除验证持卡人的命令之外，这里还有另外一组命令用于鉴别终端和卡，因为每一对这种通信的搭档都是用 完整的计算机装各起来的，可以使此过程变得比较复杂，因而和使用pin验证的比起来也更加安全。

　　在pin验证中，卡经接口接收一个以明文表示的秘密代码（pin），而它仅仅需要和保留在存储器中的pin相 比较。在传输线上的窃听将具有致命的后果。因而，现代鉴别方法被设计成使得这种攻击成为不可能。

　　原则上，鉴别包含着验证通信双方都知道的秘密，而并不需要把它经接口传送，过程构造成出现的数据传 送并不会危及鉴别的安全。和操作系统有关，有不同的命令用于鉴别卡或终端，或同时鉴别二者。为了清晰 起见，这一节和本章的其余部分讨论在卡和终端之间的鉴别。按照信息技术的用语，虽然是‘其余的领域’ ，仍然是对卡中的一项应用的鉴别。没有验证把卡当做一个真的完整的整体，相反，只是嵌人的微控制器和 外部的领域共享一个秘密，在某些应用中必须考虑到这一点。

　　在许多操作系统中，用于鉴别的密钥受到重试计数器的保护。如果一个终端过于频繁地试行不成功的鉴别 ，卡将封锁与更多鉴别试验有关的密钥。出于对系统的安全性，没有任何理由拒绝这一点。但是有一个不利 之处，复位鉴别重试计数器经常包含着非常复杂的逻辑上的困难和昂贵的管理过程。因此，有些系统就没有 鉴别密钥的重试计数器。

　　为了安全的缘故，只有卡专用的密钥才用于鉴别，这些密钥可由卡的独有的特性来产生。序列号或卡的生 产号非常适合于这一用途。这种非秘密的（因而是公开的）数字可用适当的命令由卡中读出。目前，尚无标 准包括这一点，这里我们使用get chip number（取芯片号）。此名字随操作系统而异，如同数据也在改变 一样。get chip number命令从卡取得了一个惟一的序列号，考虑到des算法8字节长是较为可取的，这个序 号列可用来毫不含糊地识别芯片并计算卡的专用密钥。

　　为了鉴别还需要更多的命令，像规定在en 726－3中的ask random（请求随机数）。这是向卡请求一个随机 数，鉴别时要用到。在iso/iec 78164中这条命令被称作get chaip enge（问口令），其功能是一样的。在 des鉴别时，典型的数字长度为8字节，对别的加密算法可以有所不同。表1和表2给出了这几条为准各鉴别而 需用的命令的具体功能。

　　表1 get chip number的功能

　　表2 按照en 726－3的ask fiandom的功能和按照iso/iec 7816-4的get challenge的功能

　　为了在下面例子的处理中避免不必要的复杂性，我们省略了对卡的专用密钥的导出，为了安全这却是绝对必要的。

　　命令internal authenticate使得终端可以鉴别一张卡，或在多应用卡中去鉴别一个应用，这条命令可用来验明一张卡是否真实的。卡接受一个随机数，然后用仅有它和终端知道的密钥予以加密，所用加密算法可以是像des等，操仵的结果在响应中回送给终端，终端执行和卡相同的加密并将结果和卡的响应中所包含的相比较。如果一致，即可得知卡知道鉴别密钥，故必定是真实的，于是就鉴明了卡。internal authenticate命令的功能和鉴别过程如表3和图1所示。

　　表3 遵照iso/iec 7816-4的internal authenticate的功能

图1 internal authenticate过程举例

　　这条命令实现了一对通信搭档的标准口令响应鉴别程序，包含在口令中的确切数据在iso/iec 7816-4标准中未做细致规定。惟一标准化的是送给卡之值必须是随机的并且是会话专用的（sesslon-specific）。因而，对internal autenticate命令以及下述的其他鉴别命令就必须有一个详细的规范，以便把它们用在多应用系统（interoperably可共用的）中。

　　命令external authenticate被终端用来向卡说明它是被连到了一个真实的终端上，命令必须由终端启动，其功能如表4所示。因为通信过程必须｀总是运行在命令－响应的构架之内。卡可以封锁对某些文件的访问来强迫终端进行鉴别，直到终喘被成功鉴别为止。

　　过程如下：首先终端发送ask random去向卡请求一随机数，而后此数用秘密密钥加密。在下一条命令external authenticate中，终端把加密了的随机数返回给卡，卡用它也知道的秘密密钥以同样的方式加随机数并将结果与从终端所得之数相比较。若它们相同，则终端必定也占有此秘密鉴别密钥于是被鉴明。external authenticate的过程如图2所示。在终端成功被鉴别后， 操作系统改变状态机之状态，使得终端可以对某些文件进行读写访问。对于用户，这是一项外部鉴别的可以 认知的结果。