第3章 电子商务安全的技术规范

第3章

电子商务安全的技术规范3．1网络安全标准与组织3．2电子商务安全协议

3．1网络安全标准与组织3.1.1安全标准组织3.1.2互联网安全标准

3.1.3信息安全标准化

3．1网络安全标准与组织电子商务安全除了采取一定的安全技术措施以外，还需要有完善的安全标准和技术规范。这是电子商务推广与普及的前提条件。对此本章将从网络安全标准与组织和电子商务安全协议两方面进行讲述。3.1.1安全标准组织通用安全规则系统（GASSP）为了完成美国国家研究委员会于1990年提出的安全要求，GASSP于1992年成立。GASSP由国际信息系统安全认证联盟（（ISC）2）提供支持，支持国际通用的IT开发相关的信息安全规则的研究计划。其目标包括促进好的惯例，为IT行业提供一个权威的参考，为世界范围内的安全信息规则、观点、实践提供专业参考。GASSP的普遍深入原则已得到很大发展，其在定义和计划GASSP功能原则方面的工作也已经展开。3.1.1安全标准组织国家信息保障合作部（NIAP）NIAP创建于1997年，以美国国家安全局（NSA）、美国国家标准和技术协会（NIST）为基础，主要负责IT产品的安全测试、评估，以及对IT生产商和消费者的需求进行评定。NIAP的长期目标是增强消费者在信息系统和网络方面的信心。目前联邦航空管理局已开始和NIAP进行合作，以便能更好地确定他们的安全需求；同时，NIAP也在积极地寻找其它合作伙伴，以加快促进安全需求和安全标准规则的早日成形。互联网安全中心（CIS）CIS成立于2000年10月，它的主要任务是帮助世界范围内的组织有效地管理信息安全。该中心对所有互联网上连接的设备和系统提供测试、监控、安全性能比较和改进。目前CIS大约有200个成员，它们共同认证高风险的安全威胁，共同研究对付这类威胁的措施。3.1.1安全标准组织通用的安全实践和建议（CASPR）CASPR于2001年8月成立，它的主要任务是将互联网上的一系列免费文件提炼成专家信息。以开发源代码运动为契机，CASPR已经有将近100位经过认证的安全专家，目前还在全世界范围内招聘信息安全专家。3.1.2互联网安全标准

Internet具有很多种安全标准，有些已经成为公认的标准，有些正在成为标准。在你阅读本文时，可能又会出现更多新的标准。这里列出的主要标准不是来自微软或其它公司，而是来自下述两个组织之一：IETF（InternetEngineeringTaskForce，Internet工程任务组）或W3C（WorldWideWebConsortium）。IETF是第一个为Internet工作的组织，W3C则对每一类将应用于Internet的新标准负责。3.1.2互联网安全标准

分布式身份认证安全服务（DASS）－－IETFRFC1507DASS是IETF正在改进的一个标准，它为在Internet上提供身份认证服务定义了一个试验方法，目的是确认消息发送者或请求提出者。DASS正在努力解决当前保密字设计中存在的一些问题，例如，目前还不能检验出发送保密字的人是否是在模仿他人。由于DASS是在一个分布式环境中提供认证服务，所以具有特殊的挑战。因为用户不止是可以登录一台机器，他们可以在网络上登录任何一台机器。3.1.2互联网安全标准

DSI（数字签名优先权）－－此标准由W3C制定，用于克服通道级安全的一些限制。例如，通道级安全不能对文档或应用程序的语意做处理，因为所有的处理过程都发生在Internet上，而不是在客户端或服务器端，所以通道也不能有效利用Internet的带宽。DSI为传输签名定义了一个数学方法，实质上是对指定的个体或公司做唯一的表述。同时，DSI为标识安全属性提供了一种新的方法（PICS2），为维护提供了一种新的格式（PEP）。DSI标准也被建立在PKCS7和X509.V3标准中。

3.1.2互联网安全标准

扩展的Internet标记SHTTP（EITSHTTP）－－SHTTP的扩展，此标准在当前的HTTP列表中增加了与安全相关的标志。但目前还没有任何一家标准化组织正式支持这种技术。通用安全服务应用程序接口（GSS-API）IETFRFC1508－－此规范已被IETF批准，它定义了以通用方式支持安全服务调用的方法。使用通用接口允许在更广泛的平台上提供更多的源代码级可移植能力。通用安全服务应用程序接口（GSS-API）C-bindingRFC1508——这是个已批准的IETF规范，它定义了C语言中使用支持服务调用的方法，这个标准是最先基于RFC1508实现的标准之一。

3.1.2互联网安全标准

Internet协议安全协议（IPSec）－－IETF最近成立了一个IP安全协议工作组来寻找IP安全性方面的问题。IPsec能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包（部分序列完整性形式）、保密性和有限传输流保密。这个工作组当前正在研究覆盖面相当广泛的规范，以提供更加安全的IP功能。JEPI（JointElectronicPaymentInitiative，联合电子支付协议）－－由W3C创建，此标准提供了创建电子贸易的方法，通过电子现金或信用卡进行交易。从客户到服务器间的数据传输将使用加密、数字签名、身份认证（密钥交换）来保证安全的交换。这是一个新兴的标准，它的一些条目，比如传输层安全，当前正通过IETF继续向前发展。

3.1.2互联网安全标准

Kerberos网络认证服务（V5）IETFRFC1510－－这是个已经被批准的IETF标准，它定义了第三方认证的协议。Kerberos模型部分基于Needham和Schroeder提出的可信任第三方认证协议和Denning与Sacco提出的第三方认证协议的修正协议。与许多Internet认证协议一样，Kerberos作为一个可信任的第三方认证服务来工作。它使用把共享的公共密钥与私有密钥结合起来的常用加密方法。Kerberos着重于带可选服务器认证的客户身份认证。

PrivacyEnhancedMailpartI（PEM1）－－消息加密和认证过程IETFRFC1421。这是个已经被批准的IETF标准，用来确认私有邮件是否依然保密。实质上，它显示了一个在加密邮件中采用保护方式的过程，这些过程在解密过程中用户是看不见的。这个标准运用密钥和其它形式的认证管理。此标准的一些条款基于CCITTX.400，特别是采用了邮件句柄服务（MHS）和邮件传送系统（MTS）中的某些条款。

3.1.2互联网安全标准

PrivacyEnhancedMailpartII（PEM2）－－基于证书的密钥管理IETFRFC1422。这是个用于管理安全密钥的已批准IETF标准。它提供了基于公共密钥认证技术的基础结构和管理结构。IETFRFC1422是CCITTX.509规范的增强改进版本，它为使用PEM提供了密钥管理基础的过程和协议，这是CCITTX.509中所没有的。

PrivacyEnhancedMailpartIII（PEM3）－－算法、模式和标识

IETFRFC1423。这是个已经批准的IETF标准，它定义了加密算法、使用模式和PEM特定用法的标识。这个标准覆盖了与加密信息相关的四个主要领域：信息加密算法、信息完整性检测算法、对称密钥管理算法、非对称密钥管理算法（包括对称加密和非对称签名算法）。

3.1.2互联网安全标准

PrivacyEnhancedMailpartIV（PEM4）－－密钥证书和相关服务IETFRFC1424。这是个已经批准的IETF标准，它定义了验证密钥的方法，并提供了一个与加密相关的服务列表，Internet站点可能需要把它提供给最终用户。

安全/多用途Internet邮件扩展（S/MIME）－－这是由多家公司联合提出的一个标准，这些公司包括Microsoft、Banyan、VeriSign、ConnectSoft、QUALOCOMM、FrontierTechnologies、NetworkComputingDevices、FTPSoftware、Wollongong、SecurWare和Lotus，它最初由RSADataSecurity公司开发，目的是为了使不同产品的开发者能使用兼容的加密技术创建消息传输代理（MTAS）。这意味着：如果有人用Lotus产品发送给你一个信息，你能使用Banyan产品来读取它。S/MIME以流行的InternetMIME标准（RFC1521）为基础。3.1.2互联网安全标准

安全/广域网（S/WAN）－－S/WAN是RSADataSecurity公司提出的一个标准，IETF也有一个委员正在研究这个标准，RSA准备将IETF的IPSec标准也纳入S/WAN中。S/WAN的主要目标是允许各公司最佳地混合和匹配防火墙与TCP/IP栈产品，以创建基于Internet的虚拟专用网（VPNs）。这两种产品当前的方案通常是将用户封锁在单一资源内。

SHTTP（安全的超文本传输协议）－－这是OpenMarketPlaceServer公司当前使用的加密数据传输技术。在功能上它与安全套接层（SSL）非常相似，不同的是这种方法只应用于HTTP。现在还没有标准化组织支持这种标准，不过将来会有的。（IETF最近成立的Web事务安全组织，正关注着这方面的技术）。

3.1.2互联网安全标准

SSL（安全套接层）－－SSL是一个W3C标准，它最初由Netscape公司提出，目的是让客户至服务器端能从协议层传输加密信息。套接口允许在高层协议如HTTP、NNTP和FTP上进行低层的事务加密。这个标准也制定了客户和服务器的身份认证方法（客户站点的身份认证是可选的）。WWW上的统一资源识别（URI）－－IETFRFC1630URI是IETF正在开发的标准，目前，资源名和地址是纯粹的文本。URL（统一资源地址）实际是包含了地址信息的URI的一种形式，这个地址在Internet上映射到一个指定的位置，URI提供了将Internet对象的名字和地址编码的方法。实际上，要访问一个私有的站点，你应该知道它的编码名字，而不是纯粹的文本名。3．1．3信息安全标准化信息安全标准是一种技术规范、技术依据，旨在确保信息安全产品和系统在设计、研发、生产、建设、使用、测评过程中的一致性、可靠性、可控性、先进性和符合性。信息安全保障体系的建设和应用，是一个极其复杂和庞大的工程，没有配套的安全标准，就不能构造出一个高可用性的信息安全保障体系。

信息安全标准化工作为解决信息安全问题，提供了重要的技术支撑。信息安全标准化不仅事关国家安全，同时也是维护国家利益、促进产业发展的一种重要手段。在互联网飞速发展的今天，网络和信息安全问题不容忽视，积极推动信息安全标准化，牢牢掌握信息时代全球化竞争中的主动权是十分重要的。由此可以看出，信息安全标准化工作是一项长期而艰巨的基础性工作。

3．1．3信息安全标准化1.国际信息安全标准化工作的情况

在国际上，信息安全标准化工作兴起于二十世纪70年代中期，在80年代有了较快的发展，90年代引起了全球的普遍关注。目前世界上约有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的主要的组织有：国际标准化组织(ISO)、国际电工委员会（IEC）、国际电信联盟（ITU）、Internet工程任务组（IETF）等。

3．1．3信息安全标准化2.我国信息安全标准化的现状

信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段。虽然国际上已有很多标准化组织在信息安全方面制定了诸多标准，但是信息安全标准事关国家安全利益，任何国家都不会过分依赖别人，总要通过自己国家的组织和专家制定出可以信任的标准来保护民族的利益。因此，各个国家在借鉴国际标准的前提下，制订和扩展自己国家对信息安全的管理领域，建立自己的信息安全标准化组织，并制定本国的信息安全标准。3．1．3信息安全标准化3.信息安全标准化工作的发展趋势

随着网络的飞速发展，信息安全问题受到了全社会前所未有的普遍关注，人们对信息安全的理解和认识也更加全面和深入，信息安全标准化的工作也在各级组织中得到了重视。信息技术安全标准化是一项基础性工作，必须统一领导、统筹规划、各方参与、分工合作，以保证其顺利、协调发展。3．1．3信息安全标准化1）走国际化的合作发展之路

信息安全的国际标准大多数是在欧洲、美国等工业发达国家标准的基础上协调产生的，基本上代表了当今世界信息技术的发展水平。我国的信息化工作起步较晚，但是互联网是没有国界的，从我国接入互联网的那一天起，互联网上的信息安全问题也同样开始威胁我国网络，所以借鉴国外的成熟的先进经验来发展我国的信息化建设事业十分必要。信息安全标准化工作是一个国际性的工作，共性的问题多于个性，适时地转化一些国际信息安全基础技术标准为我国信息化建设服务，会对我国的信息安全技术的快速发展起到推动作用。

3．1．3信息安全标准化2）商业化为信息安全标准化发展提供了动力多年来，国家标准的制、修订经费主要来源于政府财政拨款，随着改革开放的深入和信息化工作的开展，对信息安全标准化工作的要求越来越高，企业生产产品需要标准、政府管理工作需要标准，用户和消费者来保护自己合法权益也需要标准，这使得信息安全标准化的工作受到了不同程度的影响。对此，应通过各种饭方法，如国家更多的投入、企业更大力度的支持、标准出版物在发行工作中的改革等措施，使信息安全标准化工作逐步进入商业化运作模式，使标准工作进入到一个良性发展的新局面。

3．1．3信息安全标准化3）明确信息安全标准化的下一步研究方向

信息安全技术是一门在近年来才得到较快发展的新的、复杂的技术。对这门新技术的研究与规范工作相当重要。为了全面认识和制定信息技术的安全标准，需要对国内外信息技术标准化的情况和发展趋势进行深入的跟踪和研究。今后在信息安全标准化方面需要实施的工作有：继续推进信息安全等级保护、信息安全风险评估、信息安全产品认证认可等基础性工作和基础设施建设；加快以密码技术为基础的信息保护和网络信任体系建设，进一步完善应急协调机制与灾难备份工作；加强互联网管理，创建安全、健康、有序的网络环境；进一步创建产业发展环境支持信息安全产业发展，加快信息安全学科建设和人才培养，加强国际合作与交流，完善信息安全的管理体制和机制。3．2电子商务安全协议3.2.1电子邮件安全协议3.2.2安全超文本传输协议3.2.3安全套接层协议3.2.4安全电子交易协议

3.2.1电子邮件安全协议电子邮件是Internet上主要的信息传输方式之一。虽然使用范围广泛，但它并不具备很强的安全防范措施。因此，IEFT为扩充电子邮件的安全性能已制定了一些相关的规范。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。因此，S/MIME就应运而生。S/MIME(安全多用途因特网邮件扩展协议)是在多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。它描述了客户端如何创建，操作，接收和读被数字签名、信息加密的邮件。目前，S/MIME已成为产业界广泛认可的协议，并被广泛的应用于各种客户端和平台。3.2.1电子邮件安全协议要了解S/MIME，了解它的发展历史会对您有所帮助。第一版S/MIME是由许多安全供应商于1995年开发出来的。它是实现邮件安全性的几个规范之一。例如，PrettyGoodPrivacy(PGP)是实现邮件安全性的另一个规范。在

S/MIME版本1推出时，安全邮件并没有公认的单一标准，但有几个相互竞争的标准。1998年，随着S/MIME2的推出，情况开始发生变化。与版本1不同的是，出于希望成为

Internet标准的考虑，S/MIME2被提交到Internet工程任务组

(IETF)。通过这一步，S/MIME从许多可能的标准中脱颖而出，从而成为邮件安全标准的领跑者。S/MIME2由两份IETF征求意见文档

(RFC)组成：建立邮件标准的

RFC2311(/rfc/rfc2311.txt)和建立证书处理标准的

RFC2312(/rfc/rfc2312.txt)。这两份RFC共同提供了第一个基于Internet标准的框架，供应商可以按照该框架来提出可互操作的邮件安全解决方案。有了S/MIME2，S/MIME开始成为邮件安全的标准。3.2.1电子邮件安全协议1999年，为增强S/MIME功能，IETF提议使用S/MIME版本3。RFC2632(/rfc/rfc2632.txt)建立在

RFC2311基础上，指定

S/MIME邮件的标准；RFC2633(/rfc/rfc2633.txt)增强了证书处理的

RFC2312规范。RFC2634(/rfc/rfc2634.txt)通过向S/MIME添加其他服务扩展了总体功能，如安全回执、三层包装和安全标签。

3.2.1电子邮件安全协议S/MIME版本3已被广泛接受为邮件安全标准。下列Microsoft产品可支持S/MIME版本3：

MicrosoftOutlook®2000（应用了

SR-1）及更高版本MicrosoftOutlookExpress5.01及更高版本MicrosoftExchange5.5及更高版本3.2.1电子邮件安全协议S/MIME提供两种安全服务：

数字签名邮件加密这两种服务是基于S/MIME的邮件安全的核心。与邮件安全有关的其他所有概念都支持这两种服务。虽然整个邮件安全领域可能看上去很复杂，但这两种服务却是邮件安全的基础。在基本了解数字签名和邮件加密后，您就会认识到其它概念是如何支持这些服务的。3.2.1电子邮件安全协议数字签名数字签名是更常用的S/MIME服务。顾名思义，数字签名是书面文档中具有法律意义的传统签名的数字形式。与具有法律意义的签名一样，数字签名也提供下列安全功能：

1)身份验证2)认可3)数据完整性3.2.1电子邮件安全协议邮件加密邮件加密提供了针对信息泄露的解决方案。基于SMTP的Internet电子邮件并不确保邮件的安全性。SMTPInternet电子邮件可能被在发送过程中看到它或在所存储的位置查看它的任何人阅读。S/MIME已通过采用加密措施解决了这些问题。加密是一种更改信息的方式，它使信息在重新变为可读或可理解的形式之前无法阅读或理解。3.2.1电子邮件安全协议虽然邮件加密不像数字签名那样普遍使用，但是它确实解决了被许多人认为是Internet电子邮件最重大缺陷的问题。邮件加密提供两种特定的安全服务：

1)保密性邮件加密用来保护电子邮件的内容。只有预期的收件人能够查看该内容，因而该内容是保密的，不会被可能收到或查看到该邮件的其他任何人知道。加密在邮件传送和存储过程中均提供保密性。数据完整性使用数字签名时，由于采用了使加密成为可能的特定操作，因此邮件加密提供了数据完整性服务。3.2.1电子邮件安全协议三层包装邮件S/MIME版本3的一个值得注意的增强功能是“三层包装”。三层包装的S/MIME邮件是指经过签名、加密、而后再次签名的邮件。这个额外的加密层为邮件提供了更高一层的安全性。当用户使用带有S/MIME控件的OutlookWebAccess对邮件进行签名和加密时，邮件将自动进行三层包装。Outlook和OutlookExpress并不对邮件进行三层包装，但它们可以读取这些邮件。数字签名和邮件加密相互补充，并提供综合性的解决方案，以解决影响基于SMTP的

Internet电子邮件的安全问题。3.2.1电子邮件安全协议数字证书和邮件加密是S/MIME的核心功能。在邮件安全领域，最重要的支持性概念是公钥加密。公钥加密在S/MIME可见范围内产生数字签名，并对邮件进行加密。PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报头中规定特定的加密算法、数字鉴别算法和散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC1421、RFC1422、RFC143和RFC1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。PEM-MIMEMIME对象安全服务(MOSS)是将PEM和MIME两者的特性进行了结合而产生的一种新的安全协议。3．2．2安全超文本传输协议安全超文本传输协议（S-HTTP）是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。S-HTTP实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（S-HTTP使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）S-HTTP支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。S-HTTP是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，S-HTTP的安全基础是SSL，因此加密的详细内容请看SSL。3．2．2安全超文本传输协议它是一个URIscheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但S-HTTP存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。

S-HTTP是一种面向安全信息通信的协议，依靠密钥的加密，保证Web站点间的交换信息传输的安全性。S-HTTP对HTTP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。3．2．2安全超文本传输协议虽然S-HTTP的设计者承认他有意识的利用了多根分层的信任模型和许多公钥证书系统，但S-HTTP仍努力避开对某种特定模型的滥用。S-HTTP与摘要验证（在[RFC-2617]中有描述）的不同之处在于，它支持共钥加密和数字签名，并具有保密性。

HTTPS作为另一种安全web通信技术，是指HTTP运行在TLS和SSL上面的实现安全web事务的协议。3．2．3安全套接层协议协议的起源随着计算机网络技术向整个经济社会各层次延伸，整个社会表现对Internet、Intranet、Extranet等使用的更大的依赖性。随着企业间信息交互的不断增加，任何一种网络应用和增值服务的使用程度将取决于所使用网络的信息安全有无保障，网络安全已成为现代计算机网络应用的最大障碍，也是急需解决的难题之一。由于Web上有时要传输重要或敏感的数据，因此Netscape公司在推出Web浏览器首版的同时，提出了安全通信协议SSL(SecureSocketLayer),目前已有2.0和3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前，利用公开密钥技术的SSL协议，并已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP和SSL相结合，从而实现安全通信。

3．2．3安全套接层协议

协议概述安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，FTP，TELNET……)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。3．2．3安全套接层协议通过以上叙述，SSL协议提供的安全信道有以下三个特性：1）私密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。2）确认性。因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。3)可靠性。因为传送的消息包括消息完整性检查(使用MAC)。3．2．3安全套接层协议协议规范SSL协议被设计成使用TCP协议提供端到端的安全服务，实际上，SSL由一组协议组成，而不是单个协议。SSL的协议栈如表3-1所示。表3-1

SSL的协议栈3．2．4安全电子交易协议协议简介SET协议(SecureElectronicTransaction，安全电子交易)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。SET协议用以支持BtoC（BusinesstoConsumer）这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。3．2．4安全电子交易协议SET交易分三个阶段进行：在购买请求阶段，用户与商家确定所用支付方式的细节；在支付的认定阶段，商家会与银行核实,随着交易的进展，他们将得到付款；在受款阶段，商家向银行出示所有交易的细节，然后银行以适当方式转移货款。3．2．4安全电子交易协议SET提供的服务SET协议为电子交易提供了许多保证安全的措施。它能保证电子交易的机密性，数据完整性，交易行为的不可否认性和身份的合法性。1.保证客户交易信息的保密性和完整性

SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机构看不到交易内容，只能接收到用户