用于IMD通信的增强的验证

技术领域

本发明涉及一种用于建立外部装置对可植入医疗装置的访问的方法。

背景技术

外部装置(例如，编程和/或数据显示装置)与可植入医疗装置(IMD)之间的安全通信是重要的，以确保使用外部装置的人员是患者知晓和/或授权的。

在外部装置与可植入医疗装置(IMD)之间的安全通信期间，确保仅允许授权的行为者与可植入医疗装置通信是重要的，特别是当可植入医疗装置植入在患者中时。未授权行为者可能试图窃取信息或改变/否决治疗。通过利用多种要素(其中一种或多种特定于患者和/或仅由患者知晓)，通信可以被限制到仅由患者授权的用户。

一种特定的解决方案是，需要基于接近的机制来触发外部装置与IMD之间的通信的启动。

另外，US 9,596,224 B2公开了一种与可植入医疗装置通信的方法，其中进行验证过程以核实移动计算装置的用户的身份。经由移动计算装置从用户接收访问可植入医疗装置的请求。基于用户的身份，从多个用户界面选择适于用户的第一用户界面，多个用户界面各自配置为控制可植入医疗装置。多个用户界面具有不同的视觉特性和对可植入医疗装置的不同访问等级。第一用户界面显示在移动计算装置上。

然而，任何单一验证机制具有可能被利用以允许未授权的行为者从IMD获取数据并发送程序数据到IMD的弱点。使用多要素验证通过提供多层保护强化安全性，每个要素补偿其他要素中的(多个)潜在弱点。

因此，本发明的目标是提供一种关于安全性改善的方法和系统。

发明内容

为此，公开了一种用于建立外部装置对可植入医疗装置的访问的方法，包括以下步骤：

-通过使可植入医疗装置的用户将近场信号施加到可植入医疗装置，允许可植入医疗装置采取激活模式，其中在激活模式中，使可植入医疗装置能够接收验证信息以验证可植入医疗装置的用户，以及

-当可植入医疗装置处于激活模式时，提供验证信息到可植入医疗装置以建立所述访问。

特别地，用户是携带植入在患者中的IMD的患者。

特别地，在激活模式中，IMD提示用户输入所述验证信息。根据实施例，IMD可以配置为提示用户通过外部装置输入信息。

优选地，根据本发明的实施例，通过将近场通信装置置于可植入医疗装置附近来施加所述近场信号。根据实施例，近场通信装置是磁体。

根据其他实施例，方法还包括以下步骤：当外部装置具有对可植入医疗装置的访问时，允许外部装置控制可植入医疗装置，其中特别是外部装置配置为通过将编程数据和/或编程命令传输到IMD而控制IMD。

根据方法的其他实施例，所述验证信息包括用户的生物计量数据。

特别地，在实施例中，所述生物计量数据是以下之一：用户的心率、用户的心跳间隔模式、用户的温度、用户的视网膜图案、用户的指纹、用户的呼吸速率、用户的指节图案。

特别地，根据实施例，提供所述验证信息涉及，凭借IMD并且凭借外部装置测量用户的生物计量数据，以及将由外部装置测量的所测量的生物计量数据从外部装置传输到IMD。特别地，在实施例中，方法包括以下其他步骤：如果所传输的生物计量数据匹配由IMD测量的生物计量数据，则允许外部装置对可植入医疗装置的访问。特别地，生物计量数据可以是患者的一系列心跳间隔。还可以使用患者的其他生物计量数据(例如，如本文中所公开)。

另外，根据实施例，提供所述验证信息涉及，请求用户(例如，通过外部装置)改变用户的呼吸速率(例如，进行三次缓慢呼吸)，并且凭借IMD测量用户的呼吸速率。特别地，在实施例中，方法包括以下其他步骤：如果所测量的呼吸速率匹配所请求的改变，则允许外部装置对可植入医疗装置的访问。

另外，根据实施例，提供所述验证信息以建立所述访问涉及，由用户(例如，经由外部装置)输入验证信息，例如通过由用户进行的验证信息(例如，条形码)的机器读取(例如，扫描)，其中验证信息之前已经储存在IMD中，特别是在IMD的制造期间，特别是核实用户(例如，携带植入在患者中的IMD的患者)是发起对IMD的访问的人。特别地，验证信息可以由制造商保存和/或可以是用户可取回的。特别地，在实施例中，方法包括以下其他步骤：如果由用户输入的验证信息对应于储存在可植入医疗装置中的验证信息，则允许外部装置对可植入医疗装置的访问。

另外，根据实施例，提供所述验证信息涉及，由用户输入验证信息(例如，经由外部装置)，其中特别是在植入之后所述验证信息(例如，以下中的一个或若干个：姓名、生日、地址、医师姓名、口令、PIN)已经凭借特许外部装置(例如，编程器)编程到IMD中。通常，这些域(field)不是患者远程型装置可写入的。在安全性交换期间，可以经由外部装置提供验证信息(或散列(hash))以建立对IMD的访问。

特别地，根据实施例，提供所述验证信息涉及，由用户(例如，携带植入在患者中的IMD的患者)经由外部装置输入口令。特别地，在实施例中，方法包括以下其他步骤：如果由用户输入的口令匹配储存在IMD中的口令，则允许外部装置对可植入医疗装置的访问。

另外，根据实施例，在输入所述口令之前，方法包括以下其他步骤：在植入IMD之后(例如，在植入之后访问临床医师时)，由用户创建口令并将口令储存在IMD中。

另外，在实施例中，口令在调整IMD时和/或将IMD分配给用户时由临床医师储存在IMD中(例如，临床医师可以使用具有提升的权限的装置)。

另外，在实施例中，在调整IMD和/或将IMD分配给用户之后，通过向可植入医疗装置施加近场来进行允许可植入医疗装置采取激活模式的步骤。

另外，在实施例中，方法包括以下其他步骤：在外部装置与IMD之间建立加密连接。

另外，在实施例中，方法包括以下其他步骤：使外部装置提示用户输入之前已经储存在IMD中的口令。

另外，在实施例中，方法包括以下其他步骤：经由加密连接向IMD传输口令表示。

另外，根据实施例，方法包括以下其他步骤：使IMD解密传输的口令表示，并且将传输的口令表示与储存在IMD中的口令表示进行比较。

特别地，在实施例中，方法包括以下其他步骤：如果由用户输入的口令表示匹配储存在IMD中的口令表示，则允许对IMD的访问，并且允许外部装置控制IMD。

另外，根据又一实施例，提供所述验证信息涉及，提示用户(例如，携带植入在患者中的IMD的患者)根据预定的移动模式移动(例如，外部装置可以提示患者以定义的模式敲击IMD或坐着不动预定时间量或在发起通信的同时移动)，并且用IMD所包括的加速计检测所述移动模式。特别地，在实施例中，方法包括以下其他步骤：如果检测的模式匹配预定的移动模式，则允许外部装置对可植入医疗装置的访问。根据示例，外部装置提示用户以每两次相继敲击之间预定的停顿(例如，一秒)敲击IMD多次(例如，五次)。替代地，外部装置可以提示用户不动地坐预定时间量(例如，10秒)。

另外，根据实施例，提供所述验证信息涉及，由外部装置提示用户(例如，携带植入在患者中的IMD的患者)将手置于IMD之上，并且通过由IMD进行的电容式感测检测手的存在。特别地，在实施例中，方法包括以下其他步骤：如果由IMD生成的检测信号匹配确认手存在于IMD之上的预定参考，则允许外部装置对可植入医疗装置的访问。

替代地，提供所述验证信息涉及，由外部装置提示用户(例如，携带植入在患者中的IMD的患者)按压抵靠IMD，并且凭借IMD的应变仪检测由于所述按压造成的IMD的变形。特别地，在实施例中，方法包括以下其他步骤：如果由应变仪生成的检测信号匹配确认所述按压抵靠IMD的预定参考，则允许外部装置对可植入医疗装置的访问。

另外，根据实施例，提供所述验证信息以建立所述访问涉及，提示用户(例如，携带植入在患者中的IMD的患者)按压外部装置上的按钮或第二次向IMD施加磁场。

根据本发明的实施例，外部装置可以使用通信线圈/天线经由射频(RF)通信与IMD通信。对于通信，例如，使用蓝牙低能量(BLE)或MICS(医疗植入通信服务)频带，其一般地应用于传输以监控医疗植入。此外，高能脉冲可以应用于外部装置与IMD之间的验证或通信过程。高能脉冲还可以用作触发信号以在IMD与外部装置之间往复的宣告到来的数据传输，或作为唤醒信号以将IMD和/或外部装置从休眠状态转换到活动状态。

另外，在实施例中，提供所述验证信息以建立所述访问包括，施加充电装置到IMD以将IMD的电池充电。特别地，在实施例中，方法包括以下其他步骤：如果电池正由充电装置充电，则允许外部装置对可植入医疗装置的访问。

另外，在实施例中，提供所述验证信息以建立所述访问包括，发射光图案(例如，凭借外部装置或一些其他装置)，并且凭借IMD的光传感器检测所述光图案。特别地，在实施例中，方法包括以下其他步骤：如果所检测的光图案对应于预定参考，则允许外部装置对可植入医疗装置的访问。

在上述实施例中的每一个中，仅如果附加地也已经成功完成一个或若干其他验证过程才允许外部装置对IMD的访问。

本发明的其他方面涉及一种医疗系统，其配置为建立外部装置对可植入医疗装置的访问，其中医疗系统包括：

-可植入医疗装置，

-外部装置，配置为当外部装置具有对可植入医疗装置的访问时控制可植入医疗装置，

-能够生成近场信号的装置，诸如磁体，配置为由可植入医疗装置的用户手动地定位以将近场信号施加到可植入医疗装置(特别是当装置定位在可植入医疗装置附近时)，其中可植入医疗装置配置为，当由装置将近场信号应用于可植入医疗装置时采取激活模式，并且其中在激活模式，可植入医疗装置配置为，接收关于用户的验证信息(例如，安全密匙)，并且其中可植入医疗装置配置为，在所提供的验证信息满足预定标准(例如，验证用户为授权的用户)的情况下，允许外部装置对可植入医疗装置的访问(例如，以控制可植入医疗装置)。

特别地，当IMD处于激活模式中时，外部装置配置为提示用户输入所述验证信息。

另外，根据医疗系统的实施例，外部装置配置为，当外部装置具有对可植入医疗装置的访问时控制可植入医疗装置。

另外，根据医疗系统的实施例，所述验证信息包括用户的生物计量数据。

另外，在医疗系统的实施例中，所述生物计量数据是以下之一：用户的心率、用户的心跳间隔模式、用户的温度、用户的视网膜图案、用户的指纹、用户的呼吸速率、用户的指节图案。

另外，根据医疗系统的实施例，IMD和外部装置配置为测量用户的生物计量数据，其中外部装置配置为将由外部装置测量的所测量的生物计量数据从外部装置传输到IMD。另外，在医疗系统的实施例中，IMD配置为，如果所传输的生物计量数据匹配由IMD测量的生物计量数据，则允许外部装置对IMD的访问。特别地，生物计量数据可以是患者的一系列心跳间隔。还可以使用患者的其他生物计量数据(例如，如本文中所公开)。

特别地，根据医疗系统的实施例，外部装置配置为请求用户(例如，携带植入在患者中的IMD的患者)改变用户的呼吸速率(例如，进行三次缓慢呼吸)，其中IMD配置为凭借IMD测量用户的呼吸速率。特别地，在实施例中，IMD配置为，如果测量的呼吸速率匹配所请求的改变，则允许外部装置对IMD的访问。

另外，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为，扫描由用户提供的验证信息(例如，条形码)，并且将扫描到的验证信息与储存在IMD中的用户的验证信息进行比较。另外，在实施例中，IMD配置为，如果扫描到的验证信息对应于储存在IMD中的验证信息，则允许外部装置对IMD的访问。

另外，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为提示用户(例如，携带植入在患者中的IMD的患者)输入验证信息(例如，经由外部装置)，其中根据实施例，所述验证信息(例如，以下中的一个或若干个：姓名、生日、地址、医师姓名、口令、PIN)在植入之后已经凭借特许外部装置(例如，编程器)被编程到IMD中。

特别地，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为接收用户(例如，携带植入在患者中的IMD的患者)的口令。特别地，在实施例中，IMD配置为，如果由用户输入的口令匹配储存在IMD中的口令，则允许外部装置对IMD的访问。

另外，在医疗系统的实施例中，外部装置和IMD配置为，当IMD处于激活模式中时，在外部装置和IMD之间建立加密连接。

另外，在医疗系统的实施例中，外部装置配置为提示用户通过外部装置输入之前已经储存在IMD中的口令。

另外，在医疗系统的实施例中，外部装置配置为经由加密连接将所输入的口令表示传输到IMD。

另外，根据医疗系统的实施例，IMD配置为解密所传输的口令表示并将所传输的口令表示与储存在IMD中的表示进行比较。

特别地，在医疗系统的实施例中，IMD配置为，如果解密的口令表示匹配储存在IMD中的口令表示，则允许外部装置对IMD的访问，并且允许外部装置控制IMD。

另外，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为提示用户(例如，携带植入在患者中的IMD的患者)根据预定的移动模式移动，并且其中IMD配置为用IMD中的加速计检测所述移动模式。特别地，在实施例中，IMD配置为，如果检测到的模式匹配预定的移动模式，则允许外部装置对IMD的访问。根据示例，外部装置配置为提示用户以每两次相继的敲击之间的预定的停顿(例如，一秒)敲击IMD多次(例如，五次)。替代地，外部装置可以配置为提示用户坐着不动预定时间量(例如，10秒)。

根据实施例，IMD配置为检测从外部装置传输的振动，例如，通过将外部装置置于植入物之上并生成振动，振动经由组织传递到植入物。例如，IMD可以使用加速计感测振动。例如，外部装置包括振动电机以生成充当验证信号的振动。示例性外部装置为智能电话或平板计算机。

另外，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为提示用户(例如，携带植入在患者中的IMD的患者)将手置于IMD之上，并且其中IMD配置为通过电容式感测检测手在IMD之上的存在。特别地，在实施例中，方法的其他步骤对应于，如果由IMD生成的检测信号匹配确认手存在于IMD之上的预定参考，则允许对IMD的访问。

替代地，根据实施例，当IMD处于激活模式中时，外部装置配置为提示用户(例如，携带植入在患者中的IMD的患者)按压抵靠IMD，其中IMD配置为凭借由IMD包括的应变仪检测由于所述按压造成的IMD的变形。特别地，在实施例中，IMD配置为，如果由应变仪生成的检测信号匹配确认所述按压抵靠IMD预定参考，则允许外部装置对IMD的访问。

另外，根据医疗系统的实施例，当IMD处于激活模式中时，外部装置配置为提示用户(例如，携带植入在患者中的IMD的患者)按压外部装置上的按钮或第二次将磁场施加到IMD。

另外，在医疗装置的实施例中，IMD包括电池，电池配置为由医疗系统的充电装置充电。特别地，在实施例中，IMD配置为，如果IMD处于激活模式且电池正由充电装置充电，则允许外部装置对IMD的访问。

另外，在医疗系统的实施例中，当IMD处于激活模式中时，系统的外部装置或其他装置配置为发射光图案，并且其中IMD配置为凭借IMD的光传感器检测所述光图案。特别地，在实施例中，IMD配置为，如果检测到的光图案对应于预定参考，则允许外部装置对IMD的访问。

根据本发明的实施例，IMD配置为经由所述验证方法由授权用户可访问。此外，根据实施例，IMD配置为设置为‘安全模式’，安全模式是其中应用增强安全性措施的模式。例如，安全模式可以也由未授权的用户访问。IMD可以为授权用户提供操作模式并为没有授权的用户提供一种模式。

此外，根据实施例，描述了一种用于建立外部装置对可植入医疗装置的特许访问的方法，包括以下步骤：

-通过使可植入医疗装置的用户将近场信号施加到可植入医疗装置，允许可植入医疗装置采取激活模式，其中在激活模式中，使可植入医疗装置能够接收验证信息以验证可植入医疗装置的用户，以及

-当可植入医疗装置处于激活模式时，将验证信息提供到可植入医疗装置以建立所述访问。

根据实施例，IMD配置为，通过提供受限于进行该功能的通信通道，允许未授权外部装置对‘安全模式’的访问。与激活模式相比，‘安全模式’要求不同的、较少或不要求验证信息从外部装置传输到IMD。

根据本发明的实施例，一旦进入激活模式，IMD开始计时器，计时器在预定时间之后终止。IMD配置为在所述终止时停用激活模式，并且例如，返回到之前的操作模式。

在上述实施例中的每一个中，可以仅如果附加地也已经成功完成一个或若干其他验证过程，才允许访问。

附图说明

在以下实施例中，将参考附图描述本发明的特征和优点，其中

图1示出了根据本发明的医疗系统的实施例的示意图，其可以用于进行根据本发明的方法；

图2示出了根据本发明的方法的实施例的框图；并且

图3示出了对应于根据本发明的方法的其他实施例的框图。

具体实施方式

图1示出了根据本发明的医疗系统1的实施例。根据图1，医疗系统1包括可植入医疗装置(IMD)3(例如，可植入起搏器、可植入监视装置、可植入神经刺激器等，能够与外部装置或外部数据中心无线通信的任意可植入医疗装置)；外部装置2，其可以是能够与可植入医疗装置或移动装置无线通信的任意外部装置，诸如远程控制或智能电话，配置为当外部装置2具有经由无线连接C对可植入医疗装置3的访问时控制可植入医疗装置3；以及近场通信装置4，配置为由可植入医疗装置3的用户P(例如，具有植入的IMD的患者)手动地定位，以将近场信号B施加到可植入医疗装置3，其中可植入医疗装置3配置为，当由近场通信装置4将近场信号B应用于可植入医疗装置3时，采取激活模式，并且其中在激活模式中，可植入医疗装置3配置为接收关于用户P的验证信息A，并且其中可植入医疗装置3配置为，在所提供的验证信息A满足预定标准的情况下，允许外部装置2对可植入医疗装置3的访问。以下将描述这样的标准的示例。根据实施例，近场通信装置可以与移动/外部装置(2)相同。例如，个人可以使用当今内置到许多移动电话中的近场通信信号。

因此，特别地，在IMD 3接受来自外部装置2的受保护的通信请求(例如，改变程序或请求敏感信息)之前，患者P必须展现通信的意图。作为示例，如图2所示，患者P可以在第一步骤100中将所述近场通信装置4置于IMD 3之上。然后，IMD 3检测近场信号4的存在。其次，在其他步骤101中，当发起通信请求时，外部装置2可以请求用户P提供例如生物计量数据形式的验证信息，例如以特定速率呼吸给定时间长度(通过使用视觉和/或触觉引导)，并且然后IMD 3测量生物计量数据或将外部装置测量的生物计量数据与储存值进行比较。一旦IMD 3核实近场装置的存在和生物计量数据的有效性，IMD 3接受来自外部装置102的通信请求。否则IMD拒绝访问103的请求。

特别地，通过要求对患者P/IMD 3的物理访问和仅对IMD 3和患者P已知的定制化信息两者来发起通信，没有物理接近和定制化信息两者的行为者将被拒绝访问。

此外，根据本发明的实施例，近场通信装置是磁体，其中其磁场可以由IMD检测。

此外，根据本发明的实施例，近场通信装置是NFC(近场通信)协议(相似于无接触支付系统或门卡中所使用的)，其可以由IMD检测。

根据优选的实施例，IMD 3被设计且配置为检测两个或更多个验证机制(见以下潜在验证机制列表)。优选地，在允许外部装置2访问装置3的敏感通信之前，这些机制必须由IMD 3肯定地(positively)识别。

特别地，根据图3中所示的实施例，要求的验证信息可以是口令。此处，处理多要素验证的可能过程可以如下进行。

在第一步骤200，可植入医疗装置(IMD)3优选地在工厂被提供有标准固件。IMD中不存在口令或患者(P)具体细节。

在其他步骤201中，在将IMD 3植入到用户患者P中之后(其中植入不形成根据本发明的方法的一部分)，在访问临床医师时，用户P提供用户特定口令，特别是形成唯一ID。

在其他步骤202中，在临床医师为用户P调整IMD 3(使用例如具有提升的权限的装置)时，临床医师将IMD 3分配到用户P并将用户P的口令编程到IMD 3中。

在其他步骤203中，在临床医师的会话结束之后，用户P将会希望将他们的外部装置(例如，个人患者远程控制装置)连接到IMD 3。因此，用户P首先开始于将近场信号4(见图1)施加到IMD 3特定持续时间。这可以视为根据本发明的多要素方案的第一要素。特别地，近场通信装置4提供物理的且基于接近的互锁，其可靠地展示用户P将新装置(即外部装置2)连接到IMD 3的意图。

作为响应，在后续步骤204中，IMD 3进入激活模式，激活模式允许新装置连接到IMD 3。注意到，在普通通信模式期间，无法添加新装置。仅之前添加的装置可以建立通信通道C(见图1)。

在其他步骤205中，IMD 3和外部装置2(例如，患者远程)使用加密建立初步安全性。

一旦建立初步连接，在步骤206中，外部装置2的用户界面21提示用户P口令，口令之前已经在步骤202中在临床医师的会话期间编程到植入物中。

在后续步骤206，用户P输入口令A(见图1)，并且口令表示(例如，加密散列)经由加密(安全)通信通道C被传输到IMD 3。

作为响应，在步骤207中，IMD 3解密所传输的口令表示，并且将其与其内部表示进行比较。

如果口令表示A匹配，则用户P被验证，并且新的外部装置2(例如，患者远程控制装置)被添加(或配对)到IMD 3(208)。如果口令表示A不匹配，则不允许外部装置2控制IMD 3(209)。

注意到，该方案的其他排序也是可能的。例如，唯一口令(每个IMD 3)可以在工厂被编程并印刷在与IMD 3一起包装的卡片上。为使该过程更方便，唯一口令可以编码为QR码，并且信息可以用相机导入。当临床医师首次设置IMD 3时，将要求该口令连接到临床医师的编程器。这使系统1更加安全，因为将不存在仅要求单个要素的去往IMD 3的通道。

如图2中还结合图1示出，本发明中替代口令还可以使用其他验证信息。

如以上已经提到，诸如心率、心跳间隔模式、温度、视网膜图案、指纹、呼吸速率、指节图案的用户P的生物计量数据可以用于核实患者真实性。

例如，在步骤100中使IMD达到其激活模式之后，IMD 3和外部装置2两者可以测量一系列心跳间隔，然后外部装置2可以经由连接C将间隔传输到IMD 3(101)。然后仅如果传输的间隔序列匹配IMD测量的间隔序列(可选地连同一个或多个其他验证机制)，IMD 3才允许访问102。否则，IMD 3拒绝访问103。

另外，根据替代示例，外部装置2可以在步骤101中请用户P改变他们的呼吸速率(例如，进行3次缓慢呼吸)，并且IMD 3可以测量呼吸速率。然后仅如果呼吸速率减慢(至少)3次呼吸(可选地连同一个或多个其他验证机制)，IMD 3才允许访问102。否则，IMD 3拒绝外部装置对IMD的访问(103)。

根据其他实施例，在步骤100中使用近场通信装置4(见图1)使IMD到达其激活模式之后，用户4在步骤101中使用外部装置2扫描条形码或输入验证信息，其验证信息在制造时为IMD 3生成以核实患者P是发起安全性的人(可选地连同一个或多个其他验证机制)。然后仅如果由用户P提供的验证信息匹配储存在IMD 3中的信息，IMD 3才允许访问102。否则，IMD3拒绝外部装置对IMD的访问(103)。

另外，根据图1和图2中所示的又一实施例，验证信息A(例如，姓名、生日、地址、主治医师、口令、PIN等)可以在刚植入之后由特许外部装置(编程器)被编程到IMD 3中。通常患者远程型装置不能写入这些段。在安全性交换101期间，外部装置2可以提供该信息(或加密散列)以完成访问102(可选地连同一个或多个其他验证机制)。

根据图1和图2中所示的其他示例，在应用近场信号4以迫使IMD 3进入激活模式(100)之后，外部装置2可以在步骤101中请用户P在发起通信时以定义的模式敲击IMD 3或坐着不动或移动(101)。然后IMD 3可以使用内置加速计30检测敲击模式或移动。然后仅如果敲击模式或移动匹配其预期(可选地连同一个或多个其他验证机制)，IMD 3才允许访问102。否则，IMD 3拒绝外部装置2访问/控制IMD 3的请求(103)。

根据图1和图2中所示的其他示例，在应用近场通信装置4以迫使IMD 3进入激活模式(100)之后，外部装置2可以请用户P将他们的手H置于IMD 3之上或按压在IMD 3上(101)。然后，IMD 3可以使用电容式感测30来检测手H的存在，或使用应变仪30以感测IMD 3的挠曲(101)。如果电容式和/或应变仪测量满足预期(可选地连同一个或多个其他验证机制)，则访问将被许可(102)。否则，IMD 3拒绝外部装置2访问/控制IMD 3的请求(103)。

根据其他示例(见图1)，在发起通信时，患者P还可以按压外部装置2上的按扭20(或应用所述近场通信装置4)以确认患者P真的是试图解锁安全性的人(可选地连同一个或多个其他验证机制)。注意到，这可以在通信启动已经开始之后使用，并且不是作为开始通信的触发。

根据图1和图2中所示的其他示例，在应用近场通信装置4(100)之后且在建立通信时，用户P在步骤101中将充电装置5应用于IMD 3以便充电IMD 3的电池31。然后，仅如果电池31实际上充电(可选地连同一个或多个其他验证机制)，IMD 3才允许访问(102)。否则，IMD 3拒绝外部装置2访问/控制IMD 3的请求(103)。

最终，根据其他示例，在应用近场信号4(100)以触发IMD 3进入激活模式之后，嵌入IMD 3中的光传感器30可以用于接收来自外部装置2(或来自其他装置)的光L的脉冲。特别地，这样的光图案L可以用相机闪光灯LED生成)。这可以是简单的机制(开/关)或编码少量数据的方式。

特别地，根据本发明的系统1和方法由于在允许对IMD 3的受保护通信访问之前要求多个验证要素提供了提高的安全性。如果适当实现，来自远程未授权用户的攻击将被最小化，提高网络安全性等级，同时保持患者P的易用性。此外，提议的机制是简单、经济的，并且由患者/用户P易于访问，同时难以被未授权用户访问。特别地，使用不涉及在装置2、3上具有显示器和/或键盘的两个或更多个验证方法的可能性使根据本发明的方案在可植入医疗装置系统1的背景下特别有价值。