+

FR2811848A1 - Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique - Google Patents

Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique Download PDF

Info

Publication number
FR2811848A1
FR2811848A1 FR0009255A FR0009255A FR2811848A1 FR 2811848 A1 FR2811848 A1 FR 2811848A1 FR 0009255 A FR0009255 A FR 0009255A FR 0009255 A FR0009255 A FR 0009255A FR 2811848 A1 FR2811848 A1 FR 2811848A1
Authority
FR
France
Prior art keywords
information
services
sequence
service
timestamp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0009255A
Other languages
English (en)
Inventor
Eric Diehl
Philippe Letellier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vantiva SA
Original Assignee
Thomson Multimedia SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Multimedia SA filed Critical Thomson Multimedia SA
Priority to FR0009255A priority Critical patent/FR2811848A1/fr
Priority to KR1020027018085A priority patent/KR100919907B1/ko
Priority to US10/332,675 priority patent/US20040049681A1/en
Priority to MXPA03000011A priority patent/MXPA03000011A/es
Priority to PCT/FR2001/002286 priority patent/WO2002007441A1/fr
Priority to JP2002513207A priority patent/JP4825394B2/ja
Priority to CNB018127398A priority patent/CN1265642C/zh
Priority to AU2001276445A priority patent/AU2001276445A1/en
Priority to EP01954094A priority patent/EP1300017A1/fr
Publication of FR2811848A1 publication Critical patent/FR2811848A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/637Control signals issued by the client directed to the server or network components
    • H04N21/6377Control signals issued by the client directed to the server or network components directed to server
    • H04N21/63775Control signals issued by the client directed to the server or network components directed to server for uploading keys, e.g. for a client to communicate its public key to the server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04HBROADCAST COMMUNICATION
    • H04H60/00Arrangements for broadcast applications with a direct linking to broadcast information or broadcast space-time; Broadcast-related systems
    • H04H60/29Arrangements for monitoring broadcast services or broadcast-related services
    • H04H60/33Arrangements for monitoring the users' behaviour or opinions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/236Assembling of a multiplex stream, e.g. transport stream, by combining a video stream with other content or additional data, e.g. inserting a URL [Uniform Resource Locator] into a video stream, multiplexing software data into a video stream; Remultiplexing of multiplex streams; Insertion of stuffing bits into the multiplex stream, e.g. to obtain a constant bit-rate; Assembling of a packetised elementary stream
    • H04N21/2365Multiplexing of several video streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/4302Content synchronisation processes, e.g. decoder synchronisation
    • H04N21/4305Synchronising client clock from received content stream, e.g. locking decoder clock with encoder clock, extraction of the PCR packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/434Disassembling of a multiplex stream, e.g. demultiplexing audio and video streams, extraction of additional data from a video stream; Remultiplexing of multiplex streams; Extraction or processing of SI; Disassembling of packetised elementary stream
    • H04N21/4347Demultiplexing of several video streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/47End-user applications
    • H04N21/475End-user interface for inputting end-user data, e.g. personal identification number [PIN], preference data
    • H04N21/4758End-user interface for inputting end-user data, e.g. personal identification number [PIN], preference data for providing answers, e.g. voting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/85Assembly of content; Generation of multimedia applications
    • H04N21/854Content authoring
    • H04N21/8547Content authoring involving timestamps for synchronizing content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • H04N7/17309Transmission or handling of upstream communications
    • H04N7/17318Direct or substantially direct transmission and handling of requests
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F2300/00Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game
    • A63F2300/40Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game characterised by details of platform network
    • A63F2300/409Data transfer via television network

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Social Psychology (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Television Systems (AREA)
  • Circuits Of Receivers In General (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

L'invention concerne notamment un proc ed e d'horodatage de donn ees num eriques comprenant : - une op eration de d efinition (902) d'une s equence (CS) de services comprenant au moins un service (TSS), chaque service etant choisi au sein d'une liste de services (TSS) selon une m ethode de choix donnant un r esultat variable pour chaque occurrence des op erations de d efinition (902) d'une s equence de services; et - une op eration de collecte (807) d'une s equence d' el ements d'information d'horodate, selon laquelle on extrait au moins un el ement d'information (TSI(CS i)) de chaque service (CS i) de la s equence de services (CS) pour former les el ements de la s equence d' el ements d'information, chaque el ement d'information comprenant une information repr esentative d'une horodate courante.

Description

-1 2811848
La présente invention se rapporte au domaine de l'horodatage (en anglais " time stamping >") dans un environnement de télévision numérique, I'horodatage de données étant l'action de marquer ces données à l'aide d'une information tenant compte d'une heure et/ou d'une date précise, appelée horodate. Plus précisément, I'invention concerne l'horodatage de données nécessitant une grande sécurité contre la fraude, à partir de données
diffusées dans notamment dans des services de télévision numérique.
D'une manière générale, on appellera " service " dans la suite un flux de données numériques tel que par exemple un service de télévision numérique ou un canal physique ou logique de transmission de données numériques. On connaît dans l'état de la technique différentes techniques d'horodatage. Notamment, on connaît un système d'horodatage utilisé dans un environnement de télévision numérique. Ce système est décrit dans la demande de brevet WO 95.15653 des inventeurs Lappington, Marshall, Yamamoto, Wilson, Berkobin et Simons, dont le demandeur est l'entreprise Zing Systems et qui a été publié en juin 1995. Ce document décrit un système o deux ensembles de données avec une horodate sont envoyés séparément à des unités distantes comprenant un décodeur de données, une télécommande et un centre d'opérations. Au sein de chaque unité distante, les horodates sont comparées à une horloge distante et une différence d'horodate est notée pour chacun des deux ensembles de données. Les deux différences sont comparées pour déterminer si l'un des ensembles a été retardé par rapport à l'autre. Seuls les ensembles non
retardés pourront être validés.
Un inconvénient de cette technique de l'art antérieur est le manque de sécurité qu'elle procure. En effet, on peut déceler plusieurs failles liées à un manque de résistance à certaines attaques notamment: le jeu d'un flux vidéo préenregistré, le vol d'un ensemble de données appartenant à une autre personne, I'utilisation d'une même horodate appliquée à des données distinctes. L'invention selon ses différents aspects a notamment pour objectif de
pallier ces inconvénients de l'art antérieur.
Plus précisément, un objectif de l'invention est de fournir un système, un procédé et un dispositif d'horodatage et/ou vérification de la validité d'horodate qui procure une grande fiabilité et une sécurité dans l'horodatage de données numériques à partir de données diffusées par des services
notamment de télévision et/ou radio numériques.
La sécurité comprend deux aspects essentiels: I'intégrité et la non révocation. L'intégrité signifie qu'on ne peut pas modifier l'horodate. La non revocation implique que l'émetteur de données horodatées ne peut prétendre que les données ont été horodatées à un moment différent de l'horodate. Par exemple, pour un pari sur une course, il est important d'être sûr que le pari a
eu lieu avant le début de la course.
L'horodatage est facile quand l'événement à horodater a lieu en prise directe avec une autorité de confiance. Il est beaucoup plus complexe lorsqu'il a lieu d'une manière déportée; s'il est nécessaire d'utiliser par exemple un centre téléphonique pour effectuer un pari, le moment de la réception d'un appel n'est pas souhaitable pour horodater un événement puisqu'il peut exister le cas échéant un temps d'attente dans une file; ce moment de réception peut être différent de l'instant effectif de pari. Un objectif de l'invention est de permettre un horodatage précis (par exemple à la seconde près). Un autre objectif de l'invention est de permettre à une autorité de confiance d'authentifier et de valider cet horodatage pour, par exemple, permettre à l'utilisateur d'obtenir des gains de pari ou à l'autorité de
confiance de déterminer l'ordre effectif des réponses à une question.
Un autre objectif est notamment de résister à une attaque tel qu'un jeu
(en anglais " play ", c'est-à-dire une répétition) d'une séquence enregistrée.
En effet, selon les techniques de l'art antérieur, pour répondre à une question, un fraudeur peut enregistrer par exemple un flux MPEG et le rejouer en différé après avoir déterminé sa réponse. Le système peut alors être trompé sur la valeur effective de l'horodate. L'invention n'empêche pas complètement ce genre d'attaque, mais la rend beaucoup plus complexe et
plus lourde, en augmentant considérablement le coût.
Un autre objectif de l'invention est de permettre une mise en oeuvre relativement simple et dont le coût en termes d'équipements ou de données
à transmettre est faible.
L'invention a également pour objectif de prévenir des attaques liées au vol d'identité d'un utilisateur. L'invention permet notamment d'authentifier de
manière sûre un utilisateur.
Un objectif complémentaire de l'invention est d'authentifier qu'une
horodate correspond bien aux données pour lesquelles elle a été utilisée.
Dans ce but, I'invention propose un procédé d'horodatage de données numériques remarquable en ce qu'il comprend: - une opération de définition d'une séquence de services comprenant au moins un service, chaque service étant choisi au sein d'une liste de services selon une méthode de choix donnant un résultat variable pour chaque occurrence de définition d'une séquence de services et - une opération de collecte d'une séquence d'éléments d'information d'horodate, selon laquelle on extrait au moins un élément d'information de chaque service de la séquence de services pour former les éléments de la séquence d'éléments d'information, chaque élément d'information
comprenant une information représentative d'une horodate courante.
Ainsi, I'invention permet de définir une séquence de services qui n'est pas connue à l'avance d'un éventuel fraudeur, séquence qui contient des informations représentatives d'horodate qui pourra par la suite être utilisée pour un horodatage de données, cette séquence étant difficile à reproduire, à prédire ou à falsifier. Si un fraudeur veut déjouer le système, il doit enregistrer plusieurs flux et avoir la possibilité de les rejouer de façon parfaitement synchronisée. Si le nombre de flux est suffisamment grand, le
coût d'une telle fraude devient prohibitif.
On notera que la liste de services peut avoir une taille quelconque y compris la taille égale à un. Dans ce dernier cas, la mise en oeuvre de l'invention est simplifiée (le choix étant une opération triviale). Toutefois, pour optimiser l'efficacité de l'invention, il est souhaitable d'avoir au moins deux services. Le nombre de services peut être variable en fonction des besoins
(niveau de sécurité souhaité).
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce que la méthode de choix donnant un résultat variable est une méthode de tirage aléatoire ou pseudo aléatoire. La même approche
peut être appliquée pour le nombre de services pris en compte.
Ainsi, dans ce mode très avantageux de l'invention, un éventuel
fraudeur n'a aucun moyen de prédire la séquence de services définie.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce qu'il comprend une étape d'émission et/ou de réception d'un message comprenant le nombre de services de la séquence de services
et la liste de services.
De cette manière; I'invention permet avantageusement à un diffuseur de service ou à un serveur d'application de déterminer un degré de sûreté implicite en jouant sur le nombre de services de la liste de services et le
nombre de services de la séquence de service.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce qu'il comporte une opération de construction d'un groupe de données horodaté comprenant: - un groupe d'informations comprenant: les données numériques; - un identifiant de chacun des services de la séquence de services; - la séquence d'informations d'horodate;
- et une signature d'au moins un élément du groupe d'informations.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce qu'il comprend en outre une opération de collecte d'une séquence de signatures d'informations, chacune des signatures étant associée de manière biunivoque à chacune des informations d'horodate et signant une information comprenant l'information d'horodate et un identifiant du service dont elle est issue et le procédé d'horodatage étant remarquable également en ce que le groupe de données horodaté comprend en outre la
séquence de signatures d'informations.
Ainsi, I'invention offre avantageusement un degré de sûreté supplémentaire grâce aux signatures qui empêchent toute altération des
éléments signés.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce que: - chaque information d'horodate comprend en outre la définition d'un challenge de recouvrement à extraire de la liste de services; et - en ce que le procédé d'horodatage comprend en outre une opération d'extraction d'une réponse correspondant à la définition
de chaque challenge de recouvrement.
Ainsi, dans ce mode avantageux de l'invention, on augmente encore le degré de sûreté du procédé d'horodatage, les moyens nécessaires pour frauder étant très lourds et d'un coût prohibitif alors que le procédé
d'horodatage lui-même reste relativement simple à mettre en oeuvre.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce que le groupe de données horodaté comprend en outre la
réponse correspondant à la définition de chaque challenge de recouvrement.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce que chaque information d'horodate comprend en
outre une empreinte de la réponse.
Une empreinte d'informations est un extrait ou un condensé d'informations obtenu par une technique de hachage (ou <" hash " en anglais). Ainsi, I'invention se prête avantageusement à une vérification de l'horodate ne nécessitant pas la connaissance a priori de la réponse au challenge de recouvrement, mais requérant la seule prise en compte d'une ou plusieurs clés publiques qui préférentiellement serviront à vérifier la signature de l'information d'horodate et/ou de l'empreinte de réponse. Le procédé d'horodatage permet notamment de faire passer un condensé des réponses au challenge de recouvrement attendues d'un diffuseur à un centre de collecte. Ce condensé transite par un terminal de l'utilisateur mais les réponses attendues ne sont pas accessibles par l'utilisateur. Par ailleurs, le procédé d'horodatage reste simple à mettre en oeuvre grâce notamment à la présence des empreintes qui permettent de limiter la taille de mémoire ou la
bande passante nécessaire à la transmission des réponses attendues.
Selon une caractéristique particulière, le procédé d'horodatage est remarquable en ce qu'il comprend une opération d'émission du groupe de
données horodaté.
Ainsi, I'invention permet avantageusement une exploitation déportée
ou une vérification de l'horodate de données.
Dans les buts précités, I'invention propose aussi un procédé de vérification de la validité d'horodate de données numériques, obtenue selon un procédé d'horodatage tel que décrit précédemment. Selon une caractéristique particulière, ce procédé est remarquable en ce qu'il effectue une vérification d'au moins un groupe de données susceptible d'être
horodaté par un procédé d'horodatage tel que précédemment décrit.
Ainsi, on exploite avantageusement l'horodate associée à des données et qui a été produite selon un procédé fiable s'opposant à toute fraude. Selon une caractéristique particulière, le procédé de vérification de la validité d'horodate est remarquable en ce qu'il comprend au moins une opération de vérification faisant partie du groupe comprenant: - une opération de vérification de signature d'un groupe de données; - une opération de vérification d'un nombre de services requis; - une opération de vérification attestant que chaque information d'horodate correspond bien a un service requis; - une opération de vérification de la validité d'une réponse à un éventuel challenge de recouvrement requis pour chaque information d'horodate et - une opération de vérification de la cohérence d'horodatage extrait
d'un groupe de données horodatées.
Selon une caractéristique particulière, le procédé de vérification de la validité d'horodate est remarquable en ce qu'il comprend une opération de
transmission des données numériques validées.
Ainsi, le procédé de vérification permet avantageusement de vérifier chacun des points qui garantissent l'authenticité d'une horodate d'une manière qui peut éventuellement être adaptée à un degré de sûreté recherché. Le procédé de vérification prend notamment en compte un condensé des réponses au challenge de recouvrement attendues qui reste inaccessible à l'utilisateur du procédé d'horodatage. Par ailleurs, le procédé de vérification reste simple à mettre en ceuvre grâce notamment à la présence des empreintes qui permettent de limiter la taille de mémoire nécessaire (une trace de l'information à vérifier n'étant pas conservée en
mémoire).
L'invention concerne également un système comprenant des moyens de mise en oeuvre de: - un procédé de diffusion de services, chacun des services contenant des éléments d'informations représentatives d'horodate; - un procédé d'horodatage et un procédé de vérification de la validité
d'horodate tels que décrits précédemment.
L'invention propose également dans les mêmes buts que précédemment un dispositif d'horodatage de données numériques remarquable en ce qu'il comprend des moyens adaptés à la mise en ceuvre d'un procédé d'horodatage et/ou de vérification de la validité d'horodate
selon l'un des procédés mentionnés ci-dessus.
De même, I'invention propose un dispositif d'horodatage de données numériques remarquable en ce qu'il comprend: - un moyen de définition d'une séquence de services comprenant au moins un service, chacun des services étant choisi au sein d'une liste de services selon une méthode de choix donnant un tirage variable pour deux utilisations du moyen de définition d'une séquence de services; et - un moyen de collecte d'une séquence d'éléments d'information d'horodate extrayant au moins un élément d'information de chacun des services de la séquence de services pour former les éléments de la séquence d'éléments d'information, chaque élément d'information
comprenant une information représentative d'une horodate courante.
De même, I'invention propose un dispositif de vérification de la validité d'horodate de données numériques remarquable en ce qu'il comprend au moins un moyen de vérification faisant partie du groupe comprenant: - un moyen de vérification de signature d'un groupe de données; - un moyen de vérification d'un nombre de services requis; - un moyen de vérification attestant que chaque information d'horodate correspond bien à un service requis; - un moyen de vérification de la validité d'une réponse à un éventuel challenge de recouvrement requis pour chaque information d'horodate; et - un moyen de vérification de la cohérence d'horodatage extrait d'un
groupe de données horodatées.
Les caractéristiques particulières et les avantages des dispositifs et du système d'horodatage et de vérification de la validité d'horodate étant les mêmes que ceux des procédés d'horodatage et de vérification de la validité
d'horodate, ils ne sont pas rappelés ici.
D'autres caractéristiques et avantages de l'invention apparaîtront plus
clairement à la lecture de la description suivante d'un mode de réalisation
préférentiel, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels: - la figure 1 présente une infrastructure de diffusion de données numériques multimédia avec utilisation d'un horodatage conforme à I'invention selon un mode particulier de réalisation; - la figure 2 illustre un décodeur numérique multimédia présent dans l'infrastructure de la figure 1 conforme à l'invention selon un mode particulier de réalisation; - la figure 3 décrit un processeur sécurisé permettant un horodatage conforme à l'invention selon un mode particulier de réalisation; - la figure 4 décrit un dispositif de collecte de réponses et de vérification d'horodate possédant un modem pour récupérer les réponses conforme à l'invention selon un mode particulier de réalisation - la figure 5 décrit un dispositif de collecte de réponses et de vérification d'horodate qui selon un autre mode de réalisation préféré, possède un lecteur de processeur sécurisé, conforme à l'invention selon un mode particulier de réalisation; - la figure 6 décrit un protocole d'échange entre un diffuseur, un processeur central, un processeur sécurisé et un dispositif de collecte de réponses tel que décrit en regard de la figure 4 conforme à l'invention selon un mode particulier de réalisation; - la figure 7 décrit un protocole d'échange entre un diffuseur, un processeur central, un processeur sécurisé et un dispositif de collecte de réponses tel que décrit en regard de la figure 5 conforme à l'invention selon 1 S un mode particulier de réalisation; - la figure 8 décrit un organigramme de fonctionnement d'un processeur central avec procédé d'horodatage conforme à l'invention selon un mode particulier de réalisation; - la figure 9 décrit un organigramme de fonctionnement d'un processeur sécurisé avec procédé d'horodatage conforme à l'invention selon un mode particulier de réalisation; et - la figure 10 décrit un organigramme de fonctionnement d'un dispositif de collecte de réponse avec procédé de vérification de la validité d'horodate
conforme à l'invention selon un mode particulier de réalisation.
Le principe général de l'invention repose principalement sur l'utilisation d'un nombre N de flux numériques pour définir une horodate requise par une application. Dans le cas par exemple d'un système de diffusion de télévision et/ou radio numériques, N est typiquement de l'ordre de cent et ces flux sont des services spécifiques (S1, S2,... SN) de télévision et/ou radio numérique émis par un diffuseur. Chacun de ces services est appelé " service
d'horodatage " (en anglais " Time Stamping Service ") ou TSS.
L'application définie par un fournisseur de service interactif peut elle-
même être transmise d'un serveur d'application vers un diffuseur puis diffusée lorsqu'elle est utilisée par une télévision interactive et reçue par un décodeur numérique multimédia (en anglais " set top box ") chez un utilisateur. Les services réguliers TSS transportent des données additionnelles, appelées " information d'horodatage " (en anglais " Time Stamping
Information ") ou TSI.
Chacune de ces informations TSI, comprend les informations suivantes I'horodate courante t; - un identifiant du service TSS; - une définition d'un challenge de recouvrement; - une empreinte de la réponse au challenge de recouvrement mentionné, cette empreinte étant produite à partir d'une clé privée propre au diffuseur; - un moyen d'empêcher l'altération de l'information TSI, par exemple une signature de TSI basée sur une clé privée propre au service TSS. En plus de l'information délivrée traditionnellement par le service auquel s'applique l'horodatage, le diffuseur fournit un challenge d'horodatage (en anglais " Time Stamping Challenge ") ou TSC en provenance préférentiellement du serveur d'application qui comprend: - la taille d'un challenge appelé SCH comprise entre 1 et N; - le nombre N de services TSS; - la liste de tous les services TSS, c'est-à-dire une liste ordonnée de
N services qui fournissent une information de temps.
Le challenge d'horodatage TSC et les informations TSI sont reçues par un terminal numérique qui peut être un décodeur numérique multimédia et qui comprend: - un moyen d'extraire les informations données par un TSC - un moyen d'extraire une horodate de chacun des services TSS; et - un processeur sécurisé amovible ou non possédant sa propre clé
privée de cryptage.
Pour construire une horodate, le terminal utilise un processeur sécurisé qui définit aléatoirement (ou pseudo-aléatoirement) une séquence (c'est à dire une suite ordonnée) d'identificateurs des services comprenant SCH services pris parmi les N services de la liste mentionnée dans le
challenge TSC.
Le processeur sécurisé doit alors collecter les horodates successives présentes dans les informations TSI de chacun des SCH services définis par la séquence ordonnée. Le jeu de services à scruter étant défini aléatoirement par le processeur sécurisé, un fraudeur qui voudrait reconstruire une horodate devrait enregistrer tous les services TSS et rejouer en temps différé tous les services TSS diffusés, ce qui est extrêmement lourd à mettre en oeuvre et d'un coût prohibitif. En effet, SCH valant préférentiellement une valeur comprise entre 1 et 10, la probabilité qu'un fraudeur choisisse les bonnes valeurs de service est faible et d'autant plus faible que SCH est grand. Si le besoin de sécurité doit être augmenté, on pourra prendre une valeur de SCH supérieure à 10 voire à N. La valeur de SCH est préférentiellement définie par le serveur d'application nécessitant un horodatage en fonction du degré de sécurité désiré. Le serveur d'application
peut changer la valeur de SCH souvent afin d'augmenter la sécurité.
En outre, pour augmenter la difficulté du fraudeur, un niveau supplémentaire de challenge appelé challenge de recouvrement (en anglais " retrieval challenge ") a été défini: il s'agit d'un challenge demandant à extraire, selon un mode de réalisation préféré, un nombre variable d'octets dans l'une ou plusieurs des composantes d'au moins un service considéré et, selon un autre mode de réalisation, dans l'ensemble des services. Des challenges typiques consistent par exemple à retrouver les octets numérotés 12 à 35 dans un flux vidéo à l'instant précis o le titre de l'événement est diffusé. Ainsi, le processeur sécurisé doit aussi collecter la réponse correspondant à la définition de challenges de recouvrement successifs présents dans les informations TSI de chacun des SCH services définis par
la séquence ordonnée.
Après collecte des informations nécessaires, le processeur sécurisé regroupe dans un message d'horodate TSM: - les SCH horodates; - les SCH réponses aux challenges de recouvrement; - une empreinte de chacune des réponses attendues aux challenges de recouvrement fournie par le diffuseur dans l'information TSI; - les SCH signatures de TSI, (on pourra se référer à l'ouvrage " Applied Cryptography" écrit par de B. Schneier chez l'éditeur Wesley&Sons en 1996 pour la mise en oeuvre des méthodes de signature). Puis, le processeur sécurisé signe l'ensemble constitué de la ou des données à horodater et du message TSM avec sa clé privée. Le tout est transmis à un centre de collecte de réponses (en anglais " Answer Collecting Center ") ou ACC (ou plus généralement un centre de collecte de données numériques) via, par exemple, une ligne téléphonique couplée à un modem ou un lecteur de processeur sécurisé amovible (une carte à puce par
exemple).
Le centre de collecte de réponses est lui-même lié à un serveur d'application requérant un horodatage via par exemple une ligne téléphonique. Le centre ACC ayant en sa possession la ou les valeurs de SCH, la liste les clés publiques servant à la vérification des signatures et des empreintes utilisées pendant une période de validité des données horodatées, effectue une vérification du message TSM à plusieurs niveaux comprenant: - une vérification que le nombre de services scrutés est bien égal à la valeur de SCH valide au moment de l'horodatage; - une vérification de la signature de l'ensemble de la ou des données horodatées et du message TSM; - une vérification que l'empreinte de la réponse à chaque challenge de recouvrement correspond bien à l'empreinte de chaque réponse attendue fournie par le diffuseur dans l'information TSI; - une vérification de chaque signature de TSI correspondant à un service de la séquence ordonnée;
- une vérification de la validité des horodates fournies.
On note que le centre ACC n'a pas besoin de connaître les bonnes réponses aux challenges en dehors des données fournies par le message
TSM.
Après vérification des données horodatées, le centre ACC peut transmettre les données validées et l'horodate correspondante vers le
serveur d'application.
On présente, en relation avec la figure 1, une infrastructure de diffusion de données numériques multimédia avec utilisation d'un horodatage. Cette infrastructure comprend notamment: - un serveur d'application 109; - un diffuseur 100 de télévision ou radio numérique; - un centre de collecte de réponses ou ACC 108; - un ensemble de S décodeurs numériques multimédia 102, 103, 104;
- un ensemble de S usagers 1 12, 113, 114.
Le serveur d'application 109 émet des requêtes 110 de services nécessitant une réponse (ou données numériques) avec horodate vers un diffuseur 100 et reçoit des réponses 111 avec horodate validée en provenance du centre ACC 108. Les requêtes 110 de services comprennent aussi des challenges d'horodatage ou TSC contenant une valeur de SCH qui dépend du degré de sécurité désiré ainsi qu'une liste de N services pouvant
être utilisés pour des horodatages.
Le serveur d'application 109 est par exemple un serveur de jeu ou de
pari.
Le diffuseur 100 est par exemple un diffuseur de services de télévision
et/ou radio numérique à travers un médium tel qu'un câble ou un satellite.
Outre les services de télévision et/ou de radio traditionnels, il diffuse des challenges d'horodatage ou TSC 101, qui lui sont préférentiellement communiqués par le serveur d'application 109, vers les décodeurs numériques multimédia 102, 103 et 104 après réception d'une requête 110 de services nécessitant une réponse avec horodate en provenance du
serveur d'application 109.
Selon une variante non représentée, les challenges TSC sont produits
par le diffuseur 100.
L'usager 112 (respectivement 113 et 114) peut émettre une réponse A vers son propre décodeur numérique multimédia 102 (respectivement 103, 104) (via par exemple un clavier, une télécommande, un boîtier de reconnaissance ou d'enregistrement vocal ou un écran tactile) à une question de l'application qu'il visualise par exemple sur un écran de
télévision connecté à son décodeur 102 (respectivement 103, 104).
Chacun des S décodeurs numériques multimédia 102, 103 et 104 reçoit des challenges d'horodatage ou TSC 101. Puis lorsque son usager a fourni une réponse à une question de l'application, un processeur sécurisé présent dans le décodeur concerné 102, 103 ou 104 respectivement construit un message comprenant la réponse A (données numériques) et un message d'horodatage, ou horodate, TSM qu'il émet sur un canal respectivement 105, 106 ou 107 de type liaison téléphonique ou une liaison
directe par lecteur de processeur sécurisé vers un centre ACC 108.
Le centre ACC 108 reçoit les messages de réponses A avec leurs horodates.Son rôle est d'abord de valider ces messages, générés par les processeurs sécurisés des décodeurs numériques 102, 103, 104 et transmis
13 2811848
sur un canal correspondant 105, 106 ou 107, à l'aide des clés publiques des processeurs sécurisés. Ces clés publiques sont fournies par le diffuseur sur un canal quelconque 112. Le centre ACC est aussi chargé d'émettre vers le
serveur d'application 109 les réponses A avec horodates validées 111.
La figure 2 illustre schématiquement un décodeur numérique multimédia 200 tel que l'un des décodeurs 102, 103 ou 104 présent dans
l'infrastructure de la figure 1.
Le décodeur 200 comprend reliés entre eux par un bus d'adresses et de données 203: - un tuner ou syntoniseur 201 - un processeur 202; - une mémoire vive 205; - une mémoire non volatile 204; - un extracteur d'information d'horodatage ou TSI, 206; - un processeur sécurisé 207; - un modem 208; - une interface homme/ machine notée RHM 217;
- un décodeur vidéo 218.
Chacun des éléments illustrés en figure 2 est bien connu de l'homme
du métier. Ces éléments communs ne sont pas décrits ici.
On observe en outre que le mot " registre " utilisé dans toute la
description désigne dans chacune des mémoires mentionnées, aussi bien
une zone de mémoire de faible capacité (quelques données binaires) qu'une zone mémoire de grande capacité (permettant de stocker un programme
entier ou l'intégralité d'une séquence de données).
On note cependant que le tuner 101 est adapté à extraire et mettre en forme des données multimédia correspondant à un ou plusieurs services de télévision et/ou de radio ainsi que des données de type challenge
d'horodatage ou TSC 101 en provenance d'un canal 216.
Le décodeur vidéo 218 transforme les données numériques reçues du tuner 201 en données analogiques pour la télévision. Ces données
analogiques sont fournies sur une sortie 219.
La mémoire vive 205 conserve des données, des variables et des résultats intermédiaires de traitement, dans des registres de mémoire portant
dans la description, les mêmes noms que les données dont ils conservent les
valeurs. La mémoire vive 205 comprend notamment: 4la 2811848 - un registre TSC 210 dans lequel est conservé un challenge d'horodatage reçu; - un registre SCH 211 dans lequel est conservée une taille de challenge: - un registre 212 contenant une réponse A fournie par un utilisateur - un registre 213 conservant une information d'horodatage TSI et de réponse " ret Challenge" à un challenge de recouvrement; - un registre TSM 214 dans lequel est conservé un message d'horodatage. La mémoire non volatile 204 conserve dans des registres qui par commodité possèdent les mêmes noms que les données qu'ils conservent, notamment le programme de fonctionnement du processeur 202 dans un
registre " Prog "> 209.
L'extracteur TSI 206 est adapté à extraire les informations d'horodatage d'un flux de données fournies par le tuner 201. L'extracteur
émet les données extraites sur le bus 203 à destination du processeur 202.
Le modem 208 est adapté à émettre des réponses avec horodate vers un centre ACC via une ligne téléphonique. D'autres types de voie de retour
peuvent bien sûr être utilisées.
L'interface homme/machine 217 est adaptée a prendre en compte les réponses données par l'utilisateur à travers par exemple un clavier, une télécommande, un boîtier de reconnaissance ou d'enregistrement vocal ou
un écran tactile.
La figure 3 illustre schématiquement un processeur sécurisé 207 tel
qu'illustré en regard de la figure 2.
Le processeur sécurisé 207 comprend reliés entre eux par un bus d'adresses et de données 303: - une interface d'entrées/sorties 301 - un processeur 302; - une mémoire non volatile 304 de type flash EEPROM; et - une mémoire vive 311; Chacun des éléments illustrés en figure 3 est bien connu de l'homme
du métier. Ces éléments communs ne sont pas décrits ici.
On observe cependant que l'interface d'entrées/sorties 301 est apte à interfacer un bus 303 avec un bus 203 de décodeur numérique multimédia ou lorsque le processeur sécurisé est amovible avec un lecteur de
processeur amovible 501 qui sera décrit en regard de la figure 5.
2811848
La mémoire non volatile 304 conserve dans des registres qui par commodité possèdent les mêmes noms que les données qu'ils conservent, notamment: le programme de fonctionnement du processeur 302 dans un registre " Prog " 305 - une clé privée d'utilisateur dans un registre " KPriU " 306 La mémoire vive 311 conserve des données, des variables et des résultats intermédiaires de traitement, dans des registres de mémoire portant
dans la description, les mêmes noms que les données dont ils conservent les
valeurs. La mémoire vive 311 comprend notamment: - un nombre de challenges et un nombre de services dans un registre " SCH,N" 307; - une réponse dans un registre <" A " 308 - une information d'horodatage TSI et de challenge de recouvrement ainsi que la réponse au challenge de recouvrement dans un registre " TSI, ret Challenge " 309;
- un message d'horodatage dans un registre " TSM " 310.
En variante, la réponse A et le message d'horodatage TSM ne sont pas placés dans la mémoire volatile 311 mais dans la mémoire non volatile réinscriptible 304 lorsque notamment le processeur sécurisé 207 est amovible et lorsqu'en particulier la réponse A et le message d'horodatage TSM sont destinés à être transmis directement du processeur sécurisé à un
centre de collecte via le processeur sécurisé 207.
La figure 4 décrit un dispositif 400 de collecte de réponses ACC et de vérification d'horodate possédant un modem pour récupérer les réponses. Le dispositif 400 est tel le centre 108 de collecte ACC illustré en regard de la
figure 1.
Le dispositif 400 de collecte de réponses ACC comprend reliés entre eux par un bus d'adresses et de données 403: - un modem 401; - un processeur 402; - une mémoire non volatile 404;
- une mémoire vive 405.
Chacun des éléments illustrés en figure 4 est bien connu de l'homme
du métier. Ces éléments communs ne sont pas décrits ici.
16 2811848
On observe cependant que le modem 401 est apte à recevoir et mettre en forme des messages avec horodate en provenance d'un décodeur
numérique multimédia pour les remettre au processeur 402.
La mémoire vive 405 conserve des données, des variables et des résultats intermédiaires de traitement, dans des registres de mémoire portant
dans la description, les mêmes noms que les données dont ils conservent les
valeurs. La mémoire vive 405 comprend notamment: - un registre TSM 409 dans lequel est conservé un message reçu avec horodate; - un registre " KPubU " 407 contenant une clé publique du processeur sécurisé à l'origine du message reçu; - un registre " KPubTSSi, KPubD " 410 contenant les clés publiques des services d'horodatage TSSi et la clé publique KPubD du diffuseur;
- un registre " A " 408 contenant une réponse.
La clé publique du processeur sécurisé KPubU aura pu être transmise avec le message TSM reçu ou enregistrée au préalable selon un moyen
quelconque connu de l'homme du métier.
Les clés publiques des services d'horodatage KPubTSSi ou la clé publique du diffuseur KPubD sont connues du centre ACC par un moyen quelconque. Selon une variante de réalisation de l'invention décrite à la figure 5, un dispositif de collecte de réponses et de vérification d'horodate possède un
lecteur de processeur sécurisé.
Le dispositif de la figure 5 comprend des éléments similaires à ceux de la figure 4 précédemment décrite qui portent les mêmes numéros de
référence et ne seront pas décrits davantage.
On observe qu'un lecteur 501 de processeur sécurisé amovible remplace le modem 401. Ce lecteur 501 est apte à recevoir et mettre en forme des messages avec horodate en provenance d'un processeur sécurisé
amovible pour les remettre au processeur 402.
Selon la figure 6 qui décrit un protocole d'échange entre un diffuseur , un processeur central 202 de décodeur numérique, un processeur sécurisé 207 et un dispositif de collecte de réponses tels que qu'illustrés en regard des figures 1 à 4, suite à une requête de services nécessitant une réponse avec horodate, le diffuseur 100 effectue une diffusion 601 de
challenge d'horodatage TSC vers le processeur central 202.
1 7 2811848
Le processeur central 202 extrait de TSC le nombre de challenges SCH et le nombre de services N à prendre en compte pour un horodatage et effectue une émission 602 de SCH, N et 603 d'une réponse A, donnée par
l'utilisateur à travers l'interface 217, vers le processeur sécurisé 207.
Ensuite, le processeur sécurisé détermine une séquence aléatoire d'horodatage CS, en effectuant un tirage aléatoire ou pseudo-aléatoire d'une séquence de SCH identificateurs de services CS[i], chaque valeur que peut prendre un identificateur CS[i] compris entre 1 et N, représentant un service parmi les N services de la liste mentionnée dans le challenge TSC, les indices i étant compris entre 1 et SCH inclus, et deux identificateurs de
services dans la séquence CS pouvant être égaux.
Ensuite, on effectue une première opération de requête d'information de temps et de réponse à un challenge de recouvrement au cours de laquelle le processeur sécurisé émet une requête 604 d'information d'horodatage correspondant à un premier service " Ask(CS[1]) " vers le processeur central 202. Celui-ci, après calage du tuner 201 sur le canal CS[1], extrait au fil de l'eau l'information d'horodatage de ce premier service TSI(CS[1]) ainsi que la réponse à un premier challenge de recouvrement RetC[1] défini par TSI(CS[1]) avant de transmettre, à l'étape 606, I'information TSI(CS[1]) et la réponse RetC[1] vers le processeur sécurisé 207. Ensuite, on réitère cette opération de requête d'information de temps et de réponse à un challenge de recouvrement pour chacun des services CS[i],
avec un entier i allant de 2 à SCH.
Après réception de la dernière horodate TSI(CS[SCH]) et de la réponse au dernier challenge de recouvrement Ret C[SCH], le processeur sécurisé signe le message TSM et la réponse A avec sa clé privée KPriU 306 au cours d'une opération 610 et émet un message d'horodatage TSM signé 611 vers le processeur 202 qui retransmet ce message avec la
réponse A dans un message 612 vers le centre ACC 108.
Le centre ACC valide alors la réponse au cours d'une étape 613 et le cas échéant répercute la réponse et l'horodate validées vers le serveur d'application. Selon la figure 7 qui décrit un protocole d'échange entre un diffuseur , un processeur central 202 de décodeur numérique, un processeur sécurisé 207 amovible et un dispositif de collecte de réponses tels que qu'illustrés en regard des figures 1, 2, 3 et 5, suite à une requête de services
IX 2811848
nécessitant une réponse avec horodatage, le diffuseur 100 effectue une
diffusion 601 de challenge d'horodatage TSC vers le processeur central 202.
Le dispositif de la figure 7 comprend des éléments de protocole
similaires à ceux de la figure 6 précédemment décrits qui portent les mêmes numéros de référence et ne seront pas décrits davantage.
On observe cependant qu'après signature d'un message horodaté, le processeur sécurisé 207 conserve dans sa mémoire non volatile 304 la réponse A et le message TSM correspondant. L'utilisateur peut alors ôter le processeur sécurisé 207 du décodeur numérique multimédia 200 pour
I'insérer dans le lecteur 501 d'un centre ACC 500.
Le centre ACC 500 effectue alors une lecture 711 de la réponse A et
du message d'horodatage signé TSM.
Le centre ACC valide alors la réponse A et le cas échéant répercute la
réponse validée avec une horodate vers le serveur d'application.
En figure 8, qui présente le fonctionnement d'un processeur central 202 avec procédé d'horodatage inclus dans le dispositif électronique illustré en figure 2, on observe qu'après une opération d'initialisation 800 au cours de laquelle les registres de la mémoire vive 205 sont initialisés, au cours d'une opération d'attente 801, le processeur 202 attend de recevoir puis
reçoit une réponse A à horodater.
Puis, immédiatement, au cours d'une opération 802, le processeur
202 charge un challenge TSC en provenance d'un diffuseur.
Le challenge TSC comprend: - la taille de challenge SCH, c'est à dire le nombre de services à prendre en compte dans le challenge - le nombre N de services TSS pouvant participer au challenge; - et pour chaque service TSSi, leur ordre étant à considérer: - un identificateur de réseau, network ID, pour ce service; - un identificateur de flux de transport, transportstream_lD, pour ce service
- un identificateur de service, service_lD.
On note que le système de diffusion est préférentiellement conforme à la norme DVB-SI de l'ETSI (European Telecommunication Standard Institute), " Specification for Service Information in Digital Video Broadcasting Systems " publié sous la référence ETS300468. Dans la norme DVB-SI, le triplet network ID, transport_streamrn_lD, service_ID
identifie de manière unique un service diffusé.
19 2811848
Ensuite, au cours d'une opération 803, le processeur 202 extrait du challenge TSC, la taille SCH du challenge et le nombre N de services puis
émet SCH, N et la réponse A vers le processeur sécurisé 207.
Puis, au cours d'une opération 804, le processeur 202 initialise un compteur " Compt" à 0.
Ensuite, lors d'une opération 805, le compteur " Compt " est
incrémenté d'une unité.
Puis, au cours d'une opération 806, le processeur 202 se met en attente d'une requête de challenge CS[Compt] en provenance du processeur
sécurisé 207.
Lorsqu'il reçoit une telle requête, lors d'une opération 807, le processeur 202 extrait des données reçues via le canal de diffusion l'information TSI correspondant au challenge CS[Compt] notée TSl(CS[ComptD]) et la réponse correspondant au challenge de recouvrement Ret C[Compt] se trouvant dans TSI(CS[compt]) et les émet alors vers le
processeur sécurisé 207.
Dans le mode préféré de réalisation, I'invention est compatible avec la norme DVB-SI précitée et qui définit des paquets obligatoires et des paquets privés. Les paquets privés sont paramétrables selon les besoins et peuvent ainsi être utilisés pour des services d'horodatage. Chaque service TSS a dans sa table d'information d'événements, notée EIT dans la norme DVB-SI,
un paquet de données privé appelé paquet d'information de temps, noté TIP.
La structure normalisée de ce paquet TIP n'inclut qu'un identifiant et
un nombre d'octets, tous les autres champs étant définis par l'utilisateur.
Ainsi, le paquet TIP est tout à fait adapté à la mise en oeuvre de l'invention et selon le mode préférentiel de réalisation, I'information TSl(CS[compt]) est transmise sous la forme d'un paquet TIP qui comprend: un identifiant propre au type de TIP, TIP_header tag; - un nombre d'octets qui suit, length_field; - un type de challenge, challenge_type, qui contient l'identificateur de paquet d'o l'on doit extraire les octets du challenge de recouvrement; - une position du premier octet du challenge de recouvrement, startingbyte, une valeur nulle correspondant au premier octet; - un nombre d'octets successifs à extraire pour le challenge de recouvrement, numberbytes;
2811848
- une horodate courante, currenttime, qui contient l'heure et la date courante en temps universel coordonné; - une empreinte de la réponse correcte au challenge de recouvrement, hashed_correct_answer, I'empreinte étant définie avec une clé privée du diffuseur KPriD (un exemple de fonction de hachage utilisée pour calculer l'empreinte étant décrit dans le document " Federal Information Processing Standards, secure hash standards " publié par FIPS sous la référence 180-1); - une signature SIGN(currenttimellhashed_correct_answer, TSSi) qui représente la signature RSA de current_time et hashed_correct_answer définie à l'aide d'une clé privée KPriTSSi du service TSSi; Un challenge de recouvrement est complètement défini par une définition CDef comprenant les champs challengetype, startingbyte et
number bytes.
La signature SIGN a deux rôles: elle identifie de manière unique le service TSSi avec sa clé privée et garantit l'intégrité de l'information de temps. Le diffuseur 100 peut changer à tout moment les paramètres du
challenge challenge_type, starting_byte et number bytes.
La clé publique KPubTSSi du service TSSi est présente dans le centre ACC 108. Des fournisseurs de services indépendants peuvent utiliser la
même information d'horodate qui est fournie par le diffuseur 100.
Puis, au cours d'un test 808, le processeur 202 teste si la valeur du
compteur " Compt >" est égale au nombre SCH.
Dans la négative, I'opération d'incrément 805 est réitérée.
Dans l'affirmative, au cours d'une opération 809, le processeur 202 se met en attente d'un message d'horodatage TSM en provenance du
processeur 207.
* Puis, lorsque le message TSM est reçu, lors d'une opération 810, le processeur 202 transmet vers le centre ACC la réponse A avec le message TSM.
Ensuite, I'opération 801 est réitérée.
On note que lorsque la transmission de la réponse se fait à l'aide d'un processeur sécurisé 207 amovible, les opérations 809 et 810 ne sont pas effectuées et que l'on passe directement du test 808 avec réponse positive à
la réitération de l'opération 801.
2 1 2811848
On note aussi qu'en variante, le processeur 202 peut placer plusieurs réponses A avec horodatage dans une file d'attente pour émission avant de
les émettre en temps différé vers un centre 108 ACC.
En figure 9. qui présente le fonctionnement d'un processeur sécurisé 207 avec procédé d'horodatage inclus dans le dispositif électronique illustré en figure 2 et illustré en détail en regard de la figure 3, on observe qu'après une opération d'initialisation 900 au cours de laquelle les registres de la mémoire vive 305 sont initialisés, au cours d'une opération d'attente 901 le processeur 302 attend de recevoir puis reçoit une réponse A a horodater, la
taille SCH du challenge et le nombre N de services a considérer.
Ensuite, au cours d'une opération 902, le processeur 302 sélectionne aléatoirement ou pseudo-aléatoirement une séquence de SCH nombres compris entre 1 et N(chacun de ces nombres étant un pointeur sur un service dans la liste ordonnée de services TSS) représentant une séquence
CS de SCH challenges.
Puis, au cours d'une opération 903, le processeur 302 initialise un
compteur " Compt " à zéro.
Ensuite, au cours d'une opération 904, le compteur " Compt " est
incrémenté d'une unité.
Ensuite, lors d'une opération 905, le processeur sécurisé 207 émet
vers le processeur central 202 le challenge de rang Compt, CS[Compt].
Puis, le processeur 302 se met en attente de l'information TSI(CS[Compt]) et de la définition du challenge de recouvrement correspondants au cours d'une opération 906. Il effectue alors une opération
d'extraction de la réponse au challenge de recouvrement.
Ensuite, au cours d'un test 907, le processeur 302 vérifie si la valeur
du compteur " Compt " est égale au nombre de challenges SCH.
Dans la négative, l'opération d'incrément 904 est réitérée.
Dans l'affirmative, au cours d'une opération 908, le processeur 302 construit un message TSM signé qui comprend les données suivantes: - Pour chaque valeur de i allant de 1 à SCH: - un numéro de service qui définit le service TSS utilisé pour le challenge i; sa valeur est la position du TSS dans la liste fournie par le challenge TSC; le premier service de la liste a le numéro 1; - Pour chaque valeur de i allant de 1 à SCH: I'horodate courante, current time;
2' 2811848
- I'empreinte hashed_correct_answer; - la signature SIGN(currenttimellhashed_correct_answer, TSSi); - les number bytes octets de challenge challengebyte extraits du flux de données en fonction du challenge de recouvrement; - la signature totalsignature obtenue par signature RSA de la concaténation de la réponse A et de toutes les données du message TSM à l'exclusion de sa propre signature; I'opération de génération de la signature total signature utilise la clé privée KPriU 306 du processeur sécurisé 207; Ensuite lors d'une opération 909, le message TSM signé est: - émis vers le processeur 202; ou - conservé en mémoire avant d'être émis directement en temps différé vers un centre ACC 108 si le processeur sécurisé est amovible et qu'il n'y a pas de liaison directe entre le processeur 202 et un centre ACC;
Ensuite, l'opération 901 est réitérée.
En figure 10, qui présente le fonctionnement d'un dispositif de collecte de réponse 108 ACC illustré en figure 4 ou en figure 5, on observe qu'après une opération d'initialisation 1000 au cours de laquelle les registres de la mémoire vive 405 sont initialisés, au cours d'une opération d'attente 1001 le processeur 402 attend de recevoir puis reçoit une réponse A et un message
TSM correspondant.
Ensuite, lors d'un test 1002, le processeur 402 vérifie si la signature total signature de la réponse A et du message TSM est bonne à l'aide de la clé publique KPubU du processeur sécurisé, la clé publique KPubU ayant été envoyée par le processeur sécurisée au centre ACC au cours d'une opération précédente non représentée Dans l'affirmative, lors d'un test 1003, le processeur 402 vérifie s'il y a effectivement SCH challenges présents dans le message TSM, SCH ayant été précédemment communiqué par le diffuseur ou le serveur d'application
au cours d'une opération non représentée.
Dans l'affirmative, au cours d'une opération 1004, le processeur 402
initialise un compteur, i à zéro.
Puis au cours d'une opération 1005, le processeur 402 incrémente d'une unité le compteur i Ensuite, au cours d'un test 1006, le processeur 402 vérifie la validité du challenge de rang i en vérifiant:
23 2811848
- la signature SIGN(currenttimellhashed_correct value,CS[i]) en utilisant la clé publique KPubCS[i] du service CS[i]; - I'empreinte du challenge de recouvrement qui doit être égale à la valeur correspondante hashed_correct_value Dans l'affirmative, au cours d'un test 1007, le processeur 402, vérifie
si le compteur i a atteint la valeur de SCH.
Lorsque le résultat du test 1007 est négatif, I'opération d'incrément
1005 est réitérée.
Lorsque le résultat du test 1007 est positif, au cours d'un test 1008, le
processeur 402, vérifie la cohérence de l'information d'horodate ellemême.
On note tProcess le temps maximum pour traiter un challenge complet comprenant le temps de calcul du processeur sécurisé, le temps de
traitement du processeur central et le temps de commutation.
Une simple vérification consiste à tester la valeur de TI[SCH] correspondant à l'information d'horodate de rang SCH qui doit être inférieure ou égale à une valeur égale à la somme de l'information d'horodate de rang 1 et du produit de tProcess par le nombre de challenges moins 1
TI[SCH] < TI[1]+(SCH- 1). tProcess.
Une vérification plus fine consiste à tester pour chaque valeur d'un entier j compris entre 2 et la valeur SCH, la valeur de TIl[] correspondant à l'information d'horodate de rang j qui doit être inférieure ou égale à une valeur égale à la somme de l'information d'horodate de rang j-1 et de tProcess:
TI/]<TlIU-1]+tProcess pour toute valeur de j telle que 2<j<SCH.
Selon une variante, I'information d'horodate TII] pour un nombre j compris entre 1 et SCH est relative à un service de rang j: elle dépend non seulement d'une horodate effective mais aussi du service de rang j, chaque service ayant en quelque sorte sa propre échelle de temps. On peut ainsi augmenter la sécurité en ayant un codage particulier de l'horodate (qui permet de revenir à une échelle de " temps absolu "). Le test 1008 prend alors en compte ce codage, met en ceuvre une opération qui permet de passer d'une horodate relative à un service à une horodate absolue indépendante du service et considère pour le test lui-même uniquement des
horodates absolues.
Dans l'affirmative, au cours d'une opération 1009, le message TSM est déclaré comme étant valide et la réponse A est transmise au serveur
24 2811848
d'application avec une horodate absolue correspondant à TI[1] pour être exploitée. Lorsqu'un des tests 1002, 1003, 1006 ou 1008 est négatif, le message
TSM n'est pas valide et la réponse A avec l'information d'horodatage correspondante est rejetée.
Puis, à la suite de l'une des opérations 1009 ou 1010, I'opération
d'attente 1001 est réitérée.
Le mode de réalisation décrit n'a pas pour objectif de réduire la portée de l'invention. En conséquence, il pourra y être apporté de nombreuses modifications sans sortir du cadre de celle-ci; notamment, il pourra être envisagé des procédés, systèmes ou dispositifs avec une mise en oeuvre dégradée ne comportant qu'un sous ensemble des opérations ou moyens
d'horodatage ou de vérification de validité d'horodate précédemment décrits.
Inversement, des opérations complémentaires peuvent être ajoutées.
Bien entendu, I'invention n'est pas non plus limitée aux exemples de
réalisation mentionnés ci-dessus.
En particulier, l'homme du métier pourra apporter toute variante dans
la définition des challenges.
On note par ailleurs que l'invention ne se limite pas à une infrastructure de diffusion de télévision et/ou radio comprenant un diffuseur, des décodeurs et un centre ACC mais s'étend à toute infrastructure de diffusion de flux numériques avec au moins un serveur d'application, cette application étant liée à l'utilisation d'horodatage ou d'événements, tel que par
exemple un serveur Internet.
De même, l'invention ne se limite pas à l'horodatage de réponses à une question diffusée, mais s'applique à l'horodatage de tout type de données transmises ou non par un diffuseur nécessitant un horodatage tel que par exemple des messages spontanés, des documents multimédia, des demandes d'achat, I'horodatage étant basé sur l'utilisation de flux
numériques diffusés.
De plus, I'invention ne se limite pas aux terminaux chargés d'effectuer l'horodatage qui sont de type décodeurs numériques multimédia mais s'étend à tout type de terminal adapté à recevoir des flux de données numériques. En outre, I'invention ne se limite pas aux transmissions des réponses vers un centre ACC via un modem ou une liaison directe avec un processeur
2811848
sécurisé, mais s'étend aux transmissions utilisant tout moyen de
transmission tel que par exemple un bus ou un réseau.
On notera aussi que l'invention ne se limite pas à une implantation purement matérielle mais qu'elle peut aussi être mise en oeuvre sous la forme d'une séquence d'instructions d'un programme informatique ou toute forme mixant une partie matérielle et une partie logicielle. Dans le cas o l'invention est implantée partiellement ou totalement sous forme logicielle, la séquence d'instructions correspondante pourra être stockéedans un moyen de stockage amovible (tel que par exemple une disquette, un CD-ROM ou un DVD-ROM) ou non, ce moyen de stockage étant lisible partiellement ou
totalement par un ordinateur ou un microprocesseur.
26 2811848

Claims (18)

REVENDICATIONS
1. Procédé d'horodatage de données numériques caractérisé en ce qu'il comprend - une opération de définition (902) d'une séquence (CS) de services comprenant au moins un service, chaque dit service étant choisi au sein d'une liste de services (TSS) selon une méthode de choix donnant un résultat variable pour chaque occurrence desdites opérations de définition (902) d'une séquence de services; et - une opération de collecte (807) d'une séquence d'éléments d'information d'horodate, selon laquelle on extrait au moins un élément d'information (TSI(CS[i])) de chaque service (CS[il) de ladite séquence de services (CS) pour former les éléments de ladite séquence d'éléments d'information, chaque élément d'information comprenant une information
représentative d'une horodate courante.
2. Procédé d'horodatage selon la revendication 1 caractérisé en ce que ladite
liste de services (TSS) comprend au moins un service.
3. Procédé d'horodatage selon l'une des revendications 1 ou 2 caractérisé en
ce que ladite méthode de choix donnant un résultat variable est une méthode
de tirage aléatoire ou pseudo aléatoire.
4. Procédé d'horodatage selon l'une quelconque des revendications 1 à 3
caractérisé en ce qu'il comprend une étape d'émission et/ou de réception (802) d'un message (TSC) comprenant le nombre de services (SCH) de
ladite séquence de services (CS) et ladite liste de services.
5. Procédé d'horodatage selon l'une quelconque des revendications 1 à 4,
caractérisé en ce qu'il comporte une opération de construction (908) d'un groupe de données horodaté comprenant: - un groupe d'informations comprenant: - lesdites données numériques (A); - un identifiant (service_number) de chacun des services de ladite séquence de services; ladite séquence d'informations d'horodate; - et une signature (total signature) d'au moins un élément dudit groupe d'informations.
6. Procédé d'horodatage selon la revendication 5 caractérisé en ce qu'il comprend en outre une opération de collecte (807) d'une séquence de
27 2811848
signatures d'informations (SIGN), chacune des signatures étant associée de manière biunivoque à chacune desdites informations d'horodate et signant une information comprenant ladite information d'horodate (currenttime) et un identifiant dudit service (Service[i) dont elle est issue, et en ce que ledit groupe de données horodaté comprend en outre ladite
séquence de signatures (SIGN) d'informations.
7. Procédé d'horodatage selon l'une quelconque des revendications 1 à 6
caractérisé en ce que: - chaque information d'horodate comprend en outre la définition (CDef) d'un challenge de recouvrement à extraire de ladite liste de services; et - le procédé d'horodatage comprend en outre une opération d'extraction (807) d'une réponse (RetC) correspondant à ladite définition (CDef) de
chaque dit challenge de recouvrement.
8. Procédé d'horodatage selon la revendication 7 dépendant de l'une des
revendications 5 ou 6 caractérisé en ce que ledit groupe de données
horodaté comprend en outre ladite réponse (RetC).
9. Procédé d'horodatage selon la revendication 8 caractérisé en ce que chaque information d'horodate comprend en outre une empreinte
(hashed_correct_answer) de ladite réponse.
10. Procédé d'horodatage selon l'une quelconque des revendications 5, 6, 8
ou 9, caractérisé en ce qu'il comprend une opération d'émission (909) dudit
groupe de données horodaté.
11. Procédé de vérification de la validité d'horodate de données numériques caractérisé en que ladite horodate a été générée par un procédé d'horodatage des dites données numériques selon l'une quelconque des
revendications 1 à 10.
12. Procédé de vérification de la validité d'horodate de données numériques selon la revendication 11 caractérisé en qu'il effectue une vérification d'au moins un groupe de données susceptible d'être horodaté par un procédé
d'horodatage selon l'une quelconque des revendications 5, 6, 8 ou 9.
13. Procédé de vérification de la validité d'horodate selon la revendication 12 caractérisé en ce que ledit procédé de vérification comprend au moins une opération de vérification faisant partie du groupe comprenant: - une opération de vérification (1002) de signature (total signature) d'un groupe de données;
28 2811848
- une opération de vérification (1003) d'un nombre de services (SCH) requis; - une opération de vérification (1006) attestant que chaque information d'horodate correspond bien à un service requis; - une opération de vérification (1006) de la validité d'une réponse à un éventuel challenge de recouvrement requis pour chaque information d'horodate; et - une opération de vérification (1008) de la cohérence d'horodatage extrait
d'un groupe de données horodatées.
14. Procédé de vérification de la validité d'horodate selon l'une des
revendications 12 ou 13 caractérisé en ce qu'il comprend une opération de
transmission (1009) desdites données numériques validées.
15. Système caractérisé en ce qu'il comprend des moyens de mise en oeuvre de: - un procédé de diffusion de services, chacun desdits services contenant des éléments d'informations représentatives d'horodate;
- un procédé d'horodatage selon l'une quelconque des revendications 1 à
et - un procédé de vérification de la validité d'horodate selon l'une
quelconque des revendications 11 à 14.
16. Dispositif d'horodatage de données numériques caractérisé en ce qu'il comprend des moyens (200, 207, 400, ou 500) adaptés à la mise en oeuvre d'un procédé d'horodatage et/ou de vérification de la validité d'horodate
selon l'une quelconque des revendications 1 à 14.
17. Dispositif d'horodatage de données numériques caractérisé en ce qu'il comprend: - un moyen de définition d'une séquence (CS) de services, chacun des services étant choisi au sein d'une liste (TSS) de services comprenant au moins un service selon une méthode de choix donnant un résultat variable pour chaque utilisation dudit moyen de définition d'une séquence de services; et - un moyen de collecte d'une séquence d'éléments d'information d'horodate, extrayant un élément d'information (TSI(CS[i])) de chacun des services (CS[i) de ladite séquence (CS) de services pour former les éléments de ladite séquence d'éléments d'information, chaque élément
29 2811848
d'information comprenant une information représentative d'une horodate courante.
18. Dispositif de vérification de la validité d'horodate de données numériques caractérisé en ce qu'il comprend au moins un moyen de vérification faisant partie du groupe comprenant: - un moyen de vérification de signature d'un groupe de données; - un moyen de vérification d'un nombre de services requis; - un moyen de vérification attestant que chaque information d'horodate correspond bien à un service requis; - un moyen de vérification de la validité d'une réponse a un éventuel challenge de recouvrement requis pour chaque information d'horodate et - un moyen de vérification de la cohérence d'horodatage extrait d'un
groupe de données horodatées.
FR0009255A 2000-07-13 2000-07-13 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique Pending FR2811848A1 (fr)

Priority Applications (9)

Application Number Priority Date Filing Date Title
FR0009255A FR2811848A1 (fr) 2000-07-13 2000-07-13 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique
KR1020027018085A KR100919907B1 (ko) 2000-07-13 2001-07-12 디지털 방송 환경에서의 타임스탬핑 및 타임 스탬프 유효성 검증 시스템, 방법 및 장치
US10/332,675 US20040049681A1 (en) 2000-07-13 2001-07-12 Time stamping and time stamp validity verification system, method and device in a digital broadcasting environment
MXPA03000011A MXPA03000011A (es) 2000-07-13 2001-07-12 Sistema, metodo y dispositivo de marcacion de hora y de verificacion de la validez de marcacion de hora en un ambiente de difusion numerica.
PCT/FR2001/002286 WO2002007441A1 (fr) 2000-07-13 2001-07-12 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique.
JP2002513207A JP4825394B2 (ja) 2000-07-13 2001-07-12 ディジタル放送環境での、タイムスタンピング及びタイムスタンプの有効性を確認するシステム、方法及び、装置
CNB018127398A CN1265642C (zh) 2000-07-13 2001-07-12 时间戳和验证时间戳在数字广播环境中有效性的方法和设备
AU2001276445A AU2001276445A1 (en) 2000-07-13 2001-07-12 Time stamping and time stamp validity verification system, method and device in a digital broadcasting environment
EP01954094A EP1300017A1 (fr) 2000-07-13 2001-07-12 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0009255A FR2811848A1 (fr) 2000-07-13 2000-07-13 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique

Publications (1)

Publication Number Publication Date
FR2811848A1 true FR2811848A1 (fr) 2002-01-18

Family

ID=8852514

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0009255A Pending FR2811848A1 (fr) 2000-07-13 2000-07-13 Systeme, procede et dispositif d'horodatage et de verification de la validite d'horodate dans un environnement de diffusion numerique

Country Status (9)

Country Link
US (1) US20040049681A1 (fr)
EP (1) EP1300017A1 (fr)
JP (1) JP4825394B2 (fr)
KR (1) KR100919907B1 (fr)
CN (1) CN1265642C (fr)
AU (1) AU2001276445A1 (fr)
FR (1) FR2811848A1 (fr)
MX (1) MXPA03000011A (fr)
WO (1) WO2002007441A1 (fr)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7253919B2 (en) * 2000-11-30 2007-08-07 Ricoh Co., Ltd. Printer with embedded retrieval and publishing interface
US7743347B2 (en) 2001-11-19 2010-06-22 Ricoh Company, Ltd. Paper-based interface for specifying ranges
US20040181815A1 (en) * 2001-11-19 2004-09-16 Hull Jonathan J. Printer with radio or television program extraction and formating
US7424129B2 (en) * 2001-11-19 2008-09-09 Ricoh Company, Ltd Printing system with embedded audio/video content recognition and processing
US7788080B2 (en) 2001-11-19 2010-08-31 Ricoh Company, Ltd. Paper interface for simulation environments
US8539344B2 (en) * 2001-11-19 2013-09-17 Ricoh Company, Ltd. Paper-based interface for multimedia information stored by multiple multimedia documents
US7861169B2 (en) 2001-11-19 2010-12-28 Ricoh Co. Ltd. Multimedia print driver dialog interfaces
US7747655B2 (en) 2001-11-19 2010-06-29 Ricoh Co. Ltd. Printable representations for time-based media
US7703044B2 (en) 2001-11-19 2010-04-20 Ricoh Company, Ltd. Techniques for generating a static representation for time-based media information
US7149957B2 (en) 2001-11-19 2006-12-12 Ricoh Company, Ltd. Techniques for retrieving multimedia information using a paper-based interface
CN1784865B (zh) * 2003-05-09 2013-07-17 皇家飞利浦电子股份有限公司 用于测量报告时间印记以保证基准时间正确性的方法
KR101160590B1 (ko) * 2003-05-09 2012-06-28 코닌클리즈케 필립스 일렉트로닉스 엔.브이. Wlan 내의 복수의 스테이션 사이의 자원 측정 방법 및 wlan 내의 복수의 스테이션 사이의 자원 측정을 위해 구성된 장치
US8452153B2 (en) 2003-07-11 2013-05-28 Ricoh Company, Ltd. Associating pre-generated barcodes with temporal events
US7275159B2 (en) 2003-08-11 2007-09-25 Ricoh Company, Ltd. Multimedia output device having embedded encryption functionality
US7685428B2 (en) * 2003-08-14 2010-03-23 Ricoh Company, Ltd. Transmission of event markers to data stream recorder
US20050071746A1 (en) * 2003-09-25 2005-03-31 Hart Peter E. Networked printer with hardware and software interfaces for peripheral devices
US7508535B2 (en) 2003-09-25 2009-03-24 Ricoh Co., Ltd. Stand alone multimedia printer with user interface for allocating processing
US7505163B2 (en) * 2003-09-25 2009-03-17 Ricoh Co., Ltd. User interface for networked printer
US7573593B2 (en) * 2003-09-25 2009-08-11 Ricoh Company, Ltd. Printer with hardware and software interfaces for media devices
US8077341B2 (en) 2003-09-25 2011-12-13 Ricoh Co., Ltd. Printer with audio or video receiver, recorder, and real-time content-based processing logic
US20050071763A1 (en) * 2003-09-25 2005-03-31 Hart Peter E. Stand alone multimedia printer capable of sharing media processing tasks
US7864352B2 (en) * 2003-09-25 2011-01-04 Ricoh Co. Ltd. Printer with multimedia server
US7570380B2 (en) * 2003-09-25 2009-08-04 Ricoh Company, Ltd. Printer user interface
US20050068573A1 (en) * 2003-09-25 2005-03-31 Hart Peter E. Networked printing system having embedded functionality for printing time-based media
US7440126B2 (en) * 2003-09-25 2008-10-21 Ricoh Co., Ltd Printer with document-triggered processing
US7528977B2 (en) * 2003-09-25 2009-05-05 Ricoh Co., Ltd. Printer with hardware and software interfaces for peripheral devices
JP2005108230A (ja) 2003-09-25 2005-04-21 Ricoh Co Ltd オーディオ/ビデオコンテンツ認識・処理機能内蔵印刷システム
US7528976B2 (en) * 2003-09-25 2009-05-05 Ricoh Co., Ltd. Stand alone printer with hardware/software interfaces for sharing multimedia processing
US8274666B2 (en) 2004-03-30 2012-09-25 Ricoh Co., Ltd. Projector/printer for displaying or printing of documents
US7603615B2 (en) 2004-03-30 2009-10-13 Ricoh Co., Ltd. Multimedia projector-printer
US7551312B1 (en) 2005-03-17 2009-06-23 Ricoh Co., Ltd. Annotable document printer
CN100512556C (zh) 2007-03-01 2009-07-08 华为技术有限公司 一种处理短消息的方法及通信终端
CN101540897B (zh) * 2008-03-21 2013-04-24 中国科学院声学研究所 一种用于有线电视网络的交互电视节目流时间戳下发方法
CN101753245B (zh) * 2008-11-28 2013-08-07 华为技术有限公司 一种业务识别方法和装置
US20100287402A1 (en) * 2009-05-11 2010-11-11 Electronics And Telecommunications Research Institute Timestamping apparatus and method
WO2013065133A1 (fr) * 2011-11-01 2013-05-10 株式会社野村総合研究所 Système et programme de vérification de temps
CN104506503B (zh) * 2014-12-08 2019-11-05 北京北邮国安技术股份有限公司 一种基于广电单向传输网络的安全认证系统
CN107515724B (zh) * 2016-06-16 2021-04-02 伊姆西Ip控股有限责任公司 用于再现存储系统的输入输出的方法和设备
CN111170110B (zh) * 2020-02-28 2021-04-30 深圳市通用互联科技有限责任公司 电梯数据处理方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5764275A (en) * 1991-11-20 1998-06-09 Thomson Multimedia S.A. Interactive television security through transaction time stamping
EP0880254A2 (fr) * 1997-04-22 1998-11-25 Sun Microsystems, Inc. Système et méthode de securité de serveur d'institution financière et de client browser de réseau
US5850447A (en) * 1993-08-05 1998-12-15 Gemplus Card International Secured system of remote participation in interactive games with verification of the chronology of events

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5136646A (en) * 1991-03-08 1992-08-04 Bell Communications Research, Inc. Digital document time-stamping with catenate certificate
JPH04363941A (ja) * 1991-02-18 1992-12-16 Nippon Telegr & Teleph Corp <Ntt> 非同期転送モード通信における盗聴防止方法
US5533021A (en) * 1995-02-03 1996-07-02 International Business Machines Corporation Apparatus and method for segmentation and time synchronization of the transmission of multimedia data
WO1998034403A1 (fr) * 1995-09-29 1998-08-06 Intel Corporation Appareil et procede de protection de donnees saisies transmises entre deux sources
US5822676A (en) * 1995-12-14 1998-10-13 Time Warner Entertainment Co. L.P. Digital serialization of program events
US5822432A (en) * 1996-01-17 1998-10-13 The Dice Company Method for human-assisted random key generation and application for digital watermark system
US5886995A (en) * 1996-09-05 1999-03-23 Hughes Electronics Corporation Dynamic mapping of broadcast resources
US5907619A (en) * 1996-12-20 1999-05-25 Intel Corporation Secure compressed imaging
US6209090B1 (en) * 1997-05-29 2001-03-27 Sol Aisenberg Method and apparatus for providing secure time stamps for documents and computer files
JPH1117674A (ja) * 1997-06-26 1999-01-22 Mitsubishi Electric Corp タイムスタンプ装置およびこのタイムスタンプ装置による時間情報または通信情報の送信方法
US7367042B1 (en) * 2000-02-29 2008-04-29 Goldpocket Interactive, Inc. Method and apparatus for hyperlinking in a television broadcast
EP1148503A1 (fr) * 2000-04-08 2001-10-24 Deutsche Thomson-Brandt Gmbh Procédé et appareil d'enregistrement ou de lecture de paquets de données d'un flux de transport sur un support d'enregistrement
US6993246B1 (en) * 2000-09-15 2006-01-31 Hewlett-Packard Development Company, L.P. Method and system for correlating data streams
US6925649B2 (en) * 2001-03-30 2005-08-02 Sharp Laboratories Of America, Inc. Methods and systems for mass customization of digital television broadcasts in DASE environments
US6993695B2 (en) * 2001-06-06 2006-01-31 Agilent Technologies, Inc. Method and apparatus for testing digital devices using transition timestamps
US6874089B2 (en) * 2002-02-25 2005-03-29 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
JP2003259316A (ja) * 2002-02-28 2003-09-12 Toshiba Corp ストリーム処理システムおよびストリーム処理プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5764275A (en) * 1991-11-20 1998-06-09 Thomson Multimedia S.A. Interactive television security through transaction time stamping
US5850447A (en) * 1993-08-05 1998-12-15 Gemplus Card International Secured system of remote participation in interactive games with verification of the chronology of events
EP0880254A2 (fr) * 1997-04-22 1998-11-25 Sun Microsystems, Inc. Système et méthode de securité de serveur d'institution financière et de client browser de réseau

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HELGER LIPMAA: "Digital signatures and authentification", CYBERNETICA / INFOSECURITY / RESOURCES, 28 June 1999 (1999-06-28), pages 1 - 13, XP002164234, Retrieved from the Internet <URL:http://www.cyber.ee/research/publications/auth/index.html#tstamp> [retrieved on 20010329] *

Also Published As

Publication number Publication date
CN1265642C (zh) 2006-07-19
JP2004504778A (ja) 2004-02-12
CN1442020A (zh) 2003-09-10
MXPA03000011A (es) 2003-08-19
KR100919907B1 (ko) 2009-10-06
EP1300017A1 (fr) 2003-04-09
KR20030013481A (ko) 2003-02-14
US20040049681A1 (en) 2004-03-11
JP4825394B2 (ja) 2011-11-30
WO2002007441A1 (fr) 2002-01-24
AU2001276445A1 (en) 2002-01-30

Similar Documents

Publication Publication Date Title
FR2811848A1 (fr) Systeme, procede et dispositif d&#39;horodatage et de verification de la validite d&#39;horodate dans un environnement de diffusion numerique
EP2817775B1 (fr) Procede de mesure d&#39;audience
EP0014653B1 (fr) Système de transmission d&#39;information entre un centre d&#39;émission et des postes récepteurs, ce système étant muni d&#39;un moyen de contrôle de l&#39;accès à l&#39;information transmise
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
EP2811749B1 (fr) Synchronisation de contenus multimédia sur deuxième écran
US20110289114A1 (en) System and method for auto content recognition
US20160381436A1 (en) System and method for auto content recognition
EP0014652A1 (fr) Système de vidéographie muni de moyens de contrôle d&#39;accès à l&#39;information
FR2930357A1 (fr) Procede de vote electronique,decodeur pour la mise en oeuvre de ce procede et reseau comprenant un serveur de vote pour la mise en oeuvre du procede.
CN109246448A (zh) 离线版权内容分销系统和方法
EP3114598B1 (fr) Procédé de fourniture, à un terminal, de contenus multimédias protégés
EP1763163A1 (fr) Dispositif et procédé d&#39;obtention automatisée d&#39;informations relatives aux audiences de programmes transmis par un réseau de communication
FR2999851A1 (fr) Procede pour acceder a un service propose par un serveur distant.
FR3054765B1 (fr) Procede pour la lecture sur un equipement d&#39;un contenu multimedia avec un retard cible par rapport au direct inferieur a un retard maximal donne
EP1798974A1 (fr) Procédé de transmission d&#39;un contenu à accès conditionnel
EP2328316B1 (fr) Controle d&#39;accès à un contenu numérique
EP3120571A1 (fr) Procédé et dispositif d&#39;identification d&#39;un contenu en cours de visualisation sur un ecran
EP1797715B1 (fr) Procede de transaction pour service interactif de television numerique
EP4348483A1 (fr) Procede de gestion d&#39;un registre local d&#39;un noeud appartenant a un ensemble de noeuds contribuant a un registre distribue
WO2023099418A1 (fr) Procédé de traitement d&#39;une transaction impliquant l&#39;utilisation d&#39;un identifiant public, dispositif, système et programmes d&#39;ordinateurs correspondants
WO2010037951A1 (fr) Systeme de gestion d&#39;interactivite
WO2020201148A1 (fr) Procede de modification d&#39;un contenu multimedia
FR3060818A1 (fr) Securisation de transaction
WO2008025924A1 (fr) Systeme de synchronisation d&#39;informations avec un flux
FR2992516A1 (fr) Restitution d&#39;un contenu complementaire a un contenu d&#39;un flux
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载