发明创造名称:登录授权方法和装置、登录方法和装置
外观设计名称:
决定号:192153
决定日:2019-09-05
委内编号:1F255060
优先权日:
申请(专利)号:201611208735.9
申请日:2016-12-23
复审请求人:腾讯科技(深圳)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:闫洪波
合议组组长:冉建国
参审员:王健
国际分类号:H04L29/06
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:权利要求的技术方案与作为最接近的现有技术的对比文件相比存在区别特征,但该区别特征属于本领域的公知常识,本领域技术人员在该对比文件的基础上结合所述公知常识得到所述权利要求的技术方案是显而易见的,则该权利要求不具备创造性。
全文:
本复审请求涉及申请号为201611208735.9,名称为“登录授权方法和装置、登录方法和装置”的发明专利申请(下称本申请)。申请人为腾讯科技(深圳)有限公司。本申请的申请日为2016年12月23日,公开日为2017年05月10日。
经实质审查,国家知识产权局实质审查部门于2018年03月19日发出驳回决定,驳回了本申请,其理由是权利要求1-20不具备专利法第22条第3款规定的创造性。驳回决定中引用的对比文件如下:对比文件3:CN105530224A,公开日为2016年04月27日;对比文件4:CN105991559A,公开日为2016年10月05日。驳回决定认为:权利要求1-20相对于对比文件3、对比文件4和本领域的惯用手段的结合不具备专利法第22条第3款规定的创造性。驳回决定所针对的权利要求书的内容如下:
“1. 一种登录授权方法,所述方法包括:
接收终端发送的登录请求;当所述终端存储有登录凭据时,所述登录请求是在未输入用户密码的情况下根据所述登录凭据和终端标识生成;所述终端标识用于唯一标识终端;
从所述登录请求中提取登录凭据和终端标识,且提取的登录凭据在所述终端前次完成登录授权时生成并下发至所述终端;
查询与所述终端标识对应的前次完成登录授权时生成并存储的登录凭据;
当提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权;
更新存储的与所述终端标识对应的登录凭据;更新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;
将更新的登录凭据下发至所述终端。
2. 根据权利要求1所述的方法,其特征在于,所述接收终端发送的登录请求之后,所述方法还包括:
当所述登录请求未携带登录凭据时,则根据所述登录请求获取用户输入型校验数据和终端标识,并根据所述用户输入型校验数据进行校验;
当校验通过时,则对应于所述终端标识进行登录授权,生成与所述终端标识对应的登录凭据并存储,并将当前生成的登录凭据下发至所述终端。
3. 根据权利要求2所述的方法,其特征在于,所述根据所述登录请求获取用户输入型校验数据和终端标识,并根据所述用户输入型校验数据进行校验包括:
根据所述登录请求获取终端标识;
生成与所述终端标识对应的条码;
将所述条码发送至所述终端并显示,使得以用户账号登录的移动终端采集所述条码并解析得到校验地址;
接收到所述移动终端根据所述校验地址所发起的登录授权通知时,校验通过。
4. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
当校验通过时,获取所述终端的位置信息并对应于所述终端标识记录;
所述当提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权包括:
从所述登录请求中提取所述终端的位置信息;
当提取的位置信息与记录的位置信息匹配,且提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权。
5. 根据权利要求1所述的方法,其特征在于,所述当提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权包括:
当提取的登录凭据与查询到的登录凭据一致时,向管理员账号所对应的电子设备发送登录通知;所述管理员账号与所述登录凭据所对应的用户账号对应;
接收所述电子设备响应于所述登录通知所反馈的授权命令;
根据所述授权命令,对应于所述终端标识进行登录授权。
6. 根据权利要求5所述的方法,其特征在于,所述对应于所述终端标识进行登录授权之后,所述方法还包括:
接收所述电子设备发送的针对所述终端标识的下线命令;
根据所述下线命令,取消对应于所述终端标识的登录授权,并将与所述终端标识对应的登录凭据清除。
7. 根据权利要求1所述的方法,其特征在于,所述对应于所述终端标识进行登录授权之后,所述方法还包括:
接收所述终端发起的请求指定操作的操作请求;
根据所述操作请求获取用户输入型校验数据;
根据所述用户输入型校验数据进行校验;
当校验通过时,执行所述操作请求所请求的指定操作。
8. 一种登录方法,所述方法包括:
获取本地的终端标识;所述终端标识用于唯一标识终端;
获取本地存储的登录凭据,所述登录凭据在本地前次登录被服务器授权时由所述服务器下发;
在未输入密码的情况下,向所述服务器发送携带有所述登录凭据和所述终端标识的第一登录请求,使得所述服务器根据携带的登录凭据和终端标识鉴权成功后进行登录授权;
接收所述服务器完成登录授权时更新并发送的登录凭据;更新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;
将本地存储的登录凭据更新为接收到的登录凭据。
9. 根据权利要求8所述的方法,其特征在于,所述获取本地的终端标识之后,所述方法还包括:
当本地未存储所述登录凭据时,则
向所述服务器发送携带有所述终端标识的第二登录请求;
接收所述服务器根据所述第二登录请求反馈的条码;
显示所述条码,使得以用户账号登录的移动终端采集所述条码并解析得到校验地址,根据所述校验地址向所述服务器发送登录授权通知,使得所述服务器在接收到所述登录授权通知后进行登录授权;
接收所述服务器完成登录授权后生成并发送的登录凭据;
执行所述将本地存储的登录凭据更新为接收到的登录凭据的步骤。
10. 一种登录授权装置,其特征在于,包括:
登录请求处理模块,用于接收终端发送的登录请求;从所述登录请求中提取登录凭据和终端标识,且提取的登录凭据在所述终端前次完成登录授权时生成并下发至所述终端;当所述终端存储有登录凭据时,所述登录请求是在未输入用户密码的情况下根据所述登录凭据和终端标识生成;所述终端标识用于唯一标识终端;
登录凭据查询模块,用于查询与所述终端标识对应的前次完成登录授权时生成并存储的登录凭据;
登录授权模块,用于当提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权;
登录凭据管理模块,用于更新存储的与所述终端标识对应的登录凭据;更 新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;将更新的登录凭据下发至所述终端。
11. 根据权利要求10所述的装置,其特征在于,所述登录授权模块还用于当所述登录请求未携带登录凭据时,则根据所述登录请求获取用户输入型校验数据和终端标识,并根据所述用户输入型校验数据进行校验;当校验通过时,则对应于所述终端标识进行登录授权,生成与所述终端标识对应的登录凭据并存储,并将当前生成的登录凭据下发至所述终端。
12. 根据权利要求11所述的装置,其特征在于,所述登录授权模块还用于根据所述登录请求获取终端标识;生成与所述终端标识对应的条码;将所述条码发送至所述终端并显示,使得以用户账号登录的移动终端采集所述条码并解析得到校验地址;接收到所述移动终端根据所述校验地址所发起的登录授权通知时,校验通过。
13. 根据权利要求11所述的装置,其特征在于,所述登录授权模块还用于当校验通过时,获取所述终端的位置信息并对应于所述终端标识记录;
所述登录请求处理模块还用于从所述登录请求中提取所述终端的位置信息;
所述登录授权模块还用于当提取的位置信息与记录的位置信息匹配,且提取的登录凭据与查询到的登录凭据一致时,对应于所述终端标识进行登录授权。
14. 根据权利要求10所述的装置,其特征在于,所述登录授权模块还用于当提取的登录凭据与查询到的登录凭据一致时,向管理员账号所对应的电子设备发送登录通知;所述管理员账号与所述登录凭据所对应的用户账号对应;接收所述电子设备响应于所述登录通知所反馈的授权命令;根据所述授权命令,对应于所述终端标识进行登录授权。
15. 根据权利要求14所述的装置,其特征在于,所述装置还包括:
下线处理模块,用于接收所述电子设备发送的针对所述终端标识的下线命令;根据所述下线命令,取消对应于所述终端标识的登录授权,并将与所述终端标识对应的登录凭据清除。
16. 根据权利要求10所述的装置,其特征在于,所述登录授权模块还用于 接收所述终端发起的请求指定操作的操作请求;根据所述操作请求获取用户输入型校验数据;根据所述用户输入型校验数据进行校验;当校验通过时,执行所述操作请求所请求的指定操作。
17. 一种登录装置,其特征在于,包括:
获取模块,用于获取本地的终端标识;所述终端标识用于唯一标识终端;获取本地存储的登录凭据,所述登录凭据在本地前次登录被服务器授权时由所述服务器下发;
发送模块,用于在未输入密码的情况下,向所述服务器发送携带有所述登录凭据和所述终端标识的第一登录请求,使得所述服务器根据携带的登录凭据和终端标识鉴权成功后进行登录授权;
接收模块,用于接收所述服务器完成登录授权时更新并发送的登录凭据;更新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;
更新模块,用于将本地存储的登录凭据更新为接收到的登录凭据。
18. 根据权利要求17所述的装置,其特征在于,所述装置还包括显示模块;
所述发送模块还用于当本地未存储所述登录凭据时,则向所述服务器发送携带有所述终端标识的第二登录请求;
所述接收模块还用于接收所述服务器根据所述第二登录请求反馈的条码;
所述显示模块用于显示所述条码,使得以用户账号登录的移动终端采集所述条码并解析得到校验地址,根据所述校验地址向所述服务器发送登录授权通知,使得所述服务器在接收到所述登录授权通知后进行登录授权;
所述接收模块还用于接收所述服务器完成登录授权后生成并发送的登录凭据,并通知所述更新模块将本地存储的登录凭据更新为接收到的登录凭据。
19. 一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至9中任一项所述方法的步骤。
20. 一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至9中任一项所述方法的步骤。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年07月02日向国家知识产权局提出了复审请求,同时修改了权利要求书,具体修改为:在权利要求1、8、10和17增加技术特征“且接收到管理员账号所对应的电子设备发送的授权命令”,“所述管理员账号与所述登录凭据所对应的程序开发人员账号对应”;在权利要求5增加技术特征“且接收到管理员账号所对应的电子设备发送的授权命令”,并删除了“所述管理员账号与所述登录凭据所对应的用户账号对应”;权利要求14删除了“所述管理员账号与所述登录凭据所对应的用户账号对应”。复审请求人认为:本申请和对比文件3、4整体构思不同,解决的技术问题不同。对比文件3、4没有公开“程序开发人员账号”和“管理员账号”的概念及其相关特征,也没有公开“更新登录凭据”和“登录凭据与前次完成登录授权时生成并存储的登录凭据不同”。
经形式审查合格,国家知识产权局于2018年07月06日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中认为修改不符合专利法第33条的规定;基于驳回决定中的文本和理由,权利要求1-20不具备专利法第22条第3款规定的创造性,因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2018年12月05日向复审请求人发出复审通知书,复审通知书所针对的审查文本为:2018年07月02日提交的权利要求第1-20项;申请日2016年12月23日提交的说明书第[0001]-[0154]段、说明书附图图1-14、说明书摘要、摘要附图。复审通知书引用驳回决定中引用的对比文件3-4。复审通知书指出:权利要求1-20相对于对比文件3、4和本领域的惯用手段的结合不具备专利法第22条第3款规定的创造性。
复审请求人于2019年01月17日提交了意见陈述,并修改了权利要求书,具体修改为:在权利要求1和10增加技术特征“所述登录请求是当终端上存在多个用户账号所对应的登录凭据时,终端根据选择指令所选中的用户账号所对应的登录凭据和终端标识生成”,将权利要求8和17的特征“获取本地存储的登录凭据”修改为“当本地存储有多个用户账号所对应的登录凭据时,获取选择指令所选中的用户账号所对应的登录凭据”。复审请求人认为:本申请和对比文件3、4相比,区别特征在于:A、登录请求是当终端上存在多个用户账号所对应的登录凭据时,终端根据选择指令所选中的用户账号所对应的登录凭据和终端标识生成。B、当提取的登录凭据与查询到的登录凭据一致、且接收到管理员账号所对应的电子设备发送的授权命令时,对应于所述终端标识进行登录授权;管理员账号与登录凭据所对应的程序开发人员账号对应,不属于本领域的惯用手段。
合议组随后于2019年05月10日向复审请求人继续发出复审通知书,复审通知书指出:权利要求1-20相对于对比文件3、4和本领域的惯用手段的结合不具备专利法第22条第3款规定的创造性。
复审请求人于2019年06月24日提交了意见陈述,并修改了权利要求书,具体修改如下:在权利要求1、10和17增加技术特征“使得所述终端将所存储的登录凭据更新为接收到的登录凭据;当所述终端所存储的登录凭据超过预设时长未更新时删除所述终端所存储的登录凭据;当提取的登录凭据与查询到的登录凭据不一致时,通知所述终端删除所述终端上相应的所述登录凭据”;在权利要求8增加技术特征“当所述终端所存储的登录凭据超过预设时长未更新时删除所述终端所存储的登录凭据;当提取的登录凭据与查询到的登录凭据不一致时,通知所述终端删除所述终端上相应的所述登录凭据”。复审请求人认为:本申请和对比文件3、4相比,区别特征在于:A、登录请求是当终端上存在多个用户账号所对应的登录凭据时,终端根据选择指令所选中的用户账号所对应的登录凭据和终端标识生成。B、当提取的登录凭据与查询到的登录凭据一致、且接收到管理员账号所对应的电子设备发送的授权命令时,对应于所述终端标识进行登录授权;管理员账号与登录凭据所对应的程序开发人员账号对应。C、将更新的登录凭据下发至终端,使得终端将所存储的登录凭据更新为接收到的登录凭据;当终端所存储的登录凭据超过预设时长未更新时删除终端存储的登录凭据;当服务器提取的登录凭据与查询到的登录凭据不一致时,则通知终端删除终端上相应的登录凭据。上述区别特征既未被对比文件4公开,也不属于本领域的惯用手段。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出复审请求审查决定。
二、决定的理由
(一)审查文本的认定
复审程序中,复审请求人在2019年06月24日提交了权利要求书全文修改替换页,经审查,修改符合专利法第33条的规定。本复审请求审查决定所针对的审查文本为:2019年06月24日提交的权利要求第1-20项,申请日2016年12月23日提交的说明书第[0001]-[0154]段、说明书附图图1-14、说明书摘要和摘要附图。
(二)关于专利法第22条第3款
专利法第22条第3款规定的创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定引用的对比文件3-4与驳回决定和历次复审通知书中所引用的对比文件相同,即:
对比文件3:CN105530224A,公开日为2016年04月27日;
对比文件4:CN105991559A,公开日为2016年10月05日。
1、权利要求1请求保护一种登录授权方法,对比文件3公开了一种终端认证的方法和装置,并具体公开了如下技术特征(参见权利要求1,说明书第[0038]-[0049]段,附图1和9):接收终端在用户首次登录时发送的第一认证请求,所述第一认证请求携带用户账号、密码和终端标识;当所述密码是账号密码时,根据所述第一认证请求携带的用户账号、账号密码和终端标识对终端进行认证,在认证通过后向终端下发与用户账号和账号密码对应的访问令牌(相当于登录凭据),并将所述访问令牌和所述终端标识绑定;接收终端在用户再次登录时发送的第二认证请求(相当于接收终端发送的登录请求),根据所述第二认证请求携带的访问令牌(相当于在终端前次完成登录授权时生成并下发至终端的登录凭据)和终端标识对终端进行认证(相当于从登录请求中提取登录凭据和终端标识),认证通过即可登录,其中,用户再次登录时将所保存的访问令牌与终端标识作为认证参数,使用户再次登录时无需输入密码即可实现快捷登录(相当于当终端存储有登录凭据时,登录请求是在未输入用户密码的情况下根据登录凭据和终端标识生成);该终端标识示例性地可以是移动设备国际识别码IMEI(相当于终端标识用于唯一标识终端),如图9,也可以是个人电脑、电视、平板电脑等多种终端的终端标识信息。
权利要求1的技术方案与对比文件3公开的内容相比,区别特征在于:1)更新存储的与终端标识对应的登录凭据;更新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;将更新的登录凭据下发至终端,使得终端将所存储的登录凭据更新为接收到的登录凭据。2)查询与终端标识对应的前次完成登录授权时生成并存储的登录凭据,当提取的登录凭据与查询到的登录凭据一致、且接收到管理员账号所对应的电子设备发送的授权命令时,对应于所述终端标识进行登录授权;所述管理员账号与所述登录凭据所对应的程序开发人员账号对应。3)登录请求是当终端上存在多个用户账号所对应的登录凭据时,终端根据选择指令所选中的用户账号所对应的登录凭据和终端标识生成。4)当终端所存储的登录凭据超过预设时长未更新时删除终端存储的登录凭据;当服务器提取的登录凭据与查询到的登录凭据不一致时,则通知终端删除终端上相应的登录凭据。基于上述区别特征,权利要求1的技术方案实际要解决的技术问题为:如何防止前次下发的数据泄露导致的安全隐患,应用于何种领域,如何实现多用户用同一终端登录,以及如何管理登录凭据。
对于区别特征1),对比文件4公开了一种基于图像加密技术的用户安全登录方法,并具体公开了以下技术特征(参见权利要求1,说明书第[0005]-[0012]段):客户端用存储在本地的随机种子对密码密文进行处理嵌入图片中,发送给服务器端;服务器端用存储在本地的随机种子处理接收到的图片提取出密码密文,若验证成功,则生成一个新的随机种子,并与验证通过消息一并发送给客户端,客户端更新随机种子,完成登录。可见更新存储与终端登录相关的随机数,并将更新后的随机数下发至终端已被对比文件4公开,即使前次下发的随机数泄露,由于每次登录时都会更新该随机数,因而提高了安全性,防止了前次下发的数据泄露导致的安全隐患。虽然对比文件4公开的随机数是用于登录过程处理密码,本申请的登录凭据是用于登录过程中替代密码,但两者都是由服务器在每次登录成功后生成并下发给客户端,供客户端下次登录时使用,因此,对比文件4给出了启示,使本领域技术人员有动机将对比文件4中更新随机数的方法应用到对比文件3中,这是本领域技术人员能够根据实际需要进行的简单方案选择,属于本领域的惯用手段。
对于区别特征2),首先,对比文件3还公开了(参见说明书第[0046]段)对第一认证请求携带的用户账号、账号密码和终端标识与预先保存的用户账号、账号密码和终端标识进行比对,如果一致则通过认证。可见,对比文件3给出的认证方式是通过比较本次和前次存储的相关数据获得的,那么第二认证请求也可以通过类似的过程实现认证,即,查询与终端标识对应的前次完成登录授权时生成并存储的登录凭据,如果一致时,则认证通过可以登录。并且,根据不同的场景需求,如在程序开发管理领域,可能还需要涉及到管理员对登录进行确认,因此,在登录凭据一致,且管理员发送授权命令时,对终端进行登录授权,这是本领域的惯用手段。其次,管理员账号和登录凭据对应的程序开发人员账号对应也是本领域的惯用手段,根据实际需求,将上述手段应用到程序开发中,对人员进行管理,是本领域的惯用手段。
对于区别特征3),首先,对比文件3已经公开了(参见权利要求1,说明书第[0038]-[0049]段,附图1和9)在认证通过后向终端下发与用户账号和账号密码对应的访问令牌(相当于登录凭据),并将所述访问令牌和所述终端标识绑定;接收终端在用户再次登录时发送的第二认证请求(相当于接收终端发送的登录请求),根据所述第二认证请求携带的访问令牌和终端标识对终端进行认证,认证通过即可登录,其中,用户再次登录时将所保存的访问令牌与终端标识作为认证参数,使用户再次登录时无需输入密码即可实现快捷登录,也就是说,对比文件3已经给出了通过登录凭证实现登录,且登录请求包含了对应的登录凭证和终端标识。其次,本领域中,在登录时,终端上存在一个或多个用户账号是常见的情形,通过选择指令选择需要登录的账号进行登录是常见的登录方式,登录请求依据对应的登录凭证和终端标识生成,都是本领域的惯用手段。
对于区别特征4),在本领域,为了节省资源以及提高安全性,通常会对登录凭据等数据进行管理,如删除无用的数据或者不安全的数据,通过设定预设时间在达到预设时间而未更新或者对使用的数据进行清理以提高资源的使用效率。当服务器获取到与预存的登录凭据不一致的情况时,通常会认为有不安全因素存在,那么为了消除这个安全隐患,通常可以删除终端上相应的登录凭据以阻止其继续尝试登录服务器,或者其他隔离方式,都属于本领域的惯用手段。
因此,在对比文件3的基础上结合对比文件4公开的内容以及本领域的惯用手段得到权利要求1的技术方案对本领域的技术人员来说是显而易见的,因此,权利要求1请求保护的技术方案不具有突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
2.权利要求2是权利要求1的从属权利要求,对比文件3已经公开了(参见同上):接收终端在用户首次登录时发送的第一认证请求,所述第一认证请求携带用户账号、密码和终端标识(相当于登录请求未携带登录凭据时);当所述密码是账号密码时,根据所述第一认证请求携带的用户账号、账号密码(相当于用户输入型校验数据)和终端标识对终端进行认证,在认证通过后向终端下发与用户账号和账号密码对应的访问令牌,并将所述访问令牌和所述终端标识绑定(相当于校验通过时,对应于终端标识进行登录授权,生成与终端标识对应的登录凭据并存储,并将登录凭据下发到终端)。因此当其引用的权利要求1不具备创造性的情况下,权利要求2也不具备专利法第22条第3款规定的创造性。
3.权利要求3是权利要求2的从属权利要求,采用一维码或二维码的方式进行安全登录属于本领域最常用的安全登录方式之一;而根据登录请求获取终端标识,生成对应的条码发送至终端显示,使移动终端采集该条码并解析得到校验地址并据此发起的登录授权通知,完成校验,是本领域采用一维码或二维码进行安全登录的一般方法流程。因此当其引用的权利要求2不具备创造性的情况下,权利要求3也不具备专利法第22条第3款规定的创造性。
4.权利要求4是权利要求2的从属权利要求,根据位置信息判断所登录的账号是否安全是本领域常用的安全登录的辅助手段;获取校验通过的终端的位置信息并记录,在下一次登录时,提取该终端的位置信息,判断是否一致,从而确定是否存在异地登录、账号是否安全,是本领域最常用的安全登录的辅助手段。因此当其引用的权利要求2不具备创造性的情况下,权利要求4也不具备专利法第22条第3款规定的创造性。
5.对于从属权利要求5-6,为了进一步提高登录的安全性,安排管理员账号登录的电子设备统一对各用户的登录进行管理,属于本领域的惯用手段,即由该管理员操控的电子设备反馈允许登录的授权命令,才能让终端登录,接收到该电子设备发送的下线命令,则取消终端的登录并清除对应的登录凭据,均属于本领域的惯用手段。因此当其引用的权利要求不具备创造性的情况下,权利要求5-6也不具备专利法第22条第3款规定的创造性。
6.权利要求7是权利要求1的从属权利要求,对于终端发起的一些指定操作,需要终端再次输入密码进行确认,是本领域的惯用手段;即根据该请求指定操作的操作请求,获取用户输入型校验数据,校验通过后才允许执行相应的指定操作,属于本领域的惯用手段。因此当其引用的权利要求1不具备创造性的情况下,权利要求7也不具备专利法第22条第3款规定的创造性。
7.权利要求8要求保护一种登录授权方法,对比文件3公开了一种终端认证的方法和装置,并具体公开了如下技术特征(参见权利要求1,说明书第[0038]-[0049]段,附图1和9):接收终端在用户首次登录时发送的第一认证请求,所述第一认证请求携带用户账号、密码和终端标识;当所述密码是账号密码时,根据所述第一认证请求携带的用户账号、账号密码和终端标识对终端进行认证,在认证通过后向终端下发与用户账号和账号密码对应的访问令牌(相当于登录凭据),并将所述访问令牌和所述终端标识绑定;接收终端在用户再次登录时发送的第二认证请求(相当于在未输入密码的情况下,向服务器发送携带有登录凭据和登录标识的第一登录请求),根据所述第二认证请求携带的访问令牌(相当于登录凭据在本地前次登录被服务器授权时由服务器下发)和终端标识对终端进行认证(相当于获取本地的终端标识),认证通过即可登录,其中,用户再次登录时将所保存的访问令牌与终端标识作为认证参数,使用户再次登录时无需输入密码即可实现快捷登录(相当于服务器根据携带的登录凭据和终端标识鉴权成功);该终端标识示例性地可以是移动设备国际识别码IMEI(相当于终端标识用于唯一标识终端),如图9,也可以是个人电脑、电视、平板电脑等多种终端的终端标识信息。
权利要求8的技术方案与对比文件3公开的内容相比,区别特征在于:1)接收服务器完成登录授权时更新并发送的登录凭据;更新的登录凭据与前次完成登录授权时生成并存储的登录凭据不同;将本地存储的登录凭据更新为接收到的登录凭据。2)登录授权还时还需要“接收到管理员账号所对应的电子设备发送的授权命令后”进行登录授权,管理员账号与所述登录凭据所对应的程序开发人员账号对应。3)登录请求是当终端上存在多个用户账号所对应的登录凭据时,终端根据选择指令所选中的用户账号所对应的登录凭据和终端标识生成。4)当终端所存储的登录凭据超过预设时长未更新时删除终端存储的登录凭据;当服务器提取的登录凭据与查询到的登录凭据不一致时,则通知终端删除终端上相应的登录凭据。基于上述区别特征,权利要求8请求保护的技术方案实际要解决的技术问题为:如何防止前次下发的数据泄露导致的安全隐患,如何应用于特定领域,如何实现多用户用同一终端登录,以及如何管理登录凭据。
对于区别特征1),对比文件4公开了一种基于图像加密技术的用户安全登录方法,并具体公开了以下技术特征(参见权利要求1,说明书第[0005]-[0012]段):客户端用存储在本地的随机种子对密码密文进行处理嵌入图片中,发送给服务器端;服务器端用存储在本地的随机种子处理接收到的图片提取出密码密文,若验证成功,则生成一个新的随机种子,并与验证通过消息一并发送给客户端,客户端更新随机种子,完成登录。可见更新存储与终端登录相关的随机数,并将更新后的随机数下发至终端已被对比文件4公开,即使前次下发的随机数泄露,由于每次登录时都会更新该随机数,因而提高了安全性,防止了前次下发的数据泄露导致的安全隐患。虽然对比文件4公开的随机数是用于登录过程处理密码,本申请的登录凭据是用于登录过程中替代密码,但两者都是由服务器在每次登录成功后生成并下发给客户端,供客户端下次登录时使用,因此,对比文件4给出了启示,使本领域技术人员有动机将对比文件4中更新随机数的方法应用到对比文件3中,这是本领域技术人员能够根据实际需要进行的合理选择,属于本领域的惯用手段。
对于区别特征2),根据不同的场景需求,如在程序开发管理领域,可能还需要涉及到管理员对登录进行确认,因此,在登录凭据一致,且管理员发送授权命令时,对终端进行登录授权,这是本领域的惯用手段。管理员账号和登录凭据对应的程序开发人员账号对应也是本领域的惯用手段。根据实际需求,将上述手段应用到程序开发中,对人员进行管理,是本领域的惯用手段。
对于区别特征3),对比文件3已经公开了(参见权利要求1,说明书第[0038]-[0049]段,附图1和9)在认证通过后向终端下发与用户账号和账号密码对应的访问令牌(相当于登录凭据),并将所述访问令牌和所述终端标识绑定;接收终端在用户再次登录时发送的第二认证请求(相当于接收终端发送的登录请求),根据所述第二认证请求携带的访问令牌和终端标识对终端进行认证,认证通过即可登录,其中,用户再次登录时将所保存的访问令牌与终端标识作为认证参数,使用户再次登录时无需输入密码即可实现快捷登录,也就是说,对比文件3已经给出了通过登录凭证实现登录,且登录请求包含了对应的登录凭证和终端标识。在登录时,终端上存在一个或多个用户账号是常见的情形,通过选择指令选择需要登录的账号进行登录是常见的登录方式,登录请求依据对应的登录凭证和终端标识生成,都是本领域的惯用手段。
对于区别特征4),在本领域,为了节省资源以及提高安全性,通常会对登录凭据等数据进行管理,如删除无用的数据或者不安全的数据,通过设定预设时间在达到预设时间而未更新或者对使用的数据进行清理以提高资源的使用效率。当服务器获取到与预存的登录凭据不一致的情况时,通常会认为有不安全因素存在,那么为了消除这个安全隐患,通常可以删除终端上相应的登录凭据以阻止其继续尝试登录服务器,或者其他隔离方式,都属于本领域的惯用手段。
因此,在对比文件3的基础上结合对比文件4公开的内容以及上述惯用手段得到权利要求8的技术方案对本领域的技术人员来说是显而易见的,权利要求8请求保护的技术方案不具有突出的实质性特点和显著的进步,因而不具备专利法第22条第3款规定的创造性。
8.权利要求9是权利要求8的从属权利要求,采用一维码或二维码的方式进行安全登录属于本领域最常用的安全登录方式之一;而向服务器发送携带终端标识的登录请求,接收并显示反馈回来的条码,使移动终端采集该条码并解析得到校验地址并据此发起的登录授权通知,以便服务器完成登录校验,是本领域采用一维码或二维码进行安全登录的一般方法流程;在本地未存储登录凭据时,采用上述校验方法从而获取服务器完成登录授权后发送的登录凭据,并更新本地存储的登录凭据,均为本领域的惯用手段。因此当其引用的权利要求8不具备创造性的情况下,权利要求9不具备专利法第22条第3款规定的创造性。
9.权利要求10-16是和权利要求1-7相对应的装置权利要求,通过功能模块实现对应功能是本领域的惯用手段,基于权利要求1-7的评述,权利要求10-16不具备专利法第22条第3款规定的创造性。
10.权利要求17-18和权利要求8-9相对应,通过功能模块实现对应功能是本领域的惯用手段,基于权利要求8-9的评述,权利要求17-18不具备专利法第22条第3款规定的创造性。
11. 权利要求19请求保护一种与权利要求1-9任一项对应的计算机设备,权利要求20请求保护一种与权利要求1-9任一项对应的计算机可读存储介质,由于计算机设备包括存储器和处理器,存储器存储有计算机程序,该计算机程序被处理器执行时能够完成相应的方法步骤,是本领域的惯用手段。因此,基于评述权利要求1-9的相应理由,权利要求19和20也不具备专利法第22条第3款规定的创造性。
三、针对复审请求人意见陈述的答复
合议组认为:复审请求人认为的区别特征A、B、C(见案由部分)对应于评述部分的区别特征2)、3)、4),结合评述部分,可知它们都是本领域的惯用手段。首先,对比文件3已经给出了通过登录凭证实现登录,且登录请求包含了对应的登录凭证和终端标识。而在登录时,终端上存在一个或多个用户账号是常见的情形,如在银行、超市、医院等多种场景下,都会存在一个终端存有多个用户账号的情形,也会存在需要管理员授权登录的情形,并非只有游戏领域才有这样的设置,因此,根据实际需求,为了提高多用户在同一账号登录的安全性和便捷性,在程序开发领域也进行类似的设置,在终端上存在多个用户账号,通过用户选择对应的账号,利用登录对应的登录凭据,通过管理员授权登录是本领域的惯用手段。其次,如果提取的登录凭据和预存的登录凭据不一致时,可能发生了不安全事件,当处于不安全场景下,需要采取相应的应对措施,确保事件不会更严重,通常当认为终端是不安全因素时,则不应当允许终端继续执行登录操作,如可以删除终端的登录凭据使其无法进行登录,或者拒绝终端登录,或者发出警告提示阻止用户继续尝试登录等,这都是本领域常用的方式,根据实际需求,选择删除登录凭据的方式确保安全,这是本领域的惯用手段。
综上,复审请求人的理由不具有说服力。对于复审请求人的意见陈述,合议组不予支持。
三、决定
维持国家知识产权局于2018年03月19日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
