一种身份验证方法及装置与流程

一种身份验证方法及装置
1.本技术为2018年08月13日提交中国专利局、申请号为201810917717.0、发明名称为“一种身份验证方法及装置”的中国专利申请的分案申请。
技术领域
2.本说明书一个或多个涉及信息验证领域，尤其涉及一种身份验证方法及装置。


背景技术：

3.目前，为了提高账户的安全性，在用户请求账户登录的过程中，加入用户身份验证的方式对用户的真实合法性进行核实，例如，通过用户终端采集当前用户的人脸图像数据，并将该人脸图像数据上传至身份验证服务器，以使身份验证服务器基于该人脸图像数据完成用户身份验证，只有身份验证通过后，才允许用户进入操作界面。
4.但是，针对人脸图像身份验证的过程，一些非法分子采用视频帧注入攻击的方式完成身份验证，具体的，非法分子通过预先获取目标用户的身份验证视频数据，然后，在人脸图像采集时，通过视频帧替换的方式将目标用户的身份验证视频数据上传至身份验证服务器，此时身份验证服务器将基于该身份验证视频数据对登录用户进行身份验证，进而确定本次用户身份验证通过，以使非法分子完成身份验证并进入用户操作界面，这样将为非法分子执行非法行为提供入口，无法实现通过身份验证的方式来保证账户安全性的目的。
5.由此可知，采用现有的基于人脸图像进行身份验证的方式，存在账号具有可攻击性、人脸身份验证失效、账号安全性低的问题。


技术实现要素：

6.本说明书一个或多个实施例的目的是提供一种身份验证方法及装置，在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
7.为解决上述技术问题，本说明书一个或多个实施例是这样实现的：
8.本说明书一个或多个实施例提供了一种身份验证方法，包括：
9.获取验证服务器下发的加密指令；
10.根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
11.将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
12.本说明书一个或多个实施例提供了一种身份验证方法，包括：
13.在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
14.对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
15.根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
16.本说明书一个或多个实施例提供了一种身份验证装置，包括：
17.加密指令获取模块，用于获取验证服务器下发的加密指令；
18.数据加密模块，用于根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
19.验证影像发送模块，用于将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
20.本说明书一个或多个实施例提供了一种身份验证装置，包括：
21.验证影像接收模块，用于在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
22.数据解密模块，用于对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
23.身份验证模块，用于根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
24.本说明书一个或多个实施例提供了一种身份验证设备，包括：处理器；以及
25.被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：
26.获取验证服务器下发的加密指令；
27.根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
28.将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
29.本说明书一个或多个实施例提供了一种身份验证设备，包括：处理器；以及
30.被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：
31.在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
32.对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
33.根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
34.本说明书一个或多个实施例提供了一种存储介质，用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：
35.获取验证服务器下发的加密指令；
36.根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
37.将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
38.本说明书一个或多个实施例提供了一种存储介质，用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：
39.在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
40.对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
41.根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
42.本说明书一个或多个实施例中的身份验证方法及装置，获取服务器下发的加密指令；根据该加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；将采集到的加密后的身份验证影像发送给服务器，以使服务器基于该身份验证影像进行身份验证。在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
附图说明
43.为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
44.图1为本说明书一个或多个实施例提供的身份验证系统的应用场景示意图；
45.图2为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的第一种流程示意图；
46.图3为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的第二种流程示意图；
47.图4为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的第三种流程示意图；
48.图5为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的第四种流程示意图；
49.图6为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的第五种流程示意图；
50.图7为本说明书一个或多个实施例提供的应用于客户端的身份验证方法的用户人脸影像采集过程的实现原理示意图；
51.图8为本说明书一个或多个实施例提供的应用于验证服务器的身份验证方法的流程示意图
52.图9为本说明书一个或多个实施例提供的设置于客户端的身份验证装置的模块组成示意图；
53.图10为本说明书一个或多个实施例提供的设置于验证服务器中的身份验证装置
的模块组成示意图；
54.图11为本说明书一个或多个实施例提供的身份验证系统的结构示意图；
55.图12为本说明书一个或多个实施例提供的身份验证设备的结构示意图。
具体实施方式
56.为了使本技术领域的人员更好地理解本说明书一个或多个中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一个或多个一部分实施例，而不是全部的实施例。基于本说明书一个或多个中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书一个或多个保护的范围。
57.本说明书一个或多个实施例提供了一种身份验证方法及装置，在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
58.图1为本说明书一个或多个实施例提供的身份验证系统的应用场景示意图，如图1所示，该系统包括：多个客户端和验证服务器，其中，该客户端可以是智能手机、平板电脑等移动终端，还可以是台式电脑等固定终端，其中，用户身份验证的具体过程为：
59.首先，验证服务器向客户端下发加密指令，其中，该加密指令包括：需要进行加密的目标处理阶段、以及各目标处理阶段对应的加密参数；
60.然后，客户端接收到验证服务器下发的加密指令后，在采集身份验证影像的过程中，根据该加密指令对至少一个目标处理阶段所得到的中间数据进行加密处理，得到加密后的身份验证影像；
61.再次，客户端将加密后的身份验证影像发送给验证服务器；
62.最后，验证服务器在接收到加密后的身份验证影像后，基于该身份验证影像对使用该客户端的用户进行身份验证，若身份验证通过，则向客户端发送用于表征验证通过的提示信息，若身份验证失败，则向客户端发送用于表征验证失败的提示信息。
63.图2为本说明书一个或多个实施例提供的身份验证方法的第一种流程示意图，图2中的方法能够由图1中的客户端执行，如图2所示，该方法至少包括以下步骤：
64.s201，获取验证服务器下发的加密指令，其中，该加密指令包括：需要进行加密的目标处理阶段、以及各目标处理阶段对应的加密参数；
65.具体的，由验证服务器预先在身份验证影像采集过程中涉及的多个数据处理阶段中选取至少一个目标处理阶段，并设定各目标处理阶段对应的加密参数，根据选取的目标处理阶段和各目标处理阶段对应的加密参数，生成用于指示客户端执行加密操作的加密指令；验证服务器将该加密指令下发给客户端，客户端在接收到该加密指令后，通过对该加密指令进行解析，确定需要进行加密的至少一个目标处理阶段以及该目标处理阶段对应的加密参数。
66.s202，根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所
得到的中间数据进行加密处理；
67.具体的，在身份验证影像采集时，根据数据处理阶段的执行顺序，在身份验证影像采集过程中涉及的多个数据处理阶段中，确定当前需要执行的数据处理阶段；
68.基于解析出来的至少一个目标处理阶段，判断该当前需要执行的数据处理阶段是否为目标处理阶段；
69.若是，则根据该目标处理阶段对应的加密参数，在执行该数据处理阶段时对其所得到的中间数据进行加密处理，并将该加密后的数据作为下一数据处理阶段的输入数据，确定下一个当前需要执行的数据处理阶段，直到身份验证影像采集完毕。
70.s203，将采集到的加密后的身份验证影像发送给验证服务器，以使该验证服务器基于加密后的身份验证影像进行身份验证。
71.其中，上述身份验证影像是客户端根据验证服务器下发的加密指令对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理得到的。由于客户端在采集身份验证影像的过程中，按照验证服务器的加密要求对中间数据进行了加密处理，因此，验证服务器在接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，得到在客户端处嵌入的目标加密信息，再将该目标加密信息与预先下发给客户端的加密指令进行匹配，若匹配成功，则确定用户身份验证通过，若匹配不成功，则确定用户身份验证失败。
72.在具体实施时，客户端在身份验证影像采集过程中，需要执行多个数据处理阶段后，最终输出身份验证影像，其中，该身份验证影像可以是一帧验证图像，还可以是多帧验证图像组成的验证视频流，具体的，为了防止身份验证影像被非法分子攻击并篡改，在客户端生成身份验证影像的过程中，对执行的至少一个数据处理阶段所产生的数据进行加密处理，这样最终得到的身份验证影像中嵌入固有的加密信息，同时，在哪个数据处理阶段加密，且在该数据处理阶段如何加密是根据服务器端下发的加密指令确定的，这样服务器端接收到客户端加密后的身份验证影像能够准确地识别出该身份验证影像是否被篡改。
73.本说明书一个或多个实施例中，客户端在身份验证影像的采集过程中，根据服务器下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
74.其中，以通过采集人脸图像来进行身份验证为例，具体的，上述身份验证影像包括：用户人脸影像，在用户人脸影像采集过程中主要涉及的数据处理阶段可以包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段和视频编码阶段；
75.对应的，上述至少一个目标处理阶段可以包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段、视频编码阶段中至少一种。
76.具体的，服务器端下发的加密指令所指示的需要进行加密的目标处理阶段的数量可以是一个，也可以是多个，例如，至少一个目标处理阶段包括：光学成像阶段，那么客户端在采集身份验证影像时，只对光学成像阶段所得到的中间数据进行加密处理，因此，生成的
身份验证影像嵌入有与加密指令中指示的光学成像阶段的加密参数所对应的加密信息；又如，至少一个目标处理阶段包括：图像传感器采集阶段和视频流生成阶段，那么客户端在采集身份验证影像时，先后对图像传感器采集阶段和视频流生成阶段所得到的中间数据进行加密处理，因此，生成的身份验证影像嵌入有与加密指令中指示的图像传感器采集阶段的加密参数所对应的第一加密信息、以及还嵌入有与加密指令中指示的视频流生成阶段的加密参数所对应的第二加密信息；
77.具体的，针对身份验证影像采集过程中的多个数据处理阶段均为目标处理阶段的情况，需要逐一对各目标处理阶段所产生的中间数据进行加密处理，并将上一目标处理阶段加密后的数据传输至下一数据处理阶段，下一数据处理阶段将该加密后的数据作为输入数据继续进行相应的数据处理，直到执行完最后一个数据处理阶段，生成最终所需的身份验证影像。
78.其中，针对目标处理阶段为光学成像阶段的情况，此时，需要对身份验证影像采集过程中的光学成像阶段所产生的中间数据进行加密处理，然后再进入身份验证影像采集过程中的图像传感器采集阶段，基于此，如图3所示，上述s202根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，具体包括：
79.s2021，根据获取到的加密指令，确定光学成像阶段用于数据加密的光编码信息，具体的，服务器端下发的加密指令不仅用于指示需要进行加密的目标处理阶段，还用于指示各目标处理阶段对应的加密参数，其中，在光学成像阶段采用光编码的方式对中间数据进行加密，因此，光学成像阶段对应的加密参数为光编码信息；
80.s2022，根据确定出的光编码信息，对采集身份验证影像的光学成像阶段中的光学图像进行加密。
81.具体的，上述s2022根据确定出的光编码信息，对采集身份验证影像的光学成像阶段中的光学图像进行加密，具体包括：
82.步骤一，获取激光光源照射于与确定出的光编码信息对应的衍射光学元件上得到的散斑图案，具体的，激光光源照射到衍射光学元件(diffractive optical elements，doe)中的衍射光栅上，将形成衍射斑点(即散斑图案)，其中，衍射光栅不同，得到的衍射斑点也不同，在具体实施时，若成像光路中设置多个衍射光学元件，可以预设建立光编码信息与衍射光学元件之间的对应关系，将激光光源照射于与确定出的光编码信息对应的衍射光学元件，进而得到对应的衍射斑点；
83.步骤二，在采集身份验证影像的光学成像阶段中所得到的光学图像上叠加上述散斑图案。
84.其中，针对光学成像阶段，采用光编码技术对该光学成像阶段所产生的中间数据进行加密，该光编码技术属于结构光技术的一种，该结构光技术主要是：利用光源照射给被测量的空间编上码，将一维或二维的特定图像投影至被测物体上，并且还能够根据照射到被测物体的样本图像的形变情形，判断被测物体的表面形状和深度信息。
85.对应的，针对目标处理阶段包括光学成像阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断光学图像上是否存在嵌入的散斑图案，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求；或者，判断光学图像上是否存在嵌入的散斑图案，以及判断该散斑图案与预设散斑图案是否一致，若存
在且一致，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
86.其中，针对目标处理阶段为图像传感器采集阶段的情况，此时，需要对身份验证影像采集过程中的图像传感器采集阶段所产生的中间数据进行加密处理，然后再进入身份验证影像采集过程中的视频流生成阶段，基于此，如图4所示，上述s202根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，具体包括：
87.s2023，根据获取到的加密指令，确定图像传感器采集阶段用于数据加密的数字水印的隐藏位置，具体的，服务器端下发的加密指令不仅用于指示需要进行加密的目标处理阶段，还用于指示各目标处理阶段对应的加密参数，其中，在图像传感器采集阶段采用数字水印的方式对中间数据进行加密，因此，图像传感器采集阶段对应的加密参数为数字水印的隐藏位置；
88.s2024，根据确定出的隐藏位置，对采集身份验证影像的图像传感器采集阶段中的图像信号嵌入数字水印，具体的，将数据水印嵌入图像信号中隐藏位置所指示的位置。
89.具体的，数字水印的隐藏位置与加密方式一一对应，上述s2023根据获取到的加密指令，确定图像传感器采集阶段用于数据加密的数字水印的隐藏位置，具体包括：
90.若加密指令指示时域加密，则将空间域作为图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
91.若加密指令指示频域加密，则将dct变换域作为图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
92.若加密指令指示时频域加密，则将时频变换域作为图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
93.若加密指令指示时间-尺度域加密，则将小波变换域作为图像传感器采集阶段用于数据加密的数字水印的隐藏位置。
94.对应的，针对目标处理阶段包括图像传感器采集阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断图像信号中目标域下是否存在嵌入的数字水印，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求；或者，判断图像信号中目标变换域下是否存在嵌入的数字水印，以及判断该数字水印与预设数字水印是否一致，若存在且一致，则确定该目标处理阶段所得到的中间数据满足预设加密要求；
95.具体的，若加密指令指示时域加密，此时目标域为空间域；若加密指令指示频域加密，此时目标域为dct变换域；若加密指令指示时频域加密，此时目标域为时频变换域；若加密指令指示时间-尺度域加密，此时目标域为小波变换域。
96.其中，针对目标处理阶段为视频流生成阶段的情况，此时，需要对身份验证影像采集过程中的视频流生成阶段所产生的中间数据进行加密处理，然后再进入身份验证影像采集过程中的视频编码阶段，基于此，如图5所示，上述s202根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，具体包括：
97.s2025，根据获取到的加密指令，确定视频流生成阶段用于数据加密的目标视频帧以及该目标视频帧的插入位置，具体的，服务器端下发的加密指令不仅用于指示需要进行加密的目标处理阶段，还用于指示各目标处理阶段对应的加密参数，其中，在视频流生成阶
段采用特殊帧嵌入的方式对中间数据进行加密，因此，视频流生成阶段对应的加密参数为目标视频帧及其插入位置；
98.s2026，根据确定出的插入位置，在采集身份验证影像的视频流生成阶段产生的视频流中插入目标视频帧，具体的，在视频流中指定位置插入指定数量的目标视频帧，例如，在视频流中每10帧插入一张目标视频帧。
99.其中，上述目标视频帧包括：空白帧、嵌入数字水印的视频帧、以及叠加预设加密图案的视频帧中至少一种。
100.对应的，针对目标处理阶段包括视频流生成阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断在目标插入位置是否存在目标视频帧，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
101.其中，针对目标处理阶段为视频编码阶段的情况，此时，需要对身份验证影像采集过程中的视频编码阶段所产生的中间数据进行加密处理，然后再进入身份验证影像采集过程中的验证数据发送阶段，基于此，如图6所示，上述s202根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，具体包括：
102.s2027，根据获取到的加密指令，确定视频编码阶段用于数据加密的目标信息的添加位置，具体的，服务器端下发的加密指令不仅用于指示需要进行加密的目标处理阶段，还用于指示各目标处理阶段对应的加密参数，其中，在视频编码阶段采用特殊信息添加的方式对中间数据进行加密，因此，视频编码阶段对应的加密参数为目标信息的添加位置；
103.s2028，根据确定出的添加位置，在采集身份验证影像的视频编码阶段中的人脸图像的文件头信息或图片结构图中嵌入目标信息，具体的，视频编码阶段即为采用视频压缩技术对视频流进行压缩处理以及对视频流中的人脸图像进行编码处理，其中，图像编码均有文件头信息或图片结构图，比如jpeg文件一般有一个附属的exif信息，该exif信息中包含图像大小、拍摄时间、照片方向、图像缩略图等信息，因此，可以通过修改人脸图像的文件头信息或图片结构图，在其中加入图像特殊pattern，进而达到数据加密的目的。
104.对应的，针对目标处理阶段包括视频编码阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断人脸图像的文件头信息或图片结构图中是否存在目标信息，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
105.在具体实施时，客户端在身份验证影像采集过程中，结合图3至图6中涉及的对目标数据处理阶段所得到的中间数据进行加密的具体实现方式，根据获取到的加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，生成最终所需的身份验证影像。
106.进一步的，针对服务器而言，在接收到客户端发送的身份验证影像后，基于该身份验证影像对用户身份进行验证的过程中，对该身份验证影像进行解析，根据解析结果和预先为客户端下发的加密指令，逐一判断各目标处理阶段所得到的中间数据是否满足预设加密要求，若各目标处理阶段所得到的中间数据均满足预设加密要求，则确定用户身份验证通过，若任一目标处理阶段所得到的中间数据不满足预设加密要求，则确定用户身份验证失败。
107.其中，为了同时兼顾客户端用户账号使用的安全性和验证服务器进行身份验证的
验证效率，有针对性地控制客户端对身份验证影像进行加密，基于此，在验证服务器生成加密指令的过程中，考虑客户端的安全等级，并非是所有客户端均下发相同的加密指令，对于安全等级比较高的客户端，为其下发的加密指令所指示的目标处理阶段的数量越多，具体的，上述加密指令是验证服务器通过如下方式确定的：
108.确定待身份验证的客户端的目标安全等级；
109.在采集身份验证影像的多个数据处理阶段中，根据确定出的目标安全等级，确定至少一个目标处理阶段，以及确定各目标处理阶段对应的加密参数，具体的，可以预先设置安全等级与需要进行加密的至少一个目标处理阶段间的对应关系；
110.根据至少一个目标处理阶段和各目标处理阶段对应的加密参数，生成待下发给客户端的加密指令。
111.具体的，客户端的安全等级越高，对应的加密指令所指示的目标处理阶段的数量越多，进一步的，考虑针对某一特殊情况可以加强对用户的身份验证，例如，针对初步判定存在疑似非法攻击风险的客户端，通过调高该客户端的安全等级，来加强对该客户端对应的用户的身份验证，基于此，上述目标安全等级可以是基于预先为客户端设定的原始安全等级进行动态调整得到的，在一个具体实施例中，目标安全等级的确定过程，具体为：
112.判断客户端的登录环境是否发生变化，若是，则按照预设调整规则调高该客户端的安全等级，将调高后的安全等级确定为客户端的目标安全等级；
113.例如，当监测到客户端的登录地理位置信息并不是常用地理位置信息，即如果检测到客户端为异地登录，则确定客户端的登录环境发生变化，此时需要加强对用户身份验证的力度，进一步提高用户账号使用的安全性。
114.进一步的，以用户人脸影像的采集过程为例，如果至少一个目标处理阶段包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段和视频编码阶段，其中，如图7所示，用户人脸影像采集的过程，具体为：
115.(1)首先，进入光学成像阶段，根据光学成像阶段对应的光编码信息，对光学成像阶段中的光学图像进行加密，得到嵌入散斑图案的光学图像，将该嵌入散斑图案的光学图像作为图像传感器采集阶段的输入数据；
116.(2)在成像光路输出嵌入散斑图案的光学图像后，进入图像传感器采集阶段，根据图像传感器采集阶段对应的数字水印的隐藏位置，在图像传感器采集阶段所得到的图像信号中嵌入数字水印，得到嵌入散斑图案且嵌入数字水印的图像信号，将该嵌入散斑图案且嵌入数字水印的图像信号作为视频流生成阶段的输入数据；
117.(3)在图像传感器输出嵌入散斑图案且嵌入数字水印的图像信号后，进入视频流生成阶段，由图像信号处理器(image signal processor，isp)对图像传感器输出的图像信号进行信号处理，依次得到多张人脸图像，生成人脸图像视频流，根据视频流生成阶段对应的目标视频帧的插入位置，在人脸图像视频流中插入目标视频帧，得到嵌入散斑图案且嵌入数字水印且插入加密视频帧的人脸图像视频流(即加密后的第一人脸图像视频流)，将该加密后的第一人脸图像视频流作为视频编码阶段的输入数据；
118.(4)在图像信号处理器输出加密后的第一人脸图像视频流后，进入视频编码阶段，根据视频编码阶段对应的目标信息的添加位置，在加密后的第一人脸图像视频流中人脸图像的文件头信息或图片结构图中添加目标信息，得到嵌入散斑图案且嵌入数字水印且插入
加密视频帧且添加目标信息的人脸图像视频流(即加密后的第二人脸图像视频流)，将该加密后的第二人脸图像视频流作为待验证的用户人脸影像。
119.本说明书一个或多个实施例中的身份验证方法，获取服务器下发的加密指令；根据该加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；将采集到的加密后的身份验证影像发送给服务器，以使服务器基于该身份验证影像进行身份验证。在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
120.对应上述图2至图7描述的身份验证方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种身份验证方法，图8为本说明书一个或多个实施例提供的身份验证方法的流程示意图，图8中的方法能够由验证服务器执行，如图8所示，该方法至少包括以下步骤：
121.s801，在向客户端发送加密指令后，获取该客户端上报的基于该加密指令采集的身份验证影像，其中，该加密指令包括：需要进行加密的目标处理阶段、以及各目标处理阶段对应的加密参数，具体的，客户端采集身份验证影像的具体实现过程参见上述图3至图6所示的过程，在此不再赘述；
122.具体的，验证服务器预先在身份验证影像采集过程中涉及的多个数据处理阶段中选取至少一个目标处理阶段，并设定各目标处理阶段对应的加密参数，根据选取的目标处理阶段和各目标处理阶段对应的加密参数，生成用于指示客户端执行加密操作的加密指令；验证服务器将该加密指令下发给客户端。
123.s802，对获取到的身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息，具体的，通过对该身份验证影像进行逆向解析，提取客户端嵌入身份验证影像中的目标加密信息；
124.s803，根据预先向客户端发送的加密指令和解密得到的目标加密信息，确定客户端的身份验证是否通过。
125.其中，由于客户端在采集身份验证影像的过程中，按照验证服务器的加密要求对中间数据进行了加密处理，因此，验证服务器在接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，得到在客户端处嵌入的目标加密信息，再将该目标加密信息与预先下发给客户端的加密指令进行匹配，若匹配成功，则确定用户身份验证通过，若匹配不成功，则确定用户身份验证失败。
126.本说明书一个或多个实施例中，验证服务器向客户端发送加密指令，以使客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，然后，接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证
数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
127.其中，上述s803根据预先向客户端发送的加密指令和解密得到的目标加密信息，确定客户端的身份验证是否通过，具体包括：
128.判断各目标处理阶段对应的目标加密信息与加密指令所指示的该目标处理阶段对应的加密参数是否匹配；
129.若是，则确定客户端的身份验证通过；若否，则确定客户端的身份验证不通过。
130.具体的，以通过采集人脸图像来进行身份验证为例，上述身份验证影像包括：用户人脸影像，在用户人脸影像采集过程中主要涉及的数据处理阶段可以包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段和视频编码阶段；
131.对应的，上述至少一个目标处理阶段可以包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段、视频编码阶段中至少一种。
132.针对目标处理阶段包括光学成像阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断光学图像上是否存在嵌入的散斑图案，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求；或者，判断光学图像上是否存在嵌入的散斑图案，以及判断该散斑图案与预设散斑图案是否一致，若存在且一致，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
133.针对目标处理阶段包括图像传感器采集阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断图像信号中目标域下是否存在嵌入的数字水印，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求；或者，判断图像信号中目标变换域下是否存在嵌入的数字水印，以及判断该数字水印与预设数字水印是否一致，若存在且一致，则确定该目标处理阶段所得到的中间数据满足预设加密要求；
134.具体的，若加密指令指示时域加密，此时目标域为空间域；若加密指令指示频域加密，此时目标域为dct变换域；若加密指令指示时频域加密，此时目标域为时频变换域；若加密指令指示时间-尺度域加密，此时目标域为小波变换域。
135.针对目标处理阶段包括视频流生成阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断在目标插入位置是否存在目标视频帧，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
136.针对目标处理阶段包括视频编码阶段的情况，验证服务器接收到客户端发送的身份验证影像后，对该身份验证影像进行解析，判断人脸图像的文件头信息或图片结构图中是否存在目标信息，若是，则确定该目标处理阶段所得到的中间数据满足预设加密要求。
137.也就是说，验证服务器在接收到客户端发送的身份验证影像后，基于该身份验证影像对用户身份进行验证的过程中，对该身份验证影像进行解析，根据解析结果和预先为客户端下发的加密指令，逐一判断各目标处理阶段所得到的中间数据是否满足预设加密要求，若各目标处理阶段所得到的中间数据均满足预设加密要求，则确定用户身份验证通过，若任一目标处理阶段所得到的中间数据不满足预设加密要求，则确定用户身份验证失败。
138.进一步的，为了同时兼顾客户端用户账号使用的安全性和验证服务器进行身份验证的验证效率，有针对性地控制客户端对身份验证影像进行加密，基于此，在验证服务器生成加密指令的过程中，考虑客户端的安全等级，并非是所有客户端均下发相同的加密指令，
对于安全等级比较高的客户端，为其下发的加密指令所指示的目标处理阶段的数量越多，具体的，在向客户端发送加密指令之前，还包括：
139.确定待身份验证的客户端的目标安全等级；
140.在采集身份验证影像的多个数据处理阶段中，根据确定出的目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数，具体的，可以预先设置安全等级与需要进行加密的至少一个目标处理阶段间的对应关系；
141.根据至少一个目标处理阶段和各目标处理阶段对应的加密参数，生成待下发给所述客户端的加密指令。
142.具体的，客户端的安全等级越高，对应的加密指令所指示的目标处理阶段的数量越多，进一步的，考虑针对某一特殊情况可以加强对用户的身份验证，例如，针对初步判定存在疑似非法攻击风险的客户端，通过调高该客户端的安全等级，来加强对该客户端对应的用户的身份验证，基于此，上述目标安全等级可以是基于预先为客户端设定的原始安全等级进行动态调整得到的，在一个具体实施例中，目标安全等级的确定过程，具体为：
143.判断客户端的登录环境是否发生变化，若是，则按照预设调整规则调高该客户端的安全等级，将调高后的安全等级确定为客户端的目标安全等级；
144.例如，当监测到客户端的登录地理位置信息并不是常用地理位置信息，即如果检测到客户端为异地登录，则确定客户端的登录环境发生变化，此时需要加强对用户身份验证的力度，进一步提高用户账号使用的安全性。
145.本说明书一个或多个实施例中的身份验证方法，验证服务器向客户端发送加密指令，以使客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，然后，接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
146.需要说明的是，本说明书中该实施例与本说明书中上一实施例基于同一发明构思，因此该实施例的具体实施可以参见前述身份验证方法的实施，重复之处不再赘述。
147.对应上述图2至图7描述的身份验证方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种身份验证装置，图9为本说明书一个或多个实施例提供的设置于客户端的身份验证装置的模块组成示意图，该装置用于执行图2至图7描述的身份验证方法，如图9所示，该装置包括：
148.加密指令获取模块901，用于获取验证服务器下发的加密指令；
149.数据加密模块902，用于根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
150.验证影像发送模块903，用于将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
151.可选地，所述身份验证影像包括：用户人脸影像；
152.所述至少一个目标处理阶段包括：光学成像阶段、图像传感器采集阶段、视频流生
成阶段、视频编码阶段中至少一种。
153.可选地，上述数据加密模块902，具体用于：
154.根据所述加密指令，确定所述光学成像阶段用于数据加密的光编码信息；
155.根据所述光编码信息，对采集身份验证影像的所述光学成像阶段中的光学图像进行加密。
156.可选地，上述数据加密模块902，进一步具体用于：
157.获取激光光源照射于与所述光编码信息对应的衍射光学元件上得到的散斑图案；
158.在采集身份验证影像的所述光学成像阶段中的光学图像上叠加所述散斑图案。
159.可选地，上述数据加密模块902，具体用于：
160.根据所述加密指令，确定所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
161.根据所述隐藏位置，对采集身份验证影像的所述图像传感器采集阶段中的图像信号嵌入所述数字水印。
162.可选地，上述数据加密模块902，进一步具体用于：
163.若所述加密指令指示时域加密，则将空间域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
164.若所述加密指令指示频域加密，则将dct变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
165.若所述加密指令指示时频域加密，则将时频变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
166.若所述加密指令指示时间-尺度域加密，则将小波变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置。
167.可选地，上述数据加密模块902，具体用于：
168.根据所述加密指令，确定所述视频流生成阶段用于数据加密的目标视频帧以及该目标视频帧的插入位置；
169.根据所述插入位置，在采集身份验证影像的所述视频流生成阶段产生的视频流中插入所述目标视频帧。
170.可选地，所述目标视频帧包括：空白帧、嵌入数字水印的视频帧、以及叠加预设加密图案的视频帧中至少一种。
171.可选地，上述数据加密模块902，具体用于：
172.根据所述加密指令，确定所述视频编码阶段用于数据加密的目标信息的添加位置；
173.根据所述添加位置，在采集身份验证影像的所述视频编码阶段中的人脸图像的文件头信息或图片结构图中嵌入所述目标信息。
174.可选地，所述加密指令是验证服务器通过如下方式确定的：
175.确定待身份验证的客户端的目标安全等级；
176.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
177.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加
密指令。
178.本说明书一个或多个实施例中的身份验证装置，获取服务器下发的加密指令；根据该加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；将采集到的加密后的身份验证影像发送给服务器，以使服务器基于该身份验证影像进行身份验证。在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
179.需要说明的是，本说明书中该实施例与本说明书中第一个实施例基于同一发明构思，因此该实施例的具体实施可以参见前述身份验证方法的实施，重复之处不再赘述。
180.对应上述图8描述的身份验证方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种身份验证装置，图10为本说明书一个或多个实施例提供的设置于业务服务器的身份验证装置的模块组成示意图，该装置用于执行图8描述的身份验证方法，如图10所示，该装置包括：
181.验证影像接收模块1001，用于在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
182.数据解密模块1002，用于对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
183.身份验证模块1003，用于根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
184.可选地，上述身份验证模块1003，具体用于：
185.判断各所述目标处理阶段对应的所述目标加密信息与所述加密指令所指示的该目标处理阶段对应的加密参数是否匹配；
186.若是，则确定所述客户端的身份验证通过；
187.若否，则确定所述客户端的身份验证不通过。
188.可选地，所述身份验证影像是所述客户端根据所述加密指令对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理得到的。
189.可选地，上述装置还包括加密指令生成模块，其中，该加密指令生成模块，用于：
190.确定待身份验证的客户端的目标安全等级；
191.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
192.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加密指令。
193.本说明书一个或多个实施例中的身份验证装置，验证服务器向客户端发送加密指令，以使客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，然后，接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求
进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
194.需要说明的是，本说明书中该实施例与本说明书中第一个实施例基于同一发明构思，因此该实施例的具体实施可以参见前述身份验证方法的实施，重复之处不再赘述。
195.对应上述图2至图8描述的身份验证方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种身份验证系统，图11为本说明书一个或多个实施例提供的身份验证系统的结构示意图，该装置用于执行图2至图8描述的身份验证方法，如图11所示，该系统包括：
196.验证服务器10和多个客户端20，其中，验证服务器10与各客户端20均通信连接；
197.具体的，验证服务器向客户端下发加密指令，其中，该加密指令包括：需要进行加密的目标处理阶段、以及各目标处理阶段对应的加密参数；
198.客户端接收到验证服务器下发的加密指令后，在采集身份验证影像的过程中，根据该加密指令对至少一个目标处理阶段所得到的中间数据进行加密处理，得到加密后的身份验证影像；
199.客户端将加密后的身份验证影像发送给验证服务器；
200.验证服务器在接收到加密后的身份验证影像后，基于该身份验证影像对使用该客户端的用户进行身份验证，若身份验证通过，则向客户端发送用于表征验证通过的提示信息，若身份验证失败，则向客户端发送用于表征验证失败的提示信息。
201.本说明书一个或多个实施例中的身份验证系统，验证服务器向客户端发送加密指令，客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，得到嵌入加密信息的身份验证影像，然后，验证服务器接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
202.需要说明的是，本说明书中该实施例与本说明书中第一个实施例基于同一发明构思，因此该实施例的具体实施可以参见前述身份验证方法的实施，重复之处不再赘述。
203.进一步地，对应上述图2至图8所示的方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种身份验证设备，该设备用于执行上述的身份验证方法，如图12所示。
204.身份验证设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器1201和存储器1202，存储器1202中可以存储有一个或一个以上存储应用程序或数据。其中，存储器1202可以是短暂存储或持久存储。存储在存储器1202的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对身份验证设备中的一系列计算机可执行指令。更进一步地，处理器1201可以设置为与存储器1202通信，在身份验证设备上执行存储器1202中的一系列计算机可执行指令。身份验证设备还可以包括一个或一个以上
电源1203，一个或一个以上有线或无线网络接口1204，一个或一个以上输入输出接口1205，一个或一个以上键盘1206等。
205.在一个具体的实施例中，身份验证设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对身份验证设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：
206.获取验证服务器下发的加密指令；
207.根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
208.将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
209.可选地，计算机可执行指令在被执行时，所述身份验证影像包括：用户人脸影像；
210.所述至少一个目标处理阶段包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段、视频编码阶段中至少一种。
211.可选地，计算机可执行指令在被执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
212.根据所述加密指令，确定所述光学成像阶段用于数据加密的光编码信息；
213.根据所述光编码信息，对采集身份验证影像的所述光学成像阶段中的光学图像进行加密。
214.可选地，计算机可执行指令在被执行时，所述根据所述光编码信息，对采集身份验证影像的所述光学成像阶段中的光学图像进行加密，包括：
215.获取激光光源照射于与所述光编码信息对应的衍射光学元件上得到的散斑图案；
216.在采集身份验证影像的所述光学成像阶段中的光学图像上叠加所述散斑图案。
217.可选地，计算机可执行指令在被执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
218.根据所述加密指令，确定所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
219.根据所述隐藏位置，对采集身份验证影像的所述图像传感器采集阶段中的图像信号嵌入所述数字水印。
220.可选地，计算机可执行指令在被执行时，根据所述加密指令，确定所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置，包括：
221.若所述加密指令指示时域加密，则将空间域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
222.若所述加密指令指示频域加密，则将dct变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
223.若所述加密指令指示时频域加密，则将时频变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
224.若所述加密指令指示时间-尺度域加密，则将小波变换域作为所述图像传感器采
集阶段用于数据加密的数字水印的隐藏位置。
225.可选地，计算机可执行指令在被执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
226.根据所述加密指令，确定所述视频流生成阶段用于数据加密的目标视频帧以及该目标视频帧的插入位置；
227.根据所述插入位置，在采集身份验证影像的所述视频流生成阶段产生的视频流中插入所述目标视频帧。
228.可选地，计算机可执行指令在被执行时，所述目标视频帧包括：空白帧、嵌入数字水印的视频帧、以及叠加预设加密图案的视频帧中至少一种。
229.可选地，计算机可执行指令在被执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
230.根据所述加密指令，确定所述视频编码阶段用于数据加密的目标信息的添加位置；
231.根据所述添加位置，在采集身份验证影像的所述视频编码阶段中的人脸图像的文件头信息或图片结构图中嵌入所述目标信息。
232.可选地，计算机可执行指令在被执行时，所述加密指令是验证服务器通过如下方式确定的：
233.确定待身份验证的客户端的目标安全等级；
234.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
235.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加密指令。
236.本说明书一个或多个实施例中的身份验证设备，获取服务器下发的加密指令；根据该加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；将采集到的加密后的身份验证影像发送给服务器，以使服务器基于该身份验证影像进行身份验证。在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
237.在另一个具体的实施例中，身份验证设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对身份验证设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：
238.在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
239.对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
240.根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
241.可选地，计算机可执行指令在被执行时，所述根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过，包括：
242.判断各所述目标处理阶段对应的所述目标加密信息与所述加密指令所指示的该目标处理阶段对应的加密参数是否匹配；
243.若是，则确定所述客户端的身份验证通过；
244.若否，则确定所述客户端的身份验证不通过。
245.可选地，计算机可执行指令在被执行时，所述身份验证影像是所述客户端根据所述加密指令对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理得到的。
246.可选地，计算机可执行指令在被执行时，还包含用于进行以下计算机可执行指令：
247.确定待身份验证的客户端的目标安全等级；
248.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
249.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加密指令。
250.本说明书一个或多个实施例中的身份验证设备，验证服务器向客户端发送加密指令，以使客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，然后，接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
251.进一步地，对应上述图2至图8所示的方法，基于相同的技术构思，本说明书一个或多个实施例还提供了一种存储介质，用于存储计算机可执行指令，一种具体的实施例中，该存储介质可以为u盘、光盘、硬盘等，该存储介质存储的计算机可执行指令在被处理器执行时，能实现以下流程：
252.获取验证服务器下发的加密指令；
253.根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；
254.将采集到的所述身份验证影像发送给所述验证服务器，以使所述验证服务器基于所述身份验证影像进行身份验证。
255.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述身份验证影像包括：用户人脸影像；
256.所述至少一个目标处理阶段包括：光学成像阶段、图像传感器采集阶段、视频流生成阶段、视频编码阶段中至少一种。
257.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处
理，包括：
258.根据所述加密指令，确定所述光学成像阶段用于数据加密的光编码信息；
259.根据所述光编码信息，对采集身份验证影像的所述光学成像阶段中的光学图像进行加密。
260.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述光编码信息，对采集身份验证影像的所述光学成像阶段中的光学图像进行加密，包括：
261.获取激光光源照射于与所述光编码信息对应的衍射光学元件上得到的散斑图案；
262.在采集身份验证影像的所述光学成像阶段中的光学图像上叠加所述散斑图案。
263.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
264.根据所述加密指令，确定所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
265.根据所述隐藏位置，对采集身份验证影像的所述图像传感器采集阶段中的图像信号嵌入所述数字水印。
266.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，根据所述加密指令，确定所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置，包括：
267.若所述加密指令指示时域加密，则将空间域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
268.若所述加密指令指示频域加密，则将dct变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
269.若所述加密指令指示时频域加密，则将时频变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置；
270.若所述加密指令指示时间-尺度域加密，则将小波变换域作为所述图像传感器采集阶段用于数据加密的数字水印的隐藏位置。
271.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
272.根据所述加密指令，确定所述视频流生成阶段用于数据加密的目标视频帧以及该目标视频帧的插入位置；
273.根据所述插入位置，在采集身份验证影像的所述视频流生成阶段产生的视频流中插入所述目标视频帧。
274.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述目标视频帧包括：空白帧、嵌入数字水印的视频帧、以及叠加预设加密图案的视频帧中至少一种。
275.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理，包括：
276.根据所述加密指令，确定所述视频编码阶段用于数据加密的目标信息的添加位置；
277.根据所述添加位置，在采集身份验证影像的所述视频编码阶段中的人脸图像的文件头信息或图片结构图中嵌入所述目标信息。
278.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述加密指令是验证服务器通过如下方式确定的：
279.确定待身份验证的客户端的目标安全等级；
280.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
281.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加密指令。
282.本说明书一个或多个实施例中的存储介质存储的计算机可执行指令在被处理器执行时，获取服务器下发的加密指令；根据该加密指令，对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理；将采集到的加密后的身份验证影像发送给服务器，以使服务器基于该身份验证影像进行身份验证。在身份验证影像的采集过程中，根据服务器端下发的加密指令对产生的中间数据进行加密处理，将嵌入加密信息的身份验证影像发送给服务器，以使服务器从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，防止非法分子对身份验证数据的恶意攻击，从而确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
283.在另一个具体的实施例中，该存储介质可以为u盘、光盘、硬盘等，该存储介质存储的计算机可执行指令在被处理器执行时，能实现以下流程：
284.在向客户端发送加密指令后，获取所述客户端上报的基于所述加密指令采集的身份验证影像；
285.对所述身份验证影像进行解密处理，得到至少一个目标处理阶段对应的目标加密信息；
286.根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过。
287.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述根据所述加密指令和所述目标加密信息，确定所述客户端的身份验证是否通过，包括：
288.判断各所述目标处理阶段对应的所述目标加密信息与所述加密指令所指示的该目标处理阶段对应的加密参数是否匹配；
289.若是，则确定所述客户端的身份验证通过；
290.若否，则确定所述客户端的身份验证不通过。
291.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，所述身份验证影像是所述客户端根据所述加密指令对采集身份验证影像的至少一个目标处理阶段所得到的中间数据进行加密处理得到的。
292.可选地，该存储介质存储的计算机可执行指令在被处理器执行时，还实现以下流程：
293.确定待身份验证的客户端的目标安全等级；
294.在采集所述身份验证影像的多个数据处理阶段中，根据所述目标安全等级，确定至少一个目标处理阶段，以及确定各所述目标处理阶段对应的加密参数；
295.根据所述至少一个目标处理阶段和所述加密参数，生成待下发给所述客户端的加
密指令。
296.本说明书一个或多个实施例中的存储介质存储的计算机可执行指令在被处理器执行时，验证服务器向客户端发送加密指令，以使客户端在身份验证影像的采集过程中，根据该加密指令对产生的中间数据进行加密处理，然后，接收客户端上报的嵌入加密信息的身份验证影像，并从接收到的身份验证影像中提取加密信息并基于该加密信息进行身份验证，也就是说，客户端生成身份验证影像的过程中，在不同数据处理阶段进行相应的加密处理，一方面，客户端按照服务器加密要求进行加密，在客户端与服务器间实现交互加密，另一方面，在身份验证影像生成过程中对中间数据进行加密，避免出现数据替换的风险，从而防止非法分子对身份验证数据的恶意攻击，确保身份验证数据采集的实时性、真实性和有效性，提高用户账号使用的安全性。
297.在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(programmable logic device，pld)(例如现场可编程门阵列(field programmable gate array，fpga))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(hardware description language，hdl)，而hdl也并非仅有一种，而是有许多种，如abel(advanced boolean expression language)、ahdl(altera hardware description language)、confluence、cupl(cornell university programming language)、hdcal、jhdl(java hardware description language)、lava、lola、myhdl、palasm、rhdl(ruby hardware description language)等，目前最普遍使用的是vhdl(very-high-speed integrated circuit hardware description language)与verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。
298.控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视
为既可以是实现方法的软件模块又可以是硬件部件内的结构。
299.上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
300.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书一个或多个时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
301.本领域内的技术人员应明白，本说明书一个或多个的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书一个或多个可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
302.本说明书一个或多个是参照根据本说明书一个或多个实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
303.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
304.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
305.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
306.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
307.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备
或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
308.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
309.本领域技术人员应明白，本说明书一个或多个的实施例可提供为方法、系统或计算机程序产品。因此，本说明书一个或多个可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
310.本说明书一个或多个可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
311.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
312.以上所述仅为本说明书一个或多个的实施例而已，并不用于限制本说明书一个或多个。对于本领域技术人员来说，本说明书一个或多个可以有各种更改和变化。凡在本说明书一个或多个的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书一个或多个的权利要求范围之内。