(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112887979A(43)申请公布日2021.06.01(21)申请号201911125165.0(22)申请日2019.11.14(71)申请人华为技术有限公司地址518129广东省深圳市龙岗区坂田华为总部办公楼(72)发明人江伟玉刘冰洋吴波(74)专利代理机构广州三环专利商标代理有限公司44202代理人郝传鑫熊永强(51)Int.Cl.H04W12/0433(2021.01)H04W12/069(2021.01)H04W12/106(2021.01)H04L9/32(2006.01)权利要求书5页说明书33页附图9页(54)发明名称一种网络接入方法及相关设备(57)摘要本申请实施例提供一种网络接入方法及相关设备，该方法包括：终端向管理服务器发送第一请求消息，第一请求消息用于确定终端的身份标识；终端接收管理服务器发送的零知识令牌和n对ID，其中，n对ID中每对ID包括一个第一ID和一个第二ID，n对ID包括的n个第一ID为对身份标识进行加密得到的，任意一对ID中的第二ID为对任意一对ID中的第一ID盲化后的ID；零知识令牌为根据n对ID包括的n个第二ID生成的；其中，零知识令牌用于终端与接入网设备进行初次网络接入认证，n对ID用于终端接入接入网设备之后，与接入网设备进行后续网络接入认证。采用本申请实施例，能够保护终端的隐私安全。CN112887979ACN112887979A权利要求书1/5页1.一种网络接入方法，其特征在于，包括：终端向管理服务器发送第一请求消息，所述第一请求消息用于确定所述终端的身份标识；所述终端接收所述管理服务器发送的零知识令牌和n对ID，其中，所述n对ID中每对ID包括一个第一ID和一个第二ID，所述n对ID包括的n个所述第一ID为对所述身份标识进行加密得到的，任意一对ID中的所述第二ID为对所述任意一对ID中的所述第一ID盲化后的ID；所述零知识令牌为根据所述n对ID包括的n个所述第二ID生成的；其中，所述零知识令牌用于所述终端与接入网设备进行初次网络接入认证，所述n对ID用于所述终端接入所述接入网设备之后，与接入网设备进行后续网络接入认证，n为大于或者等于1的正整数。2.根据权利要求1所述的方法，其特征在于，所述终端接收所述管理服务器发送的零知识令牌和n对ID之后，还包括：所述终端向所述接入网设备发送第一网络接入请求，其中，所述第一网络接入请求包括所述零知识令牌和第一随机数；所述终端接收所述网络设备在验证所述零知识令牌合法的情况下发送的挑战响应消息，其中，所述挑战响应消息包括所述接入网设备的签名、所述第一随机数和第二随机数；所述终端验证所述挑战响应消息，若验证通过，则向所述接入网设备发送零知识证据，所述零知识证据是根据所述第二随机数生成的；若所述零知识证据被所述接入网设备验证通过，则所述终端初次接入所述接入网设备。3.根据权利要求1或2所述的方法，其特征在于，所述终端接入所述接入网设备之后，还包括：所述终端根据所述n对ID中的m对ID中的m个所述第二ID生成到可信Merkle树根节点路径上的中间结点值，m为小于或者等于n的正整数；所述终端向所述接入网设备发送所述m个所述第二ID和所述中间结点值；所述终端接收所述接入网设备发送的对所述m个所述第二ID中每个所述第二ID的签名，其中，所述接入网设备用于在根据所述中间结点值确定出的Merkle树根节点的值与存储的Merkle树根节点的值相等的情况下对所述第二ID进行签名，所述存储的Merkle树根节点的值为所述终端成功接入所述接入网设备之后发送给所述接入网设备的；所述终端根据所述m个所述第二ID的签名确定与所述接入网设备的m个认证密钥，其中，一个所述第二ID用于确定一个所述认证密钥；所述m个认证密钥中的每个认证密钥用于所述终端与所述接入网设备进行一次网络接入认证。4.根据权利要求3所述的方法，其特征在于，任意一次网络接入认证通过后经过预设时间段执行下一次网络接入认证，任意两次网络接入认证使用的所述认证密钥为根据不同的所述第二ID的签名确定的。5.根据权利要求3或4所述的方法，其特征在于，所述终端根据所述m个所述第二ID的签名确定与所述接入网设备的m个认证密钥之后，还包括：所述终端向所述接入网设备发送第二网络接入请求，所述第二网络接入请求包括第i个第一ID和第三随机数，其中，所述第i个第一ID与计算所述m个认证密钥中的第i个认证密钥用到的第二ID同属一对ID；2CN112887979A权利要求书2/5页所述终端接收所述接入网设备发送的第一哈希运算消息认证码HMAC，所述第一HMAC是所述接入网设备根据第一密钥、所述第i个第一ID和所述第三随机数生成的，所述第一密钥为所述接入网设