（一）应用背景

  随着市场经济的不断发展，我国亟需建立一个统一、规范和完善的社会保障体系，覆盖就业服务、职业技能培训和鉴定、劳动合同管理、工资收入管理、养老保险、失业保险、医疗保险、工伤保险、生育保险，以及劳动与社会保险争议等各方面应用，支持全面的社会化服务。20世纪90年代，我国医疗保险制度改革不断深入，社会统筹与个人账户相结合的城镇职工基本医疗保险制度逐步建立起来，涉及筹资、分配、服务、付费等各个环节，需要合理确定保险给付范围和支付方式，这些都对系统信息化提出了更改要求。

在社会保障体系的建立过程中，前期主要使用传统纸质凭证为信息载体，需要手工完成信息录入等工作，工作量很大，在实现社会保障业务异地处理时，更是难上加难：一是难以识别参保人在社会保障各项业务中的合法身份；二是无法保证业务数据的真实性和准确性。

1998年，原劳动和社会保障部提出了以中心城市资源数据库为上层信息交换平台、以单位和个人持有的社会保障IC卡为底层信息交换介质的总体构想，开始进行人力资源和社会保障领域的IC卡工程建设应用规划，社会保障卡工程逐步走向标准化、规范化。截至2017年，社会保障卡发行、管理、应用工作已在我国全面铺开，在社会保障体系及政府公务服务领域中扮演着重要角色。社会保障卡中个人敏感信息的安全存储及传输至关重要，因此，需识别持卡人在人力资源和社会保障各项业务中的合法身份，并生成办公劳动保障业务的电子凭证。

（二）密码应用总体框架

人力资源和社会保障业务应用系统，旨在实现社会保障卡在全国范围内跨业务、跨地区的应用，以社会保障卡持卡人员基础信息库（以下简称“持卡库”）和社会保障卡密钥管理系统为后台，与各级、各类用卡相关的本地业务系统、异地业务系统实时对接，支撑全社保领域基础信息共享、业务协调和异地业务受理，实现一卡多用、跨地区通用。

如图12-19所示，人力资源和社会保障业务系统密码应用架构分为两大体系：一套体系是以密钥管理系统为核心的制发卡体系；另一套体系是社会保障卡访问业务系统的认证服务体系。2017年开始试点实施的第三代社会保障卡，使用经国家密码管理部门认可的算法，进一步提升了社会保障卡应用的安全水平。

1.制发卡体系

  制发卡体系的核心为密钥管理系统，主要负责各类密钥的生成、存储与分发。密钥管理系统中的密钥按密钥类型、应用类型和交易种类进行定义，并通过分散变化等机制进行分级管理，避免单个密钥被攻破之后影响整个系统的密钥安全。

密钥管理系统在制发卡过程中，负责将密钥分发至两类卡内。一方面，根据需求将密钥导入对应的PSAM卡（安全访问模块）内，然后将PSAM卡下发到指定的省、市人力资源和社会保障部门，并安装到授权的读写设备内，为后续业务应用提供密码运算功能；另一方面，经社会保障卡个人化中心或初始化中心等生产环境，将分散后的密钥导入社会保障卡内，然后发放到持卡人手中。

2.业务体系

业务体系分为业务前端和后台系统。其中业务前端指社会保障卡的受理环境，包括社会保障卡和读写终端；后台系统指支撑业务应用的系统合集，包括持卡库、业务系统和异地业务系统等。

当业务系统受理社会保障卡时，需要将社会保障卡置入安装了PSAM卡的读写终端内，后者依据全国统一的社会保障卡用卡流程标准，经过社会保障系统环境选择、算法环境选择、内部认证（卡有效性检查）、PIN校验及卡鉴权等环节，开展具体用卡操作流程。业务流程中涉及的卡鉴权及外部认证、安全报文认证、消费交易认证、消费交易结算验证等认证服务，由社会保障卡与读写终端内的PSAM卡进行交互，采用商用密码算法完成。

后台各系统之间设置了通信密钥，由采用人力资源和社会保障部电子认证系统颁发数字证书，通过身份认证、数据加密、凭证签名等机制，保护通信传输安全和交易数据的有效性和合法性。

（三）应用成效

1999年，第一张社会保障卡发行。截至2017年8月底，符合全国统一标准的社会保障卡持卡人数达10.33亿，覆盖全国74.7%的人口，其中省份覆盖率100%，地市覆盖率99.2%，商用密码在人力资源和社会保障领域得到了广泛的推广和应用。

目前，社会保障卡在人力资源和社会保障领域已有102项典型应用，全国平均开通率超过80%，其中山西、江苏、安徽、福建、湖北、湖南、广东等省份已经开通全部应用，预计2017年年底在全国范围内将全部开通。跨省异地就医结算系统同步接入全国社保系统，真正实现跨省异地就医联网结算全覆盖。

2017年9月1日，全国首批第三代社会保障卡在湖北武汉启动发放，标志着全国第三代社会保障卡建设工作正式启动，商用密码算法将在第三代社保保障卡中普遍应用。根据国家“十三五”规划，2020年社会保障卡将覆盖90%以上的人口，最终实现人手一卡，为持卡人“记录一生、保障一生、服务一生”。