Financial API (FAPI) のバックアップ(No.9)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Financial API (FAPI) へ行く。
  • 1 (2017-12-09 (土) 17:04:01)
  • 2 (2017-12-09 (土) 17:17:57)
  • 3 (2017-12-11 (月) 12:48:44)
  • 4 (2017-12-11 (月) 14:51:58)
  • 5 (2017-12-11 (月) 17:11:46)
  • 6 (2017-12-12 (火) 10:05:13)
  • 7 (2017-12-18 (月) 21:37:00)
  • 8 (2017-12-20 (水) 15:19:30)
  • 9 (2018-02-03 (土) 18:50:14)
  • 10 (2018-02-03 (土) 20:35:31)
  • 11 (2018-02-04 (日) 12:35:59)
  • 12 (2018-02-04 (日) 15:29:18)
  • 13 (2018-02-16 (金) 20:02:36)
  • 14 (2018-03-05 (月) 10:57:45)
  • 15 (2018-03-05 (月) 16:28:02)
  • 16 (2018-03-06 (火) 13:00:55)
  • 17 (2018-03-07 (水) 09:46:49)
  • 18 (2018-03-16 (金) 17:31:25)
  • 19 (2018-03-16 (金) 22:01:19)
  • 20 (2018-03-17 (土) 18:11:47)
  • 21 (2018-03-20 (火) 14:39:08)
  • 22 (2018-03-20 (火) 21:39:40)
  • 23 (2018-08-22 (水) 15:23:12)
  • 24 (2018-10-02 (火) 14:37:58)
  • 25 (2018-10-09 (火) 22:13:10)
  • 26 (2018-10-10 (水) 12:07:11)
  • 27 (2018-10-10 (水) 18:07:19)
  • 28 (2018-10-11 (木) 11:22:15)
  • 29 (2018-10-27 (土) 16:05:57)
  • 30 (2018-10-28 (日) 17:26:36)
  • 31 (2019-01-17 (木) 12:46:03)
  • 32 (2019-01-23 (水) 09:16:45)
  • 33 (2019-02-05 (火) 21:09:16)
  • 34 (2019-03-29 (金) 15:33:07)
  • 35 (2019-05-14 (火) 11:08:58)
  • 36 (2019-11-29 (金) 20:42:13)
  • 37 (2020-02-23 (日) 15:46:18)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

OpenID Financial API (FAPI) WGにおいて、

• PSD2 や Open Banking Standard を考慮し、
• ISO/TC 68（Financial services）への提出も視野に入れながら、

以下のような、金融 API の標準仕様群の策定作業が進められている。

目的 †

勧告を提供する。 †

下記に関する勧告を提供（チェックリスト）

• セキュリティ＋プライバシー・プロファイル
• JSON data schema, REST APIs

以下を可能にする。 †

銀行・証券口座およびクレジットカード口座を考慮対象とする。

• アプリケーションが口座を参照
• アプリケーションが口座を更新
• 利用者がセキュリティとプライバシー設定をする

背景 †

金融向けセキュリティ・プロファイルが必要 †

OAuth2.0はフレームワークなので用途に合わせたセキュリティ・プロファイルが必要。

• 基本実装でOK
  • ソーシャルアプリにおけるデータ共有
  • 閉回路の産業アプリケーション

• 金融機関APIのセキュリティ・プロファイル
  • Read Only API用セキュリティ・プロファイル
  • Read and Write API用セキュリティ・プロファイル

金融のIdentity Federation APIの使用例 †

1. 口座開設（KYCを含む）
2. 個人資産管理
3. 支払い、送金
4. 融資申し込み
5. AIによるポートフォリオ管理（出所）

PUSH †

• INDUSTRY PUSH
  • FS-ISAC（Financial Services - Information Sharing and Analysis Center）
    の定める継続的データAPI（Durable Data API）に関する委員会。
  • (Source) FS-ISAC FSDDA WG OpenID Financial API

• REGULATORY PUSH
  • EU Payment services (PSD 2) 2017年末までにAPIの可用性を要求.
  • (Source) ODI OBWG: The Open Banking Standard (2016) JSON REST OAuth OpenID Connect

• Regulatory Pressures （規制圧力）
  • リリース1 - 12ヶ月以内に完了させる。
    密接に範囲を絞ったOpen Banking APIのローンチにより、
    オープンなデータのselect, read-accessの使用が可能になった。

• リリース2 - 2017年第1四半期までに完成させる。
  midata（第三者の個人顧客データ）への読み取りアクセス（読み取り専用）

• リリース3 - 2018年第1四半期までに完成させる。
  midata（第三者の企業顧客データ）への読み取りアクセス（読み取り専用）

• リリース4 - 2019年1月末までに完了する
  • 高リスク - 完全な読み書きアクセス。
    
  • 最小midataはcsvファイル。

考慮事項 †

金融機関API向けのプロファイルは 全てを解決する必要がある。

1 Client・1 Authorization Server †

• 1 Clientは、 1 Authorization Serverとのみ関係を持つ。
  （リダイレクト・エンドポイントを分け、クライアントの論理分割）

• 個人財務管理ソフトウェア/クライアントの場合、
  • 複数のAuthorization Serverが必然的に必要。
  • バーチャル・セパレーションを行う。
    Authorization Server毎に異なるRedirectエンドポイントを設ける。

メッセージ認証 †

• UserAgent?（ブラウザなど）を介した通信は、UserAgent?がTLS終端になり、保護されない。
• メッセージは変更される恐れがあり、また、メッセージは汚染チェックされずに使われることが多い。
• このため、FAPIでは、メッセージ認証を必要としている。

メッセージの種類 †

• 認可リクエスト
  • 送信者：Client
  • 受信者：Authorization Server

• 認可レスポンス
  • 送信者：Authorization Server
  • 受信者：Client

• アクセストークン・リクエスト
  • 送信者：Client
  • 受信者：Authorization Server

• アクセストークン・レスポンス
  • 送信者：Authorization Server
  • 受信者：Client

メッセージ自体の認証 †

• リクエスト
  • response_type
  • client_id
  • redirect_uri
  • scope
  • state

• レスポンス
  • code
  • state

メッセージ送信者の認証 †

TLS終端のUserAgent?がRedirectで中継する、メッセージの送信元の認証

メッセージ受信者の認証 †

• TLS終端のUserAgent?がRedirectで中継する、メッセージの受信先の認証
• 同上だが、特に、Redirect先のメッセージ受信先に注意が必要。
  • code
  • token

メッセージ宛先認証の問題 †

ユーザー認証 †

• 利用者（Resource Owner）の認証
• OAuth2では認証が

メッセージの秘匿性 †

• トークン
  • フィッシング攻撃
  • リプレイ攻撃

機能 †

基準 †

(a) Unique Source Identifier（ユニークなソース識別子 †

(b) Protocol + version identifier（プロトコル + バージョン + msg識別子 †

(c) Full list of actor/roles（人物/役割の完全なリスト †

(d) Message Authentication（改ざんされていないメッセージ †

AS-IS / TO-BE †

AS-IS †

• RFC6749は何をしているか？

  #	Message	Parameters	(a) Unique Source Identifier （ユニークなソース識別子）	(b) Protocol + version identifier （プロトコル+バージョン識別子）	(c) Full list of actor/roles （人物/役割の完全なリスト）	(d) Message Authentication （改ざんされていないメッセージ）
  1	Authorization Request	・response_type ・client_id ・redirect_uri ・scope ・state	Client ID is not globally unique. Tampering possible. クライアントIDはグローバルに一意ではありません。 改ざん可能です。	OK, but it is not integrity protected. しかし、それは完全性保護されていません。	No.	No.
  2	Authorization Response	・code ・state ・other extension parameters	No source identifier （レスポンス中に）ソース識別子なし
  3	Token Request	・grant_type ・code ・redirect uri ・client_id/client_secret	Client ID is not globally unique. Tampering possible. クライアントIDはグローバルに一意ではありません。 改ざん可能です。	OK (as long as there is no OAuth 3.0) （OAuth 3.0が存在しない限り）	No.	OK.
  4	Token Response	・access_token ・token_type ・expires_in ・refresh_token others	No source identifier （レスポンス中に）ソース識別子なし

• RFC6749の認証への対応状況

  #	メッセージ	メッセージ送信者の認証	メッセージ受信者の認証	メッセージ自体の認証
  1	認可リクエスト	Indirect（間接）	None（なし）	None（なし）
  2	認可レスポンス	None（なし）	None（なし）	None（なし）
  3	アクセストークン・リクエスト	Weak（弱い）	Good（良い）	Good（良い）
  4	アクセストークン・レスポンス	Good（良い）	Good（良い）	Good（良い）

TO-BE †

• FAPIによる対策
  • 認証要求・応答の種類とセキュリティ・レベル

    Part	セキュリティ・レベル	機能セット	適用
    Part 2	高い	JWS Authz Req w/Hybrid Flow	認可要求の保護
    		Hybrid Flow (秘密のクライアント) stateインジェクションの回避のために、‘s_hash’ を含む。	認可応答の保護
    Part 1		Code Flow (秘密のクライアント) + PKCE + MTLS	・code injectionへの対応 ・長期Bearer Tokenの排除
    -		Code Flow (秘密のクライアント)	クライアント認証
    -		Implicit Flow	クライアント認証無し
    -	低い	Plain OAuth	Anonymous

• トークンの種類とセキュリティ・レベル

  Part	セキュリティ・レベル	トークンの種類	適用
  Part 2	高い	記名式トークン (Sender Constrained Token)	発行を受けた者しかトークンが利用できない（＝飛行機のチケット）
  Part 1	低い	持参人トークン (Bearer Token)	盗難されたトークンも利用できる（＝電車の切符）

• FAPIによる結果
  • 基準

    #	Message	Parameters	(a) Unique Source Identifier （ユニークなソース識別子）	(b) Protocol + version identifier （プロトコル+バージョン識別子）	(c) Full list of actor/roles （人物/役割の完全なリスト）	(d) Message Authentication （改ざんされていないメッセージ）
    1	Authorization Request	・response_type ・client_id ・redirect_uri ・scope ・state	Unique redirect_uri + client_id ユニークなredirect_uriとclient_id	OK (Unique Parameter List)	(a) + state as the UA identifier / TBID as UA identifier	Signing by JWT Secured Authorization Request (JAR)
    2	Response code	・state ・other extension parameters	Unique redirect_uri ユニークなredirect_uri		(a) + client_id + state as the UA identifier / TBID as UA identifier	Signing by ID Token + s_hash
    3	Token Request	・grant_type ・code ・redirect_uri ・client_id/client_secret	Unique redirect_uri + client_id ユニークなredirect_uriとclient_id	OK (Unique Parameter List)	(a) + state as the UA identifier / TBID as UA identifier	TLS Protected
    4	Token Response	・access_token ・token_type ・expires_in ・refresh_token ・others	redirect_uri		(a) + client_id + state as the UA identifier / TBID as UA identifier

• 認証

  #	メッセージ	送信者認証	受信者認証	メッセージ認証
  1	認可リクエスト	Request Object	Request Object	Request object
  2	認可レスポンス	Hybrid Flow	Hybrid Flow	Hybrid Flow
  3	アクセストークン・リクエスト	Good	Good	Good
  4	アクセストークン・レスポンス	Good	Good	Good

仕様 †

Part 1: Read Only API Security Profile †

• Draft-04: Financial Services – Financial API - Part 1: Read-Only API Security Profile
  http://openid.net/specs/openid-financial-api-part-1.html

  FAPI Read Onlyセキュリティ・プロファイル

要約 †

安全なフローを使用する。

• フロー
  • Authorization Code
  • OAuth PKCE
  • OAuth 2.0 Token Revocation

• 通信
  • SSL/TLS
  • client_id + redirect_uri（完全一致）

• 認証
  • ユーザ：LoA 2
  • クライアント：
    追加のクライアント認証の実装が必要。
    • JWT Client Assertion
    • Mutual TLS

• トークン種類：Bearer Token

詳細 †

• IDトークン署名の鍵のエントロピーがアルゴリズム毎に規定されている。

• access_token発行
  • エントロピーは 128 ビット以上
  • ともに、付与されたscopeの情報を返す。

原文読んで書く †

Part 2: Read and Write API Security Profile †

• Draft-04: Financial Services – Financial API - Part 2: Read and Write API Security Profile
  http://openid.net/specs/openid-financial-api-part-2.html

  FAPI Read and Writeセキュリティ・プロファイル

要約 †

送信者・受信者・メッセージ認証を強化

• フロー
  OpenID ConnectのHybrid Flow
  • response_type
    • code id_token
    • code id_token token
  • IDトークン
    • クレーム追加（at_hash、c_hash）
    • JWS署名（PS256, ES256） ＋ 暗号化

• 通信
  • SSL/TLS
  • client_id + redirect_uri（完全一致）

• 認証：LoA 3
• トークン種類：記名式トークン

詳細 †

• JWT Secured Authorization Request (JAR)のサポート（必須ではない）

• トークン所有者とトークンの紐付け
  • confidential クライアント
    • Mutual TLS
    • トークン・バインディング
  • public クライアント
    • トークン・バインディング必須

原文読んで書く †

Part X: Client Initiated Backchannel Authentication Profile †

要約 †

UK OBIE（Open Banking Implementation Entity）からの寄付待ち。

詳細 †

原文読んで書く †

Part 3: Open Data API †

要約 †

詳細 †

原文読んで書く †

Part 4: Protected Data API and Schema - Read only †

要約 †

• 銀行口座
  
  • などを参考に作成
    • US FS-ISAC DDA
    • OpenBank? Project
    • Figo
  • UK OBIEからの寄付待ち。

• 証券口座
  現在NRIで試案作成中

詳細 †

原文読んで書く †

Part 5: Protected Data API and Schema - Read and Write †

要約 †

• 同上
• Scopeではなく、Claims Requestを使うことで、より詳細・柔軟な認可を取得。

詳細 †

原文読んで書く †

技術 †

クライアント認証 †

Mutual TLS †

https://tools.ietf.org/html/draft-ietf-oauth-mtls-05

相互TLS証明書に基づく認証を利用するクライアント認証の追加メカニズム

トークン・バインディング †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-05

メッセージ認証 †

JWT Secured Authorization Request (JAR) †

ユーザ認証 †

LoA 認定プログラム †

• 学認 LoA 1認定プログラム - 国立情報学研究所
  http://www.nii.ac.jp/userimg/6_gakunin_loa1_2013-11_v2.pdf

参考 †

OpenID †

• OpenID Foundation website
  http://openid.net

OpenID Financial API (FAPI) WG †

NRI、Microsoft、Intuitが中心となり組織されたWG。

• Financial API (FAPI) WG | OpenID
  http://openid.net/wg/fapi/

• Financial API | OpenID
  http://openid.net/tag/financial-api/

• openid / fapi — Bitbucket
  https://bitbucket.org/openid/fapi/

nat †

• slideshare https://www.slideshare.net/nat_sakimura/presentations

• OpenID Foundation Foundation Financial API (FAPI) WG
  https://www.slideshare.net/nat_sakimura/openid-foundation-foundation-financial-api-fapi-wg-63097855

• Financial Grade OAuth & OpenID Connect
  https://www.slideshare.net/nat_sakimura/financial-grade-oauth-openid-connect

• API Days 2016 Day 1: OpenID Financial API WG
  https://www.slideshare.net/nat_sakimura/api-days-2016-day-1-openid-financial-api-wg

• OpenID Foundation FAPI WG: June 2017 Update
  https://www.slideshare.net/nat_sakimura/openid-foundation-fapi-wg-june-2017-update

• 金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
  https://www.slideshare.net/nat_sakimura/api-openid-financial-api-fapi-wg

• Introduction to the FAPI Read & Write OAuth Profile
  https://www.slideshare.net/nat_sakimura/introduction-to-the-fapi-read-write-oauth-profile

• 金融APIに求められるセキュリティ～APIDays Paris講演より
  2017年2月号｜金融ITフォーカス｜刊行物｜NRI Financial Solutions
  http://fis.nri.co.jp/ja-JP/publication/kinyu_itf/backnumber/2017/02/201702_8.html

その他 †

• Financial API 実装の技術課題 - Qiita
  https://qiita.com/TakahikoKawasaki/items/48a9d22205f77db59726

• OpenID BizDay? で金融 API の動向について聞いてきた - TMD45'β'LOG!!!
  http://blog.tmd45.jp/entry/2017/08/02/011504

• FAPI Security について聞いてきた話（2017/08/18 社内勉強会）
  https://www.slideshare.net/tmd45/fapi-security-20170818

OpenID Certification | OpenID †

http://openid.net/certification/

• 仕様が正しく実装されているかどうか確認できる。

• オンライン提供されているテスト・スイートを使う。

• 結果をSelf Certify して登録・公開
  → FTC法５条の配下に入る。これによって信頼性を担保。

• ログも公開されるので、虚偽の申告は、他者が指摘可能。

• 現在はOP Certification, RP Certificationが正式提供中。

• FAPIにおいても、同様のスキームでテスト可能にする予定。

---

Tags: :認証基盤, :クレームベース認証

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.094 sec.