• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 取り消して特許、登録 H04L
審判 査定不服 特36条4項詳細な説明の記載不備 取り消して特許、登録 H04L
審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1341467
審判番号 不服2016-16768  
総通号数 224 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2018-08-31 
種別 拒絶査定不服の審決 
審判請求日 2016-11-09 
確定日 2018-07-03 
事件の表示 特願2014-179883「単一の登録手順を使用するクライアントのグループの安全な登録」拒絶査定不服審判事件〔平成27年 2月12日出願公開,特開2015- 29288,請求項の数(10)〕について,次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は,特許すべきものとする。 
理由 第1.手続の経緯
本願は,2011年6月6日(パリ条約による優先権主張外国庁受理,2010年6月10日,米国)を国際出願日とする特願2013-514245号の一部を,特許法第44条第1項の規定により,平成26年9月4日に新たな特許出願としたものであって,平成26年10月3日付けで審査請求がなされる共に手続補正がなされ,平成28年1月6日付けで拒絶理由が通知され,平成28年4月8日付けで意見書が提出されると共に手続補正がなされ,平成28年7月22日付けで審査官により拒絶査定(以下,「原査定」という)がされ,これに対して平成28年11月9日付けで審判請求がなされると同時に手続補正がなされ,平成29年11月10日に拒絶理由(以下,「当審拒絶理由」という)が通知され,平成30年5月11日付けで意見書が提出されると共に手続補正がされたものである。

第2.本願発明
本願請求項1?10に係る発明(以下,「本願発明1」?「本願発明10」という)は,平成30年5月11日付けの手続補正で補正された特許請求の範囲の請求項1?10に記載された事項により特定される発明であり,本願発明1は以下のとおりの発明である。
「通信ネットワークにおいて通信デバイスのグループを登録するための方法であって,
ネットワークデバイスから通信デバイスのグループにグループチャレンジメッセージを送信するステップと,
ネットワークデバイスにおいて,それぞれグループ内の少なくとも2つの通信デバイスからグループチャレンジに対する少なくとも2つの応答メッセージを受信するステップであって,応答メッセージのそれぞれはグループに対応する同じグループ資格情報を備えるステップと,
ネットワークデバイスにおいて,グループチャレンジに対する応答メッセージを集約するステップと,
前記少なくとも2つの通信デバイスをグループとして,相互に認証させるために,集約メッセージをネットワークデバイスから通信ネットワーク内のオーセンティケータに送信するステップとを備え,
前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによって,グループチャレンジをグループ内の通信デバイスに共通な鍵と組み合わせることによって,それぞれ計算される,方法。」

なお,本願発明2?本願発明6は,本願発明1を減縮した発明である。
本願発明7は,本願発明1に対応する装置の発明である。
本願発明8は,本願発明1に対応する方法の発明おいて送信される「グループチャレンジメッセージ」を受信する側から表現した方法の発明である。
本願発明9は,本願発明8に対応する装置の発明である。
本願発明10は,本願発明1の「通信デバイス」を「ユーザ」とする発明である。

第3.引用文献,引用発明等
1.引用文献1
原査定の拒絶理由に引用された,本願の原出願の出願前に既に公知である,特開2002-124941号公報(2002年4月26日公開,以下,これを「引用文献1」という)には,関連する図面と共に,次の事項が記載されている。

A.「【0038】実施の形態1.図1は,この発明の第1の実施の形態である暗号通信システムの構成を示す図である。図1において,暗号通信システムは,グループ暗号鍵管理部1,中継手段としての機能を有するルータ5,8が,ネットワーク4に接続されている。ルータ5はさらにLAN11を介して端末T1?T4に接続される。また,ルータ8は,LAN12を介して端末T5?T7と接続されている。さらに,端末T2?T6は,暗号通信グループ13に含まれている。なお,ネットワーク4は,電話網や,ISDN網などを含んでもよい。
【0039】グループ暗号鍵管理部1は,暗号通信グループ13が暗号通信に用いるグループ暗号鍵を生成する。グループ暗号鍵管理部1は,生成したグループ暗号鍵を含む鍵配送データD1を暗号通信グループに属する各端末T2?T6にマルチキャスト送信する鍵配送部2と,一括応答データD4をもとに暗号通信グループに属する各端末T2?T6の情報を管理するグループ端末管理部3を有している。
【0040】ルータ5はグループ暗号鍵管理部1が送信した鍵配送データD1に,代理応答アドレスとしてルータ5のIPアドレスを付加して鍵配送終端データD2を作成するアドレス付加部6を有し,LAN11に接続された端末T1?T4に鍵配送終端データD2を送信する。また,ルータ5は,暗号通信グループ13に属する端末T2?T4がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部7を有する。
【0041】また,ルータ8は,ルータ5と同様に,グループ暗号鍵管理部1が送信した鍵配送データD1に,代理応答アドレスとしてルータ8のIPアドレスを付加して鍵配送終端データD2を作成するアドレス付加部9を有し,LAN12に接続された端末T5?T7に鍵配送終端データD2を送信する。さらに,ルータ8は,暗号通信グループ13に属する端末T5?T6がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部10を有する。
【0042】端末T2は,鍵配送終端データD2を受信してグループ暗号鍵を受信し,自端末の情報を暗号化し,配送応答データD3としてルータ5に送信する暗号鍵管理部t2を有する。端末T3,T4は,端末T2と同様に鍵配送終端データD2を受信してグループ暗号鍵を受信し,自端末の情報を暗号化し,配送応答データD3としてルータ5に送信する暗号鍵管理部t3,t4を有する。なお,端末T1は,LAN11に接続されているが,暗号通信グループ13には属さない。
【0043】端末T5,T6は,鍵配送終端データD2を受信してグループ暗号鍵を受信し,自端末の情報を暗号化し,配送応答データD3としてルータ8に送信する暗号鍵管理部t5,t6を有する。なお,端末T7は,LAN11に接続されているが,暗号通信グループ13には属さない。
【0044】さらに,グループ暗号鍵管理部1の鍵配送部2とグループ端末管理部3,ルータ5の一括応答部7,ルータ8の一括応答部10および端末T2?T6の暗号鍵管理部t2?t6は,秘密鍵暗号に用いる暗号鍵KCCを共有している。秘密鍵暗号にはたとえば米国の標準暗号方式DES(Data Encryption Standard)などがあるが,暗号鍵を知らない者が暗号文から平文を推定できないようなものならいかなる方式でもよい。」

B.「【0045】ここで,図2を参照して,鍵配送データD1,鍵配送終端データD2,配送応答データD3,一括応答データD4についてさらに詳細に説明する。
【0046】鍵配送データD1は,グループ暗号鍵管理部1の鍵配送部2によって作成される。鍵配送データD1は,送信元IPアドレス,宛先IPアドレス,データ種別,グループ識別子,グループ暗号鍵データを有する。鍵配送部2は,鍵配送データD1の送信元IPアドレスにグループ暗号鍵管理部1のIPアドレスを設定し,宛先IPアドレスには暗号通信グループ13のマルチキャストアドレスを設定し,データ種別には鍵配送を設定し,グループ識別子には暗号通信グループ13を識別するID13を設定し,グループ暗号鍵データにグループ暗号鍵管理部1が作成したグループ暗号鍵KSEを設定する。さらに,グループ識別子およびグループ暗号鍵を,暗号鍵KCCで暗号化している。
【0047】鍵配送終端データD2は,鍵配送データD1をもとに,ルータのアドレス付加部によって作成される。鍵配送終端データD2は,送信元IPアドレス,宛先IPアドレス,データ種別,グループ識別子,グループ暗号鍵データ,代理応答アドレス,を有する。鍵配送終端データD2には,ルータのアドレス付加部が鍵配送データD1に代理応答アドレスとして自己のIPアドレスを付加している。すなわち,ルータ5のアドレス付加部6は,代理応答アドレスとしてルータ5のIPアドレスを付加し,ルータ8のアドレス付加部9は,代理応答アドレスとしてルータ8のIPアドレスを付加する。また,鍵配送終端データD2の,送信元IPアドレス,宛先IPアドレス,暗号化されたグループ識別子およびグループ暗号鍵データは,鍵配送データD1から変更されず,データ種別は,鍵配送から鍵配送終端に書き替えられる。
【0048】配送応答データD3は,鍵配送終端データD2をもとに,端末の暗号鍵管理部によって作成される。配送応答データD3は,送信元IPアドレス,宛先IPアドレス,データ種別,グループ識別子,配送済み端末IPアドレス,を有する。端末の暗号鍵管理部は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ暗号鍵KSEを取り出し,グループ暗号鍵を正常に受信したことを示す配送応答データD3を作成する。具体的には,送信元IPアドレスに自端末のIPアドレスを設定し,宛先アドレスに鍵配送終端データD2の代理応答アドレスに設定されたルータのIPアドレスを設定し,データ種別に配送応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み端末IPアドレスに自端末のIPアドレスを設定する。さらに,グループ識別子および配送済み端末IPアドレスは暗号鍵KCCで暗号化される。
【0049】すなわち,端末T2の暗号鍵管理部t2は,送信元IPアドレスおよび配送済み端末IPアドレスに端末T2のIPアドレスを設定し,宛先IPアドレスにはルータ5のIPアドレスを設定する。また,端末T3およびT4の暗号鍵管理部t3およびt4も同様に送信元IPアドレスおよび配送済み端末IPアドレスに自端末のIPアドレスを設定し,宛先IPアドレスにルータ5のIPアドレスを設定する。さらに,端末T5およびT6においても同様である。端末T5およびT6では,鍵配送終端データD2はルータ8から受信しており,代理応答アドレスはルータ8のIPアドレスであるため,宛先IPアドレスはルータ8のIPアドレスとなる。また,端末T1および端末T7は,暗号通信グループ13に属さず,受信した鍵配送終端データD2を破棄する。
【0050】一括応答データD4は,各端末から受信した配送応答データD3をもとに,ルータの一括応答部によって作成される。一括応答データD4は,送信元IPアドレス,宛先IPアドレス,データ種別,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを有する。ルータの一括応答部は,ルータが鍵配送終端データD2を送信してから一定時間内に受信した配送応答データD3のグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,グループ暗号鍵を正常に受信した端末の数と,各端末のIPアドレスとを得る。さらに一括応答部は,送信元IPアドレスに自ルータのIPアドレスを設定し,宛先IPアドレスにグループ鍵管理部1のIPアドレスを設定し,データ種別に一括応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数にグループ暗号鍵を正常に受信した端末の数を設定し,配送済み端末複数IPアドレスにグループ暗号鍵を正常に受信した各端末のIPアドレスを設定する。さらに,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する。
【0051】具体的には,ルータ5の一括応答部7は,端末T2,端末T3,端末T4からそれぞれ配送応答データD3を受信し,各配送応答データD3の暗号化されたグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,端末T2,端末T3,端末T4のIPアドレスを得る。さらに一括応答部7は,送信元IPアドレスにルータ5のIPアドレスを設定し,宛先IPアドレスにグループ暗号鍵管理部1のIPアドレスを設定し,データ種別に一括応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数に3を設定し,配送済み端末複数IPアドレスに端末T2,T3,T4のIPアドレスをそれぞれ設定し,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する。
【0052】また,ルータ8の一括応答部10は,端末T5およびT6からそれぞれ配送応答データD3を受信し,各配送応答データD3の暗号化されたグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,端末T5および端末T6のIPアドレスを得る。さらに一括応答部10は,送信元IPアドレスにルータ8のIPアドレスを設定し,宛先IPアドレスにグループ暗号鍵管理部1のIPアドレスを設定し,データ種別に一括応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数に2を設定し,配送済み端末複数IPアドレスに端末T5およびT6のIPアドレスを設定し,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する。」

C.「【0064】グループ暗号鍵管理部1はルータ5およびルータ8から受信した一括応答データD4を暗号鍵KCCで復号し,グループ暗号鍵KSEを受信した端末T2?T6のIPアドレスを得ることができる。」

2.引用文献2
原査定の拒絶理由に引用された国際公開2005/106681号公報(2005年11月10日公開,以下,これを「引用文献2」という)には,関連する図面と共に,次の事項が記載されている。

D.「【0078】
発行すべきライセンスが選択されて,その情報がセキュアデバイス400に送られると,セキュアデバイス400の第1認証手段412と再生端末500の第1認証手段506との間で,一般的なチャレンジ・レスポンス方式等による相互認証が開始され,セッション鍵が生成される(図14の(1))(S244)。次に,セキュアデバイス400の第2認証手段413と再生端末500の第2認証手段507とは,セキュアデバイス400のグループ鍵格納手段404及び再生端末500のグループ鍵格納手段504に格納されているグループ鍵をそれぞれ読み出し(図14の(2)),グループ鍵を用いて相互認証を行う(図14の(3))(S245)。両者が同一のグループ鍵を有している場合は,認証に成功し,また,両者が異なるグループ鍵を有している場合は,認証に失敗して処理を終了する。」

3.引用発明
あ.上記Aの【0038】には「図1は,この発明の第1の実施の形態である暗号通信システムの構成を示す図である。図1において,暗号通信システムは,グループ暗号鍵管理部1,中継手段としての機能を有するルータ5,8が,ネットワーク4に接続されている」と記載され,同じく上記Aの【0039】には「グループ暗号鍵管理部1は,生成したグループ暗号鍵を含む鍵配送データD1を暗号通信グループに属する各端末T2?T6にマルチキャスト送信する鍵配送部2と,一括応答データD4をもとに暗号通信グループに属する各端末T2?T6の情報を管理するグループ端末管理部3を有している」と記載され,上記Cの【0064】には「グループ暗号鍵管理部1はルータ5およびルータ8から受信した一括応答データD4を暗号鍵KCCで復号し,グループ暗号鍵KSEを受信した端末T2?T6のIPアドレスを得ることができる」と記載されていることから,引用文献1には
“ネットワーク内のグループ暗号鍵管理部においてグループ暗号鍵KSEを受信した端末(T2?T6)のIPアドレスを得る暗号通信システム”が記載されているといえる。

い.上記Aの【0040】には「ルータ5はグループ暗号鍵管理部1が送信した鍵配送データD1に,代理応答アドレスとしてルータ5のIPアドレスを付加して鍵配送終端データD2を作成するアドレス付加部6を有し,LAN11に接続された端末T1?T4に鍵配送終端データD2を送信する」と記載され,同じくAの【0041】には「ルータ8は,ルータ5と同様に,グループ暗号鍵管理部1が送信した鍵配送データD1に,代理応答アドレスとしてルータ8のIPアドレスを付加して鍵配送終端データD2を作成するアドレス付加部9を有し,LAN12に接続された端末T5?T7に鍵配送終端データD2を送信する」と記載されていることから,引用文献1には,
“ルータから端末に鍵配送データD1をもとに作成される鍵配送終端データD2をそれぞれ送信する機能”が記載されているといえる。

う.上記Aの【0042】には「端末T2は,鍵配送終端データD2を受信してグループ暗号鍵を受信し(中略)端末T3,T4は,端末T2と同様に鍵配送終端データD2を受信してグループ暗号鍵を受信し」と記載され,同じくAの【0043】には「端末T5,T6は,鍵配送終端データD2を受信してグループ暗号鍵を受信し」と記載されていることから,引用文献1には
“端末(T2?T6)は,鍵配送終端データD2を受信してグループ暗号鍵を受信”することが記載されているといえる。

え.上記Bの【0048】には「端末の暗号鍵管理部は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ暗号鍵KSEを取り出し,グループ暗号鍵を正常に受信したことを示す配送応答データD3を作成する(中略)グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み端末IPアドレスに自端末のIPアドレスを設定する。さらに,グループ識別子および配送済み端末IPアドレスは暗号鍵KCCで暗号化される」と記載されていることから,端末の暗号鍵管理部は,鍵配送終端データD2を受信し,暗号化されたグループ識別子及びグループ暗号鍵データを復号し,グループ識別子及びグループ暗号鍵を取り出しているといえるので,上記う.で検討したことから,引用文献1には,
“端末は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ識別子(ID13)およびグループ暗号鍵(KSE)を取り出し,取り出したグループ識別子(ID13)と自端末のIPアドレス等を配送応答データに設定し,配送応答データD3を作成する機能”が記載されているといえる。

お.上記Bの【0040】には「ルータ5は,暗号通信グループ13に属する端末T2?T4がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部7を有する」と記載され,同じく上記Bの【0041】には「ルータ8は,暗号通信グループ13に属する端末T5?T6がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部10を有する」と記載されていることから,引用文献1には,
“ルータにおいて,それぞれのグループ鍵を受信した端末(T2?T6)から鍵配送終端データに対する配送応答データD3を受信する機能”が記載されているといえる。

か.上記Aの【0048】には「配送応答データD3は,鍵配送終端データD2をもとに,端末の暗号鍵管理部によって作成される。配送応答データD3は,(中略),グループ識別子,配送済み端末IPアドレス,を有する。端末の暗号鍵管理部は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ暗号鍵KSEを取り出し,グループ暗号鍵を正常に受信したことを示す配送応答データD3を作成する。(中略),グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み端末IPアドレスに自端末のIPアドレスを設定する。さらに,グループ識別子および配送済み端末IPアドレスは暗号鍵KCCで暗号化される。」と記載されていることから,上記お.で受信した「配送応答データD3」について,
“前記配送応答データD3のそれぞれは端末(T2?T6)からなる暗号通信グループに対応するグループ識別子(ID13)を備える機能”が記載されているといえる。
そうすると,引用文献1には,上記お.で検討したことから,
“ルータにおいて,それぞれのグループ暗号鍵を受信した端末(T2?T6)から鍵配送終端データD2に対する配送応答データD3を受信する機能であって,前記配送応答データD3のそれぞれは端末(T2?T6)からなる暗号通信グループに対応するグループ識別子(ID13)を備える機能”が記載されているといえる。

き.上記Bの【0050】には「一括応答データD4は,各端末から受信した配送応答データD3をもとに,ルータの一括応答部によって作成される。一括応答データD4は,(中略),グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを有する。ルータの一括応答部は,ルータが鍵配送終端データD2を送信してから一定時間内に受信した配送応答データD3のグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,グループ暗号鍵を正常に受信した端末の数と,各端末のIPアドレスとを得る。(中略),グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数にグループ暗号鍵を正常に受信した端末の数を設定し,配送済み端末複数IPアドレスにグループ暗号鍵を正常に受信した各端末のIPアドレスを設定する。さらに,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する」と記載され,同じく上記Bの【0051】には「ルータ5の一括応答部7は,端末T2,端末T3,端末T4からそれぞれ配送応答データD3を受信し,各配送応答データD3の暗号化されたグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,端末T2,端末T3,端末T4のIPアドレスを得る。さらに一括応答部7は,送信元IPアドレスにルータ5のIPアドレスを設定し,宛先IPアドレスにグループ暗号鍵管理部1のIPアドレスを設定し,データ種別に一括応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数に3を設定し,配送済み端末複数IPアドレスに端末T2,T3,T4のIPアドレスをそれぞれ設定し,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する」と記載され,同じく上記Bの【0052】には「ルータ8の一括応答部10は,端末T5およびT6からそれぞれ配送応答データD3を受信し,各配送応答データD3の暗号化されたグループ識別子および配送済み端末IPアドレスを暗号鍵KCCで復号し,端末T5および端末T6のIPアドレスを得る。さらに一括応答部10は,送信元IPアドレスにルータ8のIPアドレスを設定し,宛先IPアドレスにグループ暗号鍵管理部1のIPアドレスを設定し,データ種別に一括応答を設定し,グループ識別子に暗号通信グループ13を識別するID13を設定し,配送済み有効数に2を設定し,配送済み端末複数IPアドレスに端末T5およびT6のIPアドレスを設定し,グループ識別子,配送済み有効数,配送済み端末複数IPアドレスを暗号鍵KCCで暗号化する」と記載されていることから,引用文献1には,
“ルータにおいて,鍵配送終端データD2に対する配送応答データD3の暗号化されたグループ識別子及び端末IPアドレスをそれぞれ復号し,一括応答データD4の配送済み端末複数IPアドレスに配送済み有効数分の端末のIPアドレスを設定し,一括応答データD4を作成する機能”が記載されているといえる。

く.上記Aの【0040】には「ルータ5は,暗号通信グループ13に属する端末T2?T4がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部7を有する」と記載され,同じく上記Aの【0041】には「ルータ8は,暗号通信グループ13に属する端末T5?T6がグループ暗号鍵を受信した場合に送出する配送応答データD3をもとに,グループ暗号鍵を受信した端末の情報を暗号化し,グループ暗号鍵管理部1に一括応答データD4として送信する一括応答部10を有する」と記載されていることから,引用文献1には
“一括応答データD4をルータからネットワーク内のグループ暗号鍵管理部に送信する機能”が記載されているといえる。

け.上記あ.?く.において検討した事項から,引用文献1には,次の発明(以下,これを「引用発明」という)が記載されているものといえる。
「ネットワーク内のグループ暗号鍵管理部においてグループ暗号鍵KSEを受信した端末(T2?T6)のIPアドレスを得る暗号通信システムであって,
ルータから端末に鍵配送データD1をもとに作成される鍵配送終端データD2をそれぞれ送信する機能と,
端末(T2?T6)は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ識別子(ID13)およびグループ暗号鍵(KSE)を取り出し,取り出したグループ識別子(ID13)と自端末のIPアドレス等を配送応答データに設定し,配送応答データD3を作成する機能と,
ルータにおいて,それぞれのグループ暗号鍵を受信した端末(T2?T6)から鍵配送終端データD2に対する配送応答データD3を受信する機能であって,前記配送応答データD3のそれぞれは端末(T2?T6)からなる暗号通信グループに対応するグループ識別子(ID13)を備える機能と,
ルータにおいて,鍵配送終端データD2に対する配送応答データD3の暗号化されたグループ識別子及び端末IPアドレスをそれぞれ復号し,一括応答データD4の配送済み端末複数IPアドレスに配送済み有効数分の端末のIPアドレスを設定し,一括応答データD4を作成する機能と,
一括応答データD4をルータからネットワーク内のグループ暗号鍵管理部に送信する機能とを備えるシステム。」

第4.対比・判断
1.本願発明1
(1)対比
ア.引用発明の「ネットワーク内のグループ暗号鍵管理部においてグループ暗号鍵KSEを受信した端末(T2?T6)のIPアドレスを得る暗号通信システム」と本願発明1の「通信ネットワークにおいて通信デバイスのグループを登録するための方法」とを対比すると,
引用発明の「ネットワーク内のグループ暗号鍵管理部」は,グループ暗号鍵KSEを受信した端末(T2?T6)のIPアドレスを得ることで,暗号通信グループを形成に必要な情報を記録(登録)するための方法を備えているといえるので,両者に実質的な差異はない。

イ.引用発明の「ルータから端末に鍵配送データD1をもとに作成される鍵配送終端データD2をそれぞれ送信する機能」と本願発明1の「ネットワークデバイスから通信デバイスのグループにグループチャレンジメッセージを送信するステップ」とを対比すると,
引用発明の「ルータ」「端末」は本願発明1の「ネットワークデバイス」「通信デバイス」にそれぞれ相当し,引用発明の「鍵配送データD1をもとに作成される鍵配送終端データD2」は,端末(T2?T6)が受信し,グループ識別子を取り出し,配送応答データD3に設定し作成することに用いられることから,配送応答データD3に対応する要求メッセージといえ,本願発明1の「チャレンジメッセージ」も応答メッセージを要求しているといえるので“要求メッセージ”という点で一致する。そうすると,後記する点で相違するものの,
“ネットワークデバイスから通信デバイスのグループに要求メッセージを送信するステップ”という点で一致するといえる。

ウ.引用発明の「ルータにおいて,それぞれのグループ暗号鍵を受信した端末(T2?T6)から鍵配送終端データD2に対する配送応答データD3を受信する機能であって,前記配送応答データD3のそれぞれは端末(T2?T6)からなる暗号通信グループに対応するグループ識別子(ID13)を備える機能」と本願発明1の「ネットワークデバイスにおいて,それぞれグループ内の少なくとも2つの通信デバイスからグループチャレンジに対する少なくとも2つの応答メッセージを受信するステップであって,応答メッセージのそれぞれはグループに対応する同じグループ資格情報を備えるステップ」とを対比すると,
引用発明の「グループ暗号鍵を受信した端末(T2?T6)」は本願発明1の「グループ内の少なくとも2つの通信デバイス」に相当し,引用発明の「鍵配送終端データD2に対する配送応答メッセージD3」は,「グループ暗号鍵を受信した端末(T2?T6)」のそれぞれが送信することから,少なくとも2つあることは明らかなので,本願発明1の「グループチャレンジに対する少なくとも2の応答メッセージ」とは“要求メッセージに対する少なくとも2つの応答メッセージ”という点で一致し,引用発明の「暗号通信グループに対応するグループ識別子(ID13)」は本願発明1の「グループに対応する同じグループ資格情報」に相当する。そうすると,両者は後記する点で相違するものの,
“ネットワークデバイスにおいて,それぞれグループ内の少なくとも2つの通信デバイスから要求メッセージに対する少なくとも2つの応答メッセージを受信するステップであって,応答メッセージのそれぞれはグループに対応する同じグループ資格情報を備えるステップ”という点で一致する。

エ.引用発明の「ルータにおいて,鍵配送終端データD2に対する配送応答データD3の暗号化されたグループ識別子及び端末IPアドレスをそれぞれ復号し,一括応答データD4の配送済み端末複数IPアドレスに配送済み有効数分の端末のIPアドレスを設定し,一括応答データD4を作成する機能」と本願発明1の「ネットワークデバイスにおいて,グループチャレンジに対する応答メッセージを集約するステップ」とを対比すると,
引用発明の「鍵配送終端データD2に対する配送応答データD3」は本願発明1の「グループチャレンジに対する応答メッセージ」と“要求メッセージに対する応答メッセージ”という点で一致し,引用発明の「暗号化されたグループ識別子及び端末IPアドレスをそれぞれ復号し,一括応答データD4の配送済み端末複数IPアドレスに配送済み有効数分の端末のIPアドレスを設定し,一括応答データD4を作成する」ことは,「鍵配送終端データD2に対する配送応答データD3」から配送済み有効数分の端末のIPアドレスを取り出し集約して「一括応答データD4を作成」しているので,後記する点で相違するものの,
“ネットワークデバイスにおいて,要求メッセージに対する応答メッセージを集約するステップ”という点で一致する。

オ.引用発明の「一括応答データD4をルータからネットワーク内のグループ暗号鍵管理部に送信する機能」と本願発明1の「前記少なくとも2つの通信デバイスをグループとして,相互に認証させるために,集約メッセージをネットワークデバイスから通信ネットワーク内のオーセンティケータに送信するステップ」とを対比すると,
引用発明の「ネットワーク内のグループ暗号鍵管理部」は,暗号通信グループが暗号通信に用いるグループ鍵を生成し,暗号通信グループに属する各端末(T2?T6)の情報を管理していることから,本願発明1の「通信ネットワーク内のオーセンティケータ」は通信デバイスを認証するための情報を管理しているといえるので,上位概念において“通信ネットワーク内の情報管理手段”という点で一致する。そうすると,両者は後記する点で相違するものの,
“集約メッセージをネットワークデバイスから通信ネットワーク内の情報管理手段に送信するステップ”という点で一致する。

カ.引用発明の「端末(T2?T6)は,鍵配送終端データD2を受信し,暗号化されたグループ識別子およびグループ暗号鍵データを暗号鍵KCCで復号し,グループ識別子(ID13)およびグループ暗号鍵(KSE)を取り出」すことと本願発明1の「前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによって,グループチャレンジをグループ内の通信デバイスに共通な鍵と組み合わせることによって,それぞれ計算される」こととを対比すると,
引用発明の「暗号化されたグループ識別子」と「グループ識別子(ID13)」は本願発明1の「グループに対応する同じグループ資格情報」に相当し,引用発明の「グループ識別子(ID13)およびグループ暗号鍵(KSE)を取り出す」ことは,グループ識別情報を得ているといえるので,両者は後記する点で相違するものの,
“前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによってそれぞれ得られる”点で共通する。

キ.上記ア.?カ.において検討した事項を踏まえると,本願発明1と引用発明とは,次の点で,一致し,また,相違している。

<一致点>
通信ネットワークにおいて通信デバイスのグループを登録するための方法であって,
ネットワークデバイスから通信デバイスのグループに要求メッセージを送信するステップと,
ネットワークデバイスにおいて,それぞれグループ内の少なくとも2つの通信デバイスから要求メッセージに対する少なくとも2つの応答メッセージを受信するステップであって,応答メッセージのそれぞれはグループに対応する同じグループ資格情報を備えるステップと,
ネットワークデバイスにおいて,要求メッセージに対する応答メッセージを集約するステップと,
集約メッセージをネットワークデバイスから通信ネットワーク内の情報管理手段に送信するステップとを備え,
前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによってそれぞれ得られる,方法。

<相違点1>
本願発明1では,ネットワークデバイスから通信デバイスのグループに「グループチャレンジメッセージ」を送信し,ネットワークデバイスにおいて通信デバイスからの「グループチャレンジに対する少なくとも2つ応答メッセージ」を受信し,「グループチャレンジに対する応答メッセージ」を集約しているのに対し,引用発明ではそのように特定されていない点。

<相違点2>
本願発明1では,「前記少なくとも2つの通信デバイスをグループとして,相互に認証させるために,集約メッセージをネットワークデバイスから通信ネットワーク内のオーセンティケータに送信するステップ」と特定しているのに対して,引用発明ではそのように特定されていない点。

<相違点3>
「前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによってそれぞれ得られる」点に関し,本願発明1では「前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによって,グループチャレンジをグループ内の通信デバイスに共通な鍵と組み合わせることによって,それぞれ計算される」のに対して,引用発明ではそのように特定されていない点。

(2)判断
(2-1)相違点3
引用文献2(上記D参照)には「セキュアデバイス400の第2認証手段413と再生端末500の第2認証手段507とは,(中略)グループ鍵を用いて相互認証を行う(図14の(3))(S245)。両者が同一のグループ鍵を有している場合は,認証に成功し,また,両者が異なるグループ鍵を有している場合は,認証に失敗して処理を終了する」と記載されているように,グループ鍵を用いて相互認証させ,両者が同一のグループ鍵を有している場合は認証に成功させることが記載されているものの,本願発明1の「前記グループに対応する同じグループ資格情報が,グループ内の少なくとも2つの通信デバイスによって,グループチャレンジをグループ内の通信デバイスに共通な鍵と組み合わせることによって,それぞれ計算される」(以下,これを「相違点3に係る構成」という。)ことは,記載されておらず,周知技術ともいえない。更に,原査定の拒絶理由に引用された引用文献3?6にも記載も示唆もされていない。
したがって,上記相違点1を判断するまでもなく,本願発明1は,当業者であっても引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものとはいえない。

2.本願発明2?6について
本願発明2?6は,本願発明1を減縮した発明であるので,上記「相違点3に係る構成」を備えるものであるから,本願発明1と同じ理由により,当業者であっても,引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものではない。

3.本願発明7について
本願発明7は,本願発明1に対応する装置の発明であり,上記「相違点3に係る構成」と同様の構成を備えるものであるから,本願発明1と同じ理由により,当業者であっても,引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものではない。

4.本願発明8について
本願発明8は,本願発明1に対応する方法の発明おいて送信される「グループチャレンジメッセージ」を受信する側から表現した方法の発明であるものの,上記「相違点3に係る構成」と同様の構成を備えるものであるから,本願発明1と同じ理由により,当業者であっても,引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものではない。

5.本願発明9について
本願発明9は,本願発明8に対応する装置の発明であり,上記「相違点3に係る構成」を備えるものであり,本願発明1と同じ理由により,当業者であっても,引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものではない。

6.本願発明10について
本願発明10は,本願発明1に対応する「通信デバイスのグループを登録するための方法」の発明を「ユーザのグループを登録するための方法」とする発明であるものの,上記「相違点3に係る構成」と同様の構成を備えるものであるから,本願発明1と同じ理由により,当業者であっても,引用発明,引用文献2乃至6に記載された技術的事項に基づいて容易に発明できたものではない。

第5.原査定の概要および原査定についての判断
原査定は,請求項1?10について,下記引用文献1?6に基づいて,当業者が容易に発明をできたものであるから,特許法第29条第2項の規定により特許を受けることができないというものである。しかしながら,平成30年5月11日付けの手続補正により補正された請求項1?10には上記「相違点3に係る構成」と同様の構成を有するものとなっており,本願発明1?10は,引用発明および引用文献2?6に記載された技術的事項に基づいて,当業者が容易に発明できたものとはいえない。したがって,原査定を維持することはできない。

<引用文献等一覧>
1.特開2002-124941号公報
2.国際公開第2005/106681号
3.特開2002-163212号公報
4.特開2006-109413号公報
5.特開2001-211147号公報
6.熊谷 恒治,NT管理者必見!!Windows2000へのアップグレードに失敗しないためのActive Directoryへの近道 第6回,Windows NT World,日本,株式会社IDGコミュニケーションズ,1999年 7月 1日,Vol.4,No.7,p.288-291

第6.当審拒絶理由について
当審では,請求項1の「グループ資格情報」が何を用いて如何に「通信デバイスによって計算される」のかが不明りょうであり,発明の詳細な説明には,当業者が実施できる程度に記載されていないとの拒絶の理由を通知しているが,平成30年5月11日付けの手続補正において「グループチャレンジをグループ内の通信デバイスに共通な鍵と組み合わせることによって,それぞれ計算される」と補正された結果,この拒絶の理由は解消した。

第7.むすび
以上のとおり,本願発明1?10は,当業者が引用発明および引用文献2?6に記載された技術的事項に基づいて容易に発明することができたものではない。
したがって,原査定の理由によっては,本願を拒絶することはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。
 
審決日 2018-06-18 
出願番号 特願2014-179883(P2014-179883)
審決分類 P 1 8・ 536- WY (H04L)
P 1 8・ 121- WY (H04L)
P 1 8・ 537- WY (H04L)
最終処分 成立  
前審関与審査官 青木 重徳  
特許庁審判長 石井 茂和
特許庁審判官 高木 進
須田 勝巳
発明の名称 単一の登録手順を使用するクライアントのグループの安全な登録  
代理人 特許業務法人川口國際特許事務所  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ