FR2960374A1 - Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite - Google Patents

Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite Download PDF

Info

Publication number
FR2960374A1
FR2960374A1 FR1053816A FR1053816A FR2960374A1 FR 2960374 A1 FR2960374 A1 FR 2960374A1 FR 1053816 A FR1053816 A FR 1053816A FR 1053816 A FR1053816 A FR 1053816A FR 2960374 A1 FR2960374 A1 FR 2960374A1
Authority
FR
France
Prior art keywords
data
terminal
authorized
access
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1053816A
Other languages
English (en)
Other versions
FR2960374B1 (fr
Inventor
Hubert Diez
Garcia Jacques Beas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Centre National dEtudes Spatiales CNES
Original Assignee
Centre National dEtudes Spatiales CNES
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Centre National dEtudes Spatiales CNES filed Critical Centre National dEtudes Spatiales CNES
Priority to FR1053816A priority Critical patent/FR2960374B1/fr
Publication of FR2960374A1 publication Critical patent/FR2960374A1/fr
Application granted granted Critical
Publication of FR2960374B1 publication Critical patent/FR2960374B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/1851Systems using a satellite or space-based relay
    • H04B7/18515Transmission equipment in satellites or space-based relays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/61Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
    • H04L65/611Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for multicast or broadcast

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un procédé sécurisé de multidiffusion de données est mis en œuvre dans un système de communication comprenant un serveur de données, un satellite de diffusion de données, une station d'accès satellitaire interconnectée au serveur par une liaison terrestre, et des terminaux aptes à recevoir les données émises par le satellite. Chaque terminal est autorisé à accéder à une donnée cryptée reçue seulement s'il existe un profil P de l'utilisateur du terminal, défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques prédéterminé, pour lequel l'accès à laquelle appartient la donnée est autorisée. La gestion des accès aux données autorisés au terminal est réalisée à l'aide d'une matrice M de gestion des accès dont la fourniture est contrôlée par le serveur.

Description

Procédé sécurisé de multi-diffusion de données et système sécurisé de multi-diffusion de données par satellite La présente invention concerne un procédé sécurisé de multi-diffusion de données mis en oeuvre dans un système de communication comprenant un serveur source de données, un satellite de diffusion de données, une station d'accès satellitaire interconnectée au serveur par une liaison terrestre, et des terminaux aptes à recevoir les données émises par le satellite, comprenant les étapes consistant à : - émettre par la station d'accès satellitaire sur une voie montante d'une première liaison de données, des données au moins partiellement cryptées et associées chacune à une thématique T, - retransmettre par le satellite des données cryptées reçues au cours de l'étape d'émission dans la zone géographique de couverture du satellite, - recevoir par les terminaux les données cryptés émises par le satellite.
L'invention concerne également un terminal de réception de données multidiffusées et un système sécurisé de multidiffusion de données par satellite mettant en oeuvre le procédé. Les systèmes de communication par satellite permettent de diffuser à très haut débit des flux de données à une multitude d'utilisateurs répartis sur une large zone géographique. L'utilisation de tels systèmes est alors particulièrement pertinente lorsqu'il s'agit de proposer différents contenus à une large base d'utilisateurs mobiles. Ce contexte se rencontre par exemple pour les systèmes multimédia donnant accès à un catalogue de contenus multimédia aux passagers et à l'équipage d'un avion de ligne. Chaque utilisateur du système peut ainsi consulter à l'aide d'un terminal des informations qui peuvent prendre la forme de fichiers informatiques ou encore de flux audiovisuels. Ces informations peuvent être particulièrement volumineuses, notamment si le catalogue comporte un grand nombre d'éléments. Typiquement, on estime aujourd'hui la quantité de données nécessaire à une flotte d'avion de ligne à plus de 20 Go, ces données devant être régulièrement mises à jour. Ces informations peuvent en outre faire l'objet de restrictions d'accès en fonction de leur niveau de confidentialité. La diffusion de certaines informations peut aussi être subordonnée pour chaque utilisateur à un paiement ou à la souscription d'un abonnement.
Or, la simplicité d'interception des flux de donnés par un terminal non autorisé représente un réel risque pour l'opérateur d'un tel système. Pour contourner ce problème, il est connu de recourir à des procédés cryptographiques permettant de rendre inutilisables les données interceptées par une personne dépourvue des secrets permettant leur décryptage. La difficulté de mise en oeuvre de ces procédés se trouve alors dans la gestion des droits et la distribution des secrets. En effet, chaque utilisateur doit connaître en permanence tous les secrets lui permettant de décoder les données auxquelles il souhaite accéder, les secrets étant eux-mêmes régulièrement changés pour garantir un niveau de sécurité suffisant. Dans le cadre d'un système multimédia dans lequel les utilisateurs doivent bénéficier d'une grande flexibilité pour leur permettre d'acquérir des droits d'accès en fonction de l'évolution de leur besoin tout en préservant la sécurité des contenus, des interactions bidirectionnelles de signalisation avec un serveur de gestion des accès doivent alors être mises en oeuvre. Or, dans un système satellitaire, la remontée d'informations de signalisations vers un serveur depuis chaque terminal d'un utilisateur et la descente d'informations de signalisations vers chaque terminal depuis le serveur s'avèrent délicates en raison des ressources importantes, en termes de bande de fréquences, consommées au détriment des ressources affectées à la diffusion des données utiles multimédia. En outre, il s'avère délicat de maitriser la complexité de la gestion des signalisations de sécurité, la complexité croissant avec le nombre de terminaux.. Le problème technique est de limiter le volume des échanges de signalisations nécessaires entre le serveur et les terminaux pour mettre en oeuvre la sécurisation des accès aux données multi-diffusées. L'invention a pour but de proposer un procédé de diffusion par satellite de contenus à une pluralité d'utilisateurs. Le procédé selon l'invention permet de garantir que chaque utilisateur ne puisse accéder qu'aux seules données auxquelles son profil d'abonnement lui autorise, tout en permettant à ce dernier de pouvoir modifier son profil d'abonnement, notamment par l'acquisition de nouveaux droits d'accès.
A cet effet, l'invention a pour objet un procédé sécurisé de multidiffusion de données mis en oeuvre dans un système de communication comprenant un serveur source de données, un satellite de diffusion de données, une station d'accès satellitaire interconnectée au serveur par une liaison terrestre, et des terminaux aptes à recevoir les données émises par le satellite, comprenant les étapes consistant à : - émettre par la station d'accès satellitaire sur une voie montante d'une première liaison de données, des données au moins partiellement cryptées et associées chacune à une thématique T, - retransmettre par le satellite des données cryptées reçues au cours de l'étape d'émission dans la zone géographique de couverture du satellite, - recevoir par les terminaux les données cryptées émises par le satellite ; caractérisé en ce qu'il comprend les étapes consistant à : - affecter à et enregistrer dans chaque terminal au moins un profil P d'abonnement d'au moins un utilisateur du terminal, un profil P d'abonnement étant défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques T prédéterminé, - attribuer et envoyer en une seule fois à un premier ensemble de terminaux ayant un même ensemble de profils d'abonnement des jetons de thématique en fonction des seules thématiques autorisées pour les terminaux du premier ensemble, - attribuer et envoyer en une seule fois à un deuxième ensemble de terminaux ayant un même ensemble de profils d'abonnement, le deuxième ensemble étant distinct du premier ensemble, des jetons de thématique en fonction des seules thématiques autorisées pour les terminaux du deuxième ensemble, - autoriser un terminal des premier et deuxième ensembles à accéder à une donnée cryptée reçue seulement si le profil P de l'abonnement de l'utilisateur du terminal correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé ; - décrypter par le terminal les données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées.
Suivant des modes particuliers de réalisation, le procédé comporte l'une ou plusieurs des caractéristiques suivantes : - avant d'autoriser le terminal à accéder à une donnée cryptée reçue, une matrice M codant les profils autorisés en fonction des thématiques est fournie au terminal ; - la matrice M est fournie au terminal par le serveur source de données après une étape de requête d'un abonnement ; - la fourniture de la matrice M est effectuée une première fois dans une étape initiale et effectuée une nouvelle fois lors d'une mise à jour de l'abonnement si la liste des profils a changé ; - avant l'envoi des jetons de thématiques correspondants aux thématiques autorisées d'un même ensemble de terminaux ayant une même matrice M de gestion des droits d'accès, un jeton de matrice, associé à un décryptage de la matrice M cryptée selon un cryptage prédéterminé, est envoyé aux terminaux du même ensemble, et lors de l'envoi en une seule fois dans un paquet d'envoi commun des jetons de thématiques, la matrice M préalablement cryptée est également envoyée dans la paquet d'envoi commun de manière à pouvoir être détectée et déchiffrée par les terminaux du même ensemble ; - le système de communication comprend au moins un serveur de données intermédiaire, les serveurs intermédiaires formant depuis le serveur source de données jusqu'aux terminaux une structure de diffusion de données hiérarchisée en arbre, et le procédé comprend les étapes consistant à : - affecter à et enregistrer dans au moins un serveur intermédiaire au moins un profil d'abonnement à des thématiques, - attribuer et envoyer à l'au moins un serveur intermédiaire des jetons en fonction des seules thématiques autorisées pour l'au moins un serveur intermédiaire, - autoriser l'au moins un serveur intermédiaire à accéder à une donnée cryptée reçue seulement si un profil de l'abonnement du serveur intermédiaire défini comme un sous-ensemble de thématiques sélectionnées dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé et retransmettre par le serveur intermédiaire la donnée autorisée seulement ; - le procédé comprend l'étape consistant à : pour chaque serveur intermédiaire, avant d'autoriser le serveur intermédiaire à accéder à une donnée cryptée reçue, fournir au serveur intermédiaire une matrice codant les profils autorisés en fonction des seules thématiques de l'abonnement du serveur intermédiaire de sorte à constituer un filtrage des données progressif et complet depuis les serveur source jusqu'aux terminaux.
L'invention a également pour objet un terminal de réception de données multi-diffusées comprenant un récepteur de données partiellement ou totalement cryptées émises par un satellite, caractérisé en ce qu'il comprend : un moyen d'autorisation d'accès à une donnée cryptée reçue seulement si un profil P de l'utilisateur du terminal défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé ; et un moyen de décryptage des données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées. Suivant des modes particuliers de réalisation, le terminal de réception de données multi-diffusées comporte l'une ou plusieurs des caractéristiques suivantes : - le terminal de réception de données multi-diffusées comprend des moyens d'acquisition d'une matrice M codant les profils autorisé en fonction des thématiques de l'abonnement du terminal, et le moyen d'acquisition comprend un moyen de décryptage de la matrice M d'abonnement reçu crypté. L'invention a également pour objet un système sécurisé de multidiffusion de données comprenant un serveur source de données, un satellite de diffusion de données, une station d'accès satellitaire interconnectée au serveur source par une liaison terrestre, et des terminaux aptes à recevoir les données émises par le satellite, la station d'accès satellitaire étant apte à émettre sur une voie montante d'une première liaison de données, des données au moins partiellement cryptées, le satellite étant apte à émettre des données cryptées reçues depuis la station d'accès dans sa zone géographique de couverture, les terminaux étant aptes à recevoir les données cryptés émises par le satellite associé ; et le terminal comprend : un moyen de stockage de profils d'abonnement autorisés d'au moins un utilisateur du terminal, un profil P d'abonnement étant défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques T prédéterminé, sous la forme d'un matrice M enregistré, un moyen d'autorisation d'accès à une donnée cryptée reçue seulement si il existe un profil P de l'utilisateur du terminal défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques prédéterminé, pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé par la matrice M ; un moyen de décryptage des données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées, et un moyen de décryptage de la matrice M reçue cryptée suivant un cryptage prédéterminé, à partir de la connaissance d'un jeton de matrice associé à la matrice M cryptée. Suivant des modes particuliers de réalisation, le système sécurisé de multidiffusion de données comporte l'une ou plusieurs des caractéristiques suivantes : - le système sécurisé de multidiffusion de données tel que défini ci-dessus comprend au moins un serveur de données intermédiaire, les serveurs intermédiaires formant depuis le serveur source de données jusqu'aux terminaux une structure de diffusion de données hiérarchisée en arbre, et l'au moins un serveur intermédiaire comprend un moyen d'accès à une donnée cryptée reçue seulement si un profil de l'abonnement du serveur intermédiaire défini comme un sous-ensemble de thématiques sélectionnées dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé et retransmettre par le serveur intermédiaire la donnée autorisée seulement. L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins, sur lesquels : - la figure 1 est une vue schématique représentant l'architecture du système de communication par satellite selon l'invention; - la figure 2 est un schéma d'un mode de réalisation d'un terminal du système de communication selon l'invention ; - la figure 3 est un synoptique représentant les étapes du procédé sécurisé de multi-diffusion de données selon l'invention ; - la figure 4 est un exemple de matrice définissant la politique d'accès aux données pour un utilisateur du terminal, - la figure 5 est une vue schématique représentant l'architecture d'une variante du système de communication par satellite selon l'invention de la figure 1; - la figure 6 est un exemple de matrices définissant la politique d'accès aux données par des serveurs intermédiaires et par un utilisateur du terminal.
Comme illustré sur la figure 1, le système de communication comprend un segment sol 1 en lien avec un segment spatial 2. Le segment spatial 2 est composé d'une flotte comportant au moins un satellite 3 de communication. Le satellite 3 dispose de moyens d'émission de flux de données à destination du segment sol 1. Chaque satellite 3 dispose de moyens de réception de flux de données en provenance du segment sol. Le satellite 3 se caractérise notamment par sa zone géographique de couverture, c'est-à-dire la zone dans laquelle le satellite 3 peut recevoir ou émettre des flux de données. Le segment sol 1 comporte une station d'accès satellitaire 5, des terminaux 10 et un serveur 15, source de données.
La station d'accès satellitaire 5 comporte des moyens pour établir une première liaison de données 16 bidirectionnelle avec le satellite 3 et une deuxième liaison de données 18 bidirectionnelle avec les terminaux 10. Par la suite, on qualifie de voie montante de la première liaison de données 16 le flux de données émis par la station d'accès satellitaire 5, et de voie descendante de la deuxième liaison de données 18 le flux de données émis par le satellite 3 vers les terminaux 10. La voie descendante de la première liaison de données 16 comporte un canal particulier appelé canal de contrôle. La station d'accès satellitaire 5 comporte des moyens de stockage de données 20, dans lesquels peuvent être enregistrées des fichiers informatiques de différentes natures et des données audiovisuelles. La station d'accès satellitaire 5 et le serveur source 15 sont interconnectés via un réseau 25, permettant ainsi l'établissement d'une liaison de données bidirectionnelle entre ces deux équipements.
Le terminal 10, ici représenté à la figure 2 embarqué à bord d'un avion, comporte une antenne 50 connectée à des moyens de réception 52. Les moyens de réception 52 permettent la transformation des signaux radioélectriques émis par le satellite 3 en un signal numérique. Les moyens de réception 52 sont reliés à des moyens de décodage 54 eux-mêmes reliés à des moyens de traitements 56.
Les moyens de décodage 54 permettent d'extraire du signal numérique reçu des moyens de réception 52 les données qu'il contient, et d'en vérifier l'intégrité. Les moyens de traitements 56 sont adaptés à exécuter un système d'exploitation et/ou des logiciels. Les moyens de traitements 56 ont accès à des moyens de stockage 58. Les moyens de traitements 56 sont encore connectés à des moyens d'émission 60 reliés à l'antenne 50. Les moyens d'émission 60 sont aptes à servir d'interface de réseau primaire au travers du satellite 3 et permettent notamment de transformer des données numériques en un signal radioélectrique compréhensible par le satellite 3. Les moyens de traitement 56 peuvent interagir avec l'utilisateur grâce à une interface 62 apte à dialoguer avec des périphériques d'entrée/sortie 64 tels que notamment un clavier et un écran. Le terminal 10 comporte encore une interface réseau secondaire 66, reliée aux moyens de traitements 56. Typiquement, l'interface réseau secondaire 66 est une interface vers un réseau de type Internet utilisée lorsque le terminal 10 est situé à terre, c'est-à-dire lorsque l'avion dans lequel est embarqué le terminal 10 est posé sur le sol. L'interface réseau secondaire 66 permet d'interconnecter le terminal 10 et le serveur 15 lorsque le terminal 10 est situé au sol. Les étapes du procédé sécurisé de multi-diffusion de données selon l'invention sont représentées à la figure 3 et décrites ci-après. Le procédé peut notamment être mis en oeuvre par le système de communication par satellite selon l'invention décrit à la figure 1. Dans une première étape 110, le serveur source de données 15 agissant également comme un serveur de jetons affecte à chaque terminal au moins un profil P d'abonnement d'au moins un utilisateur du terminal 10 sous la forme d'une matrice M. La matrice M d'accès, dont un exemple est représenté à la figure 4, définit la politique d'accès aux données. La matrice M est définie et stockée notamment dans le serveur 15 et le terminal 10. A chaque utilisateur du terminal 10 est associé au moins un profil P parmi les profils P1, P2 et P3. De manière générale un profil P d'abonnement est défini comme un sous-ensemble de thématiques sélectionnées dans un ensemble de thématiques T prédéterminé. Une thématique T est un domaine d'intérêt des utilisateurs auquel appartiennent des jeux de données et qui dépend notamment de la sémantique, du type de données et de leur destination. Par exemple, le cinéma français en version originale sous forme de données vidéo, la musique baroque sous forme de données audio, les journaux quotidiens espagnols sous forme de fichiers de données selon un format d'internet sont des thématiques.
La matrice M associe un droit d'accès aux données selon la thématique T de ces dernières et selon le profil P de l'utilisateur. Un droit d'accès est un booléen indiquant si oui ou non l'accès à une thématique est autorisé pour un profil donné. Dans l'exemple de la Figure 4, les utilisateurs, auxquels est associé le profil P1 ou le profil P2, ont un droit d'accès aux données appartenant à la thématique Ti. En revanche, ces mêmes utilisateurs n'ont pas de droit d'accès aux données appartenant à la thématique T3. Les utilisateurs auxquels est associé le profil P3 n'ont quant à eux pas accès aux données de la thématique Ti. Ainsi la matrice M réalise un codage source des profils P1, P2 et P3 associé au terminal 10. La matrice M d'accès est cryptée par le serveur 15 dans la même première étape 110 à l'aide d'un jeton de matrice fonction de la matrice M affectée au terminal 10. La matrice M cryptée et le jeton de matrice associé sont envoyés par le serveur 15 au terminal 10.
Le jeton de matrice et le cryptage de la matrice M ont une limite temporelle de validité, première. Lorsque le terminal 10 détecte et décrypte à l'aide du jeton de matrice correspondant, la matrice M cryptée qui lui est affectée, le terminal 10 stocke localement dans les moyens de stockage 58 la matrice M décryptée nécessaire à la gestion de ses droits d'accès. La matrice M est une vue partielle d'une matrice beaucoup plus large MO constituée par les profils de tous les utilisateurs abonnées au serveur source 15. Le terminal 10 qui n'a qu'une vue partielle de la matrice MO au travers de la matrice M ne stocke pas les informations permettant de déterminer les droits d'accès des profils et/ou des thématiques qui ne sont pas utilisés par le terminal 10. Le serveur 15 transmet de préférence la matrice M et le jeton de matrice qui lui est associé au terminal 10 sur son interface réseau secondaire 66.
En variante, le serveur 15 transmet la matrice M cryptée et le jeton de matrice qui lui est associé au terminal 10 au travers du satellite 3. Cette variante est applicable à une minorité de terminaux pour lesquels les utilisateurs ont décidé de changer d'abonnement dans l'avion lorsqu'il est en vol. Dans une deuxième étape 120, des jetons de thématiques sont attribués et envoyés en une seule fois dans un premier paquet d'envoi commun à un premier ensemble de terminaux ayant un même ensemble de profils d'abonnement, en fonction des seules thématiques autorisées pour les terminaux du premier ensemble. La matrice unique de gestion des accès, associée aux terminaux du premier ensemble et préalablement cryptée avec le jeton de matrice correspondant, est envoyée dans un entête du premier paquet contenant les jetons des thématiques du premier ensemble de terminaux. Dans la même deuxième étape 120, des jetons de thématiques sont attribués et envoyés en une seule fois dans un deuxième paquet d'envoi commun à un deuxième ensemble de terminaux ayant un même ensemble de profils d'abonnement, en fonction des seules thématiques autorisées pour les terminaux du deuxième ensemble. La matrice unique de gestion des accès, associée aux terminaux du deuxième ensemble préalablement cryptée avec le jeton de matrice correspondant, est envoyée dans un entête du paquet contenant les jetons des thématiques du deuxième ensemble de terminaux. Les jetons de thématiques correspondant à des données à émettre sont envoyés par un serveur de jeton, ici intégré dans le serveur source de données 15. L'envoi se fait au travers du satellite 3 dans le cas du système décrit à la figure 1. En variante, l'envoi est effectué au travers d'un lien réseau secondaire lorsque le terminal est situé au sol. Typiquement, les jetons des thématiques sont des clés cryptographiques permettant de décrypter dans une deuxième limite temporelle de validité nettement inférieure à la première limite temporelle de validité des jetons de matrice. Les envois de paquets des jetons des thématiques associées à un même ensemble de terminaux ayant la même matrice de gestion d'accès M sont effectués périodiquement sur le canal de contrôle en direction des terminaux au travers du satellite 3. Lorsqu'un paquet d'envoi commun de jetons de thématiques destinés à un ensemble de terminaux, par exemple le premier ensemble, est identifié par un terminal appartenant à l'ensemble, les jetons de thématiques du paquet sont enregistrés localement dans le terminal. L'identification du paquet d'envoi commun est mise en oeuvre par la détection et le décryptage réussi de la matrice cryptée de gestion des accès, contenue dans l'entête du paquet d'envoi commun. Dans une troisième étape 130, la station d'accès satellitaire 5, émet, sur la voie montante de la première liaison de données 16, des données issues des moyens de stockage de données 20. Typiquement, les données émises sont celles dont l'heure de diffusion a été programmée de sorte à ce que les terminaux les reçoivent immédiatement ou dans un horizon temporel déterminé (par exemple, pour une diffusion dans 15 minutes). Les données émises sont également celles que les terminaux 10 présents dans la zone géographique de couverture du satellite 3 ont sollicitées, ou sont susceptibles de solliciter immédiatement ou dans un horizon temporel déterminé (par exemple, dans les 2 heures à venir). Les données émises sont au moins partiellement cryptées de sorte que, pour chaque donnée, il existe une thématique associée et seuls les terminaux 10 disposant d'un jeton de thématique correspondant à ladite donnée puissent procéder au décryptage. Pour être émises, les données sont groupées en flux F de données, notamment selon leur contenu ou encore selon les groupes de terminaux 10 auxquelles ces dernières sont destinées. A chaque flux F correspond un identifiant de flux, généralement désigné par l'acronyme anglo-saxon de « PID » pour « Packet Identifier ». Les caractéristiques radioélectriques du canal de la voie montante de la première liaison de données 16 utilisé pour émettre une donnée dépendent du flux F auquel ladite donnée appartient.
Les données contenues dans chaque flux F sont groupées en thématiques T, en fonction notamment de leur sémantique, leur type ou leur destination. A titre d'exemple, un même flux F1 peut comprendre des données appartenant à une thématique Ti et des données appartenant à une thématique T2. Une même donnée peut quant à elle appartenir à la fois à la thématique Ti et à une thématique T3. Dans une quatrième étape 140, le satellite 3 réémet les flux F de données cryptées reçus au cours de la troisième étape 130. Ainsi, tous les terminaux 10 présents dans la zone géographique de couverture du satellite 3 sont susceptibles de recevoir les données cryptées compris dans les flux F. Cette forme de transmission est donc par nature une transmission multi-diffusion, plus communément qualifiée de transmission « multicast » selon le terme anglo-saxon consacré. En effet, une pluralité de terminal 10 peut recevoir quasi simultanément ces mêmes données cryptées. De manière conventionnelle, chaque flux F est réémis sur une porteuse donnée caractérisée notamment par sa fréquence, et selon un codage et une logique spatiale et temporelle propres. Un terminal non autorisé ne peut reconstituer les flux F que s'il a la connaissance de l'ensemble des caractéristiques de chaque flux F, ce qui constitue un premier niveau de sécurisation des transmissions de données du procédé selon l'invention. Dans une cinquième étape 150, le terminal 10 reçoit les flux émis par le satellite 3 comportant des données cryptées. Les moyens de réception 52 et les moyens de décodage 54 reçoivent et décodent tous les flux F pour lesquels ils disposent des caractéristiques utilisés par le satellite 3 lors de leurs émissions au cours de la troisième étape 130. Pour cela, le terminal 10 dispose d'une table de flux F autorisés définissant pour chacun ces caractéristiques radioélectriques et de codage. Cette table est définie statiquement lors de la configuration du terminal 10 ou dynamiquement par les moyens de traitement 56 en fonction des autorisations d'accès régies par la politique d'accès dont bénéficie l'utilisateur du terminal 10 et des informations diffusées par le satellite 3 sur le canal de contrôle. Les moyens de décodage 54 délivrent ainsi aux moyens de traitement 56 les données comprises dans les flux F, décodées mais toujours cryptées. Les données cryptées sont immédiatement traitées selon les étapes décrites ci-après du procédé selon l'invention.
En variante, les données cryptées sont stockées cryptées par les moyens de stockages 58 du terminal 10 pour être traitées ultérieurement. Dans une sixième étape 160, chaque terminal 10 applique la politique d'accès aux données reçues au cours de la cinquième étape 150. Pour accéder à la matrice d'accès M, les moyens de traitement 56 du terminal 10 vérifient dans un premier temps si la matrice M est disponible localement et n'est pas périmée. Si le résultat est négatif, c'est-à-dire si la matrice M n'est pas disponible localement ou si la matrice est périmée, les moyens de traitements 56 formulent, via l'interface satellitaire, ou l'interface réseau secondaire 66 une requête à destination du serveur 15. Le serveur 15 transmet la matrice M au terminal 10 suivant des modalités analogues à celles décrites dans l'étape 110. Le terminal reçoit les informations correspondantes, c'est-à-dire le jeton de matrice et la matrice M cryptée, de préférence au travers de son interface réseau secondaire 66, sinon au travers du satellite 3 et stocke localement les informations. Les moyens de traitement 56 accèdent alors à la matrice M et déduisent pour chaque donnée reçue à la cinquième étape 150, après avoir déterminé sa thématique, s'il existe un droit d'accès pour le profil P de l'utilisateur actuel du terminal 10. Les moyens de traitement 56 assurent l'application des droits d'accès correspondant, en interdisant notamment l'accès aux données des thématiques pour lesquels les profils de l'utilisateur ne lui procurent aucun droit. A titre d'exemple, pour un dossier F1, composé lui-même d'un fichier F1.1 et F1.2, appartenant à la thématique T2, les moyens de traitement 56 n'autoriseront l'accès aux données cryptées correspondant au dossier F1 et son contenu que si le profil de l'utilisateur est le profil P2. Ainsi est constitué deuxième niveau de sécurisation des transmissions de données du procédé selon l'invention. Dans une septième étape 170, les données cryptées des thématiques auxquelles a accès l'utilisateur au terme de la sixième étape 160 sont décryptées.
Les moyens de traitements 56 ne sont en mesure de décrypter ces données qu'à partir de la connaissance des jetons de thématiques correspondant reçues à l'étape 120. Ainsi, par exemple, pour un utilisateur du terminal 10 ayant un profil P2, le décryptage des données correspondant au dossier F1 et au fichier F1.1 nécessitera la possession d'un premier jeton J1 tandis qu'un deuxième jeton J2 sera nécessaire pour décrypter le fichier F1.2. Dans une première variante, le procédé selon l'invention peut comporter une étape optionnelle de vérification des versions logicielles et de l'intégrité du terminal 10. Cette étape optionnelle peut notamment être mise en oeuvre périodiquement par terminal 10. Au cours de cette étape optionnelle, les moyens de traitements 56 peuvent vérifier que le logiciel qu'il est susceptible d'exécuter n'a pas fait l'objet d'une modification non autorisée, par exemple en comparant la signature dudit logiciel avec la signature du logiciel qui devrait être installé, cette dernière pouvant être diffusée sur le canal de contrôle. Si la signature ne correspond pas au logiciel actuellement en vigueur au sein du système, le procédé selon l'invention est interrompu de sorte à empêcher tout décryptage de données jusqu'à ce que la version adéquate du logiciel soit installée. Dans une deuxième variante, le procédé selon l'invention peut comporter une étape optionnelle de mise à jour automatique des logiciels du terminal 10. Cette étape optionnelle peut notamment être mise en oeuvre périodiquement. Au cours de cette étape optionnelle, les moyens de traitements 56 installent automatiquement sans intervention de l'utilisateur du terminal 10 toutes mises à jour logicielles, en particulier les correctifs de sécurité, reçues du canal de contrôle. Ces mises à jour peuvent être envoyées depuis le serveur source 15. Dans un mode de réalisation, le procédé selon l'invention est généralisé en étant mis en oeuvre également au niveau de serveurs intermédiaires appartenant au système de communication décrit à la figure 5. Suivant la figure 5, un système de communication 200 comprend à l'identique de la figure 1 et désignés par les mêmes références numériques, le satellite 3, ici un premier satellite, le serveur source 15, la station d'accès satellitaire 5 au satellite 3, et les terminaux 10. Le système de communication 200 comprend également un deuxième satellite 203, une station d'accès satellitaire 205 correspondante raccordée au serveur source 15 au travers d'un premier serveur intermédiaire 208 et d'un deuxième serveur intermédiaire 210, et des terminaux 212 en visibilité du deuxième satellite 203. La station d'accès satellitaire 5 est également raccordée au serveur source 15 au travers des deux serveurs intermédiaires 208 et 210.
Suivant le figure 5, la liaison bidirectionnelle 25 de la figure 1 a été ici remplacée par la succession d'une première liaison terrestre bidirectionnelle 214 reliant le serveur source 15 et le premier serveur intermédiaire 208, le premier serveur intermédiaire 208, une deuxième liaison terrestre 216 reliant entre eux les deux serveurs intermédiaires 208, 210, le deuxième serveur intermédiaire 210, et une troisième liaison intermédiaire 218 reliant le deuxième serveur intermédiaire et la station d'accès satellitaire 5. La station satellitaire 205 est raccordée au deuxième serveur intermédiaire 210 par une quatrième liaison terrestre bidirectionnelle 220. Ici, les stations d'accès satellitaires 5 et 205 assurent également la fonction des serveurs intermédiaires de données, troisième et quatrième, vis-à-vis respectivement des terminaux 10 et 212. Le serveur source 15, les serveurs intermédiaires 208, 210, les stations d'accès satellitaires 5, 205 constituant des serveurs intermédiaires, les terminaux 10 et 212 forment une structure de diffusion de données du type arbre, dans laquelle le serveur source 15 est la racine de l'arbre et les terminaux sont les feuilles de l'arbre. Suivant la figure 6, un exemple d'une politique d'accès au niveau de chaque serveur intermédiaire 208, 210, 5, 205 et des terminaux 10, 212, est implémenté par des matrices de codage respectives MO, M1, M2, M3, M4, M(1 0), M(212) associées de manière correspondante au serveur source 15, aux serveurs intermédiaires 208, 210, 5, 205 et au terminaux 10, 210. La matrice MO est la matrice des profils proposés pour l'ensemble du système de communication 200.
La matrice MO est définie et stockée notamment dans le serveur 15. Elle propose ici de fournir sept profils d'utilisateur différents, désignés respectivement par P1, P2, P3, P4, P5, P6, P7 correspondant à des choix de thématiques différentes, désignées respectivement par Ti, T2, T3, T4, T5, T6, T7, T8.
Il est à remarquer que l'abonnement proposé par le serveur source au travers de la matrice MO est un abonnement complet regroupant tous les profils ayant été jugés intéressants à proposer au client par l'opérateur du serveur source 15. La matrice M1 est la matrice des profils proposés suivant un abonnement du premier serveur intermédiaire 208 à un sous-ensemble des profils proposés par le serveur source 15. La matrice M1 est définie et stockée notamment dans le premier serveur intermédiaire 208. Le sous-ensemble de profils d'utilisateurs définissant M1 est inclus dans l'ensemble des profils du serveur source 15. L'abonnement aux thématiques proposé par M1 est ici plus restreint que celui de MO. A ce titre, les autorisations de diffuser par le premier serveur intermédiaire 208, les profils P uniquement codés dans M1, constituent les éléments d'un processus de filtrage des accès en amont des terminaux 10, 212 et plus généralement d'un processus de filtrage réparti et hiérarchisé dans le système de communication 200. Tout serveur ou terminal situé en aval du serveur intermédiaire 208 ne pourra pas accéder à des données d'une thématique non incluse dans l'un des profils sélectionnés dans M1. Ce filtrage en amont permet d'augmenter la sécurité d'accès aux données en interdisant la diffusion des données qui correspondent à des thématiques absentes des profils de l'abonnement au niveau du premier serveur intermédiaire 208 lui-même. De manière analogue, une matrice M2 est associée au deuxième serveur intermédiaire 210 lui-même servi par le premier serveur intermédiaire 208.
La matrice M2 est la matrice est la matrice des profils proposés suivant un abonnement du deuxième serveur intermédiaire 210 à un sous-ensemble des profils proposés par le premier serveur intermédiaire 208.
La matrice M2 est définie et stockée notamment dans le deuxième serveur intermédiaire 210. Le sous-ensemble de profils d'utilisateurs définissant M2 est inclus dans l'ensemble des profils du premier serveur intermédiaire 208. L'abonnement aux thématiques proposé par M2 est ici plus restreint que celui de M1. A ce titre, les autorisations de diffuser par le premier serveur intermédiaire 208, les profils P uniquement codés dans M2, constituent les éléments d'un processus de filtrage supplémentaire des accès en amont des terminaux 10, 212 et en aval du premier serveur intermédiaire.
De manière également analogue, une matrice M3, une matrice M4 respectivement, est associée à la première station satellitaire d'accès 5, à la deuxième station satellitaire d'accès 205, chacune étant servie ici par le même deuxième serveur intermédiaire 210. La matrice M3, respectivement la matrice M4, est la matrice des profils proposés suivant un abonnement de la première station satellitaire 5, un abonnement de la deuxième station satellitaire 205 respectivement, à un sous-ensemble des profils proposés par le deuxième serveur intermédiaire 208. La matrice M3, la matrice M4 respectivement 2 est définie et stockée notamment dans la première station d'accès satellitaire 5, la deuxième station satellitaire d'accès 205. Le sous-ensemble de profils d'utilisateurs définissant M3, respectivement M4 est inclus dans l'ensemble des profils du deuxième serveur intermédiaire 210. L'abonnement aux thématiques proposé par M3 ou M4 est ici plus restreint que celui de M2. Dans cet exemple, la matrice M3 donne le droit d'accéder aux thématiques associées aux profils P1, P2, P3, P4, tandis que la matrice M4 donne le droit d'accéder aux thématiques associées aux profils P1, P5, P6. Ainsi la matrice M3 ne permet pas l'accès aux thématiques T4, T7, T8, tandis que la matrice M4 ne permet pas l'accès à la thématique T2. Au niveau des terminaux, une matrice M(10), une matrice M(212) respectivement, est associée aux terminaux 10, aux terminaux 212 respectivement, les terminaux 10 étant servis par la première station d'accès satellitaire 5, les terminaux 212 étant servis par la deuxième station d'accès satellitaire 205.
La matrice M(10) respectivement la matrice M(212), est la matrice des profils proposés suivant un abonnement des terminaux 10, un abonnement des terminaux 212 respectivement, à un sous-ensemble des profils proposés par la première station d'accès satellitaire 5, la deuxième station d'accès satellitaire 205 respectivement. La matrice M(10), la matrice M(212) respectivement, est définie et stockée notamment dans les terminaux 10, les terminaux 212 respectivement. Le sous-ensemble de profils d'utilisateurs définissant M(10), respectivement M(212) est inclus dans l'ensemble des profils de la première station d'accès satellitaire 5, la deuxième station d'accès satellitaire 205. L'abonnement aux thématiques proposées par M(10), M(212) respectivement est plus restreint que celui de M3, M4 respectivement. Dans cet exemple, les utilisateurs ayant des terminaux 10, auxquels est associé le profil P1 ou le profil P2, ont un droit d'accès aux données appartenant à la thématique Ti. En revanche, ces mêmes utilisateurs n'ont pas de droit d'accès aux données appartenant à la thématique T3. Les utilisateurs auxquels est associé le profil P3 n'ont quant à eux pas accès aux données de la thématique Ti. Aucun des utilisateurs des terminaux 10 n'a d'accès aux thématiques T4, T5, T6, T7, T8.
Dans cet exemple, les utilisateurs ayant des terminaux 212, auxquels est associé le profil P5 ou le profil P6, ont un droit d'accès aux données appartenant à la thématique T7. En revanche, ces mêmes utilisateurs n'ont pas de droit d'accès aux données appartenant à la thématique T3. Les utilisateurs des terminaux 212 auxquels est associé le profil P5 n'ont quant à eux pas accès aux données des thématiques Ti, T5, T6, tandis que les utilisateurs associés a profil P6 disposent de cet accès. Ainsi, le système et le procédé proposés permettent de donner des droits d'accès sélectivement à des groupes d'utilisateurs accessibles par radiodiffusion sans mettre en oeuvre des volumes de signalisations importants.
En variante, le procédé sécurisé de multidiffusion de données mis en oeuvre dans le système 200 comprend une étape de transformation d'un terminal prédéterminé en un nouveau serveur intermédiaire et d'ajout de nouveaux terminaux servis par le serveur intermédiaire nouvellement créé.

Claims (11)

  1. REVENDICATIONS1. Procédé sécurisé de multidiffusion de données mis en oeuvre dans un système de communication comprenant un serveur source de données (15), un aptes à recevoir les données émises par le satellite (3 ; 203), comprenant les étapes consistant à : - émettre (130) par la station d'accès satellitaire (5 ; 205) sur une voie montante d'une première liaison de données (8), des données au moins 10 partiellement cryptées et associées chacune à une thématique T, - retransmettre (140) par le satellite des données cryptées reçues au cours de l'étape (130) dans la zone géographique de couverture du satellite (3 ; 303), - recevoir (150) par les terminaux (10 ; 212) les données cryptées émises par le satellite (3 ; 303) ; 15 caractérisé en ce qu'il comprend les étapes consistant à : - affecter à et enregistrer (110) dans chaque terminal (10 ; 212) au moins un profil P d'abonnement d'au moins un utilisateur du terminal, un profil P d'abonnement étant défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques T prédéterminé, 20 - attribuer et envoyer (120) en une seule fois à un premier ensemble de terminaux ayant un même ensemble de profils d'abonnement des jetons de thématique en fonction des seules thématiques autorisées pour les terminaux du premier ensemble, - attribuer et envoyer (120) en une seule fois à un deuxième ensemble de 25 terminaux ayant un même ensemble de profils d'abonnement, le deuxième ensemble étant distinct du premier ensemble, des jetons de thématique en fonction des seules thématiques autorisées pour les terminaux du deuxième ensemble, - autoriser (160) un terminal (10 ; 212) des premier et deuxième ensembles 30 à accéder à une donnée cryptée reçue seulement si le profil P de l'abonnement de l'utilisateur du terminal (10 ; 212) correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé ; satellite (3 ; 203) de diffusion de données, une station d'accès satellitaire (5 ; 205) interconnectée au serveur par une liaison terrestre, et des terminaux (10 ; 212)- décrypter (170) par le terminal les données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées.
  2. 2. Procédé sécurisé de multidiffusion de données selon la revendication 1 à 2, caractérisé en ce qu'avant d'autoriser le terminal (10) à accéder à une donnée cryptée reçue, une matrice M codant les profils autorisés en fonction des thématiques est fournie au terminal (10).
  3. 3. Procédé sécurisé de multidiffusion de données selon la revendication 2, caractérisé en ce que la matrice M est fournie au terminal (10) par le serveur source de données (15) après une étape de requête d'un abonnement.
  4. 4. Procédé sécurisé selon l'une quelconque des revendications 2 et 3, caractérisé en ce que la fourniture de la matrice M est effectuée une première fois dans une étape initiale et effectuée une nouvelle fois lors d'une mise à jour de l'abonnement si la liste des profils a changé.
  5. 5. Procédé sécurisé de multidiffusion de données selon l'une quelconque des revendications 2 à 4, caractérisé en ce que avant l'envoi des jetons de thématiques correspondants aux thématiques autorisées d'un même ensemble de terminaux ayant une même matrice M de gestion des droits d'accès, un jeton de matrice, associé à un décryptage de la matrice M cryptée selon un cryptage prédéterminé, est envoyé aux terminaux du même ensemble, et lors de l'envoi en une seule fois dans un paquet d'envoi commun des jetons de thématiques, la matrice M préalablement cryptée est également envoyée dans la paquet d'envoi commun de manière à pouvoir être détectée et déchiffrée par les terminaux du même ensemble.
  6. 6. Procédé sécurisé de multidiffusion de données selon l'une quelconque des revendications 1 à 5, caractérisé en ce que le système de communication comprend au moins un serveur de données intermédiaire (208, 210, 5, 205), les serveurs intermédiaires formant depuis le serveur source de données (15) jusqu'aux terminaux (10 ; 212) une structure de diffusion de données hiérarchisée en arbre, et en ce que le procédé comprend les étapes consistant à :- affecter à et enregistrer dans au moins un serveur intermédiaire (208, 210, 5, 205) au moins un profil d'abonnement à des thématiques, - attribuer et envoyer à l'au moins un serveur intermédiaire (208, 210, 5, 205) des jetons en fonction des seules thématiques autorisées pour l'au moins un serveur intermédiaire (208, 210, 5, 205), - autoriser l'au moins un serveur intermédiaire (208, 210, 5, 205) à accéder à une donnée cryptée reçue seulement si un profil de l'abonnement du serveur intermédiaire (208, 210, 5, 205) défini comme un sous-ensemble de thématiques sélectionnées dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé et retransmettre par le serveur intermédiaire la donnée autorisée seulement.
  7. 7. Procédé selon la revendication 6, caractérisé en ce qu'il comprend l'étape consistant à : pour chaque serveur intermédiaire (208, 210, 5, 205), avant d'autoriser le serveur intermédiaire à accéder à une donnée cryptée reçue, fournir au serveur intermédiaire une matrice (M1, M2, M3, M4) codant les profils autorisés en fonction des seules thématiques de l'abonnement du serveur intermédiaire de sorte à constituer un filtrage des données progressif et complet depuis les serveur source (15) jusqu'aux terminaux (10 ; 212).
  8. 8. Terminal de réception de données multi-diffusées comprenant un récepteur de données partiellement ou totalement cryptées émises par un satellite, caractérisé en ce qu'il comprend : un moyen d'autorisation d'accès à une donnée cryptée reçue seulement si un profil P de l'utilisateur du terminal (10 ; 212) défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé ; un moyen de décryptage des données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées.
  9. 9. Terminal de réception de données multi-diffusées selon la revendication 8, caractérisé en ce qu'il comprend des moyens d'acquisition d'une matrice M codant les profils autorisé en fonction des thématiques de l'abonnement du terminal (10 ; 212), et le moyen d'acquisition comprend un moyen de décryptage de la matrice M d'abonnement reçu crypté.
  10. 10. Système sécurisé de multidiffusion de données comprenant un serveur source (15) de données, un satellite (3 ; 203) de diffusion de données, une station d'accès satellitaire (5 ; 205) interconnectée au serveur source (15) par une liaison terrestre, et des terminaux (10 ; 212) aptes à recevoir les données émises par le satellite (3 ; 203), la station d'accès satellitaire (5 ; 205) étant apte à émettre sur une voie montante d'une première liaison de données (8), des données au moins partiellement cryptées, le satellite (3 ; 203) étant apte à émettre des données cryptées reçues depuis la station d'accès (5 ; 205) dans sa zone géographique de couverture, les terminaux (10 ; 212) étant aptes à recevoir les données cryptées émises par le satellite associé (3 ; 203) ; caractérisé en ce que le terminal (10 ; 212) comprend : un moyen de stockage de profils d'abonnement autorisés d'au moins un utilisateur du terminal, un profil P d'abonnement étant défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques T prédéterminé, sous la forme d'un matrice M enregistré, un moyen d'autorisation d'accès à une donnée cryptée reçue seulement si il existe un profil P de l'utilisateur du terminal (10 ; 212) défini comme un sous-ensemble de thématiques sélectionné dans un ensemble de thématiques prédéterminé, pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé par la matrice M ; un moyen de décryptage des données autorisées à partir de la connaissance de jetons de thématiques correspondants aux thématiques autorisées, etun moyen de décryptage de la matrice M reçue cryptée suivant un cryptage prédéterminée, à partir de la connaissance d'un jeton de matrice associé à la matrice M cryptée.
  11. 11. Système sécurisé de multidiffusion de données selon la revendication 10, caractérisé en ce qu'il comprend au moins un serveur de données intermédiaire (208, 210, 5, 205), les serveurs intermédiaires formant depuis le serveur source de données (15) jusqu'aux terminaux (10 ; 212) une structure de diffusion de données hiérarchisée en arbre, et en ce que l'au moins un serveur intermédiaire (208, 210, 5, 205) comprend un moyen d'accès à une donnée cryptée reçue seulement si un profil de l'abonnement du serveur intermédiaire (208, 210, 5, 205) défini comme un sous-ensemble de thématiques sélectionnées dans un ensemble de thématiques prédéterminé, correspond à un profil pour lequel l'accès à la thématique T à laquelle appartient la donnée est autorisé et retransmettre par le serveur intermédiaire la donnée autorisée seulement.
FR1053816A 2010-05-18 2010-05-18 Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite Active FR2960374B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1053816A FR2960374B1 (fr) 2010-05-18 2010-05-18 Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1053816A FR2960374B1 (fr) 2010-05-18 2010-05-18 Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite

Publications (2)

Publication Number Publication Date
FR2960374A1 true FR2960374A1 (fr) 2011-11-25
FR2960374B1 FR2960374B1 (fr) 2013-02-08

Family

ID=43066021

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1053816A Active FR2960374B1 (fr) 2010-05-18 2010-05-18 Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite

Country Status (1)

Country Link
FR (1) FR2960374B1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005032026A2 (fr) * 2003-09-29 2005-04-07 Bamboo Mediacasting Ltd. Distribution de donnees multidestinations a des utilisateurs
WO2006000566A1 (fr) * 2004-06-24 2006-01-05 International Business Machines Corporation Controle d'acces dans un systeme multi-diffusion
EP1840779A1 (fr) * 2006-03-31 2007-10-03 Irdeto Access B.V. Procédé et dispositif d'accès conditionnel autorisé
EP2081350A1 (fr) * 2008-01-17 2009-07-22 Nokia Siemens Networks Oy Procédé et dispositif pour traiter des informations de contenus et d'accès multicast et système de communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005032026A2 (fr) * 2003-09-29 2005-04-07 Bamboo Mediacasting Ltd. Distribution de donnees multidestinations a des utilisateurs
WO2006000566A1 (fr) * 2004-06-24 2006-01-05 International Business Machines Corporation Controle d'acces dans un systeme multi-diffusion
EP1840779A1 (fr) * 2006-03-31 2007-10-03 Irdeto Access B.V. Procédé et dispositif d'accès conditionnel autorisé
EP2081350A1 (fr) * 2008-01-17 2009-07-22 Nokia Siemens Networks Oy Procédé et dispositif pour traiter des informations de contenus et d'accès multicast et système de communication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PILLAI P ET AL: "AAA framework for aeronautical passenger multicast communication", SATELLITE AND SPACE COMMUNICATIONS, 2009. IWSSC 2009. INTERNATIONAL WORKSHOP ON, IEEE, PISCATAWAY, NJ, USA, 9 September 2009 (2009-09-09), pages 130 - 134, XP031545969, ISBN: 978-1-4244-4384-0 *

Also Published As

Publication number Publication date
FR2960374B1 (fr) 2013-02-08

Similar Documents

Publication Publication Date Title
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
EP1867190B1 (fr) Gestion d'acces a des contenus multimedias
EP1916598A1 (fr) Méthode de chargement et de gestion d'une application dans un équipement mobile
EP1880547A1 (fr) Méthode d'accès conditionnel local pour équipements mobiles
EP1946552A2 (fr) Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
EP1454489A1 (fr) Protocole de controle du mode d acces a des donnees transmises en mode point a point ou point multi-point
EP3010162B1 (fr) Architecture d'un réseau de télécommunication
FR2835371A1 (fr) Procede et dispositif de transmission de message de gestion de titre d'acces
FR2831737A1 (fr) Procede et systeme de transmission avec controle d'acces de donnees numeriques embrouillees dans un reseau d'echange de donnees
EP2273786B1 (fr) Contrôle d'accès à un contenu numérique
US9405924B2 (en) Self-keyed protection of anticipatory content
FR2848764A1 (fr) Procede de controle d'acces en television numerique payante
FR2960374A1 (fr) Procede securise de multi-diffusion de donnees et systeme securise de muti-diffusion de donnees par satellite
EP1774774A1 (fr) Methode de mise a jour du logiciel resident dans differents appareils et appareils adaptes a se mettre a jour par la methode
EP1723791A1 (fr) Methode de securisation d'un evenement telediffuse
CN114374706B (zh) 一种基于分布式架构的内容安全管理方法
EP1590960B1 (fr) Methode de stockage et de transmission d'informations generees par un module de securite
EP1723790A1 (fr) Méthode de sécurisation d'un contenu chiffré transmis par un diffuseur
WO2004059976A2 (fr) Procede et systeme de securisation de donnees embrouiliees
EP2328316B1 (fr) Controle d'accès à un contenu numérique
WO2015189834A1 (fr) Distribution d'un contenu protégé par gestion des droits numériques (drm) à des postes d'utilisateur distribués
EP1470712A2 (fr) Protocole de commande a distance d une action locale de gene ration d un message d ordre
FR2758425A1 (fr) Systeme d'interfacage entre serveurs d'un editeur de prestations, et un serveur d'acces a un reseau de telediffusion, et entre ce reseau et un utilisateur
EP1633143A1 (fr) Procédé de gestion des conditions d'accès à un flux vidéo par un routeur / DSLAM, et routeur pour la mise en oeuvre de ce procédé
FR3052893A1 (fr) Procede pour la restitution d'un contenu multimedia chiffre

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14