摘要

  • 一项新的号码服务不应仅仅因为现有机构喜欢它、觉得它比对手更不讨厌,或有政治原因容忍它,就变得可互操作。它只有通过公开、可重复的唯一性、安全性、迁移安全性、可审计性、连续性和争议标注测试后,才应变得可互操作。
  • 现有的认可历史包含有用的原则:一个注册机构必须具备技术能力、公正对待、文档化政策、运营基础设施和可靠的协调能力。其弱点在于旧有的区域模式将认可与单一的大片地域和既有者迁移绑定,留下了很少的空间给可移植服务竞争,尤其是在 IPv4 稀缺以及现代 RPKI、RDAP 和反向 DNS 依赖改变了风险之后。
  • 资源号协会可以将其积极论点转化为一项保证计划:证明每一条记录都可追溯到被认可的 IANA 或 RIR 历史,每一个冲突主张都被隔离而非默默接受,每一次持有者迁移都有可逆的预演,每一把密钥和服务端点都有恢复规则,并且每一次审计都能根据公开承诺加上受保护证据重建状态。
  • 其回报不是治理网络的许可。回报更窄但更有价值:依赖方可以将 NRS 记录视为高保证证据,并且随着时间的推移,面向 IANA 的认可可以变得以绩效为条件,而非靠庇护。

认可应从测试台开始

未来号码服务寻求认可的第一个场所不应是董事会会议室,而应是测试台。运营者应当能够取一个样本前缀、一个样本自治系统编号、一个样本持有者变更和一个样本争议,通过该服务运行它们,然后查看结果是否保持了唯一性、解释了权威来源、保护了密钥、保持了公共发现的一致性,并留下了另一个有能力的当事方可验证的审计线索。

该测试台原则之所以重要,是因为互联网号码认可容易被浪漫化。围绕区域互联网注册机构的公共语言常常将历史、社区、地域、公司形式、政策传统和技术服务混合成一个概念。一项新服务可能因其并非源自该谱系而被视为非法。也可能因其承诺从该谱系的失败中解放出来而被过快接受。这两种反应都没有回答运营问题:当人们依赖记录时,它是否保持安全、唯一、可移植和可审查?

资源号协会之所以有用,恰恰是因为它强调了这一问题。其公开章程将号码资源机构描述为簿记员,其合法性取决于准确的注册、自愿的依赖和有限的权限,而非声称统治网络。这是一个有吸引力的出发点,但章程并非保证。一项反对看门的服务,如果其自身的准入、密钥保管、纠正和争议规则不透明,就可能变成看门者。一项颂扬可移植性的服务,如果签署了与现有全球历史不相吻合的诱人主张,就可能使号码系统碎片化。

以证明为基础的认可设定了比友谊式认可更高的标准。它要求 NRS 在要求依赖之前,展示其能够区分持有者控制的凭证与权威分配、转让收据与路由许可、争议备注与制裁、以及服务迁移与重复分配。它还要求 IANA、ICANN、NRO 和运营社区定义可衡量的条件,在这些条件下,非现有服务方可以在无需赢得可能受其纪律约束的机构的庇护的情况下进行互操作。

该模式并非反注册机构。它是反神秘化。当前的互联网号码注册系统记录在RFC 7020中,该 RFC 描述了全球唯一 IP 地址空间和 AS 号码的分配,并强调了注册准确性。IANA 当前的号码资源页面声明,它协调全球 IP 寻址系统和 AS 号码,根据全球政策向 RIR 分配地址池,并且通常不直接分配给 ISP 或最终用户。这些是需要保留的事实,而非崇拜的神话。基于证明的 NRS 将保留事实,同时使服务依赖变得可质疑。

旧认可模型正确的地方

旧认可模型不应被否定。ICP-2是建立新区域互联网注册机构的标准,要求具备技术能力、文档化的政策程序、在拟议区域内的广泛支持、中立和公正的对待。它要求生产级互联网连接、反向 DNS 支持、适当的基础设施和有能力的员工。它还要求政策符合保护、聚合和注册等全球目标。

这些要求编码了几项持久的真理。一项号码服务不能是私人笔记本。它必须保持稳定的服务在线。它必须能够被需要数据的人访问。它不能不平等地对待同等的请求者。它必须记录号码资源状态变更的规则。它必须与其他注册机构协调,以确保一个资源只有一个当前的权威状态。它必须支持反向 DNS 授权和公共注册服务,因为下游系统使用它们。

其弱点并非 ICP-2 关心支持和区域。在早期区域扩展时期,来自 LIR 的广泛支持和服务协议的迁移是避免地理区域内服务分裂的实际方法。其弱点在于,该模型建立在每个大区域一个注册机构的基础上。它假设碎片化是通过地域垄断而非通过全球唯一性根源和严格的互操作性测试来防止的。这一假设现在正是审查中的问题。

IPv4 稀缺改变了经济利害关系。资源记录不再仅仅是未来分配的管理路径。它们是买家、贷方、云平台、反滥用部门、上游网络、法院、审计师、保险公司和客户使用的证据。RPKI 通过连接分配权威和路由授权改变了安全利害关系。RDAP 通过使结构化注册数据机器可读且可通过引导注册表定位,改变了发现利害关系。反向 DNS 仍然是邮件、滥用处理和服务接入的一个安静的依赖项。一项新服务必须根据这整个依赖栈来评判。

因此,未来的认可测试应保留 ICP-2 的运营义务,同时将其与地域特权分离。一项服务无需控制一个大陆即可证明中立性。它无需成为一个地区的唯一办公处即可证明技术能力。它可以通过采用率、审计结果、投诉结果和迁移成功而非通过既有者同意来证明社区依赖。它可以保留全球政策不变量,而无需继承旧模型的所有裁判习惯。

第一个证明是唯一性

号码系统的第一个不变量是唯一性。对于谁值得拥有一个地址块、合同含义是什么、销售是否应完成、应公开多少细节或哪家服务提供商更高效,可能有很多意见。但不能有两个有效的当前分配,将相同的地址范围或相同的 AS 号码分配给不相容的持有者。一旦重复的当前状态被正常化,互联网的其他部分就要在路由混乱、滥用处理、采购失败和诉讼中付出代价。

NRS 的认可必须从证明它不能悄然接受重复的当前状态开始。这意味着每个声称的资源都必须与 IANA 注册表、相关的 RIR 或老旧历史、现有的公开转让日志(如有)、RDAP 数据、RPKI 材料以及持有者提供的任何受保护证据进行核对。一个服务不必为了证明其检查了冲突类别而公布每份文件。但它确实需要公布足够的承诺、理由和会签时间戳,以表明一项冲突主张要么已解决,要么已被隔离,要么已被标记为争议。

唯一性证明还必须在前缀边界上工作。一个 /16 可能包含已转让、已租赁、已授权、已子分配或已争议的片段。将地址块视为不可分割标签的状态检查器会忽略重叠。认可测试应包括精确区间、覆盖区间、更具体记录、已回收空间、保留区间、老旧区间、AS 号码区间和 IPv6 集合。它应模拟对抗性案例:两方声称相邻部分;一方在另一方有更具体的运营记录后声称一个覆盖块;一个历史持有者归还了一个地址块,而过时的 RPKI 材料仍然可见;一个公司继任者以新的法人名称声称拥有容量。

该证明不应成为秘密审判。一些证据将因包含合同、身份文件、安全凭据或法庭材料而保密。但公共状态仍然可以指明所使用的证据类别、审查日期、当前状态、争议标志(如有)、对受保护证据的哈希承诺、审查角色和申诉途径。密码学承诺不能证明真相,但它可以防止后来的记录在没有留下证据变更的情况下被改写。

因此,基于证明的认可翻转了举证责任。NRS 不会说:“因为我们代表未来而接受我们”。它会说:“尝试让我们签署重复的当前状态;尝试让我们错过更具体的冲突;尝试让我们在不被察觉的情况下篡改历史;尝试让我们将争议隐藏为干净的分配”。如果独立测试人员无法打破这些不变量,依赖就开始有了技术基础。

安全证明必须涵盖密钥、人员与恢复

安全不能简化为一个安全网站。一项号码资源服务涉及多个安全层面:持有者认证、员工权限、签名密钥、RPKI 对象、存储库发布、RDAP 服务端点、反向 DNS 变更请求、转让批准、争议锁定、备份完整性和应急恢复。一个服务可以有强大的加密,但权威审查却很薄弱。它可以使用硬件密钥存储,但仍允许单个内部人员批准危险的状态变更。

NRS 应定义一种涵盖密码学和机构控制的安全证明。密码学控制应包括明确的密钥仪式、在需要时分离在线和离线签名功能、文档化的密钥轮换、撤销和恢复、防篡改日志、独立见证检查点、安全时间戳、存储库完整性检查以及经过测试的从备份恢复。机构控制应包括职责分离、对高风险变更的双重控制、最小权限访问、员工利益冲突披露、受保护的审计记录、事件披露类别和外部渗透测试。

RFC 6480中的 RPKI 架构是一种有用的学科,因为它将资源证书与已分配的 IP 地址或 AS 号码绑定,并允许根据已签名的路由源授权构建路由过滤器。它也揭示了为什么认可不能随意。一个错误或被捕获的资源证书可能影响网络评估路由源有效性的方式。基于证明的 NRS 不应声称它并不拥有的 RPKI 权限;它应展示其证据如何与现有证书、托管或委托保管、转让时机、撤销风险和持有者控制的密钥互动。

安全证明必须包括故障演练。如果持有者丢失了签名密钥会发生什么?如果来自同一公司的两名高管提交了不相容的指令会发生什么?如果法院命令冻结了一项声称的转让会发生什么?如果注册商员工被攻陷会发生什么?如果在转让窗口期间服务端点不可用会发生什么?如果见证日志宕机,但注册机构正在接收紧急变更请求会发生什么?一个没有针对这些问题公布答案的服务,是在没有地图的情况下索要信任。

NRS 的最强论据并非它永远不会失败。而是它的失败将是有限的、可见的和可修复的。一个事件应有类别、受影响的资源集、时间窗口、遏制措施、客户通知、独立审查和恢复记录。一次沉默的安全失败就是一次治理失败。一次被检测到、披露并纠正的失败,如果纠正证明该服务并不依赖于机构否认,就可以增加信任。

迁移证明是可移植性变得真实的地方

在演讲中支持可移植性很容易,但在凌晨两点,当持有者的 RDAP 服务、反向 DNS、RPKI 证书、滥用联系人、贷方文件、客户允许列表和上游过滤记录都依赖于连贯的注册状态时,执行起来却很难。NRS 的价值不在于“网络应能够脱离一个失败的注册关系”这样的口号。而在于一种经过测试的、在不分裂记录或冲击读取它的服务的情况下离开的方式。

因此,迁移证明应成为核心认可测试之一。NRS 应能够运行一次从现有服务记录到 NRS 提供服务的记录的预迁移,并在必要时反向操作,同时保留单一的权威状态。测试应包括持有者身份包、资源区间、旧服务端点、新服务端点、待处理的变更状态、争议标注、宽限期、回滚触发器、公共通知类别、受保护证据承诺和独立见证签名。

该测试必须区分三个经常被混淆的事件。持有者转让(变更了拥有认可权利或控制的当事方)。服务可移植性事件(变更了维护或发布记录的合格服务提供商)。路由变更(改变了流量的发起或接受方式)。一个健康的系统可以在不假装改变所有的情况下改变其中一个。一个持有者应能迁移注册服务而不自动变更源 AS。一项转让不应仅因路由出现而成为最终。一条路由不应仅因服务迁移待处理而变得无效。

RDAP 提供了一个有用的公开课。RFC 9224解释了客户端如何通过 IANA 引导数据和 IP 地址空间最长匹配逻辑找到权威 RDAP 服务。这并未创建 NRS 权威,但它展示了指向资源的服务的公共发现层的价值。基于证明的 NRS 迁移应展示相关的发现指针、补充端点或认可状态如何以客户端可验证的方式变更。

迁移证明还需要客户连续性。一个大型网络可能有客户,其允许列表、采购系统、邮件声誉检查、DDoS 清洗供应商和云自带 IP 流程依赖于稳定的注册数据。NRS 不应将这些依赖视为外部噪音。一个迁移包应包括一份连续性声明,指明哪些公共字段发生了变更、哪些保持原样、发出了哪些通知、哪些过时服务可能仍然可见,以及依赖方如何验证最终状态。

该测试应在各种艰难情况下重复进行:老旧 IPv4、已转让 IPv4、租赁运营使用、IPv6 分配、AS 号码、公司重组、破产指令、RPKI 委托保管和反向 DNS 移交。一项只能迁移干净人工案例的服务尚未证明可移植性。一项能够迁移杂乱但合法的记录、并带有争议控制和回滚的服务,才赢得了更严肃的认可形式。

审计证明意味着陌生人能重建故事

可审计性不同于透明度。透明度是指一些记录是公开的。可审计性是指一个有能力的陌生人,在适当情况下有权限访问受保护证据,能够重建重要的故事并检测未经授权的变更。对于号码服务,故事包括谁声称了权威、检查了什么证据、什么公共状态发生了变更、哪些依赖服务受到了影响、谁批准了变更、提出了哪些反对意见,以及最终状态如何与全球记录协调一致。

NRS 的审计证明应从重建演练开始。给独立审计师一个资源和一个时间段。审计师应能重建旧状态、每一个待处理的事件、每一个批准变更、每一个被拒绝或隔离的主张、每一个服务端点、每一次密钥转换、每一个争议备注和每一个公开承诺。审计师应能在不依赖管理层口头保证的情况下识别缺口、陈旧记录和不一致的历史。

只附加技术有帮助,但前提是尊重其局限。RFC 9162定义了一种透明度日志模型,描述了签名树头、包含证明和一致性证明。这些工具可以在监控者比较视图时使含糊其辞可被检测。但它们并不证明底层决策是正确的。NRS 应使用这些结构作为证据控制手段,而非作为政策、身份审查或补救的替代品。

审计证明应有公开层和受保护层。公开层可显示当前状态、事件类别、时间、审查角色、非敏感原因类别、争议标志、服务端点和密码学承诺。受保护层可包含合同、身份文件、发票、董事会决议、法院命令、安全秘密或保密转让条款。审计师可以在不公开敏感材料的情况下测试各层之间的链接。

外部审计也需要独立性。一项服务不应只选择友好的审查者、隐藏范围、只发布赞美之词或将不利发现埋藏在模糊语言中。NRO RIR 治理文档第 2 版草案指向了定期和临时审计、摘要报告和应急连续性。无论该草案最终是否定稿或改变,其方向都是重要的:注册机构连续性应可由管理之外的相关方测试。

NRS 可以走得更远。它可以发布审计方法、样本记录、编辑规则、发现类别、响应期限、纠正证据和重复发现统计。它可以允许持有者导出其自身的事件历史。它可以让依赖方验证审计师是否看到了公开承诺背后的受保护材料。这将使审计成为一项服务特性,而不是一次年度仪式。

社区支持应意味着采用证据

ICP-2 要求候选 RIR 展示来自拟议区域 LIR 的广泛支持。在地域模型中,这是有道理的。一个应该为一个大洲服务的注册机构不能强加于不会使用它的社区。然而,在可移植服务模型中,社区支持不应意味着来自既有者的许可,或由那些其垄断地位正在被审查的相同组织收集的未定义的共识。

对于 NRS,支持应通过采用证据来衡量。有多少持有者提交了自愿凭证?有多少运营者查询该服务?有多少审计师愿意验证它?有多少软件客户端能够消费其公共数据?有多少贷方、经纪商、云提供商或上游方将其回执作为补充证据接受?有多少争议在不产生重复状态的情况下得到处理?有多少次迁移预演在无运营冲击的情况下完成?这些不是受欢迎程度指标,而是依赖指标。

采用证据也防止了一个熟悉的陷阱。改革者常常从有动机拒绝或拖延的机构寻求认可。既有者可以将自身的不合作呈现为新进入者缺乏支持的证据。一个基于证明的模型不应让看门者决定出口是否存在。如果 NRS 能够满足定义的测试,并且实际的依赖方使用其证据,缺乏既有者的热情不应是致命的。

反向风险是被狭隘派系捕获。一项服务可以在不满的持有者中受欢迎,但对更广泛的互联网仍然不安全。因此,采用证据必须与冲突测试、滥用处理、小持有者访问、地理分布、财务透明度、独立审查、公共安全结果和申诉结果相平衡。基于证明的认可既不是既有者的否决,也不是反叛者的喝彩。

NRS 自身的第一方材料使这一点尤为重要。NRS 常见问题解答描述了一个全球性非营利会员组织,围绕 IP 利益进行倡导、赋能和支持企业。其章程强调簿记员限制、准确注册和自愿认可。这些陈述支持一个积极的方向,但它们也显示了为什么需要外部证明。一个会员制组织必须证明它可以作为证据层服务,而不仅仅是将成员忠诚度转换为权威。

因此,正确的标准是分级依赖。在第一级,NRS 记录可被视为补充持有者证据。在第二级,它们可被私人当事方接受为转让、融资、保险或采购尽职调查的一部分。在第三级,它们可成为面向 IANA 或面向 RIR 服务转换的认可输入。在每个级别,证明扩大依赖;庇护则不然。

IANA 可以在不成为政治所有者的情况下进行认证

IANA 当前的号码资源角色是狭窄而重要的。其号码资源页面指明了对全球 IP 寻址系统和 AS 号码进行全球协调、根据全球政策向 RIR 分配地址池,以及记录 IETF 协议分配的责任。它通常不直接分配给 ISP 或最终用户。这种狭窄性是一种力量。问题在于,未来的认可路径如何能够利用 IANA 的唯一性地位,而不使其成为每个下游争议的政治所有者。

答案是按不变量进行认证,而不是按喜好批准。面向 IANA 的认可应询问一项服务是否保持了全球唯一性、发布了连贯的服务端点、支持了安全的依赖服务、提供了证据导出、与应急连续性合作、通过了审计、暴露了合理拒绝类别,并允许审查。它不应询问该服务是否与既有者持有相同的政治立场,或是否承诺保护现有的区域垄断免受竞争。

2016 年的IANA 号码服务 SLA是一个在公认边界上正式服务问责制的现存示例。它是 ICANN 与五家 RIR 之间的协议,而非 IANA 与每位持有者之间的协议。它不创建 NRS 权利。但它证明了号码资源服务可以通过协议、服务水平、审查和升级来定义,而不是通过光环。未来的认可可以扩展这一纪律:明确服务、衡量服务、审查服务,并定义服务失败时的后果。

IANA 认证也应是模块化的。一项服务可能首先被认证为审计日志兼容性,然后是补充持有者回执,然后是迁移预演,然后是在狭窄条件下进行实时服务可移植性事件。一个失败的模块不应破坏不相关的证据。一个成功的模块不应授予普遍权威。模块化认可使服务保持诚实,因为每项主张都有定义的范围。

这种方法也保护了既有者。一个基于证明的 NRS 不能通过引用改革语言来要求完全认可。它必须通过相同的测试。如果它在唯一性、安全性、迁移或审计上失败,它就无法获得下一个级别的依赖。如果一个现有 RIR 在可比的测试中失败,它也应面临可比的审查。认可成为一项公共服务纪律,而非政治盾牌。

运营者的测试是实际而非意识形态的

网络运营者不需要意识形态的纯洁性。他们需要其他网络、供应商、客户和权威机构可以信任的记录。在依赖 NRS 之前,运营者应问一份实际清单。我能证明该资源与 IANA 和 RIR 历史中认可的相同资源吗?我能证明没有冲突的当前主张被隐藏吗?如果我离开,我能导出我的证据吗?我能在密钥丢失后恢复吗?我能在服务变更期间维持路由源授权吗?我的客户能否在不看到保密合同的情况下验证公共状态?

运营者还应测试延迟。一个准确但缓慢的记录可能使交易失败。法院命令、公司关闭、贷款方契约、滥用紧急情况或客户迁移可能有时间窗口。NRS 应公布高风险变更、常规更新、争议标志、紧急冻结、审计响应和回滚的目标响应时间。它还应公布实际表现和目标。

成本也很重要。一个技术上优雅但只为大型地址持有者定价的可移植服务,会复制它所批评的不平等。认可证明应包括针对较小网络的访问、明确的费用等级、费用减免或按比例缩放的保证层级,以及对每项付费服务包含内容的公开解释。如果审计、审查和迁移需要花钱,这些成本应可见,而非隐藏在自由裁量的摩擦中。

运营者应测试拒绝。一个公平的注册服务有时必须说不:对重复主张说不,对伪造权威说不,对未经验证的公司继任者说不,对不安全的密钥变更说不,对滥用性披露说不,对规定标准之外的紧急请求说不。一项服务的质量不仅通过批准来展示,也通过合理的拒绝来展示。NRS 应公布拒绝类别、申诉途径、纠正选项和统计数据。

最后的运营者测试是生存能力。如果 NRS 自身失败、失去资金、被起诉、变更管理层、遭受严重入侵或被某一派系捕获,会发生什么?一个基于证明的机构应使自己的记录可移植远离自身。它应有托管、继任规则、独立见证检查点、持有者导出和日落路径。一项无法被离开的服务不是一个可移植性机构;它是一个新的锁定。

当威胁唯一性时,失败必须是丧失资格的

基于证明的认可应当对实验慷慨,但对核心不变量严厉。一项新服务可以改进其用户界面、报告节奏、投诉类别或费用设计,而不会失去各种形式的依赖。但它不能对重复的当前状态、未经授权的密钥变更、隐藏的安全事件、公共证据伪造、拒绝与外部审计合作或无法导出持有者记录掉以轻心。

严厉的界限是必要的,因为号码资源具有外部效应。一个糟糕的状态变更不仅损害服务提供商及其客户。它可能影响路由接受、邮件投递、滥用响应、采购检查、云接入、融资、客户连续性和跨境诉讼。互联网越依赖记录,对无形冲突的容忍度就越低。

取消资格也应有界限。如果 NRS 在一个 RPKI 迁移测试中失败,它不应必然失去所有补充持有者证据角色。如果它在一个审计日志包含证明上失败,它应暂停高风险实时转换,直到纠正。如果它接受了重复的当前状态,受影响的资源类别应冻结,所有依赖方得到通知,并触发独立审查。当后果映射到失败的不变量时,纪律效果最佳。

这正是庇护失败之处。一个庇护体系常常容忍一个既有者的失败,因为该既有者具有系统重要性,同时将新进入者的较小失败视为不胜任的证明。它还允许友好例外。基于证明的认可应为每个合格服务发布相同的类别:警告、纠正、暂停模块、紧急运营方、交还、永久丧失资格和失败后审计。

NRS 应该欢迎这种严厉。一个积极的 NRS 论点取决于比它所批评的模式更难被捕获。如果它因为是改革派而要求更宽松的标准,它就削弱了自己的理由。如果它邀请严格测试并幸存下来,它就给了运营者一个不依赖于言辞的依赖理由。

基于证明的认可改变激励

基于证明的认可的最大好处不仅在于新服务可以进入。而在于每个现有服务都必须变得更加清晰。既有者不能再回答说“我们是认可的而挑战者不是”来回应可移植性提议。它们必须展示自己的安全控制、可审计性、迁移安全性、拒绝理由、服务连续性和应急准备。

这种纪律甚至在 NRS 获得正式依赖之前就改进了当前系统。如果 NRS 发布更好的持有者导出格式,既有者必须解释为什么自己的导出更弱。如果 NRS 发布更强的争议标注,既有者必须解释不透明的冻结。如果 NRS 在不牺牲安全的情况下展示了更快的纠正,既有者必须为延迟辩护。在证据质量上的竞争比在政治通道上的竞争更健康。

它也改变了 IANA 的角色。面向 IANA 的认可并非决定谁属于俱乐部,而是可以成为一架保证阶梯。满足阶梯的服务获得狭义定义的互操作性。失败的服务失去该类别的依赖。阶梯可以是公开的、可测试的和可审查的。这是一个比认可状态难以获得又难以失去以至于成为特许经营权和盾牌的模型更稳定的模型。

该模型并不能解决每一个法律问题。财产处理、合同解释、担保借贷、破产优先权、制裁和法院权威仍然是管辖权和事实问题。一个基于证明的注册服务可以记录法院命令、争议状态或转让证据包;它不能让每个法院都同意。这种谦逊是设计的一部分。认可应保留一份干净的承诺和证据记录,而不是将 NRS 转换成世界法院。

该模型也不要求公众立即接受所有 NRS 主张。依赖可以是增量的:补充证明、私人尽职调查、软件测试、审计师接受、有限的服务可移植性试点、公共发现集成、正式认可模块。一个只能想象完全拒绝或完全权威的系统,已经向庇护逻辑屈服太多。

资格阶梯可以在正式权威之前开始

NRS 的实际路径是一座阶梯,而不是悬崖。第一级可以自愿持有者证据:一个持有者提交身份、资源历史、联系人权限和当前服务事实,NRS 返回一份经签署的回执,清楚表明这是对认可的 IANA 和 RIR 记录的补充。该回执不应假装分配任何东西。其价值在于一个持有者可以携带一份连贯的证据包给贷方、买方、云平台、上游方、保险公司或审计师。

第二级可以是独立重建。NRS 可以邀请审计师和技术监控者选择样本回执,并从公共记录、受保护持有者证据和公开承诺中重建链条。结果不是承诺每个持有者主张都是正确的。而是证明该服务能够保存证据、披露不确定性、拒绝冲突,并解释为什么一个主张具有它所有的状态。这已经比一个无法被外部测试的私人文件更有用。

第三级可以是实时依赖预演。对于一个其当前认可状态保持不变的资源,NRS 可以模拟一次服务迁移:RDAP 端点准备就绪、滥用联系人连续性、反向 DNS 协调计划、RPKI 密钥转换计划、客户通知、回滚、过期数据警告和公开状态语言。预演让运营者在任何根源认可面临风险之前发现故障模式。它还让既有者(如果他们选择的话)看到可移植性并非伪装的对唯一性的袭击。

第四级可以是私人当事方的狭窄依赖。一个经纪商可能接受 NRS 回执作为转让尽职调查的一部分。一个贷方可能要求持有者在当前注册记录之外维护一份 NRS 证据导出。一个云提供商可能将 NRS 争议标注用作补充风险信号。这些用法并不约束 IANA。它们表明证据在实际决策中是否有用,以及该服务能否在压力下回答问题。

第五级可以是为定义的事件类别进行的正式试点认可。一个试点可能允许为一组有限低冲突资源进行合格注册商迁移,预先提交回滚、独立监控和明确声明路由不在账本范围内。另一个试点可能允许在现有服务不可用时进行紧急补充发布,而不变更持有者状态。每个试点应有进入标准、发布规则、事件规则、终止规则和公开报告。

这座阶梯在政治上比要求立即对等更安全。它让一项新服务按观察到的绩效成比例地赢得依赖。它也给了现有系统一个匹配改进的机会。如果一个既有者在回应中发布了更好的导出、更快的纠正、更清晰的争议状态和更强的审计,NRS 已经改善了证据市场。如果既有者不回应,而 NRS 持续通过测试,更强认可的理由就变得实证了。

证据标准必须包括对抗性案例

一次温和的演示是不够的。任何服务都能在每一位申请人合作、每个资源都干净、每位审计师都友好的情况下看起来安全。一个认可测试应包括设计用来暴露薄弱假设的对抗性案例。目的不是让候选服务难堪。目的是了解该服务是否安全地失败。

一个对抗性案例是陈旧权威。一个曾经控制持有者账户的人出示旧文件并要求注册商迁移。一个安全的服务在发布任何公共状态变更之前,会检查公司继承、当前权限、撤销和竞争指令。如果证据不完整,该服务记录一个受保护的查询或一个被拒绝的请求,而不是一个干净的事件。

另一个案例是区间冲突。一个覆盖块有一个历史持有者,一个更具体的片段有一个当前运营客户,而第三方声称已购买整个覆盖块。一个安全的服务不会将冲突压扁为一个赢家。它映射区间,识别哪些主张重叠,检查更具体的使用是否有单独权限,并将争议部分隔离,直到证据类别解决。

第三个案例是服务勒索。一个转出的注册机构拒绝与持有者的迁移合作,并警告依赖方任何新记录都是非法的。一个安全的可移植性设计不会让转出注册机构通过沉默否决退出。它要求通知,给转出注册机构一个定义的异议窗口,记录任何实际争议,并在持有者的权限和依赖计划通过客观测试时允许迁移。

第四个案例是改革者捕获。一个新注册商的支持者提交一个弱主张,并期望因该服务的存在是为了挑战既有者而得到有利对待。一个安全的 NRS 说不并公布原因类别。它通过让盟友和对手都失望来证明独立性。这是至关重要的,因为一个无法拒绝朋友的改革机构不会长久保持为一个簿记员。

第五个案例是安全损害。一个攻击者获取了持有者凭证,并试图在周末期间变更服务端点。一个安全的服务使用高风险变更控制、带外确认、等待期或紧急审查,并留下该尝试的证据。持有者应能够在公共记录不假装攻击从未发生的情况下恢复。

这些案例将认可转变为工程学科。NRS 可以在不暴露受保护证据的情况下公布测试结果。它可以声明一个陈旧权威请求被拒绝,一个区间冲突被隔离,一个转出注册机构异议缺乏证据,一个盟友的弱主张失败了,以及一个凭证攻击被遏制。这样的披露将比打磨过的机构语言更能获得信任。

庇护使争议双方都失败

庇护常常被辩护为稳定。其论点是现有机构是已知的,网络已经依赖它们,让挑战者互操作将制造混乱。稳定性担忧中有真理。突然无监督的替换将是鲁莽的。但庇护不等同于稳定。庇护保护的是决策者的地位。稳定保护的是账本的不变量。

这种区别对既有者很重要。如果一个既有服务是真正可靠的,基于证明的认可将显示出来。其公共状态将是连贯的,其纠正及时,其安全事件得到处理,其审计干净,其迁移规则公平,其应急计划经过测试。这样的既有者不应害怕客观比较。它只应害怕一个对较弱证据给予同等信用的标准。

这种区别对挑战者很重要。面对庇护的挑战者有动机围绕不满建立政治。面对证明的挑战者有动机建立更强的记录。如果依赖路径是可见而艰难的,NRS 更可能成熟。如果唯一路径是说服既有者放弃特权,每一场辩论都变得关乎存亡。如果路径是通过测试,该服务可以一次改进一个模块。

这种区别对数据用户也很重要。一个云平台、滥用部门、经纪商、贷方或公共机构不需要加入哲学辩论来评估证明。它可以询问记录是否有冲突标志,迁移是否经过预演,注册商是否合格,事件是否为当前,依赖服务是否变更,以及审计师是否可以重建依据。这些是带有实际答案的实际问题。

因此,庇护削弱了问责制和信心。它否认挑战者一条公平的路径,同时允许既有者依靠继承的地位。一个证明体制更严格但更公平。它告诉 NRS:你只能在他证明安全的程度上进入。它告诉既有者:你只能在他证明服务的程度上保持被信任。这是稀缺条件下的号码系统所需的交易。

积极的 NRS 盟约

如果 NRS 清晰地陈述其盟约,它就可以向互联网做出一个强有力的提议。我们不会因为我们反对既有者而请求认可。我们不会因为我们的成员感到沮丧而请求认可。我们不会因为政治赞助者偏好我们而请求认可。我们将只为我们能够证明的功能请求认可。

对于唯一性,盟约是单一当前状态、重叠检测、冲突隔离和公开争议标注。对于安全,是职责分离、受保护的密钥、被见证的承诺、事件披露和经过测试的恢复。对于迁移,是预演证据、客户连续性、回滚,以及不混淆服务可移植性、持有者转让和路由变更。对于审计,是独立重建、导出权利、受保护证据访问和公开纠正。对于治理,是合理拒绝、申诉、外部审查,以及在 NRS 自身变更或失败后记录的存续。

该盟约给予支持者一个更好的论据。他们不再需要将 NRS 呈现为每个 RIR 的道德替代品,或对每个历史不满的完美答案。他们可以将其呈现为一种通过观察到的绩效赢得定义信任的服务。证明越严格,积极论点就越强。

它还给予怀疑者一个更好的反驳。一个怀疑者不需要说,因为现有系统就是现有系统,所以永远不能认可任何新的号码服务。怀疑者可以说:这是你失败了的唯一性测试;这是你处理不当的迁移案例;这是你的审计缺口;这是你尚未证明的安全恢复。这些反驳是有用的,因为 NRS 可以修复它们或失去主张。

因此,基于证明的认可不仅仅是一种进入策略。它是可移植号码未来的宪法原则。既有者不应受到庇护的保护。改革者不应受到理想主义的原谅。互联网应在多大程度上依赖一项号码服务,取决于该服务在多大程度上证明了每个人其他人所依赖的不变量。

来源