3.4.2. Recherche de l'association de sécurité

À la réception d'un paquet contenant un en-tête d'authentification IP, le récepteur détermine la SA (unidirectionnelle) appropriée via une recherche dans la SAD. Pour une SA unicast, cette détermination est basée sur le SPI ou le SPI plus le champ de protocole, comme décrit dans la section 2.4. Si une implémentation prend en charge le trafic multicast, l'adresse de destination est également employée dans la recherche (en plus du SPI), et l'adresse de l'émetteur peut également être employée, comme décrit dans la section 2.4. (Ce processus est décrit plus en détail dans le document Security Architecture.) L'entrée SAD pour la SA indique également si le champ Numéro de séquence sera vérifié et si des numéros de séquence de 32 ou 64 bits sont employés pour la SA. L'entrée SAD pour la SA spécifie également le ou les algorithmes employés pour le calcul de l'ICV, et indique la clé requise pour valider l'ICV.

Si aucune association de sécurité valide n'existe pour ce paquet, le récepteur DOIT rejeter le paquet; ceci est un événement auditable. L'entrée du journal d'audit pour cet événement DEVRAIT inclure la valeur SPI, la date/heure, l'adresse source, l'adresse de destination, et (dans IPv6) l'ID de flux.

(Notez que le trafic de gestion de SA, tel que les paquets IKE, n'a pas besoin d'être traité en fonction du SPI, c'est-à-dire qu'on peut démultiplexer ce trafic séparément en fonction des champs Next Protocol et Port, par exemple.)