基于PQC的FreeSWITCH与PJSIP抗量子通信系统改造方案

 

1. 核心密码算法库与OpenSSL引擎

改造的基础是替换现有的RSA/ECC算法，引入NIST标准化的PQC算法（如ML-KEM、ML-DSA、SLH-DSA）。

 

liboqs (Open Quantum Safe)：这是目前最主流的C语言PQC算法库，集成了所有候选算法。它本身不直接修改FreeSWITCH，但提供了标准的C API。通常需要结合 oqs-engine使用，后者是一个OpenSSL提供者（Provider），允许将PQC算法注入到OpenSSL 3.0及以上版本中。

改造逻辑：FreeSWITCH和PJSIP都依赖OpenSSL进行TLS握手。通过编译安装 `liboqs` 和 `oqs-engine`，并配置OpenSSL使其支持PQC密码套件，可以让现有的SIP TLS通道“无感”支持抗量子加密，无需大量修改业务层代码。

 

2. PJSIP开源代码的抗量子改造

针对PJSIP端的改造，主要依赖于重新编译其底层的SSL库。

 

底层依赖替换：PJSIP支持OpenSSL和Mbed TLS。目前开源社区对Mbed TLS的PQC支持尚不如OpenSSL成熟。因此，推荐让PJSIP链接到已集成 `oqs-engine` 的OpenSSL动态库。

配置调整：在PJSIP的配置中（如 `pjproject/config_site.h`），启用TLS支持并指定使用系统OpenSSL。编译完成后，通过修改SIP传输配置，强制使用特定的PQC密码套件进行SIP over TLS的注册与呼叫。

 

3. 开源VPN方案（用于透明加密）

如果改造应用层代码难度较大，另一种方案是在FreeSWITCH服务器和PJSIP终端之间建立基于PQC的VPN隧道。

 

Rosenpass：这是一个专门为WireGuard设计的后量子密钥交换工具。它在WireGuard的标准加密基础上，增加了一层PQC密钥交换（如Kyber）来生成预共享密钥。

部署方式：可以在服务器和客户端后台运行Rosenpass，通过虚拟隧道接口转发RTP和SIP流量。这种方式的优点是PJSIP和FreeSWITCH无需修改代码，缺点是需要维护虚拟网络环境。

 

4. 综合评估与实施建议

 

长期方案（应用层）：建议优先尝试 liboqs + oqs-engine + OpenSSL 3.0的路径。这是最彻底、最符合网络分层原则的改造方式，能真正实现端到端的SIP信令加密。

短期验证（隧道层）：若PJSIP编译调试耗时较长，可以先采用Rosenpass + WireGuard建立隧道进行验证，待通信链路稳定后，再尝试替换为应用层PQC-TLS。

注意事项：PQC算法的公钥和签名长度远大于传统算法，可能会导致SIP包超过MTU（最大传输单元）产生分片，或者增加注册时的握手延迟，需要进行性能测试。