智能卡管理系统在医疗保险中的应用

　　1、开发背景
　　
　　加快医疗保险改革，保障职工基本医疗，是建立社会主义市场经济体制的客观要求和重要保障。1998年12月14日，国务院颁布了《国务院关于建立城镇职工基本医疗保险制度的决定》，在全国范围内进行城镇职工医疗保险制度改革。
　　
　　为了配合医疗保险制度改革，考虑到医疗保险制度改革的特殊要求，我们采用成熟的智能卡（IC卡）作为医疗保险参保人的信息和资金的载体，提出了本系统。
　　
　　2、系统概述
　　
　　2.1系统目标
　　
　　1.实现社会保障局全局范围内的业务操作和管理自动化，基本消除局内的纸面信息往来，提高全局的工作效率；
　　
　　2.力争实现与各大商业银行、金融转换中心、各市县社会保障机构、各主要大医院、省及国家主管部门计算机的联网，以达到信息共享，加快信息流动速度；
　　
　　3.加快保障局保费的征缴及发放速度，满足广大参保单位及参保人员的基本要求；
　　
　　4.提供各种现代化手段，更好为参保单位和参保人员服务；
　　
　　5.提供各种信息查询、预测及决策支持手段，为更好地管理社会保障基金服务
　　
　　6.能适应今后管理机构、管理方式的不断变化；
　　
　　7.促进社会保障局管理水平的不断提高，由简单的事务处理发展到更的管理形式；
　　
　　2.2系统基本特点：
　　
　　符合《国务院关于建立城镇职工基本医疗保险制度的决定》；
　　
　　依托现有银行的网络，减少社保局建设网络的投资。将大量手工劳动尤其是个人帐户的管理交给银行来完成，大大减少了社保局的工作量；
　　
　　个人帐户与统筹基金分别管理；
　　
　　资金往来均通过计算机网络进行，加快了资金的周转速度；
　　
　　安全可靠，参保人的资料以及个人帐户管理采用*安全的IC卡管理；
　　
　　医院或药店的IC卡读卡器在每天营业日终将交易明细上传至发卡银行，由发卡银行扣除持卡人消费金额，转帐至医院药店的帐户上。
　　
　　3、硬件组成
　　
　　3.1网络结构
　　
　　3.11银行IC卡网络（依据实际需求）
　　
　　计算机
　　
　　3.2银行端设备：
　　
　　主机：UNIX服务器，SCOUNIX5.X；SYBASE数据库（可按照客户要求开发不同产品数据库）；
　　
　　工作站：PC奔腾以上配置；POWERBUILDER前端开发工具；
　　
　　工作站亦可使用UNIX终端。
　　
　　3.3读写设备
　　
　　银行端设备：采用符合人民银行总行认可并测试通过的IC卡终端及设备,或改造银行等机构现有的具有IC卡读写功能的相关设备；
　　
　　3.4智能卡选型及标准（IC卡介绍见附一）
　　
　　智能卡应采用符合中国人民银行总行金融IC卡规范的卡片，并根据国家的有关标准和规定增加发卡人有关医疗保险的一些个人信息;社保IC卡为多功能卡要求在PBOC应用基础上增加一个应用,卡片基本规划如下（以G&DSTARCHINA卡为例）：
　　
　　3.4.1文件结构
　　
　　3.4.2社保卡片规划
　　
　　（本文档有关卡片操作仅供客户参考,实际应用中可依据需求开发）
　　
　　社保个人信息文件：
　　
　　历史记录文件：
　　
　　交易记录LOG文件：
　　
　　依据PBOC标准建立，存储10条交易记录；
　　
　　4、软件组成
　　
　　整个系统包括两大部分：社保局医疗保险管理系统和银行医疗保险IC卡系统。
　　
　　4.1医疗保险管理系统
　　
　　依据客户要求具体设计；
　　
　　4.2银行IC卡系统的主要功能
　　
　　4.21银行圈存机系统
　　
　　卡片管理作业：处理卡片申请、解锁、销卡、挂失、解挂失、更改卡片有效期、密码重置等业务；
　　
　　客户服务作业：处理持卡人的圈存等交易请求；
　　
　　柜员作业
　　
　　4.22银行服务器系统
　　
　　圈存机联机作业系统：
　　
　　用于处理银行网点的联机事务处理业务；
　　
　　POS联机作业系统：
　　
　　用于处理POS的日终交易上传、黑名单下传及控制参数上传/下传业务
　　
　　系统管理
　　
　　圈存机和POS交易明细查询
　　
　　卡片管理
　　
　　卡帐户管理
　　
　　报表打印
　　
　　柜员管理：
　　
　　对柜员*，依据要求区分一般柜员与柜员，不同级别柜员应拥有不同权限。
　　
　　4.23商户POS系统
　　
　　IC卡服务：
　　
　　接受持卡人修改密码、查询余额、查询交易明细等；
　　
　　POS资料传输
　　
　　日终结算
　　
　　卡片交易（脱机消费）
　　
　　POS参数管理
　　
　　通讯安全控管
　　
　　采用动态通讯密钥加密传输数据，确保数据安全可靠。
　　
　　4.24发卡系统
　　
　　密钥管理系统（祥见附二安全控管介绍）
　　
　　ＰＣ发卡软件：
　　
　　发卡程序PC端软件包括：用户操作界面、数据库操作、数据格式转换、安全管理等部分；
　　
　　卡片个人化
　　
　　5、社会效益
　　
　　5.1减轻社保局统管，统一报销的负担
　　
　　社保统管，统一报销的模式使社保工作人员疲于应付大量个人医药报销支付结算程序，无法发挥其应有职能。
　　
　　而IC卡可充分利用个人帐户、个人自由就诊的特点，利用终端和网络，自动完成支付和结算。大大减轻社保局的负担，充分发挥其监督的职能。
　　
　　5.2消除资金管理的弊端
　　
　　原统筹模式将个人帐户资金归集到社保局统管，或由用人单位分管，因此存在医疗资金流失的可能，而使用IC卡电子存折个人帐户的方法可以使得医疗资金专款，并可累计利息。
　　
　　5.3帮助医院建立良好的收费服务体系
　　
　　减少了医院每日大量的的现金流量，实现电子化结算。
　　
　　附一IC卡介绍：
　　
　　IC卡，全称IntergratedCircuitCard或SmartCard即集成电路卡或智能卡，是一种以电方式存储数据的卡。它是大规模集成电路嵌在基片上使用的电子设备。
　　
　　IC卡种类较多，主要有存储卡、加密存储卡、CPU卡、射频卡。CPU卡是一种将用于加密处理的微处理器与数据存储器一起封装在基片上的IC卡。CPU卡的信息容量大，并且其保密性能，通用性强，因此在金融、通讯等保密要求高的、金额较大、资金流通频繁的领域得到广泛的应用。
　　
　　在医保系统中作为结算货币的卡的保密性显得非常重要，因此卡的安全性成为系统设计的重点。
　　
　　IC卡主要特点
　　
　　保密性*，不可能被破译。由于采用了CPU卡，大部分加密过程是在卡上完成的，外界无法干预，并且采用标准加密算法，配合加密技术对卡上数据进行加密。此外卡上数据还可设置不同的加密级别，即便于卡的流通使用，又保护了重要数据。同时采用了相互认证技术，它是一种非常安全的保密措施，即不仅系统要识别卡，同时卡也要识别系统。其次采用多重加密技术，系统读卡时，同时核对卡上的密码信息和持卡人的个人密码以及系统密码的多项，有一项不正确，卡上数据也不能被读出。
　　
　　数据容量大。本系统采用CPU卡不仅存储了加油信息，还可存储持卡人的个人信息。另外，大量的存储空间也利于系统的升级与扩充。
　　
　　使用寿命长，读的次数不受限制，写的次数可达十万次以上，而且支持部分写入方式，大大提高了卡的使用寿命。
　　
　　卡的挂失方式为黑名单。这是当今各大金融系统所普遍采用的方式。IC卡医保系统不再是一个小的封闭的系统，系统可以很好地扩容升级。
　　
　　数据可靠性非常高。由于采用了集成电路存储数据，所以数据不会丢失，不怕强磁场干扰，写入数据可保留许多年。
　　
　　符合ISO7816-1、2、3、4标准。
　　
　　IC卡种类对比
　　
　　MEMORY卡
　　
　　MEMORY卡（包括接触与非接触式）只带存储器，没有CPU和卡操作系统，加密方式仅仅是电路逻辑加密，读写卡设备与卡片之间的数据都以明文方式进行传递，安全性不高易于伪造。因此，MEMORY卡不可用做金融交易卡。
　　
　　B．CPU卡
　　
　　CPU卡以其的方便性、安全性以及管理功能，已越来越多地深入应用到社会的各个层面，也越来越广泛地被各行各业所接受与欢迎。CPU卡中高度集成了中央处理器（CPU）、存储器和卡操作系统，实质上就是一台超微型的计算机。卡操作系统将卡片内部数据单元与外界数据接口*隔离，所有对卡片内部数据单元的读写都必须通过卡操作系统来进行；卡操作系统可以对所有通过外部数据接口传输的敏感数据和指令进行DES、3DES或RSA算法加密，避免了因为外部数据通道被窃听而造成数据泄密，因此从外界直接访问智能卡的内容是不可能的。而使用卡操作系统必须提交正确的密钥，所以任何非法操作，如使用“伪卡”、“伪POS机”、伪造扣款或存款交易指令、伪造交易记录等等，都是不可能的。所以，我们的系统选用智能卡，银行可以放心地将重要的信息直接存放在智能卡上，如帐号、余额、密码以及各种特定信息等，同时因为可靠的安全机制，智能卡能够方便地实现“脱机消费”。
　　
　　附二系统安全控管
　　
　　一、交易安全控管
　　
　　IC卡的圈存安全
　　
　　a.圈存交易是在圈存终端以在线方式连接至银行服务器系统来进行的，以便进行*认证。
　　
　　b.智能卡系统的圈存过程总是一个在线的操作。一个基于对称加密的相互认证手段被用来验证电子钱包卡的真实性，圈存过程使用基于DES算法的验证方法；所有装载过程必须的密钥都存储在银行服务器系统的加密机中。服务器生成一个因卡而异的交易代码，传输给IC卡。IC卡核实该代码的真实性后相应增加储存的余额。
　　
　　c.这种在线装载方法的益处在于：
　　
　　●装载过程的密钥储存在一个安全的环境之中；
　　
　　●所有有关装载过程的数据都储存在银行主机，并可用于保安程序如监控；
　　
　　●在线连接时，可执行黑名单查验并锁住卡；
　　
　　●只有真实的IC卡才能处理交易代码。
　　
　　因为IC卡在使用时电子存折通常需要PIN码，所以不可以被他人匿名使用。卡中余额可随时在POS终端或用便携式余额查阅器读出。但电子钱包中的剩余金额可随意用来购物，所以如果电子钱包遗失了，就无法保证退还。
　　
　　1）IC卡的支付安全
　　
　　支付交易在POS终端上以离线方式进行。在支付前要用DES算法执行一个相互认证。为了安全通讯且核实交易储存到了终端里，POS终端都配备有一个终端卡（PSAM）。PSAM包含终端所有的保安要素（密钥），它对于安全地执行卡和终端的交易是*的。在相互认证的过程中，电子钱包会为该支付交易算出一个交易代码并从余额中扣除金额。交易代码被传输到终端里的PSAM。PSAM则核实交易代码的真实性后相应地增加PSAM的余额。另外，PSAM通过一个加密认证确保所有的交易正确执行。
　　
　　在缺省设置时，一个终端处理的交易都累计在PSAM中。应具体要求，通过改变智能卡系统的参数，可以修改设定值，用来把所有交易中选出的一部分储存起来或切换至单笔交易模式中。
　　
　　2）交易的传输安全
　　
　　●通过在线收集，以批处理的方式通过在线通讯将每天的交易数据传递给银行。
　　
　　●系统服务商收集
　　
　　系统中累积的支付交易额（或者若需要的话，每一个支付交易额）总要用一个加密认证代码来签署。由此保证只有真实的交易才能被银行接受。
　　
　　为了防止丢失数据，交易数据总要被复制并保存在POS终端里。即使传输卡丢失了或者数据传输不成功，服务提供商不会有金额损失，因为不成功的传输可以在任何时候重新执行。
　　
　　二、发卡安全控管
　　
　　卡生产过程中的安全管理
　　
　　基于中国目前的现状，卡片的个人化将由提供商自己来完成，因此，我们供货的卡片将包含完整的操作系统以及用于控制卡片初始化安全的密钥COMPLETIONKEY。这个密钥控制了个人化过程中对卡片内存的访问。
　　
　　在个人化过程中，钱包密钥（PURSEKEY）受到传输密钥（TRANSPORTKEY）的保护。在个人化系统与卡片之间没有任何密钥是通过明文传输。卡片密钥的解密是在个人化过程中在卡片内部完成的。
　　
　　1）卡发行过程中的安全管理
　　
　　发卡过程中的保护是由卡本身的功能来实现的。因为在卡片的生产及个人化过程中，其余额都是零，所以不需要从技术上锁定这张卡。因为进行圈存操作时，需要输入PIN，而PIN是通过密封的PIN密码信封交给持卡人的。没有PIN这张卡是没有用的。
　　
　　2）卡使用过程中的安全管理
　　
　　所有的安全密钥都安全地存储在智能卡里，每种交易类型都使用不同的密钥（密钥的分散原理）。如果某个密钥因为某种原因被公开或窃取，系统仍然可以安全工作。例如某张卡的圈存密钥被窃取了，仍然可以用这张卡去做支付和圈存的交易，因为在智能卡里储存有许多组的密钥。圈存密钥被窃取后，只需要将相关的SAM中的密钥按某种更新过程进行改变，换去另一组密钥即可，而不需要去更换客户智能卡。
　　
　　当持卡人持卡进行消费或圈存时：
　　
　　a.PIN将用来认证持卡人的合法性。
　　
　　b.在客户卡及终端之间，以及在线交易时与主机之间，将进行非常严格的认证。
　　
　　这个认证过程包括卡片与设备之间，设备与设备之间的双向认证，同时也包括它们之间所传输和使用的数据的验证。
　　
　　c.我们开发了用于销售终端和圈存终端的安全存储模块（SAM），使认证过程更安全并易于管理。
　　
　　3）卡片的锁定
　　
　　卡片的锁定可以在终端上离线完成，或者通过与主机的在线通讯模式锁定某个应用。这两种可能的方案是可以选择的。C&A系统中保存有黑名单，根据此黑名单可拒绝接受某些卡。黑名单也可以选择下装至终端中，用于离线操作时使用。
　　
　　在通常的支付环境中只有当客户卡在终端中的黑名单中出现时，才被拒绝接收。而在圈存交易中，因为圈存终端是在线操作的，当客户卡在系统中的黑名单中出现时，就会被拒绝接收。