# 安全架构

本页介绍 SecurQbit 如何被构建得既私密又具韧性：易失性服务器基础设施、隧道的生命周期、密钥的处理方式，以及一份关于 VPN 能做与不能做之事的诚实威胁模型。

## 服务器架构

SecurQbit 在 **易失性、纯 RAM 存储** 上运行一个全球服务器网络。

- **无磁盘持久化。** 系统加载至内存；关于你会话的任何内容都不会写入磁盘。重启或断电会清除一切。请参阅 [零日志与隐私](/no-logs-privacy)。
- **无活动日志。** 不存在可被泄露、扣押或传唤的存储历史记录。
- **临时会话状态。** 路由表和会话密钥仅在连接持续期间存在于内存中，并在连接结束时被销毁。
- **最小信任足迹。** 被入侵或被没收的服务器无法提供任何过往活动，因为根本没有保留任何内容。

## 隧道生命周期

1. **建立。** 客户端执行具备前向保密性的密钥交换，并建立起经 AEAD 加密的隧道。请参阅 [加密与协议](/encryption)。
2. **混淆。** 隧道被封装得看起来像普通的 HTTPS，使 DPI 无法识别其指纹。请参阅 [防火墙突破与混淆](/firewall-bypass)。
3. **运行。** 流量被加密、逐包认证并进行路由。
4. **适应。** 在网络发生变化时，客户端会重新生成密钥并重新建立隧道，然后流量才恢复。
5. **拆除。** 断开连接时，临时密钥和会话状态会在两端被丢弃。

## 密钥处理

- **临时密钥** 按会话生成，绝不重复使用。
- **前向保密性** 确保即使未来某个密钥被泄露，过去的会话也无法被解密。
- **无密钥托管。** SecurQbit 在隧道拆除后不会保留会话密钥——而且采用纯 RAM 服务器，密钥也无处可持久保存。
- **服务器身份** 在握手期间被认证，以防止中间人攻击。

## 威胁模型

VPN 是一层防御，而非魔法斗篷。明确其适用范围是良好安全实践的一部分。

### SecurQbit 能防护什么

- **本地网络窥探** —— 你的 ISP、酒店、机场，或与你处于同一 Wi-Fi 上的任何人都无法读取你的流量，也无法看到你访问了哪些网站。
- **基于 DPI 的 VPN 拦截** —— 混淆可击败那些会限速或拦截普通 VPN 的深度包检测。
- **IP 暴露** —— 目标网站看到的是服务器的 IP，而非你的 IP。
- **事后披露** —— 零日志和纯 RAM 服务器意味着事后没有任何内容可以交出。

### 它不能防护什么

- **端点失陷。** 恶意软件、键盘记录器或你自己设备上的恶意应用，会在流量进入隧道之前就看到你的活动。
- **账户级别的身份识别。** 如果你登录某个服务，无论是否使用 VPN，该服务都知道是你。
- **浏览器和设备指纹识别。** 追踪者仍可对你的浏览器进行指纹识别；请将 SecurQbit 与尊重隐私的浏览器设置搭配使用。
- **钓鱼和社会工程。** VPN 无法阻止你在假冒网站上输入凭据。
- **配置错误的排除项。** 你通过 [分流隧道](/split-tunneling) 排除的应用不受保护。

> **注意：** 强隐私是分层实现的。请将 SecurQbit 与良好的设备卫生习惯、谨慎的账户操作和注重隐私的浏览器一同使用。

## 延伸阅读

- [加密与协议](/encryption) —— 密码学原语。
- [零日志与隐私](/no-logs-privacy) —— 我们有意不保留的数据。
