1、居民健康(jinkng)卡密鑰管理辦法中華人民共和國衛(wèi)生部2011年11月 總 則第一條 為了加強(qiáng)衛(wèi)生部居民(jmn)健康卡密鑰的安全管理,規(guī)范密鑰管理工作操作流程，確保衛(wèi)生系統(tǒng)各級密鑰管理部門各項工作安全、有序開展，特制訂此管理辦法。第二條 居民健康卡密鑰管理采用(ciyng)兩級密鑰管理體制：全國密鑰管理和?。ㄖ陛犑校┘壝荑€管理。第三條 由衛(wèi)生部設(shè)立(shl)部級密鑰管理中心（一級密鑰管理中心）,該中心隸屬于部居民健康卡管理中心。各?。ㄖ陛犑?、自治區(qū)）衛(wèi)生廳設(shè)立省市級密鑰管理中心（二級密鑰管理中心），該中心隸屬于省居民健康卡管理中心。第四條 衛(wèi)生部負(fù)責(zé)制定全國密鑰管理的總體規(guī)劃，負(fù)責(zé)部級、

2、省市級密鑰管理中心的業(yè)務(wù)督導(dǎo)和業(yè)務(wù)培訓(xùn)，負(fù)責(zé)“部級密鑰管理系統(tǒng)”的日常運(yùn)行和維護(hù)。第五條 各省衛(wèi)生廳負(fù)責(zé)制定本省密鑰管理規(guī)劃，負(fù)責(zé)本省密鑰管理系統(tǒng)的日常運(yùn)行和維護(hù)。 密鑰類型第六條 居民健康卡系統(tǒng)使用的密鑰有以下幾種類型：(一) 非對稱密鑰，包括衛(wèi)生部一級根密鑰，發(fā)卡機(jī)構(gòu)二級根密鑰，SAM卡簽名密鑰。(二) 卡片(kpin)管理類密鑰，包括居民健康卡主控密鑰、居民健康卡維護(hù)密鑰、SAM卡主控密鑰、SAM卡維護(hù)密鑰。(三) 應(yīng)用管理類密鑰，包括居民健康卡全國(qun u)應(yīng)用主控密鑰、居民健康卡全國應(yīng)用維護(hù)密鑰。 第七條 非對稱密鑰采用兩級管理(gunl)架構(gòu)，部級密鑰管理中心自簽“根公鑰證書”

3、，并為發(fā)卡機(jī)構(gòu)簽發(fā)“發(fā)卡機(jī)構(gòu)公鑰證書”，發(fā)卡機(jī)構(gòu)簽發(fā)終端SAM卡公鑰證書。第八條 對稱密鑰采用兩級建設(shè)三級分散機(jī)制生成。兩級建設(shè)是指對稱密鑰需要建設(shè)部級密鑰管理中心和省市級密鑰管理中心。部級密鑰管理中心生成根密鑰，通過分散機(jī)制逐級下發(fā)至省市級密鑰管理中心，直至居民健康卡和終端SAM卡。 第九條 為支持跨區(qū)域使用，SAM卡必須裝載全國應(yīng)用根密鑰，全國應(yīng)用根密鑰經(jīng)過二次分散后加載到居民健康卡中，一級分散因子通過省代碼生成，二級分散因子通過居民健康卡序列號生成。第十條 為了降低密鑰泄漏的風(fēng)險，密鑰管理系統(tǒng)應(yīng)保證密鑰的裝載、存放和分散必須在安全的環(huán)境下完成，保證任何中間結(jié)果不被內(nèi)部操作人員和外界獲得。

4、 部級密鑰管理工作第十一條 衛(wèi)生部全國密鑰管理中心負(fù)責(zé)生成和管理居民健康(jinkng)卡一級非對稱根密鑰和一級對稱根密鑰。第十二條 衛(wèi)生部全國密鑰管理中心負(fù)責(zé)自簽根公鑰證書(zhngsh)，負(fù)責(zé)簽發(fā)發(fā)卡機(jī)構(gòu)公鑰證書,并負(fù)責(zé)為全國醫(yī)療機(jī)構(gòu)、結(jié)算機(jī)構(gòu)和居民健康卡管理機(jī)構(gòu)簽發(fā)SAM卡公鑰證書。第十三條 衛(wèi)生部全國密鑰管理中心負(fù)責(zé)分散(fnsn)生成省市級根密鑰，采用安全的方式下發(fā)到省市級密鑰管理中心。第十四條 衛(wèi)生部全國密鑰管理中心負(fù)責(zé)部居民健康卡管理中心密鑰管理系統(tǒng)運(yùn)行、日常維護(hù)工作。第十五條 衛(wèi)生部全國密鑰管理中心負(fù)責(zé)各類根密鑰的安全保管工作。 省市級密鑰管理工作內(nèi)容第十六條 省市級密鑰管理中

5、心負(fù)責(zé)向部居民健康卡管理中心申請和接收省市級根密鑰和全國共享應(yīng)用密鑰。第十七條 省市級密鑰管理中心采用批量方式向衛(wèi)生部申請發(fā)放SAM卡，并負(fù)責(zé)本省SAM卡的安全分發(fā)和安全管理。第十八條 省市級密鑰管理中心負(fù)責(zé)為居民健康卡個人化提供下級根密鑰發(fā)放(ffng)服務(wù)。第十九條 省市級密鑰管理中心負(fù)責(zé)本省密鑰管理系統(tǒng)的運(yùn)行、維護(hù)(wih)工作第二十條 省市級密鑰管理中心負(fù)責(zé)衛(wèi)生部下發(fā)(xi f)的密鑰卡片、設(shè)備以及省市級密鑰管理相關(guān)的密鑰、設(shè)備的安全保管工作。 人員組成和職責(zé)第二十一條 全國密鑰管理中心人員組成為：密鑰主管（一人）、密鑰管理員（三人），密鑰保管員（一人）。第二十二條 各省市級密鑰管理中

6、心人員組成為：密鑰主管（一人）、密鑰管理員（二人），密鑰保管員（一人）。第二十三條 密鑰主管的主要工作是負(fù)責(zé)密鑰管理中心的日常運(yùn)行管理，密鑰管理工作規(guī)劃和業(yè)務(wù)需求，應(yīng)急措施和備用機(jī)制建立。第二十四條 密鑰管理員的主要職責(zé)是進(jìn)行日常系統(tǒng)運(yùn)行維護(hù)、密鑰管理和發(fā)卡操作，并保存日常使用到的密鑰（卡）和設(shè)備。第十二五條 條密鑰保管員負(fù)責(zé)封存非日常使用的密鑰（卡）和密碼。第二十六條 為保障系統(tǒng)安全性，部居民健康卡管理中心和省居民健康卡管理中心使用專用保險箱妥善保管敏感信息和核心設(shè)備，針對密鑰管理中心啟用、恢復(fù)、省市級密鑰卡申領(lǐng)、SAM卡發(fā)卡、卡片采購以及庫存管理等日常工作制定相應(yīng)的工作流程，嚴(yán)格按照工作流

7、程開展工作，并接受上級部門的監(jiān)督和檢查。 部級根密鑰管理(gunl)業(yè)務(wù)流程第二十七條 部級根密鑰管理系統(tǒng)負(fù)責(zé)產(chǎn)生(chnshng)非對稱根密鑰、卡片總控密鑰和用于跨省交易(jioy)的全國應(yīng)用根密鑰；為各省、直轄市二級密鑰管理系統(tǒng)分散產(chǎn)生對應(yīng)省市級根密鑰，簽發(fā)發(fā)卡機(jī)構(gòu)公鑰證書。第二十八條 由對稱密鑰管理系統(tǒng)生成相應(yīng)的對稱密鑰。通過領(lǐng)導(dǎo)按下選擇按鈕后經(jīng)密碼機(jī)產(chǎn)生隨機(jī)種子密鑰并存在領(lǐng)導(dǎo)卡（CPU卡）中，領(lǐng)導(dǎo)卡通過PIN碼保護(hù)，對稱密鑰管理系統(tǒng)通過多張領(lǐng)導(dǎo)卡同時在線，驗證領(lǐng)導(dǎo)卡PIN碼正確后讀出領(lǐng)導(dǎo)卡中的隨機(jī)種子密鑰，送入密鑰管理系統(tǒng)加密機(jī)經(jīng)過相應(yīng)算法，生成所有的密鑰。第二十九條 由根證書管理系統(tǒng)

8、密碼機(jī)生成非對稱根密鑰，并自簽根公鑰證書。采用（5，3）門限方案將非對稱根密鑰備份到5張密鑰備份卡，分存于衛(wèi)生部5個不同的部門。以便在必要時，任選其中3張密鑰備份卡，可恢復(fù)全部系統(tǒng)根密鑰。第三十條 衛(wèi)生部根密鑰管理系統(tǒng)向省市級密鑰管理系統(tǒng)傳輸分散后的省市級根密鑰時，可選用兩種模式中的一種：一種是通過在線的方式，采用加密機(jī)對加密機(jī)的安全傳輸方式將上級密鑰下發(fā)到下級密鑰管理中心的密碼機(jī)中。另一種方式是采用密鑰母卡傳遞的方式，由上級密管中心生成密鑰母卡和認(rèn)證卡，然后通過人工申領(lǐng)的方式，并要求必須兩人領(lǐng)取，每人分別保管其中的一張卡，以加強(qiáng)傳遞中的安全性。 省市級密鑰管理(gunl)業(yè)務(wù)流程第三十一條

9、省市級密鑰管理中心負(fù)責(zé)向衛(wèi)生部全國密鑰管理中心申請使用(shyng)和接收省市級根密鑰，為下級單位分散生成(shn chn)下級根密鑰。第三十二條 為確保系統(tǒng)安全性，避免密鑰泄漏，省市密鑰管理部門應(yīng)先向部居民健康卡管理中心密鑰管理部門申請省市級密鑰管理測試密鑰，以便進(jìn)行系統(tǒng)測試，成功接收測試密鑰后，再申請省市級正式密鑰。第三十三條 省市級密鑰管理部門向部居民健康卡管理中心密鑰管理部門申請測試、正式省市級密鑰均需提交衛(wèi)生部省市級密鑰申請表。同時在本省市級密鑰管理中心密碼機(jī)中生成公私鑰對，生成并提交自簽名的公鑰輸出文件。第三十四條 部級居民健康卡管理中心密鑰管理部門在接收申請表后的二個工作日內(nèi)，以

10、衛(wèi)生部省市級密鑰申請表-回復(fù)形式進(jìn)行回復(fù)，回復(fù)信息中包含密鑰領(lǐng)取時間，測試密鑰領(lǐng)取時間不晚于申請表接收時間的三個工作日內(nèi)，正式密鑰領(lǐng)取時間不晚于申請表接收時間的五個工作日內(nèi)。第三十五條 部級居民(jmn)健康卡管理中心密鑰管理部門(bmn)接收到省市級密鑰管理(gunl)部門申請后，由密鑰管理員為省市級密碼機(jī)簽發(fā)設(shè)備公鑰證書、并以公鑰加密的方式導(dǎo)出省市級根密鑰，制作省市級密鑰母卡。第三十六條 密鑰母卡制作完畢后，部級居民健康卡管理中心密鑰管理部門通知申請省密鑰管理中心領(lǐng)卡，測試卡可以通過郵寄方式寄送到省密鑰管理部門，正式卡采用省衛(wèi)生廳到部級居民健康卡管理中心密鑰管理部門現(xiàn)場領(lǐng)卡方式，領(lǐng)卡人員為

11、申請表上的卡片接收人，領(lǐng)卡人員至少二人。第三十七條 現(xiàn)場領(lǐng)卡時由省衛(wèi)生廳領(lǐng)卡人員和部級居民健康卡管理中心密鑰管理部門密鑰管理人員進(jìn)行交接，登記卡片交接記錄，同時告知領(lǐng)卡人員卡片密碼，測試卡密碼以口頭或電子郵件方式通知省中心。第三十八條 省市級密鑰管理中心將全國密鑰管理中心下發(fā)的二級根密鑰導(dǎo)入本地密碼機(jī)中。第三十九條 密鑰母卡由省市級密鑰管理中心密鑰保管員安全保管。第四十條 省市級密鑰管理中心可參照本辦法為下級發(fā)卡單位按對稱密鑰分散機(jī)制制作發(fā)卡母卡，具體辦法由省衛(wèi)生廳制定，并報衛(wèi)生部審核備案。 SAM卡發(fā)卡(f k)業(yè)務(wù)流程第四十一條 SAM卡由衛(wèi)生部全國密鑰管理中心統(tǒng)一簽發(fā)SAM卡公鑰證書、裝

12、載全國應(yīng)用根密鑰、并裝載其它(qt)密鑰和管理信息。第四十二條 各省市級密鑰管理中心向全國密鑰管理中心批量(p lin)申領(lǐng)SAM卡。第四十三條 省市級密鑰管理中心填寫衛(wèi)生部SAM卡申請表，加蓋省市級密鑰管理部門公章，并將SAM卡申請表寄送到部居民健康卡管理中心全國密鑰管理中心。同時需要提供詳細(xì)的SAM卡制卡電子數(shù)據(jù)，電子數(shù)據(jù)應(yīng)進(jìn)行加密處理。第四十四條 衛(wèi)生部全國密鑰管理中心接收到省衛(wèi)生廳SAM卡發(fā)卡申請后，密鑰主管在五個工作日內(nèi)針對申請和電子數(shù)據(jù)進(jìn)行審核并回復(fù)，回復(fù)內(nèi)容包括領(lǐng)卡時間。第四十五條 衛(wèi)生部全國密鑰管理中心進(jìn)行SAM卡制卡。 SAM卡生成非對稱公私鑰對(在卡內(nèi)生成)，簽發(fā)SAM卡公

13、鑰證書，將SAM卡公鑰證書和發(fā)卡機(jī)構(gòu)證書寫入SAM卡，在卡片上記錄SAM卡序列號、裝載全國應(yīng)用根密鑰、并根據(jù)SAM卡用途裝載其它對稱密鑰。第四十六條 SAM卡制卡完畢后，衛(wèi)生部居民健康卡管理中心密鑰管理部門通知申請省密鑰管理中心領(lǐng)卡。領(lǐng)卡時由省密鑰管理中心領(lǐng)卡人員和部居民健康卡管理中心密鑰管理中心密鑰管理人員進(jìn)行交接，登記卡片交接記錄。第四十七條 省衛(wèi)生廳應(yīng)根據(jù)本省情況制定SAM卡分發(fā)、使用等具體(jt)管理辦法，由省市級密鑰管理中心執(zhí)行(zhxng)。第四十八條 省市級密鑰管理中心對SAM卡操作過程中損壞的SAM卡應(yīng)如數(shù)(rsh)及時退回一級密鑰管理中心統(tǒng)一銷毀，并對其原來的登記情況給予注銷。第四十九條 省市級密鑰管理中心將掛失、注銷的SAM卡即時上報衛(wèi)生部密鑰管理中心，上報時應(yīng)包括SAM卡卡號和掛失、注銷時間等基本信息。衛(wèi)生部密鑰管理中心將已掛失、注銷的SAM卡記入SAM卡黑名單。第五十條 衛(wèi)生部密鑰管理中心每周定期生成和發(fā)布SAM卡黑名單。 硬件密碼機(jī)管理