JP2015501593A - 医療用デバイスとその遠隔デバイスの間のセキュアな通信 - Google Patents

医療用デバイスとその遠隔デバイスの間のセキュアな通信 Download PDF

Info

Publication number
JP2015501593A
JP2015501593A JP2014537799A JP2014537799A JP2015501593A JP 2015501593 A JP2015501593 A JP 2015501593A JP 2014537799 A JP2014537799 A JP 2014537799A JP 2014537799 A JP2014537799 A JP 2014537799A JP 2015501593 A JP2015501593 A JP 2015501593A
Authority
JP
Japan
Prior art keywords
remote control
mcu
control device
medical device
medical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014537799A
Other languages
English (en)
Other versions
JP6284882B2 (ja
Inventor
ステファン・プロエンネッケ
オスカー・フランソワ
フレデリク・ネフテル
Original Assignee
デバイオテック・ソシエテ・アノニム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP11187121.6A external-priority patent/EP2587394A1/en
Application filed by デバイオテック・ソシエテ・アノニム filed Critical デバイオテック・ソシエテ・アノニム
Publication of JP2015501593A publication Critical patent/JP2015501593A/ja
Application granted granted Critical
Publication of JP6284882B2 publication Critical patent/JP6284882B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/63ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for local operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • H04W12/55Secure pairing of devices involving three or more devices, e.g. group pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Theoretical Computer Science (AREA)
  • Epidemiology (AREA)
  • Public Health (AREA)
  • Primary Health Care (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Infusion, Injection, And Reservoir Apparatuses (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

医療用デバイス(1、7)と遠隔制御装置(3)の間で保護された通信を確立するのに適した医療用アセンブリであって、・ループバック機構、および/または;・仮想化プラットフォーム、および/または;・追加のMCU(4、4a、4b、4c、6)を使用する医療用アセンブリ。

Description

本発明は、限定するものではないが、送達デバイス(たとえばインスリン・ポンプ)および/または無線センサ(たとえば持続血糖測定器)および/または埋め込み型デバイスおよび/またはサンプリング・デバイスなどの医療用デバイスの遠隔制御装置(remote control)に関する。
パッチ・ポンプのような軽量かつ小型のインスリン・ポンプなどいくつかの医療用デバイスを制御するために、遠隔制御装置が必要とされる。その理由は、ポンプそれ自体に配置されたディスプレイの内容を患者が見るのは非常に困難なものとなり得るからである。現在、ポンプの大部分は、メーカ独自の専用の遠隔制御装置を使用している。このことは、別のデバイスを、それにより生じる可能性がある以下のようなあらゆる欠点と共に携行することを表す。すなわち:
・ポケットを見つけて、すばやく簡単にアクセスできる安全な場所に入れること。
・遠隔制御装置を忘れないこと
・充電について考えること、または予備のバッテリを持つこと
・落下、または日光もしくは砂にさらされることのようなあらゆる外部の「悪」条件によるその劣化を防止すること。
別の特定のデバイスの使用を防止する1つの方法は、患者が常に携行しなければならない既存のデバイスに遠隔制御装置機能を組み込むことであるである。この既存のデバイスは、限定するものではないが、血糖測定器または携帯電話などであり、遠隔制御装置機能を組み込むために必要とされるすべての機能を有する。
この目的で携帯電話を使用することは、非常に魅力的であるが、インスリン・ポンプをプログラムするために携帯電話を使用することを可能にする前に、セキュリティ上の多数の側面に対処しなければならない。確保しなければならない重要なセキュリティ機能には、以下のものがある:
・ユーザに対して表示されるデータの完全性
・インスリン・ポンプに送信されるコマンドの完全性
・患者の治療パラメータならびに注入履歴およびイベントのログを収納するデータベースの完全性および保護。
・医療用デバイスとその遠隔制御装置をセキュアにペアリングすること。
・いつでもソフトウェアの応答性があること(たとえば:別のソフトウェアにフォーカスがあるときにアラームを発する、他のタスクがMCUのようなリソースに負荷をかけすぎているときにユーザ要求を処理する能力、など)。
本出願は、Debiotechの名義で2011年10月28日に出願されたEP11187121.6の優先権およびDebiotechの名義で2012年7月9日に出願されたEP12175498.0の優先権の利益を主張するものであり、これらの開示全体は、参照により本明細書に組み込まれる。
本発明の目的は、医療用デバイスとその遠隔制御装置の間の通信をセキュアにする(secure)ための堅牢な環境を提供することである。本明細書では、「通信をセキュアにする」という表現は、遠隔制御装置と医療用デバイスの間のデータ交換が正常であることを確実にするために使用されるあらゆる手段として理解されなければならず、前記データは、許可されたオペレータ(たとえば、ユーザとも呼ばれる患者)によって適切なデバイスを使用して送信され、適切に受信されている。前記手段は、データまたはアプリケーションもしくはオペレーティング・システムの完全性の確認、暗号化プロセス、ペアリング・プロセス、オペレータの身元の検証などであってよい。この趣旨で、本発明は、ループバック・プロセスおよび/または仮想化プラットフォームを組み込んだ前記遠隔制御装置(または医療用デバイスに属する追加のマイクロコントローラ)を使用する医療用アセンブリ(前記医療用デバイスとその遠隔制御装置とを備える)および/または追加のマイクロコントローラ(MCU)を使用する前記アセンブリを備えることができ、このMCUは、遠隔制御装置に挿入され(あるいはプラグ接続され)、セキュアな(secured)データを含むことができ、かつ/または暗号機構を使用して前記医療用デバイスと通信することができる。前記3つの異なる手段(MCU、ループバック、仮想化)を使用することによって、セキュリティを実質的に改善することが可能になるが、前記手段のうち1つまたは2つだけを使用することも可能である。
前記医療用アセンブリは、限定するものではないが、送達デバイスおよび/または無線センサおよび/または埋め込み型デバイスおよび/またはサンプリング・デバイスおよび/または血糖測定モニタなどの少なくとも1つの医療用デバイスを管理および/または監視することができる遠隔制御装置を備えることができる。
前記医療用デバイスは、遠隔制御装置を用いた無線通信を可能にする通信手段と、前記通信をセキュアにする鍵情報を含むセキュアな内部メモリとを備える。前記医療用デバイスは、ただ1つのマイクロコントローラ(MCU)とペアリングされ、このMCUは、セキュアなメモリを備え、前記鍵情報も含む。前記MCUは、遠隔制御装置にプラグ接続されるように設計される。
外部マイクロコントローラを使用する一実施形態では、医療用デバイスと遠隔制御装置の間のセキュアな通信を確立するのに適した前記アセンブリは、:
・前記医療用デバイスとの無線通信を可能にする通信手段、
・追加のマイクロコントローラ(MCU)をプラグ接続するための接続手段;
・表示手段(場合により)、
・少なくとも1つの入力手段、
・通信手段、接続手段、(場合により、表示手段)、および入力手段に接続された少なくとも1つのプロセッサ;
を備える遠隔制御装置と:
・前記遠隔制御装置との無線通信を可能にする通信手段、
・セキュアな内部メモリ;
を備える医療用デバイスと:
・前記遠隔制御装置に接続することができ;セキュアなメモリをさらに備えるMCUと;を備え、
ここで、少なくとも1つの医療用デバイスは、ただ1つのMCUと排他的にペアリングされ;
前記医療用デバイスの内部メモリおよび前記MCUのセキュアなメモリは、通信をセキュアにするための鍵情報を含む。
本明細書では、マイクロコントローラ(MCU)は、遠隔制御装置に挿入された集積チップであってもよいし、または遠隔制御装置にプラグ接続された外部デバイスであってもよい。一般に、MCUは、CPUと、RAMと、何らかの形態のROMと、I/Oポートと、タイマとを含む。他の構成要素を含むコンピュータまたは遠隔制御装置とは異なり、マイクロコントローラ(MCU)は、非常に特殊なタスク向けに、たとえば特定のシステムを制御するように、設計されている。その結果、MCUは単純化および小型化することが可能であり、これによって、製造コストを削減する。さらに、前記MCUは、遠隔制御装置の性能を改善するために(遠隔制御装置の)OSが使用することができる別のCPUおよびメモリをもたらすのではなく、他の機能、特に追加のセキュリティ機能をもたらす。遠隔制御装置のMCUとCPUは別物であり、異なるタスクを有する。本発明では、MCUは、MCUがさまざまな遠隔制御装置と共に使用できるように、遠隔制御装置から完全に独立している。前記MCUは、スマート・カード、Simカード、SDIOカード(Secure Digital Input Output)などのSDカードであってもよい。本明細書では、発明者らは、以下の用語、すなわち:外部マイクロコントローラまたは追加のマイクロコントローラまたはMCUを区別せずに(indifferently)使用することができる。
好ましい一実施形態では、前記医療用デバイスおよび前記MCUは、無線通信構成を含むセキュアなメモリを備える。このようにして、前記デバイスおよび前記MCUは、良好な構成を事前に認識している。特に、前記MCUは、遠隔制御装置を医療用デバイスに接続するために、および前記通信を保護するために使用される鍵情報を含むことができる。
したがって、前記MCUはただ1つの医療用デバイスとペアリングされ、前記MCUは遠隔制御装置に挿入される。このようにして、前記MCUを含む遠隔制御装置のみが、前記医療用デバイスを管理および/または監視することができる。また、患者は、前記MCUが挿入されている遠隔制御装置が、医療用デバイスを管理および/または監視することが可能な単一の遠隔制御装置であることを知っていながら、遠隔制御装置を変更することができる。
別の実施形態では、遠隔制御装置は、少なくとも2つの医療用デバイスを管理および/または監視する。この場合、前記2つの医療用デバイスは、ただ1つのMCUとペアリングすることができ、あるいは、各医療用デバイスはそれ自体のMCUとペアリングされる。
一実施形態では、前記MCUは、前記医療用アセンブリを医療用サーバと接続するための鍵情報を含む。この実施形態では、医療用アセンブリは、遠隔制御装置のデータ通信手段を使用することができる。したがって、前記MCUは、限定するものではないが、ユーザ認証、暗号化パラメータなどの、医療用アセンブリと医療用サーバの間の通信をセキュアにするためのすべての情報を含むことができる。
一実施形態では、MCUは、医療用デバイスによって送信される少なくとも1組のデータまたは遠隔デバイスまたは他のデバイスから提供される他の組のデータを、セキュアなメモリに収納することができる。別の実施形態では、前記データは暗号化され、遠隔デバイスまたは医療用デバイスに収納されるが、MCU(または医療用デバイス)のみが、前記データを復号するための鍵を含む。
遠隔制御装置が仮想プラットフォームを使用する一実施形態では、遠隔制御装置は、
・少なくとも1つのゲスト・オペレーティング・システム(gOS)用のハードウェア構成要素をエミュレートするホスト・オペレーティング・システム(hOS)と、
・いずれも制御されていない環境で使用するように設計され、限定するものではないが、カレンダーまたは連絡先のような一般的な機能を処理する第1のgOSと、
・いずれも制御されている環境で使用するように設計された、医療用デバイスのための遠隔制御装置の機能を処理する医療用オペレーティング・システム(mOS)とを備える仮想化プラットフォームを組み込む。前記mOSは、特定のgOSであってもよい。
本明細書では、「ホスト・オペレーティング・システム」という表現は、RAM、Flash、UART、Wifiなどのすべての遠隔制御装置周辺機器を単独で管理しこれらを共有することが可能な拡張ハイパーバイザなどの、できる限り機能の少ない(thin)オペレーティング・システムとして理解されなければならない。hOSは一般的な機能を扱わず、その目的は、医療用デバイスに送信されるコマンドをセキュアにすることである。
一実施形態では、(上記に記載されているような)MCUは遠隔制御装置にプラグ接続されるが、前記ホスト・オペレーティング・システムは、前記MCUの周辺機器を管理および共有することはできない。
好ましい一実施形態では、前記hOSは、単に標準的なハイパーバイザにとどまらない。前記hOSは、できる限り機能は少ないが、(制御されない環境または制御されている環境で実行されている)何らかのアプリケーションを拒否するまたは何らかの優先度を与えるために、何らかのオペレーティング・プロセス(複数可)を含む。
本明細書では、「ゲスト・オペレーティング・システム」という表現は、一般的な機能(電話、データ送信、カレンダーなど)または特定のオペレーティング・システム(医療用オペレーティング・システムなど)を処理する標準的なオペレーティング・システム(限定するものではないが、Android、AppleのiOSなど)として理解されなければならない。前記異なるゲスト・オペレーティング・システムは、同じ遠隔制御装置上で強固に分離して(in strong isolation)共存してもよい。
本明細書では、「制御されている環境」は、以下の空間と理解されなければならない:
・意図されたアプリケーションの応答性が決定論的である
・ソフトウェア・パッケージおよびオペレーティング・システムのリストおよびバージョンが既知であり、ユーザによる変更が可能である
・ハードウェア構成要素へのアクセスが制御および保証されている
・ハードウェア構成要素(CPU、メモリ、RFリンクなど)の応答性が決定論的である
・所定の最小帯域幅は、常に、ハードウェア構成要素(たとえば:CPU、ネットワークRFリンクなど)にアクセスすることが保証されている
・少なくとも1つの医療用アプリケーションおよび/またはmOSが実行および収納されている
制御されている環境と制御されていない環境は完全に分離されている。
その結果、制御されていない環境では、ハードウェアと制御されている環境との間の相互作用が把握できない。有利には、制御されている環境内にあるゲスト・オペレーティング・システムまたはアプリケーション(限定するものではないが、医療用オペレーティング・システムおよび/または医療用アプリケーションなど)が、他のものよりも優先される。それによって、ホスト・オペレーティング・システムは、本出願によって引き起こされる混乱を回避するために、制御されていない環境で実行されているアプリケーションをブロックすることを決定する。ホスト・オペレーティング・システムは、制御されている環境または制御されていない環境からのどのアプリケーションが画面上でフォーカスを得るか決定することもできる。
一実施形態では、本発明による遠隔制御装置は携帯電話である。任意の適切なOS、たとえばAndroidを使用することができる。遠隔制御装置は、医療用デバイスと組み合わせて使用される。有利には、遠隔制御装置の機能は、インスリン・ポンプの遠隔制御装置向けに設計される。
外部MCUを使用する一実施形態では、前記MCUは、hOSの完全性を認証および確保するためにも使用される。
医療用アセンブリの一実施形態では、前記アセンブリは、有利には、両方の物体(たとえばインスリン・ポンプおよび遠隔制御装置)の間にループバック機構を備える。
本明細書では、ループバック機構は、ユーザによって入力されたデータの単純な確認ではない。ループバック機構は、医療用デバイスによって受信されたデータを確認することを可能にする。そのため、ユーザは、コマンドを(入力手段によって)入力し、そのコマンドを、セキュアな通信を介して医療用デバイスに送信する。前記機構により、コマンドを起動する前に、医療用デバイスは、受信したコマンドがユーザによって送信されたコマンドかどうか、確認を求めなければならない。ユーザが医療用デバイスに対して確認すると、コマンドが起動される。有利には、セキュリティを改善するために、ユーザは、コマンドを確認するためにPINコードを入力しなければならない。
ループバック機構のセキュリティおよび医療用デバイスへの接続性は、有利には、スマート・カードまたはSIMカードまたはSDカードなどのような、遠隔制御装置の中への追加の保護されたMCUを使用することによって保護することができる。
本発明は、具体的には以下の利点を提供する:
− 本発明はまた、応答性、完全性、およびセキュリティが低レベル・オペレーティング・システム・アーキテクチャのコア設計によって確保される制御されている環境を提供する。
− 提案する解決策はセキュアな環境を提供し、このセキュアな環境は、たとえば、患者が望まない追加の数回の注入をプログラムすることのように、治療法を変更することによって正常な使用法を模倣しうる望ましくないアプリケーションを防止することができる。
− スマート・カードとして遠隔制御装置から独立したMCUを使用することによって、ペアリング・プロセス中に別のデバイスから見えることなく、遠隔制御装置を自動的およびセキュアに医療用デバイスと接続することが可能になる。
− 携帯電話のような異なる遠隔制御装置に挿入またはプラグ接続されうるMCUを使用することによって、問題(バッテリ電力低下、遠隔制御装置の失念または喪失など)が発生した場合に、遠隔制御装置の変更が可能になる。
− ループバック・プロセスを使用することによって、医療用デバイス(たとえばインスリン・ポンプ)内でプログラムされた値がユーザの予想する遠隔制御装置上の値に対応することを確実にすることが可能になる。
− ループバック・プロセスの終了時に、ユーザは、好ましくはPINコード(ユーザのみが知っている)を遠隔制御装置上で入力することによって、その値に対して肯定応答する。前記PINコードを使用することによって、適切なユーザによって確認が承認されることが確実になる。
− 仮想プラットフォームを使用することによって、医療用アプリケーションまたはmOSが優先権を持っており、セキュアに実行されることが確実になる。
− hOSは、何らかの周辺機器(MCU、LED、画面の一部、振動子など)が医療用アプリケーションおよび/またはmOSのみによって使用されることを確実にする。
本発明について、以下の図によって示される例を用いて、以下でより詳細に説明する:
本発明による遠隔制御装置(3)のディスプレイを示す図である。この図は仮想化プラットフォームを含む。 本発明の好ましい一実施形態、すなわち遠隔制御装置(3)と医療用デバイス(1)とを備えるアセンブリの、全体的なアーキテクチャを示す図である。 本発明によるループバック機構を示す図である。 MCUを使用する、本発明によるループバック機構を示す図である。 スマート・カードなどのMCU(4)を内部に備える遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 MCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 スマート・カードなどの別のMCU(4)を内部に備えるMCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 スマート・カードなどの2つのMCU(4a、4b)を内部に備えるMCU(6)にプラグ接続された遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。 スマート・カードなどの2つのMCU(4a、4b)を内部に備える遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。 スマート・カードなどの単一のMCU(4c)を内部に備える遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。
追加のマイクロコントローラ(MCU)の使用
限定するものではないが図5〜10に示される好ましい一実施形態では、医療用デバイス(1、7)と遠隔制御装置(3)の間で保護された通信を確立するのに適した医療用アセンブリは、:
・前記医療用デバイス(1、7)との無線通信(2)を可能にする通信手段、
・追加のマイクロコントローラ(MCU)(4、6)をプラグ接続するための接続手段、
・表示手段(場合により)、
・少なくとも1つの入力手段、
・通信手段、接続手段、表示手段、および入力手段に接続された少なくとも1つのプロセッサ;
を備える遠隔制御装置(3)と:
・前記遠隔制御装置(3)との無線通信(2)を可能にする通信手段、
・セキュアな内部メモリ;
を備える医療用デバイス(1、7)と:
・前記遠隔制御装置(3)に接続することができ;セキュアなメモリをさらに備えるMCU(4、4a、4b、4c、6)と;を備え、
ここで、少なくとも1つの医療用デバイス(1、7)は、ただ1つのMCU(4、4a、4b、4c、6)と排他的に対にされ;
前記医療用デバイス(1、7)の内部メモリおよび前記MCU(4、4a、4b、4c、6)のセキュアなメモリは、通信をセキュアにするための鍵情報を含む。
前記医療用デバイス(1、7)は、(限定するものではないが、インスリン・ポンプなどの)送達デバイスおよび/または(患者の生理的特性を測定することができる)無線センサおよび/または埋め込み型デバイスおよび/またはサンプリング・デバイスであってよい。
遠隔制御装置(3)のプロセッサは、遠隔制御装置の主要なコンピューティング・ユニットである。このプロセッサは、遠隔制御装置のオペレーティング・システム(OS)(または複数のオペレーティング・システムOS)を実行しているプロセッサであり、RAM、Flash、UART、Wifiなどの遠隔制御装置(3)のすべての周辺機器にアクセスすることができる。
MCU(4、4a、4b、4c、6)もプロセッサを含み、このプロセッサは、それ自体のオペレーティング・システムおよびコードを実行する。しかし、そのプロセッサは、MCU(4、4a、4b、4c、6)の内部周辺機器(暗号化エンジン、通信インタフェースなど)のみにアクセスすることができる。(限定するものではないが、スマート・カードなどの)MCU(4、4a、4b、4c、6)のプロセッサは、遠隔制御装置(3)の周辺機器にアクセスすることができない。2つのデバイス(MCU(4、4a、4b、4c、6)と遠隔制御装置(3))間の相互作用のみは、通信リンクを介して行われる。したがって、遠隔制御装置(3)のプロセッサとMCU(4、4a、4b、4c、6)のプロセッサは、互いから独立している。したがって、前記MCU(4、4a、4b、4c、6)は、異なる遠隔制御装置にプラグ接続され、完全なセキュリティを確保することができる。
一実施形態では、遠隔制御装置(3)はまた、BGM(血糖モニタ)モジュールの形態をとる別のプロセッサを有する。しかし、このプロセッサは、通信リンクを介して遠隔制御装置(3)のみと相互作用する。
図5に示される一実施形態では、医療用デバイス(1)は遠隔制御装置(3)と通信する。前記遠隔制御装置(3)は、(限定するものではないが、スマート・カードまたはSIMカードなどの)MCU(4)を内部に備え、MCU(4)は、前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記スマート・カード(4)によって起動または実行されるセキュアな処理手段(5)によりセキュリティ保護される(securised)。
一実施形態では、遠隔制御装置(3)は携帯電話であり、MCU(4)は電話オペレータのすべてのデータおよびアプリケーションならびにペアを形成し医療用デバイス(1、7)とセキュア通信するためのすべてのデータおよびアプリケーションを含むsimカードである。一実施形態では、前記遠隔制御装置(3)は、以降で開示される仮想化プラットフォームを備える。別の実施形態では、前記携帯電話は、2つの異なる接続手段、すなわちテレコム・オペレータのSIMカードをプラグ接続するための第1の接続手段と、医療用デバイスとペアリングされたMCUをプラグ接続するための別の接続手段とを備える。
一実施形態では、前記MCU(4、4a、4b、4c、6)は、前記医療用アセンブリと医療用サーバ(たとえばテレメディシン(telemedicine))の間の通信をセキュアにするための鍵情報を含む。このようにして、何らかのデータは医療用サーバにセキュアに送信することができ、医療用サーバにおいて、前記データは、分析されてもよいし、または収納されてもよい。
図6に示される一実施形態では、医療用デバイス(1)は、遠隔制御装置(3)と通信する。前記遠隔制御装置(3)はMCU(6)にプラグ接続され、MCU(6)は前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記MCU(6)によって起動または実行されるセキュアな処理手段(5)によりセキュアにされる。
一実施形態では、MCU(6)は、前述したすべての要素と他の手段とを備える外部デバイスと見なされてもよいし、またはそのような外部デバイスであってもよい。たとえば、前記MCU(6)は、限定するものではないが血糖測定手段などのセンサを備えてもよく、このようにして前記MCU(6)はまた、血糖モニタリングのように使用されてもよい。
一実施形態では、前記MCU(6)は、遠隔制御装置に依存することなく医療用デバイスとセキュア通信するための通信手段を備えることができる。この実施形態では、遠隔制御装置は、携帯電話であってもよく、有利には、その表示手段に使用される。
図7に示される一実施形態では、医療用デバイス(1)は、遠隔制御装置(3)と通信する。前記遠隔制御装置(3)は第1のMCU(6)にプラグ接続され、前記第1のMCU(6)は、(スマート・カードまたはsimカードのような)第2のMCU(4)を内部に備える。前記第2のMCU(4)は、前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記第1のMCU(6)および/または前記第2のMCU(4)によって起動または実行されるセキュアな処理手段(5)によりセキュアにされる。一実施形態では、前記MCU(6)は、限定するものではないが血糖測定手段などのセンサを備え、このようにして前記MCU(6)はまた、血糖モニタリングのように使用されてもよい。
図8および9に示される一実施形態では、2つの医療用デバイス(1、7)は遠隔制御装置(3)と通信する。たとえば、第1の医療用デバイス(1)はインスリン・ポンプ(1)であり、第2の医療用デバイス(7)は持続血糖測定器(7)である。各医療用デバイスは、それ自体のMCU(4a、4b)のみとペアリングされる。図8に示される実施形態は、第1のMCU(6)にプラグ接続された遠隔制御装置(3)を開示する。前記第1のMCU(6)は、第2のMCUおよび第3のMCU(4a、4b)を挿入するための2つの異なる接続手段を備える。図9に示される実施形態は、第1のMCU(6)を必要とすることなく2つの異なるMCU(4a、4b)を挿入するための2つの異なる接続手段を内部に備える遠隔制御装置(3)を開示する。第2のMCU(4a)(または第3のMCU(4b))は、第1の医療用デバイス(1)(または第2の医療用デバイス(7))との無線通信(2)構成を含むセキュアなメモリを備える。前記第2のMCU(4a)は第1の医療用デバイス(1)のみとペアリングされ、前記第3のMCU(4b)は第2の医療用デバイス(7)のみとペアリングされる。実施形態では、より多くのMCUと医療用デバイスとを備えてもよい。
図10に示される一実施形態では、2つの医療用デバイス(1、7)は、遠隔制御装置(3)と通信するが、1つのMCU(4c)がプラグ接続される。この実施形態では、前記MCU(4c)は前記2つの医療用デバイス(1、7)とペアリングされ、前記2つの医療用デバイス(1、7)との無線通信(2)構成を含む少なくとも1つのセキュアなメモリを備える。
上記で説明した実施形態では、1つまたは2つの医療用デバイスを使用するが、本発明はその実施形態に限定されるものではなく、本発明は、1つまたはそれ以上の医療用デバイスと、1つまたはそれ以上のMCUとを有することができる。
一実施形態では、ペアリングは、販売の前に(たとえ工場で)、または遠隔制御装置(3)内のMCU(4、4a、4b、4c、6)をプラグ接続する前に、直接実行することができる。
一実施形態では、前記MCUおよび/または医療用デバイスは、新しいペアリング要求を許容することはできない。
一実施形態では、前記医療用デバイス(1、7)および/または前記MCU(4、4a、4b、4c、6)は、セキュア・ブート・プロセスおよび/またはセキュア・フラッシュ・プロセスおよび/または暗号機構などのセキュアな処理手段(5)を備え、前記セキュアな処理手段(5)は、少なくとも遠隔制御装置の完全性をチェックする、かつ/または前記医療用デバイス(1、7)と前記遠隔制御装置(3)の間のデータのセキュアな通信(2)を管理する。
したがって、前記MCU(4、4a、4b、4c、6)は、限定するものではないが、遠隔制御装置(3)のオペレーティング・システムおよび/またはhOSおよび/またはアプリケーションなど、遠隔制御装置(3)の完全性を確保するために使用することができる。この完全性を確保するための一般的な方法は、セキュア・ブートまたはセキュア・フラッシュを使用することである。これは、遠隔制御装置(3)のブート中に、または定期的な間隔で、モニタリング・システムを介して完全性チェックを実行する機能である。
たとえば、セキュア・ブート・プロセスを使用する一実施形態では:遠隔制御装置(3)上で実行されているソフトウェアが偶然に(ハードウェアの故障)または意図的に(攻撃者、マルウェア)修正されていないことを確実にするために、セキュア・ブートの機構を使用する。遠隔制御装置(3)がオンにされるとき、そのプロセッサによって実行される第1のコードは、遠隔制御装置(3)の内部ストレージ(フラッシュメモリ)の内容の署名を計算し、この署名の有効性を検証するルーチンである。署名が有効であると検証されると、そのプロセッサは、その通常のOS始動手順を継続する。それ以外の場合、システムは始動しない。署名の検証がMCU(4、4a、4b、4c、6)を使用して実行され、これによって、機密(鍵)が露出されないことが確実になることに留意することが重要である。
別の例として、セキュア・フラッシュ・プロセスを使用する一実施形態では:ユーザが、遠隔制御装置OSのより新しいバージョンを利用できることが望ましい。同様に、遠隔制御装置(3)のソフトウェアを不正ソフトウェアで更新することを防止するために、書き込まれるべき新しいソフトウェアは署名されなければならない。遠隔制御装置(3)が(たとえば、電源ボタンを長く押すことによって)更新モードで開始されると、プロセッサは第1のルーチンを実行する。この第1のルーチンは、新しいソフトウェアのイメージをダウンロードし、その署名を計算し、それを検証してから、既存のソフトウェアに上書きする。この場合も、署名の検証がMCU(4、4a、4b、4c、6)を使用して実行され、これによって、機密(鍵)が露出されないことが確実になることに留意することが重要である。
したがって、上記で示した一実施形態では、前記MCU(4、4a、4b、4c、6)が存在することによって、破損したソフトウェアによるhOSの置き換えが回避される。
一実施形態では、MCU(4、4a、4b、4c、6)は、医療用デバイス(1、7)への無線接続を可能にする、(限定するものではないが:通信構成、公開鍵、秘密鍵、暗号プロセスなどの)鍵情報も含むことができ、医療用デバイス(1、7)も前記鍵情報を部分的または完全に知っている。前記鍵情報がなければ、医療用デバイス(1、7)に接続することは不可能である。この特徴は、医療用デバイス(1、7)が発見できないブルートゥース通信を使用することによって、説明することができる。遠隔制御装置(3)は、標準的なペアリング・プロセスを使用せずにブルートゥース接続を開始するために、リンク鍵を必要とする。この特殊な場合では、リンク鍵をMCU(4、4a、4b、4c、6)に読み込み、次にブルートゥース通信層に転送することができ、この層は接続をじかに要求することが可能である。
一実施形態では、前記セキュアな処理手段(5)は:
− 少なくとも1つの非対称鍵ペアおよび/または対称鍵を生成する非対称鍵暗号機構;
− 少なくとも1つの対称鍵および/または非対称鍵を生成する対称鍵暗号機構
− 暗号学的ハッシュ機構
を使用することができる。
前記非対称鍵暗号機構は、このアルゴリズムのうち少なくとも1つを使用することができる:Benaloh、Blum−Goldwasser、Cayley−Purser、CEILIDH、Cramer−Shoup、Damgard−Jurik、DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser−Micali、HFE、IES、Lamport、McEliece、Merkle−Hellman、MQV、Naccache−Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto−Uchiyama、Schnorr、Schmidt−Samoa、SPEKE、SRP、STS、Three−pass protocol、またはXTR。
一実施形態では、前記MCUのセキュアなメモリは秘密鍵を含み、前記医療用デバイスのセキュアな内部メモリは適切な公開鍵を含む。
遠隔制御装置(3)と医療用デバイスの間のペアリングは、以下の工程を含む:
・遠隔制御装置(3)内での前記MCU(4、4a、4b、4c、6)の挿入、
・前記MCU(4、4a、4b、4c、6)は、(前記MCU(4、4a、4b、4c、6)のセキュアなメモリに含まれる)無線通信構成を使用して、医療用デバイスを遠隔制御装置(3)と接続する、
・前記医療用デバイス(1、7)は、(前記医療用デバイス(1、7)のセキュアなメモリに含まれる)前記無線通信構成を使用して、遠隔制御装置(3)と接続される、
・有利には、前記MCU(4、4a、4b、4c、6)および前記医療用デバイス(1、7)は、暗号機構を使用してプラグ接続を認証する。
したがって、医療用デバイス(1、7)および遠隔制御装置(3)は、強制的に医療用デバイス(1、7)を他のデバイスに見えるようにする標準的なペアリング・プロセスを使用しない。
一実施形態では、前記MCU(4、4a、4b、4c、6)は、前記遠隔制御装置(3)が前記セキュアな処理手段(5)にアクセスしないような形で、そのセキュアなメモリ内に前記セキュアな処理手段(5)を保つ。
一実施形態では、医療用デバイスも、医療用デバイスのセキュアなメモリと遠隔デバイスの間のデータの暗号化された通信を管理する前記セキュアな処理手段を備える。
ホスト・オペレーティング・システム(hOS)の使用
限定するものではないが好ましい一実施形態では、ここで図1に注意を向けると、遠隔制御装置(3)のモバイル仮想化プラットフォームの使用は、遠隔制御装置(3)(たとえばスマートフォン)を、(たとえば医療用デバイス(1、7)を制御するための)制御されている環境と(たとえば汎用タスクのための)制御されていない環境に分割する可能性を提供する。仮想化プラットフォームは、仮想マシン・アプリケーションを介して定義することができる。
以下のアーキテクチャは、本発明による仮想化プラットフォームの非限定的な例を説明する(図1を参照されたい):
・1つまたはいくつかのゲストOS(図1では、2つのゲストOSのみが示されている)に対するハードウェア構成要素をエミュレートするホスト・オペレーティング・システム(OS)。
・制御されていない環境において汎用タスク(たとえば:カレンダー、連絡先、ウェブ・ブラウジング、電話通信、エンターテインメントなど)を処理する1つのゲストOS ・制御されている環境において医療用デバイスとの相互作用を処理する1つのゲストOS
有利には、hOSは、できる限り機能が少ないが、いくつかの先行するオペレーティング・プロセスを統合しており、最低レベルのオペレーティング・システム・アーキテクチャに存在する。ホスト・オペレーティング・システムは単純なハイパーバイザではない。実際には、ホスト・オペレーティング・システムは、さまざまなセキュリティ・タスクと制御タスクとをさらに含む。したがって、ホスト・オペレーティング・システムは、アクティビティを管理、協調させ、遠隔制御装置のリソースを共有し、アプリケーションの実行ならびに/または遠隔制御装置(3)のドライバおよび/もしくは周辺機器の使用を拒否および/または許可することを決定する。このようにして、悪意のあるソフトウェアは、ドライバおよび/または限定するものではないが上記で説明したようなMCUなどの周辺機器にアクセスできないので、セキュリティは改善される。
したがって、このアーキテクチャを使用することによって、制御されている環境は、常に、医療用デバイスと交換したコマンド/情報を妨害または修正または生成するための悪意のあるあらゆるアプリケーションを防止するために、遠隔制御装置の完全な制御を有する。そのような悪意のあるアプリケーションの一般的な動作は、注入のプログラミングを模倣するために、ユーザのPINコードを盗むことである。
一実施形態では、この制御されている環境が認証され、その完全性は、上記で説明したMCUを用いてチェックされる。遠隔制御装置のブート時には、安全チェックは前記MCUによって行われる。このチェックは、完全性を確認し、hOSおよび場合によりmOSを認証するべきである。
このアーキテクチャに加えて、特殊なモニタリング・プログラムを実施して、制御されている環境で実行されているすべてのタスクをチェックすることができ、これによって、許可されたアプリケーションの特定のリストに含まれていないアプリケーションを無効にすることができる。この特定のモニタリングはまた、前記MCUによって制御することができる。前記モニタは、アプリケーションによって使用される実行時間を測定し、アラームをトリガすることによって、アクティビティの過負荷が疑われることをユーザに示すことが可能な場合がある。
一実施形態では、前記hOSは、前記MCUに含まれている、および/または起動されている、および/または実行されている。
一実施形態では、前記mOSは、前記MCUに含まれている、および/または起動されている、および/または実行されている。
一実施形態では、前記mOSおよび/または前記hOSは前記MCUに含まれている。前記MCUを遠隔制御装置に挿入すると、MCUは、遠隔制御装置上に前記mOSおよび/またはhOSをインストールする。
一実施形態では、制御されている環境内での処理は、視覚的インジケータおよび/または音声インジケータおよび/またはLEDのような他のインジケータ(振動子など)を使用して知らせることができ、これによって、現在のアプリケーションは制御されていない環境ではなく制御されている環境で実行されていることがユーザに知らされる。例として、現在のアプリケーションが制御されている環境にいるとき、緑色のLEDがオンに切り替えられ、次に、制御されていない環境にユーザが戻ると、緑色のLEDがオフに切り替えられることを想像することができる。また、制御されている環境にユーザがいるときLEDがオフであり、制御されていない環境にユーザが戻るとLEDが赤色になる「反対の」使用事例を有してもよい。
別の実施形態では、hOSは、画面の一部を、制御されている環境で実行されているアプリケーションに予約することができる。このようにして、mOSのみがこの空間に何かを表示することができ、制御されていない環境で実行されているアプリケーションまたは他のgOSは、この空間を使用することはできない。
したがって、ユーザは、mOSのアプリケーションが実行されていることまたは実行されていないことがわかる。実際には、前記インジケータがユーザに正しく通知しない場合、医療用デバイスを制御しようとするまたはユーザを誤った方向に導こうとするのは、間違いなく悪意のあるアプリケーションである。
ループバック機構の使用
次の段落は、ループバック機構を備える本発明の好ましい一実施形態に関する。この特徴は、本発明によるアセンブリと患者が読むまたは入力する情報との間のセキュアなブリッジを確保するために、これまで開示したアーキテクチャまたは類似のレベルのセキュリティが遠隔制御装置の内部に設けられることを考慮に入れることによって、医療用デバイスと遠隔制御装置の間のセキュア通信を提供することができる。図3および4は、本発明による遠隔制御装置(3)によるループバック機構の使用を示す。
ループバックとは、医療用デバイス(1、7)上で実行されるコマンドが、そのパラメータと共に、オペレータによって要求されており(認証)、オペレータの希望に対応する(完全性)ことを確実にする機構である。より正確には、この機構は、最初に、遠隔制御装置(3)と医療用デバイス(1、7)の間で伝送される情報が偶然に(メモリの故障、通信干渉)または随意的に(攻撃者、マルウェア)変更されていないことを確実なものにする。そのうえ、この機構は、コマンドがユーザによって要求されていることを確実なものにする。これらの2つの機能は、限定するものではないが、以下のタスクなどによって達成される:
− コマンドが、そのパラメータと共に、遠隔制御装置(3)によって医療用デバイス(1、7)に伝送される。
− 医療用デバイス(1、7)が、コマンドおよびそのパラメータに基づいてチャレンジを生成し、それを遠隔制御装置(3)に返す。
− 遠隔制御装置(3)が、チャレンジから情報を抽出して、それを確認のためにユーザに対して表示する。この情報は、医療用デバイス(1、7)によって受信されるコマンドおよびそのパラメータを含む。
− ユーザは、本人のみが知っているPINを入力することによって承認および確認を知らせる。遠隔制御装置(3)は、PINおよびチャレンジそのものを使用してチャレンジへのレスポンスを生成する。
− このレスポンスは医療用デバイス(1、7)に送信され、医療用デバイス(1、7)によって検証される。コマンドは、チャレンジのレスポンスが正しい場合のみ、実際に実行し始める。
この機構は、チャレンジ・レスポンスの特定のインスタンスの場合のみユーザの使用するPINが検証されるという点において、標準的な「ログイン」機構と異なる。このようにして、各コマンドはユーザによって検証されなければならず、したがって、悪意のあるアプリケーションは、ユーザがPINコードを入力した直後に新しいコマンドを送信することはできない。そのうえ、ユーザはPINコードを知る唯一の人物なので、別の人物が適切な遠隔制御装置または他のデバイスを用いて誤ってまたは意図的にコマンドを送信することはできない。
この機構はまた、ユーザに示され承認が要求される情報はターゲット・デバイスによって返される情報であるという点で、「本当によろしいですか(Are you sure?)」機構を用いてユーザに対して要求されたコマンドを繰り返すだけとも異なる。何らかの改変が行われた場合、この返された値は、当初ユーザが入力した情報とは自動的に異なる。
前記確認は遠隔デバイスによって自動的に処理されず、したがって、悪意のあるアプリケーションは、前記確認を制御することができない。送信されたコマンドを確認するためのPINコードを知るユーザのみによって確認が許可されることが、極めて重要である。
好ましくは、セキュアな直接パイプが、医療用デバイスのメモリと表示される値を含む遠隔制御装置上のセキュアなバッファとの間に作成される。次に、遠隔制御装置(3)上の許可されたアプリケーションが、その値を表示し、ユーザ認証を記録し、これを使用して戻り値が構築され、この戻り値が医療用デバイスに返送される。このセキュアなパイプは、追加のMCUの内部にある情報を使用して開始することができる。
医療用デバイス上でプログラムしたいパラメータの定義をユーザが終了すると、セキュアなパイプが開く。医療用デバイスがそれらのパラメータを使用することを可能にするためにユーザがそれらのパラメータを承認すると、セキュアなパイプが閉じる。
本発明によるループバック・プロセスは、好ましくは、以下の要素の実装を必要とする:
・医療用デバイス内のセキュアなメモリ領域
・医療用デバイスのセキュアなメモリ領域と遠隔制御装置の間のデータの暗号化された通信を管理する、医療用デバイス内のセキュアなプロセス。
・遠隔制御装置内のセキュアな表示メモリ領域
・医療用デバイスと遠隔制御装置のセキュアな表示メモリ領域との間のデータの暗号化された通信を管理する、遠隔制御装置内のセキュアなプロセス。
・セキュアな表示メモリ領域から遠隔制御装置のディスプレイにデータを転送し、ユーザの肯定応答チケットを構築する、遠隔制御装置上での許可されたセキュアなプロセス。
これらの異なる要素のアーキテクチャが図2に示されている。
医療用デバイスが、1組のパラメータを受信すると、ループバック・プロセスが開始され、それにより、治療法のセットアップまたはアラーム設定のようなセキュリティ機構が変更される。
追加のMCUを使用しない一実施形態では、医療用アセンブリ(少なくとも1つの医療用デバイスおよび1つの遠隔制御装置)は、
・セキュアなメモリ領域を含むことができる、前記医療用デバイス内のメモリと、
・前記セキュアなメモリ領域と遠隔デバイスの間のデータの暗号化された通信を管理する、前記医療用デバイス内のセキュアな処理手段(5)と、
・遠隔制御装置内のセキュアなメモリ領域と、
・医療用デバイスと前記メモリ領域の間のデータの暗号化された通信を管理する、遠隔制御装置内のセキュアな処理手段(5)と、
・セキュアなメモリ領域から遠隔制御装置のディスプレイにデータを転送し、ユーザの肯定応答チケットを構築する、遠隔制御装置上での許可されたセキュアな処理手段(5)とを備える。
プロセスは、好ましくは、以下の工程を含む:
・医療用デバイス内の組み込みソフトウェアによって行われる、
・医療用デバイスのメモリに肯定応答されなければならないパラメータを書き込む工程
・一般にチャレンジという名前である、ランダムな情報を生成する工程
・医療用デバイスと遠隔制御装置の間でセキュアなパイプを開く工程
・振動、音、LED、または患者に知らせる他の任意の方法のような手段によって、医療用デバイスおよび遠隔制御装置はループバック・モードであることをユーザに示す工程。
・KPと呼ばれる暗号化鍵および遠隔制御装置へのチャレンジを使用することによって暗号化されたパラメータを送信する工程。
・遠隔制御装置内のソフトウェア・エンティティ1によって行われる、
・暗号化されたパラメータおよびチャレンジを受信して、遠隔制御装置のセキュアなメモリ領域に書き込む工程。
・遠隔制御装内のソフトウェア・エンティティ2によって行われる、
・KPに対応する鍵である、KRCと呼ばれる鍵を使用することによってパラメータを復号する工程。これらの鍵は、対称であってもよいし、非対称であってもよい。許可されたアプリケーションは、対応する正しい鍵KRCを有することによって検証される。
・復号されたパラメータを「概要」ページに表示する工程。
・ユーザのPINコードを入力する工程。
・チャレンジ、鍵KRC、および入力したPINコードを使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程。
・遠隔制御装置(3)のセキュアなメモリ領域にチケットを書き込む工程。
・遠隔制御装置内のソフトウェア・エンティティ1によって行われる、
・このチケットを医療用デバイスに送信する工程。
・医療用デバイス内の組み込みソフトウェアによって行われる、
・予想されるチケットを計算する工程
・遠隔制御装置から来る肯定応答チケットを受信し検証する工程。
このプロセスは図3に示されている。チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイス(1、7)は更新されたパラメータを使用することが可能である、この基本プロセスは、セキュアなパイプのセキュリティを改善するために、より磨きをかけてもよいし、より複雑なスキームの一部であってもよい。
一実施形態では、ユーザの動作を模倣するまたはPIN情報を傍受するアプリケーションを防止するために、遠隔制御装置デバイス上のランダム配列表示を使用しながら、このPINを入力してもよい。たとえば、PINコードがユーザによって入力されるたびに異なるランダムな順序で、数字(0から9のうち5個)を表示する。
別の実施形態では、限定するものではないが、指紋読み取り装置または網膜読み取り装置などの別の認証手段によって、PINを変更することができる。認証手段は、ユーザのみが知っているまたは所有していなければならない。
一実施形態では、前記ソフトウェア・エンティティ1と前記ソフトウェア・エンティティ2は、同じソフトウェア・エンティティであり、または、ソフトウェア・エンティティ1は遠隔制御装置(3)内の組み込みソフトウェアであってよく、ソフトウェア・エンティティ2は遠隔制御装置(3)内の許可されたアプリケーションであってよい。別の実施形態では、前記ソフトウェア・エンティティ1は上記で定義したホスト・オペレーティング・システムによって実行されており、ソフトウェア・エンティティ2は上記で説明した医療用オペレーティング・システムによって実行されている。
送信されたデータを暗号化する方法および前記チケットを生成する方法がいくつかあることは、当業者には理解されよう。本発明は、送信されたデータを暗号化するまたは前記チケットを生成する特定の方法に限定されない。
追加のMCUを含む一実施形態では、プロセスは、好ましくは以下の工程を含む:
・医療用デバイス内の組み込みソフトウェアによって行われる:
・医療用デバイスのメモリに肯定応答でなければならないパラメータを書き込む工程
・チャレンジを生成する工程
・一時鍵Ks1を使用することによって前記パラメータを暗号化する工程
・振動、音、LED、または患者に知らせる他の任意の方法のような手段によって、医療用デバイスおよび遠隔制御装置はループバック・モードであることをユーザに示す工程。
・暗号化したパラメータを遠隔制御装置に送信する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・暗号化したパラメータをMCUに送信する工程。
・MCU内で組み込みソフトウェアによって行われる、
・暗号化されたパラメータおよびチャレンジを受信して、MCUのセキュアなメモリ領域に書き込む工程。
・鍵Ks1を使用することによってパラメータを復号する工程。
・復号したパラメータおよびチャレンジを遠隔制御装置のメモリに送信する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・復号されたパラメータを「概要」ページに表示する工程。
・ユーザに、PINコードを入力することを促す工程。
・チャレンジ、パラメータ、および入力したPINコードを使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程。
・遠隔制御装置のセキュアなメモリ領域にチケットを書き込む工程。
・前記チケットをMCUに送信する工程
・MCU内で組み込みソフトウェアによって行われる、
・前記チケットを受信し、MCUのセキュアなメモリ領域に書き込む工程
・一時鍵Ks2を使用することによって前記チケットを暗号化する工程
・前記暗号化したチケットを遠隔制御装置に返送する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・暗号化したチケットを医療用デバイスに送信する工程。
・医療用デバイス内の組み込みソフトウェアによって行われる、
・予想されるチケットを計算する工程
・遠隔制御装置から来る肯定応答チケットを受信し、復号し、検証する工程。
このプロセスは図4に示されている。チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイスは更新されたパラメータを使用することが可能である。この基本プロセスは、セキュアなパイプのセキュリティを改善するために、より磨きをかけてもよいし、より複雑なスキームの一部であってもよい。
一実施形態では、遠隔制御装置内の前記組み込みソフトウェアは、上記で定義したホスト・オペレーティング・システムによって実行されており、MCU内の前記組み込みソフトウェアは、上記で説明した医療用オペレーティング・システムによって実行されている。
一実施形態では、チャレンジも暗号化されてよい。
一実施形態では、鍵Ks1およびKs2は、非対称鍵ペアまたは対称鍵であってもよいし、またはハッシング機構を使用してもよい。
一実施形態では、鍵Ks1とKs2が同じである。
一実施形態では、鍵Ks1とKs2は異なる。
一実施形態では、ユーザは、PINコードを入力して、ループバック機構への参加(entrance)を確認しなければならず、そのようなPINコードはランダムに表示される配列上に入力される。
別の実施形態では、医療用デバイスは、患者の生理的特性を測定することができる少なくとも1つのセンサと、前記センサによって観察される第1の症状をリアル・タイムで認識するための診断手段と、前記診断手段が前記第1の症状を検出した場合に患者に警告するアラーム手段とを備える。このようにして、医療用デバイスは、遠隔制御装置によって監視され、遠隔制御装置にアラームを送信することができる。
一実施形態では、遠隔制御装置は、アラームが送信された場合にユーザの位置を特定するためのGPSを備える。前記医療用アセンブリは、前記診断手段が前記第1の症状を検出した場合、または/および患者が自分ですることができない場合に、遠隔制御装置内のアプリケーションを起動して、患者の位置を特定し、前記位置特定を医療センターまたは他の人物に送信することができる。また、前記医療用アセンブリは、前記診断手段が前記第1の症状を検出した場合、または/および患者が自分ですることができない場合に、遠隔制御装置内のアプリケーションを起動して、生理的特性のデータを医療センターまたは他の人物に送信することができる。
本発明は、当然のことながら、これまでに説明した図示の例に限定されない。
1 医療用デバイス
2 無線通信
3 遠隔制御装置
4、4a、4b、4c (スマート・カードなどの)マイクロコントローラ
5 セキュアな処理手段
6 別のタイプのマイクロコントローラ
7 別の医療用デバイス

Claims (31)

  1. 遠隔制御装置(3)とセキュア通信する医療用デバイス(1、7)であって:
    遠隔制御装置(3)との無線通信(2)を可能にする通信手段と、
    前記通信(2)をセキュアにするための鍵情報を含むセキュアな内部メモリと
    を備え、
    ここで、前記医療用デバイス(1、7)は、前記鍵情報をさらに含むセキュアなメモリを備えるただ1つのマイクロコントローラ(MCU)(4、4a、4b、4c、6)とすでにペアリングされ、
    前記MCU(4、4a、4b、4c、6)は、遠隔制御装置(3)にプラグ接続されるように設計される、
    上記医療用デバイス(1、7)。
  2. 前記MCU(4、4a、4b、4c、6)は、前記医療用デバイス(1、7)と前記MCU(4、4a、4b、4c、6)がプラグ接続される前記遠隔制御装置(3)との間で、ペアリングする、および/または通信を暗号化するように設計される、請求項1に記載の医療用デバイス(1、7)。
  3. 鍵情報は、無線通信構成および/または暗号化パラメータを含む、請求項1に記載の医療用デバイス(1、7)。
  4. 前記医療用デバイス(1、7)および/または前記MCU(4、4a、4b、4c、6)はセキュアな処理手段(5)を含む、請求項1に記載の医療用デバイス(1、7)。
  5. 医療用デバイス(1、7)と遠隔制御装置(3)の間でセキュアな通信を確立するのに適した医療用アセンブリであって、
    前記医療用デバイス(1、7)との無線通信(2)を可能にする通信手段、
    追加のマイクロコントローラ(MCU)(4、4a、4b、4c、6)をプラグ接続するための接続手段、
    少なくとも1つの入力手段、
    前記通信手段、前記接続手段、および前記入力手段に接続された少なくとも1つのプロセッサ
    を備える遠隔制御装置(3)と、
    前記遠隔制御装置(3)との無線通信(2)を可能にする通信手段、
    セキュアな内部メモリ
    を備える医療用デバイス(1、7)と、
    前記遠隔制御装置(3)に接続されるように設計され;セキュアなメモリをさらに備えるMCU(4、4a、4b、4c、6)と
    を備え、
    ここで、少なくとも1つの医療用デバイス(1、7)は、ただ1つのMCU(4、4a、4b、4c、6)と排他的にペアリングされ、
    前記医療用デバイス(1、7)のセキュアな内部メモリおよび前記MCU(4、4a、4b、4c、6)のセキュアなメモリは、通信をセキュアにするための鍵情報を含む、
    上記医療用アセンブリ。
  6. 鍵情報は、無線通信構成および/または暗号化パラメータを含む、請求項5に記載のアセンブリ。
  7. 前記遠隔制御装置(3)は少なくとも1つの表示手段を備える、請求項5に記載のアセンブリ。
  8. 前記医療用デバイス(1、7)および/または前記MCU(4、4a、4b、4c、6)は、前記医療用デバイス(1、7)と前記遠隔制御装置(3)の間のデータの通信をセキュアにするセキュアな処理手段(5)を備える、請求項5に記載のアセンブリ。
  9. 前記MCU(4、4a、4b、4c、6)は、前記遠隔制御装置(3)が前記セキュアな処理手段(5)にアクセスしないような形で、セキュアなメモリ内に前記セキュアな処理手段(5)を保つ、請求項8に記載のアセンブリ。
  10. 前記MCU(4、4a、4b、4c、6)は、汎用集積回路カード、スマート・カード、またはSIMカード、またはSDカードとすることができる、請求項5に記載のアセンブリ。
  11. 前記MCU(4、4a、4b、4c、6)の前記セキュアなメモリは、前記MCU(4、4a、4b、4c、6)の内部で実行され遠隔制御装置(3)とインタフェースするアプリケーションを備える、請求項5に記載のアセンブリ。
  12. アプリケーションは、遠隔制御装置(3)の内部メモリにロードされ、前記遠隔制御装置(3)の内部で実行されている、請求項5に記載のアセンブリ。
  13. 前記MCU(4、4a、4b、4c、6)は、前記アプリケーションの完全性を確認するための認証手段を備える、請求項5に記載のアセンブリ。
  14. 遠隔制御装置(3)を医療用デバイス(1、7)とペアリングするための請求項1〜13のいずれか1項に記載のMCU(4、4a、4b、4c、6)の使用であって、
    前記MCU(4、4a、4b、4c、6)は、医療用デバイス(1、7)を遠隔制御装置(3)と接続するために前記無線通信構成を使用する工程と、
    前記医療用デバイス(1、7)は、前記無線通信構成を使用して、遠隔制御装置(3)と接続される工程と
    を含む上記使用。
  15. 前記MCU(4、4a、4b、4c、6)および前記医療用デバイス(1、7)は、暗号機構を使用して接続を認証する工程
    をさらに含む、請求項14に記載のMCU(4、4a、4b、4c、6)の使用。
  16. 前記MCU(4、4a、4b、4c、6)は、前記遠隔制御装置(3)にロードされる仮想プラットフォームおよび/またはオペレーティング・システム(複数可)の完全性をさらに確認する、請求項1〜15のいずれか1項に記載のMCU(4、4a、4b、4c、6)の使用。
  17. アプリケーションは、MCU(4、4a、4b、4c、6)から遠隔制御装置(3)の内部メモリにロードされ、前記遠隔制御装置(3)によって実行されている、請求項1〜16のいずれか1項に記載のMCU(4、4a、4b、4c、6)の使用。
  18. 少なくとも1つのゲスト・オペレーティング・システム(gOS)用のハードウェア構成要素をエミュレートするホスト・オペレーティング・システム(hOS)と、
    いずれも制御されていない環境で使用するように設計され、限定するものではないが、カレンダーまたは連絡先のような一般的な機能を処理する第1のgOSと、
    いずれも制御されている環境で使用するように設計された、医療用デバイス(1、7)のための遠隔制御装置(3)の機能を処理する医療用オペレーティング・システム(mOS)と
    を備える仮想化プラットフォーム。
  19. 前記仮想化プラットフォームは遠隔制御装置(3)によって使用することができる、請求項18に記載の仮想化プラットフォーム。
  20. 前記mOSは別のgOSを構成する、請求項18に記載の仮想化プラットフォーム。
  21. 前記第1のgOSは、限定するものではないが、ウェブ・ブラウジングまたは電話通信のような無線通信も処理する、請求項18に記載の仮想化プラットフォーム。
  22. mOSおよび/またはhOSは、gOSで実行されているアプリケーションを制御しブロックする、請求項18に記載の仮想化プラットフォーム。
  23. mOSおよび/またはhOSは、遠隔制御装置(3)の画面上でどのアプリケーションがフォーカスを有するか制御する、請求項18に記載の仮想化プラットフォーム。
  24. 遠隔制御装置(3)は、現在のアプリケーションは制御されている環境で実行されていることをユーザに知らせるインジケータを含む、請求項18に記載の仮想化プラットフォーム。
  25. 前記インジケータは、LED、前記画面の一部、別の画面、特定の音、または振動子とすることができる、請求項24に記載の仮想化プラットフォーム。
  26. ループバック機構を持つ、請求項18〜25のいずれか1項に記載の仮想化プラットフォームの使用であって:
    医療用デバイス内の組み込みソフトウェアによって行われる、
    医療用デバイスのセキュアなメモリ領域に肯定応答されなければならないパラメータを書き込む工程と、
    チャレンジを生成する工程と、
    医療用デバイスとモバイル・デバイスの間でセキュアなパイプを開く工程と、
    振動、音、LED、または患者に知らせる他の任意の方法のような手段によって、医療用デバイスおよび遠隔制御装置はループバック・モードであることをユーザに示す工程と、
    暗号化鍵KPおよびモバイル・デバイスへのチャレンジを使用することによって暗号化されたパラメータを送信する工程と、
    遠隔制御装置(3)内のソフトウェア・エンティティ1によって行われる、
    暗号化されたパラメータおよびチャレンジを受信して、モバイル・デバイスのセキュアなメモリ領域に書き込む工程と、
    遠隔制御装置(3)内のソフトウェア・エンティティ2によって行われる、
    KPに対応する鍵である鍵KRCを使用することによってパラメータを復号する工程。これらの鍵は、対称または非対称とすることができる。許可されたアプリケーションは、対応する正しい鍵KRCを有することによって検証される。
    復号されたパラメータを「概要」ページに表示する工程と、
    ユーザの認証手段を入力する工程と、
    チャレンジ、鍵KRC、および入力した前記認証手段を使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程と、
    モバイル・デバイスのセキュアなメモリ領域にチケットを書き込む工程と、
    遠隔制御装置(3)内のソフトウェア・エンティティ1によって行われる、
    このチケットを医療用デバイスに送信する工程と、
    医療用デバイス内の組み込みソフトウェアによって行われる、
    予想されるチケットを計算する工程と、
    モバイル・デバイスから来る肯定応答チケットを受信し検証する工程と
    を含み、
    チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイス(1、7)は更新されたパラメータを使用することが可能である、
    上記仮想化プラットフォームの使用。
  27. ユーザの認証手段はPINコードであってもよいし、指紋読み取り装置または網膜読み取り装置などを使用してもよい、請求項26に記載の仮想化プラットフォームの使用。
  28. ユーザは、PINコードを入力して、ループバック機構への参加を確認しなければならず、そのようなPINコードはランダムに表示される配列上に入力される、請求項18〜27のいずれか1項に記載の仮想化プラットフォームの使用。
  29. ループバック機構を持つ、請求項1〜28のいずれか1項に記載のMCU(4、4a、4b、4c、6)の使用であって:
    医療用デバイス(1、7)内で組み込みソフトウェアによって行われる、
    医療用デバイス(1、7)のセキュアなメモリに肯定応答でなければならないパラメータを書き込む工程と、
    チャレンジを生成する工程と、
    一時鍵Ks1を使用することによって前記パラメータを暗号化する工程と、
    振動、音、LED、または患者に知らせる他の任意の方法によって、医療用デバイス(1、7)および遠隔制御装置(3)はループバック・モードであることをユーザに示す工程と、
    暗号化したパラメータを遠隔制御装置(3)に送信する工程と、
    遠隔制御装置(3)内の組み込みソフトウェアによって行われる、
    暗号化したパラメータを追加のMCU(4、4a、4b、4c、6)に送信する工程と、
    追加のMCU(4、4a、4b、4c、6)内の組み込みソフトウェアによって行われる、
    暗号化されたパラメータおよびチャレンジを受信して、追加のMCU(4、4a、4b、4c、6)のセキュアなメモリ領域に書き込む工程と、
    鍵Ks1を使用することによってパラメータを復号する工程と、
    復号したパラメータおよびチャレンジを遠隔制御装置(3)のメモリに送信する工程と、
    遠隔制御装置(3)内の組み込みソフトウェアによって行われる、
    復号されたパラメータを「概要」ページに表示する工程と、
    ユーザに、ユーザの認証手段を入力することを促す工程と、
    チャレンジ、パラメータ、および入力した前記認証手段を使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程と、
    遠隔制御装置(3)のセキュアなメモリ領域にチケットを書き込む工程と、
    前記チケットを追加のMCU(4、4a、4b、4c、6)に送信する工程と、
    追加のMCU(4、4a、4b、4c、6)内の組み込みソフトウェアによって行われる、
    前記チケットを受信し、追加のMCU(4、4a、4b、4c、6)のセキュアなメモリ領域に書き込む工程と、
    一時鍵Ks2を使用することによって前記チケットを暗号化する工程と、
    前記暗号化したチケットを遠隔制御装置(3)に返送する工程と、
    遠隔制御装置(3)内の組み込みソフトウェアによって行われる、
    暗号化したチケットを医療用デバイス(1、7)に送信する工程と、
    医療用デバイス(1、7)内で組み込みソフトウェアによって行われる、
    予想されるチケットを計算する工程と、
    遠隔制御装置(3)から来る肯定応答チケットを受信し、複合し、検証する工程と
    を含み、
    チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイス(1、7)は更新されたパラメータを使用することが可能である、
    上記MCU(4、4a、4b、4c、6)の使用。
  30. ユーザの認証手段はPINコードであってもよいし、指紋読み取り装置または網膜読み取り装置などを使用してもよい、請求項29に記載のループバック機構の使用。
  31. ループバック機構、および/または;
    仮想化プラットフォーム、および/または;
    追加のMCU(4、4a、4b、4c、6)
    を使用する、請求項1〜30のいずれか1項に記載の医療用アセンブリの使用。
JP2014537799A 2011-10-28 2012-10-26 医療用デバイスとその遠隔デバイスの間のセキュアな通信 Expired - Fee Related JP6284882B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP11187121.6A EP2587394A1 (en) 2011-10-28 2011-10-28 Mobile virtualization platform for the remote control of a medical device
EP11187121.6 2011-10-28
EP12175498.0 2012-07-09
EP12175498 2012-07-09
PCT/IB2012/055917 WO2013061296A2 (en) 2011-10-28 2012-10-26 Mobile virtualization platform for the remote control of a medical device

Publications (2)

Publication Number Publication Date
JP2015501593A true JP2015501593A (ja) 2015-01-15
JP6284882B2 JP6284882B2 (ja) 2018-02-28

Family

ID=47326249

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014537799A Expired - Fee Related JP6284882B2 (ja) 2011-10-28 2012-10-26 医療用デバイスとその遠隔デバイスの間のセキュアな通信

Country Status (7)

Country Link
US (1) US9967739B2 (ja)
EP (1) EP2786288A2 (ja)
JP (1) JP6284882B2 (ja)
CN (1) CN103890768B (ja)
AU (1) AU2012327945A1 (ja)
CA (1) CA2853598A1 (ja)
WO (1) WO2013061296A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022025409A (ja) * 2020-07-29 2022-02-10 株式会社テクロック・スマートソリューションズ 測定ソリューションサービス提供システム

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11901069B2 (en) 2010-08-12 2024-02-13 Fenwal, Inc. Processing blood donation data for presentation on operator interface
US8676600B2 (en) 2010-08-12 2014-03-18 Fenwal, Inc Mobile applications for blood centers
EP2769357B1 (en) 2011-10-21 2023-08-30 ICU Medical, Inc. Medical device update system
US8769625B2 (en) 2011-11-17 2014-07-01 Fresenius Medical Care Holdings, Inc. Remote control of dialysis machines
US10171458B2 (en) 2012-08-31 2019-01-01 Apple Inc. Wireless pairing and communication between devices using biometric data
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
KR101337208B1 (ko) * 2013-05-07 2013-12-05 주식회사 안랩 휴대 단말의 어플리케이션 데이터 관리 방법 및 그 장치
FR3011110B1 (fr) * 2013-09-24 2016-10-21 Biocorp Rech Et Dev Methode de suivi et d'aide a l'observance du traitement d'un patient
US10311972B2 (en) 2013-11-11 2019-06-04 Icu Medical, Inc. Medical device system performance index
US9231923B1 (en) * 2013-11-12 2016-01-05 Amazon Technologies, Inc. Secure data destruction in a distributed environment using key protection mechanisms
US9235714B1 (en) 2013-11-12 2016-01-12 Amazon Technologies, Inc. Preventing persistent storage of cryptographic information using signaling
US10223538B1 (en) 2013-11-12 2019-03-05 Amazon Technologies, Inc. Preventing persistent storage of cryptographic information
WO2015157436A1 (en) * 2014-04-09 2015-10-15 Koninklijke Philips N.V. Devices, systems, and methods for authenticated intravascular device use and reuse
AU2015253001A1 (en) 2014-04-30 2016-10-20 Icu Medical, Inc. Patient care system with conditional alarm forwarding
US9724470B2 (en) 2014-06-16 2017-08-08 Icu Medical, Inc. System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy
US9539383B2 (en) 2014-09-15 2017-01-10 Hospira, Inc. System and method that matches delayed infusion auto-programs with manually entered infusion programs and analyzes differences therein
FR3026254B1 (fr) * 2014-09-19 2016-11-25 Dominique Bolignano Procede d'appairage
CN205050141U (zh) 2014-09-30 2016-02-24 苹果公司 电子设备
EP3032443A1 (en) * 2014-12-08 2016-06-15 Roche Diagnostics GmbH Pairing of a medical apparatus with a control unit
GB2535471A (en) * 2015-02-16 2016-08-24 Camlab Ltd A computer device for acting as a meter
EP3101571B1 (en) * 2015-06-03 2018-05-02 Roche Diabetes Care GmbH Measurement system for measuring the concentration of an analyte with a subcutaneous analyte sensor
US10002257B2 (en) * 2015-08-04 2018-06-19 Ge Aviation Systems Llc Cryptographic key loader embedded in removable data cartridge
CN105327430A (zh) * 2015-11-20 2016-02-17 无锡顶点医疗器械有限公司 一种无线胰岛素输注系统
GB201607973D0 (en) * 2016-05-06 2016-06-22 Vicentra B V Communication protocol for an electronic system
US10552138B2 (en) * 2016-06-12 2020-02-04 Intel Corporation Technologies for secure software update using bundles and merkle signatures
NZ750032A (en) 2016-07-14 2020-05-29 Icu Medical Inc Multi-communication path selection and security system for a medical device
US10493287B2 (en) * 2017-02-27 2019-12-03 Medtronic, Inc. Facilitating trusted pairing of an implantable device and an external device
CN110461391B (zh) * 2017-03-23 2021-12-07 泰尔茂株式会社 便携医疗设备以及便携医疗设备的控制方法
US20190122757A1 (en) * 2017-10-22 2019-04-25 Rui Lin Method and device for software-defined therapy
US10950339B2 (en) 2018-07-17 2021-03-16 Icu Medical, Inc. Converting pump messages in new pump protocol to standardized dataset messages
EP4297379A3 (en) 2018-07-17 2024-01-10 ICU Medical, Inc. Systems and methods for facilitating clinical messaging in a network environment
EP3824386B1 (en) 2018-07-17 2024-02-21 ICU Medical, Inc. Updating infusion pump drug libraries and operational software in a networked environment
WO2020129008A1 (fr) 2018-12-21 2020-06-25 Debiotech S.A. Dispositif médical sécurisé
WO2020205806A1 (en) * 2019-04-01 2020-10-08 Fujioka Robb Takeshi Systems, methods, and apparatuses for securely authenticating device usage and access

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02195377A (ja) * 1989-01-24 1990-08-01 Matsushita Electric Ind Co Ltd 鍵共有機能付きicカード
JP2004295352A (ja) * 2003-03-26 2004-10-21 Matsushita Electric Ind Co Ltd メモリデバイス
JP2006146337A (ja) * 2004-11-16 2006-06-08 Arctec Inc リーダライタ、およびデータ処理方法
JP2009522060A (ja) * 2006-01-09 2009-06-11 カーディアック ペースメイカーズ, インコーポレイテッド 患者用医療デバイスの遠隔プログラミング
JP2009530880A (ja) * 2006-03-13 2009-08-27 ノボ・ノルデイスク・エー/エス 複合通信手段を使用した電子装置の安全なペアリング
JP2010507928A (ja) * 2006-08-18 2010-03-11 メドトロニック,インコーポレイテッド セキュアテレメトリックリンク
JP2010510586A (ja) * 2006-11-17 2010-04-02 メドトロニック ミニメド インコーポレイテッド 消費者電子デバイスを使用する糖尿病管理のためのシステムおよび方法
JP2011521581A (ja) * 2008-05-19 2011-07-21 キネテイツク・リミテツド 可動鍵装置を伴う量子鍵配送

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2716286A1 (fr) 1994-02-16 1995-08-18 Debiotech Sa Installation de surveillance à distance d'équipements commandables.
US5602917A (en) 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
DE10137152A1 (de) 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
SG105005A1 (en) 2002-06-12 2004-07-30 Contraves Ag Device for firearms and firearm
US7831828B2 (en) 2004-03-15 2010-11-09 Cardiac Pacemakers, Inc. System and method for securely authenticating a data exchange session with an implantable medical device
JP4969106B2 (ja) * 2006-01-05 2012-07-04 ルネサスエレクトロニクス株式会社 マイクロコントローラ
US7930543B2 (en) 2006-08-18 2011-04-19 Medtronic, Inc. Secure telemetric link
WO2008069829A1 (en) * 2006-12-06 2008-06-12 Medtronic, Inc. Intelligent discovery of medical devices by a programming system
WO2008070069A1 (en) * 2006-12-06 2008-06-12 Medtronic, Inc. Programming a medical device with a general purpose instrument
US8768251B2 (en) * 2007-05-17 2014-07-01 Abbott Medical Optics Inc. Exclusive pairing technique for Bluetooth compliant medical devices
EP2001188A1 (en) * 2007-06-08 2008-12-10 F.Hoffmann-La Roche Ag Method for authenticating a medical device and a remote device
US20090063193A1 (en) * 2007-08-31 2009-03-05 Mike Barton Dashboard diagnostics for wireless patient communicator
JP2009124429A (ja) 2007-11-14 2009-06-04 Panasonic Corp 通信システム、通信端末装置、及びデータ転送方法
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
US8868929B2 (en) * 2008-04-08 2014-10-21 Microelectronica Espanola S.A.U. Method of mass storage memory management for large capacity universal integrated circuit cards
JP4631935B2 (ja) * 2008-06-06 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム及び通信システム
US20100045425A1 (en) 2008-08-21 2010-02-25 Chivallier M Laurent data transmission of sensors
US9656092B2 (en) * 2009-05-12 2017-05-23 Chronicmobile, Inc. Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment
US8190651B2 (en) * 2009-06-15 2012-05-29 Nxstage Medical, Inc. System and method for identifying and pairing devices
US8588925B2 (en) * 2009-07-06 2013-11-19 Boston Scientific Neuromodulation Corporation External device for an implantable medical system having accessible contraindication information
DK2320621T3 (en) * 2009-11-06 2016-12-19 Hoffmann La Roche A method of establishing a cryptographic communication between a remote device and a medical device and system for carrying out this method
US20130141438A1 (en) 2010-06-25 2013-06-06 Debiotech S.A. System for inputting and displaying data
CN202014242U (zh) * 2010-11-24 2011-10-19 上海无先网络科技有限公司 一种智能无线收发模块
US8887272B2 (en) * 2012-08-24 2014-11-11 General Electric Company Medical device customization system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02195377A (ja) * 1989-01-24 1990-08-01 Matsushita Electric Ind Co Ltd 鍵共有機能付きicカード
JP2004295352A (ja) * 2003-03-26 2004-10-21 Matsushita Electric Ind Co Ltd メモリデバイス
JP2006146337A (ja) * 2004-11-16 2006-06-08 Arctec Inc リーダライタ、およびデータ処理方法
JP2009522060A (ja) * 2006-01-09 2009-06-11 カーディアック ペースメイカーズ, インコーポレイテッド 患者用医療デバイスの遠隔プログラミング
JP2009530880A (ja) * 2006-03-13 2009-08-27 ノボ・ノルデイスク・エー/エス 複合通信手段を使用した電子装置の安全なペアリング
JP2010507928A (ja) * 2006-08-18 2010-03-11 メドトロニック,インコーポレイテッド セキュアテレメトリックリンク
JP2010510586A (ja) * 2006-11-17 2010-04-02 メドトロニック ミニメド インコーポレイテッド 消費者電子デバイスを使用する糖尿病管理のためのシステムおよび方法
JP2011521581A (ja) * 2008-05-19 2011-07-21 キネテイツク・リミテツド 可動鍵装置を伴う量子鍵配送

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JACOB SORBER, ET AI.: "Plug-n-Trust: Practial Trusted Sensing for mHealth", PROCEEDINGS OF THE 10TH INTERNATIONAL CONFERENCE ON MOBILE SYSTEMS, APPLICATIONS, AND SERVICES (MOBI, JPN6016035571, 25 June 2012 (2012-06-25), US, pages 309 - 322, XP002692324, ISSN: 0003720557, DOI: 10.1145/2307636.2307665 *
中村 雄一: "どっちが強い!? Fedora vs.Vista セキュリティ全面対決 Part 3", 日経LINUX, vol. 第9巻、第7号, JPN6016035570, 8 July 2007 (2007-07-08), JP, pages 38 - 43, ISSN: 0003399700 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022025409A (ja) * 2020-07-29 2022-02-10 株式会社テクロック・スマートソリューションズ 測定ソリューションサービス提供システム

Also Published As

Publication number Publication date
CN103890768B (zh) 2018-05-29
CA2853598A1 (en) 2013-05-02
US9967739B2 (en) 2018-05-08
WO2013061296A2 (en) 2013-05-02
JP6284882B2 (ja) 2018-02-28
CN103890768A (zh) 2014-06-25
WO2013061296A3 (en) 2013-07-04
US20140298022A1 (en) 2014-10-02
AU2012327945A1 (en) 2014-05-01
EP2786288A2 (en) 2014-10-08

Similar Documents

Publication Publication Date Title
JP6284882B2 (ja) 医療用デバイスとその遠隔デバイスの間のセキュアな通信
AU2013288269B2 (en) Communication secured between a medical device and its remote control device
KR102604046B1 (ko) 전자 기기의 프로그램 관리 방법 및 장치
TWI674533B (zh) 授權將於目標計算裝置上執行之操作的設備
ES2812541T3 (es) Aparato de autenticación con interfaz Bluetooth
KR102485830B1 (ko) 보안 정보의 처리
KR102530888B1 (ko) 결제 거래를 수행하는 방법 및 장치
KR101556069B1 (ko) 대역외 원격 인증
CN107533609A (zh) 用于对系统中的多个可信执行环境进行控制的系统、设备和方法
KR101736397B1 (ko) 호스트 중앙 프로세싱 유닛 및 호스트 운영 시스템에 의한 제어 및 간섭으로부터 분리된 사용자 승인 및 프레젠스 검출
KR20180072389A (ko) 액세서리에 대응하는 콘텐트를 제공하기 위한 방법 및 그 전자 장치
KR20160101635A (ko) 보안 회로를 통한 데이터의 저장 및 이용
CN104471584B (zh) 对受保护数据集进行基于网络的管理
WO2012111018A1 (en) Secure tamper proof usb device and the computer implemented method of its operation
US8341389B2 (en) Device, systems, and method for securely starting up a computer installation
US20230108034A1 (en) Method and System for Secure Interoperability between Medical Devices
CN115544586B (zh) 用户数据的安全存储方法、电子设备及存储介质
KR102349714B1 (ko) 전자 기기의 프로그램 관리 방법 및 장치
KR102248132B1 (ko) 생체정보를 이용한 로그인방법, 장치 및 프로그램
JP2014057283A (ja) 秘密情報の交換方法およびコンピュータ
EP2587394A1 (en) Mobile virtualization platform for the remote control of a medical device
WO2016124032A1 (zh) 数据交互方法
CN117668936A (zh) 数据处理方法及相关装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151013

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180131

R150 Certificate of patent or registration of utility model

Ref document number: 6284882

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees