理论计算机科学电子笔记128(2005)65-85www.elsevier.com/locate/entcs基于角色的Agent协调基础设施中的组织与安全安德烈·奥米奇尼·亚历山德罗·里奇·米尔科·维罗利DEIS,AlmaMaterEscherichia,Universit`adiBologna,via Venezia 52,47023Cesena,Italy摘要越来越多的基于代理的复杂系统的工程需要基础设施的支持用于描述和管理的服务集成的协调和安全问题系统组织。这种趋势在复杂信息系统的安全和组织管理所采用的最先进的模型中是显而易见的:在这种情况下,基于角色的访问控制(RBAC)模型正在成为集成安全问题(特别是访问控制)和(基于角色的)组织管理的参考架构。在本文中,我们将讨论如何RBAC模型已卓有成效地利用扩展的基础设施,协调基于代理的系统保留字:基于角色的访问控制,多代理系统,协调基础设施1介绍在复杂软件系统的交互工程中,协调和安全是严格相关的问题。事实上,协调和安全都旨在建立法律和规则,规定和约束系统交互的空间[5]。协同中协调和安全的模型和基础设施的设计和实现在抽象、概念完整性和形式化方面提供了几个好处[16]。1电子邮件地址:aomicini@deis.unibo.it2电子邮件地址:aricci@deis.unibo.it3电子邮件地址:mviroli@deis.unibo.it1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2004.11.04566A. Omicini等人理论计算机科学电子笔记128(2005)65当采用面向代理的抽象来设计复杂的软件系统时,组织作为另一个基本维度出现[22]。毫不奇怪,这个维度与协调和安全密切相关:它可以被认为是它们的静态对应物,指定部分(通常是在组中扮演角色的代理)定义系统结构,以及它们之间的关系(代理角色和角色间关系)。这种关系静态地塑造了可能动态发生的可能交互的空间。组织和安全之间的联系在基于角色的访问控制(RBAC)模型/架构中非常明显RBAC的主要功能是一方面能够阐明和执行企业(系统)特定的安全策略,并简化繁琐的安全管理过程[7]:相对于以前的方法(自主和强制访问控制),RBAC模型允许更灵活和详细的安全控制和管理。另一方面,RBAC方法使得可以根据组织抽象(如角色、角色权限和角色间关系)来指定安全策略–, so as to easily integrate security in contexts where organisation is最近的工作还强调了采用RBAC方法在基础设施级别支持组织和安全性的有效性,这些方法主要基于协调:其中最相关的例子是工作流程管理系统[9,3,1]。在本文中,我们声称RBAC类模型可以适当地引入MAS(多代理系统)协调模型和基础设施,集成了一个高层次的基于角色的安全方法与基于代理的协调和组织,其中角色抽象已经在发挥作用。基于角色的MAS组织模型通常被用作分析和设计工具:相反,在MAS的上下文中采用类似RBAC的模型转移(或完成)了对运行时方面的关注:角色,会话,策略成为MAS组织的运行时问题,通过基础设施提供的适当服务进行动态管理。 以同样的方式,RBAC的方法带来了在基础设施水平的安全问题,以前在应用程序级别解决,我们的目标是在分解出的安全问题,最经常出现在工程的分布式系统作为MAS,扩展代理基础设施与合适的服务,集成与MAS组织/协调模型。总的来说,RBAC模型在MAS环境中也很有趣,因为它们在组织环境中正确地框架了安全问题,A. Omicini等人理论计算机科学电子笔记128(2005)6567抽象框架是组织模型的基本构建块(角色、策略等)。这在MAS工程中提供了良好的概念完整性水平。此外,RBAC模型使得它有可能指定和强制执行的安全属性,尽管异构性和开放性可能表征(多代理)系统。一方面,相同的模型可以应用于由具有异构计算模型的代理组成的MAS的上下文中,从基于反应的计算模型到基于认知的计算模型。另一方面,由于系统结构的动态性(例如,代理的集合)以及组织/协调策略的集合。然后,本文讨论了如何在MAS协调基础设施的上下文中构思一个类似RBAC 的体系结构,特别是利用[13]中引入的Agent 协调上下文(ACC)的概念在一般情况下,我们将重点关注基于特定代理的协调基础设施– TuCSoN-,通过讨论它的扩展与RBAC一样的架构。本文的其余部分组织如下。在第2节中,我们提供了RBAC方法和参考体系结构的概述,这些参考体系结构被认为是文献中的标准。在第3节中,我们说明了一个基于RBAC的MAS模型的基础上协调基础设施。然后,在第4节中,我们讨论了在TuCSoN协调基础设施中集成RBAC模型的具体实现,并举例说明了该方法的一些示例。第5节描述了分布式工作流管理的一个更清晰的例子最后,在第六节中,我们总结并简要讨论了相关的工作和未来的研究方向。2RBAC模型概述在RBAC中,角色被正确地视为一个语义结构,访问控制策略围绕它制定,以暂时的方式将特定的用户和权限集合在一起角色概念有几种表现形式,RBAC旨在适应和捕获这些表现形式。一般来说,在RBAC中,角色可以代表执行特定任务的能力,例如医生或药剂师;但也是权力和责任的体现,例如项目主管[21]。RBAC方法可以在角色之间、权限和角色之间以及用户和角色之间建立关系例如,可以将两个角色设置为互斥的,这样就不允许同一个用户同时担任这两个角色。通过继承关系,一个角色可以继承分配给不同角色的权限。这种角色间关系可用于实施安全策略,包括职责分离,68A. Omicini等人理论计算机科学电子笔记128(2005)65角色层次用户分配作用权限用户角色OPSOBJS烫发用户届会议会话角色届会议DSDSSDFig. 1. RBAC参考模型。SSD代表静态职责分离,而DSD代表动态职责分离[8]。授权。职责分离是通过确保调用互斥角色来完成敏感任务来实现的,例如要求会计职员和客户经理参与签发支票。通过职责分离,RBAC直接支持另外两个著名的安全原则:最小权限和数据抽象。支持最小权限,因为可以对RBAC进行配置,以便仅将角色成员执行的任务所需的权限分配给角色。从这个角度来看,RBAC可以被认为只是一个启用模型:它是由管理员来利用其功能来指定权限,以反映最小的特权属性。数据抽象是通过抽象权限(如帐户对象的贷方和借方)来支持的,而不是操作系统通常提供的读、写、执行权限。尽管支持这些原则,但RBAC被认为是策略中立的,因为它本身并不强制执行任何特定的访问策略。总之,RBAC提供了安全策略的封装访问控制策略被封装在角色-权限、用户-角色和角色-角色关系等RBAC组件这些组件可由系统管理员动态配置,共同确定是否允许特定用户访问系统中的特定数据(或更一般地,特定资源)此外,RBAC使它成为可能,并容易增量地沿着系统生命周期的访问控制策略的发展,以满足不断变化的组织的需求。A. Omicini等人理论计算机科学电子笔记128(2005)65692.1参考体系结构根据[8]中正式定义的参考体系结构,图1描述了RBAC模型的主要组成部分,根据基本元素集及其关系进行定义。基本元素集是用户(USERS)、角色(ROLES)、对象(OBJS)、操作(OPS)、权限(PERMS)和会话(SESSIONS)。将用户分配给角色并将权限分配给角色。角色被理解为组织上下文中的工作职能,具有与授予分配给角色的用户的权限和责任有关的一些关联语义。权限是对一个或多个受保护对象执行操作的批准。术语操作和对象的语义取决于具体的情况。每个会话都是用户与分配给用户的角色的激活子集之间的映射。每个会话与单个用户相关联,并且每个用户与一个或多个会话相关联。层次结构是构建角色的自然方法为了反映组织安全策略是根据元素集之间的关系定义的。用户分配关系定义了哪些用户被分配了特定的角色,这意味着他们被允许在组织内扮演该角色;权限分配定义了每个角色被分配的权限。静态职责分离属性(SSD)是通过对用户角色的分配施加约束来获得的。相反,通过对可以在用户会话内或跨用户会话激活的角色设置约束,3基于角色的MAS协调结构采用RBAC组件作为MAS上下文中的第一类抽象– 特别是MAS协调基础设施的设计是非常直接的。这是很自然的映射用户到代理,他们都具有一定程度的自主性,位于一个环境中,他们相互作用,在代理之间的通信以及利用共享的环境资源。与RBAC系统中的用户可以同时承担和激活多个角色的方式相同,代理可以在同一组织内扮演多个和异构的角色,具有访问基础设施托管的资源的不同权限在MAS利用协调基础设施的情况下-如在下一节中讨论的TuCSoN的情况下RBAC控制器的集成70A. Omicini等人理论计算机科学电子笔记128(2005)65角色层次代理角色分配角色策略OPS协调伪影代理人角色政策代理ACCACC角色ACCSDSDSSD图二.一个使用ACCs的类RBAC模型。SSD代表静态职责分离,而DSD代表动态职责分离。cepts是直接的,特别是当考虑基础设施模型时,促进协调媒体作为协调工件[19]的愿景,也就是说,作为代理共享和使用的持久第一类实体,通过执行工件支持的操作来利用某种协调服务。协调工件,然后可以被认为是在RBAC模型中的用户操作RBAC概念到MAS抽象的映射可以通过识别会话的RBAC概念来完成,会话是在运行时将用户链接到角色并使其能够强制执行权限的关键抽象,实现基于角色的访问控制形式。在[13]中引入并在[16]中正式描述的Agent协调上下文抽象(ACC)可以有效地用于该目的。3.1基于角色访问控制的Agent协调上下文ACC在[13]中被引入,作为在智能体和环境之间设置边界的概念场所,以便封装使智能体能够在环境中进行动作和感知的接口。更确切地说,ACC(i)通过描述代理可以交互的环境,作为代理环境的模型,(ii)通过定义可接受代理交互的空间,启用和规则代理与环境之间的交互。控制室可以作为理解ACC的作用和使用的有用比喻[13]。根据这个比喻,进入新环境的代理人被分配了自己的A. Omicini等人理论计算机科学电子笔记128(2005)6571控制室,这是它能够感知环境的唯一方式,也是它能够进行发电机的控制室代理具有一组可接受的输入(灯、屏幕、. . .)、容许输出(按钮、摄像头、. . .). 有多少输入和输出设备可供代理使用,什么样的,以及多长时间,是什么定义了控制室配置,也就是特定的ACC。因此,ACC抽象可以有效地利用来建模组织内代理的存在或位置,根据其对组织资源的可接受行为及其对组织中其他代理的ACC动态的两个基本阶段:ACC谈判和ACC使用。ACC是由代理与MAS基础设施进行协商,以便在组织内部启动工作会话。代理通过指定要激活的角色来请求ACC。如果代理请求与(当前)组织规则兼容,则会创建一个新的ACC,根据指定角色的特征进行确认,然后将其发布给代理,以便在组织内积极发挥作用。然后,代理可以使用ACC与组织中的其他代理交互,并与 组织环境,通过利用行动/感知启用ACC。在RBAC参考架构的背景下,ACC自然体现了会话的概念,通过动态耦合代理(作为用户)和组织环境。然后,ACCs表示运行时实体,这些实体根据RBAC框架中对应于角色-权限关系的规则物理地启用和约束代理动作图2示出了使用ACC在MAS中实现基于协调工件的概念的利用协调基础设施的RBAC架构:RBAC对象是可用于代理协调的协调工件,并且RBAC操作是工件上的操作,代理可以执行该操作以便利用其协调服务。RBAC的权限概念扩展到策略的概念,指定有关操作模式(协议)执行的规则如前所述,代理是系统的用户,ACC扮演会话的角色。一个智能体可以同时拥有多个ACC,对于它所扮演的每个组织;同一个ACC可以涉及多个角色的激活,并且同一个角色可以在不同的ACC中同时扮演ACC协商由当前定义的代理-角色关系(定义图中的SSD规则)来控制2)和角色间关系(用于定义DSD规则)。前者用定义静态代理角色的规则来描述72A. Omicini等人理论计算机科学电子笔记128(2005)65分配,以便指定允许哪些代理人发挥作用或他们必须展示什么证书或特征。后者描述,而不是代理入口的限制,考虑到代理的目的是激活的动态角色。通常用于此目的的关系的示例是角色排除规则(如果代理已激活角色R1,则它不能激活角色R2)和角色包含规则(为了激活角色R1,代理还应该扮演角色R2)。实际上,在我们的例子中,SSD和DSD之间没有真正的差异,因为两者都是在ACC协商期间应用和实施的,而ACC协商总是动态的。一旦正确确认的ACC被释放给代理(在成功的协商),如图2所示的角色和策略之间的关系塑造了ACC所启用的代理动作空间,定义了代理允许执行的动作实际上,ACC模型不仅可以指定单个动作的规则,还可以指定动作和交互协议的铰接模式,同时还引入了时间约束。为此,基于进程代数的ACC的形式语义已经被定义[16],提供了单个角色策略及其组成的形式规范正式语义的定义是迈向利用自动化工具来验证角色策略相关正式属性的满足情况的第一步。在采用有原则的方法进行安全工程设计时,这是一个非常重要和复杂的问题。代理可以通过请求激活/停用角色来动态更新当前持有的ACC。可以根据组织内部实施职责分离的规则最后,可以利用ACC来扮演基础设施抽象的角色,定义和封装与服务质量相关的问题,特别是拥有ACC的代理与组织之间的通信。因此,ACC不仅代表和执行有关代理角色的政策,而且定义了在ACC协商期间建立和调整的交互属性。在属性中,我们还包括安全通信:ACC可以应用与身份验证相关的安全技术例如,当需要对入侵者进行保证时,这些功能是必要的,读取和更改代理/组织交互中涉及的信息:特别是,在TuCSoN的情况下-协调抽象。A. Omicini等人理论计算机科学电子笔记128(2005)6573角色层次代理角色分配角色策略剂角色COOOPRSD基元双中心代理ACCACC角色政策ACCS社会类ORG社会图三. 专门用于TuCSoN的RBAC类架构。4TuCSoN中的实验TuCSoN协调模型[17]已经扩展,以处理安全和拓扑问题[4]。然而,所采用的存取控制模式与组织规格及管理无关。通过集成一个类似RBAC的体系结构,我们扩展了以前的方法,明确考虑访问控制与组织结构和规则。从协调的角度来看,TuCSoN基于元组中心协调抽象:元组中心是可编程的元组空间,其行为可以通过定义一组用ReSpecT语言表达的指定元组来适应应用需求,定义元组中心应该如何对传入/传出通信事件做出反应[14]。因此,与元组空间不同,元组中心可以用反应编程,以便直接在配位介质中封装配位定律。元组中心可以被视为通用的可定制协调工件,其行为可以动态指定,伪造和调整,以支持代理之间的协调活动[19]。此外,元组中心被认为是中介代理访问组织资源,作为一种虚拟代理的资源和嵌入协调政策管理其使用。74A. Omicini等人理论计算机科学电子笔记128(2005)65从拓扑的观点来看,元组中心分布在网络上,收集在基础设施的节点中。节点被分组在域中:每个域的特征在于一个网关节点-一个地方本身可以是另一个(子)域的网关,从而可以实现域的层次结构[5]。从组织的角度来看,TuCSoN系统被定义为在社会中动态构建的组织,作为社会阶级的实例(作为模板)。一个社会类由一组角色组成;每个角色由一个策略表征,定义了扮演这样一个角色的代理所然后,元组中心可以被认为是加入组织的代理可访问的组织资源。从这个角度来看,将RBAC模型引入TuCSoN不仅可以一个关键点是,结构和规则(在代理角色和角色间关系方面)都被描述为元组,并存储在组织的特定元组中心。(For关于目前用于描述组织的本体的更多细节见[15]。这种选择使得可以通过适当地读取和改变所涉及的元组中心的内容来动态地利用ACC抽象来体现TuCSoN组织内部的代理工作会话,执行与代理角色相关的策略指定的访问控制作为整体图,图3示出了图1的类RBAC架构2、专门针对TuCSoN案件。元组中心是对象,元组中心协调原语是操作。 ORG代表一个由社团组成的TuCSoN组织。代理操作的形式为:Tid@Node?op,其中Tid是元组中心标识符,Node是托管元组中心的TuCSoN节点,op是元组中心上的协调原语(in、out、rd、rdp、setspec、get spec– 最后一个用于设置和检查元组的中心)。在RBAC模型中发现的规则在这里用关于允许的动作/交互的规则及其作为协议的聚合来即,角色策略,在接下来的部分中描述。从动态的角度来看,一个代理商与一个组织的基础设施服务进行谈判,指定在哪些社会中激活哪些角色。只有当代理请求与代理角色分配和角色间关系兼容时,才接受代理请求。在成功协商之后,代理接收ACC,其策略反映为个体定义的策略的组成A. Omicini等人理论计算机科学电子笔记128(2005)6575角色激活4.1角色策略描述RBAC模型中的一个关键点是访问控制,即根据代理的角色规则代理对资源的类似地,TuCSoN中RBAC的一个关键点是对定义角色所允许的动作和交互模式角色策略通过一阶逻辑(Prolog类)理论描述,旨在由组织的代理/实际上,这些策略定义了ACC释放给代理的约束行为:特别是,从工程的角度来看,ACC通过运行在角色策略理论上的Prolog引擎来验证其可接受性,从而在本地过滤所有代理请求的允许(模式)动作这样一个理论是由一组定义角色动作空间的规则组成的:可以执行(CurrentState,Action,NextState):-Conditions。这条规则意味着, 可以在角色状态CurrentState中执行如果条件成立:在这种情况下,下一个角色状态是NextState。动作是在元组中心上执行操作,如前所述。角色状态的概念被用来作为一种简单表达交互协议的方式;任何Prolog术语-也是结构化的,部分指定的-都可以用来表示角色状态。默认情况下,起始状态由init原子表示。 CurrentState和NextState可以省略,使用任何Prolog符号():省略CurrentState信息相当于声明规则对每个可能状态的有效性;省略NextState信息相当于保持当前状态为下一状态。Action表示代理动作,如前一小节所述-在TuCSoN模型的情况下,在元组中心上执行的协调原语。实际上,条件还可以包含用于描述上下文感知(关于代理的本地时间、空间和身份/位置)策略的内置谓词。 在谓词中,我们在这里提到:代理id(-ID)(检索代理所有者ACC的身份),本地节点(-Node)(检索托管代理的节点),会话时间(-TimeInMillis)(检索自ACC发布以来经过的毫秒数)4。因此,给定一个角色策略理论,当且仅当存在一个对该特定角色成立的能做规则时,该特定角色的行为才被允许。换句话说,4此值指ACC接受操作请求执行的时间76A. Omicini等人理论计算机科学电子笔记128(2005)65如果目标5?-可以执行(+CurrentState,+Action,-NextState)。可以证明,鉴于角色政策理论。比如说,可以做(,,)。这意味着任何行动都是允许的。相反地,可以做(,Action,)。这意味着Action 总是可以执行的。 通过指定主体在这些规则中,也可以表示特定的禁止动作cando(,Act,):-Act\= Action.意味着除了与Action模板匹配的操作之外,每个操作都可以执行。实际上,这样的Prolog编码使得基于[16]中定义的进程代数映射形式语言变得容易。更确切地说,角色状态不是由单个术语表示,而是由术语或状态令牌的列表,以便允许多个交互协议的同时参与。因此,给定表示当前角色状态的Prolog列表L,当评估关于动作A的权限时,考虑其对k的状态在L中的每个可以做(S,A,D)规则。如果这种类型的规则成立,则在角色状态(列表)中状态标记S被D取代。 如果D是,则S不被取代。如果D已经出现在列表中,则不添加它:每个状态令牌只允许一个实例为了不替换,而是将新的状态令牌添加到角色状态列表(用于打开新的交互协议),可以使用先前规则的变体:可以执行(CurrentState,Action,+NextState):-Conditions。此规则的结果ACC策略是由ACC所代表的角色的各个策略组成的。实际上,定义ACC总体策略的Prolog理论是通过简单地组合各个理论并添加定义理论组合的元规则而cando(comp(S1,S2),Action,comp(S1Next,S2)):-cando(S1,Action,S1Next).可以执行(comp(S1,S2),Action,comp(S1,S2 Next)):-5.采用Prolog的基本表示法来描述操作的参数:+表示输出参数,-表示输入参数,? 输入/输出参数。A. Omicini等人理论计算机科学电子笔记128(2005)6577可以执行(S2,Action,S2Next)。其中,comp(S1,S2) 是包含两个角色的ACC的逻辑状态。composition属性 是 递 归 使用 的 : 对 于 三 个 角 色 , 我们 有 comp ( S1 , comp ( S2 ,S3)),f或四个comp(S1,comp(S2,comp(S3,S4),等等。合成的语义是:当且仅当根据第一个角色的策略允许动作时,或者如果不满足该条件,则根据第二个角色的策略允许动作时,动作才被允许。这是在进程代数中定义的并行算子的语义,但有一点不同:这里采用的方法隐式地指定了角色之间的顺序,也暗示了考虑规则的顺序(在进程代数中不是这种情况)。实际上,行政协调会的模式并不限制用于指定角色政策的语言。相反,它促进了不同语言和本体的采用,使代理有可能根据其计算模型和推理能力选择最佳语言和本体特别是,一个基于XML的描述配备了合适的本体(基于语义网的方法)是为了在未来采用,促进标准技术的使用。目前,选择Prolog有几个原因:首先,它可以声明性地描述策略规则,在表现力和快速原型之间提供良好的权衡;然后,它促进了具有认知和审议能力的代理的推理;最后,出于工程原因,因为Prolog引擎已经被用作TuCSoN基础设施的一些核心部分的关键组件。64.2一些示例假设现在我们需要建立一个基于黑板的代理社会,其中任何代理都可以在bboard元组中心插入和读取元组msg(M)作为消息,但只有管理员可以删除它们。因此,适合用户的角色策略可能是:可以做(,bboard?out.add(msg()),)。可以做(,bboard?rd(msg()),)。相反,对于管理员:可以做(,bboard? ,)。然后,考虑前一示例的稍微变化,其中元组centremsg框用于交换消息msg(DestID,Content)。用户可以6 tu Prolog是一个开源的基于Java的Prolog。当前的文档和开发可以在Prolog网站上找到:http://tuprolog.sourceforge.net和http://lia.deis.unibo.it/research/tuprolog78A. Omicini等人理论计算机科学电子笔记128(2005)65剩余过程1:工作要求2:订单库存2:应急基金[申请表][采购订单][采购订单]采购会计5:向供应商发送订单(价值> 10000资金=是)(数值= 10000资金=是)[采购订单]买方4:批准订单剩余过程[采购订单](批准=是)应付账款经理剩余过程(批准=否)图四、以采购订单的执行为例,介绍了工作流程管理发送消息给任何其他人,但只能检索发送给他的消息。合适的用户策略可以是:可以做(,msgbox?out(msg(DestID,Content)),).可以做(,msgbox?in(msg(DestID,Content)):-代理ID(DestID)。具有租赁时间T的ACC可以很容易地用以下规则建模可以做(, 、 ):-会话时间(ST),ST 10000,% 通过插入适当的元组out r(check approval(Id)。reaction(out(checkfundresult(Id,no)),(%如果检查资金任务完成,in r(check fund result(Id,no)), %a negativeresult,then theorderstate tupleout r(orderstate(Id,no funds)。%相应更新reaction(out(checkapproval result(Id,yes)),(%如果订单审批任务在r内完成(check approval result(Id,yes)),%肯定,订单状态元组是out r(order state(Id,ok)。 相应更新的百分比,报告顺序执行百分比反应(输出(检查审批结果(ID,否)),(%,如果订单审批任务完成,in r(checkapprovalresult(Id,no)),%a negativeresult,then theorderstatetupleout r(orderstate(Id,not approved)。 %相应更新,报告顺序%失效表1用ReSpecT语言表达的工作流规范,定义了我们元组中心的行为。元组然后,买方可以通过读取元组订单状态来检查订单的状态:请注意,他/她只能访问有关他/她负责的订单的信息。A+ doOrd用于允许买家一次跟踪多个订单会计师被允许检查订单的资金,并被迫阅读和提供有关他们负责的订单的信息。该政策允许会计师一次考虑一张支票,假设这项任务不会那么耗时。同样的策略也适用于应付账款经理,不同的是他们可以一次跟踪多个检查(作为长任务)。6结论在本文中,我们介绍了工程的一些安全和组织方面的背景下,MAS的RBAC模型。为此,我们利用Agent协调上下文的概念来扩展TuCSoN协调82A. Omicini等人理论计算机科学电子笔记128(2005)65具有类似RBAC架构的基础架构。采用类似RBAC的方法可以在复杂的MAS组织内部获得该方法在工程安全方面的所有ACC是将模型移植到我们现有基础设施之上的关键,以一致的方式集成协调,组织和安全。由此产生的安全和组织模型提供了开放MAS工程所必需的功能,即:动态性/灵活性- 代理可以进入和退出组织,通过(重新)协商ACC动态激活/此外,组织结构意味着在运行时是可变的/可适应的,通过添加和删除角色(社会和社会类)和改变角色策略。支持异构性- 与TuCSoN协调模型相同,RBAC类模型对于特定的代理计算模型和平台是中立的然后,该方法可以用于定义和执行访问控制的反应和智能/认知代理,属于不同的代理平台,并使用TuCSoN协调的目的。形式属性的验证-RBAC架构通过很好地分离和封装安全策略,使构思安全和组织属性的验证框架变得容易。 角色激活和职责分离的适当性可以通过关注代理人-角色关系和角色-角色关系来验证,并支配ACC谈判过程。在我们的框架中,这将在正式化之后成为可能[15]中报告的组织模型(结构和规则),一项正在进行的工作。相反,关于访问控制的属性,以及更一般地,交互协议的安全/正确执行,可以集中在ACC行为上进行验证,作为个体角色策略的组成。这已经是可能的,因为ACC定义了形式语义[16]。即使RBAC方法已被应用在TuCSoN基础设施的上下文中,本文确实指出其适用于一般的MAS基础设施:ACC抽象和相关的基础设施层的目的,可以利用任何代理中间件与RBAC类似的据作者所知,这是第一个考虑在MAS环境中应用RBAC模型的工作。关于MAS分析和设计的基于角色的方法[22,6,10],关于开放代理社会中的角色概念和形式化[12],存在丰富的文献。主要是,这些A. Omicini等人理论计算机科学电子笔记128(2005)6583方法集中在组织问题上,而没有考虑-在模型和工程级别-与安全和访问控制的集成。在[23]中,基于元组空间,使用类似RBAC的方法来实现策略执行特别是,被称为代理的基础设施实体既用于对代理交互应用基于角色的访问控制-ACC抽象与Proxy实体共享一些特性,因为它是负责对代理操作实施基于角色的访问控制的运行时抽象与代理不同,ACC是动态协商、创建和释放给特定代理的,而不是在代理之间共享。ACC主要是一个组织抽象:它用于根据其角色来规则代理动作(协议),而不是像Proxy那样强制执行协调策略:在我们的情况下,元组中心是-作为协调工件-负责封装和执行协调法律的抽象。此外,ACC不仅要指定和执行单个操作,还要指定和执行策略,作为操作模式(协议)。最后,特别是在TuCSoNACC在其统治和控制行为方面与法律治理互动(LGI)中定义的控制者有些相似[11]。一般来说,LGI是一种消息交换机制,它允许一个开放的分布式代理组参与由明确指定和严格执行的策略(组的交互法)控制的交互模式。执法是分散的,由一组分散的控制器执行,每个社区成员一个。作为LGI控制器,ACC强制执行规则,约束代理的动作/感知空间,使其能够制定代理本地的策略。在我们的方法中,全局协调政策正在进行的工作致力于完成和调整与ACC扩展的TuCSoN的实现,并通过在其上实现MAS来强调模型的有效性[20]。7、我们将重新考虑7 TuCSoN 是 一 个 开 源 项 目 。当 前 的 文 档 和 开 发 可 以 在 TuCSoN 网 站 上 找 到 :http://tucson.sourceforge.net和http://lia.deis.unibo.it/research/tucson。84A. Omicini等人理论计算机科学电子笔记128(2005)65以前在TuCSoN之上设计的系统,例如分布式工作流程管理系统[18],我们将重新设计它们-或者更好地未来的工作将调查的可能性,以整合研究问题的角色,机构和访问控制理论的背景下,基于代理的组织在我们的RBAC的框架,特别是至于义务和规范系统的概念有关[2]。最后,未来的工
