分立元件读M1卡UID电路

12.04分立元件组成的基本门电路

4、三极管“非门”电路三极管“非门”
(1)、电路和符号 R1 A R2 -VBB (2)、工作原理 (3)、 (3)、表达式和真值表 +VCC RC F A 1 F
真值表：真值表：
F=A
A 0 1
F 1 0
5、“与非” 与非” 门
实际上，可以将二极管“ 实际上，可以将二极管“与”门和三极管“非”门门和三极管“ 组合在一起而构成“与非” 组合在一起而构成“与非”门。 +12V +VCC DA A B C DB DC
A B C
≥1
F
2、工作原理
真值表：真值表：
有高出高，有高出高，全低出低
A B C DA
-12V R F
ABC 000 001 010 011 100 101 110 111
F 0 1 1 1 1 1 1 1
DB DC
3、表达式和真值表
F=A+B+C
二：晶体管的开关作用
晶体管不仅具有放大作用，晶体管不仅具有放大作用，而且还具有开关作用。在数字电路中就是利用晶体管的开关作用。作用。在数字电路中就是利用晶体管的开关作用。如前所述，我们可以根据如前所述，我们可以根据UCC和RC作出直流负载线，负载线，负载线与晶体管输出特性曲线的交点就是静态工作点，工作点的位置由偏流I 确定。是静态工作点，工作点的位置由偏流 B确定。由于工作点的位置不同，晶体管有三种工作状态。于工作点的位置不同，晶体管有三种工作状态。一、放大状态 1、发射结正偏，集电结反偏发射结正偏， UCE=UCC-RCIC成立 2、IC=βIB成立
数字电路在数字计算机数字控制数据采集和处理数数字电路在数字计算机数字控制数据采集和处理数字通讯等领域获得广泛应用

M1卡核心资料

尽管国外对 IC 卡已有多年的研究但真正在 IC 智能卡中特别是 CPU 卡类非接触式 IC 智能射频卡内建 MCU ASIC 等方面的研究也仅有 1~~2 年的成熟期因为他们也看到了 CPU 卡特别是非接触式 IC 智能射频卡内建 MCU ASIC 等代表了整个刷卡领域的发展方向前景光明
三遍认证如图所示为三遍认证的令牌原理框图
非接触式卡片
(E)
读写器
A RB B TOKEN AB (D)TOKEN BA
Mifare 1
卡片
(C)
认证过程是这样进行的 A 环由 Mifare 1 卡片向读写器发送一个随机数据 RB B 环由读写器收到 RB 后向 Mifare 1 卡片发送一个令牌数据 TOKEN AB 其中包含了读写器发出的一个随机数据 RA C 环 Mifare 1 卡片收到 TOKEN AB 后对 TOKEN AB 的加密的部分进行解密并校验第一次由 A 环中 Mifare 1 卡片发出去的随机数 RB 是否与 B 环中接收到的 TOKEN AB 中的 RB 相一致 D 环如果 C 环校验是正确的则 Mifare 1 卡片向读写器发送令牌 TOKEN BA 给读写器 E 环读写器收到令牌 TOKEN BA 后读写器将对令牌 TOKEN BA 中的 RB 随机数进行解密并校验第一次由 B 环中读写器发出去的随机数 RA 是否与 D 环中接收到的 TOKEN BA 中的 RA 相一致如果上述的每一个环都为真都能正确通过验证则整个的认证过程将成功读
的无线电调制频率接收一方面送调制/解调模块另一方面进行波形转换将正弦波转换为方波然后对其整流滤波由电压调节模块对电压进行进一步的处理包括稳压等最终输出供给卡片上的各电路

RFID之M1卡数据资料

0x01契机一直没有机会也没下定决心认真的去研究某个安全领域，很早之前就看到好多人研究RFID，一直很憧憬那片天空，趁着老大给机会，决定选这个方向作为个人业余努力的方向。

差不多四天前入手了ACR122U，决定拿自己母校的餐厅饭卡练手。

ACR122U的使用很简单，只要安装上驱动，使用M1卡服务程序就可以很快破解，破解完成后查看其生成的dump文件，找到加密扇区的密码，将密码导入到MCT (Mifare Classic Tool)，剩下的就可以完全使用MCT 完成了，个人很怀疑破解过程是否完全可以通过手机（支持NFC）APP完成。

ACR122U的详细使用过程可以参考：RFID安全之某学校水卡破解，本文主要介绍目前M1卡中的数据分析和M1卡安全防护方案。

0x02背景知识了解M1卡的结构可以知道M1卡共16个扇区，编号从0到15，每个扇区配备了从0到3共4个段，每个段可以保存16字节的内容。

0x03数据分析阅读《RFID安全之某学校水卡破解》可以发现该学校的水卡中数据存储比较简单，按照作者的分析，4号扇区的1、2号数据段（编号从0开始）存储了水卡余额，将已知的余额32.31，换算为分为3231，再转为10进制为C9F，即00000C9F，而0C9F取反为FFFFF360，这时比较下4号扇区的值，很容易发现规律：前四个字节不取反倒序（9F0C0000）存储余额，接下来四个字节取反倒序（60F3FFFF）存储余额，再接下来四个字节不取反倒序（9F0C0000）存储余额。

上面提到的“倒序”，可以结合计算机数据存储方式来理解：如下图所示，变量a存储的数据对应的16进制为0A112233，变量b存储的数据对应的16进制为0B445566。

这样就很明显了，5634120A，就是变量a所代表的数据的十六进制0A123456的倒序。

作为入门教程，个人认为《RFID安全之某学校水卡破解》是非常不错的。

看完这个教程，并实践结束后，我停下来思考这样一个问题：M1卡的密码破解是傻瓜式的，当然也有文章介绍破解原理，但是作为门外汉，目前我还不是特别关心，我只想找到那种破解成功，可以修改金额的快感！那么在整个M1卡的破解过程中，我自己到底起了什么作用？答案是卡片的数据分析。

M1卡应用总结

M1卡应用总结前不久发了<<最近设计的M1读卡器（LPC11U14）>>/thread- 298692-1-1.html,一直没有时间对卡片操作进行说明。

通过一段时间的努力，对M1卡的操作有了一定的认识，下面总结一下M1卡操作及注意事项。

M1卡是一种非接触卡，应用非常广泛。

其主要特点如下:1.1 MIFARE RF 接口 (ISO/IEC 14443 A)? 非接触数据传输并提供能源（不需电池）? 工作距离：可达100mm （取决于天线尺寸结构）? 工作频率：13.56 MHz? ?快速数据传输：106 kbit/s? 高度数据完整性保护：16 Bit CRC，奇偶校验，位编码，位计数? 真正的防冲突? 典型票务交易： < 100 ms （包括备份管理）1.2 EEPROM? 1 Kbyte，分为16个区，每区4个块，每块16字节。

? 用户可定义内存块的读写条件? 数据耐久性10年? 写入耐久性100.000次?1.3 安全性? 相互三轮认证（ISO/IEC DIS9798-2）? 带重现攻击保护的射频通道数据加密? 每区（每应用）两个密钥，支持密钥分级的多应用场合? 每卡一个唯一序列号? 在运输过程中以传输密钥保护对EEPROM的访问权?卡片工作原理卡片内部框图卡片操作各种非接触卡对于M1卡的操作，支持的芯片有很多，如NXP公司的RC500，RC530，RC531，RC522以及复旦微电子的FM1702等等。

不过比较常用的应该是RC500，这款芯片资料比较多，应用广泛，但只支持并口操作。

RC530和RC500差不多，多了SPI 接口，而RC531又多了对B卡的支持，其他和RC530差不多。

这几款芯片的价格都比较贵，我们可以直接用复旦微电子的芯片替换，价格会便宜些。

如果不需要支持B卡，为了降低成本完全可以使用RC522，此款芯片是NXP为了降低开发和芯片成本而从新设计的一款非接触卡操作芯片。

UHF RFID阅读器射频部分模块化研究

一ቤተ መጻሕፍቲ ባይዱ
ｐ０ｖｉ｝Ｂｈ（ｎ３
ｇ
ｒｎ４
掣
舞露腽２
ｍ６
向
器霜搞
图３
定的相移，图１所示，四元件的ｎＬ如ｂ为形Ｃ串联谐振电路。
对于四元件Ｌ串联谐振电路，Ｑ值一定的情况下，Ｃ在旁
５２
２１０２年第４期
・
（）据接收阶段（ｅｅｔｎ，３数Ｒｃｐｉ）微控制器发出控制指令，ｏ将
＋一＋一＋・・・＋・・＋・一＋＋一十・・・＋・・＋・・＋・・＋・・＋・・＋・・＋・一＋＋・・一・ — 一一＋ — 一一 — ＋一 ■ — 一＋＋ — 一一 ■
辆管理、仓储物流、门禁监控等领域都有广泛应用。
１基于微带线六端口射频通道技术方案
微带线多端口网络是读写器的核心电路，即在一段具有固定相移度数的微带线上连接肖特基检波管直接对电子标签
的反射信号进行解调，但肖特基管检波直接解调的方法灵敏
度较低，所以在微带线上连接四个按一定相移分布的检波管来提高电路的接收灵敏度。该方案的具体推导求解过程在文献３文献４中有详细的描述，和在此不再赘述。此方案结构非常简单、调测试方便，但是由于使用了微带线移相的方法，占用的ＰＢ面积非大，以将射频部分小型其Ｃ难化用到手持机等移动式设备上。图２采用ＬＣ相称网络的六端口射频通道方案

Mifare1技术说明(M1卡说明文档)

Mifare 1非接触IC卡技术说明1 特性1.1 MIFARE RF 接口(ISO/IEC 14443 A)∙非接触数据传输并提供能源（不需电池）∙工作距离：可达100mm （取决于天线尺寸结构）∙工作频率：13.56 MHz∙ 快速数据传输：106 kbit/s∙高度数据完整性保护：16 Bit CRC，奇偶校验，位编码，位计数∙真正的防冲突∙典型票务交易：< 100 ms （包括备份管理）1.2 EEPROM∙ 1 Kbyte，分为16个区，每区4个块，每块16字节。

∙用户可定义内存块的读写条件∙数据耐久性10年∙写入耐久性100.000次1.3 安全性∙相互三轮认证（ISO/IEC DIS9798-2）∙带重现攻击保护的射频通道数据加密∙每区（每应用）两个密钥，支持密钥分级的多应用场合∙每卡一个唯一序列号∙在运输过程中以传输密钥保护对EEPROM的访问权2 概述MIFARE MF1是符合ISO/IEC 14443A的非接触智能卡。

其通讯层（MIFARE RF 接口）符合ISO/IEC 14443A标准的第2和第3部分。

其安全层支持域检验的CRYPTO1数据流加密。

2.1 非接触能源和数据传递在MIFARE卡中，芯片连接到一个几匝的天线线圈上，并嵌入塑料中，形成了一个无源的非接触卡。

不需要电池。

当卡接近读写器天线时，高速的RF通讯接口将以106 kBit/s 的速率传输数据。

卡4匝线圈读卡器嵌入的芯片模块天线能量数据2.2 防冲突智能的防冲突功能可以同时操作读写范围内的多张卡。

防冲突算法逐一选定每张卡，保证与选定的卡执行交易，不会导致与读写范围内其他卡的数据冲突。

2.3 用户便捷性MIFARE 是针对用户便捷性优化的。

例如，高速数据传输使得完整的票务交易在不到100 ms 内处理完毕。

因此用户不必在读写器天线处停留，形成高的通过率，减少了公共汽车的登车时间。

在交易时，MIFARE 卡可以留在钱包里，甚至钱包里有硬币也不受影响。

M1卡技术标准

银深源M1卡技术标准M1卡简介：M1芯片，是指菲利浦下属子公司恩智浦出品的芯片缩写，全称为NXP Mifare1系列，常用的有S50及S70两种型号。

目前已经有国产芯片与其兼容，利用PVC封装M1芯片、感应天线，然后压制成型后而制作的卡即是智能卡行业所说的M1卡，属于非接触式IC卡。

非接触式IC卡又称射频卡，成功地解决了无源(卡中无电源)和免接触这一难题，是电子器件领域的一大突破。

主要用于公交、轮渡、地铁等自动收费系统，也应用在门禁管理、身份证明和电子钱包。

M1卡，优点是可读可写的多功能卡，缺点是：价格稍贵，感应距离短，适合非定额消费系统、停车场系统、门禁考勤系统等。

M1卡工作原理:射频读写器向M1卡发一组固定频率的电磁波，卡片内有一个LC串联谐振电路，其频率与读写器发射的频率相同，在电磁波的激励下，LC谐振电路产生共振，从而使电容内有了电荷，在这个电容的另一端，接有一个单向导通的电子泵，将电容内的电荷送到另一个电容内储存，当所积累的电荷达到2V时，此电容可做为电源为其它电路提供工作电压，将卡内数据发射出去或接取读写器的数据。

M1(S50)卡详细规格：芯片类型:Philips Mifare 1 IC S50；存储容量:8Kbit，16个分区，每分区两组密码；工作频率:13.56 MHz；通讯速率:106KBoud；读写距离:2.5～10cm；读写时间:1～2ms；工作温度:-20℃～55℃；擦写寿命:>100,000次；数据保存:>10年；外形尺寸:ISO标准卡 85.6x54x0.82；封装材料:PVC、PET、PETG、0.13mm铜线；封装工艺:超声波自动植线/自动碰焊；执行标准:ISO14443A；典型应用：企业/校园一卡通、公交储值卡、高速公路收费、停车场、小区管理、会员卡、会员管理等。

M1(S70)卡详细规格：1、容量为 32K 位 EEPROM；2、分为 40 个扇区，其中 32 个扇区中每个扇区存储容量为 64 个字节，分为 4 块，每块16 个字节；以块为存取单位以块为存取单位；3、每个扇区有独立的一组密码及访问控制；4、每张卡有唯一序列号，为 32 位；5、具有防冲突机制，支持多卡操作；6、无电源，自带天线，内含加密控制逻辑和通讯逻辑电路；7、数据保存期为 10 年，可改写 10 万次，读无限次；8、工作温度： -20 ℃ ~50 ℃ ( 湿度为 90%)；9、工作频率： 13.56MHZ；10、通信速率：106 KBPS；11、读写距离： 10 cm 以内（与读写器有关）。

IC卡公交收费机设计(二)

SmartCard
Select Tag 选择卡片操作
Select Tag操作将选中AntiCollision操作所读取的 SN对应的卡，使该卡进入激活状态，只有该卡才能进行后续的认证及访问操作。
MCM发送Select命令（93H+70H+SN及校验码）卡接收该命令后将MCM发送的SN与自己的序列
工作频率：13.56MHz。通信速率：106Kbps
工作距离：MCM200——25mm，MCM500——100mm
防冲突：真正的防冲突功能。安全性与可靠性：每个扇区设有3套密码及其认证和密码
存储器，模块与卡片通信时，数据加密，多种通信校验机制
接口：标准MIFARE并行接口
SmartCard
P3.2
P0.0~P0.7
-CS -RD
-WR
MODE USEALE
ALE
-IRQ
D0~D7
MCM模块
收MCM发送的数据
SmartCard
初始化与防冲突（AntiCollion）
如果有2张或2张以上的IC卡进入读写器的工作范围，称之为冲突（或碰撞Collion），此时就需要解决如何对多张IC卡逐一处理的问题——防冲突 AntiCollion。
13.56MHz 数据传送速率：
106kbit/s （9.4μs/bit） SmartCard
Mifare卡与读写器之间的信号
SmartCard
Mifare卡的信号调制方式
TYPE A： 100%ASK
TYPE B： 10%ASK
Type A与Type B调制程度的比较
SmartCard
从读写器到卡的调制与编码
防冲突方案：位帧防冲突（Bit AntiCollision）动态时隙-ALOHA法（Slotted-ALOHA法） SmartCard

M1卡破解密码控制位及控制规则

一、主要指标l容量为8K位EEPROMl分为16个扇区，每个扇区为4块，每块16个字节，以块为存取单位l每个扇区有独立的一组密码及访问控制l每张卡有唯一序列号，为32位l具有防冲突机制，支持多卡操作l无电源，自带天线，内含加密控制逻辑和通讯逻辑电路l数据保存期为10年，可改写10万次，读无限次l工作温度：-20 °C〜50 °Cl工作频率：13.56MHZl通信速率：106KBPSl读写距离：10mm 以内（与读写器有关）二、存储结构1、M1卡分为16个扇区，每个扇区由4块（块0、块1、块2、块3）组成，（我们也将16个扇区的64个块按绝对地址编号为0〜63，存贮结构如下图所示：2、第0扇区的块0 （即绝对地址0块），它用于存放厂商代码，已经固化，不可更改。

3、每个扇区的块0、块1、块2为数据块，可用于存贮数据。

数据块可作两种应用：★用作一般的数据保存，可以进行读、写操作。

★用作数据值，可以进行初始化值、加值、减值、读值操作。

4、每个扇区的块3为控制块，包括了密码A、存取控制、密码B。

具体结构如下：A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5密码A（6字节）存取控制（4字节）密码B（6字节）5、每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取控制。

存取控制为4个字节，共32位，扇区中的每个块（包括数据块和控制块）的存取条件是由密码和存取控制共同决定的，在存取控制中每个块都有相应的三个控制位，定义如下：块0 : C10 C20 C30块 1 : C11 C21 C31块 2 : C12 C22 C32块 3 : C13 C23 C33二个控制位以正和反两种形式存在于存取控制字节中，决定了该块的访冋权限（如进行减值操作必须验证KEY A，进行加值操作必须验证KEY B，等等）。

三个控制位在存取控制字节中的位置，以块0为例：对块0的控制：bit 7 6 5 4 3 2 1 0（注：C10_b表示C10取反）存取控制（4字节，其中字节9为备用字节）结构如下所示:（注：_b表示取反）6、数据块（块0、块1、块2）的存取控制如下:（KeyA|B表示密码A或密码B, Never表示任何条件下不能实现）例如：当块0的存取控制位C10 C20 C30= 0 0 1 时，验证密码A或密码B正确后可读; 验证密码B正确后可写；不能进行加值、减值操作。

数字逻辑课件——分立元件门电路

(5) 当A接5k电阻，B端悬空时，二极管D1为导通状态，输出VO应为
6 0.7 VO 5 5 5 0.7 3.35V
当用万用表测B点电压时，D2导通， VB应为
VB VO VD
3.35 0.7 2.65V
20
例2.3 反相器原理分析
▪ 三极管T构成的反相器电路如图所示。已知三极管T的VBE = 0.7V， = 30，T饱和时的管压降VCES 0V 。试计算： (1) 当VI为何值时，
uY = 0V + 0.7V = 0.7V ≈ 0V。VD1截止。 4. uA = uB = 3V。
二极管VD1和VD2都导通，
uY = 3 V+ 0.7V = 3.7V ≈ 3V。
4
输出电位与输入电位uA ，uB的关系示于下面左表中，按正
逻辑规定，即高电位代表逻辑1，低电位代表逻辑0，可得
下面右表所示真值表，说明电路实现的是“与”逻辑关系，
(3) 在电路输出为高电平时，由于钳位电路的存在，VOH 值应为VOH = EQ + VD = 2.9 + 0.7 =3.6V
这时，电路允许的外拉电流ILH应满足
I LH
VCC VOH RC
9 3.6 5.4mA 1
当外拉电流超过5.4mA时， VOH将随ILH的进一步增大而下降。
24
VB (VBB ) VCC VCES
R2
RC
代入已知参数
VI 0.7 0.7 (9) 9 0
2
20 301
解得 VI 2.27V
当VI大于2.27V时，三极管T进入饱和状态。
22
(2) 在VI = 3.0V时，可求得三极管基极偏置电流
IB

Mifare S50

Mifare S50
4.MIFARE 1卡的安全特性
IT Education & Training
• 密码认证：所有扇区需通过密码认证才能进行读/修改操作。 • 存取控制：所有块可通过设置存取控制条件限制存取。
Mifare S50
4.1 Mifare 1 卡的密码认证方式
IT Education & Training
Mifare S50
MIFARE 卡防冲突流程
POWER OFF状态 RESET IDLE状态 REQUEST 命令 READY状态 SELECT UID命令 WAKE UP 命令 HALT命令 ACTIVE状态
IT Education & Training
ANTICOLLISION命令启动防冲突循环读取卡回送的UID（SN）
Mifare S50
4.2 Mifare 1 卡存取控制设置
IT Education & Training
控制块：块3的存取控制与数据块（块0、1、2）不同，它的存取控制如下
例如：当块3的存取控制位C13 C23 C33=1 0 0时，表示：密码A：不可读，验证KEYA或KEYB正确后，可写（更改）。存取控制：验证KEYA或KEYB正确后，可读、可写。密码B：验证KEYA或KEYB正确后，可读、可写。
IT Education & Training
RFID培训
大连东软信息学院计算机系物联网团队
IT Education & Training
回顾——电子标签
2
Mifare S50
IT Education & Training
1. 主要指标 • 容量为8K位EEPROM • 分为16个扇区，每个扇区为4块，每块16个字节,以块为存取单位 • 每个扇区有独立的一组密码及访问控制 • 每张卡有唯一序列号，为32位 • 具有防冲突机制，支持多卡操作 • 无电源，自带天线，内含加密控制逻辑和通讯逻辑电路 • 数据保存期为10年，可改写10万次，读无限次 • 工作温度：-20℃~50℃(湿度为90%) • 工作频率：13.56MHZ • 通信速率：106 KBPS • 读写距离：10 cm以内（与读写器有关）

射频识别和传感器技术实验指导书

《射频识别与传感器技术》实验指导书实验一 125KHz RFID实验1、实验项目：125KHz RFID实验2、目的与意义熟悉CVT-RFID MCU-II实验箱的硬件结构和原理，掌握实验箱配套控制软件的使用。

了解RFID的基本工作原理，了解典型的密耦合系统，了解125KHz RFID系统应答器芯片和阅读器芯片。

掌握125KHz只读卡、读写卡操作的基本原理。

通过相关信号的测量加深对信号调制与解调、125KHz RFID技术只读卡、读写卡相关协议标准的理解。

3、实验环境（设备与仪器）CVT-RFID MCU实验箱一台，PC机一台，双踪示波器一台，PC机操作系统Windows XP，RFID综合实验平台环境4、背景知识1）实验箱系统硬件原理简介整个系统主要由以下几部分组成：（1）主处理器采用ATMEL的高性能AVR单片机，主要处理RFID标签的读写操作、ZIGBEE模块的数据传输、键盘和显示电路的处理，以及和上位机的通信。

系统有标准JTAG接口和ISP 下载接口，方便程序的调试和下载。

（2）CPLD采用ALTERA的MAX系列CPLD，完成系统和上位机通信串口的切换工作，另外还挂接了键盘的行信号ROW0～ROW3。

（3）125KHz RFID采用瑞士EM MICROELECTRONIC的低频RFID处理芯片，完成对125KHz标签的自动寻卡、读写操作等。

（4）ISO14443 RFID采用PHILIPS的高频RFID处理芯片，工作频率为13.56MHz，完成对ISO14443标签的寻卡、防冲突、选择卡、密码下载和校验、修改密码和读写操作等。

（5）ISO15693 RFID采用模拟分立元件的设计方法，使RFID读写器的内部结构更加清晰，工作频率为13.56MHz，可以完成对ISO15693标签的寻卡、防冲突、选择卡、密码下载和校验、修改密码和读写操作等。

（6）900MHz RFID采用模块化的接口设计，增强超高频RFID的抗干扰性。