DB32-T 2888.3-2016江苏省国家教育考试标准化考点建设技术标准 第3部分-考生身份验证系统-（高清现行）

1、ICS 35.240L77备案号：49014-2016DB32江苏省地方标准DB32/T 2888.3-2016江苏省国家教育考试标准化考点建设技术标准 第 3 部分:考生身份验证系统Jiangsu Province National Education Examination Test Standardization Construction Technology Standards Part 3 : Examinee Identity Authentication System2016 - 03 - 10 发布2016 - 04 - 10 实施江苏省质量技术监督局发 布DB32/T 288

2、8.3-2016目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 范围1 HYPERLINK l _bookmark2 规范性引用文件1 HYPERLINK l _bookmark3 术语和定义1 HYPERLINK l _bookmark4 技术要求2 HYPERLINK l _bookmark5 系统架构2 HYPERLINK l _bookmark6 系统设计要求2 HYPERLINK l _bookmark7 考生身份采集验证终端硬件2 HYPERLINK l _bookmark8 考生身份验证系统软件平台3 HYPERLINK

3、 l _bookmark9 安全性要求4 HYPERLINK l _bookmark10 物理安全4 HYPERLINK l _bookmark11 运行安全4 HYPERLINK l _bookmark12 信息安全5 HYPERLINK l _bookmark13 通信和网络安全5 HYPERLINK l _bookmark14 可靠性要求5前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。江苏省国家教育考试标准化考点建设技术标准分为六个部分：第1部分：总则第2部分：考试综合业务系统第3部分：考生身份验证系统第4部分：作弊防控系统第5部分：视

4、频及网络监控系统第6部分：应急指挥系统本部分为DB32/T 2888-2016江苏省国家教育考试标准化考点建设技术标准的第3部分。本部分由江苏省教育考试院提出并归口。本部分起草单位：江苏省教育考试院、南京市产品质量监督检验院、江苏苏测软件检测技术有限公司。本部分主要起草人：王婧宇、蔡虹、谢佩章、龚伟、高玮、谭雄飞、荣鼎慧、陈亚。DB32/ T 2888.32016 PAGE 6江苏省国家教育考试标准化考点建设技术标准第 3 部分 考生身份验证系统范围本标准规定了江苏省国家教育考试标准化考点建设中考生身份验证系统的技术要求、安全性要求、可靠性要求。本标准适用于江苏省国家教育考试标准化考点建设中考

5、生身份验证系统。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA 449 居民身份证术语GA 773 指纹自动识别术语GA/T390计算机信息系统安全等级保护通用技术要求GA/T625活体指纹图像采集技术规范GA/T893安防生物特征识别应用术语GA/T1011居民身份证指纹采集器通用技术要求术语和定义GA 449、GA/T 625、GA 773、GA/T 893、GA/T 1011、GA/T 390界定的以及下列术语和定义适用于本文件3.1注 册 enrolment

6、考生报名登记其身份证信息、指纹信息，采集指纹图像，提取图像特征并存储的过程。3.2注册成功 enrolment success考生报名登记身份证信息、指纹信息，采集的身份证信息全面，指纹图像特征符合提取要求。3.3注册失败 enrolment failure考生报名登记身份证信息、指纹信息，采集的身份证信息不完整或指纹图像特征不符合提取要求。技术要求系统架构考生身份验证系统建设结构由前端考生身份采集验证终端硬件和相关考生身份验证系统软件平台两大部分组成。系统设计要求安全性系统支持数据加密，充分保证数据导入导出的传输安全性。对系统采取必要的安全保护措施，防止非法接入、非法访问、病毒感染和黑客攻击

7、，防雷击、过载、断电和人为破坏等。系统具备完善的权限管理功能。用模块（对应系统菜单）、功能（对应模块的子功能）两级定义系统功能权限，用角色定义一组系统模块、功能集合，通过向用户分配角色来管理用户权限。同时， 通过对象权限定义用户能操作的数据，如全省、地市、区县、学校的数据。验证用户的访问权限和优先级，监测和记录用户进行的访问和操作等；验证接入设备的合法性，并注册合法设备。接口融合性与现有考试综合业务管理系统的无缝融合方面，将根据目前考试综合业务管理系统的实际情况，可作到尽可能少改变现有系统及应用流程，实现考生身份验证系统和考试综合业务管理系统的无缝融合。扩展性考生身份验证系统的设计应充分考虑考

8、试管理业务上的可扩充性，当需要在考生身份验证中采用二维码验证或人像验证功能时，可将系统由二代身份证验证、指纹验证扩展到支持二维码验证和人像验证。规范性和实用性控制协议、接口协议、采集方式、传输协议等应符合本标准中的规定。应设计合理，结构简单，切合实际，有效地提高工作效率，满足教育监考业务工作需求。易操作性提供清晰、简洁、友好的中文人机交互界面，操控简便、灵活，易学易用，便于管理和维护。可靠性采用成熟、稳定和通用的技术和设备，关键部分应有备份、冗余措施，能够保证系统长期稳定运行， 有较强的容错和系统恢复能力。可维护性系统应具备自检、故障诊断及故障弱化功能，在出现故障时，应能得到及时、快速的修复。

9、考生身份采集验证终端硬件功能要求应满足现场环境要求和功能使用要求，同时应符合现行国家标准和行业标准有关技术要求。具体要求如下：设备应集二代身份证信息读取和验证、活体指纹采集、语音提示、数据交换、软件支撑、摄像（可选）、二维码识别(可选)等功能。考生身份验证终端基本参数：高清显示屏5寸，分辨率1024600或触摸屏（分辨率800480,电容触摸屏）, CPU1GHz,ROM512MB, RAM512MB，存储容量4G；支持电池供电使用，电池容量满足正常工作时间8小时，当该设备仅用于采集时，可不自带屏幕，允许通过外接屏幕的方式来实现显示。二代身份证：符合公安部GA450标准；符合ISO14443T

10、ype B国际标准；读卡距离（05）cm， 无盲区，对各类身份证兼容性好；读卡时间1s；具有身份证核验系统专用模块,可读取、解密和查询第二代居民身份证全部信息包括指纹信息；支持判定身份证内有无指纹信息。指纹采集:具有活体指纹识别功能，按压式采集，设备符合公安部GA/T1011 2012；图像分辨率500DPI，允许误差范围-1%+2%；指纹有效图像尺寸宽12.75mm，高17.93mm；传感器原始指纹图像像素宽大于等于256像素点，高大于等于360像素点，不得进行插值放大等软件处理； 图像畸变率2%；图像疵点在指纹有效图像尺寸范围内，不能含有直径大于3个像素点的连续图像疵点，直径小于等于3个像

11、素点的连续图像疵点不超过3个，单帧采集时间小于等于0.25秒；支持不同手指如干手指、湿手指、粗糙手指适应功能，能够采集清晰指纹图像；指纹算法符合GA 1012-2012要求，当错误拒绝率为0.5%时，错误接受率应不大于0.05%。语音：设备内嵌音箱，能够对信息采集进行语音提示，语音提示要求准确、清晰。数据交换：MINI（micro） USB接口与计算机通信，预留有线或者无线网络接口。能够无缝接入江苏省教育考试院身份验证中心，确保将身份采集信息和验证能够通过接口导出上传至身份验证平台系统。终端软件：支持机读身份证证件信息并显示，支持识别二维码（可选）中并显示基本信息和指纹信息；支持显示、查询和统

12、计指纹校验结果；能够根据指纹图像文件生成特征码；能够通过识别的身份证证件或二维码（可选）中的指纹信息与校验指纹信息进行算法比对；指纹比对算法符合GA 1012-2012要求。操作界面清晰明了，操作简单便捷；支持对无指纹考生进行基本信息校验。考生身份采集验证终端软件宜基于目前主流的Android或IOS系统。摄像头（可选）：摄像头像素：不低于200万；分辨率：不低于19201080。通讯接口：USB 接口通讯；USB接口供电。协调性各种配套设备的性能及技术要求应协调一致，保证系统的质量损失在可接受的范围内。考生身份验证系统软件平台考生身份验证系统软件平台应当与考试综合业务系统无缝连接，并可分为3

13、个主要子功能模块：考生信息采集、考生入场验证、统计报表展示。考生信息采集考生报名注册的时候通过考生身份采集验证终端读取二代身份证信息、指纹信息并绑定注册到考生报名信息中，供入场验证的时候再次采集考生身份证和指纹信息并比对验证。采用语音和文字提示考生进行读取身份证、采集指纹操作。身份证信息读取成功，则保存考生身份信息；身份证信息读取失败，通过语音或文字提示考生再次尝试；对于无二代身份证的考生，可以使用国家规定的合法证件进行输入报名。采集指纹操作成功，则保存考生指纹特征信息；采集指纹操作失败，通过语音或文字提示考生再次尝试；对于考务不要求采集指纹的考试项目，可略过此过程。考生入场验证考生身份采集验

14、证终端通过数据交换功能导入考试编排数据包括考场号、座位号、考试科目及其对应的考生报名注册信息，并初始化相关数据，准备考生入场验证。入场验证时刷取考生二代身份证或指纹，与下载在验证终端中的考生报名注册信息进行实时比对识别，如果比对成功则认为该考生为合法考生，同时记录验证数据；如果比对不成功，交由考务工作人员处理予以特殊标记，或标记为设备异常允许考试，或标记为替考舞弊禁止考试；身份证信息或指纹读取失败，通过语音和文字提示考生再次尝试。考试结束后，考生身份采集验证终端可通过数据交换功能上传考生入场验证结果。统计报表展示考生信息采集阶段，可对考生信息进行查询、统计，可以按考生的特征信息查询某个考生的报

15、考信息；可根据不同类别对采集信息进行统计。考生入场验证阶段，可对参考、缺考、替考考生等信息进行查询、统计。考点可对本考点内的考生入场验证信息进行汇总统计；考区可对本考区内的考生入场验证信息进行汇总统计。安全性要求物理安全设备安全应按照GA/T 390-2002中4.1.2.1的设备标记要求、计算中心防盗和机房外部设备的防盗要求实现设备的安全保护。应按照GA/T 390-2002中4.1.2.2的基本运行支持、安全可用要求和不间断运行要求设计和实现设备的可用性。防雷接地要求应整体设计系统的防雷和接地。系统各组成部分的防雷和接地设计应遵从GB50348-2004中3.9节相关规定。记录介质安全应按

16、照GA/T 390-2002中4.1.3的有用数据介质保护、重要数据介质保护、秘密数据介质保护和关键数据介质保护的要求进行记录介质安全保护。运行安全网络安全监控应设置分布式探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作。宜使用防火墙、入侵检测系统、漏洞扫描工具来保障网络通信的安全。防病毒应安装病毒防杀产品，做好病毒防御。备份与故障恢复应对某些重要的数据进行定期备份，对重要的设备进行冗余设置实现双机热备或者冷备，对重要的数据应做异地备份。漏洞修复应及时修复网络系统和应用系统中发现的漏洞，确保系统安全。信息安全身份验证应对接入系统的设备和用户进行身份认证。设备应采用UUID进

17、行唯一标识。宜采用基于PKI/CA体系的数字证书认证方式结合口令密码技术做双因子认证。访问控制在身份鉴别的基础上，系统宜采用某种访问控制模型对用户进行访问控制（例如基于角色的访问控制或者基于属性证书的访问控制）。防抵赖数据源应对需要防抵赖的数据进行数字签名运算。完整性保护，系统宜采用数字摘要、数字时间戳及数字水印等技术，防止信息的完整性被破坏。数据保密应对需要保密的数据在存储和传输过程中进行加密。安全域隔离应将网络与考生身份验证系统划分为不同的安全域，如公共网络等，不同的安全域之间应进行相应的隔离。当需要在公网和专网之间进行数据交换时，必须采取国家管理部门认可的安全隔离措施进行物理隔离。通信和网络安全基于专网传输的安全当考生身份验证系统的传输网络依托专网时，考生身份验证系统的安全受到专网安全措施的保证， 可不增加额外的安全措施。基于公共网络传输的安全当考生身份验证系统的传输网络依托公共数字网络时，可选用VPN 专用通道保证传输的安全性。专网的接入安全当其它网络需要与专网进行数据交换时，必须采取相应措施保证专网