Mifare 1卡(M1卡、IC卡)讀寫操作及作業原理整理
一、IC卡分類概述
IC(Integrated Circuit Card)卡,也稱為智能卡、智慧卡、微芯片卡等,IC卡按讀寫通訊方式分為接觸式、非接觸式和雙界面卡(即同時具備接觸式和非接觸式通訊介面),IC卡因為其固有的資訊安全、方便攜帶、比較完善的標準化等優點,廣泛應用于身份認證、銀行、電信、公共交通、車場管理等領域,例如二代身份證、銀行電子錢包、電話卡、公交卡、停車卡等等,
按結構分類:
存盤器卡:普通串行EEPROM存盤器,存盤方便,資訊簡單,不具備資訊加密,
邏輯加密卡:存盤區外增加了邏輯控制,訪問前必須核對密碼,
CPU邏輯卡:內嵌一顆特殊的單片機,除了內部帶有控制器、存盤器、時序控制邏輯等,還帶有演算法單元和作業系統,
接觸式IC卡芯片:
SLE4442、SLE4428、國產4442、國產4428,Atmel24C01/16/64,CPU,SIM,AT102、AT1604、AT1608,AT24xx、AT45041等
非接觸式IC卡芯片:
S50,S70,UL,TypeA CPU,TypeB CPU等
二、Mifare 1卡概述
Mifare 1卡是屬于非接觸式邏輯加密卡,MIFARE MF1是符合ISO/IEC 14443A的非接觸智能卡,其通訊層(MIFARE RF 介面)符合ISO/IEC 14443A標準的第2和第3部分,其安全層支持域檢驗的CRYPTO1資料流加密,
- 非接觸能源和資料傳遞
在MIFARE卡中,芯片連接到一個幾匝的天線線圈上,并嵌入塑料中,形成了一個無源的非接觸卡,不需要電池,當卡接近讀寫器天線時,高速的RF通訊介面將以106 kBit/s 的速率傳輸資料, - 防沖突
智能的防沖突功能可以同時操作讀寫范圍內的多張卡,防沖突演算法逐一選定每張卡,保證與選定的卡執行交易,不會導致與讀寫范圍內其他卡的資料沖突, - 用戶便捷性
MIFARE是針對用戶便捷性優化的,例如,高速資料傳輸使得完整的票務交易在不到100 ms內處理完畢,因此用戶不必在讀寫器天線處停留,形成高的通過率,減少了公共汽車的登車時間,在交易時,MIFARE卡可以留在錢包里,甚至錢包里有硬幣也不受影響, - 安全
安全的重點是防欺詐,相互亂數和應答認證、資料加密和報文鑒別檢查和,防止各種破解和篡改,使其更適于票務應用,不可更改的序列號,保證了每張卡的唯一性, - 多應用功能
MIFARE提供了可以與CPU卡媲美的真正多應用功能,每區兩個不同的密鑰支持采用分級密鑰的系統,
三、特性
- MIFARE RF 介面 (ISO/IEC 14443 A)
· 非接觸資料傳輸并提供能源(不需電池)
· 作業距離:可達100mm (取決于天線尺寸結構)
· 作業頻率:13.56 MHz
· 快速資料傳輸:106 kbit/s
· 高度資料完整性保護:16 Bit CRC,奇偶校驗,位編碼,位計數
· 真正的防沖突
· 典型票務交易: < 100 ms (包括備份管理) - EEPROM
· 1 Kbyte,分為16個區,每區4個塊,每塊16位元組,
· 用戶可定義記憶體塊的讀寫條件
· 資料耐久性10年
· 寫入耐久性100.000次 - 安全性
· 相互三輪認證(ISO/IEC DIS9798-2)
· 帶重現攻擊保護的射頻通道資料加密
· 每區(每應用)兩個密鑰,支持密鑰分級的多應用場合
· 每卡一個唯一序列號
· 在運輸程序中以傳輸密鑰保護對EEPROM的訪問權
四、功能說明
1. 方框圖說明
MF1 S50集成電路芯片內含1 Kbyte EEPROM、RF介面和數字控制單元,能量和資料通過天線傳輸,卡中天線為幾匝線圈,直接連接到芯片上,不再需要額外的組件, 
· RF介面:調制解調器、檢波器、時鐘發生器、上電復位、穩壓器
· 防沖突:讀寫范圍內的幾張卡可以逐一選定和操作,
· 認證:在所有存盤器操作之前進行認證程序,以保證必須通過各塊指定的密鑰才能訪問該塊,
· 控制和算術邏輯單元:數值以特定的冗余格式存盤,可以增減,
· EEPROM介面
· 加密單元:域驗證的CRYPTO1 資料流加密,保證資料交換的安全,
· EEPROM: 1 Kbyte,分16區,每區4塊,每一塊有16位元組,每區的最后一塊稱作“尾塊”,含有兩個密鑰和本區各塊的讀寫條件,
2. 通訊原理
命令由讀寫器發出,根據相應區讀寫條件受數字控制單元的控制,
2.1 呼叫(REQUEST STANDARD / ALL)
卡上電復位后,通過發送request應答碼(ATQA 符合ISO/IEC 14443A),能夠回應讀寫器向天線范圍內所有卡發出的request 命令,
2.2 防沖突回圈(ANTICOLLISION LOOP)
在防沖突回圈中,讀回一張卡的序列號,如果在讀寫器的作業范圍內有幾張卡,它們可以通過唯一序列號區分開來,并可選定以進行下一步交易,未被選定的卡轉入待命狀態,等候新的request命令,
2.3 選卡(SELECT CARD)
讀寫器通過select card命令選定一張卡以進行認證和存盤器相關操作,該卡回傳選定應答碼(ATS= 08h),明確所選卡的卡型,
2.4 三輪認證(3 PASS AUTHENTICATION)
選卡后,讀寫器指定后續讀寫的存盤器位置,并用相應密鑰進行三輪認證,認證成功后,所有的存盤器操作都是加密的,
2.5 存盤器操作
認證后可執行下列操作:
· 讀資料塊
· 寫資料塊
· 減值:減少資料塊內的數值,并將結果保存在臨時內部資料暫存器中,
· 加值:增加資料塊內的數值,并將結果保存在資料暫存器中,
· 恢復:將資料塊內容移入資料暫存器,
· 轉存:將臨時內部資料暫存器的內容寫入數值塊,
3. 資料完整性
在讀寫器和卡之間的非接觸通訊鏈接中實施下列機制,以保證資料傳輸的可靠性:
· 每塊16 bit CRC
· 每位元組的奇偶位
· 位計數檢查
· 位編碼,以區分”1”、 ”0”和無資訊,
· 通道監控(協議序列和位流分析)
4. 安全
采用符合ISO 9798-2的三輪認證,以保證高度的安全性,
4.1 三輪認證流程
a) 讀寫器指定要訪問的區,并選擇密鑰A或B,
b) 卡從位塊讀區密鑰和訪問條件,然后,卡向讀寫器發送亂數,(第一輪)
c) 讀寫器利用密鑰和亂數計算回應值,回應值連同讀寫器的亂數,發送給卡 (第二輪),
d) 卡通過與自己的亂數比較,驗證讀寫器的回應值,再計算回應值并發送(第三輪),
e) 讀寫器通過比較,驗證卡的回應值,
在第一個亂數傳送之后,卡與讀寫器之間的通訊都是加密的,
5. RF介面
RF介面符合非接觸智能卡標準ISO/IEC 14443A,
讀寫器的載波電磁場始終存在(發送中有短暫中斷),因為它用作卡的電源,對于兩個方向的資料通訊,每個資料幀都只有一個起始位,所傳送的每個位元組末尾都有一個奇偶校驗位(奇校驗),選定塊最低地址位元組的最低位首先傳送,最大幀長為163 bit(16資料位元組 + 2個CRC位元組 = 16 * 9 + 2 * 9 + 1 起始位),
6. 存盤器組織
1024 x 8 bit EEPROM存盤器分為16區,每區4塊,每塊16位元組,
在擦處后的狀態下,EEPROM的單元讀為邏輯“0”,寫后的狀態下讀為“1”,
6.1 廠商代碼塊
這是第1區的第1塊(塊0),它含有集成電路制造商資料,出于安全和系統需求,此塊是制造商在生產程序中編程后寫保護的,
6.2 資料塊
各區均有3個16位元組的塊用于存盤資料(區0只有兩個資料塊以及一個只讀的廠商代碼塊),
資料塊可以通過讀寫控制位設定為:
· 讀寫塊,例如用于非接觸門禁管理
· 數值塊,例如用于電子錢包,另有可直接控制存盤值的命令,如增值、減值,
在任何存盤器操作之前必須執行認證命令,
6.2.1 數值塊
數值塊具有電子錢包功能(有效命令:read, write, increment,decrement, restore, transfer),
數值塊有固定的資料格式,以便于錯誤檢測、糾錯和備份管理,
數值塊只能通過以數值塊格式的寫操作生成:
· 數值:有符號4位元組數值,數值的最低位元組存盤在最低地址位元組,負值以標準的2的補碼形式存盤,出于資料完整性和安全原因,數值存盤三次,兩次不取反,一次取反,
· 地址(Adr):1位元組地址,當進行備份管理時,可用于保存塊的地址,地址保存四次,兩次取反,兩次不取反,在increment、decrement、restore和transfer 操作中,地址保持不變,它只能通過write命令更改,
6.3 尾塊(塊3)
各區均有一個尾塊,存有:
· 密鑰A和B(可選),讀時回傳邏輯“0”,
· 該區四個塊的讀寫條件,存盤在位元組6至9 ,讀寫控制位也指定了資料塊的型別(讀寫塊或數值塊),
如果不需要密鑰B,塊3的最后6位元組可以用作資料位元組,
尾塊的位元組9可用于用戶資料,因為此位元組享有與位元組6、7、8相同的讀寫權限,
7. 存盤器讀寫
必須如前所述,先選定卡并通過認證,才能執行存盤器操作,
存盤器操作:
| 操作 | 說明 | 使用塊型 |
|---|---|---|
| 讀 | 讀存盤器塊 | 讀寫、數值和尾塊 |
| 寫 | 寫存盤器塊 | 讀寫、數值和尾塊 |
| 增值 | 增加塊的內容,并將結果存入內部暫存器 | 數值 |
| 減值 | 減少塊的內容,并將結果存入內部暫存器 | 數值 |
| 轉存 | 將內部暫存器內容寫入塊中 | 數值 |
| 恢復 | 將塊中內容寫入內部暫存器 | 數值 |
對指定塊可以執行的存盤器操作取決于所用的密鑰和存盤在相應尾塊中的讀寫條件,
7.1 讀寫條件
每個資料塊和尾塊的讀寫條件均由3個bit定義,并以非取反和取反形式保存在各個區的尾塊中,
讀寫控制位管理著使用密鑰A和B讀寫存盤器的權限,如果知道相關的密鑰,并且當前讀寫條件允許,讀寫條件是可以更改的,
| 讀寫控制位 | 有效命令 | 塊 | 說明 | |
|---|---|---|---|---|
| C13 C23 C33 | read, write | ? | 3 | 尾塊 |
| C12 C22 C32 | read, write, increment, decrement, transfer, restore | ? | 2 | 資料塊 |
| C11 C21 C31 | read, write, increment, decrement, transfer, restore | ? | 1 | 資料塊 |
| C10 C20 C30 | read, write, increment, decrement, transfer, restore | ? | 0 | 資料塊 |
注意:在每一次存盤器讀寫時,內部邏輯會驗證存盤條件的格式,如果發現個是錯誤,這個區將被永久性鎖死,
注意:在下列說明中,讀寫控制位是僅以非取反形式表述的,
MF1的內部邏輯保證了命令只有在通過認證后才被執行,
7.2 尾塊的讀寫條件
對密鑰和控制位的讀寫取決于尾塊(塊3)的訪問控制位,分為“禁止”、“KEY A”、“KEY B”和“KEY A|B”( KEY A或KEY B),
控制塊(塊3)的存取控制如下:
(計算出C13,C23,C33即可在下表中找出塊0對應的權限)
7.3 資料塊的訪問控制條件
對資料塊(塊0至2)的讀寫訪問取決于其訪問控制位,分為“禁止”、“KEY A”、“KEY B”和“kEY A|B”( KEY A或KEY B),相關訪問控制位的設定確定了其用途以及相應的可用命令,
· 讀寫塊:允許讀、寫操作,
· 數值塊:運行另外的數值操作——加值、減值、轉存和恢復,在用于非充值卡的一 種情況(‘001’)下,只能夠讀和減值,在另一種情況(‘110‘)下,可以用key B充值,
· 制造廠商塊:只讀,不受訪位控制位設定的影響!
· 密鑰管理:在傳輸配置狀態下,必須用key A 認證,
資料塊(塊0,塊1,塊2)的存取控制如下:
(計算出C10,C20,C30即可在下表中找出塊0對應的權限)
以上是最近除錯IC卡功能的歸納整理,感謝以下兩位大神的帖子:
https://blog.csdn.net/liujianhua1989/article/details/72639307
https://blog.csdn.net/qizewei123/article/details/80514083?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_param_isCf&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_param_isCf
希望可以給到需要的人參考,如有描述有誤的還望提醒!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/54109.html
標籤:其他