埋め込み可能な医療装置のための安全な遠隔測定
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法およびシステム。遠隔測定チャンネルを介したEDとIMDの間の任意の通信を制限する遠隔測定インターロックを実装し、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介してEDがIMDにイネーブル・コマンドを送信したときにその遠隔測定インターロックをリリースすることができる。この遠隔測定インターロックの置き換えまたは追加として、IMDとEDが互いに対して暗号化方法的に認証された後に限って遠隔測定チャンネルを介したIMDとEDの間におけるデータ通信セッションが許可されるようにできる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、心臓ペースメーカや埋め込み可能な電気的除細動器/除細動器等の埋め込み可能な医療装置に関する。より詳細に述べれば、本発明は遠隔測定データをその種の装置から送信するためのシステムと方法に関する。
【背景技術】
【0002】
ペースメーカや電気的除細動器/除細動器等の心臓リズム管理装置を含む、埋め込み可能な医療装置(IMD)は、通常、無線周波数遠隔測定リンクを介して外部プログラマと呼ばれる外部装置とデータを通信する能力を有する。その種の外部プログラマの1つの用途は、埋め込み可能な医療装置の動作パラメータをプログラムすることである。たとえばペースメーカの、ペーシング・モードやそのほかの動作特性は、一般に埋め込みの後にこの方法で修正される。近代的な埋め込み可能装置は、両方向通信のための能力も含んでおり、その結果、埋め込まれた装置からプログラマへ情報を送信することができる。埋め込み可能装置から一般に遠隔測定されるデータは、種々の動作パラメータや生理学的データであり、後者は、リアルタイムで収集されるか、以前のモニタリング動作からストアされる。
【0003】
外部プログラマは、一般に誘導リンクを介してIMDと通信するべく構成されている。外部プログラマ内のコイル・アンテナとIMDが誘導結合され、その結果、2つの結合されたコイルの共振周波数に対応する無線周波数の搬送波形を変調することによってデータを送信することができる。誘導リンクは、外部装置のコイル・アンテナがIMDに、通常は数インチ内まで近接することを必要とする短距離通信チャンネルである。別のタイプの遠隔測定システムは、フラウンホーファ領域の電磁放射あるいは別のタイプのデータ・リンク、たとえば電話回線またはネットワーク(インターネットを含む)等を使用してより大きな距離にわたって通信することができる。その種の長距離遠隔測定は、埋め込み可能な装置が遠隔地のモニタリング・ユニットへデータを送信すること、あるいは遠隔地からそれをプログラムすることができる。このように長距離遠隔測定は、医師が部屋を隔てて、さらには国までも隔てて患者をモニタし、患者の継続管理を行うことを可能にする。
【0004】
【特許文献1】米国特許第4,562,841号
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら埋め込み可能な医療装置のための長期遠隔測定は、短距離遠隔測定には存在しない特殊な問題をもたらす。誘導リンク等の短距離通信チャンネルを介した埋め込み可能な装置は、外部装置が患者の近くにあることを必要し、そのため医師には、誰の埋め込み可能な装置のプログラムが行われているかがわかり、患者には、埋め込み可能な装置のプログラムと、それからのデータの受信を誰が行っているかがわかる。これに対して長距離遠隔測定は、その種の物理的な近接を必要とせず、医師が誤った装置を不用意にプログラムする可能性を与える。フラウンホーファ領域の電磁放射もしくは何らかの種類のネットワークを介する通信は、意図していないユーザによる通信の傍受も可能にし、その患者のプライバシ問題を浮揚させる。悪意のあるユーザが、長距離遠隔測定システムを使用して埋め込み済み装置の再プログラムを試みることも考えられる。本発明は、これらの問題に注目した長距離遠隔測定を提供するためのシステムと方法である。
【課題を解決するための手段】
【0006】
本発明は、遠隔測定チャンネルを介した埋め込み可能な医療装置(IMD)と外部装置(ED)の間の安全な通信を可能にするための方法とシステムに関係する。一実施態様においては、遠隔測定インターロックが具体化され、それが遠隔測定チャンネルを介したEDとIMDの間の任意の通信を制限する。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介し、EDがIMDに対してイネーブル・コマンドを送信するときにリリースされる。別の実施態様においては、IMDとEDが互いに対して認証された後に限って、IMDとEDの間において遠隔測定チャンネルを介したデータ通信セッションを生じさせることができる。IMDは、EDが、IMDによる所有が期待されている暗号化キーの使用の証拠を示すIMDからのメッセージを受信するときにEDに対して認証され、EDは、IMDが、EDによる所有が期待されている暗号化キーの使用の証拠を示すEDからのメッセージを受信するときにIMDに対して認証される。
【発明を実施するための最良の形態】
【0007】
本発明は、埋め込み済み装置の悪意のある、あるいは不用意な再プログラムの可能性に対して保護する埋め込み可能な医療装置のための長距離遠隔測定に関係する。別の側面においては、このシステムは、データ送信の機密性の維持も提供する。この種の患者の安全と機密性の確保は、3つの別々のテクニックを使用して達成することができる:すなわち、データの暗号化、遠隔測定セッションにおける関係者の認証、遠隔測定インターロックである。
【0008】
1.暗号化/解読
暗号化とは、メッセージがそのメッセージを解読する特別なキーの所有なしに読むことが不可能な方法でメッセージをエンコードするために使用される暗号方法のアルゴリズムを言う。メッセージの暗号化は、そのメッセージに対する暗号化関数を適用することによって行われる。その暗号化関数は、暗号方法のアルゴリズムと暗号化キーによって定義される。以下の説明や参照図面においては、その種の暗号化されたメッセージをE(m,k)として示す。Eは暗号化関数、mは暗号化未済メッセージ、kはそのメッセージの暗号化に使用されるキーである。メッセージの解読は、解読キーkを使用して逆関数Dを暗号化済みメッセージmに適用することを伴い、D(m,k)と表される。
【0009】
暗号化キーと解読キーは、使用されている暗号方法のアルゴリズムのタイプによって同一のこともあれば、異なることもある。秘密キー暗号方法においては、通信している両方の関係者が単一の秘密キーを共有し、それがメッセージの暗号化と解読の両方に使用される。したがって、秘密キー暗号化関数Eによってキーkを用いて暗号化されたメッセージmは、解読関数Dを同一のキーkとともに適用することによって復元される:
m=D(E(m,k),k)
秘密キー暗号方法のアルゴリズムのよく知られている例としては、DES(データ暗号化標準)、AES(米国暗号化標準)、トリプルDES、ブローフィッシュが挙げられる。
【0010】
これに対して公開キー暗号化方法では暗号化キーと解読キーが異なる。公開キー暗号化方法を使用して安全なメッセージを送信するためには、送信者が受信者の公開キーを用いてメッセージを暗号化するが、これはすべての認証済み送信者に知られており、また広く公開されて誰もがメッセージを送信できるようになっている。その後そのメッセージは、そのメッセージの暗号化に使用された公開キーに対応するプライベートキーによってのみ解読が可能であり、このプライベートキーは、メッセージの受信者によって保持され、ほかの誰とも共有されない。したがって、公開キー暗号化関数Eによって公開キーk1を用いて暗号化されたメッセージは、対応するプライベートキーk2とともに解読関数Dを適用することによって復元される:
m=D(E(m,k1),k2)
安全な両方向通信セッションにおける各関係者は、そのためそれぞれ独自のプライベートキーを所有し、かつ相手の公開キーを知っていなければならない。公開キー暗号化方法のアルゴリズムのよく知られた例にRSAがある。
【0011】
公開キーもしくは秘密キー暗号化方法のいずれを使用しても安全にデータを送信することができるが、公開キー暗号化方法のアルゴリズムははるかに演算集約的となる。この理由から、埋め込み可能な装置と外部装置の間における実際のデータ通信のためには、秘密キー暗号化方法を使用する方が通常は好ましい。しかしながら後述するように、認証のために公開キー暗号化方法を使用して、データ通信に使用される秘密キーの送信を使用することができる。
【0012】
2.認証
認証は、通信セッションにおける関係者が高い信頼性をもって互いを識別できるメカニズムまたはプロトコルを言う。認証プロトコルは、秘密キーまたは公開キー暗号化方法を使用して具体化され、埋め込み可能な医療装置(IMD)と外部装置(ED)の互いを認証する。IMDとEDの間における遠隔測定チャンネルを介したデータ通信セッションは、IMDとEDが互いに対して認証された後に限って許可される。公開キーまたは秘密キーの暗号化方法のいずれかによる認証を用いて、IMDは、EDが、IMDによる所有が期待されている暗号化キーの使用の証拠を示すメッセージをIMDから受信するときにEDに対して認証され、EDは、IMDが、EDによる所有が期待されている暗号化キーの使用の証拠を示すメッセージをEDから受信するときにIMDに対して認証される。
【0013】
秘密キー暗号化方法による認証においては、EDが遠隔測定チャンネルを介して第1のメッセージをIMDに送信し、それに応答して、IMDによる所有が期待されている秘密キーによって暗号化されたその第1のメッセージから誘導されたメッセージを受信するとき、IMDがEDに対して認証される。続いてIMDが遠隔測定チャンネルを介して第2のメッセージをEDに送信し、それに応答して、EDによる所有が期待されている秘密キーによって暗号化されたその第2のメッセージから誘導されたメッセージを受信すると、EDがIMDに対して認証される。
【0014】
公開キー暗号化方法を使用する認証プロトコルは次のように機能する。EDが、IMDによる所有が期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化した第1のメッセージを、遠隔測定チャンネルを介してIMDに送信し、それに応答してIMDから、IMDによる対応するプライベートキーを所有している証拠を示す、第1のメッセージから誘導されたメッセージを受信すると、IMDがEDに対して認証される。またEDは、IMDが、EDによる所有が期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化した第2のメッセージを、遠隔測定チャンネルを介してEDに送信し、それに応答してEDから、EDによる対応するプライベートキーを所有している証拠を示す、第2のメッセージから誘導されたメッセージを受信すると、IMDに対して認証される。第1と第2のメッセージから誘導されるメッセージは、EDとIMDのための識別コード等の識別データとともにそれぞれ第1と第2のメッセージを含むこともできる。それぞれのための別々の送信に代えて、第1のメッセージから誘導されたメッセージと第2のメッセージを、結合されたメッセージとしてIMDが送信してもよい(つまり、IMDによって送信される第1のメッセージから誘導されたメッセージが第2のメッセージを含む)。一実施形態においては、第1と第2のメッセージがEDとIMDによって生成された乱数をそれぞれ含む。その場合、第1と第2のメッセージから誘導されたメッセージは、それぞれの乱数自体もしくはそれから誘導された数を含む(たとえば、その乱数を1インクリメントした数)。一方の関係者を他方に対して認証する応答の機密性を維持するために、第1と第2のメッセージから誘導され、それぞれIMDとEDによって送信されるメッセージを、それぞれEDとIMDの公開キーを使用して暗号化してもよい。
【0015】
3.遠隔測定インターロック
前述したとおり、暗号化方法のテクニックを、IMDとEDの相互に対する認証と、安全なデータの送信の両方に使用することができる。しかしながらあらゆる暗号化方法のテクニックは、秘密に保たれる秘密キーまたはプライベートキーに依存する。長距離遠隔測定に関して患者に追加の安全性を提供するために、ここで遠隔測定インターロックと呼んでいるテクニックが採用される。遠隔測定インターロックは、EDとIMDの間における長距離遠隔測定リンクを介した任意の通信を、インターロックがリリースされるまで制限するテクニックである。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して、IMDにイネーブル・コマンドを送信することによってリリースされる。一実施形態においては、インターロックがリリースされるまでいかなる情報の送信も許可されない。これは、より安全な実施形態である。第2の実施形態においては、限られた情報が許可されるが、装置のプログラミングは許可されない。この実施形態は、患者がインターロックをリリースする必要を伴わずに遠隔地における患者のモニタリングをサポートすることができる。
【0016】
遠隔測定インターロックを具体化する1つの方法は、短距離通信チャンネルとして誘導リンクを使用することである。前述したように、伝統的な埋め込み可能な医療装置は、非常にレンジの短い(わずか数インチ)誘導遠隔測定リンクを有している。この遠隔測定インターロックの実装においては、IMDハードウエアが、長距離遠隔測定インターロックをリリースするために誘導的に交換されるキーを伴う誘導リンクが確立されることを必要とする。一実施形態においては、遠隔測定インターロックのリリースが数十分の後にタイムアウトし、セッションを継続するために再び装置の上で誘導ワンドを振ることが必要となる。別の実施形態においては、現在の遠隔測定セッションの終了まで遠隔測定インターロックが満了しない。
【0017】
遠隔測定インターロックを具体化する別の方法は、磁石がIMDの近くに保持されているときに遠隔測定インターロックがリリースされるように、短距離通信チャンネルとして磁石の静磁界を使用する。この実施形態は、IMDが誘導遠隔測定システムを装備していない場合に必要になると考えられる。その場合には、医師またはそのほかの、患者によって信頼されている者に、埋め込み可能な医療装置の上で磁石を振り、プログラミングをイネーブルすることが求められることになる。これにおいてもインターロックのリリースが、所定短時間後、もしくは現在の遠隔測定セッションの終了時に満了する。
【0018】
これらのインターロック・テクニックは、いずれも、患者と物理的に非常に近接した者によってのみインターロックがリリース可能であることから、遠隔地のハッカーからの悪意のあるプログラミングを抑止することができる。またこれらのインターロック・テクニックは、有効なユーザによる不用意なプログラミングも抑止することができる。医師またはそのほかの認証されたユーザが偶発的に誤った装置を用いて遠隔測定セッションを立ち上げることが考えられるため(長距離遠隔測定は、医師のプログラマのレンジ内における複数の患者の存在を許可することになる)、誘導ワンドもしくは磁石を装置の上で振らなければプログラミングをイネーブルできないことは、医師が偶発的に誤った装置をプログラミングすることを防止する。
【0019】
4.安全なデータ通信セッション
認証と遠隔測定インターロックのリリースが行われた後は、IMDとEDは、相手が詐称者でないとの知識の下にそれぞれの装置を用いて長距離遠隔測定リンクを介したデータ通信に進むことができる。しかしながらそのデータ通信セッションの間にデータが平文で送信されると、傍受者がデータを傍受し、患者のプライバシを危険にさらしかねない。したがって、データ通信セッションの間は、EDとIMDの間における通信の一部もしくは全部を暗号化することが望ましい。すべに述べたように、秘密キー暗号化は、公開キー暗号化よりはるかに演算集約的でなく、比較的大量のデータの送信には好ましい。秘密キー暗号化方法が認証に使用される場合には、EDとIMDは、データ送信用に同一の秘密キーを使用することができる。公開キー暗号化方法が認証に使用される場合には、データ通信のために秘密キー暗号化方法を使用することが可能であり、それにおいてはEDまたはIMDのいずれか一方が、EDまたはIMDのいずれか他方に対して、当該他方の公開キーにより暗号化した秘密セッションキーを送信する。その後、両方の関係者がこの秘密セッションキーを使用してデータを暗号化することができる。
【0020】
4.ハードウエア例の説明
図1は、遠隔測定コンポーネント、すなわち埋め込み可能な医療装置1と、2つの代表的な外部装置2、3のブロック図である。これらの装置のそれぞれは、ディジタル・データの処理のためのマイクロプロセッサまたはそのほかのタイプのコントローラを有し、それぞれ10、20、30として示されている。それぞれの装置内のコントローラによって実行されるソフトウエアまたはファームウエアは、種々の通信アルゴリズムやプロトコルを実装でき、それには前述した暗号化、認証、遠隔測定インターロック・スキームが含まれる。受信されるデータと送信されるデータは、変調された搬送波信号またはベースバンド信号のいずれかの受信と送信のために、それぞれの装置内のコントローラにインターフェースされる。それぞれの受信機には、搬送波信号またはベースバンド信号からディジタル・データを抽出するために復調器またはデコーダが組み込まれている。またそれぞれの送信機には、ディジタル・データを用いて搬送波信号を変調するため、あるいはベースバンド信号をエンコードするために変調器またはエンコーダが組み込まれている。それぞれの装置によって送信されるデータは、ディジタル・データであり、特定タイプのデータ・リンク内におけるベースバンド・データとして、あるいは変調された搬送波信号として直接送信することができる。いずれの場合においても、データは、情報の1ないしは複数のビットを表す記号の形式で送信される。たとえば、オン‐オフ振幅シフト・キーイングにおいては、それぞれのパルスが1またはゼロのいずれかを表す。別の変調方法(たとえば、M‐ary変調テクニック)は、より多くの数のビットを表す記号を使用する。
【0021】
外部装置2、3のそれぞれは、通常、埋め込み可能な装置1の再プログラムやそれからのダウンロードをともに行うことができる外部プログラマである。外部装置3は、誘導リンクを介した短距離遠隔測定のために設計された装置を表すことが意図されており、それにおいてはコイルC3が、埋め込み可能な装置の受信機15と送信機14とインターフェースする対応するコイルC1との誘導リンクのために、受信機35と送信機34にインターフェースする。コイルC3は、通常、埋め込み可能な装置の近くに位置決めするためにワンド内に組み込まれ、コイルC1は、通常、埋め込み可能な装置のケースの内側の周囲に巻き付けられる。外部プログラマと心臓ペースメーカのための誘導リンク遠隔測定システムの一例は、ブロックウエイほかに対して発行され、カーディアック・ペースメーカズ・インク(Cardiac Pacemakers,Inc.)に譲渡された特許文献1に述べられており、その開示は、参照によりこれに援用されている。外部装置2は、フラウンホーファ領域の無線送信またはネットワーク経由のいずれかを用いて実装される長距離遠隔測定リンクを介して埋め込み可能な装置1と通信する装置を示すことが意図されている。長距離遠隔測定リンクを介して装置間におけるデータの送受を行うため、埋め込み可能な装置1内のコントローラとデータ受信機11およびデータ送信機12がインターフェースされ、外部装置2内のコントローラとデータ受信機21およびデータ送信機22がインターフェースされる。フラウンホーファ領域の無線リンクの場合には、埋め込み可能な装置1と外部装置2の受信機/送信機のペアが、それぞれアンテナA1、A2とインターフェースされる。長距離遠隔測定がネットワークを介して実装される場合には、外部装置2の受信機/送信機のペアは、ネットワーク接続にインターフェースされることになるが、埋め込み可能な装置1は、ネットワーク接続を伴う中継器ユニットとワイヤレスでインターフェースされることになろう。
【0022】
また埋め込み可能な装置1には、磁気的に作動されるスイッチS1とそれに関連付けされたプルアップ抵抗R1が備えられており、それがコントローラ10とインターフェースされている。この実施形態においては、遠隔測定インターロックが、コイルC1、C3によって構成される誘導リンクを介して外部装置3から送信されたコマンドによってリリースされるか、あるいは外部マグネットM1の近接によるスイッチS1の作動が使用されて遠隔測定インターロックがリリースされる。別の実施形態においては、埋め込み可能な装置が、おそらくは遠隔測定インターロックをリリースするために、1つのタイプの短距離通信チャンネルだけ、つまり磁気的に作動されるスイッチだけ、または誘導リンク遠隔測定システムだけしか有していないこともある。遠隔測定インターロックをリリースするための別のタイプの短距離通信チャンネルも可能であり、それには容量性リンクまたは物理的に取り付けられたスイッチを用いて実装される短距離遠隔測定システムが含まれる。
【0023】
5.特定の実施形態の例
前述したとおり、本発明に従った、埋め込み可能な医療装置のために安全な長距離遠隔測定を提供するシステムは次のうちの任意の1つまたは全部を含むことができる:すなわち(1)短距離通信チャンネルを介してリリースされる遠隔測定インターロック、(2)外部装置と埋め込み可能な装置が互いを識別することができる認証プロトコル、(3)患者のプライバシを確保する長距離遠隔測定通信の暗号化である。以下は、これらの特徴を組み込むスキームの例の説明である。
【0024】
1つの特定の実施形態においては、前述した遠隔測定インターロック・テクニックが、長距離遠隔測定セッションの開始前の安全性を提供するための単独の手段として使用され、暗号化方法による認証プロトコルが使用されず、平文でデータが送信される。別の実施形態においては、長距離遠隔測定セッションの開始のための安全性を提供するために、暗号化方法による認証だけが使用され、遠隔測定インターロックの使用を伴わない。これらの実施形態のいずれにおいても、遠隔測定インターロックのリリースがないか、あるいは暗号化方法による認証がなければ、長距離遠隔測定セッションが完全に防止されるか、特定タイプのデータ送信に限定される。たとえば、遠隔測定インターロックのリリースがないか、あるいは暗号化方法による認証がない場合に長距離遠隔測定を介した埋め込み可能な装置のプログラムを外部装置に許可することは、おそらくは望ましくないが、その場合であっても暗号化を伴うか、あるいはそれを伴わない埋め込み可能な装置からの特定のデータの送信を許可することは可能であろう。別の実施形態においては、暗号化方法による認証と遠隔測定インターロックのいずれも使用されないが、埋め込み可能な装置が公開キーもしくは秘密キー暗号化のいずれかを使用し、長距離遠隔測定リンクを介して特定タイプのデータを外部装置へ送信する。
【0025】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法またはシステムの一例の実施形態は、遠隔測定チャンネルを介したEDとIMDの間における任意の通信を制限する遠隔測定インターロックを含む。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介してIMDにイネーブル・コマンドを送信することによってリリースされる。IMDは、IMDによって所有することが期待されている暗号化キーの使用の証拠を示すIMDからのメッセージをEDが受信すると、EDに対して認証され、EDは、EDによって所有することが期待されている暗号化キーの使用の証拠を示すEDからのメッセージをIMDが受信すると、IMDに対して認証される。その後、IMDとEDが互いに対して認証された後に限り、遠隔測定チャンネルを介したIMDとEDの間のデータ通信セッションが許可される。この認証には、公開キーまたは秘密キーの暗号化方法を使用することができる。別の例の実施形態においては、遠隔測定チャンネルを介したIMDとEDの間の安全な通信が、IMDへの物理的な近接を必要とする短距離通信チャンネルを介したIMDへのイネーブル・コマンドの送信によってリリースされる遠隔測定インターロックだけによって提供される。IMDとEDの間における遠隔測定チャンネルを介したデータ通信は、遠隔測定インターロックがリリースされるまで制限される。
【0026】
別の実施形態においては、IMDによって所有することが期待されている暗号化キーの使用の証拠を示すIMDからのメッセージをEDが受信すると、EDに対してIMDを認証し、EDによって所有することが期待されている暗号化キーの使用の証拠を示すEDからのメッセージをIMDが受信すると、IMDに対してEDを認証し、かつIMDがEDに対して認証された後に限り、遠隔測定チャンネルを介したIMDとEDの間のデータ通信セッションを許可することによって、IMDとEDの間における遠隔測定チャンネルを介した安全な通信が提供される。別の実施形態においては、一方向認証が採用され、その結果、IMDもしくはEDのいずれか一方だけが他方に対して認証されれば、データ通信セッションが許可される。たとえば、EDがあるIMDと通信するときは、EDがそのIMDを認証すれば、それが正しい装置からデータを収集していることがわかる。しかしながら、IMDは、その状態の変更(再プログラム)をEDが試みない限りEDを認証する必要がない。EDがデータを読み取るだけである限り、安全性に関する問題はない(ただし、プライバシ問題は存在し得る)。
【0027】
図2は、遠隔測定インターロックを使用し、秘密キー暗号化方法を用いて認証が行われる実施形態における、外部装置2と埋め込み可能な装置1の間の長距離遠隔測定チャンネルを介した通信セッションを示している。外部装置3からのイネーブル・コマンドによって遠隔測定インターロックがリリースされた後、外部装置2が、キーK1を使用する秘密キー暗号化方法のアルゴリズムによって暗号化されたメッセージM1を送信する。埋め込み可能な装置1は、そのメッセージを解読してM1を獲得し、取り決められた方法(たとえば数M1の1インクリメント)に従ってM1を修正してM1*を求め、キーK1を用いてM1*を暗号化し、埋め込み可能な装置に返すことによって応答する。メッセージを解読してM1*を獲得した後、外部装置2は、埋め込み可能な装置1が秘密キーK1を所有している証拠を示したことからそれを認証する。同時に埋め込み可能な装置1は、秘密キーK1を用いて暗号化したメッセージM2を送信する。外部装置2は、そのメッセージを解読してM2を獲得し、M2を修正してM2*を求め、キーK1を用いてM2*を暗号化して埋め込み可能な装置1に返すことによって応答し、それにより外部装置2が認証される。その後、埋め込み可能な装置1は、キーK1によって暗号化した秘密セッションキーSKを送信する。続いてデータ通信セッションが確保され、その際、いずれかの装置によって秘密セッションキーSKを用いてデータが暗号化されて送信される。別の実施形態においては、データ通信セッションの間においても認証のために使用された秘密キーK1と同じ秘密キーを使用して装置間のデータの交換が行われる。セッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。
【0028】
図3は、遠隔測定インターロックを使用し、公開キー暗号化方法を用いて認証が行われる実施形態における、外部装置2と埋め込み可能な装置1の間の長距離遠隔測定チャンネルを介した通信セッションを示している。外部装置3からのイネーブル・コマンドによって遠隔測定インターロックがリリースされた後、外部装置2が、埋め込み可能な装置によって所有されていると考えられている対応するプライベートキーを有するキーPubKey1を使用する公開キー暗号化方法のアルゴリズムによって暗号化されたメッセージM1を送信する。埋め込み可能な装置は、PubKey1に対応するプライベートキーを用いてそのメッセージを解読してM1を獲得し、外部装置2によって所有されていると考えられている対応するプライベートキーを有する公開キーPubKey2によってM1を暗号化し、埋め込み可能な装置に返すことによって応答する。外部装置2は、外部装置2のプライベートキーを用いてそのメッセージを解読してM1を得ると、埋め込み可能な装置1が公開キーPubKey1に対応するプライベートキーを所有している証拠が示されたことからそれを認証する。同時に埋め込み可能な装置1は、対応するプライベートキーを有する公開キーPubKey2によって暗号化されたメッセージM2を送信する。外部装置2は、PubKey2に対応するプライベートキーを用いてそのメッセージを解読してM2を獲得し、公開キーPubKey1を用いて暗号化されたM2を埋め込み可能な装置1に返すことによって応答し、それにより外部装置2が認証される。また外部装置2は、公開キーPubKey1を用いて暗号化された秘密セッションキーSKを送信する。それより秘密キー暗号化方法を使用するデータ通信セッションが確保され、いずれかの装置によって秘密セッションキーSKを用いてデータが暗号化されて送信される。このセッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。
【0029】
図4は、図3に例示した認証プロトコルのより詳細な実施形態を使用する通信セッションを示している。ここでは、外部装置2と埋め込み可能な装置が互いの公開認証キーを知っていることを前提としている。インスティゲータ(この実施形態においてはインスティゲータが外部装置2である)が埋め込み可能な装置との認証された長距離遠隔測定セッションの確立を希望するとき、その識別番号ID2と乱数RAを、埋め込み可能な装置の公開キーPubKey1を用いて暗号化することから開始する。意図された受信者を除いてその受信者のプライベートキーを知っているリスナがいないことから、(ほかのリスナがその受信者の公開キーを知っていたとしても)意図された受信者を除くリスナは、この情報を解読できない。受信者装置は、そのプライベートキーを用いてこのメッセージを解読する。続いてインスティゲータの公開キーPubkey2をルックアップし、それを使用して自身の識別番号ID1、乱数RA、および第2の乱数RBを暗号化する。続いて受信者は、この暗号化した情報をインスティゲータに戻す。インスティゲータのほかにそのインスティゲータのプライベートキーが知られていないことから、インスティゲータを除くリスナは、この情報を解読できない。インスティゲータは応答を受信すると、それが送った乱数RAを検証し、意図された装置だけがRAを解読し、返すことができたはずであるから、このときそれが通信している埋め込み可能な装置が実際に意図された装置であることがわかる。続いてインスティゲータは、受信者の公開キーPubKey1を用いてRBを暗号化し、それを受信者に返す。受信者は、RBの受信、解読、検証を行い、正しいプライベートキーの所有者だけがRBを解読して返すことができるので、このときインスティゲータが実際にそのプライベートキーの所有者であるとわかる。ここで認証が完了する。この時点においては、通信セッションの両者に、その通信相手が正しいプライベートキーの所有者であることがわかっている。この実施形態においては、認証における両方の関係者によって乱数が使用されており、かつそれらがその都度異なることから、認証済み装置になりすます試みにおいて認証の交換の記録と交換の部分の再送が役立たないことに注意する必要がある。
【0030】
繰り返すが、公開キー暗号化方法のアルゴリズムは演算コストが高いことから、図4の実施形態においては各セッションの開始時の認証のためにだけ使用されており、暗号化されるメッセージは最小サイズである(通常、数百ビット)。インスティゲータは、公開キーPubKey1を用いて暗号化した秘密セッションキーSKを送信し、その結果、秘密キー暗号化方法を使用するデータ通信セッションを行うことができる。この実施形態においては、秘密セッションキーSKが、認証の間にRBを返すフレームと同じフレーム内において受信者装置に送信される。このようにすれば公開キーの暗号化を使用するフレームの数が1つ減らされる(公開キーの暗号化は演算コストが非常に高い)。特定の実施形態においては、秘密セッションキーSKが64ビットである。64ビットのキーは、128ビットの公開キーより解読が容易であるが、比較的短い通常の遠隔測定セッションの持続時間にとっては安全性の提供に充分である。データ通信セッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。別の特定の実施形態においては、それぞれの遠隔測定セッションの終了時にセッションキーが満了となり、次のセッション用の新しいキーがランダムに選択される。
【0031】
データ通信用に秘密キー暗号化方法を使用している場合であっても、埋め込み可能な医療装置にとって、それが送信し、あるいは受信している各メッセージの暗号化または解読が容易でないことがある。現在の心臓リズム管理装置にとって、有意な待ち時間を送信に追加することなくリアルタイムでエレクトログラムを暗号化することは容易でない。したがって一実施形態においては、埋め込み可能な医療装置は、選択的なデータだけを暗号化し、残りのデータは平文で送信する。たとえば、もっとも慎重を要する患者データ(患者の名前、社会保険番号、診断等)を暗号化する。各データ・パケットのヘッダ内の暗号化フラグが、その内容が暗号化されているか否かを表すことができる。
【0032】
公開キーまたは秘密キーいずれかの認証を用いれば、装置を認証する特定のキーを所有している証拠となる。概して言えば、すべての認証プロトコルは、公開キー暗号化方法の場合であればプライベートキーと同程度、秘密キー暗号化方法の場合であれば秘密キーと同程度に安全であるに過ぎない。この理由から、プライベートキーまたは秘密キーは長くするべきである(たとえば、一実施形態においては128ビット)。追加の安全性のためには、プライベートキーまたは秘密キーを、工場において装置内にハード的に接続するか、あるいはその装置によって内部的に生成されるようにして、その後の遠隔測定による読み出しを防止することができる。たとえば、製造間にプライベートキーを装置内にプログラムし、その後その対応公開キーを製品の書類に含めるか、短距離誘導遠隔測定を介して獲得可能とする。医師は、その装置の公開キーをホーム・モニタ、ポータブル中継器、またはプログラマにプログラムすることができる。すべての外部装置は、一意的な公開とプライベート認証キーを有するとともに、製品の書類に公開キーを含める。したがって医師は、多数の外部装置の公開キーを埋め込み可能な装置にプログラムすることができる。別の実施形態においては、埋め込み可能な装置と外部装置の両方が、RSAアルゴリズムにより、あるいはそのほかの標準的なキーペア生成アルゴリズムを通じて新しい公開キー/プライベートキーのペアをランダムに生成することができる。この実施形態の場合には、安全な短距離誘導遠隔測定を介して医師がコマンドを送ったときに、新しいキーの生成が可能になる。
【0033】
好ましい実施形態においては、短距離遠隔測定を介した緊急時には常に通信が可能になるように上記の認証スキームが長距離遠隔測定にのみ適用される。たとえば、装置のリセットもしくはそのほかの認証キーが改ざんされる障害の場合に、長距離の認証済み遠隔測定が可能でなくなる。そのような場合においても、認証キーをリセットに短距離遠隔測定が利用可能である必要がある。認証なしに短距離遠隔測定が利用可能となる必要がある別の例として、掛かり付けの医師から離れて旅行中の患者が装置の問い合わせを必要とする場合が挙げられる。
【0034】
以上、特定の実施形態に関連して本発明を説明してきたが、多くの代用、変形、および修正が当業者には明らかであろう。その種の代用、変形、および修正は、付随する特許請求の範囲に含まれることが意図されている。
【図面の簡単な説明】
【0035】
【図1】埋め込み可能な医療装置のための遠隔測定システムの一例を示したブロック図である。
【図2】秘密キー認証プロトコルを例示した説明図である。
【図3】公開キー認証プロトコルを例示した説明図である。
【図4】特定の公開キー認証プロトコルを例示した説明図である。
【符号の説明】
【0036】
1 埋め込み可能な医療装置;埋め込み可能な装置、2 外部装置、3 外部装置、10 マイクロプロセッサ;コントローラ、11 データ受信機、12 データ送信機、14 送信機、15 受信機、20 マイクロプロセッサ;コントローラ、21 データ受信機、22 データ送信機、30 マイクロプロセッサ;コントローラ、34 送信機、
35 受信機
【技術分野】
【0001】
本発明は、心臓ペースメーカや埋め込み可能な電気的除細動器/除細動器等の埋め込み可能な医療装置に関する。より詳細に述べれば、本発明は遠隔測定データをその種の装置から送信するためのシステムと方法に関する。
【背景技術】
【0002】
ペースメーカや電気的除細動器/除細動器等の心臓リズム管理装置を含む、埋め込み可能な医療装置(IMD)は、通常、無線周波数遠隔測定リンクを介して外部プログラマと呼ばれる外部装置とデータを通信する能力を有する。その種の外部プログラマの1つの用途は、埋め込み可能な医療装置の動作パラメータをプログラムすることである。たとえばペースメーカの、ペーシング・モードやそのほかの動作特性は、一般に埋め込みの後にこの方法で修正される。近代的な埋め込み可能装置は、両方向通信のための能力も含んでおり、その結果、埋め込まれた装置からプログラマへ情報を送信することができる。埋め込み可能装置から一般に遠隔測定されるデータは、種々の動作パラメータや生理学的データであり、後者は、リアルタイムで収集されるか、以前のモニタリング動作からストアされる。
【0003】
外部プログラマは、一般に誘導リンクを介してIMDと通信するべく構成されている。外部プログラマ内のコイル・アンテナとIMDが誘導結合され、その結果、2つの結合されたコイルの共振周波数に対応する無線周波数の搬送波形を変調することによってデータを送信することができる。誘導リンクは、外部装置のコイル・アンテナがIMDに、通常は数インチ内まで近接することを必要とする短距離通信チャンネルである。別のタイプの遠隔測定システムは、フラウンホーファ領域の電磁放射あるいは別のタイプのデータ・リンク、たとえば電話回線またはネットワーク(インターネットを含む)等を使用してより大きな距離にわたって通信することができる。その種の長距離遠隔測定は、埋め込み可能な装置が遠隔地のモニタリング・ユニットへデータを送信すること、あるいは遠隔地からそれをプログラムすることができる。このように長距離遠隔測定は、医師が部屋を隔てて、さらには国までも隔てて患者をモニタし、患者の継続管理を行うことを可能にする。
【0004】
【特許文献1】米国特許第4,562,841号
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら埋め込み可能な医療装置のための長期遠隔測定は、短距離遠隔測定には存在しない特殊な問題をもたらす。誘導リンク等の短距離通信チャンネルを介した埋め込み可能な装置は、外部装置が患者の近くにあることを必要し、そのため医師には、誰の埋め込み可能な装置のプログラムが行われているかがわかり、患者には、埋め込み可能な装置のプログラムと、それからのデータの受信を誰が行っているかがわかる。これに対して長距離遠隔測定は、その種の物理的な近接を必要とせず、医師が誤った装置を不用意にプログラムする可能性を与える。フラウンホーファ領域の電磁放射もしくは何らかの種類のネットワークを介する通信は、意図していないユーザによる通信の傍受も可能にし、その患者のプライバシ問題を浮揚させる。悪意のあるユーザが、長距離遠隔測定システムを使用して埋め込み済み装置の再プログラムを試みることも考えられる。本発明は、これらの問題に注目した長距離遠隔測定を提供するためのシステムと方法である。
【課題を解決するための手段】
【0006】
本発明は、遠隔測定チャンネルを介した埋め込み可能な医療装置(IMD)と外部装置(ED)の間の安全な通信を可能にするための方法とシステムに関係する。一実施態様においては、遠隔測定インターロックが具体化され、それが遠隔測定チャンネルを介したEDとIMDの間の任意の通信を制限する。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介し、EDがIMDに対してイネーブル・コマンドを送信するときにリリースされる。別の実施態様においては、IMDとEDが互いに対して認証された後に限って、IMDとEDの間において遠隔測定チャンネルを介したデータ通信セッションを生じさせることができる。IMDは、EDが、IMDによる所有が期待されている暗号化キーの使用の証拠を示すIMDからのメッセージを受信するときにEDに対して認証され、EDは、IMDが、EDによる所有が期待されている暗号化キーの使用の証拠を示すEDからのメッセージを受信するときにIMDに対して認証される。
【発明を実施するための最良の形態】
【0007】
本発明は、埋め込み済み装置の悪意のある、あるいは不用意な再プログラムの可能性に対して保護する埋め込み可能な医療装置のための長距離遠隔測定に関係する。別の側面においては、このシステムは、データ送信の機密性の維持も提供する。この種の患者の安全と機密性の確保は、3つの別々のテクニックを使用して達成することができる:すなわち、データの暗号化、遠隔測定セッションにおける関係者の認証、遠隔測定インターロックである。
【0008】
1.暗号化/解読
暗号化とは、メッセージがそのメッセージを解読する特別なキーの所有なしに読むことが不可能な方法でメッセージをエンコードするために使用される暗号方法のアルゴリズムを言う。メッセージの暗号化は、そのメッセージに対する暗号化関数を適用することによって行われる。その暗号化関数は、暗号方法のアルゴリズムと暗号化キーによって定義される。以下の説明や参照図面においては、その種の暗号化されたメッセージをE(m,k)として示す。Eは暗号化関数、mは暗号化未済メッセージ、kはそのメッセージの暗号化に使用されるキーである。メッセージの解読は、解読キーkを使用して逆関数Dを暗号化済みメッセージmに適用することを伴い、D(m,k)と表される。
【0009】
暗号化キーと解読キーは、使用されている暗号方法のアルゴリズムのタイプによって同一のこともあれば、異なることもある。秘密キー暗号方法においては、通信している両方の関係者が単一の秘密キーを共有し、それがメッセージの暗号化と解読の両方に使用される。したがって、秘密キー暗号化関数Eによってキーkを用いて暗号化されたメッセージmは、解読関数Dを同一のキーkとともに適用することによって復元される:
m=D(E(m,k),k)
秘密キー暗号方法のアルゴリズムのよく知られている例としては、DES(データ暗号化標準)、AES(米国暗号化標準)、トリプルDES、ブローフィッシュが挙げられる。
【0010】
これに対して公開キー暗号化方法では暗号化キーと解読キーが異なる。公開キー暗号化方法を使用して安全なメッセージを送信するためには、送信者が受信者の公開キーを用いてメッセージを暗号化するが、これはすべての認証済み送信者に知られており、また広く公開されて誰もがメッセージを送信できるようになっている。その後そのメッセージは、そのメッセージの暗号化に使用された公開キーに対応するプライベートキーによってのみ解読が可能であり、このプライベートキーは、メッセージの受信者によって保持され、ほかの誰とも共有されない。したがって、公開キー暗号化関数Eによって公開キーk1を用いて暗号化されたメッセージは、対応するプライベートキーk2とともに解読関数Dを適用することによって復元される:
m=D(E(m,k1),k2)
安全な両方向通信セッションにおける各関係者は、そのためそれぞれ独自のプライベートキーを所有し、かつ相手の公開キーを知っていなければならない。公開キー暗号化方法のアルゴリズムのよく知られた例にRSAがある。
【0011】
公開キーもしくは秘密キー暗号化方法のいずれを使用しても安全にデータを送信することができるが、公開キー暗号化方法のアルゴリズムははるかに演算集約的となる。この理由から、埋め込み可能な装置と外部装置の間における実際のデータ通信のためには、秘密キー暗号化方法を使用する方が通常は好ましい。しかしながら後述するように、認証のために公開キー暗号化方法を使用して、データ通信に使用される秘密キーの送信を使用することができる。
【0012】
2.認証
認証は、通信セッションにおける関係者が高い信頼性をもって互いを識別できるメカニズムまたはプロトコルを言う。認証プロトコルは、秘密キーまたは公開キー暗号化方法を使用して具体化され、埋め込み可能な医療装置(IMD)と外部装置(ED)の互いを認証する。IMDとEDの間における遠隔測定チャンネルを介したデータ通信セッションは、IMDとEDが互いに対して認証された後に限って許可される。公開キーまたは秘密キーの暗号化方法のいずれかによる認証を用いて、IMDは、EDが、IMDによる所有が期待されている暗号化キーの使用の証拠を示すメッセージをIMDから受信するときにEDに対して認証され、EDは、IMDが、EDによる所有が期待されている暗号化キーの使用の証拠を示すメッセージをEDから受信するときにIMDに対して認証される。
【0013】
秘密キー暗号化方法による認証においては、EDが遠隔測定チャンネルを介して第1のメッセージをIMDに送信し、それに応答して、IMDによる所有が期待されている秘密キーによって暗号化されたその第1のメッセージから誘導されたメッセージを受信するとき、IMDがEDに対して認証される。続いてIMDが遠隔測定チャンネルを介して第2のメッセージをEDに送信し、それに応答して、EDによる所有が期待されている秘密キーによって暗号化されたその第2のメッセージから誘導されたメッセージを受信すると、EDがIMDに対して認証される。
【0014】
公開キー暗号化方法を使用する認証プロトコルは次のように機能する。EDが、IMDによる所有が期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化した第1のメッセージを、遠隔測定チャンネルを介してIMDに送信し、それに応答してIMDから、IMDによる対応するプライベートキーを所有している証拠を示す、第1のメッセージから誘導されたメッセージを受信すると、IMDがEDに対して認証される。またEDは、IMDが、EDによる所有が期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化した第2のメッセージを、遠隔測定チャンネルを介してEDに送信し、それに応答してEDから、EDによる対応するプライベートキーを所有している証拠を示す、第2のメッセージから誘導されたメッセージを受信すると、IMDに対して認証される。第1と第2のメッセージから誘導されるメッセージは、EDとIMDのための識別コード等の識別データとともにそれぞれ第1と第2のメッセージを含むこともできる。それぞれのための別々の送信に代えて、第1のメッセージから誘導されたメッセージと第2のメッセージを、結合されたメッセージとしてIMDが送信してもよい(つまり、IMDによって送信される第1のメッセージから誘導されたメッセージが第2のメッセージを含む)。一実施形態においては、第1と第2のメッセージがEDとIMDによって生成された乱数をそれぞれ含む。その場合、第1と第2のメッセージから誘導されたメッセージは、それぞれの乱数自体もしくはそれから誘導された数を含む(たとえば、その乱数を1インクリメントした数)。一方の関係者を他方に対して認証する応答の機密性を維持するために、第1と第2のメッセージから誘導され、それぞれIMDとEDによって送信されるメッセージを、それぞれEDとIMDの公開キーを使用して暗号化してもよい。
【0015】
3.遠隔測定インターロック
前述したとおり、暗号化方法のテクニックを、IMDとEDの相互に対する認証と、安全なデータの送信の両方に使用することができる。しかしながらあらゆる暗号化方法のテクニックは、秘密に保たれる秘密キーまたはプライベートキーに依存する。長距離遠隔測定に関して患者に追加の安全性を提供するために、ここで遠隔測定インターロックと呼んでいるテクニックが採用される。遠隔測定インターロックは、EDとIMDの間における長距離遠隔測定リンクを介した任意の通信を、インターロックがリリースされるまで制限するテクニックである。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して、IMDにイネーブル・コマンドを送信することによってリリースされる。一実施形態においては、インターロックがリリースされるまでいかなる情報の送信も許可されない。これは、より安全な実施形態である。第2の実施形態においては、限られた情報が許可されるが、装置のプログラミングは許可されない。この実施形態は、患者がインターロックをリリースする必要を伴わずに遠隔地における患者のモニタリングをサポートすることができる。
【0016】
遠隔測定インターロックを具体化する1つの方法は、短距離通信チャンネルとして誘導リンクを使用することである。前述したように、伝統的な埋め込み可能な医療装置は、非常にレンジの短い(わずか数インチ)誘導遠隔測定リンクを有している。この遠隔測定インターロックの実装においては、IMDハードウエアが、長距離遠隔測定インターロックをリリースするために誘導的に交換されるキーを伴う誘導リンクが確立されることを必要とする。一実施形態においては、遠隔測定インターロックのリリースが数十分の後にタイムアウトし、セッションを継続するために再び装置の上で誘導ワンドを振ることが必要となる。別の実施形態においては、現在の遠隔測定セッションの終了まで遠隔測定インターロックが満了しない。
【0017】
遠隔測定インターロックを具体化する別の方法は、磁石がIMDの近くに保持されているときに遠隔測定インターロックがリリースされるように、短距離通信チャンネルとして磁石の静磁界を使用する。この実施形態は、IMDが誘導遠隔測定システムを装備していない場合に必要になると考えられる。その場合には、医師またはそのほかの、患者によって信頼されている者に、埋め込み可能な医療装置の上で磁石を振り、プログラミングをイネーブルすることが求められることになる。これにおいてもインターロックのリリースが、所定短時間後、もしくは現在の遠隔測定セッションの終了時に満了する。
【0018】
これらのインターロック・テクニックは、いずれも、患者と物理的に非常に近接した者によってのみインターロックがリリース可能であることから、遠隔地のハッカーからの悪意のあるプログラミングを抑止することができる。またこれらのインターロック・テクニックは、有効なユーザによる不用意なプログラミングも抑止することができる。医師またはそのほかの認証されたユーザが偶発的に誤った装置を用いて遠隔測定セッションを立ち上げることが考えられるため(長距離遠隔測定は、医師のプログラマのレンジ内における複数の患者の存在を許可することになる)、誘導ワンドもしくは磁石を装置の上で振らなければプログラミングをイネーブルできないことは、医師が偶発的に誤った装置をプログラミングすることを防止する。
【0019】
4.安全なデータ通信セッション
認証と遠隔測定インターロックのリリースが行われた後は、IMDとEDは、相手が詐称者でないとの知識の下にそれぞれの装置を用いて長距離遠隔測定リンクを介したデータ通信に進むことができる。しかしながらそのデータ通信セッションの間にデータが平文で送信されると、傍受者がデータを傍受し、患者のプライバシを危険にさらしかねない。したがって、データ通信セッションの間は、EDとIMDの間における通信の一部もしくは全部を暗号化することが望ましい。すべに述べたように、秘密キー暗号化は、公開キー暗号化よりはるかに演算集約的でなく、比較的大量のデータの送信には好ましい。秘密キー暗号化方法が認証に使用される場合には、EDとIMDは、データ送信用に同一の秘密キーを使用することができる。公開キー暗号化方法が認証に使用される場合には、データ通信のために秘密キー暗号化方法を使用することが可能であり、それにおいてはEDまたはIMDのいずれか一方が、EDまたはIMDのいずれか他方に対して、当該他方の公開キーにより暗号化した秘密セッションキーを送信する。その後、両方の関係者がこの秘密セッションキーを使用してデータを暗号化することができる。
【0020】
4.ハードウエア例の説明
図1は、遠隔測定コンポーネント、すなわち埋め込み可能な医療装置1と、2つの代表的な外部装置2、3のブロック図である。これらの装置のそれぞれは、ディジタル・データの処理のためのマイクロプロセッサまたはそのほかのタイプのコントローラを有し、それぞれ10、20、30として示されている。それぞれの装置内のコントローラによって実行されるソフトウエアまたはファームウエアは、種々の通信アルゴリズムやプロトコルを実装でき、それには前述した暗号化、認証、遠隔測定インターロック・スキームが含まれる。受信されるデータと送信されるデータは、変調された搬送波信号またはベースバンド信号のいずれかの受信と送信のために、それぞれの装置内のコントローラにインターフェースされる。それぞれの受信機には、搬送波信号またはベースバンド信号からディジタル・データを抽出するために復調器またはデコーダが組み込まれている。またそれぞれの送信機には、ディジタル・データを用いて搬送波信号を変調するため、あるいはベースバンド信号をエンコードするために変調器またはエンコーダが組み込まれている。それぞれの装置によって送信されるデータは、ディジタル・データであり、特定タイプのデータ・リンク内におけるベースバンド・データとして、あるいは変調された搬送波信号として直接送信することができる。いずれの場合においても、データは、情報の1ないしは複数のビットを表す記号の形式で送信される。たとえば、オン‐オフ振幅シフト・キーイングにおいては、それぞれのパルスが1またはゼロのいずれかを表す。別の変調方法(たとえば、M‐ary変調テクニック)は、より多くの数のビットを表す記号を使用する。
【0021】
外部装置2、3のそれぞれは、通常、埋め込み可能な装置1の再プログラムやそれからのダウンロードをともに行うことができる外部プログラマである。外部装置3は、誘導リンクを介した短距離遠隔測定のために設計された装置を表すことが意図されており、それにおいてはコイルC3が、埋め込み可能な装置の受信機15と送信機14とインターフェースする対応するコイルC1との誘導リンクのために、受信機35と送信機34にインターフェースする。コイルC3は、通常、埋め込み可能な装置の近くに位置決めするためにワンド内に組み込まれ、コイルC1は、通常、埋め込み可能な装置のケースの内側の周囲に巻き付けられる。外部プログラマと心臓ペースメーカのための誘導リンク遠隔測定システムの一例は、ブロックウエイほかに対して発行され、カーディアック・ペースメーカズ・インク(Cardiac Pacemakers,Inc.)に譲渡された特許文献1に述べられており、その開示は、参照によりこれに援用されている。外部装置2は、フラウンホーファ領域の無線送信またはネットワーク経由のいずれかを用いて実装される長距離遠隔測定リンクを介して埋め込み可能な装置1と通信する装置を示すことが意図されている。長距離遠隔測定リンクを介して装置間におけるデータの送受を行うため、埋め込み可能な装置1内のコントローラとデータ受信機11およびデータ送信機12がインターフェースされ、外部装置2内のコントローラとデータ受信機21およびデータ送信機22がインターフェースされる。フラウンホーファ領域の無線リンクの場合には、埋め込み可能な装置1と外部装置2の受信機/送信機のペアが、それぞれアンテナA1、A2とインターフェースされる。長距離遠隔測定がネットワークを介して実装される場合には、外部装置2の受信機/送信機のペアは、ネットワーク接続にインターフェースされることになるが、埋め込み可能な装置1は、ネットワーク接続を伴う中継器ユニットとワイヤレスでインターフェースされることになろう。
【0022】
また埋め込み可能な装置1には、磁気的に作動されるスイッチS1とそれに関連付けされたプルアップ抵抗R1が備えられており、それがコントローラ10とインターフェースされている。この実施形態においては、遠隔測定インターロックが、コイルC1、C3によって構成される誘導リンクを介して外部装置3から送信されたコマンドによってリリースされるか、あるいは外部マグネットM1の近接によるスイッチS1の作動が使用されて遠隔測定インターロックがリリースされる。別の実施形態においては、埋め込み可能な装置が、おそらくは遠隔測定インターロックをリリースするために、1つのタイプの短距離通信チャンネルだけ、つまり磁気的に作動されるスイッチだけ、または誘導リンク遠隔測定システムだけしか有していないこともある。遠隔測定インターロックをリリースするための別のタイプの短距離通信チャンネルも可能であり、それには容量性リンクまたは物理的に取り付けられたスイッチを用いて実装される短距離遠隔測定システムが含まれる。
【0023】
5.特定の実施形態の例
前述したとおり、本発明に従った、埋め込み可能な医療装置のために安全な長距離遠隔測定を提供するシステムは次のうちの任意の1つまたは全部を含むことができる:すなわち(1)短距離通信チャンネルを介してリリースされる遠隔測定インターロック、(2)外部装置と埋め込み可能な装置が互いを識別することができる認証プロトコル、(3)患者のプライバシを確保する長距離遠隔測定通信の暗号化である。以下は、これらの特徴を組み込むスキームの例の説明である。
【0024】
1つの特定の実施形態においては、前述した遠隔測定インターロック・テクニックが、長距離遠隔測定セッションの開始前の安全性を提供するための単独の手段として使用され、暗号化方法による認証プロトコルが使用されず、平文でデータが送信される。別の実施形態においては、長距離遠隔測定セッションの開始のための安全性を提供するために、暗号化方法による認証だけが使用され、遠隔測定インターロックの使用を伴わない。これらの実施形態のいずれにおいても、遠隔測定インターロックのリリースがないか、あるいは暗号化方法による認証がなければ、長距離遠隔測定セッションが完全に防止されるか、特定タイプのデータ送信に限定される。たとえば、遠隔測定インターロックのリリースがないか、あるいは暗号化方法による認証がない場合に長距離遠隔測定を介した埋め込み可能な装置のプログラムを外部装置に許可することは、おそらくは望ましくないが、その場合であっても暗号化を伴うか、あるいはそれを伴わない埋め込み可能な装置からの特定のデータの送信を許可することは可能であろう。別の実施形態においては、暗号化方法による認証と遠隔測定インターロックのいずれも使用されないが、埋め込み可能な装置が公開キーもしくは秘密キー暗号化のいずれかを使用し、長距離遠隔測定リンクを介して特定タイプのデータを外部装置へ送信する。
【0025】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法またはシステムの一例の実施形態は、遠隔測定チャンネルを介したEDとIMDの間における任意の通信を制限する遠隔測定インターロックを含む。遠隔測定インターロックは、IMDに対する物理的な近接を必要とする短距離通信チャンネルを介してIMDにイネーブル・コマンドを送信することによってリリースされる。IMDは、IMDによって所有することが期待されている暗号化キーの使用の証拠を示すIMDからのメッセージをEDが受信すると、EDに対して認証され、EDは、EDによって所有することが期待されている暗号化キーの使用の証拠を示すEDからのメッセージをIMDが受信すると、IMDに対して認証される。その後、IMDとEDが互いに対して認証された後に限り、遠隔測定チャンネルを介したIMDとEDの間のデータ通信セッションが許可される。この認証には、公開キーまたは秘密キーの暗号化方法を使用することができる。別の例の実施形態においては、遠隔測定チャンネルを介したIMDとEDの間の安全な通信が、IMDへの物理的な近接を必要とする短距離通信チャンネルを介したIMDへのイネーブル・コマンドの送信によってリリースされる遠隔測定インターロックだけによって提供される。IMDとEDの間における遠隔測定チャンネルを介したデータ通信は、遠隔測定インターロックがリリースされるまで制限される。
【0026】
別の実施形態においては、IMDによって所有することが期待されている暗号化キーの使用の証拠を示すIMDからのメッセージをEDが受信すると、EDに対してIMDを認証し、EDによって所有することが期待されている暗号化キーの使用の証拠を示すEDからのメッセージをIMDが受信すると、IMDに対してEDを認証し、かつIMDがEDに対して認証された後に限り、遠隔測定チャンネルを介したIMDとEDの間のデータ通信セッションを許可することによって、IMDとEDの間における遠隔測定チャンネルを介した安全な通信が提供される。別の実施形態においては、一方向認証が採用され、その結果、IMDもしくはEDのいずれか一方だけが他方に対して認証されれば、データ通信セッションが許可される。たとえば、EDがあるIMDと通信するときは、EDがそのIMDを認証すれば、それが正しい装置からデータを収集していることがわかる。しかしながら、IMDは、その状態の変更(再プログラム)をEDが試みない限りEDを認証する必要がない。EDがデータを読み取るだけである限り、安全性に関する問題はない(ただし、プライバシ問題は存在し得る)。
【0027】
図2は、遠隔測定インターロックを使用し、秘密キー暗号化方法を用いて認証が行われる実施形態における、外部装置2と埋め込み可能な装置1の間の長距離遠隔測定チャンネルを介した通信セッションを示している。外部装置3からのイネーブル・コマンドによって遠隔測定インターロックがリリースされた後、外部装置2が、キーK1を使用する秘密キー暗号化方法のアルゴリズムによって暗号化されたメッセージM1を送信する。埋め込み可能な装置1は、そのメッセージを解読してM1を獲得し、取り決められた方法(たとえば数M1の1インクリメント)に従ってM1を修正してM1*を求め、キーK1を用いてM1*を暗号化し、埋め込み可能な装置に返すことによって応答する。メッセージを解読してM1*を獲得した後、外部装置2は、埋め込み可能な装置1が秘密キーK1を所有している証拠を示したことからそれを認証する。同時に埋め込み可能な装置1は、秘密キーK1を用いて暗号化したメッセージM2を送信する。外部装置2は、そのメッセージを解読してM2を獲得し、M2を修正してM2*を求め、キーK1を用いてM2*を暗号化して埋め込み可能な装置1に返すことによって応答し、それにより外部装置2が認証される。その後、埋め込み可能な装置1は、キーK1によって暗号化した秘密セッションキーSKを送信する。続いてデータ通信セッションが確保され、その際、いずれかの装置によって秘密セッションキーSKを用いてデータが暗号化されて送信される。別の実施形態においては、データ通信セッションの間においても認証のために使用された秘密キーK1と同じ秘密キーを使用して装置間のデータの交換が行われる。セッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。
【0028】
図3は、遠隔測定インターロックを使用し、公開キー暗号化方法を用いて認証が行われる実施形態における、外部装置2と埋め込み可能な装置1の間の長距離遠隔測定チャンネルを介した通信セッションを示している。外部装置3からのイネーブル・コマンドによって遠隔測定インターロックがリリースされた後、外部装置2が、埋め込み可能な装置によって所有されていると考えられている対応するプライベートキーを有するキーPubKey1を使用する公開キー暗号化方法のアルゴリズムによって暗号化されたメッセージM1を送信する。埋め込み可能な装置は、PubKey1に対応するプライベートキーを用いてそのメッセージを解読してM1を獲得し、外部装置2によって所有されていると考えられている対応するプライベートキーを有する公開キーPubKey2によってM1を暗号化し、埋め込み可能な装置に返すことによって応答する。外部装置2は、外部装置2のプライベートキーを用いてそのメッセージを解読してM1を得ると、埋め込み可能な装置1が公開キーPubKey1に対応するプライベートキーを所有している証拠が示されたことからそれを認証する。同時に埋め込み可能な装置1は、対応するプライベートキーを有する公開キーPubKey2によって暗号化されたメッセージM2を送信する。外部装置2は、PubKey2に対応するプライベートキーを用いてそのメッセージを解読してM2を獲得し、公開キーPubKey1を用いて暗号化されたM2を埋め込み可能な装置1に返すことによって応答し、それにより外部装置2が認証される。また外部装置2は、公開キーPubKey1を用いて暗号化された秘密セッションキーSKを送信する。それより秘密キー暗号化方法を使用するデータ通信セッションが確保され、いずれかの装置によって秘密セッションキーSKを用いてデータが暗号化されて送信される。このセッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。
【0029】
図4は、図3に例示した認証プロトコルのより詳細な実施形態を使用する通信セッションを示している。ここでは、外部装置2と埋め込み可能な装置が互いの公開認証キーを知っていることを前提としている。インスティゲータ(この実施形態においてはインスティゲータが外部装置2である)が埋め込み可能な装置との認証された長距離遠隔測定セッションの確立を希望するとき、その識別番号ID2と乱数RAを、埋め込み可能な装置の公開キーPubKey1を用いて暗号化することから開始する。意図された受信者を除いてその受信者のプライベートキーを知っているリスナがいないことから、(ほかのリスナがその受信者の公開キーを知っていたとしても)意図された受信者を除くリスナは、この情報を解読できない。受信者装置は、そのプライベートキーを用いてこのメッセージを解読する。続いてインスティゲータの公開キーPubkey2をルックアップし、それを使用して自身の識別番号ID1、乱数RA、および第2の乱数RBを暗号化する。続いて受信者は、この暗号化した情報をインスティゲータに戻す。インスティゲータのほかにそのインスティゲータのプライベートキーが知られていないことから、インスティゲータを除くリスナは、この情報を解読できない。インスティゲータは応答を受信すると、それが送った乱数RAを検証し、意図された装置だけがRAを解読し、返すことができたはずであるから、このときそれが通信している埋め込み可能な装置が実際に意図された装置であることがわかる。続いてインスティゲータは、受信者の公開キーPubKey1を用いてRBを暗号化し、それを受信者に返す。受信者は、RBの受信、解読、検証を行い、正しいプライベートキーの所有者だけがRBを解読して返すことができるので、このときインスティゲータが実際にそのプライベートキーの所有者であるとわかる。ここで認証が完了する。この時点においては、通信セッションの両者に、その通信相手が正しいプライベートキーの所有者であることがわかっている。この実施形態においては、認証における両方の関係者によって乱数が使用されており、かつそれらがその都度異なることから、認証済み装置になりすます試みにおいて認証の交換の記録と交換の部分の再送が役立たないことに注意する必要がある。
【0030】
繰り返すが、公開キー暗号化方法のアルゴリズムは演算コストが高いことから、図4の実施形態においては各セッションの開始時の認証のためにだけ使用されており、暗号化されるメッセージは最小サイズである(通常、数百ビット)。インスティゲータは、公開キーPubKey1を用いて暗号化した秘密セッションキーSKを送信し、その結果、秘密キー暗号化方法を使用するデータ通信セッションを行うことができる。この実施形態においては、秘密セッションキーSKが、認証の間にRBを返すフレームと同じフレーム内において受信者装置に送信される。このようにすれば公開キーの暗号化を使用するフレームの数が1つ減らされる(公開キーの暗号化は演算コストが非常に高い)。特定の実施形態においては、秘密セッションキーSKが64ビットである。64ビットのキーは、128ビットの公開キーより解読が容易であるが、比較的短い通常の遠隔測定セッションの持続時間にとっては安全性の提供に充分である。データ通信セッションは、装置の一方がセッション終了信号を送信するまで、あるいはタイムアウトが生じるまで続き、その時点において遠隔測定インターロックが再作動される。別の特定の実施形態においては、それぞれの遠隔測定セッションの終了時にセッションキーが満了となり、次のセッション用の新しいキーがランダムに選択される。
【0031】
データ通信用に秘密キー暗号化方法を使用している場合であっても、埋め込み可能な医療装置にとって、それが送信し、あるいは受信している各メッセージの暗号化または解読が容易でないことがある。現在の心臓リズム管理装置にとって、有意な待ち時間を送信に追加することなくリアルタイムでエレクトログラムを暗号化することは容易でない。したがって一実施形態においては、埋め込み可能な医療装置は、選択的なデータだけを暗号化し、残りのデータは平文で送信する。たとえば、もっとも慎重を要する患者データ(患者の名前、社会保険番号、診断等)を暗号化する。各データ・パケットのヘッダ内の暗号化フラグが、その内容が暗号化されているか否かを表すことができる。
【0032】
公開キーまたは秘密キーいずれかの認証を用いれば、装置を認証する特定のキーを所有している証拠となる。概して言えば、すべての認証プロトコルは、公開キー暗号化方法の場合であればプライベートキーと同程度、秘密キー暗号化方法の場合であれば秘密キーと同程度に安全であるに過ぎない。この理由から、プライベートキーまたは秘密キーは長くするべきである(たとえば、一実施形態においては128ビット)。追加の安全性のためには、プライベートキーまたは秘密キーを、工場において装置内にハード的に接続するか、あるいはその装置によって内部的に生成されるようにして、その後の遠隔測定による読み出しを防止することができる。たとえば、製造間にプライベートキーを装置内にプログラムし、その後その対応公開キーを製品の書類に含めるか、短距離誘導遠隔測定を介して獲得可能とする。医師は、その装置の公開キーをホーム・モニタ、ポータブル中継器、またはプログラマにプログラムすることができる。すべての外部装置は、一意的な公開とプライベート認証キーを有するとともに、製品の書類に公開キーを含める。したがって医師は、多数の外部装置の公開キーを埋め込み可能な装置にプログラムすることができる。別の実施形態においては、埋め込み可能な装置と外部装置の両方が、RSAアルゴリズムにより、あるいはそのほかの標準的なキーペア生成アルゴリズムを通じて新しい公開キー/プライベートキーのペアをランダムに生成することができる。この実施形態の場合には、安全な短距離誘導遠隔測定を介して医師がコマンドを送ったときに、新しいキーの生成が可能になる。
【0033】
好ましい実施形態においては、短距離遠隔測定を介した緊急時には常に通信が可能になるように上記の認証スキームが長距離遠隔測定にのみ適用される。たとえば、装置のリセットもしくはそのほかの認証キーが改ざんされる障害の場合に、長距離の認証済み遠隔測定が可能でなくなる。そのような場合においても、認証キーをリセットに短距離遠隔測定が利用可能である必要がある。認証なしに短距離遠隔測定が利用可能となる必要がある別の例として、掛かり付けの医師から離れて旅行中の患者が装置の問い合わせを必要とする場合が挙げられる。
【0034】
以上、特定の実施形態に関連して本発明を説明してきたが、多くの代用、変形、および修正が当業者には明らかであろう。その種の代用、変形、および修正は、付随する特許請求の範囲に含まれることが意図されている。
【図面の簡単な説明】
【0035】
【図1】埋め込み可能な医療装置のための遠隔測定システムの一例を示したブロック図である。
【図2】秘密キー認証プロトコルを例示した説明図である。
【図3】公開キー認証プロトコルを例示した説明図である。
【図4】特定の公開キー認証プロトコルを例示した説明図である。
【符号の説明】
【0036】
1 埋め込み可能な医療装置;埋め込み可能な装置、2 外部装置、3 外部装置、10 マイクロプロセッサ;コントローラ、11 データ受信機、12 データ送信機、14 送信機、15 受信機、20 マイクロプロセッサ;コントローラ、21 データ受信機、22 データ送信機、30 マイクロプロセッサ;コントローラ、34 送信機、
35 受信機
【特許請求の範囲】
【請求項1】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするためのシステムであって、
前記遠隔測定チャンネルを介した前記EDと前記IMDの間の任意の通信を制限する遠隔測定インターロックを実施する手段と、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによって前記遠隔測定インターロックをリリースする手段と、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証する手段と、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証する手段と、
前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを、前記IMDと前記EDが互いに対して認証された後に限って許可する手段と
を包含するシステム。
【請求項2】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするためのシステムであって、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによってリリースされる遠隔測定インターロックを実施する手段と、
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記IMDとEDの間のデータ通信を制限する手段と
を包含するシステム。
【請求項3】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項2に記載のシステム。
【請求項4】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項2に記載のシステム。
【請求項5】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記遠隔測定チャンネルを介した前記EDと前記IMDの間の任意の通信を制限する遠隔測定インターロックを実施すること、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによって前記遠隔測定インターロックをリリースすること、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証すること、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを、前記IMDと前記EDが互いに対して認証された後に限って許可すること
を包含する方法。
【請求項6】
前記EDと前記IMDは、公開キー暗号化方法を使用し、
前記EDが、前記IMDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化済みの第1のメッセージを、遠隔測定チャンネルを介して前記IMDに送信し、かつそれに応答して前記第1のメッセージから誘導された、したがって前記IMDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記IMDから受信すると、前記IMDを前記EDに対して認証すること、
前記IMDが、前記EDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化済みの第2のメッセージを、遠隔測定チャンネルを介して前記EDに送信し、かつそれに応答して前記第2のメッセージから誘導された、したがって前記EDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記EDから受信すると、前記EDを前記IMDに対して認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項7】
前記第1のメッセージから誘導される前記メッセージは前記第1のメッセージを含み、前記第2のメッセージから誘導される前記メッセージは前記第2のメッセージを含む請求項6に記載の方法。
【請求項8】
前記第1と第2のメッセージは、前記EDと前記IMDによって生成される乱数をそれぞれ含む請求項6に記載の方法。
【請求項9】
前記第1と第2のメッセージは、前記EDと前記IMDのための識別番号のコードをそれぞれ含む請求項6に記載の方法。
【請求項10】
前記第1と第2のメッセージから誘導され、前記IMDと前記EDによってそれぞれ送信される前記メッセージは、前記EDと前記IMDの前記公開キーを使用してそれぞれ暗号化される請求項6に記載の方法。
【請求項11】
前記第1のメッセージから誘導され、前記IMDによって送信される前記メッセージが前記第2のメッセージを含む請求項6に記載の方法。
【請求項12】
さらに、前記データ通信セッションの間の前記EDと前記IMDの間における通信を暗号化することを含む請求項5に記載の方法。
【請求項13】
さらに、前記データ通信セッションの間の前記EDと前記IMDの間における通信を、秘密キー暗号化方法を用いて暗号化することを含み、その際、前記秘密キーデータ通信セッションは、前記EDもしくは前記IMDのいずれか一方が前記EDもしくは前記IMDの他方に対して後者の公開キーによって暗号化した秘密セッションキーを送信することによって確立される請求項6に記載の方法。
【請求項14】
前記EDもしくは前記IMDのいずれか一方がセッションのインスティゲータとして指定され、前記EDもしくは前記IMDの他方がセッションの受信者として指定され、前記EDと前記IMDは、公開キー暗号化方法を使用し、
インスティゲータが、前記受信者によって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化することであって、その際、前記第1のメッセージは、前記インスティゲータのための識別番号のコードと乱数(RA)を含み、
前記インスティゲータが、前記遠隔測定チャンネルを介して前記受信者に前記暗号化済み第1のメッセージを送信すること、
前記受信者がそれ自体のプライベートキーを用いて前記第1のメッセージを解読し、前記第1のメッセージ内に含まれている前記識別番号のコードを使用して前記インスティゲータによって所有されていることが期待されているプライベートキーを有する公開キーをルックアップし、前記インスティゲータの前記公開キーを用いて第2のメッセージを暗号化することであって、その際、前記第2のメッセージは、前記受信者の識別番号のコード、前記乱数(RA)、第2の乱数(RB)を含み、
前記受信者が、前記遠隔測定チャンネルを介して前記インスティゲータに前記暗号化済み第2のメッセージを送信すること、
前記インスティゲータが、それ自体の前記第2のメッセージの暗号化に使用された公開キーに対応するプライベートキーを用いて前記第2のメッセージを解読し、前記第2のメッセージが(RA)を含むことを検証し、それによって前記受信者を認証すること、
前記インスティゲータが、前記第2のメッセージから誘導した第3のメッセージを前記受信者の前記公開キーを用いて暗号化することであって、その際前記第3のメッセージは、前記第2の乱数(RB)を含み、
前記インスティゲータが、前記遠隔測定チャンネルを介して前記受信者に前記暗号化済み第3のメッセージを送信すること、
前記受信者が、それ自体の、前記第3のメッセージの暗号化に使用された公開キーに対応するプライベートキーを用いて前記第3のメッセージを解読し、前記第3のメッセージが第2の乱数(RB)を含むことを検証し、それによって前記インスティゲータを認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項15】
さらに、秘密キー暗号化方法を用いて前記データ通信セッションの間の前記インスティゲータと前記受信者の間における通信を暗号化することを含み、その際、前記秘密キーデータ通信セッションは、前記インスティゲータが前記受信者に、前記受信者の公開キーを用いて暗号化された秘密セッションキーを送信することによって確立される請求項14に記載の方法。
【請求項16】
前記秘密セッションキーは、前記インスティゲータによって送信される前記第3のメッセージ内に含められる請求項15に記載の方法。
【請求項17】
前記EDと前記IMDが秘密キー暗号化方法を使用し、
前記EDが前記遠隔測定チャンネルを介して第1のメッセージを前記IMDに送信し、それに応答して、前記IMDによって所有されていることが期待されている秘密キーによって暗号化された前記第1のメッセージから誘導されたメッセージを受信したとき、前記EDに対して前記IMDを認証すること、
前記IMDが前記遠隔測定チャンネルを介して第2のメッセージを前記EDに送信し、それに応答して、前記EDによって所有されていることが期待されている秘密キーによって暗号化された前記第2のメッセージから誘導されたメッセージを受信したとき、前記IMDに対して前記EDを認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項18】
データ通信セッションが終了した後、前記遠隔測定インターロックが再作動され、前記遠隔測定インターロックが再びリリースされるまで前記遠隔測定チャンネルを介した通信を制限する請求項5に記載の方法。
【請求項19】
前記遠隔測定インターロックがリリースされるまで、前記EDと前記IMDの間におけるあらゆる通信が許可されない請求項5に記載の方法。
【請求項20】
前記遠隔測定インターロックがリリースされていない場合であっても、前記IMDから前記EDに対するデータの送信を許可する前記遠隔測定チャンネルを介したデータ通信セッションを確立することができるが、前記EDによる前記IMDのプログラミングは、前記遠隔測定インターロックがリリースされない限り実行できない請求項5に記載の方法。
【請求項21】
前記遠隔測定チャンネルは、フラウンホーファ領域無線周波数通信リンクである請求項5に記載の方法。
【請求項22】
前記遠隔測定チャンネルは、インターネット・リンクを含む請求項5に記載の方法。
【請求項23】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項5に記載の方法。
【請求項24】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項5に記載の方法。
【請求項25】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによってリリースされる遠隔測定インターロックを実施すること、
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記IMDと前記EDの間におけるデータ通信を制限すること
を包含する方法。
【請求項26】
前記遠隔測定チャンネルを介したデータ通信セッションが終了した後、前記遠隔測定インターロックが再作動され、前記遠隔測定インターロックが再びリリースされるまで前記遠隔測定チャンネルを介した通信が制限される請求項25に記載の方法。
【請求項27】
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記EDと前記IMDの間におけるあらゆる通信が許可されない請求項25に記載の方法。
【請求項28】
前記遠隔測定インターロックがリリースされていない場合であっても、前記IMDから前記EDに対するデータの送信を許可する前記遠隔測定チャンネルを介したデータ通信セッションを確立することができるが、前記EDによる前記IMDのプログラミングは、前記遠隔測定インターロックがリリースされない限り実行できない請求項25に記載の方法。
【請求項29】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項25に記載の方法。
【請求項30】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項25に記載の方法。
【請求項31】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証すること、
前記IMDが前記EDに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること、
を包含する方法。
【請求項32】
さらに、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記IMDと前記EDが互いに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること
を包含する請求項31に記載の方法。
【請求項33】
前記EDと前記IMDが公開キー暗号化方法を使用し、
前記EDが、前記IMDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化済みの第1のメッセージを、遠隔測定チャンネルを介して前記IMDに送信し、かつそれに応答して前記第1のメッセージから誘導された、したがって前記IMDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記IMDから受信すると、前記IMDを前記EDに対して認証すること、
前記IMDが、前記EDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化済みの第2のメッセージを、遠隔測定チャンネルを介して前記EDに送信し、かつそれに応答して前記第2のメッセージから誘導された、したがって前記EDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記EDから受信すると、前記EDを前記IMDに対して認証すること
によって互いに対して認証される請求項32に記載の方法。
【請求項34】
前記EDと前記IMDが秘密キー暗号化方法を使用し、
前記EDが前記遠隔測定チャンネルを介して前記IMDに第1のメッセージを送信し、それに応答して、前記IMDによって所有されていることが期待されている秘密キーによって暗号化された前記第1のメッセージから誘導されたメッセージを受信したとき、前記EDに対して前記IMDを認証すること、
前記IMDが前記遠隔測定チャンネルを介して前記EDに第2のメッセージを送信し、それに応答して、前記EDによって所有されていることが期待されている秘密キーによって暗号化された前記第2のメッセージから誘導されたメッセージを受信したとき、前記IMDに対して前記EDを認証すること
によって互いに対して認証される請求項32に記載の方法。
【請求項35】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記EDが前記IMDに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること
を包含する方法。
【請求項1】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするためのシステムであって、
前記遠隔測定チャンネルを介した前記EDと前記IMDの間の任意の通信を制限する遠隔測定インターロックを実施する手段と、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによって前記遠隔測定インターロックをリリースする手段と、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証する手段と、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証する手段と、
前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを、前記IMDと前記EDが互いに対して認証された後に限って許可する手段と
を包含するシステム。
【請求項2】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするためのシステムであって、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによってリリースされる遠隔測定インターロックを実施する手段と、
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記IMDとEDの間のデータ通信を制限する手段と
を包含するシステム。
【請求項3】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項2に記載のシステム。
【請求項4】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項2に記載のシステム。
【請求項5】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記遠隔測定チャンネルを介した前記EDと前記IMDの間の任意の通信を制限する遠隔測定インターロックを実施すること、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによって前記遠隔測定インターロックをリリースすること、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証すること、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを、前記IMDと前記EDが互いに対して認証された後に限って許可すること
を包含する方法。
【請求項6】
前記EDと前記IMDは、公開キー暗号化方法を使用し、
前記EDが、前記IMDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化済みの第1のメッセージを、遠隔測定チャンネルを介して前記IMDに送信し、かつそれに応答して前記第1のメッセージから誘導された、したがって前記IMDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記IMDから受信すると、前記IMDを前記EDに対して認証すること、
前記IMDが、前記EDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化済みの第2のメッセージを、遠隔測定チャンネルを介して前記EDに送信し、かつそれに応答して前記第2のメッセージから誘導された、したがって前記EDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記EDから受信すると、前記EDを前記IMDに対して認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項7】
前記第1のメッセージから誘導される前記メッセージは前記第1のメッセージを含み、前記第2のメッセージから誘導される前記メッセージは前記第2のメッセージを含む請求項6に記載の方法。
【請求項8】
前記第1と第2のメッセージは、前記EDと前記IMDによって生成される乱数をそれぞれ含む請求項6に記載の方法。
【請求項9】
前記第1と第2のメッセージは、前記EDと前記IMDのための識別番号のコードをそれぞれ含む請求項6に記載の方法。
【請求項10】
前記第1と第2のメッセージから誘導され、前記IMDと前記EDによってそれぞれ送信される前記メッセージは、前記EDと前記IMDの前記公開キーを使用してそれぞれ暗号化される請求項6に記載の方法。
【請求項11】
前記第1のメッセージから誘導され、前記IMDによって送信される前記メッセージが前記第2のメッセージを含む請求項6に記載の方法。
【請求項12】
さらに、前記データ通信セッションの間の前記EDと前記IMDの間における通信を暗号化することを含む請求項5に記載の方法。
【請求項13】
さらに、前記データ通信セッションの間の前記EDと前記IMDの間における通信を、秘密キー暗号化方法を用いて暗号化することを含み、その際、前記秘密キーデータ通信セッションは、前記EDもしくは前記IMDのいずれか一方が前記EDもしくは前記IMDの他方に対して後者の公開キーによって暗号化した秘密セッションキーを送信することによって確立される請求項6に記載の方法。
【請求項14】
前記EDもしくは前記IMDのいずれか一方がセッションのインスティゲータとして指定され、前記EDもしくは前記IMDの他方がセッションの受信者として指定され、前記EDと前記IMDは、公開キー暗号化方法を使用し、
インスティゲータが、前記受信者によって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化することであって、その際、前記第1のメッセージは、前記インスティゲータのための識別番号のコードと乱数(RA)を含み、
前記インスティゲータが、前記遠隔測定チャンネルを介して前記受信者に前記暗号化済み第1のメッセージを送信すること、
前記受信者がそれ自体のプライベートキーを用いて前記第1のメッセージを解読し、前記第1のメッセージ内に含まれている前記識別番号のコードを使用して前記インスティゲータによって所有されていることが期待されているプライベートキーを有する公開キーをルックアップし、前記インスティゲータの前記公開キーを用いて第2のメッセージを暗号化することであって、その際、前記第2のメッセージは、前記受信者の識別番号のコード、前記乱数(RA)、第2の乱数(RB)を含み、
前記受信者が、前記遠隔測定チャンネルを介して前記インスティゲータに前記暗号化済み第2のメッセージを送信すること、
前記インスティゲータが、それ自体の前記第2のメッセージの暗号化に使用された公開キーに対応するプライベートキーを用いて前記第2のメッセージを解読し、前記第2のメッセージが(RA)を含むことを検証し、それによって前記受信者を認証すること、
前記インスティゲータが、前記第2のメッセージから誘導した第3のメッセージを前記受信者の前記公開キーを用いて暗号化することであって、その際前記第3のメッセージは、前記第2の乱数(RB)を含み、
前記インスティゲータが、前記遠隔測定チャンネルを介して前記受信者に前記暗号化済み第3のメッセージを送信すること、
前記受信者が、それ自体の、前記第3のメッセージの暗号化に使用された公開キーに対応するプライベートキーを用いて前記第3のメッセージを解読し、前記第3のメッセージが第2の乱数(RB)を含むことを検証し、それによって前記インスティゲータを認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項15】
さらに、秘密キー暗号化方法を用いて前記データ通信セッションの間の前記インスティゲータと前記受信者の間における通信を暗号化することを含み、その際、前記秘密キーデータ通信セッションは、前記インスティゲータが前記受信者に、前記受信者の公開キーを用いて暗号化された秘密セッションキーを送信することによって確立される請求項14に記載の方法。
【請求項16】
前記秘密セッションキーは、前記インスティゲータによって送信される前記第3のメッセージ内に含められる請求項15に記載の方法。
【請求項17】
前記EDと前記IMDが秘密キー暗号化方法を使用し、
前記EDが前記遠隔測定チャンネルを介して第1のメッセージを前記IMDに送信し、それに応答して、前記IMDによって所有されていることが期待されている秘密キーによって暗号化された前記第1のメッセージから誘導されたメッセージを受信したとき、前記EDに対して前記IMDを認証すること、
前記IMDが前記遠隔測定チャンネルを介して第2のメッセージを前記EDに送信し、それに応答して、前記EDによって所有されていることが期待されている秘密キーによって暗号化された前記第2のメッセージから誘導されたメッセージを受信したとき、前記IMDに対して前記EDを認証すること
によって互いに対して認証される請求項5に記載の方法。
【請求項18】
データ通信セッションが終了した後、前記遠隔測定インターロックが再作動され、前記遠隔測定インターロックが再びリリースされるまで前記遠隔測定チャンネルを介した通信を制限する請求項5に記載の方法。
【請求項19】
前記遠隔測定インターロックがリリースされるまで、前記EDと前記IMDの間におけるあらゆる通信が許可されない請求項5に記載の方法。
【請求項20】
前記遠隔測定インターロックがリリースされていない場合であっても、前記IMDから前記EDに対するデータの送信を許可する前記遠隔測定チャンネルを介したデータ通信セッションを確立することができるが、前記EDによる前記IMDのプログラミングは、前記遠隔測定インターロックがリリースされない限り実行できない請求項5に記載の方法。
【請求項21】
前記遠隔測定チャンネルは、フラウンホーファ領域無線周波数通信リンクである請求項5に記載の方法。
【請求項22】
前記遠隔測定チャンネルは、インターネット・リンクを含む請求項5に記載の方法。
【請求項23】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項5に記載の方法。
【請求項24】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項5に記載の方法。
【請求項25】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記IMDに対する物理的な近接を必要とする短距離通信チャンネルを介して前記IMDにイネーブル・コマンドを送信することによってリリースされる遠隔測定インターロックを実施すること、
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記IMDと前記EDの間におけるデータ通信を制限すること
を包含する方法。
【請求項26】
前記遠隔測定チャンネルを介したデータ通信セッションが終了した後、前記遠隔測定インターロックが再作動され、前記遠隔測定インターロックが再びリリースされるまで前記遠隔測定チャンネルを介した通信が制限される請求項25に記載の方法。
【請求項27】
前記遠隔測定インターロックがリリースされるまで、前記遠隔測定チャンネルを介した前記EDと前記IMDの間におけるあらゆる通信が許可されない請求項25に記載の方法。
【請求項28】
前記遠隔測定インターロックがリリースされていない場合であっても、前記IMDから前記EDに対するデータの送信を許可する前記遠隔測定チャンネルを介したデータ通信セッションを確立することができるが、前記EDによる前記IMDのプログラミングは、前記遠隔測定インターロックがリリースされない限り実行できない請求項25に記載の方法。
【請求項29】
前記短距離通信チャンネルは、前記IMDと別の装置の間における誘導通信リンクである請求項25に記載の方法。
【請求項30】
前記短距離通信チャンネルは、前記IMD内のスイッチであり、前記IMDに近接して保持される磁石によって作動されて前記遠隔測定インターロックをリリースする請求項25に記載の方法。
【請求項31】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記EDが前記IMDから、前記IMDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記IMDを前記EDに対して認証すること、
前記IMDが前記EDに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること、
を包含する方法。
【請求項32】
さらに、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記IMDと前記EDが互いに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること
を包含する請求項31に記載の方法。
【請求項33】
前記EDと前記IMDが公開キー暗号化方法を使用し、
前記EDが、前記IMDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第1のメッセージを暗号化し、その暗号化済みの第1のメッセージを、遠隔測定チャンネルを介して前記IMDに送信し、かつそれに応答して前記第1のメッセージから誘導された、したがって前記IMDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記IMDから受信すると、前記IMDを前記EDに対して認証すること、
前記IMDが、前記EDによって所有されていることが期待されている対応するプライベートキーを有する公開キーを用いて第2のメッセージを暗号化し、その暗号化済みの第2のメッセージを、遠隔測定チャンネルを介して前記EDに送信し、かつそれに応答して前記第2のメッセージから誘導された、したがって前記EDによって前記対応するプライベートキーが所有されている証拠を示すメッセージを前記EDから受信すると、前記EDを前記IMDに対して認証すること
によって互いに対して認証される請求項32に記載の方法。
【請求項34】
前記EDと前記IMDが秘密キー暗号化方法を使用し、
前記EDが前記遠隔測定チャンネルを介して前記IMDに第1のメッセージを送信し、それに応答して、前記IMDによって所有されていることが期待されている秘密キーによって暗号化された前記第1のメッセージから誘導されたメッセージを受信したとき、前記EDに対して前記IMDを認証すること、
前記IMDが前記遠隔測定チャンネルを介して前記EDに第2のメッセージを送信し、それに応答して、前記EDによって所有されていることが期待されている秘密キーによって暗号化された前記第2のメッセージから誘導されたメッセージを受信したとき、前記IMDに対して前記EDを認証すること
によって互いに対して認証される請求項32に記載の方法。
【請求項35】
埋め込み可能な医療装置(IMD)と外部装置(ED)の間における遠隔測定チャンネルを介した安全な通信を可能にするための方法であって、
前記IMDが前記EDから、前記EDによって所有されていることが期待されている暗号化キーの使用の証拠を示すメッセージを受信したとき、前記EDを前記IMDに対して認証すること、
前記EDが前記IMDに対して認証された後に限って前記IMDと前記EDの間において前記遠隔測定チャンネルを介したデータ通信セッションが生じることを許可すること
を包含する方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2007−524456(P2007−524456A)
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−517513(P2006−517513)
【出願日】平成16年6月22日(2004.6.22)
【国際出願番号】PCT/US2004/019902
【国際公開番号】WO2005/000397
【国際公開日】平成17年1月6日(2005.1.6)
【出願人】(505003528)カーディアック・ペースメーカーズ・インコーポレーテッド (466)
【Fターム(参考)】
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成16年6月22日(2004.6.22)
【国際出願番号】PCT/US2004/019902
【国際公開番号】WO2005/000397
【国際公開日】平成17年1月6日(2005.1.6)
【出願人】(505003528)カーディアック・ペースメーカーズ・インコーポレーテッド (466)
【Fターム(参考)】
[ Back to top ]