即时消息传输的方法、装置和计算机设备与流程

1.本技术涉及通信技术领域，特别涉及一种即时消息传输的方法、装置和计算机设备。


背景技术：

2.随着云服务的发展，企业的业务逐渐迁移至数据中心，数据中心以服务形式向企业提供业务服务，例如，数据中心可以向企业提供即时消息服务，也就是将即时消息的服务端部署在数据中心，以便减轻企业的维护工作量，上述迁移过程也可以称为即时消息的云化部署。即时消息(instant messaging，im)服务是一种通过网络进行用户/组织间实时通信的服务，允许两个或多个用户(或者组织)使用支持即时消息服务的工具或应用传输包括文字、文件、图像、语音或视频等形式的消息。但是，由于即时消息的客户端和服务端分别部署在企业所在私有网络(也可以称为局域网)和数据中心所在公共网络中，即时消息的传输过程需要跨越私有网和公共网络，存在即时消息内容被暴力破解，影响用户数据安全的问题。因此，如何提供一种安全的即时消息传输方法成为亟待解决的技术问题。


技术实现要素：

3.本技术提供了一种即时消息传输的方法、装置和计算机设备，以此提供一种更安全的即时消息传输的方法，提升用户数据的安全性。
4.第一方面，提供一种即时消息的传输方法，该方法包括：边缘节点先获取第一客户端发送的即时消息；再将即时消息划分为消息数据和信令数据，其中，消息数据用于指示所述第一客户端向第二客户端传输的内容，信令数据用于验证所述第一客户端归属用户的安全性；然后，按照预设规则向所述第二客户端传输所述即时消息。通过上述方法，在组织中设置边缘节点，将涉及敏感数据的即时消息的消息数据存储至边缘节点，无需将消息数据传输至数据中心，提高了即时消息传输和存储的安全性。
5.在一种可能的实现方式中，边缘节点预设属性标签列表，其中，属性标签用于标识第一客户端归属用户、第一客户端归属用户所在组织中至少一种的敏感度。通过属性标签，可以预设用户和/或组织的敏感度，在即时消息传输过程中，边缘节点可以依据该预设属性列表确定即时消息的敏感度，进而选择将敏感类用户和/或敏感类组织的消息数据存储至边缘节点，使得消息数据不涉及局域网和公共网络的传输，保证用户数据的安全性。
6.在另一种可能的实现方法中，当预设属性标签中存在第一客户端归属用户的用户标识时，边缘节点将即时消息的消息数据存储至边缘节点；当预设属性标签中不存在第一客户端归属用户的用户标识时，边缘节点将即时消息的消息数据上传至数据中心；其中，用户标识用于全局唯一标识一个用户。通过上述方法的描述，边缘节点可以识别敏感类用户和普通用户，将敏感类用户发送的即时消息存储在边缘节点中，提升敏感类用户的即时消息传输和存储的安全性。
7.在另一种可能的实现方法中，当预设属性标签中存在第一客户端归属用户所在组
织的标识时，边缘节点将即时消息的消息数据存储至边缘节点；当预设属性标签中不存在第一客户端归属用户所在组织的标识时，边缘节点将即时消息的消息数据上传至数据中心存储。通过上述方法的描述，边缘节点可以识别敏感类组织和非敏感类组织，将敏感类组织的即时消息存储至边缘节点，保证敏感类组织的即时消息传输和存储的安全性。
8.在另一种可能的实现方法中，边缘节点还可以检索消息数据是否包括敏感字段和/或预设格式，其中，预设格式包括文字、视频、语音中至少一种；并根据检索结果执行即时消息的传输。
9.在另一种可能的实现方式中，当检索消息数据存在敏感字段和/或格式时，边缘节点识别即时消息为敏感类即时消息，将该即时消息的消息数据存储至边缘节点；当消息数据不存在敏感字段和/或格式时，边缘节点将即时消息标识为普通类即时消息，将该即时消息的消息数据上传至数据中心存储。通过上述方法的描述，可以根据消息数据中所包含的内容识别即时消息的敏感度，将敏感类即时消息存储至边缘节点，提升包含敏感字段和/或格式的消息数据的安全性。
10.在另一种可能的实现方式中，边缘节点将消息数据存储至边缘节点的存储器，并周期性清理存储器中存储的数据。由于边缘节点被设置于组织内部，同一组织中使用局域网实现客户端和边缘节点的通信连接，将消息数据存储在边缘节点中，可以有效地提升即时消息存储的安全性。此外，周期性更新边缘节点中存储的消息数据，有利于存储空间的有效利用。
11.在另一种可能的实现方式中，在边缘节点获取第一客户端发送的消息数据之前，边缘节点可以获取第一客户端的消息索引，其中，消息索引用于指示第一客户端所发送即时消息的顺序的标识。边缘节点向数据中心发送消息索引，以指示数据中心向第二客户端发送该消息索引；再接收第二客户端发送的消息索引，然后，向第二客户端发送消息数据。通过上述方法的描述，利用消息索引标识即时消息的顺序，第二客户端可以依据该消息索引准确地获取到对应的消息数据，提高了即时消息传输过程的效率。
12.在另一种可能的实现方式中，在边缘节点按照预设规则向第二客户端传输即时消息之前，边缘节点还可以向数据中心发送指令数据；再接收数据中心对根据指令数据对第一客户端身份的验证结果；当第一客户端身份验证结果为成功时，按照预设规则向第二客户端发送即时消息。通过上述方法的描述，本技术提供的即时消息传输方法可以验证第一客户端的安全性，能够降低非登录用户进行操作的风险，提高了即时消息传输的安全。
13.第二方面，本技术提供一种即时消息的传输装置，所述传输装置包括用于执行第一方面或第一方面任一种可能实现方式中的即时消息传输方法的各个模块。
14.第三方面，本技术提供一种即时消息的传输系统，所述传输系统包括边缘节点和数据中心。边缘节点和数据中心分别用于实现如上述第一方面及第一方面任意一种可能实现方式中相应主体所执行的方法的操作步骤。通过上述即时消息的传输系统，在组织中设置边缘节点，将第一客户端发送的即时消息的消息数据存储在边缘节点中，提高了第一客户端与第二客户端之间即时消息传输和存储的安全性。
15.第四方面，本技术提供一种计算机设备，所述计算机设备包括处理器和内存，所述内存中用于存储计算机执行指令，所述计算机设备运行时，所述处理器执行所述内存中的计算机执行指令以利用所述计算机设备中的硬件资源执行第一方面或第一方面任一种可
能实现方式中所述方法的操作步骤。
16.第五方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面任一种可能实现方式中所述方法的操作步骤。
17.第六方面，本技术提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行第一方面或第一方面任一种可能实现方式中所述方法的操作步骤。
18.本技术在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。
附图说明
19.图1是本技术实施例提供的一种即时消息通信系统100的结构示意图；
20.图2是本技术实施例提供的一种即时消息通信方法200的流程示意图；
21.图3是本技术实施例提供的一种即时消息通信装置300的结构示意图；
22.图4是本技术实施例提供的一种计算机设备400的结构示意图。
具体实施方式
23.下面结合附图对本技术提供的即时消息传输的方法、装置和设备作详细描述。
24.本技术所涉及的即时消息可以被区分为消息数据和信令数据。其中，消息数据用于指示用户所需向其他用户或组织发送的具体内容；而信令数据则用于指示除了消息数据以外的部分，例如，用户名、用户账号、用户密码或者消息中指定的接收方的用户标识(identifier,id)等。即时消息的传输协议包括可扩展的信息和呈现协议(extensible messaging and presence protocol，xmpp)、可扩展通讯和表示协议(extensible messaging and presence protocol，empp)或会晤初始化协议的即时消息和呈现业务扩展(session initiation protocol for instant messaging and presence leveraging extensions，simple)，也可以是自定义的基于传输控制协议(transmission control protocol，tcp)或用户数据报协议(user datagram protocol，udp)。
25.图1为本技术实施例提供的一种即时消息通信系统100的结构示意图，如图所示，系统100包括数据中心101、网络102、边缘节点(例如，图1中边缘节点1031和边缘节点1032)和客户端104-108，数据中心101、边缘节点103以及客户端104-108通过网络102进行通信。其中，数据中心101是指实现即时消息服务的系统，该系统包括多个设备，例如，图1中设备1011-设备1013。具体地，数据中心101中可以包括用于实现计算功能的设备(例如，服务器)、存储(例如，存储阵列)功能的设备和网络(例如，交换机)功能的设备。网络102包括有线或无线的传输方式，其中，有线的传输方式包括利用以太、光纤等形式进行数据传输，无线传输方式包括移动热点(wi-fi)、蓝牙、红外等传输方式。具体实施过程中，可以利用一个或多个交换机和/或路由器实现数据中心101和组织的通信连接。
26.应当理解，数据中心101中设备的数量并不构成对本技术的限定，图1仅以数据中心包括三台设备为例进行说明。另外，对于数据中心中设备的类型、虚拟化管理方式本技术也不作限定。
27.边缘节点，用于识别敏感度标识、区分即时消息中消息数据和指令数据、存储和转
发客户端即时消息等功能。具体实施中，边缘节点1031可以是部署在服务器中的软件模块，也可以是一台服务器，还可以是由若干台服务器组成的服务器集群，或者是一个云计算服务中心，本技术实施例对此不做限定。其中，服务器也称伺服器，是提供计算服务的设备。在本技术实施例中，所述服务器可以是x86服务器，x86服务器又称复杂指令集(complex instruction set computer，cisc)架构服务器，即通常所讲的个人计算机(personal computer，pc)服务器，它是基于pc机体系结构，使用英特尔或其它兼容x86指令集的处理器芯片和操作系统的服务器。
28.边缘节点还可以用于接收组织内或组织外的客户端发送的消息。例如，边缘节点1031可以接收组织1内客户端1041、客户端1042发送的消息，还可以接收组织1以外客户端1043发送的消息。
29.图1所示的即时消息通信系统中还包括一个或多个组织，同一组织中使用局域网实现客户端和边缘节点的通信连接，其中，局域网(也可以称为私有网络)是指一种在有限的地理范围内将多个设备互连实现数据传输和资源共享的计算机网络。每个组织可以是一个企业，也可以是同一企业的一个部门，还可以是一个团体。每个组织可以设置一个边缘节点，用于实现即时消息的安全传输和存储。
30.可选地，除了图1所示每个组织设置一个边缘节点外，多个组织也可以组成组织群，通过同一个边缘节点或多个边缘节点组成的集群实现即时消息的安全处理。
31.每个组织包括一个或多个用户，每个用户通过客户端与其他用户进行消息交互。一个用户可以关联一个或多个用于发送和接收即时消息的客户端。同时，一个客户端也可以被一个或多个用户使用，但同一时刻只能被一个用户使用。例如，组织1的用户1052使用部署在组织1内客户端1042与其他用户进行通信，或者，组织1的用户1052也可以使用部署在组织外部的客户端1043与其他用户进行通信，例如，用户1052在家或出差过程中使用客户端1043与其他用户进行通信。当用户通过客户端与其他用户通信时，该用户也可以称为该客户端的归属用户。客户端是部署在设备中的代理程序，用于实现不同用户之间即时消息的发送和接收。部署客户端的设备可以为服务器、智能设备(例如，智能终端、平板电脑等)、个人电脑(personal computer,pc)。另外，部署了客户端的设备可以是相同类型的通信设备，也可以是不同的通信设备，本技术对此不做限定。
32.可选地，除了归属于组织的用户外，还存在不属于任何组织的用户，这类用户也可以称为独立用户。独立用户可以通过选择接入任意组织内的边缘节点，实现该用户归属的客户端利用该边缘节点实现即时消息安全处理的功能。其中，独立用户归属的客户端选择边缘节点的方式包括根据物理距离就近选择、随机选择和指定选择。例如，图1中用户1053为独立用户，客户端1043为用户1053归属的客户端，客户端1043可以选择与之进行消息传输的用户所在的组织1的边缘节点1031实现即时消息的传输。
33.由于即时消息服务部署在数据中心后，涉及即时消息的消息数据需要跨局域网和公共网络进行传输，此外，即时消息的消息数据还会存储在数据中心，而依据于不同组织对数据安全需求的不同，可以按照以下方式中至少一种，根据敏感度将组织、用户、即时消息划分不同类别。
34.方式一，根据组织的敏感度的不同将组织划分为敏感类组织和普通类组织。
35.敏感类组织，需要对组织内用户发送即时消息的消息数据进行保护，不将即时消
息的消息数据存储在数据中心。例如，涉及核心关键技术的组织可以归属于敏感类组织。除上述敏感类组织以外的组织均可以称为普通类组织。对于普通类组织，则无需对组织内用户发送即时消息的消息数据进行保护。
36.方式二，根据用户的敏感度将用户划分为敏感类用户和普通类用户。
37.敏感类用户，是指根据用户的属性将用户区分为不同安全级别，高安全级别的用户可能涉及敏感数据的发送和接收。例如，对于掌握核心商业信息的用户可以归属为敏感类用户。其中，用户的属性包括用户在组织中职位、工作性质(例如，是否涉及核心技术等)等涉及标识用户特征的信息。除上述敏感类用户以外的用户均可以称为普通类用户。
38.方式三，根据即时消息的消息数据将即时消息划分为敏感类即时消息和普通类即时消息。
39.也就是说，消息数据如果含有敏感内容，例如，带有“密码”、“账号”、或“客户身份信息”等敏感字段，或者，消息数据中包括用于指示预设格式(例如，图片)，则携带该消息数据的即时消息属于敏感类即时消息。除上述敏感类消息数据以外消息数据均可以称为普通类消息数据。具体实施中，敏感内容可以由各个组织或维护人员通过数据中心的管理节点预先配置，并发送至边缘节点，以便边缘节点可以根据预设的敏感字段或预设格式标识即使消息的敏感度，进而按照该敏感度完成即时消息的传输。
40.上述对组织、用户的分类方式仅为一种示例，具体实施过程中还可以根据业务需求细化分类方式和分类规则，并按照分类结果执行即时消息的传输。
41.值得说明的是，图1所示的即时消息通信系统架构仅仅是为了更好的说明本技术所提供的即时消息通信方法所提供的系统架构的示例，并不构成对本技术实施例的限定。
42.本技术提供一种即时消息通信方法，在将即时消息服务迁移至数据中心统一部署后，引入边缘节点，由边缘节点将用户发送的即时消息区分为消息数据和指令数据，并根据发送消息的企业组织的敏感度，或发送消息的用户的敏感度，或即时消息的敏感度，按照预设规则执行即时消息的传输处理，由此提升即时消息传输过程中的安全性。
43.接下来，基于图1所示系统，进一步结合图2详细介绍本技术提供的即时消息通信的方法。图2为本技术提供的一种即时消息通信方法的流程示意图，以第一客户端向第二客户端发送即时消息，实现第一客户端归属用户向第二客户端归属用户发送即时消息为例进一步介绍本技术所要保护的技术方案。该方法包括初始化和消息传输两个阶段，如图所示，具体方法包括：
44.s201、第一客户端向数据中心发送用户信息。
45.s202、数据中心向第一客户端发送用户标识和令牌。
46.用户在利用客户端传输即时消息前，需要先完成用户在数据中心的初始化过程，包括用户登录和边缘节点配置。用户登录过程参见步骤s201至s202的描述，边缘节点配置则可以参见步骤s203至s204的描述。
47.每个用户可以通过其所在客户端向数据中心101发送用户信息，进而完成用户在即时消息服务的登录操作，数据中心101可以为用户分配唯一的用户标识，并保存用户的用户信息。用户标识为数据中心101根据用户登录顺序或者用户信息为每一位用户生成的编号，通常由数字和/或字母组成，例如00001或者sz000001。数据中心101还可以为用户生成一个令牌(token)，将该令牌返回给对应的客户端，以便在后续即时消息传输过程中，利用
该令牌完成该用户的身份校验。可选地，数据中心101还可以周期性为每个用户生成一个令牌，用以提升用户身份校验的安全性。令牌也可以称为鉴权标识。可选地，除了使用令牌外，数据中心还可以利用其他形式验证用户身份。
48.用户信息包括但不限于下述数据中的一种或者多种：用户名、用户昵称、用户账号、用户密码、用户所属职位名称、用户所属组织名称。在本技术实施例中，客户端可以为用户提供登录界面，用户可以通过登录界面的输入框输入用户信息，以此向数据中心进行登录。
49.可选地，用户登录的过程，除了用户通过客户端向数据中心发送用户信息进行登录外，登录的过程还可以是第一客户端向数据中心发送用户的联系方式(例如，手机号或邮箱)，由数据中心向第一客户端发送验证码，再由用户通过客户端输入验证码向数据中心进行验证，由此能够降低他人冒充目标用户进行操作的风险，提升通信安全。
50.s203、第一客户端向数据中心发送边缘节点配置命令。
51.s204、数据中心向第一客户端返回边缘节点地址。
52.用户通过客户端登录即时消息服务之后，数据中心还需为客户端配置一个边缘节点，用于传输和存储该客户端发送的即时消息。根据用户类型的不同，配置方法可以采用以下方法中任意一种：
53.方法一：当第一客户端归属用户具有归属组织时，由数据中心直接根据用户所属组织名称检索部署于该组织内的边缘节点，并向第一客户端返回该边缘节点的互联网协议(internet protocol，ip)地址。
54.方法二：当第一客户端归属用户为独立用户时，数据中心可以选择就近的边缘节点实现该用户的即时消息的传输。具体地，客户端向数据中心发送配置命令，数据中获取该客户端的地理位置，再依据该地理位置选择与该第一客户端距离最近的边缘节点传输该用户的即时消息，并将所选择的边缘节点的ip地址发送给第一客户端。
55.可选地，用户还可以通过随机方式配置边缘节点，具体步骤包括：用户通过客户端发送随机选择命令给数据中心，数据中随机选择一个边缘节点作为该用户的边缘节点，并将所选择的边缘节点的ip地址发送给第一客户端。
56.可选地，客户端也可以不配置边缘节点，此时第一客户端直接向数据中心发送即时消息，由数据中心完成即时消息的传输过程。
57.通过上述操作过程，可以完成即时消息服务初始化阶段的处理，接下来，用户可以利用客户端通过与其匹配的边缘节点完成即时消息的传输和存储，该过程也可以称为消息传输阶段，具体包括：
58.s205、边缘节点获取第一客户端发送的即时消息。
59.客户端可以是图1中任意一个客户端，例如，客户端1041-1045中任意一个。
60.可选地，即时消息中还可以包括用户标识和/或组织名称，边缘节点可以根据属性标签中是否存在用户标识和/或组织名称判断即时消息的敏感度，详见步骤s206。
61.可选地，即时消息中还可以包括消息索引(index)，消息索引用于指示第一客户端发送消息的顺序标识。具体地，客户端在发送即时消息的时，数据中心会生成一个与该即时消息关联的消息索引，用于指示客户端所发送即时消息的顺序，在消息接收过程中，接收即时消息的客户端可以通过消息索引在该边缘节点中获取对应的消息数据。
62.此外，用户可以通过第一客户端向另一个客户端发送一条即时消息，此时，两个客户端的归属用户可以进行即时消息通信。另外，第一客户端的归属用户也可以同时向多个客户端的归属用户发送多条即时消息，此时，第一客户端的归属用户和其他客户端的归属用户之间可以通过即时消息进行通信。
63.s206、边缘节点识别即时消息的敏感度，并根据敏感度执行即时消息的传输。
64.边缘节点可以预设属性标签列表，属性标签用于标识客户端归属用户、客户端归属用户所在组织中至少一种的敏感度。边缘节点可以根据属性标签和即时消息中携带用户标识和/或组织名称判断即时消息的敏感度。
65.具体实施中，预设属性标签列表可以是企业规划阶段由维护人员根据需求设置，也可以是由用户预先指定的敏感度。此外，预设属性标签列表还可以根据业务需求动态调整，例如，根据企业或用户的敏感度、以及敏感字段或预设格式的变化，添加或删除预设属性标签中用户标识或组织名称。
66.示例地，表1为本技术实施例提供的一种预设属性标签列表，如表所示，用户标识和组织名称中至少一种均可以用于指示即时消息的敏感度。当预设属性标签列表中存在即时消息中包括的用户标识和/或组织名称时，该即时消息的敏感度为有效，边缘节点将该用户发送的即时消息中的消息数据存储至边缘节点。当预设属性标签列表中不存在即时消息中包括的用户标识和/或组织名称时，该即时消息的敏感度为无效，边缘节点将该用户发送的即时消息中消息数据上传至数据中心。例如，边缘节点中存储有两个阈值属性列表，预设属性列表1和预设属性列表2，预设属性列表1用于记录带有敏感度的用户标识，预设属性列表2则用于记录带有敏感度的组织名称。也就是说，当即时消息中包括用户标识为00001或组织名称为企业1、企业2时，该即时消息的敏感度为有效，此时，边缘节点会进一步将该即时消息划分为消息数据和指令数据，并将消息数据存储至边缘节点。
67.表1、预设属性标签列表1
68.用户标识0000100002000050001000021
69.表2、预设属性标签列表2
70.组织名称企业1企业2
71.可选地，边缘节点除了预设如表1和表2所示的属性标签列表外，还可以预设敏感字段或预设格式的列表，用于识别第一客户端归属用户发送的即时消息的敏感度，其中，敏感字段包括“密码”、“账号”、“电话”等涉及用户个人敏感信息的敏感字段；预设格式包括图片、音频、视频等格式中至少一种。
72.边缘节点还可以对即时消息进行检索，并根据检索结果执行即时消息的传输。具体地，当即时消息中存在敏感字段或敏感格式中任意一种时，该即时消息的敏感度为有效，
边缘节点将即时消息进一步划分为消息数据和指令数据，并将消息数据存储至边缘节点，利用指令数据向数据中心进行身份验证，并完成消息数据的传输过程。当即时消息中不存在敏感字段或敏感格式中任意一种时，该即时消息的敏感度为无效，边缘节点则将即时消息发送至数据中心，由数据中心完成即时消息的传输。
73.作为一种可能的实现方式，如果即时消息中同时包括用户标识和组织名称时，只要预设属性标签列表中存在其中一项，则认为该即时消息的敏感度有效。
74.下面具体解释边缘节点如何根据敏感度执行即时消息的传输的过程:
75.s2061、边缘节点按照预设规则向第二客户端传输即时消息。
76.第二客户端是即时消息的接收端，边缘节点可以根据预设规则将即时消息传输至第二客户端。其中，预设规则是指边缘节点可以根据预设属性标签的敏感度分别完成即时消息的传输，具体包括以下两种情况：
77.情况一：当即时消息的敏感度有效时，边缘节点将即时消息中消息数据存储至边缘节点。
78.情况二：当即时消息的敏感度无效时，边缘节点将即时消息发送至数据中心。
79.对于情况二，即时消息可以直接将即时消息发送至数据中心，由数据中心完成即时消息的传输。
80.可选地，对于情况二，为了进一步提升即时消息传输过程的安全性，也可以由边缘节点将即时消息划分为消息数据和指令数据，然后，将消息数据存储至边缘节点，并利用指令数据对第一客户端进行身份验证，再按照敏感度有效的处理过程完成即时消息的传输。
81.对于情况一，边缘节点在向第二客户端传输即时消息时，还需要利用即时消息中指令数据完成第一客户端的身份验证，具体过程包括：边缘节点向数据中心发送第一客户端携带的令牌；数据中心验证令牌的有效性，并向边缘节点发送验证结果；当第一客户端的身份验证成功后，边缘节点可以继续向第二客户端传输即时消息。详细过程如下：
82.s20611、数据中心通知第二客户端接收即时消息。
83.可选地，数据中心也可以将数据中心为即时消息生成的消息索引发送给第二客户端。
84.可选地，数据中心还可以将边缘节点的ip地址发送给第二客户端。
85.s20612、第二客户端向边缘节点发送消息索引，请求获取对应的消息数据，同时携带第二客户端归属用户的鉴权标识。
86.s20613、边缘节点根据第二客户端归属用户的鉴权标识验证第二客户端的安全性。
87.边缘节点验证第二客户端的安全性的过程与验证第一客户端的安全性的过程类似，也是通过向数据中心发送第二客户端归属用户的鉴权标识(例如，令牌)进行身份验证，为了简洁，在此不再赘述。
88.s20614、当第二客户端身份验证成功后，边缘节点向第二客户端发送消息数据。
89.通过上述过程的描述可知，本技术通过在局域网中增加边缘节点，由边缘节点识别即时消息的敏感度，按照不同敏感度完成即时消息的传输，保证敏感度有效的即时消息的消息数据仅存储在边缘节点，避免将敏感数据存储至数据中心过程中所带来的安全隐患，提升数据处理过程的安全性。进一步地，边缘节点可以将即时消息划分为消息数据和指
令数据，对敏感数据可以直接存储至边缘节点，不将消息数据传输至数据中心，减少了敏感数据在网络传输过程中被拦截而暴力破解的风险，也保证了即时消息服务传输过程中的安全性。
90.作为一种可能的实现方式，除了按照上述步骤s20611至s20614的过程传输即时消息外，边缘节点也可以根据即时消息中携带的第二客户端的标识确定第二客户端的ip地址，然后，通过第二客户端的ip地址传输即时消息。具体的，边缘节点可以向数据中心发送查询第二客户端的请求，该请求中携带第二客户端的标识，数据中心可以根据第二客户端的标识向边缘节点返回第二客户端的ip地址，以此实现边缘节点根据第二客户端的ip地址向第二客户端传输即时消息的过程。
91.作为一种可能的实现方案，本技术还提供一种图形用户界面(graphical user interface，gui)，该图形用户界面的程序可以部署在边缘节点和/或数据中心，为维护人员提供添加或更新组织、用户或敏感内容、预设格式的可视化界面，维护人员可以通过上述图形用户界面查看、修改预设属性标签。可选地，上述可视化界面还可以呈现带有索引标识的即时消息的敏感度识别结果，包括各个索引标识关联即时消息的敏感度是否有效和该即时消息的存储位置。
92.接下来，结合图1所示系统，分三种场景进一步解释本技术所要保护的技术方案。
93.场景一：归属于相同组织的两个用户之间进行即时消息传输。
94.在此场景中，边缘节点与第一客户端和第二客户端归属于同一个组织，两个用户之间通信流程与图2所示的流程类似，即时消息的传输过程由该组织中边缘节点识别即时消息的敏感度，并按照该敏感度执行即时消息的传输，为了简洁，在此不再赘述。
95.场景二：归属于不同组织的两个用户之间进行即时消息传输。
96.在此场景中每个组织可能设置一个边缘节点。例如，第一客户端与第一边缘节点归属于同一个组织，第二客户端与第二边缘节点归属于另一个组织。可选地，也可以仅在其中一个组织内设置边缘节点，由边缘节点实现第一客户端和第二客户端的即时消息传输。
97.当第一边缘节点和第二边缘节点分布设置于不同组织时，第一边缘节点向第二客户端传输即时消息的过程具体包括：
98.步骤1：第一边缘节点向数据中心发送索引消息。
99.步骤2：数据中心向第二边缘节点发送索引消息。
100.步骤3：第二边缘节点向第二客户端发送索引消息。
101.步骤4：第二客户端向第二边缘节点发送获取消息数据的请求，该请求中包括索引消息和第二客户端的鉴权标识。
102.步骤5：第二边缘节点根据第二客户端的鉴权标识向数据中心验证第二客户端的安全性。
103.步骤6：当第二客户端身份验证通过后，第二边缘节点向第一边缘节点发送消息索引。
104.步骤7：第一边缘节点根据消息索引向第二边缘节点发送即时消息的消息数据。
105.通过上述操作过程，第一客户端和第二客户端可以分别通过与其匹配的边缘节点完成身份验证和即时消息的传输，涉及敏感信息的消息数据并没有传输至数据中心，也没有在数据中心存储，保证即时消息的数据传输和存储过程的安全性。
106.场景三：归属于组织的用户与独立用户之间进行即时消息传输。
107.在此场景中存在两个边缘节点，一个部署于第一客户端归属用户所在组织中，另一个是数据中心为独立用户配置的边缘节点。当两个边缘节点恰巧为同一个节点时，两个用户之间通信流程与场景一的流程完全一致；当两个边缘节点不为同一个节点时，两个用户之间通信流程与场景二流程完全一致，在此不再赘述。
108.综上所述，本技术实施例提供的即时消息通信方法，可以在组织中部署边缘节点，边缘节点通过用户、组织和即时消息中消息数据三个维度中至少一种识别即时消息的敏感度，将敏感类用户、敏感类组织和敏感类即时消息的消息数据存储在边缘节点内部中，其他的消息数据才上传至数据中心存储。使得客户端与数据中心的消息交互过程中，数据中心不涉及接收和处理敏感内容，有效防止消息数据传输至数据中心过程中的泄露以及在数据中心中存储消息数据所带来的不稳定性，提升整个通信过程的安全性。
109.值得说明的是，对于上述方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制。
110.本领域的技术人员根据以上描述的内容，能够想到的其他合理的步骤组合，也属于本技术的保护范围内。其次，本领域技术人员也应该熟悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本技术所必须的。
111.上文中结合图1和图2，详细描述了根据本技术实施例所提供的即时消息的传输方法，下面将结合图3和图4，进一步介绍根据本技术实施例所提供的即时消息传输的装置和计算机设备。
112.图3为本技术提供的一种即时消息的传输装置300的示意图，包括获取单元310、处理单元320和传输单元330。
113.获取单元310，用于获取第一客户端发送的即时消息。
114.处理单元320，用于将获取单元310获取的即时消息划分为消息数据和信令数据，其中，消息数据用于指示第一客户端向第二客户端传输的内容，信令数据用于验证所述第一客户端归属用户的安全性。
115.传输单元330，用于按照预设规则向第二客户端传输所述即时消息。
116.应理解的是，本技术实施例的传输装置300可以通过专用集成电路(application-specific integrated circuit，asic)实现，或可编程逻辑器件(programmable logic device，pld)实现，上述pld可以是复杂程序逻辑器件(complex programmable logical device，cpld)，现场可编程门阵列(field-programmable gate array，fpga)，通用阵列逻辑(generic array logic，gal)或其任意组合。也可以通过软件实现图2所示的即时消息传输方法时，传输装置300及其各个模块也可以为软件模块。
117.可选地，处理单元320，还用于预设属性标签列表，所述属性标签用于标识所述第一客户端归属用户、所述第一客户端归属用户所在组织中至少一种的敏感度。
118.可选地，当所述属性标签用于标识所述第一客户端归属用户的敏感度时，所述传输单元330，还用于当所述预设属性标签中存在所述第一客户端归属用户的用户标识时，将所述即时消息的消息数据存储至所述边缘节点；以及，当所述预设属性标签中不存在所述第一客户端归属用户的用户标识时，将所述即时消息的消息数据上传至数据中心；其中，所述用户标识用于全局唯一标识一个用户。
119.可选地，当所述属性标签用于标识所述第一客户端归属用户所在组织的敏感度时，所述传输单元330，还用于当所述预设属性标签中存在所述第一客户端归属用户所在组织的标识时，将所述即时消息的消息数据存储至所述边缘节点；以及，当所述预设属性标签中不存在所述第一客户端归属用户所在组织的标识时，将所述即时消息的消息数据上传至数据中心存储。
120.可选地，所述处理单元320，还用于检索所述消息数据是否包括敏感字段和/或预设格式，所述预设格式包括文字、视频、语音中至少一种；并根据检索结果执行所述即时消息的传输。
121.可选地，所述处理单元320，还用于当所述消息数据存在敏感字段和/或格式时，识别所述即时消息为敏感类即时消息，所述传输单元330，还用于将所述即时消息的所述消息数据存储至所述边缘节点；以及，
122.所述处理单元320，还用于当所述消息数据不存在敏感字段和/或格式时，识别所述即时消息为普通类即时消息，所述传输单元330，还用于将所述即时消息的所述消息数据上传至数据中心存储。
123.可选地，传输装置300还包括存储单元340，用于将所述消息数据存储至所述边缘节点的存储器，并周期性清理所述存储器中存储的数据。
124.可选地，所述获取单元310，还用于在获取第一客户端发送的消息数据之前，获取所述第一客户端的消息索引，所述消息索引用于指示所述第一客户端所发送消息的顺序的标识；
125.所述传输单元330，还用于向所述数据中心发送所述消息索引，以指示所述数据中心向所述第二客户端发送所述消息索引；以及，接收所述第二客户端发送的所述消息索引，向所述第二客户端发送所述消息数据。
126.可选地，所述处理单元320，还用于在按照预设规则向所述第二客户端传输所述即时消息之前，向所述数据中心发送所述指令数据；接收所述数据中心对所述第一客户端身份验证结果；以及，当所述第一客户端身份验证结果为成功时，所述传输单元按照所述预设规则向所述第二客户端发送所述即时消息。
127.根据本技术实施例的传输装置300可对应于执行本技术实施例中描述的方法，并且传输装置300中的各个单元的上述和其它操作和/或功能分别为了实现图2中的各个方法的相应流程，为了简洁，在此不再赘述。
128.综上所述，本技术实施例提供的传输装置300，处理单元可以从多个维度，将敏感类用户和归属于敏感类组织的用户发送的即时消息，以及消息数据中包含敏感内容的即时消息识别出来，存储在存储单元中，减少了组织内部的敏感信息的泄露风险，增强整个通信过程和消息数据的安全性，可适用于具有敏感信息的组织内部通信或者与其他外部组织的通信的服务场景。
129.图4为本技术实施例提供的一种计算机设备400的示意图，如图所示，计算机设备400包括处理器401、存储器402、通信接口403总线404和内存405。其中，处理器401、存储器402、通信接口403、内存405通过总线404进行通信，也可以通过无线传输等其他手段实现通信。内存405用于存储计算机执行指令，处理器401用于执行内存405存储的计算机执行指令以实现下述操作步骤：
130.获取第一客户端发送的即时消息；
131.将所述即时消息划分为消息数据和信令数据，所述消息数据用于指示所述第一客户端向第二客户端传输的内容，所述信令数据用于验证所述第一客户端归属用户的安全性；
132.按照预设规则向所述第二客户端传输所述即时消息。
133.应理解，在本技术实施例中，该处理器401可以是cpu，该处理器401还可以是其他通用处理器、数字信号处理器(digital signal processing,dsp)、专用集成电路(application specific integrated circuit,asic)、现场可编程门阵列(field programmable gate array,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。
134.该存储器402可以包括只读存储器和随机存取存储器，并向处理器401提供指令和数据。存储器402还可以包括非易失性随机存取存储器。例如，存储器402还可以存储设备类型的信息。
135.该存储器402可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom,prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom,eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory,ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，sram)、动态随机存取存储器(dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data date sdram，ddr sdram)、增强型同步动态随机存取存储器(enhanced sdram,esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，dr ram)。
136.该总线404除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线404。
137.应理解，根据本技术实施例的计算设备400可对应于本技术实施例中的传输装置300，并可以对应于执行根据本技术实施例中图2所示的方法200中的相应主体，并且计算设备400中的各个模块的上述和其它操作和/或功能分别为了实现图中的各个方法的相应流程，为了简洁，在此不再赘述。
138.综上所述，本技术实施例提供的计算机设备，根据即时消息的敏感度将即时消息划分为消息数据和消息信令，存储即时消息敏感度有效的消息数据至边缘节点，保护了这类消息的传输和存储始终位于组织的局域网范围内中，减少了敏感度有效的即时消息的消息数据传输至数据中心过程中所带来的泄露风险，提升了即时消息传输过程中的安全性。
139.本技术还提供一种即时消息的传输系统，包括边缘节点和数据中心。边缘节点和数据中心分别用于实现上述传输装置或计算机设备中相应主体所执行的方法的操作步骤。通过上述即时消息的传输系统，在组织中设置边缘节点，将第一客户端发送的即时消息的消息数据存储在边缘节点中，提高了第一客户端与第二客户端之间即时消息传输和存储的安全性。
140.上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当
使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质。半导体介质可以是固态硬盘(solid state drive,ssd)。
141.以上所述，仅为本技术的具体实施方式。熟悉本技术领域的技术人员根据本技术提供的具体实施方式，可想到变化或替换，都应涵盖在本技术的保护范围之内。