NFC手机模拟加密门禁卡操作方法及原理

如今日常生活中，为了规范管理，以及人员和财产安全，门禁使用的越来越多。 当我们每天出门，无论是工作还是学习都要带数张门禁卡放身上时十分不便，所以当拥有一部全功能NFC手机时，可以说这一切都得到了改变。下面我们就说说怎么使用手机NFC模拟门禁卡的原理。ID卡：全称身份识别卡(Identification Card)，多为低频(125Khz)，是一种不可写入的感应卡，含固定的编号，主要有台湾SYRIS的EM格式，美国HID、TI、MOTOROLA等各类ID卡。IC卡：全称集成电路卡(Integrated Circuit Card)，又称智能卡(Smart Card)。多为高频(13.56Mhz)，可读写数据、容量大、有加密功能、数据记录可靠、使用更方便，如一卡通系统、消费系统等，目前主要有PHILIPS的Mifare系列卡。主要区别：ID卡，低频，不可写入数据，其记录内容(卡号)只可由芯片生产厂一次性写入，开发商只可读出卡号加以利用，无法根据系统的实际需要制订新的号码管理制度；IC卡，高频，不仅可由授权用户读出大量数据，而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等)，IC卡所记录内容可反复擦写；IC卡又可以分为接触式IC卡和非接触式IC卡。接触式IC卡：该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写；非接触式IC卡：又称射频卡、感应式IC卡，该类卡与卡设备无电路接触，而是通过非接触式的读写技术进行读写（例如RFID、NFC），其内嵌芯片除了CPU、逻辑单元、存储单元外，增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。以M1卡为例，介绍IC卡数据结构。M1卡有从0到15共16个扇区，每个扇区配备了从0到3共4个数据段，每个数据段可以保存16字节的内容；每个扇区中的段按照0~3编号，第4个段中包含KEYA（密钥A 6字节）、控制位（4字节）、KEYB（密钥B 6字节），每个扇区可以通过它包含的密钥A或者密钥B单独加密；常规IC卡破解流程如下：

我们可以使用带全功能NFC的手机来模拟门禁卡在已root的情况下，直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。在未root的情况下，使用小米系统自带的门卡模拟功能，出于安全考虑，是不能对加密卡进行任何操作。手机的NFC，理论上可以读加密IC卡的UID，因此可以使用第三方软件MifareClassicTool读取UID，因为没有root，不能写手机NFC，但可以写IC卡，因此还需要一张CUID卡(不能使用UID卡)，某宝上一块多一张，思路就是先读取加密卡的UID，再读取CUID卡的数据，然后将CUID卡的UID改为加密卡一样的UID，再将修改后的数据写回到CUID卡，最后用小米系统自带的门卡模拟功能，复制未加密的CUID卡即可。