虚拟专用网络和隧道加密技术可以对你与其他计算机之间的数据连接进行加密。这台计算机可以隶属于你的机构,你信任的联系人或者商业化的虚拟专用网络。隧道加密技术会使用一种加密协议对特定的数据流进行封装,这使得任何通过数字加密链路传输的信息不会被别人读取。通过使用虚拟专用网络,公司可以让那些需要从家中或者其他地方访问敏感金融信息和其敏感他内容的雇员安全地访问公司计算机系统。
使用虚拟专用网络或者其他的数字加密链路来加密你的信息可以确保这些数据不会被第三方查看到。它的另外一个好处就是它可以让窃听者和封锁系统无法区别各种不同类型的流量。因为许多跨国公司都使用虚拟专用网络,所以政府封锁虚拟专用网络的可能性不大。
这些技术为你的计算机和互联网上其他的计算机之间创建一个数字加密链路。你的数据可以通过这个数字加密链路传输到网络上的最终目的地。数字加密链路中传输数据的完整性和私密性受到加密技术的保护。
如果数字加密链路的终端不在互联网受限的地区,那么这是一个非常有效的绕行方式,因为过滤服务器只能看到加密后的数据,而且没有办法知道通过数字加密链路传输的内容是什么?
这里需要着重提醒一下,数据只在数字加密链路上是加过密的,当数据出了数字加密链路后,在传输到最总目的地过程中是没有加密的。比如,如果你与商业化的虚拟专用网络提供商之间建立了一条数据加密链路,然后通过数字加密链路发出访问BBC新闻页面的请求,那么在你和虚拟专用网络提供商之间传输的数据会被加密,但是这个请求会在虚拟专用网络终端解密,然后再传输到BBC的服务器上,这段路程的数据传输跟互联网上的普通数据传输没有什么区别。这意味着虚拟专用网络提供商,BBC以及这两个服务器之间网络运营商从理论上讲是可以看到你请求的数据内容。
隧道加密技术
虚拟专用网络链接和数字加密链路之间最主要的一个区别是就虚拟专用网络系统是在你的计算机和互联网之间建立起一个将所有数据都加密的通道,而安全加密链路只会加密特定应用程序发送的信息,这种加密可以基于这些应用使用的端口号,你也可以为每个应用指定使用哪一条安全加密链路。与虚拟专用网络不同,所有使用安全加密链路的应用程序(像网页浏览器,电子邮件客户端和即时信息程序)都必须单个设置才能使用该链路。显然,并不是所有的应用程序都能兼容一些常见类型的安全加密链路。比如,大多数网络电话使用的是用户数据包协议(UDP),而多数常见的安全加密链路系统并不支持这个协议。另外,一些常见的应用程序像Opera网页本身并不支持防火墙安全会话转换协议代理(SOCKS proxies), 而这是一个最为常见的隧道加密软件。遇到这种情况时,你需要另外使用一些的应用程序,像Windows用户可以使用FreeCap(http://www.freecap.ru/eng/)而Linux用户可以使用tsocks。 (http://tsocks.sourceforge.net/)
一旦按加密链路和应用程序设置好后,这些数据就可以通过安全加密链路传输到那些使用了隧道加密技术软件的计算机上,解密后再转发你的请求和响应。用户如果在网络部不受限的国家里有联系人,用户就可以私下架设安全加密链路服务,而没有条件的用户可以购买商业化的安全加密链路服务,它们的费用通常为每月5美元(一般要求信用卡支付)
用户也可以找到其他提供免费隧道加密技术的服务,但使用这些免费服务的用户需要注意,这些服务通常都包含广告。而对这些广告发出的请求有时是通过明文超文本传输协议的传输的,而中间可以被任何一个人截获,然后就能以此判断出用户正在使用一个安全加密链路服务。此外,许多安全加密链路服务依赖于防火墙安全会话转换协议代理的使用,这可能会泄漏域名请求。一些商业化的安全加密链路系统也提供免费的服务(速度要慢一些),它们是:
- http://www.http-tunnel.com/
- http://www.hopster.com/
- http://www.htthost.com/
VPN虚拟专用网络。
跟数字加密链路不同,虚拟专用网络系统会通过加密网络传输所有数据,其中包括网络电话以及那些并不支持防火墙安全会话转换协议应用之间的通信数据。一旦虚拟专用网络设置好以后,那么相对安全加密链路,用户对虚拟专用网络理解要容易一些,然而,虚拟专用网络的架设和设置要比多数安全加密链路应用程序的设置复杂些。
对于虚拟专用网络的设置,有许多不同的标准,其中包括网络协议安全(IPSec),安全套接协议层/传输层安全(SSL/TLS)以及传输层安全(PPTP),这些标准在复杂程度,提供的安全等级,以及适用的操作系统方面有所不同。而且不同功能的软件对这些标准的实现也有许多不同方式。
- 我们知道与网络协议安全和安全套接协议层/传输层安全相比,传输层安全的保密性相对要弱一些,它也许可以绕过互联网封锁,而且微软Windows操作系统的多数版本都内置的有传输层安全(PPTP)客户端软件。
- 基于安全套接协议层/传输层安全的虚拟专用网络系统设置上相对简单,而且也提供了可靠的安全等级
- 网络协议安全(IPSec)是在网络层运行的,在互联网的架构里面,它负责数据包的传输,而其他协议都是运行在应用层的。这使得网络协议安全标准更具灵活性,因为它可以用来保护所有的高层协议。网络协议安全标准( IPsec)使用无需重新设计应用。而安全套接协议层/传输层安全与其他协议则需要内置在应用程序中。
公司和机构通常经常将虚拟专用网络用作在互联网上安全互联的隐秘通信信道。因为虚拟专用网络的流行,出现了许多提供商业化虚拟专用网络服务的提供商,你可以支付一定费就可以使用虚拟专用网络服务。使用这类服务时,你需要信任这些服务的提供商,不过这也为绕过互联网过滤提供了一种简单便利的方式,这些服务需要每月支付大约5至10美元的费用。你可以在这里(http://en.cship.org/wiki/VPN)找到提供商业化虚拟专用网络服务的提供商名单。
作为商业化付费虚拟专用网络服务的替代品,用户如果在那些网络不受限的国家有联系人,用户可以让这些联系人下载并安装用于架设私人虚拟专用网络服务的软件。这需要有用户比较好的技术知识,但是这种虚拟专用网络将会是免费。这类私人架设的虚拟专用网络跟那些商业化的虚拟专用网络相比被封锁的可能性更小。其中一个常用来架设此类私人虚拟专用网络的免费开源程序就是OpenVPN(http://openvpn.net/),该程序可以在Linux,MacOS,Windows以及其他许多操作系统中安装。
优点
隧道机密技术的应用程序和虚拟专用网络都提供数据的加密传输功能。 它们通常也可以确保其他功能的安全,并不仅仅只是确保网络流量的安全。因此这是绕过互联网审查最安全的一种方式,一旦设置好后,使用起来很方便。
隧道加密技术的应用程序和虚拟专用网络最适合有技术能力也有需求的用户使用,这些用户不仅仅要求为网页流量提供安全的绕行服务,他们也希望能在自己的计算机上安装一些额外的软件,然后通过自己的计算机访问互联网。如果用户所处地区的互联网遭到审查,而且用户在其他互联网未遭过滤的地区找不到值得信赖的人,那么商业化的安全加密链路服务是一个不错的选择。另外虚拟专用网络也是一种常见商务应用,不太可能被封锁。
有一些(不是所有)商业化的安全加密链路和虚拟专用网络服务会给匿名用户显示广告,而私人假设的服务通常都无法实现这点。如果商业化的虚拟专用网络和安全加密链路的运营商值得信赖话,这种匿名保护会相当的有效。
缺点和风险
一些知名的商业化的安全加密链路服务和虚拟专用网络可能已经被过滤了。在网吧和图书馆这类无法安装软件的公共上网场所,用户是无法使用这些服务的。跟其他绕行方式相比,安全加密链路应用程序的使用,以及尤其是虚拟专用网络的使用需要用户掌握一些较高水平的专业技术知识。
网络运营商可以检测到用户是否正在使用虚拟专用网络,而且也可以判断虚拟专用网络的提供商是谁。但是只要虚拟专用网络的设置不出差错,网络运营商无法查看通过虚拟专用网络传输的通信内容的。
虚拟专用网络或数字加密链路的运营商(跟代理运营商类似)是可以知道你传输的内容,除非你对你的通信内容进行进行额外的加密。如果你不对信息进行额外的加密,那么你不得不相信虚拟专用网络和安全加密链路运营商不会滥用这个权限。
