專利名稱:用于無線醫(yī)療設備可靠通信的消息完整性的制作方法
技術領域:
本發(fā)明涉及醫(yī)療技術。本發(fā)明發(fā)現了與醫(yī)療無線設備相結合的特定應用,并且特別參照這方面對本發(fā)明進行描述。然而,應當理解,本發(fā)明也將應用于其他類似的醫(yī)療設備。
背景技術:
無線醫(yī)療設備越來越多地應用于連續(xù)護理監(jiān)測當中,從而在單個患者周圍形成一個身體區(qū)域網絡。當傳感器節(jié)點附著于患者身體時,立即形成一個身體區(qū)域傳感器網絡。在身體區(qū)域網絡中,醫(yī)療設備利用ZigBee、Bluetooth或其他現有短距離無線技術進行對等網絡通信。每個醫(yī)療設備都提供一組醫(yī)療服務,并且可要求訪問由其他設備提供的一組醫(yī)療服務。
確保無線醫(yī)療設備傳輸的信息和無線醫(yī)療設備之間傳輸的信息得到可靠保護是非常重要的。通常通過保證消息的保密性和完整性來確保醫(yī)療設備之間的無線通信安全。對通信數據進行加密,從而保護所傳送的消息的內容,因此侵入者不能讀出或修改消息。數據完整性機制確保了所傳送的消息的完整性,因此入侵者不能通過修改消息和/或通過先竊聽后重放(replay)消息來危及通信安全。例如,在重放攻擊中,通信敵手起初可以竊聽由授權通信方交換的加密信息,然后存儲竊聽到的消息,最終在經過一段時間之后,對竊聽到的消息進行重放。因為重放的消息是以有效密鑰進行加密的,所以通信方可能會將這些消息當作可靠消息而接受它們。將舊數據作為可靠數據而接受下來可能會帶來嚴重后果,尤其在醫(yī)療領域,大部分傳送的消息都包含患者的重要數據。通過提供帶有唯一性(uniqueness)和時間性(timeliness)保證的消息完整性,可以消除這種擔憂。
傳統上,通過向待發(fā)送的消息加密綁定時間戳,比如,向消息附加時間戳并加密或計算由此產生的消息的MAC,提供了具有唯一性和時間性保證的消息完整性。解密接收到的消息之后,當且僅當附加的時間戳與授權的接收器自身當前時鐘差異極小時,授權的接收器才接受該消息。通常,發(fā)送器和接收器具有它們自己的內部時鐘,這些內部時鐘與共有時間基準“松散同步”。在傳統基礎網絡中,比如因特網或局域網中,計算機能可靠地從提供共有時鐘的中央時間服務器取得共有基準時間。然而,在無線身體區(qū)域無線網絡中,無線醫(yī)療設備進行通信時不需要專門連接到駐有時間服務器的任何基礎網絡中。另外,因為這些設備由電池供電,而每當醫(yī)療設備電池耗盡時會清除時間基準,所以這些設備在整個使用壽命中不能預先設置時間基準。另外,它們各自獨立的內部時鐘將隨著時間變化而產生偏差。最后,因為消息唯一性和時間性的可靠性最終取決于時鐘完整性,所以,時鐘同步過程必須可靠,從而防止對手向后復位時鐘以便恢復舊消息的有效性,或者防止對手向前設置時鐘而為某些未來時間點做準備。
本發(fā)明提供一種新的和改進的裝置及方法,可以克服上述相關難題。
發(fā)明內容
根據本發(fā)明的一個方面,公開了一種網絡系統。該系統包括多個用于互相發(fā)送或接收消息的醫(yī)療設備,每條消息都包括數據部分和時間戳。每個醫(yī)療設備都包括附著于患者身體的傳感器,至少密切地監(jiān)測循環(huán)(recurring)的生命體征,還包括產生時間戳的時間戳產生裝置。
根據本發(fā)明的另一個方面,公開了一種在醫(yī)療設備之間聯網的方法。每個醫(yī)療設備都包括附著于患者身體的傳感器??煽康乇O(jiān)測患者共有的至少一個循環(huán)生命體征。產生基于循環(huán)生命體征的時間戳。一個醫(yī)療設備向另一個醫(yī)療設備發(fā)送消息,并接收來自另一個醫(yī)療設備的消息。每條消息都包括數據部分和時間戳。
本發(fā)明的一個優(yōu)點在于,自動地提供無線醫(yī)療設備的時間同步,而無需連接到外部服務器,以獲得時間同步。
本發(fā)明的另一個優(yōu)點在于,可靠的無線醫(yī)療設備同步,這些無線醫(yī)療設備的傳感器附于同一患者的身體,在患者身體處產生了用于同步的生命體征。
本發(fā)明的另一個優(yōu)點在于,無需用戶介入即可提供無線醫(yī)療設備的時間同步。
本發(fā)明的另一個優(yōu)點在于,取決于生命體征的重復模式而自動周期性地/間歇性地/偶然性地再次同步。
本發(fā)明的另一優(yōu)點在于,降低了無線醫(yī)療設備同步所需的處理時間和通信開銷。
本領域普通技術人員一旦閱讀和理解了下列詳細描述的優(yōu)選實施例,則會相當清楚本發(fā)明更進一步的優(yōu)點和益處。
本發(fā)明可由各種組件和組件設置構成,并由各種步驟和步驟設置構成。附圖的目的僅僅在于說明優(yōu)選實施例,并不能理解是對本發(fā)明的限制。
圖1是包括醫(yī)療設備的系統的示意圖;圖2是圖1所示系統的一部分的示意圖;以及圖3是患者ECG圖像直方圖的示例圖像。
具體實施例方式
參考圖1,系統10用于可靠地使醫(yī)療設備同步并提供帶有時間性和唯一性的消息完整性,該系統包括多個醫(yī)療無線設備或裝置或節(jié)點121、122、...12n,比如,ECG、血氧傳感器、脈沖監(jiān)測器、注射泵、滴液監(jiān)測器等等。每個醫(yī)療設備121、122、...12n都包括傳感器14,它通常放置于患者16的身體附近,或接觸于患者16的身體,用于連續(xù)測量生命體征。每個醫(yī)療設備121、122、...12n更進一步地包括發(fā)送器18,它借助于傳送/接收鏈路22、24,通過無線方式將生命體征測量數據傳送到其他醫(yī)療設備或(可移動的)床邊監(jiān)測器20。醫(yī)療設備121、122、...12n運行通信協議,它使得第一醫(yī)療設備121將消息分發(fā)到其他醫(yī)療設備122、...12n。優(yōu)選地,在附著于患者16之前,醫(yī)療設備121、122、...12n采用共享密鑰進行初始化,從而確保通信的隱私性和真實性。在一個實施例中,一個或多個醫(yī)療設備121、122、...12n是移動裝置,諸如無線生命體征傳感器等等,它們可以直接附著于患者16。
繼續(xù)參考圖1,并且更進一步地參考圖2和圖3,第一醫(yī)療設備消息裝置26產生并可靠地將經過加密和帶有時間戳的消息M發(fā)送到第二醫(yī)療設備122。更具體地,每個醫(yī)療設備121、122都包括時鐘同步裝置或進程40、42,它們自動地使每個對應的醫(yī)療設備121、122的關聯內部時鐘44、46同步。每個對應的醫(yī)療設備121、122的峰值檢測裝置48、50都檢測生命體征(例如,心搏)峰值,通常情況下,生命體征峰值是ECG信號的一個特征峰值。當峰值檢測裝置48、50檢測到峰值時,每個對應的醫(yī)療設備121、122內部的計時器歸零裝置52、54將對應的內部時鐘44、46設置為零,在這種情況下,每個對應的醫(yī)療設備121、122的內部時鐘44、46開始計時。
在一個實施例中,為了提高效率,醫(yī)療設備121、122不再每當存在新的生命體征峰值就連續(xù)地進行同步,而是按照需要進行同步。更具體地說,不再由第一和第二峰值檢測裝置48、50不斷地監(jiān)測生命體征的峰值,而是由第一消息裝置26激活第一峰值檢測裝置48,從而開始檢測生命體征峰值。同時,第一消息裝置26向通信系統10的其他的醫(yī)療設備(諸如第二醫(yī)療設備122)傳送“喚醒”廣播。這樣,第二醫(yī)療設備峰值檢測裝置50被激活了,然后它開始檢測生命體征峰值。當第一和第二峰值檢測裝置48、50檢測到峰值時,對應的第一和第二計時器歸零裝置52、54將第一和第二內部時鐘44、46的內部時間設置成零。第一和第二內部時鐘44、46開始計時。
第一時間戳產生裝置60利用第一內部時鐘44的計時來產生基于生命體征的時間戳TSEND,然后將產生的時間戳TSEND添加到消息M。加密裝置62對帶有時間戳的消息M進行加密,然后將消息M發(fā)送到第二醫(yī)療設備122的第二消息裝置64。第二醫(yī)療設備解密裝置66對包括附加時間戳TSEND的消息M進行解密。第二內部時鐘46提供一個消息接收內部時間計數值TRECEIVE。第二醫(yī)療設備時間戳驗證裝置68相對于消息接收內部時間值TRECEIVE對時間戳TSEND進行驗證。如果接收的時間戳TSEND與消息接收時間值TRECEIVE相比僅略有差異,即,TRECEIVE-ε≤TSEND≤TRECEIVE+ε,那么接受消息M。如果接收的時間戳TSEND與消息接收時間值TRECEIVE相比而言差異明顯,即,TRECEIVE-ε≥TSEND≥TRECEIVE+ε,那么可認為消息M為重放消息,并且拒絕消息M。ε值必須選擇合適的小數值,從而阻止消息重放。
在一個實施例中,在預定的暫停周期TTIMEOUT之后,同步過程40、42終止。
在一個可選實施例中,基于生命體征的時間戳包括自任意復位時間以后的周期性生理機能的重現次數的計數。比如,一個設備向全部設備發(fā)送復位或喚醒信號,會導致這些設備將計數器歸零。此后,每個設備都計數自上一次復位以后所檢測到的周期數,比如心搏周期的R波峰數量。這個計數提供了用于時間戳的相對時間信息。
作為另一種可選方式,時間戳是自上一次R-波峰或其他生命體征重現以后R波峰數量或其他生命體征重現數量的組合。
以上一參照優(yōu)選實施例描述了本發(fā)明。一旦閱讀和理解了先前的詳細說明,其他人可以進行修改和變更。本發(fā)明包括落入所附權利要求及其等效內容范圍之內的全部修改和變更。
權利要求
1.一種網絡系統(10),包括多個醫(yī)療設備(121、122、...12n),用于向其他醫(yī)療設備發(fā)送消息(M)或從其他醫(yī)療設備接收消息,每條消息包括數據部分和時間戳,每個醫(yī)療設備(121、122、...12n)包括附著于患者(16)的傳感器(14),用于至少密切監(jiān)測循環(huán)生命體征;以及時間戳產生裝置(60),用于產生基于所述循環(huán)生命體征的時間戳。
2.如權利要求1所述的系統,其中每個同步裝置(40、42)包括第一和第二峰值檢測裝置(48、50),用于檢測所監(jiān)測的循環(huán)生命體征的峰值,至少第一和第二醫(yī)療設備(121、122)共有所述所監(jiān)測的循環(huán)生命體征。
3.如權利要求1所述的系統,更進一步包括同步裝置(40、42),用于使至少第一和第二通信醫(yī)療設備(121、122)同步,從而評估消息(M)離開第一醫(yī)療設備(121)的發(fā)送時間(TSEND)和所述消息(M)到達第二醫(yī)療設備(122)的接收時間(TRECEIVE)之間的差異。
4.如權利要求3所述的系統,其中每個同步裝置(40、42)更進一步地包括計時器歸零裝置(52、54),當對應的所述第一和第二峰值檢測裝置(48、50)檢測到所述峰值時,所述計時器歸零裝置(52、54)初始化每個關聯的醫(yī)療設備(121、122)的第一和第二內部計時器(44、46),在這種情況下,每個初始化的內部計時器(44、46)開始新的計時。
5.如權利要求4所述的系統,其中所述時間戳表示所述信息(M)離開所述第一醫(yī)療設備(121)的所述發(fā)送時間(TSEND),并且所述時間戳對應于自第一檢測裝置(48)檢測到上一次峰值以來所測得的第一內部計時器(44)的時間標準量度。
6.如權利要求5所述的系統,其中所述第一醫(yī)療設備(121)更進一步地包括加密裝置(62),用于在將所述消息(M)發(fā)送到所述第二醫(yī)療設備(122)之前,對所述消息(M)進行加密。
7.如權利要求6所述的系統,其中所述第二醫(yī)療設備(122)包括時間戳驗證裝置(68),用于將表示所述發(fā)送時間(TSEND)的所述附著的時間戳與所述消息(M)到達所述第二醫(yī)療設備(122)的所述接收時間(TRECEIVE)進行比較,其中接收時間(TRECEIVE)對應于自第二檢測裝置(50)檢測到上一次峰值以來所測得的第二內部計時器(46)的時間標準量度。
8.如權利要求3所述的系統,其中自動執(zhí)行所述同步。
9.如權利要求3所述的系統,其中在所述醫(yī)療設備(121、122,...,12n)中的一個醫(yī)療設備進行請求的情況下,執(zhí)行所述同步。
10.如權利要求1所述的系統,所述時間戳表示自共有的復位時間以后所述循環(huán)生命體征功能的重現次數。
11.一種在醫(yī)療設備(121、122、...12n)間聯網的方法,其中每個醫(yī)療設備都包括一個傳感器(14),所述方法包括將所述傳感器(14)附著于患者(16)身體上;至少監(jiān)測所述患者的循環(huán)生命體征;產生基于循環(huán)生命體征的時間戳;以及從一個醫(yī)療設備向另一個醫(yī)療設備發(fā)送消息(M)并接收來自另一個醫(yī)療設備的消息(M),每條消息包括數據部分和所述時間戳。
12.如權利要求11所述的方法,更進一步包括至少對第一和第二通信醫(yī)療設備(121、122)進行同步。
13.如權利要求12所述的方法,更進一步地包括通過所述第一和第二醫(yī)療設備檢測所述受監(jiān)測的循環(huán)共有生命體征的峰值,其中生命體征至少對第一和第二醫(yī)療設備是共有的,并且其中所述同步步驟包括自動地將所述第一和第二醫(yī)療設備同步到所述檢測到的峰值。
14.如權利要求13所述的方法,其中所述同步步驟更進一步地包括當利用相關聯的第一和第二醫(yī)療設備檢測到所述峰值時,初始化對應的內部計時器(44、46);以及在每個相關聯的醫(yī)療設備(121、122)的每個內部計時器中開始新的計時。
15.如權利要求14所述的方法,更進一步地包括在將所述消息發(fā)送到所述第二醫(yī)療設備之前,在所述第一醫(yī)療設備中加密所述消息(M);在加密之前將時間戳添加到所述消息(M),其中時間戳表示所述消息(M)離開所述第一醫(yī)療設備的所述發(fā)送時間(TSEND),并且時間戳對應于自第一醫(yī)療設備檢測到上一次峰值以來測得的所述第一內部計時器(44)的時間標準量度;在所述第二醫(yī)療設備接收所述消息(M);以及將所述附著的時間戳與所述信息(M)到達所述第二醫(yī)療設備(122)的所述接收時間(TRECCEIVE)進行比較,其中接收時間(TRECEIVE)對應于自第二醫(yī)療設備檢測到上一次峰值以來測得的所述第二內部計時器(46)的時間標準量度。
16.如權利要求15所述的方法,更進一步包括評估消息(M)離開所述第一醫(yī)療設備(121)的發(fā)送時間(TSEND)和所述消息(M)到達所述第二醫(yī)療設備(122)的接收時間(TRECEIVE)之間的差異。
17.如權利要求16所述的方法,更進一步地包括下列之一在所述第二醫(yī)療設備接受所述消息(M),其中所述添加的時間戳基本上等于自所述第二醫(yī)療設備檢測到上一次峰值以來測到的,所述第二內部計時器的時間標準量度;以及在所述第二醫(yī)療設備拒絕所述消息(M),其中所述添加的時間戳完全不同于自所述第二醫(yī)療設備檢測到上一次峰值以來測到的所述第二內部計時器的時間標準量度。
18.如權利要求12所述的方法,其中所述同步步驟包括初始化檢測由所述第一和第二醫(yī)療設備所監(jiān)測的共有的生命體征峰值;以及當檢測到所述峰值時,使相關聯的第一和第二內部計時器同步。
19.如權利要求12所述的方法,其中所述同步步驟包括發(fā)送一個信號,從而將所述第一和第二醫(yī)療設備復位,并且更進一步地包括計數所述共有的循環(huán)生命體征的重現次數;以及將所述計數并入所述時間戳。
20.如權利要求19所述的方法,更進一步地包括測量自所述循環(huán)生命體征上一次重現以來的時間;以及將所述測量得到的時間并入所述時間戳。
全文摘要
本發(fā)明涉及一種系統(10),用于可靠地使醫(yī)療設備同步并提供帶有時間性和唯一性的消息完整性,該系統包括多個醫(yī)療無線設備(1文檔編號A61B1/00GK101073083SQ200580038558
公開日2007年11月14日 申請日期2005年11月4日 優(yōu)先權日2004年11月12日
發(fā)明者H·巴爾杜斯, D·S·桑切斯 申請人:皇家飛利浦電子股份有限公司