現在停車(chē)卡多用M1卡，由于停車(chē)卡的密碼規則和控制位置的設計，停車(chē)卡可以在不完全加密的情況下破解。如何提供系統安全，防止停車(chē)卡破解造成的損失？

停車(chē)卡

1.停車(chē)卡的主要技術(shù)指標

l 容量為8K位EEPROM

l 分為16個(gè)扇區，每個(gè)扇區4塊，每塊16個(gè)字節，以塊為存取單位

l 每個(gè)扇區都有一組獨立的密碼和訪(fǎng)問(wèn)控制

l 每張卡有一個(gè)***的序列號，32位

l 具有防沖突機制，支持多卡操作

l 無(wú)電源，自帶天線(xiàn)，包括加密控制邏輯和通信邏輯電路

l 數據保存期為10年，可重寫(xiě)10萬(wàn)次，讀無(wú)限次

l 工作溫度：-20℃~50℃

l 工作頻率：13.56MHZ

l 通信速率：106KBPS

l 讀寫(xiě)距離：10mm內部(與讀寫(xiě)器有關(guān))

二、停車(chē)卡內部數據存儲結構及如何破解停車(chē)卡密碼

1、M1卡分為16個(gè)風(fēng)扇區域，每個(gè)風(fēng)扇區域由4塊（塊0、塊1、塊2、塊3）組成也按***地址將16個(gè)扇區的64塊編號為0~63，存儲結構如下圖所示:

2.第0扇區塊0(即***地址0塊)用于存儲制造商代碼，已固化，無(wú)法更改。

3.每個(gè)扇區塊0、塊1、塊2為數據塊，可用于存儲數據。

數據塊可用于兩種應用：

★ 作為一般數據保存，可以讀寫(xiě)。

★ 作為數據值，可進(jìn)行初始化值、加值、減值、讀值操作。

4.每個(gè)扇區的塊3是控制塊，包括密碼A、訪(fǎng)問(wèn)控制，密碼B。具體結構如下：

A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5

密碼A（6字節） 存取控制(4字節) 密碼B（6字節）

5.每個(gè)風(fēng)扇區域的密碼和訪(fǎng)問(wèn)控制是獨立的，可根據實(shí)際需要設置自己的密碼和訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制為4個(gè)字節，共32個(gè)字節。風(fēng)扇區域內每個(gè)塊（包括數據塊和控制塊）的訪(fǎng)問(wèn)條件由密碼和訪(fǎng)問(wèn)控制決定。訪(fǎng)問(wèn)控制中每個(gè)塊有三個(gè)相應的控制位置，定義如下：

塊0： C10 C20 C30

塊1： C11 C21 C31

塊2： C12 C22 C32

塊3： C13 C23 C33

存取控制字節中以正反兩種形式存在三個(gè)控制位，決定了該塊的訪(fǎng)問(wèn)權限(如

減值操作必須驗證KEY A，加值操作必須驗證KEY B，等等)

以塊0為例：

控制塊0:

bit 7 6 5 4 3 2 1 0

( 注： C10_b表示C10取反 )

訪(fǎng)問(wèn)控制結構如下：

bit 7 6 5 4 3 2 1 0

( 注： _b表示取反 )

6.數據塊(塊0、塊1、塊2)的訪(fǎng)問(wèn)控制如下:

（KeyA|B 表示密碼A或密碼B，Never在任何條件下都不能實(shí)現)

例如，當塊0的訪(fǎng)問(wèn)控制位C10 C20 C30= 0 0 1.驗證密碼A或密碼B正確后可讀；

驗證密碼B正確后可寫(xiě)；不能進(jìn)行加值或減值操作。

7.控制塊3的訪(fǎng)問(wèn)控制不同于數據塊(塊0、1、2)，其訪(fǎng)問(wèn)控制如下:

例如，當塊3的訪(fǎng)問(wèn)控制位C13 C23 C33= 0 0 1時(shí)，表示：

密碼A：不可讀，驗證KEYA或KEYB正確后，可以寫(xiě)(更改)。

訪(fǎng)問(wèn)控制：驗證KEYA或KEYB正確后，可讀可寫(xiě)。

密碼B：驗證KEYA或KEYB正確后，可讀可寫(xiě)。

新卡中的控制字（FF 07 80 69)密碼A可用，密碼B不可用；

推薦的控制字

方案一：7F 07 88 69

本控制字說(shuō)明：

數據塊：使用密碼A或B都能讀寫(xiě)；

控制塊：

密碼A：由密碼B寫(xiě)，不可讀；

密碼B：由密碼B寫(xiě)，不可讀；

控制字：使用密碼A或B可讀，由密碼B寫(xiě)；

方案二：08 77 8F 69

本控制字說(shuō)明：

數據塊：

用密碼A讀，用密碼B讀寫(xiě)；

控制塊：

密碼A：由密碼B寫(xiě)，不可讀；

密碼B：由密碼B寫(xiě)，不可讀；

控制字：使用密碼A或B可讀，由密碼B寫(xiě)；

三、停車(chē)卡工作原理

卡片的電氣部分只有一個(gè)天線(xiàn)和AS滴膠卡組成。

天線(xiàn)：卡的天線(xiàn)只有幾組繞線(xiàn)，非常適合包裝IS0卡片中。

AS滴膠卡：卡片的AS滴膠卡高速(106)KB波特率）的RF接口、控制單元和控制單元

8K位EEPROM組成。

四、停車(chē)卡內部數據塊的操作

讀 (Read)：讀一個(gè)塊；

寫(xiě) (Write）：寫(xiě)一個(gè)塊；

加（Increment）：加值數值塊；

減（Decrement）：減值數值塊；

存儲（Restore）：將塊中的內容存儲在數據寄存器中；

傳輸（Transfer）：將數據寄存器中的內容寫(xiě)入塊中；

中止（Halt）：卡在暫停工作狀態(tài)；

對于計算機周?chē)木幊?，停?chē)卡破解主要有兩種想法（應該沒(méi)有第三種）。

一、利用windows系統本身dll庫。

二、使用硬件制造商提供的dll。

本篇對M使用上述第二種方法編程1卡。

M1卡最重要的優(yōu)點(diǎn)是可讀、可寫(xiě)、安全性高的多功能卡。這些優(yōu)點(diǎn)離不開(kāi)它們自身的結構。

停車(chē)卡結構：

M1卡分為16個(gè)扇區，每個(gè)扇區4塊(塊0~3)，共64塊，按塊號編號0~63。第0扇區塊0(即***地址0塊)用于存儲制造商代碼，已固化，無(wú)法更改。塊0、塊1、塊2是存儲數據的數據塊；塊3是存儲密碼的控制塊A、訪(fǎng)問(wèn)控制，密碼B。各扇區的密碼和存取控制是獨立的，可根據實(shí)際需要設置各自的密碼和存取控制。

停車(chē)卡操作機理：

連接讀寫(xiě)器→尋卡→識別卡(獲取卡序列號)→從多卡中選擇一張卡→在卡中緩沖區裝載密碼→驗證密碼→進(jìn)行讀寫(xiě)→關(guān)閉連接

即(代碼說(shuō)明)

Open_USB→rf_request→rf_ant滴膠卡oll→rf_select→rf_load_key→rf_authent滴膠卡ation→(/a_hex)→rf_read/rf_write→(hex_a)→Close_USB

綜上所述，主要有四個(gè)部分 開(kāi)關(guān)連接，尋卡，驗證密碼，讀取。

(至于詳細的程序代碼，相信大家都看過(guò)。dll說(shuō)明文檔后，你會(huì )明白的，這里就不寫(xiě)了，因為內容多)

停車(chē)卡功能模式：

1.尋卡模式：

尋卡模式分為三種情況：IDLE模式、ALL指定卡模式(0，1，2 均是int類(lèi)型，是方法參數，下同)。

0——表示IDLE模式，一次只操作一張卡；

1——表示ALL多張卡操作多張卡的模式；

2-表示指定卡模式，只對序列號等于snr卡操作(只有***函數才【不常用】

也就是說(shuō)，我們也可以同時(shí)操作多張卡。

對于多卡操作，實(shí)際操作是一張卡。讀寫(xiě)器可以識別多張卡的序列號（但請注意，識別的順序是不確定的，最多可以識別4張卡，因為堆疊的厚度太厚，會(huì )超出讀寫(xiě)器的識別范圍），并逐一操作。

因此，可以看出，多卡操作意義不大。但我建議你把它設置為1（不要說(shuō)原因，你自己的感受并不重要）。

2.密碼驗證模式：

0——KEYSET0的KEYA

4——KEYSET0的KEYB

M1卡在驗證密碼時(shí)可以選擇密碼類(lèi)型（A/B）?！酒鋵?shí)M1卡有3套密碼（KEYSET0、KEYSET1、KEYSET2)共6個(gè)密碼(0~2，4~6表示這六個(gè)密碼)，目的是適應不同的讀寫(xiě)器。我們在這里使用的是KEYSET0的2個(gè)密碼】

停車(chē)卡密碼機制及如何破解停車(chē)卡：

這可以說(shuō)是M一卡的精髓，也是M1卡最復雜的地方，希望大家耐心看完。

(請先看清楚M1卡結構)如上所述，每個(gè)塊在存取控制中都有三個(gè)相應的控制位，其定義如下:

塊0： C10 C20 C30

塊1： C11 C21 C31

塊2： C12 C22 C32

塊3： C13 C23 C33

我們可以利用密碼機制分別控制一個(gè)扇區的三個(gè)數據塊。數據塊(塊0、塊1、塊2)的訪(fǎng)問(wèn)控制如下:

例如，當塊0的訪(fǎng)問(wèn)控制位C10 C20 C30=100時(shí)，驗證密碼A或密碼B正確后可讀；驗證密碼B正確后可寫(xiě)；不能加值或減值。

那么M1卡修改密碼的方法是rf_changeb3

參數：

滴膠卡dev：通信設備標識符

_SecNr：扇區號(0~15)

KeyA：密碼A

_B0:塊0控制字，低3位（D2D1D0）對應C10、C20、C30

_B1:塊1控制字，低3位（D2D1D0）對應C11、C21、C31

_B2:塊2控制字，低3位（D2D1D0）對應C12、C22、C32

_B3:塊3控制字，低3位（D2D1D0）對應C13、C23、C33

_Bk：保留參數，取值為0

_KeyB：密碼B

從上面我們可以看出_B0、_B1、_B2、_B分別控制塊0、塊1、塊2、塊3。

我們可以從圖中看到_B0、_B1、_B2的可取值為 0、10、100、110、11、11、101、11111。

這里一定要注意一點(diǎn)：

密碼到不能裝載M1卡在某個(gè)區域后更改該區域的密碼（***在連接讀寫(xiě)器后直接更改密碼），否則更改密碼將失敗并凍結風(fēng)扇區域。如果你不小心這樣做了，解決辦法是完成讀寫(xiě)操作，然后更改密碼。

與數據塊(塊0、1、2)不同，其存取控制如下：

_B3的取值與_B0相同。

卡立方智能卡公司是一家專(zhuān)業(yè)的停車(chē)卡制造商

深圳卡立方智能卡技術(shù)有限公司是一家專(zhuān)注于智能卡生產(chǎn)13年的大型智能卡制造商，現有生產(chǎn)面積6000平方米，生產(chǎn)線(xiàn)300多人，擁有多條智能卡生產(chǎn)線(xiàn)，主要產(chǎn)品有鑰匙卡、磁條卡、條形碼卡、醫院卡、校園卡滴膠卡、公交滴膠卡、社區門(mén)禁卡、停車(chē)卡、超會(huì )員卡等智能卡。

對于需要破解停車(chē)卡的客戶(hù)

1.合法使用

能證明自己的停車(chē)場(chǎng)使用情況。

3.如果系統由于系統集成商聯(lián)系不上等法律原因無(wú)法繼續使用，我們可以提供停車(chē)卡破解服務(wù)，所有非法原因不提供此服務(wù)。