发明创造名称:身份验证方法及装置
外观设计名称:
决定号:185372
决定日:2019-07-19
委内编号:1F265674
优先权日:
申请(专利)号:201310754440.1
申请日:2013-12-31
复审请求人:腾讯科技(深圳)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:冯慧萍
合议组组长:杨洁
参审员:唐宇希
国际分类号:G06F21/31,H04L12/58
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:权利要求与作为最接近的现有技术的一篇对比文件相比存在区别技术特征,其中一部分区别技术特征被其他对比文件公开且在该对比文件中所起到的作用与其在本申请中起到的作用相同,而另一部分区别技术特征属于本领域的公知常识,则该权利要求要求保护的技术方案对于本领域技术人员是显而易见的,不具备突出的实质性特点和显著的进步,不具备创造性。
全文:
本复审请求涉及申请号为201310754440.1,名称为“身份验证方法及装置”的发明专利申请(下称本申请)。申请人为腾讯科技(深圳)有限公司。本申请的申请日为2013年12月31日,公开日为2015年07月01日。
经实质审查,国家知识产权局原审查部门于2018年08月03日发出驳回决定,以权利要求1-8不具备专利法第22条第3款规定的创造性为由驳回了本申请,具体理由包括:权利要求1与对比文件1(CN1829983A,公开日2006年09月06日)的区别技术特征是:(1)所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;所述验证用户信息集合的用户信息除了包括头像信息还包括用户名称,不仅要判断被选中的头像信息所属的用户是否属于所述用户关系链,还需要判断被选中的头像信息与被选中的用户名称是否属于同一个用户,具体为:判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配;当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配;根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息。(2)当对用户名称和密码验证通过时,触发身份验证过程。上述区别技术特征(1)部分被对比文件3(CN103076959A,公开日2013年05月01日)公开,其余部分以及区别技术特征(2)属于本领域的公知常识,故而,权利要求1不具备专利法第22条第3款规定的创造性。从属权利要求2-3的附加特征部分被对比文件2(US2008/0148366A1,公开日2008年06月19日)公开,其余部分属于公知常识,权利要求4的附加特征属于公知常识,因此,权利要求2-4也不具备创造性。权利要求5-8是与权利要求1-4相对应的产品权利要求,基于与权利要求1-4相同的理由,权利要求5-8也不具备创造性。驳回决定所依据的文本为:申请日2013年12月31日提交的说明书摘要、说明书第1-148段、摘要附图、说明书附图1-11;2018年06月21日提交的权利要求第1-8项。驳回决定所针对的权利要求书如下:
“1. 一种身份验证方法,其特征在于,所述方法包括:
接收身份验证请求,所述身份验证请求携带指定用户标识;
根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的用户信息以及不属于所述用户关系链上的用户信息,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
提供所述验证用户信息集合;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配,身份验证通过;
当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配;
所述方法还包括:当对用户名称和密码验证通过时,触发身份验证过程。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当被选中的用户信息与所述用户关系链上的用户信息不匹配时,提示重新 验证,并再次执行获取验证用户信息集合的步骤。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
4. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,
当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,
当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。
5. 一种身份验证装置,其特征在于,所述装置包括:
验证请求接收模块,用于接收身份验证请求,所述身份验证请求携带指定用户标识;
用户信息集合获取模块,用于根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的用户信息以及不属于所述用户关系链上的用户信息,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
用户信息集合提供模块,用于提供所述验证用户信息集合;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断模块,用于判断被选中的用户信息与所述用户关系链上的用户信息是否匹配;
验证通过模块,用于当被选中的用户信息与所述用户关系链上的用户信息匹配时,确定身份验证通过;
其中,所述判断模块包括:
第一判断单元,用于判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
第一确定单元,用于当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配;
所述第一确定单元还用于当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配;
所述装置还用于当对用户名称和密码验证通过时,触发身份验证过程。
6. 根据权利要求5所述的装置,其特征在于,所述装置还包括:
重新验证模块,用于当被选中的用户信息与所述用户关系链上的用户信息不匹配时,提示重新验证,并再次执行获取验证用户信息集合的步骤。
7. 根据权利要求6所述的装置,其特征在于,所述装置还包括:
所述验证请求接收模块还用于当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
8. 根据权利要求5所述的装置,其特征在于,所述装置还用于当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年11月12日向国家知识产权局提出了复审请求,同时提交了修改后的权利要求书,将原权利要求2,6以及说明书的部分内容补入到权利要求1,5中,并调整了权利要求的序号。复审请求人认为:①对比文件1与权利要求1的发明构思不同,对比文件1中的方案“注册信息是与用户有关系的信息,可以是长时间接触的人员”并不是由电子设备执行,而是由电子设备的用户在指定用户信息时执行。在用户根据需求指定好用户信息和非用户信息后,对于电子设备来说,其执行的动作仅是接收用户指定的用户信息并加以存储,接收用户指定的非用户信息并加以存储,该电子设备可以将用户信息和非用户信息区分开,但无法获知用户信息的具体内容。即使用户指定了用户常用的物体、长时间接触的人员等多种信息作为用户信息,该电子设备仍然无法将这些信息区分开,也无法识别哪些是长时间接触的人员,因此该电子设备并未存储用户的用户关系链,也无法从多种用户信息中确定用户关系链上的用户信息。即使用户可以指定多种信息作为用户信息,但这些信息均不能体现用户本身与这些信息之间双向的关系。因此该用户信息不能相当于用户关系链,相应地,非用户信息也不能相当于不是从用户关系链中选择的信息。②权利要求1与对比文件1相比,其区别技术特征有:用户标识的分配、发送身份验证请求、根据用户关系链确定用户信息集合、根据点击顺序获取对应的待验证信息、确定信息是否匹配等,权利要求1所保护的技术方案解决的技术问题为:如何准确进行身份验证,以提高身份验证的安全性。③对比文件3中应用于屏幕解锁时,而且可以提取多种联系方式,因此可以直接地、毫无疑义地确定,对比文件3应用于对电子设备进行屏幕解锁的过程,且该过程由电子设备的操作系统执行,而不是由电子设备上安装的某一应用执行。对比文件3是从本端的通信簿中提取联系人的属性信息,而该通信簿不能表示联系人与电子设备之间的双向的关系,不能确定联系人与本端用户互为好友,而且该通信簿是电子设备本身设置的通信簿,而不是电子设备所登录的、具备管理用户关系链功能的应用中维护的用户关系链,因此不能相当于所注册应用中的用户关系链,从通信簿中选择的联系人信息不能相当于从所注册应用中的用户关系链中选择的好友信息。且并未设置不属于用户联系人的干扰项。本领域技术人员很容易想到将多个用户已知信息中的各项信息打乱顺序或者将未预先设定的信息作为干扰项,而很难想到以用户关系链为基准,从用户关系链中选取用户信息作为待验证信息,并将不属于用户关系链的用户信息作为干扰项。复审请求时新修改的权利要求书如下:
“1. 一种身份验证方法,其特征在于,所述方法包括:
接收身份验证请求,所述身份验证请求携带指定用户标识;
根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的用户信息以及不属于所述用户关系链上的用户信息,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
提供所述验证用户信息集合;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配,身份验证通过;
当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配;
所述方法还包括:当对用户名称和密码验证通过时,触发身份验证过程。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当被选中的用户信息与所述用户关系链上的用户信息不匹配时,提示重新 验证,并再次执行获取验证用户信息集合的步骤。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
4. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,
当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,
当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。
5. 一种身份验证装置,其特征在于,所述装置包括:
验证请求接收模块,用于接收身份验证请求,所述身份验证请求携带指定用户标识;
用户信息集合获取模块,用于根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的用户信息以及不属于所述用户关系链上的用户信息,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
用户信息集合提供模块,用于提供所述验证用户信息集合;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断模块,用于判断被选中的用户信息与所述用户关系链上的用户信息是否匹配;
验证通过模块,用于当被选中的用户信息与所述用户关系链上的用户信息匹配时,确定身份验证通过;
其中,所述判断模块包括:
第一判断单元,用于判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
第一确定单元,用于当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配;
所述第一确定单元还用于当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配;
所述装置还用于当对用户名称和密码验证通过时,触发身份验证过程。
6. 根据权利要求5所述的装置,其特征在于,所述装置还包括:
重新验证模块,用于当被选中的用户信息与所述用户关系链上的用户信息不匹配时,提示重新验证,并再次执行获取验证用户信息集合的步骤。
7. 根据权利要求6所述的装置,其特征在于,所述装置还包括:
所述验证请求接收模块还用于当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
8. 根据权利要求5所述的装置,其特征在于,所述装置还用于当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。”
经形式审查合格,国家知识产权局于2018年11月19日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为,(1)对比文件2公开了(参见说明书第[0195]-[0216]段,图5A-6D):所述服务器对所述指定用户标识和密码验证通过后向终端发送授权标识,发送所述身份验证请求;对比文件1(参见说明书第6页第2-4段)公开了第二预设数目小于第三预设数目;对比文件3公开了(参见说明书第[0055]段):多个头像信息和多个用户名称,隐含公开了错乱次序显示;对比文件2和对比文件3都隐含公开了重新验证,再次执行获取验证用户信息集合的步骤,重新获取的验证信息集合与上一次获取的验证信息集合所包含的用户信息不完全相同;在本领域,用户名是在注册应用时由用户指定还是服务器分配,验证失败后,提示重新验证,属于公知常识;验证请求由服务器发起还是由终端发起,属于常规选择。为了账号的安全性,在某些特殊情况,例如在某个终端首次登陆时,增加验证强度,如进行二次验证,属于惯用手段。对比文件1公开了(参见说明书第7页第3段,图3)用户端访问认证系统管理端时,用户输入正确的访问信息后,通过正确项和干扰项组成的注册信息来对用户进行二次验证。对比文件3公开了(参见说明书第[0052],[0055],[0059],[0073]段,图3):以随机的方式从通讯簿的密友群组中提取多个联系人的照片、姓名,供用户匹配,如果匹配成功,则解锁。虽然对比文件3中没有干扰项,但是对比文件1中有干扰项,通过对比文件1和对比文件3的结合,本领域技术人员能够得到通过包括正确项和干扰项的照片、姓名,供用户匹配。对比文件3中的密友群组也属于用户关系链,只是不是应用中的用户关系链。对比文件1、对比文件3与本申请的主要区别在于本申请的身份验证方法是用于应用登录的,但是三者都是利用终端的真实用户了解用户关系链而其他用户不了解用户关系链的特点,对用户进行身份验证。并且对比文件2公开了(参见权利要求1,说明书第[0007]-[0016],[0115],[0167],[0195]-[0216]段,图2,5A-6D):社交网络服务是基于计算机的应用程序,以帮助应用程序的用户管理他们与应用程序的其他用户的关系;要求用户将他们的登录ID和凭证提供给web客户端,web客户端将这些发送给应用程序,例如LinkedIn和Facebook,使用密码作为登录认证凭证;本发明将传统的基于密码的认证与基于图像的新型认证系统相结合,社交网络服务应用程序将间隔地挑战用户不仅提供他们的密码,还正确地识别系统的一个或多个其他用户;链接表包括一组一个或多个记录,每条记录代表从一个用户到另一个用户的链接,链接类型:该列的值可以是“朋友”;在步骤218,线程将使用包括基本认证参数的表单的网页回复客户端,其中用户可以填写他们的用户名和密码,其意图是一旦用户用登录填写该表单id和密码,然后Web客户端将使用这些字段向应用程序发送后续请求,当由图5A-5B的流程图的步骤236调用时,该组件中的每个线程在步骤302开始处理,步骤302,线程将从应用程序组件检索登录id并呈现web客户端的凭证,步骤316,线程将确定测试图像是否可用于向该用户显示;从源数据集合中检索与所述用户有关系的其他用户的相片集合和名字集合,从相片集合中选择相片子集,将所述相片子集发送给客户端以显示给的所述用户,接收所述用户输入的名字响应。可见,对比文件2公开了应用的用户关系链,并且用户输入用户名和密码后,服务器再返回用户关系链中的图像给用户进行验证。对比文件2同样在注册的应用中利用应用服务器会为指定用户标识维护用户关系链,终端的真实用户了解用户关系链而其他用户不了解用户关系链的特点,对用户进行二次验证。并且,在C/S、B/S架构中,用户登录应用时通过服务器对用户进行身份验证,属于本领域的常见场景,本领域技术人员能够将现有的身份验证方案应用到该场景中。在本领域,用户在触摸屏上选中两组数据之间的对应关系时,通过一前一后的两次顺序点击或者通过连线之类的滑动操作的起点和终点来确定一组对应关系属于惯用手段。因而坚持原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年04月02日向复审请求人发出复审通知书,指出:对比文件2是与本申请最接近的现有技术,权利要求1与对比文件2之间的区别技术特征在于:①用户标识为注册应用时由服务器分配,终端向服务器发送身份验证请求,或者终端确定当前登录的指定用户标识未包含在当前终端的历史登录用户标识中时,向服务器发送身份验证请求;②验证信息集合还包括不属于用户关系链上的第三预设数目的用户信息,并且第二预设数目小于第三预设数目,按错乱次序显示所述验证用户信息集合中的多个头像信息和多个用户名称;③根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;验证用户信息集合的用户信息除多个头像外还包括多个用户名称,判断被选中的头像信息与被选中的用户名称是否属于同一个用户,属于同一用户是验证通过的条件,不属于同一个用户是验证不通过的条件;再次获取验证用户信息时,获取的验证信息集合与上一次获取的验证信息集合所包含的用户信息不完全相同。基于上述区别技术特征,权利要求1实际解决的技术问题是:①如何确定注册用户的用户标识、以及由终端发出身份验证请求;②使用干扰项提高验证的安全性、以及如何显示验证信息; ③如何确定用户关联了显示的用户信息,以及使用用户头像和名称的对应作为验证条件。上述区别技术特征①属于本领域的公知常识,区别技术特征②被对比文件1公开,区别技术特征③部分被对比文件3公开,其余部分属于公知常识,故而,权利要求1不具备专利法第22条第3款规定的创造性。从属权利要求2的部分特征被对比文件2公开,其余特征以及从属权利要求3的附加特征属于公知常识,故而,权利要求2-3也不具备创造性。权利要求4-6是与方法权利要求1-3相对应的产品权利要求,基于与权利要求1-3相同的理由,权利要求4-6也不具备专利法第22条第3款规定的创造性。
关于复审请求人的陈述意见,合议组认为:①对比文件2为最接近本申请的现有技术。对比文件2与本申请都是在社交网络软件中结合了用户名、密码的常规登录方式以及从该用户的用户关系链中选择的相关用户信息来对用户进行认证。对比文件2的用户关系链由服务器进行保存、管理以及挑选并呈现给用户,同样利用了真正的用户了解其关系链的其他用户,而其他用户不了解这些用户因而很难冒充的特点,这与本申请的发明构思是一致的。②关于区别技术特征的认定,权利要求1已进行了详细认定。③首先,对比文件2和对比文件1均为认证的方法,其次,对比文件3尽管是用于屏幕的解锁,但是本领域技术人员能够理解,在解锁屏幕时进行的也是用户的身份验证过程,因为未知的用户不能随意使用解锁后的设备。第三,关于用户关系链,对比文件2已公开了相关内容,都是利用关系链上的内容辅助用户的登录,提高了用户验证的安全性。同时,对比文件1在用户信息中加入了干扰项,而对比文件3公开了头像和名称的对应以及在数量上可以是不对称的,即也存在一定的干扰功能。
复审请求人于2019年05月14日提交了意见陈述书,以及修改后的权利要求书(包括权利要求第1-6项),在独立权利要求1,4中增加了对用户信息的具体限定。复审请求人认为:①对比文件2没有公开将其他用户作为干扰项以提高验证的复杂度,其获取到的用户ID是与正在验证的用户ID属于同一个群组的用户ID,但这些用户ID并不一定是与正在验证的用户ID具有双向关系的用户ID。对比文件2没有公开指定用户标识为用户在注册某一应用时由服务器分配,则该服务器为与该应用关联的服务器。权利要求1触发身份验证过程的时机,包括以下两种:第一种、服务器对指定用户标识和密码验证通过后向终端发送授权标识时;第二种、所述终端确定当前登录的所述指定用户标识未包含在当前终端的历史登录用户标识中时。对比文件2未公开按错乱次序显示多个头像和用户名称、将一对头像和用户名获取为一对待验证信息、判断选中的头像和用户名称是否属于同一个用户是否属于用户关系链;对比文件2没有公开重新验证的步骤,仅公开了在进行身份验证时引入图像,增加所验证的信息量,但是未公开在对用户名和密码进行身份验证之外进行二次验证。对比文件2仅是公开了身份验证失败时,统计身份验证失败次数,但未公开具体如何进行重新验证。如何获取到不同的验证信息也是一个技术难点,本领域技术人员即使想到了要获取不同的验证信息,也不容易想到这些技术细节。②对比文件1中的“注册信息是与用户有关系的信息,可以是长时间接触的人员”并不是由电子设备执行,而是用户在指定用户信息时执行。在用户根据需求指定好用户信息和非用户信息后,对于电子设备来说,其执行的动作仅是接收用户指定的用户信息并加以存储,接收用户指定的非用户信息并加以存储,该电子设备可以将用户信息和非用户信息这两种类型的用户信息区分开,但无法获知用户信息的具体内容,该电子设备并未存储用户的用户关系链。③对比文件3是从本端的通信簿中提取联系人的属性信息,而该通信簿不能表示联系人与电子设备之间的双向的关系,不能确定联系人与本端用户互为好友,从通信簿中选择的联系人信息不能相当于从所注册应用中的用户关系链中选择的好友信息。对比文件3仅是将多个联系人的照片和姓名互为干扰项,但并未设置不属于用户联系人的干扰项,因此对比文件3提高了验证通过的概率。而且,对比文件3没有公开当没有正确匹配时重新提取联系人的属性信息来进行身份验证。
2019年05月14日提交的权利要求书如下:
“1. 一种身份验证方法,其特征在于,所述方法包括:
接收身份验证请求,所述身份验证请求携带指定用户标识,其中,所述指定用户标识为用户在注册某一应用时由服务器分配,所述服务器对所述指定用户标识和密码验证通过后向终端发送授权标识,所述终端向所述服务器发送所述身份验证请求,或者,所述终端确定当前登录的所述指定用户标识未包含在当前终端的历史登录用户标识中时,向所述服务器发送所述身份验证请求;
根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的第二预设数目的用户信息以及不属于所述用户关系链上的第三预设数目的用户信息,所述第二预设数目小于所述第三预设数目,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述验证用户信息集合中的多个用户信息的用户名称不同,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
按错乱次序显示所述验证用户信息集合中的多个头像信息和多个用户名称;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配,身份验证通过;
当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一 个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配,提示重新验证,并再次执行获取验证用户信息集合的步骤,重新获取的验证信息集合与上一次获取的验证信息集合所包含的用户信息不完全相同,所述重新获取的验证用户信息集合的用户信息包括头像信息和用户名称,所述重新获取的验证用户信息集合中的多个用户信息的用户名称不同。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
3. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,
当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,
当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。
4. 一种身份验证装置,其特征在于,所述装置包括:
验证请求接收模块,用于接收身份验证请求,所述身份验证请求携带指定用户标识,其中,所述指定用户标识为用户在注册某一应用时由服务器分配,所述服务器对所述指定用户标识和密码验证通过后,或者,所述终端确定当前登录的所述指定用户标识未包含在当前终端的历史登录用户标识中时,向终端发送授权标识,所述终端向所述服务器发送所述身份验证请求;
用户信息集合获取模块,用于根据所述指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从所述用户关系链上选择的第二预设数目的用户信息以及不属于所述用户关系链上的第三预设数目的用户信 息,所述第二预设数目小于所述第三预设数目,所述验证用户信息集合的用户信息包括头像信息和用户名称,所述验证用户信息集合中的多个用户信息的用户名称不同,所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用于表示所述多个用户标识与所述指定用户标识之间的双向的关系;
用户信息集合提供模块,用于按错乱次序显示所述验证用户信息集合中的多个头像信息和多个用户名称;
根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;
判断模块,用于判断被选中的用户信息与所述用户关系链上的用户信息是否匹配;
验证通过模块,用于当被选中的用户信息与所述用户关系链上的用户信息匹配时,确定身份验证通过;
其中,所述判断模块包括:
第一判断单元,用于判断被选中的头像信息与被选中的用户名称是否属于同一个用户、且所述同一个用户是否属于所述用户关系链;
第一确定单元,用于当被选中的头像信息与被选中的用户名称属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配;
所述第一确定单元还用于当被选中的头像信息与被选中的用户名称不属于同一个用户、且所述同一个用户属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配,触发重新验证模块;
所述重新验证模块,用于提示重新验证,并再次执行获取验证用户信息集合的步骤,重新获取的验证信息集合与上一次获取的验证信息集合所包含的用户信息不完全相同,所述重新获取的验证用户信息集合的用户信息包括头像信 息和用户名称,所述重新获取的验证用户信息集合中的多个用户信息的用户名称不同。
5. 根据权利要求4所述的装置,其特征在于,所述装置还包括:
所述验证请求接收模块还用于当验证失败且当前验证次数大于预设次数时,忽略预设时间段内接收到的对所述指定用户信息的身份验证请求。
6. 根据权利要求4所述的装置,其特征在于,所述装置还用于当检测到预设时间段内登录频率大于预设频率时,触发身份验证过程;或,当检测到当前登录所使用的用户名称和密码不匹配时,触发身份验证过程;或,当检测到当前登录的用户名称未包含在当前终端的历史登录用户名称中时,触发身份验证过程。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在答复复审通知书时提交了权利要求书全文修改替换页,经审查,所作修改符合专利法第33条以及专利法实施细则第61条第1款的规定。本复审决定所依据的审查文本为:2019年05月14日提交的权利要求第1-6项、申请日2013年12月31日提交的说明书摘要、说明书第1-148段、摘要附图、说明书附图1-11。
专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
权利要求与作为最接近的现有技术的一篇对比文件相比存在区别技术特征,其中一部分区别技术特征被其他对比文件公开且在该对比文件中所起到的作用与其在本申请中起到的作用相同,而另一部分区别技术特征属于本领域的公知常识,则该权利要求要求保护的技术方案对于本领域技术人员是显而易见的,不具备突出的实质性特点和显著的进步,不具备创造性。
本决定所引用的对比文件与驳回决定及复审通知书所引用的对比文件相同,即:
对比文件1:CN1829983A,公开日2006年09月06日;
对比文件2:US2008/0148366A1,公开日2008年06月19日;
对比文件3:CN 103076959A,公开日2013年05月01日。
其中,对比文件2为最接近的现有技术。
(2.1)权利要求1
权利要求1要求保护一种身份验证方法,对比文件2公开了一种在社交网络服务中认证的系统和方法,包括:典型的社交网络服务,用户需要向web客户端提供他们的登录ID(相当于指定用户标识为用户注册某一应用时分配)以及凭证,例如LinedIn以及Facebook,使用密码作为登录凭证(相当于密码),本发明结合了传统的基于密码的认证与基于图像的新型认证系统,社交网络服务应用程序挑战用户不仅提供密码还需要正确识别一个或多个系统中的其他用户,这些用户与用户具有链接关系(参见说明书第[0014]-[0016]段)。
社交网络服务器包括应用18、认证组件20、地址服务器22、关系数据库24、用户通过操作客户端软件能够与web应用服务器通过HTTP等协议相互作用(参见图1、说明书第[0104]-[0111]段)。关系数据库服务器组件24包括一软件组件,该软件组件包括:链接表88包括一个或多个记录的集合,每一条记录表示一个用户与其他用户的链接关系,链接表的关键字段包括USERID CREATOR、USERID TRARGET、LINK TYPE,其中LINK TYPE的值可以是“朋友”、“同事”(参见说明书第[0144]、[0167]-[0170]段)。
应用组件18包括一个或多个控制线程,参照图5A和5B,步骤232中,线程分析web客户端发出的参数响应请求,其包括用户名、凭证或一组图像认证问题的答案。如果线程不包括响应参数,继续到步骤218,在步骤218线程将使用包括基本认证参数的表单网页回复客户端,从中用户可以填写他们的用户名和密码,其意图是一旦用户填写登录ID及密码,web客户端将其作为请求发送给应用程序(相当于接收身份验证请求,该请求携带指定用户标识)。如果线程包括响应参数,则步骤236中线程将上述参数提供给认证组件20(即服务器)并等待组件响应。如果响应表示错误,步骤242中线程返回错误页面。否则(相当于服务器对用户标识和密码验证通过后向终端发送授权标识),步骤244中线程将认证标记置为TRUE,返回到主界面(参见说明书第[0194]段)。
当由图5A和图5B的步骤236调用时,该认证组件20的每个线程从步骤302开始。步骤302,线程找回登录ID以及凭证,步骤316,线程确定测试图像是否可用于向该用户显示,线程将指示数据库服务器24检索群组成员表102以获得以该用户为成员的群组列表,并检索该群组成员列表获取该群组的其他成员用户ID(相当于根据指定用户标识的用户关系链,获取验证用户信息集合,所述验证用户信息集合包括从用户关系链上选择的第二预设数目的用户信息,以及所述指定用户标识的用户关系链包含多个用户标识以及每个用户标识对应的用户信息,用户标识所述多个用户标识与所述指定用户标识之间的双向的关系)。认证组件使用发现的每个用户ID检索图像表格86,从该图像表格中构造存储记录集。步骤332中,线程从记录集中获取包含至少一个图像的子集(相当于所述验证用户信息集合的用户信息包括头像信息)。步骤334,线程将等待客户端的响应或预定时间到达,步骤342比较web客户端提供的名字以及供显示用户的记录(参见说明书第[0196]-[0202]段、图6B)。
对于每个图像,认证组件比较web客户端请求为该图像所提供的名字文本串以及每个用户识别出的别名。用户需要为其识别出的每个用户提供匹配的姓名。如果没有充分的匹配(相当于判断选中的头像是否属于用户关系链),线程将执行步骤384。否则在步骤362更新图像,然后执行步骤366,线程响应应用组件确定web客户端浏览社交网络服务器应用程序的主页面(相当于当被选中的头像信息属于所述用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息匹配,身份验证通过,参见说明书第[0205]段、图6C)。
步骤384中线程更新图像(当被选中的头像信息不属于用户关系链时,确定被选中的用户信息与所述用户关系链上的用户信息不匹配,提示重新验证,并再次执行获取验证用户信息集合的步骤),步骤386,线程更新无效凭证计数,如果当前用户的认证失败次数小于最大可尝试次数则执行步骤376,否则执行步骤390。步骤确定显示给用户的测试图像是否有效,步骤394给出无效凭证,然后在步骤396锁定用户(参见说明书第[0211]-[0216]段、图6D)
由此可知,权利要求1与对比文件2之间的区别技术特征在于:①用户标识为注册应用时由服务器分配,终端向服务器发送身份验证请求,或者终端确定当前登录的指定用户标识未包含在当前终端的历史登录用户标识中时,向服务器发送身份验证请求;②验证信息集合还包括不属于用户关系链上的第三预设数目的用户信息,并且第二预设数目小于第三预设数目,按错乱次序显示所述验证用户信息集合中的多个头像信息和多个用户名称;③验证信息集合的多个用户信息的用户名称不同;根据用户的点击顺序,将一前一后被点击的头像信息和用户名称获取为一对待验证信息;或,根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证信息;验证用户信息集合的用户信息除多个头像外还包括多个用户名称,判断被选中的头像信息与被选中的用户名称是否属于同一个用户,属于同一用户是验证通过的条件,不属于同一个用户是验证不通过的条件;再次获取验证用户信息时,获取的验证信息集合与上一次获取的验证信息集合所包含的用户信息不完全相同,所述重新获取的验证用户信息集合的用户信息包括头像信息和用户名称,结合中的多个用户信息名称不同。
基于上述区别技术特征,权利要求1实际解决的技术问题是:①如何确定注册用户的用户标识、以及由终端发出身份验证请求;②使用干扰项提高验证的安全性、以及如何显示验证信息; ③如何确定用户关联了显示的用户信息,以及使用用户头像和名称的对应作为验证条件。
关于上述区别技术特征①,如前所述对比文件2已经公开了用户名、密码以及用户关系链中选择的图像结合的二次验证,而验证请求的发送可以由终端发送也可以由服务器根据设定条件自行启动,发送验证请求的时机可以结合实际需要而确定,例如发现新用户的登录、或者用户多次登录失败时或每次用户登录时等等,对于用户标识特别是由服务器提供服务的应用程序而言,由服务器分配用户标识是本领域的惯用手段,故而,上述区别技术特征①属于本领域的公知常识。
关于上述区别技术特征②,对比文件1公开了一种使用记录媒体的个人认证方法和使用记录媒体的个人认证系统,具体包括(说明书第4页第3-10行、第7页第7行-第8页第11行、第9页第13-26行):使用记录媒体的个人认证系统,具有:访问信息比较判定装置,当用户候选人输入访问信息时,确认该访问信息是在用户认证中从记录媒体提供给用户候选人的访问信息;注册信息显示装置,其基于从访问信息判定装置生成的确认信号,输出在注册信息记录装置中记录的注册信息;用户信息判定装置,其对从显示的注册信息中选择的输入用户信息与用于认证的已记录的用户信息进行比较;和认证信号生成装置,基于用户信息判定装置的认证判定,生成认证信号至电子设备中,通过记录媒体进行认证。可使用用户未知的任何信息单元作为非用户信息。优先选用只有用户可将其与用户信息区分,而第三者无法将其与用户信息区分的信息作为非用户信息。由用户信息和非用户信息组成的注册信息,必须由至少一个用户信息的单元和至少一个非用户信息的单元组成。比较好地是,注册信息由至少两个用户信息的单元(相当于用户关系链上选择的第二预设数目的用户信息)和至少四个非用户信息的单元(相当于不属于用户关系链的第三预设数目的用户信息,第二预设数目小于第三预设数目)组成。用户已知的用户信息可使用视觉信息如相片、图片、图像和字符等,优先选择与物体相关的信息,如人员。在任何一种平行显示和顺序显示中,优先选用用户信息和非用户信息的位置不固定的方法(相当于按照错乱次序显示用户信息集合中的多个信息)。由此可知,上述区别技术特征②已被对比文件1公开,对比文件1还公开了按照错乱次序显示用户信息,并且,都是起到了增加干扰信息以及打乱次序提高验证安全性的效果,因此给出了将其结合到对比文件2以解决其实际要解决的技术问题的启示,且在对比文件1公开的上述内容基础上,将用户信息的全部内容按照次序错乱显示是本领域技术人员容易想到的。
关于上述区别技术特征③,对比文件3公开了一种电子设备及其屏幕解锁方法,具体包括(参见说明书第[0048]-[0061]段、图3D):信息调用模块1124会调用通信簿113中的一条或多条联系人信息,所述每条联系人信息至少包括联系人姓名1131,以及联系人照片1132和/或联系方式1133等联系人的属性数据。所述多条联系人信息是从所述预定的联系人群组中提取。例如,所述联系人信息可以被预先设定为从用户的家庭群组中提取,这样非用户的家庭成员将会很难正确解锁所述用户的电子设备100的屏幕。信息调用模块1124从存储单元201,特别是其中的通信簿113中提取的联系人信息的属性值包括照片以及姓名。所述提取的联系人照片及姓名分别称之为第一属性值与第二属性值(相当于验证用户信息集合的用户信息除多个头像外还包括多个用户名称,由图3D可以看出该验证用户信息集合中的多个用户名称不同),所述第一属性值与第二属性值在数量上是不对应或非对称的。当这些联系人信息的不同属性值以所述可视化的方式显示于屏幕102后,用户可对所显示的内容进行操作,在本实施方式中即以触摸的方式对照片(图标)和姓名(图标)进行匹配。例如,用户可用手指300“按”住照片图标1132a,然后移动手指300至用户确认正确的姓名相对应的姓名图标1131a、1131b或1131c并松开手指300(相当于根据用户的滑动操作,将所述滑动操作的起点和终点分别对应的头像信息和用户名称获取为一对待验证的信息),如图3E所示。动作识别模块1121会识别出用户的匹配操作(步骤S204),同时,确认模块1122确认用户所移动的照片图标1132a与其所部分覆盖的姓名图标1131a、1131b或1131c的对应关系是否与通信簿113中所存储的对应关系一致(步骤S205),如果一致,则确认模块1123判定用户的匹配正确(相当于判断被选中的头像信息与被选中的用户名称是否属于同一个用户,如果是则身份验证通过),否则判定为不正确。如果至少有一张照片没有与对应的姓名正确匹配(相当于当被选中的头像信息与被选中的用户名称不属于同一个用户确定被选中的用户信息与用户关系链上的用户信息不匹配),触摸屏102维持锁定状态。由此可知,上述区别技术特征③基本被对比文件3公开,并且均实现了提供用户头像和名称用于进行身份验证,使用滑动的方式确认关联的用户头像和名称的效果。而对比文件2已经公开了重新验证的步骤,本领域技术人员可以在此基础上重新获取需要的验证信息,例如包括头像和用户名称,并且为实现更为有效的验证,重新验证步骤中再次获取的验证信息通常与上次验证不完全相同,这属于本领域的公知常识。
综上所述,在对比文件2的基础上,结合对比文件1、对比文件3以及本领域的公知常识已得到权利要求1所要求保护的技术方案对于本领域技术人员而言是是显而易见的,权利要求1不具备突出的实质性特点和显著的进步,不具备创造性,不符合专利法第22条第3款的规定。
(2.2)权利要求2-3
权利要求2对权利要求1作了进一步限定,对比文件2还公开了(参见说明书第209,216段,图6D):如果当前用户的认证失败次数小于最大可尝试次数,则进行步骤376;否则进行步骤380,对用户给出无效凭证的响应,并且进行步骤396,锁定用户账号,在管理员解除锁定之前用户不能继续访问应用(当验证失败且验证次数大于预设次数时,忽略对所述指定用户信息的身份验证请求)。而本领域技术人员可以根据实际需要确定忽略的具体时间段,故而,在其引用的权利要求1不具备创造性的情况下权利要求2也不具备创造性,不符合专利法第22条第3款的规定。
权利要求3对权利要求1作了进一步限定,其附加技术特征对触发验证的条件进行进一步限定,而具体的验证触发条件可以根据实际需要来设定,特别是多重验证的情况下,例如是检测到用户试图频繁登录、登录失败、或首次登录时,具体的验证触发条件属于本领域的公知常识,故而,在其引用的权利要求1不具备创造性的情况下权利要求3也不具备创造性,不符合专利法第22条第3款的规定。
(2.3)权利要求4-6
权利要求4-6是与方法权利要求1-3相对应的产品权利要求。基于与权利要求1-3相同的理由,权利要求4-6也不具备专利法第22条第3款规定的创造性。
对复审请求人相关意见的评述
复审请求人的陈述意见详见案由部分。
合议组认为:①对于不在用户关系链上的用户,参见权利要求1的具体评述,对比文件1公开了在用户认证时可以加入用户未知的信息,并且同样达到了更好的区分用户,避免偷窃者的目的。对比文件2公开了典型的社交网络需要向web客户端提供登录ID以及凭证,例如LinedIn以及Facebook,使用密码作为凭证。可以理解这些登录ID是应用关联的服务器所许可并进行管理,由服务器分配用户ID属于本领域的公知常识。对比文件2中服务器获取的用户ID与该用户属于同一个群组,即对比文件2公开了获取的用户ID与该用户具有双向关系,且该双向关系是由服务器提供并管理的。关于身份验证的时机,对比文件2第[0194]段公开了:“如果会话已被认证,线程执行请求。如果会话没有被认证,线程解析来自web客户端的响应参数,其包括用户名和凭证”。即对比文件2公开了会话需要对用户输入的用户名和密码进行验证通过后再执行线程请求,而本领域技术人员能够理解一个会话(session)是终端用户在客户端和服务器建立交互的基础,对比文件2与本申请均为首先验证用户名和密码,二者的顺序是一致的。而对于触发身份验证时机的第二种并列方式:指定用户标识未包含在当前终端的历史登录用户标识中时。这属于常见的一种登录情况,例如用户首次登录或使用新设备等情况下没有历史数据的情况下,本领域技术人员可以结合实际需要来确定是否在这种情况下进行身份验证,属于本领域的公知常识。关于错乱显示,对比文件1公开了:“优先选用用户信息和非用户信息的位置不固定的方法”,即对比文件1公开了显示次序并非是固定的,而是打乱顺序的,并且,本领域技术人员也容易理解,在需要用户选择界面显示的信息时,使用按照某种顺序的方式容易使用户偷窃成功。关于一对验证信息的获取以及用户信息匹配的判断,对比文件3公开了:“以触摸的方式对照片(图标)和姓名(图标)进行匹配。例如,用户可用手指300“按”住照片图标1132a,然后移动手指300至用户确认正确的姓名相对应的姓名图标1131a、1131b或1131c并松开手指300”、“确认模块1122确认用户所移动的照片图标1132a与其所部分覆盖的姓名图标1131a、1131b或1131c的对应关系是否与通信簿113中所存储的对应关系一致(步骤S205),如果一致,则确认模块1123判定用户的匹配正确,否则判定为不正确。如果至少有一张照片没有与对应的姓名正确匹配,触摸屏102维持锁定状态”,因此,对比文件3公开了头像和姓名这一对信息的获取方式与权利要求1是相同的,并且公开了对头像与姓名是否匹配的判断。关于重新验证,首先,本申请重新获取验证信息根据说明书的记载是“再次执行获取验证信息集合的步骤”,即本申请重新验证主要参考了首次验证信息的获取步骤,其次,对比文件2不仅公开了身份验证次数的统计,还开了可以多次进行验证,尽管其并没有明确说明重新更新图像的具体内容,但是本领域技术人员容易理解,如果多次验证均使用同样的信息则很容易造成在不熟悉干扰项的情况下也顺利通过验证,因此,由服务器提供的验证通常在每次验证中采用不一样的图像(例如现有各个网站的数字验证码、各种图像验证等),并且由于验证信息是由服务器自动选择的,因此,在非特意的情况下通常验证信息的也并不完全相同。②如前所述,对比文件2的用户关系链由服务器进行保存、管理以及挑选并呈现给用户,同样利用了真正的用户了解其关系链的其他用户,而其他用户不了解这些用户因而很难冒充的特点,这与本申请的发明构思是一致的。而对比文件1中的电子设备同时存储了用户信息与非用户信息,可以选择二者中的部分提供给用户进行认证。③关于用户关系链,对比文件2已公开了相关内容,利用服务器的数据库选择与用户同属于同一个群组的其他用户,这表示其他用户与用户之间具有相互关联性,这种认证方式提高了用户验证的安全性。关于干扰项的设置,对比文件1公开了在用户信息中加入了干扰项即非用户信息,而对比文件3公开了头像和名称的对应以及在数量上可以是不对称的,即也存在一定的干扰功能。
综上所述,复审请求人的陈述意见不予支持。
三、决定
维持国家知识产权局于2018年08月03日对本申请作出的驳回决定。
如对本复审决定不服,根据专利法第41条第2款的规定,复审请求人可自收到本复审决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
