有線無線並存 安全不可忽視

儘管目前消費者對於行動商務的接受是觀望多於熱絡參與的，但許多企業以及研究機構、趨勢預測專家卻將電子商務的未來希望寄予行動商務之上；Gartner Group 的研究員Bob Egan 更將行動商務稱為「電子商務的成長荷爾蒙」，將網路業者對於行動商務的殷殷期盼表露無疑。

行動商務真的這麼迷人嗎？其實，根據多項調查數據顯示，對於消費者來說，目前使用WAP服務其實是麻煩多於方便，不僅因為頻寬的限制使得WAP手機的功能有限，而且小小的手機若要輸入資料供傳送也不是那麼便利；更令業者沮喪的是，根據德國電信的調查，目前擁有WAP手機的消費者，大約有三分之二以上的人根本沒有去使用WAP所擁有的新功能，而是仍然將WAP手機當作一般行動電話來使用，問他們為什麼，結果居然是因為對於WAP的功能無從著手起，所以就算了，反正也還沒感受到他的魅力。

對於一般消費者是如此，那麼對於企業用戶呢？其實，一般說來，目前許多企業對於無線通訊的期待應該是高於一般消費者的。試想想，擁有手機或是PDA的員工，當他身處外地要傳送資料回公司時，沒有時空限制的手機或PDA之類的工具，應該會比需要連線的個人電腦或筆記型電腦方便得多，何況就算有電腦設備，一時找不到提供網路連線的場所還真是沒輒。另外，企業的客戶想與該公司聯繫，或需要查詢某些資料時，遇到上述相同問題時也同樣期盼能有更方便的解決辦法。

不過，問題來了。或許因為行動商務及無線上網還不如傳統連線方式普及，目前大家都還處於熱心了解無線網路功能、推出新產品或研究經營模式的狀況中，對於可能有的安全問題還沒有投注太多心力去關心。因此，近來許多網路安全專家紛紛鄭重提出警告，希望大家在全身投入行動商務之前能先面對一個事實，那就是：無線上網與一般有線上網不可能獨立存在，這兩種上網方式或從事電子商務的過程必須有一些連結，才能將電子商務的效益發揮到最大；但要將兩種上網方式串聯之前，兩者之間的安全漏洞必須得到應有的注意與解決。而且這個問題的解決已經到了刻不容緩的地步了。

SSL與MTLS的相容問題

在網路上要確保傳輸資料的隱密與完整，使用SSL (Secure Sockets Layer) 來加密傳輸幾乎已經變成一種常識了，SSL 也被公認是目前被最普遍使用且能保證一定程度安全的安全機制之一。既然是這樣，是不是就可以把他搬到 WAP 上使用呢？

答案是否定的。因為SSL所常用的RSA加密技術，其所需耗用的CPU能量及記憶體空間都不是WAP手機所能負荷的。不過，因為無法照單全收，所以研究人員也為 WAP 發展出另外一套與 SSL 類似，但適用於 WAP 手機的 WTLS (Wireless Transport Layer Security)，其加密技術是使用能量需求小 RSA 許多的 ECC (elliptic-curve cryptography)，這樣是不是就解決了呢？

可惜問題並沒有因此結束，麻煩的地方在於 SSL 及 WTLS 這兩種加密方式並不能相容。但同時 WAP 的運作流程並不是永遠停留在無線網路之中，往往是客戶在使用 WAP 傳輸資料回企業端後，企業必須將其轉換入一般有線的作業環境中繼續完成服務。而被網路安全專家稱之為「必須跨越的無線網路安全缺口」就在這裡：經由 WTLS 加密的資料在進入企業的電腦匣門 (gateway) 後必須先經過解密，然後在瞬間轉成 SSL 重新加密後，再以加密的姿態被送出匣門到達他的目的端。那個轉換的瞬間大概只有數毫秒，對於我們一般人來說是微不足道的，但網路安全專家的憂慮是，這個對於一般人微不足道的數毫秒，對於技高一籌的有心駭客來說卻是太足夠了。

PKI與Smart Card的應用

至於適用於 WAP 的 PKI 機制，則雖然運作方式與有線網路類似，在應用加密技術以及電子簽章的前提下，也同樣需要公正第三者 CA 的參與，以對其所傳輸資料的不可否認性、完整性及身分確認等有一定程度的保障。所不同的是，相同於上述 SSL 的問題，WAP 的 PKI 機制運作也同樣必須使用 ECC 加密技術，其最終的麻煩與風險問題是相同的。

另外，某些廠商例如 Ericcson，在傳輸資料的不可否認性功能上採用 Smart Card 的方式，將使用者的私鑰 (Private Key) 以及電子簽章儲存於 Smart card 中，在使用上是比較方便的。不過缺點是，萬一內鍵 Smart Card 的手機或 PDA 之類設備被偷就麻煩了。雖然多數廠商在 Smart Card 的應用上還必須搭配輸入個人代碼及密碼才能啟動，不過如果設備被盜取相對上容易，對於安全的維護也是另一種風險 (起碼比桌上型電腦被偷容易多了)，況且個人代碼及密碼被破解也不是不可能的事情。

那麼，個人代碼及密碼這端若用生物辨識法是否能得到較完滿的解決呢？起碼每個人的指紋或聲紋等的「長相」都是獨一無二的，安全性應該可以提高了。沒錯，這是一個大家都期待的好方法，不過要讓生物辨識設備有個合理又能讓市場接受的價格，據專家預測應該 2004 年就可以實現了。只是到時是不是又會有指紋資料庫被侵入竊取的問題，就留待專家研究解決了。

另外，目前內鍵Smart Card 的方式只適用於GSM (Global System for Mobile Communications)系統，而GSM系統目前只被廣泛使用於歐洲及亞洲部分國家，在美國則相對弱勢，這也是一個極待克服的問題。

行動商務　取決3G

據稱，上述WAP所帶來的麻煩都將在 3G (third-generation wireless technology)普遍後迎刃而解。因為，3G將是以 IP 為基礎的通訊系統，擁有更強大的能量及記憶功能，有更足夠的頻寬讓 SSL 可以直接應用，可免除與 WTLS 間轉換的風險。屆時，結合 Smart Card 及生物辨識技術的 3G 手機，將可能在行動商務的領域中所向披靡，我們且拭目以待。

(作者任職於太穎電子商務顧問公司)