FTP協(xié)議的分析和擴(kuò)展

發(fā)布時(shí)間：2010-09-07 22:44:21 作者：佚名

>>1.0<< FTP和TCP端口號根據(jù)是使用Port模式還是Passive模式，F(xiàn)TP使用不同的TCP端口號，在詳細(xì)描述FTP前，我們來簡單討論一下TCP端口號的一些基本概念。TCP使用端口號來標(biāo)識所發(fā)送和接收的應(yīng)用，端口

---------> accept() |
| <------------------------------------------- 220 |
| AUTH TLS -------------------------------------------> |
| <------------------------------------------- 234 |
| TLSneg() <------------------------------------------> TLSneg() |
| PBSZ 0 -------------------------------------------> |
| <------------------------------------------- 200 |
| PROT P -------------------------------------------> |
| <------------------------------------------- 200 |
| USER elly -------------------------------------------> |
| <------------------------------------------- 331 |
| PASS **** -------------------------------------------> |
| <------------------------------------------- 230 |
| |
\====================================================================/

在ssl ftp中，有以下幾個(gè)特殊點(diǎn):
1, AUTH是可選指令，因?yàn)閟sl ftp實(shí)現(xiàn)的方式不同而存在，詳見下一節(jié)explicit SSL
與implicit SSL；
2, PBSZ和PROT是必須指令，用于切換到保護(hù)通道模式；
3, AUTH，PBSZ和PROT指令是實(shí)現(xiàn)SSL認(rèn)證方式的必須方法，但可以與傳統(tǒng)的User/Password
模式共存，或只取其一；
4, SSL認(rèn)證方法的SSL認(rèn)證過程(AUTH/PBSZ)和傳統(tǒng)模式認(rèn)證并無嚴(yán)格的先后順序關(guān)聯(lián)，可能在
用戶名和密碼之前，也可能在之后；但出于安全因素，最好在User/Password傳輸之前切換
到安全模式，可以確保User/Password的傳輸安全；
5, 在explicit SSL模式中，可以在任何時(shí)間切換到保護(hù)模式，如第四條所述；在implicit
SSL模式中，初始化連接將直接采用SSL Socket建立，不需要AUTH指令切換。

>>3.4 Explicit SSL和Implicit SSL
由于歷史和軟件兼容性因素，ssl FTP的實(shí)現(xiàn)有兩種方式，分別是Explicit SSL和Implicit SSL，
上面的大部分?jǐn)?shù)據(jù)都是以explicit SSL為范例。

Explicit SSL(外部SSL)，又被稱為AUTH SSL方式；Explicit SSL保持了與傳統(tǒng)ftp服務(wù)的
良好兼容性，以一個(gè)ftp服務(wù)擴(kuò)展指令的方式存在。初始化連接可以采用與傳統(tǒng)ftp兼容的連
接模式，當(dāng)需要傳輸加密信息時(shí)使用AUTH SSL指令切換到保護(hù)模式。使用Explicit SSL時(shí)
Server必須完整地實(shí)現(xiàn)AUTH/PBSZ/PROT等指令。

Implicit SSL(隱含SSL)，是一個(gè)全新的ftp實(shí)現(xiàn)方式，在TCP三步握手完成之后就直接使用
SSL Socket進(jìn)行協(xié)商和通訊，之后將全程采用SSL加密連接。在這種模式中一般ftp server
將監(jiān)聽在一個(gè)新的服務(wù)端口，IANA指定ftps:tcp:990為implicit SSL ftp的默認(rèn)端口。因?yàn)樵?nbsp;
連接初始階段就自動由SSL實(shí)現(xiàn)完成了協(xié)商，因此implicit模式中AUTH指令是可選的。

在不考慮兼容性的因素下，在服務(wù)期端最好優(yōu)先使用implicit SSL模式，可以獲得更好的保密
特性。

比較兩種ssl ftp實(shí)現(xiàn)模式區(qū)別如下:
/======================================================================\
| explicit implicit |
| client server client server |
|======================================================================|
| | |
| connect() ------> -+-明文 | sslConnect() ------> 加密 |
| <------ 220 | | <------ 220 -+ |
| AUTH SSL ------> | | USER *** ------> | |
| <------ 234 -+ | <------ 331 | |
| TLSneg() <-----> TLSneg() -+-加密 | PASS *** ------> | |
| <------ 200 | | <------ 230 | |
| USER *** ------> | | LIST <-----> ... | |
| <------ 331 | | RETR <-----> ... | |
| PASS *** ------> | | ... | |
| <------ 230 | | | |
| LIST/RETR <-----> ... | | sslClose() <-----> ... -+ |
| close() <-----> ... -+ | |
| | |
\======================================================================/