第6章非接触卡

1、第6章 非接触卡内容提纲1、非接触卡的电磁场基础2、在ISO/IEC14443标准中，定义了两种射频调幅调制的信号类型TYPE A：TYPE B：了解两种卡片的工作基波，副载波，数据速率、调制波形、调制系数3、TYPE A中Miller编码的数据表示方法4、 TYPE A的IC卡命令集、状态集，和状态转换5、TYPE A防冲突算法二进制树搜索算法6、负载调制7、Mifare 1系列中，目前只有S50和S70两个型号 ，简述S50卡片内部16个分区，每个分区的功能职责划分2.1射频识别的电磁场理论射频识别系统中读写器与卡片之间的能量和数据传输的理论基础是电磁场理论，交变的电场产生磁场，交变的磁场

2、产生电场。麦克斯韦方程组描述了电场与磁场相互转化中产生的对称性。麦克斯韦方程组如下5。(2.1) (2.2)(2.3)(2.4)其中：电场强度(V/m) ：磁场强度(A/m)：磁感应强度(T) ：电位移矢量(C/m2)：电流密度(A/In 2) ：电荷密度(C/m3) 方程组中的四个方程比不完成独立，其中两个三度方程可以从两个旋度方程推导出。为了得到一个完整的系统，4个基本方程的各个矢量满足下面的组成关系。 (2.5) (2.6) (2.7)上述方程是场的本构关系，表示了场与介质之间的关系，也称之为介质的特性方程或者辅助方程。对于线性媒质有下面的关系。 (2.8) (2.9) (2.10)其中

3、，、分别表示媒质的介电常数、电导率、磁导率，此三者统称为媒介的本构参数，对于各向同性媒质他们是标量，对于均匀媒质它们是常量，对于非均匀媒质它们是位置的函数，对于各向异性媒质它们是张量；是外加电流密度，与电路理论中的电流源是一致的。、为产生电磁场、的源，通常与之间的关系为公式2.11。 (2.11)2.2读写器与IC卡的通信在ISO/IEC14443标准中，定义了两种射频条幅调制的信号类型，即TYPE A和TYPE B，本设计采用的是TYPE A。TYPE A 的射频调幅调制IC卡与读写器发送、接收波形分别如图2.2和图2.3所示，图中阴影部分为13.56MHz的射频基波。数字信号作为副载波搭载

4、于射频基波上，射频基波为IC卡提供了能量，调幅调制信号传送了数据。在非接触式IC卡的内部，载于射频基波上的副载波经过检波、滤波和放大等处理之后，即可得到方波。在接收的13.56MHz的基波中含有847.5kHz的副载波，由副载波对基波的调制实现了接收信号的传递。每一位数据的传送时间为9.44us，所以传送速率为106Kbit/s7。图2.2 读写器发送的TYPE A波形图2.3 读写器接收的TYPE B波形按照ISO/IEC14443的规定，读写器发送电磁波的部分电路被称为PCD(proximity coupling device)，IC卡中接收电磁波的部分电路被称为PICC(proximit

5、y integrated circuit card)。1、PCD到PICC的数据传输TYPE A发送波形为100%调制的变形的Miller编码，如图2.2所示。数据调制幅度大，易于识别，但由于中间出现短时间(3s)无波形，导致瞬时不能为IC卡提供能量，要求IC卡中应有较大的电源滤波电容，以保持供电的稳定。IC卡对PCD发送的波形进行检波、滤波放大处理后变为如图2.4所示的近似波形。这是Miller编码的变形形式。图2.4 变形的Miller编码2、PICC到PCD的数据传输TYPE A的接收波形为10%负载调制的Manchester编码，如图2.3所示。在9.44us时间内，从有副载波转为无副

6、载波为“1”；从无副载波到转为有副载波为“0”。负载调制就是利用负载的某些差异或负载的变动而使源的某些参数发送相应的过程或效应。射频卡与读写器天线采用的是电感耦合方式，而射频卡的天线是读写器发射天线的负载，射频卡通过改变天线回路的参数，使读写器端被调制，从而实现了以微弱的能量从射频卡到读写器的数据传输。负载调制如图2.5所示。图2.5 负载调制2.3 ISO14443A标准简介系统采用的是13.56MHz的RFID系统，读写器与IC卡是基于电感耦合的工作方式，读写器天线采用磁场耦合近场天线。而有关近耦合非接触式IC卡的技术标准主要是ISO/IEC14443。ISO/IEC14443标准分为4部

7、分。1、物理特性。规定了非接触式IC卡的尺寸、防紫外线和X射线要求、承受外作用力的要求、承受电磁干扰的要求和承受环境温度的范围。2、射频功率与信号接口。给出了读写器接口耦合装置与无触点集成电路卡之间的信息传递方式、磁场强度和射频频率等规定。3、初始化和防冲突。当读写器在一定范围内有多张非接触式IC卡时，如果处理不当，极易出现多张卡同时相应读写器导致通信混乱，这就是所谓的冲突。非接触式IC卡的核心技术就在于防冲突，这部分规定了TYPE A和TYPE B两种协议下的防冲突机制。二者防冲突机制的原理不同，前者是基于为冲突检测协议，而TYPE B 通过命令序列完成防冲突。防冲突机制使得同时处于读写区内

8、的多张IC卡的正确操作成为可能。本设计采用的TYPE A的非接触IC卡。4、传送协议。规定了非接触式IC半双工方式下的数据块传送协议，并定义了激活和暂停的步骤。本系统设计的读写器参照的是ISO14443A标准，根据该标准，下面介绍本设计中读写器与IC卡之间的通信、TYPE A的IC卡命令集和状态集6。2.4TYPE A的IC卡命令集和状态集1、TYPE A的IC卡状态集（1）POWER-OFF（掉电状态）。描述：由于缺少载波能量，PICC不能被激励。状态跳出：如果PICC所处的场强足够大，则PICC经过延时后进入IDLE状态。（2）IDLE（闲置状态）描述：PICC被加电，能识别有效的REQA

9、/WUPA命令后，进入READY状态，并发送其ATQA。状态跳出：PICC收到有效的REQA/WUPA命令（3）READY（准备状态）描述：在该状态下，位帧防冲突和专有的防冲突方法都可以应用。状态跳出：当PICC被选择后则进入ACTIVE状态。（4）ACTVIE（激活状态）描述：在该状态下，PICC听从任何上层报文。状态跳出：当接收到有效的HLTA命令式，PICC进入HALT状态。（5）HLTA（暂停状态）描述：PICC仅能相应WUPA命令。2、TYPE A的命令集TYPE A型的命令集共有5个命令，读写器通过发送这5个命令实现对IC卡的防冲突和选择8。REQA：请求命令。WUPA：唤醒命令。

10、ANTICOLLISION：防冲突命令。SELECT：选择命令。HLTA：暂停命令。TYPE A的状态转换图如图2.6所示。其中：ACANTICOLLISION命令（匹配UID）nACANTICOLLISION命令（不匹配UID）SELECTSELECT命令（匹配UID）nSELECTSELECT命令（不匹配UID）RATSRATS选择应答请求DESELECTDESELECT命令Error 检测到传输错误或者帧错误图2.6 状态转换图2.5 防冲突算法在RFID系统工作是，可能会出现读写器的作用范围内的多个标签同时向读写器发送数据，此时就会出现数据之间的冲突，使得读写器不能识别出标签。因此标签

11、的防冲突算法是RFID读写器设计的关键问题。目前主要的防冲突算法有二进制树搜索算法和基于Aloha算法。ISO/IEC14443标准中TYPE A采用的是二进制树搜索算法的防冲突，TYPE B采用的是基于Aloha算法的防冲突。2.5.1 TYPE A二进制树搜索算法二进制树搜索算法是基于时分多路法。该算法需要两个基本条件来实现：能够判断出冲突位的信号编码和具有唯一性的标签序列号。ISO/IEC14443 TYPE A规定了PICC（标签）信号使用Manchester编码，PCD（读写器）能准确的定位出数据冲突的比特位；PICC又唯一的标识身份的序列号，即UID（32位）。ISO/IEC144

12、43 TYPE A还规定了PCD和PICC之间的指令集。TYPE A的二进制树搜索算法的工作流程如图2.7所示。图2.7 二进制树搜索算法1、当PICC进入PCD的工作范围时，PCD发送寻卡、防冲突命令后，PICC回复自己的UID。2、如果PCD的工作范围内只有一个PICC，PCD会收到一个完整的没有冲突位的PICC的UID；如果PCD的工作范围内有两个或两个以上的PICC，由于采用的Manchester编码，多个UID上的某位不相同，PCD收到既不是1也不是0的数据，则该位为冲突比特位，PCD只处理第一个冲突比特位。图2.8为Manchester编码的数据传输冲突译码。3、PCD发出含UID

13、掩码的查询命令，掩码高位是UID第一个冲突比特位以前相同的数据段部分，最低位可设为0或1，一般设为1。4、PICC比对自己的UID和防冲突命令中的UID掩码对应部分，只有相同的PICC才回复UID。5、重复3和4两步直到选出唯一的PICC，然后进行数据操作。图2.8 Manchester编码的数据传输冲突译码至此，一次防冲突操作执行完毕。操作完毕的PICC进入HALT状态，重复该算法，就可以检索PCD工作范围内的其他PICC。2.5.2 TYPE B时隙Aloha算法Aloha算法是基于时分多址技术的一种分组广播通信方式，最早是为计算机之间的信息传输而设计的。Aloha算法应用于RFID系统时

14、，是指当有一个数据包可供使用，PICC就会把这个数据发送给PCD，PCD一个单独的PICC时就会与这个PICC进行通信。碰撞的思想是：当多个PICC同时发送数据给PCD时，信号就会发生重叠而产生部分冲突或者全部冲突。若PCD发现有冲突发生，PCD就会发送相关指令让PICC停止发搜狗信息，随机等待一段时间后再发送信息以减少冲突的发生。相对于TYPE A的二进制树搜索算法，TYPE B对PICC的硬件要求更高，要能产生伪随机数。图2.9为TYPE B的时隙Aloha算法原理。1、PCD发出包含AFI（Application Family Identifier）和N（slot的数目，协议里用3个bi

15、t表示，可设为1、2、4、8、16）的查询命令，这也标志着第一个slot的开始。2、PCD继续发送N-1个Slot-MARKER命令，用来标志每个slot的开始，命令里有4个bit来标志第2-N（最大16）个slot。3、在PCD工作范围内且WAKEUP的PICC比较自己的AFI是否与命令匹配，若匹配则生成一个属于1，N的伪随机数R，如果R与当前slot数相同，则回复该查询命令。4、N个slot即一次循环结束，如果PCD在某个时隙只收到一个有效的回复，即没有发生冲突，则可选定该PICC进行数据操作。图2.9 时隙Aloha算法原理至此，一次防冲突操作执行完毕。操作完毕的PICC进入HALT状态

16、，重复该算法，就可以检索PCD工作范围内的其他AFI匹配的PICC。2.6负载调制负载调制是电子标签经常使用的向读写器传输数据的方法。负载调制通过对电子标签振荡回路的电参数按照数据流的节拍进行调节，使电子标签阻抗的大小和相位随之改变，从而完成调制的过程。负载调制技术主要有电阻负载调制和电容负载调制两种方式。2.4.1电阻负载调制在电阻负载调制中，负载 并联一个电阻 ，称为负载调制电阻，该电阻按数据流的时钟接通和断开，开关S的通断由二进制数据编码控制。电阻负载调制的电路原理图如图7.15所示。（点击查看大图）图7.15 电阻负载调制的电路原理图电阻负载调制的特性如下。（1）当二进制数据编码为1时

17、，开关S接通，电子标签的负载电阻为和的并联；当二进制数据编码为0时，开关S断开，电子标签的负载电阻为。这说明，开关S接通时，电子标签的负载电阻比较小。（2）对于并联谐振，如果并联电阻比较小，将降低品质因数。也就是说，当电子标签的负载电阻比较小时，品质因数 值将降低，这将使谐振回路两端的电压下降。（3）上述分析说明，开关S接通或断开，会使电子标签谐振回路两端的电压发生变化。为了恢复（解调）电子标签发送的数据，上述变化应该输送到读写器。（4）当电子标签谐振回路两端的电压发生变化时，由于线圈电感耦合，这种变化会传递给读写器，表现为读写器线圈两端电压的振幅发生变化，因此产生对读写器电压的调幅。（5）电

18、阻负载调制的波形变化过程如图7.16所示。图7.16（a）为电子标签数据的二进制数据编码，图7.16（b）为电子标签线圈两端的电压，图7.16（c）为读写器线圈两端的电压，图7.16（d）为读写器线圈解调后的电压。可以看出，图7.16（a）与图7.16（d）的二进制数据编码一致，表明电阻负载调制完成了信息传递的工作。图7.16 电阻负载调制的波形变化过程2.4.2电容负载调制在电阻负载调制中，负载并联一个电容 ，取代了由二进制数据编码控制的负载调制电阻。电容负载调制的电路原理图如图7.17所示。（点击查看大图）图7.17 电容负载调制的电路原理图电容负载调制的特性如下。（1）在电阻负载调制中，

19、读写器和电子标签在工作频率下都处于谐振状态；而在电容负载调制中，由于接入了电容，电子标签回路失谐，又由于读写器与电子标签的耦合作用，导致读写器也失谐。（2）开关S的通断控制电容按数据流的时钟接通和断开，使电子标签的谐振频率在两个频率之间转换。（3）通过定性分析可以知道，电容的接入使电子标签电感线圈上的电压下降。（4）由于电子标签电感线圈上的电压下降，使读写器电感线圈上的电压上升。（5）电容负载调制的波形变化，与电阻负载调制的波形变化相似，但此时读写器电感线圈上电压不仅发生振幅的变化，也发生相位的变化，相位变化应尽量减小。2.7Mifare 1 S50型非接触式IC卡的存储结构 存储容量为819

20、2bit（即1KB）采用EEPROM作为存储介质，整个结构划分为16个分区，编为分区015每个分区有4个块（block）,即块0、块1、块2和块3。每块有16B，一个分区共有64B每个分区的块3（即第4块）是一个控制块，包含了该分区的密码A（6B）、访问控制（4B）、密码B（6B），其余三个块是一般的数据块。厂商代码块分区0的块0（即绝对地址0块）是厂商代码，已固化，不可改写 第04字节为IC卡的序列号第5字节为序列号的CRC校验码第6字节为IC卡的容量“SIZE”字节第7、8字节为IC卡的类型编码字节其他字节由厂商自行定义。 数据块 分区0包含1个厂商代码块（块0）和2个数据块（块1、块2）

21、，其他15个分区均包含3个数据块（块0、块1、块2），每个块有16B。 通过对块3中的访问控制的设置，可以将数据块配置为读、写块或数值块。 读写块：作为一般的数据保存，可直接读、写整个块。数值块：作为数值块可以支持读、写、加值、减值、恢复、传送功能，特别适宜用作计数消费或小额消费。密钥A（第05字节，共6B）和密钥B（第1015字节，共6B，可选）：读密钥A或密钥B时只能读到0。访问控制（第69字节，共4B）：用于设置访问该分区4个存储块的条件，访问控制还可确定数据块的类型（读、写块或数值块）。M1 S70卡片的介绍1. 我们要进行的工作就是对IC卡的39扇区进行密钥替换和控制字节的替换，不进

22、行其它数据的写入。要求能对IC卡进行批量操作。2. IC卡采用Philips Standard Card IC M1 S70芯片。3. 卡片有4K的存储空间，有32个小扇区和8个大扇区。小扇区的结构为：每扇区有4块，每块16个字节，一共64字节，第3块为密钥和控制字节；大扇区的结构为：每扇区16块，每块16个字节，一共256字节，第15块为密钥和控制字节；详细介绍如下所示。MIFARE STANDARD 4K（M1 S70）FEATURE:l 4 K字节, 共40个扇区，前32个扇区中，每个扇区4个数据块，后8个扇区中，每 个扇区16个数据块，每个数据块16个字节。l 每个扇区有独立的一组密码

23、及访问控制；l 每张卡有唯一序列号，为32位；l 具有防冲突机制，支持多卡操作；l 无电源，自带天线，内含加密控制逻辑和通讯逻辑电路；l 工作温度：-2050；l 工作频率：13.56MHZ；l 通信速率：106KBPS；l 读写距离：10mm以内（与读写器有关）；l 数据保存期为10年，可改写10万次，读不限次；存储结构 4 K字节, 共40个扇区，前32个扇区中，每个扇区4个数据块，后8个扇区中，每个 扇区16个数据块，每个数据块16个字节。SectorBlock0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15Description39151413210Key A

24、Access Key BSector Trailer 39DataDataDataDataData 32151413210 Key AAccess Key BSector Trailer 32DataDataDataDataData313210Key AAccess Key BSector Trailer 31DataDataData 03210 Key AAccess Key BSector Trailer 0DataDataManufacturer Dataa) Manufacturer Blcok：第一个扇区的第一块由厂商使用，存储了IC卡的生产产商代码，这个块中的数据写入后不能被修改

25、最高有效位 最低有效位X X X X 0 0 1 0 Philips 厂商代码 0123456789101112131415 卡序列号 生产厂商数据 校验字节b) Data Blocks（数据块）扇区1到 扇区31有3个数据块， 扇区32到 扇区39 有15个数据块供存储数据(扇区0只有2个数据块和一个厂商数据存储块).数据块的读写操作由控制位控制c) Value Block（值块）: 值块可用做电子钱包（有效的命令为read,write,increment,decrement,restore,transfer），值块中的数据只占4个字节。d) Sector Trailer（扇区尾部）: 每个

26、扇区都有个扇区尾部.包括密码A（不能读出）、密码B及相应扇区中的所有块的存储控制位（位于第6个字节到第9个字节），存储结构如下：A0A1A2A3A4A5 FF 07 80 69 B0B1B2B3B4B5 密码A(6字节) 存取控制(4字节) 密码B(6字节)控制属性: 1每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取 控制。在存取控制中每个块都有相应的三个控制位,定义如下： 块0： C10 C20 C30 块1： C11 C21 C31 块2： C12 C22 C32 块3： C13 C23 C33 三个控制位以正和反两种形式存在于存取控制字节中，决定了该块的访问权限

27、（如进行减值操作必须验证KEY A，进行加值操作必须验证KEY B，等等）。三个控制位在存取控制字节中的位置如下（字节9为备用字节，默认值为0x69）：A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5密码A 控制位 密码 Bbit 7 6 5 4 3 2 1 0Byte 6C23_bC22_bC21_bC20_bC13_bC12_bC11_bC10_bByte 7C13C12C11C10C33_bC32_bC31_bC30_bByte 8C33C32C31C30C23C22C21C20Byte 9 （注： _b表示取反）1 制块（块3）存取控制 的

28、存取控制与数据块（块0、1、2）不同，它的存取控制如下：密码 A控制位密码BC13C23C33ReadWrite ReadWriteReadWrite000NeverKeyA|BKeyA|BNeverKeyA|BKeyA|B010NeverNeverKeyA|BNeverKeyA|BNever100NeverKeyBKeyA|BNeverNeverKeyB110NeverNeverKeyA|BNeverNeverNever001NeverKeyA|BKeyA|BKeyA|BKeyA|BKeyA|B011NeverKeyBKeyA|BKeyBNeverKeyB101NeverNeverKeyA|

29、BKeyBNeverNever111NeverNeverKeyA|BNeverNeverNever （KeyA|B 表示密码A或密码B，Never表示任何条件下不能实现）例如：当块3的存取控制位C13 C23 C33=100时，表示： 密码A： 不可读，验证KEYB正确后，可写（更改）。 存取控制：验证KEYA或KEYB正确后，可读不可写。 密码B： 不可读，验证KEYB正确后，可写。2 数据块（块0、块1、块2）的存取控制如下：控制位（X=0.2） 控制条件（对块 0、1、2）C1XC2XC3X Read Write IncrementDecrement, transfer,Restore0

30、00KeyA|BKeyA|BKeyA|BKeyA|B010KeyA|BNeverNeverNever100KeyA|BKeyBNeverNever110KeyA|BKeyBKeyBKeyA|B001KeyA|BNeverNeverKeyA|B011KeyBKeyBNeverNever101KeyBNeverNeverNever111NeverNeverNeverNever （KeyA|B 表示密码A或密码B，Never表示任何条件下不能实现）例如：当块0的存取控制位C10 C20 C30=100时，验证密码A或密码B正确后可读；验证密码B正确后可写；不能进行加值、减值操作。一、MF1卡(S50

31、/S70卡)的技术参数1、工作频率：13.56MHz2、存储容量：S50卡：1024字节，16个扇区，每个扇区4个块S70卡：4096字节，40个扇区，前32个扇区每扇区4个块，后8个扇区每扇区16个块3、协议标准：ISO 14443 A4、擦写寿命：大于100,000次5、数据保存时间：10年6、应用范围：在一卡通领域等广泛应用二、MF1卡读写失误常见问题盲目操作：造成某些区块误操作被锁死不能再使用。应当仔细参考控制位的权限后，予先得出操作后的结果是否适合使用要求，并且列出操作顺序表单再操作。最好授权程序员对块3的设置作专人操作。丢失密码：再读写时造成密码认证出错而不能访问卡。特别要求在对M

32、F卡进行块3编程操作时，必须及时记录相关卡号的控制值、KeyA、KeyB等，而且应当有专人管理密码档案。错误设置：对MF1卡的块3控制位了解不透彻，错误的理解造成错误的设置。目前MF1卡的控制块仅只有8种数据块方问控制权限和8种控制块设置权限，超出这16种权限的其它代码组合，将直接引起错误码设置而使卡片报废。极端权限：当块3的存取控制位C12 C23 C33=100或者111时，称为极端权限。除特殊应用外一般不被使用！启用前认真权衡对密码读写、存取控制的锁死是否必要，否则，数据加密后即使有密码也无法读取被锁死的数据区块（看不见）！设备低劣：低劣的设备将直接影响卡的读写性能。对MF1卡进行块3编程操作的设备，特别要求其性能必须十分可靠，运行十分稳定！建议选用由飞利浦公司原装读写模块构建的知名读写机具！编程干扰：在对块3进行编程操作时，不可以有任何的“IO”中断或打扰！包括同时运行两个以上程序干扰甚至PC机不良的开关电源纹波干扰等，否则，不成功的写操作将造成某个扇区被锁死的现象，致使该扇区再次访问时出错而报废。数据出错：在临界距离点上读卡和写卡造成的。通常的读卡，特别是写卡，应该避免在临界状态（刚能读卡的距离）读卡。因为临界状态下的数据传达室送是很稳定的！容易引起读写出错！人为失误：例如，密码加载操作失误，误将KeyA加