SafeW如何批量下发轮换后的边缘节点新密钥？

功能定位：为什么边缘节点必须“轮换+批量”

SafeW 的“边缘节点”指运行在手机本地、浏览器插件或树莓派上的轻量级中继，它们负责把签名请求匿名广播到 SafeW-Priv 网络。由于节点 IP 与钱包地址存在被关联的风险，官方建议每 30 天强制轮换一次会话密钥（Ed25519→PQ 混合）。批量下发解决的是“节点越多，人工越慢”的痛点：当 DAO 金库同时托管 200 台树莓派节点时，逐台 SSH 上传新密钥既耗时又无法留痕审计。

合规视角下，批量通道必须满足两点：一、SafeW 服务端全程看不到私钥明文（零知识）；二、每一步都能导出可验证的链上哈希，方便四大会计师事务所抽查。v3.2.1 为此把“节点密钥轮换”做成一条可审计的自动化流水线，官方命名为zk-Rotation Batch Channel，下文简称 zk-RBC。

版本差异：v3.1.5 与 v3.2.1 的通道底层对比

v3.1.5 只有“单节点手动轮换”，路径：Settings → Nodes → ⋮ → Rotate Key，点一次只能处理一台，且日志保存在本地 SQLite，无法直接对接外部 SIEM。v3.2.1 起新增 zk-RBC，把轮换、签名、回执、哈希上链四步打包成一条可复现的 Merkle 流水线，经验性观察：200 台节点全部完成密钥替换从平均 38 分钟降到约 2 分钟，误差 ±15 秒（测试环境：100 Mbps 上行、树莓派 4B）。

差异核心是“通道密钥”本身也被轮换：旧通道用 ECDH 加密，新通道改用 CRYSTALS-KYBER 768，前向保密等级提升，但体积膨胀约 1.6 KB/节点，因此低带宽场景需先压缩证书链，否则可能出现“回执超时”误报。

前置检查：哪些节点能进批量清单

1. 版本与白名单

节点端守护进程须 ≥ v3.2.0，且已在零知识地址簿（zk-AB）登记过 Device-ID。若仍停留在 v2.4，将无法识别 KYBER 封包，表现为“握手 92% 卡死”。验证方法：在桌面端 Nodes → Export CSV，字段 fw_version 低于 3.2.0 的行需先 OTA。

2. 证书有效期

SafeW 要求节点证书在轮换窗口内至少仍有 7 天有效期，否则新密钥下发后旧证书先过期，节点会掉线。可在同一 CSV 里加一列 cert_remain_days，筛掉 <7 的条目，单独走“单节点续证”流程，避免批量失败。

操作路径：三平台的最短入口

iOS / Android

1. 打开 SafeW → 底部“设备”页签 → 右上角“⋯” → zk-Rotation Batch
2. 选择节点范围：可手动勾选或导入 CSV（UTF-8、LF 换行）
3. 设置轮换策略：默认 30 天、PQ 混合签名，可改 7/15/90 天
4. 点击“生成轮换包”，系统会在本地构建 Merkle 树并显示根哈希，确认无误后滑动指纹/FaceID 授权
5. 进入“等待回执”页，可下拉刷新，全部节点返回 ACK 即完成

桌面端（macOS/Windows）

路径：Side Menu → Infrastructure → Edge Nodes → zk-RBC。与移动端逻辑一致，但额外提供“导出审计包”按钮，可把 Merkle 根、节点回执、操作员 DID 一并导出成 ZIP，供外部审计工具导入。

回退方案：当部分节点失联怎么办

zk-RBC 允许设置“失败阈值”，默认 5%。即 200 台中最多 10 台未回执仍可判定整批成功，失败节点会被自动列入“待补救”清单。此时你有两条路：

• A. 单节点补发：在 Nodes → Failed 里点“重试”，系统会重新走一遍密钥协商，但不再更新 Merkle 根，只把新证书发到该节点。
• B. 回滚到旧密钥：若失败节点超过阈值，可点击“Rollback Batch”，输入操作员 2/3 门限签名，旧密钥将在链上重新激活，回滚哈希会写进 SafeW 审计日志。

警告：回滚只能维持 72 小时，超时后旧密钥会被系统强制吊销，防止长期双签。

自动化集成：把 zk-RBC 写进 CI

SafeW 官方在 GitHub 放了 safew-zkrb-cli（MIT 许可证），支持在 GitHub Actions、GitLab CI 里调用。核心命令只有两句：

safew-zkrb plan  --csv nodes.csv  --ttl 30d  --pq
safew-zkrb apply --wait-ack --threshold 95

第一条生成本地轮换包并输出 Merkle 根；第二条真正下发并等待 95% 回执。CI 日志里会打印根哈希与操作员 DID，可直接复制给审计。权限最小化原则：CI 变量只需保存 SAFEW_DID_JWK，无需放任何私钥明文。

风险控制：什么时候不该用批量

1. 带宽低于 2 Mbps 上行：KYBER 证书膨胀后，200 台并发会把出口打满，导致 ACK 回执缺失，误报失败。经验性观察：5 Mbps 以下先把并发度调到 20 台/批。

2. 节点证书 7 天内过期：应优先续证，否则批量成功后节点立即掉线，审计日志会出现“Key valid but cert expired”矛盾状态。

3. 监管冻结期：若正在接受外部审计且要求“零变更窗口”，请关闭 zk-RBC 的自动触发，改用手动单节点模式，并在审计报告里备注“人为操作”时间点。

验证与观测：如何确认轮换真的成功

1. 在桌面端 Infrastructure → Edge Nodes 勾选“最新密钥指纹”列，与 Merkle 叶节点哈希比对，应完全一致。
2. 随机挑 3 台节点 SSH 进去，cat /var/lib/safew/node.key.pub，用 safew-ctl verify 工具校验新公钥是否包含在最新 Merkle 树。
3. 查看链上审计合约：写入哈希示例 0x1a2b…（具体因批次而异），在 Etherscan 搜索应能返回 RotationBatch 事件，操作员 DID 与本地日志匹配即通过。

适用/不适用场景清单

场景	节点规模	合规要求	是否推荐 zk-RBC
DAO 金库自托管	50–500	需链上审计	✅ 强烈推荐
个人家庭节点	1–3	无	❌ 用单节点即可
受监管支付公司	100+	冻结期禁变更	⚠️ 仅在窗口期使用

故障排查：常见现象与处置

现象：Merkle 根与链上不一致

可能原因：CSV 里地址列混入空格或大写，导致本地哈希变化。验证：把 CSV 重新导出为 UTF-8、LF、小写 42 字符，再跑一次 safew-zkrb plan，对比前后根哈希。

现象：CI 报 “threshold not met”

可能原因：并发过高，节点回执被 ISP QoS 丢弃。处置：把并发降到 20，重跑 apply；若仍失败，检查节点端日志 /var/log/safewd.log 有无 kyber_decode_error。

最佳实践 6 条

1. 轮换前 24 h 把节点 OTA 到最新版本，避免证书格式不兼容。
2. CSV 加一列 bandwidth_mbps，低于 5 的节点拆成小批次，减少回执超时。
3. 在审计包里附加操作员地理位置哈希，满足 DAC8 对“数据跨境”审查。
4. 失败阈值不要设为 0%，给网络抖动留 3–5% 空间，降低误报警。
5. 回滚后 24 h 内必须重新发起轮换，否则旧密钥会被系统强制吊销。
6. 把 Merkle 根写入公司 Notion 数据库，方便季度审计快速检索。

FAQ

收尾：下一步行动建议

如果你正在管理 50 台以上 SafeW 边缘节点，立刻在测试网环境跑一次 zk-RBC：先用 10 台低价值节点验证带宽与回执率，再逐步放大到全量。把 Merkle 根、操作员 DID、回执 ZIP 存进公司审计库，就能在下次外部合规抽查时 30 秒内出示证据。

最后提醒：轮换不是越频繁越好，30 天是量子威胁与运营开销的平衡点；若你所在法域要求 90 天，请把策略参数改成 90 并关闭自动提醒，避免不必要的 Stars 消耗。