用于以安全方式管理自动化现场设备的数据以防止操纵的系统和方法与流程

1.本发明涉及一种用于借助于根据分布式账本技术，尤其是区块链的，去中心化数据库以安全方式管理现场设备的数据以防止操纵的系统和方法，其中该去中心化数据库包括多个订户节点，该订户节点由能够验证的和/或读取授权的订户节点组成，其中提供自动化现场设备，该自动化现场设备具有电子单元和通信接口。


背景技术：

2.在工业工厂中使用的现场设备在现有技术中是已知的。现场设备通常被用于过程自动化以及制造自动化。现场设备原则上指的是面向过程的并且供应或处理过程相关的数据或信息的所有设备。因此，现场设备被用于检测和/或影响过程变量。测量设备或传感器被用于检测过程变量。这些例如被用于压力和温度测量、电导率测量、流量测量、ph测量、液位测量等，并且检测压力、温度、电导率、ph值、液位、流量等的对应过程变量。致动器被用于影响过程变量。这些例如是泵或阀，它们能够影响管道中的流体的流动或箱中的液位。除了上述测量设备和致动器之外，现场设备还被理解为包括远程i/o、无线电适配器、或者通常被布置在现场级的设备。
3.endress hauser集团生产和销售了各种这样的现场设备。
4.在现代工业系统中，现场设备通常经由通信网络，诸如fieldbus(fieldbus,等)连接到更高级的单元。通常，更高级的单元是控制单元，诸如spc(存储可编程控制器)或plc(可编程逻辑控制器)。更高级的单元被用于过程控制，以及用于现场设备的调试等。由现场设备，尤其是由传感器检测到的测量值经由相应的总线系统被发射到(或可能多个)更高级的单元，该更高级的单元酌情进一步处理测量值，并且将测量值转发到工厂的控制站。控制站用于经由更高级的单元的过程可视化、过程监视和过程控制。另外，还需要从更高级的单元经由总线系统到现场设备的数据传输，尤其是现场设备的配置和参数化以及致动器的控制。
5.现场设备创建多个不同的数据。除了已经提到的传感器的测量数据之外，例如，这些数据是例如用于控制致动器的控制数据，通过这些数据，工厂运营商接收关于他们的工厂的测量点的当前过程值的信息。此外，数据是诊断数据、历史数据和/或状态数据，通过这些数据，向工厂运营商通知现场设备的问题或各个现场设备的当前状态，或者校准/参数化数据。
6.现在，通常在工厂的中央位置，例如在工厂的控制级的工作站pc中的数据库中，存储这些数据。然而，这与以下缺点相关联：如果数据库出现故障，或者如果数据库被破坏或不可读取，则保存在该数据库上的数据丢失。
7.工厂的特定应用或部分必须被正式批准。这里重要的是，创建现场设备的校准证明，并且由现场设备生成的数据能够根据校准证明创建或者可以被指配给校准证明。
8.现在，这些数据或校准证明在电子操作阶段被现场记录。为了检查，授权机构必须
去往现场的工厂运营商，并且检查该操作日志的正确性。因此，在工厂运营商和授权机构这两方都需要资源支出。工厂运营商的资源支出例如在于必要技术手段的采购和维护以及确保数据始终存储在操作日志中。如果授权机构请求操作日志，则操作日志也必须立即可用。例如，该授权机构的资源支出在于必须前往现场的工厂并且检查那里的数据的人员的使用。
9.通常，包括操作日志和用于发送和记录数据的装置的系统仅作为用于各个现场设备制造商的专有系统可用。然而，这种专有系统不受工厂运营商欢迎，因为它牵涉用于工厂的另外的维护工作和复杂性。


技术实现要素：

10.因此，本发明的目的是指定一种操作日志的替代方案，其安全地防止操纵并且与位置无关。
11.该目的通过根据权利要求1所述的用于以安全方式管理自动化现场设备的数据以防止操纵的系统和通过根据权利要求10所述的方法来实现。
12.关于该系统，该系统被设置为该系统包括：
[0013]-根据分布式账本技术，尤其是区块链的，去中心化数据库，
[0014]-包括多个订户节点，其包括能够验证的订户节点；
[0015]-自动化现场设备，
[0016]
具有电子单元，其中电子单元被设计成运行分布式账本软件栈，以及
[0017]
具有通信接口，其用于经由无线或有线通信网络建立到去中心化数据库的通信连接，
[0018]
其中，现场设备被设计成生成包括需要验证的测量值和/或校准证明的数据，
[0019]
其中，现场设备在运行分布式账本软件栈之后作为去中心化数据库的轻节点操作，并且被设计成经由通信网络将数据发送到去中心化数据库并且将数据以加密形式写入去中心化数据库中，
[0020]-其中，能够验证的订户节点被设计成验证所发送的数据，其中，去中心化数据库被设计成当至少指定比例的能够验证的订户节点成功地验证所述数据时存储数据。
[0021]
根据本发明的系统允许通过使用分布式账本数据库以安全方式存储现场设备的数据以防止操纵，例如需要验证的其测量值和/或校准证明。这种数据库的一个示例是区块链技术。然而，存在用于分布式账本数据库的其他技术，例如，基于技术“块有向无环图(blockdag)”或“基于事务的有向无环图(tdag)”[0022]
这种分布式账本数据库被去中心化地形成在彼此通信的多个计算单元上。这些计算单元被称为订户。存在各种类型的订户：
[0023]
全节点分别存储数据库的映像。此外，它们用于验证事务(transaction)，即，例如，在数据库中存储/添加新数据。它们同样用于计算新“块”(参见图1的描述)。结合本发明，所有全节点都是能够验证的订户节点。
[0024]
被称为轻节点的是与全节点相比仅具有有限功能的订户节点。例如，能够设置它们只能将数据写入数据库，但是数据库的内容未被存储在轻节点中和/或它们不参与新“块”的验证或计算。
[0025]
由于现场设备的数据以加密形式被存储在数据库中，因此数据被包含在所有全节点中，但是仅能够由包含关于加密的细节，即，例如，密钥的订户节点读取。
[0026]
在本说明书的引言部分中已经给出了结合本发明所提及的现场设备作为示例。
[0027]
根据本发明的系统的有利改进，设置去中心化数据库另外包括读取授权的订户节点，其中该读取授权的订户节点被设计成解密和读取去中心化数据库中的现场设备的所存储的数据。读取授权的订户节点能够是全节点和轻节点二者。读取授权的订户节点具有关于加密的知识，并且，例如，具有解密所需的密钥(“公钥”)。经由这种订户节点，工厂运营商或授权机构能够，例如，获得对所存储的数据的访问。
[0028]
根据本发明的系统的优选改进，设置了至少一个订户节点或连接到去中心化数据库的设备被设计成运行分析程序，
[0029]
其中，分析程序被设计为基于对需要验证并且被存储在去中心化数据库中的现场设备的测量值的分析来生成警报消息。因此，测量值不仅能够被存储用于文件编制目的/验证目的，而且能够被用于“预测性维护”应用。
[0030]
在根据本发明的系统的有利实施例中，设置了分析程序被设计成在分析过程中将需要验证的现场设备的所存储的测量值与至少一个指定极限值进行比较，并且其中分析程序被设计成在需要验证的测量值中的至少一个超过或低于指定极限值的情况下生成警报消息。
[0031]
在根据本发明的系统的有利实施例中，设置了去中心化数据库被设计成借助于订户节点存储和运行智能合同作为程序代码。智能合同是映射或检查合同或在技术上支持合同的协商或执行的计算机协议。例如，当读取现场设备的数据时，智能合同由相应的读取授权的订户节点加载并且运行。例如，运行这种智能合同能够检查校准证明，例如，对于现场设备的特定测量值，校准证明是否仍然有效。此外，如果由现场设备确定的测量值示出未授权的偏差或校准证明已经过期，则智能合同能够被用于收集罚款支付。
[0032]
上述分析程序能够类似于数据库中的智能合同被集成和运行。
[0033]
在根据本发明的系统的有利实施例中，设置了去中心化数据库是私有数据库。私有数据库仅对特定组可用。这里，与公共数据库相反，存在照顾数据库的维护的一个或多个负责方。例如，他们还确定谁执行哪些动作以及谁获得对数据库中的特定数据的访问。
[0034]
在根据本发明的系统的有利实施例中，设置了通信网络基于以太网协议。如果现场设备的通信接口允许无线通信，则能够使用诸如5g、lte等的宽范围标准。
[0035]
在根据本发明的系统的有利实施例中，设置了现场设备被设计为去中心化数据库的轻节点，以向经由通信网络发送的数据提供时间戳。结果，例如，需要验证的测量值能够被指派给特定校准证明。校准证明包括关于校准证明的有效时间段开始和有效时间段结束的信息。
[0036]
在根据本发明的系统的有利实施例中，根据本发明的系统另外包括以自动化组件，尤其是控制单元的形式的，去中心化数据库的又一轻节点或又一现场设备，其中，该又一轻节点具有时钟并且被设计成生成时间戳并且将该时间戳发送到去中心化数据库，其中，去中心化数据库被设计成将在现场设备的数据中包含的时间戳与又一轻节点的时间戳进行匹配。该又一轻节点，其尤其是与现场设备相邻的自动化组件，即，例如，在相同测量点使用的自动化组件通过验证时间戳而用作现场设备的可靠数据的又一实例。
[0037]
关于该方法，设置了该方法包括以下方法步骤：
[0038]-借助于通信接口经由有线或无线通信网络在现场设备与去中心化数据库之间建立通信连接；
[0039]-通过借助于电子单元运行分布式账本软件栈来将现场设备作为轻节点添加到去中心化数据库；
[0040]-借助于现场设备生成数据，该数据包括需要验证的测量值和/或校准证明；
[0041]-经由通信网络将数据经由通信网络发送到去中心化数据库，其中，数据被加密；
[0042]-借助于能够验证的订户节点验证去中心化数据库；
[0043]-如果至少指定比例的能够验证的订户节点成功地验证数据，则将数据写入去中心化数据库。
[0044]
根据本发明的方法的一个有利实施例，该方法另外包括借助于读取授权的订户节点解密和读取数据。
附图说明
[0045]
参考以下附图更详细地解释本发明。附图示出：
[0046]
图1：根据分布式账本技术设计的数据库的图示；以及
[0047]
图2：根据本发明的系统的示例性实施例。
具体实施方式
[0048]
图1示出了根据分布式账本技术设计的数据库db的图示。在当前情况下，数据库db基于区块链技术。区块链技术被称为互联网货币“比特币(bitcoin)”的骨干。区块链，即相关联的数据块bl1、bl2、bl3的链，允许高数据完整性。下面简要解释被用于本发明的数据库db的操作模式。
[0049]
通常，所述数据块bl1、bl2、bl3由至少两个分量组成：一方面，这是数据字段df。事务ta的形式的数据被保存在该数据字段df中。在通信网络中，例如在互联网中，从第一订户节点tk1、tk2、
…
、tk6到第二订户节点tk1、tk2、
…
、tk6的数据传输被称为事务ta。事务ta包含所发送的值，例如现场设备的数据fg，以及事务ta的发送器和接收器。形成数据库或连接到数据库并且允许分布式账本功能的所有设备被称为订户节点tk1、tk2、
…
、tk6。
[0050]
数据块bl1、bl2、bl3的数据字段df包含至少一个事务ta，更频繁地包含若干事务ta。
[0051]
另一方面，数据块bl1、bl2、bl3包含校验和#1、#2、#3。这样的校验和#1#2#3是哈希值，并且有时通过复杂的计算来创建。出于这个目的，块bl1、bl2、bl3的数据字段的所有事务ta被计算以形成中间值。为了实现这一点，计算事务ta的总数的merkle根。确切的功能原理将不在这一点上讨论。出于该目的，例如，参考https://en.wikipedia.org/wiki/merkle_tree。
[0052]
然后，该计算出的中间值与先前数据块bl1、bl2、bl3的校验和#1、#2、#3一起使用以计算当前数据块bl1、bl2、bl3的校验和#1、#2、#3。例如，图1所示的数据块bl2包含校验和#2。因此，该校验和#2已经根据存储在数据块b2的数据字段df中的事务ta和先前数据块bl1的校验和#1而被计算。类似地，图1中所示的数据块bl3包含校验和#3。因此，该校验和#3
已经根据存储在数据块b3的数据字段df中的事务ta和先前数据块bl2的校验和#2而被计算。
[0053]
因此，通过在相应后续数据块bl2、bl3中存储先前数据块bl1、bl2的校验和#1、#2、#3，保护了数据的完整性，从而保护了数据免于后续操纵。因此，区块链由一系列数据块bl1、bl2、bl3组成，在每个数据块中，一个或多个事务ta被组合并且被提供有校验和#1、#2、#3。数据的改变生成改变后的中间值，结果是也改变相应数据块bl1、bl2、bl3的校验和#1、#2、#3。因此，后续数据块bl1、bl2、bl3不再与先前数据块bl1、bl2、bl3相匹配。因此，对于攻击者来说，已经被成功地验证一次的数据块bl1、bl2、bl3的数据不再是可改变的。
[0054]
新数据块bl1、bl2、bl3以规则间隔被创建。在最后数据块bl1、bl2、bl3被创建的时间之后创建的所有事务ta被存储在新数据块bl1、bl2、bl3的数据字段中。
[0055]
能够增加块创建的复杂性，因为所创建的校验和#1、#2、#3必须具有预定义格式。例如，建立了校验和必须是24位长，其中前四位必须具有数值0。出于这个目的，除了事务ta的中间值和先前数据块的校验和之外，具有定义长度的、被称为“随机数”的要被确定的数字序列被用于计算当前数据块bl1、bl2、bl3的校验和#1、#2、#3。因此，新校验和#1、#2、#3的计算花费更长的时间，因为只存在几个随机数，这导致了具有指定标准的校验和#1、#2、#3的计算。找到这种合适的随机数导致了所描述的另外的时间消耗。
[0056]
在新数据块bl1、bl2、bl3的校验和#1、#2、#3已经被创建之后，数据块被发送到所有订户节点tk1、tk2、
…
、tk6。能够验证的订户节点tk1，tk2，tk3，tk4现在检查新数据块bl1，bl2，bl3的校验和#1，#2，#3。只有在成功的验证之后，数据块bl1、bl2、bl3才被存储在所有订户节点tk中。出于该目的特别需要通过所有能够验证的订户节点tk1、tk2、tk3、tk4中的一半以上成功的验证。为了引入/创建外来恶意数据块bl1、bl2、bl3，攻击者因此将必须操纵或控制大量能够验证的订户节点tk1、tk2、tk3、tk4，以便成功地验证所引入的数据块bl1、bl2、bl3。随着能够验证的订户节点tk1、tk2、tk3、tk4的数量增加，这必须被认为是基本不可能的。
[0057]
验证数据块bl1、bl2、bl3比创建数据块bl1、bl2、bl3需要少得多的努力。校验和#1、#2、#3被反向计算，事务ta的中间值或先前数据块bl1、bl2、bl3的校验和#1、#2、#3被恢复，并且与实际中间值或先前数据块bl1、bl2、bl3的实际校验和#1、#2、#3进行比较。如果这些值匹配，则数据块bl1、bl2、bl3被成功地验证。
[0058]
下面描述如何借助于这样的数据库db以安全方式存储过程自动化的现场设备的数据以防止操纵，并且能够出于验证目的而被读取：
[0059]
图2示意性地图示了根据本发明的系统。如上所述构造的数据库db由四个订户节点tk1、tk2、tk3、tk4的核心组成，这些节点被设计为全节点。这些节点各自存储数据库db的内容的映像ab，即，数据块db1、db2、db3的链。两个另外的可读的订户节点tk5、tk6被连接到数据库db。此外，自动化现场设备fg借助于通信接口ks经由通信网络kn尤其是以基于以太网的方式被连接到数据库db。通过运行分布式账本软件栈，现场设备fg是订户节点，并且作为数据库db中的轻节点操作，因此能够将数据写入数据库db。然而，它不能验证任何事务。它也不包含数据库db的内容的任何映像ab。
[0060]
现场设备fg检测需要验证的测量值，并且必须由授权机构以不规则的间隔检查。为此，现场设备将这些测量值和相关联的校准证明作为数据data加载到数据库db中。在发
送之前，数据库利用私钥加密这些数据data。随后，所发送的数据data被能够验证的订户节点tk1、tk2、tk3、tk4验证为事务ta，并且被存储在数据库的数据块的数据字段df中。
[0061]
为了检查，该授权机构能够访问数据库db并且借助于用作可读订户节点tk5的计算机读取数据data。出于该目的，订户节点tk5预先接收到公钥，借助于该公钥可能进行解密。
[0062]
同样地，工厂运营商可能访问数据库db并且借助于用作可读订户节点tk6的计算机读取数据data。
[0063]
将数据可视化的仪表板bo被显示给两个订户节点tk5、tk6。在当前情况下，仪表板do由两列组成。第一列示出了其数据被存储的订户节点tk1、
…
、tk6的名称。第二列示出了指派给在第一列中示出的订户节点tk1、
…
、tk6的数据，即，例如，现场设备fg的测量值和可能指派的校准证明。
[0064]
作为进一步的特征，所谓的智能合同能够被存储在数据库db中。智能合同是映射或检查合同或在技术上支持合同的协商或执行的计算机协议。它们能够被存储在数据库中，并且作为程序代码借助于订户节点tk1、
…
、tk6运行。尤其是在读取在可读订户节点tk5、tk6上的数据data时该运行发生。例如，运行这种智能合同能够检查校准证明，例如，对于现场设备的特定测量值，校准证明是否仍然有效。此外，如果由现场设备fg确定的测量值示出未授权的偏差或校准证明已经过期，则智能合同能够被用于收集罚款支付。
[0065]
类似于智能合同，分析程序能够被存储在数据库db中，当读取数据时，该程序能够借助于订户节点tk5、tk6运行。例如，这种分析程序用于在分析过程中将需要验证的现场设备fg的所存储的测量值与至少一个指定极限值进行比较，并且在需要验证的测量值中的至少一个超过或低于该指定极限值时生成警报消息。
[0066]
附图标记列表
[0067]
bl1、bl2、bl3数据块
[0068]
bo仪表板
[0069]
db去中心化数据库
[0070]
data数据
[0071]
el电子单元
[0072]
fg现场设备
[0073]
kn通信网络
[0074]
ks通信接口
[0075]
ta事务
[0076]
te事务创建单元
[0077]
tk1、
…
、tk6订户节点
[0078]
#1、#2、#3数据块的哈希值。