JP2022083988A - インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信 - Google Patents

インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信 Download PDF

Info

Publication number
JP2022083988A
JP2022083988A JP2021184837A JP2021184837A JP2022083988A JP 2022083988 A JP2022083988 A JP 2022083988A JP 2021184837 A JP2021184837 A JP 2021184837A JP 2021184837 A JP2021184837 A JP 2021184837A JP 2022083988 A JP2022083988 A JP 2022083988A
Authority
JP
Japan
Prior art keywords
biomedical device
implantable biomedical
internet
configuration data
gatekeeper
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021184837A
Other languages
English (en)
Inventor
ディー. マニカ ヤシーンダー
D MANICKA Yatheendhar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Manicka Institute LLC
Original Assignee
Manicka Institute LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Manicka Institute LLC filed Critical Manicka Institute LLC
Publication of JP2022083988A publication Critical patent/JP2022083988A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/18Applying electric currents by contact electrodes
    • A61N1/32Applying electric currents by contact electrodes alternating or intermittent currents
    • A61N1/36Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
    • A61N1/372Arrangements in connection with the implantation of stimulators
    • A61N1/37211Means for communicating with stimulators
    • A61N1/37252Details of algorithms or data aspects of communication system, e.g. handshaking, transmitting specific data or segmenting data
    • A61N1/37254Pacemaker or defibrillator security, e.g. to prevent or inhibit programming alterations by hackers or unauthorised individuals
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/18Applying electric currents by contact electrodes
    • A61N1/32Applying electric currents by contact electrodes alternating or intermittent currents
    • A61N1/36Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
    • A61N1/372Arrangements in connection with the implantation of stimulators
    • A61N1/37211Means for communicating with stimulators
    • A61N1/37252Details of algorithms or data aspects of communication system, e.g. handshaking, transmitting specific data or segmenting data
    • A61N1/37282Details of algorithms or data aspects of communication system, e.g. handshaking, transmitting specific data or segmenting data characterised by communication with experts in remote locations using a network
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/40ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management of medical equipment or devices, e.g. scheduling maintenance or upgrades
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/18Applying electric currents by contact electrodes
    • A61N1/32Applying electric currents by contact electrodes alternating or intermittent currents
    • A61N1/36Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
    • A61N1/372Arrangements in connection with the implantation of stimulators
    • A61N1/37211Means for communicating with stimulators
    • A61N1/37252Details of algorithms or data aspects of communication system, e.g. handshaking, transmitting specific data or segmenting data
    • A61N1/37264Changing the program; Upgrading firmware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Abstract

【課題】リモートのインターネットに接続された装置がインプラント型生体医療機器(IBD)を構成するのを容易にする装置および方法を提供する。【解決手段】インプラント型生体医療機器(IBD)の構成は、IBDの仮想イメージを、それに関連するIPアドレスを有することができるインターネットサイトでホストすることを含む。この仮想イメージは、インターネットを介して、リモートのインターネットに接続された装置から受信した構成データに基づいて更新される。IPアドレスを有することができるインターネットサイトにおけるIBDのための構成データ。このように更新されたIBDの安全性が、更新された仮想イメージに基づいて検証される。その後、IBDの安全性が検証されたことに応答して、構成データが、IPアドレスを有することができるインターネットサイトからインターネットを介してIBDに送信される。【選択図】図5

Description

関連出願の相互参照
本出願は、本出願と同時に出願された以下の米国特許出願に関連する。
1)米国特許出願番号 未確定、代理人整理番号 C729-012027、題名「Antennas for a Subcutaneous Device」、Yatheendhar D. Manickaによる。
2)米国特許出願番号 未確定、代理人整理番号 M999-012028、題名「Secure Communications between an Implantable Biomedical Device and Authorized Parties over the Internet」、Yatheendhar D. Manickaによる。
および、3)米国特許出願番号 未確定、代理人整理番号 M999-012029、題名「Secure Communications between an Implantable Biomedical Device and Authorized Parties over the Internet」、Yatheendhar D. Manickaによる。
上記の引用した米国特許出願および関連する米国特許出願のそれぞれは、参照によってその全体が本明細書に組み込まれる。
さまざまな理由で患者を助けるために、多くの異なるタイプのインプラント型生体医療機器が使用される。幾つかは、例えば、関節置換、レンズ置換、ステントなどのような機械的な目的で使用される。また、他のインプラント型生体医療機器は、データ操作を行うため、電子的な処理機能を備えている。このような「スマート」なインプラント型生体医療機器は、生物学的機能を監視する、及び/又は、インプラント型生体医療機器が置かれたところの患者に治療法を提供する可能性がある。例えば、このような「スマート」なインプラント型生体医療機器には、心臓モニター、ペースメーカー、インプラント型除細動器、および神経刺激装置などがある。これらのインプラント型生体医療機器は、身体の生体計測値を検知でき、これらの生体計測値を診断または治療目的で使用することができる。例えば、このようなインプラント型生体医療機器は、治療目的で、電気刺激および/または薬物を身体に供給することができる。例えば、ペースメーカーは、患者の心拍数を検知し、心臓の鼓動が速すぎるか遅すぎるかを判断し、心臓に電気的な刺激を与えて、心臓の各部屋の鼓動を速めたり遅めたりすることができる。インプラント型除細動器は、患者の心拍数を検知して不整脈を検出し、心拍数を正常化するように患者に電気的なショックを与えることができる。
そのような「スマート」なインプラント型生体医療機器は、検知したバイオメトリック(生体計測)データを外部に伝達し、またそこから様々なデータを受信するように構成することができる。インプラント型生体医療機器への及び/又はインプラント型生体医療機器からのそのようなデータ通信は、様々なリスクをもたらす可能性がある。例えば、検知したバイオメトリックデータには、患者にとってプライベートな情報が含まれている可能性があり、したがって、そのような検知したバイオメトリックデータの通信は、意図されて許可された受信者のみがこの機密データを受信できるように安全であるべきである。さらに、「スマート」なインプラント型生体医療機器に送信された構成データは、再構成後の機器の動作および/または操作に変更をもたらす可能性がある。このような変更は、「スマート」なインプラント型生体医療機器が植え込まれた患者のケアに責任を持つ、許可された人のみが指示すべきである。このような許可された人には、例えば、患者の医師および/またはインプラント型生体医療機器の製造者が含まれる。
装置および関連する方法は、リモートのインターネットに接続された装置がインプラント型生体医療機器を構成するのを容易にするための方法に関するものである。この方法は、インプラント型生体医療機器の仮想イメージを、それに関連するIPアドレスを有することができるインターネットサイトにおいてホストすることを含む。それから、この方法は、IPアドレスを有することができるインターネットサイトによって、およびインターネットを介してリモートのインターネットに接続された装置から、インプラント型生体医療機器のための構成データを受信することにより継続される。この方法は、次に、受信した構成データに基づいてホストされている仮想イメージを更新する。次に、この方法は、更新された仮想イメージに基づいて、インプラント型生体医療機器の安全性を検証する。そして、この方法は、インプラント型生体医療機器の安全性が検証されたことに応答して、インターネットを介して、IPアドレスを有することができるインターネットサイトからインプラント型生体医療機器に構成データを送信する。
いくつかの実施形態は、リモートのインターネットに接続された装置がインプラント型生体医療機器を構成するのを容易にするためのシステムに関するものである。システムは、インターネットを使用して通信するホスティングコンピュータと、コンピュータ可読メモリとを含む。コンピュータ可読メモリには、システムに、インプラント型生体医療機器の仮想イメージを、IPアドレスを有することができるそれに関連したインターネットサイトでホストさせる命令が符号化されている。コンピュータ可読メモリには、システムに、IPアドレスを有することができるインターネットサイトによって、およびインターネットを介してリモートのインターネットに接続された装置から、インプラント型生体医療機器の構成データを受信させる命令がさらに符号化されている。コンピュータ可読メモリには、システムに、受信した構成データに基づいてホストされた仮想イメージを更新させる命令がさらに符号化されている。コンピュータ可読メモリには、システムに、更新された仮想イメージに基づいて、インプラント型生体医療機器の安全性を検証させる命令がさらに符号化されている。コンピュータ可読メモリには、インプラント型生体医療機器の安全性が検証されたことに応答して、システムに、IPアドレスを有することができるインターネットサイトからインターネットを介してインプラント型生体医療機器に構成データを送信させる命令がさらに符号化されている。
インプラント型生体医療機器とリモートエンティティとの間のインターネットプロトコル(IP)による通信を示す概略図。
ゲートキーピング装置とインプラント型生体医療機器とを安全にペアリングするための方法を示すフローチャート。
インプラント型生体医療機器からリモートのインターネットを使用したWebサイトへの通信において安全なゲートキーピング機能を提供するための方法を示すフローチャート。
リモートのインターネットを使用したWebサイトからインプラント型生体医療機器への通信において安全なゲートキーピング機能を提供するための方法を示すフローチャート。
インターネットに接続されたリモートの装置がインプラント型生体医療機器を構成するのを容易にするための方法を示すフローチャート。
装置および関連する方法は、インターネットを介した、インプラント型生体医療機器と様々な許可されたエンティティ(実在の相手)との間の通信に関するものである。これらの装置および関連する方法は、インプラント型生体医療機器とリモートのIPアドレスを持つことができるインターネット上のエンティティとの間の通信を安全にする。インプラント型生体医療機器への、および/または、インプラント型生体医療機器からのこのような通信のためのセキュリティは、例えば、インプラント型生体医療機器の近接ペアリング、方向的安全性、および仮想ミラーリング、などの様々なセキュリティ手段を介して確保される。インプラント型生体医療機器と、インプラント型生体医療機器の製造者やインプラント型生体医療機器が植え込まれた患者の医師など、これらの許可されたIPアドレスを持つことができる様々なエンティティとの間の通信は、ゲートキーピング装置、例えば患者の携帯電話などのペアリングされた近距離通信装置を介して行うことができる。ゲートキーピング装置がインプラント型生体医療機器に近接している場合にのみ、そのような通信の一部が許可される。さらに、インプラント型生体医療機器の更新または再構成などの通信は、患者にとって安全性が高まる(すなわち、インプラント型機器が患者にとってより安全になる)方向のそれら更新のみに制限することができる。さらに、これらの更新および/または再構成は、実際のインプラント型生体医療機器をミラーリングする仮想装置上で最初に実行される。このような更新および/または再構成は、インプラント型生体医療機器に対するこれらの変更における安全性の向上を確保するために、モデル化および/またはシミュレートすることができる。例えば、機器の認証や、公開・非公開の暗号化鍵を用いた符号化、また、イントラネット、バーチャル・プライベート・ネットワーク、ファイアウォールなどを介した一部の通信の制限など、様々な追加の方法を用いて、セキュリティ(安全性)をさらに強化することができる。
図1は、インプラント型生体医療機器とリモートのインターネットを使用したエンティティとの間のインターネットプロトコル(IP)による通信を示す概略図である。図1において、患者10は、皮下に植え込まれたインプラント型生体医療機器12を有している。患者10は、ゲートキーピング装置14を手に持っている。図に示した実施形態では、ゲートキーピング装置14はスマートフォンであるが、ゲートキーピング装置は、例えば、そのようなゲートキーピング機能を実行するために特別に製造された専用のゲートキーピング装置のような、スマートフォンとは異なるものもあり得る。ゲートキーピング装置14は、インプラント型生体医療機器12とインターネットクラウド16との間の通信を手助けするものとして示されている。ゲートキーピング装置14は、図に示した実施形態ではスマートフォンであるため、インターネットクラウド16とゲートキーピング装置14との間の通信は、携帯電話塔18を介して送信される。ゲートキーピング装置14は、ゲートキーピング装置14が、インターネットクラウド16とインプラント型生体医療機器12との間の様々な通信の門番(ゲートキーパー)として動作するため、そのように呼ばれる(すなわち、「ゲートキーピング装置」)。無数の他の装置およびシステムは、例えば、ホスティングサーバ20、医療機器製造者22、およびパーソナルコンピュータ24など、インターネットクラウド16と通信するように構成される。ホスティングサーバ20は、例えば、インターネット上でIPアドレスを有することができるWebサイト26をホスト(提供)するように構成することができる。パーソナルコンピュータ24は、例えば、患者10の医師26が使用することができる。
IPアドレスを持つことができるWebサイト26は、患者10に植え込まれたインプラント型生体医療機器12を正確にミラーリングするように構成された仮想装置30を含む。ホスティングサーバ20は、仮想装置30を使用して、インプラント型生体医療機器12の動作をモデル化またはシミュレーションするように構成される。このようなモデリングは、実際のインプラント型生体医療機器12の更新および/または再構成が実行される前に、インプラント型生体医療機器12の安全な動作を保証するために実行することができる。IPアドレスを有することができるWebサイト26は、患者10に植え込まれた特定のインプラント型生体医療機器であるインプラント型生体医療機器12に関連付けられたIPアドレスを有することができる。いくつかの実施形態では、IPアドレスを有することができるWebサイト26のIPアドレスは、秘密の(例えば、製造者、およびおそらく患者および/または医師によってのみ知られている)静的IPアドレスである。インプラント型生体医療機器12も、秘密の静的IPアドレスを有することができる。ゲートキーピング装置は、ゲートキーピング装置の構成に応じて、静的IPアドレスまたは動的IPアドレスのいずれかを有することができる。
仮想装置30がインプラント型生体医療機器12に関連付けられているので、IPアドレスを有することができるWebサイト26は、インプラント型生体医療機器12と通信する必要がある人々に対して、インプラント型生体医療機器12であるかのように見せることができる。例えば、医師28が患者10のインプラント型生体医療機器12の構成を更新することを望む場合、医師28は、そのような所望の更新された構成を、インプラント型生体医療機器12と関連付けられたWebサイト26に伝えることができる。IPアドレスを有することができるWebサイト26は、次に、仮想装置30のモデリングおよび/またはシミュレーションに基づいて、そのような更新および/または再構成されたインプラント型生体医療機器12の安全性を、将来実際にインプラント型生体医療機器12を更新または再構成するよりも前に検証することができる。このような安全性の検証を受けた上で、IPアドレスを有することができるWebサイト26は、次に、ゲートキーピング装置14を介して実際のインプラント型生体医療機器12に構成データを送信することができる。このようにして、医師28には、IPアドレスを有することができるWebサイト26と通信しているときに、医師28がインプラント型生体医療機器12と通信しているように見える。仮想装置30については、以下の 「仮想イメージ(インプラント型生体医療機器の鏡像の相対物)」と題された部分でより詳細に説明される。
そのような更新および再構成のための安全性の方向は、更新された仮想装置30のシミュレーションに基づいて、IPアドレスを有することができるWebサイト26によって決定され得る。安全性の方向が改善される(すなわち、インプラント型生体医療機器が、更新または再構成の前よりも更新または再構成の後に、より安全な方法で動作する)場合、更新または再構成は、IPアドレスを有することができるWebサイト26からインプラント型生体医療機器12に(例えば、ゲートキーピング装置14を介して)送信される。しかしながら、安全性の方向性が改善されない(すなわち、インプラント型生体医療機器が、更新または再構成の後に、更新または再構成の前よりも安全ではない方法で動作する)場合、更新または再構成は、IPアドレスを有することができるWebサイト26によって送信されない。方向的安全性については、以下の「方向的安全性」と題された部分でより詳細に説明される。ゲートキーピング装置14は、様々な方法およびプロトコルを介して、インプラント型生体医療機器12とインターネットクラウド16との間の通信にセキュリティ(安全性)を提供する。例えば、ゲートキーピング装置14は、以前にインプラント型生体医療機器12とペアリングされている。生体医療機器12は、例えば、ゲートキーピング装置14など、それにペアリングされた装置からは発信されていない、試みられたすべての通信を無視するように構成することができる。インプラント型生体医療機器12と1つまたはいくつかの装置を安全にペアリングすることで、許可のない装置からの不正な通信を防ぐことができる。さらに、インプラント型生体医療機器への、および/または、インプラント型生体医療機器からの通信は、近接要件によって制限することができる。例えば、インプラント型生体医療機器12は、インプラント型生体医療機器12から所定の範囲内にある装置とのみ通信するように構成することができる。インプラント型生体医療機器12への、および/または、インプラント型生体医療機器12からの通信を近接制限する方法については、以下で説明する。
仮想装置30およびゲートキーピング装置14を使用することに加えて、他のセキュリティ手段は、インプラント型生体医療機器12と許可された人との間の通信にさらなる安全性を提供する。例えば、ゲートキーピング装置とIPアドレスを有することができるWebサイト26との間のデータ暗号化は、そのような通信の許可された送信元および送信先を確認および/または検証するために使用することができ、また、望ましくない人物がそのような機密および/または私的なデータを解読することを防止することができる。許可されたエンティティの認証は、インプラント型生体医療機器12と通信する権限を有するエンティティの数を制限するように行うこともできる。このようなゲートキーピングのセキュリティ対策については、以下の「近接ペアリング」と題された部分でさらに説明される。
図2は、ゲートキーピング装置とインプラント型生体医療機器とを安全にペアリングするための方法を示すフローチャートである。図2において、方法32は、ゲートキーピング装置14(図1に示される)のプロセッサの視点から説明される。いくつかの実施形態では、方法32は、インプラント型生体医療機器12が患者10に植え込まれる前または後の時点で実行される。そのような安全なペアリングは、例えば、植え込みが行われる病院で、または植え込みが行われた後に医師のオフィスで行うことができる。方法32は、ステップ34から始まり、同ステップで、ゲートキーピング装置14が患者10と関連付けられる。そのような関連付けは、例えば、患者14のみがゲートキーピング装置14を操作できるような、ゲートキーピング装置14のパスワードまたは指紋による保護操作を含むことができる。ゲートキーピング装置14が患者10と関連付けられた後、方法32はステップ36に進み、同ステップで、通信ソフトウェアが、ゲートキーピング装置14によって受信されるとともに、ゲートキーピング装置14にインストール(導入)される。このような通信ソフトウェアは、インターネットを介してインプラント型生体医療機器10とリモートの許可されたエンティティとの間の通信を容易にするために使用される、通信、符号化、許可の検証、およびその他の動作をサポートする。
ゲートキーピング装置14をそのように構成した後、方法32はステップ38に進み、同ステップで、ゲートキーピング装置14のプロセッサがゲートキーピング装置の場所を(例えば、GPS位置情報システムを介して)決定する。次に、ステップ40において、プロセッサ36は、決定された場所を、ゲートキーピング装置14をインプラント型生体医療機器10とペアリングするための許可された場所または複数の許可された場所と比較する。ステップ40において、決定された場所がペアリングのための許可された場所または複数の許可された場所に対応しない場合には、方法32は終了する。しかしながら、ステップ40において、決定された場所がペアリングのための認可された場所または複数の許可された場所に対応する場合は、ステップ42で、ゲートキーピング装置14は、メディアアクセスコントロール(MAC)アドレスをインプラント型生体医療機器10に送信する。インプラント型生体医療機器10に送信されたMACアドレスは、インプラント型生体医療機器10との通信にゲートキーピング装置14が使用する通信チャネルに対応する。
方法32は、次にステップ44に進み、同ステップで、ゲートキーピング装置14がインプラント型生体医療機器10に関連付けられた一意識別子を受信する。そのような一意識別子は、製造者、医師、または病院によって提供され得るインプラント型生体医療機器12によってブロードキャストされ得る。例えば、そのような一意識別子は、ゲートキーピング装置14のMACアドレスを受信することに応答して、インプラント型生体医療機器10によって送信され得る。いくつかの実施形態では、そのような一意識別子は、ゲートキーピング装置14に手動でキー入力することができ、または何らかの他のソース(例えば、医師28が使用するパーソナルコンピュータ24)から通信チャネルを介してゲートキーピング装置14に送信することができる。方法32は、次にステップ46に進み、同ステップで、ゲートキーピング装置は、インプラント型生体医療機器12に対応するWebサイト26に関連したデータを提供される。そして、ステップ48において、ゲートキーピング装置は、IPアドレスを有することができるWebサイトと通信する。ゲートキーピング装置14は、例えば、公開/非公開の符号化アルゴリズムを用いて通信する。ゲートキーピング装置14は、ゲートキーピング装置14に関連するWebサイト26の情報を送信して、IPアドレスを有することができるWebサイト26が、ゲートキーピング装置14がWebサイト26と通信することを許可されていることを検証できるようにしてもよい。ゲートキーピング装置14は、この時点で、IPアドレスを有することができるWebサイト46とインプラント型生体医療機器12との間の通信のためにゲートキーピング機能を提供するように構成されているため、方法32は終了する。
図3~6では、図1に示したインプラント型生体医療機器12と、様々な許可されたユーザとの間の通信に使用される通信方法について説明する。図3~4では、ゲートキーピング装置14の通信方法について説明する。図5では、リモートのインターネットに接続された装置がインプラント型生体医療機器を構成することを容易にするための方法について説明する。
図3は、インプラント型生体医療機器からリモートのインターネットを使用したWebサイトへの通信において安全なゲートキーピング機能を提供するための方法を示すフローチャートである。図3において、方法50は、ゲートキーピング装置14(図1に示される)のプロセッサの視点から説明される。方法50は、ステップ52から始まり、同ステップで、ゲートキーピング装置14はインターネットを使用したWebサイトからの通信を受信するのを待つ。ステップ52において、リモートのインターネットを使用したWebサイトから通信を受信しない場合、方法50はステップ52にとどまる(または、ステップ52へ戻る)。しかしながら、ステップ52において、ゲートキーピング装置14がリモートのインターネットを使用したWebサイトから通信を受信した場合、ゲートキーピング装置14はステップ54に進む。
ステップ54において、ゲートキーピング装置14は、受信した通信に対応するIPアドレスを、インプラント型生体医療機器12に対応するWebサイトである、IPアドレスを有することができるWebサイト26に対応するIPアドレスと比較する。ステップ54において、ゲートキーピング装置14は、受信した通信が、IPアドレスを有することができるWebサイト26に対応していないIPアドレスからのものであると判断した場合、方法50はステップ52へ戻り、インターネットによる別の通信を待つ。しかしながら、ステップ54において、ゲートキーピング装置14が、受信した通信がIPアドレスを有することができるWebサイト26に対応するIPアドレスからのものであると判断した場合、方法50はステップ56に進む。
ステップ56において、ゲートキーピング装置は、IPアドレスを有することができるWebサイト26によって通信の中で送信された公開鍵およびゲートキーピング装置14の秘密鍵を使用して、受信した通信内容を復号する。通信内容を復号するためにそのような公開鍵および秘密鍵を使用することにより、通信が、IPアドレスを有することができるWebサイト26によって発信され、ゲートキーピング装置14によって受信されることを意図したものであることが保証される。次に、ステップ58において、ゲートキーピング装置14は、インプラント型生体医療機器10によって使用される暗号化アルゴリズムに従って、復号された通信内容を符号化する。次に、ステップ60において、ゲートキーピング装置は、近接試験を行う。近接試験は、ゲートキーピング装置14がインプラント型生体医療機器10から所定の距離内にあるかどうかを判断するものである。このような近接試験については、以下で説明する。ステップ60において、ゲートキーピング装置がインプラント型生体医療機器12に近接していないとゲートキーピング装置が判断した場合、ゲートキーピング装置14がインプラント型生体医療機器12に近接していると判断するまで、方法50はステップ60にとどまる。しかしながら、ステップ60において、ゲートキーピング装置がインプラント型生体医療機器12に近接しているとゲートキーピング装置が判断した場合、方法50はステップ62に進む。
ステップ62において、ゲートキーピング装置14は、符号化された通信内容をインプラント型生体医療機器12に送信する。次に、方法50はステップ64に進み、同ステップで、ゲートキーピング装置14は、インプラント型生体医療機器12からの確認の通信を待つ。ステップ64において、ゲートキーピング装置14が所定の時間内にインプラント型生体医療機器12から確認の通信を受信しない場合、方法50はステップ60へ戻り、ゲートキーピング装置14は再び近接試験を実行する。しかしながら、ステップ64において、ゲートキーピング装置14が所定の時間内にインプラント型生体医療機器12から確認の通信を受信した場合、方法50はステップ66に進み、同ステップで、ゲートキーピング装置14は、確認の通信内容を符号化して、IPアドレスを有することができるWebサイト26に送信する。その後、方法50は、ステップ52へ戻り、インターネットを使用したWebサイトからの別の通信を待つ。
図4は、リモートのインターネットを使用したWebサイトからインプラント型生体医療機器への通信において安全なゲートキーピング機能を提供するための方法を示すフローチャートである。図4において、方法68は、ゲートキーピング装置14(図1に示される)のプロセッサの視点から説明される。方法68は、ステップ70から始まり、同ステップで、ゲートキーピング装置14は、インプラント型生体医療機器12からの通信を受信するのを待つ。ステップ70において、インプラント型生体医療機器12から通信を受信しない場合、方法68は、ステップ70にとどまる(または、ステップ70へ戻る)。しかしながら、ステップ70において、ゲートキーピング装置14がインプラント型生体医療機器12から通信を受信した場合、ゲートキーピング装置14はステップ72に進む。
ステップ72において、ゲートキーピング装置14は、インプラント型生体医療機器12から受信した通信内容を復号する。次に、ステップ74において、ゲートキーピング装置14は、確認をインプラント型生体医療機器12に送信する。方法68は、次にステップ76に進み、同ステップで、ゲートキーピング装置は、受信した通信内容がインプラント型生体医療機器12によって送信されたことの真正性を確認する。このような真正性の確認については、以下でより詳細に説明する。ステップ76において、受信した通信内容の真正性が確認されない場合、方法68は、ステップ70へ戻り、別の通信を待つ。しかしながら、ステップ76において、受信した通信内容の真正性が確認された場合、方法68はステップ78に進み、同ステップで、ゲートキーピング装置14は、ゲートキーピング装置14とIPアドレスを有することができるWebサイト26との間の通信に使用される符号化アルゴリズムを使用して、復号された通信内容を符号化する。次に、ステップ80において、ゲートキーピング装置は、符号化された通信内容をIPアドレスを有することができるWebサイト26に送信する。方法68は、その後ステップ70へ戻り、同ステップで、ゲートキーピング装置は、インプラント型生体医療機器12によって送信される別の通信を待つ。
図5は、インターネットに接続されたリモートの装置がインプラント型生体医療機器を構成するのを容易にするための方法を示すフローチャートである。図5において、方法82は、IPアドレスを有することができるWebサイト26をホストする、ホスティングサーバ20(図1に示される)のプロセッサの視点から説明される。方法82は、ステップ84から始まり、同ステップで、ホスティングサーバ20は、インプラント型生体医療機器12の仮想イメージ30を、それに関連するWebサイト26においてホストする。Webサイト26はIPアドレスを有することができる。インプラント型生体医療機器12のそのような仮想イメージ30は、対応する実際のインプラント型生体医療機器12と同じように動作または操作するように構成することができる。次に、方法82はステップ86に進み、同ステップで、IPアドレスを有することができるWebサイト26が、インターネットを介してリモートのインターネットに接続された装置から、IPアドレスを有することができるWebサイト26におけるインプラント型生体医療機器12のための構成データを受信する。次に、ステップ88において、ホスティングコンピュータ20は、リモートのインターネットに接続された装置から構成データを送信するリモートエンティティの許可を確認する。ステップ88において許可が確認されていない場合、方法82はステップ86に戻り、インプラント型生体医療機器12のための構成データを含む別の通信を受信するのを待つ。
しかしながら、ステップ88において許可が確認された場合、方法82はステップ90に進み、同ステップで、ホスティングサーバ20が仮想イメージ30を更新する。方法82は、次にステップ92に進み、同ステップで、インプラント型生体医療機器12の安全性が判定される。安全性は、更新された仮想イメージ30に基づいて判定される。いくつかの実施形態では、仮想イメージ30のシミュレーションが行われる。このような安全性の判定は、方向的安全性の判定、即ちこのような更新によって、安全性が改善されるのか、または損なわれるのか?を含むことができる。いくつかの実施形態では、方向的安全性が改善される場合にのみ、実際のインプラント型生体医療機器12において更新が許可される。いくつかの実施形態では、実際のインプラント型生体医療機器10で更新が実行されることが許可される前に、後の更新のための待ち時間が必要とされる。ステップ92において、更新の安全性の要件が満たされていない場合、方法82はステップ94に進み、同ステップで、ホスティングサーバ20は仮想イメージ30を更新前の構成に復元し、その後、方法82はステップ86へ戻る。
しかしながら、ステップ92において、更新の安全性の要件が満たされていない場合、方法82はステップ96に進み、同ステップで、ホスティングサーバ20が、インターネットを介してIPアドレスを有することができるWebサイト26からインプラント型生体医療機器12に送信する。このような送信は、IPアドレスを有することができるWebサイト26と、インプラント型生体医療機器12との全ての通信のためのゲートキーパーとして機能するゲートキーピング装置14との間の送信に使用される暗号化方法を介して符号化される。方法82は、その後、ステップ86へ戻り、同ステップで、リモートのインターネットに接続された装置からの別の通信の受信を待つ。
図2~5に対応する方法において記載される様々な符号化、許可、検証、およびその他のセキュリティ対策について、以下でより詳細に説明する。様々な実施形態では、上記の方法32、50、68、および82の1つまたは全てにおいて、より多くの又は少ない動作ステップが用いられる。上記のこれらの方法は、ゲートキーピング装置14のゲートキーピング機能およびホスティングサーバ20のゲートキーピング機能の例示的な実施形態を説明する。ゲートキーピング装置14は、許可されたエンティティのみがデータ(例えば、構成データ)をインプラント型生体医療機器12に送信できることを保証する。同様に、ゲートキーピング装置14は、ゲートキーピング装置が、そのような通信がインプラント型生体医療機器12によって送信されたと判断できる場合にのみ、インプラント型生体医療機器12から受信した通信を中継する。ホスティングサーバ20は、構成の更新の安全性を確保し、そこからのインプラント型生体医療機器への通信を制限する。
近接ペアリング(Proximal Pairing)
近接ペアリングは、インプラント型生体医療機器12とリモートの許可されたエンティティとの間の一部または全ての通信が、インプラント型生体医療機器12と近接してペアリングされているゲートキーピング装置14を介して行われることを要求することによって、高レベルのセキュリティを提供するために使用することができる。ゲートキーピング装置14は、インプラント型生体医療機器12との間の通信を、インプラント型生体医療機器12に近接し、その通信を行うことを許可されているペアリングされた(すなわち、インプラント型生体医療機器とペアリングされた)装置のみに制限することによって、通信にセキュリティを提供することができる。そのような構成されて許可された装置のみが、そして、構成されて許可された装置がインプラント型生体医療機器12に近接している場合にのみ、インプラント型生体医療機器12とリモートの許可されたエンティティとの間のこれらの通信を手助けすることができる。インプラント型生体医療機器12は、例えばゲートキーピング装置14などの対になる近接デバイスとの無線通信の範囲が限定されるように構成することができる。このようにして、そのような対になった近接デバイスは、それが対になっているインプラント型生体医療機器12への及び/又はそこからの通信のゲートキーパーとして動作することができる。通信がそのようなペアになった近接デバイスによって中継されることを要求することによって、そのようなゲートキーピングの役割は、許可されたリモートエンティティによって行われていない、インプラント型生体医療機器12への及び/又はからの通信の試みを阻止することができる。
様々なタイプの装置が、インプラント型生体医療機器12とペアリングを行うことができる。例えば、インプラント型生体医療機器12の製造者は、そのようなゲートキーピングの役割のために特別に設計された補完的なペアリング装置を提供することができる。そのようなゲートキーピング装置のための例示的なペアリング操作を以下に説明する。いくつかの実施形態では、患者10の携帯電話は、これらのゲートキーピング動作を実行するように構成することができる。様々な実施形態において、インプラント型生体医療機器12と、ペアリングされた近接デバイスとの間の通信は、様々なプロトコルを用いて行うことができる。例えば、近接デバイスと皮下インプラント型生体医療機器との間の近距離通信を行う任意のプロトコルを使用することができる。そのような通信プロトコルの幾つかには、Bluetooth(登録商標)、Zigbee(登録商標)、NFC(Near-Field Communication/近距離無線通信)、WiFi(Wide-Field Communication)(登録商標)などが含まれる。これらの様々な通信プロトコルは、インプラント型生体医療機器と近接デバイスとの間の高速で安全なペアリングおよび通信を確保するために様々な方法で使用することができる。例えば、いくつかの実施形態では、NFC通信は、例えば、Bluetoothペアリングを開始することができる。
インプラント型生体医療機器12とゲートキーピング装置14などのゲートキーピング装置との近接ペアリングの様々な方法を実行することができ、ペアリングされる装置の数に対する様々な制限を確立することができる。例えば、制限としての、1つ、または2つの、または限られた少数の装置が、特定のインプラント型生体医療機器とペアになることができる。この1つ又はこれらの少数の装置は、許可されていないエンティティによる他の装置の侵略的なペアリングを防止する安全な方法でペアリングすることができる。このような安全なペアリングは、様々な安全なペアリングプロトコルを使用して達成することができる。例えば、インプラント型生体医療機器12は、限定された及び/又は制御された条件でペアリングされるように構成することができる。そのような限定的および/または制御された条件には、ペアリングが実行される時間を制限すること、ペアリングが実行される場所を制限すること、ペアリング許可装置を使用してペアリングを許可すること、および/または、インプラント型生体医療機器12とペアリングされるデバイス(および、任意のペアリング許可装置)との間にセキュア(安全)な通信を使用することが含まれ得る。
ペアリングの発生が許可される時間は、様々な方法で制限することができる。例えば、インプラント型生体医療機器12のゲートキーピング装置14へのペアリングは、インプラント型生体医療機器の植え込み時に限定することができる。インプラント型生体医療機器12のペアリングのための他の許可される時間は、特定の他のイベントが行われる時間に制限することができる。例えば、病院の受診中および/または医師の予約中に、ペアリングを行うことを許可することができる。病院の受診および/または医師の予約などの状況においては、例えば、医師のペアリングキーおよび/またはペアリング許可装置を使用して装置をペアリングすることができる。ペアリングは、例えば、ソフトウェアキーまたはハードウェアキーとすることができる医師のペアリングキーを受け取ったときに許可され得る。このキーは、ゲートキーピング装置14に伝達され得、それによってペアリングの開始が許可される。
ペアリングが許可される場所は、様々な方法で制限することができる。例えば、インプラント型生体医療機器12とペアリングされる近接デバイスに含まれるGPS位置センサを使用して、ペアリングを制限することができる。ペアリングが許可される所定の数の場所を、ペアリングされる近接デバイスのGPS位置センサによって検出された場所と比較することができる。例えば、インプラント型生体医療機器12が植え込まれた患者10の自宅の住所は、ペアリングが実行できる許可され得る場所とすることができる。他の許可され得るペアリングの場所には、インプラント型生体医療機器12の製造者の場所、インプラント型生体医療機器12を有する患者10の治療が行われる医師のオフィスの場所、および/または、そのようなインプラント型生体医療機器の植え込みが行われる病院の場所が含まれ得る。
いくつかの実施形態では、近接ペアリング通信のセキュリティは、近接検知および/または近接試験を用いてさらに強化することができる。例えば、インプラント型生体医療機器12とゲートキーピング装置14との間の近接性は、近接センサを用いて検知することができる。この近接センサは、インプラント型生体医療機器12のゲートキーピング装置14に対する相対的な近接性を検知することができる。インプラント型生体医療機器12へのおよび/またはインプラント型生体医療機器12からの通信は、ゲートキーピング装置14に対するインプラント型生体医療機器12のそのような相対的近接性が閾値条件を満たす場合にのみ有効にすることができる。例えば、ゲートキーピング装置14がインプラント型生体医療機器12から所定の距離内にある場合、その間の通信が有効にされ得る。このような目的のために、様々なタイプの近接センサを採用することができる。例えば、インプラント型生体医療機器12は、磁石によって生成された磁界、またはゲートキーピング装置14の誘導コイルによって生成された磁界を検知するように構成されたリードスイッチを有し得る。他の実施形態では、ゲートキーピング装置14がインプラント型生体医療機器12の所定の距離内にあるかどうかを判断するために、試みられた無線通信の信号強度を所定の閾値と比較することができる。
いくつかの実施形態では、ペアリングは以下のように起こり得る。インプラント型生体医療機器12が植え込まれる前に、ゲートキーピング装置14とペアリングされる。ゲートキーピング装置14は、インプラント型生体医療機器14の製造者によってプログラムされたゲートキーピングアプリを備える。ゲートキーピングアプリは、ゲートキーピング装置14とインプラント型生体医療機器12との間の通信の秘密暗号化および復号を提供するように構成されている。例えば、いくつかの実施形態では、インプラント型生体医療機器は、インプラント型生体医療機器12の最初の電源投入時に開始される実行タイマーに基づく秘密暗号化方法を使用する。毎分、カウンタが進み、その進んだカウント値に基づいて暗号化が変化する。ゲートキーピング装置14は、このペアリング動作中に最初の電源投入の時間を提供され、そしてゲートキーピング装置14は、カウンタをインプラント型生体医療機器12のカウンタに同期させる。ゲートキーピング装置14は、このようにして、インプラント型生体医療機器12と同期して通信を暗号化および復号することができる。
方向的安全性(Directional Safety)
方向的安全性とは、インプラント型生体医療機器などの装置の構成またはプログラミングの変更によって、安全性が増加するか減少するかを示す用語である。インプラント型生体医療機器の文脈では、「方向的安全性」という用語が指す安全性は、インプラント型生体医療機器が植え込まれた患者の安全性である。インプラント型機器へのいくつかの更新は、安全性を向上させないかもしれないが、患者の医師は、方向的安全性がネガティブ(減少方向)であるにもかかわらず、そのような更新を望むかもしれない。そのような更新は、様々な安全な方法で実行することができる。例えば、医師が、方向的安全性がニュートラルまたはネガティブであるにもかかわらず、インプラント型機器の更新および/または再構成を望む場合、そのような更新および再構成は、ローカルでの設定に制限することができる。遠位のインターネット通信は、そのようなニュートラルまたはネガティブの方向的安全性を持つ更新および/または再構成を行うことを禁止することができる。
さらに、そのようなニュートラルまたはネガティブの方向的安全性を持つ更新および/または再構成を通信する装置は、インプラント型機器の製造者が製造する特別な装置に限定することができる。そのようなニュートラルまたはネガティブの方向的安全性を持つ更新の通信には、秘密符号化スキームを使用することができる。ローカルの安全な通信のみがそのようなニュートラルまたはネガティブの方向的安全性を持つ更新および/または再構成を行うことを確実にするために、プログラミング装置とインプラント型生体医療機器との間の近接要件を要求することができる。
いくつかの実施形態では、インプラント型生体医療機器のファームウェアへのあらゆる変更は、ネガティブの方向的安全性(または、少なくともネガティブの方向的安全性の看過できない可能性)を有すると考えることができる。そのようなファームウェアの変更は、他のニュートラルまたはネガティブの方向的安全性を有する更新および再構成のようなローカルの安全な通信方法に制限することができる。
通信の暗号化(Communication Encryption)
インプラント型生体医療機器12とリモートのエンティティとの間の通信、及び/又は、そのような通信を容易にする様々な中間装置間の通信のデータ暗号化を行うことができる。例えば、インプラント型生体医療機器12の低電力動作を可能にするように、インプラント型生体医療機器12とゲートキーピング装置14との間の通信に対して、比較的簡単な暗号化を実行することができる。いくつかの実施形態では、インプラント型生体医療機器12とゲートキーピング装置14との間の通信は、製造者が考案したが公開されていない秘密の暗号化方法によって暗号化することができる。このような秘密の暗号化方法は、例えばBluetoothチップなどの(1つ以上の)通信デバイスのMAC(Machine Access Control)アドレスを利用することができる。さらに、そのようなMACアドレスを知っているだけでは暗号を解読できないようにするために近距離通信の暗号化にクロックアルゴリズムを用いることができる。
インターネットを使用して操作を実行する、ゲートキーピング装置14や、ホスティングサーバ20などのエンタープライズ向けの装置のような、より高いパワーバジェットを持つ装置には、より電力を必要とする暗号化方法を使用することができる。様々なそのような暗号化方法を、そのようなより高いパワーバジェットを持つ装置間の通信に使用することができる。例えば、ゲートキーピング装置14とホスティングサーバ20などのインターネットを使用したサーバとの間の通信には、公開鍵/秘密鍵による暗号化を用いることができる。
いくつかの実施形態では、そのような公開鍵は、1回または様々な間隔で交換することができる。例えば、ゲートキーピング装置14とリモートのインターネットを使用したサーバとによって行われる通信のために、新たな日ごと、新たな時間ごと、または5分間隔で、ペアの近接デバイスによって新しい秘密鍵が生成され得る。そして、ゲートキーピング装置14は、生成された秘密鍵に基づいて、公開鍵を生成することができる。この公開鍵は、ゲートキーピング装置14によって発信された通信を復号する際に使用するために、ホスティングサーバ20などのリモートのインターネットを使用したサーバに通信することができる。同様に、リモートのインターネットを使用したサーバはまた、秘密鍵と公開鍵の組み合わせを生成し、公開鍵をゲートキーピング装置14に送信することもできる。これらの秘密鍵と公開鍵の組み合わせを頻繁に変更することにより、ハッカーが秘密鍵をハッキングする時間を1日以下に制限することができる。これは、今日の最も強力なコンピュータを用いてそのようなハッキングを行うのに必要とする時間のわずか一部にあたるものである。
デバイス認証(Device Authentication)
インプラント型生体医療機器12とペアリングされる近接デバイスは、認証プロトコルを使用してそれと通信することができる。そのような認証は、様々な安全な認証方法を介して行うことができる。例えば、植え込み時に、製造者の安全なインターネットサイトでのインプラント型生体医療機器12の安全な登録を介して、インプラント型生体医療機器12を患者10と関連付けることができる。登録手順は、例えば、患者10に関する情報およびインプラント型生体医療機器12のシリアル番号を製造者に提供することを含むことができる。いくつかの実施形態では、製造者のWebサイトは、患者10のためのログインIDおよびパスワードの供給を要求することができる。製造者のWebサイトは、インプラント型生体医療機器12および/またはインプラント型生体医療機器12とペアリングされる例えばゲートキーピング装置14などの装置に関する情報を要求することができる。
いくつかの実施形態では、患者10および/またはインプラント型生体医療機器12に関する情報の収集後または収集中に、製造者は、インプラント型生体医療機器12とペアリングされるべきゲートキーピング装置14と通信することができる。このような通信は、様々な態様で行われ得る。例えば、ゲートキーピング装置14が携帯電話である場合、製造者は、テキストメッセージまたは音声メッセージを携帯電話に送信することができる。他の実施形態では、製造者は、ペアリング手順の間にユーザが使用するためのキーコードを表示することができる。例えば、製造者は、患者がペアリング対象の装置に入力するキーコードを表示することができる。そして、このキーコードにより、近接デバイスとインプラント型生体医療機器12とのペアリングが可能になる。いくつかの実施形態では、製造者は、インプラント型生体医療機器12とペアリングされているおよび/またはペアリングされたすべての装置のログを維持することができる。
いくつかの実施形態では、時間同期されたコードを認証および/または暗号化の目的で使用することができる。コードのタイムシーケンスは、例えば、植え込みおよび/またはペアリングの際に同期させることができる。コードシーケンスは、通信の所定の時間において通信されたコードが、コードが通信される装置(例えば、インプラント型生体医療機器12、ゲートキーピング装置14、および/またはホスティングサーバ20)によって予測され得るように、通信する装置間で同期され得る。
仮想イメージ(Virtual Image、インプラント型生体医療機器の鏡像の相対物)
許可されたエンティティ間の通信は、インプラント型生体医療機器12の鏡像の相対物(カウンターパート)である仮想イメージ30を用いて間接的に、またはそのような仮想イメージを用いずに直接的に行うことができる。例えば、インプラント型生体医療機器12のプログラミングの更新は、仮想イメージ30上で最初に実行されることを要求することができる。例えば、医師は、インプラント型生体医療機器12が患者10に対して行う治療スケジュールを変更したいと思うかもしれない。この治療スケジュールの変更は、インプラント型生体医療機器12によって提供されてきた、患者10の状態を示す検知された生体データに対応したものであるかもしれない。仮想イメージ30は、その後、更新された治療スケジュールが特定の安全要件を満たすと判断された場合、更新された治療スケジュールをインプラント型生体医療機器12に送信することができる。
仮想イメージ30は、実際のインプラント型生体医療機器12をミラーリングすることができ、そのような更新された治療スケジュールがプログラムされた後、その仮想イメージ30の動作のシミュレーションが実際のインプラント型生体医療機器12の性能を示すことができるようになっている。任意のプログラミング変更が最初に仮想イメージ30に対して行われるので、そのようなプログラミング変更が実際のインプラント型生体医療機器12に対して行われたときに、実際のインプラント型生体医療機器12が植え込まれた患者10にとってそれが安全であることを保証するように、すべてのそのようなプログラミング変更を精査することができる。仮想イメージ30は、ホスティングコンピュータ20によって、IPアドレスを有することができるWebサイトで管理される。ホスティングコンピュータ20は、電力の制限を受けず、したがって、その務めを遂行するために必要とされる任意の処理能力を有することができる。1つの実施形態では、ホスティングコンピュータ20は、エンタープライズコンピュータであり得る。
そのようなシミュレーションを実行するために典型的に使用されるようなそのエンタープライズコンピュータは、例えば、様々な態様で構成されたインプラント型生体医療機器12のシミュレーションなどの複雑なアルゴリズムを良好に実行できるように、優れた計算能力を有する。これらのシミュレーションは、インプラント型生体医療機器12に対するあらゆる更新および/または再構成の方向的安全性を決定するために使用することができる。そして、エンタープライズコンピュータは、インプラント型生体医療機器12の潜在的な更新および/または再構成のための調停者として機能することができる。例えば、エンタープライズコンピュータは、決定された方向的安全性に基づいて、そのような潜在的な変更を受け入れたり、拒否したりすることができる。その方向的安全性は、そのような潜在的な更新および/または再構成により仮想的に更新された仮想イメージ30の仮想シミュレーションに基づいて決定されたものである。
ホスティングコンピュータ20は、非常に多くの患者に対するインプラント型生体医療機器についてシミュレーションを実行するように構成することができる。例えば、製造者が特定のタイプの全てのインプラント型生体医療機器のファームウェアをアップグレードしたい場合、ホスティングコンピュータ20は、これらの患者に植え込まれたインプラント型生体医療機器に対応する全ての仮想装置に基づいてシミュレーションを実行することができる。そのような多数のシミュレーションに基づいて、製造者は、インプラント型生体医療機器の集団全体で、そのような更新されたファームウェアを進めるかどうかを決定することができる。
ゲートキーピング装置なしの動作(Operation without a Gatekeeping Device)
いくつかの実施形態では、安全な通信は、インプラント型生体医療機器12とインターネットクラウド16との間で直接実行することができる。例えば、インプラント型生体医療機器12は、4Gまたは5Gの携帯電話通信プロトコルを介してインターネットクラウド16と直接通信するように構成することができる。そのようなシステムでは、インプラント型生体医療機器12への及びからの通信は、IPアドレスを有することができるWebサイト26との通信に制限することができる。インプラント型生体医療機器12の静的IPアドレスおよびIPアドレスを有することができるWebサイト26の静的IPアドレスは、通信が許可されている両者間のみで一組の情報として働くように秘密にすることができる。インプラント型生体医療機器12とIPアドレスを有することができるWebサイト26との間のそのような直接の通信にさらなるセキュリティを提供するために、公開鍵/秘密鍵による暗号化を使用することができる。
インプラント型生体医療機器12とIPアドレスを有することができるWebサイト26との間の直接的な通信は、ゲートキーピング装置14を介した間接的な通信に関連する電力コストよりも大きくなる可能性のある電力コストを発生させ得る。そのような電力コストは、インプラント型生体医療機器12の任意の治療機能を実行するとともに、そのような直接的な通信を提供する再充電可能な電池によって提供され得る。インプラント型生体医療機器12の治療機能は中断されるべきではないので、治療機能のために提供される電力は中断されるべきではない。治療機能のための継続的な電力供給を確保するために、いくつかの実施形態では、治療機能のために電力を供給するものと、それとは別の通信を行うためのものといったように別個の電池を備えている。他の実施形態では、単一の再充電式電池を仮想的に分割することができ、その第1の電池区画を治療機能のための電力供給用に確保し、第2の電池区画を通信を行うためのものとして確保する。例えば、第2の電池区画が消耗した状態で通信が予定されている場合、治療機能のために供給するための第1の電池区画に蓄えられているエネルギーを確保するべく、予定されている通信を後の時間枠に再スケジュールすることができる。
そのような直接的な通信に必要となる電力をさらに削減するために、これらの直接的な通信は、限られた時間枠に限定することができる。例えば、インプラント型生体医療機器12は、IPアドレスを有することができるWebサイト26がそれに通信を送信しているかどうかを判断するため、またはIPアドレスを有することができるWebサイト26に通信を送信するために、5分ごとの短時間の時間枠で受信機をウェイクアップ(起動)することができる。IPアドレスを有することができるWebサイト26は、インプラント型生体医療機器12との送信および受信を同期させるように、そのような通信のスケジュールを維持することができる。
他の省電力手段も、そのような直接的な通信を促進し得る。例えば、患者10の体内の深くに植え込まれたインプラント型生体医療機器の場合、そのような深く植え込まれた生体医療機器の通信アンテナは、患者の皮膚層の直下に皮下配置することができる。通信アンテナのそのような配置は、より深く埋め込まれたアンテナに必要とされるよりも、所定の信号強度に対しての電力要求を低くすることができる。このようなアンテナの構成は、2019年3月15日に出願されたYatheendhar D. Manickaによる「Subcutaneous Device for Monitoring and/or Providing Therapies」と題された米国特許出願16/355,236に開示されており、その全体が参照により本明細書に組み込まれる。
本発明を例示的な実施形態を参照して説明してきたが、当業者であれば、本発明の範囲を逸脱することなく、様々な変更を加えたり、その要素に同等のものを代用したりすることができることを理解できるであろう。さらに、本発明の本質的な範囲から逸脱することなく、特定の状況または材料を本発明の教示に適応させるために、多くの変更を行うことができる。したがって、本発明は、開示された特定の実施形態に限定されるものではなく、添付の請求項の範囲内に入るすべての実施形態を含むことを意図している。

Claims (20)

  1. リモートのインターネットに接続された装置がインプラント型生体医療機器を構成するのを容易にするための方法であって、
    IPアドレスを有することができるインターネットサイトであり、かつ前記インプラント型生体医療機器に関連するインターネットサイトにおいて、前記インプラント型生体医療機器の仮想イメージをホストするステップと、
    前記インプラント型生体医療機器のための構成データを、前記IPアドレスを有することができるインターネットサイトによって、及び前記リモートのインターネットに接続された装置から前記インターネットを介して、受信するステップと、
    ホストされた前記仮想イメージを、受信した前記構成データに基づいて更新するステップと、
    前記インプラント型生体医療機器の安全性を、更新された前記仮想イメージに基づいて検証するステップと、
    前記インプラント型生体医療機器の前記安全性が検証されたことに応答して、前記構成データを、前記IPアドレスを有することができるインターネットサイトから前記インターネットを介して前記インプラント型生体医療機器に送信するステップと、
    を含む、方法。
  2. 請求項1に記載の方法において、前記構成データを送信するステップは、
    前記構成データが検証されたことに応答して、前記IPアドレスを有することができるインターネットサイトから前記インターネットを介してゲートキーピング装置に前記構成データを送信するステップと、
    前記ゲートキーピング装置が前記インプラント型生体医療機器の所定の範囲内に在る場合に、受信した前記構成データを前記ゲートキーピング装置から前記インプラント型生体医療機器に無線によって送信するステップと、
    を含む、方法。
  3. 請求項2に記載の方法において、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器内のリードスイッチの駆動範囲の制限によって決定される、方法。
  4. 請求項2に記載の方法において、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器との間の近距離無線通信(NFC:Near Field Communication)の範囲制限によって決定される、方法。
  5. 請求項2に記載の方法において、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器との間のBluetooth通信の範囲制限によって決定される、方法。
  6. 請求項2に記載の方法において、前記構成データを符号化するステップをさらに含む、方法。
  7. 請求項6に記載の方法において、前記構成データは、前記ゲートキーピング装置によって提供されたそれに対応する公開鍵と、さらに、前記IPアドレスを有することができるインターネットサイトによって提供されたそれに対応する秘密鍵と、に基づき、公開鍵/秘密鍵による符号化を用いて符号化される、方法。
  8. 請求項6に記載の方法において、前記構成データは、通信時間と前記インプラント型生体医療機器の初期時間基準との間の時間差に少なくとも部分的に基づいて符号化される、方法。
  9. 請求項1に記載の方法において、
    前記リモートのインターネットに接続された装置から前記構成データを送信するリモートエンティティの許可を確認するステップであって、ホストされた前記仮想イメージの更新は、前記リモートエンティティの前記許可が確認されたことを条件とするステップをさらに含む、方法。
  10. 請求項1に記載の方法において、前記インプラント型生体医療機器の安全性を検証するステップは、更新された前記仮想イメージに基づいて前記インプラント型生体医療機器の方向的安全性を判定するステップであって、前記構成データの送信は前記方向的安全性について安全性が増加する方向となることが判定されたことを条件とするステップを含む、方法。
  11. リモートのインターネットに接続された装置がインプラント型生体医療機器を構成するのを容易にするためのシステムであって、
    前記インターネットと通信するホスティングコンピュータと、
    前記システムに実行させる命令が符号化されたコンピュータ可読メモリであって、
    IPアドレスを有することができるインターネットサイトであり、かつ前記インプラント型生体医療機器に関連するインターネットサイトにおいて、前記インプラント型生体医療機器の仮想イメージをホストする命令と、
    前記インプラント型生体医療機器のための構成データを、前記IPアドレスを有することができるインターネットサイトによって、及び前記リモートのインターネットに接続された装置から前記インターネットを介して、受信する命令と、
    ホストされた前記仮想イメージを、受信した前記構成データに基づいて更新する命令と、
    前記インプラント型生体医療機器の安全性を、更新された前記仮想イメージに基づいて検証する命令と、
    前記インプラント型生体医療機器の前記安全性が検証されたことに応答して、前記構成データを、前記IPアドレスを有することができるインターネットサイトから前記インターネットを介して前記インプラント型生体医療機器に送信する命令と、
    が符号化されたコンピュータ可読メモリと、を備える、システム。
  12. 請求項11に記載のシステムにおいて、前記構成データを送信する命令は、
    前記構成データが検証されたことに応答して、前記IPアドレスを有することができるインターネットサイトから前記インターネットを介してゲートキーピング装置に前記構成データを送信する命令と、
    受信した前記構成データを前記ゲートキーピング装置から前記インプラント型生体医療機器に送信する命令と、
    を含む、システム。
  13. 請求項12に記載のシステムにおいて、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器内のリードスイッチの駆動範囲の制限によって決定される、システム。
  14. 請求項12に記載のシステムにおいて、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器との間の近距離無線通信(NFC:Near Field Communication)の範囲制限によって決定される、システム。
  15. 請求項12に記載のシステムにおいて、前記所定の範囲は、前記ゲートキーピング装置によって生成された磁界による前記インプラント型生体医療機器との間のBluetooth通信の範囲制限によって決定される、システム。
  16. 請求項12に記載のシステムにおいて、前記システムに実行させる命令が符号化された前記コンピュータ可読メモリは、前記構成データを符号化する命令を含む、システム。
  17. 請求項16に記載のシステムにおいて、前記構成データは、前記ゲートキーピング装置によって提供されたそれに対応する公開鍵と、さらに、前記IPアドレスを有することができるインターネットサイトによって提供されたそれに対応する秘密鍵と、に基づき、公開鍵/秘密鍵による符号化を用いて符号化される、システム。
  18. 請求項16に記載のシステムにおいて、前記構成データは、通信時間と前記インプラント型生体医療機器の初期時間基準との間の時間差に少なくとも部分的に基づいて符号化される、システム。
  19. 請求項11に記載のシステムにおいて、
    前記リモートのインターネットに接続された装置から前記構成データを送信するリモートエンティティの許可を確認する命令であって、ホストされた前記仮想イメージの更新は、前記リモートエンティティの前記許可が確認されたことを条件とする命令をさらに含む、システム。
  20. 請求項11に記載のシステムにおいて、前記インプラント型生体医療機器の安全性を検証する命令は、更新された前記仮想イメージに基づいて前記インプラント型生体医療機器の方向的安全性を判定する命令であって、前記構成データの送信は前記方向的安全性について安全性が増加する方向となることが判定されたことを条件とする命令を含む、システム。
JP2021184837A 2020-11-25 2021-11-12 インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信 Pending JP2022083988A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/105,421 US20220161038A1 (en) 2020-11-25 2020-11-25 Secure communications between an implantable biomedical device and authorized parties over the internet
US17/105,421 2020-11-25

Publications (1)

Publication Number Publication Date
JP2022083988A true JP2022083988A (ja) 2022-06-06

Family

ID=78822533

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021184837A Pending JP2022083988A (ja) 2020-11-25 2021-11-12 インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信

Country Status (3)

Country Link
US (1) US20220161038A1 (ja)
EP (1) EP4007332A1 (ja)
JP (1) JP2022083988A (ja)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6497655B1 (en) * 1999-12-17 2002-12-24 Medtronic, Inc. Virtual remote monitor, alert, diagnostics and programming for implantable medical device systems
US20050240246A1 (en) * 1999-12-24 2005-10-27 Medtronic, Inc. Large-scale processing loop for implantable medical devices
US7565197B2 (en) * 2004-06-18 2009-07-21 Medtronic, Inc. Conditional requirements for remote medical device programming
WO2006010166A2 (en) * 2004-07-20 2006-01-26 Medtronic, Inc. Command sequencing and interlocks for a remotely programmable implantable device
US9440084B2 (en) * 2008-07-11 2016-09-13 Medtronic, Inc. Programming posture responsive therapy
US8712541B2 (en) * 2011-01-28 2014-04-29 Medtronic, Inc. Far field telemetry operations between an external device and an implantable medical device during recharge of the implantable medical device via a proximity coupling
US8707040B2 (en) * 2011-10-31 2014-04-22 Neuropace, Inc. Establishing secure communication between an implantable medical device and an external device
US9452293B2 (en) * 2014-06-19 2016-09-27 Inspire Medical Systems, Inc. Hybrid communication channel for communicating with an implantable medical device
US11083852B2 (en) * 2017-12-12 2021-08-10 Bigfoot Biomedical, Inc. Insulin injection assistance systems, methods, and devices
US11259871B2 (en) * 2018-04-26 2022-03-01 Vektor Medical, Inc. Identify ablation pattern for use in an ablation
US11090496B2 (en) * 2018-11-02 2021-08-17 Advanced Neuromodulation Systems, Inc. Implantable medical device using permanent and temporary keys for therapeutic settings and related methods of operation
US20220035900A1 (en) * 2018-12-12 2022-02-03 Biotronik Se & Co. Kg Enhanced Authentication for IMD Communication
US20210343017A1 (en) * 2020-04-30 2021-11-04 Medtronic, Inc. Post operative implantation site monitoring and medical device performance

Also Published As

Publication number Publication date
US20220161038A1 (en) 2022-05-26
EP4007332A1 (en) 2022-06-01

Similar Documents

Publication Publication Date Title
JP7161575B2 (ja) 医療装置と安全な通信のためのプラットフォーム
US11813465B2 (en) Facilitating trusted pairing of an implantable device and an external device
Zheng et al. Ideas and challenges for securing wireless implantable medical devices: A review
US8868201B2 (en) Adaptively configuring the validation timeout of a session key used for securing communication with an implantable medical device
US9781086B2 (en) System and method for confirming identity and authority by a patient medical device
Challa et al. Authentication protocols for implantable medical devices: Taxonomy, analysis and future directions
US20080044025A1 (en) Secure Telemetric Link
CN108605045A (zh) 可植入医疗设备系统中的安全授权
WO2017098402A1 (en) Secure wireless communication for an implantable component
Park Security mechanism based on hospital authentication server for secure application of implantable medical devices
JP2010536420A (ja) 能動的移植型医療デバイス上の体内データセキュリティの提供
EP2060058A2 (en) Secure telemetric link
CN113631221A (zh) 植入装置与设备之间的安全无线通信
JP2022083990A (ja) インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信
JP2023530732A (ja) 医療装置間のセキュアな相互運用性のための方法およびシステム
JP2022083988A (ja) インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信
JP2022083989A (ja) インプラント型生体医療機器と許可された相手とのインターネットを介した安全な通信
Duttagupta et al. HAT: Secure and Practical Key Establishment for Implantable Medical Devices
Ninglekhu Securing implantable cardioverter defibrillators using smartphones
US20240129141A1 (en) System and method for providing authenticated access between an implanted medical device and an external device
US20220355121A1 (en) System and method for identifying a recipient of an implantable sensory prosthesis
Zhang et al. OOBKey: Key Exchange with Implantable Medical Devices Using Out-Of-Band Channels
WO2023088768A1 (en) Secure byod programmer
WO2023031049A1 (en) Implantable energized medical device, related methods and kit
Marin et al. Secure remote reprogramming of implantable medical devices