CN103797501A - 使用随机化简档扰动来进行保留隐私的广告目标确定 - Google Patents

Abstract

一种针对广告的分布和调度系统，其将ad的目标确定到用户并在不完全了解用户简档信息的情况下最大化服务提供商收益。每个用户设备存储用户简档并被预先加载可能在时隙期间显示的ad的集合。每个用户设备基于用户简档选择并显示ad，但并不向服务提供商标识所选ad。反而，用户设备以布尔向量的形式提供扰动的用户简档信息，其中所述服务提供商将该信息与保证近似在线算法联合使用，以估计看到特定ad的用户的数量。从而，服务提供商可在不了解用户的简档或不知道单个用户查看了哪些ad的情况下针对广告商的广告被观看的次数来对广告商进行收费，而且用户可在对服务提供商保持隐私的同时查看被确定目标的ad。

Description

使用随机化简档扰动来进行保留隐私的广告目标确定

技术领域

本发明总体涉及针对电视、网页浏览和其它媒体的目标确定（target）的广告（或“ad”）的领域，尤其涉及ad分布（distribution）和调度系统，其在保持用户的简档信息私有的同时将ad的目标确定到用户。

背景技术

本节引入可帮助促进对本发明进行更好的理解的方面。从而，在这一背景下对本节的叙述进行阅读，这些内容并不被理解为对现有技术和非现有技术进行确认。

将ad的目标有效地确定到用户已经成为越发重要的创收服务。为了更加适当且准确地确定目标，服务提供商必须具有到用户的兴趣简档（profile）的接入。由Google的AdWords作为先行者的ad目标确定技术最初以仅基于用户的搜索关键字来确定ad的目标的服务起步。然而，如今，越来越多的服务提供商正倾向于使用用户的简档来更好的确定目标用户，即使并不存在任何搜索关键字。例如，Google的AdSense能够基于已经请求了网站的页面的用户的标识将不同的ad放置到所述页面。通常，随着用户浏览不同的网站，服务提供商创建并维持用户简档，且将该简档存储在其基础结构内。在这一场景中，服务提供商对每个用户的活动和兴趣具有充分的了解并且能够对其进行完全接入。这一安排使得ad目标确定和用户简档确定与用户隐私产生冲突。

在针对ad目标确定的一种常规方案中，广告商通过针对该ad按照每个用户简档指明一个出价（bid）来表明其有兴趣为给定ad确定目标的那类用户。服务提供商将ad与用户简档进行匹配，以选择将要示于用户的最佳ad，并且随后将所选的ad示于用户。然后，服务提供商针对所述ad的每次显示来向广告商收取所出价的数额。

在前述方案中，服务提供商知晓用户的简档（其中包括将哪些ad递送到哪些用户），并基于该信息对广告商进行收费。但是，存在对以保留用户的隐私的方式确定广告目标（其同时仍然允许根据ad被显示的频率对广告商进行收费）的需求。

发明内容

本发明的特定实施方式采用以保留用户的隐私的方式确定ad的目标的方法。

为了以保留隐私的方式确定ad的目标，本发明的特定实施方式通过解决以下两个涉及隐私的需求而大大偏离了常规的目标确定ad发布模型：第一，存在以使得服务提供商无法接入用户简档的方式来创建并维持用户简档的需求。第二，存在对服务提供商能够收集关于多少用户看到特定ad的信息的需求（从而其能够在不知晓哪些广告被显示给哪些用户的情况下恰当地对广告商进行收费）。

在本发明的特定实施方式中，为了保留用户隐私，用户简档不位于服务提供商的基础结构内，而是被藏于在用户控制之下的设备中，并且符合期望地在将最终显示所述ad的设备上。这类设备包括例如用户的个人电脑（PC）、移动电话、住所网关、或机顶盒（STB）。在家庭网络中，假定，如果用户的设备是住所网关，则将在用户的联网TV或PC上显示所述ad。简档创建过程是计算密集型的，且还能产生另外的网络流量。虽然当前生成用户设备具有足够的处理功率和存储，但是技术或商业原因会限制这类设备的网络吞吐量。例如，可按月对无线网络中的带宽使用进行限制，并且DSL连接的上行链路带宽要远低于其下行链路带宽。因此，以适合于所述用户设备且与对所述用户设备可用的资源相称的方式创建简档是一大挑战。

假定在用户自己的设备中以保留隐私的方式创建并维持用户的简档，下一步将是权衡简档信息，以便将ad的目标确定到所述用户。即使在已经以保留隐私的方式准备了简档之后，如果用户为了作出适当的ad选择而将简档发送到服务提供商或任何其它第三方（可信或不可信），则其将破坏用户的隐私。从而，不能允许简档信息在任何时间、以任何形式离开用户的设备而去任何其它设备。

一种用于保持简档信息隐藏的方法是按如下所述采用角色反转。

服务提供商能够将广告商所感兴趣的简档参数发送到用户设备并随后允许用户设备确定用户所感兴趣的ad的集合，而不是将简档发送到服务提供商并让服务提供商确定特定用户对哪些ad的集合感兴趣。然后，将关于特定用户所感兴趣的ad的集合的信息提供给服务提供商，其将这些ad递送到用于设备，以便在适当的时间显示。应该认识到，如果用户设备向服务提供商标识出感兴趣的ad的集合，则关于用户的优选信息的用户隐私至少被部分地破坏。例如，如果用户设备向服务提供商宣告用户对看到Audi汽车和Budweiser啤酒的ad感兴趣，则可推断用户对汽车和酒精饮料感兴趣。

本发明的特定实施方式的一个目标是避免向服务提供商发送将使得服务提供商最终能够构建简档的任何用户喜好相关的信息。为了完成这一目标，将ad目标确定的过程（例如用户）从ad记账（例如服务提供商）分离。在常规的方法中，ad目标确定和ad记账需要交缠在一起，这是由于服务提供商基于向用户显示的ad来对广告商进行收费。需要注意的是，为了正确地对广告商进行收费，服务提供商需要知晓的一切是查看特定广告的用户的数量，而不是那些单独用户的标识。

在本发明的特定实施方式中，相关时间段被分成时期（epoch）（例如一天、6小时的间隔或一周）。假定用户的简档可在时期期间改变，但是只在时期的开始处被更新。服务提供商向所述设备加载可在所述时期期间显示的ad的集合。虽然可以想象的是所述ad的集合是服务提供商携带的所有ad的集合，但是在实践中，加载到用户的设备上的ad的集合将是服务提供商所携带的所有ad的集合的较小子集。在时间中的给定时刻，用户设备从满足其简档的集合选择ad，而且所述ad被显示给所述用户。然而，用户设备不向服务提供商通知用户看到了哪个ad。相反的是，服务提供商使用一些不同的信息来估计看到了特定ad的用户的数量。为了获得该估计，服务提供商向用户设备发送广告商所感兴趣的简档。每个用户设备对这些ad中的每一个的合适程度进行评估，这导致构造布尔向量。用户设备对向量中的每个项进行概率统计扰动（perturb）（例如，通过基于给定的第一几率将为0的项转换成为1的项，以及通过基于给定的第二几率将为1的项转换成为0的项，其中在各种实施方式中，所述第一和第二几率可以相同或不同），然后将经过扰动的向量发送到服务提供商，而不是以其正常形式发送所述布尔向量。服务提供商随后为每个ad估计真1的数目，并为了记账的目的将该估计用作看过该ad的用户的数量。这样，服务提供商能够针对每次显示该ad对广告商进行收费，而不必知晓用户的简档，而且用户可看到所确定目标的ad，而不必公开它们的喜好。从而，确保服务提供商能够准确地从用户设备发送的经过扰动的简档向量估计用户的数量是重要的。

本发明的特定实施方式提供用于在用户自己的设备处以保留隐私的方式创建用户简档（基于用户的网页浏览和TV观看习惯）的架构和方法。本发明的特定实施方式采用能够在不完全知晓用户简档信息的情况下确定ad的目标的ad调度机制，其同时最大化服务提供商的收益。在特定实施方式中，保留隐私ad调度器采用保证近似在线算法，该算法改进了用于显示被确定目标的互联网ad的常规在线方法。该算法通过将所述服务提供商从用户分离很好地保护了隐私。系统中的用户设备使用随机化响应技术来向调度器提供经过扰动的简档信息。本发明的特定实施方式采用新型随机化扰动方案，该方案与用来估计查看ad的用户数量的标准途径相比要好一到两个量级，更不要提比常规途径更好的隐私保护了。与本发明的特定实施方式一致的系统可被有效地用来在不需要可信第三方的情况下以保留隐私的方式确定ad的目标。因此，与本发明的特定实施方式一致的方案适合甚至“三网联合”（例如合并电话、电视和互联网）服务提供商、蜂窝电话服务提供商和“过顶（over the top）”服务提供商（即将服务置于一个或多个第三方网络之上的提供商）。这些方案确保服务提供商不能获得关于用户的活动的特定信息或接入用户的简档，由此促进用户隐私。

在一种实施方式中，本发明提供用于估计来自用户设备的集合之间的在时隙期间显示了来自多个候选广告之间的目标广告的用户设备的数量的计算机实施的方法。该方法包括：（a）所述计算机向所述集合中的用户设备中的每一个发送能够在所述时隙期间由所述用户设备显示的所述多个候选广告的标识；（b）所述计算机从多个用户设备接收数据，其中：（i）在所述时隙期间显示来自所述多个候选广告之间的所述目标广告的用户设备的数量能够基于从多个用户设备接收的数据而被估计；以及（ii）在所述时隙期间显示了所述目标广告的用户设备的标识不能基于从所述多个用户设备接收的所述数据而被确定；以及（c）所述计算机基于从所述多个用户设备接收的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

在另一实施方式中，本发明提供用来为了估计来自用户设备的集合之间的在时隙期间显示了来自多个候选广告之间的目标广告的用户设备的数量而生成数据的用户设备实施的方法。该方法包括：（a）所述用户设备接收能够在所述时隙期间由所述用户设备显示的所述多个候选广告的标识；（b）所述用户设备生成数据，其中：（i）来自用户设备的所述集合之间的在所述时隙期间显示来自所述多个候选广告之间的所述目标广告的用户设备的数量能够基于来自多个用户设备的数据而被估计；以及（ii）在所述时隙期间显示了所述目标广告的用户设备的标识不能基于来自所述多个用户设备的数据而被确定；以及（c）所述用户设备向计算机提供所述数据，该计算机适于基于来自所述多个用户设备的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

在又一个实施方式中，本发明提供一种系统，该系统包括计算机和与该计算机进行通信的用户设备的集合。所述计算机适于：（i）向所述集合中的用户设备中的每一个发送能够由所述用户设备在时隙期间显示的多个候选广告的标识；以及（ii）从多个所述用户设备接收数据。来自用户设备的集合之间的在所述时隙期间显示来自所述多个候选广告之间的所述目标广告的用户设备的数量能够基于来自所述多个用户设备的数据而被估计。在所述时隙期间显示了所述目标广告的用户设备的标识不能基于来自所述多个用户设备的数据而被确定。所述计算机适于基于来自所述多个用户设备的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

附图说明

图1是显示了用于基于用户的网页浏览动作来为用户确定用户简档的方法的两个示例类别的系统图；

图2是显示了与本发明的一种实施方式一致的示例性保留隐私调度器的系统图，其中每个用户设备在每个时隙中向所述调度器提供经过扰动的简档；以及

图3是与本发明的一种实施方式一致的示例性保留隐私调度方案的流程图。

具体实施方式

保留隐私简档创建

图1显示了用于基于用户的网页浏览（或观看TV）动作描绘所述用户的方法的两个示例类别：基于cookie的追踪（以实线显示）和会话检查（以虚线显示）。在基于cookie的追踪中，由服务提供商通过使用一个或多个文档（被称作“cookie”）来追踪用户的浏览活动，其中所述一个或多个文档由运行在所述用户设备101上的浏览器经由网络104发送到当前被用户浏览的一个或多个网页服务器102。在基于会话检查的方法中，源自所述用户设备101（例如PC、住所网关、TV或移动电话）的流量在远程服务器103（例如深度分组检查设备或网页代理服务器）处被检查，以确定用户正在访问哪些网站。然后，基于包括例如所访问的网站的类型、访问频率、点击率等的信息创建用户简档。

不管哪种方法被用于收集关于用户的浏览活动的信息，从所述信息创建的简档常规地被服务提供商在其基础结构内进行维持。虽然所述提供商可允许用户“选择进入（opt in）”到所述描绘方案或查看和/或修改所述简档信息，但是底线是用户对所述简档不具有任何显式控制，而且简档不与所述用户保持在一起。当然，这可导致关于对用户的简档信息的使用或可能的误用缺乏用户信赖。本发明的特定实施方式通过创建和维持所述用户的设备内的用户简档以及从不允许所述简档离开设备来消除这些顾虑。不但应该阻止服务提供商接入用户简档，还应该阻止所述服务提供商推断出允许服务提供商“猜测”包含在用户简档中的信息。这里还假定，服务提供商不收集也不被禁止（例如被法律禁止）收集来自网络的任何与用户有关的信息。

现在讨论本发明的特定实施方式中的创建反映用户兴趣的简档的进一步细节。用户典型地在浏览会话期间访问若干网站。针对构造用户简档的目的，可通过一些表示性词语来对这些站点中的每一个进行归类，这些词语被称为“分类符”。例如，针对www.cnn.com和www.edmunds.com的分类符可以分别是{新闻、世界新闻}和{汽车、用户汽车}。用户的兴趣可被表达为表示用户所访问的网站的分类符的集合。由于一些分类符可能出现不止一次（例如由于用户多次访问相同的站点或访问实质相似的多个站点），所以向每个分类符指派采用在0到1之间的权重的形式的计分，以向给定用户显示每个分类符的相对重要性。例如，对汽车和足球感兴趣的用户的简档可以是{（汽车，0.4）（体育，0.7）}，这表明相对于汽车来讲该用户对体育更有兴趣。

在本发明的特定实施方式中，对用户的简档的创建涉及以下三个步骤：第一，收集反映站点访问和点击率的数据。第二，将网站映射到反映站点的性质的一个或多个分类符中。第三，使用所述分类符和相应网站访问的频率来创建用户的简档，该简档包括（分类符，计分）对的集合。在该第三步期间，还可能让用户的兴趣“变旧（age）”，从而近期的兴趣与过去的兴趣相比权重更大（即具有更高的计分）。

简档计算的要点是向多个网站中的每一个指派合适的分类符的小集合。符合期望地使用最小数量的资源在用户设备中实时创建和维持简档。因此，用来对网站进行归类的过程应该是既简单又有效的，或者以其他方式由除用户设备之外的设备来执行，比如由具有大的处理和存储资源以及好的网络连接性的服务器来执行。

在本发明的特定实施方式中，在用户的设备（例如PC、移动电话、机顶盒、住所网关、电视等）中创建用户简档。前述设备的任何现代版本都能够轻易地执行简档创建进程的第一和第三步。

然而，第二步可能会超出这些设备的能力范围，因此这些设备可由被配置为按请求返回网站的适当分类符的集合的站外服务器进行辅助。然而，在这种外部辅助之下，第二步则会冒着向服务提供商潜在地泄露与简档有关的信息的风险。期望可通过使用例如被称为以设备为中心的方法和提供商辅助的方法的以下两个示例性方法中的一个来解决所导致的隐私问题。

在以设备为中心的方法中，用户设备负责向网站指派关键字。网站服务器响应于用户设备针对接收html页面的请求向浏览用户的设备发送所述页面。当所述页面通过用户设备时，用户设备执行向所述页面检测并指派分类符的软件例行程序。用于指派分类符的轻量级方法使用包含在网页内的元数据（例如标题、关键字、描述等）。该方法几乎没有为用户设备引入任何附加工作量，并且能够被大多数当代设备（甚至被移动电话）轻易地处理。该方法既不产生任何新的网络流量，也不向服务提供商泄露任何用户特定信息。唯一的缺点是，由于该指派分类符的方法只取决于根据页面创建者的心血来潮所选择的信息，所以所述分类符可能不会总是正确地对应于网页的实际内容。另一方面，如果用户设备具有足够的处理能力以及无限且快速的网络接入（例如，具有宽带连接的PC），则用户设备可适于执行更加资源密集的指派分类符方法。

在提供商辅助的方法中，用户设备查阅网络驻留服务器（被称为分类符数据库服务器（CDS）或有时被称为关键字数据库服务器（KDS）），以向网站指派分类符。CDS的功能是基于算法实现针对提供网站的分类符集合的来自用户设备的请求。CDS功能性可由网络服务提供商或过顶服务提供商提供，或可替换地在公共服务器中实施。可存在多个CDS服务器，其属于分布在网络中的不同所有者。在该场景中，用户设备向随机选择的CDS安全地发送由用户所请求的网页的统一资源定位符（URL），作为响应，该CDS返回指派到由所述URL所标识的网页的分类符。所述提供商辅助方法缩减了用户设备上的计算负担并在用户设备与CDS之间的通信期间只在网络上引入相对较小的负担。为了进一步地缩减这一负担所带来的影响，可向查询流量指派低优先级，从而其不会对其它网络流量进行干扰，或者可在非高峰时段期间进行查询。然而，通过向CDS通知用户已经访问了那些网站，所述查询的内容仍可向服务提供商泄露一些用户相关的信息。为了防止这种信息泄露，可使用以下三种示例性机制之一：随机化、提供商的匿名服务器（anonymizer）和公共域匿名服务器。

随机化：在这一方法中，CDS对来自用户设备的两类请求进行响应：（i）针对分类符的默认集合的请求以及（ii）针对网站的特定集合的分类符的请求。当用户设备请求分类符的默认集合时，CDS以对应于被用户群体作为整体频繁接入的网页的某些集合的分类符进行答复。网页的该集合可包含例如请求频率最高的页面、请求频率最低的页面、在最近几小时期间所请求的前100个网页、网页的前述集合的组合等。用户设备对该信息进行缓存。如果对来自该集合的任何网站进行访问，则用户设备不需要向CDS发送显式的请求，并且没有向服务提供商泄露任何用户特定信息。如果由用户访问的网站落到集合之外，则所述设备随机地决定是否向CDS发送针对该站点的请求。如果所述设备决定发送请求，则设备使用用户并未实际访问过的若干附加的仔细选择的网站来扩充所述请求。在这一方式中，提供商并不确切地知道用户已经访问过那若干网站中的哪一个。如果多个CDS是可由用户设备接入的，则设备可选择向不同的CDS分布查询，从而没有任何单个CDS会获得关于用户的足够信息来重新创建简档。注意的是，该方法可创建一些附加网络流量（例如每个请求几百个字节）并可向服务提供商提供关于用户的网页浏览行为的一些模糊概念。

提供商的匿名服务器：在这一方法中，提供商将CDS放于网络地址转译（NAT）设备之后。当用户设备需要网站到分类符的映射时，用户设备作出到CDS的安全请求（例如通过安全套接层（SSL））。SSL会话通过NAT设备，该过程向CDS暴露一个或多个网际协议（IP）地址（不与任何用户设备有关）。CDS经由SSL会话将其响应安全地提供回用户设备。由于CDS未曾暴露给用户设备的原始IP地址，所以CDS不知道哪个用户设备作出该请求。由于经由SSL传送所述请求和响应，所以NAT设备不知道用户设备已经请求了哪些网页。在这种方式中，没有将任何与用户有关的信息暴露给服务提供商。除了与针对用户实际访问的网站的请求相关联的带宽之外，该方法不向网络中创建任何附加流量载荷。然而，需要注意的是，如果NAT设备和CDS处于同一方的控制之下，则其可能确定由用户所访问的网站。

公共域匿名服务器：在该方法中，用户设备使用任何公共域或第三方“可信”匿名服务器来联系CDS。该方法可被使用，例如在用户不满意或不信任由采用其它方法的提供商所提供的隐私的事件中。由于提供商相对来讲不太可能与公共域或第三方匿名服务器进行串通，所以该安排防止CDS知晓由用户设备所作出的请求。虽然该方法提高了隐私程度，但是所有请求和响应在它们被路由经过因特网去往或来自匿名服务器的同时会生成附加带宽。

在将网站映射到分类符的集合之后，用户设备可基于到相应网站的访问频率来计算针对分类符的计分。需要注意的是，关于到特定网站的访问频率的信息从不被暴露给服务提供商，因此服务提供商不可能准确地复制用户的简档。此外，用户设备还让简档变旧，从而较新的兴趣比较旧的兴趣获得更高的计分，并且所述服务提供商不能计算用户的“变旧的”简档。

前述方法还可被用来基于用户的TV频道浏览活动、视频点播（VoD）请求和经过STB的类似信息来创建用户简档。现代STB包括针对电子节目指南（EPG）下载、VoD定制等的IP连接性。因此，STB能够执行与上文中针对简档创建和分类符指派的内容类似的步骤。在这一安排中，STB对EPG信息进行缓存并将频道浏览信息映射到EPG，以标识用户正在观看哪个TV节目。由类似于上述CDS的数据库服务器来向TV节目指派分类符。STB从CDS获取分类符并通过使用观看给定节目的频率以及观看所述节目的持续时间（例如用户观看半小时节目所实际花费的总分钟数）权衡所述分类符来创建用户的TV查看简档。类似地，针对视频点播（例如按照观看付费）的请求通过STB，其知晓定购了哪种服务/电影以及何时进行的点播。和如上关于CDS的描述一样，STB使用该信息来创建与用户定购的服务/电影相关的（分类符，计分）对。如果EPG信息以及相关联的分类符保持在所述设备内，则用户的频道浏览动作不需要被发送到服务提供商，并且因此，不会对用户相关信息进行泄露。对于按需服务，由于用户通常从大量项目选择之间进行定购，所以设备可能不能对与所述项目相关联的分类符进行缓存，在这一情况中，上文中所描述的三种技术（随机化、提供商的匿名服务器和公共域匿名服务器）或类似中的任何一种可被用来搜集分类符。

除了前述内容之外，在美国专利申请No.2011/0016199中描述了针对关键字生成和简档创建的其它可能方法，其公开通过引用而被视为在此完全加入。

示例性Ad目标确定系统概述

在包括对向用户的群组显示目标广告感兴趣的广告商的集合的系统中，每个用户可由用户简档来描述，该用户简档包括例如人口统计信息、位置信息以及电视和在线观看行为。所述简档信息中的一些（比如人口统计信息）可以是相对静态的，而其它简档信息（比如在线浏览行为或用户位置）可以是动态的。每个广告商都对寻找具有包含特定信息的简档的用户作为目标感兴趣。每个广告商规定（i）一个或多个目标简档，以及（ii）在ad被显示给具有目标简档的用户的情况下其所愿意花费的出价数量，以及（iii）可由服务提供商向广告商收取的金钱的最大数量（即预算）。虽然这里对所述方法的讨论涉及广告商规定单个目标简档，但该方法可被延展为广告商规定多于一个目标简档，针对每个简档有不同的出价。与本发明的特定实施方式一致的ad调度系统的目标是最大化服务提供商收益。与本发明的特定实施方式一致的调度器在尝试最大化收益时应该考虑若干附加目标。第一，调度器不应该假定对用户简档、用户可用性信息、或广告商的出价和预算有任何的先验了解，这意味着ad调度决定应该以在线的方式被作出。第二，假定每个用户知道他的或她的简档信息并且想要将该信息保持为隐私，则这意味着从隐私的角度看，与本发明的特定实施方式一致的调度算法应该在不了解用户简档信息的情况下进行操作。

虽然对调度器来讲，在前述两条限制的背景之下最大化服务提供商的收益是极为困难甚至是不可能的，但对该调度器来讲，在不具有任何关于广告商的先验信息且只具有关于用户的概率统计信息的条件下最优化收益是确实可能的。为了完成这一目标，将描述用于分配目标广告的三种不同调度器（即调度方案）。第一种调度器是“完全信息调度器”，其具有对未来的完全了解以及对用户简档信息的完整了解。第二种调度器是“在线调度器”，其不了解未来，但仍具有对用户简档信息的完全了解。第三种调度器是“在线保留隐私调度器”，其只具有关于用户简档的经过扰动（即隐私保留）的信息。这三种调度器将在下文中被详细描述。

完全信息调度器：对于该调度器，假定所有未来用户可用性（即哪些用户将在哪些时刻处于活动状态）、用户简档信息和广告商的喜好是先验已知的。给定所有这些信息，调度器可以明确表达优化问题来最大化收益并然后实施该方案。虽然该方法中做出的假设是不现实的，但是完全信息调度器提供可实现的收益的上限并形成第二类调度器（在线调度器）的基础。

在线调度器：在线调度器在每个时隙中进行ad指派。该调度器知道每个时隙中的活动用户的集合、以及它们的简档和每个广告商的剩余预算。通过作出适当的决定，在线调度器的性能处于完全信息调度器的性能的常数参数范围内。该方法满足第一目标，即在不具有先验信息的条件下最大化收益。然而，该方法假定将所有用户简档信息暴露给调度器。所述第三类调度器为了掩盖用户简档信息对在线算法进行修改。

上述在线调度器具有两个主要特性：（i）在线调度器基于出价和调度器计算的其它参数来对ad排序，以及（ii）每个用户设备将有序列表中匹配相应用户的简档的第一个ad进行显示。在线调度器在每个时隙中需要来自用户设备的重要信息包括观看过每个ad的用户的总数，其不要求了解用户标识。考虑满足以下条件的系统：（i）所有ad被预加载到每个用户设备，以及（ii）用户简档只对用户设备是已知的，每个用户设备能够容易地确定在每个时隙中显示哪个ad。然而，实施在线调度器的一个缺点是调度器不知道多少个用户观看过每个ad（这用于确定向广告商收取多少钱这一目的）。

保留隐私调度器：图2显示了示例性保留隐私调度器202，其中一个或多个用户（例如通过使用移动设备201或连接到PC211或TV212的住所网关210）在每个时隙中向调度器202提供经过扰动的简档。（在一些实施方式中，保留隐私调度器只在简档中存在改变时才提供经过扰动的简档）。调度器202经由网络204与CDS203进行通信。如下文中将要描述的一样，调度器能够在不知晓给定用户已经查看了哪个ad的情况下估计在每个时隙中有多少用户查看了每个ad，从而在保留用户的隐私的同时能够对广告商进行适当地收费。

用户简档和ad合适程度

如前所述，在本发明的特定实施方式中，用户的简档包括关于用户的静态和动态信息，并且每个广告商对简档具有简档元素的给定组合的用户进行出价。例如，广告商可能想要把在上周期间在因特网上搜索过汽车的居住在特定地区的用户的群组作为目标。因此，对于广告商的兴趣简档可包括用户行为的若干元素的组合。如果用户设备追踪其用户自己的简档，则对于用户设备来讲，了解用户是否是给定ad的目标是相对容易的。从而，如果用户j满足由ad i所规定的目标简档，则可以说，用户j对于adi来讲是“合适”的。在给定时刻针对用户j来讲ad i的“合适程度”由二元变量A_ij(t)来表示，其中：

对合适程度向量A_ij(t)的定义包括显式时间索引，这是由于用户的简档以及广告商的目标可随时间改变。如果合适程度向量A_ij(t)的值对调度器来讲是已知的，则调度器还知道用户满足由与ad i相关联的广告商所规定的所有简档元素。因此，用户的目标是保持合适程度向量A_ij(t)的值是隐私的。在下文中描述的前两种调度器（即完全信息调度器和在线调度器）中，合适程度向量A_ij(t)的值被假定为对调度器是已知的。然而，针对保留隐私则释放（relax）了这一假设。

完全信息调度器

现在讨论ad调度和优化ad收益的问题的公式。在包括n个不同的ad（为了简便起见，假定每个广告商与一个给定的ad i相关联）的系统中，假定在T个时隙上调度ad，这T个时隙由t=1,2,...T来索引。变量S(t)表示时隙t中的“活动”用户的集合，其中如果用户在时隙中正在查看能够显示ad的设备，则称该用户在该时隙中是活动的。假定与ad i相关联的广告商愿意为在时隙t中向任何用户j显示所述ad支付b_t(i)，其合适程度向量A_ij(t)=1且j∈S(t)，即用户是活动的且符合针对ad i的简档。此外，与ad i相关联的广告商规定预算B(i)，其表示广告商在所述T个时隙期间愿意花费的最大钱数。在完全信息调度器中，假定S(t)、A_ij(t)、b_t(i)的值对于所有时隙t、对于所有用户j和对于所有ad i是已知的先验。完全信息调度器的目标是确定每个时隙中能够在考虑每个广告商的预算的同时最大化总收益的广告商向用户的指派。调度器的决定变量是二元变量X_ij(t)，其中：

最大化收益的问题可被写为如下整数编程程序：

${\mathrm{TR}}_{\mathrm{CI}}=\max \underset{t}{\mathrm{\Σ}}\underset{j\∈S\left(t\right)}{\mathrm{\Σ}}\underset{i:A_{\mathrm{ij}}\left(t\right)=1}{\mathrm{\Σ}}{b}_t\left(i\right)X_{\mathrm{ij}}\left(t\right),$

$\underset{i:A_{\mathrm{ij}}\left(t\right)=1}{\mathrm{\Σ}}{X}_{\mathrm{ij}}\left(t\right)=1{\∀}_j\∀t,---\left(1\right)$

$\underset{t}{\mathrm{\Σ}}\underset{j\∈S\left(t\right)}{\mathrm{\Σ}}{b}_t\left(i\right)X_{\mathrm{ij}}\left(t\right)\≤B\left(i\right)\∀i,---\left(2\right)$

$X_{\mathrm{ij}}\left(t\right)\∈\left\{\mathrm{0,1}\right\}\∀i,j,t,---\left(3\right)$

其中TR_CI表示由完全信息调度器所实现的总收益。等式（1）确保在每个时隙中向每个用户显示至多一个ad。等式（2）强制每个广告商的预算。等式（3）确保在每个时隙t中针对为ad i为每个用户j指派决定变量。由于等式（1）-（3）形成整数编程问题，所以该问题并未被直接解决，而是为在下节中研发的在线算法形成了基础。

在线调度器

在线调度器是原有对偶（prima dual）算法，其为完全信息调度问题提供近似解决方案。然而，与典型的因特网ad目标确定（其中在时间的给定时刻出现单个用户）不同，在采用在线调度器的系统中，在任何时隙中，多个用户可以是活动的。因此，针对同时出现的用户的群组执行原有和对偶更新，这使得能够实现下节中概述的保留隐私在线调度器。为了研发在线算法，首先考虑对完全信息调度器的线性编程释放，其中，上限X_ij(t)被设为0≤X_ij(t)<1。上面的等式（1）暗示了上限，并且因此可将该上限从公式中消除。现在，可将对以上的线性变成释放的对偶写为：

$\min \underset{j}{\mathrm{\&Sigma;}}\underset{t}{\mathrm{\&Sigma;}}\mathrm{\&pi;}(j,t)+\underset{i}{\mathrm{\&Sigma;}}B\left(i\right)\mathrm{\&delta;}\left(i\right),$

$\mathrm{\&pi;}(j,t)\&GreaterEqual;b_t\left(i\right)[1-\mathrm{\&delta;}\left(i\right)],\&ForAll;i:A_{\mathrm{ij}}\left(t\right)=1,---\left(4\right)$

π(j,t)≥0,(5)

其中，对偶变量δ(i)的正负没有限制。（注意的是，对偶变量π(j,t)和δ(i)只是在导出近似保证的过程中使用的中间变量，且它们本身不具有任何特殊意义）。从等式（4），对偶变量π(j,t)可被设为：

$\mathrm{\&pi;}(j,t)=\underset{i:A_{\mathrm{ij}}\left(t\right)=1}{\max }{b}_t\left(i\right)[1-\mathrm{\&delta;}\left(i\right)].---\left(6\right)$

如前所述的在线调度算法解决了完全信息ad调度器的线性编程释放。

在线调度器在每个时隙的开始处将用户匹配到ad。假定，在时隙t的开始处，ad选择算法具有下列信息：（i）在时刻t活动用户的集合S(i)，（ii）对应于ad i的广告商在具有Α_ij(t)=l的用户j上所作出的出价b_t(i)，以及（iii）针对对应于每个ad i的广告商的预算B(i)和当前剩余预算。在线ad选择算法输出将S(t)中的每个用户向刚好一个ad i的指派。

现在对与本发明的一种实施方式相一致的在线调度算法的概述进行描述。下文描述的在线调度器使用原有对偶方案来选择每个时隙中的ad。

对偶变量δ(i)被初始化为零（在t=1时，δ(i)←0

）且在每个时隙t结束时被更新。变量N_i(t)＝Σ_jX_ij(t)表示在时间t查看了ad i的用户的数量，而且预算限制B(i)可被重写为：

$\underset{t=1}{\overset{T}{\mathrm{\&Sigma;}}}{b}_t\left(i\right)N_i\left(t\right)\&le;B\left(i\right).$

在每个时隙中，在线调度算法执行三个步骤：

步骤1：ad排序：在每个时隙中，调度器计算所述ad的排列σ，使得对于k=1,2,3,...n-1，b_t(σ(k))[1-δ(σ(k))]≥b_t(σ(k+1))[1-δ(σ(k+1))]。为了简化标记，假定在时隙t中对ad进行重新编号，以使得b_t(1)[1-δ(1)]≥b_t(2)[1-δ(2)]≥…≥b_t(n)[1-δ(n)]。从而，在每个时隙中，调度器选择并向用户传递ad的有序列表，其通过将B(i)＞0的ad按b_i(i)[1-δ(i)]的降序排列来计算得到。

步骤2：ad选择：用户j在ad的有序列表中选择第一个ad i，以使得Α_ij(t)=l，并且用户查看该ad。这通过用户j使用下式来计算中间变量P(j)并针对所有其它i设定X_P(j)j(t)＝1和X_ij(t)＝0来完成：

$P\left(j\right)=\arg \underset{i:A_{\mathrm{ij}}\left(t\right)=1}{\max }{b}_t\left(i\right)[1-\mathrm{\&delta;}\left(i\right)],$

步骤3：更新预算和对偶：在线调度器随后确定查看过每个ad的用户的数量并更新对偶变量。注意到，在算法的这一步中，存在根据下列定理（1）选择的常量c：

定理（1）：TR_CI表示由完全信息调度器所生成的收益，TR_ON表示由在线调度器所生成的收益，R表示任何广告商的预算中的可在任何时隙中用尽的最大部分。在步骤3中，如果c←(1+R)^1/R，则R_ON≥βR_CI，其中

$\mathrm{\&beta;}=\frac{{(1+R)}^{1/R}-1}{{(1+R)}^{1/R}}(1-R).$

如果R→0，则针对所有可能输入，R_ON≥[(e-1)/e]R_CI。

对偶变量π(j,t)用于导出近似保证的过程中，但并不用于向用户指派ad。在线调度器计算N_i(t)=Σ_jX_ij(t)（其表示在时段t中查看了ad i的用户的数量），并更新使用下列各式来更新预算限制B(i)以及对偶变量π(j,t)和δ(i)的值：

B(i)←B(i)-b_t(i)N_i(t),

$\mathrm{\&delta;}\left(i\right)\&LeftArrow;\mathrm{\&delta;}\left(i\right)[1+\frac{b_t\left(i\right)N_i\left(t\right)}{B\left(i\right)}]+\frac{b_t\left(i\right)N_i\left(t\right)}{(c-1)B\left(i\right)},$

π(j，t)←b_t(P(j))[1-δ(P(j))].

假定在线调度器知道在每个时隙中每个用户查看了哪个ad。该信息向调度器暴露了用户的简档。如果用户希望保持他们的简档是机密的，则他们不能揭露他们查看了那些ad。

应该注意的是，在线调度器具有两个主要操作，一个由用户执行，另一个由调度器执行：（i）调度器首先按照b_t(i)[1-δ(i)]的值的降序来对ad进行排序，且调度器还负责更新对偶变量δ(i)的值，以及（ii）用户从排序列表选择匹配用户的简档的第一个ad。由于用户设备知道用户的简档，所以如果所有可能的ad被预加载到设备中，则用户设备能够选择合适的ad来向用户显示。为了能够更新对偶变量值以及能够对广告商进行合适地收费，在线调度器知道有多少用户已经查看了每个ad。然而，应该理解的是，只要调度器知道N_i(t)的值（即在时间段t中查看了ad i的用户的数量），则在线调度器不需要确切地知道每个用户查看了哪个ad。

下一节将引入保留隐私调度器，其在仍使得调度器能够运行在线类型的算法的同时，最小化暴露给调度器的用户信息量。

保留隐私调度器

现在将描述允许用户隐藏它们的真实简档、但仍公开足够信息供调度器确定查看了每个ad的用户的数量的保留隐私调度方案。首先，将概述保留隐私机制，然后分析调度器如何能计算在每个时隙中查看每个ad的用户的数量。下列讨论假定所有ad被预加载到用户设备上。

保留隐私机制按如下运行。n维向量Α_ij(t)用来表示在时隙t的开始处针对用户j的“合适程度”。需要注意的是，Α_ij(t)标示ad i在时间t是否对于用户j是合适的。用户j的设备不向调度器公开其合适程度向量。反而，用户j的设备公开合适程度向量的扰动版本，其由二元向量D_·j(t)标示，D_·j(t)将被称为“公开的分布向量”。公开分布向量的每个分量是通过使用例如下列用来实现随机化的两参数扰动过程从合适程度向量的相应分量确定的。

本发明的特定实施方式中的A(ρ,γ)扰动过程是将二元变量B映射到另一二元变量B’的方案，使得

对(p,γ)随机化过程的实施使用两个有偏（biased）虚拟“硬币”，其中每个硬币在被“抛掷”时随机地（或伪随机地）返回“正面”或“反面”。第一枚硬币被抛掷时返回正面的几率是p，第二枚硬币被抛掷时返回正面的几率是γ。

如果第一枚硬币返回正面，则B’=B。如果第一枚硬币返回反面，则抛掷第二枚硬币。

如果第二枚硬币返回正面，则B’=1。如果第二枚硬币返回反面，则B’=0。

如果在最一般的情况中，可使用不同的随机化机制来对合适程度向量的每个分量进行扰动。然而，这导致对由调度器解决的估计问题产生指数状态空间。因此，假定使用固定扰动方法或随机化扰动方法来完成对所述合适程度向量的扰动。

在固定扰动方法中，所有用户设备采用固定(ρ,γ)几率对来对合适程度向量的每个分量进行扰动，并且p和γ的值对所有用户设备和所述调度器是已知的。

在随机化扰动方法中，所有用户设备从已知的公共分布函数选择它们的(ρ,γ)值。假定p和γ的值是独立选择的，且p和y的分布是不同的。一旦用户j的设备选择了其(ρ,γ)几率对，则用户j的设备使用该值对来对A_·j每个元素进行扰动。

使用变量ρ(p)和ω(γ)来分别标示所有用户设备能从其中选择它们的p和γ的值的公共几率密度函数。调度器还知道p和γ的分布函数。然而，用户设备不向调度器公开参数p和γ的值。为了说明的目的，将使用以下场景，其中p和γ的值分别选自[l,1]和[l’,1]之间的均匀分布，其中0≤l,l’≤1。调度器知道l和l’的值以及p和γ的值选自均匀分布这一事实。然而，调度器不知晓p和γ的单个值。需要注意的是，由于任何攻击将涉及估计单个用户的扰动参数，所以随机化扰动向用户提供额外一层的隐私。

现在讨论用于计算查看给定ad的用户的数量的方案，这一计算步骤是保留隐私ad调度器中的重要步骤。对于确定查看了每个ad的用户的数量来讲最主要的阻碍是调度器不知道Α_ij(t)的值。变量N_i(t)标示在时段t中查看了ad i的用户的数量。假定调度器知道S(t)，即时隙t中的活动用户的集合。表达式

被用来标示时隙t中的活动用户的总数。由于用户数量是针对每个时隙计算的，所以本讨论的其余部分将为了简便而略去变量t。变量N被用来表示在时隙t期间的活动用户的总数，而且变量

被用来标示在时隙t中查看了ad i的用户的数量N_i的估计量（estimator）。在每个时隙中，ad是由调度器排序的，且ad的有序列表被发送到每个用户设备。假定ad被重新编号，从而有序列表是{1,2,…,n}。

用户j的设备通过确定使得A_ij=1的i的最小值来选择要查看的ad，并且查看所选的ad。因此，用户j当且仅当下列情况下观看给定的ad m：

A_ij＝0 for i＝1，2，...，m-1，并且

A_mj＝1                                     (7)

需要注意的是，如果等式（7）被用来确定用户j是否查看了ad m，则对于变量A_ij，可能存在2^m-1个可能值，1＜i＜m-1。如下文所详述，随着ad的数量增加，计算负担将按指数的形式增加。由于系统能够具有大量的ad，所以前述途径可能是不实际的且甚至可能是不可行的。

为了解决这一问题，使用一种更加聚集但等价的条件来确定用户是否查看了ad m。可重述等式（7），从而用户查看ad m的条件如下：

$\underset{i=1}{\overset{m-1}{\mathrm{\&Sigma;}}}{A}_{\mathrm{ij}}=0,$ 并且

A_mj＝1                                (8)

如果未查看ad m，则等式（7）确切指示（i）为什么没有查看ad m，以及（ii）查看了所述有序列表中在ad m之间的哪个ad。该信息被期望保持为隐私状态。为了解决该潜在的隐私问题，使用等式（8）代替等式（7），从而可推断的所有内容是ad m未被查看，这是由于

而不能推断作为替代所查看的ad的标识。当确定针对所述ad的要查看者的数量时，可使用等式（8），这是由于所有用户设备从相同的分布选择它们的(p,γ)几率值，而且因此，p和γ的值是可互换的。在对估计过程的以下讨论中该结论变得显然。使用等式（8）会导致随ad的数量而线性增长的状态空间。

按每次一个ad的方式来执行针对查看每个ad的用户的数量的估计过程，一般从针对时隙t的有序ad列表中的第一个ad开始。在估计查看adm的用户数量的过程中使用两个分量：“报告的分布”或“报告的数据分布”向量V(m)和“权重”向量W(m)。

针对ad m的报告的分布向量V(m)是从由用户提供的公开的分布值D_ij计算得到的2m维向量。

针对ad m的权重向量W(m)也是2m维向量，其是在第一时段之前预先计算的。权重向量只是基于(p,γ)几率值的保留隐私机制的函数，并且不取决于公开的分布D_ij值或对ad的排序。

现在讨论对针对ad m的报告的分布向量的示例性计算。针对l=0,1,…,m-1，定义如下表达式：

$T_{l0}=\{j:\underset{i=1}{\overset{m-1}{\mathrm{\&Sigma;}}}{D}_{\mathrm{ij}}=l,D_{\mathrm{mj}}=1\},$ 并且

$T_{l1}=\{j:\underset{i=1}{\overset{m-1}{\mathrm{\&Sigma;}}}{D}_{\mathrm{ij}}=l,D_{\mathrm{mj}}=1\},$

其中，集合T_l0表示报告其在前m-1个ad中具有等于1的l值且针对ad m具有0值的用户设备的数量，而且集合T_l1表示报告其在前m-1个ad中具有等于1的l值且针对ad m具有1值的用户设备的数量。变量Z_l(m)表示随机选择的用户属于集合T_l0的几率，而变量O_l(m)表示随机选择的用户属于集合T_l1的几率，其中：

$Z_l\left(m\right)=\frac{\left|T_{l0}\right|}{N},$ 并且

$O_l\left(m\right)=\frac{\left|T_{l1}\right|}{N},$

而且，N表示当前时隙中活动用户的总数。

针对ad m的报告的分布向量V(m)是2m维向量，其按如下定义为Z_l(m)和O_l(m)的值的级联：

V(m)＝[Z_l(m)，O_l(m)]，，其中

对于m的所有值，查看者的数量的估计量可被表示为报告的分布向量V(m)的线性和。该2m维权重向量是权重向量W(m)，其中：

${\hat{N}}_m=W\left(m\right)V{\left(m\right)}^T.$

权重向量W(m)的分量不必是非负的。对应于报告的分布向量的是“实际分布”或“实际数据分布”Y(m)，其表示由A_ij值所确定的零和一的实际分布。定义如下表达式：

$S_{l0}=\{j:\underset{i=1}{\overset{m-1}{\mathrm{\&Sigma;}}}{A}_{\mathrm{ij}}=l,A_{\mathrm{mj}}=0\},0\&le;l\&le;m-1,$ 并且

$S_{l1}=\{j:\underset{i=1}{\overset{m-1}{\mathrm{\&Sigma;}}}{A}_{\mathrm{ij}}=l,A_{\mathrm{mj}}=1\},0\&le;l\&le;m-1,$

其中，集合S_l0表示报告其在前m-1个ad中具有等于1的l值且针对ad m具有0值的用户设备的实际数量，而且集合S_l1表示报告其在前m-1个ad中具有等于1的l值且针对ad m具有1值的用户设备的实际数量。变量

表示随机选择的用户属于集合S_l0的几率，而变量

表示随机选择的用户属于集合S_l1的几率，其中：

${\stackrel{\&OverBar;}{Z}}_l\left(m\right)=\frac{\left|T_{l0}\right|}{N},$ 并且

${\stackrel{\&OverBar;}{O}}_l\left(m\right)=\frac{\left|T_{l1}\right|}{N},$

而且，N表示当前时隙中活动用户的总数。实际分布向量Y(m)是2m维向量，其按如下定义为

和

的值的级联：

$Y\left(m\right)=[{\stackrel{\&OverBar;}{Z}}_l\left(m\right),{\stackrel{\&OverBar;}{O}}_l\left(m\right)],,$ 其中 $\underset{i=1}{\overset{2m}{\mathrm{\&Sigma;}}}{Y}_i\left(m\right)=1.$

接下来，应该确定报告的数据分布向量V(m)和实际数据分布向量Y(m)之间的关系。在针对一般情况进行该工作之前，针对第一个ad（ad1）的特定情况考虑V(1)和Y(1)之间的关系来进行说明。

对于第一个ad，V(1)=[Z₀(1),O₀(1)]和

是两维向量。可以看出：

Pr[j∈T₀₀]＝Pr[j∈T₀₀|j∈S₀₀]Pr[j∈S₀₀]

+Pr[j∈T₀₀|j∈S₀₁]Pr[j∈S₀₁]，并且

Pr[j∈T₀₁]＝Pr[j∈T₀₁|j∈S₀₀]Pr[j∈S₀₀]

+Pr[j∈T₀₁|j∈S₀₁]Pr[j∈S₀₁]，                    (9)

其中表达式Pr[]指示几率。接下来，应该根据扰动过程的参数来表达等式（9）中的条件几率。假定所有用户设备使用固定的(p,γ)对扰动机制（对于a,b∈{0,1}），可以写出如下表达式：

Pr[j∈T_0b|j∈S_0a]＝Pr[D_1j＝b|A_1j＝a]   (10)

＝φ_ab,   (11)

其中：

φ₁₁＝p+(1-p)γ,

φ₁₀＝(1-p)(1-γ),                             （12）

φ₀₁＝(1-p)γ,and

φ₀₀＝p+(1-p)(1-γ).

上述关系直接从(p,γ)对保留隐私机制的定义得到。例如φ₀₁是在其A-向量的某个分量中有零的用户设备将等于零的值报告为等于1的值的几率。举例来讲，如果第一次硬币抛掷（以1-p的几率）得到反面，且第二次硬币抛掷（以几率γ）得到正面，则这一情况发生。由于硬币抛掷是独立的，这两个事件都发生的几率是(1-ρ)γ。类似的论证可被用来得到针对φ_ab的其他值。等式（9）可被重写为：

$\left[\begin{array}{cc}{\mathrm{\&phi;}}_{00}& {\mathrm{\&phi;}}_{10}\\ {\mathrm{\&phi;}}_{01}& {\mathrm{\&phi;}}_{11}\end{array}\right]\left[\begin{array}{c}{\stackrel{\&OverBar;}{Z}}_0\left(1\right)\\ {\stackrel{\&OverBar;}{O}}_0\left(1\right)\end{array}\right]=\begin{array}{c}\left[\begin{array}{c}{Z}_0\left(1\right)\\ O_0\left(1\right)\end{array}\right]---\left(13\right)\end{array}$

定义矩阵M(1)，其独立于任何实际数据且能够因此被预先计算为：

$M\left(1\right)=\left[\begin{array}{cc}{\mathrm{\&phi;}}_{00}& {\mathrm{\&phi;}}_{10}\\ {\mathrm{\&phi;}}_{01}& {\mathrm{\&phi;}}_{11}\end{array}\right]---\left(14\right)$

等式（13）可被重写为：

M(1)Y(1)^T=V(1)^T

这得到报告的数据分布V(1)和真实数据分布Y(1)之间的关系。这一关系可被重写为V(1)^T=M(1)^-1Y(1)^T其中：

$M^{-1}\left(1\right)=\frac{1}{{\mathrm{\&phi;}}_{00}{\mathrm{\&phi;}}_{11}-{\mathrm{\&phi;}}_{01}{\mathrm{\&phi;}}_{10}}\left[\begin{array}{cc}{\mathrm{\&phi;}}_{11}& -{\mathrm{\&phi;}}_{10}\\ -{\mathrm{\&phi;}}_{01}& {\mathrm{\&phi;}}_{00}\end{array}\right]---\left(15\right)$

查看了第一个ad的查看者的集合是具有A_ij=1的用户j的集合。用户具有该性质的几率（或使用频率解释，具有该性质的用户的分数）是O₀(1)。因此，解出O₀(1)得到O₀(1)=W(1)Y(1)^T其中：

$W\left(1\right)=[-\frac{{\mathrm{\&phi;}}_{01}}{{\mathrm{\&phi;}}_{00}{\mathrm{\&phi;}}_{11}-{\mathrm{\&phi;}}_{01}{\mathrm{\&phi;}}_{10}},\frac{{\mathrm{\&phi;}}_{00}}{{\mathrm{\&phi;}}_{00}{\mathrm{\&phi;}}_{11}-{\mathrm{\&phi;}}_{01}{\mathrm{\&phi;}}_{10}}]$

是M^-1(1)的最后一列。使用等式（12）进行替换，得到：

$W\left(1\right)=[-\frac{(1-p)\mathrm{\&gamma;}}{p},\frac{p+(1-p)\mathrm{\&gamma;}}{p}]$

因此，看到ad1的用户的估计数量表示为：

${\hat{N}}_1={\mathrm{NO}}_0\left(1\right)=\mathrm{NW}\left(1\right){Y\left(1\right)}^T$

注意到，已经按照报告的数据分布向量Y(1)的元素的线性组合表达了对N₁的估计。因此（忽略因素N），W(1)是权重向量，其具有如下特性：（i）权重向量W(1)只取决于保留隐私机制的参数；（ii）权重向量W(1)不只是独立于报告的D_ij值，而且还独立于ad1的标识；（iii）一旦确定了保留隐私机制，则可预先计算权重向量W(1)；以及（iv）计算权重向量W(1)的复杂度有效地等同于反转2×2的矩阵。

所述估计进程可按如下适用于随机化扰动的情况。由于用户设备从公共分布函数选择p的值且独立地从（或许不同的）公共分布函数选择γ的值，所以在估计进程中需要进行的唯一改变是考虑矩阵M的元素的期望值。如果p是从密度函数ρ(p)选择的且γ是从密度函数ω(γ)选择的，则得到以下表达式：

$\stackrel{\&OverBar;}{M}\left(1\right)Y{\left(1\right)}^T={V\left(1\right)}^T$

其中，

$\stackrel{\&OverBar;}{M}\left(1\right)=\left[\begin{array}{cc}E{[\mathrm{\&phi;}}_{00}]& E\left[{\mathrm{\&phi;}}_{10}\right]\\ E\left[{\mathrm{\&phi;}}_{01}\right]& E\left[{\mathrm{\&phi;}}_{11}\right]\end{array}\right]---\left(16\right)$

其中，E[]表达式表示可通过对φ值进行积分计算的期望值，例如：

$E\left[{\mathrm{\&phi;}}_{01}\right]={\&Integral;}_0^1{\&Integral;}_0^1(1-p)\mathrm{\&gamma;\&rho;}\left(p\right)\mathrm{\&omega;}\left(\mathrm{\&gamma;}\right)\&PartialD;p\&PartialD;\mathrm{\&gamma;}$

由于p和γ是独立的，而且函数对p和γ是线性的，可以看出：

$E\left[{\mathrm{\&phi;}}_{01}\right]=(1-\stackrel{\&OverBar;}{p})\stackrel{\&OverBar;}{\mathrm{\&gamma;}}$

矩阵M(m)的元素（对于m＞1）对p和γ是非线性的。因此，为了获得矩阵中的元素的期望值，所述积分可被解析地或数值地执行。然而，即使在p和γ是从一个分布中选择的情况中，矩阵M(1)也只取决于保留隐私机制的参数（且非实际数据）并因此可被预先计算。

估计查看了ad m的用户数量的更一般的情况通常遵循上述与针对第一个ad的过程相同的步骤。虽然矩阵表达式变得更为复杂（如下文所详述），但原理保持不变。

对于估计查看了ad m的用户数量N_m的更一般的情况，实际分布向量V(m)=[Z(m),O(m)]是从报告的分布向量

估计的。注意的是，V(m)和Y(m)两者都是2m维向量。使用类似于等式（9）的等式，且估计O₀(m)的值，这是因为该值标识查看了ad m的用户的分数。从而，对于0≤l≤m-1以及a,b=0,1：

$\mathrm{Pr}[j\&Element;T_{\mathrm{la}}]=\underset{b=0}{\overset{1}{\mathrm{\&Sigma;}}}\underset{k=0}{\overset{m-1}{\mathrm{\&Sigma;}}}\mathrm{Pr}[j\&Element;T_{\mathrm{la}}|j\&Element;S_{\mathrm{kb}}\left]\mathrm{Pr}\right[j\&Element;S_{\mathrm{kb}}]---\left(17\right)$

2m×2m矩阵M(m)定义如下：

$M_{\mathrm{uv}}\left(m\right)=\left\{\begin{array}{c}\mathrm{Pr}[j\&Element;T_{u0}|j\&Element;S_{v0}]u\&le;m,v\&le;m\\ \mathrm{Pr}[j\&Element;T_{u0}|j\&Element;S_{v1}]u\&le;m,v>m\\ \mathrm{Pr}[j\&Element;T_{u1}|j\&Element;S_{v0}]u\&le;m,v>m\\ \mathrm{Pr}[j\&Element;T_{u1}|j\&Element;S_{v1}]u>m,v>m\end{array}\right.$

且应用下列定理（2）：

定理（2）：如果所有用户设备采用(p,γ)保留隐私机制，则：

$\mathrm{Pr}[j\&Element;T_{\mathrm{la}}^m|j\&Element;S_{\mathrm{kb}}^m]=\underset{w=0}{\overset{\min (m,l)}{\mathrm{\&Sigma;}}}\left(\begin{array}{c}k\\ w\end{array}\right)\left(\begin{array}{c}m-1-k\\ l-w\end{array}\right){\mathrm{\&phi;}}_{11}^w{\mathrm{\&phi;}}_{10}^{k-w}{\mathrm{\&phi;}}_{01}^{l-w}{\mathrm{\&phi;}}_{00}^{m-1-k-l+w}{\mathrm{\&phi;}}_{\mathrm{ab}}---\left(18\right)$

则φ_ab如上面的等式（12）那样定义。

如在确定针对第一个ad的用户的数量的情况中一样，可以矩阵的形式对等式（17）重写为：

M(m)Y(m)^T=V(m)^T

注意的是，矩阵M(m)是独立于所述数据的，且因此能够被预先计算。然后可计算矩阵M(m)的逆矩阵M^-1(m)，并将其代入下列表达式中：

Y(m)^T=M^-1(m)V(m)^T

变量W(m)（表示ad m的权重向量）是矩阵M^-1(m)的第m+1列并且是2m维向量。与矩阵M(m)一样，向量W(m)独立于数据，并能被预先计算。从数据得到下列表达式：

O₀(m)=W(m)V(m)^T

并且可使用以下定理（3）来计算对给定ad m的用户数量的估计的方差：

定理（3）：如果系统中的所有用户使用(p,γ)保留隐私机制，V(m)表示2m维报告的分布向量，W(m)是ad m的2m维权重向量，则：

${\hat{N}}_m=\mathrm{NW}\left(m\right)V{\left(m\right)}^T$

以下表达式也是正确的：

$E\left[{\hat{N}}_m\right]=N_m$ 以及

$\mathrm{Var}\left[{\hat{N}}_m\right]=N(W^2\left(m\right)V{\left(m\right)}^T-{\left[W\left(m\right)V{\left(m\right)}^T\right]}^2)$

等于N_m这一事实是从权重向量W(m)的导出中直接得到的。报告的分布向量V(m)可被看作几率密度函数而且是权重向量W(m)的随机权重，其导致上述用于计算方差的表达式。

图3是概述了与本发明的一种实施方式一致的示例性保留隐私调度方案的流程图。如图所示，在步骤301处，在t=1，针对i的所有值，δ(i)的值被初始化为0。接下来，在步骤302，按上述内容所述，调度器针对1≤m≤n，计算权重向量W(m)。接下来，在步骤303，每个用户设备从已知分布选择其(p_j,γ_j)几率对。接下来，对于每个时隙t，执行以下步骤304a-304e。在步骤304a，每个用户设备j∈S(t)向调度器发送针对所有改变的合适程度向量值A_ij(t)的公开的分布向量值D_ij(t)。在步骤304b，调度器按照b_i(i)[1-δ(i)]的降序对具有正预算的ad进行安排。在步骤304c，用户j的设备使用下式计算中间变量P(j)：

$P\left(j\right)=\arg \underset{i:A_{\mathrm{ij}}\left(t\right)=1}{\max }{b}_t\left(i\right)[1-\mathrm{\&delta;}\left(i\right)],$

并针对所有其它i，设定X_P(j)j(t)=1以及X_ij(t)=0。在步骤304d，按照上文所述，调度器针对1≤m≤n，计算报告的分布向量V(m)，并将查看ad m的用户的数量

设为

并将预算限制B(i)设为

最后在步骤304e，调度器分别使用下式来更新对偶变量δ(i)和π(j,t)：

$\mathrm{\&delta;}\left(i\right)\&LeftArrow;\mathrm{\&delta;}\left(i\right)[1+\frac{b_t\left(i\right){\hat{N}}_i\left(t\right)}{B\left(i\right)}]+\frac{b_t\left(i\right){\hat{N}}_i\left(t\right)}{(c-1)B\left(i\right)},$

以及π(j,t)←b_t(P(j))[1-δ(P(j))]。

替换实施方式

应该理解的是，在用户设备的位置处以及在服务提供商的位置处都（典型的，但不必须，其远离用户设备的位置）提供了合适的硬件、软件或硬件和软件的组合，以便使得在以上本发明的各种实施方式中描述的进程有效。还应认识到的是，本发明的特定实施方式可支持这里描述的一个或多个操作模式，但不必是所有这些操作模式。

虽然这里在“用户”作为在给定家庭中使用单个“用户设备”单人的语境中描述本发明的实施方式，但很有可能不止一个人会与相同家庭中的其它个人共享因特网连接和/或TV服务（或，类似地，例如在商业场所的不止一个工人会与同事共享因特网连接）。处理这一情形的一种方式是将多有这些个人作为单个用户来对待，从而只收集关键字的单个集合来创建针对家庭的单个用户简档，而不顾哪个个人正在执行因特网搜索，并且所调度的全部ad都是基于这些关键字，而不顾哪个个人实际在查看这些ad。可替换地，除了因特网搜索关键字之外，还可接收其它标准，这些标准可被用来标识哪个个人正在执行搜索（例如，用来登入搜索引擎的用户名、家庭网络上的特定计算机的IP地址等），从而可针对单个家庭或其它物理网络位置创建多个用户简档。可使用类似的标准来标识哪个个人正在查看TV，例如家庭网络上的特定电视的机顶盒的IP地址（或其它标识），或对过去的查看习惯的检查，以确定基于当前正被观看的频道、被观看的电视的时间/日期、被观看的节目的类型或内容等哪个个人最可能正在观看TV等。从而，术语“用户”和“用户设备”应被理解为包括单用户设备（例如移动电话、电视或PC）和多用户设备（例如电视、机顶盒、PC、网络服务器、或住所网关）两者。术语“用户设备”还应被理解为包括其中“用户设备”是单个物理设备（例如PC或机顶盒）的实施方式，以及其中“用户设备”包括多个物理设备（例如与机顶盒和电视耦合的住所网关；耦合到PC的网络服务器；或耦合到无线网络集线器的移动电话）的实施方式。此外，本发明的实施方式可涉及：（i）只具有与单个用户设备连接使用的单个简档的用户，或可替换地，（ii）具有与多个用户设备连接使用的多个简档的用户，或（iii）具有与多个用户设备使用的单个简档的用户。

术语“查看者”和“用户”在这里可互换使用，并且被定义为包括执行因特网会话（例如网页浏览会话或搜索引擎会话）的人，以及通过观看TV、IPTV、听IP广播等来接收基于分组的媒体内容的人等。单个术语“查看者”和“用户”在这里还被用来整体指代个人的群组，比如住在一个家庭中的家庭成员，在这种情况中，与本发明的实施方式一致的方案可能不能确定这些个人中的哪一个正在观看TV或执行因特网会话，并因此，所有可能的个人被看作单个查看者（例如为了收集关键字或放置ad的目的），而不考虑哪个或多少个这些个人实际正在执行这些活动。

虽然这里描述的ad是包含广播程序、点播程序和/或录像（例如数字视频录像机）程序的TV系统或网际协议TV（IPTV）系统中的视频ad，但是本发明还可具有在其它媒体放置ad（例如IP广播系统中的音频ad、视频点播系统中的视频ad、因特网或网页传递的视频系统中的视频ad、或基于蜂窝电话的点播和/或定流媒体系统中的音频或视频ad）的功能。术语“程序”应被广义地构想为包括所有上述内容。这里使用的术语“媒体”因此应该被理解为包括纯音频内容、纯视频内容和包含音视频的内容。

这里描述的本发明的实施方式中，将ad描述为预加载到用户设备（例如机顶盒、住所网关、网络服务器或移动电话）上。应该理解的是，本发明还包括其中ad被预加载到不同设备（例如安全远程服务器）上从而只将ad列表预加载到用户设备上的实施方式。在这一情形中，可由用户设备（比如TV、机顶盒或移动电话）按需下载ad或按需将ad定流到用户设备，以便在时隙期间显示给查看者。

这里描述的与将来自ad出价的关键字与来自查看者的用来在时隙期间对ad进行出价的因特网会话的关键字进行比较有关的术语“匹配”应被广义地构想为不只是指代确切的字母对字母的关键字匹配，还应指代模糊逻辑匹配，即当不存在任何字母对字母关键字匹配时基于最可能的单词或短语匹配作出的匹配。在本发明的语境中，匹配还应被构想为包括非确切关键字匹配和基于任何其它标准和算法的匹配，例如使用基于同义词、基于相关术语或基于概念的关键字匹配。

这里使用的术语“随机”不应被构想为限制于纯随机选择或纯随机数生成，而应被理解为包括伪随机，包括基于种子的选择或数生成以及可模拟随机性但又不是纯随机的其它选择或数生成方法。从而，用来生成扰动的向量的功能（如编码的实施方式中所使用的）可以基于随机数、非随机数或随机数和非随机数的组合。此外，可使用这里描述的一个或多个随机数以及使用与未在这里特别描述的其它算法相关联的一个或多个随机数来生成扰动的向量。

虽然这里描述的本发明的实施方式被描述为在显示了给定ad的时隙之后估计针对该ad的查看者的数量，但应该理解的是，在本发明的某些实施方式中，该估计可在所述ad被显示的同时在所述时隙期间做出，或者甚至在假定存在充足的数据来生成在得到这一估计的过程中采用的扰动的向量的情况下在实际显示所述ad的时隙之前显示。

应该理解的是，在不偏离本发明的范围的情况下，可由本领域技术人员做出为了解释本发明的本质而描述和说明的部分的细节、材料和安排中的各种改变。例如，应该理解的是，本发明的实施方式的创造性概念不止可被应用到用于映射家庭资产的系统中，其也可以应用到涉及对商业资产和其它金融数据的映射的其他系统中。

本发明可被实施为方法的形式和用于实现这些方法的设备的形式。本发明还可被实施为在可触知媒体（比如磁记录媒体、光记录媒体、固态存储器、软盘、CD-ROM、硬盘或任何其它非瞬时机器可读存储媒介）中具有的程序代码的形式，其中当将程序代码加载到机器（比如计算机）中并由该机器执行时，该机器变成用于实现本发明的实施方式的设备。本发明还可被实现为程序代码的形式，例如其存储在包括被加载到机器中和/或被机器执行的非瞬时机器可读存储媒介中，其中当将程序代码加载到机器（比如计算机）中且由机器执行时，机器变成用于实施本发明的实施方式的设备。当在通用目的处理器上执行时，程序代码分段与处理器组合，以提供操作起来类似于特定逻辑电路的唯一设备。

本领域技术人员应该理解的是，虽然这里描述的本发明的系统的示例实施方式的功能组件可被实现为一个或多个分布式计算机程序进程、数据结构、字典和/或在一个或多个常规通用目的计算机（例如IBM兼容、AppleMacintosh和/或基于RISC微处理器的计算机）上的其它存储数据，在不偏离本发明的情况下可使用主机、微型计算机、常规电信设备（例如调制解调器、Tl、光纤、DSL、卫星和/或ISDN通信设备）、由常规网络硬件和软件（例如LAN/WAN网络感到系统和/或因特网）联网在一起的存储器存储设备（例如RAM、ROM）和存储设备（例如计算机可读存储器、盘阵列、直接存取存储）、其它类型的计算机和网络资源。这里讨论的一个或多个网络可以是局域网、广域网、互联网、内网、外网、专属网络、虚拟私网、基于TCP/IP的网络、无线网（例如IEEE802.11或蓝牙）、由电子邮件发射机和接收机组成的基于电子邮件的网络、基于调制解调器的网络、蜂窝网络、或移动电话网络、可由用户通过电话接入的交互电话网络、或一个或多个上述的组合。

这里描述的本发明的实施方式可被实施在位于网络业务服务器系统上的一个或多个计算机中，而且到本发明的实施方式的输入/输出接入可包括合适的硬件和软件（例如被提供了因特网广域网通信硬件和软件（例如基于CQI的、FTP、Netscape Navigator^TM、Mozilla Firefox^TM、MicrosoftInternet Explorer^TM、Google Chrome^TM或Apple Safari^TMHTML因特网浏览器软件，和/或接入实时TCP/IP槽的直接实时或近实时TCP/IP接口）的个人和/或主机计算机），以用于允许人类用户发送和接收数据或允许在实时和/或批类型业务中对本发明的实施方式的各种操作进行不参与执行。类似的，本发明的系统可包括可使用常规浏览器软件（例如NetscapeNavigator^TM、Mozilla Firefox^TM、Microsoft Internet Explorer^TM、GoogleChrome^TM或Apple Safari^TM）通过常规通信信道接入的一个或多个基于因特网的服务器。这样，本发明可被适当地改动，以包括这类通信功能性和因特网浏览能力。此外，本领域技术人员将认识到本发明的服务器系统的各种组件可以是彼此远离的，并且可进一步包括用来完成这里描述的功能性的合适的通信硬件/软件和/或LAN/WAN硬件和/或软件。

本发明的功能组件中的每一个可被实现为在由常规联网硬件和软件联网在一起的一个或多个常规通用目的计算机上运行的一个或多个分布式计算机程序进程。这些功能组件中的每一个可通过在包括用于允许这些功能组件实现所述功能的合适的大量存储、联网和其它硬件和软件的联网计算机系统（包括主机和/或对称或大量并行计算系统，比如IBM SB2^TM或HP9000^TM计算机系统）上运行分布式计算机程序进程（例如，使用“全尺度”关系数据库引擎来生成，比如IBM DB2^TM、Microsoft SQL Server^TM、Sybase SQL Server^TM或Oracle l0g^TM数据库管理器、和/或用来连接到这种数据库的JDBC接口）来实现。这些计算机系统可以是地理上分布的，且可经由合适的广域或局域网硬件和软件连接到一起。在一种实施方式中，存储在数据库中的数据或其它程序数据可由用户为了分析和报告的目的经由标准SQL查询进行接入。

本发明的实施方式的主元素可以是基于服务器的且可位于支持操作系统（比如Microsoft Windows NT/2000^TM或UNIX）的硬件上。

与本发明的实施方式一致的系统的组件可包括移动和非移动设备。可在本发明中采用的移动设备包括个人数字助手（PDA）类型计算机（例如由位于加州的Cupertino的Apple计算机公司或位于加州的Santa Clara的Palm公司制造的）和运行Android、Symbian、RIM Blackberry、PalmWebOS或iPhone操作系统的其它计算机、Windows CE^TM手持计算机或其它手持计算机（可能包括无线调制解调器）、以及无线、蜂窝或移动电话（例如GSM电话、J2ME和WAP电话、因特网电话和数据智能电话）、单向和双向寻呼和消息发送设备、笔记本电脑等。可在与本发明的实施方式一致的系统中被用作潜在服务信道的其它电话网络技术包括2.5G蜂窝网络技术（比如GPRS和EDGE）以及3G技术（碧柔CDMA1xRTT和WCDMA2000）、以及4G技术。虽然可在本发明的实施方式中使用移动设备，但本发明的实施方式还涉及非移动通信设备，其中包括个人计算机、因特网应用设备、机顶盒、地线电话灯。客户端还可包括支持AppleMacintosh^TM、Microsoft Windows95/98/NT/ME/CE/2000/XP/Vista/7^TM的PC、UNIX Motif工作站平台、或能够支持TCP/IP或其它基于网络交互的其它计算机。在一种实施方式中，在客户端平台上不需要除网页浏览器之外的其它软件。

可替换地，前述功能组件可通过运行于经由常规联网硬件和软件联网在一起的基于IBM类型、Intel Pentium^TM或RISC微处理器的个人计算机上的且包括允许这些功能组件实现所述功能性所需的其它附加常规硬件和软件的多个分离的计算机进程（例如经由dBase^TM、Xbase^TM、MS Access^TM或其它“平面文件”类型数据库管理系统或产品生成的）实现。在这一替换配置中，由于个人计算机典型的不能运行上述类型的全尺度关系数据库引擎，可在至少一个联网个人计算机中包括非关系平面文件“表”（未显示），以表示由系统根据本发明所存储的数据的至少部分。这些个人计算机可运行Unix、Microsoft Windows NT/2000^TM或Windows95/98/NT/ME/CE/2000/XP/Vista/7^TM操作系统。根据本发明的系统的前述功能组件还可包括上述两种配置的组合（例如通过运行在个人计算机、RISC系统、主机、对称或并行计算机系统和/或其它合适硬件和软件上的计算机程序进程，其经由合适的广域网和局域网硬件和软件联网在一起）。

根据本发明的系统还可以是更大的系统的一部分，该更大的系统包括多数据库或多计算机系统或“仓库”，其中可将其它数据类型、处理系统（例如业务、金融、管理、统计、数据提取和审计、数据传输/接收、和/或会计支持和服务系统）和/或存储方法与本发明中的那些联合使用，以实现附加功能性（例如作为多方面电话、因特网和由家庭光纤网服务提供商运行的电视系统的一部分）。

在一种实施方式中，可将源代码写入使用关系数据库的面向对象编程语言中。这种实施方式可包括对编程语言的使用，比如C++和工具集（比如Microsoft的Net^TM框架）。可在根据本发明构建系统的过程中使用的其它编程语言包括Java、HTML、Perl、UNIX壳文稿、汇编语言、Fortran、Pascal、Visual Basic和QuickBasic。本领域技术人员将认识到，本发明可被实施于硬件、软件或软硬件的组合中。

从而，这里使用的术语“计算机”或“系统”应被理解为意味着硬件和软件组件的组合，包括具有带有用于控制处理器的合适指令的处理器的至少一个机器。单个术语“计算机”或“系统”还应被理解为指代彼此一致行动的多个硬件设备，例如网络中的多个计算机系统；与一个或多个其它设备（比如路由器、网络集线器、分组检查器具、或防火墙）联合的一个或多个个人计算机；耦合到机顶盒和电视的住所网关；耦合到PC的网络服务器；耦合到无线网络集线器的移动电话等等。

还应从开始就理解的是，可替换地，在不偏离本发明的情况下，可从常规、专用电子硬件和/或软件构想出一个或多个功能组件。从而，本发明意在覆盖可被包括在本发明的精神和宽范围内的所有这些替换、修改和等同。

这里对“一种实施方式”或“实施方式”的引用意味着与所述实施方式相关联描述的特定特征、结构或特性可被包括在本发明的至少一个实施方式中。说明书中的各个地方所出现的“在一种实施方式中”不必都指代到相同的实施方式，而且分离的或替换的实施方式也不必与其它实施方式彼此排除。

应该理解的是，这里描述的示例方法的步骤不是必须按照所描述的顺序来执行，而且这些方法的步骤的顺序应被理解为只是示例性的。类似地，可在这些方法中包括附加步骤，而且在与本发明的各种实施方式已知的方法中，可将特定步骤省略或合并。

虽然方法权利要求中的元素（如果有的话）是以特定的顺序使用响应的标签进行列举的，但是除非权利要求列举暗含用来实现这些元素中的一些或全部的特定顺序，这些元素并不必意在限制为以特定顺序进行实施。

还应理解的是，在不偏离如权利要求中所表达的本发明的范围的情况下，本领域技术人员可对为了解释本发明的本质而描述和说明的部分的细节、材料和安排进行各种改变。

本申请中由权利要求所覆盖的实施方式被限于满足以下条件的实施方式：（1）由本说明书所允许的；以及（2）对应于法定的主题。非允许的实施方式和对应于非法定主题的实施方式被显式地放弃，即使它们落入权力要求的范围。

Claims (10)

1.一种用于估计来自用户设备的集合之间的在时隙期间显示了来自多个候选广告之间的目标广告的用户设备的数量的计算机实施的方法，该方法包括：

（a）所述计算机向所述集合中的用户设备中的每一个用户设备发送能够在所述时隙期间由所述用户设备显示的多个候选广告的标识；

（b）所述计算机从多个用户设备接收数据，其中：

（i）在所述时隙期间显示来自所述多个候选广告之间的目标广告的用户设备的数量能够基于从所述多个用户设备接收的数据而被估计；以及

（ii）在所述时隙期间显示所述目标广告的用户设备的标识不能基于从所述多个用户设备接收的数据而被确定；以及

（c）所述计算机基于从所述多个用户设备接收的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

2.根据权利要求1所述的方法，其中步骤（a）还包括所述计算机向所述集合中的多个用户设备中的每一个用户设备发送所述候选广告的内容。

3.根据权利要求1所述的方法，其中步骤（a）还包括所述计算机在向所述用户设备发送所述多个候选广告的标识之前，对所述候选广告进行排序，从而最大化收益。

4.根据权利要求1所述的方法，其中从每个用户设备接收的数据是布尔向量。

5.根据权利要求1所述的方法，其中从每个用户设备接收的数据是基于所述候选广告中的一个或多个候选广告的针对对应于所述用户设备的用户的合适程度生成的。

6.根据权利要求1所述的方法，其中从每个用户设备接收的数据是使用基于一个或多个随机生成的值进行扰动的信息生成的。

7.根据权利要求1所述的方法，其中从每个用户设备接收的数据是基于用户简档的一个或多个关键字生成的。

8.一种用来为了估计来自用户设备的集合之间的在时隙期间显示来自多个候选广告之间的目标广告的用户设备的数量而生成数据的用户设备实施的方法，该方法包括：

（a）所述用户设备接收能够在所述时隙期间由所述用户设备显示的多个候选广告的标识；

（b）所述用户设备生成数据，其中：

（i）来自用户设备的集合之间的在所述时隙期间显示来自所述多个候选广告之间的目标广告的用户设备的数量能够基于来自多个所述用户设备的数据而被估计；以及

（ii）在所述时隙期间显示所述目标广告的用户设备的标识不能基于来自所述多个用户设备的数据而被确定；以及

（c）所述用户设备向计算机提供所述数据，该计算机适于基于来自所述多个用户设备的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

9.适于执行如权利要求1-8中的任一项所述的方法的设备。

10.一种系统，该系统包括：

计算机；以及

与该计算机进行通信的用户设备的集合，其中：

所述计算机适于：

（i）向所述集合中的用户设备中的每一个用户设备发送能够由所述用户设备在时隙期间显示的多个候选广告的标识；以及

（ii）从多个用户设备接收数据；

来自用户设备的集合之间的在所述时隙期间显示来自所述多个候选广告之间的目标广告的用户设备的数量能够基于来自所述多个用户设备的所述数据而被估计；

在所述时隙期间显示所述目标广告的用户设备的标识不能基于来自所述多个用户设备的数据而被确定；并且

所述计算机适于基于来自所述多个用户设备的数据来估计在所述时隙期间显示所述目标广告的用户设备的数量。

Images