对交易进行控制的制作方法

专利名称：对交易进行控制的制作方法
技术领域：
本发明涉及一种设备和处理，该设备和处理用于为在开放分布式系统中每个都用于代表交易的一参与方的两个或更多个处理设备之间的电子交易或其他基于机器的交易建立基础，更具体地，本发明涉及一种分布式协议，该协议用于建立这种设备的用户之间的协定(agreement)的基础，从而进行协作以提供电子交易中的服务或约定。
背景技术：
任何交易都需要参与者之间的信任这一要素。信任的概念可以沿着下面的路线进行形式化。假设我们有这样一种情况，其中一参与方(B)向另一参与方(A)提供了某些承诺，可能得到某些互惠承诺作为回报。A参与方不能确定B参与方将兑现其承诺。如果A参与方接受来自B的要约(offer)，则其将随后基于B会履行其承诺的假设而行动，例如通过向B提供服务而期望B会为该服务付费，或者相反地，通过预先向B付费而期望B能够提供服务。如果B没能实现其承诺，那么A可能遭受一些损失。
作为理性的行为人(agent)，A仅当其认为可能的利益超过风险时才会接受B的要约，其中“风险”考虑B无法履约的概率以及该事件使A付出的代价。如果A接受，那么可以说就该交易而言“信任”B。所认为的会涉及的风险的程度是A对B的信任的量的度量。
“现实生活”的商业-商业交易通常发生在彼此信任、互相依赖的具有长期贸易关系的公司之间。在通过互联网的电子商务中，更加难以确定交易中潜在伙伴的身份和可信度。一种广泛使用的克服缺乏信任的方法是“受信任的第三参与方”(TTP)。TTP是互信且公平的中介。
当例如通过诸如“互联网”的开放分布式系统进行电子交易时，在建立信任的过程中会出现许多具体问题。具体地，各参与方很可能没有或者几乎没有预先接触过，对声誉或品牌也没有或几乎没有了解。例如，一参与方可能使用经由某种在线目录找到的B而找到另一参与方。确认另一参与方的身份也是相对困难的。例如，各参与方中的一参与方可能将自己伪装成更有声誉。
当考虑多参与方交易时，情况会更糟，而这种多方交易正变得越来越常见。例如，要提供的服务可能是通过将更简单的多个服务进行整合而提供的复合服务，所述更简单的服务中的每一个可以由不同的当事人提供。例如，滑雪假日套餐(package)可能需要飞机票、往返机场的运输、货币兑换、住宿、以及目的地的设施，诸如设备及指示(equipment andinstruction)。很可能的是，任一供应商无法履行其承诺都会破坏提供给终端用户的其余服务的所有价值。然而，在发现该破坏秩序的行为(antisocialbehaviour)之前，其他的服务供应商可能已花费了用于提供其服务元素的资源。因此责任问题可能相当复杂。该团体或虚拟组织的可信度将不仅仅依赖于多个个体供应商的可信度，而且还依赖于他们一起有效工作的能力。
一种其中将虚拟组织形成为配对的二元“客户-供应商”关系的集合的“合同网(contract net)”方法可以简化责任，但是它引起了其他问题。假设一旅游代理担当服务的中介或主承包人，所述服务组合了来自许多其他服务供应商的贡献。如果客户排他地与该旅游代理进行交易，则他可能甚至没有意识到使用了其他的供应商。此外，旅游代理可以“动态地(on-the-fly)”将团体放在一起，基于个案来选择要使用哪个服务供应商。那么客户的来自过去与该代理的交易的经验可能仅有有限的预测价值。
图1示出了这样的场景，该场景涉及利用笔记本计算机或个人数字助理10对无线局域网(WLAN)热点(hot spot)11进行访问的旅游者(traveller)。目前，这种热点隶属于具体的供应商，旅游者必须成为该供应商的服务的订户，或者现场付费，来使用这些设备。然而，可以预见将来旅游者可以向漫游服务供应商(RSP)12进行订购。RSP是虚拟运营商，其不拥有热点，但是向其订户提供经由用户希望使用的任何热点的访问，如果RSP 12现在还没有与热点运营商13建立关系，则其与热点11的运营商13实时协商合适的协定。建立连接之后，旅游者10然后可以使用互联网14来访问多媒体文化简介(包括高质量视频)，该多媒体文化简介根据旅游者的个人喜好以及热点11的位置进行定制。可以将视频流式地输入到热点亭(booth)的高分辨率屏幕。
该情形涉及在几个层面上提供复合服务。首先，实际的内容可以组合来自不同的资源的材料。对内容进行剪裁需要关于现场(例如来自热点运营商13)的信息和关于终端用户的信息(其可保持在用户的设备10上或者由RSP 12保持)。提供服务的通信信道跨越可能由不同的运营商拥有的多个网络，某些运营商可能相对较小(例如热点运营商)，而某些运营商可能是“虚拟的”。这增加了这样的预期不仅在服务管理层面上，而且在营业层面上，运营商之间的协定可能需要实时达成。需要得出账目、计费、和收入分配的安排，以及涉及的多参与方所共享的关联任务(包括协调)。
在这种情况下，有必要使各参与方能够彼此信任。如果一参与方具有对另一参与方的直接经验并且认为其是可靠的，则可以说在他们之间存在信任关系。在作为一参与方的行为人的装置中，此信任关系可以体现为与另一参与方相关的数据实体。可能存在负的信任关系，在该关系中，一参与方有对另一参与方不可信的经验。可以按相同的方式记录这些关系。然而，在许多情况下，用户对彼此没有先前的经验，所以就不存在信任关系(正或负)。要注意的是，信任关系是单向的。例如，单个用户可以信任一大公司，但是反过来不一定成立。然而，除非各参与方彼此信任，否则不会进行交易。
一种促进多参与方之间的信任关系的方式是引入受信任的第三参与方(TTP)，如图2所示。这就是实体29，其为参与交易的一参与方或更多参与方21、22(下文中称为“当事人”)所信任。TTP 29参与到交易中，使得与TTP 29具有预先存在的信任关系的任意当事人21、22能够像他们之间存在信任关系一样进行行动。在此说明书中，术语“信任服务供应商”(TSP)指的是按此方式有效地增强信任的提供电子服务的TTP。
可以按许多方式操作TSP。它可以在最初彼此根本不了解的当事人之间提供认证服务。当事人可能不愿意相互提供用以支持他们的身份声明的证件，因为这会使他们承受这样的风险另一参与方可能复制这些证件并随后进行欺骗性地使用。取而代之，一参与方将证件提供给TSP，TSP检查身份并向另一参与方确认该身份。授信方(accredited party)必须信任TSP不会滥用或暴露这些证件，而另一参与方必须信任TSP关于认证检查是胜任的并且也是诚实的。
TSP的另一可能的功能是作为电子“公证人”，担当合同或交易的受信任的见证人。如果出现争执(例如，关于是否或何时达成协定)，则可由各参与方之一出示由公证人签署的文件，以提供有权威的证据。
TSP还可以担当彼此不信任的各参与方之间的交易(例如购买)中的中介。各参与方将钱和物品发送给TSP，而当钱和物品都递送至TSP时，TSP将它们都分发出去。A参与方和B参与方必须都信任TSP不会带着钱或要购买的物品逃跑，并且会在当且仅当满足了合同要求时才分发它们。
一交易中可涉及多个TSP，这可能是因为不同的TSP提供不同的服务(例如，身份供应商和交换中介)，或者是因为不同的TSP代理不同的当事人。具体地，可能无法确定双方都可接受的一个TSP。然而，每一参与方可能能够确定其信任的不同的TSP，而这些TSP彼此信任。那么这些TSP能够联合行动以提供当事人之间的“信任链”。图3示出了这样情况，在该情况下，当事人21、22分别与TSP 28、29建立有信任关系。在该图中，将TSP标记为“联合的”(ATSP)，表明它们每个组合了多个TSP角色。通过单一的多功能TSP或者多个专用TSP的团体可以实现该聚合。
从图3中可以看出，TSP还可以向其他TSP提供信任服务。例如，第一TSP 28就当事人21向第二TSP 29提供信任服务。更一般性地，如果两个TSP没有彼此的信任记录，但是每个都信任第三TSP，则该第三TSP可以使信任不致中断，以使另两个TSP能够信赖地进行交易。
不总是可以依赖先前建立的“信任圈”或者找到某些互信公正的第三参与方。本发明是一种不同方法的技术实现，在该方法中，以律师在法律诉讼或房屋购买中代表不同参与方的形式，各当事人由不同的受信任参与方代表。如果我们将其概括为复杂的多参与方交易或者协作的商业过程，则我们就会发现对多个信任服务供应商的潜在需求，该多个信任服务供应商扮演不同的专家角色并且与不同的当事人有联系。非常有效地，多个TSP担当了联合TTP。当事人与一个或更多个TSP建立了关系，这意味着他们在保护他们在交易中的利益的问题(例如保护隐私并确保他们不被欺骗)上依赖TSP。TSP被认为能够例如通过经识别的“元TSP”的证明来辨别其他TSP的状态，其方式与律师辨别该状态并且信任同业律师(fellow solicitor)的专业行为的方式相同。TSP联合的概念是诸如由自由法案/自由联盟所定义的联合的身份管理方案之下的联合概念的归纳，其讨论的是信任圈。
本发明涉及一种机制，通过该机制，尝试参加可能是复杂的多参与方交易的一组装置可以就一批信任服务供应商达成并记录协定，这批信任服务供应商参加交易将给当事人足够的信心来进行交易。当当事人的“团体”是为了特定目的而动态组成，且几乎没有或完全没有人为干涉时，这种机制尤其重要。
图4示出了将图3所示的情况概括为多参与方交易和多个ATSP。该图的下半部示意性地示出了相互协作来制定进程以向某终端用户20(也是一当事人)提供服务的当事人21、22、23、24、25的集合。虚线箭头表示由一个当事人向另一当事人提供的、作为交易的一部分的服务，期望某形式的付款作为回报。然而，当事人之前可能相互不了解，例如度假者20、旅游代理21、航空公司22、运输运营商23、24和保险公司25可能彼此先前没有交易过。让我们假设已经协商了草案服务协议，定出要提供的服务和作为回报而应付的费用。为了最后确定下该协定，每个当事人必须确定其对其他当事人的行为是否有超过意识到的风险的足够的信心。该图的上半部示出了以联合方式行动来降低意识到的风险和/或提高信心的ATSP 26、27、28、29的集合。实际上，多个ATSP是交易过程的额外的参加者。附加的操作不会改变成功交易的结果。在图4中，显示了将ATSP与当事人关联起来的箭头，其指示ATSP代表当事人的利益。即，ATSP提供其客户会履行承诺的保证并且确保做出保护他们的权利的安排。例如ATSP 27代理当事人21和23。图4还示出了在行为人20-29之间发送的消息31-39、41-49。这些将稍后进行描述。

发明内容
根据本发明，提供了一种用于与一个或更多个对应的装置进行协作以控制交易的进展的处理装置，用于从其他这样的装置接收数据文件的装置；用于读取所接收的由其他参与方对数据文件的签署(endorsement)的装置；用于对这些数据文件中被标识的各个其他参与方，用正签署、负签署或附条件签署对这些数据文件进行重新签署的装置，其中如果满足指定条件，则将接收的数据中的附条件签署转换为正签署；用于标识数据文件已被其中标识的所有参与方签署过了的装置；用于在所得到的所有签署都为正时报告成功验证的装置；用于在任何签署为负时报告失败验证的装置；用于如果验证成功则进行所述交易的装置；以及用于将数据文件发送到与数据文件中标识的其他参与方相关联的装置的发送装置。
然后，一组分布式的这种装置会进行协作，通过确定提出的交易是否符合针对各个装置所指定的预定条件来控制交易的进展。在该组中的某些或所有装置还包括用于通过对一提出的交易的所有参与方进行标识而开始处理的装置；用于创建识别交易的所有参与方的信任数据文件的装置；以及用于将该文件发送到一个或更多个所述参与方的装置。然而，某些装置可能不具备这些特征，但是可以响应由另一装置发起的处理。
根据另一方面，提供了一种用于两个或更多个行为人之间的交易的预验证处理，其中创建了数据文件，该数据文件标识要参加交易的所有行为人，将该数据文件传播给所有行为人，每个行为人用正签署、负签署或附条件签署针对各其他行为人对数据文件进行签署，其中如果满足了第一行为人和第二行为人之间的附条件签署内所表示的条件，则将该附条件签署转换为正签署，其中当所有行为人都签署了数据文件时，如果所有得到的签署都为正，则报告成功验证，而如果任何签署为负，则报告失败验证。
在下文中将所述数据文件称为“信任契约(trust compact)”。它是机器可读形式(通常是电子形式)的文档。具体地，它列出了交易的参与者(当事人和TSP)并且记录他们对信任安排的足够性的赞同。信任契约在处理的执行期间被传递，以收集签署(例如指示临时赞同)。因此它在记录协议执行过程的状态时扮演重要的角色。
所述处理自身是分散的，包括一组消息类型、以及定义“行为人”(当事人、TSP等)如何响应诸如接收到消息的刺激的“行为规则”。
优选地，附条件签署以数据文件中有无其他签署的形式来表示。
因此，本发明提供了一种装置和处理，用于标识和承认推动自动地、复杂的多参与方商业交易或协作的商业过程所需的一组信任服务供应商(TSP-电子受信任的第三参与方)。它提供了自动地对作为(可能复杂的)交易的附加参与方的一组“第三参与方”信任服务进行发现和承认的装置。附加的信任服务共同向交易的当事人提供以下保证当事人的利益将被保护，即，他们实现了保护隐私或匿名、防止欺诈等的机制。如果没有本发明(或者等同的机制)，则必须在参与组织之间“离线”协商附加的信任服务，这将排除这种为未来的基于web服务的商业应用所设想的动态的特别交易。
以这样的方式建立该组TSP，即，使所有当事人可以确信交易或协作处理可以进行，而他们的利益没有过度的风险。以前的联合身份或信任方案假设信任圈已存在，或者假设最终由根证明权威来确保信任。
本发明促进了复杂交易和协作(企业间)商业过程的执行。这些优点主要适用于未来的自动的高度动态的商业环境，而不是今天的世界。如果没有诸如在此描述的机制，自动交易/协作将被限制在低价值/低风险过程或者彼此非常熟悉的多参与方之间。
在一个实施例中，已签署了数据文件的各行为人将其转发给还没有签署该数据文件的另一行为人，或者如果没有剩下的这种行为人，则将其转发给发起该文件的行为人。在一另选实施例中，每个行为人立即或在依次将数据文件转发给另一行为人并从其接收到响应之后，将响应返回给该行为人从其接收到数据文件的行为人。在后一情况下，行为人可以作出以另一行为人的签署为条件的签署，然后转发要由其他行为人接收的经签署的数据文件并等待响应，在接收到带有由其他行为人签署的数据文件的响应时修改其自身的签署。
本发明延伸到一种配置用来在处理中起作用的装置，具体地，延伸到一种装置，用于签署并转发信任契约以使一组分布式的这种装置(每个代表潜在交易的一参与方)形成拒绝或批准契约的系统(或者换言之，分布式处理器)。批准的契约将成为同意进行交易的基础。
本发明还延伸到一种包括使计算机执行本发明的方法的一组指令的计算机程序，并且延伸到一种计算机程序或计算机程序包，其与一个或更多个计算机一起使用以提供本发明的任何装置，本发明包括计算机程序，该计算机程序包括使处理装置处理从另一这种装置接收的数据文件的一般指令、以及用于产生数据文件的指令，该计算机程序还包括标识签署该文件所需的行为人。本发明还延伸到所述数据文件自身，这使得接收装置根据先前编程到该接收装置中的一般指令来处理包含在数据文件中的数据。
本领域的技术人员应该理解，可以将用于实现本发明的计算机程序以及在这些计算机程序之间交换的数据文件包含在诸如软盘、CD-ROM或磁带的各种传输和/或存储介质上，以使程序可以装载到一个或更多个通用计算机上，或者使用可由合适的计算机输入装置读取的合适的载体通过网络进行下载，所述载体诸如CD-ROM、光学可读标记、磁介质、打孔卡或带，或者可以将其包含在电信网络所传送的电磁、声学或光学信号上。由载体携带的指令可包括用于处理从另一装置接收的信任契约的一般指令，并且还可包括用于产生这种信任契约的指令。本发明还延伸到带有包含在信任契约自身中的指令的载体，其使得接收装置根据先前编程到该装置中的一般指令而进行操作。控制该装置的行为规则根据装置是否为发起装置(其通常是当事人之一)将会有些不同，并且还可以在当事人和TSP之间变化。然而，在每种情况下基本协议是相同的。


将参照附图通过示例描述本发明的实施例，在附图中图1是示出了可能要求多个装置形成协作系统的情形的示意图，已对其进行了描述。
图2是示出了两个当事人和一共同的信任服务供应商之间的简单关系的示意图，也已对其进行了描述。
图3是示出了其中两个当事人不共享相同的信任服务供应商的更复杂的关系的示意图，也已对其进行了描述。
图4是示出了在本发明的一个实施例(要论述的第二实施例)中六个当事人和四个信任服务供应商之间的关系以及可以在他们之间传送的消息的示意图，已对其进行了部分描述。
图5以表格形式示出了在执行本发明时各参与方之间交换的信任数据文件中所带有的数据。
图6是示出了由根据本发明的装置执行的处理的第一实施例的流程图。
图7是示出了由根据本发明的装置执行的处理的第二实施例的流程图。
具体实施例方式
通过修改行为规则可以获得协议的许多变型例。应该将所描述的版本视为说明性的示例。将描述两个不同的实施例，其中描述了经签署的信任契约的处理以及用于传播该契约的消息模式。在这两个实施例中，签署参与方通常选择另一参与方并将经修改的契约发送给它。
在第一实施例中，只有一种消息。将消息从各个装置转发到下一个，直到所有参与方都签署为止，之后，将其直接转发回发起方。
在第二实施例中，存在两种消息请求和响应。从发起方发送到另一参与方的每个请求后必须跟着从该另一参与方到发起者的对应的响应。该响应表明响应方是接受还是拒绝请求，并且还包括更新的信任契约。该响应不需要立即发送。具体地，响应可以在其自身响应发起者之前将请求发送到其他参与方并等待他们的响应。
图5以表格形式示出了用于协调执行本发明的行为人装置之间的交互的在典型信任契约文件5中所携带的数据。该数据集与两个或更多个行为人20、21、26、27的集合相关，这些行为人是契约参与方，其中至少两个是当事人20、21。通常，它还会列出一个或更多个信任服务供应商(TSP)。它还包括当事人和TSP之间的关联50、51、56、57的集合。对于每个行为人，由与其相关联的其他行为人的列表来表示这些关联。(图5中表示的关联与图4中示出的关联相同)。当事人20和TSP 26之间的关联表明TSP 26将向当事人20提供信任服务，也就是说，它会维护当事人的在由信任链保证的交易中的利益。信任契约文件5还包括由信任链的各方(即当事人或TSP)进行的签注509、519、529、539的集合，指示他们是否同意该信任链。此集合最初是空的，但是随着信任数据文件被传播给各参与方20、21、26、27而被填满。签署可以为“正”(+)、负(-，未示出)或者以某其他指定参与方X的正签署为条件(？，X)。该文件还包括对草案服务协议文档的引用59，用于提供要由各参与方做出的决定的条件(context)。可以将该文档发送到与该文件相关联的各参与方，或者可以包括对它的引用，诸如对先前传播的文档的引用、或者(如所示)到某些可互相访问的位置的“超链接”。最后，信任数据文件指定完成要求59，该完成要求59描述为使契约生效而必须满足的条件。通常，这些条件会是对某些或所有参与方的正签署的要求。
关联指示存在不对称的双向信任关系。它指示TSP准备担保当事人的可信度。这意味着如果当事人不履行责任，则TSP将承担风险——它将失去声誉，并且如果它在某种程度上对它所支持的当事人的义务承担责任，则它还可能遭受物质损失。换言之，当事人信任TSP对与其他参与方的交易中所涉及的风险的判断。
当满足完成要求59时，才说信任契约是完成的。通常这要求契约5的所有参与方20、21、26、27、……都添加指示同意的签署509、519、529、……。如果可以总结出其无法完成——通常这是因为需要对契约正签署的一参与方对其进行了负签署，则说信任契约已失败。
当事人20、21等的“同意”表明如果涉及该组当事人的交易是由联合行动的一组TSP监督的，则该当事人信赖地参加该交易。TSP的“同意”表明其信赖地与其他TSP联合行动以确保维护其与之相关联的当事人的利益。因此，每个当事人依赖其各自的TSP来批准或拒绝提出的协定，而每个TSP依赖其他TSP来批准或拒绝它们与之分别相关联的当事人。
在此实施例中，所有行为人具有三个函数，下文中称为“trust(信任)”、“consent(同意)”和“complete(完成)”对函数trust(<party>，<compact>)求值以决定在当前的条件下行为人是否信任另一参与方。通常，该函数返回三个值之一，这里称为“正”、“负”和“附条件”。返回的函数取决于该用户对该另一参与方的先前的经验。为了执行此函数，每个用户保持存储的行为人列表，对所述行为人可以返回正或负的信任值，并且如果需要，还可返回其中可以返回该值的情况——例如仅针对达到预定金额限制的交易。例如如果该参与方没有对另一参与方的足够经验以给出正或负的响应，则使用附条件的值，并且如果满足某些其他条件(通常是从另一参与方接收到正响应)就可以将附条件的值转换为正响应。
目前(至少)我们假设在行为人接收到由trust返回的值时，该值独立于已经附于契约的签署。
每一参与方对函数consent(<compact>)求值以确定行为人是否准备对契约签署(或者推荐签署)。它返回正签署、负签署或附条件签署的推荐。如果正签署是以某些其他因素(通常为某些其他参与方的正签署)为条件的，则附条件签署是恰当的。
在一个示例中，TSP同意一契约，如果它信任该契约中的所有TSP(即针对该契约中的所有TSP产生正的信任值)，并且它信任它与之相关联的所有当事人(即，它愿意在该交易中代表这些当事人)，并且它信任未与任何其他TSP相关联的所有当事人。
当事人将同意一契约，如果它相信该契约中的所有当事人，或者它相信它与之相关联的TSP。
因此，如果当事人具有彼此合作的历史，则可以在不涉及任何TSP的情况下完成契约。另选地，如果不是每个当事人都有与彼此信任的记录，则必须找到彼此信任并且集总地信任当事人的一个或更多个TSP，每个TSP与一个或更多个当事人相关联。
consent函数可以是附条件的，一个行为人的决定取决于另一个行为人的决定或者取决于请求是从哪个行为人接收的，例如当事人可以仅当其TSP已同意时才同意，或者TSP可以仅当其当事人请求同意时才同意。
在操作中，一参与方请求另一参与方同意信任契约。与请求一起发送信任契约(或者其引用，诸如从其可以检索到该信任契约的地址)。如果另一参与方同意，则它将正签署添加到该契约。如果它不同意，则它通常添加负签署。在某些情况下，可以推迟同意决定，在该情况下，保持信任契约不变，或者添加附条件签署。
complete(<compact>)函数具有三个值“完成”、“失败”或“未完成”。此函数对于给定系统中的所有行为人是相同的。通常，使其“完成”，契约的所有参与方(当事人和TSP)都必须对契约进行正签署。因此如果一参与方对其进行了负签署，则契约无法完成从而失败。如果某些签署还未进行或者是附条件的，则该契约“未完成”。
现在将分别参照图6和7来描述通过其可以完成信任契约的两个过程。在每一种情况下，我们都假设存在一种候选信任契约，其具有一组当事人、TSP和关联，但是还没有签署。为了完成信任链或者得出该链无法完成的结论，必须得到其所需要的各参与方的同意，直到全部添加了正签署，或者直到一参与方添加了负签署为止。
图6示出了基于“单向”协议的简单过程，其没有对必须获得签署的顺序进行限制的约束，所述协议依赖于所有行为人能够与所有其他行为人进行通信。在候选契约5中，将一个行为人标识为发起者并如此标注。将契约5首先发送到发起者。行为人如下修改该契约，并在它们之间交换该契约接收到契约(步骤60)的任何行为人检查签注，对完成(步骤61)以及失败(步骤62)进行测试，然后应用以下规则如果契约未完成(也就是说，既没有完成也没有失败)，并且行为人还没有对其签注(测试63)，则行为人应用它的consent函数(步骤64)并根据consent函数的结果对契约进行签注。行为人然后再次对完成进行测试(步骤61)。
如果契约未完成，但是当前持有契约的行为人已对其签注，则选择还未对其签注的行为人之一，并将契约发送到该行为人(步骤65)。
如果当行为人最初接收到契约(步骤60)时，或者作为其签署的结果(步骤64)发现契约已完成(步骤61)或者已失败(测试62)，则将契约发送到发起者(步骤67)。然而，如果该行为人自身就是发起者(测试66)，则它发送消息到已对契约进行签署的所有行为人，以将结果通知给它们(步骤68)。然后处理结束。
这组行为要求每个行为人能够与所有其他行为人进行通信并且可以独立地做出同意决定。该处理将总是在契约“完成”时终止。契约一“完成”，处理就终止，没有行为人会超过一次地收到契约。
然而，会出现不是所有行为人都能彼此进行通信的情况或者由一个行为人做出的同意决定是以其他行为人做出的响应为条件的情况。我们可以通过这样安排来对行为进行限定行为人将仅尝试向它可以与之通信、并且如果可能，还没有对契约进行签注的行为人发送消息。如果没有符合此规则中的选择标准的就通信而言可用的行为人，则取而代之向契约中列出的不符合该选择标准的可用行为人发送契约。然而，除非没有其他行为人可用，否则不将契约直接返回到从其接收到契约的行为人，并且行为人不应该将同一契约发送给任何给定行为人超过一次，除非与该行为人相关的签署临时改变。
此附加行为将使处理在许多情况下能够完成。如果返回到发起者的契约未完成，则发起者会像任何其他行为人一样行动，并尝试它可访问的没有对契约进行签署的其他行为人。如果没有剩下这种行为人，则它将总结出无法完成该契约，因为通信网络不完整或者因为一个或更多个附条件响应无法决定。如果已知互连拓扑的某些性质(例如，如果已知所有的ATSP可以与所有其他的ATSP进行通信)，则可以利用该知识使搜索更有效率。
如果存在使签署决定的顺序重要的约束，则复杂性还会增加。例如，当事人的签署决定可能取决于由其TSP提供的作为其签署的一部分的附加信息。在此情况下，TSP必须在当事人能够做出明确决定之前进行签署。consent函数可以返回这样的值，该值表明在其可得出结论之前需要确定的一条或更多条信息(在本例中为由另一行为人添加到签署的信息)。为了解决该问题，如果由给定行为人21(图4)产生的consent函数得出结果“由于缺少来自行为人29的签署而没有确定”，则行为人21将未修改的契约转发到另一行为人25。稍后，契约将到达非独立行为人29，其做出决定。最终，将再次考虑第一行为人21，因为它还没有对契约进行签署，并且因为非独立行为人29现在已对契约进行了签署，所以另一行为人21现在也可进行签署了。
另选地，行为人21可以产生例如表明如果另一行为人29也添加了正签署则同意的附条件签署、或者相互的附条件签署。将不匹配的附条件签署视为出于“路由”目的的正签署。如果附条件签署已匹配，则将其视为不存在。因此，仅在附条件签署被匹配之后才将它返回到发出它的行为人。附条件签署方法的一个优点是签署可带有信息，例如向行为人询问问题，该问题在该行为人自己的签署中回答。在连通性不完整的情况下，附条件签署也是有用的。它们帮助确保直到行为人可以做出明确决定之前不会再次访问所述行为人。
通过使用图4和图7所示的另选的“请求-响应”协议，可以解决缺少全连通性和/或涉及依赖决定的系统中的某些上述路由问题。该协议具有两种类型的消息“请求”和“响应”。两种消息类型都带有信任契约。该协议使用在对“单向”进行论述期间所建议的附条件签署。如果附条件签署所依赖的正签署存在，或者如果附条件签署是相互对的一部分或者更一般性地为附条件签署环(例如A以B为条件，B以C为条件，C以A为条件的3环)的一部分，则称附条件签署是“匹配的”。在行为的描述中，除非存在匹配的或相互的签署(在该情况下将附条件签署视为不存在)，否则将附条件签署视为正签署。所述规则旨在用正签署替换附条件签署，以确保最终的完成。
图4示出了在当事人之间无法进行直接通信的示例情况下请求和响应消息的流。在图4中用宽箭头示出了这些消息，将请求标记为31-39，并将响应标记为41-49。图4中的实线双头箭头指示当事人和ATSP之间的关联。在此情况下，这些箭头还暗示关于签署决定的互相依赖性。通过下面概括的行为的一般规则、互相依赖性、以及当事人之间的通信缺乏，来确定示出的具体消息序列。
如下是该处理。必须理解的是，“发起者(initiator)”是开始整个处理的行为人20，而“始发者(originator)”是该处理内单个请求消息的源。
将请求消息解释为请求收信人(addressee)同意契约(即添加正签署)的请求。如果接收人同意，则它返回包含经正签署的契约的正响应。如果它不同意，则它返回负响应。在此情况下，添加负签署表示对契约明确不满。没有来自响应行为人的签署表示既没有明确同意也没有明确不满。除了给出了签署所依赖的条件的指示之外，附条件签署与之是类似的。作为在多种情况下良好地处理依赖性的机制的一部分，引入第三种类型的响应“附条件”。将在下面解释该机制。
要注意的是，行为人通常不会直接响应于这种请求，而是在它发送其自己的请求并寻求到其的响应的同时保持所述请求。
行为人接收到请求或响应(步骤70)。如果它还没有对契约进行签署(测试700)，则它应用其consent函数(71)并适当地对契约进行签署(正、负或附条件)，然后如下地行动。
如果该行为人现在持有已失败的契约(测试701)，则它将负响应返回给请求的始发者。如果该行为人正持有已完成的契约(测试701)，则它将正响应返回给始发行为人。如果该行为人自身就是发起者并且它不需对另一行为人进行响应，则该处理正常地完成。因此，接收到这种失败或完成响应的每个行为人会将其依次传递回它从其接收到对应的请求的行为人(步骤79)，直到该响应到达发起者20为止。如果该行为人所持有的契约具有不匹配的附条件签署，该附条件签署表明了对一行为人的决定的依赖性(测试703)，并且如果该行为人可与它通信(测试704)，则它将请求发送到该行为人(步骤78)并等待响应。否则，如果该行为人能与其签署是完成契约所需的行为人进行通信(测试705)，则它将请求发送到该行为人(步骤78)并等待响应。如果当前行为人可以与之通信的所有行为人都已对契约进行了签署，则它准备对原始请求的响应。如下地确定该响应的形式如果契约已经具有来自行为人自身的附条件签署(测试706)并且具有匹配的正签署或相互的附条件签署(测试707)，则该契约用正签署替换它自己的附条件签署(步骤72)并再次应用以上测试(测试701等)。
在行为人可以与它们依赖于其决定的其他行为人直接通信的情况下，该最后的条件使得被匹配的附条件签署被正签署所替换。这是因为一旦最后要求的行为人对契约进行了签署，则所有行为人将在“返回路径”上被再次访问。要注意的是，附条件签署仅能由首先进行了该附条件签署的行为人来替换。
在某些情况下，例如由于附条件的依赖性，发起人可能自身会接收到请求。必须遵守每个请求必须具有对应的响应这一规范，因此在这种情况下处理未完成(步骤701)，这样，始发者将像任何其他行为人一样行动。
在连通性不完全的情况下，必须确保一旦解决了依赖性，则施加了附条件签署的行为人会被再次访问。为了解决该问题，使用“再咨询(re-consult)”标志。这与附条件签署类似。如果契约包含来自另一行为人的附条件签署，则添加一标志，该标志用于标识该行为人以及可以使该签署为正(或负)的条件，并且表明如果满足该条件，则应该向该行为人发送另一请求。通常，该条件引用(cite)附条件签署并且在满足了该签署的条件时才满足。因此，如果行为人被提供了具有它自己添加的“再咨询”标志、并引用了它能与之通信的行为人的契约，并且现在满足了条件，则它去除该标志，并将请求转发给该标志中标识出的行为人(步骤78)。
否则，行为人已经耗尽了进一步请求的所有可能，并将响应返回给始发者(步骤79)。如果行为人对契约的签署是附条件的或者如果契约包含该行为人自己添加的任何“再咨询”标志，则该行为人返回附条件响应。包括再咨询标志的签署和/或条件作为“原因”。在接收到附条件响应时，行为人添加再咨询标志，该标志引用发送该响应的行为人以及相关联的附条件签署/条件。
可以看出，请求31-39总是导致对应的应答41-49。然而，接收人在做出决定并返回应答之前可以咨询其他行为人。在简单的情况下(完全连通，没有决定的依赖性)，请求-响应方法相对于“单向”方法而言没有优势，并且效率较低(它需要发送更多消息)。在其他情况下，在降低进行决策的复杂性和行为人状态的复杂性而言，请求-响应方法具有优势。上述该组行为实现了这样的策略，该策略包括不完全的连通性和依赖的决定。它基本上是“深度优先”策略，因为一行为人会咨询其他行为人，如果所述其他行为人在返回响应之前可被访问的话。
设计出上述架构用来获得对预先存在的候选信任契约的同意。这里，我们考虑通过其可以建立候选信任契约的机制。下面考虑三个基本的另选例。
在第一种方法中，存在一个独特的契约建立阶段，在其期间进行咨询以建立可能获得所有参与方的同意的候选契约。咨询过程类似于寻求同意时所涉及的过程。主要差别在于咨询过程允许各参与方将TSP添加到契约中，以提高所述契约对于它们的可接受性。潜在的假设是一参与方不可能会主动地不信任TSP，从而将一TSP添加到契约中会趋于提高同意的概率。假设当事人是由交易的性质所确定的，从而仅考虑改变TSP。接收到请求的一参与方添加正签署，或者添加一个或更多个TSP以及正签署，或者添加负签署(使处理失败)。
一种可能的改进是允许一参与方提出一组另选的TSP。在此情况下，将允许随后被咨询的各参与方“剪除(prune)”某些另选TSP，如果出于某原因而不可接受它们的话。
一旦所有参与方都在该建立阶段对契约进行了正签署，则再次传播该候选契约以获得明确的同意。
第二种方法是重复或“反复试验(trial and error)”方法。用某种方法设计出“最小”候选契约，并将其传播以获得同意。如果该尝试被另一参与方拒绝，则该参与方可以用另外的TSP(会使其接受该链的最小集合)开始新的尝试，并且以同样的方式继续。通过引入附条件拒绝(具有附加信息的负签署)的思想可以使此过程变得容易。这是一种表示拒绝参与方将发出反要约的响应形式。因此，考虑提出修改的请求的其他参与方会推迟这种作法。
以上两种方法都清楚地区分以下两种操作模式建立契约和获得同意，这导致了一定量的重复。通过将建立契约和获得同意都组合在单次循环(single pass)中，可以避免重复。
一种对该实施例的改进允许最初间接地指定链中的TSP。即，不是明确地指定TSP，而是由TSP表达式来描述TSP。作为搜索过程的一部分，将该表达式解析为实际的TSP。能够将表达式解析为TSP的实体是已知的TSP参考器(TSP referrer)。关心的具体情况是，其中将当事人的TSP提供为某联合服务的一部分。当事人不知道实际的TSP，而实际的TSP是由联合服务的供应商提名的。所使用的TSP表达式有这样的意思“由参考器R通知与当事人P相关联的TSP”。在搜索过程期间，发起方或接收到请求的一参与方应该尝试通过联系参考器来解析表达式。参考器提供有带符号的断言，该断言声明“由参考器R通知与当事人P相关联的TSP为T”。将该断言附于信任契约。
另一相关的改进允许给出一组另选的TSP来代替特定TSP。在对包含这种表达式的链进行签署时，一参与方认为其中该组被其任一成员所代替的信任链还可以被认为经签署的。在搜索期间，可以用具有仍可被接受为有效的新形式的子集或单个元素来代替这种集合。如果完成了信任链而还没有将该集合解析为单个TSP，则发起对应该使用另选例中的哪一个进行选择。
权利要求
1.一种处理装置，该处理装置用于与一个或更多个对应的装置进行协作以控制交易的进展用于从其他这种装置接收数据文件的装置；用于读取由其他参与方对所接收的数据文件的签署的装置；用于针对数据文件中标识的各个其他参与方，用正、负或附条件签署对数据文件重新签署的装置，其中如果满足指定条件，则将接收的数据中的附条件签署转换为正签署；用于标识数据文件已被其中标识的所有参与方签署过了的装置；用于在所有所得的签署都为正时报告成功验证的装置；用于在任何签署为负时报告失败验证的装置；用于如果验证为成功则进行交易的装置；以及用于将数据文件发送到与在数据文件中标识的其他参与方相关联的装置的发送装置。
2.根据权利要求1所述的处理装置，所述处理装置还包括用于标识所提出的交易的所有参与方的装置；用于创建标识交易的所有参与方的信任数据文件的装置；以及用于将该文件发送到一个或更多个所述参与方的装置。
3.根据权利要求1或权利要求2所述的处理装置，所述处理装置设置有用于产生并发送以来自另一装置的响应为条件的签署的装置，以及用于在随后从该另一装置接收到具有这种签署的数据文件时修改该签署的装置。
4.一种与一个或更多个计算机一起使用的计算机程序或计算机程序包，所述计算机程序或计算机程序包用于提供如在权利要求1至3的任一项中所述的任何装置。
5.根据权利要求4所述的计算机程序，所述计算机程序包括用于使处理装置处理从另一这种装置接收到的数据文件的一般指令。
6.根据权利要求4或权利要求5所述的计算机程序，其中，所述指令包括用于产生数据文件的指令，该数据文件包括标识必须对该文件进行签署的行为人。
7.根据权利要求6所述的计算机程序，所述计算机程序包括所述数据文件，该文件包括使得接收装置根据先前被编程到该接收装置中的一般指令来处理包含在所述数据文件中的数据的指令。
8.一种数据载体，载有根据权利要求4至7中任一项所述的计算机程序。
9.一种预验证方法，用于两个或更多个行为人之间的交易，其中，创建数据文件，所述数据文件标识要参加交易的所有行为人，将所述数据文件传播给所有行为人，每个行为人用正签署、负签署或附条件签署针对各个其他行为人对数据文件进行签署，其中如果满足了第一行为人和第二行为人之间的附条件签署内所表示的条件，则将所述附条件签署转换为正签署，并且其中当所有行为人都签署了所述数据文件时，如果所得到的所有签署都为正，则报告成功验证，而如果任何签署为负，则报告失败验证。
10.根据权利要求9所述的方法，其中，所述附条件签署以数据文件中有无其他签署的形式表示。
11.根据权利要求9或10所述的方法，其中，已对数据文件进行了签署的各个行为人将所述数据文件转发给还没有无条件地对所述数据文件进行签署的另一行为人，或者如果没有剩余这种行为人，则将所述数据文件转发给始发该文件的行为人。
12.根据权利要求10或11所述的方法，其中，每个行为人立即或在依次将数据文件转发给另一行为人并从其接收到响应之后，将响应返回给它从其接收到数据文件的行为人。
13.根据权利要求12所述的方法，其中，作出以另一行为人的签署为条件的签署的行为人转发要由该其他行为人接收的经签署的数据文件并等待响应，在接收到带有由其他行为人签署的数据文件的响应时修改其签署。
14.一种计算机程序，该计算机程序包括使计算机执行根据权利要求9至13中任一项所述的方法的一组指令。
全文摘要
本发明涉及对交易进行控制。在多个基于行为人的装置(21－29)之间发生交易之前，其中不是所有行为人之前都具有对彼此的先前的经验，创建数据文件，该数据文件标识要参加交易的所有行为人。将所述数据文件传播给所有行为人，每个行为人基于表明该行为人是否能够与其他行为人进行协作的已存储的数据，用正签署、负签署或附条件签署针对各个其他行为人对数据文件进行签署。行为人针对不准备与其进行协作的任何行为人应用负签署。这种负签署对交易是致命的。行为人(21)针对无条件地准备与其进行协作的任何其他行为人(27)应用正签署。在第一行为人(21)没有足够的数据来应用正或负签署的情况下，第一行为人(21)应用针对第二行为人(23)的附条件签署，该附条件签署表示会使签署变为正的条件，例如某其他指定行为人(28)的正签署。如果随后满足了这些条件，则将所述签署改为正。当所有行为人(29)都对数据文件进行了签署时，如果所有得出的签署都为正，则向始发行为人(20)报告成功的验证，这使交易可以进行。
文档编号G06Q10/00GK1922628SQ200580005770
公开日2007年2月28日 申请日期2005年3月7日 优先权日2004年3月12日
发明者保罗·约瑟夫·卡尼, 西蒙·彼得·格里菲思, 罗伯特·约翰·格拉斯福德 申请人:英国电讯有限公司