某手机测试时出现《可拨打紧急电话》分析.docVIP

某手机测试时出现“可拨打紧急电话”的分析 问题描述： 2008年11月19日上午约10：04，某手机厂商在测试手机进行GPRS业务时，出现问题：发送170KB彩信提示“联机失败”，然后就出现“可拨打紧急电话”。 测试号码：MSISDNIMSI：460028141805200（此号码为提供跟踪号码中的其中一个）； 手机软件版本：07002G_16_3.40_080906(svn1878)；IMEI:352156029992629。 厂商反映：此问题在厂商进行频繁测试的三天内出现了3次，之前测试也有此种情况出现。终端需要关机后重新开机，才能正常使用。 GB数据包的情况： 我们获取了GB数据包： 如上图可见，测试终端在10:06:33出现一次GPRS附着被拒绝，拒绝的cause value为：Illegal MS。详细的信令流程如下图所示： 在Traffica News上对应出现异常的时段的记录与泰克抓包情况一致： 值得注意的是：在Traffica News上查询该记录，需要以IMSI为查询条件才能查到。只以MSISDN为查询条件，会漏掉该信息。 故障定位： 我们对比了正常附着时的鉴权响应信令与出现SGSN拒绝附着请求时的鉴权响应信令，发现在GMM层有异常： 如上图所示：左边为正常附着时的鉴权响应ACRE的GMM层信令，右边为出现SGSN拒绝附着请求时的鉴权响应ACRE的GMM层信令，其鉴权响应值SRES而SRES=A3（RAND，Ki），鉴权请求消息里的RAND为一长串随机数值，按照A3算法，正常情况下不应得到顺序的SRES 由此判断，终端在响应鉴权请求时，返回了错误的鉴权响应值，无法通过鉴权，以至于SGSN判断用户为非法用户，拒绝了用户的附着请求。 ? 关于鉴权加密算法： AUT RAND供MS计算鉴权响应值SRES。MS的SIM中存有4个与鉴权和加密相关的数据：鉴权算法A3、加密序列算法A8、加密算法A5和移动用户个人鉴权键Ki。 其关系如下：Kc=A8（RAND，Ki），SRES=A3（RAND，Ki），加密数据流=A5（user data，Kc）。SRES是MS对AUTH REQ的响应值，在AUTH RES中传递。 网络中存储了与每个 IMSI相对应的Ki值，网络根据计算出的SRES值和MS回送的SRES值，可对MS的身份进行鉴定。 其他号码的情况(Illegal MS)： 根据所抓取的GB数据包，我们发现有好些其他号码（在该小区下，可能也是测试号码）也存在附着拒绝cause为Illegal MS的情况，但均未发现鉴权响应值SRES异常的情况。示例如下： 如上图所示，我们在数据包中随机抽取了一个出现附着拒绝cause为Illegal MS的情况，查看其鉴权响应信令中GMM层的鉴权响应值SRES，并没有发现异常： 在Traffica News上查看到对应时段的消息： 小结： 根据GB数据包可见，终端在响应鉴权请求时，提供了错误的鉴权响应值，无法通过鉴权，以至于网络判断用户为非法用户，拒绝了用户的附着请求。 需要继续研究的几点： 终端厂商反映有几次出现失败情况，但此次抓包只获得对应的失败的数据包一次。这种情况是普遍现象，还是特殊现象？是否还存在其他的失败情况？ 根据获取的数据包，还有好些测试号码附着请求被拒绝，且cause为Illegal MS的情况，但不能够直接判断终端提供的是错误的鉴权响应值，这些被拒绝的终端，情况是否有所区别？ 终端在什么情况下会出现回应错误的鉴权响应值？ 相关协议规范说明： 根据协议《Digital cellular telecommunications system (Phase 2+);Mobile radio interface layer 3 specification(GSM 04.08 version 7.6.0 Release 1998)》所描述： 1、有关鉴权： 4.7.7 Authentication and ciphering procedure Abnormal cases on the network side The following abnormal cases can be identified: b) Expiry of timer T3360 The network shall, on the first expiry of the timer T3360, retransmit the AUTHENTICATION AND CIPHERING REQUEST and shall reset and start timer T3360. This retransmissio