业务接续数据传输的方法及其相关设备技术

本申请提供了一种业务接续数据传输的方法及其相关设备，通过终端的应用层的IRK、业务广播密钥和应用层LTK来保护信任设备间近场通信(如蓝牙、等)的数据安全和设备防跟踪。通过服务器和设备间进场通信的过程完成应用层IRK、应用层LTK、业务广播密钥的协商和交换，并不依赖于蓝牙协议的OOB能力，不依赖于设备底层的通信协议能力(如蓝牙的OOB和MAC地址读取权限)，可以直接在应用层协议上实现，因此在安卓设备、Windows设备、以及其他近场通信协议上都可使用(如Wi

【技术实现步骤摘要】
业务接续数据传输的方法及其相关设备


[0001]本申请涉及通信领域，更为具体的，涉及一种业务接续数据传输的方法及其相关设备。

技术介绍

[0002]当前对于智能终端的操作系统(例如，Android、Windows、鸿蒙等)，组网内的不同电子设备之间可以相互发现、相互控制对端电子设备，例如：控制对端设备启动、绑定、跨设备协同作业等。
[0003]跨设备协同作业也可以称为应用迁移、业务接续或者接力(Handoff)，表示将电子设备A上运行的应用的数据转到同账号登录的电子设备B上，并且电子设备B上相同的应用是接续着电子设备A上的应用的运行状态，即某一个应用在电子设备A上运行的过程中，应用的数据从电子设备A上迁移到电子设备B上后，在电子设备B上，该应用的运行是接着在电子设备A运行的状态或者程度，整个过程对用户是无感的，用户不会感知到应用运行的卡顿等。
[0004]目前，对于设备之间的跨设备协同作业，需要设备间进行密钥的协商，并利用协商好的密钥保证数据传输的安全性。但是目前无论是密钥的协商的过程，还是利用协商好的密钥加密传输数据的过程均具有一定的局限性，不具有通用性，导致数据传输的安全得不到保障，降低了业务接续过程中安全性。

技术实现思路

[0005]本申请提供了一种业务接续数据传输的方法及其相关设备，通过终端的应用层的IRK、业务广播密钥(如Handoff密钥)和应用层LTK来保护信任设备间近场通信(如蓝牙、等)的数据安全和设备防跟踪。应用层IRK、业务广播密钥、应用层LTK不依赖于蓝牙协议的OOB能力，不依赖于底层的通信协议能力(如蓝牙的OOB和MAC地址读取权限),可以直接在应用层协议上实现，因此在安卓设备、Windows设备、以及其他近场通信协议(例如蓝牙、Wi
‑
Fi等)上都可使用，在保证数据传输安全的前提下，提高了通用性。
[0006]第一方面，提供一种业务接续数据传输的方法，该方法应用于业务接续系统中，该系统包括第一终端和第二终端，该第一终端和该第二终端登录相同的账号或者互为可信的账号，该方法包括：该第一终端向该第二终端发送广播消息，该广播消息包括该第一终端的应用层设备标识以及业务接续事件，该第一终端的应用层设备标识被该第一终端的应用层身份解析密钥IRK或者共享的应用层IRK加密，该业务接续事件被该第一终端的业务广播密钥或者共享的业务广播密钥加密；该第二终端利用该第一终端的应用层IRK或者共享的应用层IRK解密该第一终端的应用层设备标识，确定该第一终端为可信设备；该第二终端利用该第一终端的业务广播密钥或者共享的业务广播密钥解密该业务接续事件。
[0007]第一方面提供的业务接续数据传输的方法，通过应用层IRK保护蓝牙广播消息中的应用层设备标识，避免发送方的设备标识泄露，以及避免攻击者通过设备标识跟踪发送
方设备。通过应用层业务广播密钥对蓝牙广播消息中的业务状态(如Handoff状态，或与业务场景有关的其他数据)进行加密保护，避免广播消息中的业务数据泄露。通过应用层LTK对蓝牙连接中传输的业务数据进行加密保护，避免业务数据的泄露。在保证数据传输安全的前提下，提高了通用性。
[0008]示例性的，用户分别在第一终端和第二终端登录的帐号(如华为帐号)可以是同一个帐号，也可以是两个不同的帐号，但这两个不同的帐号是相互信任且允许帐号所登录的设备进行自动接续业务。例如这两个帐号属于同一个家庭，或两个帐号间进行了接续业务的授权等。
[0009]在第一方面一种可能的实现方式中，第一终端的应用层设备标识可以由第一终端上的业务层或者应用层定义，与业务或者应用相关，同一个设备上不同的业务或者应用对应不同的应用层设备标识。
[0010]在本申请实施例中，第一终端的应用层设备标识由第一终端的应用层进行定义和管理，如由跨设备协同应用通过随机数生成并持久化存储到设备内。而传统的第一终端的标识(例如第一终端的MAC地址、第一终端的IP地址)都是对应协议层进行定义的。例如，链路层定义了MAC地址，可用于链路层及以上协议层标识设备(如网络层、应用层)，网络层定义了IP地址，可用于网络层级以上协议层标识设备(如传输层、应用层)。第一终端的应用层设备标识可以由第一终端上的业务层或者应用层定义，与业务或者应用相关，同一个设备上不同的业务或者应用对应不同的应用层设备标识。第一终端的应用层设备标识用于标识第一终端的身份或者地址，第一终端的应用层设备标识不同于第一终端的链路层设备标识(例如：MAC地址、IP地址等)。
[0011]示例性的，第一终端的应用层设备标识可以是一个UUID标准的随机数、也可以是第一终端的序列号、第一终端的IMEI等。
[0012]示例性的，第一终端的应用层IRK或者共享的应用层IRK加密第一终端的应用层设备标识可以有多种方式。例如：可以采用蓝牙的Random Resolvable device address方式，利用这种方式时，第一终端和第二终端对应的应用层IRK不同。又例如，第一终端可以采用对称密钥算法对第一终端的应用层设备标识进行加密等。
[0013]示例性的，业务事件(或者可以称为业务接续事件)可以理解为Handoff事件或者Handoff状态，可以理解为跨设备协同业务的设备活动事件，一般包括事件类型(如打开应用、关闭应用、打开文档、关闭文档等)和事件操作对象(如应用名称、文档名称等)。例如，如果用户在第一终端使用浏览器打开网页，则该业务事件为“打开浏览器”。
[0014]在第一方面一种可能的实现方式中，该方法还包括：该第一终端向该第二终端发送业务接续数据，该业务接续数据被该第一终端的应用层长期密钥LTK或者共享的应用层LTK加密；该第二利用该第一终端的应用层长期密钥LTK或者共享的应用层LTK解密业务接续数据；第二终端根据业务接续数据，在第二终端上接续该业务接续事件。在该实现方式中，通过应用层LTK对蓝牙连接中传输的业务数据进行加密保护，避免业务数据的泄露。
[0015]示例性的，第一终端的应用层LTK或者共享的应用层LTK加密接续业务数据的方式，可以使用对称加密算法对数据进行加密，例如，使用AES
‑
CBC、AES
‑
GCM或者Chacha20等方式。
[0016]在第一方面一种可能的实现方式中，该系统还包括服务器，该方法还包括：该第一
终端生成共享的应用层IRK、共享的业务广播密钥、共享的应用层LTK；该第一终端向该服务器发送该共享的应用层IRK、该共享的业务广播密钥、该共享的应用层LTK、以及第一终端的账号认证凭据；在该服务器对第一终端的账号认证凭据认证通过后，该服务器向第二终端发送该共享的应用层IRK、该共享的业务广播密钥、该共享的应用层LTK。在该实现方式中，通过服务器完成设备间的配对和IRK、LTK、业务广播密钥的协商，并不依赖于蓝牙协议的OOB能力，不依赖于设备底层的通信协议能力(如蓝牙的OOB和MAC地址读取权限)，可以直接在应用层协议上实现，因此在安卓本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种业务接续数据传输的方法，其特征在于，所述方法应用于业务接续系统中，所述系统包括第一终端和第二终端，所述第一终端和所述第二终端登录相同的账号或者互为可信的账号，所述方法包括：所述第一终端向所述第二终端发送广播消息，所述广播消息包括所述第一终端的应用层设备标识以及业务接续事件，所述第一终端的应用层设备标识被所述第一终端的应用层身份解析密钥IRK或者共享的应用层IRK加密，所述业务接续事件被所述第一终端的业务广播密钥或者共享的业务广播密钥加密，所述业务接续事件包括接续的事件类型以及事件操作对象；所述第二终端利用所述第一终端的应用层IRK或者共享的应用层IRK解密所述第一终端的应用层设备标识，确定所述第一终端为可信设备；所述第二终端利用所述第一终端的业务广播密钥或者共享的业务广播密钥解密所述业务接续事件。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一终端向所述第二终端发送业务接续数据，所述业务接续数据被所述第一终端的应用层长期密钥LTK或者共享的应用层LTK加密；所述第二终端利用所述第一终端的应用层长期密钥LTK或者共享的应用层LTK解密业务接续数据；所述第二终端根据所述业务接续数据，在所述第二终端上接续所述业务接续事件。3.根据权利要求1或2所述的方法，其特征在于，所述系统还包括服务器，所述方法还包括：所述第一终端生成所述共享的应用层IRK、所述共享的业务广播密钥、所述共享的应用层LTK；所述第一终端向所述服务器发送所述共享的应用层IRK、所述共享的业务广播密钥、所述共享的应用层LTK、以及所述第一终端的账号认证凭据；在所述服务器对所述第一终端的账号认证凭据认证通过后，所述服务器向所述第二终端发送所述共享的应用层IRK、所述共享的业务广播密钥、所述共享的应用层LTK。4.根据权利要求1或2所述的方法，其特征在于，所述系统还包括服务器，所述方法还包括：所述第一终端生成所述第一终端的应用层IRK、所述第一终端的业务广播密钥、所述第一终端的应用层LTK；所述第一终端向所述服务器发送所述第一终端的应用层IRK、所述第一终端的业务广播密钥、所述第一终端的应用层LTK、所述第一终端的账号认证凭据、以及所述第一终端的应用层设备标识；在所述服务器对所述第一终端的账号认证凭据认证通过后，所述服务器向所述第二终端发送所述第一终端的业务广播密钥、所述第一终端的应用层LTK、以及所述第一终端的应用层设备标识。5.根据权利要求1或2所述的方法，其特征在于，所述系统还包括服务器，所述方法还包括：所述第一终端生成所述共享的应用层IRK、共享的应用层临时密钥TK；
所述第一终端向所述服务器发送所述共享的应用层IRK、所述共享的应用层TK、以及所述第一终端的账号认证凭据；在所述服务器对所述第一终端的账号认证凭据认证通过后，所述服务器向所述第二终端发送所述共享的应用层IRK、所述共享的应用层TK。6.根据权利要求1或2所述的方法，其特征在于，所述系统还包括服务器，所述方法还包括：所述第一终端生成所述第一终端的应用层IRK、所述第一终端的应用层临时密钥TK；所述第一终端向所述服务器发送所述第一终端的应用层IRK、所述第一终端的应用层TK、所述第一终端的账号认证凭据、以及所述第一终端的应用层设备标识；在所述服务器对所述第一终端的账号认证凭据认证通过后，所述服务器向所述第二终端发送第一终端的应用层IRK、所述第一终端的应用层TK、以及所述第一终端的应用层设备标识。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：所述第一终端生成所述第一终端的业务广播密钥；所述第二终端生成所述第二终端的业务广播密钥；所述第一终端和所述第二终端基于所述第一终端的应用层TK或者所述共享的应用层TK，协商所述第一终端的应用层LTK或者所述共享的应用层LTK；所述第一终端和所述第二终端利用所述第一终端的应用层LTK或者所述共享的应用层LTK，交换所述第一终端的业务广播密钥和所述第二终端的业务广播密钥。8.根据权利要求2所述的方法，其特征在于，所述第一终端向所述第二终端发送业务接续数据，包括：所述第一终端通过蓝牙连接或者Wi
‑
Fi连接，向所述第二终端发送业务接续数据。9.根据权利要求1至8中任一项所述的方法，其特征在于，所述业务广播密钥包括H...

【专利技术属性】
技术研发人员：刘德钱，柳正，朱江，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：