gateways 205A, 205B zum Feld-Gateway 212 mit einem zweiten Sicherheitsmechanismus gesichert werden und weiter für den Transit zum Edge-Gateway 218 mit einem dritten Sicherheitsmechanismus gesichert werden. Zusätzlich oder alternativ kann, wie in 2 dargestellt, das Edge-Gateway 218 durch eine Firewall 228 geschützt werden.
Daten, die vom Edge-Gateway 218 zu den Speicherzentren 210 übertragen werden, können über ein oder mehrere öffentliche und/oder private Netzwerke, wie z. B. ein privates Unternehmensnetzwerk, das Internet, einen Mobilfunkrouter, eine Backhaul-Internetverbindung oder eine Backhaulverbindung anderen Typs, übertragen werden. Entscheidend ist, dass die Daten, die vom Edge-Gateway 218 zu den Speicherzentren 210 übertragen werden, durch einen vierten Sicherheitsmechanismus gesichert werden. Genauer gesagt kann jeder Satz oder Teilsatz des Datenverkehrs, der vom Edge Gateway 218 an die Speicherzentren 210 geliefert wird, mit einem kryptographischen Schlüssel verschlüsselt werden. In einigen Ausführungen ist der kryptographische Schlüssel ein einmaliger kryptographischer Schlüssel oder ein One-Time-Pad, der einmal zur Verschlüsselung des Satzes oder Teilsatzes von Daten verwendet wird. Die Speicherzentren 210 haben möglicherweise keinen Zugriff auf das One-Time-Pad. Stattdessen speichern die Speicherzentren 210 die verschlüsselten Sätze oder Teilsätze von Daten. Wenn ein Datenabonnent einen bestimmten Datensatz anfordert, der von der Prozessanlage 10 oder einem anderen Datenlieferanten erzeugt wurde, stellt das Edge-Gateway 218 dem Datenabonnenten beispielsweise das One-Time Pad zur Verfügung, um den verschlüsselten Datensatz oder Teilsatz zu entschlüsseln, den der Datenabonnent aus dem Speicherzentrum abruft.
In einigen Ausführungen wird die Sicherheit in den Speicherzentren 210 über einen Domänen-Authentifizierungsdienst 232 gewährleistet. Somit können nur Benutzerschnittstellengeräte 235, wie z. B. Datenabonnenten-Computergeräte, die über den Domänen-Authentifizierungsdienst 232 authentifiziert und autorisiert sind, Zugriff auf zumindest einige der Daten erhalten, die in den Speicherzentren 210 verfügbar sind, wozu unter anderem die von den Geräten 202 erzeugten Daten gehören.
So bietet die Sicherheitsarchitektur 200, wie oben beschrieben, Ende-zu-Ende-Sicherheit für Daten, die von Geräten oder Datenquellen 202 während des Betriebs in der Prozessanlage 10 erzeugt werden, um einen Prozess zu steuern, z. B. von der Entstehung der Daten durch die Datenquellen 202 bis zu ihrer Übertragung an die Speicherzentren 210, die von einer oder mehreren Remote-Anwendungen oder -Diensten 208 betrieben werden. Wichtig ist, dass die Sicherheitsarchitektur 200 diese Ende-zu-Ende-Sicherheit bietet und gleichzeitig böswillige Angriffe auf die Prozessanlage 10 verhindert.
Zu beachten ist, dass in 2 zwar die Wireless-Gateways 205A, 205B als kommunikative Verbindung zwischen den Geräten bzw. Datenquellen 202 und dem Feld-Gateway 212 dargestellt sind, in manchen Anordnungen jedoch eines oder mehrere der Wireless-Gateways 205A, 205B weggelassen werden und die Quelldaten von den Datenquellen 202 direkt an das Feld-Gateway 212 übertragen werden. Beispielsweise können die Datenquellen 202 über ein großes Datennetzwerk der Prozessanlage 10 Quelldaten direkt an das Feld-Gateway 212 übertragen. Im Allgemeinen ist ein großes Datennetzwerk der Prozessanlage 10 weder das Backbone-Anlagennetzwerk 105, noch ist das große Datennetzwerk ein industrielles Protokollnetzwerk zur Übertragung von Steuersignalen zwischen Geräten mit einem industriellen Kommunikationsprotokoll (z. B. Profibus, DeviceNet, Foundation Fieldbus, ControlNet, Modbus, HART usw.). Vielmehr kann ein großes Datennetzwerk der Prozessanlage 10 ein für die Prozessanlage 10 implementiertes Overlay-Netzwerk sein, das z. B. für Datenverarbeitungs- und Analysezwecke Daten zwischen den Knoten überträgt. Zu den Knoten eines großen Datennetzwerks können z. B. die Datenquellen 202, die Wireless-Gateways 205A, 205B und das Feld-Gateway 212 sowie eine oder mehrere der in 1 dargestellten Komponenten 7a-7c, 8, 11, 12, 15-22, 26, 28, 35, 40-46, 52, 55, 58, 60 und 70 und weitere Komponenten gehören. Dementsprechend umfassen die Datennetzwerke vieler Knoten einer Prozessanlage jeweils eine bestimmte Schnittstelle für den Betrieb der Prozessanlage, die üblicherweise ein industrielles Kommunikationsprotokoll nutzt, und eine andere bestimmte Schnittstelle für Datenverarbeitungs-/Analyseoperationen, die beispielsweise ein Streaming-Protokoll verwenden.
In Bezug auf 2 wird zudem darauf hingewiesen, dass in einigen Ausführungsformen ein drahtgebundenes Gateway (nicht dargestellt) anstelle eines der Wireless-Gateways 205A, 205B verwendet werden kann. Darüber hinaus können das Feld-Gateway 212 und das Edge-Gateway 218 physisch gemeinsam angeordnet sein, wie durch das in 2 gezeigte Kästchen 235 angezeigt wird, oder die Komponenten 212 und 218 können sich physisch an mehreren Orten befinden. Beispielsweise können ein oder mehrere der Feld-Gateways 212 oder das Edge-Gateway 218 in der Prozessanlage 10 angeordnet werden. Zusätzlich oder wahlweise können ein oder mehrere der Feld-Gateways 212 oder das Edge-Gateway 218 entfernt von der Prozessanlage 10 angeordnet werden.
Die Prozessanlage 10 kann auf Wunsch von mehr als einem Feld-Gateway 212 bedient werden, und eine beliebige Anzahl von Feld-Gateways 212 kann von einem einzelnen Edge-Gateway 218 bedient werden. In einigen Ausführungsformen werden die Speicherzentren 210 auf Wunsch von mehr als einem Edge-Gateway 218 bedient.
Architektur verteilter Kontenbücher in einem Prozessleitsystem
Während 2 ein Speicherzentrum 210 veranschaulicht, können mehrere Speicherzentren 210 enthalten sein, die jeweils als Validierungsknoten in einem Distributed-Ledger-Netzwerk fungieren. 3 zeigt beispielhaft ein System eines verteilten Kontenbuchs (Distributed-Ledger-System) 300 zur Aufzeichnung von Speicheroperationen im Zusammenhang mit verschlüsselten Messdaten. Zu den verschlüsselten Messdaten können Prozessparameterdaten, Produktparameterdaten, Konfigurationsdaten, Benutzerinteraktionsdaten, Wartungsdaten, Inbetriebnahmedaten, Anlagennetzwerkdaten, Produktverfolgungsdaten, Ereignisdaten in Bezug auf Ereignisse in der Prozessanlage 10 wie Alarme, Leckagen, Ausfälle, Fehler usw. oder andere geeignete Daten gehören, die in einer oder mehreren Prozessanlagen erzeugt wurden oder sich auf diese beziehen. Die verschlüsselten Messdaten können auch Daten enthalten, die von Krankenhäusern oder anderen geeigneten Datenlieferanten erzeugt wurden.
Das System 300 umfasst ein verteiltes Kontenbuch 312 und mehrere Knoten 302, 304, 306, 308 und 310, bei denen es sich um Speicherzentren wie z. B. die Speicherzentren 210 oder beliebige geeignete Computergeräte handeln kann, die in der Prozessanlage 10 arbeiten oder mit Geräten kommunizieren, die in der Prozessanlage 10 arbeiten. Jeder Knoten verwaltet eine Kopie des verteilten Kontenbuchs 312. Bei Änderungen im verteilten Kontenbuch 312 erhält jeder Knoten die Änderung über das Netzwerk 314 und aktualisiert seine jeweilige Kopie des verteilten Kontenbuchs 312. Über einen Konsensmechanismus können die Knoten 302-310 im Distributed-Ledger-System 300 entscheiden, ob es sinnvoll ist, empfangene Änderungen im verteilten Kontenbuch 312 vorzunehmen.
Jeder Knoten im System hat daher eine eigene Kopie des verteilten Kontenbuchs 312, die identisch ist mit jeder anderen Kopie des verteilten Kontenbuchs 312, die von den anderen Knoten gespeichert wird. Das Distributed-Ledger-System 300 kann aufgrund der dezentralen Natur des verteilten Kontenbuchs robuster sein als ein Datenbanksystem einer zentralen Stelle. Somit gibt es auf dem Distributed-Ledger-System 300 keinen Single-Point-of-Failure, wie dies in einem zentralisierten System der Fall wäre.
4 zeigt beispielhaft validierende Netzwerkknoten sowie ein Beispiel für den Transaktionsfluss 400 in einem Distributed-Ledger-Netzwerk zur Abwicklung von Transaktionen. 4 umfasst zwei Zeitrahmen 420 und 422, die durch die linke bzw. rechte Seite der gepunkteten Linie dargestellt werden, nämlich den Knoten A 402 und den Knoten B 404 (bei denen es sich um zwei Speicherzentren handeln kann), einen Satz von Transaktionen 408A-408D, einen Satz von Blöcken von Transaktionen 409A-409D, ein verteiltes Kontenbuch 410 und eine Blockchain 418.
Der Blockübertragungsfluss 400 kann mit dem Knoten A 402 beginnen, der die Transaktion 406 zurzeit 420 empfängt. Wenn der Knoten A 402 bestätigt, dass die Transaktion 406 gültig ist, kann der Knoten A 402 die Transaktion einem neu erzeugten Block 408 hinzufügen. Als Teil der Hinzufügung der Transaktion 406 zum Block 408 kann der Knoten A 402 ein kryptographisches Puzzle lösen und die Lösung in den neu generierten Block 408 aufnehmen als Beweis für die zur Generierung des Blocks 408 geleistete Arbeit. Alternativ kann zur Erzeugung des Blocks 408 ein Proof-of-Stake-Algorithmus verwendet werden, wobei der Knoten A 402 eine Menge eines im Netzwerk verwendeten digitalen Token „einsetzt“, das Netzwerk selbst jedoch den Knoten bestimmt, der den neuen Block prägen wird. In anderen Ausführungsformen kann die Transaktion 406 einem Pool von Transaktionen hinzugefügt werden, bis eine ausreichende Anzahl von Transaktionen im Pool vorhanden ist, um einen Block zu bilden. Der Knoten A 402 kann den neu erzeugten Block 408 zum Zeitpunkt 412 an das Netzwerk senden. Vor oder nach der Übertragung des Blocks 408 kann der Knoten A 402 den Block 408 zu seiner Kopie der Blockchain 418 hinzufügen.
Während „Proof of Work“ und „Proof of Stake“ hier als Konsensalgorithmen für die Auswahl eines Knotens zur Prägung eines neuen Blocks beschrieben werden, sind dies nur einige wenige Beispiele für Konsensalgorithmen und sollen nicht einschränkend sein. Es können zusätzliche Konsensalgorithmen verwendet werden, wie z. B. ein delegiertes „Proof of Stake“, bei dem die Knoten eine Untergruppe von Knoten, die als Delegaten bezeichnet werden, auswählen, um die Validierung durchzuführen, und die Delegaten abwechselnd neue Blöcke prägen. Konsensalgorithmen können auch den Autoritätsnachweis, Gewichtsnachweis, byzantinische Fehlertoleranz, Tangle-Konsensalgorithmen, Blockgitter-Konsensalgorithmen usw. umfassen.
In jedem Fall können die Transaktionen 409A-409D Aktualisierungen in einer Status-Datenbank 416 enthalten. Die Status-Datenbank 416 kann aktuelle Werte von Variablen enthalten, die durch Smart Contracts, die auf der Blockchain 418 eingesetzt werden, erzeugt wurden. Validierte Blöcke, wie z. B. Block 408, können Transaktionen enthalten, die sich auf die Status-Variablen in der Status-Datenbank 416 auswirken. Zum Zeitpunkt 422 kann der Knoten B 404 den neu erstellten Block 408 über das Netzwerk bei 412 empfangen. Der Knoten B 404 kann überprüfen, ob der Block von Transaktionen 408 gültig ist, indem er die Lösung des kryptographischen Puzzles im Block 408 überprüft. Wenn die Lösung richtig ist, kann der Knoten B 404 den Block 408 zu seiner Blockchain 418 hinzufügen und alle Aktualisierungen in der Status-Datenbank 416 vornehmen, die von den Transaktionen in Block 408 abgelehnt wurden. Der Knoten B 404 kann anschließend den Block 408 zum Zeitpunkt 314 an den Rest des Netzwerks senden.
5 zeigt beispielhaft die Komponenten eines validierenden Netzwerkknotens 500 auf einem Distributed-Ledger-Netzwerk zur Aufzeichnung der Speicherung von verschlüsselten Messdaten. Der Knoten 500 kann mindestens einen Prozessor 502, Speicher 504, ein Kommunikationsmodul 506, eine Reihe von Anwendungen 508, externe Ports 510, einen Blockchain-Manager 514, Smart Contracts 516 und ein Betriebssystem 518 enthalten. In einigen Ausführungsformen kann der Knoten 500 einen neuen Block von Transaktionen erzeugen oder mit Hilfe des Blockchain-Managers 514 Transaktionen an andere Netzwerkknoten senden. In ähnlicher Weise kann der Knoten 500 den Blockchain-Manager 514 in Verbindung mit den im Speicher 504 gespeicherten Smart Contracts 516 verwenden, um die hier beschriebene Funktionsweise auszuführen. Der Speicher 504 kann ferner Chain-Daten 524 enthalten, darunter z. B. eine Status-Datenbank der Blockchain zur Speicherung der Zustände der darauf bereitgestellten Smart Contracts.
In anderen Ausführungsformen arbeiten die Smart Contracts 516 unabhängig vom Blockchain-Manager 514 oder anderen Anwendungen. In einigen Ausführungsformen verfügt der Knoten 500 nicht über einen Blockchain-Manager 514 oder Smart Contracts 516, die am Knoten gespeichert sind. In einigen Ausführungsformen kann der Knoten 500 zusätzliche oder weniger Komponenten als beschrieben aufweisen. Die Komponenten des Knotens 500 werden nachstehend noch ausführlicher beschrieben.
Der Knoten 500 als Teil eines Distributed-Ledger-Systems 300 oder eines anderen dezentralisierten oder zentralisierten Netzwerks kann als Teil von Systemen verwendet werden, die mit Daten oder Ereignissen in einer oder mehreren Prozessanlagen interagieren und/oder Transaktionen manipulieren, die mit diesen Daten oder Ereignissen verbunden sind.
6 zeigt ein beispielhaftes verteiltes Kontenbuch 600 einschließlich einer Blockchain mit Blöcken 602-608 von Transaktionen in einem Prozessleitsystem. In einigen Ausführungsformen umfasst die Blockchain 600 mehrere Blöcke 602-608, die miteinander verbunden sind, um eine Chain von Blöcken 602-608 von Transaktionen zu bilden. Um Blöcke und Transaktionen kryptographisch miteinander zu verbinden, organisiert jeder Block in der Blockchain 600 seine Transaktionen in einem Merkle-Baum. In einem Merkle-Baum wird jede Transaktion nach einem kryptographischen Hash-Algorithmus (z. B. SHA-256) gehasht und der entstandene Ausgabe-Hash wird dann mit dem Hash einer anderen Transaktion kombiniert. Dann wird das kombinierte Ergebnis auch gemäß dem kryptographischen Hashing-Algorithmus gehasht. Diese Ausgabe wird dann mit dem Hash zweier anderer Transaktionen kombiniert und dieser Prozess wird so lange wiederholt, bis alle Transaktionen im Block zusammengefasst und gehasht sind, um eine Merkle-Wurzel zu erzeugen, die im Header für einen Block 602-608 verwendet wird. Wenn eine einzelne Transaktion im Block geändert wird, würde eine andere Merkle-Wurzel erzeugt werden, da die Merkle-Wurzel eine Kombination der Hashes aller Transaktionen im Block ist.
Mit anderen Worten, die Transaktionen können mit Hilfe eines kryptographischen Hash-Algorithmus, wie z. B. mit Hilfe der oben beschriebenen Algorithmen, gehasht werden, und der Hash jeder Transaktion kann im Baum gespeichert werden. Während des Aufbaus des Baums kann der Hash jedes benachbarten Knotens auf derselben Ebene zusammengehasht werden, um einen neuen Knoten zu erzeugen, der auf einer höheren Ebene im Baum existiert. Daher ist der Knoten an der Spitze des Baumes oder an der Merkle-Wurzel abhängig vom Hash jeder Transaktion, der unten im Baum gespeichert ist. Jede Transaktion kann einen Datensatz enthalten. Der Datensatz kann Identifizierungsdaten für die Transaktion sowie Transaktionsdaten enthalten, die die Art der Transaktion und die mit der Transaktion verbundenen Auswirkungen identifizieren (z. B. Ein- und Ausgangsadressen, einen Transaktionswert, einen Dokument-Hash-Wert, einen Zeitstempel, einen Transaktionsgebührenwert usw.).
Um die Gültigkeit eines Blocks zu überprüfen, kann ein Knoten die Merkle-Wurzel des Blocks mit der Merkle-Wurzel desselben Blocks vergleichen, der in den Kopien anderer Knoten der Blockkette enthalten ist. Somit kann die Merkle-Wurzel als Beweis für die im Block enthaltenen Transaktionen und als Beweis dafür verwendet werden, dass der Inhalt des Blocks nicht geändert wurde, wenn die Merkle-Wurzel in der Kopie des Blocks jedes Knotens gleich ist.
In einer Ausführung sind Dokumente, die „auf” einer Blockchain gespeichert sind, Dokumente, die nach einem kryptographischen Hashing-Algorithmus (z. B. SHA-256) gehasht wurden und der entstandene Ausgabe-Hash wurde in eine Transaktion in einem Block aufgenommen, der von den Netzwerkknoten als den Konsensregeln der Blockchain entsprechend akzeptiert wurde. Als solche können die Dokumente später verifiziert oder validiert werden, indem der Hash der Dokumente mit dem auf der Blockchain gespeicherten Hash verglichen wird. Wenn z. B. ein Satz von Dokumenten einen SHA-256-Hash ergibt, der an einem bestimmten Datum auf einer Blockchain aufgezeichnet wurde, dann liefert die Blockchain den kryptographischen Nachweis dafür, dass die Dokumente zu diesem Datum existierten.
Eine Möglichkeit zum Speichern eines Dokuments in einer Blockchain besteht darin, eine Transaktion mit einem Hash des Dokuments an das Netzwerk zu senden, die in einem Block aufgenommen werden wird, wenn die Transaktion alle Konsensregeln des Netzwerks erfüllt. In einigen Ausführungen ist die Blockchain ein geschlossenes Kontenbuch, was bedeutet, dass nur autorisierte Netzwerkteilnehmer Transaktionen senden dürfen. In anderen Ausführungen dürfen nur einige autorisierte Netzwerkteilnehmer bestimmte Transaktionen durchführen. Beispielsweise können Speicheroperationen bezüglich verschlüsselter Messdaten wie Prozessparameterdaten oder Produktparameterdaten in die Blockchain 600 hochgeladen werden, da die verschlüsselten Messdaten in einem Speicherzentrum 210 gespeichert werden. Nur ein kryptographischer Hash der verschlüsselten Messdaten darf in die Blockchain 600 aufgenommen werden, so dass die verschlüsselten Messdaten mit Hilfe der Blockchain verifiziert werden können, auch wenn sie von einer Partei außerhalb der Chain, z. B. einem Datenabonnenten, bezogen werden.
Validierende Netzwerkknoten können überprüfen, ob die signierte Transaktion oder die signierte Nachricht mit dem privaten kryptographischen Schlüssel signiert wurde, der dem veröffentlichten öffentlichen kryptographischen Schlüssel entspricht, der dem Speicherzentrum 210 gehört, das die verschlüsselten Messdaten speichert. In mindestens einer Ausführung kann ein gültiger Identitätsnachweis als Konsensregel durch das Blockchain-Netzwerk angewendet werden. Daher wird jede Transaktion, die versucht, neue Speicheroperationsdaten hinzuzufügen, ohne dass ein kryptographischer Identitätsnachweis vorliegt, der mit einer Identität übereinstimmt, die berechtigt ist, neue Speicheroperationsdaten hinzuzufügen, vom Netzwerk als nicht konform mit der Konsensregel abgelehnt. Jedem Speicherzentrum 210 kann ein Paar aus einem öffentlichen Schlüssel und privaten Schlüssel zugewiesen werden, das im Blockchain-Netzwerk als dem Speicherzentrum 210 entsprechend identifiziert wird. Wenn die validierenden Netzwerkknoten eine Transaktion bezüglich Speicheroperationsdaten erhalten, die nicht von einem autorisierten Speicherzentrum 210 stammt, lehnen die validierenden Netzwerkknoten die Transaktion ab.
Sicheres Speichersystem mit Hilfe eines verteilten Kontenbuchs
Wie oben beschrieben, erzeugt und verschlüsselt die Prozessanlage 10 oder ein anderer Datenlieferant die Messdaten, bevor die verschlüsselten Messdaten an ein Speicherzentrum 210 übertragen werden. Beispielsweise erzeugen die Feldgeräte 202, wie in 2 dargestellt, Messdaten, die über das Feld-Gateway 212 dem Edge-Gateway 218 bereitgestellt werden. Das Edge-Gateway verschlüsselt dann die Messdaten mit einem kryptographischen Schlüssel, wie z. B. einem One-Time-Pad. In einigen Ausführungen erzeugt der Datenlieferant Messdatensätze und teilt jeden Messdatensatz in Teilsätze auf. Der Datenlieferant verschlüsselt dann jeden Teilsatz und sendet die verschlüsselten Teilsätze an verschiedene Speicherzentren 210.
7 zeigt beispielhaft Verschlüsselungs- und Teilungstechniken, die von einem Datenlieferanten, wie z. B. einer Prozessanlage 10, an einem Messdatensatz durchgeführt werden. Der Datenlieferant 10 erzeugt Messdatensätze 702 einschließlich eines ersten Datensatzes 704 (DS1), eines zweiten Datensatzes 706 (DS2), eines dritten Datensatzes 708 (DS3) und eines n-ten Datensatzes 710 (DSn). Der Datenlieferant 10 teilt jeden Datensatz 704-710 in mehrere Teilsätze auf. Beispielsweise unterteilt der Datenlieferant 10 den ersten Datensatz 704 in einen ersten Teilsatz 704a (EDI 1), einen zweiten Teilsatz 704b (ED12), einen dritten Teilsatz 704c (ED13) und einen n-ten Teilsatz 704n (ED1n). Der Datenlieferant 10 verschlüsselt auch jeden Teilsatz von Messdaten mit einem anderen geheimen Schlüssel 720-726 (SK1, SK2, SK3, SKn). In einigen Ausführungen sind die geheimen Schlüssel einmalige kryptographische Schlüssel, die einmal zur Verschlüsselung des entsprechenden Teilsatzes von Messdaten verwendet werden. Wenn dann ein Datenabonnent zumindest einige der Messdaten anfordert, die eine bestimmte Teilmenge enthalten, stellt der Datenabonnent 10 dem Datenabonnenten den einmaligen kryptographischen Schlüssel, der zur Verschlüsselung der bestimmten Teilmenge verwendet wird, zur Entschlüsselung der bestimmten Teilmenge zur Verfügung. Dieser einmalige kryptographische Schlüssel darf nicht verwendet werden, um einen anderen Teilsatz oder eine andere Gruppe von Messdaten zu entschlüsseln.
Die verschlüsselten Teilsätze der Messdaten werden dann in verschiedenen Speicherzentren 210 gespeichert. Dies wird in 8 gezeigt, wo mehrere Speicherzentren 210a-210j dargestellt sind, darunter SC00001 (Ref.-Nr. 210a), SC00010 (Ref.-Nr. 210b), SC10000 (Ref.-Nr. 210c), SC01101 (Ref.-Nr. 210d), SC01001 (Ref.-Nr. 210e), SC00101 (Ref-Nr. 210f), SC01011 (Ref.-Nr. 210g), SC01010 (Ref.-Nr. 210h), SC10101 (Ref.-Nr. 210i) und SC01110 (Ref.-Nr. 210j). Ein erster Teilsatz eines i-ten Satzes von verschlüsselten Messdaten 802 (EDi1) ist in SC01001 (Ref.-Nr. 210e) gespeichert, ein zweiter Teilsatz des i-ten Satzes von verschlüsselten Messdaten 804 (EDi2) ist in SC10000 (Ref.-Nr. 210c) gespeichert, eine dritte Teilmenge des i-ten Satzes verschlüsselter Messdaten 806 (EDi3) wird in SC00010 (Ref.-Nr. 210b) gespeichert und eine n-te Teilmenge des i-ten Satzes verschlüsselter Messdaten 808 (EDin) wird in SC10101 (Ref.-Nr. 210i) gespeichert.
Wenn ein Satz oder Teilsatz von verschlüsselten Messdaten in einem bestimmten Speicherzentrum gespeichert wird, erzeugt das Speicherzentrum eine Transaktion, die die Speicheroperation repräsentiert, und sendet die Transaktion an ein Distributed-Ledger-Netzwerk. Die Transaktion wird dann durch Validierung von Knoten, wie z. B. anderen Speicherzentren, validiert und in einen Block aufgenommen. 9 zeigt beispielhafte Transaktionen 904-910, die in einem verteilten Kontenbuch 902, wie z. B. einer Blockchain, enthalten sein können. Das verteilte Kontenbuch 902 kann dem oben beschriebenen verteilten Kontenbuch 600 unter Bezugnahme auf 6 ähneln. In jedem Fall kann jede Transaktion 904-910 Folgendes enthalten: eine Transaktionskennung (ID) (z. B. „1“), eine Datenlieferanten-ID für den Datenlieferanten, der den Satz oder die Teilmenge der verschlüsselten Messdaten erzeugt hat (z. B. „DC“), eine Datensatz-ID, die den bestimmten Satz oder Teilsatz der verschlüsselten Messdaten identifiziert (z. B. „EDi1“), eine Speicherzentrums-ID, die das Speicherzentrum identifiziert, das den Satz oder Teilsatz verschlüsselter Messdaten speichert (z. B. „SC01001“) und einen Hinweis auf den Satz oder Teilsatz verschlüsselter Messdaten, wie z. B. einen kryptographischen Hash-Wert, der dem Satz oder Teilsatz verschlüsselter Messdaten entspricht.
In einigen Ausführungen stellt das Lagerzentrum 210 die Transaktionsdaten, wie z. B. die Transaktions-ID, dem Datenlieferanten 10 zur Verfügung. Wenn dann ein Datenabonnent einen Satz Messdaten anfordert, kann der Datenlieferant 10 dem Datenabonnenten die Transaktions-ID zum Abrufen der erforderlichen Informationen aus dem verteilten Kontenbuch bereitstellen. Ein Beispiel hierfür ist in 10 dargestellt. Wie in 10 dargestellt, fordert ein Datenabonnent 1000 einen Satz Messdaten von einem Datenlieferanten 10 an. Der Messdatensatz wird in mehreren Speicherzentren SC01001 (Ref.-Nr. 210e), SC10000 (Ref.-Nr. 210c), SC00010 (Ref.-Nr. 210b) und SC10101 (Ref.-Nr. 210i) als Teilsätze verschlüsselter Messdaten gespeichert. Jeder Teilsatz von verschlüsselten Messdaten wird auch in einer Transaktion im verteilten Kontenbuch referenziert.
Als Reaktion auf die Anforderung stellt der Datenlieferant 10 dem Datenabonnenten 1000 Blockinformationen oder Transaktionsdaten für die Transaktionen im verteilten Kontenbuch bereit, die sich auf die Teilsätze der verschlüsselten Messdaten innerhalb des Satzes beziehen. Dazu können Transaktions-IDs gehören, die zum Abrufen der entsprechenden Transaktionen aus dem verteilten Kontenbuch verwendet werden können. Für jede Transaktion kann der Datenabonnent 1000 eine Datenlieferanten-ID für den Datenlieferanten erhalten, der den Satz oder Teilsatz verschlüsselter Messdaten erzeugt hat (z. B. „DC“), eine Datensatz-ID, die den bestimmten Satz oder Teilsatz verschlüsselter Messdaten identifiziert (z. B. „EDi1“), eine Speicherzentrums-ID, die das Speicherzentrum identifiziert, das den Satz oder die Teilmenge verschlüsselter Messdaten speichert (z. B. „SC01001“) und einen Hinweis auf den Satz oder Teilsatz verschlüsselter Messdaten, wie z. B. einen kryptographischen Hash-Wert, der dem Satz oder Teilsatz verschlüsselter Messdaten entspricht.
Der Datenlieferant 10 stellt dem Datenabonnenten 1000 auch einmalige kryptographische Schlüssel oder One-Time-Pads zum Entschlüsseln jedes Teilsatzes von verschlüsselten Messdaten zur Verfügung. Wie bereits erwähnt, kann der Datenlieferant 10 jeden Teilsatz von verschlüsselten Messdaten mit einem einmaligen kryptographischen Schlüssel verschlüsseln, der für den Teilsatz eindeutig ist. Dementsprechend stellt der Datenlieferant 10 diese einmaligen kryptographischen Schlüssel dem Datenabonnenten 1000 zur Verfügung, so dass der Datenabonnent 1000 jeden Teilsatz der verschlüsselten Messdaten entschlüsseln und die Teilsätze der Messdaten kombinieren kann, um den Messdatensatz zu erzeugen.
In einigen Ausführungen erhält der Datenabonnent 1000 vom Datenlieferanten 10 jede der Transaktions-IDs, die auf Teilsätze von verschlüsselten Messdaten innerhalb des Satzes verweisen, und ruft die entsprechenden Transaktionen aus dem verteilten Kontenbuch ab. Für jede abgerufene Transaktion erhält der Datenabonnent 1000 die Identität des Speicherzentrums, das den Teilsatz der verschlüsselten Messdaten auf der Grundlage der Speicherzentrums-ID speichert. Der Datenabonnent 1000 sendet dann eine Anforderung für den Teilsatz der verschlüsselten Messdaten, der der Datensatz-ID entspricht, an das identifizierte Speicherzentrum 210. Dementsprechend ruft das Speicherzentrum 210 den Teilsatz der verschlüsselten Messdaten ab, der der Datensatz-ID entspricht, und stellt ihn dem Datenabonnenten 1000 zur Verfügung.
Darüber hinaus vergleicht der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten mit dem kryptographischen Hash-Wert, der dem Teilsatz der in der Transaktion enthaltenen verschlüsselten Messdaten entspricht. Beispielsweise kann der Datenabonnent 1000 einen kryptografischen Hash-Algorithmus für den Teilsatz der verschlüsselten Messdaten ausführen und feststellen, ob die daraus resultierende Ausgabe mit dem in der Transaktion enthaltenen kryptographischen Hash-Wert übereinstimmt. Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert übereinstimmt, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten nicht manipuliert wurde, und seine Authentizität überprüfen. Wenn andererseits die resultierende Ausgabe vom kryptographischen Hash-Wert abweicht, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten manipuliert wurde, und darf die Messdaten nicht in seiner Analyse verwenden oder mit den Messdaten weiter verfahren.
Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert übereinstimmt, entschlüsselt der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten unter Verwendung der Entschlüsselungsinformationen, die vom Datenlieferanten 10 bereitgestellt werden, wie z. B. mithilfe des einmaligen kryptographischen Schlüssels. Der Datenabonnent 1000 kann diesen Vorgang für jeden Teilsatz verschlüsselter Messdaten wiederholen, um die Teilsätze von Messdaten zu erzeugen, und kann die Teilsätze kombinieren, um den Messdatensatz zu erzeugen.
11 veranschaulicht diesen Prozess detaillierter in einem Messaging-Diagramm 1100, das eine beispielhafte Interaktion zwischen dem Datenlieferanten 10, einem Speicherzentrum 210 und einem Datenabonnenten 1000 zeigt. Ein Datenlieferant 10 wie eine Prozessanlage erhält 1102 Messdaten, zum Beispiel von Feldgeräten 202 oder Prozessanlageneinheiten, die in der Prozessanlage 10 arbeiten. Die Messdaten können Prozessparameterwerte für Prozessparameter enthalten, die den Prozessanlageneinheiten entsprechen. Die Messdaten können auch Werte von Produktparametern umfassen, wie z. B. Eigenschaften eines physischen Materials oder eines von der Prozessanlage hergestellten Produkts, einschließlich einer Temperatur des Produkts, eines Volumens des Produkts, einer Masse des Produkts, einer Dichte des Produkts, eines Drucks des Produkts usw. Dann verschlüsselt der Datenlieferant 10 die Messdaten mit einem kryptographischen Schlüssel 1104. In einigen Ausführungen erzeugt der Datenlieferant 10 einen Satz von Messdaten, der mehrere Messungen enthält, die gleichzeitig oder innerhalb eines Zeitintervalls (z. B. innerhalb eines Zeitintervalls von 30 Sekunden, innerhalb eines Zeitintervalls von einer Minute usw.) gesammelt wurden. Der Datenlieferant 10 teilt dann den Messdatensatz in mehrere Teilsätze auf. Der Messdatensatz kann z. B. 100 Messungen und entsprechende Informationen zu den Messungen enthalten, wie z. B. den Zeitpunkt der Messung, den Prozessparameter, die Prozessanlageneinheit und/oder das Feldgerät, das der Messung entspricht, usw. Der Datenlieferant 10 kann die 100 Messungen in vier Teilsätze von Messdaten unterteilen, die jeweils 25 der 100 Messungen umfassen. Anschließend kann der Datenlieferant 10 jeden Teilsatz von Messdaten unter Verwendung eines anderen kryptographischen Schlüssels oder eines einzigartigen einmaligen kryptographischen Schlüssels verschlüsseln.
Der Datenlieferant 10 liefert 1106 dann den Satz verschlüsselter Messdaten oder einen Teilsatz des Satzes verschlüsselter Messdaten an ein Speicherzentrum 210. In einigen Ausführungen kann der Datenlieferant 10 jeden Teilsatz verschlüsselter Messdaten an ein anderes Speicherzentrum 210 liefern oder mindestens zwei der Teilsätze an verschiedene Speicherzentren 210 liefern. In jedem Fall speichert das Speicherzentrum 210 1108 die verschlüsselten Messdaten und erzeugt eine Transaktion 1110, die die Speicheroperation repräsentiert. Die Transaktion kann Folgendes enthalten: eine Transaktions-ID (z. B. „1“), eine Datenlieferanten-ID für den Datenlieferanten, der den Satz oder Teilsatz von verschlüsselten Messdaten erzeugt hat (z. B. „DC“), eine Datensatz-ID, die den bestimmten Satz oder Teilsatz von verschlüsselten Messdaten identifiziert (z. B. „EDi 1“), eine Speicherzentrums-ID, die das Speicherzentrum identifiziert, das den Satz oder Teilsatz verschlüsselter Messdaten speichert (z. B. „SC01001“) und einen Hinweis auf den Satz oder Teilsatz verschlüsselter Messdaten, wie z. B. einen kryptographischen Hash-Wert, der dem Satz oder Teilsatz verschlüsselter Messdaten entspricht.
Das Speicherzentrum 210 sendet die Transaktion an das Netzwerk des verteilten Kontenbuchs, und wenn die gesendete Transaktion den Konsensregeln entspricht, können Netzwerk-Validatoren die Transaktion in einen Block des verteilten Kontenbuchs aufnehmen. Danach liefert 1112 das Speicherzentrum 210 dem Datenlieferanten 10 die Blockinformation, wie z. B. eine Transaktions-ID für die Transaktion oder jede andere geeignete Information, die die Transaktion im verteilten Kontenbuch identifiziert.
Wenn ein Datenabonnent 1000 vom Datenlieferanten 10 Messdaten anfordert 1114, die den Satz von Messdaten enthalten, liefert 1116 der Datenlieferant 10 Blockinformationen wie eine Transaktions-ID zum Abrufen der Transaktion, die den Satz von verschlüsselten Messdaten aus dem verteilten Kontenbuch enthält, und einen einmaligen kryptographischen Schlüssel zum Entschlüsseln des Satzes von verschlüsselten Messdaten. Wenn der Satz von Messdaten in mehrere Teilsätze aufgeteilt wird, kann der Datenlieferant 10 Transaktions-IDs und einmalige kryptographische Schlüssel zum Abrufen und Entschlüsseln jedes Teilsatzes von verschlüsselten Messdaten bereitstellen. In jedem Fall ruft der Datenabonnent 1000 die Transaktionen, die den Transaktions-IDs entsprechen, aus dem verteilten Kontenbuch ab. Für jede abgerufene Transaktion erhält der Datenabonnent 1000 die Identität des Speicherzentrums, das den Teilsatz der verschlüsselten Messdaten auf der Grundlage der Speicherzentrums-ID speichert. Der Datenabonnent 1000 sendet 1118 dann eine Anfrage an das identifizierte Speicherzentrum 210 für den Teilsatz der verschlüsselten Messdaten, der der Datensatz-ID entspricht. Dementsprechend ruft das Speicherzentrum 210 den Teilsatz der verschlüsselten Messdaten ab, der der Datensatz-ID entspricht, und liefert 1120 ihn dem Datenabonnenten 1000.
Darüber hinaus vergleicht der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten mit dem kryptographischen Hash-Wert, der dem Teilsatz der in der Transaktion enthaltenen, verschlüsselten Messdaten entspricht. Beispielsweise kann der Datenabonnent 1000 einen kryptografischen Hash-Algorithmus für den Teilsatz der verschlüsselten Messdaten ausführen und feststellen, ob die daraus resultierende Ausgabe mit dem in der Transaktion enthaltenen kryptographischen Hash-Wert übereinstimmt. Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert übereinstimmt, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten nicht manipuliert wurde, und seine Authentizität überprüfen. Wenn andererseits die resultierende Ausgabe vom kryptographischen Hash-Wert abweicht, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten manipuliert wurde, und darf die Messdaten nicht in seiner Analyse verwenden oder mit den Messdaten weiter verfahren.
Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert übereinstimmt, entschlüsselt 1122 der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten unter Verwendung der Entschlüsselungsinformationen, die vom Datenabonnenten 10 bereitgestellt werden, wie z. B. mithilfe des einmaligen kryptographischen Schlüssels. Der Datenabonnent 1000 kann diesen Vorgang für jeden Teilsatz verschlüsselter Messdaten wiederholen, um die Teilsätze von Messdaten zu erzeugen, und kann die Teilsätze kombinieren, um den Messdatensatz zu erzeugen.
12 veranschaulicht ein Flussdiagramm, das ein beispielhaftes Verfahren 1200 zum sicheren Speichern von Messdaten in einer Prozessanlage in einem Speicherzentrum unter Verwendung eines verteilten Kontenbuchs darstellt. Das Verfahren 1200 kann von einem Edge-Gateway 218 in der Prozessanlage 10, einer Steuerung 11 in der Prozessanlage 10 oder einem anderen Computergerät in der Prozessanlage 10 ausgeführt werden, z. B. einer Bedienerarbeitsstation, einem Servergerät 12, einer Benutzerschnittstelle 8, einem E/A-Gerät 26, 28, einem Netzwerkgerät 35 usw.
In Block 1202 werden Messdaten, die sich auf ein Prozesssteuerungselement beziehen, von einem Feldgerät erhalten. Das Prozesssteuerungselement kann ein Feldgerät, eine Steuerung oder eine Prozessanlageneinheit wie z. B. ein Ventil, ein Tank, ein Mischer, eine Pumpe, ein Wärmetauscher usw. sein. Die Messdaten können Prozessparameterdaten für Parameter des Prozesssteuerungselements (z. B. einen Tankfüllstand, eine Pumpendrehzahl, die Temperatur in einem Wärmetauscher) und Produktparameterdaten für ein Produkt enthalten, das in das Prozesssteuerungselement eintritt, aus ihm austritt, in ihm enthalten ist und/oder von ihm gesteuert wird (z. B. die Temperatur eines Fluids in einem Tank, die Durchflussrate des Fluids, das aus einem Ventil austritt). In einigen Ausführungen erhält das Edge-Gateway 218 einen Messdatensatz, der mehrere Messungen umfasst, die gleichzeitig oder innerhalb eines Zeitintervalls (z. B. innerhalb eines Zeitintervalls von 30 Sekunden, innerhalb eines Zeitintervalls von einer Minute usw.) gesammelt wurden. Das Edge-Gateway 218 teilt dann den Messdatensatz in mehrere Teilsätze auf. In Block 1204 werden dann die Messdaten verschlüsselt. Beispielsweise kann das Edge-Gateway 218 jeden Teilsatz von Messdaten mit einem anderen kryptographischen Schlüssel oder einem eindeutigen einmaligen kryptographischen Schlüssel verschlüsseln.
In Block 1206 wird der Satz verschlüsselter Messdaten an ein Speicherzentrum 210 übertragen. In einigen Implementierungen wird jeder Teilsatz von verschlüsselten Messdaten an ein anderes Speicherzentrum 210 übertragen oder mindestens zwei der Teilsätze werden an verschiedene Speicherzentren 210 übertragen. Als Reaktion auf den Empfang des Satzes verschlüsselter Messdaten speichert das Speicherzentrum 210 den Satz und erzeugt eine Transaktion, die die Speicheroperation repräsentiert. Das Speicherzentrum 210 sendet die Transaktion an ein Distributed-Ledger-Netzwerk, damit sie in ein verteiltes Kontenbuch aufgenommen werden kann. Dann empfängt das Edge-Gateway 218 in Block 1208 die Blockinformationen vom Speicherzentrum, z. B. eine Transaktions-ID für die Transaktion oder andere geeignete Informationen, die die Transaktion im verteilten Kontenbuch identifizieren.
Als Reaktion auf eine Anforderung des Messdatensatzes von einem Datenabonnenten 1000 (Block 1210) überträgt das Edge-Gateway 218 Blockinformationen wie z. B. eine Transaktions-ID zum Abrufen der Transaktion, die den Satz verschlüsselter Messdaten aus dem verteilten Kontenbuch (Block 1212) und einen einmaligen kryptographischen Schlüssel zum Entschlüsseln des Satzes verschlüsselter Messdaten (Block 1214) enthält. Wenn der Satz von Messdaten in mehrere Teilsätze aufgeteilt wird, kann das Edge-Gateway 218 Transaktions-IDs und einmalige kryptographische Schlüssel zum Abrufen und Entschlüsseln jedes Teilsatzes von verschlüsselten Messdaten bereitstellen.
Auf diese Weise kann der Datenabonnent 1000 die Transaktion(en), die der (den) Transaktions-ID(s) entspricht (entsprechen), aus dem verteilten Kontenbuch abrufen, das (die) Speicher-Zentrum/-Zentren identifizieren, das (die) die verschlüsselten Messdaten speichert (speichern), und dem (den) identifizierten Speicher-Zentrum/-Zentren Identifikationsinformationen für die verschlüsselten Messdaten bereitstellen, um die verschlüsselten Messdaten abzurufen. Der Datenabonnent kann auch die Authentizität der verschlüsselten Messdaten überprüfen, indem er die verschlüsselten Messdaten mit dem/den kryptographischen Hash-Wert(en) vergleicht, der/die den verschlüsselten Messdaten entspricht/entsprechen, die in der/den Transaktion(en) im verteilten Kontenbuch enthalten ist/sind. Darüber hinaus kann der Datenabonnent 1000 die verschlüsselten Messdaten mit dem/den einmaligen kryptographischen Schlüssel(n) entschlüsseln.
13 zeigt ein Flussdiagramm, das ein beispielhaftes Verfahren 1300 zum Speichern von Messdaten unter Verwendung eines verteilten, von mehreren Teilnehmern verwalteten Kontenbuchs darstellt. Das Verfahren 1300 kann von einem Speicherzentrum 210 ausgeführt werden, z. B. von einem Speicherzentrum-Computergerät.
In Block 1302 erhält das Speicherzentrum 210 verschlüsselte Messdaten, bei denen es sich um einen Satz verschlüsselter Messdaten oder um einen Teilsatz verschlüsselter Messdaten handeln kann, wobei die anderen Teilsätze verschiedenen Speicherzentren bereitgestellt werden. Die verschlüsselten Messdaten können von einem Datenlieferanten 10 erhalten werden, wie z. B. einer Prozessanlage, einem Krankenhaus oder jeder anderen geeigneten Quelle für große Datensätze.
Im Block 1304 speichert das Speicherzentrum 210 dann die verschlüsselten Messdaten mit einer Kennung zum Abrufen der verschlüsselten Messdaten, wie z. B. einer Datensatz-ID. Zusätzlich zum Speichern der verschlüsselten Messdaten erzeugt das Speicherzentrum 210 eine Transaktion, die die Speicheroperation repräsentiert und einen Hinweis auf die verschlüsselten Messdaten enthält (Block 1306). Die Transaktion kann eine Transaktions-ID, eine Datenlieferanten-ID für den Datenlieferanten, der den Satz oder Teilsatz verschlüsselter Messdaten erzeugt hat, eine Datensatz-ID, die den bestimmten Satz oder Teilsatz verschlüsselter Messdaten identifiziert, eine Speicherzentrums-ID, die das Speicherzentrum identifiziert, das den Satz oder Teilsatz verschlüsselter Messdaten speichert, und einen Hinweis auf den Satz oder Teilsatz verschlüsselter Messdaten wie z. B. einen kryptographischen Hash-Wert, der dem Satz oder Teilsatz verschlüsselter Messdaten entspricht, enthalten.
Das Speicherzentrum 210 sendet die Transaktion an das Netzwerk des verteilten Kontenbuchs, und wenn die gesendete Transaktion den Konsensregeln entspricht, können Netzwerk-Validatoren die Transaktion in einen Block des verteilten Kontenbuchs aufnehmen (Block 1308). Das Speicherzentrum 210 stellt dann die Blockinformationen dem Datenlieferanten 10 zur Verfügung, wie z. B. eine Transaktions-ID für die Transaktion oder andere geeignete Informationen zur Identifizierung der Transaktion im verteilten Kontenbuch (Block 1310).
Als Reaktion auf eine Anforderung der verschlüsselten Messdaten von einem Datenabonnenten 1000 einschließlich einer Datensatz-ID, die die verschlüsselten Messdaten identifiziert (Block 1312), stellt das Speicherzentrum 210 dem Datenabonnenten die verschlüsselten Messdaten zur Verfügung (Block 1314).
14 zeigt ein Flussdiagramm, das ein beispielhaftes Verfahren 1400 zur Gewinnung sicher gespeicherter Messdaten aus einem Speicherzentrum und einem verteilten Kontenbuch darstellt. Das Flussdiagramm 1400 kann von einem Datenabonnenten 1000 wie z. B. einem Datenabonnenten-Computergerät ausgeführt werden.
In Block 1402 sendet der Datenabonnent 1000 eine Anforderung von Messdaten von einem Datenlieferanten 10, z. B. einer Prozessanlage. Die Anforderung von Messdaten kann sich auf einen bestimmten Satz von Messdaten beziehen, z. B. einen Satz von Messdaten, der dem letzten Zeitintervall entspricht (z. B. den letzten 30 Sekunden). In Block 1404 erhält der Datenabonnent 1000 Blockinformationen einschließlich einer Transaktions-ID zum Abrufen einer Transaktion in einem verteilten Kontenbuch, die auf eine verschlüsselte Version des in einem Speicherzentrum 212 gespeicherten Satzes von Messdaten verweist, sowie einen einmaligen kryptographischen Schlüssel zum Entschlüsseln der verschlüsselten Messdaten. Wenn der Satz von Messdaten in mehrere Teilsätze aufgeteilt wird, kann der Datenlieferant 10 Transaktions-IDs und einmalige kryptographische Schlüssel zum Abrufen und Entschlüsseln jedes Teilsatzes von verschlüsselten Messdaten bereitstellen.
Der Datenabonnent 1000 ruft die Transaktionen, die den Transaktions-IDs entsprechen, aus dem verteilten Kontenbuch (Block 1406) ab. Für jede abgerufene Transaktion erhält der Datenabonnent 1000 die Identität des Speicherzentrums, das die Teilmenge der verschlüsselten Messdaten auf der Grundlage der Speicherzentrums-ID und einer Kennung der Teilmenge der verschlüsselten Messdaten, wie z. B. einer Datensatz-ID, speichert. Der Datenabonnent 1000 sendet dann eine Anfrage an das identifizierte Speicherzentrum 210 für den Teilsatz der verschlüsselten Messdaten, der der Datensatz-ID (Block 1408) entspricht. Dementsprechend ruft das Speicherzentrum 210 den Teilsatz der verschlüsselten Messdaten ab, der der Datensatz-ID entspricht, und stellt ihn dem Datenabonnenten 1000 (Block 1410) zur Verfügung.
Darüber hinaus vergleicht der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten mit dem kryptographischen Hash-Wert, der dem Teilsatz der in der Transaktion enthaltenen verschlüsselten Messdaten entspricht (Block 1412). Beispielsweise kann der Datenabonnent 1000 einen kryptographischen Hash-Algorithmus für den Teilsatz der verschlüsselten Messdaten durchführen und feststellen, ob die resultierende Ausgabe mit dem kryptographischen Hash-Wert identisch ist. Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert übereinstimmt, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten nicht manipuliert wurde, und seine Authentizität überprüfen. Wenn andererseits die resultierende Ausgabe vom kryptographischen Hash-Wert abweicht, kann der Datenabonnent 1000 feststellen, dass der Teilsatz der verschlüsselten Messdaten manipuliert wurde, und darf die Messdaten nicht in seiner Analyse verwenden oder mit den Messdaten weiter verfahren.
Wenn die resultierende Ausgabe mit dem kryptographischen Hash-Wert identisch ist, entschlüsselt der Datenabonnent 1000 den Teilsatz der verschlüsselten Messdaten unter Verwendung der Entschlüsselungsinformationen, die vom Datenlieferanten 10 bereitgestellt werden, wie z. B. mithilfe des einmaligen kryptographischen Schlüssels (Block 1414). Der Datenabonnent 1000 kann diesen Vorgang für jeden Teilsatz verschlüsselter Messdaten wiederholen, um die Teilsätze von Messdaten zu erzeugen, und er kann die Teilsätze kombinieren, um den Messdatensatz zu erzeugen.
Die Ausführungsformen der in der vorliegenden Offenbarung beschriebenen Techniken können eine beliebige Anzahl der folgenden Aspekte - entweder allein oder in Kombination - enthalten:

1. Verfahren zum sicheren Speichern von Messdaten in einer Prozessanlage in einem Speicherzentrum unter Verwendung eines verteilten Kontenbuchs, wobei das Verfahren Folgendes umfasst: Sammeln einer Messung eines Parameters innerhalb der Prozessanlage durch ein Feldgerät, das eine physische Funktion zur Steuerung eines industriellen Prozesses in einer Prozessanlage ausführt; Erhalten der Messung des Parameters innerhalb der Prozessanlage durch ein Computergerät; Verschlüsseln der Messung; Übertragen der verschlüsselten Messung an ein Speicherzentrum, das die verschlüsselte Messung speichert; Erhalten, durch das Computergerät, von Identifikationsinformation zum Abrufen einer Transaktion, die eine vom Speicherzentrum für die verschlüsselte Messung durchgeführte Speicheroperation darstellt, wobei die Transaktion in einem verteilten Kontenbuch enthalten ist; Empfangen, an dem Computergerät, einer Anforderung von einem Datenabonnenten zum Erhalten der Messung; Übertragen, an den Datenabonnenten, der Identifikationsinformation zum Abrufen der Transaktion; und Übertragen, an den Datenabonnenten, von Entschlüsselungsinformation zum Entschlüsseln der verschlüsselten Messung.
2. Verfahren gemäß Aspekt 1, wobei der Datenabonnent die verschlüsselte Messung abruft und die verschlüsselte Messung mit einem kryptographischen Hash-Wert vergleicht, der der verschlüsselten Messung entspricht, die in dem verteilten Kontenbuch enthalten ist, um die Authentizität der verschlüsselten Messung zu verifizieren.
3. Verfahren gemäß einem der vorhergehenden Aspekte, wobei die Transaktion eine Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, eine Kennung des Computergeräts, das die verschlüsselten Messdaten erzeugt hat, eine Kennung zum Abrufen der verschlüsselten Messdaten und einen kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht, umfasst.
4. Verfahren gemäß einem der vorhergehenden Aspekte, wobei das Übertragen der Identifikationsinformation an den Datenabonnenten zwecks Abrufen der Transaktion das Übertragen einer Transaktionsidentifizierung an den Datenabonnenten beinhaltet, die der Transaktion in dem verteilten Kontenbuch entspricht, die die verschlüsselte Messung enthält.
5. Verfahren gemäß einem der vorhergehenden Aspekte, wobei das Übertragen von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung das Übertragen eines einmaligen kryptographischen Schlüssels zum Entschlüsseln der verschlüsselten Messung an den Datenabonnenten einschließt.
6. Verfahren gemäß einem der vorhergehenden Aspekte, ferner Folgendes umfassend: Erhalten von mehreren Messungen mehrerer Parameter innerhalb der Prozessanlage durch das Computergerät; Verschlüsseln jeder der mehreren Messungen; und Übertragen der mehreren verschlüsselten Messungen an mehrere Speicherzentren.
7. Verfahren gemäß einem der vorhergehenden Aspekte, wobei als Reaktion auf eine Anforderung des Datenabonnenten, wenigstens einige der mehreren Messungen zu erhalten, an den Datenabonnenten Identifikationsinformationen zum Abrufen von Transaktionen einschließlich Kennungen von wenigstens einigen der mehreren Speicherzentren, die die mindestens einigen Messungen speichern, übertragen werden.
8. Verfahren zum Speichern von Messdaten unter Verwendung eines verteilten Kontenbuchs, das von mehreren Teilnehmern verwaltet wird, wobei das Verfahren Folgendes umfasst: Erhalten, an einem Computergerät, von verschlüsselten Messdaten von einem Datenlieferanten, der die Messdaten erzeugt und verschlüsselt hat; Speichern der verschlüsselten Messdaten; Erzeugen einer Transaktion, die einen Hinweis auf die verschlüsselten Messdaten enthält; Übertragen der Transaktion an mindestens einen anderen Teilnehmer in einem Distributed-Ledger-Netzwerk von Teilnehmern, die ein verteiltes Kontenbuch verwalten; Übertragen, an den Datenlieferanten, von Identifikationsinformationen zum Abrufen der verschlüsselten Messdaten; Empfangen, am Computergerät, einer Anforderung für die verschlüsselten Messdaten von einem Datenabonnenten, einschließlich einer Kennung der verschlüsselten Messdaten; und als Antwort auf die Anforderung, Übertragen der verschlüsselten Messdaten an den Datenabonnenten.
9. Verfahren gemäß Aspekt 8, wobei das Erzeugen einer Transaktion das Erzeugen der Transaktion einschließlich einer Kennung des Computergeräts einschließt, das die verschlüsselten Messdaten speichert, einer Kennung des Datenlieferanten, der die verschlüsselten Messdaten erzeugt hat, einer Kennung zum Abrufen der verschlüsselten Messdaten und eines kryptographischen Hash-Wertes, der den verschlüsselten Messdaten entspricht.
10. Verfahren gemäß entweder Aspekt 8 oder Aspekt 9, wobei der Datenabonnent die verschlüsselten Messdaten mit dem kryptographischen Hash-Wert vergleicht, um die Authentizität der verschlüsselten Messdaten zu verifizieren.
11. Verfahren gemäß einem der Aspekte 8-10, wobei das Übertragen von Identifikationsinformationen zum Abrufen der verschlüsselten Messdaten das Übertragen, an den Datenlieferanten, einer Transaktionskennung umfasst, die der Transaktion in dem verteilten Kontenbuch entspricht, das die verschlüsselten Messdaten enthält.
12. Verfahren gemäß einem der Aspekte 8 bis 11, wobei das Erzeugen der Transaktion Folgendes umfasst: Erzeugen einer kryptographischen Signatur auf der Grundlage der Transaktion; und Erweitern der Transaktion mit der kryptographischen Signatur.
13. Verfahren nach einem der Aspekte 8 bis 12, weiterhin umfassend: Hinzufügen der Transaktion zu einem Block von Transaktionen; Lösen eines kryptographischen Puzzles basierend auf dem Block von Transaktionen; Hinzufügen der Lösung des kryptographischen Puzzles zu dem Block von Transaktionen; und Übertragen des Blocks von Transaktionen an mindestens einen anderen Teilnehmer in dem Distributed-Ledger-Netzwerk.
14. Validierender Netzwerkknoten in einem Distributed-Ledger-Netzwerk, umfassend: einen Transceiver, der so konfiguriert ist, dass er mit einem oder mehreren Datenlieferanten kommuniziert, die jeweils Messdaten erzeugen und verschlüsseln, und dass er die Daten des verteilten Kontenbuchs mit Peer-Netzwerkknoten austauscht, wobei die Daten des verteilten Kontenbuchs Transaktionen enthalten, die Speicheroperationen für Sätze verschlüsselter Messdaten darstellen; ein Speichermedium, das so konfiguriert ist, dass es eine Kopie des verteilten Kontenbuchs speichert; und einen Validator, der so konfiguriert ist, dass er einen Satz von Konsensregeln auf die von den Knoten des Peer-Netzwerks empfangenen Daten des verteilten Kontenbuchs anwendet, wobei der Validator ferner so konfiguriert ist, dass er die von den Knoten des Peer-Netzwerks empfangenen Daten des verteilten Kontenbuchs an die Kopie des verteilten Kontenbuchs anhängt, wenn die Daten des verteilten Kontenbuchs die Konsensregeln erfüllen.
15. Validierender Netzwerkknoten gemäß Aspekt 14, wobei die von den Peer-Knoten empfangenen Daten des verteilten Kontenbuchs einen Identitätsnachweis eines Speicherzentrums enthalten, das einen der Sätze von verschlüsselten Messdaten speichert und eine der Transaktionen erzeugt, die eine Speicheroperation für den Satz von verschlüsselten Messdaten darstellt.
16. Validierender Netzwerkknoten gemäß entweder Aspekt 14 oder Aspekt 15, wobei zum Anhängen von Daten des verteilten Kontenbuchs, die von Peer-Knoten empfangen werden, der Validator folgendermaßen konfiguriert ist: Lösen eines kryptographischen Puzzles auf der Grundlage eines Blocks von Transaktionen; Hinzufügen der Lösung des kryptographischen Puzzles zu dem Block von Transaktionen; Anhängen des Blocks von Transaktionen an die Kopie des verteilten Kontenbuchs; und Übertragen des Blocks von Transaktionen an mindestens einen der Peer-Netzwerkknoten im Distributed-Ledger-Netzwerk.
17. Validierender Netzwerkknoten gemäß einem der Aspekte 14 bis 16, wobei der Satz von Konsensregeln mindestens eines der folgenden Elemente enthält: Formatierungsanforderungen für Transaktionen oder Blöcke von Transaktionen; einen Mechanismus, mit dem bestimmt wird, welcher der Peer-Netzwerkknoten eine nächste Transaktion oder einen nächsten Block von Transaktionen zu dem verteilten Kontenbuch hinzufügt; oder einen kryptographischen Hash-Algorithmus zum Hashen des Satzes von verschlüsselten Messdaten, die in jeder der Transaktionen enthalten sind.
18. Validierender Netzwerkknoten gemäß einem der Aspekte 14 bis 17, wobei jede Transaktion eine Kennung für einen Satz verschlüsselter Messdaten, eine Kennung eines Speicherzentrums, das den Satz verschlüsselter Messdaten speichert, und eine Kennung eines Datenlieferanten, der den Satz verschlüsselter Messdaten erzeugt hat, sowie einen kryptographischen Hash-Wert, der dem Satz verschlüsselter Messdaten entspricht, enthält.
19. System zum Speichern von Messdaten unter Verwendung eines verteilten Kontenbuchs, das von mehreren Teilnehmern geführt wird, umfassend: ein oder mehrere Geräte, die in einer Prozessanlage angeordnet sind und jeweils eine physische Funktion zur Steuerung eines industriellen Prozesses ausführen; und ein Computergerät, das in der Prozessanlage ausgeführt wird und Folgendes umfasst: einen oder mehrere Prozessoren; eine Kommunikationseinheit; und ein nichtflüchtiges, computerlesbares Medium, das mit dem einen oder den mehreren Prozessoren und der Kommunikationseinheit gekoppelt ist und darauf Befehle speichert, die bei Ausführung durch den einen oder die mehreren Prozessoren das Computergerät zu Folgendem veranlassen: Erhalten einer Messung eines Parameters innerhalb der Prozessanlage von dem einen oder den mehreren Geräten; Verschlüsseln der Messung; Übertragen der verschlüsselten Messung an ein Speicherzentrum, das die verschlüsselte Messung speichert; Erhalten von Identifikationsinformationen zum Abrufen einer Transaktion, die eine von dem Speicherzentrum für die verschlüsselte Messung durchgeführte Speicheroperation repräsentiert, wobei die Transaktion in einem verteilten Kontenbuch enthalten ist; Empfangen einer Anforderung von einem Datenabonnenten zum Erhalten der Messung; Übertragen der Identifikationsinformationen zum Abrufen der verschlüsselten Messung von dem Speicherzentrum an den Datenabonnenten; und Übertragen von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung an den Datenabonnenten.
20. System gemäß Aspekt 19, wobei der Datenabonnent die verschlüsselte Messung abruft und die verschlüsselte Messung mit einem kryptographischen Hash-Wert vergleicht, der der verschlüsselten Messung entspricht, die in dem verteilten Kontenbuch enthalten ist, um die Authentizität der verschlüsselten Messung zu verifizieren.
21. System gemäß entweder Aspekt 19 oder Aspekt 20, wobei die Transaktion eine Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, eine Kennung des Computergeräts, das die verschlüsselten Messdaten erzeugt hat, eine Kennung zum Abrufen der verschlüsselten Messdaten und einen kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht, umfasst.
22. System nach einem der Aspekte 19 bis 21, wobei zum Übertragen der Identifikationsinformation zum Abrufen der Transaktion die Befehle das Computergerät veranlassen, an den Datenabonnenten eine Transaktionskennung zu übertragen, die der Transaktion in dem verteilten Kontenbuch entspricht, die die verschlüsselte Messung enthält.
23. System nach einem der Aspekte 19 bis 22, wobei zur Übertragung von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung die Befehle das Computergerät veranlassen, dem Datenabonnenten einen einmaligen kryptographischen Schlüssel zum Entschlüsseln der verschlüsselten Messung zu übertragen.
24. System gemäß einem der Aspekte 19 bis 23, wobei die Befehle ferner das Computergerät zu Folgendem veranlassen: Erhalten mehrerer Messungen von mehreren Parametern innerhalb der Prozessanlage; Verschlüsseln jeder der mehreren Messungen; und Übertragen der mehreren verschlüsselten Messungen an mehrere Speicherzentren.
25. System gemäß einem der Aspekte 19 bis 24, wobei als Reaktion auf eine Anforderung des Datenabonnenten, mindestens einige der mehreren Messungen zu erhalten, die Befehle ferner das Computergerät veranlassen, an den Datenabonnenten Identifikationsinformationen zum Abrufen von Transaktionen einschließlich Kennungen von mindestens einigen der mehreren Speicherzentren, die die mindestens einigen Messungen speichern, zu übertragen.
26. System gemäß einem der Aspekte 19 bis 25, wobei zumindest einige Messungen in einem Datensatz enthalten sind und in verschiedenen Speicherzentren als Teilsätze des Datensatzes gespeichert werden.
27. Verfahren zum Erhalten sicher gespeicherter Messdaten von einem Speicherzentrum und einem verteilten Kontenbuch, wobei das Verfahren Folgendes umfasst: Übertragen, durch ein Computergerät, einer Anforderung von Messdaten, die von einem Datenlieferanten erzeugt wurden; Empfangen, von dem Datenlieferanten, von Identifikationsinformationen zum Abrufen einer verschlüsselten Version der Messdaten von einem Speicherzentrum, das die verschlüsselten Messdaten speichert, einschließlich des Empfangens einer Transaktionskennung, die einer Transaktion in einem verteilten Kontenbuch entspricht, die einen Hinweis auf die verschlüsselten Messdaten enthält; Empfangen, vom Datenlieferanten, von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messdaten; Erhalten von Transaktionsdaten, die der Transaktionskennung aus dem verteilten Kontenbuch zugeordnet sind, einschließlich einer Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert; Übertragen einer Anforderung für die verschlüsselten Messdaten an das identifizierte Speicherzentrum; Empfangen der verschlüsselten Messdaten vom Speicherzentrum; Vergleichen der verschlüsselten Messdaten mit dem Hinweis auf die verschlüsselten Messdaten, die in dem verteilten Kontenbuch enthalten sind, und als Reaktion auf die Feststellung, dass die verschlüsselten Messdaten dem Hinweis auf die verschlüsselten Messdaten entsprechen, die in dem verteilten Kontenbuch enthalten sind, Entschlüsseln der verschlüsselten Messdaten unter Verwendung der Entschlüsselungsinformation, um die Messdaten zu erhalten.
28. Verfahren gemäß Aspekt 27, wobei die Messdaten ein Satz von Messdaten mit mehreren Teilmengen von Messdaten sind, wobei jede Teilmenge in einem anderen Speicherzentrum gespeichert ist, und ferner Folgendes umfassend: Empfangen von Identifikationsinformationen zum Abrufen verschlüsselter Versionen jedes Teilsatzes von Messdaten von mehreren Speicherzentren von dem Datenlieferanten, einschließlich des Empfangens von Transaktionskennungen, die Transaktionen im verteilten Kontenbuch entsprechen, die Hinweise auf jeden Teilsatz von verschlüsselten Messdaten enthalten; Empfangen von Entschlüsselungsinformationen zum Entschlüsseln jedes Teilsatzes der verschlüsselten Messdaten von dem Datenlieferanten; Übertragen einer Anforderung für eine entsprechende Teilmenge der verschlüsselten Messdaten an jedes der mehreren Speicherzentren; Empfangen der Teilsätze der verschlüsselten Messdaten von den mehreren Speicherzentren; Entschlüsseln jedes Teilsatzes der verschlüsselten Messdaten unter Verwendung der entsprechenden Entschlüsselungsinformation für den Teilsatz, um den Teilsatz der Messdaten zu erhalten; und Kombinieren der mehreren Teilmengen von Messdaten, um den Satz von Messdaten zu erzeugen.
29. Verfahren gemäß entweder Aspekt 27 oder Aspekt 28, wobei das Erhalten von Transaktionsdaten das Erhalten einer Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, einer Kennung des Datenlieferanten, der die verschlüsselten Messdaten erzeugt hat, einer Kennung zum Abrufen der verschlüsselten Messdaten und eines kryptographischen Hash-Wertes, der den verschlüsselten Messdaten entspricht, umfasst.
30. Verfahren gemäß einem der Aspekte 27 bis 29, wobei das Vergleichen der verschlüsselten Messdaten mit dem Hinweis auf die verschlüsselten Messdaten, die in dem verteilten Kontenbuch enthalten sind, das Vergleichen der verschlüsselten Messdaten mit dem kryptographischen Hash-Wert umfasst, der den verschlüsselten Messdaten entspricht.
31. Verfahren gemäß einem der Aspekte 27 bis 30, wobei das Empfangen von Entschlüsselungsinformationen das Empfangen eines einmaligen kryptographischen Schlüssels vom Datenlieferanten zum Entschlüsseln der verschlüsselten Messdaten umfasst.

Wenn sie in Software implementiert sind, kann jede(r) der hier beschriebenen Anwendungen, Dienste und Funktionseinheiten in jedem greifbaren, nichtflüchtigen, computerlesbaren Speicher, wie z. B. auf einer Magnetplatte, einer Laserplatte, einem Festkörperspeicher, einem molekularen Speichergerät oder einem anderen Speichermedium, in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichert werden. Obwohl die hierin offengelegten Systembeispiele neben anderen Komponenten auch Software und/oder Firmware enthalten, die auf Hardware ausgeführt werden, ist zu beachten, dass solche Systeme lediglich der Veranschaulichung dienen und nicht als einschränkend betrachtet werden sollten. Beispielsweise wird in Betracht gezogen, dass einige oder alle dieser Hardware-, Software- und Firmwarekomponenten ausschließlich in Hardware, ausschließlich in Software oder in einer beliebigen Kombination aus Hardware und Software enthalten sein können. Dementsprechend werden die hier beschriebenen Systembeispiele zwar als in Software implementiert beschrieben, die auf einem Prozessor eines oder mehrerer Computergeräte ausgeführt wird, aber Personen mit gewöhnlichen Fachkenntnissen werden leicht verstehen, dass die angegebenen Beispiele nicht die einzige Möglichkeit sind, solche Systeme zu implementieren.
Während also die vorliegende Erfindung anhand konkreter Beispiele beschrieben wurde, die nur zur Veranschaulichung und nicht zur Beschränkung der Erfindung gedacht sind, wird es für Personen mit gewöhnlichen Fachkenntnissen offensichtlich sein, dass Änderungen, Ergänzungen oder Löschungen an den offengelegten Ausführungsformen vorgenommen werden können, ohne vom Geist und Umfang der Erfindung abzuweichen.

Claims

Verfahren zum sicheren Speichern von Messdaten in einer Prozessanlage in einem Speicherzentrum unter Verwendung eines verteilten Kontenbuchs, wobei das Verfahren Folgendes umfasst: Sammeln einer Messung eines Parameters innerhalb der Prozessanlage durch ein Feldgerät, das eine physische Funktion zur Steuerung eines industriellen Prozesses in einer Prozessanlage ausführt; Erhalten, mittels eines Computergeräts, der Messung des Parameters innerhalb der Prozessanlage; Verschlüsseln der Messung; Übertragen der verschlüsselten Messung an ein Speicherzentrum, das die verschlüsselte Messung speichert; Erhalten, durch das Computergerät, von Identifikationsinformationen zum Abrufen einer Transaktion, die eine vom Speicherzentrum für die verschlüsselte Messung durchgeführte Speicheroperation repräsentiert, wobei die Transaktion in einem verteilten Kontenbuch enthalten ist, Empfangen, am Computergerät, einer Anforderung von einem Datenabonnenten, um die Messung zu erhalten; Übertragen, an den Datenabonnenten, der Identifikationsinformationen zum Abrufen der Transaktion; und Übertragen, an den Datenabonnenten, von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung.
Verfahren nach Anspruch 1, wobei der Datenabonnent die verschlüsselte Messung abruft und die verschlüsselte Messung mit einem kryptographischen Hash-Wert vergleicht, der der verschlüsselten Messung entspricht, die im verteilten Kontenbuch enthalten ist, um die Authentizität der verschlüsselten Messung zu verifizieren.
Verfahren nach Anspruch 1 oder 2, insbesondere nach Anspruch 1, wobei die Transaktion eine Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, eine Kennung des Computergeräts, das die verschlüsselten Messdaten erzeugt hat, eine Kennung zum Abrufen der verschlüsselten Messdaten und einen kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht, umfasst.
Verfahren nach einem der Ansprüche 1 bis 3, insbesondere nach Anspruch 1, wobei das Übertragen, an den Datenabonnenten, der Identifikationsinformation zum Abrufen der Transaktion das Übertragen, an den Datenabonnenten, einer Transaktionskennung einschließt, die der Transaktion in dem verteilten Kontenbuch entspricht, die die verschlüsselte Messung einschließt.
Verfahren nach einem der Ansprüche 1 bis 4, insbesondere nach Anspruch 1, wobei das Übertragen von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung das Übertragen, an den Datenabonnenten, eines einmaligen kryptographischen Schlüssels zum Entschlüsseln der verschlüsselten Messung einschließt.
Verfahren nach einem der Ansprüche 1 bis 5, insbesondere nach Anspruch 1, ferner Folgendes umfassend: Erhalten, durch das Computergerät, mehrerer Messungen von mehreren Parametern innerhalb der Prozessanlage; Verschlüsseln jeder der mehreren Messungen; und Übertragen der mehreren verschlüsselten Messungen an mehrere Speicherzentren, und/oder wobei als Reaktion auf eine Anforderung des Datenabonnenten, wenigstens einige der mehreren Messungen zu erhalten, an den Datenabonnenten Identifikationsinformationen zum Abrufen von Transaktionen einschließlich Kennungen von mindestens einigen der mehreren Speicherzentren, die die mindestens einigen Messungen speichern, übertragen werden.
Verfahren zum Speichern von Messdaten unter Verwendung eines verteilten Kontenbuchs, das von mehreren Teilnehmern verwaltet wird, wobei das Verfahren Folgendes umfasst: Erhalten, an einem Computergerät, von verschlüsselten Messdaten von einem Datenlieferanten, der die Messdaten erzeugt und verschlüsselt hat; Speichern der verschlüsselten Messdaten; Erzeugen einer Transaktion einschließlich eines Hinweises auf die verschlüsselten Messdaten; Übertragen der Transaktion an mindestens einen anderen Teilnehmer in einem Distributed-Ledger-Netzwerk von Teilnehmern, die ein verteiltes Kontenbuch verwalten; Übertragen von Identifikationsinformationen zum Abrufen der verschlüsselten Messdaten an den Datenlieferanten; Empfangen, am Computergerät von einem Datenabonnenten, einer Anforderung für die verschlüsselten Messdaten einschließlich einer Kennung der verschlüsselten Messdaten; und als Reaktion auf die Anforderung, Übertragen der verschlüsselten Messdaten an den Datenabonnenten.
Verfahren nach Anspruch 7, wobei das Erzeugen einer Transaktion das Erzeugen der Transaktion einschließt, die Folgendes umfasst: eine Kennung des Computergeräts, das die verschlüsselten Messdaten speichert, eine Kennung des Datenlieferanten, der die verschlüsselten Messdaten erzeugt hat, eine Kennung zum Abrufen der verschlüsselten Messdaten und einen kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht, und/oder wobei der Datenabonnent die verschlüsselten Messdaten mit dem kryptographischen Hash-Wert vergleicht, um die Authentizität der verschlüsselten Messdaten zu verifizieren.
Verfahren nach Anspruch 7 oder 8, insbesondere nach Anspruch 7, wobei das Übertragen von Identifikationsinformationen zum Abrufen der verschlüsselten Messdaten das Übertragen, an den Datenlieferanten, einer Transaktionskennung umfasst, die der Transaktion in dem verteilten Kontenbuch entspricht, das die verschlüsselten Messdaten enthält.
Verfahren nach einem der Ansprüche 7 bis 9, insbesondere nach Anspruch 7, wobei das Erzeugen der Transaktion Folgendes umfasst: Erzeugen einer kryptographischen Signatur basierend auf der Transaktion; und Erweitern der Transaktion mit der kryptographischen Signatur, und/oder ferner Folgendes umfassend: Hinzufügen der Transaktion zu einem Block von Transaktionen; Lösen eines kryptographischen Puzzles basierend auf dem Block von Transaktionen; Hinzufügen der Lösung zu dem kryptographischen Puzzle zu dem Block von Transaktionen; und Übertragen des Blocks von Transaktionen an mindestens einen anderen Teilnehmer im Distributed-Ledger-Netzwerk.
Validierender Netzwerkknoten in einem Distributed-Ledger-Netzwerk, umfassend: einen Transceiver, der so konfiguriert ist, dass er mit einem oder mehreren Datenlieferanten kommuniziert, die jeweils Messdaten erzeugen und verschlüsseln, und dass er Daten des verteilten Kontenbuchs mit Peer-Netzwerkknoten austauscht, wobei die Daten des verteilten Kontenbuchs Transaktionen enthalten, die Speicheroperationen für Sätze von verschlüsselten Messdaten repräsentieren; ein Speichermedium, das zur Speicherung einer Kopie des verteilten Kontenbuchs konfiguriert ist; und einen Validator, der so konfiguriert ist, dass er einen Satz von Konsensregeln auf die Daten des verteilten Kontenbuchs anwendet, die von den Peer-Netzwerkknoten empfangen werden, wobei der Validator ferner so konfiguriert ist, dass er die von den Peer-Netzwerkknoten empfangenen Daten des verteilten Kontenbuchs an die Kopie des verteilten Kontenbuchs anhängt, wenn die Daten des verteilten Kontenbuchs die Konsensregeln erfüllen.
Validierender Netzwerkknoten nach Anspruch 11, wobei die von den Peer-Knoten empfangenen Daten des verteilten Kontenbuchs einen Identitätsnachweis eines Speicherzentrums enthalten, das einen der Sätze von verschlüsselten Messdaten speichert und eine der Transaktionen erzeugt, die eine Speicheroperation für den Satz von verschlüsselten Messdaten repräsentiert.
Validierender Netzwerkknoten nach Anspruch 11 oder 12, insbesondere nach Anspruch 11, wobei zum Anhängen von Daten des verteilten Kontenbuchs, die von Peer-Knoten empfangen wurden, der Validator wie folgt konfiguriert ist: Lösen eines kryptographischen Puzzles basierend auf einem Block von Transaktionen; Hinzufügen der Lösung des kryptographischen Puzzles zum Block von Transaktionen; Anhängen des Blocks von Transaktionen an die Kopie des verteilten Kontenbuchs; und Übertragung des Blocks von Transaktionen an mindestens einen der Peer-Netzwerkknoten im Distributed-Ledger-Netzwerk.
Validierender Netzwerkknoten nach einem der Ansprüche 11 bis 13, insbesondere nach Anspruch 11, wobei der Satz von Konsensregeln mindestens eines der Folgenden enthält: Formatierungsanforderungen für Transaktionen oder Blöcke von Transaktionen; einen Mechanismus, mit dem bestimmt wird, welcher der Knoten des Peer-Netzwerks eine nächste Transaktion oder einen nächsten Block von Transaktionen zu dem verteilten Kontenbuch hinzufügt; oder einen kryptographischen Hash-Algorithmus zum Hashen des Satzes von verschlüsselten Messdaten, die in jeder der Transaktionen enthalten sind.
Validierender Netzwerkknoten nach einem der Ansprüche 11 bis 14, insbesondere nach Anspruch 11, wobei jede Transaktion Folgendes umfasst: eine Kennung für einen Satz verschlüsselter Messdaten, eine Kennung eines Speicherzentrums, das den Satz verschlüsselter Messdaten speichert, eine Kennung eines Datenlieferanten, der den Satz verschlüsselter Messdaten erzeugt hat, und einen kryptographischen Hash-Wert, der dem Satz verschlüsselter Messdaten entspricht.
System zum Speichern von Messdaten unter Verwendung eines verteilten Kontenbuchs, das von mehreren Teilnehmern verwaltet wird, umfassend: ein oder mehrere Geräte, die in einer Prozessanlage angeordnet sind und jeweils eine physische Funktion zur Steuerung eines industriellen Prozesses ausüben, und ein Computergerät, das in der Prozessanlage ausgeführt wird und Folgendes umfasst: einen oder mehrere Prozessoren; eine Kommunikationseinheit; und ein nichtflüchtiges, computerlesbares Medium, das mit einem oder mehreren Prozessoren und der Kommunikationseinheit verbunden ist und auf dem Befehle gespeichert sind, die bei Ausführung durch den einen oder die mehreren Prozessoren das Computergerät zu Folgendem veranlassen: Erhalten einer Messung eines Parameters innerhalb der Prozessanlage von einem oder mehreren Geräten; Verschlüsseln der Messung; Übertragen der verschlüsselten Messung an ein Speicherzentrum, das die verschlüsselte Messung speichert; Erhalten von Identifikationsinformationen zum Abrufen einer Transaktion, die eine vom Speicherzentrum für die verschlüsselte Messung durchgeführte Speicheroperation repräsentiert, wobei die Transaktion in einem verteilten Kontenbuch enthalten ist, Empfangen einer Anforderung von einem Datenabonnenten, um die Messung zu erhalten; Übertragen, an den Datenabonnenten, der Identifikationsinformationen zum Abrufen der Transaktion; und Übertragen, an den Datenabonnenten, von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung.
System nach Anspruch 16, wobei der Datenabonnent die verschlüsselte Messung abruft und die verschlüsselte Messung mit einem kryptographischen Hash-Wert vergleicht, der der verschlüsselten Messung entspricht, die im verteilten Kontenbuch enthalten ist, um die Authentizität der verschlüsselten Messung zu verifizieren.
System nach Anspruch 16 oder 17, insbesondere nach Anspruch 16, wobei die Transaktion Folgendes umfasst: eine Kennung des Speicherzentrums, in dem die verschlüsselten Messdaten gespeichert sind, eine Kennung des Computergeräts, das die verschlüsselten Messdaten erzeugt hat, eine Kennung zum Abrufen der verschlüsselten Messdaten und einen kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht.
System nach einem der Ansprüche 16 bis 18, insbesondere nach Anspruch 16, wobei zur Übertragung der Identifikationsinformation zum Abrufen der Transaktion die Befehle das Computergerät veranlassen, an den Datenabonnenten eine Transaktionskennung zu übertragen, die der Transaktion in dem verteilten Kontenbuch entspricht, die die verschlüsselte Messung enthält.
System nach einem der Ansprüche 16 bis 19, insbesondere nach Anspruch 16, wobei zur Übertragung von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messung die Befehle das Computergerät veranlassen, an den Datenabonnenten einen einmaligen kryptographischen Schlüssel zum Entschlüsseln der verschlüsselten Messung zu übertragen.
System nach einem der Ansprüche 16 bis 20, insbesondere nach Anspruch 16, wobei die Befehle das Rechengerät ferner zu Folgendem veranlassen: Erhalten mehrerer Messungen von mehreren Parametern innerhalb der Prozessanlage; Verschlüsseln jeder der mehreren Messungen; und Übertragen der mehreren verschlüsselten Messungen an mehrere Speicherzentren, und/oder wobei als Reaktion auf eine Anforderung vom Datenabonnenten, mindestens einige der mehreren Messungen zu erhalten, die Befehle ferner das Computergerät veranlassen, an den Datenabonnenten Identifikationsinformationen zum Abrufen von Transaktionen zu übertragen, die Kennungen von mindestens einigen der mehreren Speicherzentren enthalten, die die mindestens einigen Messungen speichern, und/oder wobei die mindestens einigen Messungen in einem Datensatz enthalten sind und in verschiedenen Speicherzentren als Teilsätze des Datensatzes gespeichert werden.
Verfahren zum Erhalten sicher gespeicherter Messdaten von einem Speicherzentrum und einem verteilten Kontenbuch, wobei das Verfahren Folgendes umfasst: Übertragen, durch ein Computergerät, einer Anforderung von Messdaten, die von einem Datenlieferanten erzeugt wurden; Empfangen von Identifikationsinformationen vom Datenlieferanten zum Abrufen einer verschlüsselten Version der Messdaten von einem Speicherzentrum, das die verschlüsselten Messdaten speichert, sowie Empfangen einer Transaktionskennung, die einer Transaktion in einem verteilten Kontenbuch entspricht und einen Hinweis auf die verschlüsselten Messdaten enthält; Empfangen, vom Datenlieferanten, von Entschlüsselungsinformationen zum Entschlüsseln der verschlüsselten Messdaten; Erhalten von Transaktionsdaten, die der Transaktionskennung zugeordnet sind, aus dem verteilten Kontenbuch, einschließlich einer Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert; Übertragen, an das identifizierte Speicherzentrum, einer Anforderung für die verschlüsselten Messdaten; Empfangen der verschlüsselten Messdaten vom Speicherzentrum; Vergleichen der verschlüsselten Messdaten mit dem Hinweis auf die verschlüsselten Messdaten, die im verteilten Kontenbuch enthalten sind, und als Reaktion auf die Feststellung, dass die verschlüsselten Messdaten dem Hinweis auf die im verteilten Kontenbuch enthaltenen, verschlüsselten Messdaten entsprechen, Entschlüsseln der verschlüsselten Messdaten unter Verwendung der Entschlüsselungsinformationen, um die Messdaten zu erhalten.
Verfahren nach Anspruch 22, wobei die Messdaten ein Satz von Messdaten mit mehreren Teilsätzen von Messdaten sind, wobei jeder Teilsatz in einem anderen Speicherzentrum gespeichert ist, und ferner Folgendes umfassend: Empfangen von Identifikationsinformationen zum Abrufen verschlüsselter Versionen jedes Teilsatzes von Messdaten von mehreren Speicherzentren, sowie Empfangen von Transaktionskennungen, die den Transaktionen im verteilten Hauptbuch entsprechen, welche Hinweise auf jeden Teilsatz von verschlüsselten Messdaten enthalten; Empfangen von Entschlüsselungsinformationen vom Datenlieferanten zum Entschlüsseln jedes Teilsatzes der verschlüsselten Messdaten; Übertragen, an jedes der mehreren Speicherzentren, einer Anforderung für einen entsprechenden Teilsatz der verschlüsselten Messdaten; Empfangen der Teilsätze der verschlüsselten Messdaten von den mehreren Speicherzentren; Entschlüsseln jedes Teilsatzes der verschlüsselten Messdaten unter Verwendung der entsprechenden Entschlüsselungsinformationen für den Teilsatz, um den Teilsatz der Messdaten zu erhalten; und Kombinieren der mehreren Teilsätze von Messdaten zur Erzeugung des Messdatensatzes.
Verfahren nach Anspruch 22 oder 23, insbesondere nach Anspruch 22, wobei das Erhalten von Transaktionsdaten Folgendes umfasst: Erhalten einer Kennung des Speicherzentrums, das die verschlüsselten Messdaten speichert, einer Kennung des Datenlieferanten, der die verschlüsselten Messdaten erzeugt hat, einer Kennung zum Abrufen der verschlüsselten Messdaten und eines kryptographischen Hash-Wertes, der den verschlüsselten Messdaten entspricht, und/oder wobei das Vergleichen der verschlüsselten Messdaten mit dem Hinweis auf die verschlüsselten Messdaten, die in dem verteilten Kontenbuch enthalten sind, das Vergleichen der verschlüsselten Messdaten mit dem kryptographischen Hash-Wert, der den verschlüsselten Messdaten entspricht, einschließt.
Verfahren nach einem der Ansprüche 22 bis 24, insbesondere nach Anspruch 22, wobei das Empfangen von Entschlüsselungsinformationen das Empfangen, vom Datenlieferanten, eines einmaligen kryptographischen Schlüssels zum Entschlüsseln der verschlüsselten Messdaten einschließt.
Computer-lesbares Speichermedium, welches Instruktionen enthält, die mindestens einen Prozessor dazu veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 10 und/oder 22 bis 25 zu implementieren, wenn die Instruktionen durch mindestens einen Prozessor ausgeführt werden.