Sichere Kommunikationsverbindung zwischen medizinischen Geräten einer Datenmanagementvorrichtung

TECHNISCHES GEBIET

Die vorliegende Erfindung betrifft das Gebiet der Selbsttherapie mittels Injektions- und Infusionsgerä ten sowie dem damit verbundenen Management von Therapiedaten, insbesondere dem Etablieren von sicheren Datenübertragungsverbindungen zwischen therapiebezogenen Geräten und Datenmanage mentvorrichtungen.

HINTERGRUND DER ERFINDUNG

Portable medi inische Geräte, wie Injektionsgeräte, portable Infusionspumpen oder auch Blutzucker messvorrichtungen, verfügen heute über die Möglichkeit, Daten drahtlos auf andere Geräte zu übertra gen. Beispielhaft können Blutzuckermesswerte von einer Blutzuckermessvorrichtung auf ein Diabetes managementgerät (insbesondere ein Mobiltelefon) via Bluetooth übertragen werden. Ergänzend können beispielhaft V erabreichungsgeräte wie Insulinpumpen die V erabreichungshistorie via Bluetooth an das selbe Diabetesmanagementgerät übertragen. Umgekehrt ist es möglich Anweisungen vom Datenma nagementgerät an zum Beispiel ein V erabreichungsgerät zu Übertragen. Die übertragenen Daten sind einerseits im Falle von Therapiedaten oder Messdaten sensible Daten und zumindest im Falle von The rapieanweisungsdaten patientenkritische Daten, die vor Fremdzugriff gesichert werden müssen. Die B luetoothtechnologie steht standardmässig bereits verschiedene Möglichkeiten bereit, um drahtlose Verbindungen auf der Transportebene abhörsicher gestalten zu können. Die bereitgestellten Möglich keiten decken jedoch nicht alle denkbaren Angriffsszenarien ab, weshalb es Sinn macht, auf Applikati- onsebene weitere Sicherheitsmassnahmen (insbesondere eine zusätzliche Verschlüsselung der Daten) umzusetzen.

Aus der W02017200989 Al sind Geräte und Verfahren bekannt, bei welchen in allen Geräten, die mit einander Daten austauschen sollen, ein und derselbe statische Schlüssel hinterlegt ist, um zusätzliche Sicherheit in der Applikationsebene zu etablieren. Das hat den Nachteil, dass auf allen Geräten des Systems derselbe Schlüssel gespeichert ist.

In einem alternativen Ansatz zur Verbesserung der Sicherheit einer Datenaustauschverbindung zwi schen Glukosemonitor (oder Patch Pumpe) und einer Kontrolleinheit ist aus der WO2016092448 Al die Möglichkeit bekannt, dass zur Bildung eines Schlüssels für die Bluetoothverbindung ein im Glukose monitor (oder in der Patch Pumpe) hinterlegtes Einmalpasswort verwendet werden kann. Das heisst, nach einmaligem Gebrauch wird das Passwort blockiert, so dass keine Verbindung mit einem anderen Gerät eingegangen werden kann. Nachteilig ist an dieser Lösung, dass ein Glukosemonitor (oder eine Patch Pumpe) immer an derselben Kontrolleinheit verwendet werden muss.

DARSTELLUNG DER ERLINDUNG

Es ist eine Aufgabe der Erfindung, alternative Verfahren und Systeme für das Etablieren von sicheren Datenkommunikationsverbindungen zwischen portablen medi inischen Geräten und Datenmanage mentvorrichtungen bereitzustehen.

Die Aufgabe wird gelöst durch Verfahren und System gemäss den unabhängigen Ansprüchen. Vorteil hafte W eiterbildungen und Ausführungen sind in den abhängigen Ansprüchen sowie der Beschreibung und den Zeichnungen dargelegt.

Ein Aspekt der Erfindung ist ein Verfahren zum Etablieren einer sicheren Datenkommunikationsver bindung zwischen einem portablen medizinischen Gerät (MG), insbesondere einem Infusionsgerät, ei nem Injektionsgerät oder einer Blutzuckermessvorrichtung, und einer Datenmanagementvorrichtung (DV). Der Begriff„Daten“ ist dabei breit auszulegen und kann im Kontext des vorliegenden Dokuments Informationen, wie zum Beispiel historische Daten, Zustandsinformation oder Einstellungen des MG, umfassen. Weiter kann der Begriff aber auch Einstellungen, Befehle und Anweisungen, welche von Gerät zu Gerät übertragen werden, umfassen. Auch kann der Begriff„Daten“ Authentifizierungsinfor- mationen oder Signaturen im Rahmen der Kommunikation mit meinen. Der Begriff„medizinisches Ge rät“ umfasst (intelligente) Geräte, welche von einem Patienten selbst bedient werden können und bevor zugt am Patienten getragen werden können, insbesondere zur subkutanen Verabreichung von Medika menten oder zur Messung von physiologischen Messgrössen, und welche mit den notwendigen (elekt ronischen) Prozessoreinheiten ausgestattet sind. Die Geräte umfassen auch (intelligente) Zusatzgeräte, welche lösbar mit einem mechanischen Injektionsgerät verbunden werden können.

Das erfindungsgemässe Verfahren umfasst in einem Aspekt zumindest die folgenden Schritte. Vom MG wird out-of-band (OOB) ein öffentlicher Schlüssel sowie optional weitere Informationen auf die DV übertragen. Weiter bauen MG und DV unabhängig vom übertragenen öffentlichen Schlüssel eine Blue- tooth (BT) Verbindung auf, welche verschlüsselt ist. Nach Aufbau dieser BT-Verbindung übermittelt die DV einen öffentlichen Schlüssel zum MG über die aufgebaute BT-Verbindung. Aus dem von MG auf DV übertragenen öffentlichen Schlüssel und einem geheimen Schlüssel der DV berechnet die DV ein gemeinsames Geheimnis und umgekehrt berechnet das MG aus dem von DV auf MG übertragenen öffentlichen Schlüssel und einem geheimen Schlüssel des MG dasselbe gemeinsame Geheimnis wie die DV. In der Folge wird auf Basis des gemeinsamen Geheimnisses unter Ableitung eines gemeinsamen Schlüssels (der mit dem gemeinsamen Geheimnis übereinstimmen kann aber nicht muss), welcher durch MG und DV berechnet wurde, eine verschlüsselte End-zu -End- V erbindung aufgebaut. Diese End-zu- End- verschlüsselte Verbindung wird im sogenannten application security layer (ASL) erstellt, also auf Anwendungsebene, während die BT-Verbindung auf der Transportebene ebenfalls eine Verschlüsse lung umfasst.

Gegenüber dem Stand der Technik hat die Erfindung den Vorteil, dass einerseits der standardisierten Verschlüsselung durch das BT-Protokoll eine zusätzliche Verschlüsselung hinzugefügt wird und ande rerseits ein MG durchaus (hintereinander) mit unterschiedlichen DVs verbunden werden kann.

In einem Aspekt der Erfindung wird der öffentliche Schlüssel vom MG auf die DV mittels Nahfeldkom munikation, insbesondere NFC, übertragen. Nahfeldkommunikation hat den Vorteil, dass sie zwischen Geräten nur dann funktioniert, wenn die Geräte (geometrisch) sehr nahe beieinander sind, im Bereich von Zentimetern, was das Abhören der Kommunikation erschwert.

In einem Aspekt der Erfindung zeigt das MG den zu übertragenen öffentlichen Schlüssel auf zum Bei spiel einem Display an. In möglichen Ausgestaltungen kann der Schlüssel hierbei bevorzugt dynamisch generiert werden und beispielhaft für einen bestimmten Zeitraum auf dem bespielhaft erwähnten Dis play angezeigt werden. Die DV kann zum Empfang des öffentlichen Schlüssels vom MG ein passendes optisches Mittel, insbesondere eine Kamera, umfassen, mit welchem der angezeigte Schlüssel aufge zeichnet wird. Der Schlüssel kann vom MG als Barcode, QR-Code, durch eine andere graphische Re präsentation oder auch textuell dargestellt werden.

In einem alternativen Aspekt der Erfindung kann der öffentliche Schlüssel, welcher vom MG auf die DV übertragen wird, am MG angeordnet sein. Hierzu kann der Schlüssel auf dem Gehäuse des MG aufgedruckt oder (z. B. in Form einer Etikette) aufgeklebt sein, so dass er über eine Kamera an der DV in der DV empfangen werden kann. In einer weiteren Ausgestaltung, kann der der Schlüssel an der Verpackung des MG oder auf einer Beilage der Verpackung angeordnet sein. Der Schlüssel kann hierbei als Barcode, QR-Code, eine andere graphische Repräsentation oder auch textuell dargestellt sein.

In einem Aspekt der Erfindung erfolgt der Aufbau der BT-Verbindung, insbesondere Bluetooth LE, nach dem just-works-Prinzip, wie es in der Bluetooth-Spezifikation (https://www.bluetooth.com/spe- cifications/archived-specifications: Version 5: Bluetooth Core Specification V 5.0, Dec 06, 2016) be schrieben ist, welche hiermit durch Verweis vollständig in das vorliegende Dokument aufgenommen ist. Bevorzugt findet heim Etablieren der BT Verbindung ein Diffie-Hellman-artiger Schlüsseltausch statt, wie nach der BT-Spezifikation möglich. In einer möglichen Ausgestaltung werden die Schlüssel mittels Elliptic Curve Diffie-Hellman P256 Methode generiert. Hierbei tauschen das MG und die DV auf der Bluetooth-Transportebene via die BT-Verbindung (welche dann noch unverschlüsselt ist) öf fentliche Schlüssel aus und generieren parallel zueinander aus dem jeweils empfangenen öffentlichen Schlüssel des anderen Gerätes und einem eigenen geheimen Schlüssel ein gemeinsames Geheimnis. Dieses gemeinsame Geheimnis ist die Basis für einen gemeinsamen Langzeitschlüssel, welcher für die weitere Kommunikation zwischen den beiden Geräten als Basis dient. Das gemeinsame Geheimnis kann dabei den Langzeitschlüssel darstellen, oder er wird aus dem gemeinsamen Geheimnis ein Langzeit schlüssel einmalig, wiederholt oder periodisch abgeleitet werden. Der Langzeitschlüssel ist dabei erfin- dungsgemäss 128 Bit lang oder länger. Zwischen MG und DV ist somit eine verschlüsselte BT-Verbin- dung aufgebaut, über welche die DV ihren öffentlichen Schlüssel übertragen kann, und über welche die erfindungsgemäss End-zu-End- verschlüsselten Daten noch einmal verschlüsselt werden.

In einem Aspekt der Erfindung werden für die End-zu-End-V erschlüsselung (analog) ebenfalls Lang zeitschlüssel generiert, welche validiert und nach erfolgreicher Validierung in beiden Geräten auf der Applikationsebene gespeichert werden.

In einem Aspekt der Erfindung wird das Paar aus öffentlichem und geheimem Schlüssel für die End-zu- End-Verschlüsselung im MG und/oder der DV dynamisch generiert. Zum Beispiel kann ein Schlüssel paar für jede neue Verbindung von einem MG zu einer DV im MG und/oder in der DV neu generiert werden. Alternativ ist es auch möglich, dass in einem MG ein Schlüsselpaar heim ersten Start des MG generiert wird, und das Schlüsselpaar danach nicht mehr verändert wird. In einer weiteren Alternative wird das Schlüsselpaar des MG noch im Produktionswerk, insbesondere im Rahmen der Gerätetestung generiert und danach nicht mehr verändert. In einer weiteren erfindungsgemässen Ausgestaltung wird das Schlüsselpaar für die End-zu-End-Verschlüsselung in der DV bei der Installation der Software auf der Vorrichtung generiert. Alternativ wird zum Beispiel bei jeder neuen Verbindung ein neues Schlüs selpaar generiert oder regelmässig (zeitabhängig) erneuert.

In einem Aspekt der Erfindung betrifft die Erfindung ein System, welches aus mindestens einem MG und einer DV besteht, zwischen welchen eine sichere und erfindungsgemässe Datenübertragungsver bindung etablierbar ist. In einer Ausgestaltung dieses Aspektes ist die DV ein Mobiltelefon, insbeson dere ein Smart Phone (wie ein Apple iPhone) oder ein Handheld Computer (wie ein Tablet, beispielhaft in Form eines Apple iPads. In einer weiteren alternativen Ausgestaltung kann die DV auch als dedizier- tes Datenmanagement und Steuergerät für das mindestens eine MG ausgestaltet sein, insbesondere als Personal Diabetes Manager (PDM). In einer weiteren Alternative kann die DV auch ein PC oder PC Notebook sein. In einer Ausgestaltung dieses Aspektes kann das MG als Infusionspumpe insbesondere als Insulinpumpe ausgestaltet sein. In einer Variante dieser Ausgestaltung kann es sich um eine konven tionelle Insulinpumpe handeln. In einer weiteren Variante dieser Ausgestaltung kann es sich bei der Insulinpumpe um eine sogenannte Patch Pumpe handeln, welche direkt auf der Haut getragen wird. Die Patch Pumpe kann hierbei insbesondere auch modular auf gebaut sein und zumindest aus einem Einweg modul, welches ein Reservoir umfasst, sowie einem Mehrwegmodul bestehen, welches zumindest Teile der Steuerelektronik umfasst. Die konventionelle Insulinpumpe umfasst dabei eine Anzeige, auf welcher der öffentliche Schlüssel der Insulinpumpe für die End-zu-Endverschlüsselung erfindungsgemässe für die OOB -Übertragung darstellbar ist. Alternativ kann der öffentliche Schlüssel auch auf dem Gehäuse fest angeordnet sein. Die Patch Pumpe kann zur OOB -Übertragung ein NFC-Tag umfassen, auf wel chem der insbesondere dynamisch generierte öffentliche Schlüssel lesbar abgelegt ist. Alternativ kann auch bei der Patch Pumpe der öffentliche Schlüssel auf das Gehäuse gedruckt sein. Auch bei der kon ventionellen Insulinpumpe kann die OOB -Übe rtr agung des öffentlichen Schlüssels in einer Variante über NFC erfolgen.

In einer weiteren Ausgestaltung des Aspektes kann das MG als Blutzuckermessgerät oder als (quasi-) kontinuierliche Blutzuckermessvorrichtung ausgestaltet sein. Insbesondere bei der OOB -Übertragung von MG zur DV können dieselben beschriebenen Verfahren zum Einsatz gelangen wie oben beschrie ben.

In einer weiteren Ausgestaltung des Aspektes kann das System mehrere MGs in Form von Infusions und Messvorrichtungen umfassen, insbesondere zumindest eine Insulinpumpe und ein Blutzuckermess gerät sowie alternativ oder ergänzend zum Blutzuckermessgeräte eine (quasi-) kontinuierliche Blutzu ckermessvorrichtung.

FIGUREN

In Zusammenhang mit den angehängten Figuren werden nachfolgend bevorzugte Ausführungsformen der Erfindung beschrieben. Diese sollen grundsätzliche Möglichkeiten der Erfindung aufzeigen und kei nesfalls einschränkend ausgelegt werden.

Fig. 1 Symbolische Darstellung von einem Smart Phone und einer Infusionspumpe bei der out-of- band-Schlüsselübertragung von Pumpe auf Smart Phone in einer ersten Ausführungsform. (Phase 1)

Fig. 2 Symbolische Darstellung der ersten Ausführungsform im Stadium des Aufbaus einer BT Ver bindung zwischen Smart Phone und Infusionspumpe nach dem just-works-Prinzip. (Phase 2) Fig. 3 Symbolische Darstellung der ersten Ausführungsform beim Übertragen des öffentlichen

Schlüssels des Smart Phones über die just-works-BT-Verbindung und des folgenden Aufbaus der End-zu-End- V erschlüsselung in der Applikationsebene. (Phase 3)

Fig. 4 Sequenzdiagramm für die erste Ausführungsform

Fig. 5 Sequenzdiagramm für eine zweite Ausführungsform FIGURENBESCHREIBUNG

Im Folgenden wird die Erfindung anhand von zwei einfachen Beispielen dargelegt. Dem Fachmann werden dadurch weitere erfindungsgemässe Ausführungen nahegelegt, welche mehr Geräte und Vor richtungen umfassen. Diese weiteren Ausführungen gehören mit zur Erfindung. Die unten aufgeführten Beispiele der Erfindung sind einfach gehalten, um den grundsätzlichen Erfindungsgedanken klar darle gen zu können.

Die Figuren 1 bis 4 beziehen sich auf eine erste Ausführungsform der Erfindung. Bei dieser ersten Aus führungsform umfasst das System zumindest eine als Smart Phone 10 ausgestaltete DV und ein als modulare Patch Pumpe für Insulin 1 ausgestaltetes MG. Die Figuren 1 bis 3 zeigen symbolisch die verschiedenen Phasen der Etablierung der sicheren Daten-Kommunikationsverbindung. Beim Smart Phone 10 kann es sich beispielhaft um ein Galaxy S9 des Herstellers Samsung mit all seinen Eigen schaften und Spezifikationen handeln. Auf eine ausführliche Beschreibung der Eigenschaften und Spe zifikationen eines Smart Phones - soweit nicht für die Darlegung der Erfindung notwendig - wird an dieser Stelle verzichtet, da diese öffentlich vorbekannt sind. Die Patch Pumpe 1 , begrifflich wird sie im deutschen Sprachraum auch als Pflasterpumpe bezeichnet, ist zum Beispiel in der Patentanmeldung EP 3443996 Al beschrieben, wobei die EP 3443996 Al hiermit durch Verweis vollständig in das vorlie gende Dokument aufgenommen ist. Die Patch Pumpe ist wie erwähnt modular ausgestaltet und umfasst eine Reservoireinheit 2 und eine Steuereinheit 3, welche lösbar miteinander verbindbar sind. Die Steu ereinheit 3 umfasst zumindest einen Teil der Steuerelektronik der Patch Pumpe 1. Insbesondere umfasst die Steuereinheit 3 eine NFC-Einheit 4 für die Nahfeldkommunikation sowie eine Bluetooth-Einheit 7 zum Aufbau und Unterhalt von Bluetooth- V erbindungen mit weiteren Geräten wie zum Beispiel dem Smart Phone 10. Das Smart Phone 10 umfasst insbesondere auch eine NFC-Einheit 11 sowie eine Blue tooth-Einheit 13. Weiter umfasst das Smart Phone 10 auch ein Display 12 sowie zumindest eine Kamera 15. Das Smartphone umfasst auch ein Betriebssystem, z. B. Android, sowie eine App 16, welche dem Datenaustausch mit dem MG und/oder der Steuerung desselben dient. Im hier dargelegten Beispiel der ersten Ausführungsform umfasst die Patch Pumpe 1 kein Display oder Anzeige.

Im Folgenden wird das Verfahren zum Etablieren der erfindungsgemässen sicheren Daten-Kommuni kationsverbindung bezugnehmend auf die Figuren 1 bis 4b beschrieben. Das Verfahren durchläuft ver schiedene Phasen. Phase 1 ist in Figur 1 dargelegt. In dieser Phase ist die Steuerelektronik der Patch Pumpe aktiviert und hat ein Schlüsselpaar für die zu etablierende End-zu-End-Verschlüsselung dyna misch generiert. Dieses Schlüsselpaar besteht aus einem öffentlichen Schlüssel 5a und einem geheimen Schlüssel 5b. Der öffentliche Schlüssel 5a ist in Phase 1 für externe NFC Lesegeräte lesbar in der NFC Einheit 4 abgelegt, wobei die NFC Einheit 4 dafür ein sogenanntes NFC Tag umfassen kann. Weiter legt die Steuerelektronik der Patch Pumpe 1 ebenfalls Informationen 6 zur Patch Pumpe, wie eine Ge räteidentifikation oder eine Seriennummer, ebenfalls lesbar in der NFC-Einheit 4 ab. In Phase 1 wird auf dem Smart Phone die App 16 gestartet und eine darin enthaltene Funktion zur Aufnahme einer Verbindung mit einem MG ausgewählt, wobei NFC-Einheit 11 und Bluetooth-Einheit 13 des Smart- phones 10 aktiviert sind. Sobald die App 16 bereit ist, wird das Smart Phone 10 so nahe an die Patch Pumpe 1 heran bewegt, dass die NFC-Einheit 11 des Smart Phones 10 den in der NFC-Einheit 4 abge legten öffentlichen Schlüssel 5a sowie die Geräteinformationen 6 auslesen und in die App 16 übertragen kann, wobei diese Art der Schlüsselübertrag als out-of-band-Übertragung (OOB) 22 genannt wird, weil die eigentliche Datenkommunikationsverbindung anschliessend über Bluetooth und nicht NFC aufge baut wird.

Nach erfolgreicher Übertragung der beschriebenen Daten via NFC veranlasst die App 16 oder die Patch Pumpe 1 in Phase2 (siehe Figur 2) den Aufbau einer B luetooth- V erbindung 20, insbesondere Bluetooth LE, insbesondere Bluetooth LE Secure Connection, nach dem just-works-Prinzip, wobei zwischen den Bluetooth-Einheiten 7 und 13 eine verschlüsselte Verbindung 20 aufgebaut wird. Beim Aufbau der BT- Verbindung nach dem just-works-Prinzip kommt in vorteilhaften Ausgestaltungen ein Diffie-Hellman- , oder ein Diffie-Hellmann-Merkle-Schlüsseltausch zum Einsatz. Nach Phase 2 besteht also eine ver schlüsselte Verbindung zwischen der Patch Pumpe 1 und dem Smart Phone 10. Wichtig dabei ist, dass insbesondere heim Smart Phone 10 die Daten nur bis in die B luetooth-Einheit 13 verschlüsselt sind, so dass die Möglichkeit besteht, dass auch andere Apps als die App 16 Zugriff auf die Daten haben.

Unter anderem deshalb wird erfindungsgemäss noch eine zusätzliche Verschlüsselung der Daten einge setzt, welche die Daten erst innerhalb des App-Containers der App 16 entschlüsselt, so dass sicherge stellt ist, dass nur die App 16 Zugriff auf die übertragenen Daten hat. Diese zusätzliche Verschlüsselung wird in Phase 3 (siehe Figur 3) etabliert. Hierzu hat auch die App 16 ein Schlüsselpaar generiert, welches aus einem öffentlichen und einem geheimen Schlüssel besteht. Der öffentliche Schlüssel 14a wird nun unverschlüsselt von der App 16 an die Bluetooth-Einheit 13 weitergegeben, welche den Schlüssel 14a über die (verschlüsselte) Bluetooth-Verbindung 20 an die Patch Pumpe 1 sendet, wo die Bluetooth- Einheit 7 den öffentlichen Schlüssel zur weiteren Verarbeitung weitergibt. Nun berechnet die Patch Pumpe 1 aus dem öffentlichen Schlüssel 14a der App 16 (Smart Phone 10) und dem geheimen Schlüssel 5b das gemeinsame Geheimnis 23 nach dem Prinzip des Diffie-Hellman- oder Diffie-Hellman-Merkle- Schlüsseltausch und Geheimnisgenerierung. Aus dem Geheimnis wird schlussendlich ein symmetri scher Langzeitschlüssel 24 abgeleitet, welcher in der App 16 resp. der Patch Pumpe 1 für diese Verbin dung hinterlegt (gespeichert) wird. Wie weiter oben erwähnt kann das gemeinsame Geheimnis direkt als Langzeitschlüssel dienen, oder es wird einmalig, wiederholt oder periodisch ein Langzeitschlüssel daraus abgeleitet. Der Langzeitschlüssel 24 dient sodann der End-zu-End-Verschlüsselung zwischen App 16 und Patch Pumpe 1. wobei als Verschlüsselungsverfahren für die End-zu -End-Übertragung der Daten zum Beispiel AES-CCM 128 Bit oder ChaCha20-Polyl305 eingesetzt werden kann.

Typischerweise wird die korrekte Berechnung von Geheimnis und Langzeitschlüssel durch einen Vali dierungsprozess überprüft. Zum Beispiel kann die App eine Zufallszahl verschlüsselt an die Patch Pumpe senden. Die Patch Pumpe entschlüsselt die Zufallszahl und führt damit eine vorgegebene mathe matische Operation aus, und sendet das Resultat verschlüsselt zurück an die App 16. Der App 16 ist die von der Patch Pumpe 1 durchgeführte Operation ebenfalls hinterlegt, so dass das entschlüsselte Resultat in der App 16 überprüft werden kann. Ergänzend kann der V alidierungsprozess von der Patch Pumpe 1 aus wiederholt werden, oder er kann grundsätzlich von der Patch Pumpe 1 ausgehen. Nachdem auch die potentielle Validierung erfolgreich abgeschlossen ist, ist die End-zu-End- verschlüsselte Übertragung von Informationen, wie Historiendaten, Einstellungsangaben oder Befehlen (der Begriff Daten ist also breit auszulegen) zwischen App 16 und Patch Pumpe 1 möglich und ein authentischer Austausch End- zu-End-verschlüsselter Daten ist zwischen App und Patch Pumpe möglich. Optional und vorteilhaft können Datenpakete durch das sendende Gerät zusätzlich noch signiert werden.

Figur 4 zeigt das dem Verfahren zugrunde liegende Sequenzdiagramm für die Phasen 1, 2 sowie Phase 3 mit Validierung. Das Sequenzdiagramm ist in vier Spalten aufgeteilt: Die benutzende Person 0, die App 16, die Patch Pumpe 1, wobei in Patch Pumpe 1 auch der BT Security Service 8 sowie der Appli cation Security Layer 9 (Applikationsebene) unterschieden werden. Die Ablaufsequenz wird beispiel haft folgend beschrieben, wobei die Beschreibung vereinfacht ist und dem Fachmann auf dem Gebiet die Details aus der Figur 4 offensichtlich sind. Die Sequenz startet, wenn die benutzende Person 0 das medizinische Gerät, hier die Patch Pumpe 1, zusammenhaut (Schritt 101), wodurch die Patch Pumpe aktiviert wird, welche das Schlüsselpaar 5a, 5b generiert (Schritt 102), sowie den generierten öffentli chen Schlüssel 5a sowie Geräteinformation 6 in die NFC-Einheit 4 schreibt (Schritt 103). Die benut zende Person 0 bewegt das Smart Phone 10 nun nahe an die Patch Pumpe 1 heran (Schritt 104), so dass die NFC-Einheit 11 des Smart Phones 10 die NFC-Einheit 4 auslesen kann (Schritt 105), wobei der öffentliche Schlüssel 5a und die Geräteinformation 6 von der Patch Pumpe 1 auf das Smart Phone 10 übertragen werden (Schritt 106). Es folgt nun in Schritt 107 der Aufbau der Bluetooth-just-works-V er- bindung 20. Das Smart Phone 10 generiert sodann selber ein Schlüsselpaar 14a, 14b in Schritt 108 und überträgt den öffentlichen Schlüssel 14a über die BT Verbindung 20 auf die Patch Pumpe 1 in Schritt 109. Auf beiden Geräten, der Patch Pumpe 1 und dem Smart Phone 10 (in der App 16), wird nun der Langzeitschlüssel 24 generiert (Schritt 110). Nachdem nun der gemeinsame Langzeitschlüssel 24 be kannt ist, kann über den Challenge-Prozess 111 (auch Challenge-Response-Prozess genannt) eine Vali dierung der End-zu-End-Verschlüsselung 21 stattfinden. Ist diese Validierung erfolgreich, wird die Se quenz abgeschlossen in dem der Langzeitschlüssel 24 gespeichert wird (Schritt 112).

In einer zweiten Ausführungsform umfasst das System gleich wie bei der ersten Ausführungsform ein Smart Phone 10 als DV. Anders als bei der ersten Ausführungsform ist das MG nun keine Patch Pumpe sondern entweder eine konventionelle Insulinpumpe oder ein Blutzuckermessgerät (beides als 30 be zeichnet). Das MG verfügt in dieser Ausführungsform über eine Anzeige in Form von zum Beispiel eines LCD oder OLED Displays 31. Auf der Anzeige können Text oder graphische Repräsentation (ins besondere als QR-Code oder Barcode) dynamisch dargestellt werden.

Das erfindungsgemässe Verfahren zur Etablierung der sicheren Daten-Kommunikationsverbindung zwischen App 16 und dem MG 30 unterscheidet sich von der ersten Ausführungsform in Phase 1 :

Im Unterschied zur ersten Ausführungsform wird der öffentliche Schlüssel 32a des MG 30 nicht via NFC übertragen, sondern bei Bedarf textuell oder als graphische Repräsentation 33 (insbesondere kann die graphische Repräsentation 33 weiter auch Information zum Gerät 37 beinhalten) auf der Anzeige angezeigt. Die Übertragung erfolgt optisch, indem die zumindest eine am Smart Phone 10 angeordnete Kamera 15 die Anzeige 31 des MG 30 scannt und die App 16 aus dem gescannten Bild die Repräsenta tion 33 des öffentlichen Schlüssels 32a sowie Geräteinformation 37 extrahiert und folgend den Schlüssel 32a an sich generiert. Der Schlüssel 32a wird dann analog zur ersten Ausführungsform weiterverwendet. Phasen 2 und 3 sind bei der zweiten Ausführungsform gleich wie bei der ersten Ausführungsform. Es wird entsprechend darauf verwiesen.

Figur 5 zeigt das entsprechende Sequenzdiagramm für die zweite Ausführungsform. Die benutzende Person 0 navigiert in Schritt 201 im Menu des MG 30 in das Pairing Menu, um den Pairingvorgang zu starten. Anschliessend wird in Schritt 202 das Schlüsselpaar 32a, 32b generiert. Weiter generiert das MG im nächsten Schritt 203a die graphische Repräsentation 33 (hier beispielhaft einen QR code) aus dem öffentlichen Schlüssels 32a und zugehöriger Geräteinformation 37, welche danach auf der Anzeige 31 dargestellt wird (Schritt 203b). Die benutzende Person 0 bewegt das Smart Phone 10 mit Kamera 15 zum MG 30 hin (Schritt 204) und scannt sodann mit der Kamera 15 die graphische Repräsentation 33 (Schritt 205). Die weitere Sequenz folgt analog der ersten Ausführungsform. Entsprechend wird in Schritt 207 die BT-just-works-Verbindung 20 aufgebaut. Folgend wird im Smartphone 10 das Schlüs selpaar 14a, 14b generiert (Schritt 208) und danach der öffentliche Schlüssel 14a auf das MG 30 via die BT-Verbindung 20 übertragen (Schritt 209). MG und Smart Phone generieren folgend den Langzeit schlüssel 24 (Schritt 210) und validieren diesen über den Challenge-Prozess 211. Schlussendlich und nach erfolgreicher Validierung der End-zu-End-Verschlüsselung wird der Langzeitschlüssel 24 in Schritt 212 in beiden Geräten 10 und 30 gespeichert.

BEZUGSZEICHENLISTE

0 Benutzende Person

1 Patch Pumpe

2 Reservoireinheit

3 Steuereinheit

4 NFC-Einheit 5a öffentlicher Schlüssel

5b geheimer Schlüssel

6 Geräteinformationen

7 B luetooth-Einheit

8 Bluetooth Security Service

9 Application Security Layer (MG)

10 Smart Phone

11 NFC-Einheit

12 Display

13 B luetooth-Einheit

14a öffentlicher Schlüssel

14b geheimer Schlüssel

15 Kamera

16 App

20 Bluetooth-just-works-Verbindung

21 End-zu-End-verschlüsselte -Verbindung über Bluetooth

22 Ouf-of-band-Übertragung

23 gemeinsames Geheimnis

24 Langzeitschlüssel

30 MG (Insulinpumpe oder Blutzuckermessgerät)

31 Anzeige

32a öffentlicher Schlüssel

32b geheimer Schlüssel

33 graphische Repräsentation von 32a

34 Bluetooth Security Layer

36 Application Security Layer

37 Geräteinformationen

101 Zusammenbau Patch Pumpe 1

102 Generieren von öffentlichem 5a und geheimem 5b Schlüssel in Patch Pumpe 1

103 Beschreiben NLC-Einheit 4 mit öffentlichem Schlüssel 5a und Geräteinformation 6

104 Bewegen von Smart Phone 10 in Nähe von Patch Pumpe 1

105 Lesen von NLC-Einheit 4 durch NLC-Einheit 11 106 Übertragung von öffentlichem Schlüssel 5a und Geräte Information 6

107 Aufbau Bluetooth-just-works-Verbindung

108 Generieren von öffentlichem 14a und geheimem 14 Schlüssel in Smart Phone 10

109 Übertragung von öffentlichem Schlüssel 14a via Bluetooth Verb. 20

110 Generieren von Langzeitschlüssel 24

111 Challenge-Prozess

112 Speichern des Langzeitschlüssels 24

201 Navigieren zum Pairing Menu

202 Generieren von öffentlichem 32a und geheimem 32b Schlüssel in MG 30 203a Generieren der graphischen Repräsentation 33

203b Anzeigen der graphischen Repräsentation 33 auf Display 31

204 Bewegen von Smart Phone 10 vor das MG 30

205 Scannen des Displays 31 mit Kamera 15

207 Aufbau Bluetooth-just-works-Verbindung

208 Generieren von öffentlichem 14a und geheimem 14 Schlüssel in Smart Phone 10

209 Übertragung von öffentlichem Schlüssel 14a via Bluetooth Verb. 20

210 Generieren von Langzeitschlüssel 24

211 Challenge-Prozess

212 Speichern des Langzeitschlüssels 24