3.4.2. Security Association Lookup (安全关联查找)

在接收到包含 IP Authentication Header 的数据包时, 接收方通过在 SAD 中查找来确定适当的 (单向) SA。对于单播 SA, 此确定基于 SPI 或 SPI 加协议字段, 如第 2.4 节所述。如果实现支持多播流量, 则目标地址也用于查找 (除了 SPI 之外), 并且源地址也可以使用, 如第 2.4 节所述。(此过程在安全架构文档中有更详细的描述。) SA 的 SAD 条目还指示是否将检查序列号字段以及 SA 是否使用 32 位或 64 位序列号。SA 的 SAD 条目还指定用于 ICV 计算的算法, 并指示验证 ICV 所需的密钥。

如果此数据包不存在有效的安全关联, 接收方必须 (MUST) 丢弃该数据包; 这是可审计事件。此事件的审计日志条目应该 (SHOULD) 包括 SPI 值, 日期/时间, 源地址, 目标地址, 以及 (在 IPv6 中) 流 ID。

(请注意, SA 管理流量, 例如 IKE 数据包, 不需要基于 SPI 进行处理, 即, 可以根据下一协议和端口字段等单独解复用此流量。)