GM∕T 0070-2019 电子保单密码应用技术要求

书书书犐犆犛３５．０４０犔８０中华人民共和国密码行业标准犌犕／犜００７０—２０１９电子保单密码应用技术要求犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋犳狅狉犪狆狆犾犻犮犪狋犻狅狀狊狅犳犮狉狔狆狋狅犵狉犪狆犺狔犻狀犲犾犲犮狋狉狅狀犻犮犻狀狊狌狉犪狀犮犲狆狅犾犻犮狔２０１９０７１２发布２０１９０７１２实施国家密码管理局发布书书书目　　次前言Ⅲ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　缩略语２……………………………………………………………………………………………………５　电子保单业务的安全需求２………………………………………………………………………………　５．１　电子保单的业务流程２………………………………………………………………………………　５．２　安全需求３……………………………………………………………………………………………６　电子保单密码应用技术框架３……………………………………………………………………………７　电子保单管理过程中的密码应用要求５…………………………………………………………………　７．１　电子保单的投保５……………………………………………………………………………………　７．２　电子保单的签发５……………………………………………………………………………………　７．３　电子保单的存储５……………………………………………………………………………………　７．４　电子保单的递送６……………………………………………………………………………………　７．５　电子保单的验证６……………………………………………………………………………………　７．６　电子保单的失效６……………………………………………………………………………………８　电子保单密码技术要求６…………………………………………………………………………………　８．１　密码算法要求６………………………………………………………………………………………　８．２　密码设备要求７………………………………………………………………………………………　８．３　密钥管理要求７………………………………………………………………………………………　８．４　证书管理要求７………………………………………………………………………………………　８．５　电子保单数字证书要求７……………………………………………………………………………　８．６　电子保单数据格式要求７……………………………………………………………………………Ⅰ犌犕／犜００７０—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准主要起草单位：北京数字认证股份有限公司、数安时代科技股份有限公司、中金金融认证中心有限公司、上海市数字证书认证中心有限公司、江苏意源科技有限公司、北京华大智宝电子系统有限公司、天地融科技股份有限公司。本标准主要起草人：詹榜华、高能、林雪焰、傅大鹏、张永强、邓钊汉、李超、龚怡飞、谢吉华、李静进、刘建坡、邵淼、陈景燕、候宇、张妍。Ⅲ犌犕／犜００７０—２０１９电子保单密码应用技术要求１　范围本标准描述了保险行业电子保单业务的密码应用需求，规定了电子保单的投保、签发、存储、验证、递送等电子保单管理主要环节的密码应用技术要求，本标准可为电子保单的密码应用提供指导。本标准适用于电子保单系统的开发和使用。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２０５１８　信息安全技术　公钥基础设施　数字证书格式ＧＢ／Ｔ２０５２０　信息安全技术　公钥基础设施　时间戳规范ＧＢ／Ｔ３２９０５　信息安全技术　ＳＭ３密码杂凑算法ＧＢ／Ｔ３２９０７　信息安全技术　ＳＭ４分组密码算法ＧＢ／Ｔ３２９１８（所有部分）　信息安全技术　ＳＭ２椭圆曲线公钥密码算法ＧＢ／Ｔ３５２７５　信息安全技术　ＳＭ２密码算法加密签名消息语法规范ＧＢ／Ｔ３５２７６　信息安全技术　ＳＭ２密码算法使用规范ＧＭ／Ｔ００３１　安全电子签章密码技术规范ＧＭ／Ｔ００３４　基于ＳＭ２密码算法的证书认证系统密码及其相关安全技术规范３　术语和定义下列术语和定义适用于本文件。３．１　保险人　犻狀狊狌狉犲狉即保险公司，是与投保人订立保险合同，并承担赔偿或者给付保险金责任的单位机构。３．２　投保人　犻狀狊狌狉犪狀犮犲犪狆狆犾犻犮犪狀狋向保险人申请订立保险合同，并负有缴付保险费义务的人。３．３　被保险人　犻狀狊狌狉犲犱其财产或者人身受保险合同保障，享有保险金请求权的人，投保人可以为被保险人。３．４　受益人　犫犲狀犲犳犻犮犻犪狉狔人身保险合同中由被保险人或者投保人指定的享有保险金请求权的人。３．５　依赖方　狉犲犾狔犻狀犵狆犪狉狋狔使用电子保单的电子签名及签名证书进行决策的用户或代理。１犌犕／犜００７０—２０１９３．６　电子保单　犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔保险公司为投保人签发的具有保险公司数字签名的电子化保险合同凭证，法律效力等同于纸质保险单证。３．７　电子投保书　犲犾犲犮狋狉狅狀犻犮犪狆狆犾犻犮犪狋犻狅狀犳狅狉犿投保人为订立保险合同而向保险公司提出的电子要约申请。３．８　犛犕２算法　犛犕２犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９１８定义的一种算法。３．９　犛犕３算法　犛犕３犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９０５定义的一种算法。３．１０　犛犕４算法　犛犕４犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９０７定义的一种算法。３．１１　电子保单失效　犾犪狆狊犲狅犳犲犾犲犮狋狉狅狀犻犮狆狅犾犻犮狔生效后的电子保单因某种原因而失去其法律效力。４　缩略语下列缩略语适用于本文件。ＣＡ　证书认证机构（ＣｅｒｔｉｆｉｃａｔｅＡｕｔｈｏｒｉｔｙ）ＣＲＬ　撤销列表（ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ）ＨＴＴＰＳ　安全超文本传输协议（ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ）５　电子保单业务的安全需求５．１　电子保单的业务流程通常与电子保单相关的主要保险业务流程，如图１所示，包括投保—核保—承保—理赔等业务。图１　电子保单相关的主要保险业务流程　　ａ）　投保：投保人通过保险公司的网络保险系统填写电子投保书，向保险公司提出保险请求，是电子保单的投保过程。２犌犕／犜００７０—２０１９电子投保过程分为两类：一类是有保险代理人参与的电子投保模式，由代理人利用代理人注册账户登录网络保险系统，协助投保人录入投保申请，并指导投保人、被保险人或受益人完成电子签名，并提交电子投保书；另一类是投保人自助投保，由投保人、被保险人或受益人自行注册并录入投保申请，并生成电子签名确认提交电子投保申请；ｂ）　核保：保险公司对投保申请进行审核，包括电子投保书电子签名有效性、投保申请人身份的真实性、保险条款等内容，并确定保险费率的过程；ｃ）　承保：指保险公司对核保成功并已缴费的投保申请承接，进行电子保单签发、存储、递送等过程；ｄ）　理赔：保险事故发生后，投保人、被保险人依据电子保单向保险公司提出理赔申请，保险公司对电子保单进行验证，并根据保险合同进行赔偿或者给付；ｅ）　常规保险流程：保单信息查询、续期交费等其他的常规保险流程。５．２　安全需求保险合同信息是保险业务中的关键数据，电子保单作为保险合同的数据电文形式存在，为保证电子保单具有与纸质保单相同的法律效力，在电子保单的生成和使用等过程中存在如下安全需求：ａ）　电子保单交易者的身份认证需求：———确认投保人、被保险人等的当事人对投保契约的签字认可；———确保客户获得的电子保单是由用户委托的承担保险责任的保险公司所签发出的。ｂ）　电子保单的机密性需求：保障保险公司的电子保单有关信息在存储、递送等过程中的安全，防止电子保单相关的用户隐私信息在存储或传输过程中被非法窃取。ｃ）　电子保单的完整性需求：需要确保投保人与保险公司所见信息是完全一致，因此要求在电子保单生成、存储、递送过程中，能确保电子保单信息的完整性，不被非法篡改。ｄ）　电子保单的防抵赖性需求：电子保单应能防止事后投保人、被保险人、保险公司等对保险合同的抵赖。６　电子保单密码应用技术框架投保、核保、承保、理赔等保险业务应用层的安全可通过电子保单密码应用技术框架提供密码支撑。电子保单密码应用技术框架示意图，如图２所示。３犌犕／犜００７０—２０１９图２　电子保单密码应用技术框架示意图　　电子保单密码应用技术框架由业务支撑层、密码功能层和基础设施层构成：ａ）　业务支撑层：电子保单业务支撑层，涉及网络保险核心数据电子保单数据及主要管理过程，包括电子保单的投保、签发、验证、存储、递送、失效等环节，通过调用密码功能层实现安全的电子保单管理。ｂ）　密码功能层：密码功能层是处在基础设施层和保险业务应用层之间的中间层，为电子保单业务支撑层提供相关的密码服务功能以保障电子保单的安全。密码功能层是硬件密码模块和密码中间件的集合体，实现以下基本功能：———加／解密功能用于对电子保单中涉及用户隐私，如身份证号、银行卡号、健康状况、生物特征等属于个人敏感信息的加密保护。数据加解密应采用国家密码管理主管部门批准的分组密码算法，如：ＳＭ４等。———签名／验证功能实施对电子投保书、电子保单等关键数据的数字签名与验证。数字签名与验证是电子保单应用的关键密码技术，应采用国家密码管理主管部门批准的公钥密码算法（如ＳＭ２）和杂凑算法（如ＳＭ３）。———密钥管理功能保险公司利用ＣＡ颁发的企业数字证书对电子保单进行数字签名，因此保险公司需要对自己的签名私钥的产生、存储、使用、归档等进行严格的密钥管理。———身份认证功能在电子保单的使用中，投保人或依赖方需要验证保单的真伪，对电子保单的签发者进行身份认证，确认是由用户信任的承担保险责任的保险公司所签发，而不是假冒保险公司名义签发的。———电子签章功能为了符合用户传统使用习惯，电子保单通常应都具有加盖保险公司的电子公章的业务要求，为了便４犌犕／犜００７０—２０１９于查看、验证和打印，需要采用电子签章功能。保险公司利用ＣＡ颁发的企业数字证书，结合保险公司电子印章，通过数字签名实现电子签章，生成安全电子保单。用户在使用电子保单时，要对电子签章进行验证。———时间戳功能采用时间戳证明保险公司的证书及电子保单数字签名在签署生成时间点的有效性。时间戳以是一个字符序列形式显示，用于标识电子保单签发的精确日期和时间。时间戳应包含时间戳服务提供方的数字签名。ｃ）　基础设施层：由数字证书认证机构为电子保单提供第三方电子认证服务的基础层。７　电子保单管理过程中的密码应用要求７．１　电子保单的投保电子保单签订之前，投保人先向保险公司提交电子投保申请，确认投保意向。投保过程应满足以下要求：ａ）　投保人、被保险人或受益人，或代理人在保险业务系统客户端完成电子投保书阅读，确认投保，在电子投保书上的指定位置处进行手写签名。ｂ）　保险业务系统客户端应采集签名者的手写签名笔迹信息、声音、影像等数据，形成投保行为证据链，并将上述证据链、签名者用户信息、电子投保书杂凑值向ＣＡ提交数字证书请求。ＣＡ完成签名者身份核验，颁发数字证书。同时保险业务系统客户端利用该数字证书私钥完成电子投保申请的数字签名，从而实现投保人身份认证与本次投保签名行为有效绑定。ｃ）　对上述已签名的电子投保书加盖时间戳。ｄ）　业务系统应根据业务安全需要对投保过程中的敏感信息采用加密措施保障其传输、存储、使用等过程安全。ｅ）　保险业务系统收到电子投保书，应对电子投保书数字签名有效性进行验证。７．２　电子保单的签发投保人电子投保完成并缴费核保通过之后，业务系统就