用于患者监测的多维识别、鉴别、授权和密钥分发系统的制作方法

文档序号:7938915阅读:196来源:国知局

专利名称::用于患者监测的多维识别、鉴别、授权和密钥分发系统的制作方法用于患者监测的多维识别、鉴别、授权和密钥分发系统用于患者的监视器和传感器已经普及,用于跟踪住院病人和门诊病人环境中患者的生命体征和其他所需数据。很多公知的传感器是"有线的",于是包括传感器和监视器或其他显示器/数据收集装置之间的有线连接。将要认识到,这种有线的布置可能会限制患者自由运动,从而可能是不方便的。此外,限制患者的运动还可能妨碍监测久坐活动外部的恰当的患者数据,于是可能无法提供患者情况的精确描述。无线通信的出现已经带来了无线传感器和监视器。在这种设置中,一组附着到患者身上并测量患者生命体征的无线传感器节点形成所谓的身体传感器网络(BSN)。如将要认识到的,传感器能够以无线方式将从患者收集的数据发送到监视器,或发送到远离患者的医生。随着诸如正EE802.15.4/ZigBee的标准在应用中变得更加普及,无线患者监测将继续出现在应用中。ZigBee联盟正在定义描述ZigBee标准的使用和应用的个人家庭和医院护理(PHHC)模型,以在医疗环境中以及与本专利申请中所述的相关情形下实现安全的通信。在基于ZigBee的网络中进行这种患者数据的无线监测,通常是借助于无线传感器网络进行监测,提供了实现"现实"患者监测所需的便利。尽管无线监测的优点显著,但仍需要确保敏感患者信息保持安全。例如,安全是对这种系统的必要要求,以便既保证患者安全和隐私,又符合诸如美国HIPAA的保健的法律要求。密钥管理是实现BSN安全的基本原理,因为它提供和管理加密密钥,以实现更多安全业务,例如鉴别、保密和完整性。需要保护患者的隐私方面,以便保护患者不被跟踪,并确保仅授权的人能够访问患者的医学信息。己知有一种用于向医疗装置分发加密密钥的密钥分发系统被称为分级确定性成对密钥预分发方案(HDPKPS),在交叉引用的申请中描述了这种系统。HDPKPS是一种非常高效的密钥分发系统,允许(从医疗装置的大集合中选择的)任何一对装置生成成对的密钥。利用每个医疗装置存储的HDPKPS密钥材料进行密钥生成。可以使用成对密钥提供其他安全服务,并将成对密钥链接到唯一的HDPKPS标识符,从而可以无歧义地鉴别装置。此外,HDPKPS密钥材料经由安全域的分级基础设施映射诸如所有权的预定义关系,通过这种方式实现精确的装置识别。例如,可以根据所有权将装置分成四个层级的分级安全域,即制造者、保健机构、医院和科室。通过向每个节点分发一组密钥材料(KM)进行预定义关系的映射。将节点携带的密钥材料链接到该节点所属的不同安全域。例如,如果节点属于提供商、保健机构A、医院H和科室D,该节点会得到由四个独立KM子集构成的KM,即KM提供商、KMA、KMh和KMd。将这些KM子集的每个链接到先前安全域。在HDPKPS中,在两个节点希望协商公共密钥时,它们交换HDPKPS标识符,所述HDPKPS标识符识别节点所属的SD。利用该信息,两个节点都可以识别对方在该SD分级分发中的来源,彼此识别并利用公共密钥材料协商公共密钥。例如,给定两个属于Philips的节点,相同的保健机构,相同的医院,但不同的科室,两个节点都可以识别另一个节点的来源,并基于链接到最深公共安全域(DCSD)的密钥材料,即医院密钥材料协商公共成对密钥。在该层级生成公共密钥,这是由于其提供了最大的安全层级。用于协商公共密钥的密钥材料可以基于预分发秘密、基于多项式的入安全方法或公共密钥。HDPKPS使用入安全DPKPS密钥材料的分级分发。该密钥材料链接到每个安全域,属于相同SD的两个节点得到相关但不同的密钥材料集。由于将来的患者监测将使患者能够在医院设施之内自由移动乃至普遍的患者监测,因此无论患者在哪里都必需确保高度安全的患者监测。需要以容易的方式,无需繁重的密码系统(例如公共密钥)或访问服务器来识别医疗装置的不同特征。在代表性方案中,可以由离散标识符替换链接到鉴别装置或实体以一组标识符为特征的公共密钥的(医疗)装置或实体,其中根据按照分级方式分类的正交特征设置标识符,且可以单独鉴定每个特征。此外,在无线患者监测系统中需要一种改善患者安全性的方法、设备和系统。6在代表性实施例中,一种无线网络中的安全管理方法包括识别医疗装置的多个正交分类;针对每个所述正交分类之内的每个安全域生成标识符;针对每个标识符生成密钥材料;以及交换标识符,以建立密钥协定或访问控制或隐私保护或其组合。在另一代表性实施例中,一种用于无线网络的安全系统包括无线装置;以及介质访问控制器(MAC),用于识别所述无线装置的多个正交分类并为每个无线装置分配至少一个所述正交分类,针对每个所述正交分类之内的每个安全域生成标识符,向每个无线传感器和每个无线节点分配所述标识符,其中,所述无线装置交换所述标识符以建立密钥协定或访问控制或隐私保护或其组合。根据又一代表性实施例,一种用于与网络中的其他无线装置通信的无线装置,包括正交分类;用于每个正交分类之内的每个安全域的标识符;以及用于每个标识符的密钥材料,其中,每个无线装置适于交换一个或多个相应标识符,以建立密钥协定或访问控制或隐私保护或其组合。在结合附图阅读时,从以下详细描述可以最好地理解该教导。各种特征未必是按比例绘制的。只要是可行的,类似的附图标记指示类似特征。图1是根据代表性实施例的无线系统的概念示意图;图2是根据代表性实施例试图与另一无线装置通信的无线装置的概念示意图3示出了根据代表性实施例的无线装置分类、标识符和密钥材料的表格表示;图4是根据代表性实施例在最深公共安全域建立安全连接的序列的概念示意图5是示出了根据代表性实施例的搜索最深公共SD的流程图。如本文所使用的,术语"一"或"一个"被定义为一个或超过一个。在以下详细描述中,出于解释而非限制的目的,阐述了披露具体细节的例示性实施例,以便提供对该教导的透彻理解。此外,可能省略对公知装置、硬件、软件、固件、方法和系统的描述,以免使对例示性实施例的描述模糊不清。尽管如此,可以根据例示性实施例使用处于本领域普通技术人员知识范围之内的这种硬件、软件、固件、装置、方法和系统。要强调的是,尽管代表性实施例涉及医用传感器和监视器、医用无线传感器网络和ZigBee网络,但还可以将本教导应用于在装置之间发生通信之前需要鉴别的领域。例如,加以适当的修改,本教导可以应用于其他类型的监测/测量系统,例如RFID系统。接下来的详细描述给出了可以由计算机可读介质、配置了数据采集卡等的相关处理器、微处理器、数字存储示波器、通用个人计算机、制造设备之内的数据位操作的例程和符号表示实现的方法。通常,将这里的方法构思成导致期望结果的步骤或动作序列,这样一来,该方法包含现有技术中诸如"例程"、"程序"、"对象"、"功能"、"子例程"和"过程"的术语。可以在本领域普通技术人员知识范围内的各种无线系统、网络、装置和协定的一种或多种中以及在将来的无线系统中实施例示性实施例。可以在媒体存取控制(MAC)或应用层中实施代表性实施例的本发明的很多方面。出于例示而非限制的目的,无线系统/网络可以遵循如下协定的一种或多种IEEE802.il及其子协定,包括专用网络;IEEE802.15及其子协定;以及正EE802.22和正EE802.15.4(—般称为ZigBee)。由于这种系统的详情在本领域普通技术人员的知识范围之内,因此未描述这种详情及它们在本教导中的特定应用,以免混淆对代表性实施例的描述。结合医疗网络和装置描述代表性实施例。这仅仅是例示性应用。应当指出,可以将本教导应用于其他系统,可以使用该系统实现和改善其他安全业务,包括分布式存取控制、装置或实体识别、秘密保护和诸如ZigBee网络的无线网络中的安全漫游。应当指出,可以通过将访问(权)仅限于拥有授权标识符且能够根据预定义规则对其进行验证的那些装置或实体来实现分布式访问控制。有利地,在医疗应用和其他想到的应用中,实体或装置的识别得到改善,因为不仅通过单个标识符,而且根据其特征来识别实体或装置。通过这种方式,实体或装置可以展示出拥有链接到各个特征的各标识符,从而能够对装置或实体进行更特异性的识别,而无需公共密钥或访问专门服务器。此外,可以通过在开始通信时限制公开的识别信息来实现秘密保护。图1是根据代表性实施例的无线医疗系统100的概念示意图。系统100包括多个医疗装置(8^2,..^),它们是无线医疗装置。作为例示,这些装置包括无线医疗装置,例如生理状况传感器和监视器、床边监护仪、可控定量给药装置和个人数字助理(PDA)。系统100还包括基于这些装置的所有权进行的装置分级分类。因此,可以根据三个层级对系统100的无线装置(SbS2,...Sn)进行分类装置制造商;医疗机构(例如医院);和装置所属的医疗科室。如果两个装置属于同一层级的相同类别,就说两个装置都属于该层级的相同安全域(SD)。例如,在该图示中,装置S!和S2分别属于安全域层级3和2的同一科室和医院。如果两个装置属于相同的SD,HDPKPS允许两个装置彼此认证,并生成可用于提供额外安全服务的成对密钥。通常,如果两个装置属于相同的SD(即,它们共享共同特征,例如位置、所有权等),HDPKPS向那些装置分发链接到该SD的相关(但不同)的密钥材料。两个装置都可以利用它们相应的密钥材料集来实时协商公共密钥。如本文所使用的,术语"利用"表示修改先前分发的密钥材料以便计算公共的最深安全层级。例如,假设两个装置,装置a和装置b携带两组密钥材料(KMa禾nKMb),其中KMa=f(a,y),KMb=f(b,y),且f(x,y)是两个变量x、y的对称多项式,即f(x,y)=f(y,x)。那么,两个节点a和b可以交换它们的标识符,即a和b。那么,装置a通过取y=b计算f(a,y)来利用其KMa。结果为f(a,b)。节点b还可以利用其密钥材料得到相同结果f(b,a)。在上文提到的母申请中提供了由HDPKPS进行鉴别的更多细节。尽管HDPKPS根据装置的所有权实现了全装置分级识别和完全的互操作性,在一些情况下,由这种方法进行鉴别可能不会提供充分的安全性或灵活性。为了例示这种情况,考虑有两所医院,H一A101和KLB102的保健机构。每家医院分别具有心脏病科D—I和D_II。假设必需要将在H—A/DJ治疗的患者转移到H—B/D_II以由另一位专家治疗。当患者到达H—B/D—II时,来自H—A/D—I的患者传感器(例如S》可以与H_B/D—II的床边监护仪建立安全通信,因为传感器和床边监护仪属于同样的保健机构,它们能够使用该类别以及链接到该特征(或安全域)的其对应的相关密钥材料子集来生成成对密钥。然而,HDPKPS在更高安全域的恢复力较弱,可能无9法提供足够的安全层级。根据代表性实施例,利用被称为正交HDKPS(OKPS)的密钥分发系统实现更大的灵活性和安全性。OKPS根据装置或实体的多维识别分发密钥材料。换言之,系统向每个装置分发链接到标识符的密钥材料,使得该装置能够单独识别或认证每个特征。在每个类别定义的SD未完全交迭而仅仅部分交迭的意义上,这些特征的分级分类是正交的。例如,在城市中,几所医院可以来自若干保健机构,但仅有其中一些可能是相同医学专业的。随着本说明书的继续将会更加清楚,本发明(或OKPS)基于所使用的特征的若干正交类别或分类。在代表性实施例中,OKPS基于无线装置的两个或更多正交分类。除了诸如装置所有权的特征之外,特征的分级分类例如包括,但不限于l).装置的位置(例如,可以根据国家-州和城市(德国/NRW/亚琛)对无线装置进行分类);医学专业(例如可以根据一般专业、子专业(外科、神经外科)对无线装置进行分类);医疗机构/医院中预期的工作区域(例如,工作区1可以覆盖整形外科和放射医学科以及健身设施。可以通过同样方式定义医院机构之内的其他工作区。)有利地,一旦根据实体或装置的不同特征以及分发到不同实体和装置的密钥材料确定了分类,两个装置能够交换它们的标识符,并利用分发的密钥材料实现装置鉴别和密钥协商。图2-4公开了根据代表性实施例在两个无线装置(例如S,和S2)之间实现鉴别的方法。例如,无线装置之一可以是患者的生理传感器,另一个可以是适于从传感器获取数据的医生的PDA。图2是试图与另一无线装置S2通信的无线装置S〗的概念示意图。每个装置包括至少两个正交分类、分类之内的安全域、识别和密钥材料。例如,表l<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>继续介绍例示性标识符,当两个装置S,和S2汇合时,交换SD的标识符,允许装置认可装置的所有权、医疗装置的位置、其所应用的医学专业等。这一序列被称为识别序列,并在图3和4中示出。通常,识别序列可以更加复杂,以便识别装置更复杂的作用,并且可以被识别为矩阵。在该矩阵中,轴识别不同作用,第二轴以分级分发中的不同深度向不同作用分配不同值。可以将表1视为这种用于先前范例的矩阵的特定范例。最初,从一个无线装置向其他表示需要安全连接的装置发送配置请求401。接下来是识别请求402,其中,请求装置发送包括要针对每个特征披露的最小数量的特征的消息(以便实现秘密保护/分布式访问控制)。在表301中示出了这些特征,通常对于特征f而言,必需要披露第一Lf标识符,其中Lf是组织该特征所在的分层层级的数量。应当指出,如果两个节点都使用访问控制/隐私意识策略,就可以修改这个步骤。在这种情况下,两个节点都可以交换标识符的子集,以便保护患者的隐私,或者如果另一方不能证明其属于特定(且预定义)的组、安全域或特征,限制访问。通常,在交换标识符之后,两个装置针对每个特征寻找最深的公共安全域,艮P,装置使用交换的SD标识符针对每个独立的HDPKPS发现DCSD。然后,两个装置都通过组合从每个独立的HDPKPS生成的每个独立部分成对密钥来生成成对密钥K。在步骤403,装置完成鉴别握手。在该步骤中,在交换表302所示的多维标识符之后发生这一动作。对于表302中所示的每个识别特征i,装置识别最深公共安全域j(")。接下来,装置利用它们自己成对的(IDij-a,KMij-a〉(S》和IDij-b(S2)来协商部分密钥Kij-ab。接下来,装置例如通过计算所有部分成对密钥K-h(Klj-ab||K2j-ab||...||Knj-ab)的无用数据来协商全局秘密K,并利用K来认证两个节点/实现安全通信。因此,两个装置都利用标识符以及与每个DCSD相关联且处于最深公共SD的密钥材料来生成部分成对密钥Kp,如HDPKPS所述。图5是示出了根据代表性实施例的搜索最深公共SD的流程图。该方法依赖于结合先前所述实施例描述的特征和细节。不再重复这种细节和特征,以免使当前所述实施例的描述模糊。在步骤501,在鉴别步骤期间,无线装置判断它们是否在相同安全域中(SD1=SD2)。如果不是,则最下方公共层级为k-l。如果装置处于相同的SD,它们则继续进行到层级k+l。在步骤502,如果装置不在最深SD中,则方法返回到步骤501。如果装置处于最深SD中,那么最深层级的公共层级为L。通常,针对每个特征重复先前操作,使得两个装置能够识别它们可以用来协商公共部分秘密并针对每个特征彼此识别的密钥材料。提供了一些范例,例示了代表性实施例的方法、设备和系统的使用和功能。这些范例仅仅是例示性的,本质上决不是限制性的。OKPS允许根据若干特征对传感器节点分类。这允许将患者安全地从ICU转移到正常护理单元。例如,考虑由于心脏病发作而做手术的住院心脏病患者。在手术期间和之后的前几天中,在ICU护理患者。然而,几天之后将其转移到专用于心脏病患者的正常护理单元,即心脏护理单元(CCU)。应当根据由两个(分级)安全域构成的OKPS配置这种环境中使用的无线传感器。一方面,这些传感器节点属于ICU的安全域。因此,这些传感器会携带来自医院和来自ICU科室的密钥材料。另一方面,这些传感器的工作区包括CCU。因此,这些传感器节点必需还携带两个正交安全域的密钥材料。这种实施方式的优点在于,患者可以在整个治疗期间保持同样的传感器节点,但最佳安全层级更高,因为传感器节点属于两个正交安全域,即ICU的密钥材料和CCU的密钥材料。住院的心脏病患者佩戴连续监测其ECG的无线传感器节点。他每天必需要去医院的健身房锻炼。在这段时间期间,在心脏病科室和健身房都监12测患者A。OKPS允许以高安全层级进行这种监测,如同心脏病科室和健身房作为安全域被并行支持一样。因此,安全连接不仅基于医院层级,而且也在传感器的工作区中。这一事实增加了系统的灵活性。此外,安全连接生成了从一个安全域漫游到另一个的透明安全性。可以想象,将诸如医院医疗网络的医疗网络分成几个子无线传感器网络区域或几个ZigBee网络。每个ZigBee网络控制其自身的安全性,但装置可以保持密钥材料集属于要治疗患者的不同网络。通过这种方式,当患者从具有ZigBee网络A的区域A移动到具有ZigBee网络B的其他区域B时,患者的传感器节点已经携带了链接到两个区域、安全域、网络或ZigBee网络的密钥材料,实现透明的安全漫游。对于普遍的患者监测而言患者隐私的保护是最重要的。例如,如果借助于唯一标识符标识医疗装置,则可以跟踪患者。多维OKPS的标识符通过轻微修改OKPS的工作模式来帮助防止这个问题。在正常运行模式下,传感器会披露其所有标识符。对于表1而言,节点会披露表2<table>tableseeoriginaldocumentpage13</column></row><table>在这一额外隐私意识工作模式下,无线传感器不披露所有标识符,而仅披露它们中的一些。例如表3SDIDPhilipsID_ol保健机构IID—o2--一-德国ID—11NRWID—12--外科ID—si—-一-基于这一信息,仍然可以识别传感器节点,但通过这种方式不能完全保护患者的隐私。在与需要披露链接到例如对应实体的公共密钥的单个标识符的其他识别系统相比时,这代表巨大的优点。因此,该系统允许在低资源约束的装置中实施隐私意识技术。借助于若干正交分类识别传感器节点。在需要时,这能够对患者所有权、位置、疾病等进行更精确的认证识别。对于探测例如患者转移期间的医疗过失,这可能实非常有用的,因为传感器节点能够识别节点的工作区。例如,如果患者携带着具有多维标识符的几个传感器节点,授权的医生可以检査患者是否在他应当在的工作区、科室等。通过这种方式,可以探测到患者转移期间可能的过失。OKPS通过利用装置的正交识别特征实现了分布式访问控制特征。例如,可以配置系统,使得仅有满足若干特征的医院装置能访问患者的健康信息。例如,假设预先配置患者的ECU传感器以便仅使属于患者接受治疗的医院或处于同一城市且与心脏病专业相关的床边监护仪能够进行患者监测。在这种情况下,患者的ECU传感器将仅向成功认证为属于同一医院或属于同一城市的心脏病专业的其他医院的节点披露患者的ECU生命体征。通常,可以需要最小数量的特征来执行特定动作。因此,医疗装置或实体(例如传感器节点)可以存储具有执行那些动作所需的特征的列表。在许可一项动作之前,医疗装置请求识别和鉴别授权该活动所需的特定特征子集。如果另一方可以证明其身份,则许可,即授权该动作。否则,拒绝该动作。这个特征对于诸如ZigBee的新无线传感器网络标准尤其有用,因为在新应用中访问控制是必需的要求,而当前的集中式访问控制方案范围有限且不够充分灵活。考虑到本公开,要指出的是,可以在具有不同装置、器械、软件和硬件的各种应用中实施这里所述的各种方法、设备和系统。此外,除患者监测之外的应用可能受益于本教导。此外,仅以举例的方式而非以任何限制的意义包括了各种装置、器械、软件和硬件以及参数。考虑到本公开,本领域的技术人员可以在确定其自身应用和实施这些应用所需的装置、软件、硬件和其他设备时实施本教导,同时保持在所附权利要求的范围之内。权利要求1、一种无线网络中的安全管理的方法,所述方法包括识别医疗装置的多个正交分类;针对每个所述正交分类内的每个安全域生成标识符;针对每个标识符生成密钥材料;交换标识符,以在正交分类内的最深公共安全域建立密钥协定或访问控制或隐私保护或其组合。2、根据权利要求1所述的方法,其中,所述网络是医疗网络且所述装置是医疗装置。3、根据权利要求1所述的方法,其中,所述正交分类包括所有权、位置、医学专业和工作区。4、根据权利要求1所述的方法,其中,所述密钥材料还包括彼此独立或依赖的密钥材料子集,例如HDPKPS密钥材料、DPKPS密钥材料,或者一般地,允许识别装置或实体的特定特征/标识符的任何其他种类的密钥材料。5、根据权利要求2所述的方法,其中,至少一个所述无线医疗装置是无线医用传感器。6、根据权利要求6所述的方法,其中,所述无线医疗装置包括生理状况监视器、可控定量给药装置和个人数字助理(PDA)。7、一种用于无线网络的安全系统,包括无线装置;以及介质访问控制器(MAC),其用于识别所述无线装置的多个正交分类并为每个无线装置分配至少一个所述正交分类,并且针对每个所述正交分类内的每个安全域生成标识符,并且向每个无线传感器和每个无线节点分配所述标识符,其中,所述无线装置交换所述标识符以建立密钥协定或访问控制或隐私保护或其组合。8、根据权利要求7所述的安全系统,其中,所述MAC层还包括密钥生成器,其用于针对每个无线装置生成所述密钥材料并向所述无线装置所述密钥材料,其中,密钥材料链接到识别节点的标识符。9、根据权利要求7所述的安全系统,其中,所述无线装置为医用传感器o10、根据权利要求9所述的安全系统,其中,所述医用传感器和另一无线装置适于交换各自的标识符以协商公共密钥材料。11、根据权利要求9所述的系统,其中,还包括无线节点,所述无线节点包括医疗监护装置。12、根据权利要求9所述的系统,其中,所述正交分类包括所有权、位置、医学专业和工作区。13、根据权利要求9所述的系统,其中,所述所有权包括如下分级安全域中的一个或多个企业;医疗机构;该医疗机构之内的科室。14、根据权利要求7所述的系统,其中,所述密钥材料还包括若干组分级确定性成对密钥预分发方案(HDPKPS)密钥材料、DPKPS密钥材料,或一般地能够允许识别和鉴别装置的不同正交特征的其他类型的密钥材料。15、根据权利要求14所述的系统,其中,每个安全域的密钥材料独立于另一安全域的密钥材料,从而可以单独识别和鉴别不同的特征。16、一种用于与网络中的其他无线装置通信的无线装置,包括正交分类;针对每个正交分类内的每个安全域的标识符;以及针对每个标识符的密钥材料,其中,每个无线装置适于交换各自的标识符中的一个或多个,以建立密钥协定或访问控制或隐私保护或其组合。17、根据权利要求16所述的无线装置,其中,所述无线装置为医疗装置,包括生理状况监视器、可控定量给药装置和个人数字助理(PDA)。18、根据权利要求16所述的无线装置,其中,所述正交分类包括所有权、位置、医学专业和工作区。19、根据权利要求16所述的无线装置,其中,所述密钥材料还包括分级确定性成对密钥预分发方案(HDPKPS)密钥材料或DPKPS密钥材料。20、根据权利要求16所述的无线装置,其中,所述无线装置为arid装置。21、根据权利要求16所述的无线装置,其中,所述装置适于在不同正交安全域之间迁移或漫游。全文摘要描述了一种方法、无线系统和无线装置。所述方法、系统和装置提供多维识别、鉴别、授权和密钥分发,在最深公共安全域提供安全通信。文档编号H04L29/06GK101690102SQ200880022900公开日2010年3月31日申请日期2008年7月1日优先权日2007年7月3日发明者A·G·许布纳,H·巴尔杜斯,O·G·莫尔琼申请人:皇家飞利浦电子股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1