3.4.2. Security Association Lookup (セキュリティアソシエーション検索)

IP認証ヘッダーを含むパケットを受信すると, 受信者はSAD内の検索を介して適切な (単方向) SAを決定します。ユニキャストSAの場合, この決定は, セクション2.4で説明されているように, SPIまたはSPIとプロトコルフィールドに基づいています。実装がマルチキャストトラフィックをサポートする場合, セクション2.4で説明されているように, 宛先アドレスも検索に使用され (SPIに加えて), 送信元アドレスも使用される場合があります。(このプロセスは, セキュリティアーキテクチャ文書でより詳細に説明されています。) SAのSADエントリは, シーケンス番号フィールドがチェックされるかどうか, およびSAに32ビットまたは64ビットのシーケンス番号が使用されるかどうかも示します。SAのSADエントリは, ICV計算に使用されるアルゴリズムも指定し, ICVを検証するために必要な鍵を示します。

このパケットに対して有効なセキュリティアソシエーションが存在しない場合, 受信者はパケットを破棄しなければなりません (MUST)。これは監査可能なイベントです。このイベントの監査ログエントリには, SPI値, 日付/時刻, 送信元アドレス, 宛先アドレス, および (IPv6の場合) フローIDを含めるべきです (SHOULD)。

(IKEパケットなどのSA管理トラフィックは, SPIに基づいて処理する必要はないことに注意してください。つまり, 例えば次プロトコルフィールドとポートフィールドに基づいて, このトラフィックを個別に逆多重化できます。)