书书书犐 犆 犛３ ５．０ ４ ０犔８ ０ 中华人民共和国密码行业标准 犌犕／犜０ ０ ７ ０—２ ０ １ ９ 电子保单密码应用技术要求 犜 犲 犮 犺 狀 犻 犮 犪 犾 狉 犲 狇狌 犻 狉 犲 犿 犲 狀 狋 犳 狅 狉犪 狆 狆犾 犻 犮 犪 狋 犻 狅 狀 狊狅 犳犮 狉 狔 狆狋 狅犵狉 犪狆犺狔犻 狀犲 犾 犲 犮 狋 狉 狅 狀 犻 犮 犻 狀 狊 狌 狉 犪 狀 犮 犲 狆狅 犾 犻 犮狔 ２ ０ １ ９０ ７１ ２发布 ２ ０ １ ９０ ７１ ２实施 国家密码管理局 发 布书书书目　　次 前言 Ⅲ ………………………………………………………………………………………………………… １　范围 １ ……………………………………………………………………………………………………… ２　规范性引用文件 １ ………………………………………………………………………………………… ３　术语和定义 １ ……………………………………………………………………………………………… ４　缩略语 ２ …………………………………………………………………………………………………… ５　电子保单业务的安全需求 ２ ……………………………………………………………………………… 　５． １　电子保单的业务流程 ２ ……………………………………………………………………………… 　５． ２　安全需求 ３ …………………………………………………………………………………………… ６　电子保单密码应用技术框架 ３ …………………………………………………………………………… ７　电子保单管理过程中的密码应用要求 ５ ………………………………………………………………… 　７． １　电子保单的投保 ５ …………………………………………………………………………………… 　７． ２　电子保单的签发 ５ …………………………………………………………………………………… 　７． ３　电子保单的存储 ５ …………………………………………………………………………………… 　７． ４　电子保单的递送 ６ …………………………………………………………………………………… 　７． ５　电子保单的验证 ６ …………………………………………………………………………………… 　７． ６　电子保单的失效 ６ …………………………………………………………………………………… ８　电子保单密码技术要求 ６ ………………………………………………………………………………… 　８． １　密码算法要求 ６ ……………………………………………………………………………………… 　８． ２　密码设备要求 ７ ……………………………………………………………………………………… 　８． ３　密钥管理要求 ７ ……………………………………………………………………………………… 　８． ４　证书管理要求 ７ ……………………………………………………………………………………… 　８． ５　电子保单数字证书要求 ７ …………………………………………………………………………… 　８． ６　电子保单数据格式要求 ７ …………………………………………………………………………… Ⅰ犌犕／犜０ ０ ７ ０—２ ０ １ ９前　　言 　　本标准按照 Ｇ Ｂ／Ｔ１． １—２ ０ ０ ９给出的规则起草 。本标准由密码行业标准化技术委员会提出并归口 。本标准主要起草单位 ：北京数字认证股份有限公司 、数安时代科技股份有限公司 、中金金融认证中心有限公司 、上海市数字证书认证中心有限公司 、江苏意源科技有限公司 、北京华大智宝电子系统有限公司、天地融科技股份有限公司 。本标准主要起草人 ：詹榜华、高能、林雪焰、傅大鹏、张永强、邓钊汉、李超、龚怡飞、谢吉华、李静进、刘建坡、邵淼、陈景燕、候宇、张妍。 Ⅲ犌犕／犜０ ０ ７ ０—２ ０ １ ９电子保单密码应用技术要求 １　范围 本标准描述了保险行业电子保单业务的密码应用需求 ，规定了电子保单的投保 、签发、存储、验证、递送等电子保单管理主要环节的密码应用技术要求 ，本标准可为电子保单的密码应用提供指导 。本标准适用于电子保单系统的开发和使用 。 ２　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅注日期的版本适用于本文件，凡是不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本文件 。 Ｇ Ｂ／Ｔ２ ０ ５ １ ８ 　信息安全技术 　公钥基础设施 　数字证书格式 Ｇ Ｂ／Ｔ２ ０ ５ ２ ０ 　信息安全技术 　公钥基础设施 　时间戳规范 Ｇ Ｂ／Ｔ３ ２ ９ ０ ５ 　信息安全技术 　ＳＭ ３密码杂凑算法 Ｇ Ｂ／Ｔ３ ２ ９ ０ ７ 　信息安全技术 　ＳＭ ４分组密码算法 Ｇ Ｂ／Ｔ３ ２ ９ １ ８ （所有部分 ）　信息安全技术 　ＳＭ ２椭圆曲线公钥密码算法 Ｇ Ｂ／Ｔ３ ５ ２ ７ ５ 　信息安全技术 　ＳＭ ２密码算法加密签名消息语法规范 Ｇ Ｂ／Ｔ３ ５ ２ ７ ６ 　信息安全技术 　ＳＭ ２密码算法使用规范 ＧＭ／Ｔ０ ０ ３ １　安全电子签章密码技术规范 ＧＭ／Ｔ０ ０ ３ ４　基于ＳＭ ２密码算法的证书认证系统密码及其相关安全技术规范 ３　术语和定义 下列术语和定义适用于本文件 。 ３．１　保险人　犻 狀 狊 狌 狉 犲 狉即保险公司 ，是与投保人订立保险合同 ，并承担赔偿或者给付保险金责任的单位机构 。 ３．２　投保人　犻 狀 狊 狌 狉 犪 狀 犮 犲犪 狆 狆犾 犻 犮 犪 狀 狋向保险人申请订立保险合同 ，并负有缴付保险费义务的人 。 ３．３　被保险人 　犻 狀 狊 狌 狉 犲 犱其财产或者人身受保险合同保障 ，享有保险金请求权的人 ，投保人可以为被保险人 。 ３．４　受益人　犫 犲 狀 犲 犳 犻 犮 犻 犪 狉 狔人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人 。 ３．５　依赖方　狉 犲 犾狔犻 狀犵狆犪 狉 狋狔使用电子保单的电子签名及签名证书进行决策的用户或代理 。 １犌犕／犜０ ０ ７ ０—２ ０ １ ９３．６　电子保单 　犲 犾 犲 犮 狋 狉 狅 狀 犻 犮 狆狅 犾 犻 犮狔保险公司为投保人签发的具有保险公司数字签名的电子化保险合同凭证 ，法律效力等同于纸质保险单证。 ３．７　电子投保书 　犲 犾 犲 犮 狋 狉 狅 狀 犻 犮犪 狆 狆犾 犻 犮 犪 狋 犻 狅 狀犳 狅 狉 犿投保人为订立保险合同而向保险公司提出的电子要约申请 。 ３．８　犛 犕２算法　犛 犕２犪 犾犵狅 狉 犻 狋 犺 犿由Ｇ Ｂ／Ｔ３ ２ ９ １ ８ 定义的一种算法 。 ３．９　犛 犕３算法　犛 犕３犪 犾犵狅 狉 犻 狋 犺 犿由Ｇ Ｂ／Ｔ３ ２ ９ ０ ５ 定义的一种算法 。 ３．１ ０　犛 犕４算法　犛 犕４犪 犾犵狅 狉 犻 狋 犺 犿由Ｇ Ｂ／Ｔ３ ２ ９ ０ ７ 定义的一种算法 。 ３．１ １　电子保单失效 　犾 犪狆狊 犲狅 犳犲 犾 犲 犮 狋 狉 狅 狀 犻 犮 狆狅 犾 犻 犮狔生效后的电子保单因某种原因而失去其法律效力 。 ４　缩略语 下列缩略语适用于本文件 。 ＣＡ　证书认证机构 （Ｃ ｅ ｒ ｔ ｉ ｆ ｉ ｃ ａ ｔ ｅＡ ｕ ｔ ｈ ｏ ｒ ｉ ｔ ｙ） Ｃ Ｒ Ｌ　撤销列表 （Ｃ ｅ ｒ ｔ ｉ ｆ ｉ ｃ ａ ｔ ｅＲ ｅ ｖ ｏ ｃ ａ ｔ ｉ ｏ ｎＬ ｉ ｓ ｔ ） ＨＴＴ Ｐ Ｓ 　安全超文本传输协议 （Ｈｙ ｐｅ ｒＴ ｅ ｘ ｔＴ ｒ ａ ｎ ｓ ｆ ｅ ｒＰ ｒ ｏ ｔ ｏ ｃ ｏ ｌｏ ｖ ｅ ｒＳ ｅ ｃ ｕ ｒ ｅＳ ｏ ｃ ｋ ｅ ｔＬ ａ ｙｅ ｒ） ５　电子保单业务的安全需求 ５．１　电子保单的业务流程 通常与电子保单相关的主要保险业务流程 ，如图１所示，包括投保 —核保—承保—理赔等业务 。 图１　电子保单相关的主要保险业务流程 　　ａ）　投保：投保人通过保险公司的网络保险系统填写电子投保书 ，向保险公司提出保险请求 ，是电子保单的投保过程 。 ２犌犕／犜０ ０ ７ ０—２ ０ １ ９电子投保过程分为两类 ：一类是有保险代理人参与的电子投保模式 ，由代理人利用代理人注册账户登录网络保险系统 ，协助投保人录入投保申请 ，并指导投保人 、被保险人或受益人完成电子签名 ，并提交电子投保书 ；另一类是投保人自助投保 ，由投保人 、被保险人或受益人自行注册并录入投保申请 ，并生成电子签名确认提交电子投保申请 ； ｂ）　核保：保险公司对投保申请进行审核 ，包括电子投保书电子签名有效性 、投保申请人身份的真实性、保险条款等内容 ，并确定保险费率的过程 ； ｃ）　承保：指保险公司对核保成功并已缴费的投保申请承接 ，进行电子保单签发 、存储、递送等过程； ｄ）　理赔：保险事故发生后 ，投保人、被保险人依据电子保单向保险公司提出理赔申请 ，保险公司对电子保单进行验证 ，并根据保险合同进行赔偿或者给付 ； ｅ）　常规保险流程 ：保单信息查询 、续期交费等其他的常规保险流程 。 ５．２　安全需求 保险合同信息是保险业务中的关键数据 ，电子保单作为保险合同的数据电文形式存在 ，为保证电子保单具有与纸质保单相同的法律效力 ，在电子保单的生成和使用等过程中存在如下安全需求 ： ａ）　电子保单交易者的身份认证需求 ： — — —确认投保人 、被保险人等的当事人对投保契约的签字认可 ； — — —确保客户获得的电子保单是由用户委托的承担保险责任的保险公司所签发出的 。 ｂ）　电子保单的机密性需求 ：保障保