WO2016169003A1

WO2016169003A1 - 接入点名称授权的方法、装置及系统

Info

Publication number: WO2016169003A1
Application number: PCT/CN2015/077177
Authority: WO
Inventors: 于游洋; 高荣春; 李华
Original assignee: 华为技术有限公司
Priority date: 2015-04-22
Filing date: 2015-04-22
Publication date: 2016-10-27
Also published as: BR112017022545B1; CN107113612B; CN107113612A; EP3277006A1; EP3277006A4; EP3277006B1; US10893049B2; BR112017022545A2; JP2018514166A; JP6577052B2; US20180041903A1

Abstract

本发明实施例提供一种接入点名称授权的方法、装置及系统。一种APN授权的方法，包括：网络设备确定用户设备UE的目标APN及所述UE当前接入的接入网类型；所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息；所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。本发明解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

Description

接入点名称授权的方法、装置及系统

技术领域

本发明实施例涉及通信技术，尤其涉及一种接入点名称(APN，Access Point Name)授权的方法、装置及系统。

背景技术

非第三代合作伙伴计划(Non 3GPP，Non 3rd Generation Partnership Project)接入网类型可以为码分多址(CDMA，Code Division Multiple Access)2000、全球微波互联接入(WiMAX，Worldwide Interoperability for Microwave Access)、无线局域网(WLAN，Wireless Local Area Network)等。

从接入网是否可信的角度进行划分，Non 3GPP接入网又被分为可信Non 3GPP接入网和非可信Non 3GPP接入网。当用户设备(UE，User Equipment)接入Non 3GPP接入网(例如，非可信Non 3GPP接入网)时，非可信Non 3GPP接入网关(例如演进的分组数据网关(ePDG，Evolved Packet Data Gateway)向鉴权与授权计费(AAA，Authentication,Authorization,and Accounting)服务器发送鉴权与授权请求(其中，鉴权与授权请求可以包括该UE请求接入的APN，若鉴权与授权请求中未包括APN时，使用该UE的签约数据中的默认APN)；AAA服务器从归属签约服务器(HSS，Home Subscriber System)获取该UE的签约数据(签约数据中包括了该UE允许授权的APN)；AAA服务器根据UE的签约数据及UE请求接入的APN，确定该UE请求接入的APN是否被授权；具体的，当签约数据中包括了UE请求接入的APN时，则确定UE请求接入的APN被授权。

但是，现有技术中，存在在进行APN授权判断时，运营商无法对UE允许授权的APN进行合理控制的问题。

发明内容

本发明实施例提供一种接入点名称授权的方法、装置及系统；用以解决现有技术中存在的在进行APN授权判断时，运营商无法对UE允许授权的 APN进行合理控制的问题。

第一方面，本发明实施例提供一种APN授权的方法，包括：

网络设备确定UE的目标APN及所述UE当前接入的接入网类型；

所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息；

所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

结合第一方面，在第一方面的第一种可能实现的方式中，所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权，包括：

如果根据所述UE的目标APN对应的授权接入网类型的信息，确定所述UE当前接入的接入网类型属于所述UE的目标APN对应的授权接入网类型，则所述网络设备确定所述UE的目标APN被授权；

或者，

如果根据所述UE的目标APN对应的授权接入网类型的信息确定所述UE当前接入的接入网类型不属于所述UE的目标APN对应的授权接入网类型，则所述网络设备确定所述UE的目标APN不被授权。

结合第一方面或第一方面的第一种可能实现的方式，在第一方面的第二种可能实现的方式中，所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权之前，还包括：

所述网络设备确定所述UE的签约数据包括所述UE的目标APN。

结合第一方面或第一方面的第一种至第二种任一种可能实现的方式，在第一方面的第三种可能实现的方式中，如果所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，所述方法还包括：

所述网络设备将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。

结合第一方面或第一方面的第一种至第三种任一种可能实现的方式，在第一方面的第四种可能实现的方式中，所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息，包括：

所述网络设备接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。

结合第一方面的第四种可能实现的方式，在第一方面的第五种可能实现的方式中，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述UE的目标APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示在所述UE当前接入的接入网类型下，所述UE的目标APN被授权或者不被授权。

结合第一方面或第一方面的第一种至第五种任一种可能实现的方式，在第一方面的第六种可能实现的方式中，所述网络设备为AAA服务器，或者为Non 3GPP接入网关。

结合第一方面的第四种或第五种可能实现的方式，在第一方面的第七种可能实现的方式中，若所述网络设备为AAA服务器，则所述网络设备接收HSS发送的所述UE的签约数据之前，还包括：

所述网络设备接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

所述网络设备将所述UE的鉴权失败原因发送至所述UE。

第二方面，本发明实施例提供一种APN授权的方法，包括：

HSS将用户设备UE的签约数据发送至网络设备，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息，以便所述网络设备根据所述UE的目标APN对应的授权接入网类型信息和所述UE当前接入的接入网类型，确定所述UE的目标APN是否被授权。

结合第二方面，在第二方面的第一种可能实现的方式中，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

第三方面，本发明实施例提供一种APN授权的方法，包括：

HSS确定用户设备UE当前接入的接入网类型；

所述HSS根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；

所述HSS将所述更新后的签约数据发送至网络设备。

结合第三方面，在第三方面的第一种可能实现的方式中，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示所述UE当前接入的接入网类型下，所述APN配置参数对应的APN被授权或者不被授权。

第四方面，本发明实施例提供一种APN授权的方法，包括：

网络设备接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN的信息；

所述网络设备根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。

第五方面，本发明实施例提供一种APN授权的方法，包括：

UE接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述 UE的目标APN在所述UE当前接入的接入网类型下授权失败；

所述UE向所述UE当前接入的接入网的网关发送第一连接请求消息；所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。

结合第五方面，在第五方面的第一种可能实现的方式中，还包括：

所述UE接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；

所述UE向与所述UE当前接入的接入网的网关不同的网关发送第二连接请求消息。

第六方面，本发明实施例提供一种APN授权的装置，所述装置为网络设备，所述装置包括：

确定模块，用于确定UE的目标APN及所述UE当前接入的接入网类型；

获取模块，用于获取所述UE的目标APN对应的授权接入网类型的信息；

所述确定模块，还用于根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

结合第六方面，在第六方面的第一种可能实现的方式中，所述处理模块具体用于：

如果根据所述UE的目标APN对应的授权接入网类型的信息，确定所述UE当前接入的接入网类型属于所述UE的目标APN对应的授权接入网类型，则确定所述UE的目标APN被授权；

或者，

如果根据所述UE的目标APN对应的授权接入网类型的信息确定所述UE当前接入的接入网类型不属于所述UE的目标APN对应的授权接入网类型，则确定所述UE的目标APN不被授权。

结合第六方面或第六方面的第一种可能实现的方式，在第六方面的第二种可能实现的方式中，所述确定模块还用于确定所述UE的签约数据包括所述UE的目标APN。

结合第六方面或第六方面的第一种至第二种任一种可能实现的方式，在第六方面的第三种可能实现的方式中，所述装置还包括：第一发送模块；

如果所述确定模块根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，则所述第一发送模块，用于将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。

结合第六方面或第六方面的第一种至第三种任一种可能实现的方式，在第六方面的第四种可能实现的方式中，所述获取模块具体用于：

接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。

结合第六方面的第四种可能实现的方式，在第六方面的第五种可能实现的方式中，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

结合第六方面或第六方面的第一种至第五种任一种可能实现的方式，在第六方面的第六种可能实现的方式中，所述网络设备为AAA服务器，或者为Non 3GPP接入网关。

结合第六方面的第四种或第五种可能实现的方式，在第六方面的第七种可能实现的方式中，所述装置还包括第二发送模块；

若所述网络设备为AAA服务器，则所述获取模块还用于接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

所述第二发送模块，用于将所述UE的鉴权失败原因发送至所述UE。

第七方面，本发明实施例提供一种APN授权的装置，所述装置为HSS，所述装置包括：

发送模块，用于将用户设备UE的签约数据发送至网络设备，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息，以便所述网络设备根据所述UE的目标APN对应的授权接入网类型信息和所述UE当前接入的接入网类型，确定所述UE的目标APN是否被授权。

结合第七方面，在第七方面的第一种可能实现的方式中，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

第八方面，本发明实施例提供一种APN的授权的装置，所述装置为HSS，所述装置包括：

确定模块，用于确定用户设备UE当前接入的接入网类型；

更新模块，用于根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；

发送模块，用于将所述更新后的签约数据发送至网络设备。

结合第八方面，在第八方面的第一种可能实现的方式中，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方式包括：

第九方面，本发明实施例提供一种APN授权的装置，所述装置为网络设备，所述装置包括：

接收模块，用于接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN的信息；

确定模块，用于根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。

第十方面，本发明实施例提供一种APN授权的装置，所述装置为UE，所述装置包括：

接收模块，用于接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败；

发送模块，用于向所述UE当前接入的接入网的网关发送第一连接请求消息；所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。

结合第十方面，在第十方面的第一种可能实现的方式中，所述接收模块，还用于接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；

所述发送模块，还用于向与所述UE当前接入的接入网的网关不同的网关发送第二连接请求消息。

第十一方面，本发明实施例提供一种APN授权的系统，包括：第六方面或第六方面的第一种至第七种任一种所述的网络设备、第七方面或第七方面的第一种所述的HSS以及UE。

结合第十一方面，在第十一方面的第一种可能实现的方式中，所述UE如第十方面或第十方面的第一种所述。

第十二方面，本发明实施例提供一种APN授权的系统，包括：第八方面或第八方面的第一种所述的HSS、第九方面所述的网络设备及UE。

结合第十二方面，在第十二方面的第一种可能实现的方式中，所述UE如第八方面或第八方面的第一种中所述。

本发明提供一种接入点名称授权的方法、装置及系统，通过所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；使得网络设备在进行APN授权判断时，能够根据所述UE的目标APN对应的授权接入网类型信息，确定所述UE在当前接入的接入网类型下所述UE的目标APN是否被授权；使得网络设备在进行APN授权判断时能够同时考虑UE的目标APN及所述UE当前接入的接入网类型；从而使得运营商能够根据UE当前接入的接入网类型对UE在当前接入的接入网类型下允许接入的APN进行控制；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明APN授权的方法的一应用场景的示意图；

图2为本发明APN授权的方法的另一应用场景的示意图；

图3为本发明APN授权的方法实施例一的流程图；

图4为本发明APN授权的方法实施例二的流程图；

图5为本发明APN授权的方法实施例三的流程图；

图6为本发明APN授权的方法实施例四的流程图；

图7为本发明APN授权的方法实施例五的流程图；

图8为本发明APN授权的方法实施例六的流程图；

图9为本发明APN授权的装置实施例一的结构示意图；

图10为本发明APN授权的装置实施例二的结构示意图；

图11为本发明APN授权的装置实施例三的结构示意图；

图12为本发明APN授权的装置实施例四的结构示意图；

图13为本发明APN授权的装置实施例五的结构示意图；

图14为本发明APN授权的装置实施例六的结构示意图；

图15为本发明APN授权的装置实施例七的结构示意图；

图16为本发明APN授权的装置实施例八的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明APN授权的方法的一应用场景的示意图；如图1所示，该应用场景包括：UE、ePDG、AAA服务器及HSS。当UE接入非可信WLAN接入网时，ePDG向AAA服务器发送鉴权与授权请求消息(其中，鉴权与授权请求消息可以包括该UE请求接入的APN；若未包括时，可以使用该UE的签约数据中的默认APN)；AAA服务器从HSS获得该UE的签约数据，该签约数据中包括了该UE允许授权的APN；当该签约数据中包括了该UE目标APN(当鉴权与授权请求消息中包括APN时，将该APN作为UE的目标APN；当未包括APN时，将签约数据中的默认APN作为UE的目标APN)时，AAA服务器确定该UE的目标APN被授权；否则，AAA服务器确定该UE的目标APN不被授权。由于该UE的签约数据中仅包括了该UE允许接入的APN，而未体现出该UE允许接入的APN与接入网类型之间的关系；因此，存在AAA服务器在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图2为本发明APN授权的方法的另一应用场景的示意图；如图2所示，该应用场景包括：UE、可信的WLAN接入网络(TWAN，Trusted WLAN Access Network)、AAA服务器及HSS。当UE接入可信WLAN接入网时，TWAN从HSS获得该UE的签约数据，该签约数据中包括了该UE允许授权的APN；当该签约数据中包括了该UE的目标APN时，TWAN确定该UE的目标APN被授权；否则，TWAN确定该UE的目标APN不被授权。由于该UE的签约数据中仅包括了该UE允许接入的APN，而未体现出该UE允许接入的APN与接入网类型之间的关系；因此，存在TWAN在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

需要说明的是，图1及图2仅为本发明的方法在非3GPP接入网类型为非可信WLAN及可信WALN下的示意图；本发明的方法可以应用于任何非3GPP接入网类型，如CDMA2000，WiMAX等。例如当非3GPP接入网类型为CDMA2000时，其对应的应用场景为将图2所示的TWAN网元替换为高速分组数据(HRPD，High Rate Packet Data)服务网关(HS-GW，HRPD Serving Gateway)，由HS-GW进行APN授权判断。

需要说明的是，本发明中Non 3GPP接入网关可以包括ePDG、TWAN、HS-GW等。

图3为本发明APN授权的方法实施例一的流程图，如图3所示，本实施例的方法可以包括：

步骤301、网络设备确定用户设备UE的目标APN及所述UE当前接入的接入网类型；

可选的，所述网络设备可以为AAA服务器、或Non 3GPP接入网关。

步骤302、所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息；

需要说明的是，授权接入网类型为允许UE接入的接入网类型。

步骤303、所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

可选的，步骤303具体可以为：

或者，

现有技术中，UE的签约数据中包括了该UE允许接入的APN；当UE的签约数据中包括了该UE的目标APN时，则确定该UE的目标APN被授权；否则，确定该UE的目标APN不被授权。本发明中，所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

现有技术中，由于UE的签约数据中仅包括了该UE允许接入的APN(也即，被授权的APN)，而未体现出该UE允许接入的APN与接入网类型之间的关系；因此存在在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。本发明中，通过所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；使得网络设备在进行APN授权判断时，能够根据所述UE的目标APN对应的授权接入网类型信息，确定所述UE在当前接入的接入网类型下所述UE的目标APN是否被授权；使得网络设备在进行APN授权判断时能够同时考虑UE的目标APN及所述UE当前接入的接入网类型；从而使得运营商能够根据UE当前接入的接入网类型对UE在当前接入的接入网类型下允许接入的APN进行控制；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图4为本发明APN授权的方法实施例二的流程图，如图4所示，本实施例的方法可以包括：

步骤401、HSS确定UE当前接入的接入网类型；

步骤402、所述HSS根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；

需要说明的是，所述授权APN为允许UE接入的APN。

步骤403、所述HSS将所述更新后的签约数据发送至网络设备。

现有技术中，HSS存储的UE的签约数据中包括了所述UE允许接入的APN，HSS将签约数据发送至网络设备，以使网络设备进行APN授权判断。本发明中，所述HSS根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；所述HSS将所述更新后的签约数据发送至网络设备。

现有技术中，由于UE的签约数据中仅包括了所述UE允许接入的APN，而未体现出该UE允许接入的APN与接入网类型之间的关系；因此存在在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。本发明中，通过所述HSS根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；所述HSS将所述更新后的签约数据发送至网络设备；使得HSS发送至网络设备的签约数据中包括了UE在当前接入的接入网类型下的授权APN的信息；使得网络设备能够根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图5为本发明APN授权的方法实施例三的流程图，如图5所示，本实施例的方法可以包括：

步骤501、UE向ePDG发送因特网密钥交换(IKE，Internet Key Exchange)鉴权请求消息(IKE_AUTH request message)；

其中，所述IKE鉴权请求消息可以包括所述UE的目标APN；或者，所述IKE鉴权请求消息也可以不包括所述UE的目标APN。当所述IKE鉴权请求消息不包括UE的目标APN时，AAA服务器将该UE的签约数据中的默认APN作为所述UE的目标APN。

可选的，在所述UE向ePDG发送IKE鉴权请求消息之前，还可以包括所述UE向所述ePDG发送IKE初始请求消息(IKE_SA_INIT request message)。

步骤502、所述ePDG向AAA服务器发送鉴权与授权请求(Authentication and authorization request)消息；

其中，所述鉴权与授权请求消息可以包括UE当前接入的接入网类型、所述UE的标识及网络标识。

可选的，所述UE的标识可以为网络接入标识(NAI，Network Access ID)，所述NAI中包含所述UE的用户永久标识(IMSI，International Mobile Subscriber Identity)；网络标识可以为访问的公共陆地移动网络(VPLMN，Visited Public Land Mobile Network)信息。

需要说明的是，所述UE当前接入的接入网类型可以由所述ePDG获取，由于ePDG可以为非可信WLAN的非3GPP接入网关，所以所述UE当前接入的接入网类型可以为非可信WLAN或WLAN。

步骤503、所述AAA服务器向HSS发送鉴权请求(Authentication request)消息；

其中，所述鉴权请求消息可以包括所述UE的IMSI、网络标识、所述UE当前接入的接入网类型。

需要说明的是，AAA服务器向HSS发送鉴权请求之前还可以包括：AAA服务器根据鉴权与授权请求消息中包括的UE的IMSI，判断AAA服务器中是否存储了所述UE的上下文信息(包括签约数据及鉴权向量)；若AAA服务器确定自身已存储了所述UE的上下文信息，则不再向HSS发送鉴权请求消息(即，不再执行步骤503)，而直接执行步骤509。

步骤504、所述HSS根据所述鉴权请求消息进行鉴权判断；

其中，所述鉴权判断可以包括：1)判断所述UE的签约数据是否存在；2)判断是否允许所述UE接入当前网络，即所述UE当前接入的接入网类型是否为受限的网络类型；3)判断VPLMN指示的网络是否允许所述UE接入；4)是否存在所述UE相关的Non 3GPP签约数据等。

步骤505，所述HSS向所述AAA服务器返回鉴权响应(Authentication response)消息；

若所述HSS鉴权成功(例如，所述UE的签约数据存在，允许所述UE接入当前网络，允许所述UE接入VPLMN，且所述UE的Non 3GPP签约数据存在)，则所述鉴权响应消息包括所述UE的鉴权向量。否则，所述鉴权响应消息包括所述UE的鉴权失败原因。

其中，当判定所述UE的签约数据不存在时，对应的鉴权失败原因可以为“用户不存在”，相应的鉴权失败原因值可以为“DIAMETER_ERROR_USER_UNKNOWN”；

当判定不允许UE接入当前网络时，对应的鉴权失败原因可以为“接入类型不允许”，相应的鉴权失败原因值可以为“DIAMETER_ERROR_RAT_TYPE_NOT_ALLOWED”；

当判定不允许所述UE接入VPLMN时，对应的鉴权失败原因可以为“VPLMN不允许”，相应的鉴权失败原因值可以为“DIAMETER_ERROR_ROAMING_NOT_ALLOWED”；

当判定所述UE的Non 3GPP签约数据不存在时，对应的鉴权失败原因可以为“Non 3GPP签约数据不存在”，相应的鉴权失败原因值可以为“DIAMETER_ERROR_USER_NO_NON_3GPP_SUBSCRIPTON”。

需要说明的是，签约数据可以包括Non 3GPP签约数据。

步骤506、当鉴权响应消息指示所述UE鉴权失败时，则所述AAA服务器将所述UE的鉴权失败原因发送至所述UE。

可选的，AAA服务器可以通过可扩展认证协议(EAP，Extensible Authentication Protocol)-认证和密钥协商协议(AKA，Authentication and Key Agreement Protocol)或EAP-AKA’消息将所述UE的鉴权失败原因发送至所述UE。

需要说明的是，所述EAP-AKA或EAP-AKA’消息可以是所述AAA服务器通过鉴权与授权响应(Authentication and Authorization Answer)消息发送至所述ePDG，再由所述ePDG通过IKEv2消息发送至所述UE。即，鉴权与授权响应消息及IKEv2中包含EAP-AKA或EAP-AKA’消息。

可选的，所述UE的鉴权失败原因也可以通过在IKEv2消息中新增原因值的方式由所述ePDG发送至所述UE。即，所述AAA服务器向所述ePDG发送的鉴权与授权响应消息中携带所述AAA服务器从所述HSS获取的所述UE的鉴权失败原因，然后所述ePDG将所述UE的鉴权失败原因通过IKEv2消息中新增的原因值发送给所述UE。

所述UE接收到所述UE的鉴权失败原因后，当所述鉴权失败原因为接入网类型不允许或VPLMN不允许时，则向不同于所述ePDG的接入网关发送IKE_AUTH request消息。

需要说明的是，IKE_AUTH request message消息可以被认为是连接请求消息。

步骤507、当鉴权响应消息指示所述UE鉴权成功时，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求(Non 3GPP IP Access Registration request)消息；

其中，所述Non 3GPP访问注册请求消息包括所述UE的IMSI。

可选的，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求之前，还可以包括：所述AAA服务器根据所述鉴权响应中包括的鉴权向量，与所述UE交互完成对所述UE的鉴权过程。

步骤508、所述HSS向所述AAA服务器返回Non 3GPP访问注册响应(Non 3GPP IP Access Registration response)消息；

其中，所述Non 3GPP访问注册响应消息包括所述UE的签约数据。

具体的，所述HSS根据所述Non 3GPP访问注册请求消息中包括的所述UE的IMSI查找所述UE的签约数据，并通过Non 3GPP访问注册响应消息向所述AAA服务器返回所述UE的签约数据。

可选的，所述UE的签约数据包括所述UE的目标APN及所述UE的目标APN对应的授权接入网类型的信息。

可选的，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

需要说明的是，授权接入网类型为允许UE接入的接入网类型；非授权接入网类型为不允许UE接入的接入网类型。

可选的，所述APN配置参数中的接入网类型，可以包括下述接入网类型中的至少一个：

WLAN、可信WLAN、非可信WLAN、CDMA2000、WiMAX、UMTS地面无线接入网(UTRAN，UMTS Terrestrial Radio Access Network)、GSM EDGE无线接入网(GERAN，GSM EDGE Radio Access Network)，演进的通用陆基无线接入网(EUTRAN，Evolved Universal Terrestrial Radio Access Network)。

可选的，WLAN接入网类型还可以包括：可信WLAN和非可信WLAN。

例如，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方案如下：

方案1：所述UE的目标APN对应的APN配置参数(APN-Configuration)中包含授权接入网类型(RAT-Permission)；当授权接入网类型不止一个时，为授权接入网类型列表。实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[RAT-Permission]

其中，“Context-Identifier”为所述UE的目标APN对应的文件标识；“RAT-Permission”可以包括“Context-Identifier”标识的APN(也即目标APN)对应的授权接入网类型；当“RAT-Permission”中包含所述UE当前接入的接入网类型时，则确定所述UE的目标APN被授权。

或者，“RAT-Permission”中可以包括“match-all”指示，表示在任何接入网类型下目标APN都被授权；或者，当配置参数中不包括“RAT-Permission”时，表示在任何接入网类型下目标APN都被授权。

方案2：所述UE的目标APN对应的APN配置参数中包含非授权接入网类型(RAT-Forbidden)，实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[RAT-Forbidden]

其中，“Context-Identifier”为所述UE的目标APN对应的文件标识；“RAT-Forbidden”可以包括该“Context-Identifier”标识的APN(也即所述UE的目标APN)对应的非授权接入网类型；当所述UE的目标APN对应的“RAT-Forbidden”中不包含所述UE当前接入的接入网类型时，确定所述UE的目标APN被授权。

可选的，当配置参数中不包括“RAT-Forbidden”时，表示在任何接入网类型下UE的目标APN都被授权。

方案3：所述UE的目标APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示在所述UE当前接入的接入网类型下，所述UE的目标APN被授权或者不被授权，实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[Vowifi-Permission]

其中，“Context-Identifier”为所述UE的目标APN对应的文件标识；“Vowifi-Permission”为该“Context-Identifier”标识的APN(也即，所述UE的目标APN)的当前接入的WLAN接入网类型下的授权标识；例如，当所述UE的目标AP对应的“Vowifi-Permission”为1时，表示所述UE的目标APN在当前接入的WLAN接入网类型下被授权；当所述UE的目标APN对应的“Vowifi-Permission”为0时，表示所述UE的目标APN在当前接入的WLAN接入网类型下不被授权。

需要说明的是，方案3中“Vowifi-Permission”为WLAN对应的授权标识，在方案3中当UE当前接入的接入网类型为其他接入网类型时，也可以对应其他的授权标识，其作用与“Vowifi-Permission”类似，在此不再赘述。

步骤509、所述AAA服务器根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；

例如，若UE当前接入网类型为WLAN、所述UE的目标APN为IP多媒体系统(IMS，IP Multimedia Subsystem)，且IMS的APN-configuration中RAT-Permission包括WLAN接入网类型，或RAT-forbidden中不包括WLAN接入网类型，或vowifi-Permission指示在WLAN接入网类型下被允许，则确定IMS被授权(也即，授权成功)；否则，确定IMS不被授权(也即，网络侧拒绝所述UE从在WLAN接入下使用IMS语音服务)。

需要说明的是，步骤509之前还可以包括：

当确定所述UE的目标APN不包括在所述UE的签约数据中时，则直接确定所述UE的目标APN不被授权，并不再执行步骤509，转而执行步骤510；当所述UE的签约数据包括所述UE的目标APN时，则执行步骤509进一步确定所述UE的目标APN在UE当前接入的接入网类型下是否被授权；

或者，当确定所述UE的目标APN不包括在所述UE的签约数据中且签约数据中也不包含野卡(wild card)APN时，则直接确定所述UE的目标APN不被授权，并不再执行步骤509，转而执行步骤510；当所述UE的签约数据包括所述UE的目标APN(或签约数据中包含wild card APN)时，则执行步骤509进一步确定所述UE的目标APN(或wild card APN)在UE当前接入的接入网类型下是否被授权。

步骤510、所述AAA服务器向所述ePDG返回鉴权与授权响应(Authentication and authorization answer)消息；

其中，当所述UE的目标APN被授权时，则所述鉴权与授权响应消息包括所述UE的目标APN被允许的指示信息；否则，所述鉴权与授权响应消息包括授权失败原因的原因。

可选的，所述授权失败原因用于指示所述UE的目标APN授权失败或者所述UE的目标APN在当前接入的接入网类型下授权失败。

可选的，当所述UE的签约数据中不包括所述UE的目标APN时，对应的授权失败原因用于指示所述UE的目标APN授权失败；当所述UE的签约数据中包括所述UE的目标APN，但是所述UE当前接入的接入网类型不属于所述UE的目标APN对应的授权接入网类型时，对应的授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。

步骤511、所述ePDG根据所述鉴权及授权响应消息向所述UE发送IKEV2消息。

当所述鉴权及授权响应消息包括所述UE的目标APN授权失败原因时，所述ePDG通过所述IKEV2消息将授权失败原因转发至所述UE。

可选的，所述UE接收到所述用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败的授权失败原因后，则向所述ePDG发送另一IKE_AUTH request消息，该IKE_AUTH request消息中包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。

本实施例中，通过HSS向所述AAA服务器返回Non 3GPP访问注册响应消息；其中，所述Non 3GPP访问注册响应消息包括所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息；所述AAA服务器根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；使得AAA服务器在进行APN授权判断时，能够同时考虑UE的目标APN及所述UE当前接入的接入网类型；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图6为本发明APN授权的方法实施例四的流程图，如图6所示，本实施例的方法可以包括：

步骤601、UE向TWAN发送用于向TWAN请求连接的连接请求消息；

需要说明的是，该连接请求消息为所述UE与所述TWAN之间的现有消息，在此不再赘述。

步骤602、所述TWAN向AAA服务器发送鉴权与授权请求消息；

需要说明的是，步骤602与步骤502类似，在此不再赘述。

步骤603、所述AAA服务器向HSS发送鉴权请求消息；

需要说明的是，步骤603与步骤503类似，在此不再赘述。

步骤604、所述HSS根据所述鉴权请求消息进行鉴权判断；

需要说明的是，步骤604与步骤504类似，在此不再赘述。

步骤605，所述HSS向所述AAA服务器返回鉴权响应消息；

需要说明的是，步骤605与步骤505类似，在此不再赘述。

步骤606、当鉴权响应消息指示所述UE鉴权失败时，则所述AAA服务器将所述UE的鉴权失败原因发送至所述UE；

可选的，AAA服务器可以通过EAP-AKA或EAP-AKA’消息将所述UE的鉴权失败原因发送至所述UE。

可选的，所述UE的鉴权失败原因也可以通过在TWAN与UE之间的消息中新增原因值的方式由所述TWAN发送至所述UE。

需要说明的是，步骤606与步骤506类似，在此不再赘述。

步骤607、当鉴权响应消息指示所述UE鉴权成功时，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求消息；

可选的，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求消息之前，还可以包括：所述AAA服务器根据所述鉴权响应中包括的鉴权向量，与所述UE交互完成对所述UE的鉴权过程。

需要说明的是，步骤607与步骤507类似，在此不再赘述。

步骤608、所述HSS向所述AAA服务器返回Non 3GPP访问注册响应消息；

需要说明的是，步骤608与步骤508类似，在此不再赘述。

步骤609、所述AAA服务器向所述TWAN返回鉴权与授权响应消息；

其中，所述鉴权与授权响应消息包括所述UE的签约数据。

步骤610、所述UE向所述TWAN发送公用数据网(PDN，Public Data Network)连接请求(PDN CONNECTIVITY REQUEST)消息；

可选的，所述PDN连接请求消息可以包括UE的目标APN；或者，也可以不包括所述UE的目标APN。当所述PDN连接请求中不包括所述UE的目标APN时，所述TWAN将该UE的签约数据中的默认APN作为所述UE的目标APN。

需要说明的是，步骤610与步骤607～步骤609之间并没有先后顺序关系，所述UE可以在与所述TWAN进行鉴权交互，鉴权成功后向所述TWAN发送所述PDN连接请求消息。

步骤611、所述TWAN根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；

需要说明的是，步骤611中TWAN确定所述UE的目标APN是否被授权的方法，与步骤509中AAA服务器确定所述UE的目标APN是否被授权的方法类似，在此不再赘述。

步骤612、所述TWAN向所述UE发送PDN连接接受(CONNECTIVITY ACCEPT)消息或PDN连接拒绝(PDN CONNECTIVITY REJECT)消息；

可选的，当TWAN向UE发送PDN连接拒绝消息时，该消息中包括授权失败原因，所述授权失败原因用于指示所述UE的目标APN在当前接入的接入网类型下授权失败。

可选的，所述UE接收到用于指示所述UE的目标APN在当前接入的接入网类型下授权失败的所述授权失败原因后，向所述TWAN发送另一PDN CONNECTIVITY REQUEST消息，该PDN CONNECTIVITY REQUEST消息中包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。

本实施例中，通过AAA服务器向TWAN返回鉴权与授权响应消息；其中，所述鉴权与授权响应消息包括所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息；所述TWAN根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权；使得TWAN在进行APN授权判断时，能够同时考虑UE的目标APN及所述UE当前接入的接入网类型；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图7为本发明APN授权的方法实施例五的流程图，如图7所示，本实施例的方法可以包括：

步骤701、UE向ePDG发送IKE鉴权请求消息；

需要说明的是，步骤701与步骤501类似，在此不再赘述。

步骤702、所述ePDG向AAA服务器发送鉴权与授权请求消息；

需要说明的是，步骤702与步骤502类似，在此不再赘述。

步骤703、所述AAA服务器向HSS发送鉴权请求消息；

需要说明的是，步骤703与步骤503类似，在此不再赘述。

步骤704、所述HSS根据所述鉴权请求消息进行鉴权判断；

需要说明的是，步骤704与步骤504类似，在此不再赘述。

步骤705，所述HSS向所述AAA服务器返回鉴权响应消息；

需要说明的是，步骤705与步骤505类似，在此不再赘述。

步骤706、当鉴权响应消息指示所述UE鉴权失败时，则所述AAA服务器将所述UE的鉴权失败原因发送至所述UE。

需要说明的是，步骤706与步骤506类似，在此不再赘述。

步骤707、当鉴权响应消息指示所述UE鉴权成功时，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求消息；

需要说明的是，步骤707与步骤507类似，在此不再赘述。

步骤708、所述HSS根据所述UE当前接入的接入网类型，对所述UE 的签约数据进行更新，获得更新后的签约数据；

其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息。

可选的，所述HSS可以根据所述Non 3GPP访问注册请求消息中包括的所述UE的IMSI确定所述UE的签约数据。

可选的，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方式包括：

例如，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方案如下：

方案A：所述至少每一个APN中的每一个APN对应的APN配置参数(APN-Configuration)中包含授权接入网类型(RAT-Permission)；当授权接入网类型不止一个时，可以为授权接入网类型列表。实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[RAT-Permission]

其中，“Context-Identifier”为一个APN对应的文件标识；“RAT-Permission”可以包括“Context-Identifier”标识的APN对应的授权接入网类型。

或者，“RAT-Permission”中可以包括“match-all”指示，表示在任何接入网类型下“Context-Identifier”标识的APN都被授权；或者，当配置参数中不包括“RAT-Permission”时，表示在任何接入网类型下“Context-Identifier”标识的APN都被授权。

方案B：所述至少一个APN中的每一个APN对应的APN配置参数中包含非授权接入网类型(RAT-Forbidden)，实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[RAT-Forbidden]

其中，“Context-Identifier”为一个APN对应的文件标识；“RAT-Forbidden”可以包括该“Context-Identifier”标识的APN对应的非授权接入网类型。

当配置参数中不包括“RAT-Forbidden”时，表示在任何接入网类型下该“Context-Identifier”标识的APN都被授权。

方案C：所述至少一个APN中的每一个APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示所述UE当前接入的接入网类型下，所述APN配置参数对应的APN被授权或者不被授权，实现方式如下：

APN-Configuration::＝<AVP header:1430 10415>

{Context-Identifier} //文件标识

{PDN-Type} //PDN类型

[Vowifi-Permission]

其中，“Context-Identifier”为一个APN对应的文件标识；“Vowifi-Permission”为该“Context-Identifier”标识的APN的当前接入的WLAN接入网类型下对应的授权标识。

需要说明的是，方案A、B、C与图5所示方法实施例中的方案1、2、3类似，区别仅在于方案1、2、3针对的是目标APN进行说明的，而方案A、B、C是针对至少一个APN中的每一个APN进行说明的。

可选的，所述根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据，包括：

所述HSS根据所述UE当前接入的接入网类型对所述UE的签约数据进行筛选，得到更新后的签约数据，使得更新后的签约数据仅包括所述UE在当前接入的接入网类型下的授权APN的信息。

需要说明的是，所述HSS可以根据步骤703中所述AAA服务器向所述HSS发送的鉴权请求，获得所述UE当前接入的接入网类型；或者，步骤707中所述AAA服务器发送的Non 3GPP访问注册请求中也可以包括所述UE当前接入的接入网类型。

步骤709、所述HSS向所述AAA服务器返回Non 3GPP访问注册响应消息；其中，所述Non 3GPP访问注册响应消息包括所述更新后的签约数据。

步骤710、所述AAA服务器根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权；

具体的，如果根据所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN属于所述UE在当前接入的接入网类型下的授权APN，则所述AAA服务器确定所述UE的目标APN被授权；或者，如果根据所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN不属于所述UE在当前接入的接入网类型下的授权APN，则所述AAA服务器确定所述UE的目标APN不被授权。

需要说明的是，当步骤708中与所述至少一个APN对应的授权接入网类型不包括所述UE当前接入的接入网类型时，所述更新后的签约数据中包括的所述UE在当前接入的接入网类型下的授权APN的信息为空；

当与所述至少一个APN对应的授权接入网类型包括所述UE当前接入的接入网类型、所述至少一个APN不包括所述UE的目标APN时，所述更新后的签约数据中包括的所述UE在当前接入的接入网类型下的授权APN的信息不为空(包括所述至少一个APN中的APN)，但是并不包括所述UE的目标APN；

当所述至少一个APN包括所述UE的目标APN、且与所述UE的目标APN对应的授权接入网类型包括所述UE当前接入的接入网类型时，所述更新后的签约数据中包括的所述UE在当前接入的接入网类型下的授权APN的信息不为空，且包括所述UE的目标APN。

步骤711、所述AAA服务器向所述ePDG返回鉴权与授权响应消息；

需要说明的是，步骤711与步骤510类似，在此不再赘述。

步骤712、所述ePDG根据所述鉴权及授权响应消息向所述UE发送IKEV2消息。

需要说明的是，步骤712与步骤511类似，在此不再赘述。

本实施例中，通过HSS向所述AAA服务器返回Non 3GPP访问注册响应消息；其中，所述Non 3GPP访问注册响应消息包括所述UE更新后的签约数据，所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；所述AAA服务器根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图8为本发明APN授权的方法实施例六的流程图，如图8所示，本实施例的方法可以包括：

步骤801、UE向TWAN发送连接请求消息；

需要说明的是，步骤801与步骤601类似，在此不再赘述。

步骤802、所述TWAN向AAA服务器发送鉴权与授权请求消息；

需要说明的是，步骤802与步骤602类似，在此不再赘述。

步骤803、所述AAA服务器向HSS发送鉴权请求消息；

需要说明的是，步骤803与步骤603类似，在此不再赘述。

步骤804、所述HSS根据所述鉴权请求消息进行鉴权判断；

需要说明的是，步骤804与步骤604类似，在此不再赘述。

步骤805，所述HSS向所述AAA服务器返回鉴权响应消息；

需要说明的是，步骤805与步骤605类似，在此不再赘述。

步骤806、当鉴权响应消息指示所述UE鉴权失败时，则所述AAA服务器将所述UE的鉴权失败原因发送至所述UE；

需要说明的是，步骤806与步骤606类似，在此不再赘述。

步骤807、当鉴权响应消息指示所述UE鉴权成功时，所述AAA服务器向所述HSS发送Non 3GPP访问注册请求消息；

需要说明的是，步骤807与步骤607类似，在此不再赘述。

步骤808、所述HSS根据所述UE当前接入的接入网类型，对所述UE 的签约数据进行更新，获得更新后的签约数据；

需要说明的是，步骤808与步骤708类似，在此不再赘述。

步骤809、所述HSS向所述AAA服务器返回Non 3GPP访问注册响应消息；其中，所述Non 3GPP访问注册响应消息包括所述更新后的签约数据；

需要说明的是，步骤809与步骤709类似，在此不再赘述。

步骤810、所述AAA服务器向所述TWAN返回鉴权与授权响应消息；

其中，所述鉴权与授权响应消息包括所述更新后的签约数据。

步骤811、所述UE向所述TWAN发送PDN连接请求(PDN CONNECTIVITY REQUEST)消息；

需要说明的是，步骤811与步骤610类似，在此不再赘述。

步骤812、所述TWAN根据所述UE的目标APN及所述UE在当前接入的接入网类型的授权APN的信息，确定所述UE的目标APN是否被授权；

需要说明的是，步骤812中TWAN确定所述UE的目标APN是否被授权的方法，与步骤710中AAA服务器确定所述UE的目标APN是否被授权的方法类似，在此不再赘述。

步骤813、所述TWAN向所述UE发送PDN连接接受消息或PDN连接拒绝消息；

需要说明的是，步骤813与步骤612类似，在此不再赘述。

本实施例中，通过AAA服务器向TWAN返回鉴权与授权响应消息；其中，所述鉴权与授权响应消息包括所述UE的更新后签约数据，所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；所述TWAN根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权；解决了现有技术中在进行APN授权判断时，运营商无法对UE允许接入的APN进行合理控制的问题。

图9为本发明APN授权的装置实施例一的结构示意图；所述装置为网络设备；如图9所示，本实施例的装置可以包括：确定模块901和获取模块902。其中，确定模块901，用于确定用户设备UE的目标APN及所述UE当前接入的接入网类型；获取模块902，用于获取所述UE的目标APN对应的授权接入网类型的信息；确定模块901，还用于根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

可选的，所述网络设备为AAA服务器，或者为Non 3GPP接入网关。

可选的，确定模块901具体用于：

或者，

可选的，确定模块901，还用于确定所述UE的签约数据包括所述UE的目标APN。

可选的，所述装置还可以包括第一发送模块903；

如果确定模块901根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，则第一发送模块903，用于将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。

可选的，获取模块902，具体用于接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。

进一步可选的，所述装置还可以包括：第二发送模块904；

若所述网络设备为AAA服务器，则获取模块902还用于接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

第二发送模块904，用于将所述UE的鉴权失败原因发送至所述UE。

本实施例的装置，可以用于执行图3所示方法实施例、图5所示方法实施例AAA侧、图6所示方法实施例TWAN侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本发明APN授权的装置实施例二的结构示意图；所述装置为HSS；如图10所示，本实施例的装置可以包括：确定模块1001、更新模块1002和发送模块1003。其中，确定模块1001，用于确定用户设备UE当前接入的接入网类型；更新模块1002，用于根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；发送模块1003，用于将所述更新后的签约数据发送至网络设备。

本实施例的装置，可以用于执行图4所示方法实施例、图7及图8所示方法实施例HSS侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图11为本发明APN授权的装置实施例三的结构示意图；所述装置为网络设备；如图11所示，本实施例的装置可以包括：接收模块1101和确定模块1102。其中，接收模块1101，用于接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN的信息；确定模块1102，用于根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。

可选的，确定模块1102，具体用于：

如果根据所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN属于所述UE在当前接入的接入网类型下的授权APN，则确定所述UE的目标APN被授权；或者，如果根据所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN不属于所述UE在当前接入的接入网类型下的授权APN，则确定所述UE的目标APN不被授权。

本实施例的装置，可以用于执行图7～图8所示方法实施例网络设备侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图12为本发明APN授权的装置实施例四的结构示意图；所述装置为UE；如图12所示，本实施例的装置可以包括：接收模块1201和发送模块1202。其中，接收模块1201，用于接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败；发送模块1202，用于向所述UE当前接入的接入网的网关发送第一连接请求消息；所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。

可选的，接收模块1201，还用于接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；发送模块1202，还用于向与所述UE当前接入的接入网的网关不同的网关发送第二连接请求消息。

本实施例的装置，可以用于执行图5～图8所示方法实施例UE侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

本发明还提供一种APN授权的系统，包括APN授权的装置实施例一所述的网络设备及UE。

可选的，所述UE可以为APN授权的装置实施例四中所述的UE。

本实施例的系统，可以用于执行图5或图6所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

本发明还提供另一种APN授权的系统，包括APN授权的装置实施例二所述的HSS、APN授权的装置实施例三所述的网络设备及UE。

可选的，所述UE可以为APN授权的装置实施例四中所述的UE。

本实施例的装置，可以用于执行图7或图8所示方法实施例技术方案，其实现原理和技术效果类似，此处不再赘述。

图13为本发明APN授权的装置实施例五的结构示意图；所述装置为网络设备；如图13所示，本实施例的装置可以包括：处理器1301和接收器1302。其中，处理器1301，用于确定用户设备UE的目标APN及所述UE当前接入的接入网类型；接收器1302，用于获取所述UE的目标APN对应的授权接入网类型的信息；处理器1301，还用于根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。

可选的，处理器1301具体用于：

或者，

可选的，处理器1301，还用于确定所述UE的签约数据包括所述UE的目标APN。

可选的，所述装置还可以包括发送器1303；

如果处理器1301根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，则发送器1303，用于将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。

可选的，接收器1302，具体用于接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。

进一步可选的，若所述网络设备为AAA服务器，则接收器1302还用于接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

发送器1303，还用于将所述UE的鉴权失败原因发送至所述UE。

图14为本发明APN授权的装置实施例六的结构示意图；所述装置为HSS；如图14所示，本实施例的装置可以包括：处理器1401和发送器1402。其中，处理器1401，用于确定用户设备UE当前接入的接入网类型；处理器1401，还用于根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；发送器1402，用于将所述更新后的签约数据发送至网络设备。

图15为本发明APN授权的装置实施例七的结构示意图；所述装置为网络设备；如图15所示，本实施例的装置可以包括：接收器1501和处理器1502。其中，接收器1501，用于接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN的信息；处理器1502，用于根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。

可选的，处理器1502，具体用于：

图16为本发明APN授权的装置实施例八的结构示意图；所述装置为UE；如图16所示，本实施例的装置可以包括：接收器1601、处理器1602和发送器1603。其中，接收器1601，用于接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败；处理器1602，用于根据接收器1601接收的授权失败原因，生成第一连接请求消息，所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同；发送器1603，用于将处理器1602生成的所述第一连接请求消息发送至所述UE当前接入的接入网的网关。

可选的，接收器1601，还用于接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；处理器1602，还用于根据接收器1601接收的所述UE的鉴权失败原因，生成第二连接请求消息；发送器1603，还用于将处理器1602生成的所述第二连接请求消息发送至与所述UE当前接入的接入网的网关不同的网关。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种接入点名称APN授权的方法，其特征在于，包括：

网络设备确定用户设备UE的目标APN及所述UE当前接入的接入网类型；

所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息；

所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。
根据权利要求1所述的方法，其特征在于，所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权，包括：

如果根据所述UE的目标APN对应的授权接入网类型的信息，确定所述UE当前接入的接入网类型属于所述UE的目标APN对应的授权接入网类型，则所述网络设备确定所述UE的目标APN被授权；

或者，

如果根据所述UE的目标APN对应的授权接入网类型的信息，确定所述UE当前接入的接入网类型不属于所述UE的目标APN对应的授权接入网类型，则所述网络设备确定所述UE的目标APN不被授权。
根据权利要求1或2所述的方法，其特征在于，所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权之前，还包括：

所述网络设备确定所述UE的签约数据包括所述UE的目标APN。
根据权利要求1-3任一项所述的方法，其特征在于，如果所述网络设备根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，所述方法还包括：

所述网络设备将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。
根据权利要求1-4任一项所述的方法，其特征在于，所述网络设备获取所述UE的目标APN对应的授权接入网类型的信息，包括：

所述网络设备接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。
根据权利要求5所述的方法，其特征在于，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述UE的目标APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示在所述UE当前接入的接入网类型下，所述UE的目标APN被授权或者不被授权。
根据权利要求1-6任一项所述的方法，其特征在于，所述网络设备为鉴权与授权计费AAA服务器，或者为非第三代合作伙伴计划Non 3GPP接入网关。
根据权利要求5或6所述的方法，其特征在于，若所述网络设备为AAA服务器，则所述网络设备接收HSS发送的所述UE的签约数据之前，还包括：

所述网络设备接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

所述网络设备将所述UE的鉴权失败原因发送至所述UE。
一种接入点名称APN授权的方法，其特征在于，包括：

用户归属系统HSS确定用户设备UE当前接入的接入网类型；

所述HSS根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；

所述HSS将所述更新后的签约数据发送至网络设备。
根据权利要求9所述的方法，其特征在于，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示所述UE当前接入的接入网类型下，所述APN配置参数对应的APN被授权或者不被授权。
一种接入点名称APN授权的方法，其特征在于，包括：

网络设备接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN的信息；

所述网络设备根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。
一种接入点名称APN授权的方法，其特征在于，包括：

用户设备UE接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败；

所述UE向所述UE当前接入的接入网的网关发送第一连接请求消息；所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。
根据权利要求12所述的方法，其特征在于，还包括：

所述UE接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；

所述UE向与所述UE当前接入的接入网的网关不同的网关发送第二连接请求消息。
一种接入点名称APN授权的装置，所述装置为网络设备，其特征在于，所述装置包括：

确定模块，用于确定用户设备UE的目标APN及所述UE当前接入的接入网类型；

获取模块，用于获取所述UE的目标APN对应的授权接入网类型的信息；

所述确定模块，还用于根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN是否被授权。
根据权利要求14所述的装置，其特征在于，所述确定模块具体用于：

如果根据所述UE的目标APN对应的授权接入网类型的信息，确定所述UE当前接入的接入网类型属于所述UE的目标APN对应的授权接入网类型，则确定所述UE的目标APN被授权；

或者，

如果根据所述UE的目标APN对应的授权接入网类型的信息确定所述UE当前接入的接入网类型不属于所述UE的目标APN对应的授权接入网类型，则确定所述UE的目标APN不被授权。
根据权利要求14或15所述的装置，其特征在于，所述确定模块还用于确定所述UE的签约数据包括所述UE的目标APN。
根据权利要求14-16任一项所述的装置，其特征在于，所述装置还包括：第一发送模块；

如果所述确定模块根据所述UE当前接入的接入网类型及所述UE的目标APN对应的授权接入网类型的信息，确定所述UE的目标APN不被授权，则所述第一发送模块，用于将授权失败原因发送给所述UE，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败。
根据权利要求14-17任一项所述的装置，其特征在于，所述获取模块具体用于：

接收用户归属系统HSS发送的所述UE的签约数据，所述UE的签约数据中包括所述UE的目标APN对应的授权接入网类型的信息。
根据权利要求18所述的装置，其特征在于，所述UE的签约数据包括所述UE的目标APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述UE的目标APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述UE的目标APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示在所述UE当前接入的接入网类型下，所述UE的目标APN被授权或者不被授权。
根据权利要求14-19任一项所述的装置，其特征在于，所述网络设备为鉴权与授权计费AAA服务器，或者为非第三代合作伙伴计划Non 3GPP接入网关。
根据权利要求18或19所述的装置，其特征在于，所述装置还包括第二发送模块；

若所述网络设备为AAA服务器，则所述获取模块还用于接收所述HSS发送的鉴权响应消息，所述鉴权响应消息包括所述UE的鉴权失败原因；

所述第二发送模块，用于将所述UE的鉴权失败原因发送至所述UE。
一种接入点名称APN的授权的装置，所述装置为用户归属系统HSS，其特征在于，所述装置包括：

确定模块，用于确定用户设备UE当前接入的接入网类型；

更新模块，用于根据所述UE当前接入的接入网类型，对所述UE的签约数据进行更新，获得更新后的签约数据；其中，所述UE的签约数据中包括至少一个APN及与所述至少一个APN对应的授权接入网类型的信息；所述更新后的签约数据包括所述UE在当前接入的接入网类型下的授权APN的信息；

发送模块，用于将所述更新后的签约数据发送至网络设备。
根据权利要求22所述的装置，其特征在于，所述UE的签约数据包括与所述至少一个APN对应的授权接入网类型的信息的方式包括：

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含非授权接入网类型；或者，

所述签约数据中所述至少一个APN中的每一个APN对应的APN配置参数中包含所述UE当前接入的接入网类型对应的授权标识，所述授权标识用于指示所述UE当前接入的接入网类型下，所述APN配置参数对应的APN被授权或者不被授权。
一种接入点名称APN授权的装置，所述装置为网络设备，其特征在于，所述装置包括：

接收模块，用于接收用户归属系统HSS发送的更新后的签约数据；所述更新后的签约数据包括用户设备UE在当前接入的接入网类型下的授权APN 的信息；

确定模块，用于根据所述UE的目标APN及所述UE在当前接入的接入网类型下的授权APN的信息，确定所述UE的目标APN是否被授权。
一种接入点名称APN授权的装置，所述装置为用户设备UE，其特征在于，所述装置包括：

接收模块，用于接收网络设备发送的授权失败原因，所述授权失败原因用于指示所述UE的目标APN在所述UE当前接入的接入网类型下授权失败；

发送模块，用于向所述UE当前接入的接入网的网关发送第一连接请求消息；所述第一连接请求消息包括所述UE请求的APN，所述UE请求的APN与所述目标APN不同。
根据权利要求25所述的装置，其特征在于，所述接收模块，还用于接收所述网络设备发送的所述UE的鉴权失败原因；所述鉴权失败原因包括：接入网类型不允许或访问的公共陆地移动网络VPLMN不允许；

所述发送模块，还用于向与所述UE当前接入的接入网的网关不同的网关发送第二连接请求消息。
一种接入点名称APN授权的系统，其特征在于，包括：权利要求14-21任一项所述的网络设备及用户设备UE。
根据权利要求27所述的系统，其特征在于，所述UE如权利要求25或26所述。
一种接入点名称APN授权的系统，其特征在于，包括：权利要求22或23所述的用户归属系统HSS、权利要求24所述的网络设备以及用户设备UE。