马丽，孙国锋

（中国移动通信集团山西有限公司网络部，山西 太原 030009）

1 背景介绍

目前在移动通信中出现了“克隆卡”这一异常通信现象，即同一手机号码存在多张SIM卡同时或交错在网络中登记并使用（“并机”）的情况。SIM卡复制技术带来的危害主要在于侵犯了用户和运营商的权益，有可能会产生盗打电话、恶意欠费、诈骗、信息泄露等问题，降低了用户对运营商的信任度，严重影响到移动公司的信誉。

目前在移动通信公司内部，没有对“克隆卡”进行大范围主动监测的系统或有效手段，因此对“克隆卡”的处理只能依靠对单个用户投诉号码的话单进行人工分析及判断。现有的人工分析判定方法无法长期主动监测并发现网络中存在的“克隆卡”，处理的“克隆卡”数量仅限于单个，无法进行大范围的“克隆”监测。对于目前技术上的空白，移动联合上海贝尔公司进行了充分的研究讨论，根据位置更新消息类型不同的特性，开发了“疑似克隆卡监测系统”来监测疑似克隆卡。根据交换机上出现的告警信息，及时发现并找出当前网络中存在的“疑似克隆卡”，实现长时间、全网络主动监测“疑似克隆卡”的功能[1]。

2 SIM卡复制及测试

2.1 SIM卡复制设备及复制技术

一套复制SIM卡的工具包括1个USB接口的SIM卡读写器、1张可反复擦写且可存储数个号码信息的空白SIM卡以及包含多种破解软件的软件包。SIM卡复制技术主要可以用于以下2个方面：一卡多号，即将破解出的多个号码的Ki和IMSI数据写入同一张卡，据了解市面上在售的1张卡最多可以写16个号码的数据而且可以反复擦写改号；一号多卡，即将同一张SIM卡的Ki和IMSI数据写入多张卡内[2]。

2.2 克隆卡测试

按照说明制作了克隆卡并进行了相关测试，测试结果为：

（1）母卡如果在通话过程中，克隆卡拨打电话会中断母卡的通话，同样克隆卡在通信过程中，母卡拨打电话会中断克隆卡的通信。

（2）当母卡和克隆卡都空闲时，有用户拨打此号码，总是最近通信的卡振铃。

（3）克隆卡和母卡都可以接受短信，往往是最近通信的卡接收。

（4）只要母卡或者克隆卡一方设置呼叫转移，做被叫时，呼转号码振铃，母卡或者克隆卡接收短信。

由测试结果可知：克隆卡和母卡完全一致，通信时，最近与交换机保持联系的卡首先响应。母卡和克隆卡交换机无法识别，造成的后果是客户的来电、短信可能被非法克隆卡持有者获取，客户的来电也可能在用户不知情的情况下被全部呼转，用户的通话可能会被非法者中断等。

3 克隆卡监测原理

为了有效应对SIM卡被复制给消费者和运营商带来的经济损失，研发人员从核心网侧着手研究。研究发现交换机上是有相应的参数和比特位的，可以标识出SIM卡和伪SIM卡登录网络时候信令流程上标志位的差别，并根据该差别，可以在交换机上来呈现相应的告警并标识相应的IMSI。方案实施的总体思路是根据规范location type来标识。

3)对影响端口打磨机器人可靠性的参数进行了灵敏度分析，结果表明使得该管口打磨机器人最快趋向可靠的参数为从动轮半径。研究结果为分析和修改端口打磨机器人的可靠性水平提供了理论依据。

根据规范，如果用户是关机后再开机，location update type应该是IMSI attach；如果是从A交换机切换到B交换机，发起的location update type应该是Normal location updating。用户向交换机发送的位置更新消息是Periodic updating消息。发现疑似克隆卡就是根据Periodic updating消息来判断的。如果SIM卡向交换机发送位置更新消息，而交换机中没有用户消息就可以看做疑似克隆卡。具体流程和图示如图1所示：

图1 监测流程示意图

当合法用户和克隆SIM卡用户登记在不同的交换机下时（此交换机可以是本市、本省、国内、国际的交换机）：

（1）假设正常用户a登记在交换机MSCa下面。

（2）假设用户b复制了用户a的SIM/USIM卡，并准备在交换机MSCb下面发起位置更新（登记）。HLR在接到MSCb location update的时候，HLR会发cancel location给MSCa，于是MSCa会删除用户a的用户数据。

（3）此时，MSCa收到用户a的位置请求信息，且lut=1（Periodic updating，也就是周期位置请求信息），但是MSCa上不存在该用户数据（在步骤2删除了），MSCa会继续位置请求流程并恢复a用户的数据，同时MSCa会发出告警消息到运维操作平台。

（4）运维人员根据告警信息，通过提取话单，查看每条话单中IMEI是否短时间内跨地域频繁变化，基本上可以判断该SIM卡是否被克隆[3]。

4 测试方案以及告警情况

4.1 测试及网络结构

研究团队在LULGS2/TYGS18下做了测试，吕梁网络拓扑图如图2所示。

4.2 测试方案及告警情况

首先给LULGS2装载了相关软件，接着打开了检测开关，接下来进行下面的功能验证。业务验证也同时开始，主要包括入网测试和接通率测试。

（1）首先拿母卡在LULGS2下开机，之后在其它局下把克隆卡开机，这样可以确保HLR中保存的位置信息已经不在LULGS2下，并且通过VLR查询确认。

（2）在验证期间通过锁频手机确保LULGS2下的手机信号始终在该局下，而且LULGS2下的手机没有发生任何呼叫、短信、上网等业务。保持超过一个周期性位置更新时间段。

图2 吕梁网络拓扑示意图

（3）上述条件下LULGS2在无线周期性时长之后收到相关告警，相关截图如图3所示：

图3 ISMC侧采集到相关疑似克隆卡告警图

4.3 话单验证

网元侧出现疑似克隆卡告警后，还需要进一步的话单验证。本文提取了测试卡出现告警前后几天的通话记录，截取短时间内IMEI跨区域频繁变换的部分记录如表1所示。

表1 话单验证表

由上面的话单可知，IMEI在不到12分钟的时间内频繁变化，那么两台终端会交替登网（当一台终端登录网络的时候，HLR会对另外一台终端发cancel location，致使两台终端交替登录网络）而且通话记录显示通话所在交换机也在变化。假设用户的SIM卡没有被复制，在如此短的时间内频繁更换手机而且通话交换机也不固定的这种情况几乎不可能出现。所以结合告警情况、话单记录基本可以判定告警的SIM卡被克隆。

5 结论

从以上的验证结果可见该方案可以准确发现克隆卡并呈现告警，简单可行，目前来看对网络没有产生较大的风险。只要复制的克隆卡在网，即使不和原SIM卡同时打电话也可以被查出来，运维人员可以根据告警信息，进一步查看话单验证。另外有控制开关可以控制，可以根据需要随时打开或关闭，对现网交换机没有影响。通过测试验证也发现了一些问题，比如虚假告警比较多，打开开关后，有多条疑似克隆卡告警，但是经过验证话单、查看停开机日志，并没有发现用户的卡被盗，这就需要进一步进行研究探讨。本文只讨论了母卡和克隆卡在不同MSC的情况，对于两张卡在不同MSC下的情况还需要进行更进一步的探讨和验证。

[1]傅准.2G、3G、LTE手机用户卡安全技术探讨[J].光盘技术, 2009(12): 50-53.

[2]黄东巍,郭达.3G终端及业务技术[M].北京: 机械工业出版社, 2009: 12-13.

[3]丁占荣,洪超.打造面向未来的移动核心网[J].通讯世界, 2006(3): 68-69.

[4]胡建村,俞一帆.移动核心网发展浅析[J].移动通信,2009(16): 26-30.

[5]孟辉.对我国移动核心网的发展趋势之研究[J].无线互联科技, 2013(1): 27-27.

[6]朱煜,虞海.建设高可靠性的移动核心网[J].通信世界,2006(24B): 18-19.

[7]刘小蕾,周杰.移动核心网的发展与演进研究[J].通信技术, 2007(12): 325-327.

[8]李研.中国移动核心网演进探讨[J].中国无线电管理,2003(6): 63-64.