WO2008125062A1

WO2008125062A1 - Procédé de détermination d'admission et de radiomessagerie d'utilisateur dans un système de communication mobile, système et dispositif apparentés

Info

Publication number: WO2008125062A1
Application number: PCT/CN2008/070726
Authority: WO
Inventors: Guojie Hu; Xianguo Chen; Bo Chen; Tao Qian
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-04-16
Filing date: 2008-04-16
Publication date: 2008-10-23
Also published as: CN101111075B; CN101111075A

Description

移动通信系统中准入判断和寻呼用户的方法、系统及装置技术领域

本发明涉及移动通信技术，具体涉及移动通信系统中准入判断和寻呼用户的方法、系统及装置。发明背景

现有技术中，公开了一种网络结构和相应的网络实体，能够提供用户终端直接访问 Internet的能力，参见图 1 , 为现有技术通用移动通讯系统（UMTS, Universal Mobile Telecommunications System ) 网络中接入点（AP, Access Point )直接访问 Internet的逻辑结构图。该逻辑结构在原有的 UMTS网络结构中增加两个网络实体： UMTS接入网关（AG, Access Gateway )和 UMTS AP, 其他网络实体和接口保持不变。

UMTS AG网络实体对分组域来讲，完成网关通用分组无线服务支持节点（GGSN, Gateway GPRS Support Node ),服务通用分组无线服务支持节点（SGSN, Serving GPRS Support Node )控制面功能以及无线网络控制器（ RNC , Radio Network Controller )控制面部分功能，同时提供和 GGSN/SGSN—样的 UMTS控制面接口；对电路域来讲， UMTS AG 类似于 RNC功能，提供完整的语音接入功能。具体地， UMTS AG有如下的功能：网络接入控制、分组报文路由和转发中控制面处理、语音的转换和转发、移动性管理、 AP 管理、计费管理、短消息业务、移动网络增强逻辑定制应用（CAMEL , Customised Application for Mobile network Enhanced Logic )业务、以及网络管理。

UMTS AG对外提供的接口包括： Ga、 Gb、 Gd、 Ge、 Gf、 Gn控制面、 Gr和 Gs , 这些接口和 UMTS 3G网络使用相同的协议栈，这里不再叙述。

UMTS AP网络实体除了具备 UMTS负责无线接收和发送的逻辑节点（NodeB )全部功能和 RNC部分控制功能外，对分组域来讲，还具备 GGSN、 SGSN、 RNC用户面功能。具体地， UMTS AP的功能如下：无线接入控制、分组报文路由和转发中用户面处理、语音编解码、无线资源管理、以及网络管理。

UMTS AP对外提供 Gi和 Gn用户面，和现有的 UMTS 3G网络提供相同的协议栈，这里不再叙述。

图 1是 UMTS网络中 AP直接访问 Internet的逻辑结构图，类似地，

UMTS AG和 UMTS AP同样适用于通用分组无线服务（ GPRS, General Packet Radio Service ) 网络、码分多址（ CDMA, Code Division Multiple Access ) 2000 网络、时分-同步码分多址接入 ( TD-CDMAD , Time Division - Synchronize Code Division Multiple Access )网络,可以在 GPRS 网络、 CDMA2000网络、 TD-CDMAD网络等移动通信系统中增加两个网络实体， AG和 AP , 使 AP直接访问 Internet。

现有技术中，进入 AP小区的用户终端（UE, User Equipment )可以通过 AP和 AG, 直接接入移动通信系统。但是在接入时，现有技术未对进入 AP小区的 UE进行准入判断和限制，导致非授权 UE接入移动通信系统，当网络侧寻呼 UE时无法限制对非授权 UE的寻呼，使 AP 用户交纳非授权 UE误用而引起的通信资费。现有技术存在以下缺点：从用户角度看， AP是私人设备，未经允许，不希望其他人使用；从运营商角度来看， AP覆盖下的资费比宏网络优惠，希望对使用 AP的 UE 加以限制。发明内容

本发明实施例提供一种移动通信系统中准入判断的方法，该方法能够防止非授权 UE的接入。

本发明实施例提供一种移动通信系统中准入判断的系统，该系统能够防止非授权 UE的接入。

本发明实施例还提供又一种移动通信系统中准入判断的系统，该系统能够防止非授权 UE的接入。

本发明实施例提供一种移动通信系统中准入判断的准入判断装置，该准入判断装置能够防止非授权 UE的接入。

本发明实施例还提供又一种移动通信系统中准入判断的准入判断装置，该准入判断装置能够防止非授权 UE的接入。

本发明实施例提供一种移动通信系统中准入判断的转换模块，该转换模块能够防止非授权 UE的接入。

本发明实施例提供一种移动通信系统中用户寻呼的方法，该方法能够防止对非授权 UE的寻呼。

本发明实施例提供一种移动通信系统中用户寻呼的装置，该系统能够防止对非授权 UE的寻呼。

本发明实施例提供又一种移动通信系统中用户寻呼的装置，该系统能够防止对非授权 UE的寻呼。

本发明实施例提供再一种移动通信系统中用户寻呼的装置，该系统能够防止对非授权 UE的寻呼。

一种移动通信系统中准入判断的方法，该方法包括：

获取接入移动通信系统的接入点 AP的用户终端 UE的用户标识信在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存在，则允许该 UE接入，否则，拒绝该 UE接入。

一种移动通信系统中准入判断的系统，该系统包括网络侧的准入判断模块和网络侧的转换模块；

所述准入判断模块，用于在 MSISDN准入列表中查询是否存在转换模块传送的用户终端的 MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入；

所述转换模块，用于接收用户终端传送的 IMSI信息，将用户终端传送的 IMSI信息转换为用户终端的 MSISDN信息。

一种移动通信系统中准入判断的系统，该系统包括网络侧的准入判断模块，用于接收用户终端发送的 IMSI信息，在 IMSI准入列表中查询是否存在用户终端传送的 IMSI,若存在，则允许该用户终端接入，否贝 ij , 拒绝该用户终端接入。

一种移动通信系统中准入判断的准入判断装置，该准入判断装置包括接收子模块和准入判断子模块；

所述接收子模块，用于接收转换子模块传送的用户终端的 MSISDN 信息，传送给准入判断子模块；

所述准入判断子模块，用于在 MSISDN准入列表中查询是否存在所述用户终端的 MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。

所述接收子模块，用于接收用户终端传送的 IMSI, 传送给所述准入判断子模块；

所述准入判断子模块，用于在 IMSI准入列表中查询是否存在所述接收子模块传送的 IMSI, 若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。

一种移动通信系统中准入判断的转换装置，该转换装置包括接收子模块和转换子模块；

所述接收子模块，用于接收用户终端传送的 IMSI信息，传送给所述转换子模块；

所述转换子模块，用于将所述用户终端的 IMSI信息转换为用户终端的 MSISDN信息，传送给准入判断子模块进行准入判断。

本发明实施例提供一种移动通信系统中寻呼用户的方法，该方法包括：

生成寻呼列表，所述寻呼列表包括 AP与允许接入 AP的用户终端的 IMSI信息之间的对应关系，接收由 CN侧传送的包括 IMSI信息的寻呼消息；

在寻呼列表中查询是否存在所述寻呼消息中的 IMSI信息，若是，则将寻呼消息传送给与所述寻呼消息中的 IMSI信息对应的 AP进行用户寻呼，否则，拒绝对与所述寻呼消息中的 IMSI信息对应的用户进行寻呼。

本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括寻呼判断模块和寻呼消息转发模块；

所述寻呼判断模块，用于接收 CN侧发送的包括 IMSI信息的寻呼消息，在寻呼列表中查询是否存在所述 IMSI信息，所述寻呼列表包括 AP 与允许接入 AP的 IMSI信息之间的对应关系，若是，则将寻呼消息传送给寻呼消息转发模块，否则，不向寻呼消息转发模块传送寻呼消息；所述寻呼消息转发模块，用于将寻呼消息发送给与所述包括在寻呼消息中的 IMSI信息对应的 AP进行用户寻呼。

本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括 IMSI信息发送模块和寻呼模块；

所述 IMSI信息发送模块，用于将允许接入 AP的用户终端的 IMSI 信息发送给 AG, 用以生成寻呼列表，所述寻呼列表包括所述 AP与允许接入所述 AP的用户终端的 IMSI之间的对应关系；

所述寻呼模块，用于接收由 AG在所述寻呼列表中查询出存在寻呼消息包含的 IMSI信息后，发送所述寻呼消息；对与所述寻呼消息包含的 IMSI信息对应的用户终端进行寻呼。

本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括 IMSI准入列表发送模块和寻呼模块；

所述 IMSI准入列表发送模块，用于将 IMSI准入列表发送给 AG, 用以生成寻呼列表，所述寻呼列表包括 AP与允许接入所述 AP的用户终端的 IMSI之间的对应关系；

所述寻呼模块，用于接收由 AG在寻呼列表中查询出存在寻呼消息包含的 IMSI信息后，发送所述寻呼消息；对与所述寻呼消息包含的 IMSI 信息对应的用户终端进行寻呼。

从上述方案可以看出，本发明实施例获取接入移动通信系统的 AP 小区的 UE的用户标识信息后，在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存在，则允许该 UE接入，否则，拒绝该 UE 接入。 AG根据 AP与允许接入 AP的用户终端的 IMSI信息之间的对应关系生成寻呼列表，通过所述寻呼列表实现对 AP小区内授权 UE的寻呼。这样，拒绝了非授权 UE的接入，防止了对非授权 UE的寻呼， AP 用户不必交纳因非授权 UE的误用而导致的通信资费，也实现了运营商对使用 AP的 UE的限制。附图简要说明

图 1为现有技术 UMTS网络中 AP直接访问 Internet的逻辑结构图；图 2 为本发明实施例移动通信系统中准入判断的方法的流程图例图 3 为本发明实施例移动通信系统中准入判断的方法的流程图例图 4 为本发明实施例移动通信系统中准入判断的方法的流程图例图 5 为本发明实施例移动通信系统中准入判断的方法的流程图例四；

图 6 为本发明实施例移动通信系统中准入判断的方法的流程图例五；

图 7a 为本发明实施例移动通信系统中准入判断的系统的结构示意图例一；

图 7b 为本发明实施例移动通信系统中准入判断的系统的结构示意图例二；

图 8为本发明实施例移动通信系统中准入判断的准入判断装置的结构示意图；

图 9为本发明实施例移动通信系统中准入判断的转换装置的结构示意图；

图 10 为本发明实施例移动通信系统中寻呼用户方法的示例性流程图；

图 11为步骤 1001中生成寻呼列表的具体实施方式一的流程图；图 12为步骤 1001中生成寻呼列表的具体实施方式二的流程图；图 13为本发明实施例移动通信系统中对 AP鉴权的方法的流程图例图 14为本发明实施例移动通信系统中对 AP鉴权的方法的流程图例图 15为数字证书发放结构的示意图；

图 16为数字证书的工作原理图；

图 17为本发明实施例移动通信系统中寻呼用户的系统结构示意图。实施本发明的方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明进一步详细说明。

本发明的基本思想是，在用户标识信息准入列表中查询是否存在接入移动通信系统的接入点 AP的用户终端 UE的用户标识信息，若存在，则允许该 UE接入，否则，拒绝该 UE接入。其中，用户标识信息准入列表为 MSISDN准入列表时，用户标识信息为 MSISDN信息；用户标识信息准入列表为 IMSI准入列表时，用户标识信息为 IMSI信息。下面是对该思想下各种情况的具体说明。

参见图 2, 为本发明实施例移动通信系统中准入判断的方法的流程图例一，该方法首先在 AP侧保存有移动台国际综合业务数字网络号码 ( MSISDN, Mobile Station International ISDN Number ) 准入列表，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改，该方法包括以下步骤：

步骤 201 , AP侧修改 MSISDN准入列表，同时将准入列表更新消息（ Access Control List Update )经 AG传送给核心网（ CN, Core Network ) 侧网元，该消息中包含 AP侧修改后的 MSISDN准入列表信息， CN侧网元接收该消息后保存 MSISDN准入列表。本实施例中描述的 CN侧网元可以为， CN侧的拜访位置寄存器 /移动交换中心服务器（ VLR/MSC, Visitor Location Register/Server Mobile Switching Centre Server )或 SGSN。 Control List Update Rsp ), 告之已经保存 AP侧传送的 MSISIDN准入列表。

步骤 203, 进入 AP小区的 UE建立与 AP之间的无线连接后，向 CN侧网元发送附着请求消息（ Attach Request ),该消息包含 UE的 IMSI 信息。

步骤 204, CN侧网元接收 UE传送的 Attach Request, 获取 IMSI信息后，向 HLR发起位置更新流程，位置更新流程结束后， CN侧网元从 HLR获取 UE的 MSISDN信息。

本步骤中，所述的位置更新流程为： CN侧网元向 HLR发送位置更新消息（ Update Location ), 该消息中包含 UE的 IMSI信息，用于根据 IMSI信息查询出与 IMSI对应的 MSISDN信息； HLR接收 Update Location, 获取 IMSI信息后，查询出与 UE的 IMSI对应的 MSISDN信息，向 CN侧网元返回插入签约数据消息（Insert Subscriber Data ), 该消息中包含 UE的 MSISDN信息； CN侧网元接收 Insert Subscriber Data后向 HLR在发送插入签约数据响应消息（ Insert Subscriber Data Rsp ), 告之已获取 IMSI信息； HLR向 CN侧网元发送位置更新确认消息（ Update Location Cnf ), 表明位置更新流程结束。

步骤 205 , CN侧网元根据从 HLR获取的 UE的 MSISDN信息，以及在步骤 201中保存的 MSISDN准入列表，判断是否允许 UE的接入，并相应地向 UE 侧发送附着接收消息 /附着拒绝消息（ Attach Accept/Attach Rej ect )。本步骤中，所述判断是否允许 UE接入的方法为： CN 侧网元在 MSISDN的准入列表中查询是否存在从 HLR接收到的 UE的 MSISDN, 若存在，则允许该 UE接入，否则，拒绝该 UE接入。

本实施例中的 AG和 CN侧网元设备可以如图 2所示，分开为两个设备，也可以集成在一个设备中。

参见图 3, 为本发明实施例移动通信系统中准入判断的方法的流程图例二，该方法首先在 AP侧保存 MSISDN准入列表，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改，该方法包括以下步骤：

步骤 301 , UE建立与 AP之间的无线连接后，向 AP发送初始化用户消息（附着请求）（ Init UE Message(Attach Request) )。

步骤 302, AP接收 Init UE Message( Attach Request)后，向 UE传送用户标识请求消息（ Identity Request ), 以获取该 UE的 IMSI。

所述用户 IMSI为在 AP小区中驻留的 UE的 IMSI。

步骤 303 , UE向 AP返回用户标识响应消息（ Identity Response ), 该消息包含该 UE的 IMSI信息。

步骤 304, AP获取 UE的 IMSI信息，向 AG发送 MSISDN查询请求消息（ Query MSISDN Request ) , 该消息包含 UE的 IMSI信息，用于根据 UE的 IMSI查询 UE的 MSISDN信息。

AP侧已经保存了基于 MSISDN的准入列表，但尚没有 MSISDN -

IMSI对应关系，因此 AP向 AG发送 Query MSISDN Request消息，以根据用户的 IMSI获取 IMSI - MSISDN对应关系。

步骤 305 , AG根据接收到的 UE的 IMSI信息，向 HLR发起位置更新流程，位置更新流程结束后， AG获取 IMSI - MSISDN对应关系。

本步骤中，所述位置更新流程为： AG向 HLR发送位置更新请求消息 ( Update Location ), 该消息中包含 UE的 IMSI信息，用于根据 IMSI 信息查询出与 IMSI对应的 MSISDN信息； HLR接收 Update Location, 获取 IMSI信息后，查询出与 UE的 IMSI对应的 MSISDN信息，也就是 IMSI - MSISDN 对应关系，向 AG 返回插入签约数据消息（ Insert Subscriber Data ), 该消息中包含 IMSI - MSISDN对应关系； AG接收 Insert Subscriber Data后向 HLR在发送插入签约数据响应消息（Insert Subscriber Data Rsp ), 告之已获取 IMSI信息； HLR向 AG侧发送位置更新确认消息（ Update Location Cnf ), 表明位置更新流程结束。

步骤 306, AG向 AP返回 MSISDN查询响应消息（ Query MSISDN Response ) , 其中包含了查询到的 IMSI - MSISDN对应关系。

步骤 307 , AP 获取 IMSI - MSISDN 对应关系后，根据保存的 MSISDN准入列表和在步骤 303中获取的 UE的 IMSI判断是否允许该 UE接入，如果不允许该 UE接入，则向 UE发送附着拒绝消息，拒绝该 UE 的接入，结束流程；否则将初始化用户消息（附着接收） Unit UE Message ( Attach Request ) )经 AG转发给 CN侧网元， CN侧网元接收 Init UE Message(Attach Request)后，向 UE端传送直传消息（附着接收 ) ( Direct Transfer( Attach Accept) ), 接收该 UE的接入。

本实施例中描述的 CN侧网元可以为， VLR/MSC或者 SGSN。

本步骤中，所述 AP获取 IMSI - MSISDN对应关系后，根据保存的 MSISDN准入列表和在步骤 303中获取的 UE的 IMSI判断是否允许该 UE接入的方法为：根据 IMSI - MSISDN对应关系可获得与 UE的 IMSI 对应的 MSISDN信息，若在 AP保存的 MSISDN准入列表中查询出获得的该 UE的 MSISDN信息，则允许该 UE接入，否则拒绝该 UE接入。

本步骤中，可以进一步包括 AP保存获取的 IMSI - MSISDN对应关系。当 AP下次接收 UE发送的 Init UE Message(Attach Request)后，可以省略步骤 304 - 306, 直接进入步骤 307判断是否允许该 UE的接入。本步骤还可以进一步包括，对于不允许接入的 UE, AP侧将该 UE的 IMSI - MSISDN对应关系信息保留在黑名单中。当这些 UE下次再从 AP接入时，可以省略步骤 304 - 306, AP直接拒绝这些 UE。

参见图 4, 为本发明实施例移动通信系统中准入判断的方法的流程图例三，该方法首先在 AP侧保存 MSISDN准入列表，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改，该方法包括以下步骤：

步骤 401 , UE建立与 AP之间的无线连接后，向 AP发送初始化用户消息（附着请求）（ Init UE Message(Attach Request) )。

步骤 402, AP接收 Init UE Message( Attach Request)后，向 UE传送用户标识请求消息（ Identity Request ), 以获取该 UE的 IMSI。

所述用户 IMSI为在 AP小区中驻留的 UE的 IMSI。

步骤 403 , UE向 AP返回用户标识响应消息（ Identity Response ), 该消息包含该 UE的 IMSI信息。

步骤 404, AP获取 UE的 IMSI信息，向 AG发送 MSISDN查询请求消息（ Query MSISDN Request ) , 该消息包含 UE的 IMSI信息，用于根据 UE的 IMSI查询 UE的 MSISDN信息。

AP侧已经保存了基于 MSISDN的准入列表，但尚没有 MSISDN - IMSI对应关系，因此 AP向 AG发送 Query MSISDN Request消息，以根据用户的 IMSI获取 IMSI - MSISDN对应关系。

步骤 405 , AG根据接收到的 UE的 IMSI信息，采用 AG与 HLR之间的 Gr,向 HLR发送 Gr接口 MSISDN查询请求消息（ Gr Query MSISDN Request ), 该消息中包含了 UE的 IMSI信息，用于根据 IMSI信息查询出与 IMSI对应的 MSISDN信息。步骤 406, HLR接收 AG发送的 Gr Query MSISDN Request后，查询出与 UE的 IMSI对应的 MSISDN信息，也就是 IMSI - MSISDN对应关系，向 AG返回 Gr接口 MSISDN查询响应消息（ Gr Query MSISDN Response ), 该消息中包含 IMSI - MSISDN对应关系。

步骤 407 , AG获取 IMSI - MSISDN对应关系后，向 AP返回 MSISDN 查询响应消息（ Query MSISDN Response ), 其中包含了查询到的 IMSI - MSISDN对应关系。

步骤 408 , AP 获取 IMSI - MSISDN 对应关系后，根据保存的 MSISDN准入列表和在步骤 403中获取的 UE的 IMSI判断是否允许该 UE接入，如果不允许该 UE接入，则向 UE发送附着拒绝消息，拒绝该 UE 的接入，结束流程；否则将初始化用户消息（附着接收） Unit UE Message ( Attach Request ) )经 AG转发给 CN侧网元， CN侧网元接收 Init UE Message(Attach Request)后，向 UE端传送直传消息（附着接收 ) ( Direct Transfer( Attach Accept) ), 接收该 UE的接入。

本具体实施例中描述的 CN侧网元可以为， VLR/MSC或者 SGSN。本步骤中，所述 AP获取 IMSI - MSISDN对应关系后，根据保存的 MSISDN准入列表和在步骤 403中获取的 UE的 IMSI判断是否允许该 UE接入的方法为：根据 IMSI - MSISDN对应关系可获得与 UE的 IMSI 对应的 MSISDN信息，若在 AP保存的 MSISDN准入列表中查询出获得的该 UE的 MSISDN信息，则允许该 UE接入，否则拒绝该 UE接入。

本步骤中，可以进一步包括 AP保存获取的 IMSI - MSISDN对应关系。当 AP下次接收 UE发送 Init UE Message(Attach Request后，可以省略步骤 404 ~ 407, 直接进入步骤 408判断是否允许该 UE的接入。本步骤还可以进一步包括，对于不允许接入的 UE, AP侧将该 UE的 IMSI - MSISDN对应关系信息保留在黑名单中。当这些 UE下次再从 AP接入时，可以省略步骤 404 - 407, AP直接拒绝这些 UE。

参见图 5, 为本发明实施例移动通信系统中准入判断的方法的流程图例四，该方法首先在 AP侧保存 MSISDN准入列表，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改，该方法包括以下步骤：

步骤 501 , AP 侧向 AG发送 IMSI 查询请求消息（Query IMSI Request ), 该消息包括 AP侧内保存的 MSISDN准入列表的 MSISDN信息，用于查询 MSISDN - IMSI的对应关系，也就是查询与 MSISDN准入列表的 MSISDN信息对应的 IMSI信息。

步骤 502, AG根据接收到的 MSISDN信息，采用 AG与 HLR之间的消息接口 Gr,向 HLR发送 Gr接口 IMSI查询请求消息（ Gr Query IMSI Request ) , 该消息中包含 MSISDN准入列表的 MSISDN信息，用于根据 MSISDN信息查询出与 MSISDN信息对应的 IMSI信息。

步骤 503 , HLR接收 AG发送的 Gr Query IMSI Request后，查询出与 MSISDN信息对应的 IMSI信息，也就是 IMSI - MSISDN对应关系，向 AG返回 Gr接口 IMSI查询响应消息（ Gr Query IMSI Response ), 该消息中包含 IMSI - MSISDN对应关系。

步骤 504, AG获取 IMSI - MSISDN对应关系后,向 AP返回 IMSI 查询响应消息（ Query IMSI Response )，其中包含了查询到的 IMSI - MSISDN对应关系 ,ΑΡ侧接收 IMSI - MSISDN对应关系后，根据 IMSI - MSISDN对应关系生成基于 IMSI的准入列表。

本步骤中， AP获取的 IMSI - MSISDN对应关系中的 IMSI信息与 AP侧保存的 MSISDN准入列表的 MSISDN信息——对应关系，获取 IMSI - MSISDN对应关系中 IMSI信息便得到基于 IMSI的准入列表，此 IMSI准入列表包含了允许接入 AP的所有 UE的 IMSI。步骤 505, UE建立与 AP之间的无线连接后，向 AP发送初始化用户消息（附着请求）（ Init UE Message(Attach Request) )。

步骤 506, AP向 UE发送用户标识请求消息（ Identity Request ), 以获取该 UE的 IMSI。

所述用户 IMSI为在 AP小区中驻留的 UE的 IMSI。

步骤 507 , UE 向 AP 返回用户标识响应消息（Identity Request Response ) , 该消息包含该 UE的 IMSI信息。

步骤 508, AP根据步骤 504中生成的 IMSI准入列表和步骤 507中获得的 UE的 IMSI, 判断是否接入用户，如果不允许该 UE接入，则向 UE发送附着拒绝消息，拒绝该 UE的接入，结束流程；否则将初始化用户消息（附着接收 ) ( Init UE Message ( Attach Request ) )经 AG转发给 CN侧网元， CN侧网元收到 Init UE Message( Attach Request)后，向 UE 端发送直传消息（附着接收）（Direct Transfer(Attach Accept) ), 接收该 UE的接入。

本实施例中描述的 CN侧网元可以为， VLR/MSC或者 SGSN。

参见图 6, 为本发明实施例移动通信系统中准入判断的方法的流程图例五，该方法在 AG上配置并保存对应每个 AP的 IMSI准入列表，或者， AP归属寄存器（AHR, AP Home register ) 中配置了对应每个 AP 的 IMSI准入列表， AG从 AHR中获取并保存对应每个 AP的 IMSI准入列表，所述 IMSI准入列表包含了允许接入 AP的所有 UE的 IMSI, 该方法包括以下步骤：

步骤 601 , UE建立与 AP之间的无线连接后，向 AP发送初始化用户消息（附着请求 ) ( Init UE Message( Attach Request ) ), AP接收 Init UE Message(Attach Request)后，转发给 AG。

步骤 602, AG接收 Init UE Message ( Attach Request )后，向 UE发送用户标识请求消息（ Identity Request ), 以获取该 UE的 IMSI。

所述用户 IMSI为在 AP小区中驻留的 UE的 IMSI。

步骤 603 , UE向 AG返回用户标识响应消息（ Identity Response ), 该消息包含该 UE的 IMSI信息。

步骤 604, AG根据保存的 IMSI准入列表和获得的 UE的 IMSI, 判断是否接入用户，如果不允许该 UE接入，则向 UE发送附着拒绝消息，拒绝该 UE的接入，结束流程；否则将初始化用户消息（附着接收 ) ( Init UE Message( Attach Request ) )发送给 CN侧网元， CN侧网元收到 Init UE Message(Attach Request)后，向 UE端发送直传消息（附着接收 ) ( Direct Transfer( Attach Accept) ) , 接收该 UE的接入。

本实施例中描述的 CN侧网元可以为， VLR/MSC或者 SGSN。

除上述五种移动通信系统中准入判断的方法外，还可以在 AP侧保存 IMSI准入列表，直接实现用户准入。该方法首先在 AP中保存 IMSI 准入列表，此 IMSI准入列表包含了允许接入 AP的所有 UE的 IMSI, AP侧可根据需要对此 IMSI准入列表进行更改，该方法包括以下步骤：首先， UE建立与 AP之间的无线连接后，向 AP发送初始化用户消息 (附着请求 ) ( Init UE Message(Attach Request) ); AP向 UE发送用户标识请求消息（ Identity Request ), 以获取该 UE的 IMSI; UE向 AP返回用户标识响应消息（ Identity Request Response ) , 该消息包含该 UE的 IMSI信息。

然后， AP根据 IMSI准入列表和获得的 UE的 IMSI, 判断是否接入用户，如果不允许该 UE接入，则向 UE发送附着拒绝消息，拒绝该 UE 的接入，结束流程；否则将初始化用户消息（附着接收 ) ( Init UE Message ( Attach Request ) ) 经 AG转发给 CN侧网元， CN侧网元收到 Init UE Message(Attach Request)后，向 UE端返回直传消息（附着接收 ) ( Direct Transfer( Attach Accept) ), 接收该 UE的接入。

本实施例中描述的 CN侧网元可以为， VLR/MSC或者 SGSN。参见图 7a, 为本发明实施例移动通信系统中准入判断的系统的结构示意图例一，该系统包括网络侧的准入判断模块、网络侧的转换模块和 UE;

准入判断模块，用于在 MSISDN准入列表中查询是否存在转换模块传送的 UE的 MSISDN, 若存在，则允许该 UE接入，否则，拒绝该 UE 接入。

转换模块，用于将 UE传送的 IMSI信息转换为 UE的 MSISDN。 UE, 用于向准入转换模块传送该 UE的 IMSI信息。

以上描述中， UE为进入移动通信系统的 AP小区的 UE, 准入判断模块设置在准入判断网元内，准入判断网元可以为 CN侧网元或 AP,根据准入判断网元的不同，将图 7a所示的系统分为如下三种情况：

第一种情况：

准入判断模块设置在 CN侧网元内，转换模块设置在 HLR内。该系统可以进一步包括 AP和 AG。

AP内保存有 MSISDN准入列表信息，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改； AP侧将 MSISDN准入列表更新消息经 AG传送给准入判断模块，该消息中包含 MSISDN准入列表信息。

转换模块，用于从准入判断模块获取 UE的 IMSI信息后，查询出与 UE的 IMSI对应的 MSISDN信息，向准入判断模块返回插入签约数据消息，该消息中包含 UE的 MSISDN信息。

准入判断模块，用于保存从 AP传送的 MSISDN准入列表信息，向转换模块发送位置更新消息，该消息中包含 UE的 IMSI信息；接收转换模块传送的 UE的 MSISDN信息，在 MSISDN准入列表中查询是否存在该 UE的 MSISDN, 若存在，则允许该 UE接入，否则，拒绝该 UE接入。

上述的 AG和 CN侧网元可以为两个设备，也可以集成在一个合并设备中。 CN侧网元可以为， VLR/MSC或者 SGSN。

第二种情况：

准入判断模块设置在 AP内，转换模块设置在 HLR内。 MSISDN准入列表保存在 AP内，包含了允许接入 AP的所有 UE的 MSISDN, AP 侧可根据需要对此 MSISDN准入列表进行更改。

该系统可以进一步包括 AG和 CN侧网元。

AG, 用于根据准入判断模块传送的 UE的 IMSI信息向转换模块发送位置更新请求消息，该消息中包含 UE的 IMSI信息；接收转换模块返回的包含 IMSI - MSISDN对应关系的插入签约数据消息后，向准入判断模块传送包含所述 IMSI - MSISDN对应关系的 MSISDN查询响应消息。

转换模块，用于接收 AG传送的包含 UE的 IMSI信息的位置更新请求消息，获取 IMSI信息后，查询出与 UE的 IMSI对应的 MSISDN信息，也就是 IMSI - MSISDN对应关系，向 AG返回插入签约数据消息，该消息中包含 IMSI - MSISDN对应关系。

CN侧网元，用于接收准入判断模块经 AG传送的包含接收该 UE的信息的初始化用户消息后，接收该 UE的接入；否则拒绝该 UE接入。准入判断模块进行判断后经 AG向 CN侧网元传送初始化用户消息的具体过程，参见步骤 307处的描述。

上述的 CN侧网元可以为， VLR/MSC或者 SGSN。

准入判断模块可以保存获取的 IMSI - MSISDN对应关系。当 UE下次再向准入判断模块发起初始化用户消息时，准入判断模块可以直接判断是否允许该 UE的接入，无需再向 AG查询 IMSI - MSISDN对应关系。准入判断模块还可以将不允许接入的 UE的 IMSI - MSISDN对应关系信息保留在黑名单中，当这些 UE下次再从 AP接入时，准入判断模块直接拒绝这些 UE, 无需再向 AG查询 IMSI - MSISDN对应关系。

第三种情况：

该系统可以进一步包括 AG和 CN侧网元。

AG, 用于根据准入判断模块传送的 UE的 IMSI信息，向转换模块发送 Gr接口 MSISDN查询请求消息，该消息中包含 UE的 IMSI信息；接收转换模块返回的包含 IMSI - MSISDN对应关系的 Gr接口 MSISDN 查询响应消息后，向准入判断模块传送包含所述 IMSI - MSISDN对应关系的 MSISDN查询响应消息；

转换模块，用于接收 AG传送的包含 UE的 IMSI信息的 Gr接口 MSISDN查询请求消息，获取 IMSI信息后，查询出与 UE的 IMSI对应的 MSISDN信息，也就是 IMSI - MSISDN对应关系，向 AG返回 Gr接口 MSISDN查询响应消息，该消息中包含 IMSI - MSISDN对应关系。

CN侧网元，用于接收准入判断模块经所述 AG传送的包含接收该 UE的信息的初始化用户消息后，接收该 UE的接入；否则拒绝该 UE接入。准入判断模块进行判断后经 AG向 CN侧网元传送初始化用户消息的具体过程，参见步骤 408处的描述。

上述的 CN侧网元可以为， VLR/MSC或者 SGSN。

准入判断模块可以保存获取的 IMSI - MSISDN对应关系。当 UE下次再向准入判断模块发起初始化用户消息时，准入判断模块可以直接判断是否允许该 UE的接入，无需再向 AG查询 IMSI - MSISDN对应关系。准入判断模块还可以将不允许接入的 UE的 IMSI - MSISDN对应关系信息保留在黑名单中，当这些 UE下次再从 AP接入时，准入判断模块直接拒绝这些 UE,无需再向 AG查询 IMSI - MSISDN对应关系。

参见图 7b, 为本发明实施例移动通信系统中准入判断的系统的结构示意图例二，该系统包括网络侧的准入判断模块和 UE;

准入判断模块，用于在 IMSI准入列表中查询是否存在 UE传送的 UE的 IMSI, 若存在，则允许该 UE接入，否则，拒绝该 UE接入。

UE, 用于向准入判断模块传送该 UE的 IMSI信息。

以上描述中， UE为进入移动通信系统的 AP小区的 UE, 准入判断模块设置在 AP内。图 7b所示的系统包括了本发明实施例移动通信系统中准入判断的系统的第四、五和六种情况：

第四种情况：

AP内保存有 MSISDN准入列表，此 MSISDN准入列表包含了允许接入 AP的所有 UE的 MSISDN, AP侧可根据需要对此 MSISDN准入列表进行更改。

该系统可以进一步包括 AG、 HLR和 CN侧网元。

AG , 用于接收准入判断模块传送的包括 MSISDN 准入列表的 MSISDN信息的 IMSI查询请求消息后，向 HLR发送包含所述 MSISDN 信息的 Gr接口 IMSI 查询请求消息；接收 HLR返回的包含 IMSI - MSISDN对应关系的 Gr接口 IMSI查询响应消息；向所述准入判断模块发送包含所述 IMSI - MSISDN对应关系的 IMSI查询响应消息。

HLR,用于接收 AG传送的包括 MSISDN准入列表的 MSISDN信息的 IMSI查询请求消息，获取 MSISDN准入列表的 MSISDN信息后，查询出与 MSISDN信息对应的 IMSI信息，也就是 IMSI - MSISDN对应关系，通过 HLR与 AG之间的 Gr接口向 AG返回 Gr接口 IMSI查询响应消息，该消息中包含了 IMSI - MSISDN对应关系。

CN侧网元，用于接收准入判断模块经 AG传送的包含接收该 UE的信息的初始化用户消息后，接收该 UE的接入；否则拒绝该 UE接入。准入判断模块进行判断后经 AG向 CN侧网元传送初始化用户消息的具体过程，参见步骤 508处的描述。

准入判断模块，用于根据 AG传送的 IMSI - MSISDN对应关系生成基于 IMSI的准入列表。其具体生成参见步骤 504处的描述。

上述的 CN侧网元可以为， VLR/MSC或者 SGSN。

第五种情况：

AG内保存有 IMSI准入列表，此 IMSI准入列表包含了允许接入 AP 的所有 UE的 IMSI。

该系统还可以进一步包括 CN侧网元。

CN侧网元，用于接收准入判断模块发送的包含接收该 UE的信息的初始化用户消息后，接收该 UE的接入；否则拒绝该 UE接入。

上述的 CN侧网元可以为， VLR/MSC或者 SGSN。

第六种情况：

IMSI准入列表保存在 AP内。此 IMSI准入列表包含了允许接入 AP 的所有 UE的 IMSI, AP侧可根据需要对此 IMSI准入列表进行更改。

该系统还可以进一步包括 AG和 CN侧网元。

CN侧网元，用于接收准入判断模块经 AG传送的包含接收该 UE的信息的初始化用户消息后，接收该 UE的接入；否则拒绝该 UE接入。

上述的 CN侧网元可以为， VLR/MSC或者 SGSN。

参见图 8, 为本发明实施例移动通信系统中准入判断的准入判断装置的结构示意图，该准入判断装置包括接收子模块和准入判断子模块；接收子模块，用于接收转换子模块传送的用户终端的 MSISDN信息，传送给准入判断子模块。

准入判断子模块，用于在 MSISDN准入列表中查询是否存在接收子模块传送的用户终端的 MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。

准入判断子模块可以设置在 CN侧网元内。此时，准入判断装置相当于图 7a相关描述的第一种情况中的准入判断模块。

准入判断子模块也可以设置在接入点内，所述 MSISDN准入列表保存在准入判断子模块内。此时，准入判断装置相当于图 7a的第二、三种情况中的准入判断模块。

下面对移动通信系统中准入判断的准入判断装置的另外两种情况进行说明，也就是相当于图 7b相关描述的第四、五和六种情况中的准入判断模块，此时的准入判断装置与图 8所述的结构示意图相同，该准入判断装置包括接收子模块和准入判断子模块。

所述接收子模块，用于接收用户终端传送的 IMSI, 传送给所述准入判断子模块。

准入判断子模块可以设置在接入点内，根据保存的 MSISDN准入列表和由 AG传送的 IMSI - MSISDN对应关系生成所述 IMSI准入列表。此时，准入判断装置具体相当于图 7b相关描述的第四种情况中的准入判断模块。

参见图 9, 为本发明实施例移动通信系统中准入判断的转换装置的结构示意图，该转换装置包括接收子模块和转换子模块。接收子模块，用于接收用户终端传送的 IMSI信息，传送给转换子模块。

转换子模块，用于将所述用户终端的 IMSI信息转换为用户终端的 MSISDN信息，传送给准入判断子模块进行准入判断。

该转换子模块可以设置在 HLR内。此时，转换装置相当于图 7a相关描述的第一、二、三种情况中的转换模块。

上述本发明实施例的方案适用于增加了网络实体 AP 的 UMTS 网络、 GPRS网络、 CDMA2000网络或 TD-SCDMA网络等移动通信系统。

本发明实施例的方案中，准入判断网元从接入移动通信系统的 AP 小区的 UE获取该 UE的 IMSI信息，根据准入列表和 IMSI信息判断是否允许该 UE接入，这样，使系统拒绝了非授权 UE的接入， AP用户不必交纳非授权 UE的误用而导致的通信资费，也实现了运营商对使用 AP 的 UE的限制。

现有技术不仅没有对进入 AP小区的 UE进行准入判断，在 AG接收到 CN侧发送的寻呼消息时，也没有提供用户寻呼方案。以图 1为例，在没有增加 AP和 AG的 UMTS网络中，当 MSC寻呼用户时， MSC向 RNC下发寻呼消息，在所述寻呼消息中携带 IMSI、位置区标识码（ LAI , Location Area Identity )或路由区标" i只码 ( RAI, Routing Area Identity ) 等参数。 RNC收到由 MSC下发的寻呼消息后，判断与所述 IMSI对应的 UE是否有与其它 CN域的信令连接，例如与 SGSN建立有信令连接，如果有，则直接在该信令连接上寻呼用户；否则， RNC在位置区或路由区范围内发送广播消息，寻呼用户。

参见图 10, 为本发明实施例移动通信系统中寻呼用户方法的示例性流程图，该方法包括以下步骤：

步骤 1001 , AG生成寻呼列表，接收由 CN侧传送的包括 IMSI信息的寻呼消息，所述寻呼列表包括 AP与允许接入 AP的用户终端的 IMSI 信息之间的对应关系。

步骤 1002, AG判断与所述包括在寻呼消息中的 IMSI信息对应的 UE是否有同其它 CN域的信令连接，如果有，则直接在该信令连接上寻呼用户；否则，执行步骤 1003。本步骤可选。

步骤 1003 , AG在所述寻呼列表中查询是否存在所述包括在寻呼消息中的 IMSI信息，若存在，则将寻呼消息传送给与所述包括在寻呼消息中的 IMSI信息对应的 AP, 进行用户寻呼；否则，拒绝将寻呼消息传送给与所述包括在寻呼消息中的 IMSI信息对应的 AP , 进行用户寻呼，结束流程。

本步骤中， AP进行用户寻呼时，在其覆盖范围内广播寻呼消息，对与所述包括在寻呼消息中的 IMSI信息的用户进行寻呼。

参见图 11 , 为步骤 1001 中生成寻呼列表的具体实施方式一的流程图，包括以下步骤：

步骤 1101 , 进入 AP小区的 UE建立与 AP之间的无线连接后，向 AP发送无线资源控制（ RRC, Radio Resource Control )初始化直传消息 ( RRC Initial Direct Transfer ), 该消息中包含位置区更新请求（ LA/RA Update Request )。

步骤 1102, AP向 UE发送 RRC直传消息（ RRC Direct Transfer ), 该消息中包含标识请求（ Identity Request )。

步骤 1103 , UE接收由 AP传送的 RRC Direct Transfer后，向 AP发送 RRC直传响应消息（ RRC Direct Response Transfer ),该消息中包含标识响应（ Identity Response ), 该标识响应中包含 UE的 IMSI信息。

步骤 1101 ~ 1103为 AP获得 UE的 IMSI信息过程。

步骤 1104, AP判断是否允许该 UE的接入，如果允许，则向 AG发送 IMSI关联更新消息（ IMSI Association Update ), 该消息中包含该 UE 的 IMSI信息。

本步骤中所述 AP判断是否允许该 UE的接入的方法，参见前述本发明实施例提供的移动通信系统中准入判断方案的相应描述。

步骤 1105, AG接收 AP传送的 IMSI信息，保存 IMSI信息与传送该 IMSI信息的 AP之间的对应关系，也就是生成寻呼列表。

参见图 12, 为步骤 1001 中生成寻呼列表的具体实施方式二的流程图，本实施例在 AP开机以及 AP保存的 IMSI准入列表发生变化时，执行以下步骤：

步骤 1201 , AP向 AG发送 IMSI关联更新指示消息（ IMSI Association

Update Indication ) , 该消息中包含 ΑΡ保存的最新的 IMSI准入列表。

步骤 1202, AG保存接收到的 IMSI准入列表中的 IMSI信息与发送该 IMSI准入列表的 AP之间的对应关系，也就是，生成新的寻呼列表；向 AP返回 IMSI关联更新确认消息（ IMSI Association Update ACK ),表示 AG已接收到更新的 IMSI准入列表。

AG检测到 AP关机时，删除寻呼列表。

AP保存的 IMSI准入列表发生变化时，执行步骤 1201 ~ 1202, 在 AP关机时， AG不删除 IMSI准入列表。

生成寻呼列表的具体实施方法二和三中，步骤 1201 ~ 1202可以替换为：

AG核查到 AP保存的 IMSI准入列表发生变化时，向 AP发送关联同步请求消息（ IMSI Association Sync Request );

AP接收到 IMSI Association Sync Request后，将 AP更新的 IMSI准入列表传送给 AG; AG保存接收到的 IMSI准入列表中的 IMSI信息与发送该 IMSI准入列表的 AP之间的对应关系，也就是生成新的寻呼列表；向 AP返回 IMSI 关联更新确认消息（ IMSI Association Update ACK ), 表示 AG已接收到更新的 IMSI准入列表。

本发明实施例移动通信系统中寻呼用户的方法还可以为： AP通过 AG接入移动通信系统时，将 AP的位置区或路由区信息传送给 AG; AG接收由 CN侧传送的包括 IMSI信息的寻呼消息，所述寻呼消息还包括与所述 IMSI信息对应的位置区或路由区信息，也就是需要寻呼的 UE的位置区或路由区信息； AG将寻呼消息传送给与包括在寻呼消息中的位置区或路由区信息对应的 AP, 进行用户寻呼。需要说明的是，同一条位置区或路由区信息可能对应多个 AP。

本发明实施例中，在进行准入判断之前或寻呼用户之前，可以包括对 AP鉴权的过程，下面对本发明实施例移动通信系统中对 AP鉴权方法进行说明。

参见图 13 , 为本发明实施例移动通信系统中对 AP鉴权的方法的流程图例一，该方法包括以下步骤：

步骤 1301 , AP 向 AG 发送 AP 鉴权初始化请求消息（ AP Authentication Initialization Request ) , 请求 AG对该 AP进行鉴权，该消息中包含 UMTS 用户身份标识模块（USIM, UMTS Subscriber Identity Module ) 卡号。

所述 USIM卡号包含了 AP标识，一个 AP标识对应一个 AP。步骤 1302, AG向 HLR发送鉴权数据请求消息（Authentication Info Request ) , 请求从 HLR获取鉴权集，所述 Authentication Info Request包含 AP标识。

所述鉴权集可以为五元鉴权组，也可以为三元鉴权组。五元鉴权组包括的参数为随机数 ( RAND , Random Number ) 、鉴权标记 ( AUTN , Authentication Token ) 、期望响应（XRES , Expectation Response )、加密密钥（ CK, Ciphering Key )和完整性密钥（ IK, Integrity Key ) , 三元鉴权组包括的参数为 RAND、加密密钥（KC, Ciphering Key )和 XRES。 AG与 HLR之间传输消息的接口可采用 3GPP 29.002 协议中的标准接口。鉴权集每组参数对应一个 AP标识。

步骤 1303 , AG 接收由 HLR 返回的鉴权数据响应消息 ( Authentication Info response ) , 该消息中包含鉴权集响应，该响应中可能包括五元鉴权组，也可能包括三元鉴权组，还可能包括获取鉴权集失败的消息；若该鉴权集响应中包括五元鉴权组或三元鉴权组，则执行步骤 1304, 若该鉴权集响应中包含获取鉴权集失败的消息，则结束流程。

步骤 1304, AG向 ΑΡ发送 ΑΡ鉴权请求消息（ AP Authentication

Request ) 。若步骤 1303中的鉴权集包括五元鉴权组，则所述 AP鉴权请求消息中包含 RAND和 AUTN参数，若步骤 1303中的鉴权集包括三元鉴权组，则所述 AP鉴权请求消息中包含 RAND参数。

步骤 1305 , AP接收 AP Authentication Request后，向 AG发送

AP鉴权响应消息 ( AP Authentication Response ) , 该消息中包含了鉴权响应 ( RES , Response ) 参数。

本步骤还可以包括：若 AP向 AG发送 AP Authentication Response 超时，则 AG向 AP发送 AP鉴权初始化确认消息（ AP Authentication

Initialization Acknowledge ) , 该消息中携带原因值表明鉴权失败，结束流程。

步骤 1306, AG比较接收到的由 AP传送的 RES参数与步骤 1302 中从 HLR获取的鉴权集中包含的 XRES参数是否相同，若相同，则鉴权通过, 向 AP发送 AP Authentication Initialization Acknowledge , 该消息中携带原因值表明鉴权成功；若不相同，则鉴权失败，向 AP 发送 AP Authentication Initialization Acknowledge,该消息中携带原因值表明鉴权失败，该 AP为非法 AP, 并向 HLR发送鉴权失败报告消息 ( Authentication Failure Report ) 。

上述为通过 AP的 USIM卡实现 AG对 AP的鉴权的流程，通过 AP的 USIM卡还可以实现 AP对 AG的鉴权，其流程类似，这里不再赘述。

AP 也可是采用用户身份标识模块（ SIM , Subscriber Identity Module )实现 AG对 AP的鉴权，此时，鉴权流程与图 13类似，不同的是步骤 1302、 1303和 1304中的涉及的鉴权集只能是三元鉴权组。 SIM卡的优点是价格比 USIM卡便宜，缺点是 SIM卡不能支持 AP对 AG的鉴权。

参见图 14, 为本发明实施例移动通信系统中对 AP鉴权的方法的流程图例二，本实施例在 AP归属寄存器（ AHR , AP Home register ) 中保存有允许通过鉴权的 AP的用户名和密码，该方法包括以下步骤：步骤 1401 , AP 向 AG 发送 AP 鉴权初始化请求消息（ AP Authentication Initialization Request ) , 请求 AG对该 AP进行鉴权，该消息中包含 AP标识。

所述 AP标识对应该 AP的用户名和密码。

步骤 1402, AG向 AHR发送鉴权数据请求消息（Authentication data request ) ,该消息中包含 AP标识，请求 AHR对该 AP进行鉴权。

步骤 1403 , AHR接收包含 AP标识的 Authentication data request 后，查询出与该 AP标识对应的用户名和密码，向 AG返回鉴权数据响应消息（ Authentication data response ) , 该消息中包含查询出的 ΑΡ 的用户名和密码。

步骤 1404, AG向 AP发送 AP鉴权请求消息（ AP Authentication Request ) , 请求 AP返回 AP的用户名和密码。

步骤 1405 , AP向 AG发送 AP鉴权响应消息（ AP Authentication Response ) , 该消息中包含 ΑΡ的用户名和密码。

步骤 1406, AG比较接收到的由 AP传送的 AP的用户名和密码，与步骤 1403中从 AHR获取的 AP的用户名和密码是否相同，若相同，贝¹ J鉴权通过,向 AP发送 AP Authentication Initialization Acknowledge, 该消息中携带原因值表明鉴权成功；若不相同，则鉴权失败，向 AP 发送 AP Authentication Initialization Acknowledge,该消息中携带原因值表明鉴权失败，该 AP为非法 AP。

图 14所述的流程中，若 AG网元中也可以保存允许通过鉴权的 AP的用户名和密码，则步骤 1401之后，该方法可以包括： AG判断若是，则执行步骤 1404, 相应地，步骤 1406为 AG比较接收到的由 AP传送的 AP用户名和密码，与 AG保存的该 AP的用户名和密码；否则，执行步骤 1402。

若移动通信系统中提供了图 13所示和图 14所示的两种对 AP鉴权的方法，则步骤 1301或步骤 1401中 AP向 AG发送的 AP鉴权初始化请求消息中还包括请求鉴权类型，也就是 USIM 鉴权或口令鉴权，所述口令鉴权为图 14所示的鉴权方法。并且，步骤 1301或步骤 1401之后，包括： AG判断 AG支持的鉴权类型与 AP发送的鉴权初始化请求消息包含的请求鉴权类型是否一致，若一致，则执行步骤 1302或 1402; 若不一致，则向 AP发送 AP鉴权初始化确认消息（ AP Authentication Initialization Acknowledge ) , 该消息中携带原因表明鉴权类型不支持。

本发明实施例还提供了通过数字证书实现对 AP鉴权的方法，包括： AP获得由数字证书发放机构发放的数字证书； AP通过所述数字证书与 AG中的数字证书进行鉴权。

由 CN侧的证书发放机构为每个合法的 AP发放一张数字证书，数字证书发放结构的示意图参见图 15。图中，数字证书认证中心（ CA, Certification Authority)向 AHR、安全网关、 AP和增强管理系统（ EMS , Enhancement Management System )发送如下数字证书：

- CARootCert: CA的自身根证书；

- AHRCert: CA发送给 AHR的数字证书；

- EMSCert: CA发送给 EMS数字证书；

- SGWCert: CA 发送给安全网关的用于 Internet 协议安全性 ( IPSec, Internet protocol security )的 Internet密钥交换 ( IKE, Internet Key Exchange ) 过程的数字证书；

- UMTS APCert: CA发送给 AP的数字证书。

数字证书的工作原理见图 16 , 外部实体（EE, external entity ) , 通过注册鉴权（RA, Registration Authority)申请数字证书，经过审核后， CA进行签发证书，并将该证书发布至在线证书状态协议（ OCSP, Online Certificate State Protocol ) 和轻量级目录访问十办议（ LDAP, Lightweight Directory Access Protocol)。

接收到由 C A发放的数字证书的设备之间可以通过数字证书进行鉴权。参与鉴权的双方设备的数字证书的 EE分别验证对方数字证书的合法性，再验证数字证书的安全性，具体为： EE通过私钥进行签名，对方以该 EE证书中的公钥进行验证，验证通过后，则认为该 EE 合法，也就是与该 EE对应的设备合法。对移动通信系统中的包括 AP在内的设备发放数字证书，就可以通过数字证书实现 AP与其它接收到数字证书的设备之间的鉴权。

参见图 17,为本发明实施例移动通信系统中寻呼用户的系统结构示意图，该系统包括设置在 CN侧的寻呼消息下发模块、设置在 AG内的寻呼判断模块和寻呼消息转发模块，设置在 AP内的 IMSI信息发送模块和寻呼模块。

所述寻呼消息下发模块，用于向寻呼判断模块发送包括 IMSI信息的寻呼消息。

所述寻呼判断模块，用于在寻呼列表中查询是否存在所述寻呼消息中的 IMSI信息，所述寻呼列表包括 AP与允许接入 AP的用户终端的 IMSI信息之间的对应关系，若是，则将寻呼消息传送给寻呼消息转发模块，否则，不向寻呼消息转发模块传送寻呼消息。寻呼判断模块中包括寻呼列表生成子模块，用于生成所述寻呼列表。

寻呼消息转发模块，用于将寻呼消息发送给与包括在寻呼消息中的 IMSI信息对应的 AP进行用户寻呼。

所述 IMSI信息发送模块，用于将允许接入 AP的用户终端的 IMSI 信息发送给寻呼判断模块，用以生成寻呼列表。 IMSI信息发送模块可以替换为 IMSI准入列表发送模块，用于将 IMSI准入列表发送给 AG, 用以生成寻呼列表。

所述寻呼模块，用于接收寻呼消息转发模块发送的寻呼消息，对与所述寻呼消息包含的 IMSI信息对应的用户终端进行寻呼。

AG内还可以设置鉴权模块，用于对 AP进行鉴权，若鉴权通过，则向寻呼消息判断模块发送启动指令，启动寻呼消息判断模块。相应地， AP内可以设置接受鉴权模块，用于接受鉴权模块的鉴权。

本发明实施例提供的移动通信系统中准入判断和寻呼用户的方案，拒绝了非授权 UE的接入，防止了对非授权 UE的寻呼，这样， AP 用户不必因交纳非授权用户终端的误用而导致的通信资费，也实现了运营商对使用 AP的用户终端的限制。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种移动通信系统中准入判断的方法，其特征在于，该方法包括：获取接入移动通信系统的接入点的用户终端的用户标识信息；在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。

2、如权利要求 1所述的方法，其特征在于，所述用户标识信息准入列表为移动台国际综合业务数字网络号码 MSISDN准入列表；所述用户标识信息为 MSISDN信息。

3、如权利要求 2所述的方法，其特征在于，获取所述 MSISDN信息的方法包括：

核心网 CN侧网元向归属位置寄存器 HLR发送位置更新消息，该消息中包含用户终端发送的附着请求包含的国际移动台用户识别号 IMSI 信息； CN侧网元接收 HLR根据所述位置更新消息，获取用户终端的 IMSI信息，并查询出与用户终端的 IMSI对应的 MSISDN信息之后，返回的插入签约数据消息，该插入签约数据消息中包含用户终端的 MSISDN信息；

所述在用户标识信息准入列表中查询是否存在获取的用户标识信息之前，该方法包括获取所述 MSISDN准入列表的方法： CN侧网元经接入网关 AG接收接入点发送的 MSISDN准入列表更新消息，该消息中包含接入点保存的 MSISDN 准入列表信息， CN 侧网元保存接收到的 MSISDN准入列表；

所述在用户标识信息准入列表中查询是否存在获取的用户标识信息为： CN侧网元在保存的 MSISDN准入列表中查询是否存在获取的用户终端的 MSISDN信息。

4、如权利要求 2所述的方法，其特征在于，所述 MSISDN准入列表保存在接入点内；

所述在用户标识信息准入列表中查询是否存在获取的用户标识信息为：接入点在保存的 MSISDN准入列表中查询是否存在获取的用户终端的 MSISDN信息；

获取所述 MSISDN信息的方法为：

接入点向 AG发送 MSISDN查询请求消息，该消息包含用户终端的 IMSI信息；

接入点接收 AG在根据所述用户终端的 IMSI信息，获取 IMSI - MSISDN对应关系之后，返回的包含所述 IMSI - MSISDN对应关系的 MSISDN查询响应消息；

接入点根据接收到的 IMSI - MSISDN对应关系获得与用户终端的 IMSI对应的 MSISDN信息。

5、如权利要求 4 所述的方法，其特征在于，所述获取 IMSI - MSISDN对应关系的方法为：

AG向 HLR发送位置更新请求消息，该消息中包含用户终端的 IMSI 信息；

HLR获取 IMSI信息后，查询出 IMSI - MSISDN对应关系，向 AG 返回插入签约数据消息，该消息中包含 IMSI - MSISDN对应关系。

6、如权利要求 4所述的方法，其特征在于，所述获取 IMSI - MSISDN 对应关系的方法为：

AG根据接收到的用户终端的 IMSI信息，向 HLR发送 Gr接口 MSISDN查询请求消息，该消息中包含用户终端的 IMSI信息；

HLR接收 AG发送的 Gr接口 MSISDN查询请求消息后，查询出 IMSI - MSISDN对应关系，向 AG返回包含 IMSI - MSISDN对应关系的 Gr 接口 MSISDN查询响应消息。

7、如权利要求 5或 6所述的方法，其特征在于，所述 AG向接入点返回包含所述 IMSI - MSISDN对应关系的 MSISDN查询响应消息之后，该方法进一步包括：

接入点保存接收到的 IMSI - MSISDN对应关系；或 /和接入点根据接收到的 IMSI - MSISDN对应关系将不允许接入用户终端的 IMSI - MSISDN对应关系信息保留在设置的黑名单中。

8、如权利要求 1所述的方法，其特征在于，所述用户标识信息准入列表为 IMSI准入列表；所述用户标识信息为 IMSI信息。

9、如权利要求 8所述的方法，其特征在于，所述 IMSI准入列表的获取方法为：

接入点向 AG发送 IMSI查询请求消息，该消息包括接入点内保存的 MSISDN准入列表的 MSISDN信息；

AG根据接收到的 MSISDN信息，向 HLR发送 Gr接口 IMSI查询请求消息，该消息中包含 MSISDN准入列表的 MSISDN信息；

HLR接收 Gr接口 IMSI查询请求消息后，查询出 IMSI - MSISDN 对应关系，向 AG返回包含 IMSI - MSISDN对应关系的 Gr接口 IMSI 查询响应消息；

AG向接入点发送包含 IMSI - MSISDN对应关系的 IMSI查询响应消息，接入点根据 IMSI - MSISDN对应关系生成 IMSI准入列表。

10、如权利要求 8所述的方法，其特征在于，所述 IMSI准入列表保存在接入点或 AG内；

所述在用户标识信息准入列表中查询是否存在获取的用户标识信息为：接入点或 AG在 IMSI准入列表中查询是否存在获取的用户终端的 IMSI信息。

11、一种移动通信系统中准入判断的系统，其特征在于，该系统包括网络侧的准入判断模块和网络侧的转换模块；

12、如权利要求 11所述的系统，其特征在于，所述准入判断模块设置在 CN侧网元内；所述转换模块设置在 HLR内；

该系统进一步包括接入点和 AG ；

所述接入点，用于保存 MSISDN准入列表，将 MSISDN准入列表更新消息经所述 AG传送给准入判断模块，该消息中包含 MSISDN准入列表信息；

所述转换模块，用于获取用户终端的 IMSI信息后，查询出与用户终端的 IMSI对应的 MSISDN信息，向准入判断模块返回插入签约数据消息，该消息中包含用户终端的 MSISDN信息；

所述准入判断模块，用于保存接收到的 MSISDN准入列表，向转换模块发送位置更新消息，该消息中包含用户终端的 IMSI信息；接收转换模块传送的用户终端的 MSISDN信息。

13、如权利要求 12所述的系统，其特征在于，所述 AG和 CN侧网元集成在同一设备中。

14、如权利要求 11所述的系统，其特征在于，所述准入判断模块设置在接入点内；所述 MSISDN准入列表保存在所述准入判断模块内；所述转换模块设置在 HLR内；

所述准入判断模块进一步用于将用户终端的 IMSI信息传送给 AG; 该系统进一步包括 AG和 CN侧网元；

所述 AG,用于根据准入判断模块传送的用户终端的 IMSI信息向转换模块发送位置更新请求消息，该消息中包含用户终端的 IMSI信息；接收转换模块返回的包含 IMSI - MSISDN对应关系的插入签约数据消息，向准入判断模块返回包含所述 IMSI - MSISDN对应关系的 MSISDN 查询响应消息；

所述转换模块，用于向 AG传送包含 IMSI - MSISDN对应关系的插入签约数据消息；

所述 CN侧网元，用于接收准入判断模块经 AG传送的包含接收该用户终端的信息的初始化用户消息后，接收该用户终端的接入；否则拒绝该用户终端接入。

15、如权利要求 11所述的系统，其特征在于，所述准入判断模块设置在接入点内；所述 MSISDN准入列表保存在所述准入判断模块内；所述转换模块设置在 HLR内；

所述 AG,用于根据准入判断模块传送的用户终端的 IMSI信息向转换模块发送 Gr接口 MSISDN查询请求消息，该消息中包含用户终端的 IMSI 信息；接收转换模块返回的包含 IMSI - MSISDN 对应关系的 MSISDN 查询响应消息，向所述准入判断模块返回包含所述 IMSI - MSISDN对应关系的 MSISDN查询响应消息；

所述转换模块，用于向所述 AG传送包含 IMSI - MSISDN对应关系的 Gr接口 MSISDN查询响应消息；

所述 CN侧网元，用于接收所述准入判断模块经所述 AG传送的包含接收该用户终端的信息的初始化用户消息后，接收该用户终端的接入；否则拒绝该用户终端接入。

16、一种移动通信系统中准入判断的系统，其特征在于，该系统包括网络侧的准入判断模块，用于接收用户终端发送的 IMSI信息，在 IMSI 准入列表中查询是否存在用户终端传送的 IMSI, 若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。

17、如权利要求 16所述的系统，其特征在于，所述准入判断模块设置在接入点内；所述准入判断模块根据保存的 MSISDN 准入列表和由 AG传送的 IMSI - MSISDN对应关系生成所述 IMSI准入列表；

该系统进一步包括 AG、 HLR和 CN侧网元；

所述 AG, 用于接收所述准入判断模块传送的包含 MSISDN准入列表的 MSISDN信息的 IMSI查询请求消息后，向 HLR发送包含 MSISDN 信息的 Gr接口 IMSI 查询请求消息；接收 HLR返回的包含 IMSI - MSISDN对应关系 Gr接口 IMSI查询响应消息；向准入判断模块发送包含所述 IMSI - MSISDN对应关系的 IMSI查询响应消息；

所述 HLR,用于查询与所述 AG发送的 Gr接口 IMSI查询请求消息中包含的 MSISDN信息对应的 IMSI信息，向所述 AG传送包含 IMSI - MSISDN对应关系的 Gr接口 IMSI查询响应消息；

18、如权利要求 16所述的系统，其特征在于，所述准入判断模块设置在接入点或 AG内。

19、一种移动通信系统中准入判断的准入判断装置，其特征在于，该准入判断装置包括接收子模块和准入判断子模块；

20、如权利要求 19所述的准入判断装置，其特征在于，所述准入判断子模块设置在 CN侧网元内；所述 MSISDN准入列表保存在所述准入判断子模块内。

21、如权利要求 19所述的准入判断装置，其特征在于，所述准入判断子模块设置在接入点内；所述 MSISDN准入列表保存在所述准入判断子模块内。

22、一种移动通信系统中准入判断的准入判断装置，其特征在于，该准入判断装置包括接收子模块和准入判断子模块；

23、如权利要求 22所述的准入判断装置，其特征在于，所述准入判断子模块设置在接入点内；所述准入判断子模块根据保存的 MSISDN准入列表和由 AG传送的 IMSI - MSISDN对应关系生成所述 IMSI准入列表。

24、如权利要求 22所述的准入判断装置，其特征在于，所述准入判断子模块设置在接入点或 AG内。

25、一种移动通信系统中准入判断的转换装置，其特征在于，该转换装置包括接收子模块和转换子模块；所述接收子模块，用于接收用户终端传送的 IMSI信息，传送给所述转换子模块；

26、如权利要求 25所述的转换装置，其特征在于，所述转换子模块设置在 HLR内。

27、一种移动通信系统中寻呼用户的方法，其特征在于，该方法包括：

28、如权利要求 27 所述的方法，其特征在于，所述生成寻呼列表的方法为：

AP向 AG传送允许接入的 UE的 IMSI信息；

AG根据 AP与所述允许接入的 IMSI信息之间的对应关系，生成所述寻呼列表。

29、如权利要求 27 所述的方法，其特征在于，所述生成寻呼列表的方法为：

AP将 IMSI准入列表传送给 AG;

AG根据 AP与所述 IMSI准入列表中的 IMSI信息之间的对应关系，生成所述寻呼列表。

30、如权利要求 27 所述的方法，其特征在于，所述生成寻呼列表的方法为：

AG检查到 AP的 IMSI准入列表发生变化时，从 AP获得更新后的 IMSI准入列表；

31、如权利要求 27所述的方法，其特征在于，所述生成寻呼列表之前，该方法包括：

AG接收由 AP传送的 AP标识，从 HLR获得与所述 AP标识对应的鉴权集，从 AP生成与所述 AP标识对应的鉴权响应参数；

AG 比较所述鉴权集中的鉴权参数与所述鉴权响应参数是否一致，若一致，则鉴权通过，执行所述 AG生成寻呼列表的步骤，否则，不执行所述生成寻呼列表的步骤。

32、如权利要求 31所述的方法，其特征在于，所述鉴权集为五元鉴权组或三元鉴权组。

33、如权利要求 27所述的方法，其特征在于，所述生成寻呼列表之前，该方法包括：

AG接收由 AP传送的用户名和密码，查询与 AG中保存的允许通过鉴权的 AP的用户名和密码是否一致，若一致，则鉴权通过，执行所述 AG生成寻呼列表的步骤，否则，不执行所述生成寻呼列表的步骤。

34、如权利要求 27所述的方法，其特征在于，所述生成寻呼列表之前，该方法包括：

AG接收由 AP发送的 AP标识和 AP的用户名和密码，根据所述 AP 标识从 AHR获得允许通过鉴权的与 AP标识对应的用户名和密码；

AG比较由 AP发送的所述 AP的用户名和密码，与从 AHR获得的所述 AP的用户名和密码是否一致，若一致，则鉴权通过，执行所述 AG 生成寻呼列表的步骤，否则，不执行所述生成寻呼列表的步骤。

35、如权利要求 27所述的方法，其特征在于，所述生成寻呼列表之前，该方法包括：

AP获得由数字证书发放机构发放的数字证书；

AP通过所述数字证书与 AG中的数字证书进行鉴权后，执行所述生成寻呼列表的步骤。

36、一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括寻呼判断模块和寻呼消息转发模块；

37、如权利要求 36所述的装置，其特征在于，所述寻呼判断模块中包括寻呼列表生成子模块，用于生成所述寻呼列表。

38、如权利要求 36或 37所述的装置，其特征在于，该装置还包括鉴权模块，用于对 AP进行鉴权，若鉴权通过，则向寻呼消息判断模块发送启动指令，启动寻呼消息判断模块。

39、一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括 IMSI信息发送模块和寻呼模块；

所述 IMSI信息发送模块，用于将允许接入 AP的用户终端的 IMSI 信息发送给 AG, 用以生成寻呼列表，所述寻呼列表包括所述 AP与允许接入所述 AP的用户终端的 IMSI之间的对应关系；所述寻呼模块，用于接收由 AG在所述寻呼列表中查询出存在寻呼消息包含的 IMSI信息后，发送所述寻呼消息；对与所述寻呼消息包含的 IMSI信息对应的用户终端进行寻呼。

40、如权利要求 39所述的装置，其特征在于，该装置包括接受鉴权模块，用于接受 AG的鉴权。

41、一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括 IMSI准入列表发送模块和寻呼模块；

42、如权利要求 41所述的装置，其特征在于，该装置包括接受鉴权模块，用于接受 AG的鉴权。