发明创造名称:一种基于网络的信息安全服务系统及方法
外观设计名称:
决定号:184356
决定日:2019-07-12
委内编号:1F272992
优先权日:
申请(专利)号:201510111955.9
申请日:2015-03-13
复审请求人:北京深思数盾科技股份有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:郑晓双
合议组组长:蒋彤
参审员:吴斌
国际分类号:H04L29/06
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:如果权利要求请求保护的技术方案与最接近的对比文件相比存在区别特征,但是现有技术中给出了将该区别特征应用于该最接近的对比文件以解决其存在的技术问题的启示,则该权利要求请求保护的技术方案不具备创造性。
全文:
本复审请求涉及申请号为201510111955.9,名称为“一种基于网络的信息安全服务系统及方法”的发明专利申请(下称本申请)。申请人为北京深思数盾科技股份有限公司。本申请的申请日为2015年03月13日,公开日为2015年05月27日。
经实质审查,国家知识产权局实质审查部门于2018年10月24日发出驳回决定,驳回了本申请,其理由是:权利要求1-10相对于对比文件1及本领域惯用手段的结合不具备专利法第22条第3款规定的创造性。驳回决定引用的对比文件为对比文件1:CN103825698A,公开日为2014年05月28日。驳回决定所依据的文本为:复审请求人于申请日2015年03月13日提交的说明书第1-27段(即第1-4页),说明书附图第1页,说明书摘要和摘要附图;于2018年07月11日提交的权利要求第1-10项。驳回决定所针对的权利要求书内容如下:
“1. 一种基于网络的信息安全服务系统,其特征在于,包括:
网络接口,其通过网络接收来自服务请求端的信息安全服务请求;
处理模块,其配置为对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,根据服务请求类型生成处理指令,并将所述待处理数据和所生成的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备,其配置为根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块,
其中,所述处理模块还配置为将所述经处理的数据通过所述网络接口发送给所述服务请求端。
2. 根据权利要求1所述的信息安全服务系统,其特征在于,所述信息安全服务请求包括数据加密请求或数据解密请求,所述对应的处理指令为加密指令或解密指令。
3. 根据权利要求1所述的信息安全服务系统,其特征在于,所述信息安全服务请求中包括多个待处理数据,所述处理指令包括分别与该多个待处理数据对应的多个处理指令。
4. 根据权利要求1所述的信息安全服务系统,其特征在于,所述信息安全设备中存储有用于所述信息安全处理的密钥和算法。
5. 根据权利要求1所述的信息安全服务系统,其特征在于,所述网络接口通过网络接收来自多个服务请求端的信息安全服务请求。
6. 一种基于网络的信息安全服务方法,其特征在于,包括:
由网络接口接收来自服务请求端的信息安全服务请求;
由处理模块对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,根据服务请求类型生成处理指令,并将所述待处理数据和所生成的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块;
所述处理模块将所述经处理的数据通过所述网络接口发送给所述服务请求端。
7. 根据权利要求6所述的信息安全服务方法,其特征在于,所述信息安全服务请求包括数据加密请求或数据解密请求,所述对应的处理指令为加密指令或解密指令。
8. 根据权利要求6所述的信息安全服务方法,其特征在于,所述信息安全服务请求中包括多个待处理数据,所述处理指令包括分别与该多个待处理数据对应的多个处理指令。
9. 根据权利要求6所述的信息安全服务方法,其特征在于,所述信息安全设备中存储有用于所述信息安全处理的密钥和算法。
10. 根据权利要求6所述的信息安全服务方法,其特征在于,所述网络接口通过网络接收来自多个服务请求端的信息安全服务请求。”
申请人(下称复审请求人)对上述驳回决定不服,于2019年02月01日向国家知识产权局提出了复审请求,同时提交了权利要求书的修改文本,对权利要求1、5、6、10进行了修改。复审请求人认为:对比文件1和本申请涉及不同的信息安全系统,对比文件1不存在本申请所要解决的技术问题,无法达成降低用户管理成本的目的;对比文件1中由请求端来决定对数据进行哪种安全处理、采用哪种加密算法及应用哪个密钥,处理指令由请求端提供,并且原封不动地转发给加密机,而本申请中用户只需发送待处理数据和服务请求类型,处理指令是由服务端解析用户请求后生成的,对用户而言无需关心信息安全处理的任何具体内容,因此也为用户提高了使用便利性并降低了管理成本。复审请求时提交的修改后的权利要求1、5、6、10的内容如下:
“1. 一种基于网络的信息安全服务系统,应用于云端,其特征在于,包括:
网络接口,其通过网络接收来自客户端的信息安全服务请求;
处理模块,其配置为对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,并且所述处理模块配置为根据服务请求类型生成对应的处理指令并将所述待处理数据和所生成的对应的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备,其配置为根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块,
其中,所述处理模块还配置为将所述经处理的数据通过所述网络接口发送给所述客户端。”
“5. 根据权利要求1所述的信息安全服务系统,其特征在于,所述网络接口通过网络接收来自多个客户端的信息安全服务请求。
6. 一种基于网络的信息安全服务方法,应用于云端,其特征在于,包括:
由网络接口接收来自客户端的信息安全服务请求;
由处理模块对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,根据服务请求类型生成对应的处理指令,并将所述待处理数据和所生成的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块;
所述处理模块将所述经处理的数据通过所述网络接口发送给所述客户端。”
“10. 根据权利要求6所述的信息安全服务方法,其特征在于,所述网络接口通过网络接收来自多个客户端的信息安全服务请求。”
经形式审查合格,国家知识产权局于2019年02月11日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中认为,修改后的权利要求1-10仍然不具备创造性,因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年04月19日向复审请求人发出复审通知书,复审通知书中引用的对比文件与驳回决定所引用的对比文件相同,即对比文件1。复审通知书所依据的文本为:复审请求人于申请日2015年03月13日提交的说明书第1-4页,说明书附图第1页,说明书摘要和摘要附图;于2019年02月01日提交的权利要求第1-10项。复审通知书中指出:权利要求1-10相对于对比文件1和本领域惯用手段的结合不具备专利法第22条第3款规定的创造性,同时对复审请求人提出的意见进行了答复。
复审请求人于2019年06月04日提交了意见陈述书和修改后的权利要求书,将从属权利要求4、9的附加特征分别加入到独立权利要求1、6中,删除从属权利要求4、9,形成修改后的权利要求1-8。修改后的权利要求书内容如下:
“1. 一种基于网络的信息安全服务系统,应用于云端,其特征在于,包括:
网络接口,其通过网络接收来自客户端的信息安全服务请求;
处理模块,其配置为对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,并且所述处理模块配置为根据服务请求类型生成对应的处理指令并将所述待处理数据和所生成的对应的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备,其配置为根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块,
其中,所述处理模块还配置为将所述经处理的数据通过所述网络接口发送给所述客户端,
所述信息安全设备中存储有用于所述信息安全处理的密钥和算法。
2. 根据权利要求1所述的信息安全服务系统,其特征在于,所述信息安全服务请求包括数据加密请求或数据解密请求,所述对应的处理指令为加密指令或解密指令。
3. 根据权利要求1所述的信息安全服务系统,其特征在于,所述信息安全服务请求中包括多个待处理数据,所述处理指令包括分别与该多个待处理数据对应的多个处理指令。
4. 根据权利要求1所述的信息安全服务系统,其特征在于,所述网络接口通过网络接收来自多个客户端的信息安全服务请求。
5. 一种基于网络的信息安全服务方法,应用于云端,其特征在于,包括:
由网络接口接收来自客户端的信息安全服务请求;
由处理模块对所述网络接口收到的信息安全服务请求进行解析获得待处理数据和服务请求类型,根据服务请求类型生成对应的处理指令,并将所述待处理数据和所生成的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备;
所述信息安全设备根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述处理模块;
所述处理模块将所述经处理的数据通过所述网络接口发送给所述客户端,
其中,所述信息安全设备中存储有用于所述信息安全处理的密钥和算法。
6. 根据权利要求5所述的信息安全服务方法,其特征在于,所述信息安全服务请求包括数据加密请求或数据解密请求,所述对应的处理指令为加密指令或解密指令。
7. 根据权利要求5所述的信息安全服务方法,其特征在于,所述信息安全服务请求中包括多个待处理数据,所述处理指令包括分别与该多个待处理数据对应的多个处理指令。
8. 根据权利要求5所述的信息安全服务方法,其特征在于,所述网络接口通过网络接收来自多个客户端的信息安全服务请求。”
复审请求人认为:(1)对比文件1中的密码安全代理模块在转发密码服务请求时只进行了策略检查,且未记载策略检查的具体内容,无法得出密码安全代理模块在对请求进行解析的过程中会获得待处理数据、服务请求类型及处理指令,因此密码安全代理模块只是将所述请求整体打包至密码安全服务器,而非仅将待处理数据和对应的处理指令重新打包成二进制数据包或处理为数据帧发送给管理模块;(2)对比文件1的方法用于金融机构内部的信息安全管理,请求端和服务器属于同一金融机构内部的不同单位,由于不同种类业务涉及的信息的加密等级要求不同,请求端必须对加密算法、密钥等进行明确规定,而本申请中是用户与提供安全服务的服务提供商之间的交互关系,用户无需关心加解密的具体实现方式,二者的核心区别在于不同的应用场景下为实现不同发明目的所需的数据传输内容和方式的差异,而不是客户端和服务器之间功能配置的调整问题;因此对比文件1中的密码安全代理模块不可能仅将待处理数据和对应的处理指令重新打包或处理为数据帧后发送给密码安全服务模块,否则密码安全服务模块将无法确定要采用何种算法及使用什么密钥来完成相应的加解密运算,即对比文件1提供了与本申请技术方案相偏离的技术启示;(3)对比文件1中用于数据加密处理的密钥和算法是直接包含在交易信息中的,即是由请求端决定对数据用哪个加密算法和密钥进行安全处理,加密机只是根据交易信息中记载的算法ID、密钥来调用对应的加密算法对加密请求中的数据进行加解密处理,并非根据其中存储的密钥和算法进行运算,因此对比文件1中没有公开“信息安全设备中存储用于所述信息安全处理的密钥和算法”。因此修改后的权利要求1-8具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出复审请求审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人在2019年06月04日提交了权利要求书的修改文本。经审查,上述修改文本的修改之处符合专利法第33条的规定。本复审请求审查决定所依据的文本为:复审请求人于申请日2015年03月13日提交的说明书第1-4页,说明书附图第1页,说明书摘要和摘要附图;于2019年06月04日提交的权利要求第1-8项。
(二)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定所引用的对比文件与驳回决定及2019年04月19日发出的复审通知书所引用的对比文件相同,即
对比文件1:CN103825698A,公开日为2014年05月28日。
1.独立权利要求1要求保护一种基于网络的信息安全服务系统,对比文件1公开了一种密码安全管理系统,并具体公开了如下特征(参见说明书第[0030]-[0125]段,图1-9):密码安全管理系统包括应用接口模块、密码安全代理模块、密码安全服务器和加密机;密码安全管理系统的具体组件包括SSL安全套接字应用编程接口组件和B/S安全组件,B/S安全组件包括客户端控件和服务器端组件;为了安全起见,要求JCE provider由密码安全服务平台提供,即服务器端的密码运算模块采用符合国密办要求的国产加密机实现,从而在最大限度上保证了密码运算和密钥管理的安全性,提高整个系统的可信度,同时又不影响原有系统的易用性及可操作性,能够完成用户和应用服务器之间的身份认证、关键数据加密等功能(相当于信息安全服务系统基于网络,用于客户端和服务端之间的信息安全服务);密码安全管理系统包括硬件设备层、抽象层和应用层;抽象层对上层应用开发接口屏蔽了底层密码设备的调用和实现细节,为上层应用程序提供加密设备所支持的所有功能,提供灵活方便的应用安全编程接口环境;应用层直接为应用系统开发人员提供各种标准的、为定制的密码运算编程接口和组件,以及密钥管理接口;硬件层整合多类加密机器设备,对系统中所应用的多类加密设备进行集中的配置、监控、启停等服务管理(所述系统通过对多个设备进行集中统一管理,为应用开发接口提供屏蔽了技术细节的抽象的服务支持,相当于应用于云端);应用接口模块将应用系统发送的加密请求转发至密码安全代理模块,所述加密请求包括加密算法ID、密钥、数据、数据长度、业务标识、指令等信息(相当于信息安全服务请求中包括待处理数据、服务请求类型和处理指令);密码安全代理模块运行在应用服务器上,主要负责接收应用系统的密码运算和密钥请求,把请求报文发送给密码安全服务器,然后把应答报文返回给应用系统(密码安全代理模块和应用接口模块共同构成了网络接口,其通过网络接收来自客户端的信息安全服务请求);密码安全代理模块的报文处理模块对收到的所述交易信息进行接收和解析,对交易信息进行策略检查,并将所述交易信息转发至密码安全服务器,所转发的交易信息的报文格式如下表所示,其中包括业务标识、数据、指令等(相当于处理模块对接收到的信息安全服务请求进行解析,获得待处理数据、服务请求类型和处理指令,并将所述待处理数据和对应的处理指令发送给信息安全设备);密码安全服务器中的密码运算模块调用加密机进行密码运算,加密机对交易数据进行加密处理(所述密码安全服务器和加密机共同构成了信息安全设备,根据所述处理指令对所述待处理数据进行信息安全处理)并将加密结果返回至所述密码安全服务器,密码安全服务器将所述加密结果转发至所述应用接口模块(必然需要通过密码安全代理模块转发);其中加密机内嵌的软件模块主要指密码运算软件库(相当于信息安全设备中存储有用于所述信息安全处理的算法),软件模块实现接收指令,完成相应的加解密运算再将运算结果返回;密码安全代理模块收到应答报文后发送给相应的请求端(相当于将经处理的数据返回给处理模块,通过所述网络接口发送至客户端)。
权利要求1与对比文件1相比,其区别在于:权利要求1中处理模块根据解析获得的服务请求类型生成对应的处理指令,将待处理数据和对应的处理指令重新打包成二进制数据包或处理为数据帧后发送给信息安全设备,且信息安全设备存储用于所述信息安全处理的密钥;而对比文件1中处理模块从信息安全服务请求中获取待处理数据和对应的处理指令并转发给信息安全设备,且所述密钥包括在所述信息安全服务请求中。基于上述区别,权利要求1实际解决的技术问题是:如何基于客户端的工作负担需求合理调整客户端和服务器的功能设置。
由于在客户端-服务器工作模式中,在双方各自负责完成的主要功能已经分配确定的情况下,具体的消息传输格式和内容可由双方共同商定,对传输信息的打包和解析、处理参数存储和选取等功能设置在客户端还是服务端是本领域技术人员可以根据实际需要进行的常规的技术选择,并不会影响双方主要功能的执行。比如,在客户端对服务器提供的服务没有特殊要求的情况下,主要考虑减轻客户端负担可将信息解析、具体指令生成及相关处理参数的存储、选用等功能设置在服务端,而在客户端对服务有具体要求的情况下,比如对处理参数有特定要求,则可由客户端配置包括相关处理参数的处理指令发送至服务端完成。因此,设置由客户端发送的请求消息仅包括基本请求,在服务端存储具体的处理参数,如密钥等,收到客户端请求消息后通过消息解析生成对应的处理指令后重新打包为二进制数据包或数据帧以做下一步处理,并在实际处理中直接使用服务端存储的密钥等处理参数,是本领域技术人员可以根据客户端对工作负担的实际需求而进行的常规设置,属于本领域惯用手段。在对比文件1公开内容的基础上结合本领域惯用手段,从而得到权利要求1要求保护的技术方案,对本领域技术人员来说是显而易见的。权利要求1不具备突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2. 权利要求2从属于权利要求1。对比文件1已经公开了密码安全服务器包括密码运算模块,其中又包括运算处理模块,能够根据密码运算请求类型实现公钥加/解密、私钥加/解密、对称密钥加/解密等功能;加密机内嵌软件模块接收指令,完成相应的加解密运算(参见说明书第[0030]-[0035]、[0052]-[0071]段)。因此权利要求2的附加特征已在对比文件1中公开。在其引用的权利要求不具备创造性的情况下,该从属权利要求也不具备创造性,不符合专利法第22条第3款的规定。
3. 权利要求3从属于权利要求1。对比文件1已经公开了加密请求包括数据、指令等信息(参见说明书第[0107]-[0114]段)。具体地,在需要对多个数据进行加解密处理的情况下,在请求中包括多个数据及指令,是本领域技术人员可以根据实际需要而采取的惯用手段。在其引用的权利要求不具备创造性的情况下,该从属权利要求也不具备创造性,不符合专利法第22条第3款的规定。
4. 权利要求4从属于权利要求1。对比文件1公开了如下特征(参见说明书第[0051]、[0056]、[0066]-[0070]段):为提高密码安全服务器与代理的通讯效率,密码安全管理系统可以使用两台密码安全服务器并行工作;应用程序接口模块兼容现有的各类接口标准;加密机本身包含多个运算处理模块,具有并行处理能力;加密机调度模块选择压力最小的密码设备,从而保证密码服务请求在最短时间内进行处理。即对比文件1中的系统被配置为接收和处理多个客户端的信息安全服务请求。在其引用的权利要求不具备创造性的情况下,该从属权利要求也不具备创造性,不符合专利法第22条第3款的规定。
5. 权利要求5-8要求保护一种基于网络的信息安全服务方法,与权利要求1-4要求保护的基于网络的信息安全服务系统一一对应。基于与权利要求1-4的评述类似的理由,权利要求5-8也不具备创造性,不符合专利法第22条第3款的规定。
(三)关于复审请求人的意见
针对复审请求人答复复审通知书时提出的意见,合议组认为:
(1)参照以上对权利要求1的评述,对比文件1中明确公开了密码安全代理模块接收到的信息安全服务请求包括数据、业务标识和指令,且密码安全代理模块的报文处理模块对收到的报文进行接收和解析,并转发给密码安全服务器,且转发的请求中也包括数据、业务标识和指令,由此可知所述处理模块对接收到的报文进行了解析,且将解析后的包括待处理数据和对应的处理指令的数据报文发送给了信息安全设备。对比文件1没有公开根据服务请求类型生成处理指令,且将待处理数据和对应的处理指令打包成二进制数据包或处理为数据帧后发送,这也是本申请和对比文件1的区别所在,在对权利要求1的评述中也对该区别进行了评述。
(2)对比文件1虽然是用于金融机构的信息安全管理,但也是通过在服务端为客户端提供统一标准的信息安全服务实现的,与本申请中客户端和服务器之间的交互关系是相同的;本申请的发明实质在于通过在服务端配备信息安全设备,对客户端发送的服务请求进行加解密处理,从而避免在客户端执行加解密功能带来的安全隐患或操作复杂等问题,这在对比文件1中已经公开;且对比文件1并没有限制请求端必须要对加密算法和密钥进行规定,也没有给出偏离的技术启示;客户端是否对加密算法、密钥等进行明确规定是由客户端的具体需求决定的,如果客户端对加密算法和密钥具有特殊要求,则可将具体要求配置在加解密请求消息中发送给服务端,如果没有特殊要求,则基于减轻客户端工作负担的考虑,可以仅发送简单的加解密请求消息,由服务端使用预设的算法和密钥进行加解密处理,这属于本领域公知的基于实际需求调整客户端和服务器功能的常规设计。
(3)参照以上对权利要求1的评述,对比文件1中已经公开信息安全设备中存储用于所述信息安全处理的算法,仅没有公开存储密钥。而在客户端对服务器提供的服务没有特殊要求的情况下,仅出于减轻客户端工作负担的考虑,在服务端存储具体的处理参数,如密钥等,收到客户端请求消息后直接使用服务端存储的密钥进行处理,是本领域技术人员可以根据实际需求而进行的常规设置,属于本领域惯用手段。
因此,合议组对复审请求人的意见不予接受。
三、决定
维持国家知识产权局于2018年10月24日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人自收到本决定之日起3个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
