IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > IMPULSE DYNAMICS NV

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ インパルス ダイナミクス エヌヴイの特許一覧

<>
  • 特許-パワーカップリング変調伝送 図1
  • 特許-パワーカップリング変調伝送 図2
  • 特許-パワーカップリング変調伝送 図3
  • 特許-パワーカップリング変調伝送 図4
  • 特許-パワーカップリング変調伝送 図5A
  • 特許-パワーカップリング変調伝送 図5B
  • 特許-パワーカップリング変調伝送 図6
  • 特許-パワーカップリング変調伝送 図7
  • 特許-パワーカップリング変調伝送 図8A
  • 特許-パワーカップリング変調伝送 図8B
  • 特許-パワーカップリング変調伝送 図8C
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-22
(45)【発行日】2024-01-30
(54)【発明の名称】パワーカップリング変調伝送
(51)【国際特許分類】
   H04L 9/08 20060101AFI20240123BHJP
   A61N 1/378 20060101ALI20240123BHJP
   A61N 1/372 20060101ALN20240123BHJP
【FI】
H04L9/08 C
H04L9/08 F
A61N1/378
A61N1/372
【請求項の数】 24
(21)【出願番号】P 2021519014
(86)(22)【出願日】2019-06-12
(65)【公表番号】
(43)【公表日】2021-10-21
(86)【国際出願番号】 IB2019054909
(87)【国際公開番号】W WO2019239343
(87)【国際公開日】2019-12-19
【審査請求日】2022-06-10
(31)【優先権主張番号】62/683,677
(32)【優先日】2018-06-12
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520490624
【氏名又は名称】インパルス ダイナミクス エヌヴイ
【氏名又は名称原語表記】IMPULSE DYNAMICS NV
【住所又は居所原語表記】Schottegatweg Oost 10, Unit A1K, Willemstad, Curacao, Netherlands
(74)【代理人】
【識別番号】110002952
【氏名又は名称】弁理士法人鷲田国際特許事務所
(72)【発明者】
【氏名】プラッチ デビッド
(72)【発明者】
【氏名】マイヤーズ ジェイソン
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2002-315209(JP,A)
【文献】特開2018-085731(JP,A)
【文献】特表2007-524456(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
A61N 1/00- 1/44
(57)【特許請求の範囲】
【請求項1】
移植可能デバイスと外部デバイスとの間の無線チャネルを介した通信をセキュアにする方法であって、
外部デバイスが、移植可能デバイスに経皮的エネルギー伝送(TET)リンクを介して前記移植可能デバイスのバッテリーを充電するためのエネルギーを伝送することと、
前記外部デバイスが、前記TETリンクによって伝送されるエネルギーに鍵を変調することと、
前記移植可能デバイスまたは前記外部デバイスが、前記鍵を使用して前記無線チャネルを介する通信を暗号化することと、
を備える、方法。
【請求項2】
前記鍵は、公開鍵であり、前記暗号化することは、前記移植可能デバイスが、非対称暗号化および前記公開鍵を使用して、前記無線チャネルを介して前記移植可能デバイスからのメッセージを前記外部デバイスに送信することを含む、請求項1に記載の方法。
【請求項3】
前記メッセージは、セッション鍵を含み、
前記外部デバイスが、前記セッション鍵で前記移植可能デバイスへのコマンドを暗号化すること
をさらに含む、請求項2に記載の方法。
【請求項4】
前記メッセージは、セッション鍵を含み、
前記移植可能デバイスが、前記移植可能デバイスから送信されたデータを前記セッション鍵で暗号化すること
をさらに含む、請求項2に記載の方法。
【請求項5】
前記外部デバイスが、高レベルのセキュリティプロトコルに従って、前記移植可能デバイスに送信されるコマンドをセキュアにすることと、
前記移植可能デバイスが、低レベルのセキュリティプロトコルに従って、前記移植可能デバイスから外部デバイスに送信されるデータをセキュアにすることと、
をさらに備える、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記外部デバイスから前記移植可能デバイスへの治療パラメータを変更するためのコマンドが、前記高レベルのセキュリティに割り当てられる、請求項5に記載の方法。
【請求項7】
前記高レベルのセキュリティプロトコルは、前記コマンドを受け入れる前に、15分以内に更新された鍵の変調を必要とする、請求項5から6のいずれか一項に記載の方法。
【請求項8】
前記外部デバイスが、前記外部デバイスから前記TETリンクを介して前記移植可能デバイスに検証メッセージを送信することによって、前記無線チャネルを介して送信されるメッセージを検証すること、
をさらに備える、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記移植可能デバイスが、前記鍵を記憶することをさらに備える、請求項1から8のいずれか一項に記載の方法。
【請求項10】
前記コマンドが、前記移植可能デバイスのユーザの状態に応じて、前記低レベルのセキュリティを一時的に割り当てる、請求項6に記載の方法。
【請求項11】
前記状態は、心筋梗塞を含む、請求項10に記載の方法。
【請求項12】
セキュアな通信のための移植可能デバイスであって、
外部デバイスから電力を受信し、前記電力を前記移植可能デバイスに供給するように構成された経皮的エネルギー伝送(TET)受信機と、
前記TET受信機に接続されたデータ受信回路であって、前記TET受信機から、受信された前記電力の変調によって符号化された公開鍵を受信するように構成されたデータ受信回路と、
前記データ受信回路に機能的に接続され、前記データ受信回路から前記公開鍵を受信し、前記公開鍵に基づいてメッセージを非対称暗号化して暗号化メッセージを生成するように構成された暗号化モジュールと、
送受信機であって、前記暗号化モジュールから前記暗号化メッセージを受信し、双方向無線チャネルを介して前記外部デバイスに前記暗号化メッセージを送信するように機能的に接続された送受信機と、
を備える、移植可能デバイス。
【請求項13】
前記移植可能デバイスが、前記TETチャネル上で発信メッセージを変調することができる変調器を含まない、請求項12に記載の移植可能デバイス。
【請求項14】
前記移植可能デバイスが、前記公開鍵と秘密鍵とを生成すること、および前記公開鍵で暗号化された非対称暗号化メッセージを復号することができる非対称復号回路を含まない、請求項12から13のいずれか一項に記載の移植可能デバイス。
【請求項15】
移植可能デバイスと外部デバイスとの間でセキュアな通信を行うためのシステムであって、
移植可能デバイスであって、
誘導エネルギー受信回路と、
前記エネルギー受信回路からの信号を復調することができるデータ受信回路と、
無線チャネルを介したデータ通信のための送受信機と、
プロセッサであって、
非対称プロトコルでメッセージを暗号化し、
対称暗号化鍵を生成し、
前記対称暗号化鍵を使用してデータを暗号化し、暗号化された信号を生成し、
前記対称暗号化鍵を用いて受信したデータ信号を復号する
ように構成されたプロセッサと、
を含む、移植可能デバイスと、
近接場外部デバイスであって、
前記誘導エネルギー受信回路に電流を誘導するように構成された誘導発生回路であって、前記移植可能デバイスにエネルギーを伝達するように構成されたTET発生器を含む、誘導発生回路と、
前記無線チャネルを介したデータ通信のための手段と、
公開鍵と秘密鍵を生成し、前記無線チャネルを介して受信された、前記公開鍵で暗号化された非対称暗号化メッセージを復号することができる非対称復号回路と、
を含む、近接場外部デバイスと、
を備え、
前記移植可能デバイスは、前記公開鍵を受信するように前記復号回路に機能的に接続された変調器であって、前記公開鍵をTET信号に変調して前記鍵を前記移植可能デバイスに伝達するように前記TET発生器に機能的に接続された変調器を備える、システム。
【請求項16】
前記近接場外部デバイスが、前記TETチャネル上でメッセージを受信できる受信機を含まない、請求項15に記載のシステム。
【請求項17】
前記移植可能デバイスが、現在の位置を検出することと、
前記移植可能デバイスが、前記現在の位置に応じて前記移植可能デバイスの通信に関するセキュリティプロトコルを調整することと、
さらに含む、請求項1に記載の方法。
【請求項18】
前記位置は、高リスクの位置であり、前記調整することは、セキュリティ制限を増大させることを含む、請求項17に記載の方法。
【請求項19】
前記位置は、低リスクの位置であり、前記調整することは、セキュリティ制限を減少させることを含む、請求項17から18のいずれか1つに記載の方法。
【請求項20】
請求項17から請求項19のいずれか一項に記載の方法を実行するための、システム。
【請求項21】
前記移植可能デバイスが、前記移植可能デバイスのユーザの現在の状態を検出することと、
前記移植可能デバイスが、前記現在の状態に応じて前記移植可能デバイスの通信に関するセキュリティプロトコルを調整することと、
さらに備える、請求項1に記載の方法。
【請求項22】
前記状態が安定しており、前記調整することは、セキュリティ制限を増大させることを含む、請求項21に記載の方法。
【請求項23】
前記状態が急性の危険な状態を含み、前記調整することは、セキュリティ制限を減少させることを含む、請求項21から22のいずれか一項に記載の方法。
【請求項24】
請求項21から23のいずれか一項に記載の方法を実行するための、システム。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願]
本願は、2018年6月12日に出願された米国仮特許出願第62/683,677号の35USC§119(e)に基づく優先権の利益を主張し、その内容は参照によりその全体が本明細書に組み込まれる。
【0002】
[本発明の分野と背景]
本発明は、そのいくつかの実施形態では、無線通信をセキュアにする方法、特に、より具体的には、近距離通信チャネルを介して移植医療デバイスを用いてセキュリティ鍵を伝送する方法に関するものであるが、これに限定されない。
【0003】
特許文献1は、「遠隔測定チャネルを介して移植可能医療デバイス(IMD)と外部デバイス(ED)との間のセキュアな通信を可能にするための方法およびシステム」を開示すると思われる。遠隔測定インターロックは、遠隔測定チャネルを介したEDとIMDとの間の通信を制限するように実装されてもよく、EDがIMDへの物理的な近接を必要とする近距離通信チャネルを介してIMDにイネーブルコマンドを送信すると、遠隔測定インターロックが解除される。遠隔測定インターロックの代替あるいは追加として、遠隔測定チャネルを介したIMDとEDの間のデータ通信セッションは、IMDとEDが互いに暗号的に認証された後にのみ許可される。
【0004】
特許文献2は、「移植可能なデバイスと外部デバイスとの間でセキュアに暗号鍵を交換するための方法およびシステム」を開示すると思われる。例示的な方法は、外部デバイスから認証要求を受信することであって、認証要求が暗号鍵伝送の第1の暗号鍵を受信する要求である、受信することと、移植可能デバイスに対して磁石が検出されたことを示す指示を受信することであって、指示が移植可能デバイスと外部デバイスとの間の通信のためのセキュアな環境を示す、受信することと、認証要求および検出された磁石の指示を受信した後、第1の暗号鍵送信指示を生成することであって、第1の暗号鍵送信指示が移植可能デバイスによって外部デバイスに第1の暗号鍵を送信することを指示する、生成することと、を含む。
【0005】
特許文献3は、「スイッチング回路への入力電力における通信を検出するワイヤレス電源システム」を開示していると思われる。本発明のこの態様において、無線電源装置は、スイッチング回路への入力における電流を示す信号を生成するための検出器と、検出された信号をフィルタリングするためのバンドパスフィルタと、フィルタリングされた信号を増幅するための増幅器と、増幅された信号をフィルタリングするためのフィルタと、最終的な信号を、バイナリデータストリームとして処理するためにコントローラに渡すことができる高信号および低信号のストリームに変換するためのコンパレータとを含む。第2の態様において、ワイヤレス電源システムは、一次側タンク回路内の電流と電圧の間の位相関係の変化に依存して変化する信号を生成するための検出器と、信号をフィルタリングするためのバンドパスフィルタと、フィルタリングされた信号を増幅するための増幅器と、増幅された信号をフィルタリングするためのフィルタと、最終的な信号をバイナリデータストリームとして処理するためのコントローラに渡すことができる高信号および低信号のストリームに変換するためのコンパレータと、を含む。
【0006】
特許文献4は、「携帯型電子デバイスに電力およびデータを誘導結合するためのシステム」を開示していると思われる。パーソナルデジタルアシスタントのような携帯型電子デバイスは、デバイスと支持ユニットとの間の誘導結合を介して電力供給または充電され、それにより、その間のケーブル配線または他の接続の必要性を排除する。同じ誘導結合は、デバイスと第2の電子デバイス、例えば従来のデスクトップコンピュータとの間でデータ信号を伝送するためにも使用される。支持ユニットは、変圧器の一次巻線と、電力増幅器と、変調器と、を含む。携帯デバイスは、整流器の入力と並列に接続された二次巻線を含み、この二次巻線の出力は、バッテリ充電回路に接続され、モデムに接続され、このモデムは、デバイスのマイクロプロセッサにさらに接続される。デバイスを支持ユニット上に配置すると、一次巻線と二次巻線が互いに近接しているときに、誘導結合が作用する。
【先行技術文献】
【特許文献】
【0007】
【文献】米国特許出願公開第2007/0018188号明細書
【文献】米国特許出願公開第2014/0185805号明細書
【文献】米国特許第9154002号明細書
【文献】米国特許第5455466号明細書
【発明の概要】
【課題を解決するための手段】
【0008】
本発明のいくつかの実施形態の例を以下に列挙する。
例1は、移植デバイスと外部デバイスとの間でセキュアな通信を行う方法であって、
外部デバイスによって移植デバイスへ経皮的エネルギー伝送(TET)リンクを介してエネルギーを伝送することと、
前記外部デバイスによって前記TETリンク上に検証鍵を変調することと、
前記検証鍵を使用して無線チャネルを介して通信を暗号化することと、
を備える方法である。
【0009】
例2は、無線チャネルが、TETリンクの少なくとも2倍の距離範囲を含む、例1に記載の方法である。
【0010】
例3は、例1から2のいずれか1つに記載の方法であって、TETリンクが無線チャネルの少なくとも2倍の電力を送信に使用する方法である。
【0011】
例4は、例1から3のいずれか1つに記載の方法であって、TETリンクは、無線チャネルの少なくとも2倍の時間を送信に必要とする方法である。
【0012】
例5は、例1から4のいずれか1つに記載の方法であって、前記伝送エネルギーを前記伝送することが、さらに、移植デバイスに外部デバイスによって電流を誘導することを含む方法である。
【0013】
例6は、例1から5のいずれか1つに記載の方法であって、さらに、前記伝送されたエネルギーで前記移植デバイスのバッテリを充電することを備える方法である。
【0014】
例7は、例1から6のいずれか1つに記載の方法であって、前記検証鍵が公開鍵であり、前記暗号化することが、前記非対称暗号化および前記公開鍵を使用して、前記無線チャネルを介して前記移植デバイスからメッセージを送信することを含む方法である。
【0015】
例8は、例7に記載の方法であって、前記メッセージは、セッション鍵を含み、前記セッション鍵で前記移植デバイスへのコマンドを暗号化することをさらに備える方法である。
【0016】
例9は、例7に記載の方法であって、前記メッセージは、セッション鍵を含み、前記移植デバイスから送信されたデータを前記セッション鍵で暗号化することをさらに備える方法である。
【0017】
例10は、例1から9のいずれか1つに記載の方法であって、さらに、高度なセキュリティプロトコルに従って前記移植デバイスに送信されたコマンドをセキュアにすることと、低位のセキュリティプロトコルに従って、前記移植デバイスから外部デバイスに送信されたデータをセキュアにすること、を備える方法である。
【0018】
例11は、例10に記載の方法であって、前記外部デバイスから前記移植デバイスへの前記治療パラメータを変更するためのコマンドが、前記高セキュリティレベルを割り当てられている方法である。
【0019】
例12は、例11に記載の方法であって、前記コマンドに、移植デバイスのユーザの状態に応じて、前記低セキュリティレベルが一時的に割り当てられる方法である。
【0020】
例13は、前記状態が心筋梗塞を含む、例12に記載の方法である。
【0021】
例14は、例10から13のいずれか1つに記載の方法であって、前記高レベルセキュリティプロトコルが、前記コマンドを受け入れる前に、15分以内に更新された検証鍵の変調を要求する方法である。
【0022】
例15は、例1から14のいずれか1つに記載の方法であって、さらに、前記外部デバイスから前記TETリンクを介して前記移植デバイスに検証メッセージを送信することによって、前記セキュアでない無線チャネルを介して送信されたメッセージを検証することを備える方法である。
【0023】
例16は、セキュアな通信のための移植デバイスであって、外部デバイスから電力を受信し、前記電力を移植デバイスに供給するように構成された経皮的エネルギー伝送(TET)受信機と、
前記TET受信機に接続され、前記TET受信機から公開鍵を受信するように構成されたデータ受信回路と、
前記データ受信回路に機能的に接続され、前記データ受信回路から前記公開鍵を受信し、前記公開鍵に基づいてメッセージを非対称暗号化して暗号化メッセージを生成するように構成された暗号化モジュールと、
送受信機から前記暗号化メッセージを受信し、前記双方向無線チャネルを介して前記外部デバイスに前記暗号化メッセージを送信するように機能的に接続された前記送受信機と、
を備えるデバイスである。
【0024】
例17は、例16に記載のデバイスであって、移植デバイスは、前記TETチャネル上への発信メッセージを変調することができる変調器を含まないデバイスである。
【0025】
例18は、例16から17のいずれか1つに記載のデバイスであって、移植デバイスは、前記公開鍵と前記秘密鍵を生成し、前記公開鍵で暗号化された非対称暗号化メッセージを復号することができる非対称復号回路を含まないデバイスである。
【0026】
例19は、例16から18のいずれか1つに記載のデバイスであって、前記移植デバイス用の充電可能な電源をさらに含み、前記電源は、前記外部デバイスから供給された前記電力から充電するように前記TET受信機に機能的に取り付けられる、デバイスである。
【0027】
例20は、例16から19のいずれか1つに記載のデバイスであって、前記外部デバイスは、移植デバイスにエネルギーを伝送するように構成されたTET発電機と、前記公開鍵と秘密鍵を生成し、前記公開鍵で暗号化された非対称暗号化メッセージを復号することができる非対称復号回路と、前記公開鍵を受信するように前記復号回路に機能的に接続された変調器であって、前記公開鍵をTET信号に変調し、前記鍵を移植デバイスに伝送するように前記TET発電機に機能的に接続された、変調器と、を含むデバイスである。
【0028】
例21は、例20に記載のデバイスであって、前記外部デバイスが、前記TETチャネル上でメッセージを受信することができる受信機を含まないデバイスである。
【0029】
例22は、移植デバイスのセキュリティを管理する方法であって、
現在の位置を検出し、
前記現在の位置に応じてセキュリティプロトコルを調整する方法である。
【0030】
例23は、例22に記載の方法であって、前記位置が高リスクの位置であり、前記調整がセキュリティ制限を増大させることを含む方法である。
【0031】
例24は、例22から23のいずれか1つに記載の方法であって、前記位置が低リスクの位置であり、前記調整がセキュリティ制限を減少させることを含む方法である。
【0032】
例25は、例22から24のいずれか1つに記載の方法を実行するためのシステムである。
【0033】
例26は、移植デバイスのセキュリティを管理する方法であって、
デバイスのユーザの現在の状態を検出し、
前記現在の状態に応じてセキュリティプロトコルを調整する方法である。
【0034】
例27は、例26に記載の方法であって、前記状態が安定しており、前記調整がセキュリティ制限を増大させることを含む方法である。
【0035】
例28は、実施例26から27のいずれか1つに記載の方法であって、前記状態が急性危険状態を含み、調整がセキュリティ制限を減少させることを含む方法である。
【0036】
例29は、例26から28のいずれか1つに記載の方法を実行するためのシステムである。
【0037】
例30は、移植デバイスと外部デバイスとの間のセキュアな通信のためのシステムであって、
移植デバイスであって、
誘導エネルギー受信回路と、
前記エネルギー受信回路からの信号を復調することができるデータ受信回路と、
無線チャネルを介したデータ通信のための送受信機と、
プロセッサであって、
非対称プロトコルでメッセージを暗号化し、
対称暗号化鍵を生成し、
前記対称暗号化鍵を使用してデータを暗号化し、暗号化された信号を生成し、
前記対称暗号化鍵を用いて受信したデータ信号を復号する
ように構成されたプロセッサと、
を含む移植デバイスと、
前記誘導エネルギー受信回路に電流を誘導するように構成された誘導回路を含む近接場外部デバイスと、を備えるシステムである。
【0038】
別段の定義がない限り、本明細書で使用されるすべての技術用語および/または科学用語は、本発明が適用される当技術分野の通常の当業者が一般的に理解するのと同じ意味を有する。本明細書に記載されたものと類似または同等の方法および材料が、本発明の実施形態の実施または試験において使用され得るが、例示的な方法および/または材料が以下に記載されている。矛盾する場合は、定義を含む特許明細書が支配する。さらに、材料、方法、および実施例は、例示的なものに過ぎず、必ずしも限定的であることを意図していない。
【0039】
当業者であれば理解されるように、本開示の態様は、システム、方法、またはコンピュータプログラム製品として具現化されてもよい。したがって、本開示の態様は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、またはソフトウェアおよびハードウェアの態様を組み合わせた実施形態の形をとり、これらはすべて、本明細書では一般的に「回路」、「モジュール」、または「システム」と呼ばれることがある。さらに、本開示のいくつかの実施形態は、そこに具現化されたコンピュータ可読プログラムコードを有する1つ以上のコンピュータ可読媒体に具現化されたコンピュータプログラム製品の形態をとってもよい。本開示のいくつかの実施形態の方法および/またはシステムの実施は、選択されたタスクを手動で、自動的に、またはそれらの組み合わせで実行および/または完了することを含み得る。さらに、本開示の方法、システム、および/またはコンピュータプログラム製品のいくつかの実施形態の実際の計装および装置によれば、いくつかの選択されたタスクは、ハードウェアによって、ソフトウェアによって、またはファームウェアによって、および/またはそれらの組み合わせによって、例えばオペレーティングシステムを使用して実施され得る。
【0040】
例えば、本開示のいくつかの実施形態に従って選択されたタスクを実行するためのハードウェアは、集積回路(例えば、チップ)として実装され得る。ソフトウェアとして、本開示のいくつかの実施形態に従った選択されたタスクは、任意の適切なオペレーティングシステムを使用してコンピュータによって実行される複数のソフトウェア命令として実装され得る。例示的な実施形態では、本明細書に記載の方法および/またはシステムのいくつかの例示的な実施形態に従った1つ以上のタスクは、複数の命令を実行するためのコンピューティングプラットフォームなどのデータプロセッサによって実行される。任意選択で、データプロセッサは、命令および/またはデータを格納するための揮発性メモリ、および/または命令および/またはデータを格納するための不揮発性ストレージ、例えば磁気ハードディスクおよび/またはリムーバブルメディアを含む。任意選択で、ネットワーク接続も提供される。ディスプレイおよび/またはキーボードまたはマウスなどのユーザ入力デバイスも任意選択で提供される。
【0041】
いくつかの実施形態では、1つ以上のコンピュータ可読媒体の任意の組み合わせが利用されてもよい。コンピュータ可読媒体は、コンピュータ可読信号媒体またはコンピュータ可読記憶媒体であってもよい。コンピュータ可読記憶媒体は、例えば、電子的、磁気的、光学的、電磁的、赤外線的、または半導体システム、装置、デバイス、または前記の任意の適切な組み合わせであってもよいが、これらに限定されない。コンピュータ読み取り可能な記憶媒体のより具体的な例(非網羅的なリスト)としては、1本以上のワイヤを有する電気的接続部、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能なプログラム可能な読み取り専用メモリ(EPROMまたはフラッシュメモリ)、光ファイバー、ポータブルコンパクトディスク読み取り専用メモリ(CD-ROM)、光記憶装置、磁気記憶装置、または前記の任意の適切な組み合わせが挙げられる。本明細書の文脈において、コンピュータ読み取り可能な記憶媒体は、命令実行システム、装置、またはデバイスによって、またはそれに関連して使用するためのプログラムを含むことができ、または格納することができる任意の有形媒体であってもよい。
【0042】
コンピュータ可読信号媒体は、例えば、ベースバンドで、または搬送波の一部として、そこに具現化されたコンピュータ可読プログラムコードを有する伝搬データ信号を含んでもよい。このような伝搬信号は、電磁気、光学、またはそれらの任意の適切な組み合わせを含むがこれらに限定されない、様々な形態の任意の形態をとってもよい。コンピュータ可読信号媒体は、コンピュータ可読記憶媒体ではない任意のコンピュータ可読媒体であってもよく、命令実行システム、装置、またはデバイスによって、またはそれに関連して使用するためのプログラムを通信、伝搬、または搬送することができる。
【0043】
コンピュータ可読媒体上に具現化されたプログラムコードおよび/またはそれによって使用されるデータは、無線、有線、光ファイバーケーブル、RFなどを含むがこれらに限定されない任意の適切な媒体、または前記の任意の適切な組み合わせを使用して送信されてもよい。
【0044】
本開示のいくつかの実施形態に係る操作を実行するためのコンピュータプログラムコードは、Java、Smalltalk、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または類似のプログラミング言語などの従来の手続き型プログラミング言語を含む、1つまたは複数のプログラミング言語の任意の組み合わせで記述されてもよい。プログラムコードは、ユーザのコンピュータ上で全体的に実行されてもよいし、ユーザのコンピュータ上で部分的に実行されてもよいし、スタンドアロンのソフトウェアパッケージとして実行されてもよいし、ユーザのコンピュータ上で部分的に実行されてもよいし、リモートコンピュータ上で部分的に実行されてもよいし、リモートコンピュータまたはサーバ上で全体的に実行されてもよい。後者のシナリオでは、リモートコンピュータは、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または接続は、外部コンピュータに(例えば、インターネットサービスプロバイダを使用してインターネットを介して)行われてもよい。
【0045】
本開示のいくつかの実施形態は、方法、装置(システム)、およびコンピュータプログラム製品のフローチャート図および/またはブロック図を参照して以下に説明することができる。フローチャート図示および/またはブロック図の各ブロック、ならびにフローチャート図示および/またはブロック図のブロックの組み合わせは、コンピュータプログラム命令によって実施され得ることが理解されるであろう。これらのコンピュータプログラム命令は、汎用コンピュータ、特殊目的コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャート図および/またはブロック図の1つまたは複数のブロックで指定された機能/行為を実施するための手段を作成するように、機械を製造するための汎用コンピュータ、特殊目的コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されてもよい。
【0046】
また、これらのコンピュータプログラム命令は、コンピュータ、他のプログラム可能なデータ処理装置、または他のデバイスを特定の方法で機能させるように指示することができるコンピュータ可読媒体に記憶されていてもよく、そのようなコンピュータ可読媒体に記憶された命令は、フローチャートおよび/またはブロック図のブロックまたはブロックで指定された機能/行為を実施する命令を含む製造品を生成する。
【0047】
また、コンピュータプログラム命令は、コンピュータ、他のプログラム可能なデータ処理装置、または他のデバイスにロードされ、コンピュータまたは他のプログラム可能な装置上で実行される命令が、フローチャートおよび/またはブロック図のブロックまたはブロックで指定された機能/行為を実施するためのプロセスを提供するようなコンピュータ実装プロセスを生成するために、コンピュータ、他のプログラム可能な装置、または他の装置上で実行される一連の動作ステップを引き起こすようにしてもよい。
【図面の簡単な説明】
【0048】
本発明のいくつかの実施形態を、例示のためだけに、添付の図面を参照して本明細書に記載する。本明細書で図面を詳細に参照して示された特定の実施形態は、例示のためのものであり、本発明の実施形態の例示的な議論のためのものであることが強調される。この点で、図面と一緒に読まれる説明は、本発明の実施形態がどのように実施され得るかを、当業者には明らかにする。
【0049】
図1図1は、本発明の一実施形態に従う移植デバイスと通信するシステムおよび方法の概略ブロック図である。
図2図2は、本発明の実施形態に従う通信のシステムおよび方法の概略ブロック図である。
図3図3は、本発明の実施形態に従う通信のためのシステムのブロック図である。
図4図4は、本発明の実施形態に従う通信のためのシステムの回路図である。
図5A図5Aは、本発明の実施形態に従う信号の流れおよび/またはセキュリティプロトコルを例示する概略図である。
図5B図5Bは、本発明の実施形態に従う信号の流れおよび/またはセキュリティプロトコルを例示する概略図である。
図6図6は、本発明の実施形態に従う移植医療デバイスのブロック図である。
図7図7は、本発明の実施形態に従う通信をセキュアにする方法のフローチャート説明図である。
図8A図8Aは、本発明の実施形態に従うセキュリティモードを説明する模式図である。
図8B図8Bは、本発明の実施形態に従うセキュリティモードを説明する模式図である。
図8C図8Cは、本発明の実施形態に従うセキュリティモードを説明する模式図である。
【発明を実施するための形態】
【0050】
本発明は、そのいくつかの実施形態では、無線通信をセキュアにする方法、特に、より具体的には、移植(移植される、移植された)医療デバイスを用いて近距離通信チャネルを介してセキュリティ鍵を伝送する方法に関するものであるが、これに限定されない。
【0051】
[概要]
本発明のいくつかの実施形態の一形態は、セキュリティのより低いチャネル上で、移植医療デバイスと外部デバイスとの間の通信をセキュアにするために、一方向の耐侵入チャネルを活用するためのセキュリティプロトコルに関する。いくつかの実施形態では、セキュアなチャネルは、(例えば、誘導結合を含む)経皮的エネルギー伝送(TET)リンクを含む。例えば、TETリンクは、侵入を防ぐように(例えば、権限のない者がチャネル上で不正な通信を送信することを防ぐために)セキュアにされてもよい。任意選択で、セキュリティ鍵が耐侵入チャネル上で伝送される。例えば、セキュリティ鍵は、別のチャネル、例えば、一方向および/または双方向の無線チャネルを介して伝送される情報をセキュアにするために使用されてもよい。任意選択で、異なる通信に必要とされる鍵の伝送および/または鍵自体のセキュリティの複数の異なるレベル(鍵がどの程度強いか)が存在するであろう。
【0052】
いくつかの実施形態では、異なるレベルのセキュリティが、異なるタイプのメッセージ、異なる場所、異なる時間、および/または異なる状態の下で適用される(例えば、危険な医学的状態が検出された場合、デバイスは、通常の条件の下では許可されない短期的な再プログラミングを許可することができる)。任意選択で、保護されていないチャネルを介したいくつかの通信は、耐侵入チャネルを介した確認後にのみ実施される。
【0053】
いくつかの実施形態では、IMDは暗号化鍵を受信する前に認証を要求することがある。必要に応じて、認証は、データに基づいたもの、および/またはデータに基づかないものであってもよい。例えば、認証は、侵入者デバイスによって複製することが困難な機能を必要としてもよい。例えば、強力な送信機は、IMDの非常に近くに配置されることが要求されてもよい。例えば、セキュリティの伝送は、IMDが、TETチャネルを介して、十分な時間の間、および/または十分な量のエネルギーおよび/または十分な電力を受信した場合にのみ始動されてもよい。代替的または追加で、セキュリティ鍵の伝送は、別のチャネルを介して渡された命令に従ってのみ始動されてもよい。例えば、鍵伝送の開始は、別のチャネルを介してIMDに渡された命令および/または鍵を必要としてもよい。例えば、鍵伝送のタイミングは、双方向データチャネルを介して送信される時間に制限されてもよい。代替的にまたは追加で、鍵の伝送は、別のチャネルを介した通信からのセッションシーケンスを指定するようにEDに要求してもよい。任意選択で、IMDは、位置検出デバイス(例えば、GPS)を含んでもよく、および/または、所定の位置にあるセキュリティ鍵のみを受け入れてもよい。
【0054】
いくつかの実施形態では、非対称公開鍵は、任意選択で、EDからIMDに耐侵入チャネルを介して送信される。非対称公開鍵は、任意選択で、安全でない別の第2のチャネルを介した暗号化通信に使用される。非対称暗号化は、IMDからEDにセッション鍵を送信するために使用されてもよく、および/または、セッション鍵は、更なる通信に使用されてもよい。例えば、セキュリティ鍵は、MedRadio[MICS]チャネルを介して送信されるデータおよび/またはコマンドを暗号化するために使用されてもよい。任意選択で、耐侵入チャネルは、(例えば、誘導結合に基づく)非常に短距離のチャネルを含んでもよい。いくつかの実施形態では、IMDは、非対称通信鍵のペアを生成することができなくてもよい。いくつかの実施形態では、IMDは、非対称公開鍵で暗号化されたメッセージを復号するために秘密鍵を使用することができなくてもよい。例えば、IMDのプロセッサは、非対称復号には弱すぎるかもしれないし、および/または、非対称復号のためのソフトウェア命令が不足しているかもしれない。
【0055】
例えば、IMDが緊急医療状態を検知した場合などには、特定の通信を省略したセキュリティプロトコルで許可してもよい。任意選択で、いくつかの機能は、誘導デバイスがIMDと通信している間のみ制御されてもよい。いくつかの実施形態では、特定の機能は、保護されたチャネルを介して渡されたセキュリティ鍵を含むセキュリティクリアランスを必要としてもよい。
【0056】
いくつかの実施形態では、IMDは、様々なセキュリティ状態を有していてもよいし、異なるセキュリティレベルを必要とする機能を有していてもよい。例えば、生命に影響を与えるIMDの設定を変更するためには、例えば、新しいセキュリティ鍵および/または保護されたチャネルを介して受信した鍵を使用して、高いセキュリティクリアランスを必要としてもよい。代替的にまたは追加で、EDがより古いセキュリティ鍵を使用してIMDからデータを受信することが可能であってもよい。代替的にまたは追加で、IMDは、重要な(および/または生命に影響を与える)パラメータを、限られた時間の間、より低いセキュリティで変更することを可能にする緊急モードを備えていてもよい。代替的にまたは追加で、十分なセキュリティレベルを有するユーザによって、特定の動作に対するセキュリティ要件を調整可能であってもよい。任意選択で、EDは、不正アクセスを防止するためのパスワードおよび/または生体メトリック識別子のようなセキュリティ保護を有してもよい。代替的にまたは追加で、EDのいくつかの態様(例えば、IMDのバッテリの充電)は、セキュリティをあまり必要としないかまたは全く必要としなくてもよく、一方で、他の機能(例えば、データの閲覧)は、中程度のセキュリティ(例えば、パスワードの供給)を必要としてもよく、一方、他の機能(例えば、IMDの再プログラム)は、高レベルのセキュリティ(例えば、生体認証および/または強力なパスワード)を必要としてもよい。
【0057】
例えば、EDは、セキュアチャネル(例えばTETリンク)および/または非セキュアチャネル(例えば無線チャネル)を含んでもよい。セキュアチャネルは、任意選択で、隠れたデバイスが信号を受信および/または送信することを困難にする特性を含む。例えば、セキュアチャネルは耐侵入性を有していてもよい。例えば、耐侵入性チャネルは、非常に短距離の通信媒体(例えば、誘導結合)を含んでもよい。例えば、セキュアチャネルの範囲は、非セキュアチャネルの範囲の1/2未満および/または1/5未満および/または1/10未満および/または1/20未満であってもよい。いくつかの実施形態では、耐侵入チャネルは、信号を伝送するために高レベルの電力を必要としてもよい。例えば、IMDは、セキュアチャネルを介して信号を受け入れる前に、IMDのバッテリを充電するのに十分な電力の伝送を要求してもよい。例えば、セキュアなチャネルを介してメッセージを伝送するには、非セキュアなチャネルを介して信号を伝送するよりも2倍以上のエネルギー、5倍以上および/または10倍以上および/または20倍以上のエネルギーを必要としてもよい。いくつかの実施形態では、通信は、大きな時間を必要としてもよい。例えば、IMDは、セキュアチャネルを介した通信を受け入れる前に長い接触時間を必要としてもよい。例えば、セキュアチャネルを介してメッセージを伝送するには、非セキュアチャネルを介して信号を伝送するための時間の2倍以上の時間、20倍以上および/または100倍以上および/または1000倍以上の時間を必要とする。
【0058】
いくつかの実施形態では、EDは、デバイスの誤使用を防止するためのセキュリティ機能を含む。例えば、機能は、IMDの再プログラムのためのEDの認証されていない使用を防止するように作動してもよい。例えば、EDは、生体認証システムを含んでもよい。任意選択で、EDは、ローカルユーザの肯定的な識別および/または承認、および/または監督者(例えば、医師および/またはコントロールセンター)の承認の後にのみ、EDの特定のパラメータを変更するようにプログラムされる。いくつかの実施形態では、EDおよび/またはIMDの動作は記録され、および/またはデータは制御センターに送られる。例えば、ログは、異常な活動および/または潜在的に危険な状態を検出するために、手動および/または自動的にチェックされてもよい。
【0059】
本発明のいくつかの実施形態の一態様は、耐浸潤性のあるTET(Transcutaneous Energy Transfer)リンクを使用して、IMDとEDとの間の通信を保護するためのシステムに関する。例えば、TETリンクは、EDからIMD上のバッテリへの一方向のエネルギー伝送、および/またはEDからIMDへの一方向の通信のために構成されてもよい。いくつかの実施形態では、システムは、IMDとEDの間の双方向無線リンクを含む。任意選択で、EDは、非対称鍵生成および復号のために構成されたプロセッサを含み、および/または、IMDは、公開鍵に基づいた非対称暗号化のために構成されたプロセッサを含む。例えば、公開鍵は、TETリンクを通じてIMDに供給されてもよい。任意選択で、EDは、対称鍵生成と暗号化/復号のために構成されたプロセッサを含んでもよい。代替的にまたは追加で、外部ソース(例えば、ネットワークおよび/または電子データ記憶デバイス)から鍵をEDに供給してもよい。
【0060】
いくつかの実施形態では、IMDは、TETチャネル上にデータ信号を変調するための回路および/またはソフトウェアを持たない。任意選択で、EDは、TETチャネル上のデータ信号を受信するための回路またはソフトウェアを持たない。
【0061】
いくつかの実施形態では、IMDは、例えばペースメーカーおよび/または移植型除細動器、神経刺激装置、人工内耳インプラント、胃刺激装置、ポンプ(例えば、インスリンポンプ)、フットドロップインプラント、および/または心収縮力変調CCMデバイスなどの治療デバイスを含んでもよい。代替的に、移植デバイスは、センサを含んでもよい。
【0062】
本発明のいくつかの実施形態の一態様は、対象者の状態に応じてセキュリティを調整する移植デバイスに関する。例えば、健康な状態にある対象者の場合、デバイスは、データを保護し、および/またはデバイス機能の改ざんを防止するために、高レベルのセキュリティプロトコルを採用してもよい。代替的にまたは追加で、デバイスは、特定の時間および/または特定の状態下で、より低いセキュリティプロトコルでコマンドを受け入れ、および/またはデータを伝送してもよい。例えば、緊急および/または救命介入を必要とする可能性のある緊急医学的状態が存在する場合には、セキュリティが低下してもよい。例えば、デバイスは、対象者の医学的状態を感知するセンサおよび/またはセンサデータを解釈し、および/またはセキュリティを制御するプロセッサを含んでもよい。
【0063】
本発明のいくつかの実施形態の一態様は、場所に応じてそのセキュリティを調整する移植デバイスに関する。例えば、特定の所定の場所では、デバイスはセキュリティ要件を低減してもよい(例えば、リスクの低い場所、例えば対象者の自宅ではセキュリティ制限を低減してもよいし、および/または治療的介入が期待される場所、例えば救急室および/または医師のオフィスではセキュリティ制限を低減してもよい)。代替的にまたは追加で、特定の場所では、デバイスは、例えば、外国および/または敵対国の大使館の近く、および/または犯罪の多い地域では、そのセキュリティを高めてもよい。いくつかの実施形態では、移植デバイスは、位置センサ(例えば、GPS)を含んでもよく、および/またはセキュリティは、その場所に応じて調整されてもよい。代替的にまたは追加で、特定の場所(例えば、医務室および/または救急室)は、IMDによって検出される位置表示デバイスを有していてもよい。
【0064】
[実施形態]
本発明の少なくとも1つの実施形態を詳細に説明する前に、本発明は、以下の説明および/または図面および/または実施例に示された構成要素および/または方法の詳細な構成および/または配置に必ずしも限定されるものではないことが理解されるであろう。本発明は、他の実施形態が可能であり、または様々な方法で実施または実施されることが可能である。
【0065】
次に図面を参照すると、図1は、侵入者106による侵入から移植医療デバイス(IMD)102と外部デバイス(ED)104との間の通信をセキュアにするためのシステムおよび方法の概略図を示す。いくつかの実施形態では、IMD102は、複数の無線媒体を介してED104と通信する。例えば、ED104からIMD102への通信には、一方向の耐侵入媒体117が使用されてもよい。例えば、ED104は、耐侵入チャネルを介して信号を受信するための受信機を含んでもよいIMDへの一方向送信のために構成された送信機144を含んでもよい。任意選択で、耐侵入チャネルは、TETリンクを含む。いくつかの実施形態では、耐侵入チャネル上の伝送の長さは、例えば、1~5cmおよび/または5~15cmおよび/または15~100cmの間に制限されてもよい。例えば、非セキュア媒体110は、双方向通信に使用されてもよい。例えば、ED104および/またはIMD102は、無線送受信機148を含んでもよい。例えば、受信機148は、MedRadioバンド(例えば、402から405MHzの間)を介した双方向通信のために構成されてもよい。いくつかの実施形態では、これらの通信の長さは、例えば、1から3mの間および/または3から30mの間および/または30から100mの間および/または100から1000mの間に制限されてもよい。
【0066】
いくつかの実施形態では、ED104からIMD102への信号は、IMD102に対する制御コマンドおよび/または性能パラメータ126を含んでもよい。パラメータ126は、任意選択でED104に記憶される。例えば、コンピュータアクセス可能なメモリ内、および/またはリモートソースから受信したもの、および/またはローカルのプログラマから受信したもの、および/またはローカルおよび/またはリモートプロセッサによって生成されたものである。例えば、IMD102の動作パラメータは、ED104から受信したデータに従って調整されてもよい。いくつかの実施形態では、IMDは、代替パラメータ値および/またはクロック(例えば、リアルタイムクロック)を記憶するための読取り/書込みコンピュータ読み取り可能な部材を含んでもよい。例えば、IMDは、EDからパラメータの一時的なセットを受信してもよい。次いで、IMDは、現在のパラメータセットをコンピュータ読み取り可能なメモリに格納してもよく、および/または、IMDは、所定の期間の間、一時的なパラメータを使用して、その期間の後に、以前のパラメータを復帰させてもよい。
【0067】
いくつかの実施形態では、耐侵入媒体117は、浸潤125bから保護されてもよい。それにもかかわらず、いくつかの実施形態では、耐侵入媒体117は、傍受125aに対して脆弱であってもよい。例えば、耐侵入媒体117は、TETリンクを含んでもよい。TETリンクは、IMDの電源(例えば、バッテリ)を充電するために使用されてもよい。例えば、誘導結合が電力伝達に使用されてもよい。追加でまたは代替的に、ED104は、チャネル117を介してIMD102に信号を送信してもよい。例えば、EDは、12~14MHzかそれ以上またはそれ以下のキャリア周波数でTETリンクを介して信号を送信するための送信機144を含んでもよい。任意選択で、ED104とIMD102との間のTETリンクは、例えば、5cm未満および/または10cm未満および/または30cm未満および/または1m未満の範囲に制限されてもよい。
【0068】
いくつかの実施形態では、本明細書に開示されている発明は、耐侵入媒体117上のIMD102と外部デバイス104との間の通信が、悪意のある盗聴者106によっておそらく(例えば、十分に感度の高い受信機を使用して)受信(125a)され得ることを想定して、通信をセキュアにするように構成されている。悪意のある攻撃者106は、考えられるように、ED104および/またはIMD102によって受信可能な信号127a,127bを、MedRadioを介して、距離を置いて送信することができる。それでも、システムは、任意選択で、攻撃者106がIMD102を制御することを阻害するように構成される。例えば、攻撃者が、耐侵入媒体117を介してIMD102になりすましメッセージ125bを送信することを阻止してもよい。例えば、そのような送信を行うためには、不当に大きなハイフィールド送信機を必要とするかもしれないし、および/またはIMD102に不当に接近することを必要とするかもしれない。例えば、システムは、攻撃者106が検知されることなく、耐侵入チャネル117を介してプログラマ対IPG通信を偽装することを防止する。例えば、いくつかの実施形態では、セキュリティプロトコルは、攻撃者106の制限を増幅してもよい。例えば、セキュリティプロトコルは、耐侵入チャネル117を介して暗号化鍵を受け入れる前に、所定の信号電力および/またはエネルギー伝送を要求してもよい。例えば、悪意のある攻撃者106が、自分のデバイスが隠されているときに、それだけの電力を取得し、および/またはそれだけの電力をIMD102に伝送することは困難であってもよい(例えば、小さな電力源のみを必要とし、および/または固定された電力ケーブルへの接続を防止する)。
【0069】
いくつかの実施形態では、耐侵入チャネル上の結合は、送信機(例えば、ED内のコイル152)と、経時的に送信されたエネルギーを受信するために使用される受信機(例えば、図4のコイル452aによって例示されるような内部コイル)との間の距離に伴って非常に急速に減衰する。例えば、外部充電器コイルとインプラントとの間の再充電距離104は、わずか数センチメートル(例えば、<5センチメートル)に制限されてもよい。このように、より大きな距離で再充電チャネルを介してAIMDにデータを送信しようとする悪意のある攻撃者106は、非常に大きくて強力な送信機およびアンテナを必要とするであろう。IMDの近傍で大型の送信機を動作させることが必要であることによって、隠密攻撃を阻害しうる。
【0070】
いくつかの実施形態では、いくつかの所定のレベルでセキュリティ通信のための鍵および/または検証を伝送することは、時間および/または場所によって制限される。例えば、IMD102は、位置決定回路(例えば、GPS受信機)を含んでもよい。IMD102は、任意選択で、既知の保護された場所(例えば、ユーザの自宅および/または病院および/または信頼された開業医のオフィスなどの1つ以上の既知の場所)でのみパスワードを受け付ける。例えば、これは、攻撃者106がシステムに侵入するのに十分な力を有する隠し送信機を持っている場所にIMD102のユーザを招待すること、および/またはチャネル117を介してIMD102への通信を偽装することを防ぐことができる。いくつかの実施形態では、IMD102は、特定の時間に、いくつかの予め定められたセキュリティレベルで鍵を受け入れてもよい。例えば、これは、攻撃者106がIMD104のユーザに予期しない瞬間(例えば、彼が眠っている間)に忍び寄ることを防ぐことができるかもしれない。いくつかの実施形態では、IMD102による特定のセキュリティレベルでの鍵の受け入れは、IMD102のユーザの生理的状態に依存する。例えば、IMD102は、ユーザが眠っている間、デバイスの長期的な治療パラメータを変更するための鍵を受け入れないことがある。例えば、IMD102が緊急状態(例えば、心筋梗塞など)を検出した場合、IMD102は、略セキュリティプロトコルを用いて、機能パラメータの緊急短期変更を許可してもよい。
【0071】
いくつかの実施形態では、IMD102による特定の機能の性能は、ED104へのリンクに依存する場合がある。任意選択で、セキュリティ上の機密性が高く、かつ/または高電力を必要とする機能は、例えば、IMD102がTETリンク上でED104から電力を受信している間など、特定の状況下でのみ実行されてもよい。例えば、非対称暗号化を用いたセッション鍵の通信は、例えば、IMD102がTETリンク上で電力を受信している間、および/またはIMD102のバッテリ電力がある程度の最小容量になっている間を含む特定の状況下でのみ実行されてもよい。
【0072】
図2は、本発明の一実施形態に従って通信するシステムおよび方法の概略ブロック図である。いくつかの実施形態では、保護された通信プロセスは、IMDと有効な外部デバイス(例えばED204)との間の伝送(例えば暗号鍵伝送219)を含む。この伝送は、例えば、TET(経皮的エネルギー伝送)リンク上に実装された短距離チャネル208を介して行われてもよい。任意選択で、TETは、エネルギーの供給および/またはIMD202の再充電217に使用される。伝送ステップは、任意選択で、有効なED204と悪意のある侵入者206との間の非対称性を利用して、IMD202によって受信可能なデータおよび/またはエネルギー220を送信するように設計される。例えば、「長距離」チャネル上の通信は、悪意のある攻撃者206が、有効なED204からIMD202へのデータの送信225bを「偽装」することができない場合にセキュアである。任意選択で、セキュリティシステムは、耐侵入リンク208を介して送信されるデータの傍受225aが、悪意のある攻撃者に長距離通信221のセキュリティを危うくする手段を与えないように設計される。
【0073】
いくつかの実施形態では、既知の耐侵入性の短距離通信リンク208の利用可能性が、保護されていないチャネル210(例えば、MedRadioチャネル)を介して通信をセキュアに暗号化するために活用される。例えば、耐侵入チャネル208は、非対称公開鍵222を伝送するために使用される。例えば、非対称暗号化公開鍵222および/または秘密鍵223の長さは、例えば32ビットから256ビットの間の範囲であってもよい。任意選択で、システムは、ED204とIMD102がセッション暗号化鍵に合意するために、非対称(公開鍵)暗号化228を使用してもよい。例えば、IMDは、セッション鍵を生成してもよく、および/またはセッション鍵をメッセージ226でED204に送信してもよい。例えば、メッセージ226は、公開鍵222を用いてIMD202によって暗号化(224)されてもよく、および/または暗号化されたメッセージ228で送信されてもよいが、いずれかのチャネル208,210を介して暗号化されずに送信される。非対称鍵による暗号化は、短距離通信225aが傍受されたとしても、攻撃者がIPGと通信する(225b,227)ことを阻害する。ED204は、データチャネル210を介して暗号化されたメッセージ228を受信してもよいし、および/または秘密鍵222を用いてデータ226(例えばセッション鍵を含む)を復号してもよい。任意選択で、秘密鍵223は、任意のチャネル(例えば、チャネル208および/または210のいずれかを介して)を介して送信されなかった。例えば、秘密鍵223は、ED204によって生成され、ED204にローカルに残っていてもよい。
【0074】
いくつかの実施形態では、ED204とIMD206との間の双方向通信は、セッション鍵で暗号化/復号される。任意で、セッション鍵は、例えば、32から256の間の鍵ビットに、多数の補助プロトコルビットを加えたものを含んでもよい。セッション鍵は、予め定義された短い期間(例えば、1分未満、および/または1分から5分、および/または5分から30分、および/または30分から6時間、および/または6時間から48時間、および/または48時間から1週間、および/または1週間から1ヶ月の間)のみ有効であってもよい。代替的にまたは追加で、セキュリティの低いデータのために、セッション鍵は、IMD202の充電セッションの間に継続的に使用されてもよい。セッション鍵を定期的に更新することによって、MedRadioリンクを攻撃するためのブルートフォース攻撃または統計的手法の使用を防止することができる。任意選択で、複数のセッション鍵が同時に使用されてもよいし、一定期間後に古いセッション鍵が低セキュリティのデータのみに使用されてもよいが、高セキュリティのデータには更新されたセッション鍵が必要となる。いくつかの実施形態では、複数のセッション鍵は、充電セッション内で伝送され、および/または充電セッション間で切り替えられる。この戦略は、暗号化を行うためにIMD202に課せられる計算上の(したがって電力上の)要求が、マイクロコントローラに合理的に実装可能であるという付加的な利点を有する。任意選択で、より計算量の多い暗号化処理はED204で実行されるが、ED204は、エネルギー制限がより厳しくないより強力なプロセッサの周りに構築される。この手順により、IMD202を遠隔で再プログラムする攻撃者206からシステムを保護しながら、MedRadioリンクを介してIMD202とED204との間の通信を行うことが可能になる。
【0075】
いくつかの実施形態では、攻撃者206が、保護されたチャネル208および/または双方向データチャネル210の一方または両方で通信を傍受したとしても、非対称公開暗号化鍵222および/または暗号化されたデータ228は残されるが、攻撃者が復号鍵(非対称復号鍵223および/または暗号化された形式で送信された対称鍵のいずれか)を取得することは阻止される。代替的にまたは追加で、侵入防御チャネル208内の通信219は、IMD202へのコマンドの検証を含んでもよい。例えば、攻撃者206がデータチャネル210を介して悪意のあるコマンドを偽装してIMD202に命令することができたとしても、IMD202は、耐侵入チャネル208を介して正当なED202によって送信された検証219を受信するまで、そのコマンドを実行しない。任意選択で、検証は、例えば、IMD202が実施するパラメータ値を繰り返すなどの特定のデータを含んでもよい。任意選択で、不審なインシデントが発生した場合(例えば、コマンドを受信したが検証されなかった場合)、IMD202によってED104および/またはセキュリティセンターに警告メッセージが送信される。
【0076】
いくつかの実施形態では、システムは、別のチャネル210を介したIMD202とED204との間の通信をセキュアにするために、耐侵入チャネル208(例えば、TETリンク)を活用する。任意選択で、耐侵入チャネルは、耐侵入通信219および/または電力伝達217のために使用されてもよい誘導結合を含んでもよい。例えば、電力伝達217および/または通信219は、(例えば、ED204からIMD202への)一方向であってもよい。例えば、この電力伝達は0.1~0.3ワットおよび/または0.3~1ワットおよび/または1ワット~5ワットの間の定格であってもよい。TETチャネル上の伝送のデータレートは、例えば50bit/秒から200bit/秒、および/または200bit/秒から1Kbit/秒、および/または1Kbit/秒から5Kbit/秒、および/または5Kbit/秒から20Kbit/秒の間の範囲であってもよい。第2の通信チャネル210は、任意選択で双方向通信をサポートする。例えば、双方向通信チャネル210上のデータ伝送速度は、1Kbit/sから100Kbit/sの間、および/または100Kbit/sから1Mbit/sの間、および/または1Mbit/sから5Mbit/sの間、および/または5Mbit/sから25Mbit/sの間の範囲であってもよい。任意選択で、通信チャネルのキャリア周波数は、402MHzから405MHzと433MHzから435MHzの間、および/または2.4GHzから2.5GHzの間であってもよい。いくつかの実施形態では、ED204は、単一のセッションで0.1~0.5ワット時、および/または0.5~1ワット時、および/または0.5~10ワット時の間のエネルギーをIMD202に充電してもよい。
【0077】
図3は、本発明の一実施形態に従って通信するためのシステムのブロック図である。いくつかの実施形態では、IMD302は2つの通信モジュールを含む。任意選択で、第1の通信モジュールは、TETチャネル上の一方向通信(例えば、誘導結合)のためにTET受信機346に接続された信号受信機347を含む。任意選択で、第2の通信モジュールは、例えば無線(例えば電波および/またはマイクロ波)チャネル上での双方向通信のための送受信機348を含む。例えば、送受信機348は、ED304上の送受信機356と通信してもよい。任意選択で、TET受信機はまた、例えば整流回路366を介して、電源362(例えば、充電式バッテリを含む)に接続される。任意選択で、IMD302は、ED304と通信している。例えば、ED304は、TET発電機350を含んでもよい。任意選択で、TET発電機350は、電力源363に接続される。任意選択で、電力源363によって生成されたエネルギーは、TET発電機350によってTET受信機346に伝送され、および/または整流回路366によって整流され、および/または再充電電源362に供給される。いくつかの実施形態では、ED304は、TET発電機350に接続された変調器327を含む。例えば、変調器327からの信号は、TET結合上でTET発電機350を介して、TET受信機346へ伝送されてもよい。任意選択で、信号は、信号受信機347によって拾われる。
【0078】
いくつかの実施形態では、TET350は、患者の体内に配置されてもよいTET受信機346に近接した範囲で、患者の体外に配置される。例えば、TET発電機350とTET受信機346との間の距離は、0~1cmの間および/または1~2cmの間および/または2~5cmの間および/または5~8cmの間および/または8~12cmの間および/または12~20cmの間の範囲であってもよい。
【0079】
いくつかの実施形態では、TET発電機350および受信機346は、誘導コイルを含んでもよい。任意選択で、受信機347は、バンドパスフィルタおよび/またはモデムおよび/または増幅器および/またはアナログ-デジタル変換器および/またはユニバーサル非同期送受信機(UART)を含んでもよい。例えば、整流回路366は、ブリッジ整流回路を含んでもよい。
【0080】
いくつかの実施形態では、IMD302は、生体適合性および/または耐水性ケーシング372に入っていてもよい。
【0081】
いくつかの実施形態では、IMD302は、プロセッサ340を含んでもよい。任意選択で、プロセッサ340は、暗号化モジュール338を含む。任意選択で、暗号化/復号/鍵生成は、ハードウェア、ソフトウェア、またはその組み合わせ(すなわち、ハードウェアアクセラレーションを有するソフトウェア)のいずれかであり得る。例えば、暗号化モジュール338は、公開鍵を使用して非対称的に暗号化されたデータの送信をサポートするために、コンピュータ可読メモリに格納されたプログラムを含んでもよい。代替的にまたは追加で、暗号化モジュール338は、専用回路および/または専用プロセッサを含んでもよい。プロセッサ340および/または暗号化モジュール338は、任意選択で、データの対称的な符号化および/または復号が可能である。例えば、プロセッサ340および/またはモジュール338は、0.1~0.5Mbps、および/または0.5~5Mbps、および/または5~20Mbps、および/または20~100Mbpsの間の速度で暗号化通信をサポートすることができ、および/または暗号化鍵を生成することができる。任意選択で、プロセッサ340および/またはモジュール338は、例えば32から256の間の鍵ビットといくつかの補助プロトコルビットを加えた暗号化されたメッセージを通信および処理することができてもよい。任意選択で、IMD202は、10分から30分、および/または30分から1時間、および/または1時間から4時間の間の時間で電力ストレージを再充電することができる充電回路を含む。プロセッサ340は、任意に、受信機347に接続され、および/または受信機347からの(任意選択でデジタル化されてもよい)信号を受信する。
【0082】
プロセッサ340および/またはモジュール338は、任意に、受信機348に接続され、および/または受信機348を介して信号を送信および/または受信する。
【0083】
いくつかの実施形態では、ED304は、例えば32ビットから256ビットの間の鍵ビットで暗号化された通信を非対称的に復号することおよび/または非対称暗号化鍵を生成することができるプロセッサ354および/または暗号化モジュール358を含んでもよい。代替的にまたは追加で、ED304は、外部プロセッサとの間でパスワードおよび/または非対称的に符号化されたデータの保護された通信を行うことが可能であってもよい。例えば、通信は、保護された媒体(例えば、ハードワイヤードリンク)および/またはデータ記憶デバイス(例えば、USBドライブ)を介して行われてもよい。任意選択で、電源363は、外部ネットワーク、例えば電力網から電力を受け取る。代替的にまたは追加で、電源363は、例えば、0.1~1.0ワット時および/または1.0~3ワット時および/または3~10ワット時の範囲の容量を有する再充電可能セル、並びに/或いは0.5~1.0ワット時および/または1.0~3ワット時および/または3~10ワット時および/または10~30ワット時の範囲の容量を有する単一使用セルなどの局所的な電源を含んでもよい。
【0084】
図4は、本発明の一実施形態に従って通信するためのシステムの回路図である。いくつかの実施形態では、ED404のコイル452bは、電源463からの電力および/またはRF生成器444からの一方向発信信号を受け取る。電力は、任意選択で、TETリンクを介してIMD402に伝送される。例えば、TETリンクは、電力および/またはデータを、IMD402のインダクタンスコイル452aに誘導的に伝送してもよい。任意選択で、コイル452aは、整流回路466(例えば、図4に描かれているようなフルブリッジ整流器)を介して、充電制御回路464および/または再充電可能電源462に接続されている。代替的にまたは追加で、コイル452aは、一方向入来信号を復調する信号受信回路447に接続される。例えば、回路447は、同調コンデンサおよび/またはバンドパスフィルタ449を介してコイル452aに接続されてもよい。回路447からのデータは、一方向リンクを介して通信モジュール456に送られる。通信モジュール456は、任意選択で、無線送受信機460aを介して発信信号の非対称暗号化を送信するように構成されている。例えば、発信非対称暗号化信号は、受信機447から、および/またはEDからのTETインダクタンスチャネルから受信した公開鍵を使用して暗号化されてもよい。モジュール456は、任意選択で、双方向無線チャネル421を介した信号の対称復号および/または暗号化のために構成される。任意選択で、送受信機460aは、専用アンテナを含む。代替的または追加で、送受信機460aは、コイル452aを無線アンテナとして使用する。通信は、任意選択で、コントローラ440によって制御される。任意選択で、通信回路456および/またはコントローラ440は、TETリンク上で受信した非対称鍵を記憶するためのメモリを含む。
【0085】
いくつかの実施形態では、ED404は、無線チャネル421をIMD402と通信するための双方向送受信機460bを含む。任意選択で、ED404は、プロセッサ454を含む。例えば、プロセッサ454は、非対称および/または対称符号化および/または復号、並びに/或いは対称および/または非対称符号化/復号のための鍵を生成するように構成されていてもよい。例えば、プロセッサ454は、非対称公開鍵の一方向符号化並びに公開鍵のRF生成器への伝送および/またはTETリンクを介したIMD402への伝送のためのモジュール427に接続される。いくつかの実施形態では、非対称通信が使用されていないときには、非対称符号化モジュール456および/またはプロセッサ440はシャットダウンされてもよい。例えば、非対称符号化モジュールは、IMD502がTETリンク上で電力を受信していないときにシャットダウンされてもよい。例えば、非対称暗号化モジュールをシャットダウンすることで、電力を節約しうる。
【0086】
図5Aは、本発明の一実施形態に従った信号の流れおよび/またはセキュリティプロトコルを例示する概略図である。通信の様々な内容および/またはセキュリティ状態574は、例えば、通信の機密性および/または緊急性に応じて、様々なセキュリティプロトコル576によって保護されてもよい。
【0087】
いくつかの実施形態では、IMDは様々なセキュリティ状態を有してもよい。例えば、IMDは、悪意のある攻撃のリスクが増大している状態を認識してもよい。例えば、デバイス(および/またはデバイスが移植された人)がセキュアでない場所にある場合、例えば、悪意のある攻撃者が悪意のあるハードウェアを配置することができる可能性がある場合、悪意のある攻撃のリスクが増大する可能性がある。例えば、デバイスが移植された人が眠っているとき、および/または悪意のあるハードウェアが自分の体の横に配置されていることにユーザが気づかない夜間に、悪意のある攻撃のリスクが高まる可能性がある。任意選択で、IMD568は、位置指示器(例えば、GPS受信機および/または安全であるおよび/または安全でない場所のリスト)および/またはユーザの状態(例えば、脈拍センサおよび/または血圧センサによる睡眠中、覚醒中)を決定するセンサを含んでもよい。例えば、攻撃のリスクが増大した状態では、デバイスは、特定の機密性の高い通信(例えば、救命システムをシャットダウンするようなコマンド、および/またはデバイスのユーザを危険にさらす可能性があるIMD502の機能のパラメータを変更するようなコマンド、および/または恒久的なパラメータの変更)を許可しなくてもよい。代替的にまたは追加で、リスクが増大している状態では、IMD502は、通常モードよりも増大したセキュリティプロトコルおよび/または検証を要求してもよい。
【0088】
いくつかの実施形態では、IMD502は、通常モードを有してもよい。例えば、通常モードでは、特定の変更および/または通信が許可されてもよく、および/または他の変更が禁止されてもよい。代替的にまたは追加で、悪意のある攻撃からデータおよび/またはコマンドを保護するために、特定のセキュリティプロトコルが配置されていてもよい。
【0089】
いくつかの実施形態では、IMD502は、緊急モードを有してもよい。例えば、IMD502が危険な健康状態(例えば、心筋梗塞および/または虚血)の症状を検出した場合、IMD502は、緊急モードに入ってもよい。例えば、緊急モードでは、IMD502は、ユーザを保護するためのアクション(例えば、血流を増加させ、および/または心臓活動を安定化させるためのアクション)を取ってもよい。代替的にまたは追加で、緊急モードでは、IMD502は、セキュリティを低下させてもよく、および/または緊急および/または医療従事者がIMD502の機能を短期的に変更することを可能にしてもよい。任意選択で、IMD502は、セキュリティを低下させた1つ以上の緊急状態で許可される特定のアクションを記憶するメモリ(読み取り専用および/または読み取り書き込み)を有してもよい。任意選択で、IMD102は、一時的なパラメータの有効期限が切れた後、および/または緊急状態が変化した後に復元可能な復元および/またはデフォルトおよび/または現在のパラメータ値を記憶するコンピュータ可読メモリ(例えば、RWおよび/またはROメモリ)を有してもよい。任意選択で、IMD102は、リアルタイムクロックを含んでもよい。例えば、クロックは、パラメータ値がいつ有効期限切れになったか、および/または変更されるべきかを判断するために使用されてもよい。いくつかの実施形態では、IMD502は、安全モードを有してもよい。例えば、IMD502が安全な場所(例えば、認識された病院の場所および/またはユーザの自宅)にあることを検出した場合である。安全モードでは、IMD502は、通常モードでは許可されないであろうプログラミングおよび/またはデータ伝送を許可する、および/または通常モードよりも低減されたセキュリティ手段を有していてもよい。任意選択で、セキュリティプロトコルは変更されないが、特定の機能は、副次的条件に従って異なるセキュリティレベルに割り当てられてもよい。例えば、副次的条件は、場所および/または対象者の状態および/または時間を含んでもよい。
【0090】
いくつかの実施形態では、異なるコマンドおよび/またはアクションは、異なるレベルのセキュリティを必要とする場合がある。例えば、短期的にユーザに重大な危害および/または危険を引き起こす可能性のあるIMD502の設定を変更するコマンドは、最高レベルのセキュリティを必要とする場合がある。例えば、長期的にユーザに危険および/または危害をもたらす可能性のあるIMD502の設定を変更するコマンドは、高いレベルのセキュリティを必要としてもよい。例えば、IMD502の設定の短期的な変更および/またはユーザに重大な危害または危険を引き起こす可能性が低い変更は、中程度のセキュリティを必要としてもよい。例えば、健康データおよび/または機密性の高いデータの通信は、中程度のセキュリティを必要とする場合がある。例えば、機密性のないデータ(例えば、バッテリーレベル)の通信は、低レベルのセキュリティを必要としてもよい。
【0091】
いくつかの実施形態では、異なるレベルのセキュリティが必要な場合には、異なるセキュリティプロトコルを必要としてもよい。例えば、最高セキュリティのメッセージは、TETチャネル513上での個別検証を必要としてもよい。代替的にまたは追加で、最高のセキュリティレベルのメッセージは、セキュリティ鍵が新しいとき(例えば、セキュリティ鍵が、直近の1分以内および/または直近の10分以内および/または直近の30分以内および/または直近の6時間以内のTETチャネル上の通信に基づいて固定されていたとき)に、双方向チャネル510上で許可されてもよい。任意選択で、高レベルのセキュリティのメッセージは、例えば、セキュリティ鍵が、直近の10分以内および/または直近の30分以内および/または直近の6時間以内および/または直近の1日以内のTETチャネル上の通信に基づいて固定されていた場合、並びに/或いは最後のセキュリティ鍵の更新以来デバイスが安全な場所にあった場合、双方向チャネル510のセキュリティのみに基づいて、および/または最高のセキュリティレベルよりも古いセキュリティ鍵で受け入れられてもよい。任意選択で、中レベルおよび/または低レベルのセキュリティのためには、より古い鍵を使用してもよいし、セキュアでない通信リンクを使用してもよい。
【0092】
いくつかの実施形態では、TETチャネル上の検証および/または鍵伝送は認証によってセキュリティが確保されていてもよい。任意選択で、高レベルのセキュリティアクションのために、TET通信の認証が必要とされてもよい。例えば、認証には、TETチャネルが大量の電力および/またはエネルギーを伝送すること、並びに/或いは長時間にわたって電力を伝送することを要求すること(悪意のある侵入者にとっては特に困難なことでありうること)が含まれうる。代替的にまたは追加で、認証は、コードの使用またはED504の識別情報の別の検証を必要としてもよい。代替的にまたは追加で、認証は、TETを介してセキュリティ鍵を受け入れる前に、双方向チャネルを介したセキュリティ検証を含んでもよい。いくつかの実施形態では、検証571は、ED504がTETリンク513を介してIMD504にパラメータ値を送信することを含んでもよい。いくつかの実施形態では、検証は、双方向チャネル510を介して送信されたパラメータ値を繰り返すことを含む。代替的にまたは追加で、双方向チャネル510を介してパラメータ値を変更するためのコマンドが与えられてもよく、その新しい値がTETリンク513を介して与えられてもよい。代替的にまたは追加で、双方向チャネル510を介して値を与え、TETリンク513を介して変更すべきパラメータを定義するメッセージを送信してもよい。いくつかの実施形態では、認証は、オペレータ識別の要求を含んでもよい。例えば、ED504は、操作者を識別するための生体測定デバイスおよび/または入力デバイスを含んでもよい。いくつかの実施形態では、IMD502は、検証に先立って、状態および/または治療パラメータの一時的な変更を可能にする。例えば、検証が時間内に受信された場合、新しい状態が維持されてもよい。任意選択で、所定の時間内に検証が受信されない場合、IMD502は、以前の状態および/または治療パラメータに戻ってもよい。
【0093】
図5Bは、本発明の一実施形態に従った信号の流れおよび/またはセキュリティプロトコルを説明する模式図である。いくつかの実施形態では、メッセージの暗号化のための暗号化鍵を伝送する(522)ために、短距離TETリンク513上の一方向通信チャネルが使用される。メッセージは、例えば、双方向通信チャネル510を介してED504とIMD502との間で送信されるセッション鍵526および/またはコマンド568aおよび/またはデータ570を含んでいてもよい。代替的にまたは追加で、一方向通信TETリンク513は、ED504からIMD502に送信されたメッセージの検証(571)、および/またはED504からIMD502にコマンド568bを送信するために使用されてもよい。いくつかの実施形態では、TET上の通信は、認証(568)プロトコルによってさらに保護される。
【0094】
いくつかの実施形態では、双方向チャネル510を介したメッセージの検証のためにTETリンク513が使用されてもよい。例えば、ED504が高機密性コマンド(例えば、IMD502の治療パラメータを変更するコマンド)を与える場合、IMD502は、TETリンク513を介した検証を要求してもよい。例えば、検証(571)は、ED504が双方向チャネル510を介してコマンド568aを送信したことを検証する簡単なステートメントを含んでもよい。代替的にまたは追加で、検証メッセージは、パスワードおよび/またはタイムスタンプおよび/または双方向リンク510からのメッセージを識別するパケットID番号を含んでもよい。
【0095】
いくつかの実施形態では、双方向リンク510上のセッションは、時折、および/またはTETリンク513を介して渡される命令に従って、および/または双方向チャネル510内の暗号化された会話を介して渡される命令に従って、および/またはIMD502とED504との間で共有される保存されたデータに従って変化する複数のセキュリティ鍵を有してもよい。セッション鍵を適宜切り替えることで、統計的手段によって双方向チャネル510の暗号化が破られにくくなる可能性がある。
【0096】
いくつかの実施形態では、IMD502は、設定および/または治療パラメータのリストを定期的にED504に送信してもよい。例えば、データは、設定が不注意および/または悪意を持って誤設定されなかったことを確認するために定期的にチェックされてもよい。
【0097】
いくつかの実施形態では、IMD502の治療設定の限定された範囲の変更は、比較的低いセキュリティレベルで許可されてもよいが、他の変更はより高いセキュリティを必要としてもよい。例えば、IMDは、比較的低いセキュリティで許可される、保存された設定の範囲を有する読み取り専用メモリおよび/または読み取り書き込みメモリを含んでもよい。代替的にまたは追加で、パラメータの比較的小さな変更は、より大きな変更よりも低いセキュリティで許可されてもよい。
【0098】
いくつかの実施形態では、TETリンク513は誘導チャネルを含んでもよい。例えば、信号および/またはエネルギーは、ED504のインダクタ(例えばコイル552b)からIMD502のインダクタ(例えばコイル552a)に送られてもよい。いくつかの実施形態では、双方向チャネル510は、無線チャネルを含んでもよい。例えば、無線信号は、IMD502の送受信機560aとED504の送受信機560bとの間で往復送信されてもよい。任意選択で、送受信機560aは、専用のアンテナを含んでもよい。代替的または追加で、送受信機560aは、アンテナとしてコイル562aを使用してもよい。
【0099】
図6は、本発明の一実施形態によるIMD602のブロック図である。いくつかの実施形態では、IMD602は、治療ユニット682および/またはセンサユニット690を含む。例えば、治療ユニットは、組織に治療を適用するアクチュエータ686a,686bを含んでもよい。例えば、センサユニット690は、デバイスの使用者の状態を感知するセンサ688a,688bを含んでもよい。
【0100】
いくつかの実施形態では、IMD602は、保護カバー672に入っていてもよい(例えば、カバー672は、防水性、生体適合性であってもよく、IMDの内部パーツからユーザを保護し、および/または電気ショックからユーザを保護し、および/またはIMD602の内部部分を体液から保護し、および/またはIMDを例えばノックなどの物理的な損傷から保護するためのものであってもよい)。任意選択で、1つ以上のセンサ(例えば、センサ688a)がカバー672の内部にある。例えば、センサ688aは、磁場を感知してもよい。代替的または追加で、カバー672の外側に延伸するセンサ(例えばセンサ688b)がある。例えば、センサ688bは、電極、圧力変換器、熱電対および/または流量計を含んでもよい。
【0101】
いくつかの実施形態では、1つ以上のアクチュエータ(例えばアクチュエータ686a)がカバー672の内部にある。例えば、アクチュエータ686aは、磁場を生成してもよい。代替的にまたは追加で、カバー672の外側に延びるアクチュエータ(例えばアクチュエータ686b)がある。例えば、アクチュエータ686bは、電極、超音波トランスデューサおよび/または発熱体を含んでもよい。いくつかの実施形態では、単一の要素がセンサとアクチュエータの両方の役割を果たしてもよい。例えば、電極は、ユーザ内部の電気信号に関する情報を収集するために使用されてもよく、および/または電気信号を印加するために使用されてもよい。例えば、IMDは、ペースメーカーおよび/または移植式心臓除細動器(ICD)および/または心臓収縮力変調(CCM)デバイスを含んでもよい。例えば、デバイスは、心臓周期の様々な期間においてペーシング信号および/または非興奮性信号を印加してもよい。
【0102】
図7は、本発明の一実施形態に従った通信を保護する方法のフローチャートである。いくつかの実施形態では、IMDが悪意のあるデバイスに制御されることを防止するために、および/またはIMDとEDとの間の通信を保護するために、耐侵入TETチャネルが使用される。例えば、侵入から保護されるTETチャネルは、攻撃者が(例えば、保護されていないチャネル上の通信を暗号化することによって)より保護されていないチャネル上の通信に侵入するのを防ぐために使用される公開鍵をIMDに伝送するために使用される。任意選択で、TETチャネルは一方向通信用に構成されていてもよいし、より保護されていないチャネルはより高速な通信用に構成されていてもよいし、双方向通信用に構成されていてもよい。
【0103】
いくつかの実施形態では、外部デバイスは、移植デバイスにエネルギー716を伝送する。例えば、エネルギー伝送は、IMDのバッテリを充電するための電力を含んでもよい。任意選択で、エネルギー伝送リンクは、距離にわたって急速に減衰するチャネル上であってもよい。任意選択で、エネルギー伝送リンクを介して信号を偽装するために、悪意のあるデバイスは、高い電力および/またはIMDに非常に近い位置を必要としてもよい。例えば、リンクは、10cm以上で25%以上の電力を失い、50cm以上で50%以上の電力を失い、2m以上で90%以上の電力を失ってもよい。例えば、エネルギー伝送は、TETリンク上であってもよい。例えば、TETリンクは、誘導結合を含んでもよい。
【0104】
いくつかの実施形態では、IMDは、EDが正当なデバイスであることを認証してもよい(768)。例えば、認証は、EDが一定量のエネルギーおよび/または電力を伝送すること、および/または最小限の時間スパンで電力を送信することを要求することを含んでもよい。代替的または追加で、さらなる認証方法が使用されてもよい。
【0105】
いくつかの実施形態では、EDはTETリンクを使用して暗号化鍵をIMDに伝送してもよい(714)。例えば、EDは非対称暗号化の公開鍵をIMDに伝送してもよい。任意選択で、IMDは、EDが供給した暗号化鍵でメッセージを暗号化する。例えば、メッセージは、双方向通信媒体を介してIMDからEDに送信されてもよい。いくつかの実施形態では、IMDは、EDから供給された暗号化鍵を使用してセッション鍵を暗号化し、および/または双方向通信媒体を介して暗号化されたセッション鍵をEDに伝送する(732)。さらなる通信722は、任意選択で、セッション鍵に基づく対称暗号化を使用して、双方向通信媒体上で進行する。
【0106】
いくつかの実施形態では、TETリンクを用いて双方向媒体上での継続的な通信のセキュリティがブーストされる。例えば、EDは、定期的に新しい暗号化鍵をTETリンクを通じて送信してもよく、例えば、新しいセッション鍵を暗号化および伝送することによって、新しい暗号化鍵を用いて古い暗号化鍵を更新してもよい。代替的にまたは追加で、TETリンクは、EDから受信した通信を検証するために使用されてもよい。代替的にまたは追加で、部分的なメッセージのみが各媒体上で送信されてもよい。例えば、TETリンクは、いずれかの媒体上のメッセージだけでは完全なメッセージを理解するには不十分であり、かつ/または伝達されている命令を実行するには不十分であるように、特定のデータを伝送するために用いられてもよい。例えば、双方向リンク上で送信されるメッセージは、TETリンク上で送信される必要なパラメータ値を欠いていてもよい。
【0107】
図8A~8Cは、本発明の実施形態によるEDとIMDとの間の通信の例を示す。
【0108】
いくつかの実施形態では、臨床医はセキュアなセッション801を始動する。例えば、臨床医は、対象者と並んだ、IMDが移植された場所の近くの位置にEDを移動させる。EDはIMDから10cm以内の位置にあってもよい。EDがIMGに近接している結果、通信リンクが自動的に開かれてもよい。代替的にまたは追加で、臨床医がEDを起動してもよいし、臨床医がTETリンクを介してIMDの充電を始動してもよい。代替的にまたは追加で、IMDは、通信チャネル803をポーリングして(外部からの始動なしで)起動状態を維持してもよい。
【0109】
いくつかの実施形態では、セッションは、EDがビーコン信号803をIMDに送信する(802)ことから始まる。任意選択で、信号は、MedRadio信号(例えば、402~405MHzの信号)であってもよい。任意選択で、IMDは、ビーコンのために定期的にポーリング804を行っている。代替的にまたは追加で、EDは、IMDの通信を起動してもよい。例えば、IMDは、ED内の磁石によって、および/またはTETリンクを介して、起動されるリードスイッチを含んでもよい。任意選択で、ビーコンを送信した(802)後、EDは、確認応答806をリスンする(806)。
【0110】
いくつかの実施形態では、IMDが起動され、および/またはビーコン信号803を受信すると(805)、IMDはEDに確認応答信号808を送信する(809)。例えば、確認応答は、MedRadioチャネルおよび/または別の媒体を介して送信されてもよい。
【0111】
いくつかの実施形態では、EDがビーコン確認応答808を受信すると(807)、公開鍵が生成され(810)、IMDに送信される(813)。例えば、鍵は、セキュアチャネル816を介して送信される(813)。任意で、セキュアチャネル816は、侵入者が偽造メッセージを送信することが困難であろう媒体を含む。例えば、セキュアチャネル816は、送信機とIMDとの間の非常に短い距離を必要としてもよく、および/または高い電力レベルを必要としてもよく、および/または長い接続時間を必要としてもよい。例えば、セキュアチャネル816は、TETチャネル、例えば13.56MHzの充電チャネルを含んでもよい。任意選択で、IMDが公開鍵を受信すると(830)、IMDは、確認応答818をEDに送信する(831)。任意選択で、確認応答818を受信すると(815)、EDは、臨床医に向けたメッセージ、例えば「IPGは、セキュアな接続が確立されたことを見つけました」を表示する(817)。任意選択で、タイムアウト期間内(814)に確認応答818が受信されない場合(815)、EDは現在の公開鍵を破棄し(812)、臨床医による新しいセッションの始動を待つ(801)。タイムアウト期間内(832)に公開鍵が受信されない場合(830)、IMDは任意選択でポーリング状態に戻る(804)。
【0112】
いくつかの実施形態では、公開鍵の受信の確認応答を送信した(831)後、IMDは公開鍵を生成し(833)、および/または公開鍵821をEDに送信する(834)。例えば、鍵821は、MedRadioチャネルを介して伝送されてもよい。IMDは、任意選択で、公開鍵821の受信の確認応答823を待つ(835)。例えば、EDは、MedRadioチャネルを介して公開鍵の受信の確認応答823を送信してもよい(820)。エラーがあった場合、システムは、任意選択で、待機状態に戻り、例えば、臨床医が新しいセッションを始動する(801)のを待つ。任意選択で、タイムアウトの期間(819)内に鍵821が受信されなかった場合(813)、EDは現在の公開鍵を破棄し(812)、臨床医からの新しいセッションの始動(801)を待つ。
【0113】
いくつかの実施形態では、公開鍵を交換した後、IMDおよび/またはEDは共有秘密を生成する(822,836)。任意選択で、共有秘密はセッション鍵を生成する(824,837)ために使用される。セッション鍵は、任意選択で、さらなる通信を暗号化するために使用される。例えば、IMDは、セッション鍵の生成(837)の暗号化された確認応答829を送信してもよい(838)。エラー(825)があった場合、例えばEDのセッション鍵がIMDの確認応答829を復号するのに失敗した場合、および/または確認応答829がタイムアウト期間(826)内に受信されなかった場合、公開鍵は、破棄されてもよく(812)、および/または、システムは、臨床医からのセキュアなセッションを始動する(801)ための新たな命令を待つために戻ってもよい。一度セキュアなセッションが確立されると、EDは任意選択で臨床医に成功メッセージを表示し(828)、および/またはセッション鍵を使用して通信を継続する。代替的にまたは追加で、EDは、セッション鍵の生成に成功したことを確認するための確認応答をIMDに送信してもよい。
【0114】
本出願から開始した特許の存続期間中に、多くの関連する通信媒体および/またはプロトコルが開発されることが予想され、無線チャネルおよび暗号化という用語の範囲は、先験的にそのようなすべての新技術を含むことが意図されている。
【0115】
本明細書で使用される用語「約」は±10%を意味する。
【0116】
用語「備える」、「備えている」、「含む」、「含んでいる」、「有する」およびそれらの活用語は、「含むがそれに限定されない」ことを意味する。
【0117】
「からなる」とは、「それを含み、かつ、それに限定されない」ことを意味する。
【0118】
「本質的に構成される」という用語は、組成物、方法または構造物が、追加の成分、ステップおよび/またはパーツを含んでもよいが、追加の成分、ステップおよび/またはパーツが、請求された組成物、方法または構造物の基本的かつ新規な特性を実質的に変化させない場合にのみ使用されることを意味する。
【0119】
本明細書で使用されるように、単数形の「a」、「an」および「the」は、文脈が明確に指示しない限り、複数の参照を含む。例えば、用語「化合物」または「少なくとも1つの化合物」は、それらの混合物を含む複数の化合物を含むことができる。
【0120】
本出願を通して、本発明の様々な実施形態が範囲の形式で示されてもよい。範囲の形式での記述は、単に利便性と簡潔さのためのものであり、本発明の範囲に対する柔軟性のない制限として解釈されるべきではないことが理解されるべきである。したがって、範囲の記述は、その範囲内の個々の数値だけでなく、取りうるすべての部分範囲を具体的に開示したものとみなされるべきである。例えば、1から6までのような範囲の記述は、1から3まで、1から4まで、1から5まで、2から4まで、2から6まで、3から6までなどのような部分範囲と、その範囲内の個々の数値、例えば、1、2、3、4、5、6などが具体的に開示されていると考えるべきである。これは、範囲の幅に関係なく適用される。2つの範囲が「および」および/または結合子で接続されている場合、範囲は、分離および/または連続していてもよい。例えば、パラメータが1から3および/または3から5および/または5から7の間の範囲であると言われる場合、1から5および5から10および1から10の範囲も含まれる。
【0121】
本明細書で数値範囲が示される場合、常に、それは示された範囲内で引用された任意の数値(小数または整数)を含むことを意味する。本明細書では、第1の指示値と第2の指示値の「範囲に亘っている/間の範囲に亘る」と、第1の指示値「から」第2の指示値「まで」の「範囲に亘っている/範囲に亘る」という表現と、は、互換的に使用されており、第1の指示値および第2の指示値、並びにその間のすべての小数および整数を含むことを意味する。
【0122】
明確さのために別個の実施形態の文脈で説明されている本発明の特定の特徴は、単一の実施形態において組み合わせて提供されてもよいことが理解される。逆に、簡潔さのために、単一の実施形態の文脈で説明されている本発明の様々な特徴は、別個に、または任意の適切な部分的な組み合わせで、または本発明の他の説明された実施形態において適切なように提供されてもよい。様々な実施形態の文脈で説明された特定の特徴は、実施形態がそれらの要素なしでは動作しない場合を除き、それらの実施形態の本質的な特徴とはみなされるべきではない。
【0123】
本発明は、その特定の実施形態と関連して説明されてきたが、多くの代替案、修正および変形が、当技術分野に熟練した者には明らかであろう。したがって、本発明は、添付の特許請求の範囲の趣旨および広い範囲に該当するすべてのそのような代替案、修正および変形を包含することが意図されている。
【0124】
本明細書に記載されたすべての刊行物、特許、および特許出願は、個々の刊行物、特許、または特許出願が参照により本明細書に組み込まれることを具体的かつ個別に示された場合と同様の範囲で、その全体が参照により本明細書に組み込まれる。さらに、本出願における参照の引用または特定は、そのような参照が本発明の先行技術として利用可能であることを自認するものと解釈されてはならない。セクション見出しが使用されている範囲では、それらは必ずしも限定的であると解釈されるべきではない。
【0125】
また、本願の優先権書類は、その全体が参照により本明細書に組み込まれる。
図1
図2
図3
図4
図5A
図5B
図6
図7
図8A
図8B
図8C
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.