用于医疗装置的安全短距离通信链路

摘要

公开了通信系统的实施例，用于保护在一植入装置(ID)与一外部装置(ED)之间的通信。可选地，所述植入装置通过调制在TET信道的一负载，在所述信道上进行通信。可选地，当所述植入装置与所述外部装置进行通信时，将噪声添加到所述TET信道，从而禁止恶意侦听所述通信。使用噪声信号的知识，所述外部装置清除来自所述TET信号的所述噪声，以恢复来自所述植入装置的所述通信。在一些实施例中，所述TET链路用来传递一加密密钥和/或用来在一无线电信道上验证通信。所述TET信道可以被认证。例如，认证可以包含一最小能量和/或电力传输。

说明书

本申请根据35 USC 119(e)要求2019年3月12日提交的美国临时专利申请No.62/816,981的优先权，其内容通过引用整体并入本文。

在一些实施例中，本发明涉及一种确保无线通信的方法，并且更具体地，但非排他地，涉及一种在一近场通信信道上利用一植入医疗装置进行安全密钥传输的方法。

美国专利No.9763087似乎涉及“通过静电通信在一显示装置与一输入装置之间交换一密码密钥”。在一个实施例中，一种交互通信装置包括一个或多个电极及一无线电收发器。可以激励所述一个或多个电极以与一接近的通信装置电容性地耦合，以电容性地从所述交互通信装置发送一密码密钥到所述接近的通信装置。所述无线电收发器可以配置成用以通过一无线电信道与所述接近的通信装置的一无线电收发器进行通信。所述交互通信装置可以配置成用以随后地在所述无线电信道上与所述接近的通信装置交换加密通信。所述加密通信可以使用所述密码密钥来进行加密”。

美国公开专利申请No.2011/0135092似乎涉及“一种用于保护用于卡状数据载体(2)的一读取装置(1)免于未经授权评估或复制在用于卡状数据载体(2)的所述读取装置(1)中检测到的磁性编码数据的方法及装置。为此，通过一噪声场线圈(17)的手段来产生一电磁噪声场(18)。所述至少一噪声场线圈(17)的使用或设置使得当读取一卡状数据载体(2)的所述磁性编码数据时，所述经授权磁场读取头(10)也会受到所述噪声场线圈(17)的所述噪声场(18)的影响。所述经授权磁场读取头(10)的一输出或合信号会被检测，所述输出或所述合信号生成自一卡状数据载体(2)的有用信号及来自所述噪声场(18)的所述影响。然后，对在所述经授权磁场读取头(10)的所述输出或合信号中的所述噪声场线圈(17)的所述噪声场(18)的所述影响进行补偿或滤除，或者所述有用信号被选择性地从所述经授权磁场读取头(10)的所述输出或合信号中滤除”。

美国公开专利申请No.2007/0293142似乎公开了“一种用于确保在一发射器(10)与一接收器(1)之间的通信的方法，其中通过所述发射器(10)所发送的电力水平的距离与在其中产生发送的频率的范围是已知的或是可以被所述接收器(1)检测到的，所述方法包括通过所述接收器(1)来发送用于所述发射器(10)的一电源供应信号，其特征在于在整个发送期间，所述接收器(1)发送至少一个噪声信号，所述噪声信号掩盖了所述发送信，所述接收器(1)从所述已接收信号中减去所述噪声信号，以获得一有用的信号。这个发明还包括根据所述方法操作的一接收装置”。

美国公开专利申请No.20070118188似乎公开了“一种用于在一遥测信道上实现一可植入医疗装置(ID)与一外部装置(ED)之间的安全通信的方法及系统。可以实现一遥测互锁，所述遥测互锁限制了在所述遥测信道上所述外部装置与所述可植入医疗装置之间的任何通信，其中当所述外部装置通过需要物理上接近所述可植入医疗装置的一短距离通信信道来发送一启用命令到所述可植入医疗装置时，所述遥测互锁被释放。作为所述遥测互锁的一替代或附加方案，仅在所述可植入医疗装置及所述外部装置已经互相进行密码地授权之后，才允许发生在所述遥测信道上所述可植入医疗装置与所述外部装置之间的一数据通信会话”。

美国公开专利申请No.20140185805似乎公开了“用于在一可植入装置与一外部装置之间安全地交换密码密钥的方法及系统。一示例方法包括：从所述外部装置接收一授权请求，其中所述授权请求是接收一密码密钥传输的一第一密码密钥的一种请求；接收相对于所述可植入装置侦测到一磁体的一指示，其中所述指示表示了用于所述可植入装置与所述外部装置之间的通信的一安全环境；以及在接收所述授权请求及一检测到磁体的所述指示之后，生成一第一密码密钥发送指令，其中所述第一密码密钥发送指令指示通过所述可植入装置发送所述第一密码密钥到所述外部装置”。

附加的背景技术包括美国公开专利申请No.20110171905、美国专利No.7155290、美国专利No.9401894、美国专利No.8331563、美国公开专利申请No.20170161449、国际公开专利申请No.WO1999038272及美国公开专利申请No.20120174187。

发明内容

根据本发明的一些实施例的一方面，提供了一种在一植入装置与一外部装置之间的安全通信的方法，包括：通过一邻近的外部装置在一植入装置内感应产生一感应电流；通过所述植入装置来调制所述感应电流上的一负载，以发送一加密密钥；通过所述邻近的外部装置来生成噪声，所述邻近的外部装置配置成用以模糊经调制的所述负载；在所述调制的同时，通过所述邻近的外部装置将所述噪声添加到所述感应电流中；通过所述植入装置使用所述加密密钥对数据进行加密，以产生一加密信号；以及通过所述植入装置来发送所述加密信号。

根据本发明的一些实施例，所述噪声处于与经调制的所述负载相似的一频率上。

根据本发明的一些实施例，所述噪声的电力至少是经调制的所述负载的电力的一半。

根据本发明的一些实施例，所述方法还包括：在所述调制之前，用所述感应电流对所述植入装置的一电源充电。

根据本发明的一些实施例，所述充电包含传输0.1瓦时的能量到所述电源。

根据本发明的一些实施例，所述充电包含传输0.5瓦的电力到所述电源。

根据本发明的一些实施例，所述感应产生从范围在0.5至30厘米之间的一距离处无线地执行。

根据本发明的一些实施例，在噪声已经停止后，在更高带宽的信道上发送。

根据本发明的一些实施例，所述方法还包括：通过所述植入装置来检查所述噪声；及当没有检测到所述噪声时，取消所述调制。

根据本发明的一些实施例，通过所述外部装置来检测所述调制；并且其中所述添加是响应于所述检测。

根据本发明的一些实施例，所述检测包含检测所述调制的一特征，并且其中所述噪声配置成用以根据所述特征来隐藏所述调制。

根据本发明的一些实施例的一方面，提供了一种植入装置，包括：一电感能量接收电路；一负载调制器，耦合到所述电感能量接收电路，用于调制在所述电感能量接收电路的一负载；一收发器，用于数据通信；一处理器，配置成：生成一加密密钥；控制所述负载调制器，用于将所述加密密钥编码到经过所述电感能量接收电路的一电流上；使用所述加密密钥对数据进行加密，以产生一加密信号；以及控制一收发器发送所述加密信号。

根据本发明的一些实施例，所述植入装置还包括：一传感器，连接到所述电感能量接收电路，用于感测所述电感能量接收电路上的一噪声的一特征，并且其中，所述处理器还配置成用以接收所述传感器的输出及确定该噪声适合用来模糊所述负载的所述调制并取消将所述密钥编码到经过所述电感能量接收电路的所述电流上。

根据本发明的一些实施例，所述植入装置还包括：一可再充电电源；及一整流电路，连接所述可再充电电源到所述电感能量接收电路，用于从所述电感能量接收电路接收能量。

根据本发明的一些实施例，所述处理器还配置成用以仅在从一外部装置接收一最少量能量之后，发起对所述加密密钥进行的所述编码。

根据本发明的一些实施例，所述处理器还配置成用以仅在从一外部装置接收一最小电力之后，发起对所述加密密钥进行的所述编码。

根据本发明的一些实施例的一方面，提供了一种近场能量传输装置，包括：一电力发射器，配置成无线地传输一能量到一邻近的电力接收电路；一电力发电机，耦合到所述电力发射器；一噪声发生器，耦合到所述电力发射器，以将一噪声引入所述能量；一解调器，耦合到所述电力发射器，以从所述能量提取一差分负载信号；以及一噪声提取电路，从所述噪声发生器接收所述噪声的一特征并且耦合到所述解调器，以基于所述特征从所述信号中清除所述噪声。

根据本发明的一些实施例，所述电力发射器包含一电感器，并且所述传输是通过电感耦合。

根据本发明的一些实施例，所述电力发电机配置成用以产生至少一瓦特。

根据本发明的一些实施例，所述近场能量传输装置还包括：一处理器，配置成：确定所述差分负载信号的一特征；及调整所述噪声的一特征，以模糊所述差分负载信号。

根据本发明的一些实施例的一方面，提供了一种用于在一植入装置与一外部装置之间的安全通信的系统，包括：一植入装置包含：一电感能量接收电路、一负载调制器，用于调制在所述电感能量接收电路的一负载；一收发器，用于数据通信；一处理器，配置成：生成一加密密钥；控制所述负载调制器，以将所述加密密钥编码到经过所述电感能量接收电路的一电流上；使用所述加密密钥对数据进行加密，以产生一加密信号；及控制一收发器发送所述加密信号；一近场外部装置，其包含：一电力发射器，配置成在所述电感能量接收电路上感应产生一电流；及一噪声生成电路，以在所述电流上产生一噪声。

根据本发明的一些实施例，所述植入装置还包括：一传感器，连接到所述电感能量接收电路，用于感测所述电感能量接收电路上的一噪声的一特征，并且其中，所述处理器还配置成用以接收所述传感器的输出及确定该噪声适合用来模糊所述负载的所述调制并取消将所述密钥编码到经过所述电感能量接收电路的所述电流上。

根据本发明的一些实施例，所述植入装置还包括：一可再充电电源；及一整流电路，连接所述可再充电电源到所述电感能量接收电路，用于从所述电感能量接收电路接收能量。

根据本发明的一些实施例，所述处理器还配置成用以仅在从所述外部装置接收一最少量能量之后，发起对所述加密密钥进行的所述编码。

根据本发明的一些实施例，所述处理器还配置成用以仅在从所述外部装置接收一最小电力之后，发起对所述加密密钥进行的所述编码。

根据本发明的一些实施例，所述系统还包括：一处理器，连接到所述外部装置并且配置成：确定所述负载的一特征；及调整所述噪声的一特征，以模糊所述负载信号。

根据本发明的一些实施例的一方面，提供了一种验证来自一外部装置与一植入装置的一通信的方法，包括：从所述外部装置发送一消息到所述植入装置；通过一邻近的外部装在一植入装置内感应产生一感应电流；通过所述植入装置调来调制所述感应电流上一负载，以发送一验证密钥；通过所述邻近的外部装置来生成噪声，所述邻近的外部装置配置成用以模糊经调制的所述负载；在所述调制的同时，通过所述邻近的外部装置将所述噪声添加到所述感应电流中；以及从所述外部装置传送所述验证密钥到所述植入装置。

根据本发明的一些实施例，所述消息是用于所述植入装置的命令，以执行一动作，并且所述方法还包括：所述植入装置等待执行所述动作，直到从所述外部装置接收所述验证密钥。

根据本发明的一些实施例，所述调制还用于重复所述消息的一部份。

根据本发明的一些实施例，所述噪声处于与经调制的所述负载相似的一频率上。

根据本发明的一些实施例，所述噪声的电力至少是经调制的所述负载的电力的一半。

根据本发明的一些实施例，所述方法还包括：在所述发送之前，用所述感应电流对所述植入装置的一电源充电。

根据本发明的一些实施例，所述感应产生从范围在0.1至30厘米之间的一距离处无线地执行。

根据本发明的一些实施例，所述方法还包括：在噪声已经停止后，在更高带宽的信道上发送。

根据本发明的一些实施例，所述方法还包括：通过所述植入装置来检查所述噪声；及当没有检测到所述噪声时，取消所述调制。

根据本发明的一些实施例，所述方法还包括：通过所述外部装置来检测所述调制；并且其中所述添加是响应于所述检测。

根据本发明的一些实施例，所述检测包含检测所述调制的一特征，并且其中所述噪声配置成用以根据所述特征来隐藏所述调制。

除非另有定义，否则本文中使用的所有技术和/或科学术语具有与本发明所属领域的普通技术人员通常所理解的相同含义。尽管与本文描述的那些类似或等同的方法和材料可以用于本发明的实施例的实践或测试中，但是下面描述了示例性的方法和/或材料。在有冲突的情况下，以专利说明书，包括定义为准。另外，材料、方法和实施例仅是说明性的，并非旨在进行必要的限制。

如本领域技术人员将理解的，本公开的各方面可以体现为系统、方法或计算机程序产品。因此，本公开的各方面可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或结合了通常可以被全部提及的软件和硬件方面的实施例的形式。本文中称为“电路”、“模块”或“系统”。此外，本公开的一些实施例可以采取计算机程序产品的形式，该计算机程序产品体现在其上体现有计算机可读程序代码的一个或多个计算机可读介质中。本公开的一些实施例的方法和/或系统的实现可以涉及手动、自动或其组合来执行和/或完成所选择的任务。此外，根据本公开的方法、系统和/或计算机程序产品的一些实施例的实际仪器和设备，可以通过硬件、软件或固件和/或它们的组合来实现几个选择的任务，例如，使用操作系统。

例如，根据本公开的一些实施例的用于执行选择的任务的硬件可以被实现为一芯片或一电路)。作为软件，根据本公开的一些实施例的所选任务可以被实现为由计算机使用任何合适的操作系统执行的多个软件指令。在示例性实施例中，根据本文所述的方法和/或系统的一些示例性实施例的一个或多个任务由数据处理器执行，例如用于执行多个指令的计算平台。可选地，数据处理器包括用于存储指令和/或数据的易失性存储器和/或用于存储指令和/或数据的非易失性存储器，例如磁硬盘和/或可移动介质。可选地，还提供网络连接。还可选地提供显示器和/或用户输入设备，例如键盘或鼠标。

一个或多个计算机可读介质的任何组合可以用于一些实施例。所述计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于电子、磁性、光学、电磁、红外或半导体系统，装置或设备，或前述的任何适当组合。计算机可读存储介质的更具体示例(非详尽列表)将包括以下内容：具有一根或多根电线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、仅内存(ROM)、可擦可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁存储设备或任何其他前述的适当组合。在本文的上下文中，计算机可读存储介质可以是任何有形介质，其可以包含或存储供指令执行系统，装置或设备使用或与其结合使用的程序。

计算机可读信号介质可以包括例如在基带中或作为载波的一部分的传播的数据信号，该传播的数据信号具有包含在其中的计算机可读程序代码。这样的传播信号可以采取多种形式中的任何一种，包括但不限于电磁、光学或其任何合适的组合。计算机可读信号介质可以是不是计算机可读存储介质的任何计算机可读介质，并且可以通信、传播或传输供指令执行系统、装置或设备使用或与其结合使用的程序。

包含在计算机可读介质上的程序代码和/或由此使用的数据可以使用任何适当的介质来传输，包括但不限于无线、有线、光缆、RF等，或上述的任意合适的组合。

可以以一种或多种编程语言的任何组合来编写用于执行本公开的一些实施例的操作的计算机程序代码，所述编程语言包括诸如Java、Smalltalk、C++之类的面向对象的编程语言以及诸如此类的常规过程编程语言。作为“C”编程语言或类似的编程语言。程序代码可以完全在用户计算机上执行，部分在用户计算机上作为独立软件包执行，部分在用户计算机上并且部分在远程计算机上执行，或者完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户计算机，或者可以与外部计算机建立连接(用于例如，通过使用互联网服务提供商的互联网)。

下面可以参考方法，装置(系统)和计算机程序产品的流程图和/或框图描述本公开的一些实施例。将理解的是，流程图图示和/或框图的每个框以及流程图图示和/或框图中的框的组合可以由计算机程序指令来实现。可以将这些计算机程序指令提供给通用计算机，专用计算机或其他可编程数据处理设备的处理器，以产生机器，使得创建用于实现流程图和/或框图中指定的功能/动作的模块的这些指令创建用于实现流程图和/或框图中指定的功能/动作的模块。

这些计算机程序指令也可以存储在计算机可读介质中，该计算机可读介质可以指导计算机，其他可编程数据处理装置或其他设备以特定方式运行，从而使存储在计算机可读介质中的指令产生制品。包括实现流程图和/或框图中指定的功能/动作的指令。

也可以将计算机程序指令加载到计算机，其他可编程数据处理设备或其他设备上，以使一系列操作步骤在计算机，其他可编程设备或其他设备上执行以产生计算机实现的过程，从而使在计算机或其他可编程装置上执行的指令提供了用于实现流程图和/或框图方框中指定的功能/动作的过程。

附图说明

本文中的一些实施例仅通过示例的方式参考附图进行了描述。现在具体地具体参考附图，要强调的是，所示出的细节是作为示例并且出于对本申请的实施例的说明性讨论的目的。就这一点而言，结合附图进行的描述对于本领域技术人员而言是显而易见的，可以如何实践本申请的实施例。

在附图中：

图1是根据本发明一实施例的通信的方法的一示意图。

图2A及图2B是根据本发明一些实施例的通信的方法的流程图。

图3是根据本发明一实施例用于通信的系统的一框图。

图4是根据本发明一实施例用于通信的系统的一电路图。

图5是根据本发明一实施例示出了信号流的一框图。

图6是根据本发明一实施例的一植入医疗装置的一框图。

具体实施方式

在一些实施例中，本发明涉及一种确保无线通信的方法，并且更具体地，但非排他地，涉及一种在一近场通信信道上利用一植入医疗装置进行安全密钥传输的方法。

总览

本发明的一些实施例的一方面涉及一种用于确保在一植入医疗装置(implantedmedical device,ID)与一外部控制装置(external control device,ED)之间的一密钥交换的方法。在一些实施例中，一加密密钥在一受保护的信道上从一发射器装置(例如，所述ID)发送到一接收器装置(例如，所述ED)。可选地，当所述发射器装置在所述受保护的信道上发送所述密钥到所述接收器装置时，所述接收器装置干扰了在所述受保护的信道上的通信。干扰防止了一未经授权(入侵者)装置侦听所述安全密钥。可选地，一经授权装置，基于对所述干扰的知识，从在所述经干扰信道上接收的一信号中提取所述密钥。所述密钥可选地用于在另一个非安全信道上的加密通信。

在一些实施例中，所述外部控制装置可以是所述接收器装置。可选地，所述外部控制装置通过一电感电路来提供电力给所述植入医疗装置。附加地或可替代地，所述电感电路可以包括一受保护的数据信道。所述外部控制装置可以通过发送噪声到所述受保护的电感电路和/或所述数据信道上来干扰通信。可选地，所述植入医疗装置传输所述密钥到所述受保护的数据信道上，例如通过调制所述电感电路上的一负载。来自所述外部控制装置的所述噪声可选地模糊所述安全密钥。可选地，所述噪声的内容对于所述外部控制装置是已知的或所述外部控制装置使用所述噪声的知识，以从在所述受保护的信道上接收的所述噪声信号中提取所述密钥。可替代地或附加地，可以通过使用一编码方案来进一步模糊所述密钥，例如所述方案可以是直流平衡的(DC-balanced)(例如，净零调制)。在一些实施例中，所述安全密钥将用于加密在一无线电信道上发送的消息。例如，所述安全密钥可以用于加密将会在一医疗无线电(MedRadio)[MICS]信道上发送的数据和/或命令。

在一些实施例中，激活来自所述植入医疗装置的所述安全密钥的发送可能需要入侵者难以执行的动作。例如，一功能强大的发射器可能需要非常靠近所述植入医疗装置。例如，仅当所述植入医疗装置接收到一足够电力的信号和/或一足够时间和/或一非常短距离信道上，才可以发起安全性的传输。

本发明的一些实施例的一方面涉及一种用于确保在一植入医疗装置与一外部装置之间的无线通信的安全协议。在一些实施例中，确保一电感信道，以防止一入侵者所进行的窃取。可选地，一安全密钥将在一受保护的信道上传输。例如，所述安全密钥可以用于确保在一单独的信道上传输的信息。例如，所述密钥可以包括一对称密码密钥(例如，一会话密钥)。可选地，所述密钥传输和/或所述密钥本身(所述密钥的强度)将有不同的安全级别，对于不同的通信需要不同的安全级别。

在一些实施例中，对于所述机器的所述治疗活动的长期重新编程，所述装置可能需要非常高的安全性。可选地，急救所需的短期变更可以在没有安全屏障下进行。可选地，传输医疗数据和/或个人数据需要中等安全性，而传输非私有数据(例如，所述机器的电池状态)可能需要非常低的安全性。

在一些实施例中，一会话密钥将会在一嘈杂的电感信道上进行通信，并且用于例如在将使用所述新安全密钥的所述信道上通信，所述信道可能包括一医疗无线电[MICS]信道。可选地，所述受保护的信道可以用来对所述植入医疗装置的一电池充电。在一些实施例中，信号交换例行程序(handshake routine)可以用来保护所述植入医疗装置免受入侵者的危害。例如，可能是经过一不同的信道和/或一时间和/或为了发起一安全密钥传输所需的一会话序列来传送一密钥到所述植入医疗装装置。可替代地或附加地，仅当在一单独的信道上提供一指令时，才可以发起所述安全密钥传输。例如发起一密钥传输可能需要在一密码安全信道上的一命令，例如将会接收且与新安全密钥一起使用的所述信道，在一些情况下，例如当所述植入医疗装置检测到一紧急医疗状况时，使用一简短的安全协议来允许特定通信。可选地，仅当一电感装置与所述植入医疗装置通信时，才可以控制特定功能。在一些实施例中，特定功能可能需要安全许可，所述安全许可包括在所述受保护的信道上传送的一密钥。

在一些实施例中，一植入医疗装置可以具有各种安全状态和/或具有对于外部访问需要不同安全级别的功能。例如，为了变更所述植入医疗装置的影响生命的设置可能需要较高的安全许可，例如通过使用一新的安全密钥和/或在一受保护的信道上接收的一密钥。可替代地或附加地，使用一较旧的安全密钥可以从所述植入医疗装置接收数据。可替代地或附加地，所述植入医疗装置可以具有一紧急模式，所述紧急模式允许在一有限时间内以一较低的安全性来变更重要(和/或影响生命的)参数。可替代地或附加地，通过具有足够的安全级别的一用户可以调整用于特定动作的所述安全需求。可选地，一外部装置可以具有安全保护，例如一密码和/或一生物识别符，以防止未经授权访问。可替代地或附加地，所述外部装置的一些方面可能需要较少或不需要安全(例如对所述植入装置的一电池充电)，而其它功能(例如查看数据)可能需要中等级别的安全性(例如提供一密码)，而其它功能(例如重新编程所述植入医疗装置)可能需要一(较)高的安全性。

本发明的一些实施例的一方面涉及一植入医疗装置，所述植入医疗装置配置成用以与一外部装置安全地进行通信。在一些实施例中，一植入医疗装置可以包括多个无线通信电路。可选地，一第一电路配置成保护在一第一无线信道的通信。例如，所述第一电路可以包括一电感能量接收电路和/或一负载调制电路。可选地，一第二电路包括用于在一第二无线信道上通信的一系统，例如射频收发器(radio frequency transceiver)。例如，所述第二信道可以具有比所述第一信道更高的数据率和/或更长的距离。在一些实施例中，所述植入医疗装置可以包括一处理器，所述处理器配置成用以生成一密码密钥和/或在所述第一电路上发送所述密钥到一外部装置。附加地或可替代地，所述处理器可以配置成用以使用所述加密密钥对在所述第二电路的通信进行加密和/或解密。

在一些实施例中，所述植入医疗装置包括用于提供电力的一可再充电电源供应器和/或所述第一电路包括一电池充电器电路，以对所述电源供应器充电。例如，所述电池充电器单元可以收集、整流和/或控制从所述第一信道到所述可再充电电源供应器的所述电力输出。可选地，所述可再充电电源供应器可以提供用于施加非兴奋性电信号到心脏的电力。

在一些实施例中，所述植入医疗装置与一外部装置配对，所述外部装置包括用于在所述第一受保护的信道上通信的一受保护的通信电路。可选地，所述受保护的通信电路包括一噪声发生器配置成用以生成噪声，所述噪声将会防止在所述受保护的信道上的所述安全密钥被侦听。例如，所述噪声发生器可以耦合到所述受保护的通信电路，例如用于在所述第一信道上发送所述噪声。附加地或可替代地，所述通信电路包括一数据提取电路用于从一已接收信号中减去所述噪声，以提取所述安全密钥。例如，基于所述噪声的已知内容，所述提取电路可以从所述已接收信号中减去所述噪声。可选地，所述外部装置还包括用于供应电力的一电源，以对所述植入医疗装置的所述电源供应器充电。例如，所述电源可以包括一电力生成电路。可选地，所述电力生成电路将包括一振荡器。例如，所述电源可以连接到所述通信电路，使得电力及受保护的通信两者都可以在所述第一信道上传输。附加地或可替代地，所述外部装置可以包括用于在所述第二信道上通信的一收发器和/或一加密电路，所述加密电路用于使用在所述第一信道上接收的一密钥在所述第二信道上对信号进行加密/解密。

本发明的一些实施例的一方面涉及一种外部装置，所述外部装置配置成与一植入医疗装置进行安全通信。例如，所述外部装置可以包括一安全信道和/或一无线电信道。可选地，所述安全信道可以包括一非常短距离通信介值(例如电感耦合)。所述外部装置可选地配置成用以模糊在所述安全信道上的通信和/或从一经模糊信号中提取数据。例如，所述外部装置可以添加噪声到所述安全信道和/或基于对所添加的消息的知识，提取调制到所述安全信道的数据。例如，所述外部装置可以配置成用以去除所述噪声以提取所述数据。可选地，在所述安全信道上发送的所述数据可以包括一加密密钥。例如，所述外部装置可以配置成用以使用在所述安全信道上接收的一密钥，来对在所述无线电信道上发送和/或接收的信号进行加密。

在一些实施例中，所述外部装置可以包括足够大可以对所述植入医疗装置的一电池充电的一电源。在一些实施例中，所述外部装置将包括安全特征以防止所述装置的滥用。例如，可以激活所述特征以防止未经授权的使用用于重新编程所述植入医疗装置的所述外部装置。例如，所述外部装置可以包括一生物识别系统。可选地，所述外部装置被编程用以仅在正向的识别和/或一本地使用的批准和/或一主管(例如，一医生和/或一控制中心)的批准之后，来变更所述外部装置的特定参数。在一些实施例中，可以记录及发送所述外部装置和/或所述植入医疗装置的行动到一控制中心。例如，可以受手动地和/或自动地检查所述记录，以检测异常活动和/或潜在危险状况。

实施例

在详细解释本发明的至少一个实施例之前，应当理解，本发明的应用并不一定限于在以下描述中阐述和/或在附图和/或示例中示出的部件和/或方法的构造和布置细节。本发明能够具有其他实施例，或者能够以各种方式被实践或执行。

现在参考附图，图1示出了一种方法的一示意图，所述方法确保在一植入医疗装置(ID)102与一外部装置(ED)104之间的通信不受一入侵者106侦听和/或渗透125、125。在一些实施例中，正在接收一安全密钥122的一外部装置104添加119噪声120到所述信道108，在所述信道108上将要发送所述密钥122。例如，所述外部装置104可以使用被添加的所述噪声120的知识，以便于清除134所述信号121并且恢复所述密钥122。可选地，将防止不知道所述噪声120内容的一入侵者装置106在所述安全嘈杂的信道108上接收所述密钥122。

在一些实施例中，植入医疗装置102与外部装置104在多个无线介质上进行通信，例如一安全介质108及一不安全介质110。可选地，可以保护所述安全介质108不受渗透和/或侦听125。可选地，所述植入医疗装置102使用所述安全介质108来传输118一加密密钥122。例如，所述安全介质108可以包括一电感信道，所述电感信道用于将能量113从所述外部装置104传输116到所述植入医疗装置102。密钥122可以用于对在所述植入医疗装置102与所述外部装置104之间的一消息126进行加密124和/或解密114。所得到的加密消息129可以在所述未受保护的信道110上(例如一医疗无线电(MedRadio)信道)上传输122。例如，一消息126可以通过所述植入医疗装置102来加密和/或在所述未受保护的信道110上从所述植入医疗装置102发送到所述外部装置104和/或通过所述外部装置104来解密114。可替代地或附加地，一消息126可以通过所述外部装置104来加密和/或在所述未受保护的信道110上从所述外部装置104发送到所述医疗植入装置102和/或通过所述植入医疗装置来解密。可选地，所述加密消息129的加密可以保护所述消息126免受一入侵者126的侦听127和/或使用密钥加密作为识别凭证可以阻止所述入侵者渗透所述植入医疗装置与所述外部装置之间的通信的企图，例如通过以所述植入医疗装置和/或外部装置的名义在未受保护的信道110上传送它的消息。例如，所述入侵者106的一渗透是可辨认的，因为其缺少所述密钥122的加密，而所述密钥对所述入侵者106是未知的。例如，如果所述入侵者106成功地在所述未受保护的信道110上侦听了一消息129，则可以加密所述消息129并且不使用所述密钥120是无法破译的，而所述密钥对所述入侵者106是未知的。

在一些实施例中，所述植入医疗装置通过调制118在所述安全信道108上的一负载和/或所述植入医疗装置与所述外部装置之间的耦合来传输所述加密密钥。例如，所述安全信道108可以包括一短距离电路(例如一电感充电电路)。在一些实施例中，在所述安全信道108上的通信可以是双向的(例如使用一单工和/或双工协议)。例如，可以通过所述短距离信道(使其不使用非常靠近所述外部装置的一天线是难以侦听所述数据的)和/或所述植入医疗装置生成的噪声，来保护从所述外部装置传输到所述植入医疗装置的数据。可替代地或附加地，可以通过所述短距离信道和/或所述外部装置生成的所述噪声120，来保护从所述植入医疗装置传输到所述外部装置的数据。例如，即使所述入侵者106在所述安全信道108上成功地侦听了所述消息121，他可能会被无法破译的一噪声信号所难倒。

在一些实施例中，所述安全信道108可以包括例如一经皮能量传输(transcutaneous energy transfer,TET)链路(例如包括一电感耦合)。例如，一抗入侵信道可以包括一非常短距离通信介质(例如电感耦合)。例如，所述安全信道的距离可以小于所述非安全信道的距离的1/2和/或小于所述非安全信道的距离的1/5和/或小于所述非安全信道的距离的1/10和/或小于所述非安全信道的距离的1/20。在一些实施例中，一安全信道108可能需要高级别的电力来传输一信号。例如，在所述安全信道上发送一信号118和/或一加密密钥112之前，所述植入医疗装置102可能需要传输足够电力117以对所述植入医疗装置的一电池充电。例如，所述电力传输117和/或在所述安全信道108上数据通信118可以在相反方向上(例如，从所述外部装置104供电到所述植入医疗装置102和/或从所述植入医疗装置102传输一密钥122到所述外部装置104)。例如，所述电力传输117可以在0.1至0.3瓦和/或0.3至1瓦和/或1瓦至5瓦和/或0.01至0.1瓦和/或0.001至0.01瓦之间的一速率范围内。在所述TET信道上的数据发送速率可以在例如50至200比特/秒(bits/s)和/或200至1千比特/秒(Kbit/s)和/或1千比特/秒至5千比特/秒和/或5千比特/秒至20千比特/秒之间的一范围内。在一些实施例中，在传输一密钥122之前和/或在一单一会话中，所述外部装置104可以使用0.1至0.5瓦时和/或0.5至1瓦时和/或0.5至10瓦时和/或0.01至0.1瓦时和/或0.001至0.01瓦时之间的能量对所述植入医疗装置102充电。在一些实施例中，在安全信道108上的通信可能需要大量时间。例如，在所述安全信道108上发送一密钥122之前，所述植入医疗装置102可能需要长的接触时间。在一些实施例中，在所述安全信道108上传输一消息需要两倍以上的时间和/或20倍以上的时间和/或100倍以上的时间和/或1000倍以上的时间来在所述非安全信道110上传输所述信号。在一些实施例中，在所述安全信道110上的发送长度可以被限制例如在1至5厘米之间和/或5至15厘米之间和/或15至100厘米之间。

在一实施例中，一不安全第二通信信道110可选地支持双向通信。例如，在所述双向通信信道110上的数据发送速率可以在1千比特/秒至100千比特/秒之间和/或100千比特/秒之间和/或从100千比特/秒至1兆比特/秒(Mbit/s)和/或1至5兆比特/秒之间和/或5至25兆比特/秒之间的范围。可选地，所述通信信道的载波频率可以在402至405及433至435兆赫(MHz)之间和/或2.4千兆赫(GHz)至2.5千兆赫之间的范围。在一些实施例中，一不安全介质110可以用于双向通信。在一些实施例中，这些发送长度可以被限制例如在1至3米(meter)之间和/或在3至30米之间和/或在30至100米之间和/或在100至1000米之间。

在一些实施例中，仅当噪声120被添加119到所述受保护的信道108上时，才发生发送118。例如，植入医疗装置102可以包括一传感器115，所述传感器115感测在通道108上的噪声120。可选地，当在所述信道上没有检测到有所需频率的足够的噪声时，取消发送118所述密钥122。例如，所述噪声的振幅可以在所述信号的振幅的1至5倍之间和/或在所述信号的振幅的5至20倍之间和/或在所述信号的振幅的20至100倍之间。

图2A是根据本发明一实施例的通信的一方法的一流程图。在一些实施例中，一外部装置可用于在一邻近的植入医疗装置中感应产生216电流。可选地，所述外部装置也添加219噪声到所述感应电流中，例如，所述噪声可以配置成用以隐藏在所述感应电流上传输的数据。所述植入医疗装置可选地通过调制214在所述感应电流上的一负载，来发送数据到所述外部装置。在一些实施例中，所述外部装置将从所述植入医疗装置接收所述密钥，例如通过从所述感应电流上的所述噪声提取234所述经调制的消息。可选地，然后所述密钥用于对所述外部装置与所述植入医疗装置之间的通信222进行加密，例如对一消息进行加密和/或解密。

在一些实施例中，一外部装置可以供应电力到一植入医疗装置。可选地，可以通过电感耦合来供应电力。例如，所述外部装置可以在所述植入医疗装置内感应产生一电流223。所述感应电流可选地用于对所述植入医疗装置供电和/或对所述植入医疗装置的一电源(例如一电池)充电。

在一些实施例中，当所述外部装置在所述植入医疗装置内感应产生216电流时，所述植入医疗装置可以调制214所述电流和/或将数据编码到所述感应电流上。例如，所述数据可以包括可用于加密通信222的一加密密钥。例如，所述加密通信可以在另一个信道上和/或在所述植入医疗装置与所述外部装置之间。可替代地或附加地，所述密钥可以用于对所述植入医疗装置与另一个装置之间的通信进行加密。

在一些实施例中，添加219一固定噪声信号到所述感应电流。可替代地或附加地，所述外部装置可以检测232所述植入医疗装置的所述调制和/或添加用来隐藏所述数据调制的经调谐的噪声。可选地，来自所述植入医疗装置的信号可以包括一前导码，所述前导码警告所述外部装置秘密数据即将到来和/或通知所述外部装置所述调制的一些特征。可选地，所述外部装置根据所述信号的所述特征来配置所述噪声，使得所述信号被隐藏。例如，多个重要信号特征可以包括发送时间、发送长度、发送电力、信号频率等。例如，在上文中与图1相关所描述的所述信号的一些可选特征。

在一些实施例中，所述外部装置可以使用被添加219到所述感应电流的噪声的知识来提取234所述密钥。例如，所述外部装置可以从所述已接收信号中减去所述噪声，以产生可以从中读取所述密钥的一干净信号。

在一些实施例中，在所述感应电流上传输214的所述密钥是用于加密通信222。例如，所述密钥可以包括用于对称加密的密钥(例如一会话密钥)和/或用于非对称加密的一密钥。例如，所述密钥可以用于加密和/或解密。可选地，所述加密可以用于在所述感应电流上和/或在另一个信道上的通信(例如，以上结合图1所描述的)。所述加密通信222可以包括从所述植入医疗装置发送数据和/或从所述植入医疗装置发送指令到所述外部装置。可选地，不同安全级别可以用于不同的通信，例如，如本文所描述的其他实施例中所解释的。

图2B示出了根据本发明一实施例的通信的一方法的可选的另一个安全方面的一流程图。本发明的各种实施例可以包括图2B所示的一些、没有或全部的安全步骤。例如，一植入医疗装置可以包括一传感器电路，所述传感器电路感测所述感应电流中的噪声和/或所述噪声。可选地，当根据说明书(例如，具有足够电力、在足够长的时间内、具有适当的频率)检测215到所述噪声和/或所述感应电流时，发送214所述密钥，和/或当根据说明书没有检测215到所述噪声和/或所述电流时，取消213所述密钥的传输。

在一些实施例中，一操作员发起216一安全会话。例如，所述操作员将所述外部装置移动在一患者旁边的一位置，所述位置靠近所述植入医疗装置被植入的位置。例如，所述外部装置可以保持在离所述植入医疗装置小于5厘米和/或离所述植入医疗装置在5至10厘米之间和/或在10至20厘米之间和/或20至50厘米之间和/或50至200厘米之间。由于所述外部装置接近所述植入医疗装置，所述通信链路可能会自动地打开。可替代地或附加地，所述操作员可以激活所述外部装置和/或所述操作员可以在TET链路上发起对所述植入医疗装置进行充电。可替代地或附加地，所述植入医疗装置可以保持激活，从而轮询一通信信道(不使用一外部发起)。可替代地或附加地，所述植入医疗装置可以包括一簧片开关，所述簧片开关通过在所述外部装置中和/或在所述TET链路上的一磁体来激活。

在一些实施例中，所述会话以一安全检查开始。例如，所述外部装置发送一信标信号到所述植入医疗装置。可选地，所述信号可以是一医疗无线电(MedRadio)信号(例如，一402至405兆赫的信号)。可选地，所述植入医疗装置周期性地轮询所述信标。可替代地或附加地，所述外部装置可以激活所述植入医疗装置的通信。可替代地或附加地，所述安全检查271将包括在所述安全信道上所述外部装置与所述植入医疗装置之间的一通信。例如，所述外部装置304可以监控在所述TET信道上的所述噪声和/或信号、和/或当所述信号被隐藏时，指示所述植入医疗装置传输所述密钥、和/或当所述信号没有被适当地隐藏时，取消所述传输。所述植入医疗装置302与所述外部装置304之间的通信可选地在所述TET信道上和/或在另一个信道(例如，一医疗无线电信道)上。

在一些实施例中，当所述植入医疗装置连接到所述外部装置时，生成一密钥和/或发送所述密钥给所述外部装置。可替代地或附加地，在发送一密钥之前，所述植入医疗装置可以等待对一密钥的请求和/或一进一步的安全检查。

在一些实施例中，对新密钥的请求将会在另一个信道(例如，所述未受保护的信道、可选地使用加密，例如使用先前同意的密钥)来发送。可替代地或附加地，一安全检查271可以包括对所述安全信道的一些动作，例如一特定时间的激活和/或一特定数量的能量传输和/或一特定电力的传输和/或噪声的检测。可替代地或附加地，所述安全检查可以要求一装置在一个信道上中继仅通过在所述另一信道上的通信才可用的信息，例如，一验证码和/或一消息序列号和/或一通信的时间等。

图3是根据本发明一实施例用于通信的系统的一框图。在一些实施例中，一系统可以包括一植入医疗装置302和/或一外部装置304。在一些实施例中，所述外部装置304包括一解调器373(其也可以包括一调制器)和/或一噪声生成电路327耦合到电力发射器，例如TET生成电路350。例如，当所述解调器373正在接收一信号时，所述噪声生成电路327可选地生成模糊所述信号的噪声。一处理器354可选地使用关于所述噪声的知识来提取所述噪声并且恢复所接收的信号。附加地或可替代地，所述处理器354可以使用关于所述信号的信息来调整所述噪声以更好地对入侵者隐藏所述信号。可选地，所述植入医疗装置302包括一传感器315，所述传感器315用于感测所述TET信道上是否存在足够的噪声以隐藏所述信号。例如，传感器315可以连接到所述TET接收器。可选地，当有足够的噪声时，所述植入医疗装置302将发送所述加密密钥；当没有足够的噪声时，所述植入医疗装置302将取消发送所述钥匙。例如，所述植入医疗装置302可以包含关注在所述信号频率的一窄带电力传感器及一宽带电力传感器。当所述宽带传感器的测量值充分地大于所述窄带传感器的测量值，才可能发生发送，例如，当所述宽带是2至5倍强和/或5至20倍强和/或20至100倍强时。在一些实施例中，所述植入医疗装置302可以在多个点之间以一短延迟来测量电力，并且确保传播大于或等于一预定范围值。

在一些实施例中，所述植入医疗装置302包括一TET接收电路346和/或一负载调制器344。可选地，所述TET接收电路包括一能量接收电路。例如，所述能量接收电路可以配置成用于接收感应能量和/或包括用于收集感应能量的一线圈。可选地，所述能量接收电路可以提供能量给所述植入医疗装置302。例如，所述植入医疗装置302可以包括一整流电路366，所述整流电路366为所述TET接收器346提取能量。例如，能量可以提供给所述植入医疗装置302的一电源供应器362(例如一可再充电电池)。

在一些实施例中，所述负载调制器344可以包括一逆调制电路和/或用于将所述信号调制到所述TET信道上的协议。可选地，一处理器340和/或一加密电路338对消息和/或加密密钥进行编码。处理器340和/或电路338可以连接到调制器344和/或与调制器344通信，以用于在所述TET信道上发送所述消息和/或密钥给所述外部装置304。可选地，加密电路338可以被包括在处理器340中，例如作为软件和/或硬件。

在一些实施例中，所述植入医疗装置302包括用于无线通信的一收发器348。可选地，收发器348可以与一无线电信道通信(例如，医疗无线电)。例如，收发器348可以用来与所述外部装置304通信。

在一些实施例中，一外部装置304包括一TET生成电路350。例如，所述TET生成电路350。例如，电路350可以包括用来产生一磁信号的一线圈。例如，所述磁信号可以包括在所述TET接收器346中一电流。可选地，一电源363供应电力到电路35。例如，所述电力被无线传输到所述植入医疗装置302。可选地，一调制器/解调器373也与所述TET生成电路350通信。例如，信号的通信可以发送给所述TET电路的所述植入医疗装置302。可选地，当将信号通信到所述植入医疗装置302时，所述外部装置304调整(例如减少)噪声生成，以利于所述植入医疗装置304的接收。在一些实施例中，所述植入医疗装置可以包括一噪声制造电路和/或一噪声减去电路，所述噪声制造电路用于当所述植入医疗装置302正在接收一信号时，将噪声添加到所述TET信道，所述噪声减去电路用于从所接收的信号中减去噪声。

在一些实施例中，可以响应于来自所述植入医疗装置302的一输入信号来激活所述噪声生成电路327。例如，当从所述植入医疗装置502检测到任何信号时，可以激活所述噪声生成电路327。可替代地或附加地，响应于来自所述植入医疗装置302的一特定消息来激活所述噪声生成电路327。例如，当所述植入医疗装置302开始发送秘密信息(例如，一安全密钥)时，可以自动地激活所述噪声生成电路327。可替代地或附加地，可以响应于来自所述植入医疗装置302的一请求和/或响应于来自所述植入医疗装置302的一消息来激活所述噪声生成电路327，所述植入医疗装置302将要发送一秘密数据。可选地，所述请求和/或消息可以在所述TET信道上发送和/或通过调制器/解调器373来接收。可替代地或附加地，所述请求和/或消息可以在另一个信道(例如，一医疗无线电信道)上发送和/或通过另一个接收器(例如，所述外部装置304的一无线电收发器356)来接收。

在一些实施例中，所述外部装置304包括一收发器356，所述收发器356在与所述TET信道分开的一信道上工作的。例如，收发器356可以在一医疗无线电信道上工作。例如，收发器356可以与所述植入医疗装置304通信。可选地，一加密电路358可以对所述TET信道和/或另一个信道上的信号进行加密和/或解密(在一些实施例中，加密电路358可以一软件算法运行的形式来实现，例如在处理器354中)。可替代地或附加地，外部装置304可以与一网络和/或与另一装置(例如，一个人计算机、一局域网、一蜂窝网络、一蜂窝装置等)通信。在一些实施例中，一处理器354可以连接到和/或控制和/或协调所述外部装置304的各个部分。

在一些实施例中，所述植入医疗装置302和/或所述外部装置304可以包括一安全警告系统。例如，当发生一可疑事件时，可以发出一警告。例如，当一装置(302、304)远离其当前位置和/或被给予不寻常命令和/或被篡改时。可选地，通过一可见和/或一可听信号来发出一警告。可替代地或附加地，所述警告将在一无线电链路和/或一网络上发送。例如，所述警告可以发送到一用户的一蜂窝装置。可替代地或附加地，所述警告将发送给一监管人员和/或组织。在一些实施例中，所述外部装置的一安全级别将会取决于位置和/或时间和/或状况而改变(例如，为了在某些状况下进行操作，需要更多的用户识别)。

图4是根据本发明一实施例用于通信的系统的一电路图。在一些实施例中，一外部装置404的一线圈452b接收来自一电力发电机的电力。所述电力可选地在一TET链路上传输到所述植入医疗装置(implanted medical device,IMD)402。可选地，所述外部装置404包括用于在所述TET链路上产生噪声的一噪声生成电路427和/或调制器474。在一些实施例中，所述植入医疗装置402包括一通信电路456，所述通信电路456用于调制一信号到所述TET链路。可选地，所述信号可以调制为所述线圈452a的负载的一系列变化。例如，一可变电阻电路444和/或开关可以连接到线圈452a及相关的电路446和/或相关的整流器466。所述外部装置404的一解调器电路473可选地检测在所述TET链路上的信号。可选地，一信号清除电路434清除来自通过解调器电路473所检测到的所述信号的所述噪声和/或输出通过通信电路456所调制的所述信号。例如，电路434可以接收通过电路427所产生的一噪声记录，并且从解调器473的所述输出中减去所述有效噪声。

在一些实施例中，所述TET链路可以传输电力和/或数据到一植入医疗装置(IMD)的一电感线圈452a。可选地，线圈452a通过整流电路466(例如，如图4所示的一全桥整流器)连接到一充电控制电路464和/或一可再充电电源462。

模块456可选地配置成在一无线电收发器460a上发送和/或接收信号。例如，模块456可以配置成在一双向无线电信道422对信号进行解密和/或加密。可选地，收发器460a包括一专用天线。可替代地或附加地，收发器460a使用线圈452a作为一无线电天线。可选地，通过一控制器来控制通信。可选地，线圈452a可以连接到一信号接收器电路，所述信号接收器在所述TET链路上调制一输入信号。例如，电路可以通过一经调谐的电容器和/或带通滤波器来连接到线圈452a。

在一些实施例中，一外部装置404包括一收发器460b，所述收发器460b用于无线电信道422与医疗植入装置402的通信。可选地，外部装置404包括一处理器454。例如，处理器454可以配置成进行加密和/或解密和/或配置成生成用于加密/解密的密钥。可选地，处理器454生成一加密密钥并且通过电路456在所述TET链路上发送所述加密密钥到所述外部装置402。可选地，在所述无线电信道422上的通信使用所述加密密钥。

图5是根据本发明一实施例示出了信号流和/或安全协议的一示意图。通信和/或安全状态的各种内容可以受各种安全协议所保护，例如根据所述通信的敏感性和/或紧急性。

在一些实施例中，在一短距离TET链路513上的一通信信道用于传输522用于加密一消息的一加密密钥。所述消息可以包括例如在一通信信道510上在一外部装置504与一医疗植入装置502之间发送的另外的加密密钥526和/或一命令568a和/或一数据570a。可替代地或附加地，所述TET链路513可以用于验证571从所述外部装置504发送到所述植入医疗装置502的一消息和/或用于发送依命令568b和/或在所述植入医疗装置302与所述外部装置304之间从所述外部装置504到所述植入医疗装置502和/或从所述植入医疗装置302到所述外部装置304的数据570b。在一些实施例中，在一TET上的通信进一步受到一认证协议所保护。

在一些实施例中，一TET链路513可以用于验证571在所述信道510上上的一消息。例如，当外部装置504给出了一高敏感性的命令(例如，变更所述植入医疗装置502的一治疗参数的一命令)，所述植入医疗装置502可能需要在所述TET链路513上进行验证571。例如，验证571可以包括验证所述外部装置504在所述信道510上发送一命令568a的一简单语句。可替代地或附加地，所述验证消息可以包括一密码和/或一时间戳和/或一数据包识别号码，所述数据包识别号码(packet ID number)识别来自所述链路510的所述消息。

在一些实施例中，在所述链路510上的一会话可以具有多个安全密钥，所述安全密钥不时地变更和/或根据在所述TET链路513上传送的指令而变更和/或根据在所述信道510中的一加密对话上传送的指令而变更和/或根据在所述植入医疗装置502与所述外部装置504之间共享的存储数据。不时地切换会话密钥可能使得通过统计手段更难以打破所述信道510的加密。

在一些实施例中，所述植入医疗装置502可以周期性地发送一设定和/或治疗参数列表给所述外部装置504。例如，可以周期性地检查所述数据以确保没有不经意地和/或恶意地错误设置。

在一些实施例中，可以以一相对低的安全级别来允许在所述植入医疗装置502的治疗设置中的一有限范围的变更，而其它变更可能需要较高的安全性。例如，所述植入医疗装置504可以包括具有已存储的设置范围的一只读存储器和/或一读写存储器，可以利用相对较低的安全性来允许所述已存储的设置范围。可替代地或附加地，与一较大的变更相比，可以利用较低的安全性来允许参数中相对小的变更。

在一些实施例中，所述TET链路513可以包括一电感信道。例如，一信号和/或能量可以从所述外部装置504的一电感器(例如一线圈552b)发送到所述植入医疗装置502的一电感器(例如一线圈552a)。在一些实施例中，所述信道510可以包括一无线电信道。例如，无线电信号可以在所述植入医疗装置504的一收发器560a与所述外部装置504的一收发器560b之间来回发送。可选地，收发器560a可以包括一专用天线。可替代地或附加地，收发器560a可以使用线圈552a作为一天线。

在一些实施例中，n个植入医疗装置可以具有各种安全状态。例如，所述植入医疗装置可以识别出一状态，在所述状态中有一增强的恶意攻击风险。例如，当所述装置(和/或植入所述装置的人)在一不安全位置时和/或当植入所述装置的人在睡眠和/或在夜间时，具有一增强的恶意攻击风险。

可选地，所述植入医疗装置504可以包括多个定位指示器和/或一传感器，以确定所述用户的一状态。例如，在具有攻击风险增强的一状态下，一装置可以不允许特定敏感的通信。可替代地或附加地，在具有增强风险的状态下，所述植入医疗装置502在一正常模式上可能需要增强的安全协议和/或验证。

在一些实施例中，一植入医疗装置502可以具有一紧急模式。例如，当一植入医疗装置502检测到一危险的健康状况的一症状时，所述植入医疗装置502可以进入一紧急模式和/或一经授权的医疗权限可以被授权将所述装置切换到所述紧急模式。例如，在所述紧急模式下，所述植入医疗装置502可以采取行动来保护所述用户(例如，增加血流量和/或稳定心脏活动)。可替代地或附加地，在所述紧急模式下，所述植入医疗装置502可以降低安全性和/或允许紧急和/或医务人员对所述植入医疗装置502的功能进行短期变更。可选地，所述植入医疗装置502可以具有一存储器(只读和/或读写)，所述存储器存储有特定动作，所述特定动作在一种或多种具有降低安全性的紧急状况下是被允许的。可选地，所述植入医疗装置102可以具有一计算机可读存储器(例如RW和/或RO存储器)，所述计算机可读存储器存储在所述临时参数到期和/或所述紧急状况改变之后可以恢复的所述恢复和/或默认和/或当前参数值。可选地，所述植入医疗装置102可以包括一实时时钟。例如，所述时钟可以用于确定一参数值何时到期和/或应该被改变。在一些实施例中，可能存在有一个或多个代码(code)和/或特殊字段(例如，一强磁场和/或具有特定极化或动态属性，例如角度)，所述代码和/或特殊字段将会修改所述植入医疗装置的功能，例如，可选地视情况而定(例如，具有一时间限制，此后会出现其它操作模式)，来进行关闭所述植入医疗装置、使所述植入医疗装置禁止治疗、使所述植入医疗装置移到一受限的操作模式(例如，一安全模式)中的一个或多个。

在一些实施例中，不同的命令和/或动作可能需要不同级别的安全性。例如，变更所述植入医疗装置502的设置的一命令可能在短期内对所述用户造成重大伤害和/或危险，这可能需要最高级别的安全性。例如，对所述植入医疗装置502的一设置的一长期变更可能对所述用户造成危险和/或伤害，这可能需要一高级别的安全性。例如，对所述植入医疗装置502的设置的一短期变更和/或不太可能对所述用户造成重大伤害或危险的一更改可能需要一中等级别的安全性。例如，健康和/或敏感数据的通信可能需要一中等级别的安全性。例如，非敏感数据(例如电池电量)的通信可能需要低级别的安全性。

在一些实施例中，不同级别的安全性可能需要不同的安全协议。例如，在最高安全性的一消息可能需要在所述TET信道513上进行单独验证。可替代地或附加地，当所述安全密钥是新的时(例如，当所述安全密钥是基于在最近一分钟内和/或最近10分钟内和/或最近半小时内和/或最近六小时内在所述TET信道上的一通信而固定时)，可以在一信道510上允许最高安全性的一消息。可选地，仅基于所述信道510的安全性和/或使用比所述最高级别旧的安全密钥下，可以接受在一高级别的安全性的一消息，例如，当所述安全密钥是基于最近10分钟内和/或最近半小时内和/或最近六小时内和/或最近一天内在所述TET信道上的一通信而固定时，和/或自上次安全密钥刷新以来所述装置是否位于一安全位置。可选地，对于中等和/或低级别的安全性，一较旧的密钥可能是可接受的和/或甚至可以使用一不安全通信链路。

在一些实施例中，可以通过认证来确保在所述TET信道上的验证和/或密钥传输。可选地，对于高级别的安全动作，可能需要对TET通信进行认证。例如，认证可以包括要求所述TET信道传输大量电力和/或能量和/或长时间传输电力(这对于一恶意入侵者而言可能特别困难)。可替代地或附加地，认证可能需要使用一代码或所述外部装置504的识别码的另一种验证。可替代地或附加地，认证可以包括在所述TET上接受一安全密钥之前，在另一个信道(例如，信道510)上的安全验证。在一些实施例中，所述验证571可以包括在所述TET513链路上发送一参数值。在一些实施例中，验证将包括重复在信道510上发送的一参数值。可替代地或附加地，可以在信道510上给出一命令以变更一参数值，并且可以在所述TET链路513上给出新的值。可替代地或附加地，可以在信道510上给出一值，并且可以在所述TET链路513上发送定义要变更哪个参数的一消息。在一些实施例中，一认证可以包括对一操作者识别的一要求。例如，一外部装置504可以包括一生物识别装置和/或用于识别一操作者的一输入装置。在一些实施例中，一医疗植入装置502在验证之前允许状态和/或治疗参数的暂时变更。例如，当及时接收到验证时，可以保留所述新的状态。可选地，当在一预定时间内没有接收到验证时，所述植入医疗装置502可以恢复到一先前状态和/或参数。在一些实施例中，当一敏感命令从所述外部装置504发送给所述植入医疗装置302时，所述植入医疗装置502将在所述TET链路上发送一验证码给所述植入医疗装置504。可选地，仅当所述外部装置504重复所述验证码和/或所述命令给所述植入医疗装置502时，所述植入医疗装置502才会实施所述命令。

图6是根据本发明一实施例的一植入医疗装置602的一框图。在一些实施例中，一植入医疗装置602包括一治疗单元682和/或一传感器单元690例如，一治疗单元可以包括将疗法应用到组织的致动器686a、686b。例如，所述传感器单元690可以包括感测所述装置的一用户的状况的传感器688a、688b。

一些实施例中，一植入医疗装置672可以装在一保护的盖672中(例如，所述盖672可以是防水的、生物相容的、保护所述用户免受所述植入医疗装置的内部部件的伤害和/或保护所述用户免受电击和/或保护述植入医疗装置602的内部部件免受体液的侵害和/或保护述植入医疗装置免受物理损坏，例如敲打)。可选地，一个或多个传感器(例如传感器688a)在盖672的内部。例如，传感器688a可以感测一磁场。可替代地或附加地，一传感器延伸到盖672的外部(例如，传感器688b)。例如，传感器688b可以包括一电极、压力换能器、热电偶和/或流量计。

在一些实施例中，一个或多个致动器(例如致动器686a)在盖672的内部。例如，一致动器688a可以产生一磁场。可替代地或附加地，一致动器延伸到盖672的外部(例如致动器686b)。例如，致动器686b可以包括一电极、一超声换能器和/或一加热元件。在一些实施例中，一单个元件既可以作为一传感器又可以作为一致动器。例如，一电极可以用于收集关于所述用户内部的电信号的信息和/或也可以施加一电信号。例如，植入医疗装置可以包括一起搏器和/或一植入式心脏除颤器(implantable cardiac defibrillator,ICD)和/或一心脏收缩性调制(cardiac contractility modulation,CCM)装置。例如，所述装置可以在所述心搏周期的各个时期施加起搏信号和/或非兴奋性信号。

可以预期，在本申请到期的专利有效期内，将开发许多相关的通信、传感和/或治疗技术，并且术语“信道”、“传感器”、“噪声”、“信号”、“致动器”的范围旨在包括所有此类新技术。

如本文所使用的术语“约”是指±5％。

术语“包括”、“包含”、“包括”、“包含”、“具有”及其同根词意味着“包括但不限于”。

术语“由...组成”意指“包括并限于”。

术语“基本上由...组成”是指该组合物、方法或结构可包括其他成分、步骤和/或部分，但前提是其他成分、步骤和/或部件不会实质性改变所要求保护的组合物、方法或结构的基本和新颖特征。

如本文所使用的，单数形式“一个”、“一种”和“所述”包括复数引用，除非上下文另外明确指出。例如，术语“一种化合物”或“至少一种化合物”可以包括多种化合物，包括其混合物。

在整个申请中，本发明的各种实施例可以以范围格式呈现。应当理解，范围格式的描述仅是为了方便和简洁，而不应被解释为对本发明范围的不灵活的限制。因此，应该将范围的描述视为已明确公开了所有可能的子范围以及该范围内的各个数值。例如，对范围从1到6的描述应被视为已明确公开了从1到3，从1到4，从1到5，从2到4，从2到6，从3到6等子范围，以及该范围内的单个数字，例如1、2、3、4、5和6。这与范围的广度无关。

每当在本文中指示数值范围时，其意在包括在指示范围内的任何引用数字(分数或整数)。短语“在第一指示数字和第二指示数字之间的范围/范围”和从第一指示数字“到”第二指示数字的“范围/范围”在本文中可互换使用，并且意在包括第一和第二指示数字以及它们之间的所有小数和整数。

应当理解，为清楚起见在单独的实施例的上下文中描述的本发明的某些特征也可以在单个实施例中组合提供。相反，为简洁起见，在单个实施例的上下文中描述的本发明的各种特征，也可以单独地或以任何合适的子组合或在本发明的任何其他所述的实施例中合适地提供。在各种实施例的上下文中描述的某些特征不应被认为是那些实施例的必要特征，除非该实施例没有那些要素就不能工作。

尽管已经结合本发明的特定实施例描述了本发明，但是显然，许多替代、修改和变化对于本领域技术人员将是显而易见的。因此，旨在涵盖落入所附权利要求书的精神和广泛范围内的所有这样的替代、修改和变化。

本说明书中提及的所有出版物、专利和专利申请都通过引用整体并入本文，其程度与好像每个单独的出版物、专利或专利申请被具体地和单独地指示通过引用并入本文的程度相同。

另外，在本申请中对任何参考文献的引用或标识均不应解释为承认该参考文献可用作本发明的现有技术。就使用章节标题而言，不应将其解释为必然的限制。另外，本申请的任何优先权文件在此全文以引用方式并入本文。