IPsec的混合量子安全

量子密钥分发(QKD)能够提供针对量子计算威胁的信息论安全性,但由于预分发量子密钥与计算型密钥交换范式之间存在根本性不匹配,将QKD整合至现有安全协议仍是未解难题。该研究团队首次系统性地比较了IPsec协议中串行与并行混合QKD-PQC密钥建立策略,揭示了超越具体实现方案的基础协议设计原则。该工作提出两种将QKD融入互联网密钥交换第二版(IKEv2)的创新方法(均支持ETSI GS QKD 004有状态与ETSI GS QKD 014无状态API规范):(1) 纯QKD方案——通过基于标识符的量子密钥协调取代计算型密钥派生;(2) 统一QKD-KEM抽象层——在现有协议框架内实现量子密码学与后量子密码学方法的并行组合。核心发现表明:并行混合方案消除了RFC 9370强制要求的串行方法固有乘性延迟惩罚,在实际网络条件下实现了显著性能提升。基于ID Quantique QKD硬件与Docker测试框架的性能评估显示,在网络延迟条件下并行混合方案性能明显优于串行方法,而纯QKD通过基于标识符的密钥协调实现了最低带宽开销。该团队实现的方案为需要纵深防御安全的关键基础设施部署提供了实用的量子增强型IPsec解决方案。

量科快讯