(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211058659.3 (22)申请日 2022.08.30 (71)申请人 新华三技术有限公司 地址 310052 浙江省杭州市滨江区长河路 466号 (72)发明人 王晖　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/08(2022.01) H04L 67/141(2022.01) (54)发明名称 云桌面访问方法、 零信任网关、 云桌面客户 端和服务端 (57)摘要 本发明提供一种云桌面访问方法、 零信任网 关、 云桌面客户端和服务端， 用于解决基于零信 任网络安全框架实现云桌面系统的技术问题。 本 发明通过安全认 证门户启动云桌面客户端， 由安 全认证门户将云桌面用户的认证信息传入云桌 面客户端， 云桌面客户端在与云桌面服务端建立 控制连接和数据连接时， 在连接请求报文和登录 请求报文中携带安全认证门户传入的认证信息。 零信任网关从请求报文中提取认证信息进行认 证并转发给云桌面服务端。 云桌面服务端、 零信 任网关及安全认证门户都使用统一的安全认证 中心进行认证。 通过本发明能够实现零信任网络 安全框架与云桌面基础框架的融合， 实现云桌面 的单点登录， 提高云桌 面系统的安全性。 权利要求书3页 说明书11页 附图1页 CN 115499177 A 2022.12.20 CN 115499177 A 1.一种云桌 面访问方法， 其特 征在于， 该 方法应用于云桌 面客户端， 该 方法包括： 在所述云桌面客户端启动 时， 接收由安全认证门户传入的认证信息； 所述认证信息来 自于零信任网络安全框架中的安全认证中心； 在所述云桌面客户端与云桌面服务端交互以建立控制连接和数据连接的过程中， 在交 互的报文中携带 所述认证信息以使零信任网关对交 互的报文 进行认证。 2.根据权利要求1所述的方法， 其特征在于， 所述云桌面客户端与云桌面服务端交互以 建立控制连接和数据连接的过程包括： 所述云桌面客户端向所述云桌面服务端发送连接请求， 在所述连接请求的报文中包括 扩展字段， 所述扩展字段中携带所述认证信息； 所述认证信息用于零信任网关通过所述安 全认证中心对所述连接请求进行认证； 所述云桌面客户端接收所述零信任网关转发的由所述云桌面服务端发送的连接应答 以建立与所述云桌 面服务端的连接 。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 所述云桌面客户端通过所述控制连接向所述云桌面服务端发送登录请求以登录所述 云桌面服务端； 在所述登录请求的内容字段中携带所述认证信息以使 所述云桌面服务通过 所述安全认证中心对所述认证信息进行认证； 接收所述云桌 面服务端发送的登录应答， 从登录应答中获取云桌 面列表； 所述云桌 面客户端建立与所述云桌 面列表中的选 定云桌面的连接 。 4.根据权利要求3所述的方法， 其特征在于， 所述云桌面客户端包括客户端主模块和客 户端子模块， 所述云桌 面服务端包括虚拟化管理平台和虚拟化内核平台； 所述云桌 面客户端建立与所述云桌 面列表中的选 定云桌面的连接方法为： 所述客户端主模块从所述云桌 面列表中获取选 定云桌面的云桌 面信息； 所述客户端主模块启动用于连接所述选定云桌面的客户端子模块， 并将选定云桌面的 云桌面信息和认证信息传入所述 客户端子模块； 所述客户端子模块基于云桌面信息和认证信息建立与所述虚拟化管理平台之间的控 制连接， 以及建立与位于所述虚拟化内核平台 中的选定云桌面的数据连接 。 5.根据权利要求4所述的方法， 其特征在于， 在所述云桌面客户端与云桌面服务端交互 以建立控制连接的过程包括： 所述客户端主模块向所述虚拟化管理平台发送的第一连接请求以建立与所述虚拟化 管理平台之间的连接的过程； 以及 所述客户端子模块基于云桌面信息和认证信息向所述虚拟化管理平台发送的第二连 接请求以建立与所述虚拟化管理平台之间的控制连接的过程； 其中， 在所述第一连接请求和第二连接请求报文中都包括所述扩展字段。 6.一种零信任云桌 面访问方法， 其特 征在于， 该 方法应用于零信任网关， 该 方法包括： 接收云桌面客户端向云桌面服务端发送的控制连接请求， 从所述控制连接请求中提取 认证信息， 通过零信任网络安全框架中的安全认证中心对所述控制连接请求进行认证， 认 证成功后放行 所述控制连接请求； 接收云桌面客户端通过已建立的与所述云桌面服务端之间的连接向所述云桌面服务 端发送的登录请求， 将所述登录请求 转发给所述云桌 面服务端；权　利　要　求　书 1/3 页 2 CN 115499177 A 2接收云桌面客户端向云桌面服务端发送的用于连接选定云桌面的虚拟桌面协议连接 请求， 从所述虚拟桌面协议连接请求中提取认证信息， 通过零信任网络安全框架中的安全 认证中心对所述虚拟桌面协 议连接请求进 行认证， 认证 成功后放行所述虚拟桌面协 议连接 请求。 7.根据权利要求6所述的方法， 其特征在于， 所述接收云桌面客户端向云桌面服务端发 送的控制连接请求包括： 接收云桌面客户端的客户端主模块向云桌面服务端的虚拟化管理平台发送的第一连 接请求； 和 接收云桌面客户端的客户端子模块向云桌面服务端的虚拟化内核平台发送的第二连 接请求； 其中， 在所述第一连接请求和第二连接请求的报文中都包括扩展字段， 所述扩展字段 中携带所述认证信息 。 8.根据权利要求1至7中任一项所述的方法， 其特征在于， 所述认证信 息中至少包括： 用 户令牌、 应用令牌。 9.根据权利要求8所述的方法， 其特征在于， 所述认证信 息中还包括报文转发的目的IP 地址和目的端口两个字段。 10.一种云桌面客户端， 其特征在于， 所述云桌面客户端包括客户端主模块和客户端子 模块； 所述客户端主模块用于在所述云桌面客户端启动时， 获取由安全认证门户传入的认证 信息； 所述认证信息来自于零信任网络安全框架中的安全认证中心； 所述客户端主模块还用于向云桌面服务端的虚拟化管理平台发送的第一连接请求以 建立与所述虚拟化管理平台之 间的第一控制连接； 通过所述第一控制连接向所述云桌面服 务端发送登录请求以登录所述云桌面服务端； 在所述登录请求内容字段中携带所述认证信 息； 所述客户端主模块还用于接收所述虚拟化管理平台发送的登录应答， 从登录应答中获 取云桌面列表； 从所述云桌面列表中获取选定云桌面的云桌面信息； 启动用于连接所述选 定云桌面的客户端子模块， 并将选定云桌面的云桌面信息和认证信息传入 所述客户端子模 块； 所述客户端子模块用于基于云桌面信息和认证信息向所述虚拟化管理平台发送的第 二连接请求以建立与所述虚拟化管理平台之间的第二控制连接； 以及向所述云桌面服务端 的虚拟化内核平台发送虚拟桌面协议连接请求以建立与位于所述云桌面服务端的虚拟化 内核平台 中的选定云桌面的数据连接； 在所述第一连接请求和第 二连接请求的报文中都包括扩展字段， 所述扩展字段中携带 所述认证信息 。 11.根据权利要求10所述的云桌 面客户端， 其特 征在于， 所述认证信息中至少包括： 用户令牌、 应用令牌； 或 所述认证信息中至少包括： 用户令牌、 应用令牌、 报文转发的目的IP地址和目的端口两 个字段。 12.一种零信任网关， 其特 征在于， 所述 零信任网关包括：权　利　要　求　书 2/3 页 3 CN 115499177 A 3