用于工业物联网的后量子密码认证协议：基于格的加密方法

为何为工厂设备未雨绸缪至关重要

工厂、发电厂和智能城市越来越依赖于大量联网小设备——传感器、控制器和网关——它们默默地维持设备运行并传递数据。当前保护这些工业设备的加密算法是为常规计算机设计的。随着强大量子计算机的出现，这些保护措施最终可能被攻破。本文提出了一个务实的问题：我们能否在不降低性能或超出受限硬件承载能力的前提下，立即使用新的“后量子”工具升级工业物联网（IIoT）设备的安全性？

为新型计算机打造的新型锁

作者首先解释了当今数字锁面临的风险。像 RSA 和椭圆曲线密码学之类的常见方法基于一些对经典计算机而言难解的数学问题，而量子算法可以显著更快地解决这些问题。为此，标准组织（如 NIST）开展了多年遴选工作，挑选出应能抵御量子攻击的新型密码工具。其中领跑者包括基于格的方法，这些方法依赖于在高维格点空间中求解问题，这被认为对经典和量子计算机都难以破解。两种代表性工具——用于密钥交换的 Kyber 与用于数字签名的 Dilithium——已被标准化，并成为保护长期运行工业系统的有力候选方案。

将后量子安全引入真实工业网络

工业网络并不像办公笔记本接入企业高速 Wi‑Fi 那样。它们由小型电池供电的传感器、功能有限的网关盒和强大的后端服务器组成，这些设备通常需要运行多年甚至数十年。研究团队聚焦于这一三层模型，并将 Kyber 与 Dilithium 融入已在全球范围内保护网络流量的 TLS 1.3 协议中。他们重新设计了数字证书（用于证明设备身份），使其携带 Dilithium 公钥和签名以取代 RSA 或椭圆曲线密钥；同时在 TLS 握手中用 Kyber 的密钥封装机制替换传统的密钥交换步骤，从而以被认为能抵抗未来量子解密的方式在两台设备间创建共享密钥。

将更强的安全性装入小型设备

一个主要关切是这些新工具是否对受限硬件过于沉重。为此，作者在 Raspberry Pi 4 上实现了他们的方案——这是一款常用作 IIoT 网关的低成本单板计算机。他们使用开源的“后量子就绪”TLS 栈与证书工具，测量了密钥生成、密钥交换与签名操作所需时间、内存占用以及生成的证书与握手消息的大小。研究测试了不同强度等级的 Kyber 与 Dilithium，并将它们与传统方法（如椭圆曲线 Diffie–Hellman）进行比较。

实验揭示了什么

结果令人鼓舞。在 Raspberry Pi 4 上，完整的后量子 TLS 1.3 握手在大约 15 毫秒以内可靠完成，这在他们的测试中与一些经典配置相当或更优。Kyber 与 Dilithium 本身带来的额外计算并不是主要的性能瓶颈；主要的开销来自于新证书的尺寸，可能比旧证书大好几倍。尽管如此，网关平台上的堆内存使用仍保持在大约 100 千字节以下——这在此类设备的可用范围内。作者展示了如何将不同算法强度的“配置文件”匹配到各层：对小型传感器使用较轻的设置，对边缘网关使用中等设置，对中央服务器和关键基础设施使用最强配置。

当前的局限与未来路径

研究也明确了尚未覆盖的方面。所有测试均在单一类型硬件和本地回环连接上运行，因此未包含真实世界的网络延迟、无线干扰或仅有数千字节内存的极小微控制器。能耗未被测量，而这对电池供电的网关至关重要。尽管如此，该工作与当前的政府及行业路线图一致，后者敦促向后量子方法迁移，并提供了设备制造商与运营者在规划升级时可用的具体、可复现的数据。

这对日常工业安全意味着什么

简而言之，论文表明：至少在网关与服务器层面，已可实际部署足以抵御未来量子解密的防护，而不会牺牲响应性。通过将 Kyber 与 Dilithium 插入标准的 TLS 1.3 与证书格式，并为不同设备类别慎重选择参数，作者展示了一条清晰的迁移路径：可通过熟悉的协议与经济可承受的硬件逐步推出的更强、量子抗性的“锁”。对于工厂、公共事业与其他关键系统的运营者而言，这意味着他们可以从今天起开始为通信做未来防护，而无需等待量子计算机——或潜在的攻击者——的出现。}

引用: Shahid, A.B., Mansoor, K., Bangash, Y.A. et al. Post-quantum cryptographic authentication protocol for industrial IoT using lattice-based cryptography. Sci Rep 16, 9582 (2026). https://doi.org/10.1038/s41598-025-28413-8

关键词: 后量子密码学, 工业物联网安全, 基于格的加密, TLS 1.3, 量子安全认证