解决新卡第一次用UIM卡呼出后，写AKEY到6950失败的问题

大头虾

解决办法

1，参考深圳地区，原10010话务员接到用户反应手机无法正常呼叫后，在业务系统进行交换机
更新（刷新）操作（实际上就是系统主动发起SSD更新），用户再次开关手机解决。

7 S& ]3 E' Z. u8 x+ C  J; l2，在系统查到现在的SSDA,SSDB也写入手机。

具体到6950，不要再使用UIM卡，确认只有这台同样号码参数6950在使用，重写AKEY,将SSDA,SSDB写0
  B/ R/ {6 ~  }( r2 ?开机后到通信管理器关闭手机功能（不是关闭整个手机），打电话到10000号投诉手机无法正常呼叫
& ^; x$ d1 n0 W/ W$ A, K使用，确认话务员做了操作后（有时话务员什么都没做就叫你开关手机），在通信管理器打开手机功能，
呼叫两次以上应该就可以了。
+ Y: n; E) c* K1 i
( x) j7 T; ^% h( ]! p) i




3 E7 w. v% _: ?; X下面说说为什么会这样。
# E& A, Q3 n$ O
" Q( r3 _+ d; `6 p& A; {
8 F5 M& {) Q2 g# @$ s: `       首先说明，CDMA的鉴权并不是直接用AKEY进行的，而是由AKEY和随机数生成的临时鉴权参数
SSDA进行一般呼叫鉴权，AKEY只参与SSD的生成，被用到的机会非常少，，而SSDA用于一般鉴权，
相对被跟踪，暴力攻击破解的机会就很多，当网络进行一般鉴权失败时，当某次使用SSD的一般
鉴权失败时，应该认为SSD已经泄密，系统自动启动基于AKEY的SSD更新过程，更新无卡手机内SSD
& I4 h- x9 {5 e9 a/ \5 X0 ^或UIM卡内的SSD（对于网络是没有区别的），当新开的UIM卡未使用时，SSDA,B都是0，第一次打电
& t' ^, }$ M: F4 `' f# J8 L话后系统会启动SSD的更新，将UIM卡的SSD改为不是0的随机数，之后使用SSD进行一般性的鉴权，
  W% x) |+ {( H3 T) g" ~# Q# C标准来说，SSD应该定时（一星期左右）由系统发起更新一次，或者在某次基于SSD的呼叫一般鉴权
9 }0 s: P1 ?6 k8 Q) s, I. r* @失败后立刻进行基于AKEY的SSD更新过程。

   现在我们开新卡后，SSD是0，如果你把卡直接装手机打过电话后，UIM内的SSD就
/ N8 a+ ?3 n5 {4 E, v9 d被更新了，此时再将AKEY写入无卡手机，SSD写0时就与系统保存的更新过的SSD
不同，这样无卡手机基于SSD的呼叫一般鉴权肯定失败，之后标准协议要求系统
0 E7 c' u4 v" y: X% I应该在第二次呼叫时启动基于AKEY的SSD更新过程，如果AKEY正确，SSD将被同时
更新到系统和手机内，系统和手机内SSD将一致，所以第二次呼叫之后都能正常
* e/ I9 |0 n* R9 j9 F
   以上是正常的标准协议过程，在大部分地区都是这样的，在深圳测试两台同样的
AKEY手机SSD全0，第一台正常呼叫后，第二台再呼叫时，因为手机内SSD此时已经不同
$ p! r  J  Z5 M0 D0 X) h4 I7 A: m所以第一次呼叫不成功，第二次呼叫时系统启动SSD更新，之后第二台能正常使用，
* Y! W/ h% {* X4 R# k此时再用第一台呼叫，因为SSD只更新到第二台手机上，所以第一台手机第一呼叫
5 R& k7 B  v* V! K" Y( z也不成功，第二次呼叫后正常，只要轮流使用手机，此现象就轮流出现。
+ n/ a/ u. i/ o6 Z2 N% R
2 c' i+ f# h% h, y

   现在的情况是，
& W+ P9 \4 {) Z3 P5 n# b1，因为更新SSD会耗费系统资源，
" J" J& h: |- @* ~- h2，各地都有鉴权中心，原来联通一直未很好解决漫游两地SSD更新交换数据问题，手机
在外地时如果一次鉴权失败（例如呼叫鉴权手机掉电，信号不好，交换不成功），启动SSD更新，
因为两地交换数据的问题，异地更新不成功，此时机主在回原地之前都不能使用手机。
+ M) W7 g: A% h7 K- }' q* S* M; e
% F; X# `" K  y" L1 U  X联通不好好正面解决这个问题，而是偷懒，所谓网络优化，去掉了异地甚至本地使用SSD的一般
; P- C  H1 Y- L4 a; |: x# q鉴权失败后的基于AKEY的SSD更新过程，甚至去掉了定时更新SSD过程，只在新开户，换卡，投诉
时进行SSD更新，系统实际降低到只依靠SSD进行鉴权，一直使用本是临时的SSD，把临时安全措施
' k) j. I8 `* G: ?% F- B当长期安全措施，安全程度大打折扣。
, R& Z+ a& ^$ {! F' z) X$ d% v
: S/ I* j* ^4 c0 t& n' L就目前的情况就是，因为新卡第一次呼叫是在UIM卡上，所以SSD已经不是0
# V7 ~6 l+ p* g# c3 T- ~，再将AKEY写入无卡手机后，SSD未知，系统又不启动基于AKEY的SSD更新过程，只进行
基于SSD的一般鉴权，导致鉴权失败，号码被锁定到第一次呼叫的UIM卡上（只有这张
9 I; g# R+ v) P, X* HUIM卡有正确的SSD）。

3 Q  F! V/ Y: q, e5 F# |. @: B

6 A1 g+ j( P4 ?     因为论坛里电信的人比较多，顺便谈谈对于这种所谓网络优化后的现实攻击方法（盗号）。
/ k4 X- {% X( S3 v4 b一般的呼叫鉴权，鉴权算法我们看成一个黑盒，输入4个参数，
1，RAND，由网络发送到手机，标准协议应该每次都是随机数，但现实情况，大部分地区都是固定为0
* {& r# o5 M+ M+ T8 z+ H: a/ C: b2，SSDA，这个由AKEY临时生成，标准协议应该一般鉴权失败就更新，或定时更新，但现实情况，部分
2 b0 Q, v* c$ Q9 k地区从来不更新，哪怕某次鉴权失败（意味着可能有并机无AKEY使用)。
3，呼出时电话号码后6位数，呼入时MIN码后3字节
4，ESN(UIM ID)

& _# Y' ]* l. {3 k  o得到 AUTHR，发送到鉴权中心，鉴权中心也有这4个参数，同样的鉴权算法，也计算出AUTHR与手机发来的
AUTHR比较一致时鉴权成功，可以继续通话。

在一个所谓的网络优化后的网络，由于参数1,2,4都固定了，
参数3意味你接听电话时也是固定不变，你播出电话时已知，上网#777时固定，
/ I' \6 U2 ]. s鉴权结果可以跟踪UIM卡数据得到（用串口调试器飞线到UIM 数据口捕获）.

; R( v0 D, e. K8 u5 N' K7 W6 L+ y或者不用捕获，因为AUTHR只有3字节，而且这样的网络永远都不更新SSDA，所以3字节暴力攻击吧，很快就有结果了。
. x: ?* s) @- O& `9 i) P

6 K% `$ d6 E4 g+ k3 R现在你无需知道AKEY,SSDA，知道IMSI,ESN(UIM ID)，
, P, F7 M# G* l4 Z捕获常用的拨出号码，例如二次拨叫的IP，#777上网，银行服务电话，购物电话，的AUTHR,呼入的AUTHR，
. N* j) I" S! _5 m, m
做一个特别的无卡手机程序，在鉴权结果AUTH出来后做判断改为上面捕获的预设AUTHR
就可以
1，无限并机冒充原机拨打，冒充机主，银行电话，充值什么的..........不象那些网络电话，联通公司会出证明给公安局，证明这个电话

就是你打的。
; B/ o+ D1 ]/ X; W$ V7 T1 b) ]7 i
2，做无限并机上网卡。
" T" i! a( [8 s. g3，呼入时两个手机同时响，并机的等一会接听就可以窃听机主谈话。

. r$ P7 ^: |! a; _- Y& F1 Y% H, c0 y+ m. _- g哈哈，公布这些只是希望新电信尽快补上这些所谓的网络优化漏洞。
5 g  V+ y9 p8 ]' K* M: H& G4 u
再说一个真实的曾经有的打电话没账单的漏洞，也许部分地区还有。
( T, f) b& a- s7 N* g     前几年某地CDMA关闭鉴权的手机可以这样打电话没账单，
6 Q( @/ @& u3 {, R! K! w# ^0 R     
     做两个同号关闭鉴权手机，先用A机拨免费10010等电话，通后不挂，立刻用
     
     B机拨另一个电话（通常是国际长途),B机通后挂掉A机，B机可以继续通话，
     
% N$ Q' b9 E1 E8 w     之后联通计费中心将没有这个呼叫的计费，等国际电话账单到了联通，也许
1 Q9 q) @6 e. j$ ~     
     他能从其它地方查到这个电话是你的号码拨出的，但永远在计费中心都查不到
9 t4 z7 B( R% P6 H     
: [; l  c/ j: ^; |     这个计费记录。

大头虾

作者;cdmapcs
原链接：http://www.diypda.com/viewthread.php?tid=46340&extra=page%3D1

ibeer

我的问题和这个类似，akey正确写到手机里，可是呼叫却提示“没有开通这项业务”