ICS35.240.15CCSL60DB43湖南省地方標準社會保障卡一卡通應用技術(shù)規(guī)范第3部分:應用系統(tǒng)接入規(guī)范Technicalspecificationsfortheapplicationofsocialsecuritycardspart3:ApplicationsystemAccessspecification2023-11-09發(fā)布2024-02-09實施湖南省市場監(jiān)督管理局發(fā)布DB43/T2856.32023前言 III1范圍 13術(shù)語和定義 14符號和縮略語 25一卡通應用平臺 35.1總體架構(gòu) 35.2功能 6應用系統(tǒng)接入要求 46.1接入條件 46.2接入模式 46.3接入技術(shù)要求 46.4接入安全要求 56.5接入應用要求 66.6接入改造要點 66.7接入方式 66.8應用接入流程 66.9應用接口管理 6參考文獻 DB43/T2856.32023本文件按照GB/T1.12020《標準化工作導則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件是DB43/T2856《社會保障一卡通應用技術(shù)規(guī)范》的第3部分。DB43/T2856己經(jīng)發(fā)布以下部分: 第1部分:卡片; 第2部分:卡內(nèi)結(jié)構(gòu)。本文件由湖南省人力資源和社會保障廳提出并歸口。本文件起草單位:湖南省社會保障卡服務(wù)中心、湖南農(nóng)業(yè)大學、長沙市人力資源和社會保障局、湘潭市人力資源和社會保障局、常德市人力資源和社會保障局、婁底市人力資源和社會保障局、華容縣人力資源和社會保障局、衡南縣人力資源和社會保障局、湖南正智標準咨詢有限公司。本文件主要起草人:吳意、劉輝、夏菁、卓輝、鄧波、唐浩、羅毅輝、王云祥、陶星星、張弼、徐潔宇、李騰輝、劉春、劉偉、李勝、羅臣廷、李星星、許慧、雷雨亮、徐進、張偉、楊玲、吳敏、周懷洲。DB43/T2856.32023社會保障卡一卡通應用技術(shù)規(guī)范本文件規(guī)定了社會保障卡一卡通的應用平臺、一卡通應用系統(tǒng)接入要求。本文件適用于社會保障卡應用系統(tǒng)的設(shè)計開發(fā)、建設(shè)實施和集成應用。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T15843.12017信息技術(shù)安全技術(shù)實體鑒別第1部分:總則GB/T18793信息技術(shù)可擴展置標語言(XM)1.0GB/T32430信息技術(shù)SOA應用的服務(wù)分析與設(shè)計GM/T00542018信息系統(tǒng)密碼應用基本要求ZWFWCO1312018國家政務(wù)服務(wù)平臺統(tǒng)一身份認證隱私保護要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。社會保障卡socialsecuritycard由國家人力資源和社會保障部門統(tǒng)一規(guī)劃,各級人力資源和社會保障部門聯(lián)合合作銀行面向社會公眾發(fā)行,是持卡人享受人力資源和社會保障權(quán)益及其他政府公共服務(wù)權(quán)益的服務(wù)載體。注:社會保障卡包括實體社會保障卡和電子社會保障卡。兩種形態(tài)的社會保障卡在業(yè)務(wù)經(jīng)辦中具有同等效力。實體社會保障卡是集成電路(IC)卡。3.2電子社?？╡lectronicsocialsecuritycard社會保障卡的線上形態(tài),是社會保障卡電子證照的具體表現(xiàn)形式,與實體社會保障卡一一對應、功能相通。3.3社會保障卡持卡人員基礎(chǔ)信息庫socialsecuritycardholdersbasicinformationdatabase持卡庫管理社會保障卡持卡人員基礎(chǔ)、關(guān)鍵、相對穩(wěn)定的信息,支持全國共享及服務(wù)的信息庫。3.4全國社會保障卡服務(wù)平臺nationalsocialsecuritycardserviceplatform全國社會保障卡線上身份認證與支付結(jié)算服務(wù)平臺DB43/T2856.32023電子社會保障卡提供線上可信身份認證和支付服務(wù),并依托部級持卡庫實現(xiàn)電子社會保障卡與實體社會保障卡關(guān)聯(lián)服務(wù)的平臺。3.5社會保障卡管理信息系統(tǒng)socialsecuritycardmanagementinformationsystem卡管系統(tǒng)由湖南省社會保障部門建設(shè)、部署,對實體社會保障卡的申領(lǐng)、制作、發(fā)放、啟用·掛失、解掛、補領(lǐng)、換領(lǐng)、注銷等全生命周期管理,以及對實體社會保障卡讀寫終端等管理,并提供認證、鑒權(quán)等服務(wù)的管理信息系統(tǒng)。3.6社會保障卡一卡通應用平臺socialsecuritycardone-card-passapplicationplatform一卡通應用平臺以省社會保障卡管理系統(tǒng)為基礎(chǔ),依托省級其他業(yè)務(wù)系統(tǒng),支撐社會保障卡一卡通用、全省通用。3.7社會保障卡一卡通應用系統(tǒng)socialsecuritycardone-card-passapplicationsystem一卡通應用系統(tǒng)與社會保障卡"一卡通"應用平臺對接,支持使用社會保障卡對外提供服務(wù)的所有信息系統(tǒng)。3.8控制密碼算法運算的關(guān)鍵信息或參數(shù)。3.9數(shù)字簽名(簽名)digitalsignaturesignature數(shù)據(jù)單元的附屬數(shù)據(jù)或者是經(jīng)過密碼變換后得到的數(shù)據(jù),被數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性,達到保護數(shù)據(jù),防止被人(例如,接收者)偽造的目的。3.10響應response卡處理完成收到的命令報文后,返回給終端或者卡接受設(shè)備的報文。4符號和縮略語下列符號和縮略語適用于本文件。APP應用程序(application)FTPHTTPHTTPSJMSJava消息服務(wù)(JavaMessageservice)JSONJavascript對象標記(JavascriptobjectNotation)SFTP安全文件傳輸協(xié)議(secureFileTransferprotocol)SOA面向服務(wù)的體系結(jié)構(gòu)(serviceorientedArchitecture)SOAP簡單對象訪問協(xié)議(simpleobjectAccessprotocol)2DB43/T2856.32023HmacsHA15.1總體架構(gòu)礎(chǔ)能力支撐,一卡通應用系統(tǒng)將這些能力通過多渠道向持卡人提供社?？ㄓ每ǚ?wù)。一卡通應用總體架圖5.2功能5.2.1應用服務(wù)總線一卡通應用平臺通過服務(wù)管理、設(shè)備管理、服務(wù)熔斷管理、日志管理、消息推送管理將一卡通對接的應用資源、數(shù)據(jù)資源、服務(wù)資源等按照統(tǒng)一的規(guī)范封裝并發(fā)布,并提供高可用、穩(wěn)定高效、可線性擴容的服務(wù)能力以及全面的訪問控制。平臺應用服務(wù)包括:a)協(xié)議轉(zhuǎn)換:支持常用協(xié)議服務(wù)的接入和開放(HT'TP/SOApwebservice),支持復雜類型和結(jié)構(gòu)的出入?yún)?shù)定義,以及高度定制化、靈活的數(shù)據(jù)變換等;5.2.2服務(wù)組織管理一卡通應用平臺提供可靈活定制的服務(wù)全環(huán)節(jié)管理:3DB43/T2856.3202345.2.3服務(wù)運維監(jiān)控日志監(jiān)控:提供系統(tǒng)管控、服務(wù)消費和管理審b)平臺配置:提供實例管理、用戶管理,以及系統(tǒng)角色權(quán)限定制能力等。6應用系統(tǒng)接入要求6.1接入條件應用系統(tǒng)接入一卡通應用平臺,應滿足以下條件:a)應用系統(tǒng)網(wǎng)絡(luò)可與一卡通應用平臺人力資源社會保障業(yè)務(wù)專網(wǎng)對接聯(lián)通;b)一卡通應用系統(tǒng)應完成系統(tǒng)的聯(lián)調(diào)和測試。6.2接入模式6.2.1作為服務(wù)提供者的接入模式應用系統(tǒng)作為服務(wù)提供者接入一卡通應用平臺,所發(fā)布的服務(wù)接口應滿足:a)應提供web服務(wù)的封裝形式;b)應至少支持SOAP或JSON的一種消息格式;C)當接口采用XML的消息格式時,應遵循GB/T18793的相關(guān)要求;d)服務(wù)接口設(shè)計應參考GB/T32430中SOA應用服務(wù)分析與設(shè)計方面的相關(guān)要求。6.2.2作為服務(wù)使用者的接入模式分配服務(wù)。指應用系統(tǒng)作為使用者,可分配一卡通應用平臺發(fā)布的服務(wù),待分配后,即可調(diào)用分配服務(wù)。指應用系統(tǒng)作為使用者,可分配一卡通應用平臺發(fā)布的服務(wù),待分配后,即可調(diào)用該服務(wù)b)調(diào)用服務(wù)。指應用系統(tǒng)使用接口調(diào)用代碼、SDK、HTML5頁面等方式調(diào)用一卡通應用平臺發(fā)布的服務(wù)。6.3接入技術(shù)要求6.3.1接入?yún)f(xié)議應用系統(tǒng)可支持但不限于以下傳輸協(xié)議:應用系統(tǒng)可支持但不限于以下消息協(xié)議: SOAP;6.3.2服務(wù)調(diào)用方式應用系統(tǒng)可支持但不限于以下調(diào)用方式:5DB43/T2856.32023webservice接口調(diào)用; SDK調(diào)用; HTML5頁面調(diào)用。6.4接入安全要求6.4.1網(wǎng)絡(luò)安全一卡通應用平臺在業(yè)務(wù)專網(wǎng)環(huán)境下運行,在業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)環(huán)境同時提供服務(wù)。應用系統(tǒng)可以根據(jù)自身部署環(huán)境自行選擇業(yè)務(wù)專網(wǎng)或者互聯(lián)網(wǎng)接入方式。業(yè)務(wù)專網(wǎng)環(huán)境下可使用HTTP協(xié)議進行訪問,互聯(lián)網(wǎng)環(huán)境下應使用HTTPS協(xié)議進行訪問。6.4.2系統(tǒng)安全應用系統(tǒng)接入一卡通應用平臺應采用HmacsHA1方法來驗證請求的發(fā)送者身份。如果計算結(jié)果和提供的驗證碼一致,則該請求有效;如果計算結(jié)果和提供的驗證碼不一致,則數(shù)據(jù)交換平臺將拒絕處理這次請求,并返回code為"95270716",message為"數(shù)字簽名錯誤!"的JSON報文信息,保證數(shù)據(jù)傳輸安全。6.4.3數(shù)據(jù)安全一卡通應用有關(guān)數(shù)據(jù)安全管理應符合國家有關(guān)法律法規(guī)要求,在數(shù)據(jù)的隱私性、保密性完整性、可用性以及數(shù)據(jù)權(quán)限設(shè)置等方面實現(xiàn)整體安全。6.5接入應用要求6.5.1實體社會保障卡鑒權(quán)在實體社會保障卡使用過程中,需對卡的有效性進行鑒別。一卡通應用平臺為一卡通應用系統(tǒng)提供支持各類業(yè)務(wù)辦理的卡鑒權(quán)服務(wù)。6.5.2電子社會保障卡認證在電子社會保障卡使用過程中,需對碼的有效性、身份信息進行解析認證。一卡通應用平臺為卡通應用系統(tǒng)提供支持各類業(yè)務(wù)辦理的電子社會保障卡的生碼、解碼、認證、支付等服務(wù)。6.5.3用卡記錄同步在社會保障卡使用過程中,需要將社?？ㄓ每ㄓ涗浲降揭豢ㄍ☉闷脚_。6.5.4基礎(chǔ)信息共享一卡通應用平臺為各級各類一卡通應用系統(tǒng)提供人員、卡基礎(chǔ)信息校核,實現(xiàn)基礎(chǔ)信息的共享,支持相關(guān)信息的比對共享。6.6接入改造要點6.6.1卡數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)關(guān)聯(lián)應用系統(tǒng)應將社會保障卡數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離,建立以社會保障號碼為標識的數(shù)據(jù)關(guān)聯(lián)機制。社會保障卡數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)不能通過其他標識建立關(guān)聯(lián)關(guān)系。DB43/T2856.320236.6.2交易記錄與驗證應用系統(tǒng)使用實體社會保障卡進行業(yè)務(wù)辦理時,尤其支付結(jié)算類用卡場景,應選擇使用PIN交易、寫交易記錄、獲取交易認證碼、上傳交易認證碼等規(guī)范流程進行改造。應用系統(tǒng)使用電子社會保障卡基礎(chǔ)應用能力時,應按照全國社會保障卡服務(wù)平臺統(tǒng)一標準和要求進行改造。6.7接入方式應用系統(tǒng)接入一卡通應用平臺時,應進行相關(guān)接口注冊。應用系統(tǒng)管理部門或者單位按本文件要求開發(fā)一卡通應用頁面和交互功能,由一卡通應用平臺負責一卡通應用的上線下線等。6.8應用接入流程擬接入一卡通應用平臺的應用系統(tǒng)管理部門或者單位9應向一卡通應用平臺管理部門申請9并提供接入地址等信息,獲得接入批準后,一卡通應用平臺管理部門按照接入方式完成接入注冊并分配接入編號。6.8.2開發(fā)完成一卡通應用平臺接入注冊后的應用系統(tǒng)管理部門或者單位應嚴格按照一卡通應用平臺服務(wù)技術(shù)要求進行相關(guān)服務(wù)接口的開發(fā)。6.8.3聯(lián)調(diào)與驗證應用系統(tǒng)開發(fā)完成后,通過一卡通應用平臺聯(lián)調(diào)測試環(huán)境和準生產(chǎn)驗證環(huán)境進行業(yè)務(wù)聯(lián)調(diào)與驗證。6.8.4審核與發(fā)布應用系統(tǒng)聯(lián)調(diào)驗證完成后,應用系統(tǒng)管理部門或者單位可申請上線,獲得一卡通應用平臺管理部門審核批準后可上線發(fā)布運行。6.9應用接口管理6.9.1接口注冊一卡通應用平臺管理員對已經(jīng)審核通過的應用系統(tǒng)接口進行注冊,注冊后接口由一卡通應用平臺統(tǒng)一監(jiān)管。參數(shù)文件。接口主要參數(shù)和模式示例見表參數(shù)文件。接口主要參數(shù)和模式示例見表表1接口主要參數(shù)和模式示例接口地址https:返回格式請求方式get或post接口協(xié)議http7DB43/T2856.32023接口備注***查詢接口請求頭示例(Header)參數(shù)名稱說明示例類型是否必傳powerdtp-app系統(tǒng)編碼唯一的編號(601)string必傳powerdtpnodeendpoint系統(tǒng)下屬節(jié)點端點系統(tǒng)服務(wù)提供的統(tǒng)籌區(qū)(430000)string必傳powerdtpinterfaceservice下屬接口服務(wù)每個接口定義唯一的服務(wù)編號string必傳請求體示例(Body)參數(shù)名稱說明示例類型是否必傳naMe姓名用戶姓名(測試)string必傳code編碼系統(tǒng)編碼(100000)string必傳返回參數(shù)示例參數(shù)名稱說明示例類型是否必傳Issuccess結(jié)果狀態(tài)碼結(jié)果狀態(tài)碼(false)string必傳Message響應描述響應描述(重復的請求!)stringErrorcode錯誤碼錯誤碼(95279401)stringData返回的數(shù)據(jù)返回的數(shù)據(jù)()string錯誤碼示例錯誤碼錯誤碼說明9527940195279403r無權(quán)調(diào)用服務(wù)!"賬戶已過期!"錯誤的請求路徑!""I11egalIP!"9527940495279429DB43/T2856.32023錯誤碼示例錯誤碼錯誤碼說明95279500調(diào)用dubbo9527950295279503952795049527071195270712n獲取不到平臺AK!"95270713平臺賬戶或AK錯誤!"95270714952707159527071695270717952707189527071995270720952707219527072295270723952707249527072595270726952707279527072895270729952707778DB43/T2856.32023錯誤碼示例錯誤碼錯誤碼說明952707879527000195270007錯誤碼返回示例{"Issuccess":false,"Message":"平臺未知異常!","Errorcode":95270007,"Data":null6.9.2接口檢測6.9.2.1接口注冊后,一卡通應用平臺應對接入應用接口進行檢查和測試。6.9.2.2接口檢測要點如下:a)接口是否正常接通,確定接口返回數(shù)據(jù)格式;b)入?yún)⑴c返回數(shù)據(jù)中有無敏感數(shù)據(jù),如有異常及時提醒管理員,并反饋接口提供方;c)定期檢查接口的健康狀況,如發(fā)生接口響應慢、接口報錯、接口請求超時等情況,并及時預警;d)驗證一卡通應用的兼容性、可用性、安全性及性能壓力等。6.9.3接口鑒權(quán)對接的應用系統(tǒng)應進行接口訪問鑒權(quán),應進行如下兩種鑒權(quán)模式:a)安全鑒權(quán)。采用HmacsHA1方法來驗證請求的發(fā)送者身份。如果計算結(jié)果和提供的驗證碼一