量子安全6G：协议法案及其背后的光子浪潮

报告

量子安全6G：协议法案及其背后的光子浪潮

by Simon McCorkindale May 12, 2026

6G标准化还需数年时间，但将塑造其走向的密码学选择正在当下做出。每一个五眼联盟后量子密码学迁移截止日期，均早于首批商用6G无线电设备的预期上市时间。东芝布里斯托研究实验室的一篇新论文，对NIST标准化的基础算法在实际电信相关硬件上的表现进行了基准测试——包括桌面级、ARM级边缘设备，以及刻意引入网络干扰的场景。研究结果对任何规划6G迁移的人都具有参考价值。论文末句——将QKD指向作为格密码学的物理层补充——可谓更具价值，因为同一两周内发表的另外三篇论文表明，该物理层正以大多数运营商未曾察觉的速度走出实验室。

参考文献： arXiv 2605.06881v1，Kudaloor & Aijaz（东芝布里斯托研究与创新实验室），录用于 IEEE Communications Standards Magazine，2026年5月7日。

论文测量内容

作者通过 liboqs（Open Quantum Safe项目的参考C语言库）、openssl speed以及完整TLS 1.3握手，对NIST标准化的后量子密码学基础算法——即密码学底层算法本身（ML-KEM / Kyber、ML-DSA / Dilithium、Falcon），与调用它们的TLS等协议有所区别——在两个参考平台上进行测试：以Intel Core i7代表核心端，以Raspberry Pi 4代表ARM级边缘/物联网芯片。握手测量在无会话恢复的条件下进行——即每次连接均为完整的密钥交换与证书验证，而非重用先前会话票据的快速路径——这是迁移成本估算的保守情形。研究在隔离条件下对基础算法进行基准测试，在理想条件下进行完整握手测试，并通过 tc netem（一种Linux内核工具，可向网络接口注入受控延迟、丢包和乱序，用于在实验室中模拟真实无线条件）在刻意引入网络干扰的条件下测试握手。此外，研究还在算法层面对密文扩展量，以及协议层对应的TCP载荷增长进行了列表比较。

有三项结果值得从论文中提炼出来。

握手开销可控，但并非为零。混合方案 X25519MLKEM768 相较于经典X25519，使TLS 1.3握手增加约2 KB。加入ML-DSA签名后，这一数字接近10 KB。CPU利用率在桌面级核心上几乎没有变化；每次连接的能耗约高出36%。单次会话而言微不足道，但在一个全国性6G网络每日产生的数十亿短时会话面前，这是一个不可忽视的电力预算项。

受限硬件呈现出截然不同的面貌。在i7上，ML-KEM密钥生成性能与经典X25519相当。在Raspberry Pi 4上，经典方案在所有ML-KEM变体上均保持明显优势，而i7在各处约为Pi的2倍——差距来自微架构和SIMD位宽（单指令多数据向量单元，x86拥有更宽且更成熟的实现，相比嵌入式ARM）。这些资源在传感器、电表或手机内部的芯片上均不充裕。作者明确指出：后量子密码学在高性能平台上具有竞争力；在受限平台上，参数选择与密文大小才是决定性因素。

链路良好时没有问题，直到链路出现问题。在无丢包的实验室条件下，启用后量子密码学的TLS与经典方案基本相当。一旦引入50毫秒延迟，或20毫秒延迟叠加0.5%丢包，Falcon-512的握手吞吐量便从5,600次骤降至几十次。握手可扩展性，用作者的话说，变得”强烈受限于网络”。厂商基准测试通常在回环接口上运行；实际部署面对的是无线电信道。

这些影响落在了标准机构身上，而不仅仅是工程师。后量子密码学并非直接替换：密钥尺寸不同，握手语义不同，故障模式也不同。3GPP必须规定后量子密码学与混合方案如何在认证和密钥协商中协商。ETSI必须发布运营商可分阶段部署的迁移配置方案。GSMA必须将其转化为过渡期间漫游和证书管理的指导方针。这些工作均未完成，却全部处于6G的关键路径之上。

末句另有深意

论文最后一句——“将ML-KEM等格密码学方案与QKD等物理层方法相结合，可为长期安全且具有韧性的6G网络提供支撑”——值得重读。后量子密码学是一个第7层问题，其握手开销有限且可预期。QKD是一个第1层选项，适用于网络中光纤归属于单一运营商、且威胁模型为国家级对手”现在收集、日后解密”的路段。两者并非替代关系，而是位于同一网络的不同层次。而物理层正在加速演进。

三周，三步走出实验室

IonQ + Florida LambdaRail，2026年4月27日。一份主服务协议，计划在FLR全长1,540英里的研究与教育（R&E）专用暗光纤骨干网上部署IonQ的QKD——这类专用NREN基础设施由高校和研究机构在彼此之间运营，与商业电信网络并行。第一阶段为棕榈滩至迈阿密-戴德县之间的100英里三节点走廊，是美国首个全州量子安全网络计划。继IonQ在瑞士和罗马尼亚（RoNaQCI）的现有部署之后，采用的是生产光纤，而非测试平台。

Wang et al.，Light: Science & Applications，2026年5月9日。利用电信C波段按需量子点单光子源，在120公里标准光纤上实现时间箱QKD。在六小时连续无人值守操作中，维持约15 bps的安全密钥速率。速率虽低，但系统基于固态器件，本质上对环境漂移具有鲁棒性，且全程无需人工重新对准。

Albrechtsen et al.，arXiv 2510.09251（尼尔斯·玻尔研究所 / Sparrow Quantum / 波鸿 / 巴塞尔，2025年10月）与Anisimov et al.，arXiv 2605.03717v1（德累斯顿HZDR，2026年5月）。两篇互补的硬件研究。前者是一种集成于波导中的电信波段量子点光子源，兼容硅光子学和标准CMOS驱动电压——即长距离QKD的光源端，基于工业级衬底。后者是碳化硅中的氯缺陷量子存储器，具有电信O波段和C波段发射，在室温下具有自旋活性，采用晶圆级可扩展平台——即量子中继器问题的存储器端。

光源电信波段，存储器电信波段，均基于工业级衬底，与当今承载ML-KEM混合TLS的同一根光纤兼容。

全球现状

读到QKD新闻，很容易误以为全球运营商的整体进展远超实际水平。数据说明了不同的情况。GSMA Intelligence 2025年运营商量子调查覆盖全球100余家移动运营商，结果显示20%已部署某种形式的QKD，8%的在役物联网设备达到量子安全标准——这意味着约80%的受访运营商尚未启动QKD部署，逾90%的物联网设备仍处于暴露状态。由IBM和沃达丰于2022年发起、如今已成为行业对话核心的GSMA后量子电信网络工作组，成员涵盖50余家电信公司和20余家主要运营商。规模不小，但仅占全球运营商群体的一小部分。

可见的领跑者是一个小群体。Telefónica于2025年建立了量子技术卓越中心。德国电信自2023年起运营其柏林量子实验室。沃达丰联合创立了GSMA工作组。新加坡电信向企业客户销售托管量子安全服务。KDDI、NTT、英国电信、Orange和SK Telecom均开展过QKD试点。2026年3月在巴塞罗那MWC上发言的某一级运营商QuSecure，已通过代理网格方式在棕地基础设施上部署了X25519+ML-KEM-768混合TLS——这是首个已发表的后量子TLS在生产电信基础设施中落地的案例研究。而据GSMA自身数据，全球其余大多数运营商仍处于密码学资产清点和规划阶段。

新西兰视角

新西兰的处境，大致与全球平均水平的运营商相当——既非领跑者，也并非特别落后。四月的扫描显示，没有任何新西兰电信运营商在公共网络边缘的源端运行后量子TLS——而这是最易迁移的攻击面；Kudaloor和Aijaz论文实际基准测试的5G核心网与信令平面处于更深的层级，我们对此没有公开数据。目前尚无新西兰运营商发布Telefónica、德国电信或沃达丰那样的量子安全路线图，新西兰也尚不存在类似Florida LambdaRail、澳大利亚量子网络或新加坡国家量子安全网络的对应项目。REANNZ——新西兰的NREN，在职能上等同于FLR——在南北两岛运营100 Gbps光纤；Chorus和本地光纤公司运营商业接入光纤；海底电缆连接悉尼、夏威夷及更远地区。目前均未承载量子密钥，量子安全网络基础设施既未出现在NZIAT量子技术探索进程的范围内（据目前信号），也未出现在DPMC关键基础设施咨询文件中——正如我们在四月提交意见时所指出的，该文件完全未提及密码学。

重点不在于新西兰是否特别落后——从GSMA数据来看，全球整体基准较低，大多数运营商仍处于规划而非部署阶段。重点在于：这一基准正在提升，领跑者正在拉大差距，而现在就开始规划远比日后更有价值。Kudaloor和Aijaz的论文，是新西兰运营商应与其他各国在同一时间轴上展开的6G后量子密码学迁移对话中一份有益的参考文献。其背后的三项QKD进展，则是我们目前似乎尚未开启的量子网络对话中一份同样有益的参考。

没有人因为最后行动而获奖。

Kaysec是Spinsphere的后量子安全业务部门，Spinsphere是一家总部位于新西兰的量子技术公司。我们为新西兰各组织提供密码学资产清点、”现在收集、日后解密”风险评估及后量子密码学迁移规划服务。欢迎联系我们。