·426· 智能系统学报 第15卷 造，网络自动化（银行管理系统、医疗保健系统叫 没有全局控制，各智能体的数据通常是分散的。 等。因此，在不久的将来，MAS将进一步渗透到 MAS有一个全局目标，通过预先定制的协议，各 生产生活的各个领域，成为促进社会进步的关键 智能体相互协作，共同解决全局问题。MAS对于 技术。 解决复杂问题意义重大，由于时间和资源的动态 在传统的集中式人工智能领域，单个的智能 约束，系统需要解决的关键问题包括任务调度 体已经拥有较为健全的防御机制。但是在DAI 资源分配和冲突调解。MAS的出现克服了单一 领域中，MAS的多个智能体的逻辑和物理位置呈 智能体的局限性，并具有并行性、分布性、开放性 现分布状态，所以每个智能体需要通过预先定制 和容错性的优点。 的通信协议，与其他智能体通过网络进行数据传 1.2多智能体系统面临的安全性威胁 输，以此协调彼此的任务，并协同实现总体目 当智能体在开放环境中，MAS通过智能体的 标。在此过程中，开放的环境带来了安全隐患。 分布式协作降低了复杂问题的计算量并提高了系 一方面，智能体由于自身的自治性和灵活性，容 统性能，但同时MAS的机制对协作控制、访问控 易受到攻击并成为恶意智能体。另一方面，MAS 制和通信机制提出了更高的要求。因此，这些方 在通信过程中容易产生恶意控制或信息泄露的问 面的安全漏洞可能对整个MAS造成损害。尤其 题。这些问题都可能影响MAS在生产生活中应 是对于一些安全敏感的领域，如银行业和医疗服 用的推广。例如，针对医疗保健系统的攻击可能 务领域，许多研究人员已经认识到MAS的安全 导致严重的隐私泄露问题。此外，针对自动驾驶 漏洞并发现了可能的攻击。 车辆和城市交通控制系统的攻击可能产生恶意控 早在1998年，Greenberg等0就已经归纳了几 制的事件，对交通安全造成威胁。 种可能针对开放环境中移动智能体的攻击方法。 近年来，有关MAS安全问题的研究越来越 Wang等o则提出了针对移动智能体的几种攻击 多，许多研究人员着眼于可能的MAS攻击手段， 路径和后果。首先，MAS中各个智能体拥有自己 并提出相对应的防御机制。针对开放网络中的智 的职能、行为模式、偏好、授权和隐私，因此，恶 能体，各种安全模型和安全服务被提出，用于提 意代码可以访问智能体授权，修改其首选项，窃 高单个智能体通信能力的同时保证其安全性能。 取私有数据，甚至更改其行为模式和角色，使其 除此之外，一些研究人员关注于MAS的通信过 成为影响整个MAS的攻击性智能体。其次， 程和访问控制，在多个智能体之间的交互问题上 MAS是一个开放的分布式系统，因此有大量的分 建立可靠的防御机制，保证MAS的完整性、保密 布式节点相互独立但又相互依存，通过攻击最弱 性、可用性、可控性及不可否认性。 的节点，攻击者可以强制整个MAS停止服务。 1多智能体系统及其安全性问题 此外，主机可能容易受到伪装、DoS或未经授权 的访问的攻击。现有的MAS缺乏严格的认证机 1.1多智能体系统及其特点 制，恶意代码可以假装智能体并试图连接到 随着人工智能技术的发展和普及，人工智能 MAS。这种情况可能导致非法资源占用，发送虚 在各个方面都发挥着不可替代的作用。作为人工 假信息以及窃取隐私数据等安全威胁。 智能的前沿学科和研究热点之一，MAS旨在通过 对于智能体的攻击数据传输和通信协议过 智能体间通信与协调建立大型和复杂的软硬件 程，可能会发生两种类型的安全威胁：一种是探 系统。 索性攻击(exploratory attack),即攻击者不会干扰 智能体和MAS的定义并不统一，对于智能 通信，但会尝试提取可用信息，在这种情况下，传 体，本文采用Jennings等例的定义，即智能体是一 输的敏感信息可能泄露：另一种是诱发性攻击 个软件实体，能够在某些环境中灵活、自主地行 (causative attack),此时攻击者可能会尝试拦截、修 动，以实现其设计目标。智能体拥有自治性、社 改、删除甚至替换数据包。 交性和灵活性的特点，这不仅意味着智能体可以 2多智能体系统的安全框架 自主地控制其状态与行为，在没有外界介入的情 况下操作与运行，还表示多个智能体可以在目标 许多研究已经指出了MAS的安全漏洞，并且 驱动下进行交流与沟通，并采取合适的行动。 针对MAS的攻击进行了尝试。为了进一步完善 MAS由多个可交互的智能体组成，每个智能 MAS的安全防御机制，本文首先针对MAS的安 体在逻辑或物理位置上呈现分布状态，因此MAS 全需求搭建了框架，为MAS提供了通用的安全造，网络自动化 (银行管理系统、医疗保健系统[7] ) 等。因此，在不久的将来，MAS 将进一步渗透到 生产生活的各个领域，成为促进社会进步的关键 技术。 在传统的集中式人工智能领域，单个的智能 体已经拥有较为健全的防御机制。但是在 DAI 领域中，MAS 的多个智能体的逻辑和物理位置呈 现分布状态，所以每个智能体需要通过预先定制 的通信协议，与其他智能体通过网络进行数据传 输，以此协调彼此的任务，并协同实现总体目 标。在此过程中，开放的环境带来了安全隐患[8]。 一方面，智能体由于自身的自治性和灵活性，容 易受到攻击并成为恶意智能体。另一方面，MAS 在通信过程中容易产生恶意控制或信息泄露的问 题。这些问题都可能影响 MAS 在生产生活中应 用的推广。例如，针对医疗保健系统的攻击可能 导致严重的隐私泄露问题。此外，针对自动驾驶 车辆和城市交通控制系统的攻击可能产生恶意控 制的事件，对交通安全造成威胁。 近年来，有关 MAS 安全问题的研究越来越 多，许多研究人员着眼于可能的 MAS 攻击手段， 并提出相对应的防御机制。针对开放网络中的智 能体，各种安全模型和安全服务被提出，用于提 高单个智能体通信能力的同时保证其安全性能。 除此之外，一些研究人员关注于 MAS 的通信过 程和访问控制，在多个智能体之间的交互问题上 建立可靠的防御机制，保证 MAS 的完整性、保密 性、可用性、可控性及不可否认性。 1 多智能体系统及其安全性问题 1.1 多智能体系统及其特点 随着人工智能技术的发展和普及，人工智能 在各个方面都发挥着不可替代的作用。作为人工 智能的前沿学科和研究热点之一，MAS 旨在通过 智能体间通信与协调建立大型和复杂的软硬件 系统。 智能体和 MAS 的定义并不统一，对于智能 体，本文采用 Jennings 等 [9] 的定义，即智能体是一 个软件实体，能够在某些环境中灵活、自主地行 动，以实现其设计目标。智能体拥有自治性、社 交性和灵活性的特点，这不仅意味着智能体可以 自主地控制其状态与行为，在没有外界介入的情 况下操作与运行，还表示多个智能体可以在目标 驱动下进行交流与沟通，并采取合适的行动。 MAS 由多个可交互的智能体组成，每个智能 体在逻辑或物理位置上呈现分布状态，因此 MAS 没有全局控制，各智能体的数据通常是分散的。 MAS 有一个全局目标，通过预先定制的协议，各 智能体相互协作，共同解决全局问题。MAS 对于 解决复杂问题意义重大，由于时间和资源的动态 约束，系统需要解决的关键问题包括任务调度、 资源分配和冲突调解。MAS 的出现克服了单一 智能体的局限性，并具有并行性、分布性、开放性 和容错性的优点。 1.2 多智能体系统面临的安全性威胁 当智能体在开放环境中，MAS 通过智能体的 分布式协作降低了复杂问题的计算量并提高了系 统性能，但同时 MAS 的机制对协作控制、访问控 制和通信机制提出了更高的要求。因此，这些方 面的安全漏洞可能对整个 MAS 造成损害。尤其 是对于一些安全敏感的领域，如银行业和医疗服 务领域，许多研究人员已经认识到 MAS 的安全 漏洞并发现了可能的攻击。 早在 1998 年，Greenberg 等 [1] 就已经归纳了几 种可能针对开放环境中移动智能体的攻击方法。 Wang 等 [10] 则提出了针对移动智能体的几种攻击 路径和后果。首先，MAS 中各个智能体拥有自己 的职能、行为模式、偏好、授权和隐私，因此，恶 意代码可以访问智能体授权，修改其首选项，窃 取私有数据，甚至更改其行为模式和角色，使其 成为影响整个 MAS 的攻击性智能体。其次， MAS 是一个开放的分布式系统，因此有大量的分 布式节点相互独立但又相互依存，通过攻击最弱 的节点，攻击者可以强制整个 MAS 停止服务。 此外，主机可能容易受到伪装、DoS 或未经授权 的访问的攻击。现有的 MAS 缺乏严格的认证机 制，恶意代码可以假装智能体并试图连接 到 MAS。这种情况可能导致非法资源占用，发送虚 假信息以及窃取隐私数据等安全威胁。 对于智能体的攻击数据传输和通信协议过 程，可能会发生两种类型的安全威胁：一种是探 索性攻击 (exploratory attack)，即攻击者不会干扰 通信，但会尝试提取可用信息，在这种情况下，传 输的敏感信息可能泄露；另一种是诱发性攻击 (causative attack)，此时攻击者可能会尝试拦截、修 改、删除甚至替换数据包。 2 多智能体系统的安全框架 许多研究已经指出了 MAS 的安全漏洞，并且 针对 MAS 的攻击进行了尝试。为了进一步完善 MAS 的安全防御机制，本文首先针对 MAS 的安 全需求搭建了框架，为 MAS 提供了通用的安全 ·426· 智 能 系 统 学 报 第 15 卷