附录KCA数字证书相关应用流程K.1CA安全认证体系K.1.1体系框架交通运输部密钥管理与安全认证系统采用集中建设模式,并作为收费公路管理与服务领域的信任源头统一为各省结算中心及跨区域结算中心(适用于有跨省(市)联网电子收费结算中心的情况)提供证书发放和证书生命周期管理。具体CA认证体系框架见图K-1:密码机密码机图K-1CA认证体系框架K.1.2整数类型数字签名证书的应用主要是解决各省结算中心节点间的信息加解密和抗抵赖安全需求,因此,本应用主要发放的证书为各省签名服务器设备证书,具体证书类型如下:1设备证书:标识各省签名服务器可信身份的设备证书;2个人身份证书:表示将来需要登录业务系统进行安全认证的用户证书。本附录不着重描述个人身份证书的相关说明。考虑到设备证书的安全级别较高,省结算中心机构长期稳定,避免由于证书更新带来额外的工作量,建议设备证书采用较长时间的证书有效期,如35年期。K.2数字证书管理关键业务流程证书发放管理包括证书申请、证书下载、证书更新、证书冻结、证书注销。为了加强认识体系的安全性,部CA系统提供的上述
