本申请要求2016年3月7日提交的序列号为62/304,603的美国临时专利申请的优先权,通过引用的方式将其明示地并入到本文中。本发明总体上涉及医疗系统中的无线编程技术,并且具体地涉及对用于可编程医疗系统中的无线编程设备(例如,临床医师编程器)进行认证。
背景技术:
:医疗系统(例如,可植入医疗系统)通常包括一个或多个可植入医疗设备和能够控制植入的医疗设备的操作并从植入的医疗设备获取生理数据或操作状态数据的外部遥测控制器。可植入医疗系统还可以包括外部编程器(例如,临床医师编程器或患者编程器),其可以将操作参数或程序下载到遥测控制器中以设置或修改可植入医疗系统的操作配置和/或上传来自遥测控制器的信息(例如,生理数据或操作状态数据)。该外部编程器和可植入医疗系统的遥测控制器之间的通信可以通过无线方式(例如,射频(rf)通信)方便地完成。一种在外部编程器和遥测控制器之间进行无线通信的方法使用根据蓝牙技术的短程rf通信。可以通过交换或存储共享密钥(称为“链接密钥(linkkey)”)对外部编程器和遥测控制器进行配对,该共享密钥用于随后对外部编程器进行认证以及对在外部编程器和遥测控制器之间发送的数据和命令进行加密。因此,通过设计,仅允许该外部编程器和之前配对的任何外部编程器与遥测控制器通信。然而,通过蓝牙通信链路与外部编程器通信的现有的遥测控制器可能容易受到未授权用户的无意或有意的劫持,这是因为在某些操作系统(例如linux)中,默认地可以秘密地获取或生成链接密钥。一旦获得共享链接密钥,任何设备就都可以使用共享链接密钥与遥测控制器通信。因此,可能出现对医疗设备的操作配置的不期望修改的潜在漏洞。因此,仍然需要防止或阻止对医疗设备(例如,在可植入医疗系统中使用的遥测控制器)的未授权编程。技术实现要素:根据本发明的第一方面,提供了一种医疗系统的医疗设备,其被配置为通过无线通信链路(例如,范围小于100英尺的无线通信链路)与外部编程器通信。所述医疗设备包括无线通信模块,其被配置为通过无线通信链路从所述外部编程器接收第一未加密版本的随机数和第一加密版本的随机数。在一个实施例中,所述无线通信模块是射频(rf)通信模块,例如,根据蓝牙协议或wi-fi协议与所述外部编程器通信的rf通信模块。所述医疗设备还包括控制电路(例如,微控制器),其被配置为基于所述第一未加密版本的随机数和所述第一加密版本的随机数对所述外部编程器执行认证过程,并且除非所述认证过程成功否则阻止所述外部编程器命令所述医疗设备执行动作(例如,允许修改所述医疗系统的至少一个操作参数)。所述无线通信模块可以硬连线到所述控制电路。所述无线通信模块可以被配置为通过在第一安全级别认证所述外部编程器来与所述外部编程器建立所述无线通信链路,向所述控制电路发送指示与所述外部编程器建立的所述无线通信链路的状态的状态消息,在这种情况下,所述控制电路可以被配置为在第二安全级别执行所述认证过程。在一个实施例中,所述控制电路被配置为:通过由所述第一未加密版本的随机数生成第二加密版本的随机数、将所述第一和第二版本的加密随机数进行比较、以及确定所述第一和第二版本的加密随机数是否匹配,来执行所述认证过程。在另一个实施例中,所述控制电路被配置为:通过解密所述第一加密版本的随机数以恢复第二未加密版本的随机数、将所述第一和第二版本的未加密随机数进行比较、以及确定所述第一和第二版本的未加密随机数是否匹配,来执行所述认证过程。所述无线通信模块可以被配置为:通过所述无线通信链路从所述外部编程器接收会话请求并将所述会话请求发送到所述控制电路,在这种情况下,所述控制电路可以被配置为响应于接收到所述会话请求而执行所述认证过程。所述控制电路可以被配置为:如果所述认证过程成功,则指示所述无线通信模块通过所述无线通信链路向所述外部编程器发送确认命令,以及如果所述认证过程失败,则指示所述无线通信模块通过所述无线通信链路向所述外部编程器发送非确认命令。在一个实施例中,为了阻止所述外部编程器命令所述医疗设备执行所述动作,所述医疗设备还包括被配置为向无线通信模块供电的电源和被配置为响应于用户动作而被触发的无线致动器(例如,被配置为响应于所述用户动作而被物理地触发的物理无线致动器(例如,按钮)),在这种情况下,所述控制电路可以被配置为:响应于所述无线致动器的触发而允许从电源向所述无线通信模块供电,以及如果在预定时间段内未完成所述认证过程和/或如果认证失败,则终止从所述电源向所述无线通信模块。在该实施例中,所述医疗设备还包括耦合在所述电源和所述无线通信模块之间的开关,在这种情况下,所述控制电路可以被配置为通过关闭所述开关来允许从所述电源向所述无线通信模块供电,并且通过打开开关来终止从所述电源向所述无线通信模块供电。所述控制电路可以包括计时器,其被配置为响应于所述无线致动器的触发而启动,以及如果所述认证过程成功则停止。所述控制电路可以被配置为如果所述计时器指示的所述预定时间段已经到期则打开所述开关。在另一个实施例中,所述控制电路被配置为:通过指示所述无线通信模块不通过所述无线通信链路将从所述外部编程器接收到的命令转发给所述控制电路来阻止所述外部编程器命令所述医疗设备执行所述动作。在另一个实施例中,所述无线通信模块被配置为通过所述无线通信链路将从所述外部编程器接收的命令转发给所述控制电路,并且所述控制电路被配置为通过忽略从所述无线通信模块转发的命令来阻止所述外部编程器命令所述医疗设备执行所述动作。在另一个实施例中,所述控制电路被配置为通过指示所述无线通信模块终止所述无线通信链路来阻止所述外部编程器命令所述医疗设备执行所述动作。在一个特定实施例中,所述医疗设备还包括外部遥测控制器,所述外部遥测控制器包括所述无线通信模块、所述控制电路和被配置为与至少一个可植入医疗设备无线通信的遥测电路。在这种情况下,所述可植入医疗设备可以被配置为感测患者的生理数据,并且所述遥测电路被配置为无线地接收由所述至少一个可植入医疗设备感测的所述生理数据。所述医疗设备可以包括假体和假体控制器,所述假体控制器电耦合到所述外部遥测控制器,其用于接收生理数据,并基于所述生理数据控制仿生假体。所述假体可以例如是仿生肢体,所述感测的生理数据是肌电图(emg)数据,并且所述假体控制器可被配置为基于所述感测的emg数据来控制所述仿生肢体的运动。根据本发明的第二方面,一种医疗系统包括外部编程器,其被配置为:存储第一加密算法;生成第一未加密版本的随机数;根据所述第一加密算法对所述第一未加密版本的随机数进行加密以生成第一加密版本的随机数;以及通过无线通信链路(例如,射频(rf)通信链路,举例来说,例如,蓝牙或wi-fi通信链路,例如,范围小于100英尺的蓝牙或wi-fi通信链路)发送所述第一未加密版本的随机数和所述第一加密版本的随机数。所述医疗系统还包括医疗设备,其被配置为:存储第二加密算法和解密算法中的一个,所述第二加密算法与所述第一加密算法相同,所述解密算法与所述第一加密算法相配;通过无线通信链路(例如,射频(rf)通信链路,举例来说,例如,蓝牙或wi-fi通信链路,例如,范围小于100英尺的蓝牙或wi-fi通信链路)接收所述第一未加密版本的随机数和所述第一加密版本的随机数;通过将所述第二加密算法和解密算法中的一个应用于所述第一未加密版本的随机数和所述第一加密版本的随机数,对所述外部编程器执行认证过程;以及除非所述认证程序成功,否则阻止所述外部编程器命令所述医疗设备执行动作(例如,允许修改所述医疗系统的至少一个操作参数)。所述医疗设备还可以被配置为:通过在第一安全级别认证所述外部编程器来建立与所述外部编程器的所述无线通信链路,并且在第二安全级别执行所述认证过程。在一个实施例中,所述医疗设备被配置为:通过由所述第一未加密版本的随机数生成第二加密版本的随机数、将所述第一和第二版本的加密随机数进行比较、以及确定所述第一和第二版本的加密随机数是否匹配,来执行所述认证过程。在另一个实施例中,所述医疗设备被配置为:通过解密所述第一加密版本的随机数以恢复第二未加密版本的随机数、将所述第一和第二版本的未加密随机数进行比较、以及确定所述第一和第二版本的未加密随机数是否匹配,来执行所述认证过程。所述外部编程器可以被配置为通过所述无线通信链路发送会话请求,在这种情况下,所述医疗设备可以被配置为通过所述无线通信链路接收会话请求,并且响应于接收到所述会话请求而执行所述认证过程。所述医疗设备可以被配置为:如果所述认证过程成功,则通过所述无线通信链路发送确认命令,并且所述外部编程器可以被配置为通过所述无线通信链路接收所述确认命令,并且响应于接收到确认命令,而通过无线通信链路发送命令以命令所述医疗设备执行所述动作。所述医疗设备可以被配置为:如果所述认证过程失败,则通过所述无线通信链路发送非确认命令,并且所述外部编程器可以被配置为通过所述无线通信链路接收所述非确认命令。在一个实施例中,为了阻止所述外部编程器命令所述医疗设备执行所述动作,所述医疗系统还包括被配置为建立无线通信链路的无线通信模块和被配置为响应于用户动作而被触发的无线致动器(例如,被配置为响应于所述用户动作而被物理地触发的物理无线致动器(例如,按钮));在这种情况下,所述医疗设备可以被配置为:响应于所述无线致动器的触发而打开所述无线通信模块,以及如果在预定时间段内未完成所述认证过程,则通过关闭所述无线通信模块。在另一个实施例中,为了阻止所述外部编程器命令所述医疗设备执行所述动作,所述外部编程器被配置为通过所述无线通信链路向所述医疗设备发送命令,并且所述医疗设备被配置为通过忽略通过所述无线通信链路从所述外部编程器接收的命令来阻止所述外部编程器命令所述医疗设备执行所述动作。在另一个实施例中,所述医疗设备被配置为通过终止所述无线通信链路来阻止所述外部编程器命令所述医疗设备执行所述动作。在一个特定实施例中,所述医疗系统还包括至少一个可植入医疗设备,并且所述医疗设备包括外部遥测控制器,所述外部遥测控制器被配置为与所述至少一个可植入医疗设备无线通信。在这种情况下,所述可植入医疗设备被配置为感测患者的生理数据,并且所述遥测电路被配置为无线地接收由所述至少一个可植入医疗设备感测的所述生理数据。所述医疗设备可以包括假体和假体控制器,所述假体控制器电耦合到所述外部遥测控制器,其用于接收生理数据,并基于所述生理数据控制仿生假体。例如,所述假体可以是仿生肢体,所述感测的生理数据是肌电图(emg)数据,并且所述假体控制器被配置为基于所述感测的emg数据来控制所述仿生肢体的运动。根据本发明的第三方面,提供了一种通过无线通信链路(例如,射频(rf)通信链路,举例来说,例如,蓝牙或wi-fi通信链路,例如,范围小于100英尺的蓝牙或wi-fi通信链路)在医疗系统的医疗设备和外部编程器之间通信的方法。所述方法包括:通过所述无线通信链路从所述外部编程器接收第一未加密版本的随机数和第一加密版本的随机数;基于所述第一未加密版本的随机数和所述第一加密版本的随机数对所述外部编程器执行认证过程;以及除非所述认证过程成功否则阻止所述外部编程器命令所述医疗设备执行动作(例如,允许修改所述医疗系统的至少一个操作参数)。所述方法还包括:通过在第一安全级别认证所述外部编程器来在所述医疗设备和所述外部编程器之间建立所述无线通信链路,在这种情况下,可以在第二安全级别执行所述认证过程。一种方法还包括:在所述外部编程器中存储第一加密算法;生成所述第一未加密版本的随机数;根据所述第一加密算法对所述第一未加密版本的随机数进行加密以生成所述第一加密版本的随机数;通过所述无线通信链路发送所述第一未加密版本的随机数和所述第一加密版本的随机数;在所述医疗设备中存储第二加密算法和解密算法中的一个,所述第二加密算法与所述第一加密算法相同,所述解密算法与所述第一加密算法相配。在这种情况下,通过将所述第二加密算法和解密算法中的一个分别应用于所述第一未加密版本的随机数和所述第一加密版本的随机数,对所述外部编程器执行所述认证过程。例如,通过以下方式执行所述认证过程:由所述第一未加密版本的随机数生成第二加密版本的随机数;将所述第一和第二版本的加密随机数进行比较;以及确定所述第一和第二版本的加密随机数是否匹配。作为另一个例子,通过以下方式执行所述认证过程:解密所述第一加密版本的随机数以恢复第二未加密版本的随机数;将所述第一和第二版本的未加密随机数进行比较;以及确定所述第一和第二版本的未加密随机数是否匹配。另一种方法还包括:通过所述无线通信链路从所述外部编程器接收会话请求,其中,响应于接收到所述会话请求而执行所述认证过程。所述方法还可以包括:如果所述认证过程成功,则通过所述无线通信链路向所述外部编程器发送确认命令;以及响应于接收到所述确认命令,而通过所述无线通信链路从所述外部编程器向所述医疗设备发送命令以命令所述医疗设备执行动作。所述方法还可以包括:如果所述认证过程失败,则通过所述无线通信链路向所述外部编程器发送非确认命令。一种阻止所述外部编程器命令所述医疗设备执行所述动作的方法包括:响应于用户动作接收触发信号,响应于所述触发信号打开无线通信模块,建立与所述无线通信模块的所述无线通信链路,以及如果在预定时间段内未完成所述认证过程,则通过关闭所述无线通信模块来阻止所述外部编程器命令所述医疗设备执行所述动作。另一种阻止所述外部编程器命令所述医疗设备执行所述动作的方法包括:通过所述无线通信链路从所述外部编程器向所述医疗设备发送命令,并且忽略通过所述无线通信链路从所述外部编程器接收命令。另一种阻止所述外部编程器命令所述医疗设备执行所述动作的方法包括终止所述无线通信链路。根据本发明的第四方面,提供了一种医疗系统的医疗设备,其被配置为通过无线通信链路(例如,范围小于100英尺的无线通信链路)与外部编程器通信。所述医疗设备包括被配置为与所述外部编程器建立无线通信链路(例如,范围小于100英尺的无线通信链路)的无线通信模块。在一个实施例中,所述无线通信模块是射频(rf)通信模块,例如,根据蓝牙协议或wi-fi协议与所述外部编程器通信的无线通信模块。所述医疗设备还包括被配置为向无线通信模块供电的电源,被配置为响应于用户动作而被触发的无线致动器(例如,被配置为响应于所述用户动作而被物理地触发的物理无线致动器(例如,按钮)),以及控制电路(例如,微控制器),所述控制电路被配置为:响应于所述无线致动器的触发而允许通过所述电源向所述无线通信模块供电,对所述外部编程器执行认证过程,以及如果在预定时间段内未完成所述认证过程,则终止对所述无线通信模块供电。所述无线通信模块可以硬连线到所述控制电路。所述无线通信模块可以被配置为通过在第一安全级别认证所述外部编程器来与所述外部编程器建立所述无线通信链路,其中,所述控制电路被配置为在第二安全级别执行所述认证过程。在一个实施例中,所述医疗设备还包括耦合在所述电源和所述无线通信模块之间的开关,并且所述控制电路被配置为通过闭合所述开关允许从所述电源向所述无线通信模块供电,并且通过打开所述开关来终止从所述电源向所述无线通信模块供电。所述控制电路可以包括计时器,其被配置为响应于所述无线致动器的触发而启动,并且如果所述认证过程成功则停止。所述控制电路可以被配置为如果所述计时器指示的所述预定时间段已经到期则打开所述开关。所述控制电路可以被配置为:如果所述认证过程失败,则通过终止从所述电源向所述无线通信模块供电来阻止所述外部编程器命令所述医疗设备执行所述动作。在一个特定实施例中,所述医疗设备还包括外部遥测控制器,所述外部遥测控制器包括所述无线通信模块、所述控制电路和被配置为与至少一个可植入医疗设备无线通信的遥测电路。在这种情况下,所述可植入医疗设备被配置为感测患者的生理数据,并且所述遥测电路被配置为无线地接收由所述至少一个可植入医疗设备感测的所述生理数据。所述医疗设备可以包括假体和假体控制器,所述假体控制器电耦合到所述外部遥测控制器,其用于接收生理数据,并基于所述生理数据控制仿生假体。例如,所述假体可以是仿生肢体,所述感测的生理数据是肌电图(emg)数据,并且所述假体控制器被配置为基于所述感测的emg数据来控制所述仿生肢体的运动。根据本发明的第五方面,一种医疗系统包括被配置为通过无线通信链路(例如,射频(rf)通信链路,举例来说,例如,蓝牙或wi-fi通信链路,例如,范围小于100英尺的蓝牙或wi-fi通信链路)发送认证信息的外部编程器,医疗设备,被配置为响应于用户动作而被触发的无线致动器(例如,被配置为响应于所述用户动作而被物理地触发的物理无线致动器(例如,按钮)),以及被配置为在所述外部编程器和所述医疗设备之间建立无线通信链路的无线通信模块。所述医疗设备被配置为:响应于无线致动器的触发而打开所述无线通信模块,基于所述外部编程器发送的认证信息对所述外部编程器执行认证过程,以及如果在预定时间段内未完成所述认证过程,则关闭所述无线通信模块。所述医疗设备可以被配置为通过在第一安全级别认证所述外部编程器来建立与所述外部编程器的所述无线通信链路,并且所述医疗设备可以被配置为在第二安全级别执行所述认证过程。在一个实施例中,所述外部编程器被配置为对所述医疗设备进行编程,并且所述医疗设备被配置为如果所述认证过程失败则通过关闭所述无线通信模块来阻止所述外部编程器命令所述医疗设备。在一个特定实施例中,所述医疗系统还包括至少一个可植入医疗设备,并且所述医疗设备包括外部遥测控制器,所述外部遥测控制器被配置为与所述至少一个可植入医疗设备无线通信。在这种情况下,所述可植入医疗设备被配置为感测患者的生理数据,并且所述遥测电路被配置为无线地接收由所述至少一个可植入医疗设备感测的所述生理数据。所述医疗设备可以包括假体和假体控制器,所述假体控制器电耦合到所述外部遥测控制器,其用于接收生理数据,并基于所述生理数据控制仿生假体。例如,所述假体可以是仿生肢体,所述感测的生理数据是肌电图(emg)数据,并且所述假体控制器被配置为基于所述感测的emg数据来控制所述仿生肢体的运动。根据本发明的第六方面,提供了一种通过无线通信链路在医疗系统的医疗设备和外部编程器之间通信的方法。所述方法包括:响应于用户动作接收触发信号;响应于触发信号打开无线通信模块;建立与所述无线通信模块的无线通信链路;以及如果在预定时间段内未认证所述外部编程器,则通过关闭所述无线通信模块来阻止所述外部编程器命令所述医疗设备。所述方法还可以包括:从所述外部编程器接收认证信息;以及基于接收的认证信息认证所述外部编程器。所述方法还可以包括:通过在第一安全级别认证所述外部编程器来在所述医疗设备和所述外部编程器之间建立所述无线通信链路,以及在第二安全级别认证所述外部编程器。通过阅读对以下优选实施例的详细描述,本发明的其他和进一步的方面和特征将是显而易见的,所述优选实施例旨在举例说明而非限制本发明。附图说明附图示出了本发明的优选实施例的设计和实用性,其中类似的元件由共同的附图标记表示。为了更好地理解如何获得本发明的上述和其他优点和目的,将通过参考附图中示出的本发明的特定实施例来提供对上面简要描述的本发明的更具体的描述。应当理解,这些附图仅描述了本发明的典型实施例,因此不应认为是对本发明范围的限制,将通过使用附图,通过附加的特征和细节对本发明进行描述和解释,其中:图1是根据本发明的一个实施例构造的假体控制系统的示意图;图2是在图1的假体控制系统中使用的遥测控制器的一个实施例的框图;图3是在图1的假体控制系统中使用的遥测控制器的另一实施例的框图;图4是在图1的假体控制系统中使用的临床医师编程器的一个实施例的框图;图5a和5b是示出操作图2的遥测控制器以在无线设备上执行认证过程、以及除非完成认证过程并且认证结果为成功否则阻止无线设备命令遥测控制器的一种方法的流程图;以及图6a和6b是示出操作图3的遥测控制器以在无线设备上执行认证过程、以及除非完成认证过程并且认证结果为成功否则阻止无线设备命令遥测控制器的一种方法的流程图。具体实施方式参考图1,现在将描述根据本发明的一个实施例构造的可植入医疗系统100。可植入医疗系统100通常包括外部遥测控制器(tc)102和多个可植入医疗设备104。在示出的实施例中,可植入医疗系统100采用假体控制系统的形式。在这种情况下,可植入医疗设备104可以采取传感器设备的形式,所述传感器设备植入在患者50的截肢52的残余部分内,其分别靠近感兴趣的肌肉以检测肌肉收缩(例如,通过监测感兴趣的肌肉的肌电图(emg)信号)。假体控制系统100包括仿生假体54,仿生假体54具有机器人前臂56和机器人手58。tc102可以并入到仿生假体54中,并且被配置为向传感器设备104输送电力并从传感器设备104接收emg数据。为了便于电力传输和通信,tc102包括初级线圈106,初级线圈106可以以围绕植入患者50的残肢部分52内的传感器设备104的方式并入到仿生假体54的插口部分中。tc102包括电力传输和通信电路(下面进一步详细描述),其经由初级线圈106为植入的传感器设备104感应地供电并与植入的传感器设备104通信。假体控制系统100还包括假体控制器110,假体控制器110通过电缆112耦合到tc102以用于从tc102接收emg数据,并且假体控制器110还耦合到仿生假体54中的电动机(未示出)以控制机器人手臂56和机器人手58的运动。假体控制器110可由患者50佩戴(例如佩戴在腰部)。假体控制系统100还可以包括一个或多个电池(未示出),其可以物理地集成到假体54中或包括在假体控制器110中,以用于向假体控制器110和tc102内的电路提供电力。因此,假肢控制系统100允许患者50通过试图收缩残肢部分52中的肌肉来控制仿生前臂56和机器人手58。不同的肌肉或肌肉的不同部分将对应于可独立移动的部分(例如仿生假体54的肘部、腕部和手指)。当传感器设备104检测到肌肉或肌肉的一部分收缩时,其将产生的表示肌肉或肌肉的一部分收缩的emg数据经由tc102传送到假体控制器110。emg数据标识已经收缩的肌肉以及收缩的幅度。然后,假体控制器110控制仿生假体54根据收缩幅度移动与收缩的肌肉相对应的独立可移动部分。尽管在图1中将tc102和假体控制器110示出为单独的物理单元,但是应当理解,可以将tc102和假体控制器110集成到单个物理单元中,该单个物理单元并入到假体54中或由患者50佩戴。还应当理解,尽管已经将假体控制系统100描述为假体控制系统,但是假体控制系统100可以是执行诊断或治疗功能的任何医疗系统。同样地,尽管将可植入医疗设备102描述为emg传感器,但是可植入医疗设备102可以采用执行诊断或治疗功能的任何医疗设备的形式。此外,虽然本文将tc102描述为在患者50的外部,但是应当理解,tc102可以采取与其他传感器设备104通信的可植入设备的形式或者可以并入到所述可植入设备中。每个传感器设备104可以采用小型化圆柱形传感设备的形式,其中电路被实现为安装在陶瓷基板上的单芯片集成电路上的子组件,所述陶瓷基板夹在电感线圈缠绕在其上的圆柱形磁芯的两半之间。电子器件封装在圆柱形陶瓷封装中,该陶瓷封装包括位于陶瓷封装的相对端的两个金属端盖,该两个金属端盖用作差分记录电极。这种可植入传感器设备允许在该设备的植入部位检测emg信号。这种可植入传感器设备104的一个例子是由alfredmannfoundation制造的设备,并且在implantablemyoelectricsensors(imess)forintramuscularelectromyogramrecording,ieeetransbiomedeng,2009年1月,第159-171页有描述。在替代实施例中,传感器设备104可以包括其上承载电极的引线(未示出),使得可在远离设备主体的植入部位的位置处检测emg信号。假体控制系统100还包括临床医师编程器(cp)114,其被配置为由临床医生操作以经由tc102对假体控制器110和/或传感器设备14进行编程。在所示实施例中,cp114采用个人计算机(pc)的形式,但是在替代实施例中,cp114可以采用配置有具有编程能力的智能电话应用程序的传统智能电话的形式。如下面将进一步详细描述的,tc102和cp114都包括无线通信接口(例如,蓝牙接口),其允许cp114经由tc102向假体控制器110发送命令,例如,以修改或选择假体控制器110内的程序,从而修改假体控制系统100的操作配置。尽管第三方设备116可以通过向tc102发送将修改传感器设备104和/或假体控制器110内的操作参数的命令来修改假体控制系统100的操作配置,但是假体控制系统100通过阻止第三方设备116向tc102发送命令或以忽略该命令来阻止或者至少减少第三方设备116修改假体控制系统100的操作配置的机会。如图1所示,tc102和cp114被配置为通过无线通信链路118彼此通信。无线通信链路118是短程射频(rf)通信链路。在所示实施例中,rf通信链路118是点对点通信链路,这是因为希望假体控制器110一次仅由一个cp114编程,并且cp114一次仅编程一个假体控制器110,但是在一些情况下可能希望同时对多个假体控制器110进行编程的,那么在这些情况下,rf通信链路118可以是点对多通信链路。在本文描述的所示实施例中,根据蓝牙协议建立rf通信链路118,但是在替代实施例中,可以根据其他短程rf协议(例如,wi-fi协议)建立rf通信链路118。蓝牙协议本质上是使用无许可的工业、科学和医疗(ism)2.4ghz无线电频带的短距离(例如,小于100英尺)无线通信的详细规范。蓝牙技术根本上是电缆替代系统,其为包括主设备(在这种情况下,主设备为cp114)和至少一个从设备(在这种情况下,从设备为tc102)的各种配置的各种设备提供通用机制。主设备被定义为启动连接过程以建立无线通信链路的设备。在交换数据之前,根据蓝牙协议,cp114和遥测控制器102通过被称为“配对”的过程在彼此之间建立关系。将cp114和tc102配对的过程旨在在设备之间创建称为“链接密钥”的共享密钥,该共享密钥随后用于cp114和tc102的相互认证,并用于对在这些设备之间交换的数据进行加密。cp114启动配对过程,配对过程通常具有搜索阶段和配对阶段。在搜索阶段期间,cp114识别所有可用的遥测控制器(一个是tc102),每个遥测控制器以其自己的唯一地址进行响应。cp114报告并存储从遥测控制器接收的唯一地址。如果在搜索结果中没有找到遥测控制器110,则可以重复搜索过程。如果在搜索结果中找到遥测控制器110,则临床医师编程器102启动配对阶段以与遥测控制器110建立rf通信链路118。在由蓝牙规范定义的配对过程期间的安全模式的范围从不需要加密或认证到需要加密和认证。但是,无论配对过程中使用的安全过程如何,任何获得共享链接密钥的设备都可以与共享链接密钥的相应设备进行连接和交换数据。为了进一步确保tc102仅与临床医师编程器114而不是第三方设备116通信,假体控制系统100采用附加认证协议,并且特别地,采用多级认证过程,其使得由除了cp114之外的设备命令假体控制器110的风险最小化,从而避免了对假体控制系统100的操作配置的不期望的或非预期的修改。为此,除了可以包括或不包括认证的蓝牙配对协议之外,假体控制系统100还采用专有认证过程,其与手动激活的无线通信发起保护措施相结合,以确保tc102只能由cp114编程或操纵。具体地,假体控制系统100包括被配置为响应于用户动作而被手动触发的无线致动器120。响应于无线致动器120的触发,而使得tc102和cp114之间能够进行无线通信。也就是说,在不手动触发无线致动器120的情况下,tc102和cp114之间的无线通信是不可能的。无线致动器120可以是物理无线致动器,例如,可以被按下的按钮,或者可选地可以是电子或虚拟无线致动器,例如,可以被点击的计算机屏幕上的图标。为了确保不能通过第三方的无线攻击来触发无线致动器120,无线致动器120被硬连线到tc102。在示出的实施例中,无线致动器120位于假体控制器100上并且经由电缆112硬连线到tc102,但是无线致动器120可以位于假体控制系统100上或者与其相关联的任何地方(包括位于tc102本身上),这使得无线致动器120通过硬连线连接实现无线通信。在示出的实施例中,响应于通过打开无线通信模块168(图2中所示),例如通过向无线通信模块168供电而对无线致动器120的触发,手动启动tc102和cp114之间的无线通信。在本文描述的实施例中,无线通信模块168是rf通信模块,特别是蓝牙兼容模块,但是可以使用其他类型的rf模块,例如,wifi兼容模块。如果在已经触发无线致动器120之后的预定时间段(例如,60秒)内设备(可能是第三方设备116)未向tc102认证,则蓝牙模块168可以自动关闭(即,无需用户干预),从而阻止任何设备发起与tc102的无线通信并随后命令tc102。在预定时间段内设备未向tc102认证的原因包括但不限于:未能根据蓝牙协议发起或建立无线通信链路118、未能启动或完成专有认证过程、完成专有认证过程中出现一次失败、完成专有认证过程中出现多次失败等。在替代实施例中,如果在触发无线致动器120之后的预定时间段(例如,60秒)内未根据蓝牙协议发起或建立无线通信链路118,或者如果在根据蓝牙协议建立了无线通信链路118之后的预定时间段(例如,60秒)内未根据专有认证过程对设备(可能是第三方设备116)进行认证(例如,未能启动或完成专有认证过程、完成专有认证过程中出现一次或多次失败等),则可以关闭蓝牙模块168。因此,从前述内容可以理解,cp114向tc102的认证以及它们之间的后续通信仅可以在由临床医生控制的非常有限的时间段内执行。这样,试图由tc102认证的任何第三方设备116将具有非常有限时机来执行该操作。应当理解,通过要求每次认证过程失败时手动触发无线致动器120,第三方设备116通过重复并快速生成不同的未加密和加密版本的随机数来破解专有加密/解密算法的任何尝试都将被挫败。此外,仅当临床医生打算利用cp114进行无线通信时才打开蓝牙模块168,这具有节省电池电量的另外一个益处。在另一替代实施例中,如果在预定时间段内未满足上述无线通信条件,不关闭蓝牙模块168,而是可以保持开启蓝牙模块168,但是指示蓝牙模块168仅在触发无线致动器120之后的预定时间段(例如,60秒)内根据蓝牙协议建立无线通信链路118。例如,可以指示蓝牙模块168仅在该预定时间段期间接受来自设备的连接请求,并在该预定时间段之外拒绝来自设备的任何连接请求。在这种情况下,如果在触发无线致动器120之后的预定时间段内已经根据蓝牙协议建立了无线通信链路118,并且如果在触发无线致动器120之后的预定时间段内未根据专有认证过程对设备(可能是第三方设备116)进行认证,或者,如果在已经根据蓝牙协议建立无线通信链路118之后的预定时间段内未根据专有认证过程对设备进行认证,则可以指示蓝牙模块168终止无线通信链路118。在又一实施例中,如果在触发无线致动器120之后的预定时间段内未根据专有认证过程对设备(可能是第三方设备116)进行认证,或者,如果在已经根据蓝牙协议建立无线通信链路118之后的预定时间段内未根据专有认证过程对设备进行认证,不关闭蓝牙模块168或终止无线通信链路118,而是可以简单地忽略通过在无线通信链路118上发送的任何命令。如上面简要讨论的,假体控制系统100执行专有认证过程以确保tc102仅可由cp114编程或操纵。与在开放系统互连(osi)模型的物理层或数据层中执行的蓝牙配对协议相比,专有认证过程在osi模型的会话层执行。因此,通过蓝牙配对协议在第一安全级别对cp114进行认证,并随后通过专有认证过程在第二安全级别对其作进一步认证。为此,tc102和cp114都安装有公众无法访问的专有加密和/或解密算法。将这些专有加密和/或解密算法应用于随机数(例如,16字节或128位长)以使cp114向tc102认证。具体地,cp114生成第一未加密版本的随机数,对第一未加密版本的随机数进行加密以生成第一加密版本的随机数,并且通过之前根据蓝牙协议建立的tc102和cp114之间的无线通信链路118发送第一未加密版本的随机数和第一加密版本的随机数。cp114通过建立的无线通信链路118接收第一未加密版本的随机数和第一加密版本的随机数,并基于第一未加密版本和第一加密版本的随机数执行认证过程。在一个实施例中,tc110通过对第一未加密版本的随机数进行加密以生成第二加密版本的随机数、对第一和第二加密版本的随机数进行比较、并确定第一和第二加密版本的随机数是否匹配,来执行认证过程。因为tc110采用的加密算法与cp114采用的加密算法相同,所以第一和第二加密版本的随机数之间的匹配确认cp114而不是某些其他第三方设备116通过建立的无线通信链路118连接到tc110。在另一实施例中,tc110通过解密第一加密版本的随机数以恢复第二未加密版本的随机数、对第一和第二未加密版本的随机数进行比较、并确定第一和第二未加密版本的随机数是否匹配,来执行认证过程。因为tc110采用的解密算法与cp114采用的加密算法相配,所以第一和第二未加密版本的随机数之间的匹配确认cp114而不是某些其他第三方设备116通过建立的无线通信链路118连接到tc110。仅当认证过程成功,也即当第一和第二加密版本的随机数之间或者第一和第二未加密版本的随机数之间存在匹配时,tc102允许cp114命令假体控制器110进行动作。例如,tc102可以向cp114发送认证过程成功的确认命令,从而提示cp114向tc102发送命令和/或将从cp114接收到的任何命令传送到假体控制器110。相反,如果认证过程失败,即,如果第一和第二加密版本的随机数之间或者第一和第二未加密版本的随机数之间不匹配,则tc102假定尚未与cp114,而是与第三方设备116,建立无线通信链路118,从而阻止第三方设备116命令tc102执行动作。例如,可以终止向蓝牙模块168供电,从而终止tc102和第三方设备116之间的无线通信链路118。或者,如果认证过程失败,不是终止无线通信链路118,而是tc102不向第三方设备116发送确认命令,从而阻止cp114向tc102发送命令,或者,tc102可以简单地忽略通过建立的无线通信链路118从cp114发送的命令,或拒绝将这些命令发送到遥测控制器110。现在参考图2,tc102包括遥测/电源电路150,其被配置为向传感器设备104发送命令和功率并从传感器设备104接收emg信号或状态信号。为此,遥测/电源电路150包括上述的初级线圈106和线圈驱动器152,线圈驱动器152被配置为将主载波信号施加到初级线圈106,从而在传感器设备104的次级线圈(未示出)上感应次级载波信号。主载波信号用作传感器设备104的电源,并用作在tc102和传感器设备104之间传输数据和命令的下行链路/上行链路载波信号。为此,遥测/电源电路150还包括下行链路调制器154,其被配置为根据命令数据对初级线圈106上的主载波信号包络进行负载调制,从而在各个传感器设备104的次级线圈上引入次级信号包络的幅度调制,并允许传感器设备104获取命令数据。遥测/电源电路150还包括上行链路解调器156,其被配置为对初级线圈106上的主信号包络进行解调以从传感器设备104获取emg数据(或状态数据)。在题为“multipleimplantcommunicationswithadjustableloadmodulationbasedonreceivedsignalamplitudes”的序列号为62/456,576的美国专利申请(代理人案卷号amf-002)和题为“multipleimplantcommunicationswithadjustableloadmodulationusingmodulationindices”的序列号为xx/xxx,xxx的美国专利申请中描述了关于tc102和传感器设备104之间的无线通信技术的更多细节,其通过引用的方式将其明确地并入到本文中。tc102还包括控制器158(例如,微控制器)、系统存储器160(例如,ram)和静态存储设备162(例如,rom或磁盘驱动器)。微控制器158可以执行包含在系统存储器160中的一个或多个指令的序列,以控制和操作tc102、以及处理从传感器设备104接收的emg数据。可以将这些指令从另一计算机可读/可用存储介质(例如,静态存储设备162)读入到系统存储器160中。静态存储设备162除了存储实现cp114的基本操作所需的程序和其他数据之外,还存储cp114的唯一地址(一旦配对)、如下面详细描述的实现由tc102执行的专有认证协议的一部分的通信驱动器软件模块(未示出)、以及用于处理从cp114接收的命令并将它们发送到假体控制器110或传感器设备104的命令包解析器软件模块。tc102还包括输入/输出接口164(例如,usb端口),其用于经由电缆112将处理后的emg数据传送到假体控制器110并从假体控制器110接收命令以控制传感器设备104。tc102还包括用于向tc102的电路提供电力电源166(例如,电池)。电源166可以位于tc102中,或者可以位于假体控制器110中,当电源166位于假体控制器110中时,将通过电缆112从假体控制器向tc102提供电力。tc102还包括前述的蓝牙模块168,其被配置为与cp114建立rf通信链路118。tc102被配置为通过建立的rf通信链路118经由蓝牙模块168发送和接收消息、数据和命令。微控制器158通过连接到通信端口172(例如,通用异步接收器/发送器(uart)端口)的线路170硬连线到蓝牙模块168,从而允许微控制器158和蓝牙模块168安全地互相发送消息。由微控制器158执行的通信驱动器软件模块可以是被修改为实现专有认证过程的传统uart通信驱动器软件模块。来自电源162的电力经由专用电力管道174供应到蓝牙模块168。tc102还包括管道174中的开关176,其被配置为在微控制器158的控制下有选择的打开和关闭,从而选择性地向蓝牙模块168供电或终止供电。在示出的实施例中,管道174专用于蓝牙模块168,以使得开关176的打开或关闭仅影响从电源162到蓝牙模块168的电力供应,而不影响电源162供电的其余组件的电力状态。tc102还包括可以在微控制器158内部或外部的定时器178。无线致动器120通过电缆112牢固地硬连线到微控制器158,响应于无线致动器120的手动触发,从无线致动器120向微控制器158发送信号,微控制器158又通过启动计时器178并关闭开关176以开始从电源模块162向蓝牙模块168供电而作出响应。微控制器158被配置为:如果在计时器178的预定时间到期之前cp114尚未被认证,则打开开关176以终止从电源166向蓝牙模块168供电。在另一个实施例中,计时器178本质上可以是半自动的,即在没有微控制器158干预的情况下,一旦预定的时间段(例如,60秒)到期,则将打开开关176以关闭蓝牙模块168。因此,如下面将进一步详细描述的,在第三方无线设备116未经认证之后,通过打开开关176以关闭蓝牙模块168来禁用tc102与未认证的第三方设备116之间的无线通信。或者,如图3所示,不是关闭蓝牙模块168以禁用tc102与未认证的第三方设备116之间的无线通信,而是微控制器158指示蓝牙模块168不建立tc102和未认证的第三方设备116之间的无线通信链路118,或者如果已经建立了tc102和第三方设备116之间的无线通信链路118,则微控制器158指示蓝牙模块168终止tc102和未认证的第三方设备116之间的无线通信链路118,或者,微控制器158简单地忽略通过无线通信链路118从未认证的第三方设备116接收的任何命令。现在参考图4,cp114包括控制器180、系统存储器182(例如,ram),静态存储设备184和磁盘驱动器186(例如,磁或光的)。控制器180可以执行包含在系统存储器182中的一个或多个指令的序列。可以将这些指令从另一个计算机可读/可用存储介质(例如,静态存储设备184或磁盘驱动器186)读取到系统存储器182中。静态存储设备184和/或磁盘驱动器186除了存储实现cp114的基本操作所需的程序和其他数据,还存储tc102的唯一地址(一旦配对)和如下面详细描述的实现由cp114执行的专有认证协议的一部分的通信驱动器软件模块。cp114还包括无线通信模块188,其与tc102的蓝牙模块168相配以建立rf通信链路118。在示出的实施例中,无线通信模块188是rf通信模块,并且具体是蓝牙兼容模块。cp114可以通过建立的rf通信链路118经由蓝牙模块188发送和接收消息、数据和命令。控制器180经由连接到通信端口192(例如,通用异步接收器/发送器(uart)端口)的线路190硬连线到蓝牙模块188,从而允许控制器180和蓝牙模块188安全地互相发送消息。通信驱动器软件模块可以是被修改为实现专有认证过程的传统uart通信驱动器软件模块。cp114还包括显示器194(例如,lrt或lcd)和用户输入设备196(例如,键盘和光标控制设备)。已经描述了假体控制系统100的结构和操作,现在将参考图2、4和5描述向tc102认证无线设备的一种方法200。在该方法中,假设无线设备(无论是cp114还是第三方设备116)与tc102建立无线通信链路,并且如果无线设备是cp114,则对该无线设备进行认证并从而允许其命令tc102,如果无线设备是第三方设备116,则不对其进行认证从而禁止其命令tc102。首先,用户(可能是临床医生)手动触发无线致动器120(步骤202),并且作为响应,打开蓝牙模块158(步骤204),并且启动计时器178(步骤206)。在示出的实施例中,响应于手动触发无线致动器220,而将触发信号从无线致动器120发送到tc102的微控制器158,由微控制器158执行的通信驱动器软件模块通过关闭电路174中的开关176来打开蓝牙模块158,从而从电源166向蓝牙模块168供电,并启动定时器178。在替代实施例中,可以绕过微控制器158,在这种情况下,触发器信号本身直接关闭开关176并启动计时器178。如果在方法200期间的任何时间,计时器178指示的预定时间段(例如,60秒)已经到期(步骤208),则关闭蓝牙模块158(步骤210)。在示出的实施例中,由tc102的微控制器158执行的通信驱动器软件模块通过打开管道174中的开关176来关闭蓝牙模块158,从而终止从电源166向蓝牙模块的电力供应。在方法200期间,可以由tc102的微控制器158重复(例如,每秒一次)监视计时器178,以确定预定的时间段是否已经到期。在替代实施例中,可以绕过微控制器158,在这种情况下,当该时间段已经到期时计时器178本身可以直接打开开关176。在方法200期间的任何时间,包括在已经关闭蓝牙模块168之后,用户可以在步骤202手动触发无线致动器120以重新打开蓝牙模块168。只要蓝牙模块168保持开启,就可以根据蓝牙协议建立tc102和无线设备(cp114或第三方设备116)之间的rf通信链路118(步骤212)。例如,如果之前未配对无线设备,则使用无线设备作为主设备,用户(可能但不一定是临床医生)可以搜索无线设备上的所有可用蓝牙设备,每个蓝牙设备都利用自己独特的地址作出响应。无线设备报告并存储从tc102接收的唯一地址。如果在搜索结果中未找到tc102,则可以重复搜索过程。如果在搜索结果中找到tc102,则用户可以随后点击无线设备上显示的可用蓝牙设备列表中的特定tc102,从而启动配对过程。然后,将通过生成共享链路密钥(经过认证或未经认证)来配对无线设备,然后在它们之间建立rf通信链路118。该过程可能需要也可能不需要向无线设备输入密码。如果tc102和无线设备之前已经配对,并且如果例如tc102是无线设备最后连接到的最后蓝牙设备,则它们可以在它们之间自动建立rf通信链路118,或者如果tc102不是无线设备最后连接的最后蓝牙设备,则临床医生可以点击在无线设备上显示的可用蓝牙设备列表中指示为配对过的特定tc102,从而在它们之间建立rf通信链路118。应当理解,根据蓝牙协议在tc102和无线设备之间建立rf通信链路118是众所周知的,并且为了简洁起见,这里将不再描述细节。一旦已经在tc102和无线设备(cp114或第三方设备116)之间建立了rf通信链路118,tc102就对无线设备执行认证过程。具体地,如果无线设备是cp114(步骤214a),则cp114的控制器180执行通信驱动器软件模块,该模块实施专有加密算法以生成第一未加密版本的随机数(步骤216),并且第一未加密版本的随机数进行加密以生成第一加密(有效)版本的随机数(步骤218)。然后,控制器180指示蓝牙模块188通过建立的rf通信链路118发送开始会话请求和有效的认证信息(即,第一未加密版本的随机数和第一加密(有效)版本的随机数)(步骤220)。tc102的蓝牙模块168通过建立的rf通信链路118接收开始会话请求和有效的认证信息(即,第一未加密版本的随机数和第一加密(有效)版本的随机数),并将该信息发送到微控制器158(步骤222)。然后,tc102的微控制器158基于第一未加密版本的随机数和第一加密(有效)版本的随机数对cp114执行认证过程。具体地,由tc102的微控制器158执行的通信驱动器软件模块实施专有加密算法以对从cp114接收的第一未加密版本的随机数进行加密以生成第二加密版本的随机数(步骤224),并且,将从cp114接收的第一加密(有效)版本的随机数与第二加密版本的随机数进行比较(步骤226)。或者,由tc102的微控制器158执行的通信驱动器软件模块实施与cp114使用的专有加密算法相配的专有解密算法来对从cp114接收的第一加密(有效)版本的随机数进行解密以生成第二未加密(有效)版本的随机数(步骤225),并将从cp114接收的第一未加密版本的随机数与第二未加密(有效)版本的随机数进行比较(步骤227)。由微控制器158执行的通信驱动器软件模块然后确定在从cp114接收的第一加密(有效)版本的随机数与第二加密版本的随机数之间存在匹配(即,第一加密(有效)版本的随机数与第二加密版本的随机数相同),或者,在从cp114接收的第一未加密版本的随机数与第二未加密版本(有效)的随机数之间存在匹配(即,第一未加密版本的随机数与第二未加密(有效)版本的随机数相同)(步骤228)。响应于匹配,由微控制器158执行的通信驱动器软件模块然后认为认证过程成功并且cp114通过认证(步骤230)、停止计时器178(步骤232)、并指示蓝牙模块158通过rf通信链路118向cp114发送确认(ack)命令(步骤234)。响应于从tc102接收到ack命令,cp114的控制器180生成有效命令(步骤236),并且由控制器180执行的通信驱动器软件模块指示cp114的蓝牙模块188通过rf通信链路118将有效命令发送到tc102(步骤238)。tc102的蓝牙模块168通过建立的rf通信链路118接收有效命令,并将这些命令发送到微控制器158(步骤240)。响应于接收到有效命令,微控制器158执行动作,并且在示出的实施例中,微控制器158允许修改假体控制系统100的至少一个操作参数(步骤242)。具体地,微控制器158执行命令包解析器软件模块,并且通信驱动器软件模块将有效命令传送给命令包解析器软件模块,命令包解析器软件模块对有效命令进行处理并通过电缆112将有效命令发送给假体控制器110以修改假体控制器110中的操作参数,或经由遥测电路150发送给传感器设备104以修改传感器设备104内的操作参数。可以重复步骤236-242以生成并执行其他有效命令。在由第三方设备116(步骤214b)在步骤212建立rf通信链路118的情况下,第三方设备116可能尝试模拟专有加密算法以生成第一未加密版本的随机数(步骤244),并对第一未加密版本的随机数进行加密以生成第一加密(伪造)版本的随机数(步骤246)。然后,第三方设备116通过建立的rf通信链路发送开始会话请求和伪造的随机认证信息(即,第一未加密版本的随机数和第一加密(伪造)版本的随机数)(步骤248)。tc102的蓝牙模块168通过建立的rf通信链路118接收开始会话请求和伪造的认证信息(即,第一未加密版本的随机数和第一加密(伪造)版本的随机数),并将该信息发送到微控制器158(步骤250)。然后,微控制器158基于第一未加密版本的随机数和第一加密(伪造)版本的随机数对第三方设备116执行认证过程。具体地,由tc102的微控制器158执行的通信驱动器软件模块实施专有加密算法对从第三方设备116接收的第一未加密版本的随机数进行加密以生成第二加密版本的随机数(步骤252),并将从第三方设备116接收的第一(伪造)加密版本的随机数与第二加密版本的随机数进行比较(步骤254)。或者,由tc102的微控制器158执行的通信驱动器软件模块实施与第三方设备116使用的专有加密算法相配的专有解密算法对从第三方设备发116接收的第一加密(伪造)版本的随机数进行解密以生成第二未加密(伪造)版本的随机数(步骤253),并将从第三方设备116接收的第一未加密版本的随机数与第二未加密(伪造)版本的随机数进行比较(步骤255)。由微控制器158执行的通信驱动器软件模块然后确定在从第三方设备116接收的第一加密(伪造)版本的随机数与第二加密版本的随机数之间存在不匹配(即,第一个加密(伪造)版本的随机数与第二加密版本的随机数不同),或者,在从第三方设备116接收的第一个未加密版本的随机数与第二未加密(伪造)版本的随机数之间存在不匹配(即,第一未加密版本的随机数与第二未加密(伪造)版本的随机数不同)(步骤256)。响应于不匹配,由微控制器158执行的通信驱动器软件模块然后认为认证过程失败并且第三方设备116未通过认证(步骤258)、指示蓝牙模块158通过rf通信链路118向tc102发送不确认(nack)命令(步骤260)、并通过打开管道174中的开关176关闭蓝牙模块168,从而终止电源166对蓝牙模块168供电(步骤210)。然后,临床医生将不得不再次手动触发无线致动器120,以重新打开蓝牙模块158并尝试cp114向tc102的另一认证。或者,不是关闭蓝牙模块168,而是该方法可以返回到步骤244,其中第三方设备116可以尝试再次进行认证。在这种情况下,可以重复尝试对第三方设备116的认证,直到在步骤208计时器178指示预定时间段已经到期为止。在使用图3中所示的tc102认证无线设备的情况下,现在将参考图3、4和6描述向tc102认证无线设备的另一方法250。除了响应于手动触发无线致动器120而打开蓝牙模块168,以及如果在步骤208计时器178指示预定时间段已经到期或者在步骤258对无线设备执行的认证过程已经失败则关闭蓝牙模块168之外,方法250与根据图5描述的方法200相同,可以阻止无线设备使用各种不同技术中任意一种技术来命令tc102(步骤211)。例如,仅如果在步骤208计时器178指示预定时间段已经到期,则tc102可以拒绝与无线设备建立rf通信链路118,并且如果tc102已经和无线设备建立了rf通信链路118,则可以终止rf通信链路118。在示出的实施例中,如果计时器178指示预定时间段已经到期,则由tc102的微控制器158执行的通信驱动器软件模块可以指示蓝牙模块168例如通过拒绝无线设备的任何连接请求而不建立根据蓝牙协议的无线通信链路118。如果在计时器178指示的预定时间段到期之前在步骤212根据蓝牙协议建立了无线通信链路118,并且如果计时器178指示预定时间段已经到期,或者如果在步骤258未根据专有认证过程对无线设备(可能是第三方设备116)进行认证,则由微控制器158执行的通信驱动器软件模块可以指示蓝牙模块168终止无线通信链路118。作为另一示例,如果在步骤208计时器178指示预定时间段已经到期,或者在步骤258未根据专有认证过程对无线设备(可能是第三方设备116)进行认证,则tc102可以忽略通过rf通信链路118从无线设备接收的任何命令。在示出的实施例中,由tc102的微控制器158执行的通信驱动软件模块可以指示蓝牙模块168不转发通过rf通信链路118接收的任何命令,或者忽略从蓝牙模块168转发到微控制器158的任何这样的命令。本文描述的软件模块可以存储在“计算机可读存储介质”或“计算机可用存储介质”上,“计算机可读存储介质”或“计算机可用存储介质”指的是参与向处理器提供指令以供执行的任何非暂时性介质。这种介质可以采用许多形式,包括但不限于非易失性介质(例如,光盘或磁盘)和易失性介质(例如,动态存储器)。计算机可读存储介质的常见形式包括,例如,机电磁盘驱动器(例如,软盘、软磁盘或硬盘)、基于闪存的、基于ram的(例如,sram,dram,sdram,ddr,mram等)、或任何其他固态驱动器(ssd)、磁带、任何其他磁性或磁光介质、cd-rom、任何其他光学介质、穿孔卡、纸质磁带、具有孔图案的任何其他物理介质、ram、prom、eprom、flash-eprom、任何其他存储芯片或盒式磁带、或计算机可读取的任何其他介质。例如,本方法或系统可以使用各种形式的计算机可读存储介质临时或永久地存储信息或数据,例如,一个或多个主区域、一个或多个主输出层、一个或多个全局擦除层、各种变换和逆变换、形状等。尽管本文已经将认证技术描述为用于将一个无线医疗设备(例如,外部编程器)向另一个无线医疗设备(例如,遥测控制器)认证,但是本文描述的认证技术可以用于将任何无线设备向医疗领域之外的另一个无线设备认证。尽管已经示出和描述了本发明的特定实施例,但是应该理解,并不旨在将本发明限制于优选实施例,并且对于本领域技术人员来说显而易见的是,在不脱离本发明的精神和范围的情况下,可以作出各种改变和修改。因此,本发明旨在覆盖可以包括在由权利要求限定的本发明的精神和范围内的替代、修改和等同物。当前第1页12当前第1页12