DB32-T 2888.3-2016江苏省国家教育考试标准化考点建设技术标准第3部分-考生身份验证系统

ICS35.240

L77

备案号：49014-2016DB32

江苏省地方标准

DB32/T2888.3-2016

江苏省国家教育考试标准化考点建设技术

标准第3部分:考生身份验证系统

JiangsuProvinceNationalEducationExaminationTestStandardizationConstruction

TechnologyStandardsPart3:ExamineeIdentityAuthenticationSystem

2016-03-10发布2016-04-10实施

江苏省质量技术监督局发布

DB32/T2888.3-2016

前言

本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。

《江苏省国家教育考试标准化考点建设技术标准》分为六个部分：

——第1部分：总则

——第2部分：考试综合业务系统

——第3部分：考生身份验证系统

——第4部分：作弊防控系统

——第5部分：视频及网络监控系统

——第6部分：应急指挥系统

本部分为DB32/T2888-2016《江苏省国家教育考试标准化考点建设技术标准》的第3部分。

本部分由江苏省教育考试院提出并归口。

本部分起草单位：江苏省教育考试院、南京市产品质量监督检验院、江苏苏测软件检测技术有限公

司。

本部分主要起草人：王婧宇、蔡虹、谢佩章、龚伟、高玮、谭雄飞、荣鼎慧、陈亚。

DB32/T2888.3—2016

江苏省国家教育考试标准化考点建设技术标准

第3部分考生身份验证系统

1范围

本标准规定了江苏省国家教育考试标准化考点建设中考生身份验证系统的技术要求、安全性要求、

可靠性要求。

本标准适用于江苏省国家教育考试标准化考点建设中考生身份验证系统。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GA449居民身份证术语

GA773指纹自动识别术语

GA/T390计算机信息系统安全等级保护通用技术要求

GA/T625活体指纹图像采集技术规范

GA/T893安防生物特征识别应用术语

GA/T1011居民身份证指纹采集器通用技术要求

3术语和定义

GA449、GA/T625、GA773、GA/T893、GA/T1011、GA/T390界定的以及下列术语和定义适用于

本文件

3.1

注册enrolment

考生报名登记其身份证信息、指纹信息，采集指纹图像，提取图像特征并存储的过程。

3.2

注册成功enrolmentsuccess

考生报名登记身份证信息、指纹信息，采集的身份证信息全面，指纹图像特征符合提取要求。

3.3

注册失败enrolmentfailure

考生报名登记身份证信息、指纹信息，采集的身份证信息不完整或指纹图像特征不符合提取要

求。

1

DB32/T2888.3—2016

4技术要求

4.1系统架构

考生身份验证系统建设结构由前端考生身份采集验证终端硬件和相关考生身份验证系统软件平台

两大部分组成。

4.2系统设计要求

4.2.1安全性

4.2.1.1系统支持数据加密，充分保证数据导入导出的传输安全性。

4.2.1.2对系统采取必要的安全保护措施，防止非法接入、非法访问、病毒感染和黑客攻击，防雷击、

过载、断电和人为破坏等。

4.2.1.3系统具备完善的权限管理功能。用模块（对应系统菜单）、功能（对应模块的子功能）两级

定义系统功能权限，用角色定义一组系统模块、功能集合，通过向用户分配角色来管理用户权限。同时，

通过对象权限定义用户能操作的数据，如全省、地市、区县、学校的数据。

4.2.1.4验证用户的访问权限和优先级，监测和记录用户进行的访问和操作等；验证接入设备的合法

性，并注册合法设备。

4.2.2接口融合性

与现有考试综合业务管理系统的无缝融合方面，将根据目前考试综合业务管理系统的实际情况，可

作到尽可能少改变现有系统及应用流程，实现考生身份验证系统和考试综合业务管理系统的无缝融合。

4.2.3扩展性

考生身份验证系统的设计应充分考虑考试管理业务上的可扩充性，当需要在考生身份验证中采用二

维码验证或人像验证功能时，可将系统由二代身份证验证、指纹验证扩展到支持二维码验证和人像验证。

4.2.4规范性和实用性

控制协议、接口协议、采集方式、传输协议等应符合本标准中的规定。应设计合理，结构简单，切

合实际，有效地提高工作效率，满足教育监考业务工作需求。

4.2.5易操作性

提供清晰、简洁、友好的中文人机交互界面，操控简便、灵活，易学易用，便于管理和维护。

4.2.6可靠性

采用成熟、稳定和通用的技术和设备，关键部分应有备份、冗余措施，能够保证系统长期稳定运行，

有较强的容错和系统恢复能力。

4.2.7可维护性

系统应具备自检、故障诊断及故障弱化功能，在出现故障时，应能得到及时、快速的修复。

4.3考生身份采集验证终端硬件

4.3.1功能要求

2

DB32/T2888.3—2016

应满足现场环境要求和功能使用要求，同时应符合现行国家标准和行业标准有关技术要求。具体

要求如下：

a)设备应集二代身份证信息读取和验证、活体指纹采集、语音提示、数据交换、软件支撑、摄像

（可选）、二维码识别(可选)等功能。

b)考生身份验证终端基本参数：高清显示屏≥5寸，分辨率≥1024×600或触摸屏（分辨率≥800

×480,电容触摸屏）,CPU≥1GHz,ROM≥512MB,RAM≥512MB，存储容量≥4G；支持电池供电使

用，电池容量满足正常工作时间≥8小时，当该设备仅用于采集时，可不自带屏幕，允许通过

外接屏幕的方式来实现显示。

c)二代身份证：符合公安部GA450标准；符合ISO14443TypeB国际标准；读卡距离（0～5）cm，

无盲区，对各类身份证兼容性好；读卡时间≤1s；具有身份证核验系统专用模块,可读取、解

密和查询第二代居民身份证全部信息包括指纹信息；支持判定身份证内有无指纹信息。

d)指纹采集:具有活体指纹识别功能，按压式采集，设备符合公安部GA/T10112012；图像分辨率

500DPI，允许误差范围-1%～+2%；指纹有效图像尺寸宽≥12.75mm，高≥17.93mm；传感器原始

指纹图像像素宽大于等于256像素点，高大于等于360像素点，不得进行插值放大等软件处理；

图像畸变率≤2%；图像疵点在指纹有效图像尺寸范围内，不能含有直径Φ大于3个像素点的连

续图像疵点，直径Φ小于等于3个像素点的连续图像疵点不超过3个，单帧采集时间小于等于

0.25秒；支持不同手指如干手指、湿手指、粗糙手指适应功能，能够采集清晰指纹图像；指纹

算法符合GA1012-2012要求，当错误拒绝率为0.5%时，错误接受率应不大于0.05%。

e)语音：设备内嵌音箱，能够对信息采集进行语音提示，语音提示要求准确、清晰。

f)数据交换：MINI（micro）USB接口与计算机通信，预留有线或者无线网络接口。能够无缝接

入江苏省教育考试院身份验证中心，确保将身份采集信息和验证能够通过接口导出上传至身份

验证平台系统。

g)终端软件：支持机读身份证证件信息并显示，支持识别二维码（可选）中并显示基本信息和指

纹信息；支持显示、查询和统计指纹校验结果；能够根据指纹图像文件生成特征码；能够通过

识别的身份证证件或二维码（可选）中的指纹信息与校验指纹信息进行算法比对；指纹比对算

法符合GA1012-2012要求。操作界面清晰明了，操作简单便捷；支持对无指纹考生进行基本信

息校验。考生身份采集验证终端软件宜基于目前主流的Android或IOS系统。

h)摄像头（可选）：摄像头像素：不低于200万；分辨率：不低于1920×1080。通讯接口：USB

接口通讯；USB接口供电。

4.3.2协调性

各种配套设备的性能及技术要求应协调一致，保证系统的质量损失在可接受的范围内。

4.4考生身份验证系统软件平台

考生身份验证系统软件平台应当与考试综合业务系统无缝连接，并可分为3个主要子功能模块：考

生信息采集、考生入场验证、统计报表展示。

4.4.1考生信息采集

4.4.1.1考生报名注册的时候通过考生身份采集验证终端读取二代身份证信息、指纹信息并绑定注册

到考生报名信息中，供入场验证的时候再次采集考生身份证和指纹信息并比对验证。

4.4.1.2采用语音和文字提示考生进行读取身份证、采集指纹操作。身份证信息读取成功，则保存考

生身份信息；身份证信息读取失败，通过语音或文字提示考生再次尝试；对于无二代身份证的考生，可

3

DB32/T2888.3—2016

以使用国家规定的合法证件进行输入报名。采集指纹操作成功，则保存考生指纹特征信息；采集指纹操

作失败，通过语音或文字提示考生再次尝试；对于考务不要求采集指纹的考试项目，可略过此过程。

4.4.2考生入场验证

4.4.2.1考生身份采集验证终端通过数据交换功能导入考试编排数据包括考场号、座位号、考试科目

及其对应的考生报名注册信息，并初始化相关数据，准备考生入场验证。

4.4.2.2入场验证时刷取考生二代身份证或指纹，与下载在验证终端中的考生报名注册信息进行实时

比对识别，如果比对成功则认为该考生为合法考生，同时记录验证数据；如果比对不成功，交由考务工

作人员处理予以特殊标记，或标记为设备异常允许考试，或标记为替考舞弊禁止考试；身份证信息或指

纹读取失败，通过语音和文字提示考生再次尝试。

4.4.2.3考试结束后，考生身份采集验证终端可通过数据交换功能上传考生入场验证结果。

4.4.3统计报表展示

4.4.3.1考生信息采集阶段，可对考生信息进行查询、统计，可以按考生的特征信息查询某个考生的

报考信息；可根据不同类别对采集信息进行统计。考生入场验证阶段，可对参考、缺考、替考考生等信

息进行查询、统计。

4.4.3.2考点可对本考点内的考生入场验证信息进行汇总统计；考区可对本考区内的考生入场验证信

息进行汇总统计。

5安全性要求

5.1物理安全

5.1.1设备安全

5.1.1.1应按照GA/T390-2002中4.1.2.1的设备标记要求、计算中心防盗和机房外部设备的防盗要求

实现设备的安全保护。

5.1.1.2应按照GA/T390-2002中4.1.2.2的基本运行支持、安全可用要求和不间断运行要求设计和实

现设备的可用性。

5.1.2防雷接地要求

应整体设计系统的防雷和接地。系统各组成部分的防雷和接地设计应遵从GB50348-2004中3.9节相

关规定。

5.1.3记录介质安全

应按照GA/T390-2002中4.1.3的有用数据介质保护、重要数据介质保护、秘密数据介质保护和关键

数据介质保护的要求进行记录介质安全保护。

5.2运行安全

5.2.1网络安全监控

应设置分布式探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作。宜使

用防火墙、入侵检测系统、漏洞扫描工具来保障网络通信的安全。

5.2.2防病毒

应安装病毒防杀产品，做好病毒防御。

4

DB32/T2888.3—2016

5.2.3备份与故障恢复

应对某些重要的数据进行定期备份，对重要的设备进行冗余设置实现双机热备或者冷备，对重要的

数据应做异地备份。

5.2.4漏洞修复

应及时修复网络系统和应用系统中发现的漏洞，确保系统安全。

5.3信息安全

5.3.1身份验证

应对接入系统的设备和用户进行身份认证。设备应采用UUID进行唯一标识。宜采用基于PKI/CA体系

的数字证书认证方式结合口令密码技术做双因子认证。

5.3.2访问控制

在身份鉴别的基础上，系统宜采用某种访问控制模型对用户进行访问控制（例如基于角色的访问控

制或者基于属性证书的访问控制）。

5.3.3防抵赖

数据源应对需要防抵赖的数据进行数字签名运算。

5.3.4完整性保护

，系统宜采用数字摘要、数字时间戳及数字水印等技术，防止信息的完整性被破坏。

5.3.5数据保密

应对需要保密的数据在存储和传输过程中进行加密。

5.3.6安全域隔离

应将网络与考生身份验证系统划分为不同的安全域，如公共网络等，不同的安全域之间应进行相应

的隔离。当需要在公网和专网之间进行数据交换时，必须采取国家管理部门认可的安全隔离措施进行物

理隔离。

5.4通信和网络安全

5.4.1基于专网传输的安全

当考生身份验证系统的传输网络依托专网时，考生身份验证系统的安全受到专网安全措施的保证，

可不增加额外的安全措施。

5.4.2基于公共网络传输的安全

当考生身份验证系统的传输网络依托公共数字网络时，可选用VPN专用通道保证传输的安全性。

5.4.3专网的接入安全

当其它网络需要与专网进行数据交换时，必须采取相应措施保证专网的安全。

6可靠性要求

5

DB32/T2888.3—2016

6.1关键设备应采取冗余设计，以保障系统正常运行或快速恢复。省、市级设备根据系统规模宜采用

冷备份或设置备品备件方式，采用冷备方式时系统恢复时间不应超过30min。

6.2系统的设计应以结构化、规范化、模块化、集成化的方式实现，以提高系统的可靠性、可维修性

和维护保障性。各级中心的后台管理软件的设计应保证当管理子系统出现故障时不影响系统中各业务功

能子系统、各级子网的运行，某一子系统、子网发生故障时，不影响其他子系统、子网的运行。

6.3前端硬件设备宜采用支持固件在线升级的产品。设备异常时应能自动重新启动或后端远程启动。

6.4验收后无故障运行时间应大于3个月。

6

DB32/T2888.3-2016

目次

前言..............................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4技术要求.............................................................................2

4.1系统架构.........................................................................2

4.2系统设计要求.....................................................................2

4.3考生身份采集验证终端硬件.........................................................2

4.4考生身份验证系统软件平台.........................................................3

5安全性要求...........................................................................4

5.1物理安全.........................................................................4

5.2运行安全.........................................................................4

5.3信息安全.........................................................................5

5.4通信和网络安全...................................................................5

6可靠性要求...........................................................................5

DB32/T2888.3—2016

江苏省国家教育考试标准化考点建设技术标准

第3部分考生身份验证系统

1范围

本标准规定了江苏省国家教育考试标准化考点建设中考生身份验证系统的技术要求、安全性要求、

可靠性要求。

本标准适用于江苏省国家教育考试标准化考点建设中考生身份验证系统。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GA449居民身份证术语

GA773指纹自动识别术语

GA/T390计算机信息系统安全等级保护通用技术要求

GA/T625活体指纹图像采集技术规范

GA/T893安防生物特征识别应用术语

GA/T1011居民身份证指纹采集器通用技术要求

3术语和定义

GA449、GA/T625、GA773、GA/T893、GA/T1011、GA/T390界定的以及下列术语和定义适用于

本文件

3.1

注册enrolment

考生报名登记其身份证信息、指纹信息，采集指纹图像，提取图像特征并存储的过程。

3.2

注册成功enrolmentsuccess

考生报名登记身份证信息、指纹信息，采集的身份证信息全面，指纹图像特征符合提取要求。

3.3

注册失败enrolmentfailure

考生报名登记身份证信息、指纹信息，采集的身份证信息不完整或指纹图像特征不符合提取要

求。

1

DB32/T2888.3—2016

4技术要求

4.1系统架构

考生身份验证系统建设结构由前端考生身份采集验证终端硬件和相关考生身份验证系统软件平台

两大部分组成。

4.2系统设计要求

4.2.1安全性

4.2.1.1系统支持数据加密，充分保证数据导入导出的传输安全性。

4.2.1.2对系统采取必要的安全保护措施，防止非法接入、非法访问、病毒感染和黑客攻击，防雷击、

过载、断电和人为破坏等。

4.2.1.3系统具备完善的权限管理功能。用模块（对应系统菜单）、功能（对应模块的子功能）两级

定义系统功能权限，用角色定义一组系统模块、功能集合，通过向用户分配角色来管理用户权限。同时，

通过对象权限定义用户能操作的数据，如全省、地市、区县、学校的数据。

4.2.1.4验证用户的访问权限和优先级，监测和记录用户进行的访问和操作等；验证接入设备的合法

性，并注册合法设备。

4.2.2接口融合性

与现有考试综合业务管理系统的无缝融合方面，将根据目前考试综合业务管理系统的实际情况，可

作到尽可能少改变现有系统及应用流程，实现考生身份验证系统和考试综合业务管理系统的无缝融合。

4.2.3扩展性

考生身份验证系统的设计应充分考虑考试管理业务上的可扩充性，当需要在考生身份验证中采用二

维码验证或人像验证功能时，可将系统由二代身份证验证、指纹验证扩展到支持二维码验证和人像验证。

4.2.4规范性和实用性

控制协议、接口协议、采集方式、传输协议等应符合本标准中的规定。应设计合理，结构简单，切

合实际，有效地提高工作效率，满足教育监考业务工作需求。

4.2.5易操作性

提供清晰、简洁、友好的中文人机交互界面，操控简便、灵活，易学易用，便于管理和维护。

4.2.6可靠性

采用成熟、稳定和通用的技术和设备，关键部分应有备份、冗余措施，能够保证系统长期稳定运行，

有较强的容错和系统恢复能力。

4.2.7可维护性

系统应具备自检、故障诊断及故障弱化功能，在出现故障时，应能得到及时、快速的修复。

4.3考生身份采集验证终端硬件

4.3.1功能要求

2

DB32/T2888.3—2016

应满足现场环境要求和功能使用要求，同时应符合现行国家标准和行业标准有关技术要求。具体

要求如下：

a)设备应集二代身份证信息读取和验证、活体指纹采集、语音提示、数据交换、软件支撑、摄像

（可选）、二维码识别(可选)等功能。

b)考生身份验证终端基本参数：高清显示屏≥5寸，分辨率≥1024×600或触摸屏（分辨率≥800

×480,电容触摸屏）,CPU≥1GHz,ROM≥512MB,RAM≥512MB，存储容量≥4G；支持电池供电使

用，电池容量满足正常工作时间≥8小时，当该设备仅用于采集时，可不自带屏幕，允许通过

外接屏幕的方式来实现显示。

c)二代身份证：符合公安部GA450标准；符合ISO14443TypeB国际标准；读卡距离（0～5）cm，

无盲区，对各类身份证兼容性好；读卡时间≤1s；具有身份证核验系统专用模块,可读取、解

密和查询第二代居民身份证全部信息包括指纹信息；支持判定身份证内有无指纹信息。

d)指纹采集:具有活体指纹识别功能，按压式采集，设备符合公安部GA/T10112012；图像分辨率

500DPI，允许误差范围-1%～+2%；指纹有效图像尺寸宽≥12.75mm，高≥17.93mm；传感器原始

指纹图像像素宽大于等于256像素点，高大于等于360像素点，不得进行插值放大等软件处理；

图像畸变率≤2%；图像疵点在指纹有效图像尺寸范围内，不能含有直径Φ大于3个像素点的连

续图像疵点，直径Φ小于等于3个像素点的连续图像疵点不超过3个，单帧采集时间小于等于

0.25秒；支持不同手指如干手指、湿手指、粗糙手指适应功能，能够采集清晰指纹图像；指纹

算法符合GA1012-2012要求，当错误拒绝率为0.5%时，错误接受率应不大于0.05%。

e)语音：设备内嵌音箱，能够对信息采集进行语音提示，语音提示要求准确、清晰。

f)数据交换：MINI（micro）USB接口与计算机通信，预留有线或者无线网络接口。能够无缝接

入江苏省教育考试院身份验证中心，确保将身份采集信息和验证能够通过接口导出上传至身份

验证平台系统。

g)终端软件：支持机读身份证证件信息并显示，支持识别二维码（可选）中并显示基本信息和指

纹信息；支持显示、查询和统计指纹校验结果；能够根据指纹图像文件生成特征码；能够通过

识别的身份证证件或二维码（可选）中的指纹信息与校验指纹信息进行算法比对；指纹比对算

法符合GA1012-2012要求。操作界面清晰明了，操作简单便捷；支持对无指纹考生进行基本信

息校验。考生身份采集验证终端软件宜基于目前主流的Android或IOS系统。

h)摄像头（可选）：摄像头像素：不低于200万；分辨率：不低于1920×1080。通讯接口：USB

接口通讯；USB接口供电。

4.3.2协调性

各种配套设备的性能及技术要求应协调一致，保证系统的质量损失在可接受的范围内。

4.4考生身份验证系统软件平台

考生身份验证系统软件平台应当与考试综合业务系统无缝连接，并可分为3个主要子功能模块：考

生信息采集、考生入场验证、统计报表展示。

4.4.1考生信息采集

4.4.1.1考生报名注册的时候通过考生身份采集验证终端读取二代身份证信息、指纹信息并绑定注册

到考生报名信息中，供入场验证的时候再次采集考生身份证和指纹信息并比对验证。

4.4.1.2采用语音和文字提示考生进行读取身份证、采集指纹操作。身份证信息读取成功，则保存考

生身份信息；身份证信息读取失败，通过语音或文字提示考生再次尝试；对于无二代身份证的考生，可

3

DB32/T2888.3—2016

以使用国家规定的合法证件进行输入报名。采集指纹操作成功，则保存考生指纹特征信息；采集指纹操

作失败，通过语音或文字提示考生再次尝试；对于考务不要求采集指纹的考试项目，可略过此过程。

4.4.2考生入场验证

4.4.2.1考生身份采集验证终端通过数据交换功能导入考试编排数据包括考场号、座位号、考试科目

及其对应的考生报名注册信息，并初始化相关数据，准备考生入场验证。

4.4.2.2入场验证时刷取考生二代身份证或指纹，与下载在验证终端中的考生报名注册信息进行实时

比对识别，如果比对成功则认为该考生为合法考生，同时记录验证数据；如果比对不成功，交由考务工

作人员处理予以特殊标记，或标记为设备异常允许考试，或标记为替考舞弊禁止考试；身份证信息或指

纹读取失败，通过语音和文字提示考生再次尝试。

4.4.2.3考试结束后，考生身份采集验证终端可通过数据交换功能上传考生入场验证结果。

4.4.3统计报表展示

4.4.3.1考生信息采集阶段，可对考生信息进行查询、统计，可以按考生的特征信息查询某个考生的

报考信息；可根据不同类别对采集信息进行统计。考生入场验证阶段，可对参考、缺考、替考考生等信

息进行查询、统计。

4.4.3.2考点可对本考点内的考生入场验证信息