汪 楠，夏冬梅

（1.安慶職業(yè)技術(shù)學院，電子信息系，安徽，安慶246003；2.上海電機學院，電子信息系，上海，200240）

1 引言

隨著互聯(lián)網(wǎng)的普及和寬帶通信技術(shù)的發(fā)展，各種新興的基于互聯(lián)網(wǎng)的應用服務大量涌現(xiàn)，諸如信息網(wǎng)站、電子商務、P2P文件共享、網(wǎng)絡娛樂、網(wǎng)絡購物、網(wǎng)絡咨詢等，它們?yōu)榇蠹覍W習、生活和工作帶來了極大的方便，并還在吸引大量陌生網(wǎng)絡用戶參與其中。然而，在這些新興的應用環(huán)境下，用戶互為陌生、資源數(shù)目巨大、運行環(huán)境異構(gòu)、活動目標各異、各主體往往隸屬于不同機構(gòu)，網(wǎng)絡實體間交互存在一定風險，欺騙時常發(fā)生，利益遭受損失。因此，如何為相互陌生的用戶提供網(wǎng)絡信任保障成為一個嚴重的問題，如何在開放網(wǎng)絡環(huán)境下的陌生實體之間建立信任關(guān)系成為一個緊迫的問題。

為解決分布式環(huán)境中陌生方如何建立信任關(guān)系的問題，AT＆T實驗室的Blaze等人于1996年提出了信任管理（TM）的概念［1］。之后，N.H.Li等人提出了一種基于角色的信任管理框架RT，代表了信任管理的最新研究水平［2］。信任管理要求資源請求方單方面暴露所持證書，在某些情況下會導致資源請求方的隱私泄露問題。針對這個問題，Winsborough等人在2000年提出了自動信任協(xié)商的概念［3］。自動信任協(xié)商（ATN）是一種“通過信任憑證、訪問控制策略的交互披露，資源的請求方和提供方自動建立信任關(guān)系”的訪問控制方法。這個概念的提出，在相關(guān)的計算機安全領域激起了極大的研究熱情，目前已取得了豐碩的研究成果［4］。但是有關(guān)自動信任協(xié)商的研究在將理論成果轉(zhuǎn)化為應用系統(tǒng)、平衡效率和成功率等諸多方面［5］尚存不足，自動信任協(xié)商仍有很大研究空間。

自動信任協(xié)商中的關(guān)鍵技術(shù)包括：證書鏈及信任鏈的構(gòu)造、訪問控制策略描述語言、一致性校驗算法與信任管理引擎和自動信任協(xié)商策略等。其中，自動信任協(xié)商策略的選擇，決定了協(xié)商雙方將采用什么方式來釋放證書和訪問控制策略信息，對敏感信息、個人隱私保護具有極大的影響。Winsborough在文獻［3］中提出了兩種基本的自動信任協(xié)商策略，即熱心戰(zhàn)略（eager strategy）和吝嗇戰(zhàn)略（parsimonious strategy）［6－8］，為以后的研究奠定了基礎。通過對比分析我們發(fā)現(xiàn)，自動信任協(xié)商過程中存在博弈現(xiàn)象，據(jù)此給出協(xié)商博弈的相關(guān)概念，進一步分析協(xié)商過程的博弈結(jié)構(gòu)模型，并給出協(xié)商博弈的實際應用。

2 基本術(shù)語和定義

自動信任協(xié)商的行為是一種動態(tài)現(xiàn)象，其狀態(tài)隨著時間的推移和信任協(xié)商行為的執(zhí)行不斷改變。擴展博弈是指參與人的行動有先后順序的博弈。自動信任協(xié)商與擴展博弈存在很多共同的特征，本節(jié)主要介紹自動信任協(xié)商和擴展博弈的一些基本術(shù)語和定義。

2.1 自動信任協(xié)商過程

自動信任協(xié)商主要研究跨安全域的信任建立問題。它與傳統(tǒng)訪問控制的主要區(qū)別在于協(xié)商雙方是否事先知道對方身份、擁有的權(quán)限和訪問控制策略。在自動信任協(xié)商里，通過逐漸暴露信任憑證，資源的請求方和提供方最終建立信任關(guān)系。Winsborough等人在文獻中將自動信任協(xié)商過程抽象為構(gòu)造一條信任憑證披露序列。

定義1 自動信任協(xié)商。設請求方信任證集為ClientCreds，提供方信任證集為ServerCreds，對于每份信任證C的保護，記作govclient（c）或govserver（c），協(xié)商的信任證披露序列定義為

其中n∈N，C2i?ClientCreds，C2i＋1?ServerCreds。

圖1 自動信任協(xié)商過程

定義2 （屬性證書）：屬性證書（又稱信任證書），是由權(quán)威機構(gòu)（或稱信任證書頒發(fā)機構(gòu)）簽名的數(shù)字斷言，且具有可存儲性和可驗證性。

定義3 （訪問控制策略）：訪問控制策略規(guī)定了訪問受保護資源和服務所需提供的屬性證書集。

2.2 在線信任博弈

博弈論（Game Theory），有時也稱為對策論，是應用數(shù)學的一個分支，主要研究公式化了的激勵結(jié)構(gòu)間的相互作用。在互聯(lián)網(wǎng)環(huán)境下，陌生實體間信任協(xié)商的過程遵循博弈的基本原則，下面給出信任協(xié)商中博弈的相關(guān)概念。

定義4 （信任博弈）：在基于互聯(lián)網(wǎng)的網(wǎng)絡活動中，存在一些實體，依靠所掌握的信息，在某上下文環(huán)境下，同時或先后，一次或多次，從各自可能的行為或策略集合中進行選擇并實施，為各自從中取得其他實體的信任并獲取最大利益的過程，稱為信任博弈（Trust Game）。

信任博弈形式化模型包含的基本要素包括參與人（者）、行動、信息、策略、支付、結(jié)果和均衡，其中，參與人、策略和效用是描述一個信任博弈所需要的核心要素。下面給出信任博弈的基本要素。

定義5 （信任博弈者）：在網(wǎng)絡活動下的信任博弈中，每一個信任博弈決策主體，稱為信任博弈者（Trust Game Player，TGP）。

在開放網(wǎng)絡環(huán)境下，假設存在N個實體，如果這N個實體兩兩之間都存在信任博弈，則每個實體都可稱為信任博弈者。由N個信任博弈者組成的集合可記作：TGP＝｛Pi｜1≤i≤N｝，其中，Pi表示第i個信任博弈者。

定義6 （信任博弈行動）：在網(wǎng)絡活動下的信任博弈中，信任博弈者在某個時刻的決策變量，稱為信任博弈行動（Trust Game Act，TGA）。

在一個N人參與的信任博弈中，所有信任博弈者的信任博弈行動組成的集合可記作：TGA＝｛Acti｜1≤i≤N｝，其中Acti＝｛aij｜1≤j≤Mi｝表示Pi的信任博弈行動集，aij表示Pi第j種信任博弈行為，Mi表示Pi的信任博弈行動總數(shù)。

定義7 （信任博弈信息）：在網(wǎng)絡活動下的信任博弈中，有關(guān)信任博弈者特征或行動的知識，稱為信任博弈信息（Trust Game Information，TGI）。

在信任博弈中，信任博弈信息可以指有關(guān)信任博弈者特征的知識，比如聲譽數(shù)據(jù)。信任博弈信息也可以指有關(guān)信任博弈者行動的知識，比如與當前信任博弈行動關(guān)聯(lián)的安全策略和證書。在一個N人參與的信任博弈中，所有信任博弈者的信任博弈信息組成的集合可記作：TGI＝｛Infi｜1≤i≤N｝，其中Infi表示Pi的信任博弈信息集。

定義8 （信任博弈策略）：在網(wǎng)絡活動下的信任博弈中，信任博弈者在擁有既定信任博弈信息情況下的行動規(guī)則，即規(guī)定在什么時候選擇什么行動，這些行動規(guī)則稱為信任博弈策略（Trust Game Strategy，TGS）。

一個信任博弈者的所有可選擇的信任博弈策略的集合就是這個信任博弈者的信任博弈策略空間（Trust Game Strategy Space，TGSS）。如果每個信任博弈者選擇一個信任博弈策略，就構(gòu)成一個信任博弈策略組合（Trust Game Strategy Profile，TGSP）。在一個N人參與的信任博弈中，所有信任博弈者的信任博弈策略組成的集合可記作：TGS＝｛Si｜1≤i≤N｝，其中，Si＝｛si｜1≤i≤Ki｝表示Pi的信任博弈策略空間，Ki表示Pi的信任博弈策略數(shù)。

定義9 （信任博弈效用）：在網(wǎng)絡活動下的信任博弈中，一個特定信任博弈策略組合下，信任博弈者得到的確定效用水平，或者是指信任博弈者得到的期望效用水平，稱為信任博弈效用（Trust Game Utility，TGU）。

效用是信任博弈者真正關(guān)心的東西。在一個信任博弈策略組合下，所有信任博弈者的效用就構(gòu)成了一個效用組合。效用既可以指各信任博弈者在信任關(guān)系建立過程中獲取的信任與犧牲的隱私之差，也可以指各信任博弈者在信任關(guān)系建立后開展的交易給各方帶來的經(jīng)濟效益或經(jīng)濟損失。在一個N人參與的信任博弈中，所有信任博弈者的信任博弈效用組成的集合可記作：TGU＝｛Ui｜1≤i≤N｝，其中Ui表示Pi的信任博弈效用函數(shù)。

定義10 （信任博弈均衡）：在開放網(wǎng)絡環(huán)境中，假設存在信任博弈TG＝＜TGP，TGS，TGU＞，其中TGP＝｛Pi｜1≤i≤N｝，TGS＝｛Si｜1≤i≤N｝，TGU＝｛Ui｜1≤i≤N｝，則稱信任博弈策略組合s＊＝（s＊i，s＊－i），s＊i∈Si，s＊－i∈TGS＼Si為信任博弈均衡（Trust Game Equilibrium，TGE），如果任一信任博弈者Pi，1≤i≤N，s＊i是在s－i＝s＊－i條件下信任博弈者Pi的最優(yōu)選擇，即對于任何si∈Si成立存在如下表達式：

在信任博弈中，理性的信任博弈者Pi應選擇均衡中的策略s＊i。因為假設信任博弈者Pi能夠預期對手選擇s＊－i，若對手不選擇s＊－i而自己選擇s＊i，對手的信任博弈效用可能下降；若自己不選擇s＊i而對手選擇s＊－i，可能使自己的信任博弈效用下降。因而，每個信任博弈者Pi都沒有偏離均衡策略s＊i的積極性，因此信任博弈理論用均衡來預測博弈的結(jié)局。

2.3 自動信任協(xié)商模型

考慮如下的情況：

資源請求方Client希望使用資源提供方Server提供的資源R，于是向Server發(fā)出了請求Req（R）。Client和Server持有的信任憑證集分別為CC和CS。Client的每個信任憑證對Client的隱私值為σC（），相應的，Server的每個信任憑證對Server的隱私值為σS（）。Client和Server采取的訪問控制策略集分別為ΦC和ΦS，每個訪問控制策略φi（φi∈φC）或φi∈φS），具有如下形式：

其中，Obj表示φi保護的對象（可以是資源R，也可以是信任憑證）；CX表示CC或CS的某個子集，若φi∈φC，則CX?X……S，若φi∈φS，則CX?CC；fi表示對CX做與或交的邏輯操作。整個式子表示對Obj的請求訪問者，必須按fi（CX）的要求出示證書。

φi可以簡記為 Objfi（CX）。

自動信任協(xié)商過程可以表示為一棵以所請求的資源R為根節(jié)點的信任證披露樹。從R到某個葉子節(jié)點L的路徑表示一個可能的協(xié)商過程。若L是一個無訪問控制策略保護的公開信任證，則該協(xié)商過程是成功的。若L是一個無法訪問的信任證，則該協(xié)商過程是失敗的。

3 博弈在自動信任協(xié)商中的應用

自動信任協(xié)商中的資源解鎖過程實質(zhì)是一個博弈過程。

為此，本章將借助傳統(tǒng)博弈理論，利用博弈納什均衡理論，解決自動信任協(xié)商中的信任關(guān)系建立問題，然而，實體間信任關(guān)系建立的博弈過程繁瑣復雜，為了清晰地給出基于博弈的信任關(guān)系建立理論和方法，在此進行理想化界定，對實體間信任關(guān)系建立過程做出如下假定：

①協(xié)商雙方都是完全理性的；

②協(xié)商雙方都追求自身效用的最大化，效用是指獲取對方信任與自身隱私損失的差值；

③協(xié)商雙方具有相同的談判技巧，雙方可以通過協(xié)商得知對方的訪問控制策略；

④協(xié)商雙方都有誠意通過披露與交換屬性證書達成一致，即在披露與交換屬性證書的過程中不存在欺騙行為；

⑤協(xié)商雙方建立信任關(guān)系的過程，是博弈過程。

3.1 效用和收益的計算

本文中提出的效用，類似于生活中商品的使用價值（或稱價格）。比如：假設A想購買一臺舊電腦，而B擁有一臺舊電腦。如果A獲得B這臺電腦需向B支付n元人民幣，則稱這臺舊電腦對B的效用為n；如果這臺舊電腦通過再次出售或其他方式能給A帶來m元的經(jīng)濟收入，則稱這臺舊電腦對A的效用為m。

收益為資源請求方或資源提供方向?qū)Ψ浇换ヅ秾傩宰C書后，獲取對方信任值與損失自身隱私值間的差值。令Ux和Uy分別為資源請求方x與資源提供方y(tǒng)的效用函數(shù)，Gx和Gy分別為資源請求方x與資源提供方y(tǒng)交換披露屬性證書后的收益。為了闡述清楚，特給出收益計算的簡單實例，如下：

若ωx＝｛｝和ωy＝｛｝分別為協(xié)商方x與協(xié)商方y(tǒng)所選策略集，則：

3.2 協(xié)商中基于博弈效用的證書交換過程

有了效用的計算方法，在自動信任協(xié)商中即可利用效用計算來控制證書交換的協(xié)商過程：

①服務請求方A向服務提供方B請求資源或者服務。

②B根據(jù)請求，訪問隱私信息中提供所請求服務或者資所必須遵守的訪問控制策略P1。

③B根據(jù)步驟②得到的訪問控制策略，向A要求要獲得服務或資源對方必須擁有的證書。

④A根據(jù)B的請求，訪問隱私信息中向?qū)Ψ教峁┧埱笞C書必須遵守的訪問控制策略P2。

⑤A與B根據(jù)雙方訪問控制策略，依據(jù)效用計算，找出滿足式的屬性證書集。

⑥A與B根據(jù)步驟⑤的結(jié)果，從隱私信息中調(diào)出用于交換披露的證書。

⑦～⑧A與B分別向?qū)Ψ桨l(fā)送步驟⑥選出的屬性證書集。

從以上結(jié)果容易發(fā)現(xiàn)：在協(xié)商活動中，利用博弈求出的證書交換集，是利用傳統(tǒng)資源解鎖方法求出的證書集的子集，從而最大限度地抑制了不必要證書披露帶來的隱私暴露。

4 結(jié)束語

為了解決自動信任協(xié)商中隱私保護的問題，本文提出了基于博弈的自動信任協(xié)商模型。本文的工作可以總結(jié)為以下幾點：1、通過分析各自的特點，說明了自動信任協(xié)商過程實際上是一個博弈過程；2、給出協(xié)商博弈的相關(guān)定義；3、給出協(xié)商博弈的應用模型。今后的工作設想主要是利用完全信息擴展博弈理論和重復博弈理論解決自動信任協(xié)商策略集的演化問題。

［1］M.Blaze，J.Feigenbaum，J.Lacy.Decentralized trust management.Proceedings of the 1996IEEE Symposium on Security and Privacy，1996，pp164－173.

［2］N.H.Li，J.C.Mitchell，W.H.Winsborough.Design of a role－based trust management framework.Heather H，ed.Proc.of the IEEE Symp.on Security and Privacy.Washington：IEEE Computer Society Press，2002.114－130.

［3］W.H.Winsborough，K.E.Seamons，V.E.Jones.Automated trust negotiation.Proceedings of 2000DARPA Information Survivability Conference and Exposition，2000，pp.88－102.

［4］廖振松，金海，李赤松，鄒德清.自動信任協(xié)商及其發(fā)展趨勢.軟件學報，vol.17，No.9，September 2006，pp.1933－1948.

［5］T.Yu，Automated trust establishment in open systems：［Ph.D.Dissertation］.Illinois：University of Illinois，2003.

［6］W.H.Winsborough，N.H.Li.Protecting sensitive attributes in automated trust negotiation.Proceedings of the ACM Workshop on privacy in the Electronic Society，ACM Press，2002，pp.41－51.

［7］W.H.Winsborough，N.H.Li.Towards practical automated negotiation.Proceedings of the 3rd International Workshop on Policies for Distributed Systems and Networks，2002，pp.92－103.

［8］W.H.Winsborough，K.E.Seamons，V.E.Jones.Negotiating disclosure of sensitive credentials.Second Conference on Security in Communication Networks，1999，pp.1－13.