要約

  • IPv4 移転には、少なくとも3つの法的かつ運用上明確に区別されるイベントが含まれている。すなわち、当事者が商業契約を結び決済すること、担当 RIR が権威ある登録状態を変更すること、そしてネットワークが転送されたプレフィックスの経路を発信、受信、伝搬することである。各イベントには独自の主体、証拠、タイムスタンプ、および失敗条件が存在する。
  • 売買契約は価格、リスク、保証、決済義務を割り当てることができるが、それだけでは RIR の記録を書き換えたり、上位ネットワークに経路を強制したりすることはできない。登録エントリは認識された保有者を特定できるが、支払い、すべての契約上の義務、またはグローバルな到達可能性を証明するものではない。BGP 観測は、一部のネットワークがアナウンスを確認したことを証明するが、アナウンサーがブロックを購入したことや、すべての登録条件が満たされたことを証明するものではない。
  • レジストリの適切な移転役割は狭いが重要である:当事者の認証、申出側の登録状態の確認、競合する主張や適用可能なロックの検出、一意性の維持、記録の更新、RIR 間の調整、明確な完了状態の公開である。価格設定者、ブローカー、商事裁判所、ネットワーク計画者、または経路到達可能性の保証者になるべきではない。
  • RPKI はこの分離を明確にする。ROA はアドレス保有者による発信 AS の許可を表すが、事業者は検証結果をどのように使用するかをローカルに決定する。移転の順序付けには、make-before-break の処理が必要であり、有効な ROA が売買契約書や BGP コマンドであると偽ってはならない。
  • 信頼できる完了設計では、3つのタイムスタンプと3つの領収書、さらに紛争用の例外記録を使用する。商業的決済、レジストリ完了、最初の安定した運用利用は、統合されることなく調整可能であるべきである。これにより、買い手、売り手、貸し手、ブローカー、事業者は遅延の原因を特定し、責任を正確に割り当てることができる。
  • 番号リソース社会は、より規律ある未来を指し示している:決定論的な状態遷移、制限されたレビュー、明確な最終性、標準化された証拠、そして一意性や記録の整合性を脅かさない限り、価格、資金調達、展開タイミング、またはルーティングの選択に対する裁量権を持たない、ポータブルで監査可能な台帳サービスである。

3つの時計が同じクロージングルームで動いている

買い手が売り手から IPv4 アドレスブロックを取得することに合意したと想像してください。当事者は価格を交渉し、デューデリジェンスを完了し、書類に署名し、エスクローエージェントに資金を預けました。売り手は移転リクエストを開始しています。買い手はそれを承認しています。RIR は権限と適格性を審査しています。買い手とその上位ネットワークのエンジニアは、経路フィルター、逆 DNS、地理位置情報通知、不正使用連絡先、発信元認可を準備しています。

誰もが「移転」という言葉を使って現在進行中のことを説明するかもしれません。しかし、彼らは一つの行為を説明しているわけではありません。

商業チームは、売り手が合意された登録状態を提供し、買い手が支払うことを約束する契約を意味します。RIR は、権威ある記録において番号リソースに関連付けられた組織の管理変更を意味します。ネットワークチームは、パケットが買い手の意図したトポロジーでアドレスに到達できるようにする一連の運用変更を意味します。これらの行為は同日に発生する可能性がありますが、同時性によって法的または技術的な性質が融合するわけではありません。

この区別が最も重要になるのは、何かが失敗したときです。レジストリがリクエストを拒否した場合、契約はまだ存在するのでしょうか?通常は、失敗した条件に従う拘束力のある合意が存在する可能性がありますが、答えは契約条件と準拠法に依存します。レジストリが変更を承認したが、買い手が利用可能なトランジットを取得できない場合、リソースは移転されたのでしょうか?登録イベントは完了しているかもしれませんが、運用展開は完了していません。記録が変更される前に買い手の ASN から経路が現れた場合、売買は発生したのでしょうか?必ずしもそうではありません。売り手は一時的な使用を許可したか、許可証を提供したか、段階的な移行を手配した可能性があります。

単一のステータスフィールドでは、これら3つの質問すべてに答えることはできません。また、一つの機関がそれを試みるべきでもありません。各イベントは異なる利益を保護するため、証拠は分離されなければなりません。契約証拠は契約を保護します。レジストリ証拠は一意性と認識された管理を保護します。ルーティング証拠は運用上の信頼を保護します。健全な市場にはこれらすべてが必要であり、接続されていながらも混同されてはなりません。

イベント1は売り手と買い手の間の契約である

最初のイベントは商業的なものです。その本質的な事実は、当事者の身元と権限、指定されたプレフィックス、価格またはその他の対価、決済に関連する義務、手数料と税金の配分、承認失敗の扱い、および一方の当事者が履行しない場合の救済策です。ブローカーは当事者を紹介し、書類を調整することがあります。エスクロー提供者は資金を保持することがあります。弁護士は、権限、紛争、過去の使用、悪用履歴、制裁エクスポージャー、または関連記録の状態に関する表明を定義することがあります。

契約は、どちらかの当事者がレジストリに行動を依頼する前に署名されることがあります。また、条件付きであることもあります。多くの賢明な契約は、署名と決済を区別します。署名は義務を生み出し、決済は特定の条件が満たされた後にのみ発生します。レジストリの承認はそのような条件の一つかもしれません。支払いのリリースは、記録が変更された証拠に依存するかもしれません。技術的なクリーンアップや合意された支援が完了するまで、一部の金額は保留されるかもしれません。

これらはいずれも、RIR がすべての商業条件を裁定することを必要としません。レジストリは、認識された保有者と意図された受領者の権限のある代表者が変更を要求していることを知るために十分な証拠を必要とします。一意で正確な登録状態を維持するためには、価格、買い手の資金調達マージン、ブローカーの手数料、エスクロー紛争条項、または当事者の完全な保証スケジュールは必要ありません。

RIPE NCC が公開している移転契約のテンプレートは、この区別を非常に明確に示しています。その書式は、提供側と受領側の当事者が、リストされたインターネット番号リソースの登録を移転することに同意するものです。書式は当事者、その登録詳細、リソースを特定し、レジストリ変更の要求を記録します。これは完全な購入契約ではありません。別個の商業契約がその周りに存在することができ、レジストリ書式は契約全体を明らかにしたり解決したりしません。

LACNIC は、移転促進ページでその境界をさらに直接的に述べています。当事者間の商業業務には介入しません。潜在的な提供者、受領者、または仲介者をリストし、記録変更を管理するポリシーを適用することがありますが、ブローカーのサービスを監査したり、責任を負ったりしません。これは制度上の抑制であり、放棄ではありません。市場は、レジストリデスクに吸収されるのではなく、契約、法律、デューデリジェンス、専門的責任を通じて説明責任を果たします。

したがって、最初のイベントの証明は契約上のものです。署名された契約書、企業権限、エスクロー通知、請求書、決済証明書が含まれることがあります。これらの資料は、価値が交換され、義務が有効になったことを示すことができます。独立したレジストリ証拠がなければ、権威ある記録が移動したことを示すことはできません。

イベント2はレジストリの認識された状態変更である

2番目のイベントは管理的かつ証拠的なものです。担当 RIR はリクエストを認証し、提供側の当事者を登録状態と照合し、受領者のステータスを該当するポリシーに基づいて確認し、移転ロックや紛争条件をテストし、その後記録を更新します。RIR 間移転の場合、送信元と受信レジストリは調整して、リソースが競合する管理下に同時に置かれたり、システム間で失われたりしないようにする必要があります。

現在の RIPE ポリシーでは、受領側への移転が完了するまで元の保有者が責任を負い、RIPE NCC は完了を反映するために登録記録を更新すると述べています。APNIC の公開ガイドでは、送信元が開始するリクエスト、受領者の確認、ポリシー評価、該当する場合は料金支払い、その後 APNIC Whois データベースの更新が説明されています。ARIN のポリシーでは、指定された受領者への移転の場合、送信元が現在の登録者または認識された保有者であり、リソースのステータスに関する紛争がないことが必要です。LACNIC の移転ルールも同様に、保有者の確認、紛争チェック、完了後の記録更新を求めています。

これらは異なる地域の手続きですが、共通の核心は見えます。レジストリは買い手のネットワークを作成せず、パケットを移動させません。ブロックについて誰が認識されているかについての共有管理アカウントを変更します。この行為は、事業者、取引相手、セキュリティシステム、裁判所が信頼できる参照を必要とするため、価値があります。これにより、1つのプレフィックスが同時に無関係な2つの当事者に属するものとして表現される可能性が減少します。

レジストリ完了には独自のタイムスタンプが必要です。公開移転ログの日付は、多くの場合、RIR が変更を処理または登録した日付です。RIPE NCC は公開日をそのように定義しています。その日付は、売買契約が署名された日、支払いがリリースされた日、または買い手が最初にスペースをルーティングした日として暗黙に記述されるべきではありません。それはレジストリイベントです。

そのイベントの証拠には、レジストリの完了通知、存在する場合の公開移転ログ、変更された登録記録、受領者に表示されるアカウント状態が含まれます。リソース証明書や変更後に利用可能になった管理面も含まれることがあります。各項目には定義された範囲があります。公開ログは、レジストリが特定の日にリストされたリソースについて、ある指名された当事者から別の当事者への移転を記録したことを証明できます。通常、商業価格、正確な契約決済条件、または買い手の実際の使用を証明することはできません。

記録は、その狭い主題に対して権威を持つべきです。リソースを取り巻くすべての事実に対して形而上学的な権威を持つべきではありません。それを売買の決定的な証拠として扱うことは、レジストリが観察したことを誇張することになります。それを無関係として扱うことは、一意の記録の調整価値を過小評価することになります。規律ある立場はこれらの誤りの間にあります。

イベント3はルーティングにおける運用使用である

3番目のイベントはネットワーク内で発生します。買い手または許可されたサービスプロバイダーが経路を発信し、上位ネットワークがそれを受け入れ、ピアが伝搬し、他のネットワークが独自のポリシーに従って経路を選択します。移転されたアドレスは、サーバー、アクセスネットワーク、クラウドインフラ、顧客割り当て、変換プール、またはその他のサービスをサポートすることができます。これが、商業的価値がライブ接続になるイベントです。

BGP は譲渡システムとして設計されていません。RFC 4271は、経路を宛先到達可能性情報とパス属性のペアとして定義しています。BGP スピーカーは経路を受信し、ローカルポリシーを適用し、自身の使用のために経路を選択し、ピアに何を広告するかを決定します。プロトコルは購入契約を求めません。価格を問い合わせません。観測されたパスの最後に ASN が現れたという理由だけで、プレフィックスの法的所有者を宣言しません。

そのアーキテクチャにより、ルーティング証拠は強力でありながら限定的です。過去の BGP データは、プレフィックスがいつ可視であったか、どの発信元 AS が現れたか、観測がどの程度広がったか、アナウンスが登録日の前後で変化したかを示すことができます。RIPE NCC の Routing Information Service は1999年からピアからの更新を収集しており、そのアーカイブはこの再構築をサポートできます。RIPEstat は現在および過去のビューを提供し、他のコレクターは追加の視点を提供します。

どのコレクターもインターネット全体を見るわけではありません。ある観測点で見える経路は、他の場所でフィルタリングされている可能性があります。発信元の変更は、販売ではなく、プロバイダー移行、DDoS 軽減サービス、エニーキャスト展開、顧客再構成、または一時的なリークを反映するかもしれません。ブロックは、買い手が移行中に売り手または共通プロバイダーを維持するため、同じ ASN によって発信され続けながら新しい保有者に登録されることがあります。逆に、許可されたサービス契約の下で、レジストリ完了前に新しい発信元が現れることもあります。

したがって、運用上の証明は正確に述べられるべきです。「プレフィックスは発信元 ASN X からこのコレクターでこの時間から観測された」は支持可能です。「買い手はその時点からアドレスを所有していた」は BGP だけでは確立されません。到達可能性テスト、ルーティングコレクター、上位ネットワークの確認、構成証拠が一緒になって使用を示すことができます。それらは契約やレジストリの領収書を置き換えることはできません。

RPKI は認可イベントを追加するが、それを輸送に変えるわけではない

RPKI は、登録とルーティングの両方に近い暗号素材を追加するため、3つのイベントモデルをより複雑に見せることができます。実際には、境界を明確にします。

RFC 6480は、リソース証明書が割り当て階層を表し、正当な保有者が1つ以上の AS に経路の発信を許可することを可能にすると述べています。また、割り当て情報だけではルーティング決定を導くのに十分ではないとも述べています。Route Origin Authorization は、特定の AS が指定されたプレフィックスを発信することを許可されているという明示的な声明を提供します。RFC 6811は、BGP スピーカーが検証状態を導出する方法を説明し、その状態に対して取られるアクションはローカルポリシーの問題であるとしています。

したがって、有効な ROA は販売も普遍的な到達可能性も証明しません。RPKI 階層内に発信元とプレフィックスの組み合わせに対する暗号的に有効な許可が存在することを証明するだけです。事業者はその結果を使用して、設定されたポリシーに従って経路を拒否、優先度低下、または受け入れることができます。他の運用制御(プレフィックスフィルター、ルーティングレジストリ、顧客契約、最大プレフィックス設定、パスポリシー、トランジットの物理的可用性)は依然として重要です。

移転は微妙な引き継ぎを生み出します。売り手はスペースをカバーする ROA を持っているかもしれません。買い手は同じ発信元を維持するか、新しいものを使用するか、複数のプロバイダーを許可することを意図しているかもしれません。古い許可を早すぎて失効させると、代替案がキャッシュを通じて伝搬する前に経路が無効になる可能性があります。時代遅れの許可を無期限に保持すると、不要な権限が残る可能性があります。RFC 6480は、継続的な到達可能性が望まれる場合の make-before-break 処理を推奨しています。

これはレジストリに買い手のネットワークを計画する許可を与えるものではありません。許可された引き継ぎを信頼性高く観察可能にする義務をレジストリと証明書システムに課します。受領者は発信元と展開タイミングを選択します。上位ネットワークはインポートおよびエクスポートポリシーを選択します。RIR は、認識された記録と一貫してリソースリンククレデンシャルサービスを維持します。

取引記録において、RPKI は第2および第3のイベントに付随する4番目の領収書として表示されるべきです。新しい許可が利用可能になり、古い権限が削除された時間です。これは契約の決済タイムスタンプや最初の安定した経路と誤解されてはなりません。

可能な順序は、単一のイベントが決定的でないことを証明する

最も単純な取引順序は、合意、レジストリ完了、ルーティング展開です。そこでも、時計が正確に一致することはほとんどありません。当事者は完了の数週間前に署名するかもしれません。レジストリはサービスデスクが選択した時間に更新するかもしれません。買い手はテストプレフィックスを即座にアナウンスするか、地理位置情報とフィルタリングの更新を待つか、計画されたネットワーク立ち上げまでブロックを未使用で保持するかもしれません。

他の順序も合法です。買い手は価格交渉前に事前承認を取得するかもしれません。売り手は買い手が上位ネットワークの受入をテストできるように一時的なアナウンスを許可し、決済はまだ条件付きであるかもしれません。買い手はすでに経路を発信しているビジネスを買収し、発信元 ASN が一定のまま商業的管理が最初に変わるかもしれません。一時的な RIPE 移転は、定義された期間だけ受領側に登録を置き、その後返還する一方で、商業的取り決めは完全な販売よりもリースに似ているかもしれません。

逆の順序もリスクを露呈する可能性があります。古い登録者が公開記録に残っている間に経路が移動するかもしれません。その場合、不正使用報告や地理位置情報システムは間違った組織を指します。上位ネットワークは、争われる可能性のある許可証に依存するかもしれません。売り手の認証情報は、買い手が支払った後もルーティング許可を変更できるままであるかもしれません。これらはイベントを整合させる理由であり、それらを同一と宣言する理由ではありません。

ルーティング変更のないレジストリ変更は本質的に疑わしいわけではありません。買い手はブロックを在庫として保持しているか、徐々に移行しているか、管理されたネットワークプロバイダーを維持しているか、運用子会社が引き続き発信している持株会社を買収しているかもしれません。レジストリ変更のないルーティング変更は、秘密の販売の証拠ではありません。顧客アナウンス、再割り当て、リース、ホスティング、軽減サービスはすべて、トップレベルの登録から使用を分離できます。

監査の質問は、すべての移転が一つの理想的な順序に従うかどうかではありません。順序が許可され、文書化され、安全であったかどうか、互換性のない主張が存在しなかったかどうか、各主体が割り当てられた決定のみを実行したかどうかです。

移転ログはレジストリの領収書であり、完全な市場テープではない

RIR の移転ログは、認識された変更の公開トレースを作成するため不可欠です。RIPE NCC は、提供側、元のブロックと移転されたブロック、受領側、利用可能な場合は国情報、移転タイプ、処理日を公開しています。APNIC は、市場、合併、買収、履歴移転にわたる公開ログを維持しています。ARIN は、地域内および RIR 間の活動に関する移転統計とデータを公開しています。LACNIC のポリシーは、当事者、リソース、取引日を含む公開アクセス可能なログを要求しています。

これらのログは、管理的な領収書として読まれるべきです。レジストリ認識の事実については逸話よりも強力であり、省略されたすべてのことについての弱い証拠です。ほとんどのログは、価格、支払い日、失敗した条件、ブローカー手数料、資金調達構造、最初の経路、古い ROA と新しい ROA、契約保証、またはレジストリがリクエストを管理した時間を公開しません。

APNIC による RIR ログの分析では、2012年から2024年までのエントリが約3億900万の移転アドレスを表すと推定し、複数回移転されたブロックがその集計を一意のスペースの過大評価にするという警告を発しています。また、すべての実用的な移転が登録されているかどうかという未解決の問題も提起しています。その警告こそが、まさに3つのイベントモデルが有用である理由です。レジストリログはそれ自体では完全でありながら、プライベートな使用取り決めを見逃すことがあります。BGP は運用上の変更を明らかにする一方で、契約を見逃すことがあります。どちらのデータセットも他のデータセットをカバーするように拡張されるべきではありません。

優れた公開報告は、機密契約を開示せずにレイヤーを接続します。レジストリ完了、移転タイプ、プレフィックス、当事者を公開できます。また、集計処理時間と拒否理由、そしてブロックが新しい発信元から可視になったかどうかを示すオプションの後続運用指標を公開できます。価格の透明性は別の市場報告設計に属し、機密性が正当化される場合は集計を使用すべきです。

規律は、すべてのフィールドをイベントごとにラベル付けすることです。定義のない日付は誤った確実性の源です。

ブローカーはイベントを接続するが、融合しない

ブローカーが存在する理由の一部は、3つのイベントが異なる専門知識を必要とするからです。彼らは取引相手を見つけ、ブロックが適格かどうかを判断し、デューデリジェンスを手配し、RIR 書式を調整し、エスクローの順序を決め、技術的チェックを導入します。APNIC は、移転活動を公正に行い、誠実に行動し、RIR ポリシーを正確に代表することに同意するブローカーのリストを維持しています。LACNIC は、マッチングリストに仲介者を許可する一方で、その使用は任意であり、そのサービスはレジストリによって保証されないことを明確にしています。

ブローカーの実質的な力は、役割定義を重要にします。ブローカーは、どの単一の参加者よりも取引スケジュールを知っているかもしれませんが、自身の証拠の範囲外の事実を認定すべきではありません。当事者がそのプロセスを通じて署名したこと、または指定された資料を提出したことを証明できます。すべての上位ネットワークが経路を受け入れることを決定的に証明することはできません。提供者の適格性、紛争、または RIR 間調整が未解決の場合、レジストリの事前承認を決済の保証として表すべきではありません。

競合もイベント境界を越えます。決済時に支払われるブローカーは迅速な商業契約を好むかもしれませんが、エンジニアは経路受入をテストするための時間を必要とします。エスクローを保持または選択するブローカーは、支払いのリリースに影響を与える可能性があります。スペースもリースするブローカーは、買い手が所有権を選択するか一時的な使用を選択するかに関心を持つ可能性があります。これらの競合は開示と契約上の管理を必要とし、RIR がブローカレッジを引き継ぐことではありません。

最高のブローカー記録は調整シートです。契約署名、条件、レジストリ提出、当事者確認、承認、記録更新、エスクローリリース、クレデンシャル引き継ぎ、ROA 変更、最初のアナウンス、安定した使用をリストします。各行は責任主体と証拠を特定します。シートはブローカーを公的機関に変えるものではありません。調整を検査可能にします。

上位ネットワークは独立した運用決定権を持つ

買い手は時々、レジストリの承認がプロバイダーにスペースをルーティングする義務を生じさせるかのように扱います。そうではありません。上位ネットワークは、契約、ルーティングポリシー、セキュリティ管理、プレフィックス長ルール、顧客認証、リスク判断を持っています。RFC 8212は、明示的なポリシーなしに外部 BGP 経路を送信または受け入れるべきではないという原則を反映しています。RPKI 検証は一つの入力かもしれません。レジストリデータ、ルーティングオブジェクト、許可証は他の入力かもしれません。

その独立性は、支払いを済ませ記録変更を完了した買い手を苛立たせることがあります。しかし、それを取り除くことはさらに悪いでしょう。中央レジストリが何千もの自律ネットワークに経路を受け入れるよう命令すべきではありません。事業者は、ハイジャックをフィルタリングし、不正なアナウンスを拒否し、顧客境界を強制し、経路を選択できるままでなければなりません。分散制御の代償として、運用上の受入は儀式的な承認ではなく準備を必要とします。

買い手の技術的デューデリジェンスは決済前に開始されるべきです。プレフィックスサイズ、現在の発信元、より具体的なアナウンス、ルートオブジェクト、ROA、逆 DNS、不正使用連絡先、地理位置情報履歴、ブロックリスト、プロバイダー要件を棚卸しする必要があります。各意図する上位ネットワークに、どのような証拠とリードタイムが必要かを尋ねるべきです。これらのチェックは、上位ネットワークが商業販売が有効かどうかを決定することを意味しません。プロバイダーが何を運ぶかを決定することを意味します。

売り手にも義務があります。削除または移行しなければならないライブサービス、顧客、委任、クレデンシャルを特定すべきです。合意された時期より前に経路を撤回したり許可を失効させたりして、サービスが中断されることがあってはなりません。引き継ぎ後も運用管理を保持すべきではありません。クリーンな移転は、2つの組織が同じブロックに対して同時に行動できる期間を狭めます。

したがって、ルーティングの最終性は確率的かつ定義されます。意図された発信元が宣言されたコレクターセットで可視であり、指定された上位ネットワークによって指定された間隔で受け入れられ、矛盾する発信元がなく、許容可能な RPKI 状態であることを意味するかもしれません。地球上のすべてのネットワークが永遠に収束したことを正直に意味することはできません。

最終性には3つの領収書が必要であり、1つの大きな宣言ではない

市場には、当事者が資金をリリースし、資産を認識し、通常の逆転を期待しなくなるポイントが必要です。3つのイベントモデルは最終性を否定しません。最終性をより正確にします。

商業的最終性は契約によって支配されます。表明された決済条件が満たされるか放棄され、対価がリリースされたときに発生します。領収書は決済証明書またはエスクロー確認かもしれません。契約上の救済は決済後も存続することができますが、契約はその定義された敷居を越えています。

レジストリの最終性は、担当 RIR が認識された状態変更をコミットし、受領者がそのサービスモデルの下でリソースを管理できるようにし、完了通知を発行したときに発生します。修正または逆転の権限は制限されるべきです:詐欺、事務的誤り、管轄裁判所の命令、またはその他明確に定義された理由があり、緊急時に許可される場合は通知とレビューが伴います。不明確な裁量で再開できるレジストリ記録は、資本資産市場にとって十分に最終的ではありません。

運用上の最終性はサービス基準です。意図されたアナウンスと許可が買い手の展開にとって十分に安定したときに発生し、レジストリの係員がボタンを押したときではありません。当事者は、支払いリリースをレジストリの最終性のみに依存させるか、短い運用確認に依存させるか、段階的なマイルストーンに依存させるかを選択できます。明示的に選択すべきです。

3つの領収書は紛争も改善します。支払いはリリースされたが記録変更が発生しなかった場合、商業的救済が可視です。記録は変更されたが、上位ネットワークが無効な発信元を拒否したために経路が失敗した場合、運用原因が可視です。両方の当事者が公開チェックリストを満たした後にレジストリが遅延した場合、機関のパフォーマンスが可視です。すべてを「移転失敗」にまとめることは、間違った主体を精査から保護します。

共通の取引識別子は、秘密の条件を公開せずに領収書をリンクできます。普遍的な公開番号である必要はありません。当事者と RIR は共有参照を維持でき、公開報告は適切な場合にプライバシー保護派生を使用します。本質的な特徴は調整であり、監視ではありません。

レジストリは狭い決定権と実際のサービス義務を持つ

狭さを受動性と混同すべきではありません。単に任意の電子メールを受け入れ、記録を編集するだけのレジストリは、偽造された権限、二重移転、争われた状態を招くでしょう。適切なサービスにはいくつかの積極的義務があります。

組織と権限のある代表者を認証しなければなりません。提供者が要求されたリソースの認識された保有者または法的後継者であることを確認しなければなりません。ポリシーが関連付けるロック、過去の移転、予約ブロック、アクティブな紛争を特定しなければなりません。受領者が該当するサービス関係に入ることができることを確認しなければなりません。管理が地域をまたぐ場合、別の RIR と調整しなければなりません。一貫した状態をコミットし、監査証跡を保存し、拒否する場合には理由を提供しなければなりません。

これらの義務は、一意性のグローバル不変条件と記録の実用的整合性を保護します。価格が公正かどうか、買い手の投資家が賢明かどうか、その製品が資本に値するかどうか、どの上位ネットワークを使用すべきか、いつ立ち上げるべきかを評価することとは異なります。レジストリは権限と状態をテストすべきであり、商業的メリットをテストすべきではありません。

この区別は反事実として表現できます。問題の事実が、2つの有効な保有者を作成したり、記録を破損したり、定義されたセキュリティ制限に違反したりすることなく変更できるかどうかを尋ねます。価格は一意性を損なうことなく変更できます。資金調達は変更できます。買い手は一方の上位ネットワークを選択したり、展開を遅らせたりできます。これらの事項は通常のレジストリ判断の外にあります。提供者の権限は無視できません。偽の提供者を受け入れることは記録を破損するからです。同時に競合する移転は無視できません。これらの事項は内部にあります。

RIR のサービス義務にはタイムリーさが含まれます。狭い役割は無期限の待ち行列の言い訳にはなりません。必要な証拠を公開し、クロックが申請者を待っているのかレジストリを待っているのかを特定し、ステータスを提供し、中央値だけでなくテールも測定します。難しいケースでより多くの証拠が必要な場合、機密資料を公開せずにカテゴリを説明します。最終性は制限された管理に依存します。

紛争は事実を保存する凍結を必要とし、契約の乗っ取りではない

実際の移転は、破産、詐欺の申し立て、企業承継、制裁、裁判所命令、競合する署名者に遭遇します。3つのイベントモデルは、1つのレイヤーでの紛争がすべてのレイヤーを暗黙に書き換えるのを防ぐため、ここで最も価値があります。

2人が売り手の権限を主張する場合、レジストリは企業権限を検証するか、管轄命令を尊重する間、記録変更を一時停止する必要があるかもしれません。その一時停止は、誰が購入契約に違反したかを決定しません。裁判所または合意された仲裁機関が契約上の権利を決定することができます。RIR は正確な記録を提供し、証拠を保存し、その法的役割の範囲内で結果に従います。

レジストリ紛争中に経路が移動した場合、その存在は記録されるべきですが、自動的な勝利として扱われるべきではありません。不正なアナウンサーは、契約上または登録上の権利を取得することなく、運用上の事実を作成できます。同様に、レジストリは、商業紛争が係争中であるという理由だけで、有効な既存の経路を技術的に非現実的であると説明すべきではありません。事業者は、請求が解決されている間、継続性を必要とするかもしれません。

比例的な凍結は、範囲、理由、開始時間、レビュー担当者、有効期限またはレビュー日を持ちます。安全が許す限り現在のサービスを維持しながら、争われた登録状態が変更されるのを防ぎます。無関係なリソースを凍結したり、機密の申し立てを証明された事実として開示したり、当事者にレジストリが好む和解を強制したりすべきではありません。

アカウントの侵害や権限の偽造の信頼できる証拠がある場合、緊急行動が必要になることがあります。その場合でも、復元とレビューが続くべきです。セキュリティホールドは記録を保護します。保有者のビジネスに対する無制限の権限を取得する機会ではありません。

RIR 間移転には2つの台帳コミットが必要

移転が RIR 境界を越える場合、レジストリイベント自体に2つの機関側面があります。送信元 RIR は既存の記録と送信元制限を知っています。受信 RIR は受領者関係と宛先ポリシーを知っています。共有完了ルールなしに独立して更新すると、リソースが両方の場所に現れたり、どちらにも現れなかったり、異なる時間に異なる状態になる可能性があります。

解決策は、制御された2台帳コミットに似ています。まず、各 RIR は自分に割り当てられた事実を検証します。次に、両方が同じリソースセットと当事者に対する準備完了をマークします。第三に、1つの調整されたアクションが有効な完了時間を確立します。第四に、公開およびアカウント記録が調整されます。アクションが完了できない場合、システムは半分の移転が最終的であると偽ることなく、以前の状態に戻ります。

この言語は、現在の RIR システムが文字通り1つの技術的トランザクションプロトコルを使用しているという主張ではなく、サービス設計を説明しています。要件は観察可能な一貫性です。当事者は1つの有効なレジストリタイムスタンプを受け取り、どの機関が残りの不一致に対して責任があるかを知るべきです。

RIR 間のポリシー互換性は別の問題です。一方のレジストリがニーズテストやより長い保有期間を課すことがあります。記録更新技術が健全であっても、移転を妨げる可能性があります。本稿はその貿易障壁を解決しません。ポリシー拒否は、記録を変更する技術的不能として偽装されるのではなく、そのようにラベル付けされるべきだと主張します。

ルーティングは2台帳コミットの外にあります。発信元認可はその周りで順序付けられますが、外部の事業者はローカルな選択を保持します。経路受入を自動的にするグローバルレジストリトランザクションは、有用な記録サービスを命令システムに変えるでしょう。

監査は3つのイベントを別々に再構築すべきである

高品質の移転監査は3つの列から始まります。商業列は、署名、条件、決済権限、エスクローステータス、支払いリリースを記録します。レジストリ列は、該当する場合は事前承認、提出、証拠要求、当事者確認、ポリシー決定、調整された完了、公開記録変更を記録します。運用列は、意図された発信元、ROA 状態、ルートオブジェクト、上位ネットワーク受入、最初のアナウンス、安定性、売り手のアクセス廃止を記録します。

各エントリには、ソース、タイムスタンプ、主体、信頼度が必要です。署名された契約書はその条件の一次証拠です。レジストリ完了通知はレジストリ認識の一次証拠です。コレクター観測は、それらの視点が何を見たかの一次証拠です。ブローカーの記憶は欠落した文脈を接続するかもしれませんが、より強力な記録を置き換えるべきではありません。

再構築は不一致を保存すべきです。契約が決済を14:00 UTC に定義し、公開移転ログが次の暦日を示す場合、その差は処理またはタイムゾーンの慣行を反映するかもしれません。それは説明されるべきであり、一つの日付に丸められるべきではありません。移行中にプレフィックスが2つの発信元から現れた場合、重複は測定されるべきです。買い手がブロックをルーティングしなかった場合、運用列はそれを述べるべきであり、レジストリ移転が無効であったことを暗示すべきではありません。

この方法はまた、市場分析における誇張された主張を防ぎます。レジストリ行を数えることは認識された変更を測定します。発信元変更を数えることはルーティングイベントを測定します。ブローカー取引を数えることはそのブローカーに知られている商業的取り決めを測定します。分母は異なります。研究者はそれらを比較できますが、単一の母集団として加算すべきではありません。

当事者にとって、監査は決済後の管理になります。売り手のクレデンシャルが削除されたこと、買い手の連絡先が正確であること、認可が意図された発信元と一致すること、契約記録がレジストリ領収書と調整されることを確認します。RIR にとって、集計監査は、価格を公開せずに、遅延したケース、一貫性のない証拠要求、再発する RIR 間障害を露呈できます。

番号リソース社会は台帳を薄くし、移転をより安全にできる

ポジティブな代替案は、記録のない市場ではありません。希少でグローバルに一意な識別子は信頼できる状態を必要とし、市場は最終性を必要とします。番号リソース社会は、その状態サービスがよりポータブルでテスト可能かつ控えめになる方向性を示しています。

NRS 移転サービスは、最小限の有効な状態遷移を定義します:特定されたソース、管理の証明、特定された受領者、正確なリソース、互換性のない以前の状態がないこと、権限のある署名、有効時間、耐久性のある履歴。検証ルールは公開されます。証拠形式は標準化されます。保有者の記録と証明は、単一の事業者のアカウントシステムに閉じ込められるのではなく、エクスポート可能です。

サービスプロバイダーは、価格、資金調達、ブローカー選択、顧客計画、経路に対する権限を取得することなく、遷移を検証し公開できます。争われた遷移は、説明のない裁量によって消去されるのではなく、可視的なステータスと証拠パスを持ちます。最終性ルールは、修正のための狭い根拠とプロセスを特定します。独立したミラーとテストされた継承は、1つのサービスオペレーターが失敗した場合の継続性を保護します。

ポータビリティは、記録管理者を規律するため本質的です。保有者が検証された状態と履歴を、実用的な認識を失うことなく互換性のあるサービスに移動できる場合、不良サービスには退出結果があります。事業者は依然として一意性を維持しなければなりません。競合するコピーを作成するライセンスは得られません。ポータビリティは保管とサービスに関するものであり、リソースの複製ではありません。

NRS はまた、ルーティング境界を明確にします。管理のポータブルな証明と経路認可オブジェクトをサポートできますが、ネットワークはローカルで検証し選択し続けます。共通レイヤーは何が本物かを述べます。事業者は、自身のセキュリティと商業関係の中で何を運ぶかを決定します。

これは、今日の RIR に単に抑制を求めるよりも強力です。抑制をサービスアーキテクチャの一部にします:小さな決定論的チェックセット、完全な監査証跡、ポータブルな記録、明示的な最終性、通常のビジネス選択に対する継続的な許可がないこと。

「移転」という言葉は二度と単独で使われるべきではない

IPv4 の希少性はレジストリ変更を経済的に重要にしましたが、重要性は機関を融合させません。売り手と買い手は契約を作ります。レジストリは状態変更を認識します。事業者は到達可能性を作成し受け入れます。RPKI は認識された管理を発信元認可にリンクし、ルーティング動作をローカルに任せます。ブローカーとエスクローエージェントは境界を調整しますが、すべての真実の源にはなりません。

実用的な改革は言語的かつ制度的です。すべての深刻な報告は、どの移転を意味するのかを述べるべきです。契約は署名されたか?決済されたか?RIR は記録変更を完了したか?買い手はアカウント管理を取得したか?意図された ROA は公開されたか?新しい発信元は可視になったか?上位ネットワークは受け入れたか?これらは答えられる質問です。「移転は起こったか?」はイベントが指名されるまで答えられません。

この精度はすべての側を保護します。買い手はより明確な決済設計を得て、支払い前に運用リスクを特定できます。売り手は買い手のネットワークを保証せずに引き渡しを証明できます。ブローカーは調整の限界を述べられます。上位ネットワークはルーティング自律性を保持します。レジストリは要求が厳しいが制限されたサービス基準に拘束されます。

最も重要なのは、この区別が記録管理者を記録の規模に戻すことです。レジストリは商業的価値を作成したり、契約を交渉したり、パケットを運んだりしません。それは不可欠な中間行為を行います:認識された管理の一貫した説明を保存することです。その行為には慎重な認証、迅速な実行、監査可能性、継続性が必要です。それは両側の行為に対する支配を正当化しません。

したがって、成熟した移転市場は3つの時計を公開し調整するでしょう。契約の最終性、レジストリの最終性、運用上の使用は近づくことができますが、決して同じイベントにはなりません。そうでないふりをやめるとき、システムはより安全になります。

ソース