(19)中华人民共和国国家知识产权局*CN102201915A*(12)发明专利申请(10)申请公布号CN102201915A(43)申请公布日2011.09.28(21)申请号201010130988.5(22)申请日2010.03.22(71)申请人中国移动通信集团公司地址100032北京市西城区金融大街29号(72)发明人路晓明彭华熹常辉卢山(74)专利代理机构北京鑫媛睿博知识产权代理有限公司11297代理人龚家骅(51)Int.Cl.H04L9/32(2006.01)H04L29/06(2006.01)权利要求书3页说明书11页附图4页(54)发明名称一种基于单点登录的终端认证方法和装置(57)摘要本发明的实施例公开了一种基于单点登录的终端认证方法和装置，该方法包括：单点登录服务器接收在对待认证终端的认证请求中携带终端生成的登录凭证，所述登录凭证中至少包括序列号和验证信息，所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的，所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的；所述单点登录服务器判断如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法，则所述单点登录服务器对所述待认证终端认证通过；否则，对所述待认证终端认证失败。通过本发明，防止了重放攻击且提高了单点登录的效率。CN10295ACCNN110220191502201921A权利要求书1/3页1.一种基于单点登录的终端认证方法，其特征在于，包括：单点登录服务器接收对待认证终端的认证请求，所述认证请求中携带终端生成的登录凭证，所述登录凭证中至少包括序列号和验证信息，所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的，所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的；所述单点登录服务器判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配，或/和，根据待认证终端与单点登录服务器之间的共享密钥生成验证信息，并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法；如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法，则所述单点登录服务器对所述待认证终端认证通过；否则，对所述待认证终端认证失败。2.如权利要求1所述的方法，其特征在于，所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配，具体为：所述单点登录服务器在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中，查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号；如果存在，所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。3.如权利要求1所述的方法，其特征在于，所述登录凭中还包括：用户标识；所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配，具体包括：所述单点登录服务器根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号，所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成；所述单点登录服务器判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限；若小于所述预设门限，所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。4.如权利要求1所述的方法，其特征在于，所述单点登录服务器生成认证信息之前还包括：获取所述共享密钥的步骤，该步骤具体包括：所述单点登录服务器从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号；所述单点登录服务器根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。5.如权利要求1所述的方法，其特征在于，所述登录凭中还包括：用户标识；所述单点登录服务器生成认证信息之前还包括：获取所述共享密钥的步骤，该步骤具体包括：所述单点登录服务器根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。6.如权利要求1至5中任一项所述的方法，其特征在于，所述单点登录服务器为终端分配初始随机数，包括：所述单点登录服务器根据终端的初始认证请求，为该终端生成初始登录凭证，其中至2CCNN110220191502201921A权利要求书2/3页少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息；所述单点登录服务器将携带有初始随机数和验证信息的初始登录凭证发送给该终端。7.一种单点登录服务器，其特征在于，包括：接收模块，用于接收对待认证终端的认证请求，所述认证请求中携带终端生成的登录凭证，所述登录凭证中至少