本申请要求于2016年1月28日提交的题为“可植入医疗设备系统中的安全授权”的美国临时申请号62/288,053的优先权,其内容通过引用并入本文。
本发明一般涉及可植入医疗设备系统中的无线通信。
背景技术:
包括一个或多个可植入部件的可植入医疗设备系统为接受者提供范围广泛的治疗益处。多年以来,可植入医疗设备系统的类型和由此执行的功能范围已经增加。例如,许多可植入医疗设备系统现在通常包括一个或多个仪器、装置、传感器、处理器、控制器、或永久或临时植入接受者体内的其他功能性机械或电气部件。这些功能部件执行疾病或损伤或其症状的诊断、预防、监测、治疗或管理,或研究、替换或修改解剖结构或生理过程。
技术实现要素:
在一个方面中,提供了一种方法。该方法包括:经由中间移动设备在可植入医疗设备系统和与可植入医疗设备系统的制造商相关联的中央系统之间建立间接安全通信信道;以及使用间接安全通信信道来授权用户经由外部设备无线地控制可植入医疗设备系统的一个或多个功能。
附图说明
结合附图在本文中对本发明的实施例进行描述,其中:
图1是图示了根据本文中所提出的实施例的耳蜗植入物系统的示意图。
图2是根据本文所提出的实施例的利用耳蜗植入物系统操作的外部设备的框图。
图3是根据本文中所提出的实施例的耳蜗植入物系统的声音处理单元的框图。
图4是图示了根据本文中所提出的实施例的通信的流程图;以及
图5是根据本文中所提出的实施例的方法的流程图。
具体实施方式
普遍使用智能手机、遥控器和其他移动电子设备,并且这些设备越来越多地成为许多人日常生活中不可或缺的部分。如此,可能希望使得可植入医疗设备系统的接受者(诸如耳蜗植入物系统的接受者)能够使用智能电话、遥控器或其他移动电子设备(例如,使用标准无线通信协议)无线地控制可植入医疗设备系统的设置。为了准许对可植入医疗设备系统的控制,应当确保控制实体和系统之间的短程无线连接。然而,常规短程无线通信协议(诸如
如此,本文中所提出的是用于使得移动电子设备的用户(例如,接受者、护理人员、临床医生、外科医生等)能够使用移动电子设备来控制可植入医疗设备系统的一个或多个参数、设置、操作等(在本文中统称并且通常被称为“功能”)的技术。如下文进一步所描述的,本文中所提出的技术在可植入医疗设备系统和与可植入医疗设备系统的制造商相关联的中央系统之间建立/创建安全(加密)通信信道,并且使用安全通信信道授权用户经由外部设备无线地控制可植入医疗设备系统的一个或多个功能。
可植入医疗设备系统和中央系统之间的安全通信信道在本文中被称为“间接”安全通信信道,因为经加密的通信经由中间移动电子设备在可植入医疗设备系统设备和中央系统之间中继。也就是说,可植入医疗设备系统与中央系统之间没有直接连接,因为可植入医疗设备系统缺乏访问电信网络或计算网络的能力(即,可植入医疗设备系统不包括电信接口或网络接口)。结果,间接安全信道的第一部分(即,中间移动电子设备和可植入医疗设备系统之间的部分)覆盖短程无线信道(在其顶部上运行),而间接安全信道的第二部分(即,中间移动电子设备和中央系统之间的部分)覆盖一个或多个电信网络链路和/或计算网络链路(例如,局域网(lan)、广域网(wan)等),其在本文中统称并且通常被称为网络链路。间接安全信道是已经在短程无线信道和/或网络链路上使用的任何加密机制之外的附加信道。
如下文所描述的,本文中所提出的技术利用两阶段过程/序列来使得移动电子设备能够控制可植入医疗设备系统的功能。第一阶段在本文中被称为加密阶段,用于在可植入医疗设备系统和中央系统之间建立间接安全信道。第二阶段在本文中被称为授权阶段,使用间接安全信道授权用户经由移动电子设备来控制可植入医疗设备系统的一个或多个功能。
存在许多类型的可植入医疗设备系统,其包括一个或多个可植入部件。然而,仅为了便于说明,本文中所提出的技术在本文中主要参考一种类型的可植入医疗设备系统(即,耳蜗植入物系统)来描述本文中所提出的技术。应当领会,本文中所提出的技术可以与其他可植入医疗设备系统一起使用,该其他可植入医疗设备系统包括例如其他部分地和完全地可植入听觉假体,诸如听觉脑干刺激器、骨传导设备、混合设备、可植入声学设备(诸如中耳植入物和直接声学耳蜗刺激器)、和/或其他可植入医疗设备(诸如可植入起搏器、除颤器、功能性电刺激器、疼痛缓解刺激器、视觉假体、可植入传感器、和/或具有被配置为诊断、预防、监测、治疗或管理疾病或损伤或其症状的功能性可植入部件的其他系统、或具有被配置为研究、替换或修改解剖结构或生理过程的功能性可植入部件的其他系统)。
图1是被配置为实现本发明的各方面的示例性耳蜗植入物系统100的示意图。如所示出的,耳蜗植入物系统100包括被配置为附接到接受者的外部部件108、以及被配置为植入接受者的皮肤/组织101下方的可植入部件104。耳蜗植入物系统100与移动电子设备106一起操作,该移动电子设备106在本文中简称为外部设备106。
在该示例中,可植入部件104是耳蜗植入物,并且外部部件108包括耳背式(bte)声音处理单元110(诸如迷你或微型bte)以及外部线圈112。声音处理单元110包括用于接收声音信号的一个或多个声音输入元件111(例如,麦克风、拾音线圈等)、电源(图1中未示出)以及声音处理器(图1中也未示出)。声音处理器被配置为处理由(多个)声音输入元件111生成的电信号。
声音处理单元110经由电缆或引线113电连接到外部线圈112。外部线圈112是外部射频(rf)线圈。通常,磁体(图1中也未示出)可以相对于外部线圈固定。下文参考图3提供声音处理单元110的进一步细节。
图1图示了外部部件108包括bte和单独的外部线圈112的示例。然而,应当领会,外部部件108可以可替代地是:具有大致筒形形状的部件(有时在本文中称为“按钮”设备),其被配置为磁性耦合到接受者的头部;耳道内单元,其被配置为位于接受者的耳道中等。
如所指出的,耳蜗植入物系统100与外部设备106一起操作,其进一步的细节在图2中示出。如下文进一步描述的,外部设备106和声音处理单元110均包括短程无线收发器,其被配置为用于根据短程无线标准(即,通过短程无线链路/连接)进行无线通信。在某些实施例中,短程无线收发器是
耳蜗植入物104包括植入物本体114、引线区域116和细长耳蜗内刺激组件118。细长刺激组件118被配置为至少部分地植入接受者的耳蜗中并且包括多个耳内刺激触点128。刺激触点128共同形成触点阵列126,并且可以包括电触点和/或光学触点。刺激组件118延伸通过耳蜗中的开口(例如,耳蜗造口术、圆窗等),并且具有经由延伸穿过接受者的乳突骨的引线区域116连接到植入物本体114中的刺激器单元的近端。
耳蜗植入物104还包括内部rf线圈120、相对于内部线圈固定的磁体、刺激器单元、以及位于植入物本体114中的紧密耦合的无线收发器。与外部线圈112相邻并且在耳蜗植入物104中的磁体有助于外部线圈112与植入物本体中的内部线圈120的操作对准。线圈112和线圈120的操作对准使得内部线圈120能够通过紧密耦合的rf链路130从外部线圈112经皮地接收功率和数据。外部线圈112和内部线圈120通常是导线天线线圈。
图1还图示了与外部实体(即,除接受者之外的实体)相关联的中央系统122,诸如耳蜗植入物系统100的制造商、耳蜗植入物系统100的本地分销商、诊所或其他医疗机构、持牌人等。然而,仅为了便于说明,参考由耳蜗植入物系统100的制造商直接或间接控制(例如,受制于第三方的控制)的中央系统122对本文中所提出的技术进行描述。在图1的示例中,中央系统122是基于云的软件平台(云)。在本文中所提出的特定说明性示例中,基于云的软件平台122在本文中有时被称为“基于制造商云的软件平台”或简称为“制造商云”。如所示出的,制造商云122包括一个或多个服务器124和一个或多个数据库系统132。
如下文进一步描述的,外部设备106是移动电子设备,诸如例如,遥控设备(遥控器)、智能手机等。外部设备106具有经由一个或多个网络链路(例如,电信网络、无线局域网、广域网等)连接117与制造商云122通信的能力。应当领会,制造商云122可能包括实现云的网络连接性的一个或多个附加部件/设备。这些部件在本领域中是公知的,并且为了便于说明,已经从图1中省略。
图2是外部设备106是智能手机的布置的框图。应当领会,图2仅仅是说明性的,并且外部设备106不限于图2中所示的示例布置。
外部设备106首先包括天线136和电信接口138,其被配置用于在电信网络上进行通信。无线电天线136和无线电接口138通信的电信网络可以例如是全球移动通信系统(gsm)网络、码分多址(cdma)网络、时分多址(tdma)、或者其他类型的网络。
如图2所示,外部设备106还包括无线局域网接口140和短程无线接口/收发器142(例如,红外(ir)或
在图2的示例中,外部设备106还包括音频端口144、一个或多个声音输入元件(诸如麦克风146)、扬声器148、显示屏150、订户身份模块或订户标识模块(sfm)卡152、电池154、用户界面156、一个或多个处理器158和存储器160。存储在存储器160中的是医疗设备控制应用(逻辑)162。
显示屏150是输出设备,诸如液晶显示器(lcd),其用于向耳蜗植入物接受者呈现视觉信息。用户界面156可以采用许多不同的形式,并且可以包括例如小键盘、键盘、鼠标、触摸屏、显示屏等。存储器160可以包括以下各项中的任一项或多项:只读存储器(rom)、随机存取存储器(ram)、磁盘存储介质设备、光存储介质设备、闪存设备、电气存储器存储设备、光学存储器存储设备、或其他物理/有形存储器存储设备。一个或多个处理器158例如是微处理器或微控制器,其执行存储在存储器160中的医疗设备控制应用162的指令。
图3是图示了根据示例实施例的声音处理单元110的元件的功能框图。图3所示的是短程无线收发器170、连接到rf线圈112(图1)的紧密耦合的无线收发器(即,rf编码器/线圈驱动器)178、包括至少一个用户输入设备(例如,按钮)的用户接口165、以及可选的显示器(例如,数字显示器)、一个或多个处理器172、一个或多个声音输入元件176(例如,麦克风拾音线圈、音频输入端口、通用串行总线(usb)端口等)、以及可充电电池180(诸如集成的或可移除的锂离子(liion)电池。声音处理单元110还包括存储器184,其包括外部控制逻辑186、序列号188和临时数190。
紧密耦合的无线收发器178被配置为经由紧密耦合的rf链路130(图1)向耳蜗植入物104经皮地传送功率和/或数据和/或从耳蜗植入物104接收数据。如本文中所使用的,紧密耦合的无线通信是指需要在通信收发器之间紧密接近的通信。在一个特定示例中,紧密耦合的通信是指彼此在大约十(10)厘米(cm)内和/或彼此感应耦合的收发器之间的通信。尽管图1和图3图示了rf链路的使用,但是应当领会,备选实施例可以使用其他类型的紧密耦合的链路(例如,红外(ir)、电容等)。
存储器184可以包括以下各项中的任一项或多项:只读存储器(rom)、随机存取存储器(ram)、磁盘存储介质设备、光存储介质设备、闪存设备、电气存储器存储设备、光学存储器存储设备、或其他物理/有形存储器存储设备。一个或多个处理器172可以是一个或多个微处理器或微控制器,其执行存储在存储器160中的外部控制逻辑186的指令。
一个或多个处理器172还包括声音处理器,其被配置为将经由一个或多个声音输入元件176接收的声音信号转换为编码信号,并且唤起对声音信号的感知,该编码信号表示用于传递给接受者的刺激信号。由声音处理器生成的编码信号通过紧密耦合的rf链路130被传送到耳蜗植入物104。
如本文中其他地方所描述的,外部设备106被配置为允许用户(例如,接受者、护理人员、临床医生、外科医生等)控制耳蜗植入物系统100的功能。至少部分地经由一个或多个处理器158(图2)执行医疗设备控制应用162和一个或多个处理器172(图3)执行外部控制逻辑186来启用该控制。仅为了便于说明,通常参考由外部设备106和声音处理单元110执行的操作对本发明的实施例进行描述,而不具体参考一个或多个处理器158、一个或多个处理器172、医疗设备控制应用162和/或外部控制逻辑186执行的操作。
图4是图示了根据本文中所提出的实施例的在制造商云122和外部设备106之间以及在声音处理单元110和外部设备106之间交换的通信的流程图。一般而言,本文中所提出的技术通过以下各项来解决人工耳蜗系统100的网络安全问题:(1)确保声音处理单元110和制造商云122之间的通信;以及(2)确保仅预期用户可以从外部设备访问并且能够控制声音耳蜗植入物系统100。
本文中所提出的技术经由两级(两阶段)过程解决这两个网络安全部件。第一阶段(加密阶段)用于验证声音处理单元110和基于制造商云的软件平台122彼此的真实性,并且在声音处理单元110和制造商云122之间建立/创建间接安全信道。间接安全信道在图1中一般由双向箭头119所示。
第二阶段(授权阶段)确保仅预期用户可以从外部设备106访问并且能够控制耳蜗植入物系统100。更具体地,第二阶段(1)标识外部设备106处的用户;(2)确定是否应当允许所标识的用户控制声音处理单元110;以及(3)确定用户应当通过耳蜗植入物系统100授予的控制水平。下文参考图4对这些阶段中的每个阶段进行描述。
如上文所指出的,声音处理单元110不具有直接连接到制造商云122的能力(即,没有电信和/或无线局域网接口接口)。然而,声音处理单元110具有经由短程无线链路与外部设备106无线通信的能力。如此,本文中所提出的技术使用外部设备106(与中间中继设备(例如,调制解调器)不同),以在声音处理单元110和制造商云122之间转发通信,并且反之亦然。声音处理单元110和外部设备106之间的通信通过短程无线信道115发送,而外部设备106和制造商云122之间的通信通过网络连接117发送。
声音处理单元110中最初存储有加密过程所需的标识信息。该标识信息可以包括例如声音处理单元112的序列号和一系列随机生成的信息/数据字节,其有时称为“临时数数据”或简称为“临时数”。最初存储在声音处理单元110中的该临时数特定于声音处理单元,如此在本文中被称为“声音处理单元临时数”。如上文所指出的在图3中以附图标记188所示的序列号以及还如上文所指出的在图3中以附图标记190所示的声音处理单元临时数在制造过程期间以不可恢复的方式存储在声音处理单元110中。
参考图4以及用于加密在声音处理单元110和制造商云122之间发送的安全通信的第一阶段,声音处理单元110向外部设备106发送所存储的标识信息。向外部设备106发送所存储的标识信息在图4中以箭头240表示。在某些实施例中,外部设备106被配置为从声音处理单元110请求标识信息。为了便于说明,已从图4中省略的请求例如响应于用户输入、响应于从制造商云接收的命令等,可以在连接到声音处理单元时自动发送。
在外部设备106处接收的标识信息(例如,序列号和声音处理单元临时数)不可由外部设备106使用,并且外部设备106向制造商云122发送标识信息。从外部设备106向制造商云122发送标识信息在图4中以箭头242表示。
制造商云122使用标识信息来识别/标识特定声音处理单元110,并且使用预先存在的加密密钥来加密所接收的声音处理单元临时数。用于加密所接收的声音处理单元临时数的预先存在的密钥是制造商云122和声音处理单元110均知道的预先确定的密钥(即,在制造期间存储在声音处理单元110中的并且制造商云122已知/可访问的预先确定的加密密钥对)。制造商云122可以从例如数据库系统132中的一个数据库系统获得预先存在的加密密钥。
附加地,制造商云122生成其自己的随机临时数时,其也使用预先存在的加密密钥进行加密。由制造商云122生成的该临时数特定于制造商云122,如此在本文中被称为“云临时数数据”或简称为“云临时数”。如下文进一步描述的,随机生成的云临时数将用于生成“二次加密密钥”,其不依赖于制造商云122和声音处理单元110均知道的预先存在的密钥对。经加密的声音处理临时数和经加密的云临时数(每个使用制造商云122和声音处理单元110均知道的预先存在的加密密钥进行加密)形成加密的数据块以生成经加密的验证消息,如箭头244所示的,该经加密的验证消息被发送到外部设备106。
经加密的验证消息不能由外部设备106解释,因为它不熟悉声音处理单元110和制造商云122之间的加密方案(即,不知道预先存在的密钥对)。因此,如箭头246所示,外部设备106将经加密的验证消息传递到声音处理单元110。
在接收到经加密的验证消息时,声音处理单元110被配置为执行加密处理以使用上文所描述的相同的预先存在的密钥对来解密经加密的验证消息。该过程可能花费相当长的时间段(例如,10秒到12秒),因为预先存在的密钥对是复杂的(即,复杂加密算法)并且因为声音处理单元110具有有限的可用功率和计算能力。也就是说,声音处理单元110是被配置为由接受者佩戴的电池供电设备。如此,声音处理单元110具有限制可以分配给密码处理的功率数量和处理能力的约束,使得预先存在的加密密钥111适合于低功率设备。
如果声音处理单元110成功解密所接收的经加密的验证消息,则声音处理单元确定它正在与制造商云122通信(即,不被欺骗或拦截)。也就是说,通过解密经加密的验证消息,声音处理单元110验证制造商云的真实性,以知道它正在与真正的制造商云进行通信。结果,声音处理单元110现在具有云临时数。然后,声音处理单元110被配置为使用云临时数随机生成可用于与制造商云122将来通信的新加密密钥。该随机生成的加密密钥在本文中有时被称为二次加密密钥,是个随机生成的二进制数据块。
声音处理单元110再次使用与上文所描述的相同的预先存在的密钥对来加密二次加密密钥(即,声音处理单元110生成包括二次加密密钥的经加密的有效载荷),并且如箭头248所示,将其发送到外部设备106。再次,由于二次加密密钥是加密的,所以外部设备106不能解释所接收的有效载荷。因此,如箭头250所示,外部设备106将经加密的有效载荷(二次加密密钥)发送到制造商云122。
在接收到经加密的有效载荷时,制造商云122使用上文所描述的相同的预先存在的密钥对来解密二次加密密钥。接收二次加密密钥使得制造商云122确定/验证声音处理单元110是真实的。结果,制造商云122可以生成响应消息并将其发送到声音处理单元110,该响应消息指示已经接受了二次加密密钥。该响应消息在图4中以箭头252(即,从制造商云122到外部设备106的消息)和箭头254(即,从外部设备106到声音处理单元110的消息)表示。
制造商云122接受二次加密密钥指示制造商云已经接受使用二次加密密钥来加密发送到声音处理单元110的通信。即,在接受二次加密密钥之后,制造商云122被配置为使用二次加密密钥加密指向声音处理单元110的所有通信,反之亦然。由于接收设备(制造商云122或声音处理单元110)具有二次加密密钥,因此可以解密和恢复经加密的通信。
通信240到254图示了本文中所提出的技术的第一(加密)阶段。在加密阶段结束时,声音处理单元110和制造商云122均已经验证了另一方的真实性,能够经由中间中继设备彼此安全地进行通信,并且中间设备不能拦截在声音处理单元110和制造商云122之间传送的任何通信。
如所指出的,加密阶段确保声音处理单元110和制造商云122可以彼此通信。然而,该通信的重要部分是二次加密密钥的生成及其用于支持预先存在的加密密钥(即,用二次加密密钥替换预先存在的加密密钥)。更具体地,如上文所描述的,使用预先存在的加密密钥对制造商云122和声音处理单元110之间的一些初始设置通信进行加密。然而,同样如上文所描述的,该预先存在的加密密钥是复杂的,并且相关联的加密算法可能花费相当长的时间段(例如,10秒至12秒)来在电池供电的声音处理单元110处执行。再者,该延迟是声音处理单元110的低功率性质和声音处理单元处可用的有限处理资源的结果,使得预先存在的加密密钥不适合于低功率设备。
因此,如上文所描述的,为了避免每次向制造商云122发送或从制造商云122接收通信时的显著延迟,声音处理单元110生成二次加密密钥,其在计算上比预先存在的加密密钥不那么昂贵。然后,声音处理单元110将二次加密密钥发送到制造商云122以供后续使用。然而,在不使用预先存在的加密密钥的情况下,不能在双方之间安全地共享二次加密密钥。换句话说,昂贵的密码术用于建立初始通信。然而,一旦建立了初始通信并且制造商云122和声音处理单元110已经验证了彼此的真实性,制造商云122和声音处理单元110就使用较便宜的密码术来进行后续通信(即,预先存在的加密密钥最初用于建立并安全地共享二次加密密钥)。
用在计算上廉价的加密密钥(即,二次加密密钥)替换在计算上昂贵的加密密钥(即,预先存在的加密密钥)的概念是声音处理单元110的计算能力和低功率可用性的结果。在具有充足功率和计算能力的设备之间的通信中,不需要或不希望切换到在计算上不那么昂贵的加密密钥。实际上,这种改变与典型的网络安全技术背道而驰,这些技术试图使用日益复杂的加密机制来防止网络攻击。
具体返回图4,本文中所提出的技术的第二阶段涉及在外部设备106处对用户的认证、以及确定用户可以从外部设备106施加在耳蜗植入物系统100上的控制水平(如果有的话)。最初,如图4中的框256所示,外部设备106(即,医疗设备控制应用162)标识用户。在一个示例中,个人标识号码(pin)代码被包括在pin卡上,该pin卡通过声音处理单元110提供给用户(例如,在声音处理单元的盒装包装内部)。pin码对于声音处理单元110是唯一的,并且在制造过程期间被写入声音处理单元110的存储器164(图3)。由于用户拥有pin卡的所有权,所以pin码仅对声音处理单元110、制造商云122和用户是已知的。
在其他示例中,用户登录凭证可以用作标识机制。在这样的示例中,用户将登录到通过制造商云122提供的安全用户认证系统。
在256处,外部设备106可以提示用户经由用户界面156(图2)录入pin代码。如箭头258所示,外部设备106将用户录入的pin代码转发到制造商云122。如所指出的,制造商云122知道在制造期间与特定声音处理单元110相关联的pin代码(例如,制造商云122与制造系统数据库集成,该数据库存储用于制造的设备的pin代码)。如果用户录入的pin代码在制造期间与特定声音处理单元110相关联的pin代码匹配(即,所录入的pin代码与来自制造系统数据库的已知pin匹配),则制造商云122使用可以用于请求访问令牌的会话密钥来响应外部设备106。将会话密钥发送到外部设备106在图4中以箭头260表示。
在接收到会话密钥时,外部设备106向制造商云122发出控制请求。在图4中以箭头262表示的控制请求请求控制声音处理单元110的一个或多个方面的能力。控制请求包括几条信息,其包括声音处理单元110的序列号、请求/期望的访问控制的水平或类型、以及从制造商云122接收的会话密钥。会话密钥作为真实性检查操作,以验证外部设备106被授权做出访问声音处理单元110的请求。
在接收到控制请求262时,制造商云122评估外部设备106所请求的控制水平/类型。所请求的控制水平可以采用若干种不同形式,并且可以基于例如一个或多个用户输入。例如,可以向接受者、临床医生和/或外科医生授予不同的控制水平。可以基于多种因素来确定控制水平,其包括在外部设备106处接收的输入。例如,对于提升的访问水平,可能要求用户录入将自己标识为临床医生或外科医生的附加信息,并且该信息在制造商云122处进行评估(例如,通过比较所录入的信息与一个或多个临床医生/外科医生数据库)。
返回图4,如果制造商云122确定不能准予控制请求中所请求的控制水平,则制造商云被配置为拒绝外部设备106访问声音处理单元110。在这样的示例中,制造商云122还可以提示外部设备106发出具有不同的请求的访问水平的新控制请求。
如果制造商云122确定可以准予控制请求中所请求的控制水平,则制造商云被配置为向外部设备106发送令牌,该令牌指示外部设备已被授予对声音处理单元110的所请求访问。更具体地,制造商云122将发送消息,如图2中以箭头264所示,其包括经加密的访问令牌以及用于访问令牌的到期日期。使用(上文所描述的)二次加密密钥来加密经加密的访问令牌,并且如此,外部设备106不能解密该访问令牌。然而,与访问令牌相关联的到期日期未被加密并且允许外部设备106知道令牌何时到期以及外部设备106何时将需要发出另一控制请求以获得新访问令牌。
如箭头266所示,外部设备106将经加密的访问令牌传递到声音处理单元110。一旦被声音处理单元110解密,访问令牌就为声音处理单元110提供指令以授予外部设备106对一个或多个功能的访问。要授予的特定访问水平被标识为访问令牌的一部分。声音处理单元110还提供有用于访问令牌的到期日期,并且到期日期被存储在声音处理单元内。如此,访问令牌在到期日期由声音处理单元110强制到期。实质上,到期日期通知声音处理单元外部设备在指定的时间段内被授权并且具有指定的功能性水平。
如箭头268所示,在接收和解密访问令牌之后,声音处理单元110使用指示访问令牌已被接受并且所请求的功能性水平已被解锁到声音处理单元110的消息来响应外部设备。因此,在该授权阶段结束时,声音处理单元110在其自身与制造商云122之间具有安全(加密)通信,并且授权用户经由外部设备106控制声音处理单元的一个或多个功能。
如上文所指出的,第二(授权)阶段的方面是它依赖于在第一(加密)阶段期间确定的二次加密密钥,使得访问控制被卸载到制造商云122。也就是说,制造商云122被操作为在授权控制方面的声音处理单元110的代理。这样,用户授权确定可以利用制造商云122处可用的处理能力和信息,而不是仅依赖于声音处理单元110可访问的有限处理和信息。
上文已经参考包括外部声音处理单元110的耳蜗植入物系统100主要对本发明的实施例进行了描述。应当领会,本发明的实施例还可以在不包括外部部件的耳蜗植入物系统或其他可植入医疗设备系统中实现。例如,本发明的实施例可以在完全可植入耳蜗植入物中实现,其中耳蜗植入物的所有部件被配置为植入接受者的皮肤/组织下方。因为这种耳蜗植入物的所有部件都是可植入的,所以耳蜗植入物被配置为在至少一段有限的时间段内操作,而不需要外部部件。在这样的示例中,上文所描述的声音处理单元110的操作可能由可植入部件执行,该可植入部件至少包括用于与外部设备106直接或间接通信的一个或多个处理器、存储器和无线收发器。
图5是根据本文中所提出的实施例的方法300的流程图。方法300开始于302,其中经由中间移动电子设备在可植入医疗设备系统和与可植入医疗设备系统的制造商相关联的中央系统之间建立间接安全通信信道。在304处,间接安全通信信道用于授权用户经由外部设备无线地控制可植入医疗设备系统的一个或多个功能。
总之,本文中所提出的技术允许通过经由在可植入医疗设备系统和中央系统之间形成的安全信道来标识和认证用户而在每个用户的基础上授予对可植入医疗设备系统的控制访问。本文中所给出的技术还允许设备制造商控制特定用户可以在设备上访问的功能性水平。
本文中主要参考耳蜗植入物系统和作为临时安全代理设备操作用于外部控制器和可植入部件之间的认证配对的耳机设备对实施例进行描述。然而,如上文所指出的,本发明的实施例可以用于其他可植入医疗设备系统中,该系统利用除头戴式耳机设备之外的不同外部部件。在这样的实施例中,外部部件是耦合/附接到接受者以便与可植入部件形成紧密耦合的链路的设备,其包括其他部分地和完全地可植入听觉假体,诸如听觉脑干刺激器、骨传导设备、混合设备、可植入声学设备(诸如中耳植入物和直接声学耳蜗刺激器)、和/或其他可植入医疗设备(诸如可植入起搏器、除颤器、功能性电刺激器、疼痛缓解刺激器、视觉假体、可植入传感器、和/或具有被配置为诊断、预防、监测、治疗或管理疾病或损伤或其症状或的功能性可植入部件的其他系统、具有被配置为研究、替换或修改解剖结构或生理过程的功能性可植入部件的其他系统)。
应当领会,本文中所提出的实施例不会相互排斥。
本文中所描述和要求保护的本发明不限于本文中所公开的具体优选实施例的范围,由于这些实施例旨在说明而非限制本发明的若干方面。任何等同实施例均旨在本发明的范围内。实际上,除了本文中所描述的和所述的那些修改之外,本发明的各种修改对于本领域技术人员而言将从前面的描述中变得清楚。这些修改也旨在落入所附权利要求的范围内。