一种基于近场通信的移动网络量子密钥分发系统及其分发方法

摘要

本发明公开了一种基于近场通信的移动网络量子密钥分发系统及其分发方法，通过连接的攻击距离约束模块、用户身份验证模块、密钥分发模块、移动端密钥存储模块、密钥同步模块、量子加密文件传输模块、移动端密钥库、密钥池、近场通信设备与指纹模块，实现对近场通信密钥分发环境的检测，对移动设备用户合法性的验证，基于近场通信协议对移动网络的量子密钥分发，实现了对服务器端与网关端的密钥同步，对移动设备量子密钥的保密存储，对移动设备与服务器端的加密通信，并兼顾移动设备的高便携特性和应用轻便的特性。

说明书

技术领域

本发明属于通信技术领域，涉及一种基于近场通信的移动网络量子密钥分发系统及其分发方法。

背景技术

1927年，海森堡提出“海森堡测不准原理”，原理指出:一个微观粒子的某些物理量，不可能有确定的数值，如果有一个量为确定的值，另一个量的值就不确定。上世纪末科学家们在“海森堡测不准原理”“量子不可克隆原理”以及“量子测量坍塌原理”的基础之上提出了量子密码术。在量子密码术中以单量子态作为信息载体，基于“量子不可克隆原理”任何单量子无法被克隆，而利用“量子测量坍塌原理”当单量子被测量之后量子态会发生变化，因此信息的合法接收者可以根据量子态的坍塌来察觉信道中的窃听者从而中止通信。因此基于量子密码术的通信方式被称为在物理上“绝对安全”的通信方式，在国防，军事，政治，金融等各个领域都具有重要的研究价值。

从1984年提出的第一个量子密码协议至今，量子保密通信已经历了近30多年的基础理论研究和安全性验证，目前其实用化的时机已经成熟。随着各国逐渐意识到量子通信的重要意义，其产品化的脚步也在加快。欧美等发达国家已经开始了高速量子通信和大规模保密通信网络的探索，我国也将其列为重点科研项目进行研究，并且在2016年8月发射了全球第一颗量子卫星“墨子号”，使得量子密码术在实际应用中进入了一个新的里程。

在量子保密通信过程中，信息载体为单光子，考虑到单光子在光纤信道中的衰减及探测器探测效率等原因，商用系统的通信距离一般不会超过100km，这种局限性使得点对点量子通信系统只能适用于城际的保密通信，而对于省际和省际以上的保密通信却无能为力，这大大限制了量子保密通信的使用范围，对其实用化的发展进程也带来了阻碍。

目前对量子密码术应用的研究已经相当成熟，随着移动设备和移动网络的快速发展，对科学家来说移动网络的保密通信是一个巨大的挑战，而量子密钥术的“绝对安全”能够很好的解决移动网络的通信安全问题。然而以单光子作为载体的量子密码术在量子密钥分发的过程中需要通过量子信道和经典信道进行连接。基于传统的无线网对量子密钥的分发是非常不安全的。因此对移动网络的量子密钥安全分发成为量子密码术走向移动网络的障碍。如何在对移动设备进行量子密钥分发的同时兼顾移动设备的高便携性和应用轻便的特性成为量子密钥术走向移动网络待解决的难题。

发明内容

本发明的目的是提供一种基于近场通信的移动网络量子密钥分发系统及其分发方法，实现对近场通信密钥分发环境的检测，对移动设备用户合法性的验证，基于近场通信协议对移动网络的量子密钥分发，实现了对服务器端与网关端的密钥同步，对移动设备量子密钥的保密存储，对移动设备与服务器端的加密通信，并兼顾移动设备的高便携特性和应用轻便的特性。

本发明所采用的技术方案是，一种基于近场通信的移动网络量子密钥分发系统，包括攻击距离约束模块、用户身份验证模块、密钥分发模块、移动端密钥存储模块、密钥同步模块、量子加密文件传输模块、移动端密钥库、密钥池、近场通信设备与指纹模块；

所述攻击距离约束模块，用于通过攻击距离约束协议在移动设备进行用户身份验证前检测近场通信区域是否存在中继攻击窃听，如果检测到通信环境异常将中止对移动设备密钥分发；

所述用户身份验证模块，用于通过生物识别技术来确定当前使用移动设备进行密钥注入的用户身份的合法性，当用户身份验证成功后进入密钥分发模块；

所述密钥分发模块，用于对从网关端向移动设备注入量子密钥；

所述移动端密钥存储模块，用于对移动端密钥库进行读写访问，将从网关端获取的量子密钥进行保密存储；

所述密钥同步模块，用于将密钥信息写入到本地的SQLite数据库中，并将数据信息同步到服务器端数据库中；

所述量子加密文件传输模块，用于获取移动端密钥存储模块的量子密钥，并从移动设备端通过量子加密通信将数据传递到服务器端；

所述移动端密钥库，用于存储量子密钥的存储介质，用作量子密钥在移动端的存储载体；

所述密钥池，用于储存分发到的量子密钥；

所述近场通信设备，用于网关端与移动设备的近场通信；

所述指纹模块，用于获取用户指纹信息并传递给网关端身份验证子模块，进行用户身份验证。

进一步的，所述攻击距离约束模块包括移动端攻击距离约束子模块和网关端攻击距离约束子模块；所述用户身份验证模块包括网关端身份验证子模块和移动端身份验证子模块，所述网关端身份验证子模块与网关端攻击距离约束子模块相连，所述移动端身份验证子模块与移动端攻击距离约束子模块相连；所述密钥分发模块包括网关端密钥分发子模块和移动端密钥分发子模块；所述移动端密钥分发子模块与移动端身份验证子模块连接，网关端密钥分发子模块分别与网关端密钥池、网关端身份验证子模块连接；所述移动端密钥存储模块与移动端密钥分发子模块连接；所述密钥同步模块包括网关端密钥同步子模块和服务器端密钥同步子模块，服务器端密钥同步子模块与网关端密钥同步子模块通过经典信道进行密钥分发信息的同步；网关端密钥同步子模块与网关端密钥分发子模块连接，服务器端密钥同步子模块与服务器端密钥池连接；所述量子加密文件传输模块包括移动端量子加密文件传输子模块与服务器端量子加密文件传输子模块；移动端量子加密文件传输子模块与服务器端量子加密文件传输子模块通过经典信道实现从移动设备端通过量子加密通信将数据传递到服务器端；移动端量子加密文件传输子模块与移动端密钥存储模块连接，服务器端量子加密文件传输子模块与服务器端密钥池连接；所述移动端密钥库与移动端密钥存储模块连接；所述密钥池包括网关端密钥池和服务器端密钥池，网关端密钥池和服务器端密钥池之间通过量子信道连接，能够基于量子密钥分发协议实现量子服务器端与网关端的量子密钥分发；所述近场通信设备包括相互连接的移动端NFC传感器与网关端NFC密钥分发感应区；移动端NFC传感器分别与移动端攻击距离约束子模块、移动端身份验证子模块、移动端密钥分发子模块相连；网关端通过网关端NFC密钥分发感应区的NFC芯片向移动设备注入量子密钥，移动设备通过移动端NFC传感器接受网关端NFC芯片传递过来的密钥信息；网关端NFC密钥分发感应区由近场通信芯片和近场通信天线以及USB转串口组成，通过USB转串口分别与网关端攻击距离约束子模块、网关端身份验证子模块、网关端密钥分发子模块连接；通过开源的API库实现各模块对网关端NFC密钥分发感应区的调用；所述指纹模块与网关端身份验证子模块连接。

进一步的，所述移动端NFC传感器位于采用Android4.0以上操作系统、支持近场通信功能的移动设备上，系统具有Android Beam功能通过系统提供的API接口实现移动端NFC传感器与移动端攻击距离约束子模块、移动端身份验证子模块、移动端密钥分发子模块各个模块相连接。

本发明所采用的另一技术方案是：一种基于近场通信的移动网络量子密钥分发系统的分发方法，按照以下步骤进行：

步骤1，QKD链路密钥生成：量子密钥分发的网关端与服务器端通过QKD协议实时生成量子密钥并分别注入到网关端密钥池和服务器端密钥池中；量子密钥分发的网关端与服务器端通过量子信道连接，服务器端可以连接多个量子密钥分发网关进行QKD链路的密钥生成；

步骤2，初始化阶段：量子密钥分发的网关端对移动设备进行密钥分发时整个系统对服务器端密钥池和密钥分发的网关端密钥池进行初始化，记录当前密钥分发情况，初始化网关端密钥池和服务器端密钥池的参数，并且验证当前与服务器端的通信连接是否可靠，以确保密钥分发和同步的可靠性；

步骤3，移动设备靠近网关端NFC密钥分发感应区：用户将移动设备放置到量子密钥分发网关的网关端NFC密钥分发感应区，并建立连接；在建立连接的过程中移动设备调用移动端攻击距离约束子模块检测当前密钥分发环境以确保密钥分发环境的安全；

步骤4，用户身份验证阶段：当移动设备靠近网关端NFC密钥分发感应区并且检测密钥分发环境安全后，网关端身份验证子模块通过指纹识别验证用户身份；在用户身份验证阶段移动设备端的移动端身份验证子模块与网关端身份验证子模块通信，提示用户录入指纹信息，同时网关端身份验证子模块通过调用指纹模块获取指纹验证信息，并将指纹信息与网关端已注册用户的指纹库中的指纹特征进行比对验证用户身份；

步骤5，初始化密钥库阶段：在移动设备接受量子密钥分发网关注入的密钥信息之前，初始化移动端密钥库的状态和基本参数；

步骤6，密钥注入阶段：在用户身份验证成功后，移动设备和密钥分发的网关端分别调用移动端密钥分发子模块和网关端密钥分发子模块对移动设备进行密钥注入；

步骤7，密钥存储阶段：移动设备接收到量子密钥分发网关的数据后将量子密钥数据解密，并通过移动端密钥存储模块对本地文件进行加密存储，将量子密钥数据存入移动端密钥库中；

步骤8，密钥同步阶段：量子密钥分发网关在网关端密钥分发子模块完成密钥注入后，记录密钥分发信息到本地数据库，并通过网关端密钥同步子模块同步到移动网络的服务器端；

步骤9，服务器端通信阶段：量子密钥分发网关的网关端密钥同步子模块和服务器端密钥同步子模块完成密钥同步后，对移动网络的密钥分发完成可以通过量子加密文件传输模块实现移动设备与移动服务器端的量子加密文件传输；

步骤10，更新密钥库信息：在量子加密文件传输模块与移动网络的服务器端通信完成后，记录每一次消耗的密钥信息并将数据信息记录到本地，同时更新移动端密钥库中的数据信息。

进一步的，所述步骤1QKD链路密钥生成过程中，系统中当密钥生成量小于移动网络对量子密钥的需求量时，采用密钥倍增方法来增加分发网关端密钥池和服务器端密钥池中的密钥量，以满足移动网络对量子密钥的需求。

进一步的，所述步骤3中，在系统中同一量子密钥分发网关可以连接多个网关端NFC密钥分发感应区同时为多台移动设备注入密钥。

进一步的，所述步骤6中，从量子密钥分发的网关端到移动设备进行密钥注入时采用256位AES加密方式通过一次性密钥文本进行传输，保证密钥传输的可靠性。

进一步的，所述步骤8中，在密钥同步的过程中量子密钥分发网关端与移动网络的服务器端之间通过经典信道进行通信，且传递的数据为指针类型的数据。

进一步的，所述步骤3中，移动端攻击距离约束子模块检测当前密钥分发环境以确保密钥分发环境的安全是通过攻击距离约束协议来确定在近场通信范围内窃听者是否存在，协议初始化阶段网关端与移动设备共享初始化信息，初始化信息包括：共享密钥K，安全参数为随机函数F，伪随机函数的输出长度为2L，网关端需要设置响应最大时间Δt_max，攻击距离约束协议通过慢速质询快速质询验证阶段来确定近场通信区域内是否存在第三方窃听。

进一步的，在进行所述步骤9的服务器端通信阶段之前，需要采用Challenge校验的方式进行密钥正确性校验；所述步骤9中，网关端密钥同步子模块和服务器端密钥同步子模块传递的数据为以下六元组I

I＝<UserID,MobileMac,StartIndex,EndIndex,Length,Time>

在六元组中UserID表示用户的ID，MobileMac表示用移动设备的物理网卡地址，StartIndex分发密钥的起始位置，EndIndex分发密钥的终止位置，Length分发密钥的长度，Time分发密钥的时间，通过六元组的传递，在网关端到服务器端之间的密钥不同步并不涉及到量子密钥的传输，在经典信道中只是传输指针信息，保证了分发给移动网络的量子密钥不被泄漏。

本发明的有益效果是通过中继攻击距离约束协议实现对密钥分发环境的检测，利用生物识别技术实现对用户的身份合法性的验证，基于近场通信技术完成对移动网络的量子密钥分发，同时通过经典信道的TCP/IP协议实现对服务器端与移动设备端的量子密钥同步和加密通信，并兼顾了移动设备的高便携性与应用轻便性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的基于近场通信的移动网络量子密钥分发方法所采用的结构示意图。

图2是本发明实施例提供的基于近场通信的移动网络量子密钥分发方法的流程图。

图3是本发明实施例提供的基于近场通信的移动网络量子密钥分发接入网关端的集成示意图。

图中：1.1、移动端攻击距离约束子模块；1.2、网关端攻击距离约束子模块；2.1、移动端身份验证子模块；2.2、网关端身份验证子模块；3.1、移动端密钥分发子模块；3.2、网关端密钥分发子模块；4、移动端密钥存储模块；5.1、网关端密钥同步子模块；5.2、服务器端密钥同步子模块；6.1、移动端量子加密文件传输子模块；6.2、服务器端量子加密文件传输子模块；7、移动端密钥库；8.1、网关端密钥池；8.2、服务器端密钥池；9.1、移动端NFC传感器；9.2、网关端NFC密钥分发感应区；10、指纹模块。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1为本发明实施例的基于近场通信的移动网络量子密钥分发方法的结构，如图1所示，本发明是这样实现的：包括攻击距离约束模块、用户身份验证模块、密钥分发模块、移动端密钥存储模块4、密钥同步模块、量子加密文件传输模块，移动端密钥库7，基于近场通信的移动网络量子密钥分发方法具体步骤如下：

(1)QKD链路密钥生成：量子密钥分发的网关端与服务器端可通过BB84等QKD协议实时生成量子密钥并分别注入到网关端密钥池8.1和服务器端密钥池8.2中。量子密钥分发的网关端与服务器端通过量子信道连接，服务器端可以连接多个量子密钥分发网关进行QKD链路的密钥生成。在系统中当密钥生成量小于移动网络对量子密钥的需求量时，采用密钥倍增方法来增加分发网关端密钥池8.1和服务器端密钥池8.2中的密钥量，以满足移动网络对量子密钥的需求。

(2)初始化阶段：量子密钥分发网关对移动设备进行密钥分发时整个系统对服务器端密钥池8.2和密钥分发的网关端密钥池8.1进行初始化，记录当前密钥分发情况，初始化网关端密钥池8.1和服务器端密钥池8.2的参数，并且验证当前与服务器端的通信连接是否可靠，以确保密钥分发和同步的可靠性。

(3)移动设备靠近网关端NFC密钥分发感应区9.2：用户将移动设备放置到量子密钥分发网关的网关端NFC密钥分发感应区9.2，并建立连接；在建立连接的过程中移动设备调用移动端攻击距离约束子模块1.1检测当前密钥分发环境以确保密钥分发环境的安全；在系统中同一量子密钥分发网关可以连接多个网关端NFC密钥分发感应区9.2同时为多台移动设备注入密钥。

(4)用户身份验证阶段：当移动设备靠近网关端NFC密钥分发感应区9.2并且检测密钥分发环境安全后，网关端身份验证子模块2.2通过指纹识别验证用户身份。在用户身份验证阶段移动设备端的移动端身份验证子模块2.1与网关端身份验证子模块2.2通信，提示用户录入指纹信息，同时网关端身份验证子模块2.2通过调用指纹模块10获取指纹验证信息，并将指纹信息与网关端已注册用户的指纹库中的指纹特征进行比对验证用户身份。

(5)初始化密钥库阶段：在移动设备接受量子密钥分发网关注入的密钥信息之前，初始化移动端密钥库7的状态和基本参数。

(6)密钥注入阶段：在用户身份验证成功后，移动设备和密钥分发的网关端分别调用移动端密钥分发子模块3.1和网关端密钥分发子模块3.2对移动设备进行密钥注入。从量子密钥分发的网关端到移动设备进行密钥注入时采用256位AES加密方式通过一次性密钥文本进行传输，保证密钥传输的可靠性。

(7)密钥存储阶段：移动设备接收到量子密钥分发网关的数据后将量子密钥数据解密，并通过移动端密钥存储模块4对本地文件进行加密存储，将量子密钥数据存入移动端密钥库7中。

(8)密钥同步阶段：量子密钥分发网关在网关端密钥分发子模块3.2完成密钥注入后，记录密钥分发信息到本地数据库，并通过网关端密钥同步子模块5.1同步到移动网络的服务器端。在密钥同步的过程中量子密钥分发网关端与移动网络的服务器端之间通过经典信道进行通信，且传递的数据为指针类型的数据。

(9)服务器端通信阶段：量子密钥分发网关的网关端密钥同步子模块5.1和服务器端密钥同步子模块5.2完成密钥同步后，对移动网络的密钥分发完成可以通过量子加密文件传输模块实现移动设备与移动服务器端的量子加密文件传输。量子加密文件传输模块包括移动端量子加密文件传输子模块6.1与服务器端量子加密文件传输子模块6.2。

(10)更新密钥库信息：在量子加密文件传输模块与移动网络的服务器端通信完成后，记录每一次消耗的密钥信息并将数据信息记录到本地，同时更新移动端密钥库7中的数据信息。

根据上述系统的运行流程每一个功能模块介绍如下：

攻击距离约束模块分为两个子模块：移动端攻击距离约束子模块1.1和网关端攻击距离约束子模块1.2，移动端攻击距离约束子模块1.1和网关端攻击距离约束子模块1.2通过攻击距离约束协议在移动设备进行用户身份验证前检测近场通信区域是否存在中继攻击窃听，以确保量子密钥分发的安全性，如果检测到通信环境异常将中止对移动设备密钥分发。

用户身份验证模块分为两个子模块：网关端身份验证子模块2.2和移动端身份验证子模块2.1，网关端身份验证子模块2.2与网关端攻击距离约束子模块1.2相连，移动端身份验证子模块2.1与移动端攻击距离约束子模块1.1相连；通过生物识别技术(例如：指纹识别，虹膜识别)来确定当前使用移动设备进行密钥注入的用户身份的合法性，优选采用指纹识别来验证移动设备使用者的合法性，当用户身份验证成功后进入密钥分发模块。

密钥分发模块分为两个子模块：网关端密钥分发子模块3.2和移动端密钥分发子模块3.1。用于对从网关端向移动设备注入量子密钥。移动端密钥分发子模块3.1与移动端身份验证子模块2.1连接，网关端密钥分发子模块3.2分别与网关端密钥池8.1、网关端身份验证子模块2.2连接。网关端通过网关端NFC密钥分发感应区9.2的NFC芯片向移动设备注入量子密钥，移动设备通过移动端NFC传感器9.1接受网关端NFC芯片传递过来的密钥信息。密钥分发模块利用NFC短距离通信的特点保证在密钥分发时密钥信息的安全性，此外近场通信无线传输的特性很好的兼顾了移动设备高便携特性。

移动端密钥存储模块4，与移动端密钥分发子模块3.1连接，用于对移动端密钥库7进行读写访问，将从网关端获取的量子密钥进行保密存储。移动设备从网关端注入密钥成功后需要验证用户身份，密钥文件的加密操作对用户来说是透明的，为了防止密钥信息的泄漏用户无法直接读取密钥库中的内容，在进行密钥注入或使用密钥前需要提前验证用户身份。

密钥同步模块分为两个子模块：网关端密钥同步子模块5.1和服务器端密钥同步子模块5.2。网关端密钥同步子模块5.1与网关端密钥分发子模块3.2连接，网关端密钥分发子模块3.2将密钥分发信息传递给网关端密钥同步子模块5.1，将密钥信息写入到本地的SQLite数据库中，并将数据信息同步到服务器端数据库中，服务器端密钥同步子模块5.2与网关端密钥同步子模块5.1通过经典信道进行密钥分发信息的同步。服务器端密钥同步子模块5.2与服务器端密钥池8.2连接。

量子加密文件传输模块分为两个子模块：移动端量子加密文件传输子模块6.1与服务器端量子加密文件传输子模块6.2；移动端量子加密文件传输子模块6.1与移动端密钥存储模块4连接并获取量子密钥，移动端量子加密文件传输子模块6.1与服务器端量子加密文件传输子模块6.2通过经典信道实现从移动设备端通过量子加密通信将数据传递到服务器端；服务器端量子加密文件传输子模块6.2与服务器端密钥池8.2连接。

移动端密钥库7，用于与移动端密钥存储模块4连接，是用于存储量子密钥的存储介质，用作量子密钥在移动端的存储载体。

密钥池8分为两个子模块：网关端密钥池8.1和服务器端密钥池8.2，网关端密钥池8.1和服务器端密钥池8.2之间通过量子信道连接，能够基于量子密钥分发协议(如：BB84协议)实现量子服务器端与网关端的量子密钥分发，实时的产生密钥满足移动网络的量子密钥需求，服务器端密钥池8.2和网关端密钥池8.1用来储存分发到的量子密钥。

近场通信设备分为两个子模块：相互连接的移动端NFC传感器9.1与网关端NFC密钥分发感应区9.2。移动端NFC传感器9.1分别与移动端攻击距离约束子模块1.1、移动端身份验证子模块2.1、移动端密钥分发子模块3.1相连。在实施例中移动设备采用Android4.0以上的操作系统，系统具有Android Beam功能通过系统提供的API接口实现移动端NFC传感器9.1与移动端攻击距离约束子模块1.1、移动端身份验证子模块2.1、移动端密钥分发子模块3.1各个模块相连接。在实施例中网关端NFC密钥分发感应区9.2通过USB转串口分别与网关端攻击距离约束子模块1.2、网关端身份验证子模块2.2、网关端密钥分发子模块3.2连接。在实施例中通过开源的API库实现各个模块对网关端NFC密钥分发感应区9.2的调用。移动端NFC传感器9.1位于移动设备上，是支持近场通信功能的移动端自身的硬件配置。网关端NFC密钥分发感应区9.2由近场通信芯片和近场通信天线以及USB转串口组成，通过USB转串口连接到网关端，通过网关端NFC密钥分发感应区9.2能够支持网关端与移动设备的近场通信。

指纹模块10，为电容式指纹传感器，用于获取用户指纹信息并传递给网关端身份验证子模块2.2，进行用户身份验证。

结合图1-图3对本发明的原理做进一步的描述：

攻击距离约束模块具有检测近场通信环境内是否存在中继攻击的作用，可以通过攻击距离约束协议来确定在近场通信范围内窃听者是否存在。协议初始化阶段网关端与移动设备共享初始化信息，初始化信息主要包括以下内容：共享密钥K，安全参数为随机函数F，伪随机函数的输出长度为2L，网关端需要设置响应最大时间Δt_max，攻击距离约束协议通过慢速质询快速质询验证阶段来确定近场通信区域内是否存在第三方窃听。

用户身份验证模块的功能当网关端检测密钥注入环境不存在第三方数据窃听者，将调用用户身份验证模块；用户身份验证模块的具体实现方法如下：

进入用户身份验证模块后，用户身份验证模块跟据用户输入的指纹分别提取两次指纹特征，在提取两次指纹特征后将两次指纹特征合并成一个新的指纹特征，在合并的指纹特征中提取指纹特征点集合P，特征点集合P的表示如下：

$P=\{p_1,p_2,\mathrm{......},p_n\}=\{({\chi }_{p_1},y_{p_1},{\theta }_{p_1}),({\chi }_{p_2},y_{p_2},{\theta }_{p_2}),({\chi }_{p_3},y_{p_3},{\theta }_{p_3})\mathrm{......},({\chi }_{p_n},y_{p_n},{\theta }_{p_n})\}$

将该特征点集合P与网关端已注册用户的指纹库中的特征点集合Q相互匹配。在上述的特征点集合P中，表示第i个特征点的三条信息，沿X轴、Y轴的大小和特征向量的方向。如果对输入的指纹特征点集合P能够在对应的变化因子下通过特定的变换方式转换成特征点集合Q，则将P和Q视为匹配。

以上过程中：

主要包括指纹图像预处理阶段、指纹特征提取阶段以及指纹特征匹配阶段。在指纹预处理阶段包括指纹滤波，指纹图像的二值化，指纹图像的细化。指纹滤波主要目的在于清除指纹图像的破坏，在指纹图像的破坏中主要是由于噪声和指纹压力造成的通过指纹滤波尽量除去图像中的这两种噪声。

在指纹滤波处理完成后需要对指纹图进行二值化处理，通过二值化处理可以将一副灰度图转化为黑白图像一般的灰度二值函数，表示如下：

$f\left(x\right)=\left(\begin{array}{cc}0& x<T\\ 255& x\ge T\end{array}\right)---\left(1\right)$

在上述公式中x为灰度图的灰度值，T为指定的阈值。在指纹案例中采用自适应二值化的方法，在二值化后能够得到较好的指纹黑白图像。

在完成对指纹的预处理阶段后需要进行指纹的特征提取通过提取指纹细节特征中的终止点、分叉点、分歧点、孤立点，环点和短纹来组合成指纹图像的整体特征。在指纹特征提取阶段通过需要分别提取邻域点数S_p和交叉点数C_p。

$S_P={\Sigma }_{k=1}^{8}R\left(k\right)---\left(2\right)$

$C_p=\frac{1}{2}{\Sigma }_{k=1}^8|R(k+1)-R\left(k\right)|---\left(3\right)$

其中R(k)为8邻域中排列顺序为k的像素P_k的取值，R(9)＝R(1)。根据上述提取的S_p和C_p的大小，如果两者都等于1则像素p处为终止点；若满足都等于3，则像素p处为分叉点；S_p＝2，C_p＝2或3则满足像素p为纹线连续点。

根据指纹特征提取阶段提取出来的数据指纹图像特征与特征库中的指纹特征集合Q进行匹配，如果匹配结果大于等于给定的阈值则表示两个指纹为同一个指纹，如果匹配结果小于给定的阈值则表示两者不是同一指纹。

如图2流程所示，密钥分发模块的具体实现方法如下：

在系统检测注入密钥环境安全和用户身份验证成功后，网关端通过密钥分发模块向移动设备注入量子密钥。优选的，移动设备采用Android4.0以上的手机，在移动设备端通过Android系统的Android Beam功能实现对NFC通信功能。在网关端密钥分发子模块3.2NFC通信的实现通过USB转串口连接的NFC芯片实现，同一个网关端设备上可以同时连接多个NFC芯片同时为多台移动设备进行密钥注入。

在密钥分发模块中，网关端密钥分发子模块3.2从网关端密钥池8.1中获取量子密钥并将量子密钥以0，1比特形式通过近场通信传递到移动端密钥分发子模块3.1接收。在密钥分发过程中采用NFCA芯片在密钥传输时采用动态读、写卡模式进行密钥信息的传递。目前NFC芯片的通信速率有以下三种分别为：106kbit/s，212kbit/s，424kbit/s射频频率为13.56MHz，近场通信的距离在10cm以内。基于近场通信的以上特性，优选采用动态读、写卡模式进行密钥分发，数据传输的速率为424kbit/s，10cm的有效通信范围有效的防止了量子密钥信息被窃取。

在密钥分发模块每一次密钥分发传输的密钥量为8192bit，在网关端密钥分发子模块3.2中密钥分发完成后将数据信息传递给网关端密钥同步子模块5.1，将密钥信息同步到服务器端。移动端密钥分发子模块3.1将获取的量子密钥传递给移动端密钥存储模块4，对密钥文件进行加密存储。

移动端密钥存储模块4的具体实现方法：

移动端密钥存储模块4将获取到的量子密钥信息写入到本地，并进行加密处理，在移动端密钥存储模块4中加密处理操作对用户来说是透明的，移动设备上的其他应用在访问密钥存储文件需要进行授权，而移动端密钥库7的授权也需要进行身份验证，通过身份验证来确定量子密钥访问者是否合法，在系统中用户无法直接看到从网关端获取的量子密钥文件或者加密后的量子密钥文件，以保证移动端密钥库7中的量子密钥信息不会泄漏。

网关端密钥同步子模块5.1将密钥分发的信息写入到网关端数据库并通过经典信道同步到服务器端密钥同步子模块5.2，服务器端密钥同步子模块5.2将密钥分发信息记录到服务器端数据库中。

在密钥同步模块中采用在服务器端与网关端传递的数据为以下六元组I。

I＝<UserID,MobileMac,StartIndex,EndIndex,Length,Time>(4)

在六元组中UserID表示用户的ID，MobileMac表示用移动设备的物理网卡地址，StartIndex分发密钥的起始位置，EndIndex分发密钥的终止位置，Length分发密钥的长度，Time分发密钥的时间。通过上述六元组的传递，在网关端到服务器端之间的密钥不同步并不涉及到量子密钥的传输，在经典信道中只是传输指针信息，保证了分发给移动网络的量子密钥不被泄漏。

当密钥分发模块和密钥同步模块完成了对移动网络的密钥分发和密钥同步后，移动设备与服务器之间可以进行有效的量子密钥保密通信。在实施例中，通过量子加密文件上传来验证分发方法的有效性。移动端量子加密文件传输子模块6.1将数据加密并传递服务器端量子加密文件传输子模块6.2，服务器端量子加密文件传输子模块6.2将数据解密并保存在本地。

在移动端量子加密文件传输子模块6.1与服务器端量子加密文件传输子模块6.2进行与服务器端加密通信前，即步骤9之前，移动端与服务器通过量子加密通信前必须保证量子密钥分发的一致性，为了验证同一个用户在服务器端和移动设备端分发到的密钥是否相同，在每一次加密通信开始之前需要进行密钥正确性校验。在实施例中采用Challenge校验的方式进行密钥正确性校验，如果校验结果正确，服务器端允许移动设备访问；否则拒绝移动设备的访问。Challenge校验的流程如下：

1.服务器端接受到连接请求后向移动设备发送一段随机字符串。

2.移动设备利用量子密钥采用256位AES加密算法加密字符串数据，加密完成后发送回服务器端。

3.服务器端加密自身产生的随机字符串并与移动设备回应的字符串相匹配。

4.如果匹配成功则密钥校验成功，否则密钥校验失败不具有访问权限。

在量子加密文件传输模块中，如果Challenge校验成功则进入文件上传阶段，将移动端文件通过256位的AES加密传输进行上传，服务器端接收上传文件后将文件解密后存储的本地并更新数据库中该用户的密钥消耗量。

如图3所示为移动网络量子密钥分发系统集成图。基于近场通信的移动网络量子密钥分发方法主要用于实现对移动网络的量子密钥分发。移动网络量子密钥分发系统通过近场通信将密钥从网关端注入到移动设备，并且在移动设备成功接收网关端密钥信息后网关端将密钥信息同步到服务器端。在图3中网关端与服务器端之间的密钥分发通过量子QKD链路实现。通过量子QKD链路在网关端密钥池和服务器端密钥池中生成待分发的量子密钥。在实际应用中一台服务器可以与多个网关端进行连接。网关端通过近场通信技术与移动设备进行连接，将量子密钥注入移动设备，同时通过密钥同步模块将密钥信息同步到服务器端。在一个网关端设备上可以同时接载多个NFC天线同一时间内向多个移动设备注入量子密钥。在移动设备成功注入量子密钥后，移动设备与服务器端可以通过经典信道进行量子加密通信。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。