WAP

2.2.6 WAP und Datenbanken Die Einbindung von (relationalen) Datenbanken in eine WAP-Umgebung kann in zwei Bereiche gegliedert werden: Internet- und Intranet-Anwendungen. Die Lösungen von Intranet-Anwendungen beziehen mittlerweile eine umfangreiche Palette von Back-Office-Systemen mit ein, seien dies MS Access, Lotus Notes oder Oracle-Datenbanken. Ein Ziel dabei ist es, eigenen Mitarbeitern den Zugang zu unternehmensrelevanten Daten zu gewähren. Die einfache Recherche in einer Kunden-Datei, Zugriffe auf Terminkalender, oder e-mail-to-WAP sind nur einige Funktionen, die sich über das Wireless Application Protocol integrieren lassen. Genauso vielfältig in ihren Anwendungsmöglichkeiten sind auch WAP-EndConsumer-Lösungen – realisiert etwa über dynamische Seiten-Generierung (z.B. mittels Java Servlets, Perl-Scripts oder ASP) –, allen voran Dienste von Finanz-Transaktionen wie mobile banking oder e-commerce, zusammengefaßt unter dem marketingstrategischen Kunstwort m-commerce. [...]

WMLScriptCrypto – einer auf WMLScript aufbauenden kryptografischen Software-Bibliothek – läßt sich dieses Modul programmieren und als SIMKarte oder Smart-Card in das Handy stecken. Herstellerspezifische Identifizierungsmöglichkeiten für den Endgeräte-Benutzer sind zum Beispiel ein Finger-Scan [Sablowski 2000] oder die Eingabe eines persönlichen Codes. WMLScriptCrypto Diese vom WAP-Forum entwickelte Programmier-Bibliothek [WAP-Forum 2000h] unterstützt anhaltende Authentifizierung für Transaktionen während einer WTLS-Verbindung. Erreicht wird dies durch die Verknüpfung von generierten Daten einer Transaktion mit einer digitalen Signatur. Die dazugehörige Browser-WMLScript-Funktion nennt sich Crypto.signText, wobei der Benutzer über das Browser-Fenster gefragt wird, ob er den Text unterzeichnen möchte. Nach der Unterzeichnung werden die chiffrierten Daten an den Server übermittelt, die digitale Signatur wieder extrahiert und für „rechtsgültig“ erklärt. S@T – SIM @lliance Toolbox Ein Konsortium von SIM-Kartenfirmen [SIMalliance 2000] – Mitglieder sind u.a. Gemplus und ORGA Kartensysteme – veröffentlichte indessen einen neuen, offenen Standard, der WAP-Infrastrukturen besser für sichere Zahlungsmodalitäten – sei dies im Zusammenhang mit Geldinstituten, Kreditkartenfirmen oder öffentlichen Ämtern – nutzt. Das S@T-Produkt orientiert sich dabei an den technischen Spezifikationen des SIM Application Toolkits – einem ETSI-Standard (GSM 11.14) für menügesteuerte Information auf GSM-Handsets –, um WAP-basierende Inhalte gemeinsam mit SIMgestützten GSM-Phase 2+-Geräten anbieten zu können. [...]

2.2.5 WAP-Sicherheit Sicherheitsmechanismen werden bei WAP über den (optionalen) WTLSLayer abgewickelt. WTLS basiert auf TLS (Transport Layer Security), einem für schmalbandige Kommunikation optimierten Sicherheitsprotokoll, das in SSL (Secure Socket Layer) seinen Vorgänger hatte. Dieser Sicherheitslayer verfügt über ein WTLS-Verbindungsmanagement, welches für die Verarbeitung von Security-Parametern (z.B. kryptografische Algorithmen und Schlüssellänge), Schlüssel-Austausch, Zertifizierung zwischen Server und Gateway und Authentifizierung zwischen Server und Client zuständig ist. Ein in das WTLS-Handshake-Protocol eingebundenes Error-Handling [WAPForum 2000g] dient für Sicherheits-Checks während (dem Aufbau) der Verbindung. Tritt ein Fehler auf, der zum Beispiel auf ein korruptes Zertifikat oder ein Handshake-Problem zurückzuführen ist, so wird die Verbindung zwischen Sender und Empfänger sofort geschlossen. WTLS läßt nur sichere, verschlüsselte Verbindungen zu, die für Geschäftstransaktionen sehr wichtig sind. Allerdings werden die WTLS-Daten im WAP-Gateway wieder decodiert, um in Richtung Festnetz als HTTPS (Secure HTTP) weitergeleitet zu werden [Köttl 2000]. In diesem Fall stellt das Gateway ein potentielles Sicherheitsrisiko dar, weil die Daten für einen kurzen Zeitraum unverschlüsselt (im Gateway) aufscheinen, und somit eine vollständige Geheimhaltung des Inhalts nicht mehr gewährleistet ist. WIM – Wireless Identification Module Einen anderen Weg der sicheren Benutzer-Identifizierung beschreitet das Telekommunikationsunternehmen Nokia [Nokia 2000b] mit der Smart Card WIM (spezifiziert im WAP-Forum und gründend auf einen Vorschlag der [...]