摘要
- 注册局沙盒应只接受一个明确的命题,该命题无法通过模拟安全回答。准入并非批准、认可或对长期状态的预测。申请者必须明确声称的持有者利益、被检验的规则或技术假设、受影响的资源集、最大风险敞口、待收集的证据以及确切的中止条件。
- 唯一性必须保留在实验之外。每个参与的前缀和自治系统号应有一个当前的持有者记录、一个当前的注册服务提供者指针和一个有序的历史记录。沙盒可以测试谁提供服务或持有者如何行使权利;但不得允许对同一资源存在竞争性的权威记录。
- 范围必须在四个维度上加以限制:持有者数量、资源的数量和类型、暴露的功能以及持续时间。IPv4、IPv6 和自治系统号产生不同的后果,因此单一的总体上限是不够的。稀缺的可转让 IPv4 空间应特别保守地设定上限并加强冲突检查。
- 可恢复性是一种工程能力,而非应急文件中的一句话。在第一个实时参与者进入之前,试验必须演示导出、独立验证、恢复到合格提供者、历史保留、RDAP 和 RPKI 服务的连续性,以及无需失败方合作的通信能力。
- 路由安全必须与注册服务选择分离。提供者变更不得暗中创建、撤销或重新解释路由来源授权(ROA)。RPKI 密钥托管、证书颁发、发布和依赖方观察需要各自的限制、双人控制、演练和紧急恢复。
- 公共衡量标准应涵盖正确性、及时性、退出、投诉、安全性、可移植性、成本和不公平影响。评估者应同时发布失败和成功案例,解释被排除的观察结果,并为参与者提供直接的纠正和赔偿途径。缺乏持有者利益的商业创新不是成功。
- 沙盒应减少在位者特权,而非创造新的自由裁量之门。准入标准、费用、技术接口、证据要求和毕业标准必须平等适用于在位服务和新的提供者。成功的试验支持更广泛授权决策;它不赋予地域性特许权或对共享协作的永久控制。
沙盒是有限许可,而非仪式性认可
“沙盒”一词已变得具有危险弹性。它可以描述监管机构监督的实时试验、隔离的技术环境、营销项目或与官员的非正式对话。注册局治理需要最狭窄的含义:在有限时间内对特定活动进行许可,与真实且自愿的持有者合作,但受限于通常不适用于普通完全合格提供者的条件。
英国金融行为监管局(FCA)当前的沙盒描述很有用,因为它说明了交易双方的内容。企业可以在受控环境中测试实时命题,通常规模较小、时间有限且消费者数量有限。参与并不免除适当授权的需要,FCA 的资格标准涉及真正的创新、利益、准备、保障和补救。教训不在于金融监管可以照搬到互联网协调中。而在于当许可的范围和限制透明可见时,许可才变得可信。
NRS 应说明沙盒准入不意味着什么。这不证明进入者在区域范围内是安全的。这不认定其法律理论是正确的。这不许可使用协会名称作为商业担保。这不承诺毕业。这不豁免保护持有者身份、安全或唯一性的义务。
这种清晰度保护了双方。进入者获得公平的机会来提供证据,而无需假装拥有成熟权威。持有者可以参与,而无需被告知机构认可消除了风险。公众可以区分受控调查与悄无声息的权力转移。
实时试验的理由始于模拟的终点
并非每个提案都需要沙盒。新的用户界面、报告格式或监控工具通常可以通过合成记录和公共数据来评判。仅当争议事实依赖于真实机构行为时,实时暴露才合理:持有者能否无中断地切换提供者?不熟悉的认证方法能否抵御组织复杂性?接收方能否在负载下维持准确的 RDAP 服务?独立审查者能否在承诺期限内解决真实异议?
这种必要性要求防止沙盒成为普通产品开发的特权渠道。它也保护持有者免受不产生独特知识的风险。申请者应以可反驳的术语解释命题。“我们将现代化注册局治理”是不可测试的。“接收提供者可以在两个工作日内完成持有者保持的服务转移,资源集有界,无冲突当前状态,且所有异议均在已发布理由下解决”是可测试的。
沙盒当局应进一步提问:证据将为哪些决策提供信息?如果没有授权规则、互操作性要求、补救措施、服务标准或公共选择会改变,那么试验可能是表演。证据之所以重要,是因为它可以改变既定的决策。
因此,实时试验是最后的证据步骤,而非第一步。进入者应已通过一致性检查、对抗性安全审查、恢复演练、人员审查和非实时性能演练。沙盒的存在是为了在有限条件下暴露剩余的人类和机构不确定性。它绝不应被用于发现基本服务能否启动。
受保护的核心是单一的权威资源状态
IANA 将其号码资源角色描述为全球协调 IP 地址和自治系统号,未分配资源池根据全球政策分配给区域互联网注册机构。这种层次历史即使在未来的 NRS 模型引入注册服务选择时也创造了依赖关系。沙盒不得将权威状态视为游乐场。
对于每个参与的资源,受保护的核心应包含一个经过验证的持有者、一个资源范围、一个当前服务提供者、一种状态、一个有序的授权变更记录以及一个适用约束的引用。竞争提供者可以持有服务于参与者所需的副本,但任何提供者在其授权结束后均不得提出替代的当前答案。每个接受的变更应相对于已知先验版本序列化,以便同时指令不会产生两个有效结果。
这一规则将多元服务与多元真理分开。进入者可以测试客户支持、验证、转移准备、证据保留、RDAP 发布或委托安全管理,而无需创建另一个分配宇宙。共享协调功能仅接受试验工具允许的变更,并拒绝基于过时状态的指令。
受保护的核心必须在技术和机构上独立于进入者。如果实验提供者可以重写权威历史、压制竞争指令或阻止恢复,那么沙盒已委托了它本应包含的权力。共同权威应暴露窄接口、不可变收据和独立观察。创新可以围绕核心改变服务;任何改变核心本身的提案需要单独且更严格得多的审查。
四个维度定义影响半径
可信的限制不能表示为“小型试点”。在一个维度上的小型在另一个维度上可能非常庞大。NRS 应至少分别限制四个维度:参与持有者、资源数量和类型、暴露功能以及经过时间。
持有者上限防止单个进入者在能力被知晓之前积累政治意义上的重要群体。它还应防止关联组织集中控制。由同一企业集团控制的十个名义参与者不提供十个独立观察。
资源上限应区分 IPv4、IPv6 和自治系统号。注册记录的数量掩盖了后果。一个 IPv4 持有量可能具有高稀缺价值和广泛的转移历史;一个 IPv6 分配可能覆盖巨大的数字范围但具有不同的市场概况;一个自治系统号可能对网络的选路身份至关重要。因此,上限应使用资源特定度量,并包括最大操作依赖性。
功能上限定义进入者可以做什么。提供者可移植性试验不必包括新分配、持有者变更、RPKI 证书机构操作或政策裁定。限制功能通常比减少参与者数量更具保护性。
时间上限防止临时裁量权硬化成事实。试验应有开始、正常结束、审查点和绝对最终期限。延期需要新的理由和参与者同意。一个因无人愿意做出最终决定而持续的沙盒已成为未承认的永久政权。
……(完整翻译遵循原文章节)

