安全地分发医疗处方的制作方法

本公开涉及分发医疗处方。

背景技术：

可以将医学治疗机器设计为有助于各种医疗状况的诊断、监测和/或治疗。医学治疗机器的一个示例是透析机。透析是一种用于支持肾功能不全的患者的治疗方法。两种主要的透析方法是血液透析和腹膜透析。在血液透析(“hd”)期间，患者的血液将通过透析机的透析器，同时还将透析溶液或透析液通过透析器。透析器中的半透膜在透析器内将血液与透析液分离，并允许在透析液与血流之间发生扩散和渗透交换。跨膜的这些交换使得可从血液中去除废物，包括尿素和肌酐等溶质。这些交换还调节血液中诸如钠和水等其它物质的水平。这样，透析机就充当用于清洁血液的人工肾脏。

在腹膜透析(“pd”)期间，患者的腹腔会定期注入透析液。患者的腹膜的膜状衬层作为天然的半透膜，使溶液与血流之间发生扩散和渗透交换。跨患者的腹膜的这些交换使得可从血液中去除废物，包括尿素和肌酐等溶质，并调节血液中诸如钠和水等其它物质的水平。

称为pd循环器的自动pd机被设计用于控制整个pd过程，使得通常无需临床人员照料就可在家中过夜进行。此过程称为连续循环器辅助pd(“ccpd”)。许多pd循环器被设计成可自动将透析液注入、驻留和排出患者腹膜腔。治疗通常持续数小时，通常从初始排出循环开始，以从腹膜腔清空已使用或用过的透析液。然后，该序列将依次进行一系列的填充、驻留和排出阶段。每个阶段称为一个循环。

技术实现要素：

在一个方面，一种方法包括：由医学治疗机器接收使用公钥加密的数字处方文件。数字处方文件由数字处方文件的签发方使用与该签发方相对应的私钥被数字签名。该方法还包括使用与公钥相对应的私钥解密数字处方文件。该私钥可由医学治疗机器访问。该方法还包括使用解密的数字处方文件识别数字处方文件的签发方。该方法还包括通过验证与i)签发方以及ii)用于对数字处方文件进行数字签名的私钥相对应的证书是由受信任的授权服务方进行数字签名的，来确定数字处方文件的签发方是被授权的签发方。该方法还包括使用与被授权的签发方相对应的公钥验证数字处方文件上的数字签名，以确认签发方是被授权的签发方。在一些示例中，以这种方式，任何被授权的签发方都可以安全地签发由任何被授权的医学治疗机器使用的数字处方文件，而无需任何一方都拥有另一方的先验知识。

实施方式可以包括以下特征中的一项或多项。

在一些实施方式中，与所述公钥相对应的所述私钥被预先加载在所述医学治疗机器上。

在一些实施方式中，与所述被授权的签发方相对应的公钥由受信任的授权服务方提供。

在一些实施方式中，所述受信任的授权服务方是证书授权方。

在一些实施方式中，所述方法包括基于数字处方文件执行透析治疗。

在一些实施方式中，所述数字处方文件由所述签发方加密，而所述签发方不知道关于所述医学治疗机器的附加信息(例如，独特信息)。

在一些实施方式中，在所述医学治疗机器获知签发方的身份之前，所述数字处方文件由所述医学治疗机器解密。

在一些实施方式中，所述方法包括：由医学治疗机器接收与签发方相对应的证书。所述证书包括与i)签发方以及ii)相应于签发方的私钥相对应的公钥，并且由受信任的授权服务方使用与受信任的授权服务方相对应的私钥进行数字签名。所述方法还包括：使用与受信任的授权服务方相对应的公钥来验证证书上的数字签名，以确认证书中包含的公钥与被授权的签发方相对应。

在一些实施方式中，所述方法包括：确定所述受信任的授权服务方是可信的，以验证签发方的身份并证明与所述签发方相对应的公钥的所有权。

在一些实施方式中，包括与所述受信任的授权服务方相对应的公钥的证书被存储在所述医学治疗机器中。

在一些实施方式中，包括与所述受信任的授权服务方相对应的公钥的证书以指示受信任的授权服务方是处方签发方的可信授权者的方式由所述医学治疗机器接收。

在一些实施方式中，在所述受信任的授权服务方验证了所述签发方的身份并且证明所述签发方是被授权的签发方之后，由所述受信任的授权服务方提供与所述签发方相对应的证书。

在另一方面，一种方法包括：由医学治疗机器接收使用公钥加密的数字处方文件。所述数字处方文件由所述数字处方文件的签发方使用与所述签发方相对应的私钥被数字签名。所述方法还包括：由所述医学治疗机器接收证书，所述证书包括与签发方相对应的公钥。所述证书由受信任的授权服务方使用与受信任的授权服务方相对应的私钥进行数字签名。所述方法还包括：使用与公钥相对应的私钥解密数字处方文件。所述私钥可由医学治疗机器访问。所述方法还包括：使用与受信任的授权服务方相对应的公钥来验证证书上的数字签名，以确认证书中包括的公钥与被授权的签发方相对应。所述方法还包括：使用证书中包括的公钥验证数字处方文件上的数字签名，以确认签发方是被授权的签发方。

实施方式可以包括以下特征中的一项或多项。

在一些实施方式中，在所述医学治疗机器不知道关于所述签发方的附加信息(例如，特定信息)的情况下，确认所述签发方是所述被授权的签发方。

在另一方面，一种医疗系统包括：医疗装置、数据存储装置以及处理器，所述处理器被配置用于接收使用公钥加密的数字处方文件。所述数字处方文件由数字处方文件的签发方使用与签发方相对应的私钥进行数字签名。所述处理器还被配置用于使用与公钥相对应的私钥解密数字处方文件。所述私钥可由医疗装置访问。所述处理器还被配置用于使用解密的数字处方文件识别数字处方文件的签发方。所述处理器还被配置用于通过验证与i)签发方以及ii)用于对数字处方文件进行数字签名的私钥相对应的证书是由受信任的授权服务方进行数字签名的，来确定数字处方文件的签发方是被授权的签发方。所述处理器还被配置用于使用与被授权的签发方相对应的公钥验证数字处方文件上的数字签名，以确认签发方是被授权的签发方。

实施方式可以包括以下特征中的一项或多项。

在一些实施方式中，所述医疗装置是透析机，所述透析机被配置为基于所述数字处方文件执行透析治疗。

在一些实施方式中，所述透析机包括家用透析机(“hdm”)。

在一些实施方式中，所述透析机包括腹膜透析(“pd”)机。

在一些实施方式中，所述透析机包括血液透析(“hd”)机。

在另一方面，一种被连接的健康系统包括：基于云的应用程序，其便于系统的构件之间的数据传输。所述被连接的健康系统还包括透析机和与透析机和基于云的应用程序通信的网关装置。网关装置被配置为从基于云的应用程序接收数据并将所述数据提供给透析机。所述被连接的健康系统还包括数据存储装置。所述被连接的健康系统还包括处理器，所述处理器被配置用于经由基于云的应用程序接收使用公钥加密的数字处方文件。所述数字处方文件由数字处方文件的签发方使用与签发方相对应的私钥被数字签名。所述处理器还被配置用于使用与公钥相对应的私钥对数字处方文件进行解密。所述私钥可由透析机访问。所述处理器还被配置用于使用解密的数字处方文件识别数字处方文件的签发方。所述处理器还被配置用于通过验证与i)签发方以及ii)用于对数字处方文件进行数字签名的私钥相对应的证书是由受信任的授权服务方进行数字签名的，来确定数字处方文件的签发方是被授权的签发方。所述处理器还被配置用于使用与被授权的签发方相对应的公钥验证数字处方文件上的数字签名，以确认签发方是被授权的签发方。

实施方式可以包括以下优点中的一项或多项。

在一些实施方式中，处方文件可以数字地生成和传送。在一些实施方式中，可以以不可伪造的方式对数字处方文件进行数字签名，该方式可以唯一地标识数字处方文件和数字处方文件的签发方。在一些实施方式中，包括与签发方相对应的公钥的证书(例如，签发方的证书)本身可以被嵌入在被数字签名的数字处方文件中。例如，在一些实施方式中，签发方的证书不需要单独和/或安全的传送。在一些实施方式中，数字处方文件可以使用任何数字介质来传送，并且可以使用安全或不安全的手段(例如，因为数字签名的性质可暴露在传输中修改文件的尝试)。

在一些实施方式中，数字处方文件的接收方(例如，透析机)不需要特定签发方的存在的先验知识。例如，在一些实施方式中，接收方已知或未知的任何签发方都可以签发有效(例如，可验证的)数字处方文件。在一些实施方式中，数字处方文件的签发方不需要特定接收方(例如，特定透析机)的先验知识。例如，在一些实施方式中，任何透析机都可以使用任何处方文件，而签发方不必事先知道该特定透析机的存在。

在一些实施方式中，包括与授权服务方相对应的公钥的证书(例如，证书授权方的证书)被预先加载在透析机上或由透析机接收。在一些实施方式中，证书授权方被授权为被批准提供数字处方文件的签发方签署证书(例如，签发方证书)。在一些实施方式中，透析机可以使用签发方的证书的签名者(例如，证书授权方)作为唯一的授权和指示来确定数字处方文件的签发方(例如，签名者)是被授权的签发方。

在一些实施方式中，通过使用证书授权方验证签发方的身份，不需要由透析机一个个地授权签发方，并且进而，可以在提前不知道原始来源或接收方的情况下安全地传送数字处方文件(例如，与特定签发方或特定接收透析机无关)。

在一些实施方式中，通过根据公钥加密方案对数字处方文件进行加密，只有拥有相应私钥的接收方才能解密文件并查看其原始内容。此外，通过使用数字签名，接收方可以确认签发方实际上是它们声称的身份，并且该文件自由签发方签名以来未被修改。

根据说明书和附图以及根据权利要求书，本文所包括的主题的其它方面、特征和优点将是显见的。

附图说明

图1是连接到网络的腹膜透析机的前透视图。

图2示出了用于在透析机、证书授权方和签发方之间传输信息的系统。

图3a示出了用于对数字处方文件进行加密和数字签名的示例性技术。

图3b示出了用于解密和检查数字处方文件的数字签名的示例性技术。

图4是连接到网络的血液透析机的前透视图。

图5是示出了连接的健康服务(“chs”)系统的一个示例的示意图。

图6是示例性计算机系统的框图。

各个附图中相似的参考符号指示相似的元件。

具体实施方式

本文描述的是一种以防篡改格式允许数字处方文件与彼此不具有先验知识的实体间进行传输的技术，在某些情况下，与传输介质的固有安全性(或缺乏安全性)无关，从而需要使用最少的资源来验证数字处方文件及其签发方的有效性。该技术还使得能够使用该技术来补充附加安全措施，包括但不限于加密和实时认证和/或授权，而无需固有地改变该技术。术语“数字处方文件”可以被理解为包括并指代一组编程指令，其可以用于执行由适当的医生或其它执业医师医学开出的医学治疗。在一些实施方式中，术语“处方”可以被理解为指医生实际上对患者开出的处方，并且可以被捕获在患者的电子健康记录(ehr，electronichealthrecord)中。该处方可以被适当地翻译、格式化、加密和/或以其它方式转换成数字处方文件，该数字处方文件包含用于医疗装置(例如，透析机)以执行开出的治疗的程序和/或指令集。

可以采用密码系统和方法来加密信息和/或认证信息源。例如，包括敏感信息的文件(例如，数字处方文件)可以在被发送到目的地之前被加密和/或数字签名。加密可以确保传输过程中通信的完整性和机密性，而数字签名可以确保内容的完整性而无需解密，并可以确保接收方可以正确验证源。

当文件被加密时，包括在原始文件中的被称为“明文”(例如，处方)的信息根据密码算法被转换成不同的形式。例如，包括文本字符串(例如，“helloworld”)的文件可以通过使用密钥对文件进行加密来转换为称为“密码文本”(例如，“3b582ec3d210a12c38541de975672b0272b9345”)的格式。截获加密文件的人将只能看到密文，而看不到原始明文。为了将密文转换回明文，收件人通常必须拥有与用于加密文件的密钥相对应的密钥。接收方拥有的密钥可以应用于密文以解密文件，从而再现明文。这样，加密信息的签发方可以确保只有拥有正确密钥的人才能查看敏感信息。

除了被加密之外，文件还可以由签发方进行数字签名。当对文件进行数字签名时，对明文进行散列处理(例如，对数据应用散列算法)，以产生摘要(例如，有时称为散列)。然后，使用与签发方相对应的私钥(例如，与上述针对解密描述的密钥不同的密钥)对摘要进行加密，从而产生数字签名。接收方可以通过以下方式验证签名：i)计算明文的摘要；ii)使用与签发方的私钥相对应的公钥来验证(例如解密)数字签名，以便再现摘要；iii)将计算的摘要与再现的(例如，解密的)摘要进行比较。如果计算的摘要和解密的摘要相等，则可以确认：i)文件自签名以来未修改；ii)签名人(例如，签发方)执行了签名操作。

因此，通过采用数字签名，接收方可以确认签发方实际上是它们声称的身份，并且该文件由于由签发方签名而未被修改。

诸如透析机之类的医学治疗机器(例如，家用透析机(“hdm，homedialysismachine”))可以被配置为接收数字处方文件，该数字处方文件定义了要施用于患者的医学治疗(例如，透析治疗)的参数。可以以这样一种方式来准备和传送数字处方文件，使得医学治疗机器可以在不具有特定签发方的任何先验知识的情况下确认数字处方文件的签发方是被授权的签发方。例如，数字处方文件可以由签发方使用签发方唯一的私钥进行数字签名。被签名的数字处方文件通过安全或不安全的介质传递到医学治疗机器。医学治疗机器读取数字处方文件，识别声称的签发方，并确认声称的签发方是被授权的签发方。

在一些实施方式中，医学治疗机器通过验证与签发方相对应(例如，与用于对数字处方文件进行数字签名的签发方的私钥相对应)的证书由受信任的授权服务方(例如，负责验证签发方的身份并证明与此类签发方相对应的公钥的所有权的签发方的已知授权者)数字签名来证明所声称的签发方是被授权的签发方，这将在以下更详细地描述。

在一些实施方式中，签发方可以提前与证书授权方(例如，由医学治疗机器信任以授权签发方的证书授权方)进行通信以获得被授权状态。例如，签发方可以将其公钥提供给证书授权方以进行验证，并且证书授权方可以验证签发方的身份并作为回馈提供签发方证书。签发方证书(包括签发方的公钥)由证书授权方使用证书授权方的私钥进行数字签名。签发方证书可以与数字处方文件一起提供给医学治疗机器。可以使用医学治疗机器可访问的证书授权方的公钥来验证签发方证书实际上被证书授权方签名。由于证书授权方是受信任的实体，因此医学治疗机器可以将签发方的证书(例如，签发方的公钥)中包含的信息视为可信。然后，医学治疗机器可以使用签发方的公钥来确认数字处方文件实际上是由被授权的签发方签名的，并且自签署以来未被修改。以这种方式，签发方不需要由医学治疗机器单独授权，并且进而可以安全地传送数字处方文件而无需提前知道原始来源或接收方(例如，与特定签发方或特定接收方医学治疗机器无关)。

在一些实施方式中，医学治疗机器可以通过与第三方授权服务方进行通信来确认所声称的签发方是被授权的签发方，第三方授权服务方可以向医学治疗机器提供已知与被授权的签发方相对应的公钥。然后，医学治疗机器可以使用公钥来确认数字处方文件实际上是由被授权的签发方签名的，并且一旦签名未被修改。

除了由签发方进行数字签名之外，数字处方文件还可以使用签发方已知的公钥进行加密。公钥具有可以预先加载在医学治疗机器上的对应的私钥。在一些实施方式中，私钥可供医学治疗机器使用以从受信任的源下载。在一些实施方式中，通过将加密的数字处方文件发送到受信任的处理器进行解密并作为回馈接收解密的文件，私钥可供医学治疗机器使用。在接收到加密的数字处方文件之后，医学治疗机器可以使用相应的私钥来解密数字处方文件。因为可以将私钥预加载到所有医学治疗机器上(例如，在制造时或之后的任何时间)，所以可以将数字处方文件安全地传递到任何医学治疗机器，并由医学治疗机器解密而不受限制。在一些实施方式中，数字处方文件用对称密钥加密，然后对称密钥本身使用公钥加密。

在一些实施方式中，医学治疗机器可以是腹膜透析机器。图1示出了被配置为接收数字处方文件的pd系统100的一个示例。在一些实施方式中，pd系统100被配置为在患者的家中使用(例如，家用pd系统)。pd系统100包括安置在推车104上的pd机(也称为pd循环器)102。pd机102包括壳体106、门108和盒接口，当一次性pd盒放置在形成于盒接口与关闭的门108之间的盒隔室内时该盒接口接触该一次性pd盒。加热器托盘116位于壳体106的顶部。加热器托盘116的尺寸和形状被设计成可接纳一袋透析液(例如5升的透析液袋)。pd机102还包括诸如触摸屏118和控制面板120之类的用户界面，其可以由用户(例如，护理者或患者)操作以允许例如设置、启动和/或终止pd治疗。

透析液袋122悬挂于手推车104的侧面的指状物上，并且加热器袋124位于加热器托盘116中。透析液袋122和加热器袋124分别通过透析液袋管线126和加热器袋线128连接到盒。透析液袋管线126可用于在使用期间将透析液从透析液袋122传递至盒，并且加热器袋管线128可用于在使用期间将透析液在盒与加热器袋124之间来回传递。另外，患者管线130和排出管线132连接到盒。患者管线130可以通过导管连接到患者的腹部，并且可以在使用过程中用于在透析盒和患者的腹膜腔之间来回传递透析液。排出管线132可连接到排出部或排出容器，并可用于在使用期间将透析液从盒传递到排出部或排出容器。

触摸屏118和控制面板120允许操作员向pd机102输入各种治疗参数并以其它方式控制pd机102。另外，触摸屏118用作显示器。触摸屏118用于向患者和pd系统100的操作者提供信息。例如，触摸屏118可以显示与要应用于患者的透析治疗有关的信息，包括与处方有关的信息，这将在下面更详细地描述。

pd机102包括位于pd机102内的处理模块101，其被配置为与触摸屏118和控制面板120通信。处理模块101被配置为从触摸屏118和控制面板120接收数据并基于所接收的数据控制pd机102。例如，处理模块101可以调整pd机102的操作参数。在一些实施方式中，处理模块101是由motorola，inc.制造的mpc823powerpc装置。

pd机102被配置为连接到网络110。pd机102包括被配置为实现到网络110的连接的收发器112。其它医疗装置(例如，外围装置或监视器、其它透析机等)可以配置为连接到网络110并与pd机102通信。类似地，任务是验证签发方的身份并证明与签发方相对应的公钥的所有权的一个或多个远程实体、例如数字处方文件的签发方和/或授权服务方可能能够连接到网络110并与pd机102通信，以便提供用于在pd机102上实施的数字处方、数字证书和/或可用于验证数字签名的公钥。可以通过基于云的服务(例如，连接健康服务(“chs”))建立到网络110的这种连接，这将在下面更详细地描述。

图2示出了用于在透析机(“dm”)102、证书授权方(“ca”)202和签发方204之间传递信息的系统。ca202可以是dm102信任来授权和认证签发方204的身份的第三方，并且签发方204可以是试图向dm102提供处方的任何实体、例如医院或诊所。

在向dm102提供处方之前，签发方204可以与ca202通信以验证其身份并获得被授权的状态。ca202的任务是确认签发方204实际上就是它们所说的身份，并且还核实签发方204具有向dm102发出处方的权限、信誉和/或资格。在ca202认为签发方204被授权发出处方之后，签发方204向ca202提供签发方公钥206。在确认签发方公钥206实际上与签发方204相对应之后，ca202提供签发方证书208授权给签发方204。签发方证书208包括签发方公钥206，并且由ca202使用与ca202相对应的私钥(例如，ca私钥209)进行数字签名。现在被授权的签发方204能够向dm102提供处方。

签发方204可以创建要提供给dm102的处方。该处方可以以dm102可读的明文来定义。例如，dm102可以读取该明文中包括的一组指令并根据指令执行功能。处方可以包括诸如在循环的填充阶段要使用的流率、在循环的排出阶段要使用的流率、要执行的治疗周期次数、要在每个治疗周期中执行的循环的次数、每个循环要使用的填充体积、每个循环要使用的停延时间等之类的指令。

处方作为提供给dm102的数字处方文件210的一部分被包括。为了保护其中包含的信息的私密性，可以使用对应于dm102和其它dm的公钥(例如，dm公钥211)对数字处方文件210进行加密。在一些实施方式中，dm公钥211是已知的并且对于试图向dm102提供加密信息的任何签发方204是可访问的。在一些实施方式中，ca202可以在验证签发方204的身份之后向签发方204提供dm公钥211。对应于dm公钥211的dm私钥212可以存储在dm102上，或者可以以其它方式由dm102访问。例如，dm私钥212可以在dm102制造时或之后的任何时间存储在dm102上。在接收到数字处方文件210之后，dm102可以使用dm私钥212来解密数字处方文件210并获得处方的明文。dm102还可以使用解密的数字处方文件来识别数字处方文件210的特定签发方204。

dm公钥211和dm私钥212不仅对应于特定的dm102，而且还对应于被包括作为系统的一部分的任何相关的dm。即，dm私钥212可以存储在所有相关的dm上，并且可用于解密使用dm公钥211加密的信息。因此，签发方204可以安全地传送数字处方文件210，而无需提前知道特定接收方dm，并且可以在dm102得知签发方204的身份之前被dm102解密(或者，在某些情况下，dm102从未需要得知签发方204的特定身份，如下文有更详细的说明)。

因为dm公钥211可能是周知的(例如，包括未被授权向dm102提供处方的签发方)，所以接收到的加密数字处方文件210在没有进一步验证的情况下不一定是可安全实施的。例如，未被授权提供处方的某人可以获得dm公钥211，创建包括危险指令的处方，使用dm公钥211加密处方，并将加密的处方提供给dm。为了防止这种情况，dm102被配置为在信任数字处方文件210之前验证签发方204的身份。

除了被加密之外，数字处方文件210还用与签发方204相对应的私钥(例如，签发方私钥213)进行数字签名。可以使用签发方公钥206来验证数字签名，该签发方公钥206对应于签发方私钥213。如果数字签名得到验证，则确认i)数字处方文件210自签名以来未被修改，并且ii)签名者(例如，签发方204)执行了签名操作。下面参考图3b描述关于如何使用签发方公钥206验证数字签名的更多信息。

在一些实施方式(例如，数字处方文件210被加密的实施方式)中，dm102使用解密的数字处方文件来识别数字处方文件210的签发方204。解密的数字处方文件可以包括与特定签发方204有关的识别信息。dm102然后与ca202通信(例如，查询)以获得与签发方204相对应的签发方公钥206。例如，在解密数字处方文件210并识别出所声称的签发方204之后，dm102可以询问ca202该所声称的签发方204是否是被授权的签发方(例如，被授权提供处方的签发方)。如果声称的签发方204被授权提供处方，则ca202可以提供与已知被授权的签发方204相对应的签发方公钥206。dm102可以使用签发方公钥206来确认数字处方文件210实际上已经由被授权的签发方204签名并且自被签名以来未被修改，如下文更详细地描述。

在一些实施方式中，dm102可以获取签发方公钥206，确认所声称的签发方204被授权提供处方，并且无需与ca202进行通信(例如，同时通信)就可以验证数字签名。如果dm102无法与ca202通信(例如，由于缺乏因特网访问)，则可以执行这种类型的验证。

如上所述，在向dm102提供处方之前，签发方204可以通过与ca202通信来获得被授权的状态。一旦签发方204被授权，ca202就向签发方204提供签发方证书208。签发方证书208包括签发方公钥206，并且由ca202使用ca私钥209进行数字签名。签发方证书208可以与数字处方文件210一起提供给dm102。

ca证书214被存储在dm102上。可以在接收到处方之前(例如，在dm102制造时或之后的任何时间)将ca证书214提供给dm102。在一些实施方式中，ca证书214被存储在dm102上或被存储在dm102可访问的位置(例如，经由网络110)。在一些实施方式中，由dm102以指示ca是处方签发的受信授权者的方式接收ca证书214。例如，可以经由只有处方签发方的受信授权者才可访问的安全通道来传递ca证书214。在一些实施方式中，ca证书214被存储在包括与一个或多个受信证书授权方有关的信息的数据存储库中。ca证书214包括对应于ca202的公钥(例如，ca公钥216)。可以使用ca公钥216来验证签发方证书208上的数字签名。如果数字签名被验证，则确认：i)签发方证书208自从被ca202签名以来未被修改，并且ii)签名者(例如，ca202)执行了签名操作。因为ca202是可信实体，所以dm102可以将包括在签发方证书208中的信息(例如，签发方公钥206)视为可信。dm102然后可以使用签发方证书208中包括的签发方公钥206来验证数字处方文件上的签名，从而确认数字处方文件210实际上已经由签发方204(例如，现在已知被信任和授权的人)签名，并且自签名以来未进行任何修改。dm102然后可以实施处方所定义的治疗。

数字处方文件210可以包括处方，该处方在一些实施方式中可以是明文格式。该处方可由透析系统100使用以执行透析治疗。数字处方文件210可以包括患者属性，例如患者id、要使用的循环器的序列号、与将循环器分配给患者的日期和时间有关的信息、与患者提供者(例如签发方)关联的id、与患者诊所关联的id、患者的名字和姓氏、患者的最小腹膜容积和患者的最大腹膜容积。在一些实施方式中，数字处方文件210可以包含患者的多个处方(例如六个)。数字处方文件210可以包括日期/时间戳，该日期/时间戳识别创建和/或分配给患者的每个处方的时间。

数字处方文件210还包括与每个处方有关的属性。例如，处方可以具有与处方序列id、处方id、名称(例如，将在dm102上显示)、在提供治疗时要使用的一次性管组的类型(例如，“低特征”、“中等特征”、“高特征”)、在提供治疗时要使用的导管的品质(例如“慢”、“平均”、“快”)，要在一个循环的填充阶段中使用的流率、要在一个循环的排出阶段中使用的流率以及治疗要结束的要求时间。

在处方中，患者可以接受一周期或多周期治疗。每周期可以有一个循环或多个重复循环。在特定周期中重复的循环可能具有相同的设置。在一些实施方式中，数字处方文件210包括与特定处方周期和/或循环有关的属性，例如处方周期id(例如，给出该周期在治疗序列中的位置)、特定周期中包括的循环的数量、循环类型代码(例如“循环器”、“手动”、“pd+”、“最后填充”)、周期中每个循环的请求填充体积、该周期中每个循环的请求停延时间、周期中每个循环的预期超滤体积，排出模式(例如“标准”、“完全”)和周期中每个循环的请求排出体积。在一些实施方式中，数字处方文件210还包括与特定治疗所规定的袋类型有关的属性。

图3a示出了可以用于对数字处方文件(例如，图2的数字处方文件210)进行加密300并且对数字处方文件(例如，图2的数字处方文件210)进行数字签名310的技术的示例。

如上所述，数字处方文件210包括成明文形式的处方，该处方定义了要由dm102应用于患者的透析治疗的一个或多个参数。数字处方文件210可以由签发方(例如，图2的签发方204)准备。可以使用诸如非对称密码系统之类的密码系统(有时称为公钥密码)来加密数字处方文件210。例如，可以使用对应于dm102(以及例如其它相关dm)的dm公钥304来加密302包含在数字处方文件210中的信息。根据考虑了dm公钥304的加密算法将数字处方文件210中的信息转换为不同形式，从而产生加密的数字处方文件306。该加密算法可以基于不容许存在高效解的数学问题。加密302的结果是，加密的数字处方文件306可以采用字母数字代码的形式，这对任何可能截获加密的数字处方文件306的人都是难以理解的。因此，加密302有助于确保数字处方文件210中包含的信息在传输过程中保持机密。

数字处方文件210也由签发方204进行数字签名310。当我们说数据是被“数字签名”时，我们的意思是数字签名已经被附加到数据上。数字签名通常包含数据的被加密的摘要。如图3a所示，为了产生摘要314，根据散列算法312对数字处方文件210的内容进行散列处理。在一些实施方式中，散列算法312是被设计为单向函数(例如，无法逆向的函数)的数学算法。然后，使用对应于签发方204的签发方私钥318对摘要314进行加密316，从而创建数字签名320。然后将数字签名320和加密的数字处方文件306提供给dm102。

图3b示出了可由dm102用来验证加密的数字处方文件306的数字签名320的技术的一个示例。在该示例中，该技术包括解密330加密的数字处方文件306并检查340数字签名320。在数字处方文件未被加密、因此不需要解密的实施方式中，可以省略解密330步骤。

在从签发方204接收到加密的数字处方文件306之后，dm102使用与dm公钥304相对应的dm私钥334解密332该文件。例如，私钥334可以提供加密算法将难以理解的字母数字代码转换回明文所需的信息，从而再现原始数字处方文件210。

因为数字处方文件210是使用公钥(例如，dm公钥304)加密的，所以未被授权提供处方的某人仍然可能会获得dm公钥304并将加密的处方提供给dm102。因此，为了确保数字处方文件210来自可信赖的来源并且可以安全实施，可以通过检查340数字签名320来验证数字处方文件的来源(例如，签发方204)。

在将加密的数字处方文件306解密332以再现其中包含的明文后，根据散列算法312对该明文进行散列处理以产生计算的摘要342。包括摘要314的加密版本的数字签名320使用对应于签发方私钥318的签发方公钥346解密344，以便再现摘要314。然后将计算的摘要342与再现的(例如，解密的)摘要314进行比较。如果计算的摘要342和再现的如果摘要314相等，则可以确认数字处方文件210自已经由签发方204进行了数字签名以来未被修改，并且签发方204是执行签名操作的那个。在本文中有时将再现摘要、使用散列算法312计算摘要以及将再现的摘要314与计算的摘要342进行比较的步骤统称为验证数字签名320。

如上所述，dm102可以通过多种方式获得签发方公钥346以验证数字签名320。在一些实施方式中，dm102与ca(图2的202)进行通信以获取签发方公钥346。例如，在解密加密的数字处方文件306并识别出所声称的签发方204之后，dm102可以询问ca202所声称的签发方204是否被授权提供处方。如果声称的签发方204被授权提供处方，则ca202可以提供与已知被授权的签发方204相对应的签发方公钥346。dm102可以使用签发方公钥346来确认数字处方文件210实际上已由被授权的签发方204签名并且自被签名以来未被修改。

在一些实施方式中，dm102可以直接从签发方204获得签发方公钥346。例如，签发方204可以与加密的数字处方文件306一起向dm102提供签发方证书(图2的208)，签发方证书包括签发方公钥346并且由ca202使用ca私钥209签名。存储在dm102上的ca证书(图2的214)包括与ca私钥209相对应的ca公钥216。签发方证书208上的数字签名可以由dm102使用ca公钥216进行验证。如果数字签名被验证，则确认签发方证书208自从由ca202签名以来未被修改，并且ca202是执行签名操作的那个。因为ca202是可信实体，所以dm102可以将包括在签发方证书208中的信息(例如，签发方公钥206)视为可信。dm102然后可以使用签发方证书208中包括的签发方公钥206来验证伴随加密的数字处方文件306的数字签名。以这种方式，在一些实施方式中，dm102可以确认签发方204被授权提供处方，而dm102不曾知道签发方204的实际身份。

在一些实施方式中，可以使用便携式存储介质将数字处方文件210和签发方证书208提供给dm102。例如，数字处方文件210和签发方证书208可以从诸如usb闪存驱动器的便携式存储装置上载到dm102。在一些示例中，数字处方文件210在被上载到usb闪存驱动器之前被数字签名和加密。可以将usb闪存驱动器插入到dm102的usb端口中，并且可以上传数字处方文件210。dm102然后可以解密数字处方文件210并验证数字签名。以此方式，不需要使用通信网络传递数字处方文件210。

因此，对于dm102不能访问网络(图1的110)和/或互联网的情况，经由usb闪存驱动器提供数字处方文件210可能是有益的。如上所述，仅使用dm私钥212和包含在数字处方文件210、签发方证书208和ca证书214中的信息，dm102可以确认签发方204是被授权的签发方(例如，被授权提供处方)，并且还可解密数字处方文件210以获取要在dm102上实施的处方。可以在不与ca202同时进行通信的情况下执行对签发方204的被授权的状态的验证。

尽管已经描述了某些实施方式，但是其它实施方式也是可能的。

尽管已将dm私钥和ca证书描述为存储在透析机上，但在一些实施方式中，dm私钥和ca证书可以存储在dm可以访问的另一个位置。例如，dm私钥和ca证书可以存储在dm可以经由网络访问的服务器上。

在一些实施方式中，ca证书可以被定期更新。例如，可以根据计划的轮换时间来更新ca证书和/或其中包含的ca公钥。透析机可以用更新的版本替换ca证书和/或ca公钥的当前版本，该更新的版本随后可以用于检查签发方证书上的ca签名。

尽管透析机已被描述为通过网络与远程实体通信，但是在一些实施方式中，透析机被配置为直接与远程实体通信。例如，收发器可以被配置为实现透析机与远程实体之间的直接连接，该远程实体例如为数字处方文件的签发方和/或证书授权方。

尽管已经在很大程度上参照透析机、特别是pd机描述了本文所述的系统和技术，但是其它类型的医学治疗系统和/或机器也可以使用该系统和技术来传输数字处方文件并验证数字处方文件及其签发方的有效性。可以采用本文描述的技术的其它医学治疗系统的示例包括血液过滤系统、血液透析过滤系统、血液分离系统、心肺旁路系统和血液透析(“hd”)系统。在一些实施方式中，医学治疗系统是被配置为在患者家中使用的透析机(例如，家用透析机(“hdm”))。hdm可以成家用pd机或家用血液透析(“hd”)机的形式。

图4示出了hd系统400，其被配置为以类似于上述方式的方式接收数字处方文件。在一些实施方式中，hd系统400被配置为在患者家中使用(例如，家用hd系统)。hd系统400包括hd机402，形成血液回路的一次性血液构件组404连接到该hd机402。在血液透析期间，血液构件组404的动脉和静脉患者管线406、408连接到患者，并且血液通过血液构件组404的各种血液管线和构件(包括透析器410)循环。同时，透析液循环通过由透析器410和连接到hd机402的各种其它透析液构件和透析液管线形成的透析液回路。这些透析液构件和透析液管线中的许多位于hd机402的壳体403内，因此在图4中不可见。透析液与血液一同通过透析器410。穿过透析器410的血液和透析液通过透析器410的半渗透性结构(例如，半渗透性膜和/或半渗透性微管)彼此分离。因为这种布置，毒素从患者血液中清除并收集在透析液中。离开透析器410的过滤后的血液返回给患者。离开透析器410的透析液包括从血液中去除的毒素，通常被称为“用过的透析液”。用过的透析液从透析器410引导到排出口。

血液构件组404的构件之一是空气释放装置412。空气释放装置412包括自密封排气组件，该组件允许空气通过，同时禁止(例如，防止)液体通过。因此，如果在治疗期间通过血液回路的血液包含空气，则当血液通过空气释放装置412时，空气将被排放到大气中。

如图4所示，透析液容器424经由透析液供应管线426连接到hd机402。排出管线428和超滤管线429也从hd机402延伸。透析液供应管线426、排出管线428和超滤管线429流体连接到hd机402的壳体403内的形成透析液回路的一部分的各种透析液构件和透析液管线。在血液透析期间，透析液供应管线426将新鲜的透析液从透析液容器424运送到位于hd机402内的部分透析液回路。如上所述，新鲜的透析液通过形成透析液回路的各种透析液管线和透析液构件(包括透析器410)循环。当透析液通过透析器410时，它从患者的血液中收集毒素。所得的用过的透析液通过排出管线428从透析液回路被载送到排出口。当在治疗过程中进行超滤时，用过的透析液和从患者抽取的多余流体的组合通过超滤管线429运送到排出口。

血液构件组404被固定到附接到hd机402的前部的模块430。模块430包括能够驱动血液通过血液回路的血液泵432。模块430还包括能够监测流经血液回路的血液的各种其它仪器。模块430包括门，如图4所示，该门在关闭时与模块430的前面配合形成大小和形状可接收血液构件组404的隔室。在关闭位置，门将血液构件组404的某些血液构件压靠到暴露在模块430的前面上的相应仪器上。这种布置有助于控制通过血液回路的血液流动以及监视通过血液回路的血液。

血液泵432可以由血液泵模块434控制。血液泵模块434包括显示窗口、开始/停止键、向上键、向下键、液位调节键和动脉压力端口。显示窗口显示在血液泵操作期间的血液流率设置。启动/停止键启动和停止血液泵432。向上和向下键增加和降低血液泵432的速度。液位调节键提高动脉滴注室内的流体液位。

药物泵492也从hd机402的前部延伸。药物泵492是注射泵，其包括被配置为保持血液构件组404的注射器478的夹持机构。药物泵492还包括步进马达，其被配置成使注射器478的柱塞沿着注射器478的轴线移动。步进马达的轴固定到柱塞上，使得当步进马达在第一方向上操作时，该轴迫使柱塞往内进入注射器478，当在第二方向上操作时，轴将柱塞从注射器478中拉出。因此，药物泵492可用于在使用过程中将注射器478的液体药物(例如肝素)经由药物输送管线474注射到血液回路中，或者在使用过程中经由药物输送管线474将液体从血液回路中抽出到注射器478中。

hd机402包括触摸屏418和控制面板420。触摸屏418和控制面板420允许操作者向hd机402输入各种治疗参数和以其它方式控制hd机402。另外，触摸屏418用作显示器。触摸屏418的功能是向患者和hd系统400的操作员提供信息。例如，触摸屏418可以显示与将要应用于患者的透析治疗有关的信息，包括与处方有关的信息，如上所述。

hd机402包括位于机器内并且被配置为与触摸屏418和控制面板420通信的处理模块401。处理模块401被配置为从触摸屏418和控制面板420接收数据并根据接收到的数据控制hd机402。例如，处理模块401可以调整hd机402的操作参数。

hd机402被配置为连接到网络422。hd机402包括收发器405，其被配置为实现连接到网络422。其它医疗装置(例如，外围装置或监视器、其它透析机等)可以被配置为连接到网络422并与hd机402通信。类似地，任务是验证签发方的身份并证明对应于签发方的公钥的所有权的一个或多个远程实体、例如数字处方文件的签发方和/或授权服务方可能能够连接到网络422并与hd机402通信，以便提供用于在hd机402上实施的数字处方，数字证书和/或可用于检查数字签名的公钥，如上所述。

在一些实施方式中，透析机(dm)502(例如，类似于图1的pd机102和/或图4的hd机402)被配置成通过连接的系统(例如，经由图1的网络110和/或图4的网络422)与证书授权方(例如，图2的ca202)和/或签发方(例如，图2的签发方204)通信。图5是示出了连接的健康服务(“chs，connectedhealthservice”)系统500的一个示例的示意图，该系统可以例如包括ch云510和ch网关520，它们也可以统称为交互单元。ch云510可以是基于云的应用，其用作chs系统500的构件间的通信管道(例如，促进数据的传输)。ch网关520可以用作作为chs系统500的一部分的透析机间的通信装置(例如，标准通信装置)。ch网关520与dm502和ch云510通信，并且被配置为从ch云510接收数据并将数据提供给dm502。在一些示例中，数字处方文件210被加密，然后被上传到ch云510。在一些实施方式中，在上传到ch云510之前，可以通过可以是签发方204的系统的一部分的和/或由因特网或基于云的系统提供的处理系统504检查数字处方文件210的兼容性和/或以其它方式处理。dm502可以在ch云510上轮询可用文件(例如，经由ch网关520)，并且dm502可能会临时存储可用文件进行处理。在ch云510上有多个数字处方文件可用的情况下，dm502可以识别并实施较新的数字处方文件(例如，基于与数字处方文件相关联的日期)。这样的日期识别可以允许dm502实施与特定患者相关联的最新处方(例如，最最新的处方)。然后，患者可以遵循患者确认过程以在处方数据被编程到dm502中以便实施之前接受数字处方文件210。

在一些实施方式中，ch云510可以包括充当用于执行数字签名操作的代理的构件。例如，签发方204可以与ch云510通信以对其自身进行认证。在验证了签发方204的身份之后，ch云510可以确认其有权访问签发方私钥并代表签发方204执行数字签名操作。

可以根据一种或多种密码协议来保护dm502与ca202和/或签发方204之间的通信。例如，可以采用传输层安全(“tls，transportlayersecurity”)协议来提供网络110、422的通信安全性。tls可以在dm502与ca202和/或签发方204之间提供保密性和数据完整性。tls根据一种或多种标准(例如高级加密标准(“aes，advancedencryptionstandard”))采用加密。在一些实施方式中，除了数字处方文件210之外的其它数据可以在chs系统500的构件之间交换，包括在dm502和签发方204之间传输的治疗数据和/或装置维护数据。

在一些实施方式中，交互单元是使医疗装置服务提供商(例如，透析服务提供商)和患者(例如，透析患者)能够容易地在护理的生命周期中以电子方式交换数据的应用和服务平台。交互单元生态系统可以分为三个主要区域。第一区域可以是患者可以接受透析治疗的家用空间(例如，在透析机502处)。通过装置代理和网关连接(例如，ch网关520)的组合，患者可以下载新的处方和配置文件，将生物生命测量结果无线集成到他们的治疗中，和/或将关键治疗数据上传到云中(例如，ch云510)。第二区域是建立在最新的物联网(iot)平台技术之上的一系列后端业务和数据处理服务(例如处理系统504)。云(例如，ch云510)可以是用于交互的通信网络中心和传送系统。云便于治疗和装置数据文件的捕获、存储和/或发布。第三区域是与服务提供商(例如，签发方204，ca202)一起使用的集成应用和服务。集成应用和服务允许服务提供商创建和管理处方和/或配置，而无需集成所需的逻辑器件来正确检查目标装置的兼容性或格式。

图6是一种示例性计算机系统600的框图。例如，参照图1和图4，处理模块101、401可以是这里描述的系统600的示例。系统600包括处理器610、存储器620、存储装置630和输入/输出装置640。构件610、620、630和640中的每个可以例如使用系统总线650互连。处理器610能够处理在系统600内执行的指令。处理器610可以是单线程处理器、多线程处理器或量子计算机。处理器610能够处理存储在存储器620中或存储在存储装置630上的指令。处理器610可以执行诸如使透析系统根据在数字处方文件中接收的处方来执行与透析治疗有关的功能的操作。

存储器620在系统600内存储信息。在一些实施方式中，存储器620是计算机可读介质。存储器620可以例如是易失性存储单元或非易失性存储单元。在一些实施方式中，存储器620存储与患者身份有关的信息。在一些实施方式中，存储器620存储与签发方和/或证书授权方有关的信息，例如与特定签发方和/或证书授权方相对应的证书和/或公钥。在一些实施方式中，存储器620存储对应于透析机的私钥(例如，dm私钥)。

存储装置630能够为系统600提供大容量存储。在一些实施方式中，存储装置630是非暂时性计算机可读介质。存储装置630可以包括例如硬盘装置、光盘装置、固态驱动器、闪存驱动器、磁带或某些其它大容量存储装置。存储装置630可以替代地是云存储装置，例如，逻辑存储装置，其包括分布在网络上并使用网络访问的多个物理存储装置。在一些实施方式中，存储在存储器620上的信息也可以或替代地存储在存储装置630上。

输入/输出装置640为系统600提供输入/输出操作。在一些实施方式中，输入/输出装置640包括网络接口装置(例如，以太网卡)、串行通信装置(例如，rs-23210端口)和/或无线接口装置(例如，短距离无线通信装置，802.11卡、3g无线调制解调器或4g无线调制解调器)中的一个或多个。在一些实施方式中，输入/输出装置640包括驱动器装置，该驱动器装置被配置为接收输入数据并将输出数据发送到其它输入/输出装置，例如键盘、打印机和显示装置(例如触摸屏118、418)。在一些实施方式中，使用移动计算装置、移动通信装置和其它装置。

在一些实施方式中，系统600是微控制器。微控制器是在单个电子封装中包含计算机系统的多个元件的装置。例如，单个电子封装可以包含处理器610、存储器620、存储装置630和输入/输出装置640。

尽管在图6中描述了一种示例性处理系统，但是上述主题和功能操作的实施方式可以以包括本说明书中公开的结构及其结构等同形式的其它类型的数字电子电路或计算机软件、固件或硬件或它们中的一个或多个的组合来实施。本说明书中描述的主题的实施方式可以实施为一个或多个计算机程序产品，即，在有形程序载体(例如计算机可读介质)上编码的计算机程序指令的一个或多个模块，用于由处理系统执行或控制处理系统的操作。所述计算机可读介质可以是机器可读存储装置、机器可读存储基体、存储器装置、实施机器可读传播信号的物质的组合或它们中的一个或多个的组合。

术语“计算机系统”可以涵盖用于处理数据的所有设备、装置和机器，例如包括可编程处理器、计算机或多个处理器或计算机。除了硬件之外，处理系统还可以包括为所讨论的计算机程序创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统或它们中的一个或多个的组合的代码。

计算机程序(也称为程序、软件、软件应用程序、脚本、可执行逻辑或代码)可以用任何形式的编程语言(包括编译或解释语言、声明性或过程语言)编写，并且可以以任何形式部署，包括作为独立程序或作为模块、组成、子例程或适用于计算环境的其它单元。计算机程序不一定与文件系统中的文件相对应。程序可以存储在保存其它程序或数据的文件的一部分中(例如，存储在标记语言文档中的一个或多个脚本)，存储在专用于所讨论的程序的单个文件中或多个协调文件中(例如，存储一个或多个模块、子程序或部分代码的文件)。可以部署计算机程序以在一台计算机或在位于一个站点上或分布在多个站点上并通过通信网络互连的多台计算机上执行。

适用于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性或易失性存储器、介质和存储装置，包括例如半导体存储器装置，例如eprom、eeprom和闪存装置；磁盘，例如内部硬盘或可移动磁盘或磁带；磁光盘；以及cd-rom和dvd-rom磁盘。处理器和存储器可以由专用逻辑电路补充或并入专用逻辑电路中。系统的构件可以通过任何形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“lan”)和广域网(“wan”)，例如因特网。

已经描述了本发明的许多实施方式。然而，将理解，可以在不脱离本发明的精神和范围的情况下进行各种修改。因此，其它实施方式在所附权利要求的范围内。