移动多代理的电子市场系统的验证、评估和构建方法的研究

59网址：http://www.elsevier.nl/locate/entcs/volume58.html18页基于安全移动多代理的电子市场系统Klaus Fischer德国人工智能研究中心（DFKI GmbH）66123Sarbru？cken，Germany迪特·哈特德国人工智能研究中心（DFKI GmbH）66123Sarbru？cken，Germany马蒂亚斯·克卢施德国人工智能研究中心（DFKI GmbH）66123Sarbru？cken，Germany维尔纳·斯蒂芬德国人工智能研究中心（DFKI GmbH）66123Sarbru？cken，Germany摘要在本文中，我们的目标是一个通用的方法来验证，评估和构建移动多智能体系统的虚拟市场领域。它依赖于在过去进行的研究，开发创新的工程解决方案的架构的基础上的移动多代理的范例。这种方法将包括需求分析，包括强加的安全问题，系统设计和实施这些系统。不同类型的虚拟市场将作为应用场景，在开发过程的所有阶段都要解决安全问题而不是孤立地对待各种技术方面，我们要整合的研究和发展的经济模型的市场，（正式）的安全要求，（移动）代理和社会的代理，安全功能的功能架构，并在现有的平台上实现的架构设计和抽象的安全解决方案2002年由ElsevierScienceB出版。 诉 操作访问根据C CB Y-NC-N D许可证进行。60虽然从具体的（市场）场景开始，但最终目标是提出一种通用方法，提供分析技术、（正式）描述技术和设计模式，这些技术对各种（市场）场景和其他应用领域都很有用。1项目目标互联网和万维网（WWW）的成功已经深深地影响了我们的日常生活以及我们的商业和商业结构。据弗雷斯特研究公司估计，到2002年，基于因特网的企业对企业的交易额将从1999年的80亿美元增加到至少3270亿美元。代理技术和多代理系统将在基于WWW的应用的进一步发展中发挥重要作用：具有客户代理和卖方代理的虚拟市场、聊天室和化身、个人助理代理以及旨在攻击站点的非善意代理，只是许多应用中的一部分。成功的攻击，例如最近对微软本地网络的入侵，表明了全球运营公司面临的危险。此外，侵入军事总部的危险也是众所周知的。ForresterResearch报告称，尽管未来四年美国在信息技术安全方面的支出预计将增加300%，但美国公司仍将像今天一样容易受到安全漏洞的影响。代理技术增加了恶意行为的可能性：例如，设计一群攻击代理在技术上是可行的，这些代理能够在它访问的任何服务器上复制自己，并且可以携带病毒或特洛伊木马，或者只是提取分类信息。安全研究一直集中在个人安全问题的解决方案例如，已经提出了各种解决方案来定义和验证安全密钥交换协议，或者将给定的信任模型转换为正式的安全策略。然而，只有很少的研究已经进行了整合，这些个别的技术到一个全球性的安全方法，基本代理技术和多代理系统。在本文中，我们调查的基本安全威胁的设计虚拟市场中的多代理系统。这些威胁可以分为：（i）要实现的应用场景所固有的，（ii）多代理系统级设计所固有的，或（iii）单个代理设计的结果，或（iv）使用移动计算的结果。因此，我们研究如何设计的应用程序，设计的代理社会（以及个人代理），并选择计算范式在acquiences的安全威胁的特点，以及如何安全措施可以结合到一个包罗万象的安全基础设施。因此，我们的目标是提供一个具体的61使用多代理系统范例实现安全应用的方法。相应地，这个方法（和项目工作）围绕三个层次组织：应用程序架构、系统架构和计算架构。安全要求基于Agent的安全电子市场网上拍卖市场自由市场安全机制、协议、策略安全的多Agent系统结构公约协调通信安全代理体系结构知识问题解决计算架构安全出行Fig. 1. 的安全我们用虚拟市场的具体实例来说明我们的方法。这个应用领域是有趣的多智能体系统的研究在自己的权利。然而，我们的多智能体系统的研究将集中在多智能体系统的组合设计方法，研究如何自上而下的需求和自下而上的行为的多智能体系统可以放在一起。2激励的例子SEMAS将调查虚拟市场的几种设置，即基于拍卖和自由谈判的市场。在下文中，我们使用虚拟购物中心的模型来说明在图2所示的两个具体示例场景的上下文中这些场景，移动比较购物和虚拟购物中心的拍卖行，将作为SEMAS方法研究和开发的用例。这两种方案及其相应的安全问题将在以下各节中详细介绍62场景1：移动比较购物场景二：拍卖中的移动客户代理拍卖师安全市场- 联系值得信赖的媒人- 移动到相关商家网站- 与商家代理商的综合谈判- 决定购买产品媒人- 联系值得信赖的媒人- 前往相关拍卖行/在相关拍卖行- 在拍卖会上招标安全代理社团客户代理门户网站Virtual Mall（虚拟商城）移动客户代理虚拟商城拍卖行商家服务器安全代理安全计算虚拟商城代理（媒人、商家）参与虚拟商城图二、虚拟商城中移动代理的示例场景2.1虚拟商城：手机比价购物该场景研究了虚拟商城中移动商务购物代理过程中的一体化协商移动客户代理首先联系媒人代理，然后根据结果访问购物中心内选定的商家网站，这些网站可能有助于其搜索用户想要购买的所为此目的，代理商与商家代理商基于多属性理论进行谈判[10]。多属性理论提供了一种表示和计算行动结果效用的方法，将其分解为构成推荐行动结果的价值相关因素的效用。建议是由可撤销的决策的基础上分配给不同的因素和这些值的大小，分别确定。此外，该理论还提供了构造效用测度和构造效用函数标准格式库的方法。客户代理基于对多个属性的评估向用户推荐产品项目，所述多个属性诸如期望产品的价格和质量、交付时间和成本、退货政策、促销和礼品服务以及相应商家的客户支持和信誉。用户和商家代理之间的底层协商分析了从交易方面购买什么和从谁那里购买的决策问题，或者更定性地通过属性约束来分析。它通过应用有限域约束满足技术解决了这个决策问题[18]。63拍卖虚拟商城Corp. B定价招标机制 对 一 虚拟 商城 （虚拟 企业）：由中央固定（法律，合同）合作拍卖商调解的给定货物集。没有讨价还价。各实体之间的信息独立披露、结算政策.porations，其中每个都有助于基于代理的auc示例-一些 核心 能力 到 的 VE. 选择： UMDL，Nomad（mobile）.VM通过门户向外部提供服务。不与VM协商。虚拟机参与者之间的协商符合合同可能。自由市场市场供应商/消费者自由中心市场：双边/多边特殊情况：分布式谈判 之间 交易所上的实体--分布式代理的例子--商品的改变，交易。 专辑中文名：Tete-a-Tete基 于 中 央 代 理 的 FM 示 例 ：Kasbah/MarketMaker 、 SMACE 、ACORNCorp.一图3.第三章。不同类型的电子市场门户网站使客户更容易与大型购物中心打交道，因为只需知道一个地址和相应的公钥。由门户网站的媒人代理服务授权，移动客户代理访问购物中心内的商家，这些商家可以做出贡献，而无需64用户可以随时连接到购物中心。当用户再次联机时，它将返回结果。由于用户信任他的移动代理，因此在协商和访问期间不需要与用户交互与实体经济中的中介一样，智能中介（如媒人和经纪人）可以被视为数字经济中的电子中介[1]。这些代理提供了在互联网上协调代理提供者和服务（信息，商品或专业知识）请求者之间的活动的手段[3]。它们的主要任务是在开放环境中定位并连接最终服务提供者和最终请求者，即适当地处理连接问题。商城的目的是让代理在收集中间结果的同时从一个服务器到另一个服务器。虽然所有的节点都是事先知道的，但代理可以自由决定要访问购物中心中的多少个节点，以及访问的顺序。这意味着在任何地方，代理都可以根据其当前状态确定其下一跳或多跳。中间结果是返回给代理的所选商家的订单。代理商同时评估这些代理商，并在访问结束时决定与谁进行交易。2.1.1移动比较购物对于上面概述的比较购物场景，我们现在将更详细地描述SEMAS方法的安全工程方面。对于每个（抽象）级别，我们指出了相关的安全问题，建模技术和设计步骤。在应用程序架构的全球层面上，市场场景的基本组织是在不考虑具体技术解决方案的情况下定义的。在安全工程的相应阶段在严格的方法中，抽象的应用程序体系结构和所需的安全目标都必须形式化。作为VSE-II项目的一部分完成的数字签字方案的正式化是“正式安全政策”的一个例子。主要的挑战来自于在这个抽象的层面上将安全目标由于应用程序架构的定义不涉及特定技术的概念，例如特殊代理架构，因此我们将使用IT技术评估的通用术语，例如信息技术安全评估标准ITSEC [14]和通用标准CC [6]作为起点。在必要时，这些概念将被细化或扩展1。在这种情况下，风险分析通过识别子代理所拥有（使用、操纵）的对象的某些角色和类别1这可能是必要的，因为这些标准的主要术语来自于操作系统65或被这些主题交换。根据特定的应用程序，主体可以是个人、组织和计算机进程。 当然，在我们的语境中，主体通常是由主体实现的。例如，在电子商务购物场景中，最重要的角色是商家、客户和媒人。对象的类别包括产品、订单、订单或代理。通过对安全问题进行分类来实现关注点的分离在我们的场景中，可以区分信任、机密性、完整性、不可否认性和匿名性。这种分类支持严格的分析，对后续的技术解决方案很有用。例如，似乎有必要区分主体之间交换的信息的机密性和接收者将根据某些规则处理信息的信任。另一方面，可能存在潜在的冲突问题，例如必须获得对某些主体（行为）的信任以及这些主体的匿名要求在某些情况下，一个主体有必要在其行为的某些方面信任另一个主体。对于作为互联网经济组成部分的电子市场来说，如上所述，中间代理人可以充当这种市场的中间人。它是任何中间代理以值得信赖的方式对其客户端进行行为的基本要求[20，13]。在这个意义上，一个中间代理人作为一个可信的中介机构之间的代理人的考虑代理社会根据给定的信任政策的个人代理人和整个社会。内部数据和中间代理执行的中介计算过程都应该对恶意代理，系统或用户的外部操纵或攻击具有鲁棒性。另一方面，中间代理人的客户不应有动机滥用中间代理人在调解期间透露的任何信息。在这方面，最常见的信任行动是授权和验证参与调解的所有各方的凭证。行动必须考虑不同的信任关系，这些信任关系可能存在于一个或多个连接的代理社会中的客户代理、中间代理和提供商或商家代理之间。例如，一个被联系的中间代理是否可以被其客户信任，不会将（部分）私人个人资料信息、受版权保护的数据等转售给与之合作的其他中间代理或客户？它是否也适用于多智能体系统边界？客户代理商也可能希望在与相关商家代理商签约之前验证他们的某些事实。总之，显然需要所有参与媒体过程的代理使用适当的信任模型来分析和评估针对其数据和知识的攻击的风险和方法。支持在开放环境中建立和管理中间代理与其客户之间的相互信任的模型、方法和技术包括：66• 使用表达性信任建立证书，例如，将代理身份绑定到公共密钥基础设施，如IETF• 代理信任政策的正式规定，以及• 信任矩阵的相应更新、传播和传递合并，以计算说明信任值的总体信任关系 在与调解过程相关的每一个单独的信任关系中[12]。一种选择是将分布式基于历史的声誉机制应用于代理社会[21]。在虚拟商城的背景下，可以识别以下信任问题。客户必须确保她作为媒人所处理的主题真正代表了她想要访问的虚拟购物中心。此外，客户将期望从媒人处获得其向她提供与她的搜索相关并且她可以信任的商家的位置的可靠集合，反之亦然，媒人必须确定对象，将其称为经批准的客户，除其他标准外，还必须根据她的信用状况进行审查。请注意，这并不一定意味着媒人必须知道客户的最终身份。机密性意味着未经授权的主体不应能够获得其他主体之间交换的消息（对象）或其他主体拥有的数据的知识。在这样的情况下，人们必须对了解某些信息的权利做出规定，或者相反，对信息保密。在我们的示例场景中，由特定商家向客户做出的订单不应该被其他商家和客户知道。这也适用于作为虚拟商城的一部分的第三方和能够感知正在进行的通信过程的外部主体。与此相反，授权主体如何处理信息是一个信任问题。有各种正式的方法来建模置信度。在干扰/非干扰技术中，例如在芯片卡的VSE安全模型中，存在允许/不允许的信息流之间的区别。FM-DIN安全模型[11]使用了一种显式的知识（获取）理论说操作者不应该受到危害并不仅仅意味着发送给客户的数据对象不应该被某些“攻击者”知道。相反，应该不可能从“攻击者”可以获得的信息中得出上述价格未经授权的主体不应能够操纵其他主体交换或拥有的对象，从而侵犯其完整性。例如，商家不应能够操纵客户67在商场里走来走去与保密情况一样，必须以适当的方式对允许和不允许的变更进行建模。虽然一个客户可能有权查看媒人给另一个客户的推荐，但他不可能操纵这些信息。形式化完整性的技术通常类似于用于保密的技术。至少在某些情况下，一个主体不可能透露另一个主体的身份。所以（也许）一个顾客应该能够在购物中心里走来走去，在不被识别的情况下收集顾客。然而，媒人必须能够检查客户是否被允许访问购物中心。与保密相反，匿名不处理内容数据对象，而是处理通信源，尽管在更技术的层面上，关于消息的源和目的地的信息可以是消息本身的一部分。请注意，匿名并不意味着一个主体的身份永远对所有其他主体隐藏。 所以例如，将有一个受信任的权威机构知道身份所有客户。此外，在后期阶段，客户的身份被特定的商家所知，不可否认性涉及通信的法律相关性为了使商家订单具有约束力，客户必须能够证明该消息（包含订单）是商家自愿发送的。系统设计过程从抽象层面的技术解决方案描述开始。在我们的例子中，这意味着虚拟商场场景被映射到一个软件架构。在不深入有效实现的细节（编程语言、平台、通信）的情况下，设计并指定了确定构成虚拟商场场景的代理行为的基本算法。这包括那些对第一阶段确定的安全问题抽象的安全策略必须通过有时被称为安全功能和机制的东西来实现。对于我们的场景，以下函数是相关的：• 信任可以通过证书来实现。• 可以通过访问控制和加密来实现机密性。• 完整性可以通过访问控制来实现，并且可以通过使用散列函数来检查。• 通过使用经认证的名称可以实现匿名性。• 不可否认性可以通过使用数字签名来实现。2.2虚拟商城：移动客户代理和拍卖该场景涉及移动客户代理在虚拟商场中的一个或多个拍卖行处参与每家拍卖行都是68由购物中心中的一个或多个商家拥有，并且可以针对给定类型的商品或任务运行一个或多个如在流动比较购物情境中，流动客户代理首先联系虚拟商场的门户网站处的媒人代理以获得商场中的相关拍卖和拍卖行的信息。 基于这些推荐，代理顺序地移动到所选择的相关拍卖服务器以参与相应的拍卖。它也可以驻留在拍卖行附近的安全服务器上，以跟踪正在进行的拍卖。在我们讨论在拍卖中使用移动代理的好处及其安全问题之前，让我们简单回顾一下拍卖的概念。拍卖理论[19]分析了协议和代理在拍卖中的策略。拍卖是拍卖行的一种定价机制，其中谈判受到非常严格的协调过程的影响。它由一个拍卖师和一个潜在的投标人组成，前者希望在买家和卖主之间以尽可能高的价格出售给定的物品，而后者希望以尽可能低的价格购买这些物品。异步投标机制主要是基于价格变化的公开喊价或定期部分披露的密封投标。任何拍卖都是一系列的拍卖回合，涉及商品或任务的拍卖。一个物品的私人价值只取决于代理人在线拍卖似乎是不必要的敌意客户由于赢家的诅咒和Ocher没有长期的利益，商家。如果投标人有关于物品价值的合理信息，那么所有猜测的平均值可能是正确的。然而，获胜者的出价与实际价值最远，因此，为物品支付的价格高于其价值，因此任何拍卖基本上都是一场输赢游戏。任何拍卖都可以按照三个方面进行分类：（1）投标规则，包括例如投标格式和多对一或多对多的参与，（2）结算政策，如定价，明确的时间表和关闭，(3)信息披露政策，包括例如报价、报价时间表等。我们将在该场景中考虑的主要拍卖协议包括的• 第一价格，公开喊价，所谓的英国拍卖。投标人连续提高对一个项目的出价，直到剩下一个投标人。获胜者是最后一个出价人，其价格为第二高的出价人。消费者的主要策略是出价达到他们真正的（私人的）最大价值，然后退出。• 价格下降，公开喊价，所谓的荷兰式拍卖，保证拍卖师以尽可能高的价格购买物品规则是69拍卖人喊出物品的递减价格，并且出价人喊出出价。获胜者是第一个喊出价格的投标人。最佳策略是出价低于私人价值的项目。• 第一价格密封投标拍卖，其中每个投标人提交一个投标，忽略所有其他投标。出价最高者获胜，并支付他出价的金额。这有可能迫使买方和卖方进入价格战，因为任何投标人的密封出价取决于他/她对所有其他对手出价的看法。• 第二价格，密封投标，所谓的维克里拍卖，中标人只支付第二高出价的价格[16]。在主观私人价值的假设下，上面列出的所有四种基本拍卖类型都可以证明，当投标人不是风险厌恶的，而是风险中性和对称的（这意味着他们使用相同的测量来估计他们的估值）时，卖家可以获得相同的预期价格和收入。这意味着拍卖的选择并不重要，因为每种形式的平均收益率相同。但是，在共同价值假设下（当投标人具有相似的评价时），收益等价性不成立。多个（相同或不同）待售物品的拍卖类型有，例如，歧视性拍卖、双重拍卖和矩阵拍卖。进一步的基于拍卖的机制在例如[4]中讨论。客户使用移动代理参与虚拟商城拍卖的主要好处是什么？漫游虚拟购物中心的网络的移动客户代理可以监视事件并跟踪多个拍卖中的出价，以帮助他们的客户及时和最佳交易地进行有条件的出价。使用在拍卖行服务器附近或在拍卖行服务器上移动的移动代理的好处包括，除其他外，• 避免了网络滞后，使信息获取和投标更加及时，• 即使在用户暂时断开连接时也继续出价，以及• 避免了大量信息和频繁下载信息，从而节省了带宽和投标决定的时间。2.2.1移动Agent在拍卖中的安全问题在这种情况下，信任、保密和完整性的安全问题与上述任何类型拍卖的威胁类型密切相关。其中包括，除其他外，拍卖的脆弱性（1）投标人串通，（2）shills，（3）说谎拍卖人，（4）不受欢迎的私人信息披露。从顾客的角度来看，对拍卖的一个严重威胁涉及所谓的“托”，这意味着拍卖人安插了特别代理人，通过提高出价来操纵拍卖品的估价，以刺激市场。然而，只有在非私人价值设置为英语和全薪拍卖的问题。维克瑞，第一价格密封投标，荷兰人70拍卖并不容易受到这种威胁。一般来说，拍卖的经典分析忽略了“托”者破坏拍卖人信任和拍卖人诚信的可能性。说谎的拍卖人也是如此。例如，在维克瑞拍卖中，一个说谎的拍卖师可以夸大第二高的出价，以增加自己的收入。这意味着需要投标验证机制，例如通过加密签名。另一种可能性是使用第三方拍卖机器人，它将在拍卖结束后向卖家显示（真实）最高出价。在公开拍卖中，拍卖人没有动机对出价人撒谎。 然而，拍卖师可能会在拍卖结束后拒绝出售。另一个威胁涉及通过拍卖师或客户代理不受欢迎地披露私人信息而违反保密协议。在Vickrey拍卖和英式拍卖中，由于真实投标是一种主导策略，因此存在着投标人的分包商的策略边际成本信息被揭示的问题。一般来说，出价通常是对他人行为的正确预测的结果，有时这意味着正确猜测他人信息的程度。移动客户代理可以攻击其他竞争客户代理以同时收集这样的信息来支持其客户的投标。另一方面，拍卖人可以出售或透露私人信息的出价和偏好的过去和现在的投标人的竞争代理人滥用。关于上述所有类型的威胁，移动客户代理的主要安全问题是对拍卖行的信任和诚信，以及拍卖行和客户代理的保密从拍卖行的角度来看，一个不同的威胁涉及拍卖期间客户代理之间的联盟形成，这些客户代理同意不出价超过另一个客户代理，而是在他们之间私下分配所购买的物品。这是一个拍卖师对当前参与拍卖的客户代理的信任问题。这两个问题，shills和投标人collusions或联盟拍卖被认为是非法的，但很难检测，因此，机制，以减少代理人的激励这两种类型的行动先验必须嵌入到谈判协议明确或间接的协议的理论特征的一部分。请注意，在虚拟商城中移动客户代理之间的联盟不被禁止：允许联盟作为一个整体参与拍卖，其中代表被选为投标人。3一种方法我们的目标是在电子商务环境中基于移动多代理系统为建筑开发创新的工程解决方案。电子商务可以被定义为所有活动的总和，这些活动直接涉及：71在互联网上进行商品和服务贸易。 因此，更一般的电子商务通信的所谓电子商务活动。电子商务可以根据商业领域或商品的生产者和消费者之间的贸易流程的方向细分为单独的市场部分。实施电子商务应用程序会导致大型复杂的系统，如果不预测和瞄准可能的漏洞，就无法开发这些系统。然而，要确定、分析和评估这些可执行性，需要全面了解各个组件如何相互作用。这种系统的复杂性和分布式性质提出了如何将安全措施结合起来的问题，这些安全措施针对单个组件到整体安全基础设施的安全问题。此外，可信系统可能并不预先假定所有组件都是可信的。如果使用这些组件的环境能够解决其弱点，则可以规避特定组件的漏洞。为了在移动多智能体系统领域中构建可信的大规模系统，一般方法必须将整个系统的可信度概念映射（分解）到特定需求或其单个组件的可信度问题不是改进小规模安全问题的具体解决方案，而是找到整个系统在安全方面的适当分解，允许我们（重新）使用现有的方法来解决小规模问题。 我们提出了移动多智能体系统的三个主要层次：应用架构，系统设计和计算级。在下文中，我们将概述在每个单独的层次上以及在连续的层次之间出现的问题（见图1）。3.0.2应用程序架构-安全的市场：应用程序体系结构与所考虑的市场场景的总体设计和组织有关。这是在不考虑技术解决方案的情况下完成的。这一层次的多智能体研究集中在虚拟市场创新模型的设计和分析上。这个想法不是为虚拟市场提出新的经济模型，而是使现有模型适应多代理系统的情况。从今天的角度来看，拍卖行，虚拟商场和自由市场是基本模型，形成了这一研究思路的起点。这些模型的具体实例必须设计，并将形成进一步调查的基础。在这个层次上，多代理系统研究的主要重点是研究安全需求与虚拟市场的一般模型规范的相互作用。在安全工程的相应阶段，识别潜在威胁并定义安全目标以应对这些威胁。在严格的方法中，抽象的应用程序体系结构和所需72安全目标是正式的。在应用程序架构级别，我们研究了不同类型的虚拟市场的安全需求如何被形式化，以及随后的保证（验证），这取决于底层系统架构级别提供的安全机制和协议。根据基本的经济模型，开发了谈判和交互模型的抽象规范。此外，我们研究这些基本经济模型的变化如何影响安全目标的定义和例如，必须为每个应用场景定义适当的信任管理，以指导代理社会中的信息流动。正式的安全策略构成了将这种信任管理正式化的技术手段。例如，我们将关注非确定性系统的非干扰策略的定义和实例化，以允许对所考虑的特定多代理系统的安全目标进行验证（确认）。3.0.3系统架构-安全代理和代理社会该系统的体系结构涉及的技术解决方案，实现了预期的虚拟市场的基础上，社会的代理。这一层次涉及现有多代理系统的扩展和改进，以适应虚拟市场的设计，以及进一步开发用于指定单个代理的底层架构。多智能体社会的设计必须满足在应用架构级别指定的模型的要求。在这些Agent社会中，需要个体Agent之间的协商根据[7]，协商研究可以被认为涉及三个广泛的主题：协商协议、协商对象和代理的决策模型。虽然很明显，一个人必须处理所有三个问题，我们希望把重点放在谈判协议和决策模式。我们研究了一个单一的代理和新兴的多代理系统的架构之间的相互作用，特别是相对于安全性的要求。出现的问题是，哪种类型的安全体系结构的代理社会是可能的知识，解决问题，数据存储，通信，社会公约和协议。我们的目标是对这些架构的实例化进行正式定义，以允许逐步验证和评估。在DFKI开发的代理架构InterRRaP-R [9，8]是本研究的起点。 然而，有必要重新设计InterRRaP-R，以满足代理体系结构的安全问题。因此，我们调查在多大程度上的推理程序在InterRRaP-R可以适应推理的基本安全机制也此外，推理过程被扩展到允许Meta推理，以使代理能够找出执行的动作是否具有预期的效果。73在个体代理的层面上，安全问题可以分为：正确的功能行为，通过网络的安全旅行，以及与其他代理的安全通信。在过去，已经开发了各种形式化方法来证明程序（代理）的行为符合其（形式）规范。为了保证代理人的安全旅行，代理人必须向主机授权。授权成功后，访问策略定义代理可以在外部主机上使用的资源问题是如何定义和实现这样的访问策略，一方面允许代理访问所有必要的数据，另一方面允许主机向代理收取使用资源的权限。如果代理在网络上旅行时受到威胁，则使用单个代理的多个实例可能是提供更鲁棒的系统行为的适当方法。代理之间的通信必须借助密码（安全）协议来保护。问题是如何使用现有的安全协议，以及这种选择将如何影响安全代理体系结构（或系统）。例如，主机可能攻击代理的威胁导致代理不得拥有密钥的限制。因此，代理不能签署文档，除非他们使用可信的授权或迁移到可信的主机。静态信息可以使用该代理来公式化数字签名。在这种情况下，在不同的代理人之间分割信息的可能性[15]可能是一个有趣的概念，可能会导致创新的解决方案。在代理社会的水平上，出现的问题是什么样的体系结构和实现的安全代理和移动多代理系统是兼容的安全要求，在应用程序的水平。哪种类型的安全代理与哪种类型的安全市场兼容，以及这种兼容性如何以及以何种方式逐渐验证或进行评估？相反，出现了以下问题：什么是可证明的effects在理论和实现的哪种安全机制的水平上的代理-和相应的安全，通用架构的代理（或代理系统）的经济模型的各自的市场？例如，用这种方法得到的限制能保持理论上的收敛吗？从其他应用程序中可以很好地了解到，应用程序体系结构和抽象系统设计之间的关系并不是一个简单的细化。例如，为了使用加密，必须引入用于交换密钥的复杂（密码）协议，该协议需要对其自身进行分析。证书的管理引起了新的诚信问题。基本上，整个分析必须在一个新的水平上重做。如果考虑移动代理，情况甚至更糟。隐式假设，如客户本身的完整性，需要复杂的机制，如果这些实现的代理迁移到可能的敌对计算平台。743.0.4计算架构该实现架构涉及为分布式计算提供一个安全的环境。这一级别的安全要求涉及例如代理攻击主机或主机访问代理秘密的威胁。对主机的威胁可能危及主机的完整性。虽然可以使用适当的访问控制机制（如Java虚拟原则上，代理无法验证其代码的正确执行。例如，主机可以改变、读取或删除代理的确认信息，或者它可以减慢甚至拒绝代理程序的执行。当代理驻留在主机上以及从主机迁移时，需要方法来保护单个代理宿主到另一个代理信息可以分为不同的类型。代理但是，除非外部主机上有受信任的硬件，否则无法防止代理篡改由于代理的代码必须在外部主机上运行，因此也不可能保持其代码私有。为了保持其代码的机密性，代理不得不求助于使用可信主机。由于代理的首要任务是收集信息，因此这些信息的隐私通常比代理代码的隐私更受关注。有两种信息收集模式[2]。在无状态模式下，代理将收集到的信息发送给其权威机构。因此，提供信息的外部主机也可以用于负责加密和将信息传递给权威机构。在有状态模式中，获得的信息以某种方式附加到代理，并且当从一个主机迁移到另一个主机时，代理会携带这些信息。同样，提供信息的主机可以在代理机构的公钥的帮助下加密数据，以防止信息泄露给其他主机。然而，为了在其行程中保密地使用收集的数据，代理必须再次求助于可信（例如防篡改）主机。因此，代理人的行程将受到安全方面的影响。代理必须有意地迁移到受信任的硬件，以便处理其收集的数据。4结论在本文中，我们描述了一个通用的方法来验证，评估，并在虚拟市场领域的移动多代理系统的建设。这种方法区分了三个抽象层次，在这三个层次上可以研究设计和安全方面：应用程序体系结构、系统体系结构和计算体系结构。这篇文章的主要贡献和迄今为止所做的工作是详细说明这个一般框架。75正如论文中所概述的那样，在每个抽象级别中都有处理特定安全问题的结果。因此，我们未来工作的主要目标是研究一个综合模型，该模型可以处理在不同级别上指定和实现的安全机制的相互作用。引用[1] A. Barua，A. Whalpus和F.尹网络经济中的价值与生产力。IEEE计算机，2000年5月。[2] D. 切斯湾格罗索夫角Harrison，D. 莱文角 Parris和G. Tsudik. 移动计算的巡回代理 技术报告，IBM T.J. 沃森研究中心，纽约，1995年10[3] K. Decker，K. Sycara和M.威廉姆森 互联网的中间商。在IJCAI-97人工智能国际联合会议，名古屋，日本，1997年。[4] K.菲舍尔角，澳-地Ruanjiang和G.维尔克多智能体系统中的决策理论与协调。研究报告RR-98-02，DFKI，1998年。[5] A. Herzberg，Y.Mass，J. Mihaeli，D. Naor和Y.拉维 访问控制满足公钥基础设施，或：陌生人的身份。IEEE安全与隐私研讨会，2000年5月。[6] ISO/IEC国际标准信息技术安全评估通用标准（CC），版本2.1，ISO IS15408，2000。可从//csrc.ncsl.nist.gov/nistpubs/cc/。[7] N. R. Jennings，S.帕森斯角塞拉和P·法拉廷自动谈判。在Proc.5th Int. Conf.on the Practical Application of Intelligent Agents and Multi-Agent Systems（PAAM-2000），第23-30页[8] C. G. Jung和K.费舍尔一个具有并发、连续进程的分层代理演算。在Intelligent Agents IV，1365卷Lecture Notes in Artificial Intelligence，第245-258页。Springer，1998年。[9] C. G. Jung和K.费舍尔代理模型的方法比较。技术报告RR-98-1，DFKIGmbH，Saarb rücken，Germa ny，1998年。[10] R. L. Keeney和H.我是蕾·塔娜多目标决策。John Wiley and Sons，纽约，1976年[11] B. Langenstein，M. Ullmann和R.沃格特可信数字签名设备的形式方法的使用。第13集实习生FLAIRS Conf. AAAI Press，2000.[12] D.曼查拉电子商务信任度量和模型。IEEE Internet Computing，4（2），2000年3月/4月。76[13] Y. Mass和O.谢霍里开放多代理系统中的分布式信任。在自主代理2000年研讨会上欺骗，欺诈和信任的代理社会，2000年[14] 欧洲共同体官方出版物办公室。信息技术安全评估标准（ITSEC），版本1.2，1991年。[15] 罗斯合作代理人的相互保护在 J.Vitek和C. Jensen，编辑，Secure Internet Programming：Security Issues for Mobileand Distributed Objects。Springer，LNCS 1603，1999年。[16] T.桑德霍尔姆计算多主体系统中维克瑞拍卖的局限性。在Proc。1996年多智能体系统会议。[17] SPKI简单公钥基础设施。ftp://ftp.ietf.org/internet-drafts/draft- ietf-spki-cert-theory-02.txt。[18] E.曾。约束满足的基础。认知科学中的计算。中国科学院出版社，1993年.[19] E.沃尔夫施泰特拍卖：介绍。Journal on Economic Surveys，10（4），1996.[20] H. Wong和K.西卡拉为多代理系统增加安全性和信任。在自主代理1999年研讨会上欺骗，欺诈和信任代理社会，1999年5月。[21] B. Yu 和 M. 辛 格 电 子 社 区 声 誉 管 理 的 社 会 机 制 。 In M. Klusch 和 L.Kerschberg，编辑，CIA-2000合作信息代理，LNAI第1860卷。斯普林格，2000年。