论文阅读《A survey of security issue in multi-agent systems》

2020/05/04 paper

A survey of security issue in multi-agent systems

由于agent的自动,主动以及能够动态地解决问题的行为,使得multi-agent system引起了研究人员的注意。这篇论文调研了multi-agent system中的安全性相关的研究工作。特别是对于访问控制(access control)和和信任(trust/reputation)问题, 然后给出了自己的研究分析,还提出了现有问题并讨论未来的研究挑战。

Keywords

intelligent agents, Multi-agent system, Security, Access control, Trust, Reputation

Introduction

agent 是一个自治(autonomous)且面向目标(goal-oriented)的软件实体,他可以与其他软件实体或人类进行协作和通信。目前,agent有很多种定义,但是对于agent来说,最为普通的特点就是自治(autonomy),社交能力(social-ability),反应性(reactivity)和积极性(pro-activity)。由于这些特性,使得agent 范式已经成为在开放、分布式和异构的环境中开发应用程序最有前途的技术。实际上,基于agent 的系统已经在开放的分布式环境中得到了广泛的开发,尤其是在电子商务、移动计算、网络管理和信息检索领域。
在基于agent 的系统中,agent 可能会尝试着从其他agent 获取信息或者向远程提供服务的代理来获得访问权限,以实现其目标。但是在开放的环境中,agent是可以自由行动的,因为很难知道哪些agent 是可信的,哪些外部访问是没有危害的,因此,agent的一些行动是不安全和不可靠的。如果没有适当的解决方案来解决这类问题,那么就会泄露某些敏感信息,或者破坏系统。特别的,对于一些关键性的交易来说,例如与银行和个人医疗健康系统有关的交易,必须要保证安全。然而,agent的自主性、异构性和开放等特性,使得很难保证这些系统的安全性。但是,为了能够充分受益于agent技术,确保MAS 的安全是非常重要的。我们通过不同的机制(例如身份验证[authentication]、授权[authorization]、信任管理[trust management]等)来保证关键的安全属性,例如机密性(confidentiality)、完整性(integrity)、可用性(availability)、问责制(accountability)和不可否认性(non-repudiation)等。

近年来,研究人员已经尝试着解决基于agent 的系统中的安全问题,他们分析了安全漏洞并且确定了安全需求和挑战。另外,对于一些可能的南拳攻击已经研究,并且提出了适用于攻击的安全技术。还提出了各种安全模型,中间件和安全服务。在各种安全问题中,移动智能体系统的安全性是许多研究人员的主要研究方向。移动agent是一种特殊的agent类型,它能够从一个主机(host)迁移到另一个主机,并在那里继续执行(Borselius 2002)。agent的可移动性并不是一个强制性的特征,但由于其自身的优点,近年来引起了人们的关注。使用移动代理的最大好处是,它们可以帮助减少网络流量和克服网络延迟(Chess等,1996年)。此外,如果我们能够解决与移动代理相关的安全问题,那么这些解决方案就可以很容易地应用于解决任何类型的基于代理的系统的安全问题(Ghanea-Hercock和Gifford 2001)。除了一般针对移动代理安全的研究外,一些研究人员还针对特定的访问控制和信任管理需求研究了解决方案。此外,还分析了许多现有的安全解决方案,以确定它们是否适用于基于agent的系统。除了基于agent 的系统的安全考虑外,一些研究人员还提出使用代理来提供安全服务;在本文中不讨论这些。
在本文中,介绍了基于agent的系统的安全需求分析和安全解决方案的现有工作,特别是访问控制和信任模型。还讨论了它们的局限性和未来的挑战。论文的其余部分组织如下。第2节介绍了通过分析相关威胁和漏洞来解决多代理系统(MASs)安全需求的研究。在第三节中,提出了现有的安全解决方案,以抵御各种威胁。第4节介绍了适合于大规模使用的认证技术和访问控制模型,包括用于分布式访问控制的信任管理解决方案。第5节介绍了关于大众信任和声誉的现有研究。最后,在第六部分,我们总结并提出未来的研究方向。

#### Security requirements in MAS

在这一节中,首先定义MAS的特点,然后描述了基于agent特征的安全漏洞,并确定了安全需求。

##### Multi-agent systems 对于agent 和 MAS 的定义有很多,在本文中,使用了普遍接受的定义(Jennings et al. 1998):

An agent is a software entity, situated in some environment, that is capable of flexible, autonomous action in order to meet its design objectives.
一个agent是一个软件实体,它位于环境中,能够灵活、自主地行动以满足它的设计目标。

虽然没有一个普遍接受的定义,但是大多数研究人员都同意agent 的共同特征是情境性(situatedness)、自主性(autonommy)和灵活性(flexibility)(Franklin and Graesser 1996;Jansen 2000;Jennings等人(1998)将agent 范式与其他软件范式区分开来。

  • 情境性是指 agent 根据从环境中接收到的感官输入来感知自身的具体情况。
  • 自主性是指行为人能够控制自己的行为和内部状态,而不需要人类或其他行为人的直接干预。
  • 灵活性是指能够适应不断变化的情况,并持续地执行操作以实现代理的目标的能力。 灵活性有三个属性:反应性(responsiveness)、主动性(proactiveness)和社交能力(scial-ability)。 响应性意味着代理可以执行更改环境的操作,或者在它们意识到其环境时作为响应提供反馈。 主动性意味着行为主体不只是对环境做出反应; 相反,他们能够表现出目标导向(goal-directed)的行为(FranklinandGraesser1996)。 社交能力是指agent 为了解决自己的问题或帮助他人而与其他agent 和人类相互作用的能力。 此外,还有其他的特征,如机动性(mobility)、理性(rationality)、诚实的(veracity)和善良的(benevolence)。 如上所述,mobile agent是一种具有移动特征的 agent,即能够跨网络和在不同主机之间迁移(Greenberg et al. 1998)。 尽管agent system 可以从 agent 的移动性中获得显著的好处,但是agent的移动性也会带来重大的安全问题。mobile agent system的安全问题一直是许多研究人员关注的焦点。本文中将在以下几节中详细描述这些问题和现有的解决方案。

请注意,如上所述,MAS是一个由相互作用的 agent 组成的基于agent 的系统(Ferber 1999)。一般来说,MASs 有一些复杂的问题需要agent 之间的合作来解决。此外,许多 MASs 没有全局控制,它们的数据通常是分散的。为了使 MAS 安全,我们应该处理跨系统发生的问题以及单个 agent 中的安全问题。

Vulnerabilities and security requirements

agent范式已经被证明是开发智能(intelligence)、异构(heterogeneous)和开放系统(open systems)的一种有前景的方法,因为它具有诸如自治(autonomy)、灵活性(flexibility)和协作解决问题的行为(cooperative problem solving behavior)等特性。然而,这样的特性使得确保 MASs 的安全变得更加困难。如今,许多MASs应用程序正在开发,甚至在安全关键领域,如在线商务、银行和医疗服务领域。许多研究人员已经认识到 MASs 攻击的安全漏洞,并确定了可能的攻击。
在Borselius(2002)、Mouratidis等人(2003)中,作者提出了基于agent特征的 MASs 的安全需求。在情境性特征方面,信息来源的验证(verification of origin of information)是一个关键问题。如果环境信息来自一个代理的主机,那么安全问题可能是最小的。然而,如果agent 从互联网上获取信息,就应该检查这些信息是否可信。基本上,agent 应该知道它所使用信息的来源和可信度。这些问题与信息的认证和完整性有关。 agent 的自治性也可能会存在一些严重的安全问题,因为恶意的agent 能够在不需要其他 agent 或人的任何请求的情况下传播(Mouratidis等,2003年)。因此,代理应该能够防止或修复由未经授权的访问可能造成的损害;一个MAS应该被保护免受其他自治代理的恶意入侵。就社会能力而言,我们应该能够确保agent之间以及agent与人之间的安全通信。为了做到这一点,我们需要大量地保证几个安全目标,如保密性、完整性、可用性、可靠性和不可抵赖性。此外,agent 的移动性可能会导致严重的安全问题。主机(host)可能被恶意的mobile agent 破坏。另一方面,恶意主机可能会破坏移动代理的安全性。因此,需要有同时保护主机和移动代理的安全解决方案。为了保证移动代理的安全性,需要注意与其他恶意代理和用户以及恶意主机之间的交互。此外,agent 之间的合作可能会导致更严重的安全问题。为了实现它们的目标,有时候agent可能需要访问其他人维护和拥有的资源,或者了解其他agent的内部状态。如果在没有适当的身份验证和授权机制的情况下允许合作,那么可能会出现严重的安全问题。
除了确定与代理特征相关的特定漏洞外,文献中还研究了针对MASs的其他可能的攻击。Poslad等人(2002)讨论了与抽象MAS体系结构相关的安全攻击。这项工作分析了智能物理代理( Intelligent Physical Agents,FIPA)体系结构的基础。FIPA抽象架构(FIPA2002a)定义了如何在一个抽象的层次上注册和交换信息,从而进行彼此的定位和通信。为此,定义了一种结构元素及其之间的关系。在这些元素中,Poslad等人重点关注服务发现模型、消息传输互操作性、代理通信语言(ACL)表示、内容语言和多目录服务表示。它们描述了与FIPA MAS体系结构的名称服务、目录服务和通信服务相关的几个威胁。名称服务组件可能允许代理在消息交换或服务请求中伪造身份。在提供目录服务时,可能会出现拒绝服务(DoS)或未经授权的修改。在MAS中实体之间的通信中,关键的问题是被传输数据的窃听或损坏。作者分析了与FIPA抽象架构相关的可能的攻击,但是没有提供这些攻击的解决方案。
除了由架构漏洞引起的安全攻击外,对于移动代理系统相关的安全攻击也有大量的研究。Greenberg等人(1998)将针对移动代理系统的攻击分为七种不同类型:破坏(damage)、DoS、侵犯隐私或盗窃(breach of privacy or theft)、骚扰(harassment)、社会工程(social engineering)、事件触发攻击(event-triggered)和复合攻击(compound attack)。由事件触发的攻击称为逻辑炸弹(logic bomb),是由外部事件(如时间、位置或特定人员的到来)触发的攻击。复合攻击由多个攻击组成,可能由协作的代理或主机发起。Wang等人(2005)描述了与agent的移动性相关的攻击。作者认为,移动代理很容易受到诸如伪装(masquerading)、DoS、窃听(eavesdropping)和篡改(alteration)等攻击。另一方面,主机可能对伪装、DoS、未授权访问和复制-应答等攻击非常脆弱。此外,作者还描述了对协作代理的攻击,如伪装、DoS、未授权访问和拒绝。

Existing security solutions for MASs

正如上面提到的,最近,许多安全漏洞已经被指出,大规模攻击已经被研究。为了保护系统并从攻击中恢复,文献中提出了各种安全技术。在本节中,我们将对MASs 安全问题的现有解决方案进行总结;这些包括特定的安全服务,以及一般的模型和框架。

Overview of security solutions

根据agent 的特征所驱动的 MASs的安全需求对所提出的解决方案进行了分类。

  • 对于agent 的情境性特征,我们应该能够识别出从不可信的当事人那里获得的环境信息。要做到这一点,必须要对信息的来源进行认证。为了从其他自治 agent 的不恰当访问中恢复代理,维护交互日志是有用的,否则,使用中介代理与所有其他代理交互并管理系统的交互日志(Jansen 2000)。为了在合作过程中安全地共享各个agent 的资源和内部状态,应该只能允许经过认证和授权的agent 对其资源或内部状态进行访问。为了做到这一点,Roth(1998)在Jennings等人(1998)中提出了一种方法,通过将每个消息与代理的标识和时间戳相关联,使其独一无二,并使用代理与其资源/内部状态之间的所有权和使用关系。各种保护移动代理及其主机的安全解决方案已经在文献中提出(Borselius 2002;格林伯格等,1998;詹森2000;Wang et al. 2005)。为了保护主机,对移动代理进行身份验证和授权非常重要。对此,Wang等人(2005)介绍了几种安全技术,包括:沙箱(sandboxing)、安全代码解释(safe code interpretation)、签名代码(signed code)、授权和属性证书(authorization and attribute)、状态评估(state appraisal)、路径历史(path history)、验证携带代码(proof-carrying)和模型携带代码(model-carrying code)。沙箱方法将代理隔离到由软件强制执行的有限域中(Borselius2002;Jansen 2000)。当移动代理的代码被解释时,需要安全解释技术(Borselius2002;Jansen2000)。在执行解释后的代码期间,它会处理不安全的命令或忽略该命令。签名代码技术(Jansen2000)是使用agent 的创建者、agent 的所有者和/或可信的第三方的数字签名对agent 进行签名,以确保agent 的真实性/完整性(authenticity/integrity)。状态评估(Farmer et al. 1996)的目的是确保 agent 的状态没有被修改。路径历史技术的思想(Roth 1998;Vigna(1997)是为了让agent 拥有他们之前访问过的主机的记录。携带证明码(NeculaandLee1998)使agent的作者生成一个保证agent 代码安全的证明,然后主机利用与agent传输的证明对agent进行验证。然而,有一个缺点是不容易产生一个正式的证明。携带证明代码是将安全完全放在代码生产者身上,与其不同的是,携带模型的代码(Sekar等,2001年)将这种任务分配给生产者和消费者。移动代理主机通过使用不可信代码附带的信息,形成一个捕获与安全相关的代码行为的模型,而不是一个证明。代码使用者能够更精确地了解不可信代码的安全需求。此外,携带模型的代码技术允许使用者在执行之前对不可信的代码尝试不同的安全策略,然后选择一个策略。
    文献中还提出了一些保护mobile agent 的技术,包括 契约协议(contractual agreements), 使用可信的硬件或节点(using trusted hardware or nodes),代理协作(cooperating agent),执行跟踪(execution tracing), 滑动加密(sliding encryption), 环境密钥生成(environmental key generation), 使用加密函数计算(computing with encrypted functions), 模糊代码(obfuscated code)和不可分离的签名(undetachable signatures), (Borselius 2002).契约协议方法通过建立和使用契约协议,使主机运营商保证主机的安全。使用可信硬件和可信主机是一种简单而有效的解决方案。有时,在某些应用程序中将单跳技术与可信节点解决方案一起使用。对于容错质量,在协作代理中复制有意义的信息或代码是有用的。执行跟踪技术(Vigna 1997)记录以前主机平台中代理的执行情况。它的目标是检测移动代理中的未授权修改。然而,日志的存储问题成为了这项技术的一个障碍。在小消息交换的情况下,加密技术(Young and Yung, 1997)可以帮助减少开销以保证机密性。环境密钥生成方法(Riordan和Schneier 1998)被认为是保护代理隐私的安全技术之一。在这里,代理的加密数据只能在特定的预定义环境条件下解密。为了确保安全执行,代理的所有者需要提供加密函数。混淆的代码技术(Hohl 1998),被称为黑盒安全,试图通过打乱代理的代码来保持对代理的信任。然而,这个技术也有一些缺点,没有一个通用的黑盒安全算法,它只能在短时间内有效。
    根据表1所示的MASs的特点,对上述漏洞、安全问题和安全技术进行治理。 table
Comprehensive solutions: models, middlewares, and systems

除了针对具体需要的各种技术外,还提出了一些全面的解决办法。在本节中,我们将介绍一些标准、安全模型、中间件和安全MASs。
在标准MAS 安全的的努力,FIPA试图将安全问题纳入其规范。一些安全需求,包括安全通道和自动识别,已经反映在FIPA抽象架构规范(FIPA 2002a)中。为了向基于FIPA的MASs提供特定的安全服务,FIPA为消息传输服务(FIPA 2002b)和代理管理(FIPA 2004)指定了安全性。FIPA安全技术委员会于2002年发表了基于FIPA的MASs安全白皮书(FIPA 2002c)。他们审查了过去为保证以fipa为基础的MASs的安全而进行的活动,并提出了在这种系统中应该考虑的一些安全问题。
到目前为止,虽然文献中已经提出了各种安全模型,但是还没有针对MASs 的标准安全模型。Poslad等(2002)提出了资产安全模型(asset security models)。在这个模型中,安全性被定义为一组帮助保护资产的安全措施。它们将通信服务、名称服务和目录服务定义为MAS核心资产,然后描述每个服务的威胁和保护措施。Mouratidis等人(2003)提出了安全概念,使得Tropos方法能够对整个整个系统开发过程中的安全问题进行建模。Tropos(Brescianietal.2004a)已经被提议为一种面向代理的软件工程方法,但它没有考虑安全性。因此,Brescianietal。尝试通过使用各种安全概念(例如安全约束和安全依赖)来增加安全性,安全目标、安全任务等安全实体;和安全参考图。作为第一步,他们引入了一种识别和打破安全瓶颈的算法,以降低复杂性和质量的criti- cality (Bresciani et al. 2004b)。他们也扩展Tropos并提出rropos模型。 他们也通过集成三个安全过程来增强Tropos 安全。首先添加一个选择过程,通过计算可满足性来选择系统的体系结构样式,如客户机/服务器样式或移动代理样式。选择之后,将执行将需求转换为设计的流程,然后测试流程根据各种攻击场景验证已实现的安全解决方案。 Beydoun et al.(2009)通过在面向FAME代理的建模语言FAML (Beydoun et al. 2006)中添加安全问题,提出了MASs的元模型。FAML是描述质量特征的通用元模型,但它没有考虑安全性要求。在这篇论文中,作者描述了多智能体的特性所引起的一些脆弱性,如协作性、自主性和移动性。为了解决这些漏洞,他们通过插入安全技术(如交互历史日志)来扩展原有的FAML。
van tNoordendeetal.(2004)提出了基于Mansion的移动代理系统的安全体系结构。Mansion是一个多层次的中间件系统,旨在支持大规模的移动代理系统,Mansion 使用认证和授权服务保证安全。签名代码技术用于对移动代理进行身份验证,所有对象都有一个访问控制列表(ACL),该列表指示授权访问它们的代理。为了控制信息流,它使用密闭的房间。如果移动代理进入一个封闭的房间,那么它与外界的交互就会被切断。为了保护移动代理,Mansion提供安全的AMS(代理管理服务),例如位置查询服务、审计和公证流程。此外,它还维护审计跟踪,这有助于保护代理在多跳旅行期间不受代理的持久状态的干扰。为移动代理的安全迁移提供了切换协议(handoff protocol)。
Vuong和Fu(2001)提出了一种安全的移动代理系统,称为安全Actigen系统(SAS)。SAS为主机和移动代理提供多种安全服务。在主机保护方面,提供基于SHA1-DSA算法的数字证书服务和数字签名服务,对移动代理进行认证。此外,主机在向移动代理提供服务之前必须检查自己的安全策略。为了保护代理的完整性,它使用了语法完整性检查机制和只附加的数据日志方法。
最近,一些研究人员对代理平台使用的安全机制进行了评估。Fischmeister等人(2001)在三个基于java的移动代理平台上提供了一个测试结果:aglet、跳跃bean和Grasshopper。它们关注的是移动代理可以针对这些平台的授权机制发起的攻击。他们报告了列出的代理平台上的几个漏洞。例如,aglet(2002)允许未经授权地修改安全策略和平台,以显示关于用户标识的部分代码和信息。跳跃bean(2006)可以通过图形用户界面攻击和运行时系统调用攻击来禁用或关闭。在Grass- hopper (Baumer和Magedanz 1999)中,他们证明了不需要任何批准就可以修改系统的属性并绕过其授权系统。Burkle等人(2009)评估了两种不同的代理平台:JADE(2007)和安全移动代理(SeMoA 2007)。它们证明了恶意移动代理可以发起的攻击,并使用它们来测试这两个平台的安全性。为此,他们构建了一个由具有不同操作系统的各种硬件组成的测试系统,并成功地发起了DoS、伪装、窃听、垃圾邮件、未经授权访问主机数据等攻击。在JADE上进行的测试揭示了安全机制中的一个严重漏洞,也显示了针对某些攻击的弱点,如递归克隆、非阻塞行为和垃圾邮件。SeMoA在防止未经授权的访问和对其他代理的攻击方面已经被证明是成功的。然而,它已经被证明是脆弱的DoS攻击使用无限循环执行或内存过载。随着攻击变得更多更复杂,抗攻击代理平台的必要性大大增加。通过这些评估结果,我们可以确定当前平台提供的安全程度。

Access control approaches

如前一节所讨论的,已经提出了许多安全技术和解决方案来保证MASs的安全。其中,我们关注两个主要的安全解决方案:访问控制和信任方法。在本节中,我们将对现有的访问控制和信任管理文献进行综述。 保护对系统的访问通常涉及两个主要步骤:验证(estab)消除主体的真实身份,以及访问控制或授权(定义哪个主体对哪个资源具有何种类型的访问特权)。我们在第4.1节中首先介绍了适用于和经常被建议用于MASs的认证机制。然后,我们概述了通用访问控制模型和4.2节中专门针对MASs提出的模型。在第4.3节中,我们介绍了支持分布式访问控制的信任管理的研究。

Authentication

身份验证建立了一方对另一方的身份,是访问控制机制的先决条件(Sandhu和Samarati 1996)。MASs支持身份验证和访问控制的主要挑战之一是以分布式方式实施它们。为此,研究人员提出使用公钥基础设施(PKI)。PKI方案被分类为信任管理协议,它专门处理分布式环境中的身份验证和访问控制。PKIs是主流的信任管理系统,尽管存在其他成功的协议和框架:例如,提供通信隐私和分布式身份验证的Pretty Good Privacy (PGP)和Kerberos(一种分布式身份验证机制)。在多代理领域的一些研究工作已经采用了PKI的思想,主要是IETF X.509标准和简单公钥基础设施/简单分布式安全基础设施(SPKI/SDSI)或直接使用它们来提供对 MASs 的保护。 X.509是用于分布式身份验证的IETF标准,目前主要用于在线业务应用程序。在此协议中,证书颁发机构颁发证书,将公钥绑定到主体的唯一ID。证书的真实性可以由证书颁发机构进行验证,而证书颁发机构本身依赖于(隐含受信任的)根证书。X.509证书的重要组成部分包括颁发者和主体的名称、主体的公钥信息和证书的有效期。
SPKI/SDSI是另一种标准,其主要目的是避免X.509的多路复用;它提供分布式授权,并将主体建立在公钥而不是身份的基础上。与标识相比,更容易确保公钥是全局惟一的。由于不需要验证身份,所以不存在X.509意义上的中央证书颁发机构。本地名称可以使用名称证书绑定到公钥,仅供发行者参考。名称证书由发行者和主体的公钥、标识符、描述术语和发行者指定的有效期组成。本地名称仅用于人为方便或对多个主体进行分组。此外,SPKI/SDSI能够通过授予由发行者签署的授权证书来管理授权。如果发布方在原始证书中允许,则接收方可以进一步委托此类授权。通过传播委托,授权可以以分布式的方式进行管理。授权证书由颁发者和主题的公钥、权限规范、授权位和验证期组成。在接收到对资源的访问请求时,提供者主体可以轻松地验证授权证书(或证书链)。

##### Access control 不同类型的系统和应用程序存在不同类型的访问控制需求。存在一些访问控制模型和策略规范框架来满足这些需求。访问控制策略定义了用于管理访问的规则(Samarati和De Capitani di Vimercati 2001)。传统上,访问控制策略分为自主访问控制(DAC)和强制访问控制(MAC)策略。在DAC中,授权由用户决定控制,用户是某些资源的控制器或所有者,通常基于请求者的身份。访问控制矩阵是Lampson(1974)提出的概念DAC模型。在开放环境中,实体之间可能是陌生人,可以使用标识符以外的属性作为授权的基础;这种方法用于基于属性的访问控制模型。与DAC相反,MAC政策是基于系统确定的强制性规定。例如,Bell LaPadula模型(Bell和LaPadula 1976)基于强制性规则(无读和无写规则)防止未经授权的信息在高级和低级安全类之间流动。基于角色的访问控制(RBAC)被提议作为DAC和MAC的替代方案,在DAC和MAC中,角色被定义为组织内的一种工作功能,描述分配给该角色的用户的权限和职责(Sandhu et al. 1996)。虽然角色在RBAC中主要是为组织定义的,但是角色概念的通用性使它适用于包括MASs在内的许多系统。在RBAC中,权限被分配给角色,用户可以通过激活分配的角色来行使权限。近年来,为了支持更有表现力和更灵活的策略,还提出了其他访问控制模型。上下文感知的访问控制模型(Covington et al. 2002;Wilikens等,2002;Zhang和Parashar(2004)通过指定上下文条件让策略适应不断变化的上下文。此外,一些访问控制模型更具体地处理特定的上下文类型,如时间(Bertino et al. 2001;Joshi et al. 2005)和位置 (Damiani et al. 2007;Chandran和Joshi 2005)。 Cremonini等人(2000)提出了一种称为TuCSoN的基础结构,用于协调基于代理的系统中的支持端口。在TuCSoN中,代理之间的交互通过嵌入在节点中的元组中心进行中介。节点有层次结构的网关,每个网关负责其域的保护。使用传统的由网关执行的访问控制矩阵模型来控制对元组中心的访问。为了使网关能够控制其域,作者扩展了访问矩阵的维数,用组件表示通过网关接口包含在域中的节点或子网关;因此,对域的外部访问可以由顶层网关来处理。后来,Omicini等人(2005)探讨了将RBAC集成到TuCSoN的基础设施中。为了控制协调协议,作者定义了一种类似于prolog的角色策略定义语言。策略可以指定考虑角色和条件的当前状态的授权操作,同时确定下一个状态。

Boella和van der Torre(2004)区分社区政策中的授权和许可。在他们的工作中,社区是一个在P2P环境中运行的分布式MAS。授权由社区授权服务基于社区的策略执行,而实际的权限由成员授予。 从在MASs中 使用访问控制策略模型的角度来看,除了上述工作外,大多数框架都通过实现访问矩阵模型来应用非常基本的策略,如基于身份的ACL。例如,Such et al.(2009)提出使用Linux自身的访问控制模型,该模型在一个将Linux进程视为代理的MAS平台中使用用户、组和访问控制列表。Wen和Mizoguchi(2000)基于角色的授权策略,但不考虑采用RBAC模型中的概念;例如,没有讨论如何将角色分配给用户或如何将权限分配给角色。
MAS的访问控制存在一些需要进一步研究的关键挑战。MAS中的代理通过协作来实现系统的预定目标。重要的是要确保代理之间的任何协作不会破坏这些目标,这些目标可以被视为安全威胁。为了维护这个需求,需要控制和保护代理之间的协作。考虑仅保护信息对象的访问控制模型的常见实践并不包括这方面。重要的是要开发适当的访问控制模型,以捕获代理之间的授权/非授权交互。Jung等人(2008)提出了一项初步工作,该工作捕获了对RBAC模型的大规模扩展中角色间交互的授权。 另一个研究方向是在实际的MASs中调查分配的自治强制实施的过程控制政策MAS访问控制的大部分工作都与分布式授权的要求有关(Wenand Mizoguchi 2000;Wanghametal)。2004;2003年)。然而,这类系统的多域性质被忽略了。在MAS中,对由代理控制的资源的授权,甚至是代理本身作为社区资源的授权,通常是由代理执行的。但是,由于代理是自治实体,它们可以简单地选择不遵循社区策略。因此,政策与实际执行之间可能存在矛盾。我们认为,大规模的访问控制策略应该增加与代理相关的概念,比如agent的义务和责任。

Trust management: distributed access control

MAS系统由多个有限知识的自治代理组成。为了在这样的系统中实现保护和安全的操作或交互,必须在它们之间建立信任关系。信任管理在分布式系统中已经被研究用于建立信任和控制访问。因此,它作为一种适合分布式认证和授权的方法,自然吸引了许多MAS领域的研究人员。
与用于对用户进行身份验证的人PKI不同,Hu和Tang(2003)提出了一种代理PKI,它可以在服务提供者和接收方代理之间建立信任路径,并在人与代理之间进行证书绑定。代理证书颁发机构(CAs)的结构是由根、一般证书颁发机构和本地证书颁发机构组成的树。它们描述了用于代理身份证书应用、颁发、撤销和验证的协议。属性证书也为人类颁发,但是可以由相应的代理使用。人员与代理的绑定是通过在其身份证书中对代理的公钥进行签名来完成的。该框架中属性证书的格式类似于SPKI/SDSI。
Wen和Mizoguchi(2000)提出了一种基于授权的信任模型(ABTM),该模型基于SPKI/SDSI证书,但授权是通过授权服务器进行的,是一种半分散的方案。资源提供程序代理将其资源的授权权限委托给授权服务器。因此,授权服务器可以采用一致的安全策略对请求进行授权;在这里,它们提供了一个基于角色的策略。对于请求服务,用户将其角色委托给执行代理。代理将发出一个请求,授权服务器提供它的角色证书。根据策略,授权服务器将授权证书授予执行代理,执行代理可以将授权证书提供给资源提供者代理以访问资源。这样,它们将授权决策(由授权服务器执行)和执行(由资源提供者执行)分离开来。 一些研究人员提出了特定应用的框架。例如,Wangham等人(2004)提出了一种基于SPKI/SDSI的移动代理安全方案,具体应用于虚拟企业的组建中寻找和选择合作伙伴以及合作伙伴之间的协商。很少有人在SPKI/SDSI (Poggi et al. 2004)中重新定义挑战和解决方案,或提出基于证书的方案,如Novak et al.(2003)。 分布式安全的正式的基于逻辑的模型提供了理论上的方法来确定系统实体的状态和分布式系统中可能的推论(Lampson等,1992; Abadi等人,1992)。 因此,一些研究人员提出了新的逻辑或建立在现有的逻辑和信任语义的代理系统。 Liau(2003)提出了信念、信息交换和大众信任的建模和关联逻辑。 作者提供了一种表示信任态度和代理间信息传递行为的模式。 该逻辑支持信念、信任和信息获取操作符,以模拟一个代理的信念、对另一个代理的信任,以及它如何从另一个代理获取信息。 讨论了信任和信息获取的不同性质,并证明了这些性质对构建质量性质是有用的。 这种逻辑可以通过将系统状态与代理的心理状态相连接来验证代理系统的语义。 Berkovits等人(1998)提出了基于Lampson等人的身份验证逻辑的移动代理环境下的信任关系(Lampson等人,1992)。 它们主要关注三个目标:主机对移动代理的执行进行认证,为代理执行其任务提供必要的特权,以及确保由于主机强加的更改而导致的代理的非恶意状态。

Trust and reputation

除了访问控制之外,信任(trust)和声誉(reputation)也是为现代系统提供安全可靠的服务的关键问题,特别是电子商务和其他web系统(Sabater和Sierra 2005)。到目前为止,文献中已经提出了许多信任和声誉的模型和系统。在这一节中,我们分析了以往关于信任和声誉的研究工作。在第5.1节中,我们首先介绍了信任和声誉的概念,然后总结了5.2节中已有的模型和制度。最后,在第5.3节中,我们提出了现有工作的比较,并讨论了结果。

Definition

信任和声誉系统被认为是应用于电子商务成功的关键因素(Resnick等,2000年)。这些系统经常由智能系统来部署,包括MAS 作为一种机制,以寻找值得信赖的合作伙伴,并决定是否履行合同。在探讨现有的关于信任和声誉的研究之前,我们首先在本文的背景下定义信任。信任的定义有很多种。Grandison和Sloman(2000)研究了信任的各种定义,然后为internet应用程序提供了信任的工作定义:信任是对实体在特定上下文中可靠、安全、可靠地行事的能力的坚定信念。然而,我们采用梅et al .(2002)的定义,因为它们的定义可以被视为基于声誉(reputation-based)的信任,并且我们认为MAS的信任是一个与信誉有很大关联的概念:信任是一个主观的期望,是一个agent对另一个agent 的未来行动基于他们的历史遭遇。
声誉是主体对客体的看法或看法。一个代理的声誉是对该代理的评价,基于与它的交互历史或另一个代理对它的观察。这种声誉价值可以由代理人自己直接评估,也可以由他人报告。在大多数情况下,声誉主要被用来建立代理人之间的信任(Ramchurnetal.2004)。代理人的业绩评价是建立代理人声誉的基础,这些信息被用来预测代理人未来的行为。
信任和声誉在促进代理人之间的相互作用方面发挥了作用。代理很难判断其他代理是否有恶意。在这种情况下,为了找到一个安全的合作伙伴,了解代理的声誉是非常有用的。因此,信任机制在保证MAS的可信交互中发挥了重要作用。
已经发表了几篇关于公众信任和声誉的调查论文。ram等(2004)在MAS中对信任问题进行了广泛的讨论。通过对MAS特征的分析,指出了一些信任问题。Sabater和Sierra(2005)使用七个比较因素回顾了各种计算信任和声誉模型;一般模型、信息源、可见性、模型的粒度、代理行为假设和行为模型。Arts和Gil(2007)讨论了语义web中关于信任的现有工作。他们根据信任的建立方式将信任分为四类:基于策略的信任、基于声誉的信任、信任的一般模型和信息资源信任。然而,这些调查并不关注大众,因此它们未能对MAS的信任/声誉模型和系统的实际使用提供全面的分析。

Models and system

在这一节中,我们将介绍一些关于信任和声誉模型和系统的现有工作。
Zacharia和Maes(2000)提出了两个声誉模型:SPORAS和HISOTS。这些模型是在线声誉模型(如eBay和亚马逊拍卖中使用的声誉模型)的扩展,因为它们研究了一种新的评级聚合方法。SPORAS是一个为拥有相同兴趣的松散联系的社区建立的声誉机制。它是一种集中式的声誉模型,比其他在线声誉模型具有更复杂的特征,它只是通过收集用户的意见来决定声誉的价值。在这个模型中,通过只考虑两个最近的用户(代理)来聚合评级值。为了预测用户的声誉,SPORAS提供了一种基于声誉值的标准偏差来衡量其可靠性的方法。另一方面,与SPORAS相比,HISTOS是一个更加个性化的声誉系统,因此它被用作高度连接的社区的声誉机制。与SPORAS不同的是,它通过考虑是谁发起的查询以及他/她如何评价在线社区中的其他用户来计算用户的声誉。 虽然SPORAS和HISTOS是集中式的模式,但ReGreT是一种面向复杂和中型电子商务环境的分散信任和声誉系统,其中个人之间的社会关系发挥着重要作用(Sabater和Sierra 2001, 2002)。它通过考虑社会关系和本体论,以及一个代理对目标代理的可靠性的直接感知来评估信任。ReGreT声誉模型包括三种专门的声誉类型,并根据信息来源加以区分:证人声誉(witness reputation)、邻里声誉(neighborhood reputation)和系统声誉(system reputation)。每个代理在每次交互后都会对其合作伙伴的性能进行评估,并将评估结果记录在本地数据库中。agent 可以通过查询存储在本地数据库中的评级信息来评估另一个agent的信任。代理人通过计算所有评级的加权平均值来获得这种信任值,称为直接信任。在这个模型中,每个评级都根据其最近的活动进行权衡。与SPORAS一样,ReGreT也为每个信任值提供了可靠性度量,以显示其预测能力。与以前的模型不同,FIRE在开放系统中集成了大量的信息源,以产生对agen性能的全面评估(huynhetale .2004,2006a,b)。它将信息源分为四种类型:交互信任(interation trust)、基于角色的声誉(role-based reputation)、见证声誉(witness reputation)和认证声誉(certified reputation)。然后,将它们整合在一起,计算出一个更精确的信任和声誉值。首先,交互信任是建立在两个代理之间的直接交互体验之上的。其次,基于角色的声誉是由两个代理之间基于角色的关系建立的。为了分配基于角色的信任值,需要定义一些规则。第三,目标代理人的证人声誉是建立在其他代理人对目标代理人行为的观察基础上的。为了找到一些证人,FIRE采用了Huynh等人(2006b)提出的推荐制度。最后,目标代理的认证信誉包括许多关于第三方代理提供的特定任务中目标行为的认证参考文献(Huynh et al. 2006a)。认证信誉的定义是为了克服交互信任和证人信誉的不足。
阿卜杜勒-拉赫曼和海尔斯(阿卜杜勒-拉赫曼2005;Abdul-Rahman和Hailes(2000)提出了一个Ntropi模型,在这个模型中,信任和经验是由等级来区分的。例如,信任的级别可以是非常值得信任(Very Trustworthy)、值得信任(Trustworthy)、适度(Moderate)、不值得信任(Untrustworthy)和非常不值得信任(Very Untrustworthy)。该模型不仅使用直接信任和声誉,而且还使用推荐方的信任来评估证人的可信度,从而计算目标的最终信任程度。Ntropi对两种信任进行了建模:情景信任(situational trust)和基本信任(basic trust)。该模型通过将信任划分为五个层次或层次来表示信任。它的缺点是信任值的粒度太粗,因此失去了敏感性和准确性。虽然比较容易,但是值的更新要比使用连续值复杂得多。
多维信任(Multi-Dimensional Trust, MDT)是针对多维信任提出的(Griffiths 2005)。代理人根据不同的标准,如成本、时间或成功,根据代理人认为重要的标准,对他人的可信度进行建模。在这个模型中,代理使用自己与他人交互的直接经验。为了改进模型,MDT-R被提出了建议的概念(Lim Choi Keung and Griffiths 2008)。MDT-R将信任分为几个级别,以便进行比较。在该模型中,由于agent之间的信息共享常常受到各agent的主观解释差异的影响,因此,对过去相关交互的总结是共享的,而不是明确的信任值。最近的一项工作扩展了MDT-R 的机制,通过包括间接建议来获得建议。
在信任和声誉模型中使用社交网络的主流方法吸引了许多研究人员。Yu和Singh通过引用其他类似于网络链接的信息来源,解决了从社交网络检索评级的问题(Yu和Singh 2002,2003)。他们提出了一种代表社交网络和从网络中收集信息的方法。它们展示了agent 如何探索一个网络,并使用收集的引荐来建立一个社交网络模型。Schillo等人(2000)提出通过标注网络节点的特定特征来增强现有社会网络的代表性。每个节点拥有两个值,信任值(trust value)和利他程度(the degree of altruism)。在该模型中,信任值描述了一个代理(节点)的诚实度。在计算潜在合作伙伴的声誉时,这两个值都被用来推断被询问的证人的可信度。Pujol等人(2002)提出了一种节点排序算法,通过相应的社交网络对一个agent在社区中的声誉进行排序。主要思想是每个节点都有权限,并且该权限的一部分通过外边缘传播到外节点。正如上面提到的,ReGreT模型也利用了社交网络技术(Sabater和Sierra 2001)。agent通过在其声誉系统中使用社会维度,开始考虑社会关系,这些社会信息对于建立良好的声誉以及了解其他agent的声誉变得非常重要。
代理可以不可预测地更改其行为,因此信任和声誉模型需要了解这些更改并能够动态调整相应的值。这就是为什么建立一个动态的信任和声誉模型是当今最具挑战性的需求之一的原因。最近的一些研究提出了解决这些需求的方法。例如,Li等人(2008)提出了MASs的动态信任模型。该集成信任模型类似于ReGreT和FIRE,用于计算代理人的信任和声誉价值,如最近信任、历史信任、期望信任和信任系数。作为一个主要贡献,该模型引入了一种过滤方法,删除不准确的值。

Comparison and discussion

在本节中,我们将比较上面描述的现有模型。我们首先调查几个比较因素,可以区分质量从其他系统,然后比较和分类现有的工作。

Comparison factors

Information sources 信息源可以被认为是比较信任和声誉模型/系统的一个主要因素。他们每个人从环境或代理人那里收集信息,然后计算信任和声誉价值。通常,有三种信息被用来做这件事,它们是:直接经验、目击者信息和代理人之间的关系。
显然,直接经验是最相关和最可靠的信息来源,所以传统的系统主要依靠这些信息。证人信息是从同一社会的其他行为人那里收集来的知识。如果你想要使用目击者的信息,你需要首先核实它,因为它相对于直接经验来说是不可靠的。
关于代理之间关系的信息表明了一种社会关系(Sabater和Sierra, 2005)或基于角色的关系(Huynh等,2006a)。当两个代理人相互作用时,考虑他们之间的关系,信任和声誉价值会更可靠。
Reliability measurement of trust and reputation
他的因素表明,一个模型是否提供了一种方法来衡量信任和声誉价值的可靠性。例如,让我们假设以下情况:通常情况下,agent 1信任agent 2,但是有时如果a1没有足够的经验,信任值是不可靠的。为了评估信任或声誉的可靠性,一些模型使用认证代理或定义计算其可靠性的公式。
Distributed reputation
MAS 本质上是分布式系统,因此,它们的信誉系统应该能够支持分布式机制来产生和维护信任和声誉价值。从这个角度来看,根据模型在分布式声誉中的能力对其进行分类是非常重要的。最新的模型是分布式模型,但有些模型不是完全分布式的。此外,集中式声誉方法仍然被用于在线电子商务系统。
Agent behavior assumption
一些现有的模型假设代理的行为被用来建立信任和声誉。为了对代理行为的假设级别进行分类,我们采用了Sabater和Sierra(2005)中引入的三个级别

  • Level 0—A model relies on a large number of agents who offer honest ratings to counteract the potential effect of the ratings provided by malicious agents. It does not consider an agent’s malicious behavior on rating.(一个模型依赖于大量提供诚实评级的代理来对抗恶意代理提供的评级的潜在影响。它不考虑一个评级代理的恶意行为。)
  • Level 1—A model assumes that agents can hide specific information or provide biased information but they never lie. It means that agents are honestin exchanginginformation.(模型假设代理可以隐藏特定信息或提供有偏见的信息,但它们从不撒谎。这意味着代理人正在诚实地交换信息。)
  • Level 2—A model has specific mechanisms to deal with liars.(模型有处理说谎者的特定机制) Filtering inaccurate trust.
    代理人的行为不是一成不变的,而是根据他们的信念或社会承诺来执行他们的行为。然而,有时他们的信仰可能是错误的,即使他们不是骗子;也就是说,他们可能有不准确的信息和相应的信任值,因此,是不准确的。因此,trustandreputation系统需要捕捉这些不准确的值,然后修复它们,以确保可信的交互。
    Composition
    Wang and Singh (2006a,b, 2007)介绍了信任和训练的概念。显然,不能简单地传播信任,但在某些情况下,最好组合不同的信任值。例如,1可以信任2信任3,但是1也许并不信任3。在这种情况下,要计算1对3的信任,1和2之间的相互信任必须考虑。
Discussion

在表2中,我们列出了本文中描述的各种方法,并根据六个因素对它们进行了比较。关于分布式声誉,大多数现有的工作都支持这一因素。在信度方面,ReGreT和FIRE通过整合来自一个信息源的各个值,从各种信息源建立信任和声誉值,从而使信任值变得更加可靠。但是,他们必须承担维护所有信息源和代理之间关系的高成本和开销。此外,在维护见证方面存在可伸缩性问题。 最近的一些工作提出了评估和测量信任值可靠性的方法。FIRE中的认证信誉模型对组合的信任值进行评估,然后对该值进行认证,或者通过增加或减少该值来修正该值。Li的工作中引入的置信度在FIRE的认证模型中起着类似的作用,但它需要一个集中式的服务器或一些可靠的代理来进行测量。由于这一局限性,该模型难以应用于动态MAS中。
由于是自治实体,没有中央权威,agent的意见和行为是不能预期的。从这个意义上说,上面描述的agent 行为的假设可能是不实际的。ReGreT、Lie等人的Want和Singh等人的方法使用了二级假设,但都没有提供完整的解决方案。事实上,这是一个非常复杂的问题,需要人工智能技术来解决。

Security challenges and conclusion

在本节中,我们总结了MASs上的关键安全挑战。然后对本文进行总结。

Security challenges

虽然现有的研究为保障安全提供了有益的解决方案,但仍存在许多未解决的问题。此外,新技术的发展也带来了新的挑战。在本节中,我们将讨论我们应该关注的未来挑战。

Authorized collaboration(合作授权)

协作是实现MAS中agent目标的一种有效手段。然而,与恶意代理协作可能会使代理偏离其目标。例如,恶意代理可能要求其他代理提供它实际上并不需要的服务,目的是使某些社区资源不可用。为了克服这种不希望的交互,需要解决如何控制授权协作的问题。需要一个适当的访问控制模型来实现代理之间的安全合作。

Autonomous access control enforcement

在可伸缩的大规模中,访问控制必须以分布式的方式实施。代理,作为环境对象的控制器或作为其他代理的交互伙伴,可以成为此类系统中授权策略的实际执行者。但是,代理是独立的实体,因此它们可以简单地选择不遵循先前同意的授权策略。要承担这样的强制问题,一些超出授权范围的委托和责任是必须的。

Trust composition

Wang和Singh(2007)介绍了一种称为信任组合的方法,它将来自不同代理的多个信任值组合在一起。让我们看一个例子。agent1 信任agent 2,agent 2 信任agent 3,但是我们不能说agent 1信任 agent 3,因为信任关系不一定是可传递的。大多数现有的方法对这个问题没有贡献,但一些研究人员尝试了各种技术来结合信任价值。不幸的是,缺乏实际或全面的解决办法。
然而,当考虑代理组的组织时,信任组合的重要性是显而易见的。在一个组中,代理通常彼此交互以实现它们的共同目标。要为一个团队招募最好的代理,每个代理都应该是团队中值得信任的伙伴。然而,这无疑是一个复杂的问题,因为一个代理很难获得关于其他代理的完整信息。在这种情况下,信任成分对未知代理人的信任和声誉价值起着至关重要的作用。

Filtering inaccurate trust

有时,代理人的信任价值可能不准确;因此,信任和声誉系统应该能够过滤掉不准确的报告,以保持其可信度。Li等人(2008)通过使用过去的交互作用和目击者信息解决了这个问题,但是发现不准确的报告并重新计算价值的方法仍然是幼稚的,也不是很实用。如果我们消除了信誉价值的不准确性,那么我们就能在很大程度上保证更可靠的相互作用。

Trust and reputation customization (personalization)

为每个应用程序选择最合适的信任/声誉模型并根据应用程序的特定需求对其进行调整并不容易,因为信任和声誉是非常主观的。因此,用户很难通过重新编程来调整模型来满足他们的需求。Huynh(2009)提出的PTF个性化信任框架(PTF personaltrust Framework)可以被认为是朝着这个方向的第一个工作。

Conclusion

智能体技术可以使许多具有自主、智能、动态和协作解决问题能力的应用系统受益。针对不同的应用领域,已经开发了许多MAS产品。然而,确保这种基于代理的环境的安全性是非常关键的。为了满足安全需求,许多研究人员为MAS提出了各种类型的安全方法。在本文中,我们对现有的安全问题相关工作进行了回顾和分类。在众多安全问题中,我们更详细地关注了访问控制和信任/声誉问题。尽管做出了许多努力,但仍存在一些问题,随着新技术的发展,新的挑战也不断出现。

附件

A survey of security issue in multi-agent systems

Search

    Table of Contents

    >