VPN 是如何工作的?

VPN 软件在你的设备和你选择的远程服务器之间建立一个加密的虚拟隧道。这创建了一个安全的连接,隐藏你的 IP 地址,掩饰你的地理位置,并保护你的网络活动不被外界监视。

虚拟专用网络(VPN)服务通过加密你的网络连接,并将你的数据重新路由到远程 VPN 服务器,使其成为保护你的网络隐私、安全和自由的有力工具。

在本指南中,我们将详细解释 VPN 软件是如何工作 的,以隐藏你的公共 IP 地址并加密你的网络连接。

总结:虚拟专用网络(VPN)如何工作

以下是你使用 VPN 时,网络流量发生的过程:

  1. 你在电脑、智能手机或电视上下载、安装并打开 VPN 应用。
  2. 在 VPN 应用中,你选择一个你喜欢的地点并连接到 VPN 服务器。
  3. 当你访问一个网站或使用其他大陆VPN时,设备上的 VPN 软件会使用加密算法来加密连接请求。这使得任何观察连接的人都无法理解其位置和内容。
  4. 加密的数据会被发送到你选择的 VPN 服务器,在那里解密。
  5. VPN 服务器代表你连接到网站,并发送你的连接请求。网站然后将请求的信息返回给 VPN 服务器。
  6. 这些信息由 VPN 服务器加密并转发回你的设备。
  7. 你的 VPN 应用解密这些信息,网站或服务就会响应你的请求。

通过以上过程,VPN 软件可以 掩盖你访问网站时的 IP 地址隐藏你的在线活动,使其不被你的 ISP(网络服务提供商)、WiFi 管理员或任何其他监控你连接的人看到。

虽然所有 VPN 软件都大同小异,但以上过程主要适用于个人或“消费者” VPN 服务。

若想了解远程访问和站点到站点 VPN 的工作原理,请查看我们的 VPN 类型指南。如果你更感兴趣的是 VPN 的用途,请阅读我们的 VPN 使用指南。

VPN 如何隐藏你的 IP 地址?

总结: VPN 服务充当你的设备和网络之间的中介。当你使用 VPN 浏览网络时,访问的网站看到的是你连接的 VPN 服务器的 IP 地址,而不是你原来的公共 IP 地址。

没有 VPN 时,你的连接会直接从你的设备传输到你想访问的网站或服务的服务器。

为了将相关内容返回给你,网络服务器需要知道你的 IP 地址

你的 IP 地址就像是你在网络上的护照。它是一个独特的标识符,告诉其他计算机如果想让信息到达你,应发送到哪里。

你的 IP 地址包含大量个人信息。它暴露了你的 地理位置,并可以用来创建你 在线活动 的整体画像。

因此,许多人使用 VPN 来隐藏他们的 IP 地址。

当你使用 VPN 浏览网络时,你的连接总是先到达远程 VPN 服务器,然后再到达托管你所需网站或服务的网络服务器。

当网络服务器将信息返回给你时,它会发送到 VPN 服务器,VPN 服务器再将信息转发给你。这意味着你访问的网站永远不会接触到你的真实 IP 地址。

你访问的网站只看到来自 VPN 服务器的连接请求,然后将信息发送给该 VPN 服务器。

我们的建议: 优质的 VPN 服务在许多地方都有服务器。你可以通过连接到其他国家的 VPN 服务器,欺骗网站以为你位于不同的国家。这就是人们如何使用 VPN 更改 Netflix 和其他流媒体服务的地区。

VPN 如何加密和保护你的数据?

总结: VPN 服务使用加密算法和连接协议将你的网络流量转换为无法解读的代码。这可以防止你的 ISP、政府和其他第三方查看你浏览活动的内容。安全的 VPN 不应使用低于 AES-256 的加密算法来加密你的数据。

加密是将普通明文数据转换为只有知道如何解密的人才能理解的 秘密代码 的过程。

加密的目的是屏蔽不需要的人读取你的信息。

VPN 使用加密来 隐藏你浏览活动的细节,在它从你的设备传输到 VPN 服务器的过程中。

使用 VPN 可以防止 ISP、政府、WiFi 管理员、黑客和任何监视你的连接的第三方窥探你的活动。

但它是如何工作的呢?VPN 如何加密和保护你的数据?

在本节的其余部分,我们将深入了解构成 VPN 加密的不同组件和过程,首先从 VPN 隧道开始。

什么是 VPN 隧道?

‘VPN 隧道’ 是描述设置 VPN 连接时发生的事情的常用方式。简单来说,它是你的设备和 VPN 服务器之间的加密通信。

这种通信被称为隧道,因为你的原始流量被加密并包装在一层未加密的流量中。

就像把一封写好的信放进一个信封里,然后再把信封放进一个新的信封里,写上新的地址。你的实际信息完全被外界隐藏起来,仿佛在一个隧道里。

这个过程被称为封装,由专门的隧道协议执行。

加密算法

为了将你的在线活动转换为无法解读的代码,VPN 需要使用 加密算法

加密算法只是一个算法(即一组规则),用于加密和解密数据。

例子: 一个非常简单的加密算法可能使用这样的规则来加密你的数据‘用前一个字母替换消息中的每个字母’。所以, privacy 就会变成 oqhuzbx

加密算法通常与特定的密钥长度配对。通常,密钥长度越长,加密就越安全。例如,AES-256 被认为比 AES-128 更安全。

VPN 服务中最常用的加密算法是:

高级加密标准(AES)

高级加密标准(AES)是最安全的加密算法之一。它是在线加密协议的 黄金标准,在 VPN 行业中广泛使用。

AES 是由美国国家标准与技术研究所(NIST)于 2001 年建立的,有时也被称为 Rijndael 算法。由于其增加的块大小,它比其他加密算法(如 Blowfish)能够处理更大的文件。

AES 通常以 128 位和 256 位密钥长度提供。虽然 AES-128 仍然被认为是安全的,但我们知道像 NSA 这样的组织总是想要破坏加密标准。因此,AES-256 被认为提供了更大的保护。

当你在 VPN 服务的网站上看到‘军事级’或‘银行级’加密时,它通常指的是使用 AES-256。美国政府使用 AES-256 加密来保护其敏感数据,这是我们在测试和审查 VPN 时寻找的东西。

Blowfish

Blowfish 是由美国密码学家 Bruce Schneier 于 1993 年设计的一种加密算法。它曾经是大多数 VPN 连接中使用的默认算法,但现在已基本被 AES-256 取代。

你通常会看到 Blowfish 使用 128 位密钥长度,虽然它可以从 32 位到 448 位不等。

Blowfish 存在一些弱点。最著名的是它对一种被称为‘生日攻击’的密码攻击的脆弱性。出于这个原因,Blowfish 只能作为 AES-256 的备选

ChaCha20

ChaCha20 是由 Daniel Bernstein 于 2008 年发布的一种相对较新的 VPN 加密算法。尽管如此,由于它是唯一与流行的 WireGuard 协议兼容的加密算法,它正变得越来越受欢迎。

像 AES 一样,ChaCha20 使用 256 位密钥长度,被认为非常安全。报告还表明,ChaCha20 比 AES 快三倍。

目前没有已知的 ChaCha20 漏洞,它提供了一个欢迎的替代方案,因为加密技术正在应对不远的未来量子计算的挑战。

Camellia

Camellia 是一种加密算法,在安全性和速度方面与 AES 非常相似。即使用较小的密钥长度(128 位),根据现有技术,通过暴力破解攻击打破它也是不可行的。没有已知的成功攻击能有效削弱 Camellia 算法。

Camellia 和 AES 之间的主要区别在于它没有通过 NIST(创建 AES 的美国组织)的认证。

虽然有使用与美国政府无关的加密算法的理由,但 Camellia 在 VPN 软件中很少见,也没有像 AES 那样经过彻底测试。

VPN 协议

VPN 协议是你的设备为了与 VPN 服务器建立安全连接而遵循的规则和过程。

换句话说,VPN 协议决定 VPN 隧道是如何形成的,而加密算法则用于 加密通过该隧道的数据

根据使用的协议,VPN 会有不同的速度、功能和漏洞。大多数服务会让你在翻墙软件设置中选择你想使用的协议。

有几种 VPN 协议,但并非所有协议

都安全。以下是最常见协议的快速概述:

  • OpenVPN: 开源、非常安全,并且与几乎所有支持 VPN 的设备兼容。
  • WireGuard: 极其快速且非常高效,但由于最近才发布,还未获得 VPN 行业的完全信任。
  • IKEv2/IPsec: 一个封闭源代码的协议,非常适合手机VPN 用户,但被怀疑被 NSA 破解。
  • SoftEther: 很少有 VPN 服务支持,但它速度快、安全,并且非常适合翻墙。
  • L2TP/IPsec: 较慢的协议,也被怀疑被 NSA 破解。
  • SSTP: 能很好地处理防火墙,但封闭源代码,可能容易受到中间人攻击。
  • PPTP: 过时、不安全,应尽量避免使用。

了解更多: 若想深入了解不同类型的 VPN 协议,并了解哪个最适合你,请阅读我们专门的 VPN 协议指南。

VPN 握手

除了协议和加密算法,VPN 还使用称为 握手和哈希认证 的过程来进一步保护和认证你的连接。

握手是指两个计算机之间的初始连接。这是一个问候过程,双方相互认证并确定通信规则。

在 VPN 握手期间,VPN 客户端(即你的设备)与 VPN 服务器建立初始连接。

然后,这个连接用于在客户端和服务器之间安全地共享加密密钥。这个密钥用于在整个浏览会话期间加密和解密 VPN 隧道两端的数据。

VPN 握手通常使用 RSA(Rivest-Shamir-Adleman)算法。RSA 在过去的二十年里一直是网络安全的基础。

虽然目前没有确凿证据表明 RSA-1024 被破解,但考虑到现有的计算能力,它通常被认为是一个安全风险。

RSA-2048 是一个更安全的替代方案,并且几乎没有计算速度的减慢。因此,大多数 VPN 服务已经不再使用 RSA-1024。

你应只信任使用 RSA-2048 或 RSA-4096 的 VPN 服务。

虽然握手过程运行良好并生成安全的加密,但每个会话生成的密钥都可能被用于解密使用 RSA 握手的私钥加密的每个会话。(This article is created by how and best.com)从这个意义上说,它就像一把‘万能钥匙’。

如果万能钥匙被破解,可以用来解密 VPN 服务器上所有通过 VPN 隧道传输的数据,无论是过去还是现在。攻击者可能会入侵 VPN 服务器,获取通过 VPN 隧道流动的所有数据。

为了避免这种情况,我们建议使用设置了完美前向保密(Perfect Forward Secrecy)的 VPN 服务。

完美前向保密

完美前向保密是一种协议功能,利用 Diffie-Hellman(DH)或椭圆曲线 Diffie-Hellman(ECDH)密钥交换算法生成临时会话密钥。

完美前向保密确保加密密钥永远不会通过连接交换。

相反,VPN 服务器和 VPN 客户端使用 DH 或 ECDH 算法独立生成密钥。

这是一个数学上复杂的过程,但完美前向保密本质上消除了一个私钥被破解而暴露服务器上所有安全会话的威胁。

相反,密钥是临时的。这意味着它们只能揭示 一个特定会话,而不是更多。

应注意,RSA 单独不能提供完美前向保密。DH 或 ECDH 必须包含在 RSA 的加密套件中才能实现。

ECDH 实际上可以单独使用——而不是 RSA——生成具有完美前向保密的安全 VPN 握手。然而,要小心使用 DH 单独的 VPN 服务,因为它容易被破解。这在与 RSA 一起使用时不是问题。

我们总是推荐给读者的两个 VPN 协议——OpenVPN 和 WireGuard——都支持完美前向保密。

哈希认证

安全哈希算法(SHA)用于认证传输数据和客户端-服务器连接的完整性。它们确保信息在从源到目的地的传输过程中未被篡改。

SHA 工作原理是使用所谓的 哈希函数 编辑源数据。原始源消息通过一个算法运行,结果是一个看起来完全不像原始消息的固定长度字符字符串。这称为“哈希值”。

这是一个单向函数——你不能通过去哈希过程从哈希值确定原始消息。

哈希认证防止中间人攻击,因为它能够检测到有效证书的任何篡改。

没有它,黑客可能会冒充合法的 VPN 服务器,诱骗你连接到不安全的服务器,在那里你的活动可能会被监视。

为了确保最大限度的安全,我们建议使用 SHA-2 或更高版本 的 VPN 服务。SHA-1 已被证明存在可能危及安全性的弱点。

相关文章
VPN有哪些用途?
VPN用途

虚拟专用网络(VPN)可以隐藏你的 IP 地址并加密你的网络流量。它们主要用于保护你的在线隐私,在公...

VPN协议详解:哪个是最好的?
VPN协议

我们推荐默认使用WireGuard协议,因为它在安全性、速度和数据效率方面表现出色。OpenVPN是...

使用VPN违法吗?VPN是否合法?
VPN违法

在美国、英国、加拿大以及世界上大多数国家,使用VPN是完全合法的。VPN只在白俄罗斯、伊拉克、朝鲜和...

VPN 日志政策详解
VPN 日志政策

了解你的 VPN 收集什么样的数据对于保护隐私至关重要。在这篇全面的 VPN 日志指南中,我们将帮助...

VPN泄漏是什么以及如何修复它?
VPN泄漏

VPN泄漏可能会暴露你的IP地址、DNS请求和浏览活动给你的ISP或其他监控你网络连接的人,从而使你...

虚拟服务器位置与租赁VPN服务器详解
虚拟服务器

虚拟服务器节点是指分配的IP地址与实际地理位置不同的VPN服务器。这使得它们与普通物理服务器一样安全...

VPN是否使用流量?移动流量使用VPN的新手指南
VPN流量

在手机上使用VPN确实会增加移动流量的使用量,具体增加比例取决于你使用的VPN协议,增加量在4%到2...

VPN的价格是多少?
VPN价格

一款优质VPN服务的平均价格为每月4.11美元,前提是你选择了年付或多年付费套餐。然而,如果按月支付...

使用VPN有什么缺点?
VPN缺点

了解使用VPN的缺点以及它能做什么和不能做什么,是保持在线安全的重要部分。在本指南中,我们介绍了使用...

VPN隐藏了哪些信息?
VPN隐藏了哪些信息

VPN会加密并隐藏从你的设备离开的所有网络流量。它会隐藏你访问的网站的IP地址和位置,还会将你的浏览...

VPN到底值不值得买?什么时候你需要VPN?
VPN值不值

如果你想流播受地域限制的内容、规避监控和审查,或者在浏览网络时隐藏身份,那么VPN是值得的。VPN通...

VPN和代理有什么区别?
VPN和代理

代理和VPN都可以作为你的设备和公共网络之间的中介,通过远程服务器重定向你的网络流量。它们都可以用来...

VPN与Tor有什么区别?
VPN与Tor区别

Tor 是一个免费的浏览器,通过去中心化的服务器网络提供最大程度的匿名性。它非常适合传输高度敏感的信...

什么是VPN分流?
VPN分流

VPN分流是虚拟专用网络软件中的一项高级功能,旨在帮助你更好地管理和控制你的VPN流量。本文将解释分...

什么是双重VPN(多跳)?
双重VPN

双重VPN(多跳)是一种安全功能,将你的流量通过两个不同的VPN服务器而不是一个,从而增强你的网络隐...

VPN、DNS和Smart DNS:有什么区别?
VPN和DNS

Smart DNS和VPN服务都能跨区地理限制的网站,并从国外流媒体视频内容。然而,只有VPN能隐藏...

什么是VPN Kill Switch?
Kill Switch

VPN Kill Switch 是一项安全功能,当你的VPN连接意外断开时,它会自动断开你的设备与网...

什么是VPN端口转发?
VPN端口转发

VPN端口转发允许你通过路由器或VPN服务器上的特定端口将入站流量路由到你内部网络上的设备。这使外部...

什么是VPN Passthrough(VPN穿透)?
VPN穿透

VPN Passthrough(VPN穿透)是你可以在路由器上启用的一项功能。它允许连接的设备在不受...

什么是VPN的静态/固定IP地址?
固定IP

VPN的静态/固定IP地址即使在断开连接并重新连接到服务器时也始终保持不变。这有助于安全地访问特定区...

You cannot copy content of this page