DB11T 1867.2-2021“北京民生一卡通”技術(shù)規(guī)范 第2部分：二維碼通 用要求

DB11北京市市場監(jiān)督管理局發(fā)布 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則本文件起草單位：北京市經(jīng)濟(jì)和信息化局、北京市大數(shù)據(jù)中心、北京市人力資源和社會保障局、北京金融控股集團(tuán)有限公司、中國銀聯(lián)股份有限公司北京分公司、北京市政交通一卡通公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、北京思源政通科技集團(tuán)有限公司、廣東德生科技股份有限公司、廈門市美亞柏科信息股份有限公司、福建博思數(shù)字科技有限公司、首都信息發(fā)展股份有限公司、北京握奇數(shù)據(jù)股份有限公司、北京鯤鵬聯(lián)合創(chuàng)新中心有限公司、航天科工二院智慧市政與安?？萍贾行摹⒈本┦忻裾?、北京市教育委員會、北京市殘疾人聯(lián)合會、北京市退役軍人事務(wù)局、北京市衛(wèi)生健康委員會、北京市園林綠化局、北京市醫(yī)療保障局、北京市自來水集團(tuán)、國網(wǎng)北京市電力公司、北京市燃?xì)饧瘓F(tuán)本文件主要起草人：潘鋒、唐建國、石志國、王立瓊、李振軍，趙章界、單強(qiáng)、孔維錚、趙瑩、趙冬媛、王浥瑄、楊陽，武嘉、張棟、邢釗、張興、劉毅、劉艷玲、張安君、王飛、黃佳達(dá)、滕寅、郭天光、于灝、楊帆、蔡晉昌、周航、高順尉、王寧、李磊、王文文、喬巖、董冬冬、步志文、袁文“北京民生一卡通”技術(shù)規(guī)范第2部分：二維碼通用要求本文件規(guī)定了“北京民生一卡通”二維碼的應(yīng)用參考模型、數(shù)據(jù)結(jié)構(gòu)、使用流程、接口，以及行業(yè)條碼兼容性、二維碼顯示、受理終端、安本文件適用于“北京民生一卡通”二維碼的生成、使用及管理等，以及“北京民生一卡通”二維碼相關(guān)業(yè)務(wù)系統(tǒng)、受理終端、移動應(yīng)用程序等設(shè)計(jì)、研發(fā)下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適依托第三代社會保障卡，整合北京市社會保障、待遇發(fā)放、公共交通、醫(yī)療健康、養(yǎng)老優(yōu)待、殘疾人保障、優(yōu)撫優(yōu)待、金融服務(wù)、公園年票、教育管理等民生應(yīng)用而形成的具有金融功能的實(shí)體卡和標(biāo)識“北京民生一卡通”電子卡的二維碼，與電子卡一一對應(yīng)“北京民生一卡通”二維標(biāo)準(zhǔn)碼standardtwo-dimensionalbarcodeofBeijingcitizen“北京民生一卡通”二維簡碼simplifiedtwo-dimensionalbarcodeofBeijingcitizen根據(jù)國家和行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范生成并應(yīng)用在具體行匯聚第三方支付渠道，提供統(tǒng)一的、多渠道的支付能力的信統(tǒng)一權(quán)益信息共享應(yīng)用平臺unifiedinformationsharingplatformforrightsandSM2SM2橢圓曲線公鑰密碼算法（publickeycryptographicalgorithmSM2basedon采用被掃模式使用“北京民生一卡通”二維碼。用戶從手機(jī)或移動設(shè)備上安裝的“北京民生一卡通”移動應(yīng)用程序中調(diào)出二維碼，受理終端進(jìn)行掃碼。“北京民生一卡通”典型業(yè)務(wù)應(yīng)用場景見附錄——基礎(chǔ)平臺提供方：由多個機(jī)構(gòu)擔(dān)任，共同提供“北京民生一卡通”二維碼各類應(yīng)用所需的共性基礎(chǔ)平臺服務(wù)。基礎(chǔ)平臺包括但不限于發(fā)碼平臺、統(tǒng)一權(quán)益信息共享應(yīng)用平臺、統(tǒng)一支付——業(yè)務(wù)應(yīng)用方：針對社會保障、待遇發(fā)放、公共交通、醫(yī)療健康、養(yǎng)老優(yōu)待、殘疾人保障、優(yōu)撫優(yōu)待、金融服務(wù)、公園年票、教育管理等民生應(yīng)用場景開展業(yè)務(wù)。業(yè)務(wù)應(yīng)用方通過受理終——移動應(yīng)用方：提供“北京民生一卡通”移動應(yīng)用服務(wù)。移動應(yīng)用方通過對接基礎(chǔ)平臺提供方提供的發(fā)碼平臺，與業(yè)務(wù)應(yīng)用方提供的受理終端進(jìn)行交互，為用戶提供“北京民生一卡通”——證書管理中心：為基礎(chǔ)平臺提供方、業(yè)務(wù)應(yīng)用方和移動應(yīng)用方提供“北京民生一卡通”二維碼相關(guān)證書的生成、發(fā)放、驗(yàn)證、更新、注移動應(yīng)用方移動應(yīng)用方業(yè)務(wù)應(yīng)用方基礎(chǔ)平臺提供方業(yè)務(wù)應(yīng)用方基礎(chǔ)平臺提供方負(fù)責(zé)“北京民生一卡通”二維碼生成、解析、驗(yàn)證負(fù)責(zé)對接“統(tǒng)一支付系統(tǒng)”和業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)支負(fù)責(zé)對“北京民生一卡通”二維碼關(guān)聯(lián)的服務(wù)使負(fù)責(zé)統(tǒng)一輸出各類民生權(quán)益，當(dāng)生成“北京民生一負(fù)責(zé)匯聚第三方支付渠道，提供統(tǒng)一的、多渠道的支付訂單管理系統(tǒng)的支付請求，完成相關(guān)的業(yè)務(wù)費(fèi)用支付，費(fèi)用支負(fù)責(zé)對“北京民生一卡通”二維碼進(jìn)行掃描并識別“北京民生一卡通”二維碼采用安全Base64編碼方式將字節(jié)數(shù)組編碼后進(jìn)行二維碼圖片轉(zhuǎn)換，轉(zhuǎn)為了適應(yīng)不同應(yīng)用環(huán)境的需要，“北京民生一卡通”二維碼分為“北京民生一卡通”二維標(biāo)準(zhǔn)碼“北京民生一卡通”二維標(biāo)準(zhǔn)碼同時支持在線和離線業(yè)務(wù)應(yīng)用場景下身份認(rèn)證、權(quán)益使用和支付“北京民生一卡通”二維標(biāo)準(zhǔn)碼由125-350字節(jié)長度組成，包含標(biāo)準(zhǔn)域、擴(kuò)展域、安全域?！氨本ˋ段）指示碼的類型，表示為城市碼“個人碼”（E段）（S段）此字段按序包含用戶證書公鑰、用戶證書生成時間、用——用戶證書公鑰：使用SM2算法生成的非對稱密鑰——用戶證書生成時間：長度4字節(jié)，從北京時間2021-01-0108:00:00起采用時間累計(jì)數(shù)字表示，精確如果碼體驗(yàn)簽方式為1，則是在線出碼，使用機(jī)構(gòu)私鑰如果碼體驗(yàn)簽方式為2，則是離線出碼，使用用戶私鑰“北京民生一卡通”二維標(biāo)準(zhǔn)碼的擴(kuò)展信息根據(jù)實(shí)際業(yè)務(wù)應(yīng)用場景定義擴(kuò)展域“北京民生一卡通”二維簡碼是為基于用戶身份權(quán)益的服務(wù)和支付等簡單在線業(yè)務(wù)應(yīng)用場景構(gòu)建的二維碼結(jié)構(gòu)，“北京民生一卡通”二維簡碼結(jié)構(gòu)設(shè)計(jì)參照現(xiàn)有主流二維碼標(biāo)準(zhǔn)，支持主流支付渠道固定值：表示屬于城市碼“個人碼”“北京民生一卡通”二維碼生成流程分為在線流程和離線流程。在線流程是用戶移動應(yīng)用程序具備網(wǎng)絡(luò)環(huán)境時，生成“北京民生一卡通”二維碼的流程，離線流程是用戶移動應(yīng)用程序不具備網(wǎng)絡(luò)環(huán)境時，生成“北京民生一卡通”二維碼的流程。二維標(biāo)準(zhǔn)碼生成支持在線和離線環(huán)境，二維簡碼生成a)用戶在移動應(yīng)用程序發(fā)起二維碼申請，移動應(yīng)用程序根據(jù)注冊信息c)二維碼系統(tǒng)向統(tǒng)一權(quán)益信息共享應(yīng)用平臺請求用戶權(quán)益信息，統(tǒng)一權(quán)益信息共享應(yīng)用平臺收統(tǒng)一權(quán)益信息共享應(yīng)用平臺a)用戶在移動應(yīng)用程序發(fā)起二維碼數(shù)據(jù)申請，移動應(yīng)用程序根據(jù)注冊信息b)二維碼系統(tǒng)獲取機(jī)構(gòu)證書、二維碼c)二維碼系統(tǒng)向統(tǒng)一權(quán)益信息共享應(yīng)用平臺請求用戶權(quán)益信息，統(tǒng)一權(quán)益信息共享應(yīng)用平臺收8開始圖3在線生成標(biāo)準(zhǔn)碼流程7.1.4離線生成二維標(biāo)準(zhǔn)碼1)移動應(yīng)用程序發(fā)起獲取用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)(標(biāo)準(zhǔn)碼離線數(shù)據(jù)應(yīng)符合附錄C)請離線生成標(biāo)準(zhǔn)碼移動應(yīng)用程序二維碼系統(tǒng)統(tǒng)一權(quán)益信息共享應(yīng)用平臺用戶身份校驗(yàn)用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)開始用戶身份校驗(yàn)用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)開始獲取用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)本地保存用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)請求用戶權(quán)益數(shù)據(jù)生成二維碼有請求用戶權(quán)益數(shù)據(jù)生成二維碼有效期限獲取二維碼風(fēng)險(xiǎn)控制條件提供用戶身份權(quán)益數(shù)據(jù)生成用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)結(jié)束結(jié)束開始開始獲取本地保存的用戶證書及標(biāo)準(zhǔn)碼離線數(shù)據(jù)根據(jù)離線標(biāo)準(zhǔn)碼生成規(guī)則及離線數(shù)據(jù)生成二維碼數(shù)據(jù)展示二維碼用戶通過移動應(yīng)用程序展示“北京民生一卡通”二維標(biāo)準(zhǔn)碼，受理終端對“北京民生一卡通”二“北京民生一卡通”二維碼驗(yàn)證簽名支持受理終端離線驗(yàn)證簽名及受理終端在線驗(yàn)證簽名。受理終端設(shè)備集成二維碼驗(yàn)碼組件對二維碼簽名及其時效性做驗(yàn)證，保證“北京民生一卡通”二維碼的有效性。受理終端初始化時，集成二維碼驗(yàn)碼組件，包a)出示二維碼，受理終端進(jìn)行二維碼掃描c)若驗(yàn)證失敗，則服務(wù)結(jié)束；驗(yàn)證通過后，將二是是是），否否否否否否否b)受理終端進(jìn)行二維碼掃描，識別二維碼數(shù)據(jù)，將二維碼數(shù)據(jù)發(fā)送到d)二維碼系統(tǒng)接收到二維碼數(shù)據(jù)后進(jìn)行解析，將解析后用戶身離線身份認(rèn)證移動應(yīng)用程序受理終端業(yè)務(wù)系統(tǒng)二維碼系統(tǒng)開始開始出示二維碼結(jié)束結(jié)束二維碼掃描二維碼驗(yàn)證簽名開始開始發(fā)送二維碼數(shù)據(jù)二維碼數(shù)據(jù)結(jié)束二維碼數(shù)據(jù)結(jié)束獲取到身份信息業(yè)務(wù)辦理二維碼解析提供身份信息b)受理終端進(jìn)行二維碼掃描并識別二維碼數(shù)據(jù)，將二維碼數(shù)據(jù)發(fā)送到d)二維碼系統(tǒng)將二維碼數(shù)據(jù)進(jìn)行解析，將解析后的二維碼數(shù)據(jù)發(fā)送到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)計(jì)費(fèi)并生成賬單，向支付訂單管理系統(tǒng)發(fā)送扣款e)支付訂單管理系統(tǒng)接到扣款請求后生成交易扣款訂單，由用戶在移動應(yīng)用程序選擇支付方式，根據(jù)是否需要用戶確認(rèn)扣款情況，由支付訂單管理系統(tǒng)向統(tǒng)一支付系f)統(tǒng)一支付系統(tǒng)接收扣款申請后調(diào)取外部支付渠道進(jìn)行扣款，扣款完成后與支付渠道確認(rèn)結(jié)g)支付訂單管理系統(tǒng)將扣款結(jié)果數(shù)據(jù)同步到業(yè)務(wù)系統(tǒng)及受理終端，并向移動應(yīng)用程序推送扣款“北京民生一卡通”二維碼接口應(yīng)通過HTTPS使用POST方法發(fā)送請求并進(jìn)行響應(yīng)激活業(yè)務(wù)應(yīng)用場景接口請求參數(shù)詳見表5，激活業(yè)務(wù)應(yīng)用場景接口code=01，message=“成功”明功”code=其它，message=具體采用時間累計(jì)數(shù)字表示，精確（SM3算法生成數(shù)據(jù)摘要）對用戶證書公鑰、用戶證書生成時間、用戶證書有效時長進(jìn)行該接口應(yīng)用于移動應(yīng)用程序向發(fā)碼平臺獲取用戶標(biāo)準(zhǔn)碼離線數(shù)據(jù)，移動應(yīng)用程序離線生成二維標(biāo)code=01，message=“成功”功”功”code=01，message=“成功”該接口應(yīng)用于發(fā)碼平臺解析二維簡碼信息，code=01，message=“成功”code=01，message=“成功”空支付訂單回調(diào)接口請求參數(shù)詳見表21，支付訂單回code=01，message=“成功”空“北京民生一卡通”二維碼可與社保、交通、支付等領(lǐng)域的行業(yè)條碼在同一場景下并行使用，行業(yè)條碼原有的業(yè)務(wù)處理流程、應(yīng)用場景及使用范a)應(yīng)支持根據(jù)屏幕大小自動將顯示的二維碼調(diào)整至最優(yōu)顯示大小，并保持受理終端的通用要求如下:b)二維碼讀取區(qū)域應(yīng)與非接觸刷卡區(qū)域分開，避免應(yīng)用c)應(yīng)具備唯一的標(biāo)識編碼，能通過標(biāo)識編碼追d)應(yīng)根據(jù)數(shù)字簽名、白名單等機(jī)制驗(yàn)證二維碼來源合法性，確保二維碼中不含有木馬、病毒和非法鏈接等有害信息，并應(yīng)對非法二維碼予以明確提b)應(yīng)確保應(yīng)用程序、發(fā)碼機(jī)構(gòu)證書、交易數(shù)據(jù)、黑/白名單等數(shù)據(jù)安全存儲，不因斷電等致使數(shù)c)應(yīng)避免保存用戶敏感信息，對交易敏感數(shù)據(jù)進(jìn)行加密存儲，確保c)應(yīng)提供應(yīng)用程序、機(jī)構(gòu)密鑰和參數(shù)等下載、更新和刪除功能，支持本地或遠(yuǎn)程下載方式。應(yīng)對下載進(jìn)行安全控制，下載應(yīng)經(jīng)過授權(quán)或認(rèn)可，未經(jīng)授權(quán)不應(yīng)更改受理終端中的內(nèi)容。應(yīng)能驗(yàn)證下載程序的完整性和正確性，確保敏感數(shù)據(jù)在下載過程中受理終端的加密算法應(yīng)符合GB/T32918（所有部分）、GB/T32905、GB/T32907中對SM2、SM3、a)應(yīng)支持識別二進(jìn)制編碼格式的二維碼，支持識別旋轉(zhuǎn)、傾b)數(shù)據(jù)解析過程應(yīng)對二維碼中數(shù)據(jù)信息的完整性、真實(shí)性、不可抵賴性和有效性進(jìn)行鑒別，對受理終端的電源應(yīng)具備斷電延時關(guān)機(jī)功能，在斷電的情況下保證受理終端應(yīng)具備遠(yuǎn)程管理能力，包含遠(yuǎn)程監(jiān)測心跳、遠(yuǎn)程進(jìn)行軟件升級、機(jī)構(gòu)證書下載與更新、a)應(yīng)滿足網(wǎng)絡(luò)安全等級保護(hù)等國家和b)應(yīng)滿足個人信息保護(hù)和數(shù)據(jù)安全等國家和行業(yè)標(biāo)準(zhǔn)的c)數(shù)據(jù)解析過程中應(yīng)對二維碼中數(shù)據(jù)信息的完整性、真實(shí)性、不可抵賴性及時效性進(jìn)行鑒別，a)應(yīng)對移動應(yīng)用程序進(jìn)行簽名，標(biāo)識移動應(yīng)用程序的來源和發(fā)布者，保證客戶所下載的移動應(yīng)b)移動應(yīng)用程序啟動和更新時，應(yīng)進(jìn)行真實(shí)性和完整性校驗(yàn)，防范移動應(yīng)用程c)應(yīng)從木馬病毒防范、信息加密保護(hù)、運(yùn)行環(huán)境可信等方面提升安全防控能力，并可通過移動e)應(yīng)對接統(tǒng)一標(biāo)準(zhǔn)時鐘源，保證移動終端f)應(yīng)保障用戶公私鑰、機(jī)構(gòu)授權(quán)數(shù)據(jù)等信息安全，可采用敏感數(shù)據(jù)分段存儲，且移動應(yīng)用程序2）用戶提供所持設(shè)備的驗(yàn)證信息，例如：動態(tài)驗(yàn)證碼、令牌b)應(yīng)檢測用戶登錄的客戶端設(shè)備。用戶更換登陸的客戶端設(shè)備時，應(yīng)對用戶身份進(jìn)a)應(yīng)由發(fā)證機(jī)構(gòu)通過私鑰簽名，保證證書a)移動應(yīng)用程序與二維碼系統(tǒng)服務(wù)器間應(yīng)建立c)通過移動應(yīng)用程序發(fā)送的報(bào)文關(guān)鍵要素應(yīng)進(jìn)行數(shù)字簽名，確保關(guān)鍵要素的真實(shí)性和抗抵賴通過展示“北京民生一卡通”二維碼，市民可以實(shí)現(xiàn)辦理養(yǎng)老保險(xiǎn)事務(wù)、辦理求職登記和失業(yè)登記手續(xù)、申領(lǐng)失業(yè)保險(xiǎn)、申請參加結(jié)業(yè)培訓(xùn)、申請勞動能力鑒定和享受工傷保險(xiǎn)待遇符合條件的持卡人享受本市政策范圍內(nèi)所有直接兌付到人到戶的惠民惠農(nóng)財(cái)政補(bǔ)貼資符合條件的持卡人在本市具備相應(yīng)條件的醫(yī)保定點(diǎn)醫(yī)藥機(jī)構(gòu)使用“北京民生一卡通”