“签名复用包:旧标签秒变新版本,免跑轮换。”
匿名入口那张广告截图发出来时,办公室里没人说话。陈毅把截图投到墙上,灰底白字像一块冷硬的牌匾:复用。
复用这两个字,是工程效率的好词;但落在签名链上,就会变成制度的坏词。
因为标签不是软件补丁,它是公信力证据。公信力一旦可复用,就等于公信力可交易。
林远没让陈毅去追广告背后是谁,只说:“立案。然后把这条路写死。”
他把白板擦干净,写下四行字,像一条把“升级”从暗道变成大道的施工规范:
旧标签不得跨版本迁移
迁移必须复测留痕
升级路径公开可审计
异常跃迁触发抽查加密
“我们不反对升级。”林远说,“我们反对无发生的升级。”
---
一场看似技术的会
当天下午,省信息中心把“签名链升级机制”列入临时议题。会场比往常更紧张,因为这一次涉及的不只是条款,而是密钥、签名、验真三件最敏感的东西——它们一旦被抓在某一方手里,就等于抓住平台的喉咙。
到场的还是那几方,但气氛明显变了:数科安全负责人带了两名工程师;银行何经理也带了IT同事;审计联络带了旁听记录员;法规处的人把“可能构成变相许可”这句话夹在文件夹最前面。
数科副总先开口,还是那套“效率”话术:“CasePack轮换后,很多机构都要重复跑一遍。我们建议做一个升级通道:如果旧标签通过过L1,就允许直接迁移到新版本,减少负担。市场也会更快接受。”
咨询总监立刻跟上:“对,这样第三方服务也好开展。否则每两周轮换一次,大家都被折腾。升级通道能稳定预期。”
听起来很合理。合理到很多城市会拍手叫好。
林远没争“折腾不折腾”,他只问一句:“如果旧标签可以迁移,那迁移的依据是什么?你怎么证明它在新版本依然满足?你凭经验?还是凭发生?”
数科副总答得很快:“我们可以做差异比对。新旧版本差异不大,就直接迁移。”
“差异比对谁做?”林远追问,“谁说差异不大?谁说可以迁移?这就是解释权。”
他没有再纠缠,用投影打出一张简单得过分的图——签名链升级三段式:
1)版本声明(Version Policy)
2)迁移测试(Migration Test)
3)升级签名(Upgrade Signature)
“升级不是复制旧签名到新版本。”林远说,“升级应该是:旧标签作为‘前置证明’,但必须通过一段迁移测试,迁移测试产生新的run_id与nonce,省端再签一个‘升级签名’。这叫升级,这叫发生。”
银行IT同事立刻明白了:“也就是升级必须重新跑一次,只是跑得更短?”
“对。”林远点头,“迁移测试只跑差异项,不跑全套。这样既不折腾,也不让暗道存在。”
---
升级路径公开:谁都能走,不给暗门
林远把《升级路径草案(UPG-01)》摊在桌上,条款写得很像工程变更:
CasePack小版本(两周轮换):
允许迁移,但必须通过迁移测试Δ(差异项);
迁移测试产生新的run_id;
旧标签+迁移记录=新标签。
Suite中版本(如v0.1.3→v0.1.4):
必须重新跑L0/L1,不得只跑Δ;
原因:判定逻辑可能变化,风险高。
Suite大版本(如v0.x→v1.0):
必须重跑L0/L1/L2,并触发旁听抽查;
原因:公信力边界变化,必须加固。
“你想复用?”林远看着数科副总,“可以。但复用只能复用前置证明,不能复用结果。结果必须来自一次新的发生。”
审计联络翻到条款最后一页,看到一句话,点了点头:“升级过程留痕必须可审计。”
那句话写得很硬:
> “升级签名只签迁移结果摘要,不签迁移理由;迁移理由必须写入变更单编号与RFC编号。”
这等于把“为什么允许升级”从口头解释,拉回版本系统里。
---
跃迁异常:对付“秒变新版本”的生意
咨询总监还想再争:“你这样升级还是要跑测试,市场会说麻烦。复用包生意才会存在,就是因为你们要求太多。”
林远没反驳“麻烦”,他只把“跃迁异常”投到屏幕上:
跃迁异常定义(Jump-Anomaly)
无迁移run_id却出现新版本标签
同一nonce_hash被多个标签引用
同一机构在极短时间内跨越多个版本且无对应队列记录
标签升级与Practice/Conform队列完全不匹配
本小章还未完,请点击下一页继续阅读后面精彩内容!
喜欢重生2005:我在惠州买地皮请大家收藏:(m.zjsw.org)重生2005:我在惠州买地皮爪机书屋更新速度全网最快。