CN102804695B - 用于使用协调器设备管理体域网的方法和系统 - Google Patents

Abstract

一种使用协调器设备管理体域网的方法和系统。该方法包括：通过协调器设备中的医疗植入通信服务(MICS)收发器获取MICS信道。该方法也包括在非MICS信道中向植入设备发送指示唤醒处理的信号到植入设备，以及通过MICS收发器向植入设备发送指示加入微微网的命令信号。此外，该方法也包括基于向植入设备发送命令信号通过协调器设备的MICS收发器接收确认信号。确认信号包括安全控制字段。此外，该方法包括基于安全控制字段发起安全过程。此外，该方法也包括基于发起在协调器设备和植入设备之间交换数据；以及通过发送命令消息与植入设备解除关联。

Description

用于使用协调器设备管理体域网的方法和系统

技术领域

本公开总体地涉及医疗植入通信系统领域。更具体地，本公开涉及使用协调器设备管理包括植入设备和体上设备的体域网的方法和系统。

背景技术

当前，体域网(body area network，BAN)使用短距离无线媒介来在设备之间进行通信。称为协调器设备的中央节点控制微微网(piconet)通信。连接到协调器设备的一组BAN设备形成微微网。BAN设备用于满足医疗控制系统、病人监视、健康和健美、游戏、多媒体应用的需要。一些BAN设备被植入活体中，被称为植入设备(IMD)，而其他BAN设备存在于活体上，被称为体上设备(on-body device，OBD)。

发明内容

技术问题

BAN设备一般很小并且不具有恒定的电源连接。BAN设备从电池汲取能量，对于少数IMD该电池无法经常地再充电或完全无法充电。

电源受限的IMD绝大多数时刻处于深睡眠模式，并且除了在IMD检测到紧急情况并唤醒的紧急事件的情况下之外，在开始通信之前要求唤醒处理。可是，关于IMD的数据通信阶段对于IMD设备使用期的寿命几乎可以忽略，因为其发生几秒的会话。因此，唤醒和关联处理是植入通信处理的主要部分。另外，与IMD的通信限于医疗植入通信系统，而与OBD的通信可以使用(但是不局限于)超宽带或窄带信号执行，由此增加协调器设备的操作中的复杂性。

鉴于前述讨论，需要一种使用协调器设备管理包括植入设备和体上设备的体域网的方法和系统。

解决方案

这里所述的本公开的实施例提供一种使用协调器设备管理包括植入设备和体上设备的体域网的方法和系统。

用于使用协调器设备管理体域网中的多个植入设备的方法的示例包括：通过协调器设备中的医疗植入通信服务(MICS)收发器获取MICS信道。该方法也包括在非MICS信道中向植入设备发送指示唤醒处理的信号。此外，该方法包括通过MICS收发器向植入设备发送指示加入微微网的命令信号。命令信号包括设备标识符。此外，该方法也包括基于向植入设备的命令信号的发送通过协调器设备的MICS收发器接收确认信号。确认信号包括安全控制字段。此外，该方法包括基于安全控制字段发起安全过程，包括：认证植入设备；基于认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。此外，该方法也包括基于发起在协调器设备和植入设备之间交换数据；以及通过发送命令消息与植入设备解除关联，其中命令消息包括单播消息、组播消息和广播消息之一。

一种使用协调器设备管理体域网中的多个体上设备的方法的示例包括：通过协调器设备中的收发器获取通信信道。该方法也包括从体上设备接收对协调器设备信息的请求。此外，该方法包括从体上设备接收加入微微网的关联请求。关联请求包括一个或多个参数。此外，该方法包括基于针对协调器设备限定的多个准入控制参数确定关联请求。此外，该方法也包括基于确定利用消息信号确认关联请求，其中消息信号包括如下之一：包括微微网中的体上设备的设备标识符的接受消息信号；和包括拒绝关联请求的原因的拒绝消息信号。此外，该方法包括基于安全控制字段发起安全过程，包括如下之一：认证体上设备；基于认证执行加密和解密中的一个；以及使能数据帧的完整性保护。此外，该方法也包括基于发起在协调器设备和体上设备之间交换数据。此外，该方法包括通过发送命令消息与体上设备解除关联，其中命令消息包括单播消息、组播消息和广播消息之一。

一种系统的示例包括体域网。该体域网包括：多个植入设备；多个体上设备；与多个植入设备通信的协调器设备。该协调器设备包括：通信接口，用于在协调器设备和多个植入设备之间交换信号和数据。该协调器设备还包括与通信接口进行电子通信的处理器，用于通过协调器设备中的医疗植入通信服务(MICS)收发器获取MICS信道。该处理器还在非MICS信道中向植入设备发送指示唤醒处理的信号。此外，该处理器通过MICS收发器向植入设备发送指示加入微微网的命令信号。命令信号包括设备标识符。此外，基于向植入设备的命令信号的发送，处理器也通过协调器设备的MICS收发器接收确认信号。确认信号包括安全控制字段。此外，该处理器基于安全控制字段发起安全过程，这包括：认证植入设备；基于认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。该处理器也基于发起在协调器设备和植入设备之间交换数据。此外，处理器通过发送命令消息与植入设备解除关联。该命令消息包括单播消息、组播消息和广播消息之一。与多个体上设备通信的协调器设备包括：通信接口，用于在协调器设备和多个体上设备之间交换信号和数据。该协调器设备也包括与通信接口进行电子通信的处理器，用于通过协调器设备中的收发器获取通信信道。该处理器也从体上设备接收对协调器设备信息的请求。此外，该处理器从体上设备接收加入微微网的关联请求。该关联请求包括一个或多个参数。此外，该处理器也基于针对协调器设备限定的多个准入控制参数确定关联请求。此外，处理器基于确定利用消息信号确认关联请求，消息信号包括如下之一：包括用于微微网的体上设备的设备标识符的接受消息信号；和包括拒绝关联请求的原因的拒绝消息信号。此外，处理器也基于安全控制字段发起安全过程，其中：认证体上设备；基于认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。该处理器也基于发起在协调器设备和体上设备之间交换数据。此外，处理器通过发送命令消息与体上设备解除关联，其中命令消息包括单播消息、组播消息和广播消息之一。

有益效果

本发明能够提供一种使用协调器设备管理包括植入设备和体上设备的体域网的方法和系统。

附图说明

图1是据以能够实现各种实施例的环境的框图；

图2是根据一个实施例的协调器设备的框图；

图3和图4是说明根据一个实施例的使用协调器设备管理体域网中的多个植入设备的方法的流程图；

图5是说明根据一个实施例的在体域网中通过协调器设备的信道获取的方法的流程图；

图6是说明根据一个实施例的唤醒处理流程图；

图7是说明根据一个实施例的协调器设备处的唤醒处理的流程图；

图8是说明根据一个实施例的协调器设备处的另一唤醒处理的流程图；

图9是说明根据另一实施例的唤醒处理的流程图；

图10是说明根据另一实施例的协调器设备处的唤醒处理的流程图；

图11和图12是说明根据一个实施例的使用协调器设备管理体域网中的多个体上设备的方法的流程图；

图13是说明根据一个实施例的通过体上设备发现协调器设备的方法的流程图；

图14是说明根据一个实施例的用于在协调器设备和一组体上设备之间认证和安全密钥生成的方法的流程图；

图15是说明根据一个实施例的通过协调器设备与多个IMD通信的方法的流程图；以及

图16到图22是说明根据一个实施例的使能群组关联所需的群组信息元素(IE)。

具体实施方式

应观察到方法步骤和系统组件在附图中通过传统符号表示，仅示出与本发明的理解相关的具体细节。另外，对本领域的普通技术人员容易理解的细节不会公开。在本公开中，诸如第一和第二等的关系术语可以用来区分一个实体与另一实体，而非必须地在此类实体之间强加任何实际关系或顺序。

这里所述的本公开的实施例提供使用协调器设备管理包括植入设备和体上设备的体域网的方法和系统。

图1是据以可以实现各种实施例的环境100的框图。该环境可以是体域网(BAN)。

环境100包括协调器设备105和多个植入设备(IMD)，例如植入设备110a和植入设备110b。环境100也包括多个体上设备(OBD)，例如体上设备115a和体上设备115b。协调器设备105在与IMD和OBD电子通信中。协调器设备105的示例包括，但不限于，计算机、膝上型计算机、移动设备、手持设备、个人数字助理(PDA)，以及医疗应用中使用的任何电子设备。IMD是植入活体中的电子设备。OBD是放置在活体上或临近处的设备。协调器设备105是在活体上或临近处的设备，其控制信道并且提供至一个或多个IMD和OBD的网络接入。

IMD和OBD用于向协调器设备105传递(communicate)数据。例如，体域网(BAN)包括与协调器设备105通信的电子设备。

在协调器设备105与IMD和OBD之间存在多个通信信道，并且数据的通信可以使用任何一个通信信道进行。在一个实施例中，IMD 110a处于睡眠状态并且协调器设备105发送唤醒信号到IMD 110a以传递数据。在另一实施例中，协调器设备105从OBD 115a接收用于数据通信的请求。

协调器设备105包括用于识别紧急信号的一个或多个组件。在图2中详细解释包括各组件的协调器设备105。

图2是根据一个实施例的协调器设备105的框图。协调器设备105包括用于传递信息的总线205，以及耦合到总线205用于处理信息的处理器210。协调器设备105也包括耦合到总线205的存储器215，例如随机接入存储器(RAM)，用于存储处理器210所需的信息。存储器215可以用于存储处理器210所需的临时信息。协调器设备105还可以包括耦合到总线205的只读存储器(ROM)220，用于存储处理器210所需的静态信息。可以提供存储单元225，例如磁盘、硬盘或光盘，以及将其耦合到总线205用于存储信息。

协调器设备105可以经由总线205耦合到用于显示信息的显示器230，例如阴极射线管(CRT)或液晶显示器(LCD)。包括各种按键的输入设备235耦合到总线205用于向处理器210传递信息。用于向处理器210传递信息和用于控制显示器230上的光标移动的光标控制器240，例如鼠标、跟踪球、操作杆或光标检测键，也可以耦合到协调器设备105。

在一些实施例中，本公开的步骤通过协调器设备105使用处理器210来执行。可以把信息从机读介质(例如存储单元225)中读到存储器215。在替换实施例中，硬线(hard-wired)电路可以用于替换软件指令或结合软件指令来实现各种实施例。

术语机读介质可以被定义为提供数据到机器以使能机器执行特定功能的介质。机读介质可以是存储介质。存储介质可以包括非易失性媒介和易失性媒介。存储单元225可以是非易失性媒介。存储器215可以是易失性媒介。全部此类媒介必须是有形的以使能由媒介携带的指令被读取指令到机器的物理机制检测。

机读介质的示例包括，但不局限于，软盘，灵活盘，硬盘，磁带、CD-ROM、光盘、打卡纸带、RAM、PROM、EPROM，和闪存-EPROM。

协调器设备105也包括耦合到总线205用于使能信号和数据通信的通信接口245。通信接口245的示例包括，但不局限于，紫蜂端口，或由电气和电子工程师协会(IEEE)802.15.6任务组规定的任何无线端口。通信接口245在与IMD和OBD电子通信中。可以使多个通信信道与通信接口245关联。

在一些实施例中，处理器210可以包括用于执行处理器210的一个或多个功能的一个或多个处理单元。处理单元是执行特定功能的硬件电路。

一个或多个功能包括通过协调器设备105中的MICS收发器获取医疗植入通信服务(MICS)信道。该功能也包括在非MICS信道中向植入设备例如IMD 110a发送指示唤醒处理的信号。另外，该方法包括通过MICS收发器向植入设备发送指示加入微微网的命令信号。命令信号包括设备标识符。另外，该功能也包括基于向植入设备发送命令信号通过协调器设备105的MICS收发器接收确认信号。确认信号包括安全控制字段。此外，该功能包括基于安全控制字段发起安全过程，其包括：认证IMD 110a，基于认证执行加密和解密中的一个，实现重放(replay)保护和使能数据帧的完整性保护。另外，该功能也包括基于该发起在协调器设备105和IMD 110a之间交换数据，以及通过发送命令消息与IMD 110a解除关联。命令消息包括单播消息、组播消息和广播消息之一。

对于与OBD的通信，处理器210的功能包括通过协调器设备105中的收发器获取通信信道。该功能也包括从例如OBD 115a的体上设备接收对于协调器设备信息的请求。另外，该功能包括从体上设备接收加入微微网的关联请求。关联请求包括一个或多个参数。另外，该功能也包括基于针对协调器设备105限定的多个准入(admission)控制参数确定关联请求。该功能包括基于该确定利用消息信号确认该关联请求。该消息信号包括如下之一：包括微微网中的OBD 115a的设备标识符的接受消息信号，包括拒绝关联请求的原因的拒绝消息信号。该功能包括基于安全控制字段发起安全过程，其包括如下之一：认证OBD 115a、基于认证执行加密和解密中的一个，和使能数据帧的完整性保护。此外，该功能也包括基于该发起在协调器设备105和OBD115a之间交换数据。另外，该功能包括通过发送命令消息与OBD115a解除关联。该命令消息包括单播消息、组播消息和广播消息之一。

注意每个IMD(例如IMD 110a)和每个OBD(例如OBD 115a)可以结构上类似于协调器设备105并且包括如为协调器设备105示出的各种组件。除了处理器210外，图2的协调器设备105的每个组件的功能可以类似于IMD110a和OBD 115a。

图3-4是说明通过使用协调器设备，例如协调器设备105，管理体域网中的多个植入设备(IMD)的方法的流程图。

在一个实施例中，IMD，例如IMD 110a，处于深度睡眠模式。深度睡眠模式可以被定义为IMD处于加电但是不工作(non-operational)的状态。在深度睡眠模式，非MICS接收器的能量检测器将在工作循环(duty cycled)模式下活动。IMD将在紧急状况情况下或在由协调器设备发起唤醒处理时变为工作的。

方法在步骤305中开始。

在步骤310，通过协调器设备中的MICS收发器获取医疗植入通信服务(MICS)信道。该MICS信道初始感测MICS信道预定持续期间。如果确定MICS信道没有任何干扰，则由协调器设备获取该MICS信道用于通信。

另外，在获取MICS信道之后，如果获取的MICS信道的不活跃时间段等于或超过预定的时间持续期间，则协调器设备可以通过发送例如空分组的分组来保持该MICS信道。

在步骤315，在非MICS信道中向IMD发送指示唤醒处理的信号。由协调器设备发送该信号以发起IMD处的唤醒处理。由协调器设备使用非MIC发送器，例如，2.4GHz发送器，发送该信号。该信号包括与MICS信道关联的信息。

在一个实施例中，将非MICS频带划分为N个等带宽、等距离分布的信道。IMD和协调器设备均避免具有高干扰的信道。不过，干扰等级对IMD和协调器设备两者可以是不同的。例如，可以将用于协调器设备的可管理的干扰等级设置为低于IMD的。

如果在非MICS频带的信道上没有检测到干扰，则协调器设备使用载波感测多址和冲突避免技术向IMD发送信号以指示唤醒处理的发起。在可管理的干扰等级内的非MICS信道上发送该信号。在一些实施例中，可以在可管理的干扰等级内的每个非MICS信道上重发该信号以实现更好的可靠性。在一些实施例中，可以在可管理的干扰等级内的每个非MICS信道上按照随机顺序发送该信号，直到协调器设备接收到确认。

在深度睡眠模式期间，IMD在能量检测器上在具有较少干扰的非MICS信道中工作循环。当接收到信号时，IMD可以发送确认信号。

在一些实施例中，基于对IMD的信号的发送通过协调器设备的MICS收发器接收确认信号。

在一些实施例中，在非MICS信道上重发该信号直到在预定的时间段内从植入设备接收到确认信号。在一些实施例中，如果在预定的时间段内没有在该MICS信道上接收到确认信号，则在另一非MICS信道上重发信号。

在步骤320中，由MICS收发器向植入设备发送指示加入微微网的命令信号。命令信号包括由协调器设备分配的IMD的设备标识符。

在一个实施例中，在接收到确认信号之后发送命令信号，该确认信号是响应于对植入设备的信号的发送而发送的。

在步骤325，基于发送到植入设备的命令信号由协调器设备的MICS收发器接收确认信号。确认信号包括安全控制字段，其定义IMD处的安全要求。

在一些实施例中，IMD在发送具有安全控制字段的确认信号之前等待直到信号和命令信号被接收。

在步骤330，基于安全控制字段发起安全过程。

使用一个字节的位图在安全控制字段中表示安全等级。每个比特用于如下指示支持的安全特征：

比特0-认证

比特1-完整性保护

比特2-加密和解密

比特3-使用帧计数器的重放保护

比特4-在一个会话中针对全部帧的相同安全性

比特5-密钥大小192比特

比特6-密钥大小256比特

比特7-为将来使用保留(RFU)

当不需要安全性时，将安全控制字段中的各个比特设置为0。可以将所使用的默认密钥大小设置为128比特密钥。使用一个字节位图可以为各种设备实现不同的安全等级。如果由IMD指示的安全等级不可接受，则协调器设备可能不能关联。安全控制字段使用在关联过程期间交换的安全控制、应用参数字段定义在MAC帧中的帧级别安全，其中能够根据应用和BAN设备要求为每个帧选择不同安全特征。在一些实施例中，在关联过程期间识别帧级别安全，对于需要安全保护的各个帧统一使用类似的帧级别安全。

在协调器设备和IMD中实现某些能力用于安全级别的实施。

可以以如下细节预先配置协调器设备：

协调器设备预期IMD支持的最小安全模式。

安全表存储在协调器设备的非易失性存储器中，包括如下字段：

用于每个客户端设备的共享密钥(由所谓的主密钥ID(MKID)的标识符识别的多个密钥)。在这种情况下客户端设备可以是IMD。

设备ID，MAC地址，设备的类型，由客户端提供的服务。可以预先存储或由关联过程收集此类信息。即使在客户端设备从协调器设备解除关联之后，仍在客户端设备中维持该信息。

如在协调器设备中那样，也可以以安全密钥和对应的MKID预先配置BAN设备。在客户端设备中预先配置设备ID、MAC地址、设备类型、客户端设备提供的服务。

IMD和协调器设备应具有存储临时密钥和帧计数器的能力，直到在稍后会话中重新协商密钥。

在步骤335，使用四次握手过程——其验证在协调器设备和IMD之间共享主密钥——认证IMD。

在步骤340，基于认证执行用于使能加密和解密的成对密钥生成。例如，AES-128计数器模式可以用于数据加密。

在步骤345，实现重放保护。

帧计数器用于重放保护。可以使用两字节帧计数器。需要在协调器设备和IMD中保留来自先前会话的帧计数器的值。随后的会话可以选择从自先前会话存储的帧计数器起继续计数或重新启动新的随机帧计数器。

在步骤350，使能数据帧的完整性保护。

AES-128加密块链式消息认证码(cipher block chaining-messageauthenticating code，CBC-MAC)可以用于完整性检查计算。可以在数据帧中包括完整性检查。

MAC协议可以选择性地使用在从IMD和协调器设备发送的数据帧中使用的隐私和完整性保护。安全报头字段用于指示该选择。从协调器设备发送的、例如轮询或其它控制帧的标准帧无需加密或完整性保护。

在步骤355，基于在步骤330处的发起在协调器设备和IMD之间交换数据。可以基于在步骤330中定义的安全过程执行数据交换。

当协调器设备与多个IMD通信时，数据可以由协调器设备广播或单独地发送到每个IMD。在接收数据时，每个IMD向协调器设备发送响应。数据的示例可以包括，但是不局限于，命令信号、数据帧、轮询消息、数据请求、控制信号和作用(actuating)信号。例如，当IMD从协调器设备接收数据帧时，IMD向协调器设备发送数据确认信号。在一些实施例中，在从协调器设备接收数据时，不从IMD发送响应。

在步骤360，通过发送命令消息与植入设备解除关联。命令消息包括单播消息、组播消息和广播消息之一。可以通过向IMD发送命令消息并释放设备标识符来执行该解除关联。

在实施例中，协调器设备可以通过向IMD广播或组播结束会话消息来与多个IMD解除关联。

在一些实施例中，IMD可以从协调器设备解除关联。

该方法停止于步骤365。

在一些实施例中，协调器设备可以包括另一MICS收发器或MICS接收器，用于从具有紧急事件的IMD接收紧急信号。另一MICS收发器或MICS接收器可以在具有较少干扰的MICS信道上工作循环(duty cycle)以监听紧急信号。如果接收的多个信号是非体域网信号，则在非MICS信道的接收器频率被转移到相比于接收器频率具有较少干扰的另一频率。可以使用在接收的紧急信号中的有效载荷报头识别紧急信号。

在实施例中，当在该另一MICS收发器接收紧急信号时，协调器设备停止对IMD正进行的通信，并且MICS收发器启动对另一植入设备的通信以应对该紧急情况。

在另一实施例中，当在另一MICS收发器处接收到紧急信号时，协调器设备不停止正常通信地应对该紧急情况。

在一个实施例中，协调器设备与第一IMD通信。要求协调器设备连接到第二IMD。在此类情况下，协调器设备向第一IMD发送保持命令。当接收到保持命令时，第一IMD进入睡眠模式或关闭。第一IMD可以在预定时间之后或在预定的时间期间中定期地被初始化以便激活。协调器设备然后基于在图3和图4描述的方法发起与第二IMD的连接。当建立与第二IMD的连接时，协调器设备向第一IMD发送不保持命令。在实施例中，第一IMD在预定时间完成之后激活。

在第二实施例中，协调器设备在MICS信道中与第一IMD通信。要求协调器设备连接到第二IMD。协调器设备在非MICS信道中向第二IMD发送唤醒信号。当接收到唤醒信号时，第二IMD将使用载波感测多址冲突避免技术在MICS信道中发送确认信号。当协调器设备接收到确认信号时，协调器设备基于在图3和图4描述的方法发起与第二IMD的连接。

图5是说明根据一个实施例的通过体域网中的协调器设备进行的信道获取的方法的流程图。

该方法在步骤405开始。

在步骤410，在多个信道上执行能量检测扫描。感测每个信道达预定的时间持续期间以检测能量。

在步骤415，确定空闲信道的列表。通过识别具有低干扰的信道来确定空闲信道的列表。

在实施例中，如果没有确定空闲信道，则信道获取的方法停止。

在步骤420，从空闲信道的列表中选择具有最小干扰的信道。

在步骤425，广播信道获取消息以确定是否该信道正被BAN中的另一协调器设备利用。

在步骤430，确定是否接收对于广播的消息的任何响应。如果没有接收到响应，则执行步骤435。

如果接收到响应，其指示选择的信道正被另一协调器设备利用，则执行步骤415。

该方法在步骤435中停止。

图6是说明根据一个实施例的唤醒处理流程图。

该流程图说明当在用于在协调器设备(例如协调器设备105)和当前处于深度睡眠模式的IMD(例如IMD 110a)之间的通信的MICS信道中不使用轮询时的唤醒处理。

最初，在协调器设备105处开启MICS收发器以执行MICS信道获取。同样，在IMD110a，开启非MICS接收器以监听唤醒信号。

当获取MICS信道时，由协调器设备105开启非MICS发送器，以及将包括MICS信道信息的唤醒信号发送到IMD。在IMD 110a处的非MICS接收器接收唤醒信号并且向IMD指示。IMD110a然后关闭非MICS接收器并且开启IMD的MICS收发器以发送确认信号到协调器设备105以指示唤醒处理完成。在接收到确认信号时，协调器设备105关闭非MICS发送器。

图7是说明根据一个实施例的在协调器设备例如协调器设备105处的唤醒处理的流程图。

该方法在步骤605开始。

在步骤610，由协调器设备向IMD发送唤醒信号。协调器设备等待一时间段以接收确认信号。

在步骤615，确定是否已经接收到确认信号。

如果没有接收到确认信号，则执行步骤620否则执行步骤625。

在步骤620，确定是否执行了发送唤醒信号的最大限(maximum)重试。

如果执行了最大限重试，则执行步骤625否则执行步骤610。

在一个实施例中，如果执行了最大限重试，则使用另一MICS信道执行图7的方法。

该方法在步骤625中停止。

图8是说明根据一个实施例的在协调器设备例如协调器设备105中的另一唤醒处理的流程图。

该方法在步骤705开始。

在步骤710，由协调器设备向IMD发送唤醒信号达预定的时间段。在该预定的时间段期间，在非MICS信道上向IMD连续发送唤醒信号N次。

在步骤715，确定是否在全部非MICS信道上发送了唤醒信号。

如果全部非MICS信道被利用，则执行步骤720，否则关于另一MICS信道执行步骤710。

该方法在步骤720中停止。

图9是说明根据另一实施例的唤醒处理的流程图。

该流程图说明当在用于在协调器设备105和处于深度睡眠模式的IMD110a之间的通信的MICS信道中使用轮询时的唤醒处理。

最初，在协调器设备105处开启MICS收发器以执行MICS信道获取。同样，在IMD110a处，开启非MICS接收器以监听唤醒信号。

基于获取MICS信道，协调器设备105开启非MICS发送器，并且向IMD发送唤醒信号。IMD 110a处的非MICS接收器接收唤醒信号并且向IMD指示。IMD 110a关闭非MICS接收器并且等待指示加入微微网的命令信号。基于接收命令信号，IMD 110a开启IMD的MICS收发器以发送确认信号到协调器设备105。协调器设备105在接收确认信号时关闭非MICS发送器并且该唤醒处理完成。

图10是说明根据另一实施例的协调器设备例如协调器设备105处的唤醒处理的流程图。

该方法在步骤905开始。

在步骤910，由协调器设备向IMD发送唤醒信号。

在步骤915，在发送唤醒信号的预定时间段之后向IMD发送指示加入微微网的命令信号。协调器设备等待另一时间段以接收确认信号。

在步骤920，确定是否已经接收到确认信号。

如果没有接收到确认信号，则执行步骤925否则执行步骤930。

在步骤925，确定是否执行了发送唤醒信号的最大限重试。

如果执行了最大限重试，则执行步骤930，否则执行步骤910。

该方法在步骤930中停止。

图11和图12是说明根据一个实施例的使用协调器设备，例如协调器设备105，管理体域网中的多个体上设备的方法的流程图。

体上设备，例如体上设备(OBD)115a，执行对具有处理体上设备的能力的协调器设备的发现。

在一个实施例中，协调器设备可以在体域网中广播能力。在另一实施例中，体上设备可以向协调器设备发送信息请求。

该方法在步骤1005开始。

在步骤1010，由协调器设备中的收发器获取通信信道中的频率。

该频率可以通过初试感测通信信道的频率达预定持续时间来获取。如果在通信信道中的频率被确定为没有任何干扰，则协调器设备做出用于获取通信信道的信道宣告。如果没有接收到对于该信道宣告的响应，则获取通信信道。

在步骤1015，从OBD接收对于协调器设备信息的请求。该请求包括协调器设备的能力和协调器设备的标识符。

然后协调器设备可以发送其能力和标识符。

在一个实施例中，可以由协调器设备广播该协调器设备信息。

在步骤1020，从OBD接收用于加入微微网的关联请求。关联请求包括一个或多个参数，例如体上设备信息、平均数据率、分组大小、分组到达时间间隔(inter packet arrivaltime)、在MAC层处发送的分组的大小、延迟要求和安全控制字段。

在步骤1025，基于针对协调器设备限定的多个准入控制参数确定关联请求。准入控制参数的示例包括，但不局限于，保证的时隙的可用性。

在步骤1030，基于该确定通过消息信号确认该关联请求。该消息可以是下列之一：包括微微网的OBD的设备标识符的接受消息信号，和包括拒绝关联请求的原因的拒绝消息信号。

在步骤1035，基于安全控制字段发起安全过程。

使用一个字节的位图在安全控制字段中表示安全等级。每个比特如下指示支持的安全特征：

比特0-认证

比特1-完整性保护

比特2-加密或解密

比特3-使用帧计数器的重放保护

比特4-在一个会话中全部帧的相同安全性

比特5-密钥大小192比特

比特6-密钥大小256比特

比特7-RFU

当不需要安全性时，将在安全控制字段中的各个比特设置为0。可以将使用的默认密钥大小设置为128比特密钥。使用一字节位图可以为各种设备实现不同的安全等级。如果由体上设备指示的安全等级不可接受，则协调器设备可能不能关联。

在协调器设备和体上设备中实现某些能力，用于安全级别的实施。

可以以如下细节预先配置协调器设备：

协调器设备预期体上设备支持的最小安全模式。

安全表存储在协调器设备的非易失性存储器中，包括如下字段：

用于每个客户端设备的共享密钥(由由所谓的主密钥ID(MKID)的标识符识别的多个密钥)。在这种情况下客户端设备可以是OBD。

设备ID，MAC地址，设备的类型，由客户端提供的服务。可以预先存储或由关联过程收集此类信息。即使在客户端设备从协调器设备解除关联之后，仍在客户端设备中维持该信息。。

如在协调器设备中那样，也可以以安全密钥和对应的MKID预先配置体上设备。在客户端设备中预先配置设备ID、MAC地址、设备类型、客户端设备提供的服务。

体上设备和协调器设备应具有存储临时密钥和帧计数器的能力，直到在稍后会话中重新协商密钥。

帧计数器被用于重放保护。可以使用两字节帧计数器。需要在协调器设备和体上设备中保留来自先前会话的帧计数器的值。随后的会话可以选择从自先前会话存储的帧计数器起继续计数或重新启动新的随机帧计数器。

在步骤1040，使用四次握手过程——其验证在协调器设备和OBD之间共享主密钥——认证OBD。

在步骤1045，基于认证执行用于使能加密和解密的成对密钥生成。AES-128计数器模式可以用于数据加密。

在步骤1050，实现重放保护。

在步骤1055，使能数据帧的完整性保护。

AES-128加密块链式消息认证码(CBC-MAC)可以用于完整性检查计算。完整性检查可以被包括在数据帧中。

MAC协议可以选择性地使用在数据帧——它们从OBD和协调器设备发送——中使用的隐私和完整性保护。安全报头字段用于指示该选择。从协调器设备发送的、例如轮询或其它控制帧的标准帧无需加密或完整性保护。

在步骤1060，基于该发起在协调器设备和体上设备之间交换数据。

在步骤1065，由协调器设备与分配给体上设备的设备标识符解除关联。可以通过向OBD发送解除关联命令信号并释放设备标识符来执行该解除关联。

该方法在步骤1070停止。

图13是说明根据一个实施例的通过体上设备，例如体上设备115a，发现协调器设备的方法的流程图。

该方法在步骤1105开始。

在步骤1110，执行对来自协调器设备的广播消息的被动扫描。

基于通信信道中来自协调器设备的广播消息创建体域网中的协调器设备列表。广播消息可以包括协调器设备的能力和标识符。

在步骤1115，确定对于体上设备的匹配的能力和标识符。

如果能力和标识符匹配成功，则执行步骤1130，否则执行步骤1120。

在步骤1120，确定是否通信信道的全部频率被用于执行被动扫描。

如果利用了全部频率，则执行步骤1135，否则执行步骤1125。

在步骤1125，将通信信道的频率转移到另一频率。

在步骤1130，基于在步骤1115或步骤1125中确定的匹配的能力和标识符对协调器设备启动关联过程。

该方法在步骤1135停止。

图14是说明根据一个实施例的协调器设备和多个体上设备之间认证和加密密钥生成的方法的流程图。

协调器设备从代表多个体上设备的代表设备接收关联请求。可以基于应用将多个设备分组并且由代表设备表示该多个设备。协调器设备然后发起用于认证的四次握手过程。主密钥是共享密钥，用于认证代表设备和协调器设备二者。

基于完成四次握手过程，协调器设备然后广播消息，该消息包括如下之一：对应于代表节点的组标识符、用于多个体上设备的设备标识符和一组安全参数。该组安全参数包括：在协调器设备和多个体上设备之间共享的主密钥ID(MKID)、客户端随机数(nonce)、协调器设备随机数和标志比特，该标志比特指示是唯一单个密钥还是公共密钥被用于在协调器设备和多个体上设备之间的通信。在协调器设备和代表节点的认证期间交换的随机数(nonce)信息以及由协调器设备为设备组分配的设备标识符被每个体上设备用来生成将被用于保证通信安全的公共成对密钥或唯一成对密钥。设备标识符包括用于多个体上设备的单个设备标识符。

使用MKID、协调器设备随机数、客户端随机数，通过协调器设备和多个体上设备的每个体上设备生成公共成对临时密钥(pairwise temporal key，PTK)，这里称为组密钥。使用公共组密钥确保在协调器设备和该组设备中的任何设备之间数据通信的安全。

协调器设备也可以使用每个体上设备的设备标识符连同协调器设备随机数、客户端随机数生成设备组中的每个体上设备的成对唯一密钥。类似地，设备组中的每个设备使用体上设备ID和协调器设备随机数、客户端随机数生成成对唯一密钥。使用唯一设备密钥确保在协调器设备和任何组设备之间的数据通信的安全。

图15是说明根据一个实施例的通过协调器设备，例如协调器设备105，与多个IMD通信的方法的流程图。

在一些情况中，要求在一个时间的瞬间与多个IMD通信。因此需要同时对各个IMD发起唤醒处理。

该方法在步骤1305处开始。

在步骤1310，对IMD发起唤醒处理。可以在IMD中编程(program)唤醒处理或可以由应用程序执行唤醒处理。

在步骤1315中IMD处于空闲模式。

在步骤1320，获取MICS信道。在步骤1325检查MICS信道的成功获取。

如果成功获取了MICS信道，则执行步骤1335，否则在步骤1330中执行对于最大限重试的检查。

在步骤1335，按顺序或批处理地对每个IMD发起连接过程。可以通过发送例如空分组的分组而进一步获取MICS信道。

在步骤1340，检查与每个IMD的成功连接。如果对全部IMD的连接不成功，则执行步骤1355，否则执行步骤1345。

在步骤1345，在协调器设备和IMD之间交换数据，并且执行步骤1350。

在步骤1350，由协调器设备将IMD解除关联并且释放设备标识符。可以通过发送解除关联命令信号到IMD和释放设备标识符来执行该分离。在步骤1350之后执行步骤1380。

在一些实施例中，IMD可以从协调器设备解除关联。

在步骤1355，检查与每个IMD连接的要求。

如果仅需要连接某些IMD，则执行步骤1360，否则执行步骤1365。

在步骤1360，未连接成功的IMD的最大限重试被检查。如果完成最大限重试则执行步骤1370，否则执行步骤1335。

在步骤1365，未连接成功的IMD的最大限重试被检查。如果完成最大限重试则执行步骤1375，否则执行步骤1335。

在步骤1370，发起与连接的IMD的通信模式并且执行步骤1380。

在步骤1375，协调器设备从连接的IMD断开连接并执行步骤1380。

方法在步骤1380处停止。

图16到图21是说明根据一个实施例的使能群组关联所需的群组信息元素(information element，IE)。

群组IE是使能群组关联请求、群组关联响应、用于在关于基于TDMA信道接入机制的广播消息中的群组信息的Group IE的信息元素，。如图16所示，使用元素类型字段识别关于所述信息的IE。长度字段提供群组IE的长度。

群组关联IE具有多个节点计数字段和群组标识符。在一些实施例中，引入一个标志用于指示可以是唯一安全密钥和组安全密钥之一的安全密钥标识符。

群组响应IE是在来自协调器设备的广播消息中随同对群组关联请求的响应一起发送的，可以包括元素类型、长度和设备标识符。对于由协调器设备广播的Group IE，群组IE包括元素类型、长度和群组标识符、设备标识符以及时隙池信息。在一些实施例中，对于Group IE，设备标识符可以由群组设备位图替换。在关于Group IE的另一实施例中，设备标识符不存在并且设备时隙分配由显式时隙分配位图指示。

在图17中，为各设备定义时隙分配的范围。在实施例中，时隙分配可以是基于TDMA连续的。在另外实施例中，时隙分配可以是基于TDMA不连续的。

在图18中，标识符的群组被定义为设备标识符的连续集合。

在图19中，由协调器设备分配的标识符的群组可以是不连续的。

在图20中，提供设备位图，其指示哪个设备由协调器设备提供时隙。例如，如果在设备位图字段中使能比特0，则为设备组中的第一设备提供该时隙。重置比特1来指示协调器设备不为设备组中的第二设备提供时隙。

如果为设备组中的设备分配了不同数目的时隙，则可以使用在图21中所示的时隙分配位图来定义该设备。该时隙分配位图包括在协调器设备中为之提供时隙的设备的信息。例如，100指示为第一设备提供四个时隙。类似地，对由协调器设备分配时隙的设备定义各个时隙。

在一些实施例中，如图22中所示，设备位图和时隙分配位图可以被表示为单个字段“显式时隙分配位图”。在图22，第一设备将具有由100定义的4个时隙。第二设备可以具有由000定义的零个时隙。

在前述说明书中，已经参考特定实施例描述了本发明及其优点。但是，对本领域技术人员将显然的是：在不背离由以下权利要求阐述的本发明的范围的情况下，可以进行各种修改和改变。因此，说明和附图将当作本发明的说明性示例，而非限制的意图。全部此类可能的修改将包括在本发明的范围中。

Claims (38)

1.一种通过协调器设备管理体域网的方法，该方法包括：

通过协调器设备中的医疗植入通信服务MICS收发器获取MICS信道；

在非MICS信道中向植入设备发送用于唤醒植入设备的唤醒信号；

在MICS信道中与接收唤醒信号的植入设备关联；

在协调器设备和植入设备之间交换数据；

通过发送用于解除关联的命令消息而与植入设备解除关联；

当接收从另一植入设备发送的紧急信号时停止在协调器设备和植入设备之间交换数据；以及

在另一MICS信道中在协调器设备和该另一植入设备之间交换数据。

2.如权利要求1所述的方法，其中所述唤醒信号包括与MICS信道关联的信息。

3.如权利要求1所述的方法，其中所述关联步骤还包括：

基于唤醒信号的发送在MICS信道中从植入设备接收第一确认信号；

在MICS信道中向植入设备发送指示加入微微网的命令信号，其中该命令信号包括设备标识符，以及

基于向植入设备的命令信号的发送在MICS信道中接收第二确认信号，其中该第二确认信号包括安全控制字段。

4.如权利要求3所述的方法，其中该第二确认信号包括安全控制字段，以及

其中所述关联步骤还包括：

基于该安全控制字段发起安全过程；

认证植入设备；

基于该认证执行加密和解密中的一个；

实现重放保护；以及

使能数据帧的完整性保护。

5.如权利要求1所述的方法，其中所述关联步骤还包括：

在MICS信道中向植入设备发送指示加入微微网的命令信号，其中该命令信号包括设备标识符；以及

基于命令信号的发送在MICS信道中从植入设备接收确认信号，其中该确认信号包括安全控制字段。

6.如权利要求5所述的方法，其中所述确认信号包括安全控制字段，以及

其中所述关联步骤还包括：

基于该安全控制字段发起安全过程；

认证植入设备；

基于该认证执行加密和解密中的一个；

实现重放保护；以及

使能数据帧的完整性保护。

7.如权利要求1所述的方法，其中所述获取步骤包括：

在协调器设备和植入设备之间不活动期间保持MICS信道。

8.如权利要求3所述的方法，其中所述发送唤醒信号的步骤包括如下操作之一：

在非MICS信道上重发该唤醒信号，直到在限定的时间段内从植入设备接收到确认信号；以及

如果在限定的时间段内没有在MICS信道上接收到确认信号，则在另一非MICS信道上重发该唤醒信号。

9.如权利要求1所述的方法，还包括：

针对从另一植入设备发送的紧急信号在协调器设备处扫描另一MICS信道。

10.如权利要求1所述的方法，其中所述协调器设备被预配置有安全表，其包括设备标识符、主密钥和对应主密钥标识符、设备的类型、服务和媒体接入控制地址。

11.如权利要求4所述的方法，其中所述安全控制字段使用在关联过程期间交换的安全控制和应用参数字段定义MAC帧中的帧级别安全，其中能够根据应用和体域网设备要求为各个帧选择不同安全特征。

12.如权利要求4所述的方法，其中所述安全控制字段使用在关联过程期间交换的安全控制和应用参数字段定义MAC帧中的帧级别安全，其中在关联过程期间识别帧级别安全，对于需要安全保护的各个帧统一使用类似的帧级别安全。

13.如权利要求1所述的方法还包括：

通过协调器设备中的收发器获取通信信道；

从体上设备接收对协调器设备信息的请求；

从体上设备接收加入微微网的关联请求；

基于协调器设备的多个准入控制参数确定关联请求；

基于该确定利用消息信号确认该关联请求，其中该消息信号包括如下之一：

包括微微网中的体上设备的设备标识符的接受消息信号；和

包括拒绝关联请求的原因的拒绝消息信号；

基于关联请求中包括的安全控制字段发起安全过程；

在协调器设备和体上设备之间交换数据。

14.如权利要求13所述的方法，其中所述发起安全过程的步骤还包括：

认证体上设备；

基于认证执行加密和解密中的一个；

实现重放保护；以及

使能数据帧的完整性保护。

15.如权利要求13所述的方法，还包括：

获取通信信道；

广播协调器设备信息；以及

基于该广播从体上设备接收加入微微网的关联请求。

16.如权利要求13所述的方法，其中所述获取基于广播模式和非广播模式之一。

17.如权利要求13所述的方法，其中所述获取包括：

广播指示通信信道的占据的宣告；以及

确定基于该宣告的响应。

18.如权利要求13所述的方法，其中所述关联请求包括如下中的至少一个：

平均数据率、分组大小、分组到达时间间隔、在MAC层发送的分组的大小、延迟要求和安全控制字段。

19.如权利要求13所述的方法，其中所述协调器设备被预配置有安全表，其包括设备标识符，主密钥标识符，设备的类型，服务和媒体接入控制地址。

20.如权利要求13所述的方法，其中所述方法包括：

从一个或多个代表节点的每个代表节点接收第二关联请求，其中该一个或多个代表节点代表多个体上设备；

基于该接收管理第二关联请求，其中接受来自该一个或多个代表节点之中的代表节点的关联请求；以及

向该多个体上设备广播消息，其中该消息包括如下至少一项：对应于该代表节点的组标识符、该多个体上设备的设备标识符和安全参数的集合。

21.如权利要求20所述的方法，其中所述管理包括：

向该多个代表节点的其他代表节点发送拒绝消息。

22.如权利要求20所述的方法，其中所述一个或多个代表节点与单个组标识符关联。

23.如权利要求20所述的方法，其中所述一个或多个代表节点与单独的组标识符关联。

24.如权利要求20所述的方法，其中所述安全参数的集合包括：

在协调器设备和该多个体上设备之间共享的主密钥标识符；

协调器随机数；

客户端随机数；和

指示唯一单个密钥和公共密钥之一的标志比特。

25.如权利要求24所述的方法，还包括如下操作之一：

使用主密钥标识符、协调器随机数、客户端随机数和每个体上设备的设备标识符生成协调器设备和每个体上设备之间的唯一成对密钥；以及

使用主密钥标识符、协调器随机数和客户端随机数生成协调器设备和该多个体上设备之间的公共成对密钥。

26.如权利要求25所述的方法，其中所述协调器设备和每个体上设备单独地执行该生成。

27.一种用于管理体域网的协调器设备，该协调器设备包括：

医疗植入通信服务MICS收发器；

处理器，用于通过协调器设备中的MICS收发器获取MICS信道；在非MICS信道中向植入设备发送指示唤醒处理的唤醒信号；在MICS信道中与接收唤醒信号的植入设备关联；在协调器设备和植入设备之间交换数据；通过发送用于解除关联的命令消息与植入设备解除关联；以及

存储单元，用于存储数据，

其中当接收从另一植入设备发送的紧急信号时该处理器停止在协调器设备和植入设备之间交换数据，以及在另一MICS信道中在协调器设备和该另一植入设备之间交换数据。

28.如权利要求27所述的协调器设备，其中所述唤醒信号包括与MICS信道关联的信息。

29.如权利要求27所述的协调器设备，其中所述处理器基于唤醒信号的发送在MICS信道中从植入设备接收第一确认信号；在MICS信道中向植入设备发送指示加入微微网的命令信号，其中该命令信号包括设备标识符，以及基于向植入设备的命令信号的发送在MICS信道中接收第二确认信号，以便与该植入设备关联，其中所述第二确认信号包括安全控制字段。

30.如权利要求29所述的协调器设备，

其中所述处理器基于该安全控制字段发起安全过程；认证植入设备；基于该认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。

31.如权利要求28所述的协调器设备，其中所述处理器在MICS信道中向植入设备发送指示加入微微网的命令信号，其中该命令信号包括设备标识符；基于向植入设备的命令信号的发送在MICS信道中接收确认信号，以便与该植入设备关联，其中该确认信号包括安全控制字段。

32.如权利要求31所述的协调器设备，其中所述确认信号包括安全控制字段，以及

其中所述处理器基于该安全控制字段发起安全过程；认证植入设备；基于该认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。

33.如权利要求27所述的协调器设备，其中所述处理器在协调器设备和植入设备之间不活动期间保持MICS信道。

34.如权利要求29所述的协调器设备，其中处理器执行如下操作之一：

在非MICS信道上重发该唤醒信号，直到在限定的时间段内从植入设备接收到第一确认信号；以及

如果在限定的时间段内没有在MICS信道上接收到确认信号，则在另一非MICS信道上重发该唤醒信号。

35.如权利要求27所述的协调器设备，其中所述处理器通过协调器设备中的MICS收发器获取通信信道；从体上设备接收对协调器设备信息的请求；从体上设备接收加入微微网的关联请求；基于针对协调器设备限定的多个准入控制参数确定关联请求；基于该确定利用消息信号确认该关联请求，其中该消息信号包括如下之一：包括微微网中的体上设备的设备标识符的接受消息信号；和包括拒绝关联请求的原因的拒绝消息信号；基于关联请求中包括的安全控制字段发起安全过程；以及在协调器设备和体上设备之间交换数据。

36.如权利要求35所述的协调器设备，其中所述处理器认证体上设备；基于该认证执行加密和解密中的一个；实现重放保护；以及使能数据帧的完整性保护。

37.如权利要求35所述的协调器设备，其中所述处理器从一个或多个代表节点的每个代表节点接收关联请求，其中该一个或多个代表节点代表多个体上设备并且基于该接收管理关联请求，其中接受来自该一个或多个代表节点之中的代表节点的关联请求；以及向该多个体上设备广播消息，其中该消息包括如下至少一项：对应于该代表节点的组标识符、该多个体上设备的设备标识符和安全参数的集合。

38.一种通过植入设备管理体域网的方法，该方法包括：

在非医疗植入通信服务(MICS)信道中从协调器设备接收用于唤醒植入设备的唤醒信号；

根据接收的唤醒信号来激活MICS信道接收器；

使用唤醒信号中包括的与MICS信道关联的信息来与协调器设备关联；以及

在协调器设备和植入设备之间交换数据，

其中所述关联步骤还包括：

从植入设备在MICS信道中基于唤醒信号向协调器设备发送第一确认信号；

在MICS信道中从协调器设备接收指示加入微微网的命令信号，其中该命令信号包括设备标识符，以及

基于该命令信号在MICS信道中向协调器设备发送第二确认信号，其中所述第二确认信号包括安全控制字段。