发明创造名称:单点登录的方法、装置及系统
外观设计名称:
决定号:41056
决定日:2019-07-15
委内编号:4W108504
优先权日:
申请(专利)号:200710177884.8
申请日:2007-11-21
复审请求人:
无效请求人:索尼互动娱乐(上海)有限公司
授权公告日:2010-09-29
审定公告日:
专利权人:全球创新聚合有限责任公司
主审员:姜海
合议组组长:武磊
参审员:吴卫民
国际分类号:H04L9/32,H04L9/00
外观设计分类号:
法律依据:专利法第26条第3、4款,专利法第22条第2、3款,专利法实施细则第20条第1款,专利法实施细则第21条第2款
决定要点:对专利说明书和权利要求书中的技术方案及其某些术语的理解和解释应当基于本领域技术人员的技术水平和认知能力,并将专利文件作为一个整体来看待。
全文:
本无效宣告请求审查决定涉及专利号为200710177884.8、发明名称为“单点登录的方法、装置及系统”的发明专利(下称本专利),本专利的申请日为2007年11月21日,授权公告日为2010年09月29日,专利权人为华为技术有限公司,后变更为全球创新聚合有限责任公司。本专利授权公告时的权利要求书内容如下:
“1. 一种单点登录的方法,其特征在于,包括:
接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求;
根据所述认证请求对所述用户信息进行认证,获得信任凭证;
向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
2. 根据权利要求1所述的单点登录的方法,其特征在于,所述根据所述认证请求对所述用户信息进行认证,获得信任凭证具体为:
判断所述用户信息是否为通过所述第一单点登录平台效验的有效用户信息,是则根据所述认证请求,在认证数据库中查找所述用户信息映射的信任凭证,并向所述第一单点登录平台发送认证成功信息;否则向所述第一单点登录平台发送认证失败信息。
3. 根据权利要求1所述的单点登录的方法,其特征在于,所述接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求前还包括:所述第一单点登录平台接收用户登录所述第一应用系统的用户信息,所述第一单点登录平台对所述用户信息进行效验,将通过效验的所述用户信息与所述认证请求绑定。
4. 根据权利要求1所述的单点登录的方法,其特征在于,所述向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证后还包括:所述第二单点登录平台接收所述信任凭证,根据所述信任凭证放行用户对所述第二应用系统的访问权。
5. 根据权利要求1所述的单点登录的方法,其特征在于,所述第一应用系统包括与所述第一应用系统架构相同的多个应用子系统;所述接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求前还包括:所述第一单点登录平台接收用户登录所述第一应用系统中所述应用子系统的用户信息,所述第一单点登录平台对所述用户信息进行效验,将 通过效验的所述用户信息与认证请求绑定。
6. 根据权利要求1所述的单点登录的方法,其特征在于,所述第二应用系统包括与所述第二应用系统架构相同的多个应用子系统;向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证后还包括:所述第二单点登录平台接收所述信任凭证,根据所述信任凭证直接放行用户对所述第二应用系统中多个应用子系统的访问权。
7. 根据权利要求1所述的单点登录的方法,其特征在于,所述第一应用系统为客户端/服务器应用系统,所述用户信息为用户通过所述客户端/服务器应用系统的第一单点登录平台用户登录客户端/服务器应用系统的用户名和密码信息,所述第二应用系统为浏览器/服务器应用系统,所述信任凭证为用户通过所述浏览器/服务器应用系统的第二单点登录平台登录浏览器/服务器应用系统的票据信息,所述根据所述认证请求对所述用户信息进行认证,获得信任凭证具体为:根据所述认证请求对所述客户端/服务器应用系统的第一单点登录平台发送的用户名和密码信息进行认证,获得用户通过所述第二单点登录平台登录所述浏览器/服务器应用系统的票据信息;
或所述第一应用系统为浏览器/服务器应用系统,所述用户信息为用户通过所述浏览器/服务器应用系统的第一单点登录平台用户登录浏览器/服务器应用系统的票据信息,所述第二应用系统为客户端/服务器应用系统,所述信任凭证为用户通过所述客户端/服务器应用系统的第二单点登录平台登录客户端/服务器应用系统的用户名和密码信息,所述根据所述认证请求对所述用户信息进行认证,获得信任凭证具体为:根据所述认证请求对所述浏览器/服务器应用系统的第一单点登录平台发送的票据信息进行认证,获得用户通过所述第二单点登录平台登录所述客户端/服务器应用系统的用户名和密码信息。
8. 一种单点登录的装置,其特征在于,包括:
第一接口模块,用于接收第一应用系统的第一单点登录平台发送的包 含有用户信息的认证请求;
认证处理模块,用于根据所述认证请求对所述用户信息进行认证,获得信任凭证;
第二接口模块,用于在所述认证处理模块获得所述信任凭证后,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
9. 根据权利要求8所述的单点登录的装置,其特征在于,所述认证处理模块包括:
认证单元,用于在所述第一接口模块收到包含有用户信息的认证请求后,判断所述用户信息是否为通过所述第一单点登录平台效验的有效用户信息,并将判断结果发送给应答单元和数据查找单元;
所述应答单元,用于根据所述判断结果向所述第一接口模块输出认证成功或认证失败的反馈信息;
所述数据查找单元,用于当所述认证单元的判断结果为用户信息为通过所述第一单点登录平台效验的有效用户信息时,根据所述认证请求在数据存储单元中查找所述用户信息映射的信任凭证,向所述第二接口模块发送所述信任凭证;
所述数据存储单元,用于存储所述用户信息和信任凭证之间的映射关系信息。
10. 根据权利要求9所述的单点登录的装置,其特征在于,所述第一接口模块包括:
请求单元,用于接收所述第一单点登录平台发送的包含有用户信息的认证请求,并将所述认证请求发送给所述认证单元;
反馈单元,用于接收所述应答单元发送的所述反馈信息,并将所述反馈信息发送给所述第一单点登录平台。
11. 一种单点登录的系统,其特征在于,包括:
第一应用系统的第一单点登录平台,用于接收包含有用户信息的认证请求;
单点登录装置,用于根据所述认证请求对所述用户信息进行认证,获得信任凭证;
与所述第一应用系统架构不同的第二应用系统的第二单点登录平台,用于根据所述信任凭证放行用户对所述第二应用系统的访问权。
12. 根据权利要求11所述的单点登录的系统,其特征在于,所述单点登录装置包括:
第一接口模块,用于接收所述第一单点登录平台发送的包含有所述用户信息的认证请求;
认证处理模块,用于根据所述认证请求对所述用户信息进行认证,获得信任凭证;
第二接口模块,用于在所述认证处理模块获得所述信任凭证后,向所述第二应用系统的第二单点登录平台发送所述信任凭证。”
针对上述专利权,索尼互动娱乐(上海)有限公司(下称请求人)于2019年02月11日向国家知识产权局提出无效宣告请求,认为:1、权利要求1、8、11不符合专利法实施细则第21条第2款的规定;2、权利要求1-12不符合专利法实施细则第20条第1款的规定;3、权利要求1-12不符合专利法第26条第4款的规定;4、权利要求1-6、8-12不具备专利法第22条第2款规定的新颖性;5、权利要求1-12不具备专利法第22条第3款规定的创造性,请求宣告本专利权利要求1-12全部无效。同时提交了如下附件:
附件1(下称对比文件1):中国专利文献CN1848729A,公开日为2006年10月18日;
附件2(下称对比文件2):中国专利文献CN1726690A,公开日为2006年01月25日;
附件3:CN101159557B(即本专利的授权公告文本)。
经形式审查合格,国家知识产权局于2019年03月07日受理了上述无效宣告请求并将无效宣告请求书及附件副本转给专利权人,同时成立合议组对本案进行审查。
请求人于2019年03月11日提交了无效宣告程序意见陈述书,补充了无效理由及附件。补充提交的文件如下:
对比文件1:中国专利文献CN1848729A,公开日为2006年10月18日;
对比文件2:中国专利文献CN1726690A,公开日为2006年01月25日;
对比文件3:“B/S架构的单点登录系统模型”,李旭伟等,四川大学学报(工程科学版)第38卷第2期,请求人声称公开日为2006年03月31日;
对比文件4:“单次登录技术分析及集中身份认证平台设计”的复印件,张颖江等,武汉理工大学学报(交通科学与工程版)第28卷第2期,请求人声称公开日为2004年04月30日;
对比文件5:“编写你自己的单点登录(SSO)服务”的复印件,CSDN博客,请求人声称公开日为2006年05月24日;
对比文件6:“在应用整合中单点登录解决方案的研究”的复印件,金永勤,《计算机与现代化》,2007 年第7期总第143期,请求人声称公开日为2007年07月31日;
对比文件7:JP特開平10-177552A及其中文译文,共18页,公开日为1998年06月30日。
请求人提出的无效理由是:1、权利要求1、8、11不符合专利法实施细则第21条第2款的规定;2、说明书不符合专利法第26条第3款的规定,涉及权利要求1-12;3、权利要求1-12不符合专利法实施细则第20条第1款的规定;3、权利要求1-12不符合专利法第26条第4款的规定;4、权利要求1-12不具备专利法第22条第2款规定的新颖性,对比文件使用方式是:权利要求1、3-4、8、11-12分别相对于对比文件1至6之一不具备新颖性,权利要求2、9-10分别相对于对比文件2或5不具备新颖性,权利要求5-6分别相对于对比文件2至6之一不具备新颖性,权利要求7分别相对于对比文件3至6之一不具备新颖性;5、权利要求1-12不具备专利法第22条第3款规定的创造性,对比文件使用方式是:分别以对比文件1至6之一为最接近的现有技术,权利要求1、8、11相对于上述对比文件之一结合公知常识、上述对比文件中的任两个或多个组合及公知常识不具备创造性,从属权利要求2-7、12的附加技术特征被上述对比文件公开或属于公知常识,从属权利要求9-10的附加技术特征被上述对比文件2至7公开或属于公知常识,因此也不具备创造性。
合议组于2019年03月22日向双方当事人发出口头审理通知书,定于2019年05月13日举行口头审理;并于同日向专利权人发出转送文件通知书,将请求人于2019年03月11日提交的意见陈述书和附件副本转送给专利权人。
口头审理如期举行,双方当事人均出席了本次口头审理,口头审理过程中明确了以下事项:
1、在口头审理过程中,双方当事人对合议组成员无回避请求,对对方出庭人员的身份和资格无异议。
2、请求人当庭提交(2019)京方圆内经证字第06314号公证书原件,用于证明对比文件3至6的真实性和公开时间。专利权人经核实后,对对比文件1至7的真实性和公开时间无异议,对请求人提交的对比文件7的中文译文准确性无异议。
3、请求人明确无效理由和证据以其于2019年03月11日提出的补充意见陈述为准。双方当事人均充分发表了意见。
至此,合议组认为本案事实已经请楚,可以作出审查决定。
二、决定的理由
(一)、审查基础
本无效宣告请求审查决定的基础是本专利的授权公告文本。
(二)、证据认定
请求人提交的对比文件1、2、7为专利文献,对比文件3、4、6为学术期刊,对比文件5为网络证据,请求人于口审当庭提交了(2019)京方圆内经证字第06314号公证书原件,用于证明对比文件3至6的真实性和公开时间。专利权人经核实后,对对比文件1至7的真实性和公开时间无异议,对请求人提交的对比文件7的中文译文准确性无异议。经核实,合议组对上述对比文件的真实性和公开时间亦予以认可。上述对比文件的公开日均早于本专利的申请日,可以作为评价本专利新颖性、创造性的现有技术使用,其中对比文件7的内容以请求人提交的中文译文为准。
(三)、关于专利法第26条第3款
专利法第26条第3款规定:说明书应当对发明或者实用新型作出清楚、完整的说明,以所属技术领域的技术人员能够实现为准;必要的时候,应当有附图。摘要应当简要说明发明或者实用新型的技术要点。
请求人认为:本专利说明书中没有对如何建立有效的C/S应用系统的用户名和密码信息与B/S应用系统的票据信息的映射关系进行必要说明。在此基础上,本领域技术人员不知道应该如何存储前述映射关系信息,进而不知道如何实现所述单点登录方法。因此,本专利的说明书公开不充分,涉及权利要求1-12的方案。
对此,合议组认为:本专利说明书第0046段记载了:“本实施例对用户通过第一单点登录平台登录C/S应用系统时的用户名和密码信息进行认证,根据认证请求将通过认证的用户名和密码信息转换成用户通过第二单点登录平台登录B/S应用系统的票据信息,实现用户在C/S 应用系统上登录后,不需再次登录,即可获得的B/S应用系统的访问权,因而解决了两个架构不同应用系统单点登录平台的集成问题,便于系统管理,降低安全风险和管理消耗。”而且,票据信息中同样包含用户信息,对于相同的用户而言,其用户信息可以是不变的,因此,本领域技术人员可以通过用户信息将“用户名和密码信息”与“票据信息”关联起来。因此,本领域技术人员根据说明书的记载能够实现本专利的技术方案。请求人提出的该无效理由不能成立。
(四)、关于专利法第26条第4款
专利法第26条第4款规定:权利要求书应当以说明书为依据,说明要求专利保护的范围。
请求人认为:1、对于权利要求1,权利要求1记载了“用户信息”与“信任凭证”,但说明书中仅记载了“用户名和密码信息”与“票据信息”能够用作用户信息或信任凭证,本领域技术人员无法预见其他不能用于登录的信息也可以作为用户信息或信任凭证;本领域技术人员无法预见除了通过存储有效用户名和密码信息(即,用户信息)与票据信息(即,信任凭证)之间的映射关系之外,其他方式也能够解决其技术问题,因此权利要求1概括了过宽的保护范围,得不到说明书的支持。此外,虽然说明书中有与权利要求1相一致的记载,但权利要求1实质上得不到说明书的支持。基于类似理由,权利要求2-7、8-10、11-12也得不到说明书支持。2、对于权利要求9,如果存储“无效”的用户信息与信任凭证之间的映射关系,则系统完全不具有单点登录系统所需的安全性,也不可能解决其技术问题,因此权利要求9概括了过宽的保护范围,得不到说明书的支持。
对此,合议组认为:1、对于权利要求1,根据本专利说明书记载的内容可知,用户名和密码信息以及票据信息是常用的用于登录的信息,并不意味着在任何平台、任何情况下只能使用这两种信息进行登录;两种不同类型的信息(“用户名 密码”与“票据”)之间的转换或者通过一种类型的信息得到另一种类型的信息可能存在多种不同的方式,提供二者之间的映射关系仅是其中一种可行的方式而已,本领域技术人员也可以根据其所属技术领域的知识,通过其他方式将这两种不同的信息关联起来,从而使得能够根据第一种信息得到第二种信息,另外,“不能用于登录的信息”显然无法用作用户信息或信任凭证。此外,权利要求1的技术方案在本专利说明书中有明确的记载,因此,权利要求1能够得到说明书的支持。基于同样理由,权利要求2-7、8-10、11-12也能够得到说明书的支持。
2、权利要求9的技术方案包括:“所述数据查找单元,用于当所述认证单元的判断结果为用户信息为通过所述第一单点登录平台效验的有效用户信息时,根据所述认证请求在数据存储单元中查找所述用户信息映射的信任凭证,根据所述认证请求在数据存储单元中查找所述用户信息映射的信任凭证,向所述第二接口模块发送所述信任凭证;所述数据存储单元,用于存储所述用户信息和信任凭证之间的映射关系信息”。本专利说明书第0086-0090段也记载了相应的技术内容,而且,对本领域技术人员来说,在用户信息为有效用户信息时,才查找数据存储单元中存储的该用户信息映射的信任凭证,因此,所查找的映射关系显然是在“有效用户信息”与“信任凭证”之间建立的,该装置不会使用“无效”的用户信息与信任凭证之间的映射关系。因此,权利要求9能够得到说明书的支持。请求人提出的该无效理由不能成立。
(五)、关于专利法实施细则第21条第2款
专利法实施细则第21条第2款规定:独立权利要求应当从整体上反映发明或者实用新型的技术方案,记载解决技术问题的必要技术特征。
请求人认为:本专利要解决的技术问题是(参见本专利说明书第0013段):现有的票据传递方式单点登录或密码账号代填方式不能解决的C/S应用系统与B/S应用系统等架构不同的应用系统的单点登录平台的集成问题。而“存储有效用户信息和信任凭证之间的映射关系,且用户信息和信任凭证不同”是为了解决前述技术问题的必要技术特征。因此,权利要求1、8、11不符合专利法实施细则第21条第2款的规定。
对此,合议组认为:针对本专利要解决的技术问题,本专利说明书第0047-0052段记载的“有效用户信息(即,通过校验的用户名 密码)与信任凭证(即,通过校验的票据信息)之间的映射关系”仅是本专利的一个具体实施方式,在本专利的单点登录方法的技术方案中,只要能够将通过第一点单登录平台校验的用户信息转换为能够通过第二单点登录平台校验的票据信息或者通过有效用户信息得到信任凭证即可,本领域技术人员可以根据所掌握的本技术领域的普通技术知识,通过其他方式将这两种不同的信息关联起来,从而使得能够根据第一种信息得到第二种信息,例如,可以根据用户名和密码信息在第一数据库中搜索以确定用户的真实身份,然后再根据用户的真实身份在第二数据库中搜索对应的票据信息。“用户信息”是由第一单点登录平台发送的、供认证的信息,而“信任凭证”是在前述用户信息认证通过的情况获得的用于获取第二单点登录平台访问权的信息,二者的含义显然不同。因此,权利要求1的技术方案能够解决其声称的技术问题,“存储有效用户信息和信任凭证之间的映射关系,且用户信息和信任凭证不同”不是解决技术问题的必要技术特征。综上,请求人提出的该无效理由不能成立。
(六)、关于专利法实施细则第20条第1款
专利法实施细则第20条第1款规定:权利要求书应当说明发明或者实用新型的技术特征,清楚、简要地表述请求保护的范围。
请求人认为:1、对于权利要求1,本领域技术人员不清楚权利要求1中“用户信息”和“信任凭证”的具有相同的含义还是不同的含义,不清楚权利要求1中“根据所述认证请求对所述用户信息进行认证,获得信任凭证”的含义。基于类似的理由,权利要求2-12不清楚。2、权利要求2-3、5、9中的“效验”不清楚。3、权利要求11中第一单点登录平台接收认证请求,而权利要求12中第一单点登录平台发送认证请求,权利要求11和权利要求12之间存在矛盾,因此,权利要求11-12整体上不清楚。
对此,合议组认为:1、对本领域技术人员来说,根据权利要求1记载的整体方案可以理解,不同技术特征采用不同的命名以示区分,采用“用户信息”与“信任凭证”这两个不同的名称显然是为了区分两个不同的技术特征,“用户信息”是由第一单点登录平台发送的、供认证的信息,而“信任凭证”是在前述用户信息认证通过的情况获得的用于获取第二单点登录平台访问权的信息。对于权利要求1中的“根据所述认证请求对所述用户信息进行认证,获得信任凭证”,结合权利要求1整体考虑,其接收到认证请求,作为对该认证请求的回应,对用户信息进行认证,并获得相应的信任凭证。因此,权利要求1是清楚的。基于同样的理由,权利要求2-12也是清楚的。2、根据权利要求2-3、5、9记载的整体方案结合本专利说明书的记载可知,可以理解,权利要求2-3、5、9 中记载的“效验”应为“校验”的笔误,其表示对用户信息进行认证,以确定其是否通过认证。3、根据权利要求11和12记载的整体方案可以理解,在权利要求11和12的技术方案中,第一单点登录平台“接收”和“发送”分别涉及不同的功能。 首先,作为一个登录平台,第一单点登录平台必然能够“接收”用户的认证请求;其次,根据权利要求12的技术方案,由于认证处理模块需要对用户信息进行认证,因此,第一单点登录平台需要将包含用户信息的认证请求“发送”给执行认证操作的认证处理模块。因此,第一单点登录平台同时具有“接收”认证请求的功能和“发送”认证请求的功能对本领域技术人员而言是清楚的,二者之间并不存在矛盾。因此,权利要求11和12的技术方案是清楚的。请求人提出的该无效理由不能成立。
(七)专利法第22条第2款
专利法第22条第2款规定:新颖性,是指在申请日以前没有同样的发明或者实用新型在国内外出版物上公开发表过、在国内公开使用过或者以其他方式为公众所知,也没有同样的发明或者实用新型由他人向国务院专利行政部门提出过申请并且记载在申请日以后公布的专利申请文件中。
1、权利要求1
(1)对比文件1作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件1公开了一种在网络中用于单一登录的系统和方法(相当于一种单点登录的方法),并具体公开了(参见对比文件1说明书“具体实施方式”部分第3页第17行-第5页第28行,图2-5):在网络中提供一种认证SSO系统/方法以便在用户被授权访问这些装置上的资源之前他在每一个装置上被认证,对于用户想要使用的每个装置,SSO系统不用多个登录而增加他的负担。根据本发明的SSO系统和方法允许在应用中的对话中或多个会话间的SSO,会话包括一组被分组在一起以在应用中提供特定服务的装置。使用应用的用户需要物理登录与他交互的装置并且远程登录该应用需要的其他装置。图2显示了根据本发明实施例的SSO系统的功能框图,包括:装置100,具有自己的认证代理102;第二装置104,具有自己的认证代理106,和控制器模块108。装置100和装置104可以是网络中的任何装置,控制器包括以软件实现的系统范围的用户标识映射116和以软件实现的认证目录110,所述认证目录110包括也以软件实现的多个认证插件112和114,所述认证插件112和认证插件114的每一个分别对应于认证代理102和认证代理106。系统范围的用户标识映射116将特定装置的用户ID从网络10中的每一装置映射为系统范围的用户ID。步骤200:用户在装置100上开始应用118。步骤202:装置100中的认证代理102通过使用特定装置的方法请求用户的认证信息。步骤204:用户响应请求,并且该响应被认证代理102接收(相当于接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求)。步骤206:认证代理102验证用户的输入并确认用户是认证的用户(相当于根据所述认证请求对所述用户信息进行认证)。步骤208:认证代理102将特定装置的用户ID发送到认证插件112。步骤210:认证插件112将特定装置的用户ID传递到认证目录110。认证目录110通过使用系统ID映射116将特定装置的用户ID映射为系统用户ID。步骤212:认证目录110从系统ID映射116检索对于装置104的特定装置的用户ID,并将其发送到认证插件114。步骤214:认证插件114将特定装置的用户ID发送到装置104中的认证代理106。步骤216:认证代理106验证并确认用户ID。步骤218:认证代理106通知应用118认证结果。步骤220:认证代理102通知应用118认证结果。步骤222:认证代理102将“OK”发送到认证插件112,其中,认证插件112将“OK”,传递到认证目录110,结果,用户使用550在多个装置之中被这样认证。
权利要求1保护的技术方案与对比文件1相比,二者的区别特征是:获得信任凭证,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件1没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件1具备专利法第22条第2款规定的新颖性。
(2)对比文件2作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件2公开了一种用于异构型联合环境中的本机认证协议的方法和系统,并具体公开了(参见对比文件2说明书第14页第2段,第20页第3-5段,第22页第3-4段,第23页第5段,第28页最后一段,第31页最后一段至第32页第1段,第33页第3段-第35页第3段,图4):现在参考图4,此框图说明了一个联合坏境,该环境支持联合的单次登录操作(相当于一种单点登录的方法)。通过客户端设备和适当的客户端应用,如浏览器,用户400期望访问由企业/域410提供的web服务,该企业/域支持在联合环境内担当了联合域的数据处理系统,域410支持接触点服务器412和信任代理414,类似地,域420支持接触点服务器422和信任代理424,而域430支持接触点服务器432和信任代理434。用户完成了对城410的认证操作,该认证操作由接触点服务器412所处理,当用户请求访问一些需要被认证的身份的资源,例如为了访问控制的目的或为了个性化的目的时,该认证操作被触发(相当于接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求,根据所述认证请求对所述用户信息进行认证)。在之后的某个时间点,用户在联合伙伴例如也支持联合域的企业420处启动一个事务,从而触发一个联合单次登录操作,例如,用户可在域420上启动一个新的事务,或者用户最初的事务会级联传递为其他域上的一个或多个附加事务,作为另一示例,用户可以通过接触点服务器412调用对域420中的资源的联合单次登录操作,例如,通过选择域410中寄放的Web页面上的特殊链接,或者通过请求在域410中寄放的、但显示域420中寄放的资源的入口页面。接触点服务器412向信任代理414发送请求以便为用户生成一个联合单次登录权标,此权标被格式化以被域420理解或信任,信任代理414将此权标返回接触点服务器412,接触点服务器412再将此权标发送到域内的接触点服务器422,域410担当了对域420上的用户的发布方,而域420担当了依赖方,用户的权标会与用户请求一起传输到域420;此权标可以通过用户的浏览器使用HTTP重定向来发送,或者可以通过代表在信任代理414提供的权标中被识别的用户,直接调用时接触点服务器422(在HTTP上或在HTTP上的SOAP上)的请求来发送。
权利要求1保护的技术方案与对比文件2相比,二者的区别特征是:获得信任凭证,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件2没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件2具备专利法第22条第2款规定的新颖性。
(3)对比文件3作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件3公开了一种B/S架构的单点登录系统模型,并具体公开了(参见对比文件3第132-135页,图1):单点登录(Single Sign On,SSO),是企业信息化不断深化以及网络应用不断推广的必然结果。所谓单点登录,简单地说,就是用户通过一次身份验证,可以透明登录所有授权应用。本单点登录系统模型把传统的C/S应用集成到B/S模式下,简化了系统维护量;用户登录SSO系统采用Kerberos认证的方式,提高了系统的安全性;同时部分提供了密码同步机制,主动提供修改密码的入口,系统自动跟踪用户修改密码过程,并维护SSO中存储的密码和具体应用系统的密码一致性。客户登录具体应用的流程如下(相当于一种单点登录的方法):1)用户通过浏览器输入登录请求信息,浏览器通过HTTP协议向Web服务器发出带有该信息的请求,该请求与Web服务器的web服务模块交互(相当于接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求);2)经由身份验证模块,与KDC密钥发布中心交互,用户与身份认证服务器相互认证,获取凭证(相当于根据所述认证请求对所述用户信息进行认证);3)身份认证服务器利用该用户证书的主题名在AD目录中查找该用户的二级登录凭证库数据,并通过Web服务器,向用户返回授权的应用控制列表;4)用户通过浏览器,向web服务器发出具体的应用请求;5)web服务器,通过AD通信模块,与AD服务器交互,获取相应的登录参数,然后通过Web服务模块,向用户返回相应的登录参数;6)客户端借助相应的插件,将返回的登录参数自动填入相应的登录框,完整登录过程。
权利要求1保护的方案与对比文件3相比,二者的区别特征是:获得信任凭证,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件3没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件3具备专利法第22条第2款规定的新颖性。
(4)对比文件4作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件4公开了一种单次登录技术分析及集中身份认证平台设计,并具体公开了(参见对比文件4第240-242页):在Agent-based SSO方案的基础上,结合SSO技术,设计实现了一个单次登录系统--集中身份认证平台SSO Portal,系统在保留Agent-based SSO方案优点的基础上,加入了统一的授权、统一的记账功能,用逻辑上统一的中央数据库实现方式代替原来物理上统一的中央数据库实现方式。用户访问访问C/S应用系统的工作原理 对于用户访问C/S应用系统,系统的工作过程如下(相当于一种单点登录的方法):(1)用户启动本地的SSO Portal客户端登录SSO Portal服务器(相当于接收第一应用系统的第一单点登录平台发送的认证请求);(2)SSO Portal服务器的认证模块认证用户身份,并返回一个用户票据(相当于认证请求包含有用户信息,根据所述认证请求进行认证,获得信任凭证);(3)SSO Portal客户端将用户票据写入本地cookie,供访问B/S应用系统使用;(4)SSO Portal客户端向SSO Portal服务器的授权模块发出授权请求;(5)SSO Portal服务器的授权模块返回用户被授权访问的应用列表自动登录脚本和用户凭证表;(6)SSO Portal客户端根据返回的应用列表和自动登录脚本,将这些应用以图标的形式显示在一个图形化用户界面中:(7)完成以上步骤后,如果用户访问C/S应用系统,只需双击相关应用图标,SSO Portal客户端从用户凭证表中获得用户登录所需的用户凭证,替用户自动完成登录过程。
权利要求1保护的技术方案与对比文件4相比,二者的区别特征是:向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件4没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件4具备专利法第22条第2款规定的新颖性。
(5)对比文件5作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件5公开了编写你自己的单点登录(SSO)服务,并具体公开了(参见对比文件5第7页,第11页,第18-22页,第26页):桌面SSO和WEB-SSO一样,关键的技术也在于如何在用户登录过后保存登录的凭据。在WEB-SSO中,登录的凭据是靠浏览器的cookie机制来完成的;在桌面应用可以将登录的凭证保存到任何地方,只要所有SSO的桌面应用都共享这个凭证(相当于一种单点登录的方法)。样例程序包含三个简单的Java控制台程序,这三个程序单独运行都需要登录,如果运行第一个名叫“GameSystem”的程序,提示需要输入用户名和密码(相当于接收第一应用系统的第一单点登录平台发送的包含有用户信息的认证请求,根据所述认证请求对所述用户信息进行认证),效验成功以后,便会显示当前登录的用户的基本信息等等。这时候再运行第二个桌面Java应用(mailSystem)的时候,就不需要再登录了,直接就显示出来刚才登录的用户。第三个应用是logout,运行它之后,用户便退出系统,再访问的时候,又需要重新登录了。请读者再制裁执行完logout之后,重新验证一下前两个应用的SSO:先运行第二个应用,再运行第一个,会看到相同的效果。本样例不仅能够和在几个Java应用之间SSO,还能和浏览器进行SSO,也就是将浏览器也当成桌面的一部分,这时候再打开Mozilla浏览器,访问以前提到的那两个WEB应用,会发现只要桌面应用如果登录过,Web应用就不用再登录了,而且能显示刚才登录的用户的信息,或者可以在几个桌面何Web应用之间进行登录和logout的试验,看看它们之间的SSO。
权利要求1保护的技术方案与对比文件5相比,二者的区别特征是:获得信任凭证,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件5没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件5具备专利法第22条第2款规定的新颖性。
(6)对比文件6作为最接近的现有技术
权利要求1要求保护一种单点登录的方法。对比文件6公开了在应用整合中单点登录解决方案的研究,并具体公开了(参见对比文件6第30-33页):早期开发的软件基本上都是采用C/S结构,而新开发的系统往往采用B/S结构,因此,应用整合的首要问题是实现B/S结构的新系统和C/S结构老系统的单点登录。3应用仿真整合模式的实现原理 应用仿真整合模式主要通过系统自动在登录界面输入用户名和密码并点击登录按钮,来达到单点登录的目的(相当于一种单点登录的方法)。应用仿真整合系统有两个功能模块:信息采集模块和自动识别登录模块。3.1登录要素的采集和记录 要实现自动登录,系统首先需要知道登录要素的位置,比如用户名和密码,登录要素的识别和记录由信息采集模块来完成。下面以DSBS系统为例,介绍登录要素的采集过程:(1)首先启用应用仿真整合系统,并确保信息采集模块运行正常。(2)运行DSBS系统,出现登录界面后,采集登录界面左上角的一个标志性识别区域,产生该区域的图片文件DSBS.JPG。(3)通过信息采集模块记录用户名输入区、密码输入区离标志性识别区域的偏离位置。记录登录按钮离标志性识别区域的偏离位置。3.2综合办公平台中的配置 以DSBS系统为例,FOA系统的配置工作如下:(1)在FOA系统的用户管理模块,建立FOA系统用户和DSBS系统用户信息的对应关系,包括DSBS系统中对应的用户名和密码。DSBS系统的密码可以由用户在FOA系统中自行输入或修改。
权利要求1保护的方案与对比文件6相比,二者至少存在如下区别:获得信任凭证;向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。
可见,对比文件6没有公开权利要求1的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权。因此,权利要求1相对于对比文件6具备专利法第22条第2款规定的新颖性。
2、权利要求2-12
权利要求8要求保护一种单点登录的装置,其是与权利要求1的方法步骤一一对应的装置权利要求,参见评述权利要求1相似的意见,对比文件1至6也没有公开权利要求8的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。权利要求8分别相对于对比文件1至6具备专利法第22条第2款规定的新颖性。
权利要求11要求保护一种单点登录的系统,其限定的装置功能与权利要求1的方法步骤相对应,参见评述权利要求1相似的意见,对比文件1至6也没有公开权利要求11的全部技术特征,由于存在上述区别特征,导致二者的技术方案不同。权利要求11分别相对于对比文件1至6具备专利法第22条第2款规定的新颖性。
在独立权利要求1、8和11具备新颖性的情况下,各从属权利要求2-7、9-10、12分别相对于上述对比文件1至6也具备专利法第22条第2款规定的新颖性。
(八)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指同申请日以前已有的技术相比,该发明有突出的实质性特点和显著的进步,该实用新型有实质性特点和进步。
1、关于权利要求1-7
参见前述第(七)部分新颖性审查意见,权利要求1分别与对比文件1至6相比至少存在以下区别特征:向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。基于上述区别特征可以确定权利要求1实际解决的技术问题是如何获得第二应用系统的访问权。
对比文件1至6均没有公开上述区别特征,并且也没有证据表明上述区别特征属于本领域的公知常识。通过实施权利要求1的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权,其应用场景更广,可涉及系统架构与位置不同的两个应用系统之间的安全登录,降低安全风险。因此,权利要求1相对于上述对比文件1至6中的任意组合以及与公知常识的结合具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
在权利要求1具备创造性的情况下,从属权利要求2-7也具备专利法第22条第3款规定的创造性。
2、关于权利要求8-10
权利要求8要求保护一种单点登录的装置,其是与权利要求1的方法步骤一一对应的装置权利要求,参见前述第(七)部分新颖性审查意见,权利要求8分别与对比文件1至6相比至少存在以下区别特征:第二接口模块,向与所述第一应用系统架构不同的第二应用系统的第二单点登录平台发送所述信任凭证。基于上述区别特征可以确定权利要求8实际解决的技术问题是如何获得第二应用系统的访问权。
对比文件1至6均没有公开上述区别特征,并且也没有证据表明上述区别特征属于本领域的公知常识。通过实施权利要求8的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权,其应用场景更广,可涉及系统架构与位置不同的两个应用系统之间的安全登录,降低安全风险。因此,权利要求8相对于上述对比文件1至6中的任意组合以及与公知常识的结合具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
请求人在评述权利要求9-10时还使用了对比文件7,对比文件7公开了一种验证回应方法及使用此方法的验证回应装置,并具体公开了(参见对比文件7中文译文第0022-0026段,图2):服务器部16包含:一接收部30,通过第一通信部12收到客户机C发出的发送内容;一验证部32,代理服务器为了自己对客户机C进行验证;一读出允许部34,依据验证部32的验证结果,允许工作台20读出每个客户机的验证信息;一读出禁止部38,按照特定条件禁止工作台20读出验证信息;一注册部40,在请求从客户机C访问新服务器时,从客户机C的发送内容中提取这个服务器需要的验证信息并追加注册至工作台20;及一切换部54,对三个方向也就是验证部32、后述客户机部18的读出控制部36及客户机部18的接收部62发出的消息等数据进行切换并送出至第一通信部12。为了完成注册部40中的注册,除用户名以外,当然还需要这个用户对目标服务器的验证信息。可见,对比文件7仅公开了对用户进行验证的技术内容,并未公开上述区别特征,即使进一步结合对比文件7,权利要求8仍具备专利法第22条第3款规定的创造性。
在权利要求8具备创造性的情况下,从属权利要求9-10也具备专利法第22条第3款规定的创造性。
3、关于权利要求11-12
权利要求11要求保护一种单点登录的系统。对比文件4公开了一种单次登录技术分析及集中身份认证平台设计,并具体公开了(参见对比文件4第241-242页):在Agent-based SSO方案的基础上,结合SSO技术,设计实现了一个单次登录系统--集中身份认证平台SSO Portal,系统在保留Agent-based SSO方案优点的基础上,加入了统一的授权、统一的记账功能,用逻辑上统一的中央数据库实现方式代替原来物理上统一的中央数据库实现方式(相当于一种单点登录的系统)。用户访问访问C/S应用系统的工作原理 对于用户访问C/S应用系统,系统的工作过程如下:(1)用户启动本地的SSO Portal客户端登录SSO Portal服务器(相当于第一应用系统的第一单点登录平台,用于接收认证请求);(2)SSO Portal服务器的认证模块认证用户身份,并返回一个用户票据(相当于认证请求包含有用户信息,单点登录装置根据所述认证请求对所述用户信息进行认证,获得信任凭证);(3)SSO Portal客户端将用户票据写入本地cookie,供访问B/S应用系统使用(相当于与所述第一应用系统架构不同的第二应用系统的第二单点登录平台);(4)SSO Portal客户端向SSO Portal服务器的授权模块发出授权请求;(5)SSO Portal服务器的授权模块返回用户被授权访问的应用列表自动登录脚本和用户凭证表;(6)SSO Portal客户端根据返回的应用列表和自动登录脚本,将这些应用以图标的形式显示在一个图形化用户界面中:(7)完成以上步骤后,如果用户访问C/S应用系统,只需双击相关应用图标,SSO Portal客户端从用户凭证表中获得用户登录所需的用户凭证,替用户自动完成登录过程。
权利要求11保护的技术方案与对比文件4相比,二者的区别特征是:用于根据所述信任凭证放行用户对所述第二应用系统的访问权。对于上述区别特征,对比文件4公开了“SSO Portal客户端将用户票据写入本地cookie,供访问B/S应用系统使用”,可见,该用户票据可以让用户访问B/S应用系统,本领域技术人员能够从对比文件4获得技术启示,想到利用上述用户票据使用户获得第二应用系统的访问权,这是本领域公知常识。
因此,在对比文件4的基础上结合本领域公知常识获得权利要求11的技术方案,对本领域技术人员来说是显而易见的,权利要求4相对于对比文件4和本领域公知常识不具有突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
鉴于权利要求11不具备创造性的无效理由成立,合议组对请求人提出的权利要求11相对于其他证据组合不具备创造性的理由不再予以评述。
权利要求12对权利要求11作了进一步限定,其附加技术特征是“所述单点登录装置包括:第一接口模块,用于接收所述第一单点登录平台发送的包含有所述用户信息的认证请求;认证处理模块,用于根据所述认证请求对所述用户信息进行认证,获得信任凭证;第二接口模块,用于在所述认证处理模块获得所述信任凭证后,向所述第二应用系统的第二单点登录平台发送所述信任凭证”。对比文件1至6至少没有公开“第二接口模块,用于在所述认证处理模块获得所述信任凭证后,向所述第二应用系统的第二单点登录平台发送所述信任凭证”,并且也没有证据表明上述特征属于本领域的公知常识。通过实施权利要求12的技术方案,可以实现用户在第一应用系统上登录后,不需要再次登录,即可获得第二应用系统的访问权,其应用场景更广,可涉及系统架构与位置不同的两个应用系统之间的安全登录,降低安全风险。因此,权利要求12相对于上述对比文件1至6中的任意组合以及与公知常识的结合具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
综上,合议组作出如下决定。
三、决定
宣告200710177884.8号发明专利的权利要求11无效,在权利要求1-10、12的基础上继续维持该专利权有效。
当事人对本决定不服的,可以根据专利法第46条第2款的规定,自收到本决定之日起三个月内向北京知识产权法院起诉。根据该款的规定,一方当事人起诉后,另一方当事人作为第三人参加诉讼。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
