匿踪查询沿革-Private Information Retrieval(PIR)

摘要

匿踪查询（Private Information Retrieval, PIR），作为隐私保护计算领域的关键技术分支，旨在解决一个根本性的隐私问题：用户如何在不向数据库服务器泄露其查询意图的前提下，安全地获取所需信息。自1995年其理论概念被首次提出以来，匿踪查询技术经历了从理论构建到实践优化的漫长演进。本报告系统性地梳理了匿踪查询技术的发展脉络，从其密码学思想的萌芽，到1995年里程碑式的诞生，再到单服务器与多服务器两大技术路线的分化与演进。报告将重点剖析以同态加密（Homomorphic Encryption）、格基密码学（Lattice-based Cryptography）和分布式点函数（Distributed Point Functions）为代表的核心技术如何推动匿踪查询协议在效率、安全性与实用性方面取得突破。此外，本报告还将探讨"匿踪查询"这一中文术语的源流，并展望该技术在云计算、物联网（IoT）和人工智能（AI）等前沿领域的应用趋势与未来挑战，旨在为相关领域的学者与从业者提供一份兼具深度与广度的参考资料。

第一章：引言与基本概念

1.1 匿踪查询的定义与核心价值

匿踪查询，其学术术语为"私有信息检索"（Private Information Retrieval, PIR），是一种先进的隐私保护技术。其核心定义是：允许一个用户（查询方）从持有数据库的服务方（数据服务方）处检索一条数据，而服务方无法获知用户具体检索的是哪一条数据。换言之，用户的查询请求对于服务器来说是"匿踪"的，从而实现了"查询不留痕"的隐私保护目标。

这项技术的核心价值在于打破了传统信息检索服务中固有的信息不对称。在常规的客户端-服务器模型中，用户为了获取服务，必须向服务器明确其请求，这不可避免地会暴露用户的兴趣、意图、身份甚至更敏感的个人信息。这些暴露的查询记录可能被服务方记录、分析、滥用，甚至导致数据缓存、贩卖和泄露等严重隐私风险。匿踪查询技术通过复杂的密码学协议，从根本上切断了服务器窥探用户查询内容的能力，为用户在金融征信、医疗记录查询、在线广告、专利检索等众多敏感领域提供了坚实的隐私保障。

1.2 匿踪查询的技术基石

匿踪查询的实现并非依赖单一技术，而是建立在一系列坚实的密码学理论基础之上。这些基础理论的发展为PIR的诞生和演化铺平了道路。其主要技术基石包括：

**不经意传输（Oblivious Transfer, OT）**‍：作为PIR思想的先驱，OT允许信息发送方将多个信息中的一个发送给接收方，而发送方不知道接收方选择了哪一个。这一概念最早由Michael O. Rabin于1981年提出为"选择性遗忘"的交互模式奠定了理论基础。
**安全多方计算（Secure Multi-Party Computation, SMC）**‍：SMC旨在解决一组互不信任的参与方之间协同计算一个函数，同时保证任何参与方均无法获知除计算结果外的其他任何信息。PIR可以被视为SMC的一个特例，特别是在多服务器场景下，其协议设计与SMC中的秘密分享等技术紧密相关。
**同态加密（Homomorphic Encryption, HE）**‍：同态加密是实现单服务器PIR的核心工具。它允许在密文上直接进行计算，其计算结果解密后与在明文上进行相同计算的结果一致。这意味着服务器可以在完全不了解数据内容的情况下，对加密的查询请求和数据库进行运算，从而完成查询任务。
**分布式点函数（Distributed Point Function, DPF）**‍：DPF是近年来推动双服务器PIR效率大幅提升的关键技术。它能将一个"点函数"（即仅在某一点取值为非零，其余点均为零的函数）的描述拆分成多个密钥，分发给不同服务器。服务器各自运算后，用户可合并结果，而任何单个服务器都无法知晓关键"点"的位置。

本报告将沿着时间的脉络，深入探讨这些技术如何被巧妙地应用于匿踪查询协议的设计与迭代之中，勾勒出PIR技术从理论到应用的完整演进图景。

第二章：思想的起源与PIR的诞生（1981年 - 1997年）‍

匿踪查询并非凭空出现，其诞生是密码学和理论计算机科学领域长期探索隐私保护通信与计算的必然结果。这一时期的研究为PIR的正式提出奠定了坚实的理论基石。

2.1 理论先驱：隐私保护思想的萌芽

在PIR概念被明确定义之前，学术界已经在一系列相关的隐私保护问题上取得了重要进展。

1981年：不经意传输（OT）的提出

由图灵奖得主Michael O. Rabin在1981年提出的"不经意传输"协议，被公认为PIR思想的早期雏形。在最初的"1-out-of-2 OT"模型中，发送方Alice有两个消息（m0, m1），接收方Bob希望获得其中一个，但不想让Alice知道他选择了哪一个。协议结束后，Bob成功获得他所选的消息，而Alice无法判断Bob的选择。这一"选择性隐私"的核心思想，与PIR中"查询隐私"的目标高度契合。1985年，S. Even, O. Goldreich和A. Lempel等人对OT模型进行了泛化，进一步推动了其理论发展。
1982年：安全多方计算（SMC）的开创

另一位图灵奖得主姚期智（Andrew Yao）在1982年提出了著名的"百万富翁问题"，并由此开创了安全多方计算（SMC）领域。SMC研究的核心是在没有可信第三方的情况下，多个参与方如何协同计算一个约定函数，并保证各方输入的隐私。虽然SMC的目标更为宏大和通用，但其"输入隐私"的保证，为后续PIR协议中保护用户查询输入的隐私提供了重要的理论框架和工具集，例如姚氏混淆电路（1986年）和基于秘密分享的MPC协议（1987年，由Goldreich等人提出）。
1985年：匿名凭证系统的构想

David Chaum于1985年提出了匿名凭证系统（Anonymous Credential Systems）的构想。该系统允许用户在不泄露身份的情况下向他人证明自己拥有某种属性或凭证。这种对"身份"和"行为"进行解耦的思路，与PIR中将"查询者"和"查询内容"解耦的思想异曲同工，共同构成了数字世界匿名性研究的重要组成部分。

这些早期的理论探索，虽然没有直接解决信息检索的隐私问题，但它们共同营造了一个浓厚的学术氛围，即如何利用密码学工具在信息交互和计算过程中保护个人隐私，为PIR的诞生铺就了理论红毯。

2.2 里程碑：PIR概念的正式诞生（1995年）‍

1995年，被誉为匿踪查询的元年。在当年的IEEE计算机科学基础年度研讨会（FOCS）上，四位以色列科学家Benny Chor, Oded Goldreich, Eyal Kushilevitz, 和Madhu Sudan联合发表了奠基性的论文，首次正式提出并定义了"私有信息检索"（PIR）问题。

他们的开创性工作明确了PIR的核心目标：允许用户从一个拥有n比特数据的数据库中读取任意位置的数据，而数据库服务器无法得知用户读取的是哪一个位置的数据。

在他们的初始方案中，为了实现信息论安全 （Information-Theoretic Security），即服务器即使拥有无限的计算能力也无法破解用户的查询隐私，他们引入了一个关键的架构假设：多服务器模型。具体而言，数据库必须被完全相同地复制到k个（k≥2）互不串通（non-colluding）的服务器上。用户会将一个查询分解成k个子查询，分别发送给这k个服务器。每个服务器根据收到的子查询，返回一个应答。单个服务器的子查询和应答信息，均不足以暴露用户的真实意图。用户在收到所有k个服务器的应答后，通过简单的计算（如异或运算）就能恢复出自己想要的数据。

这个1995年的方案虽然在通信开销上相当大（为了获取1比特数据，需要与服务器交互远超1比特的信息），但它首次从理论上证明了PIR的可行性，并开创性地划分出了PIR研究的两大基本范式：依赖于物理假设（服务器不串通）的多服务器信息论安全PIR，以及我们将在后续章节看到的，依赖于计算复杂度假设的单服务器计算安全PIR。

第三章：双轨并行：两大技术架构的演进与核心协议

PIR自诞生之初，就形成了单服务器和多服务器两种截然不同的技术架构。这两种架构在安全假设、性能特点和适用场景上各有侧重，其技术演进也由不同的密码学工具所驱动。

3.1 多服务器PIR：从信息论安全到追求极致效率

多服务器PIR是PIR最原始的形态，其核心优势在于可以实现无需计算假设的信息论安全，但前提是服务器之间互不串通。其发展主线是不断降低通信开销和计算复杂度。

**早期发展（1995年 - 2000年代初）**‍：Chor等人的开创性工作之后，研究者们致力于优化通信效率。通过使用更复杂的代数和编码技术，协议的通信复杂度被逐步降低。然而，这些方案通常需要较多的服务器数量，或者在计算上较为复杂。
**分布式点函数（DPF）的兴起（2010年代至今）**‍：进入2010年代，分布式点函数（DPF）技术的出现，为双服务器PIR（最简单的多服务器PIR形式）带来了革命性的性能提升。DPF被公认为是构建当前最高效双服务器PIR方案的核心工具。

DPF工作原理简述 ：一个点函数 fα(x) 的特点是，当输入 x 等于特定值 α 时，函数输出为1（或某个预设值），而在所有其他输入点，输出均为0。DPF技术可以将这个函数 fα 的描述，通过一个生成算法 Gen，转换成两个密钥 k0 和 k1。这两个密钥被分别发送给两个服务器（Server0 和 Server1）。
1. 密钥分发 ：用户（客户端）想查询数据库中第 α 个位置的数据。它运行 (k0, k1) = Gen(α)，然后将 k0 发送给 Server0，k1 发送给 Server1。任何一个服务器仅凭自己手中的密钥，都无法获知 α 的任何信息。
2. 服务器端计算 ：Server0 和 Server1 分别利用自己的密钥 ki 对数据库中的每一个位置 x 进行计算，得到一个结果 yi = Eval(ki, x)。这个计算过程通常非常高效，例如一系列的异或操作。
3. 结果合并 ：服务器将各自计算出的结果向量 y0 和 y1 返回给客户端。客户端只需将这两个向量按位相加（或异或），就能恢复出一个仅在第 α 位为1，其余位为0的选择向量，从而轻松提取出目标数据。
DPF-based PIR方案的巨大优势在于其极低的计算开销（主要是对称密码学操作）和极小的通信开销。这使得双服务器PIR在实际应用中变得极具吸引力，尤其适用于对延迟和吞吐量有较高要求的场景。

3.2 单服务器PIR：在计算复杂度的世界里砥砺前行

单服务器PIR由于其部署的便捷性（无需协调多个服务器），应用场景更为广泛。然而，它必须依赖计算复杂度假设，其发展史几乎就是一部与重量级密码学工具（尤其是同态加密）相伴相生的历史。

**早期基于数论的方案（1997年 - 2008年）**‍：继Kushilevitz和Ostrovsky的开创性工作之后，一系列基于不同数论困难问题（如DDH假设、二次剩余性假设）的单服务器PIR方案被提出。这些方案成功地将理论变为可能，但普遍存在计算成本高、通信量仍然较大的问题。
同态加密（HE）的革命性影响

同态加密，特别是全同态加密（FHE）的出现，彻底改变了单服务器PIR的面貌。HE允许在密文上进行运算，是实现单服务器PIR最自然、最强大的工具。

**部分同态加密的应用（1999年）**‍：早在FHE出现之前，具有特定同态性质的加密方案就被用于PIR。例如，1999年提出的Paillier密码系统它支持密文加法同态。利用这种性质，可以构造出PIR协议：用户将一个加密的"选择向量"（目标位置为加密的1，其余为加密的0）发送给服务器。服务器利用加法同态性，将数据库中的每一项与选择向量的对应项（均为密文）进行"乘法"和"加法"操作（在同态加密的算术体系下），最终得到一个加密的结果，返回给用户解密。
**全同态加密的奠基（2009年）**‍：2009年，Craig Gentry的博士论文提出了首个可行的全同态加密（FHE）方案，这是密码学领域里程碑式的突破。Gentry在他的论文中也立即展示了如何利用FHE构建一个概念上极为简洁的PIR协议，实现了亚线性的通信复杂度。其基本流程如下：
1. 查询加密 ：用户想查询第 i 项数据。它创建一个长度为 n（数据库大小）的向量，其中第 i 位为1，其余为0。然后，用户使用FHE公钥对这个向量的每一位进行加密，得到一个加密的选择向量。
2. 服务器同态计算：服务器接收到这个加密向量。它执行一次同态的"点积"运算：将加密的选择向量与明文的数据库向量相乘再相加。由于FHE支持任意的加法和乘法运算，这个过程完全在密文域进行。服务器最终得到一个单一的密文，这个密文实际上是用户所选数据项的加密结果。
3. 结果解密：服务器将这个加密结果返回给用户。用户使用自己的私钥解密，即可得到所需的数据。

Gentry的方案虽然优雅，但其第一代FHE的性能极其低下，计算开销巨大，使其在当时完全不具备实用性。

后Gentry时代的FHE与格基密码学（2010年至今） ‍：Gentry的突破开启了FHE研究的黄金时代。后续出现了BGV、GSW、CKKS等一系列效率更高的第二代、第三代FHE方案。这些方案大多基于格基密码学（Lattice-based Cryptography） ‍中的**LWE（Learning With Errors）**‍等困难问题。格基密码学不仅带来了性能的提升，还具有抗量子计算攻击的潜力。

早在2007-2008年，C. Aguilar-Melchor和P. Gaborit等人就已经探索使用基于格的线性同态加密方案（如Regev的方案）来提升PIR的计算效率，这显示了格基方法在PIR领域的早期潜力。随着现代FHE库（如Microsoft SEAL）的成熟，基于FHE的PIR协议（如SealPIR）在性能上取得了长足进步，虽然计算开销仍然显著高于多服务器方案，但在许多场景下已进入"可用"范围。

3.3 技术路线对比与融合趋势

特性	单服务器PIR	多服务器PIR（以双服务器为例）
核心假设	计算复杂度假设（如LWE）	服务器互不串通（物理/管理假设）
安全性	计算安全	信息论安全
主要技术	同态加密（尤其是FHE）、格基密码学	分布式点函数（DPF）、秘密分享
计算开销	较高，主要为非对称加密和同态运算	极低，主要为对称加密和哈希运算
通信开销	相对较低（亚线性）	极低（接近常数或对数级）
部署复杂度	低，仅需单个服务器	高，需部署和维护多个同步的数据库
适用场景	公有云、第三方数据服务等信任度低的单体环境	联盟链、多部门数据协作等有一定信任基础的分布式环境

近年来，PIR的研究也出现了融合趋势。例如，研究者们尝试使用同态加密来减少多服务器协议中的通信轮次或服务器数量，即将计算安全的工具用于优化信息论安全的模型。同时，硬件加速（如GPU、FPGA、ASIC）也被用于大幅提升FHE等计算密集型PIR方案的性能，弥补其计算开销大的短板。

此外，研究的焦点也从基础的索引PIR （用户已知数据索引）扩展到更复杂的关键词PIR（用户通过关键词查询，不知道其索引位置）。第一个基于关键词的PIR方案大约在2000年被提出，其实现通常需要在基础PIR协议之上构建更复杂的数据结构和加密搜索算法。

第四章："匿踪查询"术语在中文语境下的溯源

在深入探讨技术细节的同时，考察"匿踪查询"这一中文术语本身的源流也具有重要意义。

根据现有的搜索结果，无法精确确定"匿踪查询"这一中文术语首次出现在中文学术文献中的具体时间和作者 。搜索结果中虽然提及了PIR及其技术背景但并未提供其在中文世界的首次翻译和使用的历史记录。

然而，我们可以从语言和学术传播的角度进行合理的推断：

直译与意译的结合："匿踪查询"是对英文"Private Information Retrieval"一个非常精准且形象的翻译。"Private"被译为"匿踪"或"私有"、"隐匿"（如搜索结果中出现的"隐匿查询"），强调了查询行为的隐私性；"Information Retrieval"则直译为"信息检索"或更简洁的"查询"。"匿踪查询"一词，既保留了技术的核心内涵，又符合中文的表达习惯，具有很强的传播力。
学术传播的自然过程：PIR技术自1995年在美国被提出后，随着全球学术交流的日益频繁，相关概念和研究成果逐渐被引入中国。中国的密码学和信息安全研究者在阅读、引用和撰写相关领域的论文时，自然需要对"Private Information Retrieval"进行翻译。在这一过程中，"匿踪查询"可能与其他译法（如"隐私信息检索"、"私密信息检索"）并存，并最终因其简洁和准确而逐渐成为学界和业界较为通用的标准译法。
时间窗口推断：考虑到学术论文的发表和传播周期，可以推断"匿踪查询"这一术语大规模出现在中文文献中，很可能是在2000年代初期或中期。此时，PIR技术经过几年的发展，已经积累了相当数量的研究成果，足以引起国内学者的广泛关注和跟进研究。

综上所述，虽然我们无法找到"第一篇"使用"匿踪查询"的中文文献，但可以确定的是，该术语是伴随着PIR技术由西方向东方传播的学术浪潮而自然形成的，它准确地捕捉了这项技术保护用户查询隐私的核心本质。

第五章：前沿应用与未来展望（2020年至今）‍

随着数据时代的全面到来以及公众隐私意识的觉醒，匿踪查询技术正从理论研究走向更广阔的实际应用场景。特别是在云计算、物联网和人工智能等新兴领域，PIR展现出巨大的应用潜力。

5.1 应对性能与可扩展性的现代策略

尽管PIR技术取得了长足进步，但性能和可扩展性始终是其走向大规模应用的主要障碍。近期的研究（2020-2025年）主要围绕以下几个方向来应对这些挑战：

算法与协议优化：研究人员持续设计新的PIR协议，旨在进一步降低通信和计算复杂度。例如，在单服务器PIR领域，出现了具有亚线性查询时间（sublinear query time）或分摊亚线性时间（sublinear amortized time）的先进方案，大大提升了处理大规模数据库时的查询效率。
密码学原语的改进：作为PIR基石的FHE和DPF等密码学原语本身也在不断进化。更高效的FHE方案和更优化的DPF构造，直接转化为PIR协议性能的提升。
硬件加速：对于计算密集型的FHE-PIR，利用GPU、FPGA甚至专用的ASIC进行硬件加速，可以将耗时的同态运算速度提升数个数量级，使其在对延迟敏感的应用中成为可能。
系统级优化：通过批量处理（batching）查询、数据预处理和编码、以及更智能的客户端-服务器交互设计，可以在系统层面显著提升PIR的吞吐量和整体性能。

5.2 新兴领域的应用融合

**云计算（Cloud Computing）**‍：云服务商通常是诚实但好奇的（Honest-but-Curious），即他们会遵守服务协议，但可能对用户数据和行为充满兴趣。PIR是保护云用户隐私的利器。用户可以将加密数据库托管于云端，并使用PIR技术进行查询，而云服务商（如AWS、Azure、Google Cloud）无法得知用户的查询内容。这在医疗信息云存储、金融数据分析、企业敏感数据检索等场景中至关重要，是实现"零信任"云服务的关键一环。
**物联网（IoT）**‍：物联网设备产生了海量的数据，如智能家居的传感器读数、车联网的行车轨迹等。用户或数据分析师在查询这些数据时，可能不希望暴露自己的兴趣点（例如，查询某个特定时间段或特定地理位置的传感器数据）。PIR可以确保这些查询的隐私性，防止用户行为模式被物联网平台提供商追踪和分析。
人工智能（AI）与机器学习：AI与PIR的结合开辟了多个激动人心的方向：
1. **隐私保护模型推理（Private Inference）**‍：用户希望使用一个托管在云端的强大AI模型（如大型语言模型、图像识别模型）进行推理，但不想泄露自己的输入（如一段私人对话、一张人脸照片）。PIR可以作为一种工具，让用户以"匿踪"的方式向模型提交查询，并获得结果，而模型服务方无法知道用户的具体输入是什么。
2. 联邦学习（Federated Learning）中的安全聚合：在联邦学习中，多个数据持有方需要共同训练一个模型，但又不希望暴露自己的本地数据。PIR可以被用于让中央服务器在聚合模型更新时，以不暴露单个参与方贡献的方式查询和获取梯度信息，增强联邦学习的隐私性。
3. 安全数据查询与分析：在构建AI驱动的数据服务时，PIR允许用户安全地查询训练数据集或知识库，而无需担心查询行为本身会成为被分析和利用的新数据

5.3 未来挑战与研究方向

展望未来，匿踪查询技术的发展仍面临诸多挑战，同时也充满了机遇：

PIR with Writes (PIR-Write)：当前绝大多数PIR研究集中于"读"操作。而私有"写"操作，即用户在不暴露位置和内容的情况下向数据库中写入或更新数据（Private Information Storage/Write），是另一个亟待解决的难题。实现高效、安全的读写PIR协议将是未来的重要研究方向。
抗侧信道攻击：理论上安全的PIR协议，在实际部署中可能受到侧信道攻击（如通过分析计算时间、功耗、内存访问模式来推断查询内容）的威胁。设计和实现能够抵抗侧信道攻击的"常数时间"（constant-time）PIR算法，对于提升其实际安全性至关重要。
标准化与易用性：为了推动PIR技术的广泛应用，需要开发标准化的API接口和易于集成的软件库，降低开发者使用PIR的门槛。这将是连接学术研究与产业应用的桥梁。
与其他隐私技术的协同：PIR通常作为更庞大隐私保护系统的一个组件。未来，研究将更多地关注PIR如何与差分隐私零知识证明、安全多方计算等其他隐私技术无缝集成，以提供端到端、多层次的综合性隐私解决方案。

第六章：结论

自1995年Benny Chor等人首次勾勒出其理论蓝图以来，匿踪查询（PIR）技术在过去三十年间走过了一条从抽象理论到逐步实用的非凡历程。它的发展深刻地反映了密码学，特别是计算复杂度理论和现代密码工程的进步。

本报告回顾了这一历程中的关键节点：从不经意传输等先驱思想的启迪，到1995年信息论安全的多服务器PIR的诞生；从1997年计算安全单服务器PIR的破冰，到2009年全同态加密带来的革命性变革；再到今天，由高效格基密码学和分布式点函数驱动的现代PIR协议。技术演进的双轨制------追求极致效率的多服务器路线与追求部署便利的单服务器路线------并行发展，相互辉映，共同推动着PIR技术的边界。

时至今日，匿踪查询已不再是象牙塔中的理论游戏。在数据隐私被提升到前所未有高度的2026年，它正日益成为构建可信数字基础设施的关键构件。无论是保护个人在云端的查询足迹，还是保障物联网设备数据的私密访问，抑或是赋能人工智能时代的隐私保护计算，PIR都展现出其不可或缺的核心价值。

尽管在性能、可扩展性以及应对更复杂应用场景方面仍面临挑战，但随着算法的持续创新、硬件加速技术的发展以及与其它隐私技术的深度融合，我们有理由相信，匿踪查询技术将在未来的数字社会中扮演愈发重要的角色，为实现一个真正"用户可控"的数据未来，奠定坚实的密码学基石。