【YD通讯标准】 无线局域网(WLAN)与 cdma2000 系统互通技术要求紧耦合实现方式

ICS 33.060.99
中华人民共和国通信行业标准
YD/T 2125-2010
无线局域网（WLAN）与
cdma2000系统互通技术要求
紧耦合实现方式
Technical requirement for wireless local area network (WLAN) andcdma2000 system interworking - Closely coupling(3GPP2 X.S0028-200-0, cdma2000 Packet Data Services: Wireless Local AreaNetwork (WLAN) Interworking - Access to Operator Service and Mobility, MOD)2010-12-29发布
2011-01-01 实施
中华人民共和国工业和信息化部发布前　言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义*
3.2缩略语
4网络结构
4.1互通场景
参考模型-
网络实体·
支持WLANCDMA2000IP接入的IP连接5
5.1概述·
5.2鉴权与授权
隧道管理过程
鉴权过程
移动性管理流程
cdma2000分组数据业务预置：
计时器·
IPv4-IPv6双栈操作
Diameter 考虑.
5.10 RADIUS 考虑*
PDIF流程
用于计费的RADIUS属性
参考文献
TTYKAONYKAa
YD/T2125-2010
YD/T2125-2010
本标准修改采用3GPP2X,S0028-200-0V1.0cdma2000分组数据业务：无线局域网（WLAN）互通一运营商业务和移动性的接入》(cdma2000 Packet Data Services:Wireless Local Area Network (WLAN）Interworking-Access to Operator Service and Mobility)。与3GPP2X.S0028-200-0 V1.0相比，主要差异如下，·3GPP2X.S0028-200-DV1,0中，MIP6应用下，为终端分配归属地HA或分配拜访地HA，应从3GPP2MIP6.HoA属性获得HoA地址前缀信息（如前64bit为0，则后64bit为前缀信息)。本标准在此基础上，增加一种可选方法，可从 3GPP2 MIP6 HL 属性张得 HoA 地址前信息。在与 X.S0D11D 以及IKEv2（RFC4306）协议保持一致的前提下，增加灵活性，且不必将前缀长度仅限于64位：·上述修改或增加的技术内容涉及本标准的5.5.3.4节以及5.5.4节。在这两节中，用黑色粗体标注了修改或增加的技术内容。
本标准是无线局域网（WLAN）与cdma2000系统互通系列标准之一。该系列标准结构及名称如\F：a）YD/T2125-2010无线局域网（WLAN）与cdma2000系统互题技术要求紧耦合实现方式》；b）YD/T2120-2010无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式》。随着技术的发展，还将制定后续的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院，华为技术有限公司。本标准主要起草人：龚达宁、辛伟、董晓鲁、黄龙贵。H
1范围
YD/T 2125-2010
无线局域网（WLAN）与cdma2000系统互通技术要求紧耦合实现方式
本标准规定了紧耦合场景下，无线局域网（WLAN）与cdma2000数字蜂窝移动通信两的互操作架构、鉴权和授权、隧道管理、移动性管理、cdma2000分业务预置和计费要求。本标准适用于支持cdma2000数字蜂窝移动通信网与无线局或网（WLAN）紧耦合互通的cdma2000系统和WLAN的系统以及设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的用文件，其最新版本适用于本标准。YD/T 1866 - 2009
YD/T 2126-2010
3GPP2 S.S0055-A v3.0
3GPP2 S.R0087-A V1.0
800MHz/2GHzcdma2000数字蜂宽移动通信网设备技术要求分组子系统无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式增强密码算法，2005年10月
cdma2000 WLAN互通，2006年3月3GPP2X.S0013-004-Av1.0全IP核心网多媒体域：基千SIP和SDP的P多媒体呼叫控制协议Stage3.2005年11月
IEEE Std 802.11
IETF RFC 2002
IETF RFC 2406
IETF RFC 2548
IETF RFC 2716
LETF RFC 2865
IETF RFC 2866
ETF RFC 3162
IETF RFC 3576
IETF RFC 3579
TETF RFC 3588
IETFRFC3775
IETF RFC 3948
IETF RFC 4005
IETF RFC 4072
IETF RFC 4187
ETF RFC 4279
信息技术.电信和系统间信息交换局域网和城市网.特殊要求第11部分：WLAN媒介接入控制（MAC）和物理层（PHY）规范IPy4移动性，1995年5月
P中封装安全负荷（ESP）：1998年11月微软设备商特定RADIUS属性，1999年3月PPPEAPTSL认证协议，1999年10月远程认证拨号用户服务（RADIUS），2000年6月RADIUS计费，2000年6月
RADIUS和Pv6，2001年8月
RADIUS动态授权扩展，2003年7月RADIUS对可扩展认证协议（EAP）的支持，2003年9月Diameter基本协议，2003年9月
IPv6的移动性支持，2004年6月
IPsecESP数据包的UDP封装，2005年1月Diameter网络接入业务应用，2005年8月Diameter可扩展认证协议（EAP）应用，2005年8月用于第三代认证和密钥协商的可扩展认证协议（EAP-AKA），2006年1月用于传输层安全（TLS）的预共享密钥密码组，2005年12月1
TTYKAONYKAa
YD/T2125-2010
EIF RFC 4306
JTF RFC 4555
3术语、定义和缩略语
3.1 术语和定义
因特网密钥交互（IKEv2）协议，2005年11月IKEv2移动性和自引导协议（M0BIKE），2006年6月下列术语和定义适用于本标准。3.1.1
cdma2000基于分组交换的业cdma2000 Packet SwiltchBased Servicecdma2000基于分组交换的业务是与接入无关的业务，由cdma2000分组交换域握供。3.1.2
归震地cdma2000网络Homecdma2000Network与用户有商业关系（签约）的运营商管理的cdma2000网络。3.1.3
服务cdma2000网络Servlcecdma2000Network向用户提供基于的数据业务的cdrua2000网络。服务cdma2000网络可以是归属地cdma2000网络或拜访地cdma2000网络。
拜访地dma2ono网络Visifedcdma2oooNetwork用户正在使用业务的非用户归属cdma2000运替商管理的网络。3.2缩略语
下列缩略语适用于本标准，
Authentication Authorization and AccountingAuthentication Center
Access Network
Attribute Value Pair
Broker AAA
Diameter EAP Answer
Diameter EAP Request
Domain Name System
Extensible Authenticatin ProtocolFully Qualified Domain NarmeHome Agent
Home AAA
Home Location Register
Intemet Key Exchange
Message Authentication CodesMobile P
Mobile Station
Master Sessiom Key
鉴权、授权和计费
鉴权中心
接入网
属性值对
代理AAA
Diameter EAP应答
Diameter EAP请求
域名系统
扩展鉴权协议
归属代理
归属AAA
归属位注册
因特网密钥交换
消息鉴权编码
移动台
主会话密钧
4网络结构
互通场景
NetworkAccess Identifier
NetworkAccessServer
Nerwork Address Translation
PacketDataInterworkingFunctionPseudorandom Function
Packet Switched
RegistrationRequest
Registration Reply
SecurityAssociation
SecurityParameter Index
Tunnel Inner Address
VisitedAAA
WirelessLocalAreaNetwork
网络接入标识
网络接入服务器
网络地址翻译
分组数据互通功能
伪随机功能
分组交换
注册请求
注珊应答
安全联盟
安全参数索引
隧道内部地址
拜访地AAA
无线局域网bzxz.net
3GPP2S.R0087-Av1.0中定义了以下4种cdma2000系统与WLAN互通场景场景1：普通计费：
·场景2：基于cdma2000的接入控制和计费，道过WLAN系统接到Internet；。场景3：通过WLAN系统接入cdma2000分组数据业务：·场景4：会话连续
本标准中WLAN互操作结构支持场景3和场景4。4.2参考模型
服务cdma2000
接口6
分维数据业务
Cintemct
接口1
接口7
接口5
接口3
Intermet
接口2
接口2
图1WLAN互通场景3的参考模型
TYKAOYKAa
数第库
YD/T2125-2010
白周cdma2000
接口4
YD/T2125-2010
分组数据业务
包合Intemet
服务cdma2000
接口9
接口10
接口8
接口1
4.3网络实体
接口5
接口3
接口2
接口2
图2WLAN互通场景4的参考模型
数据库
H属.cdma2000
接口4
MS、WLAN、V-AAA、B-AAA、H-AAA、数据库和HLR/AC等功能实体的规定见YD/T2126一20I0《无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式》除此之外，为了支持隧道管理过程和移动性过程，MS和AAA还会执行一些新的功能。本标准将会规定这些新增功能。本标准定义了一个附加的功能实体：分组数据互通功能（PDIF）。分组数据互通功能是一个安全网关，用来防止未经授权的用户接入服务cdma2000网络中的资源与分组数据服务。PDIF位于服务cdma2000网络中。
HA总是位于服务cdma2000网络中。分组数据服务是由服务运营商提供的高层服务（例如：IMT服务）服务cdma2000网络可以是归属cdma2000网络或拜访cdma2000网络。PDIF功能实体通过提供与cdma2000运营商网络的IP连接，实现对分组数据业务的接入。PDIF支持在自身与MS之间的安全隧道管理过程，包括隧道的建立与释放、从服务cdma2000网络为MS分配rP地址、和对MS收发的业务数据进行封装与解封装。PDF还能加强服务cdma2000网络的策略功能，如分组的过滤与路由。通过与H-AAA的接口，PDIF支持用鉴权与授权策略信息的传输。PDIF还负责收集和报告计费信息。
V-AAA只在服务网络是拜访cdma2000运营商网络的情况下涉及，V-AAA与MS的H-AAA服务器和PDIF进行交互，在某些情况下可能会需要通过一个或多个中介网络，来实现MSWLAN接入服务的鉴权与授权。V-AAA也参与了计费信息的采集。当应用了拜访cdma2000运营商的策略时，V-AAA还要参与隧道终止过程。
4.4接口
YD/T2125-2010
接口1，接口2，接口3和接口4的定义见YD/T2126一2010无线局域网（WLAN）与cdma2000系统互通技术要求松耦台实现方式意。本标准对下述新的接口进行定义，接口5：作为MS和PDIF之间的安全接口。该接口支持MS发超的隧道建立，隧道内的数据包传输和隧道的释放。
，接口6：如果PDIF位丁归属网络，该接口位于PDIF和H-AAA之间。如果PDIF位于拜访网络，该接口位于PDIF和V-AAA之间。该接口支持PDIF从AAA服务器获取配置参数，并在隧道建立时进行鉴权与授权，以及对数据传输进行计费等等。此外，本标准还对YD/T2126一2010无线局域网（WLAN)与cdma2000系统互通技术要求松耦合实现方式中定义的接口2的功能做了修改，如当PDIF位于拜访网络时，接口2需扩展接口6至归属网络。在这种情况下，V-AAA作为代理AAA负责在PDIF和H-AAA之间（可能需要通过B-AAA）中继鉴权、隧道管理和计费信息。接口2上数据保护的机制与需求不在本标的规定的范围内。，接口7：位于PDIF和简单P的分组数据网络之间。该接口提供对cdma2000分组数据服务（如IMS）的接入。
接口8：位于PDF与HA之间。前向上，PDIF通过该接口从HA接收传递给漫游到WLAN的MS的数据分组。反向上，PDIF通过该接口把漫游到WLAN的MS发送来的分组经过隧道传递给HA。，接口9：位于HA和H-AAA或Y-AAA之间。该接口支持从AAA传递用产鉴权和授权的蒸筑HA。对于MPv4和MIPv6，YD/TI866一2009定支了HA的鉴权过程。，接口10r位-丁HA和基于移动IP的分组数据网之问。该接口提供对edma2000分组数据服务（如MS）的接入。
5支持WLANcdma20Q0IP接入的IP连接5.1概述
在接入cdma2000分组数据服务之前，MS应获得对IP接入网的连接。在使用IEEE802,11WLAN的情况下，MS应按照YD/T2126一2010无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式”和EEE802,11的相关规定进行网络选择与关联。当cdma2000和WLAN接入同时存在的时候，MS可以使用户能在二者间做出选择。为了获得接入cdtmia2000分组数据服务，MS应首先按照5.3节的规定建立隧道。MS和PDIF之问应建立IPsec隧道。PDIF可位于归属网络或拜访网络。5.2鉴权与授权
当MS试图接入cdma2000分组数据服务（如IMS）时，需要进行整权与授权。典型情说下，服务授权是独立于WLAN场景2中的鉴权与授权的（见YD/T2126一2010无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式）。对于场景3，H-AAA负责执行鉴权与接权。对于场景3中的鉴权与授权，应使用RADIUS或Diameter。对于RADIUS，应用下列正ETF标准：·ETFRFC2865:RADIUS
LETFRFC3579：支持EAP顿传输的RADIUS扩展：·IETFRFC3576：授权改变。
TTYKAONYKAa
YD/T2125-2010
对于Diameter，应用下列RFC：
→IETPRFC3588：Diameter基础：正TFRFC4005：Diarmeter网络接入业务应用：·ETFRFC4072，基于Diarmeter支持EAP顿传输本标准后续的章节将定义鉴权与授权的详细过程。5.3隧道管理过程
5.3.1远端隧道终点的发现和选择应预先向MS提供PDIF的IP地址，或使用DNS机制，使MS获得远端避道终点（即PDIF）的IP地站。在为DNS请求建立一个FQDN时，MS应识别运营商的网络。可为MS预置一个或多个PDLF的FQDN。如果给MS预置了多个FQDN，如何选择FQDN不在本标准的规定范圈内。一旦收到了含有一个或多个PDIFIP地址的DNS相应，MS应选择一个与自已本地IP地址（即WLAN在成功的关联中分配的IP地址）IP版本一致的PD正IP地址。该选择可以由用户控制（MS实现的选项）或由MS自动逆行。在后一种情况下，自动选择的标准是基于实现的。为发现PDIF，MS需要首先获得DNS服务器的IP地址，存在几种机制实现这一过程。对于Pv4，可以使用DHCP。对于IPv6，可以使用DHCPv6，Anycast地址或路由器广播。具体使用何种机制是基于实现的。5.3.2隧道建立
5.3.2.1流程
图3表示了为建立MS与PDIF之间的IPsec隧道而进行的隧道建立消息交互流程。步骤1MS认证WLAN接入网并获得 Internet接入。该过程可能涉及WLANAN与H-AAA的鉴权交互（见YD/T2126一2010（无线局域网（WLAN）与cdma2000系统互通技术要求松耦合实现方式）步骤2MS从接入网获得一个IP地址，以及默认路由器和 DNS 服务器地址。步骤3MS发现PDIF。如果使用DNS，MS从DNS相应中选择一个PDIFIP地址。PDIF的IP地址将始终是一个全球的、公开的、可路由的卫地址。步骤4MS发起与PDIF的IKEv2交换。第-一组消息是IKE_SAINIT交换。按照IETFRFC4306中2.23节的概逆，MS 和 PDIF 支持 NAT TrAYersal。这意味着发起者和响应者在第一轮消息中都包含NAT_DEFECTION_SOURCE和NAT_DETECTIONDESTINATIONP静荷，并且支持UDP封装的协商。步骤5MS发起与PDIF的IKE_AUTH交换。使用通过IKE_SA_INIT交换建立的密钥对这些消息进行加密和完整性保护。MS 通过在 IKE AUTH 请求中设置 CONFTGURATION 静荷(根据 MS 支持的 IP版本，CFG_REQ属性值可以设为INTERNAL_IP4_ADDRESS或INTERNAL_IP6_ADDRESS）来请求隧道内 IP地址(TLA,MS 在IDi 静荷中包含自已的 NAI.当 MS 需要使用EAP时,MS 不要在IKE_AUTH消息中包含AUTH静街。
步骤6当PDIF收到没有AUTH静荷的IKE_AUTH请求，PDIF将联系H-AAA，通过在RADIUSAccess-Request消息（IETFRFC3579）或Diameter-EAP-Request（DER）命令（IEFFRFC4072）中发送EAP-Response/ldentity消息来请求服务授权和用户鉴权信息。步骤7在MS 和 H-AAA之间交换EAP消息进行双向鉴权,H-AAA在RADIUS Acce-Challenge 或Diameter-EAP-Aaswer（DEA）Command中给PDIF发送EAP请求消息。PDIF给MS发送包含有EAP请求消息的 IKE_AUTH响应消息。
AuthenticationandAuthorizatioObtain AccessIP
Addr&DNSAddr
Discovery
IKESA INITExchange
IKEAUTHCEGREOUEST
A4cess
Autnentication and AuthorizationYD/T2125-2010
RADIUSAccess-Requestor
DiameterEAP-Requcs
IKEAUTH,CFCREPLY(EAPmessage)IKEAUTH,CFG_REQUEST(EAPmessage)IKEAUTHCFREPLY(EAP-Success)
IKE AUTHCFG REOUEST(AUTH)
IKE_AUTH,CF_REPLY(AUTH,TIA)
图3隧道建立消息流程
RADIUS Accss-Challenge or
Diameter EAP-Answe
RADiuSAccess-Requestot
DiameterEAP-Requese
RADIUSAccess-Acceptor
DiameterEAP-Answer
RADIUSAccounting-Request (stanAccounting-Roquest(ACR)
RADIUSAccounting-Response
Accounting-Answor(ACA）
步骤8作为响应，MS发送包含有EAP响应消息的IKE_AUTH请求消息。PDIF向H-AAA发送包含有EAP响应消息的RADIUSAccess-Request消息或theDiamcter-EAP-RequestCommand。步骤7和8能够重复多次。
步骤9当鉴权成功，H-AAA在带有Result-CodeAVP指示成功的RADIUSAccess-Accept消息或Diameter-EAP-Answer（DEA）Command中发送EAPSuccess。步骤10一旦收到带有Result-CodeAVP指示成功的RADIUSAccess-Accept消息或Diameter-EAPAnswer（DEA）Command，PDIF发送包含有EAPSuccess的IKE_AUTH响应消息。如果PDIF收到了带有Result-CodeAVP指示失败的RADIUSAccess-Acccpt消息或Diameter-EAP-Answer（DEA）Command，PDIF通过发送带有Notify静荷的IKEAUTH响应消息来拒绝期向MS的隧道建立，其中Notify静荷设为‘AUTHENTICATIONFAILED'。
步骤11MS发送包含有AUTH的IKEAUTH请求消息，其中AUTH静荷由MSK计算得到。而MSK是在EAP鉴权成功后生成的。7
YKAONYKACa
YD/T 2125-2010
步骤 12 PDIF 回复包含有指定 TLA,AUTH 静荷和安全关联等的 IKE_AUTH 响应消息。PDIF 使用MSK 计算 AUIH 静荷，其中 MSK 是 FDIF在步骤 9 由 H-AAA 得到的。步骤 I3当IKE AUTH交换完成后，MS 和 PDIF之间建立起了 Psec隧道。若在步骤3 中检测到NAT，MS 和 PDIF 还支持 IPsec ESP 分组的 UDP 封装 (IETF RFC 3775)。步骤 I4 如果使用了 RAIDIUS，PDIF 向 H-AAA 发送RADIUS Accounting Request (Start)。如果使用的基 Diameter, PDIF 向 H-AAA 发送 ACR (Start)。步骤 15相应地,H-AAA 反馈给 PDIF RADIUS Accounting Response 或 Accounting-Answer (ACA)。5.3.2.2MS过程
MS应按照IKEv2（TEIFRFC430G）的要求支持NAT穿越和IPsecESP分组的UDP封装（IETFRFC3948）：
一旦选择了远端隧道的终点，MS应发起互联网密钥交换（IETFRFC4306），以便建立信任关系（与PDIF进行双向鉴权）MS应按照本标准5.4节的规定，发起基于EAP的权过程，MS应在KE_AUTH请求中的Di静荷中发送自己的NAI。一旦完成IKEv2过程，MS应按照IETFRFC2406中的规定建立到PDIF的IPsecESP隧道。MS可能会通过在IKE AUTH请求中的CP （CFG REQUEST）中包含INTERNAL P4 DHCP或INTERNALIP6_DHCP属性，来请求DHCP或DHCPv6服务器的IP地址。5.3.2.3PDIF过程
PDIF的P地址应始终是一个全球的、公并的、可路由的IP地址。PDIF应按照KEv2（ETFRFC4306）支持NAT穿越，以及IPseCESP分组的UDP封装（IETFRFC3948）。当MS发起后，PDIF应与MS共同执行IKEv2过程（IETFRFC4306），以便建立信任关系（双向鉴权）。通过IKEV2，PDIF应提取出MS发来的EAP消息，并将它们通过RADIUSAccess-Request或DER命令发送给H-AAA：PDF应提取出H-AAA发来的EAP消息，并通过IKEv2发送给MS。一旦完成了IKEv2过程，PDIF应与MS建立起IPsecESP隧道（ETFRFC2406），在IPv6接入的情况下，PDIF应通过IKEvV2变换，给MS分配一个惟一的64位前缀或一个完整的128位P地址。
如果MS通过IKE_AUTH请求DHCP或DHCPV6服务器的P地址，而且该IP地址在KE_AUTH响应中的CP（CFG REPLY）中的INTERNAL IP4DHCP或INTERNAL_IP6 DHCP属性中存在，PDIF应把这些地址转达给MS。
5.3.2.4H-AAA过程
H-AAA应鉴别用户证书和NAI以便进行业务鉴权，其中用户证书根据NAI来识别。5.3.2.4.1Diameter鉴权与授权过程一旦收到DER命令，H-AAA应检查用户的WLAN签约信息。如果没有该用户的签约信息（通过NAI识别），H-AAA应返回DEA命令，其中的Experirnental-Result-Code设为DIAMETER_ERROR_USERNO_WLANSUBSCRIPTION。如果H-AAA有该用户的签约信息，H-AAA应与EAP对端（位于MS）执行EAP方法，并于EAP鉴权者（位于PDIF）按照IETFRFC 4072中的规定交换EAP消息。如果成功鉴别了MS的证书，应通过DEA返回一个带有DLAMETER_SUCCESS的ResultcodeAVP，以便支持鉴权成功。
YD/T2125-2010
如果鉴权失败，应通过DEA返回一个带有DIAMETER_AUTHENTICATION_REJECTED的ResultcodeAP.
如果用户在漫游（通过Visited-Network-IdentifierAVP识别），H-AAA应检查用户是否被允许访问辉访网络。如巢未经充许，应将Experimental-Result-Code设为DIAMETER_ERROR_ROAMINGNOTALLOWED
5.3.2.4.2RADIUS鉴权与授权过程一且从PDIF收到接入请求消息，H-AAA应检查用户的WLAN签约信息。如果没有该用户的签约信息（通过NAI识别），H-AAA应返回RADIUSAccess-Reject消息。如果H-AAA有该用户的WLAN签药信息，而且H-AAA收到了含有EAP消息和MessageAuthenticator（80）的Access-Request，H-AAA应与BAP对端（即MS）执行EAP方法，并于EAP鉴权者（即PDLF）按照IETFRFC3579中的规定交换EAP消息。如果用户鉴权成功，H-AAA应检查用户是否为漫游用户。如果用户在漫游（例如：由NAS-P-Address属性或NAS-Identifier属性指示），H-AAA应基于归属网络与拜访网络之间的漫游协议，检查用户是否被允许接入拜访网络。如果未得到允许，H-AAA应返回RADIUSAccess-Reject消息。另外，如果用户没有漫游，或在漫游且得到允许接入拜访网络，H-AAA应发送一个含有EAP消息的Access-Accep消息，指示EAP-Success，MessageAutheaticator（8o）和授权属性。如果用户鉴权失败，H-AAA应发送含有EAP消息的Access-Reject消息，指示EAP-Failure：和MessageAuthenticator（80）
5.3.2.5并发隧道建立
与同一个P建文多个隧道应是可能的。一日鉴别了K正SA，在IKBSA内能载协商多个于SA。便用在IKE交换的头两个消息中协商的加密算法和密销对CREATE_CHILD_SA交换进行保护。因此，在MS和PDIF之问创建附加的CHILD_SA时，不需要触发到H-AAA的进一步的鉴权消息5.3.3隧道断开
5.3.3.1流程
MS、PDIF或H-AAA可以发起隧道断开。例如：由于隧道连接超时或者按照AAA服务器或其他网元的请骤。
MS和PDIF通过IKEv2进行隧道断开消息交换。MS发起的隧道断开
步骤1为断开一个或多个IPsec隧道（SA)，如果MS需要为一个单独的协议，如ESP，删除SA，MS发送含有DELETE\静荷的IKEv2INFORMATIONAL请求消息，其中“DELETE\静荷包含有需要删除的 SA（# of SPLs 属性设为要被删除的 SA 的数量，SPI 属性标识要被删除的 SA)。如果 MS 需要为多个协议（如IKE和ESP）删除SA，MS需要包含多个\DELETE\静荷，每个静荷含有对应于每个协议的SPI。步骤2如果PDIF帮要为一个单独的协议，如ESP，删除SA，PDF问 MS发送含有\DELETE\静荷的IKEv2INFORMATIONAL响应消息，其中DELETE\静荷包含有在步骤1中删除的SA（#ofSPLs属性设为要被删除的 SA的数量，SPI 属性标识要被删除的 SA)。如果 PDIF需要为多个协议（如 IKE和ESP）删除SA，PDIF需要包含多个\DELETE\静荷，每个静荷含有对应于每个协议的SPI。PDF更新相关的服务信息和用户状态。
步3删除IKE_SA后，PDIF通知H-AAA会话正在被终止。如果使用的是RADIUS协议（IETFRFC9
TYKAONYKACA
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。