We consider the problem of source address validation implementation (SAVI) in a Software-Defined Network (SDN) environment. The integration of SAVI and SDN can further address the challenges in a typical architecture such as the complexity of SAVI's deployment and the acquisition of security data in the access layer. A key aspect of this campaign consists of filtering forged packets and verifying the authenticity of the source address. A common strategy is to create bindings between the IP address of a node and a property of the host's network attachment. However, problem still accompany with the deployment of SAVI, including the performance cost of the SDN controller caused by the redundant validation process, especially in the case of an overflow of the flow table and other anomalous conditions in the network. Our contribution in this paper is to design and implement a dynamic framework for lightweight SAVI based on SDN (D-SAVI), which is an enhancement of SDN setups to allow proper source address validation on downstream network ingress ports, without incurring a large performance overhead. Initially, we proposed a fine-grained dual-level structure to match flow entry flexibly to complete the dynamic deployment of SAVI. A priority-based validation mechanism was added for further efficiency optimization. We then designed a state partition and transition module to optimize network performance under anomalous conditions, especially the communication performance between the controllers and switches in the SDN-based networks with a global view. Consequently, under the premise of network security, D-SAVI could filter out, with better packet forwarding efficiency, packets that do not match existing binding relationships. The experimental results demonstrate that our implementation provides source address verification with less resource consumption than existing methods.

我们考虑软件定义网络（SDN）环境中的源地址验证实现（SAVI）问题。SAVI和SDN的集成可以进一步解决典型体系结构中的挑战，例如SAVI部署的复杂性以及访问层中安全数据的获取。此活动的关键方面包括过滤伪造的数据包并验证源地址的真实性。一种常见的策略是在节点的IP地址和主机的网络附件属性之间创建绑定。但是，问题仍然与SAVI的部署有关，包括由冗余验证过程引起的SDN控制器的性能成本，尤其是在流表溢出和网络中其他异常情况下。我们在本文中的贡献是基于SDN（D-SAVI）设计和实现轻量级SAVI的动态框架，这是对SDN设置的增强，可以在下游网络入口端口上进行适当的源地址验证，而不会产生较大的性能开销。最初，我们提出了一种细粒度的双层结构来灵活地匹配流条目，以完成SAVI的动态部署。添加了基于优先级的验证机制，以进一步优化效率。然后，我们设计了一个状态分区和转换模块，以优化异常条件下的网络性能，尤其是全局视图下基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，这是对SDN设置的增强，它允许在下游网络入口端口上进行正确的源地址验证，而不会产生较大的性能开销。最初，我们提出了一种细粒度的双层结构来灵活地匹配流条目，以完成SAVI的动态部署。添加了基于优先级的验证机制，以进一步优化效率。然后，我们设计了一个状态分区和转换模块，以优化异常条件下的网络性能，尤其是全局视图下基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，这是对SDN设置的增强，它允许在下游网络入口端口上进行正确的源地址验证，而不会产生较大的性能开销。最初，我们提出了一种细粒度的双层结构来灵活地匹配流条目，以完成SAVI的动态部署。添加了基于优先级的验证机制，以进一步优化效率。然后，我们设计了一个状态分区和转换模块，以优化异常条件下的网络性能，尤其是全局视图下基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，我们提出了一种细粒度的双层结构来灵活地匹配流条目，以完成SAVI的动态部署。添加了基于优先级的验证机制，以进一步优化效率。然后，我们设计了一个状态分区和转换模块，以优化异常条件下的网络性能，尤其是全局视图下基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，我们提出了一种细粒度的双层结构来灵活地匹配流条目，以完成SAVI的动态部署。添加了基于优先级的验证机制，以进一步优化效率。然后，我们设计了一个状态分区和转换模块，以优化异常条件下的网络性能，尤其是全局视图下基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，尤其是具有全局视图的基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，尤其是具有全局视图的基于SDN的网络中的控制器和交换机之间的通信性能。因此，在网络安全的前提下，D -SAVI可以以更高的数据包转发效率过滤掉与现有绑定关系不匹配的数据包。实验结果表明，与现有方法相比，我们的实现提供了源地址验证，并且资源消耗更少。