1.分離機制移動性管理系統實現接入認證的密鑰分發方法，其特征在于，該方法包括：

家鄉域初始認證：MN初始接入家鄉域的AGW1，AGW1發送廣播的EAP-Initiate/Re-auth-Start（EAP初始/重認證開始消息）消息通告所在域名，MN根據配置文件判斷此時為家鄉域的初始過程，執行相應的操作，密鑰根據相應場景逐級派生；

家鄉域重認證：MN從AGW1切換到AGW2時，AGW2發送EAP-Initiate/Re-auth-Start消息通告所在域名，根據配置文件判斷已在該域認證過，則MN根據綁定注冊列表判斷執行家鄉域重認證過程；

外地域初始認證：當MN從家鄉域切換到外地域的AGW3時，AGW3發送EAP-Initiate/Re-auth-Start消息通告所在域名，MN根據該消息對照配置文件和綁定注冊列表判斷執行外地域初始認證過程；

外地域重認證：MN從AGW3切換到AGW4，AGW4發送EAP-Initiate/Re-auth-Start消息通告所在域名，根據配置文件判斷已在該域認證過，則MN根據綁定注冊列表判斷執行外地域重認證過程。

2.根據權利要求1所述的分離機制移動性管理系統實現接入認證的密鑰分發方法，其特征在于，所述家鄉域初始認證具體包括：

步驟1：MN接入家鄉域的AGW1時，發送PANA-Client-Initiation(PCI，PANA客戶端初始消息)消息，此消息用來探測網絡中可以為其提供PANA認證的實體；

步驟2：AGW1收到PCI消息后，若支持PANA協議并提供接入認證服務則發送PANA-Auth-Request(S)（PAR(S)，PANA認證請求開始消息）消息，否則將PCI消息丟棄；

步驟3：MN收到PAR(S)消息，若繼續與AGW1執行PANA認證，則發送PANA-Auth-Answer(S)（PAA(S)，PANA認證應答開始消息）以回復PAR(S)消息；

步驟4：AGW1收到PAA(S)消息表明可以繼續PANA認證過程，發送廣播消息EAP-Initiate/Re-auth-Start通告所在域的域名以提示MN執行該域初始認證或是重認證過程；MN收到該消息，對照自己的配置文件，將消息通告的域名與自己綁定的域名對比，查找是否存有HAAA域的注冊列表，若沒有則創建HAAA域注冊列表，同時刪除表中其它域的注冊信息，初始Registration?flag標識位置‘0’，表明是在HAAA域內的初始認證，MN無需對EAP-Initiate/Re-auth-Start消息作任何回復；待生存時間到期之后，AGW1在生存時間內沒有收到MN的回復執行步驟5；

步驟5：EAP-Initiate/Re-auth-Start消息在生存時間內沒有收到MN的回復，表明執行家鄉域初始認證過程，AGW1發送EAP標識符請求消息EAP-Request/Identity消息請求MN的標識符，該消息承載在PANA協議中；

步驟6：MN將標識符通過EAP標識符應答消息EAP-Response/Identity消息傳給AGW1，該消息承載在PANA協議中，此時將Registration?flag標志位置‘1’；

步驟7：AGW1收到EAP-Response/Identity消息后將所需的MN身份標識符提取出來承載在Diameter協議中通過AAA(EAP-Response/Identity)消息傳給HAAA；

步驟8：HAAA收到MN的標識符后開始完整的EAP-PSK初始認證過程，此時由HAAA端的PSK密鑰派生AK和KDK密鑰，HAAA發送第一條認證消息DEA+EAP_payload(req_psk#1)AVP（Diameter?EAP應答消息），該消息包含如下參數：Flags、RAND_S、ID_S，Flags用來標識消息的序列號，RAND_S是HAAA端生成的隨機數，ID_S是其HAAA的身份標識；

步驟9：AGW1收到HAAA發來的Flags值為1的認證消息，不對該消息做任何改動，將其承載在PANA協議中傳給MN；

步驟10：MN收到AGW1發來的EAP/req_psk#1消息（EAP請求消息），同時由PSK派生AK和KDK密鑰，通過獲得的HAAA端的RAND_S和ID_S并已知自己的RAND_P、ID_P和AK經過AES-128算法計算得到MAC_P，MN發送Flags為2的認證消息EAP/res_psk#2（EAP應答消息），該消息包含如下參數：Flags，RAND_S，RAND_P，MAC_P和ID_P；

步驟11：HAAA接收到通過AGW1傳來的承載在Diameter協議上的DER+EAP_payload(req-psk#2)AVP消息（Diameter?EAP請求消息），對消息內容進行解析，獲取RAND_P、ID_P和MAC_P值；

步驟12：HAAA在得知RAND_P和ID_P后，根據自己擁有的AK和RAND_S、ID_S經過與MN端生成MAC_P同樣的過程重新計算MAC_P，若該值與MN端計算的值相等，則表明MN身份合法，此時由KDK派生TEK、MSK和EMSK，并將此認證結果result?indication?flag?R作為PCHANNEL_S_0的一個屬性連同HAAA端計算的MAC_S通過Flags為3的DEA+EAP_payload(req-psk#3)消息傳給AGW1；

步驟13：MN收到由AGW1解析的承載在PANA上的EAP/req-psk#3消息并獲得MAC_S，此時由KDK派生TEK、MSK和EMSK；

步驟14：由MN端具有的關于HAAA的信息重新計算MAC_S，若與HAAA端計算的相同，則認證HAAA身份合法，將認證結果作為PCHANNEL_P_1的一個屬性通過Flags為4的EAP/req_psk#4消息傳給HAAA，該消息包含如下參數：Flags，RAND_S，PCHANNEL_P_1，MN端由PCHANNEL_S_0得知自己通過了HAAA的認證，由MSK派生TSK密鑰，用于保護后續的數據交互；

步驟15：HAAA收到DER+EAP_payload(req-psk#4)AVP消息，對數據進行解析得到PCHANNEL_P_1，此時MN和HAAA均已相互認證成功；

步驟16：HAAA將生成的MSK通過EAP?success消息承載在Diameter協議上傳給AGW1端，AGW1解析該消息提取并保留MSK，由MSK派生TSK用于保護后續與MN端交互的數據流，將EAP?success承載在PANA協議上傳給MN；

步驟17：MN收到攜帶EAP?success屬性值的PANA-Auth-Request(C)消息（PAR(C)，PANA認證請求結束消息），至此MN和HAAA間的雙向認證結束，MN和AGW1通過共享的TSK保護后續數據流；

步驟18：AGW1收到MN回復的PANA-Auth-Answer(C)（PAA(C),PANA認證應答結束消息）表明PANA認證過程結束。