发明创造名称:一种身份认证的方法及系统
外观设计名称:
决定号:200305
决定日:2019-12-26
委内编号:1F304681
优先权日:
申请(专利)号:201210052166.9
申请日:2012-03-01
复审请求人:盛趣信息技术(上海)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:贾煜
合议组组长:平彧
参审员:刘琼艳
国际分类号:H04L9/32,H04L29/06
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:如果一项权利要求请求保护的技术方案与作为最接近的现有技术的对比文件的一个具体实施例公开的技术方案相比存在区别特征,上述区别特征部分被该对比文件的其他实施例公开,或是本领域的公知常识,且现有技术中给出了将上述区别特征应用到所述最接近的对比文件中以解决其技术问题的技术启示,则该权利要求请求保护的技术方案不具有突出的实质性特点和显著的进步,因而不具备创造性。
全文:
本复审请求审查决定涉及申请号为201210052166.9,名称为“一种身份认证的方法及系统”的发明专利申请(下称本申请)。申请人为盛趣信息技术(上海)有限公司。本申请的申请日为2012年03月01日,公开日为2013年09月11日。
经实质审查,国家知识产权局实质审查部门于2018年08月03日发出驳回决定,驳回了本申请,其理由是:权利要求1-16相对于对比文件1和本领域的惯用手段的结合不具备专利法第22条第3款规定的创造性。驳回决定所依据的文本为:2018年04月16日提交的权利要求第1-16项;申请日2012年03月01日提交的说明书第1-168段(即第1-15页),说明书附图第1-5页,说明书摘要,摘要附图。
驳回决定中引用的对比文件为:
对比文件1:US2011219427A1,公开日为2011年09月08日。
驳回决定所针对的权利要求书内容如下:
“1. 一种身份认证方法,其特征在于,所述方法包括步骤:
A、授信移动终端获取二维码;
B、通过移动终端的二维码识别技术对获取的二维码进行解码,获得二维码中所包含的业务信息,所述业务信息包含业务登录时所需的业务名称、登录时间、登录地址;
C、移动终端将获得的业务信息和移动终端密钥发送到身份认证服务器,身份认证服务器对业务信息和移动终端密钥进行认证,身份认证服务器包括业务校验网关和身份校验模块,业务校验网关认证业务信息和对应业务的一致性,身份校验模块认证移动终端密钥和用户账户的一致性;
D、身份认证服务器认证成功后,将业务信息和用户账户信息发送给业务服务器,业务服务器完成所述用户在该服务器上的账户登录,执行相关业务操作。
2. 根据权利要求1所述的方法,其特征在于,所述步骤C具体包括:
C11、移动终端将获得的业务信息和移动终端密钥发送给业务校验网关;
C12、业务校验网关认证业务信息和对应业务的一致性;
C13、业务校验网关认证成功后,将移动终端密钥发送给身份校验模块;
C14、身份校验模块认证移动终端密钥和用户账户的一致性。
3. 根据权利要求1所述的方法,其特征在于,所述步骤C具体包括:
C21、移动终端将获得的业务信息和移动终端密钥发送给身份校验模块;
C22、身份校验模块认证移动终端密钥和用户账户的一致性;
C23、身份校验模块认证成功后,将业务信息发送给业务校验网关;
C24、业务校验网关认证业务信息和对应业务的一致性。
4. 根据权利要求1所述的方法,其特征在于,所述步骤C具体包括:
移动终端将业务信息发送给业务校验网关,以及将移动终端密钥发送给身份校验模块;业务校验网关认证业务信息和对应业务的一致性,身份校验模块认证移动终端密钥和用户账户一致性。
5. 根据权利要求1、2、3或4所述的方法,其特征在于,步骤A前进一步包括:
用户终端向业务服务器发送二维码登录请求,业务服务器将业务登录的相关信息发送给二维码生成模块,二维码服务器根据业务登录的相关信息即时生成相对应的二维码图片,并将二维码图片发送给用户终端显示。
6. 根据权利要求1、2、3或4所述的方法,其特征在于,所述方法进一步包括:
对二维码进行加密;
则步骤B为:
移动终端获得加密的业务信息;
步骤C中进行所述认证之前进一步包括:
将接收到的加密的业务信息解密,得到业务信息。
7. 根据权利要求1、2、3或4所述的方法,其特征在于,所述的业务信息为:
业务名称、登录时间和登录地址。
8. 根据权利要求1、2、3或4所述的方法,其特征在于,
所述的业务登录信息和授信密钥通过HTTPS的方式加密发送。
9. 一种身份认证系统,其特征在于,所述系统包括:
业务服务器、授信移动终端和身份认证服务器;
授信移动终端,用于获取二维码,通过移动终端的二维码识别技术对获取的二维码进行解码,获得二维码中所包含的业务信息,将获得的业务信息和移动终端密钥发送给身份认证服务器;
身份认证服务器,用于接收授信移动终端发送的业务信息和移动终端密钥,进行业务信息和移动终端密钥的认证,将身份认证结果发送给业务服务器;
业务服务器,用于接收身份认证服务器发送的业务信息和用户账户信息,根据接收的信息完成所述用户在该服务器上的账户登录。
10. 根据权利要求9所述的系统,其特征在于,所述身份认证服务器包括业务校验网关和身份校验模块:
业务校验网关用于接收授信移动终端发送的业务信息和移动终端密钥,认证业务信息和业务的一致性,认证通过后,将移动终端密钥发送给身份校验模块;
身份校验模块用于接收业务校验网关发送的移动终端密钥,认证移动终端密钥和用户账户的一致性,认证通过后,将用户账户信息发送给业务校验网关。
11. 根据权利要求9所述的系统,其特征在于,所述身份认证服务器包括业务校验网关和身份校验模块:
身份校验模块用于接收授信移动终端发送的业务信息和移动终端密钥,认证移动终端密钥和用户账户的一致性,认证通过后,将业务信息发送给身份校验模块;
业务校验网关用于接收身份校验模块发送的业务信息,认证业务信息和业务的一致性,认证通过后,将业务信息发送给身份校验模块。
12. 根据权利要求9所述的系统,其特征在于,所述身份认证服务器包括业务校验网关和身份校验模块:
业务校验网关用于接收授信移动终端发送的业务信息,认证业务信息和业务的一致性,认证通过后,将业务信息发送给业务服务器;
身份校验模块用于接收授信移动终端发送的移动终端密钥,认证移动终端密钥和用户账户的一致性,认证通过后,将用户信息发送给业务服务器。
13. 根据权利要求9、10、11或12所述的系统,其特征在于,所述身份认证服务器进一步包括:
二维码生成模块,用于生成二维码,发送到业务服务器。
14. 根据权利要求9、10、11或12所述的系统,其特征在于,
所述移动终端为手机。
15. 一种身份认证服务器,其特征在于,所述服务器包括:
业务校验网关和身份校验模块;
业务校验网关用于接收业务信息,认证业务信息和业务的一致性,认证成功后,将业务信息发送出去;
身份校验模块用于接收移动终端密钥,验证移动终端密钥和用户账户的一致性,认证成功后,将用户账户信息发送出去。
16. 根据权利要求15所述的装置,其特征在于,所述装置进一步包括二维码生成模块:
二维码生成模块用于根据业务信息生成二维码,将业务名称、登录时间和登录地址等业务信息包含在二维码中,发送出去。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年11月19日向国家知识产权局提出了复审请求,并提交了权利要求书的全文修改替换页。复审请求人修改了独立权利要求1,将其中的步骤A修改为“A、对二维码进行加密,授信移动终端获取二维码”,将步骤B中从二维码中获取的“业务信息”限定为“加密的业务信息”,在步骤B中增加了技术特征“加密的业务信息需要业务方进行认证密码信息与对应业务密钥一致”,同时根据独立权利要求1的修改删除了从属权利要求6中重复限定的特征。复审请求人在复审请求书中提出:1)对比文件1没有公开对二维码加密以及身份认证服务器进行认证的过程,上述区别实际解决的技术问题也没有被对比文件1和公知常识公开;2)对已有的验证技术的选择和步骤的顺序安排的组合方式,就是本申请的创造性贡献。
复审请求人在提出复审请求时提交的修改后的独立权利要求1及从属权利要求6的内容如下:
“1. 一种身份认证方法,其特征在于,所述方法包括步骤:
A、对二维码进行加密,授信移动终端获取二维码;
B、通过移动终端的二维码识别技术对获取的二维码进行解码,获得二维码中所包含的加密的业务信息,所述业务信息包含业务登录时所需的业务名称、登录时间和登录地址,加密的业务信息需要业务方进行认证密码信息与对应业务密钥一致;
C、移动终端将获得的业务信息和移动终端密钥发送到身份认证服务器,身份认证服务器对业务信息和移动终端密钥进行认证,身份认证服务器包括业务校验网关和身份校验模块,业务校验网关认证业务信息和对应业务的一致性,身份校验模块认证移动终端密钥和用户帐户的一致性;
D、身份认证服务器认证成功后,将业务信息和用户账户信息发送给业务服务器,业务服务器完成所述用户在该服务器上的账户登录,执行相关业务操作。”
“6. 根据权利要求1、2、3或4所述的方法,其特征在于,所述方法进一步包括:
步骤C中进行所述认证之前进一步包括:
将接收到的加密的业务信息解密,得到业务信息。”
经形式审查合格,国家知识产权局于2018年11月22日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年01月28日向复审请求人发出复审通知书,本复审通知书所依据的文本为:复审请求人于2018年11月19日提交的权利要求第1-16项;于申请日2012年03月01日提交的说明书第1-15页,说明书附图第1-5页,说明书摘要,摘要附图。复审通知书引用与驳回决定相同的对比文件,即对比文件1。复审通知书指出:权利要求1-16相对于对比文件1的一个实施例和本领域的惯用手段的结合或相对于对比文件1的两个具体实施例和本领域的惯用手段的结合不具备专利法第22条第3款规定的创造性。复审通知书中还对复审请求意见进行了回应:1)对比文件1已经公开了本申请的发明构思,同时为了防止二维码被恶意窃取或篡改,保证二维码信息的传输和使用安全,对二维码中包含的信息进行加密以确保信息安全是本领域的公知常识,权利要求1的评述过程中引用的多篇公知常识性证据均可佐证;2)二维码加密/解密、身份信息认证、业务信息认证等操作的结合,所带来的是上述多种操作各自产生的技术效果的总和,上述操作之间并未因为结合而发生相互作用而产生新的技术效果,因此并不能给本申请带来创造性。
复审请求人未在指定期限内答复上述复审通知书,合议组于2019年05月31日发出了复审案件结案通知书。
复审请求人于2019年07月31日提交了复审程序恢复权利请求书及复审无效宣告程序意见陈述书,国家知识产权局依法受理了该恢复请求,并于2019年10月12日发出了恢复权利请求审批通知书,同意恢复权利。
复审请求人于2019年07月31日提交复审无效宣告程序意见陈述书时未提交修改文件。复审请求人认为:本申请相对对比文件1存在多个区别技术特征,上述区别技术特征实际解决的技术问题为只需通过授信移动终端获取加密后的二维码,加密二维码经过业务方认证,使得移动终端可以直接获得包含业务名称、登录时间和登录地址的复杂的业务信息,并通过对身份和业务信息的双重验证,既保证了安全性,又简化用户点击输入业务信息的过程,直接通过即时产生的机密二维码完成验证,再完成用户在服务器上的账户登录,并立刻执行相关业务操作,无需重复信息的发送和验证,获得了既提高安全性又简化用户登录并可直接启动执行业务的技术效果。上述区别特征未被对比文件1公开,也不是公知常识,是权利要求1请求保护的技术方案的创造性体现,不能分离讨论。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人于2019年07月31日提交复审无效宣告程序意见陈述书时并未提交修改文件。本复审请求审查决定针对的文本与2019年01月28日发出的复审通知书所针对的文本相同,如下:复审请求人于2018年11月19日提交的权利要求第1-16项;于申请日2012年03月01日提交的说明书第1-15页,说明书附图第1-5页,说明书摘要,摘要附图。
(二)专利法第22条第3款
专利法第22条第3款规定:“创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。”
本复审请求审查决定引用的对比文件与驳回决定和复审通知书中引用的对比文件相同,即,
对比文件1:US2011219427A1,公开日为2011年09月08日。
1、独立权利要求1请求保护一种身份认证方法,对比文件1公开了一种智能设备用户的认证方法,并具体公开了以下内容(参见说明书第[0020]-[0078]段,图3):从图3可知,系统300包括WEB服务器310(相当于本申请的“业务服务器”)、作为认证提供者的认证服务器320(相当于本申请的“身份认证服务器”)、移动装置330(相当于本申请的“授信移动终端”)以及包括显示屏342和WEB浏览器344的桌上型电脑340,桌上型电脑340通过主信道350连接至WEB服务器310以及服务器应用312,移动装置330通过次信道360连接至认证服务器320;在用户的移动装置中运行移动应用332,并且安全地保存装置/用户密钥,单个装置/应用可以保存多个密钥对,用户访问的每个应用对应于一个密钥对;每个用户和认证装置的结合将会拥有一对公/私密钥对,其用于对认证提供者唯一地标识该用户,例如,对于用户的银行应用,移动装置330和认证服务器320将会拥有一对公/私密钥对;
WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码(相当于本申请的“二维码”)的认证请求,该QR码是字符串“A|V|AN|ID|TS|NONCE”的编码,其中,字符串AN表示请求认证的应用的名称(相当于本申请的“所述业务信息包含业务登录时所需的业务名称”),ID表示该认证请求的唯一ID,TS是时间戳,表示认证过程开始的日期/时间(相当于本申请的“所述业务信息包含业务登录时所需的登录时间”),QR码在电脑的显示屏上显示;一旦认证请求被生成,用户将会启动移动装置上的应用,并使用装置认证协议415向认证提供者证明他/她的身份,该应用使用移动装置330中的照相机336获取通过认证请求呈现的QR码并且解码其中的信息(相当于本申请的“授信移动终端获取二维码”以及“通过移动终端的二维码识别技术对获取的二维码进行解码,获得二维码中所包含的业务信息”);使用应用名称AN字段的值来查找移动装置内部存储的用于特定应用的密钥对;组合字符串“DID|UN|AC”,其中DID是标识移动装置的唯一装置ID,如IMEI,UN是与用于特定服务器应用的密钥对一起存储的用户名,AC是编码在QR码(“A|V|AN|ID|TS|NONCE”)中的初始字符串;使用UTF-8将字符串“DID|UN|AC”编码成字节,并且使用选择的私钥计算二进制签名S;为认证提供者组合一个安全HTTPS POST请求,该请求包括下述字段:版本号,认证请求ID,认证请求中指定的时间戳TS,标识唯一装置ID的DID,认证的用户名User,计算的签名S的值Signature,认证提供者接收移动装置发送的HTTPS POST请求(相当于本申请的“移动终端将获得的业务信息和移动终端密钥发送到身份认证服务器”);认证提供者使用ID头部的值找出包含在初始认证请求中的信息,包括应用名称AN、时间戳TS和NONCE;查找与用户名UN关联的公钥,验证其是否有效并且未被撤销,使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,如果签名匹配,认证提供者认为会话认证成功(相当于本申请的“身份认证服务器对业务信息和移动终端进行认证,认证业务信息和对应业务的一致性,认证移动终端密钥和用户账户的一致性”);如果用户身份验证成功,认证提供者会将会话标记为已认证并且将用户重定向至受保护的资源,具体地,认证服务器将验证通知给WEB服务器,验证通过,则网站接受用户,WEB服务器向个人电脑发送消息,登录通过,允许用户访问安全区域(相当于本申请的“身份认证服务器认证成功后,业务服务器完成所述用户在该服务器上的账户登录,执行相关业务操作”)。
权利要求1与对比文件1公开的内容相比,区别在于:1)二维码中的业务信息是经过加密的,加密的业务信息需要业务方进行认证密码信息与对应业务密钥一致;2)业务信息中还包括业务登录时所需的登录地址;3)权利要求1中用户认证成功后,身份认证服务器将业务信息和用户账户信息发送给业务服务器以完成用户登录,而对比文件1中用户认证成功后,认证服务器将验证结果通知给服务器并直接将用户重定向至WEB服务器上受保护的资源;4)身份认证服务器对业务信息和移动终端密钥分别认证,且身份认证服务器包括业务校验网关和身份校验模块,分别执行业务信息的校验和身份的校验。基于上述区别,权利要求1的技术方案实际解决的技术问题为:如何保证二维码信息的安全,如何定位业务服务器,如何实现用户账户的登录以及如何进行身份认证服务器的模块设计。
对于区别特征1),为了防止二维码被恶意窃取或篡改,保证二维码信息的传输和使用安全,对二维码中包含的信息进行加密是本领域的惯用手段。2007年02月由立信会计出版社出版的许良主编的教科书《物流信息技术》的第二章第四节,介绍了二维条码的加密机制,并具体记载了“加密机制的引入是二维条码的又一优点。比如:在用二维条码表示照片时,可以先用一定的加密算法将图像信息加密,然后再用二维条码表示。在识别二维条码时,再加以一定的解密算法,就可以恢复所表示的照片。这样便可以防止各种证件、卡片等的伪造”;2008年06月由中国经济出版社出版的阎光伟主编的教科书《物流与信息技术》的第二章第三节,以及2009年02月由广东高等教育出版社出版的李胜宾主编的教科书《物流信息技术》的第二章第二节,也记载了上述内容。由此可知,在本申请的申请日前,对二维码中包含的信息进行加密以确保信息安全是本领域的公知常识。
对于区别特征2),对比文件1另一实施例公开了当用户使用个人电脑上的网页浏览器与WEB服务器上的网站通信时,网站通过WEB服务器指示个人电脑产生并发出声学信号,声学信号中包括编码的信息,例如会话的唯一标识符和用户访问的网站的WEB服务器地址,智能手机可以自动识别并解码该声学信号获得WEB服务器的地址和唯一会话ID(参见说明书第[0012]-[0019]段,图1、2),可见除QR码外,对比文件1还公开了以声学信号作为业务信息的载体,并且该声学信号中包括WEB服务器的地址,且WEB服务器的地址的存在目的也是为了后续认证成功后对WEB服务器进行定位及登录,因此,为了解决在业务登录时如何定位业务服务器的技术问题,本领域技术人员有动机结合上述实施例公开的内容,将业务登录时所需的登录地址包含在业务信息中并与业务信息的其他项一起编码生成二维码并呈现给用户的移动终端。
对于区别特征3),实现用户在某个业务服务器上的登录以访问相应业务通常需要知晓登录双方的信息,因此将用户账户信息以及与业务对应的业务信息发送给业务服务器以实现用户登录是本领域的惯用手段。
对于区别特征4),对比文件1中公开了认证服务器使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,而签名字段中的签名包括了QR码中编码的业务信息以及用户的私钥信息,因此对比文件1公开了认证服务器对业务信息和身份信息进行认证,在此基础上,在服务器中设置相应的功能模块分别实现业务信息认证以及身份信息认证,并把完成业务信息认证的模块和完成身份信息认证的模块集成于一个服务器是本领域的惯用手段。
因此,在对比文件1公开的上述两个具体实施例结合的基础上结合本领域的惯用手段,从而得到权利要求1请求保护的技术方案,对本领域技术人员来说是显而易见的。因此,权利要求1不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款所规定的创造性。
2、从属权利要求2-4引用权利要求1,其中对业务信息以及用户身份信息的验证先后顺序进行了进一步限定。对此,对比文件1公开了(参见说明书第[0036]-[0042]、[0068]-[0076]段):认证提供者使用ID头部的值找出包含在初始认证请求中的信息,包括应用名称AN、时间戳TS和NONCE;查找与用户名UN关联的公钥,验证其是否有效并且未被撤销,使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,如果签名匹配,认证提供者认为会话认证成功;其中,编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”中的字符串“A|V|AN|ID|TS|NONCE”是编码在QR码中的信息。可见对比文件1公开了认证服务器使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,而签名字段中的签名包括了QR码中编码的业务信息以及用户的私钥信息,因此对比文件1公开了认证服务器对业务信息和身份信息进行认证,在此基础上,在服务器中设置相应的功能模块分别实现业务信息认证以及身份信息认证是本领域的惯用手段,同时本领域技术人员可以根据实际需要选择上述两种验证操作的先后顺序以及对应功能模块的执行顺序,这属于本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求2-4也不具备创造性,不符合专利法第22条第3款的规定。
3、从属权利要求5引用权利要求1-4任一项。对比文件1中公开了(参见说明书第[0025]、[0026]、[0028]、[0035]-[0042]段,图3):WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码的认证请求,该QR码是字符串“A|V|AN|ID|TS|NONCE”的编码,其中,字符串AN表示请求认证的应用的名称,ID表示该认证请求的唯一ID,TS是时间戳,表示认证过程开始的日期/时间,QR码在电脑的显示屏上显示。此外,在对比文件1公开了生成QR码的基础上,为其设置相应的生成模块是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求5也不具备创造性,不符合专利法第22条第3款的规定。
4、从属权利要求6引用权利要求1-4任一项。当终端获得的二维码中包含的信息已经过加密时,首先对其进行解密以获得原始信息是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求6也不具备创造性,不符合专利法第22条第3款的规定。
5、从属权利要求7引用权利要求1-4任一项。对比文件1中公开了(参见说明书第 [0035]-[0042]段,图3):QR码是字符串“A|V|AN|ID|TS|NONCE” (相当于本申请的“业务信息”)的编码,其中,字符串AN表示请求认证的应用的名称,ID表示该认证请求的唯一ID,TS是时间戳,表示认证过程开始的日期/时间。此外,参见权利要求1的评述可知,对比文件1还公开了以声学信号作为业务信息的载体,并且该声学信号中包括WEB服务器的地址,且WEB服务器的地址的存在目的也是为了后续认证成功后对WEB服务器进行定位及登录,因此,为了解决在业务登录时如何定位业务服务器的技术问题,本领域技术人员有动机结合上述实施例公开的内容,将业务登录时所需的登录地址作为业务信息的包含项一起编码生成二维码并呈现给用户的移动终端。因此,在其引用的权利要求不具备创造性的基础上,权利要求7也不具备创造性,不符合专利法第22条第3款的规定。
6、从属权利要求8引用权利要求1-4任一项。对比文件1公开了(参见说明书第[0051]-[0067]段):为认证提供者组合一个安全HTTPS POST请求,该请求包括下述字段:版本号,认证请求ID,认证请求中指定的时间戳TS,标识唯一装置ID的DID,认证的用户名User,计算的签名S的值Signature,认证提供者接收移动装置发送的HTTPS POST请求。可见权利要求8的附加技术特征已被对比文件1公开。因此,在其引用的权利要求不具备创造性的基础上,权利要求8也不具备创造性,不符合专利法第22条第3款的规定。
7、独立权利要求9请求保护一种身份认证系统,对比文件1公开了一种智能设备用户的认证方法,并具体公开了以下内容(参见说明书第[0020]-[0078]段,图3):从图3可知,系统300包括WEB服务器310(相当于本申请的“业务服务器”)、作为认证提供者的认证服务器320(相当于本申请的“身份认证服务器”)、移动装置330(相当于本申请的“授信移动终端”)以及包括显示屏342和WEB浏览器344的桌上型电脑340,桌上型电脑340通过主信道350连接至WEB服务器310以及服务器应用312,移动装置330通过次信道360连接至认证服务器320;在用户的移动装置中运行移动应用332,并且安全地保存装置/用户密钥,单个装置/应用可以保存多个密钥对,用户访问的每个应用对应于一个密钥对;每个用户和认证装置的结合将会拥有一对公/私密钥对,其用于对认证提供者唯一地标识该用户,例如,对于用户的银行应用,移动装置330和认证服务器320将会拥有一对公/私密钥对;
WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码(相当于本申请的“二维码”)的认证请求,该QR码是字符串“A|V|AN|ID|TS|NONCE”(相当于本申请的“业务信息”)的编码,其中,字符串AN表示请求认证的应用的名称,ID表示该认证请求的唯一ID,TS是时间戳,表示认证过程开始的日期/时间,QR码在电脑的显示屏上显示;一旦认证请求被生成,用户将会启动移动装置上的应用,并使用装置认证协议415向认证提供者证明他/她的身份,该应用使用移动装置330中的照相机336获取通过认证请求呈现的QR码并且解码其中的信息(相当于本申请的“授信移动终端获取二维码,通过移动终端的二维码识别技术对获取的二维码进行解码,获得二维码中所包含的业务信息”);使用应用名称AN字段的值来查找移动装置内部存储的用于特定应用的密钥对;组合字符串“DID|UN|AC”,其中DID是标识移动装置的唯一装置ID,如IMEI,UN是与用于特定服务器应用的密钥对一起存储的用户名,AC是编码在QR码(“A|V|AN|ID|TS|NONCE”)中的初始字符串;使用UTF-8将字符串“DID|UN|AC”编码成字节,并且使用选择的私钥计算二进制签名S;为认证提供者组合一个安全HTTPS POST请求,该请求包括下述字段:版本号,认证请求ID,认证请求中指定的时间戳TS,标识唯一装置ID的DID,认证的用户名User,计算的签名S的值Signature,认证提供者接收移动装置发送的HTTPS POST请求(相当于本申请的“身份认证服务器接收授信移动终端发送的业务信息和移动终端密钥”);认证提供者使用ID头部的值找出包含在初始认证请求中的信息,包括应用名称AN、时间戳TS和NONCE;查找与用户名UN关联的公钥,验证其是否有效并且未被撤销,使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,如果签名匹配,认证提供者认为会话认证成功(相当于本申请的“进行业务信息和移动终端密钥的认证”);如果用户身份验证成功,认证提供者会将会话标记为已认证并且将用户重定向至受保护的资源,具体地,认证服务器将验证通知给WEB服务器,验证通过,则网站接受用户,WEB服务器向个人电脑发送消息,登录通过,允许用户访问安全区域(相当于本申请的“身份认证服务器将身份认证结果发送给业务服务器”以及“业务服务器完成所述用户在该服务器上的账户登录”)。
权利要求9与对比文件1公开的内容相比,区别在于:权利要求9中用户认证成功后,身份认证服务器将业务信息和用户账户信息发送给业务服务器以完成用户登录,而对比文件1中用户认证成功后,认证服务器将验证结果通知给服务器并直接将用户重定向至WEB服务器上受保护的资源。基于上述区别,权利要求9的技术方案实际解决的技术问题为:如何实现用户账户的登录。
对于上述区别特征,实现用户在某个业务服务器上的登录以访问相应业务通常需要知晓登录双方的信息,因此将用户账户信息以及与业务对应的业务信息发送给业务服务器以实现用户登录是本领域的惯用手段。
因此,在对比文件1公开内容的基础上结合本领域的惯用手段,从而得到权利要求9请求保护的技术方案,对本领域技术人员来说是显而易见的。因此,权利要求9不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款所规定的创造性。
8、从属权利要求10-12引用权利要求9,其中对业务信息以及用户身份信息的验证先后顺序以及相应模块设置进行了进一步限定。对此,对比文件1公开了(参见说明书第[0036]-[0042]、[0068]-[0076]段):认证提供者使用ID头部的值找出包含在初始认证请求中的信息,包括应用名称AN、时间戳TS和NONCE;查找与用户名UN关联的公钥,验证其是否有效并且未被撤销,使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,如果签名匹配,认证提供者认为会话认证成功;其中,编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”中的字符串“A|V|AN|ID|TS|NONCE”是编码在QR码中的信息。可见对比文件1公开了认证服务器使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,而签名字段中的签名包括了QR码中编码的业务信息以及用户的私钥信息,因此对比文件1公开了认证服务器对业务信息和身份信息进行认证,在此基础上,在服务器中设置相应的功能模块分别实现业务信息认证以及身份信息认证,并把完成业务信息认证的模块和完成身份信息认证的模块集成于一个服务器是本领域的惯用手段,同时,本领域技术人员可以根据实际需要选择上述两种认证操作的先后顺序以及对应功能模块的执行顺序,这属于本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求10-12也不具备创造性,不符合专利法第22条第3款的规定。
9、从属权利要求13引用权利要求9-12任一项。对比文件1中公开了(参见说明书第[0025]、[0026]、[0028]、[0035]-[0042]段,图3):WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码(相当于本申请的“二维码”)的认证请求,QR码在电脑的显示屏上显示。可见对比文件1公开了身份认证服务器生成二维码,在此基础上,设置相应的二维码生成模块是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求13也不具备创造性,不符合专利法第22条第3款的规定。
10、从属权利要求14引用权利要求9-12任一项。对比文件1中公开了用户的移动装置是智能手机(参见说明书第[0012]段,图1)。因此,在其引用的权利要求不具备创造性的基础上,权利要求14也不具备创造性,不符合专利法第22条第3款的规定。
11、独立权利要求15请求保护一种身份认证服务器,对比文件1公开了一种智能设备用户的认证方法,并具体公开了以下内容(参见说明书第[0020]-[0078]段,图3):从图3可知,系统300包括WEB服务器310、作为认证提供者的认证服务器320(相当于本申请的“身份认证服务器”)、移动装置330(相当于本申请的“移动终端”)以及包括显示屏342和WEB浏览器344的桌上型电脑340,桌上型电脑340通过主信道350连接至WEB服务器310以及服务器应用312,移动装置330通过次信道360连接至认证服务器320;在用户的移动装置中运行移动应用332,并且安全地保存装置/用户密钥,单个装置/应用可以保存多个密钥对,用户访问的每个应用对应于一个密钥对;每个用户和认证装置的结合将会拥有一对公/私密钥对,其用于对认证提供者唯一地标识该用户,例如,对于用户的银行应用,移动装置330和认证服务器320将会拥有一对公/私密钥对;
WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码的认证请求,该QR码是字符串“A|V|AN|ID|TS|NONCE”(相当于本申请的“业务信息”)的编码,其中,字符串AN表示请求认证的应用的名称,ID表示该认证请求的唯一ID,TS是时间戳,表示认证过程开始的日期/时间,QR码在电脑的显示屏上显示;一旦认证请求被生成,用户将会启动移动装置上的应用,并使用装置认证协议415向认证提供者证明他/她的身份,该应用使用移动装置330中的照相机336获取通过认证请求呈现的QR码并且解码其中的信息;使用应用名称AN字段的值来查找移动装置内部存储的用于特定应用的密钥对;组合字符串“DID|UN|AC”,其中DID是标识移动装置的唯一装置ID,如IMEI,UN是与用于特定服务器应用的密钥对一起存储的用户名,AC是编码在QR码(“A|V|AN|ID|TS|NONCE”)中的初始字符串;使用UTF-8将字符串“DID|UN|AC”编码成字节,并且使用选择的私钥计算二进制签名S;为认证提供者组合一个安全HTTPS POST请求,该请求包括下述字段:版本号,认证请求ID,认证请求中指定的时间戳TS,标识唯一装置ID的DID,认证的用户名User,计算的签名S的值Signature,认证提供者接收移动装置发送的HTTPS POST请求(相当于本申请的“接收业务信息”和“接收移动终端密钥”);认证提供者使用ID头部的值找出包含在初始认证请求中的信息,包括应用名称AN、时间戳TS和NONCE;查找与用户名UN关联的公钥,验证其是否有效并且未被撤销,使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名(相当于本申请的“认证业务信息和业务的一致性”以及“验证移动终端密钥和用户账户的一致性”),如果签名匹配,认证提供者认为会话认证成功;如果用户身份验证成功,认证提供者会将会话标记为已认证并且将用户重定向至受保护的资源,具体地,认证服务器将验证通知给WEB服务器,验证通过,则网站接受用户,WEB服务器向个人电脑发送消息,登录通过,允许用户访问安全区域。
权利要求15与对比文件1公开的内容相比,区别在于:1)权利要求15中认证成功后,身份认证服务器将业务信息和用户账户信息发送出去,而对比文件1中用户认证成功后,认证服务器将验证结果通知给服务器并直接将用户重定向至WEB服务器上受保护的资源;2)身份认证服务器对业务信息和移动终端密钥分别认证,且身份认证服务器包括业务校验网关和身份校验模块,分别执行业务信息的校验和身份的校验。基于上述区别,权利要求15的技术方案实际解决的技术问题为:如何实现用户账户的登录以及如何进行身份认证服务器的模块设计。
对于区别特征1),实现用户在某个业务服务器上的登录以访问相应业务通常需要知晓登录双方的信息,因此将用户账户信息以及与业务对应的业务信息发送给业务服务器以实现用户登录是本领域的惯用手段。
对于区别特征2),对比文件1中公开了认证服务器使用UTF-8编码字符串“DID|UN|A|V|AN|ID|TS|NONCE”并且验证签名字段中的签名,而签名字段中的签名包括了QR码中编码的业务信息以及用户的私钥信息,因此对比文件1公开了认证服务器对业务信息和身份信息进行认证,在此基础上,在服务器中设置相应的功能模块分别实现业务信息认证以及身份信息认证,并把完成业务信息认证的模块和完成身份信息认证的模块集成于一个服务器是本领域的惯用手段。
因此,在对比文件1公开内容的基础上结合本领域的惯用手段,从而得到权利要求15请求保护的技术方案,对本领域技术人员来说是显而易见的。因此,权利要求15不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款所规定的创造性。
12、从属权利要求16引用权利要求15。对比文件1中公开了(参见说明书第[0025]、[0026]、[0028]、[0035]-[0042]段,图3):WEB服务器中的服务器应用,例如网站,具有受保护的资源,用户想要访问上述资源,必须通过认证机制向服务器应用证明他的身份;任何时候用户想要访问安全资源,认证提供者都会提出认证请求,认证提供者将会呈现给用户一个包含QR码(相当于本申请的“二维码”)的认证请求,该QR码是字符串“A|V|AN|ID|TS|NONCE”的编码(相当于本申请的“根据业务信息生成二维码”),其中,字符串AN表示请求认证的应用的名称(相当于本申请的“业务名称”),ID表示该认证请求的唯一ID,TS是时间戳(相当于本申请的“登录时间”),表示认证过程开始的日期/时间,QR码在电脑的显示屏上显示。此外,参见权利要求1的评述可知,对比文件1还公开了以声学信号作为业务信息的载体,并且该声学信号中包括WEB服务器的地址,且WEB服务器的地址的存在目的也是为了后续认证成功后对WEB服务器进行定位及登录,因此,为了解决在业务登录时如何定位业务服务器的技术问题,本领域技术人员有动机结合上述实施例公开的内容,将业务登录时所需的登录地址作为业务信息的包含项一起编码生成二维码并呈现给用户的移动终端;同时,在对比文件1公开了生成QR码的基础上,为其设置相应的生成模块是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求16也不具备创造性,不符合专利法第22条第3款的规定。
(三)对复审请求人相关意见的评述
针对复审请求人于2019年07月31日提交的复审无效宣告程序意见陈述书中的意见,合议组认为:参见对权利要求1的评述可知,对比文件1已经公开了使用用户的移动装置获取认证服务器根据要访问的业务信息生成的、并在与WEB服务器相连的电脑上显示的QR码,并对QR码进行解码后获取其中包含的业务信息,服务器通过对用户通过移动终端发送的包含了QR码中编码的业务信息以及用户的私钥信息的签名进行验证,来实现对业务信息以及身份信息的认证,可见对比文件1整体上已经公开了本申请的完整发明构思;而参见权利要求1中对区别技术特征的评述可知,权利要求1的技术方案与对比文件1存在的区别技术特征或属于本领域的公知常识,或属于本领域技术人员在现有技术基础上、通过合乎逻辑的推理分析就可以实现的对惯用手段的不同选择,或属于对比文件1其他实施例给出的技术启示,其组合不能使本申请具备创造性。
综上所述,合议组对复审请求人的意见不予支持。
三、决定
维持国家知识产权局于2018年08月03日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
