La présente invention concerne un procédé pour le contrôle de l'utilisation d'un service d'information émis par une plate-forme centrale émettrice à destination de messagers fonctionnant à l'aide d'un compte d'unité de crédit, ledit service consistant en l'émission d'information sous forme de messages.

La présente demande a notamment pour objet de préciser et de compléter certains aspects de la demande de brevet FR 96 13370 déposée le 5 juillet 1997 sur l'utilisation d'une carte à puce pour le contrôle d'un système de radio messagerie. Elle est incluse par référence.

Parmi les procédés de ce type, on connaît un procédé qui utilise plusieurs adresses dédiées à des services particuliers. Selon ce procédé, lorsqu'un opérateur vend, sous la forme d'un abonnement mensuel, des services d'information, il peut diffuser chaque type d'information à une adresse donnée. Par conséquent, il y a l'adresse dédiée par exemple aux cours de la bourse, l'adresse dédiée à la météo.

Lorsqu'un utilisateur acquiert un messager, il s'abonne a un certain nombre des services offerts par l'opérateur. L'opérateur lui remet un messager contenant une adresse privée, et les adresses des services souscrits.

Ceci impose à un opérateur, lorsqu'un utilisateur désire modifier la liste des services auxquels il est abonné, une lourde et coûteuse reconfiguration de son récepteur (renvoyé au point de vente, voire à l'usine). En outre, ce système ne protège pas ltopérateur dans le cas d'un utilisateur cessant de régler son abonnement (Aucun moyen d'empcher l'utilisateur de cesser de recevoir le service).

Actuellement, les opérateurs utilisent différentes techniques pour vendre des services, d'autant plus que les messagers actuels offrent rarement plus de quatre adresses. Les opérateurs ont notamment recours à l'envoi individuel des services, à l'adresse privée, selon les options d'abonnement souscrites par chaque utilisateur, l'avantage étant la souplesse, et l'inconvénient étant l'utilisation d'une bande passante.

La présente invention a pour objectif de pallier aux inconvénients précités.

La présente invention a également et principalement pour objectif de proposer

un moyen plus souple, plus sûr et plus efficace sur le plan de la vente des services, que tous les moyens connus aujourd'hui.

A cet effet, 1'invention a pour objet un procédé caractérisée en ce qu'il comporte les étapes suivantes selon lesquelles : -on chiffre au moins en partie 1'information prealablement a 1'emission, on diffuse l'information chiffrée dans un message comportant l'adresse d'un groupe de messageurs, on reçoit et stocke le message en fonction d'un profil d'utilisateur contenu dans le messager et/ou une carte utilisateur (PSIM), on déchiffre et visualise au moins une partie du message à condition de pouvoir débiter d'un montant correspondant ledit compte d'unités contenu dans une carte ou dans le messager ; -Selon des variantes de mise en oeuvre, le message peut tre reçu dans le messager ou dans la carte PSIM ; de préférence, on déchiffre et/ou visualise sous condition d'une action volontaire de consultation d'un service par l'utilisateur ; Selon d'autres variantes de mise en oeuvre le message « acheté » donc déchiffré peut tre stocké dans le messager ou la carte PSIM ; -on effectue une reconfiguration du messager etc ou de la carte d'utilisateur (PSIM), en particulier du profil utilisateur par l'émission de commandes exécutables de reconfiguration par voie radio à partir de ladite plate-forme centrale ; le cas échéant, on peut également reconfigurer certains menus d'affichage du messager, notamment ceux permettant de guider l'utilisateur vers les services offerts par l'opérateur ; -pour chaque messager, on utilise au moins deux clés de chiffrement, une clé secrète générique partagée par tous les messagers pour le chiffrement et déchiffrement des messages et une clé personnelle propre à chaque utilisateur pour chiffrer et déchiffrer des commandes exécutables de reconfiguration et/ou rechargement d'unités ; -on porte à la connaissance de l'utilisateur, en particulier par affichage, une partie non chiffrée du message tandis qu'au moins l'autre partie chiffrée est stockée ; alternativement, on peut stocker le message entier (partie chiffrée et partie en clair), la partie en clair pouvant tre délivrée automatiquement ou sur action volontaire de

l'utilisateur après avertissement, par exemple sonore ; -le message comporte une entte comprenant son prix et sa catégorie pour classifier le message et son prix à l'aide d'une table de services d'information (SAV) disponible en permanence dans le messager ou dans la carte PSI ; -la plate-forme est apte à générer de nouvelles cles secretes generiques et/ou clés personnelles et à les transmettre de façon sécurisée par voie radio pour tre chargées dans un module de sécurité (PSAM) de chaque messager et/ou carte d'utilisateur ; -chaque profil utilisateur est stocké dans la plate-forme centrale ainsi que dans le module de sécurité du messager et/ou carte d'utilisateur (PSIM) ; -les messages chiffrés sont d'abord stockés dans une mémoire du messager, puis sur demande de l'utilisateur transféré au PSIM pour déchiffrement, puis délivrés déchiffrés à l'utilisateur, ledit compte étant débité avant le d6chiffrement par le PSIM ; le déchiffrement du message ne s'effectue pas nécessairement dans la PSIM ; cette dernière peut simplement transmettre au messager la clé « temporaire » permettant de déchiffrer un message donné et unique.

-le rechargement d'unités est effectué sur demande périodique de l'utilisateur auprès d'un centre de service et sur communication d'un identifiant ; -ledit centre de service tient à jour un indice/table de consommation périodique par messager et/ou par utilisateur ; -on commande l'arrt ou le fonctionnement du messager en cas de demande de rechargement insuffisant par unité de temps établi par chaque indice.

Description.

La description qui va suivre apporte des précisions et compléments à la demande de brevet FR 96 13370. Le module de sécurité applicatif décrit ci-après pourra tre compris dans le messager ou dans la carte. Il aura les caractéristiques détaillées dans le brevet en question.

Modification 1 : Le réseau d'émission des messages radio pourra tre connecté à une plate- forme de formatage des messages à envoyer. Cette plate-forme pourra également émettre des commandes interprétables par le microprocesseur du messager.

Cette plate-forme a les fonctions ci-après.

Conformément à l'invention, elle a pour fonction de chiffrer certains messages avant qu'ils ne soient transmis par voie radio. (Le chiffrement avant émission des messages est prévu dans la demande de brevet précitée mais on ne parle pas de la plate-forme). Les messages chiffrés pourront tre des messages numériques ou alphanumériques privés, adresses à un unique destinataire, ou bien pourront tre des informations payantes d'intért général (comme des informations sur la météorologie, le trafic, la bourse, etc). Les messages chiffrés par cette plate-forme pourront tre diffusés vers une adresse spécifique (vers un destinataire unique identifié par son adresse, ou « Capcode ») ou bien vers une adresse générique, afin tre reçus par tous les messagers calés sur la fréquence de l'opérateur émetteur du message (système « broadcast »).

Elle peut encore avoir pour fonction d'assurer le suivi et la gestion des clés sécrètes qui serviront à chiffrer les messages avant leur émission et à les déchiffrer à leur réception par le messager. Au niveau du messager, ces cles secretes seront stockées dans le module de s6curit6 applicatif 11 pourra exister deux classes de clés sécrètes : des clés secrètes uniques, propres à chaque module de sécurité, et une clé secrète générique, unique et commune à tous les modules de sécurité contenus dans tous les messagers d'un opérateur donné. La plate-forme pourra éventuellement générer de nouvelles clés sécrètes qui seront envoyées de façon sécurisée par voie radio pour tre chargées dans le module de sécurité.

Elle peut encore avoir pour fonction d'assurer le suivi du profil de chaque utilisateur. Chaque utilisateur pourra sélectionner auprès de son opérateur une liste de services auxquels il souhaite avoir accès. Cette information constituera le profil de l'abonné, et ce profil pourra conditionner l'accès à certaines informations payantes (l'abonné pourra ainsi décider de ne pas recevoir dans son messager d'informations

concernant un ou plusieurs sujet (s) donné (s)). Le profil de chaque abonné sera archivé dans la plate-forme de formatage des messages au niveau du réseau ainsi que dans une zone de mémoire du module de securite applicati£ Le module de sécurité applicatif réalise le filtrage des messages de service en fonction du profil-utilisateur qu'il contient. Ce profil contenu dans le module de sécurité applicatif pourra tre modifié à distance par opérateur grâce à des commandes exécutables par voie radio depuis la plate-forme de formatage.

Elle peut encore avoir pour fonction d'assurer le rechargement sécurisé à distance (par voie radio) d'un compteur contenu dans une zone de mémoire du module de sécurité utilisé dans le messager. Le compteur pourra tre rechargé à distance par l'envoi de messages exécutables émis depuis la plate-forme de formatage.

Elle peut également avoir la fonction d'assurer le suivi et la mise à jour des menus applicatifs affichés à l'écran du messager et stockés dans une zone de mémoire du module de sécurité. Différents menus et options pourront tre affichés à l'écran du messager (voir modification numéro 2 ci-dessous). Ces menus pourront tre contrôlés et modifiés depuis la plate-forme de formatage contenue dans le réseau d'émission des messages radio.

Modification 2 : Comme indiqué dans la demande de brevet précitée, le messager pourra contenir un module de securite applicatif. Ce module de sécurité applicatif pourra remplir les fonctions suivantes énumérées ci-après dans l'utilisation du messager.

Il peut contenir, dans sa zone de mémoire, un compteur rechargeable d'unités financières. La valeur financière contenue dans ce compteur pourra tre affichée et consultée à tout moment par l'utilisateur du messager.

Le rechargement du compteur peut se faire : -soit par l'insertion d'une carte à puce (à microprocesseur ou à mémoire) dans le messager, comme cela est décrit dans le brevet principal. La carte servant à recharger la valeur du compteur contenu dans le module de sécurité pourra tre insérée en permanence dans le messager ou uniquement de façon momentanée, le temps de

transférer une valeur financière donnée de la carte vers le compteur du module de securite.

-soit à distance, par voie radio, en envoyant depuis la plate-forme de formatage une commande de rechargement du compteur contenu dans le module de sécurité. Cette commande sera chiffrée par la plate-forme de formatage à l'aide d'une des clés sécrètes contenues dans la base de données des clés sécrètes et sera déchiffrée dans le module de sécurité à l'aide de la mme clé, contenue dans sa zone de mémoire.

Le module de sécurité peut contrôler l'accès de messages chiffrés. Les messages envoyés à travers la plate-forme de formatage pourront tre chiffrés avant leur émission (comme décrit dans la Modification 1) et stockés soit dans la mémoire du messager, soit dans la mémoire du module de sécurité. Ces messages pourront tre des messages privés ou bien des messages d'information générale (messages d'information dits communément message de Service à Valeur Ajoutée).

Les messages privés peuvent tre automatiquement déchiffrés par le module de sécurité (ou par le messager à l'aide des clés sécrètes contenues dans le module de sécurité) puis aff1ches après que le module de sécurité ait débité la valeur dudit message dans son compteur. Dans ce cas, si le crédit du compteur est inférieur à la valeur du message, le message pourra tre stocké sous forme chiffrée dans la mémoire du messager ou dans la mémoire du module de sécurité, sans avoir été préalablement affiché.

Les messages privés peuvent tre également déclenchés, dés leur réception dans le messager, un signal d'avertissement pour l'utilisateur qui aura alors la possibilité de consulter ledit message (et donc de faire déduire son prix de la valeur contenue dans le compteur du module de sécurité) ou bien de le refuser, et de 1'effacer de la mémoire du messager (ou du module de sécurité) sans avoir été consulté. Dans ce dernier cas, la valeur du message n'est pas débitée du compteur contenu dans le module de sécurité.

Les messages d'information générale (messages de Service à Valeur Ajoutée) seront stockés dès leur réception sous leur forme chiffrée soit dans la mémoire du messager, soit directement dans la mémoire du module de sécurité. Certains de ces

messages pourront contenir un ordre d'effacement de messages déjà stockés (par exemple s'il s'agit de l'actualisation d'une rubrique déjà contenue en mémoire). Ces messages d'information pourront contenir une partie de texte non chiffrée et affichable permettant à l'utilisateur de connaître le type d'information contenue (résultat sportif, tirage du loto, etc...).

L'entte du message pourra indiquer le type du message (catégorie) ainsi que son prix de consultation. Lorsque l'utilisateur souhaitera consulter une de ces informations générales contenues dans la mémoire du messager ou du module de sécurité, il pourra alors (à travers l'interface utilisateur du messager) donner l'ordre au messager de déchiffrer son contenu. Le prix du message sera d'abord débité de la valeur du compteur contenu dans le module de sécurité, et le message sera déchiffré soit par le messager (à l'aide de la clé secrète générique contenue dans le module de sécurité), soit par le module de sécurité lui mme. Le message déchiffré pourra tre stocké soit dans la mémoire du messager, soit dans la mémoire du module de sécurité.

Le module de sécurité peut contenir le profil de l'utilisateur tel que celui-ci aura été défini au préalable (au moment de la demande d'abonnement par exemple).

Le profil de l'utilisateur permettra de filtrer les informations générales reçues et d'éviter un encombrement de la mémoire disponible avec des informations sans intért pour l'utilisateur. Ainsi, si l'utilisateur n'est pas intéressé par un type d'information donné, par exemple : les informations financières, tous les messages d'information générale diffusés sous cet intitulé (qui apparait dans l'en-tte du message, comme décrit dans le point précèdent) ne seront pas stockés en mémoire. Comme vu dans la Modification 1, le profil d'utilisateur pourra tre modifié å distance par 1'envoi de commandes à distance dans le module de sécurité depuis la plate-forme de formatage.

Le module de sécurité peut contenir dans sa zone de mémoire, toutes les informations nécessaires à la personnalisation du messager. En effet, dans le cas ou le module de sécurité est prévu sous une forme extractible (par exemple : une carte à puce ou « mini-carte à puce » au format ID-000), le messager pourra tre fabriqué et distribué sous une forme complètement générique. Aucune information spécifique ne

sera contenue dans sa mémoire (aucun numéro de série, adresse de fréquence, « capcode » ne seront nécessaires). Les informations permettant de lier ce messager à un opérateur particulier (adresse de la fréquence d'opération, « capcodes ») seront intégralement contenues dans le module de sécurité. Le messager deviendra un produit totalement anonyme qui pourra tre distribué directement par le fabricant, sans avoir à passer par une étape de programmation de la mémoire (destinée à faire fonctionner le messager sur un réseau donné, pour un opérateur donné). L'utilisateur, qui aura obtenu de son opérateur un module de sécurité extractible lors de son abonnement (par exemple, une carte à puce ou « mini-carte à puce »), n'aura plus qu'à insérer le module en question dans le messager générique pour rendre ce dernier opératoire sur le réseau de son opérateur.

Le module de sécurité peut également contenir le détail des menus accessibles depuis l'interface utilisateur du messager. Ces menus pourront tre modifiés à distance par l'envoi par voie radio de commandes exécutables dans le module de sécurité.

L'invention a également pour objet de proposer un procédé permettant de savoir si l'utilisateur utilise régulièrement son messager, et donc s'acquitte financièrement du service. Comme il est probable que le messager soit donné gratuitement ou à un prix réduit, il est souhaitable en cas de non utilisation, de pouvoir le récupérer ou du moins interdire un quelconque usage. Ceci est nécessaire du fait du principe de fonctionnement unidirectionnel des messageurs.

Selon d'autres caractéristiques, on peut inciter l'utilisateur à effectuer un rechargement d'unités périodiquement auprès d'un centre de service par exemple sur communication d'un identifiant. A cet effet, on peut envoyer un message d'avertissement demandant à l'utilisateur de recharger ou de faire une action quelconque. Alternativement, sans avertissement, l'utilisateur sait qu'il doit recharger une somme minimale périodiquement.

Pour réaliser cette fonction, il est prévu que le centre de service comporte des moyens informatiques pour tenir à jour un indice ou une table de consommation périodique par messager. et/ou utilisateur.

Ces moyens informatiques ont la capacité de commander l'arrt ou le fonctionnement du messager en cas de demande de rechargement insuffisant par unité de temps établi par chaque indice ou pour toute autre raison. Ces moyens informatiques ont également la capacité d'empcher momentanément l'usage du messager pendant une phase de rechargement ou de reconfiguration.