发明创造名称:一种分布式环境下的权限管理方法、装置及服务器
外观设计名称:
决定号:181610
决定日:2019-06-19
委内编号:1F268843
优先权日:
申请(专利)号:201810064716.6
申请日:2018-01-23
复审请求人:北京百度网讯科技有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:陈安安
合议组组长:王阜东
参审员:韩鲜萍
国际分类号:G06F21/31
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:如果一项权利要求要求保护的技术方案相对于作为最接近的现有技术的对比文件存在多个区别特征,而这些区别特征部分被另一篇对比文件所公开,其他部分属于本领域的惯用手段,在最接近的现有技术的基础上结合另一篇对比文件以及本领域的惯用手段而得到该项权利要求所要求保护的技术方案对于本领域技术人员而言是显而易见的,则该权利要求不具有突出的实质性特点和显著的进步,不具备创造性。
全文:
本复审请求涉及申请号为201810064716.6,名称为“一种分布式环境下的权限管理方法、装置及服务器”的发明专利申请(下称本申请)。申请人为北京百度网讯科技有限公司。本申请的申请日为2018年01月23日,公开日为2018年06月22日。
经实质审查,国家知识产权局原审查部门于2018年11月01日发出驳回决定驳回了本申请,认为权利要求1-15不具备专利法第22条第3款规定的创造性,其理由是:权利要求1与对比文件1(CN107579993A, 公开日:2018年01月12日)的区别技术特征是使用信息还包括:用户的状态和特征。基于上述区别技术特征,权利要求1实际要解决的技术问题是如何确定当前用户的使用信息。在对比文件1已经公开了获取目标数据流的行为认证的基础上,例如用户的行为时间和行为类型(上传下载),本领域技术人员容易想到用户在使用过程中的特征和状态也属于可以体现当前用户使用习惯的常用参考维度,具体选取其作为使用信息属于本领域的惯用手段。因此,在对比文件1的基础上结合本领域的惯用手段而得到权利要求1的技术方案对于本领域技术人员而言是显而易见的,权利要求1不具备专利法第22条第3款规定的创造性。从属权利要求2-10的附加技术特征或被对比文件1公开,或被对比文件2(CN106850509A, 公开日为2017年06月13日)公开,或为本领域的惯用手段,因此,在其引用的权利要求1不具备创造性的情况下,权利要求2-10也不具备创造性。权利要求11-13是与权利要求1、9-10对应的产品权利要求,权利要求14保护一种服务器,包括一个或多个处理器实现如权利要求1-10中任一所述的方法,权利要求15要求保护一种计算机可读存储介质,其存储有计算机程序,该程序被执行时实现如权利要求1-10中任一所述的方法,因而基于与评述权利要求1-10相同的理由,权利要求11-15也不具备专利法第22条第3款规定的创造性。驳回决定所依据的文本为原始申请文本,即申请日2018年01月23日提交的权利要求第1-15项、说明书第1-131段、说明书附图图1-5、说明书摘要及摘要附图。驳回决定所针对的权利要求书如下:
“1. 一种分布式环境下的权限管理方法,其特征在于,所述方法包括:
获取用户使用对象存储产品时的使用信息;所述使用信息包括:用户的行为、状态和特征;
检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度;
根据所述匹配程度对所述用户的使用信息采用预设的预警机制。
2. 根据权利要求1所述的方法,其特征在于,检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度之前,所述方法还包括:
根据用户使用对象存储产品的历史使用信息样本,采用机器学习方法构建出用户画像模型。
3. 根据权利要求1所述的方法,其特征在于,根据所述匹配程度对所述用户的使用信息采用预设的预警机制,包括:
根据匹配程度对所述用户的访问控制列表设置相应等级的锁。
4. 根据权利要求3所述的方法,其特征在于,其中所述锁分为两个等级:立即加锁和受限。
5. 根据权利要求4所述的方法,其特征在于,根据匹配程度对所述用户的访问控制列表设置相应等级的锁,包括:
当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求;
记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求。
6. 根据权利要求4所述的方法,其特征在于,根据匹配程度对所述用户的访问控制列表设置相应等级的锁,包括:
当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。
7. 根据权利要求4所述的方法,其特征在于,根据匹配程度对所述用户的访问控制列表设置相应等级的锁,包括:
当所述匹配程度大于等于第二预设阈值时时,可通过预设的鉴权机制对所述用户进行身份验证,并且当用户通过身份验证时,解除所述锁。
8. 根据权利要求5至7任一所述的方法,其特征在于,第一预设阈值和第二预设阈值是根据所述访问控制列表中的权限类型设定的。
9. 根据权利要求1所述的方法,其特征在于,获取用户使用对象存储产品时的使用信息之前,所述方法还包括:
监控所述用户在单位时间内的网络流量;
根据所述网络流量对所述用户的访问控制列表设置相应等级的锁。
10. 根据权利要求1所述的方法,其特征在于,获取用户使用对象存储产品时的使用信息之前,所述方法还包括:
监控所述用户发送访问请求的对象;
若所述访问请求的对象位于黑名单中,则直将屏蔽所述访问请求的对象;
若所述访问请求的对象位于白名单中,则跳过所述所有预警机制,以直接访问所述访问请求的对象。
11. 一种分布式环境下的权限管理装置,其特征在于,所述装置包括:
获取模块,配置为获取用户使用对象存储产品时的使用信息;所述使用信息包括:用户的行为、状态和特征;
检测模块,配置为检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度;
预警模块,配置为根据所述匹配程度对所述用户的使用信息采用预设的预警机制。
12. 根据权利要求11所述的装置,其特征在于,所述装置还包括:
第一监控模块,配置为监控所述用户在单位时间内的网络流量;
设置模块,配置为根据所述网络流量对所述用户的访问控制列表设置相应等级的锁。
13. 根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二监控模块,配置为监控所述用户发送访问请求的对象;且当所述访问请求的对象位于黑名单中,则直将屏蔽所述访问请求的对象;且当所述访问请 求的对象位于白名单中,则跳过所述所有预警机制,以直接访问所述访问请求的对象。
14. 一种服务器,其特征在于,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-10中任一所述的方法。
15. 一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-10中任一所述的方法。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年12月17日向国家知识产权局提出了复审请求,同时修改了权利要求书,将原权利要求3-5中记载的附加技术特征添加至原权利要求1,删除原权利要求3-5,形成新的权利要求1-12。复审请求人认为:(1)本申请权利要求记载的当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,对于访问控制列表中涉及的所有网络行为,均被禁止,加锁操作是针对访问控制列表和访问请求,而不是针对用户,因此访问控制列表在加锁操作后依然有访问请求,并且记录所有访问请求,在解锁后能够继续处理所述访问请求。对比文件2中记载的技术方案是当可信系数低于期望时,禁止访问网络中敏感或者高度保密资源,甚至禁止访问整个业务系统。本申请在低于第一预设阈值只采取立即加锁的操作,而在驳回决定明确指出:禁止访问网络中敏感或者高度保密资源相当于受限,甚至禁止访问整个业务系统相当于立即加锁,即对比文件2当可信系数低于期望时,即采取了受限又采取了立即加锁。因此,复审请求人认为对比文件2中的技术特征不能相当于本申请权利要求1中的技术特征“当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求”。(2)对比文件2在防火墙中设置分析模块,实际上是拒绝用户访问,并且在拒绝之后,不存在待处理的访问请求,更无法在解锁之后继续处理访问请求,即对比文件2及现有技术均没有记载本申请权利要求1中的技术特征“记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求”,因此,复审请求人不认同对比文件2公开了上述区别技术特征,且在对比文件2没有公开记载本申请技术特征或者相似技术方案时,对比文件2无法给出将自身技术方案应用于对比文件1中以获得本申请权利要求1记载的区别技术特征。
复审请求时新修改的权利要求1如下:
“1. 一种分布式环境下的权限管理方法,其特征在于,所述方法包括:
获取用户使用对象存储产品时的使用信息;所述使用信息包括:用户的行为、状态和特征;
检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度;
根据所述匹配程度对所述用户的使用信息采用预设的预警机制;
其中,根据所述匹配程度对所述用户的使用信息采用预设的预警机制,包括:
根据匹配程度对所述用户的访问控制列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限;
当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求;
记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求。”
经形式审查合格,国家知识产权局于2018年12月26日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为:第一,对比文件2公开的是“禁止访问网络中敏感或者高度保密资源,甚至禁止访问整个业务系统”,是两种不同安全级别的处理方式,且结合说明书其他部分如第45段,当用户行为可信系数低于最低阈值时,会强行中断用户连接,当可信系数处于较低级别中,则会禁止对某些应用的访问权限,由此可见,对比文件2也是设置了基于可信系数的不同安全级别的访问控制,给出了对用户可信度低的行为进行处理限制的技术启示;第二,对比文件2公开了禁止访问整个业务系统,虽然没有明确限定禁止访问的方式,但由于用户访问控制列表属于常用的用户权限管理方式,具体通过对用户访问控制列表进行加锁操作实现禁止访问整个业务系统属于本领域的惯用手段;第三,为了避免判断错误或者用户临时改变使用习惯,允许用户验证密码或身份,当用户解锁后执行访问请求属于本领域的惯用手段。因而坚持原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年04月16日向复审请求人发出复审通知书,认为权利要求1-12不具备专利法第22条第3款规定的创造性,指出:该权利要求1请求保护的技术方案与对比文件1相比,其区别技术特征在于:(1)使用信息还包括用户的特征;(2)根据匹配程度对所述用户的访问控制系列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限,当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求。基于上述区别技术特征,该权利要求1的技术方案实际要解决的技术问题是:(1)获取的具体信息类型的选择;(2)如何根据匹配程度进行具体的访问控制。区别技术特征(1)是本领域的惯用手段;对于区别技术特征(2),对比文件2已经公开了通过中断用户连接的方式来限制用户的全部访问权限的方式,而在本领域中,还可以通过对访问控制列表进行加锁来禁止用户的所有访问权限,这是本领域的惯用手段,因而在上述内容的基础上,当匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,是本领域技术人员容易想到的;而在全面禁止访问权限的情况下,为了应对因为用户行为习惯确实发生较大变化时而导致的锁定操作,可以对锁定时所接收的访问请求进行记录,以便后续确认用户具有权限时重新执行,例如,当用户在不常用的终端上登录个人通信软件,系统会先记录下登录请求,然后验证用户的身份,当通过身份验证后,方可允许执行正常登录请求,即这种记录锁定的请求以待解锁后继续处理的方式也是本领域的惯用手段。因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段而得到权利要求1的技术方案对于本领域技术人员而言是显而易见的,权利要求1不具备专利法第22条第3款规定的创造性。从属权利要求2-7的附加技术特征或被对比文件1公开,或为本领域的惯用手段,因此,在其引用的权利要求1不具备创造性的情况下,权利要求2-7也不具备创造性。权利要求8与对比文件1的区别技术特征仅在于:获取的使用信息还包括用户的特征。该区别技术特征为本领域的惯用手段,因而,在对比文件1的基础上结合本领域的惯用手段得到权利要求8所要求保护的技术方案对于本领域技术人员来说是显而易见的。权利要求9-10的附加技术特征或被对比文件1公开,或为本领域的惯用手段。因此,权利要求8-10不具备专利法第22条第3款规定的创造性。权利要求11保护一种服务器,包括一个或多个处理器实现如权利要求1-7中任一所述的方法,权利要求12要求保护一种计算机可读存储介质,其存储有计算机程序,该程序被执行时实现如权利要求1-7中任一所述的方法,因而基于与评述权利要求1-7相同的理由,权利要求11-12也不具备专利法第22条第3款规定的创造性。
对于复审请求时所陈述的理由,合议组认为:对于意见(1),对比文件2(参见说明书第44-45段,详见具体理由(2.1)的评述部分)已经公开了根据不同的用户可信度级别来赋予用户不同的权限级别,且其中一种级别对应的是中断用户连接,另一种级别对应的是禁止访问部分权限,即受限,在第一种中断连接来拒绝一切访问的方式的启示下,由于使用访问控制列表来进行访问控制为本领域的惯用手段,在上述基础上,本领域技术人员容易想到“当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求”;对于意见(2),虽然对比文件2没有公开特征“记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求”,但对于在全面禁止访问权限的情况下,为了应对因为用户行为习惯确实发生较大变化时而导致的锁定操作,可以对锁定时所接收的访问请求进行记录,以便后续确认用户具有权限时重新执行,即这种记录锁定的请求以待解锁后继续处理的方式也是本领域的惯用手段。
复审请求人于2019年04月25日提交了意见陈述书,并对权利要求书进行了修改,将原权利要求3的附加技术特征添加至权利要求1中,并将原权利要求3的附加技术特征以及原权利要求1的部分技术特征添加至原权利要求8中,并删除原权利要求3,形成新的权利要求1-11项。复审请求人认为:(1)权利要求1相对于对比文件1的区别技术特征为复审通知书中承认的区别特征(1)-(2)以及新加入的特征,权利要求1相对于对比文件1要解决的技术问题为如何对用户的使用信息采用预警机制,从而在无需用户学习复杂的ACL设置的情况下,使得用户友好性更高,而合议组确定的技术问题,仅仅是根据每个区别特征得到的技术问题,这样的确定方法并没有考虑到权利要求1中其他技术特征的存在,也没将权利要求1中的所有技术特征作为一个完整的技术方案加以考虑;(2)由于对比文件1涉及的是行为分类,以及根据行为分类进行的预设处理操作,通篇没有涉及任何匹配程度、以及当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求;当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。在这样的情况下,武断地认为上述区别是本领域惯用手段的结论是不能认同的。
复审请求人在进行意见陈述时提交的权利要求1-11项如下:
“1. 一种分布式环境下的权限管理方法,其特征在于,所述方法包括:
获取用户使用对象存储产品时的使用信息;所述使用信息包括:用户的行为、状态和特征;
检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度;
根据所述匹配程度对所述用户的使用信息采用预设的预警机制;
其中,根据所述匹配程度对所述用户的使用信息采用预设的预警机制,包括:
根据匹配程度对所述用户的访问控制列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限;
当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求;
记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求;
当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。
2. 根据权利要求1所述的方法,其特征在于,检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度之前,所述方法还包括:
根据用户使用对象存储产品的历史使用信息样本,采用机器学习方法构建出用户画像模型。
3. 根据权利要求1所述的方法,其特征在于,根据匹配程度对所述用户的访问控制列表设置相应等级的锁,包括:
当所述匹配程度大于等于第二预设阈值时时,可通过预设的鉴权机制对所述用户进行身份验证,并且当用户通过身份验证时,解除所述锁。
4. 根据权利要求2至3任一所述的方法,其特征在于,第一预设阈值和第二预设阈值是根据所述访问控制列表中的权限类型设定的。
5. 根据权利要求1所述的方法,其特征在于,获取用户使用对象存储产品 时的使用信息之前,所述方法还包括:
监控所述用户在单位时间内的网络流量;
根据所述网络流量对所述用户的访问控制列表设置相应等级的锁。
6. 根据权利要求1所述的方法,其特征在于,获取用户使用对象存储产品时的使用信息之前,所述方法还包括:
监控所述用户发送访问请求的对象;
若所述访问请求的对象位于黑名单中,则直将屏蔽所述访问请求的对象;
若所述访问请求的对象位于白名单中,则跳过所述所有预警机制,以直接访问所述访问请求的对象。
7. 一种分布式环境下的权限管理装置,其特征在于,所述装置包括:
获取模块,配置为获取用户使用对象存储产品时的使用信息;所述使用信息包括:用户的行为、状态和特征;
检测模块,配置为检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度;和
预警模块,配置为根据所述匹配程度对所述用户的使用信息采用预设的预警机制,所述根据所述匹配程度对所述用户的使用信息采用预设的预警机制包括:
根据匹配程度对所述用户的访问控制列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限;
当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求;
记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求;
当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。
8. 根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一监控模块,配置为监控所述用户在单位时间内的网络流量;
设置模块,配置为根据所述网络流量对所述用户的访问控制列表设置相应 等级的锁。
9. 根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二监控模块,配置为监控所述用户发送访问请求的对象;且当所述访问请求的对象位于黑名单中,则直将屏蔽所述访问请求的对象;且当所述访问请求的对象位于白名单中,则跳过所述所有预警机制,以直接访问所述访问请求的对象。
10. 一种服务器,其特征在于,所述服务器包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
11. 一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在2019年04月25日答复复审通知书时对权利要求书进行了修改,经审查,上述修改符合专利法第33条和专利法实施细则第61条第1款的规定。因此,本复审决定所依据的文本是:复审请求人于2019年04月25日提交的权利要求第1-11项;申请日2018年01月23日提交的说明书第1-131段、说明书附图图1-5、说明书摘要及摘要附图。
专利法第22条第3款
专利法第22条第3款规定:“创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。”
如果一项权利要求要求保护的技术方案相对于作为最接近的现有技术的对比文件存在多个区别特征,而这些区别特征部分被另一篇对比文件所公开,其他部分属于本领域的惯用手段,在最接近的现有技术的基础上结合另一篇对比文件以及本领域的惯用手段而得到该项权利要求所要求保护的技术方案对于本领域技术人员而言是显而易见的,则该权利要求不具有突出的实质性特点和显著的进步,不具备创造性。
本复审决定所引用的对比文件与驳回决定及复审通知书所引用的对比文件相同,即:
对比文件1:CN 107579993 A,公开日2018年01月12日;
对比文件2:CN 106850509 A,公开日2017年06月13日。
其中,对比文件1为最接近的现有技术。
(2.1)权利要求1不具备专利法第22条第3款规定的创造性
权利要求1要求保护一种分布式环境下的权限管理方法,对比文件1公开了一种网络数据流的安全处理方法及装置,并具体公开了如下技术特征(参见说明书第42-75段):S101、对目标数据流进行应用标识APP-ID,判断(网络)目标数据流属于何种应用;获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据(由于客户端的使用历史数据必然会涉及客户端的行为、状态信息,因而隐含公开了获取用户使用对象存储产品时的使用信息,所述使用信息包括用户的行为、状态),预先构建客户端应用画像;对所述目标数据流进行动作检测,通过判断所述目标数据流的动作与所述目标数据流所述的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级(相当于检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度);根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作(相当于根据所述匹配程度对所述用户的使用信息采用预设的预警机制);所述风险等级可以包括:合法的、可疑的和告警等。
该权利要求1请求保护的技术方案与对比文件1相比,其区别技术特征在于:(1)使用信息还包括用户的特征;(2)根据匹配程度对所述用户的访问控制系列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限,当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求,当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。
基于上述区别技术特征,该权利要求1的技术方案实际要解决的技术问题是:(1)获取的具体信息类型的选择;(2)如何根据匹配程度进行具体的访问控制。
对于区别技术特征(1),当需要针对用户进行安全管理时,本领域技术人员通常除了考察用户的动作行为,还可以考察用户的某些固有特征或偏好,将它们也作为认定用户的权限级别的一个依据,因而,获取的使用信息还包括用户的特征是本领域的惯用手段。
对于区别技术特征(2),对比文件2公开了一种网络访问控制方法,并具体公开了如下技术特征(参见说明书第44-45段):判断用户行为的可信度是否超过设定阈值,如果用户通过认证登录后,可信度系数不达标,会立刻被迫退出,如果达到设定阈值则确定用户行为可信度满足要求,并允许用户访问,当实时计算出的用户行为可信系数低于最低阈值时,会强行中断用户连接,并在防火墙的内存中清除连接,可信系数处在较低级别中,则会禁止对某些应用的访问权限(相当于根据匹配程度对所述用户的访问控制列表设置相应等级的锁;所述锁分为两个等级,其中一个为受限;而较低级别隐含了高于最低级别而低于最高级别,因而相当于匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作);另外,如上所述,对比文件2已经公开了通过中断用户连接的方式来限制用户的全部访问权限的方式,而在本领域中,还可以通过对访问控制列表进行加锁来禁止用户的所有访问权限,这是本领域的惯用手段,因而在上述内容的基础上,当匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,是本领域技术人员容易想到的;而在全面禁止访问权限的情况下,为了应对因为用户行为习惯确实发生较大变化时而导致的锁定操作,可以对锁定时所接收的访问请求进行记录,以便后续确认用户具有权限时重新执行,例如,当用户在不常用的终端上登录个人通信软件,系统会先记录下登录请求,然后验证用户的身份,当通过身份验证后,方可允许执行正常登录请求,即这种记录锁定的请求以待解锁后继续处理的方式也是本领域的惯用手段。最后,在本领域中,用户受限操作的方式有很多种,除了对比文件2中公开的直接对某些应用的访问权限进行受限,还可以通过限制用户具有某种权限时方可进行访问,这也是一种常见的受限访问类型。
因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段得到权利要求1所要求保护的技术方案对于本领域技术人员来说是显而易见的。因此权利要求1不具有突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
(2.2)权利要求2-6不具备专利法第22条第3款规定的创造性
权利要求2在权利要求1的基础上做了进一步限定,对比文件1还公开了如下技术特征(参见说明书第58-64段):上述步骤S102之前,还可以包括步骤A:获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据,预先构建客户端应用画像(相当于根据用户使用对象存储产品的历史使用信息样本,采用机器学习方法构建出用户画像模型)。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
权利要求3在权利要求1的基础上做了进一步限定。通过身份验证来判断是否解锁也属于本领域设置访问权限的惯用手段,因而本领域技术人员容易想到根据用户状态与用户画像的匹配程度来确定用户相应的权限级别,进而分配相应的权限控制方式。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
权利要求4在权利要求2至3任一项的基础上做了进一步限定。基于访问控制列表进行权限管理并设置阈值属于本领域的惯用手段。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
权利要求5在权利要求1的基础上做了进一步限定。对比文件1公开了如下技术特征(参见说明书第49-53段):统计数据包括基于时间的流量数据(即单位时间内的网络流量),说明书第53段的表格中同样示出了统计流量,对比文件1(参见说明书第54-55段)还公开了基于时间和行为的访问控制,在此基础上,本领域技术人员容易想到可以基于网络流量维度判断用户行为是否存在异常,进而确定相应的控制级别。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
权利要求6在权利要求1的基础上做了进一步限定。对于访问的对象采用黑白名单控制访问权限属于本领域的惯用手段。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
(2.3)权利要求7-9不具备专利法第22条第3款规定的创造性
权利要求7要求保护一种分布式环境下的权限管理装置,对比文件1公开了一种网络数据流的安全处理方法及装置,并具体公开了如下技术特征(参见说明书第42-75段):S101、对目标数据流进行应用标识APP-ID,判断(网络)目标数据流属于何种应用;获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据(由于客户端的使用历史数据必然会涉及客户端的行为、状态信息,因而隐含公开了获取模块,配置为获取用户使用对象存储产品时的使用信息,所述使用信息包括用户的行为、状态),预先构建客户端应用画像;对所述目标数据流进行动作检测,通过判断所述目标数据流的动作与所述目标数据流所述的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级(相当于检测模块,配置为检测所述用户的状态信息与用户画像模型预测的用户状态信息的匹配程度);根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作(相当于预警模块,配置为根据所述匹配程度对所述用户的使用信息采用预设的预警机制);所述风险等级可以包括:合法的、可疑的和告警等。
该权利要求7请求保护的技术方案与对比文件1相比,其区别技术特征在于:(1)使用信息还包括用户的特征;(2)根据匹配程度对所述用户的访问控制系列表设置相应等级的锁;所述锁分为两个等级:立即加锁和受限,当所述匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,记录下所有所述访问请求,以在解锁后能够继续处理所述访问请求,当所述匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作,以使所述用户在身份获得权限时方可使用所述对象存储产品。
基于上述区别技术特征,该权利要求7的技术方案实际要解决的技术问题是:(1)获取的具体信息类型的选择;(2)如何根据匹配程度进行具体的访问控制。
对于区别技术特征(1),当需要针对用户进行安全管理时,本领域技术人员通常除了考察用户的动作行为,还可以考察用户的某些固有特征或偏好,将它们也作为认定用户的权限级别的一个依据,因而,获取的使用信息还包括用户的特征是本领域的惯用手段。
对于区别技术特征(2),对比文件2公开了一种网络访问控制方法,并具体公开了如下技术特征(参见说明书第44-45段):判断用户行为的可信度是否超过设定阈值,如果用户通过认证登录后,可信度系数不达标,会立刻被迫退出,如果达到设定阈值则确定用户行为可信度满足要求,并允许用户访问,当实时计算出的用户行为可信系数低于最低阈值时,会强行中断用户连接,并在防火墙的内存中清除连接,可信系数处在较低级别中,则会禁止对某些应用的访问权限(相当于根据匹配程度对所述用户的访问控制列表设置相应等级的锁;所述锁分为两个等级,其中一个为受限;而较低级别隐含了高于最低级别而低于最高级别,因而相当于匹配程度大于等于第一预设阈值且小于第二预设阈值时,对所述用户的访问控制列表设置受限操作);另外,如上所述,对比文件2已经公开了通过中断用户连接的方式来限制用户的全部访问权限的方式,而在本领域中,还可以通过对访问控制列表进行加锁来禁止用户的所有访问权限,这是本领域的惯用手段,因而在上述内容的基础上,当匹配程度小于第一预设阈值时,对所述用户的访问控制列表设置立即加锁操作,锁住所有对所述访问控制列表的访问请求,是本领域技术人员容易想到的;而在全面禁止访问权限的情况下,为了应对因为用户行为习惯确实发生较大变化时而导致的锁定操作,可以对锁定时所接收的访问请求进行记录,以便后续确认用户具有权限时重新执行,例如,当用户在不常用的终端上登录个人通信软件,系统会先记录下登录请求,然后验证用户的身份,当通过身份验证后,方可允许执行正常登录请求,即这种记录锁定的请求以待解锁后继续处理的方式也是本领域的惯用手段。最后,在本领域中,用户受限操作的方式有很多种,除了对比文件2中公开的直接对某些应用的访问权限进行受限,还可以通过限制用户具有某种权限时方可进行访问,这也是一种常见的受限访问类型。
因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段得到权利要求7所要求保护的技术方案对于本领域技术人员来说是显而易见的。因此权利要求7不具有突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
权利要求8在权利要求7的基础上做了进一步限定。对比文件1公开了如下技术特征(参见说明书第49-53段):统计数据包括基于时间的流量数据(相当于单位时间内的网络流量),说明书第53段的表格中同样示出了统计流量。另外,对比文件1(参见说明书第54-55段)已经公开了基于时间和行为的访问控制,在此基础上,本领域技术人员容易想到可以基于网络流量维度判断用户行为是否存在异常,进而确定相应的控制级别。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
权利要求9在权利要求7的基础上做了进一步限定。对于访问的对象采用黑白名单控制访问权限属于本领域的惯用手段。因此,当其引用的权利要求不具备创造性,该权利要求也不具备专利法第22条第3款规定的创造性。
(2.4)权利要求10-11不具备专利法第22条第3款规定的创造性
权利要求10要求保护一种服务器,对比文件1还公开了如下技术特征(参见说明书第31-33段):本发明实施例还提出一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;其中,所述处理器,存储器通过所述总线完成相互间的通信;所述处理器执行所述计算机程序时实现上述方法(相当于包括一个或多个处理器,存储装置,用于存储一个或多个程序,当一个或多个程序被处理器执行时,处理器实现方法)。由于权利要求10引用了权利要求1-6中任一项,基于权利要求1-6的评述,当权利要求1-6之一不具备创造性时,权利要求10也不具备专利法第22条第3款规定的创造性。
权利要求11要求保护一种计算机可读存储介质,对比文件1还公开了如下技术特征(参见说明书第34段):本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法(相当于计算机可读存储介质,其存储有计算机程序,程序被处理器执行时实现相关方法)。由于权利要求11引用了权利要求1-6中任一项,基于权利要求1-6的评述,当权利要求1-6之一不具备创造性时,权利要求11也不具备专利法第22条第3款规定的创造性。
对复审请求人相关意见的评述
对于复审请求人所陈述的相关意见(参见案由部分),合议组认为:(1)对比文件1是通过判断所述目标数据流的动作与所述目标数据流所述的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级,根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作,因而该技术方案整体上与本申请的方案框架相似,也是一种根据当前的某种行为数据与预设的画像的关系来进行的预警机制,同样简化了对当前行为进行安全处理的过程,具有较好的用户友好性。并且,本申请与对比文件1虽然存在多个区别技术特征,但这些区别技术特征之间并不存在紧密的关联关系,因而本领域技术人员可以对多个区别特征分别确定该方案所要解决的技术问题,再在现有技术中寻找解决这些技术问题的技术启示,而无需将所有区别特征捆绑在一起。(2)对比文件1公开的“通过判断所述目标数据流的动作与所述目标数据流所述的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级”实质上就是一个匹配的过程,而等级的划分必然涉及到了匹配程度的度量,至于具体的匹配程度与所采取的访问控制方式的设置,对比文件2已经公开了根据匹配程度对所述用户的访问控制系列表设置相应等级的锁;所述锁分为两个等级,其中一个等级为受限。并且,不论考察的信息的选取,还是访问控制方式的设置,本领域技术人员均可以根据需要,采用本领域中常见的信息类型或者访问控制类型,这都属于本领域的惯用手段(具体理由参见创造性的评述)。因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段而得到权利要求1的技术方案对于本领域技术人员而言是显而易见的。
综上,复审请求人的意见陈述不具有说服力。
基于上述事实和理由,合议组作出如下决定。
三、决定
维持国家知识产权局于2018年11月01 日对本申请作出的驳回决定。
如对本复审决定不服,根据专利法第41条第2款的规定,复审请求人可自收到本复审决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
