(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210209649.9 (22)申请日 2022.03.03 (71)申请人 阿里巴巴 （中国） 有限公司 地址 310052 浙江省杭州市滨江区长河街 道网商路69 9号4号楼5楼5 08室 (72)发明人 文敢　向亚　严力科　庞雄伟　 何旻　彭成　 (74)专利代理 机构 北京展翼知识产权代理事务 所(特殊普通 合伙) 11452 专利代理师 屠长存 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 61/2503(2022.01) G06F 9/451(2018.01) (54)发明名称 用于云桌 面的通信方法及系统 (57)摘要 本公开涉及一种用于云桌面的通信方法及 系统。 用于为客户端提供云桌面实例的服务端是 基于云资源构建的。 利用云资源中的鉴权服务生 成客户端的访问令牌。 确定DNAT映射信息， DNAT 映射信息用于表征服务端的私网地址与云资源 中与服务端关联的NAT网关的公网地址之间的映 射关系。 将访问令牌和DNAT映射信息发送给客户 端， 以便客户端基于访问令牌和DNAT映射信息与 服务端建立连接， 以访问云桌面实例。 由此， 通过 与云资源深度融合， 使 得在云桌面实例的桌面串 流场景下具备轻量、 安全以及无需搭建STUN/ TURN服务等优点。 权利要求书2页 说明书10页 附图3页 CN 114915420 A 2022.08.16 CN 114915420 A 1.一种用于云桌面的通信方法， 其中， 用于为客户端提供云桌面实例的服务端是基于 云资源构建的， 该 方法包括： 利用云资源中的鉴权服 务生成客户端的访问令牌； 确定DNAT映射信息， 所述DNAT映射信息用于表征所述服务端的私网地址与云资源中与 所述服务端关联的NAT网关的公网地址之间的映射关系； 将所述访问令牌和所述DNAT映射信 息发送给所述客户端， 以便所述客户端基于所述访 问令牌和所述DNAT映射信息与所述 服务端建立连接， 以访问所述云桌 面实例。 2.根据权利要求1所述的方法， 还 包括： 提供资源管理装置， 所述资源管理装置用于为所述 客户端提供资源管理服 务， 其中， 将所述访问令牌和所述DNAT映射信息发送给所述客户端 的步骤包括： 将所述访 问令牌和/或所述DNAT映射信息发送给所述资源管理装置， 由所述资源管理装置将所述访 问令牌和/或所述DNAT映射信息发送给 所述客户端。 3.根据权利要求1所述的方法， 还 包括： 提供开放式接口， 所述 开放式接口用于提供DNAT映射信息查询服 务， 其中， 将所述访问令牌和所述DNAT映射信息发送给所述客户端 的步骤包括： 响应于接 收到所述客户端通过所述开放式接口发送的DNAT映射查询请求， 将所述DNAT映射信息发送 给所述客户端。 4.根据权利要求1所述的方法， 其中， 利用云资源中的鉴权服务生成客户端的访问令牌 的步骤包括： 响应于接收到客户端发送的针对云桌面实例的访问请求， 由云资源中的鉴权服务对所 述客户端的身份合法性进行 校验； 若校验结果 为所述客户端的身份合法， 则生成访问令牌。 5.根据权利要求1所述的方法， 其中， 在将所述访 问令牌发送给所述客户端之前， 该方 法还包括： 由所述鉴权服务生成密钥对， 所述密钥对 包括公钥和私钥； 将所述公钥发送到与所述云桌 面实例对应的信令服 务； 使用私钥对所述访问令牌进行签名， 其中， 将所述访问令牌和所述DNAT映射信息发送给所述客户端 的步骤包括： 将签名后 的访问令牌发送给 所述客户端。 6.根据权利要求5所述的方法， 还 包括： 响应于所述客户端基于所述DNAT映射信息和所述访 问令牌针对信令服务发起的信令 流程， 由所述信令服 务基于所述公钥对所述访问令牌的合法性进行 校验； 若校验结果为所述访问令牌合法， 则通过所述信 令服务将所述DNAT映射信息传递给所 述服务端， 并执行信令流程， 以对所述客户端与所述服务端之间进行连接所涉及的参数进 行协商。 7.根据权利要求6所述的方法， 还 包括： 在所述信令流程执行完毕之后， 响应于所述客户端发起针对所述服务端的访 问请求， 所述服务端将云桌面实例数据发送给所述客户端， 并且/或者获取所述客户端发送的针对 所述云桌 面实例的操作数据和/或本地采集数据。权　利　要　求　书 1/2 页 2 CN 114915420 A 28.一种用于云桌 面的通信系统， 包括： 客户端； 基于云资源构建的服 务端， 用于为 客户端提供云桌 面实例； 鉴权装置， 用于生成所述 客户端的访问令牌； 以及 NAT网关， 用于为所述 服务端提供网络地址转换服 务， 所述客户端获取所述访问令牌和DNAT映射信息， 并基于所述访问令牌和所述DNAT映射 信息与所述服务端建立连接， 其中， 所述DNAT映射信息用于表征所述服务端的私网地址与 所述NAT网关的公网地址之间的映射关系。 9.根据权利要求8所述的系统， 还 包括： 资源管理装置， 所述资源管理装置用于获取所述访问令牌和DNAT映射信息， 并将所述 访问令牌和所述DNAT映射信息发送给 所述客户端。 10.根据权利要求9所述的通信系统， 其中， 所述通信系统还包括网络管理装置， 所述网络管理装置用于确定所述DNAT映射信息， 并将所述DNAT映射信息发送给 所述资源管理装置， 或者 所述通信系统还包括开放式接口， 所述开放式接口用于提供DNAT查询服务， 以便所述 资源管理装置或所述 客户端通过 所述开放式接口获取 所述DNAT映射信息 。 11.一种计算设备， 包括： 处理器； 以及 存储器， 其上存储有可执行代码， 当所述可执行代码被所述处理器执行时， 使所述处理 器执行如权利要求1至7中任何一项所述的方法。 12.一种计算机程序产品， 包括可执行代码， 当所述可执行代码被电子设备的处理器执 行时， 使所述处 理器执行如权利要求1至7中任何一项所述的方法。 13.一种非暂时性机器可读存储介质， 其上存储有可执行代码， 当所述可执行代码被电 子设备的处 理器执行时， 使所述处 理器执行如权利要求1至7中任何一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114915420 A 3