大多數翻牆工具用的是上百萬人共用的開源通訊協定:Shadowsocks、V2Ray、Trojan、Hysteria 2。它們不是不能用——而是審查系統遲早會跟上。開源代表通訊協定的程式碼是公開的,流量特徵也被研究得很透,防火牆可以建立偵測規則,一次封掉一大群使用者。心安VPN走完全不一樣的路。我們從零開始打造自己的私有 VPN 通訊協定——以QUIC傳輸為核心,搭配自行研發的BBR Max壅塞控制,再加上自動最快節點與多節點叢集模式。這篇文章會用白話說清楚,這套很可能是目前最快的 VPN 通訊協定背後在做什麼;讓你不只知道心安VPN很快,還懂它為什麼快——以及為什麼別人斷線了,你還連得上。
為什麼我們要自行研發通訊協定
現在所有主流翻牆通訊協定都有一個老問題:太多人共用同一套指紋。當幾百萬人用 Shadowsocks 或 Hysteria 2,流量型態就變得很容易被審查系統拿去研究、偵測。一條規則下去,一夜之間就能讓同一套通訊協定的使用者全掛。這在中國、伊朗、俄羅斯都已經上演過很多次。
除了指紋問題,現有通訊協定在速度與好用程度上也有結構限制。走 TCP 的一族(Shadowsocks、V2Ray、Trojan)在跨國、容易掉封包的線路上就是會頓。Hysteria 2 雖然快,但要手動調速度、UDP 一被封就幾乎沒救,而且一次通常只能連一台伺服器。它們多半還要你手動挑節點,另外裝第三方用戶端。
我們需要的是一套能同時做到四件事的通訊協定,但現有方案沒有任何一個能一次包辦:對審查系統盡量隱形、在並不完美的網路上把吞吐量拉滿、自動走最適合的路徑、以及把負載分散到多台伺服器。自行研發不是為了重造輪子,而是把已經被驗證過的積木——QUIC、BBR、HTTP/3——用專為 VPN 流量設計的方式組起來,再用不公開的實作包起來,讓審查單位沒辦法從公開原始碼直接抽出一套指紋。
無固定指紋:更難被偵測,也更難被封鎖
這大概是私有通訊協定最大的優勢,卻也最容易被忽略。
開源通訊協定等於公開藍圖。程式碼一開源,任何人——包含政府審查單位——都能讀原始碼、研究交握流程、分析封包結構,然後做出自動化偵測規則。中國的防火長城、伊朗的過濾系統、俄羅斯的 TSPU,都已經針對 Shadowsocks、VMess、Trojan、Hysteria 做出偵測特徵。開關一拉,所有使用者同時斷線。接著通訊協定開發者改版,貓捉老鼠再開下一局。
心安VPN的通訊協定不公開。審查系統沒辦法下載我們的原始碼來研究交握。也沒辦法靠規格文件拼出偵測簽名。他們只能分析實際流量——而這些流量是加密的、帶隨機填充,而且外觀被設計得像一般的 HTTPS 或 QUIC 網頁流量。我們的 H2 備援模式跟正常上網幾乎沒兩樣,因為它就是貨真價實的 HTTP/2 流量走 443 連接埠。QUIC 模式則使用與 Google、YouTube 以及多數主流網站相同的連接埠與 TLS 交握。
使用者規模小,被盯上的價值也低。幾百萬人用 Shadowsocks,它就變成審查系統的「高價值目標」——一條規則可以封掉幾百萬人。心安VPN的通訊協定只有心安VPN使用者在用。目標更小、更難研究,不值得投入同等資源去對付。就算審查方做出部分偵測能力,我們也可以單方面更新通訊協定並立刻推到所有使用者——不必等開源社群審核、討論、合併一個 Pull Request。
可以持續演進。因為用戶端與伺服器端都在我們手上,我們隨時能改填充模式、交握順序與通訊協定行為。每次更新都讓舊的偵測手段失效。開源通訊協定也會演進,但步調慢得多——變更要相容舊版、要社群買單、還要被多家第三方用戶端採納。我們發一版更新,每位心安VPN使用者在下次 App 更新時就自動拿到。
以 QUIC 為基礎:現代化的傳輸底層
我們的通訊協定建立在QUIC之上——也就是和 Google、YouTube 以及大多數現代網站相同的傳輸方式。對你來說,代表幾件事:
連線快到幾乎是「秒連」。傳統 VPN 通訊協定在連上前往往要好幾輪交握。QUIC 把它們收斂成一步。按下連線,不到一秒就上線。換網路或從螢幕鎖定喚醒後要重連,也幾乎是瞬間完成。
一個下載卡住,不會拖垮全部流量。舊通訊協定裡,一個掉封包可能讓所有流量一起凍住——影片、聊天、瀏覽全停。QUIC 讓每條串流各自運作。某個網頁請求卡住,你的影片照樣播。
從第一個位元組就加密。每個封包一開始就用 TLS 1.3 加密。沒有任何「裸奔」階段。連標頭都加密,讓外界更難竄改或辨識你的流量。
換網路時盡量無感。從 Wi‑Fi 切到行動網路、進電梯、換一家咖啡廳——你的 VPN 連線多半能維持住。不必手動重連、也不會明顯斷線。連線會跟著你跨網路遷移。
BBR Max:網路再差也能逼近滿速
VPN 快不快,不只取決於伺服器有多強,還取決於通訊協定怎麼面對真實世界網路。很多通訊協定一碰到狀況就猛踩煞車——掉幾個封包?速度砍半。Wi‑Fi 很擠?直接卡死。跨國線路抖動?別想順暢看影片。
我們以 Google BBR 為基礎,做了專為跨境 VPN 流量設計的壅塞控制演算法BBR Max。
一秒內就衝到滿速。多數 VPN 連上線後還要好幾秒「暖機」慢慢加速。BBR Max 幾乎一上線就滿速。按下連線,立刻全速——不用等。
網路差也不會整條死鎖。你一定遇過:VPN 快個幾秒就整條卡住,在擁擠的 Wi‑Fi 或手機熱點上「完全不動」。那是傳統演算法一見掉封包就恐慌性降速。BBR Max 不會這樣 panic。就算在掉封包率偏高的網路,也還能維持可用速度——公共 Wi‑Fi、行動數據、跨國線路,這些你每天會遇到的場景。
卡頓更短、恢復更快。網路壅塞時,其他通訊協定常把速度砍很大、要很久才爬回來。BBR Max 恢復得快,你感受到的是短暫頓一下,而不是長時間卡死。對視訊通話、直播、遊戲特別關鍵——每一秒的卡頓都很刺眼。
雙通道傳輸:QUIC + TCP H2 自動備援
QUIC over UDP 是我們的主要傳輸方式,效能最好。但有些網路會擋或限縮 UDP。企業防火牆、某些 ISP,還有部分國家會限 UDP 來阻擋 VPN。只能走 UDP 的 VPN 在這些環境裡就是不可靠。
心安VPN用自動雙通道傳輸解決這件事。若 QUIC over UDP 連不上,用戶端會自動改走TCP HTTP/2(H2)。從外面看,就像一般的 HTTPS 網頁瀏覽。它能穿過會擋「純 UDP」或專用 VPN 通訊協定的防火牆、Proxy 與 ISP 過濾器。
兩種傳輸共用同一套加密、同一套驗證與同一套伺服器基礎建設。差別只在底層載體。QUIC 給你最好的速度;TCP H2 給你最好的相容性。切換是自動且透明的——你不用設定任何東西。UDP 能用就用 QUIC;不行就用 H2。不管哪一種,你都還是連著、而且加密。
對審查系統來說天生低調。這種「先 QUIC、再退回 H2」的行為,跟現代瀏覽器一模一樣。Chrome 或 Safari 開網站會先試 HTTP/3(QUIC),若網路把 UDP 擋了,就悄悄退回 HTTP/2 over TCP。心安VPN走的是同一套邏輯。對任何防火牆或深度封包檢測(DPI)來說,你的 VPN 流量跟一般瀏覽器上網看不出差別。這不是假裝成網頁流量——它就是網頁流量,遵循全球數十億瀏覽器每天都在跑的同一套通訊協定協商流程。
自動選擇最快節點
多數 VPN 要你自己從清單挑伺服器,或依地理距離選「最近」。但最近不一定最快。網路狀況一直在變,你不該為了找最快那台而手動測來測去。
心安VPN幫你處理。我們的自動最快節點機制會持續測所有上線中的伺服器,自動把你接到當下最好的那一台——你完全不用操心。
量真的,不是猜的。App 會對每台線上伺服器送測試封包,量真實速度與掉封包狀況——不是只看 ping 距離。一台稍遠但幾乎不掉封包的伺服器,會贏過一台比較近卻正在壅塞的。系統選的是實測最快,不是地圖上「看起來最近」。
聰明切換。系統不會因為新伺服器只好一點點就急著換。只有明顯更好才切,避免你在伺服器之間跳來跳去。而且切換時盡量無感——既有連線不中斷,新的連線改走更快那台。像在快速道路上變換車道,不必急煞。
永遠跟著現況更新。系統會持續監看,網路一變就立刻重算。從 Wi‑Fi 換成行動網路?幾秒內就會重新評估,挑出你當下網路環境裡最快的伺服器。
叢集模式:頻寬直接衝到約三倍,一鍵開啟
其他 VPN 多半只連一台伺服器。一台伺服器就有一個吞吐量上限。若那台上限是 300Mbps,那就是你的天花板——你家光世代再快也沒用。
心安VPN打破這個天花板。我們的叢集模式會同時連上同一資料中心裡的多台伺服器,把你的流量分散到它們身上。三個節點在同一機房,頻寬大致就是三倍起跳。五個節點——上限——倍數更高。
這不是紙上談兵。某個資料中心有三台節點時,單台伺服器 300Mbps 吃滿的連線,改成叢集後有機會逼近 900Mbps。若你家是千兆光世代,差別就是「VPN 把你卡死」跟「開著 VPN 幾乎跟沒開一樣快」。
穩定度也跟著拉高一截。叢集裡一台掛了,其他台繼續扛你的流量,你多半感覺不到。系統會自動找替補節點補位。對照傳統 VPN:一台掉線,整條斷掉,等你重連。
會自己長大。叢集不限單一機房。若這個機房節點不夠,系統會自動探測同城的其他資料中心。延遲差不多的就納進叢集,頻寬更大、延遲幾乎不變。這些都在背景自動完成——你只要按連線,其餘交給我們。
24 小時開著 VPN,幾乎不額外耗電
很多 VPN App 是吃電怪獸。每隔幾秒就在背景跑計時器檢查連線是否還活著、輪詢伺服器更新、送心跳封包。開一夜,隔天早上在電池統計裡一看就知道。
心安VPN的設計目標是全天候開著,也幾乎不增加額外耗電。核心是我們的零輪詢架構:沒事發生,背景就不跑東西。App 不會用計時器一直查你的連線狀態。它會睡著,直到系統通知有事——網路換了、伺服器有事件、或你動了手。兩次事件之間,CPU 佔用率就是貨真價實的零。
螢幕鎖定後,通訊協定會自動切到省電模式:心跳間隔拉長、探測暫停、非必要工作先掛著。解鎖時,立刻回到全速模式。結果是:你可以讓心安VPN整天整夜連著,電池消耗跟沒裝 VPN 幾乎看不出差別。
這不是加分題而已。對身在審查嚴格地區、需要 VPN 隨時在線的人來說,省電決定了你到底會不會真的長期開著。若因為耗電而關掉 VPN,等於把自己暴露在風險裡。
與其他通訊協定的比較
下表把心安VPN的私有通訊協定與目前主流翻牆代理通訊協定做完整對照——包含舊一代 TCP 族,以及新一代 QUIC 族的 Hysteria 2。
對照翻牆代理通訊協定(TCP 族)
Shadowsocks、VMess(V2Ray)、Trojan 算是「第一代」翻牆通訊協定。當初設計是要偽裝流量、躲 DPI——做得不算差。但它們都建立在 TCP 上,在容易掉封包的跨境線路上,速度就是會撞到天花板。
| Shadowsocks | VMess (V2Ray) | Trojan | 心安VPN | |
|---|---|---|---|---|
| 傳輸通訊協定 | TCP | TCP / WebSocket / gRPC | TCP + TLS | QUIC (UDP) + TCP H2 備援 |
| 壅塞控制 | 系統預設(CUBIC) | 系統預設(CUBIC) | 系統預設(CUBIC) | BBR Max(自行研發,抗掉封包) |
| 隊頭阻塞 | 有(單一 TCP 連線) | 有(TCP 多工) | 有(單一 TCP 連線) | 無(QUIC 獨立串流) |
| 弱網表現 | 一個掉封包就拖住全部流量;CUBIC 視窗砍半、恢復慢 | 同樣受 TCP 限制 | 同樣受 TCP 限制 | 掉封包只影響該串流;BBR Max 維持吞吐量 |
| 抗 DPI | 普通,可被辨識 | 尚可,常需外掛混淆 | 尚可,偽裝 HTTPS | 強(真實 HTTPS/H2 + QUIC 填充) |
| 通訊協定指紋 | 開源,已被審查單位研究 | 開源,曾被大規模封鎖 | 開源,特徵簽名可辨識 | 私有通訊協定,無公開規格 |
| 多節點叢集 | 不支援 | 不支援 | 不支援 | 最多 5 節點(頻寬約 ×3–5) |
| 自動選節點 | 手動 | 手動 | 手動 | 即時 QUIC 探測 |
| UDP 被封時 | 可用(原生 TCP) | 可用(原生 TCP) | 可用(原生 TCP) | 可用(自動 H2 備援) |
| 使用門檻 | 手動 URI,第三方用戶端 | 複雜 JSON,第三方用戶端 | 手動 URI,第三方用戶端 | 零設定,全平台原生 App |
所有 TCP 族通訊協定的根本問題:跨境線路一直在掉封包(幾乎是常態),TCP 的 CUBIC 會直接把速度砍下去、又要拖很久才爬回來。這就是 Shadowsocks、V2Ray、Trojan 常出現「快幾秒然後卡住」——典型的雲霄飛車體驗。
對照 Hysteria 2(QUIC 族)
Hysteria 2 值得單獨講,因為除了心安VPN之外,它是少數基於 QUIC 的主流翻牆通訊協定。它確實解掉 Shadowsocks/V2Ray/Trojan 的 TCP 痛點。但它的加速策略與架構,也帶來另一組取捨。
| Hysteria 2 | 心安VPN | |
|---|---|---|
| 傳輸通訊協定 | QUIC(僅 UDP) | QUIC (UDP) + TCP H2 自動備援 |
| 壅塞控制 | Brutal(固定速率,需手動設 bps) | BBR Max(依頻寬實測,全自動) |
| 頻寬探索 | 無;使用者必須手動設目標速率 | 自動探測,<1 秒掌握實際頻寬 |
| 掉封包處理 | 最多補償約 20% 掉封包(ackRate 下限 0.8),最高送出 1.25×目標速率 | 速度下限保護+自適應速率;維持吞吐量且避免 bufferbloat |
| UDP 被封時 | 不可用(僅支援 UDP) | 自動改走 TCP H2,行為貼近瀏覽器 HTTPS |
| 多節點叢集 | 單一伺服器 | 最多 5 節點(頻寬約 ×3–5) |
| 自動選節點 | 手動選擇 | 即時 QUIC 探測+自動切換 |
| 伺服器故障 | 斷線,手動重連 | 叢集繼續跑,自動替補節點 |
| 抗 DPI | 尚可(QUIC 填充) | 強(QUIC 填充 + 真實 HTTPS/H2 備援) |
| 通訊協定指紋 | 開源,公開規格 | 私有通訊協定,無公開規格 |
| 使用門檻 | 手動 URI+速率設定,第三方用戶端 | 零設定,全平台原生 App |
核心技術:Hysteria 2 Brutal 對上心安VPN BBR Max
Hysteria 2 的「Brutal」壅塞控制怎麼運作:你手動設一個目標速率(例如 100Mbps),Brutal 就照這個速率送資料。它會感知掉封包——監看過去 5 秒內的確認/遺失比率(ackRate),並用額外傳送來補償掉封包(最多多送約 25%,對應約 20% 掉封包率上限)。當你設的值剛好符合實際頻寬,Brutal 確實能很快。但真正的麻煩在於:你得先猜對自己的頻寬,而網路狀況從來不會一直不變。
情境一:Brutal 設太低。你不確定頻寬,保守設 50Mbps,但線路其實能跑 100Mbps。Brutal 沒有頻寬探測,永遠不會自己發現——它送到 50 就停,你等於永久浪費一半速度。BBR Max 會在一秒內自己摸到 100Mbps 的真實上限,不用你設任何東西。
情境二:Brutal 設太高。你設 200Mbps,但線路只能穩在 80Mbps。Brutal 的掉封包補償會啟動——它看到大量掉封包,把 ackRate 壓在 0.8(下限),於是以約 250Mbps 的速率硬送,想「推過」200Mbps 的有效吞吐。但 80Mbps 的瓶頸吃不下這個量,多餘的封包在瓶頸排隊堆疊。結果:bufferbloat 讓延遲暴衝,視訊通話頓、互動變慢。BBR Max 會量到真實上限約 80Mbps,然後穩穩貼著跑——吞吐量盡量拉滿,同時維持低延遲。
情境三:用一用頻寬變了。你在家用 200Mbps 的快速 Wi‑Fi 開始看影片,走進咖啡店 Wi‑Fi 只剩 30Mbps。Brutal 感知不到鏈路變化——仍照固定目標速率送。200Mbps 灌進 30Mbps 的管子,掉封包補償拉到滿也補不回差距。你得手動重設。BBR Max 會立刻察覺頻寬變了,自動降到約 30Mbps,影片繼續順,你什麼都不用動。
情境四:爛網、高掉封包。這裡最關鍵。標準 BBR(Google 原版)在掉封包很嚴重的線路上會退得太保守,速度掉很兇。Brutal 的固定速率策略配上掉封包補償,能撐過中等程度的掉封包。BBR Max 把兩邊的長處合在一起:像 BBR 一樣自動探測真實頻寬上限——不用手動猜;同時又有速度下限保護,再怎麼差的網路也不會讓速度掉到完全不能用。最後在掉封包嚴重的跨境線路上,BBR Max 仍能維持穩定可用速度,並把延遲壓住。
一句話:Brutal 很強,適合真的了解自己頻寬、線路又穩的人——但它要手動調,跟不上變化。BBR Max 是全自動:自己找最佳速度、即時跟著網路變,兼顧高吞吐量與低延遲。
除了壅塞控制,Hysteria 2 是單伺服器代理,多半要你手動設定。心安VPN另外給你叢集模式(頻寬約 3–5 倍)、自動節點選擇、UDP 被封時的 TCP 備援,以及全平台一鍵原生 App。這些不是小差異——它們決定你會不會真的天天用這套 VPN,還是嫌麻煩最後放著不用。
親自感受差異
通訊協定的差別,最好自己連一次就懂。下載心安VPN並連線。你第一次連上就會感覺到速度。試著換網路——連線會盡量不中斷地遷移。試試在受限環境使用——雙通道傳輸會自己找路。試試串流影音或大檔下載——叢集模式會把你的吞吐量推上去。
不用註冊——心安VPN採用無帳號授權機制,沒有信箱、沒有密碼。免費方案讓你測完整套通訊協定堆疊。準備好要無上限速度時,付費方案月付 $4.99 起,年付只要 $2.92/月。我們也支援加密貨幣(USDT)匿名付款。