分立元件读M1卡UID电路

0x01契机一直没有机会也没下定决心认真的去研究某个安全领域，很早之前就看到好多人研究RFID，一直很憧憬那片天空，趁着老大给机会，决定选这个方向作为个人业余努力的方向。

差不多四天前入手了ACR122U，决定拿自己母校的餐厅饭卡练手。

ACR122U的使用很简单，只要安装上驱动，使用M1卡服务程序就可以很快破解，破解完成后查看其生成的dump文件，找到加密扇区的密码，将密码导入到MCT (Mifare Classic Tool)，剩下的就可以完全使用MCT 完成了，个人很怀疑破解过程是否完全可以通过手机（支持NFC）APP完成。

ACR122U的详细使用过程可以参考：RFID安全之某学校水卡破解，本文主要介绍目前M1卡中的数据分析和M1卡安全防护方案。

0x02背景知识了解M1卡的结构可以知道M1卡共16个扇区，编号从0到15，每个扇区配备了从0到3共4个段，每个段可以保存16字节的内容。

0x03数据分析阅读《RFID安全之某学校水卡破解》可以发现该学校的水卡中数据存储比较简单，按照作者的分析，4号扇区的1、2号数据段（编号从0开始）存储了水卡余额，将已知的余额32.31，换算为分为3231，再转为10进制为C9F，即00000C9F，而0C9F取反为FFFFF360，这时比较下4号扇区的值，很容易发现规律：前四个字节不取反倒序（9F0C0000）存储余额，接下来四个字节取反倒序（60F3FFFF）存储余额，再接下来四个字节不取反倒序（9F0C0000）存储余额。

上面提到的“倒序”，可以结合计算机数据存储方式来理解：如下图所示，变量a存储的数据对应的16进制为0A112233，变量b存储的数据对应的16进制为0B445566。

这样就很明显了，5634120A，就是变量a所代表的数据的十六进制0A123456的倒序。

作为入门教程，个人认为《RFID安全之某学校水卡破解》是非常不错的。

看完这个教程，并实践结束后，我停下来思考这样一个问题：M1卡的密码破解是傻瓜式的，当然也有文章介绍破解原理，但是作为门外汉，目前我还不是特别关心，我只想找到那种破解成功，可以修改金额的快感！那么在整个M1卡的破解过程中，我自己到底起了什么作用？答案是卡片的数据分析。

M1卡应用总结前不久发了<<最近设计的M1读卡器（LPC11U14）>>/thread- 298692-1-1.html,一直没有时间对卡片操作进行说明。

通过一段时间的努力，对M1卡的操作有了一定的认识，下面总结一下M1卡操作及注意事项。

M1卡是一种非接触卡，应用非常广泛。

其主要特点如下:1.1 MIFARE RF 接口 (ISO/IEC 14443 A)? 非接触数据传输并提供能源（不需电池）? 工作距离：可达100mm （取决于天线尺寸结构）? 工作频率：13.56 MHz? ?快速数据传输：106 kbit/s? 高度数据完整性保护：16 Bit CRC，奇偶校验，位编码，位计数? 真正的防冲突? 典型票务交易： < 100 ms （包括备份管理）1.2 EEPROM? 1 Kbyte，分为16个区，每区4个块，每块16字节。

? 用户可定义内存块的读写条件? 数据耐久性10年? 写入耐久性100.000次?1.3 安全性? 相互三轮认证（ISO/IEC DIS9798-2）? 带重现攻击保护的射频通道数据加密? 每区（每应用）两个密钥，支持密钥分级的多应用场合? 每卡一个唯一序列号? 在运输过程中以传输密钥保护对EEPROM的访问权?卡片工作原理卡片内部框图卡片操作各种非接触卡对于M1卡的操作，支持的芯片有很多，如NXP公司的RC500，RC530，RC531，RC522以及复旦微电子的FM1702等等。

不过比较常用的应该是RC500，这款芯片资料比较多，应用广泛，但只支持并口操作。

RC530和RC500差不多，多了SPI 接口，而RC531又多了对B卡的支持，其他和RC530差不多。

这几款芯片的价格都比较贵，我们可以直接用复旦微电子的芯片替换，价格会便宜些。

如果不需要支持B卡，为了降低成本完全可以使用RC522，此款芯片是NXP为了降低开发和芯片成本而从新设计的一款非接触卡操作芯片。

Mifare 1非接触IC卡技术说明1 特性1.1 MIFARE RF 接口(ISO/IEC 14443 A)∙非接触数据传输并提供能源（不需电池）∙工作距离：可达100mm （取决于天线尺寸结构）∙工作频率：13.56 MHz∙ 快速数据传输：106 kbit/s∙高度数据完整性保护：16 Bit CRC，奇偶校验，位编码，位计数∙真正的防冲突∙典型票务交易：< 100 ms （包括备份管理）1.2 EEPROM∙ 1 Kbyte，分为16个区，每区4个块，每块16字节。

∙用户可定义内存块的读写条件∙数据耐久性10年∙写入耐久性100.000次1.3 安全性∙相互三轮认证（ISO/IEC DIS9798-2）∙带重现攻击保护的射频通道数据加密∙每区（每应用）两个密钥，支持密钥分级的多应用场合∙每卡一个唯一序列号∙在运输过程中以传输密钥保护对EEPROM的访问权2 概述MIFARE MF1是符合ISO/IEC 14443A的非接触智能卡。

其通讯层（MIFARE RF 接口）符合ISO/IEC 14443A标准的第2和第3部分。

其安全层支持域检验的CRYPTO1数据流加密。

2.1 非接触能源和数据传递在MIFARE卡中，芯片连接到一个几匝的天线线圈上，并嵌入塑料中，形成了一个无源的非接触卡。

不需要电池。

当卡接近读写器天线时，高速的RF通讯接口将以106 kBit/s 的速率传输数据。

卡4匝线圈读卡器嵌入的芯片模块天线能量数据2.2 防冲突智能的防冲突功能可以同时操作读写范围内的多张卡。

防冲突算法逐一选定每张卡，保证与选定的卡执行交易，不会导致与读写范围内其他卡的数据冲突。

2.3 用户便捷性MIFARE 是针对用户便捷性优化的。

例如，高速数据传输使得完整的票务交易在不到100 ms 内处理完毕。

因此用户不必在读写器天线处停留，形成高的通过率，减少了公共汽车的登车时间。

在交易时，MIFARE 卡可以留在钱包里，甚至钱包里有硬币也不受影响。

银深源M1卡技术标准M1卡简介：M1芯片，是指菲利浦下属子公司恩智浦出品的芯片缩写，全称为NXP Mifare1系列，常用的有S50及S70两种型号。

目前已经有国产芯片与其兼容，利用PVC封装M1芯片、感应天线，然后压制成型后而制作的卡即是智能卡行业所说的M1卡，属于非接触式IC卡。

非接触式IC卡又称射频卡，成功地解决了无源(卡中无电源)和免接触这一难题，是电子器件领域的一大突破。

主要用于公交、轮渡、地铁等自动收费系统，也应用在门禁管理、身份证明和电子钱包。

M1卡，优点是可读可写的多功能卡，缺点是：价格稍贵，感应距离短，适合非定额消费系统、停车场系统、门禁考勤系统等。

M1卡工作原理:射频读写器向M1卡发一组固定频率的电磁波，卡片内有一个LC串联谐振电路，其频率与读写器发射的频率相同，在电磁波的激励下，LC谐振电路产生共振，从而使电容内有了电荷，在这个电容的另一端，接有一个单向导通的电子泵，将电容内的电荷送到另一个电容内储存，当所积累的电荷达到2V时，此电容可做为电源为其它电路提供工作电压，将卡内数据发射出去或接取读写器的数据。

M1(S50)卡详细规格：芯片类型:Philips Mifare 1 IC S50；存储容量:8Kbit，16个分区，每分区两组密码；工作频率:13.56 MHz；通讯速率:106KBoud；读写距离:2.5～10cm；读写时间:1～2ms；工作温度:-20℃～55℃；擦写寿命:>100,000次；数据保存:>10年；外形尺寸:ISO标准卡 85.6x54x0.82；封装材料:PVC、PET、PETG、0.13mm铜线；封装工艺:超声波自动植线/自动碰焊；执行标准:ISO14443A；典型应用：企业/校园一卡通、公交储值卡、高速公路收费、停车场、小区管理、会员卡、会员管理等。

M1(S70)卡详细规格：1、容量为 32K 位 EEPROM；2、分为 40 个扇区，其中 32 个扇区中每个扇区存储容量为 64 个字节，分为 4 块，每块16 个字节；以块为存取单位以块为存取单位；3、每个扇区有独立的一组密码及访问控制；4、每张卡有唯一序列号，为 32 位；5、具有防冲突机制，支持多卡操作；6、无电源，自带天线，内含加密控制逻辑和通讯逻辑电路；7、数据保存期为 10 年，可改写 10 万次，读无限次；8、工作温度： -20 ℃ ~50 ℃ ( 湿度为 90%)；9、工作频率： 13.56MHZ；10、通信速率：106 KBPS；11、读写距离： 10 cm 以内（与读写器有关）。