摘要

  • 任何替代五大区域互联网注册机构(RIR)模型的方案都必须防止双重分配、保持路由聚合、保护路由安全状态、为共享公共产品提供资金,并能在服务提供者失效时进行恢复。这种失效测试应置于首位。
  • 早期的 RFC 文档识别出地址管理中的规模扩展问题;ICP-2 后来将区域协调转化为一种明确规则,即每个大陆尺度区域应由一个管理下的单一 RIR 在单一地点提供服务。
  • 制度性捆绑将具有不同技术需求的各项功能结合在一起:权威的号码资源状态需要一致性,而服务交付、培训、认证操作、争议处理以及某些问责功能则可以分开分析。
  • 现有记录并未证明解绑会更便宜、更安全或受运营商青睐。它支持一个更狭隘的结论:五大区域垄断是偶然的设计选择,其替代方案需要通过可衡量的协调、安全、资金和恢复测试。

在任何制度反事实之前的失效测试

有益的出发点并非对垄断的愤慨,而是任何竞争性设计都必须通过的失效测试。一个编号系统无法容忍两个独立的授权机构将同一地址块分配给不同的持有者。当路由稳定性依赖连贯的层级结构时,它不能将聚合视为可选项。它不能让路由安全断言由不协调的编写者随意处置,而无法断定哪个断言是权威的。当教育、政策制定、记录管理和争议处理能力仅在边际有利可图时才获得资金,系统同样无法运作。它也不能让失败的服务提供者弃置记录、密钥、反向 DNS 职责或成员义务,而没有经过检验的恢复路径。

该测试为现有区域互联网注册系统提供了最有力的依据。一个被认可的大规模区域注册机构能减少冲突性更新、简化问责并为专业知识提供稳定的归属。它给运营商一个熟悉的服务成员和政策讨论论坛。它允许通过注册收入交叉补贴为公共利益服务。它缩小了 IANA、其他注册机构和网络运营商为维持全球状态而必须协调的机构数量。这些并非装饰性优势,正是这些原因使得区域注册垄断可以被捍卫为一种基础设施,而非仅仅是既得利益。

同样的测试也阻止我们得出轻率的结论,即当前的捆绑在技术上不可避免。全球唯一性需要协调的权威状态,但它并不自动要求围绕这一状态的每项服务都必须由一家永久性的服务提供者为某个大陆尺度区域执行。困难在于功能特定化:哪些任务需要单一权威编写者,哪些任务需要共同规则,哪些需要认证状态,哪些需要本地服务,哪些可以在一个共享账本和恢复框架下由经过认证的提供者供应。如果不做出这种区分,对唯一记录的需求就会悄然变成永久性组织垄断的论据。

因此,有限度的论点是简单的:层次化委托是对互联网增长、全球化和管理规模的理性回应。后来的一个区域一个注册机构的模式使这一回应变得清晰且持久。但注册、成员、政策、认证、反向 DNS、培训、争议处理和认可并非一个天然整体。它们通过标准制定时代的实践、认可政策及注册机构间协调组合在一起。一个严肃的反事实必须估算分离它们的风险,而这种估算工作本身便显示出,捆绑是一种治理选择,而非物理定律。

早期的规模扩展分岔是真实的,但并不完全

早期的地址管理文档应被解读为规模扩展分岔的证据,而非成熟 RIR 秩序的完整制度蓝图。1992 年的 RFC 1366 将区域分配描述为对增长和全球化的回应。问题并非抽象。随着互联网扩展超出一个小型协调环境,管理集中化造成了延迟、本地知识缺口,以及全球唯一性和区域服务需求之间的错位。向区域机构委派,提供了一种保持记录一致同时将日常分配工作移向资源使用社区的可行方式。

RFC 1466于 1993 年发布,为这一分岔给出了更多操作细节。它描述了由 IANA 和互联网注册机构授权建立的分布式区域注册机构,并确立了选择注册机构的标准。其重要性在于发展方向:地址管理可以在保持全球协调的同时,通过区域结构进行管理。这是远离纯粹中央办公桌的重要设计举措,它承认增长需要制度分布而未放弃唯一性目标。

但那些 RFC 时代文本的局限同样重要。它们是分配时期的工具,并非对后来稀缺、转移、认证、成员治理或服务可移植性等问题的最终答案。它们说明了为何在五大 RIR 体系完全成熟之前,区域管理便具有吸引力。但它们没有证明每个区域必须有一家企业提供商无限期地控制所有相邻功能,也没有解决后来市场是否可能通过经过认证的注册服务提供者为成员服务,同时写入一个共同的权威状态。

本文并非重演自起始即具备可移植性的反事实。更狭义的比较在于:当五大 RIR 秩序形成时,设计问题已从“地址管理是否应当区域化?”转变为“区域注册机构捆绑的哪些部分必须保持排他性,而哪些可以在不破坏唯一性的情况下变得可移植或联邦化?”早期 RFC 更清楚地回答了第一个问题,而非第二个。它们指出了分配的理由,但却未确定随后产生的机构永久边界。

ICP-2 将协调风险转化为单一提供者规则

成熟模型的决定性制度文本是ICP-2,于 2001 年 6 月 4 日被接纳。ICP-2 不仅描述了区域协调的偏好,更声明每个大致为大陆尺度的区域应由一个管理下、单一地点的一个区域互联网注册机构服务。明确指出的担忧是碎片化。为同一区域服务的多个注册机构被呈现为会造成协调困难、服务不一致以及注册系统使用者间的混淆。

该规则作为一项风险判断值得尊重。号码注册机构并非普通的客户服务业务。如果两个提供者可以对同一权威资源状态进行不兼容的更改,问题便不仅是不便,而是真相的丧失。如果两种政策解读产生冲突的注册结果,运营商和上游网络需要知道哪种结果有效。如果一个服务提供者消失,必须有一种方法来保存记录、密钥、反向 DNS、联络方式和义务。因此,ICP-2 坚持每区域一个得到认可的注册机构可以被捍卫为一项保守的基础设施规则。

但风险判断并不等同于比较性证明。ICP-2 声称了多重区域注册机构的危险,但它没有发布对各种方案的并排评估,例如共享账本设计、经过认证的服务提供者、分离的政策机构、模块化的争议系统或合同性的继任安排。该政策是在现有 RIR 参与下制定的,这并不使其非法,但的确意味着该文本不应被视为中立的市场研究。它告诉了我们这个得到认可的体系如何选择管理风险,却没有告诉我们所有可行的替代方案需要多大成本。

“一个管理、一个地点”的措辞尤其揭露实质。它将碎片化视为一个通过集中来解决的制度问题。其前提是,当区域拥有一个认可的注册机构、一个管理架构和一个地点时,清晰性得以提高。这对于权威状态、面向公众的问责和注册机构间协调可能正确,但对于培训、帮助台服务、认证运营、成员通信或本地争议支持则不那么显然。同样的风险标签被用于技术需求各异的功能之上。

正确的解读既非敌视,亦非盲从。ICP-2 提供了一个帮助稳定区域注册机构秩序的规则,减少了混淆,并给 IANA、RIR 和运营商一个简单的权威地图。与此同时,它将维持注册状态一致性的技术要求转化为更广泛的组织排他性规则。该文本通过指向碎片化和混淆来证明这一转化。缺失的证据是比较:是否所有功能都需要这种排他性,以及模块化的保障措施能否以更低的锁定成本控制同样的风险。

后来看似天然的捆绑

到五大 RIR 体系成为号码资源治理的普通地图时,若干不同任务已被折叠入每个区域的单一制度提供者之内。被认可的 RIR 是注册服务的源头,也同时是成员组织、本地政策舞台、注册记录的保管者、反向 DNS 的协调者、认证安排的参与者、教育与社区会议的提供者,以及一个在外部法律或更高协调机制介入之前塑造争议的论坛。同一个名称涵盖了账本状态、规则、服务、公共产品和制度声音。

这种捆绑有实际优势。单一提供者可以维持跨邻近任务的员工专长,可以将成员服务与政策解读相联接,可以为不产生直接交易收入的活动提供资金,可以保守机密信息,因为敏感的操作数据不需要在多个服务承包商之间流转,还可以降低对账成本,因为接收成员请求的组织同时也维护记录系统并理解本地政策历史。在基础设施中,低对账成本并非微小收益。

捆绑也制造了依赖。一个需要注册服务、政策准入、反向 DNS 管理、认证支持和争议关注的网络运营商并不面临通常的供应商选择问题。被认可的区域注册机构并非是若干提供者之一,而是运营商号码资源关系得以管理的制度路径。认可、成员和记录全都指向同一方向。随著时间推移,这种集中使得捆绑看起来在技术上不可避免,即便在某些功能比权威账本本身的唯一性要求更弱的地方亦是如此。

下边的矩阵将功能分离开来。它并非一个采购设计方案,而是一种保持分析诚实的方式,通过询问什么必须唯一、什么目前被集中、模块化替代方案必须保护什么以及在任何变革变得可信前需要何种恢复计划。

功能唯一性要求当前控制点可设想的模块化替代方案新的协调风险切换/恢复要求
权威号码资源账本极高:一个全局真相必须防止双重分配和不兼容的状态更改IANA 至 RIR 的委派及每个被认可的区域注册机构的记录具有经过认证的区域服务写入者和严格共识规则的共享权威账本冲突性写入、欺诈、延迟对账、不明确的最终性经测试的记录、签名、审计跟踪和决策权向继任者的转移
注册服务与成员账户处理中到高:服务可分布,但状态更新必须最终且一致被认可 RIR 的成员服务台和内部系统提交已验证更改给共同注册状态的经过认证的服务提供者服务质量不均、身份欺诈、政策解读不一致强制托管、身份保证、服务提供者退出规则和成员连续性计划
政策制定中等:规则必须对所涉及资源统一,但审议不必仅由服务台提供围绕被认可注册机构的 RIR 社区流程具有约束性发布至注册规则的独立区域政策论坛被脱离运营问责的参与者所俘获明确的规则采用门槛、申诉途径和紧急暂停程序
RPKI 与认证支持对证书状态和密钥完整性要求高;对教育和支持要求较低与资源记录相关联的注册机构运营的认证服务具有分离的支持台和审计控制的通用证书授权模型密钥混乱、过期证书、对验证失败的混淆责任密钥滚动流程、托管运营手册、独立审计和灾难恢复
反向 DNS 协调对权威委派要求高;对客户支持要求中等附加于号码资源记录的注册机构协调在服务水平合同下的共享 DNS 操作,配备多个支持提供者不一致的委派、延迟更新、不明确的事故指挥托管区域数据、事故升级规则和继任 DNS 操作者任命
培训与教育对唯一性要求低;对准确性和中立性要求高由 RIR 资助的会议、培训和文档使用共同课程标准的有竞争性或联邦化的教育提供者低质量指导、区域获取不均、营销俘获培训师认证、开放材料、对服务不足社区的资金支持
成员关系与费用收取中等:资金必须稳定且公平;提供者身份可与账本真相分离RIR 成员组织和费用表集中的资金池或受管制的服务费用,支持共同功能搭便车、公共产品资金不足、扭曲的激励储备金要求、收费后备和成本分摊的公开报告
争议处理与上诉中到高:最终决策必须权威,但审查可在制度上分离内部注册流程、社区规则及可适用的外部法律途径针对注册机构决策的独立审查机构,对账本更新具有约束效力解决缓慢、挑选法院、不一致的标准时间限制、记录的紧急保全和可强制执行的纠正令
注册机构间协调对全局一致性要求极高;对公共代表性要求较低通过 NRO 及相关安排进行的 RIR 集体协调具有规定投票、升级和继任规则的账本运营商合同委员会僵局、在位者否决、新进入者的不明确权威僵局打破者、临时管理者以及为失效参与者制定的连续性条款

该矩阵凸显了两个常被混淆的现实。第一,账本不能被视作普通开放市场。没有共识和恢复的多重写入者将恰好制造出 ICP-2 所恐惧的危害。第二,并非账本周围的每一项功能都具有相同的排他性要求。教育、成员支持、部分争议审查以及服务交付的某些部分可以被想象为模块化功能,但前提是——也仅当——权威状态通过身份保证、审计、责任、资金和继任条款得到保护。

权威账本是硬核

围绕 RIR 模型的最强边界是权威号码资源账本。若没有一个可信的状态说明谁持有哪些资源,系统的其余部分便变得模糊不清。分配和指派记录会影响路由实践、反向 DNS、可联系性、认证和转移评估。一个容许双重分配或不可调和状态更改的设计,将在其治理哲学变得重要之前便已失败。

这便是为何“垄断”一词若使用宽松会造成误导。硬核并非作为商业偏好的垄断,而是权威真相的排他性。一个号码账本需要最终性。它需要一种方法知道哪个区块被委派、哪个持有者被记录、哪项政策条件适用以及哪个机构可以更改记录。如果一个模块化模型不能详细说明这种最终性,它便不是模型,而是对冲突的邀约。

然而,最终性可通过不同制度方式产生。它可能来自某个控制记录的区域提供者。它可能来自具有一个公认决策流程的共享账本。它可能来自一个合同运营商,其行动受到审计并可以恢复。它可能来自一种层次结构,其中只有特定机构可以写入特定类别的状态。技术需求是一致性,而不必然是周围所有服务永远留存在一个组织内部。

现有 RIR 体系通过被认可的区域权威解决了最终性。该解决方案具有低概念开销。运营商知道去哪里,IANA 知道委派给谁,其他 RIR 知道和谁协调。此模型避免了区域内复杂的多提供者写入协议。在从 20 世纪 90 年代早期到成熟 RIR 秩序建立的增长期内,简单性具有价值。

这种简单性的代价是制度性依赖。一旦被认可的区域注册机构成为唯一可以变更权威状态的地方,每一项邻近服务都因此获得杠杆。成员义务、服务流程、政策争议和认证安排都在独特账本的阴影下运作。即便某项功能理论上可由其他地方提供,运营商也难以不离开被认可的注册状态而轻易退出被认可的注册机构关系。这正是必须被指出的锁定机制,而不应假装唯一性本身是可选项。

服务交付不等同于最终权威

注册服务包括接收请求、验证身份、核查政策资格、与成员沟通、更新记录和保存证据。其中部分工作与最终权威不可分离。除非状态更改被接受进入权威记录,否则不能被视为有效。但在最终更新之前的客户面向工作,比账本本身更为模块化。如果最终写入路径被控制,验证、文件编制、翻译、区域外联和技术支持可以以若干方式组织。

一个模块化替代方案将需要经过认证的服务提供者,而非自由竞争者。提供者需要身份控制、冲突检查、审计职责、保密规则和对不良提交的责任。他们必须使用共同的政策解读,或将存疑案例升级至中央权威。他们必须托管记录,以便失败的提供者可以被替换而不丢失成员历史。他们还需要一个公共服务资金模型,因为普通服务费用可能不足以支持这类公共产品。

这些要求是沉重的,解释了为何集成的 RIR 模型具有吸引力。一个单一注册机构可以在一条监管链中将身份保证、政策解读和记录更新相结合。它可以在一种运营文化下培训员工。它可以检测到成员交互中的可疑模式。它可以避免一个服务提供者通过挑战资格边界或承诺比规则允许更快的结果而竞争的市场。

但“沉重”并不等同于“不可能”。银行、域名注册机构、证书颁发机构和其他基础设施相邻系统已使用认证、托管、审计和继任安排来将某些服务功能从权威状态中分离出来。这个类比不能不加调整地导入,因为互联网号码资源有自己的历史和政策结构。但它仍然表明,机构垄断仅是管理最终性的一种方式。相关的问题是,保障措施的成本是否会高于它们所降低的锁定程度。

现有记录并未回答这个问题。没有观察到将集成的 RIR 服务与认证服务模型相比较的成本系列。没有运营商偏好调查显示成员是否愿意为可移植性付费,或宁愿选择单一注册机构服务台。没有生产迁移计划证明模块化服务本是安全的。诚实的结论并非解绑更优,而是,服务交付在分析上可与最终权威分离,而现有体系选择不将其分离。

政策与成员创造合法性,但也造成固化

RIR 政策制定是关于捆绑的最强公共利益论据之一。地址管理规则需要本地知识、运营商参与和连续性。一个区域注册机构可以召集会议、发布提案、保存讨论记录和实施已采纳政策。成员组织供给了一个选民基础和一个资金基础。这种结构比一个隐藏的管理员在没有社区程序下实施规则更具合法性。

将政策与注册运营捆绑也创造了反馈。理解运营约束的员工可以为政策讨论提供信息。经历服务问题的成员可以在制定规则的同一制度环境中提出问题。必须实施政策的注册机构有激励去解释可行性。这种反馈可以缩短规则制定与运营现实之间的距离。

风险在于,提供者之中央位置成为了衡量合法性的框架。如果获得政策承认的唯一途径是 RIR 自己的流程,那么关于提供者之角色、费用、服务质量或争议流程的辩论便发生于受益于现有安排的那个机构之内。这并不使流程无效,但却意味着流程存在一个在位者问题。规则制定者、服务提供者和成员宿主并非完全分离。

一个模块化模型可以设想一个独立的区域政策论坛,其所采纳的政策约束着权威账本运营商。这将减少提供者对规则制定的控制,但会引入其他风险。政策论坛可能被一个狭隘的参与者群体俘获,可能采纳难以让运营商实施的规则,可能令账本运营商对其未参与设计的结果负责。它将需要一个清晰的采用门槛、一个申诉途径以及在政策实施会危及注册机构完整性时的紧急规则。

再一次,实践并非旨在宣称模块化政策更好,而是估算选择之成本。集成模型降低了协调成本,并将规则制定与运营知识相结合。分离模型可减少制度的自我保护,但需要更强的问责规则以及与注册运营的绑定接口。ICP-2 的单一提供者规则通过将区域注册机构视为服务与政策二者的天然居所而避开了这一复杂性。该设计作为一个稳定性的简化而起作用,但它仍然是一个设计。

认证、反向 DNS 与安全边界

认证和反向 DNS 使分离问题更为敏感。路由安全状态依赖于号码资源记录与密码或 DNS 断言之间的可靠联系。如果持有者记录是错误的,认证可能放大错误。如果密钥处理不当、过期或遭到破坏,网络可能面临验证失败或误导的信任信号。如果反向 DNS 委派不一致,操作排障和滥用处理会变得更加困难。

这些功能加强了将某些操作保持靠近权威注册机构的理由。一个负责资源记录的提供者拥有进行证书签发、撤销和支持的背景。它可以将反向 DNS 更改与注册状态对齐。它可以在不将敏感数据传递给多个承包商的情况下协调事件响应。它可以在一个共同的风险文化下定义操作程序。

它们并不证明所有支持功能都必须被垄断。一个分离的设计可以在一个共同的、受审计的控制点下保持最终的证书权威和反向 DNS 委派,同时允许多个支持提供者帮助成员准备请求、管理文档或理解程序。这样一个模型将需要严格的身份证明、密钥管理规则、事件升级和审计。它还需要成员知晓他们何时是从支持提供者处获取建议,而非从注册状态处获取最终权威。

协调风险是严重的。一个不良服务提供者可能错误处理密钥材料、提交不准确的更改、延迟撤销或令成员混淆哪些状态是权威的。责任将十分困难,因为故障可能源自成员、支持提供者、共同的认证系统或注册机构的决策流程。恢复将需要密钥滚动、保存日志、紧急暂停和清晰的指挥链。这些需求恰好说明了集成 RIR 运营具有强大的安全论据。

制度上的教训比捍卫每一项垄断功能更为狭窄。安全敏感的状态应保持严密控制。围绕该状态的支持、教育和审查只有在控制边界明确时才能模块化。现有捆绑通过将多数功能塌缩入一个提供者而解决了边界问题。一个反事实则必须通过规则、审计和恢复来解决边界。反事实很困难这一事实,并不使捆绑变得不可避免;它只是使捆绑的便利性变得可见。

公共产品是对捆绑的最佳经济辩护

培训、会议、文档、政策记录和区域外联并非附属装饰,它们是围绕注册体系的公共产品。许多运营商受益于准确的培训材料,即便他们没有直接支付课程费用。政策档案帮助未来的参与者理解规则为何存在。区域会议建立信任,并将更小的网络带入原本会由最大持有者主导的讨论。这些功能成本高昂,且货币化不均。

一个财务上稳固的区域非营利组织可以交叉补贴它们。注册和成员收入可以支持教育、外联、翻译、促进和技术援助。提供者的垄断地位使这种交叉补贴更加稳定,因为机构不必仅就窄幅交易费用进行竞争。在运营商能力不均衡的区域,这种稳定性可能比理论上的供应商选择更重要。

这是反对简单化竞争修辞的有力论据。如果模块化服务提供者攫取有利润的账户工作,却让教育和社区促进缺乏资金,系统可能变得愈加不平等。大型运营商可能获得复杂支持,而较小网络则失去帮助它们参与的补贴性公共产品。一个缺乏公共产品基金的有竞争性的服务层,可能挖空那些赋予注册治理合法性的社区基础。

答案必须是某种融资机制。一个模块化设计可以要求所有认证提供者向中心公共产品池出资。它可以为培训和政策支持预留一部分费用。它可以公布成本分摊并服务不足地区的需求。但这些规则本身需要管理和执行。区域垄断通过将收入收取和公共产品支出结合在一个机构内而简化了这一点。

此处可获得的证据并未显示哪种模式本可以更好地为公共产品提供资金。它确实显示,任何替代方案都必须将资金视作首要设计约束。一个承诺提供者选择、却假设培训、政策档案和外联会自动得到资金的反事实,应予以拒绝。捆绑最强健的经济学并非在于垄断是美德,而在于共享基础设施需要为那些市场可能供给不足的工作提供稳定收入。

争议、责任和恢复定义了真实的切换成本

对于模块化注册设计,最具揭示性的测试并非普通服务,而是争议和失效。当成员挑战一项拒绝,当记录据称有误,当提供者错误处理了机密数据,当证书状态必须迅速纠正,或当一个服务组织财务失败时,系统需要的不止是正常操作指令。它需要权威来保存状态、决定谁能行动、恢复服务和分配责任。

集成的 RIR 模型通过将单一被认可的机构置于中心而降低了这种切换问题。如果争议出现,相关的记录、流程、员工和机构责任都集中在一起。外部法律流程可能仍有作用,但操作联系点是清晰的。如果注册机构本身失败,问题变得严重,但至少存在一个其责任必须被转移的已知实体。

一个模块化设计将边缘乘倍放大。一次坏的账户更新可能涉及一名成员、一个经过认证的服务提供者、一个政策解读机构和一个中央账本运营商。一次认证失败可能涉及由一个实体管理密钥、由另一个实体提供支持建议以及由第三个实体维护记录状态。一个争议机构可能命令纠正,但账本运营商必须执行它。每个接口都需要时间限制、证据规则、保密义务和责任分配。

这不使模块化成为不可能。它使恢复成为模块化的代价。在任何替代方案变得可信之前,它将需要成员记录、审计日志、操作手册、签名程序和待处理争议的强制托管。它将需要一个在运营商破产或敌意时起作用的继任任命流程。它将需要紧急权力,以保存当前状态而不允许管理员做出任意更改。它将需要可强制执行的义务,以使成员不致被遗留在机构之间。

这就是为何许多对垄断的理论批评过于廉价。它计算了锁定,而未计算恢复。现有体系创造了对于区域提供者的依赖。一个模块化体系创造了对于接口、合同、审计员、继任规则和争议机构的依赖。相关的比较并非垄断对自由,而是一种集中化的依赖对一组必须最终收敛于权威状态的分散化依赖。

NRO 显示了在位者间的协调,而非市场测试

日期为 2003 年 10 月 24 日的NRO 谅解备忘录之所以有用,是因为它显示了在在位者模型已经就位后,区域注册机构如何协调。该协议在 RIR 之间建立了一种集体机制,其义务要求全体一致书面承诺。四个 RIR 创建了该安排,AFRINIC 在其后来获得承认后加入。该文件并非一份竞争研究,而是一份注册机构间协调文书。

其意义在于制度性。到 2003 年,相关角色已不仅是独立的区域办公桌,他们正在创建一个集体形式以跨区域发言和协调。这强化了五大 RIR 秩序,赋予其一个有组织的注册机构间层面。它也使认可和参与更具后果性,因为加入区域注册机构家族意味着进入一个协调的体系,而非仅仅运营一个本地分配办公室。

全体一致承诺的特征具有两面性。它可以保护区域注册机构免受未经同意的约束,这支持制度稳定。它也可以通过使协调变更变得困难而巩固在位者。如果每个参与者都必须书面承诺,系统获得了可预测性,却失去了某种实验性重新设计的能力。这一取舍在基础设施治理中很常见:防止鲁莽变革的同一规则也可能放缓所需的适应。

因此,NRO 文档有助于解释为何捆绑变得更难质疑。RIR 之间越相互协调,这五大提供者地图就越显得像号码资源治理的运行宪法。一个单一的区域注册机构不仅是一个区域的服务提供者,它还是被认可的跨注册机构集体中的一个节点。这种关系提高了想象可移植服务提供者或替代性区域安排的制度成本。

该文档并未显示替代方案不可能。它并未将共享账本与认证服务提供者相比较。它并未测量运营商对可移植性的需求。它并未量化在位者协调与模块化竞争对比的成本。其证据较窄却仍然重要:一旦 RIR 通过它们自己的集体安排得到协调,每区域一个提供者的模型便在全球层面得到强化。

后来的 IANA 号码服务协议仅是一个有限度的类比

于 2016 年 10 月 1 日生效的 IANA 号码服务协议,落在 1992-2010 年核心形成期之外,但若限制在边界内,它提供了一个有用的类比。它显示了性能期望、升级、争议解决、续期和继任运营条款可以被写进号码系统某一层级的正式运营安排中。换句话说,独特的协调可以通过模块化的合同条款而非仅通过制度传统来表达。

这一类比绝不可过分夸大。该协议管辖的是关于 IANA 号码服务的关系。它并非区域内注册提供者之间竞争已经有效的证据。它并未证明成员会更喜欢可移植服务。它并未测试多个经过认证的写入者对于区域资源状态的安全性。它晚于五大 RIR 模型形成的时期,不应被向后解读为在 20 世纪 90 年代早期或 2001 年本可具有可行性的证明。

其价值在于概念性。如果一个层级可以详细规定服务期望、升级、争议处理和继任安排,那么将功能从机构中分离的设计词汇便已存在。一个模块化的区域模型将需要类似的词汇,但在某些方面更严格,因为它会影响成员账户、认证、反向 DNS 和本地政策实施。后来的协议并未回答成本问题,它显示了严肃替代方案所需的那类条款。

这一点很重要,因为关于 RIR 垄断的辩论常常变得二元化。要么区域提供者被视为所有功能的唯一可能居所,要么竞争被视为万能良方。后来的协议指向了第三种推理方式:定义服务,定义性能,定义升级,定义争议处理,定义续期,定义继任运营。一个可信的反事实必须如此具体,它必须是制度工程,而非口号。

分布式反模型是想象力的证据,而非产品证明

2018 年使用区块链进行分布式互联网地址管理的实验,作为一个技术反模型是相关的,因为它显示了至少在一个原型设置中,研究人员可以将分布式地址管理状态与现有五个私人组织分离开来。它是有用的证据,反驳无人能想象非传统注册状态的说法。它并非此类系统已准备好管理生产互联网号码资源的证据。

其局限性是决定性的。一个原型并不证明在敌对激励下的安全性。它不解决治理合法性、法律可执行性、从当前记录的迁移、机密性、费用融资、争议处理或继任运营问题。它不表明运营商会接受该系统,或监管机构和法院会理解其输出。它不证明一旦加入审计、身份保证、密钥恢复和责任,共识技术会降低成本。

该反模型因此应被谨慎使用。它通过提醒我们,权威状态可以以不止一种技术架构被表示和验证,从而扩展了设计空间。它也再次强调了失效测试。任何分布式系统仍然需要一种方法来防止双重分配、识别授权更改、从密钥破坏中恢复、逆转不良更新、资助支持和分配责任。没有可问责治理的共识只会以一种依赖取代另一种依赖。

这就是为何本文中的问题并非“号码资源是否应被放在区块链上?”答案并非由证据提供,也不应被编造。问题是,五大 RIR 捆绑是否应被理解为一贯性的唯一可能形式。该实验通过显示替代技术状态模型可以被提出,而帮助回答了那个更狭窄的问题。它并未显示它们是合法的、更便宜的、更安全的或可部署的。

一个可证伪的成本与风险量规

由于现有记录不包括比较成本数据、故障率、运营商偏好调查或模块化替代方案的生产试验,诚实的方法是采用一个量规而非数字裁决。该量规应提出五个问题。第一,该设计是否在每个时刻——包括在争议和失效期间——为每个资源保留单一权威状态?第二,它是否维持聚合并避免那些会分裂路由激励的政策?第三,它是否保护认证和反向 DNS 状态免受不一致或欺诈性更改?第四,它是否资助那些没有直接交易收入的公共产品?第五,当提供者失效时,它能否将服务、记录和权威转移?

一个集成的区域注册机构在简单性、清晰权威、员工连续性和公共产品资金上得分较高,但在成员退出、竞争压力、对提供者表现的独立审查以及对提供者级别失效的韧性上得分较低。一个模块化的认证服务设计可能在选择和审查上得分较高,但在界面复杂性、对账成本、责任以及提供者追逐盈利账户的激励上得分较低。一个分布式账本设计可能在复制状态上得分较高,但在治理合法性、机密性、密钥恢复及法律责任上得分较低。

该量规也需要测量。对于成本,证据将需要完整的按功能划分数据:账本运营、成员服务、政策支持、认证、反向 DNS、培训、争议处理、审计和储备金要求。对于风险,它将需要历史事件数据及模拟的失效情景。对于需求,它将需要运营商调查或显示性偏好证据,表明成员是否会转换提供者、为可移植性付费或宁愿保留现有单一服务台。对于恢复,它将需要经过测试的迁移演习,而非信心声明。

这一方法避免了两种缺乏支持的断言。它不宣称五大 RIR 捆绑是最优的,因为它持续了。长存是连续性的证据,而非最佳设计的证明。它也不宣称竞争会更便宜,因为竞争在普通市场中常常降低价格。注册治理并非普通市场,共识、审计、责任和恢复的成本可能相当可观。唯一可辩护的宣称是,当前捆绑应根据替代方案按功能进行评估,而非受技术唯一性已解决所有制度问题的假设所保护。

五大区域垄断的最有利案例

对五大区域垄断设计的最佳辩护,是在一个公共利益非盈利模型下的运营连续性。数十年来,RIR 体系为号码资源管理提供了一个可识别的结构。运营商知道去哪里获得服务,IANA 知道委派的区域对应方,RIR 社区发展了政策流程,注册机构间协调在少量机构间管理。教育、会议和记录工作可以由管理资源的同一组织提供资金。该模型传递了连续性,而连续性至关重要。

该模型也降低了对账成本。当同一个机构处理成员账户、政策解读、记录更新、反向 DNS 协调及相关支持时,更少的接口可能失效。机密信息留在一个组织内。员工可以对区域政策和成员历史发展深厚的专业知识。决策可以记录在一个制度记录中。当错误不仅影响一个客户关系,而且影响共享基础设施的可信度时,这些优势尤其重要。

非盈利结构增添了进一步辩护。一个区域注册机构不应通过出售有利解读来最大化交易收入。其合法性取决于服务、中立性、社区程序和管家职责。一个竞争层可能引入难以控制的激励:提供者可能在速度、宽松、游说或捆绑咨询上竞争。集成的 RIR 模型通过将最终服务保留在一个以公共利益目的为部分身份特征的机构内,限制了这些激励。

还存在一个机密性论点。号码资源管理可能涉及商业计划、网络扩展、联络资料和敏感运营信息。一个单一注册机构可以通过一个治理结构被约束于保密义务。多个提供者增加了敏感数据可能泄露或被滥用的地方数量。审计与合同可以降低该风险,但不能消除它。

这些论据足够强大,足以拒绝任何将垄断视为自明显坏事的反事实。现有模型并非一个粘贴于中性技术问题上的偶然卡特尔,而是一种保守的基础设施安排,旨在互联网全球化过程中保护一致性、服务和协调。其公共产品经济学和低对账成本值得给予严肃权重。

反对视捆绑为必然的最有利案例

反对必然性的案例始于锁定。一个成员不能像更换普通供应商那样,将其权威注册机构关系迁移到竞争提供者。被认可 RIR 的控制点嵌入在全球号码层级中。这给予提供者杠杆,即使当争议是关于服务质量、费用、流程或制度问责,而非资源记录的技术唯一性时。

提供者失效是第二个关切。一个单一区域注册机构在平常时期简化了权威,但它集中了运营和治理风险。如果该提供者面临财务、法律或制度危机,区域的成员无法简单地在一夜之间选择另一个完全等同的注册服务。垄断提供者的失效不只是一个供应商的失效,它变成了对记录、政策、认证、反向 DNS 和注册机构间协调的连续性问题。

第三个关切是,捆绑可能隐藏功能间的表现差异。一个注册机构可能在维护账本上出色,而在争议处理上薄弱。可能在技术运营上强大,而在外联上贫乏。可能运行有效的教育,但缺乏对敏感决策的独立审查。如果所有功能都参考账本的唯一性来辩护,一个在可分离功能上的糟糕表现便更难被挑战。该机构可以从其最难的技术任务中借取合法性。

第四个关切是缺乏比较性证据。ICP-2 未发布对模块化替代方案的稳健评估。NRO 安排协调了在位者,而非测试了服务可移植性。后来的 IANA 协议显示了在单一层级的模块化条款,但未测量区域内竞争。分布式反模型显示了想象力,而非生产就绪状态。因此,记录支持替代方案未被证明的结论,而非它们被证伪的结论。

第五个关切是适应。一个为增长时代的分配而设计的体系,在稀缺、转移、认证依赖和法律争议下可能面临不同的压力。在一个时期有效的捆绑,当功能演变时可能变得更难辩护。这并不意味着五大 RIR 模型失败了,而是指制度设计不应因为它们很好地解决了一个先前的问题就被屏蔽于重新测量之外。

最低限度的可行反事实

一个最低限度的可行反事实将在严格认证下,保持权威号码资源账本的唯一性,同时分离某些服务和问责功能。它不会允许任意提供者写入资源状态,不会创建具有不兼容权威的竞争性区域注册机构,会保留 IANA 至注册机构的层次结构及注册机构间协调。其目的更狭窄:测试成员面向的服务、培训、某些支持功能和独立审查是否可以成为可移植的,而最终状态仍保持受控。

在该设计中,账本运营商将维护最终资源状态、认证权威边界和反向 DNS 委派权威。经过认证的服务提供者可以帮助成员提交请求、管理文档文件、接受培训和浏览政策。一个独立政策论坛可以定义规则,采纳前进行运营审查。一个独立的审查机构可以根据时间限制处理争议并发布有约束力的纠正指令。一个公共产品基金将为教育、会议、档案和服务不足社区支持提供资金。所有提供者均将被审计并被要求托管记录。

该反事实将需要严格的恢复条款。如果一个经过认证的提供者失败,成员文件将被转移给另一个提供者或账本运营商。如果账本运营商失败,一个继任运营商将通过一个预定义的机制被任命,并备有记录、密钥、日志和操作手册。如果争议影响认证或反向 DNS,紧急保全规则将防止在审查进行过程中发生有害更改。如果一个提供者提交了欺诈性更改,责任和暂停规则将在不使成员陷入困境的情况下适用。

这一设计有意保持谦逊。它并未宣称五个区域注册机构应被替换。它并未推荐一个区块链或任何指名技术。它并未假设提供者选择会创造合法性。它并未将公共产品视为免费。它只是将最终权威与某些服务功能分离,并询问这种分离是否能比当前捆绑更安全、更便宜或更可问责。

拒绝它所需要证据也是具体的。显示经过认证的提供者会将欺诈、成本或延迟提升到不可接受的水平。显示运营商在了解费用和风险的情况下并不想要可移植性。显示当服务被分离时,公共产品资金崩溃。显示独立审查会减慢紧急纠正或造成不一致的解读。显示继任安排无法在不可接受的风险下保全认证、反向 DNS 和记录。此类证据将不会通过假设来捍卫垄断,而是通过测量来捍卫垄断。

现在可以得出的结论

来源支持一个有纪律的结论。早期 RFC 说明为何区域管理作为对规模扩展的回应而出现。ICP-2 显示了该回应如何硬化成每个大区域一个管理下一个 RIR 在单一地点的规则。NRO 谅解备忘录显示在位者在区域模型已经建立后协调其集体义务。后来的 IANA 号码服务协议仅通过有限度的类比显示,服务期望和继任规则可以在一个层级被详细说明。分布式地址管理实验显示替代技术状态模型可以被想象,同时证明了没有哪项达到了生产需求。

它们不支持解绑本会更便宜的宣称。它们不支持运营商想要可移植提供者的宣称。它们不显示一条从现有 RIR 秩序到模块化设计的安全迁移路径。它们不证明多个写入者可以在没有共识和恢复的情况下触及权威状态。它们同样不证明区域注册机构捆绑中的每项功能都必须被一个提供者永久垄断。

因此,制度史比辩护或批评双方通常所承认的更有趣。五大区域垄断是解决增长、全球化和管理规模下协调的理性方式。它们通过使权威简单而保护了唯一性。它们资助了公共产品,降低了对账成本。它们也将可分离功能融合入了难以退出、难以对标且难以替代的机构。

最小可测试设计并非一种敌对的意识形态。它是一种关于可分离性的受控实验:保持权威注册状态唯一,定义不可协商的安全和恢复规则,明确地为公共产品提供资金,并仅允许那些能经受审计、责任和继任测试的服务功能变得可移植。如果该实验失败,垄断捆绑将获得更强的证据支持辩护。如果它成功,那么教训并非 RIR 是不必要的,而将是全球唯一性需要一个受保护的账本,而针对每一项邻近功能的永久捆绑仅是其中一种可能设计。