課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について株式会社レピダム林達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
自己紹介  名前  林達也 ( @lef )  所属  株式会社レピダム代表取締役  https://lepidum.co.jp/  OpenIDファウンデーションジャパンプロデューサー  Identity Conference( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデンティティ、プライバシー  ソフトウェアセキュリティ, 脆弱性  ネットワーク技術  プログラミング言語処理系

"認証なくして課金なし" 地下鉄に乗る時とかに使うイメージ

Token  Token とは？  「硬貨(coin)の代わりに用いられる代用貨幣のこと。」  http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3  Bearer Token とは？  http://idmlab.eidentity.jp/2013/09/bearer-token.html  " ということで、崎村さんによる解説です。  Bearer は「持参人払い」から来ている  ※大辞林によると「持参人払い＝小切手などの証書で，特定の者を権利者として指定せず，それを持参した人に支払うこと」  つまり、トークンを持ってきた人に対して支払う（API 利用を許可する）、という意味である  例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケットは持ってきた人が観劇できる。この演劇のチケットが Bearer である "  Access Token とは？  "Access tokens are credentials used to access protected resources." (RFC6749)  Credentials とは？ -> 証明, 資格  Credit とは？ -> 信頼, 信用

AuthNとAuthZ  AutheNtication(認証)とAuthoriZation(認可) は別のもの！  混乱の原因例  OAuth2.0はOAuthZです！(認可)  OpenID ConnectはAuthNです(認証)

OAuth2.0  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在はトークンのフォーマットや周辺エンドポイント等の議論中

 Webにおける次世代の認証技術  OAuth2.0ベース  旧来のOpenID 2.0とは別物  Second Implementer’s Drafts Approved! OpenID Connect

Next Identity Technology  UMA (User-Managed Access)  IETFで標準化予定  http://kantarainitiative.org/confluence/ display/uma/Home  Account Chooser  http://ac.openid.net/  http://accountchooser.com/  Google等で一部試験的に公開中  HTTP Authentication  HTTP層の認証を実用可能なものに  IETFで標準化中  Mutual, HOBA, SCRAM  FIDO Alliance  Forget Passwords!  http://www.fidoalliance.org/

WebPayments  W3C WebPayments Community Group  Working Groupではない  Webの課金の標準化を目指している  Use Cases  Proximity payments  Remote payments  Peer to Peer payments  3つのML  public-webpayments  public-webpayments-contrib (0通)  internal-webpayments (-)  PaySwarm  元になった提案

Secure Elements API  System Applications Working Group  Secure Elements(?)  Smart card  SIM/UICC card  Smart/Secure microSD cards  Embedded Secure Elements  Android Key Store? (in Android 4.3)  iOS Keychain Services? (in iOS 2.0)  in CPU...? 「Type A／B方式のおサイフケータイ対応サービスをご利用の際に必要な、ドコモ miniUIMカード（ピンク色）の提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html

Really? / in real world...

未解決の課題：UIセキュリティ祖父、祖母、息子、娘。身近な全ての人達が安全にInternetを使える、シンプルで誰にでもわかるような信頼の仕組みを実現したい！

Join us!  少しでも世界を変えたい仲間を募集しています！  フォーラム標準化活動  Digital Identity / 認証・認可  Software Security / Internet Security  ネットワークソフトウェア  Software Defined Network  Wi-Fi  言語処理系  etc...

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

HAYASHI, Tatsuya ( @lef )

More Decks by HAYASHI, Tatsuya ( @lef )

Other Decks in Technology

Featured

Transcript

https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/