身份验证系统的制作方法

本发明实施例涉及视联网技术领域，具体涉及身份验证系统。

背景技术：

随着计算机技术的发展，越来越多的应用场景下，需要通过身份识别技术对用户身份进行远程验证。例如，用户需要远程申办某项业务，则需要首先确认该用户进行身份验证，以确保该用户具备业务申办资格。

现有的方式，通常是直接在客户端中上传人脸图像，通过互联网将人脸图像发送至服务端，进而服务端基于人脸图像对用户身份进行验证。然而，这种方式无法确定用户是否使用他人照片来提交申请，导致身份认证的安全性较低。

技术实现要素：

本发明实施例提出了身份验证系统，以解决现有技术中身份认证的安全性较低的技术问题。

本发明实施例提供了一种身份验证系统，应用于视联网中，系统包括存储网关、视联网终端和视联网服务器，存储网关连接有第一摄像装置，视联网终端连接有第二摄像装置；存储网关，被配置成响应于通过第一摄像装置检测到目标区域存在人体，向视联网终端发送图像采集指令；视联网终端，被配置成启动第二摄像装置；通过第二摄像装置采集人体的人脸图像；通过视联网将包含人脸图像的身份验证请求发送至视联网服务器；视联网服务器，被配置成基于人脸图像，对人体进行身份验证；向存储网关发送身份验证结果；存储网关，进一步被配置成向视联网终端发送身份验证结果。

在一些实施例中，视联网终端还连接有显示设备；以及视联网终端，进一步被配置成，响应于确定身份验证结果指示人体通过身份验证，通过显示设备呈现身份验证结果。

在一些实施例中，视联网终端，进一步被配置成：响应于确定身份验证结果指示人体未通过身份验证，确定身份验证请求的发送次数是否小于预设次数；若是，重新通过第二摄像装置采集人体的人脸图像，并通过视联网将包含所重新采集的人脸图像的身份验证请求发送至视联网服务器。

在一些实施例中，视联网终端，进一步被配置成：响应于确定身份验证请求的发送次数大于或等于预设次数，通过显示设备呈现身份验证结果。

在一些实施例中，显示设备，进一步被配置成：呈现人脸图像以及对人脸图像的扫描动画。

在一些实施例中，系统还包括管理终端，管理终端中安装有验证客户端；以及

管理终端，被配置成通过验证客户端向存储网管发送检测指令，以使存储网管通过第一摄像装置检测目标区域是否存在人体。

在一些实施例中，管理终端，进一步被配置成在验证客户端中呈现身份验证结果。

在一些实施例中，视联网服务器，进一步被配置成将人脸图像输入至预先训练的人脸识别模型，得到与人脸图像对应的人脸特征，其中，人脸识别模型用于指示人脸图像与人脸特征的对应关系；将所得到的人脸特征与目标人脸特征进行匹配；基于匹配结果，确定人体是否通过身份验证。

在一些实施例中，视联网服务器，进一步被配置成响应于确定人脸特征与目标人脸特征的相似度大于预设相似度阈值，确定人体通过身份验证；响应于确定人脸特征与目标人脸特征的相似度不大于相似度阈值，确定人体未通过身份验证。

本发明实施例提供的身份验证系统，应用视联网的特性，通过存储网关在第一摄像装置检测到目标区域存在人体后，向视联网终端发送图像采集指令；而后视联网终端启动第二摄像装置，通过第二摄像装置采集人体的人脸图像，通过视联网将包含人脸图像的身份验证请求发送至视联网服务器；之后，视联网服务器基于人脸图像，对人体进行身份验证；向存储网关发送身份验证结果；最后存储网关向视联网终端发送身份验证结果。由此，在视联网环境下，通过存储网关检测出人体后再进行人脸图像采集，可以保证待识别的用户为活体，通过对实时采集的人脸图像进行身份识别，避免了用户使用他人图片进行业务申请，从而提高了身份认证的安全性。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1是本发明的一种视联网的组网示意图；

图2是本发明的一种节点服务器的硬件结构示意图；

图3是本发明的一种接入交换机的硬件结构示意图；

图4是本发明的一种以太网协转网关的硬件结构示意图；

图5是本发明的身份验证系统的一个实施例的流程图；

图6是本发明的身份验证系统的另一个实施例的结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

视联网是网络发展的重要里程碑，是一个实时网络，能够实现高清视频实时传输，将众多互联网应用推向高清视频化，高清面对面。

视联网采用实时高清视频交换技术，可以在一个网络平台上将所需的服务，如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、vod点播、电视邮件、个性录制(pvr)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台，通过电视或电脑实现高清品质视频播放。

为使本领域技术人员更好地理解本发明实施例，以下对视联网进行介绍：

视联网所应用的部分技术如下所述：

网络技术(networktechnology)

视联网的网络技术创新改良了传统以太网(ethernet)，以面对网络上潜在的巨大第一视频流量。不同于单纯的网络分组包交换(packetswitching)或网络电路交换(circuitswitching)，视联网技术采用packetswitching满足streaming需求。视联网技术具备分组交换的灵活、简单和低价，同时具备电路交换的品质和安全保证，实现了全网交换式虚拟电路，以及数据格式的无缝连接。

交换技术(switchingtechnology)

视联网采用以太网的异步和包交换两个优点，在全兼容的前提下消除了以太网缺陷，具备全网端到端无缝连接，直通用户终端，直接承载ip数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态，是一个实时交换平台，能够实现目前互联网无法实现的全网大规模高清视频实时传输，将众多网络视频应用推向高清化、统一化。

服务器技术(servertechnology)

视联网和统一视频平台上的服务器技术不同于传统意义上的服务器，它的流媒体传输是建立在面向连接的基础上，其数据处理能力与流量、通讯时间无关，单个网络层就能够包含信令及数据传输。对于语音和视频业务来说，视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多，效率比传统服务器大大提高了百倍以上。

储存器技术(storagetechnology)

统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统，将服务器指令中的节目信息映射到具体的硬盘空间，媒体内容不再经过服务器，瞬间直接送达到用户终端，用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动，资源消耗仅占同等级ip互联网的20％，但产生大于传统硬盘阵列3倍的并发流量，综合效率提升10倍以上。

网络安全技术(networksecuritytechnology)

视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题，一般不需要杀毒程序、防火墙，杜绝了黑客与病毒的攻击，为用户提供结构性的无忧安全网络。

服务创新技术(serviceinnovationtechnology)

统一视频平台将业务与传输融合在一起，不论是单个用户、私网用户还是一个网络的总合，都不过是一次自动连接。用户终端、机顶盒或pc直接连到统一视频平台，获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程，可以使用非常少的代码即可实现复杂的应用，实现“无限量”的新业务创新。

视联网的组网如下所述：

视联网是一种集中控制的网络结构，该网络可以是树型网、星型网、环状网等等类型，但在此基础上网络中需要有集中控制节点来控制整个网络。

如图1所示，视联网分为接入网和城域网两部分。

接入网部分的设备主要可以分为3类：节点服务器，接入交换机，终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连，接入交换机可以与多个终端相连，并可以连接以太网。

其中，节点服务器是接入网中起集中控制功能的节点，可控制接入交换机和终端。节点服务器可直接与接入交换机相连，也可以直接与终端相连。

类似的，城域网部分的设备也可以分为3类：城域服务器，节点交换机，节点服务器。城域服务器与节点交换机相连，节点交换机可以与多个节点服务器相连。

其中，节点服务器即为接入网部分的节点服务器，即节点服务器既属于接入网部分，又属于城域网部分。

城域服务器是城域网中起集中控制功能的节点，可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机，也可直接连接节点服务器。

由此可见，整个视联网络是一种分层集中控制的网络结构，而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。

形象地称，接入网部分可以组成统一视频平台(虚线圈中部分)，多个统一视频平台可以组成视联网；每个统一视频平台可以通过城域以及广域视联网互联互通。

视联网设备分类

1.1本发明实施例的视联网中的设备主要可以分为3类：服务器，交换机(包括以太网协转网关)，终端(包括各种机顶盒，编码板，存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。

1.2其中接入网部分的设备主要可以分为3类：节点服务器，接入交换机(包括以太网协转网关)，终端(包括各种机顶盒，编码板，存储器等)。

各接入网设备的具体硬件结构为：

节点服务器：

如图2所示，主要包括网络接口模块201、交换引擎模块202、cpu模块203、磁盘阵列模块204；

其中，网络接口模块201，cpu模块203、磁盘阵列模块204进来的包均进入交换引擎模块202；交换引擎模块202对进来的包进行查地址表205的操作，从而获得包的导向信息；并根据包的导向信息把该包存入对应的包缓存器206的队列；如果包缓存器206的队列接近满，则丢弃；交换引擎模块202轮询所有包缓存器队列，如果满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制，包括对硬盘的初始化、读写等操作；cpu模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理，对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置，以及，对磁盘阵列模块204的配置。

接入交换机：

如图3所示，主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和cpu模块304；

其中，下行网络接口模块301进来的包(上行数据)进入包检测模块305；包检测模块305检测包的目地地址(da)、源地址(sa)、数据包类型及包长度是否符合要求，如果符合，则分配相应的流标识符(stream-id)，并进入交换引擎模块303，否则丢弃；上行网络接口模块302进来的包(下行数据)进入交换引擎模块303；cpu模块304进来的数据包进入交换引擎模块303；交换引擎模块303对进来的包进行查地址表306的操作，从而获得包的导向信息；如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的，则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃；如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的，则根据包的导向信息，把该数据包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃。

交换引擎模块303轮询所有包缓存器队列，可以包括两种情形：

如果该队列是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零；3)获得码率控制模块产生的令牌；

如果该队列不是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。

码率控制模块308是由cpu模块304来配置的，在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌，用以控制上行转发的码率。

cpu模块304主要负责与节点服务器之间的协议处理，对地址表306的配置，以及，对码率控制模块308的配置。

以太网协转网关：

如图4所示，主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、cpu模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和mac添加模块409、mac删除模块410。

其中，下行网络接口模块401进来的数据包进入包检测模块405；包检测模块405检测数据包的以太网macda、以太网macsa、以太网lengthorframetype、视联网目地地址da、视联网源地址sa、视联网数据包类型及包长度是否符合要求，如果符合则分配相应的流标识符(stream-id)；然后，由mac删除模块410减去macda、macsa、lengthorframetype(2byte)，并进入相应的接收缓存，否则丢弃；

下行网络接口模块401检测该端口的发送缓存，如果有包则根据包的视联网目地地址da获知对应的终端的以太网macda，添加终端的以太网macda、以太网协转网关的macsa、以太网lengthorframetype，并发送。

以太网协转网关中其他模块的功能与接入交换机类似。

终端：

主要包括网络接口模块、业务处理模块和cpu模块；例如，机顶盒主要包括网络接口模块、视音频编解码引擎模块、cpu模块；编码板主要包括网络接口模块、视音频编码引擎模块、cpu模块；存储器主要包括网络接口模块、cpu模块和磁盘阵列模块。

1.3城域网部分的设备主要可以分为2类：节点服务器，节点交换机，城域服务器。其中，节点交换机主要包括网络接口模块、交换引擎模块和cpu模块；城域服务器主要包括网络接口模块、交换引擎模块和cpu模块构成。

2、视联网数据包定义

2.1接入网数据包定义

接入网的数据包主要包括以下几部分：目的地址(da)、源地址(sa)、保留字节、payload(pdu)、crc。

如下表所示，接入网的数据包主要包括以下几部分：

其中：

目的地址(da)由8个字节(byte)组成，第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等)，最多有256种可能，第二字节到第六字节为城域网地址，第七、第八字节为接入网地址；

源地址(sa)也是由8个字节(byte)组成，定义与目的地址(da)相同；

保留字节由2个字节组成；

payload部分根据不同的数据报的类型有不同的长度，如果是各种协议包的话是64个字节，如果是单组播数据包话是32+1024＝1056个字节，当然并不仅仅限于以上2种；

crc有4个字节组成，其计算方法遵循标准的以太网crc算法。

2.2城域网数据包定义

城域网的拓扑是图型，两个设备之间可能有2种、甚至2种以上的连接，即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是，城域网设备的城域网地址却是唯一的，为了精确描述城域网设备之间的连接关系，在本发明实施例中引入参数：标签，来唯一描述一个城域网设备。

本说明书中标签的定义和mpls(multi-protocollabelswitch，多协议标签交换)的标签的定义类似，假设设备a和设备b之间有两个连接，那么数据包从设备a到设备b就有2个标签，数据包从设备b到设备a也有2个标签。标签分入标签、出标签，假设数据包进入设备a的标签(入标签)是0x0000，这个数据包离开设备a时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程，也就意味着城域网的地址分配、标签分配都是由城域服务器主导的，节点交换机、节点服务器都是被动的执行而已，这一点与mpls的标签分配是不同的，mpls的标签分配是交换机、服务器互相协商的结果。

如下表所示，城域网的数据包主要包括以下几部分：

即目的地址(da)、源地址(sa)、保留字节(reserved)、标签、payload(pdu)、crc。其中，标签的格式可以参考如下定义：标签是32bit，其中高16bit保留，只用低16bit，它的位置是在数据包的保留字节和payload之间。

基于视联网的上述特性，提出了本发明实施例的核心构思之一，遵循视联网的协议，通过存储网关在第一摄像装置检测到目标区域存在人体后，向视联网终端发送图像采集指令；而后视联网终端启动第二摄像装置，通过第二摄像装置采集人体的人脸图像，通过视联网将包含人脸图像的身份验证请求发送至视联网服务器；之后，视联网服务器基于人脸图像，对人体进行身份验证；向存储网关发送身份验证结果；最后存储网关向视联网终端发送身份验证结果。

继续参考图5，其示出了根据本发明的身份验证系统的一个实施例的流程500。该系统可以应用于视联网中。上述系统可以包括存储网关、视联网终端和视联网服务器，上述存储网关连接有第一摄像装置，上述视联网终端连接有第二摄像装置。

此处，视联网终端可以为机顶盒(settopbox，stb)，机顶盒也可以称为机上盒，是一个连接电视机与外部信号源的设备。它可以将压缩的数字信号转成电视内容，并在显示设备上显示出来。实践中，视联网终端可以连接摄像头和麦克风，用于采集视频数据和音频数据等多媒体数据，也可以连接显示设备，用于播放视频数据和音频数据等多媒体数据。

此处，第一摄像装置、第二摄像装置可以分别为各种类型的摄像头。

此处，视联网服务器可以处理视联网环境下的各种请求(例如身份验证请求等)，还可以提供视联网环境下的多种服务(例如身份验证服务等)。

具体可以包括如下步骤：

步骤501，存储网关响应于通过第一摄像装置检测到目标区域存在人体，向视联网终端发送图像采集指令。

在本实施例中，存储网关响应于通过上述第一摄像装置检测到目标区域存在人体，可以向上述视联网终端发送图像采集指令。此处，上述目标区域可以是人体所站立的区域。目标区域的具体范围可以根据需要而预先确定，此处不作限定。

此处，第一摄像装置可以持续对目标区域采集图像，并将采集的图像传输至存储网关。存储网关可以对所采集到的图像进行处理。作为示例，上述第一摄像装置可以是采集可见光图像(例如rgb(red、green、blue，红绿蓝)模式的图像)的摄像头，也可以是采集近红外图像(nearinfrared，nir)的摄像头。存储网关可以利用现有的各种人体识别方法(例如人体识别模型等)对所采集到的图像进行人体识别。

步骤502，视联网终端启动第二摄像装置。

在本实施例中，视联网终端在接收到上述图像采集指令后，可以启动其所连接的第二摄像装置，进行图像采集。

步骤503，视联网终端通过第二摄像装置采集人体的人脸图像。

在本实施例中，视联网终端可以通过上述第二摄像装置采集上述人体的人脸图像。实践中，在采集人脸图像的过程中，视联网终端可以提示用户进行移动或者转动等，以保证第二摄像装置采集到的图像中包含完整的人脸。

步骤504，视联网终端通过视联网将包含人脸图像的身份验证请求发送至视联网服务器。

在本实施例中，视联网终端可以通过视联网将包含上述人脸图像的身份验证请求发送至上述视联网服务器。实践中，视联网终端可以通过视联网协议(例如v2v协议)与视联网服务器进行交互。

步骤505，视联网服务器基于人脸图像，对人体进行身份验证。

在本实施例中，视联网服务器可以基于上述人脸图像，对上述人体进行身份验证。具体地，上述视联网服务器中可以预先存储有用于对人脸图像进行人脸识别的算法。上述视联网服务器可以使用该算法对人脸图像中的人脸对象进行识别，从而得到识别结果。若识别结果指示人脸图像中的人脸为目标用户(例如用户办理业务时所使用的身份证所指示的用户)的人脸，则确定上述人体通过验证。反之，确定上述人体未通过验证。

在本实施例的一些可选的实现方式中，上述视联网服务器中可以预先存储有人脸识别模型。此时，上述视联网服务器可以首先将上述人脸图像输入至预先训练的人脸识别模型，得到与上述人脸图像对应的人脸特征。其中，上述人脸识别模型用于指示人脸图像与人脸特征的对应关系。而后，可以将所得到的人脸特征与目标人脸特征进行匹配。最后，可以基于匹配结果，确定上述人体是否通过身份验证。实践中，上述人脸识别模型可以是利用机器学习方法和训练样本，对现有的卷积卷积神经网络(例如densebox、vggnet、resnet、segnet等)进行有监督训练而得到的。

在上述实现方式中，可选的，上述视联网服务器响应于确定上述人脸特征与上述目标人脸特征的相似度大于预设相似度阈值，可以确定上述人体通过身份验证；响应于确定上述人脸特征与上述目标人脸特征的相似度不大于上述相似度阈值，可以确定上述人体未通过身份验证。

步骤506，视联网服务器向存储网关发送身份验证结果。

在本实施例中，视联网服务器在对上述人体进行身份验证后，可以得到身份验证结果。其中，身份验证结果可以用于指示上述人体通过身份验证或者未通过身份验证。而后，视联网可以向上述存储网关发送上述身份验证结果。

步骤507，存储网关向视联网终端发送身份验证结果。

在本实施例中，存储网关在接收到上述身份验证结果后，可以向上述视联网终端发送上述身份验证结果。

在本实施例的一些可选的实现方式中，上述视联网终端还连接有显示设备。上述视联网终端响应于确定上述身份验证结果指示上述人体通过身份验证，可以通过上述显示设备呈现上述身份验证结果。

在上述实现方式中，可选的，上述视联网终端响应于确定上述身份验证结果指示上述人体未通过身份验证，可以确定身份验证请求的发送次数是否小于预设次数(例如3次)。若是，可以重新通过上述第二摄像装置采集上述人体的人脸图像，并通过视联网将包含所重新采集的人脸图像的身份验证请求发送至上述视联网服务器。

在上述实现方式中，可选的，上述视联网终端响应于确定身份验证请求的发送次数大于或等于上述预设次数(例如3次)，可以通过上述显示设备呈现上述身份验证结果。

在本实施例的一些可选的实现方式中，上述显示设备还可以呈现上述人脸图像以及对上述人脸图像的扫描动画。实践中，在拍摄完人脸图像后，上述显示设备即可显示该人脸图像，而后呈现对该人脸图像的扫描动画，直至呈现上述身份验证结果。

在本实施例的一些可选的实现方式中，上述系统还可以包括管理终端(例如台式计算机等电子设备)。上述管理终端中可以安装有验证客户端(例如用于进行身份验证的客户端)。上述管理终端可以通过上述验证客户端向上述存储网管发送检测指令，以使上述存储网管通过上述第一摄像装置检测目标区域是否存在人体。

在本实施例的一些可选的实现方式中，上述管理终端还可以在上述验证客户端中呈现上述身份验证结果。此处，该身份验证结果可以是存储网管发送给该验证客户端的。

在本发明实施例中，通过存储网关在第一摄像装置检测到目标区域存在人体后，向视联网终端发送图像采集指令；而后视联网终端启动第二摄像装置，通过第二摄像装置采集人体的人脸图像，通过视联网将包含人脸图像的身份验证请求发送至视联网服务器；之后，视联网服务器基于人脸图像，对人体进行身份验证；向存储网关发送身份验证结果；最后存储网关向视联网终端发送身份验证结果。由此，在视联网环境下，通过存储网关检测出人体后再进行人脸图像采集，可以保证待识别的用户为活体，通过对实时采集的人脸图像进行身份识别，避免了用户使用他人图片进行业务申请，从而提高了身份认证的安全性。

需要说明的是，对于上述实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

继续参考图6，其示出了根据本发明的身份验证系统的一个实施例的流程600。该系统可以应用于视联网中。上述系统可以包括存储网关、视联网终端和视联网服务器，上述存储网关连接有第一摄像装置，上述视联网终端连接有第二摄像装置。

此处，视联网终端可以为机顶盒，机顶盒也可以称为机上盒，是一个连接电视机与外部信号源的设备。它可以将压缩的数字信号转成电视内容，并在显示设备上显示出来。实践中，视联网终端可以连接摄像头和麦克风，用于采集视频数据和音频数据等多媒体数据，也可以连接显示设备，用于播放视频数据和音频数据等多媒体数据。

此处，第一摄像装置、第二摄像装置可以分别为各种类型的摄像头。

此处，视联网服务器可以处理视联网环境下的各种请求(例如身份验证请求等)，还可以提供视联网环境下的多种服务(例如身份验证服务等)。

具体可以包括如下步骤：

步骤601，存储网关响应于通过第一摄像装置检测到目标区域存在人体，向视联网终端发送图像采集指令。

在本实施例中，存储网关响应于通过上述第一摄像装置检测到目标区域存在人体，可以向上述视联网终端发送图像采集指令。此处，上述目标区域可以是人体所站立的区域。目标区域的具体范围可以根据需要而预先确定，此处不作限定。

此处，第一摄像装置可以持续对目标区域采集图像，并将采集的图像传输至存储网关。存储网关可以对所采集到的图像进行处理。作为示例，上述第一摄像装置可以是采集可见光图像(例如rgb(red、green、blue，红绿蓝)模式的图像)的摄像头，也可以是采集近红外图像(nearinfrared，nir)的摄像头。存储网关可以利用现有的各种人体识别方法(例如人体识别模型等)对所采集到的图像进行人体识别。

步骤602，视联网终端启动第二摄像装置。

在本实施例中，视联网终端在接收到上述图像采集指令后，可以启动其所连接的第二摄像装置，进行图像采集。

步骤603，视联网终端通过第二摄像装置采集人体的人脸图像。

在本实施例中，视联网终端可以通过上述第二摄像装置采集上述人体的人脸图像。实践中，在采集人脸图像的过程中，视联网终端可以提示用户进行移动或者转动等，以保证第二摄像装置采集到的图像中包含完整的人脸。

步骤604，视联网终端通过视联网将包含人脸图像的身份验证请求发送至视联网服务器。

在本实施例中，视联网终端可以通过视联网将包含上述人脸图像的身份验证请求发送至上述视联网服务器。实践中，视联网终端可以通过视联网协议(例如v2v协议)与视联网服务器进行交互。

步骤605，视联网服务器基于人脸图像，对人体进行身份验证。

在本实施例中，上述视联网服务器中可以预先存储有人脸识别模型。此时，上述视联网服务器可以首先将上述人脸图像输入至预先训练的人脸识别模型，得到与上述人脸图像对应的人脸特征。其中，上述人脸识别模型用于指示人脸图像与人脸特征的对应关系。而后，可以将所得到的人脸特征与目标人脸特征进行匹配。最后，可以基于匹配结果，确定上述人体是否通过身份验证。实践中，上述人脸识别模型可以是利用机器学习方法和训练样本，对现有的卷积卷积神经网络(例如densebox、vggnet、resnet、segnet等)进行有监督训练而得到的。

在上述实现方式中，可选的，上述视联网服务器响应于确定上述人脸特征与上述目标人脸特征的相似度大于预设相似度阈值，可以确定上述人体通过身份验证；响应于确定上述人脸特征与上述目标人脸特征的相似度不大于上述相似度阈值，可以确定上述人体未通过身份验证。

步骤606，视联网服务器向存储网关发送身份验证结果。

在本实施例中，视联网服务器在对上述人体进行身份验证后，可以得到身份验证结果。其中，身份验证结果可以用于指示上述人体通过身份验证或者未通过身份验证。而后，视联网可以向上述存储网关发送上述身份验证结果。

步骤607，存储网关向视联网终端发送身份验证结果。

在本实施例中，存储网关在接收到上述身份验证结果后，可以向上述视联网终端发送上述身份验证结果。

步骤608，响应于确定身份验证结果指示人体未通过身份验证，确定身份验证请求的发送次数是否小于预设次数；若是，重新通过第二摄像装置采集人体的人脸图像，并通过视联网将包含所重新采集的人脸图像的身份验证请求发送至视联网服务器。

在本实施例中，上述视联网终端还连接有显示设备。上述视联网终端响应于确定上述身份验证结果指示上述人体未通过身份验证，可以确定身份验证请求的发送次数是否小于预设次数(例如3次)。若是，可以重新通过上述第二摄像装置采集上述人体的人脸图像，并通过视联网将包含所重新采集的人脸图像的身份验证请求发送至上述视联网服务器。

实践中，在再次发送的身份验证请求后，可以重新执行步骤604-608的操作，此处不再赘述。

步骤609，响应于确定身份验证结果指示人体通过身份验证，或者，响应于确定身份验证请求的发送次数大于或等于预设次数，通过显示设备呈现身份验证结果。

在本实施例中，上述视联网终端还连接有显示设备。上述视联网终端响应于确定上述身份验证结果指示上述人体通过身份验证，或者，响应于确定身份验证请求的发送次数大于或等于上述预设次数，可以通过上述显示设备呈现上述身份验证结果。

在本实施例的一些可选的实现方式中，上述显示设备还可以呈现上述人脸图像以及对上述人脸图像的扫描动画。实践中，在拍摄完人脸图像后，上述显示设备即可显示该人脸图像，而后呈现对该人脸图像的扫描动画，直至呈现上述身份验证结果。

在本实施例的一些可选的实现方式中，上述系统还可以包括管理终端(例如台式计算机等电子设备)。上述管理终端中可以安装有验证客户端(例如用于进行身份验证的客户端)。上述管理终端可以通过上述验证客户端向上述存储网管发送检测指令，以使上述存储网管通过上述第一摄像装置检测目标区域是否存在人体。

在本实施例的一些可选的实现方式中，上述管理终端还可以在上述验证客户端中呈现上述身份验证结果。此处，该身份验证结果可以是存储网管发送给该验证客户端的。

在本发明实施例中，通过存储网关在第一摄像装置检测到目标区域存在人体后，向视联网终端发送图像采集指令；而后视联网终端启动第二摄像装置，通过第二摄像装置采集人体的人脸图像，通过视联网将包含人脸图像的身份验证请求发送至视联网服务器；之后，视联网服务器基于人脸图像，对人体进行身份验证；向存储网关发送身份验证结果；最后存储网关向视联网终端发送身份验证结果。由此，在视联网环境下，通过存储网关检测出人体后再进行人脸图像采集，可以保证待识别的用户为活体，通过对实时采集的人脸图像进行身份识别，避免了用户使用他人图片进行业务申请，从而提高了身份认证的安全性。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种身份验证系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。