发明创造名称:一种用于用户身份认证的方法和装置
外观设计名称:
决定号:187647
决定日:2019-07-17
委内编号:1F271485
优先权日:
申请(专利)号:201310252777.2
申请日:2013-06-24
复审请求人:阿里巴巴集团控股有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:庞艳
合议组组长:罗芳洁
参审员:郑杰
国际分类号:H04L9/32
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:如果要求保护的技术方案相对于最接近的对比文件存在区别特征,但现有技术中给出了将上述区别特征应用到该最接近的对比文件以解决其存在的技术问题的启示,这种启示使本领域技术人员在面对所述技术问题时,有动机改进该最接近的对比文件并获得要求保护的技术方案,则该技术方案是显而易见的,不具备创造性。
全文:
本复审请求审查决定涉及申请号为201310252777.2,名称为“一种用于用户身份认证的方法和装置”的发明专利申请(下称本申请)。本申请的申请人为阿里巴巴集团控股有限公司。本申请的申请日为2013年06月24日,公开日为2014年12月24日。
经实质审查,国家知识产权局实质审查部门于2018年10月08日发出驳回决定,以本申请的权利要求1-13不符合专利法第22条第3款规定的创造性为由驳回了本申请。驳回决定所依据的文本为:申请人于2018年06月07日提交的权利要求第1-13项,申请日2013年06月24日提交的说明书第1-74段(即第1-9页)、说明书附图第1-3页、说明书摘要和摘要附图。驳回决定引用了1篇对比文件,即对比文件1:GB2481663A,公开日为2012年01月04日。驳回的具体理由是:本申请的权利要求1-13相对于对比文件1和本领域公知常识的结合不具备创造性。驳回决定所针对的权利要求书的内容如下:
“1. 一种用于用户身份认证的方法,其特征在于,包括步骤:
在服务器端生成验证码,并将所述验证码发送给需要用户身份认证的业务的应用场景中的设备;
在需要用户身份认证的业务的应用场景中向用户直接显示所述验证码;
在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码;
接收由所述用户通过所述应用场景以外的其他应用向所述服务器发送的所显示的验证码;
将来自所述用户的验证码与所述服务器生成的验证码进行比对;以及
当来自所述用户的验证码与所述服务器生成的验证码相同时,将用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对;以及
当用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符相同时,确定通过身份认证。
2. 根据权利要求1所述的方法,其特征在于,所述根据比对结果确定是否通过身份验证的步骤进一步包括:
当来自所述用户的验证码与所述服务器生成的验证码相同时,确定通过身份认证。
3. 根据权利要求1或2所述的方法,其特征在于,所述需要用户身份认证的业务的应用场景是网页或客户端应用。
4. 根据权利要求1所述的方法,其特征在于,所述其他应用是能够向所述服务器发送消息的应用,所述消息中包括所述所显示的验证码。
5. 根据权利要求4所述的方法,其特征在于,所述其他应用是短消息 应用,并且所述消息是短消息。
6. 根据权利要求1所述的方法,其特征在于,所述其他应用是短消息应用,所述消息是短消息,并且所述用户标识符是手机号码或电话号码。
7. 根据权利要求1所述的方法,其特征在于,所述验证码是随机数。
8. 一种用于用户身份认证的装置,其特征在于,包括:
生成模块,用于在服务器端生成验证码,并将所述验证码发送给需要用户身份认证的业务的应用场景中的设备;
显示模块,用于在需要用户身份认证的业务的应用场景中向用户显示所述验证码;及
在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码;
接收模块,用于接收由所述用户通过所述应用场景以外的其他应用向所述服务器发送的所显示的验证码;
比对模块,用于将来自所述用户的验证码与所述服务器生成的验证码进行比对;以及
确定模块,用于根据比对结果确定是否通过身份认证;
所述确定模块进一步包括:
用户标识符比对子模块,用于当来自所述用户的验证码与所述服务器生成的验证码相同时,将用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对;以及
第二确定子模块,用于当用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符相同时,确定通过身份认证。
9. 根据权利要求8所述的装置,其特征在于,所述确定模块进一步包括:
第一确定子模块,用于当来自所述用户的验证码与所述服务器生成的验证码相同时,确定通过身份认证。
10. 根据权利要求8或9所述的装置,其特征在于,所述需要用户身份认证的业务的应用场景是网页或客户端应用。
11. 根据权利要求8所述的装置,其特征在于,所述其他应用是能够向所述服务器发送消息的应用,所述消息中包括所述所显示的验证码。
12. 根据权利要求11所述的装置,其特征在于,所述其他应用是短消息应用,并且所述消息是短消息。
13. 根据权利要求8所述的装置,其特征在于,所述其他应用是短消息应用,所述消息是短消息,并且所述用户标识符是手机号码或电话号码。”
申请人(下称复审请求人)对上述驳回决定不服,于2019年01月17日向国家知识产权局提出了复审请求,同时修改了权利要求书,在权利要求1和8中均增加了特征“在服务器端生成的验证码为动态验证码”。复审请求人主要认为:本申请中的验证码在一次身份验证流程中是与当前需要进行身份验证的业务场景绑定的,而对比文件1中发挥与业务场景绑定作用的是设备地址信息项,对比文件1的验证信息项用于验证编码信息是否真实,与用户身份验证并无关系,而且对比文件1的验证信息项必须包含于编码后的信息项中,不属于动态更新的验证码。因此本申请中的验证码与对比文件1中的验证信息项不能等同。复审请求时新修改的权利要求1、8的内容如下:
“1. 一种用于用户身份认证的方法,其特征在于,包括步骤:
在服务器端生成验证码,并将所述验证码发送给需要用户身份认证的业务的应用场景中的设备;在服务器端生成的验证码为动态验证码;
在需要用户身份认证的业务的应用场景中向用户直接显示所述验证码;
在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码;
接收由所述用户通过所述应用场景以外的其他应用向所述服务器发送的所显示的验证码;
将来自所述用户的验证码与所述服务器生成的验证码进行比对;以及
当来自所述用户的验证码与所述服务器生成的验证码相同时,将用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对;以及
当用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符相同时,确定通过身份认证。”
“8. 一种用于用户身份认证的装置,其特征在于,包括:
生成模块,用于在服务器端生成验证码,并将所述验证码发送给需要用户身份认证的业务的应用场景中的设备;在服务器端生成的验证码为动态验证码;
显示模块,用于在需要用户身份认证的业务的应用场景中向用户显示所述验证码;及
在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码;
接收模块,用于接收由所述用户通过所述应用场景以外的其他应用向所述服务器发送的所显示的验证码;
比对模块,用于将来自所述用户的验证码与所述服务器生成的验证码进行比对;以及
确定模块,用于根据比对结果确定是否通过身份认证;
所述确定模块进一步包括:
用户标识符比对子模块,用于当来自所述用户的验证码与所述服务器生成的验证码相同时,将用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对;以及
第二确定子模块,用于当用于发送所述消息的其他应用的用户标识符与在服务器端注册的用户标识符相同时,确定通过身份认证。”
经形式审查合格,国家知识产权局于2019年01月30日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中认为复审请求人陈述的理由不具备说服力,因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年04月10日向复审请求人发出复审通知书,此次复审通知书所依据的文本为:复审请求人于2019年01月17日提交的权利要求第1-13项,于申请日2013年06月24日提交的说明书第1-9页、说明书附图第1-3页、说明书摘要和摘要附图。此次复审通知书引用的对比文件与驳回决定所引用的对比文件相同,即对比文件1。合议组在复审通知书中指出:本申请的权利要求1-13相对于对比文件1和本领域惯用手段的结合不具备专利法第22条第3款规定的创造性。同时合议组对复审请求人的意见进行了答复。
复审请求人于2019年05月24日提交了意见陈述书,未修改申请文件。复审请求人主要认为:(1)对比文件1用户进行登录的方式不是在登录界面输入密码信息,中间人不会通过克隆页面获取密码信息,也就不存在安全问题,其技术方案在保证用户登录服务器时的安全性上不涉及验证信息项的使用。对比文件1的验证信息项用于证明GO312是真实的,即其中的地址信息确实是计算设备10的地址信息,验证信息项的作用并不是进行身份认证,其与参考信息项比对一致不能说明用户通过了身份认证。(2)对比文件1的验证信息项理论上可以是固定不变的,其周期性的更新,不必然指服务器每次下发的验证信息项都是新生成的,即验证信息项与当前登录场景不是唯一绑定关系。(3)对比文件1的验证信息项必须编码后下发,不能明文下发,否则中间人可以进行伪造,对比文件1公开的字符串实际上也是加密信息,没有实际语义,因此验证信息项对用户依然不可见。(4)对比文件1中验证信息项的比对工作仅能由移动装置或服务器二者择一执行,不存在都执行的情况。因此,对比文件1中的验证信息项与本申请的动态验证码的作用不同、生成机制不同、下发方式不同、比对主体不同,二者不能等同。因此复审请求人认为本申请的权利要求1-13具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出复审请求审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人提出复审请求时修改了权利要求书。本复审请求审查决定依据的审查文本为:复审请求人于2019年01月17日提交的权利要求第1-13项,于申请日2013年06月24日提交的说明书第1-9页、说明书附图第1-3页、说明书摘要和摘要附图。经审查,上述文本在复审阶段的修改之处符合专利法第33条的规定。
(二)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定引用的对比文件与复审通知书和驳回决定所引用的对比文件相同,即
对比文件1:GB2481663A,公开日为2012年01月04日。
1.权利要求1请求保护一种用于用户身份认证的方法,对比文件1公开了一种处理编码后的信息的方法和系统,并具体公开了如下技术特征(参见说明书第1页第6行-第24页第32行,图1-3):计算设备10(相当于需要用户身份认证的业务的应用场景中的设备)接收并显示网页信息,网页信息包括“登录”页面,并包括编码后的信息项312,该信息项在该示例中是图形对象(GO),特别是“快速应答”(QR)代码。GO 312包括GO地址信息项。GO地址信息项包括其上显示GO 312或通过其显示GO 312的计算机设备10的地址。GO 312还可以包括第一服务器设备(FSID)信息项,用于允许移动装置标识与GO 312关联的第一服务器设备14。GO 312还可以包括验证信息项,用于允许图形对象的验证以确保这不是假的。一个或多个验证信息项(相当于验证码)由第一服务器设备14生成,并且所述一个或多个验证信息项的副本被保留第一服务器设备14的存储器142中(相当于在服务器端生成验证码,由于在计算设备10中进行显示,相当于将验证码发送给需要用户身份认证的业务的应用场景中的设备,向用户直接显示所述验证码)。GO 312由移动装置12获得,应用从获得的GO 312解码编码后的信息,装置12的用户必须向第一服务器设备14注册,以允许用户利用第一服务器设备14所提供的服务。在解码所获得的GO 312之后,应用准备第一消息314,并传送到第一服务器设备14。使用第一服务器设备14的地址将第一消息314发送到第一服务器设备14。第一消息314包括第一信息部分,第一信息部分包括DID信息项或UID信息项。第一消息214还包括第二信息部分,第二信息部分包括GO地址信息项。第一消息还可以包括验证信息项(计算设备显示登录页面即应用场景,移动装置的应用向第一服务器设备传送第一消息即所述应用场景以外的其他应用,因此相当于接收由用户通过所述应用场景以外的其他应用向服务器发送所显示的验证码)。第一服务器设备14针对存储器142中存储的参考信息项来检查验证信息项(相当于将来自用户的验证码与服务器生成的验证码进行比对),如果存在参考信息项和验证项之间的一致,则第一服务器设备14可针对在注册用户的数据库中存储的信息来检查UID或DID信息,以建立用户的身份(相当于比对相同时,将用于发送消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对)。在建立用户的身份之后,第一服务器设备14使得用户登录他们的账户(相当于在用户标识符比对相同时确定通过身份认证)。在一些实施例中,可通过更新验证项,来周期性地改变编码后的信息项312(相当于验证码是动态的)。
由此可见,权利要求1与对比文件1相比,区别在于:在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码。基于上述区别特征,该权利要求的技术方案实际要解决的技术问题为:如何引导用户进行身份认证。
然而,在网络身份认证领域,当需要用户采用某种方式输入需要验证的信息时,通常都会采用提示用户的方式,以便于引导用户的下一步操作,这是本领域的惯用手段;因此为了引导用户进行身份认证,本领域技术人员有动机采用提示用户这一手段。从而在对比文件1的基础上结合本领域惯用手段得到权利要求1的技术方案对本领域技术人员来说是显而易见的,权利要求1不具备突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2. 权利要求2引用权利要求1,其附加技术特征进一步限定了如何确定认证通过。然而如上所述,对比文件1公开了(参见说明书第15页第10行-第17页第20行):第一服务器设备14针对存储器142中存储的参考信息项来检查验证信息项,如果存在参考信息项和验证项之间的一致,则第一服务器设备14可针对在注册用户的数据库中存储的信息来检查UID或DID信息,以建立用户的身份;在建立用户的身份之后,第一服务器设备14使得用户登录他们的账户。而为了进一步简便认证过程,仅通过比对验证码就通过身份认证是本领域的惯用手段。因此当其引用的权利要求不具备创造性时,权利要求2也不具备专利法第22条第3款规定的创造性。
3. 权利要求3进一步限定了应用场景。然而对比文件1公开了(参见说明书第13页第20-25行):网页信息包括“登录”页面;而客户端应用也是本领域常见的需要认证身份的场景。因此当其引用的权利要求不具备创造性时,权利要求3也不具备专利法第22条第3款规定的创造性。
4. 权利要求4的附加技术特征被对比文件1公开(参见说明书第15页第5行-第17页第20行):GO 312由移动装置12获得,应用从获得的GO 312解码编码后的信息,在解码所获得的GO 312之后,应用准备第一消息314,并传送到第一服务器设备14(相当于其他应用是能够向服务器发送消息的应用)。使用第一服务器设备14的地址将第一消息314发送到第一服务器设备14。第一消息314包括第一信息部分,第一信息部分包括DID信息项或UID信息项。第一消息214还包括第二信息部分,第二信息部分包括GO地址信息项。第一消息还可以包括验证信息项(相当于消息中包括所显示的验证码)。因此当其引用的权利要求不具备创造性时,权利要求4也不具备专利法第22条第3款规定的创造性。
5. 权利要求5的附加技术特征进一步限定了其他应用。然而短消息是移动装置中很常见的一种可以发送消息到服务器的应用。因此当其引用的权利要求不具备创造性时,权利要求5也不具备专利法第22条第3款规定的创造性。
6. 权利要求6的附加技术特征进一步限定了其他应用和用户标识符。然而短消息是移动装置中很常见的一种可以发送消息到服务器的应用。对比文件1还公开了(参见说明书第9页第20-30行):第一服务器设备14可存储与移动装置12相关的装置标识(DID)信息项。该DID信息项可包括例如装置的电话号码,因此用户标识符是手机号码或电话号码已经被对比文件1公开。因此当其引用的权利要求不具备创造性时,权利要求6也不具备专利法第22条第3款规定的创造性。
7. 权利要求7的附加技术特征进一步限定了验证码。然而随机数是本领域常见的验证码的形式。因此当其引用的权利要求不具备创造性时,权利要求7也不具备专利法第22条第3款规定的创造性。
8. 权利要求8请求保护一种用于用户身份认证的装置,对比文件1公开了一种处理编码后的信息的方法和系统,并具体公开了如下技术特征(参见说明书第1页第6行-第24页第32行,图1-3):计算设备10(相当于需要用户身份认证的业务的应用场景中的设备)接收并显示网页信息,网页信息包括“登录”页面,并包括编码后的信息项312,该信息项在该示例中是图形对象(GO),特别是“快速应答”(QR)代码。GO 312包括GO地址信息项。GO地址信息项包括其上显示GO 312或通过其显示GO 312的计算机设备10的地址。GO 312还可以包括第一服务器设备(FSID)信息项,用于允许移动装置标识与GO 312关联的第一服务器设备14。GO 312还可以包括验证信息项,用于允许图形对象的验证以确保这不是假的。一个或多个验证信息项(相当于验证码)由第一服务器设备14生成,并且所述一个或多个验证信息项的副本被保留第一服务器设备14的存储器142中(相当于在服务器端生成验证码,由于在计算设备10中进行显示,相当于将验证码发送给需要用户身份认证的业务的应用场景中的设备,向用户直接显示所述验证码)。GO 312由移动装置12获得,应用从获得的GO 312解码编码后的信息,装置12的用户必须向第一服务器设备14注册,以允许用户利用第一服务器设备14所提供的服务。在解码所获得的GO 312之后,应用准备第一消息314,并传送到第一服务器设备14。使用第一服务器设备14的地址将第一消息314发送到第一服务器设备14。第一消息314包括第一信息部分,第一信息部分包括DID信息项或UID信息项。第一消息214还包括第二信息部分,第二信息部分包括GO地址信息项。第一消息还可以包括验证信息项(计算设备显示登录页面即应用场景,移动装置的应用向第一服务器设备传送第一消息即所述应用场景以外的其他应用,因此相当于接收由用户通过所述应用场景以外的其他应用向服务器发送所显示的验证码)。第一服务器设备14针对存储器142中存储的参考信息项来检查验证信息项(相当于将来自用户的验证码与服务器生成的验证码进行比对),如果存在参考信息项和验证项之间的一致,则第一服务器设备14可针对在注册用户的数据库中存储的信息来检查UID或DID信息,以建立用户的身份(相当于比对相同时,将用于发送消息的其他应用的用户标识符与在服务器端注册的用户标识符进行比对)。在建立用户的身份之后,第一服务器设备14使得用户登录他们的账户(相当于在用户标识符比对相同时确定通过身份认证)。在一些实施例中,可通过更新验证项,来周期性地改变编码后的信息项312(相当于验证码是动态的)。
由此可见,权利要求8与对比文件1相比,区别在于:(1)在所述应用场景中或所述应用场景以外的其他应用中显示提示信息,所述提示信息用于提示所述用户通过所述应用场景以外的其他应用向所述服务器发送所显示的验证码;(2)装置包括各功能模块。基于上述区别特征,该权利要求的技术方案实际要解决的技术问题为:如何引导用户进行身份认证,以及如何构造装置。
然而,对于区别(1),在网络身份认证领域,当需要用户采用某种方式输入需要验证的信息时,通常都会采用提示用户的方式,以便于引导用户的下一步操作,这是本领域的惯用手段;因此为了引导用户进行身份认证,本领域技术人员有动机采用提示用户这一手段。对于区别(2),采用功能模块实现方法以构成装置是本领域的惯用手段。从而在对比文件1的基础上结合本领域惯用手段得到权利要求8的技术方案对本领域技术人员来说是显而易见的,权利要求8不具备突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
9.从属权利要求9-13的附加技术特征与权利要求2-6的特征相对应,基于类似的理由,且采用模块单元完成对应功能为本领域的惯用手段,在其引用的权利要求不具备创造性的情况下,权利要求9-13也不具备专利法第22条第3款规定的创造性。
(三)关于复审请求人的意见
对于复审请求人在答复复审通知书时提出的意见,合议组认为:(1)对比文件1正是为了防止欺诈者以克隆身份的方式非法探出用户名密码,采用了用户进行登录时不在登录界面输入密码信息的手段,其通过采用“带外”验证的方式来解决安全问题,这与本申请采用上行短信来发送验证码以避免用户密码被骗取的实质是相同的。对比文件1的验证信息项是在计算设备显示登录页面需要用户进行身份验证时生成的,用于证明GO312是真实的,并没有具体记载用于证明其中的地址信息确实是计算设备10的地址信息这一内容,在对比文件1中,验证信息项最终也是为了保证用户身份认证时的安全性,在经过与服务器保存的参考信息项比对一致后才允许登录,这与本申请中比对来自用户的验证码和服务器生成的验证码也是相同的。(2)对比文件1的验证信息项是在计算设备显示登录页面需要用户进行身份验证时生成的,可见该验证信息项也与当前的登录这一应用场景是对应的,同样属于绑定关系的一种;对比文件1也公开了验证信息项是周期更新的,本领域技术人员可以理解,周期更新的验证码也是动态验证码的一种;本申请的权利要求中并没有限定服务器每次下发的验证信息项都是新生成的,且即便将本申请的动态验证码限定为一次口令,本领域技术人员也知晓,一次一密是用户身份验证时很常见的用于进一步提高安全性的手段。(3)本申请的权利要求中没有具体限定动态验证码不需要进行编码或加密,且本领域技术人员熟知,动态验证码一般都是一串字符,同样对用户而言没有实际语义,这与编码或加密过的字符效果也是一样的。(4)参见对比文件1说明书第17页第1段和第22页第2段:在第一消息包括验证信息项时,第一服务器设备针对存储的参考信息项来检验验证信息项;应该了解,当编码信息项包括验证信息项时,由第一服务器设备执行验证,而不是由移动装置12来执行验证。可见,在第一消息包括验证信息项时,对比文件1中是需要在服务器端进行验证的,并不是复审请求人所认为的二者选一的情况。由此可见,对比文件1的验证信息项同样实现了保证用户登录场景的安全性、同样可以是周期变化的、同样由服务器生成、下发和比对,因此对比文件1中的验证信息项相当于本申请的动态验证码。因此合议组对复审请求人的主张不予支持。
三、决定
维持国家知识产权局于2018年10月08日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人自收到本决定之日起3个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
