匿踪查询技术,又称为隐私信息检索(Private Information Retrieval, PIR),是一种在保护用户隐私的前提下进行信息检索的隐私计算技术。匿踪查询通过加密、混淆等技术手段,保障查询方能够隐匿被查询对象的关键词或客户ID信息,使得数据服务方提供匹配的查询结果但无法获知具体对应哪个查询对象。
匿踪查询可以按照不同的维度进行分类,业界主要按技术实现、服务器数量和查询类型三种方式分类。
(一)按技术实现分类
1.不经意传输(Oblivious Transfer, OT):OT是匿踪查询应用最广泛的实现模式。其允许发送方将多个消息中的一个或多个发送给接收方,而接收方只能得知其选择的那部分消息,同时发送方则不知道接收方选择了哪些消息。不经意传输有多种不同的实现,经典OT为1-out-of-2不经意传输协议,即接收方从2个消息中选择获取其一,之后拓展出不同的变种,包括1-out-of-N不经意传输协议和k-out-of-N不经意传输协议等。
2.同态加密(Fully Homomorphic Encryption, FHE):目前业界也有基于同态加密技术实现匿踪查询的方案。在这类方案下,数据库被加密存储在服务器。用户向服务器提交同态加密的查询索引,生成不可关联到原始索引的加密查询。服务器依据加密索引在加密数据库中进行运算后,返回对应索引的数据项的密文,由用户自行解密结果。
(二)按服务器数量分类
1.单服务器方案(Single-Server PIR):所有的查询操作都通过一个服务器进行。用户向这个单一的服务器发送查询请求,服务器处理请求并返回结果。相较于多服务器方案,单服务器方案在实际应用中更为普遍,因为它避免了多服务器之间可能出现的合谋问题,且在部署和维护上相对简单。
2.多服务器方案(Multi-Server PIR):涉及使用多个服务器来处理用户的查询请求。这种方案的核心目的是通过分散信息处理和存储,增强用户查询的隐私保护,可减少单一服务器泄露用户隐私信息的风险。
(三)按查询类型分类
1.基于索引的隐私查询方案(Index PIR):用户基于数据的位置索引进行查询,例如查询服务端第k个数据。该方案通常在效率上较高,因为它不需要处理复杂的文本匹配问题,但不适用于数据变化频繁的场景。
2.基于关键词的隐私查询方案(Keyword PIR):服务端的数据是(key, value)类型的数据,这种方案允许用户根据关键词key进行查询,而不暴露查询的具体内容。该方案因包含查询关键词信息,因此技术复杂性更高,但使用更灵活。
当前金融风险防控形式严峻,呈现复杂化、跨机构等特点,金融机构亟需结合自身数据外的其它金融数据及外部数据,实现联合风控、联合征信等相关能力,进一步提升金融反欺诈防控效果。然而,传统的数据共享方式存在数据泄露的风险。因此可借助匿踪查询技术,在保证在多方原始数据不出库的前提下,完成数据信息的流通共享。
当前银联也已联合主要商业银行、头部隐私计算科技公司及相关高校,基于匿踪查询技术开展相关探索实践,计划围绕恶意投诉、资金流向等相关风控场景,构建新型金融风险信息共享模式。在保护联盟中各机构隐私安全的前提下,推进实现机构间风险信息共享。在共享过程中,涉及了协调方、数据共享方及数据查询方三个角色。在此场景下,金融机构同时作为数据提供方和数据查询方,通过申请加入共享联盟,按照共享激励机制,保证自身参与共享的共享度、使用率和系统的稳定性。
通过匿踪查询技术,金融机构可以在保护用户隐私的前提下,实现数据的安全共享和有效利用,进一步提升金融机构在风险控制、精准营销、反洗钱等业务场景下的效率和能力。未来希望随着技术的不断发展和完善,匿踪查询技术将在金融行业中发挥更加重要的作用。
ID:gjgcsys
电子商务与支付国家工程研究中心
