JP5952839B2 - 関連付けられた組織証明書を利用するオンラインメンバシップ検証 - Google Patents

関連付けられた組織証明書を利用するオンラインメンバシップ検証 Download PDF

Info

Publication number
JP5952839B2
JP5952839B2 JP2013554563A JP2013554563A JP5952839B2 JP 5952839 B2 JP5952839 B2 JP 5952839B2 JP 2013554563 A JP2013554563 A JP 2013554563A JP 2013554563 A JP2013554563 A JP 2013554563A JP 5952839 B2 JP5952839 B2 JP 5952839B2
Authority
JP
Japan
Prior art keywords
certificate
organization
computer
membership
implemented method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013554563A
Other languages
English (en)
Other versions
JP2014510967A (ja
JP2014510967A5 (ja
Inventor
カーン,ロバート,エス.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of JP2014510967A publication Critical patent/JP2014510967A/ja
Publication of JP2014510967A5 publication Critical patent/JP2014510967A5/ja
Application granted granted Critical
Publication of JP5952839B2 publication Critical patent/JP5952839B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

関連出願の相互参照
本願は、2011年2月20日に出願された米国仮特許出願第61/444,753号明細書の利益を主張するものであり、この仮特許出願を参照により本明細書に援用する。
本発明は、公認組織から指定され制限された認証情報の、第2のサイトの認証を必要としないオンライン検証を提供するシステム及び方法に関する。
オンライン身元識別の問題は、数年にわたり、積極的な研究分野であった。人物又は組織が、自分達が主張している人物又は組織であるか否かの問題は、いくつかのウェブに基づく革新を生み出した。オンライン小売業者に関連付けられることが多いように、ウェブサイトは、オンライン小売業者の信憑性を「検証」することを意図する別のサイトへのリンクを含み得る。そのリンクをクリックすることにより、ユーザ(見込み客等)は、オンライン小売業者の「証明書」を表示している別のウェブページにリダイレクトされる。一般に、これらのシステムは「第2サイト認証」と呼ばれ、偽造が比較的容易であることが分かっている(残念ながら)。悪質な個人は、信頼できる「検証サービス」と比較的似ているドメイン名を購入し得、次に、「偽の」証明書を作成し、特定の製品又はサービスの検証を求めている不用心な第三者に提示し得る。簡単に言えば、良質なサイトは、認証のためにユーザを他の良質なサイトに送り、悪質なサイトはユーザを他の悪質なサイトに送る。更に、第2サイト認証の市場での悪質サイトの蔓延も問題のままである。いくつかのブラウザアドオンは、ユーザに対して「悪質サイト」を警告し得るが、この解決策は、新しい悪質サイトを作成する悪人と、アドオンを管理し、悪質サイトの識別情報を常時更新する作業を有する人々との競争を生じさせる。実際には、この手法は、インターネットに基づく性的題材を警告するペアレンタルコントロールツールにより使用されるものと同じである。従って、経験から、競争が決して終わらないことが分かっており、有害な情報にアクセスする方法が常に存在することになる。
これらの問題のいくつかに対処する従来技術による1つの試みは、2009年7月9日にPaul L.Olsonに発行された米国特許出願公開第2009/0177694号明細書に開示されている。この開示では、全ての認証済み認証情報を記憶する中央リポジトリが作成され、各認証情報は、チェックサムを含むように形成される。次に、特定の認証情報の精査に関心を有する個人は、リポジトリにアクセスし、所望の認証情報を検索し、チェックサムが計算され、検証のために提示される。従って、一致する場合、個人への認証情報の証明であると見なされる。
より一般的な第2サイト認証プロセスを超える進歩があるものの、それでもやはり、誰かがOlsonのシステムを実施して、同様にして偽の認証情報を保持する「偽造サイト」をセットアップし維持することが可能である。これが可能なことの1つの理由は、発端である組織(例えば、職業団体、大学、ライセンシング組織等)が証明書の制御を保持せず、リポジトリに渡すためである。更に、証明書のいかなる種類の期限切れも、リポジトリに記憶されるデータと共に含まれることも示されていない。
2010年7月2日に出願され、参照により本明細書に援用される米国特許出願第12/829,550号明細書において実施される、本発明者による先行研究は、従来技術の欠点の多くに対処する。しかし、以下において詳細に考察するように、従来のシステムは、証明書に含まれると考えることができる情報の「種類」を制限していなかった。
例えば、認証組織がイェール大学である場合、イェール大学が個人に認めた学位を証明することは問題ない。しかし、イェールは、職務経歴、兵役、又は市民権の好ましい情報源であるとは見なされない。従って、認証組織が検証する情報の種類も制御する仕組みが未だに必要とされている。
従来技術のこれら及び他の制限は、本発明により対処され、本発明は、公認組織から指定され制限された認証情報の、第2のサイトの認証を必要としないオンライン検証を提供するシステム及び方法に関する。
特に、本発明は、「組織証明書」(OC)を「メンバシップ証明書」(MC)と組み合わせて利用して、独立した人物(第三者、即ち、意図されるメンバのウェブサイトのユーザ)に、指定された認証情報の検証を提供するシステム及び方法を記載し、OCのフィールド構造は、発行組織が証明することができる情報の種類を制限する。
証明機関(CA)により発行される規格X.509証明書と同様に、本発明の方法論で使用されるOCも、組織をまず入念に調べ、その公開鍵を検証するCAにより組織に発行される。
本発明によれば、CAにより制御され、MCに含まれる情報が信用できることを保証する所定のフィールドセットを利用する組織証明書(以下、「OC」)が提案される。OC内のフィールドセットは、特定の種類の組織に関連付けられるものとして定義され、いかなる無関係情報も、正当なメンバシップ証明書(以下、「MC」)の一部をなすことが許されない。特定のフィールド記述の使用は、OCにおいて対応する<フィールド>タグを有さないMCに見られるいかなるフィールドも、検証プロセス中、ユーザのブラウザ拡張機能により無効としてフラグ付けられると想定する。
本発明の更なる実施形態では、各フィールドに関連付けられたチェックの数は、1つ又は複数の特定のフィールドの属性を検証するために拡張することができる。更に、本発明により、MCを検証するプロセスにおいて精査される「無効化された」OCのリストを含むことが可能である。
本発明によれば、プロトコル及び暗号化を利用して、ウェブサイトと組み合わせて身元識別情報の信用できる証明を提示することができる人物(又は組織)と取引することを顧客(以下、全般的に「ユーザ」と称される)に保証するシステム及び方法が提供される。このシステムは、ユーザのブラウザから直接起動され、それにより、証明書検証プロセスは、別の(恐らくは悪質な)ウェブサイトを開き、そこから情報を得る必要なく、「ローカル」に実行される。期限切れ日が、好ましくは、OC及びMCの両方に含まれて、いずれの証明書も「古」くないことを保証するとともに、証明書が期限切れする固定日が作成される。
システム及び方法により提供される組織証明書及びメンバシップ証明書が、偽造又は盗難が難しいことが、本発明の態様である。知識(即ち、コンピュータの知識)が豊富なユーザが、証明書の信憑性を手動で検証することが可能であるが、本発明によるシステムの好ましい実施形態は、ユーザのブラウザを利用し、発端となる証明機関(CA)の公開鍵と組み合わせて認証組織に関連付けられた公開鍵を利用する新しいMIME(即ち、多目的インターネットメール拡張機能)型の作成に基づく。従来技術とは異なり、認証組織はメンバシップ証明の制御を保持する。
一実施形態では、本発明は、意図されるメンバのウェブサイト上にアイコン又はハイパーリンクとして提示される、メンバシップ証明書を検証するコンピュータ実施方法を含み、この方法は、メンバシップ証明書アイコンをアクティブ化するステップと、メンバシップ証明書を作成した組織に関連付けられた組織証明書(組織証明書はメンバシップを定義する所定の情報要素セットを含む)を検索するステップと、メンバシップ証明書に提示される要素を組織証明書と比較するステップと、メンバシップ証明書に提示される要素が、組織証明書内の所定の情報要素セットに一致する場合且つその場合に限り、メンバシップ証明書を証明するステップと、次に、メンバシップ証明書の署名を、組織証明書において公開された公開鍵と突き合わせて検証するステップと、を含む。
別の実施形態では、本発明は、意図されるメンバのウェブサイト上にアイコンとして提示されるメンバシップ証明書を検証するコンピュータ使用可能コードを含むコンピュータ使用可能媒体を含むコンピュータ使用可能製品を定義し、コンピュータ使用可能媒体は、メンバシップ証明書アイコンをアクティブ化するコンピュータ使用可能コードと、メンバシップ証明書を作成した組織に関連付けられた組織証明書(組織証明書は、メンバシップを定義する所定の情報要素セットを含む)を検索するコンピュータ使用可能コードと、メンバシップ証明書に提示される要素を組織証明書と比較するコンピュータ使用可能コードと、メンバシップ証明書に提示される要素が、組織証明書内の所定の情報要素セットに一致する場合且つその場合に限り、メンバシップ証明書を証明し、次に、メンバシップ証明書の署名を、組織証明書において公開された公開鍵と突き合わせて検証する、メンバシップ証明書を証明するコンピュータ使用可能コードと、を含む。
更なる実施形態では、本発明は、意図されるメンバのウェブサイト上のアイコンとして提示される、メンバシップ証明書を検証するシステムを開示し、このシステムは、メンバシップ証明書アイコンをアクティブ化するコンピュータ使用可能コード手段と、メンバシップ証明書を作成した組織に関連付けられた組織証明書(組織証明書は、メンバシップを定義する所定の情報要素セットを含む)を検索するコンピュータ使用可能コード手段と、メンバシップ証明書に提示される要素を組織証明書と比較するコンピュータ使用可能コード手段と、メンバシップ証明書に提示される要素が、組織証明書内の所定の情報要素セットに一致する場合且つその場合に限り、メンバシップ証明書を証明するコンピュータ使用可能コード手段と、を含む。
本発明の他及び更なる態様及び実施形態が、以下の考察及び添付図面への参照の過程において明白になるだろう。
図1は、本発明により形成されるメンバシップ証明書(MC)の基本図である。 図2は、例示的なMCのリストを含む。 図3は、本発明により形成される組織証明書(OC)及び関連付けられたフィールド識別テーブルの基本図である。 図4は、例示的なOCの証明機関部分のリストを含む。 図5は、例示的なOCの組織識別部分のリストを含む。 図6は、本発明のプロセスにおいて使用し得る拡張型のフィールド識別テーブルを示す。 図7は、OC及びMCの両方を実施する結合証明書(CC)の基本図である。 図8は、本発明により提示されるMCを検証する例示的なプロセスのフローチャートである。
詳細に後述するように、本発明は、組織証明書(OC)を利用して、メンバシップ証明書(MC)を作成し、後に、第三者がメンバシップ証明書にアクセスして、「メンバ」(個人、ビジネス、企業等)が参加(認証)組織(即ち、大学、ライセンシング組織、職業団体)に合法的に関連付けられていることを検証することができる。特に、OCは、MC内に含めることができる情報の種類を、発行組織に関連する情報のみに制限するように構造化される。
特定の個人又はビジネスのウェブサイトを開く場合、特定の個人又はビジネス(又は任意の他の種類のエンティティ)の信憑性を検証するために、本発明が公衆により利用されることが意図される。ウェブサイトは、リアルタイムでアクティブ化して、検証プロセスを始動するために使用することができるMCアイコン(又はハイパーリンク)を含む。従って、ウェブサイトを開く個人(以下、「ユーザ」として定義される)は、「メンバシップ」アイコン/ハイパーリンクを見て、その位置をクリックして、検証プロセスを実行する。成功の場合、プロセスは、ユーザによる視覚的確認のために検証された証明書を表示し、プロセスが何らかの理由により失敗する場合、エラー/失敗メッセージがユーザに表示される。ユーザのブラウザは恐らく、全ての有効OCの識別情報を含め、検証プロセスを実行するために必要なアドオンを含むように構成され、ユーザが利用するシステムの詳細については、本出願人の同時係属中の出願第12/829,550号明細書に詳細に説明されており、この出願を参照により本明細書に援用する。
図1は、ここではMC10として定義される、例示的なメンバシップ証明書内に含まれる情報の種類を高レベル図形式で示す。MC10の要素の順序は重要ではなく、本発明の範囲を限定するものとして見なされるべきではない。示されるように、MC10はウェブサイト識別要素12を含み、この要素12は、この特定のMCに関連付けられたウェブサイトを定義する。ウェブサイト情報の包含により、悪質な個人がMCを「盗」み、別のウェブサイトで再公開しないようにする。MC10は組織識別要素14も含み、この要素14は、組織証明書(OC)を最初に承認した証明機関(CA)により提供される「証明」シリアル番号を含め、MCを発行する組織を定義する情報を含む。後で手短に考察し、且つ本出願人の同時係属中の出願に詳述されるように、CAは、「要求側組織」が実際に意図される組織であることを確認する提示ドキュメントである。次に、この情報は入念に調べられ(多かれ少なかれ、状況に応じて)、確認後、CAは、一意のシリアル番号を有するOCを要求側組織に発行し、要求側組織において、その番号が次に、要求側組織のOC 及び発行されるあらゆるMCに含められる。MC10に関連付けられた特定の「メンバ」(ユーザが開いているウェブサイトの個人/企業)の識別情報が、メンバ要素16としてMC10に含まれる。図1に示されるように、MC10のペイロード部分18は、特定のフィールドタグにより構造化される、発行組織がMCに含めることが許された、個人に関連する特定の情報を含む。
図2は、1行目がウェブサイト識別要素12に対応する、MC10の例示的なリストを含む。重要なことには、リストの2行目はこの特定のMCの期限切れ日を含み、上述したように、MC内の情報が「古く」ならず、期限切れ日が含まれて、証明された情報の信憑性を更に保証することが重要である。続く2行が、発行組織の名称(ここでは、イェール大学)及び監督CAによりイェール大学に発行された特定の一意のシリアル番号の両方を含む組織識別要素14を具現する。リストの5行目は、図1の図では要素16として含まれる、MC10に関連付けられた特定の「メンバ」の識別されたを含む。
本発明によれば、図2のリスト内の残りのフィールドは特にタグ付けされ、発行組織により供給されることが許された詳細情報(即ち、MC10の「ペイロード」部分18)を含む。詳細に後述するように、異なるフィールドは異なる属性を有し、「単一」のみの情報を含むものもあれば、「複数」の情報を含むものもある。更に、フィールドによっては「必須」であるものもあれば、「任意」であるものもある。明らかなことに、これらの属性は発行されているMCの種類に固有であり、大学は1組のフィールド及び属性を有し、AMA等のライセンシング組織は別の組のフィールド及び属性を有する。実際には、発行組織がMCにおいて供給する情報の種類が、OC及びMCにおいて識別される固定のフィールドセットにより制御されることは、本発明の重要な態様である。
同時係属中の出願番号第12/829,550号明細書に記載されるような本出願人の前の仕組みと比較して、OCは、組織の検証に関連付けられた署名付きGPG鍵又は署名付きX.509証明書に取って代わる。一般に、OCは大まかにX.509に基づくが、いくつかの主な違いがある。OCは、標準X.509証明書に含まれるよりも、組織について多くの情報を含む。後述するように、OCはまた、X.509証明書で許されているように証明機関(CA)からCAに「連鎖」させることができず、「ルート」CAに戻る全ての組織により署名する必要がある。
より詳細には、本発明のOCは、(1)証明機関の識別情報、(2)組織の識別情報、(3)組織により提供される特定の情報を定義するフィールド識別情報、(4)組織の公開鍵、及び(5)OCの有効期間(即ち、期限切れ日)を含む選択された要素セット(別様に実施し得る)を必要とする。図3は、これらの要素を含む例示的なOC20を示し、OC20は、意図される「メンバ」のウェブサイトを見ているユーザによる検証のために提示されるMCを有効化(又は場合によっては無効化)するために使用される。
図3に示されるように、OC20は上述した要素を指定するいくつかの別個のフィールドを含む。特に、OC20は、OCを発行した「証明機関」(CA)及び組織に割り当てられた一意のシリアル番号を定義する第1のフィールド22を含む。OC20内の次のフィールド24は、この証明書が作成された特定の組織を識別する。フィールド識別ポインタ26は、図3に示されるように、プロセスを別個のフィールド識別テーブル30に向けるためにOC20内に含まれ、使用される。詳細に後述するように、フィールド識別テーブル30は、MCを作成する場合、組織が追加入力する特定のタグ付けフィールドを含む。最後に、OC20は、発行組織の公開鍵と、好ましくは、OC20の期限切れ日と、を含む検証フィールド28を含む。
MCにより生まれるライセンシング及び収益を適宜統制するために、OCには、ルートCAに戻る連鎖内の全ての発行者が署名する必要がある。あるいは、OCには、発端となったCA(即ち、連鎖中、OCに「最も近い」CA)及びルートCAにより署名することができる。この態様を利用して、様々なCA間での商業関係を施行することができる。
これは、例として示すことができる。CA1がルートCAであり、世界中で生成される全てのOCに署名するものと仮定される。CA1は、CA2と商業関係になり、カナダ国の組織証明書を発行する。そして、CA2はCA3と関係になり、オンタリオ州の証明書を発行する。
トロント大学は、MCを卒業生に発行するためにOCを取得したい場合、CA3と交信するように指示される。続けて、CA3は、トロント大学を確認するために必要な適正評価を実行し、大学のOCに署名する。トロント大学は次に、署名付きOC及び関係書類を、署名のためにCA2に転送し、CA2において、パッケージは次に、最後の署名のためにCA1に転送される。このプロセスは、商業関係のために、組織及び秩序だった会計を入念に調べる一貫したプロセスがあることを保証する。
OCを処理するブラウザ拡張機能が、CA1による「外部」署名を検証する必要があるだけであり、CA2及びCA3による「内部」署名を恐らくは無視することができることを理解されたい(仮定は、前の機関がOCを精査し承認した場合のみ、CA1が見つけられるというものである)。あるいは、ブラウザ拡張機能は、全てのCA公開鍵のデータベースを保持し、CAに含まれる署名のそれぞれ1つを検証することができる。
図4は、OC20内に含まれる例示的なCAフィールド22のリストであり、OC20のこの部分が、X.509証明書内のフィールドに類似することが分かる。この場合、「Verify Membership,Inc.」が、証明機関としてリストの5行目に示される。図4の2行目に示されるシリアル番号は、CAの識別番号で開始される。この特定の実施形態では、番号00:00が示され、「issuer_parent」と同じであるため、「ルート」として定義される。本発明の検証システムは、企業判断及び動作効率により支配されるように、単一のルート機関を利用してもよく、又は複数のルートを利用してもよい。図4に示されるように、CAは、OC20のこの部分に詳細な交信情報を含み、それにより、特定のMCの検証に関わるユーザは、必要な全ての情報にアクセスすることができる。図4に示される特定の実施形態では、「検証レベル」の表示は、OC20のこの部分の10行目に含められ、組織の識別情報及び組織の履歴を特定するためにCAが実行する入念な検査の程度を指す。この「レベル」情報の包含により、MCにおいて組織により最終的に供給される情報の信用レベルを高く及び低くすることができる。
図5は、「組織」イェール大学(例示のみを目的とする)である場合の、OC20の組織識別フィールド24の例示的なリストを含む。このリストが、住所、電話番号、及びウェブサイト情報等のイェール大学についての様々な詳細を含むことが分かる。上述したように、本発明により構成される特定のOCは、標準X.509証明書よりも詳細に発行組織を識別する。その結果、特定のMCを精査しているユーザは、最初にMCを発行する組織に関連付けられた必要なあらゆる背景情報に精通することにもなる。
本発明の重要な態様は、特定の組織が「証明」することができる情報の種類の制御である。教育機関のこの場合、情報の種類は、入学許可日及び卒業日、授与された学位、賞与等に限定される。この制御を、MCにおいて組織が「証明」することができる情報の種類に提供するために、OCは、図3に示されるように、フィールド識別テーブル30を利用し、フィールド識別テーブル30は、組織が発行するMCに含み得る特定の制限された記述子セットを含む。明らかなことに、提示されたMCの認証過程中に精査されている特定のテーブルが、名称が示されていない任意のフィールドを含む場合、OC20は無効として拒絶される。
図3を参照すると、フィールド識別テーブル30が大学(又は任意の種類の教育機関)に関連付けられた情報を含むことが明らかである。本発明により、他の種類の組織が、テーブルにおいて、その組織でのメンバシップを認めることに関連する情報を定義する異なる特定のフィールドセットを利用することを理解されたい。例えば、米国赤十字に関連付けられたOCは、「メンバ」の血液型及び恐らくはメンバが献血した最新日のみを確認するフィールドリスト識別テーブルを利用し得る。
これよりテーブル30を参照すると、いくつかの特定のフィールドが示され、各フィールドはそのフィールドを定義する特定の属性セットも含む。示されるように、第1のフィールド32は、このテーブルへの問い合わせ元の特定のOCに関連付けられた特定の「組織」を定義する。この場合、「内容属性」34は「イェール大学」として示される(この場合、明らかなことに、これが、発端となったOCでの組織定義に一致しない場合、プロセスは中止され、OCは無効と考えられる)。このフィールドは、好ましくは、テーブルにおいて、「固定」エントリとして定義され、常に必要とされ、テーブルで1回のみ出現することができるフィールドである。明らかなことに、証明組織の識別情報はこの種の情報である。
続けて、フィールド識別テーブル30内のメンバフィールド40は、MCを要求している特定の「メンバ」を識別する。メンバフィールド40は、「必要/任意」インジケータ36及び「単一/複数」インジケータ38を含むものとして定義される2つの属性を含む。インジケータ36での「必要」表示は、発行されるMCに含まなければならない情報を定義し、MCの検証中にこれが「欠落(missing)」の場合、ユーザのブラウザはエラーメッセージを作成する(そして、その場合、ユーザは、提供されたMCが偽物であるか、歪められたものであると想定する)。同様に、インジケータ38での「単一」表示は、この特定のフィールドの1つのみのインスタンスをMCに含むことができることを意味する(ここで、「単一」では、「必要」としても定義されない場合、このフィールドは「欠落(missing)」してもよい)。複数のエントリを含む場合、証明書プロセスを実行中のユーザのブラウザはここでも、エラーメッセージを発行する。明らかなことに、MCに関連付けられた「メンバ」の識別情報は必要且つ単一でなければならない。メンバの氏名(この例では、「James Thomas」として示される)が、フィールドの内容部分に含まれる。
証明書期限がフィールド42に含まれ(ここでも「必要」、「単一」)、MCが表示されるウェブサイトがフィールド44に含まれる(「必要」、「単一」)。組織の種類に関係なく、これらの最初の4つのフィールドが、発行される大半の証明書に含まれると仮定すべきである(恐らくはテーブル内において異なる位置及び異なる順序で)。
テーブル30に示される続くフィールドは、大学をOCとして有することの詳細に関する。示されるように、フィールド46は、個人の入学日を指定し(「必要」、「単一」)、続くフィールド48は個人の卒業日を指定する。機関に入学したあらゆる人が卒業するわけではないため、このフィールドは、識別子46で示されるように、「任意」である(識別子48に「単一」表示が保たれる間)。この特定のテーブル内の別個のフィールド50は、表示「中退」を有し、この情報を証明書に含められるようにする。フィールド52は、授与された学位(「任意」、「複数」)を定義し、「任意」及び「複数」としてそれぞれインジケータ56及び58により定義されるフィールド54(「賞与」を有する)に示される任意の特定の賞与。
フィールド識別テーブル30に示されるフィールドのこのリストが、単なる例示であり、他を含んでもよいことを理解されたい。しかし、教育機関は、「雇用形態」、「市民権」、兵役記録」等の特定の種類の情報を検証することが決して許されず、これらの特定の種類の情報は全て、異なる組織により、よりよく検証される。従って、本発明によれば、イェール大学等により発行されるMCは、個人の教育認証情報のみに関連付けられた情報を含むように制限される。同様に、企業等のOCにより発行されるMCは、職務経歴のみに制限され、米国空軍等のOCにより発行されるMCは、兵役等のみに制限される。CAを入念に調べるプロセスの一部は、組織と協働して、MCに含めるべき特定のフィールドを決定することを含むものと意図内。このプロセスの採用が普及する場合、単科大学及び総合大学が学位の認可を確認するために発行されるMCにおけるフィールドの標準リストについて合意し、それにより、更に自動化された処理を実施可能なことが予期される。
本発明によれば、内容を検証する、テーブル30に内蔵される追加のチェックがあり得る。例えば、テーブル30の特定の構成では、「卒業」及び「中退」フィールド48及び50の両方が「真」であるべきではなく、一方のみが存在する場合、任意であることが意図される。意味論チェックを適用して、この種のエラーがテーブルに入力されることを回避することができる。追加又は代替として、「最終形態」として定義される別のフィールドを含むことができる−値は、withdrew(中退)、transferred(転出)、graduated(卒業)、expelled(退学処分)、current_student(現在生徒)という値のドロップダウンメニューから選択される。
再び図2に示されるMC10に関連付けられた特定のリストを参照すると、MC10が、<入学許可2>及び<卒業2>に加えて、任意フィールドとして<学位2>を含むことが分かる。これにより、<学位2>フィールドに何も入力せずに、<入学許可2>フィールドに情報を含むMC−意味のない種類の証明書−を作成可能なことが明らかである。この問題を回避するために、フィールド識別テーブルは、2つの追加のインジケータ−「必要」及び「生成」を含むように増補することができる。図6は、これらのインジケータを利用して、供給された情報が無効であることを保証する例示的なフィールド識別テーブル50の部分を含む。
書かれているように、テーブル50は冗長である。テーブル50は、<学位2>が<入学許可2>及び<卒業2>の両方についての情報を生成することを示し、これは<入学許可2>が<学位2>を必要とすることに等しい。簡潔にするために、テーブルは、第2のフィールドが「必要/任意」、「単一/複数」であるかどうかに関わらず、別のフィールドを必要とするフィールドを許容可能であるように編成することができる。MCを確認するブラウザ拡張機能は単に、第2のフィールドに直面した場合、第1のフィールドのインスタンスが証明書にあることをチェックする。これは、証明書の2回の読み取りを必要とし得る。第1のパスは、証明書中のフィールドを識別し、第2のパスは、必要インジケータ及び生成インジケータにより指定される条件が満たされることを検証する。
各OCは、発行組織及びCAの両方の交信情報を含むため、任意のエラーに対するデフォルト対策は、対応するMCの確認である(そして、そのOCにより署名された全てのMCを拒絶させる)。処理ソフトウェア、大概はブラウザ拡張機能は、OCのユーザがこれらのエンティティのうちの1つ又は複数と交信することを示唆し得る。典型的なエラーとしては、期限切れ通知キー、不良署名、開始タグと終了タグとの不一致、必須タグの欠落、示されたタグがフィールド記述子に含まれていない、及び「単一」として定義されるフィールド内の「複数」の種類のデータの包含が挙げられるが、これらに限定されない。
ウェブサイトがMCを含む場合、MCを検証しようとする個人は対応するOCも取得する必要がある。これに対する一解決策は、全ての現在のOCを記憶するウェブサイトを維持することである。次に、ユーザ機のブラウザ拡張機能又はプラグインは、アンチウィルスプログラムが定期的に規則正しくウィルスシグネチャをダウンロードするのと略同じように、OCウェブサイトにアクセスすることができる。
あるいは、OC及びMCを、結合証明書(CC)と称される単一のパッケージに組み合わせることができ、CCはメンバのウェブサイトに配置される。図7は例示的なCC60を示し、CC60は、OC20とMC10との境界を示すために使用される特定の区切り文字を含む。示されるように、CC60は組織の秘密鍵で署名され、OC20はCAの秘密鍵で署名される。
図7に示される特定のCCを使用するMCのアクセス及び検証に関連付けられた特定のプロセスフローが、図8のフローチャートに含まれる。一般に、プロセスはCC60内のOC20をまず分離することに進み、次に、MC10を抽出し、OC20に関してその内容を検証する。
図8のフローチャートを参照すると、プロセスは、OC20の署名の検証で開始される(ステップ100)。ブラウザ拡張機能が、OC20の署名の検証に使用することができる初期CA公開鍵セットを含むものと仮定される。CA署名がこれらの鍵の1つと突き合わせて正しい場合、OC20は有効であると見なされ、組織公開鍵がOC20から抽出される(ステップ110)。その他の場合、ユーザのブラウザにより処理は停止し、「エラー」が報告される(ステップ120)。エラーが報告されると、OC20及びMC10の両方内に含まれる情報は無効であると見なされ、ウェブブラウザによりユーザに表示されない。その代わり、ユーザには、CA鍵に伴う問題の結果、CC60が有効ではないことが通知される。正しいCA公開鍵を発見することができない場合、CA公開鍵のキャッシュへの更新の遠隔検索を始動する(ステップ130)ことが可能であり、見つかった場合、プロセスはステップ140に進む。
いずれの場合でも、OC公開鍵が抽出されると、OC20の期限切れ日が、現在日時と突き合わせてチェックされる(ステップ140)。時間期間が過ぎている(又はまだ開始されていない)場合、エラーが報告され(ステップ150)、処理は中止され、エラーメッセージ以外の情報はユーザに表示されない。公開鍵が有効であると仮定すると、公開鍵を使用して、CC60の署名を検証する(ステップ160)。ここでも、証明されない場合、プロセスは、エラーメッセージを伴って中止される(ステップ170)。CC60の署名が有効であると仮定すると、プロセスの次のステップ(ステップ180)は、CC60からのMC10の抽出に進み、<ウェブサイト>がCC60に示されるロケーション(URL)と突き合わせてチェックされる(ステップ190)。一致しない場合、プロセスは終了する(ステップ200)。この時点で、悪質な個人が、別の個人向けに作成されたメンバシップ証明書を使用しようとしていることを組織に通知することができる。
<ウェブサイト>がCCと一致すると仮定すると、OC20のポインタ26を使用して、MC10内のフィールドにアクセスし(ステップ210)、MC内のフィールドは、フィールド識別テーブル30と突き合わせてチェックされ(ステップ220)、ステップ230において、比較動作を実行する。フィールドが適宜入力されていない場合(例えば、「必要」フィールドが欠落している、「単一」フィールドが「複数」表示を有する)、又は意味論チェックが「真」ではない場合、又はMCがテーブル30において指定されない情報を含むように試みる場合、プロセスは終了し(ステップ240)、ユーザは、精査中のMCが有効ではないことが「警告」される。その他の場合、プロセスは、CC60自体の期限切れデータのチェック(ステップ250)に進む。
後述する他のチェック(ステップ260)をプロセスに追加して、MC10の有効性を更に保証し得る。全てのテストが完了すると、MC10の内容は、ユーザによる閲覧のために表示され(ステップ270)、証明書の特定の属性の視覚的確認(例えば、ウェブサイトの所有者がイェール大学の卒業生であることの証明書)を提供する。
特に、ユーザのブラウザが「履歴」照会をサポートする場合、「前のページ」がMCに含まれる<ウェブサイト>に対応することのチェックを行うことができる。MCの信憑性を更に制御するために、「再生攻撃」を回避するために使用され、ユーザのブラウザにローカルな、ローカルに選択される(即ち、「秘密の」)色のローカルで既知(即ち、「秘密」)のセキュリティフレーズを含むように構成し得る。従って、「秘密のフレーズ」−「秘密の色」でプリントされる−が、証明書チェックプロセスで出現しない場合、ユーザは、誰かが偽の証明書をユーザに提示しようとしていることを知る。
検証プロセス中、無効化されたOCの「チェック」を含むことも可能である。例えば、CAは、特定の組織のOCを無効化したいことがある。その場合、CAは、「不良」組織により発行された全てのMCが無効であることを保証したい。この場合、ユーザのブラウザ拡張機能は、証明書無効化リスト(CRL)についてCAを照会する。OCが、初期/発行CAからルートまでCAの連鎖(複数のCAが存在する場合)を遡ることによりチェックされるかもしれない。これにより、「不良」CAにより発行された全てのOCを一度に無効化することができる。
現在のプロセスに関連付けられた特定のOCがリストにない場合、拡張機能は組織自体を照会して、特定のMCが無効化されたか否かを判断することができる。これは、X.509証明書のように、一意のIDを有するMCを発行する必要がある。いずれの場合でも、ブラウザ拡張機能は、エラー報告メカニズムを使用して、無効化されたCC(MCに基づく)の使用を発行組織に報告し得る。これにより、発行組織は、ウェブサイトの所有者を追跡し、CCの除去を求める。
上述したブロック図内の構成要素及びフローチャート内のステップは、単なる例示として説明される。構成要素及びステップは、説明の明確性をために選択されており、例示的な実施形態を限定しない。例えば、特定の実施態様は、例示的な実施形態の範囲から逸脱せずに、任意の構成要素又はステップの結合、省略、更なる細分、変更、強化、低減、又は代替の実施を行い得る。更に、上述したプロセスのステップは、例示的な実施形態の範囲内で異なる順序で実行し得る。
従って、コンピュータ実施方法、装置、及びコンピュータプログラム製品が、本発明による組織証明書及びメンバ証明書の使用を検証し施行する例示的な実施形態において提供される。本発明は、全体的にハードウェア実施形態、全体的なソフトウェア実施形態、又はハードウェア要素及びソフトウェア要素を含む実施形態の形態をとることができる。好ましい実施形態では、本発明は、ファームウェア、常駐ソフトウェア、及びマイクロコードを含むが、これらに限定されないソフトウェアで実施される。
更に、本発明は、コンピュータ若しくは任意の命令実行システムにより使用されるか、又はこれ(ら)と併せて使用されるプログラムコードを提供するコンピュータ使用可能又はコンピュータ可読媒体からアクセス可能なコンピュータプログラム製品の形態をとることができる。この説明では、コンピュータ使用可能又はコンピュータ可読媒体は、命令実行システム、装置、若しくはデバイスにより使用されるか、又はこれ(ら)と併せて使用されるプログラムの包含、記憶、通信、伝播、又は輸送を行うことができる任意の有形装置であることができる。
媒体は、電子システム、磁気システム、光学システム、電磁システム、赤外線システム、又は半導体システム(又は装置、又はデバイス)であることができる。半導体又は固体状態メンバ、磁気テープ、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、剛性磁気ディスク、及び光ディスクを含むコンピュータ可読媒体の例。光ディスクの現在の例としては、コンパクトディスク読み取り専用メモリ(CD−ROM)、コンパクトディスク−読み取り/書き込み(CD−R/W)、及びDVDが挙げられる。
更に、コンピュータ記憶媒体は、コンピュータ可読プログラムコードがコンピュータで実行される場合、このコンピュータ可読プログラムコードの実行により、コンピュータに、通信リンクを介して他のコンピュータ可読プログラムコードを送信させるようなコンピュータ可読プログラムコードを含むか、又は記憶し得る。この通信リンクは、例えば、限定ではなく物理的に、又は無線である媒体を使用し得る。
本発明の説明は、例示及び説明のために提示されており、網羅的である、即ち、本発明を開示された形態に限定する意図はない。多くの変更及び変形が当業者には明らかになるだろう。実施形態は、本発明の原理及び実際用途を説明するため、且つ意図される特定の用途に適する様々な変更を行った様々な実施形態で本発明を他の当業者が理解できるように選ばれ説明された。

Claims (18)

  1. 意図されるメンバのウェブサイトに提示されるメンバシップ証明書を検証するコンピュータ実施方法において、
    前記メンバシップ証明書をアクティブ化するステップであって、前記メンバシップ証明書は、当該メンバシップ証明書の発行組織を識別するフィールドと、特定のフィールドタグにより構造化される、前記発行組織が前記メンバシップ証明書に含めることが許された前記意図されるメンバに関する特定の情報を含むペイロード部分と、を含むステップと
    前記メンバシップ証明書を作成した組織に関連付けられた組織証明書を検索するステップであって、前記組織証明書が、特定の種類の組織のみに関連付けられて前記メンバシップを定義する所定の情報要素セットであって、前記組織証明書およびメンバシップ証明書において識別される固定のフィールドのセットにより制御される情報要素セットを含む、検索ステップと
    前記メンバシップ証明書に提示される前記要素を前記組織証明書と比較するステップと
    前記メンバシップ証明書に提示される特定の固定のフィールドのセットが、前記識別された組織により定義されているように、前記組織証明書内に構成された所定の固定のフィールドのセットに一致する場合且つその場合に限り、前記メンバシップ証明書を証明するステップと、
    を含むことを特徴とするコンピュータ実施方法。
  2. 請求項1に記載のコンピュータ実施方法において、
    前記組織証明書が、正規の証明機関(CA)により作成され、前記方法が、前記証明機関に関して前記組織証明書を認証するステップを含むことを特徴とするコンピュータ実施方法。
  3. 請求項1に記載のコンピュータ実施方法において、
    前記方法を実行するローカルコンピュータが、有効組織証明書のキャッシュを含むことを特徴とするコンピュータ実施方法。
  4. 請求項1に記載のコンピュータ実施方法において、
    前記方法を実行するローカルコンピュータが、ネットワークデータベースから現在有効な組織証明書のリストを取得することを特徴とするコンピュータ実施方法。
  5. 請求項1に記載のコンピュータ実施方法において、
    前記メンバシップ証明書の特定のフィールドと前記組織証明書の所定の固定のフィールドとの比較は、各特定のフィールド内の必要情報の包含についてのチェックを含むことを特徴とするコンピュータ実施方法。
  6. 請求項1に記載のコンピュータ実施方法において、
    前記メンバシップ証明書の特定のフィールドと前記組織証明書の所定の固定のフィールドとの比較は、複数のエントリが許可されていないものとして定義される所定の特定のフィールドについて、情報要素の存在が1つのみであることのチェックを含むことを特徴とするコンピュータ実施方法。
  7. 請求項1に記載のコンピュータ実施方法において、
    前記方法が、前記組織証明書が適宜署名され、期限切れしていないことを検証するステップを含むことを特徴とするコンピュータ実施方法。
  8. 請求項1に記載のコンピュータ実施方法において、
    前記方法が、前記メンバシップ証明書が期限切れしていないことを検証するステップを含むことを特徴とするコンピュータ実施方法。
  9. 請求項1に記載のコンピュータ実施方法において、
    前記組織証明書及び前記メンバシップ証明書は、結合証明書として提示され、前記組織証明書が最初に検証され、次に前記メンバシップ証明書が検証されることを特徴とするコンピュータ実施方法。
  10. 意図されるメンバのウェブサイトに提示されるメンバシップ証明書を検証するシステムにおいて、
    前記メンバシップ証明書をアクティブ化するコンピュータ使用可能コード手段であって、前記メンバシップ証明書は、当該メンバシップ証明書の発行組織を識別するフィールドと、特定のフィールドタグにより構造化される、前記発行組織が前記メンバシップ証明書に含めることが許された前記意図されるメンバに関する特定の情報を含むペイロード部分とを含む、アクティブ化するコード手段と
    前記メンバシップ証明書を作成した組織に関連付けられた組織証明書を検索するコンピュータ使用可能コード手段であって、前記組織証明書が、特定の種類の組織のみに関連付けられて前記メンバシップを定義する所定の情報要素セットであって、前記組織証明書およびメンバシップ証明書において識別される固定のフィールドのセットにより制御される情報要素セットを含む、検索するコンピュータ使用可能コード手段と、
    前記メンバシップ証明書に提示される前記要素を前記組織証明書と比較するコンピュータ使用可能コード手段と、
    前記メンバシップ証明書に提示される特定の固定のフィールドのセットが、前記識別された組織により定義されているように、前記組織証明書内に構成された所定の固定のフィールドのセットに一致する場合且つその場合に限り、前記メンバシップ証明書を証明するコンピュータ使用可能コード手段と、
    を含むことを特徴とするシステム。
  11. 請求項10に記載のシステムにおいて、
    前記組織証明書が、正規の証明機関(CA)により作成され、前記証明機関に関して前記組織証明書を認証するコンピュータ使用可能プログラムコード手段ことを特徴とするシステム。
  12. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコード手段が、有効組織証明書のローカルキャッシュを検索するステップを実行することを特徴とするシステム。
  13. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコード手段が、ネットワークデータベースから有効組織証明書を検索するステップを実行することを特徴とするシステム。
  14. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコードが、各特定のフィールド内の必要情報の包含について前記メンバシップ証明書の特定のフィールドをチェックするステップを実行することを特徴とするシステム。
  15. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコード手段が、複数のエントリが許可されていないものとして定義される所定の特定のフィールドについて、情報要素の存在が1つのみであることをチェックするステップを実行することを特徴とするシステム。
  16. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコード手段が、前記組織証明書が適宜署名され、期限切れしていないことを検証するステップを実行することを特徴とするシステム。
  17. 請求項10に記載のシステムにおいて、
    前記組織証明書及び前記メンバシップ証明書は、結合証明書として提示され、前記コンピュータ使用可能プログラムコード手段が、前記組織証明書部分の検証を最初に実行し、次に前記メンバシップ証明書部分の検証を実行することを特徴とするシステム。
  18. 請求項10に記載のシステムにおいて、
    前記コンピュータ使用可能プログラムコード手段が、前記メンバシップ証明書が期限切れしていないことを検証するステップを実行することを特徴とするシステム。
JP2013554563A 2011-02-20 2012-02-15 関連付けられた組織証明書を利用するオンラインメンバシップ検証 Expired - Fee Related JP5952839B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161444753P 2011-02-20 2011-02-20
US61/444,753 2011-02-20
US13/372,613 US8789163B2 (en) 2011-02-20 2012-02-14 On-line membership verification utilizing an associated organization certificate
US13/372,613 2012-02-14
PCT/US2012/025172 WO2012112640A2 (en) 2011-02-20 2012-02-15 On-line membership verification utilizing an associated organization certificate

Publications (3)

Publication Number Publication Date
JP2014510967A JP2014510967A (ja) 2014-05-01
JP2014510967A5 JP2014510967A5 (ja) 2015-04-02
JP5952839B2 true JP5952839B2 (ja) 2016-07-13

Family

ID=46653843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013554563A Expired - Fee Related JP5952839B2 (ja) 2011-02-20 2012-02-15 関連付けられた組織証明書を利用するオンラインメンバシップ検証

Country Status (9)

Country Link
US (1) US8789163B2 (ja)
JP (1) JP5952839B2 (ja)
KR (1) KR101985029B1 (ja)
AU (1) AU2012217756B2 (ja)
BR (1) BR112013021003A2 (ja)
CA (1) CA2826385C (ja)
IL (1) IL228013B (ja)
SG (1) SG192253A1 (ja)
WO (1) WO2012112640A2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130179768A1 (en) * 2012-01-05 2013-07-11 International Business Machines Corporation Differentiated Information Display For Certified and Uncertified Web Page Versions
US9083696B1 (en) * 2012-05-30 2015-07-14 Google Inc. Trusted peer-based information verification system
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
US10380592B1 (en) * 2014-02-03 2019-08-13 Intuit Inc. Secure verification of claims
US9479338B2 (en) * 2015-03-17 2016-10-25 Digicert, Inc. Method and system for certificate discovery and ranking certificate authorities
US20180330385A1 (en) * 2017-05-15 2018-11-15 Atlas Certified, LLC Automated and distributed verification for certification and license data
US12058171B1 (en) 2021-06-24 2024-08-06 Airgap Networks, Inc. System and method to create disposable jump boxes to securely access private applications
US11695799B1 (en) 2021-06-24 2023-07-04 Airgap Networks Inc. System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11722519B1 (en) 2021-06-24 2023-08-08 Airgap Networks Inc. System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware
US11711396B1 (en) 2021-06-24 2023-07-25 Airgap Networks Inc. Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11736520B1 (en) 2021-06-24 2023-08-22 Airgap Networks Inc. Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US12057969B1 (en) 2021-06-24 2024-08-06 Airgap Networks, Inc. System and method for load balancing endpoint traffic to multiple security appliances acting as default gateways with point-to-point links between endpoints
US11757934B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US12074906B1 (en) 2021-06-24 2024-08-27 Airgap Networks Inc. System and method for ransomware early detection using a security appliance as default gateway with point-to-point links between endpoints
US11916957B1 (en) 2021-06-24 2024-02-27 Airgap Networks Inc. System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
US11757933B1 (en) * 2021-06-24 2023-09-12 Airgap Networks Inc. System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020059364A1 (en) * 1999-02-08 2002-05-16 Christopher M Coulthard Content certification
EP1906293A3 (en) * 2000-03-20 2008-06-18 Comodo Research Lab Limited Method of accessing web-pages
US20050177715A1 (en) * 2004-02-09 2005-08-11 Microsoft Corporation Method and system for managing identities in a peer-to-peer networking environment
JP4448408B2 (ja) * 2004-08-30 2010-04-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 電子証明書発行装置、電子証明書発行方法、電子証明書発行プログラム、及び電子証明書ダウンロードプログラム
US7631183B2 (en) * 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7716139B2 (en) 2004-10-29 2010-05-11 Research In Motion Limited System and method for verifying digital signatures on certificates
US8225096B2 (en) * 2006-10-27 2012-07-17 International Business Machines Corporation System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
US8220040B2 (en) 2008-01-08 2012-07-10 International Business Machines Corporation Verifying that group membership requirements are met by users
US10270602B2 (en) 2008-10-01 2019-04-23 International Business Machines Corporation Verifying and enforcing certificate use
US8275991B2 (en) * 2009-07-10 2012-09-25 Cahn Robert S On-line membership verification

Also Published As

Publication number Publication date
WO2012112640A2 (en) 2012-08-23
AU2012217756B2 (en) 2017-08-31
WO2012112640A3 (en) 2012-11-01
US8789163B2 (en) 2014-07-22
JP2014510967A (ja) 2014-05-01
SG192253A1 (en) 2013-08-30
IL228013A0 (en) 2013-09-30
US20120216253A1 (en) 2012-08-23
KR101985029B1 (ko) 2019-05-31
IL228013B (en) 2018-11-29
NZ613951A (en) 2015-06-26
CA2826385A1 (en) 2012-08-23
WO2012112640A4 (en) 2012-12-20
CA2826385C (en) 2019-06-04
AU2012217756A1 (en) 2013-08-29
BR112013021003A2 (pt) 2018-07-10
KR20140043066A (ko) 2014-04-08

Similar Documents

Publication Publication Date Title
JP5952839B2 (ja) 関連付けられた組織証明書を利用するオンラインメンバシップ検証
US8880435B1 (en) Detection and tracking of unauthorized computer access attempts
TWI614636B (zh) 基於數位簽章代碼的內容驗證方法
US8275991B2 (en) On-line membership verification
Fisher Secure my data or pay the price: Consumer remedy for the negligent enablement of data breach
JPWO2005022428A1 (ja) 属性情報提供サーバ、属性情報提供方法、およびプログラム
CA3171228C (en) Block chain proof for identification
Stebila Reinforcing bad behaviour: the misuse of security indicators on popular websites
WO2019156089A1 (ja) 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法
US20140259132A1 (en) System for creating a security certificate
Wu Fighting phishing at the user interface
Alsmadi Security Challenges for Expanding E-governments’ Services
CN104052605B (zh) 用于跨越不同第三方平台的实体认证的单系统
US20140259131A1 (en) Method for creating a security certificate
Pham et al. ProxyGPT: Enabling Anonymous Queries in AI Chatbots with (Un) Trustworthy Browser Proxies
Johnson et al. Auditing IT Infrastructures for Compliance
Blauw Maxima: A Model for Constructing an Online Identity Model of a User Using Identity Fragments
Eijkelenberg et al. A comparison between blockchain-based and non–blockchain-based ABC technology in the light of EU data protection law
NZ613951B2 (en) On-line membership verification utilizing an associated organization certificate
JP2023182553A (ja) マルチプラットフォームアカウントの認証及び関連付けのためのシステム及び方法
AU2023203557A1 (en) Method And System For Obfuscating Sensitive Personal Data Available On An Unregulated Platform
Camp et al. Identity Scenarios
Smedinghoff et al. Addressing the Legal Challenges of Federated Identity Management
Junhai et al. Trusting E-Commerce in China: The Role of the Rule of Law and the Rule of Ethics
Chowbe Digital Signature: Nature & Scope Under the IT Act, 2000-Some Reflections

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160610

R150 Certificate of patent or registration of utility model

Ref document number: 5952839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees