RFID协议

RFID的组成

控制系统

核心功能: 接收并处理阅读器传输的数据，执行逻辑判断和控制指令

实现方式:

• 可能是独立计算机系统，也可能是集成在阅读器中的微型处理器芯片
• 示例：门禁系统通过比对标签ID与数据库，控制电磁锁开关

安全机制: 实现权限管理（如一单元门禁卡不能开启二单元门禁）

阅读器

组成结构: 包含高频模块（发送器/接收器）、控制单元和天线

工作模式:

• 通过天线发射射频信号激活电子标签
• 支持双向通信：既能读取标签数据，也能写入新数据

能量传输: 为无源标签提供工作所需的电磁能量

电子标签

物理构成: 由耦合元件和芯片组成，内置唯一电子编码（如业主卡ID）

工作特性:

• 无源标签通过接收阅读器的射频信号获取能量
• 进入有效范围后自动激活，发送存储数据
• 典型传输距离：近距离（门禁卡需贴近读卡器）

别称: 射频卡、感应卡（如公交卡、门禁卡等）

RFID分类

无源电子标签

• 供电方式: 完全依赖阅读器发射的射频能量
• 典型应用: 门禁卡、公交卡等需要贴近使用的场景
• 使用限制: 工作距离短（通常需接触或近距离），如EM4100小型ID卡

有源电子标签

• 供电方式: 内置电源，可主动发射信号
• 优势: 通信距离远（可达数十米）
• 应用场景: 封闭环境定位（如矿井人员定位、仓储管理）

半有源电子标签

• 工作模式: 平时处于休眠状态，进入特定区域后被激活
• 节能设计: 仅在需要时唤醒，延长电池寿命

工作频率

• 低频段:

  125−134.2kHz（如T5557卡），典型无源标签

• 中高频段:

  13.56MHz（常见于门禁系统、支付卡）

• 超高频段:

  862−928MHz，多用于有源标签

• 微波范围:

  3GHz以上，实现远距离通信

常见标签

高频卡

NXP Mifare S50

• 基本特性：工作频率13.56MHz，每张卡具有唯一UID号，可存储和修改扇区数据（常用于一卡通、门禁、电梯卡）
• 安全缺陷：出厂时存在漏洞导致安全性不高，ATQA卡类型标识为0004
• 应用场景：主要用于门禁系统等对安全性要求不高的场景

NXP Mifare S70

• 容量升级：存储容量提升至4KB（S50为1KB），ATQA卡类型标识为0002H
• 相似性：基本工作原理与S50相同，但扇区数量和数据容量更大
• 典型应用：需要存储更多数据的场景，如校园一卡通系统

NXP DESFire/JCOP

• 处理器架构：基于微处理器的CPU卡结构，内置操作系统
• 存储容量：提供40-80KB EEPROM存储器，支持接触式/非接触式读写
• 安全特性：采用高安全性设计，支持金融级加密算法
• 应用领域：银行金融、移动通信、公共交通等高安全需求场景

低频卡

EM4100

• 基本参数：工作频率125kHz，仅存储不可修改的卡号
• 物理特征：小型圆形ID卡，成本低廉
• 应用局限：安全性低，常用于门禁、身份识别等简单场景
• 识别特征：钥匙扣型外部印有数字卡号

HID ProxCard II

• 物理特性：名片大小厚度较厚（如食堂就餐卡）
• 存储特性：类似EM4系列，仅存储卡号但无法修改生产商数据
• 应用场景：企业门禁系统、员工餐卡等场景

T5577卡

• 特殊功能：可重复写入数据并设置密码的低频卡
• 复制能力：常用于复制ID卡和HID卡
• 存储结构：8个存储块共256b容量
• 安全应用：可作为测试卡用于安全研究

Mifare卡的内部结构

以Mifare1卡举例

存储结构

• 扇区划分：16个扇区×4块=64块，总容量1KB（每块16字节）
• 特殊扇区：
  • 第0扇区第0块：固化UID号（前4字节）和BCC校验位（第5字节）
  • 每扇区最后块：存储密钥A（前6字节）、控制位（中间4字节）、密钥B（后6字节）
• 数据保护：厂商数据出厂固化不可修改，其他数据块可编程但多数只能写入一次

安全机制

• 密钥体系：默认密钥常为全F，不同厂商有特定默认密钥（约十几种）
• 访问控制：需密钥验证才能读写数据，控制位决定访问权限
• 安全缺陷：存在离线嗅探、漏洞攻击等破解方式获取密钥
• 设计建议：避免仅校验卡号，应校验扇区数据并修改默认密钥

变种卡片

• UID卡：支持后门指令修改全卡数据，但易被读卡器检测屏蔽
• CUID卡：不响应后门指令，但数据错误可能导致卡片报废
• FUID卡：第0块仅允许修改一次，兼顾安全性和复制需求
• 应用区别：普通M1卡第0块完全不可修改，变种卡突破此限制

EM4100卡的内部结构

通过外部印刷的十进制卡号可快速识别EM4100卡，而M1卡无此特征

卡号以十进制形式直接印刷在卡片外部，作为物理标识，卡号在出厂时固化，无法通过任何方式进行修改

• 厂商标识: 卡号前两位通常代表制造商信息
• 业务编码: 后几位数字根据具体应用场景(如门禁系统、身份识别等)进行定制化编码

结构与数据存储

• 存储限制: 仅存储卡号信息，不具备其他数据存储能力
• 首行特征: 所有EM4100卡的首行数据固定为"111111111"的9个1格式

数据格式与校验

• ID号位置: 每行前4位(D00-D03)为卡号ID部分
• 校验机制:
  • 行校验：每行最后一列(P0-P9)对本行数据进行校验
  • 列校验：最下方一行(PC0-PC3)对各列数据进行校验
• 停止位: 数据末尾S0固定为0值停止位

T5577卡的内部结构

无密卡没有设置访问密码，其数据可以被任何兼容的读写器自由读取和写入。

无秘卡

第0块 (配置块):

• 功能: 存储调制方式和卡片类型标识，用于表明这是一张无密码卡。
• 标识示例:
  • 0x00148040：表示无密码的ID卡格式。
  • 0x00107060：表示无密码的HID卡格式。

第7块 (数据块):

• 功能: 不作为密码存储区，而是作为普通数据块使用，可自由读写用户数据。

第1-6块 (数据区):

• 功能: 均为通用数据存储区，可自由读写，无任何访问限制。

加密卡

第0块 (配置块):

• 功能: 同样存储调制方式和卡片类型标识，但其标识值与无密卡不同，用于表明这是一张加密卡。
• 标识示例:
  • 0x00148050：表示加密的ID卡格式。
  • 0x00107070：表示加密的HID卡格式。

第7块 (密码块):

• 功能: 被专门用于存储32位的访问密码。在未提供正确密码的情况下，通常无法对卡内数据进行写操作。

第1-6块 (数据区):

• 功能: 为通用数据存储区。虽然可以存储数据，但任何写操作都必须先通过第7块的密码验证。

T5577模拟ID卡与HID卡

模拟原理

• 核心： 改写 第0块 的配置数据。
• 目标： 伪装成ID卡、HID卡等。
• 本质： 改变通信协议。

复制流程

• 读： 读取原卡卡号。
• 写：
  • 数据区 → 写入卡号。
  • 第0块 → 设为目标协议。
• 验： 测试是否成功。

加密防护

• 操作： 设置密码，存于 第7块。
• 作用：
  • 锁定写入，防篡改。
  • 阻断高级指令。
  • 保护数据不被复制或清空。