Upgrade to Pro — share decks privately, control downloads, hide ads and more …

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
4
850

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

「第42回 HTML5とか勉強会」 2013/9/25 ( http://atnd.org/events/43538 ) 発表資料 #html5j

HAYASHI, Tatsuya ( @lef )

September 25, 2013
Tweet

More Decks by HAYASHI, Tatsuya ( @lef )

See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.3k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
890
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
390
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
160
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
130
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
66
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
66
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
320
Online Identity Workshop Vol. 1
lef
0
93

Other Decks in Technology

See All in Technology
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
980
一度 Expo の採用を断念したけど、 再度 Expo の導入を検討している話
ichiki1023
1
170
偶然 × 行動で人生の可能性を広げよう / Serendipity × Action: Discover Your Possibilities
ar_tama
1
1.1k
モノレポ開発のエラー、誰が見る?Datadog で実現する適切なトリアージとエスカレーション
biwashi
6
810
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
360
Data-centric AI入門第6章:Data-centric AIの実践例
x_ttyszk
1
410
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
110
利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names
nttcom
2
190
PHPカンファレンス名古屋-テックリードの経験から学んだ設計の教訓
hayatokudou
2
290
N=1から解き明かす AWS ソリューションアーキテクトの魅力
kiiwami
0
130
運用しているアプリケーションのDBのリプレイスをやってみた
miura55
1
720
開発スピードは上がっている…品質はどうする? スピードと品質を両立させるためのプロダクト開発の進め方とは #DevSumi #DevSumiB / Agile And Quality
nihonbuson
2
2.9k

Featured

See All Featured
The Invisible Side of Design
smashingmag
299
50k
Mobile First: as difficult as doing things right
swwweet
223
9.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
A Tale of Four Properties
chriscoyier
158
23k
How to Think Like a Performance Engineer
csswizardry
22
1.3k
Being A Developer After 40
akosma
89
590k
GitHub's CSS Performance
jonrohan
1030
460k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
Making Projects Easy
brettharned
116
6k
Six Lessons from altMBA
skipperchong
27
3.6k
Done Done
chrislema
182
16k

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

    課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25

  2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    自己紹介  名前  林 達也 ( @lef )  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーション ジャパン プロデューサー  Identity Conference( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデン ティティ、プライバシー  ソフトウェアセキュリティ, 脆弱性  ネットワーク技術  プログラミング言語処理 系

  3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    "認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ

  4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Token  Token とは?  「硬貨(coin)の代わりに用いられる代用貨幣のこと。」  http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3  Bearer Token とは?  http://idmlab.eidentity.jp/2013/09/bearer-token.html  " ということで、崎村さんによる解説です。  Bearer は「持参人払い」から来ている  ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」  つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である  例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である "  Access Token とは?  "Access tokens are credentials used to access protected resources." (RFC6749)  Credentials とは? -> 証明, 資格  Credit とは? -> 信頼, 信用

  5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    AuthNとAuthZ  AutheNtication(認証)とAuthoriZation(認可) は別のもの!  混乱の原因例  OAuth2.0はOAuthZです!(認可)  OpenID ConnectはAuthNです(認証)

  6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    OAuth2.0  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在はトークンのフォーマットや 周辺エンドポイント等の議論中

  7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

     Webにおける 次世代の認証技術  OAuth2.0ベース  旧来のOpenID 2.0とは 別物  Second Implementer’s Drafts Approved! OpenID Connect
  8. None

  9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Next Identity Technology  UMA (User-Managed Access)  IETFで標準化予定  http://kantarainitiative.org/confluence/ display/uma/Home  Account Chooser  http://ac.openid.net/  http://accountchooser.com/  Google等で一部試験的に公開中  HTTP Authentication  HTTP層の認証を実用可能なものに  IETFで標準化中  Mutual, HOBA, SCRAM  FIDO Alliance  Forget Passwords!  http://www.fidoalliance.org/

  10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    WebPayments  W3C WebPayments Community Group  Working Groupではない  Webの課金の標準化を目指している  Use Cases  Proximity payments  Remote payments  Peer to Peer payments  3つのML  public-webpayments  public-webpayments-contrib (0通)  internal-webpayments (-)  PaySwarm  元になった提案

  11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Secure Elements API  System Applications Working Group  Secure Elements(?)  Smart card  SIM/UICC card  Smart/Secure microSD cards  Embedded Secure Elements  Android Key Store? (in Android 4.3)  iOS Keychain Services? (in iOS 2.0)  in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html

  12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Really? / in real world...

  13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!

  14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Join us!  少しでも世界を変えたい 仲間を募集しています!  フォーラム標準化活動  Digital Identity / 認証・認可  Software Security / Internet Security  ネットワークソフトウェア  Software Defined Network  Wi-Fi  言語処理系  etc...