CN112311855B - 一种数据传输方法及装置 - Google Patents

Abstract

本申请涉及云桌面技术领域，特别涉及一种数据传输方法及装置。该方法应用于云平台所在局域网的网关，网关对广域网提供唯一端口，方法包括：通过唯一端口接收处于广域网的客户端基于网关的通信地址发送的云桌面连接请求，并将云桌面连接请求转发至云桌面接入控制系统；接收云桌面控制系统基于云桌面连接请求返回的令牌，并将令牌转发至客户端，其中，令牌携带有客户端所需连接的云桌面对应的目标虚拟机的地址信息；通过唯一端口与客户端建立第一通信连接，并基于目标虚拟机的地址信息与目标虚拟机建立第二通信连接；若通过第一通信连接接收到客户端基于虚拟的地址信息发送的数据包，则将数据包通过第二通信连接转发至目标虚拟机。

Description

一种数据传输方法及装置

技术领域

本申请涉及云桌面技术领域，特别涉及一种数据传输方法及装置。

背景技术

随着云桌面技术的快速发展，企业员工对办公方式的需求越来越多样化，远程办公的需求也越来越多，所谓远程办公，指的是企业员工在不同区域，均可登陆云桌面。

目前的云桌面，只支持云平台所处的局域网中各客户端能够安全登陆云桌面，从而通过云桌面执行远程办公，但是，企业员工能够远程办公，即非局域网中各客户端远程登陆云桌面的前提条件是需要云桌面安全的支持广域网中各终端的接入，那么，云桌面如何支持广域网，如何保证数据安全成为亟待解决的问题。

发明内容

本申请提供了一种数据传输方法及装置，用以解决现有技术中存在的处于外网的客户端不能接入云桌面的问题。

第一方面，本申请提供了一种数据传输方法，应用于云平台所在局域网的网关，所述网关对广域网提供唯一端口，所述方法包括：

通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；

接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；

通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；

若通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

可选地，将所述云桌面连接请求转发至云桌面接入控制系统的步骤包括：

将所述云桌面连接请求通过所述云平台内预设的远程调用协议转发至云桌面接入控制系统。

可选地，通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接的步骤包括：

通过所述唯一端口与所述客户端建立websocket连接，并基于所述目标虚拟机的IP地址和端口号与所述目标虚拟机建立TCP连接。

可选地，所述唯一端口为443端口、8860端口。

可选地，所述网关配置有用于硬件加速的网卡；将所述数据包通过所述第二通信连接转发至所述目标虚拟机的步骤包括：

基于所述网卡，将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

第二方面，本申请提供了一种数据传输装置，应用于云平台所在局域网的网关，所述网关对广域网提供唯一端口，所述装置包括：

第一接收单元，用于通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；

第二接收单元，用于接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；

建立单元，用于通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；

转发单元，若所述第一接收单元通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则所述转发单元用于将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

可选地，将所述云桌面连接请求转发至云桌面接入控制系统时，所述第一接收单元具体用于：

将所述云桌面连接请求通过所述云平台内预设的远程调用协议转发至云桌面接入控制系统。

可选地，通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接时，所述建立单元具体用于：

通过所述唯一端口与所述客户端建立websocket连接，并基于所述目标虚拟机的IP地址和端口号与所述目标虚拟机建立TCP连接。

可选地，所述唯一端口为443端口、8860端口。

可选地，所述网关配置有用于硬件加速的网卡；将所述数据包通过所述第二通信连接转发至所述目标虚拟机时，所述转发单元具体用于：

基于所述网卡，将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

第三方面，本申请实施例提供一种网卡，该网卡包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。

综上可知，本申请实施例提供的数据传输方法，通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；若通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

采用本申请实施例提供的数据传输方法，通过在云平台所述的局域网内部署一个对外网的网关，并对外网只提供一个接入端口，通过与所处于外网的客户端建立第一通信连接，与客户端请求的虚拟机建立第二通信连接，转发客户端与虚拟机之间的数据，解决了云桌面安全的支持外网的问题。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1为本申请实施例提供的一种数据传输方法的详细流程图；

图2为本申请实施例提供的一种网关的设计示意图；

图3为本申请实施例提供的一种数据传输装置的结构示意图；

图4为本申请实施例提供的一种网关的结构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

示例性的，参阅图1所示，为本申请实施例提供的一种数据传输方法的详细流程图，该方法应用于云平台所在局域网的网关，上述网关对广域网提供唯一端口，该方法包括以下步骤：

步骤100：通过上述唯一端口接收处于广域网的客户端基于上述网关的通信地址发送的云桌面连接请求，并将上述云桌面连接请求转发至云桌面接入控制系统。

本申请实施例中，可以开发一个软件网关，并部署在云平台所在的局域网内，该网关对广域网(外网)提供一个唯一端口(出入口)，即广域网中各终端只能通过该唯一端口接入云平台，那么，广域网的客户端在确定需要接入云平台，连接云平台中的云桌面时，基于该网关的域名或IP地址，向该网关发送云桌面连接请求，该网关通过该唯一端口接收到处于该客户端发送的云桌面连接请求后，将该云桌面连接请求转发至云平台中的云桌面接入控制系统(Controller)。

本申请实施例中，一种较佳地实现方式为，上述唯一端口为443端口；或者，上述唯一端口为8860端口。当然，也可以是其它可用端口，本申请实施例中，在此不做具体限定。

本申请实施例中，将上述云桌面连接请求转发至云桌面接入控制系统时，一种较佳地实现方式为，将上述云桌面连接请求通过上述云平台内预设的远程调用协议转发至云桌面接入控制系统。

例如，网关与云桌面接入控制系统之间采用预设的GRPC进行命令和数据传输，那么，网关在接收到客户端发送的云桌面接入请求时，即可通过GRPC将该请求转发至云桌面接入控制系统。

需要说明的是，客户端发送的云桌面连接请求中至少携带有客户端信息(如名，客户端标识，用户信息等)，客户端所需的云桌面信息，那么，云桌面接入控制系统即可根据客户端信息对客户端进行认证，并在确定认证通过时，基于客户端所需的云桌面信息为客户端配置该云桌面对应的目标虚拟机，以及通过返回令牌的方式将该目标虚拟机信息(目标虚拟机的地址信息)返回给网关和客户端。

步骤110：接收上述云桌面控制系统基于上述云桌面连接请求返回的令牌，并将上述令牌转发至上述客户端，其中，上述令牌携带有上述客户端所需连接的云桌面对应的目标虚拟机的地址信息。

本申请实施例中，云桌面控制系统在根据云桌面连接请求确定客户端通过认证时，向网关返回对应的令牌，网关在接收到该令牌后，将该令牌转发给客户端。该令牌可用于标识客户端已通过认证，并携带有为该客户端分配的目标虚拟机的地址信息(如，IP地址信息和/或端口号)。

可选地，令牌中携带的目标虚拟机的地址信息是加密处理过的，网关在接收到令牌后，需要进行对应的解密处理后才能得到目标虚拟机的地址信息。

步骤120：通过上述唯一端口与上述客户端建立第一通信连接，并基于上述目标虚拟机的地址信息与上述目标虚拟机建立第二通信连接。

本申请实施例中，在通过上述唯一端口与上述客户端建立第一通信连接，并基于上述目标虚拟机的地址信息与上述目标虚拟机建立第二通信连接时，一种较佳地实现方式为，通过上述唯一端口与上述客户端建立websocket连接，并基于上述目标虚拟机的IP地址和端口号与上述目标虚拟机建立TCP连接。

也即是说，网关在接收道云桌面接入控制系统返回的令牌，并转发至客户端之后，即可与客户端建立websocket连接，实际应用中，采用websocket连接交互的数据均是经过加密后的数据；并根据令牌中携带的目标虚拟机的地址信息与云平台中的目标虚拟机建立TCP连接。

步骤130：若通过上述第一通信连接接收到上述客户端基于上述虚拟的地址信息发送的数据包，则将上述数据包通过上述第二通信连接转发至上述目标虚拟机。

也就是说，若网关后续通过与客户端之间建立的websocket连接接收到该客户端发送的数据包，则可以通过与目标虚拟机之间建立的TCP连接将该数据包转发至目标虚拟机。从而实现客户端与目标虚拟机之间的数据通信。

进一步的，本申请实施例中，为了网关能够支持大批量客户端的访问，设计了硬件加速网关，硬件加速网关是把整个TCP/IP协议栈移植到应用层进行优化，在接收到客户端发送的数据包之后，无需通过操作系统内核进行转发，直接访问网卡。

那么，本申请实施例中，上述网关配置有用于硬件加速的网卡；将上述数据包通过上述第二通信连接转发至上述目标虚拟机时，一种较佳地实现方式为，基于上述网卡，将上述数据包通过上述第二通信连接转发至上述目标虚拟机。

下面结合具体应用场景对本申请实施例提供的网关的结构进行详细说明。示例性的，参阅图2所示，为本申请实施例提供的一种网关的设计示意图。该网关至少包括令牌解析模块，GRPC报文处理模块，SSL加解密模块和VDP协议处理模块，网关在接收到客户端发送的云桌面请求报文时，将该报文通过GRPC转发至云桌面接入控制系统，云桌面接入控制系统为该客户端分配对应的虚拟机，并将该虚拟机相关信息携带在令牌中返回给网关，网关在接收到令牌后，将该令牌转发至客户端，并与客户端建立websocket连接，以及根据令牌中携带的虚拟机的地址信息，与该虚拟机建立TCP连接，之后，客户端向网关发送数据包，该数据包是经过SSL加密处理的，网关接收到该数据包之后进行SSL解密操作，并将解密后得到的数据包通过与该虚拟机建立的TCP连接发送至该虚拟机，此时，若网关采用软件转发，则可以通过操作系统内核中的TCP/IP协议栈进行该数据包的转发，若网关采用硬件转发，则可以直接采用硬件网卡中的TCP/IP协议栈进行转发。

示例性的，参阅图3所示，为本申请实施例提供的一种数据传输装置的结构示意图，该装置应用于云平台所在局域网的网关，所述网关对广域网提供唯一端口，所述装置包括：

第一接收单元30，用于通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；

第二接收单元31，用于接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；

建立单元32，用于通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；

转发单元33，若第一接收单元30通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则转发单元33用于将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

可选地，将所述云桌面连接请求转发至云桌面接入控制系统时，第一接收单元30具体用于：

将所述云桌面连接请求通过所述云平台内预设的远程调用协议转发至云桌面接入控制系统。

可选地，通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接时，建立单元32具体用于：

通过所述唯一端口与所述客户端建立websocket连接，并基于所述目标虚拟机的IP地址和端口号与所述目标虚拟机建立TCP连接。

可选地，所述唯一端口为443端口、8860端口。

可选地，所述网关配置有用于硬件加速的网卡；将所述数据包通过所述第二通信连接转发至所述目标虚拟机时，转发单元33具体用于：

基于所述网卡，将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

综上可知，本申请实施例提供的数据传输方法，通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；若通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

采用本申请实施例提供的数据传输方法，通过在云平台所述的局域网内部署一个对外网的网关，并对外网只提供一个接入端口，通过与所处于外网的客户端建立第一通信连接，与客户端请求的虚拟机建立第二通信连接，转发客户端与虚拟机之间的数据，解决了云桌面安全的支持外网的问题。

进一步地，本申请实施例提供的网关，从硬件层面而言，所述网关的硬件架构示意图可以参见图4所示，所述网关可以包括：存储器40和处理器41，

存储器40用于存储程序指令；处理器41调用存储器40中存储的程序指令，按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种网关，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述方法实施例。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种数据传输方法，其特征在于，应用于云平台所在局域网的网关，所述网关对广域网提供唯一端口，所述方法包括：

通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；

接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；

通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；

若通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

2.如权利要求1所述的方法，其特征在于，将所述云桌面连接请求转发至云桌面接入控制系统的步骤包括：

将所述云桌面连接请求通过所述云平台内预设的远程调用协议转发至云桌面接入控制系统。

3.如权利要求1所述的方法，其特征在于，通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接的步骤包括：

通过所述唯一端口与所述客户端建立websocket连接，并基于所述目标虚拟机的IP地址和端口号与所述目标虚拟机建立TCP连接。

4.如权利要求1-3任一项所述的方法，其特征在于，所述唯一端口为443端口、8860端口。

5.如权利要求1-3任一项所述的方法，其特征在于，所述网关配置有用于硬件加速的网卡；将所述数据包通过所述第二通信连接转发至所述目标虚拟机的步骤包括：

基于所述网卡，将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

6.一种数据传输装置，其特征在于，应用于云平台所在局域网的网关，所述网关对广域网提供唯一端口，所述装置包括：

第一接收单元，用于通过所述唯一端口接收处于广域网的客户端基于所述网关的通信地址发送的云桌面连接请求，并将所述云桌面连接请求转发至云桌面接入控制系统；

第二接收单元，用于接收所述云桌面控制系统基于所述云桌面连接请求返回的令牌，并将所述令牌转发至所述客户端，其中，所述令牌携带有所述客户端所需连接的云桌面对应的目标虚拟机的地址信息；

建立单元，用于通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接；

转发单元，若所述第一接收单元通过所述第一通信连接接收到所述客户端基于所述虚拟的地址信息发送的数据包，则所述转发单元用于将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

7.如权利要求6所述的装置，其特征在于，将所述云桌面连接请求转发至云桌面接入控制系统时，所述第一接收单元具体用于：

将所述云桌面连接请求通过所述云平台内预设的远程调用协议转发至云桌面接入控制系统。

8.如权利要求6所述的装置，其特征在于，通过所述唯一端口与所述客户端建立第一通信连接，并基于所述目标虚拟机的地址信息与所述目标虚拟机建立第二通信连接时，所述建立单元具体用于：

通过所述唯一端口与所述客户端建立websocket连接，并基于所述目标虚拟机的IP地址和端口号与所述目标虚拟机建立TCP连接。

9.如权利要求6-8任一项所述的装置，其特征在于，所述唯一端口为443端口、8860端口。

10.如权利要求6-8任一项所述的装置，其特征在于，所述网关配置有用于硬件加速的网卡；将所述数据包通过所述第二通信连接转发至所述目标虚拟机时，所述转发单元具体用于：

基于所述网卡，将所述数据包通过所述第二通信连接转发至所述目标虚拟机。

Images