移动通信技术与因特网的快速发展和相互渗透,以及功能越来越强大的手持移动终端,促进了无线环境下电子商务的发展。人们使用移动商务最关心的是安全问题,由于无线网络中空中接口的开放性,移动环境中从移动手持终端到服务器端的安全问题就更为复杂。实现移动商务的模式也有多种,由于WAP协议适用于各种移动网络平台和移动终端,成为研究的热点。WAP模式的移动商务安全问题主要由WTLS协议来保障。WTLS协议提供数据保密性、完整性和不可抵赖性等安全服务。移动商务的安全问题包括身份认证的安全性、数据传输的安全性、基站和固定网络的系统认证、数据签名等。其中身份认证是保证系统安全的关键。基于口令的认证和密钥交换方案并不能提供严格意义上的服务器端身份认证功能,只能证明服务器端拥有合法的口令验证因子,客户端还是无法获得服务器端的真正身份。要实现对服务器端真正的身份认证,仍离不开公钥基础设施和数字证书技术。本文针对上述问题,提出一种“口令+证书”的非对称式身份认证和密钥协商方案。该方案结合了对服务器端认证的可靠性和对客户端认证的便利性;并且考虑到了WTLS握手协议中ECC参数选择稍有不慎就会降低系统安全性的问题,在该方案中使用XTR体制代替ECC,修改了WTLS握手协议的核心加密算法,解决了椭圆加密体制的参数选择复杂性问题。进而结合该方案,为解决移动环境下身份认证和数据安全传输问题,提出一种端到端安全方案的参考框架。根据网络协议的安全性认证和相关的性能验证过程,对本文提出的改进方案作安全和性能两方面的研究。设计方案的安全性采用形式化验证技术,将被检测系统抽象后,描述成有穷状态迁移系统,并给出要验证的状态迁移系统性质的命题描述,如:公平性、保密性和认证性,使用模型检测工具SMV完成验证。为了验证总体方案在实际环境中的性能,论文采用OPNET仿真工具来验证。仿真过程中设置适当的环境变量来模拟真实环境,并选取网络吞吐量,延迟等重要的网络性能指标,最后得出这些网络性能指标的仿真结果,通过与同类方案进行对比分析,证实本方案的优越之处。