《DB43∕T 2856.3-2023 社会保障卡一卡通应用技术规范 第3部分:应用系统接入规范(湖南省).pdf》由会员分享,可在线阅读,更多相关《DB43∕T 2856.3-2023 社会保障卡一卡通应用技术规范 第3部分:应用系统接入规范(湖南省).pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.240.15CCS L 60B43湖 南 省 地 方 标 准DB43/T 2856.32023社会保障卡一卡通应用技术规范 第3部分:应用系统接入规范Technical specifications for the application of social security cardsPart 3:Application System Access Specification2023-11-09 发布2024-02-09 实施湖南省市场监督管理局 发布DB43/T 2856.32023目 次前言.in1范围.12规范性引用文件.13术语和定义.14符号和缩略语.25-Ml应用平
2、台.35.1总体架构.35.2功能.36 应用系统接入要求.46.1接入条件.46.2 接入模式.46.3 接入技术要求.46.4 接入安全要求.56.5 接入应用要求.66.6 接入改造要点.66.7 接入方式.66.8 应用接入流程.66.9 应用接口管理.6参考文献.10IDB43/T 2856.32023刖 B本文件按照GB/T 1.1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规 定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件是DB43/T 2856社会保障一卡通应用技术规范的第3部分。DB43/T 2856已经发布以下
3、部分:第1部分:卡片;第2部分:卡内结构。本文件由湖南省人力资源和社会保障厅提出并归口。本文件起草单位:湖南省社会保障卡服务中心、湖南农业大学、长沙市人力资源和社会保障局、湘 潭市人力资源和社会保障局、常德市人力资源和社会保障局、娄底市人力资源和社会保障局、华容县人 力资源和社会保障局、衡南县人力资源和社会保障局、湖南正智标准咨询有限公司。本文件主要起草人:吴意、刘辉、夏菁、卓辉、邓波、唐浩、罗毅辉、王云祥、陶星星、张弼、徐浩宇、李腾辉、刘春、刘伟、李胜、罗臣廷、李星星、许慧、雷雨亮、徐进、张伟、杨玲、吴敏、周怀洲。IIIDB43/T 2856.32023社会保障卡一卡通应用技术规范 第3部分
4、:应用系统接入规范1范围本文件规定了社会保障卡一卡通的应用平台、一卡通应用系统接入要求。本文件适用于社会保障卡应用系统的设计开发、建设实施和集成应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。GB/T 15843.1-2017信息技术安全技术实体鉴别 第1部分:总则GB/T 18793信息技术 可扩展置标语言(XM)1.0GB/T 32430信息技术S0A应用的服务分析与设计GM/T 0054-2018信息系统密码应用基本要求ZWFW
5、C0131-2018国家政务服务平台统一身份认证隐私保护要求3术语和定义下列术语和定义适用于本文件。3.1社会保障卡 social security card由国家人力资源和社会保障部门统一规划,各级人力资源和社会保障部门联合合作银行面向社会公 众发行,是持卡人享受人力资源和社会保障权益及其他政府公共服务权益的服务载体。注:社会保障卡包括实体社会保障卡和电子社会保障卡。两种形态的社会保障卡在业务经办中具有同等效力。实 体社会保障卡是集成电路(IC)卡。3.2电子社保卡 electronic social security card社会保障卡的线上形态,是社会保障卡电子证照的具体表现形式,与实体
6、社会保障卡一一对应、功 能相通。3.3社会保障卡持卡人员基础信息库 social security card holders basic information database持卡库管理社会保障卡持卡人员基础、关键、相对稳定的信息,支持全国共享及服务的信息库。3.4全国社会保障卡服务平台 national social security card service platform全国社会保障卡线上身份认证与支付结算服务平台DB43/T 2856.32023由人力资源和社会保障部统一建设、全国集中部署,实现全国电子社会保障卡的签发和应用,通过 电子社会保障卡提供线上可信身份认证和支付服务,并依
7、托部级持卡库实现电子社会保障卡与实体社会 保障卡关联服务的平台。3.5社会保障卡管理信息系统 social security card management information system卡管系统由湖南省社会保障部门建设、部署,对实体社会保障卡的申领、制作、发放、启用.挂失、解挂、补领、换领、注销等全生命周期管理,以及对实体社会保障卡读写终端等管理,并提供认证、鉴权等服 务的管理信息系统。3.6社会保障卡通应用平台 social security card one-card-pass application platform一卡通应用平台以省社会保障卡管理系统为基础,依托省级其他业务系统
8、,支撑社会保障卡一卡通 用、全省通用。3.7社会保障卡通应用系统 social security card one-card-pass application system一卡通应用系统与社会保障卡“一卡通”应用平台对接,支持使用社会保障卡对外提供服务的所有信息系统。3.8密钥key控制密码算法运算的关键信息或参数。来源:GM/T 0054-2018,3.73.9数字签名(签名)digital signature(signature)数据单元的附属数据或者是经过密码变换后得到的数据,被数据单元的接收者用以确认数据单元的 来源和完整性,达到保护数据,防止被人(例如,接收者)伪造的目的。来源:GB
9、/T 15843.1-2017,3.113.10响应 response卡处理完成收到的命令报文后,返回给终端或者卡接受设备的报文。4符号和缩略语下列符号和缩略语适用于本文件。APP 应用程序(application)FTP 文件传输协议(File Transfer Protocol)HTTP 超文本传输协议(Hyper Text Transfer Protocol)HTTPS 超文本传输安全协议(Hyper Text Transfer Protocol Secure)JMS Java 消息服务(Java Message Service)JSON JavaScript 对象标记(JavaScri
10、pt Object Notation)SFTP 安全文件传输协议(Secure File Transfer Protocol)SOA 面向服务的体系结构(Service Oriented Architecture)SOAP 简单对象访问协议(Simple Object Access Protocol)2DB43/T 2856.32023HmacSHAI 哈希运算消息认证码(Hash-based Message Authentication Code)5 一卡通应用平台5.1总体架构一卡通应用平台为一卡通应用系统提供身份认证、信息查询、信息记录、资金发放、金融支付的基 础能力支撑,一卡通应用系统
11、将这些能力通过多渠道向持卡人提供社保卡用卡服务。一卡通应用总体架 构见图lo网办系统 移动APP 大厅窗口 微信公众号/小程序 自助终端 12333多服务渠道公共服务一卡通应用系统一卡通应用平台I身份认证设备号建信息查询离线记录 在线记录信息记录 资金发放 金融支付B否管理;:;追皂肯建:i 分挖管建支撑系统-应用系统资源 基础数据资源 I 服务资源社会保险公共就业劳动关系人事人才其他系统省卡管基础信息库|持卡库I电子社保卡|用卡记录发放记录|支付记录图1 一卡通应用总体架构图5.2功能5.2.1应用服务总线一卡通应用平台通过服务管理、设备管理、服务熔断管理、日志管理、消息推送管理将一卡通对接
12、 的应用资源、数据资源、服务资源等按照统一的规范封装并发布,并提供高可用、稳定高效、可线性扩 容的服务能力以及全面的访问控制。平台应用服务包括:a)协议转换:支持常用协议服务的接入和开放(HTTP/SOAPWeb Service),支持复杂类型和结构 的出入参数定义,以及高度定制化、灵活的数据变换等;b)认证鉴权:可对接一卡通应用系统认证功能,实现灵活安全的访问鉴权等;c)服务控制:提供服务流量控制、请求验证、黑白名单、服务路由、响应过滤、响应缓存等功能。5.2.2服务组织管理一卡通应用平台提供可灵活定制的服务全环节管理;a)服务发布:提供服务注册、服务生命周期管理;b)服务授权:提供灵活的服
13、务授权方式;c)服务消费:提供服务消费计量、限量能力等。3DB43/T 2856.320235.2.3服务运维监控一卡通应用平台提供多样的运维管控功能,获取及时详尽的系统状态信息:a)日志监控:提供系统管控、服务消费和管理审计日志、服务调用状况统计和链路分析,以及系 统巡检和报警能力等;b)平台配置:提供实例管理、用户管理,以及系统角色权限定制能力等。6应用系统接入要求6.1 接入条件应用系统接入一卡通应用平台,应满足以下条件:a)应用系统网络可与一卡通应用平台人力资源社会保障业务专网对接联通;b)一卡通应用系统应完成系统的联调和测试。6.2 接入模式6.2.1作为服务提供者的接入模式应用系统
14、作为服务提供者接入一卡通应用平台,所发布的服务接口应满足:a)应提供Web服务的封装形式;b)应至少支持SOAP或JSON的一种消息格式;c)当接口采用XML的消息格式时,应遵循GB/T 18793的相关要求;d)服务接口设计应参考GB/T 32430中SOA应用服务分析与设计方面的相关要求。6.2.2作为服务使用者的接入模式应用系统作为服务使用者接入一卡通应用平台,可分配后调用服务:a)分配服务。指应用系统作为使用者,可分配一卡通应用平台发布的服务,待分配后,即可调用 该服务;b)调用服务。指应用系统使用接口调用代码、SDK、HTML5页面等方式调用一卡通应用平台发布 的服务。6.3接入技术
15、要求6.3.1接入协议应用系统可支持但不限于以下传输协议:HTTP/HTTPS;JMS;FTP/SFTPo应用系统可支持但不限于以下消息协议:SOAP;JSONo6.3.2服务调用方式应用系统可支持但不限于以下调用方式:4DB43/T 2856.32023-Web Service 接口调用;SDK调用;HTML5页面调用。6.4接入安全要求6.4.1网络安全一卡通应用平台在业务专网环境下运行,在业务专网和互联网环境同时提供服务。应用系统可以根 据自身部署环境自行选择业务专网或者互联网接入方式。业务专网环境下可使用HTTP协议进行访问,互联网环境下应使用HTTPS协议进行访问。6.4.2系统安全
16、应用系统接入一卡通应用平台应采用HmacSHAl方法来验证请求的发送者身份。如果计算结果和提供的验证码一致,则该请求有效;如果计算结果和提供的验证码不一致,则数据 交换平台将拒绝处理这次请求,并返回code为“95270716,message为“数字签名错误!”的JS0N 报文信息,保证数据传输安全。6.4.3数据安全一卡通应用有关数据安全管理应符合国家有关法律法规要求,在数据的隐私性、保密性完整性、可 用性以及数据权限设置等方面实现整体安全。6.5 接入应用要求6.5.1实体社会保障卡鉴权在实体社会保障卡使用过程中,需对卡的有效性进行鉴别。一卡通应用平台为一卡通应用系统提供 支持各类业务办理
17、的卡鉴权服务。6.5.2电子社会保障卡认证在电子社会保障卡使用过程中,需对码的有效性、身份信息进行解析认证。一卡通应用平台为卡通 应用系统提供支持各类业务办理的电子社会保障卡的生码、解码、认证、支付等服务。6.5.3用卡记录同步在社会保障卡使用过程中,需要将社保卡用卡记录同步到一卡通应用平台。6.5.4基础信息共享一卡通应用平台为各级各类一卡通应用系统提供人员、卡基础信息校核,实现基础信息的共享,支 持相关信息的比对共享。6.6 接入改造要点6.6.1卡数据与业务数据关联应用系统应将社会保障卡数据与业务数据分离,建立以社会保障号码为标识的数据关联机制。社会 保障卡数据与业务数据不能通过其他标识
18、建立关联关系。5DB43/T 2856.320236.6.2交易记录与验证应用系统使用实体社会保障卡进行业务办理时,尤其支付结算类用卡场景,应选择使用PIN交易、写交易记录、获取交易认证码、上传交易认证码等规范流程进行改造。应用系统使用电子社会保障卡基础应用能力时,应按照全国社会保障卡服务平台统一标准和要求进 行改造。6.7接入方式应用系统接入一卡通应用平台时,应进行相关接口注册。应用系统管理部门或者单位按本文件要求 开发一卡通应用页面和交互功能,由一卡通应用平台负责一卡通应用的上线下线等。6.8应用接入流程6.8.1申请拟接入一卡通应用平台的应用系统管理部门或者单位,应向一卡通应用平台管理部
19、门申请,并提供 接入IP地址等信息,获得接入批准后,一卡通应用平台管理部门按照接入方式完成接入注册并分配接 入编号。6.8.2开发完成一卡通应用平台接入注册后的应用系统管理部门或者单位应严格按照一卡通应用平台服务技 术要求进行相关服务接口的开发。6.8.3联调与验证应用系统开发完成后,通过一卡通应用平台联调测试环境和准生产验证环境进行业务联调与验证。6.8.4审核与发布应用系统联调验证完成后,应用系统管理部门或者单位可申请上线,获得一卡通应用平台管理部门 审核批准后可上线发布运行。6.9应用接口管理6.9.1接口注册一卡通应用平台管理员对已经审核通过的应用系统接口进行注册,注册后接口由一卡通应
20、用平台统 一监管。接口注册时,应用系统管理部门或者单位应提供接入应用的源接口地址,以及相关请求参数与返回 参数文件。接口主要参数和模式示例见表1。表1接口主要参数和模式示例接口地址https:返回格式JS0N请求方式get 或 post接口协议http6DB43/T 2856.32023表1接口主要参数和模式示例(续)接口备注*查询接口请求头示例(Header)参数名称说明示例类型是否必传powerdtp-app系统编码唯一的编号(601)String必传powerdtp-node-endpoint系统下属节点端点系统服务提供的统筹区(430000)String必传powerdtp-inter
21、face-service下属接口服务每个接口定义唯一的服务编号(SC.01.01.01)String必传请求体示例(Body)参数名称说明示例类型是否必传name姓名用户姓名(测试)String必传code编码系统编码(100000)String必传返回参数示例参数名称说明示例类型是否必传IsSuccess结果状态码结果状态码(false)String必传Message响应描述响应描述(重复的请求!)StringErrorCode错误码错误码(95279401)StringData返回的数据返回的数据()String错误码示例错误码错误码说明95279401缺少服务网关的请求头!”签名时间戳超
22、时!”重复的请求!”非法用户!”签名不一致!”95279403无权调用服务!”账户已过期!”错误的请求路径!Illegal IP!”95279404请求没有匹配到相应服务!“无效的请求路径!”您所调用的服务已注销!”95279429”您调用的服务流量过大,请稍后重试!”您已经被限流,请稍后重试!7DB43/T 2856.32023表1接口主要参数和模式示例(续)错误码示例错误码错误码说明95279500网关发生异常!”调用后端服务发生异常!调用dubbo服务失败!调用后端服务失败!“您调用的服务已被熔断,请稍后重试!95279502”无效响应!”95279503后端服务不可用,请您稍后重试!”
23、95279504后端服务响应超时!95270711获取不到平台账户!95270712获取不到平台AK!”95270713”平台账户或AK错误!95270714获取不到签名!95270715获取不到时间戳!”95270716数字签名错误!95270717时间戳错误!95270718”获取不到系统编码!”95270719”获取不到节点端点!”95270720”获取不到调用协议!”95270721系统编码错误!95270722节点编码错误!95270723调用协议错误!95270724”没有系统权限!”95270725”没有节点权限!”95270726”没有接口权限!”95270727接口编码错误!
24、95270728重复请求,请稍后再试!95270729调用协议和节点协议不一致!95270777”执行解码过滤器出错!”8DB43/T 2856.32023表1接口主要参数和模式示例(续)错误码示例错误码错误码说明95270787”执行编码过滤器出错!95270001”提取参数出错!95270007平台未知异常!”错误码返回示例“isSuccess”:false,Message:平台未知异常!工 ErrorCode:95270007,Data mull)6.9.2接口检测6.9.2.1接口注册后,一卡通应用平台应对接入应用接口进行检查和测试。6.9.2.2接口检测要点如下:a)接口是否正常接通
25、,确定接口返回数据格式;b)入参与返回数据中有无敏感数据,如有异常及时提醒管理员,并反馈接口提供方;c)定期检查接口的健康状况,如发生接口响应慢、接口报错、接口请求超时等情况,并及时预警;d)验证一卡通应用的兼容性、可用性、安全性及性能压力等。6.9.3接口鉴权对接的应用系统应进行接口访问鉴权,应进行如下两种鉴权模式:a)安全鉴权。采用HmacSHAl方法来验证请求的发送者身份。如果计算结果和提供的验证码一致,那么该请求有效;如果计算结果和提供的验证码不一致,那么数据交换平台将拒绝处理这次请 求,并返回code为“95270716,message为“数字签名错误!”的JS0N报文信息;b)白名
26、单鉴权。对接入一卡通应用平台白名单的接口开放。6.9.4数据脱敏接入一卡通应用平台对外显示的个人信息,应按ZWFW C0131-2018 6.4中的相关要求进行数据脱敏 处理后,再向用户展示。6.9.5数据加密数据传输过程中敏感数据(用户身份要素信息)采用对称加密算法对报文进行加密处理后再传输。使用国产密码SM4算法加密。6.9.6应用停用对服务不稳定、安全风险大、并发性能差的应用应予以停用,由应用系统管理部门或者单位进行整 改,并经一卡通应用平台管理部门重新审核后上线。9DB43/T 2856.32023参考文献1 GB/T 12905-2019 条码术语2 GB/T 25056-2018信息安全技术证书认证系统密码及其相关安全技术规范3 GB/T 29262信息技术面向服务的体系结构(SOA)术语4 GB/T 29263信息技术面向服务的体系结构(SOA)应用的总体技术要求5 GB/T 32918(所有部分)信息安全技术SM2圆曲线公钥密码算法6 ZWFW C0211-2019全国一体化在线政务服务平台电子证照社会保障卡7人力资源社会保障部办公厅关于印发人力资源社会保障数据中心数据库安全管理规范的 通知(人社厅发(2014)48号)10