3 基本信息
ICS 11.020
C 07
中华人民共和国卫生行业标准 WS/T 543.4—2017《居民健康卡技术规范 第4部分:用户卡命令集》(Residents‟ health card technical specifications——Part 4:Command set of the user card)由中华人民共和国国家卫生和计划生育委员会2017年7月25日《关于发布〈居民健康卡数据集〉等18项卫生行业标准的通告》(国卫通〔2017〕8 号)发布,自2017年12月1日起施行。
4 发布通知
关于发布《居民健康卡数据集》等18项卫生行业标准的通告
国卫通〔2017〕8 号
现发布《居民健康卡数据集》等18项卫生行业标准,其编号和名称如下:
一、强制性卫生行业标准
WS 539—2017 远程医疗信息基本数据集
WS 541—2017 新型农村合作医疗基本数据集
WS 375.13—2017 疾病控制基本数据集 第13部分:职业病危害因素监测
二、推荐性卫生行业标准
WS/T 543.1—2017 居民健康卡技术规范 第1部分:总则
WS/T 543.2—2017 居民健康卡技术规范 第2部分:用户卡技术规范
WS/T 543.3—2017 居民健康卡技术规范 第3部分:用户卡应用规范
WS/T 543.4—2017 居民健康卡技术规范 第4部分:用户卡命令集
WS/T 543.5—2017 居民健康卡技术规范 第5部分:终端技术规范
WS/T 543.6—2017 居民健康卡技术规范 第6部分:用户卡及终端产品检测规范
WS/T 546—2017 远程医疗信息系统与统一通信平台交互规范
WS/T 547—2017 医院感染管理信息系统基本功能规范
WS/T 548—2017 医学数字影像通信(DICOM)中文标准符合性测试规范
上述标准自2017年12月1日起施行,原卫生部《关于印发<居民健康卡技术规范>的通知》(卫办发〔2011〕60号)、原卫生部办公厅《关于印发居民健康卡配套管理办法和技术规范的通知》(卫办综发〔2012〕26号)中的附件7-11同时废止。
特此通告。
国家卫生计生委
2017年7月25日
5 前言
本标准按照GB/T1.1—2009给出的规则起草。
WS/T 543《居民健康卡技术规范》分为6个部分:
——第1部分:总则;
——第2部分:用户卡技术规范;
——第3部分:用户卡应用规范;
——第4部分:用户卡命令集;
——第5部分:终端技术规范;
本部分为WS/T 543的第4部分。
本部分起草单位:国家卫生计生委统计信息中心、内蒙古自治区卫生信息中心、四川省卫生和计划生育委员会信息中心、重庆市卫生信息中心。
本部分主要起草人:李岳峰、胡建平、王存库、王成亮、龙虎、陈文、余中心、马靖、尹华、孟群 。
6 标准正文
居民健康卡技术规范 第 4 部分:用户卡命令集
6.1 1 适用范围
WS/T 543的本部分规定了居民健康卡用户卡应支持的功能、复位应答的格式以及卡片的命令与响应列表。
本部分适用于所有制作、发行、使用居民健康卡的医疗卫生机构、第三方联合发卡机构、持卡人和生产企业。
6.2 2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
WS/T 543.2−2017 居民健康卡技术规范 第 2 部分: 用户卡技术规范
6.3 3 缩略语
WS/T 543.2界定的以及表1中的缩略语和符号适用于本文件。
表1 缩略语和符号列表
表 1(续)
6.4 4 复位应答
复位应答中历史字节的前8个字节依次固定为芯片提供机构注册标识(2字节,由国家IC卡注册中心分配的注册标识号)、卡片制造机构注册标识(2字节,由国家IC卡注册中心分配的注册标识号)和卡片序列号(4字节)。
6.5 5 命令
6.5.1 5.1 概述
在卡片读写过程中,卡片处于空闲状态(卡片没有获得读写权限)或者安全状态(获得了一定的读写授权,可以进行读写操作),不同状态下执行命令的不同。卡片上不同应用之间构建了“防火墙”,以防止跨过应用进行非法访问。卡片通过EXTERNAL AUTHENTICATION命令获得一定的读写授权,当卡片从终端接收到一条命令时,它必须首先检查当前状态是否允许执行该命令。在命令执行成功后,卡片将进入指定状态。命令执行成功后的状态变化见表1,整张表给当前状态下某个命令执行成功后的状态,第一行表示命令发出时卡片的当前状态,第一列表示发出的命令,N/A表示发出此命令无效。
表2 命令执行成功后的状态变化
6.5.2 5.2 命令 APDU 格式
命令APDU的格式见表3。
表3 命令 APDU 的结构
命令APDU中发送的数据字节数用Lc(命令数据域的长度)表示。
响应APDU中期望返回的数据字节数用Le(期望数据长度)表示。当Le存在且值为0时,表示需要最大字节数(256字节)。
命令APDU报文的内容见表 4。
表4 命令 APDU 的内容
6.5.3 5.3 响应 APDU 格式
响应APDU格式由一个变长的条件体和后随两字节长的必备尾组成,见表5。
表5 响应 APDU 的结构
响应APDU的内容见表6。
表6 响应 APDU 的内容
6.5.4 5.4 基本命令
6.5.4.1 5.4.1 APPLICATION BLOCK 命令
6.5.4.1.1 5.4.1.1 定义和范围
APPLICATION BLOCK命令使当前选择的应用失效。
当APPLICATION BLOCK命令成功地完成后,用SELECT命令选择已临时锁定的应用时,将回送状态码 „6283‟(选择文件无效),同时返回FCI。
对其他命令的影响根据不同应用而定。
6.5.4.1.2 5.4.1.2 命令报文
APPLICATION BLOCK命令报文编码见表7。
表7 APPLICATION BLOCK 命令报文
6.5.4.1.3 5.4.1.3 命令报文数据域
命令报文数据域包括根据WS/T 543.2—2017第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。
6.5.4.1.4 5.4.1.4 响应报文数据域
响应报文数据域不存在。
6.5.4.1.5 5.4.1.5 响应报文状态码
无论应用是否已经失效,此命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表8。
表8 APPLICATION BLOCK 错误状态
6.5.4.2 5.4.2 APPLICATION UNBLOCK 命令
6.5.4.2.1 5.4.2.1 定义和范围
APPLICATION UNBLOCK命令可以对临时锁定的应用解锁,当APPLICATION UNBLOCK命令成功地完成后,用SELECT命令可以正确选择此应用,应用功能同时被恢复。
6.5.4.2.2 5.4.2.2 命令报文
APPLICATION UNBLOCK 命令报文编码见表 9。
表9 APPLICATION UNBLOCK 命令报文
6.5.4.2.3 5.4.2.3 命令报文数据域
命令报文数据域包括根据WS/T XXXXX.2第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。
6.5.4.2.4 5.4.2.4 响应报文数据域
响应报文数据域不存在。
6.5.4.2.5 5.4.2.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表10。
表10 APPLICATION UNBLOCK 错误状态
6.5.4.3 5.4.3 CARD BLOCK 命令
6.5.4.3.1 5.4.3.1 定义和范围
CARD BLOCK命令使卡中所有应用永久失效。
当 CARD BLOCK 命令成功地完成后,所有后续的命令都将回送状态码“不支持此功能”(SW1SW2=„6A81‟),且不执行任何其他操作。
6.5.4.3.2 5.4.3.2 命令报文
CARD BLOCK 命令报文编码见表 11。
表11 CARD BLOCK 命令报文
6.5.4.3.3 5.4.3.3 命令报文数据域
命令报文数据域包括根据WS/T 543.2−2017第8.4.2章中的规定进行编码的报文鉴别代码(MAC)数据元。
6.5.4.3.4 5.4.3.4 响应报文数据域
响应报文数据域不存在。
6.5.4.3.5 5.4.3.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表12。
表12 CARD BLOCK 错误状态
6.5.4.4 5.4.4 EXTERNAL AUTHENTICATION 命令
6.5.4.4.1 5.4.4.1 定义和范围
EXTERNAL AUTHENTICATION命令要求IC卡中的应用验证接口设备中保密模块的有效性,以使接口设备获得某种授权。
IC卡的响应包括命令处理状态的回送。
6.5.4.4.2 5.4.4.2 命令报文
EXTERNAL AUTHENTICATION 命令报文编码见表 13。
表13 EXTERNAL AUTHENTICATION 命令报文
命令报文中的密钥标识符见表 14。
表14 密钥标识符的结构
EXTERNAL AUTHENTICATION命令使用的算法参考值(P1)编码为„00‟表示无信息。算法参考值在命令发出之前是已知的。
6.5.4.4.3 5.4.4.3 命令报文数据域
命令报文数据域中包含17个字节的数据:
——第 1 至第 8 个字节为鉴别数据;
——第 9 至第 16 个字节是鉴别所需的原始信息;
——第 17 个字节表示密钥版本。
其中,鉴别数据根据WS/T 543.2−2017中8.7.3的规定进行编码。
6.5.4.4.4 5.4.4.4 响应报文数据域
响应报文数据域不存在。
6.5.4.4.5 5.4.4.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的警告状态码见表15。
表15 EXTERNAL AUTHENTICATION 警告状态
IC 卡可能回送的错误状态码见表 16。
表16 EXTERNAL AUTHENTICATION 错误状态
6.5.4.5 5.4.5 GET CHALLENGE 命令
6.5.4.5.1 5.4.5.1 定义和范围
GET CHALLENGE命令请求一个用于安全相关过程(例如:安全报文、安全鉴别)的随机数。
随机数在使用后失效,不能被下一个命令再次使用。
6.5.4.5.2 5.4.5.2 命令报文
GET CHALLENGE 命令报文编码见表 17。
表17 GET CHALLENGE 命令报文
6.5.4.5.3 5.4.5.3 命令报文数据域
命令报文数据域不存在。
6.5.4.5.4 5.4.5.4 响应报文数据域
响应报文数据域包括随机数,长度为 8 字节。
6.5.4.5.5 5.4.5.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表18。
表18 GET CHALLENGE 错误状态
6.5.4.6 5.4.6 INTERNAL AUTHENTICATION 命令
6.5.4.6.1 5.4.6.1 定义和范围
INTERNAL AUTHENTICATION 命令提供了利用接口设备发来的随机数和自身存储的相关密钥进行数据鉴别的功能。
6.5.4.6.2 5.4.6.2 命令报文
INTERNAL AUTHENTICATION 命令报文编码表 19。
表19 INTERNAL AUTHENTICATION 命令报文
INTERNAL AUTHENTICATION命令的参数P1和P2为„00‟表示无信息,它们的值是事先确定的。
6.5.4.6.3 5.4.6.3 命令报文数据域
命令报文数据域的内容是卡片或应用专用的鉴别数据,包含17个字节的数据:
――第1至第8个字节是过程密钥计算使用的数据,由终端产生;
――第9至第16个字节是鉴别所需的原始信息;
——第17个字节表示密钥版本。
6.5.4.6.4 5.4.6.4 响应报文数据域
响应报文数据域内容是相关的鉴别数据,其值根据WS/T 543.2−2017第8.7.3章中的规定进行计算。
6.5.4.6.5 5.4.6.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC 卡可能回送的警告状态码见表 20。
表20 INTERNAL AUTHENTICATION 警告状态
IC 卡可能回送的错误状态码见表 21。
表21 INTERNAL AUTHENTICATION 错误状态
6.5.4.7 5.4.7 READ BINARY 命令
6.5.4.7.1 5.4.7.1 定义和范围
READ BINARY命令用于读取透明文件的内容(或部分内容)。
6.5.4.7.2 5.4.7.2 命令报文
READ BINARY命令报文编码见表22。
表22 READ BINARY 命令报文
命令报文中的引用控制参数见表23。
表23 READ BINARY 命令引用控制参数
6.5.4.7.3 5.4.7.3 命令报文数据域
命令报文数据域不存在。
6.5.4.7.4 5.4.7.4 响应报文数据域
当Le的值为零时,读出自要读的首字节起的256个字节;如果在读出256个字节前已到达文件最后一个字节,则自要读的首字节起的全部字节将被读出。
6.5.4.7.5 5.4.7.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的警告状态码见表24。
表24 READ BINARY 警告状态
IC 卡可能回送的错误状态码见表 25。
表25 READ BINARY 错误状态
6.5.4.8 5.4.8 READ RECORD 命令
6.5.4.8.1 5.4.8.1 定义和范围
READ RECORD命令读取记录结构的基本文件中指定的记录。
IC卡的响应由回送记录组成。
6.5.4.8.2 5.4.8.2 命令报文
READ RECORD命令报文编码见表26。
表26 READ RECORD 命令报文
记录号的取值范围为„01‟-„FE‟。
定义了命令报文中的引用控制参数见表27。
表27 READ RECORD 命令引用控制参数
6.5.4.8.3 5.4.8.3 命令报文数据域
命令报文数据域不存在。
6.5.4.8.4 5.4.8.4 响应报文数据域
所有执行成功的READ RECORD命令的响应报文数据域由读取的记录组成。
6.5.4.8.5 5.4.8.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的警告状态码见表28。
表28 READ RECORD 警告状态
IC卡可能回送的错误状态码如表29所示。
表29 READ RECORD 错误状态
6.5.4.9 5.4.9 SELECT 命令
6.5.4.9.1 5.4.9.1 定义和范围
SELECT命令通过文件名或AID、文件标识符来选择IC卡中的居民健康卡应用环境、DDF或ADF,通过文件标识符来选择ADF中的AEF。
命令执行成功后,居民健康卡应用环境、DDF或ADF、AEF的路径被设定。
除选择AEF外,从IC卡的响应报文应由回送FCI组成。
6.5.4.9.2 5.4.9.2 命令报文
SELECT 命令报文编码见表 30。
表30 SELECT 命令报文
定义了命令报文中的引用控制参数见表 31。
表31 SELECT 命令引用控制参数
如果P1=„00‟并且数据域为空或等于„3F00‟,该命令将选择主控文件(MF)。
6.5.4.9.3 5.4.9.3 命令报文数据域
命令报文数据域应包括内容见表31。
6.5.4.9.4 5.4.9.4 响应报文数据域
除选择AEF外,响应报文中数据域应包括所选择的居民健康卡应用环境、DDF或ADF的FCI。
表到表规定了此定义所用的标志。WS/T XXXXX.2不规定FCI中回送的附加标志,定义了成功选择居民健康卡应用环境后回送的FCI见表32。
表32 SELECT 居民健康卡应用环境的响应报文(FCI)
定义了成功选择DDF后回送的FCI见表33。
表33 SELECT DDF 的响应报文(FCI)
定义了成功选择ADF后回送的FCI见表34。
表34 SELECT ADF 的响应报文(FCI)
6.5.4.9.5 5.4.9.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的警告状态码见表35。
表35 SELECT 警告状态
IC 卡可能回送的错误状态码见表 36。
表36 SELECT 错误状态
6.5.4.10 5.4.10 UPDATE BINARY 命令
6.5.4.10.1 5.4.10.1 定义和范围
UPDATE BINARY命令报文使用命令APDU中给定的数据写入或修改透明结构的基本文件的全部或部分数据。当使用校验方式更新二进制文件时,如果尝试次数超过限制时,临时锁定当前应用。
6.5.4.10.2 5.4.10.2 命令报文
UPDATE BINARY 命令报文编码见表 37。
表37 UPDATE BINARY 命令报文
定义了命令报文中的引用控制参数见表38。
表38 UPDATE BINARY 命令引用控制参数
6.5.4.10.3 5.4.10.3 命令报文数据域
命令报文数据域包括用来写入或更新原有数据的新数据。
6.5.4.10.4 5.4.10.4 响应报文数据域
响应报文数据域不存在。
6.5.4.10.5 5.4.10.5 响应报文状态码
此命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表39。
表39 UPDATE BINARY 错误状态
6.5.4.11 5.4.11 UPDATE RECORD 命令
6.5.4.11.1 5.4.11.1 定义和范围
UPDATE RECORD命令报文用命令APDU中给定的数据添加记录或更改指定的记录。当使用校验方式更新记录时,如果尝试次数超过限制时,临时锁定当前应用。
UPDATE RECORD命令不能对健康应用的住院信息索引文件记录和门诊信息索引文件记录进行更新操作。
对线性结构文件来说,只能使用指定记录号(P1中指定)方式更新记录。
对循环结构文件来说,只能使用“上一个记录”命令选项添加或更新记录,添加或更新后该记录的记录号为1。
6.5.4.11.2 5.4.11.2 命令报文
UPDATE RECORD 命令报文编码见表 40。
表40 UPDATE RECORD 命令报
定义了命令报文中的引用控制参数见表41。
表41 UPDATE RECORD 命令引用控制参数
6.5.4.11.3 5.4.11.3 命令报文数据域
命令报文数据域由添加的或更新原有记录的新记录组成。
6.5.4.11.4 5.4.11.4 响应报文数据域
响应报文数据域不存在。
6.5.4.11.5 5.4.11.5 响应报文状态码
命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表42。
表42 UPDATE RECORD 错误状态
6.5.5 5.5 应用命令
6.5.5.1 5.5.1 ERASE RECORD 命令
6.5.5.1.1 5.5.1.1 定义和范围
ERASE RECORD命令专用于擦除居民健康应用的住院信息索引文件记录和门诊信息索引文件记录。使用安全报文方式擦除,如果尝试次数超过限制时,临时锁定当前应用。
擦除索引文件记录前,需要获得文件的擦除权限。
6.5.5.1.2 5.5.1.2 命令报文
ERASE RECORD 命令报文编码见表 43。
表43 ERASE RECORD 命令报文
定义了命令报文中的引用控制参数见表 44。
表44 ERASE RECORD 命令引用控制参数
6.5.5.1.3 5.5.1.3 命令报文数据域
命令报文数据域包括根据WS/T XXXXX.2第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。
6.5.5.1.4 5.5.1.4 响应报文数据域
响应报文数据域不存在。
6.5.5.1.5 5.5.1.5 响应报文状态码
命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码见表45。
表45 ERASE RECORD 错误状态
6.5.5.2 5.5.2 WRITE RECORD 命令
6.5.5.2.1 5.5.2.1 定义和范围
WRITE RECORD命令专用于生效居民健康应用的住院信息索引文件记录和门诊信息索引文件记录,对记录文件写入特定值 „00H‟。使用安全报文方式写入,如果尝试次数超过限制时,临时锁定当前应用。
写入索引文件记录前,需要获得文件的写入权限。
6.5.5.2.2 5.5.2.2 命令报文
WRITE RECORD命令报文编码见表46。
表46 WRITE RECORD 命令报文
定义了命令报文中的引用控制参数见表47。
表47 WRITE RECORD 命令引用控制参数
6.5.5.2.3 5.5.2.3 命令报文数据域
命令报文数据域包括根据WS/T 543.2−2017第8.4.2章中的规定进行编码的报文鉴别码(MAC)数据元。
6.5.5.2.4 5.5.2.4 响应报文数据域
响应报文数据域不存在。
6.5.5.2.5 5.5.2.5 响应报文状态码
命令执行成功的状态码是„9000‟。
IC卡可能回送的错误状态码如表48所示。
表48 WRITE RECORD 错误状态
8 《居民健康卡技术规范 第1~6部分》解读
居民健康卡由国家卫生和计划生育委员会统一标准推进实施、面向全国居民发放、在全国医疗卫生机构通用、方便居民看病就医及实现健康管理的基础载体。同时,居民健康卡也是卫生信息化整体框架中的重要环节,通过联结电子健康档案、电子病历和国家、省、地市三级信息平台,实现跨业务系统、跨机构、跨地域互联互通、信息共享以及开展协同服务,推动卫生信息化建设直接服务群众。在功能上,居民健康卡将逐步统一现有的医院就诊卡、新农合一卡通、免疫接种证、妇幼保健卡等,实现优质医疗卫生信息资源共享和就医流程优化,为居民提供跨机构、跨地区的就医“一卡通”服务,改善就医感受,提高服务质量。居民健康卡还可以通过区域卫生信息平台与各类应用数据库进行交互处理,实现数据共享,促进跨机构就医应用开展;进行本地及新农合异地结算;利用居民健康卡的信息存储功能,用于新农合的脱机异地报销。
使用居民健康卡,必须解决居民健康卡在使用过程中面临的身份认证、信息防篡改、防复制等一系列安全问题。本标准重点围绕在医疗卫生服务活动中实现身份识别,满足健康信息存储,实现跨地区和跨机构就医、数据交换和费用结算,保障信息安全等功能制定技术规范。本标准适用于所有制作、发行、使用居民健康卡的卫生计生行政管理部门、医疗卫生机构、第三方联合发卡机构和生产企业。
本标准主要根据原卫生部《居民健康卡技术规范》(卫办发〔2011〕60号)、第二次修订说明(卫统中心便函〔2012〕26号)、《居民健康卡(联名卡)技术方案》等相关文件,编制完成。卡内数据标准参照WS 363-2011卫生信息数据元目录、WS 364-2011卫生信息数据元值域代码、WS 365-2011城乡居民健康档案基本数据集等相关标准要求。
本标准制定遵照以下原则:(1)符合国家相关法律法规要求。(2)总体规划、分步实施,确保可扩展性。(3)内容上坚持与已发布的国家标准和行业标准保持一致。(4)坚持卡内文件结构的稳定性,确保发卡工作稳定开展和卡片全国通用。(5)格式遵循标准制定相关要求。