随着移动通信市场的不断扩大，移动服务业务的种类日益丰富，其安全性需求也在不断上升。WAP将移动通信网和Internet连接起来，并通过WTLS协议实现安全功能。WAP1.x版本中需要WAP网关来实现WTLS与TLS之间的转换，因此带来安全缝隙问题。本文采用一种称为“透明网关”的安全模式作为研究的基础，进而分析及改进WTLS的安全性。现有的WTLS协议存在许多安全缺陷，其密钥交换过程缺乏前向保密性，匿名模式的协商更缺乏相互的身份验证，容易遭受各种攻击；在非匿名的模式下，通过数字证书实现服务器或双方相互的身份验证，这需要依赖于WPKI体系，需要一个可信的第三方认证机构颁发数字证书。现在WPKI技术虽然已经成熟，但它缺乏统一性和互操作性，且颁发和管理证书的过程比较复杂，部署价格比较高，目前大部分WAP业务并没有使用WPKI，在身份认证方面存在很大的安全隐患。如果引入客户端证书，则又带来用户匿名性问题。本文为WTLS提出一种基于用户口令的认证和加密密钥交换协议，通过用户记忆性口令方便地实现客户端与服务器的相互身份认证。该协议不需使用数字证书，为WTLS匿名模式提供了更多的安全属性；用户只需记住口令即可，不仅节约了存储空间，而且能够防止手机或PDA等丢失后他人冒名使用WAP收费业务；客户端和服务器只需事先协商一些秘密信息即可，在实时握手过程中发送的数据量明显减少，从而节省带宽和传输时间。本论文在随机预言模型下验证了该协议的安全性：满足一般密钥交换协议所必需的安全属性，且能抵御针对口令的各种攻击，并在OPNET软件中仿真实现了WTLS握手过程，从握手时间、信道利用率、延迟等方面考查了新握手协议的网络性能，从而验证了该协议在移动通信环境下的实用性。该协议是在WTLS匿名模式下提出的，但也完全适用于非匿名模式的WTLS服务，且能与其它密码套件兼容。另外，该密钥交换算法也适用于WAP2.0中的TLS安全协议。