面向Kubernetes与云原生5G/B5G核心的后量子Merkle树证书公钥基础设施
后量子签名方案如ML-DSA-65生成的签名长度达3,309字节,公钥达1,952字节,比传统Ed25519方案大50倍以上。在需要双向认证的Kubernetes控制平面和5G核心网等TLS认证环境中,这种开销会因每秒数千次握手而急剧放大。目前IETF正在开发的默克尔树证书(MTC)方案,通过默克尔包含证明取代传统证书签发者签名,并在里程碑模式下彻底消除了证书认证过程中的传输层签名。该研究团队提出了基于MTC的PKI架构方案,分别针对Kubernetes和3GPP 5G服务化架构实现——在基础设施层,该方案用MTCA部署替代Kubernetes集群CA,通过联署人和基于DaemonSet的里程碑分发器为控制平面组件颁发MTC证书;在此基础上,研究团队为基于QORE(一种后量子5G核心网)部署的5G网络功能设计了证书生命周期管理体系。团队在Go语言的crypto/tls和crypto/x509包中实现了MTC证明构造与验证功能。在Intel i9-12900平台的测试数据显示,MTC里程碑验证可在2微秒内完成,而ECDSA签名验证需24微秒,且对TLS握手时间无显著影响。该方案进一步提出了6G原生架构设想:由NRF担任MTCA角色、SCP作为见证联署人,并探讨了该技术在非地面网络的适用性。
