摘要

  • RPSL 定义source:为对象注册所在的注册机构。该属性标识来源;仅凭语法本身,它并不证明当前资源持有者、验证起源 AS、证明新鲜度或保证镜像数据是最新的。
  • 分布式 IRR 迫使消费者选择在哪里查询。直接的客户关系可以指定首选注册机构,但第三方通常缺乏指向权威来源的指引。注册机构名称因此成为了信任的实际代理。
  • 软件使这种信任得以运作。RADb 和 IRRd 允许选择来源并排序;bgpq4可以将过滤器生成限制到指定来源;IRRd 可以为路由对象分配来源级别的优先级。一项配置选择可以在人们看到之前就压制一个声明而接纳另一个。
  • 基于品牌的偏好并非不合理。与 RIR 集成的 IRR 可以依据号码资源记录进行认证,而一些独立数据库接纳更广泛的社区并保持有用的覆盖范围。错误在于假设同一标签下的每个对象都具有同等的权威性、时效性和维护历史。
  • 来源质量应从多个维度衡量:地址持有者授权、起源 AS 参与、凭证强度、新鲜度、RPKI 一致性、BGP 相关性、镜像完整性、修正权、删除性能、可用性以及对例外情况的透明度。
  • 来源等级决不应替代对象级别的证据。一个在管控良好的来源中当前 RPKI 有效的路由对象,与一个在已废弃的维护者下的陈旧 NotFound 对象不同,即使两者都以相同的source:值结尾。
  • 运营商需要可复现的来源策略:命名的来源和版本、冲突规则、偏好原因、审查日期、失效开放或失效关闭行为、过滤器差异以及紧急例外。客户需要通知以及在来源策略变更影响可达性时获得补救。
  • 号码资源协会可以为注册机构和过滤器提供商发布测试和可移植的证据概要,但它不应将认证变成另一个永久性的品牌层级。信任必须过期、重新测试并保持可争议性。

最关键的代码行往往最不具描述性

一个 RPSL 路由对象可以包含前缀、起源 AS、维护者、联系方式、备注和时间戳。底部的代码行可能仅仅是source: RIPEsource: APNICsource: ARINsource: RADB。它看似不起眼。然而,在分布式路由注册机构中,这个名称可以决定运营商是否考虑该对象、冲突时哪个副本胜出,以及最终该前缀是否会进入路由器过滤器。

这种力量并非文本所固有。RFC 2622 赋予该属性一个狭窄的含义:它指定了对象注册所在的注册机构。该字段说明了声明属于何处。它并没有说该声明是正确的、地址持有者已批准、起源 AS 仍在使用它,或某个特定传输网络应信任它。这些判断来自注册机构规则和运营商配置。

这种区别至关重要,因为外观相同的路由对象可能拥有截然不同的证据历史。一个可能是通过与当前注册持有者绑定的 RIR 帐户创建的。另一个可能是多年前由提供商代理注册的。第三个可能是第一个的忠实镜像。第四个可能共享相同的前缀和起源,但由准入控制较弱的数据库独立接受。其source:值区分了发布来源,但并未暴露接受背后的所有证明。

然而,运营商需要做出决策。过滤器生成器无法在每次展开 AS 集合时都辩论机构理论。它查询来源、解析或合并结果并输出配置。在这种环境下,来源名称变成了压缩策略:“使用这些注册机构”、“优先使用这些注册机构”或“忽略该注册机构”。这种压缩在操作上非常高效,但也容易被误认为是普遍的信任排名。

治理挑战不在于废除来源偏好,而在于让原因可见、可衡量且可修订。注册机构名称可以是一个有用的起始信号,但它不应成为豁免糟糕授权、陈旧数据或薄弱补救措施的世袭头衔。

来源是必要的,因为注册机构是分布式的

早期的路由注册机构设计用于互联网范围的协调,而不要求一个组织持有所有策略声明。RFC 1786 在 1995 年描述了 RIPE 数据库中的路由对象。RPSL 对该语言进行了推广。到 2000 年,RFC 2901 描述了为不同客户群服务的几个注册机构,并建议网络在一个路由数据库中注册路由,逻辑上是最接近的合适 IRR,即使提供商实践有所不同。

分布式系统需要名称空间和来源。如果对象被镜像到一个查询服务中,消费者必须知道哪个来源接受了每个对象。来源名称防止镜像的 RIPE 对象伪装成本地的 RADb 断言,并允许客户端请求选定的注册机构。它还允许两个其他内容匹配的对象保留不同的机构来源。

分布式提供了实际好处。网络可以向了解其资源的区域或提供商社区注册。镜像可以提高可用性,并为广泛搜索提供一个端点。不同机构可以在界面和策略方面进行创新。没有任何一个全局变更控制机构需要批准每条路由声明。

代价是权威发现问题。RFC 7682 指出,给定一个前缀,第三方通常无法提前确定哪个 IRR 包含权威的、最新的声明。直接提供商可以在 BGP 订单表上询问其客户。路由服务器、研究人员或远端对等方则缺乏这种关系。镜像所有已知来源返回了更多数据,但没有解释哪个声明应被优先考虑。

因此,source 属性被要求回答一个大于来源的问题:消费者应该相信哪个机构的流程?RIR 名称看起来有吸引力,因为同一组织持有号码注册关系。提供商和独立 IRR 仍然有吸引力,因为它们覆盖了在其他地方缺失的客户、传统安排或策略对象。来源选择变成了一种管理不完全权威的方式。

这种演变是可以理解的。它不是一个正式的认证体系。一个来源名称描述了接纳一个对象的机构;信任取决于该机构实际检查了什么、检查的一致性如何以及原始检查之后发生了什么。

注册位置与权威证据是不同的声明

“来源”这个词容易引起过度解读。在日常语言中,来源可能是知识的起源。在 RPSL 中,它是附加到对象的注册机构位置。数据库可能对相关地址空间具有权威性,仅对其自己的本地对象集合具有权威性,或者仅愿意发布客户的声明。这些都是不同形式的权威。

一个与 RIR 集成的 IRR 可以将路由创建与其管理下的地址和 ASN 记录联系起来。APNIC 表示,其路由注册机构检查地址范围和 AS 号码是否在 APNIC 资源范围内,并使用资源记录中的维护者属性来控制路由对象。ARIN 将其 NRTM 源描述为包含授权对象,这些对象与有效的维护组织和覆盖的资源相关联。RIPE 数据库要求为 RIPE 区域内的路由创建进行地址空间授权,并为某些阻塞对象提供基于层次结构的恢复。

这些控制为证据提供了权重。但它们并不使每个细节都永恒不变。有效持有者可以输入错误的起源。代理可以经过适当授权,但后来变得过时。通过旧接口创建的对象可能与今天创建的对象具有不同的维护历史。联系方式可能失效。路由在服务结束后可能仍留在数据库中。准入时的授权并不自动保证持续的意图。

独立注册机构则处于不同的位置。RADb 可以接受并服务于超出一个 RIR 直接成员体系的网络的路由策略,并通过镜像注册机构提供组合查询视图。这种广度具有真正的操作价值,尤其是在适当的 RIR IRR 缺少对象、提供商为客户管理策略,或现有工具期望一个广泛端点的情况下。这也意味着消费者必须询问哪些提交与哪些资源证据相关联。

仅凭标签无法提供这一答案。source: RADB表示 RADb 注册了该对象。它并没有说明该对象是由持有者直接创建的,还是由服务提供商、通过传统维护者或在当前 RPKI 比较下创建的。source: ARIN具有更强的区域注册集成,但消费者仍需要对象的年龄、状态和冲突证据。信任附着于可验证的行为,而非排版。

正确的层级始于特定声明的权威性。对于地址-起源断言,当前经过认证的地址权威应具有特别权重。对于 AS 集合成员资格,相关的 AS 管理员和层次化名称控制很重要。对于镜像新鲜度,传输序列号和时间戳很重要。没有一个单一的来源品牌能在所有声明上仅仅因为知名而表现最佳。

查询选项悄然变成了宪法规则

来源层级通常在一个命令行标志中实现。RADb 的查询界面允许客户端设置选定的来源,并表示默认搜索顺序遵循服务器配置。IRRd 允许操作员定义默认来源、别名和顺序。广泛使用的配置生成器bgpq4接受一个-S列表,并推荐一个围绕 RPKI 和 RIR IRR 构建的集合。运营商可以将其信任宪法编码在一条定时命令中,而很少有客户会看到。

这并不是对自动化批评。结构化路由数据的目的是支持可重复的策略。一个来源列表可以排除不符合运营商安全标准的数据库。明确的顺序可以使结果具有确定性。自动刷新可以缩短持有者更新与有效路由之间的延迟。

但是来源选项是一个具有后果的策略决策。假设一个客户仅在 RADb 中拥有有效的路由对象,而一个传输提供商将其生成器从所有来源更改为仅 RIR 来源。该对象并未变得虚假;它只是对该提供商所选的证据变得不可见。在下一次策略重建时,该前缀可能从允许列表中消失。相反,添加一个广泛的来源可能将旧的或未授权的前缀-起源对引入过滤器。

来源顺序可能比包含更为微妙。传统查询可能返回所有匹配对象,而客户端取第一个。工具可能取并集。本地数据库可能在应答前应用压制。运营商可能聚合生成的前缀,模糊了哪个对象允许了更具体的条目。因此,相同的来源列表在不同软件和选项下可能产生不同的有效策略。

治理要求运营商记录完整的决策,而不仅仅是命名查询主机。选择了哪些来源?以什么顺序?使用了镜像还是权威端点?是否压制了 RPKI 无效的对象?是否隐藏了重叠的低优先级对象?如何展开 AS 集合?当结果为空时发生了什么?生成的策略何时部署?

这些问题相当于公共机构中的程序性权利。它们决定了哪些声明被听取,哪些被排除。只有当周围的规则是可检查的,并且受影响的网络可以挑战重大错误时,信任标签才变得合法。

路由对象优先级让声誉变得可执行

IRRd 的路由对象优先级特性清晰地展示了来源声誉如何变成代码。管理员为每个配置的来源分配一个数值优先级。当路由对象重叠时,来自较低优先级来源的对象可能会被压制,以利于来自较高优先级来源的对象。来源的排名改变了普通查询所暴露的内容。

这种机制非常有用。如果一个 RIR 权威来源包含当前的路由数据,本地 IRRd 操作员可能会有理由压制来自管控较弱第三方来源的重叠对象。结果可以减少歧义,防止旧的宽泛声明影响过滤器。优先级可以一致地应用于大数据集,而不是通过一次性例外。

其局限性同样具有指导意义。IRRd 文档指出,重叠可以是精确的、更具体的或更不具体的,并且在这一优先级比较中不考虑起源 AS 号。一个覆盖前缀的较高优先级对象可能影响较低优先级对象的可见性,即使它们的起源不同。一个来源的变更可以改变另一个来源中对象的可见状态。未配置优先级的来源可以在比较之外保持可见。

这不是软件隐藏的缺陷;而是管理员必须理解的一个策略模型。来源优先级回答了“哪个机构的重叠路由数据优先?”它并不评估两个起源之间的完整语义关系。一个假设它执行了完整的持有者意图协调的运营商可能会隐藏一个合法的多起源或备份声明。

优先级还引入了等级的质量。如果一个高排名来源存在持久的维护问题,其重叠可以压制一个更新鲜的低排名对象。如果一个来源的准入控制有所改善,其历史对象并不会自动追溯获得新的保证。如果一个注册机构的区域范围在转移后发生变化,一个先前权威的标签可能对该前缀不再具有权威性。

因此,应像管理一套具有后果的规则一样来管理该特性。优先级值有陈述的理由、所有者、生效日期和审查日期。更改需通过实际对象差异进行预览。意外压制被抽样。客户可以发现其对象是否被隐藏以及原因。紧急覆盖会过期。排名是对当前管理判断的反映,而非来源名称的永久属性。

一个标签可以覆盖多代控制

机构声誉通常假设内部是统一的,而这并不存在。数据库在演变。它们退役了电子邮件更新,增加了帐户认证,引入了分层授权,迁移了旧对象,集成了 RPKI,收紧了区域范围或增加了持有者挑战工具。而source:值在这些变化中可能保持稳定。

例如,ARIN 的 IRR 文档区分了简单对象和高级对象,并指出从早期电子邮件模板服务迁移而来的对象。权限部分取决于对象是如何创建的。其授权的 NRTM 源与注册组织有很强的当前联系,但对象来源仍然包括接口和迁移历史。一个细心的消费者可以认识到该来源的制度优势,而不必假设每一行都是通过单一程序诞生的。

RIPE 源以一种可见的方式改变了边界。无法针对 RIPE 管理的地址空间进行认证的域外路由和 aut-num 对象被移至RIPE-NONAUTH,并停止了新的域外路由创建。这种重新标记是纯粹形式的治理:该机构撤回了其普通RIPE标签不能再为这些资源提供支持的权威暗示。

APNIC 的集成注册机构检查区域资源,并允许在特定条件下导入路由对象。其文档解释说,针对 APNIC 管理地址空间的对象可以命名一个外部 ASN,并触达通知,即使请求者缺乏 ASN 方的授权。这是在地址持有者控制和起源 AS 意识之间的一种有意政策平衡。一个评估source: APNIC的消费者应该理解其检查内容,而不是将其简化为“可信”或“不可信”。

RADb 已经增加了使用 BGP、RIR 验证、维护者关系、年龄和其他数据的陈旧对象评估。但它明确表示,陈旧标记不会改变查询行为。一个选择 RADb 的运营商仍然需要决定是否以及如何使用该状态。制度标签不会吸收对象级别的信号。

良好的来源治理暴露了这些世代。对象可以携带创建方法、上次认证审查、当前状态和相关验证结果,而不会泄露秘密凭证。消费者就可以在一个来源内优先考虑更强的队列。另一种选择是声誉平均化:优秀的新控制为每个遗留对象赋予权威,而少数遗留失败不公平地诋毁了当前的高质量记录。

品牌捷径是理性的,直到它不再接受检验

网络运营商无法为庞大客户锥中的每个前缀进行取证调查。他们使用品牌是因为机构形成了可重复的行为。一个认证持有者、维护可靠镜像、响应挑战并发布明确规则的注册机构比一个接受不可验证声明并忽视争议的注册机构更值得信任。声誉是一种合理的扩展机制。

危险在于继承的权威。一旦一个 RIR 名称或已建立的商业注册机构被写入标准配置,重新审视它的成本就会上升。工程师复制前任的来源列表。供应商示例成为默认设置。一个来源之所以被信任,是因为大型运营商信任它,而大型运营商信任它是因为它早已在列表中。包括它的原始证据消失了。

这种循环性保护了糟糕的性能免受市场纪律的约束。一个来源可能存在更新延迟、维护者无法联系或删除规则不透明,同时仍保持其排名。相反,一个较小或较新的注册机构可以实现强大的资源认证和及时的修正,但仍可能被排除在外,因为它缺乏品牌历史。这两种结果都不利于路由安全。

声誉必须通过观测来续期。对于具有重大影响的变更,来源验证当前持有者资质的频率如何?已接受的更新多快可供镜像使用?如何恢复废弃的维护者?在公布的期限内,多大比例的挑战对象获得了合理的决定?路由对象与当前 RPKI 冲突的频率如何,以及如何处理 NotFound 案例?镜像丢失序列或提供旧快照的频率如何?

即使这些测量也需要谨慎。一个服务困难、多区域的来源可能显示出比一个严格限定范围的来源更多的争议。一个高 RPKI 对齐率可能反映强大的质量,或者对 RPKI 采用者的狭窄覆盖。快速删除可能是高效的,也可能是鲁莽的。分数需要维度、分母和案例组合,而不是单一的联赛表。

当捷径是可审计的时候,它就是理性的:“我们为这些声明偏好这个来源,因为当前的控制和结果支持它。”当解释仅仅是这个来源很有名时,它就成为了神话。

权威性、准确性和新鲜度不应共享一个等级

一个单一的信任分数隐藏了证据的性质。一个对象可以是权威的但不准确:当前持有者认证成功但输入了错误的起源。它可以是准确的但权威性弱:第三方从 BGP 复制了真实的前缀-起源对,但没有持有者同意。它可以在创建时既权威又准确,但在网络迁移后变得陈旧。它可以在权威源头是最新的,但在滞后镜像中是旧的。

这些状态需要不同的补救措施。一个权威性的错误应由持有者纠正并快速传播。一个未授权但准确的副本不应仅仅因为匹配 BGP 就被视为持有者的许可。一个陈旧的对象需要继任和退役。镜像滞后需要传输修复,而不是与对象维护者发生争议。

因此,来源评估应发布一个向量。权威性询问什么关系允许提交者代表前缀和起源发言。认证询问机构如何确立了提交者的身份。准确性将对象的声明与更强的独立证据进行比较。新鲜度衡量自有效确认以来的时间,而不仅仅是时间戳修改。可用性衡量消费者是否能获取当前数据。可补救性衡量受影响的持有者和维护者是否能够通过公平的程序纠正错误。

该向量应针对特定声明。RPKI 可以强烈支持前缀-起源的权威性,但不会验证每个 AS 集合成员资格或导入策略。号码注册机构可以确定当前的注册持有者,但可能不知道客户的私人传输安排。BGP 可以显示某条路由正在使用中,但不能证明许可。提供商合同可以显示委托,但可能是保密的、临时的。

运营商然后可以设定阈值。客户入站过滤器可能需要很强的地址权威性或经审查的合同例外。对等发现可能接受更广泛的证据,但标记不确定性。路由服务器可能将 RPKI 有效性与选定的 IRR 记录结合起来处理 NotFound 路由。研究查询可能包括被压制和历史的对象,正是因为他们正在研究不一致而不是生成许可。

这比金、银、铜勋章更费劲,但也更诚实。信任并非单一物质。它是在特定决策中依赖某一声明的一组理由。

认证质量必须在具有后果的边缘进行衡量

一个来源可以宣传强大的帐户安全,却留下决定性授权薄弱。多因素登录确定了帐户用户掌控着某种凭证。但它并没有确定该帐户代表该前缀的当前持有者、它可以命名起源 AS,或者一个旧的提供商委托仍然有效。质量测试必须跟随声明到达资源边缘。

RFC 2725 提出了一个更丰富的模型。认证确定了谁试图进行一次变更;授权确定了该经过认证的行为者是否可以执行它。路由创建可以查阅与地址空间和起源 AS 关联的维护者,通过mnt-routes和相关属性进行层次化委托。该设计承认路由权威连接了两个领域。

实施做出了不同的选择。当前的 RIPE 模型认证地址空间方面来进行路由创建,并通知现有的起源 AS 联系人,而不是要求起源 AS 认证。APNIC 文档描述了使用地址和 AS 资源对象的控制,同时也允许一些外部起源情况并发出通知。ARIN 将其验证流中授权的路由和 aut-num 对象绑定到同一维护组织。每种选择都有操作原因和不同的保证轮廓。

测量应问:多大比例的已接受路由变更具有当前地址持有者授权?当不需要起源方批准时,起源联系人是否被通知,并可以提出异议?代理注册是否被明确委托?当前持有者能否从废弃的维护者那里回收对象?传统认证方法是否仍然被接受?高风险恢复是否接受独立审查?

原始百分比是不够的。分母区分新对象、修改、删除、迁移记录和管理恢复。一个来源可能对新的条目具有完美的强大认证,但大多数被查询的对象在该控制之前。另一个可能有意保留未修改的历史对象,但标记其审查状态。消费者既需要当前条目的性能,也需要存量质量。

最好的来源不一定是要求最多签名的来源。过多的要求可能阻止合法更新,使数据陈旧。质量在于正确赋予权威、使委托可用、提供通知并启用恢复。将昨天的运营商锁定在位的安全并不是值得信赖的维护。

新鲜度是一个事件问题,而非年龄阈值

对象年龄很有吸引力,因为它易于计算。一个十年前最后更改的路由对象看起来可疑。然而,稳定的网络可以在几十年里从相同的 ASN 宣告相同的前缀。要求定期文本更改会产生噪音并奖励形式上的更新。一个最近的时间戳可能隐藏一个复制或错误确认的断言。

有效的新鲜度询问该声明是否挺过了相关事件。注册持有者是否改变?资源是否在组织或 RIR 区域之间移动?起源 AS 状态是否改变?是否出现了一个与对象冲突的 ROA?维护者是否失去了所有可联系的联系方式?提供商关系是否结束?来源是否改变了其准入政策?

一个来源可以监控这些触发器,而无需假装了解每个私人安排。RIR 内部的注册事件是其集成 IRR 的强烈触发器。RPKI 冲突是任何路由对象的强烈触发器。重复的 BGP 不匹配是一个审查信号,而不是一个裁决。失败的通知和不活跃的凭证增加了重新验证的需要。客户终止事件可以触发提供商管理的清理。

因此,新鲜度记录应区分最后修改、最后认证、最后确证和最后事件审查。一个旧的未更改对象如果当前持有者最近通过强大帐户确认了它,并且没有相矛盾的事件,就可以保持高置信度。当一个有效的覆盖 ROA 与其起源矛盾时,一个年轻的对象可以立即被降级。

RADb 的陈旧评估展示了复合信号的价值和局限性。直接的 BGP 匹配、共享的维护者、观察到的 AS 链接、RIR 状态、年龄和其他来源可以识别出值得关注的对象。该徽章本身不会压制该对象,适当地将操作决策留给策略。下一步是提供一个可问责的确认或退役路线。

新鲜度服务水平应按事件类别陈述。安全冲突需要快速审查。资源转移应触发转移前后的协调。一个休眠的备份可以有更长的确认周期。一个统一的到期日期要么会删除有用的稳定策略,要么会容忍危险的变化过久。

RPKI 是一个更强的权威信号,而非通用的替代标签

RPKI 的发展改变了证据层级。依赖方可以验证一个 ROA 是根据覆盖地址资源的证书链签发的。对于起源声明,这比仅仅知道哪个 IRR 接受了一个文本对象更强。现代的 IRRd 可以压制 RPKI 无效的路由对象,并可以从经验证的 ROA 创建伪 IRR 对象,以便现有工具可以消费它们。

这鼓励了RPKI出现在 RIR 来源名称旁边的配置中。bgpq4手册推荐一个以 RPKI 开始,然后是五个 RIR IRR 的来源列表。该排序传达了对密码学基础起源权威和区域集成注册数据的合理偏好。

然而,生成的伪对象中的source: RPKI与提交的 RPSL 记录中的source: RIPE不是同一制度事实。前者是经过转换表示的验证签名对象。后者是根据数据库规则接受和维护的 IRR 条目。它们可以表达相似的前缀-起源信息,但其更新、范围和失败语义不同。

RPKI 也不会认证每个 IRR 对象类。RPSL 包括 AS 集合和用于生成客户锥和过滤器的更丰富策略。ROA 授权了一个起源和长度;它并没有陈述完整的传输关系或保证该路由当前被宣告。合法的持有者可能犯配置错误。一个 NotFound 路由没有覆盖的经验证有效载荷,因此并不一定是未授权的。

最强的设计将 RPKI 用作特定声明的证据。RPKI 无效的路由对象面临压制或紧急审查,并带有通知和修正路径。RPKI 有效的对齐会提高信心。NotFound 对象仍受 IRR 授权、新鲜度和 BGP 证据的约束,而不是自动拒绝。AS 集合接受其自身的层次化和成员资格控制。

这避免了用另一个品牌层级取代一个品牌层级。密码学证明了一个授权密钥在有效链下做出了一个狭窄的声明。它应为该声明获得高权重。它不应该用来暗示每个其他策略问题都已得到回答。

BGP 一致性是有用的,但具有危险的诱惑性

当没有权威 IRR 或 ROA 解决冲突时,运营商经常将路由对象与默认自由区路由表进行比较。匹配的前缀和起源似乎确认了现实。测量研究使用这种比较将对象分类为已路由、冲突或非活跃。该方法对于评估操作相关性是不可或缺的。

但它并非权威。一条被劫持的路由可以与自己匹配。一个网络可以通过一个起源进行宣告,而不更新由旧持有者的控制的记录。一个合法的备份对象可能没有当前全局宣告。私有互连、区域可见性、聚合和临时缓解可能躲避选定的收集器。BGP 描述了观察到的可达性,而非同意。

近期由 AMS-IX 和 DE-CIX 研究人员展示并在 RIPE Labs 上总结的研究发现,RIR 权威数据与第三方 IRR 数据之间存在方向性差异,并使用 RPKI、权威 IRR 记录和 BGP 可见性作为质量指标。该工作支持衡量来源性能,而不是假设质量均等。它也做出了分类选择:一个在默认自由区中未被见到的对象可能是陈旧的、私有的、备份的或测量之外的。

来源等级必须保留这些警示。注册机构不应通过删除收集器中缺失的每个对象来提高其分数。运营商不应仅仅因为已存在一条通告就接受一个第三方路由对象。研究人员应公布观测点、收集日期、前缀处理、冲突优先级和排除项。一个研究期间的计数不是品牌的永久属性。

BGP 一致性最好作为一个轴来使用。强大的权威加上当前的 BGP 一致性同时支持许可和使用。强大的权威而没有 BGP 可以支持预备或备份策略。薄弱的权威加上 BGP 一致性需要持有者确认。与强大 RPKI 证据的冲突需要紧急审查,无论 BGP 可见性如何。

这种矩阵比“信任来源 X”更难以解释。但它产生更好的过滤器,因为它区分了信心的理由和怀疑的补救措施。

镜像质量是信任的一部分,即使它不是对象权威

一个权威来源可以维护出色的记录,而消费者接收到一个旧的镜像。source:行保持不变,因为对象的机构来源没有改变。该行没有揭示本地副本是否是最新的、是否发生了日志断层、或者镜像是否静默地回退到一个旧的快照。

RFC 7682 记录了旧版 NRTM 复制中的弱点,包括缺乏强大验证和同步问题。现代软件提供了更好的控制。IRRd 可以保留特定来源的日志、获取序列信息、应用完整导入和 NRTM 更新,并暴露状态。RIPE 较新的复制设计使用特定来源的会话、带有哈希的版本化快照和增量。这些机制使得新鲜度和完整性更可观察。

它们需要出现在来源策略中。一个称信任ARIN但查询两天前更新的镜像的运营商并没有接收到当前的 ARIN 证据。一个过滤器系统应记录权威来源版本或序列、镜像获取时间、验证结果以及编译时的年龄。如果镜像不健康,运营商决定是保持最后已知的策略、查询替代端点还是暂停更改。

故障切换选择具有后果。保持旧过滤器可以保持连续性,但可能保留被撤销的许可。从一套不完整的来源重建可能会移除合法路由。失败开放可能容许未注册的通告;失败关闭可能断开客户。适当的行动取决于会话类型、最后已知状态、RPKI 证据和事件背景。

因此,可用性应该有其自己的来源等级。衡量成功的更新检索、滞后分布、序列断层恢复、快照完整性、状态透明度和事件解决时间。不要将这些结果与持有者授权混在一起。一个注册机构可能是权威的但暂时不可用;一个镜像可能是高度可用的但服务于授权较弱的数据。

这种分离建立了问责制。注册机构运营商可以改进发布。镜像运营商可以改进传输。过滤器提供商可以改进陈旧状态处理。客户可以知道哪个层面失败了。来源标签继续标识来源,而无需被迫隐藏每个下游条件。

修正权是一个比声望更好的信号

在公共操作注册机构中错误是不可避免的。信任与其说取决于声称完美,不如说取决于使错误修正有效。当前持有者必须能够发现覆盖其资源的对象、认证其资质、提交证据并接收合理的回应。列出的维护者和起源 AS 需要通知和解释持续权威性的机会。在争议审查期间,消费者需要状态和安全例外。

RIPE 的强制删除机制为当前持有者提供了一种有界限的方式来在权威地址层次结构下移除阻塞对象。其非权威清理政策使用了 RPKI 冲突、通知和一段持续期,然后删除。RADb 邀请维护者审查陈旧分类并提供 BGP 或其他支持证据。这些是不同的补救措施,由不同的制度地位塑造。

可衡量的问题是实际的。挑战路径有多清晰?接受哪些证据?决策者是否独立于原始提交者?通知是否通过当前资源渠道以及对象联系方式传递?紧急压制能否被快速审查?历史证据是否得到保留?一个错误删除能否在不假装它从未发生的情况下恢复?

有声望的来源可能无法通过这些测试,而名气较小的来源可能通过。一个建立在技术史上的品牌不能成为慢响应的支持队列的借口。也不应该以快速客户服务取代正当程序;一个应最响亮网络的要求而删除的注册机构并不可信。

补救数据应以定义人口公布总量:收到的挑战、权威类别、结果、决策时间间隔、紧急行动、撤回和未解决案例。敏感的身份和商业证据可以保持受保护。经过抽样的独立审计可以测试发布规则是否得到遵守。

一个决定来源偏好的运营商应高度重视这一证据。在一个具有可信修正的来源中的一个错误对象是一个有界风险。在一个没有资质、通知或上诉的来源中的一个错误对象可能成为永久的操作许可。制度合法性在当一名索赔人说该制度是错误的时候得以揭示。

一个可衡量的来源概况可以取代民间的排名

一个有用的概况始于范围。注册机构可以直接认证哪些地址和 AS 资源?哪些对象被接受用于域外资源?哪些类别是权威的、镜像的或衍生?存在哪些当前和传统提交方法?没有范围,一个狭窄人群中的高性能可能会被误认为是普遍质量。

第二部分涵盖准入。它记录了地址持有者授权、起源 AS 授权或通知、委托控制、凭证方法、恢复检查以及代理注册的处理。结果区分新创建、修改、迁移和未触动的遗留对象。

第三部分涵盖持续质量:最后认证确认、事件触发审查、RPKI 有效、无效和 NotFound 处理、BGP 比较、非活跃联系人、转移协调和重复检测。它分别报告每个信号,而不是宣告每个不匹配为错误。

第四部分涵盖分发:权威发布时间、镜像可用性、版本连续性、滞后、完整性验证和状态可见性。第五部分涵盖补救:发现、资质、通知、暂停、删除、上诉、撤回和历史。第六部分涵盖操作使用:选定的过滤器提供商如何包括该来源、他们应用什么冲突规则以及客户如何接收策略变更通知。

分数便可以是情境化的。一家运营商可能要求客户入站具有高地址权威和补救等级,而接受适中的 BGP 覆盖。一位研究人员可能更看重历史和广泛覆盖,而非压制。路由服务器可能优先考虑 RPKI 集成和当前的 AS 集合维护。一个机构对于不同的对象类别可以有不同的等级。

测量必须是可复现的。公布周期、数据集、测试、排除项、分母和负责的评估员。保留失败和争议的样本。使结果过期。一个更改软件或准入政策的来源会收到一个新的评估。认证标记链接到证据,而不是成为一个永恒的徽标。

该概况不会消除判断。它将改善判断。运营商可以解释他们为什么选择某个来源。注册机构可以看到哪些控制需要投资。持有者可以比较服务。新进入者可以通过性能赢得信任,而不是等待几十年的品牌积累。

运营商应给客户一份他们可以检查的来源策略

一个传输网络的过滤器是私有配置,但决定客户可达性的证据规则不应是一个秘密。在接入时,运营商应说明接受的 IRR 来源、是否使用 RPKI、所需的 AS 集合约定、刷新频率、冲突优先级和紧急更新程序。然后,客户可以在正确的地方注册,并理解变更如何到达边缘。

来源策略应进行版本控制。当运营商移除或降低某个来源时,它应预览对当前客户的影响,并识别将消失或改变起源许可的前缀。受影响的客户收到通知和一段时间来创建更强的权威记录。安全关键冲突仍可触发快速行动,但普通的策略迁移不应让依赖它们的路由的人员感到意外。

生成的过滤器需要来源。对于每次部署,保留工具版本、查询端点、选定的来源、来源版本、压制设置、AS 集合根、输出哈希、审查过的差异和路由器目标。这些证据使得网络运营中心能够回答为什么一个前缀昨天被接受而今天被拒绝。

例外需要同样的纪律。一个拥有合法传统空间的客户可能无法立即满足默认来源规则。一个手动前缀允许可以在注册被修复的同时保持服务。该例外记录了授权证据、批准人、范围和到期日。它不会变成一个无形的永久旁路。

运营商应测试空和降级状态。如果首选的 RIR 来源不可达,系统是使用最后已知的过滤器、扩大到所有来源,还是移除客户前缀?如果 RPKI 数据陈旧,如何处理 Invalid 结果?如果一个 AS 集合扩展突然增长,部署是否暂停?来源信任包括围绕失败的行为,而不仅仅是正常的查询结果。

这种透明度不需要发布客户拓扑或路由器凭证。它需要发布机构证据变成许可的规则。一个为传输付费的客户对该规则具有合法利益,并在规则被错误应用时具有补救措施。

除非分母保持可见,否则排名可能被游戏

一旦来源质量影响声誉和采购,机构就会优化该指标。如果指标追踪了真实的权威和修正,这可能是有益的。但它也可能产生表面的改进。注册机构可能从其报告群体中排除困难的遗留对象、批量刷新时间戳、压制冲突而非解决它们,或将未回复的通知计为已完成的审查。

因此,每个指标都需要一个分母和处理方式。RPKI 冲突率要说明它们是否涵盖所有路由对象、仅已路由对象,还是仅具有覆盖 ROA 的前缀。新鲜度率要区分有意义的持有者确认和自动修改。挑战表现包括撤回、维持、驳回、逆转和仍然开放的案例。镜像可用性要区分权威发布和第三方检索。

案例组合必须是可见的。RIR IRR 可以比全球独立注册机构更直接地认证其自己的区域资源。独立来源可能承载更多的传统、多区域和代理记录,正是因为它填补了空白。在不考虑范围的情况下比较它们的原始冲突率会奖励狭窄性。概况应评估每个来源是否对其选择承载的声明应用了适当的控制。

压制不得抹去审计群体。如果 IRRd 从普通查询中隐藏 RPKI 无效或低优先级的对象,质量报告仍应对它们进行计数,并显示它们为什么被压制。否则,一个来源可能因为问题不可见而显得干净。历史副本应与活跃策略视图分离,但仍可用于授权审查和研究。

独立抽样可以阻止游戏。评估员选择跨年龄、权威类别和结果的对象,重放入场和挑战证据,并比较权威和镜像状态。注册机构可以在证明检查发生的同时保护凭证和个人数据。争议案例应以匿名的原因类别公布。

目标不是产生一个永久赢家。而是持续改进和诚实的来源选择。一个不能下跌的排名变成了以另一种方式呈现的品牌权威。一个暴露其界限的衡量标准可以支持信任,而不必假装消灭不确定性。

制度合法性来自受约束的可见性权力

来源偏好控制了可见性。注册机构决定它接受什么和移除什么。镜像决定它承载哪些来源。过滤器运营商决定它信任哪些标签。IRRd 可以压制重叠的低优先级对象。这些选择共同可以使一个网络的宣告在操作上可理解或实质上缺席。

这种权力需要约束,即使是由私人技术组织行使。规则提前公布。决策使用相关证据。相似案例受到相似对待。受影响的持有者和维护者收到通知。紧急行动是狭窄的并经过审查。理由可以被检查。错误可以被纠正。指标揭示了例外。

制度品牌可以仅仅作为这种行为的总结来支持合法性。一个 RIR 在号码注册中的角色使其具有特殊的证据地位,但并非豁免于公平修正。一个商业注册机构的广泛服务可以创造有价值的覆盖,但客户支付本身并不建立资源权威。一个开源实现可以使策略透明,但本地管理员仍然选择配置。

source 属性应保持稳定的来源。仅仅为了赋予声望而重写它,可能会误导消费者关于一个对象在哪里以及根据什么规则注册。RIPE 创建RIPE-NONAUTH是站得住脚的,因为它明确区分了一个普通区域权威不适用的集合。任何类似的重新标记都应保留历史并通知维护者。

消费者应能够看到起源和处理两者:原始来源、权威或镜像状态、验证状态、本地偏好、压制原因和观测时间。这使得数据库的行为与过滤器运营商的判断分离。它还使分歧成为可能,而不破坏对象。

合法性不是在每个人都使用相同的排名时实现的。它是在不同的运营商可以做出基于证据的选择、向受影响的网络解释它们,并在性能变化时进行修正时实现的。

号码资源协会可以检验信任,而不铸造另一个信仰徽章

NRS 将精确的号码注册、运营商权利和制度问责作为核心关切。如果该计划保持技术性、有边界和多元,这些目标适合一个来源质量计划。NRS 可以为 IRR 权威、镜像和过滤器提供商定义一个开放的概况,并委托可重复的一致性测试。

对于注册机构,测试将检查资源持有者授权、起源通知、委托维护、遗留对象标记、事件触发审查、挑战资质、可逆压制、删除证据和发布状态。对于镜像,它们将检查来源忠实度、版本连续性、滞后和事件报告。对于过滤器提供商,它们将检查明确的来源选择、冲突处理、可复现的生成、客户通知和例外过期。

结果应该是证据记录,而非对每个对象的背书。一个注册机构可能通过准入测试,而一个持有者犯了一个错误。一个镜像可能通过完整性测试,而其来源包含陈旧策略。一个提供商可以正确实施其陈述的来源规则,而该规则仍然开放挑战。范围和限制随结果一起传递。

认证必须过期。被测试的软件版本、策略版本、周期和样本是可见的。重大变化触发重新评估。投诉可以开启一次集中审查。NRS 成员和非成员接受相同的技术标准。没有任何来源因帮助设计了测试而获得永久更高的排名。

NRS 不应成为通用 IRR,选择每个运营商的过滤器或声称对号码资源拥有法律权威。其自己的公开声明是倡导证据,而非一个来源质量系统已在运行的证明。一个建设性的角色是使制度声明具有可比性,并帮助持有者在分散的服务中行使修正权。

这是一种积极的去中心化形式。RIR 保留其资源注册职责。独立注册机构保留其服务模式。运营商保留路由策略。一个共同的证据概况允许信任随着性能移动,而不是保持附着在那些在更早时代主导配置文件的名称上。

source 字段应回归来源,信任应展示其工作

source 属性很好地完成了其原始工作。在一个镜像、分布式的注册机构中,它告诉读者一个对象是在哪里注册的。当这一小片来源被当作权威、新鲜度和操作适用性的完整证书时,问题开始了。

运营商将继续偏好某些来源。他们应该这样做。一个集成了当前号码注册和强大持有者认证的来源,对于前缀权威通常应比未经认证的第三方声明获得更多权重。一个具有可靠发布和修正的来源,应比具有不透明延迟的来源获得更多的操作信心。这些是基于证据的区分,而非主张每个数据库都是平等的论点。

这一区别必须是有条件的。信任被附加到一个声明、一个对象队列、一项当前策略和衡量的服务上。当认证改善并且旧对象被审查时,它可以上升。当镜像滞后、挑战得不到回应或制度范围不再匹配资源时,它可以下降。对于路由对象和 AS 集合,它可以不同。它可以被更强的对象级证据所覆盖。

一个成熟的过滤器记录应能够说:该前缀进入是因为一个指定来源中当前持有者控制的断言,在指定版本下通过了指定的检查;这个冲突对象因一个文档化的原因被排除;这个镜像是最新的;这个客户被通知了;这个例外到期了。这种解释比一个来源名称更长,但在一次中断或争议后远为有用。

从 1995 年起,路由注册机构将网络运营商之间的社会信任转化为结构化的声明。来源标签保留了那些声明的制度位置。三十年的自动化将位置变成了排名。下一步不是抛弃声誉,而是规训它。

来源名称应该识别声明来自何处。信任等级应识别声明为何现在值得依赖。当这两者分离时,品牌仍然可以赢得信心,较小的机构可以证明质量,遗留记录可以根据其实际证据被对待,运营商可以为他们部署的策略进行辩护。权威因此变成了可衡量的表现,而不是继承的位于对象底部的字母。

来源