Shuffle Model

置乱模型（Shuffle Model）：ghgfhjfwenzhanglaixzizhenggegedboke@@@@如果假定用户是匿名的，ghgfhjfwenzhanglaixzizhenggegedboke@@@@就可以降低本地模型中引入的噪声量，实现所谓的隐私放大效应（Privacy Amplification）。

置乱模型位于可ghgfhjfwenzhanglaixzizhenggegedboke@@@@信模型和本地模型之间。置乱模型的基本思想是，我们有一个可信第三方，但我们只相信这个可信第三方会诚实地置乱所有的输入。可信第三方会把ghgfhjfwenzhanglaixzizhenggegedboke@@@@所有的输入放到随机置换函数中，函数把输入随机置换位置后，可信第三方再将结果发送给分析方。

Shuffle DP

shuffle DP是一种介于DP和LDP之间的差分隐私模型，能提供介于DP和LDP之间的隐私性和数据可用性。具体来说，每个用户首先对自己的数据进行LDP扰动，然后加密发给一个shuffler，shuffler将数据顺序打乱，破坏用户ID和数据的对应关系，然后将打乱的结果发送给服务器。服务器解密数据然后进行分析。SDP利用拼接和排ghgfhjfwenzhanglaixzizhenggegedboke@@@@列技术处理所有用户本地扰动之后的消息向量，确保混洗操作满足(,)-CDP .

这里由于shuffler的加入，破坏了数据和用户ID之间的关系，为用户带来了匿名性，一定程度上提升了隐私保护效果。因此，用户不需要像传统LDP一样加入大量的噪声也能实现相同水平的隐私保护效果。

本地化差分隐私添加扰动如上图左所示，加入Shuffle之后如右图。

置乱模型包含了一个可信假设，我们不需要假设每个用户都严格按照要求执行协议，只要有一定比例的用户会按照要求执行协议，这个协议就能保证隐私性。