Due to the absence of appropriate security mechanisms, even the latest version of Board Gateway Protocol (BGP) is still highly vulnerable to malicious routing hijacking. The original problem is that BGP allows router to accept any BGP update message without any extra validation process. Resource Public Key Infrastructure (RPKI) issues a series of digital signature certificates to provide binding relationship between the IP prefix in the route advertisement and the Autonomous System (AS) number on the propagation path to protect BGP routing. However, RPKI is a centralized architecture in which Certification Authority (CA) can launch power abuses attacks, such as unilaterally certificate revocation or publication repository tampering. In this thesis, we propose a blockchain-based BGP security infrastructure, named BGPcredit. The BGPcredit system synchronizes RPKI certificates by consensus process. It can maintain identical RPKI certificates repository across the whole system through blockchain, providing necessary security protection for BGP routing. In order to provide such features, we customize a proper consensus algorithm for BGPcredit which a reasonable credence management mechanism, credit computing function, block forger election process, Verifiable Random Function (VRF) are introduced. Also, the blockchain is customized to meet the system requirements. Moreover, BGPcredit advocates to make fully use of the trust of certification authorities to build a partially decentralized system. Some trusted nodes with higher authority are set to enhance the system’s security and robustness. Finally, I implement the BGPcredit prototype and conduct some validation experiments to test its performance. / På grund av avsaknaden av lämpliga säkerhetsmekanismer är även den senaste versionen av BGP fortfarande mycket sårbar för skadlig routerkappning. Det ursprungliga problemet är att BGP tillåter routern att acceptera alla BGP uppdateringsmeddelande utan någon extra valideringsprocess. RPKI utfärdar en serie digitala signaturcertifikat för att ge bindande relation mellan IP-adressprefixet i ruttannonsen och AS-numret på spridningsvägen för att skydda BGP-routningssäkerheten. Men RPKI är för centraliserad och CA kan starta strömmissbruk, till exempel ensidigt återkallande av certifikat och skadlig modifiering av publikationsregistret. I detta projekt föreslår vi en blockkedjebaserad BGP-säkerhetsinfrastruktur, kallad BGPcredit. Detta system synkroniserar RPKI-certifikat genom konsensusprocessen och kan upprätthålla identiska RPKI-certifikat arkiv över hela systemet genom blockchain, vilket ger nödvändigt säkerhetsskydd för BGP-routing. För att tillhandahålla sådana funktioner skräddarsyr vi en lämplig konsensusalgoritm baserad på nodkredit för BGPcredit som inkluderar en rimlig kredithanteringsmekanism, kreditberäkningsfunktion, blockförfalskningsprocess, VRF, etc. Dessutom har vissa anpassade ändringar i blockchain gjorts för att uppfylla systemkraven. Dessutom förespråkar BGPcredit att fullt ut utnyttja certifieringsmyndigheternas förtroende för att bygga upp ett delvis decentraliserat system. Vissa tillförlitliga noder med högre auktoritet är inställda för att förbättra systemets säkerhet och robusthet. Slutligen implementerar vi BGPcredit prototypen och genomför några valideringsexperiment. Resultaten visar att BGPcredit kan fungera bra och är kompatibel med BGP routing nätverk.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-337072 |
| Date | January 2022 |
| Creators | Yang Liu, Yu |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | English |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2022:766 |
Page generated in 0.0116 seconds