书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国密码行业标准 犌犕 ／ 犜 ００７０ — ２０１９ 电子保单密码应用技术要求 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋犳狅狉犪狆狆犾犻犮犪狋犻狅狀狊狅犳犮狉狔狆狋狅犵狉犪狆犺狔犻狀犲犾犲犮狋狉狅狀犻犮犻狀狊狌狉犪狀犮犲狆狅犾犻犮狔 ２０１９  ０７  １２ 发布 ２０１９  ０７  １２ 实施 国家密码管理局 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 电子保单业务的安全需求 ２ ……………………………………………………………………………… 　 ５．１ 　 电子保单的业务流程 ２ ……………………………………………………………………………… 　 ５．２ 　 安全需求 ３ …………………………………………………………………………………………… ６ 　 电子保单密码应用技术框架 ３ …………………………………………………………………………… ７ 　 电子保单管理过程中的密码应用要求 ５ ………………………………………………………………… 　 ７．１ 　 电子保单的投保 ５ …………………………………………………………………………………… 　 ７．２ 　 电子保单的签发 ５ …………………………………………………………………………………… 　 ７．３ 　 电子保单的存储 ５ …………………………………………………………………………………… 　 ７．４ 　 电子保单的递送 ６ …………………………………………………………………………………… 　 ７．５ 　 电子保单的验证 ６ …………………………………………………………………………………… 　 ７．６ 　 电子保单的失效 ６ …………………………………………………………………………………… ８ 　 电子保单密码技术要求 ６ ………………………………………………………………………………… 　 ８．１ 　 密码算法要求 ６ ……………………………………………………………………………………… 　 ８．２ 　 密码设备要求 ７ ……………………………………………………………………………………… 　 ８．３ 　 密钥管理要求 ７ ……………………………………………………………………………………… 　 ８．４ 　 证书管理要求 ７ ……………………………………………………………………………………… 　 ８．５ 　 电子保单数字证书要求 ７ …………………………………………………………………………… 　 ８．６ 　 电子保单数据格式要求 ７ …………………………………………………………………………… Ⅰ 犌犕 ／ 犜 ００７０ — ２０１９前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准主要起草单位 ： 北京数字认证股份有限公司 、 数安时代科技股份有限公司 、 中金金融认证中心有限公司 、 上海市数字证书认证中心有限公司 、 江苏意源科技有限公司 、 北京华大智宝电子系统有限公司 、 天地融科技股份有限公司 。 本标准主要起草人 ： 詹榜华 、 高能 、 林雪焰 、 傅大鹏 、 张永强 、 邓钊汉 、 李超 、 龚怡飞 、 谢吉华 、 李静进 、 刘建坡 、 邵淼 、 陈景燕 、 候宇 、 张妍 。 Ⅲ 犌犕 ／ 犜 ００７０ — ２０１９电子保单密码应用技术要求 １ 　 范围 本标准描述了保险行业电子保单业务的密码应用需求 ， 规定了电子保单的投保 、 签发 、 存储 、 验证 、 递送等电子保单管理主要环节的密码应用技术要求 ， 本标准可为电子保单的密码应用提供指导 。 本标准适用于电子保单系统的开发和使用 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 ， 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２０５１８ 　 信息安全技术 　 公钥基础设施 　 数字证书格式 ＧＢ ／ Ｔ２０５２０ 　 信息安全技术 　 公钥基础设施 　 时间戳规范 ＧＢ ／ Ｔ３２９０５ 　 信息安全技术 　 ＳＭ３ 密码杂凑算法 ＧＢ ／ Ｔ３２９０７ 　 信息安全技术 　 ＳＭ４ 分组密码算法 ＧＢ ／ Ｔ３２９１８ （ 所有部分 ） 　 信息安全技术 　 ＳＭ２ 椭圆曲线公钥密码算法 ＧＢ ／ Ｔ３５２７５ 　 信息安全技术 　 ＳＭ２ 密码算法加密签名消息语法规范 ＧＢ ／ Ｔ３５２７６ 　 信息安全技术 　 ＳＭ２ 密码算法使用规范 ＧＭ ／ Ｔ００３１ 　 安全电子签章密码技术规范 ＧＭ ／ Ｔ００３４ 　 基于 ＳＭ２ 密码算法的证书认证系统密码及其相关安全技术规范 ３ 　 术语和定义 下列术语和定义适用于本文件 。 ３ ． １ 　 保险人 　 犻狀狊狌狉犲狉 即保险公司 ， 是与投保人订立保险合同 ， 并承担赔偿或者给付保险金责任的单位机构 。 ３ ． ２ 　 投保人 　 犻狀狊狌狉犪狀犮犲犪狆狆犾犻犮犪狀狋 向保险人申请订立保险合同 ， 并负有缴付保险费义务的人 。 ３ ． ３ 　 被保险人 　 犻狀狊狌狉犲犱 其财产或者人身受保险合同保障 ， 享有保险金请求权的人 ， 投保人可以为被保险人 。 ３ ． ４ 　 受益人 　 犫犲狀犲犳犻犮犻犪狉狔 人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人 。 ３ ． ５ 　 依赖方 　 狉犲犾狔犻狀犵狆犪狉狋狔 使用电子保单的电子签名及签名证书进行决策的用户或代理 。 １ 犌犕 ／ 犜 ００７０ — ２０１９３ ． ６ 　 电子保单 　 犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔 保险公司为投保人签发的具有保险公司数字签名的电子化保险合同凭证 ， 法律效力等同于纸质保险单证 。 ３ ． ７ 　 电子投保书 　 犲犾犲犮狋狉狅狀犻犮犪狆狆犾犻犮犪狋犻狅狀犳狅狉犿 投保人为订立保险合同而向保险公司提出的电子要约申请 。 ３ ． ８ 　 犛犕 ２ 算法 　 犛犕 ２ 犪犾犵狅狉犻狋犺犿 由 ＧＢ ／ Ｔ３２９１８ 定义的一种算法 。 ３ ． ９ 　 犛犕 ３ 算法 　 犛犕 ３ 犪犾犵狅狉犻狋犺犿 由 ＧＢ ／ Ｔ３２９０５ 定义的一种算法 。 ３ ． １０ 　 犛犕 ４ 算法 　 犛犕 ４ 犪犾犵狅狉犻狋犺犿 由 ＧＢ ／ Ｔ３２９０７ 定义的一种算法 。 ３ ． １１ 　 电子保单失效 　 犾犪狆狊犲狅犳犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔 生效后的电子保单因某种原因而失去其法律效力 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＣＡ 　 证书认证机构 （ ＣｅｒｔｉｆｉｃａｔｅＡｕｔｈｏｒｉｔｙ ） ＣＲＬ 　 撤销列表 （ ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ ） ＨＴＴＰＳ 　 安全超文本传输协议 （ ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ ） ５ 　 电子保单业务的安全需求 ５ ． １ 　 电子保单的业务流程 通常与电子保单相关的主要保险业务流程 ， 如图 １ 所示 ， 包括投保 — 核保 — 承保 — 理赔等业务 。 图 １ 　 电子保单相关的主要保险业务流程 　　 ａ ） 　 投保 ： 投保人通过保险公司的网络保险系统填写电子投保书 ， 向保险公司提出保险请求 ， 是电子保单的投保过程 。 ２ 犌犕 ／ 犜 ００７０ — ２０１９电子投保过程分为两类 ： 一类是有保险代理人参与的电子投保模式 ， 由代理人利用代理人注册账户登录网络保险系统 ， 协助投保人录入投保申请 ， 并指导投保人 、 被保险人或受益人完成电子签名 ， 并提交电子投保书 ； 另一类是投保人自助投保 ， 由投保人 、 被保险人或受益人自行注册并录入投保申请 ， 并生成电子签名确认提交电子投保申请 ； ｂ ） 　 核保 ： 保险公司对投保申请进行审核 ， 包括电子投保书电子签名有效性 、 投保申请人身份的真实性 、 保险条款等内容 ， 并确定保险费率的过程 ； ｃ ） 　 承保 ： 指保险公司对核保成功并已缴费的投保申请承接 ， 进行电子保单签发 、 存储 、 递送等过程 ； ｄ ） 　 理赔 ： 保险事故发生后 ， 投保人 、 被保险人依据电子保单向保险公司提出理赔申请 ， 保险公司对电子保单进行验证 ， 并根据保险合同进行赔偿或者给付 ； ｅ ） 　 常规保险流程 ： 保单信息查询 、 续期交费等其他的常规保险流程 。 ５ ． ２ 　 安全需求 保险合同信息是保险业务中的关键数据 ， 电子保单作为保险合同的数据电文形式存在 ， 为保证电子保单具有与纸质保单相同的法律效力 ， 在电子保单的生成和使用等过程中存在如下安全需求 ： ａ ） 　 电子保单交易者的身份认证需求 ： ——— 确认投保人 、 被保险人等的当事人对投保契约的签字认可 ； ——— 确保客户获得的电子保单是由用户委托的承