摘要
- 互联网号码竞争应围绕注册服务展开,而非围绕同一前缀或自治系统号的不兼容声明。RFC 7020 将唯一性作为核心注册要求:一个 IP 地址或 AS 号不得同时分配给多个方。
- 可移植设计将资源、被认可的持有者、注册服务提供商、公共验证器、与 IANA 关联的分配结构以及网络运营商分离开来。更换提供商会改变一个服务关系,不会出售资源、替换持有者、重复分配或直接路由。
- 多个合格的注册商可以在支持、价格、语言、安全控制、证据处理、转移协助、RDAP 展示和可选服务方面展开竞争。他们必须共享身份、权限、转移状态、争议持有、安全连续性、记录保留和审查的最低规则。
- 一个序列化提交点是防止重复的关键。公共层验证当前版本、所需的批准以及不存在不兼容的持有,然后记录一个提供商变更并撤销前提供商的权限。竞争提供商可以保留证据和副本,但不能将相互冲突的当前状态公布为同等权威。
- 移动号码可移植性、域名注册商转移和活期账户切换展示了客户如何更换提供商,同时共享协调安排保持连续性。这些都不是 IP 前缀或 ASN 的精确法律或技术模型;但它们共同表明可移植性是制度性基础设施,而非合作承诺。
- RPKI、反向 DNS 和 RDAP 使得号码可移植性比简单的客户记录迁移要求更高。依赖服务需要显式的连续性步骤、仅在不造成矛盾权威的情况下的重叠,以及在释放旧提供商之前的独立验证。
- 公共层本身必须是可替换的。开放规范、独立见证的历史、可导出的状态、分离的资格认证和审查、经过测试的继任者激活以及 IANA 编号服务连续性模型可以防止零售竞争位于一个不负责任的永久协调者之下。
稀缺性让重复看起来像自由,直到失败
IPv4 稀缺性增加了替代方案的压力。持有者可能不喜欢其区域互联网注册机构、反对费用、需要另一种语言的支持、面临争议或希望获得更安全的提供商。如果现有机构无法被替换,制度性依赖就变得具有经济意义。允许竞争注册商独立识别持有者的诱惑是存在的。
这种回答混淆了竞争与矛盾。如果注册商 Alpha 说一个前缀属于一家公司,而注册商 Beta 说同一个前缀属于另一家公司,那么网络和交易对手并非在普通市场意义上获得选择。他们接收到关于一个全局复用标识符的不兼容声明。每个都必须决定接受哪个注册商的真相,而该资源不再可靠地唯一。
对于稀缺的 IPv4 地址块,问题更加尖锐,因为冲突可能支持竞争性出售、租赁、安全授权和公共记录。注册商可能通过应用较宽松的证明或无视争议来吸引客户。短期报价看似有竞争力;长期结果是权威的逆向选择。
真正的竞争在保持稀缺资源唯一的同时使服务提供商可替换。持有者应该能够在通用规则下解雇 Alpha 并任命 Beta。Alpha 应在某一时刻失去当前权限,Beta 应在同一时刻获得权限。分配历史和持有者连续性应保持可见。可移植性使退出成为可能,而不要求互联网在相互冲突的世界之间选择。
RFC 7020 定义不可协商的核心
RFC 7020描述了互联网号码注册系统,并指出注册准确性是核心要求。它指出唯一性意味着 IP 地址和 AS 号不会同时分配给多个方。它还描述了一个根植于 IANA 角色的层级结构,区域互联网注册机构服务于本地互联网注册机构和其他客户。
该文档并未永久冻结每个制度安排。它记录了截至 2013 年号码系统的结构和目标,并预见到持续的演进。唯一性要求仍然是架构性的。独立运营的网络可以在内部重用地址,但全球协调的公共号码资源依赖于一个共同的理解,即当前分配不会同时给两个无关方。
RFC 7020 还保护了一个重要边界。地址是否被公告以及如何被公告是注册范围之外的操作考虑。注册记录不会强制路由器接受某个路径。这意味着可移植性可以改变注册服务,而不假装控制每个网络。
NRS 应同时处理这两个命题。它必须保持全球一致的分配,同时保持路由层面的简洁。公共验证器以唯一性为理由,而非声称运行互联网。提供商围绕记录展开竞争;运营商根据自身策略和适用的安全信号决定路由。
六个角色不可合并为一个机构
当六个角色被分离时,可移植号码制度变得更加清晰。资源是必须保持全球唯一性的前缀或 AS 号。被认可的持有者是根据适用的分配和转移历史当前有权获得注册服务的个人或组织。
注册商服务于持有者。它验证授权代表、保护证据、提交允许的指令、支持更正和提供服务。公共验证器检查提议的状态变更是否被授权且与当前状态兼容,然后记录一个有序的结果。
IANA 编号角色维护分配层级结构的顶端以及识别向 RIR 分发号码资源的全球注册表。网络运营商配置路由、过滤、反向 DNS 和安全使用。一个组织可以执行多个角色,但权力应保持可区分。
当现有机构声称全部六个角色时,垄断变得难以挑战。它可以说替换其客户服务将危及唯一性,质疑其政策将危及路由,移动管理功能将挑战 IANA。分离回答了这种修辞。持有者可以更换注册商而不改变资源。公共验证器可以被治理或替换而不改变每个路由。IANA 可以保持顶层一致性而不选择每个零售提供商。
角色分离也分配了责任。注册商进行身份验证。公共验证器进行序列化。IANA 维护顶层分配信息。网络进行路由。失败可以在导致它的杠杆处被检查,而非归因于一个无差别的社区。
竞争面足够广泛,值得关注
一些批评者认为,如果注册商共享规则和一个当前状态,就没有什么可竞争的了。域名市场和其他切换制度表明并非如此。当客户多年来依赖记录时,服务质量并非微不足道的层面。
注册商可以在价格、响应时间、语言、区域专业知识、账户安全、恢复选项、证据最小化、隐私、委托管理、投资组合控制、转移协助、非工作时间支持和与网络运营的集成方面展开竞争。他们可以提供不同的审计报告、服务保证和保险。他们可以专注于小型网络、大学、公共部门运营商、跨国集团或转移市场参与者。
他们还可以在公共注册展示的质量上竞争,而不改变底层权威状态。一个可能提供更好的历史解释或更可用的警报。通用的 RDAP 要求在提供商改进面向持有者工具的同时保持互操作性。可选的托管 RPKI 和反向 DNS 服务如果可移植且不强制绑定到基本记录,则可以竞争。
这种竞争改变了议价能力。延迟支持或提高价格的提供商知道持有者有可执行的退出方式。新进入者无需说服世界认可竞争性分配;它需要资格和持有者的授权。市场进入成为服务进入,而非关于权威的地缘政治斗争。
公共层应做得比现有机构更少
需要一个当前状态并不能证明一个组织控制政策、客户服务、证据、安全凭证、争议和裁决是合理的。公共层应故意保持狭窄。
其基本职责是识别当前资源版本、验证提交的变更来自合格提供商、检查所需的授权证明、强制执行兼容的持有、序列化冲突指令、提交一个结果、撤销被取代的权限、保留可验证的历史以及发布权威发现所需的信息。
它不应决定普通零售价格、规定支持捆绑、保留每个持有者文件或出售高级批准。它不应路由流量。它不应判断自己的商业争议。它不应通过未文档化的技术选择制定实质性的分配政策。
一个狭窄的协调者更容易复制和替换。它还减少了必须集中的自由裁量权。注册商处理关系;公共层处理一致性。独立审查者处理有争议的权威。政策机构通过问责方式制定通用规则。
这个边界是可移植性的制度代价。如果公共层吸收每个功能,市场获得表面上的注册商选择,而依赖向上移动。持有者可以离开店面,但不能离开控制每个有意义结果的机构。
一个当前状态需要有序提交
只有当提供商变更有一个权威的完成点时,可移植性才能成功。在该点之前,旧提供商保留当前权限,提议的新提供商处于待定状态。在该点之后,新提供商成为当前提供商,旧提供商的权限成为历史。不能存在两者都能独立创建有效当前变更的间隔。
公共验证器应仅针对资源记录的已知版本接受转移。提交标识资源、当前持有者、旧提供商、提议的新提供商、授权证据、请求时间和依赖服务选择。验证器检查引用的版本是否仍然是当前版本。如果另一个有效变更已提交,过时的提交安全失败。
在提交时,验证器记录提供商替换并撤销前提供商令牌作为一个不可分割的行为。通知发送给持有者、两个提供商和注册的安全联系人。独立运营的见证者可以验证事件序列。提供商可以保留先前的证据,但不能使用旧令牌创建冲突的当前状态。
“公共”一词并不需要一台机器或一家私人公司。几个独立的验证器可以在定义的法定人数下见证或共同签署一个有序事件。重要的是它们收敛于一个被接受的序列,并且不能各自出售不兼容的答案。分布可以提高弹性;多重真相将破坏唯一性。
可移植性更改提供商,而非持有者
最重要的护栏是提供商替换与资源转移之间的区别。持有者更换注册商无需证明对前缀的新主张,仿佛获取它一样。被认可的持有者、资源集、分配历史和适用的限制保持不变。只有指定的服务提供商变更。
出售、合并、破产分配或其他持有者变更是不同的。它需要当前持有者的授权以及任何适用的实质性转移规则。将两者结合起来会为盗窃和囚禁创造机会。提供商可能声称每次退出都重新开放所有权,或者买方可能将资源出售隐藏在普通服务转移中。
因此,转移指令应说明什么保持不变。前缀或 ASN 是相同的。持有者标识符是相同的。现有的争议标记和法律限制继续有效。历史分配不会重新开始。注册商字段在指定时间变更。
如果也打算进行持有者变更,它应是一个经过单独授权的事务,具有自己的证据和审查。两者可以一起安排,仅当每个都达到独立的有效决定。失败的出售不应将持有者困在不受欢迎的注册商处,而注册商切换不应验证未经支持的出售。
IPv4 市场活动使区分变得紧迫
IPv4 枯竭增加了转移和租赁安排的价值。IANA 的号码资源分配数据指出其常规 IPv4 供应已耗尽,回收的地址空间遵循单独的分配方法。稀缺性意味着即使路由在该时刻未受影响,注册变更也可能具有经济意义。
一个可移植的注册商市场应支持合法的转移证据,而不成为相互冲突认可的市场。经纪人、买方、卖方、出租人和网络运营商可能使用不同的合同。公共状态应标识被认可的持有者和任何允许的公开状态。它不应将经纪人的挂牌或租赁声明视为第二次分配。
竞争可以改善对市场参与者的服务。注册商可以专注于尽职调查、托管协调、跨区域支持和转移后更新。公共验证防止它们通过降低唯一性标准进行竞争。不能证实权限的注册商应失去交易,而非通过发布自己的答案来获得市场份额。
同样的纪律保护小型持有者。没有公共状态,拥有最大商业影响力的注册商可能通过重复使其声明看起来真实。可移植性允许持有者选择服务,而验证使权限依赖于证据和有序接受,而非提供商规模。
接收提供商应主导切换
寻求退出的持有者应接近期望的新注册商。让现有机构成为唯一发起者,使被解雇的机构控制离开。它可以延迟、要求无关的支付或施压持有者留下。
接收注册商应验证持有者的授权、解释变更、标识依赖服务并提交请求。其商业激励支持完成。失去的提供商收到即时通知和一个有限的机会提出特定反对意见。它没有普遍否决权。
这种模式出现在其他行业。ICANN 转移政策规定了接收注册商、记录注册商和注册运营商的特定职责。英国活期账户切换服务由新银行或建筑协会主导,并使用共享服务完成转移并在其保证下重定向付款。
NRS 应调整制度逻辑,而非盲目复制细节。号码资源具有分配历史、反向 DNS 和 RPKI 依赖关系,这些与银行账户和域名不同。一般经验教训仍然存在:当选定提供商可以在共同职责下发起,且现有机构的反对有限、有理有据并有时限时,退出权利运作得更好。
认证必须可移植且不削弱安全
新提供商必须知道持有者授权了变更。一个接受来自单个受损联系人的电子邮件的可移植性制度将造成大规模盗窃。一个要求失去提供商酌情批准的制度将重新制造囚禁。
NRS 应维护独立于任何单一注册商的持有者控制的权限凭证。持有者可以指定多个组织角色、要求一定数量的批准,并保持与独立保管人的恢复路径。转移请求应绑定到资源集、接收提供商、预期时间和当前版本,以便不能为其他变更重放。
失去的提供商可以提供风险信息和真实身份争议的证据。它不应控制根凭证。如果提供商失败或变得敌对,持有者仍必须能够通过公共层和独立恢复证明权限。
RFC 9154提供了一个有用的安全比较,用于使用 EPP 授权信息进行注册对象转移。它区分注册人、注册商和注册角色,描述安全转移授权,并要求注册将提交的授权信息与存储材料进行比较。NRS 无需采用 EPP 或域名语义,但应采用转移授权狭窄、事务绑定、可过期且使用后失效的原则。
锁定应表达风险,而非提供商所有权
转移锁定可以在怀疑受损、活跃争议或最近重大变更期间保护持有者。它也可以成为最容易的保留工具。设计问题是控制锁的是谁、为什么存在以及如何结束。
持有者请求的锁定应通过一个不比重大账户变更更严格的安全路由可见且可移除。注册商施加的安全锁定应标识明确的风险,除非经审查否则快速过期,并且仍然可挑战。法院或独立审查的持有应标识其权限和范围。
费用争议不应创造扣押资源记录的普遍权利。失去的提供商可以通过普通补救措施追讨未付发票。它可以在法律允许的情况下扣留可选服务或金额,但不应使用全球唯一性作为抵押品,除非通用规则明确将债务与注册权联系起来。
ICANN 政策提供了另一个有界限的教训:它列出了注册商可以或必须拒绝域名转移的理由,要求提供理由,并拒绝若干理由为不足。号码资源可移植性需要自己的列表。该列表应比制度自由裁量权更短,且足够广泛以阻止已证实的盗窃。每个锁定应有负责行为者、时间戳、理由类别、过期时间和审查路径。
沉默不应让现有机构否决退出
可移植性可以在没有正式拒绝的情况下被击败。失去提供商只是不回应。如果完成需要现有机构的肯定同意,不作为变成永久控制。
通用规则应定义默认结果。一旦接收注册商提供了有效权威且所需通知已送达,现有机构有固定期限提出允许的反对意见并附上证据。该期限之后的沉默允许切换继续进行。真正的紧急情况可以证明公共层施加的短期持有是合理的,而非现有机构拥有的无限期暂停。
ICANN 当前转移政策为当记录注册商未回应注册通知时的注册商间域名转移提供了一个五个日历日的默认批准结构。确切数字对互联网号码资源不自动正确。结构性纪律是正确的:截止日期将沉默从权力转变为结果。
NRS 应发布每个阶段的绩效:凭证释放时间、反对时间、独立审查时间和最终提交时间。一个商业模式依赖于安静延迟的提供商应是可见的并最终失去资格。竞争不仅需要形式上的替代方案,还需要达到这些替代方案的已证明能力。
争议应冻结变更,而非创建对立分配
当两方声称控制权时,可能无法立即确定赢家。安全的回应不是让每方选择注册商并发布当前声明。公共状态应保留最后一个无争议状态,在适当情况下标记争议,并限制在审查前的后果变更。
争议持有必须狭窄。它应标识有争议的资源、权威、持续时间和允许的操作。常规联系更正或安全监控可以在状态冻结时继续进行。持有者不应因一个字段有争议而失去所有服务。
独立审查者需要权力以保存证据、命令临时措施并决定持有是否继续。公共协调员应执行该决定,但不应判断关于其自身行为的争议。法院保留其合法角色。
历史声明在事件记录中保持可见,而不成为竞争的当前状态。失败的索赔人可以挑战或上诉,但不能通过发布平行分配来制造技术歧义。这保留了法律分歧,而不强制路由运营商和交易对手独立裁决它。
移动号码可移植性展示了中立协调
电话号码和 IP 前缀不可互换。电话号码遵循国家计划,运营商通过行业特定系统交换呼叫,监管机构可以施加国内义务。比较仍然有价值,因为它表明一个标识符可以在服务提供商竞争时持续存在。
美国围绕统称为 NPAC 的区域服务开发了本地号码可移植性。FCC 的本地号码可移植性管理员技术需求描述了共享区域号码可移植性信息的中立独立管理员。运营商竞争;可移植号码不会变得两次有效。
欧洲电子通信法典第 106 条赋予终端用户独立于提供商保留号码的权利,约束服务损失,禁止延迟和滥用,并要求补偿规则。同样,法律义务不会自动转移给互联网号码资源。制度性见解是直接的:中立性、截止日期、同意、连续性和补救措施将可移植性转变为可执行的市场特征。
NRS 应借鉴竞争者和协调者之间的分离。注册商不应以有利于其零售业务的方式运行公共转移权威。治理、技术接入和费用必须是非歧视性的。中立性应通过结果衡量,而非在使命声明中声明。
域名注册商转移证明了提供商替换是可能的
通用域名市场分离注册名称持有者、注册商、注册运营商和 ICANN。持有者可以赞助从一个认证注册商转移到另一个,而域名在其顶级注册内保持唯一。RFC 5731定义了包括域名对象赞助变更管理的 EPP 命令。
域名模型表明面向客户的中介不必是永久性的。它也揭示了剩余的集中。顶级注册保持权威,通用政策继续约束注册商。一个.com持有者不能将相同域名移动到竞争性.com注册,同时保持一个全局答案。
NRS 应学习这两个教训。注册商竞争可以减少锁定。它本身并不使公共验证器负责。在零售层之上,仍然需要开放接口、提供商资格、审查、审计、继任和政策合法性。
号码资源也有不同的依赖关系。提供商变更可能影响 RDAP、反向 DNS 和 RPKI。路由不遵循与 DNS 解析相同的层级。域名类比确立了制度可能性,而非技术身份。NRS 必须在宣布切换完成之前执行号码特定的连续性测试。
活期账户切换表明连续性可以超越旧细节
银行切换提供了不同的比较。英国活期账户切换服务在七个工作日内完成完整切换,由新提供商主导,并将发送到旧细节的付款重定向。Pay.UK 运营共享服务。客户变更银行而无需在第一天与每个付款发起人协调。
互联网号码可移植性可以更强,因为目标是保留相同资源,而非从旧账户细节重定向。该比较仍然突出了有用的职责:选择的完成日期、接收提供商领导、共享协调、过渡期间的重定向、保证和错误的明确责任。
限制很重要。银行账户受金融监管、支付系统和存款规则约束。前缀具有路由、委托和安全依赖关系。NRS 不应声称七天的银行切换证明了七天的号码转移是安全的。
它证明的是连续性本身就是一项服务。机构可以定义谁移动什么、旧指令何时停止、剩余活动如何处理以及切换失败时谁支付。可移植性不应留给竞争者之间的善意。
RDAP 连续性需要权威发现,而非对立答案
RDAP 允许用户从权威服务检索注册数据。RFC 9224解释了 IANA 引导注册表如何将客户端导向 IP 地址空间和 AS 号的服务。对于地址空间,最长匹配选择找到相关服务位置;AS 号范围映射到服务 URL。
注册商切换不得为相同范围创建两个同等权威的 RDAP 目的地,除非它们在弹性安排下服务于相同接受状态。公共提交应更新负责的服务映射,或者公共服务应在零售注册商变更时继续响应。
两种模型是可能的。在公共发布模型中,所有注册商将接受的变更提交给共享 RDAP 服务。在委托发布模型中,权威发现指向当前提供商,具有受控过渡和一致性检查。第一个集中发布;第二个增加了可移植性复杂性。两者必须保持关于当前权威的一个答案。
副本不是有害意义上的重复,如果它们以加密方式绑定到相同事件历史且不能接受独立分配。多个服务端点可以提高弹性。多个不相关的真相则不能。NRS 应发布一致性度量、过期状态持续时间和恢复性能,以便用户区分冗余与碎片化。
反向 DNS 应作为显式依赖服务迁移
反向 DNS 委托对于邮件、日志记录、故障排除和服务身份可能在操作上很重要。保留持有者记录但意外删除委托的提供商切换仍可能损害连续性。
转移指令应说明反向 DNS 是否留在现有运营商、移动到接收注册商或移动到第三方。如果未请求变更,公共提交应保留委托。如果请求变更,新服务必须在旧服务被撤销之前就绪并验证。
注册商不应将反向 DNS 捆绑得如此紧密,以至于离开注册服务需要更改名称服务器。持有者控制的委托允许独立选择。提供商可以在托管反向 DNS 上竞争,而不将其用作锁定。
必须准备回滚。失败的委托变更应恢复先前的有效状态,而不逆转注册商切换,如果这两个行为可分离。这是另一个理由来区分表示功能。一个失败的可选服务不应重新打开谁服务核心注册的问题。
RPKI 连续性是最难的可移植性界限
RPKI 遵循资源分配层级。RFC 6480描述了资源证书、签名对象和存储库,允许网络验证路由起源授权。因此,提供商移动可能影响密钥、证书、存储库和路由起源授权,即使持有者和前缀不变。
最安全的模型赋予持有者对其密钥的控制,并让注册商提供可替换的管理。在使用托管 RPKI 时,转移必须建立接收提供商的权威、发布有效后继材料、使其对依赖方可用、验证传播,然后撤销前提供商的权威。重叠可以支持连续性,但不得允许在严格限制的过渡之外存在矛盾的当前授权。
公共验证器不应仅因为注册商字段已变更就声明成功。它应验证依赖安全状态,或记录托管 RPKI 被明确排除在切换之外。持有者需要预览哪些对象将保留、变更或过期。
网络仍然选择验证策略。可移植性不能保证每个路由都被接受。它可以保证制度移动不会通过已知的过渡缺陷意外撤销或重复权限。单独的安全事件路径应在允许安全恢复的同时冻结破坏性变更。
路由自主性仍独立于注册商竞争
注册商不应承诺作为识别资源的一部分提供优先路由。它可以提供监控、警报、路由对象支持和托管 RPKI,但它不拥有自治网络的路由决策。允许注册商通过声明其客户的路由全局有效来竞争,将在路由层重新创建多元权威。
资源记录说明被认可的分配和相关的注册事实。ROA 在 RPKI 架构内说明持有者对起源 AS 的授权。两者都不强制每个网络承载该路由。网络运营商选择对等、过滤器、本地偏好、验证策略和事件响应。
这种分离保护了竞争。提供商可以改进工具而不出售豁免于全局唯一性或安全规则。持有者可以更换注册商而无需重新协商每个 BGP 关系。路由争议可以使用注册证据进行调查,而不将注册商转变为通用流量权威。
它也诚实地限制了责任。注册商对其控制的指令、记录和凭证负责。它不对不相关的路由泄漏负责,仅仅因为它服务于持有者。公共层负责唯一性和接受状态,而非全局可达性。
跨区域可移植性必须保持顶层一致性
一个网络可以跨区域运营,并可能与多个 RIR 有关系。一个可移植市场可能允许一个司法管辖区的合格注册商服务于其资源源自另一个区域分配历史的持有者。这可以改善服务,但使权威复杂化。
资源应保留其分配来源和适用政策。更换注册商不应擦除来源 RIR、转换遗留状态或创建新的区域分配。公共验证器必须知道哪些规则管辖持有者变更、转移或争议,即使零售提供商在别处。
跨区域可移植性也提出了关于证据、制裁、法院命令、隐私和补救的法律问题。提供商应披露管辖条款,并维护能够接收有效通知的代表。持有者不应仅仅因为公共协调员秘密选择遥远法院而被强制进入遥远的法院。
IANA 链接的顶层信息仍然是分配结构的锚点。该级别以下的竞争不应创建区域影子池。一个注册商可以全球服务,同时每个接受的资源仍然追溯到一个一致的分配链。
提供商故障是可移植性的决定性测试
依赖于失去提供商的退出权利在该提供商失败时最不有用。破产、网络攻击、丧失认证或组织瘫痪可能使凭证和证据不可用。一个可信的 NRS 市场必须支持紧急继任。
合格注册商应以可移植格式向独立连续性保管人存放当前服务状态、权威证明和必要的转移材料。公共层应已了解持有者的独立恢复联系人。定期恢复演练应证明另一注册商可以在没有失败公司合作的情况下承担服务。
域名行业再次提供了比较。ICANN 的转移安排包括当注册商失去认证或授权时的批准批量转移。IANA 编号服务 SLA也设想了绩效期望、升级和如果协议结束时的继任运营商。两种安排都不提供完整的 NRS 设计,但两者都拒绝永久依赖一个运营商。
紧急继任应保留持有者和资源状态。它不是将失败提供商的客户作为资产出售。持有者收到通知并选择稳定后另一合格提供商的路径。临时继任者有有限权力,不能使用紧急情况重写实质性权利。
公共协调员也必须是可替换的
零售可移植性可能掩盖批发囚禁。如果只有一个公共协调员理解接受的历史、控制签名密钥并决定哪些提供商合格,替换它可能比替换今天的注册机构更难。市场将在边缘有竞争,在核心有垄断。
NRS 应使继任成为运营要求。规范必须公开。接受的事件历史必须被独立见证并持续可导出。签名权威应在具有明确紧急规则的机构之间使用阈值控制。提供商资格和争议审查应与公共验证器的操作分离。
继任演练应按固定间隔进行。一个独立团队从副本重建当前状态,验证资源和提供商映射,测试 RDAP 发现,并确认没有旧密钥可以创建接受的变更。结果应发布而不暴露机密持有者材料。
IANA 编号 SLA 是相关的,因为它明确描述了非续约或终止后的继任选择。它表明即使顶层协调服务也可以被框架为可替换的,而不邀请竞争 IANA 运营商发布同时分配。继任随时间保留一个角色;重复同时创建多个不相容的角色。
分布式验证不是分叉许可
弹性可能需要几个不同司法管辖区的验证器。它们可以检查签名、见证事件并维护独立副本。这种分布降低了单一服务器、公司或法院可悄悄重写历史的风险。
然而,验证器必须遵循一个接受规则。当所需法定人数确认针对相同先前版本的相同事件时,变更成为当前。不同意的验证器可以拒绝签名并触发审查。它不能将其偏好的冲突分配作为同样有效发布,同时仍然是系统的一部分。
这种区别将容错与多元主权分开。法定人数可以在失败中幸存并暴露异议。分叉要求用户选择哪个分支定义持有者。对于唯一互联网号码,常规分叉不是治理特征;它们是协调的丧失。
因此,紧急恢复应优先考虑暂停和审查,而非发散接受。如果验证器无法达到所需阈值,非必要变更停止,同时现有状态保持可用。该制度应定义替换失败验证器和解决僵局的透明路径。可用性很重要,但接受冲突转移以保持吞吐量将牺牲受保护的资产本身。
资格认证应开放准入,而非出售权力
注册商资格应客观、相称且可审查。要求可以涵盖法律身份、技术互操作性、安全、连续性、证据处理、保险、员工能力和接受共同职责。准入不应依赖于政治友谊或现有机构的商业自由裁量权。
要求应随服务规模而调整。一个薄注册商无需运营托管 RPKI。提供签名的提供商必须满足更高的安全标准。小型提供商如果责任保持明确,可以使用共享合规基础设施。这支持多样性而不降低核心保障。
访问公共层的费用应公开且非歧视。协调员不应补贴自己的注册商或基于其客户资源价值向竞争对手收费。基于成本的公共费用和单独定价的零售服务使交叉补贴可见。
资格决定需要理由和独立上诉。拒绝可以将竞争者排除在市场之外。审查者应能检查机密安全证据,同时发布安全的解释。定期续期可以确保持续能力,但不应成为忠诚测试。
通用规则应是底线,而非零售剧本
竞争需要针对影响每个人的行为的共享规则。身份权威、一个当前持有者、资源版本控制、转移认证、截止日期、持有、证据保留、RDAP 一致性、反向 DNS 连续性、RPKI 过渡和审查不能差异如此之大以至于提供商创建不兼容状态。
底线应保持狭窄。注册商可以选择接口、支持模型、价格、附加安全、语言和可选服务。他们可以通过超过最低响应时间或提供更强保险来竞争。他们不能放弃持有者的可移植性权利或出售绕过争议规则的捷径。
底线的政策权威需要合法性。持有者、运营商、注册商、安全用户和受影响的公共机构应有明确的代表。变更应包括证据、理由、过渡期和审查。一个通用规则不仅仅因为互操作性需要某个规则而合法。
底线和剧本之间的区别防止了两个失败。太少通用政策产生矛盾权威。太多通用政策将每个注册商转变为中央机构的相同代理。NRS 的目标是一致的事实与多样化的服务。
价格应揭示哪一层赚取费用
当前注册费用通常结合政策、会员、注册、公共服务、安全和机构开销。一个竞争模型应将公共协调费用与零售注册商费用和可选服务分开。
然后持有者可以比较提供商。公共费用支持验证、权威发布、连续性和审查。注册商费用支持账户服务、证据保管和持有者协助。托管 RPKI、反向 DNS 管理、监控和高级支持在可行情况下是单独的。
费用分离阻止了强制性捆绑。注册商不应使基本注册可移植性依赖于购买其安全平台。公共协调员不应使用强制费用补贴首选零售提供商。公共账户应显示成本分配和关联方交易。
IPv4 稀缺性使透明度变得重要。根据转移价值收取费用可能使费用与支付能力一致,但也可能将协调员转变为收入随稀缺性增长的租金收集者。需要成本、风险和公共利益的理由。提供商竞争应降低服务成本,而不拍卖号码记录的合法性。
绩效衡量必须测试退出,而不仅是加入
一个有许多合格注册商的市场如果切换失败,仍然可能被锁定。NRS 应衡量完成的可移植性,而不仅是提供商数量。指标应包括启动到提交时间、凭证释放时间、反对率、反对成功、放弃请求、紧急转移、依赖服务失败和恢复时间。
结果应按提供商和资源复杂性细分,而不暴露客户。高拒绝率可能反映尝试的欺诈、糟糕指导或战略阻碍;理由很重要。独立审计应抽样案件并测试陈述理由是否匹配证据。
连续性措施应包括 RDAP 一致性、反向 DNS 保留、RPKI 有效性以及提交后未经授权的旧提供商操作。公共层应报告过期副本和法定人数失败。提供商失败演练应测量实际恢复,而非计划的存在。
客户调查可以增加背景,但不能替代事件证据。一个大型现有机构可能获得高满意度,因为被困持有者已学会不尝试退出。已展示的切换更直接地约束市场。
责任应跟随控制失败步骤的行为者
如果每个行为者指向别处,可移植性将失败。接收注册商控制认证和提交。失去注册商控制及时释放指定材料和有效反对。公共验证器控制序列化、最终提交和旧权威撤销。可选安全提供商控制其依赖服务。
合同应相应分配责任。接收注册商因忽略所需身份检查而接受未授权请求,主要属于该注册商,尽管公共层如果忽略了独立矛盾可能承担部分责任。因虚构费用争议而阻止有效请求属于失去提供商。重复的当前状态属于公共协调员。
欧洲通信制度中针对切换延迟和滥用的补偿原则在此有用。简单、已证明的延迟可以获得自动补救。高后果损失接受功能特定审查。恢复职责保持在货币上限之外。
这种分配改善了激励。每个行为者投资于其拥有的控制,而非购买广泛免责。它也保护了竞争:新进入者不必为公共层的失败保险,而协调员不能将其独特风险外部化到小型注册商。
竞争法应支持互操作性而非碎片化
当一个基本协调层排除竞争对手时,法院或监管机构可能面临困难的补救措施。命令重复分配将是破坏性的。要求非歧视性访问、可移植性、公开接口、有理由的资格和独立审查可以开放市场同时保持唯一性。
如果公共协调员在零售层面竞争并反复偏袒自己,结构性分离也可能必要。会计分离、平等技术访问和治理控制弱于完全分离但更容易实施。补救措施应与已证明的行为和技术风险匹配。
目标不是国家对每个注册商决策的管理。它是防止对不可分割验证层的控制变成对服务竞争的私人否决。开放准入加一个状态比其用户必须吸收协调失败的多重根更具竞争性。
竞争当局还应审查供应商之间的集中度。十个使用相同身份、云和密钥保管提供商的注册商可能不创造有意义的弹性。可移植性测试应包括共同依赖以及远离它们的能力。
公共部门连续性需要可移植性优先级,而非特权市场
政府、医院、紧急服务、大学和关键公用事业可能依赖号码资源。失败的切换可能产生公共后果。NRS 应确保快速恢复和紧急支持,而不创造一个仅仅通过声称重要性就能覆盖普通权威的持有者类别。
公共部门运营商可以预注册连续性联系人、测试恢复并选择增强服务。紧急标准应侧重于已证明的操作影响和即时风险。公共记录不应基于政治影响改变持有者或分配标准。
在提供商失败期间,稳定可能优先考虑对人类影响直接的服务。优先级应涉及恢复顺序,而非所有权。每个行动应被记录和审查。其他持有者保留其权利并收到透明沟通。
这种平衡对制度合法性很重要。可移植性系统通过保留基本网络赢得公众信任,但如果紧急状态成为偏爱分配或绕过证据的途径,就会失去信任。
分阶段试点可在不危及全球状态的情况下测试竞争
NRS 不应从移动最大或安全依赖最重的组合开始。试点可以涉及自愿持有者、有限数量的合格注册商以及依赖关系已充分理解的资源记录。公共验证器应与现有权威安排并行运行,直到结果得到协调。
试点应测试普通切换、失败认证、现有机构沉默、争议权威、注册商破产、RDAP 更新、反向 DNS 保留、托管 RPKI 过渡和回滚。独立观察者应验证没有测试创建第二个操作分配。
成功标准包括精确状态收敛、有限切换时间、没有接受过时指令、有效通知、安全恢复和完整事件证据。试点应发布失败和更正。在这些条件成立之前扩展容量会将政治雄心转化为操作风险。
并行观察不同于并行权威。在试点期间,候选协调员可以计算和见证提议的结果,而不成为网络和用户依赖的来源。仅在经过正式切换、经过测试的回滚和明确认可后,权威才会变更。
场景一:干净的注册商切换
一个区域网络持有一个既定分配下的前缀。它希望得到另一种语言的支持和更强的账户恢复。选定注册商验证两名授权官员,并提交一个绑定到当前资源版本的提供商变更指令。
失去的注册商收到通知,发现没有争议,并保留其证据。公共验证器检查权威,确认持有者和资源未变,在选定时间提交接收注册商,并撤销旧提供商令牌。RDAP 保持一致。反向 DNS 留在现有运营商。持有者控制其自己的 RPKI 密钥,因此无需证书过渡。
网络不重新编号或更改路由。其分配未重新发布。新注册商开始服务,前注册商仅保留历史和法律要求的材料。这是最干净的竞争形式:服务变更;全球唯一性不变。
前提供商的知识作为证据仍然有价值,但非当前权威。如果它后来发布矛盾声明,公共历史将该声明暴露为过时。
场景二:有争议的销售隐藏在可移植性中
一个经纪人要求接收注册商移动一个稀缺的 IPv4 地址块,并将一家新公司命名为持有者。请求被标记为提供商切换,但持有者标识符和公司控制已变更。当前持有者否认授权出售。
公共验证器拒绝可移植性路径,因为提供商替换要求持有者连续性。它开启一个单独的争议持有者审查,并保留最后无争议状态。现有机构不能使用争议施加无关的新条款,经纪人也不能通过寻找更宽松的标准从另一注册商获得认可。
没有重复分配出现。买方可能出示合同,当前持有者可能挑战它们,法院或独立机构可能在适用规则下决定。届时,公共状态可以显示一个有限的争议标记,而不声明两个所有者。
该场景展示了为什么通用规则保护市场。尽职调查提供商之间的竞争是有用的。相互不兼容的当前权威发现之间的竞争则不是。
场景三:失去的注册商在切换中失败
一个持有者发起有效转移,失去的注册商在发送回应前遭受严重中断。在囚禁模型下,切换无限期停止。在可移植模型下,公共层已经拥有独立持有者权威、切换前快照和注册商的连续性存款。
回应截止日期到期。独立持有的证据中没有允许的反对意见。经过短暂安全审查后,验证器提交新提供商,保留前提供商的最后接受状态,并发送通知。可选服务根据持有者记录的选择恢复。
如果中断后来被证明是定向攻击,事件将被审查。切换仍然有效,因为权威不依赖于失败提供商的善意。如果出现矛盾证据,独立中止可以在审查案情的同时保留状态。
这里的可移植性服务于连续性,与竞争同样重要。离开失败机构的能力是核心属性,而非客户便利。
场景四:托管 RPKI 需要有限重叠
一个持有者使用旧注册商的托管 RPKI 服务,并希望接收注册商在切换后托管它。现有的路由起源授权支持活动路由。在继任者发布前立即撤销可能使这些路由对依赖网络无效。
转移计划在批准权威下创建继任者证书和等效授权,发布它们,验证存储库可用性,并监控依赖方可见性。只有那时旧提供商才撤销其托管权威。允许短期重叠仅用于连续性,不能用于创建超出批准集的矛盾起源授权。
如果验证失败,注册商切换可以暂停或继续进行,同时托管 RPKI 暂时保持在单独治理的服务下,取决于持有者预先批准的选择。系统不会静默销毁安全材料以达成标题截止日期。
该示例表明为什么一个资源记录可以支持可分离的服务。当每个依赖具有显式状态而非被困在一个提供商关系内时,可移植性更强。
场景五:验证者意见分歧
两个验证者接受转移上的签名,而第三个检测到请求引用了由最近法院命令变更创建的过时持有者版本。所需法定人数未达到。现有状态保持当前,没有提供商获得权威。
不同意的证据提交独立紧急审查。如果法院变更是有效的,请求被拒绝,持有者必须在当前事实下重新授权。如果事件被错误应用于错误资源,记录被更正,转移可以重新提交。
验证者不各自发布其偏好的结果。他们的分歧是证据,而非分叉许可。这保留了一个当前状态,同时使分歧可见且可审查。
代价是暂时的延迟。这个代价优于两个注册商作为当前权威行事。绩效指标应记录延迟和原因,以便僵局不能成为隐藏的阻碍。
制度合法性高于技术提交
一个有序的事件序列可以保持唯一性,而不回答谁制定规则。技术一致性是必要但不充分的。通用政策可能决定资格、证据、转移期限、持有、责任和公共访问。这些选择经济上影响持有者和提供商。
因此,NRS 应分离规则制定、操作和审查。注册商和持有者代表应与网络、安全、公共利益和独立专家平衡。投票权重不应通过地址持有或空壳会员购买。变更需要理由、证据和过渡期。
公共验证器应实施接受规则并报告歧义,而非静默制定政策。审查者应独立于运营商和主导注册商。法院在适用法律下仍然可用。
然后可移植性成为合法性的一部分。持有者可以离开服务提供商而不放弃号码资源。提供商可以挑战歧视性访问而不创建竞争注册。退出和声音相互加强,同时唯一性得到保护。
NRS 竞争原则
该原则可以表述为四个部分。首先,每个被认可的持有者应有权执行变更合格注册服务提供商。其次,切换必须保留资源、持有者、分配历史和适用限制,除非单独授权的变更另有说明。
第三,所有提供商必须通过一个通用的、可验证的接受规则提交后果性变更,该规则仅允许一个当前状态。第四,公共权威本身必须狭窄、独立可审查并通过经过测试的继任而非通过同时竞争分配来挑战而操作上可替换。
该原则拒绝了垄断宿命论和碎片化。现有机构技术上不可替换仅仅因为资源必须保持唯一。竞争也不能通过要求网络在不兼容分配之间选择来创建。服务提供商是可替换的;真实条件是共享的。
结果是一个在提供商可以改进的方面竞争的市场:安全、关怀、价格、语言、专业知识、连续性和信任。它不在相同稀缺地址块是否可以两次出售上竞争。这个边界是数字资源协会可以开放而不变得不连贯的基础。
证据与分析局限
RFC 7020 提供了当前系统的目标以及唯一性、注册和路由之间的结构区别。RFC 9224 提供了权威 RDAP 发现。RFC 6480 提供了 RPKI 分配和路由起源授权架构。这些文档不强制提议的 NRS 注册商市场或定义其法律地位。
ICANN 转移政策、EPP 标准、NPAC 材料、欧洲通信规则和活期账户切换服务是比较证据。域名、电话号码、银行账户、IP 前缀和 AS 号在技术上和法律上不同。本文使用比较者来识别角色分离、接收提供商领导、共享协调、截止日期、连续性和补救措施;它不将任何单一模型视为现成的号码制度。
提议的公共验证器、事件法定人数和连续性安排需要独立技术和法律测试。没有声称一个普遍认可的跨 RIR 提供商可移植性服务已经存在。IANA 和当前 RIR 认可不能通过声明替换。迁移需要协议、互操作性、已验证状态、法律权威和已证明的连续性。
分析也将零售提供商竞争与实质性分配和转移政策区分开来。可移植性不能解决每一个关于遗留状态、稀缺性、区域权威、制裁、破产或法院命令的争议。它可以阻止这些争议被用作永久服务提供商锁定或重复权威分配的一般理由。
来源
- RFC 7020, The Internet Numbers Registry System- 全局唯一性、注册准确性、层级结构、操作路由边界和号码治理的演进。
- RFC 9224, Finding the Authoritative RDAP Service- IANA 引导注册表和 IP 地址空间及 AS 号的权威服务发现。
- RFC 6480, An Infrastructure to Support Secure Internet Routing- 资源证书、路由起源授权、存储库以及 RPKI 使用的分配层次结构。
- RFC 5731, EPP Domain Name Mapping- 域名对象创建、更新和赞助转移的注册命令。
- RFC 9154, Secure Authorization Information for EPP Transfer- 注册人、注册商和注册角色;狭窄转移授权;验证;过期和失效。
- IANA, Number Resource Allocation Data- IANA 的顶层分配角色、IPv6 和 ASN 利用率报告以及常规 IPv4 供应的耗尽背景。
- IANA IPv4 Address Space Registry- IPv4 地址块的当前顶层状态和 RIR 分配信息。
- ICANN Transfer Policy- 持有者授权、接收和失去注册商职责、注册验证、截止日期、拒绝理由和批准的批量转移。
- ICANN, Relationship Between Domain Name Industry Parties- 注册名称持有者、注册商、注册运营商和 ICANN 之间的分离。
- FCC, Local Number Portability Administrator Technical Requirements- 美国电话号码设置中的中立管理和共享区域可移植性安排。
- European Electronic Communications Code, Article 106- 提供商切换、号码保留、连续性、同意、反滥用和其法定领域的补偿。
- Current Account Switch Service, About the Service- 接收提供商领导、七个工作日切换、重定向和英国银行背景下的保证。
- ICANN, Service Level Agreement for the IANA Numbering Services- IANA 编号服务的绩效、升级、审查、续约和继任运营商连续性。
- ICANN Board resolutions, 7 June 2026- 采纳转移政策审查建议及后续实施方向,与当前发布的转移规则不同。

