随着电子商务的发展,使得交易安全问题已经成为用户关注的焦点。SSL为在线交易提供一个安全可靠的网络环境,使得它被广泛使用。尽管SSL协议提供了数据加密、身份验证和其他安全服务,但不是没有缺点。SSL协议的各种安全隐患可能导致用户遭受到巨大的经济损失,而SSL中间人攻击(Man In The Middle, MITM)就是一种常见的利用SSL协议的安全漏洞来实现攻击的方式。因此,如何提高SSL协议对中间人攻击的免疫能力、保证交易中敏感信息的安全已经成为研究信息安全问题的焦点。本文首先从SSL协议的研究入手,介绍了SSL协议的设计目标以及其框架结构等等。在此基础上,在对SSL协议的安全机制进行详细分析的同时,也指出了SSL协议的缺陷,分析可能存在的攻击方式。紧接着,详细分析了SSL中间人攻击方式,并编程实现了密钥伪造攻击方式的中间人攻击。在中间人攻击实现的过程中,首先对ARP欺骗和对客户端植入程序两种数据包拦截方式进行对比,最后选择替换SPI DLL方式对数据包进行拦截和转发,然后用OpenSSL技术来实现对SSL客户端和SSL服务器端的伪装,最后还给出了中间人攻击的结果,以更清晰地展示中间人攻击。如何防范SSL中间人攻击也是本文的研究重点。首先对它的安全性进行了分析,采用两种不同的方式对SSL双向认证实施攻击,并根据双向认证模式的工作流程分析攻击失败的原因,从而说明SSL双向认证模式对于防范中间人攻击是有效的。而目前实现双证书机制的难题在于如何保证客户端证书和私钥的安全性,本文最后提出了有别于传统密钥存储器USB KEY的智能手机Key系统,并对该系统进行设计研发,它可以很好地保证用户私钥的安全性,解决了实现双证书机制的难题,从而为有效地防范中间人攻击提供了保证。