随着Internet技术的发展,基于网络进行的商务活动日益频繁,商务过程中敏感数据的安全问题也引起了多方面的关注。为了给电子商务提供一个安全的网络环境,HTTPS技术提出且被广泛应用。尽管该协议能够提供数据的加密、身份的认证等安全服务,但并不是没有漏洞。HTTPS协议安全隐患的存在可能使用户受到各种极具破坏力的网络攻击。其中中间人攻击(Man In The Middle, MITM)就是非常危险的一种攻击方式。如何提高HTTPS协议对中间人攻击的免疫能力、保障电子商务安全成为目前亟待解决的问题。本文先从HTTPS协议的组成、加密属性及会话过程等方面介绍了工作原理。在此基础上,分析和总结了HTTPS协议的安全机制以及HTTPS协议面临各种攻击和威胁。随后,重点围绕中间人攻击展开了研究和讨论,分析了中间人攻击的可行性,再由会话劫持和数据篡改两方面入手,针对两种HTTPS的中间人攻击方式:(1)基于ARP欺骗和数字证书替换的SSLSniff攻击方式(2)基于ARP欺骗和HTTP内容篡改的SSLStrip攻击方式,分别进行了分析和实现,并给出了中间人攻击的实现结果。结果表明:(1)客户端的身份认证以及数字证书的安全直接关系到HTTPS的内容安全,如果客户端不能提供身份认证或者不能获得服务器证书的有效性检验,攻击者就可以利用SSLSniff,通过替换数字证书,劫持HTTPS会话内容;(2)HTTPS的安全性与HTTP的内容安全有着紧密联系,如果服务器不能保证链接的安全性,攻击者就可以利用SSLStrip,通过篡改HTTP链接内容,实现对HTTPS会话的劫持。中间人攻击的防范策略是本文的另一研究重点。本文针对上述两种HTTPS中间人攻击方式提出了两种不同的中间人攻击防范策略。策略一是通过对共享秘钥增强认证的方式,即通过验证服务器随机数的消息摘要的方式,增加中间人通过计算主密钥获得会话内容的难度,一定意义上实现了对用户端的认证。策略二是,利用XML安全以及数字签名的思想,在用户与服务器进行HTTPS连接之前,就对HTTP数据中的敏感信息进行加密,以防止中间人通过篡改HTTP数据信息,达到劫持HTTPS连接的目的。经过分析证明,引入这两种防范策略后,可对会话过程中的某些信息实行保护,保证了会话的安全。最后本文对防范策略从安全性角度作了比较和分析。