有线无线并存 安全不可忽视

尽管目前消费者对于行动商务的接受是观望多于热络参与的，但许多企业以及研究机构、趋势预测专家却将电子商务的未来希望寄予行动商务之上；Gartner Group 的研究员Bob Egan 更将行动商务称为「电子商务的成长荷尔蒙」，将网络业者对于行动商务的殷殷期盼表露无疑。

行动商务真的这么迷人吗？其实，根据多项调查数据显示，对于消费者来说，目前使用WAP服务其实是麻烦多于方便，不仅因为带宽的限制使得WAP手机的功能有限，而且小小的手机若要输入数据供传送也不是那么便利；更令业者沮丧的是，根据德国电信的调查，目前拥有WAP手机的消费者，大约有三分之二以上的人根本没有去使用WAP所拥有的新功能，而是仍然将WAP手机当作一般移动电话来使用，问他们为什么，结果居然是因为对于WAP的功能无从着手起，所以就算了，反正也还没感受到他的魅力。

对于一般消费者是如此，那么对于企业用户呢？其实，一般说来，目前许多企业对于无线通信的期待应该是高于一般消费者的。试想想，拥有手机或是PDA的员工，当他身处外地要传送数据回公司时，没有时空限制的手机或PDA之类的工具，应该会比需要联机的个人计算机或笔记本电脑方便得多，何况就算有计算机设备，一时找不到提供网络联机的场所还真是没辄。另外，企业的客户想与该公司联系，或需要查询某些数据时，遇到上述相同问题时也同样期盼能有更方便的解决办法。

不过，问题来了。或许因为行动商务及无线上网还不如传统联机方式普及，目前大家都还处于热心了解无线网络功能、推出新产品或研究经营模式的状况中，对于可能有的安全问题还没有投注太多心力去关心。因此，近来许多网络安全专家纷纷郑重提出警告，希望大家在全身投入行动商务之前能先面对一个事实，那就是：无线上网与一般有在线网不可能独立存在，这两种上网方式或从事电子商务的过程必须有一些链接，才能将电子商务的效益发挥到最大；但要将两种上网方式串联之前，两者之间的安全漏洞必须得到应有的注意与解决。而且这个问题的解决已经到了刻不容缓的地步了。

SSL与MTLS的兼容问题

在网络上要确保传输数据的隐密与完整，使用SSL (Secure Sockets Layer) 来加密传输几乎已经变成一种常识了，SSL 也被公认是目前被最普遍使用且能保证一定程度安全的安全机制之一。既然是这样，是不是就可以把他搬到 WAP 上使用呢？

答案是否定的。因为SSL所常用的RSA加密技术，其所需耗用的CPU能量及内存空间都不是WAP手机所能负荷的。不过，因为无法照单全收，所以研究人员也为 WAP 发展出另外一套与 SSL 类似，但适用于 WAP 手机的 WTLS (Wireless Transport Layer Security)，其加密技术是使用能量需求小 RSA 许多的 ECC (elliptic-curve cryptography)，这样是不是就解决了呢？

可惜问题并没有因此结束，麻烦的地方在于 SSL 及 WTLS 这两种加密方式并不能兼容。但同时 WAP 的运作流程并不是永远停留在无线网络之中，往往是客户在使用 WAP 传输数据回企业端后，企业必须将其转换入一般有线的作业环境中继续完成服务。而被网络安全专家称之为「必须跨越的无线网络安全缺口」就在这里：经由 WTLS 加密的数据在进入企业的计算机匣门 (gateway) 后必须先经过解密，然后在瞬间转成 SSL 重新加密后，再以加密的姿态被送出匣门到达他的目的端。那个转换的瞬间大概只有数毫秒，对于我们一般人来说是微不足道的，但网络安全专家的忧虑是，这个对于一般人微不足道的数毫秒，对于技高一筹的有心黑客来说却是太足够了。

PKI与Smart Card的应用

至于适用于 WAP 的 PKI 机制，则虽然运作方式与有线网络类似，在应用加密技术以及电子签章的前提下，也同样需要公正第三者 CA 的参与，以对其所传输数据的不可否认性、完整性及身分确认等有一定程度的保障。所不同的是，相同于上述 SSL 的问题，WAP 的 PKI 机制运作也同样必须使用 ECC 加密技术，其最终的麻烦与风险问题是相同的。

另外，某些厂商例如 Ericcson，在传输数据的不可否认性功能上采用 Smart Card 的方式，将用户的私钥 (Private Key) 以及电子签章储存于 Smart card 中，在使用上是比较方便的。不过缺点是，万一内键 Smart Card 的手机或 PDA 之类设备被偷就麻烦了。虽然多数厂商在 Smart Card 的应用上还必须搭配输入个人代码及密码才能启动，不过如果设备被盗取相对上容易，对于安全的维护也是另一种风险 (起码比桌面计算机被偷容易多了)，况且个人代码及密码被破解也不是不可能的事情。

那么，个人代码及密码这端若用生物辨识法是否能得到较完满的解决呢？起码每个人的指纹或声纹等的「长相」都是独一无二的，安全性应该可以提高了。没错，这是一个大家都期待的好方法，不过要让生物辨识设备有个合理又能让市场接受的价格，据专家预测应该 2004 年就可以实现了。只是到时是不是又会有指纹数据库被侵入窃取的问题，就留待专家研究解决了。

另外，目前内键Smart Card 的方式只适用于GSM (Global System for Mobile Communications)系统，而GSM系统目前只被广泛使用于欧洲及亚洲部分国家，在美国则相对弱势，这也是一个极待克服的问题。

行动商务 取决3G

据称，上述WAP所带来的麻烦都将在 3G (third-generation wireless technology)普遍后迎刃而解。因为，3G将是以 IP 为基础的通讯系统，拥有更强大的能量及记忆功能，有更足够的带宽让 SSL 可以直接应用，可免除与 WTLS 间转换的风险。届时，结合 Smart Card 及生物辨识技术的 3G 手机，将可能在行动商务的领域中所向披靡，我们且拭目以待。

(作者任职于太颖电子商务顾问公司)