• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 4項4号特許請求の範囲における明りょうでない記載の釈明 特許、登録しない。 H04L
審判 査定不服 特17条の2、3項新規事項追加の補正 特許、登録しない。 H04L
審判 査定不服 特36条4項詳細な説明の記載不備 特許、登録しない。 H04L
審判 査定不服 4項1号請求項の削除 特許、登録しない。 H04L
審判 査定不服 特36条6項1、2号及び3号 請求の範囲の記載不備 特許、登録しない。 H04L
審判 査定不服 4項3号特許請求の範囲における誤記の訂正 特許、登録しない。 H04L
審判 査定不服 2項進歩性 特許、登録しない。 H04L
審判 査定不服 4号2号請求項の限定的減縮 特許、登録しない。 H04L
審判 査定不服 5項独立特許用件 特許、登録しない。 H04L
管理番号 1283946
審判番号 不服2011-25484  
総通号数 171 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2014-03-28 
種別 拒絶査定不服の審決 
審判請求日 2011-11-25 
確定日 2014-01-24 
事件の表示 特願2001-531331「加入者ステーションの認証」拒絶査定不服審判事件〔平成13年 4月26日国際公開、WO01/30104,平成15年 4月 2日国内公表、特表2003-512792〕について,次のとおり審決する。 
結論 本件審判の請求は,成り立たない。 
理由 第1.手続の経緯
本願は,2000年10月18日(パリ条約による優先権主張外国庁受理1999年10月19日,1999年12月2日 フィンランド共和国)を国際出願日とする出願であって,
平成14年4月19日付けで特許法第184条の4第1項の規定による明細書,請求の範囲,及び,図面(図面の中の説明に限る)の日本語による翻訳文が提出され,平成19年10月17日付けで審査請求がなされる共に手続補正がなされ,平成22年10月19日付けで審査官により拒絶理由が通知され,これに対して平成23年4月22日付けで意見書が提出されると共に手続補正がなされたが,平成23年7月21日付けで審査官により拒絶査定がなされ,これに対して平成23年11月25日付けで審判請求がなされると共に手続補正がなされ,平成24年2月15日付けで審査官により特許法第164条第3項の規定に基づく報告がなされ,平成24年3月8日付けで当審により特許法第134条第4項の規定に基づく審尋がなされ,平成24年6月11日付けで回答書の提出があったものである。

第2.平成23年11月25日付けの手続補正の却下の決定

[補正却下の決定の結論]

平成23年11月25日付け手続補正を却下する。

[理由]

1.補正の内容
平成23年11月25日付けの手続補正(以下,「本件手続補正」という)により,平成23年4月22日付けの手続補正により補正された特許請求の範囲,
「【請求項1】
外部アタッカーにより生成された認証メッセージを識別するための方法であって,
乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)を含む認証メッセージを加入者ステーションで受信するステップと,
チェックアルゴリズム(f)および前記入力(RAND)の所定の部分(RND)を利用してメッセージ認証コードを計算することにより前記入力の正確性をチェックするステップと,
前記計算されたメッセージ認証コードが前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合に,前記入力が不正確であり,前記認証メッセージが外部アタッカーにより生成されたものと識別するステップと,
認証アルゴリズム(A3),前記入力(RAND),および,前記加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答(SRES)を計算し,前記計算されたメッセージ認証コードが,前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に前記加入者ステーションから前記応答(SRES)を転送するステップにより特徴づけられる,方法。
【請求項2】
不正確である入力(RAND)の数のレコードを保持するためのカウンター・ファンクションを維持するステップと,
前記カウンター・ファンクションが不正確な入力の数が所定の限界値に到達したことを指示する場合に,被認証装置がもはや前記認証メッセージ内の前記入力(RAND)に対する正確な応答(SRES)を生成しないように,被認証加入者ステーションの認証ファンクションをロックするステップと,
により特徴づけられる,請求項1に記載の方法。
【請求項3】
前記入力(RAND)が不正確である場合にランダム応答を生成し転送するステップにより特徴付けられる,請求項1または2に記載の方法。
【請求項4】
前記ランダム応答が乱数であることにより特徴付けられる,請求項3に記載の方法。
【請求項5】
前記ランダム応答が前記入力(RAND)および所定のアルゴリズムを利用して計算されることにより特徴付けられる,請求項3に記載の方法。
【請求項6】
カウンター(8,8')と,加入者ステーション用(MS,MS')秘密鍵(Ki)が格納されたメモリー(9,9')を含む少なくとも一つの加入者ステーション(MS,MS')と,
前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段は,
入力(RAND)を前記加入者ステーション(MS)に送信し,
前記認証手段(VLR)が,前記認証手段により計算された応答(SRES)に一致した応答(SRES)を前記加入者ステーション(MS,MS')から受信する場合に,前記加入者ステーション(MS,MS')が認証されたことを指示するように構成され,
前記認証手段は,
前記乱数ジェネレータ(1)により生成される乱数(RND),および,前記入力(RAND)の前記メッセージ認証コードおよび前記乱数を包含することにより,並びに,メッセージ認証コードを計算するために第1アルゴリズム(g)を利用することにより前記入力(RAND)を計算し,
前記入力(RAND),認証アルゴリズム(A3),認証手段のメモリ(4)に格納された加入者ステーションの特定の秘密鍵(Ki)に基づいて前記応答(SRES)を計算し,
前記加入者ステーション(MS,MS')は,
前記入力(RAND)およびチェックアルゴリズム(f)を利用してメッセージ認証コード(MAC)を計算することにより前記受信された入力(RAND)の正確性をチェックし,
前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の残りの部分に対応しない場合,前記入力(RAND)が不正確であると識別し,
前記入力(RAND)が前記メッセージ認証コード(MAC)に基づき正確である場合に,前記認証アルゴリズム(A3),前記加入者ステーション(MS,MS')のメモリーに格納された前記秘密鍵(Ki)および前記入力(RAND)を利用して,前記加入者ステーション(MS,MS')により前記認証手段(VLR)へ送信される応答を計算するように構成されることにより特徴付けられる通信システム。
【請求項7】
前記加入者ステーション(MS')は,
不正確である入力(RAND)の数(c)のレコードを保持するためにカウンター・ファンクション(7',9')を維持し,
不正確な入力の数(c)が所定の限界値(Cmax)に到達する前記カウンター・ファンクション(7',9')による指示に応答して,前記加入者ステーションが受信された入力に対する正確な応答を生成するようにもはや構成されないようにロックするように構成されることを特徴とする,請求項6に記載のシステム。
【請求項8】
前記加入者ステーション(MS,MS')が,不正確な入力に応答して,前記加入者ステーション(MS,MS')により前記認証手段(VLR)に送信されるランダム応答を計算するように構成されることにより特徴付けられる,請求項6又は請求項7に記載のシステム。
【請求項9】
不正確な入力(RAND)に応答して,前記加入者ステーション(MS,MS')が前記認証手段へ何ら応答を送信しないように構成されることにより特徴付けられる,請求項6又は7に記載のシステム。
【請求項10】
前記システムがモバイル通信システム,好適にはGSMシステムであることに特徴付けられる,請求項6乃至請求項9の何れか一つに記載のシステム。
【請求項11】
通信システムの認証センター(AC)であって,前記認証センターは,
乱数ジェネレータ(1)と,
カウンター(3)と,
加入者ステーションの加入者ステーション用秘密鍵が格納されるメモリー(4)とを備え,
前記認証センターが,特定の加入者ステーション(MS,MS')を認証するために必要な入力(RAND)および応答(SRES)を生成するように構成され,前記応答を生成するために前記認証センターは,
認証される前記加入者ステーション(MS,MS')の前記秘密鍵(Ki)を前記メモリー(4)から取り出し,
前記認証センターは,
前記乱数ジェネレータ(1)により生成される乱数(RND),および,メッセージ認証コードを計算するために第1アルゴリズム(g)を利用することにより,並びに,前記入力(RAND)に前記メッセージ認証コードおよび前記乱数を包含することにより前記入力(RAND)を生成し,
前記メモリ(4)から取り出された前記秘密鍵(Ki),前記入力(RAND),および,認証アルゴリズム(A3)に基づいて応答(SRES)を計算するように構成されていることにより特徴付けられる,認証センター(AC)。
【請求項12】
通信システムの加入者ステーション(MS,MS')であって,前記加入者ステーションを認証するために,
秘密鍵(Ki)が格納されるメモリー(9,9')と,
入力(RAND)を受信するための手段と,
カウンター(5,8,8')を備え,
前記加入者ステーションが,前記入力(RAND)の所定の部分(RND)およびチェックアルゴリズム(f)を利用してメッセージ認証コード(MAC)を計算することにより前記入力の正確性をチェックし,前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の残りに対応しない場合,前記入力(RAND)が不正確であると識別するように構成され,
前記計算されたメッセージ認証コード(MAC)が,前記入力の残りの部分に対応する場合に,前記カウンター(8,8')が,認証アルゴリズム(A3),前記秘密鍵(Ki),前記入力(RAND)に基づいて応答(SRES)を計算するように構成されることにより特徴付けられる,加入者ステーション(MS,MS')。
【請求項13】
前記加入者ステーションが,
不正確である入力(RAND)の数(C)のレコードを保持するためにカウンター・ファンクション(7',9')を維持し,
不正確な入力の数(C)が所定の限界値(Cmax)に到達した前記カウンター・ファンクション(7',9')による指示に応答して,加入者ステーションがもはや受信した入力に対する正確な応答を生成しないようにロックするように構成されることにより特徴付けられる,請求項12に記載の加入者ステーション。
【請求項14】
前記加入者ステーション(MS,MS')がモバイル通信システム,好適にはGSMシステムの加入者ステーションであり,前記メモリー(9,9')および/又は前記カウンター(5,8,8')が前記加入者ステーションに分離可能に取り付けられているSIMカード上に構成されていることを特徴とする,請求項11乃至請求項13のいずれか一つに記載の加入者ステーション。
【請求項15】
前記カウンター(8,8')が,
前記加入者ステーション(MS,MS')が不正確な入力(RAND)に応答して転送されるように構成されたランダム応答を計算するように構成されていることを特徴とする,請求項11乃至14のいずれか一つに記載の加入者ステーション。
【請求項16】
カウンター(8,8')および秘密鍵(Ki)が格納されるメモリー(9,9'),入力(RAND)を受信するための入口を備えたSIMカード(SIM)であって,
前記入力(RAND)の所定の部分(RND)およびチェックアルゴリズム(f)を利用してメッセージ認証コード(MAC)を計算することにより前記受信された入力(RAND)の正確性をチェックし,
前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の残りの部分に対応しない場合,前記入力(RAND)が不正確であると識別し,
前記メッセージ認証コード(MAC)が,前記入力の残りの部分に対応する場合に,認証アルゴリズム(A3),前記秘密鍵(Ki)および前記入力(RAND)に基づいて前記SIMカードにより転送するための応答(SRES)を計算するように構成されていることにより特徴付けられる,SIMカード(SIM)。
【請求項17】
前記SIMカードが,
不正確である入力(RAND)の数のレコードを保持するためにカウンター・ファンクション(7,9')を維持し,
不正確な入力の数(C)が所定の限界値(Cmax)に到達した前記カウンター・ファンクション(7,9')による指示に応答して,前記SIMカードがもはや前記受信された入力に対する正確な応答を生成しないようにロックするように構成されていることにより特徴付けられる,請求項16に記載のSIMカード。
【請求項18】
前記カウンター(8,8')が,不正確な入力(RAND)に応答して,前記加入者ステーション(MS,MS')により転送されるランダム応答を計算するように構成されていることにより特徴づけられる,請求項16又は17に記載のSIMカード。」(以下,上記引用の請求項各項を,「補正前の請求項」という)は,
「【請求項1】
メモリ(9,9’)にストアされた加入者ステーション用秘密鍵(Ki)を備えたメモリ(9,9’)およびカウンター(8,8’)を含む少なくとも1つの加入者ステーション(MS,MS’)と,
前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,前記認証手段が,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段が,前記乱数ジェネレータを利用して生成された乱数(RND)と,前記乱数および第1アルゴリズム(g)で計算されたメッセージ認証コード(MAC)とを含む入力(RAND)を少なくとも1つの加入者ステーションに送信し,前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成されたことを特徴とする,認証手段と,を有し,
前記加入者ステーション(MS,MS')の認証が,前記入力(RAND)に応答して前記加入者ステーションから受信した応答(SRES)と,前記認証手段によって計算された応答(SRES)とを比較することによって実行されることを特徴とする,
通信システムにおいて,外部アタッカーにより生成された認証メッセージを識別するための方法であって,
乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)を含む認証メッセージを少なくとも1つの加入者ステーション(MS,MS')で受信するステップと,
チェックアルゴリズム(f)および前記入力(RAND)の前記乱数(RND)を含む所定の部分を利用してメッセージ認証コードを前記少なくとも1つの加入者ステーション(MS,MS')で計算することにより前記入力の正確性をチェックするステップと,
前記計算されたメッセージ認証コードが前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合に,前記入力が不正確であり,前記認証メッセージが外部アタッカーにより生成されたものと識別するステップと,
認証アルゴリズム(A3),前記入力(RAND),および,前記加入者ステーション(MS,MS')のメモリ(9,9’)にストアされた前記秘密鍵(Ki)に基づいて応答(SRES)を計算し,前記計算されたメッセージ認証コードが,前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に前記加入者ステーションから前記応答(SRES)を転送するステップにより特徴づけられる,方法。
【請求項2】
不正確である入力(RAND)の数のレコードを保持するためのカウンター・ファンクションを維持するステップと,
前記カウンター・ファンクションが不正確な入力の数が所定の限界値に到達したことを指示する場合に,被認証装置がもはや前記認証メッセージ内の前記入力(RAND)に対する正確な応答(SRES)を生成しないように,被認証加入者ステーションの認証ファンクションをロックするステップと,
により特徴づけられる,請求項1に記載の方法。
【請求項3】
前記入力(RAND)が不正確である場合にランダム応答を生成し転送するステップにより特徴付けられる,請求項1または2に記載の方法。
【請求項4】
前記ランダム応答が乱数であることにより特徴付けられる,請求項3に記載の方法。
【請求項5】
前記ランダム応答が前記入力(RAND)および所定のアルゴリズムを利用して計算されることにより特徴付けられる,請求項3に記載の方法。
【請求項6】
カウンター(8,8')と,加入者ステーション用(MS,MS')秘密鍵(Ki)が格納されたメモリー(9,9')を含む少なくとも一つの加入者ステーション(MS,MS')と,
前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段は,
入力(RAND)を前記加入者ステーション(MS)に送信し,
前記認証手段(VLR)が,前記認証手段により計算された応答(SRES)に一致した応答(SRES)を前記加入者ステーション(MS,MS')から受信する場合に,前記加入者ステーション(MS,MS')が認証されたことを指示するように構成され,
前記認証手段は,
前記乱数ジェネレータ(1)により生成される乱数(RND),および,前記入力(RAND)の前記メッセージ認証コードおよび前記乱数を包含することにより,並びに,メッセージ認証コードを計算するために第1アルゴリズム(g)を利用することにより前記入力(RAND)を計算し,
前記入力(RAND),認証アルゴリズム(A3),認証手段のメモリ(4)に格納された加入者ステーションの特定の秘密鍵(Ki)に基づいて前記応答(SRES)を計算し,
前記少なくとも1つの加入者ステーション(MS,MS')は,
チェックアルゴリズム(f)および前記入力(RAND)の前記乱数(RND)を包含する所定の部分を利用してメッセージ認証コード(MAC)を計算することにより前記受信された入力(RAND)の正確性をチェックし,
前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合,前記入力(RAND)が不正確であると識別し,
前記計算されたメッセージ認証コード(MAC)が,前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合,
前記認証アルゴリズム(A3),前記加入者ステーション(MS,MS')のメモリーに格納された前記秘密鍵(Ki)および前記入力(RAND)に基づいて,前記加入者ステーション(MS,MS')により前記認証手段(VLR)へ送信される応答を計算するように構成されることにより特徴付けられる通信システム。
【請求項7】
前記加入者ステーション(MS')は,
不正確である入力(RAND)の数(c)のレコードを保持するためにカウンター・ファンクション(7',9')を維持し,
不正確な入力の数(c)が所定の限界値(Cmax)に到達する前記カウンター・ファンクション(7',9')による指示に応答して,前記加入者ステーションが受信された入力に対する正確な応答を生成するようにもはや構成されないようにロックするように構成されることを特徴とする,請求項6に記載のシステム。
【請求項8】
前記加入者ステーション(MS,MS')が,不正確な入力に応答して,前記加入者ステーション(MS,MS')により前記認証手段(VLR)に送信されるランダム応答を計算するように構成されることにより特徴付けられる,請求項6又は請求項7に記載のシステム。
【請求項9】
不正確な入力(RAND)に応答して,前記加入者ステーション(MS,MS')が前記認証手段へ何ら応答を送信しないように構成されることにより特徴付けられる,請求項6又は7に記載のシステム。
【請求項10】
前記システムがモバイル通信システム,好適にはGSMシステムであることに特徴付けられる,請求項6乃至請求項9の何れか一つに記載のシステム。
【請求項11】
通信システムの認証センター(AC)であって,前記通信システムが,メモリ(9,9’)にストアされた加入者ステーション用秘密鍵(Ki)を備えたメモリ(9,9’)およびカウンター(8,8’)を含む少なくとも1つの加入者ステーション(MS,MS’)を備え,前記加入者ステーション(MS,MS')の認証が,前記入力(RAND)に応答して前記加入者ステーションから受信した応答(SRES)と,前記認証センター(AC)によって計算された応答(SRES)とを比較することによって実行されることを特徴とする,前記認証センターは,
乱数ジェネレータ(1)と,
カウンター(3)と,
加入者ステーションの加入者ステーション用秘密鍵が格納されるメモリー(4)とを備え,
前記認証センターが,特定の加入者ステーション(MS,MS')を認証するために必要な入力(RAND)および応答(SRES)を生成するように構成され,前記応答を生成するために前記認証センターは,
認証される前記加入者ステーション(MS,MS')の前記秘密鍵(Ki)を前記メモリー(4)から取り出し,
前記認証センターは,
前記乱数ジェネレータ(1)により生成される乱数(RND),および,メッセージ認証コードを計算するために第1アルゴリズム(g)を利用することにより,並びに,前記入力(RAND)に前記メッセージ認証コードおよび前記乱数を包含することにより前記入力(RAND)を生成し,
前記メモリ(4)から取り出された前記秘密鍵(Ki),前記入力(RAND),および,認証アルゴリズム(A3)に基づいて応答(SRES)を計算し,
加入者ステーション(MS,MS')の認証を実行するネットワークエレメントに前記入力(RAND)および前記応答(SRES)を送信するように構成されていることにより特徴付けられる,認証センター(AC)。
【請求項12】
通信システムの加入者ステーション(MS,MS')であって,前記通信システムが,前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,前記認証手段が,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段が,前記乱数ジェネレータを利用して生成された乱数(RND)と,前記乱数および第1アルゴリズム(g)で計算されたメッセージ認証コード(MAC)とを含む入力(RAND)を少なくとも1つの加入者ステーションに送信し,前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成されたことを特徴とする,認証手段と,を有し,
前記加入者ステーション(MS,MS')の認証が,前記入力(RAND)に応答して前記加入者ステーションから受信した応答(SRES)と,前記認証手段によって計算された応答(SRES)とを比較することによって実行されることを特徴とし,
前記加入者ステーションが,
秘密鍵(Ki)が格納されるメモリー(9,9')と,
入力(RAND)を受信するための手段と,
カウンター(5,8,8')を備え,
前記加入者ステーションが,前記入力(RAND)の前記乱数を包含する所定の部分(RND)およびチェックアルゴリズム(f)を利用してメッセージ認証コード(MAC)を計算することにより前記入力の正確性をチェックし,前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合,前記入力(RAND)が不正確であると識別するように構成され,
前記計算されたメッセージ認証コード(MAC)が,前記入力の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に,前記カウンター(8,8')が,認証アルゴリズム(A3),前記秘密鍵(Ki),前記入力(RAND)に基づいて応答(SRES)を計算するように構成されることにより特徴付けられる,加入者ステーション(MS,MS')。
【請求項13】
前記加入者ステーションが,
不正確である入力(RAND)の数(C)のレコードを保持するためにカウンター・ファンクション(7',9')を維持し,
不正確な入力の数(C)が所定の限界値(Cmax)に到達した前記カウンター・ファンクション(7',9')による指示に応答して,加入者ステーションがもはや受信した入力に対する正確な応答を生成しないようにロックするように構成されることにより特徴付けられる,請求項12に記載の加入者ステーション。
【請求項14】
前記加入者ステーション(MS,MS')がモバイル通信システム,好適にはGSMシステムの加入者ステーションであり,前記メモリー(9,9')および/又は前記カウンター(5,8,8')が前記加入者ステーションに分離可能に取り付けられているSIMカード上に構成されていることを特徴とする,請求項11乃至請求項13のいずれか一つに記載の加入者ステーション。
【請求項15】
前記カウンター(8,8')が,
前記加入者ステーション(MS,MS')が不正確な入力(RAND)に応答して転送されるように構成されたランダム応答を計算するように構成されていることを特徴とする,請求項11乃至14のいずれか一つに記載の加入者ステーション。
【請求項16】
通信システムの加入者ステーションに関するSIMカードであって,前記通信システムが,前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,前記認証手段が,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段が,前記乱数ジェネレータを利用して生成された乱数(RND)と,前記乱数および第1アルゴリズム(g)で計算されたメッセージ認証コード(MAC)とを含む入力(RAND)を少なくとも1つの加入者ステーションに送信し,前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成されたことを特徴とする,認証手段と,を有し,
前記加入者ステーション(MS,MS')の認証が,前記入力(RAND)に応答して前記加入者ステーションから受信した応答(SRES)と,前記認証手段によって計算された応答(SRES)とを比較することによって実行されることを特徴とし,
前記SIMカードが,カウンター(8,8')および秘密鍵(Ki)が格納されるメモリー(9,9'),入力(RAND)を受信するための入口を備え,
前記入力(RAND)の前記乱数(RND)を包含する所定の部分およびチェックアルゴリズム(f)を利用してメッセージ認証コード(MAC)を計算することにより前記受信された入力(RAND)の正確性をチェックし,
前記計算されたメッセージ認証コード(MAC)が前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合,前記入力(RAND)が不正確であると識別し,
前記メッセージ認証コード(MAC)が,前記入力の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に,認証アルゴリズム(A3),前記秘密鍵(Ki)および前記入力(RAND)に基づいて前記SIMカードにより転送するための応答(SRES)を計算するように構成されていることにより特徴付けられる,SIMカード(SIM)。
【請求項17】
前記SIMカードが,
不正確である入力(RAND)の数のレコードを保持するためにカウンター・ファンクション(7,9')を維持し,
不正確な入力の数(C)が所定の限界値(Cmax)に到達した前記カウンター・ファンクション(7,9')による指示に応答して,前記SIMカードがもはや前記受信された入力に対する正確な応答を生成しないようにロックするように構成されていることにより特徴付けられる,請求項16に記載のSIMカード。
【請求項18】
前記カウンター(8,8')が,不正確な入力(RAND)に応答して,前記加入者ステーション(MS,MS')により転送されるランダム応答を計算するように構成されていることにより特徴づけられる,請求項16又は17に記載のSIMカード。」(以下,上記引用の請求項各項を,「補正後の請求項」という)に補正された。

2.補正の適否
(1)新規事項
本件手続補正が,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定を満たすものであるか否か,即ち,本件手続補正が,平成14年4月19日付けで提出された明細書,請求の範囲の日本語による翻訳文,及び,図面(以下,これを「当初明細書等」という)に記載した事項の範囲内でなされたものであるかについて,以下に検討する。

ア.補正後の請求項1,及び,請求項12,並びに,請求項16に,
「前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成された」,
と記載されているが,当初明細書等には,上記記載内容と同一の記載内容は存在しない。
そこで,上記引用の記載内容が,当初明細書等の記載内容から読み取れるかについて,更に検討すると,当初明細書等には,その【請求項12】に,
「前記メモリー(4)から取り出された前記秘密鍵(Ki),前記入力(RAND),認証アルゴリズム(A3)を利用して前記応答(SRES)を計算するように構成され」,
その【請求項13】に,
「前記カウンター(8,8')が,認証アルゴリズム(A3),前記秘密鍵(Ki),前記入力(RAND)を利用して前記加入者ステーション(MS,MS')により転送される応答(SRES)を計算するように構成される」,
その【請求項18】に,
「認証アルゴリズム(A3),前記秘密鍵(Ki)および前記入力(RAND)を利用することによって前記SIMカードにより転送される応答(SRES)を計算するように構成されている」,
その段落【0004】に,
「加入者ステーションは受信した乱数,加入者ステーションの秘密鍵Ki,認証アルゴリズムA3に基づいて応答SRESを計算するカウンターを備え」,
その段落【0025】に,
「カウンター3は,秘密鍵Ki,入力RAND,認証アルゴリズムA3に基づいて応答SRESを計算する」,
その段落【0028】に,
「カウンター8は,入力RAND,メモリー9に格納された加入者ステーション用の秘密鍵Ki,認証アルゴリズムA3に基づき応答SRESを計算する」,
その段落【0044】に,
「カウンター8'は入力RAND,メモリー9'に格納された加入者ステーション用秘密鍵Ki,認証アルゴリズムA3に基づいて応答SRESを計算する」,
と記載されていて,上記引用の当初明細書等の記載から,
“入力RANDは,秘密鍵Ki,認証アルゴリズムA3と共に,応答SRESを生成する”ものであって,
“「入力RAND」に基づいて,「応答SRES」,「認証アルゴリズムA3」,及び,「秘密鍵Ki」が計算される”ものではないことは明らかである。
そして,当初明細書等の記載の上記引用以外の記載内容からは,
“「入力RAND」に基づいて,「応答SRES」,「認証アルゴリズムA3」,及び,「秘密鍵Ki」が計算される”ことを示唆するような他の実施例等は記載されていない。
以上のとおりであるから,補正後の請求項1,及び,請求項12,並びに,請求項16に記載された,
「前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成された」,
は,当初明細書等に記載されたものではない。

イ.補正後の請求項12に,
「前記(RAND)の前記乱数を包含する所定の部分(RND)」,
と記載されているが,当初明細書等の記載内容には,上記引用の記載と同一の記載は存在しない。
当初明細書等の記載内容に従えば,例えば,段落【0019】に,
「入力RANDが常に二つの部分(図3に示すように)を含むこと,従って乱数RNDおよび所定のチェックアルゴリズムにより計算されるメッセージ認証コードMACを含むことを決定することにより実行可能である。それ故,ブロックBでは,メッセージ認証コードを計算するために使用される部分RNDが入力RANDから取り出され得る」(下線は,当審にて,説明の都合上附加したものである。以下,同じ),
と記載されているとおり,“RND=乱数”であって,「RND」は,「乱数を包含する」ものではないことは明らかである。
そして,当初明細書等の上記引用記載以外には,「RND」が,「乱数を包含する」ものであることを示唆する記載は存在しない。
以上のとおりであるから,補正後の請求項12に記載された,
「前記(RAND)の前記乱数を包含する所定の部分(RND)」,
は,当初明細書等に記載されたものではない。

以上,ア.及び,イ.に検討したとおりであるから,本件手続補正は,当初明細書等の記載の範囲内でなされたものではない。

よって,平成14年法律第24号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

(2)目的要件
本件手続補正は,上記「(1)新規事項」において検討したとおり,平成14年法律第24号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものであるが,
仮に,本件手続補正が,当初明細書等の記載の範囲内でなされたものであるとして,
本件手続補正が,平成14年法律第24号改正附則第2条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第4項の規定を満たすものであるか否か,即ち,本件手続補正が,特許法第17条の2第4項に規定する請求項の削除,特許請求の範囲の減縮(特許法第36条第5項の規定により請求項に記載した発明を特定するために必要な事項を限定するものであって,その補正前の当該請求項に記載された発明とその補正後の当該請求項に記載される発明の産業上の利用分野及び解決しようとする課題が同一であるものに限る),誤記の訂正,或いは,明りょうでない記載の釈明(拒絶理由通知に係る拒絶の理由に示す事項についてするものに限る)の何れかを目的としたものであるかについて,以下に検討する。

ア.本件手続補正によって,補正後の請求項1に加えられた,
「メモリ(9,9’)にストアされた加入者ステーション用秘密鍵(Ki)を備えたメモリ(9,9’)およびカウンター(8,8’)を含む少なくとも1つの加入者ステーション(MS,MS’)と,
前記加入者ステーションを認証するための認証手段(1,3,4,VLR)であって,前記認証手段が,乱数ジェネレータ(1),カウンター(3),前記少なくとも一つの加入者ステーション(MS,MS')の加入者ステーション用秘密鍵(Ki)が格納されたメモリー(4)を含んでおり,前記認証手段が,前記乱数ジェネレータを利用して生成された乱数(RND)と,前記乱数および第1アルゴリズム(g)で計算されたメッセージ認証コード(MAC)とを含む入力(RAND)を少なくとも1つの加入者ステーションに送信し,前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成されたことを特徴とする,認証手段と,を有し,
前記加入者ステーション(MS,MS')の認証が,前記入力(RAND)に応答して前記加入者ステーションから受信した応答(SRES)と,前記認証手段によって計算された応答(SRES)とを比較することによって実行されることを特徴とする,
通信システム」
は,補正前の請求項1に係る“方法”の発明が実行される「システム」を,補正前の請求項6に係る「通信システム」に関する発明の構成を,発明の詳細な説明に記載された内容を加味して,より詳細に表現したものではあるが,補正前の請求項1に係る発明における,何れの発明特定事項を限定するものでもなく,また,原審の平成22年10月19日付けの拒絶理由が,“明りょうでない記載の釈明”を求めるものではないので,本件手続補正が,「明りょうでない記載の釈明」を目的としたものとは認められない。そして,本件手続補正が,誤記の訂正,及び,請求項の削除に該当しないことも明らかである。
請求項11,請求項12,及び,請求項16に対する補正についても同様である。

よって,本件手続補正は,平成14年法律第24号改正附則第2条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第4項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

(3)独立特許要件
本件手続補正は,上記「(1)新規事項」において検討したとおり,平成14年法律第24号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものであり,仮に,当初明細書等の記載の範囲内でなされたものであるとしても,
本件手続補正は,上記「(2)目的要件」において検討したとおり,平成14年法律第24号改正附則第2条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第4項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものではあるが,仮に,本件手続補正が,当初明細書等の記載の記載の範囲内でなされ,目的要件を満たすものであるとして,
本件手続補正が,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第17条の2第5項において準用する同法第126条第5項の規定を満たすものであるか否か,即ち,補正後の請求項に記載されている事項により特定される発明が特許出願の際独立して特許を受けることができるものであるか否か,以下に検討する。

ア.36条6項1号について
(ア)補正後の請求項1,及び,請求項12,並びに,請求項16に,
「前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成された」,
と記載されているが,上記「(1)新規事項」のア.において検討したとおり,本願明細書の発明の詳細な説明には,上記引用の記載事項は存在せず,また,上記引用の記載事項が,本願明細書の発明の詳細な説明,及び,図面の記載内容から,当業者にとって自明の事項とは認められない。

(イ)補正後の請求項12に,
「前記(RAND)の前記乱数を包含する所定の部分(RND)」,
と記載されているが,上記「(1)新規事項」のア.において検討したとおり,本願明細書の発明の詳細な説明には,上記引用の記載事項は存在せず,また,上記引用の記載事項が,本願明細書の発明の詳細な説明,及び,図面の記載内容から,当業者にとって自明の事項とは認められない。

(ウ)補正後の請求項2?請求項5は,直接・間接に補正後の請求項1を引用し,補正後の請求項13は,補正後の請求項12を引用し,補正後の請求項14,及び,補正後の請求項15は,直接・間接に補正後の請求項11,或いは,補正後の請求項12を引用し,補正後の請求項17,及び,補正後の請求項18は,直接・間接に補正後の請求項16を引用しているので,上記(ア),及び,(イ)において指摘の,本願の発明の詳細な説明に記載されていない事項を内包している。

以上(ア)?(ウ)において検討したとおりであるから,補正後の請求項1?請求項5,及び,請求項11?請求項18に係る発明は,本願明細書の発明の詳細な説明に記載されたものではない。

イ.36条6項2号について
(ア)補正後の請求項1,及び,請求項12,並びに,請求項16に,
「前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成された」,
と記載されているが,「入力(RAND)」に基づいて,「応答(SRES)」,「認証アルゴリズム(A3)」,及び,「加入者ステーションの特定の秘密鍵(Ki)」を,どのように計算するのか,補正後の請求項各項の記載内容を加味しても不明あり,本願明細書の発明の詳細な説明,及び,図面に記載された内容を参酌しても不明である。

(イ)補正後の請求項12に,
「前記(RAND)の前記乱数を包含する所定の部分(RND)」,
と記載されているが,補正後の請求項1に記載された,
「乱数(RND)」との対応関係が不明であり,補正後の請求項12に記載された「乱数を包含する所定の部分(RND)」がどのようなものであるか不明である。

(ウ)補正後の請求項2?請求項5は,直接・間接に補正後の請求項1を引用し,補正後の請求項13は,補正後の請求項12を引用し,補正後の請求項14,及び,補正後の請求項15は,直接・間接に補正後の請求項11,或いは,補正後の請求項12を引用し,補正後の請求項17,及び,補正後の請求項18は,直接・間接に補正後の請求項16を引用しているので,上記(ア),及び,(イ)において指摘した,明確でない構成を内包し,かつ,補正後の請求項2?請求項5,及び,補正後の請求項13?請求項18に記載された事項を加味しても,上記指摘の明確でない構成が明確になるものではない。

以上(ア)?(ウ)において検討したとおりであるから,補正後の請求項1?請求項5,及び,請求項11?請求項18に係る発明は,明確ではない。

ウ.36条4項について
(ア)補正後の請求項1,及び,請求項12,並びに,請求項16に記載された,
「前記入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成された」,
に関して,本願明細書の発明の詳細な説明には,上記「(1)新規事項」において検討した程度の記載しか存在していないので,本願明細書の発明の詳細な説明に記載された内容からは,どのようにして,「認証手段」を,“入力(RAND)に基づいて応答(SRES)と,認証アルゴリズム(A3)と,加入者ステーションの特定の秘密鍵(Ki)を計算するように構成”するのか不明である。

(イ)補正後の請求項12に記載された,
「前記(RAND)の前記乱数を包含する所定の部分(RND)」,
に関して,本願明細書の発明の詳細な説明には,上記「(1)新規事項」において検討した程度の記載しか存在していないので,本願明細書の発明の詳細な説明に記載された内容からは,どのようにして,“(RAND)の前記乱数を包含する所定の部分(RND)”を実現しているのか不明である。

以上,(ア),及び,(イ)において検討したとおりであるから,本願明細書の発明の詳細な説明は,経済産業省で定めるところにより,その発明の属する技術分野における通常の知識を有する者がその実施をすることができる程度に明確かつ十分に,記載したものでない。

よって,本願明細書の発明の詳細な説明に記載,及び,特許請求の範囲の記載は,特許法第36条4項,及び,6項1号,2号の規定に違反するものであるから,補正後の請求項に記載されている事項により特定される発明は特許出願の際独立して特許を受けることできない。

したがって,本件手続補正は,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第17条の2第5項において準用する同法第126条第5項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

3.補正却下むすび
本件手続補正は,上記「(1)新規事項」において検討したとおり,平成14年法律第24号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第3項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。
仮に,当初明細書等の記載の範囲内でなされたものであるとしても,
本件手続補正は,上記「(2)目的要件」において検討したとおり,平成14年法律第24号改正附則第2条第1項によりなお従前の例によるとされる同法による改正前の特許法第184条の12第2項により読み替える同法第17条の2第4項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものではある。
仮に,本件手続補正が,当初明細書等の記載の記載の範囲内でなされ,目的要件を満たすものであるとしても,
本件手続補正は,上記「(3)独立特許要件」において検討したとおり,平成18年法律第55号改正附則第3条第1項によりなお従前の例によるとされる同法による改正前の特許法第17条の2第5項において準用する同法第126条第5項の規定に違反するので,同法第159条第1項において読み替えて準用する同法第53条第1項の規定により却下すべきものである。

よって,補正却下の決定の結論のとおり決定する。

第3.本願発明について
平成23年11月25日付けの手続補正は,上記のとおり却下されたので,本願の請求項1に係る発明(以下,これを「本願発明」という)は,平成23年4月22日付けの手続補正により補正された,上記「第2.平成23年11月25日付けの手続補正の却下の決定」の「1.補正の内容」において,補正前の請求項1として引用した,次の記載のとおりのものである。

「外部アタッカーにより生成された認証メッセージを識別するための方法であって,
乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)を含む認証メッセージを加入者ステーションで受信するステップと,
チェックアルゴリズム(f)および前記入力(RAND)の所定の部分(RND)を利用してメッセージ認証コードを計算することにより前記入力の正確性をチェックするステップと,
前記計算されたメッセージ認証コードが前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合に,前記入力が不正確であり,前記認証メッセージが外部アタッカーにより生成されたものと識別するステップと,
認証アルゴリズム(A3),前記入力(RAND),および,前記加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答(SRES)を計算し,前記計算されたメッセージ認証コードが,前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に前記加入者ステーションから前記応答(SRES)を転送するステップにより特徴づけられる,方法。」

第4.引用刊行物に記載の発明
一方,原審が,平成22年10月19日付けの拒絶理由に引用した,本願の第1国出願前に既に公知である,国際公開第98/49855号(以下,これを「引用刊行物」という)には,関連する図面と共に,次の事項が記載されている。

A.「Figure 2 illustrates an authentication method used in a known GSM system. In the system, the purpose of the authentication is to ensure that the mobile station trying to connect to the network really is what it claims to be. The principle of the authentication procedure is to have the network ask the mobile station a question for which only the mobile station with the given identity can answer correctly. The procedure is based on the use of a subscriber-specific authentication key Ki. During the entry of the subscriber data, the key Ki has been stored in the authentication centre AUC and in the subscriber identity module SIM to be placed in the mobile station. There is no way to find out the key without breaking the subscriber identity module SIM; only the authentication algorithms located in the authentication centre and in the subscriber identity module can use the key.」(2頁21行?32行)
(図2は,既知のGSMシステムにおいて用いられる,認証方法を示している。システムにおいて,認証の目的は,実際にネットワークに接続しようとしている移動局が,それがそうであると主張することを保証することである。認証手続の原理は,ネットワークが,識別を与えられた移動局だけが,正しく答えることができる質問を,その移動局に質問するようにさせることだ。その手続は,加入者固有の認証鍵Kiの使用に基づいている。加入者データの登録の間に,鍵Kiは,認証センタAUC内と,モバイル・ステーション内に位置する,加入者識別モジュールSIM内に,格納される。加入者識別モジュールSIMを破壊する以外に,その鍵を見出す方法はない。;認証センタAUC内と,加入者識別モジュール内に位置する認証アルゴリズムだけが,その鍵を使用することができる。<当審にて訳出。以下,同じ。>)

B.「The network starts the authentication at stage 204 by sending an authentication request to the mobile station. The request contains the random input RAND belonging to the triplet. The mobile station receives the request and, at stage 205, calculates the values SRES' and Kc by using the algorithms A3 and A8, programmed in the subscriber identity module SIM, and by using the random number RAND and the authentication key Ki, programmed in the subscriber identity module SIM, as the input. On the basis of the features of the algorithms, SRES'=SRES only, if the authentication keys Ki used by both the authentication centre and the subscriber identity module are identical.」(4頁6行?15行)
(ネットワークは,段階204において,モバイル・ステーションに,認証要求を送ることによって,認証を開始する。要求は,三つ組みに属する,乱数入力RANDが含まれる。モバイル・ステーションは,段階205において,要求を受け取り,値SRES’と,Kcを,加入者識別モジュールSIM内のプログラムされた,アルゴリズムA3,及び,A8とを用いること,及び,乱数RANDと,入力として,加入者識別モジュールSIMにプログラムされた,認証鍵Kiとを用いるによって,計算する。アルゴリズムの特徴に基づいて,認証センタと,加入者識別モジュールとが用いる鍵が同一であれば,その場合のみ,SRES’=SRESである。)

C.「In the above-described method, only the mobile station is authenticated. So the mobile communications network is assumed to be reliable. However, eavesdroppers may use their own base station which blocks the signals from the base stations of the real mobile communications network and which is connected, for example, to the fixed telephone network. By using this base station, an eavesdropper may send the authentication input RAND to a mobile station and receive SRES' as a response. The mobile station cannot detect the falsity of the base station, but assumes that the authentication succeeded. Later, the base station directs the mobile station not to use ciphering; after that it is easy to listen to the traffic of the mobile station. Alternatively, the eavesdropper may use an authentication triplet acquired by honest or dishonest means, pretend to be a base station and decipher the connection by using a key contained in the triplet. Triplets can be acquired by, for example, all of the GSM operators which have a roaming agreement with the subscriber's home network; the validity or re-use of the triplets is not limited in any way. To solve this problem, algorithms authenticating the network have also been developed for systems which require eavesdropping by means of a separate base station to be prevented.」(4頁30行?5頁12行)
(上記方法において,モバイル・ステーションだけが,認証される。そのため,移動通信ネットワークは,信頼できると仮定している。しかしながら,盗聴者は,実際の移動通信ネットワークの基地局からの信号をブロックし,例えば,固定電話ネットワークに接続されている,彼ら自身の基地局を使用するかもしれない。この基地局を使用することによって,盗聴者は,モバイル・ステーションに,認証入力RANDを送信し,応答として,SRES’を受信するかもしれない。モバイル・ステーションは,基地局の嘘を判断することができず,認証が成功したと思い込む。後に,その基地局は,モバイル・ステーションに,暗号化を使用しないことを指示する。;それ以後,モバイル・ステーションのトラフィックを盗聴することが易しくなる。或いは,その盗聴者は,公正な,或いは,非公正な方法で要求した,認証三つ組みを使用し,基地局を装って,その三つ組みに含まれる鍵を用いて,その接続を復号するかもしれない。三つ組みは,例えば,加入者のホーム・ネットワークによってローミング許可を持つ,GSMオペレータの全てによって要求され得る。;三つ組みの有効性,或いは,再利用は,何らかの制限はない。この問題を解決するために,防止されることを別々の基地局による盗聴に要求するシステムのために,ネットワークを認証するアルゴリズムもまた,開発された。)

D.「At stage 403, the AUC uses the identifier IMSI to search its database for the mobile subscriber's cipher key Ki. At stage 404 it generates the random number RAND2. The authentication key Ki and the random numbers RAND1 and RAND2 are entered at stage 405 as the starting data for the one-way hash functions H1 , H2 and H3, which provide the keys
SRES1=H1(Ki, RAND1 , RAND2),
SRES2'=H2(Ki, RAND1 , RAND2) and
Kc=H3(Ki, RAND1. RAND2). 」(9頁7行?14行)
(段階403において,AUCは,移動体加入者の暗号化鍵Kiため,データベースを検索することに,識別子IMSIを用いる。段階404において,乱数RAND2を生成する。認証鍵Ki,及び,乱数RAND1,並びに,乱数RAND2は,鍵SRES1=H1(Ki, RAND1 , RAND2),SRES2’=H2(Ki, RAND1 , RAND2),及び,Kc=H3(Ki, RAND1. RAND2)を与える,一方向ハッシュ関数H1,H2,及び,H3の開始データとして,段階405において,入力される。)

E.「The mobile station receives the values RAND2 and SRES. Additionally, it has the random number RAND1 it has generated and, for example, the cipher key Ki stored in the subscriber identity module SIM. It enters these data at point 407 to the algorithm stored in the subscriber module SIM in which the mobile station calculates the values SRES1 , SRES2 and Kc by using equations
SRES1'=H1(Ki, RAND1 , RAND2),
SRES2=H2(Ki, RAND1 , RAND2) and
Kc=H3(Ki, RAND1. RAND2)
and by using the same hash functions H1 , H2 and H3 that the authentication centre used at stage 405.
The mobile station compares the response SRES1 for the function H1 received from the network to the value SRES1' it has calculated itself. If the values are the same, the mobile station has successfully identified the network. After successful identification, the mobile station sends the calculated response SRES2 for function H2 to the network and accepts Kc as the connection-specific cipher key. 」(10頁6行?22行)
(モバイル・ステーションは,値RAND2と,SRESを受信する。加えて,モバイル・ステーションは,モバイル・ステーションが生成した,乱数RAND1と,例えば,加入者識別モジュールSIMに格納された暗号化鍵Kiを有している。場所407で,これらのデータを,加入者識別モジュールSIMに格納されている,アルゴリズムに入力し,SIM内で,モバイル・ステーションは,方程式,SRES1’=H1(Ki, RAND1 , RAND2),SRES2=H2(Ki, RAND1 , RAND2),及び,Kc=H3(Ki, RAND1. RAND2)と,段階405で,認証センタが用いたものと同じハッシュ関数H1,H2,及び,H3とを用いて,値SRES1,SRES2,及びKcを計算する。
モバイル・ステーションは,ネットワークから受信した,ハッシュ関数H1に関しての応答SRES1と,自身が計算した値SRES1’とを比較する。もし,それらの値が同じであれば,モバイル・ステーションは,ネットワークの確認に成功する。認証に成功の後,モバイル・ステーションは,ネットワークに,関数H2に関して,自らが計算した応答SRES2を送り,接続固有の暗号化鍵として,Kcを受け取る。)

F.本願のFIG.4には,「MS」が,「407」において,「RAND2」と,「SRES1」とを受け取っていることが示されている。

1.上記Cの「eavesdroppers may use their own base station which blocks the signals from the base stations of the real mobile communications network and which is connected, for example, to the fixed telephone network. (盗聴者は,実際の移動通信ネットワークの基地局からの信号をブロックし,例えば,固定電話ネットワークに接続されている,彼ら自身の基地局を使用するかもしれない。)・・・・The mobile station cannot detect the falsity of the base station, but assumes that the authentication succeeded. (モバイル・ステーションは,基地局の嘘を判断することができず,認証が成功したと思い込む。)・・・・To solve this problem, algorithms authenticating the network have also been developed for systems which require eavesdropping by means of a separate base station to be prevented.(この問題を解決するために,防止されることを別々の基地局による盗聴に要求するシステムのために,ネットワークを認証するアルゴリズムもまた,開発された。)」という記載から,引用刊行物には,
“盗聴者であるか否かを識別するための認証方法”
が記載されていることが読み取れる。

2.上記Eの「The mobile station receives the values RAND2 and SRES.(モバイル・ステーションは,値RAND2と,SRESを受信する。)」という記載,及び,上記Dの「At stage 404 it generates the random number RAND2. (段階404において,乱数RAND2を生成する。)」という記載,並びに,上記Fで指摘したFIG.4に示されている事項から,引用刊行物には,
“モバイル・ステーションが,乱数RAND2と,SRES1とを受け取る”ことが記載されていると読み取れる。

3.上記Eの「it has the random number RAND1 it has generated and, for example, the cipher key Ki stored in the subscriber identity module SIM. It enters these data at point 407 to the algorithm stored in the subscriber module SIM in which the mobile station calculates the values SRES1 , SRES2 and Kc by using equations
SRES1'=H1(Ki, RAND1 , RAND2),
SRES2=H2(Ki, RAND1 , RAND2) and
Kc=H3(Ki, RAND1. RAND2)
and by using the same hash functions H1 , H2 and H3 that the authentication centre used at stage 405.
(モバイル・ステーションは,モバイル・ステーションが生成した,乱数RAND1と,例えば,加入者識別モジュールSIMに格納された暗号化鍵Kiを有している。場所407で,これらのデータを,加入者識別モジュールSIMに格納されている,アルゴリズムに入力し,SIM内で,モバイル・ステーションは,方程式,SRES1’=H1(Ki, RAND1 , RAND2),SRES2=H2(Ki, RAND1 , RAND2),及び,Kc=H3(Ki, RAND1. RAND2)と,段階405で,認証センタが用いたものと同じハッシュ関数H1,H2,及び,H3とを用いて,値SRES1,SRES2,及びKcを計算する。)」という記載から,引用刊行物には,
“ハッシュ関数H1,及び,乱数RAND1,乱数RAND2,並びに,加入者識別モジュールSIM格納された暗号化鍵Kiとを用いて,値SRES1’を計算する”
こと,及び,
“ハッシュ関数H2,及び,乱数RAND1,乱数RAND2,並びに,加入者識別モジュールSIM格納された暗号化鍵Kiとを用いて,値SRES2を計算する”
ことが記載されていると読み取れる。

4.上記Eの「The mobile station compares the response SRES1 for the function H1 received from the network to the value SRES1' it has calculated itself.(モバイル・ステーションは,ネットワークから受信した,ハッシュ関数H1に関しての応答SRES1と,自身が計算した値SRES1’とを比較する。)」という記載,及び,上記Eの「After successful identification, the mobile station sends the calculated response SRES2 for function H2 to the network (認証に成功の後,モバイル・ステーションは,ネットワークに,関数H2に関して,自らが計算した応答SRES2を送り)」という記載から,引用刊行物には,
“モバイル・ステーションが,ネットワークから受信した応答SRES1と,自身が計算した値SRES1’とを比較する”こと,並びに,
“比較結果が一致した場合は,値SRES2を,ネットワークに送信する”ことが記載されていると読み取れる。
そして,上記Eの「 If the values are the same, the mobile station has successfully identified the network. (もし,それらの値が同じであれば,モバイル・ステーションは,ネットワークの確認に成功する。)」という記載から,引用刊行物における「SRES1」と「SRES1’」との比較は,「ネットワーク」,即ち,該「SRES1」を送信してきた“者”が,正当であることを「認証」していることに他ならない。

以上1.?4.において検討した事項から,引用刊行物には,次の発明(以下,これを「引用発明」という)が記載されていると認める。

盗聴者であるか否かを識別するための認証方法であって,
モバイル・ステーションが,乱数RAND2と,SRES1とを受け取る段階と,
モバイル・ステーションが,ハッシュ関数H1,及び,乱数RAND1,前記乱数RAND2,並びに,加入者識別モジュールSIMに格納された暗号化鍵Kiとを用いて,値SRES1’を計算する段階と,
モバイル・ステーションが,ハッシュ関数H2,及び,前記乱数RAND1,前記乱数RAND2,並びに,前記暗号化鍵Kiとを用いて,値SRES2を計算する段階と,
モバイル・ステーションが,ネットワークから受信した前記SRES1と,自身が計算した前記値SRES1’とを比較し,ネットワークを認証する段階と,
比較結果が一致した場合は,値SRES2を,ネットワークに送信する段階,
とを含む方法。

第5.本願発明と引用発明との対比
1.引用発明における「盗聴者」は,盗聴を目的に,「モバイル・ステーション」に対して“偽の接続”を試みる者であるから,本願発明における「外部アタッカー」に相当し,引用発明において,「モバイル・ステーション」が受け取る「RAND2」,及び,「SRES1」は,「ネットワーク」,即ち,前記「RAND2」,及び,「SRES1」を送信した者を認証するために用いられるものであるから,本願発明における「認証メッセージ」と,“認証に用いられる情報”である点で共通しているので,
引用発明における「盗聴者であるか否かを識別するための認証方法」と,
本願発明における「外部アタッカーにより生成された認証メッセージを識別するための方法」とは,
“外部アタッカーにより生成された認証に用いる情報を識別するための方法”
である点で共通する。

2.引用発明における「モバイル・ステーション」は,
本願発明における「加入者ステーション」に相当し,
引用発明における「SRES1」は,「乱数RAND1」,「乱数RAND2」と,「モバイル・ステーション」の「SIM」,及び,「認証センタ」とが有する「鍵Ki」とに,「ハッシュ関数H1」を施すことによって生成されたものであり,
SRES1は,認証に用いられるものであることは明らかであるから,
本願発明における「メッセージ認証コード(MAC)」とは,
“認証用情報”である点で共通し,
引用発明における「ハッシュ関数H1」と,
本願発明における「第1のアルゴリズム」とは,“認証用情報”を生成する“生成アルゴリズム”である点で共通する。
引用発明における「乱数RAND2」は,「SRES1」を生成するのに用いられ,「モバイル・ステーション」に送られるものであるから,
本願発明における「乱数RND」に相当する。
引用発明においては,「乱数RAND2」と,認証に用いられる「SRES1」とが,「モバイル・ステーション」に送られるのであるから,これらの情報は,
本願発明における「メッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)」と,
“認証用情報及び乱数(RND)を包含する認証データ群”である点で共通し,
引用発明においても,「乱数RAND」,「SRES1」から,一種の“メッセージ情報”を構成し,該“メッセージ情報”を,「モバイル・ステーション」に送信していることは明らかであるから,
引用発明における「モバイル・ステーションが,乱数RAND2と,SRES1とを受け取る段階」と,
本願発明における「乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)を含む認証メッセージを加入者ステーションで受信するステップ」とは,
“乱数と生成アルゴリズムとで計算した認証用情報及び乱数(RND)を包含する認証データ群を含むメッセージを加入者ステーションで受信するステップ”である点で共通する。

3.引用発明における「モバイル・ステーションが,ハッシュ関数H1,及び,乱数RAND1,前記乱数RAND2,並びに,加入者識別モジュールSIM格納された暗号化鍵Kiとを用いて,値SRES1’を計算する段階」において,
引用発明における「値SRES1’」と,
本願発明の「チェックアルゴリズム(f)および前記入力(RAND)の所定の部分(RND)を利用してメッセージ認証コードを計算する」における「メッセージ認証コード」とは,
“認証用情報”である点で共通し,
前記段階における「ハッシュ関数H1」と,
本願発明における「チェックアルゴリズム(f)」とは,
“認証用情報”を計算する“計算アルゴリズム”である点で共通し,
前記段階における「乱数RAND2」が,
本願発明における「入力(RAND)の所定の部分(RND)」に相当するので,
引用発明における「モバイル・ステーションが,ハッシュ関数H1,及び,乱数RAND1,前記乱数RAND2,並びに,加入者識別モジュールSIM格納された暗号化鍵Kiとを用いて,値SRES1’を計算する段階」と,
本願発明における「チェックアルゴリズム(f)および前記入力(RAND)の所定の部分(RND)を利用してメッセージ認証コードを計算することにより前記入力の正確性をチェックするステップ」とは,
“計算アルゴリズムおよび乱数(RND)を利用して認証用情報を計算するステップ”である点で共通する。

4.引用発明における「加入者識別モジュールSIMに格納された暗号化鍵Ki」は,「モバイル・ステーション」内にある「SIM」に格納されているのであるから,
本願発明における「加入者ステーションのメモリにストアされた秘密鍵(Ki)」に相当し,
引用発明における「乱数RAND2」は,「モバイル・ステーション」が,受信した,上記2.において検討した「認証データ群」に含まれるものであるから,
本願発明における「入力(RAND)」と,
“認証データ群”である点で共通する。
そして,引用発明において,「ハッシュ関数H2」は,「モバイル・ステーション」が受信した「乱数RAND2」と,上記「加入者識別モジュールSIM格納された暗号化鍵Ki」とを用いて,「値SRES2」を計算していることから,
本願発明における「認証アルゴリズム(A3)」とは,
「加入者ステーション」からの“応答”を計算する“演算アルゴリズム”である点で共通しているので,
引用発明における「モバイル・ステーションが,ハッシュ関数H2,及び,前記乱数RAND1,前記乱数RAND2,並びに,前記暗号化鍵Kiとを用いて,値SRES2を計算する段階」と,
本願発明における「認証アルゴリズム(A3),前記入力(RAND),および,前記加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答(SRES)を計算」することとは,
“演算アルゴリズム,入力情報,及び,加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答を計算”する点で共通する。

5.上記2.,及び,3.において検討した事項を踏まえると,
引用発明における「モバイル・ステーションが,ネットワークから受信した前記SRES1と,自身が計算した前記値SRES1’とを比較し,ネットワークを認証する段階」と,
本願発明における「前記入力の正確性をチェックするステップ」とは,
“加入者ステーションが,計算された認証用情報が,認証データ群に含まれる認証用情報に対応するか否かをチェックするステップ”である点で共通する。

6.上記2.?5.において検討した事項を踏まえると,
引用発明における「比較結果が一致した場合は,値SRES2を,ネットワークに送信する段階」と,
本願発明における「前記計算されたメッセージ認証コードが,前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応する場合に前記加入者ステーションから前記応答(SRES)を転送するステップ」とは,
“計算された認証用情報が,認証データ群に含まれる認証用情報に対応する場合に加入者ステーションから応答を転送するステップ”である点で共通する。

以上1.?6.において検討した事項から,本願発明と,引用発明との,一致点,及び,相違点は,次のとおりである。

[一致点]
外部アタッカーにより生成された認証に用いる情報を識別するための方法であって,
乱数と生成アルゴリズムとで計算した認証用情報及び前記乱数を包含する認証データ群を加入者ステーションで受信するステップと,
計算アルゴリズムおよび前記乱数を利用して認証用情報を計算するステップと,
加入者ステーションが,計算された認証用情報が,認証データ群に含まれる認証用情報に対応するか否かをチェックするステップと,
演算アルゴリズム,前記認証データ群,及び,加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答を計算し,計算された認証用情報が,前記認証データ群に含まれる認証用情報に対応する場合に加入者ステーションから前記応答を転送するステップと,
からなる方法。

[相違点1]
“外部アタッカーにより生成された認証に用いる情報を識別するための方法”に関して,
本願発明においては,「外部アタッカーにより生成された認証に用いる情報」が,「乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)を含む認証メッセージ」であるのに対して,
引用発明においては,「乱数RAND2と,SRES1」であって,該「SRES1」は,「乱数RAND1」,「乱数RAND2」,「Ki」と,「ハッシュ関数H1」とを用いて計算されたものである点。

[相違点2]
“乱数と生成アルゴリズムとで計算した認証用情報及び前記乱数を包含する認証データ群を加入者ステーションで受信するステップ”に関して
本願発明においては,「認証用データ群」は,「乱数と第1のアルゴリズムとで計算したメッセージ認証コード(MAC)及び乱数(RND)を包含する入力(RAND)」であるのに対して,
引用発明においては,「乱数RAND2」,「SRES1」を包含する「入力」に関する言及がない点。

[相違点3]
“計算アルゴリズムおよび前記乱数を利用して認証用情報を計算するステップ”に関して,
本願発明においては,「認証用情報」は,「乱数(RND)」を,「チェックアルゴリズム(f)」に入力して得られるものであるのに対して,
引用発明においては,「乱数RAND2」の他,「モバイル・ステーション」が有する「乱数RAND1」,「Ki」も用いて「SRES1’」を計算している点。

[相違点4]
“加入者ステーションが,計算された認証用情報が,認証データ群に含まれる認証用情報に対応するか否かをチェックするステップ”に関して,
本願発明においては,「メッセージ認証コード(MAC)」が,「乱数」を「第1のアルゴリズム」,或いは,「チェックアルゴリズム(f)」によって計算することで得られるものであるのに対して,
引用発明においては,「SRES1’」は,「ハッシュ関数H1」,「乱数RAND2」,及び,「RAND1」とによって計算されるものである点。

[相違点5]
本願発明においては,「前記計算されたメッセージ認証コードが前記入力(RAND)の前記メッセージ認証コード(MAC)を包含する残りの部分に対応しない場合に,前記入力が不正確であり,前記認証メッセージが外部アタッカーにより生成されたものと識別するステップ」を有するのに対して,
引用発明においては,「盗聴者」が,「RAND2」,「SRES1」を送信したかを識別する点については,特に言及されていない点。

[相違点6]
“演算アルゴリズム,前記認証データ群,及び,加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて応答を計算し,計算された認証用情報が,前記認証データ群に含まれる認証用情報に対応する場合に加入者ステーションから前記応答を転送するステップ”に関して,
本願発明においては,「応答(SRES)」は,“認証アルゴリズム(A3),入力(RAND),および,加入者ステーションのメモリにストアされた秘密鍵(Ki)に基づいて”計算されるものであるのに対して,
引用発明においては,「SRES2」は,“ハッシュ関数H2,乱数RAND1,乱数RAND2,及び,Kiに基づいて”計算されるものであって,「認証アルゴリズム(A3)」を用いるものではない点。

第6.当審の判断
1.[相違点1]?[相違点4]について
受信側において,送信された情報の正当性を判断するために,該送信された情報に,受信側において,該送信された情報の正当性を判断するための情報を計算するためのデータと,計算した結果のデータとを包含するようなことは,例えば,本願の第1国出願前に既に公知である,国際公開第98/44402号(1998年10月8日公開,以下,これを「周知文献1」という)に,

G.「In step S10.5.3 the hashing key used on the header HK_(head) , and the generated to hash value HV_(head) are both appended to the header H, so as to complete it.」(13頁9行?10行)
( 段階S10.5.3では,ハッシングキーでヘッダHK_(head)上で使われたものと,生成されたハッシュ値HV_(head)との両方がヘッダHに取付けられて,完成がされる。 <国際公開第98/44402号の日本語ファミリである,特表2001-517342号より引用>),

と記載されてもいるように,当業者にとっては周知の技術事項である。
そして,送信側の検証を行う際に,乱数のみを用いる点も,例えば,本願の第1国出願前に既に公知である,特開平10-032571号公報(1998年2月3日公開,以下,これを「周知文献2」という)に,

H.「【0003】図5に示すユーザ40は,乱数Rに署名する鍵を有するとともにセンタ41にその鍵を登録しておく。先ず,ユーザ40がサービス要求をセンタ41に向けて送信する。すると,センタ41はこのサービス要求を受けて,認証するにあたり,ユーザ40に向けて乱数Rを送信する。ユーザ40は,送信されてきた乱数Rにそのユーザ40が有する鍵で署名して認証子E(R)(乱数Rの署名)を作成し,その認証子E(R)をセンタ41に向けて送信する。一方,センタ41でもその乱数Rに,登録されている鍵で署名して認証子を作成し,作成した認証子とユーザ40から送信されてきた認証子E(R)とが一致した場合にその認証子E(R)の発信元が正しいユーザ40であることを認証し,そのユーザ40にサービスを提供する。この方式の場合,予測不能な乱数に鍵で署名することから悪意の第三者に対する安全性は一層高められている。
【0004】上述した4種類の認証方式では,認証のために送信されるメッセージの予測は,パスワード型,連番型,連番署名型,チャレンジ・レスポンス型の順に困難になる。このため,不正なユーザによるセンタへの不正なアクセスに対する安全性は,パスワード型,連番型,連番署名型,チャレンジ・レスポンス型の順に高まる。このため,従来,チャレンジ・レスポンス型の認証方式が多く用いられている。」

と記載されてもいるように,当業者には周知の技術事項であるから,引用発明においても,「SRES1」を,「ハッシュ関数H1」と,「RAND2」のみによって生成し,「SRES1」と「RAND2」とを一体にして,「モバイル・ステーション」に送信し,「モバイル・ステーション」側で,受信したデータに包含されている「RAND2」に,「ハッシュ関数H1」を施して,「SRES1’」を計算し,受信したデータに包含される「SRES1」と,「モバイル・ステーション」で計算した「SRES1’」とを比較することで,送信された情報の正当性を判断するよう構成することは,当業者が,適宜なし得る事項である。
よって,相違点1?相違点4は,格別のものではない。

2.[相違点5]について
引用発明においても,「SRES1」と「SRES1’」とが一致した場合に,「SRES2」を送信していて,引用発明が,「盗聴者」の「モバイル・ステーション」へのアクセスを識別するものであるから,一致しなかった場合に,「SRES1」が,「盗聴者」によるものであると判断し得ることは明らかである。
よって,相違点5は,格別のものではない。

3.[相違点6]について
「GSM」において,「モバイル・ステーション」からの「応答(SRES)」を,「GSM」の規格に定められいる認証アルゴリズムである,「アルゴリズムA3」を用いて,受信した「乱数」によって生成することは,引用刊行物の,上記A,及び,Bに引用した記載にもあるとおり,当業者には周知の技術事項であり,該「GSM」における,「モバイル・ステーション」の認証においては,「基地局」から送信された「乱数」,即ち,「基地局」からの送信情報を用いて,「応答(SRES)」を生成するものであるから,
引用発明においても,「モバイル・ステーション」側から送信する「SRES2」の生成において,周知技術である「GSM」の「応答(SRES)」生成の手法を採用し,時受信した情報をそのまま用いて「SRES2」を生成するよう構成することは,当業者にが適宜なし得る事項である。
よって,相違点6は,格別のものではない。

上記で検討したごとく,相違点1?6はいずれも格別のものではなく,そして,本願発明の構成によってもたらされる効果も,当業者であれば容易に予測できる程度のものであって,格別なものとは認められない。

第7.むすび
したがって,本願発明は,本願の特許出願前に日本国内又は外国において頒布された刊行物に記載された発明又は電気通信回線を通じて公衆に利用可能となった発明に基づいて当業者が容易に発明をすることができたものであるので,特許法第29条第2項の規定により特許を受けることができない。

よって,結論のとおり審決する。
 
審理終結日 2013-08-26 
結審通知日 2013-08-27 
審決日 2013-09-13 
出願番号 特願2001-531331(P2001-531331)
審決分類 P 1 8・ 121- Z (H04L)
P 1 8・ 571- Z (H04L)
P 1 8・ 536- Z (H04L)
P 1 8・ 573- Z (H04L)
P 1 8・ 561- Z (H04L)
P 1 8・ 574- Z (H04L)
P 1 8・ 572- Z (H04L)
P 1 8・ 575- Z (H04L)
P 1 8・ 537- Z (H04L)
最終処分 不成立  
前審関与審査官 新田 亮青木 重徳  
特許庁審判長 山崎 達也
特許庁審判官 石井 茂和
仲間 晃
発明の名称 加入者ステーションの認証  
代理人 小林 泰  
代理人 夫馬 直樹  
代理人 千葉 昭男  
代理人 小野 新次郎  
代理人 富田 博行  
  • この表をプリントする

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ