本篇讲讲Javacard的双向验证:
简单地讲,内部认证是卡片产生密文,外部机器验证(机具验证CPU卡),而外部认证是卡片外部的机器(如终端)产生密文,卡片验证(CPU卡验证机具)。
CPU卡外部认证步骤简略分析:
(1)卡产生8 bytes的随机数发给机具,并临时保存一份在卡内。
(2)机具将收到的随机数,对其用密钥加密,得到8 bytes的密文,发给卡。
(3)卡自己也用同样的密钥(所以这里是对称密钥算法)解密密文得到8 bytes的待验证的随机数。
(4)比对随机数明文,比对通过则外部验证通过。
机具内部认证步骤:
(1)机具产生8 bytes随机数……
(2)发给卡,卡对其用密钥加密得密文,发给机具……
(3)机具解密……
(4)比对明文……
另外,这里有个密钥分散的问题:
机具需认证N张卡片,但每张卡片的密钥都不同,那么,不可能让机具存N个密钥吧,也不可能N台机具对应N张卡片,这些都不现实。
所以密钥分散:机具存放用户卡的母密钥,认证时,由母密钥根据用户卡的标识,计算得到用户卡的密钥。