醫(yī)療裝置和其遙控裝置之間的可靠通信的制作方法
【專利摘要】回送機(jī)制本發(fā)明涉及一種醫(yī)療組件�����,其確保醫(yī)療裝置(比如胰島素泵)和其遙控器之間的安全通信,該遙控器管理該醫(yī)療裝置�。為達(dá)到這種效果,該組件使用外部微控制器(MCU)��,該外部微控制器包含安全的數(shù)據(jù)并且使用密碼機(jī)制來與該醫(yī)療裝置通信����。一個單獨(dú)的外部微控制器(MCU)僅通過以下方式與一個醫(yī)療裝置配對:使得患者能夠若干次地改變遙控裝置,盡管知道該遙控裝置是其中插入有所述外部的受保護(hù)的MCU的����、與該醫(yī)療裝置配對的單獨(dú)的遙控裝置。在所述組件中�,所述醫(yī)療裝置和所述外部微處理器(MCU)包含安全存儲器,該存儲器以所述設(shè)備預(yù)先知道良好配置的方式包含無線通信配置��。
【專利說明】醫(yī)療裝置和其遙控裝置之間的可靠通信
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及醫(yī)療裝置的遙控器���,該醫(yī)療裝置例如但不限于輸送裝置(例如����,胰島素泵)和/或無線傳感器(例如�,連續(xù)血糖儀(glucose meter))和/或可植入裝置和/或采樣裝置���。
【背景技術(shù)】
[0002]需要遙控器來控制像膜片泵(patch pump) 一樣輕和小的一些醫(yī)療裝置,例如胰島素泵��,原因是患者很難看到位于泵自身上的顯示器的內(nèi)容��。如今多數(shù)泵使用專用的私人遙控器���,表示將另一裝置帶在身邊���,具有它可能產(chǎn)生的所有缺點(diǎn),例如是:
[0003]找個口袋以將它放在可以快速和容易存取的安全位置��。
[0004]不要忘了你的遙控器�����。
[0005]考慮為它充電或具有備用電池����。
[0006]防止它由于掉落或任何“惡劣”的外部條件��、例如暴露于陽光或沙而退化���。
[0007]防止使用另一特定裝置的一種方式是將遙控器功能集成到患者已經(jīng)隨身攜帶的現(xiàn)有裝置中�,例如但不限于血糖儀或手機(jī),其應(yīng)該具有集成遙控器特征所需的所有能力��。
[0008]為了該目的使用手機(jī)是很有吸引力的��,但是帶來在允許它用于規(guī)劃胰島素泵之前必須解決的許多安全問題����。其中必須保證的重要安全特征是:
[0009]向用戶顯示的數(shù)據(jù)的完整性。
[0010]發(fā)送到胰島素泵的命令的完整性�。
[0011]存儲有患者的治療參數(shù)以及輸注歷史的日志和事件的數(shù)據(jù)庫的完整性和保護(hù)。
[0012]安全地配對醫(yī)療裝置和它的遙控器�����。
[0013]在任何時候軟件的響應(yīng)性(例如���,當(dāng)另一軟件具有焦點(diǎn)時發(fā)出警報����,當(dāng)其它任務(wù)使諸如MCU等的資源超負(fù)荷時處理用戶請求的能力等)��。
【發(fā)明內(nèi)容】
[0014]本申請要求以Debiotech的名義于2011年10月28日提交的EP11187121.6的優(yōu)先權(quán)和以Debiotech的名義于2012年7月9日提交的EP12175498.0的優(yōu)先權(quán),上述申請的完整公開通過引用被合并于本文中����。
[0015]本發(fā)明的目的是提供一種用于確保醫(yī)療裝置和它的遙控器之間的通信的魯棒環(huán)境。在本文獻(xiàn)中����,語句“確保通信”必須被理解為用于保證遙控器和醫(yī)療裝置之間的數(shù)據(jù)交換是正確的所有手段,所述數(shù)據(jù)由經(jīng)授權(quán)的操作者(例如��,患者���,也稱為用戶)使用正確裝置發(fā)送并且正確地被接收��。所述手段可以是對數(shù)據(jù)或應(yīng)用程序或操作系統(tǒng)的完整性的檢查���、加密過程、配對過程���、操作者的身份的驗(yàn)證…��。為此,本發(fā)明可以包括使用回送(loopback)過程的醫(yī)療組件(包括所述醫(yī)療裝置及其遙控器)和/或包含虛擬化平臺的所述遙控器(或?qū)儆卺t(yī)療裝置的附加微控制器)和/或使用附加微控制器(MCU)的所述組件����,其插入(替代地插接到)遙控器中���,可以包含安全數(shù)據(jù)和/或可以使用密碼機(jī)制以與所述醫(yī)療裝置通信。使用所述三種不同手段(MCU��、回送�����、虛擬化)允許明顯地改善安全性����,但是也可能僅僅使用所述手段中的一種或兩種。
[0016]所述醫(yī)療組件可以包括遙控器�����,所述遙控器可以管理和/或監(jiān)視至少一個醫(yī)療裝置��,例如但不限于輸送裝置和/或無線傳感器和/或可植入裝置和/或采樣裝置和/或血糖監(jiān)測…����。
[0017]所述醫(yī)療裝置包括允許與遙控器無線通信的通信裝置,包含確保所述通信的密鑰信息的內(nèi)部安全存儲器���。所述醫(yī)療裝置與包括安全存儲器的僅僅一個微控制器(MCU)配對�,所述安全存儲器也包含所述密鑰信息。所述MCU設(shè)計成插接到遙控器中��。
[0018]在使用外部微控制器的一個實(shí)施例中����,適合于建立醫(yī)療裝置和遙控器之間的安全通信的所述組件包括:
[0019]遙控器,所述遙控器包括:
[0020]允許與所述醫(yī)療裝置無線通信的通信裝置���,
[0021]用來插接附加微控制器(MCU)的連接裝置�����,
[0022]顯示裝置(可選地)�����,
[0023]至少一個輸入裝置����,
[0024]至少一個處理器����,其連接到所述通信裝置、所述連接裝置��、(可選地�����,所述顯示裝置)和所述輸入裝置���;
[0025]醫(yī)療裝置�����,所述醫(yī)療裝置包括:
[0026]允許與所述遙控器無線通信的通信裝置���,
[0027]內(nèi)部安全存儲器;
[0028]可以連接到所述遙控器的MCU ;所述MCU還包括安全存儲器����;
[0029]其中至少一個醫(yī)療裝置與僅僅一個MCU專門地配對;
[0030]其中所述醫(yī)療裝置的內(nèi)部存儲器和所述MCU的安全存儲器包含用來確保通信的密鑰信息��。
[0031]在本文獻(xiàn)中����,微控制器(MCU)可以是插入遙控器中的集成芯片或插接在遙控器中的外部裝置��。典型地�,MCU包括CPU��、RAM�����、某種形式的ROM��、I/O端口和定時器��。不同于包括其它部件的計算機(jī)或遙控器��,微控制器(MCU)設(shè)計成用于很具體的任務(wù)���,例如控制特定系統(tǒng)���。因此,MCU可以簡化和減小�,這削減生產(chǎn)成本。而且���,所述MCU不帶來(遙控器的)OS可以用來改善遙控器的性能的另外的CPU和存儲器�����,但是它帶來其它功能性���,特別是帶來更多安全性。遙控器的MCU和CPU是不同的并且具有不同任務(wù)�。在本發(fā)明中,MCU以一定的方式完全獨(dú)立于遙控器使得MCU可以與不同遙控器一起使用�����。所述MCU可以是智能卡�����、Sim卡���、SD卡,例如SDIO卡(安全數(shù)字輸入輸出)…��。在該文獻(xiàn)中����,我們可以不加區(qū)分地(indifferently)使用以下術(shù)語:外部微控制器或附加微控制器或MCU����。
[0032]在優(yōu)選實(shí)施例中��,所述醫(yī)療裝置和所述MCU包括包含無線通信配置的安全存儲器�����。以這樣的方式��,所述裝置和所述MCU事先知道良好配置�。特別地���,所述MCU可以包含用于將遙控器連接到醫(yī)療裝置并 且保護(hù)所述通信的密鑰信息����。
[0033]因此��,所述MCU與僅僅一個醫(yī)療裝置配對并且所述MCU插入遙控器中��;以這樣的方式����,只有包含所述MCU的遙控器能夠管理和/或監(jiān)視所述醫(yī)療裝置。而且���,當(dāng)知道所述MCU插入其中的遙控器是可以管理和/或監(jiān)視醫(yī)療裝置的單獨(dú)遙控器時�,患者可以改變遙控器。
[0034]在另一實(shí)施例中����,遙控器管理和/或監(jiān)視至少兩個醫(yī)療裝置。在該情況下��,所述兩個醫(yī)療裝置可以與僅僅一個MCU配對�,作為選擇每個醫(yī)療裝置與它自身的MCU配對����。
[0035]在一個實(shí)施例中,所述MCU包含用以將所述醫(yī)療組件和醫(yī)療服務(wù)器連接的密鑰信息�。在該實(shí)施例中,醫(yī)療組件可以使用遙控器的數(shù)據(jù)通信裝置�����。因此��,所述MCU可以包含確保醫(yī)療組件和醫(yī)療服務(wù)器之間的通信的所有信息�����,例如但不限于用戶認(rèn)證、加密參數(shù)…�。
[0036]在一個實(shí)施例中,MCU可以在安全存儲器中至少存儲由醫(yī)療裝置發(fā)送的數(shù)據(jù)的集合或由遙控裝置或其它裝置提供的數(shù)據(jù)的其它集合�����。在另一實(shí)施例中�����,所述數(shù)據(jù)被加密并且存儲在遙控裝置或醫(yī)療裝置中�,但是僅僅MCU(或醫(yī)療裝置)包含解密所述數(shù)據(jù)的密鑰。
[0037]在其中遙控器使用虛擬平臺的一個實(shí)施例中�����,遙控器包含虛擬化平臺�,所述虛擬化平臺包括:[0038]主機(jī)操作系統(tǒng)(hOS),其為至少一個客戶操作系統(tǒng)(gOS)仿效硬件部件���,
[0039]第一 gOS���,其處理常用功能,例如但不限于日歷或聯(lián)系方式,所有那些常用功能設(shè)計成在非受控環(huán)境下使用�,
[0040]醫(yī)療操作系統(tǒng)(mOS),其處理醫(yī)療裝置的遙控器功能����,所有那些遙控器功能設(shè)計成在受控環(huán)境下使用。所述mOS可以是特定gOS�。
[0041]在本文獻(xiàn)中,語句“主機(jī)操作系統(tǒng)”必須被理解為盡可能薄(thin)的操作系統(tǒng)��,例如增強(qiáng)的管理程序���,其單獨(dú)管理并且共享所有遙控器外圍設(shè)備���,例如RAM�����、Flash��、UART,Wifi…�����。hOS不處理常用功能,它的目的是確保命令發(fā)送到醫(yī)療裝置���。
[0042]在一個實(shí)施例中��,MCU(例如上述的)插接到遙控器中���,但是所述主機(jī)操作系統(tǒng)不能管理和共享所述MCU的外圍設(shè)備。
[0043]在優(yōu)選實(shí)施例中����,所述hOS不只是標(biāo)準(zhǔn)管理程序。盡管盡可能薄�����,所述hOS包含一些操作過程以拒絕一些應(yīng)用程序(在非受控環(huán)境或受控環(huán)境下運(yùn)行)或提供一些優(yōu)先級�����。
[0044]在本文獻(xiàn)中�����,語句“客戶操作系統(tǒng)”必須被理解為處理常用功能(打電話�、發(fā)送數(shù)據(jù)��、日歷…)的標(biāo)準(zhǔn)操作系統(tǒng)(例如但不限于Android����、來自Apple的iOS...)或特定操作系統(tǒng)(例如醫(yī)療操作系統(tǒng))��。所述不同的客戶操作系統(tǒng)可以彼此強(qiáng)隔離地共存于相同的遙控器上�。
[0045]在本文獻(xiàn)中,語句“受控環(huán)境”必須被理解為一空間�,在其中:
[0046]預(yù)期應(yīng)用程序的響應(yīng)性是確定的,
[0047]軟件包和操作系統(tǒng)的列表和版本是已知的并且不能由用戶改變�����,
[0048]對硬件部件的訪問是受控的和有保障的�����,
[0049]硬件部件(CPU�����、存儲器���、RF鏈路等)的響應(yīng)性是確定的,
[0050]預(yù)定的最小帶寬總是被保障以訪問硬件部件(例如,CPU����、網(wǎng)絡(luò)RF鏈路等),
[0051]至少一個醫(yī)療應(yīng)用程序和/或mOS運(yùn)行并且被存儲����。
[0052]受控和非受控環(huán)境完全隔離。
[0053]因此�����,非受控環(huán)境對硬件和受控環(huán)境之間的交互不具有可見性��。有利地�,處于受控環(huán)境下的客戶操作系統(tǒng)或應(yīng)用程序(例如但不限于醫(yī)療操作系統(tǒng)和/或醫(yī)療應(yīng)用程序)具有優(yōu)于另一個的優(yōu)先級。由此���,主機(jī)操作系統(tǒng)決定阻止在非受控環(huán)境下運(yùn)行的應(yīng)用程序以便避免由該應(yīng)用程序?qū)е碌娜魏胃蓴_���。主機(jī)操作系統(tǒng)也可以決定來自受控或非受控環(huán)境的哪個應(yīng)用程序?qū)⒃谄聊簧先〉媒裹c(diǎn)(take the focus on the screen)。
[0054]在一個實(shí)施例中��,根據(jù)本發(fā)明的遙控器是手機(jī)�??梢允褂萌魏魏线m的OS�,例如Android。遙控器與醫(yī)療裝置組合使用�����。有利地�,遙控器功能設(shè)計成用于對胰島素泵進(jìn)行遙控。
[0055]在使用外部MCU的一個實(shí)施例中�,所述MCU也用于認(rèn)證和保證hOs的完整性。
[0056]在醫(yī)療組件的一個實(shí)施例中�,所述組件有利地包括兩個對象(例如,胰島素泵和遙控器)之間的回送機(jī)制���。
[0057]在本文獻(xiàn)中��,回送機(jī)制不是對由用戶輸入的數(shù)據(jù)的簡單確認(rèn)���。回送機(jī)制允許確認(rèn)由醫(yī)療裝置接收的數(shù)據(jù)��。因此���,用戶輸入命令(用輸入裝置)并且經(jīng)由安全通信將它發(fā)送到醫(yī)療裝置���。由于所述機(jī)構(gòu),在啟動命令之前����,醫(yī)療裝置必須請求確認(rèn)接到的命令是否是由他發(fā)送的命令。當(dāng)用戶向醫(yī)療裝置確認(rèn)時�,命令被啟動。有利地���,為了改善安全性�,用戶必須輸入PIN碼以確認(rèn)命令����。
[0058]可以通過在遙控器中使用附加的受保護(hù)的MCU、例如智能卡或SM或SD卡…有利地保護(hù)回送機(jī)制的安全性和與醫(yī)療裝置的連接�����。
[0059]本發(fā)明特別地提供以下優(yōu)點(diǎn):
[0060]本發(fā)明也提供受控環(huán)境�����,其中響應(yīng)性��、完整性和安全性由下層操作系統(tǒng)架構(gòu)的核心設(shè)計來保證。
[0061]所提出的解決方案提供安全環(huán)境����,其例如可以阻止任何不期望的應(yīng)用程序,該程序可能會通過改變療法��、例如規(guī)劃患者不希望的若干附加輸注來模仿正常使用���。
[0062]使用作為智能卡獨(dú)立于遙控器的MCU允許自動地和安全地連接遙控器和醫(yī)療裝置而在配對過程期間不被另一裝置看到`���。
[0063]使用可以插入或插接到不同遙控器、例如手機(jī)中的MCU允許在有問題(電池電量不足�、忘記或丟失遙控器)的情況下改變遙控器。
[0064]使用回送過程允許保證在醫(yī)療裝置(例如��,胰島素泵)中規(guī)劃的值對應(yīng)于在遙控器上由用戶預(yù)期的值�����。
[0065]在回送過程結(jié)束時�����,用戶優(yōu)選地通過在遙控器上輸入PIN碼(只有用戶知道)來認(rèn)可該值。使用所述PIN碼保證該確認(rèn)由正確用戶批準(zhǔn)��。
[0066]使用虛擬平臺保證醫(yī)療應(yīng)用程序或mOS優(yōu)先和安全地運(yùn)行���。
[0067]hOS保證一些外圍設(shè)備(MCU、LED����、屏幕的一部分、振動器…)僅僅由醫(yī)療應(yīng)用程序和/或mOS使用����。
【專利附圖】
【附圖說明】
[0068]下面用通過以下附圖示出的例子更詳細(xì)地論述本發(fā)明。
[0069]圖1顯示包括虛擬化平臺的根據(jù)本發(fā)明的遙控器(3)的顯示器�。
[0070]圖2顯示本發(fā)明的優(yōu)選實(shí)施例的總體構(gòu)架,即��,包括遙控器(3)和醫(yī)療裝置⑴的組件�����。
[0071]圖3示出根據(jù)本發(fā)明的回送機(jī)制��。
[0072]圖4示出使用MCU的根據(jù)本發(fā)明的回送機(jī)制�。
[0073]圖5顯示與遙控器(3)通信的醫(yī)療裝置(I),所述遙控器在內(nèi)部包含MCU��,例如智能卡⑷。
[0074]圖6顯示與插接到MCU (6)的遙控器(3)通信的醫(yī)療裝置(I)����。
[0075]圖7顯示與插接到MCU(6)的遙控器(3)通信的醫(yī)療裝置(I),所述MCU在內(nèi)部包含另一 MCU�,例如智能卡(4)。
[0076]圖8顯示與插接到MCU (6)的遙控器(3)通信的兩個醫(yī)療裝置(1���、7)�����,所述MCU在內(nèi)部包含兩個MCU���,例如智能卡(4a、4b)�����。
[0077]圖9顯示與遙控器(3)通信的兩個醫(yī)療裝置(1�����、7),所述遙控器在內(nèi)部包含兩個MCU��,例如智能卡(4a�、4b)。
[0078]圖10顯示與遙控器(3)通信的兩個醫(yī)療裝置(1��、7)����,所述遙控器在內(nèi)部包含單獨(dú)的MCU�,例如智能卡(4c)。
[0079]部件的列表
[0080]I 醫(yī)療裝置
[0081]2 無線通信
[0082]3 遙控器
[0083]4�、4a、4b�、4c 微控制器(例如,智能卡)
[0084]5 安全處理裝置
[0085]6 另一類型的微控制器
[0086]7 另一醫(yī)療裝置
【具體實(shí)施方式】
[0087]使用附加的微控制器(MCU)
[0088]在優(yōu)選的�、但不限于圖5至10中所示的實(shí)施例中,適合于建立醫(yī)療裝置(1����、7)和遙控器(3)之間的安全通信的醫(yī)療組件包括:
[0089]遙控器(3),所述遙控器包括:
[0090]允許與所述醫(yī)療裝置(1�、7)無線通信的通信裝置,
[0091]用來插接附加微控制器(MCU) (4,6)的連接裝置����,
[0092]顯示裝置(可選地)�,
[0093]至少一個輸入裝置����,
[0094]至少一個處理器,其連接到所述通信裝置����、所述連接裝置、所述顯示裝置和所述輸入裝置����;
[0095]醫(yī)療裝置(1、7)����,所述醫(yī)療裝置包括:
[0096]允許與所述遙控器(3)無線通信(2)的通信裝置,
[0097]內(nèi)部安全存儲器����;
[0098]可以連接到所述遙控器(3)的MCU(4、4a����、4b�����、4c����、6);所述 MCU (4����、4a、4b����、4c�、6)還包括安全存儲器;
[0099]其中至少一個醫(yī)療裝置(1�、7)僅僅與一個MCU(4、4a�、4b、4c���、6)專門地配對���;
[0100]其中所述醫(yī)療裝置(1�����、7)的內(nèi)部存儲器和所述MCU(4����、4a���、4b�����、4c��、6)的安全存儲器包含用來確保通信的密鑰信息���。
[0101]所述醫(yī)療裝置(1、7)可以是輸送裝置(例如但不限于胰島素泵)和/或無線傳感器(其可以測量患者的生理學(xué)特性)和/或可植入裝置和/或采樣裝置��。
[0102]遙控器(3)的處理器是遙控器的主計算單元�����。它是運(yùn)行遙控器操作系統(tǒng)(OS)(或多個操作系統(tǒng)OSes)的處理器����,并且有權(quán)訪問所有的遙控器(3)外圍設(shè)備��,例如RAM���、Flash、UART��、Wifi 等�。
[0103]MCU(4、4a���、4b�����、4c、6)也包含處理器�����,所述處理器運(yùn)行它自身的操作系統(tǒng)和代碼����。然而該處理器僅僅有權(quán)訪問MCU(4���、4a、4b�、4c、6)的內(nèi)部外圍設(shè)備(密碼引擎��、通信接口等)���。MCU(4�、4a��、4b����、4c、6)(例如但不限于智能卡)的處理器無權(quán)訪問遙控器(3)的外圍設(shè)備��。兩個裝置(MCU(4�����、4a�、4b、4c���、6)和遙控器(3))之間的唯一交互經(jīng)由通信鏈路進(jìn)行�����。因此����,遙控器(3)的處理器和MCU(4、4a��、4b����、4c、6)的處理器彼此獨(dú)立���。因此���,所述MCU(4�����、4a�、4b����、4c����、
6)可以插接到不同遙控器中并且保證總體安全性。
[0104]在一個實(shí)施例中���,遙控器(3)還具有形式上為BGM(血糖監(jiān)測儀)模塊的另一處理器��。然而它僅僅經(jīng)由通信鏈路與遙控器(3)交互��。
[0105]在如圖5中所示的一個實(shí)施例中�����,醫(yī)療裝置(I)與遙控器(3)通信��。所述遙控器
(3)在內(nèi)部包含僅僅與所述醫(yī)療裝置(I)配對的MCU(4)(例如但不限于智能卡或SIM卡)���。所述遙控器⑶和所述醫(yī)療裝置⑴之間的通信⑵由于由所述智能卡⑷啟動或執(zhí)行的安全處理裝置(5)而被確保。
[0106]在一個實(shí)施例中��,遙控器(3)是手機(jī)并且MCU(4)是sim卡,所述sim卡包括電話操作者的所有數(shù)據(jù)和應(yīng)用程序以及與醫(yī)療裝置(1�、7)配對并且安全通信的所有數(shù)據(jù)和應(yīng)用程序。在一個實(shí)施例中���,所述遙控器(3)包括后面公開的虛擬化平臺�����。在另一實(shí)施例中����,所述手機(jī)包括兩個不同連接裝置��,第一個插接電話操作者的SM卡并且第二個插接與醫(yī)療裝置配對的MCU�����。
[0107]在一個實(shí)施例中���,所述MCU(4���、4a、4b�、4c、6)包含確保所述醫(yī)療組件和醫(yī)療服務(wù)器(例如�,遠(yuǎn)距醫(yī)療)之間的通信的密鑰信息。以這樣的方式����,一些數(shù)據(jù)可以安全地發(fā)送到醫(yī)療服務(wù)器,在所述醫(yī)療服務(wù)器處可以分析或存儲所述數(shù)據(jù)�。
[0108]在如圖6中所示的一個實(shí)施例中,醫(yī)療裝置(I)與遙控器(3)通信�。所述遙控器
(3)插接在僅僅與所述醫(yī)療裝置(I)配對的MCU(6)中。所述遙控器(3)和所述醫(yī)療裝置
(1)之間的通信⑵由于由所述MCU(6)啟動或執(zhí)行的安全處理裝置(5)而被確保����。
[0109]在一個實(shí)施例中,MCU(6)可以被視為或是包括所有在先元件和其它裝置的外部設(shè)備����。例如,所述MCU(6)可以包括傳感器���,例如但不限于血糖測量裝置�,以這樣的方式所述MCU (6)也可以用于例如血糖監(jiān)測�。
[0110]在一個實(shí)施例中,所述MCU(6)可以包括通信裝置以便不依賴于遙控器而與醫(yī)療裝置安全地通信��。在該實(shí)施例中,遙控器���,可以是手機(jī)�,有利地用于它的顯示裝置���。
[0111]在如圖7中所示的一個實(shí)施例中�����,醫(yī)療裝置⑴與遙控器(3)通信�。所述遙控器(3)插接到在內(nèi)部包含第二 MCU(4)(例如智能卡或sim卡)的第一 MCW6)���。所述第二MCU(4)僅僅與所述醫(yī)療裝置(I)配對�。所述遙控器(3)和所述醫(yī)療裝置(I)之間的通信
(2)由于由所述第一MCU(6)和/或所述第二 MCU(4)啟動或執(zhí)行的安全處理裝置(5)而被確保�。在一個實(shí)施例中,所述MCU(6)包括傳感器�����,例如但不限于血糖測量裝置�����,以這樣的方式所述MCU (6)也可以用于例如血糖監(jiān)測。
[0112]在如圖8和9中所示的一個實(shí)施例中�,兩個醫(yī)療裝置(1、7)與遙控器(3)通信�。例如�,第一醫(yī)療裝置(I)是胰島素泵(I)并且第二醫(yī)療裝置(7)是連續(xù)血糖儀(7)。每個醫(yī)療裝置僅僅與它自身的MCU(4a�����、4b)配對�����。如圖8中所示的實(shí)施例公開了插接到第一 MCU(6)的遙控器(3)��。所述第一 MCU(6)包括兩個不同的連接裝置以插入第二和第三MCU (4a�、4b)。如圖9中所示的實(shí)施例公開了遙控器(3)�����,所述遙控器在內(nèi)部包含兩個不同的連接裝置以插入兩個不同的MCU(4a�、4b)而不需要第一 MCU(6)。第二 MCU(4a)(相應(yīng)地��,第三MCU(4b))包括安全存儲器,所述安全存儲器包含與第一醫(yī)療裝置(I)(相應(yīng)地�����,第二醫(yī)療裝置(7))的無線通信(2)配置��。所述第二MCU (4a)僅僅與第一醫(yī)療裝置(I)配對并且所述第三MCU (4b)僅僅與第二醫(yī)療裝置(7)配對��。實(shí)施例可以包括更多的MCU和醫(yī)療裝置�����。
[0113]在如圖10中所示的一個實(shí)施例中�����,兩個醫(yī)療裝置(1�、7)與遙控器(3)通信,但是僅僅一個MCU(4c)被插接�����。對于該實(shí)施例����,所述MCU(4c)與所述兩個醫(yī)療裝置(1����、7)配對并且包括至少一個安全存儲器����,所述至少一個安全存儲器包含與所述兩個醫(yī)療裝置(1、7)的無線通信(2)配置����。
[0114]盡管上述的實(shí)施例使用一個或兩個醫(yī)療裝置��,但是本發(fā)明不限于該實(shí)施例�����,本發(fā)明可以具有一個或多個醫(yī)療裝置和一個或多個MCU�����。
[0115]在一個實(shí)施例中�,配對可以在銷售之前(例如在工廠)或在將MCU(4、4a��、4b��、4c、6)插接在遙控器(3)中之前直接被執(zhí)行�����。
[0116]在一個實(shí)施例中��,所述MCU和/或醫(yī)療裝置不能接受新配對請求�。
[0117]在一個實(shí)施例中,所述醫(yī)療裝置(1��、7)和/或所述MCU(4�、4a、4b����、4c、6)包括安全處理裝置(5)�����,例如安全啟動過程和/或安全閃存過程和/或密碼機(jī)制����,所述安全處理裝置至少檢查遙控器的完整性和/或管理所述醫(yī)療裝置(1、7)和所述遙控器(3)之間的數(shù)據(jù)的安全通信⑵���,�����。
[0118]因此�����,所述MCU(4����、4a�、4b、4c����、6)可以用于保證遙控器(3)的完整性,例如但不限于它的操作系統(tǒng)和/或hOs和/或應(yīng)用程序`…��。保證該完整性的典型方式是使用安全啟動或安全閃存��,其是在遙控器(3)的啟動期間或定期地經(jīng)由監(jiān)視系統(tǒng)執(zhí)行完整性檢查的功能�����。
[0119]例如,使用安全啟動過程的實(shí)施例:為了保證在遙控器(3)上運(yùn)行的軟件不被意外地(硬件故障)或有意地(黑客�、惡意軟件)修改,使用安全啟動的機(jī)制���。當(dāng)打開遙控器
(3)時�,由其處理器執(zhí)行的第一代碼是例行程序�����,其將計算遙控器(3)內(nèi)部存儲裝置(閃速存儲器)的內(nèi)容的簽名��,并且驗(yàn)證該簽名的有效性�。一旦簽名已被驗(yàn)證為有效,處理器繼續(xù)它的正常OS啟動程序���。否則�����,系統(tǒng)不啟動�����。重要的是注意使用MCU(4�、4a、4b��、4c��、6)執(zhí)行簽名的驗(yàn)證�����,這保證不暴露秘密(密鑰)�。
[0120]另一例子,使用安全閃存過程的實(shí)施例:我們希望允許用戶利用遙控器OS的較新版本�。類似地,為了防止用未經(jīng)授權(quán)的軟件更新遙控器(3)的軟件�����,待寫入的新軟件必須被簽名����。當(dāng)遙控器(3)在更新模式下啟動時(例如����,長按電源按鈕),處理器首先執(zhí)行例行程序,所述例行程序?qū)⑾螺d新軟件的圖像�����,在覆寫現(xiàn)有的軟件之前計算它的簽名并且驗(yàn)證它����。再次地,重要的是注意使用MCU(4、4a��、4b�、4c、6)執(zhí)行簽名的驗(yàn)證����,這保證不暴露秘密(密鑰)。
[0121]因此����,在上面所示的一個實(shí)施例中,所述MCU(4����、4a、4b�����、4c、6)的存在避免了不良軟件對hOs的替換��。
[0122]在一個實(shí)施例中���,MCU(4�、4a���、4b����、4c��、6)也可以包含允許無線連接到醫(yī)療裝置(1����、7)的密鑰信息(例如但不限于:通信配置、公共密鑰����、私人密鑰��、密碼方法…),所述醫(yī)療裝置也部分地或完整地知道所述密鑰信息�����。在沒有所述密鑰信息的情況下�,不可能連接到醫(yī)療裝置(1、7)���?��?梢酝ㄟ^使用藍(lán)牙通信說明該特征,其中醫(yī)療裝置(1����、7)將決不會暴露。遙控器(3)需要鏈路密鑰以啟動藍(lán)牙連接而不使用標(biāo)準(zhǔn)配對過程�����。在該特定情況下�����,鏈路密鑰可以被讀入MCU(4�、4a�、4b���、4c�、6)中并且然后傳送到可以直接請求連接的藍(lán)牙通信層�����。
[0123]在一個實(shí)施例中��,所述安全處理裝置(5)可以使用:
[0124]生成至少一個非對稱密鑰對和/或?qū)ΨQ密鑰的非對稱密鑰密碼機(jī)制���,
[0125]生成至少一個對稱密鑰對和/或非對稱密鑰的對稱密鑰密碼機(jī)制����,
[0126]密碼散列(hash)機(jī)制�。
[0127]所述非對稱密鑰密碼機(jī)制可以使用該算法中的至少一個:Benaloh、Blum -Goldwasser>Cayley - Purser�、CEILIDH、Cramer - Shoup>Damgard - Jurik�、DH、DSA�����、EPOC�����、ECDH��、ECDSA�、EKE、ElGamal> GMR> Goldwasser -Mical1�����、HFE> IES�����、Lamport����、McEliece、Merkle - HelIman> MQV> Naccache - Stern���、NTRUEncrypt���、NTRUSign�、Paillier> Rabin���、RSA>Okamoto - Uchiyama����、Schnorr> Schmidt - Samoa> SPEKE����、SRP> STS、三次傳遞協(xié)議或 XTR���。
[0128]在一個實(shí)施例中��,所述MCU的安全存儲器包含私人密鑰并且所述醫(yī)療裝置的安全內(nèi)部安全存儲器包含合適的公共密鑰����。
[0129]遙控器(3)和醫(yī)療裝置之間的配對包括以下步驟:
[0130]將所述MCU(4����、4a、4b�、4c、6)插入遙控器(3)中,
[0131]所述MCU(4��、4a����、4b��、4c�����、6)使用(包含在所述MCU (4����、4a、4b��、4c���、6)的安全存儲器中的)無線通信配置將醫(yī)療裝置和遙控器(3)連接����,
[0132]所述醫(yī)療裝置(1���、7)使用(包含在所述醫(yī)療裝置(1�、7)的安全存儲器中的)所述無線通信配置與遙控器(3)連接,
[0133]有利地���,所述MCU(4�����、4a��、4b���、4c、6)和所述醫(yī)療裝置(1����、7)使用密碼機(jī)制來認(rèn)證該連接。
[0134]因此����,醫(yī)療裝置(1、7)和遙控器(3)不使用迫使醫(yī)療裝置(1�����、7)對其它裝置可見的標(biāo)準(zhǔn)配對過程。
[0135]在一個實(shí)施例中����,MCU(4、4a���、4b����、4c�、6)以一種方式在它的安全存儲器中保持所述安全處理裝置(5)�����,使得所述遙控器(3)不訪問所述安全處理裝置(5)�����。
[0136]在一個實(shí)施例中����,醫(yī)療裝置還包括管理醫(yī)療裝置的安全存儲器和遙控裝置之間的加密數(shù)據(jù)通信的所述安全處理裝置,
[0137]使用主機(jī)操作系統(tǒng)(hOS)
[0138]在優(yōu)選但不限于的實(shí)施例中�����,現(xiàn)在注意圖1,遙控器(3)使用移動虛擬化平臺提供了將遙控器(3)(例如智能手機(jī))分成受控環(huán)境(例如��,用于控制醫(yī)療裝置(1����、7))和非受控環(huán)境(例如,用于通用任務(wù))的可能性��。該虛擬化平臺可以經(jīng)由虛擬機(jī)應(yīng)用程序限定�����。
[0139]下面的架構(gòu)描述根據(jù)本發(fā)明的虛擬化平臺的非限定性例子(參見圖1):
[0140]主機(jī)操作系統(tǒng)(OS)���,其為一個或若干客戶OS仿效硬件部件(在圖1上僅僅示出2個客戶OS)���,
[0141] 一個客戶OS,其在非受控環(huán)境下處理通用任務(wù)(例如�,日歷、聯(lián)系方式��、網(wǎng)頁瀏覽���、電話通信�、娛樂等),[0142]一個客戶OS���,其在受控環(huán)境下處理與醫(yī)療裝置的交互�����。
[0143]有利地�����,hOS盡可能地薄���,同時集成了一些高級操作過程并且處于最低級的操作系統(tǒng)架構(gòu)中��。主機(jī)操作系統(tǒng)不是簡單的管理程序��。實(shí)際上�,主機(jī)操作系統(tǒng)還包含不同的安全任務(wù)和控制任務(wù)。因此��,主機(jī)操作系統(tǒng)管理�����、協(xié)調(diào)活動,共享遙控器的資源���,并且決定拒絕和/或準(zhǔn)許運(yùn)行應(yīng)用程序和/或使用遙控器(3)的驅(qū)動器和/或外圍設(shè)備�����。以這樣的方式安全性得到改善�,原因是惡意軟件不能訪問任何驅(qū)動器和/或外圍設(shè)備���,例如但不限于諸如上述的MCU�����。
[0144]因此�����,通過使用該架構(gòu)�,受控環(huán)境總是具有對遙控器的完全控制以便防止任何惡意應(yīng)用程序攔截或修改或生成與醫(yī)療裝置交換的命令/信息���。這樣的惡意應(yīng)用程序的典型動作將是竊取用戶的PIN碼以便模仿輸注的規(guī)劃���。
[0145]在一個實(shí)施例中�,該受控環(huán)境被認(rèn)證并且它的完整性借助于MCU被檢查�,如上所述。在遙控器的任何啟動時經(jīng)由所述MCU進(jìn)行安全檢查����,這將確認(rèn)完整性并且認(rèn)證hOs和可選地認(rèn)證mOS。
[0146]除了該架構(gòu)以外�,特定監(jiān)視程序可以被執(zhí)行以在受控環(huán)境下檢查所有運(yùn)行任務(wù),該監(jiān)視程序可以禁用不在經(jīng)過授權(quán)的應(yīng)用程序的特定列表內(nèi)的任何應(yīng)用程序�����。該特定監(jiān)視也可以借助于所述MCU進(jìn)行控制�。所述監(jiān)視也可以能夠測量應(yīng)用程序所使用的運(yùn)行時間并且通過觸發(fā)警報向用戶指出任何可疑的活動超負(fù)荷。
[0147]在一個實(shí)施例中�����,所述hOS包含在所述MCU中和/或由所述MCU啟動和/或運(yùn)行����。
[0148]在一個實(shí)施例中�,所述mOS包含在所述MCU中和/或由所述MCU啟動和/或運(yùn)行���。
[0149]在一個實(shí)施例中,所述mOS和/或所述hOS包含在所述MCU中��。當(dāng)所述MCU插入遙控器中時�����,MCU在遙控器上安裝所述mOS和/或hOS��。
[0150]在一個實(shí)施例中��,在受控環(huán)境下的處理可以通過使用視覺指示器和/或音頻指示器和/或其它指示器(例如����,振動器),例如LED�����,發(fā)信號���,所述指示器將通過信號通知用戶當(dāng)前的應(yīng)用程序正在受控或非受控環(huán)境下運(yùn)行的事實(shí)�。通過例子�,我們可以想像當(dāng)當(dāng)前的應(yīng)用程序在受控環(huán)境下時綠LED將被接通����,并且然后當(dāng)用戶返回非受控環(huán)境下時將被切斷�����。我們也可以具有“相反的”使用情況���,其中當(dāng)用戶在受控環(huán)境下時LED將切斷并且當(dāng)用戶返回非受控環(huán)境下時變?yōu)榧t色�。
[0151]在另一實(shí)施例中�,hOS可以為在受控環(huán)境下運(yùn)行的應(yīng)用程序保留屏幕的一部分。以這樣的方式�,僅僅mOS可以在該空間中顯示某物,并且在非受控環(huán)境下運(yùn)行的應(yīng)用程序或其它gOS不能使用該空間���。
[0152]因此��,用戶知道m(xù)OS的應(yīng)用程序是否正在運(yùn)行�����。實(shí)際上,如果所述指示器未正確地通知用戶��,則它一定是試圖獲得對醫(yī)療裝置的控制或試圖誤導(dǎo)用戶的惡意應(yīng)用程序。
[0153]使用回送機(jī)制
[0154]接下來的段落涉及本發(fā)明包括回送機(jī)制的優(yōu)選實(shí)施例���。通過將先前公開的或類似的安全級別的架構(gòu)被設(shè)在遙控器的內(nèi)部以便保證根據(jù)本發(fā)明的組件和讀取的或由患者輸入的信息之間的安全橋接考慮進(jìn)來�,該特征可以提供醫(yī)療裝置和遙控器之間的安全通信�。圖3和4示出回送機(jī)制與根據(jù)本發(fā)明的遙控器(3) —起使用。
[0155]回送是保證在醫(yī)療裝置(1����、7)上執(zhí)行的命令,與它的參數(shù)一起����,已由操作者請求(認(rèn)證)并且符合他的希望(完整性)的機(jī)制。更確切地�,該機(jī)構(gòu)首先保證在遙控器(3)和醫(yī)療裝置(1、7)之間傳輸?shù)男畔⒉槐灰馔獾?存儲故障��、通信干擾)或有意地(黑客����、惡意軟件)改變。此外����,該機(jī)構(gòu)保證命令確實(shí)由用戶請求�����。這兩個功能由以下任務(wù)實(shí)現(xiàn)�,例如但不限于:
[0156]命令���,與它的參數(shù)一起���,由遙控器(3)傳輸?shù)结t(yī)療裝置(1、7)��。
[0157]醫(yī)療裝置(1����、7)基于命令和它的參數(shù)生成查問并且將它返回到遙控器(3)。
[0158]遙控器(3)從查問中提取信息并且將它顯示給用戶以便確認(rèn)���。該信息包括由醫(yī)療裝置(1���、7)接收到的命令和它的參數(shù)。
[0159]用戶通過輸入只有他知道的PIN通過信號發(fā)送該批準(zhǔn)和確認(rèn)�。遙控器(3)使用PIN和查問自身生成對查問的響應(yīng)。
[0160]響應(yīng)被傳輸?shù)结t(yī)療裝置(1、7)并且由它驗(yàn)證���。只有當(dāng)查問的響應(yīng)正確時命令實(shí)際上開始執(zhí)行。
[0161]由用戶使用的PIN僅僅驗(yàn)證查問-響應(yīng)的特定實(shí)例�����,從這個意義上講����,該機(jī)制與標(biāo)準(zhǔn)的“登陸”機(jī)制不同。以這樣的方式��,每個命令必須由用戶驗(yàn)證����,因此惡意應(yīng)用程序不能在用戶輸入PIN碼之后立刻發(fā)送新命令。此外�����,另一個人不能錯誤地或有意地用正確的遙控器或其它裝置發(fā)送命令�,原因在于用戶是唯一知道PIN碼的人。
[0162]向用戶顯示并且請求他的批準(zhǔn)的信息是由目標(biāo)裝置返回的信息���,從這個意義上講���,它與僅僅向用戶重復(fù)請求命令并問“你確定嗎�? ”的機(jī)構(gòu)也有區(qū)別�����。如果發(fā)生任何改變���,則該返回值將自動地不同于由用戶初始輸入的信息��。
[0163]所述確認(rèn)不由遙控裝置自動地處理使得惡意應(yīng)用程序不能控制所述確認(rèn)�����。重要的是確認(rèn)僅僅由知道PIN碼的用戶允許以便確認(rèn)已發(fā)送的命令���。
[0164]優(yōu)選地,在醫(yī)療裝置的存儲器和包含顯示值的遙控器上的安全緩沖器之間產(chǎn)生直接安全管道��。然后遙控器(3)上的經(jīng)授權(quán)的應(yīng)用程序顯示該值并且記錄用戶的認(rèn)證���,其將用于構(gòu)造發(fā)送回到醫(yī)療裝置的返回值��。該安全管道可以通過使用在附加MCU內(nèi)部的信息而被啟動�����。
[0165]當(dāng)用戶完成對他希望在醫(yī)療裝置上規(guī)劃的參數(shù)的限定時�����,安全管道打開��。當(dāng)用戶認(rèn)可參數(shù)以便允許醫(yī)療裝置使用它們時��,安全管道關(guān)閉��。
[0166]根據(jù)本發(fā)明的回送過程優(yōu)選地需要以下要素的實(shí)現(xiàn):
[0167]在醫(yī)療裝置中的安全存儲區(qū)域���,
[0168]在醫(yī)療裝置中的安全過程,其管理醫(yī)療裝置的安全存儲區(qū)域到遙控器之間的加密的數(shù)據(jù)通信���,
[0169]在遙控器中的安全顯示存儲區(qū)域�,
[0170]在遙控器上的安全過程�����,其管理醫(yī)療裝置到遙控器的安全顯示存儲區(qū)域之間的加密的數(shù)據(jù)通信,
[0171]在遙控器上的安全和經(jīng)授權(quán)的過程��,其將來自安全顯示存儲區(qū)域的數(shù)據(jù)傳送到遙控器的顯示器并且建立用戶的認(rèn)可證明���。
[0172]這些不同要素的架構(gòu)在圖2中示出���。
[0173]當(dāng)醫(yī)療裝置接收到參數(shù)的集合時回送過程開始,這將改變治療的設(shè)置或任何安全特征�,例如警報設(shè)置。
[0174]在不使用附加MCU的一個實(shí)施例中����,醫(yī)療組件(至少一個醫(yī)療裝置和一個遙控器)包括:
[0175]在所述醫(yī)療裝置中的存儲器,其可以包含安全存儲區(qū)域����,
[0176]在所述醫(yī)療裝置中的安全處理裝置(5),其管理所述安全存儲區(qū)域和遙控裝置之間的加密的數(shù)據(jù)通信�����,
[0177]在遙控器中的安全存儲區(qū)域����,
[0178]在遙控器中的安全處理裝置(5)����,其管理醫(yī)療裝置和所述存儲區(qū)域之間的加密的數(shù)據(jù)通信��,
[0179]在遙控器上的安全和經(jīng)授權(quán)的處理裝置(5)�,其將來自安全存儲區(qū)域的數(shù)據(jù)傳送到遙控器的顯示器并且建立用戶的認(rèn)可證明。
[0180]該過程優(yōu)選地包括以下步驟:
[0181 ] 由醫(yī)療裝置中的嵌入軟件完成
[0182]在醫(yī)療裝置的存儲器中寫入必須經(jīng)過認(rèn)可的參數(shù)��,
[0183]生成隨機(jī)信息,通常稱為查問
[0184]打開醫(yī)療裝置和遙控器之間的安全管道�����,
[0185]通過諸如振動�、聲音�����、LED或通知患者的任何其它方法向用戶指出醫(yī)療裝置和遙控器處于回送模式����,
[0186]將通過使用被稱為KP的加密密鑰加密的參數(shù)和查問發(fā)送到遙控器。
[0187]由遙控器中的軟件實(shí)體I完成
[0188]接收經(jīng)加密的參數(shù)和查問并且寫入到遙控器的安全存儲區(qū)域��。
[0189]由遙控器中的軟件實(shí)體2完成
[0190]通過使用被稱為KRC的密鑰解密參數(shù)�����,所述密鑰是KP的對應(yīng)密鑰。這些密鑰可以是對稱的或非對稱的���。通過具有正確的相應(yīng)密鑰KRC來驗(yàn)證經(jīng)授權(quán)的應(yīng)用程序�����,
[0191]在“總結(jié)”頁中顯示經(jīng)解密的參數(shù)����,
[0192]輸入用戶的PIN碼����,
[0193]建立認(rèn)可證明,所述認(rèn)可證明將通過使用查問�����、密鑰KRC和輸入的PIN碼來確認(rèn)對這些參數(shù)的接受��,
[0194]在遙控器的安全存儲區(qū)域中寫入證明���。
[0195]由遙控器中的軟件實(shí)體I完成
[0196]將該證明發(fā)送回醫(yī)療裝置��。
[0197]由醫(yī)療裝置中的嵌入軟件完成
[0198]計算預(yù)期的證明����,
[0199]接收并且驗(yàn)證來自遙控器的認(rèn)可證明。
[0200]該過程在圖3中示出���。當(dāng)證明經(jīng)過驗(yàn)證時�����,回送過程關(guān)閉并且允許醫(yī)療裝置使用更新的參數(shù)���。該基本過程可以更加精細(xì)或者是更復(fù)雜方案的一部分以便改善安全管道的安全性。
[0201 ] 在一個實(shí)施例中��,PIN可以被輸入�,同時在遙控裝置上使用隨機(jī)陣列顯示以便防止將模仿用戶動作或攔截該信息的任何應(yīng)用程序���。例如���,將按照隨機(jī)順序顯示數(shù)字(從O到9的5個),每當(dāng)PIN碼由用戶輸入時所述隨機(jī)順序?qū)⒉煌?br>
[0202]在另一實(shí)施例中�����,PIN可以由另一認(rèn)證裝置改變,例如但不限于指紋讀取器����、指紋視網(wǎng)膜…。認(rèn)證裝置必須只有用戶知道或擁有�。
[0203]在一個實(shí)施例中,所述軟件實(shí)體I和所述軟件實(shí)體2是相同的軟件實(shí)體�,或者軟件實(shí)體I可以是遙控器(3)中的嵌入軟件并且軟件實(shí)體2可以是遙控器(3)中的經(jīng)授權(quán)的應(yīng)用程序。在另一實(shí)施例中�����,所述軟件實(shí)體I由如上限定的主機(jī)操作系統(tǒng)運(yùn)行并且軟件實(shí)體2由如上所述的醫(yī)療操作系統(tǒng)運(yùn)行����。
[0204]本領(lǐng)域的技術(shù)人員將認(rèn)識到,存在若干種加密發(fā)送的數(shù)據(jù)和生成所述證明的方式�����。本發(fā)明不限于加密發(fā)送的數(shù)據(jù)或生成所述證明的特定方式���。
[0205]在包括附加MCU的一個實(shí)施例中��,該過程優(yōu)選地包括以下步驟:
[0206]由醫(yī)療裝置中的嵌入軟件完成:
[0207]在醫(yī)療裝置的存儲器中寫入必須經(jīng)過認(rèn)可的參數(shù)����,
[0208]生成查問,
[0209]通過使用臨時密鑰Ksl加密所述參數(shù)��,
[0210]通過諸如振動�、聲音、LED或通知患者的任何其它方法向用戶指出醫(yī)療裝置和遙控器處于回送模式��,
[0211]將經(jīng)過加密的參數(shù)發(fā)送到遙控器���。
[0212]由遙控器中的嵌入軟件完成
[0213]將經(jīng)過加密的參數(shù)發(fā)送到MCU���。
[0214]由MCU中的嵌入軟件完成
[0215]接收經(jīng)過加密的參數(shù)和查問并且寫入到MCU的安全存儲區(qū)域,
[0216]通過使用密鑰Ksl解密參數(shù)����,
[0217]將經(jīng)過解密的參數(shù)和查問發(fā)送到遙控器的存儲器�。
[0218]由遙控器中的嵌入軟件完成
[0219]在“總結(jié)”頁中顯示經(jīng)過解密的參數(shù),
[0220]提示用戶輸入PIN碼��,
[0221]建立認(rèn)可證明,所述認(rèn)可證明將通過使用查問����、參數(shù)和輸入的PIN碼來確認(rèn)對這些參數(shù)的接受,
[0222]在遙控器的安全存儲區(qū)域中寫入證明���,
[0223]將所述證明發(fā)送到MCU�����。
[0224]由MCU中的嵌入軟件完成
[0225]接收所述證明并且寫入到MCU的安全存儲區(qū)域�����,
[0226]使用臨時密鑰Ks2加密所述證明���,
[0227]將所述經(jīng)過加密的證明發(fā)送回遙控器。
[0228]由遙控器中的嵌入軟件完成
[0229]將經(jīng)過加密的證明發(fā)送回醫(yī)療裝置�����。
[0230]由醫(yī)療裝置中的嵌入軟件完成
[0231]計算預(yù)期的證明�,
[0232]接收、解密并且驗(yàn)證來自遙控器的認(rèn)可證明���。
[0233]該過程在圖4中示出�����。當(dāng)證明經(jīng)過驗(yàn)證時���,回送過程關(guān)閉并且允許醫(yī)療裝置使用更新的參數(shù)�����。該基本過程可以更精細(xì)或者是更復(fù)雜方案的一部分以便改善安全管道的安全性�。
[0234]在一個實(shí)施例中���,遙控器中的所述嵌入軟件由如上限定的主機(jī)操作系統(tǒng)運(yùn)行并且MCU中的所述嵌入軟件由如上所述的醫(yī)療操作系統(tǒng)運(yùn)行�����。
[0235]在一個實(shí)施例中���,查問也可以被編碼。
[0236]在一個實(shí)施例中��,密鑰Ksl和Ks2可以是非對稱密鑰對或?qū)ΨQ密鑰或使用散列機(jī)制��。
[0237]在一個實(shí)施例中�,密鑰Ksl和Ks2是相同的。
[0238]在一個實(shí)施例中��,密鑰Ksl和Ks2是不同的��。
[0239]在一個實(shí)施例中���,用戶必須輸入PIN碼以確認(rèn)進(jìn)入回送機(jī)制��,這樣的PIN碼在隨機(jī)顯示陣列上輸入���。
[0240]在另一實(shí)施例中,醫(yī)療裝置包括可以測量患者的生理學(xué)特性的至少一個傳感器�����、用于實(shí)時識別由所述傳感器觀察的第一癥狀的診斷裝置以及在所述診斷裝置檢測到所述第一癥狀的情況下警告患者的警報裝置�����。以這樣的方式�����,醫(yī)療裝置可以由遙控器監(jiān)視并且將警報發(fā)送到遙控器。
[0241 ] 在一個實(shí)施例中����,遙控器包括如果發(fā)送了警報則用于定位用戶的GPS。在所述診斷裝置檢測到所述第一癥狀的情況下或/和如果患者不能自己這樣做����,所述醫(yī)療組件可以啟動遙控器中的應(yīng)用程序以定位患者并且將所述定位發(fā)送到醫(yī)療中心或其他人。而且��,在所述診斷裝置檢測到所述第一癥狀的情況下或/和如果患者不能自己這樣做����,所述醫(yī)療組件可以啟動遙控器中的應(yīng)用程序以將生理學(xué)特性的數(shù)據(jù)發(fā)送到醫(yī)療中心或其他人。
[0242] 本發(fā)明當(dāng)然不限于先前所述的示例性例子�。
【權(quán)利要求】
1.一種與遙控器(3)安全地通信的醫(yī)療裝置(1、7)��,包括: 通信裝置�,其允許與遙控器(3)的無線通信(2), 內(nèi)部安全存儲器�����,其包含確保所述通信(2)的密鑰信息��, 其中所述醫(yī)療裝置(1、7)已經(jīng)與僅僅一個微控制器MCU(4���、4a、4b�����、4c���、6)配對���,所述微控制器包括安全存儲器,所述安全存儲器還包含所述密鑰信息�����, 其中所述MCU(4����、4a、4b���、4c�、6)設(shè)計成插接在遙控器(3)中。
2.根據(jù)權(quán)利要求1所述的醫(yī)療裝置(1���、7)�����,其中所述MCU(4�����、4a����、4b����、4c、6)以一定方式設(shè)計���,從而配對和/或加密所述醫(yī)療裝置(1�����、7)和所述遙控器(3)之間的通信����,所述MCU(4、4a���、4b��、4c、6)插接在所述遙控器(3)中�����。
3.根據(jù)權(quán)利要求1所述的醫(yī)療裝置(1����、7),其中密鑰信息包含無線通信配置和/或加密參數(shù)��。
4.根據(jù)權(quán)利要求1所述的醫(yī)療裝置(1�����、7)�����,其中所述醫(yī)療裝置(1、7)和/或所述MCU(4���、4a���、4b、4c���、6)包含安全處理裝置(5)���。
5.一種醫(yī)療組件,適合于建立醫(yī)療裝置(1�、7)和遙控器(3)之間的安全通信,包括: 遙控器(3)����,所述遙控器包括: 允許與所述醫(yī)療裝置(1、7)無線通信(2)的通信裝置��, 用來插接附加微控制器MCU(4�、4a、4b�����、4c、6)的連接裝置����;` 至少一個輸入裝置, 至少一個處理器����,其連接到所述通信裝置、所述連接裝置和所述輸入裝置�����; 醫(yī)療裝置(1��、7)���,所述醫(yī)療裝置包括: 允許與所述遙控器(3)無線通信(2)的通信裝置, 內(nèi)部安全存儲器��; 設(shè)計成連接到所述遙控器(3)的MCU(4����、4a、4b、4c����、6);所述MCU (4、4a�����、4b�����、4c��、6)還包括安全存儲器��; 其中至少一個醫(yī)療裝置(1��、7)與僅僅一個MCU(4���、4a��、4b���、4c���、6)專門地配對; 其中所述醫(yī)療裝置(1����、7)的內(nèi)部安全存儲器和所述MCU(4、4a��、4b��、4c��、6)的安全存儲器包含確保通信的密鑰信息����。
6.根據(jù)權(quán)利要求5所述的組件,其中密鑰信息包含無線通信配置和/或加密參數(shù)����。
7.根據(jù)權(quán)利要求5所述的組件��,其中所述遙控器(3)包括至少一個顯示裝置����。
8.根據(jù)權(quán)利要求5所述的組件,其中所述醫(yī)療裝置(1、7)和/或所述MCU(4��、4a��、4b����、4c、6)包括安全處理裝置(5)�,所述安全處理裝置確保所述醫(yī)療裝置(1、7)和所述遙控器(3)之間的數(shù)據(jù)通信�。
9.根據(jù)權(quán)利要求8所述的組件,其中所述MCU(4�����、4a�����、4b�、4c、6)以以下方式在安全存儲器中保持所述安全處理裝置(5):所述遙控器(3)不訪問所述安全處理裝置(5)����。
10.根據(jù)權(quán)利要求5所述的組件�,其中所述MCU(4��、4a�、4b、4c�����、6)可以是通用集成電路卡���、智能卡或SIM卡或SD卡���。
11.根據(jù)權(quán)利要求5所述的組件,其中所述MCU(4����、4a、4b�、4c、6)的所述安全存儲器包括應(yīng)用程序��,所述應(yīng)用程序在所述MCU(4���、4a��、4b��、4c��、6)內(nèi)執(zhí)行并且與遙控器(3)聯(lián)系�����。
12.根據(jù)權(quán)利要求5所述的組件���,其中應(yīng)用程序被裝載在遙控器(3)的內(nèi)部存儲器中并且在所述遙控器(3)內(nèi)運(yùn)行。
13.根據(jù)權(quán)利要求5所述的組件�,其中所述MCU(4、4a���、4b���、4c、6)包括認(rèn)證裝置以檢查所述應(yīng)用程序的完整性��。
14.根據(jù)任一在先權(quán)利要求所述的用于配對遙控器(3)和醫(yī)療裝置(1���、7)的MCU(4�、4a、4b�����、4c����、6)的使用,包括以下步驟: 所述MCU(4�、4a、4b����、4c、6)使用所述無線通信配置連接醫(yī)療裝置(1���、7)和遙控器(3)�, 所述醫(yī)療裝置(1�、7)使用將與遙控器(3)連接的所述無線通信配置。
15.根據(jù)權(quán)利要求14所述的MCU(4���、4a�����、4b��、4c���、6)的使用,還包括以下步驟: 所述MCU(4���、4a�����、4b���、4c、6)和所述醫(yī)療裝置(1�、7)使用密碼機(jī)制對連接進(jìn)行認(rèn)證。
16.根據(jù)任一在先權(quán)利要求所述的MCU(4����、4a、4b��、4c�����、6)的使用,其中所述MCU(4�、4a、4b�����、4c�����、6)還檢查虛擬平臺和/裝載在所述遙控器(3)中的一個或多個操作系統(tǒng)的完整性�����。
17.根據(jù)任一在先權(quán)利要求所述的MCU(4�����、4a�、4b、4c����、6)的使用����,其中應(yīng)用程序從MCU(4���、4a、4b�����、4c���、6)裝載到遙控器(3)的內(nèi)部存儲器并且由所述遙控器(3)運(yùn)行��。
18.一種虛擬化平臺�����,包括: 主機(jī)操作系統(tǒng)(hOS)�����,其為至少一個客戶操作系統(tǒng)(gOS)仿效硬件部件��, 第一 gOS��,其處理常用功能��,例如但不限于日歷或聯(lián)系方式�����,所有那些常用功能被設(shè)計成在非受控環(huán)境下使用��, 醫(yī)療操作系統(tǒng)(mOS)���,其處理用于醫(yī)療裝置(1�、7)的遙控器(3)功能����,所有那些遙控器(3)功能被設(shè)計成在受控環(huán)境下使用。
19.根據(jù)權(quán)利要求18所述的虛擬化平臺���,其中所述虛擬化平臺可以由遙控器(3)使用��。
20.根據(jù)權(quán)利要求18所述的虛擬化平臺��,其中所述mOS構(gòu)成另一gOS�。
21.根據(jù)權(quán)利要求18所述的虛擬化平臺,其中所述第一gOS還處理無線通信���,例如但不限于網(wǎng)頁瀏覽或電話通信��。
22.根據(jù)權(quán)利要求18所述的虛擬化平臺���,其中mOS和/或hOS控制并且阻止在gOS中運(yùn)行的應(yīng)用程序。
23.根據(jù)權(quán)利要求18所述的虛擬化平臺��,其中mOS和/或hOS控制哪個應(yīng)用程序在遙控器(3)的屏幕上具有焦點(diǎn)���。
24.根據(jù)權(quán)利要求18所述的虛擬化平臺,其中遙控器(3)包括指示器�����,所述指示器向用戶發(fā)信號指出當(dāng)前的應(yīng)用程序正在受控環(huán)境下運(yùn)行��。
25.根據(jù)權(quán)利要求24所述的虛擬化平臺���,其中所述指示器可以是LED�����、所述屏幕的一部分��、另一屏幕�、特定聲音或振動器。
26.根據(jù)在先權(quán)利要求18至25所述的虛擬化平臺與回送機(jī)制一起的使用��,包括以下步驟: 由醫(yī)療裝置中的嵌入軟件完成: 在醫(yī)療裝置的安全存儲區(qū)域中寫入必須經(jīng)過認(rèn)可的參數(shù)���, 生成查問���, 打開醫(yī)療裝置和移動裝置之間的安全管道, 通過諸如振動���、聲音���、LED或通知患者的任何其它方法向用戶指出醫(yī)療裝置和遙控器處于回送模式,將通過使用被稱為KP的密碼密鑰加密的參數(shù)和查問發(fā)送到移動裝置��; 由遙控器(3)中的軟件實(shí)體I完成: 接收經(jīng)過加密的參數(shù)和查問并且將經(jīng)過加密的參數(shù)和查問寫入到移動裝置的安全存儲區(qū)域���; 由遙控器(3)中的軟件實(shí)體2完成: 通過使用密鑰KRC解密參數(shù)���,所述密鑰是KP的對應(yīng)密鑰�����;這些密鑰可以是對稱的或非對稱的�����;通過具有正確的對應(yīng)密鑰KRC來驗(yàn)證經(jīng)過授權(quán)的應(yīng)用程序���, 在“總結(jié)”頁中顯示經(jīng)過解密的參數(shù), 輸入用戶的認(rèn)證手段���, 建立認(rèn)可證明���,所述認(rèn)可證明將通過使用查問����、密鑰KRC和所述輸入的認(rèn)證手段來確認(rèn)對這些參數(shù)的接受, 在移動裝置的安全存儲區(qū)域中寫入證明��。 由遙控器(3)中的軟件實(shí)體I完成: 將該證明發(fā)送回醫(yī)療裝置�����; 由醫(yī)療裝置中的嵌入軟件完成: 計算預(yù)期的證明, 接收并且驗(yàn)證來自移動裝置的認(rèn)`可證明���; 當(dāng)證明經(jīng)過驗(yàn)證時��,回送過程關(guān)閉并且允許醫(yī)療裝置(1����、7)使用更新的參數(shù)���。
27.根據(jù)權(quán)利要求26所述的虛擬化平臺的使用���,其中用戶的認(rèn)證手段是PIN碼、使用指紋讀取器或指紋視網(wǎng)膜…��。
28.根據(jù)在先權(quán)利要求18至27所述的虛擬化平臺的使用���,其中用戶必須輸入PIN碼以確認(rèn)進(jìn)入回送機(jī)制���,這樣的PIN碼在隨機(jī)顯示陣列上輸入。
29.根據(jù)任一在先權(quán)利要求所述的MCU(4�、4a、4b��、4c、6)與回送機(jī)制一起的使用���,包括以下步驟: 由醫(yī)療裝置(1���、7)中的嵌入軟件完成: 在醫(yī)療裝置(1、7)的安全存儲器中寫入必須經(jīng)過認(rèn)可的參數(shù)���, 生成查問��, 通過使用臨時密鑰Ksl加密所述參數(shù)�����, 通過諸如振動���、聲音�����、LED或通知患者的任何其它方法向用戶指出醫(yī)療裝置(1��、7)和遙控器(3)處于回送模式��, 將經(jīng)過加密的參數(shù)發(fā)送到遙控器(3); 由遙控器(3)中的嵌入軟件完成: 將經(jīng)過加密的參數(shù)發(fā)送到附加MCU(4�����、4a��、4b�����、4c�、6); 由附加MCU(4�、4a、4b�、4c、6)中的嵌入軟件完成: 接收經(jīng)過加密的參數(shù)和查問并且將經(jīng)過加密的參數(shù)和查問寫入到附加MCU(4�����、4a�、4b、4c,6)的安全存儲區(qū)域�����, 通過使用密鑰Ksl解密參數(shù), 將經(jīng)過解密的參數(shù)和查問發(fā)送到遙控器(3)的存儲器��; 由遙控器(3)中的嵌入軟件完成:在“總結(jié)”頁中顯示經(jīng)過解密的參數(shù)���, 提示用戶輸入用戶的認(rèn)證手段�����, 建立認(rèn)可證明�����,所述認(rèn)可證明將通過使用查問��、參數(shù)和所述輸入的認(rèn)證手段來確認(rèn)對這些參數(shù)的接受����, 在遙控器(3)的安全存儲區(qū)域中寫入證明�, 將所述證明發(fā)送到附加MCU(4、4a���、4b、4c、6)��; 由附加MCU(4����、4a、4b�����、4c�、6)中的嵌入軟件完成: 接收所述證明并且將所述證明寫入到附加MCU(4、4a����、4b、4c��、6)的安全存儲區(qū)域�, 使用臨時密鑰Ks2加密所述證明, 將所述經(jīng)過加密的證明發(fā)送回遙控器(3)�����; 由遙控器(3)中的嵌入軟件完成: 將經(jīng)過加密的證明發(fā)送回醫(yī)療裝置(1��、7); 由醫(yī)療裝置(1���、7)中的嵌入軟件完成: 計算預(yù)期的證明�����, 接收���、解密并且驗(yàn)證來自遙控器(3)的認(rèn)可證明; 當(dāng)證明經(jīng)過驗(yàn)證時��,回送過程關(guān)閉并且允許醫(yī)療裝置(1���、7)使用更新的參數(shù)����。
30.根據(jù)權(quán)利要求29所述的回送機(jī)制的使用�����,其中用戶的認(rèn)證手段是PIN碼�����、使用指紋讀取器或指紋視網(wǎng)膜…。
31.根據(jù)任一在先權(quán)利要求所述的醫(yī)療組件的使用�����,其使用: 回送機(jī)制�����,和/或���; 虛擬化平臺,和/或����; 附加 MCU(4、4a����、4b、4c��、6)���。
【文檔編號】G06F19/00GK103890768SQ201280052233
【公開日】2014年6月25日 申請日期:2012年10月26日 優(yōu)先權(quán)日:2011年10月28日
【發(fā)明者】斯蒂芬·普羅恩奈克, 奧斯卡·弗朗索瓦, 弗雷德里克·內(nèi)特爾 申請人:生物技術(shù)公司