SafeW个人密码库如何一键迁移到新的安全域?
功能定位:为什么需要“安全域迁移”
SafeW 的“安全域”=一套隔离的 TEE+Secure Element 组合,外加独立派生路径(BIP-44 purpose field 不同)。当企业版客户需要把测试域的密码库(含 2FA 种子、Social-Recovery shards、NFT 缓存)原样克隆到生产域,又不想重新走一遍“好友确认”或“硬件卡重新绑定”时,就会用到“一键迁移”功能。该功能在 v5.4.2 被正式放进“设置->高级->安全域管理”,入口极深,但官方把它做成“零 Gas 费+零私钥触网”的卖点,适合对合规审计有硬性要求的团队。
迁移前必检的三项硬指标
1. 版本阈值
源端与目标端都必须 ≥ v5.4.2,否则“导出加密包”按钮呈灰色。检查路径:我的->关于->版本号。若源端低于阈值,先在旧域内完成增量更新,再回来操作。
2. 存储余量
经验性观察:200 条钱包账户+1.2 GB NFT 缓存,导出包约 380 MB。iOS 需要额外 2× 空间做临时转码;Android 仅需 1.2×。迁移前请保证系统剩余空间 ≥ 1 GB,否则会在 87% 处报错“磁盘不足”。
3. 网络策略
虽然导出过程完全离线,但“导入验证”阶段需要连接 SafeW-Net 节点拉取域公钥指纹。若公司防火墙屏蔽 UDP 51820(WireGuard 默认端口),请提前在“设置->隐私网络->自定义端口”改为 TCP 443,否则验证会超时 30 秒并回滚。
一键迁移的最短路径(分平台)
iOS
- 打开 SafeW → 右下角“我的” → 右上角“⚙️” → 高级 → 安全域管理 → 新建安全域 → 选“生产域”模板。
- 返回上级 → 导出加密包 → 选“含 2FA 种子” → 系统面容验证 → 生成二维码与 NFC 双通道文件。
- 在目标 iPhone 打开 SafeW → 扫一扫 → 选“导入到当前域” → 确认指纹 → 完成。
Android
- 侧滑菜单 → 设置 → 高级 → 安全域管理 → 新建 → 生产域。
- 导出加密包 → 勾选“含 shards” → 指纹验证 → 生成 .safew 文件并存到“下载”文件夹。
- 通过 Nearby Share 发到新手机 → 文件管理器点击 .safew → 自动唤起 SafeW → 导入。
桌面端(macOS/Windows)
桌面版暂不支持“一键迁移”,只能作为观察钱包。需要先在移动端完成迁移,再在桌面端“添加观察钱包->扫码”即可同步余额,但 2FA 种子不会下沉到桌面,保持“私钥不触网”原则。
提示
若您之前启用了“企业 SSO 登录”,导出前需先在“设置->账号->临时关闭 SSO”→ 输入本地 PIN,才能出现“导出加密包”按钮。否则系统会提示“受 MDM 管控,无法导出”。
A/B 方案对比:二维码 vs 文件包
| 维度 | 二维码通道 | 文件包通道 |
|---|---|---|
| 单包体积上限 | ~5 MB(约 50 账户) | 2 GB(官方硬顶) |
| 传输耗时 | 30–60 秒(需对准) | 数十秒内(NFC 或 AirDrop) |
| 失败回退 | 可重新扫码,旧域仍可用 | 导入失败会自动删除临时文件,需重新导出 |
| 合规审计 | 日志记录“QR-EXPORT” | 日志记录“FILE-EXPORT”+SHA-256 |
结论:账户数 ≤ 50 且现场有两台手机,优先二维码;账户数多、NFT 缓存大,或需要归档审计,用文件包。
例外与取舍:哪些数据不会迁过去
- 本地“隐私网络”节点缓存:迁后需重新拉取 120+ 节点列表,首次连接多耗时约 15 秒。
- 生物识别限额额度:新域默认重置为“指纹 500 USDC / 面容 2000 USDC”,如需保持旧额度,请在迁移完成后手动再调一次。
- 已签名的临时交易草稿:属于设备内存,迁移后清空,如有未上链交易请优先“立即发送”或“丢弃”。
- 企业版 SSO 令牌:迁后需重新走 OAuth 登录,MDM 会自动推送配置文件,约 2 分钟。
警告
若旧域已开启“链上黑地址云屏蔽”订阅,迁移后订阅关系会中断 24 小时(官方缓存 TTL),期间风险雷达可能漏报最新制裁地址。可在“设置->风险雷达->同步订阅”手动触发刷新。
监控与验收:如何确认迁移成功
1. 数量核对
导入完成后,首页下拉刷新 → 左上角“统计”→ 核对“钱包账户数、NFT 藏品数、2FA 条目数”是否与源端一致。经验性观察:若差值 ≥ 1,大概率是某条 NFT 元数据拉取超时,可等 5 分钟后再下拉一次。
2. 功能点冒烟
- 打开“零知识 2FA”→ 扫码 GitHub → 6 位码正常滚动;
- 进入“Social-Recovery”→ 查看 shards 分布,确认 5 位联系人图标全绿;
- 点“风险雷达”→ 输入 etherscan.io 标记的钓鱼地址 → 应弹出红色警告。
3. 日志导出
设置->关于->诊断->导出日志 → 选“迁移验收”模板,系统会把最近 48 小时的 Export/Import 摘要打包成 CSV,可直接附在合规报告里。
故障排查:90% 的报错都能用这三步解决
现象:导入卡在 87%,提示“写入 Secure Element 失败”。
可能原因:目标设备之前进行过 root / 越狱,TEE 驱动指纹不匹配。
验证:设置->关于->安全硬件状态 → 若显示“CTS profile false”即为 root 痕迹。
处置:换一台未 root 设备重新导入;原设备走“清除 SafeW 数据+恢复出厂设置”才能重新获得硬件级信任。
现象:二维码扫描后提示“加密包头校验失败”。
可能原因:屏幕亮度低或旧手机 PPI 不足,导致中间几位识别错误。
验证:用相机连拍二维码 → 放大看边缘是否模糊。
处置:把旧手机亮度调到 80% 以上,或改用文件包通道。
现象:导入成功但 2FA 种子全部空白。
可能原因:导出时未勾选“含 2FA 种子”。
验证:回看源端导出日志,若显示“2FA: false”即漏勾。
处置:只能回旧域重新导出;无回退补丁。
适用/不适用场景清单
| 场景 | 是否推荐 | 理由 |
|---|---|---|
| 个人换机,账户 < 20 | ✅ 推荐 | 二维码 2 分钟完成,无额外成本 |
| DAO 金库 3/5 多签迁移 | ⚠️ 谨慎 | 需 5 位 shards 持有人全部在线,任一缺席即失败 |
| Root 设备做冷备份 | ❌ 不推荐 | TEE 信任链已破,无法写入 Secure Element |
| 合规审计要求 SHA-256 日志 | ✅ 推荐 | 文件包通道自带哈希,可直接交审计 |
最佳实践 6 条检查表
- 迁移前 24 小时暂停“自动 NFT 挂单”,避免缓存变动导致包体积膨胀。
- 导出前手动压缩图片缓存:设置->存储->压缩 NFT 预览,可缩小 30–40%。
- 把“生物识别限额”先提到最高,避免迁移后当日大额转账被锁。
- 文件包通道完成后,立即把 .safew 改名加日期,防止被后续下载文件覆盖。
- 验收完用“诊断->清除导出缓存”把旧机临时文件清掉,减少泄密面。
- 若公司 MDM 强制加密整个 /Download,请改用“内部存储/Android/data/com.safew.wallet/files”路径,避免文件包被二次加密导致校验失败。
FAQ(结构化数据)
迁移后旧域还能用吗?
可以。导出是只读克隆,旧域数据不会被清除。但官方建议迁移成功后手动“清除该域数据”,防止后续误操作造成双花签名。
二维码通道会不会被中间人拍照窃取?
二维码内容已用域公钥加密,且一次性有效 3 分钟;拍照无法重放。若仍担心,可改用 NFC 文件包并在导入后立即删除。
Solana「0 手续费闪兑」记录会一起迁吗?
会。闪兑记录属于本地缓存,包含在加密包里。但迁移后第一次打开“闪兑”需重新拉取做市商 RPC,可能 5–10 秒才显示历史价格。
我可以跨系统迁移吗?比如 iOS→Android?
可以。加密包格式与系统无关,只要版本 ≥ v5.4.2 就能互相识别。但注意 Android 对文件包大小更宽容,iOS 超过 1 GB 需临时调大“应用存储限额”。
迁移失败却没有报错码,如何定位?
打开“设置->关于->诊断->实时日志”开关,重新导入一次,系统会把详细日志写到 /SafeW/Logs/migration-yyyyMMdd.txt,通过邮件发送给官方支持即可。
收尾:下一步行动建议
完成迁移后,请在 24 小时内做一轮“风险雷达+2FA+Social-Recovery”冒烟测试,确认三条核心链路正常;随后把旧域数据清除并退出登录,减少多域混淆带来的签名误操作风险。若你对 MPC-Plus 或企业 NFC 卡还有进阶需求,可在“设置->高级->企业控制台”申请 30 天试用,官方会赠送 50 USDC 的 Gas 补贴券,足够覆盖后续多签调用的链上成本。