TW202223708A - 基於身份之安全醫療裝置通訊 - Google Patents

基於身份之安全醫療裝置通訊 Download PDF

Info

Publication number
TW202223708A
TW202223708A TW110132750A TW110132750A TW202223708A TW 202223708 A TW202223708 A TW 202223708A TW 110132750 A TW110132750 A TW 110132750A TW 110132750 A TW110132750 A TW 110132750A TW 202223708 A TW202223708 A TW 202223708A
Authority
TW
Taiwan
Prior art keywords
medical device
data
secret key
generate
identifier
Prior art date
Application number
TW110132750A
Other languages
English (en)
Inventor
S 史瑞 維維克
瑞希凱西 安尼爾 丹黛珂
馬克 C 羅琳
柴壇亞 馬特 斯瑞尼亞薩摩希
Original Assignee
美商Icu 醫學公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商Icu 醫學公司 filed Critical 美商Icu 醫學公司
Publication of TW202223708A publication Critical patent/TW202223708A/zh

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/20ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management or administration of healthcare resources or facilities, e.g. managing hospital staff or surgery rooms
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H20/00ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance
    • G16H20/10ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients
    • G16H20/17ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to drugs or medications, e.g. for ensuring correct administration to patients delivered via infusion or injection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Epidemiology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Chemical & Material Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medicinal Chemistry (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Ultra Sonic Daignosis Equipment (AREA)
  • Media Introduction/Drainage Providing Device (AREA)

Abstract

本發明係關於使用基於身份之加密技術管理裝置之操作。此等技術可包含為將使用裝置識別符特定之加密技術與一醫療裝置通訊之各系統佈建一主公開金鑰。在該醫療裝置之一受信任處理器中佈建一主祕密金鑰,且該醫療裝置使用該主祕密金鑰佈建其自身裝置之特定識別符之祕密金鑰。此設置促進數個管理特徵,其包含自動初始組態、經簽署日誌記錄、經簽署備份檔案及藥物容器與醫療裝置之安全結合。

Description

基於身份之安全醫療裝置通訊
本發明係關於醫療裝置管理領域,且特定言之,本發明係關於醫療裝置安全使用之系統及方法。
電子醫療裝置通常具有處理器及其他運算組件。該等醫療裝置可執行軟體且經由一網路與其他運算系統通訊。安全網路通訊可涉及加密自一醫療裝置傳輸之通訊及/或解密由醫療裝置接收之通訊。例如,醫療裝置之一處理器可對經由網路傳輸或經由網路接收之資料執行加密/解密操作。
本文描述使用基於身份之加密技術管理裝置之操作之各種技術。此等技術可包含為將使用裝置識別符特定之加密技術與一醫療裝置通訊之各系統佈建一主公開金鑰。在醫療裝置之一受信任處理器中佈建一主祕密金鑰,且醫療裝置使用主祕密金鑰佈建其自身裝置之特定識別符之祕密金鑰。此設置促進數個管理特徵,其包含自動初始組態、經簽署日誌記錄、經簽署備份檔案及藥物容器與醫療裝置之安全結合。下文將參考圖1至圖9更詳細描述此等及其他實施例。儘管諸多實例描述於醫療裝置、功能及環境(包含輸液泵、藥物分配功能及醫院或臨床環境)之內文中,但本文中所描述之技術可應用於其他類型之裝置、功能及環境。
相關申請案之交叉參考 本申請案主張2020年9月5日申請之名稱為「Identity-Based Secure Medical Device Communications」之印度臨時專利申請案第202011038396號及2020年10月30日申請之名稱為「Identity-Based Secure Medical Device Communications」之美國臨時專利申請案第63/108,141號之優先權,該等案之內容以引用的方式併入本文中且組成本說明書之部分。
本發明係關於使用基於身份之加密裝置來安全管理醫療裝置通訊。一群組醫療裝置可各包含其中已佈建相同主祕密金鑰之一受信任處理器。受信任處理器係「受信任的」,因為主祕密金鑰不可自受信任處理器外部存取,且因此受信任處理器可在不暴露主祕密金鑰之情況下加密及解密資料。為了產生用於一醫療裝置之一裝置特定識別符之祕密金鑰,在醫療裝置內執行之受信任處理器可使用主祕密金鑰及與醫療裝置唯一相關聯之一裝置識別符。如同主祕密金鑰,各醫療裝置儲存其等自身裝置特定識別符之祕密金鑰,使得無法自受信任處理器外部存取祕密金鑰。其他裝置及系統可使用醫療裝置之裝置識別符及一主公開金鑰與一特定醫療裝置通訊。主公開金鑰與已佈建於各醫療裝置之受信任處理器中之主祕密金鑰相關聯。在與醫療裝置通訊之裝置及系統中,主公開金鑰亦經熟知或否則不被保密。可使用裝置之識別符及主公開金鑰加密與一特定醫療裝置之通訊,使得僅擁有使用相同裝置識別符產生之裝置特定識別符之祕密金鑰之裝置可解密訊息。因此,具有不同裝置識別符之其他醫療裝置無法成功解密已使用裝置識別符加密之訊息,且無法存取主祕密金鑰之裝置不可匯出解密使用裝置識別符及主公開金鑰加密之訊息所需之裝置特定識別符之祕密金鑰。依一類似方式,醫療裝置可使用裝置特定識別符之祕密金鑰來簽署、加密及執行其他加密功能,以確保某些資料(諸如日誌檔案、備份檔案及其類似者)之真實性。
一些既有安全通訊方法要求參與裝置交換或同意加密祕密金鑰。此預通訊程序可在通訊中引入一延遲,且可將加密祕密金鑰暴露至第三方,藉此折損通訊之安全性。基於身份之加密藉由自一主祕密金鑰匯出特定識別符之祕密金鑰來解決此等問題之若干者。為了安全地與一特定裝置通訊,一方僅需知道裝置之識別符,且可存取與自其匯出之特定識別符祕密金鑰之主祕密金鑰對應之主公開金鑰。然而,與識別符相關聯之裝置必須自一祕密金鑰產生器獲取用於裝置之特定識別符之祕密金鑰。此可需要與祕密金鑰產生器進行網路連接及通訊,且可在傳輸期間暴露特定識別符之祕密金鑰。此外,甚至在裝置獲得特定識別符之祕密金鑰之後,該祕密金鑰亦可暴露於裝置之非安全組件或外部裝置。
除此之外,本發明之一些態樣藉由包含於為其產生裝置特定識別符之祕密金鑰之醫療裝置中之一受信任處理器來解決上述問題。在一特定醫療裝置內,受信任處理器可儲存主祕密金鑰,使得其在受信任處理器之外不可存取。此外,受信任處理器可經組態以使用主祕密金鑰及用於裝置之一裝置識別符為醫療裝置產生一裝置特定識別符之祕密金鑰。因此,藉由依此方式組態之一受信任處理器,醫療裝置有效包含其自身之祕密金鑰產生器,且可在無需與一單獨祕密金鑰產生器進行任何通訊之情況下自行佈建一裝置特定識別符之祕密金鑰。此外,裝置識別符可為唯一(或實質上唯一)識別裝置之任何權杖,諸如一序號。因此,可使用受信任處理器製造任何數目個醫療裝置,且佈建相同之主祕密金鑰。當經部署時,醫療裝置之各者可自行佈建其等自身之唯一裝置特定識別符之祕密金鑰,該祕密金鑰可用於執行如本文中所描述之安全通訊及其他安全資料操作。
本發明之其他態樣係關於使用裝置特定識別符之加密技術來驗證一裝置之身份。一驗證系統可藉由將已使用醫療裝置之識別符及主公開金鑰加密之驗證資料(例如一隨機產生之臨時數字(nonce))發送至醫療裝置來啟動驗證一特定醫療裝置之身份之一程序。若醫療裝置成功解密驗證資料且將其發送回至驗證系統,則醫療裝置已證明其具有與用於加密資料之裝置識別符相對應之裝置特定識別符之祕密金鑰。在一些實施例中,驗證系統可將未加密之驗證資料發送至醫療裝置,且醫療裝置可使用其裝置特定識別符之祕密金鑰簽署驗證資料,且將經簽署驗證資料傳回至驗證系統。接著,驗證系統可藉由使用醫療裝置之識別符及主公開金鑰解密經簽署驗證資料來驗證其。在任一實施方案中,若滿足以下前提條件,則醫療裝置可被視為已向驗證系統證明其身份:(1)主祕密金鑰在任何醫療裝置之受信任處理器之外不可存取,且(2)受信任處理器各基於主祕密金鑰及其等唯一裝置識別符自行佈建其等自身之裝置特定識別符之祕密金鑰。
本發明之其他態樣係關於使用裝置特定識別符之加密技術來確保藥物僅由經分配至其之特定醫療裝置來施用。一藥物製備系統可產生控制資料以將一藥物容器分配至一特定醫療裝置。可使用主公開金鑰及用於將藥物容器分配至其之醫療裝置之裝置識別符來產生控制資料。控制資料可與藥物容器相關聯,使得醫療裝置在用藥之前可存取該控制資料以用於授權。例如,可將控制資料編碼成一視覺上可再現且自動可讀之形式(例如應用於藥物容器之一標籤上之一條碼)或編碼成電子媒體(例如藥物容器之一射頻識別或「RFID」標籤)。僅已分配藥物容器之醫療裝置可使用裝置特定識別符之祕密金鑰來解密控制資料。可需要成功解密及驗證控制資料之內容(例如藥物識別符、患者識別符、裝置識別符、其他資料或其一些組合),以便操作醫療裝置自藥物容器施用藥物。
本發明之又一態樣係關於使用裝置基於身份之加密技術來確保醫療裝置資料(諸如日誌、備份檔案及其類似者)之真實性。一醫療裝置可產生關於醫療裝置之操作之資料,諸如關於各藥物施用程序、各身份驗證程序或其類似者。此資料可經記錄以用於分析諸如此等涉及由裝置施用之藥物之問題(例如以偵測超控、施用不規則、誤差及其類似者)。為確保此日誌資料之真實性,醫療裝置可使用裝置特定識別符之祕密金鑰對日誌資料進行簽署。接著,可由能够存取主公開金鑰及醫療裝置之裝置識別符之任何其他系統來驗證此簽署。對經簽署日誌資料之成功驗證確保與裝置識別符相關聯之醫療裝置係日誌資料之來源,且確保在由醫療裝置簽署之後日誌資料未經變更。一類似程序可用於加密或簽署備份檔案,諸如組態備份檔案。
本發明之額外態樣係關於使用基於身份之加密技術來安全地組態一醫療裝置。一初始組態系統可提供諸如連接至醫療裝置之一Wi-Fi連接之一網路連接。在一些實施例中,醫療裝置可經組態以在部署後初始啟動時由預設連接至初始組態系統。當一醫療裝置連接至初始組態系統時,初始組態系統可開始一身份驗證協定。若醫療裝置證明其身份,則初始組態系統可將一組態檔案提供至醫療裝置。組態檔案可包含由醫療裝置使用之各種組態資訊,諸如網路連接資訊。依此方式,可依一安全驗證方式自動組態醫療裝置。
現將考慮意欲說明但不限制本發明之某些實例及實施例描述本發明之各種態樣。儘管本發明中所描述之一些實施例之態樣為了說明而將聚焦於醫療裝置、加密祕密金鑰產生演算法及其類似者之特定實例,但此等實例僅供說明且不意在限制。在一些實施例中,本文中所描述之系統及方法可應用於額外或替代醫療裝置、加密演算法等等。 實例設置環境概述
圖1繪示一實例環境,其中一加密設置系統100執行一設置程序以向將經部署於一網路環境中之各種裝置佈建加密祕密金鑰、參數及其類似者。如圖所示,由加密設置系統100設置之裝置可包含(但不限於)一藥物製備系統102、一驗證系統104及一安全醫療裝置106。說明性地,裝置可經設置以部署於一或多個醫療設施(例如醫院)中,其中安全醫療裝置106係經組態以施用由藥物製備系統102製備之藥物之一藥物施用裝置。在此一實施方案中,驗證系統104可為(或部分為)一設施內基於雲端之系統,以管理安全醫療裝置106、藥物製備系統102等等之使用。儘管圖1中僅展示一藥物製備系統102、驗證系統104及安全醫療裝置106之一例項,但實際上裝置及系統之任何數目或組合可由加密設置系統100設置且經部署至一網路環境。例如,一單一健康照護設施可具有數十個、數百個或更多個個別安全醫療裝置106及/或藥物製備系統102。安全醫療裝置106可彼此相同或不同,且藥物製備系統102可彼此相同或不同。
在一些實施例中,加密設置系統100 (亦僅指稱「設置系統」)可經由一通訊網路(亦僅指稱一「網路」)與藥物製備系統102、驗證系統104及安全醫療裝置106通訊。網路可為鏈接網路之一公共可存取網路,可由各種相異方(諸如網際網路)操作。在一些情況中,網路可為或包含一專用網路、個人區域網路、區域網路、廣域網路、全球區域網路、有線網路、衛星網路、蜂巢式數據網路等等或其一組合,其中一些或全部可或不可存取及/或自區域網路存取。一醫療裝置製造商、經銷商、施用者或其他實體可如下文更詳細描述般操作設置系統100,以將加密祕密金鑰、加密演算法參數及其類似者佈建至將經部署之各種系統及裝置。加密設置系統100可為一單一實體運算裝置或多個運算裝置之邏輯關聯。
為對將經部署至一特定網路環境之裝置執行設置操作,加密設置系統100可產生一組資料元素,包含基於身份之加密參數、一主祕密金鑰及一主公祕密金鑰。一旦經部署,此等資料元素可用於加密及解密在已設置之裝置之間通訊之資料。更明確言之,加密及解密操作可為基於正執行加密或將執行解密之一特定裝置之一識別符之基於身份之加密操作。此特徵將加密/解密操作與特定裝置識別符連結,且因此將操作與特定裝置連結。例如,加密參數及主公開金鑰可與一裝置識別符一起使用,以加密發送至與裝置識別符相關聯之裝置之資料。依此方式加密之資料可僅使用已使用相同裝置識別符及參數產生之一裝置特定識別符之祕密金鑰解密,且亦可使用主祕密金鑰解密。因此,無法存取裝置特定識別符之祕密金鑰之一裝置將不能(出於實際目的)成功解密資料。裝置特定識別符之加密技術之此態樣允許實施如本文中更詳細描述之各種身份驗證及功能授權特徵。
為便於描述,下文表1提供本文中將使用之縮寫:
● DID:裝置識別符● DISK:裝置特定識別符之祕密金鑰● MSK:主祕密金鑰● MPK:主公開金鑰● Params:基於身份之加密參數而非金鑰
表1-縮寫
在一特定非限制性實施例中,加密設置系統100可使用諸如描述於以引用的方式併入本文中之ISO/IEC 18033-5:2015中之一演算法產生params、MSK及MPK。下文表2中闡述一實例實施方案:
●  建立基礎群組G 1、G 2、G 3及一配對e:G 1xG 2àG 3,其中G 1及G 2之形式為E(GF(q))[p] (一p階加洛亞有限場上之一橢圓曲線),其中G 3係p階之一乘法群群,其中e係將兩個元素自G 1及G 2映射至G 3之一雙線性配對,且其中p及q係質數 ●  在G 2中選擇一隨機產生器Q,其中Q係G 2中之一質性元素 ●  將params產生為{Q, G 1, G 2, G 3, e} ●  在Z* p中產生一隨機MSK,其中Z* p係整數集[1至p-1]) ●  將對應MPK產生為Q(MSK)
表2-參數及主祕密金鑰之產生
藥物製備系統102、驗證系統104及安全醫療裝置106可包含各種運算組件,諸如處理器、網路介面卡、揮發性記憶體、長期儲存器、輸入/輸出組件、顯示器及其類似者。此等系統及裝置亦可包含用於執行裝置基於身份之加密之組件。例如,藥物製備系統102可包含一基於身份之加密子系統120,驗證系統104可包含一基於身份之加密子系統140,且安全醫療裝置106可包含一受信任處理器160。基於身份之加密子系統120、140亦可僅分別指稱加密子系統120、140。加密子系統120、140及受信任處理器160可經組態以使用由設置系統100提供之參數及祕密金鑰執行加密。
如圖1中所展示,設置系統100可將參數及MPK分別提供至(若干)藥物製備系統102及/或(若干)驗證系統104之加密子系統120、140。歸因於MPK之公共性質及在無與用於加密資料之DID相對應之一DISK之情況下無法解密資料,可使參與基於身份之加密通訊之所有裝置熟知params及MPK。只要MSK及DISK保持安全,就無需特殊安全措施來維持各種裝置內之參數及MPK。
設置系統100亦可將參數及MPK提供至將經部署於與(若干)藥物製備系統102及/或(若干)驗證系統104相同之環境中之各醫療裝置106之受信任處理器160。另外,設置系統100可將MSK提供至各醫療裝置106之受信任處理器160。受信任處理器160可經實施為一安全處理器或另一處理器之一安全組件。受信任處理器160被視為「安全」,因為其出於實際目的保證儲存於內部中之資料受到保護,且無法自受信任處理器160外部存取。因此,一旦MSK及DISK佈建於受信任處理器160中,則其等無法自受信任處理器160外部存取,為基於身份之加密操作提供安全性。受信任處理器160使用DISK產生輸出(例如一加密/解密操作之輸出)。在不暴露用於產生輸出之DISK之情況下將輸出提供至安全醫療裝置106之其他部分或其他裝置。
在一些實施例中,受信任處理器160係一受信任平台模組(「TPM」),其係經專門設計以執行加密操作之一離散硬體處理器。TPM與安全醫療裝置106之處理系統之剩餘部分實體隔離。例如,TPM可實施於與安全醫療裝置106之其他處理組件分離(例如與中央處理單元及記憶體分離)之一離散積體電路上。在一些實施例中,受信任處理器係一受信任執行環境(「TEE」),其係一處理器晶片組(例如中央處理單元之晶片組)之一組件。因此,TEE未與晶片組之剩餘部分實體隔離,但可在邏輯上隔離,使得存取TEE內之資料受限。
因為各安全醫療裝置106接收MSK,所以各安全醫療裝置106可稍後動態地自行佈建其等自身之DISK。因此,安全醫療裝置106可在無DISK之情況下部署,且可在無需任何額外資料之情況下根據需要在初始啟動時或在一些其他時間自行佈建其等DISK。有利地,此可依不同時間且無需DISK之情況下允許將多個醫療裝置部署至一環境中。然而,一旦此等醫療裝置自行佈建其等自身之DISK,則其等就能够參與基於身份之加密操作,且其他系統及裝置僅需存取MPK及醫療裝置之公共可存取DID。
圖2繪示一安全醫療裝置106之一實例,其展示安全醫療裝置106之各種內部組件之間的互動以自行佈建一DISK,且隨後在基於身份之加密操作中使用DISK。在一些實施例中,如圖所示,安全醫療裝置106可包含:一或多個電腦處理器200,諸如實體中央處理單元(「CPU」);一或多個網路介面202,諸如一網路介面卡(「NIC」);一或多個輸入/輸出裝置介面204,及一或多個電腦可讀記憶體206,諸如隨機存取記憶體(「RAM」)及/或其他非暫時性電腦可讀媒體。電腦可讀記憶體206可包含電腦處理器200為實施一或多個實施例而執行之電腦程式指令。例如,電腦可讀記憶體206可儲存提供供電腦處理器200在安全醫療裝置106之一般施用及操作中使用之電腦程式指令之一作業系統208。電腦可讀記憶體206亦可包含具有關於可使用安全醫療裝置106施用之藥物之資料之一藥物庫210。電腦可讀記憶體206亦可包含用於實施藥物施用操作、記錄操作及其類似者之應用程式指令212及應用程式資料214。
在一些實施例中,安全醫療裝置106可為或包含具有各種組件以執行輸液泵操作之一輸液泵。例如,一輸液泵可包含經組態以控制分配藥物之一馬達(未展示)之一馬達控制器單元(「MCU」)。
安全醫療裝置106包含一受信任處理器160。儘管受信任處理器160在圖2中展示為與安全醫療裝置106之其他組件實體分離,但在一些實施例中,受信任處理器160可經實施為如上文所描述之另一處理器之一離散組件。受信任處理器160可包含各種實體或邏輯組件。在一些實施例中,如圖所示,受信任處理器160可包含用於產生一DISK之一祕密金鑰產生器162。祕密金鑰產生器162可在硬體中實施,或作為軟體與硬體之一組合來執行軟體。受信任處理器160可包含用於儲存由受信任處理器160使用之參數及祕密金鑰之一安全儲存器164。在一些實施例中,安全儲存器164可為持續性儲存參數及祕密金鑰之一非揮發性安全元件,即使在醫療裝置106斷電之後亦如此。受信任處理器160亦可包含使用儲存於安全儲存器164中之參數及祕密金鑰執行基於身份之加密操作之一基於身份之加密子系統166。基於身份之加密子系統可僅指稱一加密子系統166。加密子系統166可在硬體中實施,或作為軟體與硬體之一組合來執行軟體。 裝置特定識別符之祕密金鑰產生程序
已由設置系統100佈建之params 222、MPK 224及MSK 226可儲存於安全儲存器164中。為執行基於身份之加密,受信任處理器可首先基於安全醫療裝置106或其一組件之一唯一或實質上唯一之識別符來自行佈建DISK 228。在一些實施例中,安全醫療裝置106之部分或全部組件可與識別符相關聯。例如,處理器200 (或處理器200所在之主機板)可具有分配至其之一序號,且該唯一序號可在本文中所描述之基於身份之加密及解密程序中充當一DID 220。
受信任處理器160可回應於一或多個事件而自行佈建DISK 228。例如,當安全醫療裝置106第一次通電時(或當安全醫療裝置106在經佈建有params 222、MPK 224及MSK 226之後第一次通電時),祕密金鑰產生器162可產生DISK。作為另一實例,每次安全醫療裝置106通電時,或每次由加密子系統166執行一加密操作時,祕密金鑰產生器162可產生DISK。作為又一實例,DISK可在安全儲存器164中保持一預定或動態判定之時間段,之後將其移除。祕密金鑰產生器162可在下一次由加密子系統166使用DISK時或回應於一些其他事件時重新產生DISK。
如圖2中所展示,在[1],祕密金鑰產生器162可獲得DID 220。DID 220可為由一特定組件(例如處理器200)提供之一識別符,或自一特定儲存器位置(例如基本輸入輸出系統中之儲存器或安全醫療裝置106之「BIOS」)檢索之一識別符。在[2],祕密金鑰產生器162可自安全儲存器164獲取已由設置系統100佈建之params 222、MPK 224及MSK 226。在[3],祕密金鑰產生器162可使用DID 220、params 222、MPK 224及MSK 226產生DISK。
在一特定非限制性實施例中,祕密金鑰產生器162可使用諸如描述於以引用的方式併入本文中之ISO/IEC 18033-5:2015中之一演算法產生DISK。下文表3中闡述一實例實施方案:
●  產生一識別元素M=H 1(DID),其中H 1係將識別符串映射至一群組元素H 1之一雜湊函數:{0,1}*→G 1●  產生DISK=MSK(M)
表3-裝置特定識別符之祕密金鑰之產生
在祕密金鑰產生器162產生DISK 228之後,DISK 228可儲存於[4]之安全儲存器164中。
加密子系統166可使用DISK執行加密及/或解密操作。在[5],加密子系統166可獲得將經加密或解密之輸入230。例如,驗證系統104可在一識別協定(諸如圖3中所展示且在下文更詳細描述之協定)期間將一加密臨時數字提供至安全醫療裝置106。臨時數字可已使用MPK及DID加密,且因此僅可使用對應於相同DID之DISK解密。
在[6],加密子系統166可自安全儲存器獲得DISK 228。在[7],加密子系統166可使用DISK 228在輸入230中執行一加密操作。返回至上文實例,若輸入230係一加密臨時數字,則加密子系統166可解密輸入230以產生解密輸出232。在[8],加密子系統166可提供受信任處理器160外部之輸出232。例如,可將輸出232提供至安全醫療裝置106之一應用程式且儲存於應用程式資料214中。 識別協定
圖3係一驗證系統104與一安全醫療裝置106之間的一識別協定期間之說明性資料流程及互動之一方塊圖。識別協定可經執行以驗證安全醫療裝置106之身份。為此,驗證系統104可使用安全醫療裝置106之DID來加密資料。唯若安全醫療裝置106具有與DID相關聯之DISK時,安全醫療裝置106才能够解密資料且將未加密資料提供回至驗證系統104。
在[A],加密子系統140或驗證系統104之一些其他組件可產生或依其他方式獲得驗證資料以用於識別協定中。在一些實施例中,驗證資料可為一隨機資料元素,諸如僅使用一次之一隨機產生臨時數字。在一些實施例中,驗證資料可不為一臨時數字,而為一有意義值,諸如一網路位址、另一識別符或其類似者。
在[B],加密子系統140可使用在[A]產生之驗證資料、與安全醫療裝置106相關聯之params 222、MPK 224及DID 220A來產生加密驗證資料。在一些實施例中,驗證系統104可具有一資料儲存器142以儲存驗證系統104將使用其執行識別協定之各裝置之DID 220A至220N。Params 222及MPK 224亦可儲存於資料儲存器142中。資料儲存器142可為加密子系統140之部分,或其可為驗證系統104之一單獨組件或裝置。
在一特定非限制性實施例中,一加密子系統可使用諸如描述於以引用的方式併入本文中之ISO/IEC 18033-5:2015中之一演算法加密資料。下文表4中闡述一實例實施方案,其中Msg為將加密之輸入(例如驗證資料或一些其他純文字):
●  將H 1、H 2、H 3、H 4定義為加密雜湊函數: o H 1:{0,1}*→G 1,其將一任意字串映射至G 1中之一元素 o H 2:G 3→{0,1} δ,其將G 1中之一元素映射至大小為δ之一字串 o H 3:{0,1} δx{0,1} δ→Z* p,其將長度為δ之兩個字串映射至Z* po H 3:{0,1} δ→{0,1} δ,其將長度δ之一字串映射至另一個字串 ●  獲取長度為δ之一輸入Msg ●  使用MPK產生一δ位元隨機數產生器o,其中「δ位元隨機數產生器o」意謂o係長度為δ{0,1} δ之一隨機字串 ●  產生一識別元素M=H 1(DID) ●  產生r=H 3(o,Msg) ●  產生C 1=rQ ●  產生B=e(rM,MPK),其中e係將兩個元素自G 1及G 2映射至G 3之一雙線性配對 ●  產生C 2=o⨁H 2(B) ●  產生C 3=Msg⨁H 4(o) ●  產生輸出=(C 1,C 2,C 3)
表4–使用設備識別符及主公開金鑰加密
在[C],驗證系統104可將加密驗證資料發送至安全醫療裝置106。例如,若驗證資料為一臨時數字且加密驗證資料為一加密臨時數字300,則驗證系統104可將加密臨時數字300傳輸至安全醫療裝置106。
在[D],安全醫療裝置106之加密子系統166可自安全儲存器164存取DISK 228以解密經加密之驗證資料。在[E],加密子系統166可使用DISK 228解密經加密之驗證資料。
在一特定非限制性實施例中,一加密子系統可使用諸如描述於以引用的方式併入本文中之ISO/IEC 18033-5:2015中之一演算法解密經加密之資料。下文表5中闡述一實例實施方案,其中CT為將解密之輸入(例如加密驗證資料或一些其他密碼文字):
●  將H 1、H 2、H 3、H 4定義為加密雜湊函數: o H 1:{0,1}*→G 1,其將任意字串映射至G 1中之一元素 o H 2:G 3→{0,1} δ,其將G 1中之一元素映射至大小為δ之一字串 o H 3:{0,1} δx{0,1} δ→Z* p,其將長度為δ之兩個字串映射至Z* po H 3:{0,1} δ→{0,1} δ,其將長度δ之一字串映射至另一個字串 ●  將CT剖析為一元組{C 1,C 2,C 3} ●  產生B=e(DISK, C 1),其中e係將兩個元素自G 1及G 2映射至G 3之一雙線性配對 ●  產生o=C 2⨁H 2(B) ●  產生Msg=C 3⨁H 4(o) ●  產生r=H 3(o,Msg) ●  判定是否C 1=rQ o 若是,則輸出Msg o 若否,則輸出「錯誤」
表5–使用設備特定識別符之祕密金鑰解密
在[F],安全醫療裝置106可藉由將解密驗證資料發送至驗證系統104來回應驗證系統104。例如,若加密驗證資料係一加密臨時數字300,且安全醫療裝置106成功解密了加密臨時數字300,則安全醫療裝置106可將解密臨時數字302發送至驗證系統104。在一些實施例中,安全醫療裝置106可在回應中包含額外資訊。例如,安全醫療裝置106可包含其DID 220A或其他識別資訊。
在[G],驗證系統104可驗證來自安全醫療裝置106之回應是否滿足一或多個識別驗證標準。一識別驗證標準可為回應包含在[C]處發送至安全醫療裝置106之加密驗證資料之一解密版本之一要求。例如,驗證系統104可維持在[a]處產生之未加密臨時數字之一記錄。記錄可將臨時數字與特定安全醫療裝置106關聯(例如記錄可參考安全醫療裝置106之DID 220A)。在自安全醫療裝置106接收到解密臨時數字302之後,驗證系統104可存取與自其接收回應之安全醫療裝置106之DID 220A相關聯之未加密臨時數字之記錄,且比較儲存臨時數字與解密臨時數字302。若解密臨時數字302與儲存臨時數字匹配,則安全醫療裝置106已證明其具有對應於DID 220A之DISK。藉由證明醫療裝置106具有對應於DID 220A之DISK,醫療裝置106可被視為已證明其身份。在一些實施例中,為成功完成識別協定,可能需要滿足替代或額外識別驗證標準。例如,可結合臨時數字300儲存一時戳,指示何時將其提供至安全醫療裝置106。醫療裝置106可能需要在由時戳表示之時間之後的預定或動態判定之臨限值時間段內作出回應。
在[H],若來自安全醫療裝置106之回應已滿足一或多個識別驗證標準,則驗證系統104可授權安全醫療裝置106以執行一功能,或驗證系統104可啟動一功能。例如,安全醫療裝置106可經授權以連接至一網路、施用藥物、接收一軟體更新、接收一藥物庫更新、在一藥物施用操作期間啟動一超控或其類似者。
在一些實施例中,驗證系統104可在將驗證資料傳輸至安全醫療裝置106之前不對其加密。如圖4中所展示,驗證系統104可在[A']產生驗證資料,且將未加密驗證資料(例如未加密臨時數字400)發送至[B']之安全醫療裝置。驗證系統104不必預先通知或依其他方式判定向其發送未加密驗證資料之安全醫療裝置106之DID 220A。在此實施方案中,安全醫療裝置106可存取[C']之DISK,且使用[D']之DISK加密未加密驗證資料以產生加密驗證資料。安全醫療裝置106可在[E']將一回應傳輸至驗證系統104。回應包含加密(簽署)驗證資料,諸如一加密臨時數字402。在一些實施例中,回應亦可包含安全醫療裝置106之未加密驗證資料及/或DID。驗證系統104使用DID (預先已知或由安全醫療裝置106提供)及[F']之MPK來解密經加密之驗證。在[G'],驗證系統104判定回應是否滿足一或多個識別驗證標準(例如解密驗證資料匹配預先儲存或包含與來自安全醫療裝置106之回應中之未加密驗證資料)。在[H'],若回應已滿足一或多個識別驗證標準,則驗證系統104可授權安全醫療裝置106執行一功能,或驗證系統104可啟動一功能。 基於身份之藥物施用授權程序
基於身份之加密可用於控制能够使用特定對象執行操作之裝置。在一健康照護設置中,裝置可為安全醫療裝置106,諸如上文所描述之輸液泵。對象可為藥物容器,諸如小瓶或含有可使用安全醫療裝置向患者施用之醫療流體之靜脈(「IV」)流體袋。當準備使用一藥物容器時,可產生將藥物容器分配至一特定安全醫療裝置106 (或安全藥物裝置106之子集)之控制資訊。有利地,可使用將藥物容器分配至其之一醫療裝置106之一DID來加密控制資訊。僅具有對應於DID之DISK之藥物裝置106將能够解密控制資訊且在藥物容器中施用藥物。因此,可將藥物容器分配至特定藥物裝置,且僅由此等安全藥物裝置106使用;可防止安全藥物裝置106使用除已分配至其等之容器之外的藥物容器。
圖5及圖6係由藥物製備系統102及安全醫療裝置106在一基於身份之藥物施用授權程序中分別執行之說明性常式之流程圖。將進一步參考圖7來描述圖5及6之常式500及600,圖7係繪示由一藥物製備系統102產生控制資訊以將一藥物容器700分配至一特定安全醫療裝置106之一方塊圖。
圖5中所展示之常式500自方塊502開始。常式500可回應於一事件(諸如當一藥劑師或藥物製備技術人員存取藥物製備系統102之一軟體應用程式以啟動一藥物容器之製備以供一特定安全醫療裝置106施用時)而開始。當啟動常式500時,可將儲存於一或多個非暫時性電腦可讀媒體(例如硬碟機、快閃記憶體、可抽換式媒體等等)上之一組可執行程式指令載入至藥物製備系統102之記憶體(例如隨機存取記憶體或「RAM」)中。可執行指令可由藥物製備系統102之一基於硬體之電腦處理器(例如一中央處理單元或「CPU」)執行。在一些實施例中,常式500或其部分可串列或並行實施於多個處理器上。
在方塊504,藥物製備系統102可獲得關於藥物容器700中(或正混合至藥物容器700中)之藥物的藥物資料706。藥物資料706可包含中介之一識別符、藥物之一名稱、劑量資訊、其他資料或其一些組合。在一些實施例中,藥物資料706可自藥物製備系統102之一藥物資料庫702獲得。
在方塊506,藥物製備系統102可獲得關於將藥物容器分配至其之安全醫療裝置106之裝置資料708。裝置資料708可包含關於安全醫療裝置106之DID及/或其他資料。在一些實施例中,裝置資料708可自藥物製備系統102之一裝置資料庫704獲得。
在方塊508,藥物製備系統102使用藥物資料706及裝置資料708產生控制資料710。控制資料710可為包括用於藥物資料706之一資料元素及用於裝置資料708之一資料元素之一資料結構。在一些實施例中,裝置資料708可連接至藥物資料706以產生控制資料710。例如,控制資料710之第一m位元組可保留給藥物資料706,且下一個n位元組可保留給裝置資料708 (反之亦然)。作為另一實例,控制資料710之一特定字元或值之前的部分可為藥物資料706,且控制資料710之下一部分可為裝置資料708 (反之亦然)。在一些實施例中,控制資料710亦可包含其他資料,諸如患者資料(例如對其開處方藥物之患者之識別符)、單元資料(例如可在其中施用藥物之健康照護設施之單元之一識別符)等等。額外資料可依與藥物資料706及裝置資料708相同之方式包含於其他位置處之控制資料710中。本文中所描述之控制資料710之實例結構僅供說明,且不意在限制。在一些實施例中,可使用控制資料710之其他組態。在一些實施例中,控制資料710可不包含藥物資料706及裝置資料708,而可包含藥物資料706或裝置資料708 (且可選擇地包含諸如患者資料之其他資料)。
在方塊510,藥物製備系統102之加密子系統120可藉由使用將藥物容器700分配至其之安全醫療裝置106之DID加密控制資料710來產生加密控制資料712。在一些實施例中,可使用上文所闡述之加密演算法來執行加密操作。
在方塊512,加密子系統120或藥物製備系統102之一些其他組件可將加密控制資料712編碼為可由一控制項714表示之一形式。控制項714可耦合至藥物容器700或與藥物容器700整合,且可包含編碼控制資料。例如,控制項714可為一標籤且編碼控制資料可為一條碼或快速回應(「QR」)碼。在此情況中,藥物製備系統102可將加密控制資料712編碼為一條碼或QR碼,且編碼控制資料可列印至標籤上,使得其可由安全醫療裝置106掃描以恢復加密控制資料712。在一些實施例中,控制項可為可經由有線或無線通訊存取之一電子資料儲存。例如,控制項可為一射頻識別(「RFID」)標籤或一微晶片。加密控制資料可經編碼成由控制項儲存且可由安全醫療裝置106自控制項存取之一形式。程序500可在方塊514終止。
一旦控制項712已佈建有編碼控制資料且黏貼至藥物容器700 (若需要),則藥物容器700可遞送給安全醫療裝置106使用。接著安全醫療裝置106可執行諸如圖6中所展示之常式600之一常式,以讀取及處理控制資料且判定是否繼續在藥物容器700內施用藥物。
常式600自方塊602開始。常式600可回應於一事件(諸如當一健康照護提供者存取安全醫療裝置106之一軟體應用程式以自藥物容器700啟動藥物施用時)而開始。當啟動常式600時,可將儲存於一或多個非暫時性電腦可讀媒體(例如硬碟機、快閃記憶體、可抽換式媒體等等)上之一組可執行程式指令載入至安全醫療裝置106之記憶體(例如隨機存取記憶體或「RAM」)中。可執行指令可由安全醫療裝置106之一或多個基於硬體之電腦處理器執行,諸如處理器200及受信任處理器160。
在方塊604,安全醫療裝置106可自藥物容器700之控制項714獲得編碼控制資料。若控制項714係具有一條碼或QR碼之一標籤,則一掃描裝置可用於讀取編碼控制資料,且將其依編碼或解碼形式提供至安全醫療裝置106。可取決於實施方案存取其他類型之控制項(例如一RFID標籤可由一RFID讀取器讀取,一微晶片可由一晶片讀取器讀取等等)。
在方塊606,若編碼控制資料自控制項714讀取而非作為讀取程序之部分被自動解碼,則安全醫療裝置106可自編碼控制資料獲得加密控制資料712。例如,當一條碼讀取器讀取條碼時,一條碼可經自動解碼,使得由條碼讀取器將由條碼表示之解碼資料(此實例中之加密控制資料712)輸出至安全醫療裝置106之其他組件。若未自動執行此解碼,則安全醫療裝置106可經組態(例如經由應用程式指令212)以執行必要解碼以恢復由自控制項714讀取之編碼控制資料表示之加密控制資料712。
在方塊608,安全醫療裝置106之受信任處理器160可自加密控制資料712產生解密控制資料710。加密子系統166可自安全儲存器164獲得DISK 228,且使用DISK 228解密經加密之控制資料712。在一些實施例中,可使用上文所闡述之演算法執行解密操作。
在方塊610,安全醫療裝置106可自解密控制資料710獲得藥物資料706及裝置資料708。安全醫療裝置106可經組態(例如經由應用程式指令212)以自控制資料710剖析藥物資料706及裝置資料708。例如,解密控制資料710之第一m位元組可保留給藥物資料706,且下一個n位元組可保留給裝置資料708 (反之亦然)。作為另一實例,控制資料710之一特定字元或值之前的部分可為藥物資料706,且控制資料之下一部分可為裝置資料708 (反之亦然)。在一些實施例中,如上文所描述,控制資料710亦可包含其他資料,諸如患者資料(例如對其開處方藥物之患者之一識別符)、單元資料(例如可在其中施用藥物之健康照護設施之單元之一識別符)等等。額外資料可依與藥物資料706及裝置資料708相同之方式包含於其他位置處之控制資料710中。本文中所描述之控制資料710之實例結構僅供說明,且不意在限制。在一些實施例中,可使用控制資料710之其他組態。在一些實施例中,控制資料710可不包含藥物資料706及裝置資料708,而可包含藥物資料706或裝置資料708 (且可選擇地包含諸如患者資料之其他資料)。
在決策方塊612,安全醫療裝置106可判定藥物資料706及裝置資料708是否滿足一或多個授權標準以授權藥物之施用。一或多個授權標準可包含:成功解密經加密之控制資料且自其獲得控制資料;判定來自裝置資料708之一DID與當前安全醫療裝置106之DID 220匹配;判定來自藥物資料706之一藥物ID與安全醫療裝置106之一藥物庫210中之一藥物匹配;判定由藥物資料706表示之藥物經允許由安全醫療裝置106施用;判定來自患者資料之一患者ID與一特定患者ID (例如已掃描或輸入其准入手鐲或其他醫療識別的一患者之一專利ID)匹配;其他授權標準;或其任何組合。若已滿足一或多個授權標準,則常式600可前進至方塊614,其中藥物施用操作經授權且前進。否則,若未滿足一授權標準,則常式600可前進至方塊616,其中進入一未授權狀態。程序600可在方塊618終止。 日誌記錄及備份驗證
圖8係日誌檔案產生、匯出及消耗期間之說明性資料流程及操作之一方塊圖。在操作期間,一安全醫療裝置106可產生關於安全醫療裝置106執行之功能之日誌資料。例如,安全醫療裝置106可產生關於一藥物施用程序(諸如上文所描述之藥物施用程序)之一或多個記錄。此等記錄可儲存於一日誌檔案中。在某些情況下,可對日誌檔案進行一法醫分析,諸如當一特定藥物施用程序出現一問題時。為確保程序之日誌記錄係由安全醫療裝置106執行之操作之一真實準確記錄,可在由安全醫療裝置106匯出或依其他方式提供至安全醫療裝置106外部之前使用DISK簽署日誌檔案資料。有利地,使用DISK對日誌資料簽署有助於由一第三方驗證日誌資料來源之真實性及日誌中資料之完整性。
在[I],安全醫療裝置106執行各種操作且產生關於此等操作之日誌資料800。日誌資料800可儲存於安全醫療裝置106 (諸如記憶體之應用程式資料214區域)內、一持續性資料儲存器或其類似者中。
在[II],安全醫療裝置106可判定待匯出之日誌資料800。在一些實施例中,安全醫療裝置106可接收匯出日誌資料之一請求或一命令。在一些實施例中,安全醫療裝置106可依一預定或動態判定之排程或回應於一些其他事件而匯出日誌資料800。待匯出之日誌資料800可為當前儲存於安全醫療裝置106中之所有日誌資料、自上次匯出以來已新增之日誌資料,或與當前匯出程序相關聯之日誌資料之一子集(例如滿足請求或匯出組態中指定之一篩選或其他標準之日誌資料)。
在[III],加密子系統166可自安全資料儲存器164獲取DISK 228,且簽署待匯出之日誌資料800。為了簽署日誌資料800,加密子系統166可使用DISK 228加密日誌資料800。經簽署資料802亦可包含日誌資料800之一未加密版本。因此,經簽署日誌資料802之一接收者可使用與安全醫療裝置106相關聯之MPK及DID來解密經加密版本,且判定解密日誌資料是否與未加密日誌資料匹配。若是,則未加密日誌資料被視為真實。
在[IV],安全醫療裝置106可將經簽署日誌資料802匯出至一第三方裝置或系統。例如,如圖所示,經簽署日誌資料802可匯出至一請求裝置810。在一些實施例中,經簽署日誌資料802可匯出至一中間資料儲存器,經簽署日誌資料802儲存於其中且可供第三方裝置或系統存取。
在[V],請求裝置810 (或一些其他第三方裝置或系統)可使用與安全醫療裝置106相關聯之MPK及DID來解密經簽署資料802。接著請求裝置810可比較解密經簽署資料與未加密日誌資料。若兩個資料集匹配,則請求裝置810可確保日誌資料確實源自安全醫療裝置106且未經篡改。
在一些實施例中,除日誌資料之外的資料可在匯出之前由安全醫療裝置106加以簽署。例如,安全醫療裝置106可產生其組態設置之一備份,諸如關於安全醫療裝置106將與其互動之網路及裝置之資料。為確保組態資料之真實性且其未經篡改,安全醫療裝置106可在匯出備份檔案以供儲存之前簽署備份檔案。隨後,當安全醫療裝置106恢復一備份檔案時,安全醫療裝置106可使用其自身DID及MPK解密經簽署資料。若解密資料106與未加密資料匹配,則備份檔案被視為真實且未經篡改。 初始通訊及組態
圖9係在安全醫療裝置106之一初始通訊及組態期間之說明性資料流程及操作之一方塊圖。安全醫療裝置106可經組態以在部署後初始啟動時依據預設連接至一初始組態系統以獲得一組態檔案。組態檔案可包含將由醫療裝置106使用之各種組態資訊,諸如網路連接資訊。依此方式,可依一安全驗證方式自動組態醫療裝置。
在[a],安全醫療裝置106連接至初始組態系統900。初始組態系統900可包含一驗證系統104,反之亦然。在一些實施例中,初始組態系統900可為與驗證系統104分離之一裝置或系統。初始組態系統可提供用於安全醫療裝置之一網路連接(諸如一Wi-Fi連接)以用於連接至組態資料。
在[b],初始組態系統900由啟動一身份驗證協定(諸如上文所描述之協定之一者)來回應。例如,初始組態系統900可產生諸如一隨機臨時數字902之驗證資料,且將臨時數字發送至安全醫療裝置106。安全醫療裝置106可在[c]使用DISK 228簽署臨時數字902,且由在[d]發送回經簽署臨時數字904來回應初始組態系統900。在一些實施例中,回應可包含額外資料,諸如安全醫療裝置106之DID。
初始組態系統106可使用DID及MPK解密經簽署回應。若經簽署回應滿足[e]之一或多個識別標準,則初始組態系統900可判定安全醫療裝置106已成功證明其身份。作為回應,初始組態系統106可在[f]將一組態檔案906提供至安全醫療裝置106。安全醫療裝置106可在[g]處理組態檔案906。例如,安全醫療裝置106可在操作期間自組態檔案906及設置中讀取組態設置(例如醫療裝置106將連接至其之一系統之一網路位址)。 其他考慮
應瞭解,可根據本文中所描述之任何特定實施例達成未必所有目的或優點。因此,例如,熟習技術者將認識到,某些實施例可經組態以依達成或最佳化本文中所教示之一優點或優點群組而未必達成本文中可教示或建議之其他目的或優點之一方式操作。
自本發明將明白本文描述之外的諸多其他變動。例如,取決於實施例,本文中所描述之任何演算法之某些動作、事件或功能可依一不同序列執行,可一起新增、合併或省略(例如非所有描述動作或事件對於演算法之實踐係必要的)。此外,在某些實施例中,例如透過多緒處理、中斷處理、或多個處理器或處理器核心或在其他並行架構上,可並行而非循序執行動作或事件。另外,不同任務或程序可由能够一起工作之不同機器及/或運算系統執行。
結合本文中所揭示之實施例描述之各種說明性邏輯區塊、模組及演算法元件可實施為電子硬體、電腦軟體或兩者之組合。為清楚說明硬體與軟體之此可互換性,上文已根據其等功能一般描述各種說明性組件、區塊、模組及元件。是否將此功能實施為硬體或軟體取決於施加於整個系統上之特定應用程式及設計約束。所描述之功能可針對各特定應用程式而依各種方式實施,但此實施方案決策不應被解釋為導致背離本發明之範疇。
結合本文中所揭示之實施例描述之各種說明性邏輯區塊及模組可由一機器(諸如經設計以執行本文中所描述之功能之一電腦處理器、一數位信號處理器(DSP)、一專用積體電路(ASIC)、一場可程式化閘陣列(FPGA)或其他可程式化邏輯裝置、離散閘極或電晶體邏輯、離散硬體組件或其等之任何組合)實施或執行。一電腦處理器可為一微處理器,但在替代方案中,處理器可為一控制器、微控制器或狀態機、其等之組合或其類似者。一處理器可包含經組態以處理電腦可執行指令之電路系統。在另一實施例中,一處理器包含一FPGA或在不處理電腦可執行指令之情況下執行邏輯操作之其他可程式化裝置。一處理器亦可實施為運算裝置之一組合,例如一DSP與一微處理器之一組合、複數個微處理器、一或多個微處理器與一DSP核心之結合,或任何其他此組態。儘管本文主要針對數位技術描述,但一處理器亦可主要包含類比組件。例如,本文中所描述之一些或全部信號處理演算法可實施於類比電路系統或混合類比及數位電路系統中。一運算環境可包含任何類型之電腦系統,其包含(但不限於)基於一微處理器之一電腦系統、一主機電腦、一數位信號處理器、一攜帶型運算裝置、一裝置控制器或一設備內之一運算引擎等等。
結合本文中所揭示之實施例描述之一方法、程序或演算法之元件可直接體現於硬體中,體現於儲存於一或多個記憶體裝置中且由一或多個處理器執行之一軟體模組中,或體現於兩者之一組合中。一軟體模組可駐留於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、一可抽換式磁碟、一CD-ROM或本技術中已知之任何其他形式之(若干)非暫時性電腦可讀儲存媒體或實體電腦儲存器中。一實例儲存媒體可耦合至處理器,使得處理器可自儲存媒體讀取資訊且將資訊寫入儲存媒體。在替代方案中,儲存媒體可整合至處理器。儲存媒體可為揮發性或非揮發性。處理器及儲存媒體可駐留於一ASIC中。ASIC可駐留於一使用者終端機中。在替代方案中,處理器及儲存媒體可作為離散組件駐留於一使用者終端機中。
除非另有明確說明,或在所使用之內文中依其他方式理解,否則本文中所使用之條件語言(諸如,除此之外,「可能」、「可」、「例如」、「等等」及其類似者)一般意在傳達某些實施例包含,而其他實施例不包含之某些特徵、元件,及/或狀態。因此,此條件語言一般不意在隱含一或多個實施例依任何方式所需之特徵、元件及/或狀態,或一或多個實施例必須包含邏輯用於在有或無作者輸入或提示之情況下判定此等特徵、元件及/或狀態是否被包含或將執行於任何特定實施例中。術語「包括」、「包含」、「具有」及其類似者係同義詞,且依一開放式方式包含性地使用,且不排除額外元件、特徵、動作、操作等等。此外,術語「或」依其包含性意義(且不依其排他性意義)使用,使得,例如當用於連接一元素清單時,術語「或」意謂清單中之一者、一些或所有元素。此外,如本文中所使用之術語「各」除具有其一般含義之外,亦可意謂術語「各」應用至其之一組元件之任何子集。
除非另有明確說明,否則諸如片語「X、Y或Z之至少一者」之析取語言可與一般用於表示一品項、術語等等可為任一X、Y或Z,或其等之任何組合(例如X、Y及/或Z)之內文一起理解。因此,此析取語言一般不意在且不應隱含某些實施例要求X之至少一者、Y之至少一者或Z之至少一者均存在。
除非另有明確說明,否則諸如「一」或「該」之冠詞一般應被解釋為包含一或多個描述品項。因此,諸如「一裝置經組態以」之片語意在包含一或多個列舉裝置。此等一或多個列舉裝置亦可經統稱組態以實施所述列舉項。例如,「經組態以實施列舉項A、B及C之一處理器」可包含經組態以實施列舉項A之一第一處理器與經組態以實施列舉項B及C之一第二處理器結合作業。
儘管以上詳細描述已展示、描述且指出應用於各種實施例之新穎特徵,但應瞭解,可在不背離本發明之精神之情況下,對所繪示之裝置或演算法之形式及細節作出各種省略、替代及改變。如將認識到,本文中所描述之某些實施例可在不提供本文中所闡述之所有特徵及益處之一形式內實施,因為一些特徵可與其他特徵分開使用或實踐。所有此等修改及變動意欲包含於本發明之範疇內。此外,藉由組合本文中所描述之一或多個實施例之任何兩個或更多個特徵或技術而建立之額外實施例亦意欲包含於本發明之範疇內。
100:加密設置系統 102:藥物製備系統 104:驗證系統 106:安全醫療裝置 120:加密子系統 140:加密子系統 142:資料儲存器 160:受信任處理器 162:祕密金鑰產生器 164:安全儲存器 166:加密子系統 200:電腦處理器 202:網路介面 204:輸入/輸出裝置介面 206:記憶體 208:作業系統 210:藥物庫 212:應用程式指令 214:應用程式資料 220:裝置識別符(DID) 220A至220N:裝置識別符(DID) 222:基於身份之加密參數而非祕密金鑰(params) 224:主公開金鑰(MPK) 226:主祕密金鑰(MSK) 228:裝置特定識別符之祕密金鑰(DISK) 230:輸入 232:輸出 300:加密臨時數字 302:解密臨時數字 400:未加密臨時數字 402:加密臨時數字 500:常式/程序 502:方塊 504:方塊 506:方塊 508:方塊 510:方塊 512:方塊 514:方塊 600:常式 602:方塊 604:方塊 606:方塊 608:方塊 610:方塊 612:方塊 614:方塊 616:方塊 618:方塊 700:藥物容器 702:藥物資料庫 704:裝置資料庫 706:藥物資料 708:裝置資料 710:控制資料 712:加密控制資料 714:控制項 800:日誌資料 802:經簽署日誌資料 810:請求裝置 900:初始組態系統 902:臨時數字 904:經簽署臨時數字 906:組態檔案
在所有圖式中,可重複使用元件符號指示參考元件之間的對應關係。提供圖式以繪示本文中所描述之實例實施例且不意欲限制本發明之範疇。
圖1係根據一些實施例之一實例加密設置系統、藥物製備系統、驗證系統及安全醫療裝置之一方塊圖。
圖2係繪示根據一些實施例之一祕密金鑰產生程序期間由一安全醫療裝置之組件執行之資料流程及處理之一方塊圖。
圖3係繪示根據一些實施例之一身份驗證協定期間之一安全醫療裝置與一驗證系統之間的資料流程及互動之一方塊圖。
圖4係繪示根據一些實施例之一不同身份驗證協定期間之一安全醫療裝置與一驗證系統之間的資料流程及互動之一方塊圖。
圖5係根據一些實施例之用於安全藥物製備之一說明性常式之一流程圖。
圖6係根據一些實施例之用於安全用藥之一說明性常式之一流程圖。
圖7係繪示根據一些實施例之安全藥物製備及用藥期間執行之資料流程及處理之一方塊圖。
圖8係繪示根據一些實施例之經執行以安全管理日誌及備份檔案之資料流程及處理之一方塊圖。
圖9係繪示根據一些實施例之經執行以安全組態一安全醫療裝置之資料流程及處理之一方塊圖。
100:加密設置系統
102:藥物製備系統
104:驗證系統
106:安全醫療裝置
120:加密子系統
140:加密子系統
160:受信任處理器

Claims (15)

  1. 一種系統,其包括: 複數個醫療裝置,其中該複數個醫療裝置之一醫療裝置包括: 一受信任處理器,其包括: 一安全資料儲存器,其儲存一主祕密金鑰及一主公開金鑰; 一祕密金鑰產生器,其經組態以: 使用該主祕密金鑰及與該醫療裝置唯一相關聯之一識別符產生一裝置特定識別符之祕密金鑰;及 將該裝置特定識別符之祕密金鑰儲存於該安全資料儲存器中;及 一加密子系統,其經組態以: 接收加密資料;及 使用該加密資料及該裝置特定識別符之祕密金鑰產生解密資料; 其中該受信任處理器經組態以禁止自該受信任處理器輸出該裝置特定識別符之祕密金鑰及該主祕密金鑰;及 一設置系統,其包括電腦可讀記憶體及一或多個電腦處理器,其中該設置系統經組態以: 產生該主祕密金鑰及該主公開金鑰;及 將該主祕密金鑰及該主公開金鑰佈建至該複數個醫療裝置之各者之該受信任處理器。
  2. 如請求項1之系統,其進一步包括一驗證系統,該驗證系統包括電腦可讀記憶體及一或多個電腦處理器,其中該驗證系統經組態以: 產生一隨機臨時數字; 至少部分基於該主公開金鑰及該醫療裝置之一識別符來加密該隨機臨時數字以產生一加密臨時數字; 將該加密臨時數字發送至該醫療裝置; 接收來自該醫療裝置之一回應;及 判定該回應是否滿足一或多個識別驗證標準。
  3. 如請求項1之系統,其進一步包括一驗證系統,該驗證系統包括電腦可讀記憶體及一或多個電腦處理器,其中該驗證系統經組態以: 產生一隨機臨時數字; 將該隨機臨時數字發送至該醫療裝置; 接收來自該醫療裝置之一回應,其中該回應包括加密資料; 使用該主公開金鑰及該醫療裝置之一識別符解密該加密資料;及 判定該回應是否滿足一或多個識別驗證標準。
  4. 如請求項1之系統,其進一步包括一初始組態系統,該初始組態系統包括電腦可讀記憶體及一或多個電腦處理器,其中該初始組態系統經組態以: 至少部分基於該主公開金鑰及該醫療裝置之一識別符來使用該醫療裝置執行一識別驗證協定;及 回應於成功完成該識別驗證協定而將一組態檔案發送至該醫療裝置。
  5. 如請求項1之系統,其進一步包括一藥物製備系統,該藥物製備系統包括電腦可讀記憶體及一或多個電腦處理器,其中該藥物製備系統經組態以: 產生控制資料,其包括: 一裝置識別符,其與該醫療裝置相關聯;及 一藥物識別符,其與一藥物容器相關聯; 使用該控制資料、該主公開金鑰及該裝置識別符產生加密控制資料;及 使用該加密控制資料為該藥物容器產生一編碼標籤。
  6. 如請求項1之系統,其中該醫療裝置進一步經組態以: 產生日誌資料; 使用該加密子系統簽署該日誌資料以產生簽署日誌資料;及 將該經簽署日誌資料匯出至一第三方裝置。
  7. 如請求項1之系統,其中該醫療裝置進一步經組態以: 產生一組態備份檔案; 使用該加密子系統簽署該組態備份檔案以產生一經簽署組態備份檔案;及 匯出該經簽署組態備份檔案。
  8. 一種輸液泵,其包括: 一受信任處理器,其包括: 一安全資料儲存器,其儲存一主祕密金鑰; 一祕密金鑰產生器,其經組態以: 使用該主祕密金鑰及與該輸液泵相關聯之一識別符產生一特定識別符之祕密金鑰;及 將該特定識別符之祕密金鑰儲存於該安全資料儲存器中;及 一加密子系統,其經組態以: 接收加密資料;及 使用該特定識別符之祕密金鑰解密該加密資料;及 一馬達,其經組態以使流體自一藥物容器施用。
  9. 如請求項8之輸液泵,其進一步包括一輸入裝置, 其中該輸入裝置經組態以: 自該藥物容器讀取編碼控制資料;及 解碼該編碼控制資料以獲得加密控制資料;及 其中該加密子系統經組態以: 接收該加密控制資料;及 解密該加密控制資料以至少部分基於該特定識別符之祕密金鑰產生解密控制資料,其中該解密控制資料包括一控制裝置識別符。
  10. 如請求項9之輸液泵,其中允許至少部分基於與該輸液泵相關聯之該識別符匹配之該控制裝置識別符來啟動該馬達。
  11. 如請求項8之輸液泵,其進一步包括經組態以自一驗證系統接收一臨時數字之一網路介面, 其中該加密子系統進一步經組態以使用該特定識別符之祕密金鑰加密該臨時數字以產生一加密臨時數字,及 其中該網路介面進一步經組態以將該加密臨時數字發送至該驗證系統。
  12. 如請求項8之輸液泵,其進一步包括經組態以自一驗證系統接收一加密臨時數字之一網路介面, 其中該加密子系統進一步經組態以使用該特定識別符之祕密金鑰解密該臨時數字以產生一解密臨時數字,及 其中該網路介面進一步經組態以將該解密臨時數字發送至該驗證系統。
  13. 如請求項8之輸液泵,其進一步包括一網路介面,該網路介面經組態以: 至少部分基於該特定識別符之祕密金鑰來使用一初始組態系統執行一識別驗證協定;及 回應於成功完成該識別驗證協定而接收來自該驗證系統之一組態檔案。
  14. 如請求項8之輸液泵,其進一步經組態以: 產生日誌資料; 使用該加密子系統簽署該日誌資料以產生簽署日誌資料;及 將該經簽署日誌資料匯出至一第三方裝置。
  15. 如請求項8之輸液泵,其進一步經組態以: 產生一組態備份檔案; 使用該加密子系統簽署該組態備份檔案以產生一簽署組態備份檔案;及 匯出該經簽署組態備份檔案。
TW110132750A 2020-09-05 2021-09-03 基於身份之安全醫療裝置通訊 TW202223708A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN202011038396 2020-09-05
IN202011038396 2020-09-05
US202063108141P 2020-10-30 2020-10-30
US63/108,141 2020-10-30

Publications (1)

Publication Number Publication Date
TW202223708A true TW202223708A (zh) 2022-06-16

Family

ID=80492134

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110132750A TW202223708A (zh) 2020-09-05 2021-09-03 基於身份之安全醫療裝置通訊

Country Status (7)

Country Link
US (1) US20220165404A1 (zh)
EP (1) EP4208798A1 (zh)
AU (1) AU2021337529A1 (zh)
CA (1) CA3192527A1 (zh)
CO (1) CO2023003682A2 (zh)
TW (1) TW202223708A (zh)
WO (1) WO2022051230A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2012325937B2 (en) 2011-10-21 2018-03-01 Icu Medical, Inc. Medical device update system
US20150066531A1 (en) 2013-08-30 2015-03-05 James D. Jacobson System and method of monitoring and managing a remote infusion regimen
US10311972B2 (en) 2013-11-11 2019-06-04 Icu Medical, Inc. Medical device system performance index
EP3138032A4 (en) 2014-04-30 2017-12-20 ICU Medical, Inc. Patient care system with conditional alarm forwarding
US9724470B2 (en) 2014-06-16 2017-08-08 Icu Medical, Inc. System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy
CA3030786A1 (en) 2016-07-14 2018-01-18 Icu Medical, Inc. Multi-communication path selection and security system for a medical device
NZ772135A (en) 2018-07-17 2022-11-25 Icu Medical Inc Systems and methods for facilitating clinical messaging in a network environment
NZ771914A (en) 2018-07-17 2023-04-28 Icu Medical Inc Updating infusion pump drug libraries and operational software in a networked environment

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7962655B2 (en) * 2002-07-29 2011-06-14 Oracle International Corporation Using an identity-based communication layer for computing device communication
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
DE102007045743A1 (de) * 2007-09-25 2009-04-02 Siemens Ag Verfahren und System zum Schutz gegen einen Zugriff auf einen Maschinencode eines Gerätes
DK2320621T3 (en) * 2009-11-06 2016-12-19 Hoffmann La Roche A method of establishing a cryptographic communication between a remote device and a medical device and system for carrying out this method
US8788842B2 (en) * 2010-04-07 2014-07-22 Apple Inc. System and method for content protection based on a combination of a user PIN and a device specific identifier
US20120102568A1 (en) * 2010-10-26 2012-04-26 Mcafee, Inc. System and method for malware alerting based on analysis of historical network and process activity
WO2013046088A1 (en) * 2011-09-27 2013-04-04 Koninklijke Philips Electronics N.V. Management of group secrets by group members
IN2013MU01234A (zh) * 2013-03-28 2015-04-10 Tata Consultancy Services Ltd
WO2014167525A1 (en) * 2013-04-10 2014-10-16 Lynxguard Ltd. Secure backup and recovery system for private sensitive data
ES2731219T3 (es) * 2013-11-19 2019-11-14 Icu Medical Inc Sistema y método de automatización de bomba de infusión
US10097353B1 (en) * 2015-09-22 2018-10-09 Amazon Technologies, Inc. Digital unlocking of secure containers
US20170293913A1 (en) * 2016-04-12 2017-10-12 The Governing Council Of The University Of Toronto System and methods for validating and performing operations on homomorphically encrypted data
US10558812B2 (en) * 2017-06-21 2020-02-11 Microsoft Technology Licensing, Llc Mutual authentication with integrity attestation
EP3680797B1 (de) * 2019-01-14 2021-10-27 MUSE Electronics GmbH Manipulationsgeschütztes datenverarbeitungsgerät
JP2022543239A (ja) * 2019-08-02 2022-10-11 アボット ダイアベティス ケア インコーポレイテッド 薬剤用量ガイダンスに関連するシステム、デバイスおよび方法

Also Published As

Publication number Publication date
EP4208798A1 (en) 2023-07-12
US20220165404A1 (en) 2022-05-26
AU2021337529A1 (en) 2023-05-18
WO2022051230A1 (en) 2022-03-10
CA3192527A1 (en) 2022-03-10
CO2023003682A2 (es) 2023-04-27

Similar Documents

Publication Publication Date Title
TW202223708A (zh) 基於身份之安全醫療裝置通訊
US8953790B2 (en) Secure generation of a device root key in the field
CN106797317A (zh) 安全共享密钥共享系统及方法
US8504838B2 (en) Integrity protected smart card transaction
CN106778205A (zh) 运用物理不可克隆函数的无数据库验证
CN109981255B (zh) 密钥池的更新方法和系统
CN109981562B (zh) 一种软件开发工具包授权方法及装置
CN110688660B (zh) 一种终端安全启动的方法及装置、存储介质
JP2006504309A (ja) 装置鍵
US20170264430A1 (en) Cryptographic key generation and distribution
JP2009517911A (ja) Cpufsを使用した近傍の証明
CN107920052B (zh) 一种加密方法及智能装置
CN105450420B (zh) 基于二维码实现一次性密码验证的方法和系统
WO2014187206A1 (zh) 一种备份电子签名令牌中私钥的方法和系统
CN110910978A (zh) 一种应用于区块链网络的信息处理方法及相关装置
WO2018197739A1 (en) Medicine supply control
WO2014187210A1 (zh) 一种电子签名令牌私钥的备份方法和系统
CN107958155A (zh) 一种系统初始化方法和装置
KR20120026194A (ko) 전자처방전 제어 관리 시스템, 병원단말장치, 및 전자처방전을 제어 관리하는 방법
CN112257093B (zh) 数据对象的鉴权方法、终端及存储介质
US20130173923A1 (en) Method and system for digital content security cooperation
US20230108034A1 (en) Method and System for Secure Interoperability between Medical Devices
CN115859267A (zh) 一种应用程序安全启动的方法、存储控制芯片和电子设备
CN114465803A (zh) 对象授权方法、装置、系统及存储介质
KR20160076731A (ko) 스마트 그리드 기기 인증 방법