CN111656353B - 保护无头设备免于恶意(重)配置 - Google Patents
保护无头设备免于恶意(重)配置 Download PDFInfo
- Publication number
- CN111656353B CN111656353B CN201980010815.9A CN201980010815A CN111656353B CN 111656353 B CN111656353 B CN 111656353B CN 201980010815 A CN201980010815 A CN 201980010815A CN 111656353 B CN111656353 B CN 111656353B
- Authority
- CN
- China
- Prior art keywords
- communication interface
- medical device
- communication
- medical
- lock state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000009471 action Effects 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims description 105
- 238000000034 method Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 40
- 238000001990 intravenous administration Methods 0.000 description 7
- 239000012530 fluid Substances 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000012377 drug delivery Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 239000003814 drug Substances 0.000 description 2
- 229940079593 drug Drugs 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000036772 blood pressure Effects 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000002560 therapeutic procedure Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Infusion, Injection, And Reservoir Apparatuses (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
说明性实施例包括:无头医学设备(S),其用于在配置设备(D)的背景下执行实施医学资源或功能(F);以及任选的主机设备(H),其用于相对于与医学资源或功能有关的动作请求而锁定或解锁无头医学设备的锁状态(L)。
Description
本申请要求享有于2018年1月29日提交的并且题为“SECURING HEADLESSDEVICESFROM MALICIOUS(RE-)CONFIGURATION”的美国临时申请US 62/622984的权益。2018年1月29日提交的美国临时申请US 62/622984通过引用整体并入本文中。
技术领域
以下总体上涉及无线医学传感器、低功率无线传感器、移动传感器以及其他类似的应用。
背景技术
在医疗保健中,物联网(IoT)预期带来许多益处,诸如,移除电线的混乱,并通过应用无线传感器和致动器设备提供个人移动自由。例如,无线生命体征传感器可以连接到医院网络,以允许持续上传生命传感器信息,或者在不良事件的情况下以警报对护理人员进行警告。诸如药物递送设备的致动器设备可以无线地连接到医院网络,以接收事件以施用药物和/或被配置(例如用于改变自动剂量)用于处置。
无线医学设备的问题是确保无线通信的安全性。针对这些无线传感器或致动器被应用的患者,关于医学设备的恶意攻击能够非常有害甚至致命。例如,如果无线药物递送致动器设备(例如,无线注射泵)能够接收到太多事件以致无法施用药物,或者被恶意地给患者(重新)配置错误的剂量,这能够具有致命的后果。有时通过使用短距离或基于接近度的无线协议来解决这一点。然而,诸如蓝牙的短距离通信协议具有达到20米左右的范围,从而为恶意攻击提供足够的空间。诸如近场通信(NFC)的基于接近度的无线协议具有短得多的范围,例如需要几厘米的接近度,其可以被认为更安全。然而,仍然存在问题,其中,在已经配置医学设备之后,对患者具有访问权的某人(例如,在患者睡眠时进入的非工作人员访问者)可以使用相同的基于接近度的无线协议(例如NFC)来重新配置设备仍然是可能的。
恶意攻击的另一个示例是蓝牙传感器,其能够经受中间人攻击。此处,要求医学设备连接到黑客的手机或其他配备蓝牙的移动设备,而不是连接到医院网络。在中间人攻击中,医院工作人员可能不再能够追踪该患者的生命体征(拒绝服务)。
为了防止这种中间人攻击,可以使用基于接近度的带外配对方法(例如NFC)来为传感器配置密钥/配对信息。如果该操作由医院工作人员执行,例如通过在传感器的紧密附近使用授权的便携式设备来执行该NFC操作,则在将其应用于患者之前,这可以被认为是安全的。然而,仍然存在问题,其中,在已经应用传感器之后,仍然有可能对患者具有访问权的某人(例如,非工作人员访问者)使用相同的基于接近度的配对方法来将不同的密钥设置到传感器中并利用流氓设备(例如,配备蓝牙的手机)接管与传感器的连接。
类似地,如果基于接近度的无线协议(例如NFC)用于配置传感器设备(例如,发送测量结果的频率、发送传感器数据的目的地IP地址、无线工作频率),则恶意设备能够将传感器配置到不希望的操作状态。
以下公开了某些改进。
发明内容
在本文公开的一些说明性实施例中,一种设备包括:用于与该设备进行通信的第一通信接口、用于与该设备进行通信的第二通信接口、可编程电子芯片、以及存储指令的非瞬态存储介质,所述指令能够由可编程电子芯片读取和执行以操作传感器或致动器或其他医学功能并执行通信方法。该通信方法包括:经由第二通信接口控制设备的锁状态;经由第一通信接口接收与第二通信接口或医学功能有关的动作请求;在锁状态处于解锁状态的条件下执行动作请求。在一些实施例中,第一通信接口包括根据第一无线协议进行操作的第一无线电(R1),并且第二通信接口包括根据第二无线协议进行操作的第二无线电(R2);例如,第一无线电可以根据近场通信(NFC)协议来进行操作,而第二无线电可以根据蓝牙协议来进行操作;或者在其他这样的实施例中,第一无线电和第二无线电可以是共享相同物理无线电收发器硬件的两个不同的虚拟无线电。在一些备选实施例中,第一通信接口和第二通信接口之一包括无线电,而第一通信接口和第二通信接口中的另一个包括有线通信接口。在所公开的设备的一些实施例中,该通信方法还包括:在将设备的锁状态改变为锁定时,执行以下动作之一:(a)停用第一通信接口;(b)启用防火墙,其阻止第一通信接口上的传入消息;或(c)忽略第一通信接口上的任何传入动作请求消息。
在本文公开的一些说明性实施例中,一种系统包括:在前一段中所述的设备;以及配置设备,该配置设备被配置为:当设备的锁状态为解锁时,通过第一通信接口发送与第二通信接口有关的安全凭证。设备使用该凭证在第二通信接口上设立安全的通信通道,并且设备将锁状态切换为锁定。在本文公开的一些说明性实施例中,系统包括如前一段所述的设备和配置设备,并且配置设备被配置为经由第一通信接口发送动作请求并经由第二通信接口控制设备的锁状态。前述系统实施例中的任一个可以任选地还包括主机设备,其与配置设备协作以经由第二通信接口控制设备的锁状态。
本文公开的一些说明性实施例包括:无头医学设备,其用于在配置设备的背景下实施医学资源或功能;以及任选的主机设备,用于对应于与医学资源或功能有关的动作请求而锁定或解锁无头医学设备的锁状态。
附图说明
本发明可以采取各种部件和部件布置的形式,并且可以采取各种步骤和各步骤安排的形式。附图仅出于说明优选实施例的目的,而不应被解释为对本发明的限制。
图1图解地图示了无头医学设备,其用于在配置设备的背景下执行实施医学资源或功能,以及任选主机设备,其用于授权该配置设备相对于与医学资源或功能有关的动作请求而锁定或解锁无头医学设备的锁状态。
图2-9图解地示出了结合图1的无头医学设备适当执行的通信方法。
图10图解地图示了其中图1的无头医学设备包括注射泵的实施例。
图11图解地图示了其中图1的无头医学设备包括生命体征传感器的实施例。
具体实施方式
许多无线协议易受到具有物理访问权或可以非常靠近无线医学设备的恶意者的影响。通常认为基于接近度的认证方法(例如NFC)对于在支付交易中使用是足够安全的。然而,这些基于接近度的认证方法不能防止未授权人员滥用无线医学设备。认证用于验证尝试访问特定资源的人或设备的身份。然而,认证与授权不相同,授权是对特定资源实施访问权的功能,对于尝试访问资源的每个人或设备,授权能够不同。对于支付系统的示例,有已知的身份核验和授权协议来避免滥用。在许多支付设备上,通过管理设备的操作系统上的若干用户来解决授权问题,每个对某些特权资源具有其自己的访问权。
然而,由于有限的资源、存储空间、缺乏针对轻松配置或用于向用户提供登录流程和反馈的I/O模式,在诸如低成本、低功率的无线传感器或致动器设备的简单设备上针对许多不同的用户实施规则是非常麻烦和复杂的。例如,在医学背景下,许多类型的医疗传感器或致动器被构造为无头设备,其中,该设备不具有图形用户接口,而是通过电子数据网络链路(例如蓝牙、NFC等)与外界进行通信。在一些情况下,无头设备可能不包含集成输入或输出功能,并且所有通信经由一个或多个电子数据网络链路。在其他实施例中,无头设备可以包括一个或多个简单的输入和/或输出控件或设备,例如重置按钮、七栏LED显示器等,然而这不足以容易地配置无头设备(相反,针对完整功能需要经由一个或多个电子数据网络链路进行通信)。
对于无头医学设备,采用其中设备具有多个定义的用户(每个具有一定特权资源)的安全范式对于实施而言是困难和麻烦的。实际上,这样的无头医学设备通常旨在快速且简单地部署以监测患者或致动某些治疗(例如静脉内药物递送等),并且需要复杂的用户特异性授权过程与该目标是对立的(例如,认证可能需要经由一些用户接口输入用户名和密码,所述用户接口首先将需要经由蓝牙或其他无线连接与无头设备连接)。因此,针对无头医学设备,通常仅应用通用规则。例如,可以允许紧密附近的任何人和/或具有(单个)密码或验证码(passcode)的任何人访问使用或(重新)配置该设备的资源。
如上所述,紧密附近并不总是足够的保护,特别是在医疗保健设备的情况下。通常可以在出厂时通过构建共享秘密(例如密码或验证码)来缓解这一点。然而,这增加制造过程的复杂性,因为每个设备将必须配备有不同的共享秘密,并且使该设备在不同环境中运行较不灵活,并且此外,难以确保必须在医学设备的所有授权用户中间共享的单个密码或验证码的机密性。为了减轻对内置共享秘密的未授权访问,能够有必要创建防篡改硬件,以防止对内置存储设备的访问,或者通过影响物理参数来防止设备的芯片组被用于处理不同寻常的事物。然而,防篡改硬件增加了许多额外的复杂性,无法有效防止对无头医学设备的无线攻击。在无头设备的情况下,无线式无线电是获得对设备的访问权或配置设备执行未授权的操作的最简单且主要的“渠道”。
能够影响无头设备安全措施的设计的另一个因子在于,这些传感器/致动器设备的复杂性与其功耗之间应该存在平衡,因为这些中的一些甚至将来可能会被植入人体中。
参考图1和图2,在一个实施例中,无头设备S操作安全性敏感的资源/功能F(例如医学资源或功能,诸如生命体征传感器功能、药物递送功能、安全存储、安全无线连接)。无头设备S配备有操作无线协议W1的第一无线式无线电R1和操作无线协议W2的第二无线式无线电R2。在对第二无线电R2的初始配置10以安全连接到受信网络N之后,设备S将锁状态L切换12到锁定状态,在此期间,设备S停止14从无线第一无线电R1接收消息,或者在此期间,设备S阻止要在通过第一无线电R1从任何设备D接收的医学资源或功能F上执行的任何传入动作请求,直到无线医学设备S在连接到受信网络N时通过第二无线电R2接收到16允许接收来自设备D的传入动作请求18的消息之后。换句话说,第二无线电R2用于锁定或解锁医学设备S的锁状态L,该锁状态L关于医学设备S处理经由第一无线电R1接收到的用于修改医学资源或功能F的动作请求的能力。
通过非限制性说明,在第一无线电R1根据近场通信(NFC)协议进行操作并且第二无线电R2利用蓝牙协议进行操作的示例中,要对医学资源或功能F执行的动作请求能够包括传输密码、验证码或其他认证秘密(以执行无线电R2的初始配置10),配置患者标识(PID),调节患者特异性操作参数(例如注射速率),等等。例如,这可以利用NFC使用协商的BLE移交(以NFC论坛对等模式交换的移交请求和移交选择消息)来完成,如使用NFC的Secure Simple Pairing、应用文档、NFCForum-AD-BTSSP_1_1,2014中所指定的。基于NDEF记录的移交消息可以利用应用所需的额外信息字段(例如PID)进行扩展。当锁状态L处于锁定状态时,医学设备S可以通过停用或关闭,或者通过启用阻止第一无线电R1上的传入消息的防火墙,或者通过被编程以忽略请求当处于锁定状态时要对医学资源或功能F执行的动作的任何传入消息,来阻止要对医学资源或功能F执行的传入动作请求。
在锁状态L处于锁定状态时,在一些实施例中,第一无线电R1仍然可以有用于发送传出消息20,例如,在传感器确定第二无线电R2被攻击或滥用的情况下广播警报消息。
参考图3,一种用于启动资源或功能F的配置的方法如下。在经由第一无线电R1接收到30传入请求以执行配置医学资源或功能F的动作之后,如果设备处于初始未配置状态32,则无线医学设备S通过第一无线电R1接受34传入请求以执行该动作,此后设备S切换到锁定状态36。此后,为了对医学资源或功能F进行任何进一步的修改,必须使用第二无线电R2相对于对医学资源或功能F的这样的进一步的修改来解锁38医学设备S。
在一个说明性实施例中,第一无线电R1采用无线协议W1,其是基于接近度的无线协议(例如,在一些实施例中具有10cm或更小的范围),例如近场通信(NFC)、Qi数据通信、ISO/IEC 14443,而第二无线电R2采用无线协议W2,其是短距离无线协议(例如,具有50米或更小的范围),例如蓝牙、IrDA、Zigbee、IEEE 802.15.4,或诸如Wi-Fi、DECT的中等距离协议(例如,具有100米或更小的范围),或诸如LTE Cat-M1、NB-IoT、LoRa的长距离协议(例如,具有大于100米的范围)。通过R1接收到的用于修改医学资源或功能F的传入动作请求可以是例如存储安全凭证(例如,密钥、公钥、X.509证书、私钥、共享密钥、长期密钥)的动作请求,所述安全凭证用于执行在医学设备S和一起形成封闭的受信网络N(例如医院内的临床网络)的一组访问点、小型单元或基站和/或连接的设备之间无线电R2的安全配对(例如,如蓝牙v4.2中定义的LE安全配对、如Wi-Fi保护访问规范/测试计划中定义的WPA/WPA2,Diffie-Helman密钥交换)。如果第二无线电R2处于初始未配置状态(或者换句话说,在初始部署时锁状态L处于解锁状态),则设备S接受第一无线电R1上的传入请求以执行该动作,并且在初始配置后,设备S将锁状态L切换到锁定状态并保持在锁定状态中,直到其通过第二无线电R2接收到解锁第一无线电R1的认证消息为止。应注意,当无线电R2处于初始未配置状态时,设备S应当阻止或忽略任何传入安全配对消息,直到其已通过R1接收到安全凭证C之后,该凭证使设备能够使用接收到的安全凭证C设立与受信网络N的安全连接(即,图2的操作10)。应注意,该操作假定设备D将(经由网络N)告知设备S将能够连接到的一组访问点、小型单元或基站,以及用于与设备S配对的对应的安全凭证。
返回参考图1并还参考图4,另一说明性实施例包括一种系统X,其包括如上所述的无头设备S和配置设备D。在无头设备S经由第一无线电R1从配置设备D接收到传入请求以对医学资源或功能F执行动作40后,设备S确认设备D是网络N的部分。在一个实施方式中,设备S通过靶向设备D的第二无线电R2发出确认请求消息42。在一种实施方式中,配置设备D在其屏幕(即显示器)上显示来自设备S的确认请求44,此后设备D向无头医学设备S发送确认响应消息46。无头设备S阻止传入动作请求48以修改通过第一无线电R1从设备D接收到的医学资源或功能F,除非无头设备S经由第二无线电R2从D接收接受传入请求没有问题的确认响应信息50。如果无头医学设备S在若干尝试52之后没有接收到确认消息,则在一些实施例中,设备S开始广播警报消息54,因为确认的该缺乏建议无头医学设备S能够受到攻击。为了实施这一点,再次指出,锁状态处于锁定状态不会(在一些实施例中)阻止传出消息。在另外的任选方面中,确认请求可以当被显示在配置设备D上时揭示由医学设备S管理的处置信息的历史,以便防止重放攻击并处理引起重试的无线网络故障。
一种用于确认可以经由网络N到达配置设备D的说明性方法使用反向ARP协议或一些自动地址转换(例如,在设备同时操作Wi-Fi Direct和Wi-Fi基础设施连接的情况下,设备使用不同的MAC地址,其基于通过使用一些位翻转内置到设备的相同原始MAC地址)。
返回参考图1并且还参考图5,在另外的任选方面中,系统X可以包括可通过网络N到达的额外主机设备H。主机设备H存储关于配置设备D的信息60,并且设备S经由无线电R2(如图1中图解地指示的)向H发送确认配置设备D可以被信任和/或是网络的部分的请求62。设备H可以向设备S提供信息64,从而确认设备D是受信设备,和/或提供关于如何到达设备D的信息。这一点的原因是设备D可以位于不同的子网中(即利用不同的IP地址范围工作),因为那时它可能使用不同的无线电。在这种情况下,可以采用额外主机设备H来保持跟踪网络中的设备,并存储关于它们的信息,例如它们在不同子网中的地址信息。这样的主机设备H(例如,AP控制器)也可以充当桥接设备。特别是如果网络N使用IP地址经由Wi-Fi操作,并且配置设备D经由蓝牙连接到设备S,则主机设备H基于设备D的蓝牙地址而不是其IP地址或其802.11MAC地址来检索有关设备D以及如何到达其的信息。
返回参考图1并且还参考图6,在另一实施方式中,在经由无线电R1向设备S发送70消息之后,设备D经由网络N向设备S发送72第二消息(例如,临时解锁的请求),要么直接地要么通过代理经由设备H,此后,在经由无线电R2从网络N接收到74来自设备D的第二消息之后,设备S确定76设备D是网络N的部分,并且允许传入动作请求。
返回参考图1并且还参考图7,在另一实施例中,通过第一无线电R1的传入动作请求80包含患者和/或医师信息,并且医学设备S经由无线电R2与主机设备H 82接触(如图1中图解地示出的)以验证配置设备D被允许为医师使用的权益使用和/或用于配置该患者的处置(例如,通过验证接收到的凭证是否匹配医师的凭证)。仅在该额外验证检查正确84的情况下,医学设备S将对医学资源或功能F执行动作86。应注意,该凭证可以是(不同排名的)不同护理人员的一组凭证或凭证链。设备S还可以配置有特殊凭证,以允许在紧急情况下由未利用主机设备H注册的另一医师进行重新配置或(临时)解锁。设备S可以允许通过无线电R1或R2两者进行该操作,只要设备S可以验证在紧急情况下使用的配置设备D拥有该特殊凭证,例如,通过经由无线电R1或R2使用认证协议(例如Diffie-Helman)。
在另外的任选方面中,主机设备H可以辅助无头医学设备S检测医师当前正在主动使用的设备,并向其发送确认请求消息。
为了避免在从某些(例如不适当的,例如黑客的)设备(未示出)接收到修改医学资源/功能F的尝试时失去与受信网络N的连接,可以采用以下方法。如果无头设备S接收到用于与设备D通信的新配置,则其存储旧配置,并尝试使用新配置将配置设备连接到受信后端服务器(例如,上述系统中的已知主机H)。如果该尝试失败,则丢弃新配置,并从存储中检索旧配置(用于适当配置设备D),并且操作将恢复为旧配置。
返回参考图1并且还参考图8,在另一任选方面,配置设备D可以发现90设备S具有处于锁定状态的其锁状态L(例如,通过经由第一无线电R1传出消息,或通过第二无线电R2上的关联前服务发现信息,或通过让主机设备H存储关于设备S的锁定状态的信息,此后配置设备D可以请求该信息)。配置设备D经由第二无线电R2向医学设备S发送(或者由设备D请求受信主机设备H发送)解锁消息92,并且作为响应,设备S在接收到该消息之后将其锁状态L切换为解锁状态94。在第一无线电R1未关闭的情况下,也可以通过经由第二无线电R2与配置设备D闭合回路来完成解锁,或者在初始配置期间,配置设备D发送设备S应该存储以启用解锁的凭证,并且医学设备S存储该凭证,并且在进入锁定状态后,配置设备D通过经由第一无线电R1或第二无线电R2将包含凭证的消息发送到医学设备S,来请求医学设备S从锁定状态切换回解锁状态。
返回参考图1并且还参考图9,在另外的任选方面中,无线医学设备S在无线电R2上重复102在无线电R1 100上的所有传入业务,并将其发送到主机设备H以进行验证,并且主机设备H配备有监测功能以分析业务104。如果主机设备H检测到异常业务106(例如,重播的消息),则主机设备H不会向无线医学设备S108发送肯定的验证响应,或向设备S发送关闭第一无线电R1的请求。该方法避免了在拒绝服务(DOS)攻击期间使医学设备S过载,并且可以防止执行黑客算法(例如安全代码破解算法)。
总之,无头设备S包括两个无线电R1、R2,并且保持可以在锁定状态和解锁状态之间切换的锁状态L。在锁定状态下,无头设备S在处于锁定状态时不会在一个无线电R1上侦听来自配置设备的传入请求,或者不会对修改医学资源/功能F的动作请求做出动作。通过经由在第一无线电R1和第二无线电R2两者上与配置设备D进行通信来与配置设备D闭合回路,所公开的方法提供了一种简单而强大的机制来防止在无线电之一受到攻击的情况下与医学资源/功能F的恶意交互,例如通过验证可以从受信网络到达配置设备,并通过不同的网络路径从配置设备请求额外的确认。这使得攻击医学资源/功能F更加困难得多,因为这样做将需要同时攻击无线电R1、R2两者。有利地,可以在初始配置之后关闭更易受攻击的无线电。在说明性示例中,这种更易受攻击的无线电是NFC(在说明性示例中为第一无线电R1),其通常被认为是安全的,但在防恶意人员可以靠近该患者的情况下在医疗保健的情况下可能不足够安全。
在一些实施例中,在安全实施方式中采用两个无线电R1、R2的对称操作,即,如果无线电R2接收到对医学资源或功能F采取动作的请求,则可以使用无线电R1来闭合回路,如在无线电R1接收请求的类似情况下已经描述的。
无线医学设备S包括诸如微处理器、微控制器、现场可编程门阵列(FPGA)、图形处理单元(GPU)或其他可编程电子芯片C(任选地多核,包括数学协处理器,或其他增强版本)以及存储指令的非瞬态存储介质M的部件,所述指令可由可编程电子芯片C读取和执行以执行与实施医学资源或功能F有关的功能并实施如本文公开的设备配置协议。非瞬态存储介质M可以包括(通过非限制性说明性示例)FLASH存储器、只读存储器(ROM)、电可擦可编程ROM(EEPROM)或其变型和/或磁存储介质(例如硬盘)、光学存储介质(例如光盘)、其各种组合等等。由移动医学设备S执行的医学资源或功能F取决于设备的类型,并且设备S可以包括适合于执行医学资源或功能F的额外部件。
参考图10,例如,在医学设备S包括注射泵SIV的情况下,设备SIV包括合适的泵硬件PIV和流量传感器FIV等,并且医学资源或功能F可以包括诸如控制静脉内(IV)流体流量、测量IV流体流量、测量IV流体的温度的功能,并且可编程电子芯片C被编程为实施医学资源或功能F,包括基于来自流量计的流量反馈操作泵SIV,以递送受控IV流体流量,并且任选地执行其他相关功能,例如监测IV流体温度等。
参考图11,作为另一个示例,在无线医学设备S包括生命体征传感器SSEN的情况下,设备SSEN适当地还包括传感器硬件SHW(例如EGC、EEG或HR监测电极、血液压力袖带和充气泵硬件等),并且可编程电子芯片C被编程为实施医学资源或功能F,包括操作传感器硬件以采集生命体征数据。
这些仅是非限制性说明性示例,并且更一般地,无线医学设备可以另外配置为提供(一个或多个)期望的医学资源和/或执行期望的医学功能。此外,预期设备S是用于在非医学应用的背景下执行非医学任务的设备。在说明性示例中,设备S是无头设备;然而,备选地,在其他情况下预期设备S例如包括用于用户接口的图形用户接口(GUI)。
无线电R1、R2各自包括部件(未示出),例如可操作地与天线连接以根据特定的无线通信协议发送和接收信号的射频发射器和射频接收器(或集成收发器)。值得注意的是,一些无线医学设备包括用于其他目的的两个无线电,例如:可能包括WiFi和蓝牙连接性两者,并且类似地,一些无线芯片组配备了两个无线电(例如,蓝牙/Wi-Fi组合芯片组/SoC,例如当今的许多芯片组)。在这种医学设备的情况下,可用的两个无线电可以用作如本文公开的第一和第二无线电R1、R2。实现这一点的额外电池使用通常低,因为第二无线电R2仅当重新配置时(例如,当患者去医院就诊时)需要开启,这可能不经常发生,并且可能在经由R1正常操作期间关闭。
作为另一变型,将意识到,两个无线电R1、R2可以不必是两个物理上不同的无线电,而是可以是共享相同物理无线电收发器硬件的两个不同的虚拟无线电。
作为另一变型,将意识到,两个无线电R1、R2中的一个或两个可以由其他类型的通信接口代替,诸如USB或microUSB端口的有线通信接口。在这种情况下,无头医学设备S包括适当的物理连接器端口(例如USB或microUSB连接器端口),并且配置设备D同样包括适当的物理连接器端口(例如USB或microUSB连接器端口)并且通过适当的线缆与医学设备S物理附接(例如USB或microUSB线缆)以建立对应于被替换的无线电R1或R2的通信链路。
综上所述,将意识到,所公开的安全性方法采用用于与医学设备S进行通信的第一通信接口(在说明性实施例中由第一无线电R1表示)和用于与医学设备S进行通信的第二通信接口(在说明性实施例中由第二无线电R2表示),所述第二通信接口独立于第一通信接口。
已经参考优选实施例描述了本发明。在阅读和理解了前面的详细描述之后,其他人可能会想到修改和变更。旨在将示例性实施例解释为包括所有这样的修改和改变,只要其落入所附权利要求或其等价方案的范围内。
Claims (13)
1.一种用于通信的设备,包括:
用于通信的第一通信接口;
用于通信的第二通信接口;
可编程电子芯片;以及
非瞬态存储介质,其存储指令,所述指令能够由所述可编程电子芯片读取和执行以操作医学资源或功能并且执行包括以下操作的通信方法:
经由所述第一通信接口初始地配置所述第二通信接口以安全连接到受信网络,并且然后将所述设备的锁状态切换为针对所述第一通信接口的锁定状态;并且
在对所述第二通信接口的初始配置之后:
经由所述第二通信接口控制所述设备的所述锁状态;
响应于在所述第二通信接口连接到所述受信网络时经由所述第二通信接口接收到的解锁消息,将所述锁状态从锁定改变为解锁;
经由所述第一通信接口接收与修改所述医学资源或功能有关的动作请求;并且
在经由所述第二通信接口控制的所述锁状态处于针对所述第一通信接口的解锁状态的条件下执行所述动作请求。
2.根据权利要求1所述的用于通信的设备,其中:
所述第一通信接口包括根据第一无线协议进行操作的第一无线电;并且
所述第二通信接口包括根据第二无线协议进行操作的第二无线电。
3.根据权利要求2所述的用于通信的设备,其中,所述第一无线电根据近场通信NFC协议进行操作,并且所述第二无线电根据蓝牙协议进行操作。
4.根据权利要求2所述的用于通信的设备,其中,所述第一无线电和所述第二无线电是共享相同物理无线电收发器硬件的两个不同的虚拟无线电。
5.根据权利要求1-4中任一项所述的用于通信的设备,其中,所述通信方法还包括在对所述第二通信接口的所述初始配置之后并且在所述第二通信接口将所述设备的所述锁状态改变为针对所述第一通信接口的锁定状态之后执行以下动作中的一项:
a)停用所述第一通信接口;
b)启用阻止第一通信接口上的传入消息的防火墙;或者
c)忽略第一通信接口上的任何传入动作请求消息。
6.一种用于通信的系统,包括:
根据权利要求1-5中任一项所述的用于通信的设备;以及
配置设备,其被配置为当所述设备的所述锁状态为针对所述第一通信接口的解锁状态时通过所述第一通信接口发送与所述第二通信接口有关的安全凭证,所述设备在所述初始配置中使用该凭证在所述第二通信接口上设立安全的通信通道。
7.一种用于通信的系统,包括:
根据权利要求1-5中任一项所述的用于通信的设备;以及
配置设备,其被配置为在对所述第二通信接口的所述初始配置之后经由所述第一通信接口发送所述动作请求,并且经由所述第二通信接口控制所述设备的所述锁状态。
8.根据权利要求6-7中任一项所述的用于通信的系统,还包括:
主机设备,其在对所述第二通信接口的所述初始配置之后与所述配置设备协作,以经由所述第二通信接口控制所述设备的所述锁状态。
9.一种结合医学设备执行的方法,所述医学设备包括第一通信接口和第二通信接口以与实施所述方法的设备进行通信,所述方法包括:
经由所述第一通信接口初始地配置所述第二通信接口以安全连接到受信网络,并且然后将所述医学设备的锁状态切换为针对所述第一通信接口的锁定状态;
使用所述医学设备来执行医学资源或功能;
经由所述医学设备的所述第二通信接口控制所述医学设备的锁状态;
响应于在所述第二通信接口连接到所述受信网络时经由所述第二通信接口接收到的解锁消息,将所述锁状态从锁定改变为解锁;
经由所述医学设备的所述第一通信接口接收与修改所述医学资源或功能有关的动作请求;并且
在所述医学设备的所述锁状态处于针对所述第一通信接口的解锁状态的条件下使用所述医学设备来执行所述动作请求。
10.根据权利要求9所述的方法,还包括在控制所述医学设备的所述锁状态将所述锁状态改变为针对所述第一通信接口的锁定状态的情况下执行以下中的一项:
a)停用所述医学设备的所述第一通信接口;
b)启用阻止所述医学设备的第一通信接口上的传入消息的防火墙;或者
c)忽略在所述医学设备的第一通信接口上接收到的任何传入动作请求消息。
11.根据权利要求9所述的方法,还包括:
响应于经由所述医学设备的所述第一通信接口接收到所述动作请求而经由所述医学设备的所述第二通信接口发布确认请求消息,
其中,响应于对所述确认请求消息的所述发布而经由所述医学设备的所述第二通信接口接收所述解锁消息。
12.根据权利要求9所述的方法,其中:
所述动作请求是经由所述医学设备的所述第一通信接口从配置设备接收到的;并且
所述解锁消息是经由所述医学设备的所述第二通信接口从所述配置设备接收到的。
13.根据权利要求9所述的方法,还包括:
在主机设备处存储关于配置设备的信息;
其中,所述动作请求是经由所述医学设备的所述第一通信接口从所述配置设备接收到的,并且
其中,所述解锁消息是经由所述医学设备的所述第二通信接口从所述主机设备接收到的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862622984P | 2018-01-29 | 2018-01-29 | |
| US62/622984 | 2018-01-29 | ||
| PCT/EP2019/051812 WO2019145456A1 (en) | 2018-01-29 | 2019-01-25 | Securing headless devices from malicious (re-)configuration |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111656353A CN111656353A (zh) | 2020-09-11 |
| CN111656353B true CN111656353B (zh) | 2024-12-31 |
Family
ID=65237034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980010815.9A Active CN111656353B (zh) | 2018-01-29 | 2019-01-25 | 保护无头设备免于恶意(重)配置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11856406B2 (zh) |
| EP (1) | EP3746929A1 (zh) |
| JP (1) | JP7324199B2 (zh) |
| CN (1) | CN111656353B (zh) |
| WO (1) | WO2019145456A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7548135B2 (ja) | 2021-06-17 | 2024-09-10 | トヨタ自動車株式会社 | 車両、地上給電装置及び非接触給電システム |
| US20240277920A1 (en) * | 2023-02-17 | 2024-08-22 | B. Braun Medical Inc. | External signaling safeguards for infusion pump |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102831294B (zh) * | 2007-08-10 | 2016-08-17 | 施曼信医疗Asd公司 | 一种在服务器处确定医疗设备的操作能力的方法和系统 |
| US9574671B1 (en) * | 2008-06-02 | 2017-02-21 | Avaya Inc. | Determining communication modes of a mobile device based on presence information |
| US9585562B2 (en) * | 2008-12-03 | 2017-03-07 | Carefusion 303, Inc. | Method and apparatus for automatically integrating a medical device into a medical facility network |
| US20110009813A1 (en) * | 2009-07-09 | 2011-01-13 | Medtronic Minimed, Inc. | Panning a display of a portable medical device |
| US10195343B2 (en) * | 2010-02-05 | 2019-02-05 | Deka Products Limited Partnership | Devices, methods and systems for wireless control of medical devices |
| US8578461B2 (en) * | 2010-09-27 | 2013-11-05 | Blackberry Limited | Authenticating an auxiliary device from a portable electronic device |
| KR101995251B1 (ko) * | 2012-10-08 | 2019-09-30 | 삼성전자주식회사 | 근거리 무선 통신 장치에서 전원을 제어하는 장치 및 방법 |
| CA2894582A1 (en) * | 2012-12-11 | 2014-06-19 | Koninklijke Philips N.V. | Method and system for tilting an infant-care medical device |
| US9763097B2 (en) * | 2013-03-13 | 2017-09-12 | Lookout, Inc. | Method for performing device security corrective actions based on loss of proximity to another device |
| US9596224B2 (en) * | 2013-04-05 | 2017-03-14 | Nuvectra Corporation | Systems, devices, components and methods for communicating with an IMD using a portable electronic device and a mobile computing device |
| JP6482536B2 (ja) * | 2013-06-03 | 2019-03-13 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 医療デバイスのアラート信号の処理 |
| US10270898B2 (en) * | 2014-05-30 | 2019-04-23 | Apple Inc. | Wellness aggregator |
| US10383782B2 (en) * | 2014-02-17 | 2019-08-20 | Aspect Imaging Ltd. | Incubator deployable multi-functional panel |
| US20150310452A1 (en) * | 2014-04-27 | 2015-10-29 | AuthAir, Inc. | Access Control System For Medical And Dental Computer Systems |
| US10362010B2 (en) * | 2014-05-29 | 2019-07-23 | Apple Inc. | Management of credentials on an electronic device using an online resource |
| US10055567B2 (en) * | 2014-05-30 | 2018-08-21 | Apple Inc. | Proximity unlock and lock operations for electronic devices |
| TWI534331B (zh) * | 2014-06-24 | 2016-05-21 | 澧達科技股份有限公司 | 防盜鎖控制方法 |
| US20170372600A1 (en) * | 2015-01-16 | 2017-12-28 | Nokia Technologies Oy | Method, apparatus, and computer program product for local control through intermediate device |
| WO2016116853A1 (en) * | 2015-01-20 | 2016-07-28 | Novartis Ag | Application unlock using a connected physical device and transfer of data therebetween |
| CN104702792A (zh) * | 2015-03-20 | 2015-06-10 | 小米科技有限责任公司 | 终端屏幕的状态控制方法及装置、电子设备 |
| US20170037260A1 (en) | 2015-08-05 | 2017-02-09 | Printscape Solutions, LLC | Photo-Activated Polymers and Use in Articles, and Methods of 2D and 3D Printing |
| CN108472440B (zh) * | 2016-01-05 | 2021-11-09 | 比格福特生物医药公司 | 操作多模式药物输送系统 |
| US10362483B2 (en) * | 2016-04-01 | 2019-07-23 | Cristian FRUSINA | System, methods and devices for secure data storage with wireless authentication |
| EP3240200A1 (en) * | 2016-04-26 | 2017-11-01 | Novartis Ag | Container arrangement including a wireless communication device and method for operating the same |
| US9913989B2 (en) * | 2016-04-28 | 2018-03-13 | Medtronic, Inc. | Managing telemetry communication modes of an implantable device |
| US10237822B2 (en) | 2016-06-16 | 2019-03-19 | Axon Enterprise, Inc. | Systems and methods for automatically activating wireless networks |
| US10028079B2 (en) * | 2016-07-07 | 2018-07-17 | Plantronics, Inc. | Enhanced security for near field communication enabled bluetooth devices |
| WO2018048563A1 (en) * | 2016-09-07 | 2018-03-15 | Tokenize, Inc. | System and method for supplying security information |
| US10328899B2 (en) * | 2016-10-12 | 2019-06-25 | Denso International America, Inc. | Localization and passive entry / passive start systems and methods for vehicles |
| US10328898B2 (en) * | 2016-10-12 | 2019-06-25 | Denso International America, Inc. | Passive entry / passive start systems and methods for vehicles |
| US10646300B2 (en) * | 2016-12-14 | 2020-05-12 | Ethicon Llc | Ultrasonic surgical instrument with transducer locking feature |
| US10575917B2 (en) * | 2016-12-14 | 2020-03-03 | Ethicon Llc | Ultrasonic surgical instrument with integral torque wrench and transverse engagement |
| US10660722B2 (en) * | 2016-12-14 | 2020-05-26 | Ethicon Llc | Ultrasonic surgical instrument with integral shaft assembly torque wrench |
| US10709315B2 (en) * | 2017-04-28 | 2020-07-14 | Hoya Corporation | Apparatuses and methods for endoscopic connection |
| JP6791048B2 (ja) * | 2017-07-25 | 2020-11-25 | トヨタ自動車株式会社 | 電子キーシステムおよび電子キーの制御方法 |
| US20190087775A1 (en) * | 2017-09-15 | 2019-03-21 | Benjamin Buehre | Systems and methods for secure delivery and tracking of packages |
| US10433140B2 (en) * | 2017-12-12 | 2019-10-01 | Best Network Systems Inc. | IOT devices based messaging systems and methods |
| US11382155B2 (en) * | 2019-09-18 | 2022-07-05 | Canon U.S.A., Inc. | System and method for out-of-band pairing of sterile device with non-sterile device |
-
2019
- 2019-01-25 CN CN201980010815.9A patent/CN111656353B/zh active Active
- 2019-01-25 WO PCT/EP2019/051812 patent/WO2019145456A1/en unknown
- 2019-01-25 JP JP2020529306A patent/JP7324199B2/ja active Active
- 2019-01-25 US US16/963,853 patent/US11856406B2/en active Active
- 2019-01-25 EP EP19702061.3A patent/EP3746929A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP7324199B2 (ja) | 2023-08-09 |
| US11856406B2 (en) | 2023-12-26 |
| CN111656353A (zh) | 2020-09-11 |
| EP3746929A1 (en) | 2020-12-09 |
| JP2021511847A (ja) | 2021-05-13 |
| US20200359205A1 (en) | 2020-11-12 |
| WO2019145456A1 (en) | 2019-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11153076B2 (en) | Secure communication for medical devices | |
| EP2102775B1 (en) | Intelligent discovery of medical devices by a programming system | |
| CN107077527B (zh) | 用于医疗设备管理和防盗技术的方法 | |
| US7581096B2 (en) | Method, apparatus, and program product for automatically provisioning secure network elements | |
| US7454619B2 (en) | Method, apparatus, and program product for securely presenting situation information | |
| EP3386586B1 (en) | Secure wireless communication for an implantable component | |
| US7275156B2 (en) | Method and apparatus for establishing and using a secure credential infrastructure | |
| US7937089B2 (en) | Method, apparatus, and program product for provisioning secure wireless sensors | |
| JP6747691B2 (ja) | 電子アクセス制御デバイス及びアクセス制御方法 | |
| US8132236B2 (en) | System and method for providing secured access to mobile devices | |
| EP3395034B1 (en) | Network system for secure communication | |
| KR101835863B1 (ko) | 무선 장치들에 대한 액세스를 제어하는 방법 및 시스템 | |
| Siddiqi et al. | Imdfence: Architecting a secure protocol for implantable medical devices | |
| CN111656353B (zh) | 保护无头设备免于恶意(重)配置 | |
| ES2984071T3 (es) | Informe de estado de conexión anterior | |
| CN105325021B (zh) | 用于远程便携式无线设备认证的方法和装置 | |
| EP3595344B1 (en) | Remote management of wireless user devices | |
| Long et al. | Human perceivable authentication: an economical solution for security associations in short-distance wireless networking | |
| WO2013189323A2 (zh) | 锁网移动终端的解锁网方法及移动终端 | |
| CN117279119B (zh) | 用于设备间无线通信的方法和通信装置 | |
| CN116998135A (zh) | 物联网设备的远程控制 | |
| CN114792013A (zh) | 用于小型医疗系统的ble加密方法 | |
| KR20170057732A (ko) | 원격으로 제어되는 잠금 서비스를 제공하는 사용자 단말, 컴퓨터 프로그램 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |