克隆卡问题分析

周琳



克隆卡问题分析

周琳

中国联通湖北分公司，湖北 武汉 430040

重点分析了湖北联通克隆卡导致的恶意呼叫和话费流失问题，找出了问题出现的根源，定位了故障点，并拿出了切实可行的解决方案，最大限度降低克隆卡的网络风险。

克隆卡；根源；方案

引言

随着科技的迅猛发展，移动通信网络不断升级换代，在为用户提供更好的网络服务的同时，也有少量用户利用科技手段，不断探测发现网络中的漏洞，并且利用这种漏洞来套取非法收益，使网络运营公司蒙受了巨大损失。克隆卡就是其中最突出的一类。这些用户利用克隆机器、局部地域的核心网设备漏洞，套取了通信公司大量的费用。本文针对克隆卡的现象及原因进行了分析，并结合具体实际，找出了解决方案。

1 湖北克隆卡问题的分析

1.1 湖北克隆卡问题的现状

近期，湖北营帐发现部分用户停机后仍有大量国际话单生成，并产生了高额欠费。提取部分此类用户呼叫记录如下（见表1）。

表 1

从话单情况看，异常用户是在0737位置号（湖南益阳）持续发起的呼叫。查看用户在HLR中的数据信息，发现用户实际登录GT为 8613254503 贵州毕节。从联通核心网优化系统中可以发现异常用户在短时间内，在湖南益阳和贵州毕节有频繁位置更新记录，不可能是一张卡的使用。当从HLR侧对用户号码发送停机指令时，只能下发到HSS存储的MSC/VLR中，即贵州毕节，而不能对用户呼叫发起地的湖南益阳的MSC/VLR插入用户的停机操作，由此从现象上判断，可以定位此类情况为克隆卡导致。

1.2 克隆卡盗打机制分析

1.2.1 克隆卡工作原理分析

克隆卡实现正常使用，主要在以下两种情景下。

（1）HLR工作在非串行模式下

2个克隆卡几乎同时做位置更新，触发两次清除位置（Cancel Location）消息到PVLR（HLR当前存储的VLR地址）。VLR2和VLR3依次将自己的VLR地址写入HLR，HLR在超短时间内接纳了同一号码的两次位置更新请求操作，并且是作为两个事务处理，VLR3的地址将覆盖VLR2地址，最终写入HLR中，造成VLR2中用户脱离了HLR控制。信令流程见图1。

图1

（2）VLR删除用户注册信息失败

002个克隆卡先后做位置更新，但时间间隔非常接近，使得HLR在VLR2刚发起位置更新请求后紧接着对VLR2发送清除位置操作，而此时VLR2的插入用户数据流程还没有结束。如果VLR2处理不当，就将使用户数据插入到VLR2中，HLR存储的是VLR3的地址，造成VLR2中用户脱离了HLR控制[1]。信令流程见图2。

1.2.2 湖北克隆卡盗打原因分析

（1）从联通核心网优化系统中提取用户信令流程进行分析。

图2

湖南L1局先收到了CL （cancel location 19：04：32：600），然后才收到UL_ACK （19：04：32：602）。也就是说，在湖南VLR上的LU过程还没有结束的时候就收到了CL，这导致湖南VLR上删除用户数据失败，出现双活。

图3

从HLR角度看，HLR是在对湖南VLR上的LU过程结束（UL_ACK，19：04：32：564）后才发了CL（19：04：32：584），即在HLR上过程是正确的（串行操作），但是消息在浙江H1局发往湖南L局时这两条消息（UL_ACK和CL）发生了顺序翻转，导致湖南VLR先收到了CL然后才收到UL_ACK。

这种双活的情况是在非常接近的时间内在多个VLR上同时发起LU过程。由于MAP消息在中间传递（L局，H局）过程中时延可能不同，在时间接近时可能出现HLR下发的UL_ACK和CL消息在中间传递时顺序翻转，当到达VLR时出现VLR先收到了CL，然后才收到UL_ACK，因此这样就会造成VLR删除用户失败，从而出现克隆卡双活问题。在SIM卡双活成功后，克隆卡用户在湖南开始做国际长途盗打，产生高额话费。

由以上分析可知，湖北省目前已查明克隆卡情况，应属于前述的第二类原因“VLR删除用户注册信息失败”。

（2）为了验证湖北省是否还包含因“HLR工作在非串行模式下”导致的克隆卡使用，湖北省在不同城市，模拟不同场景进行了测试。

测试流程1：

两张克隆卡，同时在一个VLR（WHGS1）发起位置更新，HLR-FE只收到其中一个的LU Req，位置更新成功。

结果分析：

MSC-S只向HLR-FE发送了一个LU Req，说明MSC-S的行为正常。

测试流程2：

两张克隆卡，同时在两个VLR（WHGS1，WHGS3）发起位置更新，HLR-FE同时收到二者的LU Req，接受其中一个，向另一个发送TC-ABORT消息（测试信令0331_1420）。

结果分析：

两张克隆卡几乎同时在不同的VLR发起位置更新（从信令上看相差几十毫秒），HLR-FE只接受了WHGS1的LU Req消息，向另WHGS3发送TC-ABORT消息。此项测试说明HLR-FE工作在串行模式下，只接受一个VLR的位置更新，拒绝同时发起的其他位置更新。详细流程见图3。

测试流程3：

三张克隆卡，一张卡已在WHGS4上正常登记，其他两张克隆卡几乎同时在不同的VLR（WHGS1， WHGS3）发起位置更新（从信令上看相差几十毫秒），HLR-FE只接受了WHGS3的LU Req消息，向另WHGS1发送TC-ABORT消息，向WHGS4的克隆卡发送了Cancel loaction（测试信令0331_1449）。

结果分析：

此项测试验证了HLR-FE的串行工作模式，而且会对第一张登记在WHGS4的克隆卡发送Cancel location，保证同时只有一张卡登记在VLR中。详细流程见图4。

测试流程4：

三张克隆卡，一张已在WHGS3登记，其他两张卡同时在两个VLR（WHGS1，WHGS3）发起位置更新，HLR-FE只收到WHGS1的LU Req，位置更新成功，向WHGS3发送Cancel Location消息（测试信令0331_1548）。

结果分析：

WHGS3已有一张卡登记，当第二张克隆卡发起位置更新时，不会向HLR-FE发送 LU Req，MSC-S和HLR-FE行为都符合预期。

结论：通过上述各种场景的测试，可排除省内爱立信HLR工作在非串行模式的情况；省内的爱立信MSC-S的处理机制也能有效避免出现共活。

2 克隆卡问题的解决方案

2.1 UDC/HLR防克隆卡补丁

从上述克隆卡共活流程可以看出，如果HLR采用非串行处理机制（同时处理同一号码的多个位置更新请求），很容易导致克隆卡的出现。为了解决该问题，爱立信UDC在入网时已打入了补丁MCA-08（MDE 13529：ANTI CLONE SIMCARD SOLUTION），实现了HLR的串行处理机制。

图4

该补丁的工作原理是：当UDC同时收到同一号码的多个位置更新请求时，UDC仅允许第一个位置更新请求执行，拒绝其他的位置更新请求，直到第一个位置更新请求处理完成。这样可以有效预防由于HLR并行处理的问题导致的克隆卡双活问题。

2.2 VLR无法删除用户信息的处理

在UDC/HLR已做出正确的并行操作的情况下，如果VLR没能正确删除用户数据，那么从UDC/HLR的角度来看，没有机制再确认Cancel Location 是否成功。根据多厂家设备的配合测试，我们发现在大本地组网时，MSC/VLR对小本地间的位置更新保护设置不正确，会导致MSC/VLR判断错误，不能执行Cancel Location。因此不仅是湖北省内VLR，而且还需全国各省交换机确认VLR对cancel location的处理机制，尤其是大本地组网下小本地间位置更新场景、Cancel Location未携带VLR GT场景的处理机制，并进行现网核查，确保不会出现因VLR不执行Cancel Location而产生克隆卡用户。

2.3 对异地使用克隆卡的处理机制

对于已发现欠费并且仍在拨打国际长途的用户，可以根据联通提供话单中的MSC地址，从MSC/VLR上进行清除操作。但是由于涉及MSC/VLR较多，并且分布在外省，因此操作难度大。

从爱立信UDC的角度，可以采取的清除方法如下。

向MSC/VLR发Reset操作：

通过WHUDC1向克隆卡所在的MSC/VLR发Reset操作，指令格式为：

HEREI：VLRADDS=4-861XXXXXXXX，RID=4，FRES；

指令执行后，该MSV/VLR中所有属于WHUDC1的用户，将从MSC/VLR中清除。用户做位置更新（周期性位置更新或发起主叫业务）后，UDC中用户数据被插入MSC/VLR后。这样，对于已停机克隆卡用户，业务将被限制。

由于Reset操作也会影响正常用户，并且增大UDC的信令负荷，因此这种方法适用于MSC/VLR中有比较多的克隆卡用户，并且正常用户数量有限的情况。

目前这种清除方法比较被动，需要等盗打用户双活并产生高额欠费后才能发现具体的VLR地址。

3 总结

关于克隆卡的问题，产生的原因通过以上分析，已基本明了，湖北省也制定了积极的处理解决措施。但是由于克隆卡用户已熟悉移动网络的流程机制，大量跨省使用也增加了湖北省处理的难度。因此需要全网行动起来，共查共纠，堵住克隆卡的使用漏洞。这才是问题解决的根本。

[1]中华人民共和国通信行业标准No.7信令与IP的信令网关设备技术规范：YD/T 1203—2002[S]. 北京：人民邮电出版社，2002.

Clone Card Problem Analysis

Zhou Lin

China Unicom Hubei Branch, Hubei Wuhan 430040

The paper analyzes the malicious call and call loss caused by Hubei Unicom clone card, finds the root of the problem, locates the point of failure, and puts forward practical solutions to minimize the network risk of the clone card.

clone card; roots; solutions

TN929.5

A