WO2006042932A1 - Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur - Google Patents

Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur Download PDF

Info

Publication number
WO2006042932A1
WO2006042932A1 PCT/FR2005/002495 FR2005002495W WO2006042932A1 WO 2006042932 A1 WO2006042932 A1 WO 2006042932A1 FR 2005002495 W FR2005002495 W FR 2005002495W WO 2006042932 A1 WO2006042932 A1 WO 2006042932A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
server
software applications
download
control server
Prior art date
Application number
PCT/FR2005/002495
Other languages
English (en)
Inventor
Fabien Lloansi
Original Assignee
Viaccess
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess filed Critical Viaccess
Priority to EP05809248A priority Critical patent/EP1803297A1/fr
Publication of WO2006042932A1 publication Critical patent/WO2006042932A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/637Control signals issued by the client directed to the server or network components
    • H04N21/6377Control signals issued by the client directed to the server or network components directed to server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • H04N21/818OS software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • H04N21/8193Monomedia components thereof involving executable data, e.g. software dedicated tools, e.g. video decoder software or IPMP tool
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17345Control of the passage of the selected programme

Definitions

  • the invention relates to the enabling control of the internal software of controlled access multimedia stream receiving terminals, in particular of pay television descrambler terminals / decoders.
  • a security processor such as a smart card integrated in the receiver or connected thereto.
  • This security processor controls access to the data processed by the receiver, typically by allowing or prohibiting the descrambling or decoding of this data according to the compliance of the receiver with access criteria attached to this data.
  • the security processor also makes it possible to verify the authorization of the receiving terminal to process the data, often by implementing an authentication procedure. If the security processor has verified that the terminal was enabled, it allows the execution of specific software applications to descramble / decode the media stream that receives the terminal. On the other hand, if the terminal is not enabled, the security processor inhibits the execution of the aforementioned software applications.
  • some terminals can decode the multimedia data (for example, decoding MPEG or other audiovisual data compression), provided that internal functions of decoding. Activation or inhibition of these decoding functions are conditioned in particular by checking the validity or invalidity, respectively, of the access rights associated with the terminal. Moreover, multimedia data such as audiovisual data may be deliberately entangled, prior to broadcast. The data descrambling functions at the terminal can then be activated or inhibited according to the verification of the validity or invalidity of the access rights associated with the terminal.
  • the terms "descrambling” and / or "decoding” denote functions whose execution or inhibition are conditioned by the validity or invalidity of the access rights.
  • the present invention intends to take advantage of these means of communication to remote servers, which are already equipped most receiver terminals, to substantially solve the problems encountered in the prior art and indicated above.
  • the terminal firstly proposes a method for controlling the authorization of at least one receiving terminal of a multimedia stream, in which the terminal is arranged: on the one hand, to communicate with at least one remote server by a bidirectional link, and - on the other hand, to receive a multimedia stream and descramble / decode this stream by the execution of specific software applications.
  • the aforementioned remote server is a download control server of the aforementioned software applications to the terminal.
  • the method according to the invention then comprises the following steps: a) storing device authorization information is stored at the download control server and at the terminal, b) when the terminal is turned on, the terminal automatically establishes a connection to the download control server, c) the download control server retrieves at least a portion of the authorization information stored at the terminal and verifies a match with the authorization information stored with the server, and d) at least based on this check by the control server download, the latter authorizes or not a download to the terminal specific software applications for descrambling / decoding the multimedia stream.
  • the present invention then offers many advantages.
  • the download conditions are set by the operator responsible for the aforementioned server. These conditions may therefore change over time according to the wish of the operator.
  • the download conditions are defined in the receiving terminal, and can not evolve.
  • the step of downloading the applications can be used to obtain information on the terminals, such as statistics on their configuration and their use.
  • the operator can control downloads, including the number of downloads for the same terminal, make for example, audience measurement, evaluating the migration of security processors (for example in the form of smart cards) on a fleet of terminals, or others.
  • the server comprises a database storing authorization information of several terminals and terminal-specific software applications, in correspondence of at least respective terminal identifiers, for the management of the terminal. a fleet of receiving terminals available to users.
  • the server preferably transmits to the terminal a new version of the software applications most suitable for this terminal, if necessary.
  • the most suitable version may be the version that is available from the server and is the most recent, depending on the modernity of the terminal.
  • the software applications include at least one operating system (or "Operating System” in English) for the terminal computer resources.
  • the aforementioned software applications include an application for descrambling / decoding the multimedia stream.
  • the terminal stores, in step d), the software applications downloaded from the server to a volatile memory, each startup of the terminal, typically during a power up.
  • none of said applications is resident in the terminal.
  • all the descrambling / decoding software applications used by the terminals are checked, with a risk of fraud practically nil.
  • the terminal stores the software applications received from the download control server in a permanent memory, typically in a flash memory or E2Prom. It will thus be understood that, in this embodiment, the downloading of the software applications is not systematic but is preferably performed for an update of the applications.
  • the download control server can also check consistency with the terminal of the software application version which is stored in the permanent memory of the terminal.
  • the server can archive, typically in the database storing the authorization information of the terminals, the versions that should be installed at the different terminals.
  • a terminal connects to the download control server to signify to the server the version that he has in memory.
  • the download control server then archives a reference of the version stored in this terminal, preferably in an appropriate database. Then, during the following connections, the download control server reads the version actually installed and compares it with the version archived in its database.
  • the control server can further verify a consistency of the version of the software applications that is stored in the permanent memory of the terminal.
  • the download control server can transmit to the terminal a blocking order of the terminal or, if necessary, update the installed version.
  • the download control server advantageously transmits to the terminal this new version of the software applications.
  • the aforementioned entitlement information includes authentication data.
  • the download control server authenticates the terminal by a procedure implementing on the one hand a public key provided by the terminal and on the other hand a corresponding private key derived from the stored data. from the server.
  • the method provides mutual authentication of the download control server and the terminal, by a procedure implementing, via the bidirectional link, the public keys of the terminal and the server and the respective private keys, derived from the data stored at the terminal. server and terminal.
  • the terminal preferably comprises a security processor in which initially stores data d 1 authentication vis-à-vis terminal of the download control server.
  • a smart card can be provided as a security component installed at the terminal to improve the security of the download.
  • the physical structure is thus essentially preserved.
  • the method also provides a procedure for verifying the integrity of the software application data transmitted to the terminal, preferably with a verification of the authenticity of the issuer of the software application data.
  • the respective computer programs are initially stored in the terminal, on the one hand, and from the download control server, on the other hand, in permanent memory.
  • These programs essentially allow:
  • the following initial steps are preferably provided: al) the computer resource terminal is equipped to read a start-up routine, a2) a startup routine is provided that includes at least one connection instruction from the terminal to the server , a3) and this startup routine is stored in a permanent memory of the terminal.
  • the present invention relates to a computer program product, intended to be stored in a permanent memory of a receiving terminal, and thus comprising a start-up routine of the terminal, for the implementation of all or part of the process steps according to the invention.
  • the IT resource server is equipped to read a software application download routine to the terminal, a'2) a download routine including at least one terminal enabling verification instruction is provided; 3) and stores this download routine in a permanent memory of the server.
  • the present invention also aims a computer program product, now intended to be stored in a permanent memory of a software application download control server for descrambling / decoding a multimedia stream, and thus comprising a download software application control routine, for the implementation of all or part of the steps of the method according to the invention.
  • the present invention is advantageously applicable to the distribution of multimedia content, including pay television content, over a bidirectional broadband network (broadband network), allowing content to be delivered beyond the broadband network.
  • a bidirectional broadband network broadband network
  • simple broadcast of television signals on a mono-directional network or "broadcast network” in English terms).
  • the above-mentioned distribution of the multimedia contents can be carried out in "point-to-point” (or “peer-to-peer”) mode.
  • the present invention also aims at such an application of the method within the meaning of the invention.
  • the present invention also aims at an authorization control system for downloading software applications, in particular for descrambling / decoding a multimedia stream such as an audiovisual television stream, comprising at least:
  • a receiving terminal firstly connected to the download control server via a bidirectional link for downloading said software applications, and furthermore arranged to receive the multimedia stream and to descramble / decode this stream by running the software applications above.
  • the terminal of the system within the meaning of the invention comprises computer resources for: storing first terminal authorization information,
  • a startup computer program comprising at least one automatic connection instruction to the server when the terminal is powered up.
  • the download control server of the system within the meaning of the invention comprises computer resources for: storing second terminal authorization information, storing and reading a software program for downloading software applications comprising at least: a read instruction of the first and second enabling information, a consistency check test between the first and second enabling information, and a instruction for downloading software applications, conditioned at least by said test.
  • the first and second enabling information respectively comprise first and second authentication data.
  • the terminal startup program includes at least one instruction to train and communicate to the server authentication data terminal by a procedure implementing a public key derived raw data 1 authentication.
  • the server download program includes at least one instruction for verifying the authentication data of the terminal by a procedure implementing a private key derived from the second authentication data.
  • the aforementioned test may then comprise a consistency check instruction between the public key and the private key, in the manner of a conventional cryptographic authentication procedure.
  • RSA for "Rivest Shamir Adleman”
  • the startup programs of the terminal and server download advantageously comprise homologous authentication instructions, with exchange and verification of consistency of authentication data obtained by one .
  • the bidirectional link between the terminal and the download control server is preferably of type xDSL (for "Digital Subscriber Line"). It will be understood, however, that the present invention can be adapted to any other bidirectional network technology.
  • the present invention also relates to the receiver terminal of the system within the meaning of the invention.
  • FIG. 1 represents an exemplary architecture of the system within the meaning of the invention
  • FIG. 2a schematically represents the elements of a download control and authorization control server within the meaning of the invention
  • FIG. 2b diagrammatically represents the structure of a receiver terminal in the sense of the invention
  • FIG. 3 schematically represents the structure of a flash memory of the terminal, according to a particular embodiment of the invention.
  • FIG. 4 represents a preferred embodiment of the different steps carried out by a method within the meaning of the invention.
  • FIG. 1 We first refer to Figure 1 to describe the system within the meaning of the invention, in the architecture of a digital television network, in the example shown.
  • the system comprises a bidirectional network 3 for connecting a receiving terminal 4 to a server 2 for downloading control and enabling control of the terminal.
  • the terminal 4 and this server 2 are connected by a bidirectional link 81-82.
  • the present invention provides the control of the start-up of a digital television receiver terminal 4, as well as the secure and adapted downloading from the terminal 4 of a software application version, in particular for the descrambling / decoding.
  • the terminal connected to the network 3 makes a connection to the download control server 2.
  • the control server 2 retrieves information present on the terminal 4 and the security processor 6.
  • the control server 2 analyzes this information and allows or not the continuation of the startup process.
  • the criteria that make it possible to define whether a receiving terminal is authorized or not to continue the start-up sequence are advantageously modifiable with the control server 2 to allow maximum flexibility.
  • the server 2 can authorize or not the download of a version of the software applications to the receiving terminal.
  • the server 2 advantageously stores all the information in order to perform statistics on the receiving terminals present on the network 3.
  • the complete start-up of the terminal then makes it possible to access the television programs broadcast for example by another server with the reference 1 in Figure 1, which, he, ensures the distribution of multimedia content, with, for example, a broadcast of audiovisual television programs.
  • this multimedia distribution server 1 broadcasts the television programs (arrow I) 1 via the network 3 in the example shown.
  • This server 1 is managed by the operator who broadcasts the programs.
  • This multimedia distribution server 1 may or may not be distinct from the download control server 2 within the meaning of the invention.
  • control server 2 carries out the control of the receiver terminal 4 and, more particularly, the possible download of the software applications, in particular descrambling / decoding.
  • the equipment 2 is hereinafter called “download control server”. This server 2 is managed by the operator and / or the access control provider.
  • the system within the meaning of the invention may include several terminals 4, receiving the multimedia stream 7, for example containing the digital television data to be descrambled / decoded.
  • the system within the meaning of the invention may include several terminals 4, receiving the multimedia stream 7, for example containing the digital television data to be descrambled / decoded.
  • the download control server 2 comprises: one or more security processors 5 to ensure the security of the connection and the download to the terminal,
  • a database 21 for storing, in particular, authorization data of a plurality of receiving terminals 4, in correspondence of respective identifiers, in order to advantageously manage an entire pool of terminals available to users,
  • processing means such as a processor 22 for implementing computer program instructions which will be detailed below, and
  • Memory 23 (permanent, for example ROM type, and / or working, for example RAM type) for storing and executing program instructions.
  • download control server 2 comprises computer resources for:
  • control server 2 executes a program implementing an authentication algorithm, preferentially mutual, between the control server 2 and the terminal receiver 4, for example using a cryptographic algorithm implementing public keys and private keys,
  • a black list of the unique identifiers of the unauthorized security processors (corresponding, for example, to stolen or pirated smart cards), and
  • the download control server 2 can then perform the following actions:
  • CHECKSUM on an application is a integrity guarantee routine consisting for example in calculating the sum of the bytes that make up this application (so-called "control" sum), in particular to check the integrity of the application. a file or block of data corresponding to or used in this application.
  • the general architecture of a digital television receiver terminal 4 within the meaning of the invention comprises:
  • processing means such as a processor 14, connected by a bus 13 to memories 15 to 18 (directly addressable by the processor 14), a non-volatile, non-volatile read-only memory, which may be of type ROM, referenced 15 in Figure 2b and typically for storing a startup program of the terminal,
  • a volatile random-access memory for example of the RAM type, referenced 16 in FIG. 2b and intended in particular for the execution of the programs and the manipulation of the data, as working memory,
  • a permanent, non-volatile and re ⁇ programmable memory for example of the flash type 17 and / or of the E2PROM type 18, containing terminal configuration and / or security parameters.
  • the software applications downloaded from the control server 2 can be stored in RAM 16, in a first mode of realization, or in permanent memory 17 or 18, in a second embodiment, as will be seen later.
  • the download of the descrambling / decoding software applications is performed at each startup (or power on) of the terminal.
  • the terminal then executes these descrambling / decoding applications from a volatile memory 16.
  • FIG. 3 shows the structure of a flash memory 17, according to this second embodiment in which provision is made a download in permanent memory.
  • the flash memory 17 includes a non-rewritable portion 171 ("OTP" memory) for storing all or part of the instructions of the terminal startup program.
  • the second part 172 is a rewritable zone intended typically for storing software applications (APPL) downloaded from the server 2.
  • the software applications that can be downloaded include an operating system (or "OS” for “Operating System”) responsible for managing the use of terminal resources by these applications.
  • OS operating system
  • the last version of the operating system OS is preferably stored in the rewritable zone 172 of the flash memory 17.
  • startup program can be stored in ROM 15 and / or in permanent memory 17 or 18.
  • This boot program (or "boot” in English word) ensures:
  • drivers for controlling the only hardware components (processor, memory, interface with the security processor, or other) necessary for the connection, the authorization check and the download,
  • connection configuration (parameterized according to main parameters to connect to the download control server 2, as well as fallback parameters allowing a connection to other control servers in case of failure of the communication with the control server; server 2)
  • an asymmetric algorithm implementing a private key, here to verify the signature of the version of the downloaded software applications, and hence the integrity of the downloaded data, as well as the authenticity of the sender of said data, and
  • the terminal memory also stores a unique identifier of the terminal, called for example "STB-id” in the case where the receiving terminal is a descrambler / decoder terminal of an "STB" type audiovisual stream (for "Set Top Box”). "). It is however indicated that, alternatively, the receiving terminal may consist of a lounge computer or a laptop, to which respective unique identifiers are assigned.
  • the terminal 4 further comprises:
  • an interface 10 with the network 3 (for example an xDSL modem interface) making it possible in particular to exchange data with the servers 1 and 2,
  • a demultiplexer / descrambler 11 providing the data separation functions (audio, video, interaction data, private data, and others),
  • a security processor 6 such as a smart card to ensure the security of the connection to the server 2 and the security of downloading applications.
  • the security processor 6 is connected to the terminal 4 by an input / output module 19.
  • the user of the terminal can act on the functions of the terminal via a man / machine interface 20 connected to the aforementioned module 19.
  • the interface 20 may comprise for example a remote control and a data display on the television screen.
  • each security processor ⁇ comprises:
  • UA for "Unique Address"
  • a re-programmable non-volatile memory for storing information such as a confidential code, access rights to the programs, or others.
  • FIG. 4 shows, on the left-hand side, the steps taken by the terminal 4 and, on the right-hand side, the steps carried out by the download control server 2.
  • the startup program takes over, initializes the hardware components and executes a computer routine in the sense of the invention which preferably takes place as follows.
  • step 30 this program controls the xDSL modem of the terminal to send a connection request to the control server 2. It uses for this purpose the memorized connection parameters, mentioned above.
  • the control server 2 if it accepts it, establishes the connection with the terminal 4.
  • the control server 2 can advantageously store the time and the address of the terminal.
  • the program tests whether the connection succeeded (arrow "ok") or failed (arrow "ko"). In case of failure of the connection to the main server 2 or to the fallback servers as indicated above, the program proceeds to the error handling step 52, described below.
  • step 33 the program verifies the presence of the security processor 6, for example by resetting (or "resetting") it.
  • the program proceeds to the error-handling step 52. Otherwise (arrow ok), it proceeds to the next step 35, corresponding to the step 36 implemented by the server 2 and consisting of allowing the authentication of the terminal by the server or to verify their mutual authentication with the help of the security processor 6 of the terminal 4 and the security processor 5 of the control server 2. As indicated above, this authentication can be conducted by using public keys and respective private keys.
  • step 54 If this authentication step has failed (in test 37), the program proceeds to step 52. In addition, in case of failure of the peer authentication test 38 conducted with the control server 2, the server 2 stores the negative result of the authentication in step 49.
  • the terminal retrieves and transmits to the server 2, in step 39, the information relating to, and not exhaustively:
  • the unique identifier of the terminal for example of the STB-id type
  • security processor 6 program access rights, confidential access code, or other
  • terminal 4 and / or the security processor are initially allocated.
  • control server 2 retrieves, in step 40, the information transmitted to it by the terminal and stores it.
  • server can then carry out statistics on each terminal, including for example the total number of downloads since it was put into service, the average number of terminal starts per day, the number of security processors used by a terminal, or others.
  • step 41 the control server 2 verifies that the received information is consistent.
  • the control server 2 verifies that the received information is consistent.
  • the unique identifier of the terminal must not be blacklisted, the unique identifier of the security processor and the unique identifier of the terminal go together,
  • the access rights derived from the security processor are coherent, the other security information is coherent,
  • the version of the software applications stored in permanent memory in the terminal in the second aforementioned embodiment, must be consistent with the data in the base of the control server 2.
  • control server 2 proceeds to the error storing step 49, then to the disconnected state with the "DECONNECT KO" anomaly bearing the reference 50.
  • the server 2 performs the download in the terminal of the version best adapted to the terminal (steps 44 and 45); it will be understood that in this first mode, steps 42 and 43 are not executed because the download is to be done systematically, - in the second embodiment of the invention (applications stored in permanent memory), 5 002495
  • control server 2 checks whether to download a new version of the software applications, for example by comparing a received version number with a version number of the software applications available on the server 2.
  • the server 2 informs the terminal 4 that no download is to be made (step 43) and goes to the disconnection step without fault 60. For its part, the receiving terminal 4 also proceeds to the step 56 of disconnection without anomaly.
  • the server 2 informs the terminal (step 43) of the future download of the new version and, at the step 45, the terminal receives this new version.
  • step 44 in which the control server 2 sends the available and best adapted version of the software applications to the terminal, as well as the value of the CHECKSUM and a digital signature of the corresponding file.
  • step 45 the terminal receives in RAM 16 this new version and, in step 46, verifies the aforementioned digital signature using a private key provided for this purpose and the aforementioned asymmetric algorithm.
  • step 47 if the signature is not correct, the terminal proceeds to the error step 52. Otherwise, in step 48, the terminal checks the value of the CHECKSUM by calculating the CHECKSUM then by comparison with compared to the value sent.
  • test 53 if the value of the CHECKSUM is not correct, the terminal proceeds to step 52. Otherwise, the terminal saves the downloaded software applications in permanent memory 17, only in the second embodiment mentioned above, at the same time. step 54 (shown for this purpose in dashed lines in Figure 4).
  • step 55 the terminal 4 informs the control server 2 that the download operation has proceeded correctly and, in step 56, it receives the authorization to execute the software applications E. Then, the terminal 4 and the server 2 can proceed to respective steps 56 and 60 disconnection without abnormality.
  • the terminal can then implement the software applications allowing in particular the descrambling / decoding of the received multimedia stream.
  • the terminal preferentially executes the step 52 of warning the server 2 of an error and displaying an alarm message, for example on the screen of the television set of the subscriber, to prevent it.
  • the terminal then disconnects from the server (step 57) and then hangs (step 58).
  • the user must preferentially reset the terminal, in this case.
  • step 49 consisting of an error storage, followed by a step 50 of disconnection.

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne le contrôle d'habilitation d'un terminal récepteur de télévision (4), qui communique avec un serveur (2) distant par une liaison bidirectionnelle (81-82), et reçoit par ailleurs un flux multimédia encodé. Dans l'invention, on stocke des informations d'habilitation du terminal auprès du serveur et auprès du terminal. Ainsi, à la mise sous tension du terminal, le terminal établit automatiquement une connexion vers le serveur, lequel récupère au moins une partie des informations d'habilitation stockées dans le terminal et vérifie une concordance avec les informations d'habilitation stockées auprès du serveur. En fonction de cette vérification, le serveur autorise ou non un téléchargement, vers le terminal, des applications logicielles pour le décodage du flux multimédia.

Description

Procédé et installation de contrôle d'habilitation du logiciel interne d'un terminal récepteur
L'invention concerne le contrôle d'habilitation du logiciel interne de terminaux récepteurs de flux multimédia à accès contrôlé, notamment de terminaux désembrouilleurs/décodeurs de télévision payante.
Dans les terminaux récepteurs de données multimédias, notamment de données de télévision payante, on prévoit habituellement un processeur de sécurité (tel qu'une carte à puce), intégré dans le récepteur ou connecté à celui-ci. Ce processeur de sécurité contrôle l'accès aux données traitées par le récepteur, typiquement en autorisant ou interdisant le désembrouillage ou le décodage de ces données selon la conformité du récepteur à des critères d'accès attachés à ces données. Le processeur de sécurité permet en outre de vérifier l'habilitation du terminal récepteur à traiter les données, souvent en mettant en œuvre une procédure d'authentification. Si le processeur de sécurité a bien vérifié que le terminal était habilité, il autorise l'exécution d'applications logicielles spécifiques permettant de désembrouiller/décoder le flux multimédia que reçoit le terminal. En revanche, si le terminal n'est pas habilité, le processeur de sécurité inhibe l'exécution des applications logicielles précitées.
On indique que certains terminaux peuvent décoder les données multimédias (par exemple mener un décodage en compression de données audiovisuelles au format MPEG ou autre) à condition d'activer des fonctions internes de décodage. L'activation ou l'inhibition de ces fonctions de décodage sont conditionnées notamment par la vérification de la validité ou de l'invalidité, respectivement, des droits d'accès associés au terminal. Par ailleurs, des données multimédias telles que des données audiovisuelles peuvent être volontairement embrouillées, préalablement à la diffusion. Les fonctions de désembrouillage des données, auprès du terminal, peuvent être alors activées ou inhibées selon la vérification de la validité ou de l'invalidité des droits d'accès associés au terminal. Ci- après, on désignera indistinctement par les termes "désembrouillage" et/ou "décodage" les fonctions dont l'exécution ou l'inhibition sont conditionnées par la validité ou l'invalidité des droits d'accès.
Les terminaux, ainsi que les processeurs de sécurité qu'ils comportent, à disposition des usagers, ne se sont pas toujours avérés inviolables et des fraudes (notamment par falsification des codes d'authentification par des usagers malveillants) sont toujours possibles.
De plus, il est souvent difficile, pour les opérateurs fournisseurs de contenus, de contrôler le parc des terminaux à disposition des usagers, ainsi que les versions (autorisées ou, au contraire, pirates) des applications logicielles installées dans les terminaux.
Par ailleurs, avec le développement récent des applications multimédias interactives, notamment en contexte de télévision payante, nombreux sont aujourd'hui les terminaux équipés d'une voie de retour vers un .ou plusieurs serveur (s) distant (s) . Plus particulièrement, une liaison totalement bidirectionnelle entre serveur et terminal, par exemple de type xDSL (pour "Digital Subscriber Une"), s'est avérée avantageuse dans certaines applications récentes. Une telle liaison bidirectionnelle est à distinguer d'une simple voie de retour classique, par exemple de type RTC/IP.
La présente invention entend tirer parti de ces moyens de communication vers des serveurs distants, dont sont déjà équipés la plupart des terminaux récepteurs, pour résoudre substantiellement les problèmes rencontrés dans l'art antérieur et indiqués ci-avant.
A cet effet, elle propose d'abord un procédé de contrôle d'habilitation d'au moins un terminal récepteur d'un flux multimédia, dans lequel le terminal est agencé : - d'une part, pour communiquer avec au moins un serveur distant par une liaison bidirectionnelle, et - d'autre part, pour recevoir un flux multimédia et désembrouiller/décoder ce flux par l'exécution d'applications logicielles spécifiques.
Au sens de l'invention, le serveur distant précité est un serveur de contrôle de téléchargement des applications logicielles précitées vers le terminal .
Le procédé selon l'invention comporte alors les étapes suivantes : a) on stocke des informations d'habilitation du terminal auprès du serveur de contrôle de téléchargement et auprès du terminal, b) à la mise sous tension du terminal, le terminal établit automatiquement une connexion vers le serveur de contrôle de téléchargement, c) le serveur de contrôle de téléchargement récupère au moins une partie des informations d'habilitation stockées auprès du terminal et vérifie une concordance avec les informations d'habilitation stockées auprès du serveur, et d) au moins en fonction de cette vérification faite par le serveur de contrôle de téléchargement, ce dernier autorise ou non un téléchargement vers le terminal des applications logicielles spécifiques pour le désembrouillage/décodage du flux multimédia.
Ainsi, on comprendra que l'autorisation de télécharger les applications logicielles de désembrouillage/décodage est donnée au niveau du serveur de contrôle de téléchargement, et non plus au niveau du terminal récepteur comme dans la technique de l'art antérieur.
La présente invention offre alors de nombreux avantages.
Elle offre déjà une possibilité d'évolution du contrôle d'habilitation dans la mesure où les conditions de téléchargement, basées sur les informations d'habilitation présentes dans le terminal, sont fixées par l'opérateur responsable du serveur précité. Ces conditions peuvent donc évoluer dans le temps selon le souhait de l'opérateur. Or, dans la technique de l'art antérieur, les conditions de téléchargement sont définies dans le terminal récepteur, et ne peuvent plus évoluer.
Ainsi, alors que le téléchargement d'une éventuelle nouvelle version des applications logicielles de désembrouillage/décodage était soumis, dans l'art antérieur, à des règles de sécurité qui dépendaient uniquement du terminal (notamment de son processeur de sécurité) , ces règles de sécurité peuvent ne plus être figées pour chaque terminal et peuvent évoluer dans le temps, grâce à la mise en œuvre du procédé selon l'invention. En effet, en déportant les fonctions d'habilitation vers un serveur de contrôle de téléchargement distant, dédié notamment au contrôle d'habilitation des terminaux, il suffit de mettre à jour ces règles de sécurité directement auprès de ce serveur, sans avoir à intervenir auprès des terminaux. On comprendra donc que l'opérateur responsable des contrôles d'habilitation effectués par le serveur de contrôle de téléchargement peut mettre à jour les applications logicielles et/ou les règles de sécurité en une seule intervention sur ce serveur.
Par ailleurs, l'étape de téléchargement des applications peut être mise à profit pour obtenir des informations sur les terminaux, telles que des statistiques sur leur configuration et leur utilisation. En effet, on comprendra que, par la mise en œuvre du procédé selon l'invention, l'opérateur peut contrôler les téléchargements, notamment le nombre de téléchargements pour un même terminal, faire par exemple de la mesure d'audience, évaluer la migration des processeurs de sécurité (par exemple sous forme de cartes à puces) sur un parc de terminaux, ou autres.
Ainsi, dans un mode de réalisation avantageux, le serveur comporte une base de données stockant des informations d'habilitation de plusieurs terminaux et des applications logicielles spécifiques aux terminaux, en correspondance d'au moins des identifiants respectifs de terminaux, pour la gestion d'un parc de terminaux récepteurs à disposition d'usagers.
Pour assurer une mise à jour régulière des applications logicielles de désembrouillage/décodage auprès des terminaux, à l'étape d) , le serveur transmet préférentiellement au terminal une nouvelle version des applications logicielles la plus adaptée à ce terminal, le cas échéant. Par exemple, la version la plus adaptée peut être la version qui est disponible auprès du serveur et qui est la plus récente, selon la modernité du terminal.
Dans un mode de réalisation particulier, les applications logicielles comportent au moins un système d' exploitation (ou "Operating System" en vocable anglo-saxon) des ressources informatiques du terminal.
Avantageusement, les applications logicielles précitées comportent une application pour le désembrouillage/décodage du flux multimédia. Dans un premier mode de réalisation, le terminal stocke, à l'étape d) , les applications logicielles téléchargées du serveur dans une mémoire volatile, à chaque démarrage du terminal, typiquement lors d'une mise sous tension. De façon particulièrement avantageuse, aucune desdites applications n'est résidente dans le terminal. On contrôle ainsi, à partir du serveur de contrôle de téléchargement distant, toutes les applications logicielles de désembrouillage/décodage utilisées par les terminaux, avec un risque de fraude pratiquement nul.
Dans un second mode de réalisation, le terminal stocke les applications logicielles reçues du serveur de contrôle de téléchargement dans une mémoire permanente, typiquement dans une mémoire flash ou E2Prom. On comprendra ainsi que, dans ce mode de réalisation, le téléchargement des applications logicielles n'est pas systématique mais s'effectue de préférence pour une mise à jour des applications.
Avantageusement, dans ce second mode de réalisation, le serveur de contrôle de téléchargement peut vérifier en outre une cohérence avec le terminal de la version des applications logicielles qui est stockée dans la mémoire permanente du terminal. A cet effet, le serveur peut archiver, typiquement dans la base de données stockant les informations d'habilitation des terminaux, les versions qui devraient être installées auprès des différents terminaux. Préférentiellement, lors de sa première mise en service, un terminal se connecte au serveur de contrôle de téléchargement pour signifier audit serveur la version qu'il a en mémoire. Le serveur de contrôle de téléchargement archive alors une référence de la version enregistrée dans ce terminal, préférentiellement dans une base de données appropriée. Ensuite, pendant les connexions suivantes, le serveur de contrôle de téléchargement lit la version effectivement installée et la compare avec celle archivée dans sa base de données.
Ainsi, on comprendra que, avantageusement, le serveur de contrôle peut vérifier en outre une cohérence de la version des applications logicielles qui est stockée dans la mémoire permanente du terminal. En particulier, si la version installée diffère de celle archivée, le serveur de contrôle de téléchargement peut transmettre au terminal un ordre de blocage du terminal ou, le cas échéant, mettre à jour la version installée. En particulier, si une version plus appropriée doit remplacer celle stockée dans le terminal, le serveur de contrôle de téléchargement transmet avantageusement au terminal cette nouvelle version des applications logicielles.
Dans une réalisation préférée, les informations d'habilitation précitées comportent des données d'authentification. Dans cette réalisation, à l'étape c) , le serveur de contrôle de téléchargement authentifie le terminal par une procédure mettant en œuvre d' une part une clé publique fournie par le terminal et d'autre part une clé privée correspondante tirée des données stockées auprès du serveur. Préférentiellement, le procédé prévoit une authentification mutuelle du serveur de contrôle de téléchargement et du terminal, par une procédure mettant en œuvre, via la liaison bidirectionnelle, les clés publiques du terminal et du serveur et les clés privées respectives, tirées des données stockées auprès du serveur et du terminal.
A cet effet, le terminal comporte avantageusement un processeur de sécurité dans lequel on stocke initialement les données d1authentification du terminal vis-à-vis du serveur de contrôle de téléchargement. On peut prévoir typiquement une carte à puce, en tant que composant de sécurité, installée auprès du terminal, afin d'améliorer la sécurité du téléchargement. Avantageusement, on conserve ainsi, pour l'essentiel, la structure physique
{hardware) classique des terminaux récepteurs existants et qui utilisent déjà ce type de processeurs de sécurité.
Préférentiellement, on prévoit aussi un processeur de sécurité sensiblement homologue auprès du serveur de contrôle de téléchargement pour qu'il assure le contrôle d'habilitation.
Avantageusement, le procédé prévoit en outre une procédure de vérification d'intégrité des données d'applications logicielles transmises au terminal, avec, de préférence, une vérification d'authenticité de l'émetteur des données d'applications logicielles.
Avantageusement, on stocke initialement des programmes informatiques respectifs dans le terminal, d'une part, et auprès du serveur de contrôle de téléchargement, d'autre part, en mémoire permanente. Ces programmes permettent essentiellement :
- d'établir d'abord une communication entre le serveur de contrôle de téléchargement et le terminal,
- vérifier, côté serveur de contrôle, l'habilitation du terminal, et, côté terminal, télécharger éventuellement les applications logicielles précitées.
Ainsi, pour le terminal, on prévoit préférentiellement les étapes initiales suivantes : al) on équipe le terminal de ressources informatiques pour lire une routine de démarrage, a2) on prévoit une routine de démarrage incluant au moins une instruction de connexion du terminal vers le serveur, a3) et on stocke cette routine de démarrage dans une mémoire permanente du terminal .
A ce titre, la présente invention vise un produit programme informatique, destiné à être stocké dans une mémoire permanente d'un terminal récepteur, et comportant ainsi une routine de démarrage du terminal, pour la mise en œuvre de tout ou partie des étapes du procédé selon 1' invention.
Pour le serveur, on prévoit préférentiellement les étapes initiales suivantes : a'I) on équipe le serveur de ressources informatiques pour lire une routine de téléchargement d'applications logicielles vers le terminal, a'2) on prévoit une routine de téléchargement incluant au moins une instruction de vérification d'habilitation du terminal, a'3) et on stocke cette routine de téléchargement dans une mémoire permanente du serveur.
A ce titre, la présente invention vise aussi un produit programme informatique, destiné maintenant à être stocké dans une mémoire permanente d'un serveur de contrôle de téléchargement d'applications logicielles pour le désembrouillage/décodage d'un flux multimédia, et comportant ainsi une routine de contrôle de téléchargement d'applications logicielles, pour la mise en œuvre de tout ou partie des étapes du procédé selon l'invention.
La présente invention s'applique avantageusement à la distribution de contenus multimédias, notamment de contenus de télévision payante, sur un réseau bidirectionnel à large bande (de l'anglais "broadband network"), permettant une délivrance de contenus allant au-delà de la simple diffusion de signaux de télévision sur un réseau mono-directionnel (ou "broadcast network" en vocable anglo-saxon) .
A titre d'exemple non limitatif, la distribution précitée des contenus multimédias peut s'effectuer en mode "point à point" (ou "peer-to-peer") . A ce titre, la présente invention vise aussi une telle application du procédé au sens de l'invention. •
La présente invention vise aussi un système de contrôle d'habilitation pour le téléchargement d'applications logicielles, notamment pour le désembrouillage/décodage d'un flux multimédia tel qu'un flux audiovisuel de télévision, comportant au moins :
- un serveur de contrôle de téléchargement desdites applications logicielles, et
- un terminal récepteur, d'une part relié au serveur de contrôle de téléchargement par une liaison bidirectionnelle pour télécharger lesdites applications logicielles, et agencé d'autre part pour recevoir le flux multimédia et désembrouiller/décoder ce flux par l'exécution des applications logicielles précitées.
Le terminal du système au sens de l'invention comporte des ressources informatiques pour : - stocker des premières informations d'habilitation du terminal,
- stocker et lire un programme informatique de démarrage comportant au moins une instruction de connexion automatique vers le serveur lors de la mise sous tension du terminal.
De son côté, le serveur de contrôle de téléchargement du système au sens de l'invention comporte des ressources informatiques pour : - stocker des secondes informations d'habilitation du terminal, - stocker et lire un programme informatique de téléchargement des applications logicielles comportant au moins : o une instruction de lecture des premières et secondes informations d'habilitation, o un test de vérification de cohérence entre les premières et secondes informations d'habilitation, o et une instruction de téléchargement des applications logicielles, conditionnée au moins par ledit test.
Dans la réalisation préférée où une authentification du terminal est menée, les premières et secondes informations d'habilitation comportent respectivement des premières et secondes données d' authentification. Le programme de démarrage du terminal comporte au moins une instruction pour former et communiquer au serveur des données d' authentification du terminal par une procédure mettant en œuvre une clé publique tirée des premières données d1authentification. Le programme de téléchargement du serveur comporte au moins une instruction pour vérifier les données d'authentification du terminal par une procédure mettant en œuvre une clé privée tirée des secondes données d'authentification. Le test précité peut comporter alors une instruction de vérification de cohérence entre la clé publique et la clé privée, à la manière d'une procédure classique d'authentification en cryptographie. On peut citer, à titre d'exemple aucunement limitatif, une procédure d1authentification utilisant l'algorithme de cryptographie dit "RSA" (pour "Rivest Shamir Adleman") . Dans le cadre d'une authentification mutuelle du terminal et du serveur, les programmes de démarrage du terminal et de téléchargement du serveur comportent avantageusement des instructions d'authentification homologues, avec échange et vérification de cohérence de données d'authentification obtenues par une . procédure mettant en œuvre des clés publiques transmises via la liaison bidirectionnelle et des clés privées respectives, tirées des premières et secondes données d' authentification.
Outre les caractéristiques préférentielles du procédé au sens de l'invention, propres au terminal récepteur et au serveur de contrôle de téléchargement, décrites ci-avant et que l'on peut retrouver avantageusement dans le système au sens de l'invention, la liaison bidirectionnelle entre le terminal et le serveur de contrôle de téléchargement est de préférence de type xDSL (pour "Digital Subscriber Line") . On comprendra néanmoins que la présente invention peut s'adapter à toute autre technologie de réseau bidirectionnel.
La présente invention vise aussi le terminal récepteur du système au sens de l'invention.
Elle vise aussi le serveur de contrôle de téléchargement et de contrôle d'habilitation du système au sens de 1'invention.
D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen de la description détaillée, donnée ci-après à titre d'exemple non limitatif, et des dessins annexés sur lesquels :
- la figure 1 représente un exemple d'architecture du système au sens de l'invention, - la figure 2a représente schématiquement les éléments d'un serveur de contrôle de téléchargement et de contrôle d'habilitation au sens de l'invention,
- la figure 2b représente schématiquement la structure d'un terminal récepteur au sens de l'invention, - la figure 3 représente schématiquement la structure d'une mémoire flash du terminal, selon une réalisation particulière de l'invention, et
- la figure 4 représente une réalisation préférée des différentes étapes menées par un procédé au sens de l'invention.
On se réfère tout d'abord à la figure 1 pour décrire le système au sens de l'invention, dans l'architecture d'un réseau de télévision numérique, dans l'exemple représenté. Le système comporte un réseau bidirectionnel 3 pour relier un terminal récepteur 4 à un serveur 2 de contrôle de téléchargement et de contrôle d'habilitation du terminal. Le terminal 4 et ce serveur 2 sont reliés par une liaison bidirectionnelle 81-82.
De manière générale, on indique que la présente invention offre le contrôle de la mise en marche d'un terminal récepteur de télévision numérique 4, ainsi que le téléchargement sécurisé et adapté auprès du terminal 4 d'une version d'applications logicielles notamment pour le désembrouillage/décodage. De préférence, à chaque démarrage, le terminal, relié au réseau 3 effectue une connexion vers le serveur de contrôle du téléchargement 2. Après une authentification mutuelle des deux entités 4 et 2, grâce aux processeurs de sécurité 5 et 6 dans l'exemple décrit, le serveur de contrôle 2 récupère des informations présentes sur le terminal 4 et sur le processeur de sécurité 6. Le serveur de contrôle 2 analyse ces informations et autorise ou non la poursuite du processus de démarrage. Les critères qui permettent de définir si un terminal récepteur est autorisé ou non à poursuivre la séquence de démarrage sont avantageusement modifiables auprès du serveur de contrôle 2 pour permettre une souplesse maximum.
En particulier, le serveur 2 peut autoriser ou non le téléchargement d'une version des applications logicielles vers le terminal récepteur. Le serveur 2 mémorise avantageusement toutes les informations afin d'effectuer des statistiques sur les terminaux récepteurs présents sur le réseau 3. La mise en marche complète du terminal permet ensuite d'accéder aux programmes de télévision diffusés par exemple par un autre serveur portant la référence 1 sur la figure 1, qui, lui, assure la distribution des contenus multimédias, avec, par exemple une diffusion des programmes audiovisuels de télévision.
En se référant à la figure 1, ce serveur de distribution multimédia 1 diffuse les programmes de télévision (flèche I)1 via le réseau 3 dans l'exemple représenté. Ce serveur 1 est géré par l'opérateur qui diffuse les programmes. Ce serveur 1 de distribution multimédia peut être distinct ou non du serveur 2 de contrôle de téléchargement au sens de l'invention.
On retiendra surtout que le serveur de contrôle 2 réalise le contrôle du terminal récepteur 4 et, plus particulièrement, le téléchargement éventuel des applications logicielles, de désembrouillage/décodage notamment. L'équipement 2 est donc appelé ci-après "serveur de contrôle de téléchargement". Ce serveur 2 est géré par l'opérateur et/ou le fournisseur du contrôle d'accès.
Bien qu'un seul terminal soit représenté sur la figure 1, on indique que le système au sens de l'invention peut inclure plusieurs terminaux 4, recevant le flux multimédia 7, contenant par exemple les données de télévision numérique à désembrouiller/décoder. De même, on peut prévoir aussi plusieurs serveurs de contrôle de téléchargement 2, ainsi que plusieurs serveurs 1 de diffusion des programmes, pour un même terminal à disposition d'un usager abonné à plusieurs services de télévision numérique.
On rappelle que tous les équipements de la figure 1 sont reliés par le réseau 3 préférentiellement par une liaison bidirectionnelle à haut débit, par exemple une liaison filaire telle qu'une liaison xDSL.
En se référant à la figure 2a, le serveur de contrôle de téléchargement 2 comporte : - un ou plusieurs processeurs de sécurité 5 pour assurer la sécurité de la connexion et du téléchargement vers le terminal,
- une base de données 21 pour stocker notamment des données d'habilitation d'une pluralité de terminaux récepteurs 4, en correspondance d'identifiants respectifs, afin de gérer avantageusement tout un parc de terminaux à disposition d'usagers,
- des moyens de traitement, tels qu'un processeur 22 pour mettre en œuvre des instructions de programme informatique qui seront détaillées plus loin, et
- de la mémoire 23 (permanente, par exemple de type ROM, et/ou de travail, par exemple de type RAM) pour le stockage et l'exécution des instructions de programme.
On indique simplement ici que le serveur de contrôle de téléchargement 2 comporte des ressources informatiques pour :
- exécuter un programme mettant en œuvre un algorithme de signature, qui assure l'authenticité de l'émetteur des applications logicielles (en l'espèce le serveur de contrôle 2) et aussi l'intégrité des données des applications logicielles signées et transmises,
- de préférence, exécuter en outre un programme mettant en œuvre un algorithme de calcul de CHECKSUM permettant, comme on le verra plus loin, de garantir encore l'intégrité des données des applications logicielles transmises,
- exécuter en outre un programme mettant en œuvre un algorithme d'authentification, préférentiellement mutuelle, entre le serveur de contrôle 2 et le terminal récepteur 4, utilisant par exemple un algorithme de cryptographie mettant en œuvre des clés publiques et clés privées,
- stocker la version des applications logicielles qui est disponible pour un éventuel téléchargement et qui est la mieux adaptée pour différents terminaux ou types de terminaux 4,
- stocker, par exemple dans la base de données 21, une liste noire des identifiants uniques des processeurs de sécurité non autorisés (correspondant par exemple à des cartes à puce volées ou piratées) , et
- stocker, par exemple dans la base de données 21, une liste noire des identifiants uniques des terminaux non autorisés (volés ou piratés par exemple) .
Avantageusement, le serveur de contrôle de téléchargement 2 peut réaliser alors les actions suivantes :
- la préparation d'une version d'applications logicielles à télécharger, avec un calcul du CHECKSUM sur l'application, le calcul d'une signature, etc,
- la réception des connexions avec les terminaux,
- la vérification de la configuration des terminaux (interdire par exemple, selon leur configuration, le fonctionnement d'un ou plusieurs terminaux), - éventuellement le téléchargement d'une nouvelle version logicielle sur les terminaux,
- la mémorisation de toutes les connexions et toutes les informations reçues de chaque terminal, dans la base de données 21. On rappelle que le calcul du CHECKSUM sur une application est une routine de garantie d'intégrité consistant par exemple à calculer la somme des octets qui composent cette application (somme dite aussi de "contrôle"), en particulier pour vérifier l'intégrité d'un fichier ou d'un bloc de données correspondant à ou utilisé dans cette application.
En se référant maintenant à la figure 2b, l'architecture générale d'un terminal récepteur 4 de télévision numérique au sens de l'invention comporte :
- des moyens de traitement tels qu'un processeur 14, relié par un bus 13 à des mémoires 15 à 18 (directement adressables par le processeur 14), - une mémoire morte, non volatile et non re-programmable, qui peut être de type ROM, portant la référence 15 sur la figure 2b et destinée typiquement à stocker un programme de démarrage du terminal,
- une mémoire vive, volatile, par exemple de type RAM, référencée 16 sur la figure 2b et destinée notamment à l'exécution des programmes et à la manipulation des données, en tant que mémoire de travail,
- une mémoire permanente, non volatile, et re¬ programmable, par exemple de type flash 17 et/ou de type E2PROM 18, contenant des paramètres de configuration et/ou de sécurité du terminal.
Comme indiqué ci-avant, les applications logicielles téléchargées du serveur de contrôle 2 peuvent être stockées en mémoire vive 16, dans un premier mode de réalisation, ou en mémoire permanente 17 ou 18, dans un second mode de réalisation, comme on le verra plus loin.
On indique simplement ici que, dans le premier mode de réalisation, le téléchargement des applications logicielles de désembrouillage/décodage s'effectue à chaque démarrage (ou mise sous tension) du terminal. Le terminal exécute alors ces applications de désembrouillage/décodage depuis une mémoire volatile 16.
Dans le second mode de réalisation, le téléchargement s'effectue simplement à chaque disponibilité d'une nouvelle version appropriée des applications logicielles de désembrouillage/décodage. Le terminal exécute alors ces applications depuis la mémoire permanente 17 ou 18, par exemple à partir de la mémoire flash 17. On a représenté sur la figure 3 la structure d'une mémoire flash 17, selon ce second mode de réalisation dans lequel on prévoit un téléchargement en mémoire permanente. La mémoire flash 17 comporte une partie 171 non réinscriptible (mémoire "OTP") pour stocker tout ou partie des instructions du programme de démarrage du terminal. La seconde partie 172 est une zone réinscriptible destinée typiquement au stockage des applications logicielles (APPL) téléchargées du serveur 2.
On indique que, dans une réalisation préférée, les applications logicielles qui peuvent être téléchargées incluent un système d'exploitation (ou "OS" pour "Operating System") chargé de gérer l'utilisation des ressources du terminal par ces applications. On comprendra ainsi l'importance de mettre à jour les versions de telles 5 002495
22
applications logicielles auprès des terminaux récepteurs. Ainsi, en se référant à nouveau à l'exemple de la figure 3, la dernière version du système d'exploitation OS (UPD) est préférentiellement stockée dans la zone réinscriptible 172 de la mémoire flash 17.
Par ailleurs, le programme de démarrage peut être stocké en mémoire ROM 15 et/ou en mémoire permanente 17 ou 18. Ce programme de démarrage (ou "boot" en vocable anglo-saxon) assure :
- l'initialisation du terminal 4,
- et, éventuellement, le téléchargement d'une nouvelle version des applications logicielles de désembrouillage/décodage.
Ce programme de démarrage comporte avantageusement :
- les pilotes (ou "drivers") minimaux permettant de contrôler les seuls composants hardware (processeur, mémoires, interface avec le processeur de sécurité, ou autres) nécessaires à la connexion, au contrôle d'habilitation et au téléchargement,
- une configuration de connexion (paramétrée en fonction de paramètres principaux pour se connecter sur le serveur de contrôle de téléchargement 2, ainsi que des paramètres de repli permettant une connexion vers d'autres serveurs de contrôle en cas d'échec de la communication avec le serveur 2),
- un programme mettant en œuvre un algorithme par exemple de cryptographie utilisant une clé privée du terminal, et le cas échéant une clé publique du serveur, pour contribuer à l'authentification du terminal par le serveur ou procéder à l' authentification mutuelle du terminal et du serveur,
- un algorithme asymétrique mettant en oeuvre une clé privée, ici pour vérifier la signature de la version des applications logicielles téléchargées, et, de là, l'intégrité des données téléchargées, ainsi que l'authenticité de l'émetteur desdites données, et
- un algorithme de vérification (CHECKSUM) pour contrôler encore l'intégrité des applications téléchargées.
La mémoire morte du terminal stocke aussi un identifiant unique du terminal, appelé par exemple "STB-id" dans le cas où le terminal récepteur est un terminal désembrouilleur/décodeur d'un flux audiovisuel de type "STB" (pour "Set Top Box") . On indique toutefois qu'en variante, le terminal récepteur peut consister en un ordinateur de salon ou en un ordinateur portable, auxquels sont attribués des identifiants respectifs uniques .
Le terminal 4 comporte en outre :
- une interface 10 avec le réseau 3 (par exemple une interface modem xDSL) permettant notamment l'échange de données avec les serveurs 1 et 2,
- un démultiplexeur/désembrouilleur 11 assurant les fonctions de séparation des données (audio, vidéo, données d'interaction, données privées, et autres),
- un décodeur-convertisseur numérique/analogique 12, audio et vidéo, et
- un processeur de sécurité 6 tel qu'une carte à puce pour assurer la sécurité de la connexion vers le serveur 2 et la sécurité du téléchargement des applications .
Le processeur de sécurité 6 est connecté au terminal 4 par un module d'entrée/sortie 19.
On indique en outre que l'usager du terminal peut agir sur les fonctions du terminal via une interface homme/machine 20 reliée au module 19 précité. L'interface 20 peut comporter par exemple une télécommande et un affichage de données sur l'écran de télévision.
Par ailleurs, chaque processeur de sécurité β comporte :
- des ressources informatiques pour exécuter un algorithme asymétrique mettant en oeuvre au moins une clé privée et au moins une clé publique permettant de réaliser une authentification mutuelle du terminal et du serveur 2,
- des ressources informatiques pour mettre en œuvre une routine pour lire et transmettre, notamment au serveur 2 lorsqu'il s'agit du processeur de sécurité 6 relié au terminal, un identifiant unique de processeur de sécurité noté UA (pour "Unique Address") ,
- une mémoire non volatile re-programmable permettant de stocker des informations telles qu'un code confidentiel, des droits d'accès aux programmes, ou autres .
On se réfère maintenant à la figure 4 pour décrire les étapes de vérification et de téléchargement éventuel dans un exemple de réalisation du procédé au sens de 1' invention.
On a représenté sur la figure 4, côté gauche, les étapes menées par le terminal 4 et, côté droit, les étapes menées par le serveur de contrôle de téléchargement 2.
A chaque démarrage du terminal, le programme de démarrage prend la main, initialise les composants hardware et exécute une routine informatique au sens de l'invention qui se déroule préférentiellement comme suit.
A l'étape 30, ce programme commande le modem xDSL du terminal pour envoyer une demande de connexion vers le serveur de contrôle 2. Il utilise à cet effet les paramètres de connexion mémorisés, précités. A l'étape 31, le serveur de contrôle 2, s'il l'accepte, établit la connexion avec le terminal 4. A cette étape 31, le serveur de contrôle 2 peut avantageusement mémoriser l'heure et l'adresse du terminal. A l'étape 32, le programme teste si la connexion a réussi (flèche "ok") ou échoué (flèche "ko") . En cas d'échec de la connexion vers le serveur principal 2 ou vers les serveurs de repli comme indiqué ci-avant, le programme passe à l'étape de gestion des erreurs 52, décrite plus loin.
En cas de réussite de l'établissement de la connexion, à l'étape 33, le programme vérifie la présence du processeur de sécurité 6 par exemple en procédant à la réinitialisation (ou "RESET") de celui-ci. A l'étape 34, si le processeur de sécurité n'est pas présent (flèche ko), le programme passe à l'étape de gestion des erreurs 52. Sinon (flèche ok) , il passe à l'étape suivante 35, correspondant à l'étape 36 mise en œuvre par le serveur 2 et consistant à permettre l' authentification du terminal par le serveur ou à vérifier leur authentification mutuelle avec l'aide du processeur de sécurité 6 du terminal 4 et du processeur de sécurité 5 du serveur de contrôle 2. Comme indiqué ci-avant, cette authentification peut être menée par une utilisation de clés publiques et de clés privées respectives.
Si cette étape d'authentification a échoué (au test 37), le programme passe à l'étape 52. Par ailleurs, en cas d'échec du test homologue d'authentification 38 mené auprès du serveur de contrôle 2, le serveur 2 mémorise le résultat négatif de l'authentification à l'étape 49.
En revanche, si l'étape d' authentification est passée avec succès, le terminal récupère et transmet au serveur 2, à l'étape 39, les informations relatives à, et non exhaustivement :
- l'adresse physique du terminal,
- l'identifiant unique du processeur de sécurité,
- l'identifiant unique du terminal (par exemple de type STB-id) ,
- le cas échéant, dans le second mode de réalisation précité, la version courante des applications logicielles stockées en mémoire permanente 17 ou 18,
- d'autres données significatives présentes sur le processeur de sécurité 6 (droits d'accès aux programmes, code d'accès confidentiel, ou autres), - et les informations de configuration ou de sécurité contenues en mémoire permanente 17 ou 18.
Ainsi, on comprendra, en termes généraux, que l'on affecte initialement au terminal 4 et/ou au processeur de sécurité
6 des identifiants respectifs qui, avantageusement peuvent être stockés auprès du terminal 4 et auprès du serveur 2, en tant qu'informations d'habilitation du terminal équipé de son processeur de sécurité 6. Ainsi, au cours de la connexion entre le serveur et le terminal, ce dernier peut s'identifier auprès du serveur en transmettant ces identifiants au serveur.
De son côté, le serveur de contrôle 2 récupère, à l'étape 40, les informations que lui transmet le terminal et les mémorise. Selon l'un des avantages que procure la présente invention, le serveur peut alors mener des statistiques sur chaque terminal, incluant par exemple le nombre total de téléchargements depuis sa mise en service, le nombre moyen de démarrages de terminal par jour, le nombre de processeurs de sécurité utilisés par un terminal, ou autres .
A l'étape 41, le serveur de contrôle 2 vérifie que les informations reçues sont cohérentes. En particulier, et non exhaustivement :
- l'identifiant unique du processeur de sécurité ne doit pas être en liste noire,
- l'identifiant unique du terminal ne doit pas être en liste noire, - l'identifiant unique du processeur de sécurité et l'identifiant unique du terminal vont de paire,
- les droits d'accès tirés du processeur de sécurité sont cohérents, - les autres informations de sécurité sont cohérentes,
- la version des applications logicielles stockée en mémoire permanente dans le terminal, dans le second mode de réalisation précité, doit être cohérente avec les données dans la base du serveur de contrôle 2.
On rappelle que les critères qui permettent de définir si un terminal récepteur est autorisé ou non à poursuivre la séquence de démarrage sont avantageusement modifiables dans le serveur de contrôle même, pour assurer une souplesse maximum.
Si les informations ne sont pas cohérentes, le serveur de contrôle 2 passe à l'étape de mémorisation des erreurs 49, puis à l'état de déconnexion avec anomalie "DECONNECT KO" portant la référence 50.
En revanche, si les informations sont cohérentes :
- dans le premier mode de réalisation (applications stockées en mémoire vive) , le serveur 2 effectue le téléchargement dans le terminal de la version la mieux adaptée au terminal (étapes 44 et 45) ; on comprendra que dans ce premier mode, les étapes 42 et 43 ne sont pas exécutées car le téléchargement est à faire systématiquement, - dans le second mode de réalisation de l'invention (applications stockées en mémoire permanente) , à 5 002495
29
l'étape 42, le serveur de contrôle 2 vérifie s'il doit télécharger une nouvelle version des applications logicielles, par exemple par comparaison d'un numéro de version reçu avec un numéro de version des applications logicielles disponibles sur le serveur 2.
Dans ce second mode, si aucun téléchargement n'est à effectuer, le serveur 2 informe le terminal 4 qu'aucun téléchargement n'est à effectuer (étape 43) et passe à l'étape de déconnexion sans anomalie 60. De son côté, le terminal récepteur 4 passe aussi à l'étape 56 de déconnexion sans anomalie.
En revanche, dans ce second mode, si un téléchargement d'une version plus appropriée doit être effectué suite à l'étape 42, le serveur 2 informe le terminal (étape 43) du futur téléchargement de la nouvelle version et, à l'étape 45, le terminal reçoit cette nouvelle version.
On comprendra que les tests précités 42 et 43 sur la version préalablement installée auprès du terminal peuvent être supprimés dans le premier mode de réalisation avantageux où l'on stocke les applications logicielles en mémoire volatile.
Dans les deux modes de réalisation, le procédé se déroule ensuite par l'étape 44, dans laquelle le serveur de contrôle 2 envoie la version disponible et la mieux adaptée des applications logicielles au terminal, ainsi que la valeur du CHECKSUM et une signature numérique du fichier correspondant. A l'étape 45, le terminal reçoit en mémoire vive 16 cette nouvelle version et, à l'étape 46, vérifie la signature numérique précitée à l'aide d'une clé privée prévue à cette fin et de l'algorithme asymétrique précité. A l'étape 47, si la signature n'est pas correcte, le terminal passe à l'étape d'erreurs 52. Sinon, à l'étape 48, le terminal vérifie la valeur du CHECKSUM par calcul du CHECKSUM puis par comparaison par rapport à la valeur envoyée. Au test 53, si la valeur du CHECKSUM n'est pas correcte, le terminal passe à l'étape 52. Sinon, le terminal sauvegarde les applications logicielles téléchargées en mémoire permanente 17, uniquement dans le second mode de réalisation précité, à l'étape 54 (représentée à cet effet en traits pointillés sur la figure 4) .
A l'étape 55, le terminal 4 informe le serveur de contrôle 2 que l'opération de téléchargement s'est correctement déroulée et, à l'étape 56, il reçoit l'autorisation d'exécuter lesÉ applications logicielles. Ensuite, le terminal 4 et le serveur 2 peuvent passer à des étapes respectives 56 et 60 de déconnexion sans anomalie.
Finalement, le terminal peut ensuite mettre en œuvre les applications logicielles permettant notamment le désembrouillage/décodage du flux multimédia reçu.
Toutefois, on précise qu'en cas d'erreur au niveau du terminal ou en cas de réception (étape 51) de demande de déconnexion de la part du serveur de contrôle quand il identifie un cas d'erreur (étape 50), le terminal exécute préférentiellement l'étape 52 consistant à prévenir le serveur 2 d'une erreur et à afficher un message d'alarme, par exemple sur l'écran du poste de télévision de l'abonné, pour le prévenir. Le terminal se déconnecte ensuite du serveur (étape 57), puis se bloque (étape 58) . L'utilisateur doit préférentiellement réinitialiser le terminal, dans ce cas.
En cas d'erreur détectée par le serveur 2 (typiquement une mauvaise authentification ou des paramètres du terminal qui sont incohérents) , le serveur 2 passe à l'étape 49 consistant en une mémorisation des erreurs, suivie d'une étape 50 de déconnexion.
Bien entendu, la présente invention ne se limite pas à la forme de réalisation décrite ci-avant à titre d'exemple ; elle s'étend à d'autres variantes.
Ainsi, on comprendra par exemple que la structure détaillée du terminal représentée sur la figure 2b est susceptible de variantes. De même, les étapes détaillées du procédé telles que représentées sur la figure 4 sont susceptibles de variantes. On a décrit ci-avant une mise en œuvre avantageuse dans laquelle l' authentification était menée à partir des processeurs de sécurité précités, mais cette mise en . œuvre est encore susceptible de variantes, par exemple en prévoyant un module d' authentification directement incorporé dans le terminal. Par ailleurs, dans une réalisation moins sophistiquée que celle décrite ci-avant à titre d'exemple, on peut prévoir une simple identification, sans authentification, du terminal connecté au serveur de contrôle, bien que cette réalisation soit actuellement préférée.

Claims

Revendications
1. Procédé de contrôle d'habilitation d'au moins un terminal récepteur d'un flux multimédia, dans lequel le terminal (4) est agencé :
- d'une part, pour communiquer avec au moins un serveur distant (2) par une liaison bidirectionnelle, et
- d'autre part, pour recevoir un flux multimédia et décoder ce flux par l'exécution d'applications , . logicielles spécifiques, caractérisé en ce que ledit serveur est un serveur de contrôle (2) de téléchargement desdites applications logicielles, et en ce que le procédé comporte les étapes suivantes : a) on stocke des informations d'habilitation du terminal auprès du serveur de contrôle et auprès du terminal, b) à la mise sous tension du terminal, le terminal établit automatiquement une connexion vers le serveur de contrôle, c) le serveur de contrôle récupère au moins une partie des informations d'habilitation stockées auprès du terminal et vérifie une concordance avec les informations d'habilitation stockées auprès du serveur, d) et, au moins en fonction de cette vérification, le serveur de contrôle autorise ou non un téléchargement, vers le terminal, des applications logicielles spécifiques pour le désembrouillage/décodage du flux multimédia.
2. Procédé selon la revendication 1, caractérisé en ce que les informations d'habilitation comportent des données d' authentification, et en ce que, à l'étape c) , le serveur de contrôle authentifie le terminal par une procédure mettant en œuvre, d'une part, une clé publique fournie par le terminal et, d'autre part, une clé privée correspondante tirée des données stockées auprès du serveur de contrôle.
3. Procédé selon la revendication 2, caractérisé en ce qu'il comporte une authentification mutuelle du serveur et du terminal, par une procédure mettant en œuvre, via la liaison bidirectionnelle, les clés publiques du terminal et du serveur et les clés privées respectives, tirées des données stockées auprès du serveur et du terminal.
4. Procédé selon l'une des revendications 2 et 3, caractérisé en ce que le terminal comporte un processeur de sécurité (β) dans lequel on stocke initialement lesdites données d'authentification du terminal vis-à-vis du serveur de contrôle.
5. Procédé selon l'une des revendications précédentes, caractérisé en ce que l'on affecte initialement au terminal un identifiant, stocké auprès du terminal et auprès du serveur, et en ce que, au cours de la connexion de l'étape b) , le terminal s'identifie auprès du serveur en transmettant ledit identifiant au serveur.
6. Procédé selon la revendication 4, caractérisé en ce que l'on affecte un identifiant au processeur de sécurité, cet identifiant étant stocké auprès du terminal et auprès du serveur, et en ce que, au cours de la connexion de l'étape b) , le terminal s'identifie auprès du serveur en transmettant au moins ledit identifiant du processeur de sécurité.
7. Procédé selon l'une des revendications précédentes, caractérisé en ce que le serveur comporte une base de données (21) stockant des informations d'habilitation de plusieurs terminaux et des applications logicielles spécifiques aux terminaux, en correspondance d'au moins des identifiants respectifs de terminaux, pour la gestion d'un parc de terminaux récepteurs à disposition d'usagers.
8. Procédé selon l'une des revendications précédentes, dans lequel les applications logicielles sont régulièrement mises à jour, caractérisé en ce que, à l'étape d) , le serveur transmet au terminal une nouvelle version des applications logicielles la plus adaptée au terminal, le cas échéant.
9. Procédé selon l'une des revendications précédentes, caractérisé en ce que les applications logicielles comportent au moins un système d'exploitation (OS) de ressources informatiques du terminal.
10. Procédé selon l'une des revendications précédentes, caractérisé en ce que les applications logicielles comportent une application de désembrouillage/décodage du flux multimédia.
11. Procédé selon l'une des revendications précédentes, caractérisé en ce que, à l'étape d) , le terminal stocke les applications logicielles téléchargées du serveur dans une mémoire permanente.
12. Procédé selon la revendication 11, prise en combinaison avec la revendication 8, caractérisé en ce que le serveur vérifie en outre une cohérence de la version des applications logicielles qui est stockée dans la mémoire permanente du terminal.
13. Procédé selon l'une des revendications 1 à 10, caractérisé en ce que, à l'étape d) , le terminal stocke les applications logicielles téléchargées du serveur dans une mémoire volatile (16), à chaque mise sous tension du terminal.
14. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte une procédure de vérification d'intégrité des données d'applications logicielles transmises au terminal, avec, de préférence, une vérification d'authenticité de l'émetteur desdites données d'applications logicielles.
15. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte les étapes initiales suivantes : 95
37
al) on équipe le terminal de ressources informatiques pour lire une routine de démarrage, a2) on prévoit une routine de démarrage incluant au moins une instruction de connexion du terminal vers le serveur, a3) et on stocke ladite routine de démarrage dans une mémoire permanente du terminal.
16. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte les étapes initiales suivantes : a'1) on équipe le serveur de contrôle de ressources informatiques pour lire une routine de téléchargement d'applications logicielles vers le terminal, a'2) on prévoit une routine de téléchargement incluant au moins une instruction de vérification d'habilitation du terminal, a' 3) et on stocke ladite routine de téléchargement dans une mémoire permanente du serveur.
17. Produit programme informatique, destiné à être stocké dans une mémoire permanente (15) d'un terminal récepteur, caractérisé en ce qu'il comporte une routine de démarrage du terminal, pour la mise en œuvre de tout ou partie des étapes du procédé selon la revendication 15.
18. Produit programme informatique, destiné à être stocké dans une mémoire permanente d'un serveur de contrôle de téléchargement d'applications logicielles pour le désembrouillage/décodage d'un flux multimédia, caractérisé en ce qu'il comporte une routine de contrôle de téléchargement d'applications logicielles, pour la mise en œuvre de tout ou partie des étapes du procédé selon la revendication 16.
19. Application du procédé selon l'une des revendications 1 à 16 à la distribution de contenus multimédias, notamment de contenus de télévision payante.
20. Système de contrôle d'habilitation pour le téléchargement d'applications logicielles, notamment pour le désembrouillage/décodage d'un flux multimédia, caractérisé en ce qu'il comporte au moins :
- un serveur (2) de contrôle de téléchargement desdites applications logicielles, et - un terminal récepteur (4), d'une part relié au serveur de contrôle par une liaison bidirectionnelle (81-82) pour télécharger lesdites applications logicielles, et agencé d'autre part pour recevoir le flux multimédia embrouillé/encodé et désembrouiller/décoder ce flux par l'exécution desdites applications logicielles, en ce que le terminal comporte des ressources informatiques pour :
- stocker des premières informations d'habilitation du terminal, - stocker et lire un programme informatique de démarrage comportant au moins une instruction de connexion automatique vers le serveur lors de la mise sous tension du terminal, et en ce que le serveur de contrôle comporte des ressources informatiques pour : - stocker des secondes informations d'habilitation du terminal,
- stocker et lire un programme informatique de téléchargement des applications logicielles comportant au moins : o une instruction de lecture des premières et secondes informations d'habilitation, o un test de vérification de cohérence entre les premières et secondes informations d'habilitation, o et une instruction de téléchargement des applications logicielles, conditionnée au moins par ledit test.
21. Système selon la revendication 20, caractérisé en ce que les premières et secondes informations d'habilitation comportent respectivement des premières et secondes données d'authentification, en ce que le programme de démarrage comporte au moins une instruction pour former et communiquer au serveur une clé publique tirée des premières données, et en ce que le programme de téléchargement comporte au moins une instruction pour former une clé privée tirée des secondes données, tandis que ledit test comporte une instruction de vérification de cohérence entre la clé publique et la clé privée.
22. Système selon la revendication 21, caractérisé en ce que les programmes de démarrage et de téléchargement comportent des instructions d' authentification homologues pour mener des authentifications mutuelles du serveur et du terminal, avec échange de clés publiques transmises via la liaison bidirectionnelle et vérifications de cohérence avec des clés privées respectives, tirées des premières et secondes données d1authentification.
23. Système selon l'une des revendications 21 et 22, caractérisé en ce que le terminal comporte un processeur de sécurité (6) stockant au moins lesdites premières données d' authentification.
24. Système selon l'une des revendications 20 à 23, caractérisé en ce que lesdites premières et secondes informations d'habilitation comportent un identifiant de terminal.
25. Système selon les revendications 23 et 24, caractérisé en ce que lesdites premières et secondes informations d'habilitation comportent en outre un identifiant de processeur de sécurité.
26. Système selon l'une des revendications 24 et 25, caractérisé en ce que le serveur comporte une base de données (21) stockant des informations d'habilitation de plusieurs terminaux et des applications logicielles spécifiques aux terminaux, en correspondance d'au moins des identifiants respectifs de terminaux, pour la gestion d'un parc de terminaux récepteurs à disposition d'usagers.
27. Système selon l'une des revendications 20 à 26, caractérisé en ce que les applications logicielles comportent au moins un système d'exploitation de ressources informatiques du terminal.
28. Système selon l'une des revendications 20 à 27, caractérisé en ce que le terminal comporte une mémoire permanente pour stocker les applications logicielles issues du serveur.
29. Système selon la revendication 28, caractérisé en ce que ladite mémoire permanente est une mémoire flash (17) et/ou une mémoire E2PROM (18) .
30. Système selon l'une des revendications 20 à 27, caractérisé en ce que le terminal comporte une mémoire volatile (16) pour stocker les applications logicielles issues du serveur.
31. Système selon l'une des revendications 20 à 30, caractérisé en ce que la liaison bidirectionnelle (81-82) entre le terminal et le serveur est de type xDSL.
32. Terminal récepteur, d'un système selon l'une des revendications 20 à 31.
33. Serveur d'un système selon l'une des revendications 20 à 31.
PCT/FR2005/002495 2004-10-18 2005-10-10 Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur WO2006042932A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP05809248A EP1803297A1 (fr) 2004-10-18 2005-10-10 Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0411012A FR2876859B1 (fr) 2004-10-18 2004-10-18 Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur
FR0411012 2004-10-18

Publications (1)

Publication Number Publication Date
WO2006042932A1 true WO2006042932A1 (fr) 2006-04-27

Family

ID=34950904

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002495 WO2006042932A1 (fr) 2004-10-18 2005-10-10 Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur

Country Status (5)

Country Link
EP (1) EP1803297A1 (fr)
CN (1) CN101044758A (fr)
FR (1) FR2876859B1 (fr)
TW (1) TW200627956A (fr)
WO (1) WO2006042932A1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101795295A (zh) * 2010-03-11 2010-08-04 北京安天电子设备有限公司 一种基于点对点技术的局域网病毒库升级系统和方法
US9805175B2 (en) 2010-08-05 2017-10-31 Huawei Device Co., Ltd. Method, apparatus and system for software management
US10528705B2 (en) 2006-05-09 2020-01-07 Apple Inc. Determining validity of subscription to use digital content

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008127092A2 (fr) * 2007-03-14 2008-10-23 Aht Europe Ltd Dispositif et procédé pour obtenir un accès conditionnel à un réseau de données
CN102647282B (zh) * 2011-02-18 2015-06-17 鸿富锦精密工业(深圳)有限公司 基于poe对网络装置进行管理的电子装置及方法
JP2012221240A (ja) * 2011-04-08 2012-11-12 Sony Corp 情報処理装置、認証方法及びプログラム
CN103024438B (zh) * 2012-12-31 2016-06-08 深圳市九洲电器有限公司 一种机顶盒及其生产测试方法、系统
CN105635094B (zh) * 2015-06-16 2019-04-12 宇龙计算机通信科技(深圳)有限公司 安全验证方法、安全验证装置和安全验证系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003053055A1 (fr) * 2001-12-18 2003-06-26 Thomson Licensing S.A. Sous-titrage/teletexte code genere de maniere interne et destine a des menus de reglage d'appareil de traitement de signal pouvant etre mis en reseau
US20040025013A1 (en) * 2002-07-30 2004-02-05 Imagictv Inc. Secure multicast flow

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003053055A1 (fr) * 2001-12-18 2003-06-26 Thomson Licensing S.A. Sous-titrage/teletexte code genere de maniere interne et destine a des menus de reglage d'appareil de traitement de signal pouvant etre mis en reseau
US20040025013A1 (en) * 2002-07-30 2004-02-05 Imagictv Inc. Secure multicast flow

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10528705B2 (en) 2006-05-09 2020-01-07 Apple Inc. Determining validity of subscription to use digital content
CN101795295A (zh) * 2010-03-11 2010-08-04 北京安天电子设备有限公司 一种基于点对点技术的局域网病毒库升级系统和方法
US9805175B2 (en) 2010-08-05 2017-10-31 Huawei Device Co., Ltd. Method, apparatus and system for software management

Also Published As

Publication number Publication date
TW200627956A (en) 2006-08-01
FR2876859A1 (fr) 2006-04-21
FR2876859B1 (fr) 2007-01-05
EP1803297A1 (fr) 2007-07-04
CN101044758A (zh) 2007-09-26

Similar Documents

Publication Publication Date Title
WO2006042932A1 (fr) Procede et installation de controle d'habilitation du logiciel interne d'un terminal recepteur
EP1683388B1 (fr) Methode de gestion de la sécurité d'applications avec un module de sécurité
US20090031409A1 (en) Preventing Unauthorized Poaching of Set Top Box Assets
WO2006056572A2 (fr) Unité de traitement de données audio/vidéo numériques et méthode de contrôle d'accès audites données
EP1687953A2 (fr) Méthode d'authentification d'applications
FR3025377A1 (fr) Gestion de tickets electroniques
EP1477009A1 (fr) Dispositif pour securiser la transmission, l'enregistrement et la visualisation de programmes audiovisuels
EP1994745B1 (fr) Procédé pour la distribution sécurisée de séquences audiovisuelles, décodeur et système pour la mise en uvre de ce procédé
EP1353511A2 (fr) Procédé de gestion de droits d'accès à des services de télévision
FR2848764A1 (fr) Procede de controle d'acces en television numerique payante
FR2845854A1 (fr) Desactivation a distance de decodeurs d'acces a des donnees numeriques multimedia
FR2999851A1 (fr) Procede pour acceder a un service propose par un serveur distant.
FR2883683A1 (fr) Procede d'appariement entre un terminal et un processeur de securite, systeme et programme informatique pour la mise en oeuvre du procede
EP2372945A1 (fr) Procédé de transmission sécurisée de données entre un terminal numérique et une plateforme de services interactifs
EP1010326A1 (fr) Procede et installation de telechargement d'une plateforme de decodeur d'usager
EP1590960B1 (fr) Methode de stockage et de transmission d'informations generees par un module de securite
FR2896654A1 (fr) Procede d'identification d'un operateur autorise au sein d'un decodeur de television numerique
FR3110263A1 (fr) Procédé et système pour authentifier une application informatique, ou une fonction de l’application, exécutée par un récepteur multimédia
WO2004073307A1 (fr) Procede et systeme pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede
EP1723788B1 (fr) Procédé de gestion du traitement de données à accès conditionnel par au moins deux décodeurs
WO2003077555A2 (fr) Protocole de commande a distance d'une action locale de generation d'un message d'ordre
FR2865592A1 (fr) Procede de diffusion securisee de programmes de television, systeme de diffusion, decodeur et support de donnees correspondants.
EP1547383A1 (fr) Method pour la transmission securisee de fichiers audiovisuels
WO2008050055A2 (fr) Procede de gestion de droits d'acces a un contenu numerique dans un reseau de pairs
WO2005096628A1 (fr) Securisation d’un dispositif d’access a des bouquets de programmes de chaines encryptees

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005809248

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 200580035662.1

Country of ref document: CN

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2005809248

Country of ref document: EP