CN108432203A - 用于服务器与医疗设备之间的密钥分发的方法和系统 - Google Patents

用于服务器与医疗设备之间的密钥分发的方法和系统 Download PDF

Info

Publication number
CN108432203A
CN108432203A CN201680073064.1A CN201680073064A CN108432203A CN 108432203 A CN108432203 A CN 108432203A CN 201680073064 A CN201680073064 A CN 201680073064A CN 108432203 A CN108432203 A CN 108432203A
Authority
CN
China
Prior art keywords
server
medical devices
key
computing device
communication link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680073064.1A
Other languages
English (en)
Other versions
CN108432203B (zh
Inventor
奥利维尔·德尔万
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fresenius Vial SAS
Original Assignee
Fresenius Vial SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fresenius Vial SAS filed Critical Fresenius Vial SAS
Publication of CN108432203A publication Critical patent/CN108432203A/zh
Application granted granted Critical
Publication of CN108432203B publication Critical patent/CN108432203B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H20/00ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance
    • G16H20/10ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients
    • G16H20/13ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients delivered from dispensers
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H20/00ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance
    • G16H20/10ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients
    • G16H20/17ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients delivered via infusion or injection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/40ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management of medical equipment or devices, e.g. scheduling maintenance or upgrades
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Epidemiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Medical Informatics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Chemical & Material Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medicinal Chemistry (AREA)
  • Infusion, Injection, And Reservoir Apparatuses (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

一种用于服务器(1)与医疗设备(3A,3B)尤其是输液设备之间的密钥分发的方法,包括:在服务器(1)处提供要用于医疗设备(3A,3B)的安全数据通信的安全密钥(4A,4B);在服务器(1)与计算设备(2)之间建立第一通信链路(11);在计算设备(2)与医疗设备(3A,3B)之间建立第二通信链路(30A,30B);由计算设备(2)经由第一通信链路(11)从服务器(1)取回安全密钥(4A,4B);以及由计算设备(2)经由第二通信链路(30A,30B)将取回的安全密钥(4A,4B)发送至医疗设备(3A,3B)。以这种方式提供了一种用于服务器与医疗设备之间的安全密钥分发的方法,该方法甚至适用于具有低计算和存储能力的医疗设备。

Description

用于服务器与医疗设备之间的密钥分发的方法和系统
本发明涉及用于服务器与医疗设备之间的密钥分发的方法和系统。
医疗设备尤其可以是输液设备,例如位于例如患者床边的架子上的容积式或注射器输液泵。服务器和医疗设备可以例如位于医院环境内并且可以被配置成经由通信网络例如利用因特网协议(IP)彼此通信。
在医疗设备例如输液设备的设置期间或操作期间,在服务器与医疗设备之间交换消息。这些消息可以包括操作数据以及配置数据,应该保护这些数据免受外部访问并且免受未经认证的第三方的操纵。
为了保护数据,通常使用利用复杂加密(以及电力消耗)算法(如HTTPS)的加密技术。然而,由于有限的CPU和存储能力,医疗设备例如输液泵可能不具有必要的计算能力来使用这样的复杂加密算法,使得服务器与医疗设备例如输液泵之间的安全密钥分发需要不同的解决方案。
通常,对称密钥算法以及非对称密钥算法是已知的并且用于加密。
对称密钥算法对于明文的加密和密文的解密两者使用相同的加密密钥。密钥可以是完全相同的,或者两个密钥之间可以存在简单的变换。在实践中,密钥被称为两方或更多方之间的“共享秘密”。对称密钥加密的主要缺点是密钥分发漏洞。如果任何人可以访问秘密密钥(以及对数据加密的算法),则他就可以访问秘密数据。
非对称密钥算法(公钥密码术)是指基于不可逆数学特性的一组加密算法。与对称密钥算法不同,非对称密钥算法不需要用于双方之间的一个(或更多个)秘密密钥的初始交换的安全通道。非对称密钥算法是安全应用和协议(例如传输层安全性(TLS)或PGP)中的基本安全要素。
本发明的目的是提供一种用于服务器与医疗设备之间的安全密钥分发的方法和系统,该系统中的方法甚至适用于具有低计算和存储能力的医疗设备。
该目的通过根据权利要求1的特征的方法来实现。
因此,该方法包括以下步骤:
-在服务器处提供要用于医疗设备的安全数据通信的安全密钥,
-在服务器与计算设备之间建立第一通信链路,
-在计算设备与医疗设备之间建立第二通信链路,
-由计算设备经由第一通信链路从服务器取回安全密钥,以及
-由计算设备经由第二通信链路将取回的安全密钥发送至医疗设备。
本发明解决了医疗设备例如输液泵的安全密钥管理和传播。本发明使得能够分发和管理服务器与医疗设备之间的安全密钥,以用于服务器与医疗设备之间的安全通信。借助于安全密钥分发,医疗设备与服务器之间的加密通信和认证变得可能。
因此提出了解决方案来解决在安全密钥分发期间双方的机密性、完整性和认证。密钥分发是一种在允许使用加密算法的两(或更多)方之间分发加密密钥的方法。密钥分发的基本问题是如何交换密钥(或其他所需的信息)以使得其他人无法获得副本。本发明提出了一种利用公钥加密算法的优点(高级别安全性)分发密钥并且利用私钥加密算法的优点(简单性和低计算成本)加密或解密消息的解决方案。
一个或多个安全密钥可以被从服务器分发至一个或多个医疗设备例如输液泵。特别地,密钥对可以被从服务器分发至特定的医疗设备,以允许服务器与医疗设备之间的认证和加密通信。
在另一个实施方式中,例如,用于医疗设备的WiFi连接的安全密钥,如WPA2密码或Radius证书,可以被从服务器分发至医疗设备。
例如,计算设备可以是个人计算机(PC),例如膝上型计算机。然而,计算设备也可以是具有充足的计算能力的移动设备,例如移动电话、平板计算机或其他移动通信设备。
服务器经由其连接至计算设备的第一通信链路例如可以是利用因特网协议的链路。该链路可以例如使用HTTPS会话,并且因此通过在HTTPS中实施的加密算法来进行保护。因此计算设备经由优选地安全通信链路与服务器进行通信,使得安全密钥可以经由安全链路特别是在HTTPS会话的上下文中被从服务器发送到计算设备。
计算设备与医疗设备之间的第二通信链路可以特别地是有线链路,例如串行链路(例如RS232链路)。因此计算设备本地地经由专用通信线路连接至医疗设备,使得不需要特定的且计算上昂贵的安全算法来保护计算设备和医疗设备之间的通信。
安全密钥在服务器处被提供并且经由第一通信链路被从服务器发送至计算设备。计算设备可以具有足够的计算能力,使得可以使用例如在HTTPS会话的上下文中的复杂的高级加密算法来在将安全密钥从服务器发送至计算设备时保护服务器与计算设备之间的通信。
然后,计算设备经由第二通信链路将从服务器接收到的安全密钥发送至医疗设备,其中,对此,如果在计算设备与医疗设备之间建立了本地链路,例如有线链路,特别是串行链路,则不需要加密。因此,医疗设备不需要强大的计算能力,因为复杂的加密算法对于保护计算设备与医疗设备之间的通信是没有必要的。
在一个实施方式中,计算设备使用被表示为安全应用程序的专用软件来将安全密钥从服务器分发至医疗设备。安全应用程序的专用软件尤其建立与服务器的通信并且确保从服务器接收的安全密钥不是被计算设备存储,而是仅被发送至医疗设备并且随后在计算设备处被删除。
医疗设备例如输液泵被构造成使得当访问医疗设备时不能读取安全密钥。
在一个实施方式中,包括服务器密钥和设备密钥的密钥对由服务器提供,从计算设备取回(retrieve)并由计算设备发送至医疗设备。在本文中,服务器可以生成与多个医疗设备例如不同的输液设备相关联的多个不同的专用密钥对。因此,每个医疗设备与具有特定服务器密钥和特定设备密钥的专用密钥对相关联,不同的医疗设备使用的服务器密钥和设备密钥彼此不同。
例如,医疗设备A可以具有服务器密钥A和设备密钥A,然而医疗设备B可以具有服务器密钥B和设备密钥B。因此,不同医疗设备的密钥对彼此不同。
对于每个医疗设备,密钥对可以由计算设备从服务器取回并且可以被发送至特定的医疗设备。因此不同的密钥对经由计算设备被分发至不同的医疗设备。
一旦密钥对被分发至不同的医疗设备,就可以例如在医疗设备如输液泵的操作期间在医疗设备与服务器之间进行安全通信以向服务器提供操作数据。医疗设备和服务器之间的通信链路可以例如利用标准通信协议,如HTTP或任何其他种类的协议(IP和非IP协议),其中,可以使用与特定医疗设备相关联的密钥对在服务器处对医疗设备进行认证以及对在医疗设备和服务器之间发送的消息进行加密。
例如,对于较不重要的数据,医疗设备可以在HTTP会话内向服务器发送明文消息,该消息具有根据与医疗设备相关联的密钥对的设备密钥和服务器密钥中的至少一个所生成的签名。签名可以由服务器读取,并且服务器可以借助于签名来认证医疗设备,使得确保该消息从信任的医疗设备接收并且没有被第三方操纵。特别地,如果该方法将在从医疗设备到服务器的途中被操纵,则签名将被改变,这可以被服务器检测到。如果服务器接收并检测到正确的签名,则服务器知道该消息未被操纵并且由经认证的医疗设备发送。
为了避免来自不可信任的第三方的消息重放,每一条消息可以具有非静态部分(例如日期和时间)以确保为每一条消息获得不同的签名计算(因为具有相同密钥的相同消息否则会提供相同的签名)。为此,可以将时间戳或计数器添加在消息体中,并且服务器和/或医疗设备可以被配置成拒绝具有不良时间戳(即,太旧的时间戳)或者具有不良消息计数器的消息。由于这些原因,系统的每个项目(医疗设备、服务器和计算设备)之间的时间同步可以被初始执行。
在另一个示例中,医疗设备和服务器之间的通信可以被加密,特别是对于要保护的数据。为了加密,可以使用密钥对的设备密钥和服务器密钥中的至少一个,其中,医疗设备根据密钥对对消息进行加密,并且服务器使用密钥对将从医疗设备接收到的消息进行解密,反之亦然。再一次,为了避免来自不可信任的第三方的消息重放,每一条消息可以具有非静态部分(例如日期和时间)以确保为每一条消息获得不同的加密(因为具有相同密钥的相同消息否则会提供相同的加密)。
在一段时间的使用之后,例如在服务器和医疗设备之间发送预定量的消息之后,可能需要更改与医疗设备相关联的安全密钥。医疗设备可以通过向服务器发送加密消息来请求更改安全密钥,此时,服务器就以加密消息将新安全密钥例如新密钥对发送至医疗设备。利用旧安全密钥例如旧密钥对对其中将新安全密钥发送至医疗设备的消息进行加密。当在医疗设备处接收到新安全密钥例如新密钥对时,为了医疗设备与服务器之间的进一步通信,则使用新的安全密钥。
可以将特定更改的密钥消息发送给服务器,以向其通知密钥更改。在这种情况下,使用旧密钥对消息进行加密。
该目的还通过一种用于服务器与医疗设备尤其是输液设备之间的密钥分发的系统来实现,该系统包括:
-服务器,其配置成提供要用于医疗设备的安全数据通信的安全密钥,
-计算设备,其中,服务器和计算设备被配置成在服务器与计算设备之间建立第一通信链路,
-医疗设备,其中,计算设备和医疗设备被配置成在计算设备与医疗设备之间建立第二通信链路。
在本文中,计算设备被配置成经由第一通信链路从服务器取回安全密钥并且经由第二通信链路将取回的安全密钥发送到医疗设备。
上述针对该方法的优点和有利实施方式同样也适用于该系统,使得它将参考上文。
随后将关于附图中所示的实施方式更详细地描述本发明的基本思想。在本文中,
图1示出了包括服务器、计算设备以及多个医疗设备的系统;
图2示出了使用包括用于认证的签名的消息的医疗设备与服务器之间的通信;
图3示出了使用加密消息的医疗设备与服务器之间的通信。
图1示出了包括服务器1、诸如便携式膝上型计算机的计算设备2以及输液泵形式的多个医疗设备3A、3B的系统。该系统可以位于医院环境中,其中,服务器1可以例如放置在医院的中央位置处,并且输液设备3A、3B可以放置在医院的不同房间的不同病房中。
计算设备2可以是便携式设备,使得其例如可以本地连接至特定的医疗设备3A、3B。
为了允许服务器1与医疗设备3A、3B之间的安全通信,专用密钥对4A、4B形式的安全密钥被从服务器1经由计算设备2分发至不同的医疗设备3A、3B。本文中的密钥对4A、4B在服务器1处生成并且被存储在服务器1的存储器10中的安全密钥数据库中。
如图1所示,服务器1针对每个医疗设备3A、3B生成专用密钥对4A、4B。每个密钥对4A、4B包括服务器密钥和设备密钥,服务器密钥和设备密钥在不同的医疗设备3A、3B之间是不同的。
为了允许医疗设备3A、3B与服务器1之间的安全通信,在服务器1处生成的密钥对4A、4B必须被分发至不同的医疗设备3A、3B。这通过计算设备2来进行。
为了分发密钥对4A、4B,计算设备2建立与服务器1的通信链路11并且从服务器1取回密钥对4A、4B。计算设备2经由通信链路30A、30B连接至不同的医疗设备3A、3B(同时或一个接一个),其中通信链路30A、30B可以例如是有线链路,如串行链路(例如RS 232链路)。经由本地通信链路30A、30B,将密钥对4A、4B发送至医疗设备3A、3B,使得第一医疗设备3A接收第一密钥对4A,并且第二医疗设备3B接收第二密钥对4B等。
密钥对4A、4B从服务器1到医疗设备3A、3B的分发可以经由在计算设备2上运行的安全应用程序来进行。安全应用程序可以例如建立至服务器1的通信链路11,并且可以将接收到的密钥对4A、4B发送至医疗设备3A、3B,而无需在计算设备2处本地存储密钥对4A、4B。以这种方式确保如果例如计算设备2丢失或受到外界的攻击,密钥对4A、4B也不会变成公知的。
服务器1可以被设置成使得只有运行在计算设备2上的特定安全应用程序可以接收密钥对4A、4B。因此密钥对4A、4B不能被来自外部的另外设备或另外应用程序访问。
密钥对4A、4B被经由利用加密算法例如非对称加密算法——如诸如传输层安全性(TLS)或PGP的公钥方法——的安全链路从服务器1发送至计算设备2。因此,服务器1与计算设备2之间的通信被保护。
因为计算设备2经由例如有线链路30A、30B本地连接至医疗设备3A、3B,所以密钥对4A、4B可以通过计算设备2以明文消息而不使用加密地被发送至医疗设备3A、3B。因此医疗设备3A、3B不需要大量的计算能力,并且不需要运行复杂的加密算法。
在分发密钥对4A、4B时,例如为了配置医疗设备3A、3B或者在医疗设备3A、3B的操作期间,医疗设备3A、3B与服务器1之间的通信可以以安全的方式进行。
具体地,如图2所示,医疗设备3A可以以包括根据与医疗设备3A相关联的密钥对4A生成的签名的明文消息(例如在HTTP会话内)来发送数据。服务器1可以读取签名,并且根据该签名以及服务器1已知的密钥对4A可以验证出消息已经由医疗设备3A(而不是由另外的设备)发送并且未被另一方操纵。因此借助于签名,医疗设备3A被认证。
签名可以例如由医疗设备3A使用其设备密钥来生成。当接收到包括签名的消息时,服务器1就根据服务器1已知的与医疗设备3A相关联的设备密钥、通过计算签名并且将计算出的签名与接收到的签名进行比较来验证接收到的签名。反之亦然,服务器1可以向医疗设备3A发送包括根据服务器密钥生成的签名的明文消息,并且医疗设备3A可以根据医疗设备3A已知的服务器密钥、通过计算签名并将其与接收到的签名进行比较来验证签名。
该消息可以包含时间戳或计数器,并且因此可以具有非静态部分。以这种方式可以确保生成的每个消息将具有根据密钥对4A计算出的不同签名。特别地,在不同时间发送的消息将具有不同的签名。以这种方式可以确保从不可信任的第三方重放的消息将具有不匹配的签名,这可以被服务器1或医疗设备3A检测到。
此外,如图3所示,医疗设备3A可以发送由与医疗设备3A相关联的密钥对4A加密的加密消息(例如在HTTPS会话内)。加密消息由服务器1接收并且可以由服务器1利用与发送的医疗设备3A相关联的密钥对4A来解密。
再次,由医疗设备3A完成的加密可以利用与医疗设备3A相关联的设备密钥。当接收到加密消息时,服务器1就可以利用服务器1已知的设备密钥来对消息进行解密。反之亦然,服务器1可以使用服务器密钥来发送加密的消息,并且医疗设备3A可以使用医疗设备3A已知的服务器密钥来对接收的消息进行解密。
再次,消息中可以包含时间戳或计数器,使得消息包含非静态部分。因此,避免了来自不可信任的第三方的消息的重放,这是因为在对具有另一个时间戳或另一个计数器的消息的加密中导致了不同的加密,这可以被服务器1或医疗设备3A检测到。
利用所提出的方案,密钥对4A、4B从服务器1到医疗设备3A、3B的分发是使用通常在计算上昂贵的诸如非对称密钥算法(公钥密码术)的高度安全的加密算法以安全的方式进行的。然而,由于密钥分发是通过运行安全应用程序的计算设备2进行的,因此这不会造成问题。然后,在密钥分发之后,可以使用所交换的安全密钥4A、4B来进行医疗设备3A、3B与服务器1之间的进一步通信以在医疗设备3A、3B与服务器1之间交换数据。对于这种通信,可以使用利用共享秘密密钥的对称密钥算法,这在计算上不太昂贵并且因此不会对可能具有降低的计算能力的医疗设备3A、3B造成问题。
因此,所提出的方案可以使用高度安全的非对称密钥算法(公钥算法)来分发安全密钥。对于实际的数据交换和通信,则可以使用计算上不太昂贵的对称密钥算法(私钥算法)。因此,密钥交换可以使用与后面的数据通信不同的加密算法。
因此,医疗设备3A、3B与服务器1之间交换的消息可以使用在医疗设备3A、3B与服务器1之间共享的秘密密钥被签名或加密。本文中的每个医疗设备3A、3B存储其秘密密钥和服务器密钥,并且服务器1存储设备密钥及其服务器密钥。
本文中的每个医疗设备3A、3B与具有特定设备密钥和特定服务器密钥的专用密钥对4A、4B相关联。因为每个医疗设备3A、3B与专用密钥对4A、4B相关联,所以可以避免在设备受到攻击的情况下危及服务器密钥。
密钥对4A、4B可以例如在设备配置期间(经由在计算设备2上运行的安全应用程序)被分发。
由于计算设备2经由尤其可以是有线链路例如串行(RS232)链路的本地链路30A、30B将与特定医疗设备3A、3B相关联的密钥对4A、4B传送至特定医疗设备3A、3B,而不需要使用特定的加密来将密钥对4A,4B从计算设备2传送到特定医疗设备3A、3B。因此,不必为了分发密钥对4A、4B而在医疗设备3A、3B上运行在计算上昂贵的加密算法。
通常,由服务器1生成的密钥对4A、4B应符合签名和/或加密算法,例如SHA-1、AES-128或AES-256算法。
与每个医疗设备3A、3B相关联的秘密密钥对4A、4B应该以加密形式存储在服务器1的存储器10的安全服务器数据库中。为此,服务器1应该使用内部秘密密钥来对存储器10的数据库中的所有安全数据特别是密钥对4A、4B进行加密(“加盐”)。
服务器1应该支持与由医疗设备3A、3B使用的签名和/或加密算法相符合的签名和/或加密算法,例如SHA-1、AES-128或AES-256算法。
大部分的用例都不需要加密。为了节省医疗设备3A、3B(其可以例如使用电池来运行)的计算能力和能量,建议仅可选地在医疗设备3A、3B一侧使用加密。因此,可以在医疗设备3A、3B一侧选择是否使用根据与医疗设备3A、3B相关联的密钥对4A、4B创建的签名来发送消息,或者是否使用利用与医疗设备3A、3B相关联的密钥对4A、4B的私钥算法来加密消息。
通常,与医疗设备3A、3B相关联的密钥对4A、4B应当被频繁地由新的密钥对4A、4B交换和代替。本文中的密钥替换的频率可以取决于特定医疗设备3A、3B的期望安全级别。例如,可以由医疗设备3A、3B通过向服务器1发送请求消息来触发密钥对4A、4B的改变。该消息可以通过由医疗设备3A、3B使用旧密钥对4A、4B来加密,并且可以由服务器1使用服务器1已知的旧密钥对4A、4B来解密。然后服务器1可以通过向医疗设备4A、4B发送包括新密钥对4A、4B的消息来进行响应,其中,该消息可以再次被使用旧密钥对4A、4B来加密并且可以由医疗设备3A、3B使用旧密钥对4A、4B来解密。然后,对于未来的消息,使用新密钥对4A、4B。
应该将服务器1设置成完全安全并且防止受到网络攻击和本地攻击(类似于例如公钥基础结构中的RADIUS(远程认证拨号用户服务的缩写)服务器)。所有密钥对4A、4B应该被存储在存储器10的数据库中的秘密密钥容器中,其可以以密码形式来存储设备唯一标识符、每个密钥对4A、4B的服务器密钥和设备密钥。
在一个实施方式中,服务器1可以使用例如在AES-256算法中使用的公钥对/私钥对来加密其他数据。公钥对/私钥对也应该被存储在存储器10的数据库的秘密密钥容器中。
在计算设备2的安全应用程序中,例如可以使用基于如X.509证书的可信任认证系统来管理认证。本文中的证书可以被链接至用户以在安全应用程序上认证用户。
在一个实施方式中,计算设备2的安全应用程序可以被设置成对服务器1进行认证(以避免身份盗用),并且应该通过要求用户提供(例如由所谓的轻量级目录访问协议(LDAP)管理的)登录名和密码来进行保护。安全应用程序应使用涉及证书(或任何其他认证技术)的认证来向服务器1证明登录到安全应用程序上的用户的用户身份。
当经由本地链路例如RS232串行链路连接至医疗设备3A、3B时,计算设备2的安全应用程序可以被设置成从医疗设备3A、3B取回唯一的ID,并且可以被设置成将唯一的ID发送到服务器1以从服务器1请求秘密密钥对4A、4B。本文中的安全应用程序可以将信息添加至请求。
每一次安全应用程序从服务器1请求密钥对4A、4B时,都应该生成新密钥对4A、4B。
例如医疗设备3A、3B可以是输液设备,例如注射器输液泵或容积式(蠕动式)输液泵。医疗设备3A、3B应具有用于其自身认证的唯一ID。医疗设备3A、3B应该能够从计算设备2的安全应用程序接收秘密密钥,所述计算设备2例如可以是膝上型计算机、诸如智能电话的移动设备或者具有足够计算能力的另一计算设备。医疗设备3A、3B应将经由计算设备2的安全应用程序接收到的所有秘密密钥信息存储在被保护以免受外部读取操作的存储器部分中。特别地,医疗设备3A、3B的维护或操作应用应该不能访问存储在医疗设备3A、3B上的秘密密钥信息。
如果密钥对4A、4B到医疗设备3A、3B的分发失败,或者如果密钥对4A、4B出现问题,则新的密钥对4A、4B必须被分发至医疗设备3A、3B。应该避免密钥对4A、4B的恢复。
本发明不限于上述实施方式,而是可以以完全不同的方式实现。
例如,与上述的用于医疗设备与服务器之间的通信的密钥对的分发类似的方法也可以应用于配置医疗设备例如诸如输液泵的输液设备,以提供WiFi连接,例如用于向医疗设备分发WPA2密码或RADIUS证书。
附图标记列表
1 安全服务器
10 存储器
11 链路
2 计算设备(PC)
3A,3B 医疗设备(输液泵)
30A,30B 链路
31A 链路
4A,4B 密钥对

Claims (13)

1.一种用于服务器(1)与医疗设备(3A,3B)特别是输液设备之间的密钥分发的方法,包括:
-在所述服务器(1)处提供要用于所述医疗设备(3A,3B)的安全数据通信的安全密钥(4A,4B),
-在所述服务器(1)与计算设备(2)之间建立第一通信链路(11),
-在所述计算设备(2)与所述医疗设备(3A,3B)之间建立第二通信链路(30A,30B),
-由所述计算设备(2)经由所述第一通信链路(11)从所述服务器(1)取回所述安全密钥(4A,4B),以及
-由所述计算设备(2)经由所述第二通信链路(30A,30B)将取回的安全密钥(4A,4B)发送至所述医疗设备(3A,3B)。
2.根据权利要求1所述的方法,其中,所述第一通信链路(11)是因特网协议链路。
3.根据权利要求1或2所述的方法,其中,所述第一通信链路(11)使用HTTPS会话。
4.根据权利要求1至3中的一项所述的方法,其中,所述第二通信链路(30A,30B)是有线链路。
5.根据前述权利要求中的一项所述的方法,其中,所述第二通信链路(30A,30B)是串行连接。
6.根据前述权利要求中的一项所述的方法,其中,所述服务器(1)提供包括服务器密钥和设备密钥的密钥对(4A)。
7.根据权利要求6所述的方法,其中,所述服务器(1)生成与多个医疗设备(3A,3B)相关联的多个不同的专用密钥对(4A,4B),每个密钥对(4A,4B)包括专用服务器密钥和专用设备密钥。
8.根据权利要求7所述的方法,其中,对于每个医疗设备(3A,3B),相关联的专用密钥对(4A,4B)被所述计算设备(2)从所述服务器(1)取回并且被发送至所述医疗设备(3A,3B)。
9.根据权利要求6至8中的一项所述的方法,其中,当分发所述密钥对(4A,4B)时,在所述医疗设备(3A,3B)与所述服务器(1)之间建立第三通信链路(31A)以在所述医疗设备(3A,3B)与所述服务器(1)之间发送消息。
10.根据权利要求9所述的方法,其中,消息包括使用与所述医疗设备(3A,3B)和所述服务器(1)相关联的密钥对(4A,4B)的设备密钥和服务器密钥中的至少一个生成的签名。
11.根据权利要求9所述的方法,其中,使用所述密钥对(4A,4B)的设备密钥和服务器密钥中的至少一个对消息进行加密。
12.根据前述权利要求中的一项所述的方法,其中,在初始分发所述安全密钥(4A,4B)之后,所述医疗设备(1)通过向所述服务器(1)发送消息来请求新安全密钥(4A,4B),并且所述服务器(1)以加密的消息将所述新安全密钥(4A,4B)发送至所述医疗设备(3A,3B)。
13.一种用于服务器(1)与医疗设备(3A,3B)尤其是输液设备之间的密钥分发的系统,所述系统包括:
-服务器(1),其配置成提供要用于所述医疗设备(3A,3B)的安全数据通信的安全密钥(4A,4B),
-计算设备(2),其中,所述服务器(1)和所述计算设备(2)被配置成在所述服务器(1)与所述计算设备(2)之间建立第一通信链路(11),
-医疗设备(3A,3B),其中,所述计算设备(2)和所述医疗设备(3A,3B)被配置成在所述计算设备(2)与所述医疗设备(3A,3B)之间建立第二通信链路(30A,30B),
其中,所述计算设备(2)被配置成经由所述第一通信链路(11)从所述服务器(1)取回所述安全密钥(4A,4B)并且经由所述第二通信链路(30A,30B)将取回的安全密钥(4A,4B)发送至所述医疗设备(3A,3B)。
CN201680073064.1A 2015-12-17 2016-11-09 用于服务器与医疗设备之间的密钥分发的方法和系统 Active CN108432203B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15307034 2015-12-17
EPEP15307034.7 2015-12-17
PCT/EP2016/077133 WO2017102183A1 (en) 2015-12-17 2016-11-09 Method and system for key distribution between a server and a medical device

Publications (2)

Publication Number Publication Date
CN108432203A true CN108432203A (zh) 2018-08-21
CN108432203B CN108432203B (zh) 2021-07-23

Family

ID=54979617

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680073064.1A Active CN108432203B (zh) 2015-12-17 2016-11-09 用于服务器与医疗设备之间的密钥分发的方法和系统

Country Status (6)

Country Link
US (1) US10892893B2 (zh)
JP (1) JP6976949B2 (zh)
CN (1) CN108432203B (zh)
IL (1) IL259306B (zh)
RU (1) RU2734294C2 (zh)
WO (1) WO2017102183A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535656A (zh) * 2019-07-31 2019-12-03 阿里巴巴集团控股有限公司 医疗数据处理方法、装置、设备及服务器
CN111181898A (zh) * 2018-11-13 2020-05-19 中国石油化工股份有限公司 基于后台服务器、app客户端的数据安全防护方法
CN112804194A (zh) * 2020-12-25 2021-05-14 朗坤智慧科技股份有限公司 基于5g的电子输注泵远程监测方法、系统和网络侧服务端
CN113615143A (zh) * 2019-03-28 2021-11-05 益首药物治疗股份公司 数据管理装置的医疗设备之间的安全通信连接

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8271106B2 (en) 2009-04-17 2012-09-18 Hospira, Inc. System and method for configuring a rule set for medical event management and responses
CA2852271A1 (en) 2011-10-21 2013-04-25 Hospira, Inc. Medical device update system
AU2014225658B2 (en) 2013-03-06 2018-05-31 Icu Medical, Inc. Medical device communication method
WO2015031774A1 (en) 2013-08-30 2015-03-05 Hospira, Inc. System and method of monitoring and managing a remote infusion regimen
US10311972B2 (en) 2013-11-11 2019-06-04 Icu Medical, Inc. Medical device system performance index
US9764082B2 (en) 2014-04-30 2017-09-19 Icu Medical, Inc. Patient care system with conditional alarm forwarding
US9724470B2 (en) 2014-06-16 2017-08-08 Icu Medical, Inc. System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy
US9539383B2 (en) 2014-09-15 2017-01-10 Hospira, Inc. System and method that matches delayed infusion auto-programs with manually entered infusion programs and analyzes differences therein
CA3030786A1 (en) 2016-07-14 2018-01-18 Icu Medical, Inc. Multi-communication path selection and security system for a medical device
US11416852B1 (en) * 2017-12-15 2022-08-16 Worldpay, Llc Systems and methods for generating and transmitting electronic transaction account information messages
CA3106519A1 (en) 2018-07-17 2020-01-23 Icu Medical, Inc. Systems and methods for facilitating clinical messaging in a network environment
US11483403B2 (en) 2018-07-17 2022-10-25 Icu Medical, Inc. Maintaining clinical messaging during network instability
WO2020018388A1 (en) 2018-07-17 2020-01-23 Icu Medical, Inc. Updating infusion pump drug libraries and operational software in a networked environment
CA3155912A1 (en) * 2019-09-25 2021-04-01 Janssen Pharmaceuticals, Inc. INTERCONNECTION OF DRUG DELIVERY SYSTEMS
WO2023144624A1 (en) * 2022-01-25 2023-08-03 Benjamin Firooz Ghassabian Authentication circuit

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002905A2 (en) * 2009-06-30 2011-01-06 Wake Forest University Method and apparatus for personally controlled sharing of medical image and other health data
CN101977543A (zh) * 2008-03-19 2011-02-16 艾利森电话股份有限公司 用于植入的医疗数据获取设备的nfc通信
US20110179405A1 (en) * 2006-10-24 2011-07-21 Dicks Kent E Systems for remote provisioning of electronic devices
CN102831294A (zh) * 2007-08-10 2012-12-19 施曼信医疗Asd公司 一种在服务器处确定医疗设备的操作能力的方法和系统
CN104520855A (zh) * 2012-07-16 2015-04-15 北京怡和嘉业医疗科技有限公司 医疗设备远程信息传输方法、医疗设备
CN104660417A (zh) * 2015-03-17 2015-05-27 联想(北京)有限公司 验证方法、验证装置和电子设备
US20150180839A1 (en) * 2010-10-08 2015-06-25 Brian Lee Moffat Private data sharing system

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4292736B2 (ja) * 2001-11-15 2009-07-08 ソニー株式会社 伝送システム、伝送方法
US7275156B2 (en) * 2002-08-30 2007-09-25 Xerox Corporation Method and apparatus for establishing and using a secure credential infrastructure
AU2003902308A0 (en) * 2003-05-14 2003-05-29 Diagnose It Pty Ltd A method and system for the monitoring of medical conditions
US7155290B2 (en) * 2003-06-23 2006-12-26 Cardiac Pacemakers, Inc. Secure long-range telemetry for implantable medical device
US7831828B2 (en) * 2004-03-15 2010-11-09 Cardiac Pacemakers, Inc. System and method for securely authenticating a data exchange session with an implantable medical device
JP2006041726A (ja) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd 共有鍵交換システム、共有鍵交換方法及び方法プログラム
US20060218397A1 (en) * 2005-03-22 2006-09-28 Research In Motion Limited Apparatus and methods for sharing cryptography information
US8424062B2 (en) * 2006-06-22 2013-04-16 Koninklijke Philips Electronics N.V. Advanced access control for medical ad hoc body sensor networks
KR101594553B1 (ko) * 2008-10-20 2016-02-18 코닌클리케 필립스 엔.브이. 암호화 키를 생성하는 방법, 이를 위한 네트워크 및 컴퓨터 프로그램
JP5361993B2 (ja) * 2009-03-30 2013-12-04 パナソニック株式会社 ヘルスケアシステム
US9656092B2 (en) * 2009-05-12 2017-05-23 Chronicmobile, Inc. Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment
JP5587239B2 (ja) * 2011-04-19 2014-09-10 株式会社日立製作所 車車/路車間通信システム
CN103380589B (zh) * 2011-06-13 2016-04-27 松下电器产业株式会社 终端装置、服务器装置、内容记录控制系统及记录方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110179405A1 (en) * 2006-10-24 2011-07-21 Dicks Kent E Systems for remote provisioning of electronic devices
CN102831294A (zh) * 2007-08-10 2012-12-19 施曼信医疗Asd公司 一种在服务器处确定医疗设备的操作能力的方法和系统
CN101977543A (zh) * 2008-03-19 2011-02-16 艾利森电话股份有限公司 用于植入的医疗数据获取设备的nfc通信
WO2011002905A2 (en) * 2009-06-30 2011-01-06 Wake Forest University Method and apparatus for personally controlled sharing of medical image and other health data
US20150180839A1 (en) * 2010-10-08 2015-06-25 Brian Lee Moffat Private data sharing system
CN104520855A (zh) * 2012-07-16 2015-04-15 北京怡和嘉业医疗科技有限公司 医疗设备远程信息传输方法、医疗设备
CN104660417A (zh) * 2015-03-17 2015-05-27 联想(北京)有限公司 验证方法、验证装置和电子设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111181898A (zh) * 2018-11-13 2020-05-19 中国石油化工股份有限公司 基于后台服务器、app客户端的数据安全防护方法
CN113615143A (zh) * 2019-03-28 2021-11-05 益首药物治疗股份公司 数据管理装置的医疗设备之间的安全通信连接
CN113615143B (zh) * 2019-03-28 2024-04-02 益首药物治疗股份公司 数据管理装置的医疗设备之间的安全通信连接
CN110535656A (zh) * 2019-07-31 2019-12-03 阿里巴巴集团控股有限公司 医疗数据处理方法、装置、设备及服务器
CN112804194A (zh) * 2020-12-25 2021-05-14 朗坤智慧科技股份有限公司 基于5g的电子输注泵远程监测方法、系统和网络侧服务端

Also Published As

Publication number Publication date
RU2734294C2 (ru) 2020-10-14
JP2019509650A (ja) 2019-04-04
JP6976949B2 (ja) 2021-12-08
IL259306A (en) 2018-07-31
CN108432203B (zh) 2021-07-23
WO2017102183A1 (en) 2017-06-22
US20180359085A1 (en) 2018-12-13
RU2018123489A (ru) 2020-01-17
IL259306B (en) 2021-02-28
BR112018010343A2 (pt) 2018-12-04
US10892893B2 (en) 2021-01-12
RU2018123489A3 (zh) 2020-04-08

Similar Documents

Publication Publication Date Title
CN108432203A (zh) 用于服务器与医疗设备之间的密钥分发的方法和系统
CN111953705B (zh) 物联网身份认证方法、装置及电力物联网身份认证系统
US11165757B2 (en) Method and apparatus for securing communications using multiple encryption keys
US20190074968A1 (en) Method, apparatus and system for data encryption and decryption
CN100558035C (zh) 一种双向认证方法及系统
Lee et al. Secure key management scheme based on ECC algorithm for patient's medical information in healthcare system
US20160378949A1 (en) System, method, and apparatus for electronic prescription
CN110046507B (zh) 形成可信计算集群的方法及装置
EP2807773A1 (en) System and method for securing private keys issued from distributed private key generator (d-pkg) nodes
Tanveer et al. REAS-TMIS: Resource-efficient authentication scheme for telecare medical information system
CN110380845B (zh) 基于群组对称密钥池的量子保密通信联盟链交易方法、系统、设备
CN113411187B (zh) 身份认证方法和系统、存储介质及处理器
CN113225302B (zh) 一种基于代理重加密的数据共享系统及方法
CN113556230B (zh) 数据安全传输方法、证书相关方法、服务端、系统及介质
CN110505055A (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
Itoo et al. CKMIB: Construction of key agreement protocol for cloud medical infrastructure using blockchain
CN101192927B (zh) 基于身份保密的授权与多重认证方法
EP3624394B1 (en) Establishing a protected communication channel through a ttp
CN104253692B (zh) 基于se的密钥管理方法和装置
Xu et al. A decentralized pseudonym scheme for cloud-based eHealth systems
CN110176997B (zh) 一种量子通信服务站aka密钥协商方法和系统
CN114448636A (zh) 基于数字证书的抗量子计算数字货币系统及匿名通信方法
EP3391610B1 (en) Method and system for key distribution between a server and a medical device
US10608826B2 (en) Method for authenticating attributes in a non-traceable manner and without connection to a server
Mercy et al. A Secure IoT Based Wireless Sensor Network for an Efficient Modified User Authentication and Key Agreement Scheme

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant