CN103890768A - 医疗装置和其遥控装置之间的可靠通信 - Google Patents
医疗装置和其遥控装置之间的可靠通信 Download PDFInfo
- Publication number
- CN103890768A CN103890768A CN201280052233.5A CN201280052233A CN103890768A CN 103890768 A CN103890768 A CN 103890768A CN 201280052233 A CN201280052233 A CN 201280052233A CN 103890768 A CN103890768 A CN 103890768A
- Authority
- CN
- China
- Prior art keywords
- telepilot
- mcu
- medical treatment
- treatment device
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/60—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
- G16H40/63—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for local operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
- H04W12/55—Secure pairing of devices involving three or more devices, e.g. group pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/88—Medical equipments
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Theoretical Computer Science (AREA)
- Epidemiology (AREA)
- Public Health (AREA)
- Primary Health Care (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Infusion, Injection, And Reservoir Apparatuses (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Measuring And Recording Apparatus For Diagnosis (AREA)
Abstract
回送机制本发明涉及一种医疗组件,其确保医疗装置(比如胰岛素泵)和其遥控器之间的安全通信,该遥控器管理该医疗装置。为达到这种效果,该组件使用外部微控制器(MCU),该外部微控制器包含安全的数据并且使用密码机制来与该医疗装置通信。一个单独的外部微控制器(MCU)仅通过以下方式与一个医疗装置配对:使得患者能够若干次地改变遥控装置,尽管知道该遥控装置是其中插入有所述外部的受保护的MCU的、与该医疗装置配对的单独的遥控装置。在所述组件中,所述医疗装置和所述外部微处理器(MCU)包含安全存储器,该存储器以所述设备预先知道良好配置的方式包含无线通信配置。
Description
技术领域
本发明涉及医疗装置的遥控器,该医疗装置例如但不限于输送装置(例如,胰岛素泵)和/或无线传感器(例如,连续血糖仪(glucose meter))和/或可植入装置和/或采样装置。
背景技术
需要遥控器来控制像膜片泵(patch pump)一样轻和小的一些医疗装置,例如胰岛素泵,原因是患者很难看到位于泵自身上的显示器的内容。如今多数泵使用专用的私人遥控器,表示将另一装置带在身边,具有它可能产生的所有缺点,例如是:
找个口袋以将它放在可以快速和容易存取的安全位置。
不要忘了你的遥控器。
考虑为它充电或具有备用电池。
防止它由于掉落或任何“恶劣”的外部条件、例如暴露于阳光或沙而退化。
防止使用另一特定装置的一种方式是将遥控器功能集成到患者已经随身携带的现有装置中,例如但不限于血糖仪或手机,其应该具有集成遥控器特征所需的所有能力。
为了该目的使用手机是很有吸引力的,但是带来在允许它用于规划胰岛素泵之前必须解决的许多安全问题。其中必须保证的重要安全特征是:
向用户显示的数据的完整性。
发送到胰岛素泵的命令的完整性。
存储有患者的治疗参数以及输注历史的日志和事件的数据库的完整性和保护。
安全地配对医疗装置和它的遥控器。
在任何时候软件的响应性(例如,当另一软件具有焦点时发出警报,当其它任务使诸如MCU等的资源超负荷时处理用户请求的能力等)。
发明内容
本申请要求以Debiotech的名义于2011年10月28日提交的EP11187121.6的优先权和以Debiotech的名义于2012年7月9日提交的EP12175498.0的优先权,上述申请的完整公开通过引用被合并于本文中。
本发明的目的是提供一种用于确保医疗装置和它的遥控器之间的通信的鲁棒环境。在本文献中,语句“确保通信”必须被理解为用于保证遥控器和医疗装置之间的数据交换是正确的所有手段,所述数据由经授权的操作者(例如,患者,也称为用户)使用正确装置发送并且正确地被接收。所述手段可以是对数据或应用程序或操作系统的完整性的检查、加密过程、配对过程、操作者的身份的验证…。为此,本发明可以包括使用回送(loopback)过程的医疗组件(包括所述医疗装置及其遥控器)和/或包含虚拟化平台的所述遥控器(或属于医疗装置的附加微控制器)和/或使用附加微控制器(MCU)的所述组件,其插入(替代地插接到)遥控器中,可以包含安全数据和/或可以使用密码机制以与所述医疗装置通信。使用所述三种不同手段(MCU、回送、虚拟化)允许明显地改善安全性,但是也可能仅仅使用所述手段中的一种或两种。
所述医疗组件可以包括遥控器,所述遥控器可以管理和/或监视至少一个医疗装置,例如但不限于输送装置和/或无线传感器和/或可植入装置和/或采样装置和/或血糖监测…。
所述医疗装置包括允许与遥控器无线通信的通信装置,包含确保所述通信的密钥信息的内部安全存储器。所述医疗装置与包括安全存储器的仅仅一个微控制器(MCU)配对,所述安全存储器也包含所述密钥信息。所述MCU设计成插接到遥控器中。
在使用外部微控制器的一个实施例中,适合于建立医疗装置和遥控器之间的安全通信的所述组件包括:
遥控器,所述遥控器包括:
允许与所述医疗装置无线通信的通信装置,
用来插接附加微控制器(MCU)的连接装置,
显示装置(可选地),
至少一个输入装置,
至少一个处理器,其连接到所述通信装置、所述连接装置、(可选地,所述显示装置)和所述输入装置;
医疗装置,所述医疗装置包括:
允许与所述遥控器无线通信的通信装置,
内部安全存储器;
可以连接到所述遥控器的MCU;所述MCU还包括安全存储器;
其中至少一个医疗装置与仅仅一个MCU专门地配对;
其中所述医疗装置的内部存储器和所述MCU的安全存储器包含用来确保通信的密钥信息。
在本文献中,微控制器(MCU)可以是插入遥控器中的集成芯片或插接在遥控器中的外部装置。典型地,MCU包括CPU、RAM、某种形式的ROM、I/O端口和定时器。不同于包括其它部件的计算机或遥控器,微控制器(MCU)设计成用于很具体的任务,例如控制特定系统。因此,MCU可以简化和减小,这削减生产成本。而且,所述MCU不带来(遥控器的)OS可以用来改善遥控器的性能的另外的CPU和存储器,但是它带来其它功能性,特别是带来更多安全性。遥控器的MCU和CPU是不同的并且具有不同任务。在本发明中,MCU以一定的方式完全独立于遥控器使得MCU可以与不同遥控器一起使用。所述MCU可以是智能卡、Sim卡、SD卡,例如SDIO卡(安全数字输入输出)…。在该文献中,我们可以不加区分地(indifferently)使用以下术语:外部微控制器或附加微控制器或MCU。
在优选实施例中,所述医疗装置和所述MCU包括包含无线通信配置的安全存储器。以这样的方式,所述装置和所述MCU事先知道良好配置。特别地,所述MCU可以包含用于将遥控器连接到医疗装置并且保护所述通信的密钥信息。
因此,所述MCU与仅仅一个医疗装置配对并且所述MCU插入遥控器中;以这样的方式,只有包含所述MCU的遥控器能够管理和/或监视所述医疗装置。而且,当知道所述MCU插入其中的遥控器是可以管理和/或监视医疗装置的单独遥控器时,患者可以改变遥控器。
在另一实施例中,遥控器管理和/或监视至少两个医疗装置。在该情况下,所述两个医疗装置可以与仅仅一个MCU配对,作为选择每个医疗装置与它自身的MCU配对。
在一个实施例中,所述MCU包含用以将所述医疗组件和医疗服务器连接的密钥信息。在该实施例中,医疗组件可以使用遥控器的数据通信装置。因此,所述MCU可以包含确保医疗组件和医疗服务器之间的通信的所有信息,例如但不限于用户认证、加密参数…。
在一个实施例中,MCU可以在安全存储器中至少存储由医疗装置发送的数据的集合或由遥控装置或其它装置提供的数据的其它集合。在另一实施例中,所述数据被加密并且存储在遥控装置或医疗装置中,但是仅仅MCU(或医疗装置)包含解密所述数据的密钥。
在其中遥控器使用虚拟平台的一个实施例中,遥控器包含虚拟化平台,所述虚拟化平台包括:
主机操作系统(hOS),其为至少一个客户操作系统(gOS)仿效硬件部件,
第一gOS,其处理常用功能,例如但不限于日历或联系方式,所有那些常用功能设计成在非受控环境下使用,
医疗操作系统(mOS),其处理医疗装置的遥控器功能,所有那些遥控器功能设计成在受控环境下使用。所述mOS可以是特定gOS。
在本文献中,语句“主机操作系统”必须被理解为尽可能薄(thin)的操作系统,例如增强的管理程序,其单独管理并且共享所有遥控器外围设备,例如RAM、Flash、UART、Wifi…。hOS不处理常用功能,它的目的是确保命令发送到医疗装置。
在一个实施例中,MCU(例如上述的)插接到遥控器中,但是所述主机操作系统不能管理和共享所述MCU的外围设备。
在优选实施例中,所述hOS不只是标准管理程序。尽管尽可能薄,所述hOS包含一些操作过程以拒绝一些应用程序(在非受控环境或受控环境下运行)或提供一些优先级。
在本文献中,语句“客户操作系统”必须被理解为处理常用功能(打电话、发送数据、日历…)的标准操作系统(例如但不限于Android、来自Apple的iOS…)或特定操作系统(例如医疗操作系统)。所述不同的客户操作系统可以彼此强隔离地共存于相同的遥控器上。
在本文献中,语句“受控环境”必须被理解为一空间,在其中:
预期应用程序的响应性是确定的,
软件包和操作系统的列表和版本是已知的并且不能由用户改变,
对硬件部件的访问是受控的和有保障的,
硬件部件(CPU、存储器、RF链路等)的响应性是确定的,
预定的最小带宽总是被保障以访问硬件部件(例如,CPU、网络RF链路等),
至少一个医疗应用程序和/或mOS运行并且被存储。
受控和非受控环境完全隔离。
因此,非受控环境对硬件和受控环境之间的交互不具有可见性。有利地,处于受控环境下的客户操作系统或应用程序(例如但不限于医疗操作系统和/或医疗应用程序)具有优于另一个的优先级。由此,主机操作系统决定阻止在非受控环境下运行的应用程序以便避免由该应用程序导致的任何干扰。主机操作系统也可以决定来自受控或非受控环境的哪个应用程序将在屏幕上取得焦点(take the focus on the screen)。
在一个实施例中,根据本发明的遥控器是手机。可以使用任何合适的OS,例如Android。遥控器与医疗装置组合使用。有利地,遥控器功能设计成用于对胰岛素泵进行遥控。
在使用外部MCU的一个实施例中,所述MCU也用于认证和保证hOs的完整性。
在医疗组件的一个实施例中,所述组件有利地包括两个对象(例如,胰岛素泵和遥控器)之间的回送机制。
在本文献中,回送机制不是对由用户输入的数据的简单确认。回送机制允许确认由医疗装置接收的数据。因此,用户输入命令(用输入装置)并且经由安全通信将它发送到医疗装置。由于所述机构,在启动命令之前,医疗装置必须请求确认接到的命令是否是由他发送的命令。当用户向医疗装置确认时,命令被启动。有利地,为了改善安全性,用户必须输入PIN码以确认命令。
可以通过在遥控器中使用附加的受保护的MCU、例如智能卡或SIM或SD卡…有利地保护回送机制的安全性和与医疗装置的连接。
本发明特别地提供以下优点:
本发明也提供受控环境,其中响应性、完整性和安全性由下层操作系统架构的核心设计来保证。
所提出的解决方案提供安全环境,其例如可以阻止任何不期望的应用程序,该程序可能会通过改变疗法、例如规划患者不希望的若干附加输注来模仿正常使用。
使用作为智能卡独立于遥控器的MCU允许自动地和安全地连接遥控器和医疗装置而在配对过程期间不被另一装置看到。
使用可以插入或插接到不同遥控器、例如手机中的MCU允许在有问题(电池电量不足、忘记或丢失遥控器)的情况下改变遥控器。
使用回送过程允许保证在医疗装置(例如,胰岛素泵)中规划的值对应于在遥控器上由用户预期的值。
在回送过程结束时,用户优选地通过在遥控器上输入PIN码(只有用户知道)来认可该值。使用所述PIN码保证该确认由正确用户批准。
使用虚拟平台保证医疗应用程序或mOS优先和安全地运行。
hOS保证一些外围设备(MCU、LED、屏幕的一部分、振动器…)仅仅由医疗应用程序和/或mOS使用。
附图说明
下面用通过以下附图示出的例子更详细地论述本发明。
图1显示包括虚拟化平台的根据本发明的遥控器(3)的显示器。
图2显示本发明的优选实施例的总体构架,即,包括遥控器(3)和医疗装置(1)的组件。
图3示出根据本发明的回送机制。
图4示出使用MCU的根据本发明的回送机制。
图5显示与遥控器(3)通信的医疗装置(1),所述遥控器在内部包含MCU,例如智能卡(4)。
图6显示与插接到MCU(6)的遥控器(3)通信的医疗装置(1)。
图7显示与插接到MCU(6)的遥控器(3)通信的医疗装置(1),所述MCU在内部包含另一MCU,例如智能卡(4)。
图8显示与插接到MCU(6)的遥控器(3)通信的两个医疗装置(1、7),所述MCU在内部包含两个MCU,例如智能卡(4a、4b)。
图9显示与遥控器(3)通信的两个医疗装置(1、7),所述遥控器在内部包含两个MCU,例如智能卡(4a、4b)。
图10显示与遥控器(3)通信的两个医疗装置(1、7),所述遥控器在内部包含单独的MCU,例如智能卡(4c)。
部件的列表
1 医疗装置
2 无线通信
3 遥控器
4、4a、4b、4c 微控制器(例如,智能卡)
5 安全处理装置
6 另一类型的微控制器
7 另一医疗装置
具体实施方式
使用附加的微控制器(MCU)
在优选的、但不限于图5至10中所示的实施例中,适合于建立医疗装置(1、7)和遥控器(3)之间的安全通信的医疗组件包括:
遥控器(3),所述遥控器包括:
允许与所述医疗装置(1、7)无线通信的通信装置,
用来插接附加微控制器(MCU)(4、6)的连接装置,
显示装置(可选地),
至少一个输入装置,
至少一个处理器,其连接到所述通信装置、所述连接装置、所述显示装置和所述输入装置;
医疗装置(1、7),所述医疗装置包括:
允许与所述遥控器(3)无线通信(2)的通信装置,
内部安全存储器;
可以连接到所述遥控器(3)的MCU(4、4a、4b、4c、6);所述MCU(4、4a、4b、4c、6)还包括安全存储器;
其中至少一个医疗装置(1、7)仅仅与一个MCU(4、4a、4b、4c、6)专门地配对;
其中所述医疗装置(1、7)的内部存储器和所述MCU(4、4a、4b、4c、6)的安全存储器包含用来确保通信的密钥信息。
所述医疗装置(1、7)可以是输送装置(例如但不限于胰岛素泵)和/或无线传感器(其可以测量患者的生理学特性)和/或可植入装置和/或采样装置。
遥控器(3)的处理器是遥控器的主计算单元。它是运行遥控器操作系统(OS)(或多个操作系统OSes)的处理器,并且有权访问所有的遥控器(3)外围设备,例如RAM、Flash、UART、Wifi等。
MCU(4、4a、4b、4c、6)也包含处理器,所述处理器运行它自身的操作系统和代码。然而该处理器仅仅有权访问MCU(4、4a、4b、4c、6)的内部外围设备(密码引擎、通信接口等)。MCU(4、4a、4b、4c、6)(例如但不限于智能卡)的处理器无权访问遥控器(3)的外围设备。两个装置(MCU(4、4a、4b、4c、6)和遥控器(3))之间的唯一交互经由通信链路进行。因此,遥控器(3)的处理器和MCU(4、4a、4b、4c、6)的处理器彼此独立。因此,所述MCU(4、4a、4b、4c、6)可以插接到不同遥控器中并且保证总体安全性。
在一个实施例中,遥控器(3)还具有形式上为BGM(血糖监测仪)模块的另一处理器。然而它仅仅经由通信链路与遥控器(3)交互。
在如图5中所示的一个实施例中,医疗装置(1)与遥控器(3)通信。所述遥控器(3)在内部包含仅仅与所述医疗装置(1)配对的MCU(4)(例如但不限于智能卡或SIM卡)。所述遥控器(3)和所述医疗装置(1)之间的通信(2)由于由所述智能卡(4)启动或执行的安全处理装置(5)而被确保。
在一个实施例中,遥控器(3)是手机并且MCU(4)是sim卡,所述sim卡包括电话操作者的所有数据和应用程序以及与医疗装置(1、7)配对并且安全通信的所有数据和应用程序。在一个实施例中,所述遥控器(3)包括后面公开的虚拟化平台。在另一实施例中,所述手机包括两个不同连接装置,第一个插接电话操作者的SIM卡并且第二个插接与医疗装置配对的MCU。
在一个实施例中,所述MCU(4、4a、4b、4c、6)包含确保所述医疗组件和医疗服务器(例如,远距医疗)之间的通信的密钥信息。以这样的方式,一些数据可以安全地发送到医疗服务器,在所述医疗服务器处可以分析或存储所述数据。
在如图6中所示的一个实施例中,医疗装置(1)与遥控器(3)通信。所述遥控器(3)插接在仅仅与所述医疗装置(1)配对的MCU(6)中。所述遥控器(3)和所述医疗装置(1)之间的通信(2)由于由所述MCU(6)启动或执行的安全处理装置(5)而被确保。
在一个实施例中,MCU(6)可以被视为或是包括所有在先元件和其它装置的外部设备。例如,所述MCU(6)可以包括传感器,例如但不限于血糖测量装置,以这样的方式所述MCU(6)也可以用于例如血糖监测。
在一个实施例中,所述MCU(6)可以包括通信装置以便不依赖于遥控器而与医疗装置安全地通信。在该实施例中,遥控器,可以是手机,有利地用于它的显示装置。
在如图7中所示的一个实施例中,医疗装置(1)与遥控器(3)通信。所述遥控器(3)插接到在内部包含第二MCU(4)(例如智能卡或sim卡)的第一MCU(6)。所述第二MCU(4)仅仅与所述医疗装置(1)配对。所述遥控器(3)和所述医疗装置(1)之间的通信(2)由于由所述第一MCU(6)和/或所述第二MCU(4)启动或执行的安全处理装置(5)而被确保。在一个实施例中,所述MCU(6)包括传感器,例如但不限于血糖测量装置,以这样的方式所述MCU(6)也可以用于例如血糖监测。
在如图8和9中所示的一个实施例中,两个医疗装置(1、7)与遥控器(3)通信。例如,第一医疗装置(1)是胰岛素泵(1)并且第二医疗装置(7)是连续血糖仪(7)。每个医疗装置仅仅与它自身的MCU(4a、4b)配对。如图8中所示的实施例公开了插接到第一MCU(6)的遥控器(3)。所述第一MCU(6)包括两个不同的连接装置以插入第二和第三MCU(4a、4b)。如图9中所示的实施例公开了遥控器(3),所述遥控器在内部包含两个不同的连接装置以插入两个不同的MCU(4a、4b)而不需要第一MCU(6)。第二MCU(4a)(相应地,第三MCU(4b))包括安全存储器,所述安全存储器包含与第一医疗装置(1)(相应地,第二医疗装置(7))的无线通信(2)配置。所述第二MCU(4a)仅仅与第一医疗装置(1)配对并且所述第三MCU(4b)仅仅与第二医疗装置(7)配对。实施例可以包括更多的MCU和医疗装置。
在如图10中所示的一个实施例中,两个医疗装置(1、7)与遥控器(3)通信,但是仅仅一个MCU(4c)被插接。对于该实施例,所述MCU(4c)与所述两个医疗装置(1、7)配对并且包括至少一个安全存储器,所述至少一个安全存储器包含与所述两个医疗装置(1、7)的无线通信(2)配置。
尽管上述的实施例使用一个或两个医疗装置,但是本发明不限于该实施例,本发明可以具有一个或多个医疗装置和一个或多个MCU。
在一个实施例中,配对可以在销售之前(例如在工厂)或在将MCU(4、4a、4b、4c、6)插接在遥控器(3)中之前直接被执行。
在一个实施例中,所述MCU和/或医疗装置不能接受新配对请求。
在一个实施例中,所述医疗装置(1、7)和/或所述MCU(4、4a、4b、4c、6)包括安全处理装置(5),例如安全启动过程和/或安全闪存过程和/或密码机制,所述安全处理装置至少检查遥控器的完整性和/或管理所述医疗装置(1、7)和所述遥控器(3)之间的数据的安全通信(2),。
因此,所述MCU(4、4a、4b、4c、6)可以用于保证遥控器(3)的完整性,例如但不限于它的操作系统和/或hOs和/或应用程序…。保证该完整性的典型方式是使用安全启动或安全闪存,其是在遥控器(3)的启动期间或定期地经由监视系统执行完整性检查的功能。
例如,使用安全启动过程的实施例:为了保证在遥控器(3)上运行的软件不被意外地(硬件故障)或有意地(黑客、恶意软件)修改,使用安全启动的机制。当打开遥控器(3)时,由其处理器执行的第一代码是例行程序,其将计算遥控器(3)内部存储装置(闪速存储器)的内容的签名,并且验证该签名的有效性。一旦签名已被验证为有效,处理器继续它的正常OS启动程序。否则,系统不启动。重要的是注意使用MCU(4、4a、4b、4c、6)执行签名的验证,这保证不暴露秘密(密钥)。
另一例子,使用安全闪存过程的实施例:我们希望允许用户利用遥控器OS的较新版本。类似地,为了防止用未经授权的软件更新遥控器(3)的软件,待写入的新软件必须被签名。当遥控器(3)在更新模式下启动时(例如,长按电源按钮),处理器首先执行例行程序,所述例行程序将下载新软件的图像,在覆写现有的软件之前计算它的签名并且验证它。再次地,重要的是注意使用MCU(4、4a、4b、4c、6)执行签名的验证,这保证不暴露秘密(密钥)。
因此,在上面所示的一个实施例中,所述MCU(4、4a、4b、4c、6)的存在避免了不良软件对hOs的替换。
在一个实施例中,MCU(4、4a、4b、4c、6)也可以包含允许无线连接到医疗装置(1、7)的密钥信息(例如但不限于:通信配置、公共密钥、私人密钥、密码方法…),所述医疗装置也部分地或完整地知道所述密钥信息。在没有所述密钥信息的情况下,不可能连接到医疗装置(1、7)。可以通过使用蓝牙通信说明该特征,其中医疗装置(1、7)将决不会暴露。遥控器(3)需要链路密钥以启动蓝牙连接而不使用标准配对过程。在该特定情况下,链路密钥可以被读入MCU(4、4a、4b、4c、6)中并且然后传送到可以直接请求连接的蓝牙通信层。
在一个实施例中,所述安全处理装置(5)可以使用:
生成至少一个非对称密钥对和/或对称密钥的非对称密钥密码机制,
生成至少一个对称密钥对和/或非对称密钥的对称密钥密码机制,
密码散列(hash)机制。
所述非对称密钥密码机制可以使用该算法中的至少一个:Benaloh、Blum–Goldwasser、Cayley–Purser、CEILIDH、Cramer–Shoup、–Jurik、DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser–Micali、HFE、IES、Lamport、McEliece、Merkle–Hellman、MQV、Naccache–Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto–Uchiyama、Schnorr、Schmidt–Samoa、SPEKE、SRP、STS、三次传递协议或XTR。
在一个实施例中,所述MCU的安全存储器包含私人密钥并且所述医疗装置的安全内部安全存储器包含合适的公共密钥。
遥控器(3)和医疗装置之间的配对包括以下步骤:
将所述MCU(4、4a、4b、4c、6)插入遥控器(3)中,
所述MCU(4、4a、4b、4c、6)使用(包含在所述MCU(4、4a、4b、4c、6)的安全存储器中的)无线通信配置将医疗装置和遥控器(3)连接,
所述医疗装置(1、7)使用(包含在所述医疗装置(1、7)的安全存储器中的)所述无线通信配置与遥控器(3)连接,
有利地,所述MCU(4、4a、4b、4c、6)和所述医疗装置(1、7)使用密码机制来认证该连接。
因此,医疗装置(1、7)和遥控器(3)不使用迫使医疗装置(1、7)对其它装置可见的标准配对过程。
在一个实施例中,MCU(4、4a、4b、4c、6)以一种方式在它的安全存储器中保持所述安全处理装置(5),使得所述遥控器(3)不访问所述安全处理装置(5)。
在一个实施例中,医疗装置还包括管理医疗装置的安全存储器和遥控装置之间的加密数据通信的所述安全处理装置,
使用主机操作系统(hOS)
在优选但不限于的实施例中,现在注意图1,遥控器(3)使用移动虚拟化平台提供了将遥控器(3)(例如智能手机)分成受控环境(例如,用于控制医疗装置(1、7))和非受控环境(例如,用于通用任务)的可能性。该虚拟化平台可以经由虚拟机应用程序限定。
下面的架构描述根据本发明的虚拟化平台的非限定性例子(参见图1):
主机操作系统(OS),其为一个或若干客户OS仿效硬件部件(在图1上仅仅示出2个客户OS),
一个客户OS,其在非受控环境下处理通用任务(例如,日历、联系方式、网页浏览、电话通信、娱乐等),
一个客户OS,其在受控环境下处理与医疗装置的交互。
有利地,hOS尽可能地薄,同时集成了一些高级操作过程并且处于最低级的操作系统架构中。主机操作系统不是简单的管理程序。实际上,主机操作系统还包含不同的安全任务和控制任务。因此,主机操作系统管理、协调活动,共享遥控器的资源,并且决定拒绝和/或准许运行应用程序和/或使用遥控器(3)的驱动器和/或外围设备。以这样的方式安全性得到改善,原因是恶意软件不能访问任何驱动器和/或外围设备,例如但不限于诸如上述的MCU。
因此,通过使用该架构,受控环境总是具有对遥控器的完全控制以便防止任何恶意应用程序拦截或修改或生成与医疗装置交换的命令/信息。这样的恶意应用程序的典型动作将是窃取用户的PIN码以便模仿输注的规划。
在一个实施例中,该受控环境被认证并且它的完整性借助于MCU被检查,如上所述。在遥控器的任何启动时经由所述MCU进行安全检查,这将确认完整性并且认证hOs和可选地认证mOS。
除了该架构以外,特定监视程序可以被执行以在受控环境下检查所有运行任务,该监视程序可以禁用不在经过授权的应用程序的特定列表内的任何应用程序。该特定监视也可以借助于所述MCU进行控制。所述监视也可以能够测量应用程序所使用的运行时间并且通过触发警报向用户指出任何可疑的活动超负荷。
在一个实施例中,所述hOS包含在所述MCU中和/或由所述MCU启动和/或运行。
在一个实施例中,所述mOS包含在所述MCU中和/或由所述MCU启动和/或运行。
在一个实施例中,所述mOS和/或所述hOS包含在所述MCU中。当所述MCU插入遥控器中时,MCU在遥控器上安装所述mOS和/或hOS。
在一个实施例中,在受控环境下的处理可以通过使用视觉指示器和/或音频指示器和/或其它指示器(例如,振动器),例如LED,发信号,所述指示器将通过信号通知用户当前的应用程序正在受控或非受控环境下运行的事实。通过例子,我们可以想像当当前的应用程序在受控环境下时绿LED将被接通,并且然后当用户返回非受控环境下时将被切断。我们也可以具有“相反的”使用情况,其中当用户在受控环境下时LED将切断并且当用户返回非受控环境下时变为红色。
在另一实施例中,hOS可以为在受控环境下运行的应用程序保留屏幕的一部分。以这样的方式,仅仅mOS可以在该空间中显示某物,并且在非受控环境下运行的应用程序或其它gOS不能使用该空间。
因此,用户知道mOS的应用程序是否正在运行。实际上,如果所述指示器未正确地通知用户,则它一定是试图获得对医疗装置的控制或试图误导用户的恶意应用程序。
使用回送机制
接下来的段落涉及本发明包括回送机制的优选实施例。通过将先前公开的或类似的安全级别的架构被设在遥控器的内部以便保证根据本发明的组件和读取的或由患者输入的信息之间的安全桥接考虑进来,该特征可以提供医疗装置和遥控器之间的安全通信。图3和4示出回送机制与根据本发明的遥控器(3)一起使用。
回送是保证在医疗装置(1、7)上执行的命令,与它的参数一起,已由操作者请求(认证)并且符合他的希望(完整性)的机制。更确切地,该机构首先保证在遥控器(3)和医疗装置(1、7)之间传输的信息不被意外地(存储故障、通信干扰)或有意地(黑客、恶意软件)改变。此外,该机构保证命令确实由用户请求。这两个功能由以下任务实现,例如但不限于:
命令,与它的参数一起,由遥控器(3)传输到医疗装置(1、7)。
医疗装置(1、7)基于命令和它的参数生成查问并且将它返回到遥控器(3)。
遥控器(3)从查问中提取信息并且将它显示给用户以便确认。该信息包括由医疗装置(1、7)接收到的命令和它的参数。
用户通过输入只有他知道的PIN通过信号发送该批准和确认。遥控器(3)使用PIN和查问自身生成对查问的响应。
响应被传输到医疗装置(1、7)并且由它验证。只有当查问的响应正确时命令实际上开始执行。
由用户使用的PIN仅仅验证查问-响应的特定实例,从这个意义上讲,该机制与标准的“登陆”机制不同。以这样的方式,每个命令必须由用户验证,因此恶意应用程序不能在用户输入PIN码之后立刻发送新命令。此外,另一个人不能错误地或有意地用正确的遥控器或其它装置发送命令,原因在于用户是唯一知道PIN码的人。
向用户显示并且请求他的批准的信息是由目标装置返回的信息,从这个意义上讲,它与仅仅向用户重复请求命令并问“你确定吗?”的机构也有区别。如果发生任何改变,则该返回值将自动地不同于由用户初始输入的信息。
所述确认不由遥控装置自动地处理使得恶意应用程序不能控制所述确认。重要的是确认仅仅由知道PIN码的用户允许以便确认已发送的命令。
优选地,在医疗装置的存储器和包含显示值的遥控器上的安全缓冲器之间产生直接安全管道。然后遥控器(3)上的经授权的应用程序显示该值并且记录用户的认证,其将用于构造发送回到医疗装置的返回值。该安全管道可以通过使用在附加MCU内部的信息而被启动。
当用户完成对他希望在医疗装置上规划的参数的限定时,安全管道打开。当用户认可参数以便允许医疗装置使用它们时,安全管道关闭。
根据本发明的回送过程优选地需要以下要素的实现:
在医疗装置中的安全存储区域,
在医疗装置中的安全过程,其管理医疗装置的安全存储区域到遥控器之间的加密的数据通信,
在遥控器中的安全显示存储区域,
在遥控器上的安全过程,其管理医疗装置到遥控器的安全显示存储区域之间的加密的数据通信,
在遥控器上的安全和经授权的过程,其将来自安全显示存储区域的数据传送到遥控器的显示器并且建立用户的认可证明。
这些不同要素的架构在图2中示出。
当医疗装置接收到参数的集合时回送过程开始,这将改变治疗的设置或任何安全特征,例如警报设置。
在不使用附加MCU的一个实施例中,医疗组件(至少一个医疗装置和一个遥控器)包括:
在所述医疗装置中的存储器,其可以包含安全存储区域,
在所述医疗装置中的安全处理装置(5),其管理所述安全存储区域和遥控装置之间的加密的数据通信,
在遥控器中的安全存储区域,
在遥控器中的安全处理装置(5),其管理医疗装置和所述存储区域之间的加密的数据通信,
在遥控器上的安全和经授权的处理装置(5),其将来自安全存储区域的数据传送到遥控器的显示器并且建立用户的认可证明。
该过程优选地包括以下步骤:
由医疗装置中的嵌入软件完成
在医疗装置的存储器中写入必须经过认可的参数,
生成随机信息,通常称为查问
打开医疗装置和遥控器之间的安全管道,
通过诸如振动、声音、LED或通知患者的任何其它方法向用户指出医疗装置和遥控器处于回送模式,
将通过使用被称为KP的加密密钥加密的参数和查问发送到遥控器。
由遥控器中的软件实体1完成
接收经加密的参数和查问并且写入到遥控器的安全存储区域。
由遥控器中的软件实体2完成
通过使用被称为KRC的密钥解密参数,所述密钥是KP的对应密钥。这些密钥可以是对称的或非对称的。通过具有正确的相应密钥KRC来验证经授权的应用程序,
在“总结”页中显示经解密的参数,
输入用户的PIN码,
建立认可证明,所述认可证明将通过使用查问、密钥KRC和输入的PIN码来确认对这些参数的接受,
在遥控器的安全存储区域中写入证明。
由遥控器中的软件实体1完成
将该证明发送回医疗装置。
由医疗装置中的嵌入软件完成
计算预期的证明,
接收并且验证来自遥控器的认可证明。
该过程在图3中示出。当证明经过验证时,回送过程关闭并且允许医疗装置使用更新的参数。该基本过程可以更加精细或者是更复杂方案的一部分以便改善安全管道的安全性。
在一个实施例中,PIN可以被输入,同时在遥控装置上使用随机阵列显示以便防止将模仿用户动作或拦截该信息的任何应用程序。例如,将按照随机顺序显示数字(从0到9的5个),每当PIN码由用户输入时所述随机顺序将不同。
在另一实施例中,PIN可以由另一认证装置改变,例如但不限于指纹读取器、指纹视网膜…。认证装置必须只有用户知道或拥有。
在一个实施例中,所述软件实体1和所述软件实体2是相同的软件实体,或者软件实体1可以是遥控器(3)中的嵌入软件并且软件实体2可以是遥控器(3)中的经授权的应用程序。在另一实施例中,所述软件实体1由如上限定的主机操作系统运行并且软件实体2由如上所述的医疗操作系统运行。
本领域的技术人员将认识到,存在若干种加密发送的数据和生成所述证明的方式。本发明不限于加密发送的数据或生成所述证明的特定方式。
在包括附加MCU的一个实施例中,该过程优选地包括以下步骤:
由医疗装置中的嵌入软件完成:
在医疗装置的存储器中写入必须经过认可的参数,
生成查问,
通过使用临时密钥Ks1加密所述参数,
通过诸如振动、声音、LED或通知患者的任何其它方法向用户指出医疗装置和遥控器处于回送模式,
将经过加密的参数发送到遥控器。
由遥控器中的嵌入软件完成
将经过加密的参数发送到MCU。
由MCU中的嵌入软件完成
接收经过加密的参数和查问并且写入到MCU的安全存储区域,
通过使用密钥Ks1解密参数,
将经过解密的参数和查问发送到遥控器的存储器。
由遥控器中的嵌入软件完成
在“总结”页中显示经过解密的参数,
提示用户输入PIN码,
建立认可证明,所述认可证明将通过使用查问、参数和输入的PIN码来确认对这些参数的接受,
在遥控器的安全存储区域中写入证明,
将所述证明发送到MCU。
由MCU中的嵌入软件完成
接收所述证明并且写入到MCU的安全存储区域,
使用临时密钥Ks2加密所述证明,
将所述经过加密的证明发送回遥控器。
由遥控器中的嵌入软件完成
将经过加密的证明发送回医疗装置。
由医疗装置中的嵌入软件完成
计算预期的证明,
接收、解密并且验证来自遥控器的认可证明。
该过程在图4中示出。当证明经过验证时,回送过程关闭并且允许医疗装置使用更新的参数。该基本过程可以更精细或者是更复杂方案的一部分以便改善安全管道的安全性。
在一个实施例中,遥控器中的所述嵌入软件由如上限定的主机操作系统运行并且MCU中的所述嵌入软件由如上所述的医疗操作系统运行。
在一个实施例中,查问也可以被编码。
在一个实施例中,密钥Ks1和Ks2可以是非对称密钥对或对称密钥或使用散列机制。
在一个实施例中,密钥Ks1和Ks2是相同的。
在一个实施例中,密钥Ks1和Ks2是不同的。
在一个实施例中,用户必须输入PIN码以确认进入回送机制,这样的PIN码在随机显示阵列上输入。
在另一实施例中,医疗装置包括可以测量患者的生理学特性的至少一个传感器、用于实时识别由所述传感器观察的第一症状的诊断装置以及在所述诊断装置检测到所述第一症状的情况下警告患者的警报装置。以这样的方式,医疗装置可以由遥控器监视并且将警报发送到遥控器。
在一个实施例中,遥控器包括如果发送了警报则用于定位用户的GPS。在所述诊断装置检测到所述第一症状的情况下或/和如果患者不能自己这样做,所述医疗组件可以启动遥控器中的应用程序以定位患者并且将所述定位发送到医疗中心或其他人。而且,在所述诊断装置检测到所述第一症状的情况下或/和如果患者不能自己这样做,所述医疗组件可以启动遥控器中的应用程序以将生理学特性的数据发送到医疗中心或其他人。
本发明当然不限于先前所述的示例性例子。
Claims (31)
1.一种与遥控器(3)安全地通信的医疗装置(1、7),包括:
通信装置,其允许与遥控器(3)的无线通信(2),
内部安全存储器,其包含确保所述通信(2)的密钥信息,
其中所述医疗装置(1、7)已经与仅仅一个微控制器MCU(4、4a、4b、4c、6)配对,所述微控制器包括安全存储器,所述安全存储器还包含所述密钥信息,
其中所述MCU(4、4a、4b、4c、6)设计成插接在遥控器(3)中。
2.根据权利要求1所述的医疗装置(1、7),其中所述MCU(4、4a、4b、4c、6)以一定方式设计,从而配对和/或加密所述医疗装置(1、7)和所述遥控器(3)之间的通信,所述MCU(4、4a、4b、4c、6)插接在所述遥控器(3)中。
3.根据权利要求1所述的医疗装置(1、7),其中密钥信息包含无线通信配置和/或加密参数。
4.根据权利要求1所述的医疗装置(1、7),其中所述医疗装置(1、7)和/或所述MCU(4、4a、4b、4c、6)包含安全处理装置(5)。
5.一种医疗组件,适合于建立医疗装置(1、7)和遥控器(3)之间的安全通信,包括:
遥控器(3),所述遥控器包括:
允许与所述医疗装置(1、7)无线通信(2)的通信装置,
用来插接附加微控制器MCU(4、4a、4b、4c、6)的连接装置;
至少一个输入装置,
至少一个处理器,其连接到所述通信装置、所述连接装置和所述输入装置;
医疗装置(1、7),所述医疗装置包括:
允许与所述遥控器(3)无线通信(2)的通信装置,
内部安全存储器;
设计成连接到所述遥控器(3)的MCU(4、4a、4b、4c、6);所述MCU(4、4a、4b、4c、6)还包括安全存储器;
其中至少一个医疗装置(1、7)与仅仅一个MCU(4、4a、4b、4c、6)专门地配对;
其中所述医疗装置(1、7)的内部安全存储器和所述MCU(4、4a、4b、4c、6)的安全存储器包含确保通信的密钥信息。
6.根据权利要求5所述的组件,其中密钥信息包含无线通信配置和/或加密参数。
7.根据权利要求5所述的组件,其中所述遥控器(3)包括至少一个显示装置。
8.根据权利要求5所述的组件,其中所述医疗装置(1、7)和/或所述MCU(4、4a、4b、4c、6)包括安全处理装置(5),所述安全处理装置确保所述医疗装置(1、7)和所述遥控器(3)之间的数据通信。
9.根据权利要求8所述的组件,其中所述MCU(4、4a、4b、4c、6)以以下方式在安全存储器中保持所述安全处理装置(5):所述遥控器(3)不访问所述安全处理装置(5)。
10.根据权利要求5所述的组件,其中所述MCU(4、4a、4b、4c、6)可以是通用集成电路卡、智能卡或SIM卡或SD卡。
11.根据权利要求5所述的组件,其中所述MCU(4、4a、4b、4c、6)的所述安全存储器包括应用程序,所述应用程序在所述MCU(4、4a、4b、4c、6)内执行并且与遥控器(3)联系。
12.根据权利要求5所述的组件,其中应用程序被装载在遥控器(3)的内部存储器中并且在所述遥控器(3)内运行。
13.根据权利要求5所述的组件,其中所述MCU(4、4a、4b、4c、6)包括认证装置以检查所述应用程序的完整性。
14.根据任一在先权利要求所述的用于配对遥控器(3)和医疗装置(1、7)的MCU(4、4a、4b、4c、6)的使用,包括以下步骤:
所述MCU(4、4a、4b、4c、6)使用所述无线通信配置连接医疗装置(1、7)和遥控器(3),
所述医疗装置(1、7)使用将与遥控器(3)连接的所述无线通信配置。
15.根据权利要求14所述的MCU(4、4a、4b、4c、6)的使用,还包括以下步骤:
所述MCU(4、4a、4b、4c、6)和所述医疗装置(1、7)使用密码机制对连接进行认证。
16.根据任一在先权利要求所述的MCU(4、4a、4b、4c、6)的使用,其中所述MCU(4、4a、4b、4c、6)还检查虚拟平台和/装载在所述遥控器(3)中的一个或多个操作系统的完整性。
17.根据任一在先权利要求所述的MCU(4、4a、4b、4c、6)的使用,其中应用程序从MCU(4、4a、4b、4c、6)装载到遥控器(3)的内部存储器并且由所述遥控器(3)运行。
18.一种虚拟化平台,包括:
主机操作系统(hOS),其为至少一个客户操作系统(gOS)仿效硬件部件,
第一gOS,其处理常用功能,例如但不限于日历或联系方式,所有那些常用功能被设计成在非受控环境下使用,
医疗操作系统(mOS),其处理用于医疗装置(1、7)的遥控器(3)功能,所有那些遥控器(3)功能被设计成在受控环境下使用。
19.根据权利要求18所述的虚拟化平台,其中所述虚拟化平台可以由遥控器(3)使用。
20.根据权利要求18所述的虚拟化平台,其中所述mOS构成另一gOS。
21.根据权利要求18所述的虚拟化平台,其中所述第一gOS还处理无线通信,例如但不限于网页浏览或电话通信。
22.根据权利要求18所述的虚拟化平台,其中mOS和/或hOS控制并且阻止在gOS中运行的应用程序。
23.根据权利要求18所述的虚拟化平台,其中mOS和/或hOS控制哪个应用程序在遥控器(3)的屏幕上具有焦点。
24.根据权利要求18所述的虚拟化平台,其中遥控器(3)包括指示器,所述指示器向用户发信号指出当前的应用程序正在受控环境下运行。
25.根据权利要求24所述的虚拟化平台,其中所述指示器可以是LED、所述屏幕的一部分、另一屏幕、特定声音或振动器。
26.根据在先权利要求18至25所述的虚拟化平台与回送机制一起的使用,包括以下步骤:
由医疗装置中的嵌入软件完成:
在医疗装置的安全存储区域中写入必须经过认可的参数,
生成查问,
打开医疗装置和移动装置之间的安全管道,
通过诸如振动、声音、LED或通知患者的任何其它方法向用户指出医疗装置和遥控器处于回送模式,
将通过使用被称为KP的密码密钥加密的参数和查问发送到移动装置;
由遥控器(3)中的软件实体1完成:
接收经过加密的参数和查问并且将经过加密的参数和查问写入到移动装置的安全存储区域;
由遥控器(3)中的软件实体2完成:
通过使用密钥KRC解密参数,所述密钥是KP的对应密钥;这些密钥可以是对称的或非对称的;通过具有正确的对应密钥KRC来验证经过授权的应用程序,
在“总结”页中显示经过解密的参数,
输入用户的认证手段,
建立认可证明,所述认可证明将通过使用查问、密钥KRC和所述输入的认证手段来确认对这些参数的接受,
在移动装置的安全存储区域中写入证明。
由遥控器(3)中的软件实体1完成:
将该证明发送回医疗装置;
由医疗装置中的嵌入软件完成:
计算预期的证明,
接收并且验证来自移动装置的认可证明;
当证明经过验证时,回送过程关闭并且允许医疗装置(1、7)使用更新的参数。
27.根据权利要求26所述的虚拟化平台的使用,其中用户的认证手段是PIN码、使用指纹读取器或指纹视网膜…。
28.根据在先权利要求18至27所述的虚拟化平台的使用,其中用户必须输入PIN码以确认进入回送机制,这样的PIN码在随机显示阵列上输入。
29.根据任一在先权利要求所述的MCU(4、4a、4b、4c、6)与回送机制一起的使用,包括以下步骤:
由医疗装置(1、7)中的嵌入软件完成:
在医疗装置(1、7)的安全存储器中写入必须经过认可的参数,
生成查问,
通过使用临时密钥Ks1加密所述参数,
通过诸如振动、声音、LED或通知患者的任何其它方法向用户指出医疗装置(1、7)和遥控器(3)处于回送模式,
将经过加密的参数发送到遥控器(3);
由遥控器(3)中的嵌入软件完成:
将经过加密的参数发送到附加MCU(4、4a、4b、4c、6);
由附加MCU(4、4a、4b、4c、6)中的嵌入软件完成:
接收经过加密的参数和查问并且将经过加密的参数和查问写入到附加MCU(4、4a、4b、4c、6)的安全存储区域,
通过使用密钥Ks1解密参数,
将经过解密的参数和查问发送到遥控器(3)的存储器;
由遥控器(3)中的嵌入软件完成:
在“总结”页中显示经过解密的参数,
提示用户输入用户的认证手段,
建立认可证明,所述认可证明将通过使用查问、参数和所述输入的认证手段来确认对这些参数的接受,
在遥控器(3)的安全存储区域中写入证明,
将所述证明发送到附加MCU(4、4a、4b、4c、6);
由附加MCU(4、4a、4b、4c、6)中的嵌入软件完成:
接收所述证明并且将所述证明写入到附加MCU(4、4a、4b、4c、6)的安全存储区域,
使用临时密钥Ks2加密所述证明,
将所述经过加密的证明发送回遥控器(3);
由遥控器(3)中的嵌入软件完成:
将经过加密的证明发送回医疗装置(1、7);
由医疗装置(1、7)中的嵌入软件完成:
计算预期的证明,
接收、解密并且验证来自遥控器(3)的认可证明;
当证明经过验证时,回送过程关闭并且允许医疗装置(1、7)使用更新的参数。
30.根据权利要求29所述的回送机制的使用,其中用户的认证手段是PIN码、使用指纹读取器或指纹视网膜…。
31.根据任一在先权利要求所述的医疗组件的使用,其使用:
回送机制,和/或;
虚拟化平台,和/或;
附加MCU(4、4a、4b、4c、6)。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP11187121.6 | 2011-10-28 | ||
EP11187121.6A EP2587394A1 (en) | 2011-10-28 | 2011-10-28 | Mobile virtualization platform for the remote control of a medical device |
EP12175498.0 | 2012-07-09 | ||
EP12175498 | 2012-07-09 | ||
PCT/IB2012/055917 WO2013061296A2 (en) | 2011-10-28 | 2012-10-26 | Mobile virtualization platform for the remote control of a medical device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103890768A true CN103890768A (zh) | 2014-06-25 |
CN103890768B CN103890768B (zh) | 2018-05-29 |
Family
ID=47326249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280052233.5A Expired - Fee Related CN103890768B (zh) | 2011-10-28 | 2012-10-26 | 医疗装置和其遥控装置之间的可靠通信 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9967739B2 (zh) |
EP (1) | EP2786288A2 (zh) |
JP (1) | JP6284882B2 (zh) |
CN (1) | CN103890768B (zh) |
AU (1) | AU2012327945A1 (zh) |
CA (1) | CA2853598A1 (zh) |
WO (1) | WO2013061296A2 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105327430A (zh) * | 2015-11-20 | 2016-02-17 | 无锡顶点医疗器械有限公司 | 一种无线胰岛素输注系统 |
CN107111669A (zh) * | 2014-12-08 | 2017-08-29 | 豪夫迈·罗氏有限公司 | 医疗装置与控制单元的配对 |
CN107635458A (zh) * | 2015-06-03 | 2018-01-26 | 豪夫迈·罗氏有限公司 | 利用皮下分析物传感器来测量分析物的浓度的测量系统 |
US10171458B2 (en) | 2012-08-31 | 2019-01-01 | Apple Inc. | Wireless pairing and communication between devices using biometric data |
CN109196564A (zh) * | 2016-05-06 | 2019-01-11 | 维森楚私人有限公司 | 用于电子系统的通信协议 |
CN110461391A (zh) * | 2017-03-23 | 2019-11-15 | 泰尔茂株式会社 | 便携医疗设备以及便携医疗设备的控制方法 |
US11012438B2 (en) | 2014-09-30 | 2021-05-18 | Apple Inc. | Biometric device pairing |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11901069B2 (en) | 2010-08-12 | 2024-02-13 | Fenwal, Inc. | Processing blood donation data for presentation on operator interface |
US11462321B2 (en) | 2010-08-12 | 2022-10-04 | Fenwal, Inc. | Mobile applications for blood centers |
AU2012325937B2 (en) | 2011-10-21 | 2018-03-01 | Icu Medical, Inc. | Medical device update system |
US8769625B2 (en) * | 2011-11-17 | 2014-07-01 | Fresenius Medical Care Holdings, Inc. | Remote control of dialysis machines |
US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
KR101337208B1 (ko) * | 2013-05-07 | 2013-12-05 | 주식회사 안랩 | 휴대 단말의 어플리케이션 데이터 관리 방법 및 그 장치 |
US20150066531A1 (en) | 2013-08-30 | 2015-03-05 | James D. Jacobson | System and method of monitoring and managing a remote infusion regimen |
FR3011110B1 (fr) * | 2013-09-24 | 2016-10-21 | Biocorp Rech Et Dev | Methode de suivi et d'aide a l'observance du traitement d'un patient |
US10311972B2 (en) | 2013-11-11 | 2019-06-04 | Icu Medical, Inc. | Medical device system performance index |
US9231923B1 (en) * | 2013-11-12 | 2016-01-05 | Amazon Technologies, Inc. | Secure data destruction in a distributed environment using key protection mechanisms |
US9235714B1 (en) | 2013-11-12 | 2016-01-12 | Amazon Technologies, Inc. | Preventing persistent storage of cryptographic information using signaling |
US10223538B1 (en) | 2013-11-12 | 2019-03-05 | Amazon Technologies, Inc. | Preventing persistent storage of cryptographic information |
EP3128891B1 (en) * | 2014-04-09 | 2021-09-29 | Koninklijke Philips N.V. | Devices and systems for authenticated intravascular device use and reuse |
EP3138032A4 (en) | 2014-04-30 | 2017-12-20 | ICU Medical, Inc. | Patient care system with conditional alarm forwarding |
US9724470B2 (en) | 2014-06-16 | 2017-08-08 | Icu Medical, Inc. | System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy |
US9539383B2 (en) | 2014-09-15 | 2017-01-10 | Hospira, Inc. | System and method that matches delayed infusion auto-programs with manually entered infusion programs and analyzes differences therein |
FR3026254B1 (fr) | 2014-09-19 | 2016-11-25 | Dominique Bolignano | Procede d'appairage |
GB2535471A (en) * | 2015-02-16 | 2016-08-24 | Camlab Ltd | A computer device for acting as a meter |
US10002257B2 (en) | 2015-08-04 | 2018-06-19 | Ge Aviation Systems Llc | Cryptographic key loader embedded in removable data cartridge |
US10552138B2 (en) * | 2016-06-12 | 2020-02-04 | Intel Corporation | Technologies for secure software update using bundles and merkle signatures |
CA3030786A1 (en) | 2016-07-14 | 2018-01-18 | Icu Medical, Inc. | Multi-communication path selection and security system for a medical device |
US10493287B2 (en) * | 2017-02-27 | 2019-12-03 | Medtronic, Inc. | Facilitating trusted pairing of an implantable device and an external device |
US20190122757A1 (en) * | 2017-10-22 | 2019-04-25 | Rui Lin | Method and device for software-defined therapy |
NZ771914A (en) | 2018-07-17 | 2023-04-28 | Icu Medical Inc | Updating infusion pump drug libraries and operational software in a networked environment |
US11483403B2 (en) | 2018-07-17 | 2022-10-25 | Icu Medical, Inc. | Maintaining clinical messaging during network instability |
NZ772135A (en) | 2018-07-17 | 2022-11-25 | Icu Medical Inc | Systems and methods for facilitating clinical messaging in a network environment |
WO2020129008A1 (fr) | 2018-12-21 | 2020-06-25 | Debiotech S.A. | Dispositif médical sécurisé |
WO2020205806A1 (en) * | 2019-04-01 | 2020-10-08 | Fujioka Robb Takeshi | Systems, methods, and apparatuses for securely authenticating device usage and access |
JP6928400B1 (ja) * | 2020-07-29 | 2021-09-01 | 株式会社テクロック・スマートソリューションズ | 測定ソリューションサービス提供システム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050204134A1 (en) * | 2004-03-15 | 2005-09-15 | Von Arx Jeffrey A. | System and method for securely authenticating a data exchange session with an implantable medical device |
US20080140157A1 (en) * | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Programming a medical device with a general purpose instrument |
US20080140160A1 (en) * | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Intelligent discovery of medical devices by a programming system |
US20090058635A1 (en) * | 2007-08-31 | 2009-03-05 | Lalonde John | Medical data transport over wireless life critical network |
US20100045425A1 (en) * | 2008-08-21 | 2010-02-25 | Chivallier M Laurent | data transmission of sensors |
US20110004275A1 (en) * | 2009-07-06 | 2011-01-06 | Boston Scientific Neuromodulation Corporation | External Device for an Implantable Medical System Having Accessible Contraindication Information |
CN202014242U (zh) * | 2010-11-24 | 2011-10-19 | 上海无先网络科技有限公司 | 一种智能无线收发模块 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH02195377A (ja) * | 1989-01-24 | 1990-08-01 | Matsushita Electric Ind Co Ltd | 鍵共有機能付きicカード |
FR2716286A1 (fr) | 1994-02-16 | 1995-08-18 | Debiotech Sa | Installation de surveillance à distance d'équipements commandables. |
US5602917A (en) | 1994-12-30 | 1997-02-11 | Lucent Technologies Inc. | Method for secure session key generation |
DE10137152A1 (de) | 2001-07-30 | 2003-02-27 | Scm Microsystems Gmbh | Verfahren zur Übertragung vertraulicher Daten |
SG105005A1 (en) | 2002-06-12 | 2004-07-30 | Contraves Ag | Device for firearms and firearm |
JP4242682B2 (ja) * | 2003-03-26 | 2009-03-25 | パナソニック株式会社 | メモリデバイス |
JP2006146337A (ja) | 2004-11-16 | 2006-06-08 | Arctec Inc | リーダライタ、およびデータ処理方法 |
JP4969106B2 (ja) * | 2006-01-05 | 2012-07-04 | ルネサスエレクトロニクス株式会社 | マイクロコントローラ |
WO2007081829A2 (en) * | 2006-01-09 | 2007-07-19 | Cardiac Pacemakers, Inc. | Remotely programming a patient medical device |
JP2009530880A (ja) | 2006-03-13 | 2009-08-27 | ノボ・ノルデイスク・エー/エス | 複合通信手段を使用した電子装置の安全なペアリング |
EP2060058A2 (en) * | 2006-08-18 | 2009-05-20 | Medtronic, Inc. | Secure telemetric link |
US7930543B2 (en) * | 2006-08-18 | 2011-04-19 | Medtronic, Inc. | Secure telemetric link |
US20080119705A1 (en) | 2006-11-17 | 2008-05-22 | Medtronic Minimed, Inc. | Systems and Methods for Diabetes Management Using Consumer Electronic Devices |
US8768251B2 (en) * | 2007-05-17 | 2014-07-01 | Abbott Medical Optics Inc. | Exclusive pairing technique for Bluetooth compliant medical devices |
EP2001188A1 (en) * | 2007-06-08 | 2008-12-10 | F.Hoffmann-La Roche Ag | Method for authenticating a medical device and a remote device |
JP2009124429A (ja) | 2007-11-14 | 2009-06-04 | Panasonic Corp | 通信システム、通信端末装置、及びデータ転送方法 |
GB2459097B (en) * | 2008-04-08 | 2012-03-28 | Advanced Risc Mach Ltd | A method and apparatus for processing and displaying secure and non-secure data |
US8868929B2 (en) * | 2008-04-08 | 2014-10-21 | Microelectronica Espanola S.A.U. | Method of mass storage memory management for large capacity universal integrated circuit cards |
GB0809045D0 (en) | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Quantum key distribution involving moveable key device |
JP4631935B2 (ja) * | 2008-06-06 | 2011-02-16 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム及び通信システム |
WO2010132617A2 (en) * | 2009-05-12 | 2010-11-18 | Chronicmobile, Inc. | Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment |
US8190651B2 (en) * | 2009-06-15 | 2012-05-29 | Nxstage Medical, Inc. | System and method for identifying and pairing devices |
DK2320621T3 (en) * | 2009-11-06 | 2016-12-19 | Hoffmann La Roche | A method of establishing a cryptographic communication between a remote device and a medical device and system for carrying out this method |
US20130141438A1 (en) | 2010-06-25 | 2013-06-06 | Debiotech S.A. | System for inputting and displaying data |
US8887272B2 (en) * | 2012-08-24 | 2014-11-11 | General Electric Company | Medical device customization system |
-
2012
- 2012-10-26 US US14/354,697 patent/US9967739B2/en not_active Expired - Fee Related
- 2012-10-26 JP JP2014537799A patent/JP6284882B2/ja not_active Expired - Fee Related
- 2012-10-26 EP EP12798851.7A patent/EP2786288A2/en not_active Withdrawn
- 2012-10-26 AU AU2012327945A patent/AU2012327945A1/en not_active Abandoned
- 2012-10-26 CN CN201280052233.5A patent/CN103890768B/zh not_active Expired - Fee Related
- 2012-10-26 WO PCT/IB2012/055917 patent/WO2013061296A2/en active Application Filing
- 2012-10-26 CA CA2853598A patent/CA2853598A1/en not_active Abandoned
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050204134A1 (en) * | 2004-03-15 | 2005-09-15 | Von Arx Jeffrey A. | System and method for securely authenticating a data exchange session with an implantable medical device |
US20080140157A1 (en) * | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Programming a medical device with a general purpose instrument |
US20080140160A1 (en) * | 2006-12-06 | 2008-06-12 | Medtronic, Inc. | Intelligent discovery of medical devices by a programming system |
US20090058635A1 (en) * | 2007-08-31 | 2009-03-05 | Lalonde John | Medical data transport over wireless life critical network |
US20100045425A1 (en) * | 2008-08-21 | 2010-02-25 | Chivallier M Laurent | data transmission of sensors |
US20110004275A1 (en) * | 2009-07-06 | 2011-01-06 | Boston Scientific Neuromodulation Corporation | External Device for an Implantable Medical System Having Accessible Contraindication Information |
CN202014242U (zh) * | 2010-11-24 | 2011-10-19 | 上海无先网络科技有限公司 | 一种智能无线收发模块 |
Non-Patent Citations (1)
Title |
---|
刘文军: "《基于挑战_应答的动态口令身份认证系统研究》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171458B2 (en) | 2012-08-31 | 2019-01-01 | Apple Inc. | Wireless pairing and communication between devices using biometric data |
US11012438B2 (en) | 2014-09-30 | 2021-05-18 | Apple Inc. | Biometric device pairing |
CN107111669A (zh) * | 2014-12-08 | 2017-08-29 | 豪夫迈·罗氏有限公司 | 医疗装置与控制单元的配对 |
CN107635458A (zh) * | 2015-06-03 | 2018-01-26 | 豪夫迈·罗氏有限公司 | 利用皮下分析物传感器来测量分析物的浓度的测量系统 |
CN105327430A (zh) * | 2015-11-20 | 2016-02-17 | 无锡顶点医疗器械有限公司 | 一种无线胰岛素输注系统 |
CN109196564A (zh) * | 2016-05-06 | 2019-01-11 | 维森楚私人有限公司 | 用于电子系统的通信协议 |
US11032714B2 (en) | 2016-05-06 | 2021-06-08 | Vicentra B.V. | Communications protocol for an electronic system |
CN110461391A (zh) * | 2017-03-23 | 2019-11-15 | 泰尔茂株式会社 | 便携医疗设备以及便携医疗设备的控制方法 |
CN110461391B (zh) * | 2017-03-23 | 2021-12-07 | 泰尔茂株式会社 | 便携医疗设备以及便携医疗设备的控制方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6284882B2 (ja) | 2018-02-28 |
CN103890768B (zh) | 2018-05-29 |
AU2012327945A1 (en) | 2014-05-01 |
CA2853598A1 (en) | 2013-05-02 |
US9967739B2 (en) | 2018-05-08 |
EP2786288A2 (en) | 2014-10-08 |
JP2015501593A (ja) | 2015-01-15 |
WO2013061296A3 (en) | 2013-07-04 |
WO2013061296A2 (en) | 2013-05-02 |
US20140298022A1 (en) | 2014-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103890768A (zh) | 医疗装置和其遥控装置之间的可靠通信 | |
JP6437433B2 (ja) | 医療デバイスとその遠隔デバイスの間の保護された通信 | |
US10068076B1 (en) | Behavioral authentication system using a behavior server for authentication of multiple users based on their behavior | |
US9887995B2 (en) | Locking applications and devices using secure out-of-band channels | |
US9301140B1 (en) | Behavioral authentication system using a secure element, a behaviometric server and cryptographic servers to authenticate users | |
CN204948095U (zh) | 认证装置和确保应用程序和用户之间的交互的系统 | |
RU2576586C2 (ru) | Способ аутентификации | |
EP3941014A1 (en) | Digital key-based identity authentication method, terminal apparatus, and medium | |
EP1816616A2 (en) | Mutual authentication protocol | |
EP1749261A2 (en) | Multi-factor security system with portable devices and security kernels | |
CN104471584B (zh) | 对受保护数据集进行基于网络的管理 | |
CN108322507B (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
CN108337235B (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
CN110326011B (zh) | 确定计算设备处的合法条件 | |
CN108322310B (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
EP2774401B1 (en) | Device for mobile communication | |
EP1228433A1 (en) | Security arrangement | |
CN108322440B (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
CN107026735A (zh) | 一种密码自动输入的方法及被管理设备 | |
EP3809660A1 (en) | Method for operating a medical system, medical system, and security module | |
CN110313005B (zh) | 用于设备应用的安全性架构 | |
Cheng et al. | Protecting interoperable clinical environment with authentication | |
CN209785060U (zh) | 物联网安全支付平台 | |
RU2260840C2 (ru) | Средство защиты | |
CN115331344A (zh) | 一种防止隐私泄露的门禁认证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180529 Termination date: 20201026 |