CN114915420A - 用于云桌面的通信方法及系统 - Google Patents
用于云桌面的通信方法及系统 Download PDFInfo
- Publication number
- CN114915420A CN114915420A CN202210209649.9A CN202210209649A CN114915420A CN 114915420 A CN114915420 A CN 114915420A CN 202210209649 A CN202210209649 A CN 202210209649A CN 114915420 A CN114915420 A CN 114915420A
- Authority
- CN
- China
- Prior art keywords
- client
- dnat
- mapping information
- access token
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000013507 mapping Methods 0.000 claims abstract description 112
- 230000011664 signaling Effects 0.000 claims description 70
- 238000013519 translation Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008901 benefit Effects 0.000 abstract description 5
- 230000004927 fusion Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 50
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000035515 penetration Effects 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 239000010410 layer Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本公开涉及一种用于云桌面的通信方法及系统。用于为客户端提供云桌面实例的服务端是基于云资源构建的。利用云资源中的鉴权服务生成客户端的访问令牌。确定DNAT映射信息,DNAT映射信息用于表征服务端的私网地址与云资源中与服务端关联的NAT网关的公网地址之间的映射关系。将访问令牌和DNAT映射信息发送给客户端,以便客户端基于访问令牌和DNAT映射信息与服务端建立连接,以访问云桌面实例。由此,通过与云资源深度融合,使得在云桌面实例的桌面串流场景下具备轻量、安全以及无需搭建STUN/TURN服务等优点。
Description
技术领域
本公开涉及云桌面技术领域,特别是涉及一种用于云桌面的通信方法及系统。
背景技术
云桌面又称桌面虚拟化,是替代传统计算设备(如电脑、手机)的一种新模式。
云桌面产品(如云电脑、云手机等)主要由前端设备和后端服务器两部分组成。
以云电脑为例,前端设备主要是采用瘦客户机(如与电视机顶盒类似的设备)连接显示器、键盘和/或鼠标,用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作,达到与电脑一致的体验效果。
采用云桌面后,用户无需再购买设备主机,主机所包含的CPU、内存、硬盘等组件都可以在后端的服务器中虚拟出来,单台高性能服务器可以虚拟1-50台不等的虚拟主机。
在云桌面产品的使用过程中,需要在前端设备和后端设备之间建立通信,以传输数据。如何针对云桌面产品提供一种行之有效的通信方案,则是目前亟需解决的技术问题。
发明内容
本公开要解决的一个技术问题是针对云桌面产品提供一种行之有效的通信方案。
根据本公开的第一个方面,提供了一种用于云桌面的通信方法,其中,用于为客户端提供云桌面实例的服务端是基于云资源构建的,该方法包括:利用云资源中的鉴权服务生成客户端的访问令牌;确定DNAT映射信息,DNAT映射信息用于表征服务端的私网地址与云资源中与服务端关联的NAT网关的公网地址之间的映射关系;将访问令牌和DNAT映射信息发送给客户端,以便客户端基于访问令牌和DNAT映射信息与服务端建立连接,以访问云桌面实例。
可选地,该方法还包括:提供资源管理装置,资源管理装置用于为客户端提供资源管理服务,其中,将访问令牌和DNAT映射信息发送给客户端的步骤包括:将访问令牌和/或DNAT映射信息发送给资源管理装置,由资源管理装置将访问令牌和/或DNAT映射信息发送给客户端。
可选地,该方法还包括:提供开放式接口,开放式接口用于提供DNAT映射信息查询服务,其中,将访问令牌和DNAT映射信息发送给客户端的步骤包括:响应于接收到客户端通过开放式接口发送的DNAT映射查询请求,将DNAT映射信息发送给客户端。
可选地,利用云资源中的鉴权服务生成客户端的访问令牌的步骤包括:响应于接收到客户端发送的针对云桌面实例的访问请求,由云资源中的鉴权服务对客户端的身份合法性进行校验;若校验结果为客户端的身份合法,则生成访问令牌。
可选地,在将访问令牌发送给客户端之前,该方法还包括:由鉴权服务生成密钥对,密钥对包括公钥和私钥;将公钥发送到与云桌面实例对应的信令服务;使用私钥对访问令牌进行签名,其中,将访问令牌和DNAT映射信息发送给客户端的步骤包括:将签名后的访问令牌发送给客户端。
可选地,该方法还包括:响应于客户端基于DNAT映射信息和访问令牌针对信令服务发起的信令流程,由信令服务基于公钥对访问令牌的合法性进行校验;若校验结果为访问令牌合法,则通过信令服务将DNAT映射信息传递给服务端,并执行信令流程,以对客户端与服务端之间进行连接所涉及的参数进行协商。
可选地,该方法还包括:在信令流程执行完毕之后,响应于客户端发起针对服务端的访问请求,服务端将云桌面实例数据发送给客户端,并且/或者获取客户端发送的针对云桌面实例的操作数据和/或本地采集数据。
根据本公开的第二个方面,提供了一种用于云桌面的通信系统,包括:客户端;基于云资源构建的服务端,用于为客户端提供云桌面实例;鉴权装置,用于生成客户端的访问令牌;以及NAT网关,用于为服务端提供网络地址转换服务,客户端获取访问令牌和DNAT映射信息,并基于访问令牌和DNAT映射信息与服务端建立连接,其中,DNAT映射信息用于表征服务端的私网地址与NAT网关的公网地址之间的映射关系。
可选地,通信系统还可以包括资源管理装置,资源管理装置用于获取访问令牌和DNAT映射信息,并将访问令牌和DNAT映射信息发送给客户端。
可选地,通信系统还包括网络管理装置,网络管理装置用于确定DNAT映射信息,并将DNAT映射信息发送给资源管理装置,或者通信系统还包括开放式接口,开放式接口用于提供DNAT查询服务,以便资源管理装置或客户端通过开放式接口获取DNAT映射信息。
根据本公开的第三个方面,提供了一种计算设备,包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被处理器执行时,使处理器执行如上述第一方面所述的方法。
根据本公开的第四个方面,提供了一种计算机程序产品,包括可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如上述第一方面所述的方法。
根据本公开的第五个方面,提供了一种非暂时性机器可读存储介质,其上存储有可执行代码,当可执行代码被电子设备的处理器执行时,使处理器执行如上述第一方面所述的方法。
由此,本公开与云资源深度融合,依托云资源部署云桌面实例,基于云资源中的鉴权服务进行用户身份鉴权,并对合法用户颁发访问令牌,基于云资源中的NAT网关为服务端提供网络地址转换服务,并将访问令牌和DNAT映射信息发送给客户端,使得在桌面串流场景下具备轻量、安全以及无需搭建STUN/TURN服务等优点。
附图说明
通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号通常代表相同部件。
图1示出了基于WebRTC实现的通信系统的架构示意图。
图2示出了基于本公开的通信方法实现的用于云桌面的通信系统的架构示意图。
图3示出了根据本公开一个实施例的基于WebRTC的桌面串流系统的架构示意图。
图4示出了根据本公开一个实施例的客户端访问云桌面实例的访问流程示意图。
图5示出了根据本公开一个实施例的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
P2P(Peer-To-Peer,点到点通信或端到端通信)打破了传统的C/S(Client-Server,客户机-服务器)模式,在网络中的每个节点的地位都是对等的。每个节点既充当服务器,为其他节点提供服务,同时也享用其他节点提供的服务。P2P网络最大的特点是不需要中央服务器的调度,自我组织协调,各个节点之间可以直接通信。WebRTC是一种集合了多种底层协议的音视频通信技术,可以实现P2P通信,即能够为通信双方提供对等通信。
图1示出了基于WebRTC实现的通信系统的架构示意图。
如图1所示,基于WebRTC的通信系统可以包括对等通信端、信令系统以及STUN/TURN服务这三部分。
1、对等通信端
参与WebRTC通信的双方(即图1中示出的WebRTC通信端A和WebRTC通信端B)在进行信令协商后,将建立对等连接(Peer Connection),直接进行音视频通信。在底层,对等连接均由UDP(User Datagram Protocol,用户数据报协议)承载,且参与通信的双方地位对等,即UDP连接可由任何一方发起。
2、信令系统
WebRTC信令服务可以独立于通信端集中部署,为了保证后续的对等连接的正确建立,应确保通信双方均能访问到信令服务。通过信令服务,通信双方能够进行连接通信参数协商,同时通过ICE(Interactive Connectivity Establishment,交互式连接创建)流程,交换双方在NAT(Network Address Translation,网络地址转换)之后的IP地址与端口号,以协助对等连接完成NAT网关穿透。NAT网关是指用于提供网络地址转换服务的网关。
3、STUN/TURN服务
在对等通信端之间存在NAT网关的情况下,STUN/TURN服务被用于NAT网关穿透。
STUN为终端提供一种方式能够获知自己经过NAT映射后的地址(公网地址),从而替代位于应用层中的私网地址,达到NAT穿透的目的。公网地址(也可称为公有地址)是指在因特网(Internet)上直接可达的地址。私网地址(也可称为私有地址)是指为组织机构内部使用的地址,如局域网内设备使用的地址。
TURN解决NAT穿透的思路与STUN类似,都是通过修改应用层中的私网地址达到NAT穿透。与STUN不同的是,TURN是通过两方通讯的“中间人”的方式实现穿透,在这种方式下,要进行通讯的两方分别与位于公网上的TURN服务器建立各自的连接进行通讯,由服务器负责在两方之间进行数据转发。
以STUN服务为例,对等通信端通过STUN服务学习自身NAT后的IP/端口,并用于后续ICE流程来交换NAT后的IP/端口信息,以便后续建立对等连接。
音视频通信技术(如WebRTC)可以应用于针对云桌面产品的桌面串流场景,在客户端和服务端之间建立通信连接。
桌面串流是指在客户端和服务端之间传输与云桌面实例相关的数据。具体而言,服务端可以将生成的云桌面数据(画面数据)传输给客户端,客户端可以将用户针对云桌面的操作数据或本地采集数据(如利用摄像头采集的视频数据)发送给服务端。
如果直接将P2P通信技术(如WebRTC)应用于云桌面实例的串流将会存在如下问题:
1)如何进行用户身份的鉴权,防止非法用户获得不属于其自身的实例桌面;
2)如果连接桌面的客户端与服务端之间需要建立公网连接,则单个云桌面实例将占用一个公网IP地址,在大规模部署的场景下,会消耗大量公网地址,增加客户的成本;
3)为了进行NAT穿透,需要独立部署STUN/TURN的服务。STUN服务基于UDP,存在DDOS的安全风险。
为了解决上述问题,本公开提出了一种用于云桌面的通信方法。
图2示出了基于本公开的通信方法实现的用于云桌面的通信系统的架构示意图。
下面结合图2描述本公开的通信方法。
如图2所示,可以基于云资源构建用于为客户端提供云桌面实例的服务端。
云资源是指云上资源(云上计算资源),具体可以是公有云计算资源,也可以是私有云计算资源或混合云计算资源。服务端与客户端之间可以是一一对应关系,即单个服务端用于为特定客户端提供云桌面实例。服务端与客户端构成一套云桌面产品。
通过将服务端部署(集成)在云资源中,使得可以利用云资源中的其他相关资源为客户端与服务端之间的通信提供支持,以解决上述问题。
具体而言,针对上述第一点问题,可以利用云资源中的鉴权服务(鉴权机制,比如公有云中开放式接口openAPI的AK/SK机制)对用户身份(即客户端身份)进行鉴权,并为合法用户(即合法客户端)颁发访问令牌,如此可以解决上述第一点问题。
针对上述第二点问题,可以利用云资源中的NAT网关(如公有云NAT网关)为多个云桌面实例(即多个服务端)提供网络地址转换服务,使得多个云桌面实例可以共用一个公网地址,节省公网地址,降低客户成本,如此可以解决上述第二点问题。
针对上述第三点问题,由于桌面串流场景下总是由客户端主动连接服务端,使得无需学习客户端本地网络的NAT映射;由于为云桌面实例提供网络地址转换服务的NAT网关属于云资源,使得客户端连接服务端所需的DNAT(Destination Network AddressTranslation,目的网络地址转换)映射信息可以通过多种途径(例如openAPI)被客户端感知,客户端感知到的DNAT映射信息又可以反过来传递给服务端,使得服务端也无需学习自身的NAT映射。因此不需要部署STUN/TURN服务,即可完成NAT穿透,从而可以解决上述第三点问题。
下面就本公开涉及的细节做进一步详细说明。
访问令牌
客户端可以向鉴权服务发送针对云桌面实例的访问请求。该访问请求可以通过带外网络(非直接连接云桌面实例的网络)发送给鉴权服务。即,该访问请求不会通过与服务端关联的NAT网关,但可能通过客户端本地NAT网关,发送给鉴权服务。
响应于接收到访问请求,鉴权服务可以对客户端的身份合法性进行校验。例如可以校验客户端身份是否与请求访问的云桌面实例相匹配,以判断客户端是否拥有其请求访问的云桌面实例的访问权限。
若校验结果为客户端的身份合法,则可以由鉴权服务生成客户端的访问令牌;反之,若校验结果为客户端的身份不合法,则可以结束鉴权流程,不生成访问令牌。
在将访问令牌发送给客户端之前,可以由鉴权服务生成密钥对,密钥对包括公钥和私钥。可以将公钥发送到与云桌面实例对应的信令服务,并使用私钥对访问令牌进行签名。由此,可以将签名后的访问令牌发送给客户端。
DNAT映射信息
通过将NAT网关上的公网地址(如IP地址+端口号)映射给服务端(也即云桌面实例)使用,使服务端能够通过该公网地址提供互联网服务。DNAT映射信息用于表征服务端的私网地址(如第一IP地址和第一端口号)与NAT网关的公网地址(如第二IP地址和第二端口号)之间的映射关系。此处述及的NAT网关是指位于云资源中的与服务端关联的网关。该NAT网关可以绑定一个或多个公网地址(如可以是弹性公网IP)。
DNAT映射信息与访问令牌可以一起发送给客户端,也可以分开发送给客户端。
在将DNAT映射信息发送给客户端时,可以是主动下发给客户端,也可以是由客户端通过主动查询的方式从云资源获取DNAT映射信息。
在一个实施例中,可以创建(提供)资源管理装置,资源管理装置用于为客户端提供资源管理服务。可以将访问令牌和/或DNAT映射信息发送给资源管理装置,由资源管理装置将所述访问令牌和/或DNAT映射信息发送给客户端。
在另一个实施例中,也可以提供开放式接口(openAPI),如可以基于云资源生成开放式接口,开放式接口用于提供DNAT映射信息查询服务。由此,可以响应于接收到客户端通过开放式接口发送的DNAT映射查询请求,将DNAT映射信息发送给客户端。其中,客户端还可以通过开放式接口对服务端的DNAT映射进行配置。
信令流程
信令服务可以部署在云资源中。例如,可以在云资源中部署与云桌面实例对应的信令服务,以在云桌面实例层面对信令服务进行定制。再例如,信令服务也可以集中部署,即信令服务可以被多个云桌面实例共享,以为多个云桌面实例服务。
响应于客户端基于DNAT映射信息和访问令牌针对信令服务发起的信令流程,由信令服务基于公钥对访问令牌的合法性进行校验。
若校验结果为访问令牌合法,则可以通过信令服务将DNAT映射信息传递给服务端,并执行信令流程,以对客户端与服务端之间进行连接所涉及的参数进行协商。若校验结果为访问令牌不合法,则可以结束信令流程。
在信令流程执行完毕之后,客户端可以发起针对服务端的访问请求(即连接请求)。响应于客户端的访问请求,服务端可以将云桌面实例数据发送给客户端,并且/或者获取客户端发送的针对云桌面实例的操作数据和/或本地采集数据。
至此结合图2描述了本公开的通信方法的原理及实现流程。下面以云资源为公有云为例,对本公开做进一步示例性说明。
图3示出了根据本公开一个实施例的基于WebRTC的桌面串流系统的架构示意图。
如图3所示,基于WebRTC的桌面串流系统主要包含WebRTC服务端、鉴权服务、公有云NAT网关、资源管理服务、信令服务、网络管控模块以及WebRTC客户端。
WebRTC服务端集成在公有云中,对外提供对等连接,以及桌面的串流。信令服务与WebRTC服务端可以集成在一个云桌面实例中。这种分实例部署的好处是信令服务可以在实例层面进行定制,但是缺点是会浪费一些部署资源。因此,也可以将信令服务集中部署,对所有的云桌面实例(即不同的WebRTC服务端)共享。
在发起WebRTC连接前,鉴权服务需要对连接者的身份进行鉴权,只有合法的用户才允许对WebRTC服务端进行信令以及对等连接。系统架构可以依托已有公有云的鉴权机制(比如openAPI的AK/SK机制),并对合法用户颁发访问令牌。在WebRTC的信令流程中,会对用户的访问令牌进行校验,并对持非法令牌的连接请求进行拒绝。
在WebRTC的客户端与WebRTC服务端之间,可能存在NAT网关。在公有云侧,公有云NAT网关能节省大量的公网IP地址,对节省用户成本有很大的好处;同时由于公有云NAT网关是标准的云产品,用户可以通过openAPI的方式直接对其进行NAT映射配置,并查询获取已有的配置。
资源管理服务是客户为管理自身在公有云上的资源而搭建的服务。通过资源管理服务,客户可以在访问云桌面实例之前进行鉴权,同时获得连接所需要的DNAT映射信息。资源管理服务可以与WebRTC客户端集成在一起,也可以独立于WebRTC客户端部署。
WebRTC客户端可以从资源管理服务获取DNAT映射配置(即DNAT映射信息),若资源管理服务中不存在DNAT映射,则资源管理服务可以从网络管控模块获取DNAT映射配置。其中,网络管控模块在发送DNAT映射配置之前,可以对客户端身份进行校验,校验通过则将DNAT映射配置发送给资源管理服务,经由资源管理服务下发给客户端。
WebRTC客户端是信令流程以及对等连接的发起者。一般情况下,在访问远程桌面之前,客户端收发的报文也可能通过本地的NAT网关。
图4示出了根据本公开一个实施例的客户端访问云桌面实例的访问流程示意图。
如图4所示,访问流程主要包括鉴权流程、信令流程以及桌面连接流程。
鉴权流程
鉴权流程不通过公有云NAT网关,但可以通过WebRTC客户端的本地NAT网关。
WebRTC客户端可以通过带外网络(非直连实例网络)发起实例连接请求(对应于上文述及的访问请求)。实例连接请求可以经由本地NAT网关、资源管理服务发送给鉴权服务。鉴权服务首先可以对客户端的身份合法性进行校验,在校验身份合法后,鉴权服务可以准备后续的WebRTC信令鉴权。
资源管理服务可以将DNAT映射和访问令牌一起发送给WebRTC客户端。其中,若资源管理服务不存在WebRTC客户端所请求连接的实例的DNAT映射,则资源管理服务可以从公有云NAT网关获取DNAT映射配置,例如可以从与公有云NAT网关连接的网络管控模块获取DNAT映射配置。
图4中示出的步骤1至10为鉴权流程。
在步骤1,WebRTC客户端将实例连接请求发送给本地NAT网关。
在步骤2,本地NAT网关将实例连接请求发送给资源管理服务。
在步骤3,资源管理服务将实例连接请求发送给鉴权服务。
在步骤4,鉴权服务在验证客户端身份合法后,生成公私密钥对,并将公钥下发到对对应云桌面实例的信令服务。
在步骤5,信令服务将公钥下发成功消息返回给鉴权服务。
在步骤6,鉴权服务生成具有时效性的访问令牌(token),用私钥签名,并返回给资源管理服务。
在步骤7,如果资源管理服务中不存在与客户端对应的云桌面实例的DNAT映射,则资源管理服务可以对公有云NAT网关进行DNAT映射配置,如可以通过openAPI的方式对公有云NAT网关进行NAT映射配置。
在步骤8,公有云NAT网关向资源管理服务发送配置成功消息。
在步骤9,资源管理服务将访问令牌和DNAT映射信息发送给本地NAT网关。
在步骤10,本地NAT网关将访问令牌和DNAT映射信息发送给WebRTC客户端。
信令流程
在信令服务与WebRTC服务端集成在一个云桌面实例中的情况下,信令流程可以通过本地NAT网关和公有云NAT网关发送到信令服务。
WebRTC客户端在获得访问令牌之后,向信令服务发起信令流程,整个过程基本遵从标准的WebRTC信令流程,不同的是在标准信令流程开始之前,信令服务会利用下发的公钥对访问令牌进行合法性校验,如果校验失败,则直接终止整个WebRTC连接。
在普通WebRTC系统中,通信双方均可能主动发起对等连接。不同于普通WebRTC系统,桌面串流系统总是由WebRTC客户端(即客户端用户)主动连接WebRTC服务端(云桌面实例),获取桌面。这主要体现在信令面和数据面两个方面。
在信令面是由客户端主动发起TCP(Transmission Control Protocol,传输控制协议)连接到云桌面实例的信令系统。在数据面是由客户端主动发起UDP连接到服务端,从远端(服务端)获取桌面或者推送本地视频(比如摄像头)到远端,同时通过SCTPoverUDP(基于UDP的SCTP,SCTP是一种面向多媒体通信的流控制传输协议)发送本地外设(比如鼠标/键盘)等事件到远端。
有鉴于此,WebRTC客户端只需要获取WebRTC服务端的DNAT映射,而无需学习本地网络的NAT映射,就可以完成NAT穿透。
对于DNAT映射信息的维护,可能有两种方法:1)可以由资源管理服务维护所有配置的DNAT映射信息,客户端直接向资源管理服务进行查询获取(图3、图4所示);2)客户端可以直接通过openAPI的方式对公有云NAT网关进行DNAT映射查询。
在获得DNAT映射后,一方面,客户端可以用其直接发起信令流程,即向信令服务发起TCP连接;另一方面,客户端可以通过信令流程将DNAT映射传递给服务端,并通过后续的标准ICE流程交换到客户端发起对等连接。
由此,信令流程可以包括ICE流程。在ICE流程中,WebRTC服务端可以按照现有机制交换其在NAT之后的公网地址(如IP地址和端口号)。WebRTC服务端在NAT之后的公网地址可以在信令流程由WebRTC客户端传递到WebRTC服务端。
由于桌面串流系统中,总是WebRTC客户端主动连接WebRTC服务端,所以在ICE流程中,WebRTC客户端可以不将其在本地NAT之后的公网地址(如IP地址和端口号)交换给WebRTC服务端。
由此,在不搭建STUN/TURN服务的情况下,也能实现NAT穿透。
图4中示出的步骤11至18为信令流程。
在步骤11至13,WebRTC客户端将信令连接请求经由本地NAT网关、公有云NAT网关发送给信令服务。
在步骤14至16,信令服务经由公有云NAT网关、本地NAT网关将连接成功消息发送给WebRTC客户端。
在步骤17,在WebRTC客户端与信令服务之间可以交换其他信令。
在步骤18,在WebRTC客户端与信令服务之间可以执行ICE流程。
图4中示出的步骤19为桌面连接流程。
在桌面连接流程,WebRTC客户端与WebRTC服务端可以分别是UDP客户端和UDP服务端。即,WebRTC客户端与WebRTC服务端之间可以利用UDP进行通信。
在桌面连接流程中,WebRTC客户端可以将针对云桌面实例的操作数据和/或本地采集数据发送给WebRTC服务端。响应于WebRTC客户端发送的云桌面实例访问请求,WebRTC服务端可以将云桌面实例数据发送给客户端。
综上,本公开的基于WebRTC的云实例桌面串流系统,通过与公有云深度融合,可以具备轻量,安全以及无需搭建STUN/TURN服务等优点。
具体而言,本公开可以依托公有云的鉴权体系,进行用户身份鉴权,并对合法用户颁发访问令牌,进行WebRTC连接;对公网串流场景,在WebRTC客户端与服务端之间设立公网NAT网关,以大量节省公网IP地址,降低客户成本;由于公网NAT网关也是公有云的产品,其NAT映射可以被用户获取,同时由于在桌面串流系统中,信令面的TCP连接,以及数据面的UDP连接总是由WebRTC客户端发起,因此可以在不搭建STUN/TURN服务的情况下,也能进行NAT穿透。
本公开的通信方法还可以实现为一种通信系统。
通信系统可以包括客户端、基于云资源构建的服务端、鉴权装置以及NAT网关。服务端用于为客户端提供云桌面实例。鉴权装置用于为客户端提供鉴权服务,以判断客户端是否具有云桌面实例的访问权限。鉴权装置可以是基于云资源构建的,例如鉴权装置可以由云资源提供。
NAT网关用于为云桌面实例提供网络地址转换服务。NAT网关位于云端,如可以是指公有云NAT网关。
客户端可以首先获取访问令牌和DNAT映射信息,然后可以基于访问令牌和所述DNAT映射信息与服务端建立连接。客户端可以通过多种方式获取访问令牌和DNAT映射信息。例如,鉴权装置可以直接将访问令牌下发给客户端,至于DNAT映射信息则可以由客户端通过开放式接口主动查询。
作为示例,通信系统还可以包括资源管理装置。资源管理装置是针对客户端创建的,用于为客户端提供资源管理服务,以管理客户在云上(如公有云上)的资源。资源管理装置可以部署在客户端上,也可以独立于客户端部署。
资源管理装置可以获取访问令牌和DNAT映射信息,并将访问令牌和DNAT映射信息发送给户端,以便客户端基于访问令牌和DNAT映射信息与服务端建立连接,以访问云桌面实例。资源管理装置可以从鉴权装置获取访问令牌。
作为示例,通信系统还可以包括网络管理装置,网络管理装置用于确定DNAT映射信息,并将DNAT映射信息发送给所述资源管理装置,或者通信系统还可以包括开放式接口,开放式接口用于提供DNAT查询服务。资源管理装置或客户端可以通过开放式接口获取DNAT映射信息。例如,客户端可以通过开放式接口获取DNAT映射信息,并将获取到的DNAT映射信息发送给资源管理装置进行保管。
图5示出了根据本公开一实施例可用于实现上述通信方法的计算设备的结构示意图。
参见图5,计算设备500包括存储器510和处理器520。
处理器520可以是一个多核的处理器,也可以包含多个处理器。在一些实施例中,处理器520可以包含一个通用的主处理器以及一个或多个特殊的协处理器,例如图形处理器(GPU)、数字信号处理器(DSP)等等。在一些实施例中,处理器520可以使用定制的电路实现,例如特定用途集成电路(ASIC,Application Specific Integrated Circuit)或者现场可编程逻辑门阵列(FPGA,Field Programmable Gate Arrays)。
存储器510可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM),和永久存储装置。其中,ROM可以存储处理器520或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器510可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器510可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等等)、磁性软盘等等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器510上存储有可执行代码,当可执行代码被处理器520处理时,可以使处理器520执行上文述及的通信方法。
上文中已经参考附图详细描述了根据本公开的通信方法、系统及计算设备。
此外,根据本发明的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本发明的上述方法中限定的上述各步骤的计算机程序代码指令。
或者,本发明还可以实施为一种非暂时性机器可读存储介质(或计算机可读存储介质、或机器可读存储介质),其上存储有可执行代码(或计算机程序、或计算机指令代码),当所述可执行代码(或计算机程序、或计算机指令代码)被电子设备(或计算设备、服务器等)的处理器执行时,使所述处理器执行根据本发明的上述方法的各个步骤。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
附图中的流程图和框图显示了根据本发明的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (13)
1.一种用于云桌面的通信方法,其中,用于为客户端提供云桌面实例的服务端是基于云资源构建的,该方法包括:
利用云资源中的鉴权服务生成客户端的访问令牌;
确定DNAT映射信息,所述DNAT映射信息用于表征所述服务端的私网地址与云资源中与所述服务端关联的NAT网关的公网地址之间的映射关系;
将所述访问令牌和所述DNAT映射信息发送给所述客户端,以便所述客户端基于所述访问令牌和所述DNAT映射信息与所述服务端建立连接,以访问所述云桌面实例。
2.根据权利要求1所述的方法,还包括:
提供资源管理装置,所述资源管理装置用于为所述客户端提供资源管理服务,
其中,将所述访问令牌和所述DNAT映射信息发送给所述客户端的步骤包括:将所述访问令牌和/或所述DNAT映射信息发送给所述资源管理装置,由所述资源管理装置将所述访问令牌和/或所述DNAT映射信息发送给所述客户端。
3.根据权利要求1所述的方法,还包括:
提供开放式接口,所述开放式接口用于提供DNAT映射信息查询服务,
其中,将所述访问令牌和所述DNAT映射信息发送给所述客户端的步骤包括:响应于接收到所述客户端通过所述开放式接口发送的DNAT映射查询请求,将所述DNAT映射信息发送给所述客户端。
4.根据权利要求1所述的方法,其中,利用云资源中的鉴权服务生成客户端的访问令牌的步骤包括:
响应于接收到客户端发送的针对云桌面实例的访问请求,由云资源中的鉴权服务对所述客户端的身份合法性进行校验;
若校验结果为所述客户端的身份合法,则生成访问令牌。
5.根据权利要求1所述的方法,其中,在将所述访问令牌发送给所述客户端之前,该方法还包括:
由所述鉴权服务生成密钥对,所述密钥对包括公钥和私钥;
将所述公钥发送到与所述云桌面实例对应的信令服务;
使用私钥对所述访问令牌进行签名,
其中,将所述访问令牌和所述DNAT映射信息发送给所述客户端的步骤包括:将签名后的访问令牌发送给所述客户端。
6.根据权利要求5所述的方法,还包括:
响应于所述客户端基于所述DNAT映射信息和所述访问令牌针对信令服务发起的信令流程,由所述信令服务基于所述公钥对所述访问令牌的合法性进行校验;
若校验结果为所述访问令牌合法,则通过所述信令服务将所述DNAT映射信息传递给所述服务端,并执行信令流程,以对所述客户端与所述服务端之间进行连接所涉及的参数进行协商。
7.根据权利要求6所述的方法,还包括:
在所述信令流程执行完毕之后,响应于所述客户端发起针对所述服务端的访问请求,所述服务端将云桌面实例数据发送给所述客户端,并且/或者获取所述客户端发送的针对所述云桌面实例的操作数据和/或本地采集数据。
8.一种用于云桌面的通信系统,包括:
客户端;
基于云资源构建的服务端,用于为客户端提供云桌面实例;
鉴权装置,用于生成所述客户端的访问令牌;以及
NAT网关,用于为所述服务端提供网络地址转换服务,
所述客户端获取所述访问令牌和DNAT映射信息,并基于所述访问令牌和所述DNAT映射信息与所述服务端建立连接,其中,所述DNAT映射信息用于表征所述服务端的私网地址与所述NAT网关的公网地址之间的映射关系。
9.根据权利要求8所述的系统,还包括:
资源管理装置,所述资源管理装置用于获取所述访问令牌和DNAT映射信息,并将所述访问令牌和所述DNAT映射信息发送给所述客户端。
10.根据权利要求9所述的通信系统,其中,
所述通信系统还包括网络管理装置,所述网络管理装置用于确定所述DNAT映射信息,并将所述DNAT映射信息发送给所述资源管理装置,或者
所述通信系统还包括开放式接口,所述开放式接口用于提供DNAT查询服务,以便所述资源管理装置或所述客户端通过所述开放式接口获取所述DNAT映射信息。
11.一种计算设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至7中任何一项所述的方法。
12.一种计算机程序产品,包括可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至7中任何一项所述的方法。
13.一种非暂时性机器可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至7中任何一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209649.9A CN114915420B (zh) | 2022-03-03 | 2022-03-03 | 用于云桌面的通信方法及系统 |
| PCT/CN2023/075653 WO2023165321A1 (zh) | 2022-03-03 | 2023-02-13 | 用于云桌面的通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209649.9A CN114915420B (zh) | 2022-03-03 | 2022-03-03 | 用于云桌面的通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915420A true CN114915420A (zh) | 2022-08-16 |
| CN114915420B CN114915420B (zh) | 2024-04-26 |
Family
ID=82762969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210209649.9A Active CN114915420B (zh) | 2022-03-03 | 2022-03-03 | 用于云桌面的通信方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114915420B (zh) |
| WO (1) | WO2023165321A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115426313A (zh) * | 2022-08-31 | 2022-12-02 | 中电云数智科技有限公司 | 一种基于ovn虚机网络的nat优化装置和方法 |
| WO2023165321A1 (zh) * | 2022-03-03 | 2023-09-07 | 阿里巴巴(中国)有限公司 | 用于云桌面的通信方法及系统 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090316708A1 (en) * | 2008-06-24 | 2009-12-24 | Microsoft Corporation | Techniques to manage a relay server and a network address translator |
| US20120331032A1 (en) * | 2011-06-22 | 2012-12-27 | Microsoft Corporation | Remote Presentation Session Connectionless Oriented Channel Broker |
| CN103581350A (zh) * | 2012-07-25 | 2014-02-12 | 中国电信股份有限公司 | 跨越nat发布互联网服务的方法、终端、设备和系统 |
| CN104753930A (zh) * | 2015-03-17 | 2015-07-01 | 成都盛思睿信息技术有限公司 | 基于安全网关的云桌面管理系统及其安全访问控制方法 |
| US20150188902A1 (en) * | 2013-12-27 | 2015-07-02 | Avaya Inc. | Controlling access to traversal using relays around network address translation (turn) servers using trusted single-use credentials |
| WO2015179508A1 (en) * | 2014-05-20 | 2015-11-26 | Amazon Technologies, Inc. | Low latency connections to workspaces in a cloud computing environment |
| US20160132214A1 (en) * | 2014-11-11 | 2016-05-12 | Amazon Technologies, Inc. | Application delivery agents on virtual desktop instances |
| WO2019041765A1 (zh) * | 2017-08-30 | 2019-03-07 | 华为技术有限公司 | 一种访问桌面云虚拟机的方法、装置及桌面云控制器 |
| US20190173888A1 (en) * | 2016-08-09 | 2019-06-06 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| CN110061993A (zh) * | 2019-04-23 | 2019-07-26 | 新华三技术有限公司 | 一种包含公网出口地址的日志生成方法、装置及接入设备 |
| CN111327720A (zh) * | 2020-02-21 | 2020-06-23 | 北京百度网讯科技有限公司 | 一种网络地址转换方法、装置、网关设备及存储介质 |
| US20200280542A1 (en) * | 2019-02-28 | 2020-09-03 | Arris Enterprises Llc | Method to Anonymize Client MAC Addresses for Cloud Reporting |
| US10848423B1 (en) * | 2018-09-26 | 2020-11-24 | Amazon Technologies, Inc. | Multi-account gateway |
| CN112311855A (zh) * | 2020-09-30 | 2021-02-02 | 新华三大数据技术有限公司 | 一种数据传输方法及装置 |
| CN112583599A (zh) * | 2020-11-26 | 2021-03-30 | 新华三大数据技术有限公司 | 通信方法及装置 |
| CN113395272A (zh) * | 2021-06-09 | 2021-09-14 | 广东省城乡规划设计研究院有限责任公司 | 一种基于数据安全的远程办公系统 |
| US20210288808A1 (en) * | 2020-03-13 | 2021-09-16 | Ebay Inc. | Secure token refresh |
| WO2022002069A1 (zh) * | 2020-06-29 | 2022-01-06 | 中兴通讯股份有限公司 | 访问网络的方法、媒体网关、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915420B (zh) * | 2022-03-03 | 2024-04-26 | 阿里巴巴(中国)有限公司 | 用于云桌面的通信方法及系统 |
-
2022
- 2022-03-03 CN CN202210209649.9A patent/CN114915420B/zh active Active
-
2023
- 2023-02-13 WO PCT/CN2023/075653 patent/WO2023165321A1/zh unknown
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090316708A1 (en) * | 2008-06-24 | 2009-12-24 | Microsoft Corporation | Techniques to manage a relay server and a network address translator |
| US20120331032A1 (en) * | 2011-06-22 | 2012-12-27 | Microsoft Corporation | Remote Presentation Session Connectionless Oriented Channel Broker |
| CN103581350A (zh) * | 2012-07-25 | 2014-02-12 | 中国电信股份有限公司 | 跨越nat发布互联网服务的方法、终端、设备和系统 |
| US20150188902A1 (en) * | 2013-12-27 | 2015-07-02 | Avaya Inc. | Controlling access to traversal using relays around network address translation (turn) servers using trusted single-use credentials |
| WO2015179508A1 (en) * | 2014-05-20 | 2015-11-26 | Amazon Technologies, Inc. | Low latency connections to workspaces in a cloud computing environment |
| US20160132214A1 (en) * | 2014-11-11 | 2016-05-12 | Amazon Technologies, Inc. | Application delivery agents on virtual desktop instances |
| CN104753930A (zh) * | 2015-03-17 | 2015-07-01 | 成都盛思睿信息技术有限公司 | 基于安全网关的云桌面管理系统及其安全访问控制方法 |
| US20190173888A1 (en) * | 2016-08-09 | 2019-06-06 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| WO2019041765A1 (zh) * | 2017-08-30 | 2019-03-07 | 华为技术有限公司 | 一种访问桌面云虚拟机的方法、装置及桌面云控制器 |
| US10848423B1 (en) * | 2018-09-26 | 2020-11-24 | Amazon Technologies, Inc. | Multi-account gateway |
| US20200280542A1 (en) * | 2019-02-28 | 2020-09-03 | Arris Enterprises Llc | Method to Anonymize Client MAC Addresses for Cloud Reporting |
| CN110061993A (zh) * | 2019-04-23 | 2019-07-26 | 新华三技术有限公司 | 一种包含公网出口地址的日志生成方法、装置及接入设备 |
| CN111327720A (zh) * | 2020-02-21 | 2020-06-23 | 北京百度网讯科技有限公司 | 一种网络地址转换方法、装置、网关设备及存储介质 |
| US20210288808A1 (en) * | 2020-03-13 | 2021-09-16 | Ebay Inc. | Secure token refresh |
| WO2022002069A1 (zh) * | 2020-06-29 | 2022-01-06 | 中兴通讯股份有限公司 | 访问网络的方法、媒体网关、电子设备及存储介质 |
| CN112311855A (zh) * | 2020-09-30 | 2021-02-02 | 新华三大数据技术有限公司 | 一种数据传输方法及装置 |
| CN112583599A (zh) * | 2020-11-26 | 2021-03-30 | 新华三大数据技术有限公司 | 通信方法及装置 |
| CN113395272A (zh) * | 2021-06-09 | 2021-09-14 | 广东省城乡规划设计研究院有限责任公司 | 一种基于数据安全的远程办公系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈经途;陈发;唐坤军;郑志新;: "基于云桌面的内网信息安全管理系统实现", 福建电脑, no. 10 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023165321A1 (zh) * | 2022-03-03 | 2023-09-07 | 阿里巴巴(中国)有限公司 | 用于云桌面的通信方法及系统 |
| CN115426313A (zh) * | 2022-08-31 | 2022-12-02 | 中电云数智科技有限公司 | 一种基于ovn虚机网络的nat优化装置和方法 |
| CN115426313B (zh) * | 2022-08-31 | 2023-08-18 | 中电云数智科技有限公司 | 一种基于ovn虚机网络的nat优化装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023165321A1 (zh) | 2023-09-07 |
| CN114915420B (zh) | 2024-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023165321A1 (zh) | 用于云桌面的通信方法及系统 | |
| US9740516B1 (en) | Virtual network protocol | |
| RU2542911C2 (ru) | Установление однорангового сеанса с малым временем ожидания | |
| US9203807B2 (en) | Private cloud server and client architecture without utilizing a routing server | |
| US11909712B2 (en) | Network address translation for virtual machines | |
| US9077709B1 (en) | Method for authenticated communications incorporating intermediary appliances | |
| US10237253B2 (en) | Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server | |
| US10601810B2 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| US9154487B2 (en) | Registration server, gateway apparatus and method for providing a secret value to devices | |
| WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| US8949411B2 (en) | Determining whether a device is inside a network | |
| US9935930B2 (en) | Private and secure communication architecture without utilizing a public cloud based routing server | |
| CN111226418B (zh) | 针对跨网络周边防火墙的设备使能零接触引导 | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| TWI632465B (zh) | 利用公有雲端網路的方法、私有雲端路由伺服器及智慧型裝置客戶端 | |
| WO2018072650A1 (zh) | 移动终端与iptv进行交互的实现方法、装置及平台 | |
| US20210234835A1 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| CN114844663B (zh) | 一种桌面共享方法、系统、存储介质及设备 | |
| CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及系统 | |
| TWI537744B (zh) | 不利用公用雲端型路由伺服器之私有雲端路由伺服器、私有網路服務及智慧型裝置客戶端架構 | |
| TWI629598B (zh) | 利用公有雲端網路的方法、私有雲端路由伺服器及智慧型裝置客戶端 | |
| WO2016206554A1 (zh) | 数据接收、发送的方法及装置 | |
| WO2023241331A1 (zh) | 物联网系统及其认证与通信方法、相关设备 | |
| US20140201262A1 (en) | User device, communication server and control method thereof | |
| WO2020029954A1 (zh) | 业务请求、协商、响应方法、装置及网络设备、系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |