WAP采用与TLS/SSL类似的WTLS实现传输层的安全性,从而保证信息在WAP网关和WAP设备之间的安全性。如同TLS/SSL对于互联网的作用一样,在多数情况下WTLS已经足以保障WAP的安全性,但是由于WAP网关担负着在WTLS和TLS之间转换信息的任务,导致信息在转换过程中存在安全漏洞。
如上图所示,WAP网关在WAP设备和Web服务器之间起着翻译的作用:数据从WAP设备发送到WEB服务器时,WAP网关需要将WTLS加密的数据解密,然后用TLS/SSL加密后发送给WEB服务器;数据从WEB服务器发送到WAP设备时,WAP网关需要将TLS/SSL加密的数据进行解密,然后用WTLS加密后发送给WAP设备。由此带来的安全性问题:
WAP论坛和工业界很早就意识到WAP网关存在的安全性问题,并提出了一系列的措施和解决方案来提高WAP的安全性。
虽然我们可以相信大部分WAP网关服务供应商会尽力保障WAP网关的安全性,但是对于WAP内容提供商而言,这仍然属于不可控制的因素,特别是当WAP用户处于漫游状态时,内容提供商完全无法保障数据端到端的安全性。
第二种解决方案仅仅适用于对于安全性有特别高需求的公司,而需要付出的代价不仅仅是额外硬件的投资,而且还有日常维护带来的费用。
从纯技术角度而言,第三和第四种解决方案应当可以解决端到端的安全性问题。但是由于目前大部分手机和WAP网关还不完全对PKI和WIM的支持,在实际应用上具有很大的局限性。
