用于医疗植入的系统架构的制作方法
本申请要求享受2017年3月9日提交的、标题为“systemarchitectureformedicalimplant”的美国专利申请no.15/454,863(代理人案卷号no.qualp409/162113)的优先权,后一申请要求享受2016年3月14日提交的、标题为“systemarchitectureformedicalimplant”的美国临时专利申请no.62/308,121(代理人案卷号no.qualp409p/162113p1)的优先权,故以引用方式将这些申请中的每一份申请的全部内容都并入本文。
概括地说,本公开内容涉及植入式医疗设备,具体地说,本公开内容涉及用于安全地配对和配置植入式医疗设备的系统架构。
背景技术
传感器、电子设备和电源小型化的发展使医疗植入技术取得了进步。现在可以将许多植入设备引入患者体内以收集患者的医疗数据,监测患者的状况,并且向患者提供治疗。目前,将植入设备用于身体的许多不同部分以用于各种应用,例如,整形外科、起搏器、心血管支架、除颤器、神经修复术、神经刺激、或者药物递送。这些植入设备的性能、安全性和安全对于改善数百万患者的生活质量来说至关重要。一些挑战可能限制植入设备的性能和有效性,这些挑战包括与植入设备的功耗相关的挑战。其它挑战可能限制植入设备的安全和保障,其包括与植入设备和外部设备之间的安全通信相关的挑战。
在许多植入式医疗设备(特别是电池供电的植入式医疗设备)中,功耗是一个大问题。一些植入式医疗设备被配置为与患者身体外部的设备无线地传输数据。各种植入式医疗设备(例如,神经刺激器、除颤器、和起搏器等等)需要有效地管理功耗,同时还要可靠地无线传输数据。
在植入设备和外部设备之间提供安全通信也可能带来挑战。代替使无线发射器和接收器位于患者身体外部,植入设备可以被配备为与身体外部的设备进行无线地通信。不仅难以在皮下与植入设备进行无线地通信,而且这种通信可能容易受到不同的安全威胁。
可以进行更多工作来开发一种系统架构,该系统架构提供功率传送和节能以及植入设备和外部设备之间的安全通信。
技术实现要素:
本公开内容的系统、方法和设备均具有一些方面,但这些方面中没有单一的一个可以单独地对本文所公开的期望属性负责。
本公开内容所描述的主题的一个方面可以在植入式医疗设备中实现。该植入式医疗设备包括射频(rf)通信电路、配置为测量和/或收集生理数据的一个或多个传感器、以及耦合到rf通信电路和所述一个或多个传感器的控制系统。该控制系统被配置为:当对第一外部询问器设备进行认证时,从第一外部询问器设备接收用于配置所述植入式医疗设备的指令;以及从第一外部询问器设备接收用于将所述植入式医疗设备与第二外部询问器设备进行配对的识别数据。
在一些实现中,所述识别数据包括由第一外部询问器设备提供的密钥(secretkey)或者公钥/私钥对。在一些实现中,向第一外部询问器设备提供用户证书,以认证一个或多个用户访问第一外部询问器设备。在一些实现中,所述控制系统被配置为:当第二外部询问器设备与所述植入式医疗设备进行了配对时,使所述rf通信电路向第二外部询问器设备发送所述生理数据。在一些实现中,第二外部询问器设备包括载板和计算设备,其中该载板包括用于与所述植入式医疗设备进行无线通信的rf单元,并且所述计算设备包括用于与无线通信集线器或蜂窝设备进行无线通信的无线通信组件。在一些实现中,所述植入式医疗设备还包括无线充电器和耦合到所述无线充电器的可充电电池,其中该无线充电器被配置为:接收信号以在大约100mhz和大约5ghz之间的中场频率范围内或者在近场频率范围内无线地对所述可充电电池进行充电。此外,所述控制系统还被配置为从所述无线充电器接收触发信号,以及在接收到所述触发信号时,将所述植入式医疗设备与第二外部询问器设备进行配对。在一些实现中,所述控制系统还被配置为:经由局域网或直接物理连接,从第一外部询问器设备接收指令。
本公开内容所描述的主题的另一个方面可以在询问器设备中实现。该询问器设备包括:配置为与植入设备进行皮下通信的第一无线通信组件、配置为与所述植入设备外部的电子设备进行通信的第二无线通信组件、以及控制系统。所述控制系统被配置为:接收用于与所述植入设备进行配对的识别数据;使用所述识别数据来识别所述植入设备,以将所述询问器设备与所述植入设备进行配对;以及使用经认证的密钥协商协议建立的会话密钥,从所述植入设备接收生理数据。
在一些实现中,所述识别数据包括由远程设备提供给所述植入设备的密钥或者公钥/私钥对。向所述远程设备提供用户证书,以认证一个或多个用户访问所述远程设备。在一些实现中,所述询问器设备还包括载板和计算设备,其中该载板包括第一无线通信组件,所述计算设备包括第二无线通信组件,其中所述载板和所述计算设备经由双向通信接口彼此之间进行通信。在一些实现中,第一无线通信组件被配置为在医疗植入通信服务(mics)频带或蓝牙频带中与所述植入设备进行皮下通信,并且其中,第二无线通信组件被配置为通过广域网、个域网、局域网、近场通信(nfc)或者其任意组合中的一个或多个与所述电子设备进行通信。在一些实现中,所述电子设备是蜂窝设备或者无线通信集线器设备,并且所述电子设备被配置为向基于云的数据库系统发送所述生理数据。在一些实现中,所述询问器设备还包括耦合到第一无线通信组件的无线充电器,其中所述无线充电器被配置为无线地对所述植入设备进行充电。
本公开内容所描述的主题的另一个方面可以在询问器设备中实现。该询问器设备包括:无线通信组件,其配置为与植入设备进行皮下通信;存储器,其配置为存储用户证书以认证一个或多个用户访问所述询问器设备;以及控制系统。所述控制系统被配置为:使用所述用户证书,对用户进行认证以访问所述询问器设备;在所述询问器设备和所述植入设备之间建立安全通信;以及经由所述无线通信组件,向所述植入设备发送指令以配置所述植入设备的一个或多个操作。
在一些实现中,所述控制系统还被配置为:向远程设备和所述植入设备提供识别数据以使所述远程设备和所述植入设备进行配对,其中,所述识别数据包括密钥或者公钥/私钥对。在一些实现中,所述控制系统被配置为:经由局域网或直接物理连接,向所述植入设备发送指令。在一些实现中,所述控制系统还被配置为:在对所述用户进行认证以访问所述询问器设备之后,确定所述用户具有能够访问用于将指令发送到所述植入设备的特征的权限。在一些实现中,所述无线通信组件还被配置为无线地对所述植入设备中的电池进行充电。
本公开内容所描述的主题的另一个方面可以在操作植入设备的方法中实现。该方法包括:经由植入设备的一个或多个传感器,接收与患者的治疗概况相关联的生理数据;从所述植入设备或者从所述植入设备外部的设备接收非生理数据;确定所述非生理数据单独地或者与所述生理数据组合地满足条件;响应于确定已经满足所述条件,经由所述植入设备的一个或多个处理器来调节所述植入设备的操作。
在一些实现中,所述非生理数据包括环境数据、活动数据、用户数据、系统状况数据、和上下文数据中的一个或多个。所述非生理数据包括从所述植入设备外部的所述设备接收的环境数据,所述环境数据包括环境压力、温度、声音、光、湿度、位置、空气质量、花粉计数、二氧化碳、和气味中的一种或多种。在一些实现中,调整所述植入设备的操作包括:调整所述植入设备的所述一个或多个传感器的轮询速率。
在附图和下文的描述中,阐述了本公开内容所描述的主题的一个或多个实现的细节。通过说明书、附图和权利要求书,其它特征、方面和优点将变得显而易见。应当注意,下面的附图中的相对尺寸没有按比例进行描绘。
附图说明
被并入本文并且构成本说明书一部分的附图,描绘了本发明的示例性实施例,并且连同上面给出的概括描述以及下面给出的详细描述一起来解释本发明的特征。
图1根据一些实现,示出了用于描绘包括远程设备和位于患者身体中的植入设备的示例性系统的示意图。
图2根据一些实现,示出了示例性植入设备的组件的框图表示。
图3根据一些实现,示出了示例性询问器设备的组件的框图表示。
图4根据一些实现,示出了用于描绘示例环境中的通信路径的系统图,该示例环境包括植入设备、“医院”询问器设备、“家庭”询问器设备和基于云的数据库系统。
图5示出了用于描绘根据一些实现,在植入设备和外部家庭询问器设备之间建立安全通信的示例性方法的流程图。
图6示出了用于描绘根据一些实现,从植入设备向外部家庭询问器设备发送生理数据的示例性方法的流程图。
图7a示出了用于描绘根据一些实现来操作植入设备的示例性方法的流程图。
图7b示出了用于描绘根据一些其它实现来操作植入设备的示例性方法的流程图。
各个附图中的相同附图标记和标号表示相同的元件。
具体实施方式
为了描述本公开内容的各个方面的目的,以下描述针对于某些实施方式。但是,本领域普通技术人员应当容易地认识到,本文的教示内容可以以多种不同的方式来应用。现在参照附图来详细地描述各个实施例。对于特定示例和实现的引用只是用于说明目的,而不是旨在限制本发明的保护范围。
所描述的实施方式可以在任何设备、装置或者系统中实现。此外,可以预期的是,所描述的实现中的一些可以包括在各种各样的电子设备中或者与之相关联,这些电子设备例如但不限于:移动电话、具备多媒体互联网能力的蜂窝电话、移动电视接收器、无线设备、智能电话、智能卡、可穿戴设备(例如,手镯、臂带、腕带、戒指、头带、贴片、皮带等)、
概括地说,本公开内容涉及用于在植入设备和一个或多个远程设备之间提供安全通信的系统、方法和设备。在一些实现中,植入设备是植入式医疗设备,并且远程设备是家庭询问器设备和医院询问器设备中的一个或两个。向医院询问器设备提供用于认证一个或多个用户以访问医院询问器设备的证书。此类用户仅限于授权的医生、授权的医疗保健专业人员或者其他授权用户。医院询问器设备被配置为在认证时,对植入设备进行编程或者以其它方式进行配置。医院询问器设备的这种配置可以限于短距离通信协议中的通信,并且可以限于局域网或者直接物理连接。医院询问器设备还被配置为向植入设备和家庭询问器设备提供识别数据,以用于将植入设备与家庭询问器设备进行配对。例如,该识别数据可以包括密钥或者公钥/私钥对。家庭询问器设备可以被配置为从植入设备接收关于患者的数据,但不被配置为编程或以其它方式来配置植入设备。在一些实现中,家庭询问器设备包括载板(其具有用于与植入设备进行通信的第一无线通信组件)和计算设备(其具有用于与植入设备外部的电子设备进行通信的第二无线通信组件)。应当理解的是,医院询问器设备并不一定必须限于在医院环境中使用,并且家庭询问器设备并不一定必须限于在家庭环境中使用,而是可以在不同的地方和设置中使用。因此,医院询问器设备可以称为第一询问器设备,并且家庭询问器设备可以称为第二询问器设备,反之亦然。
可以实现本公开内容中所描述的主题的特定实现,以实现下面的潜在优点中的一个或多个。包括医院/家庭询问器设备和植入设备的系统架构,提供用于保护植入设备免受安全威胁的安全机制。通过仅限制医院询问器设备能够编程植入设备的治疗或疗法,保护植入设备免受来自其它客户端设备(包括家庭询问器设备)的安全威胁。此外,通过强身份验证和访问控制来保护医院询问器设备免受未经授权的访问,这限制了基于用户角色和权限的访问或操作。只有经过授权的医院或医疗保健专业人员才能访问医院询问器设备。此外,通过将植入设备限制为由本地网络中的询问器设备进行配置或编程,除了访问本地网络之外,降低了来自第三方的恶意攻击的风险。此外,询问器设备将用于与植入设备通信的载板和用于与诸如智能电话、无线通信集线器和基于云的数据库系统之类的传统电子设备通信的计算设备分离。结果,计算设备与传统设备通信时的任何安全性损害不一定会损害载板与植入设备的通信。本公开内容的系统架构不仅提供与植入设备的安全通信,而且该系统架构还提供植入设备的功率节省和功率管理。植入设备和询问器设备都可以配备有适当的rf电路,以便对植入设备中的电池进行皮下再充电。另外,通过在不需要保护电路的工艺节点处制造植入设备的部件,可以制造植入设备以消除或者以其它方式减少来自保护电路的静态功率泄漏。
图1根据一些实现,示出了用于描绘包括远程设备和位于患者身体中的植入设备的示例性系统的示意图。系统100包括植入设备200和远程设备300。如本文所使用的,该植入设备可以称为植入式设备或植入式医疗设备。在一些实现中,植入设备200可以包括但不限于:心脏起搏器、植入式心脏复律除颤器(icd)、植入式组合起搏器-心脏复律除颤器(pcd)、植入式脑刺激器、植入式胃系统刺激器、植入式神经或神经刺激器、植入式肌肉刺激器、植入式下结肠刺激器、植入式药物分配器或泵、植入式心脏信号环或其它类型的记录器或监视器、植入式基因治疗递送装置、植入式失禁预防或监测装置、植入式胰岛素泵或监测装置等等。在一些实现中,植入设备200是电池供电的。远程设备300可以被配置为经由安全通信路径50与植入设备无线地通信。远程设备300可以被配置为经由通信路径50发送无线信号,植入设备200可以被配置为接收无线信号。远程设备300可以被配置为促进植入设备200和远程设备300之间的无线数据传输。在一些实现中,远程设备300可以包括但不限于询问器设备或询问器医疗设备、外部医疗设备、编程设备、远程遥测站、用于植入设备200的基站、医生激活的设备、患者激活的设备、显示设备、或者能够向植入设备200发送信号和从植入设备200接收信号的任何其它类型的设备。
本公开内容的范围并不限于包括远程设备和植入设备、仅植入设备或者仅远程设备的系统。这些系统、植入设备和远程设备旨在是说明性的,而不是旨在限制本公开内容或权利要求的范围。对本领域普通技术人员来说,对本公开内容进行各种修改是显而易见的,并且,本文定义的通用原理也可以在不脱离本公开内容的精神或保护范围的基础上适用于其它实现。因此,本公开内容和权利要求书并不限于本文所示出的实施方式,而是与本公开内容、本文公开的原理和新颖性特征的最广范围相一致。
图2根据一些实现,示出了示例性植入设备的组件的框图表示。植入设备200可以气密密封并且封装在生物相容性材料(例如,生物相容性玻璃、陶瓷或钛)中。如同本文所公开的其它实现,图2中所示出的电路元件的数量和电路元件的类型仅仅是示例性的。其它实现可以具有更多、更少或者不同的电路元件。在图2的实施方式中,植入设备200包括传感器210、时钟220、控制系统230、存储器240、耦合到天线254的无线通信组件250、以及电源260。
图2中的电路元件里的一些或全部构造在一个或多个半导体管芯上。所述一个或多个半导体管芯被布置成允许电路元件之间的导电路径。可以在特定的制造节点处构造每个半导体管芯,其中较小的几何形状制造节点可以在不增加功耗的情况下提高性能。在一些实现中,每一管芯可以包含一个或多个晶体管。
在一些实现中,植入设备200包括一个或多个传感器210。例如,在植入设备200是神经或神经刺激器的情况下,所述一个或多个传感器210可以被配置为测量神经的电刺激活动。在一些实现中,可以由控制系统230从一个或多个传感器210访问数据并且将其发送到远程设备(例如,患者身体外部的设备)。
植入设备200可以包括植入设备200内部的时钟220。时钟220可以向植入设备200的一个或多个组件提供定时信号。在一些实现中,时钟220可以包括晶体(例如,压电的),其以特定频率(例如,32khz)进行振荡。可以在与功率管理集成电路(pmic)管芯分开的管芯上制造时钟220。在一些实现中,可以在制造节点处构造时钟220以允许直接电池连接。例如,可以在180nm的制造节点处构造时钟220。
植入设备200可以包括控制系统230。控制系统230可以包括下面中的至少一个:通用单芯片或多芯片处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其它可编程逻辑器件、分离门或晶体管逻辑器件、或者分离硬件部件。在一些实现中,控制系统230可以包括处理器232。控制系统230能够执行本文所描述的方法中的一些或全部。根据一些例子,控制系统230能够执行图6中所示出的方法600里描述的方法。根据一些例子,控制系统230能够执行图7a和图7b中所示出的处理700a或700b里描述的方法。在一些实现中,控制系统230能够通过控制植入设备200的一个或多个组件,来控制植入设备200的操作。例如,控制系统230能够控制所述一个或多个传感器210。控制系统230能够控制无线通信组件250。
在植入设备200是神经刺激器的实现中,控制系统230可以控制用于递送到患者的组织的刺激脉冲。在一些实现中,植入设备200可以适于控制神经阻滞疾病或神经刺激疾病中的刺激脉冲。在神经阻滞疾病中,可以施加电信号以提供沿着神经行进的动作电位的“阻塞”。在神经刺激疾病中,可以施加电信号以刺激神经。与神经刺激疾病的治疗相比,用于治疗神经阻滞疾病的电功率可能需要更多的功率,并且在一些情况下甚至需要连续充电。
在一些实现中,控制系统230可能够根据存储在一个或多个非临时性计算机可读介质上的指令(例如,软件)来控制植入设备200。这种非临时性介质可以包括植入设备200的存储器240。存储器240可以存储处理器可执行指令和/或来自所述一个或多个传感器210的输出。在一些实现中,存储器240可以是易失性存储器、非易失性存储器(例如,闪存)或者其组合。在一些实现中,存储器240可以包括控制系统230中包括的内部存储器、控制系统230外部的存储器或者其组合。存储器240可以耦合到控制系统230。在一些实现中,存储器240可以存储与植入设备200的轮询相关的信息或指令。例如,存储器240可以存储用于控制所述一个或多个传感器210的轮询速率的指令。
植入设备200可以包括耦合到天线254的无线通信组件250。无线通信组件250可以包括rf电路或rf通信电路,以便与患者身体外部的设备进行无线通信。控制系统230可以耦合到无线通信组件250以控制无线通信组件250的操作。在一些实现中,无线通信组件250可以包括接收器、发射器和双向收发器中的一个或多个。无线通信组件250可以根据所支持的通信类型,在一个或多个频带中操作。无线通信组件250可以被配置为在期望的频带(例如,医疗植入通信服务(mics)频带、医疗电子数据服务(meds)频带、近场通信频带或者任何其它适当的频带)中接收或发送信号。在一些实现中,无线通信组件250可以被配置为以mics频带中的某个频率进行接收或发射,其中mics频带在约400mhz与约405mhz之间。在一些实现中,无线通信组件250包括与无线充电器共享的天线,其中该天线被配置为在近场通信频带中接收和/或发送信号。无线通信组件250可以构建在片上系统(soc)管芯上,其中,可以在支持低动态功率的制造节点处提供该soc管芯。例如,用于soc管芯的工艺节点可以是28nm或更小。
在一些实现中,传感器210、时钟220、控制系统230、存储器240、无线通信组件250以及植入设备200的任何其它电子组件中的一个或多个可以由电源260供电。在一些实现中,电源260可以包括可充电电池(例如,可充电锂离子电池)。在一些实现中,通过经由无线充电器将无线信号转换为电流,来对可充电电池进行再充电。无线充电器可以包括用于从无线电源接收无线功率的天线。可以安全有效地将最佳频率传送到天线,其中该频率可以在近场范围内或者在中场范围内。在近场范围内,用于功率传输的频率可以小于大约10mhz。在中场范围内,用于功率传输的频率可以在100mhz至5ghz的频率范围内发生。
电源260的电池可能容易受到过充电或过放电状况的影响。通常,可以实施保护电路以将电池保持在安全操作区域内。但是,根据所述一个或多个半导体管芯的制造节点,保护电路可能引入静态功率泄漏。静态功率来自于保护晶体管所需要的保护电路。在一些实现中,将电源260构造在具有开关模式电源(smps)的pmic管芯上,该smps允许直接电池连接,并且可以处理高达5v的电压而无需保护电路。此外,也可以在制造节点处将时钟220构造在半导体管芯上,其允许直接电池连接而无需保护电路。
图3根据一些实现,示出了示例性远程设备的组件的框图表示。如同本文所公开的其它实现,图3中所示的电路元件的数量和电路元件的类型仅仅是示例性的。其它实现可以具有更多、更少或不同的元素。在图3的实现中,远程设备300包括时钟320、控制系统330、存储器340、通信组件350和电源360。控制系统330能够执行本文所描述的方法中的一些或全部。根据一些例子,控制系统330能够执行图5中所示出的方法500里描述的方法。在一些实现中,远程设备300包括计算设备325和载板375,其中计算设备325包括时钟320、包括处理器332的控制系统330、存储器340、无线通信组件350和电源360。载板375可以包括存储器372、控制器374、射频(rf)单元378和充电器376。应当理解的是,设备300并不限于远程设备,而可以包括能够向植入设备200发送信号和从植入设备200接收信号的任何设备。设备300的例子可以包括询问器设备或者询问器医疗设备、编程设备、远程遥测站、基站、医生激活设备、患者激活设备或显示设备。在一些实现中,设备300可以用作基站,以便从植入设备200接收数据和向植入设备200发送指令。
如图3中所示,远程设备300可以包括载板375和计算设备325。将载板375与计算设备325分离,可以将与植入设备200通信的功能(其可能涉及安全关键特征)和与非植入设备(如,智能手机、无线通信集线器和基于云的数据库系统)通信的功能(这些功能不涉及安全关键特征)分离开来。用此方式,计算设备325与非植入设备通信时的任何安全性损害不一定损害载板375与植入设备200的通信。在一些实现中,远程设备300的载板375可以包括rf单元378(例如,第一无线通信组件),后者被定制为在mics频带、蓝牙频带或近场磁感应中与植入设备200进行通信。在一些实现中,远程设备300的计算设备325可以包括通信组件350,后者被配置为在任何适当的频带(例如,蓝牙或wi-fi或蜂窝)中与非植入设备进行通信。在一些实现中,通信组件350被配置为通过有线接口(例如,通用串行总线(usb)或以太网)进行通信。
在一些实现中,可以在计算设备325和载板375之间提供通信链路355,使得可以在计算设备325和载板375之间进行安全连接。计算设备325可以是计算机,例如现成的计算机、单板计算机或者可编程计算机系统。在一些实现中,用于通信链路的通信协议可以是串行外围接口(spi),但是可以应用本领域中已知的其它适当的通信协议(例如,通用串行总线(usb))。通信链路355可以提供健壮的双向通信接口。
载板375可以包括用于控制植入设备200的治疗和/或处理从植入设备200接收的数据的一个或多个组件。在一些实现中,载板375可以使用分立元件而不是专用集成电路(asic),与植入设备200进行通信。载板375可以包括一个或多个微处理器、微控制器、现场可编程门阵列、片上系统、易失性或非易失性存储器、分立电路和/或其它硬件、软件或固件。
载板375可以被配备为从植入设备200接收数据,调整植入设备200的治疗。例如,当植入设备200在治疗期间记录数据时,医生或医疗保健专业人员可以看到由远程设备300下载的记录数据,可以通过使用远程设备300调整治疗来改变治疗概况。用此方式,医生或医疗保健专业人员可以使用远程设备300监测和改变治疗。
计算设备325可以包括一个或多个微处理器、微控制器、现场可编程门阵列、片上系统、易失性或非易失性存储器、分立电路和/或其它硬件、软件或固件。在一些实现中,计算设备325可以是现成的板(例如,raspberrypi、dragonboard410c、2net等等)。虽然计算设备325的组件可以包括时钟320、控制系统330、存储器340、有线或无线通信组件350、以及电源360,但是这些组件可以更一般地称为远程设备300的组件。
远程设备300可以包括时钟320,其中时钟320可以用作参考时钟以准确地表示时间。时钟320可以是任何适当的时钟(例如,机械时钟、石英钟、摆钟和原子钟)。在一些实现中,时钟320可以与参考时间更紧密地对准,可以由电源360持续地供电。
远程设备300还可以包括控制系统330。控制系统330可以包括通用单芯片或多芯片处理器、dsp、asic、fpga或者其它可编程逻辑器件、分离门或晶体管逻辑器件、或者分离硬件部件。在一些实现中,控制系统330可以包括处理器332。控制系统330能够执行本文所描述的方法中的一些。在一些实现中,控制系统330能够控制远程设备300的一个或多个组件。例如,控制系统330能够执行用于访问远程设备300的一些或全部特征的认证过程。控制系统330能够控制通信组件350。
在一些实现中,控制系统330能够根据存储在一个或多个非临时性计算机可读介质上的指令(例如,软件)来控制远程设备300。这种非临时性介质可以包括远程设备300的存储器340。存储器340可以存储处理器可执行指令和/或从另一个设备接收的数据。在一些实现中,存储器340可以是易失性存储器、非易失性存储器(例如,闪存)或者其组合。在一些实现中,存储器340可以包括控制系统330中包括的内部存储器、控制系统330外部的存储器或者其组合。存储器340可以耦合到控制系统330。在一些实现中,存储器340可以存储与远程设备300的认证和证书相关的信息或指令。
在一些实现中,天线354可以耦合到通信组件350,以与其它设备无线地通信。控制系统330可以耦合到通信组件350以控制通信组件350的操作。在一些实现中,通信组件350可以包括接收器、发射器和双向收发器中的一个或多个。虽然将远程设备300的通信组件350示出成图3中的计算设备325的一部分,但应当理解的是,除了rf单元378之外或作为rf单元378的替代,无线通信组件350可以是载板375的一部分。
在一些实现中,通信组件350可以被配置为通过广域网(wan)、个域网(pan)、局域网(lan)、近场通信(nfc)、usb、以太网或者其任意组合中的一个或多个进行通信。例如,通信组件350可以支持个域网(例如,蓝牙)上的通信。另外地或替代地,通信组件350可以支持无线局域网(例如,wi-fi)上的通信。另外地或替代地,通信组件350可以支持无线广域网(例如,lte)上的通信。在一些实现中,通信组件350可以被配备为支持全球导航卫星系统(gnss)网络中的通信。gnss网络的例子包括但不限于gps、glonass和北斗。gnss频带可以用于位置感测,以确定患者的位置,例如,患者是在家中、在工作中还是在医生的办公室中。前述的频带旨在是说明性的,应当理解的是,在不脱离本公开内容的范围的情况下,可以并入本领域中已知的其它频带。因此,本公开内容的范围并不限于上面所提及的频带的描述。在一些实现中,通信组件被配置为支持有线接口(例如,usb或以太网)上的通信。
在一些实现中,通信组件350可以通过有线或无线接口,将从植入设备200接收的数据传输到数据库系统(例如,基于云的数据库系统)。在一些实现中,通信组件350可以通过有线或无线接口,将从植入设备200接收的数据传输到蜂窝设备(例如,智能电话、移动电话、智能手表、平板设备、pda、膝上型计算机、桌面型计算机或者具有蜂窝通信能力的其它设备)。例如,计算设备325的通信组件350可以经由蓝牙或wi-fi与蜂窝设备通信,使得可以直接将数据发送到蜂窝设备,或者计算设备325的通信组件350可以经由wwan与基于云的数据库系统进行通信。在一些实现中,计算设备325中的通信组件350可以与载板375中的rf单元378区分开,其中通信组件350被配置为通过特定的通信协议与数据库系统或蜂窝设备进行通信,rf单元378被配置为通过特定的通信协议与植入设备200进行通信。这些特定的通信协议可以不同,也可以相同。因此,利用远程设备300中的计算设备325和载板375,远程设备300的无线连接和rf组件可以在功能上分开。在一些实现中,天线382耦合到rf单元378,使得rf单元378被配置为与植入设备200无线地通信。
在一些实现中,时钟320、控制系统330、存储器340、通信组件350和远程设备300的任何其它电子组件中的一个或多个可以由电源360进行供电。电源360可以是电池、太阳能电池、电插座和用于收集电力的其它适当的电源。电源360还可以向载板375的组件供电。
在一些实现中,远程设备300可选地包括存储器372、控制器374、充电器376和作为载板375的一部分的rf单元378。存储器372可以包括易失性存储器、非易失性存储器(例如,闪存)或者其组合,存储器372可以向控制器374提供指令。控制器374可以与“控制系统”、“处理器”、“处理单元”、“微控制器”或“控制单元”可以耦合到存储器372,控制充电器376和rf单元378的操作。控制器374可以与载板375的组件进行通信并且控制载板375的操作。控制器374可以包括通用单芯片或多芯片处理器、dsp、asic、fpga或其它可编程逻辑器件、分立门或晶体管逻辑器件或者分立硬件组件中的至少一个。
充电器376可以被配置为从远程设备300辐射无线信号,以无线地对诸如植入设备200之类的另一个设备的电池进行充电。在一些实现中,充电器376可以在近场范围或中场范围内辐射无线信号。在一些实现中,当植入设备200从充电器376接收到无线信号时,植入设备200可以自动地被配置为与远程设备300执行数据传送。
rf单元378可以包括接收器、发射器和双向收发器中的一个或多个,以便与诸如植入设备200之类的另一个设备无线地通信。在一些实现中,载板375中的rf单元378可以被配置为发送用于配置植入设备200的编程指令,可以被配置为从植入设备200接收数据(例如,合规数据)。在一些实现中,rf单元378可以被配置为使用天线382,在mics频带、meds频带或者任何其它适当的频带中,与植入设备200进行通信。mics频带是用于传输数据以支持与植入的医疗设备相关联的诊断或治疗功能的超低功率、免许可的移动无线电服务。在一些实现中,载板375的rf单元378被配置为与植入设备200无线地通信,而计算设备325的通信组件350被配置为通过有线或无线接口与无线通信集线器、数据库系统或蜂窝设备(例如,智能手机、移动电话、智能手表、平板设备、pda、笔记本计算机、桌面型计算机或者具有蜂窝通信功能的其它设备)进行通信。在一些实现中,存储器372、控制器374、充电器376和rf单元378中的一个或多个可以由电源360进行供电。
载板375可以被配置为与植入设备200无线地和皮下地通信,并且无线地对植入设备200进行充电,并且计算设备325可以被配置为将从植入设备200接收的数据传送到其它设备(例如,非植入设备)。因此,载板375和计算设备325可以是运行不同软件的独立板。远程设备300的无线连接和射频组件可以与计算设备325进行“沙箱化”(即,功能上分离),使得这些组件与载板375隔离。例如,远程设备300沙箱化或者以其它方式将植入物连接与云连接隔离开来。计算设备325中的功能、程序和/或组件可以与载板375中的功能、程序和/或组件分离。以这种方式将载板375与计算设备325分离,可以分离与植入设备200通信的功能(其可以涉及fdaiii类功能)和与其它设备通信的功能(其可以涉及fdai/ii类功能)。以这种方式来分离功能可以对处理进行分离,使得与植入设备200的通信运行fdaiii类软件,使得与无线通信集线器设备、数据库系统或蜂窝设备的通信运行fdai/ii类软件。这可以减少远程设备300的fda批准可能需要的测试量。尽管如此,虽然计算设备325和载板375可以是运行不同软件的单独板,但是计算设备325和载板375可以集成在单一设备或装置(例如,远程设备300)中。
在一些实现中,除了对植入设备200进行充电以及与植入设备200通信之外,远程设备300还可以执行一些功能。具体而言,远程设备300可以是多功能设备(例如,多功能可穿戴设备)。多功能可穿戴设备的例子可以是多功能手表或智能手表。在其它示例中,多功能可穿戴设备可以是智能服装、智能鞋、智能眼镜、ar/vr耳机、智能装备等等。在另一个例子中,多功能设备可以是智能手机、智能家具、无人机、汽车等等。在一些实现中,远程设备300还可以用作生物识别监视设备,其跟踪、报告和/或传输各种生物测量测量值(例如,行进的距离、所走的步数、楼梯爬升量、燃烧的卡路里、心率、睡眠小时等等)。在一些实现中,远程设备300还可以用作移动电话或者可以链接到移动电话以拨打和接听电话呼叫,发送和接收文本消息,以及发起语音命令。在一些实现中,远程设备300可以具有音频功能,其可以使远程设备300能够通过音频音调、语音、歌曲或其它声音来传送信息。在一些实现中,远程设备300可以包括显示器或触摸屏。远程设备300可以显示各种类型的信息,例如时间、日期和天气。另外,远程设备300还能够访问互联网和/或其它设备,能够从互联网和/或其它设备提取数据。此外,远程设备300能够显示新闻、社交网络更新、电子邮件、提醒、日历通知等等。在一些实现中,远程设备300可以包括或者编程有一个或多个“应用”,这些应用可以向远程设备300提供额外的功能。在一些实现中,远程设备300可以包括加速计、陀螺仪、磁力计和/或其它传感器,其中远程设备300可以收集、发送、存储、显示或分析来自这些传感器的数据。远程设备300的前述概念和功能旨在是说明性的,应当理解的是,在不脱离本公开内容的范围的情况下,其它概念和功能可以是远程设备300的一部分。因此,本公开内容的范围并不限于上述概念和功能的描述。
图4根据一些实现,示出了用于描绘示例环境中的通信路径的系统图,该示例环境包括植入设备、“医院”询问器设备、“家庭”询问器设备和基于云的数据库系统。大量制造商开发了植入设备、健身设备和电子医疗设备,这些制造商专注于其产品的医疗方面,最近才考虑或增加无线通信能力。这些设备可以集成在提供它们之间的安全通信的系统架构中。在一些实现中,可以从植入设备最终到基于云的数据库系统进行安全通信,反之亦然。
如本文所使用的,“医院”询问器设备是被配置为提供用于配置植入设备的一个或多个操作和向植入设备提供识别数据的指令的任何远程设备或远程电子设备。“家庭”询问器设备是被配置为与植入设备进行配对并且从植入设备接收数据的任何远程设备或远程电子设备。医院询问器设备和家庭询问器设备可以用在不同的地方和环境中。通常,将医院询问器设备设计成在医疗办公环境(例如,医院环境)中,或者当医疗保健专业人员拥有时,与植入设备进行通信。将家庭询问器设备设计成在任何环境中(例如,患者的家或办公室、或者医疗保健专业人员所拥有的外部),与植入设备进行通信。尽管如此,应当理解的是,医院询问器设备和家庭询问器设备可以在任何环境中使用,其中医院询问器设备可以称为第一外部询问器设备,家庭询问器设备可以称为第二外部询问器设备,反之亦然。医院询问器设备和家庭询问器设备中的每一个可以包括与图1和图3中所示出的远程设备的组件相同或相类似的组件。但是,应当理解的是,与家庭询问器设备相比,医院询问器设备的组件可以包括不同的、更少的或者灵活的组件。如下面将进一步详细讨论的,医院询问器设备在与植入设备通信时,执行与家庭询问器设备不同的功能。
图4中的环境包括可以植入患者体内的植入设备400。植入设备400可以包括与图1和图2中所示出的植入设备的组件相同或相类似的组件。该环境还包括医院询问器设备420a和家庭询问器设备420b,这二者都在植入设备400的外部。在一些实现中,植入设备400“外部”的设备指代位于植入设备400所植入的患者体外的设备。医生、医疗保健专业人员或其它授权用户490可以通过通信路径401,直接与医院询问器设备420a进行通信。在一些实现中,用户490直接与医院询问器设备420a连接。在一些实现中,用户490经由连接到医院询问器设备(例如,触摸屏)的显示器接口,直接与医院询问器设备420接口。在一些实现中,用户490通过有线或无线网络,从蜂窝设备(例如,智能电话、移动电话、智能手表、平板设备、pda、膝上型计算机、桌面型计算机或具有蜂窝通信能力的其它设备)与医院询问器设备420a进行接口。
可以向医院询问器设备420a提供用于认证一个或多个用户以访问医院询问器设备420a的证书。在一些实现中,用户可以使用登录和密码,使用生物识别数据(例如,指纹)或者使用基于令牌的认证机制(例如,securid),来输入用于认证的证书。在通信路径401中,医院询问器设备420a可以从用户接收访问医院询问器设备的请求(其中该请求包括认证证书),确定认证证书是有效的,在确定认证证书有效之后,在通信路径402中在植入设备400和医院询问器设备420a之间建立安全通信。在一些实现中,由第三方代理管理的服务器可以确定认证证书是有效的。根据用户提供的认证证书,依据分配给每个用户的特权,一些用户将能够访问医院询问器设备420a的某些特征。与不同用户相关联的认证证书可能具有不同的特权和访问权限。因此,一些用户可以访问医院询问器设备420a的一些特征,而其它特征被禁用,一些用户可以访问医院询问器设备420a的所有特征。可以在医院询问器设备420a上的显示器或其它接口上访问(或禁用)医院询问器设备420a的这些特征。
当认证用户以授权访问医院询问器设备420a时,可以在通信路径402中在医院询问器设备420a和植入设备400之间建立安全通信。可以在医院询问器设备420a和植入设备400之间执行握手协议。为了确保通信路径402的完整性保护和机密性,可以使用密钥生成完整性和机密性密钥来执行认证和密钥协商。在一些实现中,加密和认证密钥可以由服务器使用密钥来生成。可以在植入设备400和医院询问器设备420a中预先提供密钥(例如,在设备的制造期间)。在替代的实现中,可以使用植入设备400和医院询问器设备420a的公钥/私钥对来执行认证和密钥协商。在医院询问器设备420a和植入设备400之间建立安全通信之前,可以使用带外机制在每个设备中独立地生成或者预先提供公钥/私钥对。例如,这些密钥或者公钥/私钥对可以用于安全地添加或移除询问器设备、添加或撤销询问器设备的权限、以及验证下载到植入设备400的代码/补丁。可以使用本领域已知的任何安全配对方法,来执行询问器设备420a的添加。在一些实现中,作为设备制造的一部分提供到植入设备400和询问器设备420a中的私钥和/或公钥可以用于确保前述操作安全。可以使用在认证和密钥协商过程期间生成的密钥,经由消息认证码对通过通信路径402发送的信息进行加密(例如,通过aes128)和完整性保护。可以安全地传输信息,同时保持政府法规(例如,hipaa)所要求的适当安全性和隐私。
当在通信路径402中建立安全通信时,医院询问器设备420a可以被配置为编程或以其它方式配置植入设备400的操作。在一些实现中,医院询问器设备420a可以调整治疗或者改变植入设备的治疗概况。例如,在植入设备400是神经刺激器的情况下,医院询问器设备420a可以控制发送到神经的电信号的时间和量。在一些实现中,通过通信路径402与植入设备400的通信限于短距离(即,本地)通信,例如蓝牙频带或mics频带。通信路径402可以皮下地到达患者体内(例如,患者体内至少12cm)。因此,编程或者以其它方式配置植入设备400可能需要医院询问器设备420a紧邻患者。在一些实现中,通过通信路径402与植入设备400的通信经由局域网或直接物理连接来发生。例如,编程或者以其它方式配置植入设备400,可以要求医院询问器设备420a连接到医院网络或者直接与植入设备400连接。通信路径402不仅将访问医院询问器设备420a的特征限制于经认证的用户(例如,授权的医疗保健专业人员),而且通信路径402还限制对植入设备400的远程访问。
家庭询问器设备420b可以被配置为使用医院询问器设备420a与植入设备400进行配对。家庭询问器设备420b可以具有与其相关联的标识和/或证书。医院询问器设备420a可以向植入设备400提供识别数据,以识别家庭询问器设备420b。在一些实现中,医院询问器设备420a通过通信路径403将密钥或者公钥/私钥对编程到家庭询问器设备420b,并且通过通信路径402将密钥或者公钥/私钥对编程到植入设备400。这些密钥或者公钥/私钥对可以包括植入设备400的标识和/或证书以及家庭询问器设备420b的标识和/或证书。不是在制造期间预先向每个家庭询问器设备420b和植入设备400提供密钥,而是可以经由医院询问器设备420a生成密钥或者公钥/私钥对,以将植入设备400与家庭询问器设备420b进行配对。用于将植入设备400与家庭询问器设备420b安全配对的这些密钥的生成,不一定依赖于第三方系统或第三方服务器。当植入设备400识别家庭询问器设备420b时,植入设备400可以与家庭询问器设备420b进行配对。在进行配对时,家庭询问器设备420b被配置为通过通信路径404来接收数据(例如,生理数据、合规数据或者从植入设备400收集/生成的其它数据)。通过通信路径404的这种数据的通信可以限于短距离(即,本地)通信,例如蓝牙频带或mics频带。在一些实现中,除非植入设备400对家庭询问器设备420b进行了认证,否则不会发生家庭询问器设备420b和植入设备400的配对。
在一些实现中,可以向家庭询问器设备420b提供用于认证一个或多个用户以访问家庭询问器设备420b的证书。当认证用户以授权访问家庭询问器设备420b时,可以在通信路径404中在家庭询问器设备420b和植入设备400之间建立安全通信。植入设备400使用经认证的密钥协商协议,与家庭询问器设备420b建立会话密钥。可以使用这些会话密钥,对通过通信路径404的数据传输进行完整性保护和加密。
为了确保通信路径404的完整性保护和机密性,可以使用密钥生成完整性和机密性密钥来执行认证和密钥协商。在一些实现中,加密和认证密钥可以在认证和密钥协商期间,通过使用密钥来生成。在替代的实现中,可以使用公钥/私钥对来执行认证和密钥协商。作为使用医院询问器设备420a的配对的一部分,可以在植入设备400和家庭询问器设备420b之间协商密钥或者公钥/私钥对。医院询问器设备420a可以经由通信路径402将密钥或者公钥/私钥对编程到植入设备400,医院询问器设备420a经由通信路径403将密钥或者公钥/私钥对编程到家庭询问器设备420b。例如,这些密钥或者公钥/私钥对可以用于安全地添加或移除询问器设备、添加或撤销询问器设备的权限、以及验证下载到植入设备400的代码/补丁。可以使用本领域已知的任何安全配对方法,来执行询问器设备420b的添加。在一些实现中,作为设备制造的一部分提供到植入设备400和询问器设备420b中的私钥和/或公钥可以用于确保前述操作安全。可以使用在认证和密钥协商过程期间生成的密钥,经由消息认证码对通过通信路径402发送的信息进行加密(例如,通过aes128)和完整性保护。可以安全地传输信息,同时保持政府法规(例如,hipaa)所要求的适当安全性和隐私。
家庭询问器设备420b可以被配置为在安全配对时从植入设备400接收数据,并且可以被配置为将该数据上载到图4中的环境中的其它电子设备。在一些实现中,家庭询问器设备420b可以被配置为:将该数据上传到基于云的数据库系统460。但是,应当理解的是,可以将该数据被上传到任何服务器,其不一定限于基于云的数据库系统460。基于云的数据库系统460可以包括云中的服务器,其被配置为存储从植入设备400收集的数据。在图4中,家庭询问器设备420b通过通信路径404从植入设备400接收数据,通过通信路径405-408将数据从家庭询问器设备420b上传到基于云的数据库系统460。但是,家庭询问器设备420b可以被编程或者以其它方式配置为仅从植入设备400接收数据,而不是编程或配置植入设备400本身。因此,在一些实现中,家庭询问器设备420b可能无法对植入设备400的操作进行编程或重新编程,从而限制家庭询问器设备420b可以自主地改变治疗或改变治疗概况的程度。
医院询问器设备420a、家庭询问器设备420b和植入设备400的功能、能力和配置可以确保多级安全性和数据保护。配置或编程植入设备400的能力可以限制于靠近患者。在一些实例中,可以将配置或编程植入设备400的能力限制于在医院网络内或者与植入设备400直接物理连接。另外,可以将配置或编程植入设备400的能力限制于那些拥有具有适当标识和证书的特定医院询问器设备420a的人。换言之,可以将配置或编程植入设备400的能力限制于:医院询问器设备420a已经使用适当的认证证书进行了认证的那些。用此方式,仅仅授权的医生、授权的医疗保健专业人员或者授权用户490才可以通过医院询问器设备420a来访问植入设备400。在一些实现中,如果没有从医院询问器设备420a生成密钥或者公钥/私钥对,则不会发生跨通信路径404的家庭询问器设备420b和植入设备400之间的配对。此外,家庭询问器设备420b可以被配置为仅从植入设备400接收数据,或者至少不能自主地配置或编程植入设备400。
为了将来自家庭询问器设备420b的数据中继到云,家庭询问器设备420b可以安全地与植入设备400外部的其它电子设备(例如,无线通信集线器设备470或蜂窝设备480)进行配对。家庭询问器设备420b能够经由广域网、个域网、局域网和近场通信(nfc)与植入设备400外部的这些电子设备进行通信。家庭询问器设备420b可以通过通信路径405,与无线通信集线器设备470(例如,2net集线器或类似设备)进行通信。在一些实现中,通信路径405可以对应于蓝牙或者wi-fi通信协议。家庭询问器设备420b可以通过通信路径406与蜂窝设备480(例如,智能电话、移动电话、智能手表、平板设备、pda、膝上型计算机、桌面型计算机或具有蜂窝通信能力的其它设备)进行通信。在一些实现中,通信路径406可以对应于蓝牙或wi-fi通信协议。如图4中所示,植入设备400不直接与蜂窝设备480进行配对,而是与家庭询问器设备420b进行配对,家庭询问器设备420b转而与蜂窝设备480或无线通信集线器设备470进行配对。家庭询问器设备420b可以具有链路预算以达到患者身体内的所需深度,与传统蜂窝设备480可能不具有的植入设备400进行无线地通信。在一些实现中,家庭询问器设备420b可以是可穿戴设备。可穿戴设备的例子可以包括手表、项圈、腰带或者其它可穿戴设备。在一些实现中,家庭询问器设备420b可以放置在患者附近。例如,在患者睡觉时,家庭询问器设备420b可以放置在患者的床或床单上。
无线通信集线器设备470可以被配置为与家庭询问器设备420b预先配对,其中无线通信集线器设备470被配置为容易地识别家庭询问器设备420b的标识和证书,家庭询问器设备420b被配置为容易地识别无线通信集线器设备470的标识和证书。换言之,无线通信集线器设备470可以“被预先提供为”与家庭询问器设备420b一起工作,家庭询问器设备420b可以“被预先提供为”与无线通信集线器设备470一起工作。在一些实现中,无线通信集线器设备470可以从允许设备的白名单中选择家庭询问器设备420b,避免与禁止设备黑名单上的设备连接。用此方式,无线通信集线器设备470可以快速地建立从植入设备400到基于云的数据库系统460的网络接口。
无线通信集线器设备470或蜂窝设备480可以从家庭询问器设备420b接收数据,将该数据上传到基于云的数据库系统460。无线通信集线器设备470可以通过通信路径407,将数据安全地上传到基于云的数据库系统460。在一些实现中,通信路径407可以对应于wwan(例如,3g蜂窝无线网络)通信协议。蜂窝设备480可以通过通信路径408,将数据安全地上传到基于云的数据库系统460。在一些实现中,通信路径408可以对应于wwan(例如,3g或4g蜂窝无线网络)通信协议。
无线通信集线器设备470可以确保对从家庭询问器设备420b到基于云的数据库系统460的安全端到端通信的数据进行完整性保护和加密。如果确定授权的用户的认证证书是有效的,则可以对他/她进行授权以访问来自蜂窝设备480的数据。如果进行了认证,则可以在家庭询问器设备420b和蜂窝设备480之间建立通信路径406。可以将第三方代理管理的服务器所生成的密钥发送到蜂窝设备480,并且用于访问家庭询问器设备420b。通信路径406的建立可能需要使用密钥来执行认证和密钥协商。在一些实现中,使用认证和密钥协商过程建立的会话密钥可以用于提供数据完整性和加密。
可以将来自植入设备400的数据存储在基于云的数据库系统460中,授权用户490(例如,授权医生或医疗保健专业人员)可以访问该数据。授权用户490可以通过通信路径409来访问基于云的数据库系统460中的存储数据。如果授权用户490的认证证书是有效的,则可以认证他/她来访问存储在基于云的数据库系统460中的数据。在一些实现中,授权用户490可以使用他/她的蜂窝设备来访问存储在基于云的数据库系统460中的数据。授权用户490不需要非常靠近患者来访问这些数据。授权用户490能够响应于查看从基于云的数据库系统460访问的数据,来改变植入设备400的治疗。例如,医生可以访问从植入设备400提供的数据,根据结果,医生可以调整治疗方案,适当地对植入设备400进行编程。但是,在一些实现中,可以对植入设备400进行编程以在数据满足一个或多个预定条件时调整治疗,而无需医生干预。
在一些实现中,如果医院询问器设备420a或家庭询问器设备420b发生故障(例如,芯片管芯)或者需要替换,则可以提供替换的询问器设备420a、420b。例如,可以将私钥和/或公钥作为设备制造的一部分来提供给询问器设备420a、420b。在一些实现中,加密和认证密钥可以由第三方代理管理的服务器使用密钥来生成,以对替换的询问器设备420a、420b进行编程。在一些实现中,当替换家庭询问器设备420b时,可以使用医院询问器设备420a来生成私钥和/或公钥。
在图4中,根据一些实现,从植入设备400发送到询问器设备420a、420b的数据(反之亦然)可以通过短距离通信协议(例如,mics通信协议或蓝牙通信协议)发生。在一些实现中,从家庭询问器设备420b发送到无线通信集线器设备470或蜂窝设备480的数据可以通过局域网(例如,wi-fi)或个域网(例如,蓝牙)通信协议来发生。在一些实现中,从无线通信集线器设备470或蜂窝设备480发送到平台服务器(例如,2net平台服务器)或者基于云的数据库系统460的数据可以通过广域网(例如,wwan)通信协议来发生。图4中所示出的环境示出了一种系统架构,该系统架构提供了从植入设备400到植入设备400外部的设备的端到端连接。
图5示出了用于描绘根据一些实现,在植入设备和外部家庭询问器设备之间建立安全通信的示例性方法的流程图。方法500可以以不同的顺序来执行,或者具有不同的、更少的或另外的操作。在一些实现中,处理500的方框可以由外部医院询问器设备(例如,图3中所示出的外部医院询问器设备300)的控制系统来执行。虽然将方法500的一些框描述成由外部医院询问器设备的单个处理器执行,但在替代的实现中,在执行这些操作时可以涉及一个以上的处理器。
在方法500的方框505处,外部医院询问器设备对用户进行认证,其中向外部医院询问器设备500提供用户证书以认证一个或多个用户访问外部医院询问器设备。在一些实现中,在外部医院询问器设备中提供的用户证书可以包括登录名和密码、生物识别数据或者基于令牌的认证机制。
在成功的用户认证之后,确定用户具有访问用于配置植入设备的一个或多个操作的特征的权限。这些用户可能仅限于某些授权医生或医疗保健专业人员。在外部医院询问器设备中提供的用户证书可以与不同的特权和访问权限相关联。根据所提供的用户证书,用户可以具有访问外部医院询问器设备的特征的某些权限。可以授权用户访问用于配置外部医院询问器设备的操作的一些特征,而一些特征可以被禁用。
在方框510处,在外部医院询问器设备和植入设备之间建立通信。在一些实现中,在外部医院询问器设备和植入设备中提供密钥或者公钥/私钥对。可以使用预先提供的密钥或者公钥/私钥对,在外部医院询问器设备和植入设备之间建立安全通信。在一些实现中,将密钥或者公钥/私钥对提供成设备制造过程的一部分。可以在外部医院询问器设备和植入设备之间执行握手协议来建立安全通信。
在方法500的方框515处,使用外部医院询问器设备来配置植入设备的一个或多个操作。植入设备的所述一个或多个操作可以由植入设备的控制系统来控制。在一些实现中,所述一个或多个操作包括改变植入设备的治疗或治疗概况。例如,在植入设备是神经刺激器的情况下,改变治疗或治疗概况可以包括:改变发送到神经的电脉冲的时间或者量。在一些实现中,所述一个或多个操作包括无线地对植入设备的电池进行充电。在一些实现中,所述一个或多个操作包括:调整植入设备的一个或多个传感器的轮询速率。在一些实现中,所述一个或多个操作包括:改变植入设备的唤醒协议。因此,授权用户可以具有控制植入设备的前述操作中的一些或全部的特权和/或访问权限。
在方法500的方框520处,将识别数据提供给植入设备和外部家庭询问器设备,以将植入设备与外部家庭询问器设备进行配对。该识别数据可以包括:用于识别和认证外部家庭询问器设备和植入设备,以在设备之间建立安全通信的标识和/或证书。在对用户进行认证并且在外部医院询问器和植入设备之间建立安全通信之后,外部医院询问器设备可以提供该识别数据。在一些实现中,该识别数据包括由用户认证的外部医院询问器设备所提供的密钥或者公钥/私钥对。不一定需要做为设备制造过程的一部分来提供密钥或者公钥/私钥对。用此方式,除了由外部医院询问器设备提供的识别数据之外,不会发生植入设备和外部家庭询问器设备之间的配对,其中授权用户(例如,医生和医疗保健专业人员)可访问外部医院询问器设备。应当理解的是,方框520的操作可以在方框515的操作之后发生,方框520的操作可以在方框515的操作之前发生,或者方框520的操作和方框515的操作可以同时地发生。
图6示出了用于描绘根据一些实现,从植入设备向外部家庭询问器设备发送生理数据的示例性方法的流程图。方法600可以以不同的顺序来执行,或者具有不同的、更少的或另外的操作。在一些实现中,处理600的方框可以由植入设备(例如,图2中所示出的植入设备200)的控制系统来执行。虽然将方法600的一些框描述成由外部医院询问器设备的单个处理器执行,但在替代的实现中,在执行这些操作时可以涉及一个以上的处理器。
在方法600的方框605处,从外部医院询问器设备接收用于根据治疗概况配置植入设备的指令。在植入设备可以与另一个电子设备进行配对以传输生理数据之前,在可以配置植入设备之前,对外部医院询问器设备进行认证,与植入设备建立安全通信。可以根据上面所讨论的用户证书和协议来认证外部医院询问器设备。认证限制了对植入设备的配置,并且限制了提供用于将植入设备与外部医院询问器设备的授权用户进行配对的识别数据。
在方法600的方框610处,从外部医院询问器设备接收识别数据,以将植入设备与外部家庭询问器设备进行配对。该识别数据可以包括外部家庭询问器设备的标识和证书中的一个或两个。例如,该识别数据可以包括由外部医院询问器设备提供的密钥或者公钥/私钥对。可以将植入设备编程为具有用于识别外部家庭询问器设备的标识,以及具有用于认证一个或多个用户访问外部家庭询问器设备的证书。外部家庭询问器设备可以被配置为:当与植入设备进行了配对时从植入设备接收数据,但是被配置为不编程或者以其它方式来配置植入设备的操作。可以在外部家庭询问器设备中禁用这些特征。
在方法600的方框615处,识别外部家庭询问器设备以将植入设备与外部家庭询问器设备进行配对。当外部家庭询问器设备在植入设备附近时,使用识别数据来识别外部家庭询问器设备,可以建立外部家庭询问器设备和植入设备之间的配对。该配对机制可以是本领域已知的任何配对机制,其导致在植入设备和外部家庭询问器设备之间达成协商一致的密钥。外部家庭询问器设备和植入设备之间的配对可以通过短距离通信协议(例如,mics通信协议或蓝牙通信协议)来发生。在一些实现中,在接收到触发信号时,发生外部家庭询问器设备的识别以便进行配对。该触发信号可以发起植入设备和外部家庭询问器设备之间的配对。在一些实现中,该触发信号是用于对植入设备进行充电的充电信号或者指示与植入设备紧邻的其它信号。
在方法600的方框620处,基于治疗概况从植入设备的一个或多个传感器获得生理数据。植入设备可以配备有一个或多个传感器,以测量和/或收集关于患者的生理数据。所述一个或多个传感器可以包括但不限于:温度传感器、化学传感器(例如,血糖传感器)、压力传感器、脉冲传感器、压电传感器、电场传感器、肌电传感器、呼吸传感器、湿度传感器、光学传感器和其它生物医学传感器。生理数据可以包括生理信号、生物信息、状况、或者当将治疗递送给患者时与患者相关联的参数。生理数据的例子可以包括但不限于:血压、心率、脉搏率、eeg、ekg、ecg、皮肤传导、身体或皮肤温度、体重、体脂、呼吸率、血流量、氧水平、co2水平、以及葡萄糖水平等等。应当理解的是,方框620的操作可以在方框605的操作之后,并且在方框625的操作之前的任何时间发生。
在方法600的方框625处,将生理数据发送到配对的外部家庭询问器设备。在一些实现中,使用经认证的密钥协商协议,根据密钥来建立会话密钥,以便将生理数据发送到外部家庭询问器设备。根据经认证的密钥协商协议来建立的会话密钥,允许在植入设备和外部家庭询问器设备之间传输的消息的完整性保护、机密性和安全性。在一些实现中,配对的外部家庭询问器设备是可穿戴设备(例如,多功能可穿戴设备)。在一些实现中,可以经由无线通信集线器设备或蜂窝设备,将生理数据上传到基于云的数据库系统。用此方式,患者和/或授权的医疗保健专业人员可以随后访问生理数据。
图7a示出了用于描绘根据一些实现来操作植入设备的示例性方法的流程图。处理700a可以以不同的顺序来执行,或者具有不同的、更少的或另外的操作。在一些实现中,处理700a的方框可以由图1、2和图4中所示出的植入设备200来执行。虽然将方法700a的一些框描述成由植入设备的单个处理器执行,但在替代的实现中,在执行这些操作时可以涉及一个以上的处理器。例如,方法700a的方框可以由植入设备中的控制系统来执行。
在方法700a的方框705处,经由植入设备中的一个或多个传感器,接收与患者的治疗概况相关联的生理数据。所述一个或多个传感器可以包括但不限于:温度传感器、化学传感器(例如,血糖传感器)、压力传感器、脉冲传感器、压电传感器、电场传感器、肌电传感器、呼吸传感器、湿度传感器、光学传感器和其它生物医学传感器。生理数据可以包括生理信号、生物信息、状况、或者当将治疗递送给患者时与患者相关联的参数。生理数据的例子可以包括但不限于:血压、心率、脉搏率、eeg、ekg、ecg、皮肤传导、身体或皮肤温度、体重、体脂、呼吸率、血流量、氧水平、co2水平、以及葡萄糖水平等等。在一些实现中,该生理数据可以由植入设备的一个或多个处理器进行计算、估计、处理和/或分析。在一些实现中,可以将原始生理数据或者经分析的生理数据存储在植入设备的存储器中。
从植入设备接收的生理数据可以指示患者的一种或多种状况。可以对生理数据进行分析以确定与健康相关状况,或者提供患者的诊断信息。举一些示例,可以利用生理数据来判断患者是否患有哮喘发作、患者是否正在睡觉、患者是否患有心脏病、患者是否患有偏头痛、患者是否有癫痫发作等等。在一些实现中,植入设备的治疗概况或治疗可以响应于从所述一个或多个传感器接收的生理数据而改变。植入设备可以被配置为:响应于患者的一个或多个状况被满足,而自动改变治疗概况或治疗。
从患者体内的植入设备收集和采集的生理数据可能不足以配置植入设备的治疗概况或治疗。可以对非生理数据进行收集和采集以补充生理数据,从而可以提供关于患者的更多信息。植入设备可以集成在系统架构中,该系统架构不仅允许与询问器医疗设备进行安全通信,而且还允许与无线通信集线器、蜂窝设备、基于云的数据库系统等等进行安全通信。位于患者体内的植入设备外部的这些设备可以容易地访问该植入设备。当植入设备与询问器设备安全地配对时,无论患者是否在医院,都会发生这种情况。这些设备可以提供关于患者和患者所处的环境的其它信息。
在处理700a的方框710处,可以获取来自植入设备或者来自植入设备外部的设备的非生理数据。例如,该非生理数据可以包括环境数据(例如,空气质量、温度、压力、一天中的时间、gps或位置数据、湿度等等)、活动数据(例如,跑步、睡觉、步行、骑自行车、游泳、站立、爬楼梯等等)、用户数据(例如,身高、体重、体脂、已知健康状况、药物摄入量等等)、系统状况数据(例如,电池电量低、记忆力低等等)和上下文数据(例如,某个时间或年份的天气模式、某些地理位置的健康风险等等)。在一些实现中,可以从与植入设备进行了配对的询问器设备或者从植入设备自身的一个或多个组件获取非生理数据。询问器设备可以被配置为从各种源(例如,无线通信集线器、蜂窝设备或者基于云的数据库系统)无线地获取数据。询问器设备可以被配置为从互联网无线地获取数据。另外地或替代地,询问器设备可以包括一个或多个环境传感器、生物传感器或者其它传感器。环境传感器可以检测、测量和/或感测周围环境条件(例如,环境压力、温度、声音、光、湿度、位置和大气)。例如,环境传感器可以包括大气传感器,后者被配置为获取表示空气质量、花粉计数、二氧化碳、一氧化碳和气味等等的数据。当询问器设备成功地与植入设备进行了配对时,询问器设备可以从各种源访问和获取非生理数据。在一些实现中,询问器设备是可穿戴询问器设备。
在处理700a的方框715处,确定非生理数据单独地或者与生理数据组合地满足条件。可以通过植入设备的一个或多个处理器来进行该确定。可以在植入设备中配置一个或多个条件或参数,其中将所述一个或多个条件或参数与非生理数据和/或生理数据进行比较。所述一个或多个条件或参数的满足可以用作使得在植入设备中发起响应的触发器。在一些实现中,所述一个或多个条件或参数可以存储在植入设备的存储器中。在一些实现中,所述一个或多个条件或参数可以通过门限值来表示,其中这些门限值可以是用户规定的或者系统规定的。在判断是否满足条件之前,可以对非生理和/或生理数据进行处理和分析。
在处理700a的方框720处,响应于确定已满足条件,调整植入设备的操作。作为响应,条件的满足可以触发或者以其它方式使植入设备传送适当的治疗或疗法。如先前所讨论的,植入设备可以包括但不限于心脏起搏器、icd、pcd、脑刺激器、胃系统刺激器、神经或神经刺激器、肌肉刺激器、下结肠刺激器、药物分配器或泵、心脏信号环或其它类型的记录器或监视器、基因治疗输送装置、预防或监测装置、胰岛素泵或监测装置等等。在一些实现中,植入设备是神经刺激器,其可以控制用于递送至患者的组织的刺激脉冲。可以根据非生理和/或生理数据满足什么条件,来增加或减少该刺激脉冲。
可以根据患者的生理数据来调整植入设备的治疗概况。举例来说,胰岛素泵可以根据检测到的患者的血糖水平来递送胰岛素。脑刺激器可以根据大脑的神经活动(例如,eeg),将电脉冲发送到大脑的部分。
可以不仅基于生理数据,而且还可以基于非生理数据,来调整植入设备的治疗概况。举例而言,询问器医疗设备中的一个或多个环境传感器可以收集环境数据(例如,温度、湿度、co2水平、环境压力、空气质量、过敏原水平、过敏原类型等等)。当检测到一种或多种过敏原超过门限水平时,植入设备可以响应检测到的过敏原来递送抗组胺药。
不仅可以基于生理数据和/或非生理数据来调整植入设备的治疗概况或治疗方案,而且还可以对植入设备的操作进行任何调整。在一些实现中,可以响应于确定已满足条件,调整植入设备的所述一个或多个传感器的轮询速率。举例而言,如果一个或多个环境传感器检测到高水平的过敏原,则可以增加植入设备的轮询速率。具体而言,植入设备的轮询速率可以从每30、40、50或60秒增加到每20、15、10或5秒。高水平的过敏原可以表明哮喘发作的可能性很高。来自植入设备的电刺激可以减轻哮喘发作。再举一个例子,如果一个或多个生物识别传感器检测到患者正在慢跑或跑步,则可以增加植入设备的轮询速率。再举一个例子,如果一年中特定时间的天气模式指示高水平过敏原的可能性较高,则可以增加植入设备的轮询速率。再举一个例子,如果湿度传感器检测到空气中的高程度的湿度,并且已知患者患有关节炎,则可以增加植入设备的轮询速率。来自植入设备的电刺激可以减轻关节炎的症状。因此,植入设备的操作可以被配置为:如果非生理信息单独的或者与生理信息组合的满足一个或多个条件,则发生改变。
图7b示出了用于描绘根据一些其它实现来操作植入设备的示例性方法的流程图。处理700b可以以不同的顺序来执行,或者具有不同的、更少的或另外的操作。在一些实现中,处理700b的方框可以由图1、2和图4中所示出的植入设备200来执行。虽然将方法700b的一些框描述成由植入设备的单个处理器执行,但在替代的实现中,在执行这些操作时可以涉及一个以上的处理器。例如,方法700b的方框可以由植入设备中的控制系统来执行。
在处理700b的方框755处,经由植入设备的一个或多个传感器接收与患者的治疗概况相关联的生理数据。处理700b的方框755的操作可以与处理700a的方框705的操作相同或至少相类似。
在处理700b的方框760处,使用生理数据来判断是否满足指定的生理状况。一个或多个生理条件或参数可以是植入设备中的用户规定的或系统规定的。所述一个或多个指定生理条件的满足可以用作发起植入设备的某些治疗的触发器。在一些实现中,指定的生理状况可以表示不利健康状况的发作。所述一个或多个传感器接收的生理数据可以由植入设备的一个或多个处理器进行处理。可以将处理的生理数据与植入设备中的一个或多个条件或参数进行比较。
如果在方框760处,生理数据满足指定的生理条件,则在方框765处,经由植入设备的一个或多个处理器来调整植入设备的治疗。可以响应于检测到不良健康状况的发作来进行治疗的调整。例如,如果指定的生理状况指示哮喘的发作,那么可以将治疗递送到植入设备所附着的肺中的神经。否则,植入设备的持续治疗可以仅对该神经提供轻微量的刺激,而治疗中的调整可以对该神经提供增加量的刺激。
如果在方框760处,生理数据不满足指定的生理条件,则继续植入设备的当前治疗。此外,在方框770处,经由植入设备的rf单元,接收来自植入设备外部的设备的环境数据。植入设备可以集成在系统架构中,该系统架构有助于与植入设备外部的设备的安全通信。这些设备可以配备有一个或多个环境传感器来获取环境数据。环境数据可以包括但不限于:环境压力、温度、声音、光、湿度、位置、空气质量、花粉计数、二氧化碳和气味。在一些实现中,询问器医疗设备(例如,可穿戴询问器医疗设备)可以利用植入设备来获取关于患者的环境的环境数据。可以通过安全通信路径,将该环境数据传输到植入设备。在一些实现中,当询问器设备与植入设备安全配对时,可以在mics频带或近场通信频带中发送该环境数据。
在方框775处,使用环境数据来判断是否满足指定的环境条件。一个或多个环境条件或参数可以是植入设备中的用户规定的或系统规定的。所述一个或多个指定环境条件的满足可以用作植入设备发起某些操作的触发器。这些操作不一定限于植入设备的治疗或疗法的改变。在一些实现中,指定的环境条件可以向植入设备提供患者周围环境中与健康相关的问题的信息。例如,指定的环境条件可以检测患者正在呼吸的过敏原、可能有害的天气模式、高湿度水平、较差的空气质量等等。从植入设备外部的设备接收的环境数据可以由植入设备的一个或多个处理器进行处理。可以将处理后的环境数据与植入设备中的一个或多个条件或参数进行比较。
如果在方框775处,生理数据满足指定的环境条件,则在方框780处,经由植入设备的一个或多个处理器来调整植入设备中的一个或多个传感器的轮询速率。在一些实现中,对传感器进行轮询可以包括:从传感器读取一个或多个信号。可以循环地进行轮询,例如大约每5、10、15、20、30、40、50、60、90或120秒或者每3、5、10、30、45、60或120分钟。用此方式,按照某些时间周期或者按照某些时间间隔进行轮询,可以减少植入设备的功耗。根据满足的指定环境条件,可以增加或减少所述一个或多个传感器的轮询速率。例如,对于患有类风湿性关节炎的患者,检测到高湿度水平可以导致植入设备的轮询速率增加。在另一个例子中,对于患有哮喘的患者,检测到空气中的某些过敏原或高水平的过敏原可以导致植入设备的轮询速率增加。
如果在方框775处,环境数据不满足指定的环境条件,则植入设备的所述一个或多个传感器的轮询速率保持不变。生理数据和环境数据可以存储在植入设备的存储器中,以供未来使用。另外,植入设备的操作在方框755处重复,其中,经由植入设备的所述一个或多个传感器来接收与患者的治疗概况相关联的生理数据。植入设备继续检测患者体内和体外的状况,确定一种或多种生理或环境条件的满足,并且响应于这些确定来调整植入设备的操作。
结合本文所公开的实施例描述的各种示例性的逻辑框、模块、电路和算法操作均可以实现成电子硬件、计算机软件或二者的组合。为了清楚地表示硬件和软件之间的这种可交换性,上面对各种示例性的部件、框、模块、电路和操作均围绕其功能进行了总体描述。至于这种功能是实现成硬件还是实现成软件,取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离本发明各个实施例的保护范围。
用于执行本文所述功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件部件或者其任意组合,可以用来实现或执行结合本文所公开的方面描述的用于实现各种示例性的逻辑、逻辑框、模块和电路的硬件。通用处理器可以是多处理器,或者,该处理器也可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算设备的组合,例如,dsp和多处理器的组合、若干多处理器、一个或多个多处理器与dsp内核的结合,或者任何其它此种结构。替代地,一些操作或方法可以由特定于给定的功能的电路来执行。
各个实施例中的功能可以用硬件、软件、固件或它们任意组合的方式来实现。当在软件中实现时,可以将这些功能存储成非临时性计算机可读介质或者非临时性处理器可读介质上的一个或多个指令或代码。本文所公开的方法或算法的操作,可以体现在处理器可执行软件模块中,后者可以位于非临时性计算机可读介质或处理器可读存储介质上。非临时性计算机可读或处理器可读存储介质可以是计算机或处理器能够存取的任何存储介质。举例而言,但非做出限制,这种非临时性计算机可读介质或者处理器可读介质可以包括ram、rom、eeprom、闪存、cd-rom或其它光盘存储器、磁盘存储器或其它磁存储设备、或者能够用于存储具有指令或数据结构形式的期望的程序代码并且能够由计算机进行存取的任何其它介质。如本文所使用的,磁盘和光盘包括压缩光盘(cd)、激光光盘、光盘、数字通用光盘(dvd)、软盘和蓝光光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。上述的组合也应当包括在非临时性计算机可读介质和处理器可读介质的保护范围之内。另外,一种方法或算法的操作可以作为一个代码和/或指令集或者其任意组合,位于非临时性处理器可读介质和/或计算机可读介质上,其中该非临时性处理器可读介质和/或计算机可读介质可以并入到计算机程序产品中。
为使本领域任何普通技术人员能够实现或者使用本发明,上面围绕所公开的实施例进行了描述。对于本领域普通技术人员来说,对这些实施例的各种修改是显而易见的,并且,本文定义的总体原理也可以在不脱离本发明的保护范围的基础上应用于其它实施例。因此,本公开内容并不限于本文所示出的实施例,而是与所附权利要求书和本文公开的原理和新颖性特征的最广范围相一致。
- 还没有人留言评论。精彩留言会获得点赞!