• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G09C
管理番号 1279244
審判番号 不服2011-25798  
総通号数 167 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2013-11-29 
種別 拒絶査定不服の審決 
審判請求日 2011-11-29 
確定日 2013-09-09 
事件の表示 特願2008-542612「鍵管理」拒絶査定不服審判事件〔平成19年 6月 7日国際公開、WO2007/062688、平成21年 4月30日国内公表、特表2009-517703〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由 第1.手続の経緯
本願は,2005年12月01日を国際出願日とする出願であって,
平成20年6月20日付けで特許法第184条の4第1項の規定による明細書,請求の範囲,及び,図面(図面の中の説明に限る),並びに,特許法第184条の8第1項の規定による条約第34条に基づく補正の日本語による翻訳文が提出されると共に審査請求がなされ,平成23年4月4日付けで審査官により拒絶理由が通知され,これに対して平成23年7月7日付けで意見書が提出されると共に手続補正がなされたが,平成23年7月27日付けで審査官により拒絶査定がなされ,これに対して平成23年11月29日付けで審判請求がなされると共に手続補正がなされ,平成24年1月24日付けで審査官により特許法第164条第3項の規定に基づく報告がなされ,平成24年3月8日付けで当審により特許法第134条第4項の規定に基づく審尋がなされ,平成24年6月7日付けで回答書の提出があったものである。

第2.本願発明
本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成23年11月29日付けの手続補正によって補正された,特許請求の範囲の請求項1に記載された次のとおりのものである。

「センサネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法であって,前記送信側通信ユニットと前記受信側通信ユニットは,秘密関数に関する情報を得るように適合され,
前記方法は,
前記送信側通信ユニットにおいて値zを選択するステップ(301)と,
前記送信側通信ユニットにおいて,選択された前記値zの関数として前記秘密関数を計算して鍵を生成するステップ(302)と,
前記鍵を用いてデータを処理するステップ(303)と,
選択された前記zに関連して処理された前記データを,前記受信側通信ユニットに送信するステップ(304)と,
最大k-1個の鍵を生成するためにpを使用してしまったときは,前記秘密関数pを関数p_newで置換するステップと,
前記関数pの暗号処理に基づいてp_newを生成するステップと
を有し,
前記秘密関数がほぼkワイズ独立な関数の集合から選択され,
前記秘密関数は,前記通信ユニット間で共有され,また,独立かつランダムに事前に前記通信ユニットに設定され,
前記鍵は前記送信側通信ユニットの有する情報にのみ基づいて生成されており,
前記通信ユニットのひとつは中央点であり,その他はセンサであり,
前記鍵は,kが前記センサネットワーク内のセンサの数から独立しているにも関わらず,安全に生成されることを特徴とする方法。」

第3.引用刊行物に記載の発明
一方,原審が,平成23年4月4日付けの拒絶理由で引用した,本願の第1国出願前に既に公知である,特開2004-180148号公報(2004年6月24日公開,以下,これを「引用刊行物1」という)には,関連する図面と共に,次の事項が記載されている。

A.「【0016】
【発明の実施の形態】
以下,添付図面を参照して,本発明の一実施の形態について詳細に説明する。
図1は,本発明に係る鍵隔離型暗号復号システムの全体構成を示す図である。図1を示す様に,鍵隔離型暗号復号システム1(暗号データ復号システムに対応)は,特定の暗号文(暗号データに対応)の復号鍵を更新可能に保持する利用者端末10と,利用者端末10の通信相手となるn台(nは自然数)の送信者端末20-1,…,20-j,…,20-n(纏めて「送信者端末20」と記す,jは1?nの整数)と,秘密鍵発行装置100と,公開情報データベース200とを備える。
【0017】
利用者端末10と送信者端末20と公開情報データベース200とは,ネットワークNを経由して相互に各種データの送受信が可能である。図1においては,秘密鍵発行装置100は,利用者端末10及び公開情報データベース200と直接接続されている様に図示しているが,ネットワークNを介して接続されているものとしても勿論よい。以下,鍵隔離型暗号復号システム1の構成要素である各端末装置について詳述する。」(下線は,当審にて,説明の都合上附加したものである。以下,同じ。)

B.「【0028】
送信者端末20-1(データ暗号化端末に対応)は,暗号文の送信者S_(1)により管理される端末装置である。送信者端末20-1は,例えば,利用者端末10から取得された暗号化鍵の算定式e_(1)(y)に,公開情報データベース200から取得されたp_(i)を代入して暗号化鍵e_(1)(p_(i))を計算する。また,送信者端末20-1は,この暗号化鍵を用いて平文m_(i1)を暗号化し,暗号文c_(i1)として,ネットワークNを経由して利用者端末10宛に送信する。
【0029】
j台目の送信者端末について一般化すると,送信者端末20-jは,上記暗号文とは異なる暗号文の送信者S_(j)∈{S_(1),S_(2)・・・,S_(n)}により管理される端末装置である。送信者端末20-jは,上述した手順を経て暗号化鍵e_(j)(p_(i))を計算し,この計算結果である暗号化鍵を用いて平文m_(ij)を暗号化した後,暗号化結果である暗号文c_(ij)を利用者端末10宛に送信する。」

C.「【0033】
まず,図3及び図4を参照して,S1?S21に示す復号鍵更新処理について説明する。
利用者端末10のCPU10aにより,q個の要素をもつ有限体Fq上の多項式である第1の多項式(1)
【数9】
k t
mk*(x,y)=Σ Σb_(ij)x^(i)y^(i) ・・・・(1)
i=0 j=0
及び,第2の多項式(2)
【数10】
k
f(x)=Σa_(i)x^(i) ・・・・(2)
i=0
がランダムに生成される(S1)。
【0034】
続いて,上記有限体F_(q)の部分集合{p_(0),…,p_(q0)}⊆F_(q)のデータが,利用者端末10から公開情報データベース200宛に送信される。このデータは,公開情報Pとして,暗号文の送信者S_(j)を少なくとも含む第三者に公開される(S2)。
【0035】
次いで,S1で生成された第1の多項式mk*(x,y)は,利用者端末10の入出力インタフェース10hを介して,利用者端末10から秘密鍵発行装置100に送付される(S3)。送付された第1の多項式mk*(x,y)は,秘密鍵発行装置100により受領される(S4)。更に,受領された第1の多項式mk*(x,y)は,秘密鍵発行装置100に格納される(S5)。
【0036】
次に,利用者端末10のCPU10aにより,S1で生成された第1の多項式mk*(x,y)及び第2の多項式f(x)から,uk_(0)(x)=f(x)+mk*(x,p_(0))が演算される(S6)。演算結果uk_(0)(x)は,利用者Uの初めての復号鍵として記憶部10e内に保管される(S7)。図3のS6及びS7では,1個目(更新回数0回)の復号鍵が演算及び保管される場合を例示したが,i個目(更新回数i-1回)の復号鍵に関して一般化すると,uk_(i-1)(x)が同様の手法で演算及び保管されることになる。
【0037】
S8では,利用者端末10のCPU10aにより,S1で生成された第1の多項式mk*(x,y)及び第2の多項式f(x)から,e_(j)(y)=f(S_(j))+mk*(S_(j),y)が演算される。jは1?nの整数であるので,演算の結果,e_(1)(y)=f(S_(1))+mk*(S_(1),y),e_(2)(y)=f(S_(2))+mk*(S_(2),y),…,e_(n)(y)=f(S_(n))+mk*(S_(n),y)がそれぞれ得られる。
【0038】
次いで,S8で得られたe_(j)(y)は,利用者端末10の通信部10fにより,送信者端末20(送信者端末20-1,…,20-j,…,20-n)宛に暗号化鍵として発行される(S9)。発行された暗号化鍵は,各送信者端末20により取得される(S10)。暗号化鍵の発行後,暗号化鍵e_(j)(y),第1の多項式mk*(x,y),及び第2の多項式f(x)は,記憶部10eから消去される(S11)。」

D.「【0043】
次に,図5を参照してS22?S27に示す暗号文復号処理について説明する。
送信者端末20-jが利用者端末10宛に暗号文を送信する際には,まず,送信者端末20-jにより,公開情報DB200に公開されているp_(i)が取得される(S22)。S23では,S10で取得されたe_(j)(y)にy=p_(i)が代入され,送信者端末20-j用の暗号化鍵e_(j)(p_(i))が計算される。
【0044】
続いて,この暗号化鍵を用いて,共通鍵暗号化方式により平文m_(ij)が暗号化される(S24)。暗号化の結果得られた値(暗号文)をc_(ij)とすると,例えばc_(ij)=m_(ij)+e_(j)(p_(i))と表される。暗号文c_(ij)は,送信者端末20-jから利用者端末10宛に送付される(S25)。」

1.上記Aの「鍵隔離型暗号復号システム1(暗号データ復号システムに対応)は,特定の暗号文(暗号データに対応)の復号鍵を更新可能に保持する利用者端末10と,利用者端末10の通信相手となるn台(nは自然数)の送信者端末20-1,…,20-j,…,20-n(纏めて「送信者端末20」と記す,jは1?nの整数)と・・・公開情報データベース200とを備える」という記載,及び,上記Aの「利用者端末10と送信者端末20と公開情報データベース200とは,ネットワークNを経由して相互に各種データの送受信が可能である。・・・ネットワークNを介して接続されているものとしても勿論よい」という記載から,引用刊行物1には,
“ネットワークNを介して接続される利用者端末と,利用者端末の通信相手となるn台(nは自然数)の送信者端末,及び,公開情報データベースとを備える,暗号データ復号システム。”
が記載されていることが読み取れる。

2.上記Bの「送信者端末20-1は,暗号化鍵の算定式e_(1)(y)に,公開情報データベース200から取得されたp_(i)を代入して暗号化鍵e_(1)(p_(i))を計算する」という記載,及び,上記Bの「送信者端末20-jは,上述した手順を経て暗号化鍵e_(j)(p_(i))を計算し」という記載,並びに,上記Dの「送信者端末20-jにより,公開情報DB200に公開されているp_(i)が取得され・・・取得されたe_(j)(y)にy=p_(i)が代入され,送信者端末20-j用の暗号化鍵e_(j)(p_(i))が計算される」という記載から,引用刊行物1には,
“送信者端末は,公開情報データベースからp_(i)取得し,取得したp_(i)を暗号化鍵の算定式e_(i)(y)に代入して暗号化鍵を計算する。”
ことが記載されていると読み取れ,“暗号鍵を計算する”ということは,即ち,“暗号鍵を生成する”ことに他ならないことは,明らかである。

3.上記Bの「送信者端末20-1は,この暗号化鍵を用いて平文m_(i1)を暗号化し,暗号文c_(i1)として,ネットワークNを経由して利用者端末10宛に送信する」という記載,及び,上記Bの「計算結果である暗号化鍵を用いて平文m_(ij)を暗号化した後,暗号化結果である暗号文c_(ij)を利用者端末10宛に送信する」という記載,並びに,上記Dの「この暗号化鍵を用いて,共通鍵暗号化方式により平文m_(ij)が暗号化される・・・暗号化の結果得られた値(暗号文)をc_(ij)とすると,例えばc_(ij)=m_(ij)+e_(j)(p_(i))と表される。暗号文c_(ij)は,送信者端末20-jから利用者端末10宛に送付される」という記載と,上記2.にて検討した事項から,引用刊行物1には,
“送信者端末は,計算で求めた暗号化鍵を用いて平文を暗号化し,暗号化結果である暗号文を利用者端末に送信する。”
ことが記載されていると読み取れる。

4.上記2.において言及した,上記Bの記載から,暗号化鍵は,「暗号化鍵の算定式e_(1)(y)に,公開情報データベース200から取得されたp_(i)を代入して暗号化鍵e_(1)(p_(i))を計算する」ものであり,上記Cに引用した記載中の【数9】によれば,「y」は,“t次の多項式”によって表現されるものであるから,「暗号化鍵の算定式e_(1)(y)」は,“t+1ワイズ独立な関数”と言えるものであることは明らかであり,上記Cに記載の【数9】,及び,【数10】は,上記Cの記載から,「ランダムに生成される」ものであることが読み取れる。

以上,1.?4.において検討した事項から,引用刊行物1には,次の発明(以下,これを「引用発明」という)が記載されているものと認める。

ネットワークNを介して接続される利用者端末と,利用者端末の通信相手となるn台(nは自然数)の送信者端末,及び,公開情報データベースとを備える,暗号データ復号システムにおいて,暗号化鍵を生成する方法であって,
前記方法は,
前記送信者端末が,前記公開情報データベースからp_(i)を取得し,
取得したp_(i)を暗号化鍵の算定式e_(i)(y)に代入して暗号化鍵を計算し,
前記送信者端末が,計算で求めた暗号化鍵を用いて平文を暗号化し,
暗号化結果である暗号文を利用者端末に送信するものであって,
前記暗号化鍵の算定式e_(i)(y)は,ランダムに生成される,t+1ワイズ独立な関数である,前記方法。

第4.本願発明と引用発明との対比
1.引用発明においては,「暗号文」を,「送信者端末」から,「利用者端末」に送信しているのであるから,
引用発明における「送信者端末」,「利用者端末」が,
本願発明における「送信側通信ユニット」,「受信側通信ユニット」に相当し,
引用発明における「ネットワークN」は,「送信者端末」と,「利用者端末」の通信に用いられるものあり,本件補正発明における「センサネットワーク」も,「送信側通信ユニット」と,「受信側通信ユニット」との“通信”に用いられるものであって,
引用発明においては,“ネットワークNを介して接続される利用者端末へ,送信者端末から暗号文を送信するもの”であるから,
引用発明における「ネットワークNを介して接続される利用者端末と,利用者端末の通信相手となるn台(nは自然数)の送信者端末,及び,公開情報データベースとを備える,暗号データ復号システムにおいて,暗号化鍵を生成する方法」と,
本願発明における「センサネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法」とは,
“ネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法”である点で共通する。

2.引用発明における「p_(i)」は,「送信者端末」において「暗号化鍵の算定式e_(i)(y)に代入して暗号化鍵を計算」するために用いられる値であるから,
本件補正発明における「値z」に相当するので,
引用発明における「前記送信者端末が,前記公開情報データベースからp_(i)取得し」と,
本願発明における「前記送信側通信ユニットにおいて値zを選択するステップ(301)」とは,
“前記送信側通信ユニットにおいて値zを得るステップ”点で共通する。
引用発明における「取得したp_(i)を暗号化鍵の算定式e_(i)(y)に代入して暗号化鍵を計算し」は,
本願発明における「前記送信側通信ユニットにおいて,選択された前記値zの関数として前記秘密関数を計算して鍵を生成するステップ(302)」に相当し,
引用発明における「前記送信者端末が,計算で求めた暗号化鍵を用いて平文を暗号化し」は,
本願発明における「前記鍵を用いてデータを処理するステップ(303)」に相当し,
引用発明における「暗号化結果である暗号文を利用者端末に送信する」は,
本願発明における「選択された前記zに関連して処理された前記データを,前記受信側通信ユニットに送信するステップ(304)」に相当する。

3.引用発明における「暗号化鍵の算定式e_(i)(y)」は,「ランダムに生成される」のであるから,「t+1ワイズ独立な関数」から選択されるものと言い得るものである。
よって,引用発明における「前記暗号化鍵の算定式e_(i)(y)は,ランダムに生成される,t+1ワイズ独立な関数である」は,
本願発明における「前記秘密関数がほぼkワイズ独立な関数の集合から選択され」に相当する。

4.上記Cで引用した【数9】と,同じく上記Cで引用した「jは1?nの整数であるので・・・e_(j)(y)は,利用者端末10の通信部10fにより,送信者端末20(送信者端末20-1,…,20-j,…,20-n)宛に暗号化鍵として発行される」から,引用発明における「暗号化鍵の算定式e_(i)(y)」は,「y」の関数であって,該「y」は,送信者端末の個数nには依存していないことは明らかであるから,このことは,
本願発明における「前記鍵は,kが前記センサネットワーク内のセンサの数から独立しているにも関わらず,安全に生成される」に相当する。

以上1.?4.において検討した事項から,本願発明と,引用発明との,一致点,及び,相違点は,次のとおりである。

[一致点]
ネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法であって,
前記方法は,
前記送信側通信ユニットにおいて値zを得るステップと,
前記送信側通信ユニットにおいて,選択された前記値zの関数として前記秘密関数を計算して鍵を生成するステップと,
前記鍵を用いてデータを処理するステップと,
選択された前記zに関連して処理された前記データを,前記受信側通信ユニットに送信するステップとを有し,
前記秘密関数がほぼkワイズ独立な関数の集合から選択され,
前記鍵は,kが前記センサネットワーク内のセンサの数から独立しているにも関わらず,安全に生成されることを特徴とする方法。

[相違点1]
“ネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法”に関して,
本願発明においては,「ネットワーク」が,「センサネットワーク」であるのに対して,
引用発明においては,「ネットワークN」が,「センサネットワーク」であるか否かについては,特に,言及されていない点。

[相違点2]
本願発明においては,「送信側通信ユニットと受信側通信ユニットは,秘密関数に関する情報を得るように適合されている」のに対して,
引用発明においては,「送信者端末」と,「利用者端末」とが,「秘密関数に関する情報得るよう適合されている」か,明確ではない点。

[相違点3]
“送信側通信ユニットにおいて値zを得るステップ”に関して,
本願発明においては,「送信側通信ユニットにおいて値zを選択する」ものであるのに対して,
引用発明においては,「送信者端末が,公開情報データベースからp_(i)を取得」するものである点。

[相違点4]
本願発明においては,「最大k-1個の鍵を生成するためにpを使用してしまったときは,前記秘密関数pを関数p_newで置換するステップと, 前記関数pの暗号処理に基づいてp_newを生成するステップとを有」するのに対して,
引用発明においては,「暗号化鍵の算定式e_(i)(y)」の「生成」,及び,「置換」については,言及されていない点。

[相違点5]
本願発明においては,「秘密関数は,前記通信ユニット間で共有され,また,独立かつランダムに事前に前記通信ユニットに設定され」ているのに対して,
引用発明においては,そのような態様は採用していない点。

[相違点6]
本願発明においては,「鍵は前記送信側通信ユニットの有する情報にのみ基づいて生成されて」いるのに対して,
引用発明においては,「公開情報データベースから取得したp_(i)」を用いている点。

[相違点7]
本願発明においては,「通信ユニットのひとつは中央点であり,その他はセンサであ」るのに対して,
引用発明における「送信者端末」,「利用者端末」が「センサ」であることについての言及がない点。

第5.相違点についての当審の判断
1.[相違点1],及び,[相違点7]について
センサネットワークを構成する各センサにおいて暗号鍵を生成する点については,原審が,平成23年4月4日付けの拒絶理由に引用した,本願の第1国出願前に既に公知である,「LIU, D. et al., Establishing Pairwise Keys in Distributed Sensor Networks, ACM Transactions on Information and System Security, 2005年2月, Vol. 8 No. 1, p.41-77」(以下,これを「引用刊行物2」という)に,

E.「2. POLYNOMIAL-BASED KEY PREDISTRIBUTION FOR SENSOR NETWORKS
In this section, we briefly review the basic polynomial-based key predistribution protocol in [Blundo et al. 1993], which is the basis of our new techniques.
The protocol in [Blundo et al. 1993] was developed for group key predistribution. Since our goal is to establish pairwise keys, for simplicity, we only discuss the special case of pairwise key establishment in the context of sensor networks.
To predistribute pairwise keys, the (key) setup server randomly generates a bivariate t-degree polynomial
t
f (x, y) =Σa_(ij)x^(i)y^(j) over a finite field Fq,
i, j=0
where q is a prime number that is large enough to accommodate a cryptographic key, such that it has the property of f (x, y) = f ( y, x). (In the following, we assume all the bivariate polynomials have this property without explicit statement.) It is assumed that each sensor node has a unique ID. For each node i, the setup server computes a polynomial share of f (x, y), that is, f (i, y). This polynomial share is predistributed to node i. Thus, for any two sensor nodes i and j , node i can compute the key f (i, j) by evaluating f (i, y) at point j , and node j can compute the same key f ( j, i) = f (i, j) by evaluating f ( j, y) at point i. As a result, nodes i and j can establish a common key f (i, j ).
In this approach, each sensor node i needs to store a t-degree polynomial f (i, x), which occupies (t + 1) log q storage space. To establish a pairwise key, both sensor nodes need to evaluate the polynomial at the ID of the other sensor node. (In Section 6, we will present techniques to reduce the computation required to evaluate polynomials.) There is no communication overhead during the pairwise key establishment process.
The security proof in [Blundo et al. 1993] ensures that this scheme is unconditionally secure and t-collusion resistant. That is, the coalition of no more than t compromised sensor nodes knows nothing about the pairwise key between any two noncompromised nodes.
It is theoretically possible to use the general group key distribution protocol in [Blundo et al. 1993] in sensor networks. However, the storage cost for a polynomial share is exponential in terms of the group size, making it prohibitive in sensor networks. In this paper, we will focus on the problem of pairwise key establishment.」(44頁20行?45頁7行)
(センサネットワークのための多項式ベース鍵事前配布
この節では,我々の新しい手法の基礎である,[Blundo 他 1993年]における基礎的な多項式ベース鍵事前配布プロトコルを,簡単に総括する。[Blundo 他 1993年])におけるプロトコルは,グループ鍵の事前配信のために開発された。我々の目標は,一対の鍵の生成であるから,簡単のために,センサネットワークのコンテキストおいて,一対の鍵生成の特別な事例についてのみ議論する。
一対の鍵を事前配布するために,(鍵)設定サーバは,無作為に,有限体Fq上に,2変数t次多項式,
t
f (x, y) =Σa_(ij)x^(i)y^(j)
i, j=0
を生成する。
ここで,qは,f (x, y) = f ( y, x)という性質を有するような,暗号鍵を提供するのに十分大きい素数である(以下では,明確な記述は除いて,全ての2変数多項式が,この性質を有すると仮定する)。それぞれのセンサ・ノードは,個別のIDを有すると仮定する。それぞれのノードiについて,設定サーバは,共有多項式f(x,y),即ち,f(i,y)を計算する。共有多項式は,ノードiに,事前配布される。それ故,任意の2つのセンサ・ノードi,及び,jについて,ノードiは,j点のf(i,j)を求めることで,鍵f(i,j)を計算することができ,そして,ノードjは,i点におけるf(j,y)を求めることで,f(i,j)と同じ鍵f(j,i)を計算することができる。結果として,ノードi,及び,ノードjは,共通鍵f(i,j)を生成することができる。
このやり方においては,それぞれのセンサ・ノードiは,(t+1)logqの格納領域を占める,t次多項式f(i,x)を格納する必要がある。一対の鍵を生成するために,両方のセンサ・ノードは,他方のセンサ・ノードのIDで,多項式の解を求める必要がある。(6節において,多項式の解を求めるために要求される計算を減らす手法を示す。)一対の鍵生成過程の間の通信のオーバーヘッドはない。
[Blundo 他 1993年]における安全性証明は,このスキームが,無条件に安全で,かつ,t人結託に耐性を有することを保証している。それ故,高々,秘密漏洩したt個のノードが結託しても,任意の,秘密漏洩していない,2つのノード間の一対の鍵について,何も知ることはない。
センサネットワークにおいて,[Blundo 他 1993年]における一般的な,グループ鍵配布プロトコルを用いることは,理論上可能である。しかしながら,多項式を共有するための格納負荷は,センサネットワークにおいて,それを禁止するようにすることである,グループ・サイズに関して,指数関数的である。我々は,一対の鍵生成の問題に着目する。)

と記載されているように,当業者には,本願の出願前に,既に,公知の技術事項であり,
また,「センサネットワーク」において,「中央」となるものを含むよう構成する点についても,平成23年4月4日付けの拒絶理由で引用された本願の第1国出願前に既に公知である,「SHI, E. et al., DESIGNING SECURE SENSOR NETWORKS, IEEE Wireless Communications, 2004年12月, Volume 11 Issue 6, p.38-43」(以下,これを「引用刊行物3」という)に,

F.「THE BASE STATION AS A POINT OF TRUST
Sensor networks are usually deployed with one or more base stations. A base station is a much more powerful node with rich computational, memory, and radio resources. A base station usually exists in the form a PC or server. It serves as the data sink/processor, and as the interface between the sensor network and the external world. It is reasonable to assume that a base station is physically protected or has tamper-robust hardware, so we can conveniently rule out base station compromise. Thus, the base station can act as a central trusted authority in protocol design. Given the numerous security breaches of recent “secure” systems, we need to be very careful with such assumptions, and do our best to retain a maximum level of security in case even the base station is compromised.
However, scalability becomes a major concern if we make use of a central trusted authority in attack defense mechanisms. For instance, a simple way to establish pairwise keys between sensor nodes is to have the base station act as an intermediary: each node is configured with a secret key that it shares with the base station. We call the secret key node A shares with the base station K_(A), and similarly K_(B) is the shared key between node B and the base station. If nodes A and B wish to establish a shared secret key K_(AB), the base station can act as a trusted intermediary to establish that key, for example, by sending a random K_(AB) encrypted with K_(A) to node A and encrypted with K_(B) to node B. However, nonces or other mechanisms need to be used to ensure key freshness [2].」(39頁左欄47行?右欄14行)
(信用のポイントとしての,ベース・ステーション
センサネットワークは,通常,1つ以上のベース・ステーションを配置している。ベース・ステーションは,豊富な計算力,記憶容量,及び,通信資源を有する,非常に強力なノードである。ベース・ステーションは,通常,PC,或いは,サーバの形式で存在する。それは,データ・シンク/プロセッサ,及び,センサネットワークと,外界とのインターフェースとして機能する。ベース・ステーションは,物理的に保護されるか,或いは,耐タンパなハードウェアを有していると仮定しておく。従って,ベース・ステーションの情報漏洩は,都合良く無視することができる。それ故,ベース・ステーションは,プロトコルの構造において,中央の信頼された機関として振る舞うことができる。最近の“セキュア”システムの,多数のセキュリティ違反を仮定して,このような仮定は慎重に行う必要があり,そして,万一,ベース・ステーションが,セキュリティ侵害されることあった場合に備えて,最高レベルのセキュリティを保つよう,最善を尽くす。
しかしながら,もし,攻撃防御機構として,中央の信頼された機関を活用するとしたら,スケーラビリティは,重要な関心事となる。例えば,センサ・ノード間の一対の鍵を生成するための簡単な方法は,仲介者として振る舞うベース・ステーションを有することです:それぞれのノードは,ベース・ステーションと共有する秘密鍵が設定されている。ベース・ステーションと,ノードAとが共有する鍵を,K_(A),そして,同様に,K_(B)は,ノードBと,ベース・ステーションとの間で共有される鍵である。もし,ノードAと,ノードBが,共有秘密鍵K_(AB)の作成を望むとすると,ベース・ステーションは,例えば,ノードAのために,K_(A)で暗号化された,及び,ノードBのために,K_(B)で暗号化された,ランダムなK_(AB)を送信することで,信頼された仲介者として振る舞うことができる。しかしがら,使い捨て乱数データ,或いは,他の機構が,鍵の更新を保証するために用いられることが,必要である。)

と記載されているように,当業者には,本願の出願前に,既に,公知の技術事項であって,
引用刊行物2に記載の発明における「センサ」は,それぞれ,一種の通信機器であることは明らかであり,また,引用刊行物2に記載の発明においては,t次の有限体上の多項式を用いて,「一対の鍵」,即ち,暗号鍵の生成を行っているので,引用発明と,引用刊行物2に記載の発明とは,通信機器間で送受される情報を暗号化するための暗号鍵を,有限体上の多項式を用いて生成する技術である点で共通するので,引用刊行物2に記載の発明における「センサ」において「暗号化鍵」の生成を,引用発明に記載の手法を採用することで,行うように構成することは,当業者が適宜行い得る事項である。
また,引用発明2におけるネットワークを,センサーネットワークとした場合において,該センサネットワークにおいて,中央となるノードを設けることも,上記指摘のとおり,引用刊行物3に記載の発明が,本願の第1国出願前に既に公知である以上,当業者が適宜なし得る事項である。
よって,相違点1,及び,相違点7は,格別のものではない。

2.[相違点2]について
引用発明においては,「秘密関数に関する情報を得るように適合されている」という明文の記載はないが,上記Cで引用した記載から,「利用者端末」において,「暗号鍵の算定式」(本件補正発明におけるい「秘密関数」に相当)を計算するための多項式が生成され,「利用者端末」は,該「多項式」を用いることで「暗号鍵の算定式」を求めているから,“「多項式」を用いる”ができることが,正しく,「秘密関数に関する情報を得るように適合されている」ことを意味し,また,上記Bで引用した記載から,「利用者端末」は「暗号鍵の算定式」を取得しているのであるから,これは正しく,「秘密関数に関する情報を得るように適合されている」ことを意味している。
よって,相違点2は,格別のものではない。

3.[相違点3],及び,[相違点6]について
「z」を,「送信側通信ユニットにおいて選択する」点については,原審が平成23年4月4日付けの拒絶理由に引用した,本願の第1国出願前に既に公知である,特開昭61-141231号公報(1986年6月28日公開,以下,これを「引用刊行物4」という)に,

G.「第1図は送信系を示しており,端子(IT)には音声信号S_(A)が供給される。この音声信号S_(A)は,A/D変換器(2T)でデジタル信号に変換されたのち,時間軸圧縮回路(3T)でフレーム毎に時間軸圧縮されて合成器(4T)に供給される。この合成器(4T)では,後述するM系列符号発生器からのM系列符号の識別信号(以下,キーコードともいう)C_(KEY)が付加される。このキーコードC_(KEY)としては1フレーム後のM系列符号に対応するものとされる。
合成器(4T)の出力信号はエンコーダ(5T)に供給され,誤り訂正符号,例えばBCH符号C_(BCH)が付加される。第2図は,このエンコーダ(5T)の出力信号を示している。尚,同図において,FSは後に付加されるフレーム同期信号である。
このエンコーダ(5T)の出力信号はインターリバ(6T)に供給されて,インターリーブされたのち,スクランブル回路を構成するイクスクル-シブオア回路(7T)の一方の入力側に供給される。
また,(8T)はM系列符号発生器であり,スクランブル制御回路(9T)によって,所定タイミング毎にその生成多項式f(x)が変えられる。この発生器(8T)にはパルス発生器(10T)よりフレーム同期信号FS及びビットクロック信号CLK_(BT)が供給されると共に,制御回路(9T)には,フレーム同期信号FSが供給される。パルス発生器(10T)にはクロック発生器(11T)からクロック信号CLK_(T)が供給され,上述したフレーム同期信号FS,ビットクロック信号CLK_(BT)の他に,回路各部で使用されるパルス,クロック信号が発生される。尚,制御回路(9T)により上述したキーコードC_(KEY)が発生され,これが合成器(4T)に供給される。」(2頁左上欄15行?左下欄7行)

H.「即ち,第7図Aはフレーム同期信号FSを示すものであり,また同図Bはデコーダ(5R)(第2図参照)の出力信号を示すものであり,18, 5A, C3・・・等はキーコードC_(KEY)を示している。あるフレーム同期信号FSののちに,キーコード分離回路(4R)(第2図参照)でキーコードC_(KEY)が分離され制御回路(9R)に供給される。このキーコードC_(KEY)は次のフレームをスクランブルしているM系列符号SNの初期値を示すものである。このキーコードC_(KEY)が供給されると,制御回路(9R)のマイコン(25)の出力端子O_(1)?O_(10)には,第7図Dに示すようにキーコードC_(KEY)に基づく初期値設定データが出力される。そして,次のフレーム同期信号FSに同期して回路(22),(23)のイネーブル端子にプリセットイネーブル信号S_(K)(第7図Cに図示)が供給され,回路(22),(23)のDフリップフロップの初期値は,第7図Eに示すようにキーコードC_(KEY)に対応したものとされる。即ち,発生器(8R)からはスクランブルされたときと同じ初期値のM系列符号S_(M)が発生され,デスクランブルが良好になされる。」(5頁右下欄1行?6頁左上欄1行)

と記載され,ここで,上記G,及び,Hで引用した記載中の「C_(KEY)」は,引用発明における「p_(i)」に相当するものであり,上記Gの記載にもあるとおり,該「C_(KEY)」は,送信系の有する制御回路によって生成されるものであり,引用刊行物4に係る発明は,上記G,及び,Hの記載内容から,「送信系」において,該「C_(KEY)」と,「M系列符号発生器」の「生成多項式f(x)」とを用いて,送信信号を「スクランブル」,即ち,一種の暗号化を行うものであるから,暗号化に用いる値を,送信側内部から取得するよう構成することは,本願の第1国出願前に既に公知の技術事項である。
よって,引用発明においても,「送信者端末」が,前記「p_(i)」を「公開情報データベース」から取得することに代えて,「送信者端末」内部から取得するように構成することは,当業者が適宜なし得る事項である。
よって,相違点3,及び,相違点6は,格別のものではない。

4.[相違点4]について
本件補正発明において,“最大k-1個の鍵を生成するためにpを使用してしまったときは,秘密関数pを関数p_newで置換するステップ”,及び,“関数pの暗号処理に基づいてp_newを生成するステップ”を有しているのは,補正後の請求項1に記載された内容からみて,「センサネットワークの送信側通信ユニットと受信側通信ユニットとの間の通信の暗号処理のための鍵を生成する方法」である。
即ち,本件補正発明においては,「秘密関数p」を,どこで「生成」するかについては,特段,限定されていない。
したがって,本件補正発明は,「送信側通信ユニット」で,“秘密関数pを生成し,前記生成した秘密関数pを用いて,秘密関数の置換を行う”態様,「受信側通信ユニット」で,“秘密関数pを生成し,前記生成した秘密関数pを用いて,秘密関数の置換を行う”態様,及び,「送信側通信ユニット」,「受信側通信ユニット」の何れでもない場所において,“秘密関数pを生成し,前記生成した秘密関数pを用いて,秘密関数の置換を行う”態様の,何れかを含むものである。
ここで,「通信ユニット」で,“秘密関数pを生成し,前記生成した秘密関数pを用いて,秘密関数の置換を行う”態様については,原審が,平成23年4月4日付けの拒絶理由で引用した,本願の第1国出願前に既に公知である,特開平09-212089号公報(1997年8月15日公開,以下,これを「引用刊行物5」という)に,

I.「【0056】(実施の形態3)実施の形態2では,あらかじめ端末排除の回数分の多項式を選択し,これに対応した分配鍵情報を各端末に格納しておく。そして端末排除のたびにこれを順番に使用し,その都度排除した端末以外で,新しい秘密鍵が共有されるものであった。これに対し,実施の形態3では,1つの分配鍵情報を格納し,端末排除のたびにこれを更新して新しい分配鍵情報を各端末で求めるといった方法である。実施の形態2に比べて端末における分配鍵情報の格納領域が削減できる。また実施の形態2が端末排除の回数があらかじめ格納している分配鍵情報の個数に依存して有限であったのに対し,実施の形態3ではこの制限がない。図4は,端末T3の構成を示したものであり,図3に分配鍵情報を更新する部分を追加している。1,2,3は図3と同じである。端末T3は秘密鍵算出部3の出力として前記1次多項式f(x)の傾きaと切片bを求める。なお,図では秘密鍵算出部は,端末T1を排除して残りの端末で共有する秘密鍵としてaを出力しているが,これは上記求めた傾きa,bを用いて例えばbまたはa+bなどを秘密鍵としてもよい。4は秘密鍵算出部2で求めた前記aとbをそれぞれ固定の秘密変換して,その結果のa',b'を新たな傾きと切片とする新しい1次多項式f'(x)=a'x+b' modpを求める変換部である。5はこの新しい1次多項式f'(x)に,端末T3の識別情報格納部5に格納されているID3を代入して新しい分配鍵情報を求める分配鍵情報更新部である。この出力が1の分配鍵情報格納部に新たに設定され,分配鍵情報が更新される。なお,このうち変換部と分配鍵情報更新部はユーザに内部が見られないことが必要である。図4におけるハッチングはこのことを意味にしている。これは,もし端末で新しい多項式f'(x)が見られると,他の端末の分配鍵情報は勿論,本来センターから排除すべき端末の分配鍵情報が通知されて初めて求められるはずの秘密鍵がすでに求められるからである。なお,変換部と分配鍵情報更新部をユーザに見られない部分で実行する代わりに,実行時のデータを見ることはできないという前提のもと,分配鍵情報を更新した後に新しい多項式f'(x)の係数a', b'を消去してもよい。これにより,ユーザに見られない特別な部分を備える必要はなくなる。」

と記載されているとおり,本願の第1国出願前に,当業者には周知の技術事項である。
また,本願発明において,「最大k-1個の鍵を生成するためにpを使用してしまったとき」とは,“暗号システムへの攻撃者によって,最大k-1個の鍵が取得された可能性が発生した場合”と,暗号のセキュリティ上の意味合いは同義であることは,暗号の技術分野においては周知の事項である。
そして,同じく,原審が,平成23年4月4日付けの拒絶理由に引用した,本願の第1国出願前に既に公知である,「HANAOKA, Y., et al., Information-Theoretically Secure Key Insulated Encryption: Models, Bounds and Constructions, IEICE Transactions on Fundamentals, 2004年10月, Vol. E87-A No.10, p.2521-2532」(以下,これを「引用刊行物6」という)に,

J.「In KIE, if the trusted device is not compromised, then user's secret keys of at most t different stage can be exposed and still have the encrypted message of the remaining stages to be unaffected. Exposure of t+1 stages even without the exposure of trusted device could break the system.」(2521頁右欄末行?2522頁左欄5行)
(KIEにおいては,信頼されたデバイスが,セキュリティ侵害されていなければ,高々tの異なるステージのユーザの秘密鍵が暴露されたときに,侵されていない,残りのステージの暗号化されたメッセージを持つことができる。t+1のステージの暴露が,信頼されたデイバイスの暴露がなしで,システムを破壊することができる。)
と記載されているように,本願発明のような,“有限体の鍵生成多項式を用いた暗号手法において,該鍵の生成多項式が,所定の数の暗号鍵が暴露されると危険になる”ことは,当業者には,周知の技術事項である。
したがって,引用発明において,鍵の生成多項式が,“所定の数の鍵が取得可能となるような条件が発生し”,鍵の生成多項式の更新の必要が生じた場合に,該生成多項式を,新しい多項式に更新することは,当業者が適宜なし得る事項である。
よって,相違点4は,格別のものではない。

なお,鍵の生成多項式の更新に関しては,例えば,本願の第1国出願前に既に公知である,特開2000-101563号公報(2000年4月7日公開,以下,これを「周知技術文献1」という)に,

K.「【0041】ステップ301) ユーザA計算機600とユーザB計算機500が同期して走行している。
ステップ302) ユーザA計算機600とユーザB計算機500において,第1の認証関数保持部601と第2の認証関数保持部501に格納される関数の取決めを行う。ここで関数(認証情報)は,
f(t)=a_(0)t^(0)+a_(1)t^(1)+・・・+a_(n-1)t^(n-1)+a_(n)t^(n)但し,n次多項式f(t)の係数a_(0),a_(1),・・・a_(n-1),a_(n)が共有情報に該当し,f(t)が認証情報に該当する。なお,tは時間を表す。
・・・・・(中略)・・・・・
【0044】ステップ306) 第2の認証関数値算出部503は算出された関数値f(t)’とユーザA計算機600から受信した関するf(t)を認証関数値比較部505に転送し,認証関数値比較部505は,関数値同士を比較して認証を行う。
ステップ307) ここで,通信回数計測部506において,関数の使用回数が一定値を超えたかを判定し,新たな認証関数係数と時間から認証関数を生成し,認証関数係数部508において生成した新たな認証関数係数を更新する。」

L.「【0056】第1には,鍵を生成する関するf(t)を一定時間(例えば1時間)毎に変更する。なお,変更部分は例えば係数とする。変更方法は,本発明で提案した暗号化の仕組みの中で行うものとする。第2は,鍵を変更する時間巾から一定時間(例えば1時間)に最大何回鍵が生成されるか分かるので,それ以上のサンプルを収集しないとf(t)は計算できないようにすることにより,f(t)をわかりにくくする。つまり,n次元関数F(t)を解くには少なくともn個の数式が必要となり,従って,n-1回鍵情報を生成した時点で関数を交換すれば第三者に解かれることがない。第3には,通信する2者間の計算機間で同期をとる。」

と記載されていて,上記引用の周知技術文献1に記載の内容からも,
“暗号鍵を生成するn次多項式f(t)を,通信を行う装置間で共有し,該n次多項式f(t)は,n個の多項式が取得できると,即ち,n回の鍵の生成を行い,該n回の鍵の値を全て取得できたとすると,該多項式を構成する係数値を算出することが可能となることから,鍵の生成をn-1回行った時点で,該多項式を,送信を行う装置内で,該装置内の情報を用いて新たな係数値を生成して,多項式を更新する”ことは,当業者には,本願の第1国出願前に既に,周知の技術事項であり,該多項式の“暗号処理に基づいて生成する”点についても,上記Jに,「変更方法は,本発明で提案した暗号化の仕組みの中で行うものとする」との記載があるとおり,当業者には周知の技術事項である。
したがって,この点からみても,引用発明において,“t+1ワイズ独立な関数である,暗号化鍵の算定式e_(i)(y)”を用いて,鍵生成を行う場合に,t個の鍵を生成した時点で,「暗号化鍵の算定式e_(i)(y)」の暗号化の仕組みの中で,新たな暗号鍵の算定式を算出して,算出した新たな暗号鍵の算定式を用いて,該算定式の更新を行うように構成することは,当業者が適宜なし得る事項である。

5.[相違点5]について
“秘密関数は,通信ユニット間で共有される”点については,引用刊行物4に,

M.「次に,第4図は受信系を示すものである。
同図において,(13R)はDPSK復調器を示し,図示せずもアンテナより得られる信号がFM復調された後,分離された信号S_(MOD)が供給される。
この復調器(13R)で復調された信号はフレーム同期分離回路(12R)に供給され,この分離回路(12R)で分離されたフレーム同期信号FSは,M系列符号発生器(8R),デスクランブル制御回路(9R)及びパルス発生器(10R)に供給される。
パルス発生器(l0R)からはフレーム同期信号FSに同期したピットクロック信号CLK_(BR)が発生され,発振器(8R)に供給される。尚,パルス発生器(10R)からは,ビットクロック信号CLK_(BR)の他に,回路各部で使用されるパルス,クロック信号等が発生される。
M系列符号発生器(8R)は上述した送信系の発生器(8T)と同様に構成され,デスクランブル制御回路(9R)も上述した制御回路(9T)と同様にマイコン(20)及びランチ回路(21)を有して構成される(第3図参照)。発生器(8R)は制御回路(9R)によって,所定タイミング毎にその生成多項式f(x)が変えられる。この発生器(8R)からのM系列符号S_(M)はデスクランブル回路を構成するイクスクルーシブオア回路(7R)の一方の入力側に供給される。このイクスクルーシブオア回路(7R)の他方の入力側には,同期分離回路(12R)から,フレーム同期信号FSが分離された残りの信号,即ちスクランブルされている信号S_(SC)が供給される。」(3頁右下欄13行?4頁右上欄1行)

と記載され,該記載中に,「M系列符号発生器(8R)は上述した送信系の発生器(8T)と同様に構成され,・・・発生器(8R)は制御回路(9R)によって,所定タイミング毎にその生成多項式f(x)が変えられる」と記載されているように,本願の第1国出願前に,当業者には,周知の技術事項であり,引用刊行物4において,受信系の構成は,送信系とは,任意,独立に構築可能であることも明らかである。
そして,引用発明も,引用刊行物4に記載の発明も,生成多項式を用いて鍵を生成する暗号系を有する通信システムである点で共通するので,
引用発明においても,「暗号鍵の算定式」を,システムの要求に応じて,共有化する場合には,各送信者端末に,当該「算定式」を,独立かつランダムに設定することは,当業者が適宜行い得る事項である。
よって,相違点5は,格別のものではない。

上記で検討したごとく,相違点1?7はいずれも格別のものではなく,そして,本願発明の構成によってもたらされる効果も,当業者であれば当然に予測可能なものに過ぎず格別なものとは認められない。

第6.むすび
したがって,本願発明は,本願の特許出願前に日本国内又は外国において頒布された刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許を受けることができない。

よって,結論のとおり審決する。
 
審理終結日 2013-04-05 
結審通知日 2013-04-08 
審決日 2013-04-25 
出願番号 特願2008-542612(P2008-542612)
審決分類 P 1 8・ 121- Z (G09C)
最終処分 不成立  
前審関与審査官 中里 裕正  
特許庁審判長 山崎 達也
特許庁審判官 仲間 晃
石井 茂和
発明の名称 鍵管理  
代理人 大塚 康徳  
代理人 高柳 司郎  
代理人 木村 秀二  
代理人 下山 治  
代理人 大塚 康弘  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ