《數(shù)據(jù)資源可信訪問 健康信息可信訪問終端技術規(guī)范》征求意見稿

1、Q/LB.XXXXX-XXXXICS FORMTEXT CCS FORMTEXT 點擊此處添加CCS號 FORMTEXT 31 FORMTEXT 上海市地方標準DB FORMTEXT XX/T FORMTEXT XXXX FORMTEXT XXXX FORMTEXT FORMTEXT 數(shù)據(jù)資源可信訪問 健康信息可信訪問終端技術規(guī)范 FORMTEXT Trusted access to data resourceTechnical specification for trusted access terminal to health information FORMDROPDOWN FORMTE

2、XT FORMDROPDOWN FORMTEXT XXXX - FORMTEXT XX - FORMTEXT XX發(fā)布 FORMTEXT XXXX - FORMTEXT XX - FORMTEXT XX實施 FORMTEXT 上海市市場監(jiān)督管理局發(fā)布 STYLEREF 標準文件_文件編號 * MERGEFORMAT DB XX/T XXXXXXXX STYLEREF 標準文件_文件編號 * MERGEFORMAT DB XX/T XXXXXXXX目次 TOC o 1-1 h t 標準文件_一級條標題,2,標準文件_附錄一級條標題,2, HYPERLINK l _Toc16786 前言 PAGE

3、REF _Toc16786 h II HYPERLINK l _Toc1534 引言 PAGEREF _Toc1534 h III HYPERLINK l _Toc450 1 范圍 PAGEREF _Toc450 h 1 HYPERLINK l _Toc2635 2 規(guī)范性引用文件 PAGEREF _Toc2635 h 1 HYPERLINK l _Toc14433 3 術語和定義 PAGEREF _Toc14433 h 1 HYPERLINK l _Toc25982 4 縮略語 PAGEREF _Toc25982 h 2 HYPERLINK l _Toc19647 5 總體業(yè)務架構(gòu) PAGE

4、REF _Toc19647 h 2 HYPERLINK l _Toc19748 6 總體技術框架 PAGEREF _Toc19748 h 3 HYPERLINK l _Toc25513 7 接入技術要求 PAGEREF _Toc25513 h 4 HYPERLINK l _Toc27244 7.1 接入模式說明 PAGEREF _Toc27244 h 4 HYPERLINK l _Toc741 7.2 接入流程 PAGEREF _Toc741 h 4 HYPERLINK l _Toc20513 7.3 主要業(yè)務流程圖 PAGEREF _Toc20513 h 4 HYPERLINK l _Toc

5、3492 8 可信訪問SDK接口概述 PAGEREF _Toc3492 h 9 HYPERLINK l _Toc27112 8.1 總體說明 PAGEREF _Toc27112 h 9 HYPERLINK l _Toc18790 8.2 可信終端設備注冊接口 PAGEREF _Toc18790 h 9 HYPERLINK l _Toc30207 8.3 SDK健康檢測接口 PAGEREF _Toc30207 h 9 HYPERLINK l _Toc22310 8.4 申領可信訪問令牌接口 PAGEREF _Toc22310 h 9 HYPERLINK l _Toc26185 8.5 數(shù)字簽名接

6、口 PAGEREF _Toc26185 h 9 HYPERLINK l _Toc10955 8.6 獲取證書序列號接口 PAGEREF _Toc10955 h 9 HYPERLINK l _Toc10864 8.7 數(shù)字信封解密接口 PAGEREF _Toc10864 h 9 HYPERLINK l _Toc6958 9 終端設備要求 PAGEREF _Toc6958 h 9 HYPERLINK l _Toc13410 10 安全管控要求 PAGEREF _Toc13410 h 10 HYPERLINK l _Toc14127 10.1 終端安全要求 PAGEREF _Toc14127 h 1

7、0 HYPERLINK l _Toc20857 10.2 身份認證安全要求 PAGEREF _Toc20857 h 10 HYPERLINK l _Toc12474 10.3 網(wǎng)絡安全要求 PAGEREF _Toc12474 h 10 HYPERLINK l _Toc1541 10.4 數(shù)據(jù)安全要求 PAGEREF _Toc1541 h 10 HYPERLINK l _Toc29867 10.5 密碼安全要求 PAGEREF _Toc29867 h 10 HYPERLINK l _Toc17945 附錄A （規(guī)范性） SDK接口定義 PAGEREF _Toc17945 h 11 HYPERLI

8、NK l _Toc32480 A.1 可信終端設備注冊 PAGEREF _Toc32480 h 11 HYPERLINK l _Toc32198 A.2 SDK健康檢測 PAGEREF _Toc32198 h 12 HYPERLINK l _Toc13329 A.3 申領可信訪問令牌 PAGEREF _Toc13329 h 12 HYPERLINK l _Toc11307 A.4 數(shù)字簽名 PAGEREF _Toc11307 h 13 HYPERLINK l _Toc5915 A.5 獲取證書序列號 PAGEREF _Toc5915 h 14 HYPERLINK l _Toc12289 A.6

9、 數(shù)字信封解密 PAGEREF _Toc12289 h 14前言本文件按照GB/T 1.12020標準化工作導則 第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由上海市經(jīng)濟和信息化委員會和上海市互聯(lián)網(wǎng)信息辦公室提出。本文件由上海市信息標準化技術委員會和上海市信息安全標準化技術委員會聯(lián)合歸口。本文件起草單位：上海市數(shù)字證書認證中心有限公司、上海市大數(shù)據(jù)中心、上海市信息安全測評認證中心、上海市信息投資股份有限公司、上海市大數(shù)據(jù)股份有限公司、上海智慧城市發(fā)展研究院。本文件主要起草人：王天華、崔久強、陳斐斐、王虎、章玉宇

10、、胡力旗、陳曉曈、鄭寧、馮駿、顧敏、姚震、劉金兵、盛雪峰、胡瓊方。引言為了使健康信息被可靠地、安全地訪問，并盡可能地規(guī)范健康信息可信訪問終端市場，需對其進行標準化。健康信息涉及個人隱私，一旦泄露或被非法竊取，會對個人、社會乃至國家?guī)韲乐氐膿p失和惡劣的影響。健康信息可信訪問終端缺乏標準化，可能會導致個人隱私泄露。確保數(shù)據(jù)資源被可信終端設備訪問在任何傳遞健康信息的系統(tǒng)中都是必不可少的組成部分。健康信息可信訪問終端技術規(guī)范，能夠幫助組織、機構(gòu)等健康數(shù)據(jù)運營和管理方規(guī)范數(shù)據(jù)資源的使用，也能夠為設備廠商研發(fā)合規(guī)地健康信息可信訪問終端產(chǎn)品提供指導。數(shù)據(jù)資源可信訪問 健康信息可信訪問終端技術規(guī)范范圍本文件

11、規(guī)定了健康信息可信訪問終端的總體業(yè)務架構(gòu)、總體技術框架、接入技術要求、SDK接口定義、終端設備要求及安全管控要求。本文件適用于本市健康信息可信訪問終端建設和安全管控，以及健康信息可信訪問終端相關產(chǎn)品的規(guī)劃、設計、開發(fā)和利用。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 1.1-2020 標準化工作導則 第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則術語和定義下列術語和定義適用于本文件。健康信息 health information健康傳播過程中

12、傳受雙方所制作、傳遞和分享的一切有關人的健康的知識、技術、技能、觀念和行為等內(nèi)容。資源擁有者 resource owner能夠授權(quán)訪問健康信息等受保護資源的自然人。資源歸集者 resource merger能夠授權(quán)歸集健康信息等受保護資源的行政單位?？蛻舳?client代表（而不是充當）資源擁有者并使用其授權(quán)去訪問受保護資源的應用程序?？尚旁L問 trusted access客戶端代表資源擁有者可被信任地訪問受保護資源的過程。身份認證 identity authentication驗證用戶身份，通常作為允許用戶訪問受保護資源的先決條件。訪問授權(quán) access authorization按用戶身份

13、及其所擁有的訪問權(quán)限，控制用戶訪問受保護資源。身份提供方 identity provider能夠認證資源擁有者并向客戶端提供有關認證事件聲明以及用戶可信身份信息的認證服務器。授權(quán)服務器 authorization server獲得資源擁有者授權(quán)后，向客戶端頒發(fā)訪問令牌的服務器?？尚旁L問平臺 trusted access platform可信訪問過程中的身份提供方和授權(quán)服務器。可信訪問代理 trusted access proxy與可信訪問平臺交互，對資源擁有者進行身份認證和訪問授權(quán)的客戶端代理，包括SDK、網(wǎng)關。健康信息可信訪問終端 trusted access client to healt

14、h information（簡稱：可信終端）部署可信訪問代理，在可信訪問平臺登記，具備終端設備證書及密鑰，能基于密碼運算將安全能力觸達到端的健康信息訪問客戶端設備?？蛻舳丝尚旁L問憑證 client trusted access proof用戶在可信終端設備進行身份認證和訪問授權(quán)后，經(jīng)過密碼運算后生成的一個受信任的臨時訪問憑據(jù)，用來表示已認證身份的資源擁有者同意向客戶端授權(quán)訪問其受保護資源?？尚旁L問令牌 trusted access token（簡稱：訪問令牌）由可信訪問平臺向客戶端頒發(fā)的包含資源擁有者身份認證事件聲明和訪問授權(quán)事件聲明的JWT?？尚旁L問網(wǎng)關 trusted access gat

15、eway與可信訪問平臺交互，對資源擁有者進行身份核驗和訪問鑒權(quán)的受保護資源訪問代理。安全資源服務 trusted service納入可信訪問體系中的資源服務，對接可信訪問網(wǎng)關或可自行進行身份核驗和訪問鑒權(quán)。縮略語下列縮略語適用于本文件。HTTPS：超文本傳輸安全協(xié)議（Hyper Text Transfer Protocol over SecureSocket Layer） JSON：JavaScript對象標記語言（JavaScript Object Notation） JWT：JSON Web令牌（JSON Web Token）SDK：軟件開發(fā)工具包（Software Development

16、 Kit）SM2：國家商用密碼算法之一，非對稱加密算法SM3：國家商用密碼算法之一，哈希算法SM4：國家商用密碼算法之一，對稱加密算法TLS：傳輸層安全協(xié)議（Transport Layer Security）總體業(yè)務架構(gòu)健康信息可信訪問終端總體業(yè)務架構(gòu)圖1所示的健康信息可信訪問終端總體業(yè)務架構(gòu)定義了用戶健康信息可信訪問過程中的各種相關角色及其之間的交互，包括以下環(huán)節(jié)：資源擁有者：自然人出示身份證明，通過掃隨申碼、刷身份證、刷社保卡、生物特征等方式與可信終端進行交互；健康信息可信訪問終端：采集用戶身份信息，進行實名/實人身份認證和健康信息訪問授權(quán)后，向數(shù)字信任服務機構(gòu)申領可信訪問令牌，并使用訪問

17、令牌向健康信息授權(quán)運營機構(gòu)請求訪問用戶健康信息，展示用戶健康核驗結(jié)果?？膳c其它系統(tǒng)聯(lián)動，例如與現(xiàn)場閘機、門禁等系統(tǒng)進行聯(lián)動；健康信息授權(quán)運營機構(gòu)：對接入的單位、場所和設備進行管控，依托數(shù)字信任服務機構(gòu)，對外提供可信的健康信息查詢服務，對任意終端設備發(fā)起的健康信息訪問做到“可管、可控、可追溯”；資源歸集者：通過授權(quán)運營機構(gòu)對外提供健康信息資源能力，并對其進行監(jiān)督指導；數(shù)字信任服務機構(gòu)：提供健康信息資源訪問的安全資源服務，解決全市健康信息資源開放和利用過程中面臨的風險問題和信任問題，保障健康信息資源訪問過程中各環(huán)節(jié)的安全?？傮w技術框架健康信息可信訪問終端總體技術框架健康信息可信訪問技術體系將邏輯組

18、件分別劃分在數(shù)據(jù)平面和控制平面，其構(gòu)成要素包括作為資源擁有者的訪問主體、作為終端設備的健康信息可信訪問終端、作為客戶端可信訪問代理的可信訪問SDK、作為身份認證和訪問授權(quán)服務方的可信訪問服務平臺、作為可信訪問網(wǎng)關的健康信息可信訪問網(wǎng)關和擁有受保護資源的健康信息數(shù)據(jù)資源系統(tǒng)。健康信息可信訪問技術體系采用增強身份治理理念，不依賴隱式信賴，明確地認證和授權(quán)所有訪問主體每次對健康信息資源的訪問，持續(xù)分析和評估數(shù)據(jù)資源訪問風險，然后制定防護措施來緩解這些風險。認證授權(quán)通過后生成可信訪問令牌，在其有效期之內(nèi)，隨時可以通過訪問令牌獲取用戶可信身份信息和訪問授權(quán)信息，并安全訪問健康信息資源。接入技術要求接入模

19、式說明可信終端通過調(diào)用部署在本地的可信訪問SDK完成可信訪問接入?？尚沤K端使用可信訪問令牌訪問相應健康信息數(shù)據(jù)資源服務。接入流程可信終端設備初始化時，調(diào)用可信訪問SDK的可信終端設備注冊接口，向可信訪問平臺進行設備注冊，成為可信設備；可信終端每次啟動時，調(diào)用可信訪問SDK的SDK健康檢測接口，檢測可信訪問SDK健康狀態(tài)；可信終端每次業(yè)務請求時，調(diào)用可信訪問SDK的申領可信訪問令牌接口，向可信訪問平臺申領可信訪問令牌；可信終端使用訪問令牌訪問相應健康信息數(shù)據(jù)資源服務，獲取隨申碼健康狀態(tài)、核酸檢測信息、抗原檢測信息等用戶健康信息。主要業(yè)務流程圖可信終端設備注冊可信終端需要在可信訪問平臺登記，沒有登

20、記過的終端設備不被置信?？尚旁L問平臺向可信終端頒發(fā)設備證書?？尚沤K端設備注冊流程如圖3所示?？尚沤K端設備注冊流程SDK健康檢測可信訪問SDK會對可信終端上發(fā)生的每次健康信息訪問流量進行敏感信息加密以及數(shù)字簽名生成客戶端可信訪問憑證。可信訪問終端設備每次啟動時應檢測可信訪問SDK健康狀態(tài)，確保設備證書及私鑰有效，以及平臺證書最新。可信訪問SDK健康檢測流程如圖4所示。SDK健康檢測流程健康信息可信訪問健康信息可信訪問過程如下：用戶在可信終端進行身份認證和訪問授權(quán)后，經(jīng)過密碼運算后生成受信任的客戶端可信訪問憑證；可信訪問終端使用客戶端可信訪問憑證向可信訪問平臺申領可信訪問令牌，若驗證通過，可信訪問

21、平臺頒發(fā)訪問令牌；可信訪問終端使用可信訪問令牌訪問用戶健康信息；健康信息可信訪問網(wǎng)關向可信訪問平臺請求驗證訪問令牌；可信訪問平臺驗證訪問令牌是否有效，并驗證令牌關聯(lián)的用戶身份認證和訪問授權(quán)信息；驗證通過后，可信訪問網(wǎng)關提供健康信息給可信終端。健康信息可信訪問流程如圖5所示。健康信息可信訪問流程可信訪問SDK接口概述總體說明可信訪問SDK將安全能力延伸到終端設備，負責終端設備信息注冊和更新，并針對每個終端設備頒發(fā)設備證書以唯一標識終端設備的可信數(shù)字身份?？尚旁L問SDK負責自動進行設備證書生命周期管理?？尚旁L問SDK在用戶身份認證和訪問授權(quán)后，使用設備私鑰進行數(shù)字簽名，生成受信任的客戶端可信訪問憑

22、證?？尚旁L問SDK使用數(shù)字信封加密技術對終端采集的用戶敏感信息進行保護。為滿足終端可信訪問要求，可信訪問SDK應包含但不限于實現(xiàn)以下方法。可信終端設備注冊接口可信終端調(diào)用該接口進行可信終端設備注冊。該方法僅在設備廠商首次使用可信訪問SDK時調(diào)用。接口說明、請求參數(shù)及響應參數(shù)說明見附錄A.1。SDK健康檢測接口可信終端調(diào)用該接口檢測可信訪問SDK健康狀態(tài)。該方法用于可信設備每次啟動時的自檢場景。接口說明、請求參數(shù)及響應參數(shù)說明見附錄A.2。申領可信訪問令牌接口可信終端調(diào)用該接口申領可信訪問令牌。接口說明、調(diào)用方法、請求參數(shù)及響應參數(shù)說明見附錄A.3。數(shù)字簽名接口可信終端調(diào)用該接口，使用設備私鑰進

23、行數(shù)字簽名。該方法用于可信終端訪問健康信息數(shù)據(jù)資源服務時的請求簽名鑒權(quán)。接口說明、請求參數(shù)及響應參數(shù)說明見附錄A.4。獲取證書序列號接口可信終端調(diào)用該接口獲取當前有效設備證書的證書序列號。接口說明、請求參數(shù)及響應參數(shù)說明見附錄A.5。數(shù)字信封解密接口可信終端調(diào)用該接口解密數(shù)字信封加密后的健康信息。接口說明、請求參數(shù)及響應參數(shù)說明見附錄A.6。終端設備要求可信終端是認證用戶并使用其授權(quán)去訪問用戶健康信息的泛終端設備，該設備預先在可信訪問平臺登記并納管進可信訪問體系?？尚沤K端需要支撐可信訪問SDK集成，基于非對稱密碼機制將安全能力觸達到每客戶端，用于發(fā)起安全、便捷、可靠的數(shù)據(jù)訪問，可以在端上建立數(shù)

24、字信任?？尚沤K端是不限制形態(tài)的泛終端，應包含但不限于實現(xiàn)讀取用戶身份證明、實名或?qū)嵢撕蓑?、顯示用戶健康信息等功能?？膳c其它系統(tǒng)聯(lián)動，例如與現(xiàn)場閘機、門禁等系統(tǒng)進行聯(lián)動。安全管控要求終端安全要求可信終端需要在可信訪問平臺登記，沒有登記過的終端設備不被置信。可信終端在設備注冊過程中，可信訪問平臺向可信終端頒發(fā)設備證書，唯一標識該可信終端的數(shù)字身份。用戶在可信終端中進行身份認證和訪問授權(quán)后，可信終端使用平臺證書對用戶敏感信息進行數(shù)字信封加密，使用設備私鑰進行數(shù)字簽名生成受信任的客戶端可信訪問憑證?？尚旁L問平臺在健康信息訪問過程中會驗證數(shù)字簽名，并進行數(shù)字信封解密。身份認證安全要求可信終端上的身份證閱

25、讀器產(chǎn)品需符合公安行業(yè)有關標準，應采取離線方式，不可使用身份證“云解碼”方式。對于身份證應用，如涉及硬件，應得到公安部門授權(quán)或單設備集成公安部門認可的SAM芯片?？尚沤K端通過身份信息進行實名和實人認證應對接公安部門數(shù)據(jù)源進行核驗。網(wǎng)絡安全要求所有網(wǎng)絡傳輸應走安全加密通道，并符合密碼局有關要求,應避免敏感信息原文在線傳輸。宜使用HTTPS協(xié)議，TLS1.2及以上。數(shù)據(jù)安全要求可信終端上通過掃碼或刷卡等方式獲得數(shù)據(jù)不得本地留存，僅做一次性展示使用?？尚沤K端對應的機具管理平臺中不得留存?zhèn)€人敏感信息，包含但不限于個人完整身份信息、生物特征信息等。密碼安全要求可信終端及相關系統(tǒng)應使用SM2、SM3、SM

26、4國密算法以及符合國密要求的密碼類產(chǎn)品。硬件密碼模塊可以選用密碼芯片或SIM卡。軟件密碼模塊應使用密鑰分散和密鑰協(xié)同簽名機制。（規(guī)范性）SDK接口定義可信終端設備注冊接口描述可信終端調(diào)用該接口進行設備注冊。該方法僅在設備廠商首次使用可信訪問SDK時調(diào)用。請求參數(shù)可信終端設備注冊請求參數(shù)參數(shù)名稱類型必選參數(shù)說明deviceCorpstring是設備廠商的統(tǒng)一社會信用代碼deviceTypestring是設備類型，建議取值范圍閘機聯(lián)動；壁掛終端；落地終端；手持終端；臺式終端deviceModelstring否設備型號，設備廠商自定義deviceNostring是設備序列號，設備廠商自定義macAd

27、dressstring是設備MAC地址licensestring是設備許可，由可信訪問服務平臺分配userstring是設備使用單位，實際購買使用可信終端的單位響應參數(shù)可信設備注冊響應參數(shù)參數(shù)名稱類型必選參數(shù)說明codeint是返回碼，0表示成功msgstring是返回消息。多用于描述失敗時的錯誤信息datastring是設備注冊號，由平臺生成設備全局唯一標識符SDK健康檢測接口描述檢測可信訪問SDK健康狀態(tài)。該方法用于可信設備每次啟動時的自檢場景。請求參數(shù)無。響應參數(shù)SDK健康檢測響應參數(shù)參數(shù)名稱類型必選參數(shù)說明codeint是返回碼，0表示成功msgstring是返回消息。多用于描述失敗時的錯誤信息申領可信訪問令牌接口描述用戶在可信設備上進行身份認證后，設備方可調(diào)用該接口申領可信訪問令牌。請求參數(shù)申領可信訪問令牌請求參數(shù)參數(shù)名稱類型必選參數(shù)說明transactionIds