（计算机应用技术专业论文）基于信任度的动态合同网安全模型的研究.pdf

摘要 合同网协议是多a g e n t 系统( m a s ) 中解决分布式任务求解的重要协议，得到充 分的利用和广泛的关注。随着研究的深入，合同网协议暴露出很多的不足，研究人 员对其进行了扩展和完善，但是大多针对合作性的系统中问题的协商，没有考虑并 解决自私a g e n t 引发的纠纷，也没有考虑信息的安全性问题。 本文采用面向对象c p n 作为建模工具，结合不可否认协议和信任度的更新策略， 给出一个具有安全性和直观性的模型。管理者在赋予任务时不仅仅是根据标书中任 务执行费用选择承包商，而是结合信任度，计算任务的执行效用，据此做任务赋予 的决策。在通信过程中，引入不可否认协议，由参与双方收集并保留证据。任务完 成后，利用信任度更新策略更新信任度。如果任何一方有异议，可以提交证据给仲 裁者，进行上诉。仲裁者根据双方的证据，给予信任度上的奖惩仲裁。通过信任度 和执行效用分配任务，不可否认协议保证评价的公正性。通过有色p e t r i 网的分析 工具，得出该模型是具有活性和有界的。利用r e p a s t 仿真工具对不同任务数下的模 型仿真，分析得出该模型具有一定的安全性和高效性。 关键词：m a s ；c p n ；信任度；不可否认协议；安全性 硕士学位论文 m a s t e r st h e s i s a b s t r a c t c o n t r a c tn e tp r o t o c o lc a nb ef u l l yu t i l i z e di nam u l t i - a g e n ts y s t e m w i t hi n - d e p t h r e s e a r c h , c o n t r a c tn e tp r o t o c o lh a se x p o s e dm a n ys h o r t c o m i n g s m a n yr e s e a r c h e r sh a v e g i v em a n ym e t h o d st oi m p r o v ei t , b u tm o s tr e m a i ni nt h ec o o p e r a t i v em u l t i - a g e n ts y s t e m ， a n di s n tc o n s i d e r e da n dr e s o l v e dt h ed i s p u t e sb ys e l f i s ha g e n t , a n dm o s tu s e df o r mo f s y m b o l i cl o g i ci sn o te a s yt ou n d e r s t a n da n da p p l y w ep r o p o s e das a f e t ya n dn t u i t i v em o d e lu s i n go b j e c t - o r i e n t e dc o l o r e dp e t r in e t s t o o l s , c o m b i n e d 、析t ht h en o n - r e p u d i a t i o np r o t o c o la n dt r u s tc o n s i d e r a t i o nm a n a g e r s c h o s et h eb i dn o to n l yb a s e do nt h ec o s to fb i d ，b u ta l s oc o m b i n e d 诵mt h ec r e d i b i l i t y a n dt h eu t i l i t yo ft h et a s k s i nt h ec o m m u n i c a t i o np r o c e s s ，埘mt h en o n - r e p u d i a t i o n p r o t o c o l ，c o l l e c t i o na n dp r e s e r v a t i o no fe v i d e n c eb yt h ep a r t i c i p a t i o n s ，u p o a t et h et r u s t b yu p d a t i n gs t r a t e g y , i fa n yp a r t i c i p a t i o nh a sa n yq u e s t i o n , h ec a ns u b m i te v i d e n c et ot h e a r b i t r a t o r , t ol o d g ea na pp i e a l ；a r b i t r a t o ri na c c o r d a n c ew i t ht h ee v i d e n c e0 nb o t hs i d e s ，t o g i v ec o n f i d e n c ei nt h ea r b i t r a t i o no nt h er e w a r d sa n dp u n i s h m e n t s a s s i g n e dt a s k s t h r o u g ht r u s ta n de f f e c t i v e n e s s ，c o n f i d e n c et h ee v a l u a t i o nt a s k 谢lu p d a t et h es t r a t e g y , n o n - r e p u d i a t i o np r o t o c o ls e c u r i t yt h ej u s t i c e t h r o u g ht h ec o l o r e dp e t r in e tt o o l sv e r i f y t h ec o l t e 9 3 t n e s so ft h em o d e l u s i n gr e p a s tt o o lu n d e rd i f f e r e n tc o n d i t i o n ss i m u l a t i o n t h em o d e l ，i tc o n c l u d e dt h a tt h em o d e li ss a f e t ya n d e f l i c i e n c y k e yw o r d s ：m u l t i - a g e n ts y s t e m ；c o l o r e dp e t r in e t ；t r u s t ；n o n - r e p u d i a t i o np r o t o c o l ； s e c u r i t 硕士学位论文 m a s t e r st h e s i s 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作者签名：享j 乒勾父 日期：砩年 月等日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同意华中 师范大学可以用不同方式在不同媒体上发表、传 本人已经认真阅读“c a m s 高校学位论文全文数据库发布章程”，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库 中全文发布，并可按“章程”中的 规定享受相关权益 作者签名：参9 日期：郦年 缈， 觚月 覃卜譬 q_、”年 红田始嘲 者期 作日 硕士学位论文 a s t e r st h e s i s 1 1 研究背景及意义 第一章引言 从8 0 年代开始，作为分布式人工智能的分支一多a g e n t 系统( m u l t i a g e n t s y s t e m ：m a s ) 得到人们的广泛关注和巨大的发展。m _ a s 是通过协作完成某些任务 或达到某些目标而组成的系统，即m a s 主要研究任务和资源分配的策略。 m a s 实用的协作方法有很多，如：黑板模型、结果共享合同网模型等。其中的 最经典的策略是由r a n d a l ld e v i s 和r e i dg s m i t h 提出的合同网协议( c o n t r a c tn e t p r o t o c o l ，c p n ) t 1 1 。 在合同网协议中，管理者接到任务后，在任务分配过程中模拟人类商业活动中 的招标一发标一中标过程。如图1 1 所示。 m lm 2 c l c 2 c 3 赋予 t a s k l o c 了 投标氧投标 b i d l c li b i d 2 - c 2 ooo m lm 2 c lc 2 c 3 t 2髓 m jm 2 i赋予 | t a s k 2 oob c lc 2c 3 t 6 m lm z 确认，气确认 t a s k l i佻也 oo o c lc 2 c 3 t 7 m lm 2 oob c 1c 2c 了 t 4 图1 1 合同网中a g e n t 交互过程 其中m a m l 以广播的形式向承包a g e n t 发布任务标书，a g e n t 根据自身的情况 确定是否接受任务，如果接受，则向m 1 发送投标书，如c 1 ，c 2 。不接受任务，则 不响应，如c 3 。当m 2 以广播的形式向a g e n t 发送标书的时候，c l ，c 2 因为已经向 m 1 投标，则不再接受其它的任务。c 3 根据自己的情况，决定投标。m l 根据标书 选择c l 来执行任务，则向c l 发送中标通知，向c 2 发送落标通知，m 2 根据标书 选择c 3 来执行任务，则向c 3 发送中标通知。在这种情况下，c 2 得到落标通知后， 脚 o c ； n 肼己a ；2 硕士学位论文 h a s t e r s r h e s i $ 可以向其他的管理者投标。c 1 和c 3 执行任务，不再参与投标。如果c 1 ，c 3 在任务 执行中，发现自己能力不足，可将已有任务再细分，与其它a g e n t 协商而成为管理 者，从而发起新一轮任务分配过程。 随着多a g e n t 的深入研究，合同网协议在充分发挥a g e n t 的自主性的同时，保 证通信的安全性是人们研究的重点。如何降低通信的时间，充分调动a g e n t 的积极 性，没有考虑并解决自私a g e n t 环境中，面对纠纷的解决方法。 1 2 国内外研究现状 m a s 协作关键在于任务委托中a g e n t 间的协作机制。作为m a s 任务分配的经典 策略一合同网协议，已经得到众多研究人员的研究和应用。随着研究的深入，经典 的合同网协议暴露出很多的不足，但通过研究人员的分析和探讨，得到相应的改进。 1 标书的发布 在公布标书阶段，经典合同网中以广播的形式发送标书，所有节点都可以参加 投标，使得管理器评估的标书量很大，通信频繁，这需要大量的资源，导致管理器 瓶颈和信息拥塞等问题。文献 2 中科院计算智能信息处理重点实验室提出了一种 结合范例推理技术的合同网协商方法。该方法充分利用过去的求解问题的历史来分 配任务。首先进行范例的检索，如果找到相应的范例，则在范例的指导下进行直接 的任务分配协商。这样就避免了合同网协议中的通信负载过大的问题，简化了m a s 中管理者的决策过程。 2 没有考虑存在自私的a g e n t 系统的安全性 合同网中，设所有的a g e n t 都是积极的，无私的。在收到标书之后，根据自身 的真实情况进行投标，在投标之后，没有接到中标通知之前，不对任何其他的标书 进行投标；不夸大自己的能力，不一标多投，且对签订的合同负责的诚实a g e n t 。 这只是理论上的a g e n t 。在大多数实际应用中，m a s 中的a g e n t 是自私并且是资源有 限的，为了使自己有限的资源获得最大的效益，a g e n t 可能对多个标书进行投标， 对自己做出的承诺否认，出现了自私的a g e n t 。这也是a g e n t 自主性的充分体现。 文献 3 通过引入信任度，管理者赋予任务的决策依据是将每个承包商的信任度和 该任务的效用相结合，将任务赋予给效用相对较高的承包者，同时又兼顾该承包者 完成任务的能力的历史记录。从一定程度上解决自私环境下的m a s 协作问题。文献 5 针对自私a g e n t 系统，引入不可抵赖协议，解决因为否认而引起的纠纷。但是 没有给出基本的模型和惩罚的策略 本文在在充分考虑m a s 信任问题的前提下，对经典合同网进行了改进： 2 1 针对合同网缺乏形式化的描述的问题；结合面向对象c p n ，给出直观的模型， 并利用c p nt o o l s ，分析该模型的活性，有界性，可达性等特性。 2 充分考虑a g e n t 的安全性，引入不可否认协议，给出具有安全性的模型。提 出新的信任度更新算法，引入仲裁奖励和惩罚机制，对自私的a g e n t 给出公正的出 发。运用仿真，得出该模型能够很好的解决a g e n t 系统的纠纷问题，解决信息传输 的安全性问题。 本文引入不可否认协议来保证通信的安全性和证据的公平性，运用仲裁奖惩策 略来对于双方给予信任度方面的奖惩：同时运用面向对象p e t r i 网来建立分析模型， 用仿真工具r e p a s t 对各个模型进行仿真比较，证明模型有一定的安全性和高效性。 1 3 论文内容安排 本文结构： 第一章：首先介绍合同网协议的背景和意义，针对国内外的研究现状，提出本 文的内容。 第二章：在介绍了不可否认协议后采用p 商网的分析方法对合同网建模。在 合同网的基础上，通过引入仲裁惩罚机制和信任度更新策略，实现双方的公平的裁 决。采用p e t r i 网的分析方法对模型的性质进行了分析，验证了模型具有有界性、 安全性、可达性和活性等特性。 第三章：使用仿真工具，对模型进行仿真，分析结果得出该模型具有一定的安 全性和高效性。 第四章：总结本文所做的主要工作，并对进一步深入研究工作进行了展望。 硕士学位论文 m a s t e r st h e s i s 第二章基于信任度的不可否认协议的安全模型 在经典合同网协议中，考虑的a g e n t 都是诚实的，可是在实际应用中，a g e n t 的 时间和资源等都是有限的，且a g e n t 是独立自治的实体，具有主动性，为了使有限 的资源获取最大的效益，肯定会存在着自私的a g e n t ，存在着抵赖行为，引发纠纷。 自私a g e n t 间的协商过程如图2 1 所示。 m 1 m 2 m i m 2m 1 m 2 慧赫b 赫i d l - c 酶一k 2aaa 。c 1 c 。2 c 。3 c i c 2c 3 t 1 t 2 t 3 m lm z 投，秋 耻d 谮占b c l c 2c 3 t 4 黔芒y s k i 三孑0t 确a s k l l 筹t 2 认s k 2 4 硕士学位论文 m a s t e r st h e s i $ 2 1 不可否认协议 设m a s 系统中，有交互a g e n ta 和交互a g e n tb ，a 向b 发送某一消m ，则a 就 为发送方，b 就为接收方。发送方a 是自私的a g e n t ，考虑到利益等原因，可能会对 曾经向b 发送过消息m 的这一行为否认，即消息来源否认( n r 0 ) ，从而引胤与b 的 纠纷。而接收方b 收到a 发送来的消息m 后，由于自身资源的限制，b 也有可能不回 复消息或否认自己曾收到过该消息，造成任务协商失败，引起争议，即消息响应否 认( n r r ) 。 而且在多a g e n t 的信息通信过程中，除了对发送和接收消息的否认外，还可能 存在消息的伪造，消息的篡改等。如标书信息，合同信息等，这些信息不能被非法 的伪造或篡改的。 为了保证传输数据的安全，本文中采用信息加密解密技术和数字签名技术，来 对信息的来源进行签名。对管理者和承包商的重要消息都进行加密和解密、签名和 验证签名，并收集证据。在交互结束后，每个a g e n t 都获得与其交互的对方的不可 否认证据。如果任何有纠纷，则有异议的一方就将收集到的证据交由仲裁a g e n t 上 诉，让仲裁者给出公正的裁决( 假设仲裁a g e n t 是可信第三方t t p ) 。 从上面的叙述中可见，解决冲突的关键在于信息通信中不可否认证据的收集。 不可否认证据可以分为发送方不可否认证据和接收方不可否认证据和可信第三方 t t p 接收和转发密钥的证据。证据的真实性又是建立在信息的真实性，安全性上的。 则交互过程中，利用数字签名的不可否认性和不可伪造性，对消息签名和验证，利 用公钥密钥体制来加密数据，不可否认协议来收集证据，保证模型的安全性。 2 1 1 数字签名 数字签名采用公钥体制，即利用一对互相匹配的公钥和私钥进行加密、解密。 每个参与协作的用户都在认证中心c a ( c e r t i f i c a t e a u t h o r i t y ) 处进行身份的认证，并 生成一对用于交互的私钥和公钥。其中私钥用于加密和签名，由自己保管；同时将 公钥公开，为一组用户所共享，用于解密和验证签名。当a 发送一份保密文件时， 发送方使用m d 5 算法，将文件单项散列函数得出该文件的摘要，然后用自己的私 钥对文件进行加密；然后将报文和加密过的摘要发送给接收方b 。b 收到信息后， 用a 公布的公钥对加密的摘要解密，得出摘要d ，同时将收到的报文用单向散列函 数m d 5 求解得出摘要d ，将两个摘要对比，就可以得出此报文有没有被篡改。这 5 样数字签名的基本过程如图2 2 所示。 发强力对 撒立签名 援蹙矗憧 域蕃箱 镶7 厨 的搬文 1 0 111000016=lll it 1 0 0 0 0 1o od 假设发送方a 向接收男各复鬈鬻m 的e 过s s 程a g e ，且网络不可能永远不可用，超时则假设发送方a 向接收方b 发送信息 ，且网络不可能永远不可用，超时则 重发。数字签名的a g e n t 交互模型如图2 3 所示。 d e c l a r a t i o n s c o l o rr u e s = w i t hm l w r o n g ； c o l o rk e y = w i t hk a k b ； c o l o rc - - w i t hc ： c o l o rs i g n - - w i t hs ： c o l o ra b s = w i t ha l a ll a 2 ； c o l o rs a k a - - p r o d u c ta b s k e y ； v a rx v ：a b s ： 图2 3 数字签名的a g e n t 交互模型 从图中可以看出，采用数字签名，能够确认以下两点： 6 1 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认：因为用 于给摘要加密的私钥只有自己拥有，用私钥对应的公钥能够解密出摘要，则就能确 定发送者的身份。 2 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。 因为m d 5 算法是不可逆的，如果有改动，则重新生成的摘要和解密出来的摘要就会 不同，从而可以鉴别文件的真实性。 2 1 2 个公平的不可否认协议 运用r s a 算法和数字签名技术，来保i 正a g e n t 间通信数据的安全性。在m a s 中， 正确无争议的证据的收集解决纠纷的关键，本文通过不可否认协议来收集证据，解 决纠纷。在以下假设下给出m a s 中基于不可否认协议的交互过程： 假设交互时，交互的双方已经获得对方的公开密钥。设发送者为a ，接收者为 b ，可信任的第三方为1 叩，认证中心为c a ( c e r t i f i c a t ea u t h o r i t y ) ( c a 和”曙不在本 文讨论的范围内) 。通过不可否认协议来收集通信过程中的证据，当通信双方发生争 议时，任何一方均可向仲裁者上诉并提交证据，仲裁a g e n t ( j u d g e a g e n t ，简称j i m ) 要求应诉方提交证据，并根据双方提供的证据对纠纷做出公正的裁决。 a 是会话的发起者 b 是会话的接收者 - 1 是可信的第三方 - m 是传递的消息 k 是a 向认证中心为本次会话申请的密钥 c 是用密钥l 以于信息m 加密得到的密文 l 是一个标识会议a 和b 之间唯一的标签 f 是散列函数 s k x 是指x 的数字签名 - n r o 为来源不可否认的证据 - n r r 为接收不可否认的证据 - s u b _ _ k 为对密钥进行的签名 - c o n _ k 为t t p 签名的证据 1 ) a 专b ：f nr o ，b ，l b ，c ，i f nr o ，b ，l b ，c 吣a 步骤l 百雨厂一 7 硕士学位论文 m a s t e r st h e s i $ 2 ) b - a ：f n r r 从坐n r r a ，l s 坠 步骤2 3 ) a 寸m f s u b ，b l ，唑s ，b 叫 s k a 步骤3 s t m k 4 ) b t ：f c o n ，八b ，l ，k ， i f c o n ，a ，b ，l ，k s k t t p 步骤4 c o nk 5 ) a + - t ：f c o n ，a ，b l k ， i f c o n ，丸b ，l ，k ) s k 订p步骤5 c o n k 现对上述过程描述如下： 1 式表示a 得到本次会话的密钥k ，并随机生成为本次会话的唯一标识l ，然后 a 用密钥k 对信息m 加密形成密文c ，并将n r o 的散列函数f n r o ，l ，c 和用a 的私钥签 名了的址m 的，b ，l ，c l 。k 发送给b 。b 能够获得a 的发送消息来源不可否认证据 n r o 。 2 b 收到a 发送过来的信息后，采用a 的公钥p k a 解密，得到c ，n r o 和s a l ，当b 确 信a 的签名有效后，就向a 发送接收响应不可否认的证据n r r 。 3 a 接至t j n r r 后，将本次会话的对称密钥k ，用t r p 的公钥对其l 进行加密，并对 l 和k 采用a 的私钥进行签名s k a ，将f s u b b , l , k , “s 暇b l ，k 【 。y 。传送给1 v r p ( 可信第 三方) ，这样，丌p 就获得了 提交密钥的不可否认证据s u b k 。 4 。b 从t t p 处请求获得密钥k ，则j r t p 就取得b 获取密钥的不可否认的证据c o n _ k , 并将证据c o n _ k 发送给a 。b 用密钥k 将密文c 成功解密出信息m 。b 获得a 发送消息不可 否认的证据n r o 和发送钥匙的不可否认的证据s u b _ k ；a 获得b 接收k 的不可否认证据 c o nk 和b 接收消息的不可否认证据n r r 。 通信结束后，交互的双方都持有对方的足够的不可否认证据，如果因为某一方 的异议而发生纠纷，交互的双方可以将自己收集的证据提交给仲裁a g e n t ，仲裁 a g e n t 根据双方的证据给出公平的裁决。 通信结束之后每一个a g e n t 就拥有了充分的对方不可否认证据，一旦发生纠 纷，由于通信双方均持有充分的对方不可否认的证据，故可寻求仲裁a g e n t 进行公 平的裁决 3 硕士学位论文 m a s t e r st h e s i s 2 2 动态合同网的安全协商模型 动态合同网安全模型是在传统合同网的模型基础上，引入加密解密技术和不可 否认协议，对传输的信息进行加密和签名，如果传输的信息被篡改，则将重新发送 信息，开始新的协作。 动态合同网协议的安全协商过程如下： 1 系统每次动态生成m a 或承包a g e n t 时，都需要在1 曙上进行身份认证， 注册其名字，物理位置，资源，当前状态，能力，等信息。在a g e n t 离开系统时， 要向1 1 p 发送取消注册等信息。1 f 1 曙为每一个注册的a g e n t 分配一个标识符，并记 录a g e n t 的最新信息。a g e n t 向r r p 请求，注册中心检查其身份的合法性，然后根 据r s a 算法计算公钥和私钥，把公钥公布在m a s 中，私钥通过安全的方式传输给 该a g e n t 。 2 当m a 有任务不能独自完成而需要其他a g e n t 协助时，m a 根据知识库将 任务分解制定成标书。 3 m a 根据各承包商a g e n t 的信任度，选中信任度大的承包商a g e n ta i ，按步骤 l 的形式将信息加密，签名并发送标书；如果信任度都相同或都为0 ，则以广播的 形式向所有的a g e n t 发送加密和签名过的标书等信息。 4 承包商a i 按步骤2 的方式接收消息，解密并验证信息的正确性，得到n r o 证据和c o n k ，根据知识库，当前的任务集决定是否投标。若投标，则制作投标书 b i d ，并对b i d 按步骤1 加密签名发送给m a ，将密文发给m 进行投标；否则，不做 任何的回应。 5 若m 在规定的时间内没有收到应答信息，就认为其没有能力完成此任务， 视为放弃处理，则降低其信任度，并重新选择新的承包商：若在规定时问内收到投 标书b i d ，m 解密并判断其合法性，得到n r r 和e o n k ；对合法的投标，根据所有投 标者a g e n t 的投标情况和任务情况选出最好的标书或者挑选出能够完成此任务 a g e n t 联盟来完成此任务，并加密中标通知，返回给任务a g e n t 。 6 承包a g e n t 收到密文后，验证信息。如果验证通过，说明传输是安全的， 消息是没有经过篡改的。如果发现验证没有通过，则要求重发消息。任务a g e n t 接 到中标通知后，a i 收到中标通知后，想放弃任务或想对中标书中的信息反悔，也就 是想放弃自己的承诺，这种行为是自私的，不诚实的行为，则双方通过收集的证据 提交给仲裁者”m ，得到公正的裁决和相应的奖励和惩罚；不反悔，就开始执行任 务，并返回执行结果。 9 硕士学位论文 m a s t e r st h e s i s 7 m a 根据承包商a g e n t 的执行任务情况修改其信任度，同时修改本身的任务 库和知识库的相应内容。 8 本次协商完成。 9 如果任何一方有异议，则在规定的时间内) 可以将收集到的证据提交给 1 m 进行裁决。r r p 要求双方提交证据，并给予胜诉方相应的奖励，败诉方一定的 惩罚。如果时间t t ，则证据已经过期，自动的丢弃证据，腾出空间来处理别的任 务。 根据上述的协商过程，给出相应的流程图如2 4 所示。 图2 4 协商对应的流程图 通过上面的分析，可以看出，在协商过程中，m a 充分考虑以前的历史信息， 运用信任度的高低来选择承包商，发送标书；在选择中标者中，结合投标书中的费 用，时间等信息和信任度来选择合适的承包商来执行任务，最后根据提交的结果来 给出在本次交易中，删承包商的评价。在协商过程中，因为有可能存在着自私 1 0 硕士擘位论文 m a s t e r st h e s i s 的a g e n t ，那么运用不可否认协议收集证据是非常重要的，只有双方能够公平的得 到每次交互过程中的证据，才能保证纠纷的顺利解决，才能对自私的a g e n t 的不诚 实行为给出合理的仲裁。上面是基于描述的协商过程，下面给出基于c p n 的直观的 模型。通过属性的归类总结，对不同的资源标以不同的颜色，来简化模型。对p e t r i 网建模中用到的部分颜色集，如表2 1 所示。 表2 - 1 图中的部分颜色集 属性颜色集 会话的标识lc o l o rl - - w i t he li1 1 ： 传输的信息( 错误的，标书， c o l o rm - - w i t he m i a n l i b m i z mj r m ： 投标，中标，结果) m c o l o rf = w i t hf n r olf n r rif s u blf c o n ； 散列函数f c o l o rc = r e c o r dm ：m * k ：k ： 环境信息e ( 知识库，任务库， c o l o re - - w h i ta k i t s l t t ； 信任度) c o l o rg - - w i t ha i b iii j ： a g e n tg 为选择合适的承包 c o l o rs k = w i t hs k l p k i k ： 商 c o l o rt ：i n t 一 c o l o ra l l = b o o l ： 来源不可否认的证据n r o c o l o rn r o = r e c o r d f o ：f * b ：g 车l ：l * c ：c * s k ：s k * t ：t ： 响应不可否认的证据n r r c o l o rn r r = r e c o r d f r ：f ，隐：g * i ：l * c ：c * s k ：s k * t ：t t 对密钥的签名s u b c o l o rs u b = r e c o r d f s ：f * b ：g 木l ：l , k ：k * s k ：s k * t ：t ： t t p 签发的证据c o n c o l o r c o n = r e c o r d f c ：f 耗：g 半b ：g l ：l 木k ：k 木s k ：s k 木t ：t ： 对证据的保存e v d a ，e v d b ， c o l o re v d a - - r e c o r d n r o ：n r o * n r r * c o n ：c o n * a ll ：a l l ： c o l o re v d b = r e c o r d n r o ：n r o * c o n ：c o n * a ll ：a l l ： 密文形成函数e n c f u ne n c ( m ：m ，k ：k ) ：c 密文解密函数d e c f u nd e c ( c ：c ，k ：k ) ：m 签名验证函数v e r i s i g f u nv e r i s i g ( s k ：s k ，p k ：p k ) 执行信息函数d 0 f u nd o ( m ：m ) ：m i e 。 选择承包者函数c h o s e f u nc h o s e ( g ：g ) ：i d 硕士学位论文 m a s t e r st h e s i $ 通过对模型中用到的属性进行颜色集的定义，可以看出此过程中用c p n 建模是 一个繁杂的过程，通过网的折叠和运用面向对象的方法，来分析和简化模型，本文 将模型中的a g e n t 分成3 类，如：m a 的封装模型，承包商a g e n t 的封装模型，仲裁 a g e n t 的封装模型和整体模型。图2 5 给出了姒的面向对象的封装模型。 图2 5m a n a g e ra g e n t 的面向对象的封装模型 m a 首先选定承包商b ( o h s ) ，然后将标书信息加密( e n c ) 成c ，并对密文c ， 标识1 ，n r o 和f n r o 进行签名发送给承包商b ；然后将密钥用t t p 的公钥加密，将 加密后的信息和对于信息的签名s u b 发送给1 v r p ；经过接口收到的信息，经l i a 解密 验证，得到响应不可否认的信息n r r 和回应的信息m 以及b 从1 v r p 那获取密钥的证 据c o n k ，通过d o 对信息处理；如果回应信息为r i b ，则标明b 不执行任务或此信息 已经是最后的执行结果，则m 根据此修改对b 的信任度；回应信息为b m ，则标明这 是中间的投标书，根据标书中承诺的费用时间等效用来选择承包商是否中标，并发 送中标信息( e n e ) 或落选通知：通信结束或在时间t 内没有回应，则结束本次协 商，并根据结果给出对承包商基于信任度上的评价。如果有异议，则将收集到的证 据n r r 和c o n k 交给t t p 裁决( v c o n ) ，形成e v d a ，提交给t t p 进行裁决。 1 2 硕士学位论文 m a s t e r st h e s i s 图2 6 给出了b i da g e n t 的面向对象的封装模型。 图2 6b i da g e n t 的面向对象的封装模型 b 接收到密文后，解密并验证信息( v o c r ) ，得出n r o 并保存。验证通过，则生 成n r r ，通过d 0 函数生成回复信息，加密并发送给m a 作为响应的凭证。并向t t p 取密钥来获取接密文c ，提交取得密钥的证据c o n k 和本密钥是由m a 提交的证据s u b 。 如果有纠纷，则将收集到的证据n r o 和s u b 通过函数v c o n 验证，形成e v d b ，提交 给1 t p 进行裁决。图2 7 给出了1 呼的面向对象的封装模型。 图2 7t t p 的面向对象的封装模型 t t p 参与钥匙的接收和转发，则有发送方发送钥匙的证据s u b 和转发钥匙的证 硕士学位论文 m a s t e r st h e s i s 据c o n ：如果任何一方有异议，都可以通过双方提交的证据，由t t p 给出公正的裁 决。 通过上面的模型介绍，如图2 8 给出基于不可否认协议的安全合同网模型的简 图。 图2 8 基于不可否认协议的安全合同网模型简图 首先根据m 的任务集t a s k ，知识集a l 【和信任度t r 选择承包商b ，将信息加密 签名发送给b ，b 接收信息后，验证签名并解密出信息，根据自身的t a s k ，a k ，t r 选择执行的操作，如果选择投标，则制定标书，并将标书加密签名发送给m ；m 根 据投标书的效用值和信任度来选择相应的中标者，并向中标者发送中标信息；接到 中标信息后，根据自身的资源来选择执行的操作，并将结果发送给m ，同时更新资 源库；m 根据执行的结果更新资源库。如果在各个阶段，有任何异议，可以将收集 到的证据发送给t ，r p ，立案，则t t p 根据双方提供的证据，给出最后的仲裁。 2 3 有色p e t r i 网 c p n ( c o l o r e dp e t r in e t s ，简称c p n ) 是对基网的折叠和简化，通过定义颜色集 使p e t r i 网模型简单清晰。其中，托肯( t o k e n ) 颜色的定义叫颜色集声明。通过 对托肯着色来对模型中的不同资源加以区分，使其表现出不同的性质。如不同身份 的人员、不同类型对象等；对库所的着色实际上是赋予库所一个颜色集，该颜色集 指出库所中托肯能取的颜色。这样，一个库所中就可以包含几种对象，或者表达一 1 4 硕士学位论文 m a s t e r st h e s l s 个复合条件，一个变迁也可以表达几种不同的变化，而声明中定义的函数则可以用 来反映出对不同色的托肯进行不同的业务流程处理。对于较为复杂的系统，将 p e t r i 网中相似性质的元素分类，同类的元素标上同一种颜色，不同类的则用不同 颜色区分，每一种颜色用一种标识符号来表示，将某种属性赋予标记，这就成为有色 p e t r i 网。它的定义及相关性质简述如下： 一个有色p c t r i 网定义为一个七元组c p t f ；c ，i ，i + ，m o ) ，其中： ( 1 ) p u t ，p n t = 巾；p - = p l ，p 2 ，p l n 是库所的有限集合，t = t l ，t 2 ，t l l 是变 迁的有限集合： ( 2 ) f c - ( p x t ) u ( t x p ) 是有向弧的集合，它建立变迁的每种颜色与库所的颜 色之间的对应关系： ( 3 ) c 称为定义在p o t 上的颜色集，对p e p , c 是库所p 上所有可能的托 肯色之集合，对t t c ( t ) 是变迁t 上所有经过变迁可能的出现的颜色集； ( 4 ) i 和i + 分别称为p x t 的输入函数和输出函数，若变迁句的引发颜色为o k , 则函数值i 一( p i ，t j c k ) 和i 邯i ，0 c k ) 分别由从p i 到日和由从1 | j 到p i 的弧线表 示； ( 5 ) m o 称为初始标识，对p p ，m o ( p ) 是库所p 的托肯色集合上的多重集。 有色p e t r i 网的性质包括：可达性( r e a c h a b i l i t y ) 、可覆盖性( c o v e r a b i l i t y ) 、 有界性( b o u n d e d n e s s ) 、安全性( s e c u r i t y ) 、活性( 1i v e n e s s ) 、公平性( f a i r n e s s ) 等。 1 可达性 设x c p n = ( p ，t ，f ：c ，i 一，i + ，m 0 ) 为一个有色p e t r i 网，如果存在t t ，c e c ，变迁t 对颜色c 引发( 记为t c ) ，使标识从m 变到m 则称m 为从m 直接可 达的，记作m t c m 。如果存在使能变迁序列tl c h l ，t 2 c h 2 ，t 3 c h 3 ， t k c h k 和标识序列m l ，m 2 ，m 3 ，m k ，使得me t l c h l m 1 t 2 c h 2 脉一l t k c h k m k ，则称m k 为从m 可达的。如果记变迁序列t l c h l ，t 2 c h 2 ，t 3 c h 3 ， 口， t k c h k 为o a ，则上式可记为m 万 i k 。舢可达的一切标识的集合为可达集r ( m ) 。 若m 为的初始标识m 0 ，则从们可达的一切标识的集合 m o 称为可达标识集r ( m 0 ) 此定义表明，一个有色p e t r i 网的可达标识集r ( m 0 ) ，既取决于c p n 的结构特征和颜 色集，与c p n 的初始标识也有很大的关系。对于给定的一个p e t r i 网及初始状态标 识m 0 ，随意给定一个托肯标识m l ，当且仅当满足m 1 r ( m o ) 时，我们称由初始托肯 舯至w j m l 是可达的。 1 5 硕士学位论文 m a s t e r st h e s i s 2 有界性和安全性 设z c p n = ( p ，t ，f ：c ，i 一，i + 。m 0 ) 为个有色p e t r i 网。p e p 。若存在正整 数b ，使得v m r ( m 0 ) ：w ( p ) b ，则称库所s 为有界的，并称满足此条件的最小正 整数b 为库所p 的界，记为b ( p ) 。当b ( s ) = l 时，库所s 为安全的。如果每个s s 都是有界的，则称为有界有色p e t r i 网。当b ( ) = 1 时，称为安全的。 3 活性 设= c 聊扣口，t f ；c ，i ，i + ，m 0 ) 为一个有色p e t r i 网，m o 为初始标识，使能变 迁讹e t c 。如果对任意m e r ( m o ) ，都存在m e r ( m ) ，使得m c ，则称使能 变迁讹为活的，如果每个使能序列讹t c 都是活的，则称为活的有色p c u i 网。 活性表明系统能正常循环的运行，它是p e t r i 网的一个非常重要的性质，我 们所建立的每个有色p e t r i 网模型必须满足这个条件。如果设计的不合理就会出现 死锁等影响系统活性的现象，从而影响以后对系统的分析和优化，因此我们要保证 系统设计过程中利用一切手段避免此类现象的出现以保证系统的活性。 2 4 信任度的计算 引入信任度可以充分利用过去有用的知识，减少通信量，适应a g e n t 能力及环 境的动态变化。对信任度的计算是根据承包者执行任务的情况计算的，通常信任度 更新是当承包者成功完成任务后，通过奖励和惩罚因子来更新信任度，即增加或减 少一个特定的值。其中，惩罚因子 奖励。这种方式虽然能够很方便的计算信任 度，大大将少通信量，但计算公式属于一维的，主观性太强，如果管理者仅凭一次 执行情况就剥夺了该a g e n t 执行该类任务的机会，就有失公正性，没能把人的主观 感情和历史经验很好的结合起来。在本文中，在不考虑相互推荐信任值的情况下， 借鉴p 2 p 信任模型中信任度的计算方式，得出相应承包商的信任度计算公式。 1 ) 任务执行成功率p 为a g e n ti 在一定时间t 内进行交互成功次数s 和总体交互 次数i 的比值p = s 。i 。 2 ) 设在a g e n ti 在邻接的时间t 0 内，最近成功交互后的累计交互不成功次数 为f i ，且设惩罚比值为u ( 0 u 1 ) ，则a g e n ti 的信任度： c i _ p i若任务完成 p t * u n若任务失败 1 6 硕士学位论文 m a s t e r st h e s i s 充分结合历史信息和a g e n t 的行为特点，设置惩罚值u ：p i ，代入公