犐犆犛35.040 犔80 中华人民共和国密码行业标准 犌犕/犜0070—2019 电子保单密码应用技术要求 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋犳狅狉犪狆狆犾犻犮犪狋犻狅狀狊狅犳犮狉狔狆狋狅犵狉犪狆犺狔 犻狀犲犾犲犮狋狉狅狀犻犮犻狀狊狌狉犪狀犮犲狆狅犾犻犮狔 20190712 发布 20190712 实施 国家密码管理局 发 布 犌犕/犜0070—2019 目    次 前言 ………………………………………………………………………………………………………… Ⅰ 1  范围 ……………………………………………………………………………………………………… 1 2  规范性引用文件 ………………………………………………………………………………………… 1 3  术语和定义 ……………………………………………………………………………………………… 1 4  缩略语 …………………………………………………………………………………………………… 2 5  电子保单业务的安全需求 ……………………………………………………………………………… 2  5.1  电子保单的业务流程 ……………………………………………………………………………… 2  5.2  安全需求 …………………………………………………………………………………………… 3 6  电子保单密码应用技术框架 …………………………………………………………………………… 3 7  电子保单管理过程中的密码应用要求 ………………………………………………………………… 5  7.1  电子保单的投保 …………………………………………………………………………………… 5  7.2  电子保单的签发 …………………………………………………………………………………… 5  7.3  电子保单的存储 …………………………………………………………………………………… 5  7.4  电子保单的递送 …………………………………………………………………………………… 6  7.5  电子保单的验证 …………………………………………………………………………………… 6  7.6  电子保单的失效 …………………………………………………………………………………… 6 8  电子保单密码技术要求 ………………………………………………………………………………… 6  8.1  密码算法要求 ……………………………………………………………………………………… 6  8.2  密码设备要求 ……………………………………………………………………………………… 7  8.3  密钥管理要求 ……………………………………………………………………………………… 7  8.4  证书管理要求 ……………………………………………………………………………………… 7  8.5  电子保单数字证书要求 …………………………………………………………………………… 7  8.6  电子保单数据格式要求 …………………………………………………………………………… 7 犌犕/犜0070—2019 前    言    本标准按照 GB/T1.1—2009 给出的规则起草 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准主要起草单位 :北京数字认证股份有限公司 、数安时代科技股份有限公司 、中金金融认证中 心有限公司 、上海市数字证书认证中心有限公司 、江苏意源科技有限公司 、北京华大智宝电子系统有限 公司 、天地融科技股份有限公司 。 本标准主要起草人 :詹榜华 、高能 、林雪焰 、傅大鹏 、张永强 、邓钊汉 、李超 、龚怡飞 、谢吉华 、李静进 、 刘建坡 、邵淼 、陈景燕 、候宇 、张妍 。 Ⅰ 犌犕/犜0070—2019 电子保单密码应用技术要求 1  范围 本标准描述了保险行业电子保单业务的密码应用需求 ,规定了电子保单的投保 、签发 、存储 、验证 、 递送等电子保单管理主要环节的密码应用技术要求 ,本标准可为电子保单的密码应用提供指导 。 本标准适用于电子保单系统的开发和使用 。 2  规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ,仅注日期的版本适用于本文 件 ,凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。 GB/T20518  信息安全技术   公钥基础设施   数字证书格式 GB/T20520  信息安全技术   公钥基础设施   时间戳规范 GB/T32905  信息安全技术  SM3 密码杂凑算法 GB/T32907  信息安全技术  SM4 分组密码算法 GB/T32918(所有部分)  信息安全技术  SM2 椭圆曲线公钥密码算法 GB/T35275  信息安全技术  SM2 密码算法加密签名消息语法规范 GB/T35276  信息安全技术  SM2 密码算法使用规范 GM/T0031  安全电子签章密码技术规范 GM/T0034  基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范 3  术语和定义 下列术语和定义适用于本文件 。 3.1  保险人  犻狀狊狌狉犲狉 即保险公司 ,是与投保人订立保险合同 ,并承担赔偿或者给付保险金责任的单位机构 。 3.2  投保人  犻狀狊狌狉犪狀犮犲犪狆狆犾犻犮犪狀狋 向保险人申请订立保险合同 ,并负有缴付保险费义务的人 。 3.3  被保险人  犻狀狊狌狉犲犱 其财产或者人身受保险合同保障 ,享有保险金请求权的人 ,投保人可以为被保险人 。 3.4  受益人  犫犲狀犲犳犻犮犻犪狉狔 人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人 。 3.5  依赖方  狉犲犾狔犻狀犵狆犪狉狋狔 使用电子保单的电子签名及签名证书进行决策的用户或代理 。 1 犌犕/犜0070—2019 3.6  电子保单  犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔 保险公司为投保人签发的具有保险公司数字签名的电子化保险合同凭证 ,法律效力等同于纸质保 险单证 。 3.7  电子投保书  犲犾犲犮狋狉狅狀犻犮犪狆狆犾犻犮犪狋犻狅狀犳狅狉犿 投保人为订立保险合同而向保险公司提出的电子要约申请 。 3.8  犛犕2 算法  犛犕2犪犾犵狅狉犻狋犺犿 由 GB/T32918 定义的一种算法 。 3.9  犛犕3 算法  犛犕3犪犾犵狅狉犻狋犺犿 由 GB/T32905 定义的一种算法 。 3.10  犛犕4 算法  犛犕4犪犾犵狅狉犻狋犺犿 由 GB/T32907 定义的一种算法 。 3.11  电子保单失效  犾犪狆狊犲狅犳犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔 生效后的电子保单因某种原因而失去其法律效力 。 4  缩略语 下列缩略语适用于本文件 。 CA  证书认证机构(CertificateAuthority) CRL  撤销列表(CertificateRevocationList) HTTPS  安全超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer) 5  电子保单业务的安全需求 5.1  电子保单的业务流程 通常与电子保单相关的主要保险业务流程 ,如图 1 所示 ,包括投保 — 核保 — 承保 — 理赔等业务 。 图 1  电子保单相关的主要保险业务流程   a)  投保 :投保人通过保险公司的网络保险系统填写电子投保书 ,向保险公司提出保险请求 ,是电 子保单的投保过程 。 2 犌犕/犜0070—2019 电子投保过程分为两类 :一类是有保险代理人参与的电子投保模式 ,由代理人利用代理人 注册账户登录网络保险系统 ,协助投保人录入投保申请 ,并指导投保人 、被保险人或受益人完 成电子签名 ,并提交电子投保书 ;另一类是投保人自助投保 ,由投保人 、被保险人或受益人自行 注册并录入投保申请 ,并生成电子签名确认提交电子投保申请 ; b) 核保 :保险公司对投保申请进行审核 ,包括电子投保书电子签名有效性 、投保申请人身份的真 实性 、保险条款等内容 ,并确定保险费率的过程 ; c)  承保 :指保险公司对核保成功并已缴费的投保申请承接 ,进行电子保单签发 、存储 、递送等 过程 ; d) 理赔 :保险事故发生后 ,投保人 、被保险人依据电子保单向保险公司提出理赔申请 ,保险公司对 电子保单进行验证 ,并根据保险合同进行赔偿或者给付 ; e)  常规保险流程 :保单信息查询 、续期交费等其他的常规保险流程 。 5.2  安全需求 保险合同信息是保险业务中的关键数据 ,电子保单作为保险合同的数据电文形式存在 ,为保证电子 保单具有与纸质保单相同的法律效力 ,在电子保单的生成和使用等过程中存在如下安全需求 : a)  电子保单交易者的身份认证需求 : ——— 确认投保人 、被保险人等的当事人对投保契约的签字认可 ; ——— 确保客户获得的电子保单是由用户委托的承担保险责任的保险公司所签发出的 。 b) 电子保单的机密性需求 :保障保险公司的电子保单有关信息在存储 、递送等过程中的安全 ,防 止电子保单相关的用户隐私信息在存储或传输过程中被非法窃取 。 c)  电子保单的完整性需求 :需要确保投保人与保险公司所见信息是完全一致 ,因此要求在电子保 单生成 、存储 、递送过程中 ,能确保电子保单信息的完整性 ,不被非法篡改 。 d) 电子保单的防抵赖性需求 :电子保单应能防止事后投保人 、被保险人 、保险公司等对保险合同 的抵赖 。 6  电子保单密码应用技术框架 投保 、核保 、承保 、理赔等保险业务应用层的安全可通过电子保单密码应用技术框架提供密码支撑 。 电子保单密码应用技术框架示意图 ,如图 2 所示 。 3 犌犕/犜0070—2019 图 2  电子保单密码应用技术框架示意图    电子保单密码应用技术框架由业务支撑层 、密码功能层和基础设施层构成 : a)  业务支撑层 :电子保单业务支撑层 ,涉及网络保险核心数据电子保单数据及主要管理过程 ,包 括电子保单的投保 、签发 、验证 、存储 、递送 、失效等环节 ,通过调用密码功能层实现安全的电子 保单管理 。 b) 密码功能层 :密码功能层是处在基础设施层和保险业务应用层之间的中间层 ,为电子保单业务 支撑层提供相关的密码服务功能以保障电子保单的安全 。 密码功能层是硬件密码模块和密码中间件的集合体 ,实现以下基本功能 : ——— 加/解密功能 用于对电子保单中涉及用户隐私 ,如身份证号 、银行卡号 、健康状况 、生物特征等属于个人敏感信息 的加密保护 。 数据加解密应采用国家密码管理主管部门批准的分组密码算法 ,如 :SM4 等 。 ——— 签名/验

pdf文档 GM/T 0070-2019 电子保单密码应用技术要求

文档预览
中文文档 10 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共10页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GM/T 0070-2019 电子保单密码应用技术要求 第 1 页 GM/T 0070-2019 电子保单密码应用技术要求 第 2 页 GM/T 0070-2019 电子保单密码应用技术要求 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-14 08:55:43上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言