在医疗装置及其远程装置之间安全的通信的制作方法
【技术领域】
[0001] 本发明涉及医疗装置(例如但不限于传送装置(例如,胰岛素泵)和/或无线传 感器(例如,动态血糖计)和/或可植入装置和/或采样装置)的遥控器。
【背景技术】
[0002] 需要通过遥控器来控制某些医疗装置(例如,像贴附式泵那样既轻又小的胰岛素 泵),这是因为患者很难看到位于泵本身上的显示器的内容。现在的大多数泵都使用专用的 专有遥控器,该专有遥控器代表了具有所有缺点的另一个装置,产生的缺点如下:
[0003] ?需要找到一个口袋以将其放到安全的地方,并可快速、方便的找到它
[0004] ?不能忘记你的遥控器
[0005] ?要考虑给它充电或具有备用电池
[0006] ?要防止其由于跌落或任何"恶劣"外部条件(如暴晒或暴露在沙子中)而造成的 损耗。
[0007] 一种防止使用另一个特定装置的方法是将遥控器的功能集成到患者应当已经携 带的现有装置中,例如但不限于血糖仪或手机,其将具有集成遥控器特征所需的所有性能。
[0008] 利用手机实现该目的是非常有吸引力的,但带来了很多安全方面的问题,必须在 允许将其用于编程胰岛素泵之前解决这些问题。必须确保的重要的安全特征是:
[0009] ?显示给用户的数据的完整性
[0010] ?发送给胰岛素泵的命令的完整性
[0011] ?存储患者的治疗参数以及输液历史和事件的日志的数据库的完整性和保护
[0012] ?将医疗装置和其遥控器进行安全配对
[0013] ?随时对软件作出响应(例如:当另一个软件具有焦点并且能够处理用户的请求 而其他任务使资源(如MCU等)过载时报警)。
[0014] 为了确保无线通信的安全,现有的装置使用认证进程,其中,装置以不安全的或者 不充分安全的方式共享密钥。该认证进程可以使用如在手机中使用的智能卡,美国专利申 请(US2010/045425、US2005/204134、US2008/140160 和 US2011/197067)公开了包括用于可 信第三方和/或用于认证进程的令牌。特别地,所述令牌用于认证具有令牌的患者是具有 相关医疗装置的患者。另外,所有的所述产品都以下述方式交换它们的加密密钥和/或使 用标准的配对进程:黑客能够找到管理医疗装置的数据。
【发明内容】
[0015] 本申请要求于2012年10月26日以Debiotech的名义提交的PCT/IB2012/055917 的优先权以及2012年7月9日以Debiotech的名义提交的EP12175498. 0的优先权的权益, 通过引用的方式,将其所有的公开合并到本文中。
[0016] 本发明的目的是提供鲁棒环境以确保医疗装置及其遥控器之间的通信安全。在本 文中,表述"以确保通信安全"必须理解为用于确保下述内容的所有方式:
[0017] -遥控器和医疗装置之间的数据交换是正确的,和/或
[0018] -已经由授权的操作者(例如,患者,也称作用户)发送所述数据,和/或
[0019] -使用的装置是正确的装置,和/或
[0020] -已经正确地接收所述数据。
[0021] 因此,为了确保通信安全,所述方法可以检查数据或应用程序或操作系统的完整 性和/或可以加密数据和/或安全的配对,和/或可以检查操作者的身份…。为此,本发明 包括由医疗装置和遥控器组成的医疗组件,其中,所述安全部件可以是:
[0022] -嵌入到(已经插入)遥控器的附加微控制器(MCU),
[0023] -可以包括到遥控器或属于医疗装置的附加微控制器中的虚拟化平台,
[0024] -特定的回环进程,
[0025] -检查完整性的方法,
[0026] -特定的配对进程,
[0027] -生成和/或共享密钥的方法。
[0028] 使用所述不同的部件允许极大地提高安全性,但是可以只使用一种或两种上述部 件。
[0029] 所述遥控器可以用于管理和/或监控至少一个医疗装置,例如但不限于输送装置 和/或无线传感器和/或可移植装置和/或采样装置和/或血糖监测计…。优选地,所述 遥控器的设计便于携带并且可以是轻便的、可移动、可装到口袋里…。
[0030] 所述医疗装置包括允许与所述遥控器无线通信的通信部件、包括用于建立连接和 /或确保通信安全的密钥信息的内部存储器。优选地,所述医疗装置只与一个包括存储器的 微控制器(MCU)配对,所述存储器包括所述密钥信息(例如,链路密钥、加密密钥、散列…)。 所述MCU被设计为插入到遥控器。在本文中,"插入"可以由"嵌入"或"连接到"代替。可 以在有接触或没有接触情况下通过有线连接或无线连接来执行遥控器和MCU之间的通信。
[0031] 因此,医疗组件使用可以插入到遥控器中的MCU。适于建立医疗装置和遥控器之间 的安全通信的所述组件包括:
[0032] ?遥控器,其包括:
[0033] 〇用于允许与所述医疗装置进行无线通信的通信部件,
[0034] 〇用于插入附加微控制器(MCU)的连接部件;
[0035] 〇显示部件(可选),
[0036] 〇至少一个输入部件,
[0037] 〇至少一个处理器,其连接到通信部件、连接部件、输入部件和可选的显示部件; 以及
[0038] ?医疗装置,其包括:
[0039] 〇用于允许与所述遥控器进行无线通信的通信部件,
[0040] 〇存储器;
[0041] · MCU,其被设计为连接到所述遥控器;所述MCU进一步可以包括存储器;
[0042] 所述医疗装置的存储器和所述MCU的存储器包括用于建立和/或确保通信安全的 至少部分密钥信息。所述密钥信息包括至少一部分共享密钥。至少一个医疗装置专门与唯 --个MCU配对。在一个实施例中,在患者使用之前,执行医疗装置和MCU之间的配对。
[0043] 在一个实施例中,通过无线通信执行M⑶和遥控器之间的连接。
[0044] 在本文中,微控制器(MCU)可以是插入到遥控器的集成芯片或者插入到遥控器的 外部装置。通常,MCU包括CPU、RAM、某些形式的ROM、I/O端口和计时器。与包括其他部件 的计算机和遥控器不同,针对非常特定的任务(例如,控制特定系统)设计微控制器(MCU)。 因此,可以简化并缩减MCU,这降低了生产成本。MCU还可以集成特定功能以保护其存储器 中的内容(例如,窜改的封缄、封锁、篡改响应和清零开关)。另外,所述MCU不带有另一个 (PU和存储器,(遥控器的)操作系统可以使用所述CPU和存储器来改进遥控器的性能,但 是其具有其他功能,特别地,更加安全,特别地,至少部分共享密钥通过配对进程或其他进 程生成。MCU和遥控器的CPU不同并且具有不同的任务。在本发明中,MCU与遥控器完全独 立,通过这种方式,MCU可以与不同的遥控器一起使用。所述MCU可以是智能卡、SM卡、诸 如SDIO(安全数字输入输出)卡的SD卡、内部或外部软件狗…。在本文中,我们可以等价 地使用下述术语:外部或内部微控制器、附加微控制器或MCU。
[0045] 在一个实施例中,所述医疗装置和所述MCU包括存储器,所述存储器包含无线通 信配置(链路密钥、医疗装置的地址(例如,蓝牙地址),…)。通过这种方式,所述装置和 所述MCU提前知道合适的配置。特别地,所述MCU可以包括用于将遥控器连接到医疗装置 以保护所述通信的密钥信息(例如,链路密钥,…),通过这种方式,不需要以不安全的方式 (例如,通过蓝牙)提供连接,或者用户(例如,患者)不必执行特定任务来将遥控器与医疗 装置配对。
[0046] 优选地,医疗装置只与一个MCU配对,并且所述MCU嵌入到遥控器;通过这种方式, 只有包括所述MCU的遥控器可以管理和/或监视所述医疗装置。此外,当患者知道嵌入所 述MCU的遥控器是可以管理和/或监视医疗装置的单个遥控器时,还可以交换遥控器。
[0047] 在一个实施例中,遥控器管理和/或监视至少两个医疗装置。在这种情况下,所述 医疗装置可以只与一个MCU配对,备选地,每个医疗装置与其自己的MCU配对。
[0048] 在一个实施例中,所述MCU包括用于将所述医疗组件与医疗服务器连接的密钥信 息(患者标识符、医疗服务器的标识符和地址、加密密钥…)。在该实施例中,医疗组件可以 使用遥控器的数据通信部件将接收到的数据发送到医疗服务器。因此,所述MCU可以包括 建立一个或多个医疗装置和/或医疗服务器之间的通信并确保通信安全的所有信息,例如 但不限于用户认证、加密参数…。
[0049] 在一个实施例中,MCU可以在其存储器中存储医疗装置发送的至少一组数据或者 遥控器或其他装置提供的其他组数据。在另一个实施例中,加密所述数据并将其存储到远 程装置或医疗装置,但是只有MCU (或医疗装置)包括解密所述数据的密钥。
[0050] 为了提高安全性,由制造商、医生、护理者或药剂师生成所述密钥信息并在患者使 用之前将其记录到所述存储器中。
[0051] 在一个遥控器使用虚拟平台的实施例中,在遥控器中并入了虚拟化平台,所述虚 拟化平台包括:
[0052] ?主机操作系统(hOS),其模拟用于至少一个客户操作系统(gOS)的硬件部件模 拟,
[0053] ?第一 gOS处理共用功能,例如但不限于日历或联系人,所有的这些共用功能被设 计为在非受控环境中使用,
[0054] ?医疗操作系统(mOS),其处理用于医疗装置的遥控器,所有的这些遥控器的功能 被设计为在受控环境中使用。所述mOS可以是特定的gOS。
[0055] 在本文中,必须将表述"主机操作系统"理解为尽可能薄的操作系统,例如,增强的 系统管理程序,其单独管理并共享所有遥控器的外围设备,例如,RAM、闪存、UART、Wifi…。 hOS不处理共用功能,其目的是确保将命令安全地发送到医疗装置。
[0056] 在一个实施例中,MCU(如上文公开的)插入到遥控器中,但是所述hOS不需要管 理并共享所述MCU的外围设备。在一个实施例中,MCU包括用于检查每个操作系统的完整 性的部件或数据。
[0057] 在本文中,必须将表述"客户操作系统"理解为处理共用功能(电话、发送数据、日 历…)的标准操作系统(例如但不限于安卓、苹果的i〇S)或特定操作系统(例如,医疗操 作系统)。所述不同的客户操作系统可以在同一个遥控器中共存并且相互之间完全的隔离 开。
[0058] 在本文中,必须将表述"受控环境"理解为下述空间,其中:
[0059] ?预期的应用程序的响应是确定的
[0060] ?软件包和操作系统的列表和版本是已知的,并且用户不能改变
[0061 ] ?控制并确保对硬件部件的访问
[0062] ?硬件部件(CPU、存储器、RF链路等)的响应是确定的
[0063] ?预定的最小带宽通常可确保访问硬件部件(例如,CPU、网络RF链路等)
[0064] ?运行并存储至少一个医疗应用程序和/或mOS。
[0065] 受控环境和非受控环境完全分离。
[0066] 在优选的实施例中,所述hOS不止是标准的系统管理程序。尽管所述hOS尽可能的 薄,但是其包括某些操作进程以拒绝某些应用程序(在受控环境或非受控环境中运行的) 或者给医疗OS -些优先权。因此,当受控环境启动或当受控环境的全部或部分应用程序在 运行时,hOS可以停止在受控环境中运行的全部或部分应用程序。例如,即使电话接收到消 息,hOS也只显示医疗应用。
[0067] 因此,非受控环境对硬件和受控环境之间的交互没有可视性。有利的是,受控环境 中的客户操作系统或应用程序(例如但不限于医疗操作系统和/或医疗应用程序)具有比 其他系统或程序高的优先权。由此,主机操作系统决定阻碍在非受控环境中运行的应用程 序,以避免该应用程序所导致的任何干扰。主机操作系统还可以决定受控或非受控环境中 的哪个应用将聚焦在屏幕上。
[0068] 在一个实施例中,根据本发明的遥控器是手机(例如,智能手机)。可以使用任何 合适的操作系统,例如,安卓系统。遥控器与医疗装置结合使用。有利的是,将遥控器功能 设计为胰岛素泵的遥控器。
[0069] 如上所述,所述MCU还可以用于认证或确保hOS的完整性,或用于存储优先级较高 (反之亦然)的应用程序列表,或用于存储当某些应用程序正在运行或没有运行,或满足某 个条件等等时所执行的不同的方案。
[0070] 在医疗组件的另一个实施例中,所述组件有利地包括至少两个对象(例如,胰岛 素泵和遥控器)之间的回环机制。回环的一般概念是这样一种机制:通过该机制,在消息或 信号结束后,将其发送回(回环)到其开始的地方。
[0071] 在本文中,回环机制不是对用户输入的数据进行简单的确认。例如,标准回环机制 由询问用户是否确认命令的装置使用。在这种标准的情况下,回环是用户和装置之间的。
[0072] 新的回环机制允许对遥控器发送且由医疗装置接收的数据进行确认。因此,用户 在遥控器中输入命令(利用输入装置),并且遥控器通过安全的通信将其发送到医疗装置。 由于所述机制,如果接收到的命令是用户发送的命令,那么在启动命令之前,医疗装置必须 请求进行确认。医疗装置向遥控器发送由遥控器显示的数据。所述数据可以是挑战码或加 密数据或其他。当用户向医疗装置确认时,启动所述命令。有利的是,为了提高安全性,用 户必须输入PIN码以对命令进行确认。
[0073] 通过将附加的受保护的MCU像智能卡、SM卡或SD卡等那样插入到遥控器,可以 有利的保护回环机制和与医疗装置的连接的安全,其中,MCU可以加密或解密用于回环的数 据。
[0074] 遥控器或MCU(例如,外部软件狗)或医疗装置可以包括用于以安全的方式发送信 息给患者的附加部件(例如:LED、振动器、显示部件…)。例如,外部MCU可以在其自己的显 示部件上显示数据。
[0075] 本发明提供下述至少一个优点:
[0076] -本发明还提供受控环境,其中,通过低级别操作系统架构的核心设计,保证了响 应性、完整性和安全性。
[0077] -提出的方案提供了安全的环境,其可以例如防止任何不希望的应用程序,该应用 程序可以通过改变治疗(如安排多个患者不希望的附加输注)模拟正常使用。
[0078] -使用MCU,所述MCU作为智能卡独立于遥控器,其允许在配对进程期间使另一个 装置不可见的情况下,自动且安全地将遥控器与医疗装置连接。
[0079] -使用MCU,其可以嵌入或插入到不同的遥控器(例如,手机),允许在遇