在医疗装置及其远程装置之间安全的通信专利检索-优先权要求声明请求书国际申请第I章专利合作条约专利权专利检索查询-专利查询网

在医疗装置及其远程装置之间安全的通信

阅读：135发布：2022-03-24

专利汇可以提供在医疗装置及其远程装置之间安全的通信专利检索，专利查询，专利分析的服务。并且本发明包括医疗组件，其由以安全的无线方式通信的医疗装置和遥控器组成。遥控器连接到至少一个安全令牌。存储在医疗装置和安全令牌中的密钥信息用于建立安全方式的连接和通信。，下面是在医疗装置及其远程装置之间安全的通信专利的具体信息内容。

权利要求

1.一种以安全和无线的方式通信的网络节点，所述组件包括：
a.至少一个医疗节点(1、7)，其包括：
i.与第二节点(3)通信的通信部件，
ii.存储器，其包括用于以安全方式建立和/或通信的至少一个密钥信息，b.第二节点(3)，其包括：
i.与至少一个医疗节点通信的通信部件，
ii.连接到至少一个安全令牌(4、6、8)的至少一个连接部件，
iii.输入部件，
iv.连接到所述通信部件、连接部件和输入部件的CPU，
c.所述至少一个安全令牌(4、6、8)，其包括：
i.连接到所述第二节点(3)的连接部件，
ii.存储器(10)，其包括用于以安全方式建立和/或通信的至少一个密钥信息，其中，只有一个安全令牌(4、6、8)与至少一个医疗节点(1、7)配对，其中，全部或部分所述密钥信息存储在至少一个医疗节点(1、7)的存储器的安全部分中和所述安全令牌(4、
6、8)的存储器(10)的安全部分中，
其中，没有密钥信息通过无线通信交换，
其中，所述密钥信息包括用于配对所述节点的配对数据和/或至少一个加密密钥。
2.根据权利要求1所述的组件，其中，所述配对数据是所述至少一个医疗节点(1、7)的地址、至少部分链路密钥、至少部分长期密钥和/或至少部分短期密钥。
3.根据权利要求2所述的组件，其中，所述配对数据存储在所述安全令牌(4、6、8)的存储器(10)的一部分中，所述安全令牌(4、6、8)能够由第二节点(3)读取。
4.根据权利要求1所述的组件，其中，所述至少一个加密密钥是非对称密钥或对称密钥。
5.根据权利要求2所述的组件，其中，所述安全令牌(4、6、8)的存储器(10)包括私钥，并且所述医疗节点(1、7)的存储器包括相关的公钥。
6.根据权利要求2所述的组件，其中，所述医疗节点(1、7)的存储器包括私钥，并且所述安全令牌(4、6、8)的存储器(10)包括相关的公钥。
7.根据权利要求1所述的组件，其中，所述至少一个密钥信息在所述至少一个医疗装置及其安全令牌(4、6、8)之间共享，并且然后所述至少一个密钥信息秘密地保存在所述至少一个医疗装置的存储器中和/或所述安全令牌(4、6、8)的存储器(10)中。
8.根据权利要求1所述的组件，其中，所述安全令牌(4、6、8)包括CPU(9)。
9.根据前述任意一项权利要求所述的组件，其中，所述安全令牌(4、6、8)包括密钥生成器。
10.根据前述任意一项权利要求所述的组件，其中，由安全令牌(4、6、8)生成所述至少一个加密密钥。
11.根据权利要求8所述的组件，其中，通过有线传输将所述至少一个加密密钥传送给所述至少一个医疗节点(1、7)。
12.根据前述任意一项权利要求所述的组件，其中，所述至少一个医疗节点(1、7)包括用于通过下述方式连接到它的安全令牌(4、6、8)的连接部件：至少一个医疗节点(1、7)及其安全令牌(4、6、8)通过有线传输共享至少一个密钥。
13.根据权利要求10所述的组件，其包括允许通过有线传输共享至少一个密钥的配对装置(16)。
14.根据前述任意一项权利要求所述的组件，其中，私钥通过下述方式存储在安全令牌(4、6、8)的安全部分中：只有令牌能够读取和/或使用所述私钥。
15.根据前述任意一项权利要求所述的组件，其中，所述第二节点(3)包括加密引擎。
16.根据权利要求8所述的组件，其中，所述安全令牌(4、6、8)将至少一个加密密钥传送到所述第二节点(3)。
17.根据权利要求1所述的组件，其中，所述第二节点(3)是手机、光遥控器和/或BGM或到CGM的链路。
18.根据前述任意一项权利要求所述的组件，其中，所述第二节点(3)包括用于向用户显示信息的至少一个显示部件。
19.根据权利要求16所述的组件，其中，第二节点(3)的所述至少一个显示部件是显示屏、触摸屏和/或LED。
20.根据前述任意一项权利要求所述的组件，其中，所述第二节点(3)包括用于监视用户的血糖和/或身体活动的至少一个传感器部件。
21.根据前述任意一项权利要求所述的组件，其中，所述第二节点(3)包括用于连接医疗节点(1、7)没有使用的令牌的连接部件。
22.根据权利要求1所述的组件，其中，所述医疗节点(1、7)是输送装置、医疗服务器、可移植装置、采样装置和/或传感器装置。
23.根据权利要求1所述的组件，其中，所述安全令牌(4、6、8)是智能卡、SIM卡、诸如SDIO(安全数字输入输出)卡的SD卡、内部或外部软件狗。
24.根据权利要求1所述的组件，其中，至少一个密钥信息是在特定的时间点能或者不能在令牌(4、6、8)中和/或所述第二节点(3)中运行的应用程序和/或软件的列表。
25.根据权利要求1所述的组件，其中至少一个密钥信息是用于至少在启动期间检查所述应用程序和/或操作系统和/或升级版本的医疗应用程序的完整性的数据。
26.根据权利要求1所述的组件，其中，所述第二节点(3)使用虚拟化平台，所述虚拟化平台包括：
·主机操作系统(hOS)，其模拟用于少一个客户操作系统(gOS)的硬件部件，·第一gOS处理共用功能，例如但不限于日历或联系人，所有的这些共用功能被设计为在非受控环境中使用，
·医疗操作系统(mOS)，其处理用于医疗节点(1、7)的第二节点(3)功能，所有的这些第二节点(3)功能被设计为在受控环境中使用。
27.根据权利要求12所述的组件，其中，至少一个密钥信息用于检查hOS和/或mOS和/或gOS的完整性。
28.根据权利要求12所述的组件，其中，至少一个密钥信息是应用程序和/或软件的列表，hOS使用所述列表来管理优先权。
29.根据权利要求1所述的组件，其中，至少一个密钥信息是所述第一节点的地址。
30.根据权利要求1所述的组件，其中，至少一个密钥信息是将安装到所述第二节点(3)中的应用程序和/或特定操作系统。
31.根据权利要求1所述的组件，其中，至少一个密钥信息是患者的标识符和/或身体特征。
32.根据权利要求1所述的组件，其中，所述安全令牌(4、6、8)被插入到第二节点(3)中，或嵌入到所述第二节点(3)中，或通过有线或无线方式连接。
33.根据权利要求1所述的组件，其中，所述安全令牌(4、6、8)是外部软件狗。
34.根据权利要求20所述的组件，其中，所述安全令牌(4、6、8)包括输入部件、显示部件、活动传感器、指纹识别器、无线通信部件或血糖计。
35.根据权利要求21所述的组件，其中，所述安全令牌(4、6、8)的无线通信部件允许与至少一个医疗节点(1、7)连接。
36.根据权利要求20所述的组件，其中，所述安全令牌(4、6、8)包括用于与另一个安全令牌(4、6、8)连接的连接部件，所述另一个安全令牌(4、6、8)与另一个医疗节点(1、7)配对。
37.根据权利要求1所述的组件，其中，所述第二节点(3)包括至少临时存储至少一个密钥信息的存储器。
38.根据权利要求37所述的组件，其中，如果从所述第二节点(3)移除所述安全令牌(4、6、8)，则所述第二节点(3)的存储器中的所述至少一个密钥信息不可用。
39.根据权利要求37所述的组件，其中，存储在所述第二节点(3)的存储器中的所述至少一个密钥信息是在特定的时间点能或者不能在令牌(4、6、8)中和/或所述第二节点(3)中运行的应用程序和/或软件的列表，和/或用于至少在启动期间检查所述应用程序和/或操作系统和/或升级版本的医疗应用程序的完整性的数据。
40.根据权利要求1所述的组件，其中，所述第二节点(3)包括用于与另一个安全令牌(4、6、8)连接的其他连接部件，所述另一个安全令牌(4、6、8)与另一个医疗节点(1、7)配对。
41.根据权利要求1所述的组件，其中，所述至少一个医疗节点(1、7)包括用于加密和/或解密所述加密数据的加密部件。
42.根据前述任意一项权利要求所述的组件，其中，所述第二节点(3)包括用于加密和/或解密所述加密数据的加密部件，并且其中，通过有线通信将存储在至少一个安全令牌(4、6、8)中的所述加密密钥上载到所述第二节点(3)中。
43.根据权利要求1所述的组件，其中，所述至少一个加密密钥秘密地保存在至少一个安全令牌(4、6、8)的存储器中，并且其中，至少一个安全令牌(4、6、8)包括用于加密和/或解密所述加密数据的加密部件。
44.根据前述任意一项权利要求所述的组件，其中，所述至少一个安全令牌(4、6、8)包括处理器，在所述处理器中运行生成至少一个加密密钥的密钥生成器。
45.根据前述任意一项权利要求所述的组件，其中，所述至少一个医疗节点(1、7)包括处理器，在所述处理器中运行生成至少一个加密密钥的密钥生成器。
46.一种生成会话密钥以确保两个不同的节点之间的至少一个通信的安全的方法，所述两个不同的节点中的一个包括令牌(4、6、8)，所述方法包括下述步骤：
-提供两个不同的节点：1和2，所述节点1能够包括加密密钥1、密钥生成器和加密引擎；所述节点2包括用于连接到所述令牌(4、6、8)的部件、密钥生成器和加密引擎，所述令牌(4、6、8)能够包括加密密钥2，
-通过第一节点对第一通信进行初始化，
-通过第一节点生成值V1，
-利用密钥1加密所述值V1(可选)，
-将所述(加密的)值V1发送到第二节点(3)，
-将所述(加密的)值V1发送到令牌(4、6、8)，
-利用密钥2解密所述值V1(可选)，
-通过令牌(4、6、8)生成值V2，
-通过令牌(4、6、8)利用所述值V1和V2计算会话密钥Ks1，
-利用密钥2加密所述值V2(可选)，
-将所述(加密的)值V2发送到所述第二节点(3)，
-将所述(加密的)值V2发送到所述第一节点，
-利用密钥1解密所述值V2(可选)，
-通过所述第一节点利用所述值V1和V2计算会话密钥Ks2。
47.根据权利要求31所述的方法，其中，所述会话密钥Ks1和Ks2是同样的并且允许以安全方式认证并交换加密数据。
48.根据权利要求31所述的方法，其中，所述第一节点是医疗装置或医疗服务器，并且所述第二节点(3)是遥控器。
49.根据权利要求31所述的方法，其中，所述令牌(4、6、8)是MCU、智能卡或CD卡或SIM卡。
50.根据权利要求31所述的方法，其中，加密密钥是非对称或对称密钥。
51.根据权利要求35所述的方法，其中，所述加密密钥1是公钥，并且所述加密密钥2是私钥。
52.根据权利要求31所述的方法，其中，所述第一节点和/或第二节点(3)通过视觉、声音指示或振动器通知患者现在正以安全方式进行通信。
53.一种如以上公开的在节点及其安全令牌(4、6、8)之间共享密钥的方法，配对方法包括下述步骤：
·提供令牌(4、6、8)和医疗节点(1、7)，
·提供允许所述令牌(4、6、8)和所述医疗节点(1、7)之间通信的部件，
·在所述令牌(4、6、8)和所述医疗节点(1、7)之间共享至少一个密钥。
54.根据权利要求38所述的方法，其中，允许所述令牌(4、6、8)和所述医疗节点(1、7)之间通信的部件是配对装置。
55.根据权利要求38所述的方法，其中，由包括在所述令牌(4、6、8)中的生成器生成所述密钥。
56.根据权利要求40所述的方法，其中，所述生成器生成将存储到所述令牌(4、6、8)的存储器(10)中的私钥和通过有线连接发送到所述医疗节点(1、7)的相关的公钥。
57.根据权利要求40所述的方法，其中，所述生成器生成将所述医疗节点(1、7)与连接到所述令牌(4、6、8)的另一个节点配对的配对数据。
58.一种根据权利要求1公开的组件的配对方法，所述配对方法包括下述步骤：
·提供至少一个医疗节点(1、7)、第二节点(3)和已经与至少一个医疗节点(1、7)配对的至少一个安全令牌(4、6、8)，
·将至少一个安全令牌(4、6、8)插入到所述第二节点(3)中，
·使用包括在所述安全令牌(4、6、8)的存储器(10)中和至少一个医疗节点(1、7)的存储器中的配对数据，以将至少一个医疗装置(1、7)和所述第二节点(3)至少临时地配对。
59.一种两个不同的节点、安全令牌(4、6、8)和用户之间的回环方法，所述方法包括以下步骤：
·接收由第二节点(3)发送给第一节点(1、7)的命令，
·将所述命令存储到所述第一节点的存储器中，
·通过所述第一节点利用加密密钥A加密所述命令，
·将所述加密命令发送到第二节点(3)，
·通过所述第二节点(3)接收所述加密命令，
·将所述加密命令发送到所述安全令牌(4、6、8)，
·通过所述安全令牌(4、6、8)接收所述加密命令，
·通过所述安全令牌(4、6、8)利用加密密钥B解密所述加密命令，
·在所述第二节点(3)的显示部件上显示所述命令，
·由所述用户检查所述命令，
·由所述命令的用户利用所述第二节点(3)或所述安全令牌(4、6、8)(如果其是包括诸如振动按钮的输入部件的外部CMU)的输入部件验证，
·将所述验证发送到所述第一节点以执行所述命令。
60.根据权利要求44所述的方法，其中，所述加密密钥A和B是同样的(对称密钥)或相关的(非对称密钥)。
61.根据权利要求44所述的方法，其中，进一步包括生成挑战码、安全部件和/或状态指示。
62.根据权利要求46所述的方法，其中，所述安全部件是必须重绘、输入或复制以验证所述命令的PIN码、符号、图片、文字、表格。
63.根据权利要求46所述的方法，其中，所述安全部件是指纹识别器或指纹视网膜。
64.根据权利要求44所述的方法，其中，所述安全令牌(4、6、8)包括用于显示将要验证的命令的显示部件。
65.根据权利要求44所述的方法，其中，所述安全令牌(4、6、8)包括用于验证命令的输入部件。
66.根据权利要求13所述的组件，其中，所述第二节点(3)是手机，其包括用于连接手机运营商的SIM卡的连接部件和用于连接安全节点的连接部件。
67.根据权利要求51所述的组件，其中，所述第二节点(3)还是BGM或到CGM的链路。
68.一种根据权利要求52所述的组件的应用，其中，如果SIM连接到所述第二节点(3)，所述第二节点(3)能够用作手机。
69.一种根据权利要求52所述的组件的应用，其中，如果安全令牌(4、6、8)连接到所述第二节点(3)，所述第二节点(3)能够用作用于管理所述医疗节点(1、7)的遥控器。
70.一种根据权利要求52所述的组件的应用，其中，如果SIM卡和安全令牌(4、6、8)都没有连接到所述第二节点(3)，所述第二节点(3)只能用作BGM或到CGM的链路。
71.一种根据权利要求52所述的组件的引用，其中，如果SIM卡和安全令牌(4、6、8)都连接到所述第二节点(3)，所述第二节点(3)可用作BGM、手机和遥控器。

说明书全文

在医疗装置及其远程装置之间安全的通信

技术领域

[0001] 本发明涉及医疗装置(例如但不限于传送装置(例如，胰岛素泵)和/或无线传感器(例如，动态血糖计)和/或可植入装置和/或采样装置)的遥控器。

背景技术

[0002] 需要通过遥控器来控制某些医疗装置(例如，像贴附式泵那样既轻又小的胰岛素泵)，这是因为患者很难看到位于泵本身上的显示器的内容。现在的大多数泵都使用专用的专有遥控器，该专有遥控器代表了具有所有缺点的另一个装置，产生的缺点如下：

[0003] ·需要找到一个口袋以将其放到安全的地方，并可快速、方便的找到它[0004] ·不能忘记你的遥控器

[0005] ·要考虑给它充电或具有备用电池

[0006] ·要防止其由于跌落或任何“恶劣”外部条件(如暴晒或暴露在沙子中)而造成的损耗。

[0007] 一种防止使用另一个特定装置的方法是将遥控器的功能集成到患者应当已经携带的现有装置中，例如但不限于血糖仪或手机，其将具有集成遥控器特征所需的所有性能。

[0008] 利用手机实现该目的是非常有吸引力的，但带来了很多安全方面的问题，必须在允许将其用于编程胰岛素泵之前解决这些问题。必须确保的重要的安全特征是：

[0009] ·显示给用户的数据的完整性

[0010] ·发送给胰岛素泵的命令的完整性

[0011] ·存储患者的治疗参数以及输液历史和事件的日志的数据库的完整性和保护[0012] ·将医疗装置和其遥控器进行安全配对

[0013] ·随时对软件作出响应(例如：当另一个软件具有焦点并且能够处理用户的请求而其他任务使资源(如MCU等)过载时报警)。

[0014] 为了确保无线通信的安全，现有的装置使用认证进程，其中，装置以不安全的或者不充分安全的方式共享密钥。该认证进程可以使用如在手机中使用的智能卡，美国专利申请(US2010/045425、US2005/204134、US2008/140160和US2011/197067)公开了包括用于可信第三方和/或用于认证进程的令牌。特别地，所述令牌用于认证具有令牌的患者是具有相关医疗装置的患者。另外，所有的所述产品都以下述方式交换它们的加密密钥和/或使用标准的配对进程：黑客能够找到管理医疗装置的数据。

发明内容

[0015] 本申请要求于2012年10月26日以Debiotech的名义提交的PCT/IB2012/055917的优先权以及2012年7月9日以Debiotech的名义提交的EP12175498.0的优先权的权益，通过引用的方式，将其所有的公开合并到本文中。

[0016] 本发明的目的是提供鲁棒环境以确保医疗装置及其遥控器之间的通信安全。在本文中，表述“以确保通信安全”必须理解为用于确保下述内容的所有方式：

[0017] -遥控器和医疗装置之间的数据交换是正确的，和/或

[0018] -已经由授权的操作者(例如，患者，也称作用户)发送所述数据，和/或[0019] -使用的装置是正确的装置，和/或

[0020] -已经正确地接收所述数据。

[0021] 因此，为了确保通信安全，所述方法可以检查数据或应用程序或操作系统的完整性和/或可以加密数据和/或安全的配对，和/或可以检查操作者的身份…。为此，本发明包括由医疗装置和遥控器组成的医疗组件，其中，所述安全部件可以是：

[0022] -嵌入到(已经插入)遥控器的附加微控制器(MCU)，

[0023] -可以包括到遥控器或属于医疗装置的附加微控制器中的虚拟化平台，[0024] -特定的回环进程，

[0025] -检查完整性的方法，

[0026] -特定的配对进程，

[0027] -生成和/或共享密钥的方法。

[0028] 使用所述不同的部件允许极大地提高安全性，但是可以只使用一种或两种上述部件。

[0029] 所述遥控器可以用于管理和/或监控至少一个医疗装置，例如但不限于输送装置和/或无线传感器和/或可移植装置和/或采样装置和/或血糖监测计…。优选地，所述遥控器的设计便于携带并且可以是轻便的、可移动、可装到口袋里…。

[0030] 所述医疗装置包括允许与所述遥控器无线通信的通信部件、包括用于建立连接和/或确保通信安全的密钥信息的内部存储器。优选地，所述医疗装置只与一个包括存储器的微控制器(MCU)配对，所述存储器包括所述密钥信息(例如，链路密钥、加密密钥、散列…)。所述MCU被设计为插入到遥控器。在本文中，“插入”可以由“嵌入”或“连接到”代替。可以在有接触或没有接触情况下通过有线连接或无线连接来执行遥控器和MCU之间的通信。

[0031] 因此，医疗组件使用可以插入到遥控器中的MCU。适于建立医疗装置和遥控器之间的安全通信的所述组件包括：

[0032] ·遥控器，其包括：

[0033] ○用于允许与所述医疗装置进行无线通信的通信部件，

[0034] ○用于插入附加微控制器(MCU)的连接部件；

[0035] ○显示部件(可选)，

[0036] ○至少一个输入部件，

[0037] ○至少一个处理器，其连接到通信部件、连接部件、输入部件和可选的显示部件；以及

[0038] ·医疗装置，其包括：

[0039] ○用于允许与所述遥控器进行无线通信的通信部件，

[0040] ○存储器；

[0041] ·MCU，其被设计为连接到所述遥控器；所述MCU进一步可以包括存储器；

[0042] 所述医疗装置的存储器和所述MCU的存储器包括用于建立和/或确保通信安全的至少部分密钥信息。所述密钥信息包括至少一部分共享密钥。至少一个医疗装置专门与唯一一个MCU配对。在一个实施例中，在患者使用之前，执行医疗装置和MCU之间的配对。

[0043] 在一个实施例中，通过无线通信执行MCU和遥控器之间的连接。

[0044] 在本文中，微控制器(MCU)可以是插入到遥控器的集成芯片或者插入到遥控器的外部装置。通常，MCU包括CPU、RAM、某些形式的ROM、I/O端口和计时器。与包括其他部件的计算机和遥控器不同，针对非常特定的任务(例如，控制特定系统)设计微控制器(MCU)。因此，可以简化并缩减MCU，这降低了生产成本。MCU还可以集成特定功能以保护其存储器中的内容(例如，窜改的封缄、封锁、篡改响应和清零开关)。另外，所述MCU不带有另一个CPU和存储器，(遥控器的)操作系统可以使用所述CPU和存储器来改进遥控器的性能，但是其具有其他功能，特别地，更加安全，特别地，至少部分共享密钥通过配对进程或其他进程生成。MCU和遥控器的CPU不同并且具有不同的任务。在本发明中，MCU与遥控器完全独立，通过这种方式，MCU可以与不同的遥控器一起使用。所述MCU可以是智能卡、SIM卡、诸如SDIO(安全数字输入输出)卡的SD卡、内部或外部软件狗…。在本文中，我们可以等价地使用下述术语：外部或内部微控制器、附加微控制器或MCU。

[0045] 在一个实施例中，所述医疗装置和所述MCU包括存储器，所述存储器包含无线通信配置(链路密钥、医疗装置的地址(例如，蓝牙地址)，…)。通过这种方式，所述装置和所述MCU提前知道合适的配置。特别地，所述MCU可以包括用于将遥控器连接到医疗装置以保护所述通信的密钥信息(例如，链路密钥，…)，通过这种方式，不需要以不安全的方式(例如，通过蓝牙)提供连接，或者用户(例如，患者)不必执行特定任务来将遥控器与医疗装置配对。

[0046] 优选地，医疗装置只与一个MCU配对，并且所述MCU嵌入到遥控器；通过这种方式，只有包括所述MCU的遥控器可以管理和/或监视所述医疗装置。此外，当患者知道嵌入所述MCU的遥控器是可以管理和/或监视医疗装置的单个遥控器时，还可以交换遥控器。

[0047] 在一个实施例中，遥控器管理和/或监视至少两个医疗装置。在这种情况下，所述医疗装置可以只与一个MCU配对，备选地，每个医疗装置与其自己的MCU配对。

[0048] 在一个实施例中，所述MCU包括用于将所述医疗组件与医疗服务器连接的密钥信息(患者标识符、医疗服务器的标识符和地址、加密密钥…)。在该实施例中，医疗组件可以使用遥控器的数据通信部件将接收到的数据发送到医疗服务器。因此，所述MCU可以包括建立一个或多个医疗装置和/或医疗服务器之间的通信并确保通信安全的所有信息，例如但不限于用户认证、加密参数…。

[0049] 在一个实施例中，MCU可以在其存储器中存储医疗装置发送的至少一组数据或者遥控器或其他装置提供的其他组数据。在另一个实施例中，加密所述数据并将其存储到远程装置或医疗装置，但是只有MCU(或医疗装置)包括解密所述数据的密钥。

[0050] 为了提高安全性，由制造商、医生、护理者或药剂师生成所述密钥信息并在患者使用之前将其记录到所述存储器中。

[0051] 在一个遥控器使用虚拟平台的实施例中，在遥控器中并入了虚拟化平台，所述虚拟化平台包括：

[0052] ·主机操作系统(hOS)，其模拟用于至少一个客户操作系统(gOS)的硬件部件模拟，

[0053] ·第一gOS处理共用功能，例如但不限于日历或联系人，所有的这些共用功能被设计为在非受控环境中使用，

[0054] ·医疗操作系统(mOS)，其处理用于医疗装置的遥控器，所有的这些遥控器的功能被设计为在受控环境中使用。所述mOS可以是特定的gOS。

[0055] 在本文中，必须将表述“主机操作系统”理解为尽可能薄的操作系统，例如，增强的系统管理程序，其单独管理并共享所有遥控器的外围设备，例如，RAM、闪存、UART、Wifi…。hOS不处理共用功能，其目的是确保将命令安全地发送到医疗装置。

[0056] 在一个实施例中，MCU(如上文公开的)插入到遥控器中，但是所述hOS不需要管理并共享所述MCU的外围设备。在一个实施例中，MCU包括用于检查每个操作系统的完整性的部件或数据。

[0057] 在本文中，必须将表述“客户操作系统”理解为处理共用功能(电话、发送数据、日历…)的标准操作系统(例如但不限于安卓、苹果的iOS)或特定操作系统(例如，医疗操作系统)。所述不同的客户操作系统可以在同一个遥控器中共存并且相互之间完全的隔离开。

[0058] 在本文中，必须将表述“受控环境”理解为下述空间，其中：

[0059] ·预期的应用程序的响应是确定的

[0060] ·软件包和操作系统的列表和版本是已知的，并且用户不能改变

[0061] ·控制并确保对硬件部件的访问

[0062] ·硬件部件(CPU、存储器、RF链路等)的响应是确定的

[0063] ·预定的最小带宽通常可确保访问硬件部件(例如，CPU、网络RF链路等)[0064] ·运行并存储至少一个医疗应用程序和/或mOS。

[0065] 受控环境和非受控环境完全分离。

[0066] 在优选的实施例中，所述hOS不止是标准的系统管理程序。尽管所述hOS尽可能的薄，但是其包括某些操作进程以拒绝某些应用程序(在受控环境或非受控环境中运行的)或者给医疗OS一些优先权。因此，当受控环境启动或当受控环境的全部或部分应用程序在运行时，hOS可以停止在受控环境中运行的全部或部分应用程序。例如，即使电话接收到消息，hOS也只显示医疗应用。

[0067] 因此，非受控环境对硬件和受控环境之间的交互没有可视性。有利的是，受控环境中的客户操作系统或应用程序(例如但不限于医疗操作系统和/或医疗应用程序)具有比其他系统或程序高的优先权。由此，主机操作系统决定阻碍在非受控环境中运行的应用程序，以避免该应用程序所导致的任何干扰。主机操作系统还可以决定受控或非受控环境中的哪个应用将聚焦在屏幕上。

[0068] 在一个实施例中，根据本发明的遥控器是手机(例如，智能手机)。可以使用任何合适的操作系统，例如，安卓系统。遥控器与医疗装置结合使用。有利的是，将遥控器功能设计为胰岛素泵的遥控器。

[0069] 如上所述，所述MCU还可以用于认证或确保hOS的完整性，或用于存储优先级较高(反之亦然)的应用程序列表，或用于存储当某些应用程序正在运行或没有运行，或满足某个条件等等时所执行的不同的方案。

[0070] 在医疗组件的另一个实施例中，所述组件有利地包括至少两个对象(例如，胰岛素泵和遥控器)之间的回环机制。回环的一般概念是这样一种机制：通过该机制，在消息或信号结束后，将其发送回(回环)到其开始的地方。

[0071] 在本文中，回环机制不是对用户输入的数据进行简单的确认。例如，标准回环机制由询问用户是否确认命令的装置使用。在这种标准的情况下，回环是用户和装置之间的。

[0072] 新的回环机制允许对遥控器发送且由医疗装置接收的数据进行确认。因此，用户在遥控器中输入命令(利用输入装置)，并且遥控器通过安全的通信将其发送到医疗装置。由于所述机制，如果接收到的命令是用户发送的命令，那么在启动命令之前，医疗装置必须请求进行确认。医疗装置向遥控器发送由遥控器显示的数据。所述数据可以是挑战码或加密数据或其他。当用户向医疗装置确认时，启动所述命令。有利的是，为了提高安全性，用户必须输入PIN码以对命令进行确认。

[0073] 通过将附加的受保护的MCU像智能卡、SIM卡或SD卡等那样插入到遥控器，可以有利的保护回环机制和与医疗装置的连接的安全，其中，MCU可以加密或解密用于回环的数据。

[0074] 遥控器或MCU(例如，外部软件狗)或医疗装置可以包括用于以安全的方式发送信息给患者的附加部件(例如：LED、振动器、显示部件…)。例如，外部MCU可以在其自己的显示部件上显示数据。

[0075] 本发明提供下述至少一个优点：

[0076] -本发明还提供受控环境，其中，通过低级别操作系统架构的核心设计，保证了响应性、完整性和安全性。

[0077] -提出的方案提供了安全的环境，其可以例如防止任何不希望的应用程序，该应用程序可以通过改变治疗(如安排多个患者不希望的附加输注)模拟正常使用。

[0078] -使用MCU，所述MCU作为智能卡独立于遥控器，其允许在配对进程期间使另一个装置不可见的情况下，自动且安全地将遥控器与医疗装置连接。

[0079] -使用MCU，其可以嵌入或插入到不同的遥控器(例如，手机)，允许在遇到问题时(低电量、忘记或丢失遥控器…)更换遥控器。在这种情况下，用户可以保持她的医疗装置并且通过新的遥控器安全地对其进行访问，并且MCU可以确保记录到遥控器的存储器中的数据的私密性。

[0080] -使用回环进程，其允许确保编程到医疗装置(例如，胰岛素泵)中的数据对应于用户在遥控器上期望的数据。

[0081] -在换回进程结束时，用户优选地通过在遥控器上输入PIN码(只有用户知道)，对值进行确认。使用所述PIN码确保了由正确的用户批准该确认。

[0082] -使用虚拟平台，确保了医疗应用或mOS优先并且安全的运行。

[0083] -hOS确保某些外围设备(MCU、LED、显示屏的一部分、振动器…)仅由医疗应用和/或mOS使用。附图说明

[0084] 下面通过下述附图示出的例子以更加详细的方式讨论本发明：

[0085] 图1示出了根据本发明的遥控器(3)的显示器，其包括虚拟化平台。

[0086] 图2示出了本发明的优选实施例的整体架构，即，包括遥控器(3)和医疗装置(1)的组件。

[0087] 图3示出了根据本发明的回环机制。

[0088] 图4示出了根据本发明的使用MCU的回环机制。

[0089] 图5示出了医疗装置(1)与遥控器(3)通信，在所述遥控器(3)内部包括诸如智能卡(4)的MCU。

[0090] 图6示出了医疗装置(1)与插入至MCU(6)的遥控器(3)通信。

[0091] 图7示出了医疗装置(1)与插入至MCU(6)的遥控器(3)通信，所述遥控器(3)内部包括另一个MCU，例如，智能卡(4)。

[0092] 图8示出了两个医疗装置(1、7)与插入至MCU(6)的遥控器(3)通信，所述遥控器(3)内部包括两个MCU，例如，智能卡(4a、4b)。

[0093] 图9示出了两个医疗装置(1、7)与遥控器(3)通信，所述遥控器(3)内部包括两个MCU，例如，智能卡(4a、4b)。

[0094] 图10示出了两个医疗装置(1、7)与遥控器(3)通信，所述遥控器(3)内部包括单个MCU，例如，智能卡(4c)。

[0095] 图11示出了MCU(8)包含的结构。

[0096] 图12示出了示出了两个医疗装置(1、7)与插入至MCU(6)的遥控器(3)通信，所述遥控器(3)内部包括另一个MCU，例如，智能卡(4b)。

[0097] 图13示出了配对装置(16)。

[0098] 图14示出了可以共享的至少一个密钥。

[0099] 图15示出了可断开连接并且可用作小型遥控器的外部MCU(6)。

[0100] 图16示出了包括第一显示部件(18)和至少一个安全显示部件(19)的遥控器(3)。

[0101] 图17示出了根据本发明的会话密钥生成。

[0102] 部件列表

[0103] 1 医疗装置

[0104] 2 无线通信

[0105] 3 遥控器

[0106] 4,4a,4b,4c 微控制器(例如，智能卡)

[0107] 5 安全处理部件

[0108] 6 外部MCU

[0109] 7 另一个医疗装置

[0110] 8 微控制器

[0111] 9 CPU

[0112] 10 微控制器的存储器

[0113] 11 存储器的第一部分

[0114] 12 存储器的第二部分

[0115] 13 存储器的第三部分

[0116] 14 存储器的第四部分

[0117] 15 外部MCU的其他部件或特征

[0118] 16 配对装置(16)

[0119] 17 连接部件

[0120] 18 第一显示部件

[0121] 19 第二或安全显示部件(LED，…)

具体实施方式

[0122] 在下文的详细描述中，参考形成说明书的一部分的附图，附图中以举例说明的方式示出了装置、系统和方法的多个实施例。应当理解的是，在不背离本公开的范围和精神的情况下，可以考虑并实现其他实施例。因此，下文的详细描述不是限制性的。

[0123] 除非另有说明，本文使用的所有科学和技术术语都具有本领域通用的含义。本文提供的定义是为了便于理解本文频繁使用的某些术语并不意味着限制本公开的范围。

[0124] 除非本公开的内容明确地表示并非如此之外，如本说明书和所附的权利要求书中使用的，单数形式“一”、“一个”和“该”包括具有复数对象的实施例。

[0125] 如本文使用的“有”、“具有”、“包含”、“包括”或类似的表述是在它们开放式的意义上使用，并且通常表示“包括但不限于”。

[0126] 除非本公开的内容明确地表示并非如此之外，如本说明书和所附的权利要求书所使用的，术语“或”的含义通常包括“和/或”。

[0127] 如本说明书和所附的权利要求书所使用的，术语“节点”可用于代替以下术语：医疗装置、医疗服务器、BGM(血糖仪)、CGM(动态血糖监视器)、遥控器、手机…。

[0128] 如本说明书和所附的权利要求书所使用的，术语“MCU”可用于表示以下术语：软件狗、内部MCU或外部MCU。

[0129] 在独立权利要求中阐明本发明并描述本发明的特征，同时从属权利要求描述本发明的其他特征。

[0130] 附加的微控制器(MCU)的特征

[0131] 在优选的实施例中，提出一种适于建立医疗装置(1、7)和遥控器(3)之间的通信并确保通信安全的医疗组件，所述医疗组件包括：

[0132] ·遥控器(3)，包括：

[0133] ○用于允许与所述医疗装置(1、7)进行无线通信(2)的通信部件，

[0134] ○用于插入附加微控制器(MCU)(4、6、8)的连接部件；

[0135] ○显示部件(可选)，

[0136] ○至少一个输入部件，

[0137] ○至少一个连接到通信部件、连接部件、输入部件和可选的显示部件的处理器；以及

[0138] ·医疗装置(1、7)，包括：

[0139] ○用于允许与所述遥控器(3)进行无线通信(2)的通信部件，

[0140] ○存储器；

[0141] ·被设计为连接到所述遥控器(3)的MCU(4、6、8)；所述MCU(4、6、8)进一步包括存储器；

[0142] 所述医疗装置(1、7)的存储器和所述MCU(4、6、8)的存储器包括用于建立通信并确保通信安全的密钥信息。

[0143] 所述医疗装置(1、7)可以是传送装置(例如但不限于胰岛素泵)和/或无线传感器(可以测量患者的生理特性)和/或可植入装置和/或取样装置。

[0144] 在一个实施例中，至少一个医疗装置(1、7)专门地只和一个MCU(4、6、8)配对。所述密钥信息可以全部或部分地存储到医疗装置和/或MCU的安全存储器中。在一个实施例中，MCU只以下述方式配对一次：MCU不能和另一个医疗装置配对。

[0145] 所述遥控器可以是电话、血糖仪或包括用于插入所述MCU的连接部件的其他便携式装置。

[0146] 遥控器(3)的处理器是遥控器的主计算单元。该处理器运行遥控器操作系统(OS)(或多个操作系统)，并且访问所有的遥控器(3)外围设备，例如，RAM、闪存、UART、Wifi等。

[0147] MCU(4、4a、4b、4c、6、8)也包括运行其自己的操作系统和代码的处理器。该处理器访问MCU(4、4a、4b、4c、6、8)的内部外围设备(加密引擎、通信接口、密钥发生器等)。MCU(4、4a、4b、4c、6、8)的处理器可以访问遥控器(3)的全部或部分外围设备。MCU(4、4a、4b、4c、6、
8)和遥控器(3)这两个装置之间仅有的交互是通过通信链路交换数据。遥控器(3)的处理器和MCU(4、4a、4b、4c、6、8)的处理器相互独立。遥控器(3)可以受限制的访问或者不能访问存储在MCU中的数据。因此，所述MCU(4、4a、4b、4c、6、8)可以插入到不同的遥控器并确保总体安全。

[0148] 所述MCU(4、4a、4b、4c、6、8)可以是通用集成电路卡(例如智能卡、SIM卡、SD卡、SDIO卡…)或被设计为插入或嵌入遥控器或至少连接到遥控器(3)的连接部件的其他外部装置。

[0149] 在图11公开的一个实施例中，MCU(4、4a、4b、4c、6、8)包括中央处理单元(CPU)(9)、设计为连接到遥控器的连接部件(17)和至少一个存储器(10)，所述存储器(10)可以包括多个(例如，4个)不同部分：

[0150] -第一部分(11)，其可由CPU和其他装置(例如，插入MCU的遥控器)读写，[0151] -第二部分(12)，其可由CPU读写，而其他装置只能写不能读，

[0152] -第三部分(13)，其可由CPU读写，而其他装置只能读不能写，

[0153] -第四部分(14)，其可由CPU读写，而其他装置不能读也不能写。

[0154] 在如图5所示的一个实施例中，医疗装置(1)与遥控器(3)通信。所述遥控器(3)与可能已经与所述医疗装置(1)配对的MCU(4)连接。由于由所述MCU(4)和/或所述医疗装置启动并执行的安全处理部件(5)，建立所述遥控器(3)和所述医疗装置(1)之间的通信(2)并确保通信安全。所述存储器包括用于建立与医疗装置或医疗服务器的通信以及确保通信安全的全部信息(密钥信息)。

[0155] 在一个实施例中，密钥信息包括在特定的时间点能够在MCU和/或遥控器(3)中运行或不能运行的应用程序和/或软件列表。当遥控器(3)或MCU(4)正使用医疗应用程序或其他特定应用程序时，可以授权某些所述软件或应用程序同时运行或者停止。如果遥控器包括虚拟机，当医疗操作系统正被使用或当特定医疗应用程序正运行时，管理程序使用所述列表启动或停止(终止)不允许的应用程序和/或软件。所述MCU(4)可以包括当满足一定条件时执行的方案列表。

[0156] 图6示出了插入到遥控器的外部MCU(6)。所述外部MCU(6)包括CPU、存储器(10)和连接部件(17)，并且可以包括外壳。所述存储器包括用于确保医疗装置或医疗服务器的通信安全的全部信息。所述医疗装置可以已经与所述外部MCU(6)配对。由于由所述MCU(6)启动并执行的安全处理部件(5)，建立所述遥控器(3)和所述医疗装置(1)之间的通信(2)并确保通信安全。所述医疗装置还可以使用全部或部分所述安全处理部件。

[0157] 图5和图6的区别在于MCU。第一个MCU(图5中的MCU)是至少临时地插入到遥控器(3)的内部MCU(4)(如智能卡)。第二个MCU(图6中的MCU)是至少临时地插入到遥控器(3)的外部MCU(6)(如软件狗)。由于其设计，外部MCU(6)可以包括下文公开的其他特征或部件。

[0158] 安全处理部件(5)可以使用：

[0159] -特定的配对进程和/或

[0160] -用于确保数据安全的加密密钥和/或

[0161] -检查遥控器的完整性的完整性测试和/或

[0162] -特定的回环机制和/或

[0163] -主机和安全操作系统

[0164] 安全处理部件(5)需要密钥信息来建立通信并确保通信安全。其可以是链路密钥、地址(地址蓝牙…)、加密密钥、共享密钥、散列…。

[0165] 在一个实施例中，MCU(4、6、8)以下述方式在其安全存储器中保存所述安全处理部件(5)：所述遥控器(3)不访问所述安全处理部件(5)。在一个实施例中，医疗装置还包括用于(例如)处理加密通信的所述安全处理部件。

[0166] 在一个实施例中，安全处理部件(5)可以使用：

[0167] ·产生至少一个非对称密钥对和/或对称密钥的非对称密钥加密机制；

[0168] ·产生至少一个对称密钥和/或非对称密钥的对称密钥加密机制；

[0169] ·加密散列机制。

[0170] 所述非对称密钥加密机制可以使用下述算法中的至少一个：Benaloh、Blum–Goldwasser、Cayley–Purser、CEILIDH、Cramer–Shoup、 DH、DSA、EPOC、ECDH、ECDSA、EKE、ElGamal、GMR、Goldwasser–Micali、HFE、IES、Lamport、McEliece、Merkle–Hellman、MQV、Naccache–Stern、NTRUEncrypt、NTRUSign、Paillier、Rabin、RSA、Okamoto–Uchiyama、Schnorr、Schmidt–Samoa、SPEKE、SRP、STS、三段协议或XTR。

[0171] 配对进程

[0172] 本发明的一部分公开了特定的配对进程，其可以使用蓝牙协议(例如，“经典”蓝牙或蓝牙低功耗)和/或其他无线通信协议(大范围接口或短范围接口)。特别地，因为MCU已经与至少一个医疗装置配对好(至少，MCU包括至少一个医疗装置的配对信息)，从而不需要用户进行特定的配对动作，所以遥控器和医疗装置之间的配对是用户友好的。另外，配对信息对用户来说是不可见的，这意味着第三方不能窃取或使用该配对信息，并且医疗装置可更便于运行配对进程，这保护该装置不进行未授权的连接，并可避免配对进程导致的过量的电池消耗。

[0173] 本文解释了新的配对进程的优点以及与标准的蓝牙配对进程的差别。但是，新的进程和产品不限于蓝牙协议。

[0174] 通常由装置用户手动发起蓝牙配对。当两个装置还没有配对时，通常首次触发蓝牙配对进程。所以，装置接收另一个装置的连接请求。为了进行蓝牙配对，两个装置之间必须交换密码。该密码或更直接的称为“口令”是两个蓝牙装置共享的密码。应当通过使用不同于蓝牙通道的另一个通信管道来交换该“口令”(通常显示给用户并由用户输入)。使用该“口令”以确保两个用户都同意相互配对。但是，如果黑客看到或侦听到该进程，他可以截取装置的连接并命令它…。在结束标准配对进程之后，产生两个装置共享的、用于建立装置之间的配对连接的链路密钥。蓝牙低功耗使用短效密钥和/或长效密钥而不使用链路密钥，但是为了简化本文，术语链路密钥也用于短效密钥和/或长效密钥。

[0175] 因此，为了建立安全连接，装置需要以隐藏的方式共享密钥。该共享密钥仅需要由医疗装置及其遥控器知道。通过已经将这样的共享密钥并入两个装置中，将不需要交换密钥信息。然而，当患者更换他的遥控器时，旧遥控器不能与另一个新装置共享密钥，从而不能与医疗装置连接。

[0176] 得益于本发明，遥控器和医疗装置之间的通信完全安全，并且共享密钥由医疗装置及其MCU安全的保存，其可以在多个遥控器(旧遥控器和新遥控器)之间转移。另外，其他装置永远不能发现医疗装置(1、7)，并且医疗装置(1、7)不能与不具有所述MCU的装置连接。

[0177] 为了提高安全性，在患者使用之前或者至少在将MCU插入到遥控器之前，执行医疗装置和MCU之间的配对。有利的是，可以仅由配对装置执行所述配对(医疗装置/MCU)和/或可以由制造商、医生、护理者或药剂师执行所述配对。由于所述配对，以安全的方式产生至少一个密钥并将其存储到医疗装置(1)和配对的MCU(4、6、8)中。例如，如果需要配对装置，可以通过有线通信执行配对进程。

[0178] 医疗装置(1)具有地址(例如，蓝牙地址)，将其存储到MCU(4、6、8)的存储器中，通过这种方式，即使标准蓝牙协议不能发现医疗装置，MCU仍然可以在无需交换可以由第三方破解的敏感信息的情况下，与所述医疗装置建立通信。

[0179] 因此，MCU和医疗装置之间的配对允许共享全部或部分密钥。在配对期间，生成至少部分链路密钥并将其存储到医疗装置和MCU的存储器中。所述链路密钥可以包括共享密钥(例如，加密密钥…)和医疗装置的蓝牙地址。需要所述链路密钥来建立将来的无线通信。

[0180] 遥控器可以通过下述方式读取存储在MCU(4、6、8)中的所述链路密钥：即使没有发现所述医疗装置，遥控器也可以与医疗装置配对。因此，遥控器(3)无需使用标准配对进程就可以启动连接(例如，蓝牙连接)。然后，其将所述参数转移到可以直接建立连接的蓝牙通信层。

[0181] 因为在患者使用医疗装置之前，MCU已经与该医疗装置配对，所以患者必须先将知道链路密钥的所述MCU(4、6、8)插入到她的遥控器中，并且已经使用医疗组件。

[0182] 有利的是，将链路密钥存储在MCU(8)的第三方(13)存储器中。所述第三方(13)是CPU可读写的，但是其他装置不能写但可读。因此，遥控器可以读取链路密钥但所述遥控器不能改变链路密钥。换句话说，MCU只能配对一次。

[0183] 如上文公开的，配对装置(16)可用于执行配对进程。所述配对装置(16)包括两个连接部件，其中的一个连接部件用于连接医疗装置，而另一个连接装置用于连接MCU。当用户将医疗装置和MCU插入到配对装置(16)时，可以执行配对进程。由于该配对进程，医疗装置和MCU可以以真正安全的方式共享它们的密钥(例如，链路密钥)。配对装置可以包括用于执行MCU和医疗装置之间的安全数据交换的有线通信部件。因为配对装置可以拔出并插入多次，所以配对装置还可以用于多个遥控器。

[0184] 在一个实施例中，所述MCU和/或医疗装置不能接收新的配对请求。

[0185] 由于这种特定的配对进程，医疗装置容易并安全地连接到遥控器。一旦MCU和医疗装置配对成功，遥控器就必须读取存储在MCU中的参数(例如，链路密钥)并使用它。

[0186] MCU(4、6、8)和医疗装置(1、7)之间的配对包括下述步骤：

[0187] ·提供MCU(4、6、8)和医疗装置(1、7)

[0188] ·提供允许所述MCU(4、6、8)和所述医疗装置(1、7)之间通信的部件

[0189] ·在所述MCU(4、6、8)和所述医疗装置(1、7)之间共享至少一个密钥。

[0190] 所述至少一个密钥可以包括医疗装置地址、链路密钥和/或其他密钥。

[0191] 所述用于共享全部或部分所述密钥信息的部件(例如，配对装置)可以包括输入部件、有线连接、显示部件和/或用于执行配对进程的部件(例如，应用程序…)。

[0192] 遥控器(3)和医疗装置之间的配对包括下述步骤：

[0193] ·提供医疗装置(1、7)、遥控器(3)和已经与所述医疗装置(1、7)配对的MCU(4、6、8)

[0194] ·将所述MCU(4、6、8)插入到所述遥控器(3)中

[0195] ·使用包括在所述MCU(4、6、8)的存储器和所述医疗装置的存储器中的配对数据，以连接医疗装置和遥控器(3)。

[0196] 有利的是，所述MCU(4、6、8)和所述医疗装置(1、7)可以使用对连接进行认证加密机制和用于生成会话密钥或其他密钥的部件。

[0197] 在一个实施例中，医疗装置可以包括用于临时连接所述MCU以执行配对进程的连接部件。

[0198] 确保遥控器和医疗装置之间的通信安全

[0199] 本文在上文中公开了允许以安全的方式执行配对进程的安全配对进程。可以单独使用该进程，但是为了进一步提高安全性，必须以安全的方式交换数据。

[0200] 为了确保遥控器和医疗装置之间的安全通信，医疗装置可以使用至少一个加密密钥数据和/或回环机制。

[0201] 加密密钥：

[0202] 如上文所公开的，MCU(4、6、8)的存储器可以包括允许与医疗装置(1、7)安全通信的密钥信息(例如但不限于：通信配置、公钥、私钥、加密进程、链路密钥…)，所述医疗装置(1、7)也部分或完全地知道所述密钥信息。没有所述密钥信息，就不可能连接到医疗装置(1、7)和/或加密/解密数据。

[0203] 在一个实施例中，所述密钥信息包括至少一个加密密钥，通过这种方式，遥控器(3)和医疗装置(1、7)可以交换加密数据和/或对发送者进行认证。所述至少一个加密密钥可以是非对称密钥和/或对称密钥。这样，由MCU或遥控器对给定的数据进行加密，但是医疗装置(1、7)可以解密所述数据。反之亦然，医疗装置(1、7)可以将加密数据发送到遥控器(3)，并且MCU或遥控器可以解密所述加密数据。

[0204] 密钥生成器生成至少一个存储到MCU的存储器和/或医疗装置的存储器中的加密密钥。为了进一步提高安全性，所述至少一个加密密钥必须保密，并且只在MCU和医疗装置之间共享。

[0205] 在一个实施例中，至少一个加密密钥是非对称密钥。密钥生成器生成存储到MCU的存储器中的私钥和将存储到医疗装置的存储器中的公钥。所述私钥可供遥控器或MCU使用，而所述私钥仅供医疗装置使用。因此，所述MCU的存储器包括私钥，并且所述医疗装置的存储器包括合适的公钥。有利的是，所述公钥由医疗装置保密并永远不会通过蓝牙与其他装置共享。

[0206] 在一个实施例中，MCU保存密钥并且不与遥控器共享所述私钥，通过这种方式，当从遥控器移除MCU时(在使用具有MCU的所述遥控器之后)，遥控器不能使用所述私钥，从而遥控器不能与医疗装置通信。有利的是，所述私钥存储在MCU的存储器的第二或第四部分(12、14)，因此另一个装置不能读取所述私钥。在特定情况下，如果私钥仅存储在第四部分(14)，私钥不能由另一个装置重写。医疗装置使用的公钥必须优选地由医疗装置秘密的保存。然而，如果黑客找到所述公钥，该黑客只解密遥控器发送的数据(例如，治疗、命令…)。与如果黑客找到私钥(存储在MCU的存储器中)相比，找到公钥的危险性低一些，这是因为在该特定情况下，黑客可以模拟遥控器并修改患者的治疗方案(例如，胰岛素输送…)。

[0207] 在一个实施例中，密钥生成器生成至少两个非对称密钥(A和B)。私钥A存储在MCU中，并且合适的公钥A存储在医疗装置中。私钥A可以供遥控器和/或MCU使用，并且公钥A只可以供医疗装置使用。私钥B存储在医疗装置中，并且合适的公钥B存储在MCU中。公钥B可以供遥控器和/或MCU使用，并且私钥B只可以供医疗装置使用。因此，在该实施例中，医疗装置包括公钥A和私钥B，并且MCU包括公钥B和私钥A。所述公钥B和所述私钥A可以存储到MCU的存储器的(可写或不可写部分中的)不可读部分。因此，通信完全安全并且对发送者进行了认证。实际上，当医疗装置接收到利用公钥A解密的消息时，医疗装置辨别出特派员(遥控器)，反之亦然，当遥控器接收到利用公钥B解密的消息时，遥控器辨别出特派员(医疗装置)。使用两个非对称密钥允许对发送者进行认证。

[0208] 在一个实施例中，MCU(8)的CPU包括密钥生成器，其生成至少一个将被共享的加密密钥。所述CPU(9)还可以包括其他功能，例如，加密引擎…。例如，如图14所公开的，MCU(8)包括CPU(9)，在CPU(9)中，执行生成器以生成至少一个密钥。该密钥可以是全部或部分密钥信息(链路密钥、加密密钥、散列…)。在图14中，生成了两个密钥并且都存储在MCU(8)的存储器(10)中。密钥1和密钥2可以是同样的、相关联的或不同的。密钥1保存在MCU的存储器(10)中并且密钥2与医疗装置(1)共享。在这种情况下，可将密钥1存储到MCU的存储器的第二和第四(优选的)部分，并且可将密钥2存储到MCU的存储器的第一或第三部分。因此，可以读取密钥2以将其发送到医疗装置。然后，可以删除MCU的存储器(10)中的密钥2。例如，可将公钥A存储到MCU的存储器的第一部分，这是因为必须要将所述密钥发送到医疗装置，在此之后，优选的是删除给定装置(例如，如下文描述的配对装置)上的所述密钥。可将链路密存储到MCU的存储器的第三部分，这是因为不应删除所述密钥。可以利用遥控器或特定装置(如图13所示的配对装置(16))来执行该进程。

[0209] 在其他实施例中，在医疗装置内执行生成器。在另一个实施例中，医疗装置和MCU执行它们自己的生成器以生成至少部分密钥信息，其可以至少部分地在MCU和医疗装置之间共享。

[0210] 在一个实施例中，由特定装置(例如，配对装置(16))执行或启动如上所描述的生成器。

[0211] 可由制造商、医生、护理人员或药剂师启动生成器。

[0212] 在生成密钥的进程期间或者之后，可将其他信息(例如，患者的特征、药物、治疗、养生、治疗安全性限制…)记录到MCU和/或医疗装置的存储器中。

[0213] 在一个实施例中，为了确保与如本文所述的医疗组件的至少一个通信的安全，方法包括下述步骤：

[0214] -生成包括私钥和合适的公钥的非对称密钥

[0215] -将所述私钥存储到MCU的安全存储器中

[0216] -将所述合适的公钥存储到医疗装置的存储器中

[0217] -利用所述私钥加密数据A或利用所述公钥加密数据B

[0218] -将所述加密数据A传送到医疗装置或将所述加密数据B传送到遥控器

[0219] -利用所述私钥解密数据A或利用所述私钥解密数据B

[0220] 可以通过有线通信来执行所述密钥交换，并在患者使用之前由配对装置启动所述密钥交换。可由密钥生成器执行密钥生成，密钥生成可以由MCU启动或在MCU中执行。

[0221] 非对称密钥使用多个资源，并且优选地使用对称密钥。所以，可在会话通信的开始并在使用对称密钥(作为会话密钥)之后，使用非对称密钥。所述对称密钥可以是临时使用并定期改变的。

[0222] 在一个实施例中，为了确保与如本文所述的医疗组件的至少一个通信的安全，方法包括下述步骤：

[0223] -建立遥控器和医疗装置之间的第一通信

[0224] -医疗装置生成协商值Vm

[0225] -将所述协商值Vm传送到遥控器

[0226] -将所述协商值Vm传送到MCU

[0227] -MCU计算会话密钥Ks和协商值Vrc

[0228] -MCU使用所述私钥至少对会话密钥和/或所述协商值Vrc进行加密

[0229] -将所述加密数据传送到遥控器

[0230] -将所述加密数据Vrc传送到医疗装置

[0231] -医疗装置使用所述公钥解密所述加密数据。

[0232] 医疗装置还可以计算会话密钥。所述会话密钥可以是保密的或者可以使用所述会话密钥检查MCU生成的会话密钥。医疗装置可以使用所述加密数据和/或所述公钥对认证进行检查。

[0233] 在图17示出的实施例中，为了确保两个不同节点之间的至少一个通信的安全，其中的一个节点包括令牌，方法包括下述步骤：

[0234] -提供两个不同的节点1和2。所述节点1可以包括加密密钥1、密钥生成器和加密引擎。所述节点2包括用于连接到所述令牌的部件，所述令牌可以包括加密密钥2、密钥生成器和加密引擎

[0235] -通过第一节点对第一通信进行初始化

[0236] -通过第一节点生成值V1

[0237] -利用密钥1加密所述值V1(可选)

[0238] -将所述(加密的)值V1发送到第二节点

[0239] -将所述(加密的)值V1发送到令牌

[0240] -利用密钥2解密所述值V1(可选)

[0241] -通过令牌生成值V2

[0242] -通过令牌利用值V1和V2生成会话密钥1

[0243] -利用密钥2加密所述值V2(可选)

[0244] -将所述(加密的)值V2发送到第二节点

[0245] -将所述(加密的)值V2发送到第一节点

[0246] -利用密钥1解密所述值V2(可选)

[0247] -通过第一节点利用值V1和V2生成会话密钥2

[0248] 会话密钥1和2必须是同样的，以便以安全的方式对加密数据进行认证和交换。第一节点可以是医疗装置或医疗服务器，并且第二节点可以是遥控器。令牌可以在MCU中。
加密密钥可以是非对称密钥或对称密钥。加密密钥1可以是公钥，并且加密密钥2可以是私钥。优选地，第一节点和/或第二节点可以通过视觉、声音提示和/或振动器提示患者现在以安全的方式进行通信。

[0249] 在第一节点试图利用假令牌进行连接的情况下，由于加密密钥，所述令牌不能正确地解密值V1。因此，该令牌生成不同于会话密钥2的会话密钥1，并且该令牌不能与所述第一节点交换数据。

[0250] 所以由于该进程，所述MCU和所述医疗装置永远不会在无线通信中交换任何密钥。在一个实施例中，所述会话密钥秘密地保存在令牌中，所述令牌包括利用所述会话密钥进行解密和加密的加密引擎。在另一个实施例中，所述令牌与第二节点共享会话密钥(令牌可以秘密地保存或还共享密钥2)，并且所述第二节点包括利用所述会话密钥解密和加密的加密引擎。

[0251] 回环机制

[0252] 接下来的段落涉及包括回环机制的本发明的实施例。该特征通过为了确保根据本发明的组件和患者读取或输入的信息之间的网桥的安全，而考虑设置在遥控器内的之前公开的架构或类似的安全等级，可以提供医疗装置和遥控器之间的安全通信。图3和图4示出了根据本发明的遥控器(3)对回环机制的使用。

[0253] 回环是确保操作者已经请求了在医疗装置(1、7)上执行的命令及其参数(认证)并且该命令及其参数对应于他所希望的(完整性)的机制。更准确的说，该机制首先确保在遥控器(3)和医疗装置(1、7)之间传输的信息没有由于意外(存储器故障、通信干扰)或主动(攻击、恶意软件)的原因而改变。另外，该机制确保用户确实已经请求了命令。通过下述任务完成这两个功能，所述任务例如但不限于：

[0254] -遥控器(3)将命令及其参数传送给医疗装置(1、7)。

[0255] -医疗装置(1、7)基于该命令及其参数生成挑战码，并将其返回给遥控器(3)。

[0256] -遥控器(3)从挑战码中提取信息并将其显示给用户进行确认。在一个实施例中，使用包括显示部件的外部MCU，可将所述信息显示到外部MCU的显示部件上。该信息包括医疗装置(1、7)接收到的命令及其参数。

[0257] -用户通过输入只有他知道的PIN，发出表示他批准和确认的信号。遥控器(3)利用PIN和挑战码本身生成对挑战码的响应。

[0258] -将该响应发送到医疗装置(1、7)并对他进行验证。只有对挑战码的响应是正确的，才真正的开始执行命令。

[0259] 从用户使用的PIN仅用于验证挑战码-响应的特定情况的意义上来说，该机制不同于标准的“登陆”机制。在这种方式中，用户必须验证每个命令，从而在用户已经输入PIN码之后，恶意的应用程序就不能发送新命令。另外，另一个人不能由于失误或故意的原因而使用正确的遥控器或其他装置发送命令，这是因为用户是知道PIN码的唯一的人(优选)。

[0260] 从显示给用户的信息以及向用户显示的请求用户批准的信息是目标装置返回的信息的意义上来说，该机制与仅重复向用户发送请求命令“你确定？”的机制也不同。如果已经发生任何改变，则该返回值将自动地不同于用户最初输入的信息。

[0261] 所述确认不是由遥控器自动处理的，这样恶意应用程序就不能控制所述确认。仅由用户允许所述确认是至关重要的。在一个实施例中，回环机制使用PIN码确认发送的命令，并且只有用户知道所述PIN码。

[0262] 优选地，创建医疗装置的存储器和遥控器上的安全缓冲器之间的直接安全通道，所述遥控器包括显示的值。然后，遥控器(3)上授权的应用程序显示所述值并记录用户认证，所述记录认证将用于构建返回给医疗装置的返回值。可以通过使用附加MCU内的密钥信息启动该安全通道。

[0263] 当用户已经完成了定义他想在医疗装置上编程的参数时，打开安全通道。当用户确认了参数以便允许医疗装置使用它们时，关闭该安全通道。

[0264] 根据本发明的回环进程包括实现下述组成部分：

[0265] ·医疗装置中的安全存储区

[0266] ·医疗装置中的安全进程，其管理医疗装置的安全存储区和遥控器之间数据的加密通信

[0267] ·遥控器中的安全显示存储区

[0268] ·遥控器上的安全进程，其管理医疗装置和遥控器的安全显示存储区之间数据的加密通信

[0269] ·遥控器上的安全和授权进程，其将数据从安全显示存储区传送到遥控器的显示器并构建用户的确认票证。

[0270] 图2示出了这些不同组成部分的架构。

[0271] 当医疗装置已经接收到一组参数时，启动环路进程，这将改变治疗的设置或诸如报警设置的任何安全功能。

[0272] 在图3示出的一个实施例中，不使用附加MCU，医疗组件(至少一个医疗装置和一个遥控器)包括：

[0273] ○所述医疗装置中的存储器，其可以包括安全存储区，

[0274] ○所述医疗装置中的安全处理部件(5)，其管理所述安全存储区和远程装置之间数据通信的加密，

[0275] ○遥控器中的安全存储区，

[0276] ○遥控器中的安全处理部件(5)，其管理医疗装置和所述存储区之间的数据的加密通信，

[0277] ○遥控器上的安全和授权处理部件(5)，其将数据从安全存储区传送到遥控器的显示器并构建用户的确认票证。

[0278] 如果实施例不使用附加MCU，两个不同节点和用户之间的回环进程可以包括下述步骤：

[0279] ·通过第一节点接收第二节点发送的命令

[0280] ·将所述命令存储到第一节点的存储器

[0281] ·通过第一节点利用加密密钥A加密所述命令

[0282] ·将所述加密命令发送到第二节点

[0283] ·通过第二节点接收所述加密命令

[0284] ·通过第二节点利用加密密钥B解密所述加密命令

[0285] ·在第二节点的显示部件上显示所述命令

[0286] ·由用户检查命令

[0287] ·由所述命令的用户利用第二节点的输入部件验证

[0288] ·将所述验证发送到第一节点。

[0289] 所述加密密钥A和B可以是同样的或相关联的。为了进一步提高安全性，该进程可进一步包括生成挑战码、PIN码、状态指示…。

[0290] 因此，(图3示出的)详细的进程可以包括下述步骤：

[0291] ●由医疗装置中的嵌入式软件执行

[0292] ○将必须确认的参数写入到医疗装置的存储器中

[0293] ○可选地，生成随机信息，通常称为挑战码

[0294] ○打开医疗装置和遥控器之间的安全通道

[0295] ○可选地，通过例如震动、声音、LED或通知患者的任何其他方式，指示用户医疗装置和遥控器处于回环模式

[0296] ○将利用称为KP的加密密钥加密的参数和挑战码发送到遥控器。

[0297] ●由遥控器中的软件实体1执行

[0298] ○接收加密的参数和挑战码并将其写入到遥控器的安全存储区。

[0299] ●由遥控器中的软件实体2执行

[0300] ○利用称作KRC的密钥解密参数，KRC是与KP对应的密钥。这些密钥可以是对称的或非对称的。通过具有正确的对应密钥KRC，验证授权应用。

[0301] ○在“摘要”页中显示解密参数。

[0302] ○可选地，输入用户的PIN码。

[0303] ○构建确认票证，所述确认票证将利用挑战码、密钥KRC和输入的PIN码确认接收了这些参数。

[0304] ○将票证写入遥控器的安全存储区。

[0305] ●由遥控器中的软件实体1执行

[0306] ○将该票证发送回医疗装置。

[0307] ●由医疗装置中的嵌入式软件执行

[0308] ○可选地，计算期望的票证

[0309] ○接收来自遥控器的确认票证并对其进行验证。

[0310] 当验证了票证时，关闭回环进程，并且允许医疗装置使用更新的参数。为了提高安全通道的安全性，该基本进程可以更精细或作为更加复杂方案的一部分。

[0311] 在一个实施例中，所述软件实体1和所述软件实体2是同一个软件实体，或者软件实体1可以是遥控器(3)中的嵌入式软件并且软件实体2可以是遥控器(3)中的授权应用程序。在另一个实施例中，由下文定义的主机操作系统运行所述软件实体1，并且由如下文所述的医疗操作系统运行软件实体2。

[0312] 本领域技术人员将会理解有多种加密发送数据并生成所述票证的多种方法。本发明并不限于加密发送数据并生成所述票证的特定方法。

[0313] 如果实施例使用附加MCU，两个不同节点和用户之间的回环进程可以包括下述步骤：

[0314] ·通过第一节点接收第二节点发送的命令

[0315] ·将所述命令存储到第一节点的存储器中

[0316] ·通过第一节点利用加密密钥A加密所述命令

[0317] ·将所述加密命令发送给第二节点

[0318] ·通过第二节点接收所述加密命令

[0319] ·将所述加密命令发送给MCU

[0320] ·通过MCU接收所述加密命令

[0321] ·通过MCU利用加密密钥B解密所述加密命令

[0322] ·在第二节点的显示部件上显示所述命令

[0323] ·由用户检查命令

[0324] ·由所述命令的用户利用第二节点或MCU(如果该MCU是包括例如验证按钮的输入部件的外部MCU)的输入部件验证

[0325] ·将所述验证发送给第一节点。

[0326] 所述加密密钥A和B可以是同样的(对称)、相关联的(非对称)。为了进一步提高安全性，该进程可以进一步包括生成挑战码、PIN码、状态指示…。

[0327] 因此，(图4)示出的详细的进程可以包括下述步骤的全部或部分：

[0328] ●由医疗装置中的嵌入式软件执行

[0329] ○将必须确认的参数写入到医疗装置的存储器中

[0330] ○可选地，生成挑战码

[0331] ○利用临时密钥Ks1加密所述参数

[0332] ○可选地，通过例如震动、声音、LED或通知患者的任何其他方式，指示用户医疗装置和遥控器处于回环模式。在一个实施例中，所述MCU是包括用于将所述信息发送给用户的装置(MCU上的LED、显示部件、振动器…)的外部MCU

[0333] ○将加密的参数和/或挑战码发送到遥控器

[0334] ●由遥控器中的软件实体1执行

[0335] ○将加密参数发送给MCU。

[0336] ●由MCU中的嵌入式软件执行

[0337] ○接收加密的参数和挑战码并将其写入到MCU的存储器。

[0338] ○利用密钥Ks1解密参数。

[0339] ○将解密的参数和挑战码发送到遥控器的存储器。

[0340] ●由遥控器中的嵌入式软件执行

[0341] ○在“摘要”页中显示解密参数。

[0342] ○可选地，提示用户输入PIN码。

[0343] ○构建确认票证，所述确认票证将利用挑战码(可选)、参数和输入的PIN码(可选)确认接收了这些参数。

[0344] ○将票证写入遥控器的存储器。

[0345] ○将所述票证发送给MCU。

[0346] ●由MCU中的嵌入式软件执行

[0347] ○接收所述票证并将其写入到MCU的安全存储区

[0348] ○利用临时密钥Ks2加密所述票证

[0349] ○将加密的票证发送回遥控器

[0350] ●由遥控器中的嵌入式软件执行

[0351] ○将加密的票证发送回医疗装置。

[0352] ●由医疗装置中的嵌入式软件执行

[0353] ○可选地，计算期望的票证

[0354] ○接收来自遥控器的确认票证并对其进行解密和验证。

[0355] 当验证了票证时，关闭回环进程并且允许医疗装置使用更新的参数。为了提高安全通道的安全性，该基本进程更精细或作为更加复杂方案的一部分。

[0356] 在一个实施例中，为了防止任何应用程序模拟用户动作或截获该信息，可以在使用显示在遥控器上的随机阵列时输入PIN。例如，将以每次不同的随机的顺序显示数字(从0到9的5个数字)，用户必将输入PIN码。在其他实施例中，可以用符号、图片、文字、必须重绘的表格代替所述PIN，并可以输入或复制所述PIN以验证命令，所有的意图都是为了保证有智能人正与显示器交互。

[0357] 在另一个实施例中，可以通过另一个认证部件(例如但不限于指纹识别器、指纹视网膜…)改变PIN。必须只有用户知道或拥有该认证部件。

[0358] 在一个实施例中，由如下文定义的主机操作系统运行遥控器中的所述嵌入式软件，并且由如下文所述的医疗操作系统运行或启动MCU中的所述嵌入式软件。

[0359] 如果MCU是如图4或5所示的软件狗，并且如果所述软件狗包括用于向患者发送信息的部件，就可以将挑战码显示到其显示部件上。所述部件可以通知患者正在运行安全模式或操作系统或回环模式。

[0360] 在一个实施例中，还可以加密挑战码。

[0361] 在一个实施例中，密钥Ks1和Ks2可以是非对称密钥对或对称密钥或使用散列机制。

[0362] 在一个实施例中，密钥Ks1和Ks2相同或不同。

[0363] 在一个实施例中，用户必须输入PIN码以确认回环机制中的入口，该PIN码在随机显示的阵列上输入。

[0364] 在一个实施例中，MCU是包括输入部件的外部MCU，通过这种方式，可利用所述输入部件输入PIN码或所述输入部件是指纹识别器。在另一个实施例中，所述指纹识别器是遥控器。

[0365] 确保遥控器和医疗服务器之间的通信安全。

[0366] 在一个实施例中，所述MCU(4、6、8)包括用于建立所述医疗组件和医疗服务器(例如，远程医疗)之间的通信和/或确保通信安全的密钥信息。通过这种方式，可以将全部或部分数据安全地传送到可以分析或存储所述数据的医疗服务器。

[0367] 本文所描述的全部或部分功能部件可用于建立遥控器和医疗服务器之间的通信或医疗服务器和医疗装置之间的通信和/或确保通信安全，其中，遥控器可用作网关。

[0368] MCU的其他特征

[0369] 在如图6、7、8和12所示的一个实施例中，可以认为外部MCU(6)是外部装置(例如，软件狗)，或者外部MCU(6)就是外部装置(例如，软件狗)。

[0370] 在一个实施例中，外部MCU(6)可用作简单的软件狗，并且如图7所示，所述外部MCU(6)可以包括用于连接到内部MCU(4)的附加的连接部件(15)。在该特定的情况下，软件狗(6)可用作遥控器(3)和内部MCU(4)之间的中间体或适配器。因此，不需要将全部或部分密钥信息或程序存储到所述软件狗(6)的存储器中。内部MCU(4)必须用于存储全部或部分其他密钥信息。例如，软件狗(6)可以包括检查操作系统、mOS或者由遥控器或将安装到遥控器(3)中的软件执行的应用程序的密钥信息。内部MCU(4)可以包括密钥信息，例如链路密钥、加密密钥…。

[0371] 另外，如果患者更换他的遥控器(因为摔坏或电池故障)，并且如果新遥控器不包括用于内部MCU(4)的合适的连接部件，具有该软件狗(6)就是有用的。因此，由于该外部MCU(6)，遥控器(3)连接到内部MCU(4)。附加连接部件可以执行外部MCU(6)和遥控器(3)之间的有线或无线通信。

[0372] 所述MCU(6)可以包括之前描述的全部元件和如下文所述的其他部件或特征(15)。

[0373] 外部MCU(6)可以包括传感器，例如但不限于：

[0374] -血糖测量部件，通过这种方式，所述MCU(6)也可以用作如血糖监测，[0375] -用于监视患者的活动的加速计…。

[0376] MCU(6)可以包括用于安全地显示数据的显示部件，通过这种方式，患者具有两个不同的显示部件，第一显示部件位于遥控器上，并且第二显示部件位于软件狗或外部MCU(6)上。因此，第一显示部件用于编程或监视医疗装置，并且第二显示部件可用于确认数据或接收并显示回环的全部或部分挑战码或其他信息。这样，遥控器上所需的安全等级可以最小化，这是因为患者将必须审阅MCU(6)的显示器所需的全部与安全相关的程序改变，在确认该程序改变以在医疗装置上执行之前，该程序改变信息是完全安全的。

[0377] 该外部MCU(6)可以包括输入部件，其用于以安全的方式设置数据、输入PIN码或指纹识别器。所述输入部件还可以是用于在发送之前或在回环机制中使用之前对数据进行验证的验证按钮。

[0378] 如图12所示，外部MCU(6)可以包括至少一个用于连接到另一个MCU(4)的连接部件。因此，外部MCU(6)可以已经与医疗装置(例如，输送装置)配对，并且插入到外部MCU(6)的内部MCU(4b)可以与另一个医疗装置(例如，血糖仪)配对。所述外部MCU存储第一医疗装置的密钥信息，并且所述内部MCU存储第二医疗装置的密钥信息。

[0379] 如果外部MCU包括昂贵的其他部件(15)(例如传感器、通信部件、显示部件…)，优选地使用具有附加的内部MCU(4)的简单软件狗(6)(如图7所示)。因为医疗装置只与一个MCU配对，所以当患者更换他的医疗装置时，他可以保持他的软件狗(6)，同时他更换耦合的内部MCU(4)-医疗装置(1)。

[0380] 在一个实施例中，所述MCU(6)可以包括通信部件，其在不需要依赖遥控器的情况下，安全地与医疗装置通信。在该实施例中，使用的遥控器可以是手机，这样的优点在于它的显示部件和/或可以为所述MCU供电。

[0381] 在图15示出的一个实施例中，外部MCU(6)可以从遥控器(3)拔出并可用作光遥控器。例如，如果所述外部MCU(6)包括输入部件(15)和通信部件(15)(可选地，还可包括电源、显示部件…)，无需遥控器，所述外部MCU就能至少部分地控制医疗装置。所述输入部件可用于支配药丸和/或中止模式和/或其他传送命令或模式。

[0382] 在如图8和9示出的一个实施例中，两个医疗装置(1、7)与遥控器(3)通信。例如，第一医疗装置(1)是胰岛素泵(1)，并且第二医疗装置(7)是动态血糖仪(7)。每个医疗装置仅与其自己的MCU(4a、4b)配对。如图8所示的实施例，其公开了插有外部MCU(6)的遥控器(3)。所述外部MCU(6)包括用于插入两个不同的内部MCU(4a、4b)的两个不同的连接部件。图9示出的实施例公开了遥控器(3)，其内部包括用于插入两个不同的MCU(4a、4b)的两个不同的连接部件。第二MCU(4a)(或第三MCU(4b))包括安全存储器，所述安全存储器包含第一医疗装置(1)(或第二医疗装置(7))的密钥信息。所述第二MCU(4a)只与第一医疗装置(1)配对，并且所述第三MCU(4b)只与第二医疗装置(7)配对。该实施例可包括多个MCU和医疗装置。

[0383] 在如图10所示的一个实施例中，两个医疗装置(1、7)与遥控器(3)通信，但是只有一个MCU(4c)插入到遥控器(3)中。对于该实施例来说，所述MCU(4c)与两个医疗装置(1、7)配对并且包括至少一个包含所述两个医疗装置(1、7)的密钥信息的安全存储器。

[0384] 在一个实施例中，外部MCU(6)包括显示部件和/或输入部件。在外部MCU的显示部件上显示某些数据(例如，关键数据)和/或在医疗装置使用数据之前输入部件允许对所述数据进行验证。例如，遥控器允许为医疗装置编程命令，并且外部MCU允许验证所述命令。所述外部MCU可以至少部分地执行回环机制。所述显示部件可以在医疗装置执行挑战码或命令之前显示所述挑战码或命令。

[0385] 尽管以上描述的实施例使用一个或两个医疗装置，但是本发明并不限于该实施例，本发明可以具有一个或多个医疗装置或者一个或多个MCU。

[0386] 遥控器

[0387] 在一个实施例中，遥控器(3)是手机并且MCU(4)是包括电话运营商的所有数据和应用程序的SIM卡。另外，所述SIM卡包括与医疗装置(1、7)配对和安全通信的所有数据和应用程序。

[0388] 在另一个实施例中，所述手机包括两个不同的连接部件，第一个连接部件用于插入电信运营商的SIM卡，并且另一个连接部件用于插入与医疗装置配对的MCU。

[0389] 在一个实施例中，所述遥控器还用作手机和BGM或到CGM的链路。所述医疗组件包括两个不同的智能卡。第一个智能卡是电话运营商使用的SIM卡，并且第二个智能卡用于控制医疗装置。必须将这两个智能卡都插入到遥控器中以利用其全部的功能(电话、遥控器、BGM、CGM…)。但是，如果丢失所述第一个智能卡，遥控器就不能用作电话，但是它可以控制医疗装置并用作BGM。如果丢失所述第二个智能卡，遥控器不能用于控制医疗装置，但是它可以用作BGM、CGM和/或手机。如果两个智能卡都丢失了，遥控器就只能用作BGM或CGM。

[0390] 在一个实施例中，所述遥控器包括只显示安全信息(例如：挑战码、PIN)的第二显示部件。

[0391] 为了提高安全性，所述遥控器(3)可以包括验证平台和/或完整性测试。

[0392] 完整性测试

[0393] 在一个实施例中，所述医疗装置(1、7)和/或所述MCU(4、6、8)包括诸如安全启动进程和/或安全闪存进程和/或加密机制的安全处理部件(5)，其至少检查遥控器的完整性和/或管理所述医疗装置(1、7)和所述遥控器(3)之间的数据的安全通信。

[0394] 因此，所述MCU(4、6、8)可用于确保遥控器(3)的完整性，例如但不限于它的操作系统和/或主机操作系统(hOs)和/或应用程序…。确保这种完整性的典型方法是使用安全启动或安全闪存，其是在遥控器(3)的启动期间或监视系统的定期间隔执行完整性检查的功能。

[0395] 例如，使用安全启动进程的实施例：为了确保遥控器(3)上运行的软件没有由于意外(硬件故障)或故意(攻击、恶意软件)的原因而被修改，使用了安全启动机制。当打开遥控器(3)时，由其处理器执行的第一代码是将会计算遥控器(3)的内部存储器(闪存)的签名内容并验证签名的有效性的例程。一旦签名被验证为有效，处理器就继续其正常的操作系统启动程序。否则，系统不会启动。需要重点指出的是，可以利用MCU(4、4a、4b、4c、6、8)执行对签名的验证，这确保了没有秘密(密钥)被泄露。

[0396] 另一个例子是使用安全闪存进程的实施例：我们希望允许用户利用较新版本的遥控器操作系统(可以从医疗服务器下载)的优点。相似地，为了防止利用未授权的软件升级遥控器(3)的软件，必须对要写入的新软件签名。当以更新模式启动遥控器(3)时(例如，长按电源键)，处理器首先执行下述例程：下载新软件的图像，在覆盖现有的软件之前，计算其签名并对其进行验证。再次，需要重点指出的是，可以利用MCU(4、6、8)执行对签名的验证，这确保了没有秘密(密钥)被泄露。

[0397] 因此，可以由MCU检查遥控器的完整性，所述MCU在其存储器中保密地存储了如操作系统和/或应用程序的签名(例如，散列)的密钥信息。

[0398] 在一个实施例中，如果完整性测试成功，就建立通信。如果不成功，MCU就会启动进程来向患者和/或泵发出通知：操作系统或应用程序被破坏。所述MCU或所述医疗装置可以在显示装置上显示错误信息或通过其他部件(声音、振动…)发出通知。

[0399] 使用主机操作系统(hOS)

[0400] 在一个实施例中，遥控器(3)使用移动虚拟化平台可以将遥控器(3)(例如，智能电话)划分为受控环境(例如，用于控制医疗装置(1、7))和非受控环境(例如，通用的任务)。可以通过虚拟机应用程序定义该虚拟化平台。

[0401] 下面描述的架构是根据本发明的虚拟化平台的非限制性例子(参见图1)：

[0402] ·主机操作系统(OS)将硬件部件模拟为一个或多个客户操作系统(图1只示出了2个客户操作系统)。

[0403] ·一个客户操作系统在非受控环境中处理通用任务(例如：日历、联系人、网页浏览、电话通讯、娱乐等)。

[0404] ·一个客户操作系统在受控环境中处理与医疗装置的交互。

[0405] 有利的是，当集成某些高级操作进程时，主机操作系统尽可能的薄并且主机操作系统是最低级的操作系统架构。主机操作系统不是简单的系统管理程序。事实上，主机操作系统进一步包括不同的安全任务和控制任务。因此，主机操作系统对活动进行管理、协调，共享遥控器的资源，并决定拒绝和/或允许运行应用程序和/或使用驱动器和/或遥控器(3)的外围设备。通过这种方式提高安全性，这是因为恶意软件不能访问任何驱动器和/或外围设备，例如但不限于如上文描述的MCU。

[0406] 因此，通过使用该架构，受控环境总是具有完全的控制遥控器，以防止任何恶意应用程序截取或修改或生成与医疗装置交换的命令/信息。这种恶意应用程序的典型动作是将会窃取用户的PIN码以模拟输注的程序。

[0407] 在一个实施例中，该受控环境是经过认证的并且通过如上所述的MCU检查了它的完整性。每次启动遥控器时都通过所述MCU进行安全检查，所述MCU应当确认完整性并对hOs进行认证，可选地，对mOS进行认证。

[0408] 除了该结构之外，可以执行特定的监视程序以检查受控环境中运行的全部任务，其可以禁用不在特定的授权应用程序列表内的任何应用程序。还可以通过所述MCU控制该特定监视。所述监视器还能够测量应用程序的运行时间，并通过触发警报指示用户任何可疑的超载活动。

[0409] 在一个实施例中，所述hOS包含在所述MCU中，和/或由所述MCU启动和/或运行所述hOS。

[0410] 在一个实施例中，所述mOS包含在所述MCU中，和/或由所述MCU启动和/或运行所述mOS。

[0411] 在一个实施例中，所述mOS和/或所述hOS和/或系统管理程序包含在所述MCU中。当将所述MCU插入到所述遥控器中时，包含所述mOS和/或hOS和/或虚拟机的所述MCU安装到所述遥控器。

[0412] 在一个实施例中，可以通过使用如LED的视觉指示器和/或音频指示器和/或其他指示器(例如，振动器)来指示受控环境中的处理，这将指示用户当前应用程序是在受控还是非受控环境中运行。例如，我们可以设想，当当前的应用程序在受控环境中时打开绿色LED，并且当用于运行的程序不在受控环境中时关闭该绿色LED。我们还可以具有“相反”使用的情况，其中，当用户处于受控环境中时关闭LED，并且当用户返回到非受控环境中时LED变为红色。

[0413] 在另一个实施例中，hOS可以为在受控环境中运行的应用程序保留部分屏幕。通过这种方式，只有mOS能够在该空间显示某些内容，而在非受控环境中运行的应用程序或其他gOS不能使用该空间。

[0414] 因此，用户知道mOS的应用程序是否在运行。事实上，如果所述指示器不能正确的通知用户，那么其肯定是试图控制医疗装置或试图误导用户的恶意应用程序。

[0415] 在一个实施例中，MCU包括当mOS运行时可以运行的应用程序和/或软件列表。在一个实施例中，具有或不具有MCU，PIN码都允许启动mOS和/或医疗装置。

[0416] 医疗组件的其他可选的特征

[0417] 在另一个实施例中，医疗装置包括至少一个可以测量患者的生理特性的传感器、用于实时地识别由所述传感器监视的首要症状的诊断部件以及在所述诊断装置检测到所述首要症状的情况下向用户报警的报警部件。通过这种方式，可以由遥控器监视医疗装置并向用户发出警报。

[0418] 在一个实施例中，遥控器包括GPS，如果发出警报，所述GPS就对用户进行定位。所述医疗组件可以启动遥控器中的应用程序以定位患者并将所述定位发送给医疗中心，或者在所述诊断部件检测到所述首要症状和/或如果患者行动不便的情况下，将所述定位发送给其他人。此外，所述医疗组件可以启动遥控器中的应用程序以将生理特性数据发送给医疗中心，或者在所述诊断部件检测到所述首要症状或/和患者行动不便的情况下，将所述生理特性数据发送给其他人。

[0419] 本发明当然不限于前面所讨论的示出的实施例。

标题	发布/更新时间	阅读量
用于控制域中内容的分发的方法	2020-05-12	367
内存读取/写入仲裁方法	2020-05-13	987
于网络环境中提供数字内容的方法及系统	2020-05-12	507
仲裁装置及其方法	2020-05-13	45
独立处理多个指令流、软式控制各指令流的处理功能的多线程处理器	2020-05-11	323
从第一装置到至少一个第二装置在以太网内传输可预先确定优先分类级的数据包的方法	2020-05-15	221
提高带宽效率的方法	2020-05-15	530
具有并行仲裁机制的多重允许控制器及其方法	2020-05-14	94
无线接入网络系统、无线接入方法、及控制设备	2020-05-11	633
控制晶片组间的汇流排及其仲裁方法	2020-05-12	557

在医疗装置及其远程装置之间安全的通信

在医疗装置及其远程装置之间安全的通信

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：