PQC验证器:验证云原生5G核心网络的后量子就绪状态
5G核心网正进入后量子(PQ)迁移的关键阶段:运营商和供应商开始基于服务化接口(SBI)以及N2、N3、N4参考点推广PQ-TLS 1.3、PQ-IPsec和混合KEM支持,这些举措符合3GPP TS 33.501规范、新兴的IETF草案以及NIST FIPS 203、204、205标准。然而,部署PQ原语并不能保证PQ安全性。一个网络功能可能宣称支持ML-KEM-768,却静默回退至X25519;协商使用混合KEM,但通过ECDSA-P256进行认证;在经典证书链上呈现ML-DSA叶子证书;甚至完全跳过双向TLS。这些故障在传输层面是静默发生的,而当前的扫描工具和5G专用模糊测试器既无法感知PQ,也缺乏电信领域针对性。该团队提出PQC Validator——一个专为云原生5G核心网设计的分层PQC保障框架,包含PQ密码引擎(L1)、PQ一致性探测模块(L2)、PQ鲁棒性测试模块(L3)、PQ开销计量模块(L4)以及用于传输级真实状态的eBPF认证平面。该框架覆盖整个控制面密码学表面:独立的PQ-TLS 1.3客户端与服务器、用于N2/N3/N4接口的strongSwan驱动PQ-IPsec工具集、通过eBPF/XDP/TC监控平面提取协商组和签名的传输级真实状态,以及Kubernetes原生UI——该UI可自动发现网络功能并生成结构化PQ证据,将每个端点分类为经典、混合PQ或全PQ。合规套件涵盖TLS、PQC、3GPP SBI、NRF OpenAPI和安全加固,而协议模糊测试器则针对CVE类回归和降级路径进行测试。
