EP1506661A2 - Procede de distribution de donnees avec controle d acces - Google Patents

Procede de distribution de donnees avec controle d acces

Info

Publication number
EP1506661A2
EP1506661A2 EP03752810A EP03752810A EP1506661A2 EP 1506661 A2 EP1506661 A2 EP 1506661A2 EP 03752810 A EP03752810 A EP 03752810A EP 03752810 A EP03752810 A EP 03752810A EP 1506661 A2 EP1506661 A2 EP 1506661A2
Authority
EP
European Patent Office
Prior art keywords
data
address
user
access
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03752810A
Other languages
German (de)
English (en)
Inventor
Gilles Merle
Denis Piarotas
Noel Fontaine
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Publication of EP1506661A2 publication Critical patent/EP1506661A2/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Definitions

  • the invention is in the field of access control and relates more particularly to a method of distributing digital data to a plurality of user terminals connected, via an IP type data transmission network, to a supplier services, each receiver terminal being identified in the network by an IP address and by a unique address UA registered in a security processor.
  • French patent application No. 01 13963 filed by France TELECOM on October 29, 2001 describes a method of broadcasting with access control of audiovisual programs to a plurality of terminals connected to an IP type network.
  • each service provided via the network is allocated an address and access conditions defined by the service provider.
  • a scrambling platform receives as input IP / UDP datagrams supplied in clear by a data server, and filters the IP / UDP datagrams of the data to be scrambled according to the IP addresses and destination ports present in the header of these datagrams.
  • the invention aims to remedy the drawbacks of the prior art described above by a method for defining the access conditions in point-to-point mode and in broadcast mode in correlation, on the one hand, with the user or users requesting the services and, on the other hand, with the content distributed.
  • the invention makes it possible to define the access conditions, no longer at the network layer (ISO layer 3), relative to IP parameters, but at the presentation layer (ISO 6 layer) in order make data distribution independent of changes in IP addresses.
  • the data to be distributed is associated with an access condition defined at the HTTP protocol level.
  • the data are distributed in point-to-point mode according to the following steps: - send, from a user terminal, an HTTP request comprising at least 1 IP address of said terminal, the unique address UA and a parameter (URI) making it possible to locate the data requested in a content server;
  • - send from a user terminal, an HTTP request comprising at least 1 IP address of said terminal, the unique address UA and a parameter (URI) making it possible to locate the data requested in a content server;
  • URI Resource Identities
  • a personalized ECM is generated as a function of the access criterion (CA) and of an encrypted control word CW.
  • the encryption of the control word CW is carried out by a key Ket obtained by diversification of a root key Ke specific to the service provider. This diversification is carried out according to the unique address UA specific to each user.
  • said data is distributed in broadcast mode to a group of user terminals identified by a group address. This distribution takes place in the following stages:
  • the data is transmitted in broadcast mode of the PUSH type, commonly called in English.
  • the broadcast can be controlled by a user, usually the first user who sends a first HTTP request to receive the service.
  • This user can also stop broadcasting data using a second HTTP. This is particularly useful when a particular user makes information under his control available to several other users. This is the case, for example, of a distance learning application in which a teacher and several listeners are connected to the transmission network, the teacher • being the user who controls the broadcasting (triggering and stopping) of content .
  • the scrambled data is encapsulated in an IP datagram comprising:
  • the security processor is a smart card.
  • this processor can be a program stored in the user terminal.
  • the invention also relates to a management platform for controlling access to scrambled data transmitted to a plurality of user terminals connected to a service provider via an IP type network, each user terminal being identified in the network. by an IP address and by a single UA address registered in a security processor, said platform comprising at least one central server capable of associating a criterion of access to the data to be distributed at the level of the HTTP protocol in response to an HTTP request issued from a user terminal.
  • the data to be distributed can be extracted according to a parameter (URI) from a content server.
  • URI parameter
  • the platform according to the invention further comprises at least one scrambling unit and at least one content server.
  • the data to be broadcast can be audiovisual programs or multimedia data.
  • FIG. 1 represents a general diagram of an access management platform according to the invention
  • - Figure 2 is a block diagram illustrating a first variant implementation of the method of the invention
  • FIG. 3 schematically illustrates the mode of encapsulation of the data distributed by the method according to the invention
  • FIG. 4 is a flowchart illustrating the first variant of implementation of the method of the invention.
  • FIG. 5 schematically illustrates a procedure for diversifying access control messages according to the invention.
  • FIG. 7 is a block diagram illustrating a second variant implementation of the method of the invention.
  • Each user is provided with a terminal 2 equipped with a smart card reader.
  • Each user has a personal smart card identified by a unique address UA (for Unique Address) containing information on the rights of access to audiovisual services provided by one or more operators.
  • UA for Unique Address
  • each user terminal can be a gateway terminal communicating with a plurality of terminals grouped together in a local network.
  • the gateway terminal which is provided with a smart card containing at least one right of access to the services provided.
  • Audiovisual content is stored on remote servers and. each content is likely to be called by a URI (for Uniform Resource Indicator) which is a field of the HTTP header allowing to address a resource in a unique way.
  • URI Uniform Resource Indicator
  • user terminals 2 are connected to the Viaccess Net “4 platform, through the Internet network 6 or through an IP backbone.
  • a first output router 8 is arranged at the output of the Internet network 6 and is connected to a second router 10 interconnection which is connected to a firewall server 12 directly connected to the platform Viaccess Net ® 4.
  • the Viaccess Net platform 4 comprises a first local access network 14 comprising a central server 16 whose function is to supervise the communications between the user terminals 2 and the platform 4.
  • the first local area network 14 furthermore comprises a cache server 18 intended for storing information not requiring scrambling such as for example service presentation pages, a DNS server 20 intended for translating the IP addresses of internal servers into names. external to the Viacess Net platform 4 and a second security server 22 intended to provide functional redundancy of the central server 16.
  • This first local access network 14 is connected, through a scrambling station 24, to a second local network 26 and to a third local network 28.
  • the second local network 26 comprises content servers 30 and the third local network 28 comprises an ECM generator 32 and an ECM management station 34.
  • the central server 16 consists of two separate functional units, a first unit 40 dedicated to authenticating users and filtering HTTP requests transmitted to the platform 4, and a second unit 42 capable of associating a control criterion (CA) for the data to be distributed.
  • User authentication consists in checking whether the UA received with the HTTP request is listed in a right management center 44 located at the operator. Beforehand, the user who wishes to receive one or more audiovisual programs receives from the operator information relating to the access criteria (CA) to the audiovisual programs likely to be requested. After consulting a presentation server
  • the user sends (arrow 50) to the central server 16 an HTTP GET request indicating his unique address UA, his IP address and the URI corresponding to the programs requested.
  • the authentication unit 40 filters the HTTP request using the unique address UA and performs the following actions:
  • this unit 40 verifies that the TCP acknowledgment packets are received within the maximum transit time between the platform 4 and the client terminal 2;
  • the session can be interrupted if the maximum transit time is exceeded.
  • the central server 16 then sends (arrow 52) to the operator's management center 44 the IP address of the terminal 2 for the return channel, the UA address of the user and the URI called as well as the address IP from which data should be sent and which is retrieved by the user from the presentation server 46.
  • the management center 44 gives its agreement or refuses access (arrow 54) to the content as a function of the rights prerecorded in a database 56.
  • CA Access criterion
  • the scrambling unit 24 sends an acknowledgment (arrow 59) to the authentication unit 40 confirming that it expects the stream from the content server 30 to scramble selected by the user with the associated UA and IP address as well as the access criterion (CA).
  • CA access criterion
  • the HTTP GET request is then retransmitted by the authentication unit 40 (arrow 60) to the unit 42.
  • the response to the HTTP GET request transmitted from the content server 30 to the central server 16 is then returned (arrow 62) to the unit 42.
  • the latter inserts an additional field in the IP frame consisting of an HTTP header with a “Content” field -Location "which will recall the URI to the scrambling unit 24.
  • the central server 16 sends (arrow 64) the HTTP response to the scrambling unit 24 for scrambling.
  • the scrambling unit 24 scrambles the data and transmits it (arrow 66) to the user terminal 2 which descrambles it thanks to the control information transmitted and to the rights recorded in the smart card.
  • FIG. 3 schematically illustrates the structure of the packets transmitted to the scrambling unit 24 by the central server 16.
  • This HTTP response comprises:
  • An access control header 76 containing the URI of the data delivered
  • FIG. 4 illustrates in detail the different stages of the method in the case of an implementation in point-to-point mode.
  • step 90 the user sends the request
  • This secure tunnel is specific to each link with a terminal 2 and can be based on the SSL protocol (for Secure Socket Layer), or the SSH protocol (for Secure Shell), or even the IPSec protocol. Securing allows greater integrity and confidentiality to be added to the data circulating on the Internet between terminal 2 and the Viacess Net 4 platform.
  • step 92 the central server 16 recovers the URI of the content requested and checks the validity of the GET request.
  • the central server 16 transmits it to the scrambling station 24 and to the content server 30 (step 96).
  • the central server 16 establishes a link between the terminal 2 and the cache server 18 to enable it to consult data which should not be scrambled, such as for example service presentation pages (step 98).
  • the content server 30 delivers the data requested to the scrambling unit 24 via the central server 16.
  • the latter adds to each data packet delivered by the content server 30 the "Content Location" field Containing the URI and returns this packet to the scrambling unit 24 where the data is scrambled with the added HTTP header (step 100).
  • step 102 the central server 16 removes the location header field from the HTTT header and delivers to the terminal 2 the encrypted stream (step 104) via the secure channel between the Viaccess Net 4 platform and the terminal 2.
  • step 106 the scrambled data is received by the user terminal 2 where it is descrambled.
  • a personalized ECM conveying the access conditions and an encryption root key Ke of this program is generated according to the access criterion (CA) and an encrypted CW control word.
  • CA access criterion
  • the encryption of the control word CW is carried out by a key Keu A obtained by diversification of the root key Ke specific to the service provider. This diversification is carried out according to the unique address UA specific to each user.
  • the requested program can only be seen by the user whose card is targeted by the ECM-U and contains at least one right conforming to the access criterion (CA) described in the ECM-U.
  • CA access criterion
  • FIG. 5 schematically illustrates the procedure for diversifying the root key Ke.
  • the latter is subjected to a processing in a calculation module 107 which receives as input the unique address UA of each user.
  • the result of this calculation is the diversified key Ke UA depending on the unique address of the user UA.
  • the key Keu A is then used to encrypt the control word CW.
  • This function is performed by a module 108 which receives the value Ker and CW.
  • FIG. 6 schematically illustrates this principle in the case where two terminals 110 and 112 having respectively the unique address UA1 and UA2 send an HTTP request to the platform 4 to receive a program.
  • the ECMs are personalized by the control word CW encrypted by the diversified key Ke UA to generate, by means of a calculation function 120, an ECM-Ul and an ECM-U2 intended respectively for the terminal UA1 and the terminal UA2.
  • the ECM-Ul and 1 ⁇ CM-U2 are then multiplexed by a multiplexing module 132 and then transmitted to the users.
  • the broadcast is made to all the terminals configured by a group address.
  • the user sends (arrow 130) the HTTP request to the central server 16 with the group address.
  • the latter authenticates (arrows 132-134) the originator of the request, and checks (arrow 136) if the requested content is actually broadcast. If the requested content is not broadcast, the central server 16 transmits to the user terminal a stop message.
  • the authenticated user receives the broadcast content.
  • the management center 44 gives its agreement or refuses the content access session after transfer of all the parameters entered previously;
  • the response can be positive for broadcasting, in this case, the content server delivers the requested data (step 138) to the scrambling unit 24 which transmits this data (step 140) after scrambling.
  • the answer can also be negative, in this case the distribution of data is refused.
  • the group IP address and the URI are sent with an order to start broadcasting the content generated by the central server 16;
  • the requested stream is broadcast and the source IP address for the broadcast is that of the content server 30; - the response is finally returned to the terminal
  • step 142 which descrambles the content received using previously installed decoding software.
  • the method of the invention can be implemented in a system for controlling access to a service with marketing of Content via the HTTP protocol.
  • This content can include images of an HTML page subject to access conditions, or a portion of text.
  • This system can allow the implementation of servers delivering content that is scrambled in order to market a download of videos, audio files (music, etc.), etc.
  • the invention can be implemented in the fields of the following PC applications:
  • Content On Demand - Offer of content on demand such as the stock market or online banking, television, video clips or even radio,
  • the invention can also be applied to sectors of the business requiring the use of the Internet for the dissemination of data in Unicast (videotaped meetings, videoconferences on a VPN network, access to documentation with a high degree of confidentiality, etc. .).
  • IP Service Operators may implement the delivery of scrambled content, which may be viewed following the prior purchase.
  • Intranet consultations requiring strong scrambling, associated with management of read / write rights on content to be downloaded by an IP network, can constitute additional applications of the invention.
  • the invention can also be implemented to control access to content received via a receiver provided with a TV decoder.
  • the invention can be implemented in mobile telephony or satellite telephony applications.
  • the technologies targeted for transport are the interactive applications of GSM, GPRS and UMTS.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

La présente invention concerne un procédé de distribution de données numériques à une pluralité de terminaux-utilisateurs (2) connectés à un fournisseur de services, via un réseau (6) de transmission de données de type IP, chaque terminal-utilisateur (2) étant identifié dans le réseau par une adresse IP et par une adresse unique UA inscrite dans processeur de sécurité. Le procédé selon l'invention consiste à associer aux données à distribuer une condition d'accès définie au niveau du protocole HTTP.

Description

PROCEDE DE DISTRIBUTION DE DONNEES AVEC CONTROLE
D 'ACCES
DESCRIPTION Domaine technique L'invention se situe dans le domaine du contrôle d'accès et concerne plus particulièrement un procédé de distribution de données numériques à une pluralité de terminaux-utilisateurs connectés, via un réseau de transmission de données de type IP, à un fournisseur de services, chaque terminal-récepteur étant identifié dans le réseau par une adresse IP et par une adresse unique UA inscrite dans un processeur de sécurité.
Etat de la technique antérieure
La demande de brevet français N°01 13963 déposé par France TELECOM le 29 octobre 2001 décrit un procédé de diffusion avec contrôle d'accès de programmes audiovisuels vers une pluralité de terminaux connectés à un réseau de type IP.
Dans ce procédé, à chaque service fourni via le réseau est allouée une adresse et des conditions d'accès définies par le fournisseur de services. Une plate-forme d'embrouillage reçoit en entrée, des datagrammes IP/UDP fournis en clair par un serveur de données, et filtre les datagrammes IP/UDP des données à embrouiller en fonction des adresses IP et des ports de destination présents dans l'en-tête de ces datagrammes.
Cette solution présente un inconvénient qui provient du fait que les adresses IP des terminaux- utilisateurs en unicast sont généralement allouées dynamiquement, et aussi varient d'une session à une autre. Par conséquent, ces adresses IP ne peuvent constituer un moyen fiable pour gérer les échanges avec un client d'une session à une autre. En outre, en mode point-à-point un autre inconvénient provient du fait qu'il est difficile d'associer un critère d'accès (CA) au contenu au niveau de la couche réseau (ISO 3) .
L'invention a pour but de remédier aux inconvénients de l'art antérieur décrit ci-dessus par un procédé permettant de définir les conditions d'accès en mode point à point et en mode diffusé en corrélation, d'une part, avec l'utilisateur ou les utilisateurs demandeurs des services et, d'autre part, avec le contenu distribué.
Exposé de l'invention
Plus spécifiquement, l'invention permet de définir les conditions d'accès, non plus au niveau de la couche réseau (couche ISO 3) , par rapport à des paramètres IP, mais au niveau de la couche présentation (couche ISO 6) afin de rendre la distribution des données indépendante des changements des adresses IP.
Selon l'invention on associe aux données à distribuer une condition d'accès définie au niveau du protocole HTTP.
Dans une première variante de mise en œuvre du procédé de l'invention, les données sont distribuées en mode point-à-point selon les étapes suivantes : - envoyer, à partir d'un terminal-utilisateur, une requête HTTP comportant au moins l'adresse IP dudit terminal, l'adresse unique UA et un paramètre (URI) permettant de localiser les données demandées dans un serveur de contenu ;
— authentifier l'émetteur de la requête HTTP au moyen de l'adresse unique UA,
— transmettre la requête HTTP au serveur de contenu et à une unité d' embrouillage, et à réception de la réponse à la requête HTTP,
— associer à chaque paquet de données demandées un entête HTTP comportant le paramètre (URI) et un champ de contrôle d'accès comportant au moins un critère d'accès (CA) préalablement défini par le fournisseur de services ;
— embrouiller les données demandées ; — transmettre les données embrouillées avec le critère d'accès (CA) au terminal-utilisateur.
Ledit critère d'accès (CA) et ledit paramètre
(URI) sont préalablement mis à disposition des utilisateurs par le fournisseur de services, par exemple sur un serveur de présentation.
Dans la première variante de mise en œuvre du procédé de l'invention, pour chaque utilisateur, un ECM personnalisé est généré en fonction du critère d'accès (CA) et d'un mot de contrôle CW chiffré. Le chiffrement du mot de contrôle CW est effectué par une clé Ket obtenue par diversification d'une clé racine Ke spécifique au fournisseur de service. Cette diversification est réalisée en fonction de l'adresse unique UA spécifique à chaque utilisateur. Dans une deuxième variante de mise en œuvre du procédé de l'invention, lesdites données sont distribuées en mode diffusé à un groupé de terminaux- utilisateurs identifiés par une adresse de groupe. Cette distribution se fait selon les étapes suivantes :
— envoyer la requête HTTP au serveur central avec l'adresse de groupe ;
— authentifier l'émetteur de la requête ;
— vérifier que le contenu demandé est diffusé, et si le contenu demandé n'est pas diffusé ;
— transmettre au terminal-utilisateur un message d'arrêt.
Dans cette deuxième variante de mise en œuvre du procédé, les données sont transmises en mode diffusé de type PUSH, communément appelé ainsi en anglais. Dans ce mode de transmission, tous les utilisateurs identifiés par l'adresse de groupe reçoivent les données numériques disponibles diffusées sans obligation préalable de lancer une diffusion par une requête HTTP. Néanmoins, la diffusion peut être contrôlée par un utilisateur, généralement le premier utilisateur qui envoie une première requête HTTP pour recevoir le service. Cet utilisateur ' peut également arrêter la diffusion des données au moyen d'une deuxième HTTP. Ceci est particulièrement utile lorsqu'un utilisateur particulier met à la disposition de plusieurs autres utilisateurs des informations dont il a le contrôle. C'est le cas par exemple d'une application d'enseignement à distance dans laquelle un professeur et plusieurs auditeurs sont connectés au réseau de transmission, le professeur • étant l'utilisateur qui contrôle la diffusion (déclenchement et arrêt) d'un contenu. Dans les deux variantes de mise en œuvre, les données embrouillées sont encapsulées dans un datagramme IP comportant :
- un en-tête IP ; - un en-tête TCP/UDP ;
- un en-tête HTTP ; et,
- un en-tête contenant ladite condition d'accès.
Dans un mode particulier de réalisation, le processeur de sécurité est une carte à puce. Cependant, ce processeur peut être un programme mémorisé dans le terminal-utilisateur.
L'invention concerne également une plate-forme de gestion de contrôle d'accès à des données embrouillées transmises à une pluralité de terminaux- utilisateurs connectés à un fournisseur de services via un réseau de type IP, chaque terminal-utilisateur étant identifié dans le réseau par une adresse IP et par une adresse unique UA inscrite dans un processeur de sécurité, ladite plate-forme comportant au moins un serveur central apte à associer un critère d'accès aux données à distribuer au niveau du protocole HTTP en réponse à une requête HTTP émise à partir d'un terminal-utilisateur.
Préfërentiellement, les données à distribuer sont susceptibles d'être extraites en fonction d'un paramètre (URI) à partir d'un serveur de contenu.
La plate-forme selon l'invention comporte en outre au moins une unité d' embrouiliage et au moins un serveur de contenu. Les données à diffuser peuvent être des programmes audiovisuels ou des données multimédia. Brève description des dessins
D'autres caractéristiques et avantages de l'invention ressortiront de la description qui va suivre, prise à titre d'exemple non limitatif en référence aux figures annexées dans lesquelles :
La figure 1 représente un schéma général d'une plate-forme de gestion d'accès selon l'invention ; - la figure 2 est un schéma fonctionnel illustrant une première variante de mise en œuvre du procédé de l'invention ;
- la figure 3 illustre schématiquement le mode d' encapsulation des données distribuées par le procédé selon l'invention ;
- la figure 4 est un organigramme illustrant la première variante de mise en œuvre du procédé de 1' invention.
- la figure 5 illustre schématiquement une procédure de diversification des messages de contrôle d'accès selon l'invention.
- la figure 6 illustre schématiquement la diversification d'un ECM dans le mode point-à-point ;
- la figure 7 est un schéma fonctionnel illustrant une deuxième variante de mise en œuvre du procédé de l'invention.
Exposé détaillé de modes de réalisation particuliers
L'invention sera décrite dans le cadre d'une application particulière dans laquelle les données à distribuer sont des programmes audiovisuels transmis à plusieurs utilisateurs à travers le réseau Internet. Chaque utilisateur est muni d'un terminal 2 équipé d'un lecteur de carte à puce. Chaque utilisateur dispose d'une carte à puce personnelle identifiée par une adresse unique UA (pour Unique Address) contenant des informations sur les droits d'accès à des services audiovisuels fournis par un ou plusieurs opérateurs.
Dans un mode particulier de réalisation, chaque terminal-utilisateur peut être un terminal passerelle (gateway en anglais) communiquant avec une pluralité de terminaux regroupés dans un réseau local. Dans ce cas, c'est le terminal passerelle qui est muni d'une carte à puce contenant au moins un droit d'accès aux services fournis. Les contenus audiovisuels sont stockés dans des serveurs distants et . chaque contenu est susceptible d'être appelé par une URI (pour Uniform Ressource Indicator) qui est un champ de l' en-tête HTTP permettant d'adresser une ressource de manière unique. Dans la suite de la description, nous désignerons par le terme plate-forme Viaccess Net® l'ensemble des équipements destinés à traiter les flux audiovisuels avant leur transmission aux utilisateurs.
En référence à la figure 1, des terminaux d'utilisateurs 2 sont reliés à la plate-forme Viaccess Net" 4, à travers le réseau Internet 6 ou à travers une dorsale IP. Un premier routeur de sortie 8 est agencé à la sortie du réseau Internet 6 et est relié à un deuxième routeur 10 d'interconnexion qui est relié à un serveur Pare-feu 12 connecté directement à la plateforme Viaccess Net® 4. La plate-forme Viaccess Net 4 comporte un premier réseau local d'accès 14 comprenant un serveur central 16 ayant pour fonction de superviser les communication entre les terminaux-utilisateurs 2 et la plate-forme 4.
Le premier réseau local 14 comporte en outre un serveur cache 18 destiné à stocker des informations ne nécessitant pas d' embrouillage telles que par exemple des pages de présentation de service, un serveur DNS 20 destiné à traduire en noms les adresses IP de serveurs internes ou externes à la plate-forme Viacess Net 4 et un deuxième serveur de sécurité 22 destiné à assurer une redondance fonctionnelle du serveur central 16. Ce premier réseau local d'accès 14 est connecté, à travers une station d' embrouillage 24, à un deuxième réseau local 26 et à un troisième réseau local 28. Le deuxième réseau local 26 comporte des serveurs de contenus 30 et le troisième réseau local 28 comporte un générateur d'ECM 32 et une station de gestion d'ECM 34.
MODE POINT-À-POINT
Le fonctionnement en mode point-à-point va être décrit par référence à la figure 2 sur laquelle seuls les éléments essentiels à la mise en œuvre du procédé sont représentés. Sur cette figure 2, le serveur central 16 est constitué par deux unités fonctionnelles distinctes, une première unité 40 dédiée à 1' authentification des utilisateurs et au filtrage des requêtes HTTP transmises à la plate-forme 4, et une deuxième unité 42 apte à associer un critère de contrôle (CA) aux données à distribuer. L' authentification de l'utilisateur consiste à vérifier si l'UA reçue avec la requête HTTP est répertoriée dans un centre de gestion de droit 44 situé chez 1' opérateur. Préalablement, l'utilisateur qui souhaite recevoir un ou plusieurs programmes audiovisuels reçoit de l'opérateur des informations relatives aux critères d'accès (CA) aux programmes audiovisuels susceptibles d'être demandés . Après consultation d'un serveur de présentation
46, l'utilisateur envoie (flèche 50) au serveur central 16 une requête HTTP GET indiquant son adresse unique UA, son adresse IP et l'URI correspondant aux programmes demandés. L'unité d' authentification 40 filtre la requête HTTP au moyen de l'adresse unique UA et effectue les actions suivantes :
— contrôle du flux au niveau du transport des datagrammes chiffrés. En particulier, cette unité 40 vérifie que les paquets d'acquittements TCP sont reçus en deçà du délai de transit maximum entre la plate-forme 4 et le terminal-client 2 ;
— contrôle de la session consécutivement au contrôle précédent. En effet, la session peut être interrompue si le délai de transit maximum est dépassé.
Le serveur central 16 envoie ensuite (flèche 52) au centre de gestion 44 de l'opérateur l'adresse IP du terminal 2 pour la voie de retour, l'adresse UA de l'utilisateur et l'URI appelée ainsi que l'adresse IP à partir de laquelle les données doivent être envoyées et qui est récupérée par l'utilisateur à partir du serveur de présentation 46.
Le centre de gestion 44 donne son accord ou refuse l'accès (flèche 54) au contenu en fonction des droits préenregistrés dans une base de données 56.
L'adresse UA, l'URI et l'adresse IP du
Terminal-utilisateur sont ensuite envoyées par le serveur central 16 (flèche 58) à l'unité d' embrouillage
24 au moyen d'une requête HTTP. Le critère d'Accès (CA) associée au contenu est aussi envoyée par ce biais.
Tous ces paramètres vont permettre à l'unité d' mbrouillage 24 d'identifier la réponse à la requête
HTTP qui viendra du serveur de contenu 30 via le serveur central 16. L'unité d' embrouillage 24 envoie un accusé de réception (flèche 59) à l'unité d' authentification 40 confirmant qu'il attend du serveur de contenu 30 le flux à embrouiller sélectionné par l'utilisateur avec l'UA et l'adresse IP associées ainsi que le critère d'accès (CA) .
La requête HTTP GET est ensuite retransmise par l'unité d' authentification 40 (flèche 60) à l'unité 42.
Celle-ci prend en compte la requête en notant l'URI et réexpédie (flèche 61) cette même requête HTTP GET au serveur de contenu 30.
La réponse à la requête HTTP GET transmise du serveur de contenu 30 au serveur central 16 est ensuite renvoyée (flèche 62) à l'unité 42. Ce dernier insère un champ supplémentaire dans la trame IP consistant en une entête HTTP avec un champ « Content-Location » qui rappellera l'URI à l'unité d' embrouillage 24. Le serveur central 16 envoie (flèche 64) la réponse HTTP à l'unité d' embrouillage 24 pour embrouillage.
L'unité d' embrouillage 24 embrouille les données et les transmet (flèche 66) au terminal- utilisateur 2 qui les désembrouille grâce aux informations de contrôle transmises et aux droits inscrits dans la carte à puce.
La figure 3 illustre schématiquement la structure des paquets transmis à l'unité d' embrouillage 24 par le serveur central 16. Cette réponse HTTP comporte :
- un en-tête IP 70 ;
- un en-tête TCP/UDP 72 ;
- un entête HTTP 74 ; — un entête de contrôle d'accès 76 contenant l'URI des données délivrées et
- les données embrouillées 80.
L'organigramme de la figure 4 illustre en détail les différentes étapes du procédé dans le cas d'une mise en œuvre en mode point-à-point.
A l'étape 90, l'utilisateur envoie la requête
HTTP GET de demande de contenu au serveur central 16 via une liaison sécurisée par tunnel chiffré entre le terminal-utilisateur 2 et la plate-forme Viaccess Net® 4.
Ce tunnel sécurisé est propre à chaque lien avec un terminal 2 et peut être basé sur le protocole SSL (pour Secure Socket Layer) , ou le protocole SSH (pour Secure Shell), ou encore le protocole IPSec. La sécurisation permet d'ajouter une intégrité et une confidentialité plus importantes aux données circulant sur le réseau Internet entre le terminal 2 et la plate- forme Viacess Net 4.
A l'étape 92, le serveur central 16 récupère l'URI du contenu demandé et vérifie la validité de la requête GET.
Si cette requête n'est pas valide, le flux est refusé à l'utilisateur (étape 94) .
Si la requête GET est valide, le serveur central 16 la transmet à la station d' embrouillage 24 et au serveur de contenu 30 (étape 96) .
Parallèlement, le serveur central 16 établit une liaison entre le terminal 2 et le serveur cache 18 pour lui permettre de consulter des données qui ne doivent pas être embrouillées telles que par exemple des pages de présentation de service (étape 98) .
En réponse à la requête GET, le serveur de contenu 30 délivre les données demandées à l'unité d' embrouillage 24 via le serveur central 16. Ce dernier ajoute à chaque paquet de données délivrées par le serveur de contenu 30 le champ « Content Location » contenant l'URI et renvoie ce paquet à l'unité d' embrouillage 24 où les données sont embrouillées avec l'en-tête HTTP ajoutée (étape 100) .
A l'étape 102, le serveur central 16 supprime le champ entête location de l'entête HTTT et délivre au terminal 2 le flux chiffré (étape 104) via le canal sécurisé entre plate-forme Viaccess Net 4 et le terminal 2.
A l'étape 106, les données embrouillées sont reçues par le terminal-utilisateur 2 où elles sont désembrouillées . Selon une caractéristique spécifique au mode Point-a-Point , pour un accès à un même programme, un ECM personnalisé, appelé ECM-U, véhiculant les conditions d'accès et une clé racine de chiffrement Ke de ce programme est généré en fonction du critère d'accès (CA) et d'un mot de contrôle CW chiffré.
Le chiffrement du mot de contrôle CW est effectué par une clé KeuA obtenue par diversification de la clé racine Ke spécifique au fournisseur de service. Cette diversification est réalisée en fonction de l'adresse unique UA spécifique à chaque utilisateur.
Ainsi, le programme demandé ne peut être vu que par l'utilisateur dont la carte est ciblée par 1 'ECM-U et contient au moins un droit conforme au critère d'accès (CA) décrit dans 1 'ECM-U.
La figure 5 illustre schématiquement la procédure de diversification de la clé racine Ke . Cette dernière est soumise à un traitement dans un module de calcul 107 qui reçoit en entrée l'adresse unique UA de chaque utilisateur. Le résultat de ce calcul est la clé diversifiée KeUA dépendant de l'adresse unique de l'utilisateur UA. La clé KeuA est ensuite utilisée pour chiffrer le mot de contrôle CW. Cette fonction est réalisée par un module 108 qui reçoit la valeur Ker et CW.
Préalablement, l'utilisateur est enregistré comme destinataire potentiel d'une information à caractère strictement personnelle, ou d'un groupe restreint contrôlé par l'opérateur. Ce contrôle porte sur l'identité de chaque récepteur possible au moyen de l'adresse unique UA. La figure 6 illustre schématiquement ce principe dans le cas où deux terminaux 110 et 112 ayant respectivement pour adresse unique UA1 et UA2 envoient une requête HTTP à la plate-forme 4 pour recevoir un programme. Les ECM sont personnalisés par le mot de contrôle CW chiffré par la clé diversifiée KeUA pour générer, au moyen d'une fonction de calcul 120, un ECM- Ul et un ECM-U2 destinés respectivement au terminal UA1 et au terminal UA2. L'ECM-Ul et 1ΕCM-U2 sont ensuite multiplexes par un module de multiplexage 132 puis transmis aux utilisateurs.
MODE DIFFUSÉ
Dans ce mode de mise en œuvre illustré par la figure 7, la diffusion est faite à tous les terminaux paramétrés par une adresse de groupe. Dans ce cas, l'utilisateur envoie (flèche 130) la requête HTTP au serveur central 16 avec l'adresse de groupe. Ce dernier authentifie (flèches 132-134) l'émetteur de la requête, et vérifie (flèche 136) si le contenu demandé est effectivement diffusé. Si le contenu demandé n'est pas diffusé, le serveur central 16 transmet au terminal- utilisateur un message d'arrêt.
Si le contenu est diffusé, l'utilisateur authentifié reçoit le contenu diffusé.
En résumé, ce mode de . mise en œuvre comporte les étapes suivantes :
— l'utilisateur procède à une demande : l'adresse IP du terminal pour la voie de retour, l'adresse IP de groupe, l'UA et l'URI appelée sont notées par le serveur central 16 ; — le centre de gestion 44 donne son accord ou refuse la session d'accès au contenu après transfert de tous les paramètres saisis précédemment ;
— la réponse peut être positive pour la diffusion, dans ce cas, le serveur de contenu délivre les données demandées (étape 138) à l'unité d' embrouillage 24 qui transmet ces données (étape 140) après embrouillage. La réponse peut aussi être négative, dans ce cas la distribution des données est refusée.
Notons que dans ce mode de mise en œuvre, il est possible qu'un utilisateur ne puisse pas avoir le droit de lancer la diffusion d'un contenu ;
— l'adresse IP de groupe et l'URI sont envoyées avec un ordre de lancement de la diffusion du contenu généré par le serveur central 16 ;
— le flux demandé est diffusé et l'adresse IP source pour la diffusion est celle du serveur de contenu 30 ; — la réponse est finalement renvoyée vers le terminal
(étape 142) qui désembrouille le contenu reçu grâce à un logiciel de décodage préalablement installé.
APPLICATIONS Le procédé de l'invention peut être mis en œuvre dans un système de contrôle d' accès à un service avec commercialisation de Contenu via le protocole HTTP. Ce contenu peut comporter des images d'une page HTML soumise à conditions d'accès, ou encore une portion de texte. Ce système peut permettre l' implémentation de serveurs délivrant des contenus qui sont embrouillés afin de commercialiser un téléchargement de vidéos, des fichiers audio (musique, ...), etc. A titre d'exemple, l'invention peut être mise en œuvre dans les domaines des applications sur PC suivantes :
- « Content On Demand » - Offre de contenu à la demande telle la Bourse ou la Banque en ligne, la télévision, les clips vidéo ou encore la radio,
- la Messagerie personnalisée,
- le téléchargement de fichiers (les jeux, les logiciels de réalité virtuelle, d'autres logiciels applicatifs ou de productivité personnelle (formation, etc. ) .
L'invention peut également être appliquée à des secteurs de l'entreprise nécessitant l'emploi du réseau Internet pour la diffusion de données en Unicast (réunions filmées, visioconférences sur un réseau VPN, accès à de la documentation à haut degré de confidentialité, etc.).
L'invention trouve également des applications dans les secteurs des câblo-opérateurs et des Opérateurs satellites de TV Numérique. Les Opérateurs de service IP peuvent implementer la diffusion de contenus embrouillés, susceptibles d'être consultés suivant l'achat préalable. Des consultations en Intranet nécessitant un embrouillage fort, associé à une gestion des droits de lecture/écriture sur un contenu à télécharger par un réseau IP, peuvent constituer des applications supplémentaires de 1' invention.
L'invention peut également être mise en œuvre pour contrôler l'accès à un contenu reçu via un récepteur muni d'un décodeur TV.
Enfin, l'invention peut être mise en œuvre dans des applications de téléphonie mobile ou de téléphonie par satellite. Les technologies visées pour le transport sont les applications interactives du GSM, du GPRS et de l'UMTS.
Il est également possible de mettre en œuvre l'invention pour recevoir des programmes audiovisuels embrouillés sur un téléphone mobile ou sur un PDA.

Claims

REVENDICATIONS
1. Procédé de distribution de données numériques à une pluralité de terminaux-utilisateurs
(2) connectés à un fournisseur de services, via un réseau (6) de transmission de données de type IP, chaque terminal-récepteur (2) étant identifié dans le réseau par une adresse IP et par une adresse unique UA inscrite dans un processeur de sécurité, procédé caractérisé en ce que l'on associe aux données à distribuer une condition d'accès définie au niveau du protocole HTTP.
2. Procédé selon la revendication 1, caractérisé en ce que les données sont distribuées en mode point-à-point selon les étapes suivantes :
— envoyer, à partir d'un terminal-utilisateur (2) , une requête HTTP comportant au moins l'adresse IP dudit terminal (2), l'adresse unique UA et un paramètre (URI) permettant de localiser les données demandées dans un serveur de contenu (30) ;
— authentifier l'émetteur de la requête HTTP au moyen de l'adresse unique UA ;
— transmettre la requête HTTP au serveur de contenu (30) et à une unité d' embrouillage (24) ; — à réception de la réponse à la requête HTTP, associer à chaque paquet de données demandées un entête HTTP comportant le paramètre (URI) (74) et un champ de contrôle d'accès (76) comportant au moins un critère d'accès (CA) préalablement défini par le fournisseur de services ;
— embrouiller les données demandées ; — transmettre les données embrouillées avec le critère d'accès (CA) au terminal-utilisateur (2) .
3. Procédé selon la revendication 2 , caractérisé en ce que ledit critère d'accès (CA) et ledit paramètre (URI) sont préalablement transmis aux utilisateurs (2) par le fournisseur de services.
4. Procédé selon la revendication 3, caractérisé en ce que pour chaque utilisateur, un ECM personnalisé est généré en fonction du critère d'accès
(CA) et d'un mot de contrôle CW chiffré par une clé KeuA obtenue par diversification d'une clé racine Ke en fonction de l'adresse unique UA de chaque terminal- utilisateur (2) .
5. Procédé selon la revendication 1, caractérisé en ce que lesdites données sont distribuées en mode diffusé à un groupe de terminaux-utilisateurs (2) identifiés par une adresse de groupe selon les étapes suivantes :
— envoyer la requête HTTP au serveur central (16) avec l'adresse de groupe ;
- authentifier l'émetteur de la requête HTTP ; - vérifier que le contenu demandé est diffusé si le contenu demandé n'est pas diffusé ;
- transmettre au terminal-utilisateur (2) un message d'arrêt .
6. Procédé selon la revendication 5, caractérisé en ce que la diffusion des données est contrôlée par un utilisateur.
7. Procédé selon l'une des revendications 1 à
6, caractérisé en ce que lesdites données embrouillées sont encapsulées dans un datagramme IP comportant en outre :
- un en-tête IP (70) ; - un en-tête TCP/UDP (72) ;
- un en-tête HTTP (74) ;
- un entête de contrôle d'accès (76) contenant ledit critère d'accès (CA) .
8. Procédé selon la revendication 1, caractérisé en ce que le processeur de sécurité est une carte à puce.
9. Procédé selon la revendication 8, caractérisé en ce que le terminal-utilisateur (2) est un terminal-passerelle communiquant avec une pluralité de terminaux regroupés dans un réseau local .
10. Plate-forme (4) de gestion de contrôle d'accès à des données embrouillées transmises à une pluralité de terminaux-utilisateurs (2) connectés à un fournisseur de services, via un réseau (6) de type IP, chaque terminal-utilisateur (2) étant identifié dans le réseau (6) par une adresse IP et par une adresse unique UA inscrite dans un processeur de sécurité, plate-forme caractérisée en ce qu'elle comporte au moins un serveur central (16) apte à associer un critère d'accès (CA) aux données à distribuer au niveau du protocole HTTP en réponse à une requête HTTP émise à partir d'un terminal-utilisateur (2) .
11. Plate-forme selon la revendication 10, caractérisée en ce que les données à distribuer sont susceptibles d'être extraites en fonction d'un paramètre (URI) à partir d'un serveur de contenu (30) .
12. Plate-forme selon l'une des revendications 8 à 11, caractérisée en ce qu'elle comporte en outre au moins une unité d' embrouillage (24) et au moins un serveur de contenu (30) .
13.- Plate-forme selon l'une des revendications 8 à 12, caractérisée en ce que les données à diffuser sont des programmes audiovisuels.
14. Plate-forme selon l'une des revendications
8 à 12, caractérisée en ce que les données à diffuser sont des données multimédia.
EP03752810A 2002-05-17 2003-05-15 Procede de distribution de donnees avec controle d acces Withdrawn EP1506661A2 (fr)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0206086A FR2839834B1 (fr) 2002-05-17 2002-05-17 Procede de distribution de donnees avec controle d'acces
FR0206086 2002-05-17
PCT/FR2003/001473 WO2003098870A2 (fr) 2002-05-17 2003-05-15 Procede de distribution de donnees avec controle d'acces

Publications (1)

Publication Number Publication Date
EP1506661A2 true EP1506661A2 (fr) 2005-02-16

Family

ID=29286576

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03752810A Withdrawn EP1506661A2 (fr) 2002-05-17 2003-05-15 Procede de distribution de donnees avec controle d acces

Country Status (7)

Country Link
US (1) US20060015615A1 (fr)
EP (1) EP1506661A2 (fr)
JP (1) JP2005526329A (fr)
CN (1) CN100531187C (fr)
AU (1) AU2003254532A1 (fr)
FR (1) FR2839834B1 (fr)
WO (1) WO2003098870A2 (fr)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1693999A4 (fr) * 2003-12-11 2011-09-14 Panasonic Corp Appareil transmetteur de paquets
US7774825B2 (en) * 2004-12-16 2010-08-10 At&T Intellectual Property I, L.P. Methods & apparatuses for controlling access to secured servers
US8929360B2 (en) 2006-12-07 2015-01-06 Cisco Technology, Inc. Systems, methods, media, and means for hiding network topology
DK2647213T3 (da) * 2010-12-02 2017-11-13 Nagravision Sa System og fremgangsmåde til optegnelse af krypteret indhold med adgangsbetingelser
US10218628B2 (en) * 2017-04-12 2019-02-26 General Electric Company Time sensitive network (TSN) scheduler with verification
US10814893B2 (en) 2016-03-21 2020-10-27 Ge Global Sourcing Llc Vehicle control system
US11072356B2 (en) 2016-06-30 2021-07-27 Transportation Ip Holdings, Llc Vehicle control system
US10116661B2 (en) 2016-12-27 2018-10-30 Oath Inc. Method and system for classifying network requests

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6351467B1 (en) * 1997-10-27 2002-02-26 Hughes Electronics Corporation System and method for multicasting multimedia content
US6108789A (en) * 1998-05-05 2000-08-22 Liberate Technologies Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority
US6345307B1 (en) * 1999-04-30 2002-02-05 General Instrument Corporation Method and apparatus for compressing hypertext transfer protocol (HTTP) messages
DE19939281A1 (de) * 1999-08-19 2001-02-22 Ibm Verfahren und Vorrichtung zur Zugangskontrolle zu Inhalten von Web-Seiten unter Verwendung eines mobilen Sicherheitsmoduls
JP2003531539A (ja) * 2000-04-17 2003-10-21 エアビクティ インコーポレイテッド 移動体データ通信用の安全な動的リンク割り当てシステム
US6910074B1 (en) * 2000-07-24 2005-06-21 Nortel Networks Limited System and method for service session management in an IP centric distributed network
JP2002290458A (ja) * 2001-03-26 2002-10-04 Fujitsu Ltd マルチキャストシステム
FR2823936B1 (fr) * 2001-04-19 2003-05-30 France Telecom Procede et systeme d'acces conditionnel a des services ip
FR2833446B1 (fr) * 2001-12-12 2004-04-09 Viaccess Sa Protocole de controle du mode d'acces a des donnees transmises en mode point a point ou point multi-point
US20030149792A1 (en) * 2002-02-06 2003-08-07 Leonid Goldstein System and method for transmission of data through multiple streams

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO03098870A2 *

Also Published As

Publication number Publication date
FR2839834A1 (fr) 2003-11-21
AU2003254532A1 (en) 2003-12-02
CN100531187C (zh) 2009-08-19
CN1653777A (zh) 2005-08-10
FR2839834B1 (fr) 2004-07-30
US20060015615A1 (en) 2006-01-19
WO2003098870A3 (fr) 2004-03-25
JP2005526329A (ja) 2005-09-02
AU2003254532A8 (en) 2003-12-02
WO2003098870A2 (fr) 2003-11-27

Similar Documents

Publication Publication Date Title
EP2177025B1 (fr) Procédé et dispositif de chiffrement partiel d'un contenu numérique
EP1645100B1 (fr) Méthode de création et d'administration d'un réseau local
EP1305948B1 (fr) Methode de distribution securisee de donnees numeriques representatives d'un contenu multimedia
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
EP1687975B1 (fr) Diffusion sécurisée et personnalisée de flux audiovisuels par un systeme hybride unicast/multicast
EP1396135A1 (fr) Procede et systeme d'acces conditionnel a des services ip
EP1470690A2 (fr) Procede et dispositif de transmission de message de gestion de titre d'acces
FR2831737A1 (fr) Procede et systeme de transmission avec controle d'acces de donnees numeriques embrouillees dans un reseau d'echange de donnees
EP1506661A2 (fr) Procede de distribution de donnees avec controle d acces
EP1461967B1 (fr) Methode de controle d'acces a des services specifiques par un diffuseur
EP1227640A1 (fr) Procédé et système de communication d'un certificat entre un module de sécurisation et un serveur
FR3054765B1 (fr) Procede pour la lecture sur un equipement d'un contenu multimedia avec un retard cible par rapport au direct inferieur a un retard maximal donne
FR2816417A1 (fr) Procede et systeme pour etendre le champ d'adresses publiques attribuables a une connexion au reseau internet, et leur application a la lutte contre la diffusion illegale d'oeuvres protegees
EP1570662A1 (fr) Procede de distribution de donnees et/ou services embrouilles.
EP1633144A1 (fr) Procédé de gestion des conditions d accès à un flux vidéo par un routeur / DSLAM
EP3228083B1 (fr) Procédé de gestion du droit d'accès a un contenu numérique
FR2846831A1 (fr) Pseudo video a la demande(pvod)
EP2328316B1 (fr) Controle d'accès à un contenu numérique
FR2842681A1 (fr) Procede et systeme d'avertissement et de diffusion d'informations par un reseau public de transmission de donnees numeriques
EP1474923A2 (fr) Procede pour controler l'acces a un contenu par un terminal, terminal, serveur de droits d'usage, automate de distribution, serveur fournisseur, support de donnees et systeme associes
WO2010133459A1 (fr) Procede de chiffrement de parties particulieres d' un document pour les utilisateurs privileges
FR2920068A1 (fr) Plate-forme et procede de distribution de contenus numeriques proteges
KR20050016409A (ko) 액세스 제어에 의한 데이터 배송 방법
EP2347583A1 (fr) Systeme de gestion d'interactivite
FR2964288A1 (fr) Acquisition de droits d'acces a un contenu protege sans intervention de l'utilisateur.

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20041105

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20080414

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20101201