[发明专利]用于对可编程医疗系统中的无线编程设备进行认证的系统和方法

说明书

医疗系统的医疗设备被配置为通过无线通信链路与外部编程器通信。所述医疗设备包括被配置为通过无线通信链路从所述外部编程器接收第一未加密版本的随机数和第一加密版本的随机数的无线通信模块。所述医疗设备还包括控制电路，其被配置为基于所述第一未加密版本的随机数和所述第一加密版本的随机数对所述外部编程器执行认证过程，并且除非所述认证过程成功否则阻止所述外部编程器命令所述医疗设备执行动作。

相关申请

本申请要求2016年3月7日提交的序列号为62/304,603的美国临时专利申请的优先权，通过引用的方式将其明示地并入到本文中。

技术领域

本发明总体上涉及医疗系统中的无线编程技术，并且具体地涉及对用于可编程医疗系统中的无线编程设备(例如，临床医师编程器)进行认证。

背景技术

医疗系统(例如，可植入医疗系统)通常包括一个或多个可植入医疗设备和能够控制植入的医疗设备的操作并从植入的医疗设备获取生理数据或操作状态数据的外部遥测控制器。可植入医疗系统还可以包括外部编程器(例如，临床医师编程器或患者编程器)，其可以将操作参数或程序下载到遥测控制器中以设置或修改可植入医疗系统的操作配置和/或上传来自遥测控制器的信息(例如，生理数据或操作状态数据)。

该外部编程器和可植入医疗系统的遥测控制器之间的通信可以通过无线方式(例如，射频(RF)通信)方便地完成。一种在外部编程器和遥测控制器之间进行无线通信的方法使用根据蓝牙技术的短程RF通信。可以通过交换或存储共享密钥(称为“链接密钥(linkkey)”)对外部编程器和遥测控制器进行配对，该共享密钥用于随后对外部编程器进行认证以及对在外部编程器和遥测控制器之间发送的数据和命令进行加密。因此，通过设计，仅允许该外部编程器和之前配对的任何外部编程器与遥测控制器通信。

然而，通过蓝牙通信链路与外部编程器通信的现有的遥测控制器可能容易受到未授权用户的无意或有意的劫持，这是因为在某些操作系统(例如Linux)中，默认地可以秘密地获取或生成链接密钥。一旦获得共享链接密钥，任何设备就都可以使用共享链接密钥与遥测控制器通信。因此，可能出现对医疗设备的操作配置的不期望修改的潜在漏洞。

因此，仍然需要防止或阻止对医疗设备(例如，在可植入医疗系统中使用的遥测控制器)的未授权编程。

发明内容

根据本发明的第一方面，提供了一种医疗系统的医疗设备，其被配置为通过无线通信链路(例如，范围小于100英尺的无线通信链路)与外部编程器通信。

所述医疗设备包括无线通信模块，其被配置为通过无线通信链路从所述外部编程器接收第一未加密版本的随机数和第一加密版本的随机数。在一个实施例中，所述无线通信模块是射频(RF)通信模块，例如，根据蓝牙协议或Wi-Fi协议与所述外部编程器通信的RF通信模块。

所述医疗设备还包括控制电路(例如，微控制器)，其被配置为基于所述第一未加密版本的随机数和所述第一加密版本的随机数对所述外部编程器执行认证过程，并且除非所述认证过程成功否则阻止所述外部编程器命令所述医疗设备执行动作(例如，允许修改所述医疗系统的至少一个操作参数)。所述无线通信模块可以硬连线到所述控制电路。所述无线通信模块可以被配置为通过在第一安全级别认证所述外部编程器来与所述外部编程器建立所述无线通信链路，向所述控制电路发送指示与所述外部编程器建立的所述无线通信链路的状态的状态消息，在这种情况下，所述控制电路可以被配置为在第二安全级别执行所述认证过程。

在一个实施例中，所述控制电路被配置为：通过由所述第一未加密版本的随机数生成第二加密版本的随机数、将所述第一和第二版本的加密随机数进行比较、以及确定所述第一和第二版本的加密随机数是否匹配，来执行所述认证过程。在另一个实施例中，所述控制电路被配置为：通过解密所述第一加密版本的随机数以恢复第二未加密版本的随机数、将所述第一和第二版本的未加密随机数进行比较、以及确定所述第一和第二版本的未加密随机数是否匹配，来执行所述认证过程。