FR2845854A1 - Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia - Google Patents

Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia Download PDF

Info

Publication number
FR2845854A1
FR2845854A1 FR0212657A FR0212657A FR2845854A1 FR 2845854 A1 FR2845854 A1 FR 2845854A1 FR 0212657 A FR0212657 A FR 0212657A FR 0212657 A FR0212657 A FR 0212657A FR 2845854 A1 FR2845854 A1 FR 2845854A1
Authority
FR
France
Prior art keywords
decoder
software
operator
module
destruction command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0212657A
Other languages
English (en)
Other versions
FR2845854B1 (fr
Inventor
Stephane Morcel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Priority to FR0212657A priority Critical patent/FR2845854B1/fr
Priority to KR1020030069128A priority patent/KR100982175B1/ko
Priority to US10/680,605 priority patent/US7340056B2/en
Priority to MXPA03009153A priority patent/MXPA03009153A/es
Priority to JP2003348448A priority patent/JP4430367B2/ja
Priority to CNB2003101010233A priority patent/CN100356788C/zh
Publication of FR2845854A1 publication Critical patent/FR2845854A1/fr
Application granted granted Critical
Publication of FR2845854B1 publication Critical patent/FR2845854B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H60/00Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
    • H04H60/09Arrangements for device control with a direct linkage to broadcast information or to broadcast space-time; Arrangements for control of broadcast-related services
    • H04H60/14Arrangements for conditional access to broadcast information or to broadcast-related services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/2585Generation of a revocation list, e.g. of client devices involved in piracy acts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/426Internal components of the client ; Characteristics thereof
    • H04N21/42684Client identification by a unique number or address, e.g. serial number, MAC address, socket ID
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/443OS processes, e.g. booting an STB, implementing a Java virtual machine in an STB or power management in an STB
    • H04N21/4435Memory management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/65Transmission of management data between client and server
    • H04N21/654Transmission by server directed to the client
    • H04N21/6543Transmission by server directed to the client for forcing some client operations, e.g. recording
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/845Structuring of content, e.g. decomposing content into time segments
    • H04N21/8453Structuring of content, e.g. decomposing content into time segments by locking or enabling a set of features, e.g. optional functionalities in an executable program
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H2201/00Aspects of broadcast communication
    • H04H2201/30Aspects of broadcast communication characterised by the use of a return channel, e.g. for collecting users' opinions, for returning broadcast space/time information or for requesting data
    • H04H2201/37Aspects of broadcast communication characterised by the use of a return channel, e.g. for collecting users' opinions, for returning broadcast space/time information or for requesting data via a different channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H2201/00Aspects of broadcast communication
    • H04H2201/70Aspects of broadcast communication characterised in that receivers can be addressed

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Graphics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un procédé de désactivation à distance d'au moins un décodeur d'accès à des données numériques multimédia fourni par un opérateur de services. Le décodeur a un identifiant unique (ID) connu de l'opérateur. Pour désactiver un décodeur d'identifiant (ID) déterminé, l'opérateur envoie, à travers un réseau de communication reliant le décodeur à l'opérateur, une commande de destruction de tout ou partie du logiciel embarqué dans le décodeur, cette commande de destruction étant adressée au décodeur d'identifiant (ID) déterminé.L'invention concerne aussi un décodeur qui comporte un module logiciel effaceur adapté à effacer tout ou partie du logiciel embarqué dans le décodeur lorsque celui-ci reçoit une commande de destruction qui lui est adressée.

Description

La présente invention concerne le domaine de la lutte contre le piratage
des décodeurs d'accès à des données numériques multimédia. Elle concerne plus particulièrement un procédé de désactivation à distance d'un tel décodeur ainsi qu'un décodeur comportant des moyens de désactivation à distance. Les opérateurs diffusant des programmes audiovisuels payants fournissent habituellement aux utilisateurs qui souhaitent recevoir ces programmes des décodeurs leur permettant d'y accéder moyennant paiement 10 d'un abonnement. Les données numériques constituant les programmes sont en effet le plus souvent transmises sous forme cryptée pour que les utilisateurs ne disposant pas du décodeur ne puissent pas y accéder. Le décodeur contient notamment des moyens de décryptage et de décodage des données numériques. Plus précisément, le décodeur comporte généralement un lecteur 15 de carte à puce dans lequel est insérée une carte qui contient un module logiciel ainsi qu'une ou des clés cryptographiques nécessaires au décryptage des données. La carte à puce contient également en général des informations sur les droits acquis par l'utilisateur du décodeur (par exemple quels canaux
sont accessibles à l'utilisateur, pour quelle durée, etc.).
Lorsqu'un utilisateur ne souhaite plus payer pour recevoir les programmes d'un opérateur, il doit en principe retourner son décodeur à l'opérateur ou à un intermédiaire chargé d'installer les décodeurs. Les opérateurs sont néanmoins de plus en plus confrontés à un problème de piratage de leurs décodeurs. Certains utilisateurs suspendent en effet leur 25 abonnement mais ne restituent pas leur décodeur. Ils se procurent ensuite des cartes à puces pirates donnant des droits d'accès étendus aux programmes diffusés par l'opérateur. Certains décodeurs sont même volés dans les camionnettes des installateurs pour être également utilisés avec des cartes à
puces pirates.
L'invention a pour objectif de résoudre les problèmes précités. Plus précisément, un but de l'invention est de rendre inutilisable un décodeur volé ou
non restitué ou tout au moins d'en altérer grandement le fonctionnement.
A cet effet, l'invention concerne un procédé de désactivation à 35 distance d'au moins un décodeur d'accès à des données numériques multimédia fourni par un opérateur de services, le décodeur ayant un identifiant unique connu de l'opérateur. Le procédé consiste pour l'opérateur à envoyer, à travers un réseau de communication reliant le décodeur à l'opérateur, une commande de destruction de tout ou partie du logiciel embarqué dans le décodeur, cette commande de destruction étant adressée au décodeur
d'identifiant unique spécifié par l'opérateur.
Ainsi lorsqu'un décodeur n'est pas restitué ou est volé, l'opérateur 5 peut, à distance, déclencher une destruction partielle ou totale du logiciel qui est nécessaire au fonctionnement du décodeur de manière à le rendre
partiellement ou totalement inutilisable.
Selon un premier mode de réalisation, le réseau de communication utilisé pour envoyer la commande de destruction est un réseau bidirectionnel. 10 La commande de destruction n'est envoyée, dans ce premier mode de
réalisation, qu'au décodeur auquel elle est adressée.
Selon un second mode de réalisation, le réseau de communication utilisé pour envoyer la commande de destruction est un réseau mono directionnel. Préférentiellement, il s'agit du réseau de diffusion des données de 15 l'opérateur vers tous les décodeurs et la commande de destruction est envoyée
à tous les décodeurs avec les données diffusées par l'opérateur.
L'invention concerne également un décodeur d'accès à des données
numériques multimédia caractérisé en ce qu'il comporte un module logiciel effaceur adapté à effacer tout ou partie du logiciel embarqué dans le décodeur 20 lorsque celui-ci reçoit une commande de destruction qui lui est adressée.
Selon une caractéristique particulière de l'invention, le décodeur possède un identifiant unique et la commande de destruction reçue contient cet
identifiant unique lorsqu'elle lui est adressée.
Selon un autre aspect de l'invention, le décodeur comporte un 25 module d'initialisation du décodeur destiné à vérifier l'intégrité du logiciel
embarqué et, en cas de vérification négative, à télécharger un nouveau logiciel.
Ce module d'initialisation est en outre adapté à vérifier qu'une partie au moins du logiciel embarqué dans le décodeur n'a pas été au préalable effacée par le module effaceur, le module d'initialisation ne vérifiant l'intégrité du logiciel 30 embarqué que lorsque aucune partie du logiciel n'a été au préalable effacée.
Selon un mode de réalisation particulier, le module effaceur efface un module logiciel embarqué dans le décodeur à chaque réception d'une
nouvelle commande de destruction adressée audit décodeur.
Selon une caractéristique particulière de ce mode de réalisation, les 35 modules logiciels du décodeur sont effacés dans l'ordre suivant: le module de contrôle d'accès en premier, le module d'interface utilisateur en second; et le
module de décodage audio/vidéo en troisième.
L'invention sera mieux comprise à la lecture de la description qui va
suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés sur lesquels: - la figure 1 représente un ensemble d'émission et de réception de programmes fournis par un opérateur; - la figure 2 illustre schématiquement un premier mode de réalisation de l'invention; - la figure 3 illustre schématiquement un second mode de réalisation de l'invention qui peut être associé au premier mode de réalisation; et - la figure 4 est un organigramme schématique d'un procédé de
fonctionnement d'un décodeur selon l'invention.
Sur la figure 1, on a représenté un décodeur 1 qui reçoit des programmes, typiquement des programmes audiovisuels ou bien des 15 programmes interactifs, d'un centre de diffusion 2 d'un opérateur. Il reçoit ces programmes par l'intermédiaire d'un réseau de diffusion unidirectionnel 3. On utilise souvent la terminologie anglaise pour désigner cette voie de diffusion en parlant de " voie broadcast ". Le décodeur 1 est également relié à un serveur 5 de l'opérateur par un réseau de communication bidirectionnel 4. On parle en 20 général de " voie de retour " reliant le décodeur au serveur. Naturellement, même si un seul décodeur d'identifiant ID est représenté sur la figure 2, il existe en pratique une multitude de décodeurs d'identifiants différents qui reçoivent
des programmes du centre de diffusion 2 et qui sont reliés au serveur 5.
Habituellement, la voie broadcast est utilisée pour la diffusion 25 générale des programmes, c'est à dire pour une diffusion globale vers tous les décodeurs en même temps tandis que la voie de retour est utilisée pour des communications individuelles d'un décodeur vers l'opérateur. La voie de retour est notamment utilisée dans le cadre de programmes interactifs lorsque l'utilisateur participe à un jeu ou à un vote ou bien pour commander des 30 programmes selon un mode de " paiement à la séance " (ou " pay-per-view "
en anglais).
La voie broadcast est réalisée sous la forme d'une transmission par
satellite, par câble ou par voie hertzienne.
Pour réaliser la voie de retour, le décodeur 1 comporte un modem 35 (non représenté sur la figure 1) relié à un réseau de communication 4. Il peut s'agir d'un modem téléphonique classique relié au RTC (acronyme de " Réseau Téléphonique Commuté "), ou bien d'un modem ADSL (acronyme de l'anglais " Asymmetric Digital Subscriber Line " signifiant " Ligne d'abonnée Numérique à Débit Asymétrique ") relié à une ligne téléphonique classique ou encore d'un modem câble relié à un réseau câblé. Il peut également s'agir de manière préférentielle d'un modem sans connexion filaire relié à un réseau de communication sans fil, par exemple un modem de type GPRS (acronyme de 5 l'anglais " General Packet Radio Service " signifiant "Services Radio par Paquets"), GSM (acronyme de l'anglais " Global System for Mobile communications " signifiant " Système Global pour communications Mobiles ") ou UMTS (acronyme de l'anglais " Universal Mobile Telecommunication
System " signifiant " Système de télécommunication Mobile Universel ").
Chaque décodeur possède un identifiant unique ID qui est préférentiellement mémorisé dans une zone protégée d'une mémoire contenue dans le décodeur. Tous les identifiants ID des décodeurs fournis par un opérateur à ses utilisateurs sont également mémorisés dans une base de donnée de l'opérateur. Lorsqu'un utilisateur ne paie plus son abonnement mais 15 ne restitue pas son décodeur d'identifiant ID, ou bien lorsque l'opérateur apprend qu'un décodeur d'identifiant ID a été volé, l'opérateur peut alors, conformément à l'invention, envoyer une commande de destruction de tout ou partie du logiciel embarqué dans le décodeur, cette commande étant adressée
spécifiquement au décodeur d'identifiant ID.
L'envoi de la commande spécifique de destruction du logiciel d'un décodeur peut s'effectuer de deux manières possibles: soit par la voie de
retour, soit par la voie broadcast.
Nous allons tout d'abord décrire, en liaison avec la figure 2, le mode 25 de réalisation utilisant la voie de retour. Ce mode de réalisation permet avantageusement un dialogue bidirectionnel entre le décodeur et le serveur distant. La figure 2 illustre les étapes de procédés mis en oeuvre dans le
décodeur 1 et le serveur 5 ainsi que les commandes échangées entre les deux 30 dispositifs.
A chaque fois qu'un événement déclencheur survient, comme cela est représenté par l'étape 10 sur la figure 2, le décodeur interroge le serveur distant en émettant une commande " Demande Etat (ID) ", envoyée à l'étape 11, pour connaître son état de fonctionnement. Un événement déclencheur 35 peut être une sortie du mode de mise en veille (ou mode " stand-by ") du décodeur, la mise sous tension du décodeur, la connexion du modem du décodeur au réseau bidirectionnel 4, ou bien encore un événement déclencheur
spécifique intervenant à intervalle régulier (au moins 1 fois par jour).
A l'étape 12, l'identifiant ID du décodeur, transmis en paramètre de la commande envoyée à l'étape 11, est reçu dans la base de données des abonnés de l'opérateur. Un test est alors effectué à l'étape 13 pour vérifier si l'abonnement associé au décodeur d'identifiant ID a été résilié ou non. Si 5 l'abonnement est en cours, c'est à dire si l'utilisateur du décodeur 1 est à jour du paiement de son abonnement, alors la réponse au test 13 est " NON " et le serveur 5 renvoie une commande " Cmd (ID, ACTIF) " au décodeur 1 lors de l'étape 14. Le décodeur entre alors dans un mode de fonctionnement normal à
l'étape 15.
Si en revanche l'abonnement associé au décodeur 1 a été résilié ou bien si aucun abonnement n'a été enregistré par l'opérateur pour un décodeur d'identifiant ID, alors la réponse au test 13 est " OUI " et le serveur envoie lors d'une étape 16 une commande " Cmd (ID, INACTIF) " au décodeur 1. Lorsqu'il reçoit cette commande, le décodeur 1 entre alors dans un mode de dégradation 15 de son fonctionnement illustré par l'étape 17. Dans ce mode dégradé, le logiciel embarqué dans le décodeur est détruit, totalement ou partiellement selon un
mode de réalisation qui sera décrit ultérieurement.
On notera que lorsque ce mode de réalisation est utilisé, il est préférable de prévoir d'équiper les décodeurs de modems sans connexion (de 20 type, GPRS, GSM ou UMTS) de sorte que les utilisateurs " pirates " ne puissent pas contourner cette attaque en déconnectant tout simplement leur modem. Le second mode de réalisation, qui doit être utilisé de préférence en 25 parallèle avec le premier mode de réalisation pour plus de sécurité, utilise quant
à lui la voie dite "broadcast ".
Selon le principe de ce mode de réalisation, l'opérateur diffuse avec les flux vidéo et audio des commandes de destruction de tout ou partie du logiciel embarqué dans les décodeurs dont les abonnements ont été résiliés et 30 qui n'ont pas été restitués à l'opérateur ou bien pour lesquels aucun
abonnement n'a jamais été souscrit.
La figure 3 illustre schématiquement les opérations effectuées selon
ce mode de réalisation.
Le centre de diffusion 2 de l'opérateur reçoit régulièrement de la 35 base de donnée de l'opérateur un message 20 " Résiliés (ID1, ID5,..., IDn) " contenant les identifiants ID1, ID5,..., IDn de tous les décodeurs dont le logiciel doit être détruit totalement ou partiellement. Des commandes de destruction sont alors générées pour chacun des identifiants ID1, ID5,..., IDn et sont ensuite diffusées par le centre de diffusion 2 avec les données audio/vidéo à
destination de tous les décodeurs de l'opérateur.
Sur la figure 3, nous avons représenté deux décodeurs dont les identifiants sont respectivement ID2 et ID5. Ces deux décodeurs reçoivent 5 toutes les commandes de destruction 21 à 26 et ils filtrent les identifiants contenus dans les paramètres des commandes de destruction pour vérifier s'ils
correspondent à leur propre identifiant ou non.
Comme le décodeur d'identifiant ID2 ne reçoit aucune commande
de destruction comportant son identifiant, il poursuit son mode de 10 fonctionnement normal 27.
Lorsque le décodeur d'identifiant ID5 reçoit la commande de destruction 24 contenant ID5 dans ses paramètres, il reconnaît son propre identifiant et entre alors dans un mode de dégradation de son fonctionnement 28. La manière de réaliser la dégradation des fonctionnalités du décodeur lorsque celui-ci reçoit une commande de destruction selon l'un des
modes de réalisation ci-dessus va maintenant être décrite plus en détails.
Selon le principe de l'invention, lorsqu'un décodeur d'identifiant ID 20 reçoit une commande de destruction contenant l'identifiant ID dans ses
paramètres, le décodeur efface tout ou partie de son logiciel embarqué. Cet effacement est effectué par un module logiciel que nous appellerons " effaceur ", qui est ajouté aux modules logiciels classiques d'un décodeur et qui a pour fonction d'effacer une partie ou l'intégralité du logiciel existant dans 25 le décodeur.
Sur la figure 4, nous avons représenté sous forme d'un
organigramme schématique le fonctionnement d'un décodeur. Le début 40 se produit lorsque le décodeur sort de son mode de mise en veille (" standby ").
Un module 41 " Bootloader" (signifiant " Initialisation du décodeur ") est 30 ensuite appelé. Ce module a pour tâche habituelle de vérifier l'intégrité du logiciel du décodeur et de télécharger un nouveau logiciel dans le cas o le logiciel n'est plus intègre. On lui rajoute selon l'invention une nouvelle fonctionnalité qui consiste à vérifier au préalable que le logiciel n'a pas été
effacé par le module effaceur.
Ainsi, à l'étape 410, un test est effectué pour vérifier si une partie au moins du logiciel n'a pas été effacée par le module effaceur. Si la réponse à ce test est négative, un test 411 est effectué pour vérifier l'intégrité du logiciel présent. Si celui-ci n'est pas intègre, alors le module " Bootioader " télécharge un nouveau logiciel à l'étape 412 et le procédé se poursuit par un " reset " du décodeur (étape 47) qui consiste à éteindre proprement le décodeur (arrêt intelligent des modules logiciels, remise à zéro de la mémoire RAM,...). On notera également que le " reset " du décodeur provoque un passage en mode " stand-by " et une sortie automatique de ce mode " stand-by ". Lorsque le test 411 révèle que le logiciel est intègre ou lorsque le test 410 révèle qu'au moins une partie du logiciel a été effacée, le procédé se poursuit par l'appel des modules logiciels permettant le fonctionnement nominal
du décodeur.
Le module décodage audio/vidéo 42 est chargé du décodage des données numériques représentant l'audio et la vidéo. Le module de contrôle d'accès 43 est chargé d'une part de vérifier si le décodeur peut accéder aux données audio/vidéo constituant le programme en fonction des droits acquis par l'utilisateur (par exemple en fonction de son abonnement), et d'autre part du 15 désembrouillage des données audio/vidéo si le programme reçu est embrouillé (ou " crypté " dans la terminologie courante). Le module Interface Utilisateur 44 est quant à lui chargé de la navigation dans les menus du décodeur, notamment pour choisir les programmes ou régler des paramètres du décodeur. On notera que lorsqu'une partie du logiciel a été effacée,
naturellement le module correspondant à cette partie n'est appelé.
Les trois modules 42, 43 et 44 fonctionnent en parallèle sous la supervision d'un " Operating System " (OS) temps réel (non représenté) qui
leur alloue des plages temporelles pour fonctionner.
Pendant le fonctionnement nominal du décodeur, un test 45 est également mis en oeuvre pour vérifier si une commande de destruction (telle la commande transmise à l'étape 16 de la figure 2 ou bien les commandes 21 à 26 de la figure 3) a été reçue par le décodeur. Si la réponse à ce test est
négative, alors le fonctionnement nominal du décodeur se poursuit.
Par contre, si la réponse au test 45 est positive, un module logiciel " Effaceur " 46 est appelé pour détruire tout ou une partie du logiciel embarqué dans le décodeur. Le procédé se poursuit ensuite par un " reset " du décodeur
(étape 47), cette étape 47 re-bouclant elle-même sur l'étape de début 40.
L'effacement du logiciel embarqué par le module Effaceur 46 peut être complet ou graduel. Un logiciel de décodeur est composé principalement de quatre parties qui sont mémorisées dans une mémoire Flash du décodeur: des modules protégés (par exemple le module " Bootioader " ou le module Effaceur) qui sont stockés dans une zone protégée de la mémoire Flash, c'est à dire dans une zone effaçable uniquement en usine; - un module de décodage audio/vidéo (tel le module 42); - un module de contrôle d'accès (tel le module 43); et
- un module d'interface utilisateur (tel le module 44).
Les modules de décodage audio/vidéo, de contrôle d'accès et d'interface utilisateur sont stockés quant à eux dans une zone effaçable et réinscriptible de la mémoire Flash. Ils peuvent en effet être mis à jour par 10 téléchargement d'un nouveau logiciel comme cela est effectué à l'étape 412 de
la figure 4.
Selon le principe de l'invention, lorsque le module Effaceur est appelé, il efface soit complètement, soit graduellement, les modules logiciels
stockés dans la partie effaçable de la mémoire.
Préférentiellement, on commence par effacer le module de contrôle d'accès. L'utilisateur n'a ainsi plus accès aux programmes embrouillés. Il ne
peut accéder qu'aux programmes transmis en clair.
On prévoira dans ce cas d'afficher un message explicite à l'utilisateur
l'informant de la destruction prochaine de son décodeur s'il ne souscrit pas un 20 nouvel abonnement auprès de l'opérateur.
Si une nouvelle commande de destruction est reçue parce que l'utilisateur persiste à ne pas souscrire d'abonnement, alors on efface en second lieu le module d'interface utilisateur, ce qui prive l'utilisateur de toute
possibilité de " zapping " et de navigation dans des menus.
Enfin, en dernier lieu, le module de décodage audio et vidéo est
effacé ce qui met le décodeur hors service.
Naturellement les modules logiciels peuvent être effacés dans un
ordre différent de celui qui vient d'être décrit. Si un logiciel embarqué dans un décodeur comporte d'autres modules que ceux qui ont été décrits, ils peuvent 30 également être effacés progressivement.

Claims (10)

REVENDICATIONS
1. Procédé de désactivation à distance d'au moins un décodeur (1) 5 d'accès à des données numériques multimédia fourni par un opérateur de services, le décodeur ayant un identifiant (ID) unique connu de l'opérateur, caractérisé en ce qu'il consiste pour l'opérateur à envoyer, à travers un réseau de communication (3, 4) reliant le décodeur à l'opérateur, une commande de destruction (Cmd (ID, INACTIF)) de tout ou partie du logiciel embarqué dans le 10 décodeur, ladite commande de destruction étant adressée au décodeur
d'identifiant unique (ID) spécifié par l'opérateur.
2. Procédé selon la revendication 1, caractérisé en ce que le réseau
de communication utilisé pour envoyer la commande de destruction (Cmd (ID, 15 INACTIF)) est un réseau bidirectionnel (4).
3. Procédé selon la revendication 2, caractérisé en ce que ladite commande de destruction n'est envoyée qu'au décodeur auquel elle est adressée.
4. Procédé selon la revendication 1, caractérisé en ce que le réseau de communication utilisé pour envoyer la commande de destruction (Cmd (ID1, INACTIF), Cmd (ID5, INACTIF), Cmd (IDn, INACTIF)) est un réseau mono
directionnel (3).
5. Procédé selon la revendication 4, caractérisé en ce que ledit
réseau de communication mono directionnel (3) est le réseau de diffusion des données de l'opérateur vers tous les décodeurs et en ce que ladite commande de destruction est envoyée à tous les décodeurs avec les données diffusées 30 par l'opérateur.
6. Décodeur (1) d'accès à des données numériques multimédia caractérisé en ce qu'il comporte un module logiciel effaceur (46) adapté à effacer tout ou partie du logiciel embarqué dans ledit décodeur lorsque le 35 décodeur reçoit une commande de destruction (Cmd (ID, INACTIF)) qui lui est adressée.
7. Décodeur selon la revendication 6 possédant un identifiant unique (ID), caractérisé en ce la commande de destruction reçue contient ledit
identifiant unique lorsqu'elle lui est adressée.
8. Décodeur selon l'une des revendications 6 ou 7 comportant un
module d'initialisation du décodeur (41) destiné à vérifier (411) l'intégrité du logiciel embarqué et, en cas de vérification négative à télécharger (412) un nouveau logiciel, caractérisé en ce que ledit module d'initialisation est en outre adapté à vérifier (410) qu'une partie au moins du logiciel embarqué dans le 10 décodeur n'a pas été au préalable effacée par ledit module effaceur (46), ledit module d'initialisation ne vérifiant l'intégrité du logiciel embarqué que lorsque
aucune partie du logiciel n'a été au préalable effacée.
9. Décodeur selon l'une des revendications 6 à 8, caractérisé en ce 15 que ledit module effaceur efface un module logiciel embarqué dans le décodeur
à chaque réception d'une nouvelle commande de destruction adressée audit décodeur.
10. Décodeur selon la revendication 9, caractérisé en ce que les 20 modules logiciels dudit décodeur sont effacés dans l'ordre suivant: le module de contrôle d'accès (43) en premier, - le module d'interface utilisateur (44) en second; et
- le module de décodage audio/vidéo (45) en troisième.
FR0212657A 2002-10-11 2002-10-11 Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia Expired - Fee Related FR2845854B1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FR0212657A FR2845854B1 (fr) 2002-10-11 2002-10-11 Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia
KR1020030069128A KR100982175B1 (ko) 2002-10-11 2003-10-06 멀티미디어 디지털 데이터에 액세스하기 위한 디코더의 원격 활성화해제
US10/680,605 US7340056B2 (en) 2002-10-11 2003-10-07 Remote deactivation of decoders for accessing multimedia digital data
MXPA03009153A MXPA03009153A (es) 2002-10-11 2003-10-07 Desactivacion remota de descodificadores para accesar datos digitales multimedia.
JP2003348448A JP4430367B2 (ja) 2002-10-11 2003-10-07 マルチメディアデジタルデータにアクセスするためのデコーダの遠隔的非アクティブ化方法及びそのデコーダ
CNB2003101010233A CN100356788C (zh) 2002-10-11 2003-10-10 远程地使访问多媒体数字数据的解码器失效的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0212657A FR2845854B1 (fr) 2002-10-11 2002-10-11 Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia

Publications (2)

Publication Number Publication Date
FR2845854A1 true FR2845854A1 (fr) 2004-04-16
FR2845854B1 FR2845854B1 (fr) 2005-01-14

Family

ID=32039645

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0212657A Expired - Fee Related FR2845854B1 (fr) 2002-10-11 2002-10-11 Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia

Country Status (6)

Country Link
US (1) US7340056B2 (fr)
JP (1) JP4430367B2 (fr)
KR (1) KR100982175B1 (fr)
CN (1) CN100356788C (fr)
FR (1) FR2845854B1 (fr)
MX (1) MXPA03009153A (fr)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8402283B1 (en) 2004-08-02 2013-03-19 Nvidia Corporation Secure content enabled drive system and method
US8359332B1 (en) 2004-08-02 2013-01-22 Nvidia Corporation Secure content enabled drive digital rights management system and method
US8875309B1 (en) 2004-12-15 2014-10-28 Nvidia Corporation Content server and method of providing content therefrom
US8751825B1 (en) * 2004-12-15 2014-06-10 Nvidia Corporation Content server and method of storing content
US8346807B1 (en) 2004-12-15 2013-01-01 Nvidia Corporation Method and system for registering and activating content
US8788425B1 (en) 2004-12-15 2014-07-22 Nvidia Corporation Method and system for accessing content on demand
US8893299B1 (en) 2005-04-22 2014-11-18 Nvidia Corporation Content keys for authorizing access to content
JP6225426B2 (ja) * 2013-01-16 2017-11-08 富士通株式会社 情報資源保護プログラム、及び情報資源保護方法
WO2016156249A1 (fr) * 2015-03-31 2016-10-06 British Telecommunications Public Limited Company Gestion de lecture de contenu
DE102016224256A1 (de) * 2016-12-06 2018-06-07 Bayerische Motoren Werke Aktiengesellschaft Telefonie-Steuergerät, Fortbewegungsmittel und Verfahren zum Betreiben eines Mobilfunk-Moduls für ein Fortbewegungsmittel

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0140705A2 (fr) * 1983-10-31 1985-05-08 R F Monolithics, Inc. Procédé et appareil pour embrouillage et désembrouillage de télévision
US4716588A (en) * 1985-10-29 1987-12-29 Payview Limited Addressable subscription television system having multiple scrambling modes
US5345505A (en) * 1991-03-04 1994-09-06 Pires H George Coding system for a data signal
WO2000016557A1 (fr) * 1998-09-11 2000-03-23 Thomson Multimedia Decodeur de systeme a acces conditionnel et procede de chargement de droits d'utilisateurs dans un tel decodeur

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5815722A (en) * 1992-11-18 1998-09-29 Canon Information Systems, Inc. In an interactive network board, a method and apparatus for remotely downloading and executing files in a memory
EP0907285A1 (fr) * 1997-10-03 1999-04-07 CANAL+ Société Anonyme Téléchargement de données
KR100278855B1 (ko) * 1997-12-15 2001-01-15 윤종용 고품위 텔레비젼 시스템의 필드 동기신호 검출회로
EP1067720A1 (fr) 1999-07-05 2001-01-10 CANAL+ Société Anonyme Méthode et dispositif pour la transmission et pour la réception de messages, en particulier dans des émissions audiovisuelles
EP1067771A1 (fr) 1999-07-05 2001-01-10 CANAL+ Société Anonyme Procédés et appareil de communication
KR20010047389A (ko) * 1999-11-19 2001-06-15 오길록 다양한 페이퍼뷰 서비스를 지원하는 유료방송시스템에서의 자격관리 및 자격제어 방법
AU2001286411A1 (en) * 2000-08-03 2002-02-18 Itech Group, Inc. Method and system for encrypting and storing content to a user
AU2002222417A1 (en) * 2000-12-22 2002-07-08 Nagravision Sa Anti-cloning method
US20020161997A1 (en) * 2001-04-26 2002-10-31 Fujitsu Limited Content distribution system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0140705A2 (fr) * 1983-10-31 1985-05-08 R F Monolithics, Inc. Procédé et appareil pour embrouillage et désembrouillage de télévision
US4716588A (en) * 1985-10-29 1987-12-29 Payview Limited Addressable subscription television system having multiple scrambling modes
US5345505A (en) * 1991-03-04 1994-09-06 Pires H George Coding system for a data signal
WO2000016557A1 (fr) * 1998-09-11 2000-03-23 Thomson Multimedia Decodeur de systeme a acces conditionnel et procede de chargement de droits d'utilisateurs dans un tel decodeur

Also Published As

Publication number Publication date
US7340056B2 (en) 2008-03-04
MXPA03009153A (es) 2004-04-28
CN100356788C (zh) 2007-12-19
KR100982175B1 (ko) 2010-09-15
JP4430367B2 (ja) 2010-03-10
US20040123128A1 (en) 2004-06-24
CN1497979A (zh) 2004-05-19
FR2845854B1 (fr) 2005-01-14
JP2004135335A (ja) 2004-04-30
KR20040033249A (ko) 2004-04-21

Similar Documents

Publication Publication Date Title
WO2008049792A2 (fr) Méthode de chargement et de gestion d'une application dans un équipement mobile
FR2874472A1 (fr) Procede, article de fabrication et dispositif destines a mettre a jour un logiciel dans un dispositif individuel
EP1722564A1 (fr) Méthode d'accès conditionnel local pour équipements mobiles
EP1477009B1 (fr) Dispositif pour securiser la transmission, l'enregistrement et la visualisation de programmes audiovisuels
FR2845854A1 (fr) Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia
EP1716706B1 (fr) Procede d'appariement d'un terminal recepteur avec une pluralite de cartes de controle d'acces
EP1803297A1 (fr) Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur
FR2898458A1 (fr) Procede pour la distribution securisee de sequences audiovisuelles, decodeur et systeme pour la mise en oeuvre de ce procede
EP1552694B1 (fr) Systeme de dechiffrement de donnees a acces conditionnel
EP1814331B1 (fr) Procédé d'identification d'un opérateur autorisé au sein d'un décodeur de télévision numérique
EP1584190B1 (fr) Procede et systeme pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede
WO2004086764A1 (fr) Procede et dispositif de diffusion et de chargement d’une information dans un systeme de communication du type television numerique
EP1470712B1 (fr) Procédé de commande à distance d'une action locale de génération d'un message d'ordre
WO2007113410A2 (fr) Commutateur de television numerique et de television tnt
EP1590960B1 (fr) Methode de stockage et de transmission d'informations generees par un module de securite
EP4096230A1 (fr) Procédé de gestion de la transmission d'un contenu protégé contre la copie à destination d'un dispositif de restitution
WO1999012352A1 (fr) Procede et installation de telechargement d'une plateforme de decodeur d'usager
FR2940870A1 (fr) Systeme de distribution de flux multimedia
EP1547383A1 (fr) Method pour la transmission securisee de fichiers audiovisuels
EP1615436A1 (fr) Procédé et ensemble de traitement de données à accès conditionnel et dispositif de mise en forme de signaux
FR2877532A1 (fr) Systeme de diffusion securisee de donnees audiovisuelles numeriques
FR2953672A1 (fr) Procede de dechiffrement de donnees par un equipement utilisateur comportant un terminal et un module de securite

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18

ST Notification of lapse

Effective date: 20210605