FTPS是一種對常用的文件傳輸協議(FTP)添加傳輸層安全(TLS)和安全套接層(SSL)加密協議支持的擴展協議。

FTPS不應與基於SSHSSH文件傳輸協議或是Secure FTP協議相混淆。

背景

編輯

在1971年的FTP草案用於科學與研究網路ARPANET[1]最初只有一小部分軍事用地和大學裡的少數人使用,可以使用網路的人,任何人都可以操作存取,無視於用戶的數據安全和隱私要求。

隨著ARPANET逐漸被National Science Foundation Network英語National Science Foundation Network所取代,以及之後隨著Internet的普及,上網人口越來越多。用戶端到伺服器端經過的路徑越來越長,未經授權的第三方竊聽數據傳輸的機會也因此增加。

1994年,瀏覽器公司網景開發與發布安全套接層(SSL)的應用層封裝[2],該協議使應用程序在進行跨網路通信使用私人和安全的方式,防止竊聽、篡改、偽造消息。它可以增加安全性,使用TCP連接,使HTTP經由SSL形成更安全的HTTPS

SSL最終被應用到FTP,RFC草案發表在1996年底。[3]不久之後,官方IANA進行Port埠號註冊。然而,RFC卻沒有定案,直到2005年。[4]

已知的Linux客戶端有curl、lftp、wget(版本1.16以上)等。

使用模式

編輯

有兩種不同模式被開發出來,隱式和顯式。

隱式(Implicit)

編輯

隱式模式FTPS下不支持協商是否使用加密,所有的連接數據均為加密。客戶端必須先使用TLS Client Hello消息向FTPS服務器進行握手來建立加密連接。如果FTPS服務器未收到此類消息,則服務器應斷開連接。 為了保持與現有的非FTPS感知客戶端的兼容性,隱式FTPS默認在IANA規定的端口990/TCP上監聽FTPS控制通道,並在端口989/TCP上監聽FTPS數據通道[5]。這使得管理員可以保留端口(控制通道21/TCP與數據通道20/TCP)以兼容原始的FTP。 RFC4217中未定義隱式模式。因此,它被認為是FTP協商TLS/SSL中過時的早期方法。

顯式(Explicit)

編輯

顯式模式(也稱為FTPES),FTPS客戶端先與服務器建立明文連接,然後從控制通道明確請求服務端升級為加密連接(Cmd: AUTH TLS)。 控制通道與數據通道默認端口與原始FTP一樣。控制通道始終加密,而數據通道是否加密則為可選項。 同時若服務器未限制明文連接,也可以使用未加密的原始FTP進行連接,也就是說服務器在相同的端口上同時提供FTP與FTPS服務。

參考文獻

編輯
  1. ^ RFC-265: File Transfer Protocol (FTP). [2013-09-02]. (原始內容存檔於2017-07-08). 
  2. ^ The SSL Protocol, Feb. 9th, 1995. [2013-09-02]. (原始內容存檔於2013-05-28). 
  3. ^ RFC draft, Secure FTP Over SSL, revision 1996-11-26. [2013-09-02]. (原始內容存檔於2014-05-27). 
  4. ^ RFC-4217: Securing FTP with TLS. [2013-09-02]. (原始內容存檔於2013-09-10). 
  5. ^ Service Name and Transport Protocol Port Number Registry. [2019-08-18]. (原始內容存檔於2018-01-26).