3.3.2. Sequence Number Generation (Sequenznummerngenerierung)
Der Zähler des Senders wird auf 0 initialisiert, wenn eine SA eingerichtet wird. Der Sender inkrementiert den Sequenznummern-(oder ESN-)Zähler für diese SA und fügt die niederwertigen 32 Bits des Wertes in das Sequence Number-Feld ein. Somit enthält das erste Paket, das unter Verwendung einer gegebenen SA gesendet wird, eine Sequenznummer von 1.
Wenn Anti-Replay aktiviert ist (die Standardeinstellung), überprüft der Sender, ob der Zähler nicht zyklisch geworden ist, bevor er den neuen Wert in das Sequence Number-Feld einfügt. Mit anderen Worten, der Sender DARF NICHT ein Paket auf einer SA senden, wenn dies dazu führen würde, dass die Sequenznummer zyklisch wird. Ein Versuch, ein Paket zu übertragen, das zu einem Sequenznummernüberlauf führen würde, ist ein auditfähiges Ereignis. Der Audit-Log-Eintrag für dieses Ereignis SOLLTE den SPI-Wert, das aktuelle Datum/Uhrzeit, Quelladresse, Zieladresse und (bei IPv6) die Klartext-Flow-ID enthalten.
Der Sender nimmt an, dass Anti-Replay standardmäßig aktiviert ist, es sei denn, er wird vom Empfänger anders benachrichtigt (siehe Abschnitt 3.4.3) oder wenn die SA unter Verwendung manueller Schlüsselverwaltung konfiguriert wurde. Daher ruft das typische Verhalten einer AH-Implementierung den Sender dazu auf, eine neue SA einzurichten, wenn die Sequenznummer (oder ESN) zyklisch wird, oder in Erwartung dieses Werts, der zyklisch wird.
Wenn Anti-Replay deaktiviert ist (wie oben angegeben), muss der Sender den Zähler nicht überwachen oder zurücksetzen, z.B. im Fall manueller Schlüsselverwaltung (siehe Abschnitt 5). Der Sender inkrementiert jedoch weiterhin den Zähler, und wenn er den Maximalwert erreicht, läuft der Zähler zurück auf Null über. (Dieses Verhalten wird für Multi-Sender-Multicast-SAs empfohlen, es sei denn, Anti-Replay-Mechanismen außerhalb des Geltungsbereichs dieses Standards werden zwischen Sender und Empfänger ausgehandelt.)
Wenn ESN (siehe Anhang B) ausgewählt ist, werden nur die niederwertigen 32 Bits der Sequenznummer im Sequence Number-Feld übertragen, obwohl sowohl Sender als auch Empfänger vollständige 64-Bit-ESN-Zähler verwalten. Die höherwertigen 32 Bits sind jedoch in die ICV-Berechnung einbezogen.
Hinweis: Wenn ein Empfänger wählt, Anti-Replay für eine SA nicht zu aktivieren, dann SOLLTE der Empfänger ESN nicht in einem SA-Verwaltungsprotokoll aushandeln. Die Verwendung von ESN schafft die Notwendigkeit für den Empfänger, das Anti-Replay-Fenster zu verwalten (um den korrekten Wert für die höherwertigen Bits der ESN zu bestimmen, die in der ICV-Berechnung verwendet werden), was im Allgemeinen dem Begriff widerspricht, Anti-Replay für eine SA zu deaktivieren.