一种数据授权信息的获取方法、装置及设备

本申请涉及计算机技术领域，尤其涉及一种数据授权信息的获取方法、装置及设备。

个人隐私数据包括可用来识别或定位个人的信息(如电话号码、地址、信用卡号、认证信息等)和敏感的信息(如个人的健康状况、财务信息、历史访问记录、公司的重要文件等)。信息时代，个人数据尤其是个人隐私数据越来越多的在互联网或各个平台上进行传输。如何保证数据只提供给获得授权的数据需求方，而不被其他参与方获取，对于个人数据的传输而言，是一个亟需解决的技术问题。

为解决上述技术问题，本说明书实施例是这样实现的：

第一方面，本说明书实施例提供的一种数据授权信息的获取方法，包括：

获取数据需求方提交的针对第一数据的数据使用权限申请；

根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

将所述数据使用权限申请发送至所述权限审批方；

获取所述权限审批方的确认信息；

根据所述确认信息生成数据授权信息；

将所述数据授权信息发送至所述数据需求方。

第二方面，本说明书实施例提供的一种数据授权信息的获取装置，包括：

数据使用权限申请获取模块，用于获取数据需求方提交的针对第一数据的数据使用权限申请；

权限审批方确定模块，用于根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

数据使用权限申请发送模块，用于将所述数据使用权限申请发送至所述权限审批方；

确认信息获取模块，用于获取所述权限审批方的确认信息；

数据授权信息生成模块，用于根据所述确认信息生成数据授权信息；

数据授权信息发送模块，用于将所述数据授权信息发送至所述数据需求方。

第三方面，本说明书实施例提供的一种数据授权信息的获取设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

获取数据需求方提交的针对第一数据的数据使用权限申请；

根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

将所述数据使用权限申请发送至所述权限审批方；

获取所述权限审批方的确认信息；

根据所述确认信息生成数据授权信息；

将所述数据授权信息发送至所述数据需求方。

第四方面，本说明书实施例提供的一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现一种数据授权信息的获取方法。

本说明书一个实施例实现了能够达到以下有益效果：通过将数据权限的管控操作从大数据中心化平台卸载到数据所有方，数据所有方可以在本地对数据进行数据授权等管控操作和审批流查询操作，无需依托大数据平台中心化的管控中心，节省了资源。

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书实施例提供的一种数据授权信息的获取方法的流程示意图；

图2为本说明书实施例提供的另一种数据授权信息的获取方法的流程示意图；

图3为本说明书实施例提供的第一数据的数据属主方和数据提供方不同的数据获取方法的场景示意图；

图4为本说明书实施例提供的对应于图1的一种数据授权信息的获取装置的结构示意图；

图5为本说明书实施例提供的对应于图1的一种数据授权信息的获取设备的结构示意图。

为使本说明书一个或多个实施例的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书一个或多个实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书的一部分实施例，而不是全部的实施例。基于本说明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本说明书一个或多个实施例保护的范围。

以下结合附图，详细说明本说明书各实施例提供的技术方案。

现有技术中，现有的数据授权管理服务都是通过一个中心化的管控中心进行管理。但是，对于多用户单操作的数据服务场景，如果采用管控中心进行管理会造成资源的浪费（需要对权限信息进行存储和管理）。另外，中心化的管控中心对于区块链这个去中心化的网络来说，也并不适用。

本方案提供了将数据权限的管控操作从大数据中心化平台卸载到数据所有方，数据所有方可以在本地对数据进行数据授权等管控操作和审批流查询操作，无需依托大数据平台中心化的管控中心。而且授权具有完整性、真实性，支持不同场景可配置的流程管控。

其中数据管控操作包括：

1、权限申请：根据审批模版对申请的数据权限进行审批，支持加签、转发等动态流程。

2、申请状态查询：查询审批流程的进行状态。

3、授权：对审批通过的成员授予相应的数据权限（授权VC）。

4、鉴权：对成员的数据权限进行校验。

5、撤销权限：撤销已授予的权限（撤销VC）。

为了解决现有技术中的缺陷，本方案给出了以下实施例：

图1为本说明书实施例提供的一种数据授权信息的获取方法的流程示意图。从程序角度而言，流程的执行主体可以为搭载于应用服务器的程序或应用客户端。

如图1所示，该流程可以包括以下步骤：

步骤102：获取数据需求方提交的针对第一数据的数据使用权限申请。

该方案的执行主体可以是服务平台，服务平台可以是一个中心化平台，也可以是一个去中心化的平台，例如，区块链网络。

数据需求方可以是个人用户，也可以是企业用户。这里的数据需求方既可以指用户本身，也可以指用户的设备。

数据需求方可以是服务平台的直接注册用户，也可以是通过服务平台的代理服务商上进行注册的间接注册用户。当数据需求方是服务平台的直接注册用户时，则数据需求方可以向平台直接发起数据使用权限申请。当数据需求方是服务平台的间接注册用户时，则数据需求方可以通过代理服务商提交数据使用权限申请。一种实施方式，数据需求方不是区块链网络的节点，则需要通过代理服务商（区块链网络的一个节点）提交数据使用权限申请。

第一数据可以是文字、图片、视频等可以采用数字形式进行传输的数据。第一数据可以是个人的隐私数据，也可以是创作的文字、图片、视频等作品。

数据使用权限申请可以注明申请使用的数据，使用期限以及用途等。

步骤104：根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方。

数据使用权限申请包括申请的数据（即第一数据）和申请方信息（数据需求方）。数据需求方需要获取第一数据，即需要第一数据的数据属主方同意才可以。因此，需要确定第一数据的属主方，即第一数据的权限审批方。其中，由于第一数据可能是混合数据，或者涉及多个属主方，因此，权限审批方可以是一个，两个，或者多个。

服务平台可以存储第一数据和第一数据的属主方对应关系，然后基于该对应关系，确定所述第一数据的属主方。

步骤106：将所述数据使用权限申请发送至所述权限审批方。

权限审批方可以是个人用户，也可以是企业用户。这里的权限审批方既可以指用户本身，也可以指用户的设备。权限审批方可以是服务平台的直接注册用户，也可以是通过服务平台的代理服务商上进行注册的间接注册用户。

步骤108：获取所述权限审批方的确认信息。

当权限审批方收到数据需求方发出的数据使用权限申请时，可以根据线上或线下的协议和合同对该数据使用权限申请进行审批。所述确认信息用于表示同意数据需求方使用所述第一数据。

另外，当权限审批方为不止一个时，所述确认信息可以为多个。

步骤110：根据所述确认信息生成数据授权信息。

根据确定信息生成的数据授权信息可以包括授权使用方、使用权限类型、有效期等等。而当数据需求方获取的可以是经过权限审批方的公钥加密后的第一数据，该数据授权信息还可以是权限审批方的私钥。

所述数据授权信息还可以区块链中的可验证声明（Verifiable Claim，VC）。该VC是由权限审批方进行数字签名后得到的。任何用户都可以根据权限审批方的公钥对该VC进行验证。

生成数据授权信息的过程可以是服务平台根据预设的程序生成的，也可以是权限审批方生成后发给服务平台的。

步骤112：将所述数据授权信息发送至所述数据需求方。

数据授权信息可以直接通过服务平台发送至数据需求方，也可以通过代理服务商发送至数据需求方。

应当理解，本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。

图1中的方法，通过将数据权限的管控操作从大数据中心化平台卸载到数据所有方，数据所有方可以在本地对数据进行数据授权等管控操作和审批流查询操作，无需依托大数据平台中心化的管控中心，节省了资源。服务平台整个过程中，只用于转发数据请求和数据信息，不存储数据的权限数据。

基于图1的方法，本说明书实施例还提供了该方法的一些具体实施方式，下面进行说明。

可选的，所述根据所述数据使用权限申请确定所述第一数据的权限审批方，具体可以包括：

根据所述数据使用权限申请确定所述第一数据的数据类型；

根据所述第一数据和所述数据类型确定智能合约，所述智能合约为针对所述第一数据的权限申请审批程序；

根据所述智能合约确定所述第一数据的权限审批方。

该实施方式中，采用智能合约完成对第一数据的权限审批方。可以理解的是，智能合约可以是第一数据的权限审批方自己设定的预设程序，对于第一数据的任何权限申请都可以触发相应的智能合约。

其中，第一数据的数据类型可以理解为第一数据是否是原始数据。由于原始数据和非原始数据的隐私情况不同，非原始数据往往是对原始数据进行一些处理后得到的，相对于原始数据，其隐私程度有所降低。因此，数据类型不同，可以触发不同权限审批流程。

该实施方式中，智能合约为主动触发，服务平台只是做一些简单的判断，而执行判断的程序是可以预设的。

智能合约可以是设置在中心平台上的程序，也可以是设置在区块链网络中的程序，其中可以由数据属主方设定权限审批流程，然后发送到区块链中进行共识后存储在各个节点的区块上。任何节点作为数据需求方都可以触发该智能合约。

区块链技术从以太坊开始支持用户在区块链网络中创建并调用一些复杂的逻辑，这是以太坊相对于比特币技术的最大进步之一。以太坊作为一个可编程区块链的核心是以太坊虚拟机（EVM），每个以太坊节点都可以运行EVM。EVM是一个图灵完备的虚拟机，这意味着可以通过它实现各种复杂的逻辑。用户在以太坊中部署和调用智能合约可以通过EVM执行。在部署阶段，用户可以将一个包含创建智能合约的交易发送至以太坊网络，该交易的data字段可以包含智能合约的代码（如字节码），该交易的to字段为空。经过交易的扩散和共识后，以太坊网络中的各个节点可以分别通过EVM执行这个交易，并生成对应的合约实例，从而完成智能合约部署。这时，区块链上可以具有一个与该智能合约对应的合约账户，该合约账户拥有一个特定的合约地址。在调用阶段，用户（可以与部署智能合约的用户相同或不同）将一个用于调用智能合约的交易发送到以太坊网络，该交易的from字段是该用户对应的外部账户的地址，to字段是所需调用的智能合约的合约地址，data字段包含调用智能合约的方法和参数。在节点间通过共识机制达成一致后，上述交易声明调用的智能合约以规定的方式在以太坊网络的每个节点上独立执行，所有执行记录和数据都保存在区块链上，所以当交易完成后，区块链上就保存了无法篡改、不会丢失的交易凭证。随着区块链技术的发展，除了EVM，还产生了很多其他类型的虚拟机，比如WASM（WebAssembly）虚拟机。

每个区块链节点都可以通过虚拟机执行智能合约的创建和调用。包含智能合约的交易和交易的执行结果都存储在区块链账本上，或者是区块链中每个全量节点存储全部账本的方式，对于隐私保护来说是一个挑战。隐私保护可以通过多种技术来实现，例如密码学技术（如同态加密Homomorphic encryption，或零知识证明Zero-knowledge proof），再如硬件隐私技术和网络隔离技术等。其中硬件隐私保护技术典型的包括可信执行环境（Trusted Execution Environment, TEE）。

可选的，当所述权限审批方为至少两个时，所述将所述数据使用权限申请发送至所述权限审批方，具体可以包括：

将所述数据使用权限申请发送至第一权限审批方；

当获取所述第一权限审批方的第一确认信息后，将所述数据使用权限申请和所述第一确认信息发送至第二权限审批方。

在一些情况下，第一数据的权限审批方可以包括多个，如第一数据包括了第二数据，那么，除了需要第一数据的属主方进行审批，还需要第二数据的属主方进行审批。这种情况的实例可以是：剧本A（第一数据）是根据传记B（第二数据）进行改编的，当需要获取剧本A的使用权限时，则在征求剧本A的创作者的同意的情况下，还需要征询传记B的创作者的同意。因此，则需要分别数据使用权限申请发送至第一权限审批方和第二权限审批方进行分析审批。

在一些情况下，各个权限审批方可以分别进行审批，以得到多个确认信息，然后再根据这多个确认信息生成数据授权信息，各个权限审批方之间没有审批前后的关系。有一些特殊的情况，各个权限审批方存在某种关系，需要一个审批完之后，另一个才能进行审批。依然沿用上例，要想获取剧本A的使用权限，必须征得传记B的创作者的同意，此时，可以先将数据使用权限申请发送至传记B的创作者，等传记B的创作者同意之后，则将数据使用权限申请和传记B的创作者的确认信息发送至剧本A的创作者。此时，在传记B的创作者的同意的前提下，剧本A的创作者的审批才有实际意义。如果传记B的创作者不同意，则审批结果不通过，这样设置，可以避免资源浪费。

可选的，所述根据所述确认信息生成数据授权信息，具体可以包括：

根据所述确认信息确定授权数据、授权使用方和有效期，其中，所述授权数据为所述第一数据，所述授权使用方为所述数据需求方；

根据所述授权数据、授权使用方和有效期生成数据授权信息，所述数据授权信息包括所述第一数据和所述数据需求方。

为了明确数据授权信息的使用范围，可以在数据授权信息明确授权数据、授权使用方和有效期。其中，有效期可以是数据需求方在数据使用权限申请中注明的，也可以是权限审批方审批的。其中，权限审批方可以根据数据需求方注明的使用数据的用途确定有效期。

可选的，在所述根据所述确认信息生成数据授权信息之后，所述方法还可以包括：

将所述数据授权信息存储在区块链网络；

在所述将所述数据使用权限申请发送至所述权限审批方之后，所述方法还包括：

获取所述数据需求方提交的所述数据使用权限申请的第一状态查询信息，所述第一状态查询信息包括所述数据使用权限申请；

根据所述第一状态查询信息从所述区块链网络中对所述数据使用权限申请进行查询；

获取所述区块链网络返回的针对所述第一状态查询信息的查询结果；

将所述查询结果发送至所述数据需求方。

当服务平台为区块链网络，或者中心平台加区块链网络时，还可以将数据授权信息存储在区块链网络中，便于数据需求方在发起数据获取请求时，对其中的数据授权信息进行验证。

另外，如果因为某种特殊的原因，数据需求方没有接收到数据授权信息，其数据需求方可以发起申请状态查询请求。服务平台可以从区块链网络中查是否存储有该数据授权信息，然后将查询结果发送至数据需求方。其中，查询结果只包括两种：存在数据授权信息和不存在数据授权信息。

上述申请状态查询方式只能查询数据授权信息是否存在，而不能查询审批的中间状态。为了解决这一问题，提供可以一种服务机构加区块链网络共同作为服务平台的实施例。图2为本说明书实施例提供的另一种数据授权信息的获取方法的流程示意图。

如图2所示，所述方法可以包括：

步骤205：数据需求方发送数据使用权限申请至服务机构。

步骤210：服务机构接收到数据使用权限申请后，触发区块链的智能合约。

步骤215：智能合约将数据使用权限申请发送至数据属主方进行审批。其中，数据属主方可以为多个。

步骤220：数据属主方向服务机构返回审批结果，审批结果可以为一个或多个确认信息。

步骤225：服务机构保存审批信息，根据审批信息生成VC。

步骤230：服务机构将VC发送至区块链进行保存。

步骤235：服务机构想数据需求方返回申请结果，其中，如果审批通过，申请结果可以是VC。

在该方案中，服务机构将权限审批方的每一步的审批过程储存于本地设备中，因此，在审批的过程，数据需求方和每一个权限审批方都可以对审批状态进行查询。具体的，所述方法还可以包括：

将所述第一确认信息在本地设备进行存储；

获取所述数据需求方提交的所述数据使用权限申请的第二状态查询信息，所述第二状态查询信息包括所述数据使用权限申请；

根据所述第二状态查询信息从所述本地设备对所述数据使用权限申请进行查询；

将所述第一确认信息发送至所述数据需求方。

需要说明的是，第二状态查询信息可以由数据需求方发起，还可以由权限审批方发起。例如，第一权限审批方审批过去，可以关注审批流程，查询审批进行到了哪一步。

上述方法适合审批没有完成的审批状态查询。

可选的，所述方法还可以包括：

获取所述数据需求方提交的针对所述第一数据的数据获取申请，所述数据获取申请包括所述数据授权信息；

将所述数据授权信息发送至所述区块链网络进行有效性验证；

当验证通过后，将所述第一数据发送至所述数据需求方。

当获取数据授权信息之后，就可以根据该数据授权信息去获取第一数据。其中，在获取数据之前，需要对数据授权信息进行有效性验证，可以根据区块链网络的防篡改性对数据授权信息见验证。根据区块链网络存储的信息与所述数据授权信息进行比对，看是否有效。如果有效才会将第一数据发送至数据需求方。

需要说明的是，第一数据可能存在于第一数据的数据属主方的设备中，也可能存在于第一数据的数据提供方的设备中，此时，数据属主方与数据提供方是不同的。下面以一个具体实施例进行说明书。

图3为本说明书实施例提供的第一数据的数据属主方和数据提供方不同的数据获取方法的场景示意图。

如图3中包括数据需求方301、数据属主方302和数据提供方303三个不同的身份，其中数据需求方301需要从数据提供方303获取数据属主方302的数据，例如，数据需求方301从银行中获取个人的工资流水、从房产中心获取个人的房产信息、从征信机构获取个人的征信报告。当然，获取的信息不止可以包括个人用户的，还可以包括企业用户的，这里不再一一列举。

其中，数据需求方301发起数据使用权限申请，由数据属主方302进行审批，审批通过之后，数据需求方301获取数据授权信息，然后数据需求方301发送数据获取申请，然后从数据提供方303中获取数据属主方302的第一数据。

可选的，在所述将所述第一数据发送至所述数据需求方之前，所述方法还可以包括：

确定所述第一数据的数据提供方；

从所述数据提供方获取所述第一数据。

其中，可以根据区块链中存储的数据，或者数据属主方的声明信息确定所述第一数据的数据提供方。其中，数据属主方可以声明对第一数据的获取方式，可以是限定数据提供方的通信地址。

其中，从所述数据提供方获取所述第一数据可以限定是在可信执行环境中进行。例如，区块链节点均可以通过TEE实现区块链交易的安全执行环境。TEE是基于CPU硬件的安全扩展，且与外部完全隔离的可信执行环境。目前工业界十分关注TEE的方案，几乎所有主流的芯片和软件联盟都有自己的TEE解决方案，比如软件方面的TPM（Trusted PlatformModule，可信赖平台模块）以及硬件方面的Intel SGX（Software Guard Extensions, 软件保护扩展）、ARM Trustzone（信任区）和AMD PSP（Platform Security Processor，平台安全处理器）等。TEE可以起到硬件黑箱作用，在TEE中执行的代码和数据即便是操作系统层都无法偷窥，只有通过代码中预先定义的接口才能对其进行操作。在效率方面，由于TEE的黑箱性质，在TEE中进行运算的是明文数据，而不是同态加密中复杂的密码学运算，计算过程效率没有损失。因此，通过在区块链节点上部署TEE环境，可以在性能损失相对较小的前提下很大程度上满足区块链场景下的隐私需求。

可选的，在所述将所述第一数据发送至所述数据需求方之前，所述方法还可以包括：

当接收到所述区块链网络发送的第一验证通过信息后，确定所述数据授权信息中的授权数据、授权使用方和有效期；

判断是否所述授权数据与所述第一数据一致、所述授权使用方与所述数据需求方一致、且当前时刻处于所述有效期中，得到第一判断结果；

将所述第一数据发送至所述数据需求方，具体包括：

当所述第一判断结果为是，将所述第一数据发送至所述数据需求方。

由于受区块链的影响，其只能验证其数据授权信息是否有效，对于数据授权信息的逻辑信息，如授权数据、授权使用方和有效期等，还需要服务机构进行验证。由于数据权限的审批过程中，服务机构存储了所有的审批信息，因此，可以采用存储的信息对数据授权信息中的授权数据、授权使用方和有效期进行验证。如果，发起数据获取申请的用户与数据授权信息中的授权使用方信息相同，申请获取的数据与数据授权信息中的授权信息相同，且数据授权信息处于有效期内，则可以将第一数据发送至所述数据需求方。

可选的，所述方法还可以包括：

获取针对所述第一数据的使用权限撤销申请，所述使用权限撤销申请包括所述数据授权信息；

将所述数据授权信息发送至所述区块链网络进行有效性验证；

当验证通过后，将所述数据授权信息的撤销信息存储在所述区块链网络中；

将所述数据授权信息的撤销信息发送至所述数据需求方。

对于需要付费使用的数据，数据需求方还可以有撤销权限申请的需求。针对这一情况，该实施例还提供了权限撤销的方法。

对权限的撤销，其针对的是数据授权信息，首先需要验证数据授权信息是否是有效的，只有在数据授权信息有效的基础上，才可以进行撤销操作。

可选的，在所述将所述数据授权信息的撤销信息存储在所述区块链网络中之前，所述方法还可以包括：

当接收到所述区块链网络发送的第二验证通过信息后，确定所述数据授权信息中的授权使用方；

确定提出针对所述第一数据的使用权限撤销申请的申请者；

判断所述申请者是否与所述授权使用方一致，得到第二判断结果；

将所述数据授权信息的撤销信息存储在所述区块链网络中，具体包括：

当所述第二判断结果为是，将所述数据授权信息的撤销信息存储在所述区块链网络中。

在数据授权信息有效的基础上，还需要验证发起权限撤销的申请人是否与数据授权信息一致，防止数据授权信息的错误撤销。其中，需要核对的信息可以包括：提出针对所述第一数据的使用权限撤销申请的申请者是否与所述数据授权信息的授权使用方一致。另外，还可以包括数据授权信息是否在有效期等等。

基于同样的思路，本说明书实施例还提供了上述方法对应的装置。图4为本说明书实施例提供的对应于图1的一种数据授权信息的获取装置的结构示意图。如图4所示，该装置可以包括：

数据使用权限申请获取模块402，用于获取数据需求方提交的针对第一数据的数据使用权限申请；

权限审批方确定模块404，用于根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

数据使用权限申请发送模块406，用于将所述数据使用权限申请发送至所述权限审批方；

确认信息获取模块408，用于获取所述权限审批方的确认信息；

数据授权信息生成模块410，用于根据所述确认信息生成数据授权信息；

数据授权信息发送模块412，用于将所述数据授权信息发送至所述数据需求方。

基于图4的装置，本说明书实施例还提供了该方法的一些具体实施方案，下面进行说明。

可选的，所述权限审批方确定模块404，具体可以包括：

数据类型确定单元，用于根据所述数据使用权限申请确定所述第一数据的数据类型；

智能合约确定单元，用于根据所述第一数据和所述数据类型确定智能合约，所述智能合约为针对所述第一数据的权限申请审批程序；

权限审批方确定单元，用于根据所述智能合约确定所述第一数据的权限审批方。

可选的，当所述权限审批方为至少两个时，所述数据使用权限申请发送模块406，具体可以包括：

第一发送单元，用于将所述数据使用权限申请发送至第一权限审批方；

第二发送单元，用于当获取所述第一权限审批方的第一确认信息后，将所述数据使用权限申请和所述第一确认信息发送至第二权限审批方。

可选的，所述数据授权信息生成模块410，具体可以包括：

第一确定单元，用于根据所述确认信息确定授权数据、授权使用方和有效期，其中，所述授权数据为所述第一数据，所述授权使用方为所述数据需求方；

数据授权信息生成单元，用于根据所述授权数据、授权使用方和有效期生成数据授权信息，所述数据授权信息包括所述第一数据和所述数据需求方。

可选的，所述装置还可以包括：

数据授权信息存储模块，用于将所述数据授权信息存储在区块链网络；

第一状态查询信息获取模块，用于获取所述数据需求方提交的所述数据使用权限申请的第一状态查询信息，所述第一状态查询信息包括所述数据使用权限申请；

第一查询模块，用于根据所述第一状态查询信息从所述区块链网络中对所述数据使用权限申请进行查询；

查询结果获取模块，用于获取所述区块链网络返回的针对所述第一状态查询信息的查询结果；

查询结果发送模块，用于将所述查询结果发送至所述数据需求方。

可选的，所述数据使用权限申请发送模块406，还可以包括：

第一确认信息存储单元，用于将所述第一确认信息在本地设备进行存储；

所述装置还可以包括：

第二状态查询信息获取模块，用于获取所述数据需求方提交的所述数据使用权限申请的第二状态查询信息，所述第二状态查询信息包括所述数据使用权限申请；

第二查询模块，用于根据所述第二状态查询信息从所述本地设备对所述数据使用权限申请进行查询；

第一确认信息发送模块，用于将所述第一确认信息发送至所述数据需求方。

可选的，所述装置还可以包括：

数据获取申请获取模块，用于获取所述数据需求方提交的针对所述第一数据的数据获取申请，所述数据获取申请包括所述数据授权信息；

第一验证模块，用于将所述数据授权信息发送至所述区块链网络进行有效性验证；

第一数据发送模块，用于当验证通过后，将所述第一数据发送至所述数据需求方。

可选的，所述装置还可以包括：

第一确定模块，用于当接收到所述区块链网络发送的第一验证通过信息后，确定所述数据授权信息中的授权数据、授权使用方和有效期；

第一判断模块，用于判断是否所述授权数据与所述第一数据一致、所述授权使用方与所述数据需求方一致、且当前时刻处于所述有效期中，得到第一判断结果；

所述第一数据发送模块，具体用于当所述第一判断结果为是，将所述第一数据发送至所述数据需求方。

可选的，所述装置还可以包括：

数据提供方确定模块，用于确定所述第一数据的数据提供方；

第一数据获取模块，用于从所述数据提供方获取所述第一数据。

可选的，所述第一数据获取模块，具体可以用于在可信执行环境中执行从所述数据提供方获取所述第一数据，其中，所述可信执行环境与操作系统层隔离。

可选的，在可信执行环境中执行从所述数据提供方获取所述第一数据，具体可以包括：

通过可信执行环境中的代码中预先定义的接口执行从所述数据提供方获取所述第一数据。

可选的，所述装置还可以包括；

使用权限撤销申请获取模块，用于获取针对所述第一数据的使用权限撤销申请，所述使用权限撤销申请包括所述数据授权信息；

第二验证模块，用于将所述数据授权信息发送至所述区块链网络进行有效性验证；

撤销信息存储模块，用于当验证通过后，将所述数据授权信息的撤销信息存储在所述区块链网络中；

撤销信息发送模块，用于将所述数据授权信息的撤销信息发送至所述数据需求方。

可选的，所述装置还可以包括：

授权使用方确定模块，用于当接收到所述区块链网络发送的第二验证通过信息后，确定所述数据授权信息中的授权使用方；

申请者确定模块，用于确定提出针对所述第一数据的使用权限撤销申请的申请者；

第二判断模块，用于判断所述申请者是否与所述授权使用方一致，得到第二判断结果；

所述撤销信息存储模块，具体用于当所述第二判断结果为是，将所述数据授权信息的撤销信息存储在所述区块链网络中。

基于同样的思路，本说明书实施例还提供了上述方法对应的设备。

图5为本说明书实施例提供的对应于图1的一种数据授权信息的获取设备的结构示意图。如图5所示，设备500可以包括：

至少一个处理器510；以及，

与所述至少一个处理器通信连接的存储器530；其中，

所述存储器530存储有可被所述至少一个处理器510执行的指令520，所述指令520被所述至少一个处理器510执行，以使所述至少一个处理器510能够：

获取数据需求方提交的针对第一数据的数据使用权限申请；

根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

将所述数据使用权限申请发送至所述权限审批方；

获取所述权限审批方的确认信息；

根据所述确认信息生成数据授权信息；

将所述数据授权信息发送至所述数据需求方。

基于同样的思路，本说明书实施例还提供了上述方法对应的计算机可读介质。计算机可读介质上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现以下方法：

获取数据需求方提交的针对第一数据的数据使用权限申请；

根据所述数据使用权限申请确定所述第一数据的权限审批方，所述权限审批方为所述第一数据的属主方；

将所述数据使用权限申请发送至所述权限审批方；

获取所述权限审批方的确认信息；

根据所述确认信息生成数据授权信息；

将所述数据授权信息发送至所述数据需求方。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于图5所示的数据授权信息的获取设备而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进（例如，对二极管、晶体管、开关等电路结构的改进）还是软件上的改进（对于方法流程的改进）。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件（Programmable Logic Device, PLD）（例如现场可编程门阵列（Field Programmable GateArray，FPGA））就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字符系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器（logic compiler）”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言（Hardware Description Language，HDL），而HDL也并非仅有一种，而是有许多种，如ABEL（Advanced Boolean Expression Language）、AHDL（Altera Hardware DescriptionLanguage）、Confluence、CUPL（Cornell University Programming Language）、HDCal、JHDL（Java Hardware Description Language）、Lava、Lola、MyHDL、PALASM、RHDL（RubyHardware Description Language）等，目前最普遍使用的是VHDL（Very-High-SpeedIntegrated Circuit Hardware Description Language）与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该（微）处理器执行的计算机可读程序代码（例如软件或固件）的计算机可读介质、逻辑门、开关、专用集成电路（Application Specific Integrated Circuit，ASIC）、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字符助理、媒体播放器、导航设备、设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字符多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。