CN112003881B - 一种基于私有云的安全云手机*** - Google Patents

Abstract

本发明公开了一种基于私有云的安全云手机***，该***包括：私有云手机设备和部署在智能手机上的远程控制模块；私有云手机设备，用于在与智能手机首次连接时生成设备密钥和设备存储密钥，在每次消息传递时生成会话密钥；用于接收智能手机发送的加密消息和指令并进行相应操作，接收加密文件经解密后在本地密文存储，接收加密音视频数据经解密后发送至其他设备；还用于对音视频数据经采样、编码压缩和加密后发送至智能手机；远程控制模块，用于接收私有云手机设备发送的设备密钥、设备存储密钥和会话密钥；用于发送加密的消息、指令、文件和音视频数据至私有云手机设备；还用于从私有云手机设备导出音视频数据并解密处理。

Description

一种基于私有云的安全云手机***

技术领域

本发明涉及信息加密领域，尤其涉及一种基于私有云的安全云手机***。

背景技术

现有的云手机***一般基于公有云，如图1所示，为常见的游戏云的架构，此架构在外网服务器内部署了多套安卓虚拟机，公有云手机服务器部署了一套控制终端、音视频解码***。通过客户手机的控制软件通过公网与公有云手机服务器进行连接，可以操控公有云手机服务器上的音视频文件，云文件，或者进行游戏操作等。存在的问题是：公有云手机虚拟机架设在外网环境，云手机提供商对于用户的隐私信息无法保证其安全与私密，甚至还有存在服务提供商有未经用户授权滥用用户数据的可能，对用户个人数据安全带来了风险，甚至恶意操作给用户操作财产安全；公有云的手机虚拟机由于是服务器虚拟化产生，cpu架构与普通安卓***不一致，无法保证所有安卓软件的兼容性。现有公有云手机技术是将数据加密后统一保存在云服务器，云服务器拥有所有用户的存储数据，虽然用户之间数据难以互相获取，但是云服务器本身却可以查看到所有人的数据。一旦云服务器被攻破，或者被云服务器内部员工泄露，那么所有的用户数据都将会泄露。所以基于云服务器的物联网数据安全存储没法做到对用户实质性的隐私保证。

参考文献[1]（申请号为“2019207575281”的实用新型《一种基于家庭私有云的云手机安全存储***》），如图2所示，该***将数据保存在硬盘时未加密，与智能手机之间的通讯链路也未加密，所以该***虽然也是基于私有化部署，但是由于其数据存储的内容是明文，通讯链路传输的数据也是明文，通讯时的数据很容易还原出客户的隐私信息。此外通过通讯的隐私信息也很容易获取该***登陆权限，而一旦获得登陆权限，存储在***中的客户信息都将不再安全。

参考文献[2]（申请号为“202010416957X”的发明《一种密文存储明文访问的***、密文存储和明文访问方法》）介绍了基于Linux操作***在设备内部进行密文存储明文访问的方法，本申请的私有云手机设备的文件存储模块使用该方法实现密文存储明文访问。

发明内容

本发明的目的在于克服现有技术缺陷，提出了一种基于私有云的安全云手机***。

本发明提出了一种基于私有云的安全云手机***，所述***包括：私有云手机设备和部署在智能手机上的远程控制模块；其中，

所述私有云手机设备，用于和智能手机首次连接时，为智能手机生成设备密钥和设备存储密钥，用于和智能手机每次传递消息前生成会话密钥，并通过设备密钥对会话密钥加密处理后发送至智能手机；用于使用会话密钥对接收的消息进行解密处理，用于使用设备存储密钥对接收的文件进行解密处理并在本地密文存储；用于使用会话密钥对接收的指令进行解密处理并在本地进行相应操作；用于对本地的音视频数据进行采样及编码压缩，并使用会话密钥加密处理后发送至智能手机；还用于使用会话密钥对接收的音视频数据进行解密处理并转发至相关设备；

所述远程控制模块，用于和私有云手机设备首次连接时，接收私有云手机设备发送的设备密钥和设备存储密钥，用于和智能手机每次传递消息前使用设备密钥对接收的会话密钥进行解密处理；用于使用会话密钥对生成的消息进行加密处理并发送至私有云手机设备，用于使用设备存储密钥对本地的文件进行加密处理并发送至私有云手机设备进行密文存储，用于使用会话密钥对生成的指令进行加密处理并发送至私有云手机设备通知进行相应操作；用于使用会话密钥对私有云手机设备发送的加密的音视频数据进行解密处理；还用于使用会话密钥对本地采集的音视频数据进行加密处理并发送至私有云手机设备。

作为上述***的一种改进，所述私有云手机设备包括加密芯片、密钥管理模块、文件存储模块和远程受控模块；其中，

所述加密芯片，用于在智能手机首次和私有云手机设备连接时，生成设备密钥和设备存储密钥并发送至密钥管理模块；还用于生成会话密钥并发送至密钥管理模块和远程受控模块；所述会话密钥为单次会话有效；

所述密钥管理模块，用于使用设备密钥对加密芯片发送的会话密钥进行加密处理并发送至智能手机；用于接收智能手机发送的加密的消息或指令，使用会话密钥对消息或指令进行解密处理，用于接收智能手机发送的加密文件，使用设备存储密钥对加密文件进行解密处理并发送至文件存储模块，还用于使用会话密钥对本地的文件进行加密处理并发送至智能手机；

所述文件存储模块，用于对收到的文件进行密文存储；

所述远程受控模块，用于接收会话密钥，使用会话密钥对智能手机发送的加密的消息或指令进行解密处理，并根据消息或指令进行相应操作；用于使用会话密钥对智能手机发送的加密的音视频数据进行解密处理，并转发至相关设备；还用于对本地的音视频数据进行采样及编码压缩得到压缩包，然后再通过会话密钥对压缩包进行加密处理并发送至智能手机。

作为上述***的一种改进，所述密钥管理模块的具体处理过程为：

接收智能手机发送的加密的获取会话密钥申请，使用预先得到的设备密钥对获取会话密钥申请进行解密处理并发送至加密芯片，接收加密芯片发送的会话密钥，使用设备密钥对会话密钥进行加密处理并发送至智能手机；

接收智能手机发送的加密的获取文件申请，使用会话密钥对获取文件申请进行解密处理并发送至文件存储模块，接收文件存储模块发送的文件，使用设备存储密钥对文件进行加密处理并发送至智能手机；

接收智能手机发送的加密文件，使用设备存储密钥对加密文件进行解密处理并发送至文件存储模块。

作为上述***的一种改进，所述私有云手机设备包括HDMI接口，用于接入显示器或微型单色LED屏以显示扫描二维码，供智能手机通过扫描该二维码获得设备密钥，进而实现该智能手机与私有云手机设备的绑定。

作为上述***的一种改进，在智能手机扫描二维码时，将私有云手机设备与智能手机部署于同一局域网，所述密钥管理模块的具体处理过程还包括：

接收智能手机设置的PIN码，并发送至加密芯片；

设置智能手机为私有云手机设备的管理员；

接收加密芯片生成的设备密钥和设备存储密钥，并发送至智能手机。

作为上述***的一种改进，所述加密芯片的具体处理过程为：

接收密钥管理模块发送的PIN码，采用非对称加密处理后保存，并生成设备密钥和设备存储密钥发送至密钥管理模块；

接收密钥管理模块发送的获取会话密钥申请，生成会话密钥，并分别发送至密钥管理模块和远程受控模块。

作为上述***的一种改进，所述远程受控模块的具体实现过程为：

接收加密芯片发送的会话密钥；

接收智能手机发送的加密的允许共享控制标记消息，使用会话密钥对允许共享控制标记消息进行解密处理，判断允许共享控制标记为false，断开私有云手机设备与其他移动设备的网络连接；

接收智能手机发送的加密的触屏点击操控消息；使用会话密钥对触屏点击操控消息进行解密处理，并根据触屏点击操控消息完成相应操作；所述触屏点击操控消息包括手指触屏按压力度和手指触屏位置信息；

接收智能手机发送的加密的操控APP指令，使用会话密钥对操控APP指令进行解密处理，并根据操控APP指令对本地相应的APP进行操作；所述APP在智能手机和私有云手机设备上均安装；

接收智能手机发送的加密的音视频数据，使用会话密钥对音视频数据进行解密处理，并根据智能手机的发送要求转发至相关设备；

接收智能手机发送的加密的导入音视频数据消息，使用会话密钥对导入音视频数据消息进行解密处理，生成图形配置消息，使用会话密钥对图形配置消息加密处理并发送至智能手机，再接收智能手机发送的加密的图像更新频率消息，使用会话密钥对图像更新频率消息进行解密处理，根据图像更新频率消息，对输出的音视频数据进行采样及编码压缩得到压缩包，然后再通过会话密钥对压缩包进行加密处理并发送至智能手机；所述图形配置消息包括图像分辨率高度、宽度、像素点颜色深度和音频采样率。

作为上述***的一种改进，所述远程控制模块具体包括：注册单元、文件存取单元、指定APP操作单元和音视频导入导出单元；其中，

所述注册单元，用于和智能手机首次连接时发送PIN码，然后接收私有云手机设备发送的设备密钥和设备存储密钥；

所述文件存取单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成获取文件申请，使用会话密钥对获取文件申请进行加密处理后发送至私有云手机设备，并使用设备存储密钥对接收的加密文件进行解密处理；还用于使用设备存储密钥对本地的文件进行加密处理并发送至私有云手机设备；

所述指定APP操作单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成加密允许共享控制标记消息，使用会话密钥对加密允许共享控制标记消息进行加密处理并发送至私有云手机设备；用于根据采集的手指触屏按压力度和手指触屏位置信息生成触屏点击操控消息，使用会话密钥对触屏点击操控消息进行加密处理并发送至私有云手机设备；还用于使用会话密钥对操控APP指令进行加密处理并发送至私有云手机设备；

所述音视频导入导出单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，使用会话密钥对采集的本地音视频数据进行加密处理并发送至私有云手机设备；还用于生成导入音视频数据消息，使用会话密钥对导入音视频数据消息加密处理并发送至智能手机，使用会话密钥对接收的加密的图形配置消息进行解密处理得到图形配置消息，然后根据图形配置消息生成图像更新频率消息，使用会话密钥对图像更新频率消息进行加密处理并发送至智能手机，再使用会话密钥对接收的加密的音视频数据进行解密处理，然后进行解压缩解码得到音视频数据。

与现有技术相比，本发明的优势在于：

1、本发明替代现有技术将云手机部署于公有云服务器上，而是通过私有云的安全云手机设备将数据保存在自己家中，在存储时使用密文方式存储，确保数据安全；

2、本发明在私有云手机设备与智能手机之间的传输都经过加密处理，使得私有云手机设备更安全；

3、本发明的私有云手机设备，不仅实现云手机的存储功能，还实现实体手机的所有操作，包括云办公、云游戏、云通话等一切手机能实现的功能。

附图说明

图1是现有技术的公有云存储结构图；

图2是现有技术的私有云存储设备结构图；

图3是本发明提供的基于私有云的安全云手机***组成图；

图4是本发明的私有云手机设备初始化及和智能手机交互的时序图；

图5是采用本发明的***实现智能手机对私有云手机设备进行远程控制加密存储文件的时序图。

具体实施方式

本发明提出了一种基于私有云的安全云手机***，该***包括：私有云手机设备和部署在智能手机上的远程控制模块。私有云手机设备包括：加密芯片、密钥管理模块、文件存储模块和远程受控模块。

本***的技术思路是将数据加密存储于客户的家庭或者企业内部，避免公有云服务器被攻击而造成的隐私数据安全问题，通过密钥管理模块保证所有通讯的数据都是加密传输，文件存储在磁盘上时也是密文形式；此外为完善私有云手机设备的功能，私有云手机设备内部还包括一个远程控制模块，通过此模块将私有云的应用的视频、音频加密后传输给客户手机，通过控制协议控制私有云设备的状态以此来实现完整的手机功能。

下面结合附图对本发明的技术方案进行详细的说明，如图3所示为本***组成图。该***包括：私有云手机设备和部署在智能手机上的远程控制模块。

1、私有云手机设备，包括：

1）安卓智能手机架构一致的cpu、主板、运行内存、以及存储模块（包括SD/TF卡或者安卓手机支持的USB硬盘等）以便完全兼容市面上的任意APP；APP，指第三方应用程序；

2）输出设备是HDMI接口，用于输出到外接的显示器/电视机或者微型单色LED屏以显示二维码，供智能手机通过扫描该二维码获得设备密钥，进而实现该智能手机与私有云手机设备的绑定。

3）一个与上述硬件架构兼容的网卡设备，有线网卡、无线网卡均可。

4）一个硬件加密芯片，用于保存用户的所有密钥，密钥在后续的密钥管理软件中使用。

5）可用于扩充的选配接口（非必须）：摄像头接口、麦克风接口、手机SIM卡接口、蓝牙接口等用于扩展此发明设备的外部功能。

6）设备安装好安卓***、密钥管理模块、文件存储模块和远程受控模块。而客户手机需要安装远程控制模块。

本私有云手机设备可以实现除可随身携带外的所有功能，并且有下列好处：

1）由于无需随身携带体积比手机可以做得大一些，其散热效果比普通手机更好；

2）由于放置在固定位置，不会由于设备晃动、掉落对设备硬件造成影响，从而让其稳定性比普通手机更高；

3）由于无需配置高清的显示屏、触摸屏，其性能比相同价位手机会高很多。

2、密钥管理模块

密钥管理模块为私有云手机设备的***软件，一直开启，无法被卸载，负责私有云手机设备的数据加解密、远程控制会话加解密、硬件加密芯片内密钥分发、密钥更新等功能。

在私有云手机设备的初次启动时，设备需与客户智能手机保持在同一个局域网内，防止接下来的初始PIN码、管理员密钥在外网传输过程中被截获。客户下载了本***的客户手机控制软件后，使用手机扫描设备输出设备上的二维码，在软件界面中设置一个硬件加密芯片的PIN码，设置好PIN码后，会下发一个用户设备密钥与一个设备存储密钥给客户手机，并会将此客户手机设置为私有云手机设备的管理员。设备存储密钥在文件加***中用作存储文件的加解密密钥。

PIN码说明：pin码需要客户记住，仅以非对称加密的方式保存在硬件加密芯片中。PIN码主要作用为打开并修改加密芯片的内容，除了初次使用设置pin码的步骤外，当需要新增一个用户控制私有云手机设备时，需要验证此PIN码，并下发用户设备密钥给客户手机。

用户设备密钥：为对称加密的公私钥对，保存在加密芯片内，在用户手机与私有云手机设备进行会话前，使用此密钥加密数据申请会话密钥。

会话密钥：为对称加密密钥对，保存在私有云手机设备内，单次会话有效。用于加密远程控制模块后续会话中的所有控制操作数据，远程控制屏幕上视频流数据等，建立起安全的会话通道。

3、文件存储模块

该模块用于对收到的文件进行密文存储，在私有云手机设备其他模块或第三方软件、APP获取文件时提供明文访问。

安卓***的内核基于Linux操作***，Linux操作***具有虚拟文件***（VFS），文件存储模块运行在安卓***上，密钥保存在加密芯片的存储单元内。

文件存储模块包括：vmobile-Fs内核单元，vmobile-Fs文件服务单元以及对应的vmobile-Fs挂载单元，各单元功能如下：

1）vmobile-Fs内核单元

用于在操作***上注册文件存储模块，以及生成设备目录，该设备目录存储加密处理后的密文；用于将虚拟文件***传送的文件内容数据及操作命令发送至vmobile-Fs文件服务模块；还用于接收vmobile-Fs文件服务模块处理后的数据，转换为操作***内核需要的格式发送至虚拟文件***；

2）vmobile-Fs文件服务单元

用于接收所述vmobile-Fs内核单元发送的操作命令，当操作命令为写命令时，对vmobile-Fs内核单元发送的数据进行加密处理；当操作命令为读命令时，对vmobile-Fs内核单元发送的数据进行解密处理；并将处理后的数据回传至vmobile-Fs内核单元；

3）vmobile-Fs挂载单元

用于完成用户应用层指定用户空间到设备空间的映射。

在安卓***启动后，进行文件存储模块的初始化。

当设备内的其他模块或第三方软件、APP在用户空间写入文件时，数据会经过虚拟文件***传递给pbox-内核单元，pbox-内核单元将数据转交给vmobile-Fs文件服务单元，然后vmobile-Fs文件服务单元使用加密算法，将明文与密钥加密成密文，传递给vmobile-Fs内核单元，由vmobile-Fs内核单元传递密文给虚拟文件***，调用安卓内核的写文件操作写入设备空间内；

当用户读取文件时，安卓内核会将设备空间内的密文内容传递给虚拟文件***，经vmobile-Fs内核单元传递给vmobile-Fs文件服务，使用密钥将数据解密出来，再传回给vmobile-Fs内核单元，再返回给安卓内核，最后返回到私有云手机设备的其他模块或第三方软件、APP。

通过以上操作，设备上的任何软件就可以在用户应用层内进行文件读写，在此设备中的所有软件看来，所有文件都是明文可访问状态，但是在存储设备中，所有数据都是已加密状态。将此可读写存储设备放入其他电脑，由于数据保存时，做了加密处理，其他电脑软件均无法读取此密文内容，另外将此可读写设备放入另外一个私有云手机设备，由于主板上加密芯片的密钥不一致，加密的文件也无法读取。

这样就可以实现在私有云手机设备的其他模块或第三方软件安全的明文访问到，并且存储在私有云手机设备中为密文内容。

4、远程受控模块

用于接收会话密钥，使用会话密钥对智能手机发送的加密的消息或指令进行解密处理，并根据消息或指令进行相应操作；用于使用会话密钥对智能手机发送的加密的音视频数据进行解密处理，并转发至相关设备；还用于对本地的音视频数据进行采样及编码压缩得到压缩包，然后再通过会话密钥对压缩包进行加密处理并发送至智能手机。

5、智能手机的远程控制模块

远程控制模块具体包括：注册单元、文件存取单元、指定APP操作单元和音视频导入导出单元；其中，

注册单元，用于和智能手机首次连接时发送PIN码，然后接收私有云手机设备发送的设备密钥和设备存储密钥；

文件存取单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成获取文件申请，使用会话密钥对获取文件申请进行加密处理后发送至私有云手机设备，并使用设备存储密钥对接收的加密文件进行解密处理；还用于使用设备存储密钥对本地的文件进行加密处理并发送至私有云手机设备；

指定APP操作单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成加密允许共享控制标记消息，使用会话密钥对加密允许共享控制标记消息进行加密处理并发送至私有云手机设备；用于根据采集的手指触屏按压力度和手指触屏位置信息生成触屏点击操控消息，使用会话密钥对触屏点击操控消息进行加密处理并发送至私有云手机设备；还用于使用会话密钥对操控APP指令进行加密处理并发送至私有云手机设备；

音视频导入导出单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，使用会话密钥对采集的本地音视频数据进行加密处理并发送至私有云手机设备；还用于生成导入音视频数据消息，使用会话密钥对导入音视频数据消息加密处理并发送至智能手机，使用会话密钥对接收的加密的图形配置消息进行解密处理得到图形配置消息，然后根据图形配置消息生成图像更新频率消息，使用会话密钥对图像更新频率消息进行加密处理并发送至智能手机，再使用会话密钥对接收的加密的音视频数据进行解密处理，然后进行解压缩解码得到音视频数据。

在建立好安全的会话通道后，客户手机向私有云手机设备共享控制标记的消息，用于告诉私有云手机设备是否允许多个客户手机同时进行远程控制，私有云手机设备收到此消息后，如果共享标记为false，将断开其他移动设备的连接。

（1）音视频输出协议：

这里的音视频数据是临时数据，无需保存在硬盘，直接在私有云手机设备的内存内编码压缩，以远程图像缓存的方式传输加密传输。具体实现方法如下：

1）私有云手机设备先发送一个图形配置消息给智能手机，消息包括：图像分辨率高度、宽度、像素点颜色深度以及音频采样率；

2）智能手机收到后会根据当前网络状态通知私有云手机设备请求图像更新频率，即每秒需要多少张上述图像的数量；

3）私有云手机设备根据对输出的音视频按上述格式进行采样，编码压缩，然后再进行加密传输给客户手机；

4）客户手机可以通过图像设置修改上述1）和2）的图形配置，以达到想要图形质量。

（2）控制输入协议：

1）触摸屏点击：在客户手机进行触屏点击时，会将按压力度、位置等信息生成触屏操控操作消息，并使用会话密钥加密后传输给私有云手机设备，私有云手机设备使用会话密钥解密出其触屏操控操作完成用户的远程控制操作。

2）音视频输入：客户手机摄像头与麦克风的数据可以在客户手机的远程控制软件上进行音视频采集取样，通过加密通道传输到私有云手机设备，经过私有云手机设备转发给目标设备。

（3）便捷性操作功能：

可以方便地将一些需要的软件常驻在内存，需要该软件的时候，可以直接切换进去，减少一些手机软件的加载时间。

可以将一些繁琐重复的步骤通过远程受控软件记录下来，做一键式操作功能。比如多个软件的签到等日常繁琐操作。

有了私有云手机设备做私有云硬件支撑，密钥管理软件完全的数据加密传输支持，远程控制软件实现云手机功能便可实现本发明隐私安全性、功能多样性。

如图4所示是本发明的私有云手机设备初始化及和智能手机交互的时序图。

举例说明：

以智能手机对私有云手机设备进行远程控制加密存储文件场景为例，如图5所示，具体过程如下：

客户拿到私有云手机设备后，通过远程控制模块对着设备上二维码进行扫码操作，以便让客户手机安全的获取到用户设备密钥，获得到用户设备密钥便可以完成客户手机和私有云手机设备的绑定。然后在客户手机上设置好私有云手机设备的PIN码，用户网络的WiFi网络密码等信息，其中PIN码用于客户增加或修改另外一个客户手机对私有云手机设备进行控制。

远程控制模块在得到用户设备密钥后就可以使用此密钥对数据传输通道进行加密，与私有云手机设备协商并生成会话密钥。

远程控制模块得到会话密钥后，使用会话密钥加密通道与私有云手机设备的受控模块进行交互；受控模块将私有云手机设备上的音视频数据通过加密通道进行传输，在远程控制软件便可以看到私有云手机设备的界面与音视频数据；用户操作远程控制模块，远程控制模块通过加密通道将用户操作转换成控制指令发送给受控模块，受控模块将控制指令在私有云手机设备上进行模拟操作。

通过以上操作，所有链路均为加密传输；用户在操作私有云手机设备保存文件时，会使用密文存储明文访问的方法进行存储，这样加密后的存储磁盘即使被其他人窃取也无法读取出它的明文内容，由此可以保证用户私有云手机设备内的隐私数据得到完善的保护。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于私有云的安全云手机***，其特征在于，所述***包括：私有云手机设备和部署在智能手机上的远程控制模块；其中，

所述私有云手机设备，用于和智能手机首次连接时，为智能手机生成设备密钥和设备存储密钥，用于和智能手机每次传递消息前生成会话密钥，并通过设备密钥对会话密钥加密处理后发送至智能手机；用于使用会话密钥对接收的消息进行解密处理，用于使用设备存储密钥对接收的文件进行解密处理并在本地密文存储；用于使用会话密钥对接收的指令进行解密处理并在本地进行相应操作；用于对本地的音视频数据进行采样及编码压缩，并使用会话密钥加密处理后发送至智能手机；还用于使用会话密钥对接收的音视频数据进行解密处理并转发至相关设备；

所述远程控制模块，用于和私有云手机设备首次连接时，接收私有云手机设备发送的设备密钥和设备存储密钥，用于和智能手机每次传递消息前使用设备密钥对接收的会话密钥进行解密处理；用于使用会话密钥对生成的消息进行加密处理并发送至私有云手机设备，用于使用设备存储密钥对本地的文件进行加密处理并发送至私有云手机设备进行密文存储，用于使用会话密钥对生成的指令进行加密处理并发送至私有云手机设备通知进行相应操作；用于使用会话密钥对私有云手机设备发送的加密的音视频数据进行解密处理；还用于使用会话密钥对本地采集的音视频数据进行加密处理并发送至私有云手机设备。

2.根据权利要求1所述的基于私有云的安全云手机***，其特征在于，所述私有云手机设备包括加密芯片、密钥管理模块、文件存储模块和远程受控模块；其中，

所述加密芯片，用于在智能手机首次和私有云手机设备连接时，生成设备密钥和设备存储密钥并发送至密钥管理模块；还用于生成会话密钥并发送至密钥管理模块和远程受控模块；所述会话密钥为单次会话有效；

所述密钥管理模块，用于使用设备密钥对加密芯片发送的会话密钥进行加密处理并发送至智能手机；用于接收智能手机发送的加密的消息或指令，使用会话密钥对消息或指令进行解密处理，用于接收智能手机发送的加密文件，使用设备存储密钥对加密文件进行解密处理并发送至文件存储模块，还用于使用会话密钥对本地的文件进行加密处理并发送至智能手机；

所述文件存储模块，用于对收到的文件进行密文存储；

所述远程受控模块，用于接收会话密钥，使用会话密钥对智能手机发送的加密的消息或指令进行解密处理，并根据消息或指令进行相应操作；用于使用会话密钥对智能手机发送的加密的音视频数据进行解密处理，并转发至相关设备；还用于对本地的音视频数据进行采样及编码压缩得到压缩包，然后再通过会话密钥对压缩包进行加密处理并发送至智能手机。

3.根据权利要求2所述的基于私有云的安全云手机***，其特征在于，所述密钥管理模块的具体处理过程为：

接收智能手机发送的加密的获取会话密钥申请，使用预先得到的设备密钥对获取会话密钥申请进行解密处理并发送至加密芯片，接收加密芯片发送的会话密钥，使用设备密钥对会话密钥进行加密处理并发送至智能手机；

接收智能手机发送的加密的获取文件申请，使用会话密钥对获取文件申请进行解密处理并发送至文件存储模块，接收文件存储模块发送的文件，使用设备存储密钥对文件进行加密处理并发送至智能手机；

接收智能手机发送的加密文件，使用设备存储密钥对加密文件进行解密处理并发送至文件存储模块。

4.根据权利要求2所述的基于私有云的安全云手机***，其特征在于，所述私有云手机设备包括HDMI接口，用于接入显示器或微型单色LED屏以显示扫描二维码，供智能手机通过扫描该二维码获得设备密钥，进而实现该智能手机与私有云手机设备的绑定。

5.根据权利要求4所述的基于私有云的安全云手机***，其特征在于，在智能手机扫描二维码时，将私有云手机设备与智能手机部署于同一局域网，所述密钥管理模块的具体处理过程还包括：

接收智能手机设置的PIN码，并发送至加密芯片；

设置智能手机为私有云手机设备的管理员；

接收加密芯片生成的设备密钥和设备存储密钥，并发送至智能手机。

6.根据权利要求3所述的基于私有云的安全云手机***，其特征在于，所述加密芯片的具体处理过程为：

接收密钥管理模块发送的PIN码，采用非对称加密处理后保存，并生成设备密钥和设备存储密钥发送至密钥管理模块；

接收密钥管理模块发送的获取会话密钥申请，生成会话密钥，并分别发送至密钥管理模块和远程受控模块。

7.根据权利要求3所述的基于私有云的安全云手机***，其特征在于，所述远程受控模块的具体实现过程为：

接收加密芯片发送的会话密钥；

接收智能手机发送的加密的允许共享控制标记消息，使用会话密钥对允许共享控制标记消息进行解密处理，判断允许共享控制标记为false，断开私有云手机设备与其他移动设备的网络连接；

接收智能手机发送的加密的触屏点击操控消息；使用会话密钥对触屏点击操控消息进行解密处理，并根据触屏点击操控消息完成相应操作；所述触屏点击操控消息包括手指触屏按压力度和手指触屏位置信息；

接收智能手机发送的加密的操控APP指令，使用会话密钥对操控APP指令进行解密处理，并根据操控APP指令对本地相应的APP进行操作；所述APP在智能手机和私有云手机设备上均安装；

接收智能手机发送的加密的音视频数据，使用会话密钥对音视频数据进行解密处理，并根据智能手机的发送要求转发至相关设备；

接收智能手机发送的加密的导入音视频数据消息，使用会话密钥对导入音视频数据消息进行解密处理，生成图形配置消息，使用会话密钥对图形配置消息加密处理并发送至智能手机，再接收智能手机发送的加密的图像更新频率消息，使用会话密钥对图像更新频率消息进行解密处理，根据图像更新频率消息，对输出的音视频数据进行采样及编码压缩得到压缩包，然后再通过会话密钥对压缩包进行加密处理并发送至智能手机；所述图形配置消息包括图像分辨率高度、宽度、像素点颜色深度和音频采样率。

8.根据权利要求1所述的基于私有云的安全云手机***，其特征在于，所述远程控制模块具体包括：注册单元、文件存取单元、指定APP操作单元和音视频导入导出单元；其中，

所述注册单元，用于和智能手机首次连接时发送PIN码，然后接收私有云手机设备发送的设备密钥和设备存储密钥；

所述文件存取单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成获取文件申请，使用会话密钥对获取文件申请进行加密处理后发送至私有云手机设备，并使用设备存储密钥对接收的加密文件进行解密处理；还用于使用设备存储密钥对本地的文件进行加密处理并发送至私有云手机设备；

所述指定APP操作单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，生成加密允许共享控制标记消息，使用会话密钥对加密允许共享控制标记消息进行加密处理并发送至私有云手机设备；用于根据采集的手指触屏按压力度和手指触屏位置信息生成触屏点击操控消息，使用会话密钥对触屏点击操控消息进行加密处理并发送至私有云手机设备；还用于使用会话密钥对操控APP指令进行加密处理并发送至私有云手机设备；

所述音视频导入导出单元，用于生成获取会话密钥申请，使用设备密钥对获取会话密钥申请进行加密处理并发送至私有云手机设备，使用设备密钥对接收的加密的会话密钥进行解密处理得到会话密钥，使用会话密钥对采集的本地音视频数据进行加密处理并发送至私有云手机设备；还用于生成导入音视频数据消息，使用会话密钥对导入音视频数据消息加密处理并发送至智能手机，使用会话密钥对接收的加密的图形配置消息进行解密处理得到图形配置消息，然后根据图形配置消息生成图像更新频率消息，使用会话密钥对图像更新频率消息进行加密处理并发送至智能手机，再使用会话密钥对接收的加密的音视频数据进行解密处理，然后进行解压缩解码得到音视频数据。

Images