Android NFC卡模拟实战：从零搭建虚拟门禁卡（附完整代码）

Android NFC卡模拟实战：从零搭建虚拟门禁卡（附完整代码）

每次站在公司楼下翻找门禁卡时，你是否想过用手机直接刷卡进门？作为Android开发者，我们可以利用NFC技术将手机变成万能门禁卡。本文将带你从零实现一个完整的虚拟门禁卡方案，重点解决Mifare Classic等常见门禁卡的兼容性问题。

1. 环境准备与基础原理

在开始编码前，我们需要了解几个关键概念。NFC卡模拟主要分为两种模式：硬件安全元件(SE)模式和主机卡模式(HCE)。由于SE通常被手机厂商锁定权限，我们选择更开放的HCE方案。

1.1 所需工具清单

• Android Studio 2023.3+
• 支持HCE的Android手机（建议Android 8.0+）
• NFC门禁卡读卡器（用于测试）
• 一张空白Mifare Classic 1K卡片（可选）

注意：部分国产手机可能对HCE支持不完整，推荐使用Google Pixel或三星Galaxy系列测试

1.2 HCE工作原理简析

当手机靠近读卡器时：

1. NFC控制器激活射频场
2. 手机模拟卡片响应ATQA/SEL流程
3. 系统路由APDU指令到我们的HCE服务
4. 服务处理指令并返回响应数据

// 典型HCE服务声明 <service android:name=".MyHostApduService" android:exported="true" android:permission="android.permission.BIND_NFC_SERVICE"> <intent-filter> <action android:name="android.nfc.cardemulation.action.HOST_APDU_SERVICE"/> </intent-filter> <meta-data android:name="android.nfc.cardemulation.host_apdu_service" android:resource="@xml/apduservice"/> </service>

2. 门禁卡数据解析实战

大多数传统门禁系统使用Mifare Classic卡片，其存储结构分为：

• 16个扇区（Sector）
• 每个扇区4个块（Block）
• 块0包含厂商信息（只读）
• 每个扇区的块3存储密钥和控制位

2.1 常见门禁卡数据模式

通过分析数十种门禁系统，我们发现主要存在三种数据存储方式：

2.2 使用Proxmark3克隆卡片

对于需要物理卡复制的场景，可以：

1. 将原卡放在Proxmark3读取器上
2. 执行高频扫描命令：

hf mf chk *1 ? ? # 爆破KeyA hf mf dump # 导出完整数据

提示：此方法仅用于合法授权的门禁系统测试，请遵守相关法律法规

3. Android HCE服务完整实现

下面是我们核心服务的实现代码，支持Mifare Classic模拟：

public class DoorEmulatorService extends HostApduService { private static final String TAG = "NfcDoorEmulator"; // 标准Mifare响应指令 private static final byte[] SELECT_OK_SW = Hex.decode("9000"); private static final byte[] UNKNOWN_CMD_SW = Hex.decode("0000"); @Override public byte[] processCommandApdu(byte[] commandApdu, Bundle extras) { if (commandApdu == null) return UNKNOWN_CMD_SW; String hexCmd = Hex.encode(commandApdu); Log.d(TAG, "Received APDU: " + hexCmd); // 处理选择应用指令 if (hexCmd.startsWith("00A40400")) { return SELECT_OK_SW; } // 处理读块指令 if (hexCmd.startsWith("00B0")) { int blockNum = commandApdu[2] & 0xFF; return readBlock(blockNum); } return UNKNOWN_CMD_SW; } private byte[] readBlock(int blockNum) { // 模拟门禁卡数据 if (blockNum == 0) { return Hex.decode("0456A8B41200000000000000000000009000"); } else if (blockNum == 1) { return Hex.decode("000000000000000000000000000000009000"); } return UNKNOWN_CMD_SW; } }

对应的apduservice.xml配置：

<host-apdu-service xmlns:android="http://schemas.android.com/apk/res/android" android:description="@string/service_description" android:requireDeviceUnlock="false"> <aid-group android:category="other" android:description="@string/aid_group_description"> <aid-filter android:name="F0010203040506"/> </aid-group> </host-apdu-service>

4. 高级功能与兼容性处理

4.1 动态UID生成方案

部分高级门禁系统会检测固定UID，我们可以实现随机UID：

private byte[] generateRandomUid() { SecureRandom random = new SecureRandom(); byte[] uid = new byte[7]; random.nextBytes(uid); uid[0] = 0x08; // 确保符合NFC规范 return uid; }

4.2 常见兼容性问题解决

1. 读卡器超时问题：

   • 将响应时间控制在<100ms
   • 预计算响应数据缓存

2. 特殊指令集支持：

// 在processCommandApdu中添加 if (hexCmd.startsWith("FFCA000000")) { return getUidResponse(); }

3. 国产手机适配技巧：
   • 华为EMUI：需开启"NFC默认付款应用"
   • 小米MIUI：关闭"双击电源键唤醒钱包"

5. 安全增强方案

虽然HCE方便，但需要注意以下安全风险：

• 中间人攻击防护：

public boolean validateReader(byte[] historicalBytes) { // 验证读卡器特征字节 return Arrays.equals(historicalBytes, Hex.decode("0012345000")); }

• 数据加密建议：
  1. 使用AES加密块数据
  2. 每次通信使用动态会话密钥
  3. 实现双向认证流程

fun encryptBlockData(plain: ByteArray, key: SecretKey): ByteArray { val cipher = Cipher.getInstance("AES/CBC/PKCS7Padding") cipher.init(Cipher.ENCRYPT_MODE, key) return cipher.doFinal(plain) }

6. 实际测试与优化

在三星S22 Ultra上的测试数据显示：

优化建议：

1. 减少服务中的对象创建
2. 使用Native代码处理加密
3. 预加载常用数据块

// native-lib.cpp extern "C" JNIEXPORT jbyteArray JNICALL Java_com_example_DoorEmulator_encryptBlock( JNIEnv* env, jobject thiz, jbyteArray input) { // 使用ARMv8 AES指令集加速 }

在小米13 Pro上测试时发现，当屏幕关闭时NFC响应延迟会增加约200ms。这可能是由于省电策略导致的，解决方法是在服务中获取部分WakeLock：

<uses-permission android:name="android.permission.WAKE_LOCK"/> // 在服务中 PowerManager pm = (PowerManager)getSystemService(POWER_SERVICE); WakeLock wakeLock = pm.newWakeLock( PowerManager.PARTIAL_WAKE_LOCK, "DoorEmulator::NfcWakeLock");