1. 核心密碼算法庫與OpenSSL引擎

改造的基礎(chǔ)是替換現(xiàn)有的RSA/ECC算法，引入NIST標準化的PQC算法（如ML-KEM、ML-DSA、SLH-DSA）。

 

liboqs (Open Quantum Safe)：這是目前最主流的C語言PQC算法庫，集成了所有候選算法。它本身不直接修改FreeSWITCH，但提供了標準的C API。通常需要結(jié)合 oqs-engine使用，后者是一個OpenSSL提供者（Provider），允許將PQC算法注入到OpenSSL 3.0及以上版本中。

改造邏輯：FreeSWITCH和PJSIP都依賴OpenSSL進行TLS握手。通過編譯安裝 `liboqs` 和 `oqs-engine`，并配置OpenSSL使其支持PQC密碼套件，可以讓現(xiàn)有的SIP TLS通道“無感”支持抗量子加密，無需大量修改業(yè)務(wù)層代碼。

 

2. PJSIP開源代碼的抗量子改造

針對PJSIP端的改造，主要依賴于重新編譯其底層的SSL庫。

 

底層依賴替換：PJSIP支持OpenSSL和Mbed TLS。目前開源社區(qū)對Mbed TLS的PQC支持尚不如OpenSSL成熟。因此，推薦讓PJSIP鏈接到已集成 `oqs-engine` 的OpenSSL動態(tài)庫。

配置調(diào)整：在PJSIP的配置中（如 `pjproject/config_site.h`），啟用TLS支持并指定使用系統(tǒng)OpenSSL。編譯完成后，通過修改SIP傳輸配置，強制使用特定的PQC密碼套件進行SIP over TLS的注冊與呼叫。

 

3. 開源VPN方案（用于透明加密）

如果改造應(yīng)用層代碼難度較大，另一種方案是在FreeSWITCH服務(wù)器和PJSIP終端之間建立基于PQC的VPN隧道。

 

Rosenpass：這是一個專門為WireGuard設(shè)計的后量子密鑰交換工具。它在WireGuard的標準加密基礎(chǔ)上，增加了一層PQC密鑰交換（如Kyber）來生成預共享密鑰。

部署方式：可以在服務(wù)器和客戶端后臺運行Rosenpass，通過虛擬隧道接口轉(zhuǎn)發(fā)RTP和SIP流量。這種方式的優(yōu)點是PJSIP和FreeSWITCH無需修改代碼，缺點是需要維護虛擬網(wǎng)絡(luò)環(huán)境。

 

4. 綜合評估與實施建議

 

長期方案（應(yīng)用層）：建議優(yōu)先嘗試 liboqs + oqs-engine + OpenSSL 3.0的路徑。這是最徹底、最符合網(wǎng)絡(luò)分層原則的改造方式，能真正實現(xiàn)端到端的SIP信令加密。

短期驗證（隧道層）：若PJSIP編譯調(diào)試耗時較長，可以先采用Rosenpass + WireGuard建立隧道進行驗證，待通信鏈路穩(wěn)定后，再嘗試替換為應(yīng)用層PQC-TLS。

注意事項：PQC算法的公鑰和簽名長度遠大于傳統(tǒng)算法，可能會導致SIP包超過MTU（最大傳輸單元）產(chǎn)生分片，或者增加注冊時的握手延遲，需要進行性能測試。