• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 特許、登録しない。 G06F
管理番号 1315114
審判番号 不服2014-22216  
総通号数 199 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2016-07-29 
種別 拒絶査定不服の審決 
審判請求日 2014-10-31 
確定日 2016-05-25 
事件の表示 特願2011- 11158「データ分散管理システム、装置及びプログラム」拒絶査定不服審判事件〔平成24年 8月16日出願公開、特開2012-155360〕について、次のとおり審決する。 
結論 本件審判の請求は、成り立たない。 
理由
第1 手続の経緯

本件審判請求に係る出願(以下,「本願」という。)は,平成23年1月21日の出願であって,その手続の経緯は以下のとおりである。

平成25年 9月 4日 :出願審査請求書の提出
平成26年 5月 8日付け :拒絶理由の通知
平成26年 7月 9日 :意見書,手続補正書の提出
平成26年 8月 1日付け :拒絶査定
平成26年10月31日 :審判請求書の提出


第2 本願発明

本願の請求項1乃至7に係る発明は,上記平成26年7月9日付け手続補正書により補正された特許請求の範囲の請求項1乃至7に記載されたとおりのものであると認められるところ,その請求項1に係る発明(以下,「本願発明」という。)は,以下のとおりのものである。

「 パスワードに基づきアカウント情報及び検証情報の対を生成し,前記アカウント情報を保存している装置は,入力された前記パスワード及び前記アカウント情報により認証データを生成し,前記アカウント情報の対となる検証情報を保存している装置は,前記認証データと前記検証情報により前記アカウント情報を保存している装置を認証し,前記パスワードに基づき,保護すべきデータから,前記保護すべきデータを生成する複数の値を生成し,前記保護すべきデータを生成する複数の値を,前記アカウント情報を保存している装置と前記検証情報を保存している装置に分散して保存する,データ分散管理システムであって,
第1のアカウント情報及び第2のアカウント情報を有する第1の装置と,
前記第1のアカウント情報の対である第1の検証情報を有する第2の装置と,
前記第2のアカウント情報の対である第2の検証情報を有する第3の装置と,
を備えており,
前記第1の装置は,70ビット以上のランダム値を生成して第1のパスワードとする手段と,前記第2の装置と通信して,前記第1のパスワードに基づき第3のアカウント情報及び第3の検証情報の対を生成する手段と,前記第3のアカウント情報を前記第3の装置に送信する手段とを備えており,
前記第2の装置は,前記第3の検証情報を保存する手段を備えており,
前記第3の装置は,前記第3のアカウント情報を前記第1の装置から受信して保存する手段を備えており,
前記第1のアカウント情報及び前記第1の検証情報の対と,前記第2のアカウント情報及び前記第2の検証情報の対は,それぞれ,前記第1のパスワードとは異なる第2のパスワードに基づき生成されている,
ことを特徴とするシステム。」


第3 引用例

1 引用例1に記載されている技術的事項および引用発明

(1)本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となり,原審の拒絶査定の理由である平成26年5月8日付けの拒絶理由通知において引用された,Hideki Imai,et al.,New Security Layer for OverLay Networks ,JOURNAL OF COMMUNICATIONS AND NETWORKS,Vol.11,No.3,2009年6月(以下,「引用例1」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。また,“○+”は排他的論理和の記号とする。)

A 「II. A LEAKAGE-RESILIENT AUTHENTICATION AND DATA MANAGEMENT SYSTEM (SINGLE MODE)
In this section, we propose a single mode for the leakageresilient authentication and data management system (see Fig.1). 」(212頁右欄下から11行-下から7行)

(当審仮訳; II. 情報漏洩に堅牢な認証とデータ管理システム(シングルモード)
このセクションでは,情報漏洩に堅牢な認証とデータ管理システム(図1参照)のためのシングルモードを提案する。)

B 「A.2 SEC Update Protocol
In the SEC update protocol, the user registers his/her password pw’ to the server (see Fig. 6). In fact, the user registers a combined value ss_1 of a randomly-chosen number cs_1 and pw’ to the server. At the end of this protocol, the client stores the secret cs_1 on memory and the server holds the authentication secret ss_1 on its database.」(216頁左欄1行-7行)

(当審仮訳; A.2 SEC 更新プロトコル
SEC更新プロトコルでは,ユーザは彼/彼女のパスワードpw’をサーバに登録する(図6参照)。実際にはユーザは,ランダムに選択された数cs_1とpw’を組み合わせた値ss_1をサーバに登録する。このプロトコルの終了時に,クライアントはメモリ上に秘密値cs_1を保存し,サーバはデータベースに認証秘密値ss_1を保持する。)

C 「A.3 Regular Protocol
The regular protocol can be used for usual setup (j=0) and for the j-th (j≧1) protocol execution (see Figs. 7 and 8). Actually, this protocol is an extension of [19] in the sense that an authenticated client can recover the data key dk from his/her partial data key (cdk_j) and server’s partial data key (sdk_j), transmitted through secure channels.
…(中略)…
At the start of the jth (j≧1) authentication phase, the client stores j-th secrets (pcid_j,cs_j,n,e,cdk_j) on memory and the server holds the corresponding secrets (hpcid_j,ss_j,n,d,sdk_j) on its database. First, the client encrypts a randomly-chosen pre-master secret pms with the RSA public key PK=(e,n) and then masks the ciphertext with msk, computed from the password pw and the stored secret cs_j. The resultant value z and the one-time id pcid_j are sent to the server. As the server holds the authentication secret ss_j and the RSA private key SK=(d,n), the pms and its derivative value (ms) are shared between the client and the server. After authenticating each other, they additionally generate a symmetric-key sk and an initial vector iv for message confidentiality, a MAC key mk for data integrity, and update secrets (uss and usdk) for the current stored secrets. As we already explained before, the sk, iv and mk realize secure channels between the client and the server.Through the established secure channels, the server sends the current partial data key sdk_j to the client, who can easily retrieve the data key dk with cdk_j○+sdk_j○+dkmsk where dkmsk is a data-key mask computed from the password pw and uid. At the same time, the client and the server update the current stored secrets ((cs_j,cdk_j) and (ss_j,sdk_j)) to new stored secrets ((cs_(j+1),cdk_(j+1)) and (ss_(j+1),sdk_(j+1))) with uss and usdk, respectively. In addition, the client registers a onetime ID hpcid_(j+1) to the server. If the client agrees with the server to update some information (i.e., password/data key/PK), the corresponding update protocols would be performed successively. If j=0, the PWD update and DK update protocols should be followed because the initial password is set to empty. At the end of the j-th (j≧1) authentication phase, the client stores (j+1)-th secrets (pcid_(j+1),cs_(j+1),n,e,cdk_(j+1)) on memory and the server holds the corresponding secrets (hpcid_(j+1),ss_(j+1),n,d,sdk_(j+1)) on its database for the next session. Note that, if the communications between the client and the server are disconnected in the updating process, either party should keep j-th and (j+1)-th stored secrets for the next authentication.」(216頁左欄8行-217頁左欄下から1行)

(当審仮訳; A.3 レギュラープロトコル
レギュラープロトコルは,通常の設定(J=0)とj番目(j≧1)プロトコルを実行するために使用することができる(図7及び8参照)。実際には,このプロトコルは,セキュアなチャネルを介して送信され,認証されたクライアントは,彼/彼女の部分データ鍵(cdk_j)と,サーバの部分データ鍵(sdk_j)からデータ鍵dkを復元することができるという意味で,[19]の延長である。
…(中略)…
j番目(j≧1)認証フェーズの開始時に,クライアントがメモリ上のj番目の秘密値(pcid_j,cs_j,n,e,cdk_j)を保存し,サーバが対応する秘密値(hpcid_j,ss_j,n,d,sdk_j)をそのデータベースに保持する。まず,クライアントは,RSA公開鍵PK=(e,n)を用いてランダムに選択されたプレマスター秘密値pmsを暗号化し,パスワードpwおよび保存秘密値cs_jから計算されたmskを用いてその暗号文をマスク処理する。得られた値zと,ワンタイムIDであるpcid_jがサーバに送信される。サーバが認証秘密値ss_jとRSA秘密鍵SK=(d,n)を保持することから,pmsとそれから導出された値(ms)は,クライアントとサーバ間で共有される。互いを認証した後,それらはさらに,メッセージの機密性のための対称鍵skと初期ベクトルiv,データ整合性のためのMACキーmk,現在保存秘密値の更新された秘密値(ussとusdk)を生成する。既に前で説明したように,sk,ivおよびmkは,クライアントとサーバの間の安全なチャンネルを実現する。確立された安全なチャネルを介して,サーバはクライアントに現在の部分データ鍵sdk_jを送信し,そのクライアントは,dkmskがパスワードpwとuidから計算されたデータ鍵マスクであるcdk_j○+sdk_j○+dkmskを用いてデータ鍵dkを簡単に取得することができる。同時に,クライアントとサーバは,それぞれussとusdkを用いて,現在保存秘密値(cs_j,cdk_j)と(ss_j,sdk_j)を新しい保存秘密値(cs_(j+1),cdk_(j+1))と(ss_(j+1),sdk_(j+1))にそれぞれ更新する。さらに,クライアントは,ワンタイムIDであるhpcid _(j+1)をサーバに登録する。クライアントは,いくつかの情報(例えば,パスワード/データ鍵/ PK)を更新することについてサーバと同意した場合に,対応する更新プロトコルが順次実行される。 j= 0の場合,初期パスワードが空に設定されているので,PWD更新とDK更新のプロトコルが続いて実行されるべきである。 j番目(j≧1)認証段階の最後には,次のセッションのために,クライアントがメモリ上の(j+1)番目の秘密値(pcid_(j+1),cs_(j+1),n,e,cdk_(j+1))を保存し,サーバが対応する秘密値(hpcid_(j+1),ss_(j+1),n,d,sdk_(j+1))をそのデータベースに保持する。クライアントとサーバ間の通信が更新処理において切断された場合は,いずれの者も次の認証のためにj番目と(j+1)番目の保存秘密値を保持すべきであることに注意されたい。)

D 「A.5 DK Update Protocol
In the DK update protocol, the user updates the data key dk with a new 1280-bit data key dk’ (see Fig. 10). The client chooses a random number cdk’_(j+1) and computes sdk’_(j+1)=dk’○+cdk’_(j+1)○+dkmsk where dkmsk is the datakey mask computed from the password pw. The sdk’_(j+1) is sent to the server. Finally, the client and the server update (cdk_(j+1) and sdk_(j+1)) with (cdk’_(j+1) and sdk’_(j+1)), respectively.」(218頁左欄2行-同頁右欄2行)

(当審仮訳; A.5 DK更新プロトコル
DK更新プロトコルでは,ユーザは,データ鍵dkを新しい1280ビットのデータ鍵dk’に更新する(図10参照)。クライアントは,乱数であるcdk’_(j+1)を選択し,sdk’_(j+1)=dk’○+cdk’_(j+1)○+dkmsk(dkmskはパスワードpwから計算されたデータ鍵マスク)に基づきsdk’_(j+1)を計算する。そのsdk’_(j+1)はサーバに送信される。最後に,クライアントとサーバは,(cdk_(j+1) と sdk_(j+1)) をそれぞれ (cdk’_(j+1) と sdk’_(j+1))で更新する。)

E 「III. CLUSTER MODE
A. Each Protocol for Cluster Mode
In Section II, we proposed the single mode for the leakage-resilient authentication and data management system and showed that it can provide a higher level of security for the data key dk. Though the single mode is applicable to any kind of two-party setting, a potential problem is that the user can not retrieve the data key dk when one of the parties is unavailable or physically broken/destroyed. In order to provide availability of the data key, we introduce a cluster mode, for the leakageresilient authentication and data management system, which allows a user to recover dk securely even in the case of one party’s compromise. In the cluster mode, there are three parties (site A, B, and C) where site A plays a role of server for both site B and C, site B plays a role of server for site C and a role of client for site A, and site C plays a role of client for both site A and B (see Fig. 12). Irrationally, we denote site A and B by primary server and secondary server, respectively.
As the basic structure is the same as one in the single mode, we omit the overall transition flow for the cluster mode. The main difference is that each site has to store two different stored secrets. For the data key dk, site A stores (sdk_ba,sdk_ca), site B stores (cdk_ba,sdk_cb) and site C stores (cdk_ca,cdk_cb) so that the user can retrieve dk from any pair of sites: dk○+dkmsk=cdk_ca○+sdk_ca=cdk_cb○+sdk_cb=cdk_ba○+sdk_ba. However, the cluster mode would be more complicated than the single mode because we have to maintain synchronization among the three parties (i.e., site A, B, and C). Remind that a higher level of security for the data key can be achieved by updating and synchronizing stored secrets between the client and the server in the single mode.
From here on, we briefly explain each sub-protocol for the cluster mode.」(219頁右欄下から4行-220頁左欄29行)

(当審仮訳; III. クラスターモード
A. クラスターモードの各プロトコル
セクションIIでは,情報漏洩に堅牢な認証とデータ管理システムのシングルモードを提案し,それがデータ鍵dkのより高いレベルのセキュリティを提供することができることを示した。シングルモードは2者設定のいずれの種類にも適用可能であるが,潜在的な問題は,2者の一方が使用できない,あるいは物理的に破損/破壊している場合,ユーザはデータ鍵dkを取得できないことである。データ鍵の可用性を提供するために,一つから情報漏洩した場合でもユーザが安全にdkを復元することができる,情報漏洩に堅牢な認証とデータ管理システムのクラスタモードを紹介する。クラスタモードでは三者(サイトA,B,およびC)が存在し,サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たす(図12参照)。不合理的に,プライマリサーバとセカンダリサーバによってサイトAとBをそれぞれ示す。
基本的な構造はシングルモードのものと同じであるから,クラスタモードの全体的な移行の流れは省略する。主な違いは,各サイトが2つの異なる保存秘密値を保存しなければならないことである。データ鍵dkのために,サイトAは(sdk_ba,sdk_ca)を保存し,サイトBは(cdk_ba,sdk_cb)を保存し,サイトCは(cdk_ca,cdk_cb)は保存し,そのためユーザーはサイトの任意のペアからdkを取得できる: dk○+dkmsk= cdk_ca○+sdk_ca=cdk_cb○+sdk_cb=cdk_ba○+sdk_ba。しかしながら,三者(すなわち,サイトA,B,およびC)の間で同期を維持する必要があるため,クラスタモードはシングルモードよりも複雑になる。シングルモードでは,データ鍵のより高いレベルのセキュリティは,クライアントとサーバとの間で保存秘密値を更新して同期させることによって達成することが可能となることを思い出されたい。
ここから後は,クラスタモードのための各サブプロトコルについて簡単に説明する。)

F 「A.1 Cluster Initialization Protocol
The cluster initialization protocol is designed for easy setup where a user just remembers disposable passwords (pw_ca and pw_cb) and the corresponding servers store hashed values (hpw_ca and hpw_cb) of each password (see Fig. 13). As in the initialization protocol, these disposable passwords are only valid for a short period of time in order to avoid Denial-of-Service (DoS) attacks.
First, site A and C perform the initialization protocol with hpw_ca and pw_ca, and then they can generate the stored secrets of site A and C. Next, site B and C also perform the initialization protocol with hpw_cb and pw_cb, and then they can generate the stored secrets of site B and C. Now, the remaining works of the cluster initialization protocol is to generate the stored secrets of site A and B, and distribute them securely. Of course, these works should be done through secure channels, established between site A and C and between site B and C.
After choosing a random number pcid_ba1 and computing a one-time ID hpcid_1, site C registers hpcid_ba1 to site A and pcid_ba1 to site B. As in the SEC update protocol, site C chooses a random number cs_ba1 and computes the corresponding authentication secret ss_ba1 from the password pw and cs_ba1. Then, the values ss_ba1 and cs_ba1 are registered to site A and B, respectively. As in the DK update protocol, site C chooses a random number cdk_ba1 and derives sdk_ba1=dk○+cdk_ba1○+dkmsk where dkmsk is the datakey mask computed from the password pw. Then, the values sdk_ba1 and cdk_ba1 are registered to site A and B, respectively. Finally, site C completes the cluster initialization protocol by registering site A’s public key PK_a1 to site B as in the PK update protocol. At the end of this protocol, site A and B hold the stored secrets (hpcid_ba1,ss_ba1,sdk_ba1,SK_a1) and (pcid_ba1,cs_ba1,cdk_ba1,PK_a1), respectively.」
(220頁左欄30行-同頁右欄5行)

(当審仮訳; A.1 クラスタ初期化プロトコル
クラスタの初期化プロトコルは,ユーザが使い捨てパスワード(pw_caとpw_cb)を単に覚え,各パスワードのハッシュ値(hpw_caとhpw_cb)を対応するサーバが保存する簡単なセットアップとして設計されている(図13を参照)。初期化プロトコルのように,これらの使い捨てパスワードはサービス拒否(DoS)攻撃を回避するために,短時間の間のみ有効である。
まず最初に,サイトAとCはhpw_caとpw_caを用いて初期化プロトコルを実行し,両者は,サイトAとCの保存秘密値を生成することができる。次に,サイトBとCもhpw_cbとpw_cbを用いて初期化プロトコルを実行し,サイトBとCの保存秘密値を生成することができる。そうすると,クラスタの初期化プロトコルの残りの作業はサイトAとBの保存秘密値を生成し,安全にそれらを配布することである。もちろん,これらの作業は,サイトAとCの間とサイトBとCとの間で確立された,セキュアなチャネルを介して行われる必要がある。
乱数pcid_ba1を選択し,ワンタイムIDのhpcid_1を計算した後,サイトCは,hpcid_ba1をサイトAに,pcid_ba1をサイトBに登録する。SECの更新プロトコルのように,サイトCは乱数cs_ba1を選択し,パスワードpwとcs_ba1から対応する認証秘密値ss_ba1を計算する。その後,ss_ba1とcs_ba1の値はそれぞれ,サイトAとBに登録される。 DKの更新プロトコルのように,サイトCは,乱数cdk_ba1を選択し,sdk_ba1 =dk○+cdk_ba1○+dkmskを,パスワードpwから計算されるデータ鍵マスクdkmskとして取得する。その後,sdk_ba1とcdk_ba1の値はそれぞれ,サイトAとBに登録される。最後に,サイトCは,PKの更新プロトコルのようにサイトBにサイトAの公開鍵PK_a1を登録することで,クラスタの初期化プロトコルを完了する。このプロトコルの終了時に,サイトAとBはそれぞれ,保存秘密値(hpcid_ba1,ss_ba1,sdk_ba1,SK_a1)及び(pcid_ba1,cs_ba1,cdk_ba1,PK_a1)を保持する。)


(2)ここで,引用例1に記載されている事項を検討する。

ア 上記Eの「データ鍵の可用性を提供するために,一つから情報漏洩した場合でもユーザが安全にdkを復元することができる,情報漏洩に堅牢な認証とデータ管理システムのクラスタモードを紹介する。クラスタモードでは三者(サイトA,B,およびC)が存在し,サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たす」旨の記載からすると,「情報漏洩に堅牢な認証とデータ管理システムのクラスタモード」には,サイトA,B,およびCが存在し,サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たすものであることが読み取れる。
また,上記Eの「基本的な構造はシングルモードのものと同じであるから,クラスタモードの全体的な移行の流れは省略する。主な違いは,各サイトが2つの異なる保存秘密値を保存しなければならないことである。データ鍵dkのために,サイトAは(sdk_ba,sdk_ca)を保存し,サイトBは(cdk_ba,sdk_cb)を保存し,サイトCは(cdk_ca,cdk_cb)は保存し,そのためユーザーはサイトの任意のペアからdkを取得できる」旨の記載からすると,cdkとsdkの対(ペア)からデータ鍵dkを取得することができ,cdkとsdkの3通りの対について,各cdk,各sdkがサイトA,B,Cに分散して保存されることが読み取れるから,引用例1には,
“サイトA,B,およびCから構成され,データ鍵dkを取得するためのcdkとsdkの3通りの対をサイトA,B,Cに分散して保存するために,サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たす情報漏洩に堅牢な認証とデータ管理システムのクラスタモード”
が記載されていると解される。

イ 上記Eの「基本的な構造はシングルモードのものと同じであるから,クラスタモードの全体的な移行の流れは省略する。」旨の記載からすると,クラスタモードでの所定の2つのサイト間の認証に係る応答はシングルモードと同様であると解されるから,シングルモードに係る上記Bの「実際にはユーザは,ランダムに選択された数cs_1とpw’を組み合わせた値ss_1をサーバに登録する。このプロトコルの終了時に,クライアントはメモリ上に秘密値cs_1を保存し,サーバはデータベースに認証秘密値ss_1を保持する。」旨の記載からすると,クライアントとサーバの間では,サーバの認証秘密値ssはクライアントの秘密値csに対応することは明らかであり,サーバの認証秘密値ssはクライアントの秘密値csとパスワードに基づき生成されることが読み取れるから,引用例1には,
“クライアントとサーバの間では,クライアントの秘密値csに対応するサーバの認証秘密値ssを,クライアントの秘密値csとパスワードに基づき生成”すること
が記載されていると解される。

ウ 上記Cの「j番目(j≧1)認証フェーズの開始時に,クライアントがメモリ上のj番目の秘密値(pcid_j,cs_j,n,e,cdk_j)を保存し,サーバが対応する秘密値(hpcid_j,ss_j,n,d,sdk_j)をそのデータベースに保持する。まず,クライアントは,RSA公開鍵PK=(e,n)を用いてランダムに選択されたプレマスター秘密値pmsを暗号化し,パスワードpwおよび保存秘密値cs_jから計算されたmskを用いてその暗号文をマスク処理する。得られた値zと,ワンタイムIDであるpcid_jがサーバに送信される。サーバが認証秘密値ss_jとRSA秘密鍵SK=(d,n)を保持することから,pmsとそれから導出された値(ms)は,クライアントとサーバ間で共有される。互いを認証した後,それらはさらに,メッセージの機密性のための対称鍵skと初期ベクトルiv,データ整合性のためのMACキーmk,現在保存秘密値の更新された秘密値(ussとusdk)を生成する。」旨の記載からすると,プレマスター秘密値pmsから導出される値(ms)を用いてクライアントとサーバは互いを認証し,クライアントは認証に用いられる値(ms)をパスワードpwおよび保存秘密値cs_jにより計算することが読み取れるから,引用例1には,
“クライアントは認証に用いられる値(ms)を公開鍵,パスワードおよび秘密値csなどにより生成し,サーバは認証に用いられる値(ms)を認証秘密値ss,秘密鍵などにより生成して共有し,両者は共有する値(ms)を用いて互いに認証”すること
が記載されていると解される。

エ 上記Cの「実際には,このプロトコルは,セキュアなチャネルを介して送信され,認証されたクライアントは,彼/彼女の部分データ鍵(cdk_j)と,サーバの部分データ鍵(sdk_j)からデータ鍵dkを復元することができるという意味で,[19]の延長である。」,「互いを認証した後,それらはさらに,メッセージの機密性のための対称鍵skと初期ベクトルiv,データ整合性のためのMACキーmk,現在保存秘密値の更新された秘密値(ussとusdk)を生成する。 …(中略)… 同時に,クライアントとサーバは,それぞれussとusdkを用いて,現在保存秘密値(cs_j,cdk_j)と(ss_j,sdk_j)を新しい保存秘密値(cs_(j+1),cdk_(j+1))と(ss_(j+1),sdk_(j+1))にそれぞれ更新する。さらに,クライアントは,ワンタイムIDであるhpcid _(j+1)をサーバに登録する。クライアントは,いくつかの情報(例えば,パスワード/データ鍵/ PK)を更新することについてサーバと同意した場合に,対応する更新プロトコルが順次実行される。 j= 0の場合,初期パスワードが空に設定されているので,PWD更新とDK更新のプロトコルが続いて実行されるべきである。」旨の記載からすると,クライアントとサーバが互いを認証した後,更新された秘密値(ussとusdk)を生成し,当該更新された秘密値(ussとusdk)を用いてクライアントの部分データ鍵cdk_jとサーバの部分データ鍵sdk_jなどを,DK更新のプロトコルを実行することにより新たに生成することが読み取れる。
また,上記Dの「DK更新プロトコルでは,ユーザは,データ鍵dkを新しい1280ビットのデータ鍵dk’に更新する(図10参照)。クライアントは,乱数であるcdk’_(j+1)を選択し,sdk’_(j+1)=dk’○+cdk’_(j+1)○+dkmsk(dkmskはパスワードpwから計算されたデータ鍵マスク)に基づきsdk’_(j+1)を計算する。そのsdk’_(j+1)はサーバに送信される。最後に,クライアントとサーバは,(cdk_(j+1) と sdk_(j+1)) をそれぞれ (cdk’_(j+1) と sdk’_(j+1))で更新する。」旨の記載からすると,DK更新プロトコルでは,クライアントはデータ鍵dkから新しいデータ鍵dk’を生成するとともに,クライアントの部分データ鍵cdk’_(j+1)となる乱数を選択し, パスワードpwなどに基づいて新しいデータ鍵dk’とクライアントの部分データ鍵cdk’_(j+1)とからサーバの部分データ鍵sdk’_(j+1)を計算して,クライアント,サーバそれぞれで更新することが読み取れるから,引用例1には,
“クライアントとサーバは互いを認証した後,クライアントがクライアントの部分データ鍵cdk’となる乱数を選択し,パスワードなどに基づいて新しいデータ鍵dk’とクライアントの部分データ鍵cdk’とからサーバの部分データ鍵sdk’を計算して,クライアント,サーバそれぞれで更新する”こと
が記載されていると解される。

オ 上記アでの検討から,クラスタモードにおいては,サイトA,B,およびCから構成され,サイトAがサイトCのサーバの役割を果たし,サイトBがサイトCのサーバの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たすと解されるところ,上記Fの「まず最初に,サイトAとCはhpw_caとpw_caを用いて初期化プロトコルを実行し,両者は,サイトAとCの保存秘密値を生成することができる。次に,サイトBとCもhpw_cbとpw_cbを用いて初期化プロトコルを実行し,サイトBとCの保存秘密値を生成することができる。」旨の記載,上記Cの「j番目(j≧1)認証フェーズの開始時に,クライアントがメモリ上のj番目の秘密値(pcid_j,cs_j,n,e,cdk_j)を保存し,サーバが対応する秘密値(hpcid_j,ss_j,n,d,sdk_j)をそのデータベースに保持する。」旨の記載からすると,クラスタモードの初期化プロトコルにおいては,サイトAがサイトCのサーバの役割を果たし,サイトBがサイトCのサーバの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たし,対応するクライアントとサーバはそれぞれ,対応するクライアントの保存秘密値,サーバの保存秘密値を保持することが読み取れるから,引用例1には,
“クラスタモードの初期化プロトコルにおいては,サイトCは,サイトAに対応するクライアントの保存秘密値と,サイトBに対応するクライアントの保存秘密値を保持し,
サイトAは,サイトCに対応するサーバの保存秘密値を保持し,
サイトBは,サイトCに対応するサーバの保存秘密値を保持”すること
が記載されていると解される。

カ 上記アでの検討から,クラスタモードにおいて,データ鍵dkを取得するための部分データ鍵cdk_ba,sdk_baの対について,サイトBはcdk_baを保存し,サイトAはsdk_baを保存すると解されるところ,上記Fの「乱数pcid_ba1を選択し,ワンタイムIDのhpcid_1を計算した後,サイトCは,hpcid_ba1をサイトAに,pcid_ba1をサイトBに登録する。SECの更新プロトコルのように,サイトCは乱数cs_ba1を選択し,パスワードpwとcs_ba1から対応する認証秘密値ss_ba1を計算する。その後,ss_ba1とcs_ba1の値はそれぞれ,サイトAとBに登録される。」旨の記載からすると,クラスタモードの初期化プロトコルにおいて,サイトCは,乱数pcid_ba1を選択し,対応するワンタイムIDのhpcid_1を計算するとともに,パスワードpwとクライアントの保存秘密値cs_ba1とから,対応するサーバの保存秘密値ss_ba1を計算して,hpcid_ba1とss_ba1の値はサイトAに,pcid_ba1とcs_ba1の値はサイトBに分散して登録することが読み取れるから,引用例1には,
“サイトCは,乱数pcid_ba1とhpcid_1の対を生成するとともに,クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対をパスワードpwに基づき生成して,hpcid_ba1とss_ba1の値はサイトAに,pcid_ba1とcs_ba1の値はサイトBに分散して登録”すること
が記載されていると解される。

キ 上記カでの検討から,パスワードpwを用いてサイトAとBの保存秘密値の対を生成すると解されるところ,上記Fの「クラスタの初期化プロトコルは,ユーザが使い捨てパスワード(pw_caとpw_cb)を単に覚え,各パスワードのハッシュ値(hpw_caとhpw_cb)を対応するサーバが保存する簡単なセットアップとして設計されている(図13を参照)。 …(中略)… まず最初に,サイトAとCはhpw_caとpw_caを用いて初期化プロトコルを実行し,両者は,サイトAとCの保存秘密値を生成することができる。次に,サイトBとCもhpw_cbとpw_cbを用いて初期化プロトコルを実行し,サイトBとCの保存秘密値を生成することができる。」旨の記載からすると,引用例1の図13に記載のクラスタの初期化プロトコルでは,使い捨てパスワードpw_caを用いてサイトAとCの保存秘密値の対を生成し,使い捨てパスワードpw_cbを用いてサイトBとCの保存秘密値の対を生成すると解される。
そして,上記Fの「そうすると,クラスタの初期化プロトコルの残りの作業はサイトAとBの保存秘密値を生成し,安全にそれらを配布することである。もちろん,これらの作業は,サイトAとCの間とサイトBとCとの間で確立された,セキュアなチャネルを介して行われる必要がある。」旨の記載からすると,引用例1の図13に記載のクラスタの初期化プロトコルでは,これら使い捨てパスワード(pw_caとpw_cb)は,その後にサイトAとBの保存秘密値の対(クライアントの保存秘密値cs_ba1,サーバの保存秘密値ss_ba1)を生成するためにサイトAとCの間とサイトBとCとの間にセキュアなチャネルを確立する時に使用されるものであり,サイトAとBの保存秘密値の対を生成する時に用いるパスワードpwとは異なることが読み取れるから,引用例1には,
“サイトAとCの保存秘密値の対は使い捨てパスワードpw_caを用いて生成し,サイトBとCの保存秘密値の対は使い捨てパスワードpw_cbを用いて生成し,使い捨てパスワード(pw_caとpw_cb)はサイトAとBの保存秘密値の対(クライアントの保存秘密値cs_ba1,サーバの保存秘密値ss_ba1)を生成する時に用いるパスワードpwとは異なる”こと
が記載されていると解される。


(3)以上,ア乃至キの検討によれば,引用例1には次の発明(以下,「引用発明」という。)が記載されているものと認める。

「サイトA,B,およびCから構成され,データ鍵dkを取得するためのcdkとsdkの3通りの対をサイトA,B,Cに分散して保存するために,サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果たす情報漏洩に堅牢な認証とデータ管理システムのクラスタモードであって,
クライアントとサーバの間では,前記クライアントの秘密値csに対応する前記サーバの認証秘密値ssを,前記クライアントの秘密値csとパスワードに基づき生成し,
前記クライアントは認証に用いられる値(ms)を公開鍵,パスワードおよび前記秘密値csなどにより生成し,前記サーバは認証に用いられる前記値(ms)を前記認証秘密値ss,秘密鍵などにより生成して共有し,両者は共有する前記値(ms)を用いて互いに認証し,
前記クライアントと前記サーバは互いを認証した後,前記クライアントが前記クライアントの部分データ鍵cdk’となる乱数を選択し,パスワードなどに基づいて新しいデータ鍵dk’と前記クライアントの部分データ鍵cdk’とから前記サーバの部分データ鍵sdk’を計算して,前記クライアント,前記サーバそれぞれで更新するものであって,
さらに,クラスタモードの初期化プロトコルにおいては,サイトCは,サイトAに対応するクライアントの保存秘密値と,サイトBに対応するクライアントの保存秘密値を保持し,
サイトAは,サイトCに対応するサーバの保存秘密値を保持し,
サイトBは,サイトCに対応するサーバの保存秘密値を保持し,
サイトCは,乱数pcid_ba1とhpcid_1の対を生成するとともに,クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対をパスワードpwに基づき生成して,前記hpcid_ba1と前記ss_ba1の値はサイトAに,前記pcid_ba1と前記cs_ba1の値はサイトBに分散して登録し,
サイトAとCの保存秘密値の対は使い捨てパスワードpw_caを用いて生成し,サイトBとCの保存秘密値の対は使い捨てパスワードpw_cbを用いて生成し,前記使い捨てパスワード(pw_caとpw_cb)はサイトAとBの保存秘密値の対(クライアントの保存秘密値cs_ba1,サーバの保存秘密値ss_ba1)を生成する時に用いる前記パスワードpwとは異なる,
ことを特徴とする
情報漏洩に堅牢な認証とデータ管理システムのクラスタモード。」


2 引用例2に記載されている技術的事項

本願の出願前に頒布又は電気通信回線を通じて公衆に利用可能となり,原審の拒絶査定の理由である平成26年5月8日付けの拒絶理由通知において引用された,特開2006-268293号公報(平成18年10月5日出願公開,以下,「引用例2」という。)には,以下の技術的事項が記載されている。
(当審注:下線は,参考のために当審で付与したものである。)

G 「【0034】
各色の磁気ディスク装置32Y,32M,32C,32Kは読取部27で読み取るなどして得た画像データを保存する記憶手段としての機能を果たす。また,磁気ディスク装置32Y,32M,32C,32KはATA(AT Attachment)-3規格に準拠し,ロック(パスワードによる使用制限)の設定が可能になっている。
【0035】
ATA-3規格では,32バイト長のパスワードを用いてロックを設定し,そのパスワードを用いてロックを解除する。ロックが設定された磁気ディスク装置ではデータ記憶領域に対するアクセス,すなわちデータの読み書きが禁止される。
【0036】
CPU21は,画像処理や印刷機能の実行を制御するための各種機能の他に,パスワード生成手段51と,ロック設定手段52と,ロック解除手段53としての機能を備えている。
【0037】
パスワード生成手段51は,磁気ディスク装置32Y,32M,32C,32Kのロックを設定したり解除したりするためのパスワードを生成する機能を果たす。ここでは32バイトのパスワードを生成するようになっている。パスワードの生成方法には,画像処理装置10の内部情報と記憶部24に保存されているデータとを組み合わせて生成する方法と,ランダムに生成する方法とがある。前者の場合,組み合わせる内部情報と記憶部24のデータとが同一ならば,パスワード生成手段51は常に同じパスワードを生成する。」


第4 対比

1 本願発明と引用発明とを対比する。

(1)引用発明の「情報漏洩に堅牢な認証とデータ管理システムのクラスタモード」は,「サイトA,B,およびCから構成され,データ鍵dkを取得するためのcdkとsdkの3通りの対をサイトA,B,Cに分散して保存する」ところ,任意の2つのサイトが保存するcdkとsdkの対によりデータ鍵dkを復元可能とすることから,本願発明の「データ分散管理システム」に対応する。

(2)引用発明では,「クライアントとサーバの間では,前記クライアントの秘密値csに対応する前記サーバの認証秘密値ssを,前記クライアントの秘密値csとパスワードに基づき生成」するところ,「秘密値cs」はクライアントのユーザを一時的に特定する情報であり,「認証秘密値ss」は当該「秘密値cs」に対応する情報としてサーバに保存されることから,引用発明の「クライアントの秘密値cs」,「サーバの認証秘密値ss」はそれぞれ,本願発明の「アカウント情報」,「検証情報」に相当すると言える。
そうすると,引用発明の「クライアントとサーバの間では,前記クライアントの秘密値csに対応する前記サーバの認証秘密値ssを,前記クライアントの秘密値csとパスワードに基づき生成」することは,本願発明の「パスワードに基づきアカウント情報及び検証情報の対を生成」することに相当すると言える。

(3)上記(2)での検討より,引用発明の「クライアントの秘密値cs」,「サーバの認証秘密値ss」はそれぞれ,本願発明の「アカウント情報」,「検証情報」に相当すると言えることから,引用発明の「クライアント」,「サーバ」はそれぞれ,本願発明の「アカウント情報を保存している装置」,「検証情報を保存している装置」に相当すると言える。
引用発明では,「クライアントは認証に用いられる値(ms)を公開鍵,パスワードおよび前記秘密値csなどにより生成し,前記サーバは認証に用いられる前記値(ms)を前記認証秘密値ss,秘密鍵などにより生成して共有し,両者は共有する前記値(ms)を用いて互いに認証」するところ,クライアントは「パスワード」,「秘密値cs」などにより,「認証に用いられる値(ms)」を生成し,サーバは「認証に用いられる値(ms)」と「認証秘密値ss」などにより「クライアント」を認証するとみることができ,引用発明の「認証に用いられる値(ms)」は本願発明の「認証データ」に相当すると言える。
そうすると,引用発明の「クライアントは認証に用いられる値(ms)を公開鍵,パスワードおよび前記秘密値csなどにより生成し,前記サーバは認証に用いられる前記値(ms)を前記認証秘密値ss,秘密鍵などにより生成して共有し,両者は共有する前記値(ms)を用いて互いに認証」することと,本願発明の「入力された前記パスワード及び前記アカウント情報により認証データを生成し,前記アカウント情報の対となる検証情報を保存している装置は,前記認証データと前記検証情報により前記アカウント情報を保存している装置を認証」することとに実質的な違いはないと言える。

(4)引用発明では,「クライアントと前記サーバは互いを認証した後,前記クライアントが前記クライアントの部分データ鍵cdk’となる乱数を選択し,パスワードなどに基づいて新しいデータ鍵dk’と前記クライアントの部分データ鍵cdk’とから前記サーバの部分データ鍵sdk’を計算して,前記クライアント,前記サーバそれぞれで更新する」ところ,「データ鍵dk’」がクライアントとサーバの間で保護されることは明らかであるから,引用発明の「データ鍵dk’」は本願発明の「保護すべきデータ」に相当し,引用発明の「クライアントの部分データ鍵cdk’」と「サーバの部分データ鍵sdk’」は,「パスワード」などに基づいて「データ鍵dk’」から生成されることから,本願発明の「保護すべきデータを生成する複数の値」に相当すると言える。
そして,引用発明では,生成された「クライアントの部分データ鍵cdk’」と「サーバの部分データ鍵sdk’」はそれぞれ,クライアント,サーバに分散して保存されるから,引用発明の「クライアントと前記サーバは互いを認証した後,前記クライアントが前記クライアントの部分データ鍵cdk’となる乱数を選択し,パスワードなどに基づいて新しいデータ鍵dk’と前記クライアントの部分データ鍵cdk’とから前記サーバの部分データ鍵sdk’を計算して,前記クライアント,前記サーバそれぞれで更新する」ことは,本願発明の「パスワードに基づき,保護すべきデータから,前記保護すべきデータを生成する複数の値を生成し,前記保護すべきデータを生成する複数の値を,前記アカウント情報を保存している装置と前記検証情報を保存している装置に分散して保存する」に相当すると言える。

(5)引用発明では,「サイトAがサイトBとCの両方のサーバの役割を果たし,サイトBがサイトCのサーバおよびサイトAのクライアントの役割を果たし,サイトCがサイトAとBの両方のクライアントの役割を果た」し,「さらに,クラスタモードの初期化プロトコルにおいては,サイトCは,サイトAに対応するクライアントの保存秘密値と,サイトBに対応するクライアントの保存秘密値を保持し,サイトAは,サイトCに対応するサーバの保存秘密値を保持し,サイトBは,サイトCに対応するサーバの保存秘密値を保持」するところ,上記(2)での検討から,引用発明の「クライアントの保存秘密値」,「サーバの保存秘密値」はそれぞれ,本願発明の「アカウント情報」,「検証情報」に相当するから,「サイトA」は「サイトB」に対応する「検証情報」を保持し,「サイトB」は「サイトA」に対応する「アカウント情報」を保持すると言える。
そうすると,引用発明の「サイトC」は本願発明の「第1の装置」に相当し,引用発明の「サイトA」は本願発明の「第2の装置」に相当し,引用発明の「サイトB」は本願発明の「第3の装置」に相当すると言え,引用発明の「サイトC」が保持する「サイトAに対応するクライアントの保存秘密値」,「サイトBに対応するクライアントの保存秘密値」はそれぞれ,本願発明の「第1のアカウント情報」,「第2のアカウント情報」に相当し,「サイトA」が保持する「サイトCに対応するサーバの保存秘密値」は本願発明の「第1の検証情報」に相当し,「サイトB」が保持する「サイトCに対応するサーバの保存秘密値」は本願発明の「第2の検証情報」に相当すると言える。
よって,引用発明での「さらに,クラスタモードの初期化プロトコルにおいては,サイトCは,サイトAに対応するクライアントの保存秘密値と,サイトBに対応するクライアントの保存秘密値を保持し,サイトAは,サイトCに対応するサーバの保存秘密値を保持し,サイトBは,サイトCに対応するサーバの保存秘密値を保持」することと,本願発明の「第1のアカウント情報及び第2のアカウント情報を有する第1の装置と,前記第1のアカウント情報の対である第1の検証情報を有する第2の装置と,前記第2のアカウント情報の対である第2の検証情報を有する第3の装置と,を備え」ることとに実質的な違いはないと言える。

(6)引用発明では,「サイトCは,乱数pcid_ba1とhpcid_1の対を生成するとともに,クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対をパスワードpwに基づき生成して,前記hpcid_ba1と前記ss_ba1の値はサイトAに,前記pcid_ba1と前記cs_ba1の値はサイトBに分散して登録」するところ,「サイトB」に登録する「クライアントの保存秘密値cs_ba1」と,「サイトA」に登録する「サーバの保存秘密値ss_ba1」との対を,入力される「パスワードpw」に基づき「サイトC」が生成すると言え,「サイトC」は生成した「クライアントの保存秘密値cs_ba1」を「サイトB」に送信することは明らかである。また,上記(5)での検討から,引用発明の「サイトA」は本願発明の「第2の装置」に相当し,引用発明の「サイトB」は本願発明の「第3の装置」に相当することから,引用発明の「パスワードpw」は本願発明の「第1のパスワード」に対応し,引用発明の「クライアントの保存秘密値cs_ba1」,「サーバの保存秘密値ss_ba1」はそれぞれ,本願発明の「第3のアカウント情報」,「第3の検証情報」に相当すると言える。
そうすると,引用発明では,「パスワードpw」の生成については言及されておらず,「クライアントの保存秘密値cs_ba1」と「サーバの保存秘密値ss_ba1」との対が,「パスワードpw」に基づき「サイトC」において生成されるものの,引用発明での「サイトCは,乱数pcid_ba1とhpcid_1の対を生成するとともに,クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対をパスワードpwに基づき生成して,前記hpcid_ba1と前記ss_ba1の値はサイトAに,前記pcid_ba1と前記cs_ba1の値はサイトBに分散して登録」することと,本願発明での「第1の装置は,70ビット以上のランダム値を生成して第1のパスワードとする手段と,前記第2の装置と通信して,前記第1のパスワードに基づき第3のアカウント情報及び第3の検証情報の対を生成する手段と,前記第3のアカウント情報を前記第3の装置に送信する手段とを備えており,前記第2の装置は,前記第3の検証情報を保存する手段を備えており,前記第3の装置は,前記第3のアカウント情報を前記第1の装置から受信して保存する手段を備え」ることとは,“第1の装置は,第1のパスワードを入力する手段と,前記第1のパスワードに基づき第3のアカウント情報及び第3の検証情報の対を生成する手段と,前記第3のアカウント情報を前記第3の装置に送信する手段とを備えており,前記第2の装置は,前記第3の検証情報を保存する手段を備えており,前記第3の装置は,前記第3のアカウント情報を前記第1の装置から受信して保存する手段を備え”る点で共通すると言える。

(7)引用発明では,「サイトAとCの保存秘密値の対は使い捨てパスワードpw_caを用いて生成し,サイトBとCの保存秘密値の対は使い捨てパスワードpw_cbを用いて生成し,前記使い捨てパスワード(pw_caとpw_cb)はサイトAとBの保存秘密値の対(クライアントの保存秘密値cs_ba1,サーバの保存秘密値ss_ba1)を生成する時に用いる前記パスワードpwとは異なる」ところ,上記(5)での検討から,引用発明の「サイトC」は本願発明の「第1の装置」に相当し,引用発明の「サイトA」は本願発明の「第2の装置」に相当し,引用発明の「サイトB」は本願発明の「第3の装置」に相当すると言えることから,引用発明の「サイトAとCの保存秘密値の対」は本願発明の「第1のアカウント情報及び前記第1の検証情報の対」に相当し,引用発明の「サイトBとCの保存秘密値の対」は本願発明の「第2のアカウント情報及び前記第2の検証情報の対」に相当すると言える。
また,引用発明の「使い捨てパスワード(pw_caとpw_cb)」は,サイトAとBの保存秘密値を生成するに当たり,安全にそれらを配布するためのセキュアなチャネルを確立するための初期化プロトコルで短時間のみ有効として生成され,その後にサイトAとBの保存秘密値を生成するために別に入力する「パスワードpw」とは異なるパスワードであること,さらに,引用発明の「サイトAとCの保存秘密値の対」と「サイトBとCの保存秘密値の対」はそれぞれ,生成処理の過程で少なくとも「使い捨てパスワード(pw_caとpw_cb)」を用いて生成されると解されることから,引用発明の「サイトAとCの保存秘密値の対」と「サイトBとCの保存秘密値の対」はそれぞれ,「パスワードpw」とは異なる「使い捨てパスワード(pw_caとpw_cb)」に基づき生成されるとみることができる。そうすると,引用発明の「使い捨てパスワード(pw_caとpw_cb)」は本願発明の「第2のパスワード」に相当すると言える。
してみると,引用発明の「サイトAとCの保存秘密値の対は使い捨てパスワードpw_caを用いて生成し,サイトBとCの保存秘密値の対は使い捨てパスワードpw_cbを用いて生成し,前記使い捨てパスワード(pw_caとpw_cb)はサイトAとBの保存秘密値の対(クライアントの保存秘密値cs_ba1,サーバの保存秘密値ss_ba1)を生成する時に用いる前記パスワードpwとは異なる」ことと,本願発明の「第1のアカウント情報及び前記第1の検証情報の対と,前記第2のアカウント情報及び前記第2の検証情報の対は,それぞれ,前記第1のパスワードとは異なる第2のパスワードに基づき生成されている」こととに実質的な違いはないと言える。


2 以上から,本願発明と引用発明とは,以下の点で一致し,また,以下の点で相違する。

<一致点>

「パスワードに基づきアカウント情報及び検証情報の対を生成し,前記アカウント情報を保存している装置は,入力された前記パスワード及び前記アカウント情報により認証データを生成し,前記アカウント情報の対となる検証情報を保存している装置は,前記認証データと前記検証情報により前記アカウント情報を保存している装置を認証し,前記パスワードに基づき,保護すべきデータから,前記保護すべきデータを生成する複数の値を生成し,前記保護すべきデータを生成する複数の値を,前記アカウント情報を保存している装置と前記検証情報を保存している装置に分散して保存する,データ分散管理システムであって,
第1のアカウント情報及び第2のアカウント情報を有する第1の装置と,
前記第1のアカウント情報の対である第1の検証情報を有する第2の装置と,
前記第2のアカウント情報の対である第2の検証情報を有する第3の装置と,
を備えており,
前記第1の装置は,第1のパスワードを入力する手段と,前記第1のパスワードに基づき第3のアカウント情報及び第3の検証情報の対を生成する手段と,前記第3のアカウント情報を前記第3の装置に送信する手段とを備えており,
前記第2の装置は,前記第3の検証情報を保存する手段を備えており,
前記第3の装置は,前記第3のアカウント情報を前記第1の装置から受信して保存する手段を備えており,
前記第1のアカウント情報及び前記第1の検証情報の対と,前記第2のアカウント情報及び前記第2の検証情報の対は,それぞれ,前記第1のパスワードとは異なる第2のパスワードに基づき生成されている,
ことを特徴とするシステム。」

<相違点1>

第1の装置で用いる第1のパスワードに関し,本願発明では,「70ビット以上のランダム値を生成して第1のパスワードとする」のに対して,引用発明では,「第1のパスワード」(パスワードpw)の生成処理について特に言及されていない点。

<相違点2>

第3のアカウント情報及び第3の検証情報の対を生成する時の第2の装置の関与について,本願発明では,「第1の装置」は「第2の装置」と通信して,「第3のアカウント情報及び第3の検証情報の対」を生成するのに対して,引用発明では,「第2の装置」(サイトA)は生成された「第3の検証情報」(サーバの保存秘密値ss_ba1)を登録するものの,「第3のアカウント情報及び第3の検証情報の対」(クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対)は「第1の装置」(サイトC)で生成されるものであり,「第1の装置」(サイトC)が「第2の装置」(サイトA)と通信して生成することについて言及されていない点。


第5 当審の判断

上記相違点1,2について検討する。

1 相違点1について

引用発明では,「クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対」を生成するのに「パスワードpw」を用いるところ,全数探索が困難な長さである,70ビット以上のパスワードをランダムに生成することは,例えば,引用例2(上記Gを参照)に32バイト(256ビット)のパスワードをランダムに生成する旨が記載されるように,当該技術分野における周知技術であった。
また,コンピュータセキュリティを考慮して,パスワードを全数探索が困難な安全性の高いものとすることも当該技術分野における普遍の課題である。
そうすると,引用発明において,上記周知技術を適用し,パスワードpwを安全性の高いものとするために,70ビット以上のランダム値により生成すること,すなわち,上記相違点1に係る構成とすることは,当業者が容易に想到し得たことである。

2 相違点2について

引用発明では,「クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対」は「サイトC」が生成し,生成された「クライアントの保存秘密値cs_ba1」は「サイトB」に,生成された「サーバの保存秘密値ss_ba1」は「サイトA」に分散して登録するところ,「サイトC」がいずれのサイトと通信している時に「クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対」を生成するか,「サイトC」が生成した「クライアントの保存秘密値cs_ba1」,「サーバの保存秘密値ss_ba1」のいずれを先に対応のサイトに登録するかは,適宜に選択し得た設計的事項であると言える。
そして,「サイトC」が「サイトA」と通信している時に,「クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対」を生成し,「サイトA」は「サーバの保存秘密値ss_ba1」を保存するとすれば,その後に「サイトC」は生成した「クライアントの保存秘密値cs_ba1」を「サイトB」に送信する処理手順となり,あるいは,「サイトC」が「サイトB」と通信している時に,「クライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対」を生成し,「サイトB」は「クライアントの保存秘密値cs_ba1」を保存するとすれば,その後に「サイトC」は生成した「サーバの保存秘密値ss_ba1」を「サイトA」に送信する処理手順となることは自明である。
そうすると,引用発明において,適宜,サイトCはサイトAと通信してクライアントの保存秘密値cs_ba1と,サーバの保存秘密値ss_ba1の対を生成し,サイトAはサーバの保存秘密値ss_ba1を保存し,その後にサイトBは,生成されたクライアントの保存秘密値cs_ba1をサイトCから受信して保存すること,すなわち,上記相違点2に係る構成とすることは,当業者が容易に想到し得たことである。

3 小括

上記で検討したごとく,相違点1,2に係る構成は当業者が容易に想到し得たものであり,そして,これらの相違点を総合的に勘案しても,本願発明の奏する作用効果は,引用発明及び当該技術分野の周知技術の奏する作用効果から予測される範囲内のものにすぎず,格別顕著なものということはできない。


第6 むすび

以上のとおり,本願の請求項1に係る発明は,特許法第29条第2項の規定により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである。

よって,結論のとおり審決する。

 
審理終結日 2016-03-24 
結審通知日 2016-03-28 
審決日 2016-04-12 
出願番号 特願2011-11158(P2011-11158)
審決分類 P 1 8・ 121- Z (G06F)
最終処分 不成立  
前審関与審査官 戸島 弘詩  
特許庁審判長 石井 茂和
特許庁審判官 須田 勝巳
辻本 泰隆
発明の名称 データ分散管理システム、装置及びプログラム  
代理人 木村 秀二  
代理人 下山 治  
代理人 坂本 隆志  
代理人 大塚 康徳  
代理人 永川 行光  
代理人 高柳 司郎  
代理人 大塚 康弘  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ