一、互聯(lián)網(wǎng)安全協(xié)議概述

1.1 互聯(lián)網(wǎng)協(xié)議體系

TCP/IP協(xié)議的體系結構

IP數(shù)據(jù)報格式及TCP/UDP報文段格式<喎?"http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">vcD4NCjxwPjxpbWcgYWx0PQ=="IP數(shù)據(jù)報格式及TCP/UDP報文段格式" src="http://www.2cto.com/uploadfile/Collfiles/20160622/20160622090849430.jpg" title="\" />

Web技術構成：HTTP協(xié)議、HTML標記語言。

TCP/IP協(xié)議棧中安全機制的相對位置：網(wǎng)絡層、運輸層和應用層。

1.2 互聯(lián)網(wǎng)安全協(xié)議

1、將安全機制放置在網(wǎng)絡層：如IPSec協(xié)議，好處是對最終用戶和應用程序透明。

2、將安全機制放置在運輸層：如SSL協(xié)議，好處是對最終用戶和應用程序透明。

3、將安全機制放置在應用層：好處是與應用有關的安全服務被嵌入到特定的應用程序中，可根據(jù)需要制定安全服務。

4、網(wǎng)絡安全協(xié)議是各種安全服務的集成，通過安全協(xié)議的設計和編程實現(xiàn)，形成更高的安全服務，在提供安全服務的同時方便用戶使用。

5、各種網(wǎng)絡安全協(xié)議在實際使用時，需要安裝相關程序進行設置。

二、IP安全協(xié)議與VPN

2.1 VPN概念與構成

VPN：以公共開放網(wǎng)絡作為通信平臺，通過在相關網(wǎng)絡層次中附加多種安全技術（加密、鑒別和訪問控制），向用戶提供類似于專用網(wǎng)絡性能的一種網(wǎng)絡安全技術。

2.1.1 VPN常見的應用模式

1、內部網(wǎng)VPN：適用于同一企業(yè)或組織內部的遠程分支機構局域網(wǎng)的連接。
特點：數(shù)據(jù)通信量較大，連接時間較長。

2、外部網(wǎng)VPN：適用于不同企業(yè)或組織之間的內部網(wǎng)的連接。
特點：安全策略存在較大差異，對訪問控制要求較高。

3、遠程訪問VPN：遠程移動用戶、單機接入等。

2.1.2 VPN功能

1、數(shù)據(jù)封裝：通過構造虛擬專用網(wǎng)隧道，使遠程用戶能夠用內部網(wǎng)的地址和協(xié)議傳遞信息。

2、數(shù)據(jù)加密：通過對傳輸數(shù)據(jù)的加密，隱藏內部網(wǎng)的協(xié)議、地址和數(shù)據(jù)。

3、報文鑒別和身份鑒別：提供報文鑒別和身份鑒別。

2.1.3 隧道協(xié)議

1、隧道技術：其基本方法是在內網(wǎng)與公網(wǎng)接口處，將要傳輸?shù)臄?shù)據(jù)作為載荷封裝在一種可在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的內網(wǎng)與公網(wǎng)接口處，將數(shù)據(jù)封裝除去取出載荷。

2、隧道技術的主體是隧道協(xié)議。

3、隧道，實質上是一種封裝，是將一種協(xié)議封裝在另一種協(xié)議中傳輸，從而實現(xiàn)內部網(wǎng)絡協(xié)議對公用網(wǎng)絡的透明性。

4、安全隧道：在隧道中引入密碼技術和鑒別技術，使公用網(wǎng)具有和內部網(wǎng)類似的安全性。

5、VPN使用的隧道技術涉及三種數(shù)據(jù)格式
（1）用戶數(shù)據(jù)包格式
（2）封裝格式
（3）公用網(wǎng)傳輸格式

6、三個數(shù)據(jù)格式對應得數(shù)據(jù)格式

（1）乘客協(xié)議：內部網(wǎng)使用的協(xié)議在VPN中稱為乘客協(xié)議。

（2）隧道協(xié)議：用于封裝乘客協(xié)議的封裝協(xié)議被稱為隧道協(xié)議。

（3）傳輸協(xié)議：在VPN中，內部網(wǎng)數(shù)據(jù)以公用網(wǎng)作為傳輸載體，因此，用戶數(shù)據(jù)包經(jīng)隧道協(xié)議封裝后還必須以公用網(wǎng)的傳輸格式進行封裝。公用網(wǎng)使用的協(xié)議為傳輸協(xié)議。

IP協(xié)議是目前最常見的傳輸協(xié)議。IP協(xié)議具有路由器功能強大，可運行于不同的傳輸介意，應用面廣等特點。

2.2 IPSec概述

1、用因特網(wǎng)進行互連，IP層適合設置安全機制。在IP層實現(xiàn)的安全機制也稱為IPSec。

2、IP層的安全包含了三個功能域：鑒別、機密性和密鑰管理。
（1）鑒別：提供報文信源鑒別和完整性鑒別。
（2）機密性：通過報文加密可防止第三方竊聽報文。
（3）密鑰管理：處理密鑰的安全交換。

3、IPSec協(xié)議運行在內網(wǎng)與外網(wǎng)相連的網(wǎng)絡設備上，如路由器或防火墻。

4、IPSec網(wǎng)絡設備一般將對進入廣域網(wǎng)的所有通信量進行加密和壓縮，對所有來自廣域網(wǎng)的通信量進行解密和解壓。這些操作對于局域網(wǎng)上的工作站和服務器是透明的。

5、IPSec優(yōu)點：
（1）當在防火墻或路由器中實現(xiàn)IPSec時，IPSec能夠對所有穿越邊界的數(shù)據(jù)通信量提供安全防護。同時又不會在內部引起與安全有關的處理負荷。
（2）防火墻內部的IPSec可以抵制旁路，如果從外界進來的所有通信量必須使用IP，并且防火墻是從Internet進入內部的唯一入口。
（3）IPSec在運輸層（TCP，UDP）以下，因此對于應用程序時透明的。
（4）IPSec對終端用戶是透明的，沒有必要對用戶進行安全培訓，給每個用戶下發(fā)密鑰，或在用戶離開組織是取消其密鑰。

6、IPSec提供的安全服務
（1）無連接完整性和訪問控制。
（2）數(shù)據(jù)源的鑒別。
（3）拒絕重放的分組。
（4）機密性（加密）。
（5）有限的通信量機密性。

7、IPSec使用兩個協(xié)議來提供上述的安全服務：首部鑒別協(xié)議（AH）和封裝安全載荷協(xié)議（ESP）。
首部鑒別協(xié)議（AH）：對IP數(shù)據(jù)報提供鑒別服務。
封裝安全載荷協(xié)議（ESP）：對IP數(shù)據(jù)報提供鑒別和機密性服務。該協(xié)議是加密/鑒別混合協(xié)議。
AH和ESP可單獨使用，也可結合使用。

2.3 IPSec協(xié)議

2.3.1 安全關聯(lián)SA

1、安全關聯(lián)是發(fā)送方與接送方間的一種單向關系。通常與一個或者一組給定的網(wǎng)絡連接相關，為所承載的網(wǎng)絡流量提供安全服務。

2、如果需要一個對等的關系用于雙向的安全交換，就要有兩個安全關聯(lián)。一個SA可用于AH或ESP，但不能同時用于兩者。

3、每個安全關聯(lián)可表示為一個三元組：
（1）安全參數(shù)索引（SPI）：SPI是一個32比特的值，用于區(qū)別相同目的地和協(xié)議的不同安全關聯(lián)。SPI出現(xiàn)在AH和ESP的首部中，接收方根據(jù)首部中的SPI確定對于的SA。
（2）IP目的地址（IPDA）：目前只允許單播地址；這是SA的目的端點的地址，可能是終端用戶系統(tǒng)或者是網(wǎng)絡系統(tǒng)，如防火墻或路由器。
（3）安全協(xié)議標識（SPR）：指出這個關聯(lián)是一個AH或ESP的安全關聯(lián)。

<h3 id="232-安全關聯(lián)數(shù)據(jù)庫">2.3.2 安全關聯(lián)數(shù)據(jù)庫

1、安全策略數(shù)據(jù)庫（SPD）：定義了對從主機或安全網(wǎng)關出入站的IP通信流量的處理策略。SPD包含一個策略列表，每個表項標明如何處理與該策略相匹配的信息流，IPSec定義了三種處理方法：旁路、丟棄或者進行IPSec安全處理。

2、安全關聯(lián)數(shù)據(jù)庫（SAD）：包含了與SA相關的各種安全參數(shù)。每個SA在SAD中都有一個對應得表項。

SAD表項涉及的主要字段：
（1）序號計數(shù)器：用于產(chǎn)生AH或ESP首部中序號字段的32位值。
（2）序號計數(shù)器溢出：一個標記，用于指示序號計數(shù)器的溢出是否可審計的事件，并禁止在該SA上繼續(xù)傳輸分組。
（3）抗重放窗口：一個32位計數(shù)器，用來確定進入AH或ESP報文分組是否是重放。
（4）AH信息：AH使用的鑒別算法、密鑰等信息。
（5）ESP加密信息：ESP加密算法、密鑰、初始向量模式、初始向量等信息。
（6）ESP鑒別信息：ESP使用的鑒別算法、密鑰等。
（7）SA生存期：一個時間段，該時間段到期后，SA必須被終止或者被一個新的SA取代。
（8）IPSec協(xié)議模式：指明該SA上通信流量的AH或ESP模式。AH和ESP都具有隧道模式和傳輸模式。
（9）路徑MTU：不經(jīng)分片可傳送的分組最大長度。

2.3.3 SA選擇器

1、對于每個從提供IPSec服務的設備發(fā)出的報文分組，設備將檢查分組的相應字段，并根據(jù)選擇器進行SPD查找，由此確定安全關聯(lián)，然后根據(jù)安全關聯(lián)完成對應的IPSec處理。

2、選擇器用于過濾通信流量，目的是將輸出的流量映射到特定的安全關聯(lián)。

3、選擇器可使用的參數(shù)：IP地址、端口號、協(xié)議等。

4、SA選擇器、SPD、SAD之間的關系：

5、IPSec工作流程

（1）主機A上用戶向主機B上用戶發(fā)送一消息。
（2）主機A上的IPSec驅動程序檢查SA選擇器，查看數(shù)據(jù)包是否需要保護及需要何種保護。
（3）IPSec驅動程序通知IKE開始安全協(xié)商。
（4）主機B上IKE收到請求安全協(xié)商通知。
（5）兩臺主機建立第一階段SA，各自生成共享主密鑰。如第一階段SA已建立，則直接進入第二階段SA協(xié)商。
（6）協(xié)商建立第二階段SA對：入站SA和出站SA。
（7）主機A上的IPSec驅動程序使用出站SA對數(shù)據(jù)包進行安全處理。
（8）IPSe╧y"http://www.2cto.com/kf/yidong/wp/" target="_blank" class="keylink">WPH/bavs8zQ8r2rtKbA7brztcTK/b7dsPy9u7j4SVCy46Os1NnTyUlQsuO9q8r9vt2w/LeiuPjW97v6QqGjPC9wPg0KPGgzIGlkPQ=="234-鑒別首部ah">2.3.4 鑒別首部AH

1、功能：AH用于為IP數(shù)據(jù)報提供無連接完整性和數(shù)據(jù)源鑒別，并提供防重放保護。但不能防止被竊聽，只適合用于傳輸沒機密數(shù)據(jù)。

2、工作原理：在每個IP分組上添加一個鑒別首部。此首部包含一個帶密鑰的散列值，散列值根據(jù)整個數(shù)據(jù)包計算，對數(shù)據(jù)的任何改變將致使散列值無效——完整性保護。鑒別特征使得端系統(tǒng)能夠鑒別用戶或應用的身份。

3、AH首部格式

（1）下個首部（Next Header）：8位，標識AH首部后面的下一個有效載荷，其值為IP協(xié)議號。
（2）有效載荷長度（Payload Length）：8位，以32位字為單位，AH首部中鑒別數(shù)據(jù)的長度。
（3）保留（Reserved）：16位。必須置0，將來使用。
（4）安全參數(shù)索引（SPI）：32位，用于標識一個安全關聯(lián)。
（5）序列號（Sequence Number）：32位，唯一標識了每個報文分組，為安全關聯(lián)提供反重放保護。
（6）鑒別數(shù)據(jù)（Authentication Data）：長度可變，但為字長的整數(shù)倍，不足時可通過填充達到。鑒別數(shù)據(jù)包含完整性校驗值ICV。

三、Web安全協(xié)議

3.1 Web安全協(xié)議概述

1、目前用來保護Web頁面?zhèn)鬏敯踩膮f(xié)議主要有兩個：HTTPS和S-HTTP
（1）HTTPS：表示“Hypertext Transfer Protocol over Secure Socket Layer”。HTTPS不是獨立的協(xié)議，而是HTTP協(xié)議與SSL/TLS協(xié)議的組合。當使用HTTPS訪問頁面時，端口號為443。
（2）S-HTTP：表示“Secure Hypertext Transfer Protocol”。S—HTTP是獨立的安全超文本傳輸協(xié)議，可與HTTP共存并相互兼容。只有在雙方經(jīng)過協(xié)商都使用S-HTTP時，才進行安全的頁面?zhèn)鬏?。由于HTTPS的出現(xiàn)，S-HTTP已基本不用。

2、SSL/TLS安全套接層協(xié)議：工作在運輸層與應用層之間，可為各種應用層協(xié)議提供安全服務。

3、SSL（Secure Socket Layer）是一個用來保證傳輸安全的Internet協(xié)議。該協(xié)議通過在兩個實體（客戶和服務器）之間建立一個安全通道，來實現(xiàn)文件在Internet中傳輸?shù)谋Ｃ苄浴?/p>

3.2 SSL協(xié)議概念與結構

1、SSL協(xié)議概念與結構

2、SSL握手協(xié)議：在服務器端與客戶端在開始傳輸數(shù)據(jù)之前，相互鑒別并交換必要的信息以建立安全會話狀態(tài)。

3、SSL記錄協(xié)議：為不同的高層協(xié)議提供基本的安全服務，特別是超文本傳輸協(xié)議。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議上，用來安全封裝高層的協(xié)議。

4、修改密文協(xié)議：修改會話密文族。

5、告警協(xié)議：將SSL有關告警傳送對方實體。告警級別非為警告和致命，用來說明事件的嚴重等級。如果是致命的，SSL將立刻終止該連接。

6、SSL會話：SSL會話是客戶和服務器之間的關聯(lián)，會話通過握手協(xié)議來創(chuàng)建。會話定義了加密安全參數(shù)的一個集合，該集合可以被多個連接所共享。會話可以用來避免為每個連接進行新的安全參數(shù)的協(xié)商。

7、SLL連接：等同于網(wǎng)絡連接，只是增加了安全防護。對于SSL來說，每個連接與一個會話相聯(lián)系。

8、會話狀態(tài)的一些參數(shù)：
（1）會話標識符：服務器選擇的任意字節(jié)序列，用來標識活動的或可恢復的會話狀態(tài)。
（2）對方的證書：對方的X509.v3證書。狀態(tài)的這個元素可以為空。
（3）壓縮方法：在加密之前用來壓縮數(shù)據(jù)的算法。
（4）密文規(guī)約：指明大塊數(shù)據(jù)加密算法，用于MAC計算的散列算法，它還定義了加密屬性。
（5）主密鑰：48字節(jié)客戶/服務器之間的共享密鑰。
（6）可重用否：一個標志，用于指明該會話是否可以用來初始化一個新的連接。

9、連接狀態(tài)的一些參數(shù)：
（1）服務器和客戶端隨機數(shù)：服務器和客戶為每個連接選擇的字節(jié)序列。
（2）MAC密鑰：對發(fā)送數(shù)據(jù)進行MAC操作的密鑰。
（3）寫密鑰：對數(shù)據(jù)加密和解密的常規(guī)加密密鑰。
（4）初始化向量：當使用CBC模式的分組加密時，為每個密鑰維護的初始化向量。
（5）序號：每一方為每個連接的傳輸和接收報文維持著單獨的序號。

10、會話主密鑰與連接中使用密鑰的關系：
（1）有會話主密鑰生成各種連接的加密參數(shù)。
（2）客戶寫MAC密鑰，服務器寫MAC密鑰，客戶寫密鑰，服務器寫密鑰，客戶寫IV以及服務器寫IV。

3.3 SSL記錄協(xié)議

1、SSL記錄協(xié)議為SSL連接提供兩種服務：
（1）機密性：握手協(xié)議定義了共享的會話密鑰、由該密鑰生成用于對SSL有效載荷進行常規(guī)加密的密鑰。記錄協(xié)議使用該密鑰進行加密和解密。
（2）報文完整性：用會話密鑰生成報文鑒別碼（MAC）密鑰，進行報文的鑒別。

2、SSL記錄協(xié)議進行的操作：

（1）記錄協(xié)議接收要傳輸?shù)膽脠笪模瑢?shù)據(jù)分片，可選地壓縮數(shù)據(jù)，應用MAC，加密，增加首部，然后再TCP報文段中傳輸結果單元。
（2）被接收的數(shù)據(jù)被解密、驗證、解壓和重新裝配，然后交付給高層的用戶。

3、SSL記錄協(xié)議層報文格式

（1）內容類型（8bit）：指明所攜帶的高層協(xié)議類型（如：修改密文、告警、握手和應用數(shù)據(jù)）。
（2）主要版本（8bit）：指示使用SSL的主要版本。對于SSLv3，字段為0.
（3）壓縮長度（16bit）：明文數(shù)據(jù)片以字節(jié)為單位的長度（如果使用壓縮就是壓縮數(shù)據(jù)片的長度）。

3.4 SSL握手協(xié)議

1、握手協(xié)議的作用：使服務器和客戶能夠相互鑒別對方的身份、協(xié)商加密和MAC算法以及加密密鑰。即建立交換實體之間的會話或改變會話的狀態(tài)。

2、握手協(xié)議報文由三個字段組成：
（1）類型字段：用來說明報文的類型，握手協(xié)議報文中的常見類型將在下面介紹。
（2）長度字段：表示以字節(jié)為單位的報文長度。
（3）報文體：則用來攜帶不同類型報文的參數(shù)。

四、安全電子交易協(xié)議SET

SET協(xié)議提供了三種服務：
（1）在交易涉及的各方之間提供安全的通信信道。
（2）使用X.509v3數(shù)字證書進行身份鑒別。
（3）保證機密性，信息只是在必要的時候、必要的地方菜對交易各方可用。

4.1 SET協(xié)議概述

1、SET協(xié)議的特點：
（1）信息機密性：卡用戶的賬號和支付信息在網(wǎng)上傳輸時時加密的，SET防止商人得到卡用戶的信用卡號碼，該信息值對發(fā)卡銀行有用。
（2）數(shù)據(jù)完整性：卡用戶發(fā)送給商人的支付信息包括訂購信息、個人數(shù)據(jù)和支付提示。SET協(xié)議保證這些信息的內容在傳輸時不被修改。
（3）卡用戶賬號的鑒別：SET協(xié)議允許商人驗證卡用戶是否是有效卡賬號的合法用戶。
（4）商人的鑒別：SET允許卡用戶驗證商人與金融機構之間的關系及是否允許商人接受支付信用卡。
（5）互操作性：可以在不同的硬、軟件平臺上應用該規(guī)范。不論是持卡人還是商人，只要其SET軟件符合標準并兼容舊可以進行安全交易。
（6）與IPSec和SSL/TLS不同，SET對每種加密算法僅提供了一種選擇。這是因為SET是滿足單個需求集合的單個應用，而IPSec和SSL/TLS是要支持一定范圍的應用。

2、SET要求的事件序列：
（1）消費者開通賬號。消費者從支持電子支付和SET的銀行處獲得信用卡賬號。
（2）消費者獲得證書。經(jīng)過適當?shù)纳矸蒡炞C之后，消費者將收到包含帳戶信息摘要的X.509v3數(shù)字證書。證書將消費者的密鑰對和信用卡捆綁在一起(通過證書的擴展字段)。
（3）商家獲得證書。接受特定信用卡的商家必須獲得兩個X.509v3證書：一個用于報文簽名，一個用于密鑰交換。商人還需要支付網(wǎng)關的證書。
（4）消費者提出一項訂購。消費者通過瀏覽商家的網(wǎng)站來選擇商品并確定價格。然后，將要購買的商品清單發(fā)送給商家，商家返回包含了商品列表、價格、總價格和訂購號碼的表格。
（5）商家被驗證。除了訂購表格之外，商家還發(fā)送自己的證書。消費者可以驗證商家的合法性。
（6）發(fā)送訂購和支付信息。消費者將訂單、支付信息以及證書一起發(fā)送給商家，訂單確認對訂購表格中商品的購買，支付包含了信用卡的細節(jié)，支付信息被加密使商家不可閱讀，消費者的證書使商家可以鑒別消費者。
（7）商家請求支付認可。商家將支付信息發(fā)送給支付網(wǎng)關，請求核準消費者的存款是否足以支付這次購買。
（8）商家確認該項訂購。商家將訂購的確認發(fā)送給消費者。
（9）商家提供貨物或服務。商家將貨物遞送給消費者，或者為消費者提供服務。
（10）商家請求支付。這個請求被發(fā)送給支付網(wǎng)關，后者處理所有的支付細節(jié)。

4.2 雙向簽名

1、雙向簽名的目的：連接兩個發(fā)送給不同接收者的報文。

2、雙向簽名的構造過程：消費者取得PI的散列碼和OI的散列碼，將這兩個散列碼拼接起來，再取得拼接結果的散列碼。之后，使用其私有密鑰對最后的散列碼進行簽名，就創(chuàng)建了雙向簽名。即：DS=ESKc[H(H(PI)||H(OI))]

3、雙向簽名的驗證過程：
(1)商家驗證雙向簽名：假設商家獲得了雙向簽名(DS)、OI和PI的報文摘要(PIMD)，以及從消費者證書中取得的公開密鑰。然后商家可以計算這兩個數(shù)值： H(PIMD"|H(OI))、DPKc[DS]，如果兩個值相等，商家就驗證了該簽名。
(2)銀行驗證雙向簽名：如果銀行獲得了DS、PI和OI的報文摘要(OIMD)以及消費者的公開密鑰，那么銀行可以計算下面的數(shù)值：H(H(PI)||OIMD)、DPKc[DS]，如果兩個值相等，銀行就驗證了該簽名。

4.3 交易處理

4.3.1 購買請求

購買請求階段需要交換四個報文：發(fā)起請求、發(fā)起響應、購買請求和購買響應。

1、發(fā)起請求報文：(卡用戶→商家)
目的：請求商家和支付網(wǎng)關的證書(身份鑒別)。
明文傳輸。
報文主要內容：{請求/響應對ID、現(xiàn)時C、信用卡商標、發(fā)卡行標識}

2、發(fā)起響應報文：(商家→卡用戶)
商家生成響應，并用自己的私有密鑰對其簽名。
報文主要內容：{請求/響應對ID、現(xiàn)時C、現(xiàn)時M、交易ID、商家證書、支付網(wǎng)關證書}

3、購買請求：(卡用戶→商家)
收到響應報文后，卡用戶首先檢驗報文的合法性，然后通過相應的CA簽名來驗證商家證書和支付網(wǎng)關證書。
創(chuàng)建OI和PI(商家賦予的交易ID被放在OI和PI中)。接下來，卡用戶準備購買請求報文。為了這個目的，卡用戶生成了一次性的對稱加密密鑰KS。

4、購買響應：(商家→卡用戶)
商家收到了購買請求報文后，進行如下處理：
驗證卡用戶的證書。
使用消費者證書中的公開密鑰來驗證雙向簽名。
處理訂購信息，并將支付信息轉交給支付網(wǎng)關。
等待支付網(wǎng)關的確認，然后向卡用戶發(fā)送購買響應報文。

4.3.2 支付認可

1、認可請求：(商家→支付網(wǎng)關)
商家向支付網(wǎng)關發(fā)送一個認可請求報文，該報文由以下幾個部分組成：
與購買有關的信息：(來自消費者)
PI：支付信息。
雙向簽名DS：用消費者的私有密鑰簽名。
OI報文摘要(OIMD)
數(shù)字信封：封裝會話密鑰。

2、認可響應：(支付網(wǎng)關→商家)
支付網(wǎng)關收到商家認可請求后，完成下列工作：
驗證所有的證書。
解密商家數(shù)字信封，然后解密認可數(shù)據(jù)塊并驗證認可數(shù)據(jù)塊中商家的簽名。
解密卡用戶數(shù)字信封，然后解密支付數(shù)據(jù)塊并驗證支付數(shù)據(jù)塊的雙向簽名。
驗證商家交易ID與消費者PI中的交易ID是否匹配。
向發(fā)卡行請求和接收一個認可。

4.3.3 支付獲取

1、獲取請求：(商家→支付網(wǎng)關)
商家生成、簽署和加密獲取請求數(shù)據(jù)塊，數(shù)據(jù)塊中包括了支付的數(shù)量和交易ID。
報文還包括以前收到的關于本交易的加密獲取權標(在認可響應中)。
商家證書。

2、獲取響應：(支付網(wǎng)關→商家)
支付網(wǎng)關收到獲取請求報文后，進行如下處理：
解密并驗證獲取請求數(shù)據(jù)塊。
解密并驗證獲取權標塊。
檢查獲取請求和獲取權標的一致性。
創(chuàng)建清算請求并通過私有支付網(wǎng)絡發(fā)送給發(fā)卡行，這個請求引起資金被劃撥到商人的賬戶中。

3、SET協(xié)議的報文交互