Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7634007B2 - 医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法 - Google Patents
[go: Go Back, main page]

JP7634007B2 - 医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法 - Google Patents

医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法 Download PDF

Info

Publication number
JP7634007B2
JP7634007B2 JP2022526493A JP2022526493A JP7634007B2 JP 7634007 B2 JP7634007 B2 JP 7634007B2 JP 2022526493 A JP2022526493 A JP 2022526493A JP 2022526493 A JP2022526493 A JP 2022526493A JP 7634007 B2 JP7634007 B2 JP 7634007B2
Authority
JP
Japan
Prior art keywords
user
medical device
authentication server
access
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022526493A
Other languages
English (en)
Other versions
JP2023505945A (ja
Inventor
ジェンス キャメロン,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gambro Lundia AB
Original Assignee
Gambro Lundia AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gambro Lundia AB filed Critical Gambro Lundia AB
Publication of JP2023505945A publication Critical patent/JP2023505945A/ja
Application granted granted Critical
Publication of JP7634007B2 publication Critical patent/JP7634007B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/88Medical equipments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Description

本開示は、医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して医療機器へのアクセスをユーザに認可するための方法に関する。本開示はまた、本方法を実施するコンピュータ・プログラム及びコンピュータ・プログラム製品に関する。
医療機器(以下、単に機器と呼ばれる)は典型的に、医療スタッフ又は技術者のようなユーザが機器にアクセスできるようになる前にユーザが認証されることを要求する。医療機器がオンライン、すなわちサービス・システムと通信しているならば、サービス・システムにログインするだけで、サービス・システムを介してユーザにアクセス権が与えられうる。
しかし、場合によっては、ユーザは、サービス・システムからオフラインである装置にアクセスする必要がある。今日、オフライン機器は典型的に、アクセスをユーザに認可するためにユーザ・インタフェースを介して入力されうるハードコードされたパスコード(例えば、PINS、パスワード又はキー)を使用する。このタイプのアクセス認可は、いくつかの理由で、もはや安全であるとは考えられない。
例えば、制御されていない方法でユーザ間でパスワードが共有されるというリスクが常に存在する。また、パスコードによる解決策は、各機器が個々のパスコードで事前にプログラムされる必要があるので、追加の生産ステップを必要とする。一方、PINやパスワードが失われると、まったくログインできなくなる。したがって、インフラストラクチャは、すべての機器についてパスコードを有するセキュアなデータベースを維持する必要があり、これには管理上の労力を要求する。
さらに、匿名パスコードは、各パスコードが単一のユーザによって使用されない限り、特定の機器に誰がアクセスしたかについての監査を与えることができない。しかし、各機器に複数のユーザのID及びパスコードを有することは、ユーザが変更したときに多くの保守を必要とする。
ユーザを識別するための別の方法は、ワンタイム・パスワードを使用することである。しかし、ワンタイム・パスワードは、ワンタイム・パスワード注文番号によるか、又は医療機器とパスワード生成器との間の時間同期による、何らかの種類の同期を必要とする。しかし、典型的に、これらの同期オプションのいずれも実際には管理可能ではない。ユーザIDを有しない注文ベースのワンタイム・パスワードについて、すべてのユーザはパスワード生成器に通信し直さなければならない。このパスワードは、各個別の機器に関して最後に用いられたパスワードであり、実現不可能である。ユーザIDを有する注文ベースのワンタイム・パスワードは、上述のように、各オフライン機器上のユーザ・データベースの保守を必要とする。また、時間ベースのワンタイム・パスワードは、医療機器のクロックがパスワード生成器の時刻と同期していることを保証できないので、実現可能ではない。
医療機器がサービス・システムに接続されている場合であっても、技術者が診療所の外部にいて、したがって病院のITシステムを通じて認証されることができないことがあることにも留意されたい。
したがって、機器へのアクセスをユーザに認可する改善された方法の必要性が存在する。
既存の解決策による欠点の少なくともいくつかを軽減することが本開示の目的である。セキュアな方法でアクセスをユーザに認可する方法を提供することがさらなる目的である。この方法では、機器を個々の情報で設定する必要はない。特に、医療機器において個々のパスコードを設定する必要性を排除する解決策を提供することが目的である。
第1態様によれば、本開示は、医療機器において使用するための方法であって、機器ユーザ・インタフェースを介して医療機器へのアクセスをユーザに認可するための方法を提供する。本方法は、認証サーバに関連する機関非対称鍵ペアの機関公開鍵を記憶することと、医療機器で生成された一時的機器非対称鍵ペアの機器公開鍵を示す認可チャレンジを、機器ユーザ・インタフェースを介してユーザに提供することと、を有する。本方法はさらに、機関非対称鍵ペアの機関秘密鍵と、提供された機器公開鍵とから導出可能な共有鍵を使用して暗号化された有効性情報を含む応答コードを、機器ユーザ・インタフェースを介してユーザから受けることと、同じ共有鍵であるが、記憶された機関公開鍵と、一時的機器非対称鍵ペアの機器秘密鍵とを使用して医療機器において導出された共有鍵を使用して復号された有効性情報が有効であることに応じて、医療機器へのアクセスをユーザに認可することと、を有する。提案される方法は、事前に設定されたパスコードを使用することなく、ユーザ・インタフェースを介してオフライン・ユーザ機器へのアクセスをユーザに認可することを可能にする。実際には、これは、認証サーバによって認可されたすべてのユーザが認証サーバからパスコードを取得し、それによって医療機器にアクセスしてもよいことを意味する。それゆえ、医療機器へのアクセスを誰が認可されるかを制御するのは認証サーバである。すべての機器に共通の1つの公開鍵を使用することによって、生産における個別化されたステップが排除されてもよい。また、本方法は、機器ごとの秘密鍵又は対称鍵のデータベースの必要性、及び機器内のハードウェアを交換し、それによって新たな個別鍵を交換する際に発生する可能性があるすべての問題を排除する。最後に、本方法は、医療機器のクロックと認証サーバのクロックとが同期されることを要求しない。
いくつかの実施形態では、ユーザ・インタフェースは、ヒューマン‐マシン・インタフェース、又はユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである。それゆえ、ユーザは、手動で、又はリストバンド、スマートフォン、又はUSBスティックのような携帯型データ・ストレージ・デバイスのようなユーザ・デバイスを介して、チャレンジ及び応答をやりとりしてもよい。
いくつかの実施形態では、認可することは、応答コードに含まれる情報に起因して、異なるレベルのアクセスをユーザに認可することを含む。それゆえ、通常は異なるパスコードを必要とする異なるタイプのユーザに対して、1つの単一の方法が使用されてもよい。その代わりに、アクセスのレベルは、認証サーバによって処理される。いくつかの実施形態では、認可することは、1つ以上のセッションへの所定のアクセスを認可することと、特定の用途のために医療機器をロック解除することと、一時的な非通常使用を認可することとのうちの少なくとも1つについてのユーザへの認可を含む。
いくつかの実施形態では、認可することは、所定の期間中にアクセスを認可することを含む。それゆえ、機器へのアクセスの認可は、1回、又は数回の使用に限定されてもよい。さらに、それは、時間に関して制限されてもよい。
いくつかの実施形態では、本方法は、ユーザへのアクセスの認可を開始するユーザ入力を受けることを含む。よって、認証は例えば、医療機器のボタンを押すユーザによって開始されてもよい。
いくつかの実施形態では、本方法は、一時的機器非対称鍵ペアを破棄にすることを含む。これにより、一回の使用後又は所定の時間後に、一時的鍵が有効でないことが保証される。それゆえ、次の認可について、新たな一時的機器非対称鍵ペアが作成されなければならない。これにより、セキュリティが向上する。
いくつかの実施形態では、本方法は、医療機器が認証サーバからオフラインであることを含む。よって、本方法は、オフライン医療機器においても使用されてもよい。
第2態様によれば、本開示は、認証サーバで使用される方法であって、サーバ・ユーザ・インタフェースを介して医療機器へのアクセスをユーザに認可するための方法に関する。本方法は、認証サーバに関連する機関非対称鍵ペアの機関秘密鍵を記憶することと、ユーザを認証することと、医療機器に関連する一時的機器非対称鍵ペアの機器公開鍵を示す認可チャレンジを、サーバ・ユーザ・インタフェースを介してユーザから受けることと、共有鍵を使用して暗号化された有効性情報を含む応答コードを、サーバ・ユーザ・インタフェースを介してユーザに提供することであって、共有鍵は、記憶された機関秘密鍵と、機器公開鍵とを使用して認証サーバにおいて導出される、ことと、を有する。本方法は、認証サーバにおけるユーザの認証に基づいて医療機器をロック解除するために使用されてもよい応答コードを作成することを可能にする。それゆえ、すべてのユーザ認証は、1か所、すなわち認証サーバにおいて処理されてもよい。そして、認証サーバは、医療機器へのアクセスが要求される場合に、ユーザのために動作する。言い換えると、提案される方法は、ネットワーク・インフラストラクチャとは無関係に、中央システムにログインされた(すなわち、医療機器においてクリアすることができない)ユーザごとの個々の認証を可能にする。
実際には、これは、ユーザが認証サーバに追加されると、ユーザは、認証サーバによって制御される任意の医療機器、すなわち、機関非対称鍵ペアの機関公開鍵を記憶し、第1態様に従って方法を実行するように構成されたすべての医療機器へのアクセスを許可されてもよいことを意味する。本方法は、リモート認証サーバが、スタッフが変わった場合などに、ユーザ、認可、及び認可解除を管理することを可能にする。変更は直ちに行われ、個々の機器の保守を必要としない。
いくつかの実施形態では、サーバ・インタフェースは、ヒューマン‐マシン・インタフェース、又はユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである。それゆえ、ユーザは、手動で、又はリストバンド又はスマートフォンのようなユーザ・デバイスを介して、チャレンジ及び応答をやりとりしてもよい。
いくつかの実施形態では、決定することは、ユーザの認可レベル、時間パラメータ、及びユーザの位置のうちの少なくとも1つに基づいて応答コードを決定することを含む。それゆえ、認証サーバは、異なるパラメータに基づいて、どのタイプのアクセスを許可するかを選択してもよい。例えば、医療スタッフ及び技術者は、異なるタイプのアクセスが与えられてもよい。また、いくつかのユーザは、特定の時刻に、又は特定の場所においてのみ、医療機器にアクセスすることを許可されてもよい。
いくつかの実施形態では、本方法は、認証に関連する情報をログに記録することを含む。認証サーバはどの医療機器へのアクセスがどのユーザにいつ許可されているかを知っているため、提供されたすべてのアクセスのログを生成することができ、これは多くの状況で有用でありうる。
いくつかの実施形態では、機関非対称鍵ペア及び機器非対称鍵ペアは、一方の非対称鍵ペアの秘密鍵を他方の非対称鍵ペアの公開鍵とともに使用する場合に、反対の場合と同じ共有鍵が導出されるように生成される。いくつかの実施形態では、共有鍵は、ディフィー‐ヘルマン関数を使用して導出される。いくつかの実施形態では、機関非対称鍵ペア及び機器非対称鍵ペアは、楕円曲線暗号方式(ECC)、又はリベスト‐シャミア‐エーデルマン(RSA)を使用して生成される。
いくつかの実施形態では、有効性情報は、医療機器のデバイス識別子と、医療機器のアドレスと、事前に規定されたデータ・シーケンスと、事前に規定されたルールを使用して決定されたデータ・シーケンスとのうちの少なくとも1つを含む。それゆえ、実際には、医療機器によって知られている任意の「文字列」が使用されてもよい。いくつかの実施形態では、有効性情報は、コントロール・サムを含む。コントロール・サム、それゆえチェックサムを使用することは、それが典型的に短いため、応答コードが手動で入力される場合に有用であってもよい。
第3態様によれば、本開示は、機器ユーザ・インタフェース及び制御装置を備える対応する医療機器に関する。制御装置は、認証サーバに関連する機関非対称鍵ペアの機関公開鍵を記憶し、医療機器において生成された一時的機器非対称鍵ペアの機器公開鍵を示す認可チャレンジを、機器ユーザ・インタフェースを介してユーザに提供するように構成される。制御装置はさらに、共有鍵を使用して暗号化された有効性情報を含む応答コードを、機器ユーザ・インタフェースを介してユーザから受けるように構成される。共有鍵は、機関非対称鍵ペアの機関秘密鍵と、提供された機器公開鍵とから導出可能である。制御装置はさらに、同じ共有鍵であるが、記憶された機関公開鍵と、一時的機器非対称鍵ペアの機器秘密鍵とを使用して医療機器において導出された共有鍵を使用して復号された有効性情報が有効であることに応じて、医療機器へのアクセスをユーザに認可するように構成される。
第4態様によれば、本開示は、サーバ・ユーザ・インタフェースを備える対応する認証サーバに関する。認証サーバは、認証サーバに関連付けられた機関非対称鍵ペアの機関秘密鍵を記憶し、ユーザを認証するように構成される。さらに、認証サーバは、医療機器に関連する一時的機器非対称鍵ペアの機器公開鍵を示す認可チャレンジを、サーバ・ユーザ・インタフェースを介してユーザから受けるように構成される。認証サーバはさらに、共有鍵を使用して暗号化された有効性情報を含む応答コードを、サーバ・ユーザ・インタフェースを介してユーザに提供するように構成され、共有鍵は、記憶された機関秘密鍵と、機器公開鍵とを使用して認証サーバにおいて導出される。
第5態様によれば、本開示は、コンピュータにおいて動作されると、コンピュータに第1態様又は第2態様による方法を実行させるコード手段を特徴とするコンピュータ・プログラムに関する。
第6態様によれば、本開示は、コンピュータ可読媒体及びコンピュータ・プログラムを含むコンピュータ・プログラム製品に関し、前記コンピュータ・プログラムは、コンピュータ可読媒体に含まれる。
第7態様によれば、本開示は、医療機器及び認証サーバを備えるシステムに関する。
本開示の実施形態は、本開示の実施形態の例を示す添付の図面を参照してより詳細に説明される。
概念的な医療機器を説明する。 図1aの医療機器の制御構成をより詳細に説明する。 認証サーバを説明する。 図4及び図5の方法を実行する場合の医療機器と認証サーバとの間のシグナリングを説明する。 医療機器で使用される方法のフローチャートを説明する。 認証サーバで使用される方法のフローチャートを説明する。 開示された技術の実施形態を実施してもよい例示的な医療機器を説明する。 開示された技術の実施形態を実施してもよい別の例示的な医療機器を説明する。 開示された技術の実施形態を実施してもよいさらなる例示的な医療機器を説明する。
提案される解決策は、医療機器と応答生成器(認証サーバとも呼ばれる)という2つの当事者を伴う。認証サーバは例えば、リモート・アクセス可能なシステムであってもよく、又は、組織内(例えば、病院内)のセキュアなサーバであってもよい。認証サーバは、機関秘密鍵(dA)をセキュアに記憶し、提案されるチャレンジ応答アルゴリズムを実行できる。
提案される技術は、非対称暗号方式(「公開鍵」暗号方式とも呼ばれる)、特に鍵交換アルゴリズムを使用して上述の問題を解決する。公開鍵暗号方式は鍵ペアを使用することに基づいており、一方の鍵がデータの暗号化に使用され、もう一方がデータの復号に使用される。暗号鍵ではデータを復号できず、復号鍵では(意味のある方法で)データを暗号化できない。2つの当事者がそれぞれ1つの秘密鍵d及び1つの公開鍵Qを有する場合、当事者は、自身の秘密鍵dを他の部分の公開鍵Qに組み合わせることによって、同じ共有鍵Kを算出できる。
上述したように、各医療機器に個々の暗号鍵を構成することは、余分な生産ステップと、そのような暗号鍵のデータベースを維持するためのインフラストラクチャを要求する。また、暗号鍵が記憶されている電子ボードを交換するなど、機器のハードウェアを変更する際にも問題が発生しうる。したがって、医療機器に記憶される個々の鍵を要求しない解決策が提案される。よって、提案される解決策では、医療機器は、開示された場合に信頼できないユーザのアクセスを可能にする秘密をまったく含まない。
提案される解決策は、非対称鍵の2つのペアを使用し、1つは一時的機器非対称鍵ペアであり、1つは機関非対称鍵ペアである。機関非対称鍵ペアは事前に生成される。製造者によって製造されるすべての医療機器は、機関非対称鍵ペアの機関公開鍵QBを使用して事前に構成されるか又はプログラムされる。機関公開鍵QBは秘密である必要はない。しかし、機関公開鍵QBは、少なくとも信頼されていない部分によっては変更できないような方法で記憶されなければならない。
機関非対称鍵ペアの機関秘密鍵dBは、認証サーバにセキュアに記憶される。機関秘密鍵dBは決して公開されない。さらに、機関秘密鍵dBは変更されないが、同じ鍵が、例えば製造業者によってそのすべての医療機器へのアクセスを可能にするために使用される。医療機器に記憶された機関公開鍵QBに対応する機関秘密鍵dBは、機器にアクセスするために要求される応答コードを作成するために要求される。よって、医療機器にアクセスすることを望むユーザは、医療機器にアクセスするために使用されてもよい有効な応答コードを得るために、認証サーバで自分自身を認証する必要がある。これは、どのユーザが医療機器にアクセスしたかを医療機器が知らないことを意味する。しかし、応答コードがいつ、どのユーザに対して、場合によってはどの医療機器に対して生成されたかをログに記録することによって、ユーザは認証サーバにおいて依然として追跡されうる。
一時的機器非対称鍵ペアは、ユーザが医療機器にアクセスすることを望むたびに、医療機器において生成される。一時的機器非対称鍵ペアは基本的に、応答コードがこの特定の医療機器について発行されたことを検証するために使用される。一時的機器非対称鍵ペアは、機関非対称鍵ペアを生成するために使用されたのと同じアルゴリズムを使用して生成される。1回の使用後、一時的機器非対称鍵ペアはもはや有効ではない。それゆえ、新たな一時的機器非対称鍵ペアが生成されなければならない。
機関非対称鍵ペアは、以下に説明するように、医療機器へのアクセスを認可するために、一時的機器非対称鍵ペアとともに使用される。しかし、非対称暗号化及び鍵交換のための数学的アルゴリズムもまた、本開示の一部ではなく、提案される解決策は特定のアルゴリズムに依存しないが、純粋に実用的な理由のために、いくつかは、他のものよりも、この目的のためにより良好に適合しうる。
以下では、医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して医療機器へのアクセスをユーザに認可するための方法について説明する。提案される技術は、ユーザ・アクセスを制御することが要求される又は望ましい任意の医療機器に適用可能である。医療機器は、流体(例えば、栄養流体、静脈内治療流体、及び腫瘍学薬物)のための注入ポンプ、水浄化装置、及び医療撮像デバイスなどを含むが、これらに限定されない。
図1aは、提案される技術が実施されてもよい概念的な医療機器10を説明する。医療機器10は例えば、透析機械のような医療機械である。これに代えて、医療機器は、注入ポンプのような、より小さい医療デバイスである。医療機器10は、互いに接続された複数の個別のデバイスを含んでもよい。そして、提案される技術は、これらのデバイスのうちの1つ以上へのユーザ・アクセスを制御するために使用されてもよい。原理的に、医療機器10は、医療用に意図された任意の機器であってもよい。
医療機器10は、任意の医療処置を実行するように構成される。医療機器10は、医療機器10へのアクセスを認可しうるリモート・システムには接続されていない。それゆえ、医療機器はオフラインである。特に、これは、医療機器10にアクセスするために要求される機関秘密鍵dBを保持する認可システム20(図2b)からオフラインである。
説明される簡略化された例では、医療機器10は、機器ユーザ・インタフェース19と制御装置16とを備える。医療機器はまた、医療処置を実行するために要求される構成要素(図示せず)を含む。機器ユーザ・インタフェース19は、ユーザが医療機器へ及び/又は医療機器から情報をやりとりすることを可能にする。機器ユーザ・インタフェース19は例えば、ディスプレイ及びボタン又はタッチスクリーンを含む。
図1bは、図1aの例示的な医療機器のいずれかの制御装置16をより詳細に説明する。制御装置16は、プロセッサ161とメモリ163とを備える。プロセッサ161は、CPU、DSP、マイクロプロセッサ、FPGA、ASIC、又は任意の他の電子プログラマブル論理デバイス、又はそれらの組合せのような任意の商業利用可能な処理デバイスであってもよい。
制御装置16はまた、ローカル・サーバ又はリモート・サービス・システムのような他のデバイス又はシステムとの通信を可能にするように構成された通信インタフェース162を備えてもよい。通信は、無線及び/又は有線であってもよい。有線通信は、有線イーサネット接続、RS-232、RS-485、又はUARTを使用して実行されてもよい。無線通信は、Bluetooth(登録商標)、WiFi(登録商標)、Zigbee(登録商標)、Z-Wave(登録商標)、無線ユニバーサル・シリアル・バス(「USB」)、赤外線プロトコルのいずれか、又はその他の適切な無線通信技術を介して実行されてもよい。近距離通信インタフェース162は例えば、プロセッサ161によって制御されるように構成されたBluetoothチップである。
メモリ163は、不揮発性メモリ又は揮発性メモリ、又はROM、PROM、EEPROM、フラッシュ・メモリ、リムーバブル・メモリ、RAM、DRAM、SRAM、キャッシュ・メモリ、ハード・ドライブ、記憶媒体などの組合せを含んでもよいが、これらに限定されない。メモリ163は、プロセッサ161による実行のためのソフトウェア・コードを記憶する。ソフトウェア・コードは、例えば医療処置を実行し、医療機器へのユーザ・アクセスを可能にするように医療機器10を制御するように構成される。
プロセッサ161及びメモリ163は、それらが個々に動作可能なユニットであるという意味で「別個」であるが、それらは例えば集積回路のような共通の基板上に任意の組合せで配置されてもよいし、配置されなくてもよい。簡単にするために、図2aの制御装置16は、ただ1つのプロセッサ161及びメモリ163を備えるものとして説明される。しかし、制御装置16は、1つ以上のプロセッサ161を備えるプロセッサの集合を備えてもよく、メモリ163は、1つ以上のメモリ・デバイスによって実装されてもよいことが理解されなければならない。
制御装置16は、医療機器10の動作を制御するように、例えば医療機器10の意図された医療処置を実行するように構成される。制御装置16はまた、医療機器10へのアクセスを制御するように構成される。
図2は、認証サーバ20を説明する。認証サーバは、ユーザに医療機器へのアクセスを認証するように構成された制御装置である。認証サーバ20は、オンサイト又はオフサイトに位置してもよい。認証サーバ20は、いくつかの実施形態では、病院ITシステム又は製造者サービス・システムのような別のシステムに統合される。認証サーバ20は、コンピュータのような1つの物理的なデバイスであってもよいし、コンピュータ・クラウドのような複数の物理的なコンピュータ上で実行されるコンピュータ・システムであってもよい。いくつかの実施形態では、認証サーバ20は、例えば医療機器10が使用される病院のローカル・サーバである。認証サーバ20は、サーバ・ユーザ・インタフェース25を備える。認証サーバ20は、プロセッサ21と、通信インタフェース22と、メモリ23とを備える。プロセッサ21は、CPU、DSP、マイクロプロセッサ、FPGA、ASIC、又は任意の他の電子プログラマブル論理デバイス、又はそれらの組合せのような任意の商業利用可能な処理デバイスであってもよい。
プロセッサ21及びメモリ23は、それらが個々に動作可能なユニットであるという意味で「別個」であるが、それらは例えば集積回路のような共通の基板上に任意の組合せで配置されてもよいし、配置されなくてもよい。簡単にするために、図2bの認証サーバ20は、ただ1つのプロセッサ21及びメモリ23を備えるものとして説明される。しかし、認証サーバ20は、1つ以上のプロセッサ21を備えるプロセッサの集合を備えてもよく、メモリ23は、1つ以上のメモリ・デバイスによって実装されてもよいことが理解されなければならない。通信インタフェース22は、認証サーバ20と他のデバイス、例えばインターネットを介したリモート・デバイスとの間の通信を可能にするインタフェースである。
ユーザは、サーバ・ユーザ・インタフェース25を介して認証サーバ20と対話してもよい。サーバ・ユーザ・インタフェース25は、認証サーバ20とユーザとの間の対話を可能にするように構成される。いくつかの実施形態では、サーバ・ユーザ・インタフェース25は、ソフトウェア・ユーザ・インタフェース、例えば、ウェブ・インタフェース又はアプリケーション・プログラミング・インタフェース(API)を含む。よって、サーバ・ユーザ・インタフェース25は、外部ディスプレイ上やユーザ・デバイス(例えばパーソナル・コンピュータ)のような外部のデバイス上で、認証サーバ20からレンダリングされてもよい。サーバ・インタフェース25は、通信インタフェース22を介してサーバ・ユーザ・インタフェース25にアクセスするリモート(すなわちオフサイト)デバイス上で生成されさえしてもよい。いくつかの実施形態では、サーバ・ユーザ・インタフェース25は、ユーザがグラフィカル・アイコンを通じて認証サーバ20と対話することを可能にするグラフィカル・ユーザ・インタフェースである。
いくつかの実施形態では、サーバ・ユーザ・インタフェース25は、キーボード、マウス及び/又はディスプレイ、例えばタッチスクリーンのような物理的な構成要素を使用してユーザが認証サーバ20と対話することを可能にするハードウェア・インタフェースを備える。
ここで、図3及び図4を参照して、医療機器10において使用される方法であって、機器ユーザ・インタフェースを介して医療機器10へのアクセスをユーザ2に認可するための方法について説明する。図3は、機器ユーザ・インタフェースを介して医療機器10へのアクセスをユーザ2に認可する提案された方法を実行する場合の医療機器10と認証サーバ20との間のシグナリングを説明する。図4は、医療機器10において実行される方法ステップのフローチャートを説明する。本方法が医療機器10で使用されるものであることは、本方法の方法ステップが、医療機器10内の1つ以上の構成要素、例えば制御装置16によって実行されることを意味する。本方法は、プログラム・コードとして実施され、医療機器10のメモリ163に保存されてもよい。本方法のステップは、プログラムがコンピュータ、例えば制御装置16によって実行された場合に、制御装置16に本方法を実行させる命令を含むコンピュータ・プログラムにおいて規定されてもよい。
本方法は、ユーザが機器ユーザ・インタフェース19を介して医療機器10にアクセスすることを望むときにいつでも実行されてもよい。典型的に、これは、医療機器10がインターネットに接続されていない場合、又は少なくともユーザにアクセスを自動的に許可してもよいサービス・システムに接続されていない場合である。言い換えれば、いくつかの実施形態では、医療機器10は、認証サーバ20からオフラインである。それゆえ、アクセスは、機器ユーザ・インタフェース19を使用して提供される必要がある。医療機器は、上述したように、異なるタイプの機器ユーザ・インタフェース19を有してもよい。いくつかの実施形態では、機器ユーザ・インタフェース19は、ヒューマン‐マシン・インタフェースである。ヒューマン‐マシン・インタフェースは、ユーザ動作が機械のための信号として変換され、要求された結果を当該機械がユーザに提供することを可能にするインタフェースである。ヒューマン‐マシン・インタフェースは例えば、ボタン、1つ以上のディスプレイ、マイクロフォン、スピーカなどを含む。
いくつかの実施形態では、機器ユーザ・インタフェース19は、ユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである。ユーザ・デバイスは例えば、スマートフォン又はウェアラブル・デバイスである。ユーザ・デバイスは例えば、光信号又は無線信号を読み取るように構成されてもよい。例えば、ユーザ・デバイスは、シンボルのシーケンス又はQRコード(登録商標)を読み取るように構成されてもよい。いくつかの実施形態では、ユーザ・デバイスは、USBスティックのような携帯型データ・ストレージである。それゆえ、ユーザは、機器ユーザ・インタフェース19から携帯型データ・ストレージにデータを読み出し、その後、それをさらにサーバ・ユーザ・インタフェース25に転送してもよい。
上述のように、提案される解決策の前提条件は、医療機器10が、認証サーバ20に関連する機関非対称鍵ペアの機関公開鍵QBを記憶することである。機関非対称鍵ペアは、事前に規定されたアルゴリズムを使用して、認証サーバ20において事前に生成される。鍵ペアを生成するために使用されてもよい多くのアルゴリズムが存在する。いくつかの例示的なアルゴリズムは、楕円曲線暗号方式(ECC)又はリベスト‐シャミア‐エーデルマン(RSA)である。
機関公開鍵QBは、医療機器10の製造中に医療機器10内に構成(すなわち、記憶)されてもよいし、又は医療機器10のソフトウェア内に含まれてもよい。言い換えると、本方法は、認証サーバ20に関連する機関非対称鍵ペアの機関公開鍵QBを記憶することS0を含む。機関公開鍵QBは、それを変更又は交換できないように記憶されなければならない。これは、任意の既知の一般の記憶方法によって、例えば、ソフトウェア内に機関公開鍵QBをハードコーディングするか、リード・オンリ・メモリ(ROM)に記憶するか、又はアクセス不能(少なくとも書き込み不能)な内部ファイル・システム内のファイルに記憶することによって行われうる。実際には、機関公開鍵QBは、交換することが困難な任意の構成要素であり、交換することができない場所に記憶されてもよい。
アクセスの認可は例えば、ユーザが機器ユーザ・インタフェース19を介して医療機器へのアクセスを要求した場合に開始される。これは、例えば、医療機器10のディスプレイ12上のボタン又はアイコンを押すことによって行われる。言い換えると、いくつかの実施形態では、本方法は、ユーザ2へのアクセスの認可を開始するユーザ入力を受けることS1を含む。これに代えて、例えばスタートアップ時にアクセスの認可が自動的に開始される。
ユーザ入力に応じて、又は自動化されたスタートアップにおいて、機関非対称鍵ペアを生成した場合と同じアルゴリズムを使用して、医療機器10において一時的鍵ペアが生成されるS2。それゆえ、本方法は、機器公開鍵QA及び機器秘密鍵dAを含む一時的機器非対称鍵ペアを生成することS2を含む。機関非対称鍵ペア及び機器非対称鍵ペアは、非対称鍵ペアの一方の秘密鍵dを他方の非対称鍵ペアの公開鍵Qとともに使用した場合に、その反対の場合と同じ共有鍵が導出されるように生成される。
一時的機器非対称鍵ペアが生成された後、認証チャレンジがユーザに提示される。チャレンジは、認証サーバ20が機器公開鍵QAを取得することを可能にする情報を含む。いくつかの実施形態では、チャレンジは、生成された機器公開鍵QAを備える又は含む。機器公開鍵QAは、認可セッションを識別し、応答コードが特定のチャレンジのために意図されていることを検証することを可能にする。チャレンジはまた、認証サーバ20が医療機器10を識別することを可能にする機器識別情報、例えば、デバイス識別子I又はアドレスのようなさらなる情報を含んでもよい。例えば、機器公開鍵QAは、デバイス識別子、例えばシリアル番号や媒体アクセス制御(MAC)アドレスとともにユーザに提示される。この情報は、以下において「チャレンジ」と表される。提示は、オンスクリーンであってもよく、人間が読み取り可能な、例えばシンボルのシーケンスであってもよく、又は機械が読み取り可能な、例えばQRコード又は無線信号であってもよい。チャレンジは、楕円曲線暗号方式(ECC)のような効率的な公開鍵暗号アルゴリズムを使用することによって、比較的短くてもよい。ECC-160鍵は、25文字の印刷可能文字で提示されうる20バイトである。
例えば、デバイスIDが「123456」であり、機器公開鍵が「36FD A6A2 13DC 2754」であるならば、ユーザに提示されるチャレンジは、「12345636FDA6A213DC2754」であってもよい。言い換えると、本方法は、医療機器10において生成された一時的機器非対称鍵ペアの機器公開鍵QAを示す認可チャレンジを、機器ユーザ・インタフェースを介してユーザ2に提供することS3を含む。チャレンジは、秘密情報を何も含まず、有効な応答コードを生成するために必要な情報のみを含むので、暗号化されなくてもよいことに留意されたい。しかし、機器公開鍵QA以外のチャレンジ内の任意の他のデータは、機器公開鍵QAを受信したこと応じて医療機器1によって導出されうる共有鍵Kで暗号化されてもよい。
ユーザがチャレンジを受けると、ユーザは、機関秘密鍵dBを保持する認証サーバ20から有効な応答コードを取得する必要がある。これを行うために、ユーザは自身を認証サーバ20に対して認証するS21。これは、サーバ・ユーザ・インタフェース25を介して直接、又はユーザが知っている人物を介して行われてもよい。認証サーバ20において、ユーザ・アイデンティティ及びアクセス・レベルがチェックされる。その後、ユーザは、チャレンジを認証サーバ20へ転送し、認証サーバ20は、チャレンジを受けるS22。例えば、ユーザは、医療機器のディスプレイ上に提示されたチャレンジを読み取り、それをサーバ・ユーザ・インタフェース25にタイプする。これにかえて、ユーザは、スマートフォン又はUSBスティックのようなユーザ・デバイスを使用してチャレンジを転送する。チャレンジは、機器公開鍵QAを含み、機器公開鍵QAは、システムの秘密鍵dBと組み合わされて、応答コードを暗号化するために使用される共有鍵K(QA,dB)となり、これがユーザに戻される。ここで、K(QA,dB)は、関数f(QA,dB)を使用して認証サーバ20によって算出された場合の共有鍵Kを指す。いくつかの実施形態では、共有鍵K(QA,dB)は、ディフィー‐ヘルマン関数を使用して導出される。
それゆえ、認証サーバ20は、チャレンジを分析し、共有鍵K(QA,dB)を算出する(すなわち、生成するS23)。その後、認証サーバ20は、応答コードを算出し(すなわち、決定しS24)、その応答コードを共有鍵K(QA,dB)で暗号化するS25。応答コードは有効性情報を含む。有効性情報は、医療機器10に知られている情報であって、正しい共有鍵K(QA,dB)が使用されたことを検証するために医療機器10が復号できる情報である。その後、応答コードは、サーバ・ユーザ・インタフェース25を介してユーザに提示される(すなわち、提供されるS26に)。有効な応答コードを生成するために認証サーバ20によって実行される動作は、以下の図5に関連してさらに説明される。
その後、ユーザは、医療機器10の機器ユーザ・インタフェース19を介して応答コードを入力する。言い換えると、医療機器10で使用するための方法は、機関非対称鍵ペアの機関秘密鍵dB及び提供された機器公開鍵QAから導出可能な共有鍵K(QA,dB)を使用して暗号化された有効性情報を含む応答コードを、機器ユーザ・インタフェース19を介してユーザ2から受けることS4を含む。
共有鍵K(QA,dB)は、機関秘密鍵dBと、チャレンジによって示される機器公開鍵QAとにアクセスできる応答生成器によってのみ導出されてもよい。有効性情報は、事前に合意されたデータである。それゆえ、医療機器10は、どのような有効性情報が期待されうるかを知っている。よって、共有鍵K(QA,dB)を使用して応答コード(又は応答コードの一部)を復号する場合に、事前に同意された有効性情報が得られたならば、このことは、妥当な疑いを超えて、応答コードが、信頼された応答生成器、すなわち認証サーバ20に由来し、特定のチャレンジのために意図されていることを保証する。
いくつかの実施形態では、有効性情報は、医療機器10のシリアル番号のような、チャレンジで提供された医療機器1のデバイス識別子Iを含む。いくつかの実施形態では、有効性情報は、医療機器10のMACアドレスのような、チャレンジに提供された医療機器1のアドレスを含む。いくつかの実施形態において、有効性情報は、「BX」又は任意の事前に合意されたテキスト文字列のような、事前に規定されたデータ・シーケンスを含む。
いくつかの実施形態では、有効性情報は、事前に規定されたルールを使用して決定されたデータ・シーケンスを含む。データ・シーケンスは例えば、チャレンジに含まれる情報から算出されたハッシュ又は制御コードであってもよい。例えば、応答コードは、チャレンジの巡回冗長検査(CRC)又はチャレンジの一部であってもよい。応答は、対称暗方式で暗号化されるため、元のメッセージよりも長い必要はない。チャレンジ‐応答トランザクションにおけるデータの長さは、ユーザが手動でメッセージを転送しなければならない場合に重要である。
よって、医療機器10は、その一時的機器秘密鍵dAを、認証サーバ20(すなわち応答生成器)の記憶された機関公開鍵QBに組み合わせて、認証サーバ20で使用されているのと同じ共有鍵K(QB,dA)にし、応答コード、又は少なくとも、暗号化された有効性情報を復号するS6。ここで、K(QB,dA)は、関数g(QB,dA)を使用して医療機器において算出された場合の共有鍵を指す。
よって、同じ共有鍵は、関数g(QB,dA)又は関数f(QA,dB)を使用して算出されてもよい。よって、共有鍵Kは、
K=g(QB,dA)=f(QA,dB
として表現されてもよい。言い換えると、本方法は、記憶された機関公開鍵QBと、生成された機器秘密鍵dAとを使用して、医療機器10において同じ共有鍵K(QB,dA)を導出することS5(すなわち、生成すること)を含む。導出することS5は、早期に、例えば一時的機器非対称鍵ペアを生成S2した直後にすでに実行されていてもよいことに留意されたい。その場合に、共有鍵は、認可サーバ20が共有鍵を導出するために必要となる機器公開鍵DAとは別に、チャレンジに含まれる何らかの情報を暗号化するためにも使用されてもよい。いくつかの実施形態では、本方法はまた、導出された同じ共有鍵を使用して、応答コードに含まれる有効性情報を復号することS6を含む。
有効性情報が有効であれば、ユーザは、医療機器10へのアクセスを認可される。いくつかの例示的な実施形態では、医療機器10は、有効性情報を復号し、復号された有効性情報を、医療機器10に記憶されているか又は代替的に医療機器10がどのように算出するかを知っている、事前に合意された有効性情報と比較することによって、応答コードを検証する。応答コードが有効であるならば、すなわち、復号された有効性情報が、事前に合意された有効性情報と同じか又は等しいならば、アクセスが許可される。言い換えると、本方法は、同じ共有鍵K(QB,dA)であるが、記憶された機関公開鍵QBと一時的機器非対称鍵ペアの機器秘密鍵dAとを使用して医療機器10において導出された共有鍵を使用して復号された有効性情報が有効であることに応じて、医療機器10へのアクセスをユーザ2に認可することS7を含む。
応答コードは、追加の情報、例えば医療機器10でのユーザの認可レベルを含んでもよい。例えば、医療スタッフは、医療機器10に医療処置を実行させるために必要な1つの認可レベルを有してもよい。しかし、技術者は、医療機器10に医療処置を実行させることを認可されなくてもよい。しかし、技術者は、医療機器10を試験モードで動作し、ソフトウェアを更新し、サービスモード又は特権モードに入ることなどを認可されてもよい。よって、応答コードは、ユーザがどの機能にアクセスしてもよいかを示す追加情報を含んでもよい。言い換えると、いくつかの実施形態では、認可することS7は、応答コードに含まれる情報に依存して、異なるレベルのアクセスをユーザ2に認可することを含む。いくつかの実施形態では、認可することは、ユーザ2に、1つ以上のセッションへの特定のアクセス・レベルを認可することを含み、1つのセッションは例えば、1つの治療セッション又はサービス・セッションである。アクセス・レベル(例えば、応答コードによって規定される)に依存して、その後、ユーザは、臨床限界の調整、デフォルト値の調整、セッションのための治療設定の調整、及び医療処置の開始のような所定の動作を実行してもよい。
いくつかの実施形態では、認可することは、一時的な非通常使用を認可するためのユーザ2への認可を含む。非通常使用は例えば、正常限界外のセッションを実行すること、例えば、所定の監視又は安全システムをオフにすることを含む。非通常使用の別の例は、例えば非臨床デモンストレーション又はトラブルシューティングのために、専用ソフトウェアをインストールすることである。
いくつかの実施形態では、認可することは、所定の用途のために医療機器をロック解除することを含む。言い換えると、応答コードは、例えば医療機器内の所定の機能をロック解除してもよい商業情報のような他の情報も含んでもよい。このようにして、認証サーバは、医療機器10を制御してもよい。1つの特定の例は、医療機器が以前にブロックされていたならば、医療機器が臨床使用のためにロック解除されてもよい。
上記のすべての例は基本的に、提案される方法が、認証されたデータを認証サーバから医療機器10へ送信することを可能にすることに基づいている。
応答コードでは、「機関認証された」データを医療機器10に伝達することさえ可能である。すなわち、認証されていないユーザであったとしても機器に入力することが認可されるデータを送信することができる。これは、例えば、(例えば、機器が、例えばデモンストレーションのための非臨床ソフトウェアも有しているならば)臨床使用の認可、拡張使用(例えば、基本構成では医療機器が承認されていない新生児使用)、又は何らかの商業オプションの購入でありうる。これにより、重要なデータが組織内で集中的に制御されてもよく、これは、個々のユーザに制御を委譲するよりもセキュアである。
上述したように、提案される方法は、典型的には1回の使用を意図したものである。それゆえ、応答コードは、所定の期間のみ有効であってもよい。時間は事前に規定されていてもよいし、応答コードに含まれる情報によって規定されていてもよい。期間は、絶対量であってもよい。例えば、それは、チャレンジが提供された時点S3、又は応答コードが最初に入力された時点で開始してもよい。これに代えて、医療機器10における時刻に対して相対的に期間が決定されてもよく、これは、医療機器10のクロックと認証サーバのクロックとが同期していることを要求する。言い換えると、いくつかの実施形態では、認可することS7は、所定の期間中にアクセスを認可することを含む。しかし、本方法は、同期されたクロックを要求しないことに留意されなければならない。
セキュリティを高めるために、一時的機器非対称鍵ペアは、1回の認証についてのみ有効であるべきである。それゆえ、アクセスをユーザに認可した後、一時的機器非対称鍵ペアは無効にされるべきである。これに代えて、これは、事前に決定された期間の後に行われてもよい。言い換えると、いくつかの実施形態では、本方法は、一時的機器非対称鍵ペアを破棄にすることS8を含む。例えば、一時鍵ペアは、削除されるか、任意の他の方法で無効にされる。
図5は、認証サーバ20で使用されるための対応する方法のフローチャートを説明する。本方法が認証サーバ20で使用されるためのものであることは、本方法の方法ステップが、認証サーバ20内の1つ以上の構成要素によって、例えばプロセッサ21によって実行されることを意味する。本方法は、認証サーバ20のメモリ23に記憶されたプログラム・コードとして実施されてもよい。本方法のステップは、コンピュータ・プログラムで規定されてもよく、コンピュータ・プログラムは、プログラムがコンピュータ、例えばプロセッサ21によって実行される場合に、コンピュータに本方法を実行させる命令を含む。
本方法は典型的に、医療機器10にアクセスすることを望むユーザが医療機器10からチャレンジを受け、医療機器10にアクセスするために有効な応答コードを必要とする場合に実行される。これは、例えば、医療機器10がインターネットに接続されていない場合、又はアクセスを自動的に許可しうる任意のサービス・システムに少なくとも接続されていない場合であってもよい。言い換えると、いくつかの実施形態では、医療機器10は、認証サーバ20からオフラインである。
本方法は、ユーザがサーバ・ユーザ・インタフェース25を使用して認証サーバ20と対話することを要求する。これは、医療機器10にアクセスしようとしているのと必ずしも同じ人である必要はないことに留意されなければならない。原理上は、医療機器10にアクセスすることを望む技術者は、認証サーバ20のサーバ・ユーザ・インタフェース25にアクセスできる人に電話をかけてもよい。このような状況では、チャレンジ及び応答コードが電話を介して通信されてもよい。もちろん、これは、認証サーバ20にアクセスできる人が技術者を認識し、その人が信頼されていることを保証できることを要求する。
上述したように、提案される解決策は、認証サーバ20が機関秘密鍵dBを記憶するという概念に基づいている。言い換えると、本方法は、認証サーバ20に関連する機関非対称鍵ペアの機関秘密鍵dBを記憶することS20を含む。機関公開鍵QBを記憶しない認証サーバ20はまた、他のデバイスとのセキュアな通信を確立するためが必要とされるかもしれないので、機関公開鍵QBを記憶してもよい。しかし、これは、提案される方法を実行するために要求されない。
チャレンジを得たユーザは、まず、認証サーバ20にログインしなければならない。言い換えると、ユーザは、自分のアイデンティティを証明する必要がある。これは、クレデンシャルを使用するか、デジタル証明書のようなよりセキュアな認証方法を使用するような、任意の従来の方法で行われうる。しかし、認証サーバ20は、例えば病院ITシステム又は製造者サービス・システムのような別のシステムの一部であるので、このタイプの機能は典型的に、すでに配置済みであり、アクティブ・ユーザに関する最近の変更によっていかにしても更新されなければならない。言い換えると、本方法は、ユーザ2を認証すること21をさらに含む。認証は、典型的に、ヒューマン‐マシン・インタフェースであってもよいサーバ・ユーザ・インタフェース25、又はユーザのユーザ・デバイスと通信するように構成されたマシン・マシン・インタフェースを介して行われる。
本方法は、典型的に、ユーザによって開始される。ユーザは例えば、「アクセス・デバイス」又は同様のもののような特定の機能を選択する必要があってもよい。その後、ユーザは、医療機器10から取得したチャレンジを入力するように要求される。言い換えると、本方法は、認証サーバが、医療機器10に関連する一時的機器非対称鍵ペアの機器公開鍵QAを示す認可チャレンジを、サーバ・ユーザ・インタフェース25を介してユーザ2から受けることS22を含む。
認可サーバ20は、チャレンジとユーザの認証とに基づいて、応答コードを作成する。言い換えると、本方法は、共有鍵K(QB,dA)を使用して暗号化された有効性情報を含む応答コードを、サーバ・ユーザ・インタフェース25を介してユーザ2に提供することS26を有し、共有鍵は、記憶された機関秘密鍵dBと機器公開鍵QAとを使用して認証サーバ20において導出される。応答コードは、上述のように、チャレンジを生成した医療機器10にアクセスする、すなわちロック解除するために使用されてもよい。これをさらに詳細に説明する。
受けられたチャレンジは、記憶された機関秘密鍵dBと組み合わされて、ユーザに戻されるメッセージ、認証コードを暗号化するために使用される共有鍵Kとなる機器公開鍵QAを含む(すなわち、備える)。言い換えると、認証サーバ20は、記憶された機関秘密鍵dBと、受信された機器公開鍵QAとを使用して、共有鍵を生成するS23。また、認証サーバ20は例えば、認証することと、場合によってはチャレンジに含まれる他のパラメータとに基づいて、有効性情報を含む応答コードを決定するS24。これらの他のパラメータは例えば、医療機器1のデバイス識別子I、医療機器1のアドレス、又は何らかの他の情報である。
認証サーバ20は、典型的に、ユーザ及び様々な医療機器に関する多くのデータを有する。それゆえ、医療機器10は、ユーザが例えば、1のデバイス識別子I又はチャレンジに含まれるアドレスによって識別される特定の医療機器10にアクセスすることを信用されているか否かを判定してもよい。また、いくつかの実施形態では、認証されたユーザのアクセス、時刻に基づいて、異なるレベルのアクセスが決定される。いくつかの実施形態では、認可サーバ20は、ユーザの位置を知っている。その場合、ユーザの位置が、ユーザがアクセスすることを望む医療機器10の位置に対応する場合にのみ、アクセスが許可されてもよい。言い換えると、いくつかの実施形態では、決定することS24は、医療機器1のデバイス識別子I、医療機器1のアドレス、ユーザ2の認可レベル、時間パラメータ、及び/又はユーザ2の位置に基づいて応答コードを決定することを含む。
認証サーバ20は応答コードを作成し、これは、事前に同意された検証サーバと、場合によっては何らかの追加情報とを含む。上述のように、医療機器10が認証有効性情報を検証することを可能にする情報は例えば、医療機器1のデバイス識別子I又は医療機器のアドレスのような、チャレンジに含まれる何らかの情報であってもよい。これに代えて、これは何らかの事前に合意されたデータ、又は事前に合意されたルールによって算出されたデータであってもよい。有効性情報に加えて、応答コードに他のデータが追加されてもよい。他のデータは、ユーザのアイデンティティ又はアクセスについて医療機器に通知してもよい。例えば、他のデータは、アクセス・レベルを指定してもよく、又は医療機器10内の所定の機能をロック解除する商業情報を含んでさえいてもよい。1つの例示的な実施形態では、所定の医療用途のために医療機器をロック解除する情報が送信されてもよい。
その後、認証サーバ20は、生成された共有鍵K(QA,dB)を使用して、決定された応答コード(又は少なくとも有効性情報)を復号しS25、暗号化された応答コードをサーバ・ユーザ・インタフェース25上に表示する。いくつかの実施形態では、共有鍵K(QA,dB)は対称暗号方式であり、よって、応答コードは元のメッセージ、例えば有効性情報よりも長い必要はない。チャレンジ‐応答トランザクションにおけるデータの長さは、ユーザが手動でメッセージを転送しなければならない場合に重要である。
医療機器10がユーザのアイデンティティを認識しないので、認証サーバは、ユーザを追跡しなければならない。よって、作成されたすべての応答コードの記録が、典型的に、タイムスタンプ及びユーザ識別情報とともに認証サーバ20に記憶されるべきである。このようにして、どのユーザが特定の医療機器10にいつアクセスしたかを見つけることは非常に容易である。言い換えると、いくつかの実施形態では、本方法は、認証に関連する情報をログに記録することS27を含む。
上述のプロトコルでは、保護される必要がある鍵は1つだけ、すなわち記憶された機関秘密鍵dBだけである。公開鍵は、応答コードを生成するのに十分ではなく、機器公開鍵dAは、医療機器10内で一時的にのみ存続し、新たな機器非対称鍵ペアがトランザクションごとに生成される。1つの医療機器10を分解し、ソースコードを逆コンパイルし、内部ストレージ内のすべてのデータを読み取ることは、機関公開鍵QBを明らかにするだけであり、これは、別の医療機器10に侵入するのに十分でなく、認証が次回実行される際に同じ医療機器10に侵入するのにさえ十分でない。
さらに、提案される方法は、鍵ペアが実用上任意の情報を転送するために使用されうるので、暗号化されたデータのデバイスから機関への転送、又はその反対の転送を可能にし、許可する。
本開示はまた、上述した方法(図4)の態様のいずれかを実行するように構成された対応する制御装置16にも関する。例えば、制御装置16のプロセッサ161は、これを実現するために、メモリ163に記憶されたコンピュータ・プログラムを実行するように構成される。よって、本書で言及される方法は、典型的に、プログラムとして実施される。
より具体的には、制御装置16は、認証サーバ20に関連する機関非対称鍵ペアの機関公開鍵QBを記憶し、医療機器10で生成された一時的機器非対称鍵ペアの機器公開鍵QAを示す認可チャレンジを、機器ユーザ・インタフェースを介してユーザ2に提供することを医療機器10に行わせるように構成される。
制御装置16はまた、機関非対称鍵ペアの機関秘密鍵dBと、提供された機器公開鍵QAとから導出可能な共有鍵を使用して暗号化された有効性情報を含む応答コードを、機器ユーザ・インタフェースを介してユーザ2から受け、同じ共有鍵であるが、記憶された機関公開鍵QBと、一時的機器非対称鍵ペアの機器秘密鍵dAとを使用して医療機器10において導出された共有鍵を使用して復号された有効性情報が有効であることに応じて、医療機器10へのアクセスをユーザ2に認可するように構成される。
いくつかの実施形態では、ユーザ・インタフェースは、ヒューマン‐マシン・インタフェース、又はユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである。
いくつかの実施形態では、制御装置16は、応答コードに含まれる情報に依存して、ユーザ2の異なるアクセス・レベルを認可するように構成される。
いくつかの実施形態では、制御装置16は、1つ以上のセッションへの所定のアクセスを認可することと、特定の用途のために医療機器をロック解除することと、一時的な非通常用途を認可することとのうちの少なくとも1つについてアクセスをユーザ2に認可するように構成される。
いくつかの実施形態では、制御装置16は、所定の期間中にアクセスを認可するように構成される。
いくつかの実施形態では、制御装置16は、機器ユーザ・インタフェースを介して、ユーザ2へのアクセスの認可を開始するユーザ入力を受けるように構成される。
いくつかの実施形態では、制御装置16は、一時的機器非対称鍵ペアを破棄にするS8ように構成される。
いくつかの実施形態では、医療機器10は、認証サーバ20からオフラインである。
本開示はまた、上述の方法(図5)のすべての態様を実行するように構成された認証サーバ20に関する。例えば、認証サーバ20のプロセッサ21は、これを実現するために、メモリ23に記憶されたコンピュータ・プログラムを実行するように構成される。
より詳細には、認証サーバ20は、認証サーバ20に関連する機関非対称鍵ペアの機関秘密鍵dBを記憶し、ユーザ2を認証するように構成される。また、認証サーバ20は、サーバ・ユーザ・インタフェース25を介してユーザ2から、医療機器10に関連する一時的機器非対称鍵ペアの機器公開鍵QAを示す認可チャレンジを受け、共有鍵を使用して暗号化された有効性情報を含む応答コードを、サーバ・ユーザ・インタフェース25を介してユーザ2に提供するように構成され、共有鍵は、記憶された機関秘密鍵dBと、機器公開鍵QAとを使用して認証サーバ20において導出される。
いくつかの実施形態では、サーバ・インタフェースは、ヒューマン‐マシン・インタフェース、又はユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである。
いくつかの実施形態では、認証サーバは、ユーザ2の認可レベル、時間パラメータ、及びユーザ2の位置のうちの少なくとも1つに基づいて応答コードを決定するように構成される。
いくつかの実施形態では、認証サーバは、認証に関連する情報をログに記録するように構成される。
図6aは、提案される技術が実施されてもよい医療機器10、10´を説明する。医療機器10、10´は例えば、血液透析、血液透析濾過、血液濾過、又は限外濾過のような腎代替療法の一部として、体外血液処置を実行する医療処置に関与されてもよい。10で示される医療機器は血液処理装置であり、これは、例えば血管アクセスにおいて、対象100の循環系に接続するための脱血ライン11A及び返血ライン11Bを備える。矢印で示すように、医療機器10は、対象100(例えば、人間)から血液を抜き取り、血液を処理し、処理された血液を制御された方法で対象100に戻すように動作可能である。10´で示される医療機器は、血液処理装置10によって使用される流体を準備するように動作可能であり、流体を血液処理装置10に供給するための流体ライン11を備える。一例では、医療機器10´は、水調製装置であり、流体は精製水である。例えば、水処理装置10´は、当技術分野で知られているように、逆浸透によって、入ってくる水を濾過してもよい。
図示の簡略化された例では、医療機器10は、対象100に接続するための流体ライン11と、機器ユーザ・インタフェース19と、制御装置16と、流体ライン11を介して対象100に医療流体を制御送達するための1つ以上のアクチュエータ17と、注入ポンプによって実行される注入プロセスを示すセンサ・データを提供するための1つ以上のセンサ18とを備える。アクチュエータ17及びセンサ18は、医療機器10の内部構成要素(破線で示す)又は外部構成要素、あるいはその両方を含んでもよい。機器ユーザ・インタフェース19は、ディスプレイ12と、制御ボタン13(1つを図示)と、インジケータ・ランプ14と、スピーカ15とを備える。
アクチュエータ17は例えば、医療処置を実行する間に使用されるバルブ、ポンプ及び/又はヒータを制御するように構成される。言い換えると、アクチュエータ17は、医療処置を制御するように構成される。
制御装置16は、血液処理装置の意図された医療処置を実行するために、ならびに医療処置に関連して必要に応じてディスプレイ12、インジケータ・ランプ14、及びスピーカ15を動作させるために、アクチュエータ17及びセンサ18の動作を調整し、制御ボタン13を介してユーザ入力を取得するように構成される。例えば、ディスプレイ12は、医療機器10のユーザに命令を提示するように動作されてもよく、インジケータ・ランプ14は、医療機器の状態を示すように動作されてもよく、スピーカ15は、アラーム信号などを発生するように動作されてもよい。
医療機器10は、いかなるリモート・システムにも接続されていない。それゆえ、医療機器はオフラインである。特に、これは認証システム20(図2b)からオフラインである。
医療機器10´は、図示された詳細レベルにおいて、医療機器10と同様の構成要素の集合を有してもよく、これ以上説明しない。医療機器10、10´は、簡潔にするために本書では説明しない、図示されているよりも多くの構成要素を含んでもよい。
医療機器10,10´は、体外血液処理を行う医療処置に関与される。それゆえ、患者のセキュリティに起因して、信頼できるユーザのみが医療機器10、10´にアクセスすることが認可されることは、そのようなアクセスが将来の処置を危険にさらす可能性があるため、非常に重要である。
図6bは、両頭矢印によって示されるように、制御された方法で対象100の腹腔に透析液を送達し、続いて、そこから透析液を除去するように動作可能である別の例示的な医療機器10を説明する。この医療処置は自動腹膜透析として一般に知られており、医療機器10はしばしば「PDサイクラ」と呼ばれる。図6bの医療機器10は、図6aの医療機器10と比較して、図示された詳細レベルで、同様の(しかし、典型的には低減された)構成要素の集合を有してもよい。
図6cは、矢印によって示されるように、制御された方法で、人間のような対象100の身体に、例えば対象100の循環系に、医療流体を送達するように動作可能であるさらなる例示的な医療機器10を説明する。医療流体は、薬物及び/又は栄養素を含むがこれらに限定されない任意の適切な液体であってもよい。このタイプの医療機器10は、一般に「注入ポンプ」として知られている。図6cの医療機器10は、図示された詳細レベルで、図6bの医療機器10と同様の構成要素の集合を有してもよく、これ以上説明しない。図6cの医療機器10は、簡潔にするために本書では説明しない、図示されているよりも多くの構成要素を含んでもよい。

Claims (29)

  1. 機器インタフェースを介して、認証サーバ(20)からオフラインである医療機器(10)へのアクセスをユーザ(2)に認可するための方法であって、前記医療機器(10)において、
    ‐前記認証サーバ(20)に関連する機関非対称鍵ペアの機関公開鍵(QB)を記憶すること(S0)と、
    ‐ユーザが前記医療機器にアクセスすることを望むごとに、前記医療機器(10)で生成された一時的機器非対称鍵ペアの機器公開鍵(QA)を示す認可チャレンジを、前記機器インタフェースを介して前記ユーザ(2)に提供すること(S3)であって、前記認可チャレンジは、前記認証サーバ(20)が前記医療機器(10)を識別することを可能にする機器識別情報を含む、ことと、
    ‐前記機関非対称鍵ペアの機関秘密鍵(dB)と、前記提供された機器公開鍵(QA)とから導出可能な共有鍵を使用して暗号化された有効性情報を含む応答コードを、前記機器インタフェースを介して前記ユーザ(2)から受けること(S4)と、
    ‐同じ共有鍵であるが、前記記憶された機関公開鍵(QB)と、前記一時的機器非対称鍵ペアの機器秘密鍵(dA)とを使用して前記医療機器(10)において導出された共有鍵を使用して復号された前記有効性情報が有効であることに応じて、前記医療機器(10)へのアクセスを前記ユーザ(2)に認可すること(S7)と、を有する方法。
  2. 請求項1に記載の方法であって、前記機器インタフェースは、ヒューマン‐マシン・インタフェース、又は前記ユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである、方法。
  3. 請求項1又は2に記載の方法であって、前記認可すること(S7)は、前記応答コードに含まれる情報に依存して、異なるレベルのアクセスを前記ユーザ(2)に認可することを含む、方法。
  4. 請求項1乃至3の何れか1項に記載の方法であって、前記認可することは、1つ以上のセッションへの所定のアクセスを認可することと、所定の用途のために前記医療機器をロック解除することと、一時的な非通常使用を認可することとのうちの少なくとも1つについての前記ユーザ(2)への認可を含む、方法。
  5. 請求項1乃至4の何れか1項に記載の方法であって、前記認可すること(S7)は、所定の期間中にアクセスを認可することを含む、方法。
  6. 請求項1乃至5の何れか1項に記載の方法であって、
    ‐前記ユーザ(2)へのアクセスの認可を開始するユーザ入力を受けること(S1)を有する、方法。
  7. 請求項1乃至6の何れか1項に記載の方法であって、
    ‐前記一時的機器非対称鍵ペアを破棄すること(S8)を有する、方法。
  8. サーバ・ユーザ・インタフェース(25)を介して、認証サーバ(20)からオフラインである医療機器(10)へのアクセスをユーザ(2)に認可するための方法であって、前記方法は、前記認証サーバ(20)において、
    ‐前記認証サーバ(20)に関連する機関非対称鍵ペアの機関秘密鍵(dB)を記憶すること(S20)と、
    ‐前記ユーザ(2)を認証すること(S21)と、
    ‐前記医療機器(10)に関連する一時的機器非対称鍵ペアの機器公開鍵(QA)を示し、ユーザが前記医療機器にアクセスすることを望むごとに前記医療機器(10)において生成される認可チャレンジを、前記サーバ・ユーザ・インタフェース(25)を介して前記ユーザ(2)から受けること(S22)であって、前記認可チャレンジは、前記認証サーバ(20)が前記医療機器(10)を識別することを可能にする機器識別情報を含む、ことと、
    ‐共有鍵を使用して暗号化された有効性情報を含む応答コードを、前記サーバ・ユーザ・インタフェース(25)を介して前記ユーザ(2)に提供すること(S26)であって、前記共有鍵は、前記記憶された機関秘密鍵(dB)と、前記機器公開鍵(QA)とを使用して前記認証サーバ(20)において導出される、ことと、を有する方法。
  9. 請求項8に記載の方法であって、前記サーバ・ユーザ・インタフェースは、ヒューマン‐マシン・インタフェース、又は前記ユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである、方法。
  10. 請求項8又は9に記載の方法であって、前記方法は、前記ユーザ(2)の認可レベルと、時間パラメータと、前記ユーザ(2)の位置とのうちの少なくとも1つに基づいて、前記応答コードを決定すること(24)を有する、方法。
  11. 請求項8乃至10の何れか1項に記載の方法であって、
    ‐前記認証に関連する情報をログに記録すること(S27)を有する、方法。
  12. 請求項1乃至11の何れか1項に記載の方法であって、前記機関非対称鍵ペア及び前記一時的機器非対称鍵ペアは、前記機関非対称鍵ペア及び前記一時的機器非対称鍵ペアの一方の秘密鍵(p)を、前記機関非対称鍵ペア及び前記一時的機器非対称鍵ペアの他方の公開鍵(Q)とともに使用する場合に、反対の場合と同じ共有鍵が導出されるように生成される、方法。
  13. 請求項1乃至12の何れか1項に記載の方法であって、前記共有鍵は、ディフィー‐ヘルマン関数を使用して導出される、方法。
  14. 請求項1乃至13の何れか1項に記載の方法であって、前記機関非対称鍵ペア及び前記一時的機器非対称鍵ペアは、楕円曲線暗号方式(ECC)、又はリベスト‐シャミア‐エーデルマン(RSA)を使用して生成される、方法。
  15. 請求項1乃至14の何れか1項に記載の方法であって、前記有効性情報は、前記医療機器(1)のデバイス識別子と、前記医療機器(1)のアドレスと、事前に規定されたデータ・シーケンスと、事前に規定されたルールを使用して決定されたデータ・シーケンスとのうちの少なくとも1つを含む、方法。
  16. 医療機器(10)であって、
    ‐機器インタフェース(19)と、
    ‐認証サーバ(20)に、
    ・前記医療機器(10)からオフラインである認証サーバ(20)に関連する機関非対称鍵ペアの機関公開鍵(QB)を記憶することと、
    ・ユーザが前記医療機器にアクセスすることを望むごとに、前記医療機器(10)で生成された一時的機器非対称鍵ペアの機器公開鍵(QA)を示す認可チャレンジを、前記機器インタフェースを介して前記ユーザ(2)に提供することであって、前記認可チャレンジは、前記認証サーバ(20)が前記医療機器(10)を識別することを可能にする機器識別情報を含む、ことと、
    ・前記機関非対称鍵ペアの機関秘密鍵(dB)と、前記提供された機器公開鍵(QA)とから導出可能な共有鍵を使用して暗号化された有効性情報を含む応答コードを、前記機器インタフェースを介して前記ユーザ(2)から受けることと、
    ・同じ共有鍵であるが、前記記憶された機関公開鍵(QB)と、前記一時的機器非対称鍵ペアの機器秘密鍵(dA)とを使用して前記医療機器(10)において導出された共有鍵を使用して復号された前記有効性情報が有効であることに応じて、前記医療機器(10)へのアクセスを前記ユーザ(2)に認可することと、
    を行わせるように構成された制御装置(16)と、を備える医療機器(10)。
  17. 請求項16に記載の医療機器(10)であって、前記機器インタフェースは、ヒューマン‐マシン・インタフェース、又は前記ユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである、医療機器(10)。
  18. 請求項16又は17に記載の医療機器(10)であって、前記制御装置(16)は、前記応答コードに含まれる情報に依存して、異なるレベルのアクセスを前記ユーザ(2)に認可するように構成される、医療機器(10)。
  19. 請求項16乃至18の何れか1項に記載の医療機器(10)であって、前記制御装置(16)は、1つ以上のセッションへの所定のアクセスを認可することと、所定の用途のために前記医療機器をロック解除することと、一時的な非通常使用を認可することとのうちの少なくとも1つについてアクセスを前記ユーザ(2)に認可するように構成される、医療機器(10)。
  20. 請求項16乃至19の何れか1項に記載の医療機器(10)であって、前記制御装置(16)は、所定の期間中にアクセスを認可するように構成される、医療機器(10)。
  21. 請求項16乃至20の何れか1項に記載の医療機器(10)であって、前記制御装置(16)は、
    ‐前記ユーザ(2)へのアクセスの認可を開始するユーザ入力を、前記機器インタフェースを介して受けるように構成される、医療機器(10)。
  22. 請求項16乃至21の何れか1項に記載の医療機器(10)であって、前記制御装置(16)は、
    ‐前記一時的機器非対称鍵ペアを破棄するように構成される、医療機器(10)。
  23. サーバ・ユーザ・インタフェース(25)を備える認証サーバ(20)であって、前記認証サーバ(20)は、
    ・前記認証サーバ(20)に関連する機関非対称鍵ペアの機関秘密鍵(dB)を記憶することと、
    ・ユーザ(2)を認証することと、
    ・前記認証サーバ(20)からオフラインである医療機器(10)に関連する一時的機器非対称鍵ペアの機器公開鍵(QA)を示し、ユーザが前記医療機器(10)にアクセスすることを望むごとに前記医療機器(10)において生成される認可チャレンジを、前記サーバ・ユーザ・インタフェース(25)を介して前記ユーザ(2)から受けることであって、前記認可チャレンジは、前記認証サーバ(20)が前記医療機器(10)を識別することを可能にする機器識別情報を含む、ことと、
    ・共有鍵を使用して暗号化された有効性情報を含む応答コードを、前記サーバ・ユーザ・インタフェース(25)を介して前記ユーザ(2)に提供することであって、前記共有鍵は、前記記憶された機関秘密鍵(dB)と、前記機器公開鍵(QA)とを使用して前記認証サーバ(20)において導出される、ことと、
    を行うように構成される、認証サーバ(20)。
  24. 請求項23に記載の認証サーバ(20)であって、前記サーバ・ユーザ・インタフェースは、ヒューマン‐マシン・インタフェース、又は前記ユーザのユーザ・デバイスと通信するように構成されたマシン‐マシン・インタフェースである、認証サーバ(20)。
  25. 請求項23又は24に記載の認証サーバ(20)であって、前記認証サーバ(20)は、前記ユーザ(2)の認可レベルと、時間パラメータと、前記ユーザ(2)の位置とのうちの少なくとも1つに基づいて、前記応答コードを決定するように構成される、認証サーバ(20)。
  26. 請求項23乃至25の何れか1項に記載の認証サーバ(20)であって、前記認証サーバ(20)は、前記認証に関連する情報をログに記録するように構成されること(S27)を有する、認証サーバ(20)。
  27. コンピュータで動作された場合に、請求項1乃至7又は8乃至15の何れか1項に記載の方法を前記コンピュータに実行させるコード手段を特徴とするコンピュータ・プログラム。
  28. 請求項27に記載のコンピュータ・プログラムが記憶されているコンピュータ可読媒体。
  29. 請求項16乃至22の何れか1項に記載の医療機器(10)と、請求項23乃至26の何れか1項に記載の認証サーバ(20)とを備えるシステム。
JP2022526493A 2019-12-19 2020-12-14 医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法 Active JP7634007B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE1951502-2 2019-12-19
SE1951502 2019-12-19
PCT/EP2020/085946 WO2021122440A1 (en) 2019-12-19 2020-12-14 A medical equipment, an authentication server and methods for authorizing a user access to an equipment via an equipment user interface

Publications (2)

Publication Number Publication Date
JP2023505945A JP2023505945A (ja) 2023-02-14
JP7634007B2 true JP7634007B2 (ja) 2025-02-20

Family

ID=74068269

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022526493A Active JP7634007B2 (ja) 2019-12-19 2020-12-14 医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法

Country Status (8)

Country Link
US (1) US12225112B2 (ja)
EP (1) EP4079020B1 (ja)
JP (1) JP7634007B2 (ja)
KR (1) KR20220111689A (ja)
CN (1) CN114902608B (ja)
AU (1) AU2020405942B2 (ja)
BR (1) BR112022012037A2 (ja)
WO (1) WO2021122440A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11736466B2 (en) * 2019-09-18 2023-08-22 Bioconnect Inc. Access control system
US12088696B2 (en) * 2021-10-27 2024-09-10 Salesforce, Inc. Protecting application private keys with remote and local security controllers and local MPC key generation
WO2023242392A1 (en) * 2022-06-17 2023-12-21 3Shape A/S Dental system, devices and method of securing communication for a user application
US12463965B2 (en) 2022-09-01 2025-11-04 Biosense Webster (Israel) Ltd. Online authentication for medical devices
EP4651433A1 (en) * 2024-05-14 2025-11-19 Roche Diabetes Care GmbH A method and system for medical device identity and access management
CN118690390A (zh) * 2024-06-24 2024-09-24 南京崇力科技有限公司 一种智慧医疗信息数据加密方法、系统、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003069490A1 (fr) 2002-02-13 2003-08-21 Hideharu Ogawa Procede et systeme d'authentification de l'utilisateur
JP2007272364A (ja) 2006-03-30 2007-10-18 Cse:Kk オフラインユーザ認証システム、その方法、およびそのプログラム
CN107810617A (zh) 2015-06-30 2018-03-16 维萨国际服务协会 机密认证和供应
WO2019060281A1 (en) 2017-09-19 2019-03-28 Abiomed, Inc. SYSTEMS AND METHODS FOR SINGLE USE TEMPORARY PASSWORD MANAGEMENT FOR A MEDICAL DEVICE
JP2019180037A (ja) 2018-03-30 2019-10-17 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8046587B2 (en) * 2005-12-12 2011-10-25 Qualcomm Incorporated Method off-line authentication on a limited-resource device
WO2014009876A2 (en) * 2012-07-09 2014-01-16 Debiotech S.A. Communication secured between a medical device and its remote device
EP2755364A1 (en) * 2013-01-11 2014-07-16 ST-Ericsson SA Authentication systems
FR3002346B1 (fr) * 2013-02-15 2015-03-06 Voluntis Procede et systeme de surveillance a distance d'un dispositif medical logiciel
US10645077B2 (en) * 2013-12-02 2020-05-05 Thales Dis France Sa System and method for securing offline usage of a certificate by OTP system
BR112017002747A2 (pt) * 2014-08-29 2018-01-30 Visa Int Service Ass método implementado por computador, e, sistema de computador.
CN108432203B (zh) * 2015-12-17 2021-07-23 费森尤斯维尔公司 用于服务器与医疗设备之间的密钥分发的方法和系统
US9980140B1 (en) * 2016-02-11 2018-05-22 Bigfoot Biomedical, Inc. Secure communication architecture for medical devices
US20170277831A1 (en) * 2016-03-25 2017-09-28 Evan Ruff System and method for generating, storing and accessing secured medical imagery
US10313137B2 (en) * 2016-07-05 2019-06-04 General Electric Company Method for authenticating devices in a medical network
KR101952628B1 (ko) 2017-06-02 2019-02-27 (주) 위너다임 샌드박스가 적용된 실행 가능한 보안 컨테이너를 이용한 콘텐츠 보안유통방법
US11153076B2 (en) * 2017-07-17 2021-10-19 Thirdwayv, Inc. Secure communication for medical devices
EP3506137A1 (en) * 2017-12-28 2019-07-03 BlueID GmbH User authentication at an offline secured object
EP3451342B1 (en) * 2018-05-17 2025-07-30 Siemens Healthineers AG Secure delivery of patient's image and consent data
US11108762B2 (en) * 2018-06-05 2021-08-31 The Toronto-Dominion Bank Methods and systems for controlling access to a protected resource
CN110289961B (zh) * 2019-07-02 2022-07-15 石家庄铁道大学 远程医疗认证方法
CN110380986B (zh) * 2019-07-23 2022-05-10 中南民族大学 基于Zuul的流量限制方法、装置、设备及存储介质
CN115943607A (zh) * 2020-06-19 2023-04-07 豪夫迈·罗氏有限公司 用于医疗设备之间的安全互操作性的方法和系统
US12242586B2 (en) * 2021-01-19 2025-03-04 Mozarc Medical Us Llc USB-based authentication device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003069490A1 (fr) 2002-02-13 2003-08-21 Hideharu Ogawa Procede et systeme d'authentification de l'utilisateur
JP2007272364A (ja) 2006-03-30 2007-10-18 Cse:Kk オフラインユーザ認証システム、その方法、およびそのプログラム
CN107810617A (zh) 2015-06-30 2018-03-16 维萨国际服务协会 机密认证和供应
WO2019060281A1 (en) 2017-09-19 2019-03-28 Abiomed, Inc. SYSTEMS AND METHODS FOR SINGLE USE TEMPORARY PASSWORD MANAGEMENT FOR A MEDICAL DEVICE
JP2019180037A (ja) 2018-03-30 2019-10-17 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム

Also Published As

Publication number Publication date
AU2020405942B2 (en) 2025-11-13
EP4079020A1 (en) 2022-10-26
US20240031133A1 (en) 2024-01-25
JP2023505945A (ja) 2023-02-14
CN114902608B (zh) 2025-05-23
BR112022012037A2 (pt) 2022-09-06
EP4079020B1 (en) 2026-02-25
KR20220111689A (ko) 2022-08-09
AU2020405942A1 (en) 2022-06-09
CN114902608A (zh) 2022-08-12
US12225112B2 (en) 2025-02-11
WO2021122440A1 (en) 2021-06-24
CA3156144A1 (en) 2021-06-24

Similar Documents

Publication Publication Date Title
JP7634007B2 (ja) 医療機器、認証サーバ、及び機器ユーザ・インタフェースを介して機器へのアクセスをユーザに認可するための方法
US12452070B2 (en) Method and system for secure interoperability between medical devices
EP3639274B1 (en) A dialysis machine, external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment
JP2020518192A (ja) セキュアに配布する医療処方
US12614634B2 (en) Method and system of a remote control respiratory therapy
CA3156144C (en) A medical equipment, an authentication server and methods for authorizing a user access to an equipment via an equipment user interface
US11671260B2 (en) Expiring software key for unlocking a mode on a device
US20250200164A1 (en) Usb-based authentication device
CN114342316B (zh) 使用元数据签名对计算系统认证的方法、系统和计算机可读介质
US20230005592A1 (en) Authentication to medical device via mobile application
WO2018229129A1 (en) A dialysis machine, external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment
HK40091998A (zh) 用於医疗设备之间的安全互操作性的方法和系统
WO2020120742A1 (en) Pairing a dialysis machine and external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220712

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230905

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241004

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250207

R150 Certificate of patent or registration of utility model

Ref document number: 7634007

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150