摘要

  • IANA 编号职能作为一种可合同化的技术服务时最为有力:维护顶级 IPv4、IPv6 和 ASN 状态,处理符合政策的 RIR 请求,支持反向 DNS 父级授权,并发布公开证据表明全球号码记录保持唯一。
  • 政治所有权是一种错误的框架。无论政府、ICANN、PTI、地区互联网注册机构还是 NRS,都不应因运行注册服务而被描述为拥有互联网号码。可以维护的权限更为狭窄:在约定的标准下履行指定的协调职责,并在服务失败时保持可替换性。
  • 一个资源号协会兼容的模型可以积极而不鲁莽。NRS 可以主张持有者的可携带性、开放验证、数据证明、可审计性以及不受现有机构否决的自由,同时保持全球唯一性,并将认可的权威与补充证据分开标记。
  • 必要的架构是基于合同和证据的:签署的当前状态承诺、与分配注册机构、RDAP 和反向 DNS 证明的对账、RPKI 连续性、事件和纠正记录、继任者准备情况、透明的资格审查测试,以及保护运营方免于双重注册或服务被扣为人质情况的替换过程。

围绕 IANA 的错误选择

围绕 IANA 的辩论往往被引向一个错误的选择。一方将 IANA 视为互联网治理中仅存的公众王冠,一个必须被政治性拥有或防御的象征点。另一方视其为中立的技术窗口,其周边的权力问题通过良好的工程惯例解决。这两种描述对于号码资源来说都不充分。

编号职能不是主权领土。它并不拥有每个地址、不许可每个运营商,也不统治每条路由。但它也不是一个文书工作的附带结果。IPv4、IPv6 和自治系统号委托的顶级记录给了注册系统一个共同的起点。反向 DNS 父级授权、RDAP 引导数据、RPKI 层次结构假设和全球政策认可,都直接或间接地依赖于一个稳定的记录,即哪个注册机构对哪些资源拥有权威。

正确的框架是可合同化的服务。一个可合同化的 IANA 职能有明确的客户、明确的职责、可衡量的服务期望、服务的证据、安全和连续性义务、数据可迁移性、争议解决和替换规则。它仅在下述意义上具有政治性:各机构必须决定谁可以执行服务以及在何种问责条款下。其日常正当性应基于表现和证明,而非所有权说辞。

这一区分对于任何资源号协会兼容的未来都很重要。NRS 最好的积极论据并不是它可以宣布对号码的一种新政治权威,而是号码资源协调应该是可迁移、可验证和足够开放的,以至于没有现有服务提供商能够将技术依赖转化为永久的制度性否决权。这一论证只有全球唯一性被更严格地保持时才能成功,而不是更放松。

什么是可合同化的

IANA 编号中可合同化的部分是对一项已定义服务的执行。它包括维护针对未分配或已委派的 IPv4、IPv6 和 ASN 资源的顶级注册机构;处理满足全球政策的请求;记录顶级层面的归还或再分配;支持上层反向 DNS 委派;维护相关的公开注册机构;并与依赖该服务的各方分享运营证据。

当前的 IANA 编号服务 SLA 已经证明,这样的服务可以归结为法律义务。它确认 ICANN 为运营商,五个 RIR 为当事方,并规定了有效的请求处理、性能报告、安全义务、争议解决、不予续约、终止和继任安排。它并非完美。其可见的补救路径可能缓慢,且普通的指标缺失不会自动变成公开的补救计划。但该协议的存在反驳了 IANA 编号必须仅凭机构信任来治理的观点。

下一步是使合同更加数据原生。时间指标表明一个请求是否在一定时期内被确认或实施。数据证明指标表明结果状态是否可以独立重建。顶级注册机构是否从一个确切状态更改为另一个?该更改是否与一个符合政策的请求相关联?先前状态是否已存档?所有依赖的公开注册机构是否已更新?第三方能否检测出是否呈现了两个不一致的历史记录?

这正是 NRS 兼容思维可以提供帮助之处。NRS 强调准确的记账和有限的注册机构权力。这一理念应导向一个服务合同:运营商的权力受到公开证据的约束。当证明得以改善时,职能并不会变弱。它变得不那么依赖个人信任和现有机构的声誉。

全球唯一性在成为政治主张之前是一种数据属性

RFC 7020 中描述的互联网号码注册系统存在是为了分发全球唯一的 IP 地址空间和 AS 号码。唯一性是核心的运营承诺。它意味着两个无关方不应从两个均声称是最终权威的机构收到相同的当前资源。它还意味着历史变化应足以重建,以解释为何当前状态是如此。

该承诺可以表达为一种数据属性。在给定时间,一个资源范围在权威记录中有一种顶级状态:未分配、保留、已委派给注册机构、已归还,或根据已定义类别以其他方式标记。后来的状态应通过一个记录的更改来扩展或取代先前状态。每次更改应标识其源权威、原因类别、生效时间、受影响范围和依赖效应。

政治所有权的表述使这一点变得模糊。如果某个政府声称所有权,问题就变成了政府的合法性。如果 ICANN 或某个 RIR 被当作拥有者,那么服务提供商就更难替换。如果 NRS 声称所有权,它就重复了自己批评的错误。这些举措中没有一个能改善唯一性。实际问题在于:所有依赖方能否验证同一个当前状态,以及任何偏离能否被迅速检测到。

数据证明不能解决所有争议。一个签名的记录可以表明一项决定已做出,但不能表明该决定是公平、合法或商业上明智的。哈希承诺可以表明文件在某个时间之前存在,但不能表明签名者具有权威。对账报告可以显示公开顶级账本中没有重叠,但不能表明每个区域成员记录都是完美的。但这些有限的命题仍然有价值。它们缩小了分歧,使机构性断言可被检验。

因此,一个可合同化的 IANA 职能应将唯一性视为一种持续被证明的状态。服务运营商不应仅仅说注册机构是正确的。它应发布足够多的结构化证据,供合格的审计师、RIR、NRS 风格的可迁移性服务和网络运营商检测不一致性,而不暴露保密材料。

服务客户范围大于缔约方

当前的 IANA 编号合同是在 ICANN 和五个 RIR 之间。这是合理的,因为 RIR 是顶级编号分配和反向 DNS 协调的直接客户。它们提交请求、报销费用,并通过 NRO 结构监督性能。合同需要对手方,而 RIR 显然是合法的客户。

运营上的依赖范围更广。一个云提供商在决定是否接受自带 IP(BYOIP)时,依赖于地址记录。一家银行评估 IPv4 抵押品时,依赖于转让承认。网络运营商验证路由时,依赖于 RPKI 信任。一个公共机构采购连接时,依赖于 RDAP 和反向 DNS 证据。一个持有者在注册机构失败后试图转移服务时,依赖于数据可迁移性。这些行为者可能根据 IANA SLA 没有直接的请求权,但顶级协调变得不透明或被俘获时,他们却承担了成本。

一个 NRS 兼容的设计应保留 RIR 作为必要的缔约方,同时通过证据增加公众信赖权利。这不要求每个运营商都去起诉 IANA 运营商。它要求可验证的记录、公开的事件通报、独立的审计摘要、持有者可读的收据,以及对于任何声称支持连续性的服务开放资格审查标准。

法律客户与运营依赖方之间的区别在关键基础设施中很常见。清算所可能与会员签约,而投资者依赖结算的终局性。证书颁发机构可能与订户签约,而浏览器和用户依赖验证。注册机构可能与注册商签约,而注册人和解析器依赖所产生的状态。法律并不总是给予每个依赖方直接的救济,因此证据层变得更重要。

NRS 可以在这一层面发挥作用。它可以倡导持有者收据、独立观察、可迁移性包和连续性证明,从而减少盲目信赖。它不应利用依赖作为通往权威的捷径。更稳妥的主张是,更广泛的依赖值得更广泛的验证,而不是更广泛的政治指令。

技术 SLA 应衡量的远不止响应时间

当前 SLA 中的时间承诺是必要的。一个有效的请求必须被确认,额外信息必须在规定期限内要求提供,通常的实施必须在相关起点后的规定期限内进行。如果运营商不能在较长期限内完成请求,它必须说明状态和理由。这些义务防止服务消失于沉默之中。

对于未来的可合同化模型,时间应仅是外层。真正的服务水平在于状态转换的完整性。一个好的 SLA 应衡量请求接受、拒绝原因、实施延迟、注册机构状态的一致性、先前和新状态承诺的发布、反向 DNS 传播、RDAP 引导更新对齐、RPKI 信任影响、事件披露、纠正延迟和继任者导出就绪状况。

它还应区分严重程度。延迟确认不同于重复分配。过时的 RDAP 引导条目不同于受损的签名密钥。反向 DNS 延迟不同于权威注册历史记录丢失。一个成熟的 SLA 应具有事件类别、对每个类别所需的解释、治愈期、公开摘要和升级触发条件。

这不仅是为了官僚体制本身。没有严重性类别,最严厉的补救措施会过于严厉,而普通指标则过于薄弱。终止服务并不是对每个疏失都合理的回应。沉默也不是对反复的或无解释的失败的合理回应。中间的补救措施使替换变得可信,因为它们创建了一条路径:警告、公开分类、纠正计划、独立验证、反复失败,然后是继任者行动。

NRS 兼容的改革应坚持这一中间层。如果唯一的选择是制度信任或制度消亡,未来的注册服务就无法负责。可合同化的问责正存在于二者之间。

数据证明应内建于服务之中

顶级编号服务应发布对其当前状态的结构化承诺。一个承诺不是完整的数据导出。它可以是一个签名的声明,将特定的状态文件、时间、更改集和运营商密钥绑定在一起。独立方可以随后确认他们收到的状态是否与承诺的记录匹配。如果针对同一时间或序列出现了两个不兼容的承诺,模棱两可就会变得可见。

证明集应包括几个层次。第一,一个涵盖顶级 IPv4、IPv6 和 ASN 委派、保留和归还的已签名当前状态文件。第二,一个已签名的更改日志,将每个新状态链接到先前的状态和原因类别。第三,一个对账报告,比较 RDAP 引导条目、反向 DNS 父级委派和公开的 IANA 分配注册机构。第四,一个足以让继任者重建服务的导出包,而无需要求现有机构凭记忆解释其自身历史。

隐私和安全限制很重要。并非每份请求文件、员工交流或认证细节都应公开。证明可以承诺于受保护的材料而不暴露它们。一个公开条目可能表明:一个符合政策的请求,由指定的 RIR 角色认证,支持了一次更改,并且受保护的请求记录依据已定义的访问规则保存。之后若产生争议,审查者可检视该材料。

其结果是有限度的信任。运营商不需要相信每次内部对话都是完美的。他们需要确信:公开状态具有唯一的历史,更改可以归因,受保护的证据存在,审计师可以检视,且继任者可以使用。这与 RPKI 清单、存储库同步和透明度日志背后的精神相同:证明可证明之事,标记仍属判断之事,并为纠正保留足够证据。

NRS 应倡导这一证明纪律,因为它与其记账员前提一致。一个更好的记账员并不声称拥有神秘权威。它保存经得起审计的记录。

RPKI 展示了被接受的信任的重要性,而非自行宣布的权威

RPKI 给任何未来的编号模型上了严酷的一课。证书和已签名对象可以使路由源授权更可验证,但其权威依赖于可被接受的信任锚和资源委派。RFC 6480 描述了一个以 IANA 为根、通过 RIR 和较低层级延伸的层次结构。位于已接受链之外的签名可能在技术上是正确的,但在运营上被忽略。

对 IANA 而言,这意味着信任锚的连续性是一个服务问题。如果顶级资源权威或支持密钥发生更改,依赖方必须收到清晰、分阶段、经认证的信息。RFC 8630 的信任锚定位器模型和后来的信任锚密钥工作表明,引导和密钥过渡既是治理问题,也是文件格式问题。依赖方需要时间、并行运行、多个检索位置,以及确信继任密钥并非冒充品。

对 NRS 而言,同样的观点是一个边界。NRS 可以发布补充的持有者证据、连续性密钥和已签名的收据。它不能仅仅通过签名就使它们具有全球权威。运营商必须知道一个签名是证明了成员资格、持有者声明、独立审查、公认注册机构收据,还是顶级委派。每类命题需要不同的信任标签。

因此,一个可合同化的 IANA 职能应当分离信任类别。权威的顶级注册机构状态应来自合同项下被接受的 IANA 运营商或继任者。补充的可迁移性证据可能来自 NRS 或其他保证机构。RPKI 路由源有效性可能来自被接受的证书链。法定权利可能需要合同、法庭记录或区域注册机构的决定。混同这些标签将制造混乱与风险。

积极的未来并非由一个根来统治所有主张。它是一个可互操作的证据环境,在这个环境中每个根证明一件狭窄的事情,且更换服务提供商并不会破坏历史证明。

RDAP 和反向 DNS 暴露依赖链

RDAP 引导和反向 DNS 表明为何 IANA 不能简化为一个地址分配表格。RFC 9224 描述了从 IANA 分配数据中生成的、带有 RDAP 服务信息的 RDAP 引导注册机构。其目的是将用户引导至权威的注册数据,而非恶意来源。RFC 3172 描述了通过 IANA 和区域注册机构对 in-addr.arpa 和 ip6.arpa 的委派。这些都是建立在顶级承认之上的依赖链。

如果 IANA 运营商或继任者对这些链条处理不当,损害是实际的。查询工具会指向错误的服务。滥用投诉台会发现过期的记录。采购检查会失败。反向身份会仍与旧的委派相关联。RPKI 和 RDAP 可能以混淆依赖方的方式不一致。一个在注册机构失败后试图转移的持有者会面对一个无法携行的公开记录。

因此,合同应要求跨依赖表面的连贯性。顶级分配更改应触发对 RDAP 引导状态的检查。反向 DNS 父级委派更改应具有已记录来源和传播报告。注册服务替换应包含一项针对公开端点、缓存、序列值、证书和工具维护者通知的计划。争议应被标记,而不导致状态不可读。

这正是现有机构否决权可以隐藏之处。一个现有注册机构或服务提供商可能辩称,只有它理解这些依赖表面,且替换将危及连续性。有时该警告是真实的。有时它是一种谈判姿态。数据证明和演练过的导出包有助于区分二者。如果依赖性已被记录并测试过,连续性风险就变得可管理。如果依赖性是私有的且基于个人化的,现有机构就通过设计变得不可替代。

一个 NRS 兼容的方法应当支持连续性,而非反对现有机构。它不应该为了替换而替换。它应当要求,没有任何现有服务机构能够通过扣留证据、格式、密钥、历史状态或服务图谱而使替换成为不可能。

替换是一个程序,而非威胁

“替换”这个词可能听起来会造成不稳。对 IANA 编号而言,它应意味着相反之事:一条经过测试的路径,允许在当前运营商出现重大失败、丧失权威、无法履行或被不予续约时,服务得以继续。替换路径的存在恰恰约束了现有机构,因为它减少了恐慌。

一个可信的程序早在失败之前就开始。它定义了对继任者的资格标准:技术能力、中立性、财务韧性、安全控制、公开报告、数据保管、密钥管理、冲突规则、审计、语言能力及连续性演练。它要求现有机构维护可导出的状态并提供合作。它定义谁可以触发评估、谁可以批准继任者、争议如何标记以及运营商如何被通知。

该程序还必须在过渡期间保护唯一性。对于某些顶级状态,应有冻结或受控更改期。现有机构与继任者记录之间应有对账。应有公开的切换时间、先前和新状态的承诺、紧急回滚规则,以及处理已在流转中请求的方法。没有任何持有者应能通过向一个服务呈现一种记录、向别处呈现另一种记录来利用过渡。

替换不应依赖现有机构在最后一刻的许可。现有机构应享有正当程序、纠正机会和在移交中的角色。在已定义的失败或不续约条件满足后,它不应持有否决权。否则替换权利就成了做戏。

这一原则是 NRS 兼容论题的核心。现有机构可能很出色。它们可能拥有合法的专长。它们的意见应当被听取。它们不应能将运营记忆转化为永久性的政治所有权。服务属于共同的唯一性需求,而非当前执行它的办公室。

主权表述制造了错误的补救措施

号码资源跨越国界,但这并不使它们成为主权领土。各国政府对其管辖范围内的公司、合同、税收、制裁、欺诈、电信许可、破产和公共安全拥有合法权力。这些事实可能影响注册机构证据。它们并不意味着一个国家仅仅因为持有者居住于彼或注册机构注册于彼,就拥有一个前缀。

主权表述制造了生硬的补救措施。如果一个国家被说成拥有该资源,注册机构就变成了外交工具。如果一家全球性公司被说成拥有它,私人治理就固化为准主权。如果一个区域注册机构被说成拥有它,会员服务就变成了领土控制。如果 NRS 作为回应声称所有权,冲突只是换了旗帜。

更好的补救措施是合同和证据。法院命令可作为具有确定效果的法律事实记录。制裁名单可通过一个服务分类和通知路径进行处理。监管机构可要求国内运营商采取行动,而无需重写全球顶级账本。注册机构可标记争议,而不必过早地重新分配资源。继任者也可继续服务,而无需声称政治控制。

这一方法在适得其所之处尊重公共权力,并防止它吞噬技术协调。它也保护了运营商。他们需要可预测的记录,而非主权戏剧。一家为 IPv4 资产提供融资的银行、一家接受路由对象的云服务商、一个依赖某项服务的公共机构,或一个正在转移资源的小型 ISP,都需要知道哪个机构将记录更改以及为何。他们并不会从关于谁拥有互联网的宏大主张中获益。

NRS 最强大的哲学就是坚持号码资源机构是记账员,而非统治者。可合同化的 IANA 模型将这一哲学在顶层予以操作化:保持账本准确、证明它、使保管员可被替换,并将普通政治权威留在注册服务之外。

无现有机构否决权意味着客观的资格审查

移除现有机构的否决权并不意味着允许任何新进入者主张权威。它意味着使得资格的获得,与那些其市场地位将受威胁的机构的同意相分离。一个未来的服务提供商,包括寻求某个角色的 NRS 在内,应在接受任何被承认的责任之前通过客观测试。

这些测试应是公开的。候选者能否维护全球可达的服务端点?能否保护密钥?能否在不自创政策的情况下,依据全球政策处理顶级请求?能否发布已签名的状态承诺和受保护的证据收据?能否运行 RDAP 引导和反向 DNS 对账演练?能否保守机密性?能否管理冲突?能否经受资金压力?能否接受独立审查?能否将数据导出至另一继任者?

现有机构应为测试做出贡献,因为它们理解失败模式。它们的证据应被使用。它们的反对不应具有决定力。一个由现有机构控制的资格审查制度会变成卡特尔章程。一个忽视现有机构知识的资格审查制度会变得不安全。答案是,依据在危机之前已商定的标准进行独立评估。

NRO、ICANN、邻近 IETF 的技术专家、运营商、持有者、审计师和可迁移性倡导者都可以贡献标准。NRS 可以贡献持有者可迁移性和反俘获的观点。最终规则应当是服务中立性的:无论谁能满足证明、连续性和问责标准,都可以被考虑;无论谁不能,就不应得到承认。

这就是可合同化职能的实际含义。权威遵循经过检验的服务义务和可被接受的证明,而非个人身份、历史或否决。

NRS 的首要角色是提供证据,而非替换

一篇正面且 NRS 兼容的文章不应假装 NRS 已经在运行 IANA 编号服务或被接受的全球信任锚。它当前的公开材料是倡导、章程声明和会员条款。它们确立了哲学和一个成员决策界面。它们并未建立广泛的运营商采用、IANA 委派、RPKI 根接受或全球注册机构权威。

这一局限并不使 NRS 无关紧要。它指明了正确的首要角色:建设可迁移的证据服务,这些服务可以被评估而不会威胁唯一性。NRS 可以发布附理由的会员收据,保护会员连续性密钥,公开对其自身决定的见证式承诺,保存持有者提供的证据,支持对其加入或终止选择的独立审查,并允许带着可验证的历史退出。它可以表明,一个记账员可以被证明所约束。

由此,NRS 可以通过打包证据而非宣告结果来支持处于争议、转让或连续性规划中的持有者。持有者可以携带有签名的历史、公司继承证据、注册机构收据、RPKI 状态、RDAP 引用、反向 DNS 记录和争议注释。运营商在仍核查权威 IANA 和 RIR 记录的同时,可以验证这个包。这将改善市场和运营信心,而不会造成双重分配。

只有在此类证据服务被证明之后,NRS 才应寻求更正式的角色。一个无法解释自身成员资格决定的服务不应运营全球注册机构。一个能够保存证据、支持审查、证明连续性并导出状态的服务,具有获得更大信任的可信基础。

因此,对 NRS 的正面论证是分阶段的。首先证明克制。然后证明证据力。然后证明互操作性。只有到那时才问,一个被承认的服务角色是否合理。

合同应同时保护持有者和注册机构

当前的编号 SLA 是围绕 RIR 客户构建的,这对顶级分配而言是合理的。未来的问责模式应增加面向持有者的保护,而无需使每个持有者都成为缔约方。合同可要求运营商和继任者保存持有者所需的证据:历史顶级状态、转让承认标记、争议注释、反向 DNS 委派历史、RPKI 连续性信息及纠正的公开解释。

持有者保护之所以重要,是因为注册服务失败并不会止步于机构边界。如果一个 RIR 或顶级运营商无法证明连续性,持有者可能会失去云的接纳、质押价值、转让确定性、路由源信任或公共部门资格。持有者可能不在意哪家机构失败了;它在乎的是其资源历史仍能被验证。

因此,合同应规定最低限度的导出权利。替换时,非敏感的当前状态应可公开。受保护的证据应在第三方托管或独立保管下转移。持有者应收到影响其权益的记录通知。争议应保持可见,而不公开私人指控。纠正程序应在移交后存续。继任者不应以空白的机构记忆起步。

这与转让市场架构相符。IPv4 稀缺性使号码资源具有了经济上的重要性。若承认关系每次随服务提供商变更而消失,市场就无法运行。终局性要求一份比办公室更长久的记录。可迁移性要求随持有者移动的证明。注册服务之间的竞争需要一种可移动而无重复资源的方式。

NRS 可以推动这一持有者权利维度,同时保持对唯一性的忠诚。重点不在于让持有者挑选最容易的注册机构。重点在于防止合法的持有者,当证据能够证明连续性时,却被不负责任的注册机构关系困住。

反碎片化需要一个状态和多个验证者

围绕替代注册服务的恐惧是碎片化:针对同一资源的两个不兼容记录、两个 RPKI 视图、两个 RDAP 回答、两个转让历史,以及运营商的选边站队。这种恐惧是正当的。一个将每个机构通过主张都视为同等权威的未来模型,将损害它所声称要保护的唯一性本身。

答案并非一个不可替换的机构。答案在于一个权威的当前状态、许多验证者,以及一个更改发布该状态的服务提供商的已定义程序。验证者可包括 RIR、运营商、NRS、审计师、研究人员、云提供商和公共存档机构。它们的任务是检测不一致性、保存证据,并使发布者负责。它们并不各自创建一个冲突的当前状态。

这一区别在其他系统中是常见的。许多方可以验证一个账本,而无需各自铸造官方余额。许多监控器可以监视一份透明度日志,而无需各自颁发证书。许多运营商可以验证 RPKI,而无需各自分配地址空间。当角色清晰时,分布式验证会加强单一状态。

一个可合同化的 IANA 职能应鼓励独立镜像、见证式承诺、可复现的状态文件、公开验证器和外部审计。它应阻止看似权威但不进行对账的私有平行状态。除非且直至一份被承认的合同给予它服务角色,NRS 应将自身置于验证方一侧。这种姿态使 NRS 更安全也更有说服力。

反碎片化也意味着为紧急情况做规划。如果现有机构失败,继任者应发布相同的最后有效状态,而非一个被偏好的政治改写。纠正可在通知和证据审查后进行。过渡中的首要职责是唯一性之连续。

资金应跟随服务,而非机构

一个可合同化的职能需要一个融资模型,为可靠的服务买单,却不使运营商不可替换。资金应覆盖人员、安全、基础设施、审计、法律准备、第三方托管、独立审查、密钥管理、连续性演练和公开报告。它不应变成对现有办公室的忠诚费。

如果费用仅通过当前机构流转,这些机构就可将替换描述为财务混乱。如果继任者没有有保障的过渡资金,替换权利就是虚的。如果 NRS 或其他候选者依赖不透明的捐赠支持,独立性就变得可疑。因此,合同应提前界定服务资金、储备规则、过渡资金和审计要求。

当前的 SLA 使用由 RIR 对 IANA 编号服务的费用偿还。未来的模型可在保留集体出资的同时使部分资金可迁移:第三方托管资助的过渡支持、独立评估员资助、公开证明基础设施和紧急运营储备金。金钱应附着于服务职责,而非现有机构的声望。

这并非主张以机器速度进行竞争性招标。IANA 编号太重要了,不能随意折腾。它论证的是,服务提供商应知道它可以因被界定的失败而失去角色,而继任者应知道它可以在无需恳求现有机构提供资金、数据或配合的情况下开展工作。

资金纪律也是一种反政治纪律。主权故事常隐藏资源问题:谁付钱,谁控制储备金,谁资助诉讼,谁为应急人员提供资金。一份合同把这些问题转化为数字、审计和触发条件。

公开证明不应变成公开曝光

更多的证据并不总是更多的公开数据。号码资源记录包含商业关系、联系人、安全事件、转让谈判、法庭材料和个人信息。一个注重证明的 IANA 模型应暴露验证状态所需的最低限度信息,而非每份决定背后的文件。

公开层可显示资源范围、当前顶级状态、签发者、序列、时间、原因类别、依赖服务状态和对受保护证据的承诺。受保护层可在访问规则下持有经认证的请求、身份证明、法律文件、员工分析和安全细节。审计层可允许独立审查者确认受保护证据支持公开状态,而不公开证据本身。

这对 NRS 也同样重要。一个发布过多内容的可迁移性服务将使持有者望而却步,并制造安全风险。一个发布过少内容的服务将要求世界信任它。正确的答案是选择性披露加上强承诺:证明存在、完整性、序列和可审查性;仅向有合法需要的当事方披露内容。

设计还应考虑纠正。如果公开承诺中包含错误的状态,该记录不应被抹去。而应以一份带有原因和指向先前承诺的链接的纠正来取代。历史完整性和当前准确性都很重要。删除令人尴尬的记录使记账员不值得信任;冻结虚假记录则使其变得危险。

因此,无暴露的证明是一项设计要求,而非一句口号。这就是全球性服务如何在尊重商业和个人界限的同时承担起责任的方式。

替换的触发条件应当明确

替换程序只有在触发条件被界定时才可信。模糊的不满是不够的。服务应识别以下条件:重复性地在实质上未能达到高严重性服务水平、拒绝提供所需的数据导出、安全受损而无充分补救、法律能力丧失、影响服务的破产、持续未能实施有效的全球政策请求、未能保持唯一性,或在经过正当程序后不予续约。

每个触发条件应有证据。重复的服务缺失需要度量和事件分类。数据导出失败需要请求证明和未交付证明。安全失败需要受保护但可审查的调查结果。唯一性失败需要冲突的状态记录或重复委派。法律能力问题需要正式文件。替换决定不应基于情绪做出。

该程序还应具有治愈路径。有些失败可以被纠正。有些需要临时介入,而无永久性替换。有些需要独立监控。有些则有理由采取立即的紧急行动。合同应在危机前对这些加以区分。

NRS 应支持精确的触发条件,因为它们既防止俘获也防止混乱。现有机构不能仅因一个替代者不喜欢它们就被移除。现有机构同样不能仅因政治上的尴尬就可留任。做判断的是服务标准,而非机构身份。

精确性也保护全球唯一性。在有争议的替换期间,运营商需要知道应依赖哪个状态。一个已界定的触发条件和公开通知降低了两个机构同时声称相同角色的风险。

第一份合同应在无危机的情况下可测试

一个可合同化的 IANA 模型不应等到机构失败才测试其承诺。第一份服务合同,或现有合同的下一修订版,应要求定期演练,证明服务可以从证据而非机构记忆中重建。桌面演练是有用的,但这还不够。运营商应定期生成继任者导出包、一份当前状态承诺、一份依赖服务对账和一份供独立审查的受保护证据样本包。

该演练应当是范围窄且安全的。它不应转移实时权威。它应选择一次历史更改、一个当前委派状态、一条反向 DNS 更新路径和一项 RDAP 引导关系,然后请一位独立审查者从导出证据中重建发生了什么。如果审查者无法说出哪个状态是当前的、为何发生了更改、哪些依赖表面被触及,或哪些受保护证据支持该更改,那么即使日常运营是绿灯,该服务也存在可迁移性缺陷。

这类测试将改变激励机制。现有运营商将知道,它必须以继任者可读的形式维护记录。潜在继任者将在危机前了解到真实的运营表面。RIR 将了解到哪些依赖性没有被良好地记录下来。持有者将获得信心,相信其承认历史未被禁锢于私有系统之中。NRS 和其他外部验证者将能够评判证据质量,而无需对实时注册机构主张权威。

测试应包含失败假设。如果现有机构的主存储库不可用呢?如果签名密钥在导出期间轮换了呢?如果一个请求正处于审查中途呢?如果一项法院命令影响某个持有者,但不影响顶级委派呢?如果 RDAP 引导和反向 DNS 记录不一致呢?如果一个 RIR 对导出的状态提出争议,而其他四个接受呢?一份不能在失败前回答这些问题的合同,随后将在压力下回答它们。

公开结果可以是有限的。安全细节、认证材料和私有持有者证据应保持受保护。但审查者可以公布:导出是否完整、状态是否在内部一致、依赖服务是否已对账、受保护证据是否存在、恢复时间是否满足预期,以及哪些类别需要纠正。这足以使替换可信,而无需暴露敏感记录。

这种可测试合同的方法,正是 NRS 能做出最具建设性贡献之处。与其要求世界在今天现有机构与明天挑战者之间做出选择,NRS 可以要求每个服务提供商证明其可迁移性。这一要求是中立的。若 PTI 通过,对 PTI 的信任上升。若未来某项 NRS 服务为其自身记录通过测试,对 NRS 的信任上升。若现有机构阻拦测试,社区将了解到对连续性的威胁来自不透明,而非替换的想法。

定期测试也防止改革成为危机武器。重点不在于让继任者伏击等候。重点在于让每个运营商表现得好像服务,而非办公室,才是恒常之物。这就是可合同化 IANA 职能的核心纪律。

如果演练是无聊的,它就成功了。无聊的证明,正是当制度信心突然跌落时,使替换保持合法、平静且技术上可存活的因素。它也给了运营商一个共享的参照,在传闻变成路由政策之前。

未来的模型通过收窄范围来实现激进

最彻底的改变将是让 IANA 编号职能变得无聊地可合同化。非象征性的。非主权性的。非被拥有的。非豁免的。一项已界定的服务,由合格的运营商执行,受可见的指标、数据证明、独立审查、持有者敏感的证据规则和真正的替换所约束。

这一模型与 NRS 的最佳版本兼容。NRS 可以主张注册机构权力应受限制、证据应可转移、持有者不应被俘获、市场应收到可靠的证明,以及现有机构应保持可替换。它可以如此主张,同时坚持当前权威状态保持唯一,补充记录不得冒充为被承认的分配。

该模型也与 ICANN 的合法角色兼容。ICANN 可在其使命所需的最高层面继续协调。若 PTI 达到服务标准,可继续运营该职能。RIR 仍为缔约方和政策制定者。运营商可获得更佳的证明。持有者能获得可迁移性。政府可在常规管辖范围内行事,而无需声称对号码空间的所有权。

张力不在于秩序与改革之间。它在于不可审查的秩序与经验证的秩序之间。一个可合同化的 IANA 职能选择经验证的秩序。它说的是:保持一个状态,证明它,让保管员可被问责,并在需要替换之前为替换做好准备。

这就是全球唯一性如何在制度变化中存活,而不变成政治财产的道路。