移植可能医療デバイスを用いたデータ交換セッションの安全な認証
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するためのシステム(161)および方法(200)が提供される。移植可能医療デバイス(103)と独自に関連する暗号キー(122)が、データ交換セッション(182)の間、データ(131)を認証するために規定される。安全接続(181)は、暗号キー(122)を安全に保持する安全キーリポジトリ(163)と、外部ソース(161)から確立される。移植可能医療デバイス(103)におけるデータ(131)をアクセスするための認証は、安全キーリポジトリ(163)から暗号キー(122)を安全に引き出すことによって認証される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は一般に、データ交換セッション認証に関し、特に、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムおよび方法に関する。
【背景技術】
【0002】
心臓病は、心臓および血管に関する数種類の心臓および心臓血管疾患ならびに共通の病的性質(co−morbidity)に関する。心臓病は、薬物と生活様式の修正との組み合わせを介して、よく治療される。過酷な場合においては、移植可能医療デバイス(IMD)として言及されるモニタリングまたは療法配信(therapy delivery)デバイスは、必要な場合、心臓性能データを収集し、心臓に療法を配信するために外科的に移植される。当業者によって理解されるように、IMDは、神経刺激を提供、薬物を投薬、および他の機能のためにも使用される。
【0003】
周期的に、IMDによって収集されたデータは、更なる分析のためにダウンロードされ得、要求された場合、IMDを再プログラムするために新しい性能命令がアップロードされ得る。一般的にIMDは、データ交換セッションにおいて、身体の外に配置されるプログラマまたは専用のリピータと通信する。患者リスクを最小限にするために、誘導遠隔測定(inductive telemetry)のような無線遠隔測定が、IMDと非侵襲的に通信するために通常使用される。
【0004】
誘導遠隔測定は、情報を送信するために少しのオンボードエネルギーを要求または全く要求しないが、誘導遠隔測定はわずかな欠点を有する。初めに、誘導遠隔測定は短距離、一般的に約6センチであり、患者とプログラマまたはリピータとの間に近接性を要求する。患者の動きが限定される一方、データ伝送は進行中である。更に、誘導遠隔測定は、キャリア信号周波数に対して直接比例する、遅いデータ伝送レートを有する。低周波数信号のみが、IMDの金属ケーシングの低域通過フィルタリング効果によって使用され得、1秒につき数キロビットの送信スピードという結果となる。この伝送レートは、通常、患者の生理学的データの数百万ビットを含み得る現代的IMDに対して不十分である。
【0005】
最近、無線周波数(RF)遠隔測定、長距離遠隔測定の形式は、参考に援用される開示内容である、Amundsonらによる、2002年9月24日に公布された同一出願人に係る米国特許第6,456,256号、Von Arxらによる、2003年6月3日に公布された米国特許第6,574,510号、Amundsonらによる、2003年9月2日に公布された米国特許第6,614,406号において記載されるように、誘導遠隔測定に対して実行可能な代替として明らかになった。誘導遠隔測定とは違って、RF遠隔測定は長距離であり、リピータを使用せずに患者から約20フィート以上延びている。この距離は、IMDがアクセスされている間、患者の自由な動きを可能にする。RF遠隔測定は、ダウンロード時間をかなり短くし得る高データ伝送レートをも提供する。
【0006】
前途有望であるが、IMDにおけるRF遠隔測定の使用は、重大なプライバシおよび安全性についての関心事を潜在的にあげる。IMDとプログラマまたはリピータとの間に交換される患者識別可能健康情報のような機密情報は、漏洩することを予防するために保護されるべきである。データ交換セッションを開始する前に、臨床医は、好ましくは最初に患者に知らせ、次いで患者の知識のみを用いて進む。誘導遠隔測定の短距離は、インフォームドコンセントを必要とするが、RF遠隔測定のより長い距離は、適切な患者/臨床医認証を確保するために追加の事前対策を要求できる。同様に、RF遠隔測定のより広い送信半径は、第三者が認証なしにデータ交換セッションをモニタまたは干渉することを可能にし得る。最後に、データ交換セッションは、間違った患者と誤って行われ得る。
【0007】
Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directiveを含む最近制定された医療情報プライバシ法は、患者のプライバシおよび安全を保護する重要性を強調し、全ての患者識別可能健康情報(PHI)の保護を要求する。HIPAAの下において、PHIは、個人の過去、現在、未来の身体的および精神的健康または状態、もしくはヘルスケア提供者、健康プラン、雇い主またはヘルスケアクリアリングハウスによって生成または受け取られる、個人に対するヘルスケアの支給または支払いに関する識別可能人口統計および他の情報を含む個別的識別可能健康情報として規定される。
【0008】
HIPAAのような医療情報プライバシ法の広範囲は、RF遠隔測定を介して提供されるようなより長い送信距離を用いるIMDにおける患者プライバシ、もしくは盗聴、遮断または干渉を可能にする状況の下における機密情報交換を提供する他の安全ではないデータインターフェースに影響し得る。機密情報は、長距離送信の前に暗号化されるべきである。IMDのための現行の利用可能データ認証技術は、機密情報を満足に保護できる。これらの技術は一般的に、データ交換セッションの間に送信される機密情報を暗号化および解読するために、送信者および受信者のそれぞれによって必要とされる暗号キーを要求する。暗号キーは、データ交換セッションの間にコマンドを認証、データ保全性をチェック、および必要に応じて任意のPHIを含む機密情報を暗号化するために使用され得る。好ましくは、暗号キーは、各IMDに対して固有である。しかしながら、認証は、IMDからプログラマまたはリピータへの暗号キーの識別も適切に保護されている場合においてのみ、十分な患者データセキュリティを提供できる。
【0009】
したがって、暗号キー交換のための安全方法を使用することによる患者プライバシおよび安全を保証するためのシステムおよび方法が必要とされる。好ましくは、そのような手法は、データ交換セッションの前に臨床医/患者認証を安全にし、IMDと、プログラマ、リピータまたは同様のデバイスとの間における安全な暗号キー交換を処理することを容易にする。
【発明の開示】
【課題を解決するための手段】
【0010】
移植されたIMDと長距離遠隔測定が可能な外部ソースとの間におけるデータ交換セッションを開始する前に、RFプログラマ、リピータまたは無線コンピュータデバイスによって提供されるような患者/臨床医認証が、データ交換セッションの間において、暗号キーが識別され、使用のために引き出される間に完成されるべきである。暗号キーは、安全キーリポジトリ(repository)において保持され、長距離遠隔測定リンクを通じて送信される場合において、個別のコマンドを認証し、データ保全性をチェックし、かつ必要に応じて、任意のPHIを含む機密情報を暗号化し、または前述したものの組み合わせを行うために使用され得る。暗号キーは、予めプログラムおよびIMDに永続的に格納され得、もしくはIMD、プログラマまたは専用リピータにおいてダイナミックに(dynamically)生成され得る。暗号キーは、キーの形式および暗号キーを保持するデバイスの種類に基づいて、暗号キーのソースから引き出される。例えば、暗号キーがIMDに格納されている場合、プログラマは、暗号キーを誘導遠隔測定を介して引き出す。暗号キーが安全データベースにおいて保持されている場合、プログラマは、安全データベースをサービスする安全サーバへの安全接続を介して、暗号キーを得る。暗号キーが物理的トークンにおいて提供された場合、プログラマは、例えば、光学的、磁気的、またはシリアル通信インターフェースを介して、物理的トークンから暗号キーにアクセスするための手段を含む。成功した認証の後、外部ソースおよび移植可能医療デバイスは、長距離遠隔測定に遷移することによって、データ交換セッションを処理する。
【0011】
一実施形態は、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムおよび方法を提供する。移植可能医療デバイスと独自に関連する暗号キーが、データ交換セッションの間、データを認証するために規定される。安全接続は、暗号キーを安全に保持する安全キーリポジトリと、外部ソースから確立される。移植可能医療デバイスにおけるデータをアクセスするための認証は、安全キーリポジトリから暗号キーを安全に引き出すことによって認証される。
【0012】
更なる実施形態は、移植可能医療デバイスを用いてデータ交換セッションを安全に処理するためのシステムおよび方法を提供する。移植可能医療デバイスとの通信は、短距離インターフェースを使用して、安全に保持された暗号キーへのアクセスを認証することによって認証される。データ交換セッションは、移植可能医療デバイスを用いた成功したアクセス認証において、長距離インターフェースに遷移することによって開始される。データ交換セッションは、暗号キーを使用して、移植可能医療デバイスに格納される患者健康情報にアクセスすることによって処理される。
【0013】
本発明の更なる実施形態は、本発明を行うために最良に考慮された方法によって示された発明の説明された実施形態である以下の詳細な説明から、当業者に明らかになるであろう。理解されるように、本発明は、その精神および範囲から逸脱せず、他のおよび異なる実施形態が可能であり、そのいくつかの詳細は、様々な明白な点における修正が可能である。したがって、図面および詳細な説明は、限定的ではなく、本質において例示的であることに考慮されたい。
【発明を実施するための最良の形態】
【0014】
図1は、例えば、本発明の実施形態に従う患者の生理学的パラメータをモニタリングする移植可能医療デバイス(IMD)103を示すブロック図100である。IMD103は、患者の胸または腹部に外科的に移植され、一般的にハウジング104およびターミナルブロック105から成る。IMD103は、ターミナルブロック105において、リード106a〜bのセットに結合される。手術の間、リード106a〜bは、静脈を縫うように通り、かつ各リード106a〜bの末端(distal tip)が心臓102の中の組織と直接接触するように配置されて、リード106a〜bは心臓102に配置される。
【0015】
ハウジング104は、電池107、制御回路網108、メモリ109、および遠隔測定回路網110を含む。電池107は、IMD構成要素のための有限電源を提供する。制御回路網108は、未処理のデータ信号をサンプリングおよび処理し、信号フィルタおよび増幅器、メモリおよびマイクロプロセッサベースのコントローラを含む。メモリ109は、未処理の生理学的信号が後の受信および解析のために格納され得るメモリストアを含む。遠隔測定回路網110は、IMD103と、プログラマまたは専用リピータ(図示せず)のような外部デバイスとの間におけるインターフェースを提供する。遠隔測定回路網110は、動作パラメータが、IMD103との遠隔測定通信において外部デバイスを介してメモリ109に非侵襲的にプログラムされることを可能にする。遠隔測定回路網110は、IMD103によって収集され、メモリ109に一時的に格納された患者情報が、処理および解析のために外部デバイスに送信されることも可能にする。
【0016】
IMD103は、各リード106a〜bの末端に配置される電極111a〜bを介して心臓102と直接電気通信している。例えば、リード106a〜bのセットは、右心室電極111aおよび右心房電極111bを含み得る。右心室電極111aは、好ましくは、心臓102の右室心尖部112に配置され、右心房電極111bは、好ましくは、心臓102の右の心房室113に配置される。電極111a〜bは、IMD103が、好ましくはミリボルト測定を介して、未処理の生理学的測定を直接収集することを可能にする。当業者によって理解されるように、単一および複数のリードならびに単一および複数の電極の使用の含む、リードおよび電極の他の構成および配列が使用され得る。
【0017】
当業者によって理解されるように、記載の実施形態において、IMD103は、徐脈を管理するために使用される心ペースメーカ、頻搏を治療するために使用される移植可能電気細動除去器(cardioverter defibrillator)(IMD)、ならびにうっ血性心不全と同様に律動問題のような心臓の構造問題をモニタリングおよび治療するための他の種類の移植可能心臓血管モニタおよび治療用デバイスの一部として実施され得る。記載の実施形態における使用のために適した心ペースメーカの実施例は、Guidant Corporation,St.Paul,MNによって販売されるPulsar Max II、Discovery、およびDiscovery IIペーシングシステムを含む。記載の実施形態における使用のために適したIMDの実施例は、Guidant Corporation,St.Paul,Minnによって更に販売されるContak Renewal心臓再同期療法細動除去器を含む。
【0018】
通常、メモリ109に格納されている未処理の生理学的信号が引き出される。例えば、プログラマまたはリピータ(図示せず)は、未処理の生理学的信号を引き出すために使用され得る。しかしながら、IMD103と通信するのに適したプログラマ、リピータ、質問器、レコーダ、モニタ、またはトランシーバの任意の形が使用され得る。更に、サーバ、パーソナルコンピュータまたはデジタルデータプロセッサは、直接または移植可能医療デバイス103と通信するように構成されるトランシーバを介して、IMD103とインターフェースで接続され得る。
【0019】
短距離データ交換のために、IMD103は、IMD103の配置上に位置するワンド(wand)を介して交換される誘導遠隔測定信号を介して、プログラマまたはリピータと通信する。プログラミングまたは質問命令は、IMD103に送信され、格納された未処理の生理学的信号は、プログラマにダウンロードされる。長距離データ交換のために、IMD103は、無線周波数(RF)プログラマ、リピータまたは他の無線コンピュータデバイスのような長距離遠隔測定が可能な外部デバイスと通信する。当業者によって理解されるように、他の種類のデータインターフェースが可能である。図2を参照して以下にさらに説明されるように、長距離データ交換セッションを開始する前に、患者/臨床医認証は、安全な暗号キー122受信を介して実行される。
【0020】
更なる実施形態においては、IMD103は、IMD103と外部デバイスとの間における通信を制限する遠隔測定インターロックを含む。患者/臨床医認証は、安全な暗号キー122受信と一緒に使用され得る、遠隔測定インターロックの解放を介して安全化される。参考に援用される開示内容である、2003年6月23日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/601,763に記載されるように、外部デバイスが、短距離遠隔測定を介してENABLE命令をIMD103に送信した場合、遠隔測定インターロックは解放される。
【0021】
誘導遠隔測定を用いるプログラマの実施例は、引き出された未処理の生理学的信号を取り外し可能フロッピー(登録商標)ディスケットに格納するための能力を含む、Guidant Corporation,Indianapolis,INによって製造されるModel 2920 Programmer Recorder Monitorである。未処理の生理学的信号は、パーソナルコンピュータまたは同様の処理デバイスを使用して、後で電気的に移動され得る。
【0022】
他の代替の未処理の生理学的信号移動手段も使用され得る。例えば、格納された未処理の生理学的信号は、IMD103から引き出され得、参考に援用される開示内容である1992年5月19日に公布されたNappholzらによる米国特許第5,113,869号に記載されるように、遠隔外部のプログラマおよび解析器と遠隔電話通信器との組み合わせを使用してネットワークに電気的に移動され得る。同様に、参考に援用される開示内容である1998年5月19日に公布されたDuffinらによる米国特許第5,752,976号に記載されるように、格納された未処理の生理学的信号は引き出され得、ワールドワイドな患者位置およびデータ遠隔測定システムを使用してサーバに遠隔にダウンロードされ得る。
【0023】
当業者によって理解されるように、移植可能心臓モニタリングおよび療法配信に関連して説明されたが、IMDは、神経刺激、薬物投薬、ならびに他の移植可能と同様に外部のモニタリングおよび療法配信デバイスも含む。
【0024】
図2は、暗号キー生成および認証を示す処理フロー図120である。データ交換セッションの間、任意のPHIを含む機密情報は、IMD103と、プログラマ123、リピータ124または他の無線コンピュータデバイス125のような外部ソースとの間におけるRFまたは長距離遠隔測定の任意の形式を介して交換される。当業者によって理解されるように、データ交換セッションは、他の種類の安全ではないデータインターフェースを通じても処理され得る。しかしながら、任意のそのような安全ではないインターフェースを通じてデータ交換セッションを開始する前に、患者/臨床医認証は安全化される必要がある。患者/臨床医認証または単に「認証」は、臨床医が、患者に直接または含意によって知らせ、IMD103に保持される患者情報にアクセスし、必要な場合、IMD103を質問および再プログラムするための認証を安全化する間、患者と臨床医との間における肯定相互作用を必然的に含む。認証は、臨床医が、データ交換セッションを間違った患者または患者の知識なしに誤って開始しないように保証する。認証は、IMD103と独自に関連する暗号キー122を安全に得る機会をも提供する。
【0025】
認証は、スタティックに(statically)生成および永続的に格納される暗号キー、ダイナミックに生成および永続的に格納される暗号キー、ダイナミックに生成および永続的に格納されないセッション暗号キー、またはそれらの組み合わせを使用して完成され得る。永続的に格納される暗号キー122は、プログラマ、患者デジグネータ、安全データベース、トークン、またはリピータのような固定安全キーリポジトリおよびIMD自体に保持される。スタティックに生成および永続的に格納される暗号キーは、製造処理の間のように、移植の前にIMD103に格納される。ダイナミックに生成および永続的に格納される暗号キーは、例えば、移植後の短距離遠隔測定を使用するIMD103への次のダウンロードのためにプログラマ123によって、ダイナミックに生成される。ダイナミックに生成および永続的に格納されないセッション暗号キーも、ダイナミックに生成されIMD103と共有されるが、永続的に格納されず、単一の患者データ交換のために使用される。各暗号キー122は、IMD103に独自に割り当てられる。一実施形態においては、暗号キー103は、128ビットの長さを有する、対称的である、または128ビットの長さでありかつ対称的である。他の暗号キーの長さおよび対称も可能である。
【0026】
暗号キー122は、データ交換セッションを開始する前に認証を実行するために、IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125によって使用される。認証を完成するにおいて、患者情報は、暗号キー122を更に使用して、明確または必要に応じて、暗号化された形式において送信され得る。一実施形態においては、交換される機密情報は、オリジナルな識別特徴(fingerprint)を形成するために暗号キー122を用いて送信端(sending end)においてハッシュされる。機密情報およびオリジナルな識別特徴は送信され、機密情報は、比較識別特徴を形成するために暗号キー12を用いて受信端(receiving end)において再度ハッシュされる。オリジナルおよび比較識別特徴が一致した場合、機密情報は認証される。
【0027】
記載される実施形態において、暗号キー122は3つの機能を提供する。
【0028】
(1)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125の両方が、RFまたは他の長距離無線リンクを通じてデータ交換セッションの間に交換される個別のコマンドを認証することを可能にする。認証は、行われる唯一のコマンドが、信頼できるソースから生じるコマンドであることを保証する。
【0029】
(2)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125が、RFまたは他の長距離無線リンクを通じて受信された機密情報の保全性をチェックすることを可能にする。データ保全性チェックは、行われる唯一のコマンドが、悪意的または誤ってのどちらかにおいて変更されていないコマンドであることを保証する。更なる実施形態においては、参考に援用される開示内容である、2004年3月15日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第____号の「Cryptographic Authentication for Telemetry With An Implantable Medical Device」代理人整理番号第0279.718US1に記載されるように、IMD103は、プログラマ123、リピータ124、または他の無線コンピュータデバイス125から受信されるメッセージの保全性を検証し、反対に、プログラマ123、リピータ124、または他の無線コンピュータデバイス125は、IMD103から受信されたメッセージの保全性を検証する。
【0030】
(3)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125が、RFまたは他の長距離無線リンクを通じて送信または受信された、任意のPHIを含む機密情報を暗号化および解読することを可能にする。暗号化は、機密情報が、適用可能な患者健康情報プライバシ法および規則に従ってRFまたは他の長距離無線リンクを通じて安全に送信されることを可能にする。更なる実施形態においては、参考に援用される開示内容である、2004年3月15日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/801,150号に記載されるように、プログラマ123、リピータ125、または他の無線コンピュータデバイス125は、ヘルスケア提供者による引き出しのためのスタティックデータとして、かつIMDによる使用のために、IMDに格納され得る、任意のPHIを含む、機密情報を予め暗号化する。
【0031】
一実施形態においては、個別のコマンドおよび患者データ保全性は、Keyed−Hashed Message Authenticationプロトコル(HMAC)のような標準認証プロトコルを使用して認証され、機密情報は、Advanced Encryption Standardプロトコル(AES)のような標準暗号化プロトコルを使用して暗号化される。参考に援用される開示内容である、2003年6月23日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/601,763号に記載されるように、他の認証および暗号化技術ならびにプロトコルと同様に、暗号キー122の使用に関する他の機能が可能である。
【0032】
図3は、患者健康情報(PHI)記録131を示すデータ構造図130である。最低限、患者健康情報は、特定の個人を健康および医療関連情報に識別する。HIPAAの下においては、保護を要求し、例えば、名前132、誕生日133、および患者識別番号134を含む患者健康情報の18のカテゴリがある。保護可能な患者健康情報は、暗号化された形式において格納され得る18のカテゴリのうち1つ以上を含み得る。更に、各記録131は、他の種類の識別および治療プロフィール情報、医療履歴、ならびに他の関連データも含み得る。PHIに追加されまたその代わりに、他の種類の機密情報も保護可能になり得る。
【0033】
図4A〜図4Eは、例えば、本発明の実施形態に従う、移植可能医療デバイスとのデータ交換セッションを安全に認証するためのシステムを示す機能的ブロック図である。各システムにおいては、暗号キー122は、暗号キー122を安全に提供するための他の手段が可能であるが、短距離誘導遠隔測定を介し、患者デジグネータを介し、安全データベースルックアップを介し、トークンを使用しまたはリピータ124を介して、プログラマ123またはリピータ124に安全に提供される。
【0034】
暗号キー122は、移植の前に再プログラムされおよびIMD103に永続的に格納され、もしくは移植後の短距離遠隔測定を使用して、IMD103によってまたはIMD103への次のダウンロードのためにプログラマ123によってダイナミックに生成されるかのどちらかである。暗号キー122は、好ましくは、128ビットキーであり、対称的または非対称的になり得る。
【0035】
IMD103は、遠隔RFトランシーバを用い、長距離遠隔測定を介してインターフェースで接続するオンボードRFトランシーバ(図示せず)を含む。参考に援用される開示内容である、Amundsonによる、2002年9月24日に公布された同一出願人に係る米国特許第6,456,256号に記載されるように、オンボードトランシーバは、周囲アンテナがIMD103の外部ケーシングの周りを包んで、IMD103に統合される。参考に援用される開示内容である、Von Arxらによる、2003年6月3日に公布された同一出願人に係る米国特許第6,574,510号に記載されるように、RF通信は、オンボードRFトランシーバによって放射される電磁エネルギーの周波数、位相角、または振幅のいずれかを変化されることによって実行される。
【0036】
初めに図4Aを参照すると、短距離遠隔測定を介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム140が示される。認証は、誘導遠隔測定を使用してプログラマ123とIMD103との間に短距離遠隔測定リンク142を介して提供される、患者/臨床医認証を用いて開始する。ワンド141は、暗号キー122を、遠隔測定リンク142を通じてプログラマ123に送信するIMD103の配置上に位置される。患者と臨床医との間の個人対話は、患者/臨床医認証が完成されたことを保証する。
【0037】
暗号キー122を受信するにおいて、プログラマ123は、RF遠隔測定を使用し、長距離遠隔測定リンク143を通じて、IMD103から患者情報を引き出すため、もしくはプログラミングまたは質問命令をIMD103に送信するために、暗号キー122を使用する。IMD103は、プログラマ123に不可欠なRFトランシーバ145とインターフェースで接続する。
【0038】
IMD103は、短距離遠隔測定を介し、ワンド141を介して、プログラマ123と通信する。短距離遠隔測定は、非排他的に、誘導遠隔測定を含む。データは、ASK(振幅シフトキー)、FSK(周波数シフトキー)、PSK(位相シフトキー)、およびQPSK(直角位相シフトキー)のような標準プロトコルを使用して、IMD103とプログラマ123との間においてデジタルに交換される。参考に援用される開示内容である、Brockwayらによる、1986年1月2日に公布された同一出願人に係る米国特許第4,562,841号に記載されるように、信号は、ワンド141を介して誘導的に交換される。
【0039】
更なる実施形態においては、患者情報は、暗号化されていない形式においてIMD103に格納される。暗号化されていない患者情報は、短距離誘導遠隔測定を介してのみ直接引き出され得る。しかしながら、IMD103は、長距離遠隔測定を介する通信のために、暗号化されていない患者情報を暗号化することもできる。例えば、プログラマ123は、短距離遠隔測定信号を介してIMD103と通信されるセッション暗号キー122を生成できる。IMD103は次いで、セッション暗号キー122を、長距離遠隔測定を介して患者情報を暗号化および通信するために使用し得る。
【0040】
更なる実施形態においては、1つ以上のリピータ(図示せず)は、遠隔測定信号を、IMD103のオンボードRFトランシーバからRFトランシーバ145へリレーすることによって、長距離遠隔測定通信を増補する。
【0041】
次いで図4Bを参照すると、患者デジグネータ151を介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム150が示される。認証は、患者デジグネータ151を介して提供される、患者/臨床医認証を用いて開始する。患者デジグネータは、短距離遠隔測定リンク152を介して、IMD103のような他のデバイスと通信する電池式デバイスである。データは、ASK、FSK、PSK、およびQPSKのような標準プロトコルを使用して、IMD103と患者デジグネータ151との間においてデジタルに交換される。
【0042】
一実施形態においては、患者デジグネータ151は、暗号キー122を、短距離遠隔測定リンク152を介してIMD103から引き出し、引き出された暗号キー122をプログラマ123に提供する。患者デジグネータ151は、いくつかのインターフェースのうちの1つを介して、プログラマ123とインターフェースで接続する。初めに、患者デジグネータ151およびプログラマ123は、RS−232C、USBまたはIEEE 1394インターフェース仕様のようなシリアル接続を通じてインターフェースで接続できる。患者デジグネータ151およびプログラマ123は、誘導遠隔測定リンクを介してもインターフェースで接続できる。最後に、患者デジグネータ151およびプログラマ123は、安全な無線暗号化リンクを介してインターフェースで接続できる。患者デジグネータ151とプログラマ123との間における他の種類のインターフェーシングが可能である。
【0043】
更なる実施形態においては、1つ以上のリピータ(図示せず)は、遠隔測定信号を、IMD103のオンボードRFトランシーバからRFトランシーバ145へリレーすることによって、長距離遠隔測定通信を増補する。
【0044】
更なる実施形態においては、患者デジグネータ151は、短距離遠隔測定リンク152を使用してIMD103にプログラムされる128ビット暗号キー122を、無作為に生成できる。患者デジグネータ151は、同様に、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを使用して、同等の暗号キー122をプログラマ123にプログラムする。
【0045】
更なる実施形態においては、IMD103は、永続的に格納される暗号キー122を用いて予めプログラムされる。患者デジグネータ151は、暗号キー122を、短距離遠隔測定リンク152を介してIMD103から引き出し、引き出された暗号キー122を、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを介してプログラマ123に提供する。
【0046】
更なる実施形態においては、プログラマ123は、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを介して患者デジグネータ151に予めプログラムされるセッション暗号キー122を、無作為に生成する。患者デジグネータ151は次に、臨床医がデータ交換セッションを潜在的に後で開始した場合、セッション暗号キーをIMD103にプログラムする。
【0047】
次に図4Cを参照すると、安全ルックアップを介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム160が示される。認証は、安全ルックアップを介して、患者/臨床医認証を用いて開始する。IMD103は、永続的に格納される暗号キー122を用いて予めプログラムされる。暗号キー122は、暗号キー122をIMD103と関連させるキーテーブル163ならびに認可された臨床医およびパスワードを含む安全データベース162にも格納される。臨床医は、安全サーバ161を介して安全データベース162にアクセスし、成功認証において暗号キー122をキーテーブル163から引き出す。プログラマ123は、Secure Socket Layer(SSL)またはInternet Protocol security(IPSec)を介して提供されるように、安全接続を介して安全サーバ161とインターフェースで接続する。更なる実施形態においては、プログラマ123は、専用のシリアルまたは配線接続を介して安全サーバ161とインターフェースで接続する。
【0048】
次に、図4Dを参照すると、トークン171を使用し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム170が示される。認証は、物理的トークン171を使用し、患者/臨床医認証を用いて開始する。物理的トークン171は、英数字テキスト、バーコードまたは他の外見上現れる表示のような物理的ラベルを介して、もしくはトランジスタ、メモリ回路、または他の種類の電気的または磁気的読取可能ストレージ媒体を介してのように内部ストレージを介して、のうちのどちらかによって暗号キー122を記録する。外見上、物理的トークン171は、ブレスレット、ペンダントまたはコインのような身に付けられる宝石類の形、スマートカードまたはバーコードカードのような札入れサイズのカードの形、および他の物理的な形になり得る。
【0049】
IMD103は、患者または診療所に提供される物理的トークン171にも格納される、永続的に格納される暗号キー122を用いて予めプログラムされる。データ交換セッションを開始する前に、暗号キー122は、例えば、プログラマ123において提供されるリーダ172を使用して物理的トークン171を読み取ることによって、物理的トークン171から引き出される。一実施形態においては、プログラマ123は、短距離遠隔測定を介して物理的トークン171を読み取る。更なる実施形態においては、物理的トークン171は、光学的にプログラマ123によって読み取られるバーコードを含む。プログラマ123における使用のために適したバーコードリーダの例は、Intelli Innovations,Inc.,Cary,NCによって製造されるintelliScaner 5000XLである。更なる実施形態においては、物理的トークン171は、トランジスタまたは同様の電子部品を含み、暗号キー122は、物理的トークン171から電気的または磁気的に引き出される。更なる実施形態においては、物理的トークン171は、暗号キー122を永続的に格納するための固体素子を含み、プログラマ123は、シリアルインターフェース接続を介して暗号キー122を引き出す。更なる実施形態においては、暗号キー122は、物理的トークン171から物理的に読み取られた後、プログラマ123にマニュアル的にエンターされる。
【0050】
最後に、図4Eを参照すると、リピータ124を介し、IMD103を用いるデータ交換セッション182を安全に認証するためのシステム180が示される。認証は、患者/臨床医認証を用いて開始する。一実施形態においては(図示せず)、IMD103およびリピータ124の両方は、例えば製造処理の間において、同等の永続的暗号キー122を用いて予めプログラムされる。患者/臨床医認証のこの形式は、個人の患者のための独自のIMD103に対して特定のリピータ124の割当181を利用し、それによって、リピータ124が暗号キー122を用いて予めプログラムされることを可能にする。
【0051】
更なる実施形態においては、IMD103に割り当てられる暗号キー122は、安全データベース162に保持されるキーテーブル163に格納される。暗号キー122は、安全サーバ161との認証の後に、リピータ124によって安全データベース162から引き出される。認可され、工場によって提供されたリピータ124のみが、暗号キー122のコピーを受信でき、それによって、患者/臨床医認証を保証する。
【0052】
図4Bを参照して更に上述されたように、更なる実施形態においては(図示せず)、暗号キー122は、患者デジグネータ151を介して提供される患者/臨床医認証に類似する方法において、短距離遠隔測定を介し、プログラマ123によってIMD103から引き出される。したがって、プログラマ123は、短距離遠隔測定リンクを介してIMD103から暗号キー122を引き出し、シリアル接続、短距離遠隔測定リンク、安全無線接続、または他の同様インターフェースを介して、暗号キー122をリピータ124に提供する。
【0053】
図5は、例えば、IMD103の周りに規定される安全領域を示すブロック図190である。患者/臨床医認証は、ロジカルに規定された安全領域191内においてのみ処理され得る一方、データ交換セッションはロジカルに規定された安全ではない領域192において処理され得、提供される患者/臨床医認証はうまく完成され、全ての患者情報は適切に暗号化される。
【0054】
安全領域191の範囲193は、処理される患者/臨床医認証の形式に基づく。例えば、短距離誘導遠隔測定は、約6センチの範囲193を有する。安全ではない領域194の範囲は、同様に、使用される長距離遠隔測定の形式による。RF遠隔測定に対しては、範囲194は、プログラマ123またはリピータ124に関連する患者の方向付け(orientation)によって、患者から20フィート以上になり得る。暗号化の使用は、安全領域191の範囲193が、暗号化または認証を介し、安全ではない領域192によって提供される拡張された範囲195を有することを可能にする。
【0055】
図6は、本発明の実施形態に従う、IMD103を用いてデータ交換セッションを安全に認証するための方法200を示すフロー図である。方法200は、例えば、プログラマ123、リピータ124、または他の構成要素によって実行され得る、処理動作または工程の一連として記載される。動作は、患者/臨床医認証を提供するために、短距離遠隔測定、患者デジグネータ、安全ルックアップを介して、物理的トークンを使用して、およびリピータによって各実施形態における様々な構成要素によって実行される。
【0056】
初めに、暗号キー122が生成される(ブロック201)。システムによって、暗号キー122は、移植後に短距離遠隔測定を使用するIMD103への次のダウンロードのために、プログラマ123、または適用可能な場合、リピータ124によってダイナミックに生成され得る。同様に、暗号キー122は、製造処理の間に生成され得、移植の前にIMD103に永続的に格納される。代替的に、暗号キー122は、IMD103によってダイナミックに生成され得る。安全ルックアップおよび物理的トークンを使用するシステムは、暗号キー122がIMD103の外部およびそこから独立する手段を介して安全に提供されるため、永続的に格納される暗号キー122とのみ動作できる。短距離遠隔測定、患者デジグネータ、およびリピータを使用するシステムは、永続的に格納される暗号キー122またはダイナミックに生成される暗号キー122のどちらかと動作できる。
【0057】
次に、安全接続は、暗号キー122のソースを用いて確立される(ブロック202)。安全接続の形式は、キーソースの種類による。例えば、キーソースがIMD103の場合、安全接続は、誘導遠隔測定リンクを介して確立され得る。キーソースが安全データベース162におけるキーテーブル163であった場合、安全接続は、専用のシリアルまたは配線接続を介して、もしくはSSLまたはIPSecを介して提供されるような、ロジカルな安全ネットワーク接続を介して、安全サーバ161に確立され得る。同様に、キーソースが物理的トークン171であった場合、安全接続は、リーダ172、または光学的、磁気的スマートカードおよび短距離遠隔測定リンクのような同様の物理的情報引き出しメカニズムを介して確立され得る。最後に、キーソースがリピータ124であった場合、安全接続は、例えば、誘導または磁気的遠隔測定もしくは専用のシリアルまたは配線接続を介して、リピータ124と互換性のあるインターフェースを介して確立され得る。
【0058】
図7〜図11を参照して以下に更に説明されるように、暗号キー122は、認証および得られる(ブロック203)。最後に、データ交換セッションは、IMD103とプログラマ123またはリピータ124との間において処理される(ブロック204)。次いで、方法は終了する。
【0059】
図7は、一実施形態に従って、短距離遠隔測定を介して暗号キー認証を実行するためのルーチンを示すフロー図210である。このルーチンの目的は、プログラマ123を使用し、誘導または磁気遠隔測定を介して、暗号キー122をIMD103から安全に直接引き出すことである。
【0060】
短距離遠隔測定接続は、IMD103とプログラマ123との間において確立される(ブロック211)。暗号キー122が予めプログラムされている場合、すなわちIMD103に永続的に格納される場合(ブロック212)、暗号キー122は、短距離遠隔測定リンクを通じてIMD103から引き出される(ブロック214)。暗号キー122が予めプログラムされていない場合(ブロック212)、IMD103は暗号キー122を生成し(ブロック213)、暗号キー122はプログラマ123によって引き出される(ブロック214)。更なる実施形態においては、プログラマ123は、IMD103にダウンロードされる暗号キー122をダイナミックに生成する。IMD103からの暗号キーの成功した引き出しにおいて、短距離遠隔測定接続は閉じられ(ブロック215)、ルーチンは戻る。
【0061】
図8は、一実施形態に従って、患者デジグネータ151を介して暗号キー認証を実行するためのルーチン220を示すフロー図である。このルーチンの目的は、患者デジグネータ151を使用し、誘導または磁気遠隔測定を介して、暗号キー122をIMD103から安全に直接引き出すことである。
【0062】
短距離遠隔測定接続は、IMD103と患者デジグネータ151との間において確立される(ブロック221)。暗号キー122が予めプログラムされている場合、すなわちIMD103に永続的に格納される場合(ブロック222)、暗号キー122は、短距離遠隔測定リンクを通じてIMD103から引き出される(ブロック224)。暗号キー122が予めプログラムされていない場合(ブロック222)、IMD103またはプログラマ123は暗号キー122を生成し(ブロック223)、暗号キー122は患者デジグネータ151によって引き出される(ブロック224)。更なる実施形態においては、プログラマ123は、IMD103および患者デジグネータ151にダウンロードされる暗号キー122をダイナミックに生成する。IMD103からの暗号キーの成功した引き出しにおいて、短距離遠隔測定は閉じられる(ブロック225)。
【0063】
次いで、患者デジグネータ151とプログラマ123との間において接続が確立される。接続は、一連の短距離遠隔測定、安全な暗号化された無線、または他の形式の安全接続を介してあり得る。暗号キー122は、患者デジグネータ151からプログラマ123によって引き出され(ブロック227)、接続は閉じられる(ブロック228)。次いで、ルーチンは戻る。
【0064】
図9は、一実施形態に従って、安全ルックアップを介して暗号キー認証を実行するためのルーチン230を示すフロー図である。このルーチンの一目的は、安全データベース162に記録されるように、予めプログラムされ、IMD103に永続的に格納される暗号キー122と一致する暗号キー122を引き出すことである。
【0065】
安全データベース162へのアクセスを提供するために、プログラマ123と安全サーバ161との間において安全接続が確立される(ブロック231)。安全接続は、専用のシリアルまたは配線接続を介して、または安全なリモートネットワーク接続を介してあり得る。IMD103は安全サーバ161に識別され、リクエストプログラマ123の適切な認証は完成される(ブロック232)。暗号キー122は次いで、キーテーブル163から引き出され(ブロック233)、安全接続は閉じられる(ブロック234)。次いで、ルーチンは戻る。
【0066】
図10は、一実施形態に従って、物理的トークン171を使用して暗号キー認証を実行するためのルーチン240を示すフロー図である。このルーチンの一目的は、使用される物理的トークン171の形式に基づいて、暗号キー122を物理的トークン171から引き出すことである。
【0067】
プログラマ123は、暗号キー記録の形式に基づいて物理的トークン171にアクセスし(ブロック241)、暗号キー122は、物理的トークン171から引き出される(ブロック242)。例えば、暗号キー122が物理的トークン171に磁気的に格納された場合、プログラマ123は、暗号キー122を物理的トークン171から電気的に引き出す。同様に、暗号キー122がバーコードとしてプリントされた場合、プログラマ123は、暗号キー122を物理的トークン171から光学的に読み取る。同様に、物理的トークン171がスマートカードであった場合、暗号キー122は、物理的トークン171がスマートカードリーダを介してスライドされて、スマートカードから読み取られる。物理的トークン171は次いで、暗号キーの引き出しの後に解放され(ブロック243)、ルーチンは戻る。
【0068】
図11は、一実施形態に従って、リピータ124を用い、安全ルックアップを介して、暗号キー認証を実行するためのルーチン250を示すフロー図である。このルーチンの一目的は、安全データベース162に記録されるように、予めプログラムされ、IMD103に永続的に格納される暗号キー122と一致する暗号キー122を引き出すことである。
【0069】
安全データベース162へのアクセスを提供するために、リピータ124と安全サーバ161との間において安全接続が確立される(ブロック261)。安全接続は、専用のシリアルまたは配線接続を介して、または安全なリモートネットワーク接続を介してあり得る。IMD103は安全サーバ161に識別され、リクエストリピータ124の適切な認証は完成される(ブロック262)。暗号キー122は次いで、キーテーブル163から引き出され(ブロック263)、安全接続は閉じられる(ブロック264)。次いで、ルーチンは戻る。
【0070】
更なる実施形態においては(図示せず)、IMD103およびリピータ124の両方は、例えば、製造処理の間において、同等の永続的な暗号キー122を用いて予めプログラムされる。更なる実施形態においては(図示せず)、図8を参照して上述されたように、患者デジグネータ151を介して提供される患者/臨床医認証と類似する方法において、暗号キー122は、短距離遠隔測定を介し、プログラマ123によってIMD103から引き出される。
【0071】
本発明が詳細に示され、明細書における実施形態を参照して説明された一方、当業者は、形式および詳細における前述ならびに他の変更が、本発明の精神および範囲から逸脱せずに行われ得ることが理解されるであろう。
【図面の簡単な説明】
【0072】
【図1】本発明の一実施形態に従って、患者の生理学的パラメータをモニタリングする移植可能医療デバイスを例示的に示すブロック図である。
【図2】暗号キー生成および認証を示す処理フロー図である。
【図3】患者健康情報記録を示すデータ構造図である。
【図4A】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4B】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4C】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4D】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4E】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図5】IMDの周りに規定される安全領域を例示的に示すブロック図である。
【図6】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するための方法を示すフロー図である。
【図7】一実施形態に従って、短距離遠隔測定を介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図8】一実施形態に従って、患者デジグネータを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図9】一実施形態に従って、安全ルックアップを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図10】一実施形態に従って、物理的トークンを使用して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図11】一実施形態に従って、リピータを用い、安全ルックアップを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【技術分野】
【0001】
本発明は一般に、データ交換セッション認証に関し、特に、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムおよび方法に関する。
【背景技術】
【0002】
心臓病は、心臓および血管に関する数種類の心臓および心臓血管疾患ならびに共通の病的性質(co−morbidity)に関する。心臓病は、薬物と生活様式の修正との組み合わせを介して、よく治療される。過酷な場合においては、移植可能医療デバイス(IMD)として言及されるモニタリングまたは療法配信(therapy delivery)デバイスは、必要な場合、心臓性能データを収集し、心臓に療法を配信するために外科的に移植される。当業者によって理解されるように、IMDは、神経刺激を提供、薬物を投薬、および他の機能のためにも使用される。
【0003】
周期的に、IMDによって収集されたデータは、更なる分析のためにダウンロードされ得、要求された場合、IMDを再プログラムするために新しい性能命令がアップロードされ得る。一般的にIMDは、データ交換セッションにおいて、身体の外に配置されるプログラマまたは専用のリピータと通信する。患者リスクを最小限にするために、誘導遠隔測定(inductive telemetry)のような無線遠隔測定が、IMDと非侵襲的に通信するために通常使用される。
【0004】
誘導遠隔測定は、情報を送信するために少しのオンボードエネルギーを要求または全く要求しないが、誘導遠隔測定はわずかな欠点を有する。初めに、誘導遠隔測定は短距離、一般的に約6センチであり、患者とプログラマまたはリピータとの間に近接性を要求する。患者の動きが限定される一方、データ伝送は進行中である。更に、誘導遠隔測定は、キャリア信号周波数に対して直接比例する、遅いデータ伝送レートを有する。低周波数信号のみが、IMDの金属ケーシングの低域通過フィルタリング効果によって使用され得、1秒につき数キロビットの送信スピードという結果となる。この伝送レートは、通常、患者の生理学的データの数百万ビットを含み得る現代的IMDに対して不十分である。
【0005】
最近、無線周波数(RF)遠隔測定、長距離遠隔測定の形式は、参考に援用される開示内容である、Amundsonらによる、2002年9月24日に公布された同一出願人に係る米国特許第6,456,256号、Von Arxらによる、2003年6月3日に公布された米国特許第6,574,510号、Amundsonらによる、2003年9月2日に公布された米国特許第6,614,406号において記載されるように、誘導遠隔測定に対して実行可能な代替として明らかになった。誘導遠隔測定とは違って、RF遠隔測定は長距離であり、リピータを使用せずに患者から約20フィート以上延びている。この距離は、IMDがアクセスされている間、患者の自由な動きを可能にする。RF遠隔測定は、ダウンロード時間をかなり短くし得る高データ伝送レートをも提供する。
【0006】
前途有望であるが、IMDにおけるRF遠隔測定の使用は、重大なプライバシおよび安全性についての関心事を潜在的にあげる。IMDとプログラマまたはリピータとの間に交換される患者識別可能健康情報のような機密情報は、漏洩することを予防するために保護されるべきである。データ交換セッションを開始する前に、臨床医は、好ましくは最初に患者に知らせ、次いで患者の知識のみを用いて進む。誘導遠隔測定の短距離は、インフォームドコンセントを必要とするが、RF遠隔測定のより長い距離は、適切な患者/臨床医認証を確保するために追加の事前対策を要求できる。同様に、RF遠隔測定のより広い送信半径は、第三者が認証なしにデータ交換セッションをモニタまたは干渉することを可能にし得る。最後に、データ交換セッションは、間違った患者と誤って行われ得る。
【0007】
Health Insurance Portability and Accountability Act(HIPAA)およびEuropean Privacy Directiveを含む最近制定された医療情報プライバシ法は、患者のプライバシおよび安全を保護する重要性を強調し、全ての患者識別可能健康情報(PHI)の保護を要求する。HIPAAの下において、PHIは、個人の過去、現在、未来の身体的および精神的健康または状態、もしくはヘルスケア提供者、健康プラン、雇い主またはヘルスケアクリアリングハウスによって生成または受け取られる、個人に対するヘルスケアの支給または支払いに関する識別可能人口統計および他の情報を含む個別的識別可能健康情報として規定される。
【0008】
HIPAAのような医療情報プライバシ法の広範囲は、RF遠隔測定を介して提供されるようなより長い送信距離を用いるIMDにおける患者プライバシ、もしくは盗聴、遮断または干渉を可能にする状況の下における機密情報交換を提供する他の安全ではないデータインターフェースに影響し得る。機密情報は、長距離送信の前に暗号化されるべきである。IMDのための現行の利用可能データ認証技術は、機密情報を満足に保護できる。これらの技術は一般的に、データ交換セッションの間に送信される機密情報を暗号化および解読するために、送信者および受信者のそれぞれによって必要とされる暗号キーを要求する。暗号キーは、データ交換セッションの間にコマンドを認証、データ保全性をチェック、および必要に応じて任意のPHIを含む機密情報を暗号化するために使用され得る。好ましくは、暗号キーは、各IMDに対して固有である。しかしながら、認証は、IMDからプログラマまたはリピータへの暗号キーの識別も適切に保護されている場合においてのみ、十分な患者データセキュリティを提供できる。
【0009】
したがって、暗号キー交換のための安全方法を使用することによる患者プライバシおよび安全を保証するためのシステムおよび方法が必要とされる。好ましくは、そのような手法は、データ交換セッションの前に臨床医/患者認証を安全にし、IMDと、プログラマ、リピータまたは同様のデバイスとの間における安全な暗号キー交換を処理することを容易にする。
【発明の開示】
【課題を解決するための手段】
【0010】
移植されたIMDと長距離遠隔測定が可能な外部ソースとの間におけるデータ交換セッションを開始する前に、RFプログラマ、リピータまたは無線コンピュータデバイスによって提供されるような患者/臨床医認証が、データ交換セッションの間において、暗号キーが識別され、使用のために引き出される間に完成されるべきである。暗号キーは、安全キーリポジトリ(repository)において保持され、長距離遠隔測定リンクを通じて送信される場合において、個別のコマンドを認証し、データ保全性をチェックし、かつ必要に応じて、任意のPHIを含む機密情報を暗号化し、または前述したものの組み合わせを行うために使用され得る。暗号キーは、予めプログラムおよびIMDに永続的に格納され得、もしくはIMD、プログラマまたは専用リピータにおいてダイナミックに(dynamically)生成され得る。暗号キーは、キーの形式および暗号キーを保持するデバイスの種類に基づいて、暗号キーのソースから引き出される。例えば、暗号キーがIMDに格納されている場合、プログラマは、暗号キーを誘導遠隔測定を介して引き出す。暗号キーが安全データベースにおいて保持されている場合、プログラマは、安全データベースをサービスする安全サーバへの安全接続を介して、暗号キーを得る。暗号キーが物理的トークンにおいて提供された場合、プログラマは、例えば、光学的、磁気的、またはシリアル通信インターフェースを介して、物理的トークンから暗号キーにアクセスするための手段を含む。成功した認証の後、外部ソースおよび移植可能医療デバイスは、長距離遠隔測定に遷移することによって、データ交換セッションを処理する。
【0011】
一実施形態は、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムおよび方法を提供する。移植可能医療デバイスと独自に関連する暗号キーが、データ交換セッションの間、データを認証するために規定される。安全接続は、暗号キーを安全に保持する安全キーリポジトリと、外部ソースから確立される。移植可能医療デバイスにおけるデータをアクセスするための認証は、安全キーリポジトリから暗号キーを安全に引き出すことによって認証される。
【0012】
更なる実施形態は、移植可能医療デバイスを用いてデータ交換セッションを安全に処理するためのシステムおよび方法を提供する。移植可能医療デバイスとの通信は、短距離インターフェースを使用して、安全に保持された暗号キーへのアクセスを認証することによって認証される。データ交換セッションは、移植可能医療デバイスを用いた成功したアクセス認証において、長距離インターフェースに遷移することによって開始される。データ交換セッションは、暗号キーを使用して、移植可能医療デバイスに格納される患者健康情報にアクセスすることによって処理される。
【0013】
本発明の更なる実施形態は、本発明を行うために最良に考慮された方法によって示された発明の説明された実施形態である以下の詳細な説明から、当業者に明らかになるであろう。理解されるように、本発明は、その精神および範囲から逸脱せず、他のおよび異なる実施形態が可能であり、そのいくつかの詳細は、様々な明白な点における修正が可能である。したがって、図面および詳細な説明は、限定的ではなく、本質において例示的であることに考慮されたい。
【発明を実施するための最良の形態】
【0014】
図1は、例えば、本発明の実施形態に従う患者の生理学的パラメータをモニタリングする移植可能医療デバイス(IMD)103を示すブロック図100である。IMD103は、患者の胸または腹部に外科的に移植され、一般的にハウジング104およびターミナルブロック105から成る。IMD103は、ターミナルブロック105において、リード106a〜bのセットに結合される。手術の間、リード106a〜bは、静脈を縫うように通り、かつ各リード106a〜bの末端(distal tip)が心臓102の中の組織と直接接触するように配置されて、リード106a〜bは心臓102に配置される。
【0015】
ハウジング104は、電池107、制御回路網108、メモリ109、および遠隔測定回路網110を含む。電池107は、IMD構成要素のための有限電源を提供する。制御回路網108は、未処理のデータ信号をサンプリングおよび処理し、信号フィルタおよび増幅器、メモリおよびマイクロプロセッサベースのコントローラを含む。メモリ109は、未処理の生理学的信号が後の受信および解析のために格納され得るメモリストアを含む。遠隔測定回路網110は、IMD103と、プログラマまたは専用リピータ(図示せず)のような外部デバイスとの間におけるインターフェースを提供する。遠隔測定回路網110は、動作パラメータが、IMD103との遠隔測定通信において外部デバイスを介してメモリ109に非侵襲的にプログラムされることを可能にする。遠隔測定回路網110は、IMD103によって収集され、メモリ109に一時的に格納された患者情報が、処理および解析のために外部デバイスに送信されることも可能にする。
【0016】
IMD103は、各リード106a〜bの末端に配置される電極111a〜bを介して心臓102と直接電気通信している。例えば、リード106a〜bのセットは、右心室電極111aおよび右心房電極111bを含み得る。右心室電極111aは、好ましくは、心臓102の右室心尖部112に配置され、右心房電極111bは、好ましくは、心臓102の右の心房室113に配置される。電極111a〜bは、IMD103が、好ましくはミリボルト測定を介して、未処理の生理学的測定を直接収集することを可能にする。当業者によって理解されるように、単一および複数のリードならびに単一および複数の電極の使用の含む、リードおよび電極の他の構成および配列が使用され得る。
【0017】
当業者によって理解されるように、記載の実施形態において、IMD103は、徐脈を管理するために使用される心ペースメーカ、頻搏を治療するために使用される移植可能電気細動除去器(cardioverter defibrillator)(IMD)、ならびにうっ血性心不全と同様に律動問題のような心臓の構造問題をモニタリングおよび治療するための他の種類の移植可能心臓血管モニタおよび治療用デバイスの一部として実施され得る。記載の実施形態における使用のために適した心ペースメーカの実施例は、Guidant Corporation,St.Paul,MNによって販売されるPulsar Max II、Discovery、およびDiscovery IIペーシングシステムを含む。記載の実施形態における使用のために適したIMDの実施例は、Guidant Corporation,St.Paul,Minnによって更に販売されるContak Renewal心臓再同期療法細動除去器を含む。
【0018】
通常、メモリ109に格納されている未処理の生理学的信号が引き出される。例えば、プログラマまたはリピータ(図示せず)は、未処理の生理学的信号を引き出すために使用され得る。しかしながら、IMD103と通信するのに適したプログラマ、リピータ、質問器、レコーダ、モニタ、またはトランシーバの任意の形が使用され得る。更に、サーバ、パーソナルコンピュータまたはデジタルデータプロセッサは、直接または移植可能医療デバイス103と通信するように構成されるトランシーバを介して、IMD103とインターフェースで接続され得る。
【0019】
短距離データ交換のために、IMD103は、IMD103の配置上に位置するワンド(wand)を介して交換される誘導遠隔測定信号を介して、プログラマまたはリピータと通信する。プログラミングまたは質問命令は、IMD103に送信され、格納された未処理の生理学的信号は、プログラマにダウンロードされる。長距離データ交換のために、IMD103は、無線周波数(RF)プログラマ、リピータまたは他の無線コンピュータデバイスのような長距離遠隔測定が可能な外部デバイスと通信する。当業者によって理解されるように、他の種類のデータインターフェースが可能である。図2を参照して以下にさらに説明されるように、長距離データ交換セッションを開始する前に、患者/臨床医認証は、安全な暗号キー122受信を介して実行される。
【0020】
更なる実施形態においては、IMD103は、IMD103と外部デバイスとの間における通信を制限する遠隔測定インターロックを含む。患者/臨床医認証は、安全な暗号キー122受信と一緒に使用され得る、遠隔測定インターロックの解放を介して安全化される。参考に援用される開示内容である、2003年6月23日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/601,763に記載されるように、外部デバイスが、短距離遠隔測定を介してENABLE命令をIMD103に送信した場合、遠隔測定インターロックは解放される。
【0021】
誘導遠隔測定を用いるプログラマの実施例は、引き出された未処理の生理学的信号を取り外し可能フロッピー(登録商標)ディスケットに格納するための能力を含む、Guidant Corporation,Indianapolis,INによって製造されるModel 2920 Programmer Recorder Monitorである。未処理の生理学的信号は、パーソナルコンピュータまたは同様の処理デバイスを使用して、後で電気的に移動され得る。
【0022】
他の代替の未処理の生理学的信号移動手段も使用され得る。例えば、格納された未処理の生理学的信号は、IMD103から引き出され得、参考に援用される開示内容である1992年5月19日に公布されたNappholzらによる米国特許第5,113,869号に記載されるように、遠隔外部のプログラマおよび解析器と遠隔電話通信器との組み合わせを使用してネットワークに電気的に移動され得る。同様に、参考に援用される開示内容である1998年5月19日に公布されたDuffinらによる米国特許第5,752,976号に記載されるように、格納された未処理の生理学的信号は引き出され得、ワールドワイドな患者位置およびデータ遠隔測定システムを使用してサーバに遠隔にダウンロードされ得る。
【0023】
当業者によって理解されるように、移植可能心臓モニタリングおよび療法配信に関連して説明されたが、IMDは、神経刺激、薬物投薬、ならびに他の移植可能と同様に外部のモニタリングおよび療法配信デバイスも含む。
【0024】
図2は、暗号キー生成および認証を示す処理フロー図120である。データ交換セッションの間、任意のPHIを含む機密情報は、IMD103と、プログラマ123、リピータ124または他の無線コンピュータデバイス125のような外部ソースとの間におけるRFまたは長距離遠隔測定の任意の形式を介して交換される。当業者によって理解されるように、データ交換セッションは、他の種類の安全ではないデータインターフェースを通じても処理され得る。しかしながら、任意のそのような安全ではないインターフェースを通じてデータ交換セッションを開始する前に、患者/臨床医認証は安全化される必要がある。患者/臨床医認証または単に「認証」は、臨床医が、患者に直接または含意によって知らせ、IMD103に保持される患者情報にアクセスし、必要な場合、IMD103を質問および再プログラムするための認証を安全化する間、患者と臨床医との間における肯定相互作用を必然的に含む。認証は、臨床医が、データ交換セッションを間違った患者または患者の知識なしに誤って開始しないように保証する。認証は、IMD103と独自に関連する暗号キー122を安全に得る機会をも提供する。
【0025】
認証は、スタティックに(statically)生成および永続的に格納される暗号キー、ダイナミックに生成および永続的に格納される暗号キー、ダイナミックに生成および永続的に格納されないセッション暗号キー、またはそれらの組み合わせを使用して完成され得る。永続的に格納される暗号キー122は、プログラマ、患者デジグネータ、安全データベース、トークン、またはリピータのような固定安全キーリポジトリおよびIMD自体に保持される。スタティックに生成および永続的に格納される暗号キーは、製造処理の間のように、移植の前にIMD103に格納される。ダイナミックに生成および永続的に格納される暗号キーは、例えば、移植後の短距離遠隔測定を使用するIMD103への次のダウンロードのためにプログラマ123によって、ダイナミックに生成される。ダイナミックに生成および永続的に格納されないセッション暗号キーも、ダイナミックに生成されIMD103と共有されるが、永続的に格納されず、単一の患者データ交換のために使用される。各暗号キー122は、IMD103に独自に割り当てられる。一実施形態においては、暗号キー103は、128ビットの長さを有する、対称的である、または128ビットの長さでありかつ対称的である。他の暗号キーの長さおよび対称も可能である。
【0026】
暗号キー122は、データ交換セッションを開始する前に認証を実行するために、IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125によって使用される。認証を完成するにおいて、患者情報は、暗号キー122を更に使用して、明確または必要に応じて、暗号化された形式において送信され得る。一実施形態においては、交換される機密情報は、オリジナルな識別特徴(fingerprint)を形成するために暗号キー122を用いて送信端(sending end)においてハッシュされる。機密情報およびオリジナルな識別特徴は送信され、機密情報は、比較識別特徴を形成するために暗号キー12を用いて受信端(receiving end)において再度ハッシュされる。オリジナルおよび比較識別特徴が一致した場合、機密情報は認証される。
【0027】
記載される実施形態において、暗号キー122は3つの機能を提供する。
【0028】
(1)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125の両方が、RFまたは他の長距離無線リンクを通じてデータ交換セッションの間に交換される個別のコマンドを認証することを可能にする。認証は、行われる唯一のコマンドが、信頼できるソースから生じるコマンドであることを保証する。
【0029】
(2)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125が、RFまたは他の長距離無線リンクを通じて受信された機密情報の保全性をチェックすることを可能にする。データ保全性チェックは、行われる唯一のコマンドが、悪意的または誤ってのどちらかにおいて変更されていないコマンドであることを保証する。更なる実施形態においては、参考に援用される開示内容である、2004年3月15日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第____号の「Cryptographic Authentication for Telemetry With An Implantable Medical Device」代理人整理番号第0279.718US1に記載されるように、IMD103は、プログラマ123、リピータ124、または他の無線コンピュータデバイス125から受信されるメッセージの保全性を検証し、反対に、プログラマ123、リピータ124、または他の無線コンピュータデバイス125は、IMD103から受信されたメッセージの保全性を検証する。
【0030】
(3)IMD103およびプログラマ123、リピータ124、または他の無線コンピュータデバイス125が、RFまたは他の長距離無線リンクを通じて送信または受信された、任意のPHIを含む機密情報を暗号化および解読することを可能にする。暗号化は、機密情報が、適用可能な患者健康情報プライバシ法および規則に従ってRFまたは他の長距離無線リンクを通じて安全に送信されることを可能にする。更なる実施形態においては、参考に援用される開示内容である、2004年3月15日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/801,150号に記載されるように、プログラマ123、リピータ125、または他の無線コンピュータデバイス125は、ヘルスケア提供者による引き出しのためのスタティックデータとして、かつIMDによる使用のために、IMDに格納され得る、任意のPHIを含む、機密情報を予め暗号化する。
【0031】
一実施形態においては、個別のコマンドおよび患者データ保全性は、Keyed−Hashed Message Authenticationプロトコル(HMAC)のような標準認証プロトコルを使用して認証され、機密情報は、Advanced Encryption Standardプロトコル(AES)のような標準暗号化プロトコルを使用して暗号化される。参考に援用される開示内容である、2003年6月23日に出願された係属中の同一出願人に係る米国特許出願シリアル番号第10/601,763号に記載されるように、他の認証および暗号化技術ならびにプロトコルと同様に、暗号キー122の使用に関する他の機能が可能である。
【0032】
図3は、患者健康情報(PHI)記録131を示すデータ構造図130である。最低限、患者健康情報は、特定の個人を健康および医療関連情報に識別する。HIPAAの下においては、保護を要求し、例えば、名前132、誕生日133、および患者識別番号134を含む患者健康情報の18のカテゴリがある。保護可能な患者健康情報は、暗号化された形式において格納され得る18のカテゴリのうち1つ以上を含み得る。更に、各記録131は、他の種類の識別および治療プロフィール情報、医療履歴、ならびに他の関連データも含み得る。PHIに追加されまたその代わりに、他の種類の機密情報も保護可能になり得る。
【0033】
図4A〜図4Eは、例えば、本発明の実施形態に従う、移植可能医療デバイスとのデータ交換セッションを安全に認証するためのシステムを示す機能的ブロック図である。各システムにおいては、暗号キー122は、暗号キー122を安全に提供するための他の手段が可能であるが、短距離誘導遠隔測定を介し、患者デジグネータを介し、安全データベースルックアップを介し、トークンを使用しまたはリピータ124を介して、プログラマ123またはリピータ124に安全に提供される。
【0034】
暗号キー122は、移植の前に再プログラムされおよびIMD103に永続的に格納され、もしくは移植後の短距離遠隔測定を使用して、IMD103によってまたはIMD103への次のダウンロードのためにプログラマ123によってダイナミックに生成されるかのどちらかである。暗号キー122は、好ましくは、128ビットキーであり、対称的または非対称的になり得る。
【0035】
IMD103は、遠隔RFトランシーバを用い、長距離遠隔測定を介してインターフェースで接続するオンボードRFトランシーバ(図示せず)を含む。参考に援用される開示内容である、Amundsonによる、2002年9月24日に公布された同一出願人に係る米国特許第6,456,256号に記載されるように、オンボードトランシーバは、周囲アンテナがIMD103の外部ケーシングの周りを包んで、IMD103に統合される。参考に援用される開示内容である、Von Arxらによる、2003年6月3日に公布された同一出願人に係る米国特許第6,574,510号に記載されるように、RF通信は、オンボードRFトランシーバによって放射される電磁エネルギーの周波数、位相角、または振幅のいずれかを変化されることによって実行される。
【0036】
初めに図4Aを参照すると、短距離遠隔測定を介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム140が示される。認証は、誘導遠隔測定を使用してプログラマ123とIMD103との間に短距離遠隔測定リンク142を介して提供される、患者/臨床医認証を用いて開始する。ワンド141は、暗号キー122を、遠隔測定リンク142を通じてプログラマ123に送信するIMD103の配置上に位置される。患者と臨床医との間の個人対話は、患者/臨床医認証が完成されたことを保証する。
【0037】
暗号キー122を受信するにおいて、プログラマ123は、RF遠隔測定を使用し、長距離遠隔測定リンク143を通じて、IMD103から患者情報を引き出すため、もしくはプログラミングまたは質問命令をIMD103に送信するために、暗号キー122を使用する。IMD103は、プログラマ123に不可欠なRFトランシーバ145とインターフェースで接続する。
【0038】
IMD103は、短距離遠隔測定を介し、ワンド141を介して、プログラマ123と通信する。短距離遠隔測定は、非排他的に、誘導遠隔測定を含む。データは、ASK(振幅シフトキー)、FSK(周波数シフトキー)、PSK(位相シフトキー)、およびQPSK(直角位相シフトキー)のような標準プロトコルを使用して、IMD103とプログラマ123との間においてデジタルに交換される。参考に援用される開示内容である、Brockwayらによる、1986年1月2日に公布された同一出願人に係る米国特許第4,562,841号に記載されるように、信号は、ワンド141を介して誘導的に交換される。
【0039】
更なる実施形態においては、患者情報は、暗号化されていない形式においてIMD103に格納される。暗号化されていない患者情報は、短距離誘導遠隔測定を介してのみ直接引き出され得る。しかしながら、IMD103は、長距離遠隔測定を介する通信のために、暗号化されていない患者情報を暗号化することもできる。例えば、プログラマ123は、短距離遠隔測定信号を介してIMD103と通信されるセッション暗号キー122を生成できる。IMD103は次いで、セッション暗号キー122を、長距離遠隔測定を介して患者情報を暗号化および通信するために使用し得る。
【0040】
更なる実施形態においては、1つ以上のリピータ(図示せず)は、遠隔測定信号を、IMD103のオンボードRFトランシーバからRFトランシーバ145へリレーすることによって、長距離遠隔測定通信を増補する。
【0041】
次いで図4Bを参照すると、患者デジグネータ151を介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム150が示される。認証は、患者デジグネータ151を介して提供される、患者/臨床医認証を用いて開始する。患者デジグネータは、短距離遠隔測定リンク152を介して、IMD103のような他のデバイスと通信する電池式デバイスである。データは、ASK、FSK、PSK、およびQPSKのような標準プロトコルを使用して、IMD103と患者デジグネータ151との間においてデジタルに交換される。
【0042】
一実施形態においては、患者デジグネータ151は、暗号キー122を、短距離遠隔測定リンク152を介してIMD103から引き出し、引き出された暗号キー122をプログラマ123に提供する。患者デジグネータ151は、いくつかのインターフェースのうちの1つを介して、プログラマ123とインターフェースで接続する。初めに、患者デジグネータ151およびプログラマ123は、RS−232C、USBまたはIEEE 1394インターフェース仕様のようなシリアル接続を通じてインターフェースで接続できる。患者デジグネータ151およびプログラマ123は、誘導遠隔測定リンクを介してもインターフェースで接続できる。最後に、患者デジグネータ151およびプログラマ123は、安全な無線暗号化リンクを介してインターフェースで接続できる。患者デジグネータ151とプログラマ123との間における他の種類のインターフェーシングが可能である。
【0043】
更なる実施形態においては、1つ以上のリピータ(図示せず)は、遠隔測定信号を、IMD103のオンボードRFトランシーバからRFトランシーバ145へリレーすることによって、長距離遠隔測定通信を増補する。
【0044】
更なる実施形態においては、患者デジグネータ151は、短距離遠隔測定リンク152を使用してIMD103にプログラムされる128ビット暗号キー122を、無作為に生成できる。患者デジグネータ151は、同様に、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを使用して、同等の暗号キー122をプログラマ123にプログラムする。
【0045】
更なる実施形態においては、IMD103は、永続的に格納される暗号キー122を用いて予めプログラムされる。患者デジグネータ151は、暗号キー122を、短距離遠隔測定リンク152を介してIMD103から引き出し、引き出された暗号キー122を、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを介してプログラマ123に提供する。
【0046】
更なる実施形態においては、プログラマ123は、シリアルリンク、短距離遠隔測定リンク、または安全無線リンクを介して患者デジグネータ151に予めプログラムされるセッション暗号キー122を、無作為に生成する。患者デジグネータ151は次に、臨床医がデータ交換セッションを潜在的に後で開始した場合、セッション暗号キーをIMD103にプログラムする。
【0047】
次に図4Cを参照すると、安全ルックアップを介し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム160が示される。認証は、安全ルックアップを介して、患者/臨床医認証を用いて開始する。IMD103は、永続的に格納される暗号キー122を用いて予めプログラムされる。暗号キー122は、暗号キー122をIMD103と関連させるキーテーブル163ならびに認可された臨床医およびパスワードを含む安全データベース162にも格納される。臨床医は、安全サーバ161を介して安全データベース162にアクセスし、成功認証において暗号キー122をキーテーブル163から引き出す。プログラマ123は、Secure Socket Layer(SSL)またはInternet Protocol security(IPSec)を介して提供されるように、安全接続を介して安全サーバ161とインターフェースで接続する。更なる実施形態においては、プログラマ123は、専用のシリアルまたは配線接続を介して安全サーバ161とインターフェースで接続する。
【0048】
次に、図4Dを参照すると、トークン171を使用し、IMD103を用いるデータ交換セッションを安全に認証するためのシステム170が示される。認証は、物理的トークン171を使用し、患者/臨床医認証を用いて開始する。物理的トークン171は、英数字テキスト、バーコードまたは他の外見上現れる表示のような物理的ラベルを介して、もしくはトランジスタ、メモリ回路、または他の種類の電気的または磁気的読取可能ストレージ媒体を介してのように内部ストレージを介して、のうちのどちらかによって暗号キー122を記録する。外見上、物理的トークン171は、ブレスレット、ペンダントまたはコインのような身に付けられる宝石類の形、スマートカードまたはバーコードカードのような札入れサイズのカードの形、および他の物理的な形になり得る。
【0049】
IMD103は、患者または診療所に提供される物理的トークン171にも格納される、永続的に格納される暗号キー122を用いて予めプログラムされる。データ交換セッションを開始する前に、暗号キー122は、例えば、プログラマ123において提供されるリーダ172を使用して物理的トークン171を読み取ることによって、物理的トークン171から引き出される。一実施形態においては、プログラマ123は、短距離遠隔測定を介して物理的トークン171を読み取る。更なる実施形態においては、物理的トークン171は、光学的にプログラマ123によって読み取られるバーコードを含む。プログラマ123における使用のために適したバーコードリーダの例は、Intelli Innovations,Inc.,Cary,NCによって製造されるintelliScaner 5000XLである。更なる実施形態においては、物理的トークン171は、トランジスタまたは同様の電子部品を含み、暗号キー122は、物理的トークン171から電気的または磁気的に引き出される。更なる実施形態においては、物理的トークン171は、暗号キー122を永続的に格納するための固体素子を含み、プログラマ123は、シリアルインターフェース接続を介して暗号キー122を引き出す。更なる実施形態においては、暗号キー122は、物理的トークン171から物理的に読み取られた後、プログラマ123にマニュアル的にエンターされる。
【0050】
最後に、図4Eを参照すると、リピータ124を介し、IMD103を用いるデータ交換セッション182を安全に認証するためのシステム180が示される。認証は、患者/臨床医認証を用いて開始する。一実施形態においては(図示せず)、IMD103およびリピータ124の両方は、例えば製造処理の間において、同等の永続的暗号キー122を用いて予めプログラムされる。患者/臨床医認証のこの形式は、個人の患者のための独自のIMD103に対して特定のリピータ124の割当181を利用し、それによって、リピータ124が暗号キー122を用いて予めプログラムされることを可能にする。
【0051】
更なる実施形態においては、IMD103に割り当てられる暗号キー122は、安全データベース162に保持されるキーテーブル163に格納される。暗号キー122は、安全サーバ161との認証の後に、リピータ124によって安全データベース162から引き出される。認可され、工場によって提供されたリピータ124のみが、暗号キー122のコピーを受信でき、それによって、患者/臨床医認証を保証する。
【0052】
図4Bを参照して更に上述されたように、更なる実施形態においては(図示せず)、暗号キー122は、患者デジグネータ151を介して提供される患者/臨床医認証に類似する方法において、短距離遠隔測定を介し、プログラマ123によってIMD103から引き出される。したがって、プログラマ123は、短距離遠隔測定リンクを介してIMD103から暗号キー122を引き出し、シリアル接続、短距離遠隔測定リンク、安全無線接続、または他の同様インターフェースを介して、暗号キー122をリピータ124に提供する。
【0053】
図5は、例えば、IMD103の周りに規定される安全領域を示すブロック図190である。患者/臨床医認証は、ロジカルに規定された安全領域191内においてのみ処理され得る一方、データ交換セッションはロジカルに規定された安全ではない領域192において処理され得、提供される患者/臨床医認証はうまく完成され、全ての患者情報は適切に暗号化される。
【0054】
安全領域191の範囲193は、処理される患者/臨床医認証の形式に基づく。例えば、短距離誘導遠隔測定は、約6センチの範囲193を有する。安全ではない領域194の範囲は、同様に、使用される長距離遠隔測定の形式による。RF遠隔測定に対しては、範囲194は、プログラマ123またはリピータ124に関連する患者の方向付け(orientation)によって、患者から20フィート以上になり得る。暗号化の使用は、安全領域191の範囲193が、暗号化または認証を介し、安全ではない領域192によって提供される拡張された範囲195を有することを可能にする。
【0055】
図6は、本発明の実施形態に従う、IMD103を用いてデータ交換セッションを安全に認証するための方法200を示すフロー図である。方法200は、例えば、プログラマ123、リピータ124、または他の構成要素によって実行され得る、処理動作または工程の一連として記載される。動作は、患者/臨床医認証を提供するために、短距離遠隔測定、患者デジグネータ、安全ルックアップを介して、物理的トークンを使用して、およびリピータによって各実施形態における様々な構成要素によって実行される。
【0056】
初めに、暗号キー122が生成される(ブロック201)。システムによって、暗号キー122は、移植後に短距離遠隔測定を使用するIMD103への次のダウンロードのために、プログラマ123、または適用可能な場合、リピータ124によってダイナミックに生成され得る。同様に、暗号キー122は、製造処理の間に生成され得、移植の前にIMD103に永続的に格納される。代替的に、暗号キー122は、IMD103によってダイナミックに生成され得る。安全ルックアップおよび物理的トークンを使用するシステムは、暗号キー122がIMD103の外部およびそこから独立する手段を介して安全に提供されるため、永続的に格納される暗号キー122とのみ動作できる。短距離遠隔測定、患者デジグネータ、およびリピータを使用するシステムは、永続的に格納される暗号キー122またはダイナミックに生成される暗号キー122のどちらかと動作できる。
【0057】
次に、安全接続は、暗号キー122のソースを用いて確立される(ブロック202)。安全接続の形式は、キーソースの種類による。例えば、キーソースがIMD103の場合、安全接続は、誘導遠隔測定リンクを介して確立され得る。キーソースが安全データベース162におけるキーテーブル163であった場合、安全接続は、専用のシリアルまたは配線接続を介して、もしくはSSLまたはIPSecを介して提供されるような、ロジカルな安全ネットワーク接続を介して、安全サーバ161に確立され得る。同様に、キーソースが物理的トークン171であった場合、安全接続は、リーダ172、または光学的、磁気的スマートカードおよび短距離遠隔測定リンクのような同様の物理的情報引き出しメカニズムを介して確立され得る。最後に、キーソースがリピータ124であった場合、安全接続は、例えば、誘導または磁気的遠隔測定もしくは専用のシリアルまたは配線接続を介して、リピータ124と互換性のあるインターフェースを介して確立され得る。
【0058】
図7〜図11を参照して以下に更に説明されるように、暗号キー122は、認証および得られる(ブロック203)。最後に、データ交換セッションは、IMD103とプログラマ123またはリピータ124との間において処理される(ブロック204)。次いで、方法は終了する。
【0059】
図7は、一実施形態に従って、短距離遠隔測定を介して暗号キー認証を実行するためのルーチンを示すフロー図210である。このルーチンの目的は、プログラマ123を使用し、誘導または磁気遠隔測定を介して、暗号キー122をIMD103から安全に直接引き出すことである。
【0060】
短距離遠隔測定接続は、IMD103とプログラマ123との間において確立される(ブロック211)。暗号キー122が予めプログラムされている場合、すなわちIMD103に永続的に格納される場合(ブロック212)、暗号キー122は、短距離遠隔測定リンクを通じてIMD103から引き出される(ブロック214)。暗号キー122が予めプログラムされていない場合(ブロック212)、IMD103は暗号キー122を生成し(ブロック213)、暗号キー122はプログラマ123によって引き出される(ブロック214)。更なる実施形態においては、プログラマ123は、IMD103にダウンロードされる暗号キー122をダイナミックに生成する。IMD103からの暗号キーの成功した引き出しにおいて、短距離遠隔測定接続は閉じられ(ブロック215)、ルーチンは戻る。
【0061】
図8は、一実施形態に従って、患者デジグネータ151を介して暗号キー認証を実行するためのルーチン220を示すフロー図である。このルーチンの目的は、患者デジグネータ151を使用し、誘導または磁気遠隔測定を介して、暗号キー122をIMD103から安全に直接引き出すことである。
【0062】
短距離遠隔測定接続は、IMD103と患者デジグネータ151との間において確立される(ブロック221)。暗号キー122が予めプログラムされている場合、すなわちIMD103に永続的に格納される場合(ブロック222)、暗号キー122は、短距離遠隔測定リンクを通じてIMD103から引き出される(ブロック224)。暗号キー122が予めプログラムされていない場合(ブロック222)、IMD103またはプログラマ123は暗号キー122を生成し(ブロック223)、暗号キー122は患者デジグネータ151によって引き出される(ブロック224)。更なる実施形態においては、プログラマ123は、IMD103および患者デジグネータ151にダウンロードされる暗号キー122をダイナミックに生成する。IMD103からの暗号キーの成功した引き出しにおいて、短距離遠隔測定は閉じられる(ブロック225)。
【0063】
次いで、患者デジグネータ151とプログラマ123との間において接続が確立される。接続は、一連の短距離遠隔測定、安全な暗号化された無線、または他の形式の安全接続を介してあり得る。暗号キー122は、患者デジグネータ151からプログラマ123によって引き出され(ブロック227)、接続は閉じられる(ブロック228)。次いで、ルーチンは戻る。
【0064】
図9は、一実施形態に従って、安全ルックアップを介して暗号キー認証を実行するためのルーチン230を示すフロー図である。このルーチンの一目的は、安全データベース162に記録されるように、予めプログラムされ、IMD103に永続的に格納される暗号キー122と一致する暗号キー122を引き出すことである。
【0065】
安全データベース162へのアクセスを提供するために、プログラマ123と安全サーバ161との間において安全接続が確立される(ブロック231)。安全接続は、専用のシリアルまたは配線接続を介して、または安全なリモートネットワーク接続を介してあり得る。IMD103は安全サーバ161に識別され、リクエストプログラマ123の適切な認証は完成される(ブロック232)。暗号キー122は次いで、キーテーブル163から引き出され(ブロック233)、安全接続は閉じられる(ブロック234)。次いで、ルーチンは戻る。
【0066】
図10は、一実施形態に従って、物理的トークン171を使用して暗号キー認証を実行するためのルーチン240を示すフロー図である。このルーチンの一目的は、使用される物理的トークン171の形式に基づいて、暗号キー122を物理的トークン171から引き出すことである。
【0067】
プログラマ123は、暗号キー記録の形式に基づいて物理的トークン171にアクセスし(ブロック241)、暗号キー122は、物理的トークン171から引き出される(ブロック242)。例えば、暗号キー122が物理的トークン171に磁気的に格納された場合、プログラマ123は、暗号キー122を物理的トークン171から電気的に引き出す。同様に、暗号キー122がバーコードとしてプリントされた場合、プログラマ123は、暗号キー122を物理的トークン171から光学的に読み取る。同様に、物理的トークン171がスマートカードであった場合、暗号キー122は、物理的トークン171がスマートカードリーダを介してスライドされて、スマートカードから読み取られる。物理的トークン171は次いで、暗号キーの引き出しの後に解放され(ブロック243)、ルーチンは戻る。
【0068】
図11は、一実施形態に従って、リピータ124を用い、安全ルックアップを介して、暗号キー認証を実行するためのルーチン250を示すフロー図である。このルーチンの一目的は、安全データベース162に記録されるように、予めプログラムされ、IMD103に永続的に格納される暗号キー122と一致する暗号キー122を引き出すことである。
【0069】
安全データベース162へのアクセスを提供するために、リピータ124と安全サーバ161との間において安全接続が確立される(ブロック261)。安全接続は、専用のシリアルまたは配線接続を介して、または安全なリモートネットワーク接続を介してあり得る。IMD103は安全サーバ161に識別され、リクエストリピータ124の適切な認証は完成される(ブロック262)。暗号キー122は次いで、キーテーブル163から引き出され(ブロック263)、安全接続は閉じられる(ブロック264)。次いで、ルーチンは戻る。
【0070】
更なる実施形態においては(図示せず)、IMD103およびリピータ124の両方は、例えば、製造処理の間において、同等の永続的な暗号キー122を用いて予めプログラムされる。更なる実施形態においては(図示せず)、図8を参照して上述されたように、患者デジグネータ151を介して提供される患者/臨床医認証と類似する方法において、暗号キー122は、短距離遠隔測定を介し、プログラマ123によってIMD103から引き出される。
【0071】
本発明が詳細に示され、明細書における実施形態を参照して説明された一方、当業者は、形式および詳細における前述ならびに他の変更が、本発明の精神および範囲から逸脱せずに行われ得ることが理解されるであろう。
【図面の簡単な説明】
【0072】
【図1】本発明の一実施形態に従って、患者の生理学的パラメータをモニタリングする移植可能医療デバイスを例示的に示すブロック図である。
【図2】暗号キー生成および認証を示す処理フロー図である。
【図3】患者健康情報記録を示すデータ構造図である。
【図4A】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4B】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4C】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4D】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図4E】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するためのシステムを例示的に示す機能的ブロック図である。
【図5】IMDの周りに規定される安全領域を例示的に示すブロック図である。
【図6】本発明の実施形態に従って、移植可能医療デバイスを用いてデータ交換セッションを安全に認証するための方法を示すフロー図である。
【図7】一実施形態に従って、短距離遠隔測定を介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図8】一実施形態に従って、患者デジグネータを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図9】一実施形態に従って、安全ルックアップを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図10】一実施形態に従って、物理的トークンを使用して暗号キー認証を実行するためのルーチンを示すフロー図である。
【図11】一実施形態に従って、リピータを用い、安全ルックアップを介して暗号キー認証を実行するためのルーチンを示すフロー図である。
【特許請求の範囲】
【請求項1】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するためのシステム(161)であって、該システム(161)は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)と、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と安全接続(181)を確立し、該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出すことによって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証するための外部ソース(161)と
を備える、システム(161)。
【請求項2】
前記外部ソース(161)が、前記データ(131)を認証するために前記暗号キー(122)を使用してデータ交換セッション(182)を処理する、請求項1に記載のシステム(161)。
【請求項3】
前記データ交換セッション(182)の間において前記暗号キー(122)を使用するための認証構成要素であって、
前記外部ソース(161)を介して前記移植可能医療デバイス(103)と交換されるコマンドを認証するためのコマンド認証器と、
該外部ソース(161)によって受信および送信される前記データ(131)の保全性をチェックするためのデータ保全性チェッカーと、
該外部ソース(161)によって受信および送信される該データ(131)を暗号化するためのデータ暗号器と
のうちの少なくとも1つを含む、認証構成要素
をさらに備える、請求項2に記載のシステム(161)。
【請求項4】
前記安全接続(181)を確立するために、前記移植可能医療デバイス(103)の周りに安全領域(191)をロジカルに規定する短距離インターフェースと、
前記データ交換セッション(182)を処理するために、該安全領域(191)を越えて延びる安全ではない領域(192)をロジカルに規定する長距離インターフェースと
をさらに備える、請求項1に記載のシステム(161)。
【請求項5】
前記暗号キー(122)をスタティックに生成し、該暗号キー(122)を前記安全キーリポジトリ(163)に永続的に格納するためのキー生成器をさらに備える、請求項1に記載のシステム(161)。
【請求項6】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、安全データベース(162)、物理的トークン(171)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項5に記載のシステム(161)。
【請求項7】
前記暗号キー(122)が、プログラマ(123)を介して前記安全キーリポジトリ(163)から安全に引き出される、請求項5に記載のシステム(161)。
【請求項8】
前記暗号キー(122)をダイナミックに生成するキー生成器をさらに備える、請求項1に記載のシステム(161)。
【請求項9】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項8に記載のシステム(161)。
【請求項10】
前記暗号キー(122)が、プログラマ(123)およびリピータ(124)のうちの少なくとも1つを介して、前記安全キーリポジトリ(163)から安全に引き出される、請求項8に記載のシステム(161)。
【請求項11】
前記暗号キー(122)が前記移植可能医療デバイス(103)において保持されるシステム(161)であって、該システム(161)は、
短距離遠隔測定を介して該暗号キー(122)を引き出す短距離遠隔測定インターフェースをさらに備える、請求項1に記載のシステム(161)。
【請求項12】
前記短距離遠隔測定が誘導遠隔測定を含む、請求項11に記載のシステム(161)。
【請求項13】
前記外部ソース(161)がプログラマ(123)を含む、請求項11に記載のシステム(161)。
【請求項14】
前記暗号キー(122)が、前記プログラマ(123)からリピータ(124)に提供される、請求項13に記載のシステム(161)。
【請求項15】
前記外部ソース(161)が患者デジグネータ(151)を含む、請求項11に記載のシステム(161)。
【請求項16】
前記暗号キー(122)が、前記患者デジグネータ(151)からプログラマ(123)およびリピータ(124)のうちの少なくとも1つに提供される、請求項15に記載のシステム(161)。
【請求項17】
前記暗号キー(122)を保持する安全データベース(162)と、
安全接続(181)を介して該暗号キー(122)を提供する安全サーバ(161)と
をさらに備える、請求項1に記載のシステム(161)。
【請求項18】
前記安全接続(181)が、シリアルまたは配線接続と、安全ネットワーク接続とのうちの少なくとも1つを含む、請求項17に記載のシステム(161)。
【請求項19】
前記外部ソース(161)がプログラマ(123)を含む、請求項17に記載のシステム(161)。
【請求項20】
前記暗号キー(122)が、前記プログラマ(123)からリピータ(124)に提供される、請求項19に記載のシステム(161)。
【請求項21】
前記暗号キー(122)を保持する物理的トークン(171)と、
該物理的トークン(171)にアクセスすることによって、該暗号キー(122)を引き出すためのリーダ(172)と
をさらに備える、請求項1に記載のシステム(161)。
【請求項22】
前記物理的トークン(171)における前記暗号キー(122)を特定するための物理的ラベルをさらに備える、請求項21に記載のシステム(161)。
【請求項23】
前記物理的ラベルが、英数字テキスト、バーコード、および外見上現れる表示のうちの少なくとも1つを含む、請求項22に記載のシステム(161)。
【請求項24】
前記物理的トークン(171)における前記暗号キー(122)を特定するための内部ストレージをさらに備える、請求項21に記載のシステム(161)。
【請求項25】
前記内部ストレージが、トランジスタ、メモリ回路、電気的読取可能ストレージ媒体、および磁気的読取可能ストレージ媒体のうちの少なくとも1つを含む、請求項24に記載のシステム(161)。
【請求項26】
前記物理的トークン(171)が、磁気的、光学的、シリアル、および物理的読み取りを使用してアクセスされる、請求項21に記載のシステム(161)。
【請求項27】
前記暗号キー(122)が、128ビット暗号キー(122)および対称暗号キー(122)のうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項28】
前記暗号キー(122)が、スタティックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納されないセッション暗号キー(122)のうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項29】
移植可能医療デバイス(103)が、移植可能心臓デバイス、神経刺激デバイス、および薬物療法投薬デバイスのうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項30】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するための方法(200)であって、該方法(200)は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)を規定する(201)ことと、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と、外部ソース(161)からの安全接続(181)を確立する(202)ことと、
該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出すことによって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証する(203)ことと
を包含する、方法(200)。
【請求項31】
前記データ(131)を認証するために、前記暗号キー(122)を使用し、前記外部ソース(161)を介して、データ交換セッション(182)を処理する(204)こととをさらに包含する、請求項30に記載の方法(200)。
【請求項32】
前記データ交換セッション(182)の間において前記暗号キー(122)を使用することであって、
前記外部ソース(161)を介して前記移植可能医療デバイス(103)と交換されるコマンドを認証することと、
該外部ソース(161)によって受信および送信される前記データ(131)の保全性をチェックすることと、
該外部ソース(161)によって受信および送信される該データ(131)を暗号化することと
のうちの少なくとも1つを含む、該暗号キー(122)を使用すること
をさらに包含する、請求項31に記載の方法(200)。
【請求項33】
前記安全接続(181)を確立するために、前記移植可能医療デバイス(103)の周りに安全領域(191)をロジカルに規定することと、
前記データ交換セッション(182)を処理するために、該安全領域(191)を越えて延びる安全ではない領域(192)をロジカルに規定することと
をさらに包含する、請求項30に記載の方法(200)。
【請求項34】
前記暗号キー(122)をスタティックに生成することと、
該暗号キー(122)を前記安全キーリポジトリ(163)に永続的に格納することと
をさらに包含する、請求項30に記載の方法(200)。
【請求項35】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、安全データベース(162)、物理的トークン(171)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項34に記載の方法(200)。
【請求項36】
前記暗号キー(122)を、プログラマ(123)を介して前記安全キーリポジトリ(163)から安全に引き出すことをさらに包含する、請求項35に記載の方法(200)。
【請求項37】
前記暗号キー(122)をダイナミックに生成することをさらに包含する、請求項30に記載の方法(200)。
【請求項38】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項37に記載の方法(200)。
【請求項39】
前記暗号キー(122)を、プログラマ(123)およびリピータ(124)のうちの少なくとも1つを介して、前記安全キーリポジトリ(163)から安全に引き出すことをさらに包含する、請求項37に記載の方法(200)。
【請求項40】
前記暗号キー(122)を前記移植可能医療デバイス(103)において保持することと、
短距離遠隔測定を介して該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項41】
前記短距離遠隔測定が誘導遠隔測定を含む、請求項40に記載の方法(200)。
【請求項42】
前記外部ソース(161)がプログラマ(123)を含む、請求項40に記載の方法(200)。
【請求項43】
前記暗号キー(122)を、前記プログラマ(123)からリピータ(124)に提供することをさらに包含する、請求項42に記載の方法(200)。
【請求項44】
前記外部ソース(161)が患者デジグネータ(151)を含む、請求項40に記載の方法(200)。
【請求項45】
前記暗号キー(122)を、前記患者デジグネータ(151)からプログラマ(123)およびリピータ(124)のうちの少なくとも1つに提供することをさらに包含する、請求項44に記載の方法(200)。
【請求項46】
前記暗号キー(122)を安全データベース(162)に保持することと、
安全接続(181)を介して該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項47】
前記安全接続(181)が、シリアルまたは配線接続と、安全ネットワーク接続とのうちの少なくとも1つを含む、請求項46に記載の方法(200)。
【請求項48】
前記外部ソース(161)がプログラマ(123)を含む、請求項46に記載の方法(200)。
【請求項49】
前記暗号キー(122)を、前記プログラマ(123)からリピータ(124)に提供することをさらに包含する、請求項48に記載の方法(200)。
【請求項50】
前記暗号キー(122)を物理的トークン(171)に保持することと、
該物理的トークン(171)にアクセスすることによって、該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項51】
物理的ラベルを使用して、前記物理的トークン(171)における前記暗号キー(122)を特定することをさらに包含する、請求項50に記載の方法(200)。
【請求項52】
前記物理的ラベルが、英数字テキスト、バーコード、および外見上現れる表示のうちの少なくとも1つを含む、請求項51に記載の方法(200)。
【請求項53】
内部ストレージを使用して、前記物理的トークン(171)における前記暗号キー(122)を特定することをさらに包含する、請求項50に記載の方法(200)。
【請求項54】
前記内部ストレージが、トランジスタ、メモリ回路、電気的読取可能ストレージ媒体、および磁気的読取可能ストレージ媒体のうちの少なくとも1つを含む、請求項53に記載の方法(200)。
【請求項55】
磁気的、光学的、シリアル、および物理的読み取りを使用して、前記物理的トークン(171)にアクセスすることをさらに包含する、請求項50に記載の方法(200)。
【請求項56】
前記暗号キー(122)が、128ビット暗号キー(122)および対称暗号キー(122)のうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項57】
前記暗号キー(122)が、スタティックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納されないセッション暗号キー(122)のうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項58】
移植可能医療デバイス(103)が、移植可能心臓デバイス、神経刺激デバイス、および薬物療法投薬デバイスのうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項59】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するための装置であって、該装置は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)を規定する手段と、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と、外部ソース(161)からの安全接続(181)を確立する手段と、
該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出す手段によって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証する手段と
を備える、装置。
【請求項1】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するためのシステム(161)であって、該システム(161)は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)と、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と安全接続(181)を確立し、該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出すことによって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証するための外部ソース(161)と
を備える、システム(161)。
【請求項2】
前記外部ソース(161)が、前記データ(131)を認証するために前記暗号キー(122)を使用してデータ交換セッション(182)を処理する、請求項1に記載のシステム(161)。
【請求項3】
前記データ交換セッション(182)の間において前記暗号キー(122)を使用するための認証構成要素であって、
前記外部ソース(161)を介して前記移植可能医療デバイス(103)と交換されるコマンドを認証するためのコマンド認証器と、
該外部ソース(161)によって受信および送信される前記データ(131)の保全性をチェックするためのデータ保全性チェッカーと、
該外部ソース(161)によって受信および送信される該データ(131)を暗号化するためのデータ暗号器と
のうちの少なくとも1つを含む、認証構成要素
をさらに備える、請求項2に記載のシステム(161)。
【請求項4】
前記安全接続(181)を確立するために、前記移植可能医療デバイス(103)の周りに安全領域(191)をロジカルに規定する短距離インターフェースと、
前記データ交換セッション(182)を処理するために、該安全領域(191)を越えて延びる安全ではない領域(192)をロジカルに規定する長距離インターフェースと
をさらに備える、請求項1に記載のシステム(161)。
【請求項5】
前記暗号キー(122)をスタティックに生成し、該暗号キー(122)を前記安全キーリポジトリ(163)に永続的に格納するためのキー生成器をさらに備える、請求項1に記載のシステム(161)。
【請求項6】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、安全データベース(162)、物理的トークン(171)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項5に記載のシステム(161)。
【請求項7】
前記暗号キー(122)が、プログラマ(123)を介して前記安全キーリポジトリ(163)から安全に引き出される、請求項5に記載のシステム(161)。
【請求項8】
前記暗号キー(122)をダイナミックに生成するキー生成器をさらに備える、請求項1に記載のシステム(161)。
【請求項9】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項8に記載のシステム(161)。
【請求項10】
前記暗号キー(122)が、プログラマ(123)およびリピータ(124)のうちの少なくとも1つを介して、前記安全キーリポジトリ(163)から安全に引き出される、請求項8に記載のシステム(161)。
【請求項11】
前記暗号キー(122)が前記移植可能医療デバイス(103)において保持されるシステム(161)であって、該システム(161)は、
短距離遠隔測定を介して該暗号キー(122)を引き出す短距離遠隔測定インターフェースをさらに備える、請求項1に記載のシステム(161)。
【請求項12】
前記短距離遠隔測定が誘導遠隔測定を含む、請求項11に記載のシステム(161)。
【請求項13】
前記外部ソース(161)がプログラマ(123)を含む、請求項11に記載のシステム(161)。
【請求項14】
前記暗号キー(122)が、前記プログラマ(123)からリピータ(124)に提供される、請求項13に記載のシステム(161)。
【請求項15】
前記外部ソース(161)が患者デジグネータ(151)を含む、請求項11に記載のシステム(161)。
【請求項16】
前記暗号キー(122)が、前記患者デジグネータ(151)からプログラマ(123)およびリピータ(124)のうちの少なくとも1つに提供される、請求項15に記載のシステム(161)。
【請求項17】
前記暗号キー(122)を保持する安全データベース(162)と、
安全接続(181)を介して該暗号キー(122)を提供する安全サーバ(161)と
をさらに備える、請求項1に記載のシステム(161)。
【請求項18】
前記安全接続(181)が、シリアルまたは配線接続と、安全ネットワーク接続とのうちの少なくとも1つを含む、請求項17に記載のシステム(161)。
【請求項19】
前記外部ソース(161)がプログラマ(123)を含む、請求項17に記載のシステム(161)。
【請求項20】
前記暗号キー(122)が、前記プログラマ(123)からリピータ(124)に提供される、請求項19に記載のシステム(161)。
【請求項21】
前記暗号キー(122)を保持する物理的トークン(171)と、
該物理的トークン(171)にアクセスすることによって、該暗号キー(122)を引き出すためのリーダ(172)と
をさらに備える、請求項1に記載のシステム(161)。
【請求項22】
前記物理的トークン(171)における前記暗号キー(122)を特定するための物理的ラベルをさらに備える、請求項21に記載のシステム(161)。
【請求項23】
前記物理的ラベルが、英数字テキスト、バーコード、および外見上現れる表示のうちの少なくとも1つを含む、請求項22に記載のシステム(161)。
【請求項24】
前記物理的トークン(171)における前記暗号キー(122)を特定するための内部ストレージをさらに備える、請求項21に記載のシステム(161)。
【請求項25】
前記内部ストレージが、トランジスタ、メモリ回路、電気的読取可能ストレージ媒体、および磁気的読取可能ストレージ媒体のうちの少なくとも1つを含む、請求項24に記載のシステム(161)。
【請求項26】
前記物理的トークン(171)が、磁気的、光学的、シリアル、および物理的読み取りを使用してアクセスされる、請求項21に記載のシステム(161)。
【請求項27】
前記暗号キー(122)が、128ビット暗号キー(122)および対称暗号キー(122)のうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項28】
前記暗号キー(122)が、スタティックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納されないセッション暗号キー(122)のうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項29】
移植可能医療デバイス(103)が、移植可能心臓デバイス、神経刺激デバイス、および薬物療法投薬デバイスのうちの少なくとも1つを含む、請求項1に記載のシステム(161)。
【請求項30】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するための方法(200)であって、該方法(200)は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)を規定する(201)ことと、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と、外部ソース(161)からの安全接続(181)を確立する(202)ことと、
該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出すことによって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証する(203)ことと
を包含する、方法(200)。
【請求項31】
前記データ(131)を認証するために、前記暗号キー(122)を使用し、前記外部ソース(161)を介して、データ交換セッション(182)を処理する(204)こととをさらに包含する、請求項30に記載の方法(200)。
【請求項32】
前記データ交換セッション(182)の間において前記暗号キー(122)を使用することであって、
前記外部ソース(161)を介して前記移植可能医療デバイス(103)と交換されるコマンドを認証することと、
該外部ソース(161)によって受信および送信される前記データ(131)の保全性をチェックすることと、
該外部ソース(161)によって受信および送信される該データ(131)を暗号化することと
のうちの少なくとも1つを含む、該暗号キー(122)を使用すること
をさらに包含する、請求項31に記載の方法(200)。
【請求項33】
前記安全接続(181)を確立するために、前記移植可能医療デバイス(103)の周りに安全領域(191)をロジカルに規定することと、
前記データ交換セッション(182)を処理するために、該安全領域(191)を越えて延びる安全ではない領域(192)をロジカルに規定することと
をさらに包含する、請求項30に記載の方法(200)。
【請求項34】
前記暗号キー(122)をスタティックに生成することと、
該暗号キー(122)を前記安全キーリポジトリ(163)に永続的に格納することと
をさらに包含する、請求項30に記載の方法(200)。
【請求項35】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、安全データベース(162)、物理的トークン(171)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項34に記載の方法(200)。
【請求項36】
前記暗号キー(122)を、プログラマ(123)を介して前記安全キーリポジトリ(163)から安全に引き出すことをさらに包含する、請求項35に記載の方法(200)。
【請求項37】
前記暗号キー(122)をダイナミックに生成することをさらに包含する、請求項30に記載の方法(200)。
【請求項38】
前記暗号キー(122)が、前記移植可能医療デバイス(103)、患者デジグネータ(151)、およびリピータ(124)のうちの少なくとも1つに格納される、請求項37に記載の方法(200)。
【請求項39】
前記暗号キー(122)を、プログラマ(123)およびリピータ(124)のうちの少なくとも1つを介して、前記安全キーリポジトリ(163)から安全に引き出すことをさらに包含する、請求項37に記載の方法(200)。
【請求項40】
前記暗号キー(122)を前記移植可能医療デバイス(103)において保持することと、
短距離遠隔測定を介して該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項41】
前記短距離遠隔測定が誘導遠隔測定を含む、請求項40に記載の方法(200)。
【請求項42】
前記外部ソース(161)がプログラマ(123)を含む、請求項40に記載の方法(200)。
【請求項43】
前記暗号キー(122)を、前記プログラマ(123)からリピータ(124)に提供することをさらに包含する、請求項42に記載の方法(200)。
【請求項44】
前記外部ソース(161)が患者デジグネータ(151)を含む、請求項40に記載の方法(200)。
【請求項45】
前記暗号キー(122)を、前記患者デジグネータ(151)からプログラマ(123)およびリピータ(124)のうちの少なくとも1つに提供することをさらに包含する、請求項44に記載の方法(200)。
【請求項46】
前記暗号キー(122)を安全データベース(162)に保持することと、
安全接続(181)を介して該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項47】
前記安全接続(181)が、シリアルまたは配線接続と、安全ネットワーク接続とのうちの少なくとも1つを含む、請求項46に記載の方法(200)。
【請求項48】
前記外部ソース(161)がプログラマ(123)を含む、請求項46に記載の方法(200)。
【請求項49】
前記暗号キー(122)を、前記プログラマ(123)からリピータ(124)に提供することをさらに包含する、請求項48に記載の方法(200)。
【請求項50】
前記暗号キー(122)を物理的トークン(171)に保持することと、
該物理的トークン(171)にアクセスすることによって、該暗号キー(122)を引き出すことと
をさらに包含する、請求項30に記載の方法(200)。
【請求項51】
物理的ラベルを使用して、前記物理的トークン(171)における前記暗号キー(122)を特定することをさらに包含する、請求項50に記載の方法(200)。
【請求項52】
前記物理的ラベルが、英数字テキスト、バーコード、および外見上現れる表示のうちの少なくとも1つを含む、請求項51に記載の方法(200)。
【請求項53】
内部ストレージを使用して、前記物理的トークン(171)における前記暗号キー(122)を特定することをさらに包含する、請求項50に記載の方法(200)。
【請求項54】
前記内部ストレージが、トランジスタ、メモリ回路、電気的読取可能ストレージ媒体、および磁気的読取可能ストレージ媒体のうちの少なくとも1つを含む、請求項53に記載の方法(200)。
【請求項55】
磁気的、光学的、シリアル、および物理的読み取りを使用して、前記物理的トークン(171)にアクセスすることをさらに包含する、請求項50に記載の方法(200)。
【請求項56】
前記暗号キー(122)が、128ビット暗号キー(122)および対称暗号キー(122)のうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項57】
前記暗号キー(122)が、スタティックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納される暗号キー(122)、ダイナミックに生成され永続的に格納されないセッション暗号キー(122)のうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項58】
移植可能医療デバイス(103)が、移植可能心臓デバイス、神経刺激デバイス、および薬物療法投薬デバイスのうちの少なくとも1つを含む、請求項30に記載の方法(200)。
【請求項59】
移植可能医療デバイス(103)を用いてデータ交換セッション(182)を安全に認証するための装置であって、該装置は、
データ交換セッション(182)の間、データ(131)を認証するために移植可能医療デバイス(103)と独自に関連する暗号キー(122)を規定する手段と、
該暗号キー(122)を安全に保持する安全キーリポジトリ(163)と、外部ソース(161)からの安全接続(181)を確立する手段と、
該安全キーリポジトリ(163)から該暗号キー(122)を安全に引き出す手段によって、該移植可能医療デバイス(103)におけるデータ(131)にアクセスするための認可を認証する手段と
を備える、装置。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図4D】
【図4E】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図4D】
【図4E】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2007−529274(P2007−529274A)
【公表日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願番号】特願2007−504044(P2007−504044)
【出願日】平成17年3月15日(2005.3.15)
【国際出願番号】PCT/US2005/008650
【国際公開番号】WO2005/091205
【国際公開日】平成17年9月29日(2005.9.29)
【出願人】(505003528)カーディアック・ペースメーカーズ・インコーポレーテッド (466)
【Fターム(参考)】
【公表日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願日】平成17年3月15日(2005.3.15)
【国際出願番号】PCT/US2005/008650
【国際公開番号】WO2005/091205
【国際公開日】平成17年9月29日(2005.9.29)
【出願人】(505003528)カーディアック・ペースメーカーズ・インコーポレーテッド (466)
【Fターム(参考)】
[ Back to top ]