GM/T 0070-2019 电子保单密码应用技术要求在线下载,免费下载

犐犆犛３５．０４０犔８０中华人民共和国密码行业标准犌犕／犜００７０—２０１９电子保单密码应用技术要求犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋犳狅狉犪狆狆犾犻犮犪狋犻狅狀狊狅犳犮狉狔狆狋狅犵狉犪狆犺狔犻狀犲犾犲犮狋狉狅狀犻犮犻狀狊狌狉犪狀犮犲狆狅犾犻犮狔２０１９０７１２发布２０１９０７１２实施国家密码管理局发布犌犕／犜００７０—２０１９目　　次前言 ………………………………………………………………………………………………………… Ⅰ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　缩略语 …………………………………………………………………………………………………… ２５　电子保单业务的安全需求 ……………………………………………………………………………… ２　５．１　电子保单的业务流程 ……………………………………………………………………………… ２　５．２　安全需求 …………………………………………………………………………………………… ３６　电子保单密码应用技术框架 …………………………………………………………………………… ３７　电子保单管理过程中的密码应用要求 ………………………………………………………………… ５　７．１　电子保单的投保 …………………………………………………………………………………… ５　７．２　电子保单的签发 …………………………………………………………………………………… ５　７．３　电子保单的存储 …………………………………………………………………………………… ５　７．４　电子保单的递送 …………………………………………………………………………………… ６　７．５　电子保单的验证 …………………………………………………………………………………… ６　７．６　电子保单的失效 …………………………………………………………………………………… ６８　电子保单密码技术要求 ………………………………………………………………………………… ６　８．１　密码算法要求 ……………………………………………………………………………………… ６　８．２　密码设备要求 ……………………………………………………………………………………… ７　８．３　密钥管理要求 ……………………………………………………………………………………… ７　８．４　证书管理要求 ……………………………………………………………………………………… ７　８．５　电子保单数字证书要求 …………………………………………………………………………… ７　８．６　电子保单数据格式要求 …………………………………………………………………………… ７犌犕／犜００７０—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准主要起草单位：北京数字认证股份有限公司、数安时代科技股份有限公司、中金金融认证中心有限公司、上海市数字证书认证中心有限公司、江苏意源科技有限公司、北京华大智宝电子系统有限公司、天地融科技股份有限公司。本标准主要起草人：詹榜华、高能、林雪焰、傅大鹏、张永强、邓钊汉、李超、龚怡飞、谢吉华、李静进、刘建坡、邵淼、陈景燕、候宇、张妍。 Ⅰ 犌犕／犜００７０—２０１９电子保单密码应用技术要求１　范围本标准描述了保险行业电子保单业务的密码应用需求，规定了电子保单的投保、签发、存储、验证、递送等电子保单管理主要环节的密码应用技术要求，本标准可为电子保单的密码应用提供指导。本标准适用于电子保单系统的开发和使用。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２０５１８　信息安全技术　公钥基础设施　数字证书格式ＧＢ／Ｔ２０５２０　信息安全技术　公钥基础设施　时间戳规范ＧＢ／Ｔ３２９０５　信息安全技术　ＳＭ３密码杂凑算法ＧＢ／Ｔ３２９０７　信息安全技术　ＳＭ４分组密码算法ＧＢ／Ｔ３２９１８（所有部分）　信息安全技术　ＳＭ２椭圆曲线公钥密码算法ＧＢ／Ｔ３５２７５　信息安全技术　ＳＭ２密码算法加密签名消息语法规范ＧＢ／Ｔ３５２７６　信息安全技术　ＳＭ２密码算法使用规范ＧＭ／Ｔ００３１　安全电子签章密码技术规范ＧＭ／Ｔ００３４　基于ＳＭ２密码算法的证书认证系统密码及其相关安全技术规范３　术语和定义下列术语和定义适用于本文件。３．１　保险人　犻狀狊狌狉犲狉即保险公司，是与投保人订立保险合同，并承担赔偿或者给付保险金责任的单位机构。３．２　投保人　犻狀狊狌狉犪狀犮犲犪狆狆犾犻犮犪狀狋向保险人申请订立保险合同，并负有缴付保险费义务的人。３．３　被保险人　犻狀狊狌狉犲犱其财产或者人身受保险合同保障，享有保险金请求权的人，投保人可以为被保险人。３．４　受益人　犫犲狀犲犳犻犮犻犪狉狔人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人。３．５　依赖方　狉犲犾狔犻狀犵狆犪狉狋狔使用电子保单的电子签名及签名证书进行决策的用户或代理。１犌犕／犜００７０—２０１９３．６　电子保单　犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔保险公司为投保人签发的具有保险公司数字签名的电子化保险合同凭证，法律效力等同于纸质保险单证。３．７　电子投保书　犲犾犲犮狋狉狅狀犻犮犪狆狆犾犻犮犪狋犻狅狀犳狅狉犿投保人为订立保险合同而向保险公司提出的电子要约申请。３．８　犛犕２算法　犛犕２犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９１８定义的一种算法。３．９　犛犕３算法　犛犕３犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９０５定义的一种算法。３．１０　犛犕４算法　犛犕４犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９０７定义的一种算法。３．１１　电子保单失效　犾犪狆狊犲狅犳犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔生效后的电子保单因某种原因而失去其法律效力。４　缩略语下列缩略语适用于本文件。ＣＡ　证书认证机构（ＣｅｒｔｉｆｉｃａｔｅＡｕｔｈｏｒｉｔｙ）ＣＲＬ　撤销列表（ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ）ＨＴＴＰＳ　安全超文本传输协议（ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ）５　电子保单业务的安全需求５．１　电子保单的业务流程通常与电子保单相关的主要保险业务流程，如图１所示，包括投保 — 核保 — 承保 — 理赔等业务。图１　电子保单相关的主要保险业务流程　　ａ）　投保：投保人通过保险公司的网络保险系统填写电子投保书，向保险公司提出保险请求，是电子保单的投保过程。２犌犕／犜００７０—２０１９电子投保过程分为两类：一类是有保险代理人参与的电子投保模式，由代理人利用代理人注册账户登录网络保险系统，协助投保人录入投保申请，并指导投保人、被保险人或受益人完成电子签名，并提交电子投保书；另一类是投保人自助投保，由投保人、被保险人或受益人自行注册并录入投保申请，并生成电子签名确认提交电子投保申请；ｂ）　核保：保险公司对投保申请进行审核，包括电子投保书电子签名有效性、投保申请人身份的真实性、保险条款等内容，并确定保险费率的过程；ｃ）　承保：指保险公司对核保成功并已缴费的投保申请承接，进行电子保单签发、存储、递送等过程；ｄ）　理赔：保险事故发生后，投保人、被保险人依据电子保单向保险公司提出理赔申请，保险公司对电子保单进行验证，并根据保险合同进行赔偿或者给付；ｅ）　常规保险流程：保单信息查询、续期交费等其他的常规保险流程。５．２　安全需求保险合同信息是保险业务中的关键数据，电子保单作为保险合同的数据电文形式存在，为保证电子保单具有与纸质保单相同的法律效力，在电子保单的生成和使用等过程中存在如下安全需求：ａ）　电子保单交易者的身份认证需求： ——— 确认投保人、被保险人等的当事人对投保契约的签字认可； ——— 确保客户获得的电子保单是由用户委托的承担保险责任的保险公司所签发出的。ｂ）　电子保单的机密性需求：保障保险公司的电子保单有关信息在存储、递送等过程中的安全，防止电子保单相关的用户隐私信息在存储或传输过程中被非法窃取。ｃ）　电子保单的完整性需求：需要确保投保人与保险公司所见信息是完全一致，因此要求在电子保单生成、存储、递送过程中，能确保电子保单信息的完整性，不被非法篡改。ｄ）　电子保单的防抵赖性需求：电子保单应能防止事后投保人、被保险人、保险公司等对保险合同的抵赖。６　电子保单密码应用技术框架投保、核保、承保、理赔等保险业务应用层的安全可通过电子保单密码应用技术框架提供密码支撑。电子保单密码应用技术框架示意图，如图２所示。３犌犕／犜００７０—２０１９图２　电子保单密码应用技术框架示意图　　电子保单密码应用技术框架由业务支撑层、密码功能层和基础设施层构成：ａ）　业务支撑层：电子保单业务支撑层，涉及网络保险核心数据电子保单数据及主要管理过程，包括电子保单的投保、签发、验证、存储、递送、失效等环节，通过调用密码功能层实现安全的电子保单管理。ｂ）　密码功能层：密码功能层是处在基础设施层和保险业务应用层之间的中间层，为电子保单业务支撑层提供相关的密码服务功能以保障电子保单的安全。密码功能层是硬件密码模块和密码中间件的集合体，实现以下基本功能： ——— 加／解密功能用于对电子保单中涉及用户隐私，如身份证号、银行卡号、健康状况、生物特征等属于个人敏感信息的加密保护。数据加解密应采用国家密码管理主管部门批准的分组密码算法，如：ＳＭ４等。 ——— 签名／验