DE10053894A1

DE10053894A1 - Verfahren und Apparat zur Sicherung der Datenübertragung von medizinischen Vorrichtungssystemen

Info

Publication number: DE10053894A1
Application number: DE10053894A
Authority: DE
Inventors: Timothy Joseph Nichols
Original assignee: Medtronic Inc
Current assignee: Medtronic Inc
Priority date: 1999-11-02
Filing date: 2000-10-31
Publication date: 2001-06-28
Also published as: US7039810B1; FR2800481B1; FR2800481A1; JP4795523B2; JP2001217823A

Abstract

Empfindliche Daten, wie etwa Patientenaufzeichnungen, werden auf eine sichere Weise zwischen einem Programmiergerät und einer Datenverschlüsselung übertragen. Eine bei dem Programmiergerät gespeicherte Datenbank enthält Patienteninformationen, die von mindestens einer medizinischen Vorrichtung erhalten worden sind. Eine Schlüsselquelle liefert dem Programmiergerät einen ersten Schlüssel und dem fernen Datenzentrum einen zweiten Schlüssel, die während des Verfahrens zur Verschlüsselung/Entschlüsselung benutzt werden sollen. Ein bei dem Programmiergerät gespeicherter Verschlüsselungsmotor verschlüsselt die empfindlichen, in der Datenbank gespeicherten Patientinformationen unter Einsatz des ersten Schlüssels. Das Programmiergerät überträgt die verschlüsselten Patienteninformationen zu dem fernen Datenexpertenzentrum über ein Datenkommunikationssystem, wie etwa ein öffentliches Netzwerk. Ein bei dem fernen Datenexpertenzentrum gespeicherter Entschlüsselungsmotor entschlüsselt die verschlüsselten, empfindlichen Patienteninformationen unter Einsatz des zweiten Schlüssels.

Description

Bereich der Erfindung

Die vorliegende Erfindung betrifft im Allgemeinen medizinische Vorrichtungssysteme. Ganz speziell bezieht sich die Erfindung auf ferngesteuerte, bidirektionale Verbindungen mit einer oder mit mehreren programmierbaren Vorrichtungen, die mit einpflanzbaren medizinischen Vorrichtungen (IMD-Vorrichtungen) in Verbindung stehen. Im Allgemeinen betrifft die Erfindung ein integriertes System und ein Verfahren mit bidirektionalen Televerbindungen zwischen einem auf dem Web basierenden Datenexpertenzentrum und mindestens einem Programmiergerät, wobei mehrere Arten von Netzwerkplattformen und -architekturen benutzt werden, um in dem Programmiergerät auf Distanz basierte Fehlersuche und -beseitigung, Wartung, Aktualisierung, sowie Informations- und Verwaltungsdienste zu implementieren, wodurch ein sparsames und hoch interaktives System für die Therapie und die klinische Fürsorge bereitgestellt wird. Auf eine spezifischere Weise betrifft die Erfindung einen Apparat und ein Verfahren zur sicheren Übertragung von empfindlichen Informationen, wie etwa von Patienteninformationen zwischen einem Programmiergerät und einem fernen Datenzentrum unter Einsatz von Verschlüsselungsverfahren und Strukturen, die sowohl in den Hardware- als auch den Softwaresystemen implementiert werden, um einen Missbrauch zu verhindern.

Hintergrund der Erfindung

Ein Gesundheitsfürsorgesystem, das auf der Technologie basiert und das die technischen und sozialen Aspekte der Pflege und der Therapie für den Patienten vollständig in sich vereint, müsste in der Lage sein, den Kunden einwandfrei mit dem die Pflege liefernden Personal zu verbinden, unabhängig von der die Teilnehmer voneinander trennenden Distanz oder Örtlichkeit. Während die Kliniker fortfahren die Patienten in Übereinstimmung mit der üblichen modernen medizinischen Technik zu behandeln, machen es die Entwicklungen in der Kommunikationstechnologie immer besser möglich medizinische Dienste auf eine von der Zeit und dem Ort unabhängige Art und Weise zu liefern.

Auf dem Stand der Technik beruhende Verfahren oder klinische Dienste sind im Allgemeinen auf in dem Krankenhaus stationär vollzogene Vorgänge begrenzt. Wenn zum Beispiel ein Arzt die Leistungsparameter einer einpflanzbaren Vorrichtung in einem Patienten überprüfen muss, dann ist es wahrscheinlich, dass der Patient sich in die Klinik begeben muss. Ferner, wenn es die medizinischen Bedingungen des Patienten mit einer einpflanzbaren Vorrichtung verlangen, dass eine kontinuierliche Überwachung oder Einstellung der Vorrichtung gewährleistet sein muss, dann muss der Patient auf unbestimmte Zeit in dem Krankenhaus bleiben. Ein solcher kontinuierlicher Behandlungsplan wirft sowohl wirtschaftliche wie auch soziale Probleme auf. Bei dem als Beispiel herangezogenen Szenario, bei welchem der Anteil der Bevölkerung mit eingepflanzten medizinischen Vorrichtungen ansteigt, werden bei weitem mehr Krankenhäuser/Kliniken, einschließlich des Dienstpersonals benötigt, um einen stationären Dienst für die Patienten zu gewährleisten, wobei folglich die Kosten der medizinischen Pflege in die Höhe gehen werden. Zusätzlich werden die Patienten durch die Notwendigkeit entweder in dem Krankenhaus zu bleiben oder sehr oft eine Klinik aufzusuchen einer übermäßigen Eingrenzung und Belästigung ausgesetzt.

Noch eine andere Bedingung der Praxis gemäß dem Stand der Technik erfordert, dass sich ein Patient in ein klinisches Zentrum begibt für die gelegentliche Wiedergewinnung der Daten der eingepflanzten Vorrichtung, um einerseits die Wirkungsweise der Vorrichtung zu beurteilen und andererseits die Patientengeschichte sowohl für klinische als auch für forschungsorientierte Zwecke zu sammeln. Je nach der Häufigkeit des Einsammelns der Daten kann dieses Verfahren für die Patienten, die in ländlichen Gebieten leben oder nur über eine begrenzte Beweglichkeit verfügen, eine ernste Schwierigkeit und Unbequemlichkeit darstellen. Ähnlich verhält es sich wenn die Notwendigkeit eines Aktualisierens der Software einer einpflanzbaren medizinischen Vorrichtung eintritt, denn auch in diesem Falle muss der Patient in die Klinik oder in das Krankenhaus kommen, damit die Aktualisierung durchgeführt werden kann.

Ferner ist es in der medizinischen Praxis eine sich über die ganze Industrie erstreckende Norm, dass eine sorgfältige Aufzeichnung der vergangenen und gegenwärtigen Prozeduren bezüglich einer IMD-Vorrichtung aufbewahrt wird. Im Allgemeinen sollte ein Bericht erstellt werden jedes Mal wenn eine medizinische Komponente, wie etwa ein Programmiergerät und/oder ein Analysator, mit der IMD- Vorrichtung verbunden wird. Verschiedene Informationen sollten in dem Bericht enthalten sein, einschließlich einer Identifizierung von allen medizinischen Komponenten, die während der Prozedur benutzt worden sind. Auf spezifische Weise muss über alle peripherischen und hauptsächlichen Vorrichtungen berichtet werden, welche während der Erstellung einer Abwärtsstrecke hin zu der IMD-Vorrichtung benutzt werden. Gegenwärtig besteht kein automatisiertes System zur Lieferung eines automatischen Berichtes über alle hauptsächlichen Komponenten, die in einer die Kommunikationen mit einer IMD-Vorrichtung betreffenden Prozedur benutzt werden. Die augenblickliche Praxis besteht für das medizinische Personal darin, dass die Daten, die sich auf die Vorrichtungen zur Herstellung von Abwärtsstrecken beziehen, von Hand aufgezeichnet oder eingespeist werden. Eine der Einschränkungen dieser Prozedur besteht in der Tatsache, dass das Berichten zu Fehlern neigt und dass es oft eine erneute Überprüfung der Daten erfordert, um die Genauigkeit zu verifizieren. Ferner erlaubt es die gegenwärtige Praxis nicht, die Übertragung von Patientendaten durch Kommunikationsmittelsysteme sicher zu gestalten.

Das Schützen der Sicherheit und der Privatsphäre von medizinischen Informationen von Patienten ist eine größer werdende Angelegenheit der Gesundheitsfürsorgeorganisationen geworden. Das explosionsartige Wachstum des Internet und der verstreuten Rechenumgebungen ist in hohem Masse verantwortlich für die Verbindung der vorher voneinander getrennten fernen Rechenplattformen der Gesundheitsfürsorgeanbieter. Die Kosten der Erstellung und der Beibehaltung der Eigentumsdatennetzwerke zwischen den fernen Kommunikationscomputern und den Datenzentren ist sehr kostspielig. Folglich verlassen sich die Gesundheitsfürsorgeorganisationen immer mehr auf nicht abgesicherte "öffentliche" Netzwerke, wie etwa Internet oder öffentliche Telefonsysteme, um sich mit fernen Computerplattformen zu verbinden. Ein Resultat hiervon ist, dass wenn empfindliche medizinische Aufzeichnungen über Patienten unterwegs sind, dann sind sie gefährdet und die Gesundheitsfürsorgeanbieter können verantwortlich gemacht werden für die Geheimhaltung, auch kennen sie im Falle des Verletzens der Vertraulichkeit Ansprüchen gegenüberstehen. Im Allgemeinen begegnet man diesen Risiken nicht bei Rechenplattformen die nicht vernetzt sind.

Während die Ausgereiftheit der medizinischen Vorrichtungen zunimmt, stehen die Gesundheitsfürsorgeanbieter neuen Herausforderungen bezüglich der Absicherung von empfindlichen Patienteninformationen gegenüber. Einige medizinische Vorrichtungen sind jetzt in der Lage unhabhängige Datenübertragungen durch Kommunikationsnetzwerke hin zu Datenzentren oder zu anderen medizinischen Vorrichtungen durchzuführen. Ein Beispiel einer solchen medizinischen Vorrichtung ist ein Programmiergerät. Programmiergeräte werden benutzt, um verschiedene eingepflanzte Vorrichtungen zu initialisieren und zu bedienen. Diese eingepflanzten, medizinischen Vorrichtungen umfassen zum Beispiel Nervenimplantate, Schrittmacher und Kardioversions-/ Defibrillatorvorrichtungen. Gegenwärtig besitzen die herkömmlichen Programmiergeräte, die von Ärzten gebraucht werden, im Allgemeinen die Größe und die Gestalt eines tragbaren Labtopcomputers. Die Kommunikation mit einer eingepflanzten Vorrichtung wird bewerkstelligt durch eine Hochfrequenzverbindung (RF = Radiofrequency = Hochfrequenz) unter Einsatz eines Zubehörteils, das mit dem Programmiergerät verbunden ist. Das Programmiergerät umfasst ferner einen Bildschirm zum Anzeigen von alphanumerischen Informationen und wahlweise zum Anzeigen von graphischen Informationen, wie etwa ein Elektrogramm (EGM) oder ein Elektrokardiogramm (ECG). Das Programmiergerät umfasst auch eine Schnittstelle mit einem Drucker zum Drucken von Informationen, wie etwa die Programmierparameter die für einen bestimmten Schrittmacher festgelegt worden sind, die Daten die von dem Schrittmacher über eine vorgewählte Zeitdauer protokolliert worden sind oder eine ECG-Graphik.

Die Datenverschlüsselung ist in zunehmendem Maße benutzt worden, um mehr Sicherheit und Geheimhaltung für die Übertragungen von Daten, Stimmen und Video durch die öffentlichen Netzwerke zu gewährleisten. Die Verschlüsselung umfasst die Übersetzung von Daten in einen Geheimcode. Ein gewöhnliches Verfahren umfasst das Verwürfeln von Bitmustern. Um eine verschlüsselte Datei zu lesen, muss ein Benutzer Zugang haben zu einem Geheimschlüssel oder zu einem Kennwort, um die Daten entschlüsseln zu können. Unverschlüsselte Daten werden Klartext genannt, während man sich bei verschlüsselten Daten auf einen verschlüsselten Text bezieht. Es gibt zwei. Hauptarten von Verschlüsselungen (die unten ausführlicher erörtert werden): asymmetrische Verschlüsselungen (auch Verschlüsselung mit bekanntem Schlüssel genannt) und symmetrische Verschlüsselungen. Verschlüsselungsalgorithmen sind seit geraumer Zeit verfügbar, jedoch sind erst vor kurzem preisgünstige Prozessoren auch schnell genug geworden, um die Funktionen der Verschlüsselung und der Entschlüsselung in einer vernünftigen Zeit durchzuführen.

Mehrere Verfahren können gebraucht werden, um Datenströme zu verschlüsseln, alle diese Verfahren können leicht mit Hilfe von Software implementiert werden. Das einfachste unter allen diesen Verfahren besteht in der Übersetzungstabelle. Jedes Datenstück (im Allgemeinen 1 Byte) wird als eine Versetzung in einer Übersetzungstabelle benutzt und der resultierende übersetzte Wert aus der Tabelle wird dann in den Ausgabestrom geschrieben. Die Verschlüsselungs- und Entschlüsselungsprogramme benutzen ein jeder eine Tabelle, die hin zu und heraus aus den verschlüsselten Daten übersetzt. Einige der Zentralverarbeitungseinheiten (z. B. die Serien 80 × 86 der Intel Corporation) besitzen eine Anweisung "XLAT", welche die Übersetzung auf dem Hardwareniveau durchführt. Während das Verfahren der Übersetzungstabelle sehr einfach und schnell ist, ist der Code jedoch aufgebrochen, wenn die Übersetzungstabelle bekannt ist.

Eine Modifizierung des Verfahrens der Übersetzungstabelle benutzt zwei oder mehr Tabellen, die auf der Stelle der Bytes in dem Datenstrom oder auf dem Datenstrom selbst basieren. Die Entschlüsselung wird komplexer, da dasselbe Verfahren auf zuverlässige Weise umgekehrt werden muss. Unter Einsatz von mehr als einer Übersetzungstabelle (d. h. insbesondere, wenn dieselbe in einer "pseudozufälligen" Reihenfolge geliefert wird) wird das Knacken des Verschlüsselungscodes beträchtlich schwieriger. Als ein Beispiel kann ein Übersetzungsverfahren eine Übersetzungstabelle "A" auf jedem der geraden Bytes benutzen, und die Übersetzungstabelle "B" auf jedem der ungeraden Bytes. Außer wenn ein potentieller Codeknacker weißt, dass es genau zwei Tabellen gibt, ist die Entschlüsselungsprozedur relativ schwierig, sogar wenn sowohl die Quelle als auch die verschlüsselten Daten verfügbar sind.

Ein anderes Verschlüsselungsverfahren, das als Datenrepositionierung bekannt ist, liest einen Zwischenspeicher von Daten aus der Eingabequelle, ordnet die Reihenfolgen der Bytes wieder neu und schreibt die Ergebnisse in eine "nicht in Ordnung" Ausgabe. Das Entschlüsselungsprogramm liest dann die Ausgabe und stellt die Daten "nicht in Ordnung" wieder zurück in die Ordnung.

Das am häufigsten benutzte (und komplexe) Verschlüsselungsverfahren umfasst eine Wort/Byte Rotation und ein XOR Bit-Maskieren. Wenn nach diesem Verfahren Wörter oder Bytes in einem Datenstrom rotiert werden, wobei mehrfache und wechselnde Richtungen und Dauern der Rotation in einem reproduzierbaren Muster benutzt werden, dann wird ein Datenstrom schnell verschlüsselt mit einem Verfahren, das beinahe unmöglich aufzubrechen ist. Ferner, wenn eine "Maske mit einem XOR" in Kombination mit den Rotationen benutzt wird, (d. h. die Bytes in vorherbestimmte Stellen von 1 bis 0 oder von 0 bis 1 "flippen"), dann wird das Verfahren zum Knacken des Codes sogar noch schwieriger gemacht.

Eine Eigenschaft eines guten Verschlüsselungsschemas besteht in der Fähigkeit, einen "Schlüssel" oder ein "Kennwort" zu spezifizieren und das Verschlüsselungsverfahren dazu zu bringen sich selbst zu ändern, so dass jeder "Schlüssel" oder jedes "Kennwort" eine verschiedene verschlüsselte Ausgabe herstellt, welche einen "Schlüssel" oder ein "Kennwort" von einzigartiger Natur notwendig macht, um entschlüsselt zu werden. Die symmetrische Verschlüsselung stellt eine Verschlüsselungsart dar, in welcher derselbe Schlüssel benutzt wird, um die Nachricht zu verschlüsseln und dieselbe zu entschlüsseln. Diese Art unterscheidet sich von der asymmetrischen Verschlüsselung (oder Verschlüsselung mit bekanntem Schlüssel), welche einen Schlüsse l gebraucht, um eine Nachricht zu verschlüsseln, und einen anderer (verschiedenen) Schlüssel, um die Nachricht zu entschlüsseln.

In einem Verschlüsselungssystem mit symmetrischem Schlüssel stimmen zwei Personen zuerst über ein Passwort überein, wie etwa eine Telefonnummer oder eine Faxnummer. Am Ende der Übertragung verwandelt die Verschlüsselungssoftware das Passwort in einer Binärzahl und benutzt dann diese Binärzahl (z. B. Schlüssel), um alle auszusenden Nachrichten zu verschlüsseln. Das mathematische, für die Verschlüsselung der Nachricht benutzte Modul wird das Algorithmus genannt. Das ganze System wird als Verschlüsslung bezeichnet. Am Empfangende wird jede ankommende Nachricht unter Einsatz desselben Schlüssels entschlüsselt. Der Empfänger gibt das Passwort ein, auf welches man sich geeinigt hat, und die Software verwandelt dasselbe in den binären Schlüssel und benutzt den binären Schlüssel, um den verschlüsselten Text (d. h. die ankommende Nachricht) zu entschlüsseln. Aus der Umsetzung kommt ein Klartext (d. h. die originale Nachricht in einer lesbaren Form) heraus. In Zusammenfassung, bei der Verschlüsselung mit symmetrischem Schlüssel wird derselbe Schlüssel zum Verschlüsseln und zum Entschlüsseln benutzt. Die Verschlüsselung mit symmetrischem. Schlüssel setzt voraus, dass der Sender und der Empfänger einen anderen Weg zum Kommunizieren besitzen, welcher auch sehr sicher ist, so dass die Schlüssel auf sichere Weise verteilt werden können.

Im Gegensatz zu der Verschlüsselung mit symmetrischem Schlüssel benutzt die Verschlüsselung mit bekanntem Schlüssel zwei verschiedene Schlüssel: einen bekannten Schlüssel, der von jedem bekannt ist, und einen privaten Schlüssel oder Geheimschlüssel, der nur von dem Empfänger der Nachricht bekannt ist. Als ein Beispiel, wenn ein Sender eine sichere Nachricht an den Empfänger zu senden wünscht, dann benutzt der Sender den bekannten Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger benutzt dann den privaten Schlüssel des Empfängers, um die Nachricht zu entschlüsseln. Bei der Verschlüsselung mit bekanntem Schlüssel, werden die bekannten und die privaten Schlüssel auf eine solche Weise in Beziehung gesetzt, dass nur der bekannte Schlüssel gebraucht werden kann, um die Nachrichten zu verschlüsseln und dass nur der entsprechende private Schlüssel benutzt werden kann, um die Nachrichten zu entschlüsseln. Außerdem ist es praktisch unmöglich, den privaten Schlüssel abzuleiten, wenn man den bekannten Schlüssel kennt. Eine Schwierigkeit mit den Systemen der bekannten Schlüsseln besteht darin, dass der Sender den bekannten Schlüssel des Empfängers kennen muss, um eine Nachricht zu verschlüsseln.

Während die Verschlüsselung die zwischen dem Sender und dem Empfänger übertragenen Daten schützt, wird oft eine digitale Unterschrift benutzt, um die Glaubwürdigkeit einer Kommunikation zu bestätigen. Der üblichste Gebrauch einer digitalen Unterschrift besteht darin zu überprüfen, ob ein Benutzer, der eine Nachricht sendet, auch derjenige oder diejenige ist, den er oder sie zu sein behauptet. Unter Einsatz des Verschlüsselungsverfahrens mit bekanntem Schlüssel, welches oben beschrieben worden ist, kann eine digitale Unterschrift geschaffen werden durch den Einsatz eines privaten Schlüssels zum Verschlüsseln einer Nachrichtenübersicht (d. h., eine Darstellung eines Textes in der Form einer einzelnen Zeichenfolge von Ziffern, welche unter Einsatz einer Einweghashfunktion benannten Formel geschaffen worden ist). Ein mögliches Format für eine Nachrichtenübersicht besteht in einer Einweghash-Funktion von 128 Bits, welche ähnlich ist wie ein Code zur Fehlerprüfung, um fehlerhafte Kommunikationen festzustellen. Bei Einsatz von 128 Bits gibt es 212a mögliche Kombinationen, was die Nachrichtenübersicht umwandlungsmäßig zu intensiv macht um sie zu entschlüsseln.

Die digitale Unterschrift kann verifiziert werden unter Einsatz des bekannten Schlüssels des Absenders, um die Unterschrift zu entschlüsseln. Da sie mit dem privaten Schlüssel verschlüsselt ist, kann nur der Nachrichtenabsender sie vorbereitet haben. Und weil sie mit dem bekannten Schlüssel entschlüsselt wird, kann irgendein Benutzer verifizieren, dass sie von dem Absender geschickt worden ist. Die digitale Unterschrift kann zusammen mit einer Nachricht benutzt werden, indem man zuerst die Nachrichtenübersicht mit dem privaten Schlüssel des Absenders schafft und der Mitteilung die digitale Unterschrift hinzufügt, dann sowohl die Nachricht als auch die digitale Unterschrift mit dem bekannten Schlüssel des Empfängers verschlüsselt. Der Empfänger kehrt diese Schritte um und entschlüsselt zuerst die Nachricht mit seinem privaten Schlüssel, dann entschlüsselt er die Unterschrift mit dem bekannten Schlüssel.

Während die Datenverschlüsselung und die digitalen Unterschriften bei den Datenübertragungen von Computer zu Computer und bei den Anwendungen der Nachrichtenübermittelungen über die öffentlichen Netzwerke einen zunehmenden Gebrauch finden, sind diese Sicherheitsmaßnahmen bei den Anwendungen der medizinischen Vorrichtungen nicht angewendet worden. Bis vor kurzem hat es sich herausgestellt, dass die Technologie zur Übertragung von betrieblichen Informationen zwischen Programmiergeräten, die zusammen mit einer einpflanzbaren medizinischen Vorrichtung benutzten werden, und einem fernen Datenzentrum, nicht durchführbar, wenn nicht sogar unmöglich war. Wegen der hochkritischen Natur der implizierten Informationen sind die Sicherheit und die Zuverlässigkeit der Übertragung von einer offensichtlichen Wichtigkeit. Medizinische Vorrichtungen sind oft über die ganze Welt verteilt und benötigen ein gemeinsames Kommunikationsmittel, das zugänglich ist für alle Benutzer der medizinischen Vorrichtungen überall in der Welt, gleichgültig wo die medizinische Vorrichtung lokalisiert ist. Die Einrichtung zur Datenübertragung muss schnell überall verfügbar, kostengünstig und leicht anzuwenden sein.

Eine weitere dem Stand der Technik anhaftende Begrenzung betrifft die Verwaltung von mehreren bei einem einzelnen Patienten eingepflanzten Vorrichtungen. Die Fortschritte bei der modernen Therapie und Behandlung der Patienten haben es möglich gemacht, eine gewisse Anzahl von Vorrichtungen bei einem Patienten einzupflanzen. Zum Beispiel können einpflanzbare Vorrichtungen, wie etwa ein Defibrillator oder ein Schrittmacher, ein Nervenimplantat, eine Arzneimittelpumpe, ein getrennter physiologischer Monitor und verschiedene andere einpflanzbare Vorrichtungen bei einem einzelnen Patienten eingepflanzt werden. Um bei einem Patienten mit mehrfachen Implantaten die Wirkungsweisen einer jeden Vorrichtung erfolgreich zu verwalten und die Leistungen derselben bewerten zu können, ist eine kontinuierliche Aktualisierung und Überwachung der Vorrichtungen erfordert. Es kann ferner bevorzugt werden, eine betriebsfähige Verbindung zwischen den verschiedenen Implantaten zu haben, um eine koordinierte klinische Therapie für die Patienten zu gewährleisten. Folglich besteht ein Bedarf danach die Leistung der einpflanzbaren Vorrichtungen auf einer regelmäßigen, wenn nicht sogar einer kontinuierlichen Basis zu überwachen, um eine optimale Pflege des Patienten zu sichern. In Abwesenheit von anderen Alternativen drängt dies dem Patienten eine große Belastung auf, wenn ein Krankenhaus oder eine Klinik die einzigen Zentren sind, in welchen die erforderlichen, häufigen Folgekontrollen, Beurteilungen und Einstellungen der medizinischen Vorrichtungen gemacht werden können. Außerdem würde diese Situation, sogar wenn sie machbar ist, die Gründung einer größeren Anzahl von Dienstbereichen oder klinischen Zentren erfordern, um einen angemessenen Dienst für die wachsende Anzahl von Patienten mit mehreren Implantaten weltweit zu gewährleisten. Demgemäss ist es lebenswichtig über eine programmierfähige Geräteeinheit zu verfügen, welche den Patienten mit einem entfernt gelegenen medizinischen Expertenzentrum verbinden würde, um den Zugang zu Expertensystemen zu liefern und die Fachkenntnis in eine örtliche Umgebung zu importieren. Diese Annäherung würde einen unbehinderten Zugang zu der IMD-Vorrichtung (Implantable Medical Device = einpflanzbare medizinische Vorrichtung) oder zu dem Patienten ermöglichen. Ferner hat es die weltweite Proliferation von Patienten mit medizinischen, mehrfachen Implantatsvorrichtungen erforderlich gemacht, Ferndienste zu liefern. So ist ein häufiger Gebrauch der Programmiergeräte zum Kommunizieren mit den IMD-Vorrichtungen und zur Lieferung von verschiedenen Ferndiensten ein wichtiger Aspekt der Patientenfürsorge geworden, wie dies angegeben wird in den Offenbarungen der gleichzeitig anhängigen Anmeldungen mit den nachfolgenden Titeln: "Apparatus and Method for Remote Trouboleshooting, Maintenance and Upgrade of Implantable Device Systems", eingereicht am 26. Oktober 1999 mit der Seriennummer; "Tactile Feedback for Indicating Validity of Communication Link with an Implantable Medical Device", eingereicht am 29. Oktober 1999 mit der Seriennummer "Apparatus and Method for Automated Invoicing of Medical Device Systems", eingereicht am 29. Oktober 1999 mit der Seriennummer; "Apparatus and Method for Remote Self-Identification of Components in Medical Device Systems", eingereicht am 29. Oktober 1999 mit der Seriennummer; "Apparatus and Method to Automate Remote Software Updates of Medical Device Systems", eingereicht am 29. Oktober 1999 mit der Seriennummer; welche alle durch Bezugnahme in ihrer Gesamtheit hierin eingeschlossen werden.

Der Stand der Technik liefert verschiedene Arten von ferngesteuerten Absendungen und Kommunikationen mit einpflanzbaren medizinischen Vorrichtungen. Ein solches Beispiel wird von Gessman in dem erteilten Patent U.S. N° 5.321.618 offenbart. In dieser Veröffentlichung wird ein entfernt gelegener Apparat derart angepasst, dass er Befehle erhält und Daten an eine zentrale Überwachungseinrichtung über die telephonischen Verbindungskanäle übermittelt. Der sich weiter entfernt befindliche Apparat enthält eine Ausrüstung zur Aufnahme der Wellenform eines EKG's (EKG = Elektrokardiogramm) eines Patienten und zur Übermittelung dieser Wellenform zu der zentralen Einrichtung über die telephonischen Kommunikationskanäle. Der sich weiter entfernt befindliche Apparat umfasst ebenso ein Segment, das anspricht auf einen von der zentralen Überwachungseinrichtung bekommenen Befehl, um die Emission von Audiotonsignalen aus dem Defibrillator von der Art der Kardioverter zu ermöglichen. Die Audiotöne werden festgestellt und durch den telefonischen Kommunikationskanal zu der zentralen Überwachungseinrichtung gesendet. Der sich weiter entfernt befindliche Apparat enthält ebenfalls Alarmvorrichtungen für den Patienten, welche durch Befehle in Betrieb gesetzt werden, welche von der zentralen Überwachungseinrichtung herkommend über den telefonischen Kommunikationskanal empfangen werden.

Eine der zahlreichen Begrenzungen des Apparats und des Verfahrens, die in dem Patent von Gessman offenbart werden, besteht in der Tatsache, dass das Segment, das so gebaut werden kann, dass es einem Programmiergerät gleichkommt, nicht ausgehend von der zentralen Überwachungsvorrichtung ferngesteuert werden kann. Das Segment wirkt nur als eine Schaltstation zwischen dem weiter entfernt gelegenen Apparat und der zentralen Überwachungsstation. Ferner gibt es keine Vorschrift bezüglich einer Sicherheit für die gesammelten Patientendaten.

Ein zusätzliches Beispiel aus der Praxis nach dem Stand der Technik umfasst ein auf einem Paket (von Daten) basierendes System der Telemedizin für die Kommunikation von Informationen zwischen zentralen Überwachungsstationen und einer fernen Überwachungsstation eines Patienten, System welches offenbart worden ist in dem Dokument WO 99/14882 von Pfeifer, veröffentlicht am 25. März 1999. Die Veröffentlichung betrifft ein auf einem Datenpaket basierendes System der Telemedizin für die Kommunikation von Bild- und Stimmenmaterial sowie von medizinischen Daten zwischen einer zentralen Überwachungsstation und einem Patienten, der sich weit entfernt in Bezug auf die zentrale Überwachungsstation befindet. Die Überwachungsstation für den Patienten erhält digitale Daten über Bild- und Stimmenmaterial sowie über medizinische Messdaten bezüglich eines Patienten und sie verkapselt die Daten in Paketen und sendet die Pakete über ein Netzwerk zu der zentralen Überwachungsstation. Da die Informationen in Paketen verkapselt sind, können die Informationen über verschiedenartige Typen oder Kombinationen von Netzwerkarchitekturen verschickt werden, inbegriffen sind ein Zugang eines Gemeinschaftsfernsehens (CATV = Community Access Television), das öffentliche Fernsprechnetz (PSTN = Public Switched Telefone Network), das dienstintegrierende digitale Netz (ISDN = Integrated Services Digital Network), das Internet, ein lokales Netzwerk (LAN = Local Area Network), ein Weitverkehrnetzwerk (WAN = Wide Area Network), über ein drahtloses Kommunikationsnetzwerk oder über ein Netzwerk eines asynchronen Übermittelungsmodus (ATM = Asynchronous Transfer Mode). Ein getrennter Übertragungscode ist nicht erfordert für jede verschiedene Art de Übertragungsmediums.

Einer der Vorteile der Erfindung von Pfeifer besteht darin, dass sie es ermöglicht die Daten unter verschiedenen Formen zu einem einzelnen Paket zu formatieren, unabhängig von dem Ursprung oder von dem Übertragungsmediums. Dem Datenübertragungssystem fehlt jedoch die Fähigkeit die Leistungsparameter der medizinischen Schnittstellenvorrichtung oder des Programmiergerätes aus der Ferne zu korrigieren. Ferner offenbart Pfeiffer kein Verfahren und keine Struktur, durch welche die medizinischen Daten während der Übermittelung abgesichert sind, um die Geheimhaltung zu schützen und um die Kenntnisnahme von geheimzuhaltenden Daten durch nicht genehmigtes Personal zu verhindern.

In einem verwandten Stand der Technik offenbart Thompson ein Verfolgungssystem für Patienten in einer gleichzeitigen anhängigen Anmeldung mit dem Titel "World- wide Patient Location and Data Telemetry System for Implantable Medical Devices" (= Weltweite Lokalisierung von Patienten und telemetrisches Datensystem für einpflanzbare medizinische Vorrichtungen), mit der sogenannten Serial Number 09/045.272, eingereicht am 20. März 1998, welche durch Bezugnahme in ihrer Gesamtheit hierin eingeschlossen wird. Die Veröffentlichung liefert zusätzliche Eigenschaften für die Verfolgung eines Patienten in einer beweglichen weltweiten Umgebung mit Hilfe des GPS-Systems. Jedoch befinden sich die Begriffe, die von der vorliegenden Erfindung vorgebracht werden, nicht in dem Anwendungsbereich der Veröffentlichung von Thompson, da in derselben keine Lehre über eine auf dem Web basierende Umgebung vorhanden ist, in welcher ein Programmiergerät in sicheren Datenkommunikationen mit einem fernen Datenexpertenzentrum steht, um Patientendaten so auszutauschen, so wie diese notwendig ist.

In einem noch anderen verwandten Stand der Technik offenbart Ferek-Petric ein System zum Kommunizieren mit einer medizinischen Vorrichtung in einer gleichzeitig anhängigen Anmeldung mit dem sogenannten Serial Number 09/348.506, welche durch Bezugnahme in ihrer Gesamtheit hierin eingeschlossen wird. Die Veröffentlichung betrifft ein System, das eine Fernverbindung mit einer medizinischen Vorrichtung ermöglicht, wie etwa einem Programmiergerät. Insbesondere ermöglicht das System Fernverbindungen, die dazu dienen Vorrichtungsfachmänner über die Zustände und die Probleme des Programmiergeräts zu informieren. Die Fachmänner werden dann eine Anleitung und eine Unterstützung für das ferne Dienstpersonal oder die fernen, sich bei dem Programmiergerät befindlichen Operatoren liefern. Das System kann die folgenden Bestandteile enthalten: eine medizinische Vorrichtung, die dazu geeignet ist in einen Patienten eingepflanzt zu werden, einen PC-Server, der mit der medizinischen Vorrichtung kommuniziert; wobei der PC-Server Mittel aufweist zum Empfangen von Daten, die über einen verstreuten Datenkommunikationsweg übertragen werden, wie etwa über Internet; und einen Kunden-PC mit Mitteln zum Empfangen von Daten, die über einen verstreuten Datenkommunikationsweg über den SPC (= Server-PC) übertragen werden. Bei bestimmten Konfigurationen kann der PC-Server Mittel aufweisen, um Daten über einen verstreuten Datenkommunikationsweg (Internet) entlang einem ersten Kanal und einem zweiten Kanal zu übertragen; und der Kunden-PC kann Mittel aufweisen, um Daten über einen verstreuten Datenkommunikationsweg von dem PC-Server entlang einem ersten Kanal und einem zweiten Kanal zu empfangen.

Eine der bedeutsamen Lehren der Veröffentlichung von Ferek-Petric umfasst, im Zusammenhang mit der vorliegenden Erfindung, das Implementieren von Kommunikationssystemen, die mit IMD-Vorrichtungen verbunden sind, welche mit dem Internet kompatibel sind. In spezifischer Weise stellt die Veröffentlichung den Stand der Technik von Fernkommunikationen, unter Einsatz von Internet, zwischen einer medizinischen Vorrichtung, wie etwa einem Programmiergerät, und Fachmännern, die sich an einem fernen Standort befinden, vor. Wie dies oben angegeben worden ist, wird das Kommunikationsschema so strukturiert, dass es in erster Linie die sich in der Ferne befindlichen Fachmänner über bestehende oder zu erwartende Probleme mit der Programmiervorrichtung warnt, so dass ein vorsichtiges Handeln, wie etwa eine frühe Wartung oder Abhilfeschritte, rechtzeitig durchgeführt werden kann. Weiter wird der sich in der Ferne befindliche Fachmann dank der frühen Warnung oder der vorgezogenen Kenntnis des Problems gut informiert sein, um aus der Ferne Ratschläge oder Anleitungen an das Dienstpersonal oder an die Operatoren bei dem Programmiergerät weiterleiten zu können.

Während die Erfindung von Ferek-Petric den Stand der Technik über Kommunikationssysteme vorstellt, welche sich auf die gegenseitige Beeinflussung mit einem Programmiergerät über ein Kommunikationsmittel wie etwa Internet beziehen, kann man nicht sagen, dass das System ein sicheres Datenübertragungssystem vorschlagen oder nahelegen würde, in welchem ein örtliches Programmiergerät Patienteninformationen aus IMD-Vorrichtungen hin zu einem fernen Datenexpertenzentrum auf eine Weise tauschen würde, welche die Geheimhaltung der Daten schützen würde.

Demgemäss wäre es von Vorteil ein System zu liefern, bei welchem ein Programmiergerät eine Verbindung herstellen könnte hinauf zu einem sich in der Ferne befindlichen Datenexpertenzentrum, um angemessene Daten auf eine sichere Weise zu tauschen. Noch ein anderer gewünschter Vorteil bestünde in der Lieferung eines Systems zum Implementieren des Einsatzes von ferngesteuerten Expertensystemen, um ein Programmiergerät auf Echtzeitbasis durch den Austausch von privaten Daten auf eine sichere Weise zu verwalten. Ein weiterer wünschenswerter Vorteil bestünde in der Lieferung eines Kommunikationsschemas, das mit verschiedenen Kommunikationsmedien kompatibel ist, um eine schnelle Verbindung eines Programmiergeräts hinauf zu einem fernen Expertensystemen und zu spezialisierten. Datenquellen zu fördern, während die Geheimhaltung der Daten während der Übermittelung beibehalten wird. Noch ein anderer wünschenswerter Vorteil bestünde in der Bereitstellung eines mit hoher Geschwindigkeit arbeitenden Kommunikationsschemas, um die Übertragung von Ton, Video und Daten mit hoher Wiedergabetreue zu ermöglichen, um eine wirksame und sichere Datenverwaltung eines klinischen/ therapeutischen Systems über ein Programmiergerät vorzustellen und zu implementieren, wodurch die klinische Vorsorge für den Patienten verbessert wird. Wie dies hierin weiter unten erörtert wird, liefert die vorliegende Erfindung diese und andere wünschenswerte Vorteile.

ZUSAMMENFASSUNG DER ERFINDUNG

Die vorliegende Erfindung betrifft im Allgemeinen ein Kommunikationsschema, bei welchem ein fernes, auf dem Web basierendes Datenexpertenzentrum zusammenwirkt mit einem Patient mit einer oder mit mehreren einpflanzbaren Vorrichtungen (IMD-Vorrichtung) über eine zugeordnete externe medizinische Vorrichtung, vorzugsweise ein Programmiergerät, das sich in einer geringen Nähe zu den IMD-Vorrichtungen befindet. Einige der bedeutsamsten Vorteile der Erfindung umfassen den Einsatz von sicheren Kommunikationsmedien zwischen dem fernen, auf dem Web basierenden Datenexpertenzentrum und dem Programmiergerät, um klinisch bedeutsame Informationen aus der Ferne auszutauschen, ohne dass die Geheimhaltung der medizinischen Daten während der Übermittelung beeinträchtigt würde.

Im Zusammenhang mit der vorliegenden Erfindung umfasst einer der vielen Aspekte der Erfindung einen Echtzeitzugang eines Programmiergeräts zu einem fernen, auf dem Web basierenden Datenexpertenzentrum über ein sicheres Nachrichtennetz, welches das Internet mit einschließt. Die operative Struktur der Erfindung umfasst das ferne, auf dem Web basierende Datenexpertenzentrum, in welchem ein Expertensystem unterhalten wird mit einer zweiseitig gerichteten Echtzeitkommunikation für Daten, Ton und Video mit dem Programmiergerät über einen breiten Bereich von sicheren Systemen von Kommunikationsverbindungen. Das Programmiergerät steht seinerseits in telemetrischer Verbindung mit den IMD-Vorrichtungen, so dass die IMD- Vorrichtungen eine Verbindung hinauf zu dem Programmiergerät herstellen können oder das Programmiergerät eine Verbindung hinab zu den IMD-Vorrichtungen herstellen kann, so wie dies unter Einsatz von sicheren Datenübertragungssystemen benötigt wird.

In einem weiteren Zusammenhang der Erfindung wird ein Programmiergerät aus der Ferne identifiziert, überwacht, bewertet und aufgerüstet, so wie dies benötigt wird, durch das Importieren von Expertensystemen aus einem entfernt gelegenen Datenexpertenzentrum über ein sicheres drahtloses oder ein äquivalentes Kommunikationssystem. Die betriebliche und funktionelle Software der in dem Programmiergerät integrierten Systeme kann aus der Ferne eingestellt, aufgerüstet oder verändert werden, wie dies einleuchtend ist. Einige der Softwareumänderungen können schließlich an die IMD-Vorrichtungen implementiert werden, so wie dies benötigt wird, durch die Herstellung einer Verbindung ausgehend von dem Programmiergerät hinab zu den IMD- Vorrichtungen. Ferner werden spezifische, in der Schnittstelle des Programmiergeräts zu der IMD-Vorrichtung benutzte Bauelemente identifiziert und dokumentiert, um den medizinischen Normen zu entsprechen.

Noch ein anderer Zusammenhang der Erfindung umfasst ein Kommunikationsschema, das ein sicheres, hoch integriertes und wirksames Verfahren und eine entsprechende Struktur einer klinischen Informationsverwaltung liefert, in welche verschiedene Netzwerke implementiert werden, wie etwa das Kabelfernsehnetzwerk (CATV), das lokale Netzwerk (LAN), das Weitverkehrnetzwerk (WAN), das dienstintegrierende digitale Netz (ISDN), das öffentliche Fernsprechnetz (PSTN), das Internet, ein drahtloses Nachrichtennetz, ein Netzwerk mit asynchronem Übertragungsmodus (ATM), ein Laserwellennetzwerk, Satelliten-, Mobil- oder ähnliche Netzwerke, um Stimme, Daten und Video zwischen dem fernen Datenzentrum und einem Programmiergerät zu übertragen. In der bevorzugten Ausführungsform werden drahtlose Kommunikationssysteme, ein Modemsystem und ein. Laserwellensystem nur als Beispiele veranschaulicht und müssen so gesehen werden, dass sie keine Begrenzung der Erfindung auf diese Kommunikationsarten allein darstellen. Ferner weisen die Anmelder im Interesse der Einfachheit hin auf die verschiedenartigen Kommunikationssysteme, in passenden Teilen als ein Kommunikationssystem verwendbar. Es muss jedoch darauf hingewiesen werden, dass die Kommunikationssysteme im Zusammenhang mit der Erfindung austauschbar sind, und sie können verschiedene Auslegungen von Kabeln, optischen Fasern, Mikrowellen, Radios, Lasern und ähnlichen Kommunikationsmöglichkeiten oder praktische Kombinationen derselben betreffen.

Noch eine weitere der anderen unterscheidenden Eigenschaften der Erfindung schließt den Einsatz eines hoch flexiblen und anpassungsfähigen Kommunikationsschemas mit ein, und zwar um die sichere, kontinuierliche und Echtzeitkommunikation zwischen einem fernen Datenexpertenzentrum und einem Programmiergerät zu fördern, welches mit einer größeren Anzahl von IMD-Vorrichtungen gekuppelt ist. Die IMD-Vorrichtungen werden strukturiert, um Informationen intrakorporal zu teilen und sie können sich gegenseitig mit dem Programmiergerät, so wie eine Einheit, beeinflussen. In spezifischer Weise können die IMD- Vorrichtungen entweder gemeinsam oder jede für sich befragt werden, um klinische Informationen durchzuführen oder herauszuholen, je nachdem was erfordert ist. Mit anderen Worten, es kann auf alle IMD-Vorrichtungen über eine IMD- Vorrichtung zugegriffen werden, oder gemäß der Alternative kann auf eine jede der IMD-Vorrichtungen einzeln zugegriffen werden. Die auf diese Weise gesammelten Informationen können an das Programmiergerät weitergeleitet werden durch die Erstellung einer Aufwärtsstrecke zu den IMD-Vorrichtungen, so wie dies benötigt wird.

Ferner liefert die vorliegende Erfindung bedeutsame Vorteile gegenüber dem Stand der Technik dadurch, dass sie die Erwerbung von sicheren und automatischen Selbstidentifizierungsinformationen eines Programmiergeräts aus der Ferne ermöglicht. Das automatische Selbstidentifizierungsschema ist kompatibel mit einem weltweiten, vorzugsweise auf dem Web basierenden Datenzentrum, das so konfiguriert ist, dass es die Bauelemente befragen und die Identifizierung derselben erhalten kann. In erster Linie betrifft das Verfahren der Identifizierung von Bauelementen die Arbeitsabschnitte Programmiergerät/IMD-Vorrichtung. Die in diesen Arbeitsabschnitten benutzten Bauelemente werden als Referenz und zur Erfüllung der Anforderungen identifiziert und zentral protokolliert. Im allgemeinen wird das auf dem Web basierende Datenexpertenzentrum das Programmiergerät befragen, um die in den Arbeitsabschnitten benutzten Bauelemente zu identifizieren.

Die Erfindung gewährleistet eine gute Kompatibilität und Skalierbarkeit zu anderen auf dem Web basierenden Anwendungen, wie etwa die Telemedezin und die auftauchenden, auf dem Web basierenden Technologien, wie etwa die Teleimmersion. Zum Beispiel kann das System angepasst werden an Anwendungen mit dem Webtop, bei welchen eine Webtopeinheit benutzt werden kann, um eine Aufwärtsstrecke von einem Patienten bis zu einem fernen Datenzentrum für einen nicht kritischen Informationsaustausch zwischen den IMD-Vorrichtungen und dem fernen Datenexpertenzentrum herzustellen. Bei dieser und bei anderen auf dem Web basierenden ähnlichen Anwendungen können die Daten, die auf diese Weise und im Wesentlichen gemäß der vorliegenden Erfindung gesammelt werden, als ein einleitendes Aussortieren benutzt werden, um die Notwendigkeit für einen weiteren Eingriff unter Einsatz der fortgeschrittenen Web-Technologien zu erkennen.

Demgemäss liefert die Erfindung Lösungen zu einigen in dem Stand der Technik vorhandenen Problemen, wie etwa: (a) eine Unfähigkeit, empfindliche Daten aus einem Programmiergerät sicher bis hin zu einem Empfangsapparat über ein öffentliches Netzwerk zu übertragen; (b) eine Unfähigkeit, die Quelle einer Datenübertragung aus einer medizinischen Vorrichtung zu beglaubigen und eindeutig zu identifizieren; (c) eine Unfähigkeit, ein sicheres Mittel zu liefern, um betriebliche Attribute einer medizinischen Vorrichtung an den Hersteller der medizinischen Vorrichtung zu liefern; (d) eine Unfähigkeit, dem Hersteller einer medizinischen Vorrichtung ein sicheres Mittel zum Hinunterladen von Softwareaktualisierungen an ein Programmiergerät zu liefern und (e) eine Unfähigkeit, dem Hersteller einer medizinischen Vorrichtung ein sicheres Mittel zu liefern, um empfindliche Patientendaten aus einem zentralisierten Computer über ein öffentliches Netzwerk an ein Programmiergerät zu übertragen.

Ferner liefern das System und das Verfahren der Erfindung gewisse Vorteile, wozu man zählt (a) die Fähigkeit, einen sicheren Datenaustausch zwischen einem Programmiergerät und einem Computer über das öffentliche Netzwerk hindurch zu liefern; (b) die Fähigkeit, die Quelle einer Datenübertragung aus einer medizinischen Vorrichtung über eine digitale Unterschrift eindeutig zu identifizieren; (c) die Fähigkeit, die Beglaubigung einer Kommunikation zu bestätigen, welche ausgehend von einem Computer an ein Programmiergerät gerichtet wird; (d) die Fähigkeit, empfindliche Patientendaten zwischen zwei Programmiergeräten durch ein öffentliches Netzwerk hindurch unter Einsatz der Datenverschlüsselung direkt zu tauschen; und (e) die Fähigkeit, betriebliche Attribute einer medizinischen Vorrichtung sicher an den Hersteller der medizinischen Vorrichtung zu übertragen.

Das System und das Verfahren der Erfindung umfassen gewisse Eigenschaften, einschließlich eines Motors zur Datenverschlüsselung, welcher in einem Programmiergerät vorhanden ist zur Verschlüsselung von empfindlichen Informationen, die von dem Programmiergerät erhalten worden sind. Die Erfindung umfasst ebenso eine Eigenschaft, um die verschlüsselten Patientendaten aus dem Programmiergerät an einen Computer zu übertragen mit Hilfe eines öffentlichen Medienkommunikationsnetzwerkes. Eine andere Eigenschaft der Erfindung besteht in einem Motor zur Datenentschlüsselung, welcher in dem Computer vorhanden ist zur Entschlüsselung der verschlüsselten Patientendaten, die durch das Programmiergerät geschaffen worden sind. Noch eine andere Eigenschaft der Erfindung besteht in einer Schlüsselquelle, die den Verschlüsselungsmotor und den Entschlüsselungsmotor mit einer Gruppe von Schlüsseln beliefert, welche von dem Verfahren zur Verschlüsselung/Entschlüsselung gebraucht werden.

Andere Objekte, Vorteile und Eigenschaften der Erfindung werden klar bei Bezugnahme auf die beigefügten Zeichnungen, auf die ausführliche Beschreibungen und die Ansprüche.

Kurze Beschreibung der Zeichnungen

Man wird die vorliegende Erfindung dadurch zu schätzen lernen, dass man dieselbe besser verstehen wird bei der Bezugnahme auf die nachfolgende ausführliche Beschreibung der bevorzugten Anwendungsform der Erfindung und bei der Betrachtung im Zusammenhang mit den beigefügten Zeichnungen, in welchen gleich nummerierte Referenzzahlen gleiche Teile überall in den Abbildungen bezeichnen, Abbildungen in welchen:

Die Abb. 1 ein vereinfachtes schematisches Diagramm einer Hauptaufwärtsstrecke und einer Hauptabwärtsstrecke telemetrischer Kommunikationen zwischen einer fernen klinischen Station, einem Programmiergerät und eine große Anzahl von einpflanzbaren medizinischen Vorrichtungen (IMD-Vorrichtungen) darstellt;

die Abb. 2 ein Blockdiagramm ist, welches die Hauptbauelemente einer IMD-Vorrichtung darstellt:

die Abb. 3A ein Blockdiagramm ist, welches die Hauptbauelemente eines Programmiergeräts oder einer Webtopeinheit darstellt;

die Abb. 3B ein Blockdiagramm ist, welches einen Lasersender-/-empfänger für eine Übertragung von Stimme, Video und anderen Daten mit hoher Geschwindigkeit darstellt;

die Abb. 4 ein Blockdiagramm ist, welches die Struktur der Organisation des drahtlosen Kommunikationssystems gemäß der vorliegenden Erfindung veranschaulicht;

die Abb. 5 ein Blockdiagramm ist, welches eine erste Ausführungsform eines sicheren Mechanismus zur Datenübertragung in Übereinstimmung mit der vorliegenden Erfindung darstellt.

die Abb. 6 ein Blockdiagramm ist, welches eine zweite Ausführungsform eines sicheren Mechanismus zur Datenübertragung in Übereinstimmung mit der vorliegenden Erfindung darstellt.

die Abb. 7 ein Blockdiagramm ist, welches eine dritte Ausführungsform eines sicheren Mechanismus zur Datenübertragung in Übereinstimmung mit der vorliegenden Erfindung darstellt.

die Abb. 8 ein Flussdiagramm ist, welches ein Verfahren zur sicheren Übertragung von empfindlichen Informationen aus einem Programmiergerät hin zu einem Computer in Übereinstimmung mit der vorliegenden Erfindung darstellt.

die Abb. 9 ein Flussdiagramm ist, welches ein Verfahren zur sicheren Übertragung von empfindlichen Informationen aus einem Computer hin zu einem Programmiergerät in Übereinstimmung mit der vorliegenden Erfindung darstellt.

die Abb. 10 ein Blockdiagramm eines fernen Datenzentrums oder eines Computersystems und eines entsprechenden computerlesbaren Datenträgers, welches ein Verfahren zur sicheren Übertragung von empfindlichen Patienteninformationen von einem Programmiergerät hin zu einem Computer in Übereinstimmung mit der vorliegenden Erfindung einschließt.

Beschreibung der bevorzugten Ausführungsformen

Die Abb. 1 stellt ein vereinfachtes Schema der Hauptbauelemente der vorliegenden Erfindung dar. In spezifischer Weise wird ein zweiseitig gerichtetes drahtloses Kommunikationssystem zwischen dem Programmiergerät 20, der Webtopeinheit 20' und einer gewissen Anzahl von einpflanzbaren medizinischen Vorrichtungen (IMD-Vorrichtungen) gezeigt, welche durch die IMD-Vorrichtung 10, die IMD-Vorrichtung 10' und die IMD- Vorrichtung 10" dargestellt werden. Die IMD-Vorrichtungen werden in dem Patienten 12 unter der Haut oder einem Muskel eingepflanzt. Die IMD-Vorrichtungen sind elektrisch mit den jeweiligen Elektroden 18, 30 und 36 auf eine aus dem Stand der Technik bekannte Art und Weise gekuppelt. Die IMD- Vorrichtung 10 enthält einen Mikroprozessor für die Funktionen der zeitlichen Einstellung, des Abtastens und des Schrittgebens, die mit den vorhereingestellten programmierten Funktionen übereinstimmen. Auf ähnliche Weise basieren die IMD-Vorrichtungen 10' und 10" auf einem Mikroprozessor, um so die Funktionen für das Timing und das Überprüfen zu liefern und um die klinischen Funktionen durchzuführen, für welche sie zum Einsatz kommen. Zum Beispiel kann die IMD-Vorrichtung 10' durch die Elektrode 30 eine Nervenstimulation an das Hirn liefern und die IMD- Vorrichtung 10" kann als ein Arzneizufuhrsystem arbeiten, welches von der Elektrode 36 gesteuert wird. Die verschiedenen Funktionen der IMD-Vorrichtungen werden unter Einsatz einer drahtlosen Telemetrie koordiniert. Die drahtlosen Verbindungen 42, 44 und 46 kuppeln die IMD- Vorrichtungen 10, 10' und 10" sowohl gemeinsam als auch jede für sich, so dass das Programmiergerät 20 über eine der Telemetrieantennen 28, 32 und 38 Befehle oder Daten an irgendeine oder an alle IMD-Vorrichtungen übertragen kann. Diese Struktur gewährleistet ein hochflexibles und sparsames drahtloses Kommunikationssystem zwischen den IMD- Vorrichtungen. Weiter liefert die Struktur ein redundantes Kommunikationssystem, das einen Zugang zu irgendeiner unter einer großen Anzahl von IMD-Vorrichtungen ermöglicht im Falle einer Funktionsstörung von einer oder von zwei der Antennen 28, 32 und 38.

Programmierbefehle oder Daten werden von dem Programmiergerät 20 zu den IMD-Vorrichtungen 10, 10' und 10" übertragen und zwar über die externe RF- Telemetrieantenne 24 (RF = radiofrequency = Hochfrequenz). Die Telemetrieantenne 24 kann ein RF-Kopf oder eine gleichwertige Vorrichtung sein. Die Antenne 24 kann auf dem Programmiergerät 20 außen auf der Kiste oder dem Gehäuse lokalisiert sein. Die Telemetrieantenne ist im Allgemeinen teleskopisch und kann auf der Kiste des Programmiergeräts 20 einstellbar sein. Beide, das Programmiergerät 20 und die Webtopeinheit 20' können einige Fuß abseits von dem Patienten 12 aufgestellt werden und würden immer noch in dem Bereich sein, um mit den Telemetrieantennen 28, 32 und 38 drahtlos kommunizieren zu können.

Die Aufwärtsstrecke bis zu dem fernen, auf dem Web basierenden Datenexpertenzentrum 62, das man nachstehend auf eine auswechselbare Art und Weise als "Datenzentrum 62", "Datenexpertenzentrum 62" oder "auf dem Web basierendes Datenzentrum 62", ohne darauf begrenzt zu sein, bezeichnet, wird durch das Programmiergerät 20 oder die Webtopeinheit 20' bewerkstelligt. Demgemäss arbeiten das Programmiergerät 20 und die Webtopeinheit 20' wie eine Schnittstelle zwischen den IMD-Vorrichtungen 10, 10' und 10" und dem Datenzentrum 62. Eines der vielen unterscheidenden Elemente gemäß der vorliegenden Erfindung umfasst den Gebrauch von verschiedenen skalierbaren, zuverlässigen und mit hoher Geschwindigkeit arbeitenden drahtlosen Kommunikationssystemen, um Digital-/Analogdaten mit einer hohen Wiedergabetreue zwischen dem Programmiergerät 20 und dem Datenzentrum 62 in beiden Richtungen zu übertragen.

Es gibt eine große Anzahl von drahtlosen Mitteln, durch welche Datenkommunikationen zwischen einem Programmiergerät 20 oder einer Webtopeinheit 20' und einem Datenzentrum 62 hergestellt werden können. Das Kommunikationsglied zwischen dem Programmiergerät 20 oder der Webtopeinheit 20' und dem Datenzentrum 62 kann das Modem 60 sein, welches auf einer Seite durch die Linie 63 mit dem Programmiergerät 20 verbunden ist, und auf der anderen Seite durch die Linie 64 mit dem Datenzentrum 62. In diesem Fall werden die Daten von dem Datenzentrum 62 durch das Modem 60 bis zu dem Programmiergerät 20 übertragen. Alternative Datenübertragungssysteme umfassen, ohne darauf begrenzt zu sein, stationäre Mikrowellen und/oder RF-Antennen 48, die drahtlos mit dem Programmiergerät 20 über eine abstimmbare Frequenzwelle verbunden sind, welche durch die Linie 50 abgegrenzt ist. Die Antenne 48 steht in Kommunikation mit dem Datenzentrum 62 über die drahtlose Verbindungsstrecke 65. Auf ähnliche Weise stehen die Webtopeinheit 20', das bewegliche Fahrzeug 52 und der Satellit 56 in Kommunikation mit dem Datenzentrum 62 über die drahtlose Verbindungsstrecke 65. Weiter stehen das bewegliche System 52 und der Satellit 56 in drahtloser Kommunikation mit dem Programmiergerät 20 oder der Webtopeinheit 20' über die jeweiligen abstimmbaren Frequenzwellen 54 und 58.

In der bevorzugten Ausführungsform wird ein Telnetsystem gebraucht, um drahtlos auf das Datenzentrum 62 Zugang zu nehmen. Das Telnet emuliert ein Modell Kunde/ Server und erfordert, dass der Kunde eine dedizierte Software benutzt, um auf das Datenzentrum 62 Zugang zu nehmen. Das Telnetschema, das für den Gebrauch im Rahmen der vorliegenden Erfindung ausgedacht worden ist, schließt verschiedene Betriebssysteme ein, einschließlich UNIX, Macintosh und alle Versionen von Windows.

Was die Funktionalität anbetrifft, so leitet ein Operator bei dem Programmiergerät 20 oder ein Operator bei dem Datenzentrum 62 den Kontakt aus der Ferne ein. Eine Abwärtsstrecke kann von dem Programmiergerät 20 bis zu den IMD-Vorrichtungen durch die Verbindungsantennen 28, 32 und 38 hergestellt werden, um den Empfang und die Übertragung von Daten zu ermöglichen. Zum Beispiel kann ein Operator oder ein Kliniker bei dem Datenzentrum 62 eine Abwärtsstrecke bis zu dem Programmiergerät 20 herstellen, um eine routinemäßige oder vorgesehene Beurteilung des Programmiergeräts 20 durchzuführen. In diesem Fall wird die drahtlose Kommunikation über die drahtlose Verbindung 65 hergestellt. Wenn eine Abwärtsstrecke von dem Programmiergerät 20 bis zu der IMD-Vorrichtung 10 zum Beispiel erfordert ist, so wird die Abwärtsstrecke unter Einsatz der Telemetrieantenne 22 vollzogen. Auf alternative Weise, wenn eine Aufwärtsstrecke von dem Patienten 12 bis zu dem Programmiergerät 20 eingerichtet wird, dann wird die Aufwärtsstrecke über die drahtlose Verbindung 26 durchgeführt. Wie dies in dieser Veröffentlichung weiter unten erörtert wird, kann jede Antenne aus den IMD- Vorrichtungen benutzt werden, um eine Aufwärtsstrecke von allen oder von einer der IMD-Vorrichtungen bis zu dem Programmiergerät 20 herzustellen. Zum Beispiel kann die das Nervenimplantat 30 betreffende IMD-Vorrichtung 10" implementiert werden, um eine Aufwärtsstrecke über die drahtlose Antenne 34 oder über die drahtlose Antenne 34' herzustellen, ausgehend von irgendeiner von zwei oder von mehreren IMD-Vorrichtungen bis hin zu dem Programmiergerät 20. Vorzugsweise werden Chips von der sogenannten "bluetooth-Art", die adoptiert werden, um in dem Innern des Körpers in Bezug auf denselben nach außen hin zu funktionieren und welche ebenfalls adoptiert werden, um einen Drain von niedriger Stromstärke zu liefern, eingebettet um drahtlose und nahtlose Verknüpfungen 42, 44 und 46 zwischen den IMD-Vorrichtungen 10, 10' und 10" bereitzustellen. Das Kommunikationsschema wird entworfen, um breitbandkompatibel zu sein, und um in der Lage zu sein, gleichzeitig mehrfache Informationsgruppen mit Architektur zu tragen, bei einer relativ hohen Geschwindigkeit zu übertragen und Daten-, Ton- und Videodienste auf Verlangen zu liefern.

Die Abb. 2 erläutert herkömmliche Bauelemente an einer IMD-Vorrichtung, wie etwa diejenigen, die von der vorliegenden Erfindung in Betracht gezogen werden. In spezifischer Weise werden die hauptsächlichen operativen Strukturen, die gemeinsam für alle IMD-Vorrichtungen 10, 10' und 10" da sind, in einer Gattungsform dargestellt. Im Interesse der Kürze, die IMD-Vorrichtung 10 die auf Abb. 2 hinweist bezieht sich auf all die anderen IMD- Vorrichtungen. Demgemäss wird die IMD-Vorrichtung 10 bei dem Patienten 12 unter die Haut oder einen Muskel des Patienten eingepflanzt und sie wird mit dem Herzen 16 des Patienten 12 gekuppelt über Schrittmacher-/Abtastelektroden und einen oder mehrere Drahtleiter aus mindestens einem Herzschrittmacherdraht 18 auf eine vom Stand der Technik her bekannte Weise. Die IMD-Vorrichtung 10 enthält die Zeitsteuerung 72, die ein Betriebssystem umfasst, welches den Mikroprozessor 74 oder eine Digitalzustandsmaschine für die Funktionen der Zeiteinstellung, des Abfühlens oder des Schrittmachens in Übereinstimmung mit einer programmierten Betriebsart anwenden kann. Die IMD-Vorrichtung 10 enthält auch Abfühlverstärker zum Feststellen von Herzsignalen, Sensoren der Aktivität des Patienten oder andere physiologische Sensoren zum Feststellen des Bedarfs an Herzleistung, und pulserzeugende Leitungskreisläufe zur Lieferung von Schrittmacherpulsen an mindestens eine Herzkammer des Herzen 16, das auf eine nach dem Stand der Technik gut bekannte Weise unter der Kontrolle eines Betriebssystems steht. Das Betriebssystem umfasst die Speicherregister oder RAM/ROM 76 zur Speicherung einer Vielheit von einprogrammierten Betriebsarten und Parameterwerten, die durch das Betriebssystem benutzt werden. Das Speicherregister oder RAM/ROM 76 kann auch zum Speichern von Daten benutzt werden, welche kompiliert worden sind aus der abgetasteten Herzaktivität und/oder sich auf die Geschichte des Betriebsgerätes beziehen oder aus abgefühlten Physiologieparametern herrühren, für die Telemetrie nach Erhalt einer Auffindungs- oder Abfrageanweisung. Alle diese Funktionen und Betätigungen sind nach dem Stand der Technik gut bekannt und viele davon werden allgemein gebraucht zum Speichern von Betriebsbefehlen sowie von Daten für die Kontrolle des Betriebes der Vorrichtungen und zur späteren Auffindung zum Diagnostizieren der Funktionen des Gerätes oder des Zustandes des Patienten

Programmierungsbefehle oder -daten werden, zum Beispiel, zwischen der RF-Telemetrieantenne 28 der IMD- Vorrichtung 10 und einer externen, mit dem Programmiergerät 20 assoziierten RF-Telemetrieantenne 24 übertragen. In diesem Fall ist es nicht erforderlich, dass die externe RF- Telemetrieantenne 24 in einem RF-Kopf eines Programmiergeräts enthalten sein muss, so dass sie in der Nähe der die IMD-Vorrichtung 10 überlagernden Haut des Patienten lokalisiert sein kann. Stattdessen kann die externe RF-Telemetrieantenne 24 auf der Kiste des Programmiergeräts 20 lokalisiert sein. Es sollte zur Kenntnis genommen werden, dass das Programmiergerät 20 in einer gewissen Entfernung von dem Patienten 12 lokalisiert sein kann und es wird örtlich angeordnet in der Nähe der IMD-Vorrichtungen, derart dass die Verbindung zwischen den IMD-Vorrichtungen 10, 10' und 10" und dem Programmiergerät 20 telemetrisch ist. Zum Beispiel können das Programmiergerät 20 und die externe RF-Telemetrieantenne 24 sich auf einem Abstelltisch befinden, einige Meter oder so abseits von dem Patienten 12. Außerdem kann der Patient 12 aktiv sein und er könnte seine Übungen auf einem Laufband oder dergleichen Gerät machen während einer telemetrischen Abfrage über eine Aufwärtsstrecke eines Echtzeit-EKG's oder anderer physiologischer Parameter. Das Programmiergerät 20 kann ebenfalls ausgelegt werden zum universellen Programmieren von vorhandenen IMD-Vorrichtungen, die RF- Telemetrieantennen nach dem Stand der Technik benutzen und die deshalb auch einen herkömmlichen RF-Kopf beim Programmiergerät sowie dazugehörige Software für einen selektiven Einsatz besitzen.

Bei einer Kommunikation auf einer Aufwärtsstrecke zwischen der IMD-Vorrichtung 10 und dem Programmiergerät 20, zum Beispiel, wird eine Telemetrieübertragung 22 betätigt, um als Sender zu wirken, und die externe RF- Telemetrieantenne 24 wirkt als ein telemetrischer Empfänger. Auf diese Weise können Daten und Informationen aus der IMD- Vorrichtung 10 an das Programmiergerät 20 übertragen werden. Nach einer Alternative wirkt die RF-Telemetrieantenne 24 der IMD-Vorrichtung 10 als eine telemetrische Empfangsantenne, um eine Abwärtsstrecke für die Daten und Informationen aus dem Programmiergerät 20 herzustellen. Die beiden RF- Telemetrieantennen 22 und 26 werden an ein Sende- und Empfangsgerät gekuppelt, welches einen Sender und einen Empfänger enthält.

Die Abb. 3A ist ein vereinfachtes Blockdiagramm eines Kreises der hauptsächlichen funktionellen Komponenten des Programmiergeräts 20. Die externe RF-Telemetrieantenne 24 auf dem Programmiergerät 20 wird gekuppelt mit einem telemetrischen Sende- und Empfangsgerät 86 und der Treiberschaltkarte der Antenne, welche einen telemetrischen Sender und einen telemetrischen Empfänger 34 enthält. Der telemetrische Sender und der telemetrische Empfänger sind gekuppelt an den Kontrollkreis und die Kontrollregister, die unter der Kontrolle des Mikrocomputers 80 betätigt werden. Auf ähnliche Weise wird die RF-Telemetrieantenne 26, in der IMD-Vorrichtung 10 zum Beispiel, mit einem telemetrischen Sende- und Empfangsgerät gekuppelt, welches einen telemetrischen Sender und einen telemetrischen Empfänger enthält. Der telemetrische Sender und der telemetrische Empfänger in der IMD-Vorrichtung 10 werden gekuppelt an den Kontrollkreis und die Kontrollregister, welche unter der Kontrolle des Mikrocomputers 74 betätigt werden.

Ferner, unter Bezugnahme auf die Abb. 3A, stellt das Programmiergerät 20 einen Computer vom personellen Typ dar, eine auf einem Mikroprozessor basierende Vorrichtung, die eine zentrale Datenverarbeitungsanlage enthält, welche zum Beispiel ein Intel Pentium Mikroprozessor oder ein ähnliches Gerät sein kann. Ein System eines Übertragungsweges, kurz Bussystem genannt, verbindet eine CPU 80 (Central Processing Unit = zentrale Datenverarbeitungsanlage) mit einem Festplattenlaufwerk, das Betriebsprogramme und Daten speichert, sowie mit einem graphischen Schaltkreis und einem Schnittstellenreglermodul. Ein Diskettenlaufwerk oder ein CD-ROM-Laufwerk wird ebenfalls mit dem Bus gekuppelt und ist zugänglich über einen Platteneingabeschlitz in dem Gehäuse des Programmiergeräts 20. Das Programmiergerät 20 enthält weiter ein Schnittstellenmodul, das einen digitalen Kreis, einen nicht isolierten analogen Kreis und einen isolierten analogen Kreis einschließt. Der digitale Kreis ermöglicht es dem Schnittstellenmodul mit dem Schnittstellenreglermodul zu kommunizieren. Die Betätigung des Programmiergeräts in Übereinstimmung mit der vorliegenden Erfindung wird durch den Mikroprozessor 80 gesteuert.

Auf dass der Arzt oder ein anderer Pfleger oder ein Operator mit dem Programmiergerät 20 kommunizieren kann, wird wahlweise eine Tastatur oder ein mit der CPU 80 gekuppeltes Eingabegerät 82 bereitgestellt Jedoch kann der primäre Kommunikationsmodus über einen graphischen Bildschirm von der gut bekannten Art des "Sensorbildschirms" erfolgen, welcher von einem graphischen Schaltkreis gesteuert wird. Ein Benutzer des Programmiergeräts 20 kann auf dasselbe einwirken unter Einsatz eines Stiftes, der ebenfalls mit einem graphischen Schaltkreis gekuppelt ist und welcher benutzt wird, um auf die verschiedenen Stellen auf dem Bildschirm oder auf dem Datensichtgerät 84 zu zielen, welche eine Wahl von Menüs für die Selektion durch den Benutzer anzeigen oder aber eine alphanumerische Tastatur zur Eingabe von Text oder von Zahlen oder von anderen Symbolen. Verschiedene Zusammenbauten von Sensorbildschirmen sind bekannt und stehen im Handel zur Verfügung. Das Datensichtgerät 84 und/oder die Tastatur enthalten Mittel zur Eingabe von Befehlsignalen durch den Operator, um Übertragungen auf einer telemetrischen Abwärtsstrecke oder Aufwärtsstrecke einzuleiten und um telemetrische Kontrollabschnitte einzuleiten sobald eine telemetrische Verbindung mit dem Datenzentrum 62 oder mit einem eingepflanzten Gerät hergestellt worden ist. Das Datensichtgerät 84 wird auch benutzt zur Anzeige von auf den Patienten bezogenen Daten sowie zur Auswahl von Menüs und von Feldern zur Eingabe von Daten, die beim Eingeben von Daten in Übereinstimmung mit der vorliegenden Erfindung gebraucht werden, so wie dies unten beschrieben wird. Der Datensichtschirm 84 zeigt ebenso eine Vielheit von Bildschirmen mit telemetrisch übertragenen Daten oder mit Echtzeitdaten an. Der Datensichtschirm 84 kann auch über die Aufwärtsstrecke bekommene Ereignissignale so anzeigen wie sie empfangen werden und dadurch als Mittel dienen, um es dem Operator zu ermöglichen zeitbezogen die Geschichte und den Zustand der Verbindung nachzuprüfen.

Das Programmiergerät 20 enthält ferner ein Schnittstellenmodul, welches einen digitalen Schaltkreis, einen nicht isolierten analogen Schaltkreis und einen isolierten analogen Schaltkreis einschließt. Der digitale Schaltkreis ermöglicht es dem Schnittstellenmodul mit dem Schnittstellenreglermodul zu kommunizieren. Wie dies oben angegeben worden ist, wird die Tätigkeit des Programmiergeräts 20 in Übereinstimmung mit der vorliegenden Erfindung durch den Mikroprozessor 80 kontrolliert. Das Programmiergerät 20 ist vorzugsweise von der Art, die in dem Patent U.S. N° 5.345.362 von Winkler offenbart worden ist, welches durch Bezugnahme in seiner Gesamtheit hierin eingeschlossen wird.

Der Bildschirm 84 kann auch auf der Aufwärtsstrecke erfasste Ereignissignale anzeigen, wenn sie empfangen werden und dadurch als Mittel dienen, um es dem Operator des Programmiergeräts 20 zu ermöglichen, den Empfang der Aufwärtsstreckentelemetrie aus einer eingepflanzten Vorrichtung mit der Anwendung einer eine Antwort hervorrufenden Aktion auf den Körper des Patienten in Wechselbeziehung zu setzen, je nachdem dies benötigt wird. Das Programmiergerät 20 wird ebenfalls ausgestattet werden mit einem Kreisblattstreifenschreiber oder ähnlichen Geräten, welche mit einem Schnittstellenreglermodul so gekuppelt sind, dass eine Hartkopie eines EKG's eines Patienten, ein EGM (Elektromyogramm), ein Markierungskanal für auf dem Sichtschirm angezeigte Graphiken erzeugt werden können.

Wie dies von den Fachmännern eingeschätzt werden kann, ist es oft wünschenswert ein Hilfsmittel bereitzustellen, um es dem Programmiergerät 20 zu ermöglichen seine Betriebstätigkeit anzupassen, je nach der Art oder der Generation der eingepflanzten, medizinischen Vorrichtung, welche programmiert werden muss und welche übereinstimmen muss mit dem drahtlosen Kommunikationssystem, durch welches die Daten und Informationen zwischen dem Programmiergerät 20 und dem Datenzentrum 62 übermittelt werden.

Die Abb. 3B ist eine Illustration der hauptsächlichen Komponenten der Welleneinheit 90, welche die Lasertechnologien benutzt, wie etwa die Wave Star Optic Air Unit, die von den Lucent Technologies hergestellt wird, oder ähnliche Mittel. Diese Ausführungsform kann für eine breite Datenübertragung bei hohen Geschwindigkeiten bei Anwendungen, die mehrere Programmiergeräte umfassen, implementiert werden. Die Einheit enthält den Laser 92, den Sender-Empfänger 94 und den Verstärker 96. Eine erste Welleneinheit 90 wird bei dem Datenzentrum 62 installiert und eine zweite Einheit 90' befinden sich in der Nähe des Programmiergeräts 20 oder der Webtopeinheit 20'. Die Übertragung der Daten zwischen dem entfernt gelegenen Datenzentrum 62 und der Programmiergeräteeinheit 20 wird über die Welleneinheiten 90 vollzogen. Gewöhnlich nimmt die erste Welleneinheit 90 die Daten an und teilt sie in eine einzige Wellenlänge für die Übertragung. Die zweite Welleneinheit 90' setzt die Daten in ihrer Originalform wieder zusammen.

Die Abb. 4 ist ein vereinfachtes Blockdiagramm und illustriert die hauptsächlichen Systeme der Erfindung. Das entfernt gelegene Expertensystem oder Datenzentrum 62 umfasst die Datenquelle 100. Wie dies oben erörtert worden ist, steht das Datenzentrum 62 vorzugsweise in drahtloser Kommunikation mit dem Programmiergerät 20. Das Medium für die Kommunikation zwischen dem Programmiergerät 20 und dem Datenzentrum 62 kann ausgewählt werden unter einem System oder unter einer Kombinationen von mehreren Systemen, mit Kabeln und drahtlos, wie sie oben erwähnt worden sind. Ferner steht das Programmiergerät 20 in drahtloser Kommunikation mit einer gewissen Anzahl von IMD- Vorrichtungen, wie dies in der Abb. 1 gezeigt worden ist. Obwohl drei IMD-Vorrichtungen für Erläuterungszwecke gezeigt werden, muss bemerkt werden, dass mehrere IMD- Vorrichtungen implementiert werden können und die praktische Umsetzung der vorliegenden Erfindung begrenzt die Anzahl der Implantate an sich nicht.

Die Abb. 5 ist ein Blockdiagramm, das eine Ausführungsform eines strukturellen Schemas einer sicheren Datenübertragung in Übereinstimmung mit der vorliegenden Erfindung veranschaulicht, welche allgemein durch Punkt 220 angezeigt wird. In dieser Ausführungsform werden die empfindlichen Informationen 221 (wie etwa Patienteninformationen) unter einer verschlüsselten Form aus dem Programmiergerät 222 zu dem fernen Datenexpertenzentrum /fernen Datenzentrum durch die Datenkommunikationsmedien/ -verbindung 226 hindurch übertragen. Das Medium zur Datenkommunikation 226 besteht in einer Schnittstelle zur Kupplung des Programmiergeräts 222 und des fernen Datenzentrums 224 untereinander. Das Medium zur Datenkommunikation 226 könnte konfiguriert werden, um eine Verbindung zu umfassen, einschließlich einer Telefonlinie, einer Intranetverbindung, einer Internetverbindung, einer Satellitenverbindung, einem Lasersystem, einer Konstellation von Satellitenverbindungen, einer Verbindung über das GPS- System oder irgendeiner Kombination derselben.

Die Schlüsselquelle 228 liefert Schlüssel zur Verschlüsselung/Entschlüsselung sowohl an das Programmiergerät 222 als auch an das ferne Datenzentrum 224 zur Verschlüsselung/Entschlüsselung von empfindlichen Informationen 221. In einer Ausführungsform der Erfindung verteilt die Schlüsselquelle 228 symmetrische Schlüssel zur Verschlüsselung/Entschlüsselung. In einer anderen Ausführungsform der Erfindung verteilt die Schlüsselquelle 228 asymmetrische Schlüssel (d. h. bekannte/private Schlüssel). Wenn die durch die Erfindung angewandten Algorithmen zur Verschlüsselung/Entschlüsselung Standardalgorithmen sind, die dem Publikums bekannt sind, dann müssen zusätzliche Sicherheitsmaßnahmen bei der Verteilung der Schlüssel aus der Schlüsselquelle 228 an das Programmiergerät 222 und 224 getroffen werden, um die Geheimhaltung zu gewährleisten. Zusätzlich zu empfindlichen Patienteninformationen kann die Erfindung ebenfalls andere Formen von empfindlichen Informationen 221 sicher übertragen, einschließlich von: Arztdaten, Kundendaten und/ oder Herstellerdaten, hin zu dem fernen Datenexpertenzentrum 224.

Das Programmiergerät 222 stellt irgendein Instrument dar, welches in der Lage ist, empfindliche Informationen 221 zu erlangen, zu speichern und zu übertragen. Das Programmiergerät 222 ist in der Lage mit den IMD-Vorrichtungen 10, 10' Und 10" gekuppelt zu werden. Die IMD-Vorrichtung 10 erhält empfindliche Informationen 221 von dem Patienten, dann überträgt sie die empfindlichen Patienteninformationen zu dem Programmiergerät 222.

Bevor die empfindlichen Informationen 221 durch die Medien 226 zur Datenkommunikation übertragen werden, werden die empfindlichen Informationen 221 durch den Verschlüsselungsmotor 230 verschlüsselt. Der Verschlüsselungsmotor 230 verschlüsselt empfindliche Informationen 221 unter Einsatz eines Verschlüsselungsalgorithmus und eines Schlüssels. Im Wesentlichen wandelt der Verschlüsselungsmotor 230 die empfindlichen Informationen 221 in eine zufällig verwürfelte Nachricht. Der Verschlüsselungsmotor 230 stellt verschiedene verschlüsselte verwürfelte Nachrichten her, je nach dem spezifischen Wert und dem Format des Verschlüsselungsschlüssels. Verschiedene Verschlüsselungsalgorithmen können in dem Rahmen und in dem Zusammenhang der Erfindung benutzt werden. In einer Ausführungsform benutzt die Erfindung einen Algorithmus von der Kryptographieart mit symmetrischem Schlüssel (d. h., dass der gleiche Schlüssel wird benutzt von dem Programmiergerät 222 und dem fernen Datenzentrum 224, um die empfindlichen Informationen 221 zu verschlüsseln und zu entschlüsseln). Beispiele von Kryptographiearten mit symmetrischem Schlüssel umfassen die Datenverschlüsselungsnorm (DES = Data Encryption Standard) und den internationalen Algorithmus zur Datenverschlüsselung (IDEA = International Data Encryption Algorithm). In einer anderen bevorzugten Ausführungsform benutzt die Erfindung eine Algorithmusart zur Kryptographieverschlüsselung mit bekanntem Schlüssel/ privatem Schlüssel (d. h., es werden verschiedene Schlüssel durch das Programmiergerät 222 und das ferne Datenzentrum 224 benutzt, um die empfindlichen Informationen 221 zu verschlüsseln und zu entschlüsseln). Beispiele der Kryptographieverschlüsselungsarten mit bekanntem Schlüssel umfassen den Algorithmus von Rivest, Shamie und Adleman (RSA) und von Pretty Good Privacy (PGP).

In einer Ausführungsform der Erfindung fügt der Verschlüsselungsmotor 230 auch eine digitale Unterschrift zu den empfindlichen Informationen 221 hinzu, welche durch das Programmiergerät 222 übertragen worden sind. Wie dies vorher erwähnt worden ist, sind digitale Unterschriften nützlich für die Bestätigung der Beglaubigung einer Kommunikation. Eine digitale Unterschrift kann zusammen mit einer die empfindlichen Informationen 221 umfassenden Nachricht gebraucht werden, indem zuerst eine Nachrichtenübersicht (eine 128 Bits umfassende Hashdarstellung mit einer Nachricht) mit dem privaten Schlüssel des Senders geschaffen wird, die Nachrichtenübersicht an die Nachricht angebracht wird, dann sowohl die Nachrichtenübersicht als auch die Nachricht mit dem bekannten Schlüssel des Empfängers (z. B. des fernen Datenzentrums 224) verschlüsselt werden. Der Empfänger erhält diese Schritte und entschlüsselt zuerst die Nachricht mit dem privaten Schlüssel des Empfängers und entschlüsselt dann die Unterschrift mit dem bekannten Schlüssel des Absenders.

Nachdem die empfindlichen Informationen 221 verschlüsselt worden sind, werden die verschlüsselten empfindlichen Informationen mit Hilfe der Medien für die Datenkommunikation 226 an das ferne Datenzentrum 224 übertragen. In alternativen Ausführungsformen werden die Medien zur Datenkommunikation 226 geliefert über eine Verbindung mit einer Telefonlinie, einer Intranetverbindung, einer Internetverbindung, einer Satelli 19885 00070 552 001000280000000200012000285911977400040 0002010053894 00004 19766tenverbindung, einer Konstellation von Satellitenverbindung, einer Verbindung über das GPS-System oder irgendeiner Kombination derselben.

Die Medien 226 zur Datenkommunikation können der Verwundbarkeit der Sicherheit ausgesetzt sein, zum Beispiel während der Übermittlung der empfindlichen Informationen 221 von dem Programmiergerät 222 hin zu dem fernen Datenzentrum 224. Durch die Verschlüsselung der empfindlichen Informationen 221 vor der Übertragung wird die Vertraulichkeit der Informationen erhalten.

Das ferne Datenzentrum 224 empfängt die verschlüsselten, empfindlichen, durch das Programmiergerät 222 übertragenen Informationen 221. In einer Ausführungsform der Erfindung besteht das ferne Datenzentrum 224 in einem zweiten fernen medizinischen Instrument 221. Der Entschlüsselungsmotor 234 ist auf dem fernen Datenzentrum 224 gespeichert und entschlüsselt die verschlüsselten empfindlichen Informationen unter Einsatz eines Entschlüsselungsalgorithmus, der dem Verschlüsselungsalgorithmus entspricht, und eines Entschlüsselungsschlüssels, der dem Entschlüsselungsschlüssel entspricht, welcher benutzt wurde, um die Nachricht ursprünglich zu verschlüsseln. Die Ausgabe des Entschlüsselungsmotors 234 besteht aus den ursprünglichen, nicht verschlüsselten, empfindlichen Daten. 221.

Die Abb. 6 stellt ein Blockdiagramm dar, welches eine andere Ausführungsform eines strukturellen Schemas einer sicheren Datenübertragung in Übereinstimmung mit der vorliegenden Erfindung veranschaulicht. Im scharfen Gegensatz zu der Ausführungsform des Mechanismus der sicheren Datenübertragung, welcher in der Abb. 5 erläutert worden ist, überträgt die in der Abb. 6 veranschaulichte Ausführungsform verschlüsselte, empfindliche Informationen 221 aus dem fernen Datenzentrum 224 hin zu dem fernen Instrument 222.

In dieser Ausführungsform sind empfindliche Informationen 221 bei dem fernen Datenzentrum 224 gespeichert. Das ferne Datenzentrum 224 umfasst einen Verschlüsselungsmotor 230 zur Verschlüsselung der empfindlichen Informationen 221 vor der Übertragung an das Programmiergerät 222 mit Hilfe der Medien/Verbindungen der Datenkommunikationen 226. In alternativen Ausführungsformen werden die Medien zur Datenkommunikation 226 geliefert mit Hilfe einer Verbindung über eine Telefonlinie, eine Intranetverbindung, eine Internetverbindung, eine Satellitenverbindung, eine Konstellation von Satellitenverbindungen, eine Verbindung über das GPS-System oder irgendeine Kombination derselben. Das Programmiergerät 222 umfasst den Entschlüsselungsmotor 226 zur Entschlüsselung der verschlüsselten empfindlichen Informationen 221, nachdem die verschlüsselten empfindlichen Informationen 221 durch das ferne Datenzentrum 224 übertragen worden sind. Die Schlüsselquelle 228 liefert sowohl dem Programmiergerät 222 als auch dem fernen Datenzentrum 224 die Verschlüsselungs-/ Entschlüsselungsschlüssel zur Verschlüsselung/ Entschlüsselung der empfindlichen Informationen 221.

Diese in der Abb. 6 gezeigte Ausführungsform der Erfindung ist nützlich, wenn empfindliche Informationen 221, wie etwa Patientendaten, Herstellerdaten oder betriebliche Daten auf eine sichere Weise aus dem fernen Datenzentrum 224 an das Programmiergerät 222 übertragen werden müssen. Zum Beispiel bewegt sich ein Patient, der von einem ersten Programmiergerät überwacht wird, in ein anderes Gebiet des Landes und wechselt die Fürsorgeanbieter. Die empfindlichen Informationen 221 des Patienten können zuerst aus dem ersten Programmiergerät an das ferne Datenzentrum 224 übertragen werden, wie dies vorher in der Abb. 5 veranschaulicht worden ist. Dann können die empfindlichen Informationen 221 von dem fernen Datenzentrum 224 an das zweite Programmiergerät bei dem neuen Fürsorgeanbieter übertragen werden, wie dies in der Abb. 6 veranschaulicht wird. Demgemäss können die empfindlichen Informationen 221 schnell und sicher zwischen zwei oder mehreren Programmiergeräten 222 mit Hilfe des fernen Datenzentrums 224 übertragen werden.

In einer anderen Anwendung der Erfindung kann der Hersteller des Programmiergeräts 222 wünschen, die Softwareanwendungen oder andere spezifische Informationen über den Hersteller auf dem Programmiergerät 222 zu aktualisieren. Da die spezifischen Informationen über den Hersteller empfindliche Eigentumsinformationen einschließen können, wie etwa Softwareaktualisierungen oder neue Softwaremodule, ist es unbedingt erforderlich für den Hersteller, dass diese empfindlichen Eigentumsinformationen sorgfältig geschützt werden. Eher als dass die Herstelleraktualisierungen an einem Standort des Programmiergeräts installiert werden (was zeitraubend sein kann, je nach dem Standort des Programmiergeräts), ermöglicht es die Erfindung eine sichere Übertragung der Herstelleraktualisierungen vorzunehmen unter Einsatz der verschiedenen Verschlüsselungstechniken oder der äquivalenten Strukturen und Verfahren, die hierin offenbart werden.

Die Abb. 7 stellt ein Blockdiagramm dar, welches noch eine andere Ausführungsform einer sicheren Struktur und eines sicheren Verfahrens zur Datenübertragung in Übereinstimmung mit der Erfindung darstellt. Im Gegensatz zu den vorher erläuterten Fähigkeiten der Datenübertragung in einer Einrichtung (d. h. Datenübertragung aus dem Programmiergerät 222 zu dem fernen Datenzentrum 224 und Datenübertragung von dem fernen Datenzentrum 224 zu dem Programmiergerät 222) erlaubt diese Ausführungsform eine bidirektionale Datenübertragung der verschlüsselten, empfindlichen Informationen zwischen dem fernen Datenzentrum 224 und dem Programmiergerät 222.

In der Ausführungsform, die in der Abb. 7 gezeigt wird, enthält das Programmiergerät 222 sowohl den Verschlüsselungsmotor 230 als auch den Entschlüsselungsmotor 234. Auf ähnliche Weise enthält das ferne Datenzentrum 224 sowohl einen Verschlüsselungsmotor 230 als auch einen Entschlüsselungsmotor 234. Die Schlüsselquelle 228 beliefert sowohl das Programmiergerät 222 als auch das ferne Datenzentrum 224 mit den Verschlüsselungs-/ Entschlüsselungsschlüsseln zur Verschlüsselung/ Entschlüsselung der empfindlichen Informationen 221, die bei dem Programmiergerät 222 und/oder dem fernen Datenzentrum 224 gespeichert sind. Die empfindlichen Daten werden zwischen dem Programmiergerät 222 und dem fernen Datenzentrum 234 mit Hilfe der Medien zur Datenkommunikation 226 übertragen. In alternativen Ausführungsformen werden die Medien zur Datenkommunikation 226 geliefert durch eine Telefonlinie, eine Intranetverbindung, eine Internetverbindung, eine Satellitenverbindung, eine Konstellation von Satellitenverbindungen, eine Verbindung durch das GPS-System oder irgendeine Kombination derselben.

In einer Anwendung der in der Abb. 7 gezeigten Ausführungsform kann die direkte Übertragung der verschlüsselten, empfindlichen Informationen 221 unmittelbar zwischen zwei oder mehr Programmiergeräten 222 stattfinden. Mit anderen Worten kann das ferne Datenzentrum 224 ein zweites Programmiergerät sein. Weil in diesem Beispiel jedes Programmiergerät 222 eine bidirektionale sichere Datenübertragung unterstützt (d. h. es umfasst sowohl einen Verschlüsselungsmotor als auch einen Entschlüsselungsmotor), wird ein getrenntes fernes Datenzentrum nicht mehr benötigt, um die Kommunikationen zwischen zwei oder mehr Programmiergeräten 222 zu tragen, wie dies vorher in der Abb. 6 veranschaulicht worden ist.

Die Abb. 8 stellt ein Flussdiagramm dar, welches ein Verfahren zur sicheren Übertragung der empfindlichen Patienteninformationen aus dem Programmiergerät 222 zu dem fernen Datenzentrum 224 in Übereinstimmung mit der Erfindung erläutert, wie dies allgemein unter Punkt 280 angezeigt wird. Das Verfahren fängt mit der Erzeugung eines ersten Verschlüsselungsschlüssels zur Verteilung an das Programmiergerät 222 an, wie dies bei Schritt 282 gezeigt wird. Bei Schritt 284 wird ein zweiter Verschlüsselungsschlüssel zur Verteilung an das ferne Datenzentrum 224 erzeugt. Sowohl der erste Verschlüsselungsschlüssel als auch der zweite Verschlüsselungsschlüssel werden durch die Schlüsselquelle 228 erzeugt, wie dies in den Abb. 5-7 gezeigt wird. Eine Zahl von verschiedenen vorher erörterten Algorithmen kann gebraucht werden, um den ersten Verschlüsselungsschlüssel und den zweiten Verschlüsselungsschlüssel zu erzeugen. In einer Ausführungsform der Erfindung sind der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel dieselben (d. h. Verschlüsselung mit symmetrischen Schlüssel). In einer anderen Ausführungsform der Erfindung sind der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel verschieden (d. h. Verschlüsselung mit bekanntem/privatem Schlüssel). In beiden Ausführungsformen stehen der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel so miteinander in Beziehung, dass eine verschlüsselte, durch den ersten Verschlüsselungsschlüssel erzeugte Datei durch den zweiten Verschlüsselungsschlüssel entschlüsselt werden kann.

Bei dem Schritt 286 werden die empfindlichen, bei dem Programmiergerät 222 gespeicherten Informationen (wie etwa die empfindlichen Informationen 221) mit Hilfe des ersten Verschlüsselungsschlüssel verschlüsselt. Ein bei dem Programmiergerät 222 gespeicherter Verschlüsselungsalgorithmus nimmt die empfindlichen Informationen 221 und den ersten Verschlüsselungsschlüssel als eine Eingabe an und er erzeugt eine Datei, welche die verschlüsselten empfindlichen Informationen als eine Ausgabe enthält.

Als Nächstes werden die verschlüsselten empfindlichen Informationen von dem Programmiergerät 222 zu dem fernen Datenzentrum 224 über die Medien/Verbindung zur Datenkommunikation 226 übertragen, wie dies bei Schritt 288 gezeigt wird. In alternativen Ausführungsformen werden die Medien 1 Verbindung zur Datenkommunikation 226 bewerkstelligt mittels einer Verbindung über eine Telefonlinie, eine Intranetverbindung, eine Internetverbindung, eine Satellitenverbindung, eine Konstellation von Satellitenverbindungen, eine Verbindung über das GPS-System oder irgendeine Kombination derselben. Wie dies vorher erwähnt worden ist, können die Medien/ Verbindung zur Datenkommunikation 226 Anfälligkeiten in Punkto Sicherheit erleiden, welche die Sicherheit der empfindlichen Informationen 221 in Gefahr bringen können während die Informationen von dem Programmiergerät 222 an das ferne Datenzentrum 224 übermittelt werden. Durch die Verschlüsselung von empfindlichen Informationen 221 vor der Übertragung wird die Vertraulichkeit der Informationen während der Übertragung über die Medien/Verbindung zur Datenkommunikation 226 geschützt.

Schließlich werden die verschlüsselten empfindlichen Informationen 221, die jetzt bei dem Datenzentrum 224 gespeichert sind, mit dem zweiten Verschlüsselungsschlüssel entschlüsselt, wie dies durch Schritt 290 angezeigt wird. Der Verschlüsselungsmotor 234 nimmt die verschlüsselten, empfindlichen Informationen 221 und den zweiten Verschlüsselungsschlüssel als Eingabe an und stellt die ursprünglichen, unverschlüsselten, empfindlichen Informationen 221 zum Gebrauch durch das ferne Datenzentrum 224 wieder her.

Die Abb. 9 stellt ein anderes Flussdiagramm dar, welches ein Verfahren zur sicheren Übertragung von empfindlichen Informationen 221 von dem fernen Datenzentrum hin zu dem Programmiergerät 222 in Übereinstimmung mit der Erfindung illustriert, wie dies bei Punkt 300 gezeigt wird. Im scharfen Gegensatz zu dem in der Abb. 8 veranschaulichten Verfahren beschreibt das Verfahren nach Abb. 9 die Übertragung von empfindlichen Informationen 221 von dem fernen Datenzentrum 224 zu dem Programmgerät 222.

Das Verfahren beginnt mit der Erzeugung eines ersten Verschlüsselungsschlüssels zur Verteilung an den Computer, wie dies durch Schritt 302 angezeigt wird. Als Nächstes wird ein zweiter Verschlüsselungsschlüssel zur Verteilung an den Computer 222 erzeugt, wie dies durch Schritt 304 angezeigt wird. Sowohl der erste Verschlüsselungsschlüssel als auch der zweite Verschlüsselungsschlüssel werden durch die in den Abb. 6-8 gezeigte Schlüsselquelle 228 erzeugt. Eine gewisse Anzahl von verschiedenen Algorithmen, wovon einige oben beschrieben worden sind, können gebraucht werden, um den ersten Verschlüsselungsschlüssel und den zweiten Verschlüsselungsschlüssel zu erzeugen. In einer Ausführungsform sind der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel dieselben (d. h., Verschlüsselung mit symmetrischen Schlüsseln). In einer anderen Ausführungsform sind der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel verschieden. (d. h., Verschlüsselung mit bekanntem/privatem Schlüssel). In beiden Ausführungsform stehen der erste Verschlüsselungsschlüssel und der zweite Verschlüsselungsschlüssel so miteinander in Verbindung, dass eine verschlüsselte Datei, die durch den ersten Verschlüsselungsschlüssel erzeugt worden ist, durch den zweiten Verschlüsselungsschlüssel entschlüsselt werden kann.

Bei dem Schritt 306 werden die empfindlichen, bei dem fernen Datenzentrum 224 gespeicherten Informationen mit dem ersten Verschlüsselungsschlüssel verschlüsselt. Ein bei dem fernen Datenzentrum 224 gespeicherter Verschlüsselungsalgorithmus nimmt die empfindlichen Informationen 221 und den ersten Verschlüsselungsschlüssel als Eingabe an und erzeugt dann eine Ausgabedatei, welche die verschlüsselten, empfindlichen Informationen 221 enthält.

Die verschlüsselten, empfindlichen Informationen 221 werden dann von dem fernen Datenzentrum 224 zu dem Programmiergerät 222 übertragen, wie dies bei Schritt 308 gezeigt wird. Schließlich werden die verschlüsselten, empfindlichen Informationen 221, die jetzt bei dem Programmiergerät 222 gespeichert sind, mit dem zweiten Verschlüsselungsschlüssel entschlüsselt, wie dies durch Schritt 310 angezeigt wird. Der Verschlüsselungsmotor 234 nimmt die verschlüsselten, empfindlichen Informationen 221 und den zweiten Verschlüsselungsschlüssel als Eingabe auf und stellt die ursprünglichen, unverschlüsselten, empfindlichen Informationen 221 zum Gebrauch durch das Programmiergerät 222 wieder her.

Die Abb. 10 stellt ein Blockdiagramm eines fernen Datenzentrums dar und veranschaulicht Elemente der Datenressourcen 350 und des entsprechenden computerlesbaren Mediums 352, welches ein Verfahren zur sicheren Übertragung von empfindlichen Informationen 221 von dem Programmiergerät 222 hin zu dem fernen Datenzentrum 234 in Übereinstimmung mit der Erfindung umfasst. Die Ausführungsformen des externen computerlesbaren Mediums 352 umfassen, ohne aber darauf begrenzt zu sein, einen CD-ROM, eine Diskette oder eine Plattenkassette. Ein sicheres Verfahren zur Datenübertragung gemäß der Erfindung kann in einer großen Anzahl von übersetzten und interpretierten Programmiersprachen für Computer geliefert werden. Das externe computerlesbare Medium 352 speichert den Quellencode, den Objektcode, den ausführbaren Code, Shellskripts und/oder die dynamischen Verbindungsbibliotheken für das sichere Datenübertragungsverfahren. Die Eingabevorrichtung 354 liest das externe computerlesbare Medium 352 und liefert diese Daten an die Datenressourcen 350. Ausführungsformen einer Eingabevorrichtung 354 umfassen, ohne aber darauf begrenzt zu sein, ein CD-ROM Leswerk, ein Disketten- oder ein Plattenkassettenleswerk.

Das System 350 umfasst eine Zentralverarbeitungseinheit 356 zur Durchführung des sicheren Datenübertragungsverfahrens gemäß der Erfindung. Die Datenressourcen 350 umfassen auch den örtlichen Plattenspeicher 362 zur örtlichen Speicherung der sicheren Daten, dies vor, während und nach der Durchführung. Das sichere Datenübertragungsverfahren benutzt ebenso den Speicher 360 in den Datenressourcen 350 während der Durchführung. Nach der Durchführung des sicheren Datenübertragungsverfahrens werden die Ausgabedaten erzeugt und an die Ausgabevorrichtung 358 gerichtet. Ausführungsformen der Ausgabevorrichtung 358 umfassen, ohne aber darauf begrenzt zu sein, ein Computerdatensichtgerät, einen Drucker und/oder eine Plattenspeichervorrichtung.

Demgemäss liefert die Erfindung ein System und ein Verfahren zur sicheren Übertragung von empfindlichen Informationen, wie etwa Patientendaten, von einem Programmiergerät hin zu einem zentralisierten Computer oder einem Datenzentrum mit Hilfe der Datenverschlüsselung. Das sichere System und Verfahren zur Datenübertragung gemäß der vorliegenden Erfindung schützt die privaten Patientendaten vor den Risiken, denen sie während der Übertragung der Daten durch das öffentliche Netzwerke begegnen können. Durch die Lieferung von spezialisierten Schemen, Verfahren und Strukturen zur Datenverschlüsselung ermöglicht die vorliegende Erfindung einem fernen Datenexpertenzentrum klinische oder andere die Patienten betreffende, private Informationen über verschiedene Kommunikationsmittel auszutauschen.

Obwohl spezifische Ausführungsformen der Erfindung hierin mit gewissen Einzelheiten bekannt gemacht worden sind, ist es wohl verstanden, dass dies nur zum Zwecke der Erläuterung geschehen ist und es darf dies nicht als eine Einschränkung der Reichweite der Erfindung, wie sie in den beigefügten Ansprüchen definiert wird, angesehen werden. Es muss verstanden werden, dass verschiedene Änderungen, Umwandlungen und Veränderungen an den hierin beschriebenen Anwendungsformen durchgeführt werden können, ohne dass man sich von dem Geist und dem Ziel der beigefügten Ansprüche entfernt.

Claims

1. Bidirektionales Kommunikationssystem, das mit einem entfernten auf dem Web basierenden Datenexpertenzentrum integriert ist, in welchem eine Aufwärtsstrecke zwischen einem medizinischen Programmiergerät für eine IMD-Vorrichtung zu dem auf dem Web basierenden Datenexpertenzentrum über das bidirektionale Kommunikationssystem hergestellt wird, wobei das auf dem Web basierende Datenexpertenzentrum in Konfiguration mit dem Programmiergerät ein sicheres Netzwerk zum Austausch von medizinischen Informationen bildet, in welchem die Patientenaufzeichnungen übertragen werden, wobei das Netzwerk zum Austausch der medizinischen Informationen die folgenden Elemente enthält:
eine in dem Programmiergerät zur Speicherung empfindlicher Informationen gespeicherte Datenbank;
eine Schlüsselquelle in Datenkommunikationen mit dem Programmiergerät und dem auf dem Web basierenden Datenexpertenzentrum zur Übertragung eines Verschlüsselungsschlüssels zu dem Programmiergerät und eines Entschlüsselungsschlüssels zu dem fernen Datenexpertenzentrum;
einen bei dem Programmiergerät gespeicherten Verschlüsselungsmotor zur Verschlüsselung der empfindlichen Informationen unter Einsatz des Verschlüsselungsschlüssels;
eine Schnittstelle zur Kupplung des Programmiergeräts mit dem Datenexpertenzentrum; und
einen bei dem Datenexpertenzentrum gespeicherten Entschlüsselungsmotor zur Entschlüsselung der verschlüsselten empfindlichen Informationen unter Einsatz des Entschlüsselungsschlüssels.

2. System gemäß Anspruch 1, in welchem die Programmiergerätsvorrichtung in telemetrischer Kommunikation mit der einpflanzbaren medizinischen Vorrichtung steht.

3. System gemäß Anspruch 2, in welchem die empfindlichen, in der Datenbank gespeicherten Informationen Daten einschließen, welche von der einpflanzbaren medizinischen Vorrichtung erhalten worden sind.

4. System gemäß Anspruch 1, in welchem die empfindlichen, in der Datenbank gespeicherten Informationen vertrauliche Patienteninformationen einschließen.

5. System gemäß Anspruch 1, in welchem die Schnittstelle eine Verbindung über eine Telefonlinie ist.

6. System gemäß Anspruch 1, in welchem die Schnittstelle eine Intranetverbindung ist.

7. System gemäß Anspruch 1, in welchem die Schnittstelle eine Internetverbindung ist.

8. System gemäß Anspruch 1, in welchem die Schnittstelle eine Satellitenverbindung ist.

9. System gemäß Anspruch 1, in welchem die Schnittstelle eine Verbindung über das GPS-System ist.

10. System gemäß Anspruch 1, in welchem die Schnittstelle mindestens zwei Kommunikationsverbindungen enthält, welche ausgewählt werden aus der Gruppe der Kommunikationsverbindungen bestehend aus eine Kommunikation über eine Telefonlinie, eine Intranetkommunikation, eine Internetkommunikation und eine Kommunikation über das GPS- System.

11. System gemäß Anspruch 1, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel symmetrische Schlüssel sind.

12. System gemäß Anspruch 1, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel asymmetrische Schlüssel sind.

13. System gemäß Anspruch 1, in welchem die verschlüsselten, empfindlichen Informationen eine digitale Unterschrift enthalten.

14. System gemäß Anspruch 1, in welchem das ferne Datenexpertenzentrum eine zweite medizinische Vorrichtung ist.

15. Bidirektionales Kommunikationssystem, das mit einem auf dem Web basierenden Datenexpertenzentrum integriert ist, in welchem eine Aufwärtsstrecke zwischen einem medizinischen Programmiergerät für eine IMD- Vorrichtung und dem auf dem Web basierenden Datenexpertenzentrum über das bidirektionale Kommunikationssystem hergestellt wird, wobei das auf dem Web basierende Datenexpertenzentrum in Konfiguration mit dem Programmiergerät ein sicheres Netzwerk zum Austausch von medizinischen Informationen bildet, in welchem die Patientenaufzeichnungen übertragen werden, wobei das Netzwerk zum Austausch der medizinischen Informationen ein System zur Übertragung der Informationen aus einem Programmiergerät zu einem Programmiergerät enthält, wobei das System die folgenden Elemente enthält:
eine in dem fernen Datenzentrum zur Speicherung von empfindlichen Informationen gespeicherte Datenbank;
eine Schlüsselquelle in Datenkommunikationen mit dem Programmiergerät und dem fernen Datenexpertenzentrum zur Verteilung eines Verschlüsselungsschlüssels an das ferne Datenexpertenzentrum und eines Entschlüsselungsschlüssels an das Programmiergerät;
einen bei dem fernen Datenexpertenzentrum gespeicherten Verschlüsselungsmotor zur Verschlüsselung der empfindlichen Informationen unter Einsatz des Verschlüsselungsschlüssels;
eine Schnittstelle zur Kupplung des fernen Datenexpertenzentrums mit dem Programmiergerät; und
einen bei dem Programmiergerät gespeicherten Entschlüsselungsmotor zur Entschlüsselung der verschlüsselten, empfindlichen Informationen unter Einsatz des Entschlüsselungsschlüssels.

16. System gemäß Anspruch 15, in welchem das Programmiergerät in telemetrischer Kommunikation mit einer einpflanzbaren medizinischen Vorrichtung in einem Patienten steht.

17. System gemäß Anspruch 16, in welchem die empfindlichen, in der Datenbank gespeicherten Informationen Daten einschließen, welche von der einpflanzbaren medizinischen Vorrichtung erhalten worden sind.

18. System gemäß Anspruch 15, in welchem die empfindlichen, in der Datenbank gespeicherten Informationen vertrauliche Patienteninformationen umfassen.

19. System gemäß Anspruch 15, in welchem die Schnittstelle eine Verbindung über eine Telefonlinie ist.

20. System gemäß Anspruch 15, in welchem die Schnittstelle eine Intranetverbindung ist.

21. System gemäß Anspruch 15, in welchem die Schnittstelle eine Internetverbindung ist.

22. System gemäß Anspruch 15, in welchem die Schnittstelle eine Satellitenverbindung ist.

23. System gemäß Anspruch 15, in welchem die Schnittstelle eine Verbindung über das GPS-System ist.

24. System gemäß Anspruch 15, in welchem die Schnittstelle aus mindestens einer Kommunikationsverbindung besteht, welche ausgewählt wird aus der Gruppe der Kommunikationsverbindungen bestehend aus einer Kommunikation über eine Telefonlinie, einer Intranetkommunikation, einer Internetkommunikation und einer Kommunikation über das GPS- System.

25. System gemäß Anspruch 15, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel symmetrische Schlüssel sind.

26. System gemäß Anspruch 15, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel asymmetrische Schlüssel sind.

27. System gemäß Anspruch 15, in welchem die verschlüsselten, empfindlichen Informationen eine digitale Unterschrift enthalten.

28. System zur Übertragung von Informationen zwischen einem Programmiergerät und einem fernen Datenzentrum, wobei das System die folgenden Elemente enthält:
eine Schlüsselquelle in Datenkommunikationen mit dem Programmiergerät und dem fernen Datenexpertenzentrum zur Verteilung einer Gruppe von Verschlüsselungsschlüsseln an das Programmiergerät und an das ferne Datenexpertenzentrum:
eine Schnittstelle zur Kuppelung des Programmiergeräts mit dem fernen Datenexpertenzentrum;
einen ersten in dem Programmiergerät gespeicherten Verschlüsselungsmotor zur Verschlüsselung einer ersten Gruppe von empfindlichen, bei dem Programmiergerät gespeicherten Informationen unter Einsatz eines Verschlüsselungsschlüssels aus der Gruppe der durch die Schlüsselquelle erzeugten Verschlüsselungsschlüssel;
einen zweiten bei dem fernen Datenexpertenzentrum gespeicherten Verschlüsselungsmotor zur Verschlüsselung einer zweiten Gruppe von empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen unter Einsatz eines Verschlüsselungsschlüssels aus der Gruppe der durch die Schlüsselquelle erzeugten Verschlüsselungsschlüssel;
einen ersten bei dem Programmiergerät gespeicherten Entschlüsselungsmotor zur Entschlüsselung der zweiten Gruppe von empfindlichen Informationen, die durch den zweiten Verschlüsselungsmotor erzeugt worden sind;
einen zweiten bei dem fernen Datenexpertenzentrum gespeicherten Entschlüsselungsmotor zur Entschlüsselung der ersten Gruppe von empfindlichen Informationen, die durch den ersten Verschlüsselungsmotor erzeugt worden sind;

29. System gemäß Anspruch 28, in welchem das Programmiergerät in elektrischer Kommunikation mit einer einpflanzbaren medizinischen Vorrichtung in einem Patienten steht.

30. System gemäß Anspruch 29, in welchem die erste Gruppe von empfindlichen Informationen Daten einschließt, welche von der einpflanzbaren medizinischen Vorrichtung erhalten worden sind.

31. System gemäß Anspruch 28, in welchem die erste Gruppe von empfindlichen Informationen vertrauliche Patienteninformationen umfasst.

32. System gemäß Anspruch 28, in welchem die Schnittstelle eine Verbindung über eine Telefonlinie ist.

33. System gemäß Anspruch 28, in welchem die Schnittstelle eine Intranetverbindung ist.

34. System gemäß Anspruch 28, in welchem die Schnittstelle eine Internetverbindung ist.

35. System gemäß Anspruch 28, in welchem die Schnittstelle eine Satellitenverbindung ist.

36. System gemäß Anspruch 28, in welchem die Schnittstelle eine Verbindung über das GPS-System ist.

37. System gemäß Anspruch 28, in welchem die Schnittstelle mindestens eine Kommunikationsverbindung enthält, welche ausgewählt wird aus der Gruppe der Kommunikationsverbindungen bestehend aus einer Kommunikation über eine Telefonlinie, eine Intranetkommunikation, eine Internetkommunikation und eine Kommunikation über das GPS- System.

38. System gemäß Anspruch 28, in welchem die Gruppe der Verschlüsselungsschlüssel symmetrische Schlüssel sind.

39. System gemäß Anspruch 28, in welchem die Gruppe der Verschlüsselungsschlüssel asymmetrische Schlüssel sind.

40. System gemäß Anspruch 28, in welchem die erste Gruppe von empfindlichen Informationen eine digitale Unterschrift enthält.

41. System gemäß Anspruch 28, in welchem die zweite Gruppe von empfindlichen Informationen eine digitale Unterschrift enthält.

42. System zur sicheren Übertragung von empfindlichen Informationen, welche aus mindestens einer Leitung empfangen worden sind, welche in einem Herzdurchgang lokalisiert ist und welche mit einer einpflanzbaren medizinischen Vorrichtung in Verbindung steht, wobei das System die folgenden Elemente enthält:
ein Programmiergerät in Datenkommunikation mit der einpflanzbaren medizinischen Vorrichtung zum Empfangen und Verarbeiten der empfindlichen Informationen aus der einpflanzbaren medizinischen Vorrichtung;
eine Schlüsselquelle in Datenkommunikationen mit dem Programmiergerät und dem fernen Datenexpertenzentrum zur Verteilung eines Verschlüsselungsschlüssels an das Programmiergerät und eines Entschlüsselungsschlüssel an das ferne Datenexpertenzentrum;
einen bei dem Programmiergerät gespeicherten Verschlüsselungsmotor zur Verschlüsselung der empfindlichen Informationen unter Einsatz des Verschlüsselungsschlüssels;
eine Schnittstelle zur Kupplung des Programmiergeräts mit einem fernen Datenexpertenzentrum; und
einen bei dem fernen Datenexpertenzentrum gespeicherten Entschlüsselungsmotor zur Entschlüsselung der empfindlichen Informationen unter Einsatz des Entschlüsselungsschlüssels;

43. System gemäß Anspruch 42, in welchem die Schnittstelle eine Verbindung über eine Telefonlinie ist.

44. System gemäß Anspruch 42, in welchem die Schnittstelle eine Intranetverbindung ist.

45. System gemäß Anspruch 42, in welchem die Schnittstelle eine Internetverbindung ist.

46. System gemäß Anspruch 42, in welchem die Schnittstelle eine Satellitenverbindung ist.

47. System gemäß Anspruch 42, in welchem die Schnittstelle eine Verbindung über das GPS-System ist.

48. System gemäß Anspruch 42, in welchem die Schnittstelle aus mindestens einer Kommunikationsverbindung besteht, welche ausgewählt wird aus der Gruppe der Kommunikationsverbindungen bestehend aus einer Kommunikation über eine Telefonlinie, eine Intranetkommunikation, eine Internetkommunikation und eine Kommunikation über das GPS- System.

49. System gemäß Anspruch 42, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel symmetrische Schlüssel sind.

50. System gemäß Anspruch 42, in welchem der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel asymmetrische Schlüssel sind.

51. System gemäß Anspruch 42, in welchem die verschlüsselten, empfindlichen Informationen eine digitale Unterschrift enthalten.

52. Verfahren zur sicheren Übertragung von empfindlichen Informationen von einem Programmiergerät zu einem fernen Datenexpertenzentrum, wobei das Verfahren die folgenden Schritte enthält:
Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das ferne Datenexpertenzentrum;
Verschlüsselung der empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Übertragung der verschlüsselten, empfindlichen Informationen von dem Programmiergerät zu dem fernen Datenexpertenzentrum;
Entschlüsselung der verschlüsselten, empfindlichen bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Entschlüsselungsschlüssel.

53. Verfahren gemäß Anspruch 52, in welchem das Programmiergerät mit einer einpflanzbaren medizinischen Vorrichtung in einem Patienten verbunden ist.

54. Verfahren gemäß Anspruch 52, in welchem der Schritt der Verschlüsselung der empfindlichen, bei dem Programmiergerät gespeicherten Informationen ferner den folgenden Schritt enthält: Schaffung einer digitalen Unterschrift für die verschlüsselten, empfindlichen Informationen.

55. Verfahren gemäß Anspruch 54, in welchem der Schritt der Entschlüsselung der verschlüsselten, empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen den folgenden Schritt ferner enthält: Verifizierung der digitalen, mit den verschlüsselten, empfindlichen Informationen in Verbindung stehenden Unterschrift.

56. Verfahren zur sicheren Übertragung von empfindlichen Informationen von einem fernen Datenexpertenzentrum zu einem Programmiergerät, wobei das Verfahren die folgenden Schritte enthält:
Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das ferne Datenexpertenzentrum;
Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Verschlüsselung der empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Übertragung der verschlüsselten, empfindlichen Informationen von dem fernen Datenexpertenzentrum zu dem Programmiergerät;
Entschlüsselung der verschlüsselten empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Entschlüsselungsschlüssel.

57. Verfahren gemäß Anspruch 56, in welchem das Programmiergerät mit einer einpflanzbaren medizinischen Vorrichtung in einem Patienten verbunden ist.

58. Verfahren gemäß Anspruch 56, in welchem der Schritt der Verschlüsselung der empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen ferner den folgenden Schritt enthält: Schaffung einer digitalen Unterschrift für die verschlüsselten, empfindlichen Informationen.

59. Verfahren gemäß Anspruch 58, in welchem der Schritt der Entschlüsselung der verschlüsselten, empfindlichen, bei dem Programmiergerät gespeicherten Informationen ferner den folgenden Schritt enthält: Verifizierung der digitalen, mit den verschlüsselten, empfindlichen Informationen in Verbindung stehenden Unterschrift.

60. Verfahren zur Übertragung von empfindlichen Informationen von einem Programmiergerät zu einem fernen Datenexpertenzentrum, wobei das Verfahren die folgenden Mittel enthält:
Mittel zur Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Mittel zur Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das ferne Datenexpertenzentrum;
Mittel zur Verschlüsselung der empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Mittel zur Übertragung der verschlüsselten, empfindlichen Informationen von dem Programmiergerät zu dem fernen Datenexpertenzentrum;
Mittel zur Entschlüsselung der verschlüsselten empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Entschlüsselungsschlüssel.

61. Verfahren gemäß Anspruch 60, in welchem das Programmiergerät mit einer einpflanzbaren, medizinischen Vorrichtung in einem Patienten verbunden ist.

62. Verfahren gemäß Anspruch 60, in welchem die Mittel zur Verschlüsselung der empfindlichen, bei dem Programmiergerät gespeicherten Informationen ferner das folgende Mittel enthält: Mittel zur Schaffung einer digitalen Unterschrift für die verschlüsselten, empfindlichen Informationen.

63. Verfahren gemäß Anspruch 62, in welchem die Mittel zur Entschlüsselung der verschlüsselten, empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen ferner das folgende Mittel enthält: Mittel zur Verifizierung der digitalen, mit den verschlüsselten, empfindlichen Informationen in Verbindung stehenden Unterschrift.

64. Verfahren zur Übertragung von empfindlichen Informationen von einem fernen Datenexpertenzentrum zu einem Programmiergerät, wobei das Verfahren die folgenden Mittel enthält:
Mittel zur Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das ferne Datenzentrum;
Mittel zur Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Mittel zur Verschlüsselung der empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Mittel zur Übertragung der verschlüsselten, empfindlichen Informationen von dem fernen Datenexpertenzentrum zu dem Programmiergerät;
Mittel zur Entschlüsselung der verschlüsselten, empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Entschlüsselungsschlüssel.

65. Verfahren gemäß Anspruch 64, in welchem das Programmiergerät mit einer einpflanzbaren, medizinischen Vorrichtung in einem Patienten verbunden ist.

66. Verfahren gemäß Anspruch 64, in welchem die Mittel zur Verschlüsselung der empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen ferner das folgende Mittel enthalten: Mittel zur Schaffung einer digitalen Unterschrift für die verschlüsselten, empfindlichen Informationen.

67. Verfahren gemäß Anspruch 66, in welchem die Mittel zur Entschlüsselung der verschlüsselten, empfindlichen, bei dem Programmiergerät gespeicherten Informationen ferner das folgende Mittel enthalten: Mittel zur Verifizierung der digitalen, mit den verschlüsselten, empfindlichen Informationen in Verbindung stehenden Unterschrift.

68. Lesbares Medium für ein fernes Datenexpertenzentrum, welches Anweisungen für die Kontrolle eines fernes Datenexpertenzentrumssystems enthält, um ein Verfahren zur sicheren Übertragung von empfindlichen Informationen von einem Programmiergerät zu einem fernen Datenexpertenzentrum durchzuführen, wobei das Verfahren die folgenden Schritte enthält:
Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das ferne Datenexpertenzentrum;
Verschlüsselung der empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Übertragung der verschlüsselten, empfindlichen Informationen von dem Programmiergerät zu dem fernen Datenexpertenzentrum;
Entschlüsselung der verschlüsselten, empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Entschlüsselungsschlüssel.

69. Lesbares Medium für ein fernes Datenexpertenzentrum, welches Anweisungen für die Kontrolle eines fernes Datenexpertenzentrumssystems enthält, um ein Verfahren zur sicheren Übertragung von empfindlichen Informationen von einem fernen Datenexpertenzentrum zu einem Programmiergerät durchzuführen, wobei das Verfahren die folgenden Schritte enthält:
Erzeugung eines Verschlüsselungsschlüssels zur Verteilung an das ferne Datenzentrum;
Erzeugung eines Entschlüsselungsschlüssels zur Verteilung an das Programmiergerät;
Verschlüsselung der empfindlichen, bei dem fernen Datenexpertenzentrum gespeicherten Informationen mit dem Verschlüsselungsschlüssel;
Übertragung der verschlüsselten empfindlichen Informationen von dem fernen Datenexpertenzentrum zu dem Programmiergerät;
Entschlüsselung der verschlüsselten empfindlichen, bei dem Programmiergerät gespeicherten Informationen mit dem Entschlüsselungsschlüssel.