身份验证方法、装置、终端、服务器及存储介质与流程

1.本技术实施例涉及身份验证领域，特别涉及一种身份验证方法、装置、终端、服务器及存储介质。


背景技术：

2.随着刷脸支付的普及，用户对刷脸支付的安全性越来越关注。
3.相关技术中，刷脸支付过程中，摄像头将采集到的人脸特征数据发送至后台服务器，以便后台服务器将该人脸特征数据与预存人脸特征数据进行比较，并在人脸特征数据相匹配后，向终端反馈身份验证结果，为了保证人脸特征数据的传输安全性，通常采用对人脸特征数据进行加密的方式传输。
4.显然，采用相关技术中的方案，虽然可以在一定程度上避免人脸特征数据的泄露，但是终端向服务器发送加密人脸特征数据的过程中，由于加密人脸特征数据在不安全的终端或网络环境中传输，若加密人脸特征数据被截获，容易发生数据重放攻击，威胁到用户的资产安全。


技术实现要素：

5.本技术实施例提供了一种身份验证方法、装置、终端、服务器及存储介质，可以提高身份验证的安全性，该技术方案如下：
6.一方面，提供了一种身份验证方法，所述方法应用于终端，所述方法包括：
7.响应于身份验证请求，获取采集到的图像流，所述图像流中包含身份验证图像帧；
8.为所述图像流中的所述身份验证图像帧添加目标序列号，得到目标图像流，其中，不同图像流对应不同序列号，且所述目标序列号基于身份验证服务器为所述终端分配的序列号生成；
9.向所述身份验证服务器发送所述目标图像流，所述身份验证服务器用于从所述目标图像流中提取所述目标序列号，并根据所述目标序列号对所述目标图像流进行数据校验，并在数据校验通过后，对所述身份验证图像帧进行生物识别，得到身份验证结果。
10.另一方面，提供了一种身份验证方法，所述方法应用于身份验证服务器，所述方法包括：
11.接收终端发送的目标图像流，所述目标图像流中包含添加有目标序列号的身份验证图像帧，所述目标序列号由所述终端基于所述身份验证服务器分配的序列号生成；
12.从所述目标图像流包含的所述身份验证图像帧中提取出所述目标序列号；
13.根据所述目标序列号对所述目标图像流进行数据校验；
14.响应于所述目标图像流通过数据校验，对所述身份验证图像帧进行生物识别，得到身份验证结果。
15.另一方面，提供了一种身份验证装置，所述装置包括：
16.获取模块，用于响应于身份验证请求，获取采集到的图像流，所述图像流中包含身
份验证图像帧；
17.生成模块，用于为所述图像流中的所述身份验证图像帧添加目标序列号，得到目标图像流，其中，不同图像流对应不同序列号，且所述目标序列号基于身份验证服务器为所述终端分配的序列号生成；
18.第一发送模块，用于向所述身份验证服务器发送所述目标图像流，所述身份验证服务器用于从所述目标图像流中提取所述目标序列号，并根据所述目标序列号对所述目标图像流进行数据校验，并在数据校验通过后，对所述身份验证图像帧进行生物识别，得到身份验证结果。
19.在一种可能的实施方式中，所述生成模块，包括：
20.第一获取单元，用于获取上一次生成的历史目标图像流中添加的历史序列号；
21.确定单元，用于根据所述历史序列号和序列号生成规则，确定所述图像流对应的所述目标序列号；
22.第一生成单元，用于为所述图像流中的所述身份验证图像帧添加所述目标序列号，得到所述目标图像流。
23.在一种可能的实施方式中，所述序列号生成规则包括递增规则和递减规则中的任意一种；
24.所述确定单元，还用于：
25.响应于所述序列号生成规则为所述递增规则，根据所述历史序列号和所述递增规则对应的递增差值，生成所述目标序列号，所述目标序列号大于所述历史序列号；
26.响应于所述序列号生成规则为所述递减规则，根据所述历史序列号和所述递减规则对应的递减差值，生成所述目标序列号，所述目标序列号小于所述历史序列号。
27.在一种可能的实施方式中，所述装置还包括：
28.第二发送模块，用于响应于所述终端中的身份验证应用程序启动，向所述身份验证服务器发送序列号获取请求，所述序列号获取请求中包含所述终端对应的机器码sn，所述身份验证服务器用于根据所述sn为所述终端分配初始序列号；
29.第一接收模块，用于接收所述身份验证服务器反馈的所述初始序列号，所述终端用于基于所述初始序列号生成所述图像流对应的目标序列号。
30.在一种可能的实施方式中，所述图像流中包括至少两路子图像流，且不同子图像流包含不同的图像信息；
31.所述生成模块，包括：
32.第二生成单元，用于为至少两路所述子图像流中同一采集时刻对应的所述身份验证图像帧添加同一帧序号和所述目标序列号，得到所述目标图像流，所述目标图像流中包括至少两路目标子图像流，所述服务器用于根据所述帧序号从至少两路所述目标子图像流中获取同一采集时刻对应的不同身份验证图像帧。
33.另一方面，提供了一种身份验证装置，所述装置包括：
34.第二接收模块，用于接收终端发送的目标图像流，所述目标图像流中包含添加有目标序列号的身份验证图像帧，所述目标序列号由所述终端基于所述身份验证服务器分配的序列号生成；
35.提取模块，用于从所述目标图像流包含的所述身份验证图像帧中提取出所述目标
序列号；
36.校验模块，用于根据所述目标序列号对所述目标图像流进行数据校验；
37.识别模块，用于响应于所述目标图像流通过数据校验，对所述身份验证图像帧进行生物识别，得到身份验证结果。
38.在一种可能的实施方式中，所述目标序列号由所述终端根据历史序列号和序列号生成规则确定，且所述序列号生成规则包括递增规则和递减规则中的任意一种；
39.所述校验模块，包括：
40.第二获取单元，用于获取所述终端上一次发送的历史目标图像流对应的所述历史序列号；
41.第一校验单元，用于响应于所述序列号生成规则为所述递增规则，且所述目标序列号大于所述历史序列号，确定所述目标图像流通过数据校验；
42.第二校验单元，用于响应于所述序列号生成规则为所述递减规则，且所述目标序列号小于所述历史序列号，确定所述目标图像流通过数据校验。
43.在一种可能的实施方式中，所述装置还包括：
44.第三接收模块，用于接收所述终端发送的序列号获取请求，所述序列号获取请求中包含所述终端对应的sn，所述序列号获取请求为所述终端在身份验证应用程序启动时向所述身份验证服务器发送的；
45.分配模块，用于根据所述sn为所述终端分配初始序列号；
46.反馈模块，用于向所述终端反馈所述初始序列号，所述终端用于基于所述初始序列号生成所述目标图像流对应的目标序列号。
47.在一种可能的实施方式中，所述目标图像流包括至少两路目标子图像流，且不同子图像流包含不同的图像信息，其中，所述身份验证图像帧中还添加有帧序号；
48.所述识别模块，包括：
49.第三获取单元，用于根据所述帧序号从至少两路所述目标子图像流中获取同一采集时刻对应的至少两帧所述身份验证图像帧；
50.识别单元，用于对至少两帧所述身份验证图像帧进行生物识别，得到身份验证结果。
51.在一种可能的实施方式中，所述目标图像流包含第一目标子图像流和第二目标子图像流；
52.所述第三获取单元，还用于：
53.根据身份验证图像帧优选规则，从所述第一目标子图像流中筛选出第一身份验证图像帧；
54.根据所述第一身份验证图像帧对应的目标帧序号，从所述第二目标子图像流中确定出第二身份验证图像帧，所述第二身份验证图像帧和所述第一身份验证图像帧对应相同帧序号；
55.所述识别单元，还用于：
56.对所述第一身份验证图像帧进行身份特征数据校验，得到身份特征数据校验结果；
57.对所述第二身份验证图像帧进行活体特征校验，得到活体特征校验结果；
58.根据所述身份特征校验结果和所述活体特征校验结果，确定所述身份验证结果。
59.另一方面，提供了一种终端，所述终端包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的身份验证方法。
60.另一方面，提供了一种服务器，所述服务器包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的身份验证方法。
61.另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的身份验证方法。
62.另一方面，根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面的各种可选实现方式中提供的身份验证方法。
63.本技术提供的技术方案可以包括以下有益效果：
64.采用本技术实施例提供的身份验证方法，通过在身份验证图像帧中添加序列号，来实现对终端发送的目标图像流(或身份验证服务器接收到的目标图像流)进行数据校验，由于终端可以为不同的目标图像流添加不同的序列号，因此，身份验证服务器可以基于序列号来判断是否重复接收相同的目标图像流，可以避免数据重放攻击，从而提高身份验证过程的安全性，避免用户信息的泄露，进而提高了用户资源信息的安全性。
65.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
66.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
67.图1示出了本技术一个示例性实施例示出的身份验证系统架构图；
68.图2示出了本技术一个示例性实施例示出的身份验证方法的流程图；
69.图3示出了本技术一个示例性实施例示出的终端获取序列号的方法的流程图；
70.图4示出了本技术一个示例性实施例示出的颁发最新序列号的过程示意图；
71.图5示出了本技术另一个示例性实施例示出的身份验证方法的流程图；
72.图6示出了本技术另一个示例性实施例示出的身份验证方法的流程图；
73.图7示出了本技术一个示例性实施例示出的为身份验证图像帧添加帧序号和目标序列号的过程示意图；
74.图8示出了本技术一个示例性实施例示出的生物识别的方法的流程图；
75.图9示出了本技术一个示例性实施例示出的身份验证过程的示意图；
76.图10示出了本技术一个示例性实施例示出的身份验证装置的结构方框图；
77.图11示出了本技术另一个示例性实施例示出的身份验证装置的结构方框图；
78.图12示出了本技术一个示例性实施例提供的终端的结构方框图；
79.图13示出了本技术一个示例性实施例提供的服务器的结构框图。
具体实施方式
80.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
81.请参考图1，其示出了本技术一个示例性实施例示出的身份验证系统架构图，所述身份验证系统包括终端101和身份验证服务器102，本技术实施例中，终端101和身份验证服务器102共同实现身份验证，且该身份验证通过生物识别进行。
82.终端101是安装有身份验证应用程序的设备。该身份验证应用程序可以是支付类应用程序(需要身份验证以完成支付)、即时聊天类应用程序(需要身份验证以登录应用程序)、购物类应用程序(需要身份验证以完成商品购买)等，本技术实施例对身份验证应用程序的类型不构成限定。该终端101可以是智能手机、平板电脑、个人计算机、支付设备(刷脸支付设备)等。本技术实施例中，终端101在向身份验证服务器102发送采集到的图像流的过程中，为了避免图像流被非法截取，从而出现数据重放攻击，导致用户资源信息受到威胁，通过为不同的图像流添加不同序列号，得到目标图像流，发送给身份验证服务器102，使得身份验证服务器102可以通过序列号对目标图像流进行数据校验。
83.终端101通过有线或无线通信方式与身份验证服务器102进行直接或间接地连接。
84.身份验证服务器102是身份验证应用程序对应的后台服务器或业务服务器。身份验证服务器102是具有身份验证功能的设备，其可以是登录验证服务器或支付验证服务器。本技术实施例中，身份验证服务器102可以接收终端101发送的身份验证请求和目标图像流，并从中提取出序列号，对该目标图像流进行数据校验，并在数据校验通过后对目标图像流中包含的身份验证图像帧进行生物识别，得到身份验证结果，并将身份验证结果反馈给终端101。可选的，本技术实施例中，身份验证服务器102中可以包含帧校验服务器103、流媒体服务器104和生物识别服务器105，其中，帧校验服务器103用于对接收到的目标图像流进行数据校验，流媒体服务器104用于对通过数据校验的目标图像流进行图像优选，得到目标身份验证图像帧；生物识别服务器105用于对目标身份验证图像帧进行生物识别，得到身份验证结果，以便身份验证服务器102将身份验证结果反馈给终端101。其中，身份验证结果可以是登录信息、支付状态等。
85.需要说明的是，下文实施例就以终端和身份验证服务器之间的交互为例，对身份验证方法进行示例性说明。
86.请参考图2，其示出了本技术一个示例性实施例示出的身份验证方法的流程图，本技术实施例以该方法应用于图1所示的身份验证系统为例进行说明，该方法包括：
87.步骤201，响应于身份验证请求，终端获取采集到的图像流，图像流中包含身份验证图像帧。
88.本技术实施例中所示的身份验证方法需要对采集到的身份验证图像帧进行生物识别实现，其中，生物识别可以是人脸识别、虹膜识别、视网膜识别、步态识别、静脉识别等。
89.基于上述通过生物识别进行身份验证的场景，身份验证请求可以是用户登录应用程序时，需要进行用户身份验证时生成的；也可以是用户进行支付时，需要进行用户身份验证时生成的；也可以是用户进入某特定场所时(比如火车站、机场等)，需要进行身份验证时生成的，本技术实施例对身份验证请求的生成场景不构成限定。
90.由于需要通过生物识别来进行身份验证，因此，在一种可能的实施方式中，以支付场景为例，当终端接收到用户对支付界面中支付控件的触发操作时，即终端接收到身份验证请求，控制终端开启摄像头，采集用户的生物图像，(比如脸部图像)，即获取到连续采集到的图像流，其中，图像流中包含多帧身份验证图像帧，用于后续基于该身份验证图像帧进行身份验证。
91.本技术实施例中，以流式识别为例进行身份验证的方法说明，对应的图像流为连续一段时间采集到的多帧身份验证图像帧的集合，或单次身份验证请求时间内摄像头采集到的多帧身份验证图像帧的集合。
92.步骤202，终端为图像流中的身份验证图像帧添加目标序列号，得到目标图像流，其中，不同图像流对应不同序列号，且目标序列号基于身份验证服务器为终端分配的序列号生成。
93.为了避免数据重放攻击，即避免其他用户截取终端发送的图像流，并将该图像流重新发送给身份验证服务器，再次进行身份验证，导致用户身份信息泄露，本技术实施例中，通过身份验证服务器为终端颁发序列号，由终端基于该序列号生成为身份验证图像帧添加的目标序列号，使得终端发送的不同图像流均具备不同序列号，对应的身份验证服务器可以基于该目标序列号来校验是否重复接收目标图像流。
94.可选的，身份验证服务器可以在终端每次存在身份验证请求时，均为终端分配序列号，或者是在每次终端启动后，为终端分配序列号；或者是终端中身份验证程序启动后，为终端分配序列号，本技术实施例对身份验证服务器为终端分配序列号的时机不构成限定。
95.其中，在添加目标序列号时，对同一图像流中的多帧身份验证图像帧均添加同一目标序列号，对应的，身份验证服务器需要对同一目标图像流中的多帧身份验证图像帧均进行数据校验。
96.可选的，也可以仅对部分身份验证图像帧添加目标序列号，或随机对某帧或多帧身份验证图像帧添加目标序列号，本技术实施例对此不构成限定。
97.在一个示例性的例子中，序列号可以是数字，比如，“8”，也可以是有序性的数列，比如“13610”，本技术实施例对此不构成限定。
98.针对为身份验证图像帧添加目标序列号的方式，在一种可能的实施方式中，可以通过水印或其他方式添加至身份验证图像帧上，需要说明的是，在添加目标序列号时，为了避免目标序列号影响到后续身份验证服务器的生物识别过程，需要保证目标序列号不遮挡身份验证图像帧中目标对象(即生物识别的对象)的所在区域。
99.在一个示例性的例子中，可以直接将目标序列号添加至身份验证图像帧的边角，比如，左下角、右下角等，可以有效降低对生物识别的影响。
100.可选的，终端也可以通过对采集到的身份验证图像帧进行轮廓识别，以便将目标序列号添加至轮廓之外的区域，保证身份验证图像帧的有效性。
101.可选的，终端设置有视频水印处理器，用于对身份验证图像帧添加目标序列号。
102.步骤203，终端向身份验证服务器发送目标图像流。
103.在一种可能的实施方式中，终端在生成目标图像流后，即将目标图像流发送至身份验证服务器，由身份验证服务器从目标图像流中提取目标序列号，并根据目标序列号对目标图像流进行数据校验，并在数据校验通过后，对身份验证图像帧进行生物识别，得到身份验证结果。
104.步骤204，身份验证服务器接收终端发送的目标图像流。
105.相对的，身份验证服务器接收到终端发送的目标图像流，其中，目标图像流中包含添加有目标序列号的身份验证图像帧，目标序列号由终端基于身份验证服务器分配的序列号生成。
106.步骤205，身份验证服务器从目标图像流包含的身份验证图像帧中提取出目标序列号。
107.不同于相关技术中身份验证服务器在接收到目标图像流之后，直接对目标图像流中包含的身份验证图像帧进行生物识别，本技术实施例中，身份验证服务器首先从目标图像流中包含的多帧身份验证图像帧中提取出目标序列号，用于后续对目标图像流进行数据校验。
108.步骤206，身份验证服务器根据目标序列号对目标图像流进行数据校验。
109.在一种可能的实施方式中，身份验证服务器基于目标序列号对目标图像流进行数据校验，由于终端在不同的图像流中添加有不同的序列号，因此，可以将目标序列号与历史序列号进行比较，若不相同，则表示，该目标图像流并非重放数据，否则为重放数据。
110.步骤207，响应于目标图像流通过数据校验，身份验证服务器对身份验证图像帧进行生物识别，得到身份验证结果。
111.在一种可能的实施方式中，若身份验证服务器确定目标图像流并非数据重放，则可以进行后续对目标图像流中的身份验证图像帧进行生物识别的过程，以得到身份验证结果，并将身份验证结果反馈给终端。
112.比如，若该身份验证请求是基于用户登录场景下的请求，则对应的身份验证结果可以是用户登录成功或失败，或返回用户的登录信息；若身份验证请求是基于用户支付场景下的请求，则对应的身份验证结果可以是用户支付成果或失败，或返回用户的支付信息等。
113.综上所述，本技术实施例中，通过在身份验证图像帧中添加序列号，来实现对终端发送的目标图像流(或身份验证服务器接收到的目标图像流)进行数据校验，由于终端可以为不同的目标图像流添加不同的序列号，因此，身份验证服务器可以基于序列号来判断是否重复接收相同的目标图像流，可以避免数据重放攻击，从而提高身份验证过程的安全性，避免用户信息的泄露，进而提高了用户资源信息的安全性。
114.若每次终端存在身份验证需求，身份验证服务器均需要为该终端分配序列号，显然会增加身份验证服务器的处理量，因此，在一种可能的实施方式中，设定终端在检测到存在身份验证需求的应用程序启动(即身份验证应用程序)时，由终端向身份验证服务器发送序列号获取请求，从而获取身份验证服务器为终端颁发的最新序列号。
115.请参考图3，其示出了本技术一个示例性实施例示出的终端获取序列号的方法的
流程图，本技术实施例以该方法应用于图1所示的身份验证系统为例进行说明，该方法包括：
116.步骤301，响应于终端中的身份验证应用程序启动，终端向身份验证服务器发送序列号获取请求，序列号获取请求中包含终端对应的机器码sn。
117.其中，身份验证应用程序可以是支付类应用程序、购物类应用程序、即时聊天类应用程序、游戏类应用程序，只要涉及到需要进行身份验证的应用程序均可。
118.在一种可能的实施方式中，当终端检测到身份验证应用程序启动后，即可能存在身份验证需求，此时，为了保证后续身份验证过程的安全性，需要由终端向身份验证服务器请求最新序列号(即初始序列号)，以便终端后续根据该初始序列号确定后续为目标图像流添加的目标序列号。
119.由于身份验证服务器对应多个终端，为了避免不同终端之间序列号的混淆，从而影响后续身份验证过程，因此，在一种可能的实施方式中，终端通过携带自身对应的机器码(serial number，sn)，来区分不同终端发送的序列号获取请求，以及区分为不同终端分配的序列号，则对应的，身份验证服务器则根据该sn为该终端分配初始序列号。
120.步骤302，身份验证服务器接收终端发送的序列号获取请求。
121.其中，序列号获取请求中包含终端对应的sn，以便身份验证服务器基于该sn区分不同终端，以及为不同终端分配的序列号。
122.步骤303，身份验证服务器根据sn为终端分配初始序列号。
123.在一种可能的实施方式中，身份验证服务器中设置有序列号数据库，该序列号数据库中即存储有sn与最新序列号(初始序列号)的对应关系，当身份验证服务器接收到终端发送的序列号获取请求后，即从中确定出sn，并根据该sn去序列号数据库中查找最新序列号，并将查找到的最新序列号(初始序列号)反馈给终端。
124.可选的，若根据该sn可以在序列号数据库中查找到该终端对应的最新序列号，则直接将该最新序列号作为初始序列号反馈给终端，若根据sn在序列号数据库中未查找到对应的最新序列号，则为该终端创建新的序列号，并将创建出的新序列号反馈给终端。
125.步骤304，身份验证服务器向终端反馈初始序列号。
126.在一种可能的实施方式中，终端在查找或创建出最新序列号(初始序列号后)，则将初始序列号反馈给终端。
127.步骤305，终端接收身份验证服务器反馈的初始序列号，终端用于基于初始序列号生成图像流对应的目标序列号。
128.对应的，终端接收到身份验证服务器发送的初始序列号，并存储在终端中，以便身份验证应用程序存在身份验证需求时，基于该初始序列号确定为图像流添加的目标序列号。
129.在一种可能的应用场景中，由于该初始序列号为身份验证服务器为终端颁发的最新序列号，则对应的不存在历史目标图像流中添加有该初始序列号，则终端可以直接将该初始序列号作为后续图像流(即身份验证应用程序启动后第一次生成的图像流或接收到初始序列号后第一次生成的图像流)中添加的目标序列号。
130.可选的，在获取到初始序列号后，也可以采用预设的序列号生成规则，基于该初始序列号生成后续图像流的目标序列号，比如，在初始序列号上增加一定数值或在初始序列
号中减少一定数值等。
131.在一个示例性的例子中，如图4所示，其示出了本技术一个示例性实施例示出的颁发最新序列号的过程示意图。其中，终端401中安装有身份验证应用程序403，身份验证服务器402中设置有帧校验服务器404；当终端401检测到身份验证应用程序403启动时，即向身份验证服务器402发送序列号获取请求，该序列号获取请求中包含终端401对应的sn，则对应的身份验证服务器402接收到终端401发送的序列号获取请求后，由帧校验服务器404根据该sn从序列号数据库405中查找该sn对应的最新序列号，若存在，则将查找到的最新序列号反馈给终端401，若未查找到，则为该sn创建最新序列号，反馈给终端401。
132.需要说明的是，本实施例中所示的实施方法可以在终端采集图像流之前进行，即终端获取到初始序列号后，后续存在身份验证请求时，会基于该初始序列号(最新序列号)生成图像流对应的目标序列号。
133.本实施例中，终端在身份验证应用程序启动后，向身份验证服务器发送序列号获取请求，由身份验证服务器为终端颁发最新序列号，以便终端在后续身份验证过程中，可以基于该最新序列号生成为后续图像流添加的目标序列号，避免身份验证服务器对于每次身份验证请求均为终端颁发序列号，减少身份验证服务器的处理量。
134.由于数据重放攻击是在身份验证服务器已经接收到目标图像流后，再次接收到相同的目标图像流导致的攻击，因此，在预防数据重放攻击时，可以将本次目标图像流对应的目标序列号与上一次目标图像流对应的历史序列号进行比较，若目标序列号相同，则表示可能存在数据重放攻击，若不同，则表示为正常请求。
135.请参考图5，其示出了本技术另一个示例性实施例示出的身份验证方法的流程图，本技术实施例以该方法应用于图1所示的身份验证系统为例进行说明，该方法包括：
136.步骤501，响应于身份验证请求，终端获取采集到的图像流，图像流中包含身份验证图像帧。
137.步骤501的实施方式可以参考步骤201，本实施例在此不做赘述。
138.步骤502，终端获取上一次生成的历史目标图像流中添加的历史序列号。
139.由于终端中仅存储有身份验证服务器为终端颁发的最新序列号，而下次颁发最新序列号的时机为身份验证应用程序再次启动后，则为了保证身份验证应用程序运行期间内发送的多次图像流中可以添加不同的序列号，则在确定目标序列号时，就需要获取终端上一次生成的历史目标图像流中添加的历史序列号，来生成与之不同的目标序列号。
140.步骤503，终端根据历史序列号和序列号生成规则，确定图像流对应的目标序列号。
141.由于身份验证应用程序在启动后，可能存在多次身份验证序列，而终端中仅存储有身份验证服务器为终端颁发的一个最新序列号，为了保证在身份验证应用程序启动后多次发送的图像流中均对应不同序列号，且无需身份验证服务器为终端连续颁发最新序列号，可以在终端中设置一定的序列号生成规则，以便根据该序列号生成规则和历史序列号，生成图像流对应的目标序列号。
142.其中，序列号生成规则可以是身份验证服务器和终端共同协商确定的，其可以与身份验证服务器中序列号生成规则一致，也可以与身份验证服务器中序列号生成规则不同，本技术实施例对此不构成限定。
143.其中，序列号生成规则可以是递增规则、递减规则或其他有序规则中的任意一种，本技术实施例对此不构成限定。
144.本技术实施例以递增规则和递减规则为例，生成目标序列号的过程可以包括以下步骤：
145.一、响应于序列号生成规则为递增规则，根据历史序列号和递增规则对应的递增差值，生成目标序列号，目标序列号大于历史序列号。
146.其中，递增规则指序列号按照预设递增差值增加。
147.在一种可能的实施方式中，若终端采用递增规则来生成目标序列号，则在获取到历史序列号，为了使得本次发送的目标图像流中添加的目标序列号不同于上一次目标图像流中添加的目标序列号，则可以在历史序列号的基础上，增加递增规则对应的递增差值，得到新的目标序列号。
148.在一个示例性的例子中，若历史序列号为“8”，递增差值为“3”，则对应的目标序列号为“11”。
149.二、响应于序列号生成规则为递减规则，根据历史序列号和递减规则对应的递减差值，生成目标序列号，目标序列号小于历史序列号。
150.与递增规则相反，递减规则指序列号按照预设递减差值减少。
151.在一种可能的实施方式中，若终端采用递减规则来生成目标序列号，则在获取到历史序列号，为了使得本次发送的目标图像流中添加的目标序列号不同于上一次目标图像流中添加的目标序列号，则可以在历史序列号的基础上，减少递减规则对应的递减差值，从而得到新的目标序列号。
152.在一个示例性的例子中，若历史序列号为“25”，递减差值为“5”，则对应的目标序列号为“20”。
153.可选的，为了进一步保证序列号的安全性，避免非法用户获取到终端的序列号生成规则，从而可以人为篡改目标图像流对应的目标序列号，从而导致数据重放攻击，在一种可能的实施方式中，可以每隔预定时间、或在预定时刻更新终端中的序列号生成规则，以便提高序列号生成规则的安全性，从而提高目标序列号的安全性，进而保证身份验证过程的安全性。
154.步骤504，终端为图像流中的身份验证图像帧添加目标序列号，得到目标图像流。
155.由于身份验证服务器后续需要获取该终端上次发送的历史目标图像流对应的历史序列号，用于进行数据校验，因此，为了区分不同终端，在发送目标图像流的同时可以携带该终端对应的sn，以便身份验证服务器可以在序列号数据库中查找该sn对应的历史序列号。
156.其中，该sn可以直接与目标图像流一起发送至身份验证服务器，也可以预先将sn与目标序列号组合一起添加在身份验证图像帧中，本技术实施例对此不构成限定。
157.步骤505，终端向身份验证服务器发送目标图像流。
158.步骤506，身份验证服务器接收终端发送的目标图像流。
159.步骤507，身份验证服务器从目标图像流包含的身份验证图像帧中提取出目标序列号。
160.步骤504至步骤507的实施方式可以参考上文实施例，本实施例在此不做赘述。
161.步骤508，身份验证服务器获取终端上一次发送的历史目标图像流对应的历史序列号。
162.由于终端在为图像流添加目标序列号时，目标序列号与上一次终端生成的历史目标图像流中添加的历史序列号不同，因此，对应的身份验证服务器在对终端发送的目标图像流进行数据校验时，也可以将当前接收到的目标序列号与上一次接收到的目标序列号进行比较，即身份验证服务器获取该终端上一次发送的历史目标图像流对应的历史序列号。
163.其中，由于身份验证服务在接收目标图像流的同时，也接收到该终端对应的sn，因此，可以基于该sn去序列号数据库中查找对应的历史序列号。
164.由于身份验证服务器仅存储有身份验证应用程序启动后向终端颁发的最新序列号，而在身份验证应用程序运行期间，可能接收多次目标图像流，则身份验证服务器为了对每次接收到的目标图像流均进行数据校验，则需要实时更新序列号数据库中该终端对应的序列号，以作为下次接收到目标图像流后，可以基于上一次接收到历史序列号对该目标序列号进行数据校验。
165.在一个示例性的例子中，若身份验证服务器接收到终端发送的第三次目标图像流，该第三次目标图像流中携带目标序列号a，身份验证服务器获取该终端发送的第二次目标图像流对应的历史序列号b，将该历史序列号b与该目标序列号a比较，以进行数据校验；并更新序列号数据库中该终端对应的历史序列号为目标序列号a，以便在接收到该终端发送的第四次目标图像流后，基于该目标序列号a对该第四次目标图像流进行数据校验。
166.步骤509，响应于序列号生成规则为递增规则，且目标序列号大于历史序列号，身份验证服务器确定目标图像流通过数据校验。
167.为了保证接收到的目标图像流并不是重复的目标图像流，在一种可能的实施方式中，身份验证服务器可以基于历史序列号与目标序列号的关系，来确定目标图像流是否为重放数据。
168.对应于上文实施例中，终端中设置有序列号生成规则，则对应的身份验证服务器也需要基于该序列号生成规则来进行数据校验，以便比较历史序列号和目标序列号之间的关系，从而确定目标图像流是否通过数据校验。
169.在一种可能的实施方式中，若序列号生成规则为递增规则，则身份验证服务器接收到的目标图像流对应的目标序列号会随着接收次数的增加而增加，对应的只有在目标序列号大于历史序列号的情况下，才可以表明目标图像流通过数据校验，反之，若目标序列号小于或等于历史序列号，则表明该目标图像流可能存在数据重放的情况。
170.步骤510，响应于序列号生成规则为递减规则，且目标序列号小于历史序列号，身份验证服务器确定目标图像流通过数据校验。
171.与递增规则相反，若序列号生成规则为递减规则，则身份验证服务器接收到的目标图像流对应的目标序列号会随着接收次数的增加而减少，对应的，只有在确定出目标序列号小于历史序列号的情况下，才可以表明目标图像流通过数据校验，反之，若目标序列号大于或等于历史序列号，则表明该目标图像流可能存在数据重放的情况。
172.步骤511，响应于目标图像流通过数据校验，身份验证服务器对身份验证图像帧进行生物识别，得到身份验证结果。
173.在一种可能的实施方式中，若确定出目标图像流通过数据校验，则可以从目标图
像流中筛选出身份验证图像帧进行生物识别，得到身份验证结果并反馈给终端，否则，若历史序列号和目标序列号的关系不符合预设关系(即上文实施例中所示的两种关系)，则表示该目标图像流可能为重放数据，为了保证身份验证过程的安全性，停止后续生物识别过程，并向终端返回识别异常，提醒用户重新进行身份验证。
174.本实施例中，通过历史序列号和序列号生成规则，来生成为目标图像流中添加的目标序列号，实现不依赖于身份验证服务器实时为终端发送最新序列号，也可以为不同图像流添加不同序列号，减少身份验证服务器的处理量；而且，对应的在身份验证服务器侧，可以实现基于历史序列号和目标序列号之间的关系对目标图像流进行数据校验。
175.由于本技术实施例是基于生物识别的身份验证方式，在进行生物识别过程中，除了对身份特征数据(即待识别目标对象的外部特征数据)进行验证之外，还需要验证身份验证图像帧采集到的目标对象是否具备活体特征，因此，在一种可能的实施方式中，终端采集到至少两路图像流，且不同图像流对应不同图像信息，下文实施例即就终端采集到至少两路图像流的情况下的身份验证过程进行示例性说明。
176.请参考图6，其示出了本技术另一个示例性实施例示出的身份验证方法的流程图，本技术实施例以该方法应用于图1所示的身份验证系统为例进行说明，该方法包括：
177.步骤601，响应于身份验证请求，终端获取采集到的至少两路子图像流，不同子图像流包含不同的图像信息。
178.为了提高生物识别的准确性，避免出现利用非生物对象进行识别，在进行生物识别过程中，一般终端设置有专有摄像头组件，比如，3d摄像头，采集得到多路图像流，用于后续进行生物识别。
179.其中，至少两路子图像流可以为彩色rgb图像流和红外图像流；也可以是rgb图像流和深度图像流，也可以是rgb图像流、红外图像流和深度图像流，其中，rgb图像流用于进行身份特征数据校验，而深度图像流和红外图像流则均可以被用于进行活体特征校验。
180.对应上述示出的至少两路图像流，则对应的终端可能设置有至少两种图像帧采集组件，比如：可以包括rgb图像帧采集组件和红外图像帧采集组件；或rgb图像帧采集组件和深度图像帧采集组件；或rgb图像帧采集组件、红外图像帧采集组件和深度图像帧采集组件。可选的，终端可以设置具备采集至少两路图像流的摄像头组件等，本技术实施例对终端设置的摄像头组件不构成限定。
181.步骤602，终端为至少两路子图像流中同一采集时刻对应的身份验证图像帧添加同一帧序号和目标序列号，得到目标图像流，目标图像流中包括至少两路目标子图像流。
182.由于是在身份验证服务器侧进行图像优选，而为了保证身份验证服务器可以对同一采集时刻对应的身份验证图像帧进行生物识别，因此，在一种可能的实施方式中，需要终端侧在采集到图像流后，为至少两路子图像流中同一采集时刻对应的身份验证图像帧添加相同的帧序号，以便服务器可以根据帧序号从至少两路目标子图像流中获取同一采集时刻对应的不同身份验证图像帧。
183.可选的，针对为身份验证图像帧添加帧序号的时机，可以将帧序号与目标序列号组合，一起添加至身份验证图像帧。
184.在一种可能的实施方式中，终端中设置有帧序号生成器，用于为同一图像流(包括至少两路子图像流)中各个采集时刻的身份验证图像帧生成帧序号，且在生成帧序号的过
程中，需要保证不同采集时刻对应不同帧序号。
185.其中，帧序号可以是通用唯一标识码(universally unique identifier，uuid)或者是时间戳，只需要保证该图像流中帧序号的唯一性即可。
186.在一个示例性的例子中，如图7所示，其示出了本技术一个示例性实施例示出的为身份验证图像帧添加帧序号和目标序列号的过程示意图。其中，3d摄像头702采集到三路图像流，包括rgb流、深度流和红外流，其中，每路图像流中均对应多帧身份验证图像帧，其中，在终端获取到三路图像流后，即将目标序列号(seq_id)添加至三路图像流中的多帧身份验证图像帧中，且帧序号生成器701可以根据各帧身份验证图像帧的采集时刻，生成各个采集时刻分别对应的帧序号，比如，对于帧数据1，生成id1，并将id1添加至帧数据1中的rgb、深度、红外等身份验证图像帧中，依次类推，可以实现为每帧身份验证图像帧添加帧序号和目标序列号。
187.在一个示例性的例子中，与终端采集到的多路图像流对应，则生成的目标图像流可以包括目标rgb图像流和目标红外图像流；或目标rgb图像流和目标深度图像流；或目标rgb图像流、目标红外图像流和目标深度图像流。
188.步骤603，终端向身份验证服务器发送目标图像流。
189.由于终端最终生成至少两路目标子图像流，则对应的向身份验证服务器发送至少两路目标子图像流。
190.步骤604，身份验证服务器接收终端发送的目标图像流，目标图像流中包含至少两路目标子图像流。
191.对应的，身份验证服务器可以接收到终端发送的至少两路目标子图像流。
192.步骤605，身份验证服务器从目标图像流包含的身份验证图像帧中提取出目标序列号。
193.由于身份验证服务器接收到至少两路目标子图像流，则在进行数据校验过程中，需要对应从至少两路目标子图像流中获取所有的目标序列号，并对各路目标子图像流进行数据校验。
194.步骤606，身份验证服务器根据目标序列号对目标图像流进行数据校验。
195.步骤606的实施方式可以参考上文实施例，本实施例对此不构成限定。
196.步骤607，响应于目标图像流通过数据校验，身份验证服务器根据帧序号从至少两路目标子图像流中获取同一采集时刻对应的至少两帧身份验证图像帧。
197.由于进行生物识别时，需要对同一采集时刻对应的多帧身份验证图像帧进行识别，而终端为同一采集时刻对应的多帧身份验证图像帧均添加有相同的帧序号，因此，在一种可能的实施方式中，身份验证服务器可以根据帧序号从多路图像流中准确确定出同一采集时刻对应的至少两帧身份验证图像帧。
198.步骤608，身份验证服务器对至少两帧身份验证图像帧进行生物识别，得到身份验证结果。
199.在一种可能的实施方式中，身份验证服务器对获取到的至少两帧身份验证图像帧进行生物识别，从而在身份特征数据校验和活体特征校验两个方面完成身份验证，并将身份验证结果反馈给终端。
200.本实施例中，在终端采集到至少两路子图像流的情况下，通过对至少两路子图像
流中同一采集时刻对应的身份验证图像帧添加相同序列号，以便在身份验证服务器确定目标图像流通过数据校验后，可以基于帧序号准确获取到同一采集时刻对应的至少两帧身份验证图像帧，从而进行后续生物识别过程，进而提高身份验证结果的准确性。
201.下文实施例中以终端采集到两路子图像流为例，描述身份验证服务器对目标图像流进行生物识别的过程。
202.请参考图8，其示出了本技术一个示例性实施例示出的生物识别的方法的流程图，本技术实施例以该方法应用于图1所示的身份验证服务器为例进行说明，该方法包括：
203.步骤801，根据身份验证图像帧优选规则，从第一目标子图像流中筛选出第一身份验证图像帧。
204.不同于相关技术中在终端侧进行图像优选，本技术实施例中，终端无需进行图像优选，而是将图像优先逻辑设置在身份验证服务器侧，即终端只需要负责采集图像流和为身份验证图像帧添加帧序号和目标序号等过程，可以降低对终端侧硬件配置的要求。
205.其中，身份验证图像帧优选规则可以包括完整度或清晰度，完整度指身份验证图像帧中包含的目标对象的完整度，目标对象即生物识别的对象，比如，生物识别为人脸识别时，完整度即身份验证图像中脸部区域的完整度，若生物识别为虹膜识别，则完整度即眼部区域的完整度。清晰度即指身份验证图像帧中目标对应的清晰度。
206.可选的，可以设置有完整度阈值和清晰度阈值，以便实现对身份验证图像帧的筛选。
207.在一个示例性的例子中，完整阈值可以是98％，清晰度阈值可以是95％，则对应的从第一目标子图像流中筛选出完整度超过98％，且清晰度超过95％的身份验证图像帧作为第一身份验证图像帧。
208.由于图像优先的目的是为了确定采集到的目标对象是否完整或清晰，因此，对于终端中采集到的各路图像流中，一般基于rgb图像流进行图像优先，即第一目标子图像流为目标rgb图像流。
209.步骤802，根据第一身份验证图像帧对应的目标帧序号，从第二目标子图像流中确定出第二身份验证图像帧，第二身份验证图像帧和第一身份验证图像帧对应相同帧序号。
210.在一种可能的实施方式中，当从第一目标子图像流中筛选出第一身份验证图像帧后，还需要获取其他路图像流中与该第一身份验证图像帧为同一采集时刻的图像帧，由于同一采集时刻对应的身份验证图像帧对应同一帧序号，因此，可以基于第一身份验证图像帧对应的帧序号，从其他路目标子图像流(比如，第二目标子图像流)中确定出第二身份验证图像帧。
211.其中，第二目标子图像流可以是红外图像流或深度图像流。
212.可选的，若身份验证服务器接收到三路目标图像流，则对应的从目标rgb图像流中筛选出第一身份验证图像帧，再根据第一身份验证图像帧对应的帧序号从目标红外图像流和目标深度图像流中筛选出其他身份验证图像帧，得到同一采集时刻对应的三帧身份验证图像帧。
213.步骤803，对第一身份验证图像帧进行身份特征数据校验，得到身份特征数据校验结果。
214.其中，身份特征数据校验是为了确定身份验证图像帧中包含的目标对应的特征是
否与预存的目标对象特征相匹配，比如，身份验证图像帧中包含人脸脸部特征，则对应的需要将该人脸脸部特征与预存脸部特征比较，以确定是否与预存脸部特征匹配。
215.在一种可能的实施方式中，对第一身份验证图像帧进行身份特征数据校验后，即从第一身份验证图像帧中提取出身份特征数据，与预存身份特征数据进行比较，若两者相匹配，则表示身份特征数据校验通过，继续进行活体特征校验，否则，不通过，向终端返回身份验证失败。
216.步骤804，对第二身份验证图像帧进行活体特征校验，得到活体特征校验结果。
217.由于生物识别中，不仅要求身份特征数据匹配，还要求识别对象具有活体特征，因此，在身份特征数据校验通过后，还需要对第二身份验证图像帧进行活体特征校验。
218.在一种可能的实施方式中，第二身份验证图像帧具有深度信息或红外信息，则对应的可以基于第二身份验证图像帧进行活体特征校验，得到活体特征校验结果。
219.需要说明的是，步骤803和步骤804可以同时执行，也可以先执行步骤803，再执行步骤804，或先执行步骤804，再执行步骤803，本实施例对此不构成限定。
220.在另一种可能的应用场景中，可能筛选出的多帧身份验证图像帧未通过生物识别时，可能是身份验证图像帧优选有误导致的，则可以从多路图像流中重新进行图像优选，并重新进行身份验证。
221.步骤805，根据身份特征校验结果和活体特征校验结果，确定身份验证结果。
222.在一种可能的实施方式中，若身份特征数据校验结果和活体特征校验结果均指示通过校验，则表示通过身份验证，则向终端返回身份验证结果，比如，用户登录信息、用户支付信息等，以便终端进行后续相关业务操作；否则，则向终端返回身份验证未通过。
223.本实施例中，以终端采集到两路子图像流为例，描述了身份验证服务器在接收到两路目标子图像流后，如何对其进行生物识别的过程；此外，将图像优选逻辑设置在身份验证服务器侧，可以降低对终端配置的要求，同时若身份验证服务器侧生物识别失败，可以首先在身份验证服务器接收到的图像流中重新进行图像优选和生物识别，减少终端需要重新进行图像帧采集的次数。
224.请参考图9，其示出了本技术一个示例性实施例示出的身份验证过程的示意图。终端901中设置有3d摄像头904、视频帧水印处理器903和帧序号生成器905，身份验证服务器902中设置有序列号数据库909、帧校验服务器906、流媒体服务器907和生物识别服务器908。当终端901检测到身份验证请求时，控制3d摄像头904启动，采集多路图像流(裸数据)，并将采集到的多路图像流发送至视频帧水印处理器903进行处理，即为图像流中的身份验证图像帧添加帧序号和目标序列号，得到目标图像流，其中，帧序号由帧序号生成器905生成。终端901将生成的目标图像流和sn发送至身份验证服务器902，首先由帧校验服务器906对目标图像流进行数据校验，从目标图像流中提取出目标序列号，并根据目标序列号和sn去序列号数据库中查找该sn对应的历史序列号(上一次接收到目标图像流对应的目标序列号)，帧校验服务器906通过比较历史序列号和目标序列号，对目标图像流进行数据校验，若数据校验通过，则帧校验服务器906将目标图像流发送至流媒体服务器907进行图像优选，得到多帧身份验证图像帧，并将多帧身份验证图像帧发送至生物识别服务器908，由生物识别服务器908对多帧身份验证图像帧进行生物识别，得到识别结果，若识别结果指示身份验证通过，则将用户信息反馈给终端901，若识别结果指示身份验证通过，首先将识别结果反
馈给流媒体服务器907，由流媒体服务器907重新进行图像优选，重新进行生物识别。
225.需要说明的是，上述各个实施例中，以终端为执行主体的步骤可以单独实现成为终端中的身份验证方法，以身份验证服务器为执行主体的步骤可以单独实现成为身份验证服务器中的身份验证方法，本技术实施例在此不再赘述。
226.请参考图10，其示出了本技术一个示例性实施例示出的身份验证装置的结构方框图。该身份验证装置可以实现成为终端的部分或全部，该身份验证装置可以包括：
227.获取模块1001，用于响应于身份验证请求，获取采集到的图像流，所述图像流中包含身份验证图像帧；
228.生成模块1002，用于为所述图像流中的所述身份验证图像帧添加目标序列号，得到目标图像流，其中，不同图像流对应不同序列号，且所述目标序列号基于身份验证服务器为所述终端分配的序列号生成；
229.第一发送模块1003，用于向所述身份验证服务器发送所述目标图像流，所述身份验证服务器用于从所述目标图像流中提取所述目标序列号，并根据所述目标序列号对所述目标图像流进行数据校验，并在数据校验通过后，对所述身份验证图像帧进行生物识别，得到身份验证结果。
230.可选的，所述生成模块1002，包括：
231.第一获取单元，用于获取上一次生成的历史目标图像流中添加的历史序列号；
232.确定单元，用于根据所述历史序列号和序列号生成规则，确定所述图像流对应的所述目标序列号；
233.第一生成单元，用于为所述图像流中的所述身份验证图像帧添加所述目标序列号，得到所述目标图像流。
234.可选的，所述序列号生成规则包括递增规则和递减规则中的任意一种；
235.所述确定单元，还用于：
236.响应于所述序列号生成规则为所述递增规则，根据所述历史序列号和所述递增规则对应的递增差值，生成所述目标序列号，所述目标序列号大于所述历史序列号；
237.响应于所述序列号生成规则为所述递减规则，根据所述历史序列号和所述递减规则对应的递减差值，生成所述目标序列号，所述目标序列号小于所述历史序列号。
238.可选的，所述装置还包括：
239.第二发送模块，用于响应于所述终端中的身份验证应用程序启动，向所述身份验证服务器发送序列号获取请求，所述序列号获取请求中包含所述终端对应的机器码sn，所述身份验证服务器用于根据所述sn为所述终端分配初始序列号；
240.第一接收模块，用于接收所述身份验证服务器反馈的所述初始序列号，所述终端用于基于所述初始序列号生成所述图像流对应的目标序列号。
241.可选的，所述图像流中包括至少两路子图像流，且不同子图像流包含不同的图像信息；
242.所述生成模块1002，包括：
243.第二生成单元，用于为至少两路所述子图像流中同一采集时刻对应的所述身份验证图像帧添加同一帧序号和所述目标序列号，得到所述目标图像流，所述目标图像流中包括至少两路目标子图像流，所述服务器用于根据所述帧序号从至少两路所述目标子图像流
中获取同一采集时刻对应的不同身份验证图像帧。
244.综上所述，本技术实施例中，通过在身份验证图像帧中添加序列号，来实现对终端发送的目标图像流(或身份验证服务器接收到的目标图像流)进行数据校验，由于终端可以为不同的目标图像流添加不同的序列号，因此，身份验证服务器可以基于序列号来判断是否重复接收相同的目标图像流，可以避免数据重放攻击，从而提高身份验证过程的安全性，避免用户信息的泄露，进而提高了用户资源信息的安全性。
245.请参考图11，其示出了本技术另一个示例性实施例示出的身份验证装置的结构方框图。该身份验证装置可以实现成为身份验证服务器的部分或全部，该身份验证装置可以包括：
246.第二接收模块1101，用于接收终端发送的目标图像流，所述目标图像流中包含添加有目标序列号的身份验证图像帧，所述目标序列号由所述终端基于所述身份验证服务器分配的序列号生成；
247.提取模块1102，用于从所述目标图像流包含的所述身份验证图像帧中提取出所述目标序列号；
248.校验模块1103，用于根据所述目标序列号对所述目标图像流进行数据校验；
249.识别模块1104，用于响应于所述目标图像流通过数据校验，对所述身份验证图像帧进行生物识别，得到身份验证结果。
250.可选的，所述目标序列号由所述终端根据历史序列号和序列号生成规则确定，且所述序列号生成规则包括递增规则和递减规则中的任意一种；
251.所述校验模块1103，包括：
252.第二获取单元，用于获取所述终端上一次发送的历史目标图像流对应的所述历史序列号；
253.第一校验单元，用于响应于所述序列号生成规则为所述递增规则，且所述目标序列号大于所述历史序列号，确定所述目标图像流通过数据校验；
254.第二校验单元，用于响应于所述序列号生成规则为所述递减规则，且所述目标序列号小于所述历史序列号，确定所述目标图像流通过数据校验
255.可选的，所述装置还包括：
256.第三接收模块，用于接收所述终端发送的序列号获取请求，所述序列号获取请求中包含所述终端对应的sn，所述序列号获取请求为所述终端在身份验证应用程序启动时向所述身份验证服务器发送的；
257.分配模块，用于根据所述sn为所述终端分配初始序列号；
258.反馈模块，用于向所述终端反馈所述初始序列号，所述终端用于基于所述初始序列号生成所述目标图像流对应的目标序列号。
259.可选的，所述目标图像流包括至少两路目标子图像流，且不同子图像流包含不同的图像信息，其中，所述身份验证图像帧中还添加有帧序号；
260.所述识别模块1104，包括：
261.第三获取单元，用于根据所述帧序号从至少两路所述目标子图像流中获取同一采集时刻对应的至少两帧所述身份验证图像帧；
262.识别单元，用于对至少两帧所述身份验证图像帧进行生物识别，得到身份验证结
果。
263.可选的，所述目标图像流包含第一目标子图像流和第二目标子图像流；
264.所述第三获取单元，还用于：
265.根据身份验证图像帧优选规则，从所述第一目标子图像流中筛选出第一身份验证图像帧；
266.根据所述第一身份验证图像帧对应的目标帧序号，从所述第二目标子图像流中确定出第二身份验证图像帧，所述第二身份验证图像帧和所述第一身份验证图像帧对应相同帧序号；
267.所述识别单元，还用于：
268.对所述第一身份验证图像帧进行身份特征数据校验，得到身份特征数据校验结果；
269.对所述第二身份验证图像帧进行活体特征校验，得到活体特征校验结果；
270.根据所述身份特征校验结果和所述活体特征校验结果，确定所述身份验证结果。
271.综上所述，本技术实施例中，通过在身份验证图像帧中添加序列号，来实现对终端发送的目标图像流(或身份验证服务器接收到的目标图像流)进行数据校验，由于终端可以为不同的目标图像流添加不同的序列号，因此，身份验证服务器可以基于序列号来判断是否重复接收相同的目标图像流，可以避免数据重放攻击，从而提高身份验证过程的安全性，避免用户信息的泄露，进而提高了用户资源信息的安全性。
272.需要说明的是：上述实施例提供的身份验证装置，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的身份验证装置与身份验证方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
273.请参考图12，其示出了本技术一个示例性实施例提供的终端的结构方框图。该终端可以是智能手机、平板电脑、电子书、支付设备、便携式个人计算机等安装并运行有身份验证应用程序的电子设备。本技术中的终端可以包括一个或多个如下部件：处理器1210、存储器1220、屏幕1230和摄像头组件1240。
274.处理器1210可以包括一个或者多个处理核心。处理器1210利用各种接口和线路连接整个终端内的各个部分，通过运行或执行存储在存储器1220内的指令、程序、代码集或指令集，以及调用存储在存储器1220内的数据，执行终端的各种功能和处理数据。可选地，处理器1210可以采用数字信号处理(digital signal processing，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器1210可集成中央处理器(central processing unit，cpu)、图像处理器(graphics processing unit，gpu)和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责屏幕1230所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器1210中，单独通过一块通信芯片进行实现。
275.存储器1220可以包括随机存储器(random access memory，ram)，也可以包括只读存储器(read-only memory，rom)。可选地，该存储器1220包括非瞬时性计算机可读介质
(non-transitory computer-readable storage medium)。存储器1220可用于存储指令、程序、代码、代码集或指令集。存储器1220可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等，该操作系统可以是安卓(android)系统(包括基于android系统深度开发的系统)、苹果公司开发的ios系统(包括基于ios系统深度开发的系统)或其它系统。存储数据区还可以存储终端在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据、身份验证图像帧)等。
276.屏幕1230可以为电容式触摸显示屏，该电容式触摸显示屏用于接收用户使用手指、触摸笔等任何适合的物体在其上或附近的触摸操作，以及显示各个应用程序的用户界面。触摸显示屏通常设置在终端的前面板。触摸显示屏可被设计成为全面屏、曲面屏或异型屏。触摸显示屏还可被设计成为全面屏与曲面屏的结合，异型屏与曲面屏的结合，本技术实施例对此不加以限定。
277.摄像头组件1240可以为具有多种图像帧采集功能的组件。本技术实施例中，摄像头组件1240可以采集得到多路图像流，比如，rgb图像流、红外图像流和深度图像流等，可选的，摄像头组件1240可以为3d摄像头，该3d摄像头可以采用不同的摄像原理，比如，光飞行时间法(time of flight，tof)、双目立体视觉(binocular stereo vision)、结构光(structured light)等。
278.除此之外，本领域技术人员可以理解，上述附图所示出的终端的结构并不构成对终端的限定，终端可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。比如，终端中还包括射频电路、拍摄组件、除上述传感器之外的传感器、音频电路、无线保真(wireless fidelity，wifi)组件、电源、蓝牙组件等部件，在此不再赘述。
279.请参考图13，其示出了本技术一个示例性实施例提供的服务器的结构框图。该服务器可用于实施上述实施例中由身份验证服务器侧执行的身份验证方法。具体来讲：
280.所述服务器1300包括中央处理单元(central processing unit，cpu)1301、包括随机存取存储器(random access memory，ram)1302和只读存储器(read-only memory，rom)1303的系统存储器1304，以及连接系统存储器1304和中央处理单元1301的系统总线1305。所述服务器1300还包括帮助服务器内的各个器件之间传输信息的基本输入/输出系统(input/output系统，i/o系统)1306，和用于存储操作系统1313、应用程序1314和其他程序模块1315的大容量存储设备1307。
281.所述基本输入/输出系统1306包括有用于显示信息的显示器1308和用于用户输入信息的诸如鼠标、键盘之类的输入设备1309。其中所述显示器1308和输入设备1309都通过连接到系统总线1305的输入输出控制器1310连接到中央处理单元1301。所述基本输入/输出系统1306还可以包括输入输出控制器1310以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1310还提供输出到显示屏、打印机或其他类型的输出设备。
282.所述大容量存储设备1307通过连接到系统总线1305的大容量存储控制器(未示出)连接到中央处理单元1301。所述大容量存储设备1307及其相关联的计算机可读存储介质为服务器1300提供非易失性存储。也就是说，所述大容量存储设备1307可以包括诸如硬盘或者只读光盘(compact disc read-only memory，cd-rom)驱动器之类的计算机可读存
储介质(未示出)。
283.不失一般性，所述计算机可读存储介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读存储指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括ram、rom、可擦除可编程只读寄存器(erasable programmable read only memory，eprom)、电子抹除式可复写只读存储器(electrically-erasable programmable read-only memory，eeprom)、闪存或其他固态存储其技术，cd-rom、数字多功能光盘(digital versatile disc，dvd)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1304和大容量存储设备1307可以统称为存储器。
284.存储器存储有一个或多个程序，一个或多个程序被配置成由一个或多个中央处理单元1301执行，一个或多个程序包含用于实现上述方法实施例的指令，中央处理单元1301执行该一个或多个程序实现上述各个方法实施例提供的方法。
285.根据本技术的各种实施例，所述服务器1300还可以通过诸如因特网等网络连接到网络上的远程服务器运行。也即服务器1300可以通过连接在所述系统总线1305上的网络接口单元1311连接到网络1312，或者说，也可以使用网络接口单元1311来连接到其他类型的网络或远程服务器系统(未示出)。
286.所述存储器还包括一个或者一个以上的程序，所述一个或者一个以上程序存储于存储器中，所述一个或者一个以上程序包含用于进行本技术实施例提供的方法中由身份验证服务器所执行的步骤。
287.本技术实施例中，还提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述方面所述的身份验证方法。
288.根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方面的各种可选实现方式中提供的身份验证方法。
289.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求指出。
290.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。