开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
ocspti.h
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:15k
源码类别:

CA认证

开发平台:

WINDOWS

ocspti.h:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  */
  34. /*
  35.  * Private header defining OCSP types.
  36.  *
  37.  * $Id: ocspti.h,v 1.1 2000/03/31 19:43:04 relyea%netscape.com Exp $
  38.  */
  40. #ifndef _OCSPTI_H_
  41. #define _OCSPTI_H_
  43. #include "ocspt.h"
  45. #include "certt.h"
  46. #include "plarena.h"
  47. #include "seccomon.h"
  48. #include "secoidt.h"
  51. /*
  52.  * Some notes about naming conventions...
  53.  *
  54.  * The public data types all start with "CERTOCSP" (e.g. CERTOCSPRequest).
  55.  * (Even the public types are opaque, however.  Only their names are
  56.  * "exported".)
  57.  *
  58.  * Internal-only data types drop the "CERT" prefix and use only the
  59.  * lower-case "ocsp" (e.g. ocspTBSRequest), for brevity sake.
  60.  *
  61.  * In either case, the base/suffix of the type name usually matches the
  62.  * name as defined in the OCSP specification.  The exceptions to this are:
  63.  *  - When there is overlap between the "OCSP" or "ocsp" prefix and
  64.  *    the name used in the standard.  That is, you cannot strip off the
  65.  *    "CERTOCSP" or "ocsp" prefix and necessarily get the name of the
  66.  *    type as it is defined in the standard; the "real" name will be
  67.  *    *either* "OCSPSuffix" or just "Suffix".
  68.  *  - When the name in the standard was a little too generic.  (e.g. The
  69.  *    standard defines "Request" but we call it a "SingleRequest".)
  70.  *    In this case a comment above the type definition calls attention
  71.  *    to the difference.
  72.  *
  73.  * The definitions laid out in this header file are intended to follow
  74.  * the same order as the definitions in the OCSP specification itself.
  75.  * With the OCSP standard in hand, you should be able to move through
  76.  * this file and follow along.  To future modifiers of this file: please
  77.  * try to keep it that way.  The only exceptions are the few cases where
  78.  * we need to define a type before it is referenced (e.g. enumerations),
  79.  * whereas in the OCSP specification these are usually defined the other
  80.  * way around (reference before definition).
  81.  */
  84. /*
  85.  * Forward-declarations of internal-only data structures.
  86.  *
  87.  * These are in alphabetical order (case-insensitive); please keep it that way!
  88.  */
  89. typedef struct ocspBasicOCSPResponseStr ocspBasicOCSPResponse;
  90. typedef struct ocspCertStatusStr ocspCertStatus;
  91. typedef struct ocspResponderIDStr ocspResponderID;
  92. typedef struct ocspResponseBytesStr ocspResponseBytes;
  93. typedef struct ocspResponseDataStr ocspResponseData;
  94. typedef struct ocspRevokedInfoStr ocspRevokedInfo;
  95. typedef struct ocspServiceLocatorStr ocspServiceLocator;
  96. typedef struct ocspSignatureStr ocspSignature;
  97. typedef struct ocspSingleRequestStr ocspSingleRequest;
  98. typedef struct ocspSingleResponseStr ocspSingleResponse;
  99. typedef struct ocspTBSRequestStr ocspTBSRequest;
  102. /*
  103.  * An OCSPRequest; this is what is sent (encoded) to an OCSP responder.
  104.  */
  105. struct CERTOCSPRequestStr {
  106.     PRArenaPool *arena; /* local; not part of encoding */
  107.     ocspTBSRequest *tbsRequest;
  108.     ocspSignature *optionalSignature;
  109. };
  111. /*
  112.  * A TBSRequest; when an OCSPRequest is signed, the encoding of this
  113.  * is what the signature is actually applied to.  ("TBS" == To Be Signed)
  114.  * Whether signed or not, however, this structure will be present, and
  115.  * is the "meat" of the OCSPRequest.
  116.  *
  117.  * Note that the "requestorName" field cannot be encoded/decoded in the
  118.  * same pass as the entire request -- it needs to be handled with a special
  119.  * call to convert to/from our internal form of a GeneralName.  Thus the
  120.  * "derRequestorName" field, which is the actual DER-encoded bytes.
  121.  *
  122.  * The "extensionHandle" field is used on creation only; it holds
  123.  * in-progress extensions as they are optionally added to the request.
  124.  */
  125. struct ocspTBSRequestStr {
  126.     SECItem version; /* an INTEGER */
  127.     SECItem *derRequestorName; /* encoded GeneralName; see above */
  128.     CERTGeneralNameList *requestorName; /* local; not part of encoding */
  129.     ocspSingleRequest **requestList;
  130.     CERTCertExtension **requestExtensions;
  131.     void *extensionHandle; /* local; not part of encoding */
  132. };
  134. /*
  135.  * This is the actual signature information for an OCSPRequest (applied to
  136.  * the TBSRequest structure) or for a BasicOCSPResponse (applied to a
  137.  * ResponseData structure).
  138.  *
  139.  * Note that the "signature" field itself is a BIT STRING; operations on
  140.  * it need to keep that in mind, converting the length to bytes as needed
  141.  * and back again afterward (so that the length is usually expressing bits).
  142.  *
  143.  * The "cert" field is the signer's certificate.  In the case of a received
  144.  * signature, it will be filled in when the signature is verified.  In the
  145.  * case of a created signature, it is filled in on creation and will be the
  146.  * cert used to create the signature when the signing-and-encoding occurs,
  147.  * as well as the cert (and its chain) to fill in derCerts if requested.
  148.  *
  149.  * The extra fields cache information about the signature after we have
  150.  * attempted a verification.  "wasChecked", if true, means the signature
  151.  * has been checked against the appropriate data and thus that "status"
  152.  * contains the result of that verification.  If "status" is not SECSuccess,
  153.  * "failureReason" is a copy of the error code that was set at the time;
  154.  * presumably it tells why the signature verification failed.
  155.  */
  156. struct ocspSignatureStr {
  157.     SECAlgorithmID signatureAlgorithm;
  158.     SECItem signature; /* a BIT STRING */
  159.     SECItem **derCerts; /* a SEQUENCE OF Certificate */
  160.     CERTCertificate *cert; /* local; not part of encoding */
  161.     PRBool wasChecked; /* local; not part of encoding */
  162.     SECStatus status; /* local; not part of encoding */
  163.     int failureReason; /* local; not part of encoding */
  164. };
  166. /*
  167.  * An OCSPRequest contains a SEQUENCE OF these, one for each certificate
  168.  * whose status is being checked.
  169.  *
  170.  * Note that in the OCSP specification this is just called "Request",
  171.  * but since that seemed confusing (vs. an OCSPRequest) and to be more
  172.  * consistent with the parallel type "SingleResponse", I called it a
  173.  * "SingleRequest".
  174.  * 
  175.  * XXX figure out how to get rid of that arena -- there must be a way
  176.  */
  177. struct ocspSingleRequestStr {
  178.     PRArenaPool *arena; /* just a copy of the response arena,
  179.  * needed here for extension handling
  180.  * routines, on creation only */
  181.     CERTOCSPCertID *reqCert;
  182.     CERTCertExtension **singleRequestExtensions;
  183. };
  185. /*
  186.  * A CertID is the means of identifying a certificate, used both in requests
  187.  * and in responses.
  188.  *
  189.  * When in a SingleRequest it specifies the certificate to be checked.
  190.  * When in a SingleResponse it is the cert whose status is being given.
  191.  */
  192. struct CERTOCSPCertIDStr {
  193.     SECAlgorithmID hashAlgorithm;
  194.     SECItem issuerNameHash; /* an OCTET STRING */
  195.     SECItem issuerKeyHash; /* an OCTET STRING */
  196.     SECItem serialNumber; /* an INTEGER */
  197. };
  199. /*
  200.  * This describes the value of the responseStatus field in an OCSPResponse.
  201.  * The corresponding ASN.1 definition is:
  202.  *
  203.  * OCSPResponseStatus ::= ENUMERATED {
  204.  * successful (0), --Response has valid confirmations
  205.  * malformedRequest (1), --Illegal confirmation request
  206.  * internalError (2), --Internal error in issuer
  207.  * tryLater (3), --Try again later
  208.  * --(4) is not used
  209.  * sigRequired (5), --Must sign the request
  210.  * unauthorized (6), --Request unauthorized
  211.  * }
  212.  */
  213. typedef enum {
  214.     ocspResponse_successful = 0,
  215.     ocspResponse_malformedRequest = 1,
  216.     ocspResponse_internalError = 2,
  217.     ocspResponse_tryLater = 3,
  218.     ocspResponse_unused = 4,
  219.     ocspResponse_sigRequired = 5,
  220.     ocspResponse_unauthorized = 6,
  221.     ocspResponse_other /* unknown/unrecognized value */
  222. } ocspResponseStatus;
  224. /*
  225.  * An OCSPResponse is what is sent (encoded) by an OCSP responder.
  226.  *
  227.  * The field "responseStatus" is the ASN.1 encoded value; the field
  228.  * "statusValue" is simply that same value translated into our local
  229.  * type ocspResponseStatus.
  230.  */
  231. struct CERTOCSPResponseStr {
  232.     PRArenaPool *arena; /* local; not part of encoding */
  233.     SECItem responseStatus; /* an ENUMERATED, see above */
  234.     ocspResponseStatus statusValue; /* local; not part of encoding */
  235.     ocspResponseBytes *responseBytes; /* only when status is successful */
  236. };
  238. /*
  239.  * A ResponseBytes (despite appearances) is what contains the meat
  240.  * of a successful response -- but still in encoded form.  The type
  241.  * given as "responseType" tells you how to decode the string.
  242.  *
  243.  * We look at the OID and translate it into our local OID representation
  244.  * "responseTypeTag", and use that value to tell us how to decode the
  245.  * actual response itself.  For now the only kind of OCSP response we
  246.  * know about is a BasicOCSPResponse.  However, the intention in the
  247.  * OCSP specification is to allow for other response types, so we are
  248.  * building in that flexibility from the start and thus put a pointer
  249.  * to that data structure inside of a union.  Whenever OCSP adds more
  250.  * response types, just add them to the union.
  251.  */
  252. struct ocspResponseBytesStr {
  253.     SECItem responseType; /* an OBJECT IDENTIFIER */
  254.     SECOidTag responseTypeTag; /* local; not part of encoding */
  255.     SECItem response; /* an OCTET STRING */
  256.     union {
  257. ocspBasicOCSPResponse *basic; /* when type is id-pkix-ocsp-basic */
  258.     } decodedResponse; /* local; not part of encoding */
  259. };
  261. /*
  262.  * A BasicOCSPResponse -- when the responseType in a ResponseBytes is
  263.  * id-pkix-ocsp-basic, the "response" OCTET STRING above is the DER
  264.  * encoding of one of these.
  265.  *
  266.  * Note that in the OCSP specification, the signature fields are not
  267.  * part of a separate sub-structure.  But since they are the same fields
  268.  * as we define for the signature in a request, it made sense to share
  269.  * the C data structure here and in some shared code to operate on them.
  270.  */
  271. struct ocspBasicOCSPResponseStr {
  272.     ocspResponseData *tbsResponseData; /* "tbs" == To Be Signed */
  273.     ocspSignature responseSignature;
  274. };
  276. /*
  277.  * A ResponseData is the part of a BasicOCSPResponse that is signed
  278.  * (after it is DER encoded).  It contains the real details of the response
  279.  * (a per-certificate status).
  280.  */
  281. struct ocspResponseDataStr {
  282.     SECItem version; /* an INTEGER */
  283.     SECItem derResponderID;
  284.     ocspResponderID *responderID; /* local; not part of encoding */
  285.     SECItem producedAt; /* a GeneralizedTime */
  286.     CERTOCSPSingleResponse **responses;
  287.     CERTCertExtension **responseExtensions;
  288. };
  290. /*
  291.  * A ResponderID identifies the responder -- or more correctly, the
  292.  * signer of the response.  The ASN.1 definition of a ResponderID is:
  293.  *
  294.  * ResponderID ::= CHOICE {
  295.  * byName [1] EXPLICIT Name,
  296.  * byKey [2] EXPLICIT KeyHash }
  297.  *
  298.  * Because it is CHOICE, the type of identification used and the
  299.  * identification itself are actually encoded together.  To represent
  300.  * this same information internally, we explicitly define a type and
  301.  * save it, along with the value, into a data structure.
  302.  */
  304. typedef enum {
  305.     ocspResponderID_byName,
  306.     ocspResponderID_byKey,
  307.     ocspResponderID_other /* unknown kind of responderID */
  308. } ocspResponderIDType;
  310. struct ocspResponderIDStr {
  311.     ocspResponderIDType responderIDType;/* local; not part of encoding */
  312.     union {
  313. CERTName name; /* when ocspResponderID_byName */
  314. SECItem keyHash; /* when ocspResponderID_byKey */
  315. SECItem other; /* when ocspResponderID_other */
  316.     } responderIDValue;
  317. };
  319. /*
  320.  * The ResponseData in a BasicOCSPResponse contains a SEQUENCE OF
  321.  * SingleResponse -- one for each certificate whose status is being supplied.
  322.  * 
  323.  * XXX figure out how to get rid of that arena -- there must be a way
  324.  */
  325. struct CERTOCSPSingleResponseStr {
  326.     PRArenaPool *arena; /* just a copy of the response arena,
  327.  * needed here for extension handling
  328.  * routines, on creation only */
  329.     CERTOCSPCertID *certID;
  330.     SECItem derCertStatus;
  331.     ocspCertStatus *certStatus; /* local; not part of encoding */
  332.     SECItem thisUpdate; /* a GeneralizedTime */
  333.     SECItem *nextUpdate; /* a GeneralizedTime */
  334.     CERTCertExtension **singleExtensions;
  335. };
  337. /*
  338.  * A CertStatus is the actual per-certificate status.  Its ASN.1 definition:
  339.  *
  340.  * CertStatus ::= CHOICE {
  341.  * good [0] IMPLICIT NULL,
  342.  * revoked [1] IMPLICIT RevokedInfo,
  343.  * unknown [2] IMPLICIT UnknownInfo }
  344.  *
  345.  * (where for now UnknownInfo is defined to be NULL but in the
  346.  * future may be replaced with an enumeration).
  347.  *
  348.  * Because it is CHOICE, the status value and its associated information
  349.  * (if any) are actually encoded together.  To represent this same
  350.  * information internally, we explicitly define a type and save it,
  351.  * along with the value, into a data structure.
  352.  */
  354. typedef enum {
  355.     ocspCertStatus_good, /* cert is not revoked */
  356.     ocspCertStatus_revoked, /* cert is revoked */
  357.     ocspCertStatus_unknown, /* cert was unknown to the responder */
  358.     ocspCertStatus_other /* status was not an expected value */
  359. } ocspCertStatusType;
  361. /*
  362.  * This is the actual per-certificate status.
  363.  *
  364.  * The "goodInfo" and "unknownInfo" items are only place-holders for a NULL.
  365.  * (Though someday OCSP may replace UnknownInfo with an enumeration that
  366.  * gives more detailed information.)
  367.  */
  368. struct ocspCertStatusStr {
  369.     ocspCertStatusType certStatusType; /* local; not part of encoding */
  370.     union {
  371. SECItem *goodInfo; /* when ocspCertStatus_good */
  372. ocspRevokedInfo *revokedInfo; /* when ocspCertStatus_revoked */
  373. SECItem *unknownInfo; /* when ocspCertStatus_unknown */
  374. SECItem *otherInfo; /* when ocspCertStatus_other */
  375.     } certStatusInfo; 
  376. };
  378. /*
  379.  * A RevokedInfo gives information about a revoked certificate -- when it
  380.  * was revoked and why.
  381.  */
  382. struct ocspRevokedInfoStr {
  383.     SECItem revocationTime; /* a GeneralizedTime */
  384.     SECItem *revocationReason; /* a CRLReason; ignored for now */
  385. };
  387. /*
  388.  * ServiceLocator can be included as one of the singleRequestExtensions.
  389.  * When added, it specifies the (name of the) issuer of the cert being
  390.  * checked, and optionally the value of the AuthorityInfoAccess extension
  391.  * if the cert has one.
  392.  */
  393. struct ocspServiceLocatorStr {
  394.     CERTName *issuer;
  395.     SECItem locator; /* DER encoded authInfoAccess extension from cert */
  396. };
  398. #endif /* _OCSPTI_H_ */