WO2017089710A1 - Method for distributing rights to a service and service platform - Google Patents

Method for distributing rights to a service and service platform Download PDF

Info

Publication number
WO2017089710A1
WO2017089710A1 PCT/FR2016/053072 FR2016053072W WO2017089710A1 WO 2017089710 A1 WO2017089710 A1 WO 2017089710A1 FR 2016053072 W FR2016053072 W FR 2016053072W WO 2017089710 A1 WO2017089710 A1 WO 2017089710A1
Authority
WO
WIPO (PCT)
Prior art keywords
service
rights
identity
platform
database
Prior art date
Application number
PCT/FR2016/053072
Other languages
French (fr)
Inventor
Emmanuel Bertin
Stéphane CAZEAUX
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2017089710A1 publication Critical patent/WO2017089710A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership

Definitions

  • the invention relates to the general field of communications.
  • It relates more particularly to the implementation of services such as communication services such as a conference service (video conference, audio conference or audio / video type conference) or a multimedia data stream broadcasting service, or any other type of services involving a plurality of actors, as well as the management of related rights.
  • communication services such as a conference service (video conference, audio conference or audio / video type conference) or a multimedia data stream broadcasting service, or any other type of services involving a plurality of actors, as well as the management of related rights.
  • conferencing systems are based on the use of a service platform (audio, video, web, etc.), also called a conference bridge, which centralizes and controls all the resources implemented during a conference. the conference.
  • This service platform is based on a centralized management of access and rights related to the conference (eg right to moderate the conference, right to close the conference, etc.).
  • the service platform controls that the the user has the right to request such action, and if necessary, executes the said action.
  • the terminals of the users participating in a communication service such as a conference service can, according to their respective capacities, make available to the conference service their own resources to establish directly between them flow transmission channels, these channels then serving as a support for a communication session implemented as part of the conference service.
  • the rendering of the conference service is no longer centralized at the level of the service platform (that is to say the conference bridge), but is relocated and distributed in whole or in part to the terminals of the users participating in the service. .
  • the invention responds in particular to this need by proposing a method for distributing rights on a service, intended to be implemented by a service platform and comprising: a step of building a database called identities and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one information representative of rights on the service allocated to the device; and
  • a step of transmitting this database of identities and rights to each device participating in the service A step of transmitting this database of identities and rights to each device participating in the service.
  • the invention correlatively targets a service platform capable of broadcasting rights on a service, this service platform comprising:
  • a construction module configured to construct a database of identities and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and associated with this identity at least one representative information of service rights allocated to the device;
  • a transmission module configured to transmit this database of identities and rights to at least one other device participating in the service.
  • the invention thus advantageously proposes to construct, at the level of a centralized service platform, a database of identities and rights on the service, and then to broadcast this database of identities and rights to the various devices participating in the service for they can have local information on the rights of each device participating in the service.
  • This database of identities and rights has for example the form of a matrix grouping, for each of the devices participating in the service, the identity used by this device during its participation in the service and one or more information relating to rights assigned to this device on the service.
  • the identity of the device stored in the database of identities and rights is typically information of reachability of the device during the service, such as for example a telephone number, an email address, etc.
  • the information about the rights assigned to a device on the service may be in the form of actions authorized to the device (eg mute the microphone of another device during the conference, close the conference, etc.). , and / or one or more roles associated with the device during its participation in the service (for example a moderator role), each device having the prior knowledge of the correspondence between a role and the actions authorized by this role, or having the possibility to access it freely.
  • the database of identities and rights thus constructed is transmitted in accordance with the invention to the devices participating in the service.
  • each service user is informed of the rights and roles assigned to other users of the service.
  • a device A when a device A requires from a device B an action during the implementation of the service, it can, from the information contained in the database that has been transmitted, determine whether the device A is authorized to request such action and if necessary perform the action or otherwise refuse to perform this action. This verification can be done very quickly, thanks to the database stored locally at device B, without consulting the service platform.
  • the invention therefore has a preferred application, but not limited to, when the rendering resources of a service are distributed over several devices (terminal (ux) of user (s), platform (s) of service, server (s) , etc.), by coupling rights management on the service with the rendering of the service itself, a control of the rights that can be carried out thanks to the database of identities and rights diffused by the service platform at the level of each device participating in the service. rendering of the service.
  • service rendered may be a service for distributing media or conference streams as mentioned above, as a service to which several connected objects participate by cooperating with each other so as to perform different actions (eg measurement of parameters , processing of measurements, rendering of measurements, etc.).
  • the identity and said at least one information representative of the rights on the service allocated to this device are obtained, by the service platform, from the device when registering with it.
  • This identity and the related rights may have been transmitted to the device in advance by a platform of rights of service.
  • said at least one information representative of the service rights allocated to this device comprises a role associated with the device during its participation in the service.
  • the identity and rights database is encrypted and / or signed by the service platform before being transmitted to each device.
  • the identity and rights database can be encrypted and / or signed according to a known asymmetric cryptographic scheme, using a private key allocated to the service platform, the public key associated with this private key. being accessible by the devices participating in the service (for example stored in memory of these devices).
  • the devices can ensure the origin and integrity of the database of identities and rights transmitted to them.
  • the devices participating in the service do not need to establish a relationship of trust between them (for example via an authentication or a mechanism two-by-two pairing), since a trusted entity, the Service Rights Management Platform, has certified them through the transmission of the identity and rights database that they can to trust each other.
  • the invention thus simplifies the implementation of the service.
  • each device can verify the origin of the identity and rights database that is transmitted to it, such as a control of the IP address (Internet Protocol) source to the origin of the transmission of the database, or the domain name to which the service platform is attached, or a prior authentication mechanism implemented between each device and the service platform, etc.
  • IP address Internet Protocol
  • the choice of one or the other of these mechanisms can depend in particular on the level of security imposed by the context of use of the service.
  • the distribution method comprises:
  • a step of updating the database of identities and rights for the identity used by the device according to said indication A step of updating the database of identities and rights for the identity used by the device according to said indication.
  • This embodiment advantageously makes it possible to take into account an evolution of the rights and / or the roles of the devices during the use of the service.
  • the change of rights indication includes an authentication token corresponding to at least one new right assigned to the device.
  • the invention is therefore based on the construction and distribution to the devices participating in a service of an identity and rights database by a centralized service platform managing the rights to this service, but also on the use of this database of identities and rights by the devices during their participation in the service.
  • the invention also relates to a method of processing a request by a first device intended to be implemented during a participation of the first device in a service, this method comprising:
  • a verification step in the database of identities and rights, if the identity included in the request has the right to request the execution of said action by the first device;
  • the invention also relates to a device, said first device, able to participate in a service, this first device comprising:
  • a obtaining module able to obtain a database of identities and rights transmitted by a service platform according to the invention able to broadcast rights on the service, said identity and rights database comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one representative information of rights on the service allocated to the device;
  • a reception module able to receive a request from a second device able to participate in the service, this request comprising an identity used by the second device during its participation in the service and an action intended to be executed by the first device; device;
  • a verification module activated by the reception module following receipt of the request from the second device, and configured to verify in the identity and rights database whether the identity included in the request has the right to require the execution of said action by the first device;
  • An execution module configured to perform the action required in the request, activated if the verification module determines that the identity included in the request has the right to request the execution of this action by the first device.
  • the identity and rights database transmitted by the service platform is encrypted and / or signed, the processing method comprising a step of decryption and / or validation of the signature of the service provider. identity and rights base before implementing the verification step.
  • the processing method and the device according to the invention benefit from the same advantages mentioned above as the rights distribution method and the service platform according to the invention.
  • the various steps of the distribution method and / or the processing method are determined by computer program instructions.
  • the invention also relates to a computer program on an information carrier, this program being capable of being implemented in a service platform or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of a distribution method as described above.
  • the invention also relates to a computer program on an information medium, this program being capable of being implemented in a device such as a terminal, a service platform, a server or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of a treatment method as described above.
  • Either of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form , or in any other desirable form.
  • the invention also relates to a computer-readable information medium, comprising instructions of a computer program as mentioned above.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording means, for example a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can be downloaded in particular on an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • the invention also provides a system providing a service and comprising:
  • a service platform able to broadcast rights on the service
  • a plurality of devices according to the invention able to participate in the service.
  • the system according to the invention has the same advantages mentioned above as the rights distribution method, the processing method, the service platform and the device according to the invention.
  • system may further include a rights allocation platform on the service, this rights allocation platform comprising:
  • An authentication module configured to authenticate a device intended to participate in the service
  • This embodiment has a preferred application when the assignment of rights and the distribution of rights are distributed on separate platforms, for example in the event of a distributed service architecture.
  • rights distribution method the processing method, the service platform, the device and the system according to the invention present in combination all or part of the aforementioned characteristics.
  • FIG. 1 represents a system offering a conference service according to the invention in a particular embodiment
  • FIG. 2 and 3 respectively show an example of hardware architecture of a service platform and a device according to the invention in a particular embodiment
  • FIG. 4 represents, in the form of a flow chart, the main steps of a method implemented by a device of the system of FIG. 1, according to the invention, in a particular embodiment;
  • FIG. 5 represents, in the form of a flow chart, the main steps of a method implemented by a platform for assigning rights to the conference service offered by the system of FIG. 1, in a particular embodiment. ;
  • FIG. 6 represents, in the form of a flow chart, the main steps of a method for distributing rights over the conference service offered by the system of FIG. 1 as it is implemented by a distribution platform of FIGS. rights of the system of Figure 1, in a particular embodiment;
  • FIG. 7 illustrates a first basic example of identities and rights that can be used by the system of FIG. 1;
  • FIG. 8 represents, in the form of a flow chart, the main steps of a processing method implemented by a device of the system of FIG. 1, in a particular embodiment.
  • FIG. 9 illustrates a second basic example of identities and rights that can be used in the context of the invention for a system comprising a plurality of connected objects.
  • FIG. 1 represents, in its environment, a system 1 according to the invention, offering a plurality of devices a service such as for example a CONF conference type service (audio conference, videoconference or audio / video conference) .
  • a CONF conference type service audio conference, videoconference or audio / video conference
  • 1, and other services may be envisaged, such as another multimedia data stream broadcasting service (audio, video, text, etc.), an online gaming service, a service based on several connected objects. between them, etc.
  • another multimedia data stream broadcasting service audio, video, text, etc.
  • an online gaming service a service based on several connected objects. between them, etc.
  • the rendering of the conference service CONF is distributed on several devices 3 of the system 1 participating in the same session of the service, these devices 3 being in accordance with the invention and able to communicate with each other via a telecommunications network 2 (eg Internet, intranet, fixed or mobile network, etc.).
  • the devices 3 more particularly here comprise a plurality of user terminals (three in the example of FIG. 1 referenced by 3-1, 3-2, 3-3) and a service platform 3-4, this platform of service being for example a conference bridge known per se.
  • Each terminal 3-1, 3-2, 3-3 hosts here a web application (or "web app” in English) of decentralized conference, accessible in a manner known per se by the user of the terminal via a web browser.
  • the rendering of the conference service is for example distributed on the terminals 3-1, 3-2, 3-3 and on the service platform 3-4 in a way similar or identical to that proposed in the document FR 1 359 692 , not detailed here.
  • system 1 also includes, for managing rights on the CONF conference service:
  • a service platform 4 in charge of assigning rights to the CONF service (hereinafter referred to as rights allocation platform 4). It is this platform which, in the example envisaged in FIG. 1, assigns to each of the devices 3 of the system 1 an identity intended to be used by each device during its participation in the conference service CONF, as well as rights, or in an equivalent way, one or more roles on this service; and
  • a service platform 5 in charge of distributing the rights allocated on the CONF service to the devices 3 of the system 1, in accordance with the invention (hereinafter referred to as the rights distribution platform 5).
  • the platform 5 of distribution of rights is hosted here by a management server 6 as described in document FR 1 359 692, able to allow rendering of the conference service CONF distributed on the devices 3 of the system 1.
  • the manner in which the management server 6 proceeds to this effect is described in detail in the document FR 1 359 692 and is not repeated here.
  • the platform 4 rights allocation can also be hosted by the server 6, or alternatively, as in the example shown in Figure 1, by a server 7 separate from the server 6 but able to communicate with the server 6, by example via the telecommunications network 2, so as to allow interaction between the two platforms 4 and 5.
  • the rights distribution platform 5 has the hardware architecture of a computer, as represented in FIG. 2. It notably comprises a processor 8, a read-only memory 9, a random access memory 10, a non-volatile memory 11 and a communication module 12 comprising in particular means known per se for communicating on the telecommunications network 2 (eg depending on the network considered, a network card, a SIM card (Subscriber Identity Module), etc.; ).
  • the read-only memory 9 constitutes a recording medium according to the invention, readable by the processor 8 and on which is recorded a computer program PROG1 (or software) according to the invention comprising instructions for executing the steps of the diffusion method according to the invention.
  • the computer program PROG1 here defines modules or functional components and software rights distribution platform 5, able to implement the steps of the broadcast method according to the invention. These software modules are able to access and / or control the hardware resources of the platform 5 (and in particular the hardware resources 9-13 mentioned above). They include here:
  • a construction module 5A of a database DB called identities and rights on the CONF conference service
  • modules 5A and 5B are detailed later with reference to the corresponding steps of the distribution method according to the invention.
  • the rights allocation platform 4 also has the hardware architecture of a computer, this architecture being identical or similar to that of the rights distribution platform 5 illustrated in FIG. platform 4 read-only memory is a recording medium, readable by the processor of the platform 4, and on which is recorded a computer program defining here various modules (functional components) and software of the platform 4. These software modules are able to access and / or control the hardware resources of the service platform 5 and include here:
  • An authentication module 4A configured to authenticate the devices 3 of the system 1 wishing to participate in the CONF conference service;
  • the transmission module 4C can be configured to transmit these identities and rights to the rights distribution platform 5 via the network of Telecommunications 2 for example, or if both platforms 4 and 5 are hosted by the same server, via a data bus or communication specific to the server.
  • each device 3 of the system 1 ie terminals 3-1, 3-2, 3-3, and conference bridge 3-4), have the hardware architecture of a computer, as represented in FIG. 3. It comprises in particular a processor 13, a read-only memory 14, a random access memory 15, a non-volatile memory 16 and a communication module 17 comprising, in particular, means known per se for communicating on the network of telecommunications 2 (eg depending on the network considered, a network card, a SIM card (Subscriber Identity Module), etc.).
  • the read-only memory 14 constitutes a recording medium in accordance with the invention, readable by the processor 13 and on which is recorded a computer program PROG2 (ie software) according to the invention comprising instructions for performing the steps the method of processing a request according to the invention.
  • PROG2 ie software
  • the computer program PROG2 here defines modules or functional components and software devices 3, able to implement the steps of the treatment method according to the invention. These software modules are able to access and / or control the hardware resources of the device (and in particular the hardware resources 13-17 mentioned above). They include here:
  • a verification module 3C able to interrogate the database DB
  • a 3D execution module able to perform various actions required by the device as part of the CONF conference service and the functions that it performs for rendering the CONF conference service.
  • modules 3A-3D are detailed later with reference to the corresponding steps of the treatment method according to the invention.
  • FIG. 4 represents the processing method implemented by each of the devices 3 of the system 1 participating in the rendering of the conference service CONF during a session involving these devices, that is to say by the terminals 3-1, 3-2, 3-3 and by the conference bridge 3-4.
  • the general reference 3 to designate any of these devices.
  • this general reference 3 it means that the steps and other parameters described in connection with this general reference are applied to each of the devices 3- 1, 3-2, 3-3 and 3-4.
  • each of the devices 3 of the system 1 has registered prior to this service (step E10), for example with the platform 4 for the assignment of rights.
  • step E10 each device 3 has agreed with the platform 4, an identifier (or "login” in English) and a password to authenticate with it.
  • each device 3 authenticates here in a first time with the platform 4 rights assignment (steps E20 and F10), in a manner known per se, using the identifier and the password exchanged during prior registration of the device 3.
  • the platform 4 responsible for managing the access rights to the conference service CONF, establishes via its assignment module 4B the identity ID (3) intended to be used by this device on the service (ie identity ID (3-1) for the terminal 3-1, identity ID (3-2) for the terminal 3 -2, identity ID (3-3) for the terminal 3-3 and identity ID (3-4) for the device 3-4 respectively) (step F20).
  • identity ID (3) intended to be used by this device on the service (ie identity ID (3-1) for the terminal 3-1, identity ID (3-2) for the terminal 3 -2, identity ID (3-3) for the terminal 3-3 and identity ID (3-4) for the device 3-4 respectively) (step F20).
  • identity ID reflects the way in which the device 3 in question will be recognized by the other devices participating in the service. For example, for a conference service, it may be the IP address of the device 3. It is assumed here that the platform 4 affects:
  • the identity ID (3- 1) corresponding to the IP address @ 3-1 of the device 3-1;
  • the identity ID (3-2) corresponding to the IP address 3-2 of the device 3-2;
  • the identity ID (3-3) corresponding to the IP address 3-3 of the terminal 3-3;
  • the identity ID (3-4) corresponding to the IP address @ 3-I of the device 3-4.
  • the identity established by the platform 4 for a device 3 may correspond to its telephone number, a nickname, etc.
  • This identity is established here by the platform 4 from information previously stored in a non-volatile memory of the platform, and obtained for example during the registration of the device 3 (it may be in particular information provided by the user of the device. device 3 when recording at conference service or selected by platform 4). It should be noted that the identity ID (3) established in step F20 by the platform 4 for the device 3 is not necessarily linked to the identifier used by the device 3 to authenticate with the platform 4.
  • the rights allocation platform 4 also allocates (ie allocates) to the device 3, through its assignment module 4B, rights RGT (3) on the conference service CONF (ie rights RGT (3 -1) for the terminal 3-1, TMR rights (3-2) for the terminal 3-2, GTA rights (3-3) for the terminal 3-3 and GTA rights (3-4) for the device 3-4 respectively) (step F30).
  • rights allocation is meant here that the platform 4 allows certain actions specific to the device 3 in the framework of the service CONF to the device 3.
  • actions consisting in requesting from one or more other devices the performance of a particular action (eg mute a device, disconnect a device, obtain device information, etc.), or actions that may apply to the device itself if this is relevant to the service in general (eg reboot the service), or to all devices (eg terminate the conference).
  • a particular action eg mute a device, disconnect a device, obtain device information, etc.
  • actions that may apply to the device itself if this is relevant to the service in general eg reboot the service
  • all devices eg terminate the conference.
  • No limitation is attached to the nature of the rights allocated to each of the devices 3 by platform 4, these rights depending of course on the service in question.
  • the rights assigned to a device 3 may be specified directly as such or in a coded manner, or may derive indirectly from one or more roles assigned by the platform 4 to the device 3 vis-à-vis one or more devices of system 1 (eg in the case of a conference service: organizer, moderator, participant, etc.).
  • the correspondence between role and related rights is here assumed to be known by each of the devices 3 participating in the conference service CONF and the service platforms 4 and 5. It is for example communicated to each device 3 when it is registered with the CONF conference service.
  • the TMN rights (3) constitute information representative of the rights on the service CONF allocated to the device 3 within the meaning of the invention.
  • platform 4 assigns the terminal 3-1 the role of moderator, and terminals 3-2, 3-3 and device 3-4 roles of participant in the conference.
  • the assignment module 4B of the rights allocation platform 4 then constructs, for each device 3, an object OBJ (3) (ie a data structure) comprising the identity ID (3) and the rights RGT (3) assigned to the device 3 (step F40).
  • object OBJ (3) ie a data structure
  • step F50 it encrypts this object OBJ (3) using an asymmetric encryption algorithm implemented by its transmission module 4C, in a manner known per se, using a PrivK4 private encryption key characteristic of the CONF service and previously allocated to platform 4 by a trusted authority (step F50).
  • This private encryption key PrivK4 is for example stored in the non-volatile memory of platform 4, and associated with a public encryption key PubK4. No limitation is attached to the asymmetric encryption algorithm used by the platform 4C transmission module 4 to encrypt the object OBJ (3).
  • the resulting encrypted object is designated CRYPT_OBJ (3).
  • a symmetric encryption algorithm can be envisaged for encrypting the OBJ object (3), which uses a secret encryption key SK4 shared between the rights allocation platform 4 and the platform 5.
  • This shared key SK4 has for example been exchanged between the platform 5 and the platform 4 when registering the device 3 to the CONF service.
  • the platform 4 signs the object OBJ (3) or the encrypted object
  • the encrypted object CRYPT_OBJ (3) is then transmitted to the device 3 by the transmission module 4C of the entitlement platform 4 via the telecommunications network 2 (step F60).
  • the encryption or signature of the object OBJ (3) makes it possible to ensure that the identity and the rights assigned to the device 3 by the rights allocation platform 4 are not modified by a third party (device 3 or other), only the platform 4 as a trusted entity having the knowledge of the private key PrivK4 which allowed to encrypt, respectively to sign the object OBJ (3).
  • the encrypted object CRYPT_OBJ (3) is received, via the telecommunications network 2, by the obtaining module 3A of the device 3 (step E30).
  • the device 3 then registers with the rights distribution platform 5 and transmits to it during this registration, via the telecommunications network 2, the encrypted object CRYPT_OBJ (3) received from the rights affection platform 4 (step E40). It should be noted that the device 3, in the embodiment described here, does not decipher the encrypted object CRYPT_OBJ (3), but transmits it as it is to the platform 5.
  • the rights distribution platform 5 thus receives, from each device 3, an encrypted object CRYPT_OBJ (3) comprising the identity ID (3) established by the platform 4 for this device 3, as well as the GTA rights (3) assigned to it (step G10).
  • the rights distribution platform 5 has, stored for example in its non-volatile memory 11, the public key PubK4 associated with the private key PrivK4 used by the platform 4 for assigning the rights to encrypt the object OBJ ( 3).
  • the rights distribution platform 5 deciphers, via its construction module 5A, the encrypted object CRYPT_OBJ (3) received from the device 3 using the public key in a manner known per se. PubK4 (step G20).
  • the module 5A obtains the object OBJ (3) comprising the identity ID (3) and the rights RGT (3) assigned for the use of the service CONF to the device 3.
  • step G20 the digital signature of the object in a manner known per se.
  • the encrypted object CRYPT_OBJ (3) associated with the device 3 is transmitted directly by the rights allocation platform 4 to the rights distribution platform 5, without intervention of the device 3, for example via a internal data bus if both platforms are located on the same server, or via an Application Programming Interface (API) or via the telecommunications network 2.
  • API Application Programming Interface
  • the module 5A for constructing the rights distribution platform 5 extracts from the object decrypted OBJ (3) the identity ID (3) of the device 3 as well as the rights (3) which have been assigned to it and stores them in a data structure, and more particularly in the DB database of identities and rights (step G30).
  • the construction module 5A implements the steps G10, G20 and G30 for each of the devices 3-1, 3-2, 3-3 and 3-4 so as to build a database of identities and rights DB grouping the rights GTA (3) and identities ID (3) of all devices participating in the CONF service and in relation to each other. So we have a DB base for each use (i.e. each session) of the CONF service (that is, for each conference established as part of this service between multiple devices).
  • the DB identity and rights database has more particularly the form of a matrix, that is to say a two-dimensional array, an example of which is illustrated in FIG. 7.
  • the devices 3-i and 3-j are identified in line and in column by the identity established by the platform 4 of affection of rights.
  • the line Ll includes all the rights specified by the GTA information (3-1).
  • lines L2, L3 and L4 indicate respectively that:
  • the device 3-1 as moderator of the service CONF has the rights to cut the microphone of the devices 3- 2, 3-3 and 3-4, to disconnect the devices 3- 2, 3-3 and 3-4 and to obtain information on devices 3-2, 3-3 and 3-4.
  • Devices 3-2, 3-3 and 3-4 as a participant in the CONF service only have the right to obtain information from other devices in the system 1.
  • the DB database or matrix thus constructed by the platform 5 thus gives a synthetic overview of all the devices participating in the considered session of the conference service and the rights and identities relating to these devices. It is stored by the construction module 5A in the non-volatile memory 11 of the platform 5.
  • the digital rights distribution platform 5 via its transmission module 5B, the identity and rights database DB thus constructed (step G40). It uses for this purpose an asymmetric encryption algorithm, known per se, and a private key PrivK5, associated with the conference service CONF, and assigned by a trusted authority to the platform 5.
  • This private key PrivK5 is for example stored in the nonvolatile memory 11 of the platform 5.
  • No limitation is attached to the asymmetric encryption algorithm used by the transmission module 5B of the platform 5 to encrypt the DB database of identities and rights.
  • the encrypted DB database obtained is designated CRYPT_DB.
  • a symmetric encryption algorithm can be envisaged for encrypting the database DB, which uses a secret encryption key SK5 shared between the rights allocation platform 5 and the devices 3.
  • This shared key SK5 has, for example, been encrypted. exchanged between the device 3 and the platform 5 when registering the device 3 at the platform 5.
  • the platform 5 signs the DB identity and rights database or its encrypted version by means of a known digital signature algorithm and the PrivK5 private encryption key.
  • the 5C transmission module of the platform 5 transmits the identity and encrypted rights database CRYPT_DB to each of the devices 3 of the system 1 (step G50).
  • each device 3 receives the encrypted identity and rights database CRYPT_DB distributed by the platform 5 (step E50), and decrypts it using the public key PubK5 associated with the key of PrivK5 private encryption (step E60).
  • the base identities and rights DB thus decrypted is stored by each device 3, for example in its non-volatile memory.
  • each device 3 participating in the conference session is informed of its own role and its rights, as well as the roles and the rights of other devices participating in this session.
  • this database DB distributed by the platform 5 and stored locally at the level of each device, in particular for processing requests in from another device participating in the conference according to the invention.
  • FIG. 8 illustrates the steps implemented by the terminal 3-2 (steps of a processing method according to the invention).
  • the terminal 3-1 sends, via the telecommunications network 2 for example, a request REQ to the terminal 3-2 containing its identity ID (3- 1) and an action ACT to realize by the terminal 3-2, namely here cut off his microphone.
  • the terminal 3-2 On reception by its reception module 3B of the request REQ sent by the terminal 3-1 (step H10), the terminal 3-2 extracts the identity ID (3-1) of the request REQ and verifies, by means of its verification module 3C, in the identity and rights DB database stored in its memory if this identity has the right to ask it to execute the ACT action contained in the REQ request, namely to cut off its microphone (step H20 ).
  • This verification step is implemented by the verification module 3C via means for querying or consulting a database known per se, by checking whether among the rights RGT (3-1) reported in the database DB for the identity ID (3-1) is the authorization to ask the device 3-2 to cut off its microphone.
  • the database DB indicates to the terminal 3-2 that the terminal 3-1 corresponding to the identity ID (3-1) has the role of moderator of the conference with respect to him.
  • the 3C verification module of the terminal 3-2 deduces from this role that the terminal 3-1 has the right to request from the terminal 3-2 that it execute the ACT action. that is, it cuts off its microphone (yes answer to test step H30).
  • the 3D execution module of the terminal 3-2 executes the action ACT required by the terminal 3-1 and cuts the microphone of the terminal 3-2 (step H40).
  • the verification module 3C of the terminal 3-2 determines with respect to the information contained in the database DB that the terminal 3-1 is not entitled to request the execution of the ACT action by the terminal 3-2 (answer no to the test step H30), the 3D execution module refuses to execute the action and rejects the request REQ of the terminal 3-1 (step H40).
  • each device 3 participating in the rendering of the CONF conference service can know the rights and roles of each of the other devices, and directly execute remote actions in a direct communication process between the devices.
  • the invention also makes it easy to accommodate an update rights assigned to a device 3 in use of the conference service.
  • one of the devices 3 participating in the service for example changes role and becomes illustrative "moderator” rather than simple “participant” (yes answer to the test step E70)
  • it sends via the telecommunications network 2 a message M to the rights distribution platform 5 to notify him (indicate) this change of role (step E80).
  • This message comprises its identity ID (3) as well as, in the embodiment described here, a TOK authentication token (also called security token or token) associated with the new role that has been assigned to it, for example via the platform 4 to assign the rights to this effect the TOK token associated with the new role in a secure manner.
  • the device 3 or its user can acquire the TOK token by any other means in a secure manner to ensure that only an authorized device or user has this token.
  • each role is associated with a separate security token, so that the authentication token TOK itself represents information representative of the rights on the service allocated to the device within the meaning of the invention.
  • Such an authentication token offers, in a manner known per se, a strong authentication solution making it possible to prove to the platform 5 the right of the device to pretend to this new role. This may be for example a password associated with the new role claimed by the device 3.
  • the authentication token associated with a role can be managed by the device 3 in a manner that is transparent to its user.
  • the token may be provided to the platform 5 by the user of the device 3, in which case the message M comprises, in addition to the identity ID (3), an indication of the role change of the device 3 (eg a information representative of the new rights allocated to this device on the service or simply a message of change of role or update of these rights).
  • the token TOK is provided in the form of a new object N_OBJ (3) encrypted by the platform 4 to the device 3, this new object reflecting the new role assigned to the device 3.
  • the message M transmitted by the device 3 to the platform 5 to indicate its role change includes the new object N_OBJ (3) encrypted.
  • the TOK token may be provided to the platform 5 by the device 3 or by its user in addition to a new object N_OBJ (3) encrypted and supplied to the device 3 by the platform 4, this new object reflecting the new role assigned to the device 3.
  • the platform 5 upon receipt of the message M (answer yes to the test step G60), the platform 5 controls the TOK token included in the message and updates via from its building module 5A, in the database of identities and rights DB, the rights RGT (3) associated with the identity ID (3) with the role corresponding to the token sent by the device 3 (step G30).
  • the platform 5 consults for example a preconfigured table and stored in its non-volatile memory, in which is associated with each role that can be assigned to a device participating in the CONF service a TOK token to be presented by the device for access this role if it differs from the role that was originally assigned to it in the OBJ (3) object it passed to platform 5.
  • the TOK tokens associated with each of the roles may have been included by the platform 4 in the initial object OBJ (3) for example, and transmitted to the platform 5 via the device 3 as previously described.
  • the platform 5 updates via its construction module 5A, in the database of identities and rights DB, the rights associated with the identity ID (3) with the rights RGT (3) indicated in the new object N_OBJ (3) (step G30).
  • the platform 5 transmits via its transmission module 5B to the devices 3 of the system 1 the database DB identities and rights thus updated, as described above with reference to the steps G40 and G50.
  • the devices 3 process and use the DB database thus updated in a manner similar to that described above with reference to steps E50 and E60 and FIG. 8.
  • a conference service (audio, video or audio / video) has been considered.
  • this example is given for illustrative purposes only and the invention applies to other types of service whose rendering can be distributed over a plurality of devices.
  • the invention also applies to a system comprising a plurality of connected objects.
  • a system comprising four objects connected to each other via a telecommunications network, such as a camera 01, a door 02, an object 03 carrying a facial recognition application and a boiler 04.
  • These objects provide a service such as when the facial recognition application recognizes on an image captured by the camera a member of the family in front of the door, it asks the door to open and increases the temperature of the boiler.
  • a service such as when the facial recognition application recognizes on an image captured by the camera a member of the family in front of the door, it asks the door to open and increases the temperature of the boiler.
  • ID (Ol), ID (02), ID (03), ID (04) designate the identities established for this service for the objects 01, 02, 03 and 04 respectively.

Abstract

The method for distributing rights to a service according to the invention is intended to be implemented by a service platform and comprises: - a step of constructing (G30) a database (DB) referred to as an identities and rights database, comprising, for each device participating in the service, an identity (ID(3)) intended to be used by said device during participation thereof in the service and, associated with said identity, at least one item of information representative of the rights to the service allocated to the device; and - a step of transmitting (G50) of said identity and rights database to each device participating in the service.

Description

Procédé de distribution de droits sur un service et plateforme de service  Method of distributing rights on a service and service platform
Arrière-plan de rinvention Background rinenvention
L'invention se rapporte au domaine général des communications.  The invention relates to the general field of communications.
Elle concerne plus particulièrement la mise en œuvre de services tels que des services de communication comme par exemple un service de conférence (visio-conférence, audioconférence ou encore conférence de type audio/vidéo) ou un service de diffusion de flux de données multimédia, ou tout autre type de services impliquant une pluralité d'acteurs, ainsi que la gestion des droits y afférents.  It relates more particularly to the implementation of services such as communication services such as a conference service (video conference, audio conference or audio / video type conference) or a multimedia data stream broadcasting service, or any other type of services involving a plurality of actors, as well as the management of related rights.
La plupart des systèmes de conférence connus sont basés sur l'utilisation d'une plateforme de service (audio, vidéo, web, etc.), aussi appelée pont de conférence, qui centralise et contrôle l'ensemble des ressources mises en œuvre lors de la conférence. Cette plateforme de service s'appuie sur une gestion centralisée des accès et des droits afférents à la conférence (par exemple droit de modérer la conférence, droit de clore la conférence, etc.).  Most known conferencing systems are based on the use of a service platform (audio, video, web, etc.), also called a conference bridge, which centralizes and controls all the resources implemented during a conference. the conference. This service platform is based on a centralized management of access and rights related to the conference (eg right to moderate the conference, right to close the conference, etc.).
Ainsi, lorsqu'un utilisateur souhaite réaliser une action lors de la conférence, telle que par exemple entrer dans la conférence, couper le microphone de l'un des dispositifs participant à la conférence ou encore clore la conférence, la plateforme de service contrôle que l'utilisateur a bien le droit de requérir une telle action, et le cas échéant, exécute elle-même ladite action.  Thus, when a user wishes to perform an action during the conference, such as for example enter the conference, mute the microphone of one of the devices participating in the conference or close the conference, the service platform controls that the the user has the right to request such action, and if necessary, executes the said action.
Or l'émergence de nouvelles technologies et en particulier des technologies web telles que la technologie WebRTC (Web Real-Time Communication) développée au sein des consortiums W3C et IETF, permet aujourd'hui d'envisager une évolution des services de communication et notamment des services de conférence, qui ne nécessite plus la mise en œuvre de ressources centralisées au niveau d'une seule et même plateforme de service. Un tel service est par exemple décrit dans la demande de brevet FR 1 359 692.  However, the emergence of new technologies, and in particular web technologies such as the Web Real-Time Communication (WebRTC) technology developed within the W3C and IETF consortia, makes it possible today to envisage an evolution of communication services, particularly conference services, which no longer requires the implementation of centralized resources at a single service platform. Such a service is for example described in the patent application FR 1,359,692.
Selon l'approche retenue dans le document FR 1 359 692, les terminaux des utilisateurs participant à un service de communication tel un service de conférence peuvent, en fonction de leurs capacités respectives, mettre à disposition du service de conférence leurs propres ressources pour établir directement entre eux des canaux de transmission de flux, ces canaux servant alors de supports à une session de communication mise en œuvre dans le cadre du service de conférence. Le rendu du service de conférence n'est alors plus centralisé au niveau de la plateforme de service (c'est-à-dire du pont de conférence), mais est délocalisé et distribué en tout ou partie sur les terminaux des utilisateurs participant au service.  According to the approach adopted in the document FR 1 359 692, the terminals of the users participating in a communication service such as a conference service can, according to their respective capacities, make available to the conference service their own resources to establish directly between them flow transmission channels, these channels then serving as a support for a communication session implemented as part of the conference service. The rendering of the conference service is no longer centralized at the level of the service platform (that is to say the conference bridge), but is relocated and distributed in whole or in part to the terminals of the users participating in the service. .
Dans un tel contexte, le recours à une gestion centralisée au niveau de la plateforme de service des droits et des accès afférents au service de conférence peut s'avérer complexe, voire inapproprié. Il existe donc un besoin d'un mécanisme alternatif de gestion des droits afférents à un service tel que par exemple un service de communication, qui permet notamment de gérer efficacement ces droits lorsque le rendu du service est distribué sur plusieurs dispositifs, et en particulier sur des terminaux d'utilisateurs du service. Objet et résumé de l'invention In such a context, the use of centralized management at the service level of rights and access to conference services can be complex or even inappropriate. There is therefore a need for an alternative rights management mechanism relating to a service such as for example a communication service, which notably makes it possible to effectively manage these rights when the rendering of the service is distributed over several devices, and in particular on user terminals of the service. Object and summary of the invention
L'invention répond notamment à ce besoin en proposant un procédé de distribution de droits sur un service, destiné à être mis en œuvre par une plateforme de service et comprenant : — une étape de construction d'une base de données dite d'identités et de droits comprenant, pour chaque dispositif participant au service, une identité destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information représentative de droits sur le service alloués au dispositif; et  The invention responds in particular to this need by proposing a method for distributing rights on a service, intended to be implemented by a service platform and comprising: a step of building a database called identities and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one information representative of rights on the service allocated to the device; and
— une étape de transmission de cette base d'identités et de droits à chaque dispositif participant au service.  A step of transmitting this database of identities and rights to each device participating in the service.
L'invention vise corrélativement une plateforme de service apte à diffuser des droits sur un service, cette plateforme de service comprenant :  The invention correlatively targets a service platform capable of broadcasting rights on a service, this service platform comprising:
— un module de construction, configuré pour construire une base de données dite d'identités et de droits comprenant, pour chaque dispositif participant au service, une identité destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information représentative de droits sur le service alloués au dispositif ; et A construction module, configured to construct a database of identities and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and associated with this identity at least one representative information of service rights allocated to the device; and
— un module de transmission, configuré pour transmettre cette base d'identités et de droits à au moins un autre dispositif participant au service. A transmission module, configured to transmit this database of identities and rights to at least one other device participating in the service.
L'invention propose ainsi avantageusement de construire, au niveau d'une plateforme de service centralisée, une base d'identités et de droits sur le service, et de diffuser ensuite cette base d'identités et de droits aux différents dispositifs participant au service pour qu'ils puissent disposer en local d'informations sur les droits de chacun des dispositifs participant au service.  The invention thus advantageously proposes to construct, at the level of a centralized service platform, a database of identities and rights on the service, and then to broadcast this database of identities and rights to the various devices participating in the service for they can have local information on the rights of each device participating in the service.
Cette base d'identités et de droits a par exemple la forme d'une matrice regroupant, pour chacun des dispositifs participant au service, l'identité utilisée par ce dispositif lors de sa participation au service et une ou plusieurs informations relatives aux droits affectés à ce dispositif sur le service. L'identité du dispositif stockée dans la base d'identités et de droits est typiquement une information de joignabilité du dispositif lors du service, telle que par exemple un numéro de téléphone, une adresse mél, etc. Les informations relatives aux droits affectés à un dispositif sur le service peuvent se présenter quant à elles sous la forme d'actions autorisées au dispositif (par exemple couper le microphone d'un autre dispositif lors de la conférence, clore la conférence, etc.), et/ou d'un ou de plusieurs rôles associés au dispositif lors de sa participation au service (par exemple un rôle de modérateur), chaque dispositif disposant de la connaissance préalable de la correspondance entre un rôle et les actions autorisées par ce rôle, ou ayant la possibilité d'y accéder librement.  This database of identities and rights has for example the form of a matrix grouping, for each of the devices participating in the service, the identity used by this device during its participation in the service and one or more information relating to rights assigned to this device on the service. The identity of the device stored in the database of identities and rights is typically information of reachability of the device during the service, such as for example a telephone number, an email address, etc. The information about the rights assigned to a device on the service may be in the form of actions authorized to the device (eg mute the microphone of another device during the conference, close the conference, etc.). , and / or one or more roles associated with the device during its participation in the service (for example a moderator role), each device having the prior knowledge of the correspondence between a role and the actions authorized by this role, or having the possibility to access it freely.
De façon avantageuse, la base d'identités et de droits ainsi construite est transmise conformément à l'invention aux dispositifs participant au service. De cette sorte, chaque utilisateur du service est informé des droits et des rôles affectés aux autres utilisateurs du service. Ainsi, lorsqu'un dispositif A requiert auprès d'un dispositif B une action lors de la mise en œuvre du service, celui-ci peut, à partir des informations contenues dans la base de données qui lui a été transmise, déterminer si le dispositif A est autorisé à requérir une telle action et le cas échéant exécuter l'action ou au contraire refuser d'exécuter cette action. Cette vérification peut être réalisée très rapidement, grâce à la base de données stockée localement au niveau du dispositif B, sans consulter la plateforme de service. Advantageously, the database of identities and rights thus constructed is transmitted in accordance with the invention to the devices participating in the service. In this way, each service user is informed of the rights and roles assigned to other users of the service. Thus, when a device A requires from a device B an action during the implementation of the service, it can, from the information contained in the database that has been transmitted, determine whether the device A is authorized to request such action and if necessary perform the action or otherwise refuse to perform this action. This verification can be done very quickly, thanks to the database stored locally at device B, without consulting the service platform.
L'invention a donc une application privilégiée, mais non limitative, lorsque les ressources de rendu d'un service sont distribuées sur plusieurs dispositifs (terminal(ux) d'utilisateur(s), plateforme(s) de service, serveur(s), etc.), en couplant la gestion des droits sur le service avec le rendu même du service, un contrôle des droits pouvant être effectué grâce à la base des identités et des droits diffusée par la plateforme de service au niveau de chaque dispositif participant au rendu du service.  The invention therefore has a preferred application, but not limited to, when the rendering resources of a service are distributed over several devices (terminal (ux) of user (s), platform (s) of service, server (s) , etc.), by coupling rights management on the service with the rendering of the service itself, a control of the rights that can be carried out thanks to the database of identities and rights diffused by the service platform at the level of each device participating in the service. rendering of the service.
On note qu'aucune limitation n'est attachée au type de service rendu. Il peut s'agir par exemple d'un service de distribution de flux média ou de conférence tels que mentionnés précédemment, comme d'un service auxquels plusieurs objets connectés participent en coopérant entre eux de sorte à réaliser différentes actions (ex. mesure de paramètres, traitement des mesures, rendu des mesures, etc.).  It is noted that no limitation is attached to the type of service rendered. For example, it may be a service for distributing media or conference streams as mentioned above, as a service to which several connected objects participate by cooperating with each other so as to perform different actions (eg measurement of parameters , processing of measurements, rendering of measurements, etc.).
Selon une première variante de réalisation de l'invention, pour au moins un dispositif participant au service, l'identité et ladite au moins une information représentative des droits sur le service alloués à ce dispositif sont obtenus, par la plateforme de service, du dispositif lors de son enregistrement auprès de celle-ci.  According to a first variant embodiment of the invention, for at least one device participating in the service, the identity and said at least one information representative of the rights on the service allocated to this device are obtained, by the service platform, from the device when registering with it.
Cette identité et les droits y afférents peuvent avoir notamment été transmis au dispositif préalablement par une plateforme d'affection de droits sur le service.  This identity and the related rights may have been transmitted to the device in advance by a platform of rights of service.
Selon une seconde variante de réalisation de l'invention, pour au moins un dispositif participant au service, ladite au moins une information représentative des droits sur le service alloués à ce dispositif comprend un rôle associé au dispositif lors de sa participation au service.  According to a second variant embodiment of the invention, for at least one device participating in the service, said at least one information representative of the service rights allocated to this device comprises a role associated with the device during its participation in the service.
Le recours à l'une ou l'autre des variantes précitées dépend de l'architecture envisagée pour le rendu du service, la plateforme d'affectation des droits sur le service permettant de préciser à chaque utilisateur et/ou participant au service les droits et les rôles qui lui sont attribués.  The use of one or other of the aforementioned variants depends on the architecture envisaged for rendering the service, the service rights allocation platform making it possible to specify to each user and / or participant in the service the rights and the roles assigned to it.
Dans un mode particulier de réalisation, la base d'identités et de droits est chiffrée et/ou signée par la plateforme de service avant d'être transmise à chaque dispositif.  In a particular embodiment, the identity and rights database is encrypted and / or signed by the service platform before being transmitted to each device.
En particulier, la base d'identités et de droits peut être chiffrée et/ou signée selon un schéma connu de cryptographique asymétrique, à l'aide d'une clé privée allouée à la plateforme de service, la clé publique associée à cette clé privée étant accessible par les dispositifs participant au service (par exemple stockée en mémoire de ces dispositifs).  In particular, the identity and rights database can be encrypted and / or signed according to a known asymmetric cryptographic scheme, using a private key allocated to the service platform, the public key associated with this private key. being accessible by the devices participating in the service (for example stored in memory of these devices).
Grâce à un tel chiffrement et/ou signature, les dispositifs peuvent s'assurer de l'origine et de l'intégrité de la base d'identités et de droits qui leur est transmise.  With such an encryption and / or signature, the devices can ensure the origin and integrity of the database of identities and rights transmitted to them.
Ainsi, grâce à l'invention, les dispositifs participant au service n'ont pas besoin d'établir entre eux une relation de confiance (par exemple via une authentification ou un mécanisme d'appairage deux à deux), puisqu'une entité de confiance, à savoir la plateforme de service gérant les droits sur le service, leur a certifié par le biais de la transmission de la base d'identités et de droits qu'ils peuvent se faire confiance entre eux. L'invention permet donc de simplifier la mise en œuvre du service. Thus, thanks to the invention, the devices participating in the service do not need to establish a relationship of trust between them (for example via an authentication or a mechanism two-by-two pairing), since a trusted entity, the Service Rights Management Platform, has certified them through the transmission of the identity and rights database that they can to trust each other. The invention thus simplifies the implementation of the service.
En variante, d'autres mécanismes peuvent être envisagés pour permettre à chaque dispositif de vérifier l'origine de la base d'identités et de droits qui lui est transmise, comme par exemple un contrôle de l'adresse IP (Internet Protocol) source à l'origine de la transmission de la base de données, ou du nom de domaine auquel est rattaché la plateforme de service, ou encore un mécanisme d'authentification préalable mis en œuvre entre chaque dispositif et la plateforme de service, etc. Le choix de l'un ou l'autre de ces mécanismes peut dépendre notamment du niveau de sécurité imposé par le contexte d'utilisation du service.  Alternatively, other mechanisms can be envisaged to allow each device to verify the origin of the identity and rights database that is transmitted to it, such as a control of the IP address (Internet Protocol) source to the origin of the transmission of the database, or the domain name to which the service platform is attached, or a prior authentication mechanism implemented between each device and the service platform, etc. The choice of one or the other of these mechanisms can depend in particular on the level of security imposed by the context of use of the service.
Dans un mode de réalisation particulier, le procédé de distribution comprend :  In a particular embodiment, the distribution method comprises:
— une étape de réception d'un dispositif participant au service d'une indication d'un changement des droits alloués à ce dispositif sur le service ;  A step of receiving a device participating in the service of an indication of a change in the rights allocated to this device on the service;
— une étape de mise à jour de la base d'identités et de droits pour l'identité utilisée par le dispositif conformément à ladite indication ; et A step of updating the database of identities and rights for the identity used by the device according to said indication; and
— une étape de transmission de la base d'identités et de droits mise à jour à chaque dispositif participant au service.  A step of transmitting the identity and rights database updated to each device participating in the service.
Ce mode de réalisation permet avantageusement de prendre en compte une évolution des droits et/ou des rôles des dispositifs au cours de l'utilisation du service.  This embodiment advantageously makes it possible to take into account an evolution of the rights and / or the roles of the devices during the use of the service.
Dans un mode particulier de réalisation l'indication de changement de droits comprend un jeton d'authentification correspondant à au moins un nouveau droit affecté au dispositif.  In a particular embodiment, the change of rights indication includes an authentication token corresponding to at least one new right assigned to the device.
Ceci permet à la plateforme de service de s'assurer que le dispositif est bien autorisé à changer de droits en cours de service.  This allows the service platform to ensure that the device is allowed to change rights during service.
Comme mentionné précédemment, l'invention s'appuie donc sur la construction et la diffusion auprès des dispositifs participant à un service d'une base d'identités et de droits par une plateforme de service centralisée gérant les droits sur ce service, mais également sur l'utilisation de cette base d'identités et de droits par les dispositifs lors de leur participation au service.  As mentioned above, the invention is therefore based on the construction and distribution to the devices participating in a service of an identity and rights database by a centralized service platform managing the rights to this service, but also on the use of this database of identities and rights by the devices during their participation in the service.
Ainsi, selon un autre aspect, l'invention vise également un procédé de traitement d'une requête par un premier dispositif destiné à être mis en œuvre lors d'une participation du premier dispositif à un service, ce procédé comprenant :  Thus, according to another aspect, the invention also relates to a method of processing a request by a first device intended to be implemented during a participation of the first device in a service, this method comprising:
— une étape d'obtention d'une base d'identités et de droits transmise par une plateforme de service suite à l'exécution par ladite plateforme d'un procédé de distribution de droits sur le service selon l'invention, ladite base d'identité et de droits comprenant, pour chaque dispositif participant au service, une identité destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information représentative de droits sur le service alloués au dispositif ; — une étape de réception d'une requête en provenance d'un deuxième dispositif participant au service, cette requête comprenant une identité utilisée par le deuxième dispositif lors de sa participation au service et une action destinée à être réalisée par le premier dispositif ; A step of obtaining a database of identities and rights transmitted by a service platform following the execution by said platform of a service rights distribution method according to the invention, said database of identity and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one piece of information representative of rights on the service allocated to the device; A step of receiving a request from a second device participating in the service, this request comprising an identity used by the second device during its participation in the service and an action intended to be performed by the first device;
— une étape de vérification, dans la base d'identités et de droits, si l'identité comprise dans la requête a le droit de requérir l'exécution de ladite action par le premier dispositif ; et A verification step, in the database of identities and rights, if the identity included in the request has the right to request the execution of said action by the first device; and
— le cas échéant, une étape d'exécution de l'action requise. - where appropriate, a step of performing the required action.
Corrélativement, l'invention vise aussi un dispositif, dit premier dispositif, apte à participer à un service, ce premier dispositif comprenant :  Correlatively, the invention also relates to a device, said first device, able to participate in a service, this first device comprising:
— un module d'obtention, apte à obtenir une base d'identités et de droits transmise par une plateforme de service selon l'invention apte à diffuser des droits sur le service, ladite base d'identité et de droits comprenant, pour chaque dispositif participant au service, une identité destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information représentative de droits sur le service alloués au dispositif ; A obtaining module, able to obtain a database of identities and rights transmitted by a service platform according to the invention able to broadcast rights on the service, said identity and rights database comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one representative information of rights on the service allocated to the device;
— un module de réception, apte à recevoir une requête en provenance d'un deuxième dispositif apte à participer au service, cette requête comprenant une identité utilisée par le deuxième dispositif lors de sa participation au service et une action destinée à être exécutée par le premier dispositif ; A reception module, able to receive a request from a second device able to participate in the service, this request comprising an identity used by the second device during its participation in the service and an action intended to be executed by the first device; device;
— un module de vérification, activé par le module de réception suite à la réception de la requête en provenance du deuxième dispositif, et configuré pour vérifier dans la base d'identités et de droits si l'identité comprise dans la requête a le droit de requérir l'exécution de ladite action par le premier dispositif ; et  A verification module, activated by the reception module following receipt of the request from the second device, and configured to verify in the identity and rights database whether the identity included in the request has the right to require the execution of said action by the first device; and
— un module d'exécution configuré pour exécuter l'action requise dans la requête, activé si le module de vérification détermine que l'identité comprise dans la requête a le droit de requérir l'exécution de cette action par le premier dispositif.  An execution module configured to perform the action required in the request, activated if the verification module determines that the identity included in the request has the right to request the execution of this action by the first device.
En outre, dans un mode particulier de réalisation, la base d'identités et de droits transmise par la plateforme de service est chiffrée et/ou signée, le procédé de traitement comprenant une étape de déchiffrement et/ou de validation de la signature de la base d'identités et de droits avant de mettre en œuvre l'étape de vérification.  In addition, in a particular embodiment, the identity and rights database transmitted by the service platform is encrypted and / or signed, the processing method comprising a step of decryption and / or validation of the signature of the service provider. identity and rights base before implementing the verification step.
Le procédé de traitement et le dispositif selon l'invention bénéficient des mêmes avantages cités précédemment que le procédé de distribution des droits et la plateforme de service selon l'invention.  The processing method and the device according to the invention benefit from the same advantages mentioned above as the rights distribution method and the service platform according to the invention.
Dans un mode particulier de réalisation, les différentes étapes du procédé de distribution et/ou du procédé de traitement sont déterminées par des instructions de programmes d'ordinateurs.  In a particular embodiment, the various steps of the distribution method and / or the processing method are determined by computer program instructions.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans une plateforme de services ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de distribution tel que décrit ci-dessus. L'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans un dispositif tel un terminal, une plateforme de service, un serveur ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes d'un procédé de traitement tel que décrit ci-dessus. Accordingly, the invention also relates to a computer program on an information carrier, this program being capable of being implemented in a service platform or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of a distribution method as described above. The invention also relates to a computer program on an information medium, this program being capable of being implemented in a device such as a terminal, a service platform, a server or more generally in a computer, this program comprising instructions adapted to the implementation of the steps of a treatment method as described above.
L'un ou l'autre de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.  Either of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form , or in any other desirable form.
L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.  The invention also relates to a computer-readable information medium, comprising instructions of a computer program as mentioned above.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.  The information carrier may be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording means, for example a hard disk.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.  On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet type network.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.  Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
Selon un autre aspect, l'invention vise également un système offrant un service et comprenant :  In another aspect, the invention also provides a system providing a service and comprising:
— une plateforme de service selon l'invention, apte à diffuser des droits sur le service ; etA service platform according to the invention, able to broadcast rights on the service; and
— une pluralité de dispositifs selon l'invention aptes à participer au service. A plurality of devices according to the invention able to participate in the service.
Le système selon l'invention bénéficie des mêmes avantages cités précédemment que le procédé de distribution des droits, le procédé de traitement, la plateforme de service et le dispositif selon l'invention.  The system according to the invention has the same advantages mentioned above as the rights distribution method, the processing method, the service platform and the device according to the invention.
Dans un mode particulier de réalisation, le système peut comporter en outre une plateforme d'affectation de droits sur le service, cette plateforme d'affectation de droits comprenant :  In a particular embodiment, the system may further include a rights allocation platform on the service, this rights allocation platform comprising:
— un module d'authentification, configuré pour authentifier un dispositif destiné à participer au service ;  An authentication module, configured to authenticate a device intended to participate in the service;
— un module d'affectation à ce dispositif d'une identité destinée à être utilisée par le dispositif lors de sa participation au service et de droits sur le service ; et — un module de transmission, au dispositif et/ou à la plateforme de service, de l'identité et d'au moins une information représentative des droits affectés au dispositif par le module d'affectation. A module for assigning to this device an identity intended to be used by the device during its participation in the service and rights on the service; and A module for transmitting, to the device and / or the service platform, the identity and at least one piece of information representative of the rights assigned to the device by the assignment module.
Ce mode de réalisation a une application privilégiée lorsque l'affectation des droits et la distribution des droits sont distribuées sur des plateformes distinctes, par exemple dans l'éventualité d'une architecture de service distribuée.  This embodiment has a preferred application when the assignment of rights and the distribution of rights are distributed on separate platforms, for example in the event of a distributed service architecture.
On peut également envisager, dans d'autres modes de réalisation, que le procédé de distribution des droits, le procédé de traitement, la plateforme de service, le dispositif et le système selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.  It can also be envisaged, in other embodiments, that the rights distribution method, the processing method, the service platform, the device and the system according to the invention present in combination all or part of the aforementioned characteristics.
Brève description des dessins Brief description of the drawings
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :  Other features and advantages of the present invention will emerge from the description given below, with reference to the accompanying drawings which illustrate an embodiment having no limiting character. In the figures:
— la figure 1 représente un système offrant un service de conférence conforme à l'invention dans un mode particulier de réalisation ; FIG. 1 represents a system offering a conference service according to the invention in a particular embodiment;
— les figures 2 et 3 représentent respectivement un exemple d'architecture matérielle d'une plateforme de service et d'un dispositif conformes à l'invention dans un mode particulier de réalisation ;  - Figures 2 and 3 respectively show an example of hardware architecture of a service platform and a device according to the invention in a particular embodiment;
— la figure 4 représente, sous forme d'ordinogramme, les principales étapes d'un procédé mis en œuvre par un dispositif du système de la figure 1, conforme à l'invention, dans un mode particulier de réalisation ; FIG. 4 represents, in the form of a flow chart, the main steps of a method implemented by a device of the system of FIG. 1, according to the invention, in a particular embodiment;
— la figure 5 représente, sous forme d'ordinogramme, les principales étapes d'un procédé mis en œuvre par une plateforme d'affectation de droits sur le service de conférence offert par le système de la figure 1, dans un mode particulier de réalisation ;  FIG. 5 represents, in the form of a flow chart, the main steps of a method implemented by a platform for assigning rights to the conference service offered by the system of FIG. 1, in a particular embodiment. ;
— la figure 6 représente, sous forme d'ordinogramme, les principales étapes d'un procédé de distribution des droits sur le service de conférence offert par le système de la figure 1 tel qu'il est mis en œuvre par une plateforme de distribution des droits du système de la figure 1, dans un mode particulier de réalisation ;  FIG. 6 represents, in the form of a flow chart, the main steps of a method for distributing rights over the conference service offered by the system of FIG. 1 as it is implemented by a distribution platform of FIGS. rights of the system of Figure 1, in a particular embodiment;
— la figure 7 illustre un premier exemple de base d'identités et de droits pouvant être utilisée par le système de la figure 1 ; FIG. 7 illustrates a first basic example of identities and rights that can be used by the system of FIG. 1;
— la figure 8 représente, sous forme d'ordinogramme, les principales étapes d'un procédé de traitement mis en œuvre par un dispositif du système de la figure 1, dans un mode particulier de réalisation ; et  FIG. 8 represents, in the form of a flow chart, the main steps of a processing method implemented by a device of the system of FIG. 1, in a particular embodiment; and
— la figure 9 illustre un second exemple de base d'identités et de droits pouvant être utilisée dans le cadre de l'invention pour un système comprenant une pluralité d'objets connectés. FIG. 9 illustrates a second basic example of identities and rights that can be used in the context of the invention for a system comprising a plurality of connected objects.
Description détaillée de l'invention La figure 1 représente, dans son environnement, un système 1 conforme à l'invention, offrant à une pluralité de dispositifs un service tel que par exemple un service de communication CONF de type conférence (audioconférence, visio-conférence ou conférence audio/vidéo). Detailed description of the invention FIG. 1 represents, in its environment, a system 1 according to the invention, offering a plurality of devices a service such as for example a CONF conference type service (audio conference, videoconference or audio / video conference) .
Aucune limitation n'est attachée toutefois à la nature du service offert par le système There is no limitation, however, on the nature of the service offered by the system.
1, et d'autres services peuvent être envisagés comme par exemple un autre service de diffusion de flux de données multimédia (audio, vidéo, texte, etc.), un service de jeu en ligne, un service s'appuyant sur plusieurs objets connectés entre eux, etc. 1, and other services may be envisaged, such as another multimedia data stream broadcasting service (audio, video, text, etc.), an online gaming service, a service based on several connected objects. between them, etc.
Dans l'exemple envisagé à la figure 1, le rendu du service de conférence CONF est distribué sur plusieurs dispositifs 3 du système 1 participant à une même session du service, ces dispositifs 3 étant conformes à l'invention et aptes à communiquer entre eux via un réseau 2 de télécommunications (ex. Internet, intranet, réseau fixe ou mobile, etc.). Les dispositifs 3 comprennent plus particulièrement ici une pluralité de terminaux d'utilisateurs (trois dans l'exemple de la figure 1 référencés par 3-1, 3-2, 3-3) et une plateforme de service 3-4, cette plateforme de service étant par exemple un pont de conférence connu en soi.  In the example envisaged in FIG. 1, the rendering of the conference service CONF is distributed on several devices 3 of the system 1 participating in the same session of the service, these devices 3 being in accordance with the invention and able to communicate with each other via a telecommunications network 2 (eg Internet, intranet, fixed or mobile network, etc.). The devices 3 more particularly here comprise a plurality of user terminals (three in the example of FIG. 1 referenced by 3-1, 3-2, 3-3) and a service platform 3-4, this platform of service being for example a conference bridge known per se.
Chaque terminal 3-1, 3-2, 3-3 héberge ici une application web (ou « web app » en anglais) de conférence décentralisée, accessible de façon connue en soi par l'utilisateur du terminal via un navigateur web. Le rendu du service de conférence est par exemple distribué sur les terminaux 3-1, 3-2, 3-3 et sur la plateforme de service 3-4 de façon similaire ou identique à ce qui est proposé dans le document FR 1 359 692, non repris en détail ici.  Each terminal 3-1, 3-2, 3-3 hosts here a web application (or "web app" in English) of decentralized conference, accessible in a manner known per se by the user of the terminal via a web browser. The rendering of the conference service is for example distributed on the terminals 3-1, 3-2, 3-3 and on the service platform 3-4 in a way similar or identical to that proposed in the document FR 1 359 692 , not detailed here.
Cet exemple n'est bien entendu donné qu'à titre illustratif, et aucune limitation n'est attachée à la nature des dispositifs 3 sur lesquels s'appuie le rendu du service de communication CONF. Il peut ainsi s'agir de terminaux d'utilisateurs tels que des téléphones portables, des tablettes numériques ou des ordinateurs de type PC ou portables, de serveurs, de plateformes de service, d'objets connectés, etc. De même aucune limitation n'est attachée au nombre de dispositifs considérés.  This example is of course only given for illustrative purposes, and no limitation is attached to the nature of the devices 3 on which the rendering of the communication service CONF is based. It can thus be user terminals such as mobile phones, digital tablets or PC or portable computers, servers, service platforms, connected objects, etc. Similarly, no limitation is attached to the number of devices considered.
Dans le mode de réalisation décrit ici, le système 1 comprend également, pour assurer la gestion des droits sur le service de conférence CONF :  In the embodiment described here, the system 1 also includes, for managing rights on the CONF conference service:
— une plateforme de service 4 en charge de l'affectation des droits sur le service CONF (désignée ci-après par plateforme 4 d'affectation des droits). C'est cette plateforme qui, dans l'exemple envisagé à la figure 1, affecte à chacun des dispositifs 3 du système 1 une identité destinée à être utilisée par chaque dispositif lors de sa participation au service de conférence CONF, ainsi que des droits, ou de manière équivalente, un ou des rôles sur ce service ; et  A service platform 4 in charge of assigning rights to the CONF service (hereinafter referred to as rights allocation platform 4). It is this platform which, in the example envisaged in FIG. 1, assigns to each of the devices 3 of the system 1 an identity intended to be used by each device during its participation in the conference service CONF, as well as rights, or in an equivalent way, one or more roles on this service; and
— une plateforme de service 5 en charge de la distribution des droits affectés sur le service CONF auprès des dispositifs 3 du système 1, conformément à l'invention (désignée ci-après par plateforme 5 de distribution des droits).  A service platform 5 in charge of distributing the rights allocated on the CONF service to the devices 3 of the system 1, in accordance with the invention (hereinafter referred to as the rights distribution platform 5).
La plateforme 5 de distribution des droits est hébergée ici par un serveur de gestion 6 tel que décrit dans le document FR 1 359 692, apte à permettre un rendu du service de conférence CONF distribué sur les dispositifs 3 du système 1. La façon dont le serveur de gestion 6 procède à cet effet est décrite en détail dans le document FR 1 359 692 et n'est pas repris ici. The platform 5 of distribution of rights is hosted here by a management server 6 as described in document FR 1 359 692, able to allow rendering of the conference service CONF distributed on the devices 3 of the system 1. The manner in which the management server 6 proceeds to this effect is described in detail in the document FR 1 359 692 and is not repeated here.
La plateforme 4 d'affectation des droits peut également être hébergée par le serveur 6, ou en variante, comme dans l'exemple illustré à la figure 1, par un serveur 7 distinct du serveur 6 mais apte à communiquer avec le serveur 6, par exemple via le réseau de télécommunications 2, de sorte à permettre une interaction entre les deux plateformes 4 et 5.  The platform 4 rights allocation can also be hosted by the server 6, or alternatively, as in the example shown in Figure 1, by a server 7 separate from the server 6 but able to communicate with the server 6, by example via the telecommunications network 2, so as to allow interaction between the two platforms 4 and 5.
Dans le mode de réalisation décrit ici, la plateforme 5 de distribution des droits a l'architecture matérielle d'un ordinateur, telle que représentée à la figure 2. Elle comprend notamment un processeur 8, une mémoire morte 9, une mémoire vive 10, une mémoire non volatile 11 et un module de communication 12 comprenant notamment des moyens connus en soi pour communiquer sur le réseau de télécommunications 2 (ex. en fonction du réseau considéré, une carte réseau, une carte SIM (Subscriber Identity Module), etc.). La mémoire morte 9 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 8 et sur lequel est enregistré un programme d'ordinateur PROGl (ou logiciel) conforme à l'invention comportant des instructions pour l'exécution des étapes du procédé de diffusion conforme à l'invention.  In the embodiment described here, the rights distribution platform 5 has the hardware architecture of a computer, as represented in FIG. 2. It notably comprises a processor 8, a read-only memory 9, a random access memory 10, a non-volatile memory 11 and a communication module 12 comprising in particular means known per se for communicating on the telecommunications network 2 (eg depending on the network considered, a network card, a SIM card (Subscriber Identity Module), etc.; ). The read-only memory 9 constitutes a recording medium according to the invention, readable by the processor 8 and on which is recorded a computer program PROG1 (or software) according to the invention comprising instructions for executing the steps of the diffusion method according to the invention.
Le programme d'ordinateur PROGl définit ici des modules ou composants fonctionnels et logiciels de la plateforme 5 de distribution des droits, aptes à mettre en œuvre les étapes du procédé de diffusion selon l'invention. Ces modules logiciels sont susceptibles d'accéder aux et/ou de commander les ressources matérielles de la plateforme 5 (et notamment les ressources matérielles 9-13 citées précédemment). Ils comprennent ici :  The computer program PROG1 here defines modules or functional components and software rights distribution platform 5, able to implement the steps of the broadcast method according to the invention. These software modules are able to access and / or control the hardware resources of the platform 5 (and in particular the hardware resources 9-13 mentioned above). They include here:
— un module de construction 5A d'une base de données DB dite d'identités et de droits sur le service de conférence CONF ; et  A construction module 5A of a database DB called identities and rights on the CONF conference service; and
— un module de distribution 5B de la base de données DB aux dispositifs du système 1.  A distribution module 5B of the database DB to the devices of the system 1.
Les fonctions des modules 5A et 5B sont détaillées ultérieurement en référence aux étapes correspondantes du procédé de distribution selon l'invention.  The functions of the modules 5A and 5B are detailed later with reference to the corresponding steps of the distribution method according to the invention.
Dans le mode de réalisation décrit ici, la plateforme 4 d'affectation des droits a également l'architecture matérielle d'un ordinateur, cette architecture étant identique ou similaire à celle de la plateforme 5 de distribution des droits illustrée à la figure 2. La mémoire morte de la plateforme 4 d'affectation des droits constitue un support d'enregistrement, lisible par le processeur de la plateforme 4, et sur lequel est enregistré un programme d'ordinateur définissant ici divers modules (composants) fonctionnels et logiciels de la plateforme 4. Ces modules logiciels sont susceptibles d'accéder aux et/ou de commander les ressources matérielles de la plateforme de service 5 et comprennent ici :  In the embodiment described here, the rights allocation platform 4 also has the hardware architecture of a computer, this architecture being identical or similar to that of the rights distribution platform 5 illustrated in FIG. platform 4 read-only memory is a recording medium, readable by the processor of the platform 4, and on which is recorded a computer program defining here various modules (functional components) and software of the platform 4. These software modules are able to access and / or control the hardware resources of the service platform 5 and include here:
— un module d'authentification 4A, configuré pour authentifier les dispositifs 3 du système 1 souhaitant participer au service de conférence CONF ;  An authentication module 4A, configured to authenticate the devices 3 of the system 1 wishing to participate in the CONF conference service;
— un module d'affectation 4B à ces dispositifs d'identités et de droits sur le service de conférence CONF ; et — un module de transmission 4C de ces identités et de ces droits aux dispositifs du système 1. En variante, le module de transmission 4C peut être configuré pour transmettre ces identités et ces droits à la plateforme 5 de distribution des droits, via le réseau de télécommunications 2 par exemple, ou si les deux plateformes 4 et 5 sont hébergées par un même serveur, via un bus de données ou de communication propre au serveur. An assignment module 4B to these identity and rights devices on the CONF conference service; and A 4C transmission module of these identities and rights to the devices of the system 1. In a variant, the transmission module 4C can be configured to transmit these identities and rights to the rights distribution platform 5 via the network of Telecommunications 2 for example, or if both platforms 4 and 5 are hosted by the same server, via a data bus or communication specific to the server.
Les fonctions des modules 4A-4C sont détaillées ultérieurement.  The functions of the 4A-4C modules are detailed later.
De façon similaire, dans le mode de réalisation décrit ici, chaque dispositif 3 du système 1 (i.e. terminaux 3-1, 3-2, 3-3, et pont de conférence 3-4), ont l'architecture matérielle d'un ordinateur telle que représentée à la figure 3. Il comprend notamment un processeur 13, une mémoire morte 14, une mémoire vive 15, une mémoire non volatile 16 et un module de communication 17 comprenant notamment des moyens connus en soi pour communiquer sur le réseau de télécommunications 2 (ex. en fonction du réseau considéré, une carte réseau, une carte SIM (Subscriber Identity Module), etc.). La mémoire morte 14 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur 13 et sur lequel est enregistré un programme d'ordinateur PROG2 (i.e. logiciel) conforme à l'invention comportant des instructions pour l'exécution des étapes du procédé de traitement d'une requête conforme à l'invention.  Similarly, in the embodiment described here, each device 3 of the system 1 (ie terminals 3-1, 3-2, 3-3, and conference bridge 3-4), have the hardware architecture of a computer, as represented in FIG. 3. It comprises in particular a processor 13, a read-only memory 14, a random access memory 15, a non-volatile memory 16 and a communication module 17 comprising, in particular, means known per se for communicating on the network of telecommunications 2 (eg depending on the network considered, a network card, a SIM card (Subscriber Identity Module), etc.). The read-only memory 14 constitutes a recording medium in accordance with the invention, readable by the processor 13 and on which is recorded a computer program PROG2 (ie software) according to the invention comprising instructions for performing the steps the method of processing a request according to the invention.
Le programme d'ordinateur PROG2 définit ici des modules ou composants fonctionnels et logiciels des dispositifs 3, aptes à mettre en œuvre les étapes du procédé de traitement selon l'invention. Ces modules logiciels sont susceptibles d'accéder aux et/ou de commander les ressources matérielles du dispositif (et notamment les ressources matérielles 13-17 citées précédemment). Ils comprennent ici :  The computer program PROG2 here defines modules or functional components and software devices 3, able to implement the steps of the treatment method according to the invention. These software modules are able to access and / or control the hardware resources of the device (and in particular the hardware resources 13-17 mentioned above). They include here:
— un module d'obtention 3A de la base de données DB distribuée par la plateforme 5 de distribution des droits ;  A obtaining module 3A of the database DB distributed by the platform 5 of distribution of rights;
— un module de réception 3B de requêtes relatives au service de conférence CONF ;  A reception module 3B for requests relating to the CONF conference service;
— un module de vérification 3C apte à interroger la base de données DB ; et A verification module 3C able to interrogate the database DB; and
— un module d'exécution 3D, apte à exécuter diverses actions requises au dispositif dans le cadre du service de conférence CONF et des fonctions qu'il assure pour le rendu du service de conférence CONF.  A 3D execution module, able to perform various actions required by the device as part of the CONF conference service and the functions that it performs for rendering the CONF conference service.
Les fonctions des modules 3A-3D sont détaillées ultérieurement en référence aux étapes correspondantes du procédé de traitement selon l'invention.  The functions of the modules 3A-3D are detailed later with reference to the corresponding steps of the treatment method according to the invention.
Nous allons maintenant décrire, en référence aux figures 4 à 6, les principales étapes des procédés mis en œuvre respectivement conformément à l'invention, par les dispositifs 3 du système 1 (figure 4), par la plateforme 4 d'affectation des droits (figure 5), et par la plateforme 5 de distribution des droits (figure 6) , dans un mode particulier de réalisation. La figure 4 représente le procédé de traitement mis en œuvre par chacun des dispositifs 3 du système 1 participant au rendu du service de conférence CONF lors d'une session impliquant ces dispositifs, c'est-à-dire par les terminaux 3-1, 3-2, 3-3 et par le pont de conférence 3-4. Par souci de simplification dans la suite de la description, sauf référence explicite à l'un des dispositifs 3-1, 3-2, 3-3 ou 3-4, on utilise la référence générale 3 pour désigner l'un quelconque de ces dispositifs. Lorsque cette référence générale 3 est utilisée, cela signifie que les étapes et autres paramètres décrits en relation avec cette référence générale sont appliqués à chacun des dispositifs 3- 1, 3-2, 3-3 et 3-4. We will now describe, with reference to FIGS. 4 to 6, the main steps of the processes implemented respectively according to the invention, by the devices 3 of the system 1 (FIG. 4), by the platform 4 of assignment of rights ( FIG. 5), and by the distribution platform 5 (FIG. 6), in a particular embodiment. FIG. 4 represents the processing method implemented by each of the devices 3 of the system 1 participating in the rendering of the conference service CONF during a session involving these devices, that is to say by the terminals 3-1, 3-2, 3-3 and by the conference bridge 3-4. For the sake of simplification in the following description, unless explicit reference is made to one of the devices 3-1, 3-2, 3-3 or 3-4, the general reference 3 to designate any of these devices. When this general reference 3 is used, it means that the steps and other parameters described in connection with this general reference are applied to each of the devices 3- 1, 3-2, 3-3 and 3-4.
En référence tout d'abord aux figures 4 et 5, on suppose ici que pour pouvoir accéder au service de conférence CONF, chacun des dispositifs 3 du système 1 s'est enregistré préalablement à ce service (étape E10), par exemple auprès de la plateforme 4 d'affectation des droits. Lors de cet enregistrement, de façon connue en soi, chaque dispositif 3 a convenu avec la plateforme 4, d'un identifiant (ou « login » en anglais) et d'un mot de passe pour s'authentifier auprès de celle-ci.  Referring firstly to Figures 4 and 5, it is assumed here that in order to access CONF conference service, each of the devices 3 of the system 1 has registered prior to this service (step E10), for example with the platform 4 for the assignment of rights. During this recording, in a manner known per se, each device 3 has agreed with the platform 4, an identifier (or "login" in English) and a password to authenticate with it.
On suppose maintenant que les dispositifs 3 du système 1 souhaitent établir entre eux une conférence via le service CONF (autrement désignée par « session » du service de conférence dans la description). A cet effet, chaque dispositif 3 s'authentifie ici dans un premier temps auprès de la plateforme 4 d'affectation des droits (étapes E20 et F10), de façon connue en soi, en utilisant l'identifiant et le mot de passe échangés lors de l'enregistrement préalable du dispositif 3.  It is now assumed that the devices 3 of the system 1 wish to confer with one another via the CONF service (otherwise referred to as "session" of the conference service in the description). For this purpose, each device 3 authenticates here in a first time with the platform 4 rights assignment (steps E20 and F10), in a manner known per se, using the identifier and the password exchanged during prior registration of the device 3.
En référence à la figure 5, suite à l'authentification d'un dispositif 3 via son module d'authentification 4A, la plateforme 4, responsable de la gestion des droits d'accès au service de conférence CONF, établit par l'intermédiaire de son module d'affectation 4B l'identité ID(3) destinée à être utilisée par ce dispositif sur le service (i.e. identité ID(3-1) pour le terminal 3-1, identité ID(3-2) pour le terminal 3-2, identité ID(3-3) pour le terminal 3-3 et identité ID(3-4) pour le dispositif 3-4 respectivement) (étape F20). Cette identité traduit la façon dont le dispositif 3 en question va être reconnu par les autres dispositifs participant au service. Par exemple, pour un service de conférence, il peut s'agir de l'adresse IP du dispositif 3. On suppose ainsi ici, que la plateforme 4 affecte :  With reference to FIG. 5, following the authentication of a device 3 via its authentication module 4A, the platform 4, responsible for managing the access rights to the conference service CONF, establishes via its assignment module 4B the identity ID (3) intended to be used by this device on the service (ie identity ID (3-1) for the terminal 3-1, identity ID (3-2) for the terminal 3 -2, identity ID (3-3) for the terminal 3-3 and identity ID (3-4) for the device 3-4 respectively) (step F20). This identity reflects the way in which the device 3 in question will be recognized by the other devices participating in the service. For example, for a conference service, it may be the IP address of the device 3. It is assumed here that the platform 4 affects:
— au terminal 3-1, l'identité ID(3- 1) correspondant à l'adresse IP @3-l du dispositif 3-1 ;  At the terminal 3-1, the identity ID (3- 1) corresponding to the IP address @ 3-1 of the device 3-1;
— au terminal 3-2, l'identité ID(3-2) correspondant à l'adresse IP @3-2 du dispositif 3-2 ; At the terminal 3-2, the identity ID (3-2) corresponding to the IP address 3-2 of the device 3-2;
— au terminal 3-3, l'identité ID(3-3) correspondant à l'adresse IP @3-3 du terminal 3-3 ; et At the terminal 3-3, the identity ID (3-3) corresponding to the IP address 3-3 of the terminal 3-3; and
— au dispositif 3-4, l'identité ID(3-4) correspondant à l'adresse IP @3-l du dispositif 3-4. To the device 3-4, the identity ID (3-4) corresponding to the IP address @ 3-I of the device 3-4.
En variante, d'autres identités peuvent être envisagées, en fonction notamment du service considéré. Ainsi par exemple, l'identité établie par la plateforme 4 pour un dispositif 3 peut correspondre à son numéro de téléphone, à un surnom, etc.  Alternatively, other identities may be envisaged, depending in particular on the service in question. For example, the identity established by the platform 4 for a device 3 may correspond to its telephone number, a nickname, etc.
Cette identité est établie ici par la plateforme 4 à partir d'informations préalablement stockées dans une mémoire non volatile de la plateforme, et obtenues par exemple lors de l'enregistrement du dispositif 3 (ce peut être notamment des informations fournies par l'utilisateur du dispositif 3 lors de son enregistrement au service de conférence ou choisies par la plateforme 4). Il convient de noter que l'identité ID(3) établie lors de l'étape F20 par la plateforme 4 pour le dispositif 3 n'est pas nécessairement liée à l'identifiant utilisé par le dispositif 3 pour s'authentifier auprès de la plateforme 4. La plateforme 4 d'affectation des droits affecte (i.e. alloue) par ailleurs au dispositif 3, par l'intermédiaire de son module d'affectation 4B, des droits RGT(3) sur le service de conférence CONF (i.e. des droits RGT(3-1) pour le terminal 3-1, des droits RGT(3-2) pour le terminal 3-2, des droits RGT(3-3) pour le terminal 3-3 et des droits RGT(3-4) pour le dispositif 3-4 respectivement) (étape F30). Par allocation de droits, on entend ici que la plateforme 4 autorise certaines actions spécifiques au dispositif 3 dans le cadre du service CONF au dispositif 3. Il peut s'agir d'actions consistant à requérir auprès d'un ou de plusieurs autres dispositifs l'exécution d'une action particulière (ex. couper le microphone d'un dispositif, déconnecter un dispositif, obtenir des informations d'un dispositif, etc.), ou d'actions pouvant s'appliquer au dispositif lui-même si cela est pertinent, au service de manière générale (ex. rebooter le service), ou encore à l'ensemble des dispositifs (ex. mettre fin à la conférence). Aucune limitation n'est attachée à la nature des droits alloués à chacun des dispositifs 3 par la plateforme 4, ces droits dépendant bien entendu du service considéré. This identity is established here by the platform 4 from information previously stored in a non-volatile memory of the platform, and obtained for example during the registration of the device 3 (it may be in particular information provided by the user of the device. device 3 when recording at conference service or selected by platform 4). It should be noted that the identity ID (3) established in step F20 by the platform 4 for the device 3 is not necessarily linked to the identifier used by the device 3 to authenticate with the platform 4. The rights allocation platform 4 also allocates (ie allocates) to the device 3, through its assignment module 4B, rights RGT (3) on the conference service CONF (ie rights RGT (3 -1) for the terminal 3-1, TMR rights (3-2) for the terminal 3-2, GTA rights (3-3) for the terminal 3-3 and GTA rights (3-4) for the device 3-4 respectively) (step F30). By rights allocation is meant here that the platform 4 allows certain actions specific to the device 3 in the framework of the service CONF to the device 3. It may be actions consisting in requesting from one or more other devices the performance of a particular action (eg mute a device, disconnect a device, obtain device information, etc.), or actions that may apply to the device itself if this is relevant to the service in general (eg reboot the service), or to all devices (eg terminate the conference). No limitation is attached to the nature of the rights allocated to each of the devices 3 by platform 4, these rights depending of course on the service in question.
Les droits affectés à un dispositif 3 peuvent être spécifiés directement en tant que tels ou de façon codée, ou encore découler indirectement d'un ou de plusieurs rôles affectés par la plateforme 4 au dispositif 3 vis-à-vis d'un ou plusieurs dispositifs du système 1 (ex. dans le cas d'un service de conférence : organisateur, modérateur, participant, etc.). La correspondance entre rôle et droits afférents est supposée ici connue de chacun des dispositifs 3 participant au service de conférence CONF et des plateformes de service 4 et 5. Elle est par exemple communiquée à chaque dispositif 3 lors de son enregistrement au service de conférence CONF.  The rights assigned to a device 3 may be specified directly as such or in a coded manner, or may derive indirectly from one or more roles assigned by the platform 4 to the device 3 vis-à-vis one or more devices of system 1 (eg in the case of a conference service: organizer, moderator, participant, etc.). The correspondence between role and related rights is here assumed to be known by each of the devices 3 participating in the conference service CONF and the service platforms 4 and 5. It is for example communicated to each device 3 when it is registered with the CONF conference service.
Quelle que soit la forme sous laquelle ils sont représentés, les droits RGT(3) constituent des informations représentatives des droits sur le service CONF alloués au dispositif 3 au sens de l'invention.  Whatever the form in which they are represented, the TMN rights (3) constitute information representative of the rights on the service CONF allocated to the device 3 within the meaning of the invention.
Dans l'exemple du service de conférence CONF envisagé ici à titre illustratif, on considère deux rôles distincts, i.e. « modérateur » (ou superviseur) ou « participant », pouvant être attribués par la plateforme 4 aux dispositifs 3, pour lesquels les droits associés en découlant sont les suivants :  In the example of the CONF conference service considered here as an illustration, two distinct roles, ie "moderator" (or supervisor) or "participant", that can be attributed by the platform 4 to the devices 3, for which the associated rights, are considered resulting therefrom are:
— rôle de « modérateur » (ou superviseur) :  - role of "moderator" (or supervisor):
o droit de couper le microphone d'un autre dispositif ;  o Right to cut the microphone of another device;
o droit de déconnecter un autre dispositif ; et  o right to disconnect another device; and
o droit d'obtenir des informations d'un autre dispositif ;  o right to obtain information from another device;
— rôle de « participant » :  - role of "participant":
o droit d'obtenir des informations d'un autre dispositif.  o Right to obtain information from another device.
Plus précisément, on suppose ici que la plateforme 4 attribue au terminal 3-1 le rôle de modérateur, et aux terminaux 3-2, 3-3 et au dispositif 3-4 des rôles de participant à la conférence.  More specifically, it is assumed here that platform 4 assigns the terminal 3-1 the role of moderator, and terminals 3-2, 3-3 and device 3-4 roles of participant in the conference.
Dans le mode de réalisation décrit ici, le module d'affectation 4B de la plateforme 4 d'affectation des droits construit ensuite, pour chaque dispositif 3, un objet OBJ(3) (i.e. une structure de données) comprenant l'identité ID(3) et les droits RGT(3) affectés au dispositif 3 (étape F40). In the embodiment described here, the assignment module 4B of the rights allocation platform 4 then constructs, for each device 3, an object OBJ (3) (ie a data structure) comprising the identity ID (3) and the rights RGT (3) assigned to the device 3 (step F40).
Puis elle chiffre cet objet OBJ(3) à l'aide d'un algorithme de chiffrement asymétrique mis en œuvre par son module de transmission 4C, de façon connue en soi, en utilisant une clé de chiffrement privée PrivK4 caractéristique du service CONF et préalablement allouée à la plateforme 4 par une autorité de confiance (étape F50). Cette clé de chiffrement privée PrivK4 est par exemple stockée dans la mémoire non volatile de la plateforme 4, et associée à une clé de chiffrement publique PubK4. Aucune limitation n'est attachée à l'algorithme de chiffrement asymétrique utilisé par le module de transmission 4C de la plateforme 4 pour chiffrer l'objet OBJ(3). L'objet chiffré obtenu est désigné par CRYPT_OBJ(3).  Then it encrypts this object OBJ (3) using an asymmetric encryption algorithm implemented by its transmission module 4C, in a manner known per se, using a PrivK4 private encryption key characteristic of the CONF service and previously allocated to platform 4 by a trusted authority (step F50). This private encryption key PrivK4 is for example stored in the non-volatile memory of platform 4, and associated with a public encryption key PubK4. No limitation is attached to the asymmetric encryption algorithm used by the platform 4C transmission module 4 to encrypt the object OBJ (3). The resulting encrypted object is designated CRYPT_OBJ (3).
En variante, un algorithme de chiffrement symétrique peut être envisagé pour chiffrer l'objet OBJ(3), celui-ci utilisant une clé de chiffrement secrète SK4 partagée entre la plateforme 4 d'affectation des droits et la plateforme 5. Cette clé partagée SK4 a par exemple été échangée entre la plateforme 5 et la plateforme 4 lors de l'enregistrement du dispositif 3 au service CONF.  As a variant, a symmetric encryption algorithm can be envisaged for encrypting the OBJ object (3), which uses a secret encryption key SK4 shared between the rights allocation platform 4 and the platform 5. This shared key SK4 has for example been exchanged between the platform 5 and the platform 4 when registering the device 3 to the CONF service.
Dans une autre variante encore, la plateforme 4 signe l'objet OBJ(3) ou l'objet chiffré In another variant, the platform 4 signs the object OBJ (3) or the encrypted object
CRYPT_OBJ(3) au moyen d'un algorithme de signature numérique connu en soi et de la clé de chiffrement privée PrivK4. CRYPT_OBJ (3) using a known digital signature algorithm and PrivK4 private encryption key.
L'objet chiffré CRYPT_OBJ(3) est ensuite transmis au dispositif 3 par le module de transmission 4C de la plateforme 4 d'affection de droits, via le réseau de télécommunications 2 (étape F60).  The encrypted object CRYPT_OBJ (3) is then transmitted to the device 3 by the transmission module 4C of the entitlement platform 4 via the telecommunications network 2 (step F60).
Il convient de noter que le chiffrement, respectivement la signature, de l'objet OBJ(3) permet de s'assurer que l'identité et les droits affectés au dispositif 3 par la plateforme 4 d'affectation des droits ne sont pas modifiés par un tiers (dispositif 3 ou autre), seule la plateforme 4 en tant qu'entité de confiance disposant de la connaissance de la clé privée PrivK4 ayant permis de chiffrer, respectivement de signer, l'objet OBJ(3).  It should be noted that the encryption or signature of the object OBJ (3) makes it possible to ensure that the identity and the rights assigned to the device 3 by the rights allocation platform 4 are not modified by a third party (device 3 or other), only the platform 4 as a trusted entity having the knowledge of the private key PrivK4 which allowed to encrypt, respectively to sign the object OBJ (3).
En référence de nouveau à la figure 4, l'objet chiffré CRYPT_OBJ(3) est reçu, via le réseau de télécommunications 2, par le module d'obtention 3A du dispositif 3 (étape E30).  Referring back to FIG. 4, the encrypted object CRYPT_OBJ (3) is received, via the telecommunications network 2, by the obtaining module 3A of the device 3 (step E30).
Dans le mode de réalisation décrit ici, le dispositif 3 s'enregistre alors auprès de la plateforme 5 de distribution des droits et lui transmet lors de cet enregistrement, via le réseau de télécommunications 2, l'objet chiffré CRYPT_OBJ(3) reçu de la plateforme d'affection de droits 4 (étape E40). Il convient de noter que le dispositif 3, dans le mode de réalisation décrit ici, ne déchiffre pas l'objet chiffré CRYPT_OBJ(3), mais le transmet en l'état à la plateforme 5.  In the embodiment described here, the device 3 then registers with the rights distribution platform 5 and transmits to it during this registration, via the telecommunications network 2, the encrypted object CRYPT_OBJ (3) received from the rights affection platform 4 (step E40). It should be noted that the device 3, in the embodiment described here, does not decipher the encrypted object CRYPT_OBJ (3), but transmits it as it is to the platform 5.
En référence à la figure 6, la plateforme 5 de distribution des droits reçoit donc, de chaque dispositif 3, un objet chiffré CRYPT_OBJ(3) comprenant l'identité ID(3) établie par la plateforme 4 pour ce dispositif 3, ainsi que les droits RGT(3) qui lui ont été affectés (étape G10).  With reference to FIG. 6, the rights distribution platform 5 thus receives, from each device 3, an encrypted object CRYPT_OBJ (3) comprising the identity ID (3) established by the platform 4 for this device 3, as well as the GTA rights (3) assigned to it (step G10).
On suppose ici que la plateforme 5 de distribution des droits dispose, stockée par exemple dans sa mémoire non volatile 11, la clé publique PubK4 associée à la clé privée PrivK4 utilisée par la plateforme 4 d'affectation des droits pour chiffrer l'objet OBJ(3). Dans le mode de réalisation décrit ici, la plateforme 5 de distribution des droits déchiffre, par l'intermédiaire de son module 5A de construction, l'objet chiffré CRYPT_OBJ(3) reçu du dispositif 3 en utilisant de façon connue en soi la clé publique PubK4 (étape G20). Le module 5A obtient à l'issue de cette étape de déchiffrement l'objet OBJ(3) comprenant l'identité ID(3) et les droits RGT(3) affectés pour l'utilisation du service CONF au dispositif 3. It is assumed here that the rights distribution platform 5 has, stored for example in its non-volatile memory 11, the public key PubK4 associated with the private key PrivK4 used by the platform 4 for assigning the rights to encrypt the object OBJ ( 3). In the embodiment described here, the rights distribution platform 5 deciphers, via its construction module 5A, the encrypted object CRYPT_OBJ (3) received from the device 3 using the public key in a manner known per se. PubK4 (step G20). At the end of this decryption step, the module 5A obtains the object OBJ (3) comprising the identity ID (3) and the rights RGT (3) assigned for the use of the service CONF to the device 3.
Il convient de noter que si l'objet chiffré CRYPT_OBJ(3) est issu d'un autre dispositif que la plateforme 4 et n'a pas été chiffré à l'aide de la clé privée PrivK4 affectée au service CONF et détenue par la plateforme 4, cette étape de déchiffrement n'est pas possible.  It should be noted that if the encrypted object CRYPT_OBJ (3) comes from a device other than platform 4 and was not encrypted using the private key PrivK4 assigned to the CONF service and owned by the platform 4, this decryption step is not possible.
Dans un autre mode de réalisation dans lequel l'objet CRYPT_OBJ(3) est un objet signé par la plateforme 4, la plateforme 5 vérifie lors de l'étape G20 la signature numérique de l'objet de façon connue en soi.  In another embodiment in which object CRYPT_OBJ (3) is an object signed by platform 4, platform 5 checks in step G20 the digital signature of the object in a manner known per se.
Dans un autre mode de réalisation, l'objet chiffré CRYPT_OBJ(3) associé au dispositif 3 est transmis directement par la plateforme 4 d'affectation des droits à la plateforme 5 de distribution des droits, sans intervention du dispositif 3, par exemple via un bus de données interne si les deux plateformes sont localisées sur un même serveur, ou via une application de type API (Application Programming Interface) ou via le réseau de télécommunications 2.  In another embodiment, the encrypted object CRYPT_OBJ (3) associated with the device 3 is transmitted directly by the rights allocation platform 4 to the rights distribution platform 5, without intervention of the device 3, for example via a internal data bus if both platforms are located on the same server, or via an Application Programming Interface (API) or via the telecommunications network 2.
Le module 5A de construction de la plateforme 5 de distribution des droits extrait de l'objet déchiffré OBJ(3) l'identité ID(3) du dispositif 3 ainsi que les droits (3) qui lui ont été affectés et les stocke dans une structure de données, et plus particulièrement dans la base de données DB dite d'identités et de droits (étape G30).  The module 5A for constructing the rights distribution platform 5 extracts from the object decrypted OBJ (3) the identity ID (3) of the device 3 as well as the rights (3) which have been assigned to it and stores them in a data structure, and more particularly in the DB database of identities and rights (step G30).
Le module 5A de construction met en œuvre les étapes G10, G20 et G30 pour chacun des dispositifs 3-1, 3-2, 3-3 et 3-4 de sorte à construire une base d'identités et de droits DB regroupant les droits RGT(3) et les identités ID(3) de tous les dispositifs participant au service CONF et en relation les uns avec les autres. On a donc une base DB pour chaque utilisation (i.e. chaque session) du service CONF (autrement dit, pour chaque conférence établie dans le cadre de ce service entre plusieurs dispositifs).  The construction module 5A implements the steps G10, G20 and G30 for each of the devices 3-1, 3-2, 3-3 and 3-4 so as to build a database of identities and rights DB grouping the rights GTA (3) and identities ID (3) of all devices participating in the CONF service and in relation to each other. So we have a DB base for each use (i.e. each session) of the CONF service (that is, for each conference established as part of this service between multiple devices).
Dans le mode de réalisation décrit ici, la base DB d'identités et de droits a plus particulièrement la forme d'une matrice, c'est-à-dire d'un tableau à deux dimensions, dont un exemple est illustré à la figure 7.  In the embodiment described here, the DB identity and rights database has more particularly the form of a matrix, that is to say a two-dimensional array, an example of which is illustrated in FIG. 7.
Selon cet exemple, chaque ligne Li de la matrice est associée à un dispositif 3-i du système 1 et indique les droits affectés par la plateforme 4 à ce dispositif sur les dispositifs 3-j identifiés dans les colonnes Cj de la matrice, où i,j=l,...,N et N désigne le nombre de dispositifs 3 du système 1 participant à la session du service à laquelle se rapporte la base DB (N=4 dans l'exemple illustré). Les dispositifs 3-i et 3-j sont identifiés en ligne et en colonne par l'identité qu'a établie la plateforme 4 d'affection de droits.  According to this example, each line Li of the matrix is associated with a device 3-i of the system 1 and indicates the rights allocated by the platform 4 to this device on the devices 3-j identified in the columns Cj of the matrix, where i , j = l, ..., N and N denotes the number of devices 3 of the system 1 participating in the session of the service to which the database DB relates (N = 4 in the example illustrated). The devices 3-i and 3-j are identified in line and in column by the identity established by the platform 4 of affection of rights.
Ainsi, la ligne Ll indique que le dispositif 3-1 dont l'identité est ID(3-1)=@3-1 a un rôle de modérateur (indiqué par « SUP » dans la matrice DB) vis-à-vis des dispositifs 3-2, 3-3 et 3- 4. Autrement dit, la ligne Ll reprend l'ensemble des droits spécifiés par l'information RGT(3-1). De façon similaire, les lignes L2, L3 et L4 (reprenant l'ensemble des droits spécifiés dans les informations RGT(3-2), RGT(3-3), RGT(3-4)) indiquent respectivement que : Thus, the line L1 indicates that the device 3-1 whose identity is ID (3-1) = @ 3-1 has a role of moderator (indicated by "SUP" in the matrix DB) with respect to devices 3-2, 3-3 and 3- 4. In other words, the line Ll includes all the rights specified by the GTA information (3-1). Similarly, lines L2, L3 and L4 (with all the rights specified in the TMN (3-2), GTA (3-3), GTA (3-4)) indicate respectively that:
— le dispositif 3-2 dont l'identité est ID(3-2)=@3-2 a un rôle de participant (indiqué par « PART » dans la matrice DB) vis-à-vis des dispositifs 3-1, 3-3 et 3-4 ;  The device 3-2 whose identity is ID (3-2) = @ 3-2 has a role of participant (indicated by "PART" in the matrix DB) vis-à-vis the devices 3-1, 3 -3 and 3-4;
— le dispositif 3-3 dont l'identité est ID(3-3)=@3-3 a un rôle de participant (indiqué par « PART » dans la matrice DB) vis-à-vis des dispositifs 3-1, 3-2 et 3-4 ; The device 3-3 whose identity is ID (3-3) = @ 3-3 has a role of participant (indicated by "PART" in the matrix DB) vis-à-vis the devices 3-1, 3 -2 and 3-4;
— le dispositif 3-4 dont l'identité est ID(3-4)=@3-4 a un rôle de participant (indiqué par « PART » dans la matrice DB) vis-à-vis des dispositifs 3-1, 3-2 et 3-3.  The device 3-4 whose identity is ID (3-4) = @ 3-4 has a role of participant (indicated by "PART" in the matrix DB) vis-à-vis the devices 3-1, 3 -2 and 3-3.
Autrement dit, au vu de la correspondance établie précédemment, le dispositif 3-1 en tant que modérateur du service CONF dispose des droits de couper le microphone des dispositifs 3- 2, 3-3 et 3-4, de déconnecter les dispositifs 3-2, 3-3 et 3-4 et d'obtenir des informations sur les dispositifs 3-2, 3-3 et 3-4. Les dispositifs 3-2, 3-3 et 3-4 en tant que participant au service CONF dispose uniquement du droit d'obtenir des informations des autres dispositifs du système 1.  In other words, in view of the previously established correspondence, the device 3-1 as moderator of the service CONF has the rights to cut the microphone of the devices 3- 2, 3-3 and 3-4, to disconnect the devices 3- 2, 3-3 and 3-4 and to obtain information on devices 3-2, 3-3 and 3-4. Devices 3-2, 3-3 and 3-4 as a participant in the CONF service only have the right to obtain information from other devices in the system 1.
La base ou matrice DB ainsi construite par la plateforme 5 donne donc une vue d'ensemble synthétique de tous les dispositifs participant à la session considérée du service de conférence et des droits et identités afférents à ces dispositifs. Elle est stockée par le module de construction 5A dans la mémoire non volatile 11 de la plateforme 5.  The DB database or matrix thus constructed by the platform 5 thus gives a synthetic overview of all the devices participating in the considered session of the conference service and the rights and identities relating to these devices. It is stored by the construction module 5A in the non-volatile memory 11 of the platform 5.
Dans le mode de réalisation décrit ici, la plateforme 5 de distribution des droits chiffre, via son module de transmission 5B, la base DB d'identités et de droits ainsi construite (étape G40). Elle utilise à cet effet ici un algorithme de chiffrement asymétrique, connu en soi, et une clé privée PrivK5, associée au service de conférence CONF, et affectée par une autorité de confiance à la plateforme 5. Cette clé privée PrivK5 est par exemple stockée dans la mémoire non volatile 11 de la plateforme 5. Aucune limitation n'est attachée à l'algorithme de chiffrement asymétrique utilisé par le module de transmission 5B de la plateforme 5 pour chiffrer la base DB d'identités et de droits. La base DB chiffrée obtenue est désignée par CRYPT_DB.  In the embodiment described here, the digital rights distribution platform 5, via its transmission module 5B, the identity and rights database DB thus constructed (step G40). It uses for this purpose an asymmetric encryption algorithm, known per se, and a private key PrivK5, associated with the conference service CONF, and assigned by a trusted authority to the platform 5. This private key PrivK5 is for example stored in the nonvolatile memory 11 of the platform 5. No limitation is attached to the asymmetric encryption algorithm used by the transmission module 5B of the platform 5 to encrypt the DB database of identities and rights. The encrypted DB database obtained is designated CRYPT_DB.
En variante, un algorithme de chiffrement symétrique peut être envisagé pour chiffrer la base DB, celui-ci utilisant une clé de chiffrement secrète SK5 partagée entre la plateforme 5 d'affectation des droits et les dispositifs 3. Cette clé partagée SK5 a par exemple été échangée entre le dispositif 3 et la plateforme 5 lors de l'enregistrement du dispositif 3 auprès de la plateforme 5.  As a variant, a symmetric encryption algorithm can be envisaged for encrypting the database DB, which uses a secret encryption key SK5 shared between the rights allocation platform 5 and the devices 3. This shared key SK5 has, for example, been encrypted. exchanged between the device 3 and the platform 5 when registering the device 3 at the platform 5.
Selon une autre variante encore, la plateforme 5 signe la base d'identité et de droits DB ou sa version chiffrée au moyen d'un algorithme de signature numérique connu en soi et de la clé de chiffrement privée PrivK5.  According to yet another variant, the platform 5 signs the DB identity and rights database or its encrypted version by means of a known digital signature algorithm and the PrivK5 private encryption key.
Puis le module de transmission 5C de la plateforme 5 transmet la base d'identité et de droits chiffrée CRYPT_DB à chacun des dispositifs 3 du système 1 (étape G50).  Then the 5C transmission module of the platform 5 transmits the identity and encrypted rights database CRYPT_DB to each of the devices 3 of the system 1 (step G50).
En référence de nouveau à la figure 4, chaque dispositif 3 reçoit la base d'identité et de droits chiffrée CRYPT_DB distribuée par la plateforme 5 (étape E50), et la déchiffre à l'aide de la clé publique PubK5 associée à la clé de chiffrement privée PrivK5 (étape E60). La base d'identités et de droits DB ainsi déchiffrée est stockée par chaque dispositif 3, par exemple dans sa mémoire non volatile. Referring back to FIG. 4, each device 3 receives the encrypted identity and rights database CRYPT_DB distributed by the platform 5 (step E50), and decrypts it using the public key PubK5 associated with the key of PrivK5 private encryption (step E60). The base identities and rights DB thus decrypted is stored by each device 3, for example in its non-volatile memory.
Ainsi, via la base d'identités et de droits DB distribuée par la plateforme 5 de distribution des droits sur le service CONF, chaque dispositif 3 participant à la session de conférence est informé de son propre rôle et de ses droits, ainsi que des rôles et des droits des autres dispositifs participant à cette session.  Thus, via the database of identities and rights DB distributed by the platform 5 of distribution of the rights on the service CONF, each device 3 participating in the conference session is informed of its own role and its rights, as well as the roles and the rights of other devices participating in this session.
Nous allons maintenant décrire, en référence à la figure 8, la façon dont les dispositifs 3 se servent, lors de la conférence, de cette base DB distribuée par la plateforme 5 et stockée localement au niveau de chaque dispositif, notamment pour traiter des requêtes en provenance d'un autre dispositif participant à la conférence conformément à l'invention.  We will now describe, with reference to FIG. 8, the manner in which the devices 3 use, during the conference, this database DB distributed by the platform 5 and stored locally at the level of each device, in particular for processing requests in from another device participating in the conference according to the invention.
On suppose donc maintenant que, suite à la distribution de la base DB, les dispositifs 3 participent à proprement parler à une conférence mise en œuvre dans le cadre du service CONF.  It is now assumed that, following the distribution of the DB database, the devices 3 participate strictly speaking to a conference implemented as part of the CONF service.
On suppose par ailleurs que l'utilisateur de l'un des dispositifs, par exemple du terminal 3-1, souhaite couper le microphone du terminal de l'un des participants à la conférence, par exemple du terminal 3-2. La figure 8 illustre les étapes mises en œuvre par le terminal 3-2 (étapes d'un procédé de traitement conforme à l'invention).  It is further assumed that the user of one of the devices, for example the terminal 3-1, wishes to cut the microphone of the terminal of one of the conference participants, for example the terminal 3-2. FIG. 8 illustrates the steps implemented by the terminal 3-2 (steps of a processing method according to the invention).
Pour couper le microphone du terminal 3-2, le terminal 3-1 envoie, via le réseau de télécommunications 2 par exemple, une requête REQ au terminal 3-2 contenant son identité ID(3- 1) ainsi qu'une action ACT à réaliser par le terminal 3-2, à savoir ici couper son microphone.  To cut the microphone of the terminal 3-2, the terminal 3-1 sends, via the telecommunications network 2 for example, a request REQ to the terminal 3-2 containing its identity ID (3- 1) and an action ACT to realize by the terminal 3-2, namely here cut off his microphone.
Sur réception par son module de réception 3B de la requête REQ envoyée par le terminal 3-1 (étape H10), le terminal 3-2 extrait l'identité ID(3-1) de la requête REQ et vérifie, au moyen de son module de vérification 3C, dans la base DB d'identités et de droits stockée dans sa mémoire si cette identité a le droit de lui demander d'exécuter l'action ACT contenue dans la requête REQ, à savoir de couper son microphone (étape H20). Cette étape de vérification est mise en œuvre par le module de vérification 3C via des moyens d'interrogation ou de consultation d'une base de données connus en soi, en contrôlant si parmi les droits RGT(3-1) reportés dans la base DB pour l'identité ID(3-1) figure l'autorisation de demander au dispositif 3-2 de couper son microphone.  On reception by its reception module 3B of the request REQ sent by the terminal 3-1 (step H10), the terminal 3-2 extracts the identity ID (3-1) of the request REQ and verifies, by means of its verification module 3C, in the identity and rights DB database stored in its memory if this identity has the right to ask it to execute the ACT action contained in the REQ request, namely to cut off its microphone (step H20 ). This verification step is implemented by the verification module 3C via means for querying or consulting a database known per se, by checking whether among the rights RGT (3-1) reported in the database DB for the identity ID (3-1) is the authorization to ask the device 3-2 to cut off its microphone.
Dans l'exemple décrit à la figure 7, la base DB indique au terminal 3-2 que le terminal 3-1 correspondant à l'identité ID(3-1) a le rôle de modérateur de la conférence vis-à-vis de lui. Conformément à la correspondance rôle/droits préétablie mentionnée précédemment, le module de vérification 3C du terminal 3-2 déduit de ce rôle que le terminal 3-1 a le droit de requérir auprès du terminal 3-2 qu'il exécute l'action ACT, autrement dit qu'il coupe son microphone (réponse oui à l'étape test H30).  In the example described in FIG. 7, the database DB indicates to the terminal 3-2 that the terminal 3-1 corresponding to the identity ID (3-1) has the role of moderator of the conference with respect to him. In accordance with the pre-established role / rights correspondence mentioned above, the 3C verification module of the terminal 3-2 deduces from this role that the terminal 3-1 has the right to request from the terminal 3-2 that it execute the ACT action. that is, it cuts off its microphone (yes answer to test step H30).
Suite à cette vérification positive, le module d'exécution 3D du terminal 3-2 exécute l'action ACT requise par le terminal 3-1 et coupe le microphone du terminal 3-2 (étape H40).  Following this positive verification, the 3D execution module of the terminal 3-2 executes the action ACT required by the terminal 3-1 and cuts the microphone of the terminal 3-2 (step H40).
Si au contraire, le module de vérification 3C du terminal 3-2 détermine au regard des informations contenues dans la base DB que le terminal 3-1 n'est pas en droit de requérir l'exécution de l'action ACT par le terminal 3-2 (réponse non à l'étape test H30), le module d'exécution 3D refuse d'exécuter l'action et rejette la requête REQ du terminal 3-1 (étape H40). If, on the other hand, the verification module 3C of the terminal 3-2 determines with respect to the information contained in the database DB that the terminal 3-1 is not entitled to request the execution of the ACT action by the terminal 3-2 (answer no to the test step H30), the 3D execution module refuses to execute the action and rejects the request REQ of the terminal 3-1 (step H40).
Ainsi, grâce à l'invention, chaque dispositif 3 participant au rendu du service de conférence CONF peut connaître les droits et les rôles de chacun des autres dispositifs, et exécuter directement des actions distantes selon un procédé de communication directe entre les dispositifs.  Thus, thanks to the invention, each device 3 participating in the rendering of the CONF conference service can know the rights and roles of each of the other devices, and directly execute remote actions in a direct communication process between the devices.
On note que l'invention permet également de s'accommoder aisément d'une mise à jour des droits affectés à un dispositif 3 en cours d'utilisation du service de conférence. Ainsi en référence à la figure 4, si l'un des dispositifs 3 participant au service change par exemple de rôle et devient à titre illustratif « modérateur » plutôt que simple « participant » (réponse oui à l'étape test E70), il envoie via le réseau de télécommunications 2 un message M à la plateforme 5 de distribution des droits pour lui notifier (indiquer) ce changement de rôle (étape E80). Ce message comprend son identité ID(3) ainsi que, dans le mode de réalisation décrit ici, un jeton d'authentification TOK (aussi appelé jeton de sécurité ou token) associé au nouveau rôle qui lui a été affecté, par exemple via la plateforme 4 d'affectation des droits qui lui transmet à cet effet le jeton TOK associé au nouveau rôle de façon sécurisée. En variante, le dispositif 3 ou son utilisateur peut acquérir le jeton TOK par tout autre moyen de manière sécurisée pour s'assurer que seul un dispositif ou un utilisateur autorisé dispose de ce jeton.  Note that the invention also makes it easy to accommodate an update rights assigned to a device 3 in use of the conference service. Thus, with reference to FIG. 4, if one of the devices 3 participating in the service for example changes role and becomes illustrative "moderator" rather than simple "participant" (yes answer to the test step E70), it sends via the telecommunications network 2 a message M to the rights distribution platform 5 to notify him (indicate) this change of role (step E80). This message comprises its identity ID (3) as well as, in the embodiment described here, a TOK authentication token (also called security token or token) associated with the new role that has been assigned to it, for example via the platform 4 to assign the rights to this effect the TOK token associated with the new role in a secure manner. Alternatively, the device 3 or its user can acquire the TOK token by any other means in a secure manner to ensure that only an authorized device or user has this token.
Dans ce mode de réalisation, chaque rôle est associé à un jeton de sécurité distinct, de sorte que le jeton d'authentification TOK en lui-même représente une information représentative des droits sur le service alloués au dispositif au sens de l'invention. Un tel jeton d'authentification offre de façon connue en soi une solution d'authentification forte permettant de prouver à la plateforme 5 le droit du dispositif à prétendre à ce nouveau rôle. Il peut s'agir par exemple d'un mot de passe associé au nouveau rôle revendiqué par le dispositif 3.  In this embodiment, each role is associated with a separate security token, so that the authentication token TOK itself represents information representative of the rights on the service allocated to the device within the meaning of the invention. Such an authentication token offers, in a manner known per se, a strong authentication solution making it possible to prove to the platform 5 the right of the device to pretend to this new role. This may be for example a password associated with the new role claimed by the device 3.
Le jeton d'authentification associé à un rôle peut être géré par le dispositif 3 de façon transparente pour son utilisateur. En variante, le jeton peut être fourni à la plateforme 5 par l'utilisateur du dispositif 3 auquel cas le message M comprend, en plus de l'identité ID(3), une indication du changement de rôle du dispositif 3 (ex. une information représentative des nouveaux droits alloués à ce dispositif sur le service ou simplement un message de changement de rôle ou de mise à jour de ces droits).  The authentication token associated with a role can be managed by the device 3 in a manner that is transparent to its user. Alternatively, the token may be provided to the platform 5 by the user of the device 3, in which case the message M comprises, in addition to the identity ID (3), an indication of the role change of the device 3 (eg a information representative of the new rights allocated to this device on the service or simply a message of change of role or update of these rights).
Dans une autre variante encore, le jeton TOK est fourni sous la forme d'un nouvel objet N_OBJ(3) chiffré par la plateforme 4 au dispositif 3, ce nouvel objet reflétant le nouveau rôle affecté au dispositif 3. Dans cette variante, le message M transmis par le dispositif 3 à la plateforme 5 pour lui signaler son changement de rôle comprend le nouvel objet N_OBJ(3) chiffré.  In yet another variant, the token TOK is provided in the form of a new object N_OBJ (3) encrypted by the platform 4 to the device 3, this new object reflecting the new role assigned to the device 3. In this variant, the message M transmitted by the device 3 to the platform 5 to indicate its role change includes the new object N_OBJ (3) encrypted.
Dans une autre variante encore, le jeton TOK peut être fourni à la plateforme 5 par le dispositif 3 ou par son utilisateur en plus d'un nouvel objet N_OBJ(3) chiffré et fourni au dispositif 3 par la plateforme 4, ce nouvel objet reflétant le nouveau rôle affecté au dispositif 3.  In yet another variant, the TOK token may be provided to the platform 5 by the device 3 or by its user in addition to a new object N_OBJ (3) encrypted and supplied to the device 3 by the platform 4, this new object reflecting the new role assigned to the device 3.
En référence à la figure 6, sur réception du message M (réponse oui à l'étape test G60), la plateforme 5 contrôle le jeton TOK inclus dans le message et met à jour par l'intermédiaire de son module de construction 5A, dans la base d'identités et de droits DB, les droits RGT(3) associés à l'identité ID(3) avec le rôle correspondant au jeton envoyé par le dispositif 3 (étape G30). Pour contrôler le jeton TOK, la plateforme 5 consulte par exemple une table préconfigurée et stockée dans sa mémoire non volatile, dans laquelle est associé à chaque rôle pouvant être affecté à un dispositif participant au service CONF un jeton TOK devant être présenté par le dispositif pour accéder à ce rôle si celui-ci diffère du rôle qui lui a été attribué initialement dans l'objet OBJ(3) qu'il a transmis à la plateforme 5. Les jetons TOK associés à chacun des rôles peuvent avoir été inclus par la plateforme 4 dans l'objet initial OBJ(3) par exemple, et transmis à la plateforme 5 via le dispositif 3 comme décrit précédemment. With reference to FIG. 6, upon receipt of the message M (answer yes to the test step G60), the platform 5 controls the TOK token included in the message and updates via from its building module 5A, in the database of identities and rights DB, the rights RGT (3) associated with the identity ID (3) with the role corresponding to the token sent by the device 3 (step G30). To control the TOK token, the platform 5 consults for example a preconfigured table and stored in its non-volatile memory, in which is associated with each role that can be assigned to a device participating in the CONF service a TOK token to be presented by the device for access this role if it differs from the role that was originally assigned to it in the OBJ (3) object it passed to platform 5. The TOK tokens associated with each of the roles may have been included by the platform 4 in the initial object OBJ (3) for example, and transmitted to the platform 5 via the device 3 as previously described.
Dans la variante décrite précédemment dans laquelle un nouvel objet N_OBJ(3) chiffré est transmis en tant que jeton TOK dans le message M, le fait pour la plateforme 5 de pouvoir déchiffrer cet objet à l'aide de la clé publique PubK4 associée à la clé privée de la plateforme 4 permet de contrôler le jeton TOK et de déterminer que le dispositif 3 est bien en droit d'accéder à ce nouveau rôle. La plateforme 5 met alors à jour par l'intermédiaire de son module de construction 5A, dans la base d'identités et de droits DB, les droits associés à l'identité ID(3) avec les droits RGT(3) indiqués dans le nouvel objet N_OBJ(3) (étape G30).  In the variant described above in which a new encrypted object N_OBJ (3) is transmitted as token TOK in the message M, the fact for the platform 5 to be able to decrypt this object using the public key PubK4 associated with the The private key of the platform 4 makes it possible to control the TOK token and to determine that the device 3 is entitled to access this new role. The platform 5 then updates via its construction module 5A, in the database of identities and rights DB, the rights associated with the identity ID (3) with the rights RGT (3) indicated in the new object N_OBJ (3) (step G30).
Puis la plateforme 5 transmet via son module de transmission 5B aux dispositifs 3 du système 1 la base DB d'identités et de droits ainsi mise à jour, comme décrit précédemment en référence aux étapes G40 et G50.  Then the platform 5 transmits via its transmission module 5B to the devices 3 of the system 1 the database DB identities and rights thus updated, as described above with reference to the steps G40 and G50.
Les dispositifs 3 traitent et utilisent la base DB ainsi mise à jour de façon similaire à ce qui a été décrit précédemment en référence aux étapes E50 et E60 et à la figure 8.  The devices 3 process and use the DB database thus updated in a manner similar to that described above with reference to steps E50 and E60 and FIG. 8.
Dans l'exemple envisagé ici, on a considéré un service de conférence (audio, Visio ou audio/vidéo). Toutefois, comme mentionné précédemment, cet exemple n'est donné qu'à titre illustratif et l'invention s'applique à d'autres types de service dont le rendu peut être distribué sur une pluralité de dispositifs. Ainsi, notamment, l'invention s'applique également à un système comprenant une pluralité d'objets connectés.  In the example considered here, a conference service (audio, video or audio / video) has been considered. However, as mentioned above, this example is given for illustrative purposes only and the invention applies to other types of service whose rendering can be distributed over a plurality of devices. Thus, in particular, the invention also applies to a system comprising a plurality of connected objects.
Pour mieux illustrer cet autre exemple, considérons par exemple un système comprenant quatre objets connectés entre eux via un réseau de télécommunications, tels qu'une caméra 01, une porte 02, un objet 03 embarquant une application de reconnaissance faciale et une chaudière 04. Ces objets offrent un service tel que lorsque l'application reconnaissance faciale reconnaît sur une image saisie par la caméra un membre de la famille devant la porte, elle demande à la porte de s'ouvrir et augmente la température de la chaudière. Selon un tel exemple, on peut définir les droits suivants sur le service :  To better illustrate this other example, consider for example a system comprising four objects connected to each other via a telecommunications network, such as a camera 01, a door 02, an object 03 carrying a facial recognition application and a boiler 04. These objects provide a service such as when the facial recognition application recognizes on an image captured by the camera a member of the family in front of the door, it asks the door to open and increases the temperature of the boiler. According to such an example, one can define the following rights on the service:
— droit RI d'obtenir un état du dispositif ;  - right RI to obtain a state of the device;
— droit R2 de redémarrer le dispositif ; - R2 right to restart the device;
— droit R3 d'obtenir un flux média du dispositif ;  Right R3 to obtain a media stream of the device;
— droit R4 d'ouvrir la porte ;  Right R4 to open the door;
— droit R5 de modifier la température ; et construire la base DB' d'identités et de service représentée à la figure 9, où ID(Ol), ID(02), ID(03), ID(04) désignent les identités établies pour ce service pour les objets 01, 02, 03 et 04 respectivement. Right R5 to change the temperature; and constructing the DB 'identity and service database shown in FIG. 9, where ID (Ol), ID (02), ID (03), ID (04) designate the identities established for this service for the objects 01, 02, 03 and 04 respectively.

Claims

REVENDICATIONS
1. Procédé de distribution de droits sur un service (CONF), destiné à être mis en œuvre par une plateforme de service (5) et comprenant : A service rights distribution method (CONF), to be implemented by a service platform (5) and comprising:
— une étape de construction (G30) d'une base de données dite d'identités et de droits (DB) comprenant, pour chaque dispositif (3) participant au service, une identité (ID(3)) destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information (RGT(3)) représentative de droits sur le service alloués au dispositif; etA step of construction (G30) of a database of identities and rights (DB) comprising, for each device (3) participating in the service, an identity (ID (3)) intended to be used by this device during its participation in the service and, associated with this identity, at least one information (RGT (3)) representative of rights on the service allocated to the device; and
— une étape de transmission (G50) de cette base d'identités et de droits à chaque dispositif participant au service. A step of transmitting (G50) this database of identities and rights to each device participating in the service.
2. Procédé selon la revendication 1 dans lequel, pour au moins un dispositif participant au service, l'identité et ladite au moins une information représentative des droits sur le service alloués à ce dispositif sont obtenus, par la plateforme de service, dudit dispositif lors de son enregistrement (E40) auprès de la plateforme de service. 2. The method of claim 1 wherein, for at least one device participating in the service, the identity and said at least one representative information service rights allocated to this device are obtained by the service platform, said device during its registration (E40) with the service platform.
3. Procédé selon la revendication 1 ou 2 dans lequel, pour au moins un dispositif participant au service, ladite au moins une information représentative des droits sur le service alloués à ce dispositif comprend un rôle (PART,SUP) associé au dispositif lors de sa participation au service. 3. Method according to claim 1 or 2 wherein, for at least one device participating in the service, said at least one representative information service rights allocated to this device comprises a role (PART, SUP) associated with the device during its participation in the service.
4. Procédé selon l'une quelconque des revendications 1 à 3 dans lequel, pour au moins un dispositif participant au service, l'identité et ladite au moins une information représentative des droits sur le service alloués à ce dispositif sont obtenus d'une plateforme (4) d'affectation de droits sur le service. 4. Method according to any one of claims 1 to 3 wherein, for at least one device participating in the service, the identity and said at least one representative information rights to the service allocated to this device are obtained from a platform (4) assignment of rights on the service.
5. Procédé selon l'une quelconque des revendications 1 à 4 dans lequel la base d'identités et de droits est chiffrée et/ou signée (G40) par la plateforme de service avant d'être transmise à chaque dispositif. 5. Method according to any one of claims 1 to 4 wherein the database of identities and rights is encrypted and / or signed (G40) by the service platform before being transmitted to each device.
6. Procédé selon l'une quelconque des revendications 1 à 5 comprenant :The method of any one of claims 1 to 5 comprising:
— une étape de réception (G60) d'un dispositif participant au service d'une indication d'un changement des droits alloués à ce dispositif sur le service ; A step of receiving (G60) a device participating in the service of an indication of a change in the rights allocated to this device on the service;
— une étape de mise à jour (G30) de la base d'identités et de droits pour l'identité utilisée par le dispositif conformément à ladite indication ; et  A step of updating (G30) the database of identities and rights for the identity used by the device according to said indication; and
— une étape de transmission (G50) de la base d'identités et de droits mise à jour à chaque dispositif participant au service. A step of transmitting (G50) the identity and rights database updated to each device participating in the service.
7. Procédé selon la revendication 6 dans lequel ladite indication comprend un jeton d'authentification (TOK) correspondant à au moins un nouveau droit affecté au dispositif. 7. The method of claim 6 wherein said indication comprises an authentication token (TOK) corresponding to at least one new right assigned to the device.
8. Procédé de traitement d'une requête par un premier dispositif destiné à être mis en œuvre lors d'une participation du premier dispositif à un service, ce procédé comprenant : 8. A method of processing a request by a first device intended to be implemented during a participation of the first device in a service, this method comprising:
— une étape d'obtention (E50) d'une base d'identités et de droits transmise par une plateforme de service suite à l'exécution par ladite plateforme d'un procédé de distribution de droits sur le service selon l'une quelconque des revendications 1 à 6, ladite base d'identité et de droits comprenant, pour chaque dispositif (3) participant au service, une identité (ID(3)) destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information (RGT(3)) représentative de droits sur le service alloués au dispositif ; A step of obtaining (E50) an identity and rights database transmitted by a service platform following the execution by said platform of a service rights distribution method according to any one of the claims 1 to 6, said identity and rights database comprising, for each device (3) participating in the service, an identity (ID (3)) intended to be used by this device during its participation in the service and, associated with this identity, at least one information (GTA (3)) representative of service rights allocated to the device;
— une étape de réception (H10) d'une requête en provenance d'un deuxième dispositif participant au service, cette requête comprenant une identité utilisée par le deuxième dispositif lors de sa participation au service et une action destinée à être exécutée par le premier dispositif ; A step of receiving (H10) a request from a second device participating in the service, this request comprising an identity used by the second device during its participation in the service and an action intended to be executed by the first device; ;
— une étape de vérification (H20), dans la base d'identités et de droits, si l'identité comprise dans la requête a le droit de requérir l'exécution de ladite action par le premier dispositif ; et A verification step (H20), in the identity and rights database, if the identity included in the request has the right to request the execution of said action by the first device; and
— le cas échéant (H30), une étape d'exécution (H40) de l'action requise. Where appropriate (H30), an execution step (H40) of the required action.
9. Procédé de traitement selon la revendication 8 dans lequel la base d'identités et de droits transmise par la plateforme de service est chiffrée et/ou signée, le procédé de traitement comprenant une étape de déchiffrement et/ou de validation de la signature (E60) de la base d'identités et de droits avant de mettre en œuvre l'étape de vérification. 9. Processing method according to claim 8 wherein the database of identities and rights transmitted by the service platform is encrypted and / or signed, the processing method comprising a step of decryption and / or validation of the signature ( E60) of the identity and rights database before implementing the verification step.
10. Programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé de distribution de droits sur un service selon l'une quelconque des revendications 1 à 7 et/ou du procédé de traitement selon la revendication 8 ou 9 lorsque ledit programme est exécuté par un ordinateur. A computer program comprising instructions for executing the steps of the method for distributing rights on a service according to any of claims 1 to 7 and / or the processing method according to claim 8 or 9 when said program is executed by a computer.
11. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé de distribution de droits sur un service selon l'une quelconque des revendications 1 à 7 et/ou du procédé de traitement selon la revendication 8 ou 9. A computer-readable recording medium on which a computer program is recorded including instructions for performing the steps of the method of distributing rights on a service according to any one of claims 1 to 7 and / or of the treatment method according to claim 8 or 9.
12. Plateforme de service (5) apte à diffuser des droits sur un service, cette plateforme de service comprenant : 12. Service platform (5) capable of broadcasting rights on a service, this service platform comprising:
— un module de construction (5A), configuré pour construire une base de données dite d'identités et de droits comprenant, pour chaque dispositif participant au service, une identité destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information représentative de droits sur le service alloués au dispositif ; et A construction module (5A) configured to construct a database of identities and rights comprising, for each device participating in the service, an identity intended to be used by this device during its participation in the service and, associated with this identity, at least one information representative of rights on the service allocated to the device; and
— un module de transmission (5B), configuré pour transmettre cette base d'identités et de droits à au moins un autre dispositif participant au service.  A transmission module (5B), configured to transmit this database of identities and rights to at least one other device participating in the service.
13. Dispositif (3), dit premier dispositif, apte à participer à un service, ce premier dispositif comprenant : 13. Device (3), said first device, adapted to participate in a service, this first device comprising:
— un module d'obtention (3A), apte à obtenir une base d'identités et de droits transmise par une plateforme de service selon la revendication 10 apte à diffuser des droits sur le service, ladite base d'identité et de droits comprenant, pour chaque dispositif (3) participant au service, une identité (ID(3)) destinée à être utilisée par ce dispositif lors de sa participation au service et, associée à cette identité, au moins une information (RGT(3)) représentative de droits sur le service alloués au dispositif ;  A obtaining module (3A), able to obtain a database of identities and rights transmitted by a service platform according to claim 10 able to broadcast rights on the service, said identity and rights database comprising, for each device (3) participating in the service, an identity (ID (3)) intended to be used by this device during its participation in the service and, associated with this identity, at least one piece of information (RGT (3)) representative of service rights allocated to the device;
— un module de réception (3B), apte à recevoir une requête en provenance d'un deuxième dispositif apte à participer au service, cette requête comprenant une identité utilisée par le deuxième dispositif lors de sa participation au service et une action destinée à être exécutée par le premier dispositif ;  A reception module (3B) able to receive a request from a second device able to participate in the service, this request comprising an identity used by the second device during its participation in the service and an action intended to be executed by the first device;
— un module de vérification (3D), activé par le module de réception suite à la réception de la requête en provenance du deuxième dispositif, et configuré pour vérifier dans la base d'identités et de droits si l'identité comprise dans la requête a le droit de requérir l'exécution de ladite action par le premier dispositif ; et  A verification module (3D), activated by the reception module following the reception of the request coming from the second device, and configured to check in the identity and rights database whether the identity included in the request has the right to request the execution of said action by the first device; and
— un module d'exécution (3D) configuré pour exécuter l'action requise dans la requête, activé si le module de vérification détermine que l'identité comprise dans la requête a le droit de requérir l'exécution de cette action par le premier dispositif.  An execution module (3D) configured to perform the action required in the request, activated if the verification module determines that the identity included in the request has the right to require the execution of this action by the first device .
14. Système (1) offrant un service et comprenant : 14. System (1) providing a service and comprising:
— une plateforme de service selon la revendication 12, apte à diffuser des droits sur le service ; et  A service platform according to claim 12, able to broadcast rights on the service; and
— une pluralité de dispositifs selon la revendication 13 aptes à participer audit service. A plurality of devices according to claim 13 capable of participating in said service.
15. Système selon la revendication 14 comprenant en outre une plateforme (4) d'affectation de droits sur le service, cette plateforme d'affectation de droits comprenant : The system of claim 14 further comprising a service rights allocation platform (4), said rights allocation platform comprising:
— un module d'authentification (4A), configuré pour authentifier un dispositif destiné à participer au service ;  An authentication module (4A), configured to authenticate a device intended to participate in the service;
— un module d'affectation (4B) à ce dispositif d'une identité destinée à être utilisée par le dispositif lors de sa participation au service et de droits sur le service ; et — un module de transmission (4C), au dispositif et/ou à la plateforme de service, de l'identité et d'au moins une information représentative des droits affectés au dispositif par le module d'affectation. An assignment module (4B) for this device with an identity intended to be used by the device during its participation in the service and rights on the service; and - A transmission module (4C), the device and / or the service platform, the identity and at least one representative information rights assigned to the device by the assignment module.
PCT/FR2016/053072 2015-11-25 2016-11-24 Method for distributing rights to a service and service platform WO2017089710A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1561351 2015-11-25
FR1561351A FR3044192B1 (en) 2015-11-25 2015-11-25 METHOD OF DISTRIBUTING RIGHTS ON SERVICE AND SERVICE PLATFORM

Publications (1)

Publication Number Publication Date
WO2017089710A1 true WO2017089710A1 (en) 2017-06-01

Family

ID=55411525

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2016/053072 WO2017089710A1 (en) 2015-11-25 2016-11-24 Method for distributing rights to a service and service platform

Country Status (2)

Country Link
FR (1) FR3044192B1 (en)
WO (1) WO2017089710A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006124138A2 (en) * 2005-05-18 2006-11-23 Microsoft Corporation Distributed conference scheduling
WO2012170786A1 (en) * 2011-06-08 2012-12-13 Sgrouples, Inc. Group authorization method and software
US20140033067A1 (en) * 2008-01-28 2014-01-30 Adobe Systems Incorporated Rights application within document-based conferencing

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006124138A2 (en) * 2005-05-18 2006-11-23 Microsoft Corporation Distributed conference scheduling
US20140033067A1 (en) * 2008-01-28 2014-01-30 Adobe Systems Incorporated Rights application within document-based conferencing
WO2012170786A1 (en) * 2011-06-08 2012-12-13 Sgrouples, Inc. Group authorization method and software

Also Published As

Publication number Publication date
FR3044192A1 (en) 2017-05-26
FR3044192B1 (en) 2019-05-31

Similar Documents

Publication Publication Date Title
EP2819052B1 (en) Method and server for processing a request for a terminal to access a computer resource
RU2419222C2 (en) Secured instant transfer of messages
EP2294776B1 (en) Method and system for user access to at least one service offered by at least one other user
EP2884716A1 (en) Token-based authentication method
WO2005046278A2 (en) Method for managing the security of applications with a security module
WO2014199102A1 (en) Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access
EP1784016A1 (en) Security method for transferring data between a multimedia terminal and a security module
FR3062013A1 (en) METHODS AND DEVICES FOR VERIFYING THE VALIDITY OF A DIFFUSION DELEGATION OF CONTENTS DIGITS
EP3456025B1 (en) Technique for authenticating a user device
EP3734901A1 (en) Method for secure data transmission
EP3005646B1 (en) Technique for distributing a piece of content in a content distribution network
WO2016075395A1 (en) Method and system for managing user identities intended to be implemented during communication between two web browsers
EP1513319A2 (en) Method of protecting a digital content
FR3076009A1 (en) METHOD AND SYSTEM FOR IDENTIFYING USER TERMINAL FOR RECEIVING PROTECTED AND CONTINUOUSLY PROVIDED MULTIMEDIA CONTENT
WO2017089710A1 (en) Method for distributing rights to a service and service platform
EP2630765B1 (en) Method for optimizing the transfer of a stream of secure data via an autonomic network
FR3081655A1 (en) METHOD FOR PROCESSING MESSAGES BY A DEVICE OF AN IP VOICE NETWORK
EP4158872A1 (en) Method for delegating the delivery of content items to a cache server
EP3829204A1 (en) Method and system for controlling access to connected objects, associated methods for distributing and receiving data, and related computer program product
FR3100407A1 (en) Method for activating access rights to a service to which a subscriber has subscribed
WO2018234662A1 (en) Method of control of the obtaining by a terminal of a configuration file
WO2010133459A1 (en) Method for encrypting specific portions of a document for superusers
FR3116133A1 (en) Process for delegating access to a chain of blocks
FR3137238A1 (en) Method for suspending a certification token making it possible to authenticate the establishment of a connection between two corresponding communications equipment, devices and computer programs
EP2339775A1 (en) Method and device for distributed encryption based on a key server

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16815881

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16815881

Country of ref document: EP

Kind code of ref document: A1