基于多方安全攻防博弈的民航旅客隐私数据保护模型
2023-08-10马龙张乐寇猛董睿
马 龙 张 乐 寇 猛 董 睿
(西安航空学院民航学院 西安 710077)
随着我国网络信息技术的快速发展,利用网络技术实现信息交换、数据共享和交互式任务操作是中国式现代化社会发展的重要特征,特别是面对民航旅客订座业务的信息化,民航旅客隐私数据泄露与保护问题日趋重要,因此,如何减少旅客隐私数据攻击泄露和消除信息隐患成为亟待解决的问题.目前,国内外学者对于个人隐私数据保护主要利用保留格式加密技术[1]、匿名化技术[2-3]和授权访问限制技术[4-5]等方式展开研究,虽然这些方法可以从内外部权衡个人隐私数据的安全性和有效性问题,但无法防御具有背景知识的隐私数据攻击,且无法防御具有多次攻击叠加效应的隐私数据泄露问题.由此为了弥补多种隐私保护技术的不足之处,学者们分别利用博弈论、多方安全计算和理性双方安全计算协议等方法对隐私保护问题进行透彻研究,如文献[6]针对4种不同的隐私保护问题,从参与方、攻击策略、量化方法和期望利益最大化方面综述了博弈论解决方案;文献[7]利用博弈论解决隐私保护的机制设计、参与方收益和理性选择,分析了纳什均衡条件下各方收益最大化的方案;文献[8]针对隐私保护分布式数据挖掘问题,设计了参与方准诚信策略,解决了完全信息静态博弈下的分布式数据挖掘问题.这些博弈论方法更多从单方面寻找纳什均衡确定参与方的收益大小问题,然而对于民航旅客隐私数据保护问题涉及较少.文献[9]从多方安全的概念界定和应用特点出发,综述了多方安全计算模型的现状;文献[10]利用隐私保护的多方安全计算合约技术,解决了数据流通使用的安全控制问题;文献[11]根据多方效用函数的单一机制,设计了一种新的理性安全多方计算协议,但均是从参与者与诚实参与者角度进行设计,且只考虑了参与者成功与否的获益值,并没有考虑攻击者耗费的代价,特别是未考虑理性双方计算协议,致使多轮反复计算而造成效率低与过程复杂.
理性安全多方计算协议是由Halpern等人[12]于2004年首次提出,该协议认为参与者都具备理性行为,采取的博弈策略均是为了获得期望收益最大化,保证了协议的安全性和隐私性,然而在特定函数和收益值下无法达到公平性[13].由此,文献[14]针对两方安全计算协议的不公平性问题,构建了基于博弈论的两方安全计算协议,解决了公平性问题.虽然理性安全多方计算协议在传统的网络通信过程中彰显了隐私保护效果,但对于复杂数据格式的民航旅客隐私数据保护问题还未展开深入研究.
综上所述,尽管诸多研究突出了匿名化、访问控制、博弈论和多方安全计算模型和方法,但能够将博弈论、多方安全计算和理性安全多方计算协议交叉融合应用于民航旅客隐私数据保护研究还鲜有研究.因此,本文提出了基于多方安全攻防博弈的民航旅客隐私保护模型(以下简称民航旅客隐私保护模型),为深入探索多方安全计算和民航旅客隐私保护问题提供重要参考价值.
1 多方安全攻防博弈模型概述
博弈论是由学者Von Neumann和Morgenstern于1944年在《博弈论与经济行为》的著作中首次提出的博弈论的基本公理和研究框架,且以双人零和博弈为基础,直到1950年,Nash提出了Nash均衡理论,将非合作博弈形式和理论扩展到博弈深层次理论中.然而,攻防博弈模型主要包括博弈参与者、博弈策略、博弈信念和博弈收益4个要素.攻防博弈模型(attack defense evolutionary game model, ADEGM)可以由一个四元组构成,即ADEGM=(N,S,P,U).
博弈参与者空间N=(ND,NA),ND为防御方,NA为攻击方;攻击和防守双方具有多个决策参与者.
博弈策略空间S=(DS,AS),DS为防御者可选的策略集,AS为攻击者可选的策略集;攻击和防守双方具有多个可选策略.
博弈信念集合空间P=(q,p),q为防御者选取不同防御策略的概率集,p为攻击者选取不同攻击策略的概率集.
博弈收益函数集合空间U=(UD,UA),UD为防御者的博弈收益,UA为攻击者的博弈收益;攻击和防守收益值是由决策者的选取策略共同确定.
多方安全攻防博弈模型的基本原理是:如果攻击者以概率pi成功攻击,说明攻击者预先悉知防御者攻击概率的大小,进而无需执行安全攻防计算协议;反之,如果攻击者以概率1-pi攻击失败,但是进行了一次成功猜测博弈结果,这也增加了后续猜测成功的概率,增加了攻击者继续发生猜测的行为,且需从3个方面发起攻击行为:1)恶意攻击者以概率pi成功攻击,获得回报收益F;2)恶意攻击者以概率1-pi为失败攻击,获得回报收益G;3)恶意攻击者未发起攻击行为,获得回报收益H.其攻防博弈矩阵如表1所示:
表1 多方安全攻防博弈矩阵
定义1.恶意攻击者以概率pi成功攻击,则避免被攻击的概率为
(1)
证明.根据博弈模型的支付矩阵,恶意攻击者被动发动攻击的收益为U.
假设恶意攻击者对理性多方安全计算协议攻击后获得真实数据所花费的代价大于获得实际数据的真实收益值,则攻击者从理性上不会发动攻击,进而有
U>piU++(1-pi)U--EI.
(2)
因此,诚实参与者传送无效数据时,其真实有效数据节点占总节点的比例为pi,从而保证理性多方安全计算协议的安全性.
证毕.
证毕.
多方安全攻防博弈模型的特点是适应攻击策略动态变化场景,在攻防参与者利用冲突下,根据双方攻防策略作出各自的不同决定方案,实现双方期望收益最大化.然而,传统的博弈论模型只考虑成功攻击者获得的回报收益,但忽略了攻击过程中消耗的资源,但是在实际攻防应用阶段,攻击成本将是评价攻击获利的参考条件,由此,引入理性双方安全计算协议,综合权衡参与者的最大效益问题,降低隐私泄露概率,提高防护效果.
2 理性双方安全计算协议
2.1 数据准备阶段
输入阶段:假设参与者A与B分别输入了自己隐私数据X和Y,计算Γ(X,Y),且输入的隐私数据双方互不知晓.
图1 攻防博弈树编码
2.2 数据计算阶段
参与者A按照自上而下、从左到右的顺序,将攻防编码树中的数据传送给参与者B,参与者B接收到参与者A的所有数据后,复现成原有的ADtreeX,并将参与者B的隐私数据Y加入ADtreeX攻防博弈树,关于博弈树理论可参考文献[7],并用左0右1的编码,进而获得隐私数据Y所在位置的编码ADtreeYCode.
参与者B按照自上而下、从左到右的顺序,将攻防编码树中的数据传送给参与者A,参与者A接收到参与者B的所有数据后,复现成原有的ADtreeY,并将参与者A的隐私数据X加入ADtreeY攻防博弈树,并用左0右1的编码,进而获得隐私数据X所在位置的编码ADtreeXCode.
参与者A将ADtreeXCode的二进制编码传送给参与者B,同时,参与者B将ADtreeY的二进制编码传送给参与者A.参与者A根据ADtreeYCode编码与ADtreeX攻防博弈树结构,判断出隐私数据X和Y值的大小.例如,参与者B传送的ADtreeY攻防博弈树编码是1100,参与者A的ADtreeX攻防博弈树的编码为0100,可从第1位编码判断出隐私数据X在左子树、Y值在右子树.并将右子树Y值编码与左子树X编码转为实数后,发现隐私数据Y值大于X值,进而判断出传送隐私数据量的大小.
3 民航旅客隐私数据保护模型分析
根据多方安全攻防博弈理论中恶意攻击者与诚实参与者的博弈矩阵可知,博弈双方存在一个纯策略的纳什均衡策略,因此,大多数民航旅客不能始终选择该策略,最终选择与博弈双方初始意愿相违背.为了解决这种囚徒困境问题,本文提出了一种基于多方安全攻防博弈的民航旅客隐私数据保护模型,该模型在理性双方安全计算协议的基础上,通过攻击反馈记录机制控制旅客隐私数据的攻击权限和次数,并根据不同的攻防策略下的收益值为博弈,得到纳什均衡,由此利用纳什均衡获得恶意攻击者攻击失败的概率,同时,恶意攻击会根据旅客隐私数据的回报收益大小设定一个阈值,与恶意攻击者进行攻击成功的概率进行比较,评价隐私数据受到保护的程度,表达式如下:
e=(1/2)pi-1-1,
(3)
其中,pi为旅客隐私数据泄露的概率,e为隐私数据保护的有效性.
民航旅客隐私数据保护阈值是由参与者根据自身对民航旅客隐私数据泄露的要求而设定参数,取值范围为[0,1].该阈值反映了攻击者对隐私数据成功攻击的收益程度,基本原则为收益越大则设置的阈值越小;收益越小则设置的阈值越大.在未获得收益时阈值设置为0.5,诚实参与者根据民航旅客隐私数据的敏感程度实时动态设置阈值,表2是隐私数据回报收益值与阈值的对应关系:
表2 隐私数据回报收益值与阈值的关系表
参与者在隐私数据攻击过程中,当参与者攻击回报收益低于该阈值时,参与者合作展开主动攻击,反之,当参与者攻击回报收益高于该阈值时,参与者不合作展开被动攻击.
3.1 民航旅客隐私数据保护流程
根据攻防博弈理论和理性双方安全计算协议,本文设计了基于多方安全攻防博弈的民航旅客隐私数据保护模型,其流程如图2所示.
图2 基于多方安全攻防博弈的民航旅客隐私保护模型流程
根据图2的流程可以看出,通过攻击反馈记录机制控制民航旅客隐私数据历史攻击数据与阈值的设置,如果恶意攻击者成功攻击旅客隐私数据以及历史攻击数据,造成旅客隐私数据泄露,则认为恶意攻击者利用“不合作”博弈策略,被动攻击者不仅会拒绝恶意攻击者成功概率pi高于设定的阈值,还会根据攻击者反馈记录机制,对被动攻击者实施惩罚.因此,当攻防博弈双方分别将“合作”博弈策略和“不合作”博弈策略作为各自的博弈策略时,因为隐私数据泄露,被动攻击者获得收益,主动攻击者会因被动攻击者受惩罚而获益.
3.2 民航旅客隐私数据保护模型框架设计
在分析基于多方安全攻防博弈的民航旅客隐私数据保护模型流程的基础上,本文设计了多方安全攻防博弈的民航旅客隐私保护模型框架,如图3所示.
图3 多方安全攻防博弈的民航旅客隐私数据保护模型框架
该框架划分为执行部分、决策部分和民航旅客隐私信息历史攻击数据库.
执行部分的民航旅客隐私数据获取模块负责采集攻击的隐私数据,将该数据提供给决策部分.
决策部分通过理性计算协议的决策结果,将决策结果提交给执行部分,同时将攻击者此次攻击获得的隐私信息记录到隐私信息攻击历史数据库中.
隐私信息攻击历史数据库负责存储记录攻击的旅客隐私数据,供决策部分决策计算收益使用.
攻击博弈模块负责计算攻击者和防御者博弈过程中“合作”和“不合作”博弈策略纳什均衡,计算出攻击者采取恶意攻击者成功攻击概率pi.
阈值模块负责将攻防博弈模块获得的攻击者成功攻击概率与防御者事先设置的阈值进行比较后获得最终决策.
民航旅客隐私信息收集模块负责收集本次攻击者获取的隐私信息,并将其存储在民航旅客隐私信息历史攻击数据库中.
4 案例实验与结果分析
4.1 实验设置
为了验证基于多方安全攻防博弈的民航旅客隐私数据保护模型的有效性,通过布设图4所示的网络拓扑结构,利用Python语言模拟旅客隐私数据攻防控制脚本与场景运行.在网络拓扑结构中,攻击者位于外部网络,防御网络为交换网络,其中3台计算机分别配置为民航旅客隐私数据库服务器、航司订座系统文件服务器和Web服务器.
图4 网络拓扑结构图
根据防火墙拦截规则(如表3所示),攻击者在航司订座系统文件服务器和Web服务器仅有访问权限,对民航旅客隐私数据库服务器没有访问权限,由此攻击者可以根据服务器之间的依赖关系获取民航旅客隐私数据库服务器的访问权限.
表3 防火墙拦截规则
4.2 实验数据与结果分析
为了验证多方安全攻防博弈模型在民航旅客隐私数据保护中的应用效果,在实验场景中选取了500个攻击者和100个防御者.并设置连续100次随机攻击,将100次结果中随机抽取30次的攻击,观察防御者应对某个隐私数据被成功防御的概率,并将30次实验结果的平均值与传统的隐私保护模型进行比较分析,实验中的攻击次数与民航旅客隐私数据泄露概率的关系如表4所示:
表4 攻击次数与民航旅客隐私数据泄露概率关系
为了描述多方安全攻防博弈的民航旅客隐私数据保护模型中防御者设置阈值与攻击次数的关系,假设500个攻击者和100个防御者,设置攻击者连续100次随机攻击,将100次结果中随机抽取70次攻击,统计不同阈值下攻击者超过防御者次数,取70次的平均值作为最终结果,如表5所示.
表5 防御者阈值与攻击次数关系
从图5的结果可知,随着攻击次数的增加,传统隐私数据保护模型的泄露概率从0.1递增到0.65左右,且基于博弈论的隐私数据保护模型的泄露概率从0.1递增到0.50左右,因为攻击访问次数的增加必会增加隐私信息内容的叠加效应,突破了防御者限制隐私信息泄露容忍度;而基于多方安全攻防博弈的民航旅客隐私保护模型的隐私数据泄露概率从0.1递增到0.35左右,比其他2种模型的泄露概率要低很多,因为攻击次数的增加必然会造成攻击者成功攻击的回报收益增加,且会采取理性多方安全计算协议减少利用猜测方法获得的收益.
图5 民航旅客隐私数据泄露概率比较
根据图6的计算结果可知,利用式(3)的计算方法,传统隐私数据保护模型的有效性从1.0递减到0.1左右,说明随着攻击次数的增加,隐私数据保护的有效性呈现明显降低趋势;基于博弈论的隐私数据保护模型对于隐私数据保护的有效性从1.0递减到0.15左右,说明随着访问次数的增加,攻击者获取防御者的隐私信息增多,隐私保护的有效性相对传统隐私数据保护模型增加不明显;而多方安全攻防博弈的民航旅客隐私数据保护模型的有效性从1.0递减至0.55左右,因为通过增加理性多方安全计算协议,攻击者综合考虑回报收益大小后是否采取攻击方式,进而导致防御者的隐私数据保护的有效性相对传统隐私数据保护模型明显增加.
图6 民航旅客隐私数据保护效果比较
从图7的雷达图结果可知,随着阈值增加攻击次数减少,反之亦然;这是因为防御者根据隐私数据敏感程度灵活设置阈值大小,并根据理性多方安全计算协议计算攻击者的收益值,进而限制了攻击者的攻击权限.
图7 模型阈值设置与攻击效果比较
5 结 语
随着网络技术的发展致使网络安全环境呈现多元化态势,我国诸多行业都受到网络信息化的普及应用.为了减少民航旅客订座业务数据交换和值机业务交互过程带来的巨大损失,隐私数据保护工作十分重要,如何降低旅客隐私数据攻击泄露概率和提升保护效果,本文提出了一种基于多方安全攻防博弈的民航旅客隐私数据保护模型,探讨了在理性双方攻防策略下的民航旅客隐私数据攻防博弈过程中,隐私数据保护效果和效率的可行性.
多方安全攻防博弈的民航旅客隐私数据保护模型是对基于博弈论的多方安全计算模型和理性双方安全计算协议的综合改进和交叉应用,虽然取得了理性的效果,但将该方法植入民航旅客订座系统和值机系统还需进一步的深入研究.
