决明子:去中心化远程互联2.0

续断工程师 2020年8月22日

  最早的远程互联技术是尽人皆知的VPN,它已经发展了许多年,无论技术还是产品都已经非常成熟。但由于有一定的技术门槛,通常这类产品需要专业人员维护,价格也高,基本要有一定规模的政企用户才能用起来。 决明子的第一个版本使用了类似方案,这让我们可以迅速推出产品,开始迭代。但远程互联毕竟不是VPN,无论是需求的本质还是技术侧重点都有区别,尤其是新技术层出不穷的今天,越深究就会发现区别越大。

最大的不同

  传统VPN在技术上一定要有一个“固定地址的Server”角色,它是“中心”,所有节点要相互通信都要先连接这个中心。对远程互联来说,这个中心反而是个累赘,去掉这个中心,节点与节点之间直接相连会更简洁高效,还可以避免单点故障。与“人人都是中心”完全不同,真正意义上的去中心化是消除任何形式的VPN Server,无论是In-cloud还是On-premises。决明子最新版本便是如此。 去中心化前/后节点比较   节点之间两两互联,根据网络情况,一个成员与其他成员连接时,有的会使用中转方式,有的会使用P2P直连。

更多不同

  • 远程互联实际是双因素认证,连接时的身份验证可以很简洁;传统VPN是单因素,连接时的身份认证至关重要,因此冗长而敏感。
  • 传统VPN的加密算法是协商确定,流程耗时并且可妥协、可被取消;决明子全新的QUIC TLS握手更快更稳,安全不妥协。
  • VPN的网络访问控制需要借助系统功能去实现,决明子在应用层进行网络访问控制,更轻更稳,控制粒度更小。

远程互联2.0的新技术路线

  从身份认证,链路加密,访问控制到去中心化,决明子已经全面转向了自主技术路线。新路线更契合“远程互联”的需求本质,采用的新技术更主流也更先进,可以预期,产品的生命力也将更加强大。