Gestion d'accès sécurisé à un contenu numérique sécurisé dans un objet communicant portable
La présente invention concerne la gestion d'accès sécurisé à un contenu numérique sécurisé dans un objet communicant portable associé à un terminal comprenant un agent pour traiter le contenu numérique sécurisé .
Actuellement, les opérateurs de réseaux de radiocommunications sont confrontés à des problématiques engendrées par l'avènement du marché de téléchargement de contenus numériques sécurisés.
L'opérateur a recours à des systèmes de gestion de droits numériques DRM ("Digital Rights Management" en anglais) divers et variés qui ont chacun un format de droit numérique spécifique pour accéder et traiter des contenus numériques sécurisés et qui contribuent à complexifier et à segmenter la distribution des contenus numériques sécurisés.
Les systèmes de gestion de droits numériques sont incompatibles entre eux et ne proposent pas de solutions pour conserver des contenus numériques sécurisés et leurs droits d'accès associés lorsque l'usager utilise un nouveau terminal exploitant un type de droit numérique différent de celui de l'ancien terminal. Le problème technique réside dans le fait que la clé servant à protéger le contenu numérique sécurisé est chiffrée avec la clef publique d'un certificat de l'ancien terminal et n'est donc pas lisible dans le nouveau terminal.
Classiquement, un terminal contient un agent logiciel pour traiter un contenu numérique sécurisé chiffré et transmis par un serveur de contenu numérique et un fichier d'accès sécurisé transmis par
un serveur d'administration de droits. Le contenu numérique sécurisé chiffré peut être téléchargé librement depuis un serveur de contenu numérique sécurisé. Le fichier d'accès sécurisé contient un droit d'accès et une clé pour déchiffrer le contenu numérique sécurisé. La clé est chiffrée avec la clé publique d'un certificat de l'agent et le fichier d'accès sécurisé est signé avec une clé privée du serveur d'administration de droits, ce dernier et l'agent ayant échangé leurs certificats au préalable.
Selon une première solution, le serveur d'administration de droits révoque le certificat de l'ancien terminal et génère un nouveau fichier d'accès sécurisé pour le nouveau terminal. Dans ce cas, l'ancien terminal ne peut plus exploiter le contenu numérique sécurisé.
Selon une deuxième solution similaire à la première, l'ancien terminal renvoie le fichier d'accès sécurisé au serveur d'administration de droits qui génère un autre fichier d'accès sécurisé pour le nouveau terminal. Cette solution a l'inconvénient que l'ancien terminal doit être fonctionnel et utilisable par l'usager, ce qui est par exemple impossible lorsque l'ancien terminal est cassé ou volé, ou encore victime d'un virus annihilant les capacités de l'ancien terminal.
Selon une troisième solution, l'agent logiciel est implémenté en partie dans le terminal et en partie dans une carte à puce associée au terminal, le fichier d'accès sécurisé étant lié de manière cryptographique à la carte à puce. Lorsqu'un nouveau terminal est associé à la carte à puce, une communication sécurisée entre la carte à puce et l'agent logiciel du terminal doit être établie afin que la carte communique la clé de déchiffrement du
contenu numérique à l'agent logiciel. Cette solution présente les inconvénients suivant : les agents logiciels de la carte à puce et du terminal partagent des données secrètes et requièrent un canal sécurisé pour communiquer, et les types de droit numérique supportés par la carte à puce et le nouveau terminal doivent être compatibles.
L'invention a pour objectif de remédier aux inconvénients précités en gérant un accès sécurisé à un contenu numérique sécurisé de manière adaptée à tout terminal traitant ledit contenu.
Pour atteindre cet objectif, un procédé pour gérer un accès sécurisé à un contenu numérique sécurisé chiffré avec une clé dans un objet communicant portable associé à un terminal, le terminal comprenant un agent pour traiter le contenu numérique sécurisé qui est transmis par un premier serveur au terminal à travers un réseau de communications, est caractérisé en ce qu'il comprend, dans l'objet communicant portable, les étapes de : accéder à un certificat relatif à l'agent et un type de droit numérique exploité par l'agent, mémoriser la clé et un droit d'accès relatifs au contenu numérique sécurisé, transmis depuis un deuxième serveur, adapter la clé et le droit d'accès reçus et modifier le contenu numérique sécurisé, en fonction du type de droit numérique accédé, et produire un fichier d'accès sécurisé en fonction du droit d'accès adapté, de la clé adaptée et du certificat accédé, le fichier d'accès sécurisé étant accessible par le terminal afin que l'agent traite le
contenu numérique sécurisé modifié en fonction du fichier d'accès sécurisé.
Le premier serveur, tel qu'un serveur d'administration de droits numériques, peut avantageusement gérer un seul type de droit numérique pour transmettre des contenus numériques sécurisés à des terminaux. Par conséquent, des ensembles numériques de droit d'accès et de clé sont créés respectivement pour des contenus numériques sécurisés en fonction seulement du type de droit numérique géré par le premier serveur. En outre, selon les étapes du procédé de l'invention, le premier serveur ne requiert pas la connaissance du certificat de l'agent du terminal auquel est transmis le contenu numérique sécurisé.
Par ailleurs, aucun canal sécurisé n'est requis entre l'objet communicant portable et le terminal afin que l'agent du terminal traite le contenu numérique sécurisé en fonction du fichier d'accès sécurisé produit par l'objet communicant portable.
Selon une autre caractéristique de l'invention, le procédé peut comprendre, en outre, les étapes suivantes, lorsque l'objet communicant portable est associé à un deuxième terminal : accéder à un certificat relatif à un agent du deuxième terminal et un type de droit numérique exploité par l'agent du deuxième terminal, adapter la clé et le droit d'accès et modifier le contenu numérique sécurisé, en fonction du type de droit numérique exploité par l'agent du deuxième terminal, et produire un deuxième fichier d'accès sécurisé en fonction du droit d'accès formaté, de la clé formatée et du certificat relatifs au deuxième terminal, le
deuxième fichier d'accès sécurisé étant accessible par le deuxième terminal afin que 1 ' agent de 1 ' autre terminal traite le contenu numérique sécurisé modifié en fonction du deuxième fichier d'accès sécurisé. L'objet communicant portable s'adapte aux fonctionnalités du terminal auquel il est associé, sans communication avec le premier serveur et sans recours au terminal précédemment utilisé, ce dernier pouvant être volé ou cassé, ou même utilisé de nouveau pour traiter le contenu numérique sécurisé.
Le contenu numérique sécurisé est par exemple un jeu à utiliser sur différents terminaux, tels qu'un terminal mobile communicant, un ordinateur personnel ou un assistant personnel, ou bien un morceau musical à écouter par exemple avec un baladeur ou un autoradio .
Par conséquent, le premier serveur transmet la clé et le droit d'accès une seule fois à l'usager qui peut continuer à utiliser le contenu numérique sécurisé avec d'autres terminaux, sans devoir se procurer de nouveau le contenu numérique, tel qu'un contenu multimédia, et/ou les droits d'accès associés. L'utilisation universelle du contenu numérique sécurisé permet de fidéliser l'usager à l'opérateur gérant le premier serveur et de dynamiser l'achat de contenus numériques sécurisés, l'usager étant assuré de conserver les droits d'accès associés aux contenus numériques qu'il a achetés.
L'invention concerne également un système pour gérer un accès sécurisé à un contenu numérique sécurisé chiffré avec une clé dans un objet communicant portable associé à un terminal, le terminal comprenant un agent pour traiter le contenu numérique sécurisé qui est transmis par un premier
serveur au terminal à travers un réseau de communications. Le système est caractérisé en ce qu'il comprend :
- un moyen dans l'objet communicant portable pour accéder à un certificat relatif à l'agent et un type de droit numérique exploité par l'agent,
- un moyen dans l'objet communicant portable pour mémoriser la clé et un droit d'accès relatifs au contenu numérique sécurisé, transmis depuis un deuxième serveur,
- un moyen dans l'objet communicant portable pour adapter la clé et le droit d'accès reçus et modifier le contenu numérique sécurisé, en fonction du type de droit numérique accédé, et - un moyen dans l'objet communicant portable pour produire un fichier d'accès sécurisé en fonction du droit d'accès adapté, de la clé adaptée et du certificat accédé, le fichier d'accès sécurisé étant accessible par le terminal afin que l'agent traite le contenu numérique sécurisé modifié en fonction du fichier d'accès sécurisé.
Par exemple le réseau de communications est un réseau de radiocommunications et l'objet communicant portable est une carte à puce associée à un terminal mobile et incluant une mémoire de sécurité pour mémoriser des données sensibles telles que le droit d'accès et la clé relatifs au contenu numérique sécurisé .
L'invention concerne également un objet communicant portable, par exemple constitué par une carte à puce, pour gérer un accès sécurisé à un contenu numérique sécurisé chiffré avec une clé, l'objet communicant portable étant associé à un terminal, tel qu'un terminal mobile ou un terminal
fixe, comprenant un agent pour interpréter le contenu numérique sécurisé qui est transmis par un premier serveur au terminal à travers un réseau de communications. L'objet communicant portable est caractérisé en ce qu'il comprend :
- un moyen pour accéder à un certificat relatif à l'agent et un type de droit numérique exploité par 1 ' agent,
- un moyen pour mémoriser la clé et un droit d'accès relatifs au contenu numérique sécurisé, transmis depuis un deuxième serveur,
- un moyen pour adapter la clé et le droit d'accès reçus et modifier le contenu numérique sécurisé, en fonction du type de droit numérique accédé, et
- un moyen pour produire un fichier d'accès sécurisé en fonction du droit d'accès adapté, de la clé adaptée et du certificat accédé, le fichier d'accès sécurisé étant accessible par le terminal afin que l'agent traite le contenu numérique sécurisé modifié en fonction du fichier d'accès sécurisé.
L'invention se rapporte encore à un programme d'ordinateur apte à être mis en œuvre dans un objet communicant portable pour gérer un accès sécurisé à un contenu numérique sécurisé chiffré avec un clé, l'objet communicant portable étant associé à un terminal comprenant un agent pour traiter le contenu numérique sécurisé qui est transmis par un premier serveur au terminal à travers un réseau de communications. Le programme est caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans ledit objet communicant portable, réalisent les étapes selon le procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :
- la figure 1 est un bloc-diagramme schématique d'un système de communication selon une réalisation d' implémentation préférée de l'invention, reliant un objet communicant portable, un terminal et deux serveurs ; et
- la figure 2 est un algorithme d'un procédé de gestion d'accès sécurisé à un contenu numérique sécurisé selon l'invention.
Une réalisation d' implémentation préférée de l'invention décrite ci-après est relative au domaine des réseaux de radiocommunications dans lesquels des données peuvent être transmises entre un serveur de contenu numérique ou un serveur d'administration de droits numériques, et un terminal associé à un objet communicant portable.
En référence à la figure 1, un système de communication selon 1 ' invention comprend un serveur de contenu numérique SCN et un serveur d'administration de droits numériques SAD communiquant avec au moins un terminal mobile T associé à un objet communicant portable, comme par exemple une carte à puce CP à laquelle on se référera dans la suite de la description. Les serveurs SCN et SAD et le terminal mobile T communiquent à travers un réseau de communications comprenant au moins le réseau de radiocommunications RR auquel le terminal
mobile T est rattaché. Le réseau de radiocommunications RR est du type UMTS, du type GSM adossé à un réseau GPRS ou du type WIFI, WIMAX ou WIBRO, ou encore un réseau de proximité du type infrarouge, Bluetooth ou NFC (Near Field Communication) .
Les quatre entités SCN, SAD, T et CP sont représentées sous forme de blocs fonctionnels dont la plupart assurent des fonctions ayant un lien avec l'invention et peuvent correspondre à des modules logiciels et/ou matériels.
Le serveur de contenu numérique SCN héberge des contenus numériques sécurisés CNS, en général des données multimédias comme des fichiers de musique ou de vidéo, ou encore des jeux, à transmettre à des terminaux .
Le serveur de contenu numérique SCN contient en outre des clés de chiffrement KCN pour chiffrer les contenus numériques sécurisés CNS selon un type de droit numérique TDNS géré par le serveur d'administration de droits numériques SAD.
En variante, un type de droit numérique est géré par le serveur de contenu numérique SCN et transféré par ce dernier au serveur d'administration de droits numériques SAD avec un contenu numérique sécurisé.
Le serveur d'administration de droits numériques SAD associe des droits d'accès DA à des contenus numériques sécurisés CNS définissant des autorisations et des contraintes relatives à l'utilisation des contenus numériques sécurisés. Les droits d'accès DA dépendent du type de droit numérique TDNS et aucun contenu numérique sécurisé ne peut être utilisé sans ses droits d'accès associés.
Le serveur d'administration de droits SAD contient en outre les clés KCN utilisées et transmises par le serveur de contenu numérique SCN, une clé privée KPRSAD et un certificat CSAD associé à la clé privée. Le certificat CSAD contient notamment une clé publique correspondant à la clé privée KPRSAD, une identité du possesseur de la clé publique, une période de validité, une liste d'attributs correspondant aux droits d'utilisation de la clé, par exemple une clé de signature de message, et une signature cryptographique des données précédentes par une clé de chiffrement d'une autorité de certification émettrice du certificat. L'autorité de certification, appelée également infrastructure de gestion de clé PKI ("Public Key Infrastructure" en anglais) , est chargée notamment de générer des certificats et les clés privées associées. L'autorité de certification est par exemple le serveur SAD lui- même . Le serveur d'administration de droits numériques
SAD peut contenir également des clés de session KS pour communiquer de manière sécurisée avec des objets communicants portables, tels que la carte à puce CP.
Les serveurs SCN et SAD communiquent entre eux de manière sécurisée à travers par exemple la partie fixe du réseau de radiocommunications RR et 1' internet. Dans une variante, les serveurs communiquent entre eux par des lignes spécialisées.
Chacun des serveurs SCN et SAD peut être géré par un opérateur du réseau de radiocommunications RR et constituer une plateforme OTA ("Over The Air" en anglais) .
Dans une autre variante, les serveurs SCN et SAD sont confondus et constituent un unique serveur.
La carte à puce CP est une carte à puce avec ou sans contact, par exemple à capacité de mémoire élevée. La carte à puce comporte une unité de sécurité et une unité de mémoire de masse qui sont deux unités logiques caractéristiques. L'unité de sécurité comporte un contrôleur de sécurité CS et une mémoire de sécurité MS. L'unité de mémoire de masse comporte un contrôleur de mémoire de masse CM et une mémoire de masse MM pour mémoriser des données, telles que des contenus numériques sécurisés CNS, nécessitant un important espace de mémoire. Le contrôleur de sécurité et le contrôleur de mémoire de masse sont de préférence des modules logiques dans un composant physique commun. Selon un autre exemple, les contrôleurs sont intégrés dans des composants physiques distincts reliés entre eux. Les accès aux mémoires MM et MS sont distincts et respectivement contrôlés par les contrôleurs CS et CM. Par exemple, le contrôleur de sécurité CS ne peut pas écrire de données dans la mémoire de masse MM. De même, le contrôleur de mémoire de masse CM ne peut pas écrire de données dans la mémoire de sécurité MS.
L'unité de mémoire de masse est entièrement contrôlée par le terminal T qui commande au contrôleur de mémoire de masse CM l'écriture, la lecture ou la suppression de données dans la mémoire de masse MM, ce qui empêche le contrôleur de sécurité CS d'écrire dans la mémoire de masse MM. L'unité de mémoire de masse présente des fonctionnalités et une structure qui peuvent être analogues à celles d'une clé USB (Universal Sériai Bus), ou d'une carte à mémoire flash (Flash-Memory Card) , ou d'une carte numérique sécurisée (Secure Digital Card), ou d'une carte multimédia de type MMC (Multi Media Card) .
Le contrôleur de sécurité CS de l'unité de sécurité peut être une application SIM (Subscriber
Identity Module) lorsque le terminal associé T est un mobile du type GSM ou GPRS, ou une application USIM (Universal Subscriber Identity Module) , RUIM
(Removable User Identity Module) ou ISIM (IP
Subscriber Identity Module) , associée à un terminal mobile fonctionnant en accès multiple à répartition par codes CDMA (Coded Division Multiple Access) de la troisième génération (3GPP) du type UMTS (Universal Mobile Télécommunications System) ou UTRAN (UMTS Terrestrial Radio Access Network) , ou de la troisième génération (3GPP2) du type CDMA 2000. L'unité de sécurité peut établir, de manière connue, un canal de communication de type OTA avec un serveur distant, tel que le serveur d'administration de droits SAD, afin de transmettre et recevoir des données de manière transparente à travers le terminal T.
Un microcontrôleur de la carte à puce CP comprend un processeur PC, ou plusieurs processeurs, et trois zones mémoires MCI à MC3. La carte reçoit des commandes ou requêtes du terminal T, et transmet des réponses au terminal T, à travers un port d'entrée/sortie PES.
La mémoire MCI est du type ROM ou Flash et inclut le système d'exploitation SEC de la carte, un premier algorithme de chiffrement Al et un deuxième algorithme de chiffrement A2. La mémoire MCI comprend le contrôleur de sécurité CS de l'unité de sécurité et le contrôleur de mémoire de masse CM de l'unité de mémoire de masse.
La mémoire MC2 est une mémoire non volatile par exemple EEPROM ou Flash pour notamment mémoriser des numéros d'identité et d'autres paramètres du profil
de l'usager possédant la carte, comme un code PIN et autres données de sécurité. La mémoire MC2 est uniquement accessible par l'unité de sécurité.
La mémoire MC2 comporte un espace de mémoire pour mémoriser des applications de carte, telles qu'une application de gestion AG, qui constituent des applets STK, par exemple SIM ToolKit, et qui sont installées lors de la fabrication de la carte ou éventuellement installées lors de l'utilisation de la carte à la demande de l'usager ou de l'opérateur.
La mémoire MC2 comprend une clé privée d'application de gestion KPRAG et un certificat CAG associé à la clé privée KPRAG. La clé privée KPRAG et le certificat CAG sont respectivement identiques à la clé privée KPRSAD et au certificat CSAD relatifs au serveur d'administration de droits SAD. En variante, la clé privée KPRAG est distincte de la clé privée KPRSAD et le certificat CAG est lié au certificat CSAD par une chaîne de certifications, en particulier le certificat CAG est par exemple numériquement signé par la clé privée KPRSAD. Le lien entre les certificats CAG et CSAD assure une confiance accordée au certificat CAG par l'autorité de certification.
La mémoire MC2 comprend également une clé de session KS pour communiquer avec le serveur d'administration de droits SAD de manière sécurisée, si ce dernier n'est pas géré par l'opérateur du réseau RR.
La mémoire de sécurité MS est prévue pour mémoriser des données sensibles telles qu'un droit d'accès DA associé à une clé de chiffrement KCN transmise par le serveur d'administration de droits SAD et avec laquelle est chiffré un contenu numérique sécurisé CNS.
En variante, la mémoire de sécurité MS comprend le contenu de la mémoire MC2.
La mémoire MC3 est une mémoire RAM ou SRAM servant plus particulièrement au traitement de données.
La mémoire de masse MM peut mémoriser des contenus numériques sécurisés CNS transmis par le serveur de contenu numérique SCN.
Le processeur PC, la mémoire MCI, le contrôleur de sécurité CS, les mémoires MC2 et MC3, la mémoire de sécurité MS et le port PES dans la carte sont reliés entre eux par un bus de sécurité bidirectionnel BS. De même, le processeur PC, la mémoire MCI, le contrôleur de mémoire de masse CM, la mémoire MC3, la mémoire de masse MM et le port PES dans la carte sont reliés entre eux par un bus bidirectionnel BM.
Le terminal T comprend un processeur PT, des mémoires MT, une interface radio IR et un lecteur de carte LT pour communiquer avec le port PES de la carte à puce CP. Les différents éléments du terminal sont reliés entre eux par un bus bidirectionnel BT.
Les mémoires MT comprennent trois zones mémoires MTl, MT2 et MT3.
La mémoire MTl est du type ROM ou Flash et inclut le système d'exploitation SET du terminal T et des algorithmes de déchiffrement Al et A2
La mémoire MTl comprend en outre une interface de communication IC afin que l'application principale
SIM ou USIM ou toute autre application dans la carte à puce CP communique avec le "monde extérieur" via le terminal T, par exemple avec le serveur d'administration de droits SAD. L'interface de communication IC gère des commandes et réponses
échangées entre le "monde extérieur" et une application de la carte à puce par exemple pour les adapter à une communication sur un canal de données, par exemple selon le protocole TCP, ou pour les adapter à des messages courts échangés avec un serveur de messages courts du réseau RR et empaquetant des données transmises et reçues par le serveur SAD.
La mémoire MT2 est une mémoire non volatile par exemple EEPROM ou Flash et peut comprendre entre autres, une clé privée d'agent de sécurité KPRAS et un certificat CAS associé à la clé privée KPRAS.
La mémoire MT2 peut comprendre en outre un contenu numérique sécurisé CNS. La mémoire MT3 est une mémoire RAM ou SRAM servant plus particulièrement au traitement de données .
Le terminal T comprend, en outre relativement à l'invention, un agent de sécurité AS, qui peut être un agent logiciel, réparti dans les mémoires MTl et MT2. L'agent de sécurité AS analyse les droits d'accès DA associés à des contenus numériques sécurisés CNS et déchiffre les contenus numériques sécurisés CNS avec les clés KCN correspondantes. L'agent de sécurité AS est typiquement un lecteur de média .
L'agent de sécurité AS exploite au moins un type de droit numérique TDN qui est spécifique à l'agent AS et dépend par exemple d'un choix du fabricant du terminal T, de l'opérateur ou de l'utilisateur du terminal. Un type de droit numérique TDN définit par exemple le type d'une clé KCN pour chiffrer des contenus numériques sécurisés ou encore la longueur de ladite clé, et le format du droit d'accès DA associé au contenu numérique sécurisé CNS.
L'agent de sécurité AS peut également être intégré dans un ordinateur personnel relié au terminal T associé à la carte à puce CP.
Selon d'autres exemples, le terminal T est remplacé par tout terminal avec lequel peut communiquer une carte à puce, et peut être un dispositif portable de transmission de message, ou un ordinateur personnel (PC) doté d'un lecteur de carte à puce. Le réseau RR peut être alors couplé par exemple à un intranet, un réseau local sans fil, ou
1 ' internet .
En référence à la figure 2, le procédé de gestion d'accès sécurisé à un contenu numérique sécurisé selon une réalisation préférée de l'invention comprend des étapes El à E8.
Initialement à une étape EO, dans la carte à puce CP sont mémorisés la clé privée d'application de gestion KPRAG et un certificat CAG associé à la clé privée KPRAG dans une mémoire sécurisée seulement accessible par l'application de gestion AG, par exemple dans la mémoire MC2 ou MS. En outre, le serveur d'administration de droits SAD gère un type de droit numérique TDNS prédéfini et le serveur de contenu numérique SCN a chiffré des contenus numériques sécurisés CNS avec une clé de chiffrement KCN de manière compatible avec le type de droit numérique TDNS sélectionné en accord avec le serveur d'administration de droits SAD. A l'étape El, une communication est établie entre l'application de gestion AG de la carte à puce CP et l'agent de sécurité AS du terminal T. L'agent de sécurité AS accède au certificat CAG mis à disposition par l'application de gestion AG. De même, l'application de gestion AG accède au certificat CAS
et au type de droit numérique TDN exploité par l'agent AS, mis à disposition par ce dernier.
De préférence, l'application de gestion AG transmet le certificat CAG à l'agent de sécurité AS d'une part, et l'agent de sécurité AS transmet le certificat CAS et le type de droit numérique TDN exploité par l'agent AS à l'application de gestion AG d'autre part. Les certificats et le type de droit numérique sont par exemple transmis lors de la mise en marche du terminal via une communication de type ATR (Answer To Reset) ou de profil de terminal au cours de laquelle le terminal T est informé des capacités de la carte à puce CP ou réciproquement. Le certificat CAS et le type de droit numérique TDN reçus par l'application de gestion AG sont par exemple mémorisés dans la mémoire de sécurité MS.
Dans une variante, les certificats et le type de droit numérique sont respectivement écrits dans des fichiers accessibles par l'application de gestion AG et par l'agent de sécurité AS.
Dans une autre variante, les certificats et le type de droit numérique sont échangés entre l'application de gestion et l'agent de sécurité par l'intermédiaire du serveur d'administration de droits SAD.
De manière plus générale, les certificats et le type de droit numérique peuvent être transmis via des commandes et protocoles propriétaires ou standardisés entre l'application de gestion AG et l'agent de sécurité AS.
En variante, l'étape El peut être exécutée après l'étape E2 ou E3 et avant l'étape E4.
A l'étape E2, l'usager du terminal T souhaite acquérir un contenu numérique sécurisé CNS qu'il a par exemple sélectionné sur un site internet hébergé
par le serveur de contenu numérique SCN. Le serveur SCN transmet le contenu numérique sécurisé CNS chiffré avec la clé de chiffrement KCN au terminal T, la clé KCN étant associée au type de droit numérique TDNS géré par le serveur d'administration de droits SAD. Le contenu numérique sécurisé CNS est mémorisé dans une mémoire de capacité élevée accessible par l'agent de sécurité AS, par exemple dans la mémoire de masse MM de la carte à puce CP ou dans la mémoire MT2 du terminal T.
Le contenu numérique sécurisé CNS peut être mis à disposition sans contrainte puisqu'il est accessible et exploitable seulement avec le droit d'accès DA qui lui est associé. Le terminal T peut donc récupérer le contenu numérique sécurisé CNS directement depuis un point de vente quelconque ou encore par transferts successifs depuis d'autres terminaux en relation avec le serveur de contenu numérique SCN. Suite à la transmission du contenu numérique sécurisé CNS au terminal T, le serveur de contenu numérique SCN transmet la clé de chiffrement KCN au serveur d'administration de droits SAD.
A l'étape E3, le serveur d'administration de droits SAD transmet à la carte à puce CP la clé de chiffrement KCN et le droit d'accès DA associés au contenu numérique sécurisé CNS et relatifs au type de droit numérique TDNS géré par le serveur SAD. La carte à puce CP mémorise la clé de chiffrement KCN et le droit d'accès DA reçus dans un espace de mémoire sécurisé seulement accessible par l'application de gestion AG, par exemple dans la mémoire de sécurité MS. La clé de chiffrement KCN et le droit d'accès DA sont transmis à la carte à puce généralement lorsque
l'usager du terminal T a effectué une transaction pour l'achat ou l'intention d'achat du contenu CNS.
De préférence, la clé de chiffrement KCN et le droit d'accès DA sont transmis par le serveur d'administration de droits SAD à la carte à puce par message court via une plateforme OTA du réseau RR et via l'interface de communication IC du terminal T.
Si le serveur d'administration de droits SAD n'est pas géré par l'opérateur du réseau RR, la clé de chiffrement KCN et les droits d'accès DA sont chiffrés par la clé de session KS connue de l'application AG de la carte à puce CP.
Dans une variante, la clé de chiffrement KCN et le droit d'accès DA sont transmis de manière sécurisée, par exemple grâce à la clé KS, et mémorisés dans la carte à puce CP directement depuis un point de vente.
Dans une autre variante, le serveur d'administration de droits SAD transmet à l'application de gestion AG des ensembles numériques contenant chacun une clé de chiffrement et un droit d'accès relatifs à des types de droit d'accès respectifs afin que l'application de gestion AG sélectionne la clé de chiffrement et le droit d'accès associés au type de droit numérique TDN exploité par l'agent de sécurité AS.
Dans une autre variante, la clé de chiffrement KCN est une clé classique compatible avec tous les types de droit d'accès exploités par les fabricants de terminaux. Dans ce cas, le serveur d'administration de droits SAD transmet à l'application de gestion AG la clé KCN et le droit d'accès DA, ou la clé KCN et des droits d'accès DA relatifs aux différents types de droit d'accès.
A l'étape E4, l'application de gestion AG vérifie si le type de droit numérique TDNS associé à la clé de chiffrement KCN et au droit d'accès DA reçus correspond au type de droit numérique TDN exploité par l'agent de sécurité AS et transmis par ce dernier à l'étape El.
Si les types de droit d'accès TDN et TDNS sont différents, en d'autres termes si la clé de chiffrement KCN et le droit d'accès DA reçus ne sont pas compatibles avec le type de droit numérique TDN exploité par l'agent AS, à l'étape E5 l'application de gestion AG adapte la clé de chiffrement KCN et le droit d'accès DA et modifie le contenu numérique sécurisé CNS en fonction du type de droit numérique TDN exploité par l'agent de sécurité AS selon des étapes E51 à E55.
A l'étape E51, l'application de gestion AG génère une clé de chiffrement KCNA adaptée au type de droit numérique TDN exploité par l'agent de sécurité AS.
A l'étape E52, l'application de gestion AG déchiffre le contenu numérique sécurisé CNS avec la clé de chiffrement reçue KCN, et selon un algorithme associé à la clé KCN. A l'étape E53, l'application de gestion AG formate le contenu numérique sécurisé déchiffré CNS de manière compatible avec l'agent de sécurité AS. Le format du contenu numérique sécurisé est alors adapté à l'agent AS afin que celui l'interprète. Par exemple, le contenu numérique sécurisé contient des en-têtes dont la syntaxe est formatée pour que les en-têtes, et par conséquent le contenu numérique sécurisé, soient lisibles par l'agent de sécurité.
En variante, l'étape E53 n'est pas exécutée si le contenu numérique sécurisé déchiffré CNS est interprétable par l'agent de sécurité AS.
A l'étape E54, l'application de gestion AG chiffre de nouveau le contenu numérique sécurisé déchiffré et formaté CNS avec la clé de chiffrement adaptée KCNA, et selon un algorithme de chiffrement associé à la clé KCNA.
A l'issue des étapes E52 à E54, le contenu numérique sécurisé CNS est considéré comme modifié suite au déchiffrement, formatage et chiffrement successifs de celui-ci.
A l'étape E55, l'application de gestion AG formate le droit d'accès DA en un droit d'accès formaté DAF de manière compatible avec le type de droit numérique TDN. Par exemple, le droit d'accès formaté DAF est un fichier de type XML (extensible Markup Language) dont les balises doivent être lisibles par l'agent de sécurité AS. L'application de gestion AG adapte alors la syntaxe des balises au format de droit d'accès défini par le type de droit numérique TDN.
L'étape E55 peut être exécutée avant l'une des étapes E51 à E54. Dans une variante, la clé de chiffrement KCN est une clé classique compatible avec tous les types de droit d'accès TDN exploités par les fabricants de terminaux. Dans ce cas, seul le droit d'accès DA reçu n'est pas compatible avec le type de droit numérique TDN et l'application de gestion AG adapte seulement le droit d'accès DA de manière compatible avec le type de droit numérique TDN. Si le contenu numérique sécurisé CNS n'est pas compatible avec l'agent de sécurité AS, il est déchiffré avec la clé KCN à l'étape E2, formaté de manière compatible avec
l'agent de sécurité AS à l'étape E3 et chiffré de nouveau avec la clé de chiffrement KCN, l'étape E51 n'étant pas exécutée.
Dans une autre variante, la clé de chiffrement KCN est une clé classique compatible avec les différents types de droit d'accès TDN exploités par les fabricants de terminaux et plusieurs droits d'accès, y compris le droit d'accès DA, relatifs aux différents types de droit d'accès ont été transmis par le serveur SAD et mémorisés dans la carte à puce. Le droit d'accès DA est considéré comme adapté à l'étape E55 en sélectionnant un droit d'accès reçu compatible avec le type droit d'accès exploité par l'agent de sécurité. Dans encore une autre variante, des ensembles numériques contenant chacun une clé de chiffrement et un droit d'accès relatifs à des types de droit d'accès respectifs, notamment la clé KCN et le droit d'accès DA, ont été transmis par le serveur SAD et mémorisés dans la carte à puce. La clé KCN et le droit d'accès DA sont considérés comme adaptés à l'étape E5 en sélectionnant parmi les ensembles numériques la clé de chiffrement et le droit d'accès compatibles avec le type de droit numérique TDN exploité par l'agent de sécurité AS.
En revenant à l'étape E4, si les types de droit d'accès TDN et TDNS sont identiques, le droit d'accès DA et la clé KCN étant interprétables par l'agent AS sont considérés comme adaptés à l'étape E5.
L'application de gestion AG produit un fichier d'accès sécurisé FAS, de préférence signé en un fichier FASs, en fonction de la clé adaptée KCNA et du droit d'accès formaté DAF, selon l'étape E6 comprenant des étapes E61 à E63.
A l'étape E61, l'application de gestion AG applique à la clé de chiffrement adaptée KCNA le premier algorithme Al ayant pour clé la clé publique du certificat CAS pour produire une clé de chiffrement chiffrée KCc.
A l'étape E62, l'application de gestion AG produit un fichier d'accès sécurisé FAS comprenant la clé de chiffrement chiffrée KCc et le droit d'accès formaté DAF compatible avec le type de droit numérique TDN.
A l'étape E63, l'application de gestion AG signe le fichier d'accès sécurisé FAS avec la clé KPRAG. Plus précisément, l'application de gestion AG applique le fichier d'accès sécurisé FAS au deuxième algorithme A2 ayant pour clé la clé privée d'application de gestion KPRAG pour produire le fichier d'accès sécurisé signé FASs.
Par conséquent, puisque le certificat CAS et le type de droit numérique TDN relatifs au terminal sont connus de l'application de gestion, la carte à puce s'adapte au terminal auquel elle est associée.
A l'étape E7, l'application de gestion AG rend le fichier d'accès sécurisé signé FASs accessible à l'agent de sécurité AS. Par exemple, le fichier d'accès sécurisé signé FASs est mémorisé dans un système de fichiers défini par la spécification ISO-7816-4 de la carte à puce ou dans un système de fichiers de type FAT d'une mémoire Flash de la carte à puce. Selon un autre exemple, le fichier d'accès sécurisé signé FASs est accessible par l'agent de sécurité AS via un protocole du type HTTP (HyperText Transfer Protocol) ou tout autre protocole propriétaire ou standardisé, tel que le protocole
d'acquisition de droits ROAP (Right Object Acquisition Protocol) .
Selon un autre exemple, la manière dont l'agent de sécurité AS accède au fichier d'accès sécurisé signé FASs résulte d'une négociation entre l'agent de sécurité AS et l'application de gestion AG comprenant un échange d'informations sur les possibilités de protocoles de communication utilisables par l'agent de sécurité AS et par l'application de gestion AG. A l'étape E8, l'agent de sécurité AS traite le contenu numérique sécurisé CNS en fonction du fichier d'accès sécurisé FASs. L'agent de sécurité AS valide le fichier d'accès sécurisé signé FASs avec le certificat CAG, à l'aide de l'algorithme de déchiffrement A2 inverse du deuxième algorithme A2, et déchiffre la clé chiffrée KCc avec la clé privée KPRAS en une clé déchiffrée qui est la clé KCNA à l'aide de l'algorithme de déchiffrement Al inverse du premier algorithme Al. L'agent de sécurité AS interprète alors le droit d'accès formaté DAF et déchiffre le contenu numérique sécurisé CNS avec la clé déchiffrée KCNA. Une fois déchiffré, le contenu numérique sécurisé CNS est alors lisible par un lecteur de média associé à l'agent de sécurité AS.
Lorsque l'usager utilise un deuxième terminal avec la carte à puce, le contenu numérique sécurisé CNS et le fichier d'accès sécurisé associé FAS sont mis à jour pour être interprétés par l'agent de sécurité AS du deuxième terminal.
Lorsque l'usager décide de changer de terminal, il retire la carte à puce CP de l'ancien terminal T et acquiert le deuxième terminal dans lequel l'usager insère la carte à puce CP qui est alors connectée au deuxième terminal.
Le contenu numérique sécurisé CNS précédemment reçu est accessible par l'application de gestion AG.
Il est par exemple mémorisé dans la carte à puce CP ou copié depuis l'ancien terminal dans le deuxième terminal acquis.
De manière analogue à l'étape El, l'application de gestion AG et l'agent de sécurité AS échangent des informations relatives au certificat CAG, au certificat CAS et au type de droit numérique TDN exploité par l'agent AS.
De manière analogue aux étapes E4 et E5, l'application de gestion AG adapte la clé de chiffrement KCN et le droit d'accès DA et modifie le contenu numérique sécurisé CNS en fonction du type de droit numérique TDN exploité par l'agent de sécurité AS du deuxième terminal .
De manière analogue à l'étape E6, l'application de gestion AG produit un deuxième fichier d'accès sécurisé FAS, de préférence signé FASs, en fonction du droit d'accès formaté DAF, de la clé adaptée KCNA et du certificat CAS relatifs au deuxième terminal, afin que seul l'agent de sécurité AS du deuxième terminal puisse déchiffrer et traiter le contenu numérique sécurisé CNS en fonction du deuxième fichier d'accès sécurisé FASs.
Le contenu numérique sécurisé CNS est avantageusement récupéré une seule fois par l'usager de la carte à puce CP, comme décrit à l'étape E2, et la clé de chiffrement KCN et le droit d'accès DA relatifs au contenu numérique sécurisé CNS sont également transmis une seule fois par le serveur d'administration de droits SAD à la carte à puce CP, comme décrit à l'étape E3.
Par conséquent, l'usager peut utiliser la carte à puce CP avec tout autre terminal, puisque cette dernière conserve en mémoire la clé de chiffrement KCN et le droit d'accès DA et s'adapte aux fonctionnalités du terminal dans laquelle elle est insérée. Par ailleurs, l'usager peut utiliser de nouveau la carte à puce CP avec l'ancien terminal afin que ce dernier lise le contenu numérique sécurisé .
L'invention ne se limite pas au domaine des télécommunications. L'objet communicant portable peut être une clé USB (Universal Sériai Bus) pour échanger des données confidentielles mémorisées dans la mémoire de masse de la clé USB dont l'accès sécurisé est géré par l'unité de sécurité de la clé USB.
Selon un autre exemple d' implémentation de l'invention, le serveur d'administration de droits SAD peut être un ordinateur personnel (PC) relié au terminal T par une liaison filaire de type liaison série ou liaison USB, ou par une liaison sans fil de type Bluetooth, WIFI, infrarouge (IrDA : Infrared Data Association) ou ZigBee.
Selon encore un autre exemple d' implémentation de l'invention, un ordinateur personnel (PC) sert de passerelle entre le serveur d'administration de droits SAD et/ou le serveur de contenu numérique SCN et le terminal. Le serveur SCN et/ou le serveur SAD communiquent avec l'ordinateur via un réseau de communication du type internet, et l'ordinateur communique avec le terminal via une liaison sans fil de type Bluetooth, WIFI, infrarouge (IrDA : Infrared Data Association) ou ZigBee.
Au lieu d'être mobile, le terminal peut être un terminal fixe, tel qu'un ordinateur personnel,
associé à l'objet communicant portable et communiquant avec les serveurs SCN et SAD via 1 ' internet notamment.
L'invention décrite ici concerne un procédé et un objet communicant portable pour gérer un accès sécurisé à un contenu numérique sécurisé CNS chiffré avec un clé KCN, l'objet communicant portable CP étant associé à un terminal T comprenant un agent AS pour traiter le contenu numérique sécurisé qui est transmis par un premier serveur SCN au terminal à travers un réseau de communications RR. Selon une implémentation préférée, les étapes du procédé de 1 ' invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans l'objet communicant portable tel qu'une carte à puce CP. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans l'objet communicant portable dont le fonctionnement est alors commandé par l'exécution du programme, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.