当会话异常终止时实现将MS去注册的方法

摘要

本发明涉及一种当会话异常终止时实现将MS去注册的方法，其核心是：当会话异常终止时，网络侧的实体向连接服务网络发起去注册过程并通过与连接服务网络间信息的交互实现将MS去注册。通过本发明解决了在CMIP方式下，当MS异常掉网时，必须等到MIP的生命周期减少到0的时候，由HA发起MIP的去注册过程的问题，进而能够作到比较精确的计费。

说明书

技术领域

本发明涉及通信领域，尤其涉及一种当会话异常终止时实现将MS去注册的方法。

背景技术

移动IP(Mobile IP)是一个为移动终端传送信息的解决方案，它是一个由因特网工程组制定的因特网协议标准。移动IP与MS(Mobile Station；移动终端)通信时所采用的物理媒介无关，它允许MS在不中断通信和不重新启动应用程序的情况下改变地理位置。移动IP具有可扩展性、可靠性和安全性，并使MS在切换链路时仍可保持正在进行的通信。移动IP提供了一种IP路由机制，使MS可以用一个永久的IP地址连接到通信链路上。

随着因特网业务的蓬勃发展和无线网络的广泛应用，用户的移动性需求日趋强烈。为了支持移动IP，在定义宽带无线接入网络架构体系和需求时，提出了两种不同的移动IP实现方式：CMIP(CMIP Client Mobile InternetProtocol；客户端移动因特网协议)和PMIP(PMIP Proxy Mobile InternetProtocol；代理移动因特网协议)。

移动IP的CMIP实现方式和传统的移动IP一样，在MS上实现了移动节点的所有功能，移动IP过程中的注册/去注册过程都是由MS上的MIP Client(移动IP客户端)发起。对MS来说，当移动到一个外地链路上，并收到新的外地代理发送的代理广播消息时，就会根据消息中的地址发起MIP(Mobile InternetProtocol；移动因特网协议)注册过程。在这种方式下，移动IP对终端来说不是透明的，终端需要实现移动IP中移动节点的所有功能。

移动IP的PMIP实现方式将MIP Client(移动IP客户端)从MS中分离出来，在ASN内的一个PMN(Proxy Mobile Node；鉴权移动节点)逻辑网元上实现。在这种方式下，移动IP的注册/去注册过程对MS来说是透明的。在MS看来，它始终工作在自己的家乡链路上，并用一个永久的IP地址连接到通信链路上。当移动终端移动到一个新的外地链路上时，外地链路所在的ASN或BS中的PMN逻辑网元代替所述MS发起MIP注册过程；当MS离开该链路或者异常掉网的时候，由PMN代替MS发起MIP正常的注册/去注册过程。

移动IP的PMIP实现方式，在进行MIP注册/去注册过程之前，必须首先在MIP Client和HA(Home Agent；家乡代理)之间建立一个信任状(Credential)。然后在MIP Client发起MIP注册/去注册时，根据该信任状，对注册请求消息计算消息校验码(MAC)，HA收到MIP注册请求后根据它与MIP Client之间的信任状对消息进行认证。通过认证后发送MIP注册响应消息，并使用与MIP之间的信任状计算消息校验码(MAC)。MIP Client收到注册响应消息后也需要根据其持有的信任状对消息进行认证。

与本发明有关的现有技术一的技术方案，描述了在PMIP方式下，在MS通过Authenticator完成鉴权认证后，MIP Client和HA之间通过初始MIP注册流程建立信任状，其基于WiMAX网络架构体系实现。所述WiMAX网络架构体系，如图1所示，包括MS110、ASN120、CSN130，其中所述ASN120包括ASN-GW121和BS122网元。而且，在ASN中设置PMN逻辑网元123、Authenticator逻辑网元124和FA125(因为在PMN中需要保存与HA之间的信任状，因此，一般考虑将其与ASN中的另一个逻辑网元Authenticator在同一个物理实体中实现。当然，PMN逻辑网元也可以设置在BS中。)，所述FA与ASN-GW设置在一个物理实体上；在CSN中设置AAA Server逻辑网元131和HA132。

下面结合图1描述各个网元(包括逻辑网元)以及接口的功能。

1、BS：其与MSS一起实现了IEEE 802.16定义的空中接口；与后端的ASN-GW/FA和Authenticator/PMN连接，向用户提供接入网服务。

2、Authenticator：其为MSS认证、授权和计费功能提供proxy(代理)功能；为通过它进行认证的MSS保存了一个根密钥信息(MSK)。

3、PMN：在PMIP方式下，其作为移动终端的Proxy，实现了MIP Client的功能，代替MS发起MIP注册/去注册过程。

4、ASN GW：其作为ASN中的一个主要控制单元和数据面单元，实现了切换过程的控制，并提供了到CSN的数据通道，一般来说，与FA在同一个物理实体里实现。

5、FA：其为移动IP中的外地代理，一般来说，与ASN GW在同一个物理实体里实现。

6、AAA Server：主要是完成为MSS认证、授权和计费功能。并且通过和MSS之间的达成的密钥生成机制相互交换产生密钥所必需的信息。由于这些信息是在建立安全通道之前交换的，Authentication服务器和MSS之间采用的密钥算法等都必须保证信息的泄漏并不对安全机制产生影响。主要功能包括：a、完成为MSS认证、授权和计费功能；b、产生并分发根密钥信息到Authenticator上；c、在用户信息产生变化，及时通知Authenticator和其他网元信息改变所产生的后果。

7、HA：其实现移动IP中的家乡代理。

8、MSS：其为移动用户设备。

在PMIP方式下，假设将所述MIP Client在PMN逻辑网元上实现，在MS通过Authenticator完成鉴权认证后，MIP Client和HA之间通过初始MIP注册流程建立信任状的具体实施过程，图2所示，包括：

步骤1、PMN从根密钥MSK派生PMN-AAA Key；

步骤2、使用PMN-AAA Key为注册请求消息计算MN-AAA认证扩展域；

步骤3、PMN向MSS所属的FA发送注册请求消息。消息中包含了一个名为MN-HA Key Generation Nonce Request的扩展域，此外，消息中还包含了PMIP的指示扩展域，表示使用了PMIP方式；

步骤4、FA根据所述注册请求消息中的MN-HA Key Generation NonceRequest的扩展域将该注册请求消息中继到消息中指定的HA上；

步骤5、HA向AAA Server发送Radius AccRq消息。消息中的KeyGenNonceRq属性是根据步骤2中所述MN-AAA认证扩展域得到的，其用于指示AAA Server产生一个用于生成密钥的随机数；

步骤6、AAA Server接收到所述Radius AccRq消息，从根密钥MSK中派生PMN-AAA Key；

步骤7、AAA Server使用所述PMN-AAA Key对注册消息中的所述MN-AAA认证扩展域进行认证，从而实现对PMN的认证；

步骤8、AAA Server根据所述Radius AccRq消息中KeyGenNonceRq属性产生一个随机数KeyGenNonce；

步骤9、AAA Server使用所述KeyGenNonce随机数和其它参数，根据RFC(Request For Comments)3957派生PMN-HA Key；

步骤10、AAA server通过它与HA之间的安全链路，将所述PMN-HA Key和KeyGenNonce发送给HA；

步骤11、HA将PMN-HA Key存储在它的移动安全连接上下文中；

步骤12、HA根据步骤11中所述保存的PMN-HA Key计算注册响应消息中的MN-HA认证扩展域；

步骤13、HA将带有所述MN-HA认证扩展域的注册响应消息发送给FA，消息中还包含了AAA Server产生的用于生成PMN-HA Key的随机数KeyGenNonce。并指示建立HA与MS之间的数据转发通道；

步骤14、FA在成功收到MIP响应消息后开始建立HA与MS之间的数据转发通道，并将注册响应消息中继到PMN上；

步骤15、所述PMN从注册响应消息中得到KeyGenNonce，并根据RFC3957派生PMN-HA Key；

步骤16、使用步骤15中派生出的PMN-HA Key对注册响应消息进行认证；

步骤17、所述PMN将Proxy MN-HA Key保存在它的移动安全连接上下文中。

至此，建立所述PMN和HA之间的信任状过程完成，PMN为每个MS与HA之间建立了一条用于MIP注册/去注册的安全连接。

在移动IP的情况下，MS在通信过程中可能会出现异常掉网的情况，如掉电，突然脱离服务区等，BS可以通过对空口信道资源的检测快速发现MS这种异常掉网。

在PMIP方式下，当出现MS异常掉网的情况，BS检测到这种异常时，由于移动IP的PMIP实现方式将MIP Client(移动IP客户端)从MS中分离出来，将其放置在ASN中，BS就会通过信令通知Authenticator(鉴权者)/PMN，由Authenticator/PMN上的MIP Client发起正常的注册/去注册过程，或者MIPClient发现MIP的生命周期即将终止时，也可以发起注册/去注册过程。此时，直接由PMN向HA发起正常的注册/去注册请求，FA中继注册/去注册消息，不再通过AAA Server，如图3所示，具体包括：

步骤1、FA发现MS需要发起注册/去注册过程时，通过消息触发PMN发起注册/去注册过程，或者由PMN中的MIP Client直接触发注册/去注册过程；

步骤2、PMN向FA发送MIP注册/去注册请求，该消息中包含了使用初始MIP注册过程中生成的密钥PMN-HA Key计算的MN-HA认证扩展域；

步骤3、FA将MIP注册/去注册请求发送给HA；

步骤4、HA使用初始MIP注册过程中生成的密钥PMN-HA Key对注册/去注册请求进行认证，认证通过后，发送注册/去注册响应消息给FA，消息中包含了使用密钥PMN-HA Key计算的MN-HA认证扩展域；

步骤5、FA将注册/去注册响应消息发送给PMN；

步骤6、PMN使用所述密钥PMN-HA Key对注册/去注册响应消息进行认证，若认证通过，则确认注册/去注册过程完成。

由上述现有技术的技术方案可以看出，现有技术中只定义了PMIP方式下MIP Client和HA之间通过初始MIP注册流程建立信任状的方法，没有定义CMIP方式下MIP Client和HA之间建立信任状的方法，以及出现MS异常掉网的情况，如何发起正常的注册/去注册过程的解决方案。

对于移动IP的CMIP方式，由于MIP Client位于MS内，如果出现MS的异常掉网的情况时，则不能立刻发起MIP去注册过程。必须等到MIP的生命周期减少到0的时候，由HA自动发起MIP的去注册过程。如果这个生命周期较长，就会出现一个Session(会话)在MS异常掉网后长时间不能被终止，可能这时候计费还在继续进行，对用户和网络来说，这都是不可忍受的。因此，在CMIP方式下，当MS异常掉网时，需要由ASN内的某个网元代替MS发起去注册过程。

发明内容

本发明的目的是提供一种当会话异常终止时实现将MS去注册的方法，解决了目前在CMIP方式下，当MS异常掉网时，必须等到MIP的生命周期减少到0的时候，由HA发起MIP的去注册过程的问题。

本发明的目的是通过以下技术方案实现的：

本发明提供的一种当会话异常终止时实现将MS去注册的方法，包括：

A、当会话异常终止时，网络侧的实体向连接服务网络发起去注册过程，并通过与连接服务网络间信息的交互实现将MS去注册。

其中，所述步骤A具体包括：

A1、当会话异常终止时，网络侧的保存了移动终端MS的MIP密钥信息的鉴权者Authenticator实体向连接服务网络发起去注册过程，并通过与连接服务网络间信息的交互实现将MS去注册；

或，

A2、当会话异常终止时，AAA服务器向连接服务网络发起去注册过程，并通过与连接服务网络间信息的交互实现将MS去注册。

其中，所述步骤A1具体包括：

A11、通过移动终端MS、Authenticator、AAA服务器、外地代理FA和连接服务网络中的家乡代理HA间的MIP消息的交互，在所述HA内生成并保存了所述MS的MIP密钥信息，以及在所述FA中保存从初始注册过程中的MIP消息中获取的MN-HA KeyGenNonce随机数；

A12、当BS检测到MS异常掉网后通知FA，FA将所述保存的随机数发送给Authenticator，所述Authenticator利用所述随机数计算密钥K2信息，并保存；

A13、所述HA与所述Authenticator根据各自保存的密钥信息对所述Authenticator与所述HA间交互的MIP消息进行认证，当确认认证通过时，所述HA将所述MS去注册；

或，

A14、通过移动终端MS、Authenticator、AAA服务器和连接服务网络中的家乡代理HA间的MIP消息的交互，在所述Authenticator和HA内生成并保存了所述MS的MIP密钥信息；

A15、当MS会话异常终止时，所述Authenticator与所述HA根据各自保存的密钥信息对所述Authenticator与所述HA间交互的MIP消息进行认证，当确认认证通过时，所述HA将所述MS去注册；

其中，所述步骤A11具体包括：

A111、通过MS、HA与AAA服务器的信息交互，在AAA服务器中生成所述MS的MIP密钥K1以及密钥K2信息，并通过所述K1对消息中的扩展域进行验证，验证通过后，通过MIP响应消息将所述密钥K2信息和生成密钥K2使用的随机数MN-HA KeyGenNonce发送给HA；

A112、所述HA从所述响应消息中获得所述密钥K2信息，并保存起来，然后向FA发送MIP RRP消息，消息中包含了使用所述K2计算的MN-HA-AE认证扩展域，以及生成密钥K2使用的随机数MN-HA KeyGenNonce；

A113、所述FA从所述MIP RRP消息中获得所述随机数MN-HAKeyGenNonce，并将其进行保存。

其中，所述步骤A11还包括：

A114、所述FA将所述MIP RRP消息发送给MS，消息中包含了所述MN-HA-AE认证扩展域和随机数MN-HA KeyGenNonce；

A115、所述MS根据接收到的所述MIP RRP消息中的所述随机数MN-HAKeyGenNonce，并根据所述随机数派生密钥K2信息，并使用所述密钥信息K2对所述消息中的MN-HA-AE认证扩展域进行验证；

A116、验证通过后，所述MS保存所述密钥K2信息。

其中，所述步骤A12具体包括：

A121、当BS检测到MS会话异常终止时时，通知FA向Authenticator发送MN-HA KeyGenNonce Notify消息/原语，消息中包含了所述FA保存的随机数MN-HA KeyGenNonce；

A122、所述Authenticator根据接收到的所述MN-HA KeyGenNonceNotify消息，获取所述随机数MN-HA KeyGenNonce，并使用根密钥MSK中未使用的160位作为密钥K1以及根据所述随机数MN-HA KeyGenNonce生成密钥K2并将其进行保存。

其中，所述步骤A13具体包括：

A131、所述Authenticator发送MIP去注册请求消息给FA，消息中包含了使用所述密钥K2信息计算的MN-HA认证扩展域；

A132、所述FA将所述MIP去注册请求转发给HA；

A133、所述HA根据其内保存的密钥K2信息对所述MIP去注册请求消息进行认证，当认证通过后，通过FA发送去注册响应消息给所述Authenticator，消息中包含了使用所述密钥信息K2计算的MN-HA认证扩展域，同时将相应的数据转发通道终止；

A134、所述Authenticator根据其内保存的密钥K2信息对所述去注册响应消息中的MN-HA认证扩展域进行认证，当认证通过后，则确认去注册成功。

其中，所述步骤A14具体包括：

A141、通过MS、HA与AAA服务器间信息的交互，在AAA服务器中生成所述MS的MIP密钥K1以及密钥K2信息，并通过所述K1对消息中的扩展域进行验证，验证通过后，通过MIP响应消息将所述密钥K2信息和生成密钥K2使用的随机数MN-HA KeyGenNonce发送给HA；

A142、所述HA从所述响应消息中获得所述密钥K2信息，并保存起来，然后向FA发送MIP RRP消息，消息中包含了使用K2计算的MN-HA-AE认证扩展域，以及生成密钥K2使用的随机数MN-HA KeyGenNonce；

A143、所述FA向所述MS转发所述RRP消息；同时向所述Authenticator发送MN-HA KeyGenNonce Notify消息/原语，消息中包含了所述随机数MN-HA KeyGenNonce；

A144、所述MS根据接收到的所述MIP RRP消息，获取MN-HA-AE和MN-HA KeyGenNonce随机数，并根据获取到的所述MN-HA KeyGenNonce随机数，计算并生成密钥K2，然后通过所述K2对所述MN-HA-AE进行验证，验证通过后，将K2进行保存；

同时，所述Authenticator根据接收到的所述MN-HA KeyGenNonceNotify消息，获取所述随机数MN-HA KeyGenNonce，并使用根密钥MSK中未使用的160位作为密钥K1以及根据所述随机数MN-HA KeyGenNonce生成密钥K2并将其进行保存。

其中，所述步骤A15具体包括：

A151、当BS检测到MS异常掉网时，BS通过FA通知所述Authenticator向HA发送MIP去注册请求；

A152、所述Authenticator通过FA向HA发送MIP去注册请求消息，该消息中包含了根据其内保存的所述密钥K2计算的MN-HA-AE认证扩展域；

A153、HA根据其内保存的密钥K2对所述去注册请求消息中的所述MN-HA-AE认证扩展域进行认证，认证通过后，终止相应的数据转发通道，同时通过FA发送去注册响应消息给所述Authenticator，消息中包含了使用密钥K2计算的MN-HA认证扩展域；

A154、所述Authenticator根据其内保存的密钥K2对所述去注册响应消息中的MN-HA认证扩展域进行认证，若认证通过，则确认完成去注册过程，并通过发送去注册成功的响应消息通知BS去注册过程成功。

其中，所述步骤A111或步骤A141具体包括：

A1111、MS通过FA向HA发送MIP注册请求消息，消息中包含了消息的扩展域MN-AAA-AE和MN-HA KeyGenNonce Rq指示；

A1112、所述HA接收所述MIP注册请求消息，并向AAA Server发送所述Radius AccRq消息，消息中包含了所述MN-AAA-AE和MN-HAKeyGenNonce Rq指示；

A1113、AAA Server根据根密钥信息得到密钥K1信息，并根据所述K1对接收到的所述Radius AccRq消息的MN-AAA-AE进行验证；当验证通过后，AAA Server生成随机数MN-HA KeyGenNonce，并根据所述随机数生成密钥K2信息，然后向HA发送MIP RAA响应消息，消息中包含了所述K2以及所述随机数MN-HA KeyGenNonce。

其中，所述步骤A2具体包括：

A21、当BS检测到MS会话异常终止时，使用消息/原语通知Authenticator发送Radius消息通知AAA服务器向相应的连接服务网络中的HA发起去注册指示；

A22、AAA Server收到消息后向HA发送Radius消息，通知HA将相应的MS去注册，终止相关的数据转发通道；

A23、所述HA接收到所述Radius消息后，根据所述消息指示将相应的MS去注册，并终止相关的数据转发通道。

其中，所述步骤A21具体包括：

A211、当BS检测到MS会话异常终止时，BS在本地释放MS的相关资源，同时获得MS的相关信息，并通过消息通知Authenticator实体；

A212、所述Authenticator根据所述消息通知AAA服务器向相应的连接服务网络中的HA发起去注册指示。

其中，所述步骤A212还包括：

A2121、所述HA回送AAA Server去注册成功的响应消息；

A2122、所述AAA Server根据接收到的响应消息，回送Radius响应消息给所述Authenticator；

A2123、所述Authenticator发送响应消息/原语通知BS已成功完成相应的MS去注册过程；

A2124、所述BS通知相关的网元释放相应MS的占用资源。

由上述本发明提供的技术方案可以看出，当会话异常终止时，网络侧的实体向连接服务网络发起去注册过程并通过与连接服务网络间信息的交互实现将MS去注册，因此解决了在CMIP方式下，当MS异常掉网时，必须等到MIP的生命周期减少到0的时候，由HA发起MIP的去注册过程的问题，进而能够作到比较精确的计费。

附图说明

图1为在PMIP方式下，WiMAX网络架构体系；

图2为现有技术中PMIP方式下的初始注册过程的流程图；

图3为现有技术中PMIP方式下的正常注册流程图；

图4为本发明中CMIP方式下的MIP初始注册过程的流程图；

图5为本发明第三实施例中MS异常掉网时的去注册过程的流程图。

具体实施方式

本发明提供了一种当会话异常终止时实现将MS去注册的方法，其核心是：当会话异常终止时，网络侧的实体向连接服务网络发起去注册过程并通过与连接服务网络间信息的交互实现将MS去注册。

本发明提供的第一实施方案的核心是，在进行CMIP方式下的MIP初始注册过程中，FA将从初始注册过程中的MIP RRP消息中获得的MN-HAKeyGenNonce随机数保存起来。当BS检测到MS异常掉网后通知FA，FA再向Authenticator发送MN-HA KeyGenNonce Notify消息，Authenticator收到该消息后利用所述随机数计算密钥K2，同时向HA发起去注册请求。

其中进行CMIP方式下的MIP初始注册过程，如图4所示，包括：

步骤1、MS中的MIP Client使用根密钥MSK(在初始注册前的接入认证的过程中获得所述MSK根密钥)中未使用的160位作为密钥K1。

步骤2、MIP Client使用K1为MIP RRQ消息计算MN-AAA-AE认证扩展域。

步骤3、MIP Client向FA发送MIP RRQ(MIP注册请求)消息，消息中包含了所述MN-AAA-AE认证扩展域和MN-HA KeyGenNonce Rq指示。

步骤4、FA将接收到的MIP RRQ消息发送给HA。

步骤5、所述HA接收所述MIP RRQ消息，并向AAA Server发送所述Radius AccRq消息，消息中包含了HA_ID，Auth_ID/MS_ID，MN-AAA-AE和MN-HA KeyGenNonce Rq指示。

步骤6、AAA Server使用MSK中未使用的160位作为密钥K1。

步骤7、AAA Server根据所述密钥K1对所述Radius AccRq消息的MN-AAA-AE认证扩展域进行验证。当验证通过后，继续执行步骤8。

步骤8、AAA Server根据所述Radius AccRq消息中的MN-HAKeyGenNonce Rq指示，在其内部生成随机数MN-HA KeyGenNonce。

步骤9、AAA Server根据所述生成的随机数派生密钥K2＝kdf(K1，KeyGenNonce，Auth_ID/MSS_ID)。

步骤10、AAA Server向HA发送RAA(Radius Access-Accept)响应消息，所述响应消息中包含了密钥信息K2，以及所述生成的随机数MN-HAKeyGenNonce。

步骤11、HA将K2存储在它的MN-HA安全连接上下文中。

步骤12、HA使用所述K2为MIP RRP消息计算MN-HA-AE认证扩展域。

步骤13、HA向FA发送MIP RRP消息，消息中包含了所述使用K2计算得到的MN-HA-AE认证扩展域和随机数MN-HA KeyGenNonce。

步骤14、FA从接收到的所述MIP RRP消息中获得随机数MN-HAKeyGenNonce，并将其保存下来，然后将所述MIP RRP消息发送给MS的MIP Client，消息中包含了所述MN-HA-AE认证扩展域和随机数MN-HAKeyGenNonce。

步骤15、所述MS的MIP Client根据接收到的所述MIP RRP消息中的所述随机数MN-HA KeyGenNonce，派生密钥信息，如：K2＝kdf(K1，KeyGenNonce，Auth_ID/MSS_ID)。

步骤16、所述MS的MIP Client使用所述密钥信息K2对所述消息中的MN-HA-AE认证扩展域进行验证。

步骤17、验证通过后，所述MS的MIP Client将K2保存在其MN-HA安全连接上下文中。

经过上述步骤1至步骤17的过程后，所述MS与所述HA中均保存了所述MS的密钥信息K2，也就是说，通过上述初始认证过程中所述MS、HA与AAA服务器间的MIP消息的认证，所述MS与所述HA共享了同一个密钥。这为后续的过程打下了基础。

当BS检测到MS异常掉网时，执行步骤14’至18’的实施过程。

步骤14’、当BS检测到MS掉网后通知FA，通过FA向Authenticator发送MN-HA KeyGenNonce Notify消息，消息中包含了MS_ID、HA_ID以及所述FA保存的随机数MN-HA KeyGenNonce。

步骤15’、所述Authenticator向FA回送MN-HA KeyGenNonce ACK响应消息。

步骤16’、所述Authenticator使用MSK中未使用的160位作为密钥K1。

步骤17’、所述Authenticator根据所述密钥K1，以及接收到的MN-HAKeyGenNonce Notify消息中的MN-HA KeyGenNonce随机数，派生密钥K2＝kdf(K1，KeyGenNonce，Auth_ID/MS_ID)。

步骤18’、所述Authenticator使用密钥信息K2向HA发起去注册过程。

所述Authenticator使用密钥信息K2向HA发起去注册过程具体包括：

步骤101、所述Authenticator发送MIP去注册请求消息给HA。

步骤102、HA根据初始MIP注册过程中所述保存的所述密钥K2信息对所述去注册请求消息进行认证，认证通过后，终止相应的数据转发通道，同时发送去注册响应消息给FA，消息中包含了使用密钥K2信息计算的MN-HA认证扩展域。

步骤103、FA将所述去注册响应消息转发给所述Authenticator。

步骤104、所述Authenticator根据其内保存的密钥K2对所述去注册响应消息进行认证，若认证通过，则确认完成去注册过程。

本发明提供的第二实施方案的核心是，在进行CMIP方式下的MIP初始注册过程中，FA向Authenticator发送MN-HA KeyGenNonce Notify消息，Authenticator收到该消息后为相应的MS计算密钥K2并保存起来，当BS检测到MS异常掉网时，BS通知Authenticator代替MS上的MIP Client向HA发起去注册过程。

在进行CMIP方式下的MIP初始注册过程中，与第一实施例不同之处在于，执行完步骤1至步骤13过程后，执行步骤14至步骤17的过程，并同时执行步骤14’至步骤18’的执行过程。具体实施过程包括：

步骤1、MS中的MIP Client使用MSK根密钥(在初始注册前的接入认证的过程中获得所述MSK根密钥)中未使用的160位作为密钥K1。

步骤2、MIP Client使用K1为MIP RRQ(注册请求)消息计算MN-AAA-AE认证扩展域。

步骤3、MIP Client向FA发送MIP RRQ(MIP注册请求)消息，消息中包含了所述MN-AAA-AE认证扩展域和MN-HA KeyGenNonce Rq指示。

步骤4、FA将接收到的MIP RRQ消息发送给HA。

步骤5、所述HA接收所述MIP RRQ消息，并向AAA Server发送所述Radius AccRq消息，消息中包含了HA_ID，Auth_ID/MS_ID，MN-AAA-AE和MN-HA KeyGenNonce Rq指示。

步骤6、AAA Server使用MSK中未使用的160位作为密钥K1。

步骤7、AAA Server根据所述密钥K1对所述Radius AccRq消息的MN-AAA-AE认证扩展域进行验证。当验证通过后，继续执行步骤8。

步骤8、AAA Server在其内部生成随机数MN-HA KeyGenNonce。

步骤9、AAA Server根据所述密钥K1，以及所述生成的随机数派生密钥K2＝kdf(K1，KeyGenNonce，Auth_ID/MS_ID)。

步骤10、AAA Server向HA发送RAA(Radius Access-Accept)消息，所述消息中包含了密钥信息K2，以及所述随机数MN-HA KeyGenNonce。

步骤11、HA将K2存储在它的MN-HA安全连接上下文中。

步骤12、HA使用所述K2为MIP RAA消息计算MN-HA-AE。

步骤13、HA从MIP RAA消息中获得MN-HA KeyGenNonce，并保存起来，然后向FA发送MIP RRP(MIP Register Response；MIP注册响应消息)消息，消息中包含了所述使用K2计算得到的MN-HA-AE认证扩展域和随机数MN-HA KeyGenNonce。

步骤14、FA将接收到的所述MIP RRP消息发送给MS的MIP Client，消息中包含了MN-HA-AE认证扩展域和MN-HA KeyGenNonce随机数。

同时FA向Authenticator发送MN-HA KeyGenNonce Notify消息，消息中包含了MS_ID、HA_ID以及MN-HA KeyGenNonce。

步骤15、所述MS的MIP Client根据接收到的所述MIP RRP消息，获取到所述MN-HA KeyGenNonce随机数以及MN-HA-AE认证扩展域，并根据所述MN-HA KeyGenNonce随机数，派生密钥K2＝kdf(K1，KeyGenNonce，AuthID/MSS_ID)；并根据所述K2对接收到的所述MN-HA-AE认证扩展域进行验证，以及将所述密钥K2保存在其MN-HA安全连接上下文中。

在执行步骤15的同时，所述Authenticator向FA返回MN-HAKeyGenNonce ACK响应消息，并使用MSK中未使用的160位作为密钥K1，，对接收到的所述MIP RRP消息中的所述MN-HA-AE认证扩展域进行验证；根据接收到的所述MN-HA KeyGenNonce Notify消息中的MN-HAKeyGenNonce随机数，派生密钥K2＝kdf(K1，KeyGenNonce，Auth_ID/MS_ID)，并为MS保存所述密钥K2信息。

经过上述步骤后，所述MS、HA以及所述Authenticator中均保存了所述MS的MIP Client的密钥信息。

当出现MS异常掉网的情况时，所述Authenticator代替MS发起去注册的过程，具体实现过程包括：

步骤201、当BS检测到MS异常掉网时，BS通知所述Authenticator发送MIP去注册请求。

步骤202、所述Authenticator向FA发送MIP去注册请求消息，该消息中包含了根据初始MIP注册过程中保存的所述密钥K2计算的MN-HA-AE认证扩展域。

步骤203、所述FA将MIP去注册请求转发给HA。

步骤204、HA根据初始MIP注册过程中保存的密钥K2对所述去注册请求消息进行认证，认证通过后，终止相应的数据转发通道，同时发送去注册响应消息给FA，消息中包含了使用密钥K2计算的MN-HA认证扩展域。

步骤205、FA将所述去注册响应消息转发给PMN上的所述Authenticator；

步骤206、所述Authenticator根据其内保存的密钥K2对所述去注册响应消息进行认证，若认证通过，则确认完成去注册过程。

步骤207、通过发送去注册成功的响应消息通知BS去注册过程成功。

本发明提供的第三实施例的技术方案，利用了AAA Server和Authenticaor以及HA之间的安全通道实现了CMIP方式下MS异常掉网时的MIP去注册。其核心是：当BS通过空口检测到MS异常掉网时，BS通过消息通知Authenticator，消息中包含了MS及相应的HA的地址信息。Authenticator收到该消息后通知AAA Server向相应的HA发起去注册指示，AAA Server收到该通知后指示HA将相应的数据转发通道终止。从而实现了MS异常掉网情况下的MIP去注册。

实现了MS异常掉网情况下的MIP去注册过程，如图5所示，具体包括：

步骤301、当BS检测到MS异常掉网时，BS在本地释放MS的相关资源，同时获得MS的相关信息。然后向MS所属的Authenticator发送一个R3_Session_Release.Notify消息/原语，该消息/原语中包含MS的ID等信息，通知MS已经异常掉网。

所述MS的相关信息包括：MS的ID等信息。

步骤302、Authenticator收到该消息/原语后，向AAA Server发送一个Radius消息，指示AAA Server通知相应的HA将MS去注册。

步骤303、AAA Server收到该消息后向HA发送Radius消息，通知HA将相应的MS去注册，终止相关的数据转发通道。

步骤304、所述HA接收到所述Radius消息后，根据所述消息指示将相应的MS去注册，并终止相关的数据转发通道。

步骤305、所述HA回送AAA Server去注册成功Radius响应消息。

步骤306、所述AAA Server回送Radius响应消息给所述Authenticator。

步骤307、所述Authenticator通过发送R3_Session_Release.ACK响应消息/原语向BS确认相应的MS去注册过程已成功完成，该消息/原语中包含MS的ID等信息。

步骤308、BS通知相关的网元(如ASN-GW/FA)释放MS占用的资源。

由上述本发明提供的技术方案可以看出，当会话异常终止时，本发明通过AAA服务器或保存了所述MS的MIP密钥信息的鉴权者Authenticator实体向连接服务网络发起去注册过程并通过与连接服务网络间信息的交互实现将MS去注册，因此解决了在CMIP方式下，当MS异常掉网时，必须等到MIP的生命周期减少到0的时候，由HA发起MIP的去注册过程的问题，进而能够作到比较精确的计费。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。