居民健康卡虚拟化应用建设指导方案.pdf

《居民健康卡虚拟化应用建设指导方案.pdf》由会员分享，可在线阅读，更多相关《居民健康卡虚拟化应用建设指导方案.pdf（72页珍藏版）》请在麦多课文档分享上搜索。

1、 居民健康卡虚拟化应用建设指导方案 （试 用） 国家卫生计生委统计信息中心 2018 年 2 月 编制说明 为指导试点省市、医院推进居民健康卡虚拟化应用， 国家卫生计生委统计信息中心组织编制了 居民健康卡虚拟化应用技术指引（ 1.7 版 ） 、 居民健康卡跨域主索引平台技术指引（ 1.3 版 ） 、 电子健康卡密码机技术规范 (1.3 版 ) 。 各试点单位参照本方案 结合自身情况 必须 编制建设实施方案，并通过专家论证、报国家卫生计生委统计信息中心备案。 各试点单位在实施过程对本方案 的意见或建议，可向国家卫生计生委统计信息中心基层信息化与健康卡管理处提出。 居民健康卡虚拟化应用建设指导方案

2、包括： 材料一 居民健康卡虚拟化应用技术指引（ 1.7 版 ） ：介绍 了 电子健康卡 系统的相关架构，并对 电子健康卡 管理系统和相关的终端、移动应用软件的工作流程、功能、安全提出了要求，给出了 电子健康卡 管理系统的部署建议， 指导 电子健康卡 应用过程中各系统、终端、 移动应用软件 等的开发和 部署。 材料二 居民健康卡跨域主索引平台技术指引（ 1.3 版 ） ：介绍 了 跨域主索引系统的主要用途以及实现方案， 实现以 居民健康卡为核心 关联管理各类就诊卡、 获取其他标识域的居民索引信息 的功能 。 材料三 电子健康卡密码机技术规范 (1.3 版 )： 规定了电子健康卡应用过程中涉及到的

3、密码机的功能、通讯方式、电源、气候环境条件、接口等方面的技术细节和要求。 居民健康卡虚拟化应用建设指导方案（试用） 修订 记录 居民健康卡虚拟化应用技术指引 序号 版本 章节 修订内容 1. 1.3 4.2 居民健康卡注册管理系统 增加了电子健康卡应与实体卡具有明确标识区分的要求。 2. 1.3 4.4 居民健康卡虚拟化应用管理系统 增加了由虚拟化应用管理系统生成主索引 ID 的要求。 增加了虚拟化应用管理系统与注册管理系统连接的要求。 3. 1.3 6.1.3 密码服务 进一步明确了电子健康卡 ID 的生成规则。 4. 1.4 3 术语 统一术语“电子居民健康卡”为“电子健康卡”。 5. 1

4、.4 5.1 电子健康卡注册流程 明确虚拟化应用管理系统生成主索引 ID，删除了主索引系统 ，避免产生歧义 。 6. 1.4 附录 A 主索引 ID 在虚拟化应用管理系统中生成，删除了主索引系统同时部署的参考方案。 7. 1.5 6.1.3 密码服务 明确了应用密码机是虚拟化应用管理系统的一部分，必须物理环境上同时部署。 8. 1.5 6.1.3 密码服务 明确了有效时间的生成和加密格式。 9. 1.6 6.1.3 密码服务 明确了虚拟化应用管理系统应采用统一的加密机接口调用方式。 10. 1.7 所有章节 统一替换“居民健康卡虚拟化”为“电子健康卡”。 居民健康卡跨域主索引平台技术指引 序号

5、 版本 章节 修订内容 1. 1.3 附件 D 索引号生成方案 调整生成因子内容的顺序与电子健康卡顺序一致。 电子健康卡密码机技术规范 序号 版本 章节 修订内容 1. 1.0 新增 新增电子健康卡密码机技术规范。 2. 1.1 5 密码机服务接口 进一步封装了密码机的接口，满足电子健康卡应用。 3. 1.1 附录 A 给出了一组调用示例和验证数据。 4. 1.2 5.2 主索引 ID 生成接口 5.3 电子健康卡 ID生成接口 完善了加密机的调用接口 ： 部分接口 加入了输入数据的长度参数 ； 调整了解密数据时删除补位数据的要求。 5. 1.3 5.3 电子健康卡 ID生成接口 增加了密钥版

6、本的选择标识。 居民健康卡虚拟化应用建设指导方案材料一 居民健康卡虚拟化应用技术指引 （1.7版） 国家卫生计生委统计信息中心 2018年2月 第1页 共27页 前言 居民健康卡是国家卫生计生委统一规划实施的统一标准的“就诊卡”，可实现居民全程健康管理，提升居民健康的统一服务水平。当前智能卡应用正处在从“线下实体”向“线上虚拟”加速转型过程中，推进安全、可信的电子健康卡应用建设，实现线上线下一体化的身份认证服务，对于促进服务流程优化，保障线上应用安全，降低发卡用卡成本，实现居民健康卡应用广泛覆盖等具有十分重要的意义。 随着移动技术的发展，移动终端应用软件及虚拟账户的应用已得到普及。通过将实体卡

7、虚拟化的转变方式，可提升居民健康卡在使用过程中的用户体验和应用效率，并可降低发行实体卡的成本。同时，二维码技术在金融支付等领域已得到广泛应用。国家卫生计生委联合国家密码管理局、中国支付清算协会、中国银联等共同对二维码技术在居民健康卡体系中的应用进行了研究论证，利用二维码技术高效、低成本等特点，结合标记化技术，有助于推动电子健康卡应用的健康、快速发展。 本指引针对电子健康卡应用的建设，以目前比较成熟的二维码技术为基础制定，基于其他技术的虚拟化应用将另行制定技术指导方案。本指引适用于各试点单位在实施电子健康卡应用时作为依据参考。 各试点单位参照本指引结合自身情况必须编制建设实施方案，并通过专家论证

8、、报国家卫生计生委统计信息中心备案。 各试点单位在实施过程对本指引的意见或建议，可向国家卫生计生委统计信息中心基层信息化与健康卡管理处提出。 第2页 共27页 目录 前言 . 1 目录 . 2 范围 . 4 规范性引用文件 4 术语和定义 5 电子健康卡（二维码）系统架构 6 4.1 居民健康卡跨域主索引系统 . 7 4.2 居民健康卡注册管理系统 . 7 4.3 居民健康卡密钥管理系统 . 7 4.4 电子健康卡管理系统 . 8 4.5 医疗卫生机构 . 8 4.6 金融交易机构 . 8 4.7 医保中心 . 9 电子健康卡（二维码）工作流程 9 5.1 电子健康卡注册流程 . 9 5.2

9、电子健康卡二维码申请流程 . 10 5.3 电子健康卡二维码使用流程 . 11 电子健康卡管理系统功能要求 12 6.1 功能层要求 . 12 6.2 接入层要求 . 16 电子健康卡终端功能要求 . 17 7.1 电子健康卡APP功能要求 18 7.2 识读终端功能要求 . 18 电子健康卡（二维码）安全要求 18 8.1 通用要求 . 18 8.2 实名认证要求 . 19 8.3 电子健康卡管理系统安全要求 . 19 8.4 电子健康卡APP安全要求 20 8.5 网络通讯安全要求 . 20 8.6 二维码技术应用要求 . 21 8.7 识读终端安全要求 . 22 电子健康卡系统管理要求

10、. 23 9.1 通用要求 . 23 9.2 电子健康卡管理系统管理 . 23 9.3 电子健康卡管理系统接入管理 . 25 第3页 共27页 电子健康卡技术检测要求 . 25 附录A （资料性附录）网络架构图 26 附录B （资料性附录）电子健康卡二维码样式 27 第4页 共27页 居民健康卡虚拟化应用技术指引 范围 本指引包括电子健康卡（二维码）技术架构、电子健康卡（二维码）技术功能要求、电子健康卡（二维码）应用安全要求、电子健康卡技术应用检测要求等。 本指引用于规范试点单位开展电子健康卡应用相关业务时，所需软硬件的设计、研发、集成和维护。 规范性引用文件 下列文件对于本文件的应用是必不可

11、少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 中华人民共和国主席令第18号.中华人民共和国电子签名法.2004年8月28日 中华人民共和国国务院令第273号.商用密码管理条例.1999年10月7日 GB/T 17172-1997 四一七二维码 GB/T 18284-2000 快速响应矩阵码（QR） GB/T 21049-2007 汉信码 GB/T 27766-2011 网格矩阵码（GM） GB/T 27767-2011 紧密矩阵码（CM） GB/T 31770-2015 D9ing矩阵图码防伪技术条件 GB/T 3

12、1868-2015 D9ing 矩阵图码生成器防伪技术条件 GB/T 31869-2015 D9ing 矩阵图码识别仪防伪技术条件 GM/T 0003-2012 SM2椭圆曲线公钥密码算法 GM/T 0004-2012 SM3杂凑密码算法 GM/T 0009-2012 SM2密码算法使用规范 GM/T 0018-2012 密码设备应用接口规范 GM/T 0030-2014 服务器密码机技术规范 GM/T 0022-2014 IPSec VPN技术规范 GM/T 0023-2014 IPSec VPN网关产品规范 第5页 共27页 GM/T 0024-2014 SSL VPN技术规范 GM/T

13、0025-2014 SSL VPN网关产品规范 WS/T 543.2-2017 居民健康卡技术规范 第2部分：用户卡技术规范 WS/T 543.3-2017 居民健康卡技术规范 第3部分：用户卡应用规范 WS/T 543.5-2017 居民健康卡技术规范 第5部分：终端技术规范 JR/T 0149-2016 中国金融移动支付 支付标记化技术规范 PCAC/T 0001-2016 个人信息保护技术指引 Q/CUP 0732015 中国银联云端支付安全规范 Q/CUP 0532016 中国银联电子支付二维码应用规范 Q/CUP 0672016 中国银联电子支付二维码安全规范 卫办综发201226号

14、居民健康卡密钥管理办法 卫办综发201226号居民健康卡密钥管理系统技术方案 卫办综发201226号居民健康卡生产单位及产品备案管理办法 术语和定义 3.1 电子健康卡应用 采用电子账户对信息进行存储，并支持线下交互的技术应用。虚拟化应用可采用二维码、HCE和NFC等多种技术方式实现。本文主要指二维码技术在电子健康卡的应用。 3.2 电子健康卡 通过用户身份标识建立的居民健康卡电子账户。健康卡电子账户使用时，可通过二维码形式展现为电子健康卡，功能与实体居民健康卡相同。 3.3 主索引ID 主索引ID是标识居民健康卡用户唯一性的信息，通过主索引ID关联用户的实体居民健康卡、电子健康卡、医院就诊卡

15、等不同类型账户。 3.4 电子健康卡ID 电子健康卡系统中用于标识电子健康卡账户唯一性的信息。电子健康卡ID由用户的证件类型和证件号码的密文组成。 第6页 共27页 3.5 电子健康卡二维码 电子健康卡通过二维码的形式予以展示，通过“面对面”方式进行交互使用。电子健康卡二维码包括静态二维码和动态二维码：静态二维码可通过APP呈现，也可印刷或粘贴于就诊卡等介质上，适用于挂号、问诊等非核心应用场景；动态二维码由APP呈现，在每次使用前生成，其生命周期根据应用安全的要求限定时间范围，适用于病历查询、结算交易等核心应用场景。 3.6 电子健康卡APP 设备中运行的完整的且包含虚拟化功能的APP应用程序

16、。设备类型包括手机、自助终端及其他类型的终端。 3.7 电子健康卡SDK 实现虚拟化功能的软件开发包，可以在开发过程中进行调用。 3.8 识读终端 识读二维码并与后台应用系统进行交互的终端，一般包括二维码的识读设备和终端机上的应用软件。 3.9 二码合一 电子健康卡二维码与支付二维码合并为同一个二维码，通过对同一二维码的识读，实现居民健康卡账户认证与支付双重功能。 电子健康卡（二维码）系统架构 电子健康卡（二维码）充分利用现有居民健康卡的注册管理系统和密钥管理系统，通过构建居民健康卡跨域主索引系统和电子健康卡管理系统，以二维码技术为核心，实现居民健康卡的虚拟化应用。 电子健康卡（二维码）系统架

17、构如图 4.1所示： 第7页 共27页 图 4.1 电子健康卡系统架构图 注：此图仅表述各系统间的关系，不代表实际的部署架构。系统部署架构可参见附录A。 4.1 居民健康卡跨域主索引系统 居民健康卡跨域主索引系统是实现全国、省域或市级区域范围内居民信息统一识别的独立的信息管理系统。基于该系统可实现对所辖各区域居民标识域，以及身份证、社保卡、军官证、归国华侨证、就诊卡等标识证的统一注册管理，通过主索引ID进行唯一性标识。 居民健康卡跨域主索引系统要求详见居民健康卡跨域主索引平台技术指引（试用）。 4.2 居民健康卡注册管理系统 注册管理系统是实体居民健康卡制作和应用过程中，负责居民健康卡制卡数据

18、的生产和管理、提供查验等支持功能的系统，也称居民健康卡卡片管理系统。 在电子健康卡建设前期，可将注册管理系统的数据批量导入电子健康卡管理系统中，为已有实体居民健康卡用户生成电子健康卡。电子健康卡应具有明确的标识，以便与实体卡区分。 4.3 居民健康卡密钥管理系统 居民健康卡密钥管理系统主要功能是对实体居民健康卡密钥生命周期进行管理，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥恢复、密钥归档。 第8页 共27页 在电子健康卡应用中，为充分利用各省已建成的居民健康卡密钥管理系统，满足密钥使用的统一性，选用应用数据读取密钥和内部认证密钥支撑电子健康卡的应用：应用数据读取密钥作为安全密钥

19、，用于生成电子健康卡ID，对用户的定位和身份验证；内部认证密钥作为保护密钥，用于对有效时间等信息的加密。 密钥下载需要符合原居民健康卡密钥管理系统的安全规定和管理流程。 4.4 电子健康卡管理系统 电子健康卡管理系统是电子健康卡的核心系统，具有电子健康卡账户管理、二维码管理、密码服务等功能，并对外部接入的机构和终端进行管理。电子健康卡管理系统中按照主索引生成方案生成主索引ID。电子健康卡管理系统与注册管理系统连接，保证电子健康卡数据与实体卡数据同步；没有市级或省级注册管理系统的，电子健康卡管理系统应与国家注册管理系统连接。 4.5 医疗卫生机构 4.5.1 机构终端 医疗卫生机构部署机构终端用

20、于申请二维码。机构终端可包括自助终端、挂号窗口终端等多种形式。 4.5.2 识读终端 医疗卫生机构可通过识读终端识读用户提供二维码，并将二维码信息传输至电子健康卡管理系统，用于识别用户身份。 4.5.3 个人终端 个人终端（如手机等移动设备）运行的电子健康卡APP接入电子健康卡管理系统。电子健康卡APP可注册电子健康卡账户，申请电子健康卡二维码，并可管理与居民健康卡绑定的各医院就诊卡账户，查询居民在各医院的就诊信息。 4.6 金融交易机构 金融交易机构可接入电子健康卡管理系统，通过支付数据与电子健康卡二维码数据结合，实现二码合一。二码合一方案需要电子健康卡用户绑定支付服务方的账户（如银行卡账户

21、），第9页 共27页 电子健康卡管理系统根据用户绑定的账户向支付服务提供方申请支付数据。金融交易机构也可直接与医疗卫生机构建立支付结算通道。 4.7 医保中心 医保中心与医疗卫生机构连接，可以进行信息共享并提供医保结算服务。 电子健康卡（二维码）工作流程 5.1 电子健康卡注册流程 注册电子健康卡的主要流程如图 5.1所示： 1) 用户通过APP或机构终端向电子健康卡管理系统提交实名制信息进行注册。用户实名制认证可通过线下方式（如通过自助终端读取用户证件）或线上方式（如通过金融交易机构对身份信息和银行账户信息进行验证）完成。 2) 电子健康卡管理系统接受请求，查询注册管理系统是否存在该用户：

22、如存在，注册管理系统向电子健康卡管理系统返回用户信息和主索引ID。 如不存在，电子健康卡管理系统根据虚拟卡用户信息生成主索引ID。 3) 电子健康卡管理系统根据主索引ID生成电子健康卡ID，结合用户身份标识信息，完成用户注册。 4) 电子健康卡管理系统与注册管理系统同步电子健康卡账户信息。 第10页 共27页 图 5.1 注册电子健康卡账户 5.2 电子健康卡二维码申请流程 电子健康卡二维码申请的主要流程如图 5.2所示： 1) 用户通过APP或机构终端申请二维码。 2) 电子健康卡管理系统（二维码管理模块）根据业务功能确定的二维码类型（静态二维码或动态二维码）进行二维码生成。 如需要实现支付

23、功能时，电子健康卡管理系统（二维码管理模块）应向支付服务提供方申请支付二维码数据，作为二码合一的组成部分。 3) 电子健康卡管理系统将二维码返回APP或机构终端。 第11页 共27页 图 5.2 用户申请电子健康卡二维码 5.3 电子健康卡二维码使用流程 电子健康卡二维码使用的主要流程如图 5.3所示： 1) 识读终端识读用户出示的二维码。 2) 医疗机构业务系统根据使用场景对二维码类型进行判定，将匹配通过的二维码发送至电子健康卡管理系统（二维码管理）。 3) 电子健康卡管理系统（二维码管理）对电子健康卡二维码中的数据进行验证。 如采用二码合一方案，由支付服务提供方进行支付数据验证。 4) 电

24、子健康卡管理系统（二维码管理）返回验证结果。 第12页 共27页 图 5.3 用户使用电子健康卡二维码 电子健康卡管理系统功能要求 6.1 功能层要求 本节描述电子健康卡管理系统必备的基本功能。 6.1.1 电子健康卡账户管理 电子健康卡管理系统具有电子健康卡账户管理的管理功能，即对电子健康卡账户的管理，包括账户信息的管理和账户生命周期管理。 电子健康卡账户信息包括电子健康卡ID、用户身份信息（姓名，手机号，经验证的证件号码、证件类型等）、主索引ID、绑定的金融支付账户等。电子健康卡ID由账户管理功能调用密码服务功能产生。用户实名制认证可通过线下方式（如通过自助终端读取用户证件）或线上方式（如

25、通过金融交易机构对身份信息和银行账户信息进行验证）完成。绑定的金融支付账户用于实现二码合一功能。 电子健康卡账户生命周期，包含账户的注册、个人信息变更、账户注销等。 电子健康卡账户信息应与居民健康卡注册管理系统进行同步，以实现电子健康卡与实体居民健康卡相同的信息查询和存储功能。 6.1.2 二维码管理 第13页 共27页 电子健康卡管理系统应具备二维码管理功能，支持二维码生成及二维码验证。二维码生成及验证可基于软件实现，也可基于硬件实现，机构应结合自身使用场景和系统的实际情况选择安全可靠的二维码实现方案。 二维码管理功能应具备二维码的生成和验证的记录模块，提供对二维码生成和验证记录的分析和查询

26、功能，提供对二维码使用过程的监控功能。 二维码管理功能应对动态二维码的生命周期进行管理。使用动态二维码时二维码管理功能应设置有效时间，通过对时间的控制限制动态二维码的可用时间，从而保障动态二维码的使用安全。 二维码管理功能与金融交易机构进行支付数据的交互，实现二码合一。 6.1.2.1 二维码数据内容要求 二维码数据的内容格式应遵循的数据要求如表 6.1所示： 表 6.1 二维码数据标准 序号 字段内容 代码 备注 1 电子健康卡ID VUID 用VUID表示。 2 二维码类型标识符 0为动态二维码标识符，1为静态二维码标识符 3 二维码有效性信息 VALID 由密码服务模块对有效时间加密产生

27、。 4 支付数据 TOKEN 支付服务提供方支付数据，二码合一支付使用。 二维码不同字段使用英文半角冒号作为分隔符。 二维码示例如下： 静态二维码 VUID:1 动态二维码 VUID:0:VALID 二码合一 VUID:0:VALID:TOKEN 6.1.2.2 二维码生成 二维码管理模块接受电子健康卡APP或机构终端的二维码生成请求，依据电子健康卡二维码数据标准进行二维码生成。 二维码生成过程中，需要判断二维码生成类型。如果是静态二维码，由的电子健康卡ID和静态标识符组成二维码。如果是动态二维码，由电子健康卡ID和动态标识符及有效时间密文组成二维码；如果采用二码合一方案，二维码管理功能还需要

28、根据用户绑定的支付账户信息向对应的支付机构申请支付数据，并将支付数据加入到二维码中。 二维码生成流程如图 6.1所示： 第14页 共27页 图 6.1 二维码生成流程 6.1.2.3 二维码验证 二维码管理模块接受二维码验证请求，根据电子健康卡二维码数据标准对识读终端上送的二维码进行验证。本文中所称的二维码验证均是对二维码中数据内容的验证。 二维码验证时，通过密码服务解密电子健康卡ID，得到居民证件类型和证件号码，与账户管理中的证件类型和证件号码进行比对，识别使用电子健康卡的居民。动态二维码的有效时间密文通过密码服务解密，检查有效时间是否在许可时间使用范围内。如果采用二码合一方案，支付数据交由

29、支付服务提供方验证。 二维码验证流程如图 6.2所示： 第15页 共27页 图 6.2 二维码验证流程 6.1.3 密码服务 电子健康卡管理系统密码服务功能区域包含应用密码机，为电子健康卡管理系统的其他功能模块提供密码服务。应用密码机是电子健康卡管理系统的一部分，在物理环境上应与电子健康卡管理系统的其他功能模块同区域部署；应用加密机仅对本电子健康卡管理系统提供密码服务，不向其他任何系统提供服务。 应用密码机提供统一的主索引ID生成接口和电子健康卡ID接口，电子健康卡管理系统调用应用密码机模块时，应根据电子健康卡密码机技术规范中的“5密码机高级应用编程接口”进行调用。 应用密码机中包含安全密钥和

30、保护密钥。 1) 安全密钥 安全密钥用于生成电子健康卡ID。 电子健康卡管理系统生成用户主索引ID后，调用密码服务功能生成电子健康卡ID。以应用加密机中的安全密钥为根密钥；将主索引ID以8字节为一组，将各组异或后的结果作为分散因子；将根密钥通过SM4算法分散产生用户身份认证密钥，分散方案与实体卡密钥分散方第16页 共27页 案一致。通过用户身份认证密钥和SM4算法对用户证件类型和证件号码加密生成电子健康卡ID。电子健康卡ID采用以下表达式生成： 电子健康卡ID=SM4加密(证件类型+证件号，用户身份认证密钥，ECB模式) 2) 保护密钥 保护密钥用于动态二维码生成与验证。生成动态二维码时，二维

31、码管理调用密码服务，通过SM4算法将有效时间的明文信息加密。验证动态二维码时，二维码管理调用密码服务，通过SM4算法将有效时间的密文解密，进行验证。 有效时间采用16进制编码，加密补位为0。格式为YYYYMMDDHHMMSS。如当前时间为2018年1月17日11:50:03，则表示为20180117115003（HEX）。 二维码有效性信息=SM4加密(有效时间补位结果，保护密钥，ECB模式) 密码服务的主要功能如图 6.3所示： 图 6.3 密码服务功能 6.2 接入层要求 第17页 共27页 本节描述电子健康卡管理系统对APP、终端或机构的接入要求。 6.2.1 APP接入管理 电子健康卡

32、管理系统提供APP信息管理功能，登记APP的名称等相关信息。电子健康卡管理系统可通过采用多种方式来保证APP(应用软件)的接入安全，如采用可信技术、白名单管理、摘要认证方式、第三方证书等。 电子健康卡管理系统对申请二维码的APP进行管理： 建立系统访问控制，对合法的APP开放服务； 对于合法的APP，提供二维码申请功能。 6.2.2 机构接入管理 电子健康卡管理系统提供接入机构信息管理功能，登记接入机构的编号、名称、机构性质、接入IP地址等相关信息。电子健康卡管理系统可通过多种方式来保证接入机构的接入安全，如采用VPN方式直接连接、可信技术、白名单管理、对称密钥认证、第三方证书等。 电子健康卡

33、管理系统对接入机构进行管理： 机构通过前置系统接入到电子健康卡管理系统。 建立系统访问控制，对合法的接入机构开放服务。 接入机构的终端上申请电子健康卡账户的软件应满足APP的各项要求。 6.2.3 识读终端管理 电子健康卡管理系统提供识读终端信息管理功能，登记识读终端的编号、所属机构等相关信息。 识读终端直接接入电子健康卡管理系统时，电子健康卡管理系统应对识读终端进行认证。电子健康卡管理系统可采用多种方式进行终端认证，如采用VPN方式直接连接、可信技术、白名单管理、对称密钥认证方式、第三方证书等。 识读终端通过接入机构的前置系统接入电子健康卡管理系统时，接入机构应向电子健康卡管理机构上送其识读

34、终端的相关信息。接入机构应对采取有效方式对终端进行认证，保障识读终端接入的安全性。 电子健康卡终端功能要求 第18页 共27页 7.1 电子健康卡APP功能要求 电子健康卡应用的提供方可以基于现有的APP(应用软件)，通过调用电子健康卡SDK实现电子健康卡应用，也可独立实现电子健康卡应用。 电子健康卡SDK应提供统一的电子健康卡管理系统的调用接口。采用电子健康卡SDK有助于实现健康卡应用的标准化。电子健康卡SDK应根据移动终端特性，提供支持原生开发语言及支持HTML5等不同实现方式的调用方式。 电子健康卡APP向用户提供直接访问电子健康卡管理系统交互的接口，其主要功能有： 电子健康卡用户注册与

35、注销； 申请、下载、更新二维码； APP可以多种方式提供用户的身份鉴别,可采用: 静态口令身份验证功能； 动态口令身份验证功能； 生物识别身份验证功能； 基于密钥身份认证功能等。 APP提供方可以根据业务需求、商业需求、运营环境等需求选择不同的身份鉴别功能或功能组合，也可以增加支持其他功能。 7.2 识读终端功能要求 识读终端应支持识读二维码: 应保证二维码识读结果的机密性，避免二维码信息泄露； 应保证二维码解析的准确性； 应保证二维码识读解析结果表达的规范性； 对于在原有 POS等设备上进行扩展后具有二维码识读功能的设备还应遵守居民健康卡及国家金融行业相关标准； 识读终端向后台服务端传输的信

36、息中应包含识读终端相关信息。 电子健康卡（二维码）安全要求 8.1 通用要求 系统安全应符合GB/T 22239-2008中第三级要求。 第19页 共27页 系统应采用SM2、SM3、SM4国产密码算法，采用国密标准的VPN。 系统应支持724小时正常运行。 系统间数据传输应采用密码技术保证传输数据的保密性、完整性、不可抵赖性。 8.2 实名认证要求 医疗卫生机构应对注册的电子健康卡的居民进行实名认证，需在窗口注册、自助终端注册、移动APP注册等不同渠道设置适当的实名认证方案，并满足以下要求： （一）医疗卫生机构自主或委托合作机构以面对面方式核实居民身份，应对居民有效的实名身份证件进行确认。

37、（二）医疗卫生机构可以非面对面方式核实居民身份。应通过至少一个合法安全的外部渠道进行身份基本信息验证。居民身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。其中，通过商业银行验证个人客户身份基本信息的，应为类银行账户或信用卡。 8.3 电子健康卡管理系统安全要求 电子健康卡管理系统涉及到敏感的密钥信息，必须加强访问控制，建立完善的日志系统。 根据“业务需要”和“最小权限”原则，严格控制访问，任何人都只能访问其开展业务所必需的信息，并且只能够获得访问所必要的最少权限。 应至少采用下列一种因素验证具有修改权限的人员身份：（1）根据用户知道的身份证明信息进行身份验

38、证（如密码等）；（2）根据用户持有的身份证明信息进行身份验证（如智能卡、动态口令（OTP）、手机短信验证码）；（3）根据用户特有的身份证明信息进行身份验证（如指纹等生物标志）。 记录具有管理员权限对系统的身份识别和验证机制（包括但不限于创建新账户、提升权限等）进行使用和更改，并对应用程序账户进行任何更改、增加、删除的行为。 记录分配有管理权限的任何个人所做的所有操作。 记录所有单个用户对系统内敏感数据的访问。 电子健康卡管理系统对外提供服务，其必须建立安全机制及策略，保障系统安全及信息交互安全。 建立安全访问机制，应通过访问控制列表对系统资源实现允许或拒绝用户访问； 攻击防范，抵御常见的SQL

39、注入、跨站脚本、网页挂马等攻击手段； 第20页 共27页 通信完整性，应采用约定通信会话方式的方法保证通信过程中的数据完整性； 系统容错，应提供数据有效性功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； 数据加密保护，应对敏感信息通过密码算法进行加密存储； 数据备份及恢复，应能够对重要数据进行备份和恢复。 电子健康卡管理系统需同时接受不同机构上送的信息，处理大量并发验证。 应确保系统的并发处理能力，满足既定的业务需要。 应确保系统的响应速度，在有效时间内返回认证结果。 应定义系统的RTO与RPO，并满足相应能力。 8.4 电子健康卡APP安全要求 电子健康卡APP

40、自身应符合下列要求： APP应用软件应提供数据有效性校验功能, 软件的下载、安装与更新时应采用安全防护措施； 应对客户端程序进行签名，标识客户端程序的来源和发布者，保证客户所下载的客户端程序来源于所信任的机构； 客户端宜采用防逆向工程保护措施，如客户端可采取代码花指令、反调试、代码混淆等技术手段，防范攻击者对客户端的反编译分析； 客户端启动和更新时，宜进行真实性和完整性校验，防范客户端被篡改； 应用软件与后台系统应具备合法性认证机制，并具备记录所有用户访问日志的功能； 应采用安全的密码输入方式； 应对数据进行安全存储，防止敏感信息泄露； 客户端应从木马病毒防范、信息加密保护、运行环境可信等方面

41、提升安全防控能力； 电子健康卡SDK开发商应对电子健康卡SDK的调用提供安全指导手册； 采用电子健康卡SDK的APP开发商应按照电子健康卡SDK开发商的安全指导进行调用。 8.5 网络通讯安全要求 网络通讯应符合下列要求： 第21页 共27页 应在医疗卫生机构、金融交易机构与电子健康卡管理系统之间通过专线或VPN进行通讯，保护数据通信安全； 应在客户端与服务器之间建立安全的信息传输通道，通过公开网络进行数据传输时，应进行双向认证，例如使用SSL/TLS或IPSEC等协议； 如使用SSL/TLS协议，应使用相对高版本的协议，取消对低版本协议的支持。 8.6 二维码技术应用要求 在电子健康卡应用中

42、使用的二维码技术应确保具有访问权限的使用者具备唯一的身份标识 ID。使用的二维码技术应该具备一般用户验证机制、重置验证机制，并且对验证信息进行保护，对登录失败次数设置合理上限。 在电子健康卡应用中使用的二维码技术应确保存储信息的安全性，且不应存储敏感信息。 在电子健康卡应用中，应对传输的数据进行保密性保护，并具备鉴别机制，还应确保接收信息或发送信息的主体在数据交换期间能获得证明该信息发送或接收的证据。 8.6.1 数据要求 输入数据信息转成一个或多个二维码，被识读解码后应完全重现输入数据信息，不得出现任何差异。 二维码的表达必须符合相应的国家标准规范。输入数据信息转成一个或多个二维码，被任何符

43、合国家标准规范的二维码识读设备识读后的数据信息必须具有唯一性。 二维码纠错等级应选用可恢复码字比例不小于15%的等级。 8.6.2 表现要求 二维码应与居民健康卡标识（LOGO）相结合，展现居民健康卡品牌性。 二维码应表现在平面介质上，不得扭曲、变形、破坏。 二维码应完整表现，且二维码外围空白区应符合码制要求。 二维码可表现在主动发光表面介质，包括但不限于LCD、LED屏幕等，半主动发光表面介质，包括但不限于光学投影幕墙等，和被动反射表面介质，包括但不限于打印纸质材料、电子墨水屏幕等。 二维码主体应采用黑白或深浅反差尽量大的两种色块表示。 对于被动反射表面介质，要求PCS值不小于30%。 对于

44、被动反射表面介质，最高表示精度不应超过0.254mm（10mil）。 第22页 共27页 对于主动、半主动发光表面介质，最高表示精度不应超过0.381mm（15mil）。 二维码应根据需求生成PNG/JPG/BMP等格式。 8.6.3 识读要求 对于被动反射表面介质，最高识读精度应达到0.254mm（10mil）。 对于主动、半主动发光表面介质，最高精度应达到0.381mm（15mil）。 对于一个二维码，识读时间应不超过1秒。 如果二维码交易过程一次识读步骤中需识读多个二维码，全部识读时间应不超过5秒。 对于识读解码能力范围内的标准测试版，出错率应小于0.01%。 8.6.4 安全要求 二维

45、码的产生过程必须由用户身份认证密钥参与运算，二维码的验证过程其核心就是通过用户身份认证密钥验证其数据。 应采取安全技术对二维码中包含的敏感信息进行加密处理。 应确保生成二维码的软件、设备的安全性，防止生成的二维码携带病毒、木马等数据或者链接，防止生成的二维码被篡改、替换。 动态二维码应根据风控能力设置有效时间。 应采用有效措施，确保二维码信息的真实性、完整性、一致性和抗抵赖性。 在电子健康卡应用中使用的二维码技术应确保具有访问权限的使用者具备唯一的身份标识ID。 使用的二维码技术应该具备一般用户验证机制、重置验证机制，并且对验证信息进行保护，对登录失败次数设置合理上限。 在电子健康卡应用中，应

46、对传输的数据进行保密性保护，并具备鉴别机制，还应确保接收信息或发送信息的主体在数据交换期间能获得证明该信息发送或接收的证据。 8.7 识读终端安全要求 识读终端应保证识读结果的机密性，避免二维码信息泄露。 二维码解析时应满足以下要求： 应对二维码完整性进行校验； 第23页 共27页 应对二维码的真实性进行校验； 应识别病毒、木马等恶意数据，保障交易的安全性。 识读终端如果具有金融交易的PIN输入相关场景，应具备一定的物理、逻辑安全机制，如应具备入侵检测机制，防止PIN输入过程被监听，可安全地存储敏感信息，具备完整的密钥体系等。在PIN输入设备和非接触式读卡器间传输PIN相关信息时，应有效地保护

47、所传输的数据。PIN输入设备应满足金融行业相关规范的要求。 应采取技术手段实现二维码业务的识读终端、通讯网络与其他业务系统实现隔离。 电子健康卡系统管理要求 9.1 通用要求 9.1.1 系统建设管理 应以书面的形式说明系统部署的边界、系统建设的方法和理由。 应组织相关部门和有关安全技术专家对系统建设的合理性和正确性进行论证和审定。 应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定，经过批准后才能正式实施。 应确保信息安全产品采购和使用符合国家的有关规定。 应确保密码产品采购和使用符合国家密码主管部门的要求。 9.1.2 系统开发管理 自行开发时，应确保开发环境与实际运行环

48、境物理分开，测试数据和测试结果受到控制，并确保在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测。 外包软件开发时，应在软件交付前检测软件质量和其中可能存在的恶意代码，并要求开发单位提供软件设计文档和使用指南。 9.1.3 工程实施管理 应指定或授权专门的部门或人员负责工程实施过程的管理； 应制定工程实施方案控制安全工程实施过程。 9.1.4 测试验收 在制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告； 应进行上线前的安全性测试，并出具安全测试报告。 9.2 电子健康卡管理系统管理 第24页 共27页 电子健康卡管理系统是电子健康卡的核心系统，为确保

49、电子健康卡管理系统的运营安全，应建立安全管理制度，设置电子健康卡管理系统的管理规范。 9.2.1 资产管理 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 应确保介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。 9.2.2 网络和系统安全管理 应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限； 应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账号等进行控制； 应建立网络和系统安全管理制度，对安全策略、 账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定； 应制定重要设备的配置和操作手册，依据