9、Seal：安全移动计算的框架

Seal：安全移动计算的框架

1. 安全问题

Seal 演算的发展着重强调了安全问题。我们期望找到一种演算，能够实现与上下文无关的安全证明，也就是将安全代码定位在系统中明确界定的小部分内，并在不进行全程序分析的情况下推理安全属性。

1.1 完美防火墙方程

我们希望获得的第一个属性是所谓的完美防火墙方程，其形式为：
[(\nu x) x[P] \equiv 0]
这里，(\equiv) 表示基于动作的进程观察等价性。直观地说，在 Seal 演算中该方程成立，因为如果一个密封体被赋予一个其他进程都不知道的新名称，那么就不会有针对该名称的门户打开，也不会有定位通信。这个属性在归约过程中得以保留。

例如，若一个密封体有一个唯一的名称，其他进程无法知晓该名称，就不能对其进行通信操作。这一属性非常有用，它确保一旦密封体处于防火墙内，就无法泄露任何信息，也不能执行任何外部可见的动作。

与环境演算不同，在 Seal 中可以强制将密封体置于防火墙内，以下操作最终会困住密封体 (x)：
[trap\ x = (\nu c\ t) c\langle x\rangle \mid c\langle t\rangle]
如果将门户视为能力，那么 trap 操作符是一种不可逆的撤销形式，而重命名则是可逆的撤销。

1.2 升级应用的安全属性

以升级应用为例，我们希望通过简单检查升级协议，确保每个移动升级器只能与它到达时明确请求的应用进行交互，并且与机器其他部分的所有交互都由协议进行中介。

设 (P) 表示升级协议中不处理数据包接收和分发的部分：
[P =