一种远程登录的控制方法及装置

技术领域

本发明涉及远程控制领域，具体而言，涉及一种远程登录的控制方法及装置。

背景技术

相关技术中提出一种嵌入式操作系统实现远程登录shell的方法，包括步骤：在嵌入式操作系统组件增加远程登录命令telnet服务器端口组件，将其缺省的传输控制协议端口协议到另一个传输控制协议端口，作为telnet进入外壳程序shell使用的端口号；在系统命令行增加一条开始命令或结束命令，供telnet进入或关闭shell时调用；telnet登录常规命令行后，执行开始命令，开启一个后台shell任务；通过命令行的登录端口登录到shell环境下，进行shell操作；操作完成后，执行结束命令，关闭后台shell任务。命令行和shell可以同时使用，便于远程故障的处理及功能调试，加快远程问题的处理速度。

当特权用户和第三方用户都能登录设备(尤其登录同一账号时)，如何区分特权用户和第三方用户，进而赋予不同权限，现有方案无法实现。

针对相关技术中无法对telnet登录用户做差别化控制的问题，尚未提出解决方案。

发明内容

本发明实施例提供了一种远程登录的控制方法及装置，以至少解决相关技术中无法对telnet登录用户做差别化控制的问题。

根据本发明的一个实施例，提供了一种远程登录的控制方法，包括：接收客户端通过应用程序发送的操作命令；确定所述应用程序是否通过第三方telnetd的shell登录启动；在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

在一个示例性实施例中，确定所述应用程序是否通过第三方telnetd的shell登录启动包括：获取所述应用程序的根目录；根据所述应用程序的根目录确定所述应用程序是否通过第三方telnetd的shell登录启动。

在一个示例性实施例中，根据所述应用程序的根目录确定所述应用程序是否通过第三方telnet的shell登录启动包括：获取所述应用程序的父系进程以及所述应用程序的根目录的文件节点号；根据所述应用程序的父系进程与所述应用程序的根目录的文件节点号，确定所述应用程序是否通过第三方telnet的shell登录启动。

在一个示例性实施例中，通过所述应用程序的父系进程与所述根目录的文件节点号，确定所述应用程序是否通过第三方telnetd的shell登录启动包括：判断所述应用程序的父系进程中是否包含telnetd服务进程；在判断结果为是的情况下，判断所述应用程序的根目录的文件节点号是否与系统根目录的文件节点号不同；在判断结果为是的情况下，确定所述应用程序是通过第三方telnetd的shell启动。

在一个示例性实施例中，在获取所述应用程序的根目录之前，所述方法还包括：为telnetd服务进程重构所述应用程序的根目录，其中，所述应用程序的根目录为系统根目录的子目录，所述应用程序的根目录用于存储所述第三方能够访问的文件。

在一个示例性实施例中，对所述shell上启动的所述应用程序进行控制包括：对所述shell上启动的所述应用程序进行签名验证；对所述shell上启动的所述应用程序进行资源限制；对所述shell上启动的所述应用程序进行能力capability设置。

根据本发明的又一个实施例，还提供了一种远程登录的控制装置，包括：接收模块，用于接收客户端通过应用程序发送的操作命令；确定模块，用于确定所述应用程序是否通过第三方telnetd的shell登录启动；处理模块，用于在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

在一个示例性实施例中，所述确定模块包括：

获取子模块，用于获取所述应用程序的根目录；

确定子模块，用于根据所述应用程序的根目录确定所述应用程序是否通过第三方telnetd的shell登录启动。

在一个示例性实施例中，上述确定子模块，还用于获取所述应用程序的父系进程以及所述应用程序的根目录的文件节点号；根据所述应用程序的父系进程与所述应用程序的根目录的文件节点号，确定所述应用程序是否通过第三方telnet的shell登录启动。

在一个示例性实施例中，上述确定子模块，还用于判断所述应用程序的父系进程中是否包含telnetd服务进程；在判断结果为是的情况下，判断所述应用程序的根目录的文件节点号是否与系统根目录的文件节点号不同；在判断结果为是的情况下，确定所述应用程序是通过第三方telnetd的shell启动。

在一个示例性实施例中，所述装置还包括：重构模块，用于为telnetd服务进程重构所述应用程序的根目录，其中，所述应用程序的根目录为系统根目录的子目录，所述应用程序的根目录用于存储所述第三方能够访问的文件。

在一个示例性实施例中，上述处理模块，还用于对所述shell上启动的应用程序进行签名验证；对所述shell登录上启动的应用程序进行资源限制；对所述shell登录上启动的应用程序进行能力capability设置。

根据本发明的又一个实施例，还提供了一种计算机可读的存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本发明，接收客户端通过应用程序发送的操作命令；确定所述应用程序是否通过第三方telnetd的shell登录启动；在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令，可以解决相关技术中无法对telnet登录用户做差别化控制的问题，通过设计远程登录APP，实现第三方用户拥有telnet登录设备的能力，能够对第三方远程登录shell进行区别于特权用户的差异化控制。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的远程登录的控制方法的移动终端的硬件结构框图；

图2是根据本发明实施例的远程登录的控制方法的流程图；

图3是根据本发明一实施例的远程登录的场景示意图；

图4是现有方案的远程登录的流程示意图；

图5是根据本发明一实施例的远程登录流程示意图；

图6是是根据本发明一实施例的远程登录APP架构示意图；

图7是是根据本发明一实施例的远程登录APP安装启动流程示意图；

图8是是根据本发明一实施例的Telnetd服务启动流程示意图；

图9是根据本发明一实施例的应用程序启动校验模块的流程示意图；

图10是根据本发明实施例的远程登录的控制装置的框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例1

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例，图1是本发明实施例的远程登录的控制方法的移动终端的硬件结构框图，如图1所示，移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，可选地，上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述移动终端的结构造成限定。例如，移动终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的远程登录的控制方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及远程登录的控制，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种运行于上述移动终端或网络架构的远程登录的控制方法，图2是根据本发明实施例的远程登录的控制方法的流程图，如图2所示，该流程包括如下步骤：

步骤S202，接收客户端通过应用程序发送的操作命令；

步骤S204，确定所述应用程序是否通过第三方telnetd的shell登录启动；

步骤S206，在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

通过上述步骤S202至步骤S206，接收客户端通过应用程序发送的操作命令；确定所述应用程序是否通过第三方telnetd的shell登录启动；在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令，可以解决相关技术中无法对telnet登录用户做差别化控制的问题，通过设计远程登录应用程序APP，实现第三方用户拥有telnet登录设备的能力，能够对第三方远程登录shell进行区别于特权用户的差异化控制。

在一个可选的实施例中，上述步骤S204包括：获取所述应用程序的根目录；根据所述应用程序的根目录确定所述应用程序是否通过第三方telnetd的shell登录启动。

即，确定应用程序是否通过第三方telnetd的shell登录启动时，需要先获取应用程序的根目录，在根据根目录来确定应用程序是否通过第三方telnetd的shell登录启动。

在一个可选的实施例中，根据所述应用程序的根目录确定所述应用程序是否通过第三方telnet的shell登录启动包括：获取所述应用程序的父系进程以及所述应用程序的根目录的文件节点号；根据所述应用程序的父系进程与所述应用程序的根目录的文件节点号，确定所述应用程序是否通过第三方telnet的shell登录启动，本实施例中文件节点号具体可以是inode号或i节点号。

即，根据应用程序的根目录确定应用程序是否通过第三方telnet的shell登录启动时，需要先获取应用程序的父系进程和根目录的文件节点号，根据二者确定应用程序是否通过第三方telnet的shell登录启动。

在一个可选的实施例中，通过所述应用程序的父系进程与所述根目录的文件节点号，确定所述应用程序是否通过第三方telnetd的shell登录启动包括：判断所述应用程序的父系进程中是否包含telnetd服务进程；在判断结果为是的情况下，判断所述应用程序的根目录的文件节点号是否与系统根目录的文件节点号不同；在判断结果为是的情况下，确定所述应用程序是通过第三方telnetd的shell启动。

即，先判断应用程序的父系进程中是否包含telnetd服务进程，在包含的情况下，判断是否根目录的文件节点号是否与系统根目录的文件节点号不同，在不同的情况下，才可确定应用程序是通过第三方telnetd的shell启动。

在一个可选的实施例中，在获取所述应用程序的根目录之前，为telnetd服务进程重构所述应用程序的根目录，其中，所述应用程序的根目录为系统根目录的子目录，所述应用程序的根目录用于存储所述第三方能够访问的文件。

换句话说，在获取应用程序的根目录之前，还需要为telnetd服务进程重构用于存储第三方能够访问的文件应用程序的根目录。

在一个可选的实施例中，对所述shell上启动的所述应用程序进行控制包括：对所述shell上启动的所述应用程序进行签名验证；对所述shell上启动的所述应用程序进行资源限制；对所述shell上启动的所述应用程序进行能力capability设置，达到控制登录shell命令的目的。

即，对应用程序的shell登录进行控制，需要先对应用程序的shell登录进行签名验证，再对应用程序的shell登录进行资源限制，对应用程序的shell登录进行能力设置。

图3是根据本发明一实施例的远程登录的场景示意图，如图3所示，包括：Telnet客户端、特权用户、第三方用户。

其中，特权用户通过私有用户名密码登录shell壳层，识别用户的cmd命令，判断是否允许操作；第三方用户通过授权安装远程登录APP登录shell壳层，同样，通过识别用户的cmd命令，判断是否允许操作。

上述实施例通过设计一个远程登录APP，实现第三方用户拥有telnet登录设备的能力；实现对登录用户限制，如：通过切换根目录，限制第三方用户所见文件的范围；能够识别操作命令发起者，进而决定是否禁止或允许该用户执行某条操作命令。

其中，通过重构telnet登录shell的根目录，同时注册一个应用程序检查模块进入操作系统，该检查模块中通过对用户程序父系进程名称和根目录inode号的逐一甄别，有效识别出该应用程序命令是否通过第三方用户telnet登录启动的。

图4是现有方案的远程登录的流程示意图，如图4所示，包括如下步骤：

步骤S1，系统启动后，启动telnetd服务；

步骤S2，用户终端发起telnet登录请求；

步骤S3，telnetd服务启动shell；

步骤S4，用户终端发起登录请求；

步骤S5，shell程序启动应用程序；

步骤S6，应用程序通过exec功能发起系统处理。

具体的，首先，设备端系统启动telnetd服务；当用户在客户端发起登录请求时，设备端的telnetd服务启动shell；用户登录到设备端的shell进行操作，如启动应用程序；应用程序启动过程由操作系统处理。

图5是根据本发明一实施例的远程登录流程示意图，如图5所示，包括如下步骤：

步骤S1，用户终端安装启动APP；

步骤S2，切换根目录并启动telenet服务；

步骤S3，注册/开启校验用户身份；

步骤S4，用户终端进行telnet登录请求；

步骤S5，telnet服务启动shell；

步骤S6，用户终端登录操作；

步骤S7，shell启动应用程序；

步骤S8，应用程序通过exec功能发起系统处理；

步骤S9，进入系统处理。

相比于现有技术，上述实施例新增远程登录APP：telnetd服务通过该APP进行管理，该APP由用户安装启动；重定义telnetd服务的启动方式：telnetd服务启动之前进行切换根目录操作；切根操作主要作用在于：控制第三方登录用户所见文件范围，因telnet登录shell初始根目录为特权用户登录所见，所以对外开放所有文件，为限制第三方用户所见文件范围，远程登录APP为第三方用户构建新根，且新根里只存在能够开放给客户的文件；应用程序校验包括以下几个特性：其一：远程登录APP启动时注册进操作系统；其二：因应用程序校验被注册进操作系统，所以特权用户和第三方用户通过telnet登录shell启动的应用程序，都会先进行校验，且能够识别出应用程序是由特权用户和第三方用户中的哪一个启动的；其三：支持远程登录APP对其进行开启和关闭；(如果开启，shell上启动的应用程序会经过校验流程；如果关闭，应用程序会跳过校验流程，直接进入操作系统标准流程进行启动)。

图6是是根据本发明一实施例的远程登录APP架构示意图，如图6所示：将APP主程序、Telnetd服务程序、应用程序校验打包进一个APP中。

图7是是根据本发明一实施例的远程登录APP安装启动流程示意图，如图7所示，包括如下步骤：

步骤S1,解压安装包；

步骤S2,远程登录APP主程序启动；

步骤S3,启动校验，并注册进系统；

步骤S4,启动Telnetd服务。

具体的，远程登录APP安装过程：将5.2.1节中介绍的各个组成部分解压出来，并启动APP主程序；APP主程序：负责加载校验和启动Telnetd服务程序；Telnetd服务程序：在APP主程序中启动该Telnetd服务程序；应用程序校验：在APP主程序中将校验注册进系统，会在应用程序启动之后，操作系统加载代码段之前，开始对应用程序进程进行检查。

图8是是根据本发明一实施例的Telnetd服务启动流程示意图，如图8所示，包括如下步骤：

步骤S1，启动远程登录APP创建子进程；

步骤S2，构建根目录；

步骤S3，切换子进程根目录；

步骤S4，启动telnetd服务。

具体的，登录APP主程序启动时创建子进程；注意:该子进程继承了系统shell(init启动)的根目录；构建根目录:APP主程序为telnetd服务进程重构根目录，重构的根目录为系统根目录的一个子目录，作为第三方用户登录后的根.此时特权用户登录以系统根目录为根，第三方用户登录以系统根目录下的子目录为根，两个用户所见文件范围显然不同；其中，以后telnet登录时，登录shell继承了其父进程telnetd的根目录；构建方法：创建新目录:/系统根目录/newroot/。将创建的子进程的根目录切换到创建的目录：/系统根目录/newroot。在创建的子进程中启动Telnetd服务。注意：此时，Telnetd服务进程以/newroot为根目录，且以后telnet登录时，登录shell继承了该telnetd的根目录。

图9是根据本发明一实施例的应用程序启动校验的流程示意图，如图9所示，包括如下步骤：

步骤S1，应用程序启动；

步骤S2，应用程序开启校验功能；

步骤S3，对父系进程中是否包含telnetd进行判断；

步骤S4，Inode号判定；

步骤S5，设置应用程序capalitiy；

步骤S6，操作系统标准应用程序启动流程。

具体地，本实施例中的应用程序的启动，需要先经过应用程序校验。由远程登录APP注册进操作系统，一旦注册成功，无论特权用户还是第三方用户启动的应用程序，都会经过校验。父系进程判定和Inode号判断标准，包括：

第一，第三方用户安装了设计的远程登录APP进入设备，同时设备负责启动远程登录APP。

因为设备使用系统shell启动远程登录APP，系统shell进程又以系统根目录为根，所以远程登录APP继承了系统根目录。

第二，至此远程登录APP主程序以系统根目录为根开始启动。

远程登录APP启动过程创建子进程，并在子进程中构建了一个新的目录(新目录是系统根目录的子目录，显然根目录和其子目录所见文件范围不同)。将远程登录APP创建的子进程的根切换到新目录，子进程中启动telnetd服务，即telnetd服务的根继承为新目录，第三方登录的shell是由telnetd服务启动，所以此shell的根也是新目录。

注意系统根目录和新目录是不同目录，两个目录拥有各自不同的inode号。

第三，远程登录APP所涉进程根目录：

系统shell启动(以系统根目录为根)->远程登录APP(以系统根目录为根)->远程登录APP子进程切换根目录(以新目录为根)->启动telnetd进程(以新目录为根)->第三方用户登录此telnetd启动的shell(以新目录为根)->第三方用户登录shell后启动应用程序(以新目录为根)。

其中，权用户应用程序及其父进程一直使用系统根目录为根。

父子关系：->方向表示其父进程。

第三方启动的应用程序->telnetd启动的shell->远程登录APP子进程->远程登录APP->系统shell。

父系进程判定：第三方用户启动的应用程序其父进程为telnetd进程，如果父系进程中包含telnetd则继续校验inode号，反之，则按照操作系统启动应用程序的标准流程执行。

Inode号判定：第三方用户启动的应用程序以新目录为根，但其父系进程中远程登录APP以系统根目录为根，而特权用户进程及其父进程都是以系统根目录为根。所以，如果应用程序根目录inode号不同于其父系进程的根目录inode号，则该应用程序是第三方用户通过本技术方案远程登录shell启动的，至此判定出第三方用户启动的应用程序。

设置capability：此步骤为举例说明，在识别到第三方后能做的附加操作。

操作系统标准应用程序启动流程：识别到的第三方用户以外的登录用户(可包括系统shell、ssh登录shell、特权用户的telnet登录shell)。

实施例2

根据本发明的另一个实施例，还提供了一种远程登录的控制装置，图10是根据本发明实施例的远程登录的控制装置的框图，如图10所示，包括：

接收模块102，用于接收客户端通过应用程序发送的操作命令；

确定模块104，用于确定所述应用程序是否通过第三方telnetd的shell登录启动；

处理模块106，用于在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

可选的，所述确定模块104包括：获取子模块，用于获取所述应用程序的根目录；确定子模块，用于根据所述应用程序的根目录确定所述应用程序是否通过第三方telnetd的shell登录启动。

即，确定应用程序是否通过第三方telnetd的shell登录启动时，需要先获取应用程序的根目录，在根据根目录来确定应用程序是否通过第三方telnetd的shell登录启动。

可选的，上述确定子模块，还用于获取所述应用程序的父系进程以及所述应用程序的根目录的文件节点号；根据所述应用程序的父系进程与所述应用程序的根目录的文件节点号，确定所述应用程序是否通过第三方telnet的shell登录启动。

即，根据应用程序的根目录确定应用程序是否通过第三方telnet的shell登录启动时，需要先获取应用程序的父系进程和根目录的文件节点号，根据二者确定应用程序是否通过第三方telnet的shell登录启动。

可选的，上述确定子模块，还用于判断所述应用程序的父系进程中是否包含telnetd服务进程；在判断结果为是的情况下，判断所述应用程序的根目录的文件节点号是否与系统根目录的文件节点号不同；在判断结果为是的情况下，确定所述应用程序是通过第三方telnetd的shell启动。

即，先判断应用程序的父系进程中是否包含telnetd服务进程，在包含的情况下，判断是否根目录的文件节点号是否与系统根目录的文件节点号不同，在不同的情况下，才可确定应用程序是通过第三方telnetd的shell启动。

可选的，上述确定模块104还用于：为telnetd服务进程重构所述应用程序的根目录，其中，所述应用程序的根目录为系统根目录的子目录，所述应用程序的根目录用于存储所述第三方能够访问的文件。

换句话说，在获取应用程序的根目录之前，还需要为telnetd服务进程重构用于存储第三方能够访问的文件应用程序的根目录。

可选的，上述处理模块，还用于对所述shell上启动的所述应用程序进行签名验证；对所述shell上启动的所述应用程序进行资源限制；对所述shell上启动的所述应用程序进行能力capability设置。

即，对应用程序的shell登录进行控制，需要先对应用程序的shell登录进行签名验证，再对应用程序的shell登录进行资源限制，对应用程序的shell登录进行能力设置。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本发明的实施例还提供了一种计算机可读的存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的计算机程序：

S1，接收客户端通过应用程序发送的操作命令；

S2，确定所述应用程序是否通过第三方telnetd的shell登录启动；

S3，在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

实施例4

本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

S1，接收客户端通过应用程序发送的操作命令；

S2，确定所述应用程序是否通过第三方telnetd的shell登录启动；

S3，在确定结果为是的情况下，对所述shell上启动的所述应用程序进行控制，并响应所述操作命令。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。