3.4.2. Security Association Lookup

Al ricevimento di un pacchetto contenente un IP Authentication Header, il ricevitore determina la SA (unidirezionale) appropriata tramite ricerca nel SAD. Per una SA unicast, questa determinazione si basa sull'SPI o sull'SPI più il campo del protocollo, come descritto nella Sezione 2.4. Se un'implementazione supporta il traffico multicast, anche l'indirizzo di destinazione viene impiegato nella ricerca (oltre all'SPI), e anche l'indirizzo del mittente può essere impiegato, come descritto nella Sezione 2.4. (Questo processo è descritto più in dettaglio nel documento Security Architecture.) La voce SAD per la SA indica anche se il campo Sequence Number verrà verificato e se vengono impiegati numeri di sequenza a 32 o 64 bit per la SA. La voce SAD per la SA specifica anche gli algoritmi impiegati per il calcolo dell'ICV e indica la chiave richiesta per convalidare l'ICV.

Se non esiste una Security Association valida per questo pacchetto, il ricevitore DEVE scartare il pacchetto; questo è un evento verificabile. La voce del registro di audit per questo evento DOVREBBE includere il valore SPI, la data/ora, l'indirizzo sorgente, l'indirizzo di destinazione e (in IPv6) il Flow ID.

(Si noti che il traffico di gestione SA, come i pacchetti IKE, non ha bisogno di essere elaborato in base all'SPI, cioè si può de-multiplexare questo traffico separatamente in base ai campi Next Protocol e Port, ad esempio.)