迈向量子安全的开放无线接入网络——基于ML-KEM的E2接口IPsec实验评估
随着开放式无线接入网(O-RAN)部署规模的扩大,以及攻击者采用"先存储后解密"策略,运营商需要关于将关键控制接口迁移至后量子密码(PQC)实际成本的经验数据。本研究通过实验评估了将符合NIST标准的模格密钥封装机制(ML-KEM,即CRYSTALS-Kyber)集成至IKEv2/IPsec协议的影响,该协议用于保护5G基站(gNB)与近实时无线接入网智能控制器(Near-RT RIC)之间的E2接口。基于srsRAN、Open5GS、FlexRIC和strongSwan(集成liboqs)构建的开源测试平台,该团队对比了三种配置方案:无IPsec保护、基于经典椭圆曲线迪菲-赫尔曼(ECDH)的IPsec,以及基于ML-KEM的IPsec。研究重点关注IPsec隧道建立时延,以及近实时RIC的xApps在真实信令负载下的运行时表现。自动化重复测试结果表明:与传统IPsec相比,ML-KEM集成仅给隧道建立增加约3~5毫秒的微小开销,且xApp运行与RIC控制回路在实验中保持稳定。这些发现表明,在E2接口部署基于ML-KEM的IPsec具有实际可行性,为O-RAN的量子安全迁移策略提供了重要参考。
