丁红发，彭长根，田有亮，向淑文

（1.贵州大学数学与统计学院公共大数据国家重点实验室，贵州 贵阳 550025；2.贵州财经大学信息学院，贵州 贵阳 550025；3.贵州大学计算机科学与技术学院，贵州 贵阳 550025）

1 引言

访问控制是信息系统保障数据安全和系统安全的重要和基础性工具[1]。云计算、大数据及物联网的兴起和发展，使网络和系统更加复杂、开放，数据安全和隐私需求更加多样化，用户和系统的角色、属性更加难以发掘，需要更加动态化、自适应、细粒度的访问控制模型以满足新环境下的安全和隐私需求[2]。

强制访问控制[3]、自主访问控制[4]、基于角色访问控制[5]等访问控制模型的访问策略是静态的，访问控制粒度粗放，且面对大规模用户的开放系统难以预先指定用户身份，故这些模型难以适用于云计算、大数据和物联网中新型的应用场景。基于属性访问控制[6]因其访问控制粒度较细、不需要指定用户身份或角色而受到了广泛关注，在云计算、物联网等场景得到了广泛应用，但其需要预先定义访问策略，属性挖掘与属性撤销的计算和实施都比较困难，不能适应动态访问控制需求[7]。为了解决基于属性访问控制等传统访问控制模型存在的诸多问题，风险和信任被先后引入访问控制中，提出了基于角色或属性的风险访问控制模型[8-10]，一定程度上解决了用户访问的动态控制，并进一步发展为基于风险访问控制[11-12]，更加适用于大数据环境的访问控制需求。同时，医疗、社交网络、位置信息服务等系统的大量多样性数据集访问具有开放性、动态性和隐私敏感需求，隐私侵犯来自内部和外部访问[13]，迫切需要在访问过程中对用户隐私信息进行隐私保护。

访问控制模型中存在授权不足或授权过度的现象，引发数据和系统安全、隐私泄露的风险，亟需能够平衡安全隐私与授权度间的解决方案。访问控制可看作访问主体（用户）与访问客体（服务提供者或系统）间的冲突与合作。博弈论[14]作为一种解决参与者对抗与合作，并使参与者获取最大化利益的数学工具，被自然引入访问控制以平衡安全和访问效用[15-17]，但现有研究多集中于二人访问控制博弈，要求参与者是完全理性的，难以客观描述访问控制模型中多个用户与系统间的博弈。

本文针对现有访问控制模型难以满足适应性保护隐私的需求，且其访问控制博弈模型难以刻画多用户与系统间的非完全理性对抗与合作问题，基于用户访问隐私风险量化和多人演化博弈，面向开放环境的数据存储隐私保护，提出一种基于演化博弈的多参与者的理性风险访问控制模型，并分析其演化稳定状态和演化稳定策略求解。该访问控制模型在保持风险访问控制优势的同时，通过用户访问隐私风险约束，限制用户高隐私风险的恶意、好奇访问请求，实现隐私保护，同时仅假设参与者有限理性，用多人非合作博弈对多用户对系统资源访问的策略、收益进行分析，通过演化达到博弈演化稳定状态，实现了用户和系统间的均衡及稳定，有效平衡隐私保护和访问效用，更加符合现实场景中用户与系统间的策略动态变化选取特征。具体而言，本文的贡献如下。

1)面向开放环境的数据存储隐私保护，在有限理性假设下，通过分析多用户场景的敏感数据隐私保护访问控制问题及需求，提出了一种包含隐私风险量化和演化博弈模块的多人隐私风险自适应访问控制模型。减弱了现有理性访问控制模型的参与者完全理性假设，将二人博弈扩展为多人的群体博弈，且能够适应以数据为中心的系统敏感数据隐私保护需求。

2)在“Need to Know”的原则下，根据用户访问请求敏感资源的特征，定义了基于信息量化的访问请求隐私风险和用户隐私风险，并给出了自适应的动态隐私风险计算方法。

3)对所提的多用户隐私保护访问控制模型构建了演化博弈模型，提出了基于隐私风险自适应的效用函数，利用动态复制方程分析并求解了所提访问控制模型的博弈演化均衡策略。

4)利用动力学理论对所提访问控制模型的演化博弈过程进行了仿真，结果表明所提多用户隐私风险自适应访问控制模型可在有限理性的演化博弈过程中达到演化稳定状态，能够实现自适应风险的敏感数据隐私保护。

5)与相关基于风险访问控制模型和理性访问控制模型相比，所提访问控制模型在以数据为中心的信息系统隐私保护方面具有更好的优势，风险自适应程度好，访问控制参与者假设更符合实际，能达到较好的隐私保护效果。

2 相关工作

在风险访问控制[18]的概念提出后，Cheng等[11]用多层安全的思路量化了风险，将风险划分为不同等级，实现了该模型的一个实例，但该量化方法缺乏数学理论支持。随后，Ni等[12]用模糊推测理论在Cheng等的基础上重新量化风险，使风险量化满足合取、析取及取反操作需求，用以处置访问控制中的紧急访问需求。但文献[11-12]中风险量化是静态的，无法应对访问需求多样、无法预先定义安全等级，因此缺乏适用性，同时不能满足系统的隐私保护需求，也不能对访问主体的高风险访问进行激励约束。

针对文献[11-12]的风险量化静态和不适应高敏感环境的问题，Shaikh等[19]利用历史访问行为进行风险和信任动态量化，其风险通过威胁概率和数据泄露影响量化，利用指数移动加权平均算法提出了动态风险的访问控制，以保护系统安全。Armando等[20]基于策略访问控制，将访问风险和用户信任进行对比，通过增强用户信任、削减访问安全风险以平衡二者，保护系统资源安全。Diaz-Lopez等[21]将访问风险量化多层分类，并定义对应的风险控制策略，利用遗传算法为动态访问的访问行为提供安全应对措施，以保护高敏感环境的数据安全。但这些方法在风险量化过程中所依赖的信息过多，在实际环境中不能全部获取，易使风险量化不精确而导致访问控制失败。为此，Santos等[22]提出基于权重的多因子聚合风险量化，并提出一种面向云安全的风险访问控制框架。Ding等[23]利用马尔可夫模型对主体访问行为的风险进行量化，并提出了基于信用卡额度约束的风险访问控制模型，在云环境数据安全保护中激励低风险访问行为，约束高风险访问行为。但文献[19-23]提出的风险量化是面向安全的，不适用于隐私保护需求。

为了满足隐私保护需求，Wang等[24]针对医疗信息系统，利用信息熵按照“Need to Know”的原则，基于恶意医生和诚实医生间访问信息的不同，对医生访问病患信息的风险进行量化，提出了一种灵活的风险访问控制模型，但该模型预先假设了诚实医生的行为，风险量化缺乏适应性以对应访问需求变化。在文献[24]的基础上，惠榛等[25]利用最大期望（EM,expectation maximization）二分算法对基于信息熵的医生访问行为进行区分，监测和控制隐私侵犯的高风险访问性。Zhang等[26]定义了隐蔽非诚实医生行为，基于时间盒和迭代实现了以主题建模为核心的风险自适应访问控制模型。文献[24-26]提出的方法仅适用于医疗信息系统隐私保护，且并未考虑访问主体与客体间的合作与对抗。针对用户匿名保护需求，Armando等[27]将风险访问控制与匿名访问结合，同时考虑匿名与数据效用，在匿名系统中抑制高风险访问。

与传统访问控制模型中的参与者博弈[16,28-29]类似，基于风险访问控制中的访问主体与客体间也存在二人或多人冲突与合作关系。Helil等[15]基于二人非合作博弈模型，利用用户信任和访问风险刻画效用函数，分析了风险访问控制模型中的子博弈完美Nash均衡，有效保证了访问控制决策的科学性，但其并未考虑多访问主体访问客体间的冲突与合作。

本文针对开放、动态的大规模多样性数据访问隐私保护需求及多用户与系统间的冲突与合作关系，提出一种多参与者的理性隐私风险自适应访问控制模型。相比已有工作，该模型仅要求参与者有限理性，通过对访问控制过程中的多参与者的行为、策略和隐私效用的博弈要素进行多参与者演化博弈建模，解决了现有文献对风险访问控制参与者行为刻画不足的问题；通过对历史访问行为和资源建模，利用信息论对访问请求和用户的隐私侵犯风险量进行评估，仅用少量先验信息资源，减少了对系统历史访问信息的要求；仅利用隐私风险量化，不再依赖信任机制，简化了模型的设计复杂度；通过多人演化博弈的演化稳定策略状态求解，不但有效约束了高隐私风险的访问请求，激励用户进行低隐私侵犯访问，而且实现了动态风险访问控制的优化访问决策，可有效保护系统隐私数据。

3 基础知识

本节介绍风险访问控制模型、信息论与博弈论相关基础知识，为提出面向隐私保护的基于演化博弈风险自适应访问控制模型提供基础。

3.1 基于风险访问控制模型

基于风险访问控制往往包含访问控制管理、风险量化评估和上下文检索3个核心模块[18,23,26]，如图1所示。其中，风险量化评估模块是关键模块，其负责对访问请求的安全或隐私风险进行量化，以支持访问控制管理模块做出允许访问或者拒绝访问决策。风险的量化取决于当前访问请求及其关联的上下文资源，如历史访问行为、拟访问的信息资源等，通过上下文检索模块实现对上下文资源的关联应用。访问控制管理模块通过对风险值和上下文的处理，做出访问决策。

根据风险值计算的对象不同，基于风险访问控制模型可分为面向安全需求[12]和面向隐私保护需求[26]。根据风险的计算方法不同，基于风险访问控制模型可分为基于模糊逻辑[12]、基于历史决策的分类训练[22]和基于用户历史行为[24]等。

图1 基于风险访问控制模型示意

3.2 自信息与信息熵

信息论[30]是一种量化信息量和不确定度的有效工具，在访问控制中具有广泛的应用[23-25]。一般地，有随机变量X=(x1,x2,…,xn)及其概率分布P(X)=(p(x1),p(x2),…,p(xn))，则事件xi的香农信息或自信息为

自信息表示了事件所蕴含的信息量，自信息越大，该事件携带的信息量越多，反之越少。香农信息熵是香农信息的平均值，可表示为

信息熵表示随机变量的不确定度，熵越大，不确定度越大，反之越小。香农信息熵也被扩展为极大熵、极小熵、正规熵、Renyi熵等，以适应不同的场景[31]。

3.3 博弈模型与演化博弈

3.3.1 博弈模型

博弈论[14]研究利益存在冲突的多个理性主体在对抗合作过程中的策略选择。经典博弈论中的理性参与者总是选择对自己最有利的策略，并达到均衡。策略博弈模型Γ=(P,A,u)中包含参与者P={P1,P2,…,Pn}、所有参与者行为集合A={A1,A2,…,An}和效用函数u={u1,u2,…,un}。称n个参与者的行为有序集合a=(a1,a2,…,an)为行为组态，其中ai∈Ai是参与者Pi在其行为集合Ai中的一个策略选择。行为组态a可表示为a=(ai,a-i)，其中a-i表示除参与者Pi之外其他参与者的策略组合。ui(ai,a-i)表示参与者Pi在策略组合(ai,a-i)状态下的效用函数。

定义1Nash均衡[14]。在策略博弈Γ中，对任意参与者Pi∈P，其效用函数有

策略博弈是一次性博弈，其可进行多次扩展，称为扩展式博弈。博弈可分为合作博弈与非合作博弈，也可分为完美信息博弈和非完美信息博弈。

3.3.2 演化博弈

演化博弈[32]将经典博弈中参与者的理性假设放宽为有限理性，并引入了群体演化。参与者的策略选择在每一次博弈中不一定是最优的，其可在演化过程中模仿其他参与者的高收益策略，调整其后续博弈策略以提高其收益。演化博弈关注所有参与者策略的动态平衡，其核心在于演化稳定策略。

定义2演化稳定策略。演化博弈中，若一个被所有个体采用的策略可成功抵抗所有其他策略的少量个体入侵，则此策略就被称为演化稳定策略。形式化地，若策略se满足

则称策略se为演化稳定策略[32]，其中E(se,si)表示当策略se遇到si时se的收益。

4 问题描述与建模

本节首先分析本文构建的多参与者博弈的风险访问控制模型所要解决的问题，其次提出多参与者隐私风险访问控制模型。

4.1 多参与者隐私风险访问控制问题描述

在医疗信息系统、情报信息系统、外包计算数据池等环境中存在大量包含个人隐私的数据，访问用户量大且动态更新其访问需求，用户的角色、属性、访问策略等信息难以预先定义，这些信息难以随用户的访问而动态更新。为了保护隐私，需对访问请求的数据所包含的隐私量进行量化，现有的风险访问控制模型难以对隐私进行有效描述和精确动态的量化。访问控制模型中，参与者间是长期的多次访问控制交互，在访问过程中往往无法对所有背景知识和他人信息全部了解，也无法在每次访问时理性地做出最佳策略选择，但参与者可模仿其他参与者的高收益策略，调整其后续行为策略。因此，需要设计效用函数促使非完全理性的多参与者诚实合作，尽可能不侵犯隐私且取得高收益，并使参与者短期利益和长期利益一致。

在所提的面向隐私保护的多参与者理性风险访问控制模型中，试图通过以下措施解决上述问题。

1)定义并量化访问请求的隐私风险

依据“Need to Know”的原则，用户为完整工作职责而访问信息资源中的敏感信息不应当是隐私侵犯，除此之外的访问应当认为是隐私侵犯。在经认证的用户群体中，用户会优先完成自己的职责，其大多数访问请求都是为了完成自己的职责，若该用户单次访问请求与其历史访问请求产生偏移距离，则偏离越远，其违背“Need to Know”原则越严重，访问的隐私信息资源的隐私量越大，隐私风险越高。

2)定义并量化用户的隐私风险

将具有相似访问请求行为模式的用户群看作具有相同职责的用户。在历史访问过程中，某一用户的访问偏离该用户群的距离越远，其违背“Need to Know”原则越严重，其用户隐私风险越高。

3)构建演化博弈以刻画多用户和系统的非理性多次博弈

不再假设参与者是完全理性的，而将所有用户和系统视为有限理性的参与者。将访问控制系统的所有参与者看作用户群体和信息资源系统群体，2个群体之间进行多次动态博弈。博弈过程中，群体中的低收益参与者会模仿高收益参与者的博弈选择策略，不断进行演化，最终达到稳定的状态，该状态下的参与者策略选择即为演化稳定策略，是参与者的最优策略。

4)所设计的动态访问控制博弈模型求解

利用动态复制方程的动力学原理，提出并分析风险自适应访问控制演化博弈模型的参与者收益函数和信念函数，进一步分析其演化稳定状态及其机理，提出演化稳定策略的求解式。在不同的初始状态下，通过博弈的不断演化，访问控制博弈总能达到某个演化稳定状态，该状态下的博弈策略选择即为参与者的最优策略。

4.2 多参与者隐私风险访问控制模型构建

面向隐私保护需求，多用户和信息资源系统间的有限理性参与者隐私风险访问控制模型如图2所示，包含访问请求决策管理模块、演化博弈建模模块、隐私风险评估模块、上下文信息模块和风险策略模块。

图2 基于演化博弈的隐私风险访问控制模型

图2中，访问请求决策管理模块接收用户访问请求，根据博弈结果和风险策略模块提供的信息做出授权或不授权等访问决策，并反馈至上下文信息模块。演化博弈建模模块对参与访问控制的用户和系统进行博弈演化，博弈过程中通过隐私风险信息和上下文信息进行动态策略选择，给出演化策略结果，并将结果反馈给上下文信息模块和访问请求决策管理模块。隐私风险评估模块对访问请求隐私风险和用户隐私风险进行动态量化，支撑演化博弈建模和风险策略更新，并将结果反馈存储至上下文信息模块中。上下文信息模块动态记录并存储用户信息、信息资源、访问历史、历史隐私风险值、历史博弈策略及收益函数等信息。风险策略模块动态更新各用户的隐私风险访问控制策略。

5 隐私风险定义及自适应计算方法

本节针对4.1节所述隐私风险量化问题，分别定义访问请求隐私风险和用户隐私风险，并给出自适应风险计算方法。

5.1 访问请求隐私风险

访问控制系统中，信息资源可以通过自然语言处理或机器学习的方式进行标签化，使所有信息资源记录或原子集合都包含与系统资源使用功能、目的相关的标签信息，如医疗系统中所有的医疗数据可以根据ICD-10标准进行标签化处理，情报系统中所有的情报信息可按照情报属性和功能进行标签化标注。将访问控制过程按照时间划分为不同的时间段T0,T1,T2,…，每个时间段可以是一小时、一天或一周等。用户U在前一个时间段T内和当前时间段内截至目前向系统发出了n次访问请求，对应的访问信息资源集合（实际应用中利用信息资源集合对应的标签集合进行风险计算）为，则U访问的信息资源集合为。当前用户U的访问请求为，该请求对应的系统信息资源集合为。根据各用户的历史访问信息资源集合的相似性和聚类，可将具有相似访问行为的用户划分为一组，在某一组中，所有的用户具有相同的系统职责，在访问行为上仅有较小的差异。设用户U属于用户分组g，用户分组g在前一个时间段T内和当前时间段内截至目前，访问的信息资源集合为Rg。则用户U的当前访问请求隐私风险为

其中，p(x)表示x在Rg中的概率，1>α>β>0，且α+β=1。

根据用户组g中用户的访问请求风险值的历史及分布可利用分位数设置阈值tg，若，则定义为隐私侵犯访问请求，否则为非隐私侵犯访问请求。特别注意的是，前述定义是从系统的角度看待某一访问请求，用户U会主动选择正常访问或隐私侵犯访问，但系统仅根据访问请求本身来判定，可能将用户的正常访问识别为隐私侵犯访问，亦有可能将用户的隐私侵犯访问识别为非隐私侵犯访问。当某一访问请求被识别为隐私侵犯访问时，用户可通过风险消除措施降低隐私风险，文献[21]讨论了相关措施。

5.2 用户隐私风险

用户U的隐私风险根据其访问行为特征而发生变化，当用户访问请求隐私风险值高时，则用户的隐私风险提高；当用户访问请求隐私风险值低时，则用户隐私风险降低，且用户隐私风险提高的速率高而降低的速率低。这样的假设与银行对客户的信用风险评估一致，若客户发生一次信用违约，其信用风险提高很快，需要很多次的信用守约才能将其信用风险降低至原来的值。用户隐私风险仅与其前一隐私风险值和前一次访问请求隐私风险值相关。设用户U的初始隐私风险值为，其在当前访问请求之前的隐私风险值为，则当前访问请求发出之后，系统根据其隐私风险值和访问请求的隐私风险值计算用户U的更新隐私风险值

6 所提访问控制模型的演化博弈模型及均衡分析

本节将访问敏感信息的用户和信息资源系统看作2个有限理性的群体，2个群体中的参与者进行动态演化博弈，通过不断演化达到演化稳定状态，所有博弈参与者都选取最优博弈策略。定义隐私风险访问控制的演化博弈模型，包含参与者、博弈策略、信念和收益函数，并给出演化稳定策略均衡求解计算方法，进一步分析演化稳定状态及演化稳定策略的特征和机理。

6.1 隐私风险访问控制的演化博弈模型

在有限理性参与者假设下，基于演化博弈可构建面向隐私保护的风险自适应访问控制演化博弈模型。

定义3风险自适应访问控制演化博弈模型（risk-adaptive based access control evolutionary game model），可表示为四元组RaBACEGM=(P,,APr,u)。

1)P={U,S}是演化博弈的参与者空间，其中，U是用户，S是信息资源系统。

2)A={AU,AS}是博弈策略空间，其中，AU={Normal,Malicious}是用户的可选策略集合，包含正常访问和恶意访问；AS={Grant,Deny}是信息资源系统的可选策略集合，包含授权和拒绝。

3)Pr={p,q}是博弈信念集合，其中，p={pNormal,pMalicious}表示用户分别采取正常访问和恶意访问的概率，且pNormal+pMalicious=1；q={qGrant,qDeny}表示信息资源系统分别采取授权和拒绝的概率，且qGrant+qDeny=1。

4)u={uU,uS}是博弈参与者的收益函数集合，其中，是用户的收益函数，是信息资源系统的收益函数，二者的值由参与者的访问策略选择所决定。

本文的访问控制系统中，用户U和资源信息系统S都有2个策略可以选择，在博弈的不同阶段，用户和资源信息系统对策略的选择概率不同，且该概率根据演化博弈的演化学习机制而不断变化，使访问控制参与者的策略选择形成动态变化的过程。该博弈模型形成的基本博弈树如图3所示，表示单次博弈中用户与信息资源系统的博弈策略和收益情况。

图3 风险自适应访问控制演化博弈模型的基本博弈树

博弈参与者根据自身和其他参与者的策略选择而获取不同的数值收益，所有参与者的收益矩阵如表1所示。

表1 风险自适应访问控制演化博弈模型的基本收益矩阵

表1中对演化博弈模型中各参与者的信念、策略和收益进行了形式化描述，特别地，参与者的收益根据访问请求的隐私风险不同而不同。

基于表1，可计算用户不同访问策略的期望收益和平均收益为

由于风险访问收益较低者会学习模仿高收益参与者所选取的策略，针对用户可选策略集合AU={Normal,Malicious}，选取不同策略的用户比例将随时间发生变化。pNormal(t)表示选取正常访问策略的用户比例，pMalicious(t)表示选取恶意访问策略的用户比例，满足pNormal(t)+pMalicious(t)=1。对于某一用户访问策略，选取该策略的用户比例是时间的函数，其动态变化速率可用复制动态方程[33]表示。

其中，i∈{Normal,Malicious}。

同理，信息资源系统不同策略选择的期望收益和平均收益为

对信息资源系统的博弈策略选取亦可建立复制动态方程

其中，j∈{Grant,Deny}，且qj(t)。通过联立式(9)和式(11)，令

通过求解式(12)，即可得到隐私风险访问模型的演化博弈平衡状态点，从而实现访问控制策略选取的分析和预测。

6.2 隐私风险访问控制博弈演化稳定策略均衡求解

所提出的隐私风险访问控制模型中，用户选取不同的访问行为策略会产生不同的收益，收益低的用户会模仿收益高的用户所选取的访问行为策略。对于相同工作职责的n个用户，有2种访问策略{Normal,Malicious}可选，选取这2种访问策略的用户比例随着时间发生变化，分别为pNormal(t)和1–pNormal(t)。对于访问策略Normal，选取该策略的用户人数比例是时间的函数，其动态变化速率可表示为动态复制函数

令D(pNormal)=0，将式(8)代入式(13)可求解，得

类似地，信息资源系统的2种可选行为策略为{Grant,Deny}，其策略选取概率为qGrant(t)和1–qGrant(t)，对于策略Grant的选取概率时间变化函数，亦可求解得q=0，q=1和pNormal=

将用户与信息资源系统的策略选取复制动态方程相结合，构建隐私风险访问控制演化博弈方程组，对博弈模型进行稳定性分析。求解方程组得到5个解：和其中，表示用户选取纯策略恶意访问请求Malicious，信息资源系统选取纯策略拒绝访问Deny；表示用户纯策略选取恶意访问请求Malicious，信息资源系统选取纯策略允许访问Grant；表示用户纯策略选取正常访问请求Normal，信息资源系统选取纯策略拒绝访问Deny；表示用户纯策略选取正常访问请求Normal，信息资源系统选取纯策略允许访问Grant；表示用户以混合概率组合选取策略{Normal,Malicious}，信息资源系统以混合概率组合选取策略{Grant,Deny}。根据演化稳定策略理论可知Y1、Y2、Y3、Y4为鞍点，Y5为中心点，故所提风险自适应访问控制演化博弈模型存在演化稳定均衡。

6.3 隐私风险访问控制博弈演化稳定策略分析

演化稳定策略是演化博弈模型中能够抵抗侵犯的策略。在所提风险自适应访问控制演化博弈模型中，用户和信息资源系统双方各自存在复制动态，以用户为例，对其演化稳定策略进行分析。通过式(13)可知，用户正常访问请求策略选取的复制动态相位有3种，当时，对任意的用户正常访问请求Normal策略选取概率pNormal，有一旦qGrant的取值发生偏移，就会剧烈变化，其所代表的状态不具有稳定性；当时，pNormal=1为用户的演化稳定策略；当qGrant<时，pNormal=0为用户的演化稳定策略。

7 实验仿真与分析

本节对本文提出的隐私风险自适应访问控制模型的演化博弈过程，利用动力学理论进行仿真，分析隐私风险自适应访问控制演化博弈模型的最优访问策略选取问题。

由6.2节可知，该访问控制模型的演化博弈稳定状态为Y1=[0,0]'，Y2=[0,1]'，Y3=[1,0]'和Y4=[1,1]'，下面针对pNormal和qGrant的不同初始状态，进行实验仿真。通过仿真可以观察出pNormal和qGrant的演化趋势，得到最终的演化稳定状态，通过演化分析，实现隐私风险访问控制系统中参与者的策略选择预测，从而选取出最优的访问控制策略。本文的仿真实验中，根据6.1节中的分析对用户的效用函数设定为，对信息资源系统的效用函数设定为

1)当初始状态为pNormal=0，qGrant∈[0,1)时，用户以概率1选取恶意访问Normal策略，信息资源系统以概率1选取拒绝访问Deny策略或任意其他混合策略选取授权访问Grant、拒绝访问Deny策略，通过系统仿真，经过演化，用户和信息资源系统双方的策略选取都会演化为pNormal=0，qGrant=0的概率，即用户以纯策略选取恶意访问Malicious，信息资源系统以纯策略选取拒绝访问Deny。pNormal和qGrant的具体演化曲线如图4所示。在图4中，访问请求为正常访问的初始概率pNormal=0，访问请求被授权的初始概率qGrant在区间[0,1)内，其初始值从0到0.9变化，步长为0.1，演化稳定状态都为pNormal=0，qGrant=0。在达到演化稳定状态Y1=[0,0]'时，风险自适应访问控制演化博弈模型的博弈参与者两方博弈策略选取最优。

图4 初始状态为pNormal=0，qGrant∈[0,1)时，隐私风险自适应访问控制演化博弈模型的演化曲线

2)当初始状态为pNormal=0，qGrant=1时，用户以概率1选取恶意访问Malicious策略，信息资源系统以概率1选取授权访问Grant策略，通过演化，该演化博弈模型的博弈双方的策略选取不变，pNormal和qGrant的具体演化曲线如图5所示，演化稳定状态为pNormal=0，qGrant=1。

图5 初始状态为时pNormal=0，qGrant=1，隐私风险自适应访问控制演化博弈模型的演化曲线

在图5中，尽管该演化过程的最终状态Y2=[0,1]'是所提出的演化博弈模型的演化稳定状态，但在实际应用中，信息资源系统为了遏制恶意访问请求，保护系统中的隐私数据，同时尽可能吸引更多用户访问系统，其不会以纯策略方式选取授权访问Grant，故当用户初始访问策略选取为纯策略恶意访问Malicious时，会转换为图4所示的演化曲线。

3)当初始状态为pNormal∈(0,1]，qGrant∈(0,1]时，用户以混合策略方式选取正常访问Normal、恶意访问Malicious，或以纯策略方式（概率为1）选取正常访问Normal，信息资源系统以混合策略方式选取授权访问Grant、拒绝访问Deny，或以纯策略方式（概率为1）选取拒绝访问Deny，博弈模型通过不断演化，会达到演化稳定状态Y4=[1,1]'，即用户以纯策略方式选取正常访问Normal，信息资源系统以混合策略方式选取授权访问Grant。该状态下风险自适应访问控制演化博弈模型的博弈策略选择最优，pNormal和qGrant的演化曲线如图6所示。在图6中，访问请求为正常访问的初始概率pNormal以及访问请求被授权的初始概率qGrant都在区间[0,1)内，其初始值分别从0到0.9变化，步长为0.1，演化稳定状态为pNormal=1，qGrant=1。

4)当初始状态为pNormal∈(0,1]，qGrant=0时，用户以混合策略方式选取正常访问Normal、恶意访问Malicious，或以纯策略方式（概率为1）选取正常访问Normal，信息资源系统以纯策略方式（概率为1）选取拒绝访问Deny，通过不断演化，会达到演化稳定状态pNormal=1，qGrant=0，即用户以纯策略方式选取正常访问Normal，信息资源系统以纯策略方式选取拒绝访问Deny。pNormal和qGrant的具体演化曲线如图7所示。在图7中，访问请求为正常访问的初始概率pNormal在区间[0,1)内，其初始值分别从0.1到1变化，步长为0.1，访问请求被授权的初始概率qGrant=0，演化稳定状态为pNormal=1，qGrant=0。

图6 初始状态为pNormal∈(0,1]，qGrant∈(0,1]时，隐私风险自适应访问控制演化博弈模型的演化曲线

图7 初始状态为pNormal∈(0,1]，qGrant=0时，隐私风险自适应访问控制演化博弈模型的演化曲线

在图7中，最终达到的演化状态是风险自适应访问控制演化博弈模型的演化稳定状态Y3=[1，0]'。但在实际应用中，信息资源系统为了吸引更多用户访问系统，不会以纯策略方式选取拒绝访问Deny，而是以混合策略的方式选取其博弈策略，其演化过程会转换为图6所示的演化曲线。

由以上仿真结果可知，给定不同的策略选取初始状态，经过演化，所提出的风险自适应访问控制模型在演化博弈过程中会达到某个稳定状态。通过观察对比，本演化博弈模型的模拟演化结果与第6节中的理论分析保持一致，说明该演化博弈模型与现实系统中的规律相符。因此，本文提出的风险自适应访问控制演化博弈模型具有有效性，可应用于面向隐私保护的风险自适应访问控制系统，为访问控制系统的参与者进行隐私保护访问策略选取提供依据。

表2 本文所提模型与已有模型对比

8 对比与讨论

在风险访问控制、基于博弈的访问控制和基于演化博弈的信息安全模型方面均有相应的研究，本节针对这些研究工作进行对比，如表2所示。

由表2可知，相较于文献[12,19,22]，本文所提出的风险访问控制从系统安全保护扩展至数据隐私信息保护，同时在有限理性假设下，应用多人演化博弈对自适应风险访问控制的参与者群体进行了建模和分析；相较于文献[24,26]，本文将隐私保护的应用范围推广至一般以隐私数据为中心的系统中，并利用博弈论对隐私保护的访问策略选择进行了分析；相较于文献[16,29]，本文不关注系统的安全，而关注于系统中的敏感数据隐私保护，通过隐私风险量化对博弈的效用函数进行定义，且放松了对博弈参与者的绝对理性假设，用演化的思想动态分析参与者的访问策略选择；相较于文献[15]，本文的主要目标是隐私保护，将传统访问控制的二人博弈扩展为有限理性下的多人动态博弈，更加适用于访问控制的真实场景，风险量化函数也通过信息量的量化对隐私风险进行描述，并反映到博弈效用函数中；相较于文献[28]，本文不局限于特定场景的隐私保护，其适用于通用的隐私保护场景，并且通过对用户隐私风险和访问请求隐私风险进行动态量化，实现了隐私风险自适应。在多人博弈场景中，本文所提模型对参与者的理性假设放松为有限理性，利用演化的思想对参与者的策略选择进行动态更新，更加符合现实场景中参与者的访问行为变化特征。

9 结束语

隐私保护是以数据为中心的开放系统的核心问题之一，设计有效的细粒度自适应访问控制模型能够保护系统中的隐私数据不被恶意、好奇的访问行为侵犯隐私。本文面向隐私保护，在有限理性假设下，提出了一种基于演化博弈的隐私风险自适应访问控制模型，该模型利用隐私信息量化的方法对访问请求隐私风险和用户隐私风险进行量化，在此基础上构建了两方群体的演化博弈模型，群体中博弈参与者不断学习模仿高收益的参与者博弈策略，最终达到演化稳定状态。通过复制动态方程分析了所提出的风险自适应访问控制演化博弈模型中参与者的策略选择变化过程和演化稳定状态形成机理，提出了演化稳定策略的求解式。通过仿真实验，对所提自适应隐私风险访问控制模型的有效性进行了验证，该模型能有效应用于隐私保护的访问控制；通过与相关文献对比，证明该模型提出了新的隐私风险自适应量化方法，减少了对系统历史信息的要求，具有更好的隐私风险动态适应性，并将自适应隐私风险量化结果用以设计演化博弈的效用函数；提出了有限理性多参与者的风险访问控制演化博弈模型，该模型中参与者的博弈策略选择动态更新，更加适用于真实场景。