M1卡和CPU卡学习

目录介绍

01.整体概述介绍
- 1.1 项目背景说明
- 1.2 IC智能卡说明
- 1.3 基础概念介绍
02.CPU卡基础学习
- 2.1 CPU操作流程
- 2.2 读卡器与卡交互指令
- 2.3 APDU指令格式
- 2.4 APDU指令组成
- 2.5 发送指令详细剖析
- 2.6 响应指令详细解析
03.M1卡基础学习
- 3.1 什么是M1卡
- 3.2 M1卡数据结构
- 3.3 M1扇区密码结构
- 3.4 M1扇区数据块结构
- 3.5 M1卡片操作步骤
- 3.6 M1卡运作机理
- 3.7 M1卡开发思路
04.IC卡开发设计
- 4.1 总体设计思路
- 4.2 卡操作流程设计
- 4.3 接口设计
05.轮询识别卡操作
- 5.1 读写卡分析
- 5.2 如何设计轮询方案
- 5.3 轮询设计思路

1.1 项目背景说明

IC卡使用场景说明
- 总所周知，IC卡（智能卡）在身份验证、公共交通、门禁系统、银行、保险等领域随处可见。
IC卡基本概念和相关知识
- IC卡 (Integrated Circuit Card，集成电路卡)，也称智能卡(Smart card)、智慧卡(Intelligent card)、微电路卡(Microcircuit card)或微芯片卡等。
- IC卡与读写器之间的通讯方式可以是接触式，也可以是非接触式。

1.2 IC智能卡说明

IC卡种类
- 按功能分为复合卡（可刷、又可插、还能碰触）和普通卡（碰触，如二代身份证）
- 按卡片协议类型：卡片类型ISO 14443 A类和B类、ISO 7816 A、B和C类等
- 按智能卡接口：PICC （非接触）、ICC（接触）、SAM
日常生活常见的ID卡
- 公交卡、社保卡、CPU卡、M1卡、、SAM卡、PSAM卡等等都属于IC卡。
二代身份证属于IC卡
- 还有我们的二代身份证属于CPU卡或ID 卡，确切来说属于非接触式CPU卡(采用的标准ISO 14443 TYPE B协议)，里面的芯片采用的加密算法是国密（SM1），芯片的提供商有大唐微电子、华虹、华大和同方微电子等厂商。

1.3 基础概念介绍

IC卡读写过程数据传输协议
- 在传输协议中定义了两种协议：字符传输协议（T=0）和块传输协议（T=1）。IC卡可以选择支持T=0协议或者T=1协议，终端一般都支持这两种协议。
- 在ATR中的TD1规定了后续传输中所采用的传输协议（T=0或T=1），如果TD1在ATR中不存在的话则假定采用T=0。
什么叫做ATR
- ATR也叫复位应答，是一个字节序列，这些字节是由卡作为对复位命令的响应发送给读卡器的。
- 在I/O电路上，每个成功的复位操作都会导致I/O上的一个由初始字符TS开始，后跟最多32个字符的复位应答。
- ATR的作用是告诉读卡器，我是一张什么样的卡片，以便读卡器知道接下来该以什么样的方式和卡片通信。

02.CPU卡基础学习

2.1 CPU操作流程

如何去操作CPU卡
- 手机去感应非接触式CPU卡一般都是通过NFC，想用手机去感应身份证有两个前提：一你手机支持NFC功能，二你得知道对操作身份证的指令。
- 比如读取身份的指令，知道指令后你就可以开发个手机app然后进行感应读取身份。
读卡器APDU流程，接触过的读卡器基本都下面这些步骤，基本相同，不同的是命令发送和数据解析
- ICC（接触读取）：1.打开阅读器；2.对卡片上电；3.获取ATR(接触卡状态检测，是否存在卡片)和协议；4.APDU通讯；5.下电；6.关闭阅读器
- PICC（非接触读取）：1.打开阅读器；2.寻找卡片；3.APDU通讯；4.关闭阅读器

2.2 读卡器与卡交互指令

1.读卡器与卡交互第一步一般是选择应用。
- 一张IC卡里面可能有多个应用，所谓应用就是卡片和终端之间的应用协议和相关的数据集，读卡器和卡的交互其实就是和应用的交互，卡的交易其实就是选择某个应用做交易。
- 目前卡商所生产的卡基本上都是一个应用，即便如此，但根据银联卡的规范，应用选择这个步骤也是必不可少的。
2.第二步根据上面的返回数据做下一步操作，并最终拿到结果
- 如果是一般卡(非银联卡)，响应数据就是想要的数据是直接数据，进行转码就可以达到想要的数据。

2.3 APDU指令格式

APDU应用场景介绍
- APDU提供了一种标准的、协议无关的方法，用于智能卡和终端设备进行通信。它是智能卡系统的核心组件，广泛应用于银行卡、身份证、健康卡等各种应用场景。
APDU是什么东西
- ISO 7816-4规范有定义APDU(= ApplicationProtocol data unit, 是智能卡与智能卡读卡器之间传送的信息单元, （给智能卡发送的命令）指令)
进行APDU通讯的前提是：
- 有读卡器（必选）和对应的SDK通讯包（可选）
- 知道IC卡的APDU命令

APDU是智能卡与智能卡读卡器之间传送的信息单元

CLA	INS	P1	P2	Lc	Data	Le
指令类别	指令码	参数P1	参数P1	Data的长度（不超过255个字节）	返回数据	表示响应时回答的数据字节数，0表是需要最大可能长度（不超过255个字节）

APDU命令格式分类(报文结构，从终端设备发出的命令和卡片信息必须按照四种格式发送)
- ① 情形1：CLA INS P1 P2 00
- ② 情形2：CLA INS P1 P2 Le
- ③ 情形3：CLA INS P1 P2 Lc Data
- ④ 情形4：CLA INS P1 P2 Lc Data Le
APDU响应报文(响应数据响应状态码)
- Data SW1 SW2 如何理解？DATA：返回给用户的数据，即命令的执行结果。SW1、SW2：返回命令处理的状态。
- 响应也对应几种情形 ① 情形1：SW1 SW2；② 情形2：Le字节的Data SW1 SW2

2.4 APDU指令组成

APDU指令由四个部分组成：
- CLA（Class）：指令类别，用于确定指令所属的指令集，如00表示标准指令集，80表示安全指令集。
- INS（Instruction）：指令代码，用于区分执行的操作，如06表示比较指令，0A表示读二进制文件指令。
- P1（Parameter 1）和P2（Parameter 2）：用于提供有关指令的附加信息，如P1-P2可以指定要读取或写入的数据块的位置、长度、偏移量等。
- Lc（Length of command data）：用于指定指令的数据长度。
- Data：用于传输指令数据，如读取或写入指定的内存块或文件。
APDU响应部分包括两个部分：
- 响应数据的数据长度（Le）：用于指定响应数据的长度，可以在命令中指定也可以由智能卡决定。
- 响应数据的实际内容：用于传输操作结果。
APDU在智能卡和读卡器之间进行通信
- 包含两个部分：C-APDU（指令）和R-APDU（响应）。C-APDU被发送给智能卡，智能卡处理以后返回一个R-APDU进行响应。

2.5 发送指令详细剖析

例子：/send 00A4040006A00000000101
- 这条指令是一个APDU指令，用于选择与AID（Application Identifier，应用标识符）相对应的应用程序。
- 指令说明：00（CLA）A4（INS）04（P1）00（P2）06（Le）A00000000101（Data）
具体来说，它的结构如下：
- CLA（Class）：0x00 表示标准指令集
- INS（Instruction）：0xA4 表示选择文件命令
- P1（Parameter 1）：0x04 表示选择应用程序的命令模式
- P2（Parameter 2）：0x00 表示选择应用程序的第一组（或唯一一组）文件，这是应用程序的根文件
- Lc（Length of command data）：0x06 表示接下来有6个字节的数据
- Data：A00000000101 表示应用标识符（AID），它是一个16进制数字串，用于确定要选择的应用程序
以此为例
- 发送该APDU指令可以将具有AID为A00000000101的应用程序选择为活动应用程序，并通过通道来与其通信

2.6 响应指令详细解析

例子：第一个响应指令，9FE7398E9000；第二个响应指令，9000
先来看第一个指令：9FE7398E9000
- 属于Le字节的Data SW1 SW2状态，那么它是什么含义？Le表示响应data，SW1表示命令处理状态；SW2表示命令处理限定。
- 那么9FE7398E9000拆分，即可Le是9FE7398E，SW1是90，SW2为00，整体意义解读执行成功。
再来看第二个指令：9000
- 属于SW1 SW2状态，那么它是什么意义？SW1表示命令处理状态；SW2表示命令处理限定。
- 那么9000拆分，即可SW1是90，SW2为00，整体意义解读是正确执行。

03.M1卡基础学习

3.1 什么是M1卡

M1卡是什么东西
- M1芯片，是指菲利浦下属子公司恩智浦出品的芯片缩写，全称为NXP Mifare1系列，常用的有S50及S70两种型号。
- S70与S50主要不同在于卡片的扇区分布和容量不同，M1 S50容量为8KBit，而M1 S70的容量达到了32KBit。
M1卡卡片介绍
- 以M1 S50卡为案例，M1 S50（以下简称M1）卡片，卡的序列号是全球唯一的，不可修改的32bit数据，M1卡片容量为8KBit。
- 分为：16个扇区，每个扇区4块，每块可存放16个字节byte数据（每个扇区的第4块存放密钥和权限控制字节），可以通过读卡器向卡中不同区域写入相关信息，各扇区独立使用并访问密钥独立，互不干扰。
- 在读取M1卡片数据时，M1卡片只能够按块进行读取，读取扇区数据时，需要循环四次读取该扇区各块数据信息。
M1卡片访问权限
- M1卡片每个扇区有两个访问密钥：KeyA和KeyB，可以通过权限控制位设定对数据访问及密钥修改时所需要的密钥。
- 具体看：https://blog.csdn.net/ftswsfb/article/details/100183478

3.2 M1卡数据结构

扇区和块的含义
- Mifare S50把1K字节的容量分为16个扇区(Sector0-Sector15)，每个扇区包括4个数据块(Block0-Block3，我们也将16个扇区的64个块按绝对地址编号为0~63)
- 每个数据块包含16个字节(Byte0-Byte15)，4（个数据块）*16（块字节）) * 16（个扇区）= 1024
M1卡数据存储结构
M1卡数据存储结构说明
- M1卡分为16个扇区，每个扇区4块（块0～3），共64块，按块号编址为0～63。
- 第 0 扇区的块 0（即绝对地址 0 块），它用于存放厂商代码，已经固化，不可更改。注意：第0块不能进行读写操作！
- 每个扇区的块 0、块 1、块 2 为数据块，可用于存贮数据。数据块可作两种应用：第一是用作一般的数据保存，可以进行读、写操作；第二是用作数据值，可以进行初始化值、加值、减值、读值操作。
- 每个扇区的块 3 为控制块，包括了密码 A （6个字节）、存取控制（4个字节）、密码 B（6个字节）。
- 每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取控制。

3.3 M1扇区密码结构

每个扇区的块3为控制块，包括了密码A、存取控制、密码B。具体结构如下：
- 密码A（6字节）存取控制（4字节）密码B（6字节）。在我们实际开发中用的是密码A
每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取控制。
- 存取控制为4个字节，共32位，扇区中的每个块（包括数据块和控制块）的存取条件是由密码和存取控制共同决定的，在存取控制中每个块都有相应的三个控制位
- 例如C1x0中的C代码这是控制位，1代表第一位，0代表是块0的控制位。
M1卡密码机制。是M1卡最为复杂的地方，在存取控制中每个块都有相应的三个控制位,它们的定义如下
```
块0：   C10   C20   C30
块1：   C11   C21   C31
块2：   C12   C22   C32
块3：   C13   C23   C33
```
一个扇区的三个数据块，我们可以利用密码机制对它们分别进行权限控制。数据块（块0、块1、块2）的存取控制如下：
- 例如：当块0的存取控制位C10 C20 C30=100时，验证密码A或密码B正确后可读；验证密码B正确后可写；不能进行加值、减值操作。

3.4 M1扇区数据块结构

数据块（块0、块1、块2）的存取控制如下
- KeyA|B 表示密码A或密码B，Never表示任何条件下不能实现
- 例如：当块0的存取控制位C10 C20 C30=1 0 0时，验证密码A或密码B正确后可读；验证密码B正确后可写；不能进行加值、减值操作。
控制块（块3）的存取控制与数据块（块0、1、2）不同，它的存取控制如下
- 例如：当块3的存取控制位C13 C23 C33=1 0 0时，表示：
- 密码A：不可读，验证KEYB正确后可写（更改）。存取控制：不可写，验证KEYA或KEYB正确后可读。密码B：不可读，验证KEYB正确后可写。

3.5 M1卡片操作步骤

命令由读写器发出，根据相应区读写条件受数字控制单元的控制。
第一步：复位应答(发送，有的也叫寻卡)
- 卡上电复位后，通过发送request应答码（ATQA 符合ISO/IEC 14443A），能够回应读写器向天线范围内所有卡发出的request 命令。
- REQA：PCD发出，用于寻找用于类型A PICC的工作场。命令：26H。寻找到卡片，会收到两个字节的应答数据（ATQA）。
- WAKE_UP：PCD发出，使已进入HALT状态的PICC回到READY状态，再次参与防冲突和选择规程。命令：52H
第二步：防冲突（SEL1 = 93H，SEL2 = 95H，SEL3 = 97H）
- 在防冲突循环中，读回一张卡的序列号。如果在读写器的工作范围内有几张卡，它们可以通过唯一序列号区分开来，并可选定以进行下一步交易。未被选定的卡转入待命状态，等候新的request命令。
- 命令组成：选择代码SEL（1byte） + 有效位数目NVB（1byte）+ 根据NVB的值，UID Cln的0到40个数据位。只要NVB没有规定40个有效位，若PICC保持在READY状态中，该命令就被称为ANTICOLLISON命令。
- 如果PICC已发送了完整的UID，则它从READY状态转换到ACTIVE状态并在其SAK-响应中指出UID完整。否则，PICC保持在READY状态并且该PCD应该递归串联级别启动一个新的防冲突环。
第三步：选择卡片（SEL1 = 93H，SEL2 = 95H，SEL3 = 97H）
- 读写器通过select card命令选定一张卡以进行认证和存储器相关操作。该卡返回选定应答码（ATS= 08h），明确所选卡的卡型。
- 命令组成：选择代码SEL（1byte）+ 有效数目NVB（1byte）+ UID CLn 40个数据位（NVB = 70H）+ CRC_A
第四步：三轮认证
- 选卡后，读写器指定后续读写的存储器位置，并用相应密钥进行三轮认证。认证成功后，所有的存储器操作都是加密的。
第五步：业务操作(存储器操作)
- 密钥修改；访问权限修改；读写块数据
第六步：停止
- PCD发出HALT命令，使PICC进入HALT状态。
附：防冲突技术
- 正常情况下，读卡器在某一时刻只能对磁场中的一张射频卡进行读写操作，但是当多张卡片同时进入读卡器的射频场时，读卡器需要选出唯一一张卡片进行读写操作，这就是防冲突。
- 常见的非接触式卡片中放冲突机制主要有以下三种：面向比特的放冲突机制（ISO 14443a使用）、面向时隙的防冲突机制（ISO 14443b使用）、位与时隙相结合的放冲突机制（ISO 14693使用）。

3.6 M1卡运作机理

M1卡运作的机理流程如下：
- 连接读写器 → 寻卡 → 识别卡（获取卡序列号） → 从多卡中选一张卡 → 向卡中缓冲区装载密码 → 验证密码 → 进行读写 → 关闭连接
如果概括来说的话，主要也就五部分：
- 开关连接、寻卡、验证密码、读取、关闭(归位)。
基本操作规则。如下所示：
- （1）程序开始，调用rf_init函数初始化串口。
- （2）寻卡，调用rf_card；
- （3）对单个扇区操作，顺次执行A～D；A、选定要操作的扇区；B、装载密码，调用rf_load_key；C、验证密码，调用rf_authentication；D、进行操作，包括读写及值操作。E、调用rf_halt。
- （4）关闭串口，调用rf_exit。程序正常退出或因错误退出之前，要使用函数；否则再次执行初始化串口时将出错。