課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

Transcript

1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

   課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25

2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   自己紹介  名前  林 達也 ( @lef )  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーション ジャパン プロデューサー  Identity Conference( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデン ティティ、プライバシー  ソフトウェアセキュリティ, 脆弱性  ネットワーク技術  プログラミング言語処理 系

3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   "認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ

4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   Token  Token とは？  「硬貨(coin)の代わりに用いられる代用貨幣のこと。」  http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3  Bearer Token とは？  http://idmlab.eidentity.jp/2013/09/bearer-token.html  " ということで、崎村さんによる解説です。  Bearer は「持参人払い」から来ている  ※大辞林によると「持参人払い＝小切手などの証書で，特定の者を権 利者として指定せず，それを持参した人に支払うこと」  つまり、トークンを持ってきた人に対して支払う（API 利用を許可する）、という意味である  例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である "  Access Token とは？  "Access tokens are credentials used to access protected resources." (RFC6749)  Credentials とは？ -> 証明, 資格  Credit とは？ -> 信頼, 信用

5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   AuthNとAuthZ  AutheNtication(認証)とAuthoriZation(認可) は別のもの！  混乱の原因例  OAuth2.0はOAuthZです！(認可)  OpenID ConnectはAuthNです(認証)

6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   OAuth2.0  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在はトークンのフォーマットや 周辺エンドポイント等の議論中

7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Webにおける 次世代の認証技術  OAuth2.0ベース  旧来のOpenID 2.0とは 別物  Second Implementer’s Drafts Approved! OpenID Connect
8. None

9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

   Next Identity Technology  UMA (User-Managed Access)  IETFで標準化予定  http://kantarainitiative.org/confluence/ display/uma/Home  Account Chooser  http://ac.openid.net/  http://accountchooser.com/  Google等で一部試験的に公開中  HTTP Authentication  HTTP層の認証を実用可能なものに  IETFで標準化中  Mutual, HOBA, SCRAM  FIDO Alliance  Forget Passwords!  http://www.fidoalliance.org/

10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    WebPayments  W3C WebPayments Community Group  Working Groupではない  Webの課金の標準化を目指している  Use Cases  Proximity payments  Remote payments  Peer to Peer payments  3つのML  public-webpayments  public-webpayments-contrib (0通)  internal-webpayments (-)  PaySwarm  元になった提案

11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Secure Elements API  System Applications Working Group  Secure Elements(?)  Smart card  SIM/UICC card  Smart/Secure microSD cards  Embedded Secure Elements  Android Key Store? (in Android 4.3)  iOS Keychain Services? (in iOS 2.0)  in CPU...? 「Type A／B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード（ピンク色）の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html

12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Really? / in real world...

13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    未解決の課題：UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい！

14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Join us!  少しでも世界を変えたい 仲間を募集しています！  フォーラム標準化活動  Digital Identity / 認証・認可  Software Security / Internet Security  ネットワークソフトウェア  Software Defined Network  Wi-Fi  言語処理系  etc...