开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
sslauth.c
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:6k
源码类别:

CA认证

开发平台:

WINDOWS

sslauth.c:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  *
  33.  * $Id: sslauth.c,v 1.2 2000/09/12 20:15:42 jgmyers%netscape.com Exp $
  34.  */
  35. #include "cert.h"
  36. #include "secitem.h"
  37. #include "ssl.h"
  38. #include "sslimpl.h"
  39. #include "sslproto.h"
  40. #include "pk11func.h"
  42. /* NEED LOCKS IN HERE.  */
  43. CERTCertificate *SSL_PeerCertificate(PRFileDesc *fd)
  44. {
  45.     sslSocket *ss;
  46.     sslSecurityInfo *sec;
  48.     ss = ssl_FindSocket(fd);
  49.     if (!ss) {
  50. SSL_DBG(("%d: SSL[%d]: bad socket in PeerCertificate",
  51.  SSL_GETPID(), fd));
  52. return 0;
  53.     }
  54.     sec = ss->sec;
  55.     if (ss->useSecurity && sec && sec->peerCert) {
  56. return CERT_DupCertificate(sec->peerCert);
  57.     }
  58.     return 0;
  59. }
  61. /* NEED LOCKS IN HERE.  */
  62. int
  63. SSL_SecurityStatus(PRFileDesc *fd, int *op, char **cp, int *kp0, int *kp1,
  64.    char **ip, char **sp)
  65. {
  66.     sslSocket *ss;
  67.     sslSecurityInfo *sec;
  68.     const char *cipherName;
  69.     PRBool isDes = PR_FALSE;
  71.     ss = ssl_FindSocket(fd);
  72.     if (!ss) {
  73. SSL_DBG(("%d: SSL[%d]: bad socket in SecurityStatus",
  74.  SSL_GETPID(), fd));
  75. return SECFailure;
  76.     }
  78.     if (cp) *cp = 0;
  79.     if (kp0) *kp0 = 0;
  80.     if (kp1) *kp1 = 0;
  81.     if (ip) *ip = 0;
  82.     if (sp) *sp = 0;
  83.     if (op) {
  84. *op = SSL_SECURITY_STATUS_OFF;
  85.     }
  87.     if (ss->useSecurity && ss->connected) {
  88. PORT_Assert(ss->sec != 0);
  89. sec = ss->sec;
  91. if (ss->version < SSL_LIBRARY_VERSION_3_0) {
  92.     cipherName = ssl_cipherName[sec->cipherType];
  93. } else {
  94.     cipherName = ssl3_cipherName[sec->cipherType];
  95. }
  96. if (cipherName && PORT_Strstr(cipherName, "DES")) isDes = PR_TRUE;
  97. /* do same key stuff for fortezza */
  98.     
  99. if (cp) {
  100.     *cp = PORT_Strdup(cipherName);
  101. }
  103. if (kp0) {
  104.     *kp0 = sec->keyBits;
  105.     if (isDes) *kp0 = (*kp0 * 7) / 8;
  106. }
  107. if (kp1) {
  108.     *kp1 = sec->secretKeyBits;
  109.     if (isDes) *kp1 = (*kp1 * 7) / 8;
  110. }
  111. if (op) {
  112.     if (sec->keyBits == 0) {
  113. *op = SSL_SECURITY_STATUS_OFF;
  114.     } else if (sec->secretKeyBits < 90) {
  115. *op = SSL_SECURITY_STATUS_ON_LOW;
  117.     } else {
  118. *op = SSL_SECURITY_STATUS_ON_HIGH;
  119.     }
  120. }
  122. if (ip || sp) {
  123.     CERTCertificate *cert;
  125.     cert = sec->peerCert;
  126.     if (cert) {
  127. if (ip) {
  128.     *ip = CERT_NameToAscii(&cert->issuer);
  129. }
  130. if (sp) {
  131.     *sp = CERT_NameToAscii(&cert->subject);
  132. }
  133.     } else {
  134. if (ip) {
  135.     *ip = PORT_Strdup("no certificate");
  136. }
  137. if (sp) {
  138.     *sp = PORT_Strdup("no certificate");
  139. }
  140.     }
  141. }
  142.     }
  144.     return 0;
  145. }
  147. /************************************************************************/
  149. /* NEED LOCKS IN HERE.  */
  150. int
  151. SSL_AuthCertificateHook(PRFileDesc *s, SSLAuthCertificate func, void *arg)
  152. {
  153.     sslSocket *ss;
  154.     int rv;
  156.     ss = ssl_FindSocket(s);
  157.     if (!ss) {
  158. SSL_DBG(("%d: SSL[%d]: bad socket in AuthCertificateHook",
  159.  SSL_GETPID(), s));
  160. return SECFailure;
  161.     }
  163.     if ((rv = ssl_CreateSecurityInfo(ss)) != 0) {
  164. return(rv);
  165.     }
  166.     ss->authCertificate = func;
  167.     ss->authCertificateArg = arg;
  169.     return(0);
  170. }
  172. /* NEED LOCKS IN HERE.  */
  173. int 
  174. SSL_GetClientAuthDataHook(PRFileDesc *s, SSLGetClientAuthData func,
  175.       void *arg)
  176. {
  177.     sslSocket *ss;
  178.     int rv;
  180.     ss = ssl_FindSocket(s);
  181.     if (!ss) {
  182. SSL_DBG(("%d: SSL[%d]: bad socket in GetClientAuthDataHook",
  183.  SSL_GETPID(), s));
  184. return SECFailure;
  185.     }
  187.     if ((rv = ssl_CreateSecurityInfo(ss)) != 0) {
  188. return rv;
  189.     }
  190.     ss->getClientAuthData = func;
  191.     ss->getClientAuthDataArg = arg;
  192.     return 0;
  193. }
  195. /* NEED LOCKS IN HERE.  */
  196. int 
  197. SSL_SetPKCS11PinArg(PRFileDesc *s, void *arg)
  198. {
  199.     sslSocket *ss;
  200.     int rv;
  202.     ss = ssl_FindSocket(s);
  203.     if (!ss) {
  204. SSL_DBG(("%d: SSL[%d]: bad socket in GetClientAuthDataHook",
  205.  SSL_GETPID(), s));
  206. return SECFailure;
  207.     }
  209.     if ((rv = ssl_CreateSecurityInfo(ss)) != 0) {
  210. return rv;
  211.     }
  212.     ss->pkcs11PinArg = arg;
  213.     return 0;
  214. }
  217. /* This is the "default" authCert callback function.  It is called when a 
  218.  * certificate message is received from the peer and the local application
  219.  * has not registered an authCert callback function.
  220.  */
  221. int
  222. SSL_AuthCertificate(void *arg, PRFileDesc *fd, PRBool checkSig, PRBool isServer)
  223. {
  224.     SECStatus          rv;
  225.     CERTCertDBHandle * handle;
  226.     sslSocket *        ss;
  227.     SECCertUsage       certUsage;
  228.     const char *             hostname    = NULL;
  229.     
  230.     ss = ssl_FindSocket(fd);
  231.     PORT_Assert(ss != NULL);
  233.     handle = (CERTCertDBHandle *)arg;
  235.     /* this may seem backwards, but isn't. */
  236.     certUsage = isServer ? certUsageSSLClient : certUsageSSLServer;
  238.     rv = CERT_VerifyCertNow(handle, ss->sec->peerCert, checkSig, certUsage,
  239.     ss->pkcs11PinArg);
  241.     if ( rv != SECSuccess || isServer )
  242. return rv;
  243.   
  244.     /* cert is OK.  This is the client side of an SSL connection.
  245.      * Now check the name field in the cert against the desired hostname.
  246.      * NB: This is our only defense against Man-In-The-Middle (MITM) attacks!
  247.      */
  248.     hostname = ss->url;
  249.     if (hostname && hostname[0])
  250. rv = CERT_VerifyCertName(ss->sec->peerCert, hostname);
  251.     else 
  252. rv = SECFailure;
  253.     if (rv != SECSuccess)
  254. PORT_SetError(SSL_ERROR_BAD_CERT_DOMAIN);
  256.     return rv;
  257. }