CN112802593B 用于安全授权的方法、系统和计算机可读存储介质 （科利耳有限公司）

201780008478.02017.01.19US2009048644A1,2009.0US2013108046A1,2013.0US2014304773A1,2014.1本文中所提出的实施例一般涉及用于使得移动电子设备的用户能够无线地控制可植入医提出的技术在可植入医疗设备系统和与可植入医疗设备系统的制造商相关联的中央系统之间道来授权用户经由移动电子设备无线地控制可2经由中间电子设备在中央系统处接收来自可植入医经由所述中间电子设备向所述可植入医疗设备系统发送所述经由所述中间电子设备在所述中央系统和所述可植入医疗设备系统之间建立间接安使用所述间接安全通信信道授权用户经由所述中间电子设备无线地控制所述可植入2.根据权利要求1所述的方法，其中所述中间电子设备不能解密在所述间接安全通信3.根据权利要求1所述的方法，其中所述可植入医疗设备系统经由短程无线通信信道4.根据权利要求1所述的方法，其中在所述可植入医疗设备系统和所述中央系统之间使用所述可植入医疗设备系统和所述中央系统均知道的预5.根据权利要求1所述的方法，其中所述标识信息包括所述可植入医疗设备系统的部其中所述可植入医疗设备系统临时数数据包括一系列随机生成的6.根据权利要求5所述的方法，其中使用所述标识信息生成所述经加密的验证消息包使用所述可植入医疗设备系统临时数数据来生成包括特定于所述中央系统的临时数使用所述可植入医疗设备系统和所述中央系统均知道的预先存经由所述中间电子设备，在所述经加密的验证消息中将所系统临时数数据和所述经加密的特定于所述中央系统的临时数数据发送到所述可植入医在所述可植入医疗设备系统处，使用所述预先存在的加密密基于特定于所述中央系统的所述临时数数据来生成二次加密密钥；3经由所述中间电子设备向所述中央系统发送所述经加密的二次加在所述中央系统处，使用所述预先存在的加密密钥来解密所配置所述中央系统以使用所述二次加密密钥用于将来与所述可植入医疗设备系统通生成响应消息，所述响应消息指示所述二次加密密钥已被接经由所述中间电子设备向所述可植入医疗设备系统发送经由所述中间电子设备接收来自所述可植入医经由所述中间电子设备将所述经加密的验证消息发送到所中通过解密所述经加密的验证消息，所述可植入医疗设备系统验证所述中央系统的真实其中所述中央系统被配置为经由所述中间电子设备与所述可植入医疗设备系统建立12.根据权利要求11所述的系统，其中所述中间电子设备不能解密在所述间接安全通13.根据权利要求11所述的系统，其中所述可植入医疗设备系统被配置为经由短程无14.根据权利要求11所述的系统，其中为了在所述可植入医疗设备系统和所述中央系使用所述可植入医疗设备系统和所述中央系统均知道的预先存在的加密密钥来协商15.根据权利要求11所述的系统，其中所述标识信息包括所述可植入医疗设备系统的其中所述可植入医疗设备系统临时数数据包括一系列随机生成的16.根据权利要求15所述的系统，其中为了使用所述标识信息来生成所述经加密的验使用所述可植入医疗设备系统临时数数据来生成包括特定于所述中央系统的临时数4经由所述中间电子设备将所述经加密的验证消息发送到所中通过解密所述经加密的验证消息，所述可植入医疗设备系统验证所述中央系统的真实使用所述间接安全通信信道授权用户经由所述中间电子设备无线地控制所述可植入18.根据权利要求17所述的一个或多个非暂时性计算机可读存储介质，其中所述指令使用所述可植入医疗设备系统和所述中央系统均知道的预先存在的加密密钥来协商19.根据权利要求17所述的一个或多个非暂时性计算机可读存储介质，其中所述标识信息包括所述可植入医疗设备系统的部件的序列号、以及可植入医疗设备系统临时数数其中所述可植入医疗设备系统临时数数据包括一系列随机生成的20.根据权利要求19所述的一个或多个非暂时性计算机可读存储介质，其中所述指令使用所述可植入医疗设备系统临时数数据来生成包括特定于所述中央系统的临时数5[0005]包括一个或多个可植入部件的可植入医疗设备系统为接受者提供范围广泛的治备系统和与可植入医疗设备系统的制造商相关联的中央系统之间建立间接安全通信信道；以及使用间接安全通信信道来授权用户经由外部设备无线地控制可植入医疗设备系统的标准无线通信协议)无线地控制可植入医疗设备系统的设置。为了准许对可植入医疗设备6(诸如Bluetooth@、Bluetooth@低能量(LE)(BLE)等)使用可能受损的加密机制，从而第三方获得对可植入医疗设备系统的控制。Bluetooth@是Bluetooth@SIG所拥有的注临床医生、外科医生等)能够使用移动电子设备来控制可植入医疗设备系统的一个或多个的中央系统之间建立/创建安全(加密)通信信道，并且使用安全通信信道授权用户经由外部设备无线地控制可植入医疗设备系统的一医疗设备系统缺乏访问电信网络或计算网络的能力(即，可植入医疗设备系统不包括电信备系统之间的部分)覆盖短程无线信道(在其顶部上运行)，而间接安全信道的第二部分(即，中间移动电子设备和中央系统之间的部分)覆盖一个或多个电信网络链路和/或计算路。间接安全信道是已经在短程无线信道和/或网络链路上使用的任何加密机制之外的附[0016]如下文所描述的，本文中所提出的技术利用两阶段过程/序列来使得移动电子设入医疗设备系统和中央系统之间建立间接安全信道。第二阶段在本文中被称为授权阶段，使用间接安全信道授权用户经由移动电子设备来控制可植入医疗设备系统的一个或多个入接受者的皮肤/组织101下方的可植入部件104。耳蜗植入物系统100与移动电子设备1067学和医疗(ISM)频带中的短波长超高频(UHF)无线电波进行通信。BluetoothE是长刺激组件118被配置为至少部分地植入接受者的耳蜗中并且包括多个耳内刺激触点128。的引线区域116连接到植入物本体114中的刺激器线圈120的操作对准使得内部线圈120能够通过紧密耦合的RF链路130从外部线圈112经皮如，受制于第三方的控制)的中央系统122对本文中所提出的技术进行描述。在图1的示例8[0028]外部设备106首先包括天线136和电信接口138，其被配置用于在电信网络上进行通信。无线电天线136和无线电接口138通信的电信网络可以例如是全球移动通信系统[0029]如图2所示，外部设备106还包括无线局域网接口140和短程无线接口/收发器142(例如，红外(IR)或Bluetooth@收发器)。Bluetoothg是Bluet[0032]图3是图示了根据示例实施例的声音处理单元110的元件的功能框图。图3所示的可移除的锂离子(LiIon)电池。声音处理单元110还包括存储器184，其包括外部控制逻辑[0033]紧密耦合的无线收发器178被配置为经由紧密耦合的RF链路130(图1)向耳蜗植入耦合的通信是指彼此在大约十(10)厘米(cm)内和/或彼此感应耦合的收发器之间的通信。9[0035]一个或多个处理器172还包括声音处理器，其被配置为将经由一个或多个声音输用于传递给接受者的刺激信号。由声音处理器生成的编码信号通过紧密耦合的RF链路130处理器158(图2)执行医疗设备控制应用162和一个或多个处理器172(图3)执行外部控制逻[0037]图4是图示了根据本文中所提出的实施例的在制造商云122和外部设备106之间以的技术通过以下各项来解决人工耳蜗系统100的网络安全问题：(1)确保声音处理单元110[0039]第二阶段(授权阶段)确保仅预期用户可以从外部设备106访问并且能够控制耳蜗所标识的用户控制声音处理单元110；以及(3)确定用户应当通过耳蜗植入物系统100授予设备106无线通信的能力。如此，本文中所提出的技术使用外部设备106(与中间中继设备106和制造商云122之间的通信通过网络连接[0041]声音处理单元110中最初存储有加密过程所需的标识信息。该标识信息可以包括所示的序列号以及还如上文所指出的在图3中以附图标记190所示的声音处理单元临时数在制造过程期间以不可恢复的方式存储在声音处理单元1[0042]参考图4以及用于加密在声音处理单元110和制造商云122之间发送的安全通信的[0043]在外部设备106处接收的标识信息(例如，序列号和声音处理单元临时数)不可由[0044]制造商云122使用标识信息来识别/标识特定声音处理单元110，并且使用预先存数的预先存在的密钥是制造商云122和声音处理单元110均知道的预先确定的密钥(即，在制造期间存储在声音处理单元110中的并且制造商云122已知/可访问的预先确定的加密密钥对)。制造商云122可以从例如数据库系统132中的一个数据库系统获得预先存在的加密“二次加密密钥”，其不依赖于制造商云122和声音处理单元110均知道的预先存在的密钥对。经加密的声音处理临时数和经加密的云临时数(每个使用制造商云122和声音处理单元110均知道的预先存在的加密密钥进行加密)形成加密的数据块以生成经加密的验证消息，备106将经加密的验证消息传递到声音处[0047]在接收到经加密的验证消息时，声音处理单元110被配置为执行加密处理以使用[0048]如果声音处理单元110成功解密所接收的经加密的验证消息，则声音处理单元确随机生成可用于与制造商云122将来通信的新加密密钥。该随机生成的加密密钥在本文中[0049]声音处理单元110再次使用与上文所描述的相同的预先存在的密钥对来加密二次[0050]在接收到经加密的有效载荷时，制造商云122使用上文所描述的相同的预先存在响应消息指示已经接受了二次加密密钥。该响应消息在图4中以箭头252(即，从制造商云122到外部设备106的消息)和箭头254(即，从外部设备106到声音处理单元110的消息)表[0051]制造商云122接受二次加密密钥指示制造商云已经接受使用二次加密密钥来加密[0052]通信240到254图示了本文中所提出的技术的第一(加密)阶段。在加密阶段结束该通信的重要部分是二次加密密钥的生成及其用于支持预先存在的加密密钥(即，用二次处理单元110的低功率性质和声音处理单元处可用的有限处理资源的结果，使得预先存在和声音处理单元110已经验证了彼此的真实性，制造商云122和声音处理单元110就使用较便宜的密码术来进行后续通信(即，预先存在的加密密钥最初用于建立并安全地共享二次[0055]用在计算上廉价的加密密钥(即，二次加密密钥)替换在计算上昂贵的加密密钥证、以及确定用户可以从外部设备106施加在耳蜗植入物系统100上的控制水平(如果有的122知道在制造期间与特定声音处理单元110相关联的PIN代码(例如，制造商云122与制造统数据库的已知PIN匹配)，则制造商云122使用可以用于请求访问令牌的会话密钥来响应[0060]在接收到控制请求262时，制造商云122评估外部设备106所请求的控制水平/类用户录入将自己标识为临床医生或外科医生的附加信息，并且该信息在制造商云122处进以提示外部设备106发出具有不同的请求[0062]如果制造商云122确定可以准予控制请求中所请求的控制水平，则制造商云被配被加密并且允许外部设备106知道令牌何时到期以及外部设备106何时将需要发出另一控被声音处理单元110解密，访问令牌就为声音处理单元110提供指令以授予外部设备106对部设备在指定的时间段内被授权并且具有指定的功能牌已被接受并且所请求的功能性水平已被解锁到声音处理单元110的消息来响应外部设[0066]上文已经参考包括外部声音处理单元110的耳蜗植入物系统100主要对本发明的可植入部件执行，该可植入部件至少包括用于与外部设备106直接或间接通信的一个或多经由中间移动