JP6284882B2 - 医療用デバイスとその遠隔デバイスの間のセキュアな通信 - Google Patents

医療用デバイスとその遠隔デバイスの間のセキュアな通信 Download PDF

Info

Publication number
JP6284882B2
JP6284882B2 JP2014537799A JP2014537799A JP6284882B2 JP 6284882 B2 JP6284882 B2 JP 6284882B2 JP 2014537799 A JP2014537799 A JP 2014537799A JP 2014537799 A JP2014537799 A JP 2014537799A JP 6284882 B2 JP6284882 B2 JP 6284882B2
Authority
JP
Japan
Prior art keywords
remote control
mcu
medical
control device
medical device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014537799A
Other languages
English (en)
Other versions
JP2015501593A (ja
Inventor
ステファン・プロエンネッケ
オスカー・フランソワ
フレデリク・ネフテル
Original Assignee
デバイオテック・ソシエテ・アノニム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP11187121.6A external-priority patent/EP2587394A1/en
Application filed by デバイオテック・ソシエテ・アノニム filed Critical デバイオテック・ソシエテ・アノニム
Publication of JP2015501593A publication Critical patent/JP2015501593A/ja
Application granted granted Critical
Publication of JP6284882B2 publication Critical patent/JP6284882B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/63ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for local operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • H04W12/55Secure pairing of devices involving three or more devices, e.g. group pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Theoretical Computer Science (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Infusion, Injection, And Reservoir Apparatuses (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Description

本発明は、限定するものではないが、送達デバイス(たとえばインスリン・ポンプ)および/または無線センサ(たとえば持続血糖測定器)および/または埋め込み型デバイスおよび/またはサンプリング・デバイスなどの医療用デバイスの遠隔制御装置(remote control)に関する。
パッチ・ポンプのような軽量かつ小型のインスリン・ポンプなどいくつかの医療用デバイスを制御するために、遠隔制御装置が必要とされる。その理由は、ポンプそれ自体に配置されたディスプレイの内容を患者が見るのは非常に困難なものとなり得るからである。現在、ポンプの大部分は、メーカ独自の専用の遠隔制御装置を使用している。このことは、別のデバイスを、それにより生じる可能性がある以下のようなあらゆる欠点と共に携行することを表す。すなわち:
・ポケットを見つけて、すばやく簡単にアクセスできる安全な場所に入れること。
・遠隔制御装置を忘れないこと
・充電について考えること、または予備のバッテリを持つこと
・落下、または日光もしくは砂にさらされることのようなあらゆる外部の「悪」条件によるその劣化を防止すること。
別の特定のデバイスの使用を防止する1つの方法は、患者が常に携行しなければならない既存のデバイスに遠隔制御装置機能を組み込むことであるである。この既存のデバイスは、限定するものではないが、血糖測定器または携帯電話などであり、遠隔制御装置機能を組み込むために必要とされるすべての機能を有する。
この目的で携帯電話を使用することは、非常に魅力的であるが、インスリン・ポンプをプログラムするために携帯電話を使用することを可能にする前に、セキュリティ上の多数の側面に対処しなければならない。確保しなければならない重要なセキュリティ機能には、以下のものがある:
・ユーザに対して表示されるデータの完全性
・インスリン・ポンプに送信されるコマンドの完全性
・患者の治療パラメータならびに注入履歴およびイベントのログを収納するデータベースの完全性および保護。
・医療用デバイスとその遠隔制御装置をセキュアにペアリングすること。
・いつでもソフトウェアの応答性があること(たとえば:別のソフトウェアにフォーカスがあるときにアラームを発する、他のタスクがMCUのようなリソースに負荷をかけすぎているときにユーザ要求を処理する能力、など)。
本出願は、Debiotechの名義で2011年10月28日に出願されたEP11187121.6の優先権およびDebiotechの名義で2012年7月9日に出願されたEP12175498.0の優先権の利益を主張するものであり、これらの開示全体は、参照により本明細書に組み込まれる。
本発明の目的は、医療用デバイスとその遠隔制御装置の間の通信をセキュアにする(secure)ための堅牢な環境を提供することである。本明細書では、「通信をセキュアにする」という表現は、遠隔制御装置と医療用デバイスの間のデータ交換が正常であることを確実にするために使用されるあらゆる手段として理解されなければならず、前記データは、許可されたオペレータ(たとえば、ユーザとも呼ばれる患者)によって適切なデバイスを使用して送信され、適切に受信されている。前記手段は、データまたはアプリケーションもしくはオペレーティング・システムの完全性の確認、暗号化プロセス、ペアリング・プロセス、オペレータの身元の検証などであってよい。この趣旨で、本発明は、ループバック・プロセスおよび/または仮想化プラットフォームを組み込んだ前記遠隔制御装置(または医療用デバイスに属する追加のマイクロコントローラ)を使用する医療用アセンブリ(前記医療用デバイスとその遠隔制御装置とを備える)および/または追加のマイクロコントローラ(MCU)を使用する前記アセンブリを備えることができ、このMCUは、遠隔制御装置に挿入され(あるいはプラグ接続され)、セキュアな(secured)データを含むことができ、かつ/または暗号機構を使用して前記医療用デバイスと通信することができる。前記3つの異なる手段(MCU、ループバック、仮想化)を使用することによって、セキュリティを実質的に改善することが可能になるが、前記手段のうち1つまたは2つだけを使用することも可能である。
前記医療用アセンブリは、限定するものではないが、送達デバイスおよび/または無線センサおよび/または埋め込み型デバイスおよび/またはサンプリング・デバイスおよび/または血糖測定モニタなどの少なくとも1つの医療用デバイスを管理および/または監視することができる遠隔制御装置を備えることができる。
前記医療用デバイスは、遠隔制御装置を用いた無線通信を可能にする通信手段と、前記通信をセキュアにする鍵情報を含むセキュアな内部メモリとを備える。前記医療用デバイスは、ただ1つのマイクロコントローラ(MCU)とペアリングされ、このMCUは、セキュアなメモリを備え、前記鍵情報も含む。前記MCUは、遠隔制御装置にプラグ接続されるように設計される。
外部マイクロコントローラを使用する一実施形態では、医療用デバイスと遠隔制御装置の間のセキュアな通信を確立するのに適した前記アセンブリは、:
・前記医療用デバイスとの無線通信を可能にする通信手段、
・追加のマイクロコントローラ(MCU)をプラグ接続するための接続手段;
・表示手段(場合により)、
・少なくとも1つの入力手段、
・通信手段、接続手段、(場合により、表示手段)、および入力手段に接続された少なくとも1つのプロセッサ;
を備える遠隔制御装置と:
・前記遠隔制御装置との無線通信を可能にする通信手段、
・セキュアな内部メモリ;
を備える医療用デバイスと:
・前記遠隔制御装置に接続することができ;セキュアなメモリをさらに備えるMCUと;を備え、
ここで、少なくとも1つの医療用デバイスは、ただ1つのMCUと排他的にペアリングされ;
前記医療用デバイスの内部メモリおよび前記MCUのセキュアなメモリは、通信をセキュアにするための鍵情報を含む。
本明細書では、マイクロコントローラ(MCU)は、遠隔制御装置に挿入された集積チップであってもよいし、または遠隔制御装置にプラグ接続された外部デバイスであってもよい。一般に、MCUは、CPUと、RAMと、何らかの形態のROMと、I/Oポートと、タイマとを含む。他の構成要素を含むコンピュータまたは遠隔制御装置とは異なり、マイクロコントローラ(MCU)は、非常に特殊なタスク向けに、たとえば特定のシステムを制御するように、設計されている。その結果、MCUは単純化および小型化することが可能であり、これによって、製造コストを削減する。さらに、前記MCUは、遠隔制御装置の性能を改善するために(遠隔制御装置の)OSが使用することができる別のCPUおよびメモリをもたらすのではなく、他の機能、特に追加のセキュリティ機能をもたらす。遠隔制御装置のMCUとCPUは別物であり、異なるタスクを有する。本発明では、MCUは、MCUがさまざまな遠隔制御装置と共に使用できるように、遠隔制御装置から完全に独立している。前記MCUは、スマート・カード、Simカード、SDIOカード(Secure Digital Input Output)などのSDカードであってもよい。本明細書では、発明者らは、以下の用語、すなわち:外部マイクロコントローラまたは追加のマイクロコントローラまたはMCUを区別せずに(indifferently)使用することができる。
好ましい一実施形態では、前記医療用デバイスおよび前記MCUは、無線通信構成を含むセキュアなメモリを備える。このようにして、前記デバイスおよび前記MCUは、良好な構成を事前に認識している。特に、前記MCUは、遠隔制御装置を医療用デバイスに接続するために、および前記通信を保護するために使用される鍵情報を含むことができる。
したがって、前記MCUはただ1つの医療用デバイスとペアリングされ、前記MCUは遠隔制御装置に挿入される。このようにして、前記MCUを含む遠隔制御装置のみが、前記医療用デバイスを管理および/または監視することができる。また、患者は、前記MCUが挿入されている遠隔制御装置が、医療用デバイスを管理および/または監視することが可能な単一の遠隔制御装置であることを知っていながら、遠隔制御装置を変更することができる。
別の実施形態では、遠隔制御装置は、少なくとも2つの医療用デバイスを管理および/または監視する。この場合、前記2つの医療用デバイスは、ただ1つのMCUとペアリングすることができ、あるいは、各医療用デバイスはそれ自体のMCUとペアリングされる。
一実施形態では、前記MCUは、前記医療用アセンブリを医療用サーバと接続するための鍵情報を含む。この実施形態では、医療用アセンブリは、遠隔制御装置のデータ通信手段を使用することができる。したがって、前記MCUは、限定するものではないが、ユーザ認証、暗号化パラメータなどの、医療用アセンブリと医療用サーバの間の通信をセキュアにするためのすべての情報を含むことができる。
一実施形態では、MCUは、医療用デバイスによって送信される少なくとも1組のデータまたは遠隔デバイスまたは他のデバイスから提供される他の組のデータを、セキュアなメモリに収納することができる。別の実施形態では、前記データは暗号化され、遠隔デバイスまたは医療用デバイスに収納されるが、MCU(または医療用デバイス)のみが、前記データを復号するための鍵を含む。
遠隔制御装置が仮想プラットフォームを使用する一実施形態では、遠隔制御装置は、
・少なくとも1つのゲスト・オペレーティング・システム(gOS)用のハードウェア構成要素をエミュレートするホスト・オペレーティング・システム(hOS)と、
・いずれも制御されていない環境で使用するように設計され、限定するものではないが、カレンダーまたは連絡先のような一般的な機能を処理する第1のgOSと、
・いずれも制御されている環境で使用するように設計された、医療用デバイスのための遠隔制御装置の機能を処理する医療用オペレーティング・システム(mOS)とを備える仮想化プラットフォームを組み込む。前記mOSは、特定のgOSであってもよい。
本明細書では、「ホスト・オペレーティング・システム」という表現は、RAM、Flash、UART、Wifiなどのすべての遠隔制御装置周辺機器を単独で管理しこれらを共有することが可能な拡張ハイパーバイザなどの、できる限り機能の少ない(thin)オペレーティング・システムとして理解されなければならない。hOSは一般的な機能を扱わず、その目的は、医療用デバイスに送信されるコマンドをセキュアにすることである。
一実施形態では、(上記に記載されているような)MCUは遠隔制御装置にプラグ接続されるが、前記ホスト・オペレーティング・システムは、前記MCUの周辺機器を管理および共有することはできない。
好ましい一実施形態では、前記hOSは、単に標準的なハイパーバイザにとどまらない。前記hOSは、できる限り機能は少ないが、(制御されない環境または制御されている環境で実行されている)何らかのアプリケーションを拒否するまたは何らかの優先度を与えるために、何らかのオペレーティング・プロセス(複数可)を含む。
本明細書では、「ゲスト・オペレーティング・システム」という表現は、一般的な機能(電話、データ送信、カレンダーなど)または特定のオペレーティング・システム(医療用オペレーティング・システムなど)を処理する標準的なオペレーティング・システム(限定するものではないが、Android、AppleのiOSなど)として理解されなければならない。前記異なるゲスト・オペレーティング・システムは、同じ遠隔制御装置上で強固に分離して(in strong isolation)共存してもよい。
本明細書では、「制御されている環境」は、以下の空間と理解されなければならない:
・意図されたアプリケーションの応答性が決定論的である
・ソフトウェア・パッケージおよびオペレーティング・システムのリストおよびバージョンが既知であり、ユーザによる変更が可能である
・ハードウェア構成要素へのアクセスが制御および保証されている
・ハードウェア構成要素(CPU、メモリ、RFリンクなど)の応答性が決定論的である
・所定の最小帯域幅は、常に、ハードウェア構成要素(たとえば:CPU、ネットワークRFリンクなど)にアクセスすることが保証されている
・少なくとも1つの医療用アプリケーションおよび/またはmOSが実行および収納されている
制御されている環境と制御されていない環境は完全に分離されている。
その結果、制御されていない環境では、ハードウェアと制御されている環境との間の相互作用が把握できない。有利には、制御されている環境内にあるゲスト・オペレーティング・システムまたはアプリケーション(限定するものではないが、医療用オペレーティング・システムおよび/または医療用アプリケーションなど)が、他のものよりも優先される。それによって、ホスト・オペレーティング・システムは、本出願によって引き起こされる混乱を回避するために、制御されていない環境で実行されているアプリケーションをブロックすることを決定する。ホスト・オペレーティング・システムは、制御されている環境または制御されていない環境からのどのアプリケーションが画面上でフォーカスを得るか決定することもできる。
一実施形態では、本発明による遠隔制御装置は携帯電話である。任意の適切なOS、たとえばAndroidを使用することができる。遠隔制御装置は、医療用デバイスと組み合わせて使用される。有利には、遠隔制御装置の機能は、インスリン・ポンプの遠隔制御装置向けに設計される。
外部MCUを使用する一実施形態では、前記MCUは、hOSの完全性を認証および確保するためにも使用される。
医療用アセンブリの一実施形態では、前記アセンブリは、有利には、両方の物体(たとえばインスリン・ポンプおよび遠隔制御装置)の間にループバック機構を備える。
本明細書では、ループバック機構は、ユーザによって入力されたデータの単純な確認ではない。ループバック機構は、医療用デバイスによって受信されたデータを確認することを可能にする。そのため、ユーザは、コマンドを(入力手段によって)入力し、そのコマンドを、セキュアな通信を介して医療用デバイスに送信する。前記機構により、コマンドを起動する前に、医療用デバイスは、受信したコマンドがユーザによって送信されたコマンドかどうか、確認を求めなければならない。ユーザが医療用デバイスに対して確認すると、コマンドが起動される。有利には、セキュリティを改善するために、ユーザは、コマンドを確認するためにPINコードを入力しなければならない。
ループバック機構のセキュリティおよび医療用デバイスへの接続性は、有利には、スマート・カードまたはSIMカードまたはSDカードなどのような、遠隔制御装置の中への追加の保護されたMCUを使用することによって保護することができる。
本発明は、具体的には以下の利点を提供する:
− 本発明はまた、応答性、完全性、およびセキュリティが低レベル・オペレーティング・システム・アーキテクチャのコア設計によって確保される制御されている環境を提供する。
− 提案する解決策はセキュアな環境を提供し、このセキュアな環境は、たとえば、患者が望まない追加の数回の注入をプログラムすることのように、治療法を変更することによって正常な使用法を模倣しうる望ましくないアプリケーションを防止することができる。
− スマート・カードとして遠隔制御装置から独立したMCUを使用することによって、ペアリング・プロセス中に別のデバイスから見えることなく、遠隔制御装置を自動的およびセキュアに医療用デバイスと接続することが可能になる。
− 携帯電話のような異なる遠隔制御装置に挿入またはプラグ接続されうるMCUを使用することによって、問題(バッテリ電力低下、遠隔制御装置の失念または喪失など)が発生した場合に、遠隔制御装置の変更が可能になる。
− ループバック・プロセスを使用することによって、医療用デバイス(たとえばインスリン・ポンプ)内でプログラムされた値がユーザの予想する遠隔制御装置上の値に対応することを確実にすることが可能になる。
− ループバック・プロセスの終了時に、ユーザは、好ましくはPINコード(ユーザのみが知っている)を遠隔制御装置上で入力することによって、その値に対して肯定応答する。前記PINコードを使用することによって、適切なユーザによって確認が承認されることが確実になる。
− 仮想プラットフォームを使用することによって、医療用アプリケーションまたはmOSが優先権を持っており、セキュアに実行されることが確実になる。
− hOSは、何らかの周辺機器(MCU、LED、画面の一部、振動子など)が医療用アプリケーションおよび/またはmOSのみによって使用されることを確実にする。
本発明について、以下の図によって示される例を用いて、以下でより詳細に説明する:
本発明による遠隔制御装置(3)のディスプレイを示す図である。この図は仮想化プラットフォームを含む。 本発明の好ましい一実施形態、すなわち遠隔制御装置(3)と医療用デバイス(1)とを備えるアセンブリの、全体的なアーキテクチャを示す図である。 本発明によるループバック機構を示す図である。 MCUを使用する、本発明によるループバック機構を示す図である。 スマート・カードなどのMCU(4)を内部に備える遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 MCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 スマート・カードなどの別のMCU(4)を内部に備えるMCU(6)にプラグ接続された遠隔制御装置(3)と通信する医療用デバイス(1)を示す図である。 スマート・カードなどの2つのMCU(4a、4b)を内部に備えるMCU(6)にプラグ接続された遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。 スマート・カードなどの2つのMCU(4a、4b)を内部に備える遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。 スマート・カードなどの単一のMCU(4c)を内部に備える遠隔制御装置(3)と通信する2つの医療用デバイス(1、7)を示す図である。
追加のマイクロコントローラ(MCU)の使用
限定するものではないが図5〜10に示される好ましい一実施形態では、医療用デバイス(1、7)と遠隔制御装置(3)の間で保護された通信を確立するのに適した医療用アセンブリは、:
・前記医療用デバイス(1、7)との無線通信(2)を可能にする通信手段、
・追加のマイクロコントローラ(MCU)(4、6)をプラグ接続するための接続手段、
・表示手段(場合により)、
・少なくとも1つの入力手段、
・通信手段、接続手段、表示手段、および入力手段に接続された少なくとも1つのプロセッサ;
を備える遠隔制御装置(3)と:
・前記遠隔制御装置(3)との無線通信(2)を可能にする通信手段、
・セキュアな内部メモリ;
を備える医療用デバイス(1、7)と:
・前記遠隔制御装置(3)に接続することができ;セキュアなメモリをさらに備えるMCU(4、4a、4b、4c、6)と;を備え、
ここで、少なくとも1つの医療用デバイス(1、7)は、ただ1つのMCU(4、4a、4b、4c、6)と排他的に対にされ;
前記医療用デバイス(1、7)の内部メモリおよび前記MCU(4、4a、4b、4c、6)のセキュアなメモリは、通信をセキュアにするための鍵情報を含む。
前記医療用デバイス(1、7)は、(限定するものではないが、インスリン・ポンプなどの)送達デバイスおよび/または(患者の生理的特性を測定することができる)無線センサおよび/または埋め込み型デバイスおよび/またはサンプリング・デバイスであってよい。
遠隔制御装置(3)のプロセッサは、遠隔制御装置の主要なコンピューティング・ユニットである。このプロセッサは、遠隔制御装置のオペレーティング・システム(OS)(または複数のオペレーティング・システムOS)を実行しているプロセッサであり、RAM、Flash、UART、Wifiなどの遠隔制御装置(3)のすべての周辺機器にアクセスすることができる。
MCU(4、4a、4b、4c、6)もプロセッサを含み、このプロセッサは、それ自体のオペレーティング・システムおよびコードを実行する。しかし、そのプロセッサは、MCU(4、4a、4b、4c、6)の内部周辺機器(暗号化エンジン、通信インタフェースなど)のみにアクセスすることができる。(限定するものではないが、スマート・カードなどの)MCU(4、4a、4b、4c、6)のプロセッサは、遠隔制御装置(3)の周辺機器にアクセスすることができない。2つのデバイス(MCU(4、4a、4b、4c、6)と遠隔制御装置(3))間の相互作用のみは、通信リンクを介して行われる。したがって、遠隔制御装置(3)のプロセッサとMCU(4、4a、4b、4c、6)のプロセッサは、互いから独立している。したがって、前記MCU(4、4a、4b、4c、6)は、異なる遠隔制御装置にプラグ接続され、完全なセキュリティを確保することができる。
一実施形態では、遠隔制御装置(3)はまた、BGM(血糖モニタ)モジュールの形態をとる別のプロセッサを有する。しかし、このプロセッサは、通信リンクを介して遠隔制御装置(3)のみと相互作用する。
図5に示される一実施形態では、医療用デバイス(1)は遠隔制御装置(3)と通信する。前記遠隔制御装置(3)は、(限定するものではないが、スマート・カードまたはSIMカードなどの)MCU(4)を内部に備え、MCU(4)は、前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記スマート・カード(4)によって起動または実行されるセキュアな処理手段(5)によりセキュリティ保護される(securised)。
一実施形態では、遠隔制御装置(3)は携帯電話であり、MCU(4)は電話オペレータのすべてのデータおよびアプリケーションならびにペアを形成し医療用デバイス(1、7)とセキュア通信するためのすべてのデータおよびアプリケーションを含むsimカードである。一実施形態では、前記遠隔制御装置(3)は、以降で開示される仮想化プラットフォームを備える。別の実施形態では、前記携帯電話は、2つの異なる接続手段、すなわちテレコム・オペレータのSIMカードをプラグ接続するための第1の接続手段と、医療用デバイスとペアリングされたMCUをプラグ接続するための別の接続手段とを備える。
一実施形態では、前記MCU(4、4a、4b、4c、6)は、前記医療用アセンブリと医療用サーバ(たとえばテレメディシン(telemedicine))の間の通信をセキュアにするための鍵情報を含む。このようにして、何らかのデータは医療用サーバにセキュアに送信することができ、医療用サーバにおいて、前記データは、分析されてもよいし、または収納されてもよい。
図6に示される一実施形態では、医療用デバイス(1)は、遠隔制御装置(3)と通信する。前記遠隔制御装置(3)はMCU(6)にプラグ接続され、MCU(6)は前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記MCU(6)によって起動または実行されるセキュアな処理手段(5)によりセキュアにされる。
一実施形態では、MCU(6)は、前述したすべての要素と他の手段とを備える外部デバイスと見なされてもよいし、またはそのような外部デバイスであってもよい。たとえば、前記MCU(6)は、限定するものではないが血糖測定手段などのセンサを備えてもよく、このようにして前記MCU(6)はまた、血糖モニタリングのように使用されてもよい。
一実施形態では、前記MCU(6)は、遠隔制御装置に依存することなく医療用デバイスとセキュア通信するための通信手段を備えることができる。この実施形態では、遠隔制御装置は、携帯電話であってもよく、有利には、その表示手段に使用される。
図7に示される一実施形態では、医療用デバイス(1)は、遠隔制御装置(3)と通信する。前記遠隔制御装置(3)は第1のMCU(6)にプラグ接続され、前記第1のMCU(6)は、(スマート・カードまたはsimカードのような)第2のMCU(4)を内部に備える。前記第2のMCU(4)は、前記医療用デバイス(1)のみとペアリングされる。前記遠隔制御装置(3)と前記医療用デバイス(1)の間の通信(2)は、前記第1のMCU(6)および/または前記第2のMCU(4)によって起動または実行されるセキュアな処理手段(5)によりセキュアにされる。一実施形態では、前記MCU(6)は、限定するものではないが血糖測定手段などのセンサを備え、このようにして前記MCU(6)はまた、血糖モニタリングのように使用されてもよい。
図8および9に示される一実施形態では、2つの医療用デバイス(1、7)は遠隔制御装置(3)と通信する。たとえば、第1の医療用デバイス(1)はインスリン・ポンプ(1)であり、第2の医療用デバイス(7)は持続血糖測定器(7)である。各医療用デバイスは、それ自体のMCU(4a、4b)のみとペアリングされる。図8に示される実施形態は、第1のMCU(6)にプラグ接続された遠隔制御装置(3)を開示する。前記第1のMCU(6)は、第2のMCUおよび第3のMCU(4a、4b)を挿入するための2つの異なる接続手段を備える。図9に示される実施形態は、第1のMCU(6)を必要とすることなく2つの異なるMCU(4a、4b)を挿入するための2つの異なる接続手段を内部に備える遠隔制御装置(3)を開示する。第2のMCU(4a)(または第3のMCU(4b))は、第1の医療用デバイス(1)(または第2の医療用デバイス(7))との無線通信(2)構成を含むセキュアなメモリを備える。前記第2のMCU(4a)は第1の医療用デバイス(1)のみとペアリングされ、前記第3のMCU(4b)は第2の医療用デバイス(7)のみとペアリングされる。実施形態では、より多くのMCUと医療用デバイスとを備えてもよい。
図10に示される一実施形態では、2つの医療用デバイス(1、7)は、遠隔制御装置(3)と通信するが、1つのMCU(4c)がプラグ接続される。この実施形態では、前記MCU(4c)は前記2つの医療用デバイス(1、7)とペアリングされ、前記2つの医療用デバイス(1、7)との無線通信(2)構成を含む少なくとも1つのセキュアなメモリを備える。
上記で説明した実施形態では、1つまたは2つの医療用デバイスを使用するが、本発明はその実施形態に限定されるものではなく、本発明は、1つまたはそれ以上の医療用デバイスと、1つまたはそれ以上のMCUとを有することができる。
一実施形態では、ペアリングは、販売の前に(たとえ工場で)、または遠隔制御装置(3)内のMCU(4、4a、4b、4c、6)をプラグ接続する前に、直接実行することができる。
一実施形態では、前記MCUおよび/または医療用デバイスは、新しいペアリング要求を許容することはできない。
一実施形態では、前記医療用デバイス(1、7)および/または前記MCU(4、4a、4b、4c、6)は、セキュア・ブート・プロセスおよび/またはセキュア・フラッシュ・プロセスおよび/または暗号機構などのセキュアな処理手段(5)を備え、前記セキュアな処理手段(5)は、少なくとも遠隔制御装置の完全性をチェックする、かつ/または前記医療用デバイス(1、7)と前記遠隔制御装置(3)の間のデータのセキュアな通信(2)を管理する。
したがって、前記MCU(4、4a、4b、4c、6)は、限定するものではないが、遠隔制御装置(3)のオペレーティング・システムおよび/またはhOSおよび/またはアプリケーションなど、遠隔制御装置(3)の完全性を確保するために使用することができる。この完全性を確保するための一般的な方法は、セキュア・ブートまたはセキュア・フラッシュを使用することである。これは、遠隔制御装置(3)のブート中に、または定期的な間隔で、モニタリング・システムを介して完全性チェックを実行する機能である。
たとえば、セキュア・ブート・プロセスを使用する一実施形態では:遠隔制御装置(3)上で実行されているソフトウェアが偶然に(ハードウェアの故障)または意図的に(攻撃者、マルウェア)修正されていないことを確実にするために、セキュア・ブートの機構を使用する。遠隔制御装置(3)がオンにされるとき、そのプロセッサによって実行される第1のコードは、遠隔制御装置(3)の内部ストレージ(フラッシュメモリ)の内容の署名を計算し、この署名の有効性を検証するルーチンである。署名が有効であると検証されると、そのプロセッサは、その通常のOS始動手順を継続する。それ以外の場合、システムは始動しない。署名の検証がMCU(4、4a、4b、4c、6)を使用して実行され、これによって、機密(鍵)が露出されないことが確実になることに留意することが重要である。
別の例として、セキュア・フラッシュ・プロセスを使用する一実施形態では:ユーザが、遠隔制御装置OSのより新しいバージョンを利用できることが望ましい。同様に、遠隔制御装置(3)のソフトウェアを不正ソフトウェアで更新することを防止するために、書き込まれるべき新しいソフトウェアは署名されなければならない。遠隔制御装置(3)が(たとえば、電源ボタンを長く押すことによって)更新モードで開始されると、プロセッサは第1のルーチンを実行する。この第1のルーチンは、新しいソフトウェアのイメージをダウンロードし、その署名を計算し、それを検証してから、既存のソフトウェアに上書きする。この場合も、署名の検証がMCU(4、4a、4b、4c、6)を使用して実行され、これによって、機密(鍵)が露出されないことが確実になることに留意することが重要である。
したがって、上記で示した一実施形態では、前記MCU(4、4a、4b、4c、6)が存在することによって、破損したソフトウェアによるhOSの置き換えが回避される。
一実施形態では、MCU(4、4a、4b、4c、6)は、医療用デバイス(1、7)への無線接続を可能にする、(限定するものではないが:通信構成、公開鍵、秘密鍵、暗号プロセスなどの)鍵情報も含むことができ、医療用デバイス(1、7)も前記鍵情報を部分的または完全に知っている。前記鍵情報がなければ、医療用デバイス(1、7)に接続することは不可能である。この特徴は、医療用デバイス(1、7)が発見できないブルートゥース通信を使用することによって、説明することができる。遠隔制御装置(3)は、標準的なペアリング・プロセスを使用せずにブルートゥース接続を開始するために、リンク鍵を必要とする。この特殊な場合では、リンク鍵をMCU(4、4a、4b、4c、6)に読み込み、次にブルートゥース通信層に転送することができ、この層は接続をじかに要求することが可能である。
一実施形態では、前記セキュアな処理手段(5)は:
− 少なくとも1つの非対称鍵ペアおよび/または対称鍵を生成する非対称鍵暗号機構;
− 少なくとも1つの対称鍵および/または非対称鍵を生成する対称鍵暗号機構
− 暗号学的ハッシュ機構
を使用することができる。
前記非対称鍵暗号機構は、このアルゴリズムのうち少なくとも1つを使用することができる:Benaloh、Blum−Goldwasser、Cayley−Purser、CEILIDH、Cramer−Shoup、Damgard−Jurik、DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser−Micali、HFE、IES、Lamport、McEliece、Merkle−Hellman、MQV、Naccache−Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto−Uchiyama、Schnorr、Schmidt−Samoa、SPEKE、SRP、STS、Three−pass protocol、またはXTR。
一実施形態では、前記MCUのセキュアなメモリは秘密鍵を含み、前記医療用デバイスのセキュアな内部メモリは適切な公開鍵を含む。
遠隔制御装置(3)と医療用デバイスの間のペアリングは、以下の工程を含む:
・遠隔制御装置(3)内での前記MCU(4、4a、4b、4c、6)の挿入、
・前記MCU(4、4a、4b、4c、6)は、(前記MCU(4、4a、4b、4c、6)のセキュアなメモリに含まれる)無線通信構成を使用して、医療用デバイスを遠隔制御装置(3)と接続する、
・前記医療用デバイス(1、7)は、(前記医療用デバイス(1、7)のセキュアなメモリに含まれる)前記無線通信構成を使用して、遠隔制御装置(3)と接続される、
・有利には、前記MCU(4、4a、4b、4c、6)および前記医療用デバイス(1、7)は、暗号機構を使用してプラグ接続を認証する。
したがって、医療用デバイス(1、7)および遠隔制御装置(3)は、強制的に医療用デバイス(1、7)を他のデバイスに見えるようにする標準的なペアリング・プロセスを使用しない。
一実施形態では、前記MCU(4、4a、4b、4c、6)は、前記遠隔制御装置(3)が前記セキュアな処理手段(5)にアクセスしないような形で、そのセキュアなメモリ内に前記セキュアな処理手段(5)を保つ。
一実施形態では、医療用デバイスも、医療用デバイスのセキュアなメモリと遠隔デバイスの間のデータの暗号化された通信を管理する前記セキュアな処理手段を備える。
ホスト・オペレーティング・システム(hOS)の使用
限定するものではないが好ましい一実施形態では、ここで図1に注意を向けると、遠隔制御装置(3)のモバイル仮想化プラットフォームの使用は、遠隔制御装置(3)(たとえばスマートフォン)を、(たとえば医療用デバイス(1、7)を制御するための)制御されている環境と(たとえば汎用タスクのための)制御されていない環境に分割する可能性を提供する。仮想化プラットフォームは、仮想マシン・アプリケーションを介して定義することができる。
以下のアーキテクチャは、本発明による仮想化プラットフォームの非限定的な例を説明する(図1を参照されたい):
・1つまたはいくつかのゲストOS(図1では、2つのゲストOSのみが示されている)に対するハードウェア構成要素をエミュレートするホスト・オペレーティング・システム(OS)。
・制御されていない環境において汎用タスク(たとえば:カレンダー、連絡先、ウェブ・ブラウジング、電話通信、エンターテインメントなど)を処理する1つのゲストOS ・制御されている環境において医療用デバイスとの相互作用を処理する1つのゲストOS
有利には、hOSは、できる限り機能が少ないが、いくつかの先行するオペレーティング・プロセスを統合しており、最低レベルのオペレーティング・システム・アーキテクチャに存在する。ホスト・オペレーティング・システムは単純なハイパーバイザではない。実際には、ホスト・オペレーティング・システムは、さまざまなセキュリティ・タスクと制御タスクとをさらに含む。したがって、ホスト・オペレーティング・システムは、アクティビティを管理、協調させ、遠隔制御装置のリソースを共有し、アプリケーションの実行ならびに/または遠隔制御装置(3)のドライバおよび/もしくは周辺機器の使用を拒否および/または許可することを決定する。このようにして、悪意のあるソフトウェアは、ドライバおよび/または限定するものではないが上記で説明したようなMCUなどの周辺機器にアクセスできないので、セキュリティは改善される。
したがって、このアーキテクチャを使用することによって、制御されている環境は、常に、医療用デバイスと交換したコマンド/情報を妨害または修正または生成するための悪意のあるあらゆるアプリケーションを防止するために、遠隔制御装置の完全な制御を有する。そのような悪意のあるアプリケーションの一般的な動作は、注入のプログラミングを模倣するために、ユーザのPINコードを盗むことである。
一実施形態では、この制御されている環境が認証され、その完全性は、上記で説明したMCUを用いてチェックされる。遠隔制御装置のブート時には、安全チェックは前記MCUによって行われる。このチェックは、完全性を確認し、hOSおよび場合によりmOSを認証するべきである。
このアーキテクチャに加えて、特殊なモニタリング・プログラムを実施して、制御されている環境で実行されているすべてのタスクをチェックすることができ、これによって、許可されたアプリケーションの特定のリストに含まれていないアプリケーションを無効にすることができる。この特定のモニタリングはまた、前記MCUによって制御することができる。前記モニタは、アプリケーションによって使用される実行時間を測定し、アラームをトリガすることによって、アクティビティの過負荷が疑われることをユーザに示すことが可能な場合がある。
一実施形態では、前記hOSは、前記MCUに含まれている、および/または起動されている、および/または実行されている。
一実施形態では、前記mOSは、前記MCUに含まれている、および/または起動されている、および/または実行されている。
一実施形態では、前記mOSおよび/または前記hOSは前記MCUに含まれている。前記MCUを遠隔制御装置に挿入すると、MCUは、遠隔制御装置上に前記mOSおよび/またはhOSをインストールする。
一実施形態では、制御されている環境内での処理は、視覚的インジケータおよび/または音声インジケータおよび/またはLEDのような他のインジケータ(振動子など)を使用して知らせることができ、これによって、現在のアプリケーションは制御されていない環境ではなく制御されている環境で実行されていることがユーザに知らされる。例として、現在のアプリケーションが制御されている環境にいるとき、緑色のLEDがオンに切り替えられ、次に、制御されていない環境にユーザが戻ると、緑色のLEDがオフに切り替えられることを想像することができる。また、制御されている環境にユーザがいるときLEDがオフであり、制御されていない環境にユーザが戻るとLEDが赤色になる「反対の」使用事例を有してもよい。
別の実施形態では、hOSは、画面の一部を、制御されている環境で実行されているアプリケーションに予約することができる。このようにして、mOSのみがこの空間に何かを表示することができ、制御されていない環境で実行されているアプリケーションまたは他のgOSは、この空間を使用することはできない。
したがって、ユーザは、mOSのアプリケーションが実行されていることまたは実行されていないことがわかる。実際には、前記インジケータがユーザに正しく通知しない場合、医療用デバイスを制御しようとするまたはユーザを誤った方向に導こうとするのは、間違いなく悪意のあるアプリケーションである。
ループバック機構の使用
次の段落は、ループバック機構を備える本発明の好ましい一実施形態に関する。この特徴は、本発明によるアセンブリと患者が読むまたは入力する情報との間のセキュアなブリッジを確保するために、これまで開示したアーキテクチャまたは類似のレベルのセキュリティが遠隔制御装置の内部に設けられることを考慮に入れることによって、医療用デバイスと遠隔制御装置の間のセキュア通信を提供することができる。図3および4は、本発明による遠隔制御装置(3)によるループバック機構の使用を示す。
ループバックとは、医療用デバイス(1、7)上で実行されるコマンドが、そのパラメータと共に、オペレータによって要求されており(認証)、オペレータの希望に対応する(完全性)ことを確実にする機構である。より正確には、この機構は、最初に、遠隔制御装置(3)と医療用デバイス(1、7)の間で伝送される情報が偶然に(メモリの故障、通信干渉)または随意的に(攻撃者、マルウェア)変更されていないことを確実なものにする。そのうえ、この機構は、コマンドがユーザによって要求されていることを確実なものにする。これらの2つの機能は、限定するものではないが、以下のタスクなどによって達成される:
− コマンドが、そのパラメータと共に、遠隔制御装置(3)によって医療用デバイス(1、7)に伝送される。
− 医療用デバイス(1、7)が、コマンドおよびそのパラメータに基づいてチャレンジを生成し、それを遠隔制御装置(3)に返す。
− 遠隔制御装置(3)が、チャレンジから情報を抽出して、それを確認のためにユーザに対して表示する。この情報は、医療用デバイス(1、7)によって受信されるコマンドおよびそのパラメータを含む。
− ユーザは、本人のみが知っているPINを入力することによって承認および確認を知らせる。遠隔制御装置(3)は、PINおよびチャレンジそのものを使用してチャレンジへのレスポンスを生成する。
− このレスポンスは医療用デバイス(1、7)に送信され、医療用デバイス(1、7)によって検証される。コマンドは、チャレンジのレスポンスが正しい場合のみ、実際に実行し始める。
この機構は、チャレンジ・レスポンスの特定のインスタンスの場合のみユーザの使用するPINが検証されるという点において、標準的な「ログイン」機構と異なる。このようにして、各コマンドはユーザによって検証されなければならず、したがって、悪意のあるアプリケーションは、ユーザがPINコードを入力した直後に新しいコマンドを送信することはできない。そのうえ、ユーザはPINコードを知る唯一の人物なので、別の人物が適切な遠隔制御装置または他のデバイスを用いて誤ってまたは意図的にコマンドを送信することはできない。
この機構はまた、ユーザに示され承認が要求される情報はターゲット・デバイスによって返される情報であるという点で、「本当によろしいですか(Are you sure?)」機構を用いてユーザに対して要求されたコマンドを繰り返すだけとも異なる。何らかの改変が行われた場合、この返された値は、当初ユーザが入力した情報とは自動的に異なる。
前記確認は遠隔デバイスによって自動的に処理されず、したがって、悪意のあるアプリケーションは、前記確認を制御することができない。送信されたコマンドを確認するためのPINコードを知るユーザのみによって確認が許可されることが、極めて重要である。
好ましくは、セキュアな直接パイプが、医療用デバイスのメモリと表示される値を含む遠隔制御装置上のセキュアなバッファとの間に作成される。次に、遠隔制御装置(3)上の許可されたアプリケーションが、その値を表示し、ユーザ認証を記録し、これを使用して戻り値が構築され、この戻り値が医療用デバイスに返送される。このセキュアなパイプは、追加のMCUの内部にある情報を使用して開始することができる。
医療用デバイス上でプログラムしたいパラメータの定義をユーザが終了すると、セキュアなパイプが開く。医療用デバイスがそれらのパラメータを使用することを可能にするためにユーザがそれらのパラメータを承認すると、セキュアなパイプが閉じる。
本発明によるループバック・プロセスは、好ましくは、以下の要素の実装を必要とする:
・医療用デバイス内のセキュアなメモリ領域
・医療用デバイスのセキュアなメモリ領域と遠隔制御装置の間のデータの暗号化された通信を管理する、医療用デバイス内のセキュアなプロセス。
・遠隔制御装置内のセキュアな表示メモリ領域
・医療用デバイスと遠隔制御装置のセキュアな表示メモリ領域との間のデータの暗号化された通信を管理する、遠隔制御装置内のセキュアなプロセス。
・セキュアな表示メモリ領域から遠隔制御装置のディスプレイにデータを転送し、ユーザの肯定応答チケットを構築する、遠隔制御装置上での許可されたセキュアなプロセス。
これらの異なる要素のアーキテクチャが図2に示されている。
医療用デバイスが、1組のパラメータを受信すると、ループバック・プロセスが開始され、それにより、治療法のセットアップまたはアラーム設定のようなセキュリティ機構が変更される。
追加のMCUを使用しない一実施形態では、医療用アセンブリ(少なくとも1つの医療用デバイスおよび1つの遠隔制御装置)は、
・セキュアなメモリ領域を含むことができる、前記医療用デバイス内のメモリと、
・前記セキュアなメモリ領域と遠隔デバイスの間のデータの暗号化された通信を管理する、前記医療用デバイス内のセキュアな処理手段(5)と、
・遠隔制御装置内のセキュアなメモリ領域と、
・医療用デバイスと前記メモリ領域の間のデータの暗号化された通信を管理する、遠隔制御装置内のセキュアな処理手段(5)と、
・セキュアなメモリ領域から遠隔制御装置のディスプレイにデータを転送し、ユーザの肯定応答チケットを構築する、遠隔制御装置上での許可されたセキュアな処理手段(5)とを備える。
プロセスは、好ましくは、以下の工程を含む:
・医療用デバイス内の組み込みソフトウェアによって行われる、
・医療用デバイスのメモリに肯定応答されなければならないパラメータを書き込む工程
・一般にチャレンジという名前である、ランダムな情報を生成する工程
・医療用デバイスと遠隔制御装置の間でセキュアなパイプを開く工程
・振動、音、LED、または患者に知らせる他の任意の方法のような手段によって、医療用デバイスおよび遠隔制御装置はループバック・モードであることをユーザに示す工程。
・KPと呼ばれる暗号化鍵および遠隔制御装置へのチャレンジを使用することによって暗号化されたパラメータを送信する工程。
・遠隔制御装置内のソフトウェア・エンティティ1によって行われる、
・暗号化されたパラメータおよびチャレンジを受信して、遠隔制御装置のセキュアなメモリ領域に書き込む工程。
・遠隔制御装内のソフトウェア・エンティティ2によって行われる、
・KPに対応する鍵である、KRCと呼ばれる鍵を使用することによってパラメータを復号する工程。これらの鍵は、対称であってもよいし、非対称であってもよい。許可されたアプリケーションは、対応する正しい鍵KRCを有することによって検証される。
・復号されたパラメータを「概要」ページに表示する工程。
・ユーザのPINコードを入力する工程。
・チャレンジ、鍵KRC、および入力したPINコードを使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程。
・遠隔制御装置(3)のセキュアなメモリ領域にチケットを書き込む工程。
・遠隔制御装置内のソフトウェア・エンティティ1によって行われる、
・このチケットを医療用デバイスに送信する工程。
・医療用デバイス内の組み込みソフトウェアによって行われる、
・予想されるチケットを計算する工程
・遠隔制御装置から来る肯定応答チケットを受信し検証する工程。
このプロセスは図3に示されている。チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイス(1、7)は更新されたパラメータを使用することが可能である、この基本プロセスは、セキュアなパイプのセキュリティを改善するために、より磨きをかけてもよいし、より複雑なスキームの一部であってもよい。
一実施形態では、ユーザの動作を模倣するまたはPIN情報を傍受するアプリケーションを防止するために、遠隔制御装置デバイス上のランダム配列表示を使用しながら、このPINを入力してもよい。たとえば、PINコードがユーザによって入力されるたびに異なるランダムな順序で、数字(0から9のうち5個)を表示する。
別の実施形態では、限定するものではないが、指紋読み取り装置または網膜読み取り装置などの別の認証手段によって、PINを変更することができる。認証手段は、ユーザのみが知っているまたは所有していなければならない。
一実施形態では、前記ソフトウェア・エンティティ1と前記ソフトウェア・エンティティ2は、同じソフトウェア・エンティティであり、または、ソフトウェア・エンティティ1は遠隔制御装置(3)内の組み込みソフトウェアであってよく、ソフトウェア・エンティティ2は遠隔制御装置(3)内の許可されたアプリケーションであってよい。別の実施形態では、前記ソフトウェア・エンティティ1は上記で定義したホスト・オペレーティング・システムによって実行されており、ソフトウェア・エンティティ2は上記で説明した医療用オペレーティング・システムによって実行されている。
送信されたデータを暗号化する方法および前記チケットを生成する方法がいくつかあることは、当業者には理解されよう。本発明は、送信されたデータを暗号化するまたは前記チケットを生成する特定の方法に限定されない。
追加のMCUを含む一実施形態では、プロセスは、好ましくは以下の工程を含む:
・医療用デバイス内の組み込みソフトウェアによって行われる:
・医療用デバイスのメモリに肯定応答でなければならないパラメータを書き込む工程
・チャレンジを生成する工程
・一時鍵Ks1を使用することによって前記パラメータを暗号化する工程
・振動、音、LED、または患者に知らせる他の任意の方法のような手段によって、医療用デバイスおよび遠隔制御装置はループバック・モードであることをユーザに示す工程。
・暗号化したパラメータを遠隔制御装置に送信する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・暗号化したパラメータをMCUに送信する工程。
・MCU内で組み込みソフトウェアによって行われる、
・暗号化されたパラメータおよびチャレンジを受信して、MCUのセキュアなメモリ領域に書き込む工程。
・鍵Ks1を使用することによってパラメータを復号する工程。
・復号したパラメータおよびチャレンジを遠隔制御装置のメモリに送信する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・復号されたパラメータを「概要」ページに表示する工程。
・ユーザに、PINコードを入力することを促す工程。
・チャレンジ、パラメータ、および入力したPINコードを使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程。
・遠隔制御装置のセキュアなメモリ領域にチケットを書き込む工程。
・前記チケットをMCUに送信する工程
・MCU内で組み込みソフトウェアによって行われる、
・前記チケットを受信し、MCUのセキュアなメモリ領域に書き込む工程
・一時鍵Ks2を使用することによって前記チケットを暗号化する工程
・前記暗号化したチケットを遠隔制御装置に返送する工程
・遠隔制御装置内で組み込みソフトウェアによって行われる、
・暗号化したチケットを医療用デバイスに送信する工程。
・医療用デバイス内の組み込みソフトウェアによって行われる、
・予想されるチケットを計算する工程
・遠隔制御装置から来る肯定応答チケットを受信し、復号し、検証する工程。
このプロセスは図4に示されている。チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイスは更新されたパラメータを使用することが可能である。この基本プロセスは、セキュアなパイプのセキュリティを改善するために、より磨きをかけてもよいし、より複雑なスキームの一部であってもよい。
一実施形態では、遠隔制御装置内の前記組み込みソフトウェアは、上記で定義したホスト・オペレーティング・システムによって実行されており、MCU内の前記組み込みソフトウェアは、上記で説明した医療用オペレーティング・システムによって実行されている。
一実施形態では、チャレンジも暗号化されてよい。
一実施形態では、鍵Ks1およびKs2は、非対称鍵ペアまたは対称鍵であってもよいし、またはハッシング機構を使用してもよい。
一実施形態では、鍵Ks1とKs2が同じである。
一実施形態では、鍵Ks1とKs2は異なる。
一実施形態では、ユーザは、PINコードを入力して、ループバック機構への参加(entrance)を確認しなければならず、そのようなPINコードはランダムに表示される配列上に入力される。
別の実施形態では、医療用デバイスは、患者の生理的特性を測定することができる少なくとも1つのセンサと、前記センサによって観察される第1の症状をリアル・タイムで認識するための診断手段と、前記診断手段が前記第1の症状を検出した場合に患者に警告するアラーム手段とを備える。このようにして、医療用デバイスは、遠隔制御装置によって監視され、遠隔制御装置にアラームを送信することができる。
一実施形態では、遠隔制御装置は、アラームが送信された場合にユーザの位置を特定するためのGPSを備える。前記医療用アセンブリは、前記診断手段が前記第1の症状を検出した場合、または/および患者が自分ですることができない場合に、遠隔制御装置内のアプリケーションを起動して、患者の位置を特定し、前記位置特定を医療センターまたは他の人物に送信することができる。また、前記医療用アセンブリは、前記診断手段が前記第1の症状を検出した場合、または/および患者が自分ですることができない場合に、遠隔制御装置内のアプリケーションを起動して、生理的特性のデータを医療センターまたは他の人物に送信することができる。
本発明は、当然のことながら、これまでに説明した図示の例に限定されない。
1 医療用デバイス
2 無線通信
3 遠隔制御装置
4、4a、4b、4c (スマート・カードなどの)マイクロコントローラ
5 セキュアな処理手段
6 別のタイプのマイクロコントローラ
7 別の医療用デバイス

Claims (26)

  1. 無線通信をセキュアにするための医療用システムであって、
    無線通信手段、
    接続ポート、
    前記無線通信手段に接続されたプロセッサ
    を備える遠隔制御装置(3)と、
    前記遠隔制御装置(3)の無線通信手段と無線通信するよう適合された無線通信手段、
    セキュアな内部メモリ
    を備える医療用デバイス(1、7)と、
    前記遠隔制御装置(3)の接続ポートに接続されるように設計され;セキュアなメモリをさらに備えるMCU(4、4a、4b、4c、6)と
    を備え、
    ここで、少なくとも1つの医療用デバイス(1、7)は、ただ1つのMCU(4、4a、4b、4c、6)と排他的にペアリングされ、
    前記医療用デバイス(1、7)および前記MCU(4、4a、4b、4c、6)は、前記医療用デバイス(1、7)と前記遠隔制御装置(3)の間のデータの通信をセキュアにするセキュアな処理手段(5)を備え、
    前記MCU(4、4a、4b、4c、6)は、前記遠隔制御装置(3)が前記セキュアな処理手段(5)にアクセスしないような形で、そのセキュアなメモリ内に前記セキュアな処理手段(5)を保つ、
    上記医療用システム。
  2. 前記医療用デバイス(1、7)のセキュアな内部メモリおよびそのMCU(4、4a、4b、4c、6)のセキュアなメモリがさらに、無線通信構成の少なくとも一部を含む、請求項1に記載の医療用システム。
  3. 前記医療用デバイスのセキュアな内部メモリまたは前記MCUのセキュアなメモリのみが、暗号機構または認証手順のために使用される鍵を含む、請求項1に記載の医療用システム。
  4. 前記MCUのメモリがさらに、前記遠隔制御装置と前記医療用デバイスの間でペアリン
    グを開始するために前記遠隔制御装置によって使用されるリンク鍵を保存する、請求項1に記載の医療用システム。
  5. 前記医療用デバイスが、別のMCUとペアリングすることができない、請求項1に記載の医療用システム。
  6. 前記MCUが前記遠隔制御装置に接続される前に、前記医療用デバイスとそのMCUがペアリングされる、請求項1に記載の医療用システム。
  7. 前記医療用デバイスと前記遠隔制御装置の間のペアリングの前に、前記医療用デバイスとそのMCUがペアリングされる、請求項1に記載の医療用システム。
  8. 前記遠隔制御装置(3)は、表示手段および入力手段の少なくとも1つを備える、請求項1に記載の医療用システム。
  9. 前記セキュアな処理手段(5)が、認証手順を処理するよう設計される、請求項に記載の医療用システム。
  10. 前記セキュアな処理手段(5)が、新しい医療用デバイスまたは新しいMCUとの新しいペアリング処理を防ぐよう設計される、請求項に記載の医療用システム。
  11. 前記セキュアな処理手段が、前記無線通信のセキュア化および前記無線通信の開始の少なくとも1つのための追加の鍵を生成する暗号機構を使用する、請求項1に記載の医療用システム。
  12. 前記MCUが、前記無線通信のデータの暗号化を行うよう構成されたプロセッサを含む、請求項1に記載の医療用システム。
  13. 前記MCUが、前記無線通信のデータの復号を行うよう構成されたプロセッサを含む、請求項1に記載の医療用システム。
  14. 前記MCU(4、4a、4b、4c、6)は、汎用集積回路カード、スマート・カード、またはSIMカード、またはSDカードである、請求項1に記載の医療用システム。
  15. 前記MCU(4、4a、4b、4c、6)の前記セキュアなメモリは、前記MCU(4、4a、4b、4c、6)の内部で実行され遠隔制御装置(3)とインタフェースするアプリケーションを備える、請求項1に記載の医療用システム。
  16. アプリケーションは、遠隔制御装置(3)の内部メモリにロードされ、前記遠隔制御装置(3)の内部で実行されている、請求項1に記載の医療用システム。
  17. 前記MCU(4、4a、4b、4c、6)は、前記アプリケーションの完全性を確認するための認証手段を備える、請求項15に記載の医療用システム。
  18. 前記MCUのメモリがさらに、前記遠隔制御装置によって読み取ることができないデータを含むセキュアな情報を保存する、請求項1に記載の医療用システム。
  19. 前記遠隔制御装置によって読み取ることができないデータが、暗号機構によって使用される鍵、認証機構によって使用される鍵、他の鍵および他の情報の少なくとも1つである、請求項18に記載の医療用システム。
  20. 前記遠隔制御装置が、テレコム・オペレータのSIMカードを受け取るよう構成された第2の接続ポートを含む、請求項1に記載の医療用システム。
  21. 前記遠隔制御装置が、制御されている環境および制御されていない環境を示すためのモバイル仮想化ディスプレイを含む、請求項1に記載の医療用システム。
  22. 前記遠隔制御装置が、ホスト・オペレーティング・システムによって実行され、前記制御されている環境が、医療用オペレーティング・システムである、請求項21に記載の医療用システム。
  23. 前記医療用デバイスおよびそのMCUが各々、ループバック機構を実行するよう構成されたコンピュータ指令によって運用される、請求項1に記載の医療用デバイス。
  24. 前記MCUが、前記医療用デバイス専用である、請求項1に記載の医療用システム。
  25. ループバック機構を持つ、請求項1〜24のいずれか1項に記載の医療用システム(4、4a、4b、4c、6)の使用であって:
    前記医療用デバイス(1、7)によって行われる、
    医療用デバイス(1、7)のセキュアなメモリに肯定応答でなければならないパラメータを書き込む工程と、
    チャレンジを生成する工程と、
    一時鍵Ks1を使用することによって前記パラメータを暗号化する工程と、
    振動、音、LED、または患者に知らせる他の任意の方法によって、医療用デバイス(1、7)および遠隔制御装置(3)はループバック・モードであることをユーザに示す工程と、
    暗号化したパラメータを遠隔制御装置(3)に送信する工程と、
    遠隔制御装置(3)によって行われる、
    暗号化したパラメータをMCU(4、4a、4b、4c、6)に送信する工程と、
    MCU(4、4a、4b、4c、6)によって行われる、
    暗号化されたパラメータおよびチャレンジを受信して、MCU(4、4a、4b、4c、6)のセキュアなメモリ領域に書き込む工程と、
    鍵Ks1を使用することによってパラメータを復号する工程と、
    復号したパラメータおよびチャレンジを遠隔制御装置(3)のメモリに送信する工程と、
    遠隔制御装置(3)によって行われる、
    復号されたパラメータを「概要」ページに表示する工程と、
    ユーザに、ユーザの認証手段を入力することを促す工程と、
    チャレンジ、パラメータ、および入力した前記認証手段を使用することによってこれらのパラメータの受け入れを確認する肯定応答チケットを構築する工程と、
    遠隔制御装置(3)のセキュアなメモリ領域にチケットを書き込む工程と、
    前記チケットをMCU(4、4a、4b、4c、6)に送信する工程と、
    MCU(4、4a、4b、4c、6)によって行われる、
    前記チケットを受信し、MCU(4、4a、4b、4c、6)のセキュアなメモリ領域に書き込む工程と、
    一時鍵Ks2を使用することによって前記チケットを暗号化する工程と、
    前記暗号化したチケットを遠隔制御装置(3)に返送する工程と、
    遠隔制御装置(3)によって行われる、
    暗号化したチケットを医療用デバイス(1、7)に送信する工程と、
    医療用デバイス(1、7)によって行われる、
    予想されるチケットを計算する工程と、
    遠隔制御装置(3)から来る肯定応答チケットを受信し、復号し、検証する工程と
    を含み、
    チケットが検証されるとき、ループバック・プロセスは閉じており、医療用デバイス(1、7)は更新されたパラメータを使用することが可能である、
    上記医療用システムの使用。
  26. ユーザの認証手段はPINコードであってもよいし、指紋読み取り装置または網膜読み取り装置などを使用してもよい、請求項25に記載のループバック機構の使用。
JP2014537799A 2011-10-28 2012-10-26 医療用デバイスとその遠隔デバイスの間のセキュアな通信 Expired - Fee Related JP6284882B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP11187121.6A EP2587394A1 (en) 2011-10-28 2011-10-28 Mobile virtualization platform for the remote control of a medical device
EP11187121.6 2011-10-28
EP12175498 2012-07-09
EP12175498.0 2012-07-09
PCT/IB2012/055917 WO2013061296A2 (en) 2011-10-28 2012-10-26 Mobile virtualization platform for the remote control of a medical device

Publications (2)

Publication Number Publication Date
JP2015501593A JP2015501593A (ja) 2015-01-15
JP6284882B2 true JP6284882B2 (ja) 2018-02-28

Family

ID=47326249

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014537799A Expired - Fee Related JP6284882B2 (ja) 2011-10-28 2012-10-26 医療用デバイスとその遠隔デバイスの間のセキュアな通信

Country Status (7)

Country Link
US (1) US9967739B2 (ja)
EP (1) EP2786288A2 (ja)
JP (1) JP6284882B2 (ja)
CN (1) CN103890768B (ja)
AU (1) AU2012327945A1 (ja)
CA (1) CA2853598A1 (ja)
WO (1) WO2013061296A2 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8271106B2 (en) 2009-04-17 2012-09-18 Hospira, Inc. System and method for configuring a rule set for medical event management and responses
US11462321B2 (en) 2010-08-12 2022-10-04 Fenwal, Inc. Mobile applications for blood centers
US11901069B2 (en) 2010-08-12 2024-02-13 Fenwal, Inc. Processing blood donation data for presentation on operator interface
AU2012325937B2 (en) 2011-10-21 2018-03-01 Icu Medical, Inc. Medical device update system
US8769625B2 (en) 2011-11-17 2014-07-01 Fresenius Medical Care Holdings, Inc. Remote control of dialysis machines
US10171458B2 (en) 2012-08-31 2019-01-01 Apple Inc. Wireless pairing and communication between devices using biometric data
AU2014225658B2 (en) 2013-03-06 2018-05-31 Icu Medical, Inc. Medical device communication method
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
KR101337208B1 (ko) * 2013-05-07 2013-12-05 주식회사 안랩 휴대 단말의 어플리케이션 데이터 관리 방법 및 그 장치
JP6621748B2 (ja) 2013-08-30 2019-12-18 アイシーユー・メディカル・インコーポレーテッド 遠隔輸液レジメンを監視および管理するシステムならびに方法
US9662436B2 (en) 2013-09-20 2017-05-30 Icu Medical, Inc. Fail-safe drug infusion therapy system
FR3011110B1 (fr) * 2013-09-24 2016-10-21 Biocorp Rech Et Dev Methode de suivi et d'aide a l'observance du traitement d'un patient
US10311972B2 (en) 2013-11-11 2019-06-04 Icu Medical, Inc. Medical device system performance index
US9231923B1 (en) * 2013-11-12 2016-01-05 Amazon Technologies, Inc. Secure data destruction in a distributed environment using key protection mechanisms
US10223538B1 (en) 2013-11-12 2019-03-05 Amazon Technologies, Inc. Preventing persistent storage of cryptographic information
US9235714B1 (en) 2013-11-12 2016-01-12 Amazon Technologies, Inc. Preventing persistent storage of cryptographic information using signaling
US10360368B2 (en) * 2013-12-27 2019-07-23 Abbott Diabetes Care Inc. Application interface and display control in an analyte monitoring environment
CN106455940B (zh) * 2014-04-09 2020-06-05 皇家飞利浦有限公司 用于认证的血管内设备使用和重新使用的设备、系统和方法
US9764082B2 (en) 2014-04-30 2017-09-19 Icu Medical, Inc. Patient care system with conditional alarm forwarding
US9724470B2 (en) 2014-06-16 2017-08-08 Icu Medical, Inc. System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy
US9539383B2 (en) 2014-09-15 2017-01-10 Hospira, Inc. System and method that matches delayed infusion auto-programs with manually entered infusion programs and analyzes differences therein
FR3026254B1 (fr) * 2014-09-19 2016-11-25 Dominique Bolignano Procede d'appairage
CN205050141U (zh) 2014-09-30 2016-02-24 苹果公司 电子设备
EP3032443A1 (en) * 2014-12-08 2016-06-15 Roche Diagnostics GmbH Pairing of a medical apparatus with a control unit
GB2535471A (en) * 2015-02-16 2016-08-24 Camlab Ltd A computer device for acting as a meter
SI3101571T1 (en) * 2015-06-03 2018-06-29 F. Hoffmann-La Roche Ag Measuring system for measuring analytical concentration with a subcutaneous analytic sensor
US10002257B2 (en) * 2015-08-04 2018-06-19 Ge Aviation Systems Llc Cryptographic key loader embedded in removable data cartridge
CN105327430A (zh) * 2015-11-20 2016-02-17 无锡顶点医疗器械有限公司 一种无线胰岛素输注系统
GB201607973D0 (en) 2016-05-06 2016-06-22 Vicentra B V Communication protocol for an electronic system
US10552138B2 (en) * 2016-06-12 2020-02-04 Intel Corporation Technologies for secure software update using bundles and merkle signatures
WO2018013842A1 (en) 2016-07-14 2018-01-18 Icu Medical, Inc. Multi-communication path selection and security system for a medical device
US10493287B2 (en) 2017-02-27 2019-12-03 Medtronic, Inc. Facilitating trusted pairing of an implantable device and an external device
CN110461391B (zh) * 2017-03-23 2021-12-07 泰尔茂株式会社 便携医疗设备以及便携医疗设备的控制方法
US20190122757A1 (en) * 2017-10-22 2019-04-25 Rui Lin Method and device for software-defined therapy
EP3824386B1 (en) 2018-07-17 2024-02-21 ICU Medical, Inc. Updating infusion pump drug libraries and operational software in a networked environment
US10950339B2 (en) 2018-07-17 2021-03-16 Icu Medical, Inc. Converting pump messages in new pump protocol to standardized dataset messages
NZ772135A (en) 2018-07-17 2022-11-25 Icu Medical Inc Systems and methods for facilitating clinical messaging in a network environment
AU2019309766B2 (en) 2018-07-26 2024-06-13 Icu Medical, Inc. Drug library management system
WO2020129008A1 (fr) 2018-12-21 2020-06-25 Debiotech S.A. Dispositif médical sécurisé
WO2020205806A1 (en) * 2019-04-01 2020-10-08 Fujioka Robb Takeshi Systems, methods, and apparatuses for securely authenticating device usage and access
EP3966992A4 (en) 2019-05-08 2023-06-21 ICU Medical, Inc. MEDICAL DEVICE MANAGEMENT BASED ON THRESHOLD DIGITAL SIGNATURES
WO2021108421A1 (en) 2019-11-25 2021-06-03 Aita Bio Inc. Micropump and method of fabricating the same
US11590057B2 (en) 2020-04-03 2023-02-28 Icu Medical, Inc. Systems, methods, and components for transferring medical fluids
CN115943607A (zh) 2020-06-19 2023-04-07 豪夫迈·罗氏有限公司 用于医疗设备之间的安全互操作性的方法和系统
WO2022006017A1 (en) 2020-07-02 2022-01-06 Icu Medical, Inc. Location-based reconfiguration of infusion pump settings
JP6928400B1 (ja) * 2020-07-29 2021-09-01 株式会社テクロック・スマートソリューションズ 測定ソリューションサービス提供システム
WO2022051230A1 (en) 2020-09-05 2022-03-10 Icu Medical, Inc. Identity-based secure medical device communications
CN116013335B (zh) * 2023-03-02 2026-04-28 安图实验仪器(郑州)有限公司 应用于ivd领域的语音播报方法

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH02195377A (ja) * 1989-01-24 1990-08-01 Matsushita Electric Ind Co Ltd 鍵共有機能付きicカード
FR2716286A1 (fr) 1994-02-16 1995-08-18 Debiotech Sa Installation de surveillance à distance d'équipements commandables.
US5602917A (en) 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
DE10137152A1 (de) 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
SG105005A1 (en) 2002-06-12 2004-07-30 Contraves Ag Device for firearms and firearm
JP4242682B2 (ja) * 2003-03-26 2009-03-25 パナソニック株式会社 メモリデバイス
US7831828B2 (en) * 2004-03-15 2010-11-09 Cardiac Pacemakers, Inc. System and method for securely authenticating a data exchange session with an implantable medical device
JP2006146337A (ja) 2004-11-16 2006-06-08 Arctec Inc リーダライタ、およびデータ処理方法
JP4969106B2 (ja) * 2006-01-05 2012-07-04 ルネサスエレクトロニクス株式会社 マイクロコントローラ
US8588912B2 (en) * 2006-01-09 2013-11-19 Cardiac Pacemakers, Inc. System and method for remotely programming a patient medical device
WO2007104755A1 (en) 2006-03-13 2007-09-20 Novo Nordisk A/S Secure pairing of electronic devices using dual means of communication
US7930543B2 (en) * 2006-08-18 2011-04-19 Medtronic, Inc. Secure telemetric link
EP2060058A2 (en) 2006-08-18 2009-05-20 Medtronic, Inc. Secure telemetric link
US20080119705A1 (en) 2006-11-17 2008-05-22 Medtronic Minimed, Inc. Systems and Methods for Diabetes Management Using Consumer Electronic Devices
US9996669B2 (en) * 2006-12-06 2018-06-12 Medtronic, Inc. Intelligent discovery of medical devices by a programming system
EP2101871B1 (en) * 2006-12-06 2015-05-27 Medtronic, Inc. Programming a medical device with a general purpose instrument
US8768251B2 (en) * 2007-05-17 2014-07-01 Abbott Medical Optics Inc. Exclusive pairing technique for Bluetooth compliant medical devices
EP2001188A1 (en) * 2007-06-08 2008-12-10 F.Hoffmann-La Roche Ag Method for authenticating a medical device and a remote device
US7978062B2 (en) * 2007-08-31 2011-07-12 Cardiac Pacemakers, Inc. Medical data transport over wireless life critical network
JP2009124429A (ja) 2007-11-14 2009-06-04 Panasonic Corp 通信システム、通信端末装置、及びデータ転送方法
US8868929B2 (en) * 2008-04-08 2014-10-21 Microelectronica Espanola S.A.U. Method of mass storage memory management for large capacity universal integrated circuit cards
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
GB0809045D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
JP4631935B2 (ja) * 2008-06-06 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム及び通信システム
US20100045425A1 (en) * 2008-08-21 2010-02-25 Chivallier M Laurent data transmission of sensors
US9656092B2 (en) * 2009-05-12 2017-05-23 Chronicmobile, Inc. Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment
US8190651B2 (en) * 2009-06-15 2012-05-29 Nxstage Medical, Inc. System and method for identifying and pairing devices
US8588925B2 (en) * 2009-07-06 2013-11-19 Boston Scientific Neuromodulation Corporation External device for an implantable medical system having accessible contraindication information
EP2320621B1 (en) * 2009-11-06 2016-10-05 F.Hoffmann-La Roche Ag Method for establishing cryptographic communications between a remote device and a medical device and system for carrying out the method
US20130141438A1 (en) 2010-06-25 2013-06-06 Debiotech S.A. System for inputting and displaying data
CN202014242U (zh) * 2010-11-24 2011-10-19 上海无先网络科技有限公司 一种智能无线收发模块
US8887272B2 (en) * 2012-08-24 2014-11-11 General Electric Company Medical device customization system

Also Published As

Publication number Publication date
EP2786288A2 (en) 2014-10-08
WO2013061296A3 (en) 2013-07-04
AU2012327945A1 (en) 2014-05-01
CN103890768B (zh) 2018-05-29
CA2853598A1 (en) 2013-05-02
US9967739B2 (en) 2018-05-08
US20140298022A1 (en) 2014-10-02
WO2013061296A2 (en) 2013-05-02
CN103890768A (zh) 2014-06-25
JP2015501593A (ja) 2015-01-15

Similar Documents

Publication Publication Date Title
JP6284882B2 (ja) 医療用デバイスとその遠隔デバイスの間のセキュアな通信
JP6437433B2 (ja) 医療デバイスとその遠隔デバイスの間の保護された通信
KR102604046B1 (ko) 전자 기기의 프로그램 관리 방법 및 장치
KR102485830B1 (ko) 보안 정보의 처리
TWI674533B (zh) 授權將於目標計算裝置上執行之操作的設備
ES2893529T3 (es) Dispositivo de comunicación móvil y método de funcionamiento del mismo
US12452070B2 (en) Method and system for secure interoperability between medical devices
KR101736397B1 (ko) 호스트 중앙 프로세싱 유닛 및 호스트 운영 시스템에 의한 제어 및 간섭으로부터 분리된 사용자 승인 및 프레젠스 검출
CN104584023B (zh) 用于硬件强制访问保护的方法和设备
CN107533609A (zh) 用于对系统中的多个可信执行环境进行控制的系统、设备和方法
CN104620253A (zh) 用于维持安全时间的方法和设备
KR20160101635A (ko) 보안 회로를 통한 데이터의 저장 및 이용
KR20140054395A (ko) 대역외 원격 인증
KR102291719B1 (ko) 애플리케이션 보호 방법 및 장치
CN110875819A (zh) 密码运算处理方法、装置及系统
US8341389B2 (en) Device, systems, and method for securely starting up a computer installation
CN111125707A (zh) 一种基于可信密码模块的bmc安全启动方法、系统及设备
CN112016090A (zh) 安全计算卡,基于安全计算卡的度量方法及系统
KR20170020137A (ko) 전자 기기의 프로그램 관리 방법 및 장치
KR102248132B1 (ko) 생체정보를 이용한 로그인방법, 장치 및 프로그램
EP2587394A1 (en) Mobile virtualization platform for the remote control of a medical device
CN117668936A (zh) 数据处理方法及相关装置
HK40091998A (zh) 用於医疗设备之间的安全互操作性的方法和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151013

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180131

R150 Certificate of patent or registration of utility model

Ref document number: 6284882

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees