CN107018131B - 基于网关在健康卡与服务器间建立端到端数据通信的方法 - Google Patents

Abstract

本发明公开了一种基于网关在健康卡与服务器间建立端到端数据通信的方法，网关通过第一接口和第二接口分别与健康卡、服务器建立底层连接，完成服务器与健康卡之间的端到端底层连接建立过程，进一步，在服务器与健康卡之间建立端到端应用层连接，基于上述连接，可以进行服务器与健康卡之间的端到端数据交换业务。本发明提供的方法是健康卡通过网关连接上服务器，实现近端访问到远端访问的转换，用户可以随时随地访问卡，不再局限于医疗机构对卡的操作。有利于实现居民健康信息在医疗机构、健康服务机构以及其他远程服务器机构和监管机构之间的资源共享，使得居民健康信息资源得到进一步的开发和利用。

Description

基于网关在健康卡与服务器间建立端到端数据通信的方法

技术领域

本发明涉及医学信息领域，特别是一种基于网关在健康卡与服务器间建立端到端数据通信的方法。

背景技术

为了促进卫生信息化发展，加快健康服务业体制建设，健康卡应运而生，由卫计委推行实施的健康卡在健康服务相关支持产业应用范围具有重要意义。健康服务相关产业不断扩大，相关业务和产品研发制造技术需要健康信息的支撑。健康卡不仅是用户在医疗机构的就诊卡，同时也是其它健康业务平台数据的来源，这使得健康卡内健康信息的应用具有重要意义。居民健康信息不仅有助于药品、医疗器械和其他相关健康产品的研发制造，还可以促进第三方服务在医疗服务评价、健康市场调查、健康产品研发等方面的应用。

目前，卫计委建立的个人健康及健康服务信息共享系统，由健康卡、健康卡终端设备、计算机和医疗机构服务器组成，这使得居民健康数据的更新和读取的可用途径在一定程度受到限制，进一步阻滞了居民健康信息的应用。

卫计委建立的个人健康及健康服务信息共享系统，通过健康卡等信息化载体提供的医疗、公共卫生、健康管理等服务，实现健康信息资源的共享，使有限的医疗卫生资源发挥效益。但是该系统涉及的健康信息资源仅覆盖所有的医疗机构和公共卫生机构的信息化管理系统，致使专业性的第三方服务无法获取健康卡内数据。此外健康卡现有业务应用决定了健康卡只能在配有专用读写卡器或终端的医疗机构进行使用，如果用户想要了解自己的健康信息，必须去指定的地方才可以查阅和修改自己的健康信息。

研究分析可知，健康卡所产生的健康数据具有较大的开发潜力，基于健康卡的相关应用也可以为群众提供更为便捷的医疗健康服务。美中不足的是，卫计委建立的个人健康及健康服务信息共享系统只容许银行、医院、卫计委门三类管理对象提供应用服务和相关管理，限制了健康数据资源的共享范围。

现有的健康卡技术以及技术标准，使得健康卡应用存在以下问题：

一、备份不灵活。健康卡为计算机可识别的CPU卡,由于制卡成本和制卡技术的限制,健康卡存在存储容量小、存储数据种类固定等缺点，具体表现为卡内同一种类型的医疗信息的记录次数有限，例如卡内至多存储3位联系人信息、至多存储3家住院机构的住院记录、至多存储5家就诊机构的就诊记录等，超过上限的新记录使得时间靠前的记录被覆盖；无法存储医学影像等大容量信息。凭借现有的健康卡应用技术，如果要记录居民全生命周期的所有健康事件产生的数据，需要将就诊所产生的医学影像等大容量数据以及居民健康卡内历史数据定期备份在医疗机构的服务器中，给持卡人、医护人员和医疗卫生机构都带来不便和负担。

二、使用不灵活。健康卡的主要服务对象是医疗卫生机构，持卡人缺乏便捷的手段和途径来获取关于自身的健康记录；健康卡内信息主要由医疗机构掌握和支配，居民健康信息只能由健康卡端机读取和写入，通常由医疗机构根据自身需要来决定持卡人接触哪些健康信息。此外，持卡人只有到配置有健康卡终端设备的机构才可以获取健康信息。因此，于持卡人而言，不仅在卡内健康信息的掌控方面处于被动地位，而且居民健康卡的使用也受到机构地理位置和工作时间的限制。

三、不能与其他数据协同。健康卡由于其本身的存储容量有限，存储数据类型有限，使得健康卡记录的仅仅是持卡人在与医疗卫生机构的接触过程中所产生的数据量较小的信息，而诸如医学影像资料等大容量信息、家庭医疗设备采集的健康信息以及持卡人在接触过程外、覆盖持卡人整个生命周期的日常生活健康信息无法记录在居民健康卡中。居民健康卡内数据不能与其他数据协同，使得现有的居民健康卡应用难以为用户提供一个完整丰富的健康服务。

四、不能与外界协同。目前的健康卡内信息限于医疗机构以及公共卫生机构之间共享，使得健康卡应用无法跟第三方健康服务机构以及其他类型的服务机构进行协同。

为了解决上述问题，需要基于网关在健康卡与服务器之间建立端到端数据通信信道，使得用户可以通过访问服务器远程操作健康卡内数据。网关与健康卡之间的通信协议和应用层命令遵循健康卡与现有的健康卡终端设备之间的通信协议和应用层命令，卫计委在发行健康卡时，对健康卡技术以及通信协议和应用层命令已经做出了规定，但是网关和服务器之间的通信技术在公知领域内存在技术空白。

网关与服务器通过提供可靠底层连接的传输协议(例如TCP/IP)在协议层建立连接，但是网关与服务器的应用层连接方法以及建立应用层连接的命令尚无人定义。基于此，本发明提供了网关与服务器应用层命令以及基于网关在健康卡与服务器之间建立端到端数据通信的方法，使得用户可以通过手机、电脑等终端设备访问服务器，进一步操作健康卡。用户通过远程访问机制对健康卡内信息进行增添、修改、备份和种类扩展。用户还可以将健康信息共享给第三方服务者或者其他类型服务器提供者，用于开展用户的个性定制、商业开发和科研活动等第三方业务服务。

发明内容

本发明的目的是提出一种基于网关在健康卡与服务器间建立端到端数据通信的方法，实现健康卡从近端访问到远端访问的转换，满足用户通过访问服务器去操作健康卡的需求。

本发明的目的是通过以下技术方案来实现的：

本发明提供的基于网关在健康卡与服务器间建立端到端数据通信的方法，包括健康卡、网关和服务器，包括以下步骤：

S1：网关设置有与服务器相连接的第一接口，网关设置有与健康卡相连接的第二接口；所述第一接口的底层连接由用户操纵网关发起连接请求，所述第二接口的底层连接由用户持健康卡贴近网关发起连接请求；用户行为触发网关从关机状态，经过自检状态，进入开机状态；

S2：所述网关设备，当用户将其设置为‘开机后自动连接服务器’时，网关按照预设参数自动连接目标服务器并按照第一类端到端数据通信方法建立通信；如果用户未作此设置，则进入待连接状态；

S3：所述网关设备按照一定的时间间隔轮询第一接口和第二接口的连接发起情况，判断是否有底层连接发起信号；如果有，网关设备判断底层连接发起信号来自哪一个接口，如果底层连接发起信号来自第一接口，则按照第一类端到端数据通信方法建立通信连接；如果底层连接发起信号来自第二接口，则按照第二类端到端数据通信方法建立通信连接；

所述第一类端到端数据通信方法，按照以下步骤建立连接：1)在第一接口建立连接，进入第一接口已建立连接状态；2)在第二接口建立连接，进入端到端底层连接已建立状态；3)建立端到端应用层连接，进入端到端应用层连接已建立状态；

所述第二类端到端数据通信方法，按照以下步骤建立连接：1)在第二接口建立连接，进入第二接口已建立连接状态；2)在第一接口建立连接，进入端到端底层连接已建立状态；3)建立端到端应用层连接，进入端到端应用层连接已建立状态；

所述在第一接口建立连接，包括以下步骤：1)建立网关与服务器底层连接；2)建立网关与服务器应用层连接；如果网关与服务器应用层连接断开或者建立失败则进入网关与服务器底层连接已建立状态；

所述在第二接口建立连接，建立网关设备与健康卡底层连接；

S4：当网关处于第一接口已建立连接状态时，如果此时第一接口断开连接，则网关进入待连接状态；

当网关处于第二接口已建立连接状态时，如果此时第二接口断开连接，则网关进入待连接状态；

当网关处于端到端应用层连接已建立状态时，如果第一接口断开连接，则进入第二接口已建立连接状态；如果第二接口断开连接，则进入第一接口已建立连接状态；

S5：当网关处于端到端应用层连接已建立状态时，进行健康卡与服务器的端到端数据交换业务；该业务通过‘卡应用操作命令’和‘卡应用操作响应命令’、‘健康卡访问命令’和‘健康卡访问响应命令’这两对指令来完成；服务器向网关发送‘卡应用操作命令’，该命令的数据域为由服务器发送给健康卡的、经加密的‘健康卡访问命令’；在此情况下，网关从第一接口接收到‘卡应用操作命令’后，根据命令头中所含信息对该命令进行处理，并根据处理结果将‘卡应用操作命令’的数据域中的数据按照第二接口的协议格式进行封装，再发送给健康卡；健康卡接收并对该数据进行解封装和解密，待执行完相应操作之后，将对应的‘健康卡访问响应命令’加密，并按照第二接口的协议进行封装并发送给网关；网关接收并对该数据进行解封装，并将其作为‘卡应用操作响应命令’的数据域中的部分内容，在添加命令头信息之后按照第一接口的协议格式进行封装，然后传输给服务器；服务器对接收到的数据进行解密、对接收到的‘卡应用操作响应命令’进行处理，并以此完成一次对健康卡的访问；

S6：网关在开机状态的任意时刻，检测到用户发起的关机指令或者电量低于维持工作状态阈值，执行关机操作；

S7：由健康卡、网关、服务器以及基于网关在健康卡与服务器间建立端到端数据通信的方法构成了健康卡医疗资源共享系统，基于该系统，包括持卡人、医疗机构、健康服务机构和其他远程服务机构及监管机构在内的利益相关者能够提供或获取与健康相关的服务和信息资源。

进一步，通过指令完成端到端数据通信任务；所述指令为定义的、具有固定数据格式的数据，包括命令、响应命令以及错误指令三个子类，其中，命令和响应命令为一一对应的、相互关联的指令；错误指令是当出现原接收方接收的响应命令与待接收的响应命令相关字段的值不符的情况，以及出现原接收方无法解析接收的命令或者响应命令的情况时，由原接收方发送给原发送方的指令，以便于将此错误情况告知后者。

进一步，在步骤S3中，网关和服务器建立网关与服务器应用层连接的过程用到了‘网关-服务器连接请求命令’和‘网关-服务器连接响应命令’这一对指令；

所述的网关-服务器连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将网关身份信息以二进制标识的形式置于数据域Data_req1中，通过该命令发送给服务器；

所述的网关-服务器连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1的第一部分为该响应命令对应的命令的MSG_ID值，位于数据域首位，第二部分置有二进制标识形式的身份信息；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括但不限于“操作成功”、“服务器错误”、“服务器拒绝连接该网关”；

在步骤S4中，网关和服务器断开第一接口连接的过程用到了‘网关-服务器断开连接请求命令’和‘网关-服务器断开连接响应命令’这一对指令；

所述网关-服务器断开连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关或者服务器将表示断开连接原因的二进制标识置于数据域Data_req1中，通过该命令发送给对方；所述标识数据的语义包括但不限于“正常断开(可由任意一方发起)”、“限网关发送的网关硬件故障”、“限网关发送的网关软件故障”、“限网关发送的网关电量不足”、“限网关发送的网关未知原因故障”、“限服务器发送的服务器错误”；

所述网关-服务器断开连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示网关或者服务器处理命令的结果状态；所述结果状态的语义包括但不限于“操作成功”、“服务器错误”；

在步骤S3中，网关和服务器进入端到端应用层连接状态的过程用到了‘卡已连接请求命令’和‘卡已连接响应命令’这一对指令；

所述卡已连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将获得的卡标识数据置于数据域Data_req1中，通过该命令发送给服务器；

所述卡已连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括但不限于“操作成功”、“服务器错误”、“服务器拒绝访问此刻连接上网关的卡”；

在步骤S4中，网关处于端到端应用层连接已建立状态时，如果第二接口断开连接，网关进入第一接口已建立状态的过程用到了‘卡已断开连接请求命令’和‘卡已断开连接响应命令’这一对指令；

所述卡已断开连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将‘第二接口已断开连接’的语义信息以二进制标识的形式置于数据域Data_req1中，通过该命令发送给服务器；

所述卡已断开连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括但不限于“操作成功”、“服务器错误”；

在步骤S3中，健康卡和服务器进行端到端数据交换的过程用到了‘卡应用操作命令’和‘卡应用操作响应命令’这一对指令；

所述卡应用操作命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req2；该数据域内置有服务器发送给健康卡的数据；

所述卡应用操作响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res2；所述数据域Data_res2的第一部分置有该响应命令对应的命令的MSG_ID值，位于数据域的首位，第二部分置有健康卡发送给服务器的数据；所述SC为二进制码，表示网关处理命令的结果状态；所述结果状态的语义包括但不限于“操作成功”、“访问卡数据发送失败”、“卡无响应数据”；

在步骤S5中，网关或者服务器单方面断开第一接口连接的过程是通过‘中止连接’命令完成的；

所述中止连接命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；所述命令长度MSG_Lc为‘0’；所述数据域Data_req1不包含数据；该命令无对应的响应命令，网关或者服务器因内部原因无法继续维持接口连接，即向对方发送该命令，单方面断开第一接口连接。

进一步，在这个协议层之上，其信息流控制方式为，服务器或者网关在发送一条命令之后，如果没有从对方接收到响应命令，则不发送下一条命令；原始命令的发送方根据接收的响应命令各字段的内容判断是否为原始命令对应的响应命令；

所述命令序号MSG_ID为自动增加的、代表正整数的、固定长度的二进制码；通信双方通过MSG_ID判断是否存在指令没有被传达或者被响应；若服务器或者网关重复接收到相同MSG_ID的命令，只解析这一组命令中的第一个，而忽略这一组命令的其他命令；

所述命令类型MSG_TYPE为固定长度的二进制码，用于标识命令类别；

所述命令长度MSG_Lc为固定长度的二进制码，为数据域的字节长度；若数据域中不包含数据，命令长度MSG_Lc为‘0’；

所述命令序号MSG_ID置于命令数据格式的首位，命令类型MSG_TYPE置于命令序号MSG_ID之后。

进一步，通信过程包括正常通信和容错通信。所述正常通信为，原发送方向原接收方发送请求命令后，原接收方解析接收到的命令，并根据解析结果向原发送方发送对应的、包含命令操作成功语义信息的响应命令；

所述容错通信为包括第一类容错通信和第二类容错通信，第一类容错通信为，原发送方向原接收方发送请求命令后，原接收方解析接收到的命令，由于内部原因无法完成该命令对应的操作，则将表示指定错误语义信息的二进制码置于对应的响应命令的状态码中，向原发送方发送可以解析的、包含命令执行结果错误状态的响应命令；原发送方接收并解析该响应命令，进行后续的错误处理；

第二类容错通信包括两种情况：第一种情况为，原接收方接收到原发送方发送的请求命令，并向原发送方发送响应命令；原发送方接收并解析该响应命令相关字段后得知，该响应命令不是上一条命令对应的、正确的响应命令；原发送方通过错误指令1向原接收方说明当前错误，原接收方接收并解析错误指令1所含错误提示信息，进行相应的纠错操作，再次向原发送方发送正确的响应命令；

第二种情况为，原接收方接收的命令或响应命令所含字段中的数据为与本发明所述技术方法不兼容的数据以及原接收方接收的命令或响应命令的数据格式为与本发明所述技术方法不兼容的数据格式，致使原接收方无法解析接收的数据。原接收方通过错误指令2向原发送方说明当前错误，原发送方接收并解析错误指令2所含错误提示信息，进行相应的纠错操作，再次向原接收方发送正确的命令或响应命令；

所述错误指令1包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_res1；所述命令长度MSG_Lc为‘0’；所述数据域Data_res1中不包含数据；

所述错误指令2包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_res1；所述命令长度MSG_Lc为‘0’；所述数据域Data_res1中不包含数据。

进一步，所述状态码包括正常状态和错误状态，提高数据通信的容错能力；

所述正常状态包括“操作成功”，接收方接收到带有该状态的命令，按照通信方法继续执行下一条命令；

所述错误状态包括以下5种状态以及其他若干由用户定义的扩展状态：

(1)“服务器错误”：表示服务器由于内部原因无法正常响应网关发送的请求，限服务器发送；网关接收到状态码为“服务器错误”的响应命令时，等待一定时间重新发送请求，若仍然接收到该状态码，则断开第一接口的连接；

(2)“服务器拒绝连接该网关”：表示网关向服务器发送“网关-服务器连接请求命令”后，服务器无法与当前网关建立底层连接，限服务器发送；网关接收到状态码为“服务器拒绝连接该网关”的响应命令时，断开与服务器的底层连接，并通过人机交互界面反馈错误；

(3)“服务器拒绝访问此刻连接上网关的卡”：表示网关向服务器发送卡标识数据后，服务器无法识别该卡，限服务器发送；网关接收到状态码为“服务器拒绝访问此刻连接上网关的卡”的响应命令时，维持第一接口连接，断开第二接口连接，并通过人机交互界面反馈错误；

(4)“访问卡数据发送失败”：表示服务器向网关发送卡应用操作命令后，网关未察觉第二接口底层连接断开，导致转码后的健康卡访问命令无法发送给健康卡，限网关发送；服务器接收到状态码为“访问卡数据发送失败”的命令时，停止访问健康卡，并通过人机交互界面反馈错误；

(5)“卡无响应数据”：表示网关将转码后的健康卡访问命令发送给健康卡后，由于未知原因导致第二接口断开连接，网关没有接收到健康卡发送的响应数据，限网关发送；服务器接收到状态码为“访问卡数据发送失败”的命令时，停止访问健康卡，并通过人机交互界面反馈错误。

进一步，所述第一类端到端数据通信方法，具体步骤如下：

11)网关通过服务器参数以提供可靠底层连接的传输协议的方式与服务器建立底层连接；

12)网关通过‘网关-服务器连接请求命令’向服务器发送身份识别信息，服务器基于该信息完成对网关的身份识别，并将服务器身份信息发送给网关，网关对接收到的数据进行分析，以完成对目标服务器的确认；

13)网关和服务器同时执行“加密算法1”；

14)如果有健康卡进入到网关的卡访问单元中的接近式耦合设备PCD工作有效区域中，接近式耦合设备PCD的射频工作场激活健康卡，建立卡与网关基于IEC/ISO 14443标准的底层连接；

15)网关通过‘卡已连接请求命令’将步骤14)获得的卡标识数据发送至服务器，告知服务器有卡连接上网关；

16)健康卡和服务器同时执行“端到端通信加密算法”；

17)调用端到端卡操作子流程；

18)网关通过‘卡已断开连接请求命令’将卡与网关已断开底层连接这个信息发送给服务器；

19)网关或服务器任意一方可发送‘网关-服务器断开连接请求命令’，请求与对方以正常方式断开连接；

110)网关或服务器任意一方可发送‘中止连接’命令，以非正常方式单方面与对方断开连接。

进一步，所述第二类端到端数据通信方法，具体步骤如下：

21)健康卡进入到网关设备的卡访问单元中的接近式耦合设备PCD工作有效区域中，接近式耦合设备PCD的射频工作场激活健康卡，建立卡与网关基于IEC/ISO 14443标准的底层连接；

22)网关通过服务器参数以提供可靠底层连接的传输协议的方式与服务器建立底层连接；

23)网关通过‘网关-服务器连接请求命令’向服务器发送身份识别信息，服务器基于该信息完成对网关的身份识别，并将服务器身份信息发送给网关，网关对接收到的数据进行分析，以完成对目标服务器的确认；

24)网关和服务器同时执行“加密算法1”；

25)网关通过‘卡已连接请求命令’将步骤21)获得的卡标识数据发送至服务器，告知服务器有卡连接上网关；

26)健康卡和服务器同时执行“端到端通信加密算法”；

27)调用端到端卡操作子流程；

28)网关通过‘卡已断开连接请求命令’将卡与网关已断开底层连接这个信息发送给服务器；

29)网关或服务器任意一方可发送‘网关-服务器断开连接请求命令’，请求与对方以正常方式断开连接；

210)网关或服务器任意一方可发送‘中止连接’命令，以非正常方式单方面与对方断开连接。

进一步，所述端到端通信加密算法采用以下的加密解密过程：

31)所述服务器先采用加密算法2对服务器与健康卡之间的应用层数据进行加密，后采用加密算法1在协议层上对上述加密数据再次进行加密，最后将两次加密数据发送给网关；

32)所述网关采用加密算法1在协议层上对接收的加密数据进行部分解密，然后将无法解析的、由加密算法2加密的数据发送给健康卡；

33)健康卡采用加密算法2对接收的应用层数据进行解密；

34)健康卡采用加密算法2对服务器与健康卡之间的应用层响应数据进行加密，并发送给网关；

35)网关采用加密算法1在协议层上对接收的加密数据再次加密，并发送给服务器；

36)服务器采用加密算法1在协议层上对接收的加密数据进行解密，再采用加密算法2对应用层响应数据进行解密；

所述加密算法2为国家密码管理局颁布的对称算法SM1算法，非对称算法SM2算法和杂凑算法SM3算法；

所述加密算法1为网络通信中的公知加密算法，采用对称加密算法AES算法和DES算法。

进一步，所述端到端卡操作子流程步骤如下：

41)服务器发送卡应用操作命令至网关；

42)网关根据命令类型MSG_TYPE的值，发送一个包含命令序号MSG_ID的确认命令ACK给服务器，告知服务器，网关已接收到服务器发送的命令；

43)网关执行转码过程1，即将卡应用操作命令数据域的数据通过第二接口发送给健康卡；

44)健康卡将‘健康卡访问响应命令’发送给网关；

45)网关执行转码过程2，即将步骤41)中卡应用操作命令的MSG_ID值和步骤43)中‘健康卡访问响应命令’置于数据域相应位置中，并添加一个命令头信息；

46)网关将转码后形成的卡应用操作响应命令发送给服务器，一次卡应用操作结束。

由于采用了上述技术方案，本发明具有如下的优点：

本发明提供的基于网关在健康卡与服务器间建立端到端数据通信的方法，包括两类端到端数据通信方法以及通信过程中的指令集，在健康卡与服务器之间建立了端到端数据通信信道，填补了网关与服务器通信技术层面的空白。

本发明实现了健康卡从近端访问到远端访问的转换，用户持健康卡和网关可以随时随地连接目标服务器，并通过手机、电脑等终端设备访问目标服务器，进一步访问居民健康卡内信息，实现了从近端访问到远端访问的转换。用户对健康卡的使用不受医疗机构地理位置和工作时间的限制，解决了使用不灵活的问题。

本发明可以承载健康卡与服务器端到端的数据交换业务，基于本发明提供的端到端数据通信方法，用户可以通过访问从健康卡中读取数据或写入信息，将健康卡数据备份至服务器，或在补卡或更新卡时，将服务器中居民健康数据同步到健康卡中等应用，解决了备份不灵活的问题。

本发明提供的端到端数据通信方法，使得用户通过服务器访问健康卡时，可以数据容量较大的、健康卡无法存储的、其他种类的健康信息存储到服务器中，实现健康卡内数据与其他类型数据协同。

本发明中的服务器可以由医疗机构、健康服务提供者以及其他服务提供者和监管机构提供，用户通过服务器共享健康信息，并使用其服务。本发明有利于实现健康信息在医疗机构、健康服务机构以及其他远程服务器机构和监管机构之间的资源共享，使得居民健康信息资源得到进一步的开发和利用，解决了不能与外界协同的问题。

本发明在持卡人、健康卡、网关、服务器、服务器提供商之间形成健康卡医疗资源共享系统，不仅强化现有的个人健康及健康服务信息共享系统的应用功能，使健康卡所产生的医疗大数据在所有的医疗机构、公共卫生机构之间共享，也保证其他服务提供者可以获取有用的医疗信息资源。健康卡医疗资源共享系统使全民健康信息数据得到统一管理，通过统计分析等手段可以对未知病情做出预测和推断，为研究人员提供了可靠的参考数据基础。相比于现有的个人健康及健康服务信息共享系统，健康卡医疗资源共享系统可以促进第三方服务对医疗信息资源的开发利用，拓展健康卡的业务应用。例如，基于健康卡数据信息设计的智能购药系统可以方便用户更快捷准确地购买到所需药品，该应用在专利CN102880977A有介绍。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

本发明的附图说明如下。

图1为网关状态图。

图2为个人健康及健康服务信息共享系统。

图3为健康卡医疗资源共享系统。

图4为服务器/网关通信超时设置示意图。

图5为第一类应用情况示意图。

图6为第二类应用情况示意图。

图7为第一类端到端数据通信建立方法时序图。

图8为第二类端到端数据通信建立方法时序图。

图9为端到端卡操作子流程图。

图10为非正常断开第一接口连接通信时序图。

图11为命令的数据格式示意图。

图12为命令报文内容示意图。

图13为响应命令的数据格式示意图。

图14为响应命令报文内容示意图。

图15为第一类服务器和网关数据交换命令报文示意图。

图16为第一类服务器和网关数据交换响应命令报文示意图。

图17为第二类服务器和健康卡数据交换命令报文示意图。

图18为第二类服务器和健康卡数据交换响应命令报文示意图。

图19为网关-服务器正常通信及容错通信过程

图20为网关-服务器指令交换过程

图21为响应命令状态码参照表示意图。

图22为命令及响应命令加密示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

实施例1

如图所示，图1为网关状态图，基于网关展示端到端数据通信建立的过程。

图2为卫计委建立的个人健康及健康服务信息共享系统，图3为本发明建立的健康卡医疗资源共享系统，由图2和图3可知，本发明提供的基于网关在健康卡与服务器间建立端到端数据通信的方法，使得现有的持卡人与医疗机构、医疗机构与医疗机构之间的服务行为扩展到持卡人与医疗机构、持卡人与健康服务机构、持卡人与其他远程服务机构及监管机构、各服务机构之间的服务行为。

图4为服务器-网关通信超时设置。设置服务器与网关通信命令时间，即超时设置。所述超时设置，当网关(或服务器)发送命令至服务器(或网关)时，如果网关(或服务器)在时间t内接收到响应命令(即t<协议超时阈值)，则进行下一步通信内容，如果网关(或服务器)在时间t内没有收到响应命令(即t≥协议超时阈值)，则进行连接失败处理。所述超时设置满足服务器和网关之间的通信命令，但不包括端到端的卡操作通信过程。以‘网关-服务器连接请求/响应’命令对为例，超时设置符合所有服务器与网关之间的通信命令，包括服务器发送到网关的命令，但不包括服务器访问健康卡过程。

图5为应用情况一，第一接口先建立连接，第二接口后建立连接，适用于网关批量处理卡的情况，包括以下步骤：

(1)服务器先和网关基于提供可靠底层连接的传输协议(如TCP/IP协议)建立底层连接；

(2)服务器和网关建立应用层连接(含安全信息的交换，例如密钥)；

(3)如有卡连接上网关，网关再和健康卡基于IEC/ISO 14443标准建立底层连接；

(4)网关发送‘卡已连接请求命令’至服务器，服务器知道已经有卡连接；

(5)端到端数据通信信道建立完成。

图6为应用情况二，第二接口先建立连接，第一接口后建立连接，适用于持卡人拥有自己的网关，将健康卡内信息同步到服务器的情况。网关和服务器不会一直保持连接，当用户需要这项服务时，才会选择将网关和服务器连接，包括以下步骤：

(1)健康卡先与网关基于IEC/ISO 14443标准建立底层连接；

(2)网关再与服务器基于提供可靠底层连接的传输协议(如TCP/IP协议)建立底层连接；

(3)网关和服务器建立应用层连接(含安全信息的交换，例如密钥)；

(4)网关发送‘卡已连接请求命令’至服务器，服务器知道已经有卡连接；

(5)端到端数据通信信道建立完成。

图7为应用情况一对应的第一类端到端数据通信建立方法时序图，图8为应用情况二对应的第二类端到端数据通信建立方法时序图。其中，*1：网关(或服务器)从发送数据到接收数据的时间t符合图4要求(不包括端到端卡操作的数据通信过程)。*2：‘网关-服务器断开连接请求命令’可以由服务器或网关任意一方发起。*3：图中虚线双箭头表示对应的子流程。*4：为了保障通信数据的可靠传输，可作如下限制：如果网关在执行‘卡已断开连接请求命令’之前，发送‘网关-服务器断开连接请求命令’至服务器，则服务器通过响应命令‘网关-服务器断开连接响应命令’中的错误状态码要求网关发送‘卡已断开连接请求命令’；如果服务器未接收到‘卡已断开连接请求命令’，不会主动发送‘网关-服务器断开连接响应命令’。

图9为端到端卡操作子流程。*1：可配置等待时间t1,服务器向网关发送‘卡应用操作命令’，网关在时间t1内回复一个带命令序号的确认命令ACK(MSG_ID)。*2：可配置等待时间t2，服务器向网关发送‘卡应用操作命令’，网关在时间t2内回复带命令序号的‘卡应用操作响应命令’。*3：“转码处理过程①”表示服务器发送的‘卡应用操作命令’在网关处的转码过程，即将‘卡应用操作命令’转换成‘健康卡访问命令’的处理方法。*4：“转码处理过程②”表示‘’在网关处的转码过程，即将‘健康卡访问响应命令’命令转换成‘卡应用操作响应命令’的处理方法。

所述‘卡应用操作命令’为服务器访问健康卡命令的统称；‘卡应用操作响应命令’为服务器访问健康卡响应命令的统称。

所述‘健康卡访问命令’满足卫计委发布的《居民健康卡技术规范》第3部分用户卡命令集中第5节命令中的内容。所述命令包括命令类别(CLA)、指令代码(INS)、指令参数1(P1)、指令参数2(P2)、命令数据域字节数(Lc)、数据字节串(Data)和响应数据域中期望的最大数据字节数(Le)。

所述‘健康卡访问响应命令’满足卫计委发布的《居民健康卡技术规范》第3部分用户卡命令集中第5节命令中的内容。所述响应命令包括响应数据字节串(Data)、命令处理状态(SW1)和命令处理限定(SW2)。

在端到端卡操作过程中，如果卡被拔出，网关向服务器发送‘卡已断开连接请求命令’,服务器收到命令后进行相关处理。如果服务器在接收到‘卡已断开连接请求命令’之前发送‘卡应用操作命令’至网关，因健康卡与网关断开连接而无法处理的‘卡应用操作命令’作废。

在端到端卡操作过程中，如果因为非正常因素导致卡与网关断开连接，网关在相应的‘卡应用操作响应命令’的状态码中进行说明。所述的非正常因素包括突然换卡，网关未察觉、交变磁场或电场导致卡失效、卡功能故障等一个或多个因素(见图18)；

图10为非正常断开第一接口连接通信时序图；其中，*1：‘中止连接’命令可以由网关或服务器任意一方发起。*2：‘中止连接’命令可以发生在网关与服务器建立连接之后的过程中的任何时刻。接收到“中止连接”命令的设备进行后续的处理工作。

实施例2

本实施例提供的用于实现端到端数据通信业务的指令包括命令、响应命令和错误指令。

如图11，图12所示，所述命令根据通信内容分为第一类服务器和网关数据交换命令和第二类服务器和健康卡数据交换命令。所述第一类服务器和网关数据交换命令包括固定长度(如2个字节)的命令序号MSG_ID、固定长度(如1个字节)的命令类型MSG_TYPE、固定长度(如1个字节)的命令长度MSG_Lc以及数据类型为变长的数据域Data_req1；所述第二类服务器和健康卡数据交换命令包括固定长度(如2个字节)的命令序号MSG_ID、固定长度(如1个字节)的命令类型MSG_TYPE、固定长度(如1个字节)的命令长度MSG_Lc以及数据类型为变长的数据域Data_req2。

如图13，图14所示，所述响应命令根据通信内容分为第一类服务器和网关数据交换响应命令和第二类服务器和健康卡数据交换响应命令。所述第一类服务器和网关数据交换响应命令包括固定长度(如2个字节)的命令序号MSG_ID、固定长度(如1个字节)的命令类型MSG_TYPE、固定长度(如1个字节)的命令长度MSG_Lc、固定长度(如1个字节)的状态码SC以及数据类型为变长的数据域Data_res1；所述数据域Data_res1包括两个部分：第一部分置有对应的命令的MSG_ID值，位于数据域的首位；第二部分置有响应中接收的数据字节串。所述第二类服务器和健康卡数据交换响应命令包括固定长度(如2个字节)的命令序号MSG_ID、固定长度(如1个字节)的命令类型MSG_TYPE、固定长度(如1个字节)的命令长度MSG_Lc、固定长度(如1个字节)的状态码SC以及数据类型为变长的数据域Data_res2；所述数据域Data_res2包括两个部分：第一部分置有对应的命令的MSG_ID值，位于数据域的首位；第二部分置有健康卡发送给服务器的数据。

所述SC的值用‘Bn’表示。

如图15所示，为第一类服务器和网关数据交换命令报文。MSG_ID为命令计数器，每响应一条命令，值自加1；MSG_TYPE值为‘00’，表示‘网关-服务器连接请求命令’；MSG_Lc值为Data_req1包含的字节长度；Data_req1中为表示网关身份信息的二进制数据，其中网关的身份信息包括网关序列号、网关固件版本号和网关剩余电量。网关向服务器发送该命令请求建立连接。

如图16所示，服务器接收到‘网关-服务器连接请求命令’后，向网关发送‘网关-服务器连接响应命令’。‘网关-服务器连接响应命令’的MSG_ID为命令计数器，每响应一条命令，值自加1；‘网关-服务器连接响应命令’MSG_TYPE的值为‘06’；‘网关-服务器连接响应命令’MSG_Lc的值为数据域包含的字节长度；‘网关-服务器连接响应命令’SC表示命令‘网关-服务器连接请求’的执行结果情况；数据域Data_res1的第一部分为‘网关-服务器连接请求命令’的MSG_ID值；若服务器接受该网关的连接，服务器将服务器身份信息以二进制标识至于数据域Data_res1第二部分发送给网关，网关根据接收的服务器身份信息再次确认所连接的服务器，否则‘网关-服务器连接响应命令’的数据域Data_res1第二部分不包含数据。

如图15所示，若MSG_TYPE值为‘01’，表示‘卡已连接请求命令’；MSG_Lc值为Data_req1包含的字节长度；Data_req1中包括标志位和卡标识数据，标志位的值为‘0’或‘1’，当标志位值为‘0’时，表示健康卡与网关为IEC/ISO 14443A类通讯方式，卡标识数据为UID(唯一标识符)；当标志位为‘1’时，表示卡与网关为IEC/ISO 14443B类通讯方式，卡标识数据为PUPI(仿唯一PICC标识符)。网关通过该命令，告知服务器第二接口有卡连接。

如图16所示，服务器接收到‘卡已连接请求命令’后，向网关发送‘卡已连接响应命令’。‘卡已连接响应命令’的MSG_ID为命令计数器，每响应一条命令，值自加1；‘卡已连接响应命令’的MSG_TYPE的值为‘07’；‘卡已连接响应命令’的MSG_Lc的值为数据域中的字节长度；‘卡已连接响应命令’的SC表示‘卡已连接请求命令’的执行结果情况；数据域Data_res1的第一部分为‘卡已连接请求命令’的MSG_ID值，第二部分不包含数据。

如图15所示，若MSG_TYPE值为‘02’，表示‘卡已断开连接请求命令’；MSG_Lc值为数据域中的字节长度；Data_req1中为表示卡已断开连接语义信息的二进制标识数据；网关发送该命令至服务器，告诉服务器被连接至网关的卡已经脱离了网关射频接口有效工作区域，数据域值为0时，表示卡操作完成后被正常拔出，数据域值为1时，表示卡操作未完成时被拔出。

如图16所示，服务器接收到‘卡已断开连接请求命令’后，向网关发送‘卡已断开连接响应命令’。‘卡已断开连接响应命令’的MSG_ID为命令计数器，每响应一条命令，值自加1；‘卡已断开连接响应命令’的MSG_TYPE的值为‘08’；‘卡已断开连接响应命令’的MSG_Lc值为数据域中的字节长度；‘卡已断开连接响应’命令的SC表示‘卡断开连接请求命令’的执行结果情况；数据域Data_res1的第一部分为‘卡已断开连接请求命令’的MSG_ID值，第二部分不包含数据。

如图15所示，若MSG_TYPE值为‘03’，表示‘网关-服务器断开连接请求命令’；MSG_Lc值为数据域中的字节长度；Data_req1中为表示网关与服务器断开连接原因语义信息的二进制标识数据，网关或者服务器通过该命令断开第一接口连接。数据域值为‘0’，表示正常断开连接，该命令可以由网关或服务器任意一方发起；数据域值为‘1’，表示网关硬件出现故障，该命令限网关发送给服务器；数据域值为‘2’，表示网关软件出现故障，该命令限网关发送给服务器；数据域值为‘3’，表示网关电量不足，该命令限网关发送给服务器；数据域值为‘4’，表示网关未知原因故障，该命令限网关发送给服务器；数据域值为‘5’，表示服务器出现错误，该命令限服务器发送给网关。

如图16所示，服务器(或网关)接收到‘网关-服务器断开连接请求命令’后，向对方发送‘网关-服务器断开连接响应命令’。‘网关-服务器断开连接响应命令’的MSG_ID值为命令计数器，每响应一条命令，值自加1；‘网关-服务器断开连接响应’命令的MSG_TYPE值为‘09’；‘网关-服务器断开连接响应’命令MSG_Lc的值为数据域中的字节长度；‘网关-服务器断开连接响应’命令的SC表示‘网关-服务器断开连接请求命令’的执行结果情况；数据域Data_res1的第一部分为‘网关-服务器断开连接请求命令’的MSG_ID值，第二部分不包含数据。

如图15所示，MSG_TYPE值为‘04’，表示‘中止连接’命令。‘中止连接’命令MSG_Lc的值为‘0’；数据域Data_req1不包含数据。网关或服务器在任意时刻因内部原因无法维持连接，单方面断开第一接口连接，若来不及发送该命令，直接断开连接。‘中止连接’命令没有对应的响应命令。

如图15所示，MSG_TYPE值为‘EE’，表示‘错误指令1’，该命令MSG_Lc的值为‘0’，数据域Data_req1不包含数据。如图19所示，网关或者服务器作为命令的发送方接收的响应命令MSG_TYPE与数据域Data_res1(或Data_res2)的第一部分(包含命令的MSG_ID)与待响应命令的对应字段的值不同，则通过‘错误指令1’向命令的接收方发送当前错误信息，命令的接收方接收并解析‘错误指令1’，进行纠错处理，向命令的发送方发送正确的响应命令。

如图15所示，MSG_TYPE值为‘FF’，表示‘错误指令2’，该命令MSG_Lc的值为‘0’，数据域Data_req1不包含数据。如图19所示，网关或者服务器作为接收方接收到无法解析的命令或者响应命令时，则通过‘错误指令2’向发送方发送当前错误信息，发送方接收并解析‘错误指令2’，进行纠错处理，向接收方发送正确的命令或者响应命令。

如图17所示，为第二类服务器和健康卡数据交换命令报文。第二类服务器和健康卡数据交换命令统称为‘卡应用操作命令’；‘卡应用操作命令’的MSG_ID为命令计数器，每发送一条命令，值自加1；MSG_TYPE值都为‘05’；MSG_Lc值为Data_req2包含的字节长度；Data_req2中为满足‘健康卡访问命令’数据格式的数据。服务器向网关发送‘卡应用操作命令’，网关对接收到的‘卡应用操作命令’进行解析，并将‘卡应用操作命令’的数据域部分发送给健康卡。

所述‘健康卡访问命令’包括‘应用失效’、‘应用解锁’、‘应用永久失效’、‘外部认证命令’、‘请求随机数’、‘内部认证命令’、‘读取透明文件’、‘读取记录’、‘选择文件’、‘写入或修改透明文件’、‘添加记录或更改指定的记录’、‘擦除文件’、‘对特殊文件写入特定值’命令以及其他拓展命令。

如图18所示，为第二类服务器和健康卡数据交换响应命令报文。第二类服务器和健康卡数据交换响应命令统称为‘卡应用操作响应命令’；‘卡应用操作响应命令’的MSG_ID为命令计数器，每响应一条命令，值自加1；‘卡应用操作响应命令’的MSG_TYPE值都为‘0A’；‘卡应用操作响应命令’的MSG_Lc值为数据域中的字节长度；‘卡应用操作响应命令’的SC表示‘卡应用操作响应命令’的执行结果情况；数据域Data_res2中的第一部分为对应的‘卡应用操作命令’的MSG_ID值，若网关接收到健康卡发送给服务器的数据，数据域Data_res2第二部分为健康卡返回的响应数据，该响应数据满足‘健康卡访问响应命令’的数据格式；否则，数据域Data_res2第二部分不包含数据。

如图20所示，为网关-服务器指令交换过程示意图。ID1和dataID1分别为网关发送的指令序号和响应命令数据域第一部分的数据；ID2和dataID2分别为服务器发送的指令序号和响应命令数据域第一部分的数据。网关作为命令的发送方，每发送一条指令，ID1的值自动增加1，服务器作为命令的接收方，向网关发送的响应命令的ID2的值自动增加1，且该响应命令的dataID2的值等于ID1的值；服务器作为命令的发送方，每发送一条指令，ID2的值自动增加1，网关作为命令的接收方，向服务器发送的响应命令的ID1的值自动增加1，且该响应命令的dataID1的值等于ID2的值。

网关和服务器通过维护各自的指令序号ID值来判断是否存在指令没有被传达或者被响应。

如图21所示，为响应命令状态码参照表。

如图22所示，为了保证通信过程中数据传输的安全性，传输的数据都会采用加密算法，本发明中针对传输的数据采用两类加密方式。其中，*1：加密算法1，即对服务器与网关通信数据进行加密的方式，可采用对称加密算法AES算法和DES算法；*2：加密算法2，即对服务器与健康卡通信数据进行加密的方式，采用对称算法SM1算法，非对称算法SM2算法和杂凑算法SM3算法。

实施例3

本实施例提供的网关包括健康卡访问单元、数据处理单元、网络通信单元、电源管理单元、人机交互单元和参数配置单元。

健康卡访问单元、指令处理单元和网络通信单元依次连接；人机交互单元分别和参数配置单元、数据处理单元、网络通信单元连接；参数配置单元还与网络通信单元连接。

所述网关通过健康卡访问单元与健康卡建立基于IEC/ISO14443协议的连接。所述网关通过网络通信单元与服务器建立基于TCP/IP协议的连接。

所述数据处理单元为微控制器，用于完成第一接口数据格式与第二接口数据格式的相互转换。

所述人机交互单元包括按键、触摸屏、麦克风等输入组件中的一个或者多个，以及包括扬声器、显示屏、指示灯等输出组件中的一个或者多个。

所述参数配置单元可以为微控制器分配的一个存储空间，也可以是一个独立的存储器，还可以包括有一个无线通讯模块和(或)一个有线通讯模块与手机连接，用于配置和存储目标服务器参数表。

所述服务器参数表包括网关要连接的目标服务器的IP地址、监听端口号码等参数。所述服务器参数表可以通过人机交互界面输入服务器参数，手机相关APP导入，网关生产商预置服务器参数表、健康卡存储的缺省服务器参数等方式获取。

实施例4

本发明提供的基于网关在健康卡与服务器间建立端到端数据通信的方法可以完成健康卡和服务器应用层的数据交换业务，基于此，持卡人可以通过个人终端设备访问当前与健康卡建立连接的服务器，并通过该服务器的人机交互界面向健康卡发送读取、写入、修改、删除、选择等操作命令来操作健康卡内信息。进一步，健康卡内数据经由网关上传到服务器后，持卡人可以将健康卡内数据备份至服务器，该应用解决了健康卡由于存储容量有限无法存储较长周期的健康数据的问题。持卡人在医疗机构产生新的健康数据时，即使健康卡内的时间靠前的历史数据被覆盖，仍可以通过访问服务器查询到历史数据，解决了存储空间的问题，实现居民健康数据实时的、长期的存储及管理。此外，持卡人在补卡或更新健康卡内信息时，可以通过访问服务器将健康数据下载或更新到卡中，提高了健康卡信息备份的灵活性。

进一步，基于网关在健康卡与服务器间建立端到端数据通信的方法使得持卡人对健康卡内信息由被动接受变为主动选择。持卡人在需要查询健康信息时，可以自由操作健康卡内数据，省去通过配置有健康卡读写设备的医疗机构帮助查询这一中间环节，使得持卡人对健康信息的操作不受医疗卫生机构地理位置和工作时间的限制，提高了健康卡使用的灵活性。

进一步，基于网关在健康卡与服务器间建立端到端数据通信的方法可以实现健康信息的种类扩展，丰富健康数据。持卡人可以将健康卡内数据存储在服务器中，同时，持卡人还可以将数据容量较大的、无法存储在健康卡内的医学影像信息或者其他数据类型的健康信息存储在服务器中，解决了健康卡不能与其他数据协同的问题。

进一步，基于网关在健康卡与服务器间建立端到端数据通信的方法不仅保证了健康数据在医疗机构和公共卫生机构之间共享，还可以在健康卡与健康服务机构、其他远程服务机构及监管机构提供的服务器之间建立连接，使得第三方服务提供者以及其他类型的健康服务提供者可以获取健康卡内数据，反过来，持卡人可以使用第三方服务者以及其他类型的健康服务提供者基于健康卡内数据提供的服务，例如，由第三方服务者提供的基于居民健康信息卡的药品导购智能服务，该应用在专利CN 102880977A有介绍。此外，健康卡与某一服务器之间建立连接，持卡人通过该服务器承载的应用共享健康信息，医疗机构以及其他类型机构的服务器之间再共享健康信息，有助于提升用户体验。基于此，解决了健康卡不能与外界协同的问题。

实施例5

本发明提供的基于网关在健康卡与服务器间建立端到端数据通信的方法可以将健康卡与提供家庭健康管理服务者提供的服务器进行连接，持卡人使用家庭健康管理服务时，将自身的健康卡内信息以及家人的健康卡内信息传输到数据库中，通过服务器承载的业务进行家庭健康信息的系统管理。此外，若持卡人通过某公司提供的服务平台进行健康卡数据更新，同时持卡人使用该公司旗下健康数据采集设备，则该公司提供的服务平台可以将数据采集设备的数据作为用户健康档案的一部分进行管理，不限于此应用，持卡人可以将其他家庭医疗设备采集的数据与健康卡内数据协同，为居民健康服务提供更加丰富的健康数据来源。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的保护范围当中。

Claims (11)

1.基于网关在健康卡与服务器间建立端到端数据通信的方法，包括健康卡、网关和服务器，其特征在于：所述健康卡、网关和服务器按照以下步骤进行数据通信：

S1：网关设置有与服务器相连接的第一接口，网关设置有与健康卡相连接的第二接口；所述第一接口的底层连接由用户操纵网关发起连接请求，所述第二接口的底层连接由用户持健康卡贴近网关发起连接请求；用户行为触发网关从关机状态，经过自检状态，进入开机状态；

S2：所述网关设备，当用户将其设置为‘开机后自动连接服务器’时，网关按照预设参数自动连接目标服务器并按照第一类端到端数据通信方法建立通信；如果用户未作此设置，则进入待连接状态；

S3：所述网关设备按照一定的时间间隔轮询第一接口和第二接口的连接发起情况，判断是否有底层连接发起信号；如果有，网关设备判断底层连接发起信号来自哪一个接口，如果底层连接发起信号来自第一接口，则按照第一类端到端数据通信方法建立通信连接；如果底层连接发起信号来自第二接口，则按照第二类端到端数据通信方法建立通信连接；

所述第一类端到端数据通信方法，按照以下步骤建立连接：1)在第一接口建立连接，进入第一接口已建立连接状态；2)在第二接口建立连接，进入端到端底层连接已建立状态；3)建立端到端应用层连接，进入端到端应用层连接已建立状态；

所述第二类端到端数据通信方法，按照以下步骤建立连接：1)在第二接口建立连接，进入第二接口已建立连接状态；2)在第一接口建立连接，进入端到端底层连接已建立状态；3)建立端到端应用层连接，进入端到端应用层连接已建立状态；

所述在第一接口建立连接，包括以下步骤：1)建立网关与服务器底层连接；2)建立网关与服务器应用层连接；如果网关与服务器应用层连接断开或者建立失败则进入网关与服务器底层连接已建立状态；

所述在第二接口建立连接，建立网关设备与健康卡底层连接；

S4：当网关处于第一接口已建立连接状态时，如果此时第一接口断开连接，则网关进入待连接状态；

当网关处于第二接口已建立连接状态时，如果此时第二接口断开连接，则网关进入待连接状态；

当网关处于端到端应用层连接已建立状态时，如果第一接口断开连接，则进入第二接口已建立连接状态；如果第二接口断开连接，则进入第一接口已建立连接状态；

S5：当网关处于端到端应用层连接已建立状态时，进行健康卡与服务器的端到端数据交换业务；该业务通过‘卡应用操作命令’和‘卡应用操作响应命令’、‘健康卡访问命令’和‘健康卡访问响应命令’这两对指令来完成；服务器向网关发送‘卡应用操作命令’，该命令的数据域为由服务器发送给健康卡的、经加密的‘健康卡访问命令’；在此情况下，网关从第一接口接收到‘卡应用操作命令’后，根据命令头中所含信息对该命令进行处理，并根据处理结果将‘卡应用操作命令’的数据域中的数据按照第二接口的协议格式进行封装，再发送给健康卡；健康卡接收并对该数据进行解封装和解密，待执行完相应操作之后，将对应的‘健康卡访问响应命令’加密，并按照第二接口的协议进行封装并发送给网关；网关接收并对该数据进行解封装，并将其作为‘卡应用操作响应命令’的数据域中的部分内容，在添加命令头信息之后按照第一接口的协议格式进行封装，然后传输给服务器；服务器对接收到的数据进行解密、对接收到的‘卡应用操作响应命令’进行处理，完成一次对健康卡的访问；

S6：网关在开机状态时刻，检测到用户发起的关机指令或者电量低于维持工作状态阈值，执行关机操作。

2.如权利要求1所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：由健康卡、网关、服务器以及基于网关在健康卡与服务器间建立端到端数据通信的方法构成了健康卡医疗资源共享系统，基于该系统，包括持卡人、医疗机构、健康服务机构和其他远程服务机构及监管机构在内的利益相关者能够提供或获取与健康相关的服务和信息资源。

3.如权利要求1所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述用于完成端到端数据通信任务的指令按照以下方式定义为具有固定数据格式的数据：

所述指令包括命令、响应命令以及错误指令三个子类，其中，所述命令和响应命令为一一对应的、相互关联的指令；所述错误指令是当出现原接收方接收的响应命令与待接收的响应命令相关字段的值不符的情况，以及出现原接收方无法解析接收的命令或者响应命令的情况时，由原接收方发送给原发送方的指令，并将此错误情况告知原发送方。

4.如权利要求1所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：在步骤S3中，在网关和服务器建立网关与服务器应用层连接的过程用到的‘网关-服务器连接请求命令’和‘网关-服务器连接响应命令’这一对指令按照以下方式定义：

所述的网关-服务器连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将网关身份信息以二进制标识的形式置于数据域Data_req1中，通过该命令发送给服务器；

所述的网关-服务器连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1的第一部分为该响应命令对应的命令的MSG_ID值，位于数据域首位，第二部分置有二进制标识形式的身份信息；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括“操作成功”、“服务器错误”、“服务器拒绝连接该网关”；

在步骤S4中，在网关和服务器断开第一接口连接的过程用到的‘网关-服务器断开连接请求命令’和‘网关-服务器断开连接响应命令’这一对指令按照以下方式定义：

所述网关-服务器断开连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关或者服务器将表示断开连接原因的二进制标识置于数据域Data_req1中，通过该命令发送给对方；所述二进制标识数据的语义包括“正常断开”、“限网关发送的网关硬件故障”、“限网关发送的网关软件故障”、“限网关发送的网关电量不足”、“限网关发送的网关未知原因故障”、“限服务器发送的服务器错误”；

所述网关-服务器断开连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示网关或者服务器处理命令的结果状态；所述结果状态的语义包括“操作成功”、“服务器错误”；

在步骤S3中，在网关和服务器进入端到端应用层连接状态的过程用到的‘卡已连接请求命令’和‘卡已连接响应命令’这一对指令按照以下方式定义：

所述卡已连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将获得的卡标识数据置于数据域Data_req1中，通过该命令发送给服务器；

所述卡已连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括“操作成功”、“服务器错误”、“服务器拒绝访问此刻连接上网关的卡”；

在步骤S4中，网关处于端到端应用层连接已建立状态时，如果第二接口断开连接，在网关进入第一接口已建立状态的过程用到的‘卡已断开连接请求命令’和‘卡已断开连接响应命令’这一对指令按照以下方式定义：

所述卡已断开连接请求命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；网关将‘第二接口已断开连接’的语义信息以二进制标识的形式置于数据域Data_req1中，通过该命令发送给服务器；

所述卡已断开连接响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res1；所述数据域Data_res1中为该响应命令对应的命令的MSG_ID值；所述SC为二进制码，表示服务器处理命令的结果状态；所述结果状态的语义包括“操作成功”、“服务器错误”；

在步骤S3中，在健康卡和服务器进行端到端数据交换的过程用到的‘卡应用操作命令’和‘卡应用操作响应命令’这一对指令按照以下方式定义：

所述卡应用操作命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req2；该数据域内置有服务器发送给健康卡的数据；

所述卡应用操作响应命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc、状态码SC和数据域Data_res2；所述数据域Data_res2的第一部分置有该响应命令对应的命令的MSG_ID值，位于数据域的首位，第二部分置有健康卡发送给服务器的数据；所述SC为二进制码，表示网关处理命令的结果状态；所述结果状态的语义包括“操作成功”、“访问卡数据发送失败”、“卡无响应数据”；

在步骤S5中，网关或者服务器单方面断开第一接口连接的过程是通过‘中止连接’命令完成的；

所述中止连接命令包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_req1；所述命令长度MSG_Lc为‘0’；所述数据域Data_req1不包含数据；该命令无对应的响应命令，网关或者服务器因内部原因无法继续维持接口连接，即向对方发送该命令，单方面断开第一接口连接。

5.如权利要求3或4所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：在协议层之上的信息流控制方式如下：服务器或者网关在发送一条命令之后，如果没有从对方接收到响应命令，则不发送下一条命令；原始命令的发送方根据接收的响应命令各字段的内容判断是否为原始命令对应的响应命令；

所述命令序号MSG_ID为自动增加的、代表正整数的、固定长度的二进制码；通信双方通过MSG_ID判断是否存在指令没有被传达或者被响应；若服务器或者网关重复接收到一组相同MSG_ID的命令，只解析这一组命令中的第一个而忽略这一组命令的其余命令；

所述命令类型MSG_TYPE为固定长度的二进制码，用于标识命令类别；

所述命令长度MSG_Lc为固定长度的二进制码，为数据域的字节长度；若数据域中不包含数据，命令长度MSG_Lc为‘0’；

所述命令序号MSG_ID置于命令数据格式的首位，命令类型MSG_TYPE置于命令序号MSG_ID之后。

6.如权利要求2所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述通信过程包括正常通信和容错通信；所述正常通信为：原发送方向原接收方发送请求命令后，原接收方解析接收到的命令，并根据解析结果向原发送方发送对应的、包含命令操作成功语义信息的响应命令；

所述容错通信为包括第一类容错通信和第二类容错通信，第一类容错通信为，原发送方向原接收方发送请求命令后，原接收方解析接收到的命令，因无法完成该命令对应的操作，则将表示指定错误语义信息的二进制码置于对应的响应命令的状态码中，向原发送方发送可以解析的、包含命令执行结果错误状态的响应命令；原发送方接收并解析该响应命令，进行后续的错误处理；

第二类容错通信包括两种情况：第一种情况为，原接收方接收到原发送方发送的请求命令，并向原发送方发送响应命令；原发送方接收并解析该响应命令相关字段后得知，该响应命令不是上一条命令对应的、正确的响应命令；原发送方通过错误指令1向原接收方说明当前错误，原接收方接收并解析错误指令1所含错误提示信息，进行相应的纠错操作，再次向原发送方发送正确的响应命令；

第二种情况为，当原接收方无法解析接收的命令或响应命令所含字段中的数据，以及原接收方无法解析接收的命令或者响应命令的数据格式时，原接收方通过错误指令2向原发送方说明当前错误，原发送方接收并解析错误指令2所含错误提示信息，进行纠错操作，再次向原接收方发送正确的命令或响应命令；

所述错误指令1包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_res1；所述命令长度MSG_Lc为‘0’；所述数据域Data_res1中不包含数据；

所述错误指令2包括命令序号MSG_ID、命令类型MSG_TYPE、命令长度MSG_Lc和数据域Data_res1；所述命令长度MSG_Lc为‘0’；所述数据域Data_res1中不包含数据。

7.如权利要求4所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述状态码包括正常状态和错误状态；

所述正常状态包括“操作成功”，接收方接收到带有该状态的命令，按照通信方法继续执行下一条命令；

所述错误状态包括以下5种状态以及其他由用户定义的扩展状态：

(1)“服务器错误”：表示服务器由于内部原因无法正常响应网关发送的请求，限服务器发送；网关接收到状态码为“服务器错误”的响应命令时，等待一定时间重新发送请求，若仍然接收到该状态码，则断开第一接口的连接；

(2)“服务器拒绝连接该网关”：表示网关向服务器发送“网关-服务器连接请求命令”后，服务器无法与当前网关建立底层连接，限服务器发送；网关接收到状态码为“服务器拒绝连接该网关”的响应命令时，断开与服务器的底层连接，并通过人机交互界面反馈错误；

(3)“服务器拒绝访问此刻连接上网关的卡”：表示网关向服务器发送卡标识数据后，服务器无法识别该卡，限服务器发送；网关接收到状态码为“服务器拒绝访问此刻连接上网关的卡”的响应命令时，维持第一接口连接，断开第二接口连接，并通过人机交互界面反馈错误；

(4)“访问卡数据发送失败”：表示服务器向网关发送卡应用操作命令后，网关未察觉第二接口底层连接断开，导致转码后的健康卡访问命令无法发送给健康卡，限网关发送；服务器接收到状态码为“访问卡数据发送失败”的命令时，停止访问健康卡，并通过人机交互界面反馈错误；

(5)“卡无响应数据”：表示网关将转码后的健康卡访问命令发送给健康卡后，由于未知原因导致第二接口断开连接，网关没有接收到健康卡发送的响应数据，限网关发送；服务器接收到状态码为“访问卡数据发送失败”的命令时，停止访问健康卡，并通过人机交互界面反馈错误。

8.如权利要求1所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述第一类端到端数据通信方法，具体步骤如下：

11)网关通过服务器参数以提供底层连接的传输协议的方式与服务器建立底层连接；

12)网关通过‘网关-服务器连接请求命令’向服务器发送身份识别信息，服务器根据身份识别信息完成对网关的身份识别，并将服务器身份信息发送给网关，网关对接收到的数据进行分析，以完成对目标服务器的确认；

13)网关和服务器同时执行“加密算法1”；

14)如果有健康卡进入到网关的卡访问单元中的接近式耦合设备PCD工作有效区域中，接近式耦合设备PCD的射频工作场激活健康卡，建立卡与网关基于IEC/ISO 14443标准的底层连接；

15)网关通过‘卡已连接请求命令’将步骤14)获得的卡标识数据发送至服务器，告知服务器有卡连接上网关；

16)健康卡和服务器同时执行“端到端通信加密算法”；

17)调用端到端卡操作子流程；

18)网关通过‘卡已断开连接请求命令’将卡与网关已断开底层连接这个信息发送给服务器；

19)网关或服务器任意一方可发送‘网关-服务器断开连接请求命令’，请求与对方以正常方式断开连接；

110)网关或服务器任意一方可发送‘中止连接’命令，以非正常方式单方面与对方断开连接。

9.如权利要求1所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述第二类端到端数据通信方法，具体步骤如下：

21)健康卡进入到网关设备的卡访问单元中的接近式耦合设备PCD工作有效区域中，接近式耦合设备PCD的射频工作场激活健康卡，建立卡与网关基于IEC/ISO 14443标准的底层连接；

22)网关通过服务器参数以提供底层连接的传输协议的方式与服务器建立底层连接；

23)网关通过‘网关-服务器连接请求命令’向服务器发送身份识别信息，服务器根据身份识别信息完成对网关的身份识别，并将服务器身份信息发送给网关，网关对接收到的数据进行分析，以完成对目标服务器的确认；

24)网关和服务器同时执行“加密算法1”；

25)网关通过‘卡已连接请求命令’将步骤21)获得的卡标识数据发送至服务器，告知服务器有卡连接上网关；

26)健康卡和服务器同时执行“端到端通信加密算法”；

27)调用端到端卡操作子流程；

28)网关通过‘卡已断开连接请求命令’将卡与网关已断开底层连接这个信息发送给服务器；

29)网关或服务器任意一方可发送‘网关-服务器断开连接请求命令’，请求与对方以正常方式断开连接；

210)网关或服务器任意一方可发送‘中止连接’命令，以非正常方式单方面与对方断开连接。

10.如权利要求7或8所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述端到端通信加密算法采用以下的加密解密过程：

31)所述服务器先采用加密算法2对服务器与健康卡之间的应用层数据进行加密，后采用加密算法1在协议层上对上述加密数据再次进行加密，最后将两次加密数据发送给网关；

32)所述网关采用加密算法1在协议层上对接收的加密数据进行部分解密，然后将无法解析的、由加密算法2加密的数据发送给健康卡；

33)健康卡采用加密算法2对接收的应用层数据进行解密；

34)健康卡采用加密算法2对服务器与健康卡之间的应用层响应数据进行加密，并发送给网关；

35)网关采用加密算法1在协议层上对接收的加密数据再次加密，并发送给服务器；

36)服务器采用加密算法1在协议层上对接收的加密数据进行解密，再采用加密算法2对应用层响应数据进行解密；

所述加密算法2为国家密码管理局颁布的对称算法SM1算法，非对称算法SM2算法和杂凑算法SM3算法中的一种；

所述加密算法1为网络通信中的公知加密算法，可采用对称加密算法AES算法和DES算法。

11.如权利要求7或8所述的基于网关在健康卡与服务器间建立端到端数据通信的方法，其特征在于：所述端到端卡操作子流程步骤如下：

41)服务器发送卡应用操作命令至网关；

42)网关根据命令类型MSG_TYPE的值，发送一个包含命令序号MSG_ID的确认命令ACK给服务器，告知服务器，网关已接收到服务器发送的命令；

43)网关执行转码过程1，即将卡应用操作命令数据域的数据通过第二接口发送给健康卡；

44)健康卡将‘健康卡访问响应命令’发送给网关；

45)网关执行转码过程2，即将步骤41)中卡应用操作命令的MSG_ID值和步骤43)中‘健康卡访问响应命令’置于数据域相应位置中，并添加一个命令头信息；

46)网关将转码后形成的卡应用操作响应命令发送给服务器，一次卡应用操作结束。

Images