移动通信系统中准入判断和寻呼用户的方法、系统及装置的制作方法

专利名称：移动通信系统中准入判断和寻呼用户的方法、系统及装置的制作方法
技术领域：
本发明涉及移动通信技术，具体涉及移动通信系统中准入判断和寻呼用 户的方法、系统及装置。
背景技术：
现有技术中，公开了一种网络结构和相应的网络实体，能够提供用户终
端直接访问Internet的能力，参见图1，为现有技术通用移动通讯系统 (UMTS, Universal Mobile Telecommunications System)网络中4姿入点(AP， Access Point)直接访问Internet的逻辑结构图。该逻辑结构在原有的UMTS 网络结构中增加两个网络实体UMTS接入网关(AG， Access Gateway)和 UMTS AP,其他网络实体和接口保持不变。
UMTS AG网络实体对分组域来讲，完成网关通用分组无线服务支持节 点(GGSN, Gateway GPRS Support Node)、服务通用分组无线服务支持节 点(SGSN, Serving GPRS Support Node)控制面功能以及无线网络控制器 (RNC , Radio Network Controller )控制面部分功能，同时提供和 GGSN/SGSN —样的UMTS控制面接口 ；对电路域来讲，UMTS AG类似于 RNC功能，提供完整的语音接入功能。具体地，UMTS AG有如下的功能 网络接入控制、分组报文路由和转发中控制面处理、语音的转换和转发、移 动性管理、AP管理、计费管理、短消息业务、移动网络增强逻辑定制应用 (CAMEL, Customised Application for Mobile network Enhanced Logic )业务、 以及网络管理。
UMTS AG对外提供的接口包括Ga、 Gb、 Gd、 Ge、 Gf、 Gn控制面、 Gr和Gs,这些接口和UMTS 3G网络使用相同的协议栈，这里不再叙述。
UMTS AP网络实体除了具备UMTS负责无线接收和发送的逻辑节点 (NodeB )全部功能和RNC部分控制功能外，对分组域来讲，还具备GGSN、 SGSN、 RNC用户面功能。具体地，UMTSAP的功能如下无线4妄入控制、 分组报文路由和转发中用户面处理、语音编解码、无线资源管理、以及网络管理。
UMTS AP对外提供Gi和Gn用户面，和现有的UMTS 3G网络提供相 同的协议栈，这里不再叙述。
图1是UMTS网络中AP直接访问Internet的逻辑结构图，类似地，UMTS AG和UMTS AP同样适用于通用分组无线服务(GPRS, General Packet Radio Service)网络、码分多址(CDMA, Code Division Multiple Access ) 2000网 络、时分-同步码分多址接入(TD-CDMAD, Time Division - Synchronize Code Division Multiple Access )网络，可以在GPRS网络、CDMA2000网络、 TD-CDMAD网络等移动通信系统中增加两个网络实体，AG和AP，使AP 直才矣i方问Internet 。
现有技术中，进入AP小区的用户终端(UE, User Equipment)可以通 过AP和AG，直接接入移动通信系统。但是在接入时，现有技术未对进入 AP小区的UE进行准入判断和限制，导致非授权UE接入移动通信系统，当 网络侧寻呼UE时无法限制对非授权UE的寻呼，使AP用户交纳非授权UE 误用而引起的通信资费。现有技术存在以下缺点从用户角度看，AP是私 人设备，未经允许，不希望其他人使用；从运营商角度来看，AP覆盖下的 资费比宏网络优惠，希望对使用AP的UE加以限制。

发明内容
本发明实施例提供一种移动通信系统中准入判断的方法，该方法能够防 止非授权UE的接入。
本发明实施例提供一种移动通信系统中准入判断的系统，该系统能够防 止非授权UE的接入。
本发明实施例还提供又一种移动通信系统中准入判断的系统，该系统能 够防止非授权UE的接入。
本发明实施例提供一种移动通信系统中准入判断的准入判断装置，该准
入判断装置能够防止非授权UE的接入。
本发明实施例还提供又一种移动通信系统中准入判断的准入判断装置， 该准入判断装置能够防止非授权U E的接入。
本发明实施例提供一种移动通信系统中准入判断的转换模块，该转换模 块能够防止非授权UE的接入。
本发明实施例提供一种移动通信系统中用户寻呼的方法，该方法能够防 止对非授权UE的寻呼。
本发明实施例提供一种移动通信系统中用户寻呼的装置，该系统能够防 止对非授权UE的寻呼。
本发明实施例提供又一种移动通信系统中用户寻呼的装置，该系统能够 防止对非授权UE的寻呼。
本发明实施例提供再 一种移动通信系统中用户寻呼的装置，该系统能够 防止对非授权UE的寻呼。
一种移动通信系统中准入判断的方法，该方法包4舌
获取接入移动通信系统的接入点AP的用户终端UE的用户标识信息；
在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存 在，则允许该UE接入，否则，拒绝该UE接入。
一种移动通信系统中准入判断的系统，该系统包括网络侧的准入判断模 块、网络侧的转换模块和UE;
所述准入判断模块，用于在MSISDN准入列表中查询是否存在转换模 块传送的UE的MSISDN信息，若存在，则允许该UE接入，否则，拒绝该 UE接入；
所述转换模块，用于将UE传送的IMSI信息转换为UE的MSISDN信
自 所述UE，用于向所述转换模块传送该UE的IMSI信息。 一种移动通信系统中准入判断的系统，该系统包括网络侧的准入判断模 块和UE;
所述准入判断^t块，用于在IMSI准入列表中查询是否存在UE传送的 UE的IMSI，若存在，则允许该UE接入，否则，拒绝该UE接入；
所述UE,用于向所述准入判断模块传送该UE的IMSI信息
一种移动通信系统中准入判断的准入判断装置，该准入判断装置包括接 收子模块和准入判断子模块；
所述接收子模块，用于接收转换子模块传送的用户终端的MSISDN信息， 传送给准入判断子模块；
所述准入判断子模块，用于在MSISDN准入列表中查询是否存在所述用户 终端的MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝该用户终 端接入。
一种移动通信系统中准入判断的准入判断装置，该准入判断装置包括接收 子模块和准入判断子模块；
所述接收子模块，用于接收用户终端传送的IMSI,传送给所述准入判断子
模块；
所述准入判断子模块，用于在IMSI准入列表中查询是否存在所述接收子模 块传送的IMSI,若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。
一种移动通信系统中准入判断的转换装置，该转换装置包括接收子模块和
转换子模块；
所述接收子模块，用于接收用户终端传送的IMSI信息，传送给所述转换子 模块；
所述转换子模块，用于将所述用户终端的IMSI信息转换为用户终端的 MSISDN信息，传送给准入判断子模块进行准入判断。
本发明实施例提4^一种移动通信系统中寻呼用户的方法，该方法包括 生成寻呼列表，所述寻呼列表包括AP与允许接入AP的用户终端的IMSI
信息之间的对应关系，接收由CN侧传送的包括IMSI信息的寻呼消息；
在寻呼列表中查询是否存在所述寻呼消息中的IMSI信息，若是，则将寻 呼消息传送给与所述寻呼消息中的IMSI信息对应的AP进行用户寻呼，否则， 拒绝对与所述寻呼消息中的IMSI信息对应的用户进行寻呼。
本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括寻呼 判断模块和寻呼消息转发模块；
所述寻呼判断模块，用于接收CN侧发送的包括IMSI信息的寻呼消息，在 寻呼列表中查询是否存在所述IMSI信息，所述寻呼列表包括AP与允许接入 AP的IMSI信息之间的对应关系，若是，则将寻呼消息传送给寻呼消息转发模 块，否则，不向寻呼消息转发模块传送寻呼消息；
所述寻呼消息转发模块，用于将寻呼消息发送给与所述包括在寻呼消息中 的IMSI信息对应的AP进行用户寻呼。
本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括IMSI 信息发送模块和寻呼模块；
所述IMSI信息发送模块，用于将允许接入AP的用户终端的IMSI信息发 送给AG,用以生成寻呼准入列表；
所述寻呼^t块，用于接收AG发送的寻呼消息，对与所述寻呼消息包含的 IMSI信息对应的用户终端进^f亍寻呼。
本发明实施例提供一种移动通信系统中寻呼用户的装置，该装置包括IMSI 准入列表发送模块和寻呼模块；
所述IMSI准入列表发送模块，用于将IMSI准入列表发送给AG,用以生 成寻呼准入列表；
所述寻呼模块，用于接收AG发送的寻呼消息，对与所述寻呼消息包含的 IMSI信息对应的用户终端进行寻呼。
从上述方案可以看出，本发明实施例获取接入移动通信系统的AP小区的 UE的用户标识信息后，在用户标识信息准入列表中查询是否存在获取的用户标 识信息，若存在，则允许该UE接入，否则，拒绝该UE接入。AG根据AP与
允许接入AP的用户终端的IMSI信息之间的对应关系生成寻呼列表，通过所述 寻呼列表实现对AP小区内授权UE的寻呼。这样，拒绝了非授权UE的接入， 防止了对非授权UE的寻呼，AP用户不必交纳因非授权UE的误用而导致的通 信资费，也实现了运营商对使用AP的UE的限制。


图1为现有技术UMTS网络中AP直接访问Internet的逻辑结构图； 图2为本发明实施例移动通信系统中准入判断的方法的流程图例——一; 图3为本发明实施例移动通信系统中准入判断的方法的流程图例二； 图4为本发明实施例移动通信系统中准入判断的方法的流程图例三； 图5为本发明实施例移动通信系统中准入判断的方法的流程图例四； 图6a为本发明实施例移动通信系统中准入判断的系统的结构示意图例
图6b为本发明实施例移动通信系统中准入判断的系统的结构示意图例
图7为本发明实施例移动通信系统中准入判断的准入判断装置的结构 示意图8为本发明实施例移动通信系统中准入判断的转换装置的结构示意
图9为本发明实施例移动通信系统中寻呼用户方法的示例性流程图10为步骤901中生成寻呼列表的具体实施方式
一的流程图11为步骤901中生成寻呼列表的具体实施方式
二的流程图12为本发明实施例移动通信系统中对AP鉴权的方法的流程图例一；
图13为本发明实施例移动通信系统中对AP鉴权的方法的流程图例二；
图14为数字证书发放结构的示意图15为数字证书的工作原理图16为本发明实施例移动通信系统中寻呼用户的系统结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和 附图，对本发明进一步详细说明。
本发明的基本思想是，在用户标识信息准入列表中查询是否存在接入移
动通信系统的接入点AP的用户终端UE的用户标识信息，若存在，则允许 该UE接入，否则，拒绝该UE接入。其中，用户标识信息准入列表为MSISDN 准入列表时，用户标识信息为MSISDN信息；用户标识信息准入列表为IMSI 准入列表时，用户标识信息为IMSI信息。下面是对该思想下各种情况的具 体说明。
参见图2，为本发明实施例移动通信系统中准入判断的方法的流程图例 一，该方法首先在AP侧保存有移动台国际综合业务数字网络号码 (MSISDN, Mobile Station International ISDN Number )准入列表，此MSISDN 准入列表包含了允许接入AP的所有UE的MSISDN, AP侧可才艮据需要对此 MSISDN准入列表进行更改，该方法包括以下步骤
步骤201, AP侧修改MSISDN准入列表，同时将准入列表更新消息 (Access Control List Update)经AG传送给核心网(CN, Core Network)侧 网元，该消息中包含AP侧修改后的MSISDN准入列表信息，CN侧网元接 收该消息后保存MSISDN准入列表。
本实施例中描述的CN侧网元可以为，CN侧的拜访位置寄存器/移动交 换中心服务器(VLR/MSC, Visitor Location Register/Server Mobile Switching Centre Server)或SGSN。
步骤202, CN侧网元经AG向AP侧返回准入列表更新响应(Access Control List Update Rsp )，告之已经保存AP侧传送的MSISIDN准入列表。
步骤203，进入AP小区的UE建立与AP之间的无线连接后，向CN侧 网元发送附着请求消息(Attach Request),该消息包含UE的IMSI信息。
步骤204， CN侧网元接收UE传送的Attach Request,获取IMSI信息
后，向HLR发起位置更新流程，位置更新流程结束后，CN侧网元从HLR 获取UE的MSISDN信息。
本步骤中，所述的位置更新流程为CN侧网元向HLR发送位置更新消 息(Update Location),该消息中包含UE的IMSI信息，用于根据IMSI信 息查询出与IMSI对应的MSISDN信息；HLR接收Update Location,获取IMSI 信息后，查询出与UE的IMSI对应的MSISDN信息，向CN侧网元返回插 入签约数据消息(Insert Subscriber Data),该消息中包含UE的MSISDN信 息；CN侧网元接收Insert Subscriber Data后向HLR在发送插入签约数据响 应消息(Insert Subscriber Data Rsp),告之已获取IMSI信息；HLR向CN 侧网元发送位置更新确认消息(Update Location Cnf),表明位置更新流程 结束。
步骤205 ， CN侧网元根据从HLR获取的UE的MSISDN信息，以及在 步骤201中保存的MSISDN准入列表，判断是否允许UE的接入，并相应地 向UE侧发送附着接收消息/附着拒绝消息(Attach Accept/Attach Reject)。
本步骤中，所述判断是否允许UE4妄入的方法为CN侧网元在MSISDN 的准入列表中查询是否存在从HLR接收到的UE的MSISDN，若存在，则 允许该UE接入，否则，拒绝该UE接入。
本实施例中的AG和CN侧网元设备可以如图2所示，分开为两个设备， 也可以集成在一个设备中。
参见图3,为本发明实施例移动通信系统中准入判断的方法的流程图例 二，该方法首先在AP侧保存MSISDN准入列表，此MSISDN准入列表包 含了允许接入AP的所有UE的MSISDN， AP侧可根据需要对此MSISDN 准入列表进行更改，该方法包括以下步骤
步骤301, UE建立与AP之间的无线连接后，向AP发送初始化用户消 息(附着请求)(Init UE Message(Attach Request))。
步骤302， AP接收Init UE Message(Attach Request)后，向UE传送用户 标识请求消息(Identity R叫uest)，以获取该UE的IMSI。
所述用户IMSI为在AP小区中驻留的UE的IMSL
步骤303, UE向AP返回用户标识响应消息(Identity Response ),该 消息包含该UE的IMSI信息。
步骤304, AP获取UE的IMSI信息，向AG发送MSISDN查询请求消 息(Query MSISDN Request),该消息包含UE的IMSI信息，用于根据UE 的IMSI查询UE的MSISDN信息。
AP侧已经保存了基于MSISDN的准入列表，但尚没有MSISDN - IMSI 对应关系，因此AP向AG发送Query MSISDN Request消息，以才艮据用户的 IMSI获取IMSI - MSISDN对应关系。
步骤305， AG根据接收到的UE的IMSI信息，向HLR发起位置更新 流程，位置更新流程结束后，AG获取IMSI - MSISDN对应关系。
本步骤中，所述位置更新流程为AG向HLR发送位置更新请求消息 (Update Location)，该消息中包含UE的IMSI信息，用于根据IMSI信息 查询出与IMSI对应的MSISDN信息；HLR接收Update Location,获取IMSI 信息后，查询出与UE的IMSI对应的MSISDN信息，也就是IMSI - MSISDN 对应关系，向AG返回插入签约数据消息(Insert Subscriber Data),该消息 中包含IMSI - MSISDN对应关系；AG接收Insert Subscriber Data后向HLR 在发送插入签约数据响应消息(Insert Subscriber Data Rsp ),告之已获取IMSI 信息；HLR向AG侧发送位置更新确认消息(Update Location Cnf)，表明 位置更新流程结束。
步骤306, AG向AP返回MSISDN查询响应消息(Query MSISDN Response),其中包含了查询到的IMSI - MSISDN对应关系。
步骤307, AP获取IMSI - MSISDN对应关系后，根据保存的MSISDN 准入列表和在步骤303中荻取的UE的IMSI判断是否允许该UE接入，如 果不允许该UE接入，则向UE发送附着拒绝消息，拒绝该UE的接入，结 束流程；否则将初始化用户消息(附着接收)(Init UE Message ( Attach Request))经AG转发给CN侧网元，CN侧网元接收Init UE Message(Attach
Request)后，向UE端传送直传消息(附着接收)(Direct Transfer(Attach Accept))，接收该UE的4妾入。
本实施例中描述的CN侧网元可以为，VLR/MSC或者SGSN。
本步骤中，所述AP获取IMSI-MSISDN对应关系后，根据保存的 MSISDN准入列表和在步骤303中获取的UE的IMSI判断是否允许该UE 接入的方法为根据IMSI - MSISDN对应关系可获得与UE的IMSI对应的 MSISDN信息，若在AP保存的MSISDN准入列表中查询出获得的该UE的 MSISDN信息，则允许该UE接入，否则拒绝该UE接入。
本步骤中，可以进一步包括AP保存获取的IMSI - MSISDN对应关系。 当AP下次接收UE发送的Init UE Message(Attach Request)后，可以省略步 骤304 ~ 306,直接进入步骤307判断是否允许该UE的接入。本步骤还可以 进一步包括，对于不允许接入的UE， AP侧将该UE的IMSI-MSISDN对 应关系信息保留在黑名单中。当这些UE下次再从AP接入时，可以省略步 骤304 ~ 306, AP直接拒绝这些UE。
参见图4,为本发明实施例移动通信系统中准入判断的方法的流程图例 三，该方法首先在AP侧保存MSISDN准入列表，此MSISDN准入列表包 含了允许接入AP的所有UE的MSISDN, AP侧可根据需要对此MSISDN 准入列表进行更改，该方法包括以下步骤
步骤401 ， UE建立与AP之间的无线连接后，向AP发送初始化用户消 息(附着请求)(Init UE Message(Attach Request))。
步骤402, AP接收Init UE Message(Attach Request)后，向UE传送用户 标识请求消息(Identity Request)，以获取该UE的IMSI。
所述用户IMSI为在AP小区中驻留的UE的IMSI。
步骤403, UE向AP返回用户标识响应消息(Identity Response )，该 消息包含该UE的IMSI信息。
步骤404， AP获取UE的IMSI信息，向AG发送MSISDN查询请求消 息(Query MSISDN Request)，该消息包含UE的IMSI信息，用于根据UE
的IMSI查询UE的MSISDN信息。
AP侧已经保存了基于MSISDN的准入列表，但尚没有MSISDN - IMSI 对应关系，因此AP向AG发送Query MSISDN Request消息，以才艮据用户的 IMSI获耳又IMSI - MSISDN对应关系。
步骤405, AG根据接收到的UE的IMSI信息，采用AG与HLR之间 的Gr,向HLR发送Gr接口 MSISDN查询请求消息(Gr Query MSISDN Request),该消息中包含了 UE的IMSI信息，用于根据IMSI信息查询出 与IMSI对应的MSISDN信息。
步骤406 ， HLR接收AG发送的Gr Query MSISDN Request后，查询出 与UE的IMSI对应的MSISDN信息，也就是IMSI - MSISDN对应关系，向 AG返回Gr接口 MSISDN查询响应消息(Gr Query MSISDN Response), 该消息中包含IMSI - MSISDN对应关系。
步骤407, AG获取IMSI _ MSISDN对应关系后，向AP返回MSISDN 查询响应消息(Query MSISDN Response),其中包含了查询到的IMSI-MSISDN对应关系。
步骤408, AP获取IMSI - MSISDN对应关系后，根据保存的MSISDN 准入列表和在步骤403中获取的UE的IMSI判断是否允许该UE接入，如 果不允许该UE^娄入，则向UE发送附着拒绝消息，拒绝该UE的接入，结 束流程；否则将初始化用户消息(附着接收)(Init UE Message ( Attach Request))经AG转发给CN侧网元，CN侧网元接收Init UE Message(Attach Request)后，向UE端传送直传消息(附着接收)(Direct Transfer(Attach Accept)),接收该UE的净妄入。
本具体实施例中描述的CN侧网元可以为，VLR/MSC或者SGSN。
本步骤中，所述AP获取IMSI-MSISDN对应关系后，根据保存的 MSISDN准入列表和在步骤403中获取的UE的IMSI判断是否允许该UE 接入的方法为根据IMSI - MSISDN对应关系可获得与UE的IMSI对应的 MSISDN信息，若在AP保存的MSISDN准入列表中查询出获得的该UE的
MSISDN信息，则允许该UE接入，否则拒绝该UE接入。
本步骤中，可以进一步包括AP保存获取的IMSI - MSISDN对应关系。 当AP下次接收UE发送Init UE Message(Attach Request后，可以省略步骤 404 ~ 407,直接进入步骤408判断是否允许该UE的接入。本步骤还可以进 一步包括，对于不允许接入的UE， AP侧将该UE的IMSI - MSISDN对应 关系信息保留在黑名单中。当这些UE下次再从AP接入时，可以省略步骤 404 ~ 407, AP直接拒绝这些UE。
参见图5,为本发明实施例移动通信系统中准入判断的方法的流程图例 四，该方法首先在AP侧保存MSISDN准入列表，此MSISDN准入列表包 含了允许接入AP的所有UE的MSISDN, AP侧可根据需要对此MSISDN 准入列表进行更改，该方法包括以下步骤
步骤501, AP侧向AG发送IMSI查询请求消息(Query IMSI Request), 该消息包括AP侧内保存的MSISDN准入列表的MSISDN信息，用于查询 MSISDN-IMSI的对应关系，也就是查询与MSISDN准入列表的MSISDN 信息对应的IMSI信息。
步骤502, AG根据接收到的MSISDN信息，采用AG与HLR之间的消 息接口 Gr,向HLR发送Gr接口 IMSI查询请求消息(Gr Query IMSI Request),该消息中包含MSISDN准入列表的MSISDN信息，用于根据 MSISDN信息查询出与MSISDN信息对应的IMSI信息。
步骤503, HLR接收AG发送的Gr Query IMSI Request后，查询出与 MSISDN信息对应的IMSI信息，也就是IMSI _ MSISDN对应关系，向AG 返回Gr接口 IMSI查询响应消息(Gr Query IMSI Response )，该消息中包 含IMSI - MSISDN对应关系。
步骤504， AG获取IMSI - MSISDN对应关系后，向AP返回IMSI查询 响应消息(Query IMSI Response),其中包含了查询到的IMSI - MSISDN 对应关系,AP侧接收IMSI - MSISDN对应关系后，根据IMSI - MSISDN对 应关系生成基于IMSI的准入列表。
本步骤中，AP获取的IMSI - MSISDN对应关系中的IMSI信息与AP
侧保存的MSISDN准入列表的MSISDN信息--对应关系，获取IMSI-
MSISDN对应关系中IMSI信息便得到基于IMSI的准入列表，此IMSI准入 列表包含了允许接入AP的所有UE的IMSI。
步骤505， UE建立与AP之间的无线连接后，向AP发送初始^i用户消 息(附着请求)(Init UE Message(Attach Request))。
步骤506, AP向UE发送用户标识请求消息(Identity Request),以获 取该UE的IMSI。
所述用户IMSI为在AP小区中驻留的UE的IMSI。
步骤507, UE向AP返回用户标识响应消息(Identity Request Response )， 该消息包含该UE的IMSI信息。
步骤508, AP根据步骤504中生成的IMSI准入列表和步骤507中获得 的UE的IMSI，判断是否接入用户，如果不允许该UE接入，则向UE发送 附着拒绝消息，拒绝该UE的接入，结束流程；否则将初始化用户消息(附 着接收)(Init UE Message ( Attach Request))经AG转发给CN侧网元， CN侧网元收到Init UE Message(Attach Request)后，向UE端发送直传消息 (附着接收)(Direct Transfer(Attach Accept))，接收该UE的接入。
本实施例中描述的CN侧网元可以为，VLR/MSC或者SGSN。
除上述四种移动通信系统中准入判断的方法外，还可以在AP侧保存 IMSI准入列表，直接实现用户准入。该方法首先在AP中保存IMSI准入列 表，此IMSI准入列表包含了允许接入AP的所有UE的IMSI, AP侧可根据 需要对此IMSI准入列表进行更改，该方法包括以下步骤
首先，UE建立与AP之间的无线连接后，向AP发送初始化用户消息(附 着请求)(Init UE Message(Attach Request)) ; AP向UE发送用户标识请求 消息(Identity Request)，以获取该UE的IMSI; UE向AP返回用户标识响 应消息(Identity Request Response)，该消息包含该UE的IMSI信息。
然后，AP根据IMSI准入列表和获得的UE的IMSI,判断是否接入用
户，如果不允许该UE接入，则向UE发送附着拒绝消息，拒绝该UE的接 入，结束流程；否则将初始化用户消息(附着接收)(Init UE Message ( Attach Request))经AG转发给CN侧网元，CN侧网元收到Init UE Message(Attach Request)后，向UE端返回直传消息(附着接收)(Direct Transfer(Attach Accept))，接收该UE的接入。
本实施例中描述的CN侧网元可以为，VLR/MSC或者SGSN。
参见图6a,为本发明实施例移动通信系统中准入判断的系统的结构示 意图例 一 ，该系统包括网络侧的准入判断模块、网络侧的转换模块和UE;
准入判断模块，用于在MSISDN准入列表中查询是否存在转换模块传送 的UE的MSISDN,若存在，则允许该UE接入，否则，拒绝该UE接入。
转换模块，用于将UE传送的IMSI信息转换为UE的MSISDN。
UE,用于向准入转换模块传送该UE的IMSI信息。
以上描述中，UE为进入移动通信系统的AP小区的UE,准入判断模块 -没置在准入判断网元内，准入判断网元可以为CN侧网元或AP,才艮据准入 判断网元的不同，将图6a所示的系统分为如下三种情况
第一种情况
准入判断模块设置在CN侧网元内，转换模块设置在HLR内。 该系统可以进一步包括AP和AG。
AP内保存有MSISDN准入列表信息，此MSISDN准入列表包含了允许 接入AP的所有UE的MSISDN， AP侧可根据需要对此MSISDN准入列表 进行更改；AP側将MSISDN准入列表更新消息经AG传送给准入判断模块， 该消息中包含MSISDN准入列表信息。
转换模块，用于从准入判断模块获取UE的IMSI信息后，查询出与UE 的IMSI对应的MSISDN信息，向准入判断模块返回插入签约数据消息，该 消息中包含UE的MSISDN信息。
准入判断模块，用于保存从AP传送的MSISDN准入列表信息，向转换 模块发送位置更新消息，该消息中包含UE的IMSI信息；接收转换模块传
送的UE的MSISDN信息，在MSISDN准入列表中查询是否存在该UE的 MSISDN,若存在，则允许该UE接入，否则，拒绝该UE接入。
上述的AG和CN侧网元可以为两个设备，也可以集成在一个合并设备 中。CN侧网元可以为，VLR/MSC或者SGSN。
第二种情况
准入判断模块设置在AP内，转换模块设置在HLR内。MSISDN准入 列表保存在AP内，包含了允许接入AP的所有UE的MSISDN， AP侧可根 据需要对此MSISDN准入列表进行更改。
该系统可以进一 步包括AG和CN侧网元。
AG，用于根据准入判断模块传送的UE的IMSI信息向转换4莫块发送位 置更新请求消息，该消息中包含UE的IMSI信息；接收转换模块返回的包 含IMSI-MSISDN对应关系的插入签约数据消息后，向准入判断模块传送 包含所述IMSI - MSISDN对应关系的MSISDN查询响应消息。
转换模块，用于接收AG传送的包含UE的IMSI信息的位置更新请求 消息，获取IMSI信息后，查询出与UE的IMSI对应的MSISDN信息，也 就是IMSI - MSISDN对应关系，向AG返回插入签约数据消息，该消息中 包含IMSI - MSISDN对应关系。
CN侧网元，用于接收准入判断模块经AG传送的包含接收该UE的信 息的初始化用户消息后，接收该UE的4妻入；否则拒绝该UE接入。准入判 断模块进行判断后经AG向CN侧网元传送初始化用户消息的具体过程，参 见步骤307处的描述。
上述的CN侧网元可以为，VLR/MSC或者SGSN。
准入判断模块可以保存获取的IMSI - MSISDN对应关系。当UE下次 再向准入判断模块发起初始化用户消息时，准入判断模块可以直接判断是否 允许该UE的接入，无需再向AG查询IMSI - MSISDN对应关系。准入判断 模块还可以将不允许接入的UE的IMSI - MSISDN对应关系信息保留在黑名 单中，当这些UE下次再从AP接入时，准入判断模块直接拒绝这些UE,无需
再向AG查询IMSI - MSISDN对应关系。 第三种情况
准入判断模块设置在AP内，转换模块设置在HLR内。MSISDN准入 列表保存在AP内，包含了允许接入AP的所有UE的MSISDN， AP侧可根 据需要对此MSISDN准入列表进行更改。
该系统可以进一步包括AG和CN侧网元。
AG，用于根据准入判断模块传送的UE的IMSI信息，向转换模块发送 Gr接口 MSISDN查询请求消息，该消息中包含UE的IMSI信息；接收转换 模块返回的包含IMSI - MSISDN对应关系的Gr接口 MSISDN查询响应消息 后，向准入判断模块传送包含所述IMSI - MSISDN对应关系的MSISDN查 询响应消息；
转换模块，用于接收AG传送的包含UE的IMSI信息的Gr接口 MSISDN 查询:^會求消息，获取IMSI信息后，查询出与UE的IMSI对应的MSISDN 信息，也就是IMSI _ MSISDN对应关系，向AG返回Gr接口 MSISDN查询 响应消息，该消息中包含IMSI - MSISDN对应关系。
CN侧网元，用于接收准入判断模块经所述AG传送的包含接收该UE 的信息的初始化用户消息后，接收该UE的接入；否则拒绝该UE接入。准 入判断模块进行判断后经AG向CN侧网元传送初始化用户消息的具体过 程，参见步骤408处的描述。
上述的CN侧网元可以为，VLR/MSC或者SGSN。
准入判断才莫块可以保存获取的IMSI - MSISDN对应关系。当UE下次 再向准入判断模块发起初始化用户消息时，准入判断模块可以直接判断是否 允许该UE的接入，无需再向AG查询IMSI - MSISDN对应关系。准入判断 模块还可以将不允许接入的UE的IMSI - MSISDN对应关系信息保留在黑名 单中，当这些UE下次再从AP接入时，准入判断模块直接拒绝这些UE,无需 再向AG查询IMSI _ MSISDN对应关系。
参见图6b,为本发明实施例移动通信系统中准入判断的系统的结构示
意图例二，该系统包括网络侧的准入判断模块和UE;
准入判断模块，用于在IMSI准入列表中查询是否存在UE传送的UE的 IMSI，若存在，则允许该UE接入，否则，拒绝该UE接入。
UE,用于向准入判断模块传送该UE的IMSI信息。
以上描述中，UE为进入移动通信系统的AP小区的UE，准入判断模块 设置在AP内。图6b所示的系统包括了本发明实施例移动通信系统中准入 判断的系统的第四和第五种情况
第四种情况
AP内保存有MSISDN准入列表，此MSISDN准入列表包含了允许接入 AP的所有UE的MSISDN， AP侧可根据需要对此MSISDN准入列表进行更 改。
该系统可以进一步包括AG、 HLR和CN侧网元。
AG,用于接收准入判断沖莫块传送的包括MSISDN准入列表的MSISDN 信息的IMSI查询请求消息后，向HLR发送包含所述MSISDN信息的Gr接 口 IMSI查询请求消息；接收HLR返回的包含IMSI - MSISDN对应关系的 Gr接口 IMSI查询响应消息；向所述准入判断模块发送包含所述IMSI -MSISDN对应关系的IMSI查询响应消息。
HLR，用于接收AG传送的包括MSISDN准入列表的MSISDN信息的 IMSI查询请求消息，获取MSISDN准入列表的MSISDN信息后，查询出与 MSISDN信息对应的IMSI信息，也就是IMSI - MSISDN对应关系，通过 HLR与AG之间的Gr接口向AG返回Gr接口 IMSI查询响应消息，该消息 中包含了 IMSI _ MSISDN对应关系。
CN侧网元，用于接收准入判断模块经AG传送的包含接收该UE的信 息的初始化用户消息后，接收该UE的接入；否则拒绝该UE接入。准入判 断模块进行判断后经AG向CN侧网元传送初始化用户消息的具体过程，参 见步骤508处的描述。
准入判断模块，用于根据AG传送的IMSI _ MSISDN对应关系生成基
于IMSI的准入列表。其具体生成参见步骤504处的描述。 上述的CN侧网元可以为，VLR/MSC或者SGSN。 第五种情况
IMSI准入列表保存在AP内。此IMSI准入列表包含了允许接入AP的 所有UE的IMSI， AP侧可根据需要对此IMSI准入列表进行更改。 该系统还可以进一步包括AG和CN侧网元。
CN侧网元，用于接收准入判断模块经AG传送的包含接收该UE的信 息的初始化用户消息后，接收该UE的接入；否则拒绝该UE接入。
上述的CN侧网元可以为，VLR/MSC或者SGSN。 参见图7，为本发明实施例移动通信系统中准入判断的准入判断装置的结 构示意图，该准入判断装置包括接收子模块和准入判断子模块；
接收子模块，用于接收转换子模块传送的用户终端的MSISDN信息， 传送给准入判断子模块。
准入判断子模块，用于在MSISDN准入列表中查询是否存在接收子模 块传送的用户终端的MSISDN信息，若存在，则允许该用户终端接入，否 则，拒绝该用户终端接入。
准入判断子模块可以设置在CN侧网元内。此时，准入判断装置相当于 图6a相关描述的第一种情况中的准入判断模块。
准入判断子模块也可以设置在接入点内，所述MSISDN准入列表保存 在准入判断子模块内。此时，准入判断装置相当于图6a的第二、三种情况 中的准入判断模块。
下面对移动通信系统中准入判断的准入判断装置的另外两种情况进行 说明，也就是相当于图6b相关描述的第四、五种情况中的准入判断模块， 此时的准入判断装置与图7所述的结构示意图相同，该准入判断装置包括接 收子模块和准入判断子模块。
所述接收子模块，用于接收用户终端传送的IMSI,传送给所述准入判 断子模块。
所述准入判断子模块，用于在IMSI准入列表中查询是否存在所述接收
子模块传送的IMSI,若存在，则允许该用户终端接入，否则，拒绝该用户
终端接入。
准入判断子模块可以设置在接入点内，根据保存的MSISDN准入列表 和由AG传送的IMSI - MSISDN对应关系生成所述IMSI准入列表。此时， 准入判断装置具体相当于图6b相关描述的第四种情况中的准入判断模块。
参见图8，为本发明实施例移动通信系统中准入判断的转换装置的结构 示意图，该转换装置包括接收子模块和转换子模块。
接收子模块，用于接收用户终端传送的IMSI信息，传送给转换子模块。
转换子模块，用于将所述用户终端的IMSI信息转换为用户终端的 MSISDN信息，传送给准入判断子模块进行准入判断。
该转换子模块可以设置在HLR内。此时，转换装置相当于图6a相关描 述的第一、二、三种情况中的转换模块。
上述本发明实施例的方案适用于增加了网络实体AP的UMTS网络、 GPRS网络、CDMA2000网络或TD-SCDMA网络等移动通信系统。
本发明实施例的方案中，准入判断网元从接入移动通信系统的AP小区 的UE获取该UE的IMSI信息，根据准入列表和IMSI信息判断是否允许该 UE接入，这样，使系统拒绝了非授权UE的接入，AP用户不必交纳非授权 UE的误用而导致的通信资费，也实现了运营商对使用AP的UE的限制。
现有技术不仅没有对进入AP小区的UE进行准入判断，在AG接收到 CN侧发送的寻呼消息时，也没有提供用户寻呼方案。以图l为例，在没有 增加AP和AG的UMTS网络中，当MSC寻呼用户时，MSC向RNC下发 寻呼消息，在所述寻呼消息中携带IMSI、位置区标识码(LAI , Location Area Identity)或路由区标识码(RAI, Routing Area Identity)等参数。RNC收到 由MSC下发的寻呼消息后，判断与所述IMSI对应的UE是否有与其它CN 域的信令连接，例如与SGSN建立有信令连接，如果有，则直接在该信令连 接上寻呼用户；否则，RNC在位置区或路由区范围内发送广播消息，寻呼 用户。
参见图9，为本发明实施例移动通信系统中寻呼用户方法的示例性流程 图，该方法包括以下步骤
步骤901 ， AG生成寻呼列表，接收由CN侧传送的包括IMSI信息的寻呼 消息，所述寻呼列表包括AP与允许接入AP的用户终端的IMSI信息之间的对 应关系。
步骤902， AG判断与所述包括在寻呼消息中的IMSI信息对应的UE是 否有同其它CN域的信令连接，如果有，则直接在该信令连接上寻呼用户； 否则，执行步骤903。本步骤可选。
步骤903, AG在所述寻呼列表中查询是否存在所述包括在寻呼消息中的 IMSI信息，若存在，则将寻呼消息传送给与所述包括在寻呼消息中的IMSI信 息对应的AP，进行用户寻呼；否则，拒绝将寻呼消息传送给与所述包括在寻呼 消息中的IMSI信息对应的AP,进行用户寻呼，结束流程。
本步骤中，AP进行用户寻呼时，在其覆盖范围内广播寻呼消息，对与所述 包括在寻呼消息中的IMSI信息的用户进行寻呼。
参见图10,为步骤901中生成寻呼列表的具体实施方式
一的流程图，包括 以下步骤
步骤1001 ，进入AP小区的UE建立与AP之间的无线连接后，向AP发送 无线资源控制(RRC， Radio Resource Control )初始化直传消息(RRC Initial Direct Transfer),该消息中包含位置区更新请求(LA/RA Update Request )。
步骤1002， AP向UE发送RRC直传消息(RRC Direct Transfer),该消息 中包含标识请求(Identity Request )。
步骤1003， UE接收由AP传送的RRC Direct Transfer后，向AP发送RRC 直传响应消息(RRC Direct Response Transfer),该消息中包含标识响应(Identity Response),该标识响应中包含UE的IMSI信息。
步骤1001 ~ 1003为AP获得UE的IMSI信息过程。
步骤1004， AP判断是否允许该UE的接入，如果允许，则向AG发送
IMSI关联更新消息(IMSI Association Update)，该消息中包含该UE的IMSI信息。
本步骤中所述AP判断是否允许该UE的接入的方法，参见前述本发明 实施例提供的移动通信系统中准入判断方案的相应描述。
步骤1005 ， AG接收AP传送的IMSI信息，保存IMSI信息与传送该IMSI 信息的AP之间的对应关系，也就是生成寻呼列表。
参见图11,为步骤901中生成寻呼列表的具体实施方式
二的流程图， 本实施例在AP开机以及AP保存的IMSI准入列表发生变化时，执行以下步 骤
步骤1101， AP向AG发送IMSI关联更新指示消息(IMSI Association Update Indication),该消息中包含AP保存的最新的IMSI准入列表。
步骤1102, AG保存接收到的IMSI准入列表中的IMSI信息与发送该 IMSI准入列表的AP之间的对应关系，也就是，生成新的寻呼列表；向AP 返回IMSI关联更新确认消息(IMSI Association Update ACK),表示AG已 才妄收到更新的IMSI准入列表。
AG检测到AP关机时，删除寻呼列表。
本发明实施例还提供了生成寻呼列表的具体实施方式
三，包括在AP 保存的IMSI准入列表发生变化时，执行步骤1101 ~ 1102，在AP关机时， AG不删除IMSI准入列表。
生成寻呼列表的具体实施方法二和三中，步骤1101 ~ 1102可以替换为
AG核查到AP保存的IMSI准入列表发生变化时，向AP发送关联同步 请求消息(IMSI Association Sync Request);
AP接收到IMSI Association Sync Request后，将AP更新的IMSI准入列 表传送给AG;
AG保存接收到的IMSI准入列表中的IMSI信息与发送该IMSI准入列 表的AP之间的对应关系，也就是生成新的寻呼列表；向AP返回IMSI关联 更新确认消息(IMSI Association Update ACK),表示AG已接收到更新的
IMSI准入列表。
本发明实施例移动通信系统中寻呼用户的方法还可以为AP通过AG 接入移动通信系统时，将AP的位置区或路由区信息传送给AG; AG接收由 CN侧传送的包括IMSI信息的寻呼消息，所述寻呼消息还包括与所述IMSI 信息对应的位置区或路由区信息，也就是需要寻呼的UE的位置区或路由区 信息；AG将寻呼消息传送给与包括在寻呼消息中的位置区或路由区信息对 应的AP，进行用户寻呼。需要说明的是，同一条位置区或路由区信息可能 对应多个AP。
本发明实施例中，在进行准入判断之前或寻呼用户之前，可以包括对 AP鉴权的过程，下面对本发明实施例移动通信系统中对AP鉴权方法进行 说明。
参见图12,为本发明实施例移动通信系统中对AP鉴权的方法的流程图 例一，该方法包括以下步骤
步骤1201, AP向AG发送AP鉴权初始化请求消息(AP Authentication Initialization Request),请求AG对该AP进行鉴权，该消息中包含UMTS 用户身份标识模块(USIM, UMTS Subscriber Identity Module)卡号。
所述USIM卡号包含了 AP标识， 一个AP标识对应一个AP。
步骤1202, AG向HLR发送鉴冲又数据请求消息(Authentication Info Request),请求乂人HLR获取鉴权集，所述Authentication Info Request包含 AP标识。
所述鉴权集可以为五元鉴权组，也可以为三元鉴权组。五元鉴权组包括 的参数为随机数(RAND ， Random Number)、鉴权标记(AUTN ， Authentication Token)、期望响应(XRES, Expectation Response)、加密 密钥(CK, Ciphering Key)和完整性密钥(IK, Integrity Key)，三元鉴权 组包括的参数为RAND、加密密钥(KC, Ciphering Key)和XRES。 AG与 HLR之间传输消息的接口可采用3GPP 29.002协议中的标准接口 。鉴权集每 组参数对应一个AP标识。
步骤1203， AG接收由HLR返回的鉴权数据响应消息(Authentication Info response)，该消息中包含鉴权集响应，该响应中可能包括五元鉴权组， 也可能包括三元鉴权组，还可能包括获取鉴权集失败的消息；若该鉴权集响 应中包括五元鉴权组或三元鉴权组，则执行步骤1204，若该鉴权集响应中 包含获取鉴权集失败的消息，则结束流程。
步骤1204， AG向AP发送AP鉴权请求消息(AP Authentication Request )。 若步骤1203中的鉴权集包括五元鉴权组，则所述AP鉴权请求消息中包含 RAND和AUTN参数，若步骤1203中的鉴权集包括三元鉴权组，则所述 AP鉴权请求消息中包含RAND参数。
步骤1205, AP接收AP Authentication Request后，向AG发送AP鉴权 响应消息(AP Authentication Response ),该消息中包含了鉴权响应(RES， Response)参数。
本步骤还可以包括若AP向AG发送AP Authentication Response超时， 则AG向AP发送AP鉴4又初始化确iU肖息(AP Authentication Initialization Acknowledge),该消息中携带原因值表明鉴权失败，结束流程。
步骤1206, AG比较接收到的由AP传送的RES参数与步骤1202中从 HLR获取的鉴权集中包含的XRES参数是否相同，若相同，则鉴权通过， 向AP发送AP Authentication Initialization Acknowledge,该消息中携带原因 值表明鉴权成功；若不相同，则鉴权失败，向AP发送AP Authentication Initialization Acknowledge,该消息中携带原因值表明鉴权失败，该AP为非 法AP,并向HLR发送鉴权失败净良告消息(Authentication Failure Report)。
上述为通过AP的USIM卡实现AG对AP的鉴权的流程，通过AP的 USIM卡还可以实现AP对AG的鉴权，其流程类似，这里不再赘述。
AP也可是采用用户身份标识模块(SIM， Subscriber Identity Module)实 现AG对AP的鉴权，此时，鉴权流程与图12类似，不同的是步骤1202、 1203和1204中的涉及的鉴权集只能是三元鉴权组。SIM卡的优点是价格比 USIM卡便宜，缺点是SIM卡不能支持AP对AG的鉴权。
参见图13,为本发明实施例移动通信系统中对AP鉴权的方法的流程图 例二，本实施例中新增网元，AP归属寄存器(AHR， AP Home register)， 该网元中保存有允许通过鉴权的AP的用户名和密码，该方法包括以下步骤
步骤1301, AP向AG发送AP鉴权初始化请求消息(AP Authentication Initialization Request)，请求AG对该AP进行鉴权，该消息中包含AP标识。
所述AP标识对应该AP的用户名和密码。
步骤1302， AG向AHR发送鉴权数据请求消息(Authentication data request)，该消息中包含AP标识，请求AHR对该AP进行鉴权。
步骤1303， AHR接收包含AP标识的Authentication data request后，查 询出与该AP标识对应的用户名和密码，向AG返回鉴权数据响应消息 (Authentication data response )，该消息中包含查询出的AP的用户名和密 码。
步骤1304， AG向AP发送AP鉴权请求消息(AP Authentication Request), 请求AP返回AP的用户名和密码。
步骤1305, AP向AG发送AP鉴权响应消息(AP Authentication Response)，该消息中包含AP的用户名和密码。
步骤1306， AG比较接收到的由AP传送的AP的用户名和密码，与步 骤1303中从AHR获取的AP的用户名和密码是否相同，若相同，则鉴权通
原因值表明鉴权成功；若不相同，则鉴权失败，向AP发送AP Authentication Initialization Acknowledge,该消息中携带原因值表明鉴权失败，该AP为非 法AP。
图13所述的流程中，若AG网元中也可以保存允许通过鉴权的AP的用 户名和密码，则步骤1301之后，该方法可以包括AG判断AG内是否保存 有与AP传送的AP用户标识对应的AP用户名和密码，若是，则执行步骤 1304,相应地，步骤1306为AG比较接收到的由AP传送的AP用户名和密 码，与AG保存的该AP的用户名和密码；否则，执行步骤1302。
若移动通信系统中提供了图12所示和图13所示的两种对AP鉴权的方 法，则步骤1201或步骤1301中AP向AG发送的AP鉴权初始化请求消息 中还包括请求鉴权类型，也就是USIM筌权或口令鉴权，所述口令鉴权为图 13所示的鉴权方法。并且，步骤1201或步骤1301之后，包括AG判断 AG支持的鉴权类型与AP发送的鉴权初始化请求消息包含的请求鉴权类型 是否一致，若一致，则执行步骤1202或1302;若不一致，则向AP发送AP 鉴详又初始化确认消息(AP Authentication Initialization Acknowledge ),该消 息中携带原因表明鉴权类型不支持。
本发明实施例还提供了通过数字证书实现对AP鉴权的方法，包括AP 获得由数字证书发放机构发放的数字证书；AP通过所述数字证书与AG中的数 字证书进行鉴权。
由CN侧的证书发放机构为每个合法的AP发放一张数字证书，数字证 书发放结构的示意图参见图14。图中，数字证书认证中心(CA, Certification Authority)向AHR、安全网关、AP和增强管理系统(EMS, Enhancement Management System )发送如下数字证书
-CARootCert: CA的自身根证书；
- AHRCert:CA发送给AHR的数字证书；
-EMSCert:CA发送给EMS数字证书；
-SGWCert:CA发送给安全网关的用于Internet协议安全性(IPSec, Internet protocol security)的Internet密钥交换(IKE, Internet Key Exchange ) 过程的数字证书；
-UMTSAPCert: CA发送给AP的数字证书。 数字证书的工作原理见图15，外部实体(EE, external entity),通过注 册鉴权(RA， Registration Authority)申请数字证书，经过审核后，CA进行 签发证书，并将该证书发布至在线证书状态协议(OCSP， Online Certificate State Protocol)和轻量级目录访问十办i义(LDAP, Lightweight Directory Access Protocol)。
接收到由CA发放的数字证书的设备之间可以通过数字证书进行鉴权。
参与鉴权的双方设备的数字证书的EE分别验证对方数字证书的合法性，再 验证数字证书的安全性，具体为EE通过私钥进行签名，对方以该EE证书 中的公钥进行-睑证，验证通过后，则认为该EE合法，也就是与该EE对应 的设备合法。
对移动通信系统中的包括AP在内的设备发放数字证书，就可以通过数 字证书实现AP与其它接收到数字证书的设备之间的鉴权。
参见图16，为本发明实施例移动通信系统中寻呼用户的系统结构示意 图，该系统包4封殳置在CN侧的寻呼消息下发模块、设置在AG内的寻呼判断 模块和寻呼消息转发模块，设置在AP内的IMSI信息发送模块和寻呼模块。
所述寻呼消息下发模块，用于向寻呼判断模块发送包括IMSI信息的寻呼消息。
所述寻呼判断模块，用于在寻呼列表中查询是否存在所述寻呼消息中的 IMSI信息，所述寻呼列表包括AP与允许接入AP的用户终端的IMSI信息之间 的对应关系，若是，则将寻呼消息传送给寻呼消息转发模块，否则，不向寻呼 消息转发模块传送寻呼消息。寻呼判断模块中包括寻呼列表生成子模块，用于 生成所述寻呼列表。
寻呼消息转发模块，用于将寻呼消息发送给与包括在寻呼消息中的IMSI 信息对应的AP进行用户寻呼。
所述IMSI信息发送模块，用于将允许接入AP的用户终端的IMSI信息发 送给寻呼判断模块，用以生成寻呼准入列表。IMSI信息发送模块可以替换为 IMSI准入列M送模块，用于将IMSI准入列表发送给AG，用以生成寻呼准 入列表。
所述寻呼模块，用于接收寻呼消息转发模块发送的寻呼消息，对与所述寻 呼消息包含的IMSI信息对应的用户终端进行寻呼。
AG内还可以设置鉴权模块，用于对AP进行鉴权，若鉴权通过，则向寻呼 消息判断模块发送启动指令，启动寻呼消息判断模块。相应地，AP内可以设置
接受鉴权模块，用于接受鉴权模块的鉴权。
本发明实施例提供的移动通信系统中准入判断和寻呼用户的方案，拒绝
了非授权UE的接入，防止了对非授权UE的寻呼，这样，AP用户不必因交纳 非授权用户终端的误用而导致的通信资费，也实现了运营商对使用AP的用户
终端的限制。
以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了 进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已， 并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任 何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1、一种移动通信系统中准入判断的方法，其特征在于，该方法包括获取接入移动通信系统的接入点的用户终端的用户标识信息；在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。
2、 如权利要求l所述的方法，其特征在于，所述用户标识信息准入列表为 移动台国际综合业务数字网络号码MSISDN准入列表；所述用户标识信息为 MSISDN信息。
3、 如权利要求2所述的方法，其特征在于，所述MSISDN准入列表的获 取方法为4妻入点将MSISDN准入列表更新消息经接入网关AG传送给核心网CN侧 网元，该消息中包含接入点保存的MSISDN准入列表信息，CN侧网元保存接 收到的MSISDN准入列表；所述MSISDN信息的获取方法为CN侧网元向归属位置寄存器HLR发送位置更新消息，该消息中包含用户 终端的国际移动台用户识别号IMSI信息；HLR接收位置更新消息，获取用户终端的IMSI信息后，查询出与用户终 端的IMSI对应的MSISDN信息，向CN侧网元返回插入签约数据消息，该消 息中包含用户终端的MSISDN信息。
4、 如权利要求2所述的方法，其特征在于，所述MSISDN准入列表保存 在接入点内；所述MSISDN信息的获取方法为接入点向AG发送MSISDN查询请求消息，该消息包含用户终端的IMSI 信息；AG才艮据接收到的用户终端的IMSI信息，获取IMSI - MSISDN对应关系； AG向接入点返回包含所述IMSI - MSISDN对应关系的MSISDN查询响应 消息；接入点根据接收到的IMSI - MSISDN对应关系获得与用户终端的IMSI对 应的MSISDN信息。
5、 如权利要求4所述的方法，其特征在于，所述获取IMSI - MSISDN对应关系的方法为AG向HLR发送位置更新请求消息，该消息中包含用户终端的IMSI信息； HLR获取IMSI信息后，查询出IMSI - MSISDN对应关系，向AG返回插 入签约数据消息，该消息中包含IMSI - MSISDN对应关系。
6、 如权利要求4所述的方法，其特征在于，所述获取IMSI _ MSISDN对 应关系的方法为AG根据接收到的用户终端的IMSI信息，向HLR发送Gr接口 MSISDN查 询请求消息，该消息中包含用户终端的IMSI信息；HLR接收AG发送的Gr接口 MSISDN查询请求消息后，查询出IMSI -MSISDN对应关系，向AG返回包含IMSI-MSISDN对应关系的Gr接口 MSISDN查询响应消息。
7、 如权利要求5或6所述的方法，其特征在于，所述AG向接入点返回包 含所述IMSI - MSISDN对应关系的MSISDN查询响应消息之后，该方法进一 步包括接入点保存接收到的IMSI - MSISDN对应关系；或/和接入点根据接收到的 IMSI - MSISDN对应关系将不允许接入用户终端的IMSI - MSISDN对应关系 信息保留在设置的黑名单中。
8、 如权利要求l所述的方法，其特征在于，所述用户标识信息准入列表为 IMSI准入列表；所述用户标识信息为IMSI信息。
9、 如权利要求8所述的方法，其特征在于，所述IMSI准入列表的获取方 法为接入点向AG发送IMSI查询请求消息，该消息包括接入点内保存的 MSISDN准入列表的MSISDN信息；AG根据接收到的MSISDN信息，向HLR发送Gr接口 IMSI查询请求消息， 该消息中包含MSISDN准入列表的MSISDN信息；HLR接收Gr接口 IMSI查询请求消息后，查询出IMSI - MSISDN对应关 系，向AG返回包含IMSI - MSISDN对应关系的Gr接口 IMSI查询响应消息；AG向接入点发送包含IMSI - MSISDN对应关系的IMSI查询响应消息， 接入点根据IMSI - MSISDN对应关系生成IMSI准入列表。
10、 一种移动通信系统中准入判断的系统，其特征在于，该系统包括网络 侧的准入判断模块、网络侧的转换模块和用户终端；所述准入判断模块，用于在MSISDN准入列表中查询是否存在转换模块传 送的用户终端的MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝 该用户终端接入；所述转换模块，用于将用户终端传送的IMSI信息转换为用户终端的 MSISDN信息；所述用户终端，用于向所述转换模块传送该用户终端的IMSI信息。
11、 如权利要求10所述的系统，其特征在于，所述准入判断模块设置在 CN侧网元内；所述转换才莫块设置在HLR内；该系统进一 步包括二接入点和AG ;所述接入点，用于保存MSISDN准入列表，将MSISDN准入列表更新消息 经所述AG传送给准入判断模块，该消息中包含MSISDN准入列表信息；所述转换模块，用于获取用户终端的IMSI信息后，查询出与用户终端的 IMSI对应的MSISDN信息，向准入判断模块返回插入签约数据消息，该消息 中包含用户终端的MSISDN信息；所述准入判断模块，用于保存接收到的MSISDN准入列表，向转换模块发 送位置更新消息，该消息中包含用户终端的IMSI信息；接收转换模块传送的 用户终端的MSISDN信息。
12、 如权利要求11所述的系统，其特征在于，所述AG和CN侧网元集成 在一个合并设备中。
13、 如权利要求IO所述的系统，其特征在于，所述准入判断模块设置在接 入点内；所述MSISDN准入列表保存在所述准入判断模块内；所述转换模块设 置在HLR内；该系统进一步包括AG和CN侧网元；所述AG,用于根据准入判断模块传送的用户终端的IMSI信息向转换模块 发送位置更新请求消息，该消息中包含用户终端的IMSI信息；接收转换模块 返回的包含IMSI - MSISDN对应关系的插入签约数据消息，向准入判断模块返 回包含所述IMSI - MSISDN对应关系的MSISDN查询响应消息；所述转换模块，用于向AG传送包含IMSI - MSISDN对应关系的插入签约 数据消息；所述CN侧网元，用于接收准入判断模块经AG传送的包含接收该用户终 端的信息的初始化用户消息后，接收该用户终端的接入；否则拒绝该用户终端 接入。
14、 如权利要求IO所述的系统，其特征在于，所述准入判断才莫块设置在接 入点内；所述MSISDN准入列表保存在所述准入判断模块内；所述转换模块设 置在HLR内；该系统进一步包括AG和CN侧网元；所述AG,用于根据准入判断模块传送的用户终端的IMSI信息向转换模块 发送Gr接口 MSISDN查询请求消息，该消息中包含用户终端的IMSI信息；接 收转换模块返回的包含IMSI - MSISDN对应关系的MSISDN查询响应消息， 向所述准入判断模块返回包含所述IMSI - MSISDN对应关系的MSISDN查询 响应消息；所述转换模块，用于向所述AG传送包含IMSI - MSISDN对应关系的Gr 接口 MSISDN查询响应消息；所述CN侧网元，用于接收所述准入判断模块经所述AG传送的包含接收 该用户终端的信息的初始化用户消息后，接收该用户终端的接入；否则拒绝该 用户终端接入。
15、 一种移动通信系统中准入判断的系统，其特征在于，该系统包括网络侧的准入判断模块和用户终端；所述准入判断模块，用于在IMSI准入列表中查询是否存在用户终端传送的 IMSI,若存在，则允许该用户终端接入，否则，拒绝该用户终端4妄入；所述用户终端，用于向所述准入判断模块传送该用户终端的IMSI信息。
16、 如权利要求15所述的系统，其特征在于，所述准入判断才莫块设置在接 入点内；所述准入判断模块根据保存的MSISDN准入列表和由AG传送的IMSI-MSISDN对应关系生成所述IMSI准入列表； 该系统进一 步包括AG、 HLR和CN侧网元；所述AG,用于接收所述准入判断模块传送的包含MSISDN准入列表的 MSISDN信息的IMSI查询请求消息后，向HLR发送包含MSISDN信息的Gr 接口 IMSI查询请求消息；接收HLR返回的包含IMSI - MSISDN对应关系Gr 接口 IMSI查询响应消息；向准入判断模块发送包含所述IMSI - MSISDN对应 关系的IMSI查询响应消息；所述HLR，用于向所述AG传送包含IMSI - MSISDN对应关系的Gr接口 IMSI查询响应消息；所述CN侧网元，用于接收准入判断模块经AG传送的包含4妄收该用户终 端的信息的初始化用户消息后，接收该用户终端的接入；否则拒绝该用户终端 接入。
17、 一种移动通信系统中准入判断的准入判断装置，其特征在于，该准入 判断装置包括接收子模块和准入判断子模块；所述接收子模块，用于接收转换子模块传送的用户终端的MSISDN信息， 传送给准入判断子模块；所述准入判断子模块，用于在MSISDN准入列表中查询是否存在所述用户 终端的MSISDN信息，若存在，则允许该用户终端接入，否则，拒绝该用户终 端接入。
18、 如权利要求n所述的准入判断装置，其特征在于，所述准入判断子模块设置在CN侧网元内。
19、 如权利要求17所述的准入判断装置，其特征在于，所述准入判断子模 块设置在接入点内；所述MSISDN准入列表保存在所述准入判断子模块内。
20、 一种移动通信系统中准入判断的准入判断装置，其特征在于，该准入 判断装置包括接收子模块和准入判断子模块；所述接收子模块，用于接收用户终端传送的IMSI,传送给所述准入判断子 模块；所述准入判断子模块，用于在IMSI准入列表中查询是否存在所述接收子模 块传送的IMSI,若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。
21、 如权利要求20所述的准入判断装置，其特征在于，所述准入判断子模 块设置在接入点内；所述准入判断子模块根据保存的MSISDN准入列表和由 AG传送的IMSI - MSISDN对应关系生成所述IMSI准入列表。
22、 一种移动通信系统中准入判断的转换装置，其特征在于，该转换装置 包括接收子模块和转换子模块；所述接收子模块，用于接收用户终端传送的IMSI信息，传送给所述转换子 模块；所述转换子模块，用于将所述用户终端的IMSI信息转换为用户终端的 MSISDN信息，传送给准入判断子模块进行准入判断。
23、 如权利要求22所述的转换装置，其特征在于，所述转换子模块设置在 HLR内。
24、 一种移动通信系统中寻呼用户的方法，其特征在于，该方法包括 生成寻呼列表，所述寻呼列表包括AP与允许接入AP的用户终端的IMSI信息之间的对应关系，接收由CN侧传送的包括IMSI信息的寻呼消息；在寻呼列表中查询是否存在所述寻呼消息中的IMSI信息，若是，则将寻 呼消息传送给与所述寻呼消息中的IMSI信息对应的AP进行用户寻呼，否则， 拒绝对与所述寻呼消息中的IMSI信息对应的用户进行寻呼。
25、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表的方法为 AP向AG传送允许接入的UE的MSI信息；AG根据AP与所述允许接入的IMSI信息之间的对应关系，生成所述寻呼 列表。
26、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表的方法为 AP将IMSI准入列表传送给AG;AG根据AP与所述IMSI准入列表中的IMSI信息之间的对应关系，生成 所述寻呼列表。
27、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表的方法为 AG检查到AP的IMSI准入列表发生变化时，从AP获得更新后的IMSI准入列表；AG冲艮据AP与所述IMSI准入列表中的IMSI信息之间的对应关系，生成 所述寻呼列表。
28、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表之前，该 方法包括AG接收由AP传送的AP标识，从HLR获得与所述AP标识对应的鉴权集， 从AP生成与所述AP标识对应的鉴权响应参数；AG比较所述鉴权集中的鉴权参数与所述鉴权响应参数是否一致，若一致， 则鉴权通过，执行所述AG生成寻呼列表的步骤，否则，不执行所述生成寻呼 列表的步骤。
29、 如权利要求28所述的方法，其特征在于，所述鉴权集为五元鉴权组或 三元鉴权组。
30、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表之前，该 方法包括AG接收由AP传送的用户名和密码，查询与AG中保存的允许通过鉴权的 AP的用户名和密码是否一致，若一致，则鉴权通过，执行所述AG生成寻呼列 表的步骤，否则，不执行所述生成寻呼列表的步骤。
31、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表之前，该方法包括AG接收由AP发送的AP标识和AP的用户名和密码，根据所述AP标识AG比较由AP发送的所述AP的用户名和密码，与从AHR获得的所述AP 的用户名和密码是否一致，若一致，则鉴权通过，执行所述AG生成寻呼列表 的步骤，否则，不执行所述生成寻呼列表的步骤。
32、 如权利要求24所述的方法，其特征在于，所述生成寻呼列表之前，该 方法包括AP获得由数字证书发放机构发放的数字证书；AP通过所述数字证书与AG中的数字证书进行鉴权后，执行所述生成寻呼 列表的步骤。
33、 一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括寻呼 判断模块和寻呼消息转发模块；所述寻呼判断模块，用于接收CN侧发送的包括IMSI信息的寻呼消息，在 寻呼列表中查询是否存在所述IMSI信息，所述寻呼列表包括AP与允许^接入 AP的IMSI信息之间的对应关系，若是，则将寻呼消息传送给寻呼消息转发模 块，否则，不向寻呼消息转发模块传送寻呼消息；所述寻呼消息转发模块，用于将寻呼消息发送给与所述包括在寻呼消息中 的IMSI信息对应的AP进行用户寻呼。
34、 如权利要求33所述的装置，其特征在于，所述寻呼判断模块中包括寻 呼列表生成子模块，用于生成所述寻呼列表。
35、 如权利要求33或34所述的装置，其特征在于，该装置还包括鉴权模 块，用于对AP进行鉴权，若鉴权通过，则向寻呼消息判断模块发送启动指令， 启动寻呼消息判断模块。
36、 一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括IMSI 信息发送模块和寻呼模块；所述IMSI信息发送模块，用于将允许接入AP的用户终端的IMSI信息发 送给AG,用以生成寻呼准入列表；所述寻呼模块，用于接收AG发送的寻呼消息，对与所述寻呼消息包含的 IMSI信息对应的用户终端进^f亍寻呼。
37、 如权利要求36所述的装置，其特征在于，该装置包括接受鉴权模块， 用于接受AG的鉴权。
38、 一种移动通信系统中寻呼用户的装置，其特征在于，该装置包括IMSI 准入列表发送模块和寻呼模块；所述IMSI准入列M送模块，用于将IMSI准入列表发送给AG,用以生 成寻呼准入列表；所述寻呼沖莫块，用于接收AG发送的寻呼消息，对与所述寻呼消息包含的 IMSI信息对应的用户终端进行寻呼。
39、 如权利要求38所述的装置，其特征在于，该装置包括接受鉴权模块， 用于接受AG的鉴权。
全文摘要
本发明实施例公开了一种移动通信系统中准入判断的方法，该方法包括获取接入移动通信系统的接入点的用户终端的用户标识信息；在用户标识信息准入列表中查询是否存在获取的用户标识信息，若存在，则允许该用户终端接入，否则，拒绝该用户终端接入。本发明实施例还公开了移动通信系统中准入判断的系统、准入判断装置及转换装置，以及移动通信系统中寻呼用户的方法、系统及装置。本发明实施例的技术方案拒绝了非授权用户终端的接入，防止了对非授权用户终端的寻呼，这样，接入点用户不必交纳因非授权用户终端的误用而导致的通信资费，也实现了运营商对使用接入点的用户终端的限制。
文档编号H04W68/00GK101111075SQ200710128478
公开日2008年1月23日 申请日期2007年7月26日 优先权日2007年4月16日
发明者胡国杰, 波 陈, 陈先国 申请人:华为技术有限公司