METHODE DE TRANSMISSION DE MESSAGES DE GESTION DANS UN SYSTEME DE DIFFUSION PAR RESEAU IP
Domaine de l'invention
Cette invention est du domaine de la transmission de télévision numérique sur un réseau de type IP (Internet Protocol).
Etat de la technique
Dans un système de diffusion de données numériques à accès conditionnel, le flux numérique transmis vers les récepteurs/décodeurs des utilisateurs est encrypté afin de pouvoir en contrôler l'utilisation et de définir des conditions pour une telle utilisation. Cette encryption est réalisée grâce à des mots de contrôle (Control Words) qui sont changés à intervalle régulier (typiquement entre 5 et 30 secondes) afin de dissuader toute attaque visant à retrouver un tel mot de contrôle.
Il est à noter que ce flux peut être de la vidéo, de l'audio ou des données telles de des données financières par exemple.
Pour que le récepteur puisse décrypter le flux encrypté par ces mots de contrôle, ces derniers lui sont envoyés indépendamment du flux dans des messages de contrôle (ECM) encryptés par une clé propre au système de transmission entre un centre de gestion (CAS) et le module de sécurité du récepteur/décodeur. En effet, les opérations de sécurité sont effectuées dans une unité de sécurité (SC) qui est généralement sous la forme d'une carte à puce, réputée inviolable. Cette unité peut être soit de type amovible ou directement intégrée au récepteur.
Lors de la décryption d'un message de contrôle (ECM), il est vérifié, dans l'unité de sécurité (SC), que le droit pour accéder au flux considéré est présent. Ce droit peut être géré par des messages d'autorisation (EMM) qui chargent un tel droit dans l'unité de sécurité
(SC). D'autres possibilités sont également possibles tels que l'envoi de clés de décryptage.
La diffusion de données numériques à accès conditionnel est schématiquement divisée en trois modules. Le premier module est en charge de l'encryption des données numériques par des mots de contrôle CW et de la diffusion de ces données. Le deuxième module prépare des message de contrôle ECM contenant les mots de contrôle ainsi que les conditions d'accès et les diffuse à l'intention des utilisateurs.
Le troisième module quant à lui prépare et transmet les messages de gestion EMM qui sont en charge de définir les droits de réception dans les unités de sécurité connectées aux récepteurs.
Alors que les deux premiers modules sont indépendants des destinataires, le troisième module gère l'ensemble des utilisateurs et diffuse à l'intention d'un utilisateur, d'un groupe d'utilisateurs ou tous les utilisateurs.
L'une des préoccupations principales des concepteurs de ce type d'architecture est la bande passante. En effet, les débits actuellement disponibles sur réseau IP sont faibles en comparaison de ce que l'on peut obtenir par une réception par satellite. C'est pourquoi le réseau de diffusion est organisé selon une architecture en grappe, chaque branche étant reliée au niveau supérieur par un serveur de réseaux.
Entre le centre de gestion des utilisateurs connecté au sommet de cette architecture et un utilisateur, il y a généralement plusieurs sous réseaux en charge d'effectuer les taches décrites dans les deux premiers modules (diffusion du contenus encrypté et diffusion des messages ECM). Pour ce qui concerne le troisième module, seul le centre de gestion dispose des informations nécessaires pour préparer les
messages et gérer les utilisateurs. Néanmoins, ce centre n'a pas les moyens de savoir où se trouve l'utilisateur auquel il souhaite transmettre un tel message.
En effet, à chaque fois que le décodeur se connecte sur le réseau IP, une nouvelle adresse IP lui est attribuée et cette adresse IP n'a aucun lien avec l'utilisateur et son unité de sécurité.
Il ne reste plus qu'au centre de gestion à transmettre un message de gestion (EMM) à tous les sous-réseaux afin de pouvoir communiquer avec cet utilisateur. Cette manière de faire prétérite la bande passante d'autant qu'un tel message est répété plusieurs fois car le centre de gestion n'a pas les moyens pour savoir si ce message est bien parvenu à destination.
Le document WO01/97485 décrit un système comprenant un serveur recevant de données provenant d'un réseau public dont la destination est spécifiée par une adresse IP globalement unique. Le système convertit cette adresse IP en une nouvelle adresse IP non globalement unique dans un réseau privé. Le système comprend en outre un dispositif chargé d'acheminer les données vers une station de travail d'un utilisateur connectée audit dispositif et dont l'adresse est spécifiée par l'adresse IP non globalement unique. Le système convertit une adresse réseau de base en une adresse IP non globalement unique correspondant à l'adresse IP globalement unique. Un tel système permet l'extension d'un réseau public à travers un réseau à adresse privée afin de connecter un grand nombre d'ordinateurs à Internet tout en facilitant l'acheminement des données via le réseau à adresse privée.
Le document WO01/50688 décrit une méthode et un système pour accéder d'une manière transparente à des serveurs d'un réseau Intranet privé en spécifiant un nom. L'administration des accès réduite
au minimum est sécurisée avec des moyens de contrôle. Une connexion est établie entre un premier ordinateur d'un premier réseau et un second réseau d'ordinateurs via un troisième réseau à travers une passerelle agissant entre le second et le troisième réseau. Un utilisateur demande une connexion à partir du premier ordinateur vers le second en spécifiant un nom. Un numéro IP temporaire est retourné en réponse à la demande de connexion. Ce numéro est dirigé vers la passerelle à travers un tunnel. La passerelle administre le traitement des données de façon à ce que les données, adressées par le premier ordinateur au numéro IP temporaire et arrivant à travers le tunnel, soient dirigées vers le second ordinateur et que les données, venant du second ordinateur et destinées au premier, soient dirigées à travers le tunnel vers le premier ordinateur.
Le document US6374295 décrit une méthode et un système de gestion d'adresses IP dans un réseau et la synchronisation de la communication entre une base de données centralisée et un ou plusieurs serveurs. Un gestionnaire de serveurs joue le rôle d'une interface entre le ou les serveurs et la base de données. Le gestionnaire de serveurs traite les requêtes d'information de configuration et les mises à jours de configuration du ou des serveurs et les transmet à la base de données à travers un seul canal de communication. Les réponses aux requêtes reçues issues de la base de données sont retransmises aux serveurs concernés. Le gestionnaire de serveurs interroge périodiquement la base de données sur les modifications effectuées au réseau et transmet les modifications trouvées aux serveurs appropriés.
Description de l'invention
La présente demande propose une méthode pour réconcilier l'identification par adresse IP sur Internet avec la nécessité d'identifier
un décodeur sur lequel est connecté une unité de sécurité répondant à une adresse unique UA.
Cette méthode consiste à réconcilier l'adresse IPD d'un décodeur et l'adresse unique UA de son unité de sécurité dans un centre de gestion (CAS), ledit centre étant connecté à une pluralité de sous-réseaux, chacun de ces sous-réseaux étant administré par un serveur local disposant de sa propre adresse IPS, cette méthode comprenant les étapes suivantes:
- requête par un décodeur d'une adresse IPD sur le réseau Internet,
- communication entre le serveur local et le décodeur pour la transmission de l'adresse IP du décodeur IPD et de l'adresse UA de l'unité de sécurité,
- communication entre le serveur local et le centre de gestion pour la transmission de l'adresse IP du serveur local IPS et de l'adresse UA de l'unité de sécurité.
Cette méthode est modulable en fonction des différents intervenants entre le serveur local et le centre de gestion. A chaque étape, le serveur de niveau inférieur communique l'adresse UA de l'unité de sécurité avec sa propre adresse IP.
Au centre de gestion, l'on va disposer à chaque instant de l'adresse IP du plus proche serveur en association avec un adresse d'unité de sécurité.
Lorsqu'il faudra transmettre un message à destination de cette unité de sécurité, le centre de gestion ira retrouver dans sa base de données l'adresse IP du serveur intermédiaire en direction du décodeur. Ce serveur intermédiaire quant à lui dispose dans sa base de données d'une nouvelle adresse IP correspondant à cette adresse UA. Cette
dernière adresse IP servira à descendre d'un niveau le message à destination du décodeur jusqu'à ce que ce message arrive à destination.
Il se peut que des message de gestion EMM soient à transmettre à un décodeur alors que celui-ci n'est pas connecté sur le réseau. Ces messages sont mémorisés dans le serveur local jusqu'à ce que le décodeur soit reconnu dans le serveur local.
A ce moment, les messages accumulés lui sont envoyés et permet de mettre à jour l'unité de sécurité de ce décodeur.
Description des figures
L'invention sera mieux comprise grâce à la description détaillée qui va suivre et qui se réfère à la figure unique annexée qui est donnée à titre d'exemple nullement limitatif et qui décrit une architecture en grappe de diffusion de télévision sur réseau IP.
Sur la figure 1 , on trouve au sommet de la pyramide le centre de gestion CG avec sa base de données DB. Il est en charge de la gestion des abonnés, ou dans un système sans abonné, se charge de la gestion des crédits contenus dans les unités de sécurité SC de chaque utilisateur.
A un niveau inférieur, on trouve des serveurs intermédiaires SI qui ont également une base de données DB. Ces serveurs ont chacun la gestion d'un sous-réseau auquel peut être connecté plusieurs autres serveurs intermédiaires.
Selon l'exemple illustré, chaque serveur intermédiaire SI est connecté à plusieurs serveurs locaux SL.
Un serveur local SL est connecté à une pluralité de décodeurs DEC, chacun de ces décodeurs disposant d'une unité de sécurité SC. Cette
unité de sécurité est généralement amovible et il est possible qu'un utilisateur dispose de plusieurs de telles unités, voire déplace son unité vers un autre décodeur.
Selon un protocole connu, lorsqu'un décodeur DEC se connecte sur un réseau IP, le gestionnaire du réseau lui attribue une adresse IP.
Selon une première variante, le décodeur DEC envoie une requête vers le serveur local SL afin de recevoir le flux numérique encrypté et lui communique son adresse IP et son numéro unique UA.
Selon une seconde variante, le serveur local détecte la présence d'une nouvelle adresse IP sur son réseau et interroge ce nouvel interlocuteur. S'il s'agit d'un décodeur avec une unité de sécurité, cette dernière répondra en renvoyant son numéro unique UA.
Une fois cette opération de reconnaissance effectuée, le serveur local SL vérifie s'il dispose de messages à transmettre à destination de cette unité de sécurité et dans l'affirmative les envoie vers le décodeur DEC.
Parallèlement, le serveur local SL stocke le numéro unique UA et l'adresse IP dans sa base de données DB. Il peut également vérifier si cette adresse UA est déjà connue afin de détecter toute modification du cercle des utilisateurs de son réseau.
Ces informations comprenant le numéro unique UA et l'adresse IP du serveur local IPS sont transmises au niveau supérieur. Comme décrit précédemment, ces informations sont remontées jusqu'au centre de gestion.
A chaque niveau, le serveur concerné conserve une copie du numéro unique UA et de l'adresse IP du niveau inférieur.
Selon une forme de réalisation de l'invention, le numéro UA est remplacé par un identifiant ID qui représente le numéro UA encrypté par
l'unité de sécurité. La clé n'est connue que par les unités de sécurité et par le centre de gestion. Le numéro unique UA étant unique, l'identifiant ID correspondant à l'encryption de UA est également unique et constant pour un numéro unique considéré.
Toutes les opérations précédemment décrites sont effectuées par les différents serveurs sur l'identifiant ID en lieu et place du numéro UA. Ainsi lorsque ces informations arrivent au centre de gestion CG, il va décrypter l'identifiant ID pour retrouver l'adresse unique UA.
Cette configuration évite d'ouvrir la porte à la compréhension de données qui sont contenues dans l'unité de sécurité.