3.4.2. Security Association Lookup (Security-Association-Suche)

Beim Empfang eines Pakets, das einen IP Authentication Header enthält, bestimmt der Empfänger die entsprechende (unidirektionale) SA durch Suche in der SAD. Für eine Unicast-SA basiert diese Bestimmung auf dem SPI oder dem SPI plus Protokollfeld, wie in Abschnitt 2.4 beschrieben. Wenn eine Implementierung Multicast-Verkehr unterstützt, wird auch die Zieladresse in die Suche einbezogen (zusätzlich zum SPI), und die Absenderadresse kann ebenfalls verwendet werden, wie in Abschnitt 2.4 beschrieben. (Dieser Prozess wird im Security Architecture-Dokument ausführlicher beschrieben.) Der SAD-Eintrag für die SA gibt auch an, ob das Sequence Number-Feld überprüft wird und ob 32- oder 64-Bit-Sequenznummern für die SA verwendet werden. Der SAD-Eintrag für die SA spezifiziert auch die für die ICV-Berechnung verwendeten Algorithmen und gibt den Schlüssel an, der zur Validierung des ICV erforderlich ist.

Wenn keine gültige Security Association für dieses Paket existiert, MUSS der Empfänger das Paket verwerfen; dies ist ein auditfähiges Ereignis. Der Audit-Log-Eintrag für dieses Ereignis SOLLTE den SPI-Wert, Datum/Uhrzeit, Quelladresse, Zieladresse und (bei IPv6) die Flow-ID enthalten.

(Beachten Sie, dass SA-Verwaltungsverkehr, wie IKE-Pakete, nicht basierend auf SPI verarbeitet werden muss, d.h., man kann diesen Verkehr separat basierend auf Next Protocol- und Port-Feldern demultiplexen, zum Beispiel.)