1.   引言

机制设计理论是最近20年科学领域中发展最快的一个研究分支。对于任意给定的(经济、社会或系统)实现目标，在自由选择、理性自愿、信息不完全等分散化决策条件下，通过机制设计使行为的参与者个人利益和既定目标一致。

随着对博弈论研究^[1]的深入，互联网及其它开放式网络的出现，将博弈论思想引入到计算理论科学等领域，研究开放性网络应用中存在的不同理性实体间策略性交互操作成为访问控制领域重要问题^[2—9]。开放性网络环境中来自于不同组织的理性实体具有自己的利益，每个网络实体都会依据实际环境和自身收益选择有利于自身的行动策略来实现收益的最大化，这些策略之间最终会达到一种相互制约的均衡状态^[10]。开放式网络中表现出兴趣和自主性的理性实体根本目的就是最大化自身所得利益，因此自私性是其本质特性，表现在每个实体节点都最大化地获得更多的网络资源和收益，而最小化自己的付出，所以开放式网络实体存在大量的不诚信行为。文献^[11—16]研究都部分地给出并解决了不同网络环境下网络交互实体间行为的激励约束机制，但没有涉及到实体行为的理性选择策略，在遏制不诚信实体行为方面的效果不理想。

本文借鉴以上访问控制和激励机制相关问题已有研究的基础上，针对开放式网络环境下网络交互实体不诚信合作的交互访问行为，建立了基于信任的动态访问控制博弈模型，并通过设计的奖惩激励约束机制促使交互实体在自身利益驱动下理性选择系统(设计者)期望的策略，实现符合目标(访问控制策略)要求的实体间总体均衡状态。

2.   基于信任的访问控制博弈模型

在不完全信息下，访问客体利用其经验对主体进行信任判断的行为，符合不完全信息的贝叶斯动态博弈模型^[2]。因此，建立“基于信任的访问控制博弈模型”$G\left( {N,\theta ,S,P,U\, \right)$，根据海萨尼(Harsanyi)转换基本思想得到其博弈树形式如图1所示，参数具体含义如下：

图 1  基于信任的访问控制博弈示意图

下载: 全尺寸图片 幻灯片

(1) $N = {\rm{\{ }}S,O{\rm{\} }}$是参加交互博弈的弈者集合，即参与访问交互的访问主体(Subject)和访问客体(Object)；

(2) $\theta = {\theta _S} \times {\theta _O}$, $\theta$是博弈类型空间集合；

(3) $S = {S_S} \times {S_O}$, $S$是在博弈类型$\theta$下的博弈行动策略集合，其中${S_S} = {\rm{\{ }}{S_{{S_i}}},i \in N{\rm{\} }}$是访问主体$S$的行动策略集合，${S_O} = {\rm{\{ }}{S_{{O_i}}},i \in N{\rm{\} }}$是访问客体$O$的策略集合；

(4) $P:\theta \to [0,1],p \in P$, $P\,$是关于访问主体可信程度的推断，$P = {\rm{\{ }}p,1 - p{\rm{\} }}$, p表示访问主体可信的概率，$1 - p$表示访问主体不可信的概率；

(5) $U = \{ {u_S},{u_O}\} ,{u_S}:\theta \times S \to R$，表示访问主体的支付函数，$R$是收益值；${u_O}:\theta \times S \to R$，表示访问客体的支付函数。${u_S},{u_O}$支付矩阵如表1所示。

表 1  基于信任的访问控制博弈支付矩阵

参与者	客体O
主体S	行动		授权	拒绝
	可信	诚信	S.ta.u.inco, O.ta.u.inco	0, O.tra.u.loss
		不诚信	Sn.ta.u.inco, On.ta.u.loss
	不可信	诚信	S.nta.u.inco, O.nta.u.loss	0, 0
		不诚信	Sn.nta.u.inco, On.nta.u.loss

下载: 导出CSV 

| 显示表格

表1中：

(1)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估可信的情况下客体选择授权策略并得到主体的诚信访问，此时，主客体收益为$\rm{(S}\rm{.ta}\rm{.u}\rm{.inco,O}\rm{.ta}\rm{.u}\rm{.inco)}$；

(2)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估可信的情况下客体选择授权策略并得到主体的不诚信访问，此时，主客体收益为$\rm{(Sn}\rm{.ta}\rm{.u}\rm{.inco,On}\rm{.ta}\rm{.u}\rm{.loss)}$；

(3)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估可信的情况下客体选择拒绝授权策略，此时，主客体收益为$\rm{(0,O}\rm{.tra}\rm{.u}\rm{.loss)}$；

(4)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估不可信的情况下客体选择授权策略并得到主体的诚信访问，此时，主客体收益为$\rm{(S}\rm{.nta}\rm{.u}\rm{.inco,O}\rm{.nta}\rm{.u}\rm{.loss)}$；

(5)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估不可信的情况下客体授权并得到主体的不诚信访问，此时，主客体收益为$\rm{(Sn}\rm{.nta}\rm{.u}\rm{.inco,On}\rm{.nta}\rm{.u}\rm{.loss)}$；

(6)根据访问主体的访问请求，在对访问主体整体(主体本身及各条件属性)评估不可信的情况下客体选择拒绝授权策略，此时，主客体收益为$(0,0)$。

3.   基于博弈理论访问控制奖惩激励约束机制

3.1   条件假设

如果交互过程中访问主体是首次访问客体，文中假设用评估值作为对访问主体的直接先验信息的度量，应用信任量化和评估策略，资源拥有者的访问客体评估该访问主体的综合信任值为${T_{O \to S}} \in$$[0,1]$，当访问客体对访问主体的综合信任评估值${T_{O \to S}} \ge \theta$时，访问客体选择授权许可策略，对访问主体进行授权许可，否则拒绝访问主体的访问请求；其中，$\theta \in [0,1]$是访问客体根据统计分析或关联规则分析等评估策略而(动态)设定的访问权限最小信任阈值。如果访问主体上次诚信访问，那么本次信任评估要采取奖励措施加以激励，然后授权访问，如果访问主体实施欺诈访问后，将视情况加以惩罚直到将其永远拒绝访问。

得到访问许可的访问主体相对于访问客体的授权行动来说是后行动者，此时，目标明确、追求收益最大化的访问主体的行动策略选择应该是理性的。但遵守触发策略，当一次欺诈访问后，该访问主体将受到激励约束机制的惩罚直至永远得不到访问客体的访问授权许可，即应用访问反馈等后验信息，修正访问客体对该访问主体的相关信任评估值${T_{O\xrightarrow{i}S}} \ge 0$($i$表示访问次数)，或者提高访问客体对该访问主体的相关访问信任阈值$\theta \le 1$。

3.2   奖惩激励约束机制

奖惩激励约束机制作为一种反馈机制，如果访问主体(客体)能够按照机制设计目的采取诚信访问行为(honest)，将通过奖励因子(奖励系数)$\varphi$适当提高主体(客体)选择诚信访问的预期总回报收益幅度来激励约束主体行为，如果访问主体(客体)采取欺诈访问，视情况加以惩罚直到使其永远得不到该访问客体的访问许可。

(1)奖励激励约束机制：奖励原则是访问主体选择诚信访问策略时，激励约束机制通过增加其收益值来激励访问主体，提高其信任评估值，使其获得更多的访问许可权限。

用$\alpha$表示直接信任，$\delta$表示推荐信任，$\gamma$表示实体和网络决策属性因素(属性越多，$\gamma$值越大)，$\rho$表示后验概率，奖励因子$\varphi (0 \le \varphi \le 1)$可以表示为$\alpha ,\delta ,\gamma$和$\rho$的函数，即：$\varphi (\alpha ,\delta ,\gamma ,\rho )$。

在其它变量不变的情况下，$\varphi$根据各种因素的变化来进行修正其值，不断随着$\alpha ,\delta ,\gamma$的增大而变大；根据3.1节的条件假设在开放的网络环境中$\varphi$能够正确反映主体诚信行为的可信度和激励性。

网络交互过程中，假设访问主体的奖励因子为$\varphi \left( {0 \le \varphi \le 1} \right)$，则${t_1}$时刻访问主体选择诚信访问的预期收益为

则${t_i}$时刻访问主体选择诚信访问的预期总回报收益为

则当前访问主体选择不诚信访问的预期收益为

根据博弈原则可知

可见，访问主体选择不诚信访问的预期收益大于访问主体选择诚信访问的预期总回报收益时，访问主体将会选择不诚信的策略；访问主体选择不诚信访问的预期收益等于访问主体选择诚信访问的预期总回报收益时，访问主体可能会选择不诚信的策略，也可能选择诚信的策略；访问主体选择不诚信访问的预期收益小于访问主体选择诚信访问的预期总回报收益时，访问主体将会总是选择诚信的策略与访问客体进行交互，以获得最大的回报收益。

因此，选择合适的奖励因子$\varphi \left( {0 \le \varphi \le 1} \right)$，满足式(5)约束条件时

访问主体为追求收益最大化，选择的访问行为策略将永远诚信。

(2)惩罚激励约束机制：惩罚原则是访问主体选择不诚信访问策略时，激励约束机制通过减少其收益值来惩罚访问主体，降低其相关信任评估值，使其没有足够信任值满足所申请的访问许可权限最小信任阈值。

欺诈访问行为发生后，惩罚激励约束机制视情况做出以下策略选择：

策略a (温和惩罚策略)：提高访问客体对该访问主体的相关访问信任阈值$\theta$值，减少交互实体的收益$U$，降低访问客体对该访问主体的相关信任评估值${T_{O\xrightarrow{i}S}}$；

策略b (严厉惩罚策略)：拒绝，当综合信任评估值${T_{O \to S}} < \theta$或不诚信(欺诈)访问行为发生的次数$k \ge {N_{\rm{se}}}$ (${N_{\rm{se}}}$为访问控制机制事先设定最大容忍最小触发值)，本文设定其值为3时，永远被禁止访问客体。

因此，访问客体根据访问主体不诚信访问行为的危害性按照式(6)采取策略选择

由于惩罚激励约束机制的引入，理性的交互实体节点不得不考虑当前行为对后续博弈阶段的影响。不诚信的访问主体在第$t$个交互阶段的预期损失是各阶段损失之和，即

其中，$\beta \in \left( {0,1} \right)$为惩罚因子(惩罚系数)，$U$, $\beta$和$k$之间取值关系如图2所示，可见$\beta$越小，不诚信的访问主体损失越大，约束机制越严厉，它的值由开放式网络环境中网络本身的各个因素决定。${{{u}}_S}\left( k \right)$为访问实体节点$S$在第$k$阶段的收益损失。

图 2  $U$, $\beta$和$k$之间取值关系

下载: 全尺寸图片 幻灯片

将表1基于信任的访问控制博弈支付矩阵中相关参数代入${U_{\rm{sl}}}\left( t \right)$中得到

从上文分析得出，如果网络交互实体节点$S$从诚信交互到不诚信的状态转变过程中， 可以通过博弈分析计算出自己的最大收益损失${U_{\rm{sl}}}$，从而获得自己不诚信行为发生后的${U_s}\left( {t + 1} \right) = {U_s}\left( t \right) - {U_{\rm{sl}}}\left( t \right)$值，评估出综合信任评估值${T_{O \to S}}$，判断是否小于阈值$\theta$；定义的惩罚阶段的时间周期$n$，以此通过系统调整$n$值来加强系统机制处罚不诚信访问行为的力度，也作为系统安全的应急机制，最大化保障系统机制的安全性，减少客体的最小损失，防止访问主体由诚信行为到不诚信行为的转化，对恶意不诚信的网络实体起到威慑作用。

3.3   实例分析

设可信的$P = 1$访问主体和客体的收益数据如表2所示。

表 2  可信情况下主客体的支付矩阵

参与者	客体$O$
主体$S$	行动		授权	拒绝
	可信	不诚信	(20, 0)	(1, 1)
		诚信	(5, 5)	(0, 10)

下载: 导出CSV 

| 显示表格

假设在第$t$时期前主客体每次交互都是选择策略(诚信，授权)，收益为(5, 5)。现在如果主体$S$选择不诚信的访问方式，客体$O$授权，那么主体$S$将得到10个收益，但是从$t + 1$时期后，客体$O$会对主体$S$进行惩罚，即拒绝主体$S$的访问；同理，如果主体$S$诚信访问，而客体$O$拒绝，那么客体虽然得到暂时的收益，但同样主体$S$也会对客体$O$进行惩罚，即今后拒绝访问客体$O\,$。

(1)主体在$t$时期选择不诚信的总收益为

(2)主体在t时期选择诚信的总收益为

所以，当且仅当$E_S^{\rm{ho}} > E_S^{\rm{di}}$时，$\varphi > \displaystyle\frac{{15}}{{19}}$，对主体$S$的激励约束才能使主体选择诚信访问策略来维持主客体的可信交互；同理，$E_O^{\rm{au}} > E_O^{\rm{re}}$对客体的激励约束才能使客体选择诚信授权策略来维持主客体的可信交互(完美贝叶斯均衡存在)。

奖励因子是增加交互实体收益值来激励实体的诚信访问和授权，相反惩罚因子是通过减少交互实体收益值来激励实体的诚信访问和授权。奖励因子和惩罚因子实例分析相似，由于篇幅限制，本文仅对奖励因子进行实例分析，对惩罚因子实例分析不再赘述。

3.4   奖惩激励约束机制算法

根据上面给出的奖惩激励约束机制设计思想，给出奖惩激励约束机制算法设计，算法执行步骤如下：

步骤 1　初始化阶段，网络交互实体处于交互等待状态，同时实体结点也处于交互混合监听状态，从博弈模型机制中获得初始化参数$\left( {N,S,p,·\!·\!· ,T}\, \right)$，评估判断节点的行为的诚信类别(诚信， 不诚信)和诚信程度；

步骤 2　当交互实体诚信访问时，触发奖励激励机制；判断相关收益所满足条件，由系统设置合适的奖励因子$\varphi$，激励主体自觉选择诚信访问转向步骤4；

步骤 3　交互实体不诚信访问时，触发惩罚激励约束机制；判断评估不诚信行为实体的诚信程度决策出惩罚力度；当${T_{O \to S}} < \theta ||\;k \ge {N_{\rm{se}}}$时，惩罚达到最大，直接拒绝访问；

步骤 4　评估交互结果，反馈相关参数，算法结束。

算法流程图如图3所示。

图 3  奖惩激励约束机制算法流程

下载: 全尺寸图片 幻灯片

4.   仿真与分析

4.1   仿真实验参数

为了验证本文算法的有效性，假设交互实体间博弈支付矩阵如表3所示。

表 3  实体间博弈支付矩阵

参与者	Ej
${E_i}$	行动		授权	拒绝
	可信(P)	不诚信	(5, 5)	(0, –2)
		诚信	(4, –4)	(0, –2)

下载: 导出CSV 

| 显示表格

根据博弈模型和实体的支付收益仿真实验参数设置如下：

网络初始拓扑：随机

正常(诚信)节点：s1, s2, s4, s8, s9, s10, s11, s13；

恶意(不诚信)节点：s3, s5, s6, s7, s12；

变量：${N_{\rm{se}}} = 3,\theta = 0.5,\alpha > 0,\beta > 0,p = 1$。

4.2   激励效果

定义 1　交互实体节点信任演化的复制动态动力学方程为

根据信任演化的复制动力方程式，图4和图5给出了交互实体节点在相同初始可信概率选择动作$\rm{honest}$数下信任向${\theta ^*} = 1$演化的示意图。

图 4  奖惩激励约束机制($\alpha$)的信任演化示意图

下载: 全尺寸图片 幻灯片

图 5  奖惩激励约束机制($\beta$)的信任演化示意图

下载: 全尺寸图片 幻灯片

从图4可见，在初始值(0.50)不变的情况下，$\alpha$=0.20时对应的交互实体节点信任演化曲线收敛到稳定可信状态的速度明显快于比$\alpha$=0.10时的收敛速度，$\alpha$=0.10时对应的交互实体节点信任演化曲线收敛到稳定可信状态的速度快于$\alpha$=0.05时的收敛速度。从图5可以看出，在初始值(0.50)不变的情况下，$\beta$=0.010时对应的交互实体节点信任演化曲线收敛到稳定可信状态的速度明显快于$\beta$=0.015时的收敛速度，$\beta$=0.015时对应的交互实体节点信任演化曲线收敛到稳定可信状态的速度快于$\beta$=0.020时的收敛速度。

根据信任演化的复制动力方程式得出图4，图5结果表明奖惩激励约束机制在激励约束交互实体节点在可信的情况下选择诚信行为的作用：奖励诚信的访问行为，惩罚不诚信的行为，有利于交互实体节点向选择诚信策略的稳定状态演化。

4.3   机制性能

定义 2　预期收益(Expected Utility, EU)：指网络交互实体在重复动态博弈过程中在奖惩激励约束机制下所获得的预期收益之和。

为了更好地说明采用奖惩激励约束机制的效用，本文通过实验统计了在缺乏奖惩激励约束机制和采用奖惩激励约束机制情况下，交互实体节点$s1,s2,s4,s8,s9,s10,s11,s13$为诚信节点，交互实体节点$s3,s5,s6,s7,s12$为不诚信的恶意节点，每个周期交互次数为5次。第1个周期网络交互实体预期收益值如图6所示。

图 6  网络交互实体预期收益值

下载: 全尺寸图片 幻灯片

由图6可见，诚信访问的交互实体s1, s2, s4, s8, s9, s10, s11, s13在奖惩激励约束机制下的预期收益总是高于缺乏奖惩激励约束机制预期收益；不诚信的恶意节点s3, s5, s6, s7, s12的预期收益在奖惩激励约束机制下分为2种情况，节点s3, s7由于不诚信的访问行为触发惩罚机制，收益受到惩罚，s3被直接拒绝访问；在奖惩激励约束机制下，节点s5, s6, s12不诚信的访问行为没有发生，激励机制起了作用，达到了激励的目的。

定义 3　交互成功率(Success Rate of Interaction, SRI)指的是每个周期内所有网络实体节点交互的成功次数与总交互次数的比值。

图7是以上实体节点$\left( {s1,s2,·\!·\!· ,s13} \right)$交互成功率随着周期变化的规律示意图。由图7可知在本文奖惩激励约束机制和文献[16]惩罚奖励机制下实体节点的交互成功率大于缺乏奖惩激励约束机制情况下实体节点的交互成功率；在本文奖惩激励约束机制起作用的情况下，随着交互周期的变化，实体节点的交互成功率明显增高并趋于平稳；在文献[16]惩罚奖励机制下，随着交互周期的变化，实体节点的交互成功率上下微波动，基本上在整个过程中趋于平稳状态；但是，在缺乏奖惩激励约束机制情况下，实体节点的交互成功率随着交互周期的推移而明显降低，直至趋于平稳。因此，在开放网络访问控制中设计对交互实体不诚信行为的奖惩激励约束机制是有效的。

图 7  交互的成功率随周期变化的规律

下载: 全尺寸图片 幻灯片

由图8可见，交互的成功率随不诚信节点的增加而降低，在奖惩激励约束机制起作用的情况下，当存在40%的不诚信节点时，交互的成功率将小于0.5，此时交互成功率明显降低，保障交互的安全性；在缺乏奖惩激励约束机制情况下，随着不诚信节点比率的增加，交互成功率的下降趋势较快于奖惩激励约束机制下的交互成功率。

图 8  交互的成功率与不诚信节点的关系

下载: 全尺寸图片 幻灯片

定义 4　通信开销(Information Number, IN)指网络实体交互过程中节点间交互的消息数目，包括节点的请求消息，评估消息，监测消息等。

图9是在奖惩激励约束机制下不同网络节点数的通信开销变化规律，从图中可以看出初始统计通信开销的网络节点数是100个，依次变化到网络节点数为1000个，其变化规律是随着网络节点数目的增加通信开销呈线性增大变化；同样情况下图10是在无奖惩激励约束机制下不同网络节点数的通信开销变化规律，二者相比较表明本文提出的奖惩激励约束机制下实体节点交互的通信开销这种性质是符合实际的网络架构理论分析，该机制具有很好的可行性。

图 9  奖惩激励约束机制下不同网络节点数的通信开销变化规律

下载: 全尺寸图片 幻灯片

图 10  无奖惩激励约束机制下不同网络节点数的通信开销变化规律

下载: 全尺寸图片 幻灯片

因此，在开放网络访问控制中设计对交互实体不诚信行为的奖惩激励约束机制是有效的。

5.   结束语

在开放式网络环境不完全信息下，本文建立了基于信任的动态博弈访问控制模型，并通过设计的奖惩激励约束机制促使交互实体在自身利益驱动下理性选择系统(设计者)期望的策略，以利益作为驱动力，奖励诚信节点以激励，惩罚约束激励不诚信节点，起到约束不诚信访问行为的作用，实现了符合目标要求实体间的总体均衡状态。仿真实验和结果分析表明，在网络交互实体的不诚信访问问题上该激励约束机制是有效的，达到了激励的目的。

下一步要做的工作是：在开放网络环境中网络实体在交互过程中通过信任评估与量化机制获得的信任与权限的映射关系的研究。