一种数据使用授权方法、系统及装置与流程

1.本说明书实施例涉及区块链技术领域，尤其涉及一种数据使用授权方法、系统及装置。


背景技术：

2.目前业务方在针对用户开展业务时，通常需要先获取使用待授权数据的用户授权，才能使用待授权数据。待授权数据可以包括：用户的隐私信息、信息凭证、或者身份信息。
3.但在许多场景中，受到网络因素的影响，往往难以实现用户授权，导致业务难以开展。例如，在离线场景或者网络信号较差的场景中，用户与业务方难以进行数据交互，无法完成用户授权；或者在受到监控的网络场景中，具体可以是局域网，待授权数据属于重要的隐私数据，用户不希望通过受监控网络传输待授权数据。


技术实现要素：

4.为了解决上述技术问题，本说明书实施例提供了一种数据使用授权方法、系统及装置。技术方案如下所示。
5.一种数据使用授权方法，应用于授权方设备；区块链网络预先为授权方注册分布式数字身份did，以使得所述区块链网络存储授权方did标识与授权方公钥之间的对应关系；所述方法包括：
6.响应于授权方对目标数据的使用授权指令，利用所述授权方公钥对应的授权方私钥，对签名对象进行数字签名；所述签名对象包括所述目标数据；
7.生成包含所述授权方did标识、所述数字签名与所述签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证所述第一可验证声明是否由所述授权方设备生成的步骤包括：通过所述区块链网络确定所述第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证所述第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定所述第一可验证声明由所述授权方设备生成；
8.通过与使用需求方设备之间的直接连接，将所述第一可验证声明发送给所述使用需求方设备，以便所述使用需求方设备获得使用所述目标数据的授权。
9.一种数据使用授权方法，区块链网络预先为授权方注册分布式数字身份did，以使得所述区块链网络存储授权方did标识与授权方公钥之间的对应关系；
10.所述方法包括：
11.授权方设备响应于授权方对目标数据的使用授权指令，利用所述授权方公钥对应的授权方私钥，对签名对象进行数字签名；所述签名对象包括所述目标数据；
12.所述授权方设备生成包含所述授权方did标识、所述数字签名与所述签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证所述第一可验证声明是否由所述授权方设备生成的步骤包括：通过所述区块链网络确定所述第一可验证声明中的授权
方did标识所对应的授权方公钥，使用该授权方公钥验证所述第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定所述第一可验证声明由所述授权方设备生成；
13.所述授权方设备通过与使用需求方设备之间的直接连接，将所述第一可验证声明发送给所述使用需求方设备；
14.所述使用需求方设备获得所述第一可验证声明，以得到使用所述目标数据的授权。
15.一种数据使用授权装置，应用于授权方设备；区块链网络预先为授权方注册分布式数字身份did，以使得所述区块链网络存储授权方did标识与授权方公钥之间的对应关系；
16.所述装置包括：
17.响应单元，用于响应于授权方对目标数据的使用授权指令，利用所述授权方公钥对应的授权方私钥，对签名对象进行数字签名；所述签名对象包括所述目标数据；
18.生成单元，用于生成包含所述授权方did标识、所述数字签名与所述签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证所述第一可验证声明是否由所述授权方设备生成的步骤包括：通过所述区块链网络确定所述第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证所述第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定所述第一可验证声明由所述授权方设备生成；
19.发送单元，用于通过与使用需求方设备之间的直接连接，将所述第一可验证声明发送给所述使用需求方设备，以便所述使用需求方设备获得使用所述目标数据的授权。
20.一种数据使用授权系统，区块链网络预先为授权方注册分布式数字身份did，以使得所述区块链网络存储授权方did标识与授权方公钥之间的对应关系；
21.所述系统包括授权方设备和使用需求方设备；
22.所述授权方设备用于：响应于授权方对目标数据的使用授权指令，利用所述授权方公钥对应的授权方私钥，对签名对象进行数字签名；所述签名对象包括所述目标数据；生成包含所述授权方did标识、所述数字签名与所述签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证所述第一可验证声明是否由所述授权方设备生成的步骤包括：通过所述区块链网络确定所述第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证所述第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定所述第一可验证声明由所述授权方设备生成；通过与使用需求方设备之间的直接连接，将所述第一可验证声明发送给所述使用需求方设备；
23.所述使用需求方设备用于：获得所述第一可验证声明，以得到使用所述目标数据的授权。
24.上述技术方案中授权方设备可以生成第一可验证声明作为目标数据的使用授权凭证，通过与使用需求方设备之间的直接连接，可以在不借助网络的情况下，将第一可验证声明传输给使用需求方设备完成数据使用授权，从而使得数据使用授权不会受到网络因素的影响。
附图说明
25.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或
现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
26.图1是本说明书实施例提供的一种数据使用授权方法的流程示意图；
27.图2是本说明书实施例提供的另一种数据使用授权方法的流程示意图；
28.图3是本说明书实施例提供的一种数据使用授权方法的原理示意图；
29.图4是本说明书实施例提供的一种联网监管阶段的原理示意图；
30.图5是本说明书实施例提供的一种数据使用授权系统的结构示意图；
31.图6是本说明书实施例提供的一种数据使用授权装置的结构示意图；
32.图7是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
33.为了使本领域技术人员更好地理解本说明书实施例中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本说明书的一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于公开的范围。
34.目前业务方在针对用户开展业务时，通常需要先获取使用待授权数据的用户授权，才能使用待授权数据。待授权数据可以包括：用户的隐私信息、信息凭证、或者身份信息。
35.例如，在用户观看线下演出时，可以利用便携式移动终端授权闸机使用用户的信息凭证，信息凭证具体可以是线下演出的门票，闸机在验证信息凭证通过后可以开启，方便用户进场；在用户希望进入商场时，出于安全管理的目的，可以利用便携式移动终端授权商场设备使用用户的部分隐私信息，具体可以包括用户的行程信息，商场设备在核验隐私信息通过后可以允许用户进入商场。
36.但在许多场景中，受到网络因素的影响，往往难以实现用户授权，导致业务难以开展。例如，在离线场景或者网络信号较差的场景中，用户与业务方难以进行数据交互，无法完成用户授权；或者在受到监控的网络场景中，具体可以是局域网，待授权数据属于重要的隐私数据，用户不希望通过受监控网络传输待授权数据。
37.为了解决上述技术问题，本说明书实施例提供了一种数据使用授权方法。
38.简单来说，本说明书实施例提供的该方法中，可以将数据使用授权过程限定为授权方为使用需求方颁发目标数据(也就是待授权数据)的使用授权凭证，通过可验证的使用授权凭证，使得使用需求方能够证明自身使用目标数据是经过授权方授权的，具体可以是通过验证使用授权凭证是授权方针对目标数据的使用所颁发的即可。
39.由于授权过程只需要传输使用授权凭证，为了避免网络因素的影响，该方法中授权方设备可以与使用需求方设备之间建立直接连接。直接连接具体可以是没有第三方参与的连接，也就没有网络的参与，从而一方面可以不需要依赖网络传输使用授权凭证，另一方面也可以提高数据传输的安全性，降低使用授权凭证在数据传输中泄露的可能性，从而不会受到网络因素的影响，方便开展业务。
40.具体而言，该方法中可以利用区块链网络去中心化地存储授权方的分布式数字身
份(decentralized identifiers，did)标识以及授权方自身创建的公钥(为了便于描述，称为授权方公钥)。通过区块链网络存储授权方did标识和授权方公钥之间的对应关系，可以减少对授权方did标识和授权方公钥进行篡改的可能性，并且可以利用授权方did标识和授权方公钥进行后续的签名验证。
41.该方法中，授权方可以允许将目标数据的使用权限授予使用需求方。
42.具体地，授权方设备可以根据授权方对目标数据的授权指令，利用授权方公钥所对应的授权方私钥，对包含目标数据的签名对象进行数字签名。
43.之后可以生成包含授权方did标识、签名对象以及数字签名的第一可验证声明，所生成的第一可验证声明可以作为授权方颁发的使用授权凭证。
44.最后，授权方设备将所生成的第一可验证声明发送到使用需求方设备，完成目标数据的使用授权。使用需求方设备也可以基于所获取的第一可验证声明，使用其中的目标数据开展业务。
45.使用需求方只要获得所生成的第一可验证声明，就可以等同于使用需求方获得授权方颁发的使用授权凭证，获得使用授权凭证可以表征获得目标数据的使用授权。换言之，使用需求方获得第一可验证声明后，可以基于使用授权合法使用目标数据。
46.这一使用授权凭证，也可以用于后续通过验证的方式，向其他方(例如监管方)证明目标数据的使用是经过授权方授权的，而不是非法使用目标数据或者未经授权直接使用目标数据。
47.针对第一可验证声明(使用授权凭证)的验证，具体可以是针对第一可验证声明中的数字签名进行验证，可以通过第一可验证声明中的授权方did标识，在区块链网络中查询对应的授权方公钥，进而可以利用授权方公钥验证数字签名。
48.如果验证成功，则说明数字签名一定是基于授权方私钥生成的，从而证明第一可验证声明一定是由授权方颁发的(因为只有授权方持有授权方私钥)。如果验证失败，则无法证明第一可验证声明是由授权方颁发的。在验证失败的情况下，可能是多种原因造成验证失败，例如第一可验证声明中的签名对象被篡改，也可能是第一可验证声明对象中的数字签名不正确。
49.因此，通过第一可验证声明这一使用授权凭证，可以方便地基于区块链网络中的授权方公钥进行验证，验证使用授权凭证是否是由授权方生成的。并且，第一可验证声明可以作为使用授权凭证，在授权以后的任意时刻进行验证，确保目标数据的使用是经过授权方授权的。
50.在该方法中，由于需要避免网络因素的影响，因此，授权方设备可以与使用需求方设备之间建立直接连接。直接连接具体可以是没有第三方参与的连接，从而一方面可以不需要依赖网络传输第一可验证声明，另一方面也可以提高数据传输的安全性，降低第一可验证声明在数据传输中泄露的可能性，从而不会受到网络因素的影响，方便开展业务。
51.可以理解的是，由于直接连接中不包含第三方，因此，直接连接并不包含任何网络连接，网络连接例如有线网络连接和无线网络连接，网络连接中通常包含多个转发设备进行转发，显然不符合直接连接的定义，从而可以通过直接连接避免网络因素的影响。
52.可选地，可以直接通过近场通信的方式建立直接连接，也可以使用蓝牙、直接有线连接等方式建立设备与设备间的直接连接。
53.并且，由于第一可验证声明中还包含目标数据，因此，可以随着第一可验证声明将目标数据一同发送给使用需求方。方便使用需求方在获得目标数据的使用授权的同时，也可以获得目标数据，提高数据传输效率。
54.当然，第一可验证声明中还可以包含其他内容，具体地，可以在签名对象中包含其他内容，可选地，可以包含授权方did标识、用于标识本次使用授权的授权序列号、使用需求方标识、使用需求方设备标识、有效期信息、授权时间信息等。通过数字签名，可以验证签名对象中各个内容的正确性和完整性，并且，还可以帮助进行更细致的验证。
55.可选地，签名对象中可以包含使用需求方设备标识，以确保所生成的第一可验证声明是针对单个使用需求方设备生成的，其他设备显然无法使用该第一可验证声明作为使用授权凭证。
56.因此，可选地，具体的验证第一可验证声明的过程，还可以包括验证第一可验证声明中签名对象包含的设备信息与使用需求方设备是否匹配。
57.在一种具体的应用实施例中，例如，在用户观看线下演出时，可以利用便携式移动终端针对用户的信息凭证(门票)，利用用户的用户私钥进行数字签名，生成包含该数字签名、信息凭证和用户did标识的授权可验证声明。在离线场景或者网络较差的场景中，用户可以通过移动终端，将所生成的授权可验证声明通过近场通信直接发送给闸机，闸机可以验证授权可验证声明中的信息凭证(门票)，在验证信息凭证通过的情况下，闸机可以开启，方便用户进场，并且闸机需要留存授权可验证声明，作为验证信息凭证开展业务的使用授权凭证，以便于后续在连接到网络的场景中，闸机可以自行检验，也可以在后续监管部门需要监管闸机是否合法使用信息凭证时，出示授权可验证声明证明闸机是经过用户授权的。
58.因此，在本说明书实施例提供的一种数据使用授权方法中，授权方设备可以通过与使用需求方设备之间的直接连接，将第一可验证声明传输给使用需求方，在无第三方参与传输的情况下实现数据使用授权的过程，从而不会受到网络因素的影响。
59.上述方法可以在多种网络环境下使用，无论网络是否能够使用。例如离线场景、网络信号较差的场景、受到监控的网络场景等，并且可以无需网络实现数据使用授权，并实现授权意愿的证明，还可以降低网络传输导致数据泄露的可能性，提高数据传输的安全性。
60.下面进一步结合附图，解释本说明书所提供的一种数据使用授权方法。
61.需要说明的是，由于本方法流程涉及设备间的交互，为了便于描述和区分，将交互的2个设备分别称为授权方设备和使用需求方设备。本方法流程中，授权方设备可以将目标数据的使用权限授予使用需求方设备，使用需求方设备可以使用目标数据开展业务。
62.其中，授权方设备可以是用户设备，用于进行数据授权。使用需求方设备可以是业务方设备，用于获取授权方授权的目标数据开展业务。当然，使用需求方设备也可以是其他用户设备，用于获取授权方授权的目标数据执行业务。
63.此外，在一种可选的实施例中，授权方设备和使用需求方设备可以具有在彼此之间建立无第三方参与的直接连接的能力。
64.直接连接具体可以是近距离通信连接。授权方设备和使用需求方设备可以具有近距离通信模块，以便于构建近距离通信的通道。例如，近距离通信可以是蓝牙，则授权方设备和使用需求方设备都需要具备蓝牙功能，以便于利用蓝牙构建近距离通信的通道。近距离通信也可以是近场通信(near field communication，nfc)，则授权方设备和使用需求方
设备都需要具有nfc功能模块，以便于通过nfc功能模块通信。
65.如图1所示，为本说明书实施例提供的一种数据使用授权方法的流程示意图。该方法可以应用于授权方设备。
66.区块链网络可以预先为授权方注册分布式数字身份did，以使得区块链网络存储授权方did标识与授权方公钥之间的对应关系。可选地，区块链网络可以存储若干组did标识和公钥的对应关系。其中，授权方公钥可以是授权方设备创建的公钥，授权方公钥可以用于注册授权方did。具体注册did的过程在后文解释。
67.该方法可以至少包括以下步骤。
68.s101：响应于授权方对目标数据的使用授权指令，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
69.可选地，签名对象可以包括目标数据。当然，在其他可选的实施例中，签名对象还可以包括其他内容。
70.s102：生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证。
71.其中，可选地，验证第一可验证声明是否是由授权方设备生成的步骤包括：通过区块链网络确定第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证该第一可验证声明中的数字签名。在验证数字签名通过的情况下，可以确定该第一可验证声明是由授权方设备生成的。在验证数字签名不通过的情况下，可以确定该第一可验证声明并不是由授权方设备生成的。
72.s103：通过与使用需求方设备之间的直接连接，将第一可验证声明发送给使用需求方设备，以便使用需求方设备获得使用目标数据的授权。
73.可选地，直接连接可以是授权方设备与使用需求方设备之间直接建立的无第三方参与的连接。具体可以是近距离下的设备间直接连接，包括近场通信，蓝牙，数据线直连等。直接连接不包括有线网络或无线网络等包含中转方的连接。
74.上述方法流程中，授权方设备可以通过与使用需求方设备之间的直接连接，将能够用于证明使用需求方是合法使用目标数据(也就是获得授权方的目标数据使用授权后使用目标数据)的第一可验证声明传输给使用需求方，在无第三方参与传输的情况下实现数据使用授权的过程，从而不会受到网络因素的影响，从而方便后续开展业务。
75.下面针对各个步骤进行详细的解释。
76.一、下面针对s101进行解释。
77.s101：响应于授权方对目标数据的使用授权指令，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
78.可选地，签名对象可以包括目标数据。
79.1、使用授权指令和针对授权方的身份认证。
80.在一种可选的实施例中，授权方可以通过对授权方设备的操作，触发对目标数据的使用授权指令，使得授权方设备可以将目标数据的使用权限授予其他设备，方便其他设备合法使用目标数据。本方法流程并不限定目标数据的使用授权指令的触发方式和具体形式。
81.需要说明的是，由于通常授权方设备可以被其他用户操作，使用授权指令可能是
通过其他用户触发的。为了提高授权的安全性，需要确定授权方设备是由具有授权权限的授权方操作的。
82.因此，在实际触发使用授权指令后，或者在实际触发使用授权指令之前，可以对授权方的身份进行认证。在确认授权方身份后，可以确定能够将目标数据的使用权限授予其他设备，从而可以进一步执行后续步骤。
83.在一种可选的实施例中，可选地，具体使用授权指令的触发，需要授权方通过身份认证之后才能触发使用授权指令。可选地，也可以响应于授权方对目标数据的使用授权指令，在对签名对象进行数字签名之前，针对授权方进行身份认证，只有授权方通过身份认证，才能针对签名对象进行数字签名，执行之后的授权过程。
84.可选地，目标数据的使用授权指令是在授权方通过身份认证的情况下触发的。
85.可选地，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名，可以包括：针对授权方进行身份认证；在确定授权方通过身份认证的情况下，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
86.本实施例并不限定具体身份认证的方式，只要能够确定授权方的身份具有目标数据的使用授权权限即可。
87.作为示例性说明，可选地，可以通过密码认证、指纹认证、人脸认证、手势认证等认证方式进行身份认证。
88.可选地，在授权方输入待认证密码后，可以针对待认证密码进行认证，确定待认证密码与预存密码是否相同。其中，预存密码可以是具有目标数据使用授权权限的用户预先存储的面。在待认证密码与预存密码相同的情况下，可以确定授权方通过身份认证。
89.可选地，也可以通过生物特征进行认证，例如指纹、瞳孔、人脸等，授权方设备可以采集授权方的待认证生物特征，与预存生物特征比对。其中，预存生物特征可以是具有目标数据使用授权权限的用户预先存储的生物特征。在待认证生物特征与预存生物特征的相似度达到预设阈值的情况下，可以确定授权方通过身份认证。
90.综上所述，可以获取授权方的待认证身份信息，再针对待认证身份信息与预设身份信息进行匹配，判断是否匹配成功。在确定待认证身份信息与预设身份信息匹配成功的情况下，可以确定授权方通过身份认证。
91.其中，预设身份信息可以是具有目标数据使用授权权限的用户预先存储的身份信息，具体可以是具有目标数据使用授权权限的用户本身的身份信息，也可以是其他用户的身份信息。具有目标数据使用授权权限的用户可以指定其他用户也能够进行目标数据使用授权。
92.而具体的匹配过程本实施例并不限定，可以根据待认证身份信息与预设身份信息之间的重合度进行判断。可选地，可以获取授权方的待认证身份信息，再针对待认证身份信息与预设身份信息进行比对。在确定待认证身份信息与预设身份信息的重合度大于或等于预设重合度阈值的情况下，可以确定授权方通过身份认证。
93.具体可以根据身份信息的类型确定匹配过程。可选地，在身份信息为密码的情况下，可以限定匹配过程是对比输入的待认证密码和预设密码是否相同，在待认证密码和预设密码相同的情况下，可以确定匹配成功。当然，可以将预设重合度阈值设置为100％。
94.在身份信息为生物特征的情况下，由于生物特征可能在采集过程中发生变化或者
随时间发生细微的变化，因此，可以限定匹配过程是对比输入的待认证生物特征和预设生物特征的相似度是否达到预设相似度阈值，在待认证生物特征和预设生物特征的相似度达到预设阈值的情况下，可以确定匹配成功。当然，相似度可以看作是重合度，预设相似度阈值可以看作是预设重合度阈值。
95.在具体针对授权方进行身份认证的过程中，授权方设备中需要存储有预设身份信息，方便进行身份认证。
96.为了提高身份认证的安全性，在一种可选的实施例中，授权方设备中可以部署有可信执行环境(trusted execution environment，tee)，可信执行环境是一种封闭的独立运行环境，其中存储或运行的数据通常不会泄露到可信执行环境外，只有通过可信执行环境的接口才能输入数据或者得到输出的运行结果，因此，可以通过可信执行环境存储数据，提高数据安全性，也可以通过可信执行环境运行程序，提高程序运行的安全性。
97.因此，可选地，可以将预设身份信息存储到授权方设备的tee中，可以提高预设身份信息的安全性。也可以在授权方设备的tee中执行身份认证的过程，从而可以提高身份认证的安全性。
98.在一种可选的实施例中，授权方设备可以具有可信执行环境tee，tee存储有预设身份信息；具体针对授权方进行身份认证，可以包括：获取授权方的待认证身份信息到tee中；在tee中判断待认证身份信息与预设身份信息是否匹配成功；在确定待认证身份信息与预设身份信息匹配成功的情况下，确定授权方通过身份认证。
99.其中，可选地，获取授权方的待认证身份信息可以是基于授权方操作，获取授权方输入的待认证身份信息，例如，密码信息。也可以是采集授权方的待认证身份信息，例如，生物特征信息。
100.在一种具体的示例中，授权方设备可以采集授权方的待认证指纹信息到授权方设备的tee中，tee中存储有预留指纹信息，预留指纹信息是具有使用授权权限的用户存储的指纹信息。在tee中可以进一步对比待认证指纹信息和预留指纹信息的相似度，在相似度大于或等于预设相似度阈值的情况下，可以允许执行目标数据的使用授权过程，具体可以是触发对目标数据的使用授权指令，也可以是允许继续进行对签名对象进行数字签名。
101.在本实施例中，通过对授权方进行身份认证，可以提高目标数据使用授权的安全性，还可以通过在tee中实现身份认证，进一步提高身份认证和目标数据使用授权的安全性，保护身份认证过程中的数据不会从tee中泄露。
102.当然，可选地，后续的数字签名过程也可以在tee中执行，提高数字签名过程的安全性。
103.2、数字签名。
104.在一种可选的实施例中，响应于使用授权指令，可以执行目标数据的使用授权过程。当然，也可以在授权方通过身份认证后，执行目标数据的使用授权过程。
105.可选地，在本方法流程中，目标数据的使用授权过程可以包括进行数字签名、生成第一可验证声明、以及将第一可验证声明发送到使用需求方设备。关于第一可验证声明的解释在后文解释。
106.而其中的数字签名可以用于证明这一数字签名是由授权方设备生成的，从而证明授权方对目标数据的使用授权行为。
107.具体可以是通过利用授权方公钥对应的授权方私钥进行数字签名，以便于后续可以利用授权方公钥进行验签。其中，授权方私钥和授权方公钥可以是一对非对称加密密钥。利用授权方私钥加密的密文，可以通过授权方公钥进行解密。
108.并且，数字签名也可以确保签名对象的正确性和完整性。如果签名对象被篡改或者缺少部分内容，那么数字签名显然也无法验证通过。
109.在一种可选的实施例中，数字签名对应的签名对象可以包括目标数据。
110.需要说明的是，签名对象中包括目标数据，可以在通过数字签名确定签名对象的正确性和完整性的情况下，确定目标数据的正确性和完整性，以便于向使用需求方设备传输正确完整的目标数据进行使用。
111.在一种可选的实施例中，目标数据可以是使用需求方所需要使用的数据，也可以是授权方需要授权使用需求方能够使用的数据。
112.可选地，目标数据可以包括使用需求方开展业务所需要的数据。例如，授权方的个人信息、身份信息、隐私信息、电子凭证等等。
113.本实施例并不限定使用需求方具体如何使用目标数据。
114.在一种可选的实施例中，使用需求方可以针对目标数据进行核验，因此，目标数据可以包括可以被核验的业务数据。
115.可选地，目标数据可以包括业务数据和针对业务数据的数字签名，而数字签名可以被使用需求方设备核验。需要区分的是，目标数据中包括的数字签名，和上述利用授权方私钥针对签名对象生成的数字签名并不相同。
116.在一种具体的示例中，目标数据可以包括电子凭证和针对电子凭证的数字签名。其中，针对电子凭证的数字签名可以是基于权威方的私钥得到的，也就是由权威方针对电子凭证，利用权威方私钥进行签名后得到的。由于权威方的公钥可以是公开的，因此，使用需求方设备可以提前存储权威方公钥，以便于后续无需网络就可以进行验签。具体可以是使用需求方设备利用权威方公钥针对目标数据中的数字签名进行验签，确定电子凭证是经过权威方签名认证的，从而可以确定目标数据通过验证。
117.电子凭证具体可以是线下门票的电子版，使用需求方设备在确定电子凭证是经过权威方认证的之后，就可以开启闸机让授权方进场。
118.此外，本方法流程并不限定目标数据的获取方式。作为示例性说明，目标数据可以预先存储在授权方设备本地，也可以实时从其他设备获取，也可以根据授权方的操作实时采集，也可以根据授权方的输入实时获取。
119.可选地，授权方设备可以预先存储目标数据。目标数据具体可以是预先获取的业务数据，或者预先存储的授权方隐私信息，从而方便授权方设备直接从本地存储中获取到目标数据，进行数字签名。其中，由于可以在授权方设备的tee中执行数字签名，因此，也可以将目标数据预先存储到授权方设备的tee中，从而提高目标数据的安全性，也能够方便进行数字签名。
120.可选地，授权方设备也可以实时获取目标数据。目标数据可以是需要授权方实时输入的数据，例如，授权方姓名、授权方需要登录的账号、授权方打字输入的文字信息等，也可以是需要实时针对授权方采集的数据，例如，授权方人脸信息、授权方指纹信息、授权方手势信息等。因此，授权方设备可以基于授权方操作，实时获取到授权方输入的数据作为目
标数据，或者实时采集到授权方的数据作为目标数据。
121.当然，由于可以在授权方设备的tee中执行数字签名，因此，也可以将实时获取的目标数据获取到授权方设备的tee中，以便于后续针对目标数据进行数字签名。
122.在一种可选的实施例中，签名对象中还可以包括授权方did标识。获取授权方did标识的方法在后文s102的解释中描述。
123.需要说明的是，签名对象中包括授权方did标识，可以在通过数字签名确定签名对象的正确性和完整性的情况下，确定授权方did标识的正确性和完整性。
124.在一种可选的实施例中，授权方did标识可以是授权方在注册did后所获取到的，用于在区块链网络中唯一标识授权方。其中，具体注册did的过程在后文解释。
125.经过授权方注册did，区块链网络中可以存储授权方did标识与授权方公钥之间的对应关系。因此，可以通过区块链网络，根据授权方did标识查询到对应的授权方公钥，以便于验证s101中得到的数字签名。
126.区块链网络可以尽量保证授权方did标识与授权方公钥之间的对应关系不被篡改，具有较高的可信任度。
127.其中，授权方did标识一方面可以作为从区块链网络中查询公钥的依据，方便对s101中得到的数字签名进行验证，另一方面也可以方便确定进行目标数据使用授权的授权方。
128.在一种可选的实施例中，签名对象除了包含目标数据，还可以包含其他内容。具体可以包括表征目标数据使用授权的信息。
129.可选地，签名对象可以还包括以下至少一项：授权方did标识、使用需求方标识、使用需求方设备标识、第一可验证声明标识、有效期、目标数据的指定使用权限、以及授权时间信息等等。
130.其中，使用需求方标识可以用于表征被授予目标数据使用权限的使用需求方，使用需求方标识具体可以是使用需求方的did标识。使用需求方可以通过与授权方同样的方法获取did标识。
131.使用需求方设备标识可以用于表征被授予目标数据使用权限的设备。使用需求方设备标识具体可以是设备的物理地址。
132.第一可验证声明标识可以用于表征授权方后续所需要生成的第一可验证声明，第一可验证声明标识具体可以是授权方所生成的第一可验证声明序列号。
133.有效期可以用于表征授权方本次目标数据使用授权的有限期限。超出有效期，则本次目标数据使用授权失效，使用需求方设备不应继续使用或存储目标数据。
134.目标数据的指定使用权限，可以用于表征授权方设备指定使用需求方设备能够使用目标数据的部分权限。例如，授权方设备可以指定使用需求方设备只能够在本地使用目标数据，不能发送出去，也就是授权方只授予使用需求方设备目标数据的“本地使用权限”，而不具有“发送权限”；或者授权方设备可以指定使用需求方设备只能够使用目标数据进行验证，而不能进行修改，也就是授权方只授予使用需求方设备目标数据的“验证权限”，而不具有“修改权限”。
135.授权时间信息可以用于表征授权方本次目标数据使用授权的时间点。
136.当然，签名对象中还可以包含其他内容，本实施例这里只进行示例性说明。通过数
字签名，可以方便验证签名对象中各个其他内容的正确性和完整性。
137.例如，在签名对象中包含授权方did标识的情况下，可以方便验证授权方did标识的正确性和完整性，从而方便查找到正确的授权方公钥，提高后续数字签名验证成功的可能性。
138.此外，其中部分其他内容还可以帮助在“第一可验证声明是否由授权方设备生成”以外的其他方面，针对第一可验证声明进行验证。具体在后文中进行解释。
139.本实施例并不限定上述签名对象中的其他内容的获取方式，作为示例性说明，使用需求方标识可以是授权方设备从使用需求方设备中获取的，具体可以是授权方设备与使用需求方设备建立直接连接，通过直接连接，使用需求方设备将使用需求方标识发送到授权方设备，方便得到签名对象进行签名，也方便之后生成第一可验证声明。
140.二、下面针对s102进行解释。
141.s102：生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证。
142.其中，数字签名是s101所得到的数字签名，签名对象是s101中的签名对象。
143.其中，可选地，验证第一可验证声明是否是由授权方设备生成的步骤包括：通过区块链网络确定第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证该第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定该第一可验证声明是由授权方设备生成的。
144.在验证数字签名不通过的情况下，可以确定该第一可验证声明并不是由授权方设备生成的。
145.1、did注册过程和授权方did标识。
146.需要强调的是，由于生成第一可验证声明需要授权方did标识，因此，需要明确授权方did标识的获取方式。
147.在一种可选的实施例中，区块链网络已经预先为授权方注册did，并且存储了授权方did标识与授权方公钥之间的对应关系。因此，可选地，授权方设备可以从区块链网络获取授权方did标识，也可以是区块链网络主动将授权方did标识下发给授权方设备。具体可以是在区块链网络预先为授权方注册did成功后，区块链网络将授权方did标识下发给授权方设备。
148.而关于注册did，在一种可选的实施例中，可以是授权方设备创建一对公私钥，并向区块链网络发起did注册申请，注册申请中包括所创建的授权方公钥。区块链网络可以基于授权方设备所创建的授权方公钥，生成授权方did标识，进而存储授权方did标识与授权方公钥之间的对应关系，并将所生成的授权方did标识返回到授权方设备。
149.其中，可选地，区块链网络基于授权方设备所创建的授权方公钥，生成授权方did标识，可以包括：区块链网络基于授权方公钥进行两次哈希，具体可以分别是sha256哈希算法和ripemd160哈希算法，之后利用base58编码方式进行转换，生成唯一对应于授权方设备的授权方did标识。
150.可选地，区块链网络可以基于智能合约实现did的注册。具体可以是区块链网络部署有did管理合约，用于为各个设备或用户注册did。
151.可选地，区块链网络可以通过智能合约，触发针对区块链网络外的消息，消息中可
以包括授权方did标识。而授权方设备可以接收这一消息，从而获取到授权方did标识。
152.在一种可选的实施例中，为了提高授权方did标识的安全性，授权方设备中可以部署有可信执行环境tee，从而可以将授权方did标识存储到tee中。并且进一步地，为了提高授权方私钥的安全性，可以也将授权方私钥存储到tee中。
153.可选地，授权方设备具有可信执行环境tee；区块链网络预先为授权方注册分布式数字身份did，可以包括：区块链网络预先接收到授权方设备发送的did注册请求，请求中包括授权方设备在tee中创建的授权方公钥；区块链网络预先根据请求中包含的授权方公钥，创建唯一对应于授权方设备的授权方did标识，存储所创建的授权方did标识与授权方公钥之间的对应关系，并将所创建的授权方did标识返回到授权方设备的tee中。
154.相对应地，由于授权方私钥存储在tee中，因此，s101中对签名对象进行数字签名的步骤可以在授权方设备的tee中执行。
155.可选地，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名，可以包括：获取目标数据到tee中；在tee中利用tee存储的授权方私钥，对签名对象进行数字签名。
156.其中，在签名对象包括授权方did标识的情况下，也可以直接在tee中将所获取的目标数据和tee存储的授权方did标识，确定为签名对象或者签名对象的一部分，之后利用tee存储的授权方私钥，对签名对象进行数字签名。
157.相对应地，由于授权方did标识存储在tee中，因此，s102中生成包含授权方did标识的第一可验证声明这一步骤，可以在授权方设备的tee中执行。
158.可选地，可以在授权方设备的tee中生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证。
159.2、使用授权凭证的验证步骤。
160.在一种可选的实施例中，s102中将所生成的第一可验证声明作为授权方颁发的目标数据使用授权凭证。而第一可验证声明应该可以被任一方进行验证，以确定第一可验证声明确实是授权方设备生成的，从而确定授权方确实将目标数据的使用权限授予具有第一可验证声明的设备。
161.可选地，第一可验证声明中包括授权方did标识、s101中的数字签名和签名对象，因此，可以根据授权方did标识从区块链网络中获取对应的授权方公钥，针对第一可验证声明中的数字签名进行验证。
162.具体可以是利用授权方公钥解密数字签名，得到待验证摘要信息，再针对签名对象获取标准摘要信息，如果待验证摘要信息与标准摘要信息一致，则可以确定数字签名验证通过。如果待验证摘要信息与标准摘要信息不一致，则可以确定数字签名验证失败。
163.而在第一可验证声明中的数字签名验证通过的情况下，可以确定第一可验证声明是由授权方设备生成的，从而证明授权方设备的目标数据使用授权行为。
164.在第一可验证声明中的数字签名验证失败的情况下，可以确定第一可验证声明不是由授权方设备生成的。
165.需要说明的是，上述使用授权凭证的验证步骤可以由区块链网络执行。
166.可选地，可以由验证方将第一可验证声明发送到区块链网络，由区块链网络通过智能合约对第一可验证声明进行验证，验证第一可验证声明是否由授权方设备生成，并通过触发链外消息机制，将验证结果返回验证方。验证方用于对第一可验证声明进行验证，验
证方具体可以是使用需求方或者监管方。
167.由区块链网络通过智能合约对第一可验证声明进行验证，具体可以包括：根据授权方did标识从区块链网络中获取对应的授权方公钥，针对第一可验证声明中的数字签名进行验证。具体可以是利用授权方公钥解密数字签名，得到待验证摘要信息，再针对签名对象获取标准摘要信息，如果待验证摘要信息与标准摘要信息一致，则可以确定数字签名验证通过。如果待验证摘要信息与标准摘要信息不一致，则可以确定数字签名验证失败。
168.这种区块链网络通过智能合约进行验证的实施例，可以提高验证过程的安全性和可信度。
169.本实施例中，可以通过对第一可验证声明的验证，判断第一可验证声明是否由授权方设备生成，从而方便后续针对使用需求方设备进行监管，判断使用需求方设备是否是在获得目标数据使用授权的情况下使用目标数据的。
170.三、下面针对s103进行解释。
171.s103：通过与使用需求方设备之间的直接连接，将第一可验证声明发送给使用需求方设备，以便使用需求方设备获得使用目标数据的授权。
172.可选地，直接连接可以是授权方设备与使用需求方设备之间直接建立的无第三方参与的连接。具体可以是近距离下的设备间直接连接，包括近场通信，蓝牙，数据线直连等。直接连接不包括有线网络或无线网络等包含中转方的连接。
173.由于直接连接是没有第三方参与的连接，从而可以不需要依赖网络进行数据传输，具体可以传输s102中生成的第一可验证声明，也可以提高数据传输的安全性，降低s102中生成的第一可验证声明在数据传输中泄露的可能性，从而不会受到网络因素的影响，方便开展业务。
174.可以理解的是，由于直接连接中不包含第三方，因此，直接连接并不包含任何网络连接，网络连接例如有线网络连接和无线网络连接，网络连接中通常包含多个转发设备进行转发，显然不符合直接连接的定义，从而可以通过直接连接避免网络因素的影响。
175.在一种可选的实施例中，在第一可验证声明在授权方设备的tee中生成的情况下，可以直接从授权方设备的tee中将所生成的第一可验证声明通过直接连接发送到使用需求方设备。
176.具体可以是从授权方设备的tee中将所生成第一可验证声明发送到nfc功能模块，再由授权方设备的nfc功能模块，利用nfc通道将所生成的第一可验证声明发送到使用需求方设备的nfc功能模块中，以便于使用需求方获得使用目标数据的授权。
177.在一种可选的实施例中，使用需求方获得第一可验证声明后，可以直接使用第一可验证声明中的目标数据开展业务。还可以将第一可验证声明存储起来，作为授权方进行目标数据使用授权的授权凭证，方便后续进行验证。
178.可选地，可以由任一验证方针对使用需求方对目标数据的使用行为是否经过授权方授权进行验证。本实施例并不限定具体的验证方，验证方具体可以是使用需求方自身，也可以是监管方等。
179.可选地，可以由使用需求方设备自身针对第一可验证声明进行验证，降低错误授权或者虚假授权的可能性。具体可以是使用需求方设备利用上述验证第一可验证声明是否是由授权方设备生成的方法进行验证。
180.可选地，也可以由其他方针对使用需求方设备中存储的第一可验证声明进行验证，从而针对使用需求方使用目标数据这一行为是否经过授权方授权进行验证。其他方具体可以是针对数据使用行为进行监管的监管方。具体也可以是利用上述验证第一可验证声明是否是由授权方设备生成的方法进行验证。
181.需要说明的是，上述验证第一可验证声明是否是由授权方设备生成的方法中，需要从区块链网络中获取授权方公钥，因此，这一验证方法可以是在联网情况下执行。并且，其他方获取使用需求方设备中存储的第一可验证声明进行验证，也可以是在联网情况下执行。因此，具体针对第一可验证声明进行验证可以是在联网场景下进行的。
182.上述方法流程中，授权方设备可以基于目标数据和授权方did标识，生成第一可验证声明作为目标数据的使用授权凭证，其中第一可验证声明可以基于授权方did标识和区块链网络进行验证，验证第一可验证声明是否是由授权方设备生成的，从而验证目标数据的使用是否经过授权方授权。
183.而通过与使用需求方设备之间的直接连接，将第一可验证声明传输给使用需求方设备完成数据使用授权，在无第三方参与传输的情况下实现数据使用授权的过程，从而不会受到网络因素的影响。
184.此外，上述方法流程中描述的是一个授权方设备将目标数据的使用权限授予一个使用需求方设备，可以理解的是，在多个授权方设备将目标数据的使用权限授予一个使用需求方设备，一个授权方设备将目标数据的使用权限授予多个使用需求方设备，多个授权方设备将目标数据的使用权限授予多个使用需求方设备等情况中，都可以针对其中的任意一组授权方设备和使用需求方设备，采用上述方法流程进行数据使用授权。
185.在上述方法流程之外，在一种可选的实施例中，针对第一可验证声明，除了验证第一可验证声明是否由授权方设备生成，验证方还可以针对其他方面进行验证。
186.下面从两个方面进行示例性说明。
187.1)第一可验证声明作为使用授权凭证，可能存在失效的情况。
188.具体可以是授权方主动撤回目标数据使用权限，也可以是使用授权凭证本身具有有效期，在超出有效期后，使用需求方设备不再具有目标数据使用权限，第一可验证声明也会失效。
189.而在第一可验证声明失效的情况下，使用需求方设备不应再使用或存储目标数据。
190.针对第一可验证声明，借助区块链网络中的授权方公钥，仍然可以验证第一可验证声明是否是由授权方设备生成的，但还需要针对第一可验证声明验证是否失效。
191.而具体验证第一可验证声明是否失效的方法，本实施例并不限定。具体的示例性实施例可以参见后文。
192.2)第一可验证声明作为使用授权凭证，可能存在第一可验证声明被滥用的情况。
193.作为一种滥用第一可验证声明的情况示例，在使用需求方设备获取第一可验证声明后，任一其他设备可能从使用需求方设备中获取到第一可验证声明，从而也基于第一可验证声明使用目标数据。但实际上该其他设备并不具有授权方设备的授权。
194.而在常规验证第一可验证声明是否是由授权方设备生成的方法中，该其他设备并未改动第一可验证声明，因此，在该其他设备出示第一可验证声明的情况下，也能够确定第
一可验证声明是由授权方设备生成的，从而错误地认为该其他设备具有授权方的使用授权。
195.因此，可以在第一可验证声明中引入使用授权的其他内容和信息，通过第一可验证声明中的其他内容，帮助判断实际具有目标数据使用授权的设备。其他内容例如，被授权的设备标识、被授权的需求方标识等。
196.作为另一种滥用第一可验证声明的情况示例，在授权方只授权使用需求方设备在本地使用目标数据的情况下，使用需求方设备将目标数据发送到其他设备。但实际上使用需求方设备并不具有目标数据的发送权限。
197.但常规验证第一可验证声明是否是由授权方设备生成的方法中，无法针对这一点进行验证。
198.因此，可以在第一可验证声明中引入授权方指定使用权限，以便于通过授权方指定使用权限，帮助判断使用需求方设备是否执行了授权方指定使用权限以外的操作，具体可以获取使用需求方设备的操作记录进行验证。
199.需要说明的是，这些其他内容可以包含在签名对象中，可以通过数字签名验证正确性和完整性，从而方便提高验证第一可验证声明是否被滥用的准确性。
200.可见，第一可验证声明中，签名对象所包含的目标数据以外的部分其他内容，可以用于帮助针对第一可验证声明是否滥用进行验证。
201.当然，本实施例并不限定第一可验证声明被滥用的具体情况，也不限定签名对象中所包含的其他具体内容和对应的具体验证方法。具体的示例性实施例可以参见后文。
202.下面针对验证第一可验证声明是否失效的情况进行具体解释。
203.在一种可选的实施例中，第一可验证声明作为使用授权凭证，可能存在失效的情况，也就是授权方不再继续将目标数据的使用权限授予使用需求方设备。换言之，第一可验证声明失效用于表征使用需求方设备不再具有目标数据的使用权限。
204.下面给出两种具体验证第一可验证声明是否失效的方法示例。
205.1)在一种可选的实施例中，可以在第一可验证声明中设置有效期信息，具体可以将有效期信息包含在签名对象中，方便验证有效期信息的正确性和完整性。之后可以通过对有效期信息的验证，确定第一可验证声明是否有效。
206.可选地，在验证方针对第一可验证声明是否有效进行验证时，可以由验证方在验证第一可验证声明中的数字签名通过的情况下，进一步获取第一可验证声明中的有效期信息进行验证。
207.验证过程包括：如果当前时间点超出所获取的有效期信息，则可以确定该第一可验证声明失效，使用需求方设备不再具有目标数据的使用权限。如果当前时间点并未超出所获取的有效期信息，则可以确定该第一可验证声明有效，使用需求方设备仍然具有目标数据的使用权限。
208.可选地，验证方针对第一可验证声明是否有效进行验证，可以由验证方交给区块链网络进行验证。区块链网络可以接收验证方发送的第一可验证声明，通过智能合约在验证第一可验证声明中的数字签名通过的情况下，进一步获取第一可验证声明中的有效期信息进行验证。具体的验证过程与上述验证过程相同。之后可以将验证结果通过触发链外消息的机制返回给验证方。
209.在本实施例中，可以通过第一可验证声明中的有效期信息快速准确地验证第一可验证声明是否有效，提高了验证效率。
210.2)在另一种可选的实施例中，可以在区块链网络中部署失效声明集合，失效声明集合用于存储失效的可验证声明，从而方便利用失效声明集合帮助验证第一可验证声明是否失效。
211.可选地，在验证方针对待验证的第一可验证声明是否有效进行验证时，可以从区块链网络中确定失效声明集合，判断待验证的第一可验证声明是否在失效声明集合中。
212.如果待验证的第一可验证声明在失效声明集合中，则可以确定该第一可验证声明失效，使用需求方设备不再具有目标数据的使用权限。如果待验证的第一可验证声明不在失效声明集合中，则可以确定该第一可验证声明有效，使用需求方设备仍然具有目标数据的使用权限。
213.当然，可选地，验证方具体可以是直接将待验证的第一可验证声明发送到区块链网络进行验证，也可以是从区块链网络中获取失效声明集合到验证方本地进行后续的验证。
214.而针对失效声明集合的维护，可选地，可以由区块链网络实时监测失效事件，失效事件具体可以是用于表征指定可验证声明失效的事件。之后将失效事件指定的可验证声明添加到失效声明集合中。
215.可选地，失效事件可以包括任一可验证声明中的有效期到期的事件，和/或授权方主动撤销任一可验证声明的事件。
216.具体地，区块链网络可以部署智能合约用于维护失效声明集合，具体可以是授权管理智能合约。维护失效声明集合具体可以包括更新失效声明集合。
217.可选地，授权管理智能合约可以用于监测失效事件，并将监测到的失效事件所指定的可验证声明添加到失效声明集合中。
218.本实施例并不具体限定失效事件。作为示例性说明，可选地，失效事件可以包括：区块链网络接收到授权方设备发送的撤销授权请求，撤销授权请求用于请求撤销指定可验证声明；和/或在任一可验证声明包含有效期的情况下，监测到当前时间点超出该可验证声明包含的有效期。
219.其中，可选地，授权方可以随时撤销自身发送出去的第一可验证声明，具体可以事故向区块链网络发送撤销授权请求，撤销授权请求中可以指定第一可验证声明进行撤销授权。
220.当然，为了确保是授权方自身发起的请求，还可以在撤销授权请求中，利用授权方私钥进行签名，签名对象具体可以是请求中的其他内容，例如，指定撤销的第一可验证声明。之后区块链网络可以利用授权方公钥验证撤销授权请求中的数字签名，该数字签名通过验证后，可以证明该请求是授权方发起的，并将撤销授权请求中指定的第一可验证声明添加到失效声明集合中。
221.可选地，区块链网络具体监测可验证声明的有效期，可以是针对过去接收到的全部可验证声明进行监测，也可以收集若干可验证声明进行监测。本实施例并不限定。
222.具体监测可验证声明的有效期，可以包括：在监测到当前时间点超出任一可验证声明的有效期后，将该可验证声明添加到失效声明集合中。
223.在本实施例中，失效声明集合维护在区块链网络中，可以降低失效声明集合被篡改的可能性。
224.本实施例可以通过失效声明集合，快速验证第一可验证声明是否失效，并且可以提供给授权方随时撤销授权、撤销第一可验证声明的操作权限，提高授权方的操作体验和目标数据的安全性。
225.需要说明的是，上述两种方法示例可以进行组合使用，从多方面针对第一可验证声明是否失效进行验证。
226.下面针对验证第一可验证声明是否被滥用的情况进行具体解释。
227.在一种可选的实施例中，第一可验证声明作为使用授权凭证，可能存在第一可验证声明被滥用的情况，导致未授权的对象使用目标数据或针对目标数据执行未授权的操作。
228.下面给出两种具体验证第一可验证声明是否被滥用的方法示例。
229.1)在一种可选的实施例中，第一可验证声明中，可以包含被授权的对象标识。
230.具体地，第一可验证声明的签名对象中可以包括被授权的设备标识，该设备标识可以唯一对应被授权的设备，表明授权方将目标数据的使用权限仅仅授予该设备标识对应的设备。
231.为了便于描述，将需要被验证的设备称为待验证设备，由验证方对待验证设备中的第一可验证声明是否被滥用进行验证。具体可以是针对待验证设备是否匹配第一可验证声明中的设备标识进行验证。
232.可选地，验证方可以获取待验证设备的待验证设备标识，以及待验证设备出示的目标数据的使用授权凭证(即第一可验证声明)。在第一可验证声明中的数字签名通过验证的情况下，证明第一可验证声明确实是授权方设备生成的，并且第一可验证声明中的签名对象是正确且完整的，进而可以对比待验证设备标识与第一可验证声明中的设备标识是否相同。
233.如果待验证设备标识与第一可验证声明中的设备标识相同，则待验证设备就是被授权方授权的设备，第一可验证声明没有被未授权设备滥用。如果待验证设备标识与第一可验证声明中的设备标识不同，则待验证设备并不是被授权方授权的设备，第一可验证声明被未授权设备滥用。
234.可选地，上面设备标识可以替换为使用需求方标识，使用需求方标识可以唯一对应被授权的使用需求方，表明授权方将目标数据的使用权限仅仅授予该使用需求方标识对应的使用需求方。
235.当然，可选地，第一可验证声明的签名对象中可以包括若干被授权的设备标识，表明授权方将目标数据的使用权限仅仅授予若干设备标识分别对应的若干设备。从而方便复用相同的第一可验证声明，将目标数据的使用权限授予若干设备，提高授权效率。
236.相对应地，后续的验证过程，可以是判断签名对象中的若干设备标识是否包含与待验证设备标识相同的标识。
237.本实施例中，可以通过第一可验证声明中被授权的对象标识，明确被正确授权的对象(需求方或者设备)，并且可以通过数字签名验证对象标识的正确性和完整性。从而可以验证出未被授权的其他对象基于第一可验证声明使用目标数据。
238.2)在一种可选的实施例中，第一可验证声明中，可以包含授权方指定的使用权限。
239.具体地，第一可验证声明的签名对象中，可以包含授权方所指定的使用权限。授权方所指定的使用权限，可以是针对目标数据的全部使用权限或部分使用权限。
240.需要说明的是，对目标数据的使用存在多种情况，例如，发送到其他设备、在本地修改、在本地验证等等，因此，全部使用权限可以包括：发送权限(能够发送目标数据到其他设备的权限)、修改权限(能够修改目标数据的权限)、验证权限(能够针对目标数据进行验证的权限)等等。
241.授权方在将目标数据的使用权限授予使用需求方设备时，可以指定使用需求方设备所具有的具体目标数据使用权限，例如，可以指定使用需求方设备只具有验证权限，而不具有其他使用权限，则使用需求方设备就不能将目标数据发送出去，也不能修改目标数据，否则就是针对目标数据执行了指定使用权限之外的操作，滥用了第一可验证声明所赋予使用需求方设备的指定使用权限。
242.为了便于描述，将需要被验证的设备称为待验证设备，由验证方对待验证设备中的第一可验证声明是否被滥用进行验证。具体可以是针对待验证设备是否执行第一可验证声明中的指定使用权限之外的操作进行验证。
243.可选地，验证方可以获取待验证设备针对目标数据的操作记录，以及待验证设备出示的目标数据的使用授权凭证(即第一可验证声明)。在第一可验证声明中的数字签名通过验证的情况下，证明第一可验证声明确实是授权方设备生成的，并且第一可验证声明中的签名对象是正确且完整的，进而可以确定第一可验证声明中的指定使用权限，并判断操作记录中是否包含指定使用权限之外的操作。
244.如果操作记录中包含指定使用权限之外的操作，则可以确定待验证设备滥用第一可验证声明对目标数据进行操作。如果操作记录中不包含指定使用权限之外的操作，则可以确定待验证设备没有滥用第一可验证声明。
245.本实施例中，可以通过第一可验证声明中授权方指定的使用权限，明确被正确授权的使用权限，并且可以通过数字签名验证指定使用权限的正确性和完整性。从而可以验证出使用需求方是否滥用第一可验证声明，针对目标数据执行指定使用权限之外的操作。
246.需要说明的是，上述两种方法示例可以进行组合使用，从多方面针对第一可验证声明是否被滥用进行验证。例如，既验证待验证设备是否是被授权的设备，又验证待验证设备是否执行了指定使用权限之外的操作。
247.在一种可选的实施例中，在需要验证第一可验证声明是否有效的情况下，只有在第一可验证声明有效，且确定第一可验证声明是授权方设备生成的情况下，可以证明使用需求方设备当前具有目标数据的使用权限。
248.在需要验证第一可验证声明是否被滥用的情况下，只有在确定第一可验证声明没有被滥用，且确定第一可验证声明是授权方设备生成的情况下，可以证明使用需求方设备具有目标数据的使用权限。
249.在需要验证第一可验证声明是否有效，并验证第一可验证声明是否被滥用的情况下，只有在第一可验证声明有效、确定第一可验证声明没有被滥用、且确定第一可验证声明是授权方设备生成的情况下，可以证明使用需求方设备当前具有目标数据的使用权限。
250.本实施例并不限定验证第一可验证声明是否是授权方设备生成、验证第一可验证
声明是否有效、验证第一可验证声明是否被滥用这三种验证流程的先后顺序，可以是并行执行，也可以先后执行。
251.可选地，在先后执行的过程中，如果其中一个验证流程未通过，例如，确定第一可验证声明失效，或者确定第一可验证声明被滥用，或者确定第一可验证声明中的数字签名为通过验证，第一可验证声明不是授权方设备生成的，则后续的验证流程无需执行，可以直接确定使用需求方设备当前不具有目标数据的使用权限，提高验证效率。
252.本说明书实施例还提供了一种多侧的方法实施例。如图2所示，为本说明书实施例提供的另一种数据使用授权方法的流程示意图。
253.其中，区块链网络可以预先为授权方注册分布式数字身份did，以使得区块链网络存储授权方did标识与授权方公钥之间的对应关系。
254.该方法可以包括以下步骤。
255.s201：授权方设备响应于授权方对目标数据的使用授权指令，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名；签名对象包括目标数据。
256.s202：授权方设备生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证。
257.其中，验证第一可验证声明是否由授权方设备生成的步骤包括：通过区块链网络确定第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定第一可验证声明由授权方设备生成。
258.s203：授权方设备通过与使用需求方设备之间的直接连接，将第一可验证声明发送给使用需求方设备。
259.s204：使用需求方设备获得第一可验证声明，以得到使用目标数据的授权。
260.可选地，授权方设备具有可信执行环境tee；区块链网络预先为授权方注册分布式数字身份did，包括：区块链网络预先接收到授权方设备发送的did注册请求，请求中包括授权方设备在tee中创建的授权方公钥；区块链网络预先根据请求中包含的授权方公钥，创建唯一对应于授权方设备的授权方did标识，存储所创建的授权方did标识与授权方公钥之间的对应关系，并将所创建的授权方did标识返回到授权方设备的tee中。
261.可选地，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名，包括：获取目标数据到tee中；在tee中利用tee存储的授权方私钥，对签名对象进行数字签名。
262.可选地，授权方设备利用授权方公钥对应的授权方私钥，对签名对象进行数字签名，包括：针对授权方进行身份认证；在确定授权方通过身份认证的情况下，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
263.可选地，授权方设备具有可信执行环境tee，tee存储有预设身份信息；针对授权方进行身份认证，包括：获取授权方的待认证身份信息到tee中；在tee中判断待认证身份信息与预设身份信息是否匹配成功；在确定待认证身份信息与预设身份信息匹配成功的情况下，确定授权方通过身份认证。
264.可选地，签名对象还包括以下至少一项：授权方did标识、使用需求方标识、使用需求方设备标识、有效期、以及授权时间信息。
265.可选地，区块链网络部署有授权管理智能合约；授权管理智能合约用于维护失效
声明集合；授权管理智能合约用于监测失效事件，并将监测到的失效事件所指定的第一可验证声明添加到失效声明集合中。
266.可选地，失效事件包括：区块链网络接收到授权方设备发送的撤销授权请求，撤销授权请求用于请求撤销指定的可验证声明；和/或在任一可验证声明包含有效期的情况下，监测到当前时间点超出该可验证声明包含的有效期。
267.可选地，使用需求方设备可以存储第一可验证声明，用于证明自身对目标数据的使用是经过授权方授权的。因此，需要验证方针对使用需求方设备中的第一可验证声明进行验证。
268.可选地，验证方可以获取使用需求方设备中的第一可验证声明进行验证，具体的验证方法可以参见上述方法实施例。例如，验证第一可验证声明是否是授权方设备生成的，验证第一可验证声明是否有效，验证第一可验证声明是否被滥用。
269.为了便于理解，本说明书还提供了一种应用实施例。
270.如图3所示，为本说明书实施例提供的一种数据使用授权方法的原理示意图。
271.其中包括区块链网络、验证方设备、授权方设备和使用需求方设备。授权方设备具体可以是用户的便携式电子设备，使用需求方设备具体可以是物联网设备，当然，使用需求方设备也可以是其他用户的电子设备，可以在被授权方设备授权后使用授权方设备上的目标数据。区块链网络具体可以是分布式数字身份链。
272.授权方设备中还包括可信执行环境tee和nfc通信模块。并且授权方设备中可以安装有数据授权应用。
273.此外，本实施例中具体目标数据可以是电子门票，可信权威机构在发放电子门票时，可以利用自身的分布式数字身份对应的私钥进行签名，确保电子门票的真实性。
274.为了便于理解，图3中划分了数据使用授权方法的3个阶段，分别是预备阶段、数据使用授权阶段和联网监管阶段。
275.其中，预备阶段可以包括以下步骤。
276.s301：使用需求方设备通过网络获取并存储指定区块链中可信权威机构的分布式数字身份对应的公钥。为了便于描述，将分布式数字身份(decentralized id，did)称为did，将可信权威机构的分布式数字身份对应的公私钥分别称为权威方公钥和权威方私钥。
277.s302：授权方设备的数据授权应用基于用户操作，向可信执行环境发送创建密钥对的请求。
278.s303：授权方设备在可信执行环境中创建一对公私钥，存储所创建的私钥，并将所创建的公钥通过网络发送到区块链网络中。
279.s304：区块链网络利用接收到的公钥创建授权方did标识，并绑定授权方did标识与所接收到的公钥之间的对应关系。
280.s305：区块链网络将授权方did标识返回到授权方设备的可信执行环境中。
281.而数据使用授权阶段可以包括以下步骤。需要注意的是，数据使用授权阶段中授权方设备和使用需求方设备可以都处在离线场景下，无需网络参与。
282.s401：授权方设备的数据授权应用基于用户操作，获取目标数据到可信执行环境中请求生成数字签名。
283.s402：授权方设备在可信执行环境中验证用户输入的指纹是否与预留用户指纹信
息匹配。在匹配成功的情况下，执行s403。
284.s403：授权方设备在可信执行环境中，利用存储的所创建的私钥，针对目标数据进行数字签名，并生成第一可验证声明。
285.第一可验证声明中可以包括所生成的数字签名、存储的授权方did标识和目标数据。
286.s404：授权方设备在可信执行环境中，将第一可验证声明发送到nfc通信模块。
287.s405：授权方设备通过nfc通信模块，将第一可验证声明发送到使用需求方设备。
288.s406：使用需求方设备利用预先存储的可信权威机构的公钥，对第一可验证声明中的目标数据进行验签。在验签通过的情况下，执行s407。
289.s407：使用需求方设备使用目标数据开展业务，并存储第一可验证声明作为使用授权凭证。
290.而在联网监管阶段中，可以包括以下步骤。
291.s501：使用需求方设备将第一可验证声明发送到验证方设备。
292.s502：验证方设备将第一可验证声明发送到区块链网络进行验证。
293.s503：区块链网络验证第一可验证声明，并将验证结果返回到验证方设备。
294.具体的区块链网络验证过程，可以参见上述方法实施例。
295.此外，如图4所示，为本说明书实施例提供的一种联网监管阶段的原理示意图。
296.其中，授权方设备可以发布撤销第一可验证声明的请求，使得第一可验证声明无效，从而使得使用需求方设备无法继续使用第一可验证声明作为授权凭证，也就无法使用第一可验证声明中的目标数据。
297.具体可以包括以下步骤。
298.s601：使用需求方设备将第一可验证声明发送到验证方设备。
299.s602：验证方设备将第一可验证声明发送到区块链网络。
300.s603：授权方设备向区块链网络发送无效请求，使得第一可验证声明在区块链网络中无法通过验证。具体可以是请求将第一可验证声明添加到失效声明集合中。
301.s603：区块链网络验证第一可验证声明，确定第一可验证声明没有通过验证，并将表征验证未通过的验证结果返回到验证方设备。
302.此外，对应于上述方法流程，本说明书实施例还提供了系统实施例和装置实施例。
303.系统实施例。
304.如图5所示，为本说明书实施例提供的一种数据使用授权系统的结构示意图，其中包括授权方设备701和使用需求方设备702。
305.区块链网络预先为授权方注册分布式数字身份did，以使得区块链网络存储授权方did标识与授权方公钥之间的对应关系。
306.系统包括授权方设备701和使用需求方设备702。
307.授权方设备701可以用于：响应于授权方对目标数据的使用授权指令，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名；签名对象包括目标数据；生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证第一可验证声明是否由授权方设备生成的步骤包括：通过区块链网络确定第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证第一可验证声
明中的数字签名，在验证数字签名通过的情况下，确定第一可验证声明由授权方设备生成；通过与使用需求方设备之间的直接连接，将第一可验证声明发送给使用需求方设备702。
308.使用需求方设备702可以用于：获得第一可验证声明，以得到使用目标数据的授权。
309.可选地，授权方设备具有可信执行环境tee；区块链网络预先为授权方注册分布式数字身份did，包括：区块链网络预先接收到授权方设备发送的did注册请求，请求中包括授权方设备在tee中创建的授权方公钥；区块链网络预先根据请求中包含的授权方公钥，创建唯一对应于授权方设备的授权方did标识，存储所创建的授权方did标识与授权方公钥之间的对应关系，并将所创建的授权方did标识返回到授权方设备的tee中。
310.可选地，授权方设备701具体用于：获取目标数据到tee中；在tee中利用tee存储的授权方私钥，对签名对象进行数字签名。
311.可选地，授权方设备701具体用于：针对授权方进行身份认证；在确定授权方通过身份认证的情况下，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
312.可选地，授权方设备701具有可信执行环境tee，tee存储有预设身份信息；授权方设备701具体用于：获取授权方的待认证身份信息到tee中；在tee中判断待认证身份信息与预设身份信息是否匹配成功；在确定待认证身份信息与预设身份信息匹配成功的情况下，确定授权方通过身份认证。
313.可选地，签名对象还包括以下至少一项：授权方did标识、使用需求方标识、使用需求方设备标识、有效期、以及授权时间信息。
314.可选地，区块链网络部署有授权管理智能合约；授权管理智能合约用于维护失效声明集合；授权管理智能合约用于监测失效事件，并将监测到的失效事件所指定的第一可验证声明添加到失效声明集合中。
315.可选地，失效事件包括：区块链网络接收到授权方设备发送的撤销授权请求，撤销授权请求用于请求撤销指定的可验证声明；和/或在任一可验证声明包含有效期的情况下，监测到当前时间点超出该可验证声明包含的有效期。
316.可选地，使用需求方设备702可以存储第一可验证声明，用于证明自身对目标数据的使用是经过授权方授权的。因此，需要验证方针对使用需求方设备702中的第一可验证声明进行验证。
317.可选地，验证方可以获取使用需求方设备702中的第一可验证声明进行验证，具体的验证方法可以参见上述方法实施例。例如，验证第一可验证声明是否是授权方设备701生成的，验证第一可验证声明是否有效，验证第一可验证声明是否被滥用。
318.本实施例的具体解释可以参见上述方法流程，此处不再赘述。
319.装置实施例。
320.如图6所示，为本说明书实施例提供的一种数据使用授权装置的结构示意图，具体可以应用于授权方设备。区块链网络预先为授权方注册分布式数字身份did，以使得区块链网络存储授权方did标识与授权方公钥之间的对应关系；
321.该装置可以包括以下单元。
322.响应单元801，用于响应于授权方对目标数据的使用授权指令，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名；签名对象包括目标数据。
323.生成单元802，用于生成包含授权方did标识、数字签名与签名对象的第一可验证声明，作为授权方颁发的使用授权凭证；其中，验证第一可验证声明是否由授权方设备生成的步骤包括：通过区块链网络确定第一可验证声明中的授权方did标识所对应的授权方公钥，使用该授权方公钥验证第一可验证声明中的数字签名，在验证数字签名通过的情况下，确定第一可验证声明由授权方设备生成。
324.发送单元803，用于通过与使用需求方设备之间的直接连接，将第一可验证声明发送给使用需求方设备，以便使用需求方设备获得使用目标数据的授权。
325.可选地，授权方设备具有可信执行环境tee；区块链网络预先为授权方注册分布式数字身份did，包括：区块链网络预先接收到授权方设备发送的did注册请求，请求中包括授权方设备在tee中创建的授权方公钥。区块链网络预先根据请求中包含的授权方公钥，创建唯一对应于授权方设备的授权方did标识，存储所创建的授权方did标识与授权方公钥之间的对应关系，并将所创建的授权方did标识返回到授权方设备的tee中。
326.可选地，响应单元801具体用于：获取目标数据到tee中；在tee中利用tee存储的授权方私钥，对签名对象进行数字签名。
327.可选地，响应单元801具体包括：身份认证子单元801a，用于针对授权方进行身份认证；签名子单元801b，用于在确定授权方通过身份认证的情况下，利用授权方公钥对应的授权方私钥，对签名对象进行数字签名。
328.可选地，授权方设备具有可信执行环境tee，tee存储有预设身份信息；身份认证子单元用于：获取授权方的待认证身份信息到tee中；在tee中判断待认证身份信息与预设身份信息是否匹配成功；在确定待认证身份信息与预设身份信息匹配成功的情况下，确定授权方通过身份认证。
329.可选地，签名对象还包括以下至少一项：授权方did标识、使用需求方标识、使用需求方设备标识、有效期、以及授权时间信息。
330.可选地，区块链网络部署有授权管理智能合约；授权管理智能合约用于维护失效声明集合；授权管理智能合约用于监测失效事件，并将监测到的失效事件所指定的可验证声明添加到失效声明集合中。
331.可选地，失效事件包括：区块链网络接收到授权方设备发送的撤销授权请求，撤销授权请求用于请求撤销指定的可验证声明；和/或在任一可验证声明包含有效期的情况下，监测到当前时间点超出该可验证声明包含的有效期。
332.上述装置实施例的具体解释可以参见上述方法流程，此处不再赘述。
333.本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现一种数据使用授权方法中授权方设备或使用需求方设备执行的步骤。
334.图7示出了本说明书实施例所提供的一种更为具体的计算机设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
335.处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个
或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
336.存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
337.输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
338.通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
339.总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
340.需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
341.本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现一种数据使用授权方法中授权方设备或使用需求方设备执行的步骤。
342.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
343.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
344.上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
345.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
346.以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护。