MI 小米 小米手環3 NFC功能探索

本文作者：我是雷神托爾

購買理由

因為每次過小區門，地庫門，單元門，樓梯門，都要掏出一串鑰匙，刷掛在上面的門禁卡，感覺非常不爽。所以決定買一個可以模擬門禁卡的小米手環3 NFC版。我寫這篇文章的目的也主要是為了需要這樣功能的朋友，一塊探索模擬門卡的過程。也為了那些已買的朋友解答，為什麼有的非加密門卡顯示成功也不可以刷，有的門禁能行，有的門禁沒反應。

此處插入購買鏈接 。京東一般周一會放點貨出來，199的發售價格，感覺能再便宜些就好了。

小米（MI）小米手環3代NFC版（黑色） 智能運動|心率監測 NFC公交地鐵移動支付| 來電|微信提醒|防水計步器199元

NFC門禁工作原理

NFC卡，你可以簡單理解為，裡面是個無線小U盤，存儲了門禁識別需要的數據。門禁就相當於一個讀卡器，讀取NFC卡內的數據，並和已經登記的數據比對。如果和資料庫里的一樣，就把門鎖打開。絕大部門禁，只要複製出來的卡和之前的卡信息完全一樣，就能正常使用。

小米手環能複製出完全一樣的信息么？讓我慢慢講來。

實驗準備：門禁卡一張，帶NFC功能安卓手機一部，在手機上安裝MIFARE。

實驗步驟：（一）打開NFC功能，並安裝MIFARE APP。MIFARE 是一款好用的NFC卡讀寫工具，也就是說我們可以用這個APP來讀取門禁卡的卡片類型，和數據信息。避免你們下錯了，我把圖標扔上來。

（二）打開手機的NFC功能，打開APP，將門禁卡貼近手機的NFC天線區域。注意一定要打開NFC功能！！

（三）聽到咚的一聲後，你的手機發現了一個NFC卡，請不要移動卡片，操作的時候疊在手機下面好了。

發現新標籤

（四）點擊 工具 —> 顯示標籤信息，可以查看門卡符合的標準。我的卡符合ISO/IEC14443,TypeA標準。

卡片屬性

（五）退到主界面，選擇讀標籤。

我們看一個拿讀取的數據卡，數據是這個樣子的。總共有0~15個扇區。

NFC卡數據結構

扇區0第一行存放的是卡片UID號。我們可以理解為卡片的身份證號。

扇區1~扇區15，存放的是門禁廠商自己定義的數據。（1）可以是空扇區，數據全是0，密鑰A和密鑰B均為FFFFFFFFFFFF或000000000000，此時為非加密扇區。（2）還可以是有數據，無加密扇區。（3）還可以是有數據，加密扇區。

使用MIFARE 不但可以讀取門禁卡，可以讀取手環模擬的卡。我把自己的門禁卡和複製後的門禁卡，使用差異工具做了下對比。原卡為nfc1，手環模擬卡為nfc2，我們看一下扇區0的第一行，對比後發現後16個字元和原卡不一樣。這16個字元代表廠商信息。

原卡與手環模擬卡對比

扇區0第一行UID號=序號+廠商編碼 。

由於小米手環把廠商編碼鎖住了，所以廠商信息無法複製進手環。這就導致了，所有帶有檢測廠商編碼的門禁，是無法使用的。如果你的門禁不檢測廠商信息，那是可以刷成功的，反正則無法刷成功。

下一節的複製方法，是建立在你的門禁不去識別廠商信息的基礎上的，不然結果肯定不行

Q：小米運動APP最適合模擬哪種卡片

A：適合模擬情況（1）的門禁卡，另外門禁僅檢測扇區0的UID的前16個字元是否正確，其它數據和扇區一律不管。另外你可以利用空白扇區存點資料，譬如磁力下載鏈接，門禁假裝看不見

Q：為什麼我的門禁卡密鑰區，顯示的是 沒發現密鑰（或者死扇區）

A: 你的APP里沒有門禁卡的密鑰，所以讀不出來。我的演示圖片，通過MIFARE —>編輯增加密鑰文件，把我獲得的密鑰輸入進去了，這樣我的軟體，就可以讀取全部信息了。

Q：為什麼我的門禁卡是無加密卡，手環模擬後發現樓梯可以刷，單元門禁打不開

A:因為原廠的手環APP，僅複製了扇區0的內容。樓梯的門禁只檢測你扇區0是否有許可權，門禁讀取了整張卡片的內容，但是小米運動APP並沒有給你複製上。

Q：以後有沒有可能更新固件，扇區0完全複製，實現完全模擬？

A：個人感覺官方是不會出固件了，畢竟那樣的話，沒人去花錢開公交卡了。

門禁卡複製

如果你小區的門禁，不去識別廠商信息，請繼續研讀下面的門禁卡複製攻略解析。

那麼，複製門禁卡到手環，總共分幾步。

第一大步 判斷自己的門禁卡符合要求么。（是否為符合14443標準的NFC卡）

第二大步 複製信息到手環。（手環APP複製->手機軟體複製->解密後再複製，難度由低到高）

另外感覺這個圖片上傳後，文字清晰度下降，這咋回事

《如來神掌-NFC-小米手環番外篇》

（1）對於僅0扇區有數據的門卡，小米運動APP，可以複製0扇區的內容進手環。不要額外操作，完美，趕緊下樓試試。

（2）對於除了0扇區，其它扇區也有數據，但是沒有加密的門卡。使用小米運動APP，複製。複製0扇區的內容進手環。使用MIFARE讀取原門卡數據，保存到手機。使用MIFARE將保存的數據，寫入到手環中。由於沒有加密，所以手機可以輕鬆讀寫除扇區0以外的扇區。

（3）對加密卡。請使用專用設備讀出密碼，記錄下來，比如我的14扇區有密碼。把密碼修改成FFFFFFFFFFFF，寫到一張空白的NFC卡去（一般買設備會送幾張這樣的卡）。然後這就生成一張脫密卡了。此卡和原卡扇區0相同。先用小米運動APP，模擬此脫密卡。

修改為FFFFFFFFFFFF，脫密

把上一步密鑰保存到MIFARE的密鑰文件中，使用MIFARE讀取原卡，在手機上獲得完整的原卡信息。用MIFARE把完整的原卡信息，寫入到手環中。

MIFARE上增加解出的密鑰

Q:密鑰的位置？

A:每第四行的前12個字元，後12個字元，MIFARE保存多個密鑰匙，每密鑰佔一行

Q：所有加密卡都可以解密么

A: 絕大部分可以，一部分高級許可權的卡難以解密，還有的門禁卡使用兩種晶元加密，NFC全解密是不夠的。

Q：模擬成功，僅第一次可以開門，或者根本沒反應

A：部分門禁有讀寫功能，本身配發的是只讀卡，門禁會讀寫你的複製卡，改變數據，如果改變成功說明你拿的是可讀寫的卡，就不理你了 。

Q：複製多個手環，僅有一個手環能用。

A：物業配備的是帶滾動碼的門禁，為了更好的愛你（收費辦卡）

Q：我發現用小米運動APP，即可以輕鬆模擬加密卡，不需要這麼複雜步驟或者按本文無法操作

A:這篇寫在8012年的文章，估計過時了，哈哈哈。你不知道哪天，他們升級固件，會改些什麼。

Q：解密設備是什麼樣？

A:我用的是這個，見下圖，應該是120吧，還有更便宜的，名字就不說了。大家各取所需。本小區物業一張卡賣40， 一想到卡片成本低於2元人民幣，買一個自己複製卡還是划得來，畢竟卡片老是掉啊掉

NFC卡片讀寫器

外觀展示

簡單展示下小米手環3。箱子

這就是最外層的箱子

天氣預報

使用感受

佩戴了一個星期，感覺對於，我這種不經常配帶手錶的人來說，還可以。手腕細的朋友可能貼合的不是很好。另外，小米手環模擬門卡，需要上傳身份證，這個大家自己把握。誰也不想突然出現一個負資產的公司，法人是自己

久坐提醒，經常忘記自己坐了好久了。。。。碼農和司機有種職業病，對男性朋友不友好，有時候很難想到已經坐了好久了。。。。心率監測， 經常8點25心率狂飆到130，百米衝刺向單位。。。睡眠監測，一熬夜搶券睡眠質量就下降。。。這幾個是我發現的比較好玩的功能。

另外我想到一些好的功能，比如到編個APP，到點搶券提醒。手機直接通知手環，這樣不會錯過搶券時間，這樣張大媽APP和手環直接交互，會比較有意思。不過要弄懂手環的藍牙協議，不知道值友們有研究的么。

最後，我們小區的樓梯識別的是UID信息，單元門識別的是UID加其他扇區的內容，這兩處門禁可以用。地庫門和小區門識別UID加廠商信息，不能用手環刷卡。

其它

篇幅限制，部分細節沒有一 一詳盡展示，比如怎麼寫MIFARE的讀寫和增加密碼文件的步驟，大家自己摸索下就可以了。實在不行就度娘一下，軟體的使用，很簡單的。。實在不行叔叔手把手教你（僅限萌妹）

技術總結

目前最重要的不是你的門卡有沒有加密，而是你們小區的門禁檢不檢測扇區0廠商信息那段數據，如果不，那就幾乎可以模擬成功了。其實沒啥很高深的內容，技術總結完畢 （年輕的朋友啊，請戳文章下面的打賞，這是你邁上人生巔峰的第一 。。。。）

等等，你想問「我還沒有買手環，我怎麼知道小區門禁要不要檢測廠商信息」，我的建議是，找人複製一張門禁卡，但是第一行的信息後16個字元，改為D200000100000000。小區附近，或者淘寶上，或者熱心值友，幫你複製下，很簡單。

妹子說：快打賞！！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！