移动银行(Mobile Banking)是指通过移动通讯网络将客户的移动设备连接至银行,实现通过移动设备或手机界面直接完成各种银行业务的服务系统。移动银行出现以来,安全通信问题就一直困扰着这一新兴商务模式的发展。移动银行由于利用了很多新兴的技术和设备带来了很多新的安全问题,而这些安全问题能否有效解决就成为了移动银行发展的关键。移动银行的安全问题主要集中在这几个方面:信息的保密性、身份认证和授权、交易的不可否认性、数据的完整性。同时必须能抵抗已知攻击,如:监听、中间人攻击、截取在拼接式攻击、报文重放攻击等。本文通过对移动安全的研究现状的分析,发现一些应用于传统PC上的安全通信解决方案,比如SSL、SET等,由于设计时考虑了通用性,导致其计算量、通信数据量、软件的体积都大。所以这类安全通信方案无法在计算能力低、无线带宽有限、内存小、电量有限的移动设备上使用。而基于WAP的WTLS协议,虽然在移动安全通信领域有着广泛的应用,但是无法提供端到端的安全。同时,随着手机等移动设备的发展,基于WAP的移动应用将逐渐退出历史舞台。因此,必须根据移动设备的自身特点,设计一种适应于移动银行应用系统的安全通信方案,来解决系统的安全通信问题。这正是本论文的切入点和研究意义。本文在研究传统安全通信解决方案的基础上,设计并实现了移动银行应用系统的安全通信方案,为移动银行的应用系统建立安全的数据通道。移动银行应用系统采用三层架构的设计方法,分别为移动客户端、移动服务器端、银行服务器端。因此,系统的安全通信方案分为两部分:移动客户端与移动服务器之间的安全通信方案;移动服务器与银行服务器之间的安全通信方案。具体研究内容如下:1.设计一种应用于移动客户端与移动服务器之间的安全通信方案。因为移动设备硬件条件限制,所以设计时,尽可能减小消息传递次数和消息传递量,提高了运算速度和效率,同时保证了安全性。2.实现移动客户端与移动服务器之间的安全通信方案。分别实现了身份认证、密钥协商、加密通信、会话恢复、连接关闭等功能模块,解决了通信过程中的安全问题。3.实现移动服务器与银行服务器之间的安全通信方案。移动服务器与银行服务器之间采用Web Service通信方式,针对Web Service通信的特点,采用WS-Security规范和Handler技术,解决通信过程的安全问题。4.对移动银行应用系统的安全通信方案的单元、功能、性能等方面进行测试。最后的测试结果表明,系统安全通信方案为移动银行应用建立了一条安全的数据通道。其各项功能和性能达到了移动银行应用的要求。