解决新卡第一次用UIM卡呼出后，写AKEY到6950失败的问题

大头虾

解决办法
9 f9 n6 H$ k2 M
1，参考深圳地区，原10010话务员接到用户反应手机无法正常呼叫后，在业务系统进行交换机
更新（刷新）操作（实际上就是系统主动发起SSD更新），用户再次开关手机解决。

2，在系统查到现在的SSDA,SSDB也写入手机。
, C- c% }. ?, M+ h1 E
具体到6950，不要再使用UIM卡，确认只有这台同样号码参数6950在使用，重写AKEY,将SSDA,SSDB写0
开机后到通信管理器关闭手机功能（不是关闭整个手机），打电话到10000号投诉手机无法正常呼叫
$ A1 i6 t2 H  M使用，确认话务员做了操作后（有时话务员什么都没做就叫你开关手机），在通信管理器打开手机功能，
' `& y) S8 s8 K( ^: c呼叫两次以上应该就可以了。

. r7 D" K/ k& c5 y* V; n


; G' S7 k% E4 {4 q* c2 V

下面说说为什么会这样。


       首先说明，CDMA的鉴权并不是直接用AKEY进行的，而是由AKEY和随机数生成的临时鉴权参数
SSDA进行一般呼叫鉴权，AKEY只参与SSD的生成，被用到的机会非常少，，而SSDA用于一般鉴权，
相对被跟踪，暴力攻击破解的机会就很多，当网络进行一般鉴权失败时，当某次使用SSD的一般
鉴权失败时，应该认为SSD已经泄密，系统自动启动基于AKEY的SSD更新过程，更新无卡手机内SSD
或UIM卡内的SSD（对于网络是没有区别的），当新开的UIM卡未使用时，SSDA,B都是0，第一次打电
& v- ^' e! G5 e4 j% ~$ D* z, `话后系统会启动SSD的更新，将UIM卡的SSD改为不是0的随机数，之后使用SSD进行一般性的鉴权，
标准来说，SSD应该定时（一星期左右）由系统发起更新一次，或者在某次基于SSD的呼叫一般鉴权
8 R( Z9 L0 K0 l, b7 P" q1 T# ~( Q失败后立刻进行基于AKEY的SSD更新过程。
' P' w% h2 `# e
: s8 Z, Y: {: e5 O5 c   现在我们开新卡后，SSD是0，如果你把卡直接装手机打过电话后，UIM内的SSD就
' J+ E0 d+ C3 J8 B- j- G- i% L被更新了，此时再将AKEY写入无卡手机，SSD写0时就与系统保存的更新过的SSD
- p+ v+ o6 s4 {不同，这样无卡手机基于SSD的呼叫一般鉴权肯定失败，之后标准协议要求系统
应该在第二次呼叫时启动基于AKEY的SSD更新过程，如果AKEY正确，SSD将被同时
+ a  y& e6 {( x更新到系统和手机内，系统和手机内SSD将一致，所以第二次呼叫之后都能正常
: Z' I3 z; A4 ]+ y' m. N$ x' l" H
0 L2 B8 l0 p' w& l0 ?; N   以上是正常的标准协议过程，在大部分地区都是这样的，在深圳测试两台同样的
( R8 f& U' H/ d0 XAKEY手机SSD全0，第一台正常呼叫后，第二台再呼叫时，因为手机内SSD此时已经不同
1 D# f$ o# L: D1 ]: k6 k1 }, q所以第一次呼叫不成功，第二次呼叫时系统启动SSD更新，之后第二台能正常使用，
; Z2 F# G- Y  b- D( t+ }4 f: |. G此时再用第一台呼叫，因为SSD只更新到第二台手机上，所以第一台手机第一呼叫
5 q: Q) X' p. K2 F' x+ X也不成功，第二次呼叫后正常，只要轮流使用手机，此现象就轮流出现。
; W0 e( Z4 R; e8 o' a


   现在的情况是，
' z  L/ l$ r/ ^, f! N, o- m- u1，因为更新SSD会耗费系统资源，
2，各地都有鉴权中心，原来联通一直未很好解决漫游两地SSD更新交换数据问题，手机
在外地时如果一次鉴权失败（例如呼叫鉴权手机掉电，信号不好，交换不成功），启动SSD更新，
. n# t% t/ j/ E8 ?因为两地交换数据的问题，异地更新不成功，此时机主在回原地之前都不能使用手机。

! T/ n" M, S; U" f- m1 K2 S联通不好好正面解决这个问题，而是偷懒，所谓网络优化，去掉了异地甚至本地使用SSD的一般
$ N$ i1 |  P6 E% b9 Z0 |/ O鉴权失败后的基于AKEY的SSD更新过程，甚至去掉了定时更新SSD过程，只在新开户，换卡，投诉
" M6 N( I$ P: z& F, g时进行SSD更新，系统实际降低到只依靠SSD进行鉴权，一直使用本是临时的SSD，把临时安全措施
当长期安全措施，安全程度大打折扣。
+ ~4 _2 ]* W# X, V+ }+ L
1 D) L3 }; x8 ]$ D7 m就目前的情况就是，因为新卡第一次呼叫是在UIM卡上，所以SSD已经不是0
, _& ~) `9 R  m/ p，再将AKEY写入无卡手机后，SSD未知，系统又不启动基于AKEY的SSD更新过程，只进行
基于SSD的一般鉴权，导致鉴权失败，号码被锁定到第一次呼叫的UIM卡上（只有这张
UIM卡有正确的SSD）。

- @& N4 B( J6 l0 H$ i

0 c8 E8 a- J  w! X6 P     因为论坛里电信的人比较多，顺便谈谈对于这种所谓网络优化后的现实攻击方法（盗号）。
一般的呼叫鉴权，鉴权算法我们看成一个黑盒，输入4个参数，
1，RAND，由网络发送到手机，标准协议应该每次都是随机数，但现实情况，大部分地区都是固定为0
2，SSDA，这个由AKEY临时生成，标准协议应该一般鉴权失败就更新，或定时更新，但现实情况，部分
2 ^: V( X* Y. i5 \$ e6 B3 b; y地区从来不更新，哪怕某次鉴权失败（意味着可能有并机无AKEY使用)。
3，呼出时电话号码后6位数，呼入时MIN码后3字节
) }  N4 R  d; D( a" R* O4，ESN(UIM ID)

得到 AUTHR，发送到鉴权中心，鉴权中心也有这4个参数，同样的鉴权算法，也计算出AUTHR与手机发来的
1 B* V  ]/ K, h  H! e' c. o$ v' AAUTHR比较一致时鉴权成功，可以继续通话。

在一个所谓的网络优化后的网络，由于参数1,2,4都固定了，
参数3意味你接听电话时也是固定不变，你播出电话时已知，上网#777时固定，
鉴权结果可以跟踪UIM卡数据得到（用串口调试器飞线到UIM 数据口捕获）.

或者不用捕获，因为AUTHR只有3字节，而且这样的网络永远都不更新SSDA，所以3字节暴力攻击吧，很快就有结果了。


现在你无需知道AKEY,SSDA，知道IMSI,ESN(UIM ID)，
捕获常用的拨出号码，例如二次拨叫的IP，#777上网，银行服务电话，购物电话，的AUTHR,呼入的AUTHR，
6 g3 k2 ~' l7 H! s0 ^' m/ j& X' }
做一个特别的无卡手机程序，在鉴权结果AUTH出来后做判断改为上面捕获的预设AUTHR
就可以
1，无限并机冒充原机拨打，冒充机主，银行电话，充值什么的..........不象那些网络电话，联通公司会出证明给公安局，证明这个电话

就是你打的。

$ `" n2 `* z, M2，做无限并机上网卡。
3，呼入时两个手机同时响，并机的等一会接听就可以窃听机主谈话。

, O% i# A! y% }$ l哈哈，公布这些只是希望新电信尽快补上这些所谓的网络优化漏洞。
6 ]; ~, m4 @  F, K# Q
再说一个真实的曾经有的打电话没账单的漏洞，也许部分地区还有。
9 P+ W- P9 p: z2 |" p5 ~% ]8 K     前几年某地CDMA关闭鉴权的手机可以这样打电话没账单，
     
     做两个同号关闭鉴权手机，先用A机拨免费10010等电话，通后不挂，立刻用
( l6 y% s0 ~; j( m0 j0 i% D     
% T* Y& w8 u/ L% Q     B机拨另一个电话（通常是国际长途),B机通后挂掉A机，B机可以继续通话，
     
     之后联通计费中心将没有这个呼叫的计费，等国际电话账单到了联通，也许
     
     他能从其它地方查到这个电话是你的号码拨出的，但永远在计费中心都查不到
& d7 g- I4 \  z! {     
2 v# R+ g2 p% q9 I4 {- e     这个计费记录。

大头虾

作者;cdmapcs
/ d& a+ M3 h! n原链接：http://www.diypda.com/viewthread.php?tid=46340&extra=page%3D1

ibeer

我的问题和这个类似，akey正确写到手机里，可是呼叫却提示“没有开通这项业务”