相互鉴别的原理立足在双重单方向鉴别之上，两个分别的单方向鉴别可以为通信双方依次执行。原则上，这也是一种相互鉴别。然而，由于通信的开销必须保持为尽可能低以减少处理所需时间，这里有一种交叉这两个单方向鉴别过程的方法，它同样也为过程增大了安全性，因为它使得一个攻击者较难干预通信过程。

　　在终端能从卡编号算出卡专有鉴别密钥之前，它首先需要卡编号。当终端接收此编号后，它将算出关于这张卡的专有鉴别密钥。于是，它向卡请求一个随机数而同时本身也产生一个随机数，然后终端和卡交换这两个随机数并把它们先后存放起来，接着它用鉴别密钥加密此随机数。最后，它把结果的密文发送给卡，逆转随机数的目的在于使得口令和回令能相互区别开来。

　　卡可以解密接收的字组并检查先前送给终端的随机数是否与它收到的那个返回的相同。如果情况确实如此，则智能卡了解到终端拥有此密钥，对于卡来说鉴别了终端。此后，智能卡交换这两个随机数，用秘密密钥加密它们并将结果送回给终端。

　　终端将接收到的字组解密并比较它先前送给卡的随机数和接收到的回送的那个，如果它们相等，则终端也鉴别了智能卡。这样就完成了相互鉴别的处理，而终端和智能卡双方都知道另一方是值得信任的，相互鉴别的过程如图1所示。

　　图1 用卡专用密钥和对称加密算法的相互鉴别（所
　　示过程相应于智能卡和终端用150/ iec 7816-
　　8 authienticate命令实现的相互鉴别）

　　为了缩短通信时间，智能卡可在回送随机数时连同卡编号一起送出，当智能卡和一后台系统进行相互鉴别时对这一点特别感兴趣。在这种情况下，卡由后台系统直接访问，而终端是透明的。这种情况下的数据传输率特别低，通信过程应能简化就简化。

　　为了说明和单方鉴别比相互鉴别对时间的需要量相当可观，我们可以再次做一个简单的计算。基本的假定和单方向鉴别所需时间的计算是一样的，可以看到，相互鉴别占用了单方向鉴别所需的时间近三倍之多，如表1所示。

　　表1 智能卡相互鉴别处理时间的计算，已把数据传输时间考虑在内
　　（假定没有使用导出密钥，所以gei chip number取芯片编号命令是不需要的）

　　欢迎转载，信息来源维库电子市场网（www.dzsc.com）