Javacard的内部认证和外部认证

本篇讲讲Javacard的双向验证：

简单地讲，内部认证是卡片产生密文，外部机器验证（机具验证CPU卡），而外部认证是卡片外部的机器（如终端）产生密文，卡片验证（CPU卡验证机具）。

CPU卡外部认证步骤简略分析：

（1）卡产生8 bytes的随机数发给机具，并临时保存一份在卡内。

（2）机具将收到的随机数，对其用密钥加密，得到8 bytes的密文，发给卡。

（3）卡自己也用同样的密钥（所以这里是对称密钥算法）解密密文得到8 bytes的待验证的随机数。

（4）比对随机数明文，比对通过则外部验证通过。

机具内部认证步骤：

（1）机具产生8 bytes随机数……

（2）发给卡，卡对其用密钥加密得密文，发给机具……

（3）机具解密……

（4）比对明文……

另外，这里有个密钥分散的问题：

机具需认证N张卡片，但每张卡片的密钥都不同，那么，不可能让机具存N个密钥吧，也不可能N台机具对应N张卡片，这些都不现实。

所以密钥分散：机具存放用户卡的母密钥，认证时，由母密钥根据用户卡的标识，计算得到用户卡的密钥。