純乾貨，教您利用PN532讀卡器在小米手環5NFC版上添加加密門禁卡

本內容來源於@什麼值得買APP，觀點僅代表作者本人 ｜作者：LifeIsKillingMe

上回說到，張大媽帶我入坑在天貓購買了小米手環5 NFC版，188元的價格在當時還算比較實惠。不過後來手環在PDD的價格呈跳水之勢。所以，東西買了就不要再看張大媽了，以防心態失衡。同時呢，要想辦法壓榨所購商品的性能並發揮到極致，這才是極客的精神。

之前的原創文章分享了小米手環5NFC版初入手的基本感受，因為平時是老婆佩戴的，深度功能我也無從體驗。老婆剛開始戴手環還蠻開心的，特別是第一次用手環刷卡過閘機坐地鐵，輕鬆了不少。不過早上進公司打卡發覺APP中模擬門禁卡無法使用，下班手環刷閘機再無反應，對着小米雷軍一頓怒罵。

我必須得解決啊，否則又要破費買Apple Watch 5了啊。那個天貓店和小米旗艦店的客服都是一問三不知，只得自行研究。交通卡的問題最終通過重置小米手環出廠配置得以解決，但是門禁卡的問題還是研究了好久，找了不少網上資料。這裡分享一下解決的詳細流程，希望對眾多跟風購入小米手環5NFC的值友有所幫助。

什麼是NFC？

簡單科普一下，NFC是Near Field Communication縮寫，即近距離無線通訊技術。該模式就是將具有NFC功能的設備模擬成一張非接觸卡，如門禁卡、銀行卡等。卡模擬模式主要用於商場、交通等非接觸移動支付應用中，用戶只要將手機靠近讀卡器，並輸入密碼確認交易或者直接接收交易即可。此種方式下，卡片通過非接觸讀卡器的RF域來供電，即便是NFC設備沒電也可以工作。在該應用模式中，NFC識讀設備從具備TAG能力的NFC手機中採集數據，然後將數據傳送到應用處理系統進行處理。基於該模式的典型應用包括本地支付、門禁控制、電子票應用等等。

目前不少安卓手機及其穿戴設備都支持NFC，應用於各種現實場景。遺憾的是，蘋果設備的NFC只支持自己的Apple Pay，安裝其上的各APP無權使用NFC。一方面是，蘋果公司不想將電子支付的利益讓別人分得一杯羹；另一方面，NFC的存在客觀上使得客戶的隱私更易泄露。

NFC卡分類

我們常用的NFC卡可以分為ID卡和IC卡。ID卡全稱身份識別卡(Identification Card)，為低頻卡，工作頻率為 125KHz-1000Khz（與大部分手機、智能設備工作頻率不同，無法模擬），編號固定，卡號公開，不可寫入數據，逐步淘汰中。IC卡全稱集成電路卡(Integrated Circuit Card)，又稱智能卡(Smart Card)，工作頻率為 13.56MHz（與大部分手機 NFC 頻率一樣，可模擬）。如果大家曾經在小米運動或小米穿戴APP中做過模擬門禁卡的操作，可以看到APP提示只支持13.56MHz頻率的非加密門禁卡，也就是說只支持IC卡的模擬。

IC卡類型

常用IC卡主要有以下類型（以下介紹來自網絡）：

Mifare S50（M1）:MIFARE Classic是恩智浦半導體開發的可用於非接觸式智能卡，符合ISO/IEC 14443 A類標準。用於公共交通票證等應用，還可用於各類其他應用有S20，S50(M1)，S70幾種規格，主要是根據存儲器容量劃分，存儲器容量分別有320B，1K，4K。具有以下防干擾、輕鬆簡便以及安全等特性。日常使用的電梯卡、門禁卡等智能卡發卡商所使用的都是 M1 卡，可以理解為物業發的原卡（母卡）。常見校園卡、公交卡等也是 M1 卡。M1 卡僅僅適合發卡方發新卡使用。

UID卡：普通 IC 複製卡，可以重複擦寫所有扇區。UID 可被重複修改，響應後門指令（意味着可被使用後門指令檢測是否為克隆卡的機器發現），遇到帶有防火牆的讀卡器就會失效。

CUID卡：UID的升級版，可擦寫防屏蔽卡，可以重複擦寫所有扇區，不響應後門指令(意味着不容易被反克隆系統發現)，可以繞過防火牆。

CPU卡：CPU卡芯片內含有一個微處理器，配合操作系統即片上 OS，可以達到金融級別的安全等級。適用於金融、保險、交警、政府行業等多個領域。CPU 卡由 CPU 部分 7K 以及 M1 部分 1K 組成，最多破解其中 M1 部分，CPU 區域數據無法破解。實際上由於 CPU 部分和 M1 部分的數據會交互，所以基本上 CPU 卡無法破解。

IC卡的數據存儲有16個扇區（0-15），我們這裡最關注的是0扇區，這部分數據由製造商寫入，前4個字節（8位）為卡號（UID），第5個字節為UID的校驗值，後面幾位為廠商信息（大部分門禁卡只讀取UID，不會讀取廠商信息，如果讀取廠商信息，那模擬門禁卡就沒轍了）。

所以NFC設備中的門禁模擬功能，其實就是IC卡複製的過程。小米手環NFC模擬的部分門禁卡無法使用，就是因為小米這一功能不支持加密卡，無法在手環上寫入0扇區關鍵的UID數據。那麼這以問題如何解決呢？可以通過模擬一張空白IC卡作為媒介，然後在手環上寫入其他的加密數據；兩部分數據合二為一，從而複製完整的數據。

準備工作

要實現這一功能還是要付出一定成本的。（如果有帶NFC功能的安卓手機同樣可以實現）

首先需要購入讀卡（寫卡）器，在淘寶上以PN532為關鍵字搜索。

淘寶上的PN532有好幾種，這種帶外殼的大概50元左右。

這種要自己連線的價格便宜一些，30元左右。

我選擇了後者，就是從這家譽諾電子買的套餐。這家店同時提供軟件下載和基本教程。

這就是PN532讀卡器。

340芯片，提供USB串口的轉換，在Win10下運行穩定。

將兩塊芯片按照這一次序連接，不要接錯，否則容易燒壞。（左側PN532讀卡器，右側340芯片）

GND-GND，VCC-5.0V，SDA-RXD，SCL-TXD

將340芯片接入電腦的USB端口，成功後兩塊芯片都會紅燈常亮。一般340芯片Win10電腦可以直接識別，無需安裝額外驅動（我是Win10 2004）。

此外你還需要一張UID卡（或者CUID卡），一般買套餐賣家會提供2張，空白卡或者藍色圓卡皆可。

軟件MifareOne Tool，我使用的版本是賣家提供的1.66。這裡提供下載地址，提取碼: 8qkh。

詳細流程

下面開始詳細流程 ，都是本人實際操作，親測可用。

打開軟件MifareOne Tool。

軟件打開界面如下，按鈕比較多；不過別擔心，一般用不到這麼多功能。

點擊檢測連接，如果看到終端顯示以下信息，說明NFC設備已經連接成功。

將門禁卡放在PN532芯片上。

點擊掃描卡片，看到終端顯示卡片信息，說明讀取成功。

點擊一鍵解原卡，稍事片刻，終端會顯示一連串數字，表示已經解碼成功。同時會跳出對話框讓你保存DUMP文件，隨便命名。

將一張空白卡（UID卡）放在PN532讀卡器上，點擊掃描卡片，確保空白卡被正常識別。

然後點擊高級操作模式->Hex編輯器

點擊文件，打開剛才保存的DUMP文件，點擊扇區0 有數據，將第0塊的前8位數據拷貝出來。

回到高級操作模式中，點擊UID寫號，在彈出框中粘貼剛才拷貝的8位十六進制碼。

成功後，終端會顯示卡片已解鎖的字樣。

至此，同UID的普通卡已經製作完成。

下面用小米手環模擬這張普通卡。門卡檢測->門卡模擬，需要幾分鐘的時間。

可以看到，這裡我們是準備採用曲線救國的方式，先將門禁卡中的前8位碼複製到一張空白卡中，模擬到小米手環上，然後再將其餘加密數據寫進小米手環，從而達到完整複製門禁卡的目的。

隨後在手環中切換到之前模擬的卡片，靠近PN532點擊掃描卡片。

掃描成功手環會震動提示。隨後至高級操作模式點擊CUID寫，在跳出的對話框中選擇第一步創建的DUMP文件導入。

寫入成功後可以在終端看到完成！寫入了63/64個塊的字樣，為什麼是寫入63塊呢？因為之前一步已經從普通卡寫入8位也就是1塊數據。

如果有多張門禁卡需要模擬，重複上述操作。空白卡可以多次讀寫，多次使用。

全部完成後，如需綁定多張門禁卡，可以在手環中切換，門禁卡自動啟用大概需要一秒鐘時間，速度尚可，顯示“靠近讀卡器”就說明可以刷卡了。

現在老婆出門進出小區、乘坐地鐵、出入大廈、進入公司打卡只需刷手上佩戴的手環即可，方便了不少。平日慣常對我又打又罵的她，也難得誇獎起我了，能夠得到家人的認同還是非常有成就感的~

最後提一句，如果大家使用的空白卡是CUID卡，寫入8位卡號這一步的操作會稍有差別。需要製作一個有原UID卡號的DUMP文件，然後點擊CUID寫導入空白卡。使用CUID卡可以繞過防火牆，如果大家通過UID卡模擬失敗，可以嘗試CUID卡。

這一方法對於小米手環4NFC也是有效的。同時，實現這一功能也有其他辦法，比如有人就可以不需要額外的UID卡即可實現模擬加密門禁卡，不過操作就更複雜了，誤操作的概率更高。

當然，各個公司的門禁卡情況各有不同，比如本人公司使用的是HID厚卡，PN532根本無法識別，也就無法模擬複製。還有如果讀卡器是驗證卡片中完整的廠商信息，也就是0扇區後半部分，基本上就無解了。