基于演化博弈的隱私風險自適應訪問控制模型

丁紅發，彭長根，田有亮，向淑文

（1.貴州大學數學與統計學院公共大數據國家重點實驗室，貴州 貴陽 550025；2.貴州財經大學信息學院，貴州 貴陽 550025；3.貴州大學計算機科學與技術學院，貴州 貴陽 550025）

1 引言

訪問控制是信息系統保障數據安全和系統安全的重要和基礎性工具[1]。云計算、大數據及物聯網的興起和發展，使網絡和系統更加復雜、開放，數據安全和隱私需求更加多樣化，用戶和系統的角色、屬性更加難以發掘，需要更加動態化、自適應、細粒度的訪問控制模型以滿足新環境下的安全和隱私需求[2]。

強制訪問控制[3]、自主訪問控制[4]、基于角色訪問控制[5]等訪問控制模型的訪問策略是靜態的，訪問控制粒度粗放，且面對大規模用戶的開放系統難以預先指定用戶身份，故這些模型難以適用于云計算、大數據和物聯網中新型的應用場景。基于屬性訪問控制[6]因其訪問控制粒度較細、不需要指定用戶身份或角色而受到了廣泛關注，在云計算、物聯網等場景得到了廣泛應用，但其需要預先定義訪問策略，屬性挖掘與屬性撤銷的計算和實施都比較困難，不能適應動態訪問控制需求[7]。為了解決基于屬性訪問控制等傳統訪問控制模型存在的諸多問題，風險和信任被先后引入訪問控制中，提出了基于角色或屬性的風險訪問控制模型[8-10]，一定程度上解決了用戶訪問的動態控制，并進一步發展為基于風險訪問控制[11-12]，更加適用于大數據環境的訪問控制需求。同時，醫療、社交網絡、位置信息服務等系統的大量多樣性數據集訪問具有開放性、動態性和隱私敏感需求，隱私侵犯來自內部和外部訪問[13]，迫切需要在訪問過程中對用戶隱私信息進行隱私保護。

訪問控制模型中存在授權不足或授權過度的現象，引發數據和系統安全、隱私泄露的風險，亟需能夠平衡安全隱私與授權度間的解決方案。訪問控制可看作訪問主體（用戶）與訪問客體（服務提供者或系統）間的沖突與合作。博弈論[14]作為一種解決參與者對抗與合作，并使參與者獲取最大化利益的數學工具，被自然引入訪問控制以平衡安全和訪問效用[15-17]，但現有研究多集中于二人訪問控制博弈，要求參與者是完全理性的，難以客觀描述訪問控制模型中多個用戶與系統間的博弈。

本文針對現有訪問控制模型難以滿足適應性保護隱私的需求，且其訪問控制博弈模型難以刻畫多用戶與系統間的非完全理性對抗與合作問題，基于用戶訪問隱私風險量化和多人演化博弈，面向開放環境的數據存儲隱私保護，提出一種基于演化博弈的多參與者的理性風險訪問控制模型，并分析其演化穩定狀態和演化穩定策略求解。該訪問控制模型在保持風險訪問控制優勢的同時，通過用戶訪問隱私風險約束，限制用戶高隱私風險的惡意、好奇訪問請求，實現隱私保護，同時僅假設參與者有限理性，用多人非合作博弈對多用戶對系統資源訪問的策略、收益進行分析，通過演化達到博弈演化穩定狀態，實現了用戶和系統間的均衡及穩定，有效平衡隱私保護和訪問效用，更加符合現實場景中用戶與系統間的策略動態變化選取特征。具體而言，本文的貢獻如下。

1)面向開放環境的數據存儲隱私保護，在有限理性假設下，通過分析多用戶場景的敏感數據隱私保護訪問控制問題及需求，提出了一種包含隱私風險量化和演化博弈模塊的多人隱私風險自適應訪問控制模型。減弱了現有理性訪問控制模型的參與者完全理性假設，將二人博弈擴展為多人的群體博弈，且能夠適應以數據為中心的系統敏感數據隱私保護需求。

2)在“Need to Know”的原則下，根據用戶訪問請求敏感資源的特征，定義了基于信息量化的訪問請求隱私風險和用戶隱私風險，并給出了自適應的動態隱私風險計算方法。

3)對所提的多用戶隱私保護訪問控制模型構建了演化博弈模型，提出了基于隱私風險自適應的效用函數，利用動態復制方程分析并求解了所提訪問控制模型的博弈演化均衡策略。

4)利用動力學理論對所提訪問控制模型的演化博弈過程進行了仿真，結果表明所提多用戶隱私風險自適應訪問控制模型可在有限理性的演化博弈過程中達到演化穩定狀態，能夠實現自適應風險的敏感數據隱私保護。

5)與相關基于風險訪問控制模型和理性訪問控制模型相比，所提訪問控制模型在以數據為中心的信息系統隱私保護方面具有更好的優勢，風險自適應程度好，訪問控制參與者假設更符合實際，能達到較好的隱私保護效果。

2 相關工作

在風險訪問控制[18]的概念提出后，Cheng等[11]用多層安全的思路量化了風險，將風險劃分為不同等級，實現了該模型的一個實例，但該量化方法缺乏數學理論支持。隨后，Ni等[12]用模糊推測理論在Cheng等的基礎上重新量化風險，使風險量化滿足合取、析取及取反操作需求，用以處置訪問控制中的緊急訪問需求。但文獻[11-12]中風險量化是靜態的，無法應對訪問需求多樣、無法預先定義安全等級，因此缺乏適用性，同時不能滿足系統的隱私保護需求，也不能對訪問主體的高風險訪問進行激勵約束。

針對文獻[11-12]的風險量化靜態和不適應高敏感環境的問題，Shaikh等[19]利用歷史訪問行為進行風險和信任動態量化，其風險通過威脅概率和數據泄露影響量化，利用指數移動加權平均算法提出了動態風險的訪問控制，以保護系統安全。Armando等[20]基于策略訪問控制，將訪問風險和用戶信任進行對比，通過增強用戶信任、削減訪問安全風險以平衡二者，保護系統資源安全。Diaz-Lopez等[21]將訪問風險量化多層分類，并定義對應的風險控制策略，利用遺傳算法為動態訪問的訪問行為提供安全應對措施，以保護高敏感環境的數據安全。但這些方法在風險量化過程中所依賴的信息過多，在實際環境中不能全部獲取，易使風險量化不精確而導致訪問控制失敗。為此，Santos等[22]提出基于權重的多因子聚合風險量化，并提出一種面向云安全的風險訪問控制框架。Ding等[23]利用馬爾可夫模型對主體訪問行為的風險進行量化，并提出了基于信用卡額度約束的風險訪問控制模型，在云環境數據安全保護中激勵低風險訪問行為，約束高風險訪問行為。但文獻[19-23]提出的風險量化是面向安全的，不適用于隱私保護需求。

為了滿足隱私保護需求，Wang等[24]針對醫療信息系統，利用信息熵按照“Need to Know”的原則，基于惡意醫生和誠實醫生間訪問信息的不同，對醫生訪問病患信息的風險進行量化，提出了一種靈活的風險訪問控制模型，但該模型預先假設了誠實醫生的行為，風險量化缺乏適應性以對應訪問需求變化。在文獻[24]的基礎上，惠榛等[25]利用最大期望（EM,expectation maximization）二分算法對基于信息熵的醫生訪問行為進行區分，監測和控制隱私侵犯的高風險訪問性。Zhang等[26]定義了隱蔽非誠實醫生行為，基于時間盒和迭代實現了以主題建模為核心的風險自適應訪問控制模型。文獻[24-26]提出的方法僅適用于醫療信息系統隱私保護，且并未考慮訪問主體與客體間的合作與對抗。針對用戶匿名保護需求，Armando等[27]將風險訪問控制與匿名訪問結合，同時考慮匿名與數據效用，在匿名系統中抑制高風險訪問。

與傳統訪問控制模型中的參與者博弈[16,28-29]類似，基于風險訪問控制中的訪問主體與客體間也存在二人或多人沖突與合作關系。Helil等[15]基于二人非合作博弈模型，利用用戶信任和訪問風險刻畫效用函數，分析了風險訪問控制模型中的子博弈完美Nash均衡，有效保證了訪問控制決策的科學性，但其并未考慮多訪問主體訪問客體間的沖突與合作。

本文針對開放、動態的大規模多樣性數據訪問隱私保護需求及多用戶與系統間的沖突與合作關系，提出一種多參與者的理性隱私風險自適應訪問控制模型。相比已有工作，該模型僅要求參與者有限理性，通過對訪問控制過程中的多參與者的行為、策略和隱私效用的博弈要素進行多參與者演化博弈建模，解決了現有文獻對風險訪問控制參與者行為刻畫不足的問題；通過對歷史訪問行為和資源建模，利用信息論對訪問請求和用戶的隱私侵犯風險量進行評估，僅用少量先驗信息資源，減少了對系統歷史訪問信息的要求；僅利用隱私風險量化，不再依賴信任機制，簡化了模型的設計復雜度；通過多人演化博弈的演化穩定策略狀態求解，不但有效約束了高隱私風險的訪問請求，激勵用戶進行低隱私侵犯訪問，而且實現了動態風險訪問控制的優化訪問決策，可有效保護系統隱私數據。

3 基礎知識

本節介紹風險訪問控制模型、信息論與博弈論相關基礎知識，為提出面向隱私保護的基于演化博弈風險自適應訪問控制模型提供基礎。

3.1 基于風險訪問控制模型

基于風險訪問控制往往包含訪問控制管理、風險量化評估和上下文檢索3個核心模塊[18,23,26]，如圖1所示。其中，風險量化評估模塊是關鍵模塊，其負責對訪問請求的安全或隱私風險進行量化，以支持訪問控制管理模塊做出允許訪問或者拒絕訪問決策。風險的量化取決于當前訪問請求及其關聯的上下文資源，如歷史訪問行為、擬訪問的信息資源等，通過上下文檢索模塊實現對上下文資源的關聯應用。訪問控制管理模塊通過對風險值和上下文的處理，做出訪問決策。

根據風險值計算的對象不同，基于風險訪問控制模型可分為面向安全需求[12]和面向隱私保護需求[26]。根據風險的計算方法不同，基于風險訪問控制模型可分為基于模糊邏輯[12]、基于歷史決策的分類訓練[22]和基于用戶歷史行為[24]等。

圖1 基于風險訪問控制模型示意

3.2 自信息與信息熵

信息論[30]是一種量化信息量和不確定度的有效工具，在訪問控制中具有廣泛的應用[23-25]。一般地，有隨機變量X=(x1,x2,…,xn)及其概率分布P(X)=(p(x1),p(x2),…,p(xn))，則事件xi的香農信息或自信息為

自信息表示了事件所蘊含的信息量，自信息越大，該事件攜帶的信息量越多，反之越少。香農信息熵是香農信息的平均值，可表示為

信息熵表示隨機變量的不確定度，熵越大，不確定度越大，反之越小。香農信息熵也被擴展為極大熵、極小熵、正規熵、Renyi熵等，以適應不同的場景[31]。

3.3 博弈模型與演化博弈

3.3.1 博弈模型

博弈論[14]研究利益存在沖突的多個理性主體在對抗合作過程中的策略選擇。經典博弈論中的理性參與者總是選擇對自己最有利的策略，并達到均衡。策略博弈模型Γ=(P,A,u)中包含參與者P={P1,P2,…,Pn}、所有參與者行為集合A={A1,A2,…,An}和效用函數u={u1,u2,…,un}。稱n個參與者的行為有序集合a=(a1,a2,…,an)為行為組態，其中ai∈Ai是參與者Pi在其行為集合Ai中的一個策略選擇。行為組態a可表示為a=(ai,a-i)，其中a-i表示除參與者Pi之外其他參與者的策略組合。ui(ai,a-i)表示參與者Pi在策略組合(ai,a-i)狀態下的效用函數。

定義1Nash均衡[14]。在策略博弈Γ中，對任意參與者Pi∈P，其效用函數有

策略博弈是一次性博弈，其可進行多次擴展，稱為擴展式博弈。博弈可分為合作博弈與非合作博弈，也可分為完美信息博弈和非完美信息博弈。

3.3.2 演化博弈

演化博弈[32]將經典博弈中參與者的理性假設放寬為有限理性，并引入了群體演化。參與者的策略選擇在每一次博弈中不一定是最優的，其可在演化過程中模仿其他參與者的高收益策略，調整其后續博弈策略以提高其收益。演化博弈關注所有參與者策略的動態平衡，其核心在于演化穩定策略。

定義2演化穩定策略。演化博弈中，若一個被所有個體采用的策略可成功抵抗所有其他策略的少量個體入侵，則此策略就被稱為演化穩定策略。形式化地，若策略se滿足

則稱策略se為演化穩定策略[32]，其中E(se,si)表示當策略se遇到si時se的收益。

4 問題描述與建模

本節首先分析本文構建的多參與者博弈的風險訪問控制模型所要解決的問題，其次提出多參與者隱私風險訪問控制模型。

4.1 多參與者隱私風險訪問控制問題描述

在醫療信息系統、情報信息系統、外包計算數據池等環境中存在大量包含個人隱私的數據，訪問用戶量大且動態更新其訪問需求，用戶的角色、屬性、訪問策略等信息難以預先定義，這些信息難以隨用戶的訪問而動態更新。為了保護隱私，需對訪問請求的數據所包含的隱私量進行量化，現有的風險訪問控制模型難以對隱私進行有效描述和精確動態的量化。訪問控制模型中，參與者間是長期的多次訪問控制交互，在訪問過程中往往無法對所有背景知識和他人信息全部了解，也無法在每次訪問時理性地做出最佳策略選擇，但參與者可模仿其他參與者的高收益策略，調整其后續行為策略。因此，需要設計效用函數促使非完全理性的多參與者誠實合作，盡可能不侵犯隱私且取得高收益，并使參與者短期利益和長期利益一致。

在所提的面向隱私保護的多參與者理性風險訪問控制模型中，試圖通過以下措施解決上述問題。

1)定義并量化訪問請求的隱私風險

依據“Need to Know”的原則，用戶為完整工作職責而訪問信息資源中的敏感信息不應當是隱私侵犯，除此之外的訪問應當認為是隱私侵犯。在經認證的用戶群體中，用戶會優先完成自己的職責，其大多數訪問請求都是為了完成自己的職責，若該用戶單次訪問請求與其歷史訪問請求產生偏移距離，則偏離越遠，其違背“Need to Know”原則越嚴重，訪問的隱私信息資源的隱私量越大，隱私風險越高。

2)定義并量化用戶的隱私風險

將具有相似訪問請求行為模式的用戶群看作具有相同職責的用戶。在歷史訪問過程中，某一用戶的訪問偏離該用戶群的距離越遠，其違背“Need to Know”原則越嚴重，其用戶隱私風險越高。

3)構建演化博弈以刻畫多用戶和系統的非理性多次博弈

不再假設參與者是完全理性的，而將所有用戶和系統視為有限理性的參與者。將訪問控制系統的所有參與者看作用戶群體和信息資源系統群體，2個群體之間進行多次動態博弈。博弈過程中，群體中的低收益參與者會模仿高收益參與者的博弈選擇策略，不斷進行演化，最終達到穩定的狀態，該狀態下的參與者策略選擇即為演化穩定策略，是參與者的最優策略。

4)所設計的動態訪問控制博弈模型求解

利用動態復制方程的動力學原理，提出并分析風險自適應訪問控制演化博弈模型的參與者收益函數和信念函數，進一步分析其演化穩定狀態及其機理，提出演化穩定策略的求解式。在不同的初始狀態下，通過博弈的不斷演化，訪問控制博弈總能達到某個演化穩定狀態，該狀態下的博弈策略選擇即為參與者的最優策略。

4.2 多參與者隱私風險訪問控制模型構建

面向隱私保護需求，多用戶和信息資源系統間的有限理性參與者隱私風險訪問控制模型如圖2所示，包含訪問請求決策管理模塊、演化博弈建模模塊、隱私風險評估模塊、上下文信息模塊和風險策略模塊。

圖2 基于演化博弈的隱私風險訪問控制模型

圖2中，訪問請求決策管理模塊接收用戶訪問請求，根據博弈結果和風險策略模塊提供的信息做出授權或不授權等訪問決策，并反饋至上下文信息模塊。演化博弈建模模塊對參與訪問控制的用戶和系統進行博弈演化，博弈過程中通過隱私風險信息和上下文信息進行動態策略選擇，給出演化策略結果，并將結果反饋給上下文信息模塊和訪問請求決策管理模塊。隱私風險評估模塊對訪問請求隱私風險和用戶隱私風險進行動態量化，支撐演化博弈建模和風險策略更新，并將結果反饋存儲至上下文信息模塊中。上下文信息模塊動態記錄并存儲用戶信息、信息資源、訪問歷史、歷史隱私風險值、歷史博弈策略及收益函數等信息。風險策略模塊動態更新各用戶的隱私風險訪問控制策略。

5 隱私風險定義及自適應計算方法

本節針對4.1節所述隱私風險量化問題，分別定義訪問請求隱私風險和用戶隱私風險，并給出自適應風險計算方法。

5.1 訪問請求隱私風險

訪問控制系統中，信息資源可以通過自然語言處理或機器學習的方式進行標簽化，使所有信息資源記錄或原子集合都包含與系統資源使用功能、目的相關的標簽信息，如醫療系統中所有的醫療數據可以根據ICD-10標準進行標簽化處理，情報系統中所有的情報信息可按照情報屬性和功能進行標簽化標注。將訪問控制過程按照時間劃分為不同的時間段T0,T1,T2,…，每個時間段可以是一小時、一天或一周等。用戶U在前一個時間段T內和當前時間段內截至目前向系統發出了n次訪問請求，對應的訪問信息資源集合（實際應用中利用信息資源集合對應的標簽集合進行風險計算）為，則U訪問的信息資源集合為。當前用戶U的訪問請求為，該請求對應的系統信息資源集合為。根據各用戶的歷史訪問信息資源集合的相似性和聚類，可將具有相似訪問行為的用戶劃分為一組，在某一組中，所有的用戶具有相同的系統職責，在訪問行為上僅有較小的差異。設用戶U屬于用戶分組g，用戶分組g在前一個時間段T內和當前時間段內截至目前，訪問的信息資源集合為Rg。則用戶U的當前訪問請求隱私風險為

其中，p(x)表示x在Rg中的概率，1>α>β>0，且α+β=1。

根據用戶組g中用戶的訪問請求風險值的歷史及分布可利用分位數設置閾值tg，若，則定義為隱私侵犯訪問請求，否則為非隱私侵犯訪問請求。特別注意的是，前述定義是從系統的角度看待某一訪問請求，用戶U會主動選擇正常訪問或隱私侵犯訪問，但系統僅根據訪問請求本身來判定，可能將用戶的正常訪問識別為隱私侵犯訪問，亦有可能將用戶的隱私侵犯訪問識別為非隱私侵犯訪問。當某一訪問請求被識別為隱私侵犯訪問時，用戶可通過風險消除措施降低隱私風險，文獻[21]討論了相關措施。

5.2 用戶隱私風險

用戶U的隱私風險根據其訪問行為特征而發生變化，當用戶訪問請求隱私風險值高時，則用戶的隱私風險提高；當用戶訪問請求隱私風險值低時，則用戶隱私風險降低，且用戶隱私風險提高的速率高而降低的速率低。這樣的假設與銀行對客戶的信用風險評估一致，若客戶發生一次信用違約，其信用風險提高很快，需要很多次的信用守約才能將其信用風險降低至原來的值。用戶隱私風險僅與其前一隱私風險值和前一次訪問請求隱私風險值相關。設用戶U的初始隱私風險值為，其在當前訪問請求之前的隱私風險值為，則當前訪問請求發出之后，系統根據其隱私風險值和訪問請求的隱私風險值計算用戶U的更新隱私風險值

6 所提訪問控制模型的演化博弈模型及均衡分析

本節將訪問敏感信息的用戶和信息資源系統看作2個有限理性的群體，2個群體中的參與者進行動態演化博弈，通過不斷演化達到演化穩定狀態，所有博弈參與者都選取最優博弈策略。定義隱私風險訪問控制的演化博弈模型，包含參與者、博弈策略、信念和收益函數，并給出演化穩定策略均衡求解計算方法，進一步分析演化穩定狀態及演化穩定策略的特征和機理。

6.1 隱私風險訪問控制的演化博弈模型

在有限理性參與者假設下，基于演化博弈可構建面向隱私保護的風險自適應訪問控制演化博弈模型。

定義3風險自適應訪問控制演化博弈模型（risk-adaptive based access control evolutionary game model），可表示為四元組RaBACEGM=(P,,APr,u)。

1)P={U,S}是演化博弈的參與者空間，其中，U是用戶，S是信息資源系統。

2)A={AU,AS}是博弈策略空間，其中，AU={Normal,Malicious}是用戶的可選策略集合，包含正常訪問和惡意訪問；AS={Grant,Deny}是信息資源系統的可選策略集合，包含授權和拒絕。

3)Pr={p,q}是博弈信念集合，其中，p={pNormal,pMalicious}表示用戶分別采取正常訪問和惡意訪問的概率，且pNormal+pMalicious=1；q={qGrant,qDeny}表示信息資源系統分別采取授權和拒絕的概率，且qGrant+qDeny=1。

4)u={uU,uS}是博弈參與者的收益函數集合，其中，是用戶的收益函數，是信息資源系統的收益函數，二者的值由參與者的訪問策略選擇所決定。

本文的訪問控制系統中，用戶U和資源信息系統S都有2個策略可以選擇，在博弈的不同階段，用戶和資源信息系統對策略的選擇概率不同，且該概率根據演化博弈的演化學習機制而不斷變化，使訪問控制參與者的策略選擇形成動態變化的過程。該博弈模型形成的基本博弈樹如圖3所示，表示單次博弈中用戶與信息資源系統的博弈策略和收益情況。

圖3 風險自適應訪問控制演化博弈模型的基本博弈樹

博弈參與者根據自身和其他參與者的策略選擇而獲取不同的數值收益，所有參與者的收益矩陣如表1所示。

表1 風險自適應訪問控制演化博弈模型的基本收益矩陣

表1中對演化博弈模型中各參與者的信念、策略和收益進行了形式化描述，特別地，參與者的收益根據訪問請求的隱私風險不同而不同。

基于表1，可計算用戶不同訪問策略的期望收益和平均收益為

由于風險訪問收益較低者會學習模仿高收益參與者所選取的策略，針對用戶可選策略集合AU={Normal,Malicious}，選取不同策略的用戶比例將隨時間發生變化。pNormal(t)表示選取正常訪問策略的用戶比例，pMalicious(t)表示選取惡意訪問策略的用戶比例，滿足pNormal(t)+pMalicious(t)=1。對于某一用戶訪問策略，選取該策略的用戶比例是時間的函數，其動態變化速率可用復制動態方程[33]表示。

其中，i∈{Normal,Malicious}。

同理，信息資源系統不同策略選擇的期望收益和平均收益為

對信息資源系統的博弈策略選取亦可建立復制動態方程

其中，j∈{Grant,Deny}，且qj(t)。通過聯立式(9)和式(11)，令

通過求解式(12)，即可得到隱私風險訪問模型的演化博弈平衡狀態點，從而實現訪問控制策略選取的分析和預測。

6.2 隱私風險訪問控制博弈演化穩定策略均衡求解

所提出的隱私風險訪問控制模型中，用戶選取不同的訪問行為策略會產生不同的收益，收益低的用戶會模仿收益高的用戶所選取的訪問行為策略。對于相同工作職責的n個用戶，有2種訪問策略{Normal,Malicious}可選，選取這2種訪問策略的用戶比例隨著時間發生變化，分別為pNormal(t)和1–pNormal(t)。對于訪問策略Normal，選取該策略的用戶人數比例是時間的函數，其動態變化速率可表示為動態復制函數

令D(pNormal)=0，將式(8)代入式(13)可求解，得

類似地，信息資源系統的2種可選行為策略為{Grant,Deny}，其策略選取概率為qGrant(t)和1–qGrant(t)，對于策略Grant的選取概率時間變化函數，亦可求解得q=0，q=1和pNormal=

將用戶與信息資源系統的策略選取復制動態方程相結合，構建隱私風險訪問控制演化博弈方程組，對博弈模型進行穩定性分析。求解方程組得到5個解：和其中，表示用戶選取純策略惡意訪問請求Malicious，信息資源系統選取純策略拒絕訪問Deny；表示用戶純策略選取惡意訪問請求Malicious，信息資源系統選取純策略允許訪問Grant；表示用戶純策略選取正常訪問請求Normal，信息資源系統選取純策略拒絕訪問Deny；表示用戶純策略選取正常訪問請求Normal，信息資源系統選取純策略允許訪問Grant；表示用戶以混合概率組合選取策略{Normal,Malicious}，信息資源系統以混合概率組合選取策略{Grant,Deny}。根據演化穩定策略理論可知Y1、Y2、Y3、Y4為鞍點，Y5為中心點，故所提風險自適應訪問控制演化博弈模型存在演化穩定均衡。

6.3 隱私風險訪問控制博弈演化穩定策略分析

演化穩定策略是演化博弈模型中能夠抵抗侵犯的策略。在所提風險自適應訪問控制演化博弈模型中，用戶和信息資源系統雙方各自存在復制動態，以用戶為例，對其演化穩定策略進行分析。通過式(13)可知，用戶正常訪問請求策略選取的復制動態相位有3種，當時，對任意的用戶正常訪問請求Normal策略選取概率pNormal，有一旦qGrant的取值發生偏移，就會劇烈變化，其所代表的狀態不具有穩定性；當時，pNormal=1為用戶的演化穩定策略；當qGrant<時，pNormal=0為用戶的演化穩定策略。

7 實驗仿真與分析

本節對本文提出的隱私風險自適應訪問控制模型的演化博弈過程，利用動力學理論進行仿真，分析隱私風險自適應訪問控制演化博弈模型的最優訪問策略選取問題。

由6.2節可知，該訪問控制模型的演化博弈穩定狀態為Y1=[0,0]'，Y2=[0,1]'，Y3=[1,0]'和Y4=[1,1]'，下面針對pNormal和qGrant的不同初始狀態，進行實驗仿真。通過仿真可以觀察出pNormal和qGrant的演化趨勢，得到最終的演化穩定狀態，通過演化分析，實現隱私風險訪問控制系統中參與者的策略選擇預測，從而選取出最優的訪問控制策略。本文的仿真實驗中，根據6.1節中的分析對用戶的效用函數設定為，對信息資源系統的效用函數設定為

1)當初始狀態為pNormal=0，qGrant∈[0,1)時，用戶以概率1選取惡意訪問Normal策略，信息資源系統以概率1選取拒絕訪問Deny策略或任意其他混合策略選取授權訪問Grant、拒絕訪問Deny策略，通過系統仿真，經過演化，用戶和信息資源系統雙方的策略選取都會演化為pNormal=0，qGrant=0的概率，即用戶以純策略選取惡意訪問Malicious，信息資源系統以純策略選取拒絕訪問Deny。pNormal和qGrant的具體演化曲線如圖4所示。在圖4中，訪問請求為正常訪問的初始概率pNormal=0，訪問請求被授權的初始概率qGrant在區間[0,1)內，其初始值從0到0.9變化，步長為0.1，演化穩定狀態都為pNormal=0，qGrant=0。在達到演化穩定狀態Y1=[0,0]'時，風險自適應訪問控制演化博弈模型的博弈參與者兩方博弈策略選取最優。

圖4 初始狀態為pNormal=0，qGrant∈[0,1)時，隱私風險自適應訪問控制演化博弈模型的演化曲線

2)當初始狀態為pNormal=0，qGrant=1時，用戶以概率1選取惡意訪問Malicious策略，信息資源系統以概率1選取授權訪問Grant策略，通過演化，該演化博弈模型的博弈雙方的策略選取不變，pNormal和qGrant的具體演化曲線如圖5所示，演化穩定狀態為pNormal=0，qGrant=1。

圖5 初始狀態為時pNormal=0，qGrant=1，隱私風險自適應訪問控制演化博弈模型的演化曲線

在圖5中，盡管該演化過程的最終狀態Y2=[0,1]'是所提出的演化博弈模型的演化穩定狀態，但在實際應用中，信息資源系統為了遏制惡意訪問請求，保護系統中的隱私數據，同時盡可能吸引更多用戶訪問系統，其不會以純策略方式選取授權訪問Grant，故當用戶初始訪問策略選取為純策略惡意訪問Malicious時，會轉換為圖4所示的演化曲線。

3)當初始狀態為pNormal∈(0,1]，qGrant∈(0,1]時，用戶以混合策略方式選取正常訪問Normal、惡意訪問Malicious，或以純策略方式（概率為1）選取正常訪問Normal，信息資源系統以混合策略方式選取授權訪問Grant、拒絕訪問Deny，或以純策略方式（概率為1）選取拒絕訪問Deny，博弈模型通過不斷演化，會達到演化穩定狀態Y4=[1,1]'，即用戶以純策略方式選取正常訪問Normal，信息資源系統以混合策略方式選取授權訪問Grant。該狀態下風險自適應訪問控制演化博弈模型的博弈策略選擇最優，pNormal和qGrant的演化曲線如圖6所示。在圖6中，訪問請求為正常訪問的初始概率pNormal以及訪問請求被授權的初始概率qGrant都在區間[0,1)內，其初始值分別從0到0.9變化，步長為0.1，演化穩定狀態為pNormal=1，qGrant=1。

4)當初始狀態為pNormal∈(0,1]，qGrant=0時，用戶以混合策略方式選取正常訪問Normal、惡意訪問Malicious，或以純策略方式（概率為1）選取正常訪問Normal，信息資源系統以純策略方式（概率為1）選取拒絕訪問Deny，通過不斷演化，會達到演化穩定狀態pNormal=1，qGrant=0，即用戶以純策略方式選取正常訪問Normal，信息資源系統以純策略方式選取拒絕訪問Deny。pNormal和qGrant的具體演化曲線如圖7所示。在圖7中，訪問請求為正常訪問的初始概率pNormal在區間[0,1)內，其初始值分別從0.1到1變化，步長為0.1，訪問請求被授權的初始概率qGrant=0，演化穩定狀態為pNormal=1，qGrant=0。

圖6 初始狀態為pNormal∈(0,1]，qGrant∈(0,1]時，隱私風險自適應訪問控制演化博弈模型的演化曲線

圖7 初始狀態為pNormal∈(0,1]，qGrant=0時，隱私風險自適應訪問控制演化博弈模型的演化曲線

在圖7中，最終達到的演化狀態是風險自適應訪問控制演化博弈模型的演化穩定狀態Y3=[1，0]'。但在實際應用中，信息資源系統為了吸引更多用戶訪問系統，不會以純策略方式選取拒絕訪問Deny，而是以混合策略的方式選取其博弈策略，其演化過程會轉換為圖6所示的演化曲線。

由以上仿真結果可知，給定不同的策略選取初始狀態，經過演化，所提出的風險自適應訪問控制模型在演化博弈過程中會達到某個穩定狀態。通過觀察對比，本演化博弈模型的模擬演化結果與第6節中的理論分析保持一致，說明該演化博弈模型與現實系統中的規律相符。因此，本文提出的風險自適應訪問控制演化博弈模型具有有效性，可應用于面向隱私保護的風險自適應訪問控制系統，為訪問控制系統的參與者進行隱私保護訪問策略選取提供依據。

表2 本文所提模型與已有模型對比

8 對比與討論

在風險訪問控制、基于博弈的訪問控制和基于演化博弈的信息安全模型方面均有相應的研究，本節針對這些研究工作進行對比，如表2所示。

由表2可知，相較于文獻[12,19,22]，本文所提出的風險訪問控制從系統安全保護擴展至數據隱私信息保護，同時在有限理性假設下，應用多人演化博弈對自適應風險訪問控制的參與者群體進行了建模和分析；相較于文獻[24,26]，本文將隱私保護的應用范圍推廣至一般以隱私數據為中心的系統中，并利用博弈論對隱私保護的訪問策略選擇進行了分析；相較于文獻[16,29]，本文不關注系統的安全，而關注于系統中的敏感數據隱私保護，通過隱私風險量化對博弈的效用函數進行定義，且放松了對博弈參與者的絕對理性假設，用演化的思想動態分析參與者的訪問策略選擇；相較于文獻[15]，本文的主要目標是隱私保護，將傳統訪問控制的二人博弈擴展為有限理性下的多人動態博弈，更加適用于訪問控制的真實場景，風險量化函數也通過信息量的量化對隱私風險進行描述，并反映到博弈效用函數中；相較于文獻[28]，本文不局限于特定場景的隱私保護，其適用于通用的隱私保護場景，并且通過對用戶隱私風險和訪問請求隱私風險進行動態量化，實現了隱私風險自適應。在多人博弈場景中，本文所提模型對參與者的理性假設放松為有限理性，利用演化的思想對參與者的策略選擇進行動態更新，更加符合現實場景中參與者的訪問行為變化特征。

9 結束語

隱私保護是以數據為中心的開放系統的核心問題之一，設計有效的細粒度自適應訪問控制模型能夠保護系統中的隱私數據不被惡意、好奇的訪問行為侵犯隱私。本文面向隱私保護，在有限理性假設下，提出了一種基于演化博弈的隱私風險自適應訪問控制模型，該模型利用隱私信息量化的方法對訪問請求隱私風險和用戶隱私風險進行量化，在此基礎上構建了兩方群體的演化博弈模型，群體中博弈參與者不斷學習模仿高收益的參與者博弈策略，最終達到演化穩定狀態。通過復制動態方程分析了所提出的風險自適應訪問控制演化博弈模型中參與者的策略選擇變化過程和演化穩定狀態形成機理，提出了演化穩定策略的求解式。通過仿真實驗，對所提自適應隱私風險訪問控制模型的有效性進行了驗證，該模型能有效應用于隱私保護的訪問控制；通過與相關文獻對比，證明該模型提出了新的隱私風險自適應量化方法，減少了對系統歷史信息的要求，具有更好的隱私風險動態適應性，并將自適應隱私風險量化結果用以設計演化博弈的效用函數；提出了有限理性多參與者的風險訪問控制演化博弈模型，該模型中參與者的博弈策略選擇動態更新，更加適用于真實場景。