实现下一代互联网NID生成的系统及方法

技术领域

本发明涉及网络身份管理和信息安全领域，尤其涉及网络电子身份标识衍生码编码领域， 具体是指一种实现下一代互联网NID生成的系统及方法。

背景技术

截止2011年全球IPv4地址已经分配完毕。我国目前互联网普及率已达到44%，要达到 发达国家的70%普及率，需要大量新的IP地址。IP地址短缺问题严重制约了我国互联网的发 展，IPv6大规模商用是我国必须选择的互联网发展道路。

IPv6是IETF（互联网工程任务组，Internet Engineering Task Force）设计的用于替代现行 版本IP协议（IPv4）的下一代互联网的IP协议，拥有更大的地址空间（地址长度为128位）、 灵活的报文头部格式、以及更高的安全性。

针对互联网中用户身份假冒问题，提供基于真实地址的网络电子身份标识（electronic  IDentity，简称eID）和认证技术解决方案，对我国建立可信可管的下一代互联网具有非常重 要的意义。利用IPv6报文头部的灵活性及可扩展性，将用户真实身份、真实地址通过报文联 系起来，设计一个面向下一代互联网的、能够代表用户真实身份的标识码，是网络安全保障 的基础。

网络电子身份标识（eID）是在现有居民身份管理体系基础上，以密码技术、数字签名技 术为基础，以智能卡芯片为载体，由公安机关统一签发给公民用于在网络上远程证实个人身 份的网络电子身份证件，具有权威性、统一性、普适性的特点。目前我国的eID已应用于电 子政务、电子商务、第三方支付、社交网络等领域。

然而，网络电子身份标识码（eID_code）的长度为48字节，无法加载在IPv6的扩展报 文头部中。另外，由于eID是由用户证件号、姓名等信息经过一系列变换生成，能够代表用 户的真实身份，同时编码本身并不显示个人身份信息，可以有效避免用户身份信息的不必要 披露。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现生成在IPv6扩展报文 头部中加载网络电子身份标识衍生码、避免下一代互联网中用户身份假冒和网络消息不可追 溯问题、具有更广泛应用范围的实现下一代互联网NID生成的系统及方法。

为了实现上述目的，本发明的实现下一代互联网NID生成的系统及方法具有如下构成：

该实现下一代互联网网络电子身份标识衍生码生成的系统，其主要特点是，所述的系统 包括：

网络电子身份标识衍生码数据库，用以存储网络电子身份标识衍生码生成请求和已经生 成的网络电子身份标识衍生码；

网络电子身份标识衍生码请求处理模块，用以处理来自用户或互联网应用的网络电子身 份标识衍生码生成请求和进行解析并将解析的请求信息发送至网络电子身份标识码生成模块 以生成网络电子身份标识码；

网络电子身份标识衍生码生成模块，用以在所述的网络电子身份标识码的基础上利用哈 希函数压缩生成网络电子身份标识衍生码；

网络电子身份标识衍生码冲突处理模块，用以检查新生成的网络电子身份标识码衍生码 是否与所述的网络电子身份标识衍生码数据库中已经存在的网络电子身份标识衍生码发生冲 突并进行处理。

较佳地，所述的网络电子身份标识衍生码为长度为32位的二进制串，所述的哈希函数为 RadioGatún算法中的RG32函数。

本发明还涉及一种基于所述的系统实现下一代互联网网络电子身份标识衍生码生成的方 法，其特征在于，所述的方法包括以下步骤：

（1）所述的网络电子身份标识衍生码请求处理模块处理来自用户或互联网应用的网络电 子身份标识衍生码生成请求并进行解析；

（2）所述的网络电子身份标识码生成模块根据解析的请求信息生成网络电子身份标识 码；

（3）所述的网络电子身份标识衍生码生成模块在所述的网络电子身份标识码的基础上利 用哈希函数压缩生成所述的网络电子身份标识衍生码。

较佳地，所述的网络电子身份标识衍生码请求处理模块处理来自用户或互联网应用的网 络电子身份标识衍生码生成请求并进行解析，包括以下步骤：

（11）所述的网络电子身份标识衍生码请求处理模块初始化所述的网络电子身份标识衍 生码数据库；

（12）所述的网络电子身份标识衍生码请求处理模块接收来自用户或互联网应用的网络 电子身份标识衍生码生成请求；

（13）所述的网络电子身份标识衍生码请求处理模块判断所述的生成请求的类型，如果 是来自互联网应用的批量请求文件，则继续步骤（14），如果是来自用户的单个请求，则继续 步骤（18）；

（14）所述的网络电子身份标识衍生码请求处理模块判断所述的批量请求文件是否已存 在于所述的网络电子身份标识衍生码数据库中，如果是，则继续步骤（15），否则继续步骤（16）；

（15）所述的网络电子身份标识衍生码请求处理模块判断所述的批量请求文件状态是否 为已完成，如果是，则返回请求处理完成结果，然后结束退出，否则继续步骤（17）；

（16）所述的网络电子身份标识衍生码请求处理模块新增一条状态为未完成的文件记录；

（17）所述的网络电子身份标识衍生码请求处理模块解析所述的批量请求文件中的下一 条未完成请求记录，然后继续步骤（2）；

（18）所述的网络电子身份标识衍生码请求处理模块解析所述的单个请求并得到用户的 相关信息，然后继续步骤（2）。

更佳地，所述的步骤（1）和（2）之间，还包括以下步骤：

（20）所述的网络电子身份标识衍生码生成模块根据解析得到的用户的相关信息判断所 述的网络电子身份标识衍生码数据库中是否已存在该用户对应的有效网络电子身份标识衍生 码，如果是，则所述的网络电子身份标识衍生码生成模块在所述的网络电子身份标识衍生码 数据库中查找到对应的有效网络电子身份标识衍生码并直接返回有效网络电子身份标识衍生 码，然后结束退出，否则继续步骤（2）。

更进一步地，所述的解析得到的用户的相关信息包括用户的姓名、有效证件类型和用户 证件号码。

较佳地，所述的网络电子身份标识衍生码生成模块在所述的网络电子身份标识码的基础 上利用哈希函数压缩生成所述的网络电子身份标识衍生码，包括以下步骤：

（31）所述的网络电子身份标识衍生码生成模块在所述的网络电子身份标识码的基础上 调用RadioGatún算法中的RG32函数生成所述的网络电子身份标识衍生码；

（32）所述的网络电子身份标识衍生码冲突处理模块检查新生成的网络电子身份标识码 衍生码是否与所述的网络电子身份标识衍生码数据库中已经存在的网络电子身份标识衍生码 发生冲突并进行处理。

更佳地，所述的步骤（32）之后，还包括以下步骤：

（41）所述的网络电子身份标识衍生码请求处理模块判断所述的生成请求的类型，如果 是来自互联网应用的批量请求文件，则继续步骤（42），如果是来自用户的单个请求，则继续 步骤（44）；

（42）所述的网络电子身份标识衍生码请求处理模块将文件记录数加1，判断是否所有 的文件记录都处理完毕，如果是，则继续步骤（43），否则继续步骤（17）；

（43）所述的网络电子身份标识衍生码请求处理模块将所述的请求文件记录状态设置为 已完成，然后继续步骤（44）；

（44）所述的网络电子身份标识衍生码请求处理模块将生成的网络电子身份标识衍生码 存储在所述的网络电子身份标识衍生码数据库并将所述的网络电子身份标识衍生码返回到请 求发起用户。

更进一步地，所述的网络电子身份标识衍生码冲突处理模块检查新生成的网络电子身份 标识码衍生码是否与所述的网络电子身份标识衍生码数据库中已经存在的网络电子身份标识 衍生码发生冲突并进行处理，具体为：

（321）网络电子身份标识衍生码冲突处理模块检查新生成的网络电子身份标识码衍生码 是否与所述的网络电子身份标识衍生码数据库中已经存在的网络电子身份标识衍生码发生冲 突，如果是，则继续步骤（322），否则继续步骤（41）；

（322）所述的网络电子身份标识码生成模块在原网络电子身份标识码的基础上增加一个 随机数生成新的网络电子身份标识码，然后继续步骤（31）。

采用了该发明中的实现下一代互联网NID生成的系统及方法，具有如下有益效果：

（1）唯一性：网络电子身份标识衍生码NID，基于具有唯一性的eID_code、利用RG32 哈希算法生成。根据RG32算法及NID防冲突处理方法，可以确保有效NID的唯一性。

（2）隐私性：NID本身不含任何用户身份信息（如有效身份证件号码、类型、姓名等）， 防止了公民身份隐私信息的泄露。

（3）不可逆性：NID是根据RG32哈希算法生成，该哈希算法的逆向计算具有不可行性， 因此，所生成的NID具有不可逆性。

（4）适用于IPv6网络：NID长度为32位，易于加载在IPv6扩展报文头部，适用于IPv6 网络，具有更广泛的应用范围。

附图说明

图1为本发明的实现下一代互联网NID生成的系统的结构示意图。

图2为本发明的网络电子身份标识衍生码请求处理的流程图。

图3为本发明的RG32函数的算法流程图。

图4为本发明的网络电子身份标识衍生码生成的流程图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

名词解释：

网络电子身份标识（eID）：eID是electronic IDentity的缩写，是在现有居民身份管理体 系基础上，以密码技术、数字签名技术为基础，以智能卡芯片为载体，由公安机关统一签发 给公民用于在网络上远程证实个人身份的网络电子身份证件，具有权威性、统一性、普适性 的特点。

网络电子身份标识码（eID_code）：是一段网络身份标识符，存储在eID中，与公民身份 一一对应，且本身不含任何用户身份信息。eID_code的长度为48字节，类型为String，各字 节之间的数字依次连接，不留空格和任何其它字符（例如_，～，、，\，/，&,等）。

网络电子身份标识衍生码（NID）：NID是interNet IDentity的缩写，是面向下一代互联 网（主要是IPv6网络）中应用的网络电子身份标识符，是一段长度为32位的二进制串，由 eID衍生而来，不仅能代表用户的真实身份，而且能嵌入在IPv6扩展报文头部中，随报文传 输。NID本身不含任何用户身份信息，具有精简、唯一、不可逆等特点。

RadioGatún算法族：RadioGatún算法族于2006年8月在美国国家标准与技术研究院 （NIST）举办的第二届加密哈希研讨会上首次提出。其算法实现函数形如：z=RadioGatún [lw](x)。其中：x为长度任意的输入串；lw为字长参数，值为1至64bit，每一个值对应一个 函数；z为无限长度的输出流，通过截取的前lh位，可以用作输出长度为lh的哈希函数。

RG32：RadioGatún算法族中的一个实现函数，其返回结果为32位的哈希值。RG32是 一个采用了belt-and-mill结构的迭代压缩函数，该结构作为迭代的内部状态，包含58个字， 每一轮的迭代均涉及4个线性及非线性的变换操作。RG32具有抗冲突、不可逆、计算开销小 等特点。

本发明的目的是针对下一代互联网中用户身份假冒、网络消息不可追溯等问题，提供了 一种在IPv6扩展报文头部中加载了网络电子身份标识衍生码的编码生成方法。目前在下一代 互联网身份管理领域，尚没有相关解决方案。因此本发明具有完全的独创性，同时保护用户 的隐私。

本发明通过对已有网络身份管理方面工作的研究，结合下一代互联网IPv6的特性与需求， 基于eID，设计了统一的NID生成方法，并给出了NID生成子系统。NID采用RadioGatún 算法族中的RG32算法生成，是长度为32位的哈希编码，具有唯一、不可逆等特点，易于嵌 入IPv6扩展报文头部。

RadioGatún加密哈希算法根据所采用的字长不同，包含64个不同的函数。这些函数能 够输出长度无限的输出流，通过截取的前n位，即可用作输出长度为n的哈希函数。RG32 就是其中一个输出长度为32位的哈希函数。

NID由eID码经特定算法压缩生成，因此NID是一种用户真实身份的衍生标识，能够用 于保障下一代互联网应用中用户身份的真实性和可追溯性，同时也能起到保护用户隐私的作 用。

如图1所示，NID生成子系统是NID的生成与存储系统，其主要功能包括处理来自个人 或互联网应用的NID生成请求、NID生成、NID冲突处理，相应的包含如下模块：NID请求 处理模块，NID生成模块，NID冲突处理模块，以及NID数据库。此外由于NID是以eID为 基础生成的，因此还需要调用eID编码生成子系统中的eID编码生成模块。各模块的具体功 能如下：

NID生成子系统既可以响应单个用户的NID请求，也可以响应互联网应用发来的批量 NID请求。批量请求以文件的形式从互联网应用发送到NID生成子系统。例如，可以将文件 命名规则定为：“THDX”+文件批次号+“N”+条目数。

NID生成模块负责从请求记录中解析出需要的信息，调用eID编码生成模块，并在生成 的eID编码的基础上，生成32位的NID。具体方法后面单独给出。

eID编码生成模块利用解析出的信息，遵循信息安全国家标准《网络电子身份格式规范》 生成相应的eID编码。

NID冲突处理模块主要负责对新生成的NID进行审核，检查是否与NID数据库中已存在 的NID发送冲突，并作相应处理。

NID数据库负责存储NID请求文件，以及生成的NID。

本发明的实现下一代互联网NID生成的方法包括以下步骤：

（1）NID请求处理模块处理来自用户或互联网应用的NID生成请求并进行解析；

包括以下八个子步骤：

（11）NID请求处理模块初始化NID数据库；

（12）NID请求处理模块接收来自用户或互联网应用的NID生成请求；

（13）NID请求处理模块判断生成请求的类型，如果是来自互联网应用的批量请求文件， 则继续步骤（14），如果是来自用户的单个请求，则继续步骤（18）；

（14）NID请求处理模块判断批量请求文件是否已存在于NID数据库中，如果是，则继 续步骤（15），否则继续步骤（16）；

（15）NID请求处理模块判断批量请求文件状态是否为已完成，如果是，则返回请求处 理完成结果，然后结束退出，否则继续步骤（17）；

（16）NID请求处理模块新增一条状态为未完成的文件记录；

（17）NID请求处理模块解析批量请求文件中的下一条未完成请求记录，然后继续步骤 （2）；

（18）NID请求处理模块解析单个请求并得到用户的相关信息，然后继续步骤（2）。

（20）NID生成模块根据解析得到的用户的相关信息判断NID数据库中是否已存在该用 户对应的有效NID，如果是，则NID生成模块在NID数据库中查找到对应的有效NID并直 接返回有效NID，然后结束退出，否则继续步骤（2）。

（2）网络电子身份标识码生成模块根据解析的请求信息生成网络电子身份标识码；

（31）NID生成模块在网络电子身份标识码的基础上利用哈希函数压缩生成NID；

（32）NID冲突处理模块检查新生成的网络电子身份标识码衍生码是否与NID数据库中 已经存在的NID发生冲突，如果是，则继续步骤（31），否则继续步骤（41）；

具体包括以下两个子步骤：

（321）网络电子身份标识衍生码冲突处理模块检查新生成的网络电子身份标识码衍生码 是否与所述的网络电子身份标识衍生码数据库中已经存在的网络电子身份标识衍生码发生冲 突，如果是，则继续步骤（322），否则继续步骤（41）；

（322）所述的网络电子身份标识码生成模块在原网络电子身份标识码的基础上增加一个 随机数生成新的网络电子身份标识码，然后继续步骤（31）。

（41）NID请求处理模块判断生成请求的类型，如果是来自互联网应用的批量请求文件， 则继续步骤（42），如果是来自用户的单个请求，则继续步骤（44）；

（42）NID请求处理模块将文件记录数加1，判断是否所有的文件记录都处理完毕，如 果是，则继续步骤（43），否则继续步骤（17）；

（43）NID请求处理模块将请求文件记录状态设置为已完成，然后继续步骤（44）；

（44）NID请求处理模块将生成的NID存储在NID数据库并将NID返回到请求发起用 户。

一、如图2所示为NID生成子系统处理NID请求的流程图。

当接收到NID请求时，NID请求处理模块首先判断该请求的类型是单个请求还是批量请 求文件。

对于互联网应用发送的批量请求文件，NID请求处理模块判断该文件是否已存在于NID 数据库中。如果存在，则需要再判断该文件状态是否为已完成，如果已完成，则直接结束 处理，否则解析文件中的下一条未完成请求记录。如果接收到的请求文件不在NID数据库 中，则在其中新增一条文件记录，设置状态为未完成。然后调用NID生成模块（需在此调 用eID编码生成模块）、NID冲突处理模块依次处理其中的请求记录直到所有记录处理完毕， 最后将该文件记录状态设置为已完成，将生成的NID存储至NID数据库，并将生成结果也 以文件的形式返回给互联网应用。

对于用户发送的单个NID请求，NID请求处理模块解析该请求记录，然后直接调用NID 生成模块（需在此调用eID编码生成模块）、NID冲突处理模块处理该请求记录，最后将生 成的NID存储至NID数据库，同时返回给请求发起用户。

Step1.NID请求处理模块初始化NID数据库。

Step2.NID请求处理模块接收NID请求。

Step3.NID请求处理模块判断NID请求类型。如果是互联网应用发送的批量请求文件， 则转Step4；如果是用户发送的单个请求，则转Step13。

Step4.NID请求处理模块判断该文件是否已存在于NID数据库中。如果存在，则转Step 5；否则，转Step6。

Step5.NID请求处理模块判断该文件状态是否为已完成。如果是，则直接返回相应结 果给互联网应用，转Step18；否则，转Step7。

Step6.NID请求处理模块新增一条文件记录，状态为未完成。

Step7.解析文件中的下一条未完成请求记录。

Step8.得到用户的相关信息。

Step9.调用NID生成模块生成相应的NID（在此需调用eID编码生成模块）。

Step10.记录数加1，判断是否所有记录都处理完毕。如果是，转Step11；否则转Step 7。

Step11.将请求文件记录状态设置为已完成。将产生的NID信息存储在NID数据库。

Step12.生成结果文件，返回给互联网应用。转Step18。

Step13.NID请求处理模块解析请求记录。

Step14.得到用户的相关信息。

Step15.调用NID生成模块生成相应的NID（在此需调用eID编码生成模块）。

Step16.将产生的NID信息存储在NID数据库。

Step17.将NID结果返回给请求发起用户。

Step18.流程结束。

二、NID的生成

NID的生成以eID编码为基础，采用RadioGatún算法族中的RG32函数进行哈希得到。

1、RG32函数

RadioGatún算法实现函数形如：z=RadioGatún[l_w](x)。其中：x为长度任意的输入串； l_w为字长参数，值为1-64bit，每一个值对应一个函数；z为无限长度的输出流，通过截取 的前l_h位，可以用作输出长度为l_h的哈希函数。

RG32是其中的一个实现函数，返回结果为32位的哈希值。RG32是一个采用了 belt-and-mill结构的迭代压缩函数。belt-and-mill是RG32哈希变换过程中的中间结构。其中， mill结构包含19个字；belt结构包含13列，每列3个字；结构一共包含58个字。该结构 是RG32函数每轮迭代的内部状态。每轮迭代的输入块包含3个字，输出块包含两个字。 每轮迭代的变换函数涉及以下4个操作：

Mill函数：一个作用于mill结构的可逆的非线性函数。

Belt函数：一个作用于belt结构的可逆的简单线性函数。

Milt函数：mill结构中的一些bit位与belt结构进行线性操作。

Bell函数：belt结构中的一些bit位与mill结构进行线性操作。

如图3所示，RG32函数执行的大致过程如下：

首先填补输入x（该填补要可逆）：先在x末尾加一位1，然后全部补充0，使得x正好 是输入块大小（3个字）的倍数。将填补后的x分成n_p块。

接着将内部状态初始化（belt-and-mill结构归零）。

然后对每一个输入块，执行如下过程：将输入块映射到内部状态结构（belt-and-mill结 构）中，与前一个内部状态按位加得到临时内部状态，再对该临时内部状态执行变换R，生 成新的内部状态。

对处理过所有输入块后的内部状态执行n_b轮空变换（不需要再结合输入，仅对内部状 态直接执行的变换，n_b=16）。

最后将内部状态映射为输出z，截取需要的前32位，作为函数返回的哈希值。

2、eID编码生成

NID由eID码经RG32算法压缩生成。而eID码是由用户证件号、姓名等信息经过一 系列变换生成。

令eID_version表示eID的版本号；eid_code_rvb表示预留位；BHash_Value表示杂凑值， 由用户姓名（name）、有效证件类型（type）、用户证件号码（IDnumber）、随机字符串 （random_eid_hash）进行运算得出，计算公式为：

BHash_Value=Base₆₄{SM3[append(name|IDnumber|type|random_eid_hash)]}

则eID_code计算公式如下：

eID_code=append(eID_version||BHash_Value||eID_code_rvb)

3、NID生成

在eID编码（eID_code）的基础上调用上述RG32函数H_rg32()，生成32位的NID。 即：

NID=H_rg32(eID_code)

三.NID冲突处理方法

NID是采用了RG32函数的哈希编码。为防止生成的NID产生碰撞，需要审核新NID是 否已经存在：如果已存在，则需要对该NID值再经过一次H_rg32()哈希变换，生成新的NID， 再次审核；直到生成的该NID值唯一，则生成流程结束，并返回NID值。

Step1.NID生成模块接收到NID生成请求记录，从请求记录中解析出用户姓名（name）、 有效证件类型（type）、用户证件号码（IDnumber）等相关信息。

Step2.为了保证用户NID的唯一性，NID生成模块启动审核程序，审核NID数据库中 是否已存在该用户对应的有效NID。如果不存在，审核通过，转Step3；否则，服务器直接 返回对应的有效NID，流程结束。

Step3.NID生成模块利用解析出的name、type、IDnumber等信息，采用信息安全国家 标准《网络电子身份格式规范》生成相应的eID_code。

Step4.在eID_code基础上调用RG32函数H_rg32()，生成32位的NID。即

NID=H_rg32(eID_code)

Step5.为防止生成的NID产生碰撞，NID冲突处理模块审核新的NID是否已经存在。 如果已存在，审核未通过，转Step6；否则审核通过，转Step7。

Step6.原eID_code加上一个随机数生成新的eID_code，即eID_code=eID_code+ random。转Step4。

Step7.返回新生成的NID值。流程结束。

采用了该发明中的实现下一代互联网NID生成的系统及方法，具有如下有益效果：

（1）唯一性：网络电子身份标识衍生码NID，基于具有唯一性的eID_code、利用RG32 哈希算法生成。根据RG32算法及NID防冲突处理方法，可以确保有效NID的唯一性。

（2）隐私性：NID本身不含任何用户身份信息（如有效身份证件号码、类型、姓名等）， 防止了公民身份隐私信息的泄露。

（3）不可逆性：NID是根据RG32哈希算法生成，该哈希算法的逆向计算具有不可行性， 因此，所生成的NID具有不可逆性。

（4）适用于IPv6网络：NID长度为32位，易于加载在IPv6扩展报文头部，适用于IPv6 网络，具有更广泛的应用范围。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种 修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限 制性的。