JP2015531184A - 医療デバイスとその遠隔デバイスの間の保護された通信 - Google Patents

医療デバイスとその遠隔デバイスの間の保護された通信 Download PDF

Info

Publication number
JP2015531184A
JP2015531184A JP2015521119A JP2015521119A JP2015531184A JP 2015531184 A JP2015531184 A JP 2015531184A JP 2015521119 A JP2015521119 A JP 2015521119A JP 2015521119 A JP2015521119 A JP 2015521119A JP 2015531184 A JP2015531184 A JP 2015531184A
Authority
JP
Japan
Prior art keywords
node
key
medical
security token
mcu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015521119A
Other languages
English (en)
Other versions
JP6437433B2 (ja
JP2015531184A5 (ja
Inventor
フレデリク・ネフテル
クリスチャン・グリジス
パスカル・ボーアーミースター
ステファン・プロエンネッケ
Original Assignee
デバイオテック・ソシエテ・アノニム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デバイオテック・ソシエテ・アノニム filed Critical デバイオテック・ソシエテ・アノニム
Publication of JP2015531184A publication Critical patent/JP2015531184A/ja
Publication of JP2015531184A5 publication Critical patent/JP2015531184A5/ja
Application granted granted Critical
Publication of JP6437433B2 publication Critical patent/JP6437433B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61MDEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
    • A61M5/00Devices for bringing media into the body in a subcutaneous, intra-vascular or intramuscular way; Accessories therefor, e.g. filling or cleaning devices, arm-rests
    • A61M5/14Infusion devices, e.g. infusing by gravity; Blood infusion; Accessories therefor
    • A61M5/142Pressure infusion, e.g. using pumps
    • A61M5/14244Pressure infusion, e.g. using pumps adapted to be carried by the patient, e.g. portable on the body
    • A61M5/14248Pressure infusion, e.g. using pumps adapted to be carried by the patient, e.g. portable on the body of the skin patch type
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C2201/00Transmission systems of control signals via wireless link
    • G08C2201/60Security, fault tolerance
    • G08C2201/61Password, biometric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

本発明は、医療デバイスと、安全に無線で通信する遠隔制御装置とによって構成される医療アセンブリを含む。遠隔制御装置は、少なくとも1つのセキュリティトークンに接続される。医療デバイスおよびセキュリティトークンに記憶された鍵情報は、安全に接続を確立し通信するために使用される。

Description

本発明は、それだけには限らないが、送達デバイス(例えば、インスリンポンプ)、および/または無線センサ(例えば、連続グルコース計)、および/または埋込み可能デバイス、および/またはサンプリングデバイスなどの医療デバイスの遠隔制御に関する。
最新技術
パッチポンプのように軽量かつ小型であるインスリンポンプのような一部の医療デバイスを制御するには、遠隔制御装置が必要とされるが、その理由は、ポンプ自体の上に設置されている表示装置の内容を患者が見ることは非常に困難なことになりうるからである。今日、大部分のポンプが専用の、メーカ独自の遠隔制御装置を使用しており、これは、この遠隔制御装置によって生じうるすべての不都合、すなわち:
・ 装置を入れるためのポケットを、速く簡単に手が届く安全な場所に見つけること、
・ 自分の遠隔制御装置を忘れないこと、
・ 装置を充電することを思い出す、または予備電池を持っていること、
・ 落下、または日光もしくは砂に曝すような、あらゆる「悪い」外部条件による装置の劣化を防止すること
を伴う別のデバイスを持ち歩くことを表す。
別の専用のデバイスを使用しないようにする1つの方法は、それだけには限らないが、既に患者が所持しているはずの、遠隔操作機能を組み込むために必要なすべての能力を有する血糖計または携帯電話などの既存のデバイスに、遠隔制御機能を組み込むことである。
この目的に携帯電話を使用することは、非常に魅力的であるが、インスリンポンプにプログラムするのに携帯電話を使用できるようにする前に対処しなければならない多くのセキュリティの側面をもたらす。確保されなければならない重要なセキュリティ機能の中には:
・ 使用者に表示されるデータの完全性、
・ インスリンポンプに送られる命令の完全性、
・ 患者の治療パラメータ、ならびに輸注履歴およびイベントのログを記憶するデータベースの完全性および保護、
・ 医療デバイスをその遠隔制御装置と確実に対にすること、
・ あらゆる時点でのソフトウェアの応答性(例えば:別のソフトウェアに焦点がある間に警報を発すること、他のタスクがMCUなどのリソースを過負荷状態にしている間に使用者要求を処理する能力など)、
がある。
無線通信を保護するのに、最新技術のデバイスでは、無保護または不十分な保護でデバイスが秘密を共有する認証プロセスを使用する。この認証プロセスでは、携帯電話で使用されているようなスマートカードを使用することができ、また米国特許出願(特許文献1、2、3および4)には、信頼された第三者機関として使用される、および/または認証プロセスのために使用されるトークンを含む医療デバイスが開示されている。具体的には、前記トークンは、トークンを有する患者が、関連づけられた医療デバイスを有する患者であることを証明するのに使用される。さらに、前記製品のすべてが、医療デバイスを操作するためのデータをハッカーが見つけることができるような方法で、その暗号化鍵を交換し、かつ/または標準的なペアリングプロセスを使用する。
米国特許出願公開第2010/045425号 米国特許出願公開第2005/204134号 米国特許出願公開第2008/140160号 米国特許出願公開第2011/197067号
本出願は、Debiotechの名前で2012年10月26日に出願されたPCT/IB2012/055917の優先権、およびDebiotechの名前で2012年7月9日に出願されたEP12175498.0の優先権の利益を主張する。これら出願の開示全体を参照によって本明細書に組み入れる。
本発明の目的は、医療デバイスとその遠隔制御装置の間の通信を保護するための堅牢な環境を提供することである。本明細書では、「通信を保護すること」という表現は:
− 遠隔制御装置と医療デバイスの間のデータ交換が適正である、および/または
− 前記データは、許可された操作者(例えば、使用者とも呼ばれる患者)から送信されている、および/または
− 使用されるデバイスは適正なデバイスである、および/または
− 前記データは適正に受信されている、
ことを保証するために使用されるすべての手段として理解されたい。
したがって、通信を保護するために、前記手段では、データ、アプリケーションまたはオペレーティングシステムの完全性を調べること、および/またはデータを暗号化すること、および/または安全に対にすること、および/または操作者の身元を調べることができる。この趣旨で本発明は、医療デバイスおよび遠隔制御装置からなる医療アセンブリを含み、前記保護手段は:
− 遠隔制御装置に挿入される(あるいはプラグ接続される)追加のマイクロコントローラ(MCU)、
− 遠隔制御装置に組み込むことができる仮想化プラットフォーム、または医療デバイスに属する追加のマイクロコントローラ、
− 特定のループバックプロセス、
− 完全性を調べる方法、
− 特定のペアリングプロセス、
− 秘密を生成および/または共有する方法、
とすることができる。前記別個の各手段を使用することにより、セキュリティを実質的に改善することが可能になるが、前記手段のうちの1つまたは2つだけを使用することもまた可能である。
前記遠隔制御装置は、それだけには限らないが、送達デバイス、および/または無線センサ、および/または埋込み可能デバイス、および/またはサンプリングデバイス、および/または血糖監視、...などの、少なくとも1つの医療デバイスを操作および/または監視するのに使用することができる。好ましくは、前記遠隔制御装置の設計は、容易に可搬式になることが可能であり、かつ軽量、可動で、ポケット内で着用可能、...とすることができる。
前記医療デバイスは、前記遠隔制御装置との無線通信を可能にする無線手段と、前記通信を確立および/または保護するための鍵情報を含む内部メモリとを含む。好ましくは、前記医療デバイスは、前記鍵情報(例えば、リンク鍵、暗号鍵、ハッシュ)をやはり含むメモリを含む、1つだけのマイクロコントローラ(MCU)と対にされる。前記MCUは、遠隔制御装置にプラグ接続されるように設計される。本明細書では、「〜にプラグ接続する」は、「〜に挿入する」または「〜と接続する」に置き換えることがある。遠隔制御装置とMCUの間の通信は、無線接続でも有線接続でも、接触してもしなくても行うことができる。
したがって、医療デバイスでは、遠隔制御装置にプラグ接続することができるMCUを使用する。保護された通信を医療デバイスと遠隔制御装置の間に確立するのに適している前記アセンブリは:
・ 遠隔制御装置であって:
○ 前記医療デバイスとの無線通信を可能にする通信手段、
○ 追加マイクロコントローラ(MCU)をプラグ接続するための接続手段、
○ 表示手段(場合により)、
○ 少なくとも1つの入力手段、
○ 通信手段、接続手段、入力手段、および任意選択の表示手段に接続される少なくとも1つのプロセッサ
を含む遠隔制御装置と、
・ 医療デバイスであって:
○ 前記遠隔制御装置との無線通信を可能にする通信手段、
○ メモリ
を含む医療デバイスと、
・ 前記遠隔制御装置に接続されるように設計されたMCUと
を含み;前記MCUはさらに、メモリを含むことができる。
前記医療デバイスのメモリ、および前記MCUのメモリは、通信を確立および/または保護するための鍵情報の少なくとも一部分を含む。前記鍵情報は、共有秘密の少なくとも一部分を含む。少なくとも1つの医療デバイスは、1つだけのMCUと排他的に対にされる。一実施形態では、医療デバイスとMCUの間でのペアリングは、患者に使用されるのに先立って対にされる。
一実施形態では、MCUと遠隔制御装置の間の接続は無線通信によって行われる。
本明細書では、マイクロコントローラ(MCU)は、遠隔制御装置に挿入される集積チップ、または遠隔制御装置にプラグ接続される外部デバイスとすることができる。一般にMCUは、CPU、RAM、何らかの形のROM、I/Oポート、およびタイマを含む。他の構成要素を含むコンピュータまたは遠隔制御装置とは異なり、マイクロコントローラ(MCU)は、非常に限定された(例えば特定のシステムを制御する)タスク用に設計される。そのため、MCUは簡略化および縮小することができ、これにより製造コストが削減される。MCUはまた、開封明示シール、ロック、改ざん応答スイッチおよび抹消スイッチのような、そのメモリ内容を保護するための特殊な機能を組み込むこともできる。さらに、前記MCUは、遠隔制御装置の性能を向上させるために(遠隔制御装置の)OSが使用することができる別のCPUおよびメモリが付いて来ないが、他の機能を、具体的にはさらなるセキュリティを、具体的には、ペアリングプロセスまたは他のプロセスによって生成された共有秘密の少なくとも一部分が付いて来る。遠隔制御装置のMCUとCPUは異なっており、異なるタスクを有する。本発明では、MCUは、別々の遠隔制御装置でMCUを使用することができるような方法で遠隔制御装置から完全に独立している。前記MCUは、スマートカード、SIMカード、SDIOカード(保護デジタル入出力)などのSDカード、内部または外部ドングルとすることができる。本明細書では、次の用語:内部もしくは外部マイクロプロセッサ、追加のマイクロプロセッサまたはMCU、を差別せずに使用することがある。
一実施形態では、前記医療デバイスおよび前記MCUは、無線通信構成(リンクキー、医療デバイスのアドレス(例えば、ブルートゥースアドレス)、...)を含むメモリを含む。このようにして、前記デバイスおよび前記MCUには、適切な構成があらかじめ分かる。特に、前記MCUは、遠隔制御装置を医療デバイスに接続するために、また前記通信を保護するために使用される鍵情報(例えば、リンクキー、...)を、それが無保護で(例えば、ブルートゥースによって)与えられる必要がなくなるように、または使用者(例えば、患者)が、遠隔制御装置を医療デバイスと対にする特定のタスクを実施しなくてもよくなるように、含むことができる。
好ましくは、医療デバイスは1つだけのMCUと対にされ、前記MCUは遠隔制御装置に挿入される;そのようにして、前記MCUを含む遠隔制御装置だけが前記医療デバイスを操作および/または監視することができる。また、患者は、前記MCUが挿入されている遠隔制御装置が、医療デバイスを操作および/または監視することができるただ一つの遠隔制御装置であることを知りながら、遠隔制御装置を変更することもできる。
一実施形態では、遠隔制御装置は、少なくとも2つの医療デバイスを操作および/または監視する。この場合、前記医療デバイスは、1つだけのMCUと対にされてよく、あるいは、それぞれの医療デバイスは、それ自体のMCUと対にされる。
一実施形態では、前記MCUは、前記医療アセンブリを医療サーバと接続するための鍵情報(患者識別名、医療サーバの識別名およびアドレス、暗号化鍵、...)を含む。この実施形態では、医療アセンブリは、受信データを医療サーバに送信するのに遠隔制御装置のデータ通信手段を使用することができる。したがって、前記MCUは、1つまたはそれ以上の医療デバイスと医療サーバの間の通信を確立し保護するための、それだけには限らないが、使用者確認、暗号化パラメータ、...などのすべての情報を含むことができる。
一実施形態では、MCUは、そのメモリ内に、医療デバイスから送信された少なくとも一組のデータ、または遠隔デバイスもしくは別のデバイスから供給された別の組のデータを記憶することができる。別の実施形態では、前記データは暗号化され、遠隔デバイスまたは医療デバイス内に記憶されるが、MCU(または医療デバイス)だけが前記データを復号するための鍵を含む。
さらなるセキュリティのために、前記鍵情報は、製造者、医師、介護者または薬剤師によって生成され、患者に使用されるのに先立って前記メモリ内に記録される。
遠隔制御装置で仮想化プラットフォームを使用する一実施形態では、遠隔制御装置は:
・ 少なくとも1つのゲストオペレーティングシステム(gOS)のハードウェア部材をエミュレートするホストオペレーティングシステム(hOS)と、
・ 無制御の環境で使用されるようにすべてが設計されている、それだけには限らないが、カレンダ、連絡先などの共通機能を操作する第1のgOSと、
・ 制御された環境内で使用されるようにすべてが設計されている医療デバイス用遠隔制御機能を操作する医療オペレーティングシステム(mOS)と、
を含む仮想化プラットフォームを内蔵する。前記mOSは特定のgOSでありうる。
本明細書では、「ホストオペレーティングシステム」という表現は、RAM、フラッシュ、UART、WiFi、...などのすべての遠隔制御周辺装置を単独で操作および共有すべき、強化ハイパーバイザなどの可能な限り薄いオペレーティングシステムとして理解されたい。hOSは、共通機能を操作せず、その目的は、医療デバイスに送信されたコマンドを保護することである。
一実施形態では、MCU(上記で見つけられたようなもの)が遠隔制御装置にプラグ接続されるが、前記hOSは、必ずしも前記MCUの周辺装置を操作および共有しない。一実施形態では、MCUは、各オペレーティングシステムの完全性を調べるための手段またはデータを含む。
本明細書では、「ゲストオペレーティングシステム」という表現は、共通機能(電話をかける、データを送信する、カレンダ、...)を操作する標準的オペレーティングシステム(それだけには限らないが、アンドロイド、AppleのiOS、...など)として、または特別のオペレーティングシステム(医療オペレーティングシステムなど)として理解されたい。前記別個の各ゲストオペレーティングシステムは、同じ遠隔制御装置上に互いに強く分離して共存することができる。
本明細書では、「制御された環境」という表現は:
・ 意図されたアプリケーションの応答性が決定的である、
・ ソフトウェアパッケージおよびオペレーティングシステムのリストおよびバージョンは分かっており、使用者が変更することができない、
・ ハードウェア部材へのアクセスが制御され保証される、
・ ハードウェア部材(CPU、メモリ、RFリンクなど)の応答性が決定的である、
・ ハードウェア部材(例えば、CPU、ネットワークRFリンクなど)にアクセスするために、所定の最小帯域幅が常に保証される、
・ 少なくとも1つの医療アプリケーションおよび/またはmOSが動作され記憶される、
空間として理解されたい。制御された環境および無制御の環境は、完全に分離される。
好ましい実施形態では、前記hOSは標準的ハイパーバイザを越える。前記hOSは、可能な限り薄いが、一部のアプリケーション(無制御の環境または制御された環境で動作する)を拒絶するための、または医療OSにいくつかの優先権を与えるためのいくつかの動作プロセスを含む。したがって、hOSは、制御された環境が起動されたときに、または制御された環境のすべてまたは一部のアプリケーションが動作中であるときに、無制御の環境内で動作するアプリケーションのすべてまたは一部を止めることができる。例えば、hOSは、電話がメッセージを受信した場合でも医療アプリケーションだけを表示する。
結論として、無制御の環境には、ハードウェアと制御された環境との間の対話に対する可視性がない。有利なことに、制御された環境内にあるゲストオペレーティングシステムまたはアプリケーション(それだけには限らないが、医療オペレーティングシステムおよび/または医療アプリケーション)は、他のものに対して優先権を有する。それによって、ホストオペレーティングシステムは、無制御の環境内で動作するアプリケーションを、このアプリケーションによって引き起こされるいかなる摂動も回避するために、阻止することを決定する。ホストオペレーティングシステムはまた、制御された、または無制御の環境からのどのアプリケーションが画面上に焦点するかを決定することができる。
一実施形態では、本発明による遠隔制御装置は、携帯電話(例えば、スマートフォン)である。適切な任意のOSを使用することができる(例えば、アンドロイド)。遠隔制御装置は、医療デバイスと一緒に使用される。有利には、遠隔制御機能は、インスリンポンプの遠隔制御用に設計される。
上述のように、前記MCUはまた、hOSの完全性を認証もしくは保証するために、または他のものに対して優先権を有するアプリケーションのリストを記憶するために、またはどれかのアプリケーションが動作中である、もしくは動作中でないときに、または特定の条件が満たされたときに実行する様々なシナリオを記憶するために、使用することもできる。
医療アセンブリの別の実施形態では、前記アセンブリは有利なことに、少なくとも2つの対象物(例えば、インスリンポンプおよび遠隔制御装置)の間のループバック機構を含む。ループバックの一般的概念は、メッセージまたは信号が、それが出発したところに最後に行き着く(すなわちループ)バックするための機構である。
本明細書では、ループバック機構は、使用者によって入力されたデータの単純な確認ではない。例えば、標準的なループバック機構は、使用者にコマンドを確認したかどうかを尋ねるデバイスで使用される。この標準的な場合では、ループバックは使用者とデバイスの間にある。
この新規のループバック機構では、遠隔制御装置から送信され医療デバイスで受信されるデータを確認することが可能になる。したがって、使用者は遠隔において(入力手段を用いて)コマンドを入力し、遠隔制御装置はこれを、保護された通信によって医療デバイスへ送出する。前記機構により、コマンドが起動される前に医療デバイスは、受信されたコマンドが使用者から送信されたコマンドであるかどうかの確認を求めなければならない。医療デバイスは、遠隔制御装置によって表示されるデータを遠隔制御装置に送信する。前記データは、呼掛け(challenge)または暗号化データ、または他のものでありうる。使用者が医療デバイスに確認すると、コマンドが起動される。有利には、セキュリティを改善するために、使用者は、コマンドを確認するのにPINコードを入力しなければならない。
ループバック機構のセキュリティ、および医療デバイスとの接続性は、有利には、スマートカードまたはSIMまたはSDカード...のような保護された追加のMCUを遠隔制御装置の中に使用することによって保護することができ、このMCUは、ループバックのデータを暗号化または復号することができる。
遠隔制御装置またはMCU(例えば、外部ドングル)または医療デバイスは、情報を患者に安全に送信するための追加手段(例えば、LED、バイブレータ、表示手段、...)を含むことができる。例えば、外部MCUは、それ自体の表示手段でデータを表示することができる。
本発明は、以下の優位点のうちの少なくとも1つを示す:
− 本発明はまた、応答性、完全性およびセキュリティが低レベルオペレーティングシステムアーキテクチャのコア設計によって確保される、制御された環境を提供する。
− 提案の解決策は、例えば、患者が望まないいくつかの追加輸注をプログラムするような、治療を変更することによって正常な使用法を模倣することもできるいかなる望ましくないアプリケーションも防止できる、保護された環境を提供する。
− スマートカードのように遠隔制御装置から独立しているMCUを使用することにより、遠隔制御装置を医療デバイスと自動的かつ確実に接続することが、ペアリングプロセス時に別のデバイスから見えるようにならずに可能になる。
− 携帯電話のような異なる遠隔制御装置に挿入またはプラグ接続することができるMCUを使用することにより、もし問題(電池電力低下、遠隔制御装置を忘れるか失う、...)があれば遠隔制御装置を変えることが可能である。この場合、使用者は、自分の医療デバイスを保持し、新しい遠隔制御装置を介してその医療デバイスに安全にアクセスすることができ、MCUは、遠隔制御装置メモリに記録されたデータのプライバシーを確保することができる。
− ループバックプロセスを使用することにより、医療デバイス(例えば、インスリンポンプ)にプログラムされた値が、使用者に期待される値に一致することが遠隔制御装置によって確実になりうる。
− ループバックプロセスの最後に、使用者はその値を、好ましくはPINコード(使用者だけが知っている)を遠隔制御装置で入力することによって確認する。前記PINコードを使用することにより、適正な使用者によって確認が承認されることが確実になる。
− 仮想化プラットフォームを使用することにより、医療アプリケーションまたはmOSが優先すること、および安全に動作することが確実になる。
− hOSは、いくつかの周辺装置(MCU、LED、画面の一部、バイブレータ、...)が医療アプリケーションおよび/またはmOSによってのみ使用されることを保証する。
本発明について、以下の図に示された例を用いてより詳細に以下で論じる。
仮想化プラットフォームを含む本発明による遠隔制御装置(3)の表示装置を示す図である。 本発明の好ましい実施形態の全体アーキテクチャ、すなわち遠隔制御装置(3)および医療デバイス(1)を含むアセンブリを示す図である。 本発明によるループバック機構を示す図である。 MCUを使用する本発明によるループバック機構を示す図である。 スマートカード(4)などのMCUを内部に含む遠隔制御装置(3)と通信する医療デバイス(1)を示す図である。 MCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療デバイス(1)を示す図である。 スマートカード(4)などの別のMCUを内部に含むMCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療デバイス(1)を示す図である。 スマートカード(4a、4b)などの2つのMCUを内部に含むMCU(6)にプラグ接続された遠隔制御装置(3)と通信する2つの医療デバイス(1、7)を示す図である。 スマートカード(4a、4b)などの2つのMCUを内部に含む遠隔制御装置(3)と通信する2つの医療デバイス(1、7)を示す図である。 スマートカード(4c)などの単一のMCUを内部に含む遠隔制御装置(3)と通信する2つの医療デバイス(1、7)を示す図である。 MCU(8)の包含物(contained)を示す図である。 スマートカード(4b)などの別のMCUを内部に含む外部MCU(6)にプラグ接続された遠隔制御装置(3)と通信する2つの医療デバイス(1、7)を示す図である。 ペアリングデバイス(16)を示す図である。 共有できる少なくとも1つの秘密を示す図である。 分離可能な、小型遠隔制御装置として使用可能な外部MCU(6)を示す図である。 第1の表示手段(18)および少なくとも1つの保護された表示手段(19)を含む遠隔制御装置(3)を示す図である。 本発明によるセッション鍵生成を示す図である。
以下の詳細な説明では、説明の一部分を成し、デバイス、システムおよび方法のいくつかの実施形態が例示的に示されている添付の図面を参照する。他の実施形態が企図され、かつ本開示の範囲および趣旨から逸脱することなく作られる可能性があることを理解されたい。したがって、以下の詳細な説明は限定的な意味で解釈されるべきではない。
本明細書で用いられているすべての科学用語および技術用語は、特にことわらない限り、当技術分野で一般に用いられている意味を有する。本明細書で提示された定義は、本明細書で頻繁に用いられる特定の用語を理解しやすくするものであり、本開示の範囲を限定するものではない。
本明細書および添付の特許請求の範囲では、「a」、「an」および「the」の単数形は、内容で特に明示されない限り、複数の指示物を有する実施形態を包含する。
本明細書では、「have(有する)」、「having(有する)」、「indlude(含む)」、「including(含む)」、「comprise(備える、含む)」、「comprising(備える、含む)」などは、それらの制限を設けない意味で用いられ、一般には「含んでいるが、それだけには限らない」を意味する。
本明細書および添付の特許請求の範囲では、「または」という用語は、内容で特に明示されない限り、「および/または」を含む意味で一般に用いられる。
本明細書および添付の特許請求の範囲では、「ノード」という用語は、以下の用語を置き換えるのに使用されることがある:医療デバイス、医療サーバ、BGM(血糖計)、CGM(連続グルコースモニタ)、遠隔制御装置、携帯電話、...。
本明細書および添付の特許請求の範囲では、「MCU」という用語は、以下の用語を参照するのに使用されることがある:ドングル、内部MCUまたは外部MCU。
本発明は、独立請求項において記述され特徴づけられており、従属請求項には本発明の他の特徴が記載される。
追加マイクロコントローラ(MCU)の特徴
好ましい実施形態では、医療デバイス(1、7)と遠隔制御装置(3)の間に通信を確立し保護するのに適している医療アセンブリは:
・ 遠隔制御装置(3)であって:
○ 前記医療デバイス(1、7)との無線通信(2)を可能にする通信手段、
○ 追加マイクロコントローラ(MCU)(4、6、8)をプラグ接続するための接続手段、
○ 表示手段(場合により)、
○ 少なくとも1つの入力手段、
○ 通信手段、接続手段、入力手段、および任意選択の表示手段に接続される少なくとも1つのプロセッサ
を含む遠隔制御装置と、
・ 医療デバイス(1、7)であって:
○ 前記遠隔制御装置(3)との無線通信(2)を可能にする通信手段、
○ メモリ
を含む医療デバイスと、
・ 前記遠隔制御装置(3)に接続されるように設計されたMCU(4、6、8)と
を含み;前記MCU(4、6、8)はさらに、メモリを含む;
前記医療デバイス(1、7)のメモリ、および前記MCU(4、6、8)のメモリは、通信を確立し保護するための鍵情報を含む。
前記医療デバイス(1、7)は、送達デバイス(それだけには限らないが、インスリンポンプなど)、および/または無線センサ(これは患者の生理学的特性を測定することができる)、および/または埋込み可能デバイス、および/またはサンプリングデバイスとすることができる。
一実施形態では、少なくとも1つの医療デバイス(1、7)は、1つだけのMCU(4、6、8)と排他的に対にされる。前記鍵情報は、医療デバイスおよび/またはMCUの安全なメモリ内にすべてまたは一部を記憶することができる。一実施形態では、MCUは、MCUを別の医療デバイスと対にすることができなくなるように、一度だけ対にされる。
前記遠隔制御装置は、前記MCUにプラグ接続するための接続手段を含む電話、血糖計、または他の携帯型デバイスとすることができる。
遠隔制御装置(3)のプロセッサは、この遠隔制御装置の主計算ユニットである。これは、遠隔制御オペレーティングシステム(OS)(または複数のオペレーティングシステムOS)を動作させるものであり、RAM、フラッシュ、UART、Wifiなどのすべての遠隔制御装置(3)の周辺装置にアクセスすることができる。
MCU(4、4a、4b、4c、6、8)はまた、それ自体のオペレーティングシステムおよびコードを動作させるプロセッサも含む。このプロセッサは、MCU(4、4a、4b、4c、6、8)の内部周辺装置(暗号エンジン(crypto engine)、通信インターフェース、鍵生成器など)にアクセスすることができる。MCU(4、4a、4b、4c、6、8)のプロセッサは、遠隔制御装置(3)の周辺装置のすべてまたは一部にはアクセスできないことがある。2つのデバイス(MCU(4、4a、4b、4c、6、8)と遠隔制御装置(3))の間の対話だけが、通信リンクを介してデータを交換する。遠隔制御装置(3)のプロセッサとMCU(4、4a、4b、4c、6、8)のプロセッサは、互いに独立している。遠隔制御装置(3)は、MCU内に記憶されているデータへのアクセスが限定されているか、またはアクセスすることができない。したがって、前記MCU(4、4a、4b、4c、6、8)は、別個の遠隔制御装置にプラグ接続し、全体のセキュリティを確保することができる。
前記MCU(4、4a、4b、4c、6、8)は、汎用集積回路カード(スマートカード、SIMカード、SDカード、SDIOカード、...)とすること、または他の、遠隔制御装置にプラグ接続されるかもしくは挿入されるように、または少なくとも遠隔制御装置(3)の接続手段に接続されるように設計されている、外部デバイスとすることができる。
図11に開示されている一実施形態では、MCU(4、4a、4b、4c、6、8)は、中央処理ユニット(CPU)(9)と、遠隔制御装置に接続されるように設計された接続手段(17)と、少なくとも1つのメモリ(10)とを含み、このメモリはいくつかの(例えば4つの)個別部分:
− CPUおよび他のデバイス(例えば、MCUがプラグ接続されている遠隔制御装置)によって書き込み可能かつ読み出し可能である第1の部分(11)、
− CPUによって書き込み可能かつ読み出し可能であるが、他のデバイスによっては書き込み可能で読み出し不可能である第2の部分(12)、
− CPUによって書き込み可能かつ読み出し可能であるが、他のデバイスによっては書き込み不可能で読み出し可能である第3の部分(13)、および
− CPUによって書き込み可能かつ読み出し可能であるが、他のデバイスによっては書き込み不可能かつ読み出し不可能である第4の部分(14)、
を含むことができる。
図5に示された一実施形態では、医療デバイス(1)は遠隔制御装置(3)と通信する。前記遠隔制御装置(3)は、もとから前記医療デバイス(1)と対にすることができるMCU(4)と接続される。前記遠隔制御装置(3)と前記医療デバイス(1)の間の通信(2)は、前記MCU(4)および/または前記医療デバイスによって起動または実行される保護された処理手段(5)により、確立され保護される。前記メモリは、医療デバイスまたは医療サーバとの通信を確立し保護するための全情報(鍵情報)を収容する。
一実施形態では、鍵情報は、特定の時点にMCU内および/または遠隔制御装置(3)内で動作させることができる、またはできないアプリケーションおよび/またはソフトウェアのリストを含む。前記ソフトウェアまたはアプリケーションのいくつかは、医療アプリケーションまたは他の特定のアプリケーションが遠隔制御装置(3)またはMCU(4)内で使用中の場合に同時に動作することを許可することも、または停止することもできる。遠隔制御装置が仮想マシンを含む場合、ハイパーバイザは、医療OSが使用されるときに、または特定の医療アプリケーションが動作中であるときに、前記リストを使用して無許可のアプリケーションおよび/またはソフトウェアを起動または停止(キル)する。前記MCU(4)は、特定の条件が満たされたときに実行予定のシナリオのリストを含むことができる。
図6は、遠隔制御装置にプラグ接続された外部MCU(6)を示す。前記MCU(6)は、CPU、メモリ(10)および接続手段(17)を含み、かつハウジングを含むことができる。前記メモリは、医療デバイスまたは医療サーバとの通信を保護するための全情報を含む。前記医療デバイスは、もとから前記外部MCU(6)と対にすることができる。前記遠隔制御装置(3)と前記医療デバイス(1)の間の通信(2)は、前記MCU(6)によって起動または実行される保護された処理手段(5)により、確立され保護される。前記医療デバイスはまた、前記保護された処理手段のすべてまたは一部を使用することもできる。
図5と図6の間の相違はMCUである。第1のもの(図5)は、遠隔制御装置(3)の中に少なくとも一時的に挿入される、(スマートカードのような)内部MCU(4)である。第2のもの(図6)は、遠隔制御装置(3)に少なくとも一時的にプラグ接続される、(ドングルのような)外部MCU(6)である。その設計により、外部MCU(6)は、後で開示する他の機能および手段を含むことができる。
保護された処理手段(5)は:
− 特定のペアリングプロセス、および/または
− データを保護するための暗号化鍵、および/または
− 遠隔制御装置の完全性を調べるための完全性試験、および/または
− 特定のループバック機構、および/または
− ホストおよび安全なオペレーティングシステム
を使用することができる。
保護された処理手段(5)は、通信を確立し保護するための鍵情報を必要とする。これは、リンク鍵、アドレス(アドレスブルートゥース、...)、暗号化鍵、共有秘密、ハッシュ、...でありうる。
一実施形態では、MCU(4、6、8)は、その保護されたメモリ内に保護された処理手段(5)を、前記遠隔制御装置(3)が前記保護された処理手段(5)にアクセスしないように保持する。一実施形態では、医療デバイスはまた、(例えば)暗号化通信を処理するための前記保護された処理手段を含む。
一実施形態では、保護された処理手段(5)は:
・ 少なくとも1つの非対称鍵対および/または対称鍵を生成する非対称鍵暗号法機構、
・ 少なくとも1つの対称鍵および/または非対称鍵を生成する対称鍵暗号法機構、
・ 暗号ハッシュ機構
を使用することができる。
前記非対称鍵暗号法機構は、このアルゴリズム:Benaloh、Blum−Goldwasser、Cayley−Purser、CEILIDH、Cramer−Shoup、Damgard−Jurik、DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser−Micali、HFE、IES、Lamport、McEliece、Merkle−Hellman、MQV、Naccache−Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto−Uchiyama、Schnorr、Schmidt−Samoa、SPEKE、SRP、STS、Three−pass protocolまたはXTRのうちの少なくとも1つを使用することができる。
ペアリングプロセス
本発明の一部分では、ブルートゥースプロトコル(「クラッシック」ブルートゥースまたはブルートゥースローエネルギーなど)および/または他の無線通信プロトコル(長距離または短距離インターフェース)を使用できる、特定のペアリングプロセスを開示する。具体的には、遠隔制御装置と医療デバイスの間のペアリングは、MCUが既に少なくとも1つの医療デバイスと対にされており(少なくともMCUは、少なくとも1つの医療デバイスのペアリング情報を含む)、使用者による特定のペアリング操作を必要としないので、使用者にやさしい。加えて、ペアリング情報は使用者には見えず、これは、ペアリング情報が盗まれる、または第三者によって使用される可能性がなく、かつ医療デバイスがもはやペアリングプロセスのためにアクセス可能になりえないことを意味し、このことがデバイスを、ペアリングプロセスによって生じる無許可接続、および電池の過剰消耗から守る。
本明細書では、新規のペアリングプロセスの利点、および標準的ブルートゥースペアリングプロセスとの相違について説明する。しかし、新規のプロセスおよび製品は、ブルートゥースプロトコルに限定されない。
ブルートゥースペアリングは一般に、デバイス使用者によって手動で開始される。ブルートゥースペアリングプロセスは通常、2つのデバイスがまだ対にされていないときに、最初に起動される。したがって、1つのデバイスがもう一方のデバイスから接続要求を受ける。ブルートゥースペアリングが行われうるようにするには、パスワードが2つのデバイス間で交換されなければならない。このパスワード、すなわちより適正に呼ばれるときの「合鍵」は、両方のブルートゥースデバイスによって共有されるコードである。この「合鍵」は、ブルートゥースパイプとは別の通信パイプ(通常これは、使用者によって表示され入力される)を使用することによって、交換されなければならない。これは、両方の使用者が互いに対になることに同意したことを保証するために使用される。しかし、ハッカーがこのプロセスを見るか、または聴いた場合、ハッカーは、デバイスへの接続を遮断し、デバイスに命令することもできる。標準的なペアリングプロセスの終わりに、リンク鍵が生成され、両方のデバイスで共有されると共に、対にされたデバイス間で通信を確立するために使用される。ブルートゥースローエネルギーでは、リンク鍵よりむしろ短期鍵および/または長期鍵を使用するが、本明細書を簡単にするために、リンク鍵という用語も短期鍵または長期鍵の代わりに用いられる。
したがって、安全な接続を確立するには、デバイスは、隠された方法で秘密を共有する必要がある。この共有された秘密は、医療デバイスおよびその遠隔制御装置だけに知られている必要がある。このような共有秘密を前もって両方のデバイスに組み入れることによって、秘密情報を交換する必要がなくなる。それでも、患者が自分の遠隔制御装置を変更する場合には、それまでの遠隔制御装置は、別の新しいデバイスと秘密を共有することができず、したがって、新しいデバイスは医療デバイスと接続することができない。
本発明により、遠隔制御装置と医療デバイスの間の通信は完全に保護され、共有された秘密は、医療デバイスと、いくつかの遠隔制御装置(旧および新)の間で移転可能である医療デバイスのMCUとによって、安全に保持される。さらに、医療デバイス(1、7)は、他のデバイスによっては決して見つけることができず、前記MCUがなければデバイスと接続することもできない。
さらなるセキュリティのために、医療デバイスとMCUの間のペアリングは、患者に使用されるのに先立って、または少なくともMCUを遠隔制御装置の中にプラグ接続するのに先立って、行われる。有利なことに、前記ペアリング(医療デバイス/MCU)は、ペアリングデバイスを用いて行うことができるだけであり、かつ/または前記ペアリングは、製造者、医師、介護者または薬剤師によって行うことができる。前記ペアリングにより、少なくとも1つの秘密が生成され、医療デバイス(1)に、また対にされたMCU(4、6、8)に、安全な方法で記憶される。例えば、ペアリングデバイスが要求された場合に、ペアリングプロセスは有線通信を介して行われてもよい。
医療デバイス(1)は、医療デバイスが標準的なブルートゥースプロトコルによって見つからない場合でも、MCUが、第三者によってハッキングされる可能性のある機密情報を交換することなく前記医療デバイスとの通信を確立できるように、MCU(4、6、8)のメモリに記憶できるアドレス(例えば、ブルートゥースアドレス)を有する。
したがって、MCUと医療デバイスの間のペアリングにより、秘密のすべてまたは一部を共有することが可能になる。このペアリング中、リンク鍵の少なくとも一部分が生成され、医療デバイスおよびMCUのメモリに記憶される。前記リンク鍵は、共有秘密(例えば、暗号化鍵、...)、および医療デバイスのブルートゥースアドレスを含むことができる。前記リンク鍵は、この後の無線通信を確立するのに要求される。
遠隔制御装置は、前記医療デバイスが見つからない場合でも遠隔制御装置を医療デバイスと対にすることができるように、MCU(4、6、8)の中に記憶された前記リンク鍵を読み出すことができる。したがって、遠隔制御装置(3)は、標準のペアリングプロセスを用いなくても接続(例えば、ブルートゥース接続)を開始することができる。次に、遠隔制御装置は前記パラメータを、接続を直接確立することができるブルートゥース通信層まで転送する。
MCUは、使用者が使用するのに先立って医療デバイスとすでに対にされているので、患者は、リンク鍵を知っている前記MCU(4、6、8)を自分の遠隔制御装置の中にプラグ接続しなければならないだけであり、医療アセンブリはすぐに使用できる。
有利なことに、リンク鍵は、MCU(8)のメモリの第3の部分(13)に記憶されている。前記第3の部分(13)は、CPUによって書き込み可能かつ読み出し可能であるが、他のデバイスによっては書き込み不可能で読み出し可能である。したがって、リンク鍵は遠隔制御装置によって読み出すことができるが、前記遠隔制御装置は、そのリンク鍵を変更することはできない。言い換えれば、MCUをもう一度対にすることができない。
上記で開示されたように、ペアリングデバイス(16)を使用してペアリングプロセスを実施することができる。前記ペアリングデバイス(16)は2つの接続手段を含み、一方が医療デバイス接続用であり、他方がMCU接続用である。使用者が医療デバイスおよびMCUをペアリングデバイス(16)にプラグ接続すると、ペアリングプロセスを実施することができる。このペアリングデバイスにより、医療デバイスおよびMCUは、その秘密(例えば、リンク鍵、...)を実際に安全に共有することができる。ペアリングデバイスは、MCUと医療デバイスの間の安全なデータ交換を行うための有線通信手段を備えてもよい。ペアリングデバイスはまた、それを数回プラグ引抜きおよびプラグ接続することができるので、いくつかの遠隔制御装置で使用することもできる。
一実施形態では、前記MCUおよび/または医療デバイスは、新規のペアリング要求を受け入れることができない。
この独特のペアリングプロセスにより、医療デバイスは、容易および安全に遠隔制御装置に接続される。MCUと医療デバイスが対にされた後、遠隔制御装置は、MCU内に記憶されたパラメータ(例えば、リンク鍵)を読み出し、それを使用しなければならない。
MCU(4、6、8)と医療デバイス(1、7)の間のペアリングは、以下の工程を含む:
・ MCU(4、6、8)および医療デバイス(1、7)を提供する工程。
・ 前記MCU(4、6、8)と前記医療デバイス(1、7)の間の通信を可能にする手段を提供する工程。
・ MCU(4、6、8)と医療デバイス(1、7)の間で少なくとも1つの秘密を共有する工程。
前記少なくとも1つの秘密には、医療デバイスアドレス、リンク鍵および/または他の鍵が含まれうる。
前記鍵情報のすべてまたは一部を共有する前記手段(例えば、ペアリングデバイス)には、入力手段、有線接続部、表示手段、および/またはペアリングプロセスを実施するための手段(アプリケーションなど)が含まれうる。
遠隔制御装置(3)と医療デバイスの間のペアリングでは、以下の工程を含む:
・ 医療デバイス(1、7)、遠隔制御装置(3)、および前記医療デバイス(1、7)とすでに対にされているMCU(4、6、8)を提供する工程。
・ 前記MCU(4、6、8)を前記遠隔制御装置(3)の中にプラグ接続する工程。
・ 前記MCU(4、6、8)のメモリおよび前記医療デバイスのメモリに含まれているペアリングデータを使用して、医療デバイスを遠隔制御装置(3)と接続する工程。
有利なことに、前記MCU(4、6、8)および前記医療デバイス(1、7)は、接続を認証するための暗号機構、ならびにセッション鍵または他の鍵を生成する手段を使用することができる。
一実施形態では、医療デバイスは、前記MCUを一時的に接続してペアリングプロセスを実施する接続手段を含むことができる。
遠隔制御装置と医療デバイスの間の通信を保護する
本明細書では、ペアリングプロセスを安全に実施できるようにする安全なペアリングプロセスを上に開示している。このプロセスは単独で使用することができるが、さらなるセキュリティを付加するには、データが安全に交換されなければならない。
遠隔制御装置と医療デバイスの間の通信を保護するために、医療デバイスは、少なくとも1つの暗号化鍵データおよび/またはループバック機構を使用することができる。
暗号化鍵:
上に開示されているように、MCU(4、6、8)のメモリは、医療デバイス(1、7)との安全な通信を可能にするために、鍵情報を含むことができ(それだけには限らないが:通信構成、公開鍵、秘密鍵、暗号法プロセス、リンク鍵、...など)、この医療デバイスもまた、前記鍵情報を部分的または完全に知っている。前記鍵情報がなければ、医療デバイス(1、7)に接続すること、および/またはデータを暗号化/復号することは不可能である。
一実施形態では、前記鍵情報は、遠隔制御装置(3)および医療デバイス(1、7)が暗号化データを交換し、かつ/または送信側を認証できるように、少なくとも1つの暗号鍵を含む。前記少なくとも1つの暗号鍵は、非対称鍵および/または対称鍵とすることができる。そのように、所与のデータはMCUまたは遠隔制御装置によって暗号化されるが、医療デバイス(1、7)は、前記データを復号することができる。逆に、医療デバイス(1、7)は、遠隔制御装置(3)に暗号化データを送信することができ、前記暗号化データは、MCUまたは遠隔制御装置によって復号することができる。
鍵生成器は、少なくとも1つの暗号化鍵を生成し、この鍵は、MCUのメモリおよび/または医療デバイスのメモリに記録される。さらなるセキュリティのために、前記少なくとも1つの暗号化鍵は秘密に保持され、MCUと医療デバイスの間だけで共有されなければならない。
一実施形態では、少なくとも1つの暗号鍵は非対称鍵である。鍵生成器は、MCUのメモリに記憶される秘密鍵と、医療デバイスのメモリに記憶されることになる公開鍵とを生成する。前記秘密鍵は、遠隔制御装置またはMCUで使用することができるが、前記公開鍵は医療デバイスだけで使用される。したがって、前記MCUのメモリは秘密鍵を含み、前記医療デバイスのメモリはその適合する公開鍵を含む。有利なことに、前記公開鍵は、医療デバイスによって秘密に保持され、他のデバイスとは、またはブルートゥースを介しては、決して共有されない。
一実施形態では、MCUが遠隔制御装置から取り外されると(そのMCUを含む前記遠隔制御装置を使用した後に)、遠隔制御装置が前記秘密鍵を使用できないように、したがって遠隔制御装置が医療デバイスと通信できないように、MCUは秘密を保持し、かつ前記秘密鍵を遠隔制御装置と共有しない。有利なことに、前記秘密鍵は、MCUのメモリの第2または第4の部分(12、14)に記憶され、したがって秘密鍵は、他のデバイスによって読み出し可能にすることができない。具体的な事例で、秘密鍵が第4の部分(14)にだけ記憶されている場合、その秘密鍵は他のデバイスによって書き換え可能にすることができない。医療デバイスによって使用される公開鍵は、好ましくは医療デバイスによって秘密にしておかなくてはならない。それでもハッカーが前記公開鍵を見つけた場合、このハッカーは、遠隔制御装置から送信さたデータ(例えば、治療、命令、...)を復号するだけである。これは、ハッカーが秘密鍵(MCUのメモリに記憶されている)を見つけた場合よりも危険性が少ない。その理由は、こちらの具体的な事例では、ハッカーが遠隔制御をシミュレーションし、患者治療計画(例えば、インスリン送達、...)を変
更することもできるからである。
一実施形態では、鍵生成器は、少なくとも2つの非対称鍵(AおよびB)を生成する。秘密鍵AはMCUに記憶され、その適合する公開鍵Aは医療デバイスに記憶される。秘密鍵Aは、遠隔制御装置および/またはMCUで使用することができ、公開鍵Aは医療デバイスだけで使用される。秘密鍵Bは医療デバイスに記憶され、その適合する公開鍵BはMCUに記憶される。公開鍵Bは、遠隔制御装置および/またはMCUで使用することができ、秘密鍵Bは医療デバイスだけで使用される。したがって、この実施形態では、医療デバイスは公開鍵Aおよび秘密鍵Bを含み、MCUは公開鍵Bおよび秘密鍵Aを含む。前記公開鍵Bおよび前記秘密鍵Aは、MCUのメモリの読み出し不可能な部分(書き込み可能または書き込み不可能な部分内にある)に記憶することができる。したがって、通信は完全に保護され、送信側は認証される。実際、公開鍵Aを用いて復号可能であるメッセージを医療デバイスが受信した場合、医療デバイスには督促者(expeditor)(遠隔制御装置)が分かり、逆も同様であり、公開鍵Bを用いて復号可能であるメッセージを遠隔制御装置が受信した場合、遠隔制御装置には督促者(医療デバイス)が分かる。2つの非対称鍵を使用することにより、送信側を認証することが可能になる。
一実施形態では、MCU(8)のCPUは、共有されることになる少なくとも1つの暗号化鍵を生成する鍵生成器を含む。前記CPU(9)はまた、暗号化エンジン...などの他の機能を含むこともできる。例えば、図14に開示されているように、MCU(8)は、少なくとも1つの秘密を生成するように生成器が実行されるCPU(9)を含む。この秘密は、鍵情報(リンク鍵、暗号化鍵、ハッシュ、...)のすべてまたは一部とすることができる。図14では、2つの秘密が生成され、両方がMCU(8)のメモリ(10)に記憶される。秘密1および秘密2は同一にする、同類にする、または別個にすることができる。秘密1はMCUのメモリ(10)内に保持され、秘密2は医療デバイス(1)と共有される。この事例では、秘密1は、MCUのメモリの第2および第4の(好ましい)部分に記憶することができ、秘密2は、MCUのメモリの第1または第3の部分に記憶することができる。したがって、秘密2は、医療デバイスに送出されるように読み出すことができる。次に、秘密2はMCUのメモリ(10)から削除することができる。例えば、公開鍵Aは、MCUのメモリの第1の部分に記憶することができる。その理由は、前記秘密は医療デバイスへ送信されなければならず、その後、前記秘密を所与のデバイス(例えば、後述のペアリングデバイス)において削除することが好ましいからである。リンク鍵は削除してはならないので、MCUのメモリの第3の部分に記憶することができる。このプロセスは、遠隔制御装置を用いて、または図13に示されるペアリングデバイス(16)のような特定のデバイスを用いて、実施することができる。
別の実施形態では、生成器は医療デバイス内で実行される。別の実施形態では、医療デバイスおよびMCUは、それ自体の生成器を実行し少なくとも部分的な鍵情報を生成し、この鍵情報は、MCUと医療デバイスの間で少なくとも部分的に共有することができる。
一実施形態では、上述の生成器は、ペアリングデバイス(16)のような特定のデバイスによって起動または実行される。
生成器は、製造者、医師、介護者または薬剤師が起動させることができる。
鍵生成プロセスの間または後に、患者の特徴、薬物、治療、投薬計画、治療セキュリティ制限、...などの他の情報を、MCUおよび/または医療デバイスのメモリに記録することができる。
一実施形態では、本明細書に記載された医療デバイスとの少なくとも1つの通信を保護するために、1つの方法は以下の工程を含む:
− 秘密鍵および適合した公開鍵を含む非対称鍵を生成する工程。
− 前記秘密鍵をMCUの安全なメモリに記憶する工程。
− 前記適合させた公開鍵を医療デバイスのメモリに記憶する工程。
− 前記秘密鍵を用いてデータAを暗号化する工程、または前記公開鍵を用いてデータBを暗号化する工程。
− 前記暗号化データAを医療デバイスに伝送する工程、または前記暗号化データBを遠隔制御装置へ伝送する工程。
− 前記公開鍵を使用してデータAを復号する工程、または前記秘密鍵を使用してデータBを復号する工程。
前記鍵交換は有線通信で行い、患者に使用されるのに先立って、ペアリングデバイスによって起動させることができる。鍵生成は、MCUで起動させた、またはMCU内で実行された鍵生成器によって行うことができる。
非対称鍵はいくつかの資源を使用し、対称鍵を使用することが好ましい。したがって、非対称鍵は、セッション通信の開始時、また対称鍵を(セッション鍵として)使用した後に使用することができる。前記対称鍵は、一時的に使用すること、および定期的に変更することができる。
一実施形態では、本明細書に記載された医療デバイスとの少なくとも1つの通信を保護するために、1つの方法は以下の工程を含む:
− 遠隔制御装置と医療デバイスの間に第1の通信を確立する工程。
− 医療デバイスで交渉値Vmを生成する工程。
− 前記交渉値Vmを遠隔制御装置まで伝送する工程。
− 前記交渉値VmをMCUまで伝送する工程。
− MCUでセッション鍵Ksおよび交渉値Vrcを計算する工程。
− 前記秘密鍵を使用して、MCUで少なくともセッション鍵および/または前記交渉値Vrcを暗号化する工程。
− 前記暗号化データを遠隔制御装置まで伝送する工程。
− 前記暗号化データVrcを医療デバイスまで伝送する工程。
− 前記公開鍵を使用して、医療デバイスで前記暗号化データを復号する工程。
医療デバイスは、セッション鍵もまた計算することができる。前記セッション鍵は、秘密にしておくことも、MCUで生成されたセッション鍵と照合するために使用することもできる。医療デバイスは、前記暗号化データおよび/または前記公開鍵を使用して認証を確認することができる。
図17に示される一実施形態では、トークンを一方が含む2つの別個のノード間の少なくとも1つの通信を保護するために、1つの方法が以下の工程を含む:
− 2つの別個のノード:すなわち1および2を提供する工程。前記ノード1は、暗号化鍵1、鍵生成器、および暗号化エンジンを含むことができる。前記ノード2は、暗号化鍵2、鍵生成器、および暗号化エンジンを含むことができる前記トークンに接続する手段を含む。
− 第1のノードで第1の通信を開始する工程。
− 第1のノードで値V1を生成する工程。
− 鍵1(任意選択)を用いて前記値V1を暗号化する工程。
− 前記(暗号化)値V1を第2のノードまで伝送する工程。
− 前記(暗号化)値V1をトークンまで伝送する工程。
− 鍵2(任意選択)を用いて前記値V1を復号する工程。
− トークンで値V2を生成する工程。
− 値V1およびV2を使用して、トークンでセッション鍵1を生成する工程。
− 鍵2(任意選択)を用いて前記値V2を暗号化する工程。
− 前記(暗号化)値V2を第2のノードまで伝送する工程。
− 前記(暗号化)値V2を第1のノードまで伝送する工程。
− 鍵1(任意選択)を用いて前記値V2を復号する工程。
− 値V1およびV2を使用して、第1のノードでセッション鍵2を生成する工程。
セッション鍵1および2は、暗号化データを安全に認証および交換するために同一でなければならない。第1のノードは医療デバイスまたは医療サーバとすることができ、第2のノードは遠隔制御装置とすることができる。トークンはMCU内にあってよい。暗号化鍵は、非対称鍵または対称鍵とすることができる。暗号化鍵1は公開鍵とし、暗号化鍵2は秘密鍵とすることができる。場合により、第1のノードおよび/または第2のノードは、通信が現在安全に行われていることを視覚、音声表示、および/またはバイブレータによって患者に知らせることができる。
第1のノードで不正なトークンと接続しようとする場合には、暗号化鍵により、前記トークンは値V1を正しく復号することができない。その結果、このトークンは、セッション鍵2と異なるセッション鍵1を生成し、このトークンは、前記第1のノードとデータを交換することができない。
したがってこのプロセスにより、前記MCUと前記医療デバイスは、無線通信の際にいかなる鍵も決して交換しない。一実施形態では、前記セッション鍵は、前記セッション鍵を使用して復号および暗号化するための暗号化エンジンを含むトークン内に、秘密に保持される。別の実施形態では、前記トークンは、セッション鍵を第2のノードと共有し(トークンは、鍵2も秘密に保持すること、または共有することができる)、前記第2のノードは、前記セッション鍵を用いて復号または暗号化するための暗号化エンジンを含む。
ループバック機構
次の段落は、ループバック機構を含む本発明の実施形態に関する。この機能は、本発明によるアセンブリと、患者によって読み出された、または入力された情報との間に保護されたブリッジを確保するために、これまでに開示されたアーキテクチャ、または同様なレベルのセキュリティが遠隔制御装置内部に用意されることを考慮に入れることによって、医療デバイスと遠隔制御装置の間に安全な通信を実現することができる。図3および図4は、本発明による遠隔制御装置(3)を用いたループバック機構の使用を示す。
このループバックは、医療デバイス(1、7)において実行されるコマンドが、そのパラメータと共に、操作者から要求されたこと(認証)、かつ操作者の要望に対応すること(完全性)を保証する機構である。より正確には、この機構はまず、遠隔制御装置(3)と医療デバイス(1、7)の間で伝送された情報が、事故(メモリ不良、通信障害)によって、または故意に(攻撃者、マルウェア)変更されていないことを保証する。さらに、この機構は、コマンドが確かに使用者から要求されたことを保証する。これらの2つの機能は、それだけには限らないが以下のようなタスクによって実現される:
− コマンドは、そのパラメータと共に、遠隔制御装置(3)によって医療デバイス(1、7)まで伝送される。
− 医療デバイス(1、7)は、コマンドおよびそのパラメータに基づく呼掛けを生成し、それを遠隔制御装置(3)へ返す。
− 遠隔制御装置(3)は、呼掛けから情報を抽出し、確認のためにそれを使用者に表示する。外部MCU(表示装置を含む)を使用する一実施形態では、前記情報は、外部MCUの表示手段によって表示することができる。この情報は、医療デバイス(1、7)で受信されたコマンドおよびそのパラメータを含む。
− 使用者は、自分が承認および確認したことを、自分だけが知っているPINを入力することによって知らせる。遠隔制御装置(3)は、呼掛けに対する応答を、PINおよび呼掛け自体を使用して生成する。
− 応答は、医療デバイス(1、7)まで伝送され、医療デバイスによって検証される。コマンドは、呼掛けの応答が正しい場合に限り、実際に実行し始める。
この機構は、使用者によって使用されるPINが、呼掛け−応答の特定のインスタンスについてのみ検査するという意味で、標準的な「ログイン」機構とは異なる。このように、各コマンドは使用者によって検査されなければならず、したがって、悪意のあるアプリケーションでは、使用者がPINコードを入力したすぐ後に、新しいコマンドを送信することができなくなる。さらに、この使用者がPINコード(任意選択)を知っている唯一の人であるので、別の人が適正な遠隔制御装置を用いて、または間違いで、もしくは意図的に別のデバイスを用いて、コマンドを送信することはできない。
この機構はまた、使用者に示され、使用者の承認が要求される情報が、目標デバイスから返される情報であるという意味で、要求されたコマンドを使用者に対し「確かですか?」機構によって繰り返すことだけとも異なる。何らかの変更が行われた場合には、この返された値は、使用者によって初めに入力された情報とは自動的に異なることになる。
前記確認は遠隔制御装置によって自動的に処理されず、そのため、悪意のあるアプリケーションで前記確認を制御することはできない。確認は、使用者によってのみ認可されることがきわめて重要である。一実施形態では、送信されたコマンドを確認するのにループバック機構でPINコードを使用し、使用者だけが前記PINコードを知っている。
好ましくは、直接保護されたパイプが、医療デバイスのメモリと、表示された値を含む遠隔制御装置の保護されたバッファとの間に作成される。次に、遠隔制御装置(3)上の認証されたアプリケーションがその値を表示し、かつ使用者認証を記録し、この使用者認証は、医療デバイスに返送される戻り値を構築するのに使用される。この保護されたパイプは、追加のMCUの内部にある鍵情報を使用することによって始動させることができる。
保護されたパイプは、使用者が医療デバイスでプログラムしたいパラメータを使用者が定義し終わったときに開く。保護されたパイプは、医療デバイスがパラメータを使用できるようにするために使用者がそのパラメータを確認したときに閉じられる。
本発明によるループバックプロセスは、以下の要素を実施することを含む。
・ 医療デバイス内の保護されたメモリ領域。
・ 医療デバイスの保護されたメモリ領域から遠隔制御装置までの間のデータの暗号化通信を管理する、医療デバイスにおける保護されたプロセス。
・ 遠隔制御装置内の保護された表示メモリ領域。
・ 医療デバイスから遠隔制御装置の保護された表示メモリ領域までの間の暗号化通信を管理する、遠隔制御装置による保護されたプロセス。
・ 保護された表示メモリからのデータを遠隔制御装置の表示装置まで転送し、使用者の確認チケット(acknowledgement ticket)を構築する、遠隔制御装置による保護および認証されたプロセス。
これらの様々な要素のアーキテクチャは図2に示されている。
ループバックプロセスは、医療デバイスが、治療のセットアップ、または警報設定のような任意のセキュリティ機能を変更する1組のパラメータを受信したときに開始される。
図3に示される、追加のMCUを使用しない一実施形態では、医療アセンブリ(少なくとも1つの医療デバイスおよび1つの遠隔制御装置)は:
○ 保護されたメモリ領域を含むことができる、前記医療デバイス内のメモリ、
○ 前記保護されたメモリ領域と遠隔デバイスの間でデータの暗号化通信を管理する、前記医療デバイス内の保護された処理手段(5)、
○ 遠隔制御装置内の保護されたメモリ領域、
○ 医療デバイスと前記メモリ領域の間でデータの暗号化通信を管理する、遠隔制御装置内の保護された処理手段(5)、
○ 保護されたメモリからのデータを遠隔制御装置の表示装置まで転送し、使用者の確認チケットを構築する、遠隔制御装置による保護および認証された処理手段(5)、
を含む。
この実施形態で追加のMCUを使用しない場合、2つの別個のノードとユーザの間のループバックプロセスは、以下の工程を含むことができる:
・ 第2のノードから送信されたコマンドを第1のノードで受信する工程(receipting)。
・ 前記コマンドを第1のノードのメモリに記憶する工程。
・ 前記コマンドを第1のノードで暗号化鍵Aを使用して暗号化する工程。
・ 前記暗号化コマンドを第2のノードに送信する工程。
・ 第2のノードで前記暗号化コマンドを受信する工程。
・ 前記暗号化コマンドを第2のノードで暗号化鍵Bを使用して復号する工程。
・ 前記コマンドを第2のノードの表示手段によって表示する工程。
・ 使用者がコマンドを調べる工程。
・ 使用者が前記コマンドを第2のノードの入力手段を使用して検査する工程。
・ 前記妥当性検査を第1のノードへ送信する工程。
前記暗号化鍵AおよびBは、同一とすることも関連づけることもできる。さらなるセキュリティを付加するために、このプロセスはさらに、呼掛け生成、PINコード、状態表示、...を含むことができる。
したがって詳細には、このプロセス(図3に示す)は以下の工程を含むことができる:・ 医療デバイス内の埋込みソフトウェアによって行われる工程
○ 医療デバイスのメモリ内で確認されなければならないパラメータを書き込む。
○ 場合により、一般に呼掛けと命名されるランダム情報を生成する。
○ 医療デバイスと遠隔制御装置の間に安全なパイプを開く。
○ 場合により、医療デバイスおよび遠隔制御装置がループバックモードにあることを、振動、音声、LEDなどの手段、または患者に知らせる任意の方法によって使用者に表示する。
○ KPと呼ばれる暗号化鍵を使用して暗号化されたパラメータ、および呼掛けを遠隔制御装置へ送信する。
・ 遠隔制御装置内のソフトウェアエンティティ1によって行われる工程
○ 遠隔制御装置の保護されたメモリ領域への暗号化パラメータおよび呼掛けを受信し書き込む。
・ 遠隔制御装置内のソフトウェアエンティティ2によって行われる工程
○ KPに対応する鍵である、KRCと呼ばれる鍵を使用することによってパラメータを復号する。これらの鍵は、対称または非対称とすることができる。認定されるアプリケーションは、適正な対応鍵KRCを有することによって妥当性が確認される。
○ 「概要」ページの復号パラメータを表示する。
○ 場合により、使用者のPINコードを入力する。
○ これらのパラメータの受入れを、呼掛け、鍵KRC、および入力されたPINコードを使用することによって確認する、確認チケットを構築する。
○ このチケットを遠隔制御装置の保護されたメモリ領域に書き込む。
・ 遠隔制御装置内のソフトウェアエンティティ1によって行われる工程
○ このチケットを医療デバイスへ返送する。
・ 医療デバイス内の埋込みソフトウェアによって行われる工程
○ 場合により、予想されるチケットを計算する。
○ 遠隔制御装置から来る確認チケットを受信および検査する。
チケットが検査されるとループバックプロセスが閉じられ、医療デバイスは、更新されたパラメータを使用することが可能になる。この基本的なプロセスは、保護されたパイプのセキュリティを改善するために、より精緻化することも、より複雑な体系の一部とすることもできる。
一実施形態では、前記ソフトウェアエンティティ1および前記ソフトウェアエンティティ2は同じソフトウェアエンティティであり、または、ソフトウェアエンティティ1は遠隔制御装置(3)内の埋込みソフトウェアとし、ソフトウェアエンティティ2は遠隔制御装置(3)内の認証されたアプリケーションとすることもできる。別の実施形態では、前記ソフトウェアエンティティ1は、後で定義されるホストオペレーティングシステムで動作し、ソフトウェアエンティティ2は、後で定義される医療オペレーティングシステムで動作する。
当技術分野の当業者には、データ送り出しを暗号化するのに、また前記チケットを生成するのに、いくつかの方法があることが理解されよう。本発明は、データ送り出しを暗号化するのに、または前記チケットを生成するのに、特定の方法に限定されない。
この実施形態で追加のMCUを使用する場合、2つの別個のノードとユーザの間のループバックプロセスは、以下の工程を含むことができる:
・ 第2のノードから送信されたコマンドを第1のノードで受信する工程。
・ 前記コマンドを第1のノードのメモリに記憶する工程。
・ 前記コマンドを第1のノードで暗号化鍵Aを使用して暗号化する工程。
・ 前記暗号化コマンドを第2のノードに送信する工程。
・ 第2のノードで前記暗号化コマンドを受信する工程。
・ 前記暗号化コマンドをMCUへ送信する工程。
・ MCUで前記暗号化コマンドを受信する工程。
・ 前記暗号化コマンドをMCUで暗号化鍵Bを使用して復号する工程。
・ 前記コマンドを第2のノードの表示手段によって表示する工程。
・ 使用者がコマンドを調べる工程。
・ 使用者が前記コマンドを第2のノードまたはMCU(MCUが妥当性検査ボタンなどの入力手段を含む外部MCUである場合)の入力手段を使用して検査する工程。
・ 前記妥当性検査を第1のノードへ送信する工程。
前記暗号化鍵AおよびBは、同一としても(対称)、または関連づけられても(非対称)よい。さらなるセキュリティを付加するために、このプロセスはさらに、呼掛け生成、PINコード、状態表示、...を含むこともできる。
したがって詳細には、このプロセス(図4示す)は以下の工程のすべてまたは一部を含むことができる:
・ 医療デバイス内の埋込みソフトウェアによって行われる工程:
○ 医療デバイスのメモリ内で確認されなければならないパラメータを書き込む。
○ 場合により、呼掛けを生成する。
○ 一時的な鍵Ks1を使用することによって前記パラメータを暗号化する。
○ 場合により、医療デバイスおよび遠隔制御装置がループバックモードにあることを、振動、音声、LEDなどの手段、または患者に知らせる任意の方法によって使用者に表示する。一実施形態では、MCUは、前記情報を使用者に伝える手段(MCU上のLED、表示手段、バイブレータ、...)を含む外部MCUである。
○ 暗号化されたパラメータおよび/または呼掛けを遠隔制御装置へ送信する。
・ 遠隔制御装置内の埋込みソフトウェアによって行われる工程
○ 暗号化パラメータをMCUへ送信する。
・ MCU内の埋込みソフトウェアによって行われる工程。
○ 暗号化パラメータおよび呼掛けを受信しMCUのメモリ内に書き込む。
○ 鍵Ks1を使用することによってパラメータを復号する。
○ 暗号化パラメータおよび呼掛けを遠隔制御装置のメモリへ送信する。
・ 遠隔制御装置内の埋込みソフトウェアによって行われる工程
○ 「概要」ページの復号パラメータを表示する。
○ 場合により、使用者にPINコードを入力することを促す。
○ これらのパラメータの受入れを、呼掛け(任意選択)、パラメータ、および入力されたPINコード(任意選択)を使用することによって確認する、確認チケットを構築する。
○ このチケットを遠隔制御装置のメモリに書き込む。
○ 前記チケットをMCUへ送信する。
・ MCU内の埋込みソフトウェアによって行われる工程
○ 前記チケットを受信しMCUの保護されたメモリへ書き込む。
○ 一時的な鍵Ks2を使用することによって前記チケットを暗号化する。
○ 前記暗号化チケットを遠隔制御装置へ返送する。
・ 遠隔制御装置内の埋込みソフトウェアによって行われる工程
○ 暗号化チケットを医療デバイスへ返送する。
・ 医療デバイス内の埋込みソフトウェアによって行われる工程
○ 場合により、予想されるチケットを計算する。
○ 遠隔制御装置から来る確認チケットを受信し、復号し、検査する。
チケットが検査されるとループバックプロセスが閉じられ、医療デバイスは、更新されたパラメータを使用することが可能になる。この基本的なプロセスは、保護されたパイプのセキュリティを改善するために、より精緻化することも、より複雑な体系の一部とすることもできる。
一実施形態では、使用者操作を模倣する、またはこの情報を傍受する、いかなるアプリケーションも阻止するために、遠隔制御デバイスによりランダム配列表示を使用しながらPINを入力することができる。例えば、その数字(0から9の5つ)は、使用者によってPINコードが入力されなければならないたびに毎回異なるランダムな順序で表示される。別の実施形態では、前記PINは、コマンドを検査するために再描画され、入力され、またはコピーされなければならない記号、絵、語、形と置き換えることができ、その意図のすべてが、表示と対話している知的人間がいることを確かめることである。
別の実施形態では、PINは、それだけには限らないが、指紋リーダ、指紋網膜(fingerprint retinal)、...などの別の認証手段によって変更することができる。この認証手段は、使用者だけに知られている、または所有されている必要がある。
一実施形態では、遠隔制御装置内の前記埋込みソフトウェアは、後で定義されるホストオペレーティングシステムで動作し、MCU内の前記埋込みソフトウェアは、後で定義される医療オペレーティングシステムで動作するか、または起動する。
MCUが図4または図5に示されているドングルである場合、および前記ドングルが患者に情報を伝える手段を含む場合、その表示手段によって呼掛けを表示することができる。前記手段により、安全なモード、またはOS、またはループバックモードが進行中であることを患者に知らせることができる。
一実施形態では、呼掛けも暗号化することができる。
一実施形態では、鍵Ks1およびKs2は、非対称鍵対とすることも、対称鍵とすることも、ハッシング機構を使用することもできる。
一実施形態では、鍵Ks1とKs2は同じであるか、または異なる。
一実施形態では、使用者は、ループバック機構の入口を確認するためにPINコードを入力しなければならないが、このようなPINコードはランダム表示配列によって入力される。
一実施形態では、MCUは外部MCUであり、このMCUは入力手段を、PINコードを前記入力手段によって入力できるようにして、または前記入力手段が指紋リーダ(print finger reader)であるようにして含む。別の実施形態では、前記指紋リーダは遠隔制御装置内にある。
遠隔制御装置と医療サーバの間の通信を保護する
一実施形態では、前記MCU(4、6、8)は、前記医療アセンブリと医療サーバの間の通信(例えば、遠隔医療)を確立および/または保護するための鍵情報を含む。このようにして、データのすべてまたは一部を、前記データを分析または記憶できる医療サーバまで安全に送信することができる。
本明細書に記載された機能のすべてまたは一部は、遠隔制御装置と医療サーバの間、または医療サーバと医療デバイスの間の通信を確立および/または保護するために使用することができ、その場合この遠隔制御装置はゲートウェイとして使用することができる。
MCUの他の特徴
図6、7、8および12に示されている一実施形態では、外部MCU(6)は、(ドングルのような)外部デバイスとみなすことも、外部デバイスとすることもできる。
一実施形態では、外部MCU(6)は単純なドングルとして使用することができ、前記外部MCU(6)は、図7に示されるように、内部MCU(4)に接続するための追加の接続手段(15)を含むことができる。この具体的な事例では、ドングル(6)は、遠隔制御装置(3)と内部MCU(4)の間の仲介物またはアダプタとして使用することができる。したがって、鍵情報またはプログラムのすべてまたは一部は、必ずしも前記ドングル(6)のメモリに記憶されない。内部MCU(4)が、他の鍵情報のすべてまたは一部を収容するために使用されなければならない。例えば、ドングル(6)は、遠隔デバイスで実行されるOS、mOS、またはアプリケーションの完全性、または遠隔制御装置(3)にインストールされるソフトウェアの完全性を調べるための鍵情報を含むことができる。内部MCU(4)は、リンク鍵、暗号鍵、...などの鍵情報を含むことができる。
さらに、患者が遠隔制御装置を変更した場合(破損または電池故障のために)、また新しい遠隔制御装置がMCU(4)用の適切な接続手段を備えていない場合には、このドングル(6)を有することが有用である。したがって、この外部MCU(6)により、遠隔制御装置(3)が内部MCU(4)に接続される。この追加の接続手段により、外部MCU(6)と遠隔制御装置(3)の間の有線通信または無線通信を行うことができる。
前記MCU(6)は、前のすべての要素および他の手段、または後述の機能(15)を含むことができる。
外部MCU(6)は、それだけには限らないが、
− 前記MCU(6)もまた血糖監視のように使用できるような血糖測定手段、
− 患者の活動を監視するための加速度計、
などのセンサを含むことができる。
MCU(6)は、患者が2つの別個の表示手段(第1のものが遠隔制御装置に設置され、第2のものがドングルまたは外部MCU(6)に設置される)を有するようにして、データを安全に表示するための表示手段を含むことができる。すなわち、第1のものは、医療デバイスをプログラムまたは監視するために使用され、第2のものは、データを確認するために、またはループバックの呼掛けもしくは他の情報のすべてまたは一部を受信および表示するために使用することができる。そのため、遠隔制御装置に必要なセキュリティレベルは最小限にすることができる。というのは、患者は、MCU(6)の表示装置に必要な、その情報が完全に保護されているすべての安全関連プログラム変更を、医療デバイスで実施予定のこのようなプログラム変更を確認する前に見直さなければならないことになるからである。
このような外部MCU(6)は、データを安全に設定するための、もしくはPINコードを入力するための入力手段、または指紋リーダを含むことができる。前記入力手段はまた、送信する前のデータ、またはループバック機構内で使用されるデータを検査するための検査ボタンとすることもできる。
図12に示されるように、外部MCU(6)は、別のMCU(4)と接続するための少なくとももう1つの接続手段を含むことができる。したがって、外部MCU(6)は、もとから医療デバイス(例えば、送達デバイス)と対にすることができ、外部MCU(6)の中にプラグ接続された内部MCU(4b)は、別の医療デバイス(例えば、血糖計)と対にすることができる。前記外部MCUは、第1の医療デバイスの鍵情報を記憶し、前記内部MCUは、第2の医療デバイスの鍵情報を記憶する。
外部MCUが高価な他の手段(15)(センサ、通信手段、表示手段、...のような)を含む場合、単純なドングル(6)(図7に示される)を追加の内部MCU(4)と共に使用することが好ましい。医療デバイスは1つのMCUだけと対にされるので、患者が自分の医療デバイスを変更した場合、患者は自分のドングル(6)は保持することができ、対の内部MCU(4)−医療デバイス(1)を変更する。
一実施形態では、前記MCU(6)は、遠隔制御装置に依存しないで医療デバイスと安全に通信するための通信手段を含むことができる。この実施形態では、携帯電話とすることができる遠隔制御装置は、有利なことにはその表示手段として使用され、かつ/または前記MCUに電力供給するために使用される。
図15に示される一実施形態では、外部MCU(6)は、遠隔制御装置(3)から引き抜き、軽量遠隔制御装置として使用することができる。例えば、前記外部MCU(6)が、入力手段(15)および通信手段(15)(場合により、電源、表示手段、...)を遠隔制御装置なしで含む場合、前記外部MCUは、医療デバイスを少なくとも部分的に制御することもできる。前記入力手段は、急速投与、および/または一時停止モード、および/または他の送達コマンドもしくはモードを指令するのに使用することができる。
図8および図9に示される一実施形態では、2つのデバイス(1、7)が遠隔制御装置(3)と通信する。例えば、第1の医療デバイス(1)はインスリンポンプ(1)であり、第2の医療デバイス(7)は連続血糖計(7)である。各医療デバイスは、それ自体のMCU(4a、4b)とだけ対にされる。この実施形態は、図8に示されるように、外部MCU(6)にプラグ接続された遠隔制御装置(3)を開示している。前記外部MCU(6)は、2つの別個の内部MCU(4a、4b)を挿入するための2つの別個の接続手段を含む。図9に示される実施形態は、2つの別個の内部MCU(4a、4b)を挿入するための2つの別個の接続手段を内部に含む遠隔制御装置(3)を開示している。第2のMCU(4a)(または第3のMCU(4b))は、第1の医療デバイス(1)(または第2の医療デバイス(7))と一緒に鍵情報を含む保護されたメモリを含む。前記第2のMCU(4a)は第1の医療デバイス(1)とだけ対にされ、前記第3のMCU(4b)は第2の医療デバイス(7)とだけ対にされる。この実施形態は、さらに多くのMCUおよび医療デバイスを含むことができる。
図10に示される一実施形態では、2つの医療デバイス(1、7)が遠隔制御装置(3)と通信するが、1つのMCU(4c)だけがプラグ接続されている。この実施形態では、前記MCU(4c)は、前記2つの医療デバイス(1、7)と対にされ、前記2つの医療デバイス(1、7)と一緒に鍵情報を含む少なくとも1つの保護されたメモリを含む。
一実施形態では、外部MCU(6)は、表示手段および/または入力手段を含む。一部のデータ(例えば、重要なデータ)が外部MCUの表示手段により表示され、かつ/または入力手段により前記データを、医療デバイスで使用される前に検査することができる。例えば、遠隔制御装置により、医療デバイスに対するコマンドをプログラムすることが可能になり、また外部MCUにより、前記コマンドを検査することが可能になる。ループバック機構は、前記外部MCUによって少なくとも部分的に実施することができる。前記表示手段は、呼掛けまたはコマンドを、医療デバイスによって実行する前に表示することができる。
上述の実施形態では1つまたは2つの医療デバイスを使用しているが、本発明はそうした実施形態に限定されず、本発明は、1つまたはそれ以上の医療デバイス、および1つまたはそれ以上のMCUを有することができる。
遠隔制御装置
一実施形態では、遠隔制御装置(3)は携帯電話であり、MCU(4)は、電話操作者のすべてのデータおよびアプリケーションを含むSIMカードである。さらに前記SIMカードは、医療デバイス(1、7)と安全に対になり、かつ通信するためのすべてのデータおよびアプリケーションも含む。
別の実施形態では、前記携帯電話は2つの別個の接続手段を含み、第1のものが電気通信操作者のSIMカードをプラグ接続するため、もう一方が、医療デバイスと対にされたMCUをプラグ接続するためのものである。
一実施形態では、前記遠隔制御装置はまた、携帯電話およびBGM、またはCGMへのリンクとしても使用される。前記医療アセンブリは、2つの別個のスマートカードを含む。第1は、電話操作者によって使用されるSIMカードであり、第2のスマートカードは、医療デバイスを制御するために使用される。すべての機能(電話、遠隔制御、BGM、CGM,...)を使用するには、両方のスマートカードが遠隔制御装置の中にプラグ接続されなければならない。しかし前記第1のスマートカードが欠けている場合、遠隔制御装置は、携帯電話として使用することはできないが、医療デバイスを制御すること、およびBGMとして使用することはできる。前記第2のスマートカードが欠けている場合、遠隔制御装置は、医療デバイスを制御するのに使用することはできないが、BGM、CGMおよび/または携帯電話として使用することはできる。両方が欠けている場合は、遠隔制御装置はBGMまたはCGMとしてのみ使用される。
一実施形態では、前記遠隔制御装置は、安全な情報(例えば:呼掛け、PIN、...)だけを表示するための第2の表示手段を含む。
さらなるセキュリティのために、前記遠隔制御装置(3)は、仮想化プラットフォームおよび/または完全性試験を含むことができる。
完全性試験
一実施形態では、前記医療デバイス(1、7)および/または前記MCU(4、6、8)は、安全なブートプロセスおよび/または安全なフラッシュプロセス(flash process)および/または暗号化機構などの、保護された処理手段(5)を含み、この処理手段は、少なくとも遠隔制御装置の完全性を調べ、かつ/または前記医療デバイス(1、7)と前記遠隔制御装置(3)の間の保護されたデータ通信(2)を管理する。
したがって、前記MCU(4、6、8)を使用して、それだけには限らないが、遠隔制御装置(3)のオペレーティングシステムおよび/またはhOsおよび/またはアプリケーション、...などの完全性を確保することができる。この完全性を確保する典型的な方法は、安全なブートまたは安全なフラッシュを使用することであり、これは完全性検査を遠隔制御装置(3)のブート中に、または監視システムを介して一定間隔で行う機能である。
例えば、安全なブートプロセスを使用する実施形態:遠隔制御装置(3)で動作するソフトウェアが事故(ハードウェア故障)によって、または故意(攻撃者、マルウェア)に修正されていないことを保証するために、安全なブートの機構が使用される。遠隔制御装置(3)の電源が入れられたとき、そのプロセッサで実行される第1のコードは、遠隔制御装置(3)内部記憶装置(フラッシュメモリ)の内容のシグネチャを計算し、このシグネチャの妥当性を確認するルーチンである。シグネチャが妥当と確認されると、そのプロセッサは、その正規のOS始動手順を継続する。そうでなければ、システムは始動しない。シグネチャの確認は、秘密(鍵)が公開されないことを保証するMCU(4、4a、4b、4c、6、8)を使用して実施できることに注意することが重要である。
別の例、安全なフラッシュプロセスを用いる実施形態:本発明者らは、遠隔制御OSのより新しいバージョン(医療サーバからダウンロードできる)を使用者が利用できるようにしたい。同様に、遠隔制御装置(3)のソフトウェアが、認証されていないソフトウェアで更新されないようにするために、書き込み予定の新規のソフトウェアには符号が付けられなければならない。遠隔制御装置(3)が更新モードで始動された場合(例えば、電源ボタンの長押しによって)、プロセッサはまず、新ソフトウェアのイメージをダウンロードし、そのシグネチャを計算し、それを確認するルーチンを、既存のソフトウェアを上書きする前に実行する。再び、シグネチャの確認は、秘密(鍵)が公開されないことを保証するMCU(4、6、8)を使用して実施できることに注意することが重要である。
したがって、遠隔制御装置の完全性は、OSおよび/またはアプリケーションの(ハッシュとしての)シグネチャのような鍵情報を秘密にそのメモリに記憶するMCUによって調べることができる。
一実施形態では、完全性試験が成功の場合、通信が確立される。完全性試験が不成功の場合、MCUは、OSまたはアプリケーションが破損していることを患者および/またはポンプに知らせるプロセスを起動する。前記MCUまたは前記医療デバイスは、エラーを表示デバイスによって表示すること、または他の手段(音声、バイブレータ、...)によって知らせることができる。
ホストオペレーティングシステム(hOS)を使用する
一実施形態では、モバイル仮想化プラットフォームの遠隔制御装置(3)使用により、遠隔制御装置(3)(例えば、スマートフォン)を、(例えば、医療デバイス(1、7)を制御するための)制御された環境と、(例えば、汎用タスクのための)無制御の環境とに分ける可能性が提供される。この仮想化プラットフォームは、仮想機械アプリケーションによって定義することができる。
以下のアーキテクチャは、本発明による仮想化プラットフォームの非限定的な例を示す(図1参照):
・ 1つまたはいくつかのゲストOS(図1にはゲストOSが2つだけ示されている)に対しハードウェア部材をエミュレートするホストオペレーティングシステム(OS)。
・ 無制御環境内で汎用タスク(例えば:カレンダ、連絡先、ウェブブラウジング、電話連絡、娯楽など)を処理する1つのゲストOS。
・ 制御された環境内で医療デバイスとの対話を処理する1つのゲストOS。
有利には、hOSは、いくつかの先進のオペレーティングプロセスを組み込みながら可能な限り薄くなっており、最低レベルのオペレーティングシステムアーキテクチャ内にある。ホストオペレーティングシステムは単純なハイパーバイザではない。実際、ホストオペレーティングシステムはさらに、様々なセキュリティタスクおよび制御タスクを含む。したがって、ホストオペレーティングシステムは、アクティビティを管理し調和させ、遠隔制御装置の資源を共有し、かつアプリケーションを実行すること、および/または遠隔制御装置(3)のドライバおよび/または周辺装置を使用することの拒否および/または許可を決定する。このようにしてセキュリティは、悪意のあるソフトウェアが、それだけには限らないが、上述のようなMCUなどのいかなるドライバおよび/または周辺装置にもアクセスできないので、改善される。
したがって、このアーキテクチャを使用することによって、制御された環境では、医療デバイスと交換されるコマンド/情報を遮断する、または修正する、または生成するいかなる悪意のあるアプリケーションも阻止するように、遠隔制御装置を常に完全に制御している。このような悪意のあるアプリケーションの典型的なアクションは、輸注のプログラミングを模倣するために使用者のPINコードを盗むことである。
一実施形態では、上述のようにMCUによって、この制御された環境が認証され、その完全性が調べられる。遠隔制御装置のどのブート時にも、完全性を確認し、かつhOsおよび場合によりmOSを認証することになっている前記MCUによって、安全検査が行われる。
このアーキテクチャに加えて、認定されたアプリケーションの特定のリストの中にないアプリケーションがもしあれば不能にできる制御された環境内で、特定の監視プログラムを実施して、動作中であるすべてのタスクを調べることができる。この特定の監視はまた、前記MCUによって制御することもできる。前記モニタによりまた、アプリケーションによって使用される実行時間を測定すること、ならびにアクティビティの疑わしい過負荷がもしあれば警報を発することで使用者に知らせることが可能になりうる。
一実施形態では、前記hOSは、前記MCUに含まれ、かつ/または前記MCUで起動され、かつ/または動作する。
一実施形態では、前記mOSは、前記MCUに含まれ、かつ/または前記MCUで起動され、かつ/または動作する。
一実施形態では、前記mOS、および/または前記hOS、および/またはハイパーバイザは、前記MCUに含まれる。前記MCUが遠隔制御装置に挿入されたとき、MCUは、遠隔制御装置に前記mOS、および/または前記hOS、および/または仮想マシンをインストールする。
一実施形態では、制御された環境内での処理は、LEDのような、視覚インジケータおよび/または音声インジケータおよび/または他のインジケータ(バイブレータなど)を使用して知らせることができ、これらのインジケータは、現在のアプリケーションが制御された環境内で動作中であること、または無制御の環境内で動作中であることを使用者に知らせる。例として、現在のアプリケーションが制御された環境内にあるときには緑色のLEDがスイッチオンし、次に、使用者が無制御の環境に戻ったときにはスイッチオフすることを想起することができる。また、使用者が制御された環境内にいるときにはLEDはオフで、使用者が無制御の環境に戻ったときに赤になる、「反対」の使用事例もありうる。
別の実施形態では、hOSは、制御された環境内で動作中であるアプリケーションのために画面の一部分を確保しておくことができる。このようにして、mOSだけがこの場所に何かを表示することができ、無制御の環境内で動作中であるアプリケーションまたは他のgOSは、この場所を使用することができない。
したがって、使用者には、mOSのアプリケーションが動作中であるかいないかが分かる。実際、前記インジケータが使用者に正しく通知しない場合には、このアプリケーションは確かに、医療デバイスの制御を奪取しようとする、または使用者を欺こうとする悪意のあるアプリケーションである。
一実施形態では、MCUは、mOSが動作中であるときに動作することができるアプリケーションおよび/またはソフトウェアのリストを含む。MCUがある、またはない一実施形態では、PINコードがmOSおよび/または医療デバイスを起動できるようにする。
医療アセンブリの他の任意選択の機能
別の実施形態では、医療デバイスは、患者の生理学的特性を測定できる少なくとも1つのセンサと、前記センサによって監視される初期症状をリアルタイムで認識する診断手段と、前記診断手段がもし前記初期症状を検出すれば患者に警報する警報手段とを含む。このようにして、医療デバイスは、遠隔制御装置によって監視すること、および遠隔制御装置に警報を送信することができる。
一実施形態では、遠隔制御装置は、警報が送信された場合に使用者の位置を特定するためのGPSを含む。前記医療アセンブリは、遠隔制御装置内のアプリケーションを起動して、もし前記診断手段で前記初期症状を検出し、または/かつ患者が自分でできない場合には、患者の位置を特定し、前記特定位置を医療センタまたは他の人に送信することができる。また、前記医療アセンブリは、遠隔制御装置内のアプリケーションを起動して、もし前記診断手段で前記初期症状を検出し、または/かつ患者が自分でできない場合には、生理学的特性のデータを医療センタまたは他の人に送信することもできる。
本発明はもちろん、これまで論じた図示の例に限定されない。
1 医療デバイス
2 無線通信
3 遠隔制御装置
4、4a、4b、4c マイクロコントローラ(スマートカードなど)
5 保護された処理手段
6 外部MCU
7 別の医療デバイス
8 マイクロコントローラ
9 CPU
10 マイクロコントローラのメモリ
11 メモリの第1の部分
12 メモリの第2の部分
13 メモリの第3の部分
14 メモリの第4の部分
15 外部MCUの他の手段または機能
16 ペアリングデバイス(16)
17 接続手段
18 第1の表示手段
19 第2または安全な表示手段(LED、...)

Claims (71)

  1. 安全に無線で通信するネットワークノードであって、アセンブリは:
    a.少なくとも1つの医療ノード(1、7)であって:
    i.第2のノード(3)と通信するための通信手段、
    ii.安全に確立および/または通信するための少なくとも1つの鍵情報を有するメモリ、
    を含む医療ノード(1、7)と、
    b.第2のノード(3)であって:
    i.少なくとも1つの医療ノードと通信するための通信手段、
    ii.少なくとも1つのセキュリティトークン(4、6、8)に接続するための少なくとも1つの接続手段、
    iii.入力手段、
    iv.前記通信手段、接続手段および入力手段に接続されるCPU、
    を含む第2のノード(3)と、
    c.前記少なくとも1つのセキュリティトークン(4、6、8)であって:
    i.第2のノード(3)に接続するための接続手段、
    ii.安全に確立および/または通信するための少なくとも1つの鍵情報を有するメモリ(10)、
    を含むセキュリティトークン(4、6、8)と
    を含み、
    ここで、1つだけのセキュリティトークン(4、6、8)は少なくとも1つの医療ノード(1、7)と対にされ、
    前記鍵情報のすべてまたは一部は、少なくとも1つの医療ノード(1、7)のメモリの安全な部分、およびセキュリティトークン(4、6、8)のメモリ(10)の安全な部分に記憶され、
    鍵情報は無線通信によって交換されず、
    前記鍵情報は、前記ノードおよび/または少なくとも1つの暗号化鍵を対にするために使用されるペアリングデータを含む、前記ネットワークノード。
  2. 前記ペアリングデータは、少なくとも1つの医療ノード(1、7)のアドレス、少なくとも部分的なリンク鍵、少なくとも部分的な長期鍵および/または少なくとも部分的な短期鍵である、請求項1に記載のアセンブリ。
  3. 前記ペアリングデータは、第2のノード(3)によって読み出し可能であるセキュリティトークン(4、6、8)のメモリ(10)の一部分に記憶される、請求項2に記載のアセンブリ。
  4. 前記少なくとも1つの暗号化鍵は非対称鍵または対称鍵である、請求項1に記載のアセンブリ。
  5. トークン(4、6、8)のメモリ(10)は秘密鍵を含み、医療ノード(1、7)のメモリは対応づけられた公開鍵を含む、請求項2に記載のアセンブリ。
  6. 医療ノード(1、7)のメモリは秘密鍵を含み、トークン(4、6、8)のメモリ(10)は関連づけられた公開鍵を含む、請求項2に記載のアセンブリ。
  7. 前記少なくとも1つの鍵情報は、前記少なくとも1つの医療デバイスとそのセキュリティトークン(4、6、8)の間で共有され、その後、前記少なくとも1つの鍵情報は、前記少なくとも1つの医療デバイスのメモリ、および/またはセキュリティトークン(4、6、8)のメモリ(10)に秘密に保持される、請求項1に記載のアセンブリ。
  8. セキュリティトークン(4、6、8)はCPU(9)を含む、請求項1に記載のアセンブリ。
  9. セキュリティトークン(4、6、8)は鍵生成器を含む、請求項1〜8のいずれか1項に記載のアセンブリ。
  10. 前記少なくとも1つの暗号化鍵はセキュリティトークン(4、6、8)によって生成される、請求項1〜9のいずれか1項に記載のアセンブリ。
  11. 前記少なくとも1つの暗号化鍵は、有線伝送によって前記少なくとも1つの医療ノード(1、7)まで伝送される、請求項8に記載のアセンブリ。
  12. 前記少なくとも1つの医療ノード(1、7)は、そのセキュリティトークン(4、6、8)に接続するための接続手段を、少なくとも1つの医療ノード(1、7)とそのセキュリティトークン(4、6、8)が少なくとも1つの秘密を有線伝送によって共有するように含む、請求項1〜11のいずれか1項に記載のアセンブリ。
  13. 少なくとも1つの秘密を有線伝送によって共有できるようにするペアリングデバイス(16)を含む、請求項10に記載のアセンブリ。
  14. 秘密鍵は、セキュリティトークン(4、6、8)の安全な部分に、トークンだけが前記秘密鍵を読み出し、かつ/または使用することができるようにして記憶される、請求項1〜13のいずれか1項に記載のアセンブリ。
  15. 第2のノード(3)は暗号化エンジンを含む、請求項1〜14のいずれか1項に記載のアセンブリ。
  16. セキュリティトークン(4、6、8)は、少なくとも1つの暗号化鍵を第2のノード(3)へ送信する、請求項8に記載のアセンブリ。
  17. 第2のノード(3)は、携帯電話、軽量遠隔制御装置および/またはBGM、またはCGMへのリンクである、請求項1に記載のアセンブリ。
  18. 第2のノード(3)は、使用者に情報を表示するための少なくとも1つの表示手段を含む、請求項1〜17のいずれか1項に記載のアセンブリ。
  19. 第2のノード(3)の前記少なくとも1つの表示手段は、画面、タッチ画面、および/またはLEDである、請求項16に記載のアセンブリ。
  20. 第2のノード(3)は、使用者の血糖および/または物理的活動を監視するための少なくとも1つのセンサ手段を含む、請求項1〜19のいずれか1項に記載のアセンブリ。
  21. 第2のノード(3)は、医療ノード(1,7)と一緒に使用されないトークンを接続するための接続手段を含む、請求項1〜20のいずれか1項に記載のアセンブリ。
  22. 医療ノード(1、7)は、送達デバイス、医療サーバ、埋込み可能デバイス、サンプリングデバイス、および/またはセンサデバイスである、請求項1に記載のアセンブリ。
  23. セキュリティトークン(4、6、8)は、スマートカード、SIMカード、SDIO(セキュアデジタル入出力)カードなどのSDカード、内部または外部ドングルである、請求項1に記載のアセンブリ。
  24. 少なくとも1つの鍵情報は、特定の時点にトークン(4、6、8)および/または第2のノード(3)内で動作させることができる、またはできないアプリケーションおよび/またはソフトウェアのリストである、請求項1に記載のアセンブリ。
  25. 少なくとも1つの鍵情報は、アプリケーションの完全性、および/またはオペレーティングシステムの完全性、および/または医療アプリケーションのアップグレードバージョンの完全性を少なくともブート時に調べるために使用されるデータである、請求項1に記載のアセンブリ。
  26. 第2のノード(3)は:
    少なくとも1つのゲストオペレーティングシステム(gOS)のハードウェア部材をエミュレートするホストオペレーティングシステム(hOS)と、
    無制御の環境で使用されるようにすべてが設計されている、それだけには限らないが、カレンダ、連絡先などの共通機能を操作する第1のgOSと、
    制御された環境内で使用されるようにすべてが設計されている医療ノード(1、7)用第2のノード(3)機能を操作する医療オペレーティングシステム(mOS)と、
    を含む仮想化プラットフォームを使用する、請求項1に記載のアセンブリ。
  27. 少なくとも1つの鍵情報は、hOSおよび/またはmOSおよび/またはgOSの完全性を調べるために使用される、請求項12に記載のアセンブリ。
  28. 少なくとも1つの鍵情報は、優先順位を管理するためにhOSで使用されるアプリケーションおよび/またはソフトウェアのリストである、請求項12に記載のアセンブリ。
  29. 少なくとも1つの鍵情報は第1のノードのアドレスである、請求項1に記載のアセンブリ。
  30. 少なくとも1つの鍵情報は、第2のノード(3)にインストールされるアプリケーションおよび/または特定のオペレーティングシステムである、請求項1に記載のアセンブリ。
  31. 少なくとも1つの鍵情報は、患者の識別名および/または物理的特性である、請求項1に記載のアセンブリ。
  32. セキュリティトークン(4、6、8)は第2のノード(3)の中にプラグ接続される、または第2のノード(3)に挿入される、または有線手段もしくは無線手段によって接続される、請求項1に記載のアセンブリ。
  33. セキュリティトークン(4、6、8)は外部ドングルである、請求項1に記載のアセンブリ。
  34. セキュリティトークン(4、6、8)は、入力手段、表示手段、活動センサ、指紋リーダ、無線通信手段、または血糖計である、請求項20に記載のアセンブリ。
  35. セキュリティトークン(4、6、8)の無線通信手段は、少なくとも1つの医療ノード(1、7)と接続することを可能にする、請求項21に記載のアセンブリ。
  36. セキュリティトークン(4、6、8)は、別の医療ノード(1、7)と対にされる別のセキュリティトークン(4、6、8)に接続するための接続手段を含む、請求項20に記載のアセンブリ。
  37. 第2のノード(3)は、少なくとも1つの鍵情報が少なくとも一時的に記憶されるメモリを含む、請求項1に記載のアセンブリ。
  38. 第2のノード(3)のメモリ内の前記少なくとも1つの鍵情報は、前記セキュリティトークン(4、6、8)が前記ノード(3)から取り外された場合には使用できない、請求項37に記載のアセンブリ。
  39. 第2のノード(3)のメモリに記憶された前記少なくとも1つの鍵情報は、特定の時点にトークン(4、6、8)および/または第2のノード(3)内で動作させることができる、またはできないアプリケーションおよび/またはソフトウェアのリスト、および/またはアプリケーションの完全性、および/またはオペレーティングシステムの完全性、および/または医療アプリケーションのアップグレードバージョンの完全性を少なくともブート時に調べるために使用されるデータである、請求項37に記載のアセンブリ。
  40. 第2のノード(3)は、別の医療ノード(1、7)と対にされる別のセキュリティトークン(4、6、8)を接続するための他の接続手段を含む、請求項1に記載のアセンブリ。
  41. 前記少なくとも1つの医療ノード(1、7)は、暗号化するための、かつ/または暗号化データを復号するための暗号化手段を含む、請求項1に記載のアセンブリ。
  42. 第2のノード(3)は暗号化するための、かつ/または前記暗号化データを復号するための暗号化手段を含み、少なくとも1つのセキュリティトークン(4、6、8)に記憶された前記暗号化鍵は、無線通信によって第2のノード(3)にアップロードされる、請求項1〜41のいずれか1項に記載のアセンブリ。
  43. 前記少なくとも1つの暗号鍵は、少なくとも1つのセキュリティトークン(4、6、8)のメモリ内に秘密に保持され、少なくとも1つのセキュリティトークン(4、6、8)は、暗号化するための、かつ/または前記暗号化データを復号するための暗号化手段を含む、請求項1に記載のアセンブリ。
  44. 前記少なくとも1つのセキュリティトークン(4、6、8)は、少なくとも1つの暗号鍵を生成する鍵生成器が動作中であるプロセッサを含む、請求項1〜43のいずれか1項に記載のアセンブリ。
  45. 前記少なくとも1つの医療ノード(1、7)は、少なくとも1つの暗号鍵を生成する鍵生成器が動作中であるプロセッサを含む、請求項1〜44のいずれか1項に記載のアセンブリ。
  46. トークン(4、6、8)を一方が含む2つの別個のノード間の少なくとも1つの通信を保護するためのセッション鍵を生成する方法であって:
    2つの別個のノード:すなわち1および2を提供する工程であって、前記ノード1は、暗号化鍵1、鍵生成器、および暗号化エンジンを含むことができ、前記ノード2は、暗号化鍵2、鍵生成器、および暗号化エンジンを含むことができる前記トークン(4、6、8)に接続する手段を含む、工程と、
    第1のノードで第1の通信を開始する工程と、
    第1のノードで値V1を生成する工程と、
    鍵1(任意選択)を用いて前記値V1を暗号化する工程と、
    前記(暗号化)値V1を第2のノード(3)まで伝送する工程と、
    前記(暗号化)値V1をトークン(4、6、8)まで伝送する工程と、
    鍵2(任意選択)を用いて前記値V1を復号する工程と、
    トークン(4、6、8)で値V2を生成する工程と、
    値V1およびV2を使用して、トークン(4、6、8)でセッション鍵Ks1を計算する工程と、
    鍵2(任意選択)を用いて前記値V2を暗号化する工程と、
    前記(暗号化)値V2を第2のノード(3)まで伝送する工程と、
    前記(暗号化)値V2を第1のノードまで伝送する工程と、
    鍵1(任意選択)を用いて前記値V2を復号する工程と、
    値V1およびV2を使用して、第1のノードでセッション鍵Ks2を計算する工程と、を含む前記方法。
  47. セッション鍵Ks1およびKs2は同一であり、かつ暗号化データを安全に認証および交換することを可能にする、請求項46に記載の方法。
  48. 第1のノードは医療デバイスまたは医療サーバであり、第2のノード(3)は遠隔制御装置である、請求項46に記載の方法。
  49. トークン(4、6、8)はMCU、スマートカード、またはSDカード、またはSIMカードである、請求項46に記載の方法。
  50. 暗号化鍵は非対称鍵または対称鍵である、請求項46に記載の方法。
  51. 暗号化鍵1は公開鍵であり、暗号化鍵2は秘密鍵である、請求項46に記載の方法。
  52. 第1のノードおよび/または第2のノード(3)は、通信が現在安全に行われていることを視覚、音声表示、またはバイブレータによって患者に知らせる、請求項46に記載の方法。
  53. 上記で開示されたノードとそのセキュリティトークン(4、6、8)の間で秘密を共有する方法であって、ペアリングプロセスが:
    トークン(4、6、8)および医療ノード(1、7)を提供する工程と、
    前記トークン(4、6、8)と前記医療ノード(1、7)の間の通信を可能にする手段を提供する工程と、
    トークン(4、6、8)と医療ノード(1、7)の間で少なくとも1つの秘密を共有する工程と、
    を含む前記方法。
  54. 前記トークン(4、6、8)と前記医療ノード(1、7)の間の通信を可能にする手段はペアリングデバイスである、請求項53に記載の方法。
  55. 前記秘密はトークン(4、6、8)に含まれる生成器で生成される、請求項53に記載の方法。
  56. 前記生成器は、トークン(4、6、8)のメモリ(10)に記憶される秘密鍵と、有線接続によって医療ノード(1、7)に送信される関連づけられた公開鍵とを生成する、請求項55に記載の方法。
  57. 前記生成器は、トークン(4、6、8)に接続されている別のノードと医療ノード(1、7)を対にするためのペアリングデータを生成する、請求項55に記載の方法。
  58. 請求項1で開示されたアセンブリのペアリング方法であって:
    少なくとも1つの医療ノード(1、7)、第2のノード(3)、および少なくとも1つの医療ノード(1、7)とすでに対にされている少なくとも1つのセキュリティトークン(4、6、8)を提供する工程と、
    少なくとも1つのセキュリティトークン(4、6、8)を前記第2のノード(3)の中にプラグ接続する工程と、
    前記セキュリティトークン(4、6、8)のメモリ(10)および少なくとも1つの医療ノード(1、7)のメモリに含まれるペアリングデータを使用して、少なくとも一時的に少なくとも1つの医療ノード(1、7)を前記第2のノード(3)とペアリングする工程と、
    を含む前記方法。
  59. 2つの別個のノードとセキュリティトークン(4、6、8)と使用者との間のループバック方法であって:
    第2のノード(3)から第1のノード(1、7)へ送信されたコマンドを受信する工程と、
    前記コマンドを第1のノードのメモリに記憶する工程と、
    前記コマンドを第1のノードで暗号化鍵Aを使用して暗号化する工程と、
    前記暗号化コマンドを第2のノード(3)に送信する工程と、
    第2のノード(3)で前記暗号化コマンドを受信する工程と、
    前記暗号化コマンドをセキュリティトークン(4、6、8)へ送信する工程と、
    セキュリティトークン(4、6、8)で前記暗号化コマンドを受信する工程と、
    前記暗号化コマンドをセキュリティトークン(4、6、8)で暗号化鍵Bを使用して復号する工程と、
    前記コマンドを第2のノード(3)の表示手段によって表示する工程と、
    使用者がコマンドを調べる工程と、
    使用者が前記コマンドを第2のノード(3)またはセキュリティトークン(4、6、8)(セキュリティトークンが妥当性検査ボタンなどの入力手段を含む外部MCUである場合)の入力手段を使用して検査する工程と、
    前記妥当性検査を第1のノードへ送信してコマンドを実行する工程と、
    を含む前記方法。
  60. 前記暗号化鍵AとBは同一である(対称鍵)、または関連づけられている(非対称鍵)、請求項59に記載の方法。
  61. 呼掛け生成、安全な手段および/または状態表示をさらに含む、請求項59に記載の方法。
  62. 安全な手段は、コマンドを検査するために再描画、入力、またはコピーされなければならないPINコード、記号、絵、言葉、形状である、請求項61に記載の方法。
  63. 安全な手段は、指紋リーダまたは指紋網膜である、請求項61に記載の方法。
  64. セキュリティトークン(4、6、8)は、検査されるコマンドを表示するための表示手段を含む、請求項59に記載の方法。
  65. セキュリティトークン(4、6、8)は、コマンドを検査するための入力手段を含む、請求項59に記載の方法。
  66. 第2のノード(3)は、携帯電話操作者のSIMカードを接続する接続手段と、セキュリティノードを接続する接続手段とを含む携帯電話である、請求項13に記載のアセンブリ。
  67. 前記第2のノード(3)はまた、BGM、またはCGMへのリンクでもある、請求項66に記載のアセンブリ。
  68. 第2のノード(3)は、SIMが前記第2のノード(3)に接続されている場合、携帯電話として使用可能である、請求項67に開示のアセンブリの使用。
  69. 第2のノード(3)は、セキュリティトークン(4、6、8)が前記第2のノード(3)に接続されている場合、医療ノード(1、7)を操作するための遠隔制御装置として使用可能である、請求項67に開示のアセンブリの使用。
  70. SIMカードおよびセキュリティトークン(4、6、8)が第2のノード(3)に接続されていない場合、第2のノード(3)は、BGM、またはCGMへのリンクとしてのみ使用可能である、請求項67に開示のアセンブリの使用。
  71. SIMカードおよびセキュリティトークン(4、6、8)が第2のノード(3)に接続されている場合、第2のノード(3)は、BGM、携帯電話および遠隔制御装置として使用可能である、請求項67に開示のアセンブリの使用。
JP2015521119A 2012-07-09 2013-07-09 医療デバイスとその遠隔デバイスの間の保護された通信 Expired - Fee Related JP6437433B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12175498.0 2012-07-09
EP12175498 2012-07-09
PCT/IB2013/055626 WO2014009876A2 (en) 2012-07-09 2013-07-09 Communication secured between a medical device and its remote device

Publications (3)

Publication Number Publication Date
JP2015531184A true JP2015531184A (ja) 2015-10-29
JP2015531184A5 JP2015531184A5 (ja) 2016-08-12
JP6437433B2 JP6437433B2 (ja) 2018-12-12

Family

ID=49117912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015521119A Expired - Fee Related JP6437433B2 (ja) 2012-07-09 2013-07-09 医療デバイスとその遠隔デバイスの間の保護された通信

Country Status (8)

Country Link
US (1) US20150207626A1 (ja)
EP (1) EP2870556A2 (ja)
JP (1) JP6437433B2 (ja)
CN (1) CN104641375B (ja)
AU (1) AU2013288269B2 (ja)
CA (1) CA2878363A1 (ja)
IN (1) IN2015DN00854A (ja)
WO (1) WO2014009876A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020527420A (ja) * 2017-07-18 2020-09-10 ベクトン・ディキンソン・アンド・カンパニーBecton, Dickinson And Company 投与システム、投与装置、および医療機器の状態を知らせるための通知装置

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10089443B2 (en) 2012-05-15 2018-10-02 Baxter International Inc. Home medical device systems and methods for therapy prescription and tracking, servicing and inventory
CA2814657A1 (en) 2010-10-12 2012-04-19 Kevin J. Tanis Medical device
US9787568B2 (en) * 2012-11-05 2017-10-10 Cercacor Laboratories, Inc. Physiological test credit method
US9737649B2 (en) 2013-03-14 2017-08-22 Smith & Nephew, Inc. Systems and methods for applying reduced pressure therapy
EP4159253A1 (en) 2013-03-14 2023-04-05 Smith & Nephew, Inc Systems and methods for applying reduced pressure therapy
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
AU2014306876B2 (en) 2013-08-13 2019-05-02 Smith & Nephew, Inc. Systems and methods for applying reduced pressure therapy
EP3100189A1 (fr) 2014-01-28 2016-12-07 Debiotech S.A. Dispositif de commande avec recommandation
US10019564B2 (en) * 2014-03-28 2018-07-10 Cryptography Research, Inc. Authentication of a device
US9721409B2 (en) * 2014-05-02 2017-08-01 Qualcomm Incorporated Biometrics for user identification in mobile health systems
EP3624475B1 (en) 2014-05-21 2024-03-20 Abbott Diabetes Care, Inc. Management of multiple devices within an analyte monitoring environment
CA2954503A1 (en) 2014-07-07 2016-01-14 Ascensia Diabetes Care Holdings Ag Methods and apparatus for improved device pairing with a dual use piezoelectric acoustic component and vibration sensor
WO2016030836A1 (en) 2014-08-26 2016-03-03 Debiotech S.A. Detection of an infusion anomaly
DE102014216887B3 (de) * 2014-08-26 2015-11-05 Siemens Aktiengesellschaft Verfahren zur Anbindung eines mobilen Bedienterminals an ein zu bedienendes Gerät
US9680816B2 (en) * 2014-10-14 2017-06-13 Cisco Technology, Inc. Attesting authenticity of infrastructure modules
US20170216523A1 (en) 2014-10-17 2017-08-03 Debiotech S.A. Secure Bolus-Control System
EP3032443A1 (en) * 2014-12-08 2016-06-15 Roche Diagnostics GmbH Pairing of a medical apparatus with a control unit
WO2016100200A1 (en) * 2014-12-18 2016-06-23 Afero, Inc. Internet of things platforms, apparatuses, and methods
CN104751037B (zh) * 2015-04-10 2018-06-12 无锡海斯凯尔医学技术有限公司 医疗检测设备的使用控制方法、系统和医疗检测设备
PL3101571T3 (pl) * 2015-06-03 2018-09-28 F. Hoffmann-La Roche Ag System pomiarowy do mierzenia stężenia analitu za pomocą podskórnego czujnika analitu
US10136246B2 (en) * 2015-07-21 2018-11-20 Vitanet Japan, Inc. Selective pairing of wireless devices using shared keys
AU2015411394B2 (en) 2015-10-07 2021-07-08 Smith & Nephew, Inc. Systems and methods for applying reduced pressure therapy
US10231123B2 (en) * 2015-12-07 2019-03-12 GM Global Technology Operations LLC Bluetooth low energy (BLE) communication between a mobile device and a vehicle
CN107113171B (zh) 2015-12-10 2019-03-29 深圳市大疆创新科技有限公司 安全通信系统、方法及装置
US20170200324A1 (en) * 2016-01-11 2017-07-13 Blackberry Limited Device, method and system for collecting user-based insurance data in vehicles
US10306472B2 (en) * 2016-01-28 2019-05-28 Cochlear Limited Secure authorization in an implantable medical device system
US9980140B1 (en) * 2016-02-11 2018-05-22 Bigfoot Biomedical, Inc. Secure communication architecture for medical devices
JP2017192117A (ja) * 2016-04-15 2017-10-19 富士通株式会社 センサ装置、情報収集システム、および情報収集方法
GB201607981D0 (en) 2016-05-06 2016-06-22 Vicentra B V Communication handling
GB201607973D0 (en) * 2016-05-06 2016-06-22 Vicentra B V Communication protocol for an electronic system
CA3023932A1 (en) 2016-05-13 2017-11-16 Smith & Nephew, Inc. Automatic wound coupling detection in negative pressure wound therapy systems
US10552138B2 (en) * 2016-06-12 2020-02-04 Intel Corporation Technologies for secure software update using bundles and merkle signatures
AU2017300273B2 (en) 2016-07-20 2019-08-01 Dexcom, Inc. System and method for wireless communication of glucose data
US11219713B2 (en) * 2016-09-27 2022-01-11 Medtrum Technologies, Inc. Delivery safety ensuring method and wearable medical system using the method
US11369730B2 (en) 2016-09-29 2022-06-28 Smith & Nephew, Inc. Construction and protection of components in negative pressure wound therapy systems
KR20180041532A (ko) * 2016-10-14 2018-04-24 삼성전자주식회사 전자 장치들 간 연결 방법 및 장치
US9949065B1 (en) 2016-12-30 2018-04-17 Capital One Services, Llc System and method for automatic bluetooth pairing
CN107693937B (zh) * 2017-01-18 2021-04-02 浙江诺尔康神经电子科技股份有限公司 一种可穿戴式人工耳蜗系统
WO2018162318A1 (en) * 2017-03-09 2018-09-13 Roche Diabetes Care Gmbh Controlling user access to a medical system
USD853583S1 (en) 2017-03-29 2019-07-09 Becton, Dickinson And Company Hand-held device housing
US10623188B2 (en) * 2017-04-26 2020-04-14 Fresenius Medical Care Holdings, Inc. Securely distributing medical prescriptions
JP7278220B2 (ja) 2017-04-28 2023-05-19 マシモ・コーポレイション スポットチェック測定システム
US10621365B1 (en) * 2017-05-22 2020-04-14 Architecture Technology Corporation Obfuscation for high-performance computing systems
WO2019014141A1 (en) 2017-07-10 2019-01-17 Smith & Nephew, Inc. SYSTEMS AND METHODS FOR INTERACTING DIRECTLY WITH A COMMUNICATION MODULE OF A WOUND PROCESSING APPARATUS
US11153076B2 (en) * 2017-07-17 2021-10-19 Thirdwayv, Inc. Secure communication for medical devices
US20190122757A1 (en) * 2017-10-22 2019-04-25 Rui Lin Method and device for software-defined therapy
US20190372977A1 (en) * 2018-05-30 2019-12-05 Indoor Robotics Ltd. System and a method for granting ad-hoc access and controlling privileges to physical devices
US11642183B2 (en) * 2018-06-06 2023-05-09 Verily Life Sciences Llc Systems and methods for fleet management of robotic surgical systems
CN109413643A (zh) * 2018-10-10 2019-03-01 湖北三好电子有限公司 无线医疗网关装置及系统
GB201820668D0 (en) 2018-12-19 2019-01-30 Smith & Nephew Inc Systems and methods for delivering prescribed wound therapy
WO2020129008A1 (fr) 2018-12-21 2020-06-25 Debiotech S.A. Dispositif médical sécurisé
US11387983B2 (en) 2019-03-25 2022-07-12 Micron Technology, Inc. Secure medical apparatus communication
EP3716567A1 (de) * 2019-03-28 2020-09-30 Tecpharma Licensing AG Sichere kommunikationsverbindung zwischen medizinischen geräten einer datenmanagementvorrichtung
US11122079B1 (en) 2019-04-08 2021-09-14 Architecture Technology Corporation Obfuscation for high-performance computing systems
US20200382950A1 (en) * 2019-05-31 2020-12-03 Apple Inc. Temporary pairing for wireless devices
US11957876B2 (en) 2019-07-16 2024-04-16 Beta Bionics, Inc. Glucose control system with automated backup therapy protocol generation
WO2021011697A1 (en) 2019-07-16 2021-01-21 Beta Bionics, Inc. Blood glucose control system
US20210044966A1 (en) * 2019-08-06 2021-02-11 Eagle Technology, Llc Wireless communication system with accessory device pair and related devices and methods
EP3809733A1 (en) * 2019-10-17 2021-04-21 TRUMPF Medizin Systeme GmbH + Co. KG System comprising a medical apparatus and a remote control device, method for pairing the remote control device and the medical apparatus, and method for operating the medical apparatus
CN114902608A (zh) * 2019-12-19 2022-08-12 甘布罗伦迪亚股份公司 医疗设备、认证服务器和用于授权用户经由设备用户界面访问设备的方法
EP4093460A4 (en) * 2020-01-21 2023-09-27 Medtrum Technologies Inc. MEDICAL DEVICE WITH SAFETY VERIFICATION AND METHOD FOR SAFETY VERIFICATION THEREOF
AU2020429468A1 (en) * 2020-02-20 2022-09-01 Dexcom, Inc. Machine learning in an artificial pancreas
CN115428418A (zh) 2020-03-24 2022-12-02 巴克斯特国际公司 用于来自医疗装置的数据的传输的数字通信模块
CN112650091B (zh) * 2020-09-25 2022-03-04 恒烁半导体(合肥)股份有限公司 一种mcu芯片接口电路
US20210012893A1 (en) * 2020-09-28 2021-01-14 Uih America, Inc. Systems and methods for device control
US20220157455A1 (en) * 2020-11-17 2022-05-19 The Regents Of The University Of California Device-insulated monitoring of patient condition
US11610661B2 (en) 2020-12-07 2023-03-21 Beta Bionics, Inc. Ambulatory medicament pump with safe access control
CN114679293A (zh) * 2021-06-15 2022-06-28 腾讯云计算(北京)有限责任公司 基于零信任安全的访问控制方法、设备及存储介质
CN114172733B (zh) * 2021-12-10 2024-04-05 中科计算技术西部研究院 基于插拔式加密终端的医疗样本数据加密传输方法
CN115844351B (zh) * 2022-12-01 2023-07-04 来邦科技股份公司 基于物联网技术的具有数据采集传输功能的医疗护理系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003023433A (ja) * 2001-07-09 2003-01-24 Sony Corp 無線伝送システム、無線伝送装置、無線伝送装置認証方法、および認証プログラム
JP2007524312A (ja) * 2004-02-26 2007-08-23 ノボ・ノルデイスク・エー/エス 無線通信デバイスの安全なペアリングのための方法及びシステム
JP2009124429A (ja) * 2007-11-14 2009-06-04 Panasonic Corp 通信システム、通信端末装置、及びデータ転送方法
JP2009530880A (ja) * 2006-03-13 2009-08-27 ノボ・ノルデイスク・エー/エス 複合通信手段を使用した電子装置の安全なペアリング
JP2010507928A (ja) * 2006-08-18 2010-03-11 メドトロニック,インコーポレイテッド セキュアテレメトリックリンク
JP2010510586A (ja) * 2006-11-17 2010-04-02 メドトロニック ミニメド インコーポレイテッド 消費者電子デバイスを使用する糖尿病管理のためのシステムおよび方法
JP2011521581A (ja) * 2008-05-19 2011-07-21 キネテイツク・リミテツド 可動鍵装置を伴う量子鍵配送

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5602917A (en) * 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
US20020103675A1 (en) * 1999-11-29 2002-08-01 John Vanelli Apparatus and method for providing consolidated medical information
GB0020416D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Trusted system
DE10137152A1 (de) * 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
FI111434B (fi) * 2001-10-10 2003-07-15 Nokia Corp Menetelmä valmistajakohtaisten tietojen esittämiseksi SIM-kortilla
SG105005A1 (en) * 2002-06-12 2004-07-30 Contraves Ag Device for firearms and firearm
US7831828B2 (en) * 2004-03-15 2010-11-09 Cardiac Pacemakers, Inc. System and method for securely authenticating a data exchange session with an implantable medical device
US7930543B2 (en) 2006-08-18 2011-04-19 Medtronic, Inc. Secure telemetric link
US9996669B2 (en) * 2006-12-06 2018-06-12 Medtronic, Inc. Intelligent discovery of medical devices by a programming system
WO2008070069A1 (en) * 2006-12-06 2008-06-12 Medtronic, Inc. Programming a medical device with a general purpose instrument
FR2910266B1 (fr) * 2006-12-21 2009-03-06 Trixell Sas Soc Par Actions Si Systeme radiologique numerique et procede de mise en oeuvre du systeme radiologique
US8768251B2 (en) * 2007-05-17 2014-07-01 Abbott Medical Optics Inc. Exclusive pairing technique for Bluetooth compliant medical devices
US8395498B2 (en) * 2007-08-31 2013-03-12 Cardiac Pacemakers, Inc. Wireless patient communicator employing security information management
US8627079B2 (en) * 2007-11-01 2014-01-07 Infineon Technologies Ag Method and system for controlling a device
US8316400B1 (en) * 2008-07-03 2012-11-20 Prime Research Alliance E., Inc. Method and system for transfer of subscription media
US20100045425A1 (en) 2008-08-21 2010-02-25 Chivallier M Laurent data transmission of sensors
US8879994B2 (en) * 2009-10-02 2014-11-04 Blackberry Limited Methods and devices for facilitating Bluetooth pairing using a camera as a barcode scanner
US8341710B2 (en) * 2009-12-14 2012-12-25 Verizon Patent And Licensing, Inc. Ubiquitous webtoken
WO2011161577A1 (fr) * 2010-06-25 2011-12-29 Debiotech S.A. Système de saisie et d'affichage de données

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003023433A (ja) * 2001-07-09 2003-01-24 Sony Corp 無線伝送システム、無線伝送装置、無線伝送装置認証方法、および認証プログラム
JP2007524312A (ja) * 2004-02-26 2007-08-23 ノボ・ノルデイスク・エー/エス 無線通信デバイスの安全なペアリングのための方法及びシステム
JP2009530880A (ja) * 2006-03-13 2009-08-27 ノボ・ノルデイスク・エー/エス 複合通信手段を使用した電子装置の安全なペアリング
JP2010507928A (ja) * 2006-08-18 2010-03-11 メドトロニック,インコーポレイテッド セキュアテレメトリックリンク
JP2010510586A (ja) * 2006-11-17 2010-04-02 メドトロニック ミニメド インコーポレイテッド 消費者電子デバイスを使用する糖尿病管理のためのシステムおよび方法
JP2009124429A (ja) * 2007-11-14 2009-06-04 Panasonic Corp 通信システム、通信端末装置、及びデータ転送方法
JP2011521581A (ja) * 2008-05-19 2011-07-21 キネテイツク・リミテツド 可動鍵装置を伴う量子鍵配送

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
岡本 龍明 ほか, シリーズ/情報科学の数学 現代暗号, vol. 初版第2刷, JPN6017018228, 30 June 1998 (1998-06-30), JP, pages 202, ISSN: 0003562250 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020527420A (ja) * 2017-07-18 2020-09-10 ベクトン・ディキンソン・アンド・カンパニーBecton, Dickinson And Company 投与システム、投与装置、および医療機器の状態を知らせるための通知装置
US11666704B2 (en) 2017-07-18 2023-06-06 Becton, Dickinson And Company Administration system, delivery device, and notification device for communicating status of a medical device
JP7295087B2 (ja) 2017-07-18 2023-06-20 ベクトン・ディキンソン・アンド・カンパニー 投与システム、投与装置、および医療機器の状態を知らせるための通知装置

Also Published As

Publication number Publication date
CN104641375B (zh) 2018-01-02
AU2013288269B2 (en) 2018-12-13
IN2015DN00854A (ja) 2015-06-12
EP2870556A2 (en) 2015-05-13
JP6437433B2 (ja) 2018-12-12
AU2013288269A1 (en) 2015-02-19
CA2878363A1 (en) 2014-01-16
WO2014009876A2 (en) 2014-01-16
WO2014009876A3 (en) 2014-12-04
US20150207626A1 (en) 2015-07-23
CN104641375A (zh) 2015-05-20

Similar Documents

Publication Publication Date Title
JP6437433B2 (ja) 医療デバイスとその遠隔デバイスの間の保護された通信
JP6284882B2 (ja) 医療用デバイスとその遠隔デバイスの間のセキュアな通信
Classen et al. Anatomy of a vulnerable fitness tracking system: Dissecting the fitbit cloud, app, and firmware
TWI674533B (zh) 授權將於目標計算裝置上執行之操作的設備
ES2812541T3 (es) Aparato de autenticación con interfaz Bluetooth
TWI489315B (zh) 用於電子裝置之暫時安全開機流程之系統與方法
TWI662432B (zh) 行動通信裝置及其操作方法
ES2739896T3 (es) Acceso seguro a datos de un dispositivo
CN113014539B (zh) 一种物联网设备安全保护系统及方法
TW201539241A (zh) 對稱式金鑰與信任鏈
CN113014444B (zh) 一种物联网设备生产测试系统及安全保护方法
US20210320790A1 (en) Terminal registration system and terminal registration method
KR102436485B1 (ko) 전자 장치 및 전자 장치에서 보안 운영체제 기반 데이터 송수신 방법
KR101566141B1 (ko) 서명정보를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법
KR101518689B1 (ko) 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법
CN107077568A (zh) 对称密钥和信任链
US20230108034A1 (en) Method and System for Secure Interoperability between Medical Devices
CN111125705B (zh) 一种能力开放方法及装置
JP2007179212A (ja) ログイン認証システム
Papadamou et al. Ensuring the authenticity and fidelity of captured photos using trusted execution and mobile application licensing capabilities
TWI633231B (zh) Smart lock and smart lock control method
CN117668936A (zh) 数据处理方法及相关装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160621

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170523

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180313

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180613

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181030

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181114

R150 Certificate of patent or registration of utility model

Ref document number: 6437433

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees