基于動態博弈的電子支付系統模型及自利性

摘 要：使用通信順序進程CSP和博弈理論提出了基于動態博弈的電子支付系統模型，提出了一種電子支付協議的新屬性自利性； 基于納什均衡理論給出了自利性的形式化定義，可以用于對電子支付系統安全屬性的形式化分析。 與以前的工作相比，其主要貢獻為：基于CSP事件對參與者的交疊并發和同步行為建模， 基于博弈策略理論對協議主體的多種不誠實行為和三種質量的通信媒介建模，可以用于分析協議主體與通信媒介之間的合作和競爭行為; 對進程失效和通信失效建模，其中通信失效模型考慮了消息延遲導致的失效，因此可以分析更多失效情況下協議的性質;自利性解決了如何描述協議公平性和計算代價的折中性問題，可以表示以協議主體為中心的性質如匿名性等; 證明了在給定條件下協議的公平性蘊涵自利性， 反之不成立。

關鍵詞：公平性; 自利性；電子支付協議; 動態博弈; 系統模型；納什均衡

中圖分類號：TP309 文獻標志碼：A 文章編號：1001-3695(2008)08-2463-06

Dynamic game-based model for electronic payment system

and self-interested property

SHI Wei-qi1， CHANG Jie-ren2，3， LIU Yun1， ZHANG Bo-yun1，3

(1. Dept. of Computer， Hunan Public Security Academy， Changsha 410006，China;2.Dept. of Mathematics，Xiangnan University， Chenzhou Hunan 423000， China； 3.School of Computer Science， National University of Defense Technology， Changsha 410073， China）

Abstract:This paper built a dynamic game-based model of electronic ecommerce systems， and presented self-interested property in electronic payment protocol’s.In the model，it gave a formal description of self-interested property，which was used to analyze formally security property of electronic payment protocols. Compared with the previous work， the main contributions are the following. Firstly， modeling channels in different qualities and participants of dishonest behaviors helped to analyze cooperative and adversarial behaviors. Secondly， modeling process failure and channel failure helped to analyze a protocol′s security properties in failed environment.Thirdly， self-interested property was applicant to all kinds of electronic payment protocols， and it represented a trade-off between complexity and what they achieve， and that it was applicable in any transaction where participants had different interests to protect such as protecting one’s privacy and accepting items sent by the other party.Fourthly， it has been proved that fairness implies self-interested under some conditions and the inverse is not true.

Key words: fairness; self-interested; electronic payment protocol; dynamic game; system model; Nash equilibrium

0 引言

ePSO組織將電子支付^[1]定義為“使用電子支付工具將支付從支付者傳送到被支付者”。電子支付系統包含顧客、商家和銀行三類主體。 顧客從商家購買商品并向商家提供支付，商家到其銀行存款，最后由顧客開戶銀行與商家的接收銀行之間進行清算。 按顧客提交支付的時間和從顧客賬戶扣除支付金額的時間，電子支付系統分為類現金和類支票支付系統(圖1)。 類現金支付系統是指在顧客支付前扣除支付金額如Digitalcash、Payword協議。 類支票支付系統是指在支付的同時或者支付后扣除支付金額，如NetBill協議。 電子支付系統具有以下三個特點：a)與紙幣支付和銀行專用網相比， 電子支付系統缺少前者固有的安全約束。 例如真實的紙幣很難偽造，而電子貨幣的復制便宜、快捷并且易于偽造。b) 顧客、商家和銀行分布全球各地， 他們之間通過開放的網絡進行非面對面的信息交互。

如圖1中取款、存款和支付階段的信息流都在開放的不安全的互聯網絡中傳送，因此電子支付不再有面對面支付特有的互相信任。 例如顧客不能通過商家的店面判斷是否信任商家， 顧客與商家也不能實現一手交錢一手交貨的公平局面。 因此主體的分布性給電子支付帶來一系列的沖突，如顧客聲明已經發送了電子貨幣但是商家卻說沒有收到。 那么到底是顧客沒有發送電子貨幣？還是商家撒謊? c)顧客和商家在交易中期望的收益不同，甚至可能相沖突。 例如誠實顧客期望支付后能收到商品，不誠實的顧客期望免費能拿到商品；同樣，盡責的商家會盡可能地滿足顧客的需求，而不道德的商家不會關心商品是否確實傳送給顧客。因此根據電子支付系統的特點將其安全需求總結為三層結構(圖2)。

底層需求包括保密性、完整性和認證性， 由認證協議和密鑰分配協議實現。 電子支付協議屬于二級安全協議范疇，二級安全協議^[2]是使用認證協議和密鑰分配協議作為其基礎協議并且假定基礎協議滿足保密性、完整性和認證性，以實現更復雜的安全目標。 電子支付協議的更復雜的安全目標指圖2的中層需求。 Asokan^[3]、 Zhou^[4~6]、 Gürgens^[7]、Pagnia^[8，9] 和Kremer^[10~12]等人在非否認性(non-repudiance)和公平性(fairness)研究領域有出色的研究成果。 他們設計了著名的非否認公平協議和樂觀的公平交換協議， 提出了非否認性和公平性的概念， 并分析了協議是否滿足這些性質。Tygar ^[13~15]設計了NetBill協議，提出了三級原子性(atomicity)的概念。 但是這些性質只是基于設計者提出的非形式化定義并且只應用于某類特定的協議。 這類沒有準確一致的形式化定義很難應用于其他類似協議的分析。 Kailar等人^[16]基于邏輯推理方法分析電子支付協議的可追究性(accountability)。 Clarke等人^[17]使用邏輯描述iKP協議的隱私性(privacy)和匿名性(anonymity)。 Schneider基于CSP^[18]，Zhou等人基于SVO邏輯^[15]，Paulson等人基于歸納和定理證明^[2，9]等分析協議的非否認性和公平性。 他們沒有為系統提出一個通用的、抽象的形式化框架。 Heintze等人^[14]分析NetBill和Digicash的錢原子性和商品原子性。 他們將原子性視為協議的整體性質因此無法解釋分析個體參與者對獲得收益的滿意程度， 尤其是不能區分參與者的兩類欺騙，即參與者通過欺騙獲得更多利益和欺騙但沒有獲得更多收益。 高層需求是電子支付系統面向應用的需求，本文不作深入研究。

電子支付系統本質上是分布式并發系統，并具備博弈的特征：電子商務參與者是理性的，即參與者總是盡可能最大化自己的收益; 主體可能不誠實，即參與者可能中途退出協議或者不按設計者指定順序執行子協議， 因此主體在任何時刻有多個可選行為; 不誠實主體利用通信媒介的通信延遲失效來獲取額外的收益等。 因此本文基于通信順序進程CSP^[20]和動態博弈^{[21，22]}系統建立了基于動態博弈的電子支付系統模型。 該模型可以：a）對不同質量的通信媒介建模，對協議主體的多種不誠實行為建模，可以用于分析多類主體之間的合作與競爭行為;b）對系統的進程失效和通信失效建模，可以分析系統失效時協議是否滿足安全性質。 其他對電子支付協議的安全性研究包括對貨幣安全性的驗證，如防止電子貨幣的重復花費，防止電子貨幣的偽造等。 這些需求與協議實現的細節緊密相關，本文的系統模型抽象這些細節描述例如1.4節的謂詞valid驗證電子貨幣是否有效。

某些電子支付協議^[23]不滿足公平性。 如果參與者的欺騙行為會損害對方利益，但是他沒有因此而獲得更多利益，那么這種欺騙行為是毫無意義的。 理性的參與者不會選擇損人不利己的背離協議的行為。 由此可見協議雖然不滿足公平性但是仍然合理；移動電子支付因為資源局限對計算復雜性和通信復雜性要求相對較高，而對需要較大代價的公平性要求相對較低，因此如何在代價和公平性之間取得折中是這類電子支付協議的主要需求。本文提出了一種新的屬性自利性描述電子支付協議的這類需求，其適用于各類電子支付協議。

1 動態博弈基礎

博弈論^[21，22]是研究多人謀略和決策問題的理論。參與博弈的主體稱為局中人，他們在博弈過程中有各自的利益。由于利益的驅動，局中人在作出自己的決策時，總想使出最好的招數(最優策略)。動態博弈是指局中人的行動有先后順序，后行動者能夠觀察到先行動者所選擇的行動，并可以根據獲得的信息采取自己認為最有利的策略。

1.1 動態博弈

動態博弈是一個五元組〈N，Q，p，{i}i∈N， ≥i〉.

-N.局中人集合， 表示為自然數集合。

-Q.局中人的行動序列集合， 具備以下性質：

（a）空序列∈Q。

（b）如果(ak)wk=1∈Q且0<v<w(w是自然數)， 則(ak)vk=1∈Q。

（c） 如果對任意正整數v滿足(ak)wk=1∈Q，則(ak)∞k=1∈Q；若(ak)wk=1∈Q是無窮序列或不存在行動aw+1使得(ak)w+1k=1∈Q。稱(ak)wk=1是極大行動序列，Z表示極大行動序列集合。

p:{Q\\Z}→N。 計算非極大行動序列的下一個行動者。 

i(i∈N)。 局中人信息集集合。

≥i(i∈N)。極大行動序列關于局中人i的優先級關系。

i表示局中人i的所有信息集集合， 信息集Ii∈i是i從行動序列中獲取的與博弈相關的信息。 當輪到i行動時，i根據其信息集選擇下一步行動。 假定博弈的兩個極大行動序列q1和q2，i從q1和q2中獲得的收益分別ui(q1)和ui(q2)， 則q1≥i q2當且僅當ui (q1)≥ ui(q2)。

1.2 策略

A(Ii)表示由信息集Ii決定的局中人i的可行行動集合。Ai=∪Ii∈IiA(Ii)表示局中人i的所有可行行動。策略si是從i到Ai的一個映射，即對一切Ii∈i，有si(Ii)∈Ai。 由于從同一個信息集Ii出發，可以映射到Ai中不同的行動，形成不同的策略。 所有這些策略的全體構成了參與者i的策略空間Si。博弈所有局中人的一個策略組合表示為(si)i∈ N。

1.3 納什均衡

一個策略組合是納什均衡的是指每個局中人的策略是針對其他局中人選定策略的最優反應，即選擇該策略產生的收益不會小于偏離該策略的收益。也就是沒有局中人愿意單獨偏離該策略組合中他選定的策略。這種理論導出的結果是一種策略相對穩定狀態。如果用O（（Si)i∈N)表示局中人i遵循策略組合(Si)i∈N產生的極大行動序列(ak)wk=1∈Z(w是自然數):

v：0＜v＜w.sP((ak)vk=1)((ak)vk=1)=av+1(av+1∈AP((ak)vk=1))那么形式地，策略組合(si)i∈N是納什均衡的；當且僅當j∈N，sj∈sj.o(sj，(si)i∈N\\{j})≥jo(sj，(si)i∈N\\{j})。

2 基于動態博弈的電子支付系統模型

電子支付系統是分布式并發系統。 系統包括協議主體和通信媒介。 顧客、商家和銀行三類主體之間的并發體現為他們之間的交疊行動序列；各主體與通信媒介的并發體現為主體與通信媒介的同步通信行為。 圖3是電子支付系統的分布式并發系統模型。 節點(TTP、NET、 nodei和nodej，i、 j是自然數)表示協議主體，這里將通信媒介看成一類特殊的主體， 其沒有密碼運算能力。 節點間的連線表示通信媒介與其他主體之間的通信信道。主體誠實指主體服從協議；主體不誠實指主體違背協議，這是因為：a)協議由多個子協議構成如主協議和恢復子協議， 主體可以選擇提前中斷主協議而發起恢復子協議等。 b)主體可能重用舊的或無效的電子貨幣等。 c)主體可能聯合不同質量的通信媒介欺騙其他主體以獲得更多利益。銀行TTP總是誠實的。 根據傳送消息的質量通信媒介NET分為可靠、可恢復和不可靠三類。通信媒介不可靠是指消息會丟失; 可恢復是指消息最終將被傳送成功但具體時間不能確定; 可靠是指消息一定能在規定的時間內傳送成功。本章考慮用CSP事件描述系統主體的行為對主體建模。 分布式系統失效包括進程和通信失效，傳統的通信失效指消息丟失。 但是在電子支付系統中，由于不誠實的協議主體可能利用通信媒介的消息延遲破壞其他主體的利益。本節的通信失效考慮消息丟失和消息延遲，進程失效包括本地失效和遠程失效。前者指本地參與者進程斷電、系統崩潰等；后者指遠程參與者進程故障。經濟學假定電子支付主體是理性人。理性人是指主體滿足一定的約束條件下最大化自己的利益。因此電子支付系統不僅具有分布式并發系統的特征，還具有博弈的特征：a)主體在參與協議過程中的任何階段，有多個可行行動 (如發送消息，退出或接收消息)。b)主體根據協議初始賦予的知識和協議執行過程中收到的消息，決定下一個可行的行動，每一個選擇的行動決定了他最后的收益。c)為了獲取最優的收益，主體選擇的策略與協議不應該發生沖突。根據電子支付系統的分布并發式系統特征和博弈特征，本章使用CSP和博弈理論建立電子支付系統模型。

2.1 基本定義

原子消息是指具有特定意義的最小符號串。例如協議主體的標志符、主體擁有的密鑰、時戳、賬號、訂單等。原子消息集合記為AM。電子支付系統中常使用的密碼函數包括哈希、簽名、加解密等，密碼函數集合記為F。

定義1 消息集合M。M(AM∪F)為滿足以下條件的集合R(AM∪F)中的最小集合：

a)若m∈AM， 則m∈R；

b)若m1，m2∈R， 則m1m2∈R；

c)若f∈F且mi∈R(i=1，…，n)，則函數f對mi(i=1，…，n)的作用f(m1，…，mn)∈R。

定義2 消息構造算子。消息m由消息集合M可構造即M├ m當且僅當m和M滿足以下條件之一:

a)m∈M;

b)m=m1m2， 且M├m1和M├m2;

c)m=mi(i=1，2)且M├m1m2;

d)m=f(m1，…，mn)且 i ∈{1，…，n}M├mi。

模型用事件表示主體的原子動作。主體的持續動作表示為一個事件對，即動作開始和結束事件對。當兩個事件并發時，如果必須強調同時發生(如同步事件)，那么這兩個事件被認為是一個事件；否則按任意順序記錄兩個事件。主體之間通過通信媒介傳遞消息通信事件表示，通信事件記為c。v: c是信道名，v是傳送的消息。一次通信事件的發生是主體和通信媒介同時發生的事件對。信道分為輸入信道和輸出信道。如圖3所示： trans.i既是主體nodei的輸出信道又是NET的輸入信道； rec.i既是NET的輸出信道又是nodei的輸入信道。在trans.i上的一次通信表示為事件對：trans.i!v和trans.i?x。其中：trans.i!v表示nodei經輸出信道trans.i將消息到v發送給NET; trans.i?x表示NET從其輸入信道trans.i上接收消息賦值給消息變量x. NET與所有主體有通信行為，因此存在多條輸入信道和輸出信道。本節用c.i.j.m表示通信事件。其中：c.i表示主體i和NET通信的信道，j表示消息的接收者；m是待傳送的消息。例如事件trans.j!i!m表示主體j將消息m輸出到信道trans.j上，指定消息的接收者是主體i。事件rec.j.i?x表示j從其輸入信道rec.j上接收了一條i發送的消息。

2.2 局中人

博弈的局中人包含電子支付的主參與者顧客和商家(圖3 中的nodei、nodej。其中i、 j是自然數)，可信任第三方(TTP)和通信媒介(NET)。顧客期望通過電子支付購買到商品，商家期望賣出商品。顧客和商家可能不誠實，如顧客會拿到商品而不支付或商家收到支付但卻不傳送商品。因此顧客和商家在博弈中存在多個策略，TTP只提供信任服務，沒有利益需求。TTP始終服從協議，因此在博弈模型中其只有惟一的服從協議的策略，NET只負責消息傳送，沒有利益需求。由于NET信道質量包括可靠、不可靠和可恢復三類，NET在博弈中存在多個策略。主參與者可能利用不同質量的NET欺騙對方以獲取比對方更多的利益，在電子支付系統博弈中存在多個主體的聯合與競爭行為。假定協議博弈的局中人集合N={1，2，3，4}。其中：1和2是主參與者；3是TTP； 4是NET。

2.3 信息集

局中人從接收的消息中獲取新的信息。狀態i(q)表示局中人i在博弈完成行動序列q后所獲得的信息。i(q)表示為四元組〈acti(q)， Hi(q)， MSi(q)， Ri(q)〉，如表1所示。

表1 四元組描述

元組描述acti(q)博弈的行動序列q后，i是否活躍的標志，值為1表示活躍，否則不活躍Hi(q)博弈的行動序列q后，i已經發生的歷史事件序列MSi(q)博弈的行動序列q后，i記錄的消息集合包括：協議初始賦予i的知識，協議執行過程中i收到的消息集合和i產生的新消息Ri(q)博弈的輪計數器2.4 可行事件

協議主參與者i(i=1，2)發送且只能發送他能構造的消息，用trans事件表示;rec事件表示處于活躍狀態的參與者隨時能接收消息; 但是接收某消息不等于接收該消息，只有當接收者驗證收到的消息正確后才真正接收該消息，用acc事件表示; 主參與者在參與協議過程中主動退出協議的行為用quit事件表示; 主參與者的本地進程失效用faillocal事件表示，他能檢測到的遠程失效用failremote事件表示; 電子支付協議包含多個子協議如主協議和恢復子協議。例如顧客如果在正常支付后沒有拿到商品， 他將向可信第三方或者系統外仲裁者提供證據證明他確實提交了支付，并且發出恢復他受損利益的請求， 用evidence事件表示。表2是主參與者i(i=1，2)在行動序列q后的可選事件集合Ai(i(q))(j∈N， i≠j)。

表2 主參與者i(i=1，2)的可行事件集合Ai(i(q))( j∈N， i≠j)

a∈Ai(i(q))事件可行的條件事件對狀態的更新trans.i.j.mMSi(q)┝mHi(q.a)=acti(q)=1Hi(q).trans.i.j.m參與者i只能發送他能構造的消息i記錄trans事件evidence.i.mMSi(q)┝mHi(q.a)=acti(q)=1Hi(q).evidence.i.m參與者i提交恢復請求i記錄提交恢復請求事件rec.i.j.macti(q)= 1Hi (q.a) = Hi(q).rec.i.j.mi活躍i記錄rec事件acc.i.j.mlast(Hi(q)) = rec.i.j.mHi (q.a) = Hi(q).acc.i.j.macti(q)=1，MSi(q.a)=MSi(q)∪validi(m，q，condm)=1{m }i已接收消息m， 并驗證消息m有效i記錄acc事件，將消息m加入其消息空間quit.iacti(q)=1acti (q.a)=0i隨時可以退出i變得不活躍faillocal.iacti(q)=1i的本地失效failremote.iacti(q)= 1i能檢測遠程失效NET的trans事件表示他隨時準備接收消息；rec事件表示只要消息的指定接收者仍然活躍，NET就可以成功地向該接收者發送消息；不可靠通信媒介是指通信媒介中傳送的消息可能丟失， 本文用刪除消息事件delete事件對不可靠的通信媒介建模；可恢復信道是指消息最終被傳送到目的地但不能確定具體的時間，模型中用NET緩存消息的能力和消息發送事件即rec事件對可恢復的通信媒介建模；但是NET不具備密碼運算能力因此不會構造和驗證消息。表3是NET在行動序列q后的可選事件集合ANET(NET(q))。

表3 NET的可行事件集合ANET(NET(q))

a∈ANET

(NET(q))事件可行條件事件對狀態的更新trans.i.j.mi，j∈N，i≠j

NET隨時準備

接收消息HNET (q.a) =HNET(q).trans.i.j.m

MSNET(q.a)=MSNET(q)∪

{(i.j.m)}

NET記錄trans事件，保存(i.j.m)rec.i.j.mMSNET(q)├

(j.i.m）

i，j∈N，i≠j

NET擁有（j，i，m）并且i活躍HNET (q.a) = HNETv(q).rec.i.j.m

MSNET(q.a) = MSNET(q)\\

{(j，i，m) }

網絡記錄rec事件

刪除消息(j，i，m)delete.i.j.mMSNET(q)├

(i.j.m）

i，j∈N，i≠j

NET擁有（i.j.m）HNET (q.a)= HNET(q). delete.i.j.m

MSNET(q.a) = MSNET(q)

{(i.j.m) }

網絡記錄delete事件

刪除消息(i.j.m)TTP始終服從協議發送、接收和驗證消息。本文假定TTP不會失效和中途退出協議。表4是TTP在行動序列q后的可選事件集合ATTP(TTP(q))。

各主參與者和TTP分別通過信道trans.i和rec.i(i=1，2，3)與NET通信(圖3)。一次通信事件由發起者和響應者同步完成，因此筆者使用主動事件和響應事件來區分兩者的的同一個通信事件。一個通信事件既是發起者的主動事件同時又是響應者的響應事件。例如表2的trans.i.j.m事件，是參與者i的主動事件同時是NET的響應事件。而rec.i.j.m事件是參與者i的響應事件同時是NET的主動事件。非通信事件(非trans，rec事件)都屬于主動事件。下面給出了各局中人的可行事件集合Ai(i(q)) (i∈N)。每個可行事件a由兩部分組成，即事件可行的條件和事件對狀態的更新。由于電子貨幣安全性如電子貨幣是否被重復花費，是否被偽造等與協議設計的細節緊密相關， 本模型用謂詞valid(表2)抽象電子貨幣安全性的驗證過程。謂詞validi(m，q，condm)代表的含義是 i在博弈完成行動序列q后，驗證其接收的消息m是否滿足謂詞condm。condm是協議規定的判定m是否有效的條件。

2.5 行動序列與參與者函數

博弈由局中人經過多輪行動后完成，每一輪局中人的行動包含以下兩個階段:

a）所有處于活躍狀態的主參與者與TTP按博弈預先給定的行動順序依次選擇一個可行的主動事件行動。這些事件中如果包含有NET參與的同步事件，則NET自動響應發生該同步事件。

表4 TTP的可行事件集合ATTP(TTP(q))

a∈ATTP

(TTP(q))事件可行條件事件對狀態的更新trans.TTP.j.mMSTTP(q)├ m

i∈N， actTTP(q)=1

TTP發送他可構造的消息HTTP (q.a) =HTTP(q).trans.TTP.i.m

TTP記錄trans事件rec.TTP.i.mi∈N，actTTP(q)=1

TTP活躍HTTP (q.a)= HTTP(q).rec.TTP.i.m

TTP記錄rec事件acc.TTP.i.mactTTP(q)= 1

last(HTTP(q)) =

rec.TTP.i.m

validTTP(m，q，condm)=1

TTP已收到消息m并且驗證消息m有效HTTP (q.a)=

 HTTP(q).acc.TTP.i.m

MSTTP(q.a) = MSTTP(q)∪

{m }

TTP記錄acc事件，將消息m加入其消息空間b）NET為其消息空間中的每個消息選擇一個可行的主動事件，如將該消息傳送到目的地，或者刪除該消息； 或者對該消息什么也不做即將消息繼續保留在消息空間中。若NET選擇了同步通信事件則當且僅當其響應者活躍時該通信才能成功。本輪結束后博弈的輪計數器加1，當主參與者和TTP都不活躍時博弈結束。

假設P′(q，v)={ k∈N′:actk=1， k>v}表示完成行動序列q后仍然活躍的編號大于v的局中人集合。P′(q，v)中編號最小的局中人為kmin(q，v)=mink∈p′ (q，v)k 。NET消息空間的消息權值(r，t)是指NET在第r輪博弈中收到的第t個消息即第r輪中發生的第t個trans事件。二元關系“~”表示NET消息空間的消息被發送的優先關系。 m1~m2 表示m1在m2之前被NET發送：m1~m2 當且僅當 r1=r2， t1

（a）空序列∈Q， p()= 1；

（b）已知q∈Q， p(q)=v(v∈N′)，則對任意a∈Av(v(q))有q.a∈Q；如果P′(q，v)≠，則p(q.a)=kmin(q.a，v）；否則p(q.a)=NET。

（c）已知q∈Q， p(q)=NET，消息變量m的初始值是MQ′NET(q)的第一個消息， 則

①如果m為空，則p(q)=kmin(q，0)， 輪計數器加1，進入下一輪; 否則

②NET為m選取一個主動事件a∈ANET(NET(q))，則q.a∈Q， q=q.a， p(q)=NET， m被賦值為MQ′NET(q)的下一個消息， 刪除MQ′NET(q)的第一個消息;或者NET不選擇任何事件即什么也不做。m被賦值為MQ′NET(q)的下一個消息。

③返回到①。

2.6 收益

收益是指在一個特定的策略組合下局中人得到的確定或期望的效用。局中人的收益不僅取決于自己的策略選擇，而且取決于所有局中人的策略選擇。因此收益可以表示為所有局中人各選定一個策略形成的策略組合的函數。假設協議的交換項為γi和γ j(i，j=1，2; i≠j)，實值ri(γj)表示參與者i擁有γj的控制權， 實值ri(γi)表示i失去對ri的控制權， 滿足r1(γ2)> r1(γ1)>0和 r2(γ1)> r2(γ2)>0。

定義3 收益。

ui(q)=ui+(q)-ui-(q)

ui+(q)=ri(γj);i+(q)=true

0;i+(q)=1

ui-(q)=ri(γj);i-(q)=true

0;i-(q)=1

其中：i， j=1，2且i≠j；u+i(q)表示局中人i的收入；ui-(q)表示i的支出；ui(q)表示i的收益， 是局中人收入和支出的差。+i(q)、- i(q)是一階邏輯公式。+ i(q)為真，當且僅當i擁有 rj；-i(q)為真，當且僅當ri不是i的惟一擁有者或者丟失ri。由此可知ui(q)＝0表示i的收入支出相抵， ui(q)>0表示i獲益，ui(q)<0表示i的利益受到損害。由于TTP和NET不期望任何收益，假定對任何極大行動序列q滿足uTTP(q)=uNET(q)=0。

3 自利性

有些電子支付協議^[23]不滿足公平性，即一方不誠實的行為會損害另一方收益。但不誠實的一方并沒有因此而獲得更多利益，所以他企圖欺騙也是毫無意義的。理性的參與者不會選擇損人不利己的背離協議的行為，由此可見協議雖然不滿足公平性但是仍然合理。移動電子支付指移動設備(手機、PDA等)用戶通過無線網絡對商家提供支付。因此與互聯網上電子支付最大的差別是顧客與商家之間是通過無線網絡運營商來完成購買過程。由于移動設備的計算能力和無線網絡的帶寬限制迫使用戶降低了對需要較大代價的公平性的需求。 顧客期望的收益是計算代價、通信開銷和公平性的合理折中。例如基于SSL的移動電子支付系統沒有維持公平交換的可信第三方， 因此不能在系統內提供顧客的公平性即顧客提交支付后但卻沒有收到他定購的商品。但是這類系統計算代價和通信開銷相對較小。 也有在移動設備上添加硬件實現TTP的功能，協議提供公平性的同時也增加了硬件代價和通信開銷。本文提出了一種新的屬性自利性用于這些需求的描述。下文中假定G(∏)是電子支付協議 的博弈模型。 局中人i(i∈N)服從協議的策略記為si， 其他策略用變量記為si。其中：s3是TTP始終采取服從協議的策略；s4是NET符合協議規定質量的策略。

3.1 自利性

協議的自利性包含兩層含義：a）如果每個局中人都采取服從協議的策略，則都能獲得其最大的收益；b）如果局中人即使選擇違背協議的策略并損害了其他局中人的收益，但他不能因此而獲得比a）中更多的收益。下面給出了局中人i(i∈N)的自利性定義。

定義4 自利性。協議滿足關于i的自利性當且僅當

a) G(Π )中(si)i∈N納什均衡；

b)G(Π)中任何其他納什均衡的策略組合(si)i∈N滿足：

o((si)i∈N≥1 o((si)i∈N)；o((si)i∈N≥2 o((si)i∈N)

定義4中a)指其他局中人都誠實遵守協議的前提下，局中人i采取誠實策略才是最優反應。b)指任何其他納什均衡的策略組合都不能使i得到比a)中更多的收益。自利性是以參與者為中心的個體性質，協議滿足自利性當且僅協議滿足關于所有參與者的自利性。自利性是一類通用的抽象屬性， 應用于具體協議時實數化參與者收益的過程。因此自利性應用廣泛，可以描述一般電子商務協議中個體的需求。

3.2 自利性與公平性

本節基于博弈理論比較自利性與公平性。如果系統的一方的收入是另一方的支出，則系統關于收入封閉;如果一方的支出是另一方的收入， 則系統關于支出封閉。同時滿足收入封閉和支出封閉的系統稱為零和(zero-sum)系統。

定義5 收入封閉。系統關于收入封閉當且僅當ui+(q) >0u-j(q) >0(i， j=1，2且i≠j)。

定義6 支出封閉。系統關于支出封閉當且僅當ui-(q)>0u+j(q) >0(i， j=1，2且i≠ j)。

定義7 零和系統。系統是零和的當且僅當u+i(q)>0u-j(q) > 0且u-i(q) >0u+j(q)>0(i， j=1，2且i≠j)。

基于Asokan的公平性是指協議主體只要遵守協議，則不管對方是否誠實在協議結束時對方都不會比他更有利。

定義8 公平性。協議關于參與者i公平當且僅當

u+j(q)=rj(γi)u+i(q)=ri(γj)。其中：q=o(si，sj，s3，s4)(i， j=1，2且i≠ j)。

定義8指不管另一方和通信媒介聯盟采取何種策略記為(s2， s4)，只要顧客采取策略s1，那么則由策略組合(s1，s2 ，s3，s4)產生的所有極大行動序列都滿足：如果商家有收入則顧客最終也能獲得收入(即商家不會比顧客占優)。公平性只適用于零和系統。例如數字現金支付協議(屬于類現金支付系統)屬于非零和系統，因為協議關于收入封閉但不關于支出封閉。協議雖然滿足基于Asokan的公平性定義但是實際上對顧客是不公平的。

定理1 如果協議關于收入封閉，則公平性蘊涵自利性。

證明 已知協議關于收入封閉，且滿足公平性定義8。下面分別證明協議滿足自利性條件1和2。

a) 先證明協議滿足自利性條件1即策略組合(s1 ，s2 ，s3 ，s4)是納什均衡的。

用反證法證明。假設該策略組合不是納什均衡的，則或者是局中人1選定的策略s1不是他對(s2，s3，s4)的最優反應策略; 或者局中人2選定的策略s2不是他對(s1，s3，s4)的最優反應策略。不失一般性，假設局中人1選定的策略s1不是他對(s2，s3，s4)的最優反應策略則他存在一個策略s′1使得u1(q)

因為q是局中人1和2采取服從協議的策略導出的行動序列，所以u+1(q)=r1(γ2)> 0 且 u-1(q)=r1(γ1) > 0。

由此可知u1( q) < u1(q′)必須滿足u+1( q′)=r1(γ2)> 0 且 u-1(q′) = r1(γ1) = 0(*)。

因為協議滿足公平性和u+1( q′)=r1(γ2)>0，所以u+2(q′)=r2(γ1)> 0，又因為協議關于收入封閉所以u-1(q′)=r1(γ1)> 0，與(*)矛盾。

b)接著證明協議滿足自利性條件1即其他任何納什均衡的策略組合得到的收益不會比策略組合(s1，s2，s3，s4)大。

用反正法證明。假設存在一個納什均衡的策略組合(s1′，s2′ ，s3，s4′ )使得u1(q)

因為u1( q) < u1(q′)， 所以u1+( q′)=r1(γ2)>0且u-1(q′)=r1(γ1)=0。

又由協議關于收入封閉可知:u+1( q′ )=r1(γ2)>0u-2(q′ )=r2(γ2)>0且u-1(q′ )=r1(γ1)=0u+2( q′ )=r2(γ1)=0。

由此可得， 如果局中人1和2分別采取策略s1′和s2′，則局中人2的收益為負。他在協議開始時就不會選擇s2′即s2′不是他針對其他局中人的最佳反應策略。所以(s1′，s2′，s3，s4′)不是納什均衡， 與假設矛盾。

反之不成立，即協議關于收入封閉，自利性不蘊涵公平性。以小額電子支付協議payword為例。Payword不保證顧客的公平性， 即商家收到顧客的電子貨幣payword后可能不提供顧客商品。由于payword幣值很小，商家即使欺騙也只能獲得很少的利潤，相反他因此破壞自己的誠信造成的損失反而更大，所以他沒有理由選擇這種損人不利己的背離協議的策略。由此可見協議雖然不滿足公平性但是仍然合理，自立性可以用于描述小額支付協議的這種性質。

3.3 自利性與匿名性

電子支付系統中顧客不希望自己的身份信息、購買記錄或地址等暴露給商家或銀行， 一旦這些信息被泄露則可能損害顧客的利益。可追蹤匿名性(accountable anonymity)指如果顧客正確使用電子貨幣購物，商家和銀行不能從電子貨幣獲知顧客的身份; 如果顧客重復使用同一個電子貨幣，則他的身份可被追蹤。顧客的匿名包括對商家的匿名和對銀行的匿名。例如SET協議使用雙重簽名技術實現顧客的匿名性， 協議對發送給商家的訂購信息(order information，OI)和發送給銀行的支付信息(payment information，PI)簽名，使得商家不能獲知顧客的信用卡保密信息，銀行不知道顧客購買信息的細節。本文用向量ηi={ηi，1， …，ηi，k}(k∈N)表示參與者i的隱私信息；ηi， j表示i對協議參與者j不能泄露的隱私信息。實數ri(ηi， j)＝0表示i沒有向j泄露ηi， j；實數ri(ηi)=1表示i泄露ηi， j， 由于任何參與者對自己沒有隱私信息，有ri(ηi， i)＝0。例如在本文模型中有

r1(η1，2)＝1，表示顧客向商家泄露了η1，2；

r1(η1，3)＝1，表示顧客向銀行泄露了η1，3；

r1(η1，1)＝0，表示顧客對自己沒有隱私。

4結束語

基于動態博弈的電子支付系統模型較好地刻畫了參與者進程的并發行為，即顧客、商家和銀行進程的交疊并發以及他們與通信媒介的同步通信行為。該模型考慮了理性參與者的多種可選行為，可以用于分析多類主體之間的合作與競爭;失效模型可以用于分析系統失效下協議的安全性質。模型也可以對樂觀公平交換協議和公平非否認協議等電子商務協議建模，具有良好的擴展性; 自利性可以用于描述協議公平性和協議計算代價的折中性。自利性解決了如何描述在協議公平性和計算代價之間的折中性問題，可以表示以協議主體為中心的性質如匿名性等。經過證明發現在協議滿足收入封閉的前提下公平性蘊涵自利性。模型適用于移動電子支付系統，自利性揭示了移動電子支付的本質特征。

參考文獻：

[1]Electronic payment systems observertory(ePSO)[CP/OL]. http://www.e-pso.info/epso/index.html.

[2]BELLAG，LONGO C，PAULSONCL.Verifying second-level security protocols[C]//Proc of the 16th International Conference on Theorem Proving in Higher Order Logics.Berlin:Springer-Verlag，2003:352-366.

[3]ASOKAN N. Fairness in electronic commerce[D]. Ontario: University of Waterloo，1998.

[4] ZHOU Jian-ying. Achieving fair non-repudiation in electronic transactions [J]. Journal of Organizational Computing and Electronic Commerce， 2001，11(4):253-267.

[5]ZHOU J，GOLLMANND. Towards verification of non-repudiation protocols[C]//Proc of International Refinement Workshop and Formal Methods Pacific.Berlin:Springer-Verlag，1998:370-380.

[6]ZHOUJ，GOLLMANN D. A fair non-repudiation protocol[C]//Proc of IEEE Symposium on Security and Privacy.Oakland，California:IEEE Computer Security Press，1996:55-61.

[7]GURGENS S，RUDOLPH C，VOGT H. On the security of fair non-repudiation protocols[J]. International Journal of Information Security， 2004.

[8]PAGNIA H， VOGT H，GRTNER F C. Fair Exchange[J]. The Computer Journal，2003，46(1):55-75.

[9]GRTHNER F C， PAGNIA H，VOGT H. Approaching a formal definition of fairness in electronic commerce[C]//Proc of the 18th IEEE Symposium on Reliable Distributed Systems.Washington DC:IEEE Computer Society Press， 1999: 354-359.

[10]KREMER S ，MARKOWITH O. Fair multi-party non-repudiation protocols[J]. International Journal on Information Security，2003，1(4):223-235.

[11]KREMER S，RASKIN J F.A game-based verification of non-repudiation and fair exchange protocols[J].Journal of Computer Security， 2003，11(3):399-429.

[12]CHADHA R， KREMER S，SCEDROVA. Formal analysis of multi-party contract signing[C]//Proc of the 17th IEEE Workshop on Computer Security Foundations .Washington DC:IEEE Computer Society Press，2004:266-279.

[13]SIRBU M，TYGAR J D. NetBill: an Internet commerce system optimized for network delivered services[J]. IEEE Personal Communications， 1995，2(4):34-39.

[14]HEINTZE N， TYGAR J D， WING J，et al.Model checking electronic commerce protocols[C]//Proc of the 2nd USENIX Workshop on Electronic Commerce.Berkeleg:USENIX Association，1996.

[15]TYGAR J D. Atomicity in electronic commerce[C]//Proc of the 15th Annual ACM Symposium on Principles of Distributed Computing.New York:ACM Press，1996: 8-26.

[16]KAILAR R. Reasoning about accountability in protocols for electronic commerce[C]//Proc of the 14th IEEE Symposium on Security and Privacy.Washington DC:IEEE Computer Society Press，1995:236-250.

[17]CLARKEE，JHA S，MARRERO W. A machine checkable logic of knowledge for specifying security properties of electronic commerce protocols[C]//Proc of the 13th IEE Annual Symposium on Logic in Computer Science.1998:21-24.

[18]SCHNEIDER S. Formal analysis of a non-repudiation protocol[C]//Proc of the 11th IEEE Computer Security Foundations Workshop.Washington DC:IEEE Computer Society Press，1998:54-65.

[19]BELLAG， MASSACCIF ，PAULSON L C. An overview of the verification of SET[J]. International Journal of Information Security. 2005，4(1-2):17-28.

[20]HOAREC A R. Communicating sequential processes[M]. Englewood Cliffs:Prentice Hall， 2004.

[21]OSBORNE M，RUBINSTEIN A. A course in game theory[M].Cambridge:MIT Press， 1994.

[22]李光久. 博弈論基礎教程 [M]. 北京：化學工業出版社，2005.

[23]BUTTYAN L，HUBAUXJ P.Rational exchange:a formal model based on game theory[C]//Proc of the 2nd International Workshop on Electronic Commerce (WELCOM). London:Springer-Verlag，2001:114-126.

[24]QING Si-han，LI Gai-cheng. A formal model of fair exchange protocols [J]. Science in China Series F-Information Sciences，2005，48(4):499-512.

[25]卿斯漢，李改成.公平交換協議的一個形式化模型[J].中國科學(E輯)，2005，35(2):161-172.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文