鉴别的目的是核查通信伙伴的身份和真实性。在智能卡世界中，其含义就是卡或终端要确定相应的通信伙伴是否名副其实。为了明确起见，“辨认”或“识别”（identification）一词在本书中指的总是对人的鉴别测试，虽然原则上它属于鉴别的一般概念。

　　鉴别的可能性在于通信的双方必须具有一个共同的可以用鉴别的方法来核查的秘密，比起纯粹的不过是（例如）用pin来确认的“辨认”方法，鉴别的方法显然要安全多了。在前者的情况下，所有发生的是把一个秘密（pin）送给卡，如果它是正确的就确认其真实性，这种方法的不利之处是把秘密作为明文送给卡的，这就是说攻击者很容易了解到这个秘密（pin）。

　　相反，对于鉴别方法则不可能由在通信通道上的窃听去找到共同的秘密，因为这个秘密没有经过接口公开传送。在静态鉴别和动态鉴别间也有很大的区别，在静态鉴别方法中，同一（静态）数据总是用于鉴别，而动态方法则相反，它防止了把在先前的会话中记录的数据重新输人的攻击，这是因为每次鉴别都基于不同的数据。

　　在单方的和相互的鉴别之间也有一个基本的区别，单方鉴别，如果成功了，则建立起了通信双方之一的真实性；相互鉴别，如果成功了，则建立起通信双方的真实性。

　　鉴别方法都是立足于加密算法的，而在智能卡中的应用可进一步划分为对称的和非对称的方法。目前，在智能卡中几乎对称的方法被独占地使用着；非对称方法，这就是说那些基于rsa算法或类似算法由于它们的执行速度太慢，对智能卡来说尚未具有任何实际意义。然而，可以预见这种情况在未来将会改变。在任何情况下，非对称方法的工作原理和对称方法是一样的。

　　这里有几个和鉴别设备有关的标准。iso/iec 9798标准是其中最卓越的，这项标准的第2部分叙述了对称方法，而第3部分则叙述非对称方法。基本上，iso/iec 9798标准的五个部分形成了对通用的鉴别方法的汇编，包括对称、非对称、mac为基础的和零知识为基础的等等。

　　在智能卡领域的鉴别的原理都是基于口令－回令方法的，在此方法中，通信的一方首先向另一方问一个随机的问题（口令）。另一方计算出一个使用算法得出的答案并送出此答案（回令）给原方。当然，算法使用了一共享秘密密钥的密码术，而密钥则是通信双方共有的秘密。

　　上述各种鉴别方法的分类如图1所示。

　　图1 智能卡所用的鉴别法分类

　　欢迎转载，信息来源维库电子市场网（www.dzsc.com）