Procédé de transmission d'informations

La présente invention concerne un procédé de transmission d'informations destinées à être utilisées pour contrôler l'accès à un contenu dans un terminal client .

Il est aujourd'hui possible d'acquérir un contenu en le téléchargeant sur un terminal client. Ce téléchargement est effectué à partir d'un serveur de contenus via le réseau Internet ou tout autre réseau de communication apte à distribuer ce contenu.

Afin d'éviter des copies illégales du contenu, celui-ci est protégé, par exemple par chiffrement, et son accès est contrôlé.

Pour exploiter le contenu, le terminal client doit recevoir des informations destinées à être utilisées pour contrôler l'accès à ce contenu (dites informations de contrôle d'accès dans la suite de la description). Les informations de contrôle d'accès comprennent notamment une règle d'usage associée au contenu. La règle d'usage est, par exemple, un nombre d'exploitation limité du contenu .

En cas d'échec renvoyé par le terminal client suite à une transmission des informations de contrôle d'accès, un mécanisme de retransmission de ces informations est prévu .

La spécification OMA-TS DL0TA-v2 qui est consultable à l'adresse http : //www. openmobilealliance . org/ , décrit un tel mécanisme de retransmission des informations de contrôle d'accès. Ce mécanisme est notamment utilisé dans des terminaux clients conformes à la spécification OMA DRMv2 qui est consultable à la même adresse. Les terminaux clients qui sont conformes à la spécification

OMA DRMv2 comprennent des moyens pour la gestion des droits numériques (dit moyens DRM dans la suite de la description) et des moyens de téléchargement de données.

Les moyens DRM reçoivent les informations de contrôle d'accès et les traitent en vue de leur stockage dans le terminal client. En cas d'échec dans le traitement des informations de contrôle d'accès, les moyens DRM transmettent un message d'échec aux moyens de téléchargement et les moyens de téléchargement transmettent ce message d'échec au serveur de contenus. A la réception du message d'échec, le serveur de contenus déclenche une retransmission des mêmes informations de contrôle d'accès au terminal client.

Ce mécanisme présente une faille de sécurité dans la mesure où le message d'échec pourrait être transmis même si les informations de contrôle d'accès ont été traitées avec succès par le terminal client. Par exemple, un client malveillant pourrait modifier les messages échangés entre les moyens DRM et les moyens de téléchargement pour transformer un message de succès en message d'échec. Le client malveillant pourrait aussi modifier les messages transmis au serveur de contenus. Dans de telles hypothèses, le terminal client enverrait le message d'échec au serveur de contenus alors que le traitement s'est déroulé correctement. Le serveur de contenus déclencherait la retransmission des mêmes informations de contrôle d'accès au terminal client et les moyens DRM auraient alors à leur disposition deux règles d'usage identiques associées au même contenu. Dans le cas où ces règles d'usage peuvent se cumuler entre elles, le client malveillant augmenterait ainsi de façon frauduleuse les possibilités d'exploitation du contenu.

L'invention propose un procédé de transmission d'informations de contrôle d'accès qui permet une retransmission de tout ou partie de ces informations en garantissant que les possibilités d'exploitation du contenu par le client ne peuvent pas être augmentées.

Dans un procédé selon l'invention de transmission d'informations destinées à être utilisées pour contrôler l'accès à un contenu dans un terminal client, lesdites informations sont organisées en au moins une première et une deuxième partie d'informations, ladite première partie d'informations comportant au moins une règle d'usage associée audit contenu. Ledit procédé comprend une étape de transmission de la première partie d'informations avec un lien pour permettre l'utilisation de ladite première partie d'informations avec ladite deuxième partie d'informations. En cas d'échec renvoyé par ledit terminal suite à la transmission de la première partie d'informations, ledit procédé comprend une étape de génération d'un lien différent et une étape de transmission de la première partie d'informations avec ledit lien différent. En cas de succès renvoyé par ledit terminal suite à la transmission de la première partie d'informations avec un lien donné, ledit procédé comprend une étape de transmission de la deuxième partie d'informations avec ledit lien donné.

Ainsi les informations de contrôle d'accès sont organisées en au moins deux parties d'informations qui sont transmises séparément au terminal client. La première partie d'information est transmise avec un lien associé. Lorsque la première partie d'informations doit être retransmise, le lien qui lui est associé est modifié de sorte que chaque couple {première partie

d'informations / lien associé} n'est transmis qu'une unique fois. En cas de succès renvoyé par le terminal client suite à la transmission d'un couple {première partie d'informations / lien associé}, le serveur de contenus déclenche la transmission de la deuxième partie d'informations avec le même lien que celui qui figure dans ce couple {première partie d'informations / lien associé } .

Pour contrôler l'accès au contenu, le terminal client doit récupérer la première et la deuxième partie d'informations en utilisant le lien qu'elles ont en commun. Le lien qui est associé à la deuxième partie d'information ne pointe que vers une seule occurrence de la première partie d'informations quelque soit le nombre de transmissions de la première partie d'informations. Le terminal ne pourra donc exploiter que cette seule occurrence de la première partie d'informations. Seule la règle d'usage qui est contenue dans cette occurrence sera utilisable. Le terminal ne pourra pas exploiter les règles d'usages qui seraient présentes dans d'autres occurrences de la première partie d'informations puisque ces autres occurrences sont stockées dans le terminal client avec d'autres liens. Grâce à l'invention les possibilités d'exploitation du contenu par le client ne peuvent donc plus être augmentées.

Selon un mode de réalisation particulier non limitatif, les informations de contrôle d'accès sont organisées en seulement deux parties d'informations, ladite deuxième partie d'informations comportant un identifiant dudit contenu.

Ainsi, il est possible d'utiliser l'invention avec des terminaux clients existants conformes à la spécification OMA DRMv2 sans devoir apporter de

modifications sur ces terminaux. En effet, la spécification OMA DRMv2 prévoit un mécanisme d'héritage ( "inheritance Model" en anglais) dans le terminal client qui rend celui-ci capable de traiter les informations de contrôle d'accès organisées en deux parties.

Dans un autre mode de réalisation particulier, le lien différent est généré aléatoirement.

C'est une façon simple de s'assurer que la première partie d'informations est toujours envoyée avec un lien différent du lien précédemment envoyé.

L'invention concerne également un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé tel que décrit ci-dessus lorsque ledit programme est exécuté par un processeur.

L'invention concerne aussi un serveur de transmission d'informations destinées à être utilisées pour contrôler l'accès à un contenu dans un terminal client, lesdites informations étant organisées en au moins une première et une deuxième partie d'informations, ladite première partie d'informations comportant au moins une règle d'usage associée audit contenu , ledit serveur comprenant des moyens de transmission de la première partie d'informations avec un lien pour permettre l'utilisation de ladite première partie d'informations avec ladite deuxième partie d'informations. Ledit serveur comprend des moyens de génération d'un lien différent en cas d'échec renvoyé par ledit terminal suite à la transmission de la première partie d'informations. Ledit serveur comprend des moyens de transmission de la première partie d'informations avec ledit lien différent et des moyens de transmission de la deuxième partie

d'informations avec un lien donné en cas de succès renvoyé par ledit terminal suite à une transmission de la première partie d'informations avec ledit lien donné.

L'invention concerne également un procédé de contrôle d'accès à un contenu à partir d'informations organisées en au moins une première et une deuxième partie d'informations, ladite première partie d'informations comportant au moins une règle d'usage associée audit contenu. Ledit procédé comprend une étape de transmission de la première partie d'informations avec un lien pour permettre l'utilisation de ladite première partie d'informations avec ladite deuxième partie d'informations. En cas d'échec renvoyé par ledit terminal suite à la transmission de la première partie d'informations, ledit procédé comprend une étape de génération d'un lien différent et une étape de transmission de la première partie d'informations avec ledit lien différent. En cas de succès renvoyé par ledit terminal suite à la transmission de la première partie d'informations avec un lien donné, ledit procédé comprend une étape de transmission de la deuxième partie d'informations avec ledit lien donné. Ledit procédé comprend également une étape d'utilisation de la première et de la deuxième partie d'informations pour contrôler l'accès au contenu.

L'invention concerne également un système de mise à disposition d'un contenu dans un réseau de communication, ledit système comprenant un serveur de transmission d'informations tel que décrit ci-dessus, un terminal client destiné à utiliser la première et la deuxième partie d'informations pour contrôler l'accès au contenu

et un serveur de contenus destiné à transmettre le contenu au terminal client.

L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description, faite à titre d'exemple, cette description faisant référence aux dessins annexés :

La figure 1 illustre de façon schématique un exemple d'un système selon l'invention de mise à disposition d'un contenu dans un réseau de communication;

- La figure 2 décrit un mode de réalisation, selon l'invention, d'un procédé de transmission d'informations de contrôle d'accès;

La figure 3 illustre de façon schématique une structure d'un serveur de transmission d'informations de contrôle d'accès selon l'invention.

L'invention est décrite ci-après dans une application particulière à la technologie DRM. L'invention s'applique également à tout type de technologie dans laquelle on transmet des informations de contrôle d'accès à un terminal client.

La figure 1 présente un exemple d'un système de mise à disposition d'un contenu dans un réseau de communication .

Ce système comprend :

- un terminal client 1 qui est apte à exploiter le contenu. Ce terminal client 1 est, par exemple, un téléviseur, un ordinateur, un téléphone mobile, etc.; un serveur de contenus 2 destiné à transmettre le contenu au terminal client 1. Le contenu est ici de nature quelconque : texte, audio, vidéo etc.;

- un serveur de transmission d'informations de contrôle d'accès 3 qui est apte à transmettre des informations de contrôle d'accès au terminal client 1.

Le terminal client 1 comprend :

- des moyens de sélection 4 pour permettre à un client de sélectionner le contenu. Les moyens de sélection 4 sont, par exemple, constitués par un navigateur Web. En variante, les moyens de sélection 4 sont constitués par un applet Java.

- des moyens de téléchargement 5 pour télécharger le contenu qui a été sélectionné par le client;

- une base de données de contenus téléchargés DbI qui stocke le contenu téléchargé dans les moyens de téléchargement 5; des moyens DRM 6 pour autoriser ou non l'exploitation du contenu en utilisant les informations de contrôle d'accès;

- une base de données Db2 de parties d'informations qui stocke des parties d'informations de contrôle d'accès dans les moyens DRM 6; des moyens d'exploitation 7 pour exploiter le contenu si les moyens DRM 6 autorisent une telle exploitation .

Le serveur de contenus 2 comprend :

- une base de données clients Db3 qui stocke des données relatives au client.

Le serveur de transmission d'informations de contrôle d'accès 3 organise les informations de contrôle d'accès en parties d'informations. Ce serveur de transmission d'informations de contrôle d'accès 3 comprend :

- des moyens 8 de génération de liens pour générer des liens destinés à être transmis avec les parties d'informations de contrôle d'accès; les liens sont un ensemble de bits, par exemple, 128 bits;

- des moyens de transmission 9 pour transmettre les parties d'informations de contrôle d'accès avec les liens;

- une base de données Db4 de gestion de jetons stockant des jetons ("token" en anglais) avec les parties d'informations de contrôle d'accès. Le jeton permet au serveur de transmission d'informations de contrôle d'accès 3 de déléguer à un autre serveur, par exemple au serveur de contenus 2, un déclenchement de la transmission de la partie d'informations associée audit jeton au terminal client 1. La base de données Db4 stocke les parties d'informations de contrôle d'accès, les liens destinés à être transmis avec les parties d'informations, les jetons associés aux parties d'informations.

Les échanges de données entre le terminal client 1, le serveur de contenus 2 et le serveur de transmission d'informations de contrôle d'accès 3 sont conformes au protocole http.

Les informations de contrôle d'accès permettent au terminal client 1 d'exploiter le contenu. Ces informations comprennent notamment : la ou les règles d'usages pour l'exploitation du contenu;

- une clé de déchiffrement du contenu permettant de déchiffrer le contenu si la règle d'usage autorise un tel déchiffrement;

- un identifiant du contenu qui permet de retrouver dans le terminal client 1 les informations de contrôle d'accès associées au contenu;

- éventuellement une preuve d'authenticité pour prouver que les informations de contrôle d'accès ont été envoyées au terminal client 1 par le serveur de transmission d'informations de contrôle d'accès 3 légitime.

La règle d'usage est une permission allouée au client pour l'exploitation du contenu. Certaines règles d'usage peuvent se cumuler avec d'autres règles d'usage. C'est notamment le cas lorsque la règle d'usage est un nombre d'exploitation limité du contenu qui pourrait se cumuler avec un autre nombre d'exploitation limité de ce même contenu. Il est alors nécessaire de protéger cette règle d'usage pour éviter toute augmentation des possibilités d'exploitation du contenu par le client.

La règle d'usage est définie par le serveur de contenus 2. Le serveur de contenus 2 définit la règle d'usage selon des critères de gestion qui lui sont propres.

L'invention propose que le serveur de transmission d'informations de contrôle d'accès 3 transmette successivement n parties Pi d'informations de contrôle d'accès pour être stockées dans le terminal client 1, avec n>=2 et l<=i<=n. Pour contrôler l'accès au contenu, le terminal client 1 utilise ces n parties Pi d' informations .

Une partie d'informations de contrôle d'accès Pi est transmise avec un lien k™ _ι+ι dans un couple {Pi, k™ _ι+ι }, où l'indice m est un entier naturel. La partie Pi est stockée avec le lien k™ _ι+ι dans le terminal client 1. Une partie d'informations de contrôle d'accès Pi+1 est transmise ultérieurement avec le lien k™ _ι+ι et est stockée avec ce lien dans le terminal client 1. La partie Pi peut être utilisée avec la partie Pi+1 grâce au lien k™ _ι+ι qui est stocké à la fois avec la partie Pi et avec la partie Pi+1.

Le serveur de transmission d'informations de contrôle d'accès 3 détermine les informations (règles d'usage, clé de déchiffrement, identifiant du contenu, preuve d'authenticité etc.) contenues dans les parties d'informations de contrôle d'accès Pi. Il détermine notamment au moins une partie d'informations de contrôle d'accès Pi, i=j qui contient la ou les règles d'usage à protéger (j est un entier naturel fixe compris entre 1 et n) . En cas d'échec renvoyé par le terminal client 1 suite à la transmission de la partie Pj avec un lien k™ _J+ι , un nouveau lien &7 _;+ i ^est généré et la partie Pj est transmise avec ce nouveau lien. Ainsi, chaque couple {Pj, k™ _]+ι } n'est transmis qu'une unique fois.

En cas de succès renvoyé par le terminal client 1 suite à la transmission de la partie Pj d'informations avec le lien ' "*" ^e serveur de transmission d'informations de contrôle d'accès 3 transmet la partie

Pj +1 d'informations avec le lien k™ _}+ι .

En cas d'échec renvoyé par le terminal client 1 suite à la transmission d'une autre partie d'informations

Pi, i≠j qui ne comporte pas de règle d'usage à protéger,

le même couple {Pi, k™ _ι+ι } est retransmis sans modification ^*

Un procédé de transmission d'informations de contrôle d'accès va être présenté dans la suite de la description avec n=2. Ce procédé va être décrit à l'appui des figures 1 et 2.

Dans l'exemple qui va être décrit ci-dessous, une première partie d'informations de contrôle d'accès Pl contient la règle d'usage à protéger et une deuxième partie d'informations de contrôle d'accès P2 contient l'identifiant du contenu et la clé de déchiffrement.

Dans une étape 20, une demande de contenu est transmise vers le serveur de contenus 2. Cette demande de contenu contient l'identifiant du contenu et un identifiant du client. Le serveur de contenus 2 vérifie à partir de l'identifiant du client, si la base de données clients Db3 contient des données relatives à une autorisation accordée au client pour l'exploitation du contenu. Dans le cas où le client est autorisé à exploiter le contenu, ce contenu est téléchargé par les moyens de téléchargement 5 et est stocké dans la base de données de contenus téléchargés DbI .

La première partie Pl et la deuxième partie P2 sont destinées à être stockées respectivement avec un premier jeton T ₁ " ¹ et un deuxième jeton T™ dans la base de données

Db4 de gestion de jetons. Ainsi, lorsque le serveur de transmission d'informations de contrôle d'accès 3 reçoit le premier ou le deuxième jeton T ₁ ¹ " ou T™ , il transmet la partie d'informations Pl ou P2 correspondante.

Le serveur de contenus 2 transmet dans une étape 21 une demande de jetons vers le serveur de transmission d'informations de contrôle d'accès 3 pour obtenir le premier et le deuxième jeton T ₁ " ¹ et T ₂ " ¹ . La demande de jetons comprend l'identifiant du contenu et la règle d'usage associée à ce contenu.

Dans une étape 22, le serveur de transmission d'informations de contrôle d'accès 3 génère le premier et le deuxième jeton T ₁ " ¹ et T ₂ et un lien k™ ₂ . Le premier et le deuxième jeton T ₁ " ¹ et T ₂ sont stockés dans la base de données Db4 de gestion de jetons avec le lien k™ ₂ •

Le serveur de transmission d'informations de contrôle d'accès 3 transmet ensuite le premier et le deuxième jeton T ₁ " ¹ et T ₂ au serveur de contenus 2. Dans une étape 23, le serveur de contenus 2 déclenche la transmission de la première partie d'informations Pl en transmettant le premier jeton T ₁ " ¹ aux moyens de téléchargement 5.

Dans une étape 24, les moyens de téléchargement 5 transmettent le premier jeton T ₁ " ¹ aux moyens DRM 6.

Dans une étape 25, les moyens DRM 6 transmettent le premier jeton T ₁ " ¹ au serveur de transmission d'informations de contrôle d'accès 3.

Le serveur de transmission d'informations de contrôle d'accès 3 retrouve à partir de la base de données Db4 de gestion de jetons la première partie d'informations Pl stockée avec le premier jeton T ₁ " ¹ ainsi que le lien k™ ₂ •

Dans une étape 26, les moyens de transmission 9 transmettent aux moyens DRM 6 la première partie d'informations Pl et le lien k™ ₂ . La première partie

d'informations Pl et le lien k™ ₂ sont stockés dans la base de données Db2.

Les étapes 21 à 26 sont répétées avec m=m+l tant qu'un message d'échec est renvoyé par le terminal client 1.

Dans le cas où un message de succès est renvoyé par le terminal client 1, le serveur de contenus 2 déclenche à l'étape 27 la transmission de la deuxième partie d'informations P2 en transmettant le jeton T ₂ ^m . La deuxième partie d'informations P2 est ensuite transmise au terminal client 1 par le serveur de transmission d'informations de contrôle d'accès 3.

En cas d'échec renvoyé par le terminal client 1 suite à la transmission de la deuxième partie d'informations P2, la deuxième partie d'informations P2 peut être transmise plusieurs fois avec le même lien k™ ₂ .

Comme la deuxième partie d'informations P2 ne contient pas de règle d'usage à protéger, les possibilités d'exploitation du contenu ne sont pas augmentées.

L'invention concerne également un procédé de contrôle d'accès au contenu. Selon ce procédé, lorsque le client souhaite accéder au contenu, les moyens de téléchargement 5 transmettent le contenu aux moyens d'exploitation 7. Les moyens d'exploitation 7 transmettent une demande d'accès au contenu aux moyens DRM 6. La demande d'accès au contenu comprend le contenu et l'identifiant du contenu.

A la réception de cette demande d'accès, les moyens DRM 6 recherchent dans la base de données Db2 la deuxième partie d'informations P2 contenant l'identifiant du contenu. Le lien stocké avec cette deuxième partie d'informations P2 permet aux moyens DRM de retrouver la

première partie d'informations Pl qui est stockée avec le même lien.

Dans le cas où la règle d'usage contenue dans la première partie d'informations Pl autorise l'exploitation du contenu, les moyens DRM 6 utilisent la clé de déchiffrement contenue dans la deuxième partie d'informations P2 pour déchiffrer le contenu. Le contenu déchiffré est transmis aux moyens d'exploitation 7.

La règle d'usage décroit à chaque exploitation du contenu par le terminal client 1. Lorsque la règle d'usage atteint la valeur nulle, les moyens DRM 6 n'autorisent plus le déchiffrement du contenu. L'exploitation du contenu par les moyens d'exploitation 7 n'est alors plus possible.

Une structure du serveur de transmission d'informations de contrôle d'accès 3 est illustrée schématiquement à la figure 3. Le serveur de transmission d'informations de contrôle d'accès 3 comprend une mémoire 30 et un microprocesseur 31. Le microprocesseur 31 est piloté par un programme d'ordinateur 32. Le programme d'ordinateur 32 est contenu dans la mémoire 30 et comporte des instructions pour exécuter les étapes du procédé de transmission d'informations de contrôle d'accès, conformément à l'invention.

Le serveur de contrôle d'accès 3 comporte également : - des moyens d'interface d'entrée/sortie 33 pour communiquer avec le terminal client 1; des moyens d'interface d'entrée/sortie 34 pour communiquer avec le serveur de contenus 2.

L'invention décrite n'est pas limitée aux modes de réalisation précédents.

Par exemple, dans un autre mode de réalisation, la règle d'usage est répartie entre plusieurs parties d'informations de contrôle d'accès Pi et c'est l'utilisation de ces différentes parties Pi qui permet de reconstituer la règle d'usage.

Dans un autre mode de réalisation, le premier jeton

T ₁ " ¹ et le deuxième jeton T™ sont transmis ensemble au terminal client 1 et c'est le terminal client 1 qui déclenche la transmission des parties d'informations de contrôle d'accès Pl et P2.

L'invention n'est en outre pas limitée à un service de vidéo à la demande dans lequel la règle d'usage associée au contenu est identique quelque soit le client. L'invention s'applique également à tous les services dans lesquels le client a la possibilité de choisir la règle d'usage qui lui convient.