解决新卡第一次用UIM卡呼出后，写AKEY到6950失败的问题

大头虾

解决办法

1，参考深圳地区，原10010话务员接到用户反应手机无法正常呼叫后，在业务系统进行交换机
更新（刷新）操作（实际上就是系统主动发起SSD更新），用户再次开关手机解决。
" T8 o& v3 {! j) o% P* J; ~  P
/ w8 }7 ]: x9 X% J( h( Q! {1 q. P/ N2，在系统查到现在的SSDA,SSDB也写入手机。

' z1 o8 _5 D8 u# B+ [3 T' j# R具体到6950，不要再使用UIM卡，确认只有这台同样号码参数6950在使用，重写AKEY,将SSDA,SSDB写0
开机后到通信管理器关闭手机功能（不是关闭整个手机），打电话到10000号投诉手机无法正常呼叫
使用，确认话务员做了操作后（有时话务员什么都没做就叫你开关手机），在通信管理器打开手机功能，
呼叫两次以上应该就可以了。
/ z& t, A2 X% P) q




- l' B# _4 {4 \6 a& Y
) `7 T# J' N, w2 h6 `下面说说为什么会这样。

( w6 M6 e& z& r6 s
       首先说明，CDMA的鉴权并不是直接用AKEY进行的，而是由AKEY和随机数生成的临时鉴权参数
! C: L) b: d( \, T. x! T, ~7 G& dSSDA进行一般呼叫鉴权，AKEY只参与SSD的生成，被用到的机会非常少，，而SSDA用于一般鉴权，
相对被跟踪，暴力攻击破解的机会就很多，当网络进行一般鉴权失败时，当某次使用SSD的一般
鉴权失败时，应该认为SSD已经泄密，系统自动启动基于AKEY的SSD更新过程，更新无卡手机内SSD
6 O6 C" L# P4 p* m或UIM卡内的SSD（对于网络是没有区别的），当新开的UIM卡未使用时，SSDA,B都是0，第一次打电
话后系统会启动SSD的更新，将UIM卡的SSD改为不是0的随机数，之后使用SSD进行一般性的鉴权，
标准来说，SSD应该定时（一星期左右）由系统发起更新一次，或者在某次基于SSD的呼叫一般鉴权
1 z- s! T, X4 f, x# p失败后立刻进行基于AKEY的SSD更新过程。

   现在我们开新卡后，SSD是0，如果你把卡直接装手机打过电话后，UIM内的SSD就
被更新了，此时再将AKEY写入无卡手机，SSD写0时就与系统保存的更新过的SSD
# a) @* b/ ~* R" P% R# k- X不同，这样无卡手机基于SSD的呼叫一般鉴权肯定失败，之后标准协议要求系统
& `3 ~, v- H7 x* p应该在第二次呼叫时启动基于AKEY的SSD更新过程，如果AKEY正确，SSD将被同时
更新到系统和手机内，系统和手机内SSD将一致，所以第二次呼叫之后都能正常

   以上是正常的标准协议过程，在大部分地区都是这样的，在深圳测试两台同样的
AKEY手机SSD全0，第一台正常呼叫后，第二台再呼叫时，因为手机内SSD此时已经不同
所以第一次呼叫不成功，第二次呼叫时系统启动SSD更新，之后第二台能正常使用，
此时再用第一台呼叫，因为SSD只更新到第二台手机上，所以第一台手机第一呼叫
也不成功，第二次呼叫后正常，只要轮流使用手机，此现象就轮流出现。
7 Q0 U9 z& d8 h4 F. ?/ f; \: D

5 z$ S2 ]+ a1 q5 f% N
   现在的情况是，
1，因为更新SSD会耗费系统资源，
3 q5 w0 u2 T$ ^& `& _# i" e2，各地都有鉴权中心，原来联通一直未很好解决漫游两地SSD更新交换数据问题，手机
在外地时如果一次鉴权失败（例如呼叫鉴权手机掉电，信号不好，交换不成功），启动SSD更新，
因为两地交换数据的问题，异地更新不成功，此时机主在回原地之前都不能使用手机。

联通不好好正面解决这个问题，而是偷懒，所谓网络优化，去掉了异地甚至本地使用SSD的一般
% f! A: [8 w% D& e鉴权失败后的基于AKEY的SSD更新过程，甚至去掉了定时更新SSD过程，只在新开户，换卡，投诉
- c' U4 O, p/ p% T时进行SSD更新，系统实际降低到只依靠SSD进行鉴权，一直使用本是临时的SSD，把临时安全措施
" c9 @2 `, q. z( C- a4 |当长期安全措施，安全程度大打折扣。

; t! T! P5 S9 O( m8 |' v就目前的情况就是，因为新卡第一次呼叫是在UIM卡上，所以SSD已经不是0
，再将AKEY写入无卡手机后，SSD未知，系统又不启动基于AKEY的SSD更新过程，只进行
( t9 r! E: T* n基于SSD的一般鉴权，导致鉴权失败，号码被锁定到第一次呼叫的UIM卡上（只有这张
9 w. D% b* `$ m& K' _UIM卡有正确的SSD）。

) v! \7 e: f: ]& `8 ~9 `7 e; b
6 ^+ G9 n3 R3 h5 d
     因为论坛里电信的人比较多，顺便谈谈对于这种所谓网络优化后的现实攻击方法（盗号）。
2 {3 j/ B4 l* }$ V* S- k一般的呼叫鉴权，鉴权算法我们看成一个黑盒，输入4个参数，
2 A3 G) A/ n3 j1 h4 r1，RAND，由网络发送到手机，标准协议应该每次都是随机数，但现实情况，大部分地区都是固定为0
  S0 @" t) p- i5 v2 Y2 L* n+ g2，SSDA，这个由AKEY临时生成，标准协议应该一般鉴权失败就更新，或定时更新，但现实情况，部分
地区从来不更新，哪怕某次鉴权失败（意味着可能有并机无AKEY使用)。
3，呼出时电话号码后6位数，呼入时MIN码后3字节
4，ESN(UIM ID)

% C0 R* E" x% A) @% s# G得到 AUTHR，发送到鉴权中心，鉴权中心也有这4个参数，同样的鉴权算法，也计算出AUTHR与手机发来的
% z2 {' ]1 {" @5 i" u* e6 Q. K, [1 h# EAUTHR比较一致时鉴权成功，可以继续通话。

: d1 y3 g2 u2 i  S在一个所谓的网络优化后的网络，由于参数1,2,4都固定了，
参数3意味你接听电话时也是固定不变，你播出电话时已知，上网#777时固定，
鉴权结果可以跟踪UIM卡数据得到（用串口调试器飞线到UIM 数据口捕获）.
  F" y% C, q  v4 s* C' A& J
+ l" C5 P# I! K6 @或者不用捕获，因为AUTHR只有3字节，而且这样的网络永远都不更新SSDA，所以3字节暴力攻击吧，很快就有结果了。
1 |1 X6 ]$ W5 q- n. d3 S
" @8 A9 e7 p- s, y5 b, A  P
+ q" ]) H* o4 y* y% |5 }6 x; e2 }+ z现在你无需知道AKEY,SSDA，知道IMSI,ESN(UIM ID)，
捕获常用的拨出号码，例如二次拨叫的IP，#777上网，银行服务电话，购物电话，的AUTHR,呼入的AUTHR，
& r9 m' s7 F0 l8 B
做一个特别的无卡手机程序，在鉴权结果AUTH出来后做判断改为上面捕获的预设AUTHR
就可以
1，无限并机冒充原机拨打，冒充机主，银行电话，充值什么的..........不象那些网络电话，联通公司会出证明给公安局，证明这个电话
; A  H# E2 S" S& D& r, ?
/ @, K6 z9 u3 S" J. h& A/ ^就是你打的。
; P" I8 T) y" ]- l
1 a3 V  N/ I& j# D# C* S2，做无限并机上网卡。
9 m4 V/ O5 }& g) H' C0 l5 n; r3，呼入时两个手机同时响，并机的等一会接听就可以窃听机主谈话。
8 S( V0 c: q  `1 ~( Z8 l
哈哈，公布这些只是希望新电信尽快补上这些所谓的网络优化漏洞。
* }/ b3 n! ?- S9 \
再说一个真实的曾经有的打电话没账单的漏洞，也许部分地区还有。
6 U8 a$ v3 N' ?5 U     前几年某地CDMA关闭鉴权的手机可以这样打电话没账单，
5 Y6 i3 h1 L" T- B# Q3 O- K     
% p6 M9 L) W% ?' ^% F     做两个同号关闭鉴权手机，先用A机拨免费10010等电话，通后不挂，立刻用
     
! I# {1 N9 t( M5 t     B机拨另一个电话（通常是国际长途),B机通后挂掉A机，B机可以继续通话，
8 W6 h& w& {  I( O     
     之后联通计费中心将没有这个呼叫的计费，等国际电话账单到了联通，也许
     
     他能从其它地方查到这个电话是你的号码拨出的，但永远在计费中心都查不到
     
: T* s, N& y) ~5 q7 e1 Z% G) h     这个计费记录。

大头虾

作者;cdmapcs
2 G# O2 }  B* E. w3 f6 v. T原链接：http://www.diypda.com/viewthread.php?tid=46340&extra=page%3D1

ibeer

我的问题和这个类似，akey正确写到手机里，可是呼叫却提示“没有开通这项业务”