受信服务交互-复审决定


发明创造名称:受信服务交互
外观设计名称:
决定号:180428
决定日:2019-06-04
委内编号:1F244427
优先权日:
申请(专利)号:201280071908.0
申请日:2012-04-17
复审请求人:英特尔公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:田志刚
合议组组长:高海燕
参审员:李原野
国际分类号:G06Q20/40
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:如果一项权利要求所要求保护的技术方案与作为最接近的现有技术的对比文件相比存在区别技术特征,但是上述区别技术特征中部分特征被其它对比文件所公开,部分特征属于本领域的公知常识,且现有技术中给出了将上述区别技术特征应用到该对比文件以解决其存在的技术问题的启示,从而使得本领域技术人员在现有技术的基础上得到该权利要求的技术方案是显而易见的,那么该项权利要求所要保护的技术方案不具备创造性。
全文:
本复审请求涉及申请号为201280071908.0,名称为“受信服务交互”的发明专利申请(下称本申请)。申请人为英特尔公司。本申请的申请日为2012年04月17日,进入中国国家阶段日为2014年09月26日,公开日为2014年12月10日。
经实质审查,国家知识产权局原审查部门于2017年08月23日发出驳回决定,驳回了本申请,其理由是:权利要求1-18不具备创造性。驳回决定中引用了对比文件1(WO2011091313A1,公开日为2011年07月28日)、对比文件2(“A Pattern for Secure Graphic User Interface Systems”,Thomas Fischer,《IEEE 20th International Workshop on Database and Expert Systems Application》,第186-190页,公开日为2009年08月31日)。驳回决定所依据的文本为:进入中国国家阶段日2014年09月26日提交的说明书第1-52段、说明书附图图1-4、说明书摘要、摘要附图;2017年07月21日提交的权利要求第1-20项。
驳回决定的主要理由是:权利要求1、7、13与对比文件1相比,区别特征均为:锁定对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对不受信执行复合体不可见。上述区别特征中的“使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对不受信执行复合体不可见”被对比文件2公开,而通过锁定对话框的方式来实现避免用户界面对话框中输入的数据被其他应用窃取是本领域的惯用手段。因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段以获得权利要求1、7、13请求保护的方案对本领域的技术人员来说是显而易见的,权利要求1、7、13不具备创造性。从属权利要求2-6、8-12、14-18的附加技术特征要么被对比文件1公开,要么属于本领域的惯用手段,因此也都不具备创造性。
驳回决定所针对的权利要求书如下:
“1. 一种用于电子设备的安全控制器,包括:
逻辑,被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;
在耦合到所述安全控制器的显示设备的一区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的;
从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;以及
与所述远程服务进行安全通信会话。
2. 如权利要求1所述的安全控制器,其特征在于,所述逻辑被进一步配置成用于:
从所述远程服务接收安全证书;以及
验证所述安全证书。
3. 如权利要求1所述的安全控制器,其特征在于,所述逻辑被进一步配置成用于:
从所述远程服务接收证明质询;
从用户接收对所述证明质询的响应;以及
通过所述安全通信连接将所述响应转发到所述远程服务。
4. 如权利要求1所述的安全控制器,其特征在于:
对来自所述用户的受信输入的所述请求是从在耦合到所述安全控制器的处理器上执行的应用接收的;以及
所述请求包括唯一地标识所述应用和所述请求的标识符。
5. 如权利要求4所述的安全控制器,其特征在于,所述逻辑被进一步配置成用于:
在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道;以及
通过所述安全通道将所述用户输入从所述安全控制器传递到所述应用。
6. 如权利要求5所述的安全控制器,其特征在于,用于在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道的所述逻辑包括用于通过所述应用验证所述标识符和所述请求的逻辑。
7. 一种电子设备,包括:
显示器;
用于实现不受信计算环境的处理器;以及
安全控制器,包括:
逻辑,被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;
在耦合到所述安全控制器的显示设备的区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的;
从所述对话框接收用户输入,其中所述用户输入包括一个或多 个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;以及
与所述远程服务进行安全通信会话。
8. 如权利要求7所述的电子设备,其特征在于,所述逻辑被进一步配置成用于:
从所述远程服务接收安全证书;以及
验证所述安全证书。
9. 如权利要求7所述的电子设备,其特征在于,所述逻辑被进一步配置成用于:
从所述远程服务接收证明质询;
从用户接收对所述证明质询的响应;以及
通过所述安全通信连接将所述响应转发到所述远程服务。
10. 如权利要求7所述的电子设备,其特征在于:
对来自所述用户的受信输入的所述请求是从在耦合到所述安全控制器的处理器上执行的应用接收的;以及
所述请求包括唯一地标识所述应用和所述请求的标识符。
11. 如权利要求10所述的电子设备,其特征在于,所述逻辑被进一步配置成用于:
在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道;以及
通过所述安全通道将所述用户输入从所述安全控制器传递到所述应用。
12. 如权利要求11所述的电子设备,其特征在于,用于在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道的所述逻辑包括用于通过所述应用验证所述标识符和所述请求的逻辑。
13. 一种安全控制设备,包括:
计算机可读介质,其上存储有逻辑指令;
安全控制器,所述安全控制器与所述计算机可读介质耦合,并且被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;在耦合到所述控制器的显示设备的区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对所述不受信执行复合体是不可见的;
从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;以及
与所述远程服务进行安全通信会话。
14. 如权利要求13所述的安全控制设备,其特征在于,所述安全控制器被进一步配置成用于:
从所述远程服务接收安全证书;以及
验证所述安全证书。
15. 如权利要求13所述的安全控制设备,其特征在于,所述安全控制器被进一步配置成用于:
从所述远程服务接收证明质询;
从用户接收对所述证明质询的响应;以及
通过所述安全通信连接将所述响应转发到所述远程服务。
16. 如权利要求15所述的安全控制设备,其特征在于:
对来自所述用户的受信输入的所述请求是从在耦合到所述安全控制器的处理器上执行的应用接收的;以及
所述请求包括唯一地标识所述应用和所述请求的标识符。
17. 如权利要求13所述的安全控制设备,其特征在于,所述安全控制器被进一步配置成用于:
在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道;
通过所述安全通道将所述用户输入从所述安全控制器传递到所述应用。
18. 如权利要求17所述的安全控制设备,其特征在于,用于在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道包括用于通过所述应用验证所述标识符和所述请求。
19. 一种具有指令的计算机可读存储介质,所述指令在被执行时使机器实现如权利要求1-6的任一项所述的安全控制器中的逻辑。
20. 一种计算机系统,包括用于实现如权利要求1-6的任一项所述的安全控制器中的逻辑的装置。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年02月07日向国家知识产权局提出了复审请求,没有对申请文件进行修改。复审请求人认为:(1)对比文件2公开了该安全GUI系统旨在在用户与用户要使用的应用之间提供受信路径,GUI将不同应用的输入和输出通道隔离,这种隔离是在应用级别的。虽然在对比文件2中不同应用的输入/输出通道被隔离,但是受信路径仅仅在用户与应用之间建立。这距离与远程服务建立安全通信会话还有很长的路要走。(2)对比文件2的受信路径仍然需要用户的标识操作,权利要求1的整个过程都不需要用户来标识应用以及确定是否信任该应用。
经形式审查合格,国家知识产权局于2018年03月08日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为,权利要求1与对比文件1的区别仅在于对用户输入的对话框的限定,而对比文件2公开了上述区别,因而坚持原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019 年 02月11日向复审请求人发出复审通知书,指出权利要求1-20不具备专利法第22条第3款规定的创造性 。
合议组于2019年03月12日向复审请求人发出合议组成员变更通知书,告知了合议组成员变更情况。
复审请求人于2019 年 03月 26日提交了意见陈述书,同时修改了权利要求书,在独立权利要求1、7、13中增加特征“其中所述安全控制器物理地与所述不受信执行复合体和操作系统分离”和“当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体”。复审请求人认为:
(1)对比文件2中的安全用户界面是在操作系统下进行应用之间的路径隔离,这种隔离是在应用级别的,而且这种隔离需要用户的介入(即需要用户进行识别)。因此,对比文件2还是会碰到恶意软件盗取个人信息用于未授权个体使用的问题,因为操作系统通常是易受攻击的,仅靠应用级别的隔离并不能解决安全问题。对比文件2并未公开或启示权利要求1中的“锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对所述不受信执行复合体是不可见的,其中所述安全控制器物理地与所述不受信执行复合体和操作系统分离”和“当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体”。对比文件2并未公开或启示在应用或操作系统与安全控制器之间切换对显示的控制。对比文件1也没有公开、甚至意识到这种对显示控制权的切换。即便假设偶然将对比文件2与对比文件1结合,本领域技术人员也不会得到权利要求1中的技术方案。权利要求1的安全控制器可以在底层防止敏感信息被窃取,将操作系统和不受信执行复合体屏蔽,降低通过操作系统或不受信执行复合体进行信息窃取的可能性。
(2)对比文件2的受信路径仍然需要用户的标识操作,存在安全隐患。
新修改的权利要求1、7、13如下:
“1. 一种用于电子设备的安全控制器,包括:
逻辑,被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;
在耦合到所述安全控制器的显示设备的一区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的,其中所述安全控制器物理地与所述不受信执行复合体和操作系统分离;
从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;
与所述远程服务进行安全通信会话;以及
当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。”
“7. 一种电子设备,包括:
显示器;
用于实现不受信计算环境的处理器;以及
安全控制器,包括:
逻辑,被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;
在耦合到所述安全控制器的显示设备的区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操 作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的,其中所述安全控制器物理地与所述不受信执行复合体和操作系统分离;
从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;
与所述远程服务进行安全通信会话;以及
当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。”
“13. 一种安全控制设备,包括:
计算机可读介质,其上存储有逻辑指令;
安全控制器,所述安全控制器与所述计算机可读介质耦合,并且被配置成用于:
从在所述电子设备的不受信执行复合体上执行的应用接收对与远程服务的安全通信会话的请求;
验证从所述远程服务接收的安全凭证;
在所述安全控制器和所述远程服务之间建立安全通信连接;
建立安全用户接口;在耦合到所述控制器的显示设备的区域上,定义对话框;
锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对所述不受信执行复合体是不可见的,其中所述安全控制器物理地与所述不受信执行复合体和操作系统分离;
从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证;
将所述一个或多个认证凭证转发到所述远程服务;
与所述远程服务进行安全通信会话;以及
当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在答复复审通知书时,对权利要求书进行了修改,该修改符合专利法第33条和专利法实施细则第61条第1款的规定。因此,本复审请求审查决定所针对的文本是:进入中国国家阶段日2014年09月26日提交的说明书第1-52段、说明书附图图1-4、说明书摘要、摘要附图;2019年03月26日提交的权利要求第1-20项。
关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
如果一项权利要求所要求保护的技术方案与作为最接近的现有技术的对比文件相比存在区别技术特征,但是上述区别技术特征中部分特征被其它对比文件所公开,部分特征属于本领域的公知常识,且现有技术中给出了将上述区别技术特征应用到该对比文件以解决其存在的技术问题的启示,从而使得本领域技术人员在现有技术的基础上得到该权利要求的技术方案是显而易见的,那么该项权利要求所要保护的技术方案不具备创造性。
本复审请求审查决定中引用的对比文件与驳回决定以及复审通知书相同,即:
对比文件1:WO 2011091313A1,公开日为2011年07月28日;
对比文件2:“A Pattern for Secure Graphic User Interface Systems”,Thomas Fischer,《IEEE 20th International Workshop on Database and Expert Systems Application》,第186-190页,公开日为2009年08月31日,
其中,对比文件1是最近的现有技术。
权利要求1-20所要求保护的技术方案不具备专利法第22条第3款规定的创造性
2.1独立权利要求1所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求1请求保护一种用于电子设备的安全控制器,对比文件1公开了一种可信联合身份管理和数据接入授权的装置,并具体公开了以下特征(参见说明书第[0002]- [0004],[0034]-[0105],[0151]段,附图1,2,3A,3B):
用于认证的可信计算TC是向受硬件可信平台模块TPM保护的可信系统TS提供用于认证的凭证(参见说明书第[0002]段),客户端/用户平台110包括可信平台模块TPM115,TPM115可以是微控制器(相当于安全控制器),其可以用于需要这些功能的任意计算设备(相当于电子设备)中,TPM115可以保护其信息不受外部软件攻击、窃听等(参见说明书第[0034]段)(上述内容公开的可信平台模块TPM115相当于一种用于电子设备的安全控制器);
响应于从一个网络应用(相当于不受信执行复合体上执行的应用)的认证请求,用户设备会被认证(参见说明书第[0004]段)(相当于逻辑,被配置成用于从在所述电子设备的不受信执行复合体上执行的应用接收与远程服务的安全通信请求);
可信计算权证350包含验证其身份所需的信息以便于接收方可以轻松的验证可信计算权证350(参见说明书第[0064]段),开放ID身份提供方IdP可以利用可信平台模块TPM进行安全验证步骤(参见说明书第[0078]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU,其可以安装在WTRU的可信环境TrE中,TrE将通过由服务提供方SP提供的签名或者证书对applet进行验证(参见说明书第[0099]段)(相当于验证从所述远程服务接收的安全凭证);
建立与用户设备侧通用集成电路卡UICC中不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信,双向追溯系统TTS可以建立到UICC的安全信道(参见说明书第[0092]段),UICC中的浏览器与设备中包括可信平台模块TPM之间的接口可以由安全信道进行保障(参见说明书第[0151]段)(相当于在所述安全控制器和所述远程服务之间建立安全通信连接);
可信环境TrE利用安全用户界面加载Applet,将在安全环境中运行当前应用的消息提示给用户(参见说明书第[0099]段),一个安全的用户界面(相当于安全用户接口)可能需要可信的开放ID来增加安全性(参见说明书第[0101]段)(相当于建立安全用户接口);
可信部分为用户提供一个可信的用户界面,该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的,当用户将要输入用户开放ID权证的使用凭证(相当于一个或多个认证凭证)时,安全用户界面指示设备在安全模式下操作,通过在电子设备的显示器上显示图像信息来为用户提供用户界面,如果用户想要使用开放ID 标识符登录站点,则浏览器可以将质询(challenge)转发到可信权证服务器(参见说明书第[0103]-[0105]段)(相当于在耦合到所述安全控制器的显示设备的一区域上,定义对话框,从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证,将所述一个或多个用户凭证转发到所述远程服务);
TPM115可以是微控制器,其存储密钥、密码、数字证书并能够生成加密密钥,其可以被固定在主板上,或集成到系统芯片组,其可以用于可能需要这些功能的任意计算设备中(相当于所述安全控制器物理地与所述不受信执行复合体和操作系统分离)。
建立与不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信(参见说明书第[0092]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU(参见说明书第[0151]段)(相当于与所述远程服务进行安全通信会话)。
权利要求1与对比文件1相比,区别特征为:(1)权利要求1中会锁定对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对不受信执行复合体不可见;(2)当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。基于上述区别特征可以确定,权利要求1实际解决的问题是:如何保证输入输出信息的安全性。
针对区别特征(1),对比文件2公开了一种安全的图形用户界面系统,并具体公开了以下特征(参见第186-190页):提供一个安全用户界面系统来为用户和用户将要使用的应用之间提供可信的通道,它需要保证用户输入和显示出来的输出的完整性和私密性,必须对终端的授权情况进行验证,保证数据不会被未授权的应用获取,其包括输入/输出设备,例如键盘、鼠标、显示器,用户界面系统能够将不同应用的输入/输出通道进行分离(参见第186页左栏第1段到右栏第3段),由安全用户界面控制的标签可以阻止某个应用的数据被另一个应用获取(参见第188页左栏第3段),安全用户界面接收用户输入并将其送入当前激活的应用,在某个时刻仅有一个应用能被激活,即该应用具有输入焦点(相当于输入对话被锁定),因此,只有安全用户界面决定将在屏幕上显示什么和如何显示(参见第187页左栏倒数第3段),即,对比文件2公开了锁定对话框,将显示屏上的对话框输入的内容、输出内容仅对正在运行的应用可见,这相当于锁定对话框,在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的,上述特征在对比文件2中与其在权利要求1中所起的作用相同,都是为了保证输入/输出数据的安全性。
针对区别特征(2),对比文件1中已经公开了建立安全通信会话的内容,同时使用安全用户界面保护用户的输入,显然,对比文件1中在不需要安全通信会话时,也存在着显示的控制返回和安全用户界面关闭的需求,而在安全通信会话结束后,释放和关闭对话框并返回显示的控制,这是本领域的惯用手段,属于本领域的公知常识。
因此,在对比文件1的基础上结合对比文件2和本领域的公知常识以获得权利要求1请求保护的技术方案对本领域技术人员来说是显而易见的,该权利要求请求保护的技术方案不具有突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2.2权利要求2所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求2对权利要求1作进一步限定。然而对比文件1已经公开了:可信环境TrE将通过由服务提供方SP提供的签名或者证书对applet进行验证(参见说明书第[0099]段)(相当于从所述远程服务接收安全证书,以及验证所述安全证书)。因此,在其引用的权利要求不具备创造性的基础上,该权利要求也不具备专利法第22条第3款规定的创造性。
2.3权利要求3所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求3引用权利要求1。然而对比文件1公开了:附图3A和3B示出了与可信权证服务器证明挑战回应相关的实例图,如果用户决定利用某个身份登录,那么开放ID提供方会向用户发出让他提供正确凭证的挑战,用户通过可信平台模块TPM提供该凭证(相当于从所述远程服务接收证明质询,从用户接收对所述证明质询的响应),如果认证正确,用户即可登录(参见说明书第[0044]段,附图3A,3B)(判断是否认证正确需要远程服务对用户的凭证进行验证,则必然需要通过安全通道连接将所述响应转发到所述远程服务)。因此,在其引用的权利要求不具备创造性的基础上,该权利要求也不具备专利法第22条第3款规定的创造性。
2.4权利要求4所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求4对权利要求1作进一步限定。然而对比文件1公开了:通过可信平台模块TPM与应用建立连接,响应于从一个网络应用的认证请求(相当于从应用接收所述请求),用户设备会被认证(参见说明书第[0004],[0151]段)(相当于对来自所述用户的受信输入的所述请求是从在耦合到所述安全控制器的处理器上执行的应用接收的)。应用向服务器发送请求时,请求中包括唯一标识应用和请求的标识符是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,该权利要求也不具备专利法第22条第3款规定的创造性。
2.5权利要求5所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求5对权利要求4作进一步限定。然而对比文件1公开了:建立与用户设备侧通用集成电路卡UICC中不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信,双向追溯系统TTS可以建立到UICC的安全信道(参见说明书第[0092]段),UICC中的浏览器与设备中包括可信平台模块TPM之间的接口可以由安全信道进行保障(参见说明书第[0151]段)(相当于在所述安全控制器和在耦合到所述安全控制器的所述处理器上执行的所述应用之间建立安全通道);可信部分为用户提供一个可信的用户界面,该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的,当用户将要输入用户开放ID权证的使用凭证时,安全用户界面指示设备在安全模式下操作(参见说明书第[0103]段),用户可以使用开放ID 标识符登录站点(参见说明书第[0105]段)(相当于通过所述安全通道连接将所述用户输入从所述安全控制器传递到所述应用)。因此,在其引用的权利要求不具备创造性的基础上,该权利要求也不具备专利法第22条第3款规定的创造性。
2.6权利要求6所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求6对权利要求5作进一步限定。然而,建立连接之前需验证请求中的标识符是本领域的公知常识。因此,在其引用的权利要求不具备创造性的基础上,该权利要求也不具备专利法第22条第3款规定的创造性。
2.7权利要求7所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求7请求保护一种电子设备,对比文件1公开了一种可信联合身份管理和数据接入授权的装置,并具体公开了以下特征(参见说明书第[0002]- [0004],[0034]-[0105],[0151]段,附图1,2,3A,3B):
用于认证的可信计算TC是向受硬件可信平台模块TPM保护的可信系统TS提供用于认证的凭证(参见说明书第[0002]段),客户端/用户平台110包括可信平台模块TPM115,TPM115可以是微控制器(相当于安全控制器),其可以用于需要这些功能的任意计算设备(相当于一种电子设备)中,TPM115可以保护其信息不受外部软件攻击、窃听等(参见说明书第[0034]段);
通过在电子设备的显示器上显示图像信息来为用户提供用户界面(参见说明书第[0104]段)(相当于包括显示器);
WTRU还包括具有可选链接的存储器的处理器(相当于用于实现不受信计算环境的处理器);
响应于从一个网络应用(相当于不受信执行复合体上执行的应用)的认证请求,用户设备会被认证(参见说明书第[0004]段)(相当于逻辑,被配置成用于从在所述电子设备的不受信执行复合体上执行的应用接收与远程服务的安全通信请求);
可信计算权证350包含验证其身份所需的信息以便于接收方可以轻松的验证可信计算权证350(参见说明书第[0064]段),开放ID身份提供方IdP可以利用可信平台模块TPM进行安全验证步骤(参见说明书第[0078]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU,其可以安装在WTRU的可信环境TrE中,TrE将通过由服务提供方SP提供的签名或者证书对applet进行验证(参见说明书第[0099]段)(相当于验证从所述远程服务接收的安全凭证);
建立与用户设备侧通用集成电路卡UICC中不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信,双向追溯系统TTS可以建立到UICC的安全信道(参见说明书第[0092]段),UICC中的浏览器与设备中包括可信平台模块TPM之间的接口可以由安全信道进行保障(参见说明书第[0151]段)(相当于在所述安全控制器和所述远程服务之间建立安全通信连接);
可信环境TrE利用安全用户界面加载Applet,将在安全环境中运行当前应用的消息提示给用户(参见说明书第[0099]段),一个安全的用户界面(相当于安全用户接口)可能需要可信的开放ID来增加安全性(参见说明书第[0101]段)(相当于建立安全用户接口);
可信部分为用户提供一个可信的用户界面,该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的,当用户将要输入用户开放ID权证的使用凭证(相当于一个或多个认证凭证)时,安全用户界面指示设备在安全模式下操作,通过在电子设备的显示器上显示图像信息来为用户提供用户界面,如果用户想要使用开放ID 标识符登录站点,则浏览器可以将质询(challenge)转发到可信权证服务器(参见说明书第[0103]-[0105]段)(相当于在耦合到所述安全控制器的显示设备的区域上,定义对话框,从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证,将所述一个或多个用户凭证转发到所述远程服务);
TPM115可以是微控制器,其存储密钥、密码、数字证书并能够生成加密密钥,其可以被固定在主板上,或集成到系统芯片组,其可以用于可能需要这些功能的任意计算设备中(相当于所述安全控制器物理地与所述不受信执行复合体和操作系统分离)。
建立与不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信(参见说明书第[0092]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU(参见说明书第[0151]段)(相当于与所述远程服务进行安全通信会话)。
权利要求7与对比文件1相比,区别特征为:(1)权利要求7中会锁定对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对不受信执行复合体不可见。(2)当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。基于上述区别特征可以确定,权利要求7实际解决的问题是:如何保证输入输出信息的安全性。
针对区别特征(1),对比文件2公开了一种安全的图形用户界面系统,并具体公开了以下特征(参见第186-190页):提供一个安全用户界面系统来为用户和用户将要使用的应用之间提供可信的通道,它需要保证用户输入和显示出来的输出的完整性和私密性,必须对终端的授权情况进行验证,保证数据不会被未授权的应用获取,其包括输入/输出设备,例如键盘、鼠标、显示器,用户界面系统能够将不同应用的输入/输出通道进行分离(参见第186页左栏第1段到右栏第3段),由安全用户界面控制的标签可以阻止某个应用的数据被另一个应用获取(参见第188页左栏第3段),安全用户界面接收用户输入并将其送入当前激活的应用,在某个时刻仅有一个应用能被激活,即该应用具有输入焦点(相当于输入对话被锁定),因此,只有安全用户界面决定将在屏幕上显示什么和如何显示(参见第187页左栏倒数第3段),即,对比文件2公开了锁定对话框,将显示屏上的对话框输入的内容、输出内容仅对正在运行的应用可见,这相当于锁定对话框,在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的,上述特征在对比文件2中与其在权利要求1中所起的作用相同,都是为了保证输入/输出数据的安全性。
针对区别特征(2),对比文件1中已经公开了建立安全通信会话的内容,同时使用安全用户界面保护用户的输入,显然,对比文件1中在不需要安全通信会话时,也存在着显示的控制返回和安全用户界面关闭的需求,而在安全通信会话结束后,释放和关闭对话框并返回显示的控制,这是本领域的惯用手段,属于本领域的公知常识。
因此,在对比文件1的基础上结合对比文件2和本领域的公知常识以获得权利要求7请求保护的方案对本领域的技术人员来说是显而易见的,该权利要求请求保护的方案不具有突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2.8权利要求8-12所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求8-12是权利要求7的直接或间接从属权利要求,其附加特征与权利要求2-6的附加特征一一对应,基于类似的理由,权利要求8-12也不具备专利法第22条第3款规定的创造性。
2.9权利要求13所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求13请求保护一种安全控制设备。对比文件1公开了一种可信联合身份管理和数据接入授权的装置,并具体公开了以下特征(参见说明书第[0002]- [0004],[0034]-[0105],[0151]段,附图1,2,3A,3B):
用于认证的可信计算TC是向受硬件可信平台模块TPM保护的可信系统TS提供用于认证的凭证(参见说明书第[0002]段),客户端/用户平台110包括可信平台模块TPM115,TPM115可以是微控制器(相当于安全控制器),其可以用于需要这些功能的任意计算设备(相当于一种安全控制设备)中,TPM115可以保护其信息不受外部软件攻击、窃听等(参见说明书第[0034]段);
响应于从一个网络应用(相当于不受信执行复合体上执行的应用)的认证请求,用户设备会被认证(参见说明书第[0004]段)(相当于逻辑,被配置成用于从在所述电子设备的不受信执行复合体上执行的应用接收与远程服务的安全通信请求);
可信计算权证350包含验证其身份所需的信息以便于接收方可以轻松的验证可信计算权证350(参见说明书第[0064]段),开放ID身份提供方IdP可以利用可信平台模块TPM进行安全验证步骤(参见说明书第[0078]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU,其可以安装在WTRU的可信环境TrE中,TrE将通过由服务提供方SP提供的签名或者证书对applet进行验证(参见说明书第[0099]段)(相当于验证从所述远程服务接收的安全凭证);
建立与用户设备侧通用集成电路卡UICC中不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信,双向追溯系统TTS可以建立到UICC的安全信道(参见说明书第[0092]段),UICC中的浏览器与设备中包括可信平台模块TPM之间的接口可以由安全信道进行保障(参见说明书第[0151]段)(相当于在所述安全控制器和所述远程服务之间建立安全通信连接);
可信环境TrE利用安全用户界面加载Applet,将在安全环境中运行当前应用的消息提示给用户(参见说明书第[0099]段),一个安全的用户界面(相当于安全用户接口)可能需要可信的开放ID来增加安全性(参见说明书第[0101]段)(相当于建立安全用户接口);
可信部分为用户提供一个可信的用户界面,该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的,当用户将要输入用户开放ID权证的使用凭证(相当于一个或多个认证凭证)时,安全用户界面指示设备在安全模式下操作,通过在电子设备的显示器上显示图像信息来为用户提供用户界面,如果用户想要使用开放ID 标识符登录站点,则浏览器可以将质询(challenge)转发到可信权证服务器(参见说明书第[0103]-[0105]段)(相当于在耦合到所述控制器的显示设备的区域上,定义对话框,从所述对话框接收用户输入,其中所述用户输入包括一个或多个认证凭证,将所述一个或多个用户凭证转发到所述远程服务);
TPM 115可以是微控制器,其存储密钥、密码、数字证书并能够生成加密密钥,其可以被固定在主板上,或集成到系统芯片组,其可以用于可能需要这些功能的任意计算设备中(相当于所述安全控制器物理地与所述不受信执行复合体和操作系统分离)。
建立与不可信无线发射/接收单元WTRU元件(例如浏览器)的安全通信(参见说明书第[0092]段),在用户平台认证和验证后,服务提供方SP将发送带标记的java applet给无线发射/接收单元WTRU(参见说明书第[0151]段)(相当于与所述远程服务进行安全通信会话);
该设备必然包括计算机可读介质,其上存储有逻辑指令,安全控制器执行上述一系列操作,其也必然与所述计算机可读介质耦合。
权利要求13与对比文件1相比,区别特征为:(1)权利要求13中会锁定对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对不受信执行复合体不可见。(2)当安全通信会话完成时,释放和关闭对话框,并且将显示的控制返回到所述不受信执行复合体。基于上述区别特征可以确定,权利要求13实际解决的问题是:如何保证输入输出信息的安全性。
针对区别特征(1),对比文件2公开了一种安全的图形用户界面系统,并具体公开了以下特征(参见第186-190页):提供一个安全用户界面系统来为用户和用户将要使用的应用之间提供可信的通道,它需要保证用户输入和显示出来的输出的完整性和私密性,必须对终端的授权情况进行验证,保证数据不会被未授权的应用获取,其包括输入/输出设备,例如键盘、鼠标、显示器,用户界面系统能够将不同应用的输入/输出通道进行分离(参见第186页左栏第1段到右栏第3段),由安全用户界面控制的标签可以阻止某个应用的数据被另一个应用获取(参见第188页左栏第3段),安全用户界面接收用户输入并将其送入当前激活的应用,在某个时刻仅有一个应用能被激活,即该应用具有输入焦点(相当于输入对话被锁定),因此,只有安全用户界面决定将在屏幕上显示什么和如何显示(参见第187页左栏倒数第3段),即,对比文件2公开了锁定对话框,将显示屏上的对话框输入的内容、输出内容仅对正在运行的应用可见,这相当于锁定对话框,在所述对话框中进行的输入/输出操作仅对所述安全控制器可见,而对所述不受信执行复合体是不可见的,上述特征在对比文件2中与其在权利要求1中所起的作用相同,都是为了保证输入/输出数据的安全性。
针对区别特征(2),对比文件1中已经公开了建立安全通信会话的内容,同时使用安全用户界面保护用户的输入,显然,对比文件1中在不需要安全通信会话时,也存在着显示的控制返回和安全用户界面关闭的需求,而在安全通信会话结束后,释放和关闭对话框并返回显示的控制,这是本领域的惯用手段,属于本领域的公知常识。
因此,在对比文件1的基础上结合对比文件2和本领域的公知常识以获得权利要求13请求保护的方案对本领域的技术人员来说是显而易见的,该权利要求请求保护的方案不具有突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2.10权利要求14-18所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求14-18是权利要求13的直接或间接从属权利要求,其附加特征与权利要求2-6的附加特征一一对应,基于类似的理由,权利要求14-18也不具备专利法第22条第3款规定的创造性。
2.11权利要求19所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求19请求保护一种具有指令的计算机可读存储介质,所述指令在被执行时使机器实现如权利要求1-6的任一项所述的安全控制器中的逻辑。对比文件1的设备包含存储器,即相当于具有指令的计算机可读存储介质,基于评述权利要求1-6不具备创造性的类似的理由,权利要求19也不具备专利法第22条第3款规定的创造性。
2.12权利要求20所要求保护的技术方案不具备专利法第22条第3款规定的创造性。
权利要求20请求保护一种计算机系统,包括用于实现如权利要求1-6的任一项所述的安全控制器中的逻辑的装置。对比文件1中公开的系统即相当于一种计算机系统,基于评述权利要求1-6不具备创造性的类似的理由,权利要求20也不具备专利法第22条第3款规定的创造性。
对复审请求人相关意见的评述
合议组认为:
(1)对比文件1与本申请解决的问题相同,均是为了使得电子设备与远程服务器建立安全通信连接以进行安全通信会话;对比文件1已经公开了电子设备与远程服务器建立安全用户接口,同时,还公开了“为用户提供一个可信的用户界面,该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的”,对比文件1还公开了“可信权证服务器可以将UI转换到安全UI并向用户显示同意界面,该同意界面可以要求用户与安全UI交互以完成认证。可信权证服务器可以生成响应并将其转发到OpenID IdP,绕过可能被攻击的浏览器。在可信OpenID过程中,可以保证WTRU的浏览器和用户界面的安全”,对比文件1中的可信用户界面即相当于权利要求1的对话框,而且对比文件1明确表示该用户界面可以保护用户的输入,并指示该输入是在安全模式下进行的,并且用户与安全UI的交互绕过可能被攻击的浏览器(即不受信执行复合体),保证浏览器和用户界面的安全。由此可见,对比文件1已经公开了权利要求1中的对话框,同时也公开了用户与安全UI交互绕过浏览器以防止被攻击,因此,对比文件1同样能够在底层(而非应用级别)防止敏感信息被窃取,将操作系统和不受信执行复合体有效屏蔽。而对比文件1未公开的特征“锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对所述不受信执行复合体是不可见的”仅是对电子设备上用于用户输入的对话框的限定,以保证用户在显示设备对话框的输入输出的数据安全。对比文件1中已经公开了建立安全通信会话的内容,同时使用安全用户界面保护用户的输入,显然,对比文件1中在不需要安全通信会话时,也存在着显示的控制返回和安全用户界面关闭的需求,即对比文件1意识到了对显示的控制的返回。
对比文件2公开了提供一个安全用户界面系统来为用户和用户将要使用的应用之间提供可信的通道,它需要保证用户输入和显示出来的输出的完整性和私密性,必须对终端的授权情况进行验证,保证数据不会被未授权的应用获取,用户界面系统能够将不同应用的输入/输出通道进行分离(参见第186页左栏第1段到右栏第3段),由安全用户界面控制的标签可以阻止某个应用的数据被另一个应用获取(参见第188页左栏第3段),即,对比文件2公开了将显示界面上对话框输入/输出内容仅对正在运行的应用可见,其他的应用是不能获取该输入输出数据的,以上内容即相当于公开了在所述对话框中进行的输入/输出操作仅对受信的应用可见,而对所述不受信执行复合体是不可见,对比文件2公开的上述特征的作用与其在权利要求1中作用本质上是相同的,同时,对比文件2与本申请和对比文件1同样都属于保证数据安全的领域,都是为了保证输入/输出数据的安全性,那么本领域技术人员是容易想到将对比文件2公开的上述特征结合到对比文件1中以保证输入输出数据的安全性。
(2)如前所述,对比文件2公开了权利要求1相对于对比文件1的区别特征“锁定所述对话框,从而使得在所述对话框中进行的输入/输出操作仅对所述控制器可见,而对所述不受信执行复合体是不可见的”,给出了将所述区别特征用于对比文件1以解决所述技术问题的启示,至于是否需要标识受信路径,并不影响对权利要求1的创造性评述。
因此,对复审请求人的上述意见,合议组不予支持。
三、决定
维持国家知识产权局于 2017年08月23日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可自收到本决定之日起三个月内向北京知识产权法院起诉。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
昵称:
匿名发表 登录账号
         
   
验证码: