知財求人 - 知財ポータルサイト「IP Force」
▶ バイオトロニック エスエー アンド カンパニー カーゲーの特許一覧
特表2024-539810植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-31
(54)【発明の名称】植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法及びシステム
(51)【国際特許分類】
G06F 21/51 20130101AFI20241024BHJP
G06F 21/31 20130101ALI20241024BHJP
【FI】
G06F21/51
G06F21/31
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024506703
(86)(22)【出願日】2022-11-10
(85)【翻訳文提出日】2024-03-13
(86)【国際出願番号】 EP2022081499
(87)【国際公開番号】W WO2023088782
(87)【国際公開日】2023-05-25
(31)【優先権主張番号】21209161.5
(32)【優先日】2021-11-19
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
(71)【出願人】
【識別番号】512158181
【氏名又は名称】バイオトロニック エスエー アンド カンパニー カーゲー
【氏名又は名称原語表記】BIOTRONIK SE & Co. KG
【住所又は居所原語表記】Woermannkehre 1 12359 Berlin Germany
(74)【代理人】
【識別番号】110000855
【氏名又は名称】弁理士法人浅村特許事務所
(72)【発明者】
【氏名】シュモリンスキー、クラウス
(57)【要約】
本発明は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイス12のメモリ・エリア22に第2のチェックサムCRC_Bを書き込むステップS5を含む、意図しない実行に対して、植込み型医療デバイス12、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能10を保護するためのコンピュータ実装方法に関する。さらに、本発明は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10を保護するためのシステムに関する。さらに、本発明は、コンピュータ・プログラム及びコンピュータ可読データ・キャリアに関する。
【特許請求の範囲】
【請求項1】
意図しない実行に対して、植込み型医療デバイス(12)、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能(10)を保護するためのコンピュータ実装方法であって、前記方法は、前記植込み型医療デバイス(12)の患者クリティカルなファームウェア機能(10)の実行の要求(14)を受信するステップ(S1)と、
前記要求(14)に関連付けられたユーザが、前記患者クリティカルなファームウェア機能(10)を実行することを許可されていることを検証するステップ(S2)と、
前記要求(14)に関連付けられた前記ユーザが許可されているとして検証された場合、前記植込み型医療デバイス(12)の第1のメモリ・エリア(16)から第1のチェックサム(CRC_A)を読み取るステップ(S3a)、又は前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)のコード・エリア(18)の一部として第1のチェックサム(CRC_A)を与えるステップ(S3b)であって、前記第1のチェックサム(CRC_A)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた正しいチェックサム(CRC_OK)に一致しない、第1のチェックサム(CRC_A)を読み取るステップ(S3a)又は第1のチェックサム(CRC_A)を与えるステップ(S3b)と、
前記植込み型医療デバイス(12)の第2のメモリ・エリア(20)から第2のチェックサム(CRC_B)を読み取るステップ(S4)であって、前記第2のチェックサム(CRC_B)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)に一致する、第2のチェックサム(CRC_B)を読み取るステップ(S4)と、
前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の実行前にチェックサムがそこから読み取られる、前記植込み型医療デバイス(12)の第3のメモリ・エリア(22)に前記第2のチェックサム(CRC_B)を書き込むステップ(S5)と、
前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)を計算し、前記正しいチェックサム(CRC_OK)を前記第2のチェックサム(CRC_B)と比較するステップ(S6)と、
前記第2のチェックサム(CRC_B)と前記正しいチェックサム(CRC_OK)とが一致する場合、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)を実行するステップ(S7)と
を含む、コンピュータ実装方法。
【請求項2】
前記植込み型医療デバイス(12)の前記第1のメモリ・エリア(16)からの前記第1のチェックサム(CRC_A)の前記読取り(S3a)、又は前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の前記コード・エリア(18)の一部としての前記第1のチェックサム(CRC_A)の前記提供(S3b)と、前記植込み型医療デバイス(12)の前記第2のメモリ・エリア(20)からの前記第2のチェックサム(CRC_B)の前記読取り(S4)と、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の実行前に前記チェックサムがそこから読み取られる、前記植込み型医療デバイス(12)の前記第3のメモリ・エリア(22)への前記第2のチェックサム(CRC_B)の前記書込み(S5)と、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)の前記計算(S6)と、前記正しいチェックサム(CRC_OK)と前記第2のチェックサム(CRC_B)との前記比較と、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の前記実行(S7)とが、割込み不可能な複合コマンド(24)によって実行される、請求項1に記載のコンピュータ実装方法。
【請求項3】
前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の前記複合コマンド(24)の実行中に、前記第2のチェックサム(CRC_B)が前記第1のチェックサム(CRC_A)によって上書きされ、前記第1のチェックサム(CRC_A)が、メモリ・バッファ(26a)から読み取られるか、又は前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)のさらなるコード・エリア(26b)から読み取られる、請求項2に記載のコンピュータ実装方法。
【請求項4】
前記第1のチェックサム(CRC_A)によって前記第2のチェックサム(CRC_B)を上書きした後に、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の前記複合コマンド(24)が終了される、請求項3に記載のコンピュータ実装方法。
【請求項5】
前記第2のチェックサム(CRC_B)が、前記植込み型医療デバイス(12)のハードウェア読取り専用レジスタから読み取られ、前記第2のチェックサム(CRC_B)が、巡回冗長検査、XOR、係数又は暗号ハッシュ、特に、MD5、SHA-1又はSHA-2である、請求項1から4のいずれか一項に記載のコンピュータ実装方法。
【請求項6】
前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)が、プログラマー(30)のグラフィカル・ユーザ・インターフェース、又はモバイル・デバイス(32)、特にスマートフォン又はタブレット・デバイス上で動作するアプリにアクセスすることによって実行され、前記プログラマー(30)又は前記モバイル・デバイス(32)が、前記植込み型医療デバイス(12)とワイヤレスで通信するように構成された、請求項1から5のいずれか一項に記載のコンピュータ実装方法。
【請求項7】
ユーザ認証プロシージャが、パスワード入力を含むか、又は、パスワード入力と、前記プログラマー(30)に対する追加のセキュリティ機能、又は前記プログラマー(30)を制御するように構成されたウェブインターフェースとを含む2ファクタ認証を含み、前記ユーザ・セッションがセッションIDとタイムスタンプとを含む、請求項6に記載のコンピュータ実装方法。
【請求項8】
前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の実行の前に、事前定義されたタイム・スパン、特に、最高500ms以内に計算され、前記第2のチェックサム(CRC_B)と比較される、請求項1から7のいずれか一項に記載のコンピュータ実装方法。
【請求項9】
前記第2のチェックサム(CRC_B)が、前記植込み型医療デバイス(12)の工場初期設定において、事前定義されたメモリ・セルに書き込まれ、前記メモリ・セルが、事前定義されたレジスタ・コードを実行することによってアクセス可能である、請求項1から8のいずれか一項に記載のコンピュータ実装方法。
【請求項10】
意図しない実行に対して、植込み型医療デバイス(12)、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能(10)を保護するためのシステム(1)であって、前記システムは、植込み型医療デバイス(12)とプログラマー(30)とを備え、前記植込み型医療デバイス(12)が、前記プログラマー(30)による前記植込み型医療デバイス(12)の患者クリティカルなファームウェア機能(10)の実行の要求(14)を受信するように構成され、
前記植込み型医療デバイス(12)は、前記要求(14)に関連付けられたユーザが、前記患者クリティカルなファームウェア機能(10)を実行することを許可されていることを検証するように構成され、
前記植込み型医療デバイス(12)が、前記植込み型医療デバイス(12)の第1のメモリ・エリア(16)から第1のチェックサム(CRC_A)を読み取るように、又は前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)のコード・エリア(18)の一部として第1のチェックサム(CRC_A)を与えるように構成され、
前記第1のチェックサム(CRC_A)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた正しいチェックサム(CRC_OK)に一致せず、
前記植込み型医療デバイス(12)が、前記植込み型医療デバイス(12)の第2のメモリ・エリア(20)から第2のチェックサム(CRC_B)を読み取るように構成され、
前記第2のチェックサム(CRC_B)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)に一致し、
前記植込み型医療デバイス(12)は、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)の実行の前にチェックサムがそこから読み取られる、前記植込み型医療デバイス(12)の第3のメモリ・エリア(22)に前記第2のチェックサム(CRC_B)を書き込むように構成され、
前記植込み型医療デバイス(12)が、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)に関連付けられた前記正しいチェックサム(CRC_OK)を計算し、前記正しいチェックサム(CRC_OK)を前記第2のチェックサム(CRC_B)と比較するように構成され、前記植込み型医療デバイス(12)は、前記第2のチェックサム(CRC_B)と前記正しいチェックサム(CRC_OK)とが一致する場合に、前記植込み型医療デバイス(12)の前記患者クリティカルなファームウェア機能(10)を実行するように構成された、システム。
【請求項11】
コンピュータ・プログラムがコンピュータ上で実行されたときに、請求項1から9のいずれか一項に記載の方法を実行するためのプログラム・コードを有するコンピュータ・プログラム。
【請求項12】
前記コンピュータ・プログラムがコンピュータ上で実行されたときに、請求項1から9のいずれか一項に記載の方法を実行するためのコンピュータ・プログラムのプログラム・コードを含んでいる、コンピュータ可読データ・キャリア。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、意図しない実行に対して、植込み型(implantable)医療デバイス、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法に関する。
【0002】
さらに、本発明は、意図しない実行に対して、植込み型医療デバイス、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能を保護するためのシステムに関する。
【背景技術】
【0003】
インプラント、たとえば、ICD、S-ICD、IPG、iLP、又は同様の能動型インプラントの、Brady_OFF_Mode、Therapy_OFF_Stateなど、患者クリティカルなファームウェア機能は、内部ファームウェア・エラー及び/又はサイバー攻撃による誤用による意図しない実行から保護されなければならない。
【0004】
欧州特許出願公開3791925A1号明細書は、無鉛ペースメーカーを心臓組織に固定するための少なくとも1つの固定要素と、前記固定要素が、通信ユニットによって生成された信号を外部デバイスに送信し、及び/又は外部デバイスから信号を受信するための通信アンテナとして働くように構成されるように、前記固定要素に電気的に接続された通信ユニットと、心臓組織を電気的に刺激するための電気信号を生成するための治療ユニットとを備え、前記固定要素が、心臓組織を電気的に刺激し、及び/又は心臓組織の電気信号を感知するための電極として働くように構成された、無鉛ペースメーカーを開示している。
【0005】
現在、そのようなインプラントでは、いくつかのファームウェア機能は、たとえば、実行前のビットフリップによる潜在的なコード改変を検査し、それによってそれらの実行を防ぐために適切なチェックサムを用いて保護される。しかしながら、通常のファームウェア機能と、セキュリティの追加のレイヤによって保護されるべきである上述の患者クリティカルなファームウェア機能との間の区別は行われていない。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】欧州特許出願公開第3791925A1号明細書
【発明の概要】
【発明が解決しようとする課題】
【0007】
したがって、本発明の目的は、意図しない実行に対して植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するための改善された方法を提供することである。
【0008】
その目的は、請求項1に記載の特徴を有する植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法によって解決される。
【0009】
その目的は、さらに、請求項10に記載の特徴を有する植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのシステムによって解決される。
【0010】
さらに、その目的は、請求項11に記載のコンピュータ・プログラムと、請求項12に記載のコンピュータ可読データ・キャリアとによって解決される。さらなる開発及び有利な実施例は従属クレームにおいて定義される。
【課題を解決するための手段】
【0011】
本発明は、意図しない実行に対して、植込み型医療デバイス、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法を提供する。
【0012】
本方法は、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の要求を受信することと、要求に関連付けられたユーザが、患者クリティカルなファームウェア機能を実行することを許可されていることを検証することとを含む。
【0013】
さらに、本方法は、要求に関連付けられたユーザが許可されているとして検証された場合に、植込み型医療デバイスの第1のメモリ・エリアから第1のチェックサムを読み取ること、又は植込み型医療デバイスの患者クリティカルなファームウェア機能のコード・エリアの一部として第1のチェックサムを与えることであって、第1のチェックサムが、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムに一致しない、第1のチェックサムを読み取ること又は第1のチェックサムを与えることを含む。
【0014】
本方法は、さらに、植込み型医療デバイスの第2のメモリ・エリアから第2のチェックサムを読み取ることであって、第2のチェックサムが、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムに一致する、第2のチェックサムを読み取ることと、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイスの第3のメモリ・エリアに第2のチェックサムを書き込むこととを含む。
【0015】
その上、本方法は、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムを計算し、正しいチェックサムを第2のチェックサムと比較することと、第2のチェックサムと正しいチェックサムとが一致する場合に、植込み型医療デバイスの患者クリティカルなファームウェア機能を実行することとを含む。
【0016】
さらに、本発明は、意図しない実行に対して、植込み型医療デバイス、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能を保護するためのシステムを提供する。
【0017】
本システムは、植込み型医療デバイスとプログラマーとを備え、植込み型医療デバイスは、プログラマーによる植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の要求を受信するように構成され、植込み型医療デバイスは、要求に関連付けられたユーザが、患者クリティカルなファームウェア機能を実行することを許可されていることを検証するように構成され、植込み型医療デバイスは、植込み型医療デバイスの第1のメモリ・エリアから第1のチェックサムを読み取るように、又は植込み型医療デバイスの患者クリティカルなファームウェア機能のコード・エリアの一部として第1のチェックサムを与えるように構成され、第1のチェックサムは、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムに一致しない。
【0018】
植込み型医療デバイスは、植込み型医療デバイスの第2のメモリ・エリアから第2のチェックサムを読み取るように構成され、第2のチェックサムは、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムに一致する。さらに、植込み型医療デバイスは、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイスの第3のメモリ・エリアに第2のチェックサムを書き込むように構成される。
【0019】
植込み型医療デバイスは、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムを計算し、正しいチェックサムを第2のチェックサムと比較するように構成され、植込み型医療デバイスは、第2のチェックサムと正しいチェックサムとが一致する場合に、植込み型医療デバイスの患者クリティカルなファームウェア機能を実行するように構成される。
【0020】
その上、本発明は、コンピュータ・プログラムがコンピュータ上で実行されたときに、本発明による方法を実行するためのコンピュータ・プログラムのプログラム・コードを含んでいるコンピュータ可読データ・キャリアを提供する。
【0021】
本発明のアイデアは、デフォルトでは常に不正確である、患者クリティカルなファームウェア機能に極めてセキュアなチェックサムを与えることである。
【0022】
このことは、内部エラー又はサイバー攻撃により、たとえば、プログラマー又はカーディオメッセンジャーを介してリモートで、クリティカルなファームウェア機能、たとえばIPGのOFFモード、ICDのTherapy_OFF状態などのプログラミングをインプラント・ファームウェアが偶発的に又は意図的に開始することを確実に防ぎ、前記カーディオメッセンジャーは、インプラントによって送られたメッセージ及び/又はデータを、移動無線を介してホーム・モニタリング・サービス・センター(HMSC:Home Monitoring Service Center)に転送する外部BIOTRONIKデバイスである。
【0023】
たとえばIPGのOFF_mode、ICDのTherapy_OFF状態などのプログラミングは、したがって、チェックサム検査がこれらの機能の実行に常に先行することを必要とする。
【0024】
このチェックサムが、クリティカルな機能が実行される直前に、ファームウェアによって常に検査されることが、コードにおいて保証される。これが正しくない場合、機能は実行されず、たとえば、不正な実行の試みが内部ファームウェア・ログ・ブックに報告され、これは、たとえばフォローアップ中に、又は技術的なHMSCメッセージにおける送信によってBIOTRONIKに送信され得る。したがって、たとえば、試みられたサイバー攻撃は前記監視によってキャプチャすることができる。
【0025】
適切な強い許可、たとえば、医師又は許可されたユーザによるプログラマーへのパスワード入力によって、正しくないチェックサムは、機能が使用される直前に、正しいチェックサムのみによって常に置き換えられ、それにより、クリティカルな機能の実行が可能になり、許容されるようになる。
【0026】
本発明の一態様によれば、植込み型医療デバイスの第1のメモリ・エリアからの第1のチェックサムの読取り、又は植込み型医療デバイスの患者クリティカルなファームウェア機能のコード・エリアの一部としての第1のチェックサムの提供と、植込み型医療デバイスの第2のメモリ・エリアからの第2のチェックサムの読取りと、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイスの第3のメモリ・エリアへの第2のチェックサムの書込みと、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムの計算と、正しいチェックサムと第2のチェックサムとの比較と、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行とは、割込み不可能な複合コマンドによって実行される。このように、前記方法ステップは割込み不可能であり、その結果、セキュリティの追加のレイヤが生じる。
【0027】
本発明のさらなる態様によれば、植込み型医療デバイスの患者クリティカルなファームウェア機能の複合コマンドの実行中に、第2のチェックサムは第1のチェックサムによって上書きされ、前記第1のチェックサムはメモリ・バッファから又は植込み型医療デバイスの患者クリティカルなファームウェア機能のコード・エリアから読み取られる。第1のチェックサムによって第2のチェックサムを上書きすることによって、患者クリティカルなファームウェア機能の実行はもはや可能にされない。
【0028】
本発明のさらなる態様によれば、第1のチェックサムによって第2のチェックサムを上書きした後に、植込み型医療デバイスの患者クリティカルなファームウェア機能の複合コマンドは終了される。複合コマンドの実行は、一般に、植込み型医療デバイスの指定された機能を有効又は無効にするための事前定義されたコマンドの送信を包含するだけなので、実行時間は短い。事前定義されたコマンドが実行されるとすぐに、第2のチェックサムは、それにより、第1のチェックサムによって上書きされ、それにより複合コマンドが効果的に終了される。
【0029】
本発明のさらなる態様によれば、第2のチェックサムは、植込み型医療デバイスのハードウェア読取り専用レジスタから読み取られ、チェックサムは、巡回冗長検査、XOR、係数又は暗号ハッシュ、特にMD5、SHA-1又はSHA-2である。これは、有利には、患者クリティカルなファームウェア機能の効果的な保護を与える。
【0030】
本発明のさらなる態様によれば、植込み型医療デバイスの患者クリティカルなファームウェア機能は、プログラマーのグラフィカル・ユーザ・インターフェース、又はモバイル・デバイス、特にスマートフォン又はタブレット・デバイス上で動作するアプリにアクセスすることによって実行され、前記プログラマー又はモバイル・デバイスは、植込み型医療デバイスとワイヤレスで通信するように構成される。したがって、植込み型医療デバイスに複数の様式でアクセスすることができる。
【0031】
本発明のさらなる態様によれば、ユーザ認証プロシージャは、パスワード入力を含むか、又はパスワード入力と、プログラマーに対する追加のセキュリティ機能、又はプログラマーを制御するように構成されたウェブインターフェースとを含む2ファクタ認証を含み、ユーザ・セッションはセッションIDとタイムスタンプとを含む。これは、許可されたユーザのみによる植込み型医療デバイスへのアクセスを保証する。
【0032】
本発明のさらなる態様によれば、植込み型医療デバイスの患者クリティカルなファームウェア機能に関連付けられた正しいチェックサムは、植込み型医療デバイスの患者クリティカルなファームウェア機能の実行の前に、事前定義されたタイム・スパン、特に最高500ms以内に計算され、第2のチェックサムと比較される。チェックサム計算を行うためのタイム・スパンを制限することによって、セキュリティの追加のレイヤが与えられる。
【0033】
本発明のさらなる態様によれば、第2のチェックサムは、埋込み可能デバイスの工場初期設定において、事前定義されたメモリ・セルに書き込まれ、前記メモリ・セルは、事前定義されたレジスタ・コードを実行することによってアクセス可能である。前記事前定義されたレジスタ・コードは、患者クリティカルなファームウェア機能を実行するためのコードの一部ではないことにより、患者クリティカルなファームウェア機能の偶発的な実行は、したがって、効果的に防止される。
【0034】
植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法の本明細書で説明した特徴はまた、植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのシステムについて開示しており、その逆も同様である。
【0035】
次に、本発明及び本発明の利点のより完全な理解のために、添付の図面とともに行う以下の説明を参照されたい。図面の概略図において指定された例示的な実施例を使用して、以下で、本発明についてより詳細に説明する。
【図面の簡単な説明】
【0036】
【図1】本発明の好ましい実施例による、植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのコンピュータ実装方法のフローチャートを示す図である。
【図2】本発明の好ましい実施例による、植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのシステムの概略図を示す図である。
【発明を実施するための形態】
【0037】
図1のコンピュータ実装方法は、意図しない実行に対して、植込み型医療デバイス12、特に、ペースメーカー、除細動器及び/又は神経刺激器の患者クリティカルなファームウェア機能10を保護するように働く。
【0038】
本方法は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の要求14を受信することS1と、要求14に関連付けられたユーザが、患者クリティカルなファームウェア機能10を実行することを許可されていることを検証することS2とを含む。
【0039】
ユーザが許可されていることが確認された場合、ステップBにおいて複合コマンド24が開始される。ユーザが許可されていない場合、患者クリティカルなファームウェア機能10の使用は拒否される。さらに又は随意に、ステップ11においてサイバー・ログブックへの入力を行うことができる。これは、ひいては、ステップ13において(コマンド)要求14を取り消す。
【0040】
さらに、本方法は、要求14に関連付けられたユーザが許可されているとして検証された場合に、植込み型医療デバイス12の第1のメモリ・エリア16から第1のチェックサムCRC_Aを読み取ることS3a、又は植込み型医療デバイス12の患者クリティカルなファームウェア機能10のコード・エリア18の一部として第1のチェックサムCRC_Aを与えることS3bを含む。第1のチェックサムCRC_Aは、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKに一致しない。
【0041】
本方法は、さらに、植込み型医療デバイス12の第2のメモリ・エリア20から第2のチェックサムCRC_Bを読み取ることS4を含み、第2のチェックサムCRC_Bは、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKに一致する。
【0042】
その上、本方法は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイス12の第3のメモリ・エリア22に第2のチェックサムCRC_Bを書き込むことS5を含む。その後、ステップCにおいて患者クリティカルなファームウェア機能10が開始される。
【0043】
さらに、本方法は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKを計算し、正しいチェックサムCRC_OKを第2のチェックサムCRC_Bと比較することS6を含む。第2のチェックサムCRC_Bと正しいチェックサムCRC_OKとが一致する場合、植込み型医療デバイス12の患者クリティカルなファームウェア機能10を実行することS7。
【0044】
第2のチェックサムCRC_Bと正しいチェックサムCRC_OKとが一致しない場合、患者クリティカルなファームウェア機能の使用は拒否され、ステップ15においてエラー・ログへの入力が行われる。さらに、ステップ17において複合コマンドが取り消される。
【0045】
植込み型医療デバイス12の患者クリティカルなファームウェア機能10を読み取るステップS3a、S3b、S4、S5、S6及びS7は割込み不可能な複合コマンド24によって実行される。
【0046】
型医療デバイス12の患者クリティカルなファームウェア機能10の複合コマンド24の実行中に、ステップ19において第2のチェックサムCRC_Bは第1のチェックサムCRC_Aによって上書きされ、前記第1のチェックサムCRC_Aは、メモリ・バッファ26aから読み取られるか、又は植込み型医療デバイス12の患者クリティカルなファームウェア機能10のさらなるコード・エリア26bから読み取られる。
【0047】
ステップ19において第1のチェックサムCRC_Aによって第2のチェックサムCRC_Bを上書きした後に、ステップ21において植込み型医療デバイス12の患者クリティカルなファームウェア機能10の複合コマンド24は終了される。
【0048】
第2のチェックサムCRC_Bは、植込み型医療デバイス12のハードウェア読取り専用レジスタから読み取られ、第2のチェックサムCRC_Bは、巡回冗長検査、XOR、係数又は暗号ハッシュ、特にMD5、SHA-1又はSHA-2である。
【0049】
植込み型医療デバイス12の患者クリティカルなファームウェア機能10は、プログラマー30のグラフィカル・ユーザ・インターフェース、又はモバイル・デバイス32、特にスマートフォン又はタブレット・デバイス上で動作するアプリにアクセスすることによって実行され、前記プログラマー30又はモバイル・デバイス32は、植込み型医療デバイス12とワイヤレスで通信するように構成される。
【0050】
ユーザ認証プロシージャは、パスワード入力を含むか、又は、パスワード入力と、プログラマー30に対する追加のセキュリティ機能、又はプログラマー30を制御するように構成されたウェブインターフェースとを含む2ファクタ認証を含み、ユーザ・セッションはセッションIDとタイムスタンプとを含む。
【0051】
植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKは、植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の前に、事前定義されたタイム・スパン、特に最高500ms以内に計算され、第2のチェックサムCRC_Bと比較される。
【0052】
第2のチェックサムCRC_Bは、植込み型医療デバイス12の工場初期設定において事前定義されたメモリ・セルに書き込まれ、前記メモリ・セルは、事前定義されたレジスタ・コードを動作させることによってアクセス可能である。
【0053】
図2は、本発明の好ましい実施例による、植込み型医療デバイスの患者クリティカルなファームウェア機能を保護するためのシステムの概略図を示す。
【0054】
システム1は植込み型医療デバイス12とプログラマー30とを備える。代替的に、植込み型医療デバイス12は、植込み型医療デバイス12とワイヤレスで通信するように構成されたモバイル・デバイス32によって制御され得る。
【0055】
植込み型医療デバイス12は、プログラマー30による植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の要求14を受信するように構成され、植込み型医療デバイス12は、要求14に関連付けられたユーザが、患者クリティカルなファームウェア機能10を実行することを許可されていることを検証するように構成される。
【0056】
植込み型医療デバイス12は、植込み型医療デバイス12の第1のメモリ・エリア16から第1のチェックサムCRC_Aを読み取るか、又は植込み型医療デバイス12の患者クリティカルなファームウェア機能10のコード・エリア18の一部として第1のチェックサムCRC_Aを与えるように構成され、第1のチェックサムCRC_Aは、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKに一致しない。
【0057】
さらに、植込み型医療デバイス12は、植込み型医療デバイス12の第2のメモリ・エリア20から第2のチェックサムCRC_Bを読み取るように構成され、第2のチェックサムCRC_Bは、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKに一致する。
【0058】
その上、植込み型医療デバイス12は、植込み型医療デバイス12の患者クリティカルなファームウェア機能10の実行の前にチェックサムがそこから読み取られる、植込み型医療デバイス12の第3のメモリ・エリア22に第2のチェックサムCRC_Bを書き込むように構成される。
【0059】
植込み型医療デバイス12は、さらに、植込み型医療デバイス12の患者クリティカルなファームウェア機能10に関連付けられた正しいチェックサムCRC_OKを計算し、正しいチェックサムCRC_OKを第2のチェックサムCRC_Bと比較するように構成される。植込み型医療デバイス12は、第2のチェックサムCRC_Bと正しいチェックサムCRC_OKとが一致する場合に、植込み型医療デバイス12の患者クリティカルなファームウェア機能10を実行するように構成される。
【符号の説明】
【0060】
参照符号
1 システム
10 患者クリティカルなファームウェア機能
11 方法ステップ
12 植込み型医療デバイス
13 方法ステップ
14 要求
15 方法ステップ
16 第1のメモリ・エリア
17 方法ステップ
18 コード・エリア
19 方法ステップ
20 第2のメモリ・エリア
21 方法ステップ
22 第3のメモリ・エリア
24 複合コマンド
26a メモリ・バッファ
26b さらなるコード・エリア
30 プログラマー
32 モバイル・デバイス
B 方法ステップ
C 方法ステップ
CRC_A 第1のチェックサム
CRC_B 第2のチェックサム
CRC_OK 正しいチェックサム
S1~S7 方法ステップ
1 システム
10 患者クリティカルなファームウェア機能
11 方法ステップ
12 植込み型医療デバイス
13 方法ステップ
14 要求
15 方法ステップ
16 第1のメモリ・エリア
17 方法ステップ
18 コード・エリア
19 方法ステップ
20 第2のメモリ・エリア
21 方法ステップ
22 第3のメモリ・エリア
24 複合コマンド
26a メモリ・バッファ
26b さらなるコード・エリア
30 プログラマー
32 モバイル・デバイス
B 方法ステップ
C 方法ステップ
CRC_A 第1のチェックサム
CRC_B 第2のチェックサム
CRC_OK 正しいチェックサム
S1~S7 方法ステップ
【図1】
【図2】
【国際調査報告】