FTPS

FTPS是一種對常用的文件傳輸協議（FTP）添加傳輸層安全（TLS）和安全套接層（SSL）加密協議支持的擴展協議。

FTPS不應與基於SSH的SSH文件傳輸協議或是Secure FTP協議相混淆。

背景[編輯]

在1971年的FTP草案用於科學與研究網路ARPANET。^[1]最初只有一小部分軍事用地和大學裡的少數人使用，可以使用網路的人，任何人都可以操作存取，無視於用戶的數據安全和隱私要求。

隨著ARPANET逐漸被National Science Foundation Network（英語：National Science Foundation Network）所取代，以及之後隨著Internet的普及，上網人口越來越多。用戶端到伺服器端經過的路徑越來越長，未經授權的第三方竊聽數據傳輸的機會也因此增加。

1994年，瀏覽器公司網景開發與發布安全套接層（SSL）的應用層封裝^[2]，該協議使應用程序在進行跨網路通信使用私人和安全的方式，防止竊聽、篡改、偽造消息。它可以增加安全性，使用TCP連接，使HTTP經由SSL形成更安全的HTTPS。

SSL最終被應用到FTP，RFC草案發表在1996年底。^[3]不久之後，官方IANA進行Port埠號註冊。然而，RFC卻沒有定案，直到2005年。^[4]

已知的Linux客戶端有curl、lftp、wget（版本1.16以上）等。

使用模式[編輯]

有兩種不同模式被開發出來，隱式和顯式。

隱式（Implicit）[編輯]

隱式模式FTPS下不支持協商是否使用加密，所有的連接數據均為加密。客戶端必須先使用TLS Client Hello消息向FTPS服務器進行握手來建立加密連接。如果FTPS服務器未收到此類消息，則服務器應斷開連接。為了保持與現有的非FTPS感知客戶端的兼容性，隱式FTPS默認在IANA規定的端口990/TCP上監聽FTPS控制通道，並在端口989/TCP上監聽FTPS數據通道^[5]。這使得管理員可以保留端口(控制通道21/TCP與數據通道20/TCP)以兼容原始的FTP。 RFC4217中未定義隱式模式。因此，它被認為是FTP協商TLS/SSL中過時的早期方法。

顯式（Explicit）[編輯]

顯式模式（也稱為FTPES），FTPS客戶端先與服務器建立明文連接，然後從控制通道明確請求服務端升級為加密連接（Cmd: AUTH TLS）。控制通道與數據通道默認端口與原始FTP一樣。控制通道始終加密，而數據通道是否加密則為可選項。同時若服務器未限制明文連接，也可以使用未加密的原始FTP進行連接，也就是說服務器在相同的端口上同時提供FTP與FTPS服務。

參考文獻[編輯]

^ RFC-265: File Transfer Protocol (FTP). [2013-09-02]. （原始內容存檔於2017-07-08）.
^ The SSL Protocol, Feb. 9th, 1995. [2013-09-02]. （原始內容存檔於2013-05-28）.
^ RFC draft, Secure FTP Over SSL, revision 1996-11-26. [2013-09-02]. （原始內容存檔於2014-05-27）.
^ RFC-4217: Securing FTP with TLS. [2013-09-02]. （原始內容存檔於2013-09-10）.
^ Service Name and Transport Protocol Port Number Registry. [2019-08-18]. （原始內容存檔於2018-01-26）.

[rfc265-1] RFC-265: File Transfer Protocol (FTP). [2013-09-02]. （原始內容存檔於2017-07-08）.

[ssl2draft-2] The SSL Protocol, Feb. 9th, 1995. [2013-09-02]. （原始內容存檔於2013-05-28）.

[ftpsdraft-3] RFC draft, Secure FTP Over SSL, revision 1996-11-26. [2013-09-02]. （原始內容存檔於2014-05-27）.

[rfc4217-4] RFC-4217: Securing FTP with TLS. [2013-09-02]. （原始內容存檔於2013-09-10）.

[5] Service Name and Transport Protocol Port Number Registry. [2019-08-18]. （原始內容存檔於2018-01-26）.

[1]

[2]

[3]

[4]

[5]