CN113631221A - 植入装置与设备之间的安全无线通信 - Google Patents
植入装置与设备之间的安全无线通信 Download PDFInfo
- Publication number
- CN113631221A CN113631221A CN202080023880.8A CN202080023880A CN113631221A CN 113631221 A CN113631221 A CN 113631221A CN 202080023880 A CN202080023880 A CN 202080023880A CN 113631221 A CN113631221 A CN 113631221A
- Authority
- CN
- China
- Prior art keywords
- wireless
- data
- implant device
- transmitter
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims description 79
- 230000005540 biological transmission Effects 0.000 claims abstract description 109
- 239000007943 implant Substances 0.000 claims abstract description 63
- 230000004044 response Effects 0.000 claims abstract description 43
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims description 13
- 231100000279 safety data Toxicity 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 51
- 238000010586 diagram Methods 0.000 description 12
- 238000005067 remediation Methods 0.000 description 11
- 238000003491 array Methods 0.000 description 9
- 238000012795 verification Methods 0.000 description 9
- 241001465754 Metazoa Species 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000001356 surgical procedure Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000246 remedial effect Effects 0.000 description 2
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000747 cardiac effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000005672 electromagnetic field Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 210000004247 hand Anatomy 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Images
Classifications
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61B—DIAGNOSIS; SURGERY; IDENTIFICATION
- A61B5/00—Measuring for diagnostic purposes; Identification of persons
- A61B5/0002—Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
- A61B5/0031—Implanted circuitry
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61B—DIAGNOSIS; SURGERY; IDENTIFICATION
- A61B5/00—Measuring for diagnostic purposes; Identification of persons
- A61B5/68—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient
- A61B5/6846—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient specially adapted to be brought in contact with an internal body part, i.e. invasive
- A61B5/6847—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient specially adapted to be brought in contact with an internal body part, i.e. invasive mounted on an invasive device
- A61B5/686—Permanently implanted devices, e.g. pacemakers, other stimulators, biochips
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61B—DIAGNOSIS; SURGERY; IDENTIFICATION
- A61B5/00—Measuring for diagnostic purposes; Identification of persons
- A61B5/68—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient
- A61B5/6846—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient specially adapted to be brought in contact with an internal body part, i.e. invasive
- A61B5/6867—Arrangements of detecting, measuring or recording means, e.g. sensors, in relation to patient specially adapted to be brought in contact with an internal body part, i.e. invasive specially adapted to be attached or implanted in a specific body part
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61N—ELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
- A61N1/00—Electrotherapy; Circuits therefor
- A61N1/18—Applying electric currents by contact electrodes
- A61N1/32—Applying electric currents by contact electrodes alternating or intermittent currents
- A61N1/36—Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
- A61N1/372—Arrangements in connection with the implantation of stimulators
- A61N1/378—Electrical supply
- A61N1/3787—Electrical supply from an external energy source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61B—DIAGNOSIS; SURGERY; IDENTIFICATION
- A61B5/00—Measuring for diagnostic purposes; Identification of persons
- A61B5/07—Endoradiosondes
- A61B5/076—Permanent implantations
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61N—ELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
- A61N1/00—Electrotherapy; Circuits therefor
- A61N1/18—Applying electric currents by contact electrodes
- A61N1/32—Applying electric currents by contact electrodes alternating or intermittent currents
- A61N1/36—Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
- A61N1/372—Arrangements in connection with the implantation of stimulators
- A61N1/37211—Means for communicating with stimulators
- A61N1/37252—Details of algorithms or data aspects of communication system, e.g. handshaking, transmitting specific data or segmenting data
- A61N1/37288—Communication to several implantable medical devices within one patient
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
Abstract
一种设备可具有计算组件。所述计算组件可经配置以从植入装置接收无线传输、通过验证来自所述植入装置的安全性数据来验证所述植入装置的身份,及响应于验证所述植入装置的所述身份而执行认证程序以通过确定所述传输的数字签名是否真实来确定所述传输是否真实。所述设备可经配置以响应于所述计算组件确定所述数字签名是真实的而对所述植入设备进行无线充电。
Description
技术领域
本公开大体上涉及无线设备且更特定来说,涉及植入物与设备之间的安全无线通信。
背景技术
各种装置,例如植入物,可经植入到活生物体,例如人或动物中。一些植入物可存储有关活生物体的身份的信息。一些植入物可为可跟踪活生物体的地理位置的跟踪器。一些植入物可为可监测及/或控制生物体的各种机能,例如心率、葡萄糖水平等的医疗装置。一些植入物可为可更换活生物体缺失或受损的身体部位的医疗假体。
由于植入物可能难以存取,一些植入物可通过各种远程无线设备无线地存取。例如,植入物及各种远程无线设备可通过交换无线通信(例如,传输)进行无线通信。例如,一些远程无线设备可接收可包含由植入物存储的数据(例如,信息)的无线传输。在一些例子中,一些远程无线设备可能发送无线传输以引起植入物响应于无线传输中所含的信息而执行各种操作。
附图说明
图1说明根据本发明的数个实施例的系统。
图2是根据本公开的数个实施例的系统的框图。
图3说明根据本公开的数个实施例的安全通信的实例。
图4说明根据本公开的数个实施例的数字签名生成及验证的实例。
图5是根据本公开的数个实施例的实例发射器/接收器系统的框图。
图6是根据本公开的数个实施例的发射器的框图。
图7是根据本公开的实施例的接收器的框图。
图8是根据本公开的数个实施例的证书验证器的实例的框图。
图9是根据本公开的数个实施例的存储器装置的实例的框图。
具体实施方式
植入装置(例如,植入物)与远程无线设备之间的无线传输可能不安全且可能被黑客或其它实体拦截及/或操纵以改变无线传输、重复无线传输以获得对植入装置的未经授权存取等。此类未经授权存取可能对其中植入有植入装置的活生物体具有灾难性后果及/或可能对植入装置具有负面影响。
本文中所公开的各种实施例可通过在远程设备与植入装置之间提供可防范此类未经授权存取的安全通信来提供优于先前方法的技术优势。例如,设备,例如远程无线设备可具有可经配置以从植入装置(例如,植入在活生物体中)接收无线传输的计算组件。无线传输可具有数字签名。计算组件可经配置以通过验证来自植入装置的安全性数据来验证植入装置的身份,且可响应于验证植入装置的身份而执行认证程序,以通过确定数字签名是否真实来确定所述传输是否真实。例如,除非计算组件验证来自植入装置的安全性数据且确定无线传输是真实的,否则所述设备可能不会存取所述传输中所含的数据。
在一些例子中,植入装置可为电池供电的。然而,植入装置电池可能随着时间推移而放电且可能致使植入装置不可操作。各种先前方法涉及进行手术以更换植入装置电池。然而,在一些例子中,例如当活生物体的健康处于危险中时,可能无法进行手术以更换植入装置电池。本文中所公开的各种实施例通过避免更换植入装置电池的手术来提供优于先前方法的技术优势。例如,各种实施例可通过提供可安全地、无线地对植入装置进行充电的无线充电器来避免手术。
例如,无线充电器可经配置以向无线充电器认证植入装置,且植入装置可经配置以向植入装置认证无线充电器以在植入装置与无线充电器之间建立安全通信。一旦安全通信被建立,无线充电器就可从植入装置接受指示无线植入物需要充电的安全传输。安全传输可用数字签名签署且可包含来自植入装置的安全性数据。无线充电器可通过验证来自植入装置的安全性数据来验证植入装置的身份且可响应于认证数字签名及验证来自无线植入装置的安全性数据而对植入装置进行无线充电。建立安全通信、验证无线植入装置的身份及认证数字签署传输可防范可能对充电过程产生负面影响的未经授权存取,且由此提供优于先前方法的技术优势。
图1说明根据本发明的数个实施例的系统,例如安全通信系统。所述系统可包含可经植入在活生物体,例如人102或动物体中的装置101(例如,设备),例如医疗装置。例如,装置101可被称为植入装置及/或植入物。在一些实例中,装置101可为心脏装置、起搏器、人造心脏、血液装置、脉搏装置、假体装置、骨插入装置、电子身体部位(例如,手、腿及/或能够检索数据且有能力将数据发送出身体的任何东西)。
系统可包含可在人102之外(例如,外部)且远离装置101的远程设备103,例如充电器及/或监测器。在一些实例中,设备103可为可由人102佩戴,例如在人102的手腕上的可佩戴装置。设备103可无线地耦合到装置101。设备103及装置101可交换安全无线通信,例如传输。例如,安全传输可指需要认证的传输。在一些实例中,安全传输可包含数据、数字签名及新鲜度指示符。
设备103及装置101可使用本文中所描述的认证协议来彼此相互认证。相互认证可在设备103与装置101之间建立安全通信,可允许设备103及装置101交换安全无线传输。在一些例子中,相互认证可在设备103第一次与装置101一起使用时发生。例如,相互认证可响应于设备103被移动到装置101的特定距离内而发生。
在一些例子中,在设备103与装置101之间建立安全通信之后且响应于设备203认证来自装置101的指示装置101需要充电的安全传输,设备103可对装置101进行无线充电。
图2是根据本公开的数个实施例的可为结合图1所论述的系统的系统200,例如医疗系统的框图。系统200可包含可为装置101的装置201。例如,装置201可经植入在人102或动物体中。
可为设备103的设备203可无线地耦合到装置201。例如,设备203可在人102外部且可为经配置以对装置201进行充电的充电器。在一些实例中,设备203可为可监测有关装置201的操作的信息及/或有关由于操作装置201所致的人102的机能的信息的监测器。所述信息可作为数据包含在可从装置201发送到设备203的安全传输中。
装置201可包含可具有通信组件206的计算组件205(例如,控制电路系统)。计算组件206可经配置以执行与装置201相关联的各种安全性操作(例如,协议),如本文中所描述。通信组件206可经耦合到天线207。
设备203可包含可具有通信组件209的计算组件208。计算组件208可经配置以执行与设备203相关联的各种安全性操作(例如,协议),如本文中所描述。通信组件209可经耦合到天线210。通信组件206及209可促进在装置201与设备203之间经由天线207及210的无线通信(例如,无线传输的交换)。
计算组件205可包含耦合到通信组件206、存储器213(例如,非易失性存储器)及安全性组件214的处理器212。尽管安全性组件214被展示为与通信组件206及存储器213分开,但安全性组件214可经集成在通信组件206及/或存储器213中。例如,安全性组件214可包含可配置安全性组件214以执行与装置201相关联的各种安全性操作的硬件及/或逻辑。在一些例子中,处理器212可充当存储器213的主机。
处理器212可执行可存储在存储器213中的指令(例如,固件),以引起安全性组件214执行本文中所描述的各种安全性操作。例如,安全性组件214可加密及解密数据、认证从通信组件209接收的无线传输、生成数字签名、验证数字签名、生成安全性数据、向设备203认证装置201、生成公及私钥、生成装置201的公共及私密装置识别、生成装置201的公共装置识别证书等。在一些实例中,通信组件206可从通信组件209接收无线传输与数字签名,且安全性组件214可通过验证来自装置201的安全性数据来验证装置201的身份且可响应于验证植入装置的身份而执行认证程序,以通过确定数字签名是否真实来确定所述传输是否真实。
计算组件208可包含耦合到通信组件209、存储器217(例如,非易失性存储器)及安全性组件218的处理器216。尽管安全性组件218被展示为与通信组件209及存储器217分开,但安全性组件218可经集成在通信组件209及/或存储器217中。例如,安全性组件218可包含可配置安全性组件218以执行与设备203相关联的各种安全性操作的硬件及/或逻辑。在一些例子中,处理器216可充当存储器217的主机。
处理器216可执行可存储在存储器217中的指令,以引起安全性组件218执行本文中所描述的各种安全性操作。例如,安全性组件218可加密及解密数据、生成安全性数据、认证从通信组件206接收的无线传输、生成数字签名、验证数字签名、向装置201认证设备203、生成公及私钥、生成设备203的公共及私密设备识别、生成设备203的公共装置识别证书等。在一些实例中,通信组件209可从通信组件206接收无线传输与数字签名,且安全性组件218可执行认证程序以通过确定数字签名是否真实来确定所述传输是否真实。
在一些实例中,通信组件206及209可使用可存储在存储器213及217中的无线通信协议,例如蓝牙协议、射频协议以及其它无线通信协议进行通信(例如,交换无线传输)。处理器212及216可执行所述协议以引起通信组件206及209无线地通信。例如,处理器212及216可分别引起通信组件206及209执行本文中所公开的各种无线通信操作。在一些例子中,可响应于天线207及210被移动到彼此的通信距离内而启动无线通信。
计算组件205及208可响应于安全性组件214及218相互认证装置201及设备203而允许在通信组件206与209之间交换安全传输。例如,安全性组件214可响应于确定设备203包含(例如,存储器217存储)特定秘密数据(例如,数据秘密)而向装置201认证设备203。安全性组件218可响应于确定装置201具有(例如,存储器213存储)特定秘密数据而向设备203认证装置201。
例如,特定秘密数据可在装置201的制造期间存储在存储器213中,且特定秘密数据可在设备203的制造期间存储在存储器217中。在一些实例中,可存储在存储器213中的特定秘密数据及可存储在存储器217中的特定秘密数据可为相同的特定数据。例如,特定秘密数据可经隐藏在存储器213及217的无法被处理器212及216存取(例如,寻址)的秘密区中。
电池220可经耦合到计算组件205。在一些实例中,通信组件206可将可包含指示电池220上的电荷221及/或电池220的温度222的数据(例如,服务信息)的安全传输发送到通信组件209。在一些实例中,通信组件206可响应于通信组件206从通信组件209接收包含请求服务信息的数据的安全传输而发送安全传输。
计算组件205可接收有关装置201及/或有关人102的信息223,且通信组件206可可将可包含所述信息的安全传输发送到通信组件209。在一些实例中,例如当所述信息是敏感信息时,安全性组件214可加密所述信息,且安全性组件218可解密所述信息。在一些例子中,通信组件206可响应于通信组件206从通信组件209接收包含请求所述信息的数据的安全传输而发送安全传输。
对于其中设备203是充电器的实例,设备203可具有电力发射器225。例如,电力发射器225可将电力无线地(例如,经由电感耦合)发射到装置201的电力接收器227,所述电力接收器227经耦合到电池220以对电池220进行充电。电力发射器225可具有线圈228,所述线圈228可响应于电流流过所述线圈228而生成具有频率233的电磁场(EMF)231。EMF 231可经施加到电力接收器227的线圈229且可在线圈229中感生电流230。电流230可用于对电池220进行充电。
处理器212可经耦合到电力接收器227且可执行可存储在存储器213中的指令以控制电力接收器227的操作(例如,以引起电力接收器227对电池220进行充电)。例如,处理器212可执行引起计算组件205控制装置201的操作(例如电力接收器227的操作)的指令。因而,处理器212可控制电力接收器227的操作且可引起电力接收器227执行各种充电操作。
处理器216可经耦合到电力发射器225且可执行可存储在存储器217中的指令以控制电力发射器225的操作(例如,以引起电力发射器225生成具有频率233的EMF 231)。例如,处理器216可执行引起计算组件208控制设备203的操作(例如电力发射器225的操作)的指令。因而,处理器216可控制电力发射器225的操作且可引起电力发射器225执行各种充电操作。例如,处理器216可引起电力发射器225控制EMF 231及/或频率233。
装置201可具有电磁干扰(EMI)检测器232。计算组件208可响应于认证在通信组件209处从通信组件206接收的安全传输而引起电力发射器225调整EMF 231的强度。安全传输可包含数字签名及服务数据,所述服务数据可指示各种充电参数的状态,例如电流230、温度222及/或由EMI检测器232检测到的EMI的状态(例如,水平)。计算组件208可通过认证(例如,验证)数字签名来安全传输,如本文中所描述。计算组件208可基于状态电流230、温度222或EMI来调整EMF 231的强度。在一些例子中,通信组件206可响应于通信组件206从通信组件209接收安全传输(包含请求服务数据的数据)而发送安全传输。
计算组件208可响应于通信组件209从通信组件206接收指示电池220已被完全充电、EMI 232大于阈值水平或信息223指示装置201出故障的安全传输而停止充电过程。应注意,例如,过高的电池温度可能对人102有害且过多的EMI可能干扰充电过程及人102的各种机能。
通信组件209可例如从通信组件206接收数字签署装置201传输,所述传输指示装置201需要充电。计算组件208可响应于安全性组件218通过确定数字签署装置201传输的数字签名是真实的来确定数字签署装置201传输是真实的而引起电力发射器225对装置201进行无线充电。
在一些实例中,通信组件209可将数字签署设备203传输发送到通信组件206,所述传输请求有关电池220上的电荷的电平(例如,量)的信息。通信组件206接着可响应于安全性组件214确定数字签署设备203传输的数字签名是真实的而将数字签署装置201传输发送到通信组件209。
在一些实例中,作为迭代过程的部分,通信组件206及209可交换安全传输以设置装置201的操作(例如,充电)参数(例如电荷221、温度222及/或电流230)的水平。例如,通信组件209可将具有请求操作参数的当前水平的数据的安全传输发送到通信组件206。作为响应,通信组件206可将具有指示操作参数的当前水平的数据的安全传输发送到通信组件209。计算组件208可响应于操作参数的当前水平在操作参数的预定(例如,所要)操作范围之外而通过调整EMF 213及/或频率233来引起电力发射器225调整电力发射器225的操作。
随后,通信组件209可将具有请求由经调整EMF 213及/或频率233产生的操作参数的更新水平的数据的安全传输发送到通信组件206。作为响应,通信组件206可将具有指示操作参数的更新水平的数据的安全传输发送到通信组件209。如果更新水平处于预定范围内,那么所述过程停止。否则,交换安全传输及调整EMF 213及/或频率233的过程可继续直到操作参数的水平处于预定范围内。尽管本实例提及预定范围,但本公开不限于此,且预定范围可更换为操作参数的预定水平。
在一些实例中,存储器213及217可将安全数据存储在安全存储器阵列中。例如,存储在存储器213及217中的安全数据可为分别与装置201及设备203的操作及/或安全性相关的敏感数据。敏感数据还可包含有关人102的信息。
可在认证安全命令后通过安全命令评估安全存储器阵列。在各种例子中,安全阵列可包含无法被装置201或设备203的用户存取的秘密区。例如,秘密区可存储可在补救过程期间与安全数据交换的补救数据,所述补救过程可由于安全数据因黑客攻击或存储器操作中的技术故障而改变而执行。
当安全数据及补救数据处于它们的初始状态且首次被存储时,安全数据及补救数据可为相同的。然而,补救数据可保持不变(例如,从不更新)使得补救数据保持其初始状态。例如,在补救数据被存储之后,可不对补救数据执行任何操作,例如读取、写入或擦除操作。替代地,安全数据及补救数据可一起更新以具有相同模式。
在各种例子中,特定密码代码(例如,秘密密码代码)可经存储在秘密区中且在装置201或设备203的寿命内保持不变,这取决于装置201或设备203中的哪一者包含秘密区。例如,特定密码代码可为从秘密密钥及秘密数据(秘密数据处于执行任何操作(例如读取、写入或擦除操作)之前的初始状态时)计算的密码散列(例如,散列消息认证代码(HMAC))。可将特定密码代码(例如,在证明程序期间)与稍后从秘密密钥安全数据计算的密码代码进行比较以验证安全数据以确定安全数据是否仍然安全(例如,并未由于黑客攻击而改变)。在一些实例中,待与特定密码代码进行比较的密码代码可在逐会话基础上对于每一会话使用不同会话密钥代替所述秘密密钥来交换。本文中(例如,结合图9)进一步论述会话密钥。
图3说明根据本公开的数个实施例的安全通信,例如安全传输335的实例。例如,安全传输335可包含数据336及数字签名338。安全传输335还可包含新鲜度指示符340,例如单调递增计数或NONCE(例如,仅使用一次的任意数字)。例如,安全性组件,例如安全性组件214或218可通过生成数字签名338并将其附加到数据336及通过将新鲜度指示符340附加到数据336来生成安全传输335。
例如,可响应于验证数字签名338而存取数据336。在其中安全传输335由装置201生成的例子中,数据336可包含信息(例如,服务信息),例如电池220上的电荷221的状态、电池220的温度222的状态、EMI的状态及/或信息223。在其中安全传输335由设备203生成的例子中,数据336可包含服务信息,例如EMF 231的状态及/或频率233。如本文中进一步论述(例如,结合图7),公钥可为服务信息。在一些例子中,数据336可包含一组公共安全性数据及服务信息且例如,传输335可被称为打包传输。
图4说明根据本公开的数个实施例的数字签名生成及验证的实例。在图4的实例中,可为设备203或装置201的发射器442可生成可为数字签名338的数字签名438。接收器444(当设备203是发射器时,其可为装置201,或当装置201是发射器时,其可为设备203)可确定数字签名438是否真实。
发射器的安全性组件,例如当装置201是发射器442时的安全性组件214或当设备203是发射器442时的安全性组件218可生成数字签名438。接收器的安全性组件,例如当装置201是接收器444时的安全性组件214或当设备203是接收器444时的安全性组件218可确定数字签名是否真实。
发射器442可在框447处通过生成数据448的密码代码,例如密码散列及用私钥450加密密码代码来生成数字签名438。数据448可为安全传输中的待由数字签名438签署的数据,例如数据336。在一些实例中,数据448还可包含数字传输的新鲜度指示符,例如新鲜度指示符340。
发射器442可将数字签名438、数据448及公钥451发送到接收器444。接收器444可通过在框452处执行签名验证程序来确定数字签名438是否真实。例如,签名验证程序可包含在框452处生成数据448的密码代码、用公钥451解密数字签名438及将经解密数字签名438与经生成密码代码进行比较。如果经生成密码代码与经解密数字签名匹配,那么数字签名是真实的(例如,有效的)。如果经生成密码代码与经解密数字签名不匹配,那么数字签名不是真实的(例如,无效的)。
在一些实例中,接收器444可通过将新鲜度指示符340与存储在接收器444的存储器中的新鲜度指示符进行比较来确定新鲜度指示符340是否正确,所述存储器在装置201是接收器444时可为存储器213或在设备203是接收器444时可为存储器217。例如,经存储新鲜度指示符可为随机数或由接收器444的单调计数器生成的单调递增计数。
如果新鲜度指示符340与经存储新鲜度指示符匹配,那么接收器444可确定新鲜度指示符340是正确的。如果新鲜度指示符340与经存储新鲜度指示符不匹配,那么接收器444可确定新鲜度指示符340是不正确的。在一些实例中,接收器444可响应于确定新鲜度指示符340是正确的而执行签名验证。然而,接收器444可响应于确定新鲜度指示符340是不正确的而确定数字签名不是真实的,无需在框452处执行签名验证程序。
在一些实例中,安全传输可能容易受到旨在获得及/或变更安全传输中的数据的恶意攻击。此类攻击可包含重放攻击,例如,所述重放攻击可涉及安全传输的恶意或欺诈性重复或延迟且可涉及拦截及重传所述安全传输。验证安全传输的新鲜度可防范(例如,消除)重放的可能性。
图5是根据本公开的数个实施例的实例发射器/接收器系统的框图。例如,图5中的系统可包含可为设备203或装置201的发射器542及当设备203是发射器时可为装置201或当装置201是发射器时可为设备203的接收器544。
图5中所描绘的系统可使用层分阶段启动。一层可由前一层服务且服务于后一层,由此创建建立在较低阶层上且服务于较高阶层的层的互连网络。如图5中所说明,层561(例如,第0层(“L0”))及层562(例如,第1层(“L1”))在发射器542内。例如,层561及562可为在发射器542的安全性组件中,例如当装置201是发射器542时的安全性组件214或当设备203是发射器542时的安全性组件218。
层561可将秘密密钥,例如固件衍生秘密(FDS)密钥563提供到层562。FDS 563可描述层562的代码的身份且并入可存储在发射器542的存储器中(例如当装置201是发射器542时在存储器213中,或当设备203是发射器542时在存储器217中)的秘密数据,例如装置秘密565。例如,装置秘密565可在发射器542的制造期间存储在发射器542的存储器的秘密区中。例如,秘密区对于图5中所描绘的系统的用户可能是无法存取的。
在实例中,特定协议(例如稳健物联网(RIOT)核心协议)可使用FDS 563来验证其加载的层562的代码。例如,特定协议可包含装置识别合成引擎(DICE)(例如,在发射器542的安全性组件中)及/或RIOT核心协议。例如,RIOT协议可经存储在发射器542的存储器中且由发射器542的处理器(例如当装置201是发射器542时的处理器212或当设备203是发射器542时的处理器216)来执行。
作为实例,FDS可包含有关发射器542的不变信息(immutable information),所述不变信息可包含第1层固件图像本身、以密码方式识别经授权第1层固件的清单、在安全启动实施方案的背景下的经签署固件的固件版本号及/或发射器542的安全性关键配置设置。例如,不变信息可在发射器542的寿命内保持固定且可经存储在发射器542的存储器的秘密区中。装置秘密565及不变信息可用于创建FDS 563使得FDS 563是基于装置秘密565及不变信息。
发射器542可将公共安全性数据,例如安全性数据(例如,一组公共安全性参数)发射到接收器544,如由箭头567所说明。所述一组经发射公共安全性参数可包含发射器识别、证书(例如,发射器识别证书)及/或发射器公钥。接收器544的层569(例如,第2层(“L2”))可接收所述一组经发射公共安全性参数且在操作系统(“OS”)571的操作中并在应用程序(App1)572-1及应用程序(App2)572-2上执行所述一组公共安全性参数。
在实例操作中,发射器542可读取装置秘密565、散列发射器562的身份(例如,发射器562的不变信息),且执行包含以下项的计算:
KL1=KDF[Fs(s),Hash(“immutable information”)]
其中KL1是发射器公钥,KDF(例如,美国国家标准与技术研究院(NIST)特殊出版物800-108中所定义的KDF)是密钥导出函数(例如,HMAC-SHA256),且Fs(s)是装置秘密565。
FDS 563可通过执行以下项来确定:
FDS=HMAC-SHA256[Fs(s),SHA256(“immutable information”)]
应注意,FDS 563是装置秘密565及不变信息的密码代码,例如散列消息认证代码(HMAC)(例如,HMAC-SHA256)。因而,FDS 563可基于装置秘密565及不变信息。
图6是根据本公开的数个实施例的可为发射器542的发射器642的框图。例如,图6描绘执行确定数个(例如,一组)安全性参数的过程的发射器642。发射器642的安全性组件,例如当装置201是发射器642时的安全性组件214或当设备203是发射器642时的安全性组件218可包含可为层561的层661(例如,层L0)及可为层562的层662(例如,层L1)。
图6是确定发射器安全性参数的实例,所述发射器安全性参数包含这一组公共发射器安全性参数:发射器公共识别674(例如,IDL1pub)、层662(例如,发射器642)的发射器识别证书675(例如,IDL1cert)及发射器公钥676(例如KL1pub),以及这一组私密发射器安全性参数:发射器私密识别677(例如IDL1priv)及发射器私钥678(例如,KL1priv)。应注意,安全性参数中的“L1”是指层L1。
所述一组公共安全性参数可被公开共享且可经发送到可为接收器544的接收器644(例如,到接收器544的层569),如由箭头667所指示。发射器公共识别674可被接收器644用于确定发射器642的身份,且接收器644可使用识别证书675来验证发射器642的身份。私密发射器安全性参数可在接收器642中保持私密。
在一些实例中,发射器私钥678可为私钥450且可用于在框447处加密密码代码,如先前结合图4所描述。发射器公钥676可为可用于解密在框452处生成的密码代码的公钥451,如先前结合图4所描述。
在一些例子中,除先前所描述的服务信息之外,数据336还可包含所述一组公共安全性参数。在各种例子中,公钥676可为服务信息。
FDS 663(例如,其可为FDS 563)可从层661发送到层662且可被非对称ID生成器680用于生成发射器公共识别674及发射器私密识别677。经生成发射器私密识别677可用作输入到加密器681中的密钥。加密器681可为用于加密数据的任何处理器、计算装置等。例如,加密器681在装置201是发射器642时可为处理器212的一部分或在设备203是发射器642时可为处理器216的一部分。
层662可包含非对称密钥生成器682。在一些实例中,随机数生成器(RND)683可将随机数输入到非对称密钥生成器682中。非对称密钥生成器682可生成发射器公钥676及发射器私钥678。发射器公钥676可为(作为“数据”)连同发射器私密识别677一起到加密器681中的输入。加密器683可为用于加密数据的任何处理器、计算装置等。例如,加密器683在装置201是发射器642时可为处理器212的一部分或在设备203是发射器642时可为处理器216的一部分。
加密器681可生成用发射器私密识别677加密发射器公钥676的结果679(例如,结果K’)。发射器私钥678及结果679可经输入到加密器683中,从而导致可为用发射器私钥678加密结果679的结果的输出684(例如,输出K”)。输出684是可被发射到层569的发射器识别证书675。
所述一组公共安全性参数可通过允许接收器644验证发射器642的身份而允许接收器644向接收器644认证发射器642。通过验证发射器642的身份,接收器644可被确保由接收器644接收的起源于发射器642的各种安全传输。因而,接收器644可被确保发射器642是可信的数据源。作为实例,从发射器642发送到接收器644的安全传输可通过由接收器644验证发射器识别证书675而与发射器642的身份相关联。例如,在接收器644处验证发射器识别证书675可向接收器644认证发射器642,由此验证发射器642为可信源。
通过在接收器644处验证发射器识别证书675,接收器644可确认发射器642包含装置秘密665。因而,接收器644可通过确认发射器642包含装置秘密665而向接收器642认证发射器642。应注意,发射器识别证书675是基于以装置秘密665为基础的FDS663。本文中结合图7及8进一步论述发射器识别证书的验证。
图7是根据本公开的数个实施例的可为接收器544或接收器644的接收器744的框图。例如,图7描绘执行确定安全性数据,例如一组安全性参数的过程的接收器744。图7说明接收器744的层769(例如,第2层)。例如,层769可为接收器544的层569。接收器744的安全性组件(例如当装置201是接收器744时的安全性组件214或当设备203是接收器744时的安全性组件218)可包含层769。
图7是确定一组接收器安全性参数的实例,所述一组接收器安全性参数包含这一组公共接收器安全性参数:接收器公共识别786(例如,IDL2pub)、层769(例如,接收器744)的接收器识别证书787(例如,IDL2cert)及接收器公钥788(例如,KL2pub),以及这一组私密发射器安全性参数:接收器私密识别789(例如,IDL2priv)及接收器私钥791(例如,KL2priv)。应注意,安全性参数中的“L2”是指层L2。
在一些实例中,当设备203充当接收器744时,设备203可将公钥788发送到装置201,因此装置201可使用公钥788来加密数据,例如安全传输335中的数据336,且可将经加密数据336发送到设备203。设备203接着可使用私钥791以响应于验证装置201的身份及认证数字签名338而解密经加密数据336。
类似地,例如,当装置201充当接收器744时,装置201可将公钥788发送到设备203,因此设备203可使用公钥788来加密数据,例如安全传输335中的数据336,且可将经加密数据336发送到装置201。装置201可接着使用私钥791以响应于验证设备203的身份及认证数字签名338而解密经加密数据336。
在各种实例,例如其中传输335是打包传输的实例中,图3中的数据336可包含结合图3所论述的服务数据及所述一组公共接收器安全性参数(例如,接收器公共识别786、接收器识别证书787及接收器公钥788)。例如,当设备203充当接收器744时,设备203可在装置201充当发射器642时将相应打包传输335发送回到装置201,且当装置201充当接收器744时,装置201可在设备203充当发射器642时将相应打包传输335发送回到设备203。因而,设备203及装置201可交换相应打包传输335。
在一些例子中,传输335的数据336中的所述一组公共接收器安全性参数的公钥788可为服务信息,且经交换传输可用于生成额外传输。例如,根据图7中的实例,装置201可从在装置201处接收且包含来自设备203的所述一组公共接收器安全性参数的传输335生成额外传输(与额外服务),其中来自设备203的所述一组公共接收器安全性参数作为输入。类似地,例如,根据图7中的实例,设备203可从在设备203处接收且包含来自装置201的所述一组公共接收器安全性参数的传输335生成额外传输(与额外服务),其中来自设备201的所述一组公共接收器安全性参数作为输入。因而,例如可添加额外服务。
接收器公共识别786可由比层769高的下一层(例如举例来说第3层(未展示))用于确定层769的身份。第3层可使用识别证书787来验证层769的身份。
在一些实例中,设备203及装置201可在相互认证过程期间交换一组公共安全性参数。例如,在相互认证过程期间,充当发射器642的设备203可将一组发射器公共安全性参数发送到充当接收器744的装置201,且充当发射器642的装置201可将一组发射器公共安全性参数发送到充当接收器744的设备203。在图7的实例中,此组发射器公共安全性参数可包含:可为发射器公钥676的发射器公钥776(例如,KL1pub)、可为发射器公共识别674的发射器公共识别774(例如,IDL1pub)及可为发射器识别证书675的发射器识别证书775(例如,IDL1cert)。
例如,层769可包含可从发射器642接收所述一组发射器公共安全性参数的证书验证器790。证书验证器790可通过确定发射器识别证书776是否有效来确定发射器642是否真实(例如,验证发射器642的身份),且由此确定发射器642是否可信。例如,证书验证器790可向接收器744认证发射器642,且因此响应于验证发射器识别证书776而验证发射器642的身份。接收器744可响应于发射器识别证书776被验证或未被验证而确定是接受还是忽略从发射器642接收的安全传输。本文中进一步描述(例如,结合图8)验证识别证书776的进一步细节。
应注意,装置210的安全性组件214及设备203的安全性组件218可各自包含证书验证器,例如证书验证器790。在实例中,在设备203及装置201执行相互认证过程时,设备203的证书验证器可验证来自装置201的发射器识别证书,例如发射器识别证书776,以向设备203认证装置201,且装置201的证书验证器可验证来自设备203的发射器识别证书,例如发射器识别证书776,以向装置201认证设备203。
发射器公钥775可被接收器744的非对称ID生成器792用于生成接收器公共识别786及接收器私密识别789。接收器公共识别786被说明为由延伸到右外层769的箭头共享。经生成私密识别789用作输入到加密器793中的密钥。加密器793可为用于加密数据的任何处理器、计算装置等。例如,加密器793在装置201是接收器744时可为处理器212的一部分或在设备203是接收器744时可为处理器216的一部分。
层769可包含非对称密钥生成器794。在一些实例中,随机数生成器(RND)795可将随机数输入到非对称密钥生成器794中。非对称密钥生成器794可生成接收器公钥788及接收器私钥791。接收器公钥788可为(作为“数据”)到加密器793中的输入。加密器793可使用输入(接收器私密识别789及接收器公钥788)来生成结果797(例如,结果K’)。接收器私钥791可经输入到加密器798中,且结果797可(作为“数据”)输入到加密器798中,从而导致作为接收器识别证书787的输出799(例如,输出K”)。加密器798可为用于加密数据的任何处理器、计算装置等。例如,加密器798在装置201是接收器744时可为处理器212的一部分或在设备203是接收器744时可为处理器216的一部分。
图8是根据本公开的数个实施例的可为证书验证器790的证书验证器890的实例的框图。例如,证书验证器890可为接收器744的层769的一部分。
证书验证器890可(例如,从发射器642的层662)接收一组发射器公共安全性参数,所述一组发射器公共安全性参数包含可为发射器公钥676的发射器公钥876(例如,KL1pub)、可为发射器公共识别674的发射器公共识别874(例如,IDL1pub)及可为发射器识别证书675的发射器识别证书875(例如,IDL1cert)。证书验证器890可基于所述一组发射器公共安全性参数来确定发射器642的身份是否有效,且由此确定发射器642是否可信。
发射器公钥876可经输入到解密器8101中且发射器识别证书875可(作为“数据”)输入到解密器8101中。解密器8101可为用于解密数据的任何处理器、计算装置等。例如,解密器8101在装置201是接收器(例如接收器744)时可为处理器212的一部分或在设备203是接收器(例如接收器744)时可为处理器216的一部分。
用发射器公共密钥876解密发射器识别证书875的结果8102可用作连同发射器公共识别874一起输入到解密器8104中的数据。可由比较器8109将用发射器公共识别874对结果8102进行解密的结果8106与发射器公钥876进行比较以确定发射器识别证书876是否有效。解密器8104可为用于解密数据的任何处理器、计算装置等。例如,解密器8104在装置201是接收器(例如接收器744)时可为处理器212的一部分或在设备203是接收器(例如接收器744)时可为处理器216的一部分。
结果8106与发射器公钥876之间的匹配验证识别证书875且确定识别证书875是有效的,而结果8106与发射器公钥876之间的不匹配确定识别证书875是无效的且未被验证。结果8106与发射器公钥876之间的匹配可引起比较器8109生成“是”输出8111,此指示是,识别证书875被验证。结果8106与发射器公钥876之间的不匹配可引起比较器8109生成“否”输出8111,此指示否,识别证书875未被验证(无效)。
识别证书875的验证可向接收器744认证发射器642,且因此向接收器744验证发射器642的身份,如先前所描述。例如,识别证书875的验证可验证发射器642包含装置秘密665,且因此发射器642是可信的。
图9是根据本公开的数个实施例的可为存储器213或存储器217的一部分的存储器装置9120的实例的框图。存储器装置9120可包含数个存储器阵列9125-1到9125-7。存储器阵列9125-3是安全阵列。存储器阵列9125-6的子集9128包含安全阵列,且存储器阵列9125-7的子集9130及9132包含安全阵列。例如,子集9128、9130及9132可各自包含4千字节的数据。然而,本公开的实施例不限于特定数目或布置的存储器阵列或安全阵列。在各种实例中,安全阵列可如先前结合图2所描述那样。
存储器装置9120可包含补救(例如,恢复)块9135。由于安全阵列中的数据因黑客攻击或存储器装置9120的操作中的技术故障而改变,补救块9135可用作数据(例如,补救数据,如先前所描述)源。补救块9135可在可由主机,例如处理器212或216寻址的存储器装置9135的区域之外。尽管被展示为作为单独块,但补救块9135不限于此且可为安全阵列中的秘密区,如先前所描述。
存储器装置9120可包含串行外围接口(SPI)9137及控制器9140。存储器装置9120可使用SPI 9137及控制器9140,例如控制电路系统,以与主机及存储器阵列9125-1到9125-7进行通信。
存储器装置9120可包含用于管理存储器装置9120的安全性的安全寄存器9142。例如,安全寄存器9142可配置应用程序控制器,且与应用程序控制器进行外部通信。此外,安全寄存器9142可通过认证命令来修改。
在一些实例中,当存储器装置9120是存储器213或217的一部分时,处理器212或216可充当应用程序控制器。在其它实例中,存储器装置9120可为装置201的组件且可经耦合到计算装置205(例如,其可充当应用程序控制器)。存储器装置9120可为例如203的组件,且可经耦合到计算装置208(例如,其可充当应用程序控制器)。
存储器装置9120可包含密钥9144。例如,存储器装置9120可包含八个不同槽以存储密钥,例如秘密(例如,根)密钥、DICE-RIOT密钥及/或其它外部会话密钥。例如,当安全性组件214或218可在存储器213或217中且存储器装置9120可为存储器213或217的一部分时,密钥9144可被包含在安全性组件,例如安全性组件214或218中。
会话密钥可取代可存储在安全阵列的秘密区中的秘密密钥使用。例如,可在可在存储器装置9120的每次通电(例如,重置)时开始的存储器装置9120的每一电力循环期间使用新(例如,不同)会话密钥。例如,可由安全性组件214或218在前一电力循环结束时针对电力循环计算会话密钥。例如,会话密钥可为秘密密钥的消息认证代码(MAC)及在前一电力循环结束时的单调计数。替代地,例如,会话密钥可为秘密密钥的HMAC及单调计数。
存储器装置9120可包含电可擦除可编程只读存储器(EEPROM)9146。EEPROM 9146可提供主机可用的安全非易失性区域,其中可擦除及编程个别字节的数据。
存储器装置9120可包含计数器(例如,单调计数器)9148。例如,存储器装置9120可包含六个不同的单调计数器,其中两者可例如被包含在安全性组件214或216中,且可用于安全传输的新鲜度,例如安全传输335的新鲜度340或用于生成会话密钥,且其中四者可由主机使用。
存储器装置9120可包含(例如,作为安全性组件214或216的一部分)SHA-256密码散列引擎9150及/或HMAC-SHA256密码散列引擎9152。SHA-256密码散列引擎9150及/或HMAC-SHA256密码散列引擎9152可被安全性组件214或216用于生成密码散列,例如举例来说本文中先前所描述的密码散列,及/或可用于验证存储在存储器阵列9125-1到9125-7中的数据(例如,例如先前所描述的证明程序的部分)的秘密(例如,黄金)散列。黄金散列可例如存储在安全存储器阵列的不可存取部分中,例如在安全阵列9125-3的秘密部分中,且可在验证安全阵列的数据的过程期间使用。
例如,可生成(例如,计算)运行时间密码散列,并与黄金散列进行比较。如果比较指示运行时间及黄金散列匹配,那么可确定安全阵列尚未变更,且因此存储在其中的数据是有效的。然而,如果比较指示运行时间及黄金散列不匹配,那么这可能指示存储在安全阵列中的数据已被改变(例如,由于黑客或存储器中的故障),且这可向主机报告。
此外,存储器装置9120可支持可为安全性组件214或216的一部分的DICE-RIOT9154的层L0及L1。
在前文详细描述中,参考形成其一部分且其中以说明方式展示特定实例的附图。在附图中,贯穿若干视图,类似数字描述基本上类似的组件。在不脱离本公开的范围的情况下,可利用其它实例,且可进行结构、逻辑及/或电气改变。
本文中的图遵循编号约定,其中首位或前几位数字对应于附图图号且其余数字识别附图中的元件或组件。不同图之间的类似元件或组件可通过使用类似数字来识别。如将明白,可添加、交换及/或消除本文中的各种实施例中所展示的元件以便提供本公开的数个额外实施例。另外,如将明白,附图中所提供的元件的比例及相对尺度意在说明本公开的实施例且不应被理解为限制性。
如本文中所使用,“一”、“一个”或“数个”某物可指此类事物中的一或多者。“多个”某物意指两个或更多个。如本文中所使用,术语“耦合”可包含没有中间元件的电耦合、直接耦合及/或直接连接(例如,通过直接物理接触)、带有中间元件的间接耦合及/或连接、或无线耦合。术语耦合可进一步包含彼此协作或相互作用(例如,如在因果关系中)的两个或更多个元件。
尽管本文中已说明及描述特定实例,但所属领域的一般技术人员将明白,经计算以实现相同结果的布置可替换所展示的特定实施例。本公开意在涵盖本公开的一或多个实施例的调适或变动。应理解,以上描述是以说明性方式且非限制性方式进行。本公开的一或多个实例的范围应参考所附权利要求书连同此权利要求书被赋予的等效物的全范围来确定。
Claims (20)
1.一种设备,其包括:
计算组件;
其中所述计算组件经配置以:
从植入装置接收无线传输,其中所述无线传输包括数字签名;
通过验证来自所述植入装置的安全性数据来验证所述植入装置的身份;及
响应于验证所述植入装置的所述身份,执行认证程序,以通过确定所述数字签名是否真实来确定所述传输是否真实。
2.根据权利要求1所述的设备,其中验证所述安全性数据包括验证所述植入装置包括特定秘密数据。
3.根据权利要求1所述的设备,其中所述计算组件经配置以响应于所述计算组件不能验证所述植入装置的所述身份而忽略所述经接收传输。
4.根据权利要求1所述的设备,其中所述计算组件经配置以:
从秘密数据及有关所述设备的不变信息的散列生成代码;
从所述代码生成安全性数据;及
将所述安全性数据发送到所述植入装置。
5.根据权利要求1到4中任一权利要求所述的设备,其中所述计算组件经配置以通过以下步骤确定所述数字签名是否真实:
生成从所述植入装置接收的数据的密码代码;
用从所述植入装置接收的密钥解密所述数字签名;及
将所述经解密数字签名与所述经生成密码代码进行比较以确定所述经解密数字签名是否与所述经生成密码代码匹配。
6.根据权利要求1到4中任一权利要求所述的设备,其中所述计算组件经配置以响应于确定所述传输是新鲜的而执行所述认证过程。
7.根据权利要求1到4中任一权利要求所述的设备,其中所述传输包括经加密信息,且
其中所述计算组件经配置以使用私钥来解密所述信息。
8.根据权利要求1到4中任一权利要求所述的设备,其中:
所述传输包括指示所述植入装置需要充电的数据;且
所述设备经配置以响应于所述计算组件确定所述数字签名是真实的而对所述植入设备进行无线充电。
9.根据权利要求1到4中任一权利要求所述的设备,其中:
从所述植入装置接收的所述无线传输包括有关所述植入装置的信息;且
所述计算组件经配置以响应于所述计算组件将请求所述信息的数字签署无线传输传输到所述植入装置而从所述植入装置接收所述无线传输。
10.根据权利要求1到4中任一权利要求所述的设备,其中所述计算组件经配置以从所述植入装置接收安全性数据且从所述经接收安全性数据生成另一组安全性数据。
11.一种设备,其包括:
处理器;
设备通信组件,其经耦合到所述处理器;
安全性组件,其经耦合到所述处理器;及
电力发射器,其经耦合到所述处理器;
其中所述设备通信组件经配置以从植入装置接收无线传输;
其中所述无线传输包括指示所述植入装置需要充电的数据及数字签名;
其中所述安全性组件经配置以验证所述数字签名;且
其中所述处理器经配置以响应于所述安全性组件验证所述数字签名而通过引起所述电力发射器将电力无线地发射到所述植入装置来引起所述电力发射器对所述植入装置进行充电。
12.根据权利要求11所述的设备,其中所述安全性组件经配置以响应于通过验证所述植入装置包括特定秘密数据来验证所述植入装置的身份而验证所述数字签名。
13.一种方法,其包括:
在植入装置处从设备接收无线传输,其中所述无线传输包括数字签名及数据;
通过验证所述数字签名来认证所述经接收无线传输;
响应于认证所述无线传输而存取所述数据;
从所述设备无线地接收电力;及
响应于所述经存取数据指示所述植入装置需要充电而用所述经接收电力对所述植入装置进行充电。
14.根据权利要求13所述的方法,其进一步包括:
从秘密数据及有关所述植入装置的不变信息的散列生成代码;
从所述代码生成安全性数据;及
将所述安全性数据发送到所述设备。
15.根据权利要求13所述的方法,其进一步包括通过验证来自所述设备的安全性数据来验证所述设备的身份。
16.根据权利要求15所述的方法,其进一步包括:
在所述植入装置与所述设备之间建立安全通信;及
响应于在所述植入装置与所述设备之间建立所述安全通信而在所述植入装置处从所述远程装置接收所述无线传输。
17.一种系统,其包括:
无线充电器;及
无线植入装置;
其中所述无线植入装置经配置以向所述无线植入装置认证所述无线充电器,且所述无线充电器经配置以向所述无线充电器认证所述无线植入装置以在所述无线植入装置与所述无线充电器之间建立安全通信;且
其中所述无线充电器经配置以响应于在所述无线植入装置与所述无线充电器之间所述安全通信的所述建立:
从所述无线植入装置接受指示所述无线植入物需要充电的安全传输,其中所述安全传输是用数字签名签署且包含来自所述无线植入装置的安全性数据;
通过验证来自所述无线植入装置的所述安全性数据而验证所述无线植入装置的身份;及
响应于认证所述数字签名及验证来自所述无线植入装置的所述安全性数据而对所述无线植入装置进行无线充电。
18.根据权利要求17所述的系统,其中:
所述无线植入装置经配置以发送包括所述无线植入装置的充电参数的状态的安全传输;且
所述无线充电器经配置以响应于认证所述安全传输而调整其操作。
19.根据权利要求17所述的系统,其中
所述无线植入装置经配置以通过验证来自所述无线充电器的安全性数据是基于特定秘密无线充电器数据而向所述无线植入装置认证所述无线充电器;且
所述无线充电器经配置以通过验证来自所述无线植入装置的所述安全性数据是基于特定秘密无线植入装置数据而向所述无线充电器认证所述无线植入装置。
20.根据权利要求19所述的系统,其中所述特定秘密无线充电器数据及所述特定秘密无线植入装置数据是相同数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/362,976 | 2019-03-25 | ||
| US16/362,976 US11571126B2 (en) | 2019-03-25 | 2019-03-25 | Secure wireless communication between implants and apparatus |
| PCT/US2020/021653 WO2020197746A1 (en) | 2019-03-25 | 2020-03-09 | Secure wireless communication between an implanted device and an apparatus |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113631221A true CN113631221A (zh) | 2021-11-09 |
Family
ID=72607113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080023880.8A Pending CN113631221A (zh) | 2019-03-25 | 2020-03-09 | 植入装置与设备之间的安全无线通信 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11571126B2 (zh) |
| CN (1) | CN113631221A (zh) |
| WO (1) | WO2020197746A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11817209B2 (en) | 2019-08-20 | 2023-11-14 | Rune Labs, Inc. | Neuromodulation therapy development environment |
| US20210058257A1 (en) * | 2019-08-20 | 2021-02-25 | Rune Labs, Inc. | Security and identity verification for neuromodulation therapy implant device programming |
| SE544340C2 (en) * | 2019-11-19 | 2022-04-12 | Assa Abloy Ab | Secure configuration of a target device performed by a user device |
| US20220141663A1 (en) * | 2020-11-04 | 2022-05-05 | Boston Scientific Neuromodulation Corporation | Methods and systems for managing access to implantable medical devices |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010023360A1 (en) * | 1999-12-24 | 2001-09-20 | Nelson Chester G. | Dynamic bandwidth monitor and adjuster for remote communications with a medical device |
| US20050203582A1 (en) * | 2004-03-15 | 2005-09-15 | Healy Scott J. | Cryptographic authentication for telemetry with an implantable medical device |
| US20140304773A1 (en) * | 2013-04-05 | 2014-10-09 | Greatbatch Ltd. | Systems, devices, components and methods for communicating with an imd using a portable electronic device and a mobile computing device |
| US20150113266A1 (en) * | 2013-10-21 | 2015-04-23 | Microsoft Corporation | Secure Crypto-Processor Certification |
| US20170173261A1 (en) * | 2015-11-24 | 2017-06-22 | Jason O'Connor | Wearable automated medication delivery system |
| WO2017160723A1 (en) * | 2016-03-15 | 2017-09-21 | Northeastern University | Distributed wireless charging system and method |
| WO2017160627A2 (en) * | 2016-03-14 | 2017-09-21 | Qualcomm Incorporated | System architecture for medical implant |
| US20190036886A1 (en) * | 2017-07-25 | 2019-01-31 | Pacesetter, Inc. | Utilizing signed credentials for secure communication with an implantable medical device |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009530880A (ja) | 2006-03-13 | 2009-08-27 | ノボ・ノルデイスク・エー/エス | 複合通信手段を使用した電子装置の安全なペアリング |
| US8515547B2 (en) | 2007-08-31 | 2013-08-20 | Cardiac Pacemakers, Inc. | Wireless patient communicator for use in a life critical network |
| EP2294673A1 (en) | 2008-07-09 | 2011-03-16 | Access Business Group International LLC | Wireless charging system |
| US20150066155A1 (en) | 2013-08-27 | 2015-03-05 | Freedom Innovations, Llc | Wireless charging for prosthetic device |
| US9883479B2 (en) * | 2015-10-28 | 2018-01-30 | Google Llc | Generating and publishing validated location information |
-
2019
- 2019-03-25 US US16/362,976 patent/US11571126B2/en active Active
-
2020
- 2020-03-09 CN CN202080023880.8A patent/CN113631221A/zh active Pending
- 2020-03-09 WO PCT/US2020/021653 patent/WO2020197746A1/en active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010023360A1 (en) * | 1999-12-24 | 2001-09-20 | Nelson Chester G. | Dynamic bandwidth monitor and adjuster for remote communications with a medical device |
| US20050203582A1 (en) * | 2004-03-15 | 2005-09-15 | Healy Scott J. | Cryptographic authentication for telemetry with an implantable medical device |
| US20140304773A1 (en) * | 2013-04-05 | 2014-10-09 | Greatbatch Ltd. | Systems, devices, components and methods for communicating with an imd using a portable electronic device and a mobile computing device |
| US20150113266A1 (en) * | 2013-10-21 | 2015-04-23 | Microsoft Corporation | Secure Crypto-Processor Certification |
| US20170173261A1 (en) * | 2015-11-24 | 2017-06-22 | Jason O'Connor | Wearable automated medication delivery system |
| WO2017160627A2 (en) * | 2016-03-14 | 2017-09-21 | Qualcomm Incorporated | System architecture for medical implant |
| WO2017160723A1 (en) * | 2016-03-15 | 2017-09-21 | Northeastern University | Distributed wireless charging system and method |
| US20190036886A1 (en) * | 2017-07-25 | 2019-01-31 | Pacesetter, Inc. | Utilizing signed credentials for secure communication with an implantable medical device |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020197746A1 (en) | 2020-10-01 |
| US11571126B2 (en) | 2023-02-07 |
| US20200305716A1 (en) | 2020-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11571126B2 (en) | Secure wireless communication between implants and apparatus | |
| US11153076B2 (en) | Secure communication for medical devices | |
| Zheng et al. | Ideas and challenges for securing wireless implantable medical devices: A review | |
| US7228182B2 (en) | Cryptographic authentication for telemetry with an implantable medical device | |
| US8102999B2 (en) | Secure telemetric link | |
| US8515070B2 (en) | Access control for implanted medical devices | |
| CN108605045B (zh) | 用于安全授权的方法和可植入医疗设备系统 | |
| US11387983B2 (en) | Secure medical apparatus communication | |
| Marin et al. | On the feasibility of cryptography for a wireless insulin pump system | |
| Challa et al. | Authentication protocols for implantable medical devices: Taxonomy, analysis and future directions | |
| Ellouze et al. | Securing implantable cardiac medical devices: Use of radio frequency energy harvesting | |
| EP2060058A2 (en) | Secure telemetric link | |
| Park | Security mechanism based on hospital authentication server for secure application of implantable medical devices | |
| US20230201607A1 (en) | Method of establishing a communication session between an external device and an implantable medical device | |
| Marin et al. | On the difficulty of using patient's physiological signals in cryptographic protocols | |
| Duttagupta et al. | HAT: Secure and Practical Key Establishment for Implantable Medical Devices | |
| Al Momin | Medical device security | |
| Marin et al. | Secure remote reprogramming of implantable medical devices | |
| US20240129141A1 (en) | System and method for providing authenticated access between an implanted medical device and an external device | |
| DOTTINO et al. | A feasibility analysis of asymmetric key distribution system for implantable cardioverter defibrillators | |
| JP2022083988A (ja) | インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信 | |
| DARJI et al. | TWO TIER SECURITY SOLUTION FOR IMPLANTABLE MEDICAL DEVICES | |
| Ibrahimi | A secure communication model for the pacemaker a balance between security mechanisms and emergency access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |