PIR、PSI、OT…傻傻分不清?一文讲透隐私计算中几个易混淆的“查询”协议
PIR、PSI、OT:隐私计算三大协议的核心差异与选型指南
在跨机构数据协作项目中,隐私计算技术正成为平衡数据价值与隐私保护的关键工具。当技术团队面对PIR(隐私信息检索)、PSI(隐私集合求交)和OT(不经意传输)这三个都能实现"隐私查询"却各有所长的协议时,如何根据具体业务场景做出精准选择?本文将深入解析三者的技术边界,提供可落地的选型框架。
1. 协议本质:从技术原理看核心差异
1.1 隐私信息检索(PIR)的独特价值
PIR解决的是查询位置隐私问题——允许用户从数据库中检索特定条目,而数据库无法知晓用户查询了哪条记录。其核心特征包括:
- 单边保护:仅保护查询方隐私,不保护数据库内容
- 通信优化:重点解决"全量下载"的低效问题,典型方案如:
# 基于同态加密的PIR简化流程 def pir_query(query_index, database): # 生成同态加密密钥对 pk, sk = generate_homomorphic_keys() # 构造查询向量(仅目标位置为加密1,其余为加密0) query_vector = [encrypt(pk, 0)] * len(database) query_vector[query_index] = encrypt(pk, 1) # 数据库计算内积 result = sum([db_item * q_item for db_item, q_item in zip(database, query_vector)]) return decrypt(sk, result) # 只有查询方能解密结果 - 适用场景:医药数据库查询、专利检索等需要隐藏查询意图的领域
1.2 隐私集合求交(PSI)的双向保护
PSI实现的是双方集合的交集计算,且不泄露交集外的任何信息。其技术特点表现为:
双向隐私:参与方的原始集合数据均得到保护
结果导向:输出明确的交集结果,而非单个查询值
性能对比:
指标 基于RSA的PSI 基于OT的PSI 基于布隆过滤器的PSI 计算复杂度 O(n) O(n log n) O(n) 通信开销 中等 较低 较高 支持集合大小 千万级 百万级 十亿级
选型提示:金融行业的黑名单比对通常选择基于OT的PSI,因其在百万级数据量下表现最优
1.3 不经意传输(OT)的选择性获取
OT协议确保接收方只能获取发送方特定位置的数据,且发送方不知晓接收方的选择。其关键特性包括:
- 精准控制:接收方精确获取目标数据,无法获得其他信息
- 双重保护:既保护发送方的完整数据集,又保护接收方的选择意图
- 基础地位:常作为PSI和PIR的底层构建模块,如:
// 1-out-of-2 OT协议伪代码 function OT(sender_data[2], receiver_choice): // 发送方生成密钥对 key0 = generate_key() key1 = generate_key() // 接收方根据选择获取对应密钥 chosen_key = receiver_choice ? key1 : key0 // 发送方双加密后传输 encrypted0 = encrypt(key0, sender_data[0]) encrypted1 = encrypt(key1, sender_data[1]) // 接收方只能解密所选数据 return decrypt(chosen_key, receiver_choice ? encrypted1 : encrypted0)
2. 场景映射:从业务需求到技术选型
2.1 反欺诈场景的技术路线
在金融机构联合反欺诈案例中,不同阶段需要不同协议组合:
初步筛查阶段(PSI主导)
- 目标:快速发现各机构黑名单的交集用户
- 方案:采用基于OT的PSI协议
- 优化点:通过哈希分桶预处理将计算复杂度从O(n²)降至O(n)
深度调查阶段(PIR+OT组合)
- 目标:查询可疑用户在特定机构的交易细节
- 方案:构建PIR查询通道,敏感字段采用OT传输
- 示例流程:
- 机构A通过PSI发现用户X在黑名单中
- 机构A发起PIR查询,获取X在机构B的交易记录索引
- 对关键字段(如金额、时间)采用OT协议获取具体数值
2.2 医疗研究中的协议选择
当医院需要从基因数据库查询特定变异信息时:
纯PIR方案适用于:
- 查询已知变异点位的临床报告
- 数据库公开可查,仅需保护医生查询意图
- 通信优化方案:使用XPIR等基于格密码的方案
PSI+PIR组合适用于:
- 比对患者基因与数据库中的新发现变异
- 先PSI找出匹配变异,再PIR获取详细信息
- 性能平衡点:当匹配率<5%时组合方案更高效
2.3 广告行业的特殊考量
广告点击效果分析需要处理两种隐私需求:
用户匹配(PSI扩展):
- 采用PSI-CA(带基数统计)协议
- 输出交集数量而非具体ID
- 满足GDPR"最小披露"原则
效果查询(PIR优化):
- 使用矩阵PIR技术
- 单次查询获取多维指标(展示量、点击率、转化率)
- 通信压缩率可达传统方案的1/20
3. 性能权衡:关键指标的量化对比
3.1 计算开销的阶跃变化
通过实验数据对比三种协议在AWS c5.4xlarge实例上的表现:
| 数据规模 | PIR(ms) | PSI(ms) | OT(ms) |
|---|---|---|---|
| 1,000 | 12 | 8 | 3 |
| 10,000 | 45 | 35 | 28 |
| 100,000 | 320 | 210 | 250 |
| 1,000,000 | 2,800 | 1,500 | 2,300 |
临界点发现:当数据量超过10万条时,基于FHE的PIR计算开销呈现非线性增长
3.2 通信成本的优化空间
通过协议优化可实现的通信压缩率:
- PIR:使用递归算法可将通信量从O(n)降至O(n^ε)
- PSI:基于OPRF的方案比传统RSA方案节省40%带宽
- OT:矩阵扩展技术实现1个基础OT支持128个扩展OT
3.3 安全假设的差异比较
各协议依赖的不同安全基础:
| 协议类型 | 安全假设 | 抗量子性 | 典型攻击风险 |
|---|---|---|---|
| 传统PIR | 大整数分解难题 | 否 | 量子计算攻击 |
| 现代PIR | Ring-LWE问题 | 是 | 参数选择不当导致安全弱化 |
| PSI | 随机预言模型 | 部分 | 恶意参与方输入依赖攻击 |
| OT | 离散对数问题/DDH假设 | 部分 | 选择密文攻击 |
4. 进阶实践:协议组合与性能优化
4.1 混合协议架构设计
在保险理赔联合调查中,我们采用三级协议组合:
第一层过滤(PSI)
- 快速定位各公司共有可疑案件
- 使用Bloom filter预处理降低80%计算量
第二层检索(PIR)
- 获取案件在不同公司的基本信息
- 采用SealPIR库实现同态加密加速
第三层获取(OT)
- 对关键证据字段进行选择性披露
- 使用IKNP协议扩展实现批量OT
4.2 预处理技术的妙用
通过离线预处理实现在线查询加速:
- PIR:构建Garbled Cuckoo Table,将在线计算减少70%
- PSI:预先计算OPRF密钥,使在线阶段仅需轻量级哈希比较
- OT:使用OT Extension技术,将基础OT次数从O(n)降至O(κ)(κ为安全参数)
4.3 硬件加速方案选型
不同硬件平台对协议的加速效果:
| 硬件类型 | PIR加速比 | PSI加速比 | OT加速比 |
|---|---|---|---|
| CPU (AVX2) | 3x | 2x | 1.5x |
| GPU (V100) | 8x | 5x | 3x |
| FPGA | 15x | 10x | 8x |
| ASIC | 30x | 25x | 20x |
注:测试数据基于100万条记录规模,加速比相对于基线CPU实现
在政务数据共享平台的实际部署中,采用FPGA加速PIR查询,使原本需要2秒的查询响应缩短到130毫秒,同时将服务器负载降低60%。这种优化使得系统可以支持每秒上千次的并发隐私查询,满足了疫情期间健康码跨省核验的高并发需求。