CN102136026A - 电力管理设备以及提供游戏内容的方法 - Google Patents

Abstract

提供一种电力管理设备以及提供游戏内容的方法，该电力管理设备包括向电器提供使用主题为电力的游戏内容的服务的游戏服务提供单元。该游戏服务提供单元包括：游戏控制单元，其控制游戏内容的执行；现实世界构建单元，其基于存储在数据库中的被管理机器信息而构建游戏的反映现实世界环境的设置；以及虚拟世界构建单元，其基于游戏内容中预先设置的设置而构建所述游戏的反映虚拟环境的设置。该游戏控制单元可操作用于通过组合由现实世界构建单元构建的游戏的设置和由虚拟世界构建单元构建的游戏的设置来初始化游戏内容。

Description

电力管理设备以及提供游戏内容的方法

技术领域

本发明涉及电力管理设备以及提供游戏内容的方法。

背景技术

近年来，被称为智能电网的技术一直受到关注。智能电网是通过与传输网(transmission network，输电网)一起构建具有通信信道的新传输网并且使用该智能传输网来实现有效电力使用的技术框架。智能电网的背景思想是实现电力使用量的有效管理，当事故发生时迅速处理这种事故，远程控制电力使用量，使用电力公司控制之外的发电设施的分布式发电，或者电动交通工具(vehicle)的充电管理。特别地，由普通家庭或操作者而非电力公司使用可再生能源对室内发电站的有效利用以及通常包括电动汽车的多种电动交通工具的充电管理已经引起高度关注。顺便提及，可再生能源是在不使用矿物燃料的情况下生成的能源。

由普通家庭或除电力公司之外的操作者生成的电力由发电操作者使用。目前电力公司购买发电操作者使用之后剩余的电力。然而，购买由电力公司控制之外的发电设施提供的电力对于电力公司来说是很重的负担。例如，由光电发电设施提供的电力量取决于天气。而且，由普通家庭的室内发电站提供的电力量取决于一天天大量改变的普通家庭的电力使用。从而，电力公司很难从电力公司控制之外的发电设施接收稳定的供电。由于以上原因，电力公司在未来购买电力可能变得困难。

从而，在暂时将电力存储在蓄电池中之后使用由电力公司控制之外的发电设施生成的电力的家庭蓄电池计划(home battery initiative)近来已经引起关注。例如，考虑通过将由光电发电设施生成的电力存储在蓄电池中并且补偿在夜晚或者当天气不好时的缺乏来使用这种电力的方法。而且，考虑以下的方法：根据电池存储量限制从电力公司接收的电力量，或者通过将电力公司在电费较低的夜晚提供的电力存储在蓄电池中而在电费较高的白天使用存储在蓄电池中的电力的方法。而且，蓄电池可以将电力存储为直流(DC)，这使得在传输期间无需直流/交流(DC/AC)转换或交流/直流(AC/DC)转换，从而可以减少转换期间的损失。

从而，在智能电网计划中关于电力管理的多种期望相互混合。为了实现这种电力管理，智能电网计划以具有通信信道以及传输网为前提。也就是说，假设通过使用该智能传输网来交换关于电力管理的信息(例如，参见JP-A-2002-354560)。然而，在已经建造了通信基础设施的区域中，不使用传输网作为通信信道，而是通过使用由所配置的通信基础设施构建的网络来交换关于电力管理的信息。也就是说，在智能电网计划中，重要的是如何有效地管理发电设施和未被统一管理的存储设施。

发明内容

但是，为了在家庭中实现上述智能电网设想，必须进行多种投资。目前，没有足够的动机来引入智能电网。

鉴于以上内容，希望提供一种电力管理设备以及提供游戏内容的方法，该设备和方法使得能够进行诸如电力管理和电力削减之类的环保的活动并且在进行这些活动时具有乐趣。

根据本发明的实施例，提供了一种电力管理设备，该设备包括：被管理机器注册单元，用于对连接至电力网络的电器进行认证以及将认证成功的电器注册为被管理机器；被管理机器信息获取单元，用于从被管理机器获取包括以下信息的机器信息中的至少任一个作为被管理机器信息：对于所述电器而言唯一的标识信息、表示所述电器的操作状态的信息、表示所述电器的使用状态的信息以及所述电器的电力信息；存储所述被管理机器信息的数据库；以及游戏服务提供单元，用于向所述电器提供使用主题为电力的游戏内容的服务。所述游戏服务提供单元包括：游戏控制单元，用于控制所述游戏内容的执行；现实世界构建单元，用于基于存储在所述数据库中的所述被管理机器信息而构建游戏的反映现实世界环境的设置；以及虚拟世界构建单元，用于基于预设于游戏内容中的设置而构建所述游戏的反映虚拟环境的设置。所述游戏控制单元能够操作用于通过组合由所述现实世界构建单元构建的游戏的设置和由所述虚拟世界构建单元构建的游戏的设置来初始化所述游戏内容。

在所述数据库中可描述有表示电器的位置的位置信息。所述现实世界构建单元能够操作用于基于该位置信息而布置与在游戏阶段中被注册为被管理机器的电器相对应的对象。

游戏控制单元能够操作用于在选择了对应于所述电器的对象时在显示所述游戏内容的显示屏幕上显示以下信息中的任一信息：对应于所选择对象的电器的机器信息、表示操作状态的信息、表示使用状态的信息以及所述电力信息。

电力管理设备还可包括用于对所述被管理机器的操作以及向所述被管理机器的电力供应进行控制的控制单元。在游戏内容中可设置将所述游戏内容的游戏结果应用于现实世界中的、电器的结果应用模式。控制单元能够操作用于：当存在来自所述游戏控制单元的表示执行了所述结果应用模式的通知时，将游戏的结果反映到实际的电器。

游戏服务提供单元可在与设置在电力管理设备之外的游戏服务提供单元一致动作时提供使用游戏内容的服务。

根据本发明的另一实施例，提供一种提供游戏内容的方法，该方法包括以下步骤：对连接至电力网络的电器进行认证以及将认证成功的电器注册为被管理机器；从被管理机器获取包括以下信息的机器信息中的至少任一个作为被管理机器信息：对于所述电器而言唯一的标识信息、表示所述电器的操作状态的信息、表示所述电器的使用状态的信息以及所述电器的电力信息；以及向所述电器提供使用主题为电力的游戏内容的服务。所述提供步骤还包括以下步骤：通过参考存储所述被管理机器信息的数据库构建游戏的反映现实世界环境的设置；以及基于预设于游戏内容中的设置构建所述游戏的反映虚拟环境的设置。通过组合在构建游戏的反映现实世界环境的设置的步骤中构建的游戏的设置和在构建所述游戏的反映虚拟环境的设置的步骤中构建的游戏的设置而初始化所述游戏内容。

根据上述的本发明实施例，可以进行诸如电力管理和电力降低等的环保的活动并且在进行这些活动时具有乐趣。

附图说明

图1是用于说明根据本发明的实施例的电力管理系统的概况的示意图；

图2是用于说明被管理块的总体配置的示意图；

图3是用于说明局部电力管理系统中的通信网络的示意图；

图4是用于说明集中于电力管理设备的系统配置的示意图；

图5是用于说明外部服务器的具体示例的示意图；

图6是用于说明系统管理服务器的一个功能的示意图；

图7是用于说明根据本发明的实施例的电力管理设备的功能配置的示意图；

图8是用于说明信息管理单元的详细功能配置的示意图；

图9是用于说明信息管理单元的详细功能配置的表格；

图10是用于说明显示在显示单元上的内容的示意图；

图11是用于说明显示在显示单元上的内容的示意图；

图12是用于说明显示在显示单元上的内容的示意图；

图13是用于说明显示在显示单元上的内容的示意图；

图14是用于说明电力消费的时序模式的图表；

图15是用于说明电力消费的时序模式的图表；

图16是用于说明隐藏电力消费模式的方法的示意图；

图17是用于说明隐藏电力消费模式的方法的示意图；

图18是用于说明隐藏电力消费模式的方法的示意图；

图19是用于说明由电力管理设备执行的多种控制的示意图；

图20是用于说明由电力管理设备管理的多种信息的示意图；

图21是示出根据插座的类型和所连接机器的类型的通信装置、认证装置以及对供电的控制的组合的表格；

图22是示出机器管理单元的配置的框图；

图23是示出被管理机器注册单元的配置的框图；

图24是示出信息篡改检测单元的配置的框图；

图25是示出信息分析单元的配置的框图；

图26是示出受控制机器的配置的框图；

图27是示出受控制机器的控制单元的配置的框图；

图28是示出受控制机器的控制单元的配置的框图；

图29是示出篡改检测信息生成单元的配置的框图；

图30是示出电力存储设备的配置的框图；

图31是示出电力存储设备的控制单元的配置的框图；

图32是示出电力存储设备的控制单元的配置的框图；

图33是示出篡改检测信息生成单元的配置的框图；

图34是用于说明注册电力管理设备的方法的流程图；

图35是用于说明注册电力管理设备的方法的具体示例的流程图；

图36是用于说明注册受控制机器的方法的流程图；

图37是用于说明注册受控制机器的方法的具体示例的流程图；

图38是用于说明注册受控制机器的方法的具体示例的流程图；

图39是用于说明注册受控制插座的方法的流程图；

图40是用于说明已经被暂时注册的受控制机器的记账处理的示意图；

图41是用于说明已经被暂时注册的受控制机器的记账处理的流程图；

图42是用于说明对注册受控制机器的方法的改进的示意图；

图43是用于说明对注册受控制机器的方法的改进的示意图；

图44是用于说明对注册受控制机器的方法的改进的示意图；

图45是用于说明对注册受控制机器的方法的改进的示意图；

图46是用于说明对注册受控制机器的方法的改进的示意图；

图47是用于说明对注册受控制机器的方法的改进的示意图；

图48是用于说明对注册受控制机器的方法的改进的示意图；

图49是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图50是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图51是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图52是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图53是用于说明当在电力状态中发生异常时，电力管理设备的操作的流程图；

图54是用于说明当在电力状态中发生异常时，电力管理设备的操作的流程图；

图55是用于说明嵌入电子水印信息的方法的流程图；

图56是用于说明验证电子水印信息的方法的流程图；

图57是用于说明嵌入电子水印信息的方法的流程图；

图58是用于说明验证电子水印信息的方法的流程图；

图59是用于说明分析服务器的配置的框图；

图60是示出分析服务器的信息篡改检测单元的配置的框图；

图61是示出分析服务器的第一验证单元的配置的框图；

图62是示出分析服务器的第二验证单元的配置的框图；

图63是用于说明待排除蓄电池的示意图；

图64是用于说明保护电力管理设备免受非法攻击的方法的流程图；

图65是用于说明排除蓄电池的方法的流程图；

图66A是用于说明通过分析服务器的被获取数据验证单元进行验证的方法的流程图；

图66B是用于说明通过分析服务器的被获取数据验证单元进行验证的方法的流程图；

图67是用于说明第一验证单元的验证处理的流程图；

图68是用于说明由数据库管理单元进行的测试处理的流程图；

图69是用于说明由数据库管理单元更新数据库并且生成判定词典的示意图；

图70是用于说明由病毒定义文件管理单元管理病毒定义文件的方法的流程图；

图71A是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71B是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71C是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图72是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图73是用于说明多个电力管理设备的操作流程的示意图；

图74是用于说明多个电力管理设备的操作流程的示意图；

图75是用于说明多个电力管理设备的操作流程的示意图；

图76是用于说明电力管理设备的服务提供单元的配置的框图；

图77是用于说明电力管理设备的服务提供单元的配置的框图；

图78是用于说明到电力管理设备中的数据库的链接的示意图；

图79是用于说明关于链接系统的娱乐的安全性的示意图；

图80是用于说明链接系统的娱乐的流程的流程图；

图81A是用于说明链接系统的娱乐的流程的流程图；

图81B是用于说明链接系统的娱乐的流程的流程图；以及

图82是用于说明根据本发明的实施例的电力管理设备的硬件配置的框图。

具体实施方式

此后，将参考所附附图详细地描述本发明的优选实施例。注意，在本说明书和所附附图中，具有基本相同功能和结构的结构元件用相同附图标记表示，并且省略这些结构元件的重复说明。

按以下指出的顺序给出以下描述。

(1)第一实施例

(1-1)电力管理设备的概述

(1-2)电力管理设备的配置

(1-3)由显示单元显示的内容

(1-4)隐藏电力消费模式

(1-5)由电力管理设备进行的多种控制

(1-6)机器管理单元的配置

(1-7)信息分析单元的配置

(1-8)受控制机器的配置

(1-9)电力存储设备的配置

(1-10)电子水印信息的嵌入方法和验证方法的具体示例

(1-11)注册电力管理设备的方法

(1-12)注册受控制机器的方法

(1-13)注册受控制插座的方法

(1-14)用于暂时注册的受控制机器的记账处理

(1-15)对注册受控制机器的方法的改进

(1-16)电力管理设备对发生异常的被管理机器的操作

(1-17)当在电力状态中发生异常时电力管理设备的操作

(1-18)电子水印信息的嵌入方法和验证方法的流程

(1-19)分析服务器的作用

(1-20)分析服务器的配置

(1-21)指定待排除的蓄电池的处理

(1-22)保护电力管理设备免受非法攻击的方法

(1-23)排除蓄电池的方法

(1-24)由被获取数据验证单元执行的验证处理

(1-25)由第一验证单元进行的验证处理的流程

(1-26)由数据库管理单元进行的测试处理

(1-27)数据库的更新和判定词典的生成

(1-28)管理病毒定义文件的方法

(1-29)指定待排除蓄电池的方法的流程

(1-30)当存在多个电力管理设备时的处理

(2)第二实施例

(2-1)第二实施例的概况

(2-2)服务提供单元的配置

(2-3)到数据库的链接

(2-4)对于链接系统的娱乐的安全性

(2-5)链接系统的娱乐的流程

(3)根据本发明的实施例的电力管理设备的硬件配置

第一实施例

(1-1)电力管理设备的概况

首先，描述根据本发明的第一实施例的电力管理设备的概况。

图1示出根据本实施例的电力管理系统的总体图。

如图1所示，根据本实施例的电力管理系统包括：局部电力管理系统1、广域网2、外部服务器3、电力信息收集设备4、电力供应者系统5、终端机器6、以及电力交易系统7。而且，局部电力管理系统1、外部服务器3、电力信息收集设备4、电力供应者系统5、终端机器6、以及电力交易系统7连接至广域网2，从而相互之间可以交换信息。

另外，在本说明书中，使用措辞“局部”和“广域”。“局部”表示由在不使用广域网2的情况下可以通信的多个元件形成的小组。换句话说，“广域”表示包括经由广域网2通信的多个元件的大组。而且，由设置在局部电力管理系统1内的多个元件构成的小组可以由措辞“局部”来特别地表达。换句话说，图1中所示的整个电力管理系统可以由措辞“广域”来表达。

现在，上述电力管理系统试图(如同通过上述智能电网计划一样)提高电力使用效率，适当地管理对电力进行操作的多种机器、存储电力的电力存储装置、生成电力的发电装置、从电源提供电力的供电装置等。该电力管理系统中的电力管理的目标是设置在局部电力管理系统1中的机器、电力存储装置、发电装置、供电装置等。另外，被称为HEMS(家用能量管理系统)或BEMS(建筑物能量管理系统)的智能电网计划中的系统是局部电力管理系统1的示例。

如图1所示，局部电力管理系统1包括电力管理设备11以及被管理块12。电力管理设备11担任管理设置在局部电力管理系统1中的机器、电力存储装置、发电装置、供电装置等的作用。例如，电力管理设备11允许或禁止给每个机器供电。而且，电力管理设备11执行对每个机器的认证，以识别机器或确认机器的合法性。然后，电力管理设备11从每个机器收集关于电力消费等的信息。

而且，电力管理设备11从电力存储装置获取关于所存储电力量等的信息。然后，电力管理设备11对电力存储装置执行充电/放电控制。而且，电力管理设备11从发电装置获取关于发电量等的信息。而且，电力管理设备11从供电装置获取关于从外部提供的电力量的信息。以该种方式，电力管理设备11从设置在局部电力管理系统1中的机器、电力存储装置、发电装置、以及供电装置获取信息，并且控制电力的输入/输出。当然，电力管理设备11在适当的时候对除机器、电力存储装置、发电装置、以及供电装置之外的结构元件执行类似管理。而且，电力管理设备11不仅可以对电力执行管理，而且还对其中的缩减量可以被量化的一般生态(诸如，CO₂、水资源等)进行管理。即，电力管理设备11还可以起生态管理设备的作用。顺便提及，以下，通过将电力作为其缩减量可以被量化的资源的示例来进行说明。

在图1中所示的局部电力管理系统1中，作为电力管理的目标的结构元件(诸如，机器、电力存储装置、发电装置、以及供电装置)被包括在被管理块12中。被包括在被管理块12中的结构元件和电力管理设备11能够直接或间接地交换信息。而且，电力管理设备11可以被配置为能够与电力信息收集设备4交换信息。电力信息收集设备4管理从与电力供应者所管理的电力供应者系统5提供的电力相关的信息。另外，在智能电网计划中被称为智能仪表的机器是电力信息收集设备4的示例。

电力供应者系统5给每个局部电力管理系统1供电。然后，从电力供应者系统5提供的电力经由电力信息收集设备4被提供给局部电力管理系统1中的被管理块12。这里，电力信息收集设备4获取例如关于提供给被管理块12的电力量的信息。然后，电力信息收集设备4将所获取的关于电力量等的信息发送至电力供应者系统5。通过使用这种机制，电力供应者系统5收集与每个局部电力管理系统1中的被管理块12的电力消费等相关的信息。

而且，电力供应者系统5参考所收集的关于电力消费等的信息，控制电力信息收集设备4，并且控制电力供应量，使得实现被管理块12或整个电力管理系统的有效电力使用。在此，电力信息收集设备4限制从电力供应者系统5提供至被管理块12的电力量，或者根据被管理块12的电力消费提高对电力量的限制。另外，电力供应者例如可以是电力公司、拥有发电站的法人或非法人发电管理者、拥有电力存储设施的法人或非法人电力存储管理者等。

然而，在当前情况下，电力公司很可能是电力供应者，并且在本说明书中，将假设电力公司是电力供应者的情况作出说明。而且，目前大多数从外部提供的电力都是从电力公司(其为电力供应者)购买的。然而，未来，电力市场可能变得活跃并且在电力市场中购买的电力可能覆盖大多数从外部提供的电力。在这种情况下，假设将从电力交易系统7提供电力给局部电力管理系统1，如图1所示。

电力交易系统7执行关于电力交易的处理，诸如，电力市场中的买卖订单的安排(placement)、订单执行后的价格计算、结算处理、供电订单的安排等。而且，在图1的示例中，在电力市场中已经执行订单的电力接收也由电力交易系统7实现。从而，在图1的示例中，根据所执行订单的类型，将电力从电力交易系统7提供给局部电力管理系统1，或者将电力从局部电力管理系统1提供给电力交易系统7。而且，通过使用电力管理设备11自动地或手动地执行对电力交易系统7的订单的安排。

而且，图1中所示的电力管理系统包括多个局部电力管理系统1。如上所述，每个局部电力管理系统1均包括电力管理设备11。多个电力管理设备11可以经由广域网2或安全通信路径(未示出)相互交换信息。还提供了一种将电力从一个局部电力管理系统1提供给另一局部电力管理系统1的机制。在这种情况下，两个系统的电力管理设备11都执行关于电力接收的信息交换，并且执行控制以发送由信息交换适当决定的电力量。

对于该部分，电力管理设备11可以被配置为可由经由广域网2连接的外部终端器件6操作。例如，用户可能想要通过使用终端机器6检查用户管理的局部电力管理系统1的电力状态。在这种情况下，如果电力管理设备11被配置为可由终端机器6操作，则用户能够获得由终端机器6显示的用户管理的局部电力管理系统1的电力状态，并且检查电力状态。用户还能够通过使用终端机器6执行电力管理设备11的电力交易。

另外，终端机器6可以设置在局部电力管理系统1内。在这种情况下，终端机器6通过使用设置在局部电力管理系统1中的通信路径连接至电力管理设备11，而不使用广域网2。使用终端机器6的一个优点在于，用户不必去往电力管理设备11的安装位置。也就是说，如果终端机器6可以使用，则可以从任意位置对电力管理设备11进行操作。另外，作为终端机器6的具体形式，可以假设为例如移动电话、移动信息终端、笔记本电脑、便携式游戏机、信息家电、传真机、有线电话、音频/视频机器、汽车导航系统、或电动交通工具。

以上，已经参考每个结构元件的操作或功能简单地描述了图1中所示的电力管理系统中的电力管理。然而，除了与电力管理相关的功能之外，上述电力管理设备11还具有通过使用从被管理块12等收集的多段信息将多种服务提供给用户的功能。

由电力管理设备11收集的信息可以为例如每个机器的型号或机器ID(以下称为机器信息)、关于用户的简档的信息(以下称为用户信息)、关于用户的计费账户或信用卡的信息(以下称为记账信息)、关于将要使用的服务的注册信息(以下称为服务信息)等。上述机器信息被预先设置在每个机器中或者由用户手动输入。而且，在很多情况下，上述用户信息、记账信息、以及服务信息可以由用户手动输入至电力管理设备11。另外，信息的输入方法不限于这些示例，并且可以改变为任何输入方法。而且，在以下说明中，机器信息、用户信息、记账信息、以及服务信息将被称为“初始信息”。

除了初始信息之外，电力管理设备11能够收集的信息可以为与连接至每个机器的蓄电池的规格相关的信息(以下称为机器蓄电池信息)、与每个机器(包括电力存储装置、发电装置、供电装置等)等的状态相关的信息(以下称为机器状态信息)、可以从连接至广域网2的外部系统或服务器获取的信息(以下称为外部信息)等。上述机器状态信息可以为，例如电力存储装置在信息收集时间点的放电电压或所存储的电力量、发电装置的发电电压或发电量、每个机器的电力消费等。而且，上述外部信息可以为从电力交易系统7获取的电力的单位市场价格、从外部服务器3获取的可用服务的列表等。另外，在以下说明中，机器蓄电池信息、机器状态信息，以及外部信息将被称为“初级信息”。

而且，电力管理设备11可以由其本身或者使用外部服务器3的功能，通过使用初始信息和初级信息来计算次级信息。例如，电力管理设备11分析上述初级信息，并且计算表示从电力供应者系统5提供的电力、由发电装置生成的电力、由电力存储装置充电/放电的电力、以及由被管理块12消费的电力之间的平衡的指标值(以下称为平衡指标)。而且，电力管理设备11基于电力消费，计算记账情况和CO₂缩减量情况。而且，电力管理设备11基于初始信息计算每个机器的消耗程度(使用持续时间与寿命的比例等)，或者基于所消费电力随着时间的改变，分析用户的生活模式。

而且，电力管理设备11通过执行使用次级信息的计算或者通过执行与连接至广域网2的系统或服务器或另一电力管理设备11的信息交换，来获得多段信息(以下称为三级信息)。例如，电力管理设备11获取与电力市场中的买/卖订单的情况或价格相关的信息(以下称为市场数据)、与相邻区域中的剩余电力或不足电力的量相关的信息(以下称为区域电力信息)、与从提高有效电源使用角度看适于用户的生活模式的机器相关的信息(以下称为机器推荐信息)、与计算机病毒等相关的安全信息、或者与机器中的故障等相关的机器危险信息。

通过适当地使用上述初始信息、初级信息、次级信息以及三级信息，电力管理设备11可以给用户提供多种服务。同时，电力管理设备11将保持与用户的隐私或局部电力管理系统1的安全相关的重要信息。而且，电力管理设备11用来允许或禁止给被管理块12供电。从而，希望从电力管理设备11得到高安全等级，使得能够防止来自局部电力管理系统1外部的攻击或者在局部电力管理系统1内执行的非法行为。

作为电力管理设备11从局部电力管理系统1外部接收的攻击，可以认为是DoS攻击(拒绝服务攻击)、或计算机病毒等。当然，防火墙设置在局部电力管理系统1和广域网2之间，但是为了上述原因，想要更严格的安全措施。而且，作为在局部电力管理系统1内执行的非法行为，可以是机器、电力存储装置等的非法改进、信息的伪造、未授权机器的连接等。而且，从提高安全等级的观点来看，防止由恶意第三方使用与反映用户的生活模式的被消费电力相关的信息、或者检测/恢复每个机器或电力管理设备11的损坏(在一些情况下为起火等)的措施可能变为必须的。

如随后所述，电力管理设备11具有实现上述这种高安全等级的功能。电力管理设备11实现对被管理块12的电力管理、基于从被管理块12等收集的初始信息、初级信息、次级信息以及三级信息的服务提供，同时保持安全等级。另外，由电力管理设备11保持高安全等级可以不仅由电力管理设备11实现。从而，可以尝试用被管理块12中设置的机器、电力存储装置、发电装置、供电装置等与电力管理设备11结合来保持安全等级。此外，随后将详细描述被管理块12的这种结构元件。

被管理块的配置

将参考图2至图4详细地描述被管理块12的配置。图2示出被管理块12的配置。而且，图3示出被管理块12内的通信网络的配置。而且，图4示出用于与电力管理设备11交换信息的主要结构元件的具体配置。

首先，参考图2。如图2所示，被管理块12包括：配电设备121、交流/直流(AC/DC)转换器122、受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、插座扩展设备127、电力存储设备128、第一发电设备129、第二发电设备130、以及环境传感器131。

另外，受控制插座123、电动交通工具124、受控制机器125、以及插座扩展设备127是上述机器的示例。而且，电力存储装置128是上述电力存储装置的示例。而且，第一发电设备129和第二发电设备130是上述发电装置的示例。受控制插座123和插座扩展设备127还是上述供电装置的示例。而且，不受控制机器126不直接受到电力管理设备11的电力管理，从而其本身不是上述机器的示例。然而，如随后所述，通过与插座扩展设备127结合，不受控制机器126能够被电力管理设备11所管理，并且是上述机器的示例。

电力流

从电力供应者系统5、电力交易系统7、或另一局部电力管理系统1提供的电力(以下称为外部电力)被输入配电设备121。假设外部的交流(AC)电力被输入图2的示例中的配电设备121，但是也可以输入外部的直流(DC)电力。然而，为了说明，以下假设外部AC电力被输入配电设备121。输入至配电设备121的外部电力由AC/DC转换器122从AC转换为DC，并且被输入受控制插座123或电力存储设备128。

而且，从电力存储设备128放电的电力(以下称为放电电力)也被输入配电设备121。从电力存储设备128输出的放电电力由AC/DC转换器122从DC转换为AC，并且被输入至配电设备121。输入至配电设备121的放电AC电力由AC/DC转换器122从AC转换为DC，并且被输入至受控制插座123。然而，为了避免放电电力在AC/DC转换器122处的损失，放电电力还可以在不经过AC/DC转换器122的情况下，被从电力存储设备128提供至受控制插座123。

除了经由配电设备121输入的外部电力之外，由第一发电设备129和第二发电设备130生成的电力(以下称为生成电力)被输入至电力存储设备128。另外，在图2的示例中，由第一发电设备129和第二发电设备130生成的生成电力被暂时存储在电力存储设备128中。然而，由第一发电设备129和第二发电设备130生成的生成电力在不经过电力存储设备128的情况下，还可以被输入AC/DC转换器122或受控制插座123。然而，在很多情况下，由于气候或环境原因，从第一发电设备129输出的生成电力的提供是不稳定的。从而，在使用从第一发电设备129输出的生成电力的情况下，优选在被暂时存储在电力存储设备128中之后使用生成电力。

另外，第一发电设备129是用于使用可再生能源生成电力的发电装置。例如，第一发电设备129是光电设备、风力发电设备、地热发电设备、水力发电设备等。换句话说，第二发电设备130是用于使用不可再生能源生成电力的发电装置(与通过使汽油、煤等燃烧并且使用燃烧生成电力的热力发电相比，其是环保的)。例如，第二发电设备130是燃料电池、天然气发电设备、生物质发电设备等。顺便提及，在使用从可再生能源得到的电力生成氢(其为用于燃料电池发电的燃料)的情况下，燃料电池是在不使用不可再生能源的情况下生成电力的发电装置。

由第一发电设备129和第二发电设备130生成的生成电力、以及存储在电力存储设备128中的电力，一方面经由配电设备121或AC/DC转换器122被输入受控制插座123，另一方面，可以由电力供应者系统5、电力交易系统7等购买。在这种情况下，由第一发电设备129和第二发电设备130生成的生成电力、以及从电力存储设备128输出的放电电力，由AC/DC转换器122从DC转换为AC，并且经由配电设备121被发送至电力供应者系统5、电力交易系统7等。

以上，粗略地描述了被管理块12中的电力流。特别地，在此描述了流经配电设备121的电力的分配路径。如上所述，配电设备121担任划分被管理块12内的电力的分配路径的作用。从而，如果配电设备121停止，则被管理块12内的电力的分配中断。从而，配电设备121设置有不间断电源(UPS)。另外，在图2的示例中，独立于电力管理设备11提供配电设备121，但是配电设备121和电力管理设备11可以安装在同一外壳内。

供电时的认证

在被管理块12中，经由配电设备121流至受控制插座123或电力存储设备128的电力由电力管理设备11管理。例如，电力管理设备11控制配电设备121并且给受控制插座123供电或者停止给受控制插座123供电。

电力管理设备11还执行对受控制插座123的认证。然后，电力管理设备11给认证成功的受控制插座123供电，并且停止给认证失败的受控制插座123供电。这样，通过电力管理设备11作出的认证成功或失败来确定在被管理块12中供电或不供电。电力管理设备11进行的认证不仅对受控制插座123执行，还对电动交通工具124、受控制机器125、以及插座扩展设备127执行。顺便提及，由电力管理设备11进行的认证不对不受控制机器126执行，不受控制机器126不拥有与电力管理设备11的通信功能，也不拥有认证所必须的计算功能。

从而，基于电力管理设备11的控制，可以给已被认证的受控制插座123、电动交通工具124、受控制机器125、或插座扩展设备127供电。然而，其本身没有被经过认证的不受控制机器126将不基于电力管理设备11的控制被供电。从而，电力被连续提供给不受控制机器126，而与电力管理设备11的控制无关，或者根本不提供给其电力。然而，通过使插座扩展设备127执行认证作为代替，可能基于电力管理设备11的控制给不受控制机器126供电。

机器功能的概述

在此简短地概述受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展机器127的功能。

受控制插座123

首先，将概述受控制插座123的功能。受控制插座123具有与电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127的电源插头连接的端子。而且，受控制插座123具有经由配电设备121给连接到该端子的电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127供电的功能。即，受控制插座123具有供电插座的功能。

受控制插座123还具有电力管理设备11进行认证所必须的多种功能。例如，受控制插座123具有与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给受控制插座123提供用于无线通信的通信模块，来实现该通信功能。受控制插座123还具有用于执行在认证时必须的计算的计算功能。而且，受控制插座123保存标识信息诸如认证所必须的机器ID以及密钥信息。通过使用这些功能和信息，受控制插座123能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公钥对的公钥认证。

而且，受控制插座123还可以具有用于显示向电力管理设备11的认证的成功/失败以及在认证期间的状态(以下称为认证状态)的状态显示装置。在这种情况下，设置在受控制插座123中的状态显示装置可以显示连接至受控制插座123的电动交通工具124、受控制机器125、以及插座扩展设备127的认证状态。而且，该状态显示装置还可以显示连接至受控制插座123的机器是否是不受控制机器126。另外，该状态显示装置由诸如LED或小灯泡的指示灯、或者诸如LCD或ELD的显示器件配置。

如上所述，在电力管理设备11的控制下经由配电设备121给由电力管理设备11认证成功的受控制插座123供电。换句话说，在电力管理设备11的控制下，停止给认证失败的受控制插座123供电。这样，根据认证的成功/失败控制供电，可以防止未授权供电插座连接至配电设备121。还可以容易地检测欺诈性地连接至配电设备121的供电插座。而且，在状态显示装置设置在受控制插座123中的情况下，可以容易地掌握受控制插座123的认证状态，并且可以容易地区分受控制插座123的认证失败和损坏。

现在，受控制插座123的形式不限于用于连接电源插头的电源插座(power point)的形式。例如，还可以实现具有通过使用电磁感应来供电的内置线圈(如同用于非接触IC卡的读写器那样)且表面形式不具有电源插座形式的受控制插座123。在这种情况下，如同非接触IC卡那样，将用于从受控制插座123生成的电磁场生成感应电动势的线圈设置在电动交通工具124、受控制机器125、以及插座扩展设备127中。根据这种配置，可以在不使用电源插头的情况下，提供或接收电力。另外，在使用电磁感应的情况下，可以在受控制插座123和电动交通工具124、受控制机器125、或插座扩展设备127之间使用磁场的调节进行信息交换。

而且，受控制插座123具有测量提供给连接至该端子的电动交通工具124、受控制机器125、或插座扩展设备127的电力量的功能。而且，受控制插座123具有将所测量的电力量通知给电力管理设备11的功能。而且，受控制插座123可以具有从连接至该端子的电动交通工具124、受控制机器125、或插座扩展设备127获取初级信息并且将所获取的初级信息发送至电力管理设备11的功能。这样，通过将受控制插座123测量或获取的信息发送至电力管理设备11，可以使电力管理设备11掌握电力状态或者执行对每个独立受控制插座123的供电控制。

电动交通工具124

接下来将概述电动交通工具124的功能。电动交通工具124包括用于存储电力的蓄电池。电动交通工具124还包括使用从蓄电池放电的电力来驱动的驱动机构。在电动交通工具124是电动汽车或插入式混合电动汽车的情况下，该驱动机构包括例如马达、齿轮、轴、车轮、轮胎等。其他电动交通工具124的驱动机构至少包括马达。而且，电动交通工具124包括在给蓄电池充电时使用的电源插头。可以通过将该电源插头连接至受控制插座123来接收电力。顺便提及，在受控制插座123通过使用电磁感应供电的方法的情况下，在电动交通工具124中设置放在磁场中时生成感应电动势的线圈。

电动交通工具124还具有用于电力管理设备11进行认证所必须的多种功能。例如，电动交通工具124具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给电动交通工具124提供用于无线通信的通信模块，来实现该通信功能。电动交通工具124还具有用于执行认证时所必须的计算的计算功能。而且，电动交通工具124保存标识信息诸如认证所必须的机器ID以及密钥信息。通过使用这些功能和信息，电动交通工具124能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公钥对的公钥认证。

而且，电动交通工具124还具有向电力管理设备11发送与所装配的蓄电池相关的机器蓄电池信息(诸如剩余蓄电池电平、充电量、以及放电量)的功能。还将与拥有电动交通工具124的用户相关的用户信息、与电动交通工具124的燃料效率、性能等相关的机器信息发送至电力管理设备11。通过从电动交通工具124发送到电力管理设备11的这些段信息，电力管理设备11可以执行诸如使用用户信息记账，以及基于用户信息和机器信息征税等的处理。例如，可以通过电力管理设备11执行征收基于CO₂释放量计算的环境税的处理、基于剩余蓄电池电平显示英里里程的处理等。

另外，还可以想到使用电动交通工具124的蓄电池代替电力存储设备128。例如，当暂时不可能使用电力存储设备128时，诸如当电力存储设备128坏了或者被更换的时候，可以使用电动交通工具124的蓄电池来代替电力存储设备128。而且，由于电动交通工具124本身是可移动的，所以可以携带作为原料的外部电力。即，其可以用作可移动电力存储设备128。由于这种优点，在天灾或紧急情况下，使电动交通工具124作为备用电源也是有用的。当然，这种使用可以在根据本实施例的局部电力管理系统1的框架内实现。

受控制机器125

接下来，将概述受控制机器125的功能。受控制机器125具有由电力管理设备11进行认证所必须的多种功能。例如，受控制机器125具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给受控制机器125提供用于无线通信的通信模块来实现该通信功能。受控制机器125还具有用于执行认证时所必须的计算的计算功能。而且，受控制机器125保存标识信息诸如认证所必须的机器ID和密钥信息。通过使用这些功能和信息，受控制机器125能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公钥对的公钥认证。

而且，受控制机器125还具有向电力管理设备11发送与所装配的蓄电池相关的机器蓄电池信息，诸如剩余蓄电池电平、充电量、以及放电量。还将与拥有受控制机器125的用户相关的用户信息、与受控制机器125的类型、性能等相关的机器信息发送至电力管理设备11。通过从受控制机器125发送到电力管理设备11的这些段信息，电力管理设备11可以执行诸如使用用户信息记账，以及基于用户信息和机器信息征税等的处理。例如，可以通过电力管理设备11执行征收基于CO₂释放量计算的环境税的处理、推荐具有更高环境性能的器械的显示处理等。

不受控制机器126、插座扩展设备127

接下来，将概述不受控制机器126和插座扩展设备127的功能。与上述受控制插座123、电动交通工具124、以及受控制机器125不同，不受控制机器126不拥有由电力管理设备11认证所必须的功能。即，不受控制机器126是现有家用电器、现有视频机器等。未经过认证的不受控制机器126不能经受电力管理设备11的电力管理，并且在一些情况下，不能接收电力。从而，为了能够在局部电力管理系统1中使用不受控制机器126，用于执行认证的委托装置(delegate means)是必须的。

插座扩展设备127承担两个作用。一个作用是用于执行委托认证，使得不受控制机器126能够在局部电力管理系统1中使用的功能。另一个作用是增加连接至受控制插座123的机器数量的功能。与电动交通工具124、受控制机器125、或不受控制机器126的电源插头连接的一个或多个端子被提供给插座扩展设备127。当使用提供有多个端子的插座扩展设备127时，能够增加可以连接至受控制插座123的电动交通工具124、受控制机器125、和不受控制机器126的数量。即，插座扩展设备127用作具有高级功能的电源板。

以上，简单地概述了受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127的功能。顺便提及，上述功能不是受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127仅有的功能。将这些功能作为基础，还可以进一步补充以下描述的用于电力管理设备11进行电力管理的操作所必须的功能。

通信功能

在此，参考图3描述局部电力管理系统1内的电力管理设备11、受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的通信功能。如图3所示，在局部电力管理系统1中，例如，使用短程无线通信、无线局域网(LAN)、电力线通信等。例如，ZigBee是短程无线通信的示例。而且，PLC是电力线通信的示例。

如图2所示，在局部电力管理系统1中，受控制插座123和连接至受控制插座123的机器通过电力线连接至配电设备121。这样，很容易通过使用这些电力线构建基于电力线通信的通信网络。另一方面，在使用短程无线通信的情况下，可以通过自组方式连接每个机器来构建通信网络，如图3所示。而且，在使用无线LAN的情况下，每个机器都可以直接连接至电力管理设备11。从而，可以通过使用任何通信方法，在局部电力管理系统1内构建必要的通信网络。

然而，如图3所示，不受控制机器126有时不能通过使用通信网络连接至电力管理设备11。从而，在使用不受控制机器126的情况下，不受控制机器126必须连接至插座扩展设备127。另外，即使在使用不具有通信功能也不具有认证功能的不受控制插座的情况下，如果电动交通工具124、受控制机器125、或插座扩展设备127连接至不受控制插座，也可以通过使用电动交通工具124、受控制机器125、或插座扩展设备127的功能，来进行经由通信网络到电力管理设备11的连接。当然，在不受控制机器126连接至不受控制插座的情况下，不能进行到通信网络的连接，从而不能进行由电力管理设备11的控制。

顺便提及，电力信息收集设备4可以被包括在局部电力管理系统1内构建的通信网络中，作为连接目的地，如图3所示。而且，可以通过使用该通信网络，在电动交通工具124或受控制机器125和电力信息收集设备4之间交换信息。当然，电力管理设备11和电力信息收集设备4可以通过使用该通信网络来交换信息。这样，可以根据实施例的模式适当地设置局部电力管理系统1内构建的通信网络的结构。另外，该通信网络由充分安全的通信信道构建。而且，将提供允许保证流经通信信道的信息的安全的机制。

机器和多种设备的具体示例

在此，将参考图4介绍局部电力管理系统1中的一些结构元件的具体示例。如图4所示，可以与电力管理设备11交换信息的结构元件包括：例如，电动交通工具124、受控制机器125(智能机器)、不受控制机器126(传统机器)、电力存储设备128、第一发电设备129、第二发电设备130等。

例如，电动车和插电式混合电动车可以被给定为电动交通工具124的具体示例。而且，例如，家用电器、个体计算机、移动电话、以及视频机器可以被给定为受控制机器125和不受控制机器126的具体示例。例如，锂离子充电电池、NAS充电电池、以及电容器可以被给定为电力存储设备128的具体示例。而且，例如，光电设备、风力发电设备、以及地热发电设备可以被给定为第一发电设备129的具体示例。而且，燃料电池、天然气发电设备、以及生物质发电设备可以被给定为第二发电设备130的具体示例。如上所述，多种设备和机器都可以被用作局部电力管理系统1的结构元件。

以上，已经描述了被管理块12的配置。然而，包括在被管理块12中的每个结构元件的功能不限于上述。在电力管理设备11进行电力管理需要时，补充每个结构元件的功能。另外，将在随后描述的电力管理设备11和其他结构元件的配置的说明中，详细描述每个结构元件的补充功能。

外部服务器的配置

接下来，参考图5描述外部服务器3的配置。如图5所示，例如，服务提供服务器31、记账服务器32、系统管理服务器33、分析服务器34、证书授权服务器35、制造商服务器36、以及地图DB服务器37用作外部服务器3。

服务提供服务器31具有提供使用电力管理设备11等的功能的服务的功能。记账服务器32具有根据局部电力管理系统1内消费的电力，给电力管理设备11提供记账信息，并且基于关于由电力管理设备11管理的电力量的信息，请求用户支付使用费的功能。而且，记账服务器32与服务提供服务器31协作，执行对用户使用的服务的记账处理。另外，记账处理可以被执行用于拥有消费电力的电动交通工具124、受控制机器125等的用户，或者可以被执行用于管理关于被消费电力的信息的电力管理设备11的用户。

系统管理服务器33具有管理图1所示的整个电力管理系统或者基于区域管理电力管理系统的功能。例如，如图6所示，系统管理服务器33掌握在用户#1的局部电力管理系统1中的使用情况、在用户#2的局部电力管理系统1中的使用情况、在用户#3的局部电力管理系统1中的使用情况，并且给记账服务器32等提供必要信息。

在图6的示例中，假设用户#1使用用户#1他/她自己、用户#2、以及用户#3的局部电力管理系统1中的电力的情况。在这种情况下，消费了电力的用户#1的机器ID和使用信息(电力消费等)由系统管理服务器33收集，并且用户#1的用户信息和使用信息从系统管理服务器33被发送至记账服务器32。而且，系统管理服务器33基于所收集的使用信息计算记账信息(记账数额等)，并且将其提供给用户#1。对于该部分，记账服务器32向用户#1收取对应于记账信息的金额。

如上所述，通过系统管理服务器33对多个局部电力管理系统1进行总体控制，即使用户使用另一用户的局部电力管理系统1中的电力，也可以实现给使用了电力的用户记账的机制。特别地，在多数情况下，在由其本身管理的局部电力管理系统1的外部，执行对电动交通工具124的充电。在这种情况下，如果使用系统管理服务器33的上述功能，则可以可靠地对电动交通工具124的用户进行计账。

分析服务器34具有分析由电力管理设备11收集的信息、或者连接至广域网2的另一服务器所保存的信息的功能。例如，在优化基于区域的供电控制的情况下，从局部电力管理系统1收集的信息量将会很大，并且为了通过分析信息计算用于每个局部电力管理系统1的最优控制方法，必须执行大量计算。这种计算对于电力管理设备11来说是繁重的，因此通过使用分析服务器34来执行。另外，分析服务器34还可以用于其他多种计算处理。而且，证书授权服务器35用于对公钥进行认证并且用于发布公钥证书。

制造商服务器36由机器的制造商管理。例如，电动交通工具124的制造商服务器36保存关于电动交通工具124的设计的信息。类似地，受控制机器125的制造商服务器36保存关于受控制机器125的设计的信息。而且，制造商服务器36保存用于识别每个所制造机器(诸如，每个电动交通工具124和每个受控制机器125)的信息。制造商服务器36具有通过使用这些段信息并且与电力管理设备11协作，识别位于每个局部电力管理系统1内的电动交通工具124或受控制机器125的功能。通过使用该功能，电力管理设备11可以执行对电动交通工具124或受控制机器125的认证，或者检测未授权机器的连接。

地图DB服务器37保存地图数据库。从而，连接至广域网2的服务器或电力管理设备11可以访问地图DB服务器37并且使用地图数据库。例如，在用户使用他/她的局部电力管理系统1外部的电力的情况下，系统管理服务器33可以从地图数据库搜索使用位置，并且将关于使用位置的信息以及记账信息提供给用户。如上所述，存在多种类型的外部服务器3，并且除了在此所示的服务器配置之外，还可以适当地增加不同类型的外部服务器3。

(1-2)电力管理设备的配置

以上，描述了根据本实施例的电力管理系统的总体图。以下，将参考图7至图9描述主要负责电力管理系统中的电力管理的电力管理设备11的配置。

功能综述

首先，将参考图7描述电力管理设备11的总体功能配置。如图7所示，电力管理设备11包括局部通信单元111、信息管理单元112、存储单元113、广域通信单元114、控制单元115、显示单元116、输入单元117、以及服务提供单元118。

局部通信单元111是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。信息管理单元112是用于管理被包括在局部电力管理系统1内的每个结构元件的机器信息以及与电力相关的信息的装置。而且，由信息管理单元112执行对受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的认证处理。存储单元113是用于保存用于认证的信息和用于电力管理的信息的存储装置。存储单元113存储与电力管理设备11所保存的秘密密钥和公钥构成的密钥对、公用密钥等相关的密钥信息、多种数字签名或证书、多种数据库、或历史信息。广域通信单元114是用于经由广域网2与外部系统和服务器交换信息的通信装置。

控制单元115是用于控制包括在局部电力管理系统1内的每个结构元件的操作的控制装置。显示单元116是用于显示与在局部电力管理系统1中消费的电力相关的信息、用户信息、记账信息、与电力管理相关的其他类型信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示装置。另外，例如，LCD、ELD等可以用作显示装置。输入单元117是用于用户输入信息的输入装置。另外，例如，键盘、按钮等可以用作输入单元117。而且，还可以通过结合显示单元116和输入单元117来构建触摸面板。服务提供单元118是用于在电力管理设备11处实现多种服务和功能并且将其提供给用户，同时与外部系统、服务器等协同操作的装置。

如上所述，电力管理设备11包括用于与局部电力管理系统1内部或外部的机器、设备、系统、服务器等交换信息的通信装置(局部通信单元111、广域通信单元114)。而且，电力管理设备11包括用于控制局部电力管理系统1内的机器或设备的控制装置(控制单元115)。而且，电力管理设备11包括信息管理装置(信息管理单元112)，该信息管理装置从局部电力管理系统1内部或外部的机器、设备、系统、服务器等收集信息，并且通过使用该信息给局部电力管理系统1内的机器或设备提供服务或认证。而且，电力管理设备11包括用于显示与局部电力管理系统1内部或外部的电力相关的信息的显示装置(显示单元116)。

为了安全和有效地管理局部电力管理系统1内的电力，首先，必须正确地识别局部电力管理系统1内的机器、设备等。而且，为了安全和有效地管理局部电力管理系统1内的电力，还必须分析与局部电力管理系统1内部和外部的电力相关的信息并且执行适当的电力控制。信息管理单元112的功能用于执行信息的管理，以履行以上功能。从而，将更详细地描述信息管理单元112的功能。另外，控制单元115的功能用于控制具体机器、设备等。

功能详情

以下，将参考图8和图9详细地描述信息管理单元112的功能配置。图8示出信息管理单元112的详细功能配置。图9示出信息管理单元112的每个结构元件的主要功能。

如图8所示，信息管理单元112包括：机器管理单元1121、电力交易单元1122、信息分析单元1123、显示信息生成单元1124、以及系统管理单元1125。

机器管理单元1121

如图9所示，机器管理单元1121是用于管理局部电力管理系统1内的机器、设备等的装置。例如，机器管理单元1121为受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等执行机器ID的注册、认证、管理，操作设置和服务设置的管理，操作状态和使用状态的掌握，环境信息的收集等。另外，通过使用安装在被管理块12中的环境传感器131来执行环境信息的收集。而且，环境信息是与温度、湿度、天气、风向、风速、地形、区域、天气预报等相关的信息，以及通过对其进行分析获得的信息。

电力交易单元1122

如图9所示，电力交易单元1122执行电力市场中的市场交易数据或个体交易数据的获取、交易执行的定时控制、交易的执行、交易日志的管理等。另外，市场交易数据是与电力市场中的市场价格和交易条件相关的信息。而且，个体交易数据是与在电力供应者和相邻电力消费者之间进行个体交易时确定的交易价格和交易条件等相关的信息。交易执行的定时控制是，例如，在电力购买价格下降到预定值以下的定时时发出预定量的购买订单，或者在电力出售价格上升到预定值以上的定时时发出预定量的出售订单的自动控制。

信息分析单元1123

如图9所示，信息分析单元1123执行发电数据的分析、电力存储数据的分析、生活模式的学习、以及电力消费数据的分析。而且，信息分析单元1123基于以上分析，执行电力消费模式的估计、电力存储模式的估计、电力放电模式的估计、以及发电模式的估计。另外，例如，通过使用局部电力管理系统1内的第一发电设备129或第二发电设备130的发电量的时序数据、电力存储设备128的充电/放电量或电力存储量的时序数据、或由电力提供者系统5提供的电力量的时序数据，来执行信息分析单元1123的分析和学习。

而且，通过将时序数据或通过分析时序数据获得的分析结果用作用于学习的数据，并且通过使用基于预定机器学习算法获得的估计公式，来执行信息分析单元1123的估计。例如，通过使用遗传学习算法(例如，参见JP-A-2009-48266)，可以自动构建估计公式。而且，通过将过去的时序数据或分析结果输入估计公式，可以获得估计结果。而且，通过顺序地将所计算的估计结果输入估计公式，可以获得时序数据。

而且，信息分析单元1123执行现在或未来CO₂排放量的计算、用于减少电力消费的供电模式(电力节省模式)的计算、用于减少CO₂排放量的供电模式(低CO₂排放模式)的计算、以及能够减少局部电力管理系统1内的电力消费和CO₂排放量的机器配置、机器布置等的计算或推荐。基于总电力消费或对于每种发电方法有所区别的电力消费来计算CO₂排放量。

在使用总电力消费的情况下，计算近似平均CO₂排放量。换句话说，在使用对于每种发电方法有所区别的电力消费的情况下，计算相当精确的CO₂排放量。另外，通过至少区分从外部提供的电力、由第一发电设备129生成的电力与第二发电设备130所生成的电力，可以计算出比使用总电力消费时更精确的CO₂排放量。在很多情况下，根据CO₂排放量来确定税金(诸如，碳税)和记账。从而，认为能够准确计算CO₂排放量增加了用户间的公平感，并且有助于广泛使用基于可再生能源的发电装置。

显示信息生成单元1124

如图9中所示，显示信息生成单元1124通过调节与局部电力管理系统1内的机器、设备等相关的信息、与电力相关的信息、与环境相关的信息、与电力交易相关的信息、与信息分析单元1123的分析结果或估计结果相关的信息等的格式，来生成将被显示在显示单元116上的显示信息。例如，显示信息生成单元1124生成用于以图表格式显示表示电力量的信息的显示信息，或者生成用于以表格形式显示市场数据的显示信息。而且，显示信息生成单元1124生成用于显示多种类型信息或输入信息的图形用户界面(GUI)。由显示信息生成单元1124生成的多段显示信息被显示在显示单元116上。

系统管理单元1125

如图9所示，例如，系统管理单元1125执行固件(其为用于控制电力管理设备11的基本操作的程序)版本的管理/更新，限制到其的访问，并且采取防病毒措施。而且，在多个电力管理设备11安装在局部电力管理系统1中的情况下，系统管理单元1125与另一电力管理设备11交换信息，并且执行控制，使得多个电力管理设备11相互协同操作。例如，系统管理单元1125管理每个电力管理设备11的属性(例如，对机器、设备等的控制处理的优先级排序)。而且，系统管理单元1125执行与参与协同操作或从协同操作退出相关的每个电力管理设备11的状态控制。

以上，描述了电力管理设备11的功能配置。另外，在此描述的电力管理设备11的功能配置仅为一个示例，在需要时，可以增加除以上之外的功能。

(1-3)显示在显示单元上的内容

接下来，将参考图10至图13更加具体地描述显示在显示单元上的内容。图10至图13是用于说明显示在显示单元上的内容的示意图。

如先前所述，多种信息被显示在电力管理设备11的显示单元116上。例如，如图10所示，已经注册在电力管理设备11中的机器列表与每个机器的电力消费一起被显示在电力管理设备11的显示单元上。在此，电力消费可以被显示为数值，或者如图10所示，例如，显示为柱状图的形式。对于设备，诸如插座扩展设备(多个机器可以通过选择显示器上的“插座扩展设备”区域连接到插座扩展设备)，可以掌握连接至插座扩展设备的各个机器的电力消费。

如图11所示，显示单元116还可以显示连接至电力管理设备11的机器的认证状态。通过显示这种信息，电力管理设备11的用户可以容易地区分哪个机器已经被认证，其可以增加用户维护的效率。

另外，如图12所示，用于每个使用位置的电力消费和记账金额的列表可以被显示在显示单元116上。通过显示这种信息，例如，用户可以容易地掌握备用电力是否被不必要地消费了。

如图13所示，在显示单元116上显示电力消费时，还可以区分已经使用的电力的类型(即，电力是在系统外部使用的电力还是在系统内使用的电力)。

(1-4)隐藏电力消费模式

在此，将参考图14至图18描述隐藏电力消费模式的方法。

被管理块12的电力消费模式反映用户的生活风格模式。作为一个示例，在图14中所示的电力消费模式中，峰值在整天都出现。从该电力消费模式可以明白，用户整天都在家。而且，由于消费峰值大多数在约0:00(午夜)消失，可以明白，用户在午夜左右上床睡觉。同时，在图15中所示的电力消费模式中，虽然大峰值出现在约7:00和在21:00，但只有很少峰值出现在一天的其他时间。该电力消费模式暗示，用户约7:00离开家，并且直到接近21:00都不在。

这样，电力消费模式反映用户的生活模式。如果这种电力消费模式被恶意第三方知悉，则这样的第三方可以滥用电力消费模式。作为示例，第三方可以尝试在用户不在时进入用户的家里，当用户在家时进行高压销售访问，或者当用户睡觉时进行抢劫。

为此原因，必须严格管理关于电力消费的信息，或者提供隐藏电力消费模式的配置。如先前所述，通过由电力供应者管理的电力信息收集设备4收集与电力供应者系统5提供的电力量相关的信息。这意味着，关于被管理块12的电力消费的时序模式将暴露给至少一个电力供应者。

为此原因，在以上措施中，优选提供用于隐藏电力消费模式的配置，以防止用户的生活风格模式被第三方发现。隐藏电力消费模式的一种方式是，在由电力供应者系统5提供的电力量的时序模式与用户的生活风格模式之间创建差异。例如，电力供应者系统5可以在用户不在家时供电，或者局部系统可以在用户在家时停止接收来自电力供应者系统5的电力。

使用电力存储设备128实现这种措施。例如，可以将用户不在家时从电力供应者系统5接收的所提供电力存储在电力存储设备128中，并且当用户在家时，使用存储在电力存储设备128中的电力，以抑制从电力供应者系统5提供的电力量。为了进一步增加安全性，优选执行对电力存储设备128的充电/放电控制，以使电力消费模式变为指定模式，从而尽量根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。

平均化

如图16所示，一个可能示例是执行电力存储设备128的充电/放电控制以使电力消费恒定的方法。为了使电力消费为恒定值，可以在电力消费低于恒定值时，增加存储在电力存储设备128中的电力，并且可以在电力消费高于恒定值时，增加电力存储设备128的放电。这种控制由电力管理设备11执行。除了电力存储设备128的充电/放电控制之外，可以在电力消费者之间交易电力，和/或使用电动交通工具124等的蓄电池执行充电/放电控制。这样，通过使电力消费恒定，可以根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。结果，可以根除由于电力消费模式的滥用导致的用户遭受犯罪行为的危险。

复杂化

注意，只要电力消费模式和生活风格模式之间存在差异，就不必将电力消费设定为恒定值。为了使电力消费为恒定值，需要具有足够容量以吸收电力消费中的峰值的电力存储设备128。然而，具有这种大容量的电力存储设备128很贵，并且仅仅为了隐藏电力消费模式而在普通家庭中提供这种设备不太现实。为此原因，优选使用小容量的电力存储设备128在电力消费模式和生活风格模式之间创建差异的方法。如图17所示，这种方法的一个可能示例使电力消费模式变复杂(即，增加电力消费模式的复杂性)。

以下描述使电力消费模式变复杂以在模式各处生成相对小的峰值和波谷的一种可能方法。虽然大容量电力存储设备128会是将大峰值抑制为接近平均值所必须的，但是可以使用容量小很多的存储设备生成和移动相对小的峰值。虽然可以使以一天为单位的电力消费模式变复杂，还可以有效地使电力消费模式变复杂，以生成每天的不同电力消费模式和/或根除基于星期几或日期的循环。使事件的定时(诸如，尤其容易被滥用的外出、回家、上床睡觉、起床)变复杂的设备也能够在不使电力存储设备128的充电/放电控制过度复杂的情况下，充分抑制欺骗行为。

模式化

而且，如图18所示，还可以想到控制电力消费模式以使邻近的平均模式基本匹配的方法。基于其他人的生活风格模式获得邻近的平均模式。这意味着，必须进行少量电力控制，以使特定用户的电力消费模式与邻近的平均模式匹配。与当电力消费被控制变为恒定值时相比，应该可以使用低容量的电力存储设备128隐藏具体用户的生活风格模式。当这样控制电力消费时，在邻近的电力管理设备11之间交换电力信息。使用信息分析单元1123的功能或分析服务器34的功能计算邻近的平均模式。基于所计算出的平均模式，对电力存储设备128执行充电/放电控制。

(1-5)由电力管理设备进行的多种控制

现在将参考图19简单地描述上述局部电力管理系统1的电力管理设备11执行的多种控制操作。图19是用于说明由电力管理设备进行的多种控制的概述的示意图。

电力管理设备11执行对将被管理的配电设备121、受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的控制，如图19所示。即，电力管理设备11对将被管理的机器执行多种控制操作，诸如，电力存储控制、平均化控制、交易控制、供电切换控制、异常切换控制、恢复控制、认证/注册控制、信息收集/信息处理控制、外部访问控制、以及服务链接控制。在这种控制中，充电控制是关于电力使用和存储的控制，诸如，在白天使用被管理块内的多种类型的发电设备生成的电力，以及在夜晚使用外部电力。

如图19所示，电力管理设备11通过参考与电力资源相关的信息、与优先级排序相关的信息、与控制条件(参数)相关的信息等，执行这种控制。

如图19所示，例如，与电力资源相关的信息是与电力管理设备11所属的局部电力管理系统1能够使用的电力资源相关的信息。如图19所示，这种电力资源可以粗略地被分类为外部电力和家庭电力(或“系统内部电力”)。外部电力是从局部电力管理系统1外部提供的电力，并且一个示例可以为从供电公司等提供的标准电力。系统内部电力是局部电力管理系统1内管理的电力，示例可以为存储在电力存储设备中的电力，由发电设备生成的电力，存储在电动交通工具中的电力，以及存储在蓄电池模块中的电力。注意，此处的表达“存储在电力存储设备中的电力”不仅指存储在所谓的专用电力存储设备中的电力，还包括在能够由电力管理设备11(诸如，计算机、家用电器、或移动电话)控制的设备中设置的蓄电池等中存储的电力。电力管理设备11还能够使用这种信息来存储表示哪个电力资源提供了被存储在电力存储设备中的电力的信息。

如图19所示，例如，与优先级排序相关的信息是设定供电的优先级排序的信息。如果停止给用于给食物和饮料保鲜的冰箱或者维护系统安全的安全相关机器供电，或者如果用于照明或控制机器的电力停止，则变得很难实现这种功能，其可能不利地影响用户。从而，电力管理设备11能够提供不受限制的电力给这种机器，以保证维持这种功能。电力管理设备11还能够通过适当地对优先级排序被设置为“电力节省模式(POWER SAVING MODE)”的机器(诸如，电视或空调)的供电进行控制来抑制电力使用。电力管理设备11还能够设定“关机(POWER OFF)”优先级排序，一个示例是能够实现控制以使得充电器正常关机。注意，图19中所示的优先级排序仅是示例，电力管理设备11中设置的优先级排序不限于图19中所示的示例。

如图19所示，例如，与控制条件相关的信息是设定电力管理设备11的控制条件的信息。作为一个示例，这种控制条件可以被粗略地分为，例如，与电力的使用环境相关的条件、与电力的使用时段相关的条件、与电力使用模式相关的条件、以及与异常相关的条件。如图19所示，可以为各个条件设置更详细的条件项。注意，图19中所示的控制条件仅是示例，并且电力管理设备11中设置的控制条件不限于图19中所示的示例。

基于这种信息，电力管理设备11实现对系统1中的各个机器的控制，如图19所示。通过这样，电力管理设备11能够执行对被管理的各个机器的充电控制，控制机器的操作、以及更新器件的固件。例如，电力管理设备11能够执行诸如“在XX点钟启动饭煲的功能”的控制。还可以将这种控制链接至电力估计功能(其是设置在电力管理设备11中的另一功能)，以及在电力便宜的时区内启动多个功能。电力管理设备11还能够与设置在系统1外部的服务器协同操作，以给用户提供多种服务。例如，外部设置的服务器能够使用由电力管理设备11输出的输出信息来提供服务等，使得可以容易地检查分开住的家庭成员是否具有正常电力使用状态(即，这种家庭成员正常生活，没有健康问题)。

这种控制不仅能够由电力管理设备11实现，还能够由例如设置在电力管理系统1中的受控制插座123、插座扩展设备127等实现。

为了实现这种控制，电力管理设备11存储信息，诸如图20中所示的信息，并且还将这种信息注册在系统1外部设置的系统管理服务器33中。图20是用于说明由电力管理设备11管理的多种信息的示意图。

如图20所示，电力管理设备11存储诸如指派给设备的标识号(ID)的信息，与制造商、型号等相关的信息，在系统中的注册日期、以及情况。另外，电力管理设备11存储诸如用户名、地址、电话号码、记账信息(与账户等相关的信息)、以及拥有电力管理设备11的用户的紧急联系方式等信息。电力管理设备11还存储与被指派给系统1中存在的配电设备121的ID、制造商名称、型号、注册日期、情况等相关的信息。另外，电力管理设备11存储与被指派给系统1中存在的多种类型受控制机器125的ID、制造商名称、型号、注册日期、情况等相关的信息。

通过存储这种信息，电力管理设备11可以将获取多种信息的请求和/或提供多种服务的请求发送给设置在系统1外部的服务器。例如，电力管理设备11能够参考用于特定受控制机器125的制造商信息，访问由该制造商管理的服务器，以及从被访问的服务器获取与受控制机器125相关的多种信息。

注意，除了能够由电力管理设备11控制的受控制机器125(即，配电设备121、受控制插座123、电动交通工具124、插座扩展设备127、电力存储设备128、以及发电设备129、130)之外，还存在不受控制机器和/或不受控制插座(为不能被控制的设备)设置在局部电力管理系统1中的情况。为此原因，电力管理设备11根据什么类型的设备(受控制机器或不受控制机器)连接至什么类型的插座(受控制插座或不受控制插座)来选择交换信息的方法、控制供电的方法等。注意，如下所述，除非特别说明，措辞“受控制机器125”还包括可以被控制的机器类型，诸如受控制插座123、电动交通工具124、插座扩展设备127、电力存储设备128等。

图21是用于说明根据插座的类型和被连接机器的类型设置的通信装置、认证装置、以及供电控制的组合的示意图。从图21可以清楚地看出，一种类型的插座以及连接至这种插座的一种类型的被连接机器的组合可以粗略地被划分为四种模式。

当受控制机器125连接至受控制插座123时，电力管理设备11能够与受控制插座123和受控制机器125通信并对其进行控制。从而，当被连接机器将电力信息发送至电力管理设备11时，例如，被连接机器(即，受控制机器125)可以使用ZigBee将电力信息发送至电力管理设备11。受控制插座123可以使用例如，ZigBee或PLC，将电力信息发送至电力管理设备11。此外，在对被连接机器进行认证期间，被连接机器(受控制机器125)能够使用例如，ZigBee，执行与电力管理设备11的认证。关于对给被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。在一些情况下，受控制插座123还可以执行对给被连接机器供电的有限控制。

当不受控制机器126连接至受控制插座123时，被连接机器可能不能向电力管理设备11执行认证处理。这意味着，在这种情况下，被连接机器和电力管理设备11无法执行机器认证。在这种情况下的电力信息传输可以经由例如ZigBee或PLC，由不受控制机器126连接至的受控制插座123来执行。关于对给被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。而且，在一些情况下，受控制插座123可以对给被连接机器供电执行有限控制。

当受控制机器125连接至不受控制插座时，被连接机器可以使用例如ZigBee，来向电力管理设备11执行机器认证处理，并且将电力信息发送至电力管理设备11。而且，关于对给被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。

当不受控制机器126连接至不受控制插座时，被连接机器不能向电力管理设备11执行机器认证处理或者将电力信息发送至电力管理设备11。而且，由于不能控制对被连接机器的供电，电力管理设备11不断地给被连接机器供电。

(1-6)机器管理单元的配置

对上述机器的控制基于由设置在电力管理设备11中的信息管理单元112获得的多种信息来执行。现在将参考图22详细地描述设置在电力管理设备11的信息管理单元112中的机器管理单元1121的具体配置。图22是示出根据本实施例的机器管理单元1121的配置的框图。

机器管理单元1121主要包括：密钥生成单元1501、系统注册单元1503、被管理机器注册单元1505、被管理机器信息获取单元1507、被管理机器信息输出单元1509、被排除机器指定单元1511、信息篡改检测单元1513、以及电力使用证书管理单元1515。

作为一个示例，密钥生成单元1501可以由CPU(中央处理单元)、ROM(只读存储器)、RAM(随机存取存储器)等实现。密钥生成单元1501生成在局部电力管理系统1中使用的多种类型密钥(诸如，公钥、秘密密钥、或公用密钥)、以及用于在局部电力管理系统1和设置在系统1外部的设备之间进行通信的多种类型密钥(诸如，公钥、秘密密钥、或公用密钥)。密钥生成单元1501使用已经由例如系统管理服务器33或证书授权服务器35披露的公开参数，来生成当生成这种密钥时使用的多种参数或生成密钥本身。密钥生成单元1501将所生成的参数或密钥安全地存储在存储单元113等中。

根据来自系统注册单元1503或被管理机器注册单元1505的请求，来实现由密钥生成单元1501执行的密钥生成处理，随后描述。一旦密钥生成处理结束，密钥生成单元1501就可以将所生成的密钥等输出至作出请求的处理单元(系统注册单元1503或被管理机器注册单元1505)。密钥生成单元1501可以向作出请求的处理单元(系统注册单元1503或被管理机器注册单元1505)通知密钥生成处理结束，使得处理单元然后可以从特定位置(例如，存储单元113)获取所生成的密钥等。

密钥生成单元1501执行密钥生成处理时的协议不限于指定协议，并且例如，可以使用在局部电力管理系统1内设置的或者由与服务器达成的协议决定的协议。

系统注册单元1503由例如CPU、ROM、RAM等实现。系统注册单元1503是执行经由广域通信单元114将电力管理设备11本身注册在管理局部电力管理系统1的系统管理服务器33中的处理的处理单元。

系统注册单元1503首先经由广域通信单元114连接至系统管理服务器33，并且实现与系统管理服务器33的具体认证处理。接下来，系统注册单元1503将指定注册信息发送至系统管理服务器33，以将电力管理设备11本身注册在系统管理服务器33中。

系统注册单元1503发送至系统管理服务器33的注册信息的一个示例是图20中所示的信息。

随后将详细地描述由系统注册单元1503实现的注册处理的具体示例。

被管理机器注册单元1505由例如CPU、ROM、RAM等实现。被管理机器注册单元1505与能够经由局部通信单元111进行通信的受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127、电力存储设备128、发电设备129、130等执行通信，并且将建立了通信的机器注册为被管理机器。当这种受控制设备连接至电源插座(受控制插座123、插座扩展设备127、不受控制插座)和/或被接通时，被管理机器注册单元1505向这种设备执行指定认证处理，并且在认证之后执行指定注册处理。

被管理机器注册单元1505从受控制设备获取该设备特有的标识号(机器ID)、制造商名称、型号、电力使用、被连接插座的ID等作为注册信息。被管理机器注册单元1505将所获取的注册信息注册在存储单元113等中所存储的数据库中。被管理机器注册单元1505还经由广域通信单元114将所获取的注册信息发送至系统管理服务器33，以将该信息注册在系统管理服务器33中。

随后将更详细地描述被管理机器注册单元1505的详细配置。随后还将详细地描述由被管理机器注册单元1505执行的注册处理的具体示例。

被管理机器信息获取单元1507由例如CPU、ROM、RAM等实现。被管理机器信息获取单元1507经由局部通信单元111从注册在电力管理设备11中的被管理机器获取多种信息。如图8所示，例如，表示机器的操作状态的信息、表示机器的使用状态的信息、环境信息、电力信息等都可以被给定为从被管理机器获取的信息的示例。被管理机器信息获取单元1507还能够从被管理机器获取除了上述信息之外的多种信息。

被管理机器信息获取单元1507还能够将从被管理机器获取的多种信息转发至被管理机器信息输出单元1509和被排除机器指定单元1511，将在随后描述。如果机器管理单元1121包括信息篡改检测单元1513，则被管理机器信息获取单元1507可以将从被管理机器获取的多种信息转发至信息篡改检测单元1513。

被管理机器信息输出单元1509由例如CPU、ROM、RAM等实现。被管理机器信息输出单元1509将被管理机器信息获取单元1507从被管理机器获取的多种信息输出至电力管理设备11的指定处理单元，和/或经由广域通信单元114将该信息输出至设置在电力管理设备11外部的设备。而且，如随后所描述的，如果被管理机器将用于检测信息是否已经被篡改的数据嵌入到该信息中，则当嵌入有该数据的这种信息被转发至分析服务器34时，被管理机器信息输出单元1509用作中介。

被排除机器指定单元1511由例如CPU、ROM、RAM等实现。被排除机器指定单元1511基于由被管理机器信息获取单元1507从被管理机器获取的多种信息，指定将从局部电力管理系统1排除的被管理机器。可以基于已经获取的多种信息来决定被排除机器，或者可以基于无能力获取正常可用的信息来决定被排除机器。指定被排除机器的方法不限于具体方法，并且可以使用任意方法。

信息篡改检测单元1513由例如CPU、ROM、RAM等实现。如果用于检测信息是否已经被篡改的数据被嵌入到由被管理机器信息获取单元1507从被管理机器获取的信息中，则信息篡改检测单元1513验证这种数据并且检测该信息是否已经被篡改。可以给出电子水印，作为信息中所嵌入的这种数据的一个示例。

在检测到该信息已经被篡改时，信息篡改检测单元1513可以向被排除机器指定单元1511通知这种结果。通过这样做，被排除机器指定单元1511变得能够从系统1中排除信息已被篡改的机器。

随后将描述由信息篡改检测单元1513执行的篡改检测处理。

电力使用证书管理单元1515由例如CPU、ROM、RAM等实现。在包括电力管理设备11的局部电力管理系统1中，在一些情况下，电力可以被提供给不属于系统1的受控制机器125等。为了这样，如下所述，受控制机器125等从接收供电的系统1外部，将电力使用证书发布至对接收供电的系统进行管理的电力管理设备11。电力使用证书是具有特定格式的证书，表示是否已经接收供电。电力使用证书管理单元1515管理所发布的电力使用证书，并且验证所发布的电力使用证书是否为官方证书。当所发布的电力使用证书为官方证书时，电力使用证书管理单元1515能够使用电力使用证书对与所提供电力相关的记账执行控制。

随后将详细地描述由电力使用证书管理单元1515执行的处理。

被管理机器注册单元的配置

接下来，将参考图23详细地描述被管理机器注册单元1505的配置。图23是用于说明被管理机器注册单元1505的配置的框图。

如图23所示，被管理机器注册单元1505包括被管理机器认证单元1551、签名生成单元1553、以及签名验证单元1555。

被管理机器认证单元1551由例如CPU、ROM、RAM等实现。如果未被注册在由电力管理设备11管理的局部电力管理系统1中的受控制机器125等被连接，则被管理机器认证单元1551使用由密钥生成单元1501生成的密钥等来认证未被注册的受控制机器125等。该认证处理可以为使用公钥的公钥认证处理，或者可以为使用公用密钥的公用密钥认证处理。通过与随后描述的签名生成单元1553和签名验证单元1555协作，被管理机器认证单元1551执行对被管理机器的认证处理和注册处理。

签名生成单元1553由例如CPU、ROM、RAM等实现。签名生成单元1553使用由密钥生成单元1501生成的密钥等来针对执行认证处理的受控制机器125等生成特定签名(数字签名)和/或证书。签名生成单元1553将与所生成的签名和/或证书相关的信息注册在存储单元113等中所存储的数据库中，并且将所生成的签名和/或证书经由局部通信单元111发送至执行认证处理的受控制机器125等。

签名验证单元1555由例如CPU、ROM、RAM等实现。签名验证单元1555使用由密钥生成单元1501生成的密钥等，验证由执行验证处理的受控制机器125等发送至电力管理设备11的签名(数字签名)和/或证书。如果签名和/或证书的验证成功，则签名验证单元1555将与验证成功的签名和/或证书相关的信息注册在存储单元113等中存储的数据库中。如果签名和/或证书的验证失败，则签名验证单元1555可以取消认证处理。

随后将描述由被管理机器注册单元1505、被管理机器认证单元1551、签名生成单元1553、以及签名验证单元1555协同对被管理机器执行认证处理和注册处理的具体示例。

信息篡改检测单元的配置

接下来，将参考图24详细地描述信息篡改检测单元1513的配置。图24是用于说明信息篡改检测单元1513的配置的框图。

如图24所示，信息篡改检测单元1513还包括嵌入位置指定单元1561、电子水印提取单元1563、以及电子水印验证单元1565。

通过根据本实施例的局部电力管理系统1，可以将适于以下信息的电子水印数据嵌入到诸如电流、电压、温度、以及湿度的物理数据中，或者嵌入到使用这种物理数据计算出的多种信息中。通过验证电子水印数据，局部电力管理系统1中的设备和能够与局部电力管理系统1双向通信的多种类型服务器能够检测物理数据(在下文中物理数据包括使用物理数据计算出的多种信息)是否已被篡改。

嵌入位置指定单元1561由例如CPU、ROM、RAM等实现。通过对已经使用预定信号处理电路嵌入有电子水印的物理数据进行分析，嵌入位置指定单元1561根据与数据对应的信号的特征，指定电子水印信息的嵌入位置。当指定电子水印信息的嵌入位置时，嵌入位置指定单元1561向电子水印提取单元1563通知与指定的嵌入位置相关的信息。注意，如果在受控制机器125等与电力管理设备11之间预先确定电子水印的嵌入位置，则不必执行对嵌入位置的指定处理。

电子水印提取单元1563由例如CPU、ROM、RAM等实现。电子水印提取单元1563基于与嵌入位置指定单元1561所提供的嵌入位置相关的信息，从物理数据提取电子水印信息。电子水印提取单元1563将从物理数据提取的电子水印转发至电子水印验证单元1565，随后描述。

电子水印验证单元1565由例如CPU、ROM、RAM等实现。电子水印验证单元1565首先基于与受控制机器125等共享的共享信息以及由电子水印提取单元1563提取的物理数据生成电子水印信息。为了生成电子水印信息，使用散列函数、伪随机数发生器、公钥加密、公用密钥加密、或另一加密原语(例如，消息认证码(MAC))等。此后，电子水印验证单元1565将所生成的电子水印信息与电子水印提取单元1563所提取的电子水印信息进行比较。

如果所生成的电子水印信息与所提取的电子水印信息相同，则电子水印验证单元1565判定由受控制机器125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息与所提取的电子水印信息不同，则电子水印验证单元1565判定物理数据已经被篡改。

如果物理数据已被篡改，则电子水印验证单元1565通知被排除机器指定单元1511。通过这样做，被排除机器指定单元1511能够从局部电力管理系统1中排除操作可能已经被修改的受控制机器125等。

以上完成了机器管理单元1121的配置的详细描述。

(1-7)信息分析单元的配置

接下来，将详细地描述信息分析单元1123的配置。图25是用于说明信息分析单元的配置的框图。

信息分析单元1123是生成次级信息的处理单元(诸如图8所示的信息分析单元)，次级信息是多种数据的分析结果并且是基于由机器管理单元1121获取或生成的信息。如图25所示，例如，信息分析单元1123包括机器状态判定单元1601和电力状态判定单元1603。

机器状态判定单元1601由例如CPU、ROM、RAM等实现。基于由机器管理单元1121获取的多种被管理机器信息，机器状态判定单元1601判定各个被管理机器的机器状态。当作为判定的结果，被管理机器的状态被判定为异常时，机器状态判定单元1601经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理机器。

电力状态判定单元1603由例如CPU、ROM、RAM等实现。电力状态判定单元1603基于由机器管理单元1121从多个设备获取的电力信息，来判定其电力状态由电力管理设备11管理的局部电力管理系统1中的电力状态。当作为判定结果，被管理机器的状态被判定为异常时，电力状态判定单元1603经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理机器。

以上完成了根据本实施例的电力管理设备11的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平适当地改变所使用的配置。

注意，用于实现根据以上实施例的电力管理设备的功能的计算机程序可以被创建并安装在个体计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-8)受控制机器的配置

接下来，将参考图26详细地描述根据本实施例的受控制机器的配置。图26是用于说明根据本实施例的受控制机器的配置的框图。

如图26所示，受控制机器125主要包括控制单元2001、传感器2003、蓄电池2005、功能提供单元2007、局部通信单元2009、输入单元2011、显示单元2013、存储单元2015等。

控制单元2001由例如CPU、ROM、RAM等实现。控制单元2001是执行对设置在受控制机器125中的处理单元的执行控制的处理单元。如先前所述，控制单元2001还将与受控制机器125相关的初级信息等发送至电力管理设备11。另外，当已经从暂时注册了受控制机器125的电力管理设备接收到供电时，控制单元2001生成电力使用证书，如随后所述。注意，随后将描述控制单元2001的配置。

传感器2003由监控蓄电池状态的电流传感器或电压传感器或者监控受控制机器125的安装位置处的周围环境的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于由控制单元2001的控制，传感器2003以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2001。

蓄电池2005是设置在受控制机器125中的电力存储设备，由一个或多个电池(cell)构成，并且提供受控制机器125操作所必须的电力。电力由外部电力或存在于系统1中的发电设备129、130提供给蓄电池2005并且被存储在蓄电池2005中。蓄电池2005由控制单元2001控制，并且以指定时间间隔或任意定时将多种物理数据作为蓄电池信息输出至控制单元2001。

注意，虽然图26示出了受控制机器125装配有蓄电池2005的示例，但是根据受控制机器125的类型，可以使用不设置蓄电池2005并且直接给受控制机器125提供电力的配置。

功能提供单元2007由例如CPU、ROM、RAM、以及多种器件等实现。功能提供单元2007是实现由受控制机器125提供给用户的指定功能(例如，做饭功能、制冷功能、或记录和执行多种内容的功能)的处理单元。功能提供单元2007基于控制单元2001的控制向用户提供这种功能。

局部通信单元2009由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2009是用于经由局部电力管理系统1内构建的通信网络进行通信的通信设备。局部通信单元2009能够经由局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

输入单元2011由例如CPU、ROM、RAM、以及输入器件等实现。输入单元2011是使用户能够输入信息的输入机器。注意，作为示例，键盘、按钮等被用作输入单元2011。还可以结合随后描述的显示单元2013和输入单元2011，以构建触摸面板。

显示单元2013由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2013是如下的显示器件：该显示器件用于显示与受控制机器125的电力消费相关的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等。注意，作为示例，LCD、ELD等被用作显示器件。

存储单元2015是设置在受控制机器125内的存储设备的一个示例。存储单元2015存储受控制机器125特有的标识信息、与受控制机器125所保存的多种密钥相关的信息、由受控制机器125保存的多种数字签名和/证书等。多种历史信息也可以记录在存储单元2015中。另外，当根据本实施例的受控制机器125执行处理时应该被存储的处理的多种参数和中间进展或多种数据库等，被适当地记录在存储单元2015中。受控制机器125的多种处理单元还能够自由地对存储单元2015进行读取和写入。

控制单元的配置-部分1

以上完成了根据本实施例的受控制机器125的总体配置的描述。现在将参考图27详细地描述受控制机器125的控制单元2001的配置。

如图27所示，受控制机器125的控制单元2001包括：认证处理单元2021、传感器控制单元2023、传感器信息输出单元2025、蓄电池控制单元2027、以及蓄电池信息输出单元2029。

认证处理单元2021由例如CPU、ROM、RAM等实现。认证处理单元2021与电力管理设备11一起基于指定协议执行认证处理，并且还执行将受控制机器125注册在电力管理设备11中的处理。当与电力管理设备11执行处理时，认证处理单元2021能够使用存储在存储单元2015等中的多种密钥、当制造受控制机器125时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2021执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2023由例如CPU、ROM、RAM等实现。传感器控制单元2023是对设置在受控制机器125中的传感器2003进行控制的处理单元。传感器控制单元2023根据指定方法执行对传感器2003的控制，以指定时间间隔或在任意定时获取由传感器2003测量的物理数据，并且将物理数据输出至随后描述的传感器信息输出单元2025。

传感器信息输出单元2025由例如CPU、ROM、RAM等实现。传感器信息输出单元2025经由局部通信单元2009将从传感器控制单元2023输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2025还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2025可以使用从传感器控制单元2023获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

蓄电池控制单元2027由例如CPU、ROM、RAM等实现。蓄电池控制单元2027是对设置在受控制机器125中的蓄电池2005进行控制的处理单元。蓄电池控制单元2027使用存储在蓄电池2005中的电力以使受控制机器125起作用，并且根据状态，将存储在蓄电池2005中的电力提供至受控制机器125的外部。蓄电池控制单元2027根据指定方法执行对蓄电池2005的控制，以指定时间间隔或在任意定时获取由蓄电池2005测量的物理数据，并将物理数据输出至随后描述的蓄电池信息输出单元2029。

蓄电池信息输出单元2029由例如CPU、ROM、RAM等实现。蓄电池信息输出单元2029经由局部通信单元2009将从蓄电池控制单元2027输出的蓄电池信息输出至电力管理设备11。当输出蓄电池信息时，蓄电池信息输出单元2029还可以实现预处理，诸如降噪处理和数字化处理。蓄电池信息输出单元2029还可以使用从蓄电池控制单元2027获取的信息来生成多种次级信息，并且将次级信息作为蓄电池信息输出。

控制单元的配置-部分2

受控制机器125的控制单元2001可以具有以下描述的配置，代替图27中所示的配置。现在将参考图28详细地描述设置在受控制机器125中的控制单元2001的另一种配置。

如图28所示，受控制机器125的控制单元2001可以包括：认证处理单元2021、传感器控制单元2023、蓄电池控制单元2027、以及篡改检测信息生成单元2031。

由于图28中所示的认证处理单元2021具有与图27中所示的认证处理单元2021相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器信息和蓄电池信息输出至篡改检测信息生成单元2031之外，图28中所示的传感器控制单元2023和蓄电池控制单元2027具有与图27中所示的相应处理单元相同的配置并且实现相同的效果。从而，省略其详细描述。

篡改检测信息生成单元2031由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2031基于从传感器控制单元2023输出的传感器信息和从蓄电池控制单元2027输出的蓄电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2031经由局部通信单元2009将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可以将由篡改检测信息生成单元2031生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器，诸如，分析服务器34。

篡改检测信息生成单元的配置

现在将参考图29描述篡改检测信息生成单元2031的详细配置。图29是用于说明篡改检测信息生成单元的配置的框图。

如图29所示，篡改检测信息生成单元2031进一步包括：机器特征信息生成单元2033、电子水印生成单元2035、嵌入位置决定单元2037、以及电子水印嵌入单元2039。

机器特征信息生成单元2033由例如CPU、ROM、RAM等实现。机器特征信息生成单元2033基于从传感器控制单元2023和蓄电池控制单元2027输出的传感器信息和蓄电池信息，来生成机器特征信息，机器特征信息是表征受控制机器125的特征量信息。机器特征信息生成单元2033可以使用传感器信息和蓄电池信息本身作为机器特征信息，或者可以将使用传感器信息和蓄电池信息来新生成的信息用作机器特征信息。机器特征信息生成单元2033将所生成的机器特征信息输出至随后描述的嵌入位置决定单元2037和电子水印嵌入单元2039。

注意，机器特征信息生成单元2033可以在生成机器特征信息之前，验证输入的传感器信息和蓄电池信息。在这种情况下，机器特征信息生成单元2033可以参考存储在存储单元2015等中的数据库等，来获取物理数据(诸如，传感器信息和蓄电池信息)的取值范围，并且判定所获得的物理数据是否出现在该范围内。而且，机器特征信息生成单元2033可以分析所获取的物理数据，并且确认受控制机器125没有呈现异常行为。如果机器特征信息生成单元2033通过执行这样的验证检测出异常行为或者物理数据的合法性被确认，则机器特征信息生成单元2033可以经由显示单元2013向用户通知这种状态。

电子水印生成单元2035由例如CPU、ROM、RAM等实现。电子水印生成单元2035使用在受控制机器125和电力管理设备11或外部服务器(诸如分析服务器34)之间被共享的共享信息(诸如与密钥信息和标识号相关的信息)，以生成将被用作篡改检测信息的电子水印信息。

作为示例，可以使用共享信息本身、基于共享信息生成的随机数串、使用受控制机器125特有的唯一值(例如标识信息)生成的信息等来生成由电子水印生成单元2035生成的电子水印信息。如果生成和嵌入电子水印信息或者嵌入电子水印信息本身的方法不被第三方所知，则可以通过使用利用这种信息所生成的电子水印信息来检测对信息的篡改。

还可以经由电力管理设备11将嵌入了由以下方法生成的电子水印信息的物理数据转发至诸如分析服务器34的外部服务器。同时，还存在用作中间设备的电力管理设备11被恶意第三方等接管的风险。在这种情况下，接管电力管理设备11的该第三方可能从事非法行为，诸如重新使用接管之前的篡改检测信息，以防止外部服务器的真正用户、管理者等注意到该接管。为此，除了以上描述的信息之外还通过使用时间信息定期地生成电子水印信息，电子水印生成单元2035能够检测诸如电力管理设备11以上述方式被接管的现象。

为了生成电子水印信息，电子水印生成单元2035能够使用多种技术，诸如散列函数、公钥加密、随机数发生器、公用密钥加密、另一加密原语(MAC)等。在这种情况下，被输出的电子水印信息的数据大小被设置为m个比特。

这样，根据本实施例的电子水印生成单元2035使用物理数据生成电子水印信息，并且不使用物理数据本身作为电子水印信息。

电子水印生成单元2035将所生成的电子水印信息输出至随后描述的电子水印嵌入单元2039。

嵌入位置决定单元2037由例如CPU、ROM、RAM等实现。嵌入位置决定单元2037分析从机器特征信息生成单元2033转发的机器特征信息，并且确定篡改检测信息在机器特征信息中的嵌入位置。更特别地，嵌入位置决定单元2037决定将机器特征信息中的具有等于或大于指定阈值的大值的区域、具有高离差的区域、与噪声区域对应的区域、当频域上的数据被处理时的高频域等作为嵌入位置。如果电子水印信息被嵌入到数据的某个区域(诸如具有高噪声的区域和具有高SN(信噪)比的区域)中，则对机器特征信息的总体趋势(例如，统计特性)基本没有影响。这意味着，通过使用这种区域作为电子水印信息的嵌入位置，不必独立于机器特征信息发送电子水印信息，并且甚至仅具有用于接收机器特征信息的功能的电力管理设备11都可以检测篡改。

嵌入位置决定单元2037将与所决定的嵌入位置相关的位置信息输出至随后描述的电子水印嵌入单元2039。注意，当预先决定电子水印信息的嵌入位置时，不需要执行该处理。

电子水印嵌入单元2039由例如CPU、ROM、RAM等实现。电子水印嵌入单元2039基于从嵌入位置决定单元2037接收的与嵌入位置相关的位置信息，将由电子水印生成单元2035生成的电子水印信息嵌入到机器特征信息生成单元2033所生成的机器特征信息中。通过这样做，生成嵌入有电子水印信息的机器特征信息。

电子水印嵌入单元2039可以再次对嵌入有电子水印信息的机器特征信息进行验证。通过执行这样的验证，在该信息包括超过机器特征信息的取值范围的值时，或者在异常行为被清楚地指示时，篡改检测信息生成单元2031可以重复嵌入电子水印信息的处理。而且，当嵌入尝试的次数等于或大于预定阈值时，电子水印嵌入单元2039可以经由显示单元2013通知用户。

注意，当时间信息被用于不仅验证信息是否被篡改，还验证电力管理设备11是否被接管时，这种时间信息可以被结合作为上述电子水印信息的一部分，或者这种时间信息可以独立于电子水印信息而被嵌入到机器特征信息中。

以上完成了根据本实施例的受控制机器125的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平，适当地改变所使用的配置。

例如，在图26中，示出蓄电池2005与受控制机器125整体地形成的情况，但是蓄电池还可以独立于受控制机器125形成。

而且，除了图26中所示的处理单元之外，受控制机器125可以进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力管理设备的功能的计算机程序可以被创建并安装在个体计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-9)电力存储设备的配置

接下来，将参考图30详细地描述根据本实施例的电力存储设备128的配置。图30是用于说明根据本实施例的电力存储设备的配置的框图。

如图30所示，电力存储设备128主要包括：控制单元2501、传感器2503、电池2505、局部通信单元2507、显示单元2509、存储单元2511等。

控制单元2501由例如CPU、ROM、RAM等实现。控制单元2501是执行对设置在受控制机器125中的处理单元的执行控制的处理单元。控制单元2501还将与受控制机器125相关的先前描述的初级信息等发送至电力管理设备11。而且，如果稍后描述的电池2505中出现诸如损坏的问题，则控制单元2501执行对电池的重新配置(电池配置的重新安排)。注意，随后将详细描述控制单元2501的配置。

传感器2503由对电池2505的状态进行监控的电流传感器或电压传感器或者对电力存储器件128的安装位置处的周围环境进行监控的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于控制单元2501进行的控制，传感器2503以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2501。

电池2505是设置在电力存储设备128中的电力存储机器，由一个或多个电池构成，并且给电力存储设备128以及设置在电力存储设备128外部的设备供电。电力由外部电力或存在于系统1中的发电设备129、130提供给电池2505并且被存储在电池2505中。电池2505由控制单元2501控制，并且以指定时间间隔或任意定时，将多种物理数据作为电池信息输出至控制单元2501。

局部通信单元2507由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2507是用于经由局部电力管理系统1内构建的通信网络进行通信的通信设备。局部通信单元2507能够经由局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

显示单元2509由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2509是如下的显示器件：用于显示与电力存储设备128的电力消费相关的信息、用户信息、记账信息、与电力管理相关的其他信息、与在局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等。注意，作为示例，LCD、ELD等被用作显示器件。

存储单元2511是设置在电力存储设备128内的存储设备的一个示例。存储单元2511存储电力存储设备128特有的标识信息、与电力存储设备128所保存的多种密钥相关的信息、由电力存储设备128保存的多种数字签名和/证书等。多种历史信息也可以被记录在存储单元2511中。另外，当根据本实施例的电力存储设备128执行处理时应该被存储的处理的多种参数和中间进展或多种数据库等，被适当地记录在存储单元2511中。电力存储设备128的多种处理单元还能够自由地对存储单元2511进行读写。

控制单元的配置-部分1

以上完成了根据本实施例的电力存储设备128的总体配置的描述。现在将参考图31详细地描述电力存储设备128的控制单元2501的配置。

如图31所示，电力存储设备128的控制单元2501包括：认证处理单元2521、传感器控制单元2523、传感器信息输出单元2525、电池控制单元2527、以及电池信息输出单元2529。

认证处理单元2521由例如CPU、ROM、RAM等实现。认证处理单元2521与电力管理设备11一起基于指定协议执行认证处理，并且还执行将电力存储设备128注册在电力管理设备11中的处理。当与电力管理设备11执行处理时，认证处理单元2521能够使用存储在存储单元2511等中的多种密钥、制造电力存储设备128时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2521执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2523由例如CPU、ROM、RAM等实现。传感器控制单元2523是控制设置在电力存储设备128中的传感器2503的处理单元。传感器控制单元2523根据指定方法执行对传感器2503的控制，以指定时间间隔或在任意定时，获取由传感器2503测量到的物理数据，并且将物理数据输出至随后描述的传感器信息输出单元2525。

传感器信息输出单元2525由例如CPU、ROM、RAM等实现。传感器信息输出单元2525经由局部通信单元2507将从传感器控制单元2523输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2525还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2525可以使用从传感器控制单元2523获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

电池控制单元2527由例如CPU、ROM、RAM等实现。电池控制单元2527是控制设置在电力存储设备128中的电池2505的处理单元。电池控制单元2527使用存储在电池2505中的电力以使电力存储设备128起作用，并且根据状态，将存储在电池2505中的电力提供至电力存储设备128的外部。电池控制单元2527根据指定方法执行对电池2505的控制，以指定时间间隔或在任意定时获取由电池2505测量的物理数据，并将物理数据输出至随后描述的电池信息输出单元2529。

电池信息输出单元2529由例如CPU、ROM、RAM等实现。电池信息输出单元2529经由局部通信单元2507将从电池控制单元2527输出的电池信息输出至电力管理设备11。当输出电池信息时，电池信息输出单元2529还可以实现预处理，诸如降噪处理和数字化处理。电池信息输出单元2529还可以使用从电池控制单元2527获取的信息来生成多种类型的次级信息，并且将这种信息作为电池信息输出。

控制单元的配置-部分2

电力存储设备128的控制单元2501可以具有以下描述的配置，代替图31中所示的配置。现在将参考图32详细地描述设置在电力存储设备128中的控制单元2501的另一种配置。

如图32所示，电力存储设备128的控制单元2501可以包括：认证处理单元2521、传感器控制单元2523、电池控制单元2527、以及篡改检测信息生成单元2531。

由于图32中所示的认证处理单元2521具有与图31中所示的认证处理单元2521相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器信息和电池信息输出至篡改检测信息生成单元2531之外，图32中所示的传感器控制单元2523和电池控制单元2527具有与图31中所示的相应处理单元相同的配置并且实现相同的效果。从而，省略其详细描述。

篡改检测信息生成单元2531由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2531基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2531经由局部通信单元2507将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可以将篡改检测信息生成单元2531所生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器(诸如分析服务器34)。

篡改检测信息生成单元的配置

现在将参考图33描述篡改检测信息生成单元2531的详细配置。图33是用于说明篡改检测信息生成单元的配置的框图。

如图33所示，篡改检测信息生成单元2531进一步包括：机器特征信息生成单元2533、电子水印生成单元2535、嵌入位置决定单元2537、以及电子水印嵌入单元2539。

除了基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息生成机器特征信息之外，机器特征信息生成单元2533具有与图29中所示的机器特征信息生成单元2033相同的功能并且实现相同的效果。从而，省略其详细描述。

而且，电子水印生成单元2535、嵌入位置决定单元2537以及电子水印嵌入单元2539具有与图29中所示的相应处理单元相同的功能并且实现相同的效果。从而，省略其详细描述。

以上完成了根据本实施例的电力存储设备128的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主导技术水平，适当地改变所使用的配置。

例如，除了图30中所示的处理单元之外，电力存储设备128可以进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力存储设备的功能的计算机程序可以被创建并安装在具有电力存储设备的个体计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-10)嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例

现在将详细地描述嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例。

在智能、网络化、以及数字化的局部电力管理系统1中，电力管理设备11与多种机器和蓄电池交流该系统中各个机器的电力使用，以最优化整个系统中的电力使用。通过这样做，电力管理设备11监控来自各个机器/蓄电池的传感器信息以及状态(诸如日期/时间、电价、温度、以及用户是在家还是外出)，并且根据这种状态执行控制，诸如设置操作模式和各个机器的最大电流。还可能受益于多种服务，诸如经由电力管理设备11从家庭外部进行控制，以制定由安全检查服务器支持的高度安全措施以及最优化。

当这样做时，由于可以从外部对机器和蓄电池进行访问，所以增加了安全威胁，诸如，发送至机器或蓄电池的异常操作命令，从另一电力管理设备发动的对家用电力管理设备或机器或蓄电池的攻击，DoS攻击，以及信息泄露。对这种威胁的可能对策包括：由电力管理设备11进行业务管理、防病毒措施、以及安装防火墙。为了对付未知攻击，假设用于机器或蓄电池的传感器信息和执行命令信息被发送至诸如分析服务器34的安全检查服务器，并且物理仿真或学习理论被用于估计危害程度和/或检测非法使用。

然而，由于这种对策以电力管理设备正常操作为前提，当电力管理设备11的控制功能受到外部攻击者危害时，这种防御将会无效。而且，由于制造和管理成本导致的机器和蓄电池很可能具有相对弱的防御性，在电力管理设备11的控制功能受到危害的情况下，可以想象，机器和蓄电池是无防御的。另外，虽然可以想到非法电力管理设备用作合法电力管理设备、篡改物理数据、并且将这种数据发送至安全检查服务器的攻击，但是由于对于服务来说很难区分非法电力管理设备和合法电力管理设备，所以很难检测这种攻击。由于与对计算机的传统攻击相比，对机器或蓄电池的攻击具有导致主要危害的更高风险，所以必须不仅给电力管理设备而且还要给机器和电池提供特定级别的安全功能。

为此，在本实施例中，如先前所描述的，可以将用于防止非法篡改的电子水印插入到从机器和蓄电池的传感器等获取的物理数据中。通过使用这种方法，甚至当物理数据在通信路径上被攻击者篡改时，仍可以检测到攻击。而且，甚至当电力管理设备的控制功能受到危害时，通过将包括时间信息的电子水印信息定期地发送至安全检查服务器，可以通过与服务的协作检测到控制功能已经受到危害。另外，通过使用电子水印信息，不必独立于物理数据而发送认证信息(诸如MAC)，这使得可以使用仅能够接收物理数据的电力管理设备。

现在将通过给出一个示例来更具体地描述嵌入电子水印信息的方法和验证电子水印信息的方法。注意，在以下说明中，假设电子水印信息被嵌入在特定时间获得的物理数据(机器特征信息)中。物理数据是由n个数据构成的时序数据，并且在时间k(其中，0≤k≤n-1)处的物理数据值被表示为X_k。在被从传感器等获取之后，在各时间处的物理数据值经过离散化，并且被设置为r比特数据。电子水印信息的数据大小被设置为m比特。

嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法

现在将通过给出具体示例来描述嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。

具体示例1

首先，将描述由受控制机器125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，从作为物理数据的机器特征信息等中选择具有大值的p个数据。此后，电子水印嵌入单元2039使用指定嵌入处理电路等，连续地将基于共享信息生成的电子水印信息按照时序顺序插入到从所选择的p个机器特征信息的最低有效位(LSB)开始数起的q(k)比特部分中。在此，q(k)为满足以下给定的条件的值。

表达式1

1≤q(k)≤r-1，0≤k≤p-1， $\underset{k=0}{\overset{p-1}{\mathrm{\Σ}}}q\left(k\right)=m$ (条件a)

在一些情况下，在电子水印信息被嵌入之后的所选择的p个机器特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值小于嵌入p个电子水印信息之后的机器特征信息中的最小值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述通过电力管理设备11的信息篡改检测单元或者安全检查服务器(诸如分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定信号处理电路等，来从作为物理数据的机器特征信息等中指定具有最大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息以及指定嵌入提取电路等，按照时序连续地提取从所选择的p个机器特征信息的LSB开始数起的q(k)个比特的值。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并将所生成的信息与电子水印提取单元提取的电子水印信息进行比较。

具体示例2

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，来执行由以下公式101表达的离散傅立叶变换或者由以下公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域的数据串(Y₀，Y₁，...，Y_n-1)。

表达式2

$y_j=\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k{e}^{-\frac{2\mathrm{\πi}}{n}\mathrm{jk}},$ j＝0，…，n-1...(公式101)

$y_j=\left\{\begin{array}{c}\frac{\sqrt{2}}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k(j=0)\\ \frac{2}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k\cos \frac{(2k+1)\mathrm{j\π}}{2n}(j\≠0)\end{array}\right.$ ...(公式102)

此后，嵌入位置决定单元2037从高频率中按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。在此，“q(k)”是满足以上给定条件的值。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如均匀地分配给实数和复数，或者优先地分配给大值。

接下来，电子水印嵌入单元2039使用指定的信号处理电路等，以使嵌入电子水印信息之后的频域数据经过由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将该数据恢复为时域中的数据串。

表达式3

$x_k=\frac{1}{n}\underset{j=0}{\overset{n-1}{\mathrm{\Σ}}}{y}_j{e}^{\frac{2\mathrm{\πi}}{n}\mathrm{jk}},$ k＝0，…，n-1    ...(公式103)

$x_k=\frac{1}{\sqrt{2}}{y}_0+\underset{j=1}{\overset{n-1}{\mathrm{\Σ}}}{y}_j\cos \frac{(2k+1)\mathrm{j\π}}{2n},$ k＝0，…，n-1

...(公式104)

接下来，将描述通过电力管理设备11的信息篡改检测单元或安全检查服务器(诸如分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频起按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，并且使用预定嵌入提取电路等连续地提取从所选择的p个机器特征信息的最低有效位LSB开始数起的q(k)比特值。然后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

具体示例3

首先，将描述由受控制机器125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的机器特征信息生成单元2033基于机器特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置决定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和小于指定阈值σ，并且所选的p-1个数据在满足这种条件的连续数据串中具有最大平方和。

此后，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息以时序顺序连续地插入从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的最低有效位LSB开始数起的q(k)比特部分。在此，“q(k)”是满足以上给定条件的值。

关于嵌入电子水印信息之后的p个所选择的机器特征信息的连续差值数据，可能存在总和不再小于阈值σ和/或平方和在满足这种条件的连续数据串中不再为最大者的情况。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得满足以上给定的条件(true)。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足以上条件为止。

接下来，将描述由电力管理设备11和安全检查服务器(诸如，分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成关于机器特征信息X_k的差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1个连续差值数据的总和小于预定阈值σ、并且平方和在满足这种条件的连续数据串中为最大的p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)。通过这样做，可以指定嵌入了电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定的嵌入提取电路等，来按照时序顺序连续地提取从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。接下来，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法

以上描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。接下来，将通过给出具体示例来描述嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法。

注意，由于使用共享信息和时间信息的电子水印信息还可以用于检测电力管理设备11是否被接管，因此，通过诸如分析服务器34的安全检查服务器来正常地执行这种信息的验证。

注意，当验证使用时间信息的电子水印信息时，诸如分析服务器34的安全检查服务器根据时间信息如何被嵌入来改变验证方法。即，如果时间信息与电子水印信息一起被嵌入，则嵌入的时间信息被提取并且在验证期间用于数据生成处理中。如果未嵌入时间信息，则使用预先决定的时间信息或者基于为机器特征信息估计的获取时间选择的多个时间信息，生成电子水印信息。

具体示例1

首先，将描述由受控制机器125执行的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的电子水印生成单元2035使用指定电路等，基于从n个机器特征信息(物理数据)的最高有效位(MSB)开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及在一些情况下的其他信息，生成用于每个机器特征信息的m比特电子水印信息。

此后，嵌入位置决定单元2037使用指定嵌入电路等，以将为每个机器特征信息生成的电子水印信息嵌入从机器特征信息的LSB开始的m比特部分。在这种情况下，整个电子水印信息的数据大小为nm比特。

接下来，将描述由安全检查服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

首先，信息篡改检测单元的电子水印提取单元使用指定嵌入提取电路，以提取从n个机器特征信息中的每个的LSB开始数起的m比特数据作为电子水印信息。接下来，电子水印验证单元基于从n个机器特征信息的MSB开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及由嵌入侧使用的数据，生成用于每个机器特征信息的m比特电子水印信息。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

注意，虽然在以上说明中描述了时域中的数据，还可以对频域数据使用相同的表达式，该频域数据是通过经由离散傅立叶逆变换或离散余弦变换来转换机器特征信息(诸如，物理数据)来生成的。

具体示例2

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，从作为物理数据的机器特征信息等中选择具有大值的p个数据。

此后，电子水印生成单元2035基于除了从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将所生成的电子水印信息按照时序顺序连续地插入从所选择的p个机器特征信息的LSB开始数起的q(k)比特部分中。

在一些情况下，嵌入电子水印信息之后的所选择的p个机器特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值低于嵌入p个电子水印信息之后机器特征信息的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到条件满足为止。

接下来，将描述由安全检测服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定的信号处理电路等，在作为物理数据的机器特征信息等中指定具有大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息和指定嵌入提取电路等，按照时序顺序连续地提取从所选择的p个机器特征信息的LSB开始数起的q(k)比特的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将电子水印提取单元所提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例3

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，来执行由以上公式101表达的离散傅立叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。

此后，嵌入位置决定单元2037从高频率中按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。

此后，电子水印生成单元2035基于除从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如，均匀地分配给实数和复数，或者优先地分配给大值。

接下来，电子水印嵌入单元2039使用指定的信号处理电路等，使嵌入电子水印信息之后的频域数据经过由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将数据恢复为时域中的数据串。

接下来，将描述通过安全服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频率中按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，使用预定嵌入提取电路等，连续地提取从所选择的p个机器特征信息的最低有效位LSB开始数起的q(k)比特值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例4

首先，将描述由受控制机器125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的机器特征信息生成单元2033基于机器特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置决定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和小于指定阈值σ，并且所选的p-1个数据在满足这种条件的连续数据串中具有最大平方和。

此后，电子水印生成单元2035基于除从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

关于嵌入电子水印信息之后的p个所选择的机器特征信息的连续差值数据，可能存在总和不再小于阈值σ和/或平方和在满足这种条件的连续数据串中不再为最大者的情况。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得满足以上给定的条件。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足以上条件为止。

接下来，将描述由电力管理设备11的信息篡改检测单元和安全检查服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成用于机器特征信息X_k的差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1连续差值数据的总和小于预定阈值σ并且平方和在满足这种条件的连续数据串中为最大的p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定嵌入提取电路等，按照时序顺序连续地提取从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

已经描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法，以及嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法，同时给出了具体示例。通过在根据本实施例的局部电力管理系统1中使用这种方法，可以检测诸如信息是否已被篡改和电力管理设备是否已被接管的现象。

注意，虽然在以上说明中描述了将电子水印信息嵌入具有大值的区域中的情况，还可以实现当电子水印信息被嵌入具有高离差的区域、噪声区域等中时的相同处理。

(1-11)注册电力管理设备的方法

接下来，将参考图34和图35按照处理流程的顺序描述由电力管理设备11实现的注册电力管理设备的方法。图34是用于说明根据本实施例的注册电力管理设备的方法的流程图。图35是用于说明根据本实施例的注册电力管理设备的方法的具体示例的流程图。

首先，将参考图34描述电力管理设备11的注册方法的总体流程。

电力管理设备11的机器管理单元1121首先连接设置在局部电力管理系统1中的配电设备121(步骤S1001)。更特别地，机器管理单元1121从配电设备121获取当制造配电设备121时存储在配电设备121中的数字签名、证书等，并且自动地或经由在线识别来识别配电设备121。根据用于受控制机器125等的识别处理和注册处理的流程，来执行用于配电设备121的识别处理和注册处理，随后描述。

此后，机器管理单元1121将询问用户待注册信息(被注册信息)的内容的消息显示在设置于电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册信息的内容(诸如，图20中所示的信息)输入至电力管理设备11中。通过这样做，机器管理单元1121能够获取注册信息(步骤S1003)。

接下来，机器管理单元1121经由广域通信单元114连接至系统管理服务器33，并且由系统管理服务器33执行认证(步骤S1005)。虽然可以使用任意技术连接至系统管理服务器33并且执行认证处理，但作为一个示例，可以使用公钥加密。

在由系统管理服务器33执行的认证处理中，系统管理服务器33向电力管理设备11通知认证结果。机器管理单元1121参考所接收的认证结果，并且判定认证是否成功(步骤S1007)。

当由系统管理服务器33进行的认证处理失败时，机器管理单元1121确定写入认证结果中的错误内容(步骤S1009)。在注册信息不完整的情况(a)下，机器管理单元1121返回至步骤S1003，询问不完整注册信息的内容，并且获取正确内容。在注册信息并非不完整但认证失败的情况(b)下，机器管理单元1121连接至系统管理服务器33并且再次执行认证处理。而且，在认证失败连续反复的指定次数或更多的情况(c)下，机器管理单元1121取消对电力管理设备11的注册。

同时，当由系统管理服务器33执行的认证处理成功时，机器管理单元1121将所获取的注册信息正式地发送至系统管理服务器33(步骤S1011)，并且将电力管理设备11注册在系统管理服务器33的数据库中。

通过根据上述流程执行处理，电力管理设备11的机器管理单元1121能够将电力管理设备11本身注册在系统管理服务器33中。注意，当电力管理设备11的注册成功时，电力管理设备11定期地与系统管理服务器33进行通信并且检验当前状态。

注册电力管理设备的方法的具体示例

接下来，将参考图35描述注册电力管理设备的方法的具体示例。图35示出使用公钥加密来注册电力管理设备的方法的一个示例。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设，例如，电力管理设备特有的标识信息(ID)和由系统管理服务器33生成的标识信息的数字签名已经由制造商存储在该设备中。另外，假设系统管理服务器33具有系统管理服务器33特有的公钥和秘密密钥。

当电力管理设备11的用户已执行开始用于电力管理设备的注册处理的操作时，机器管理单元1121的密钥生成单元1501使用公开参数来生成由公钥和秘密密钥构成的密钥对(步骤S1021)。密钥生成单元1501将所生成的密钥对存储在存储单元113等中。

接下来，系统注册单元1503使用系统管理服务器33的公钥对电力管理设备的标识信息、标识信息的数字签名、以及生成的公钥进行加密。此后，系统注册单元1503将所生成的密码作为证书发布请求，经由广域通信单元114发送至系统管理服务器33(步骤S1023)。

当获取从电力管理设备11发送的证书发布请求时，系统管理服务器33首先验证附加至数字签名的签名的合法性(步骤S1025)。更特别地，系统管理服务器33使用由服务器隐藏的秘密密钥，来验证附加至电力管理设备的标识信息的数字签名是否有效。

如果验证失败，则系统管理服务器33将表示认证失败的认证结果发送至电力管理设备11。同时，如果验证成功，则系统管理服务器33将电力管理设备11的标识信息添加至由系统管理服务器33存储的数据库中的被管理列表中(步骤S1027)。

接下来，系统管理服务器33发布用于由电力管理设备11生成的公钥的公钥证书(步骤S1029)，并且将所生成的公钥证书发送至电力管理设备11。

当接收到从系统管理服务器33发送的公钥证书时，电力管理设备11的系统注册单元1503验证公钥证书(步骤S1031)。如果公钥证书的验证成功，则系统注册单元1503将注册信息发送至系统管理服务器33(步骤S1033)。注意，使用加密通信来执行对注册信息的这种发送。

当接收到从电力管理设备11发送的注册信息时，系统管理服务器33将所接收到的注册信息注册在被管理列表中(步骤S1035)。通过这样做，由电力管理设备11和系统管理服务器33执行的用于注册电力管理设备11的处理被认为成功(步骤S1037)。

以上已经描述了用于注册电力管理设备11的具体示例。注意，上述注册方法的具体示例仅为一个示例，根据本实施例的注册处理不限于以上示例。

(1-12)注册受控制机器的方法

接下来，将参考图36至图38描述将受控制机器125注册在电力管理设备11中的方法。图36是用于说明根据本实施例的注册受控制机器的方法的流程图。图37和图38是用于说明根据本实施例的注册受控制机器的方法的具体示例的流程图。

注意，将受控制机器125作为由电力管理设备11管理的被管理机器的一个示例，描述该注册方法。以下描述的注册方法以与当将电动交通工具124、电力存储设备128、第一发电设备129、以及第二发电设备130注册在电力管理设备11时的相同方式来执行。

首先，将参考图36描述注册受控制机器125的方法的总体流程。

当未被注册的受控制机器125连接至由电力管理设备11管理的局部电力管理系统1时，电力管理设备11的机器管理单元1121检测到受控制机器125连接至系统(步骤S1041)。更特别地，电力管理设备11本身可以检测出受控制机器125被连接，或者配电设备121或电源插座(受控制插座123或插座扩展设备127)可以检测出受控制机器125被连接，并且通知电力管理设备11。作为该处理的结果，电力管理设备11能够掌握与受控制机器125所连接的插座相关的信息(位置信息)。

接下来，机器管理单元1121对新连接的受控制机器125进行认证处理。该认证处理可以使用任意技术来执行，例如，公钥加密。通过执行认证处理，机器管理单元1121从受控制机器125获取诸如图20中所示的信息。

如果受控制机器125的认证失败，则机器管理单元1121结束对受控制机器125的注册处理。注意，如果机器管理单元1121决定尝试对受控制机器125进行认证，而不是突然终止注册处理，处理可以返回至步骤S1043，在步骤S1043中重复进行认证处理。

同时，当受控制机器125的认证成功时，机器管理单元1121经由广域通信单元114将受控制机器125注册在系统管理服务器33中(步骤S1047)。接下来，机器管理单元1121向认证成功的受控制机器125发布签名(数字签名)、证书等(步骤S1049)。此后，机器管理单元1121将受控制机器125注册在存储单元113等中存储的管理数据库中(步骤S1051)。

注册受控制机器的方法的具体示例

接下来，将参考图37和图38描述注册受控制机器的方法的具体示例。图37和图38是使用公钥加密注册受控制机器的方法的示例。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理设备特有的标识信息(ID)和系统管理服务器33所生成的标识信息的数字签名已经由制造商存储在该设备中，并且假设由公钥和秘密密钥构成的密钥对也被存储在该设备中。还假设系统管理服务器33存储系统管理服务器33特有的公钥和秘密密钥。最后，假设例如受控制机器125特有的标识信息(ID)和由系统管理服务器33生成的数字签名已经由制造商存储在受控制机器125内。

首先，将参考图37描述最初注册受控制机器的方法的具体示例。

当受控制机器125连接至系统1时(更特别地，当受控制机器125连接至受控制插座123等时)(步骤S1061)，在随后描述的过程中，电力管理设备11的被管理机器注册单元1505检测出受控制机器125已经被连接(步骤S1063)。

接下来，被管理机器注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1065)。更特别地，被管理机器注册单元1505将对用户询问注册条件的消息显示在电力管理设备11中所设置的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理设备11中。

此后，被管理机器注册单元1505经由局部通信单元111将注册开始信号发送至受控制机器125(步骤S1067)。

接收到注册开始信号的受控制机器125的认证处理单元2021，将机器特有的标识信息(ID)和系统管理服务器33生成的数字签名作为机器注册请求发送至电力管理设备11(步骤S1069)。

接收到机器注册请求的被管理机器注册单元1505使用系统管理服务器33的公钥，来验证所接收的数字签名的合法性(步骤S1071)。当验证失败时，被管理机器注册单元1505将表示验证失败的验证结果发送至受控制机器125。同时，当验证成功时，被管理机器注册单元1505请求系统管理服务器33注册受控制机器125的标识信息和/或受控制机器125的机器信息(包括制造商名称、型号等)(步骤S1073)。

当接收注册请求时，系统管理服务器33确认包括在注册请求中的受控制机器125是否是合法机器(即，机器是否已经被注册)(步骤S1075)。当受控制机器125是合法机器时，系统管理服务器33将所接收的机器信息添加至存储在系统管理服务器33中的数据库中的被管理列表中(步骤S1077)。

此后，系统管理服务器33从由系统管理服务器33本身存储的多种数据库或者从属于制造商等的服务器，获取与所注册的受控制机器125的规格相关的信息(机器规格信息)，并且将所获取的信息发送至电力管理设备11(步骤S1079)。

然后，电力管理设备11的被管理机器注册单元1505使用由被管理机器注册单元1505本身保存的密钥，发布用于受控制机器的标识信息(ID)的签名(证书)(步骤S1081)。此后，被管理机器注册单元1505将所发布的签名与电力管理设备11的标识信息(ID)一起发送至受控制机器125(步骤S1083)。

受控制机器125的认证处理单元2021将所接收的签名和电力管理设备11的标识信息(ID)存储到指定位置，诸如存储单元2015中(步骤S1085)。电力管理设备11的被管理机器注册单元1505将受控制机器125的机器信息注册在存储单元113等中存储的管理数据库中(步骤S1087)。通过这样做，最初注册受控制机器125的处理被认为成功(步骤S1089)。

图37示出受控制机器125被正式注册(最初注册)在电力管理设备11中的处理。然而，作为一个示例，还可能存在用户想要将已经被注册在用户家的电力管理设备11中的受控制机器125暂时注册在朋友家设置的电力管理设备11中的情况。为此，根据本实施例的电力管理设备11设置有用于暂时注册最初已经注册在另一电力管理设备11中的受控制机器125的注册处理。现在参考图38描述暂时注册受控制机器125的处理。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理设备特有的标识信息(ID)和由系统管理服务器33生成的标识信息的数字签名已经由制造商存储在该设备中，并且假设由公钥和秘密密钥构成的密钥对也被存储在该设备中。另外，还假设系统管理服务器33具有系统管理服务器33特有的公钥和秘密密钥。最后，假设受控制机器125特有的标识信息(ID)和由系统管理服务器33生成的数字签名已经例如由制造商存储在受控制机器125内，并且假设所注册的电力管理设备的标识信息(ID)和签名已经被存储在受控制机器125中。

当受控制机器125连接至系统1时(更特别地，当受控制机器125连接至受控制插座123等时)(步骤S1091)，在之前描述的过程中，电力管理设备11的被管理机器注册单元1505检测出受控制机器125已经被连接(步骤S1093)。

接下来，被管理机器注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1095)。更特别地，被管理机器注册单元1505将询问用户注册条件的消息显示在设置在电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理设备11中。

接下来，被管理机器注册单元1505经由局部通信单元111将注册开始信号发送至受控制机器125(步骤S1097)。

接收到注册开始信号的受控制机器125的认证处理单元2021，将所注册的电力管理设备11的标识信息(ID)、所提供的数字签名、以及受控制机器125特有的标识信息(ID)作为机器注册请求发送至电力管理设备11(步骤S1099)。

接收到机器注册请求的被管理机器注册单元1505检验受控制机器125特有的并且包括在机器注册请求中的标识信息(ID)(步骤S1101)。此后，基于受控制机器125特有的标识信息(ID)，被管理机器注册单元1505向系统管理服务器33请求受控制机器125的证书(步骤S1103)。

在确认请求证书的受控制机器125不是包括在过期列表中的机器之后(步骤S1105之后)，系统管理服务器33将所请求的证书发送至电力管理设备11(步骤S1107)。

电力管理设备11的被管理机器注册单元1505验证受控制机器125所拥有的签名(从所注册的电力管理设备获取的签名)(步骤S1109)。当签名的验证成功时，被管理机器注册单元1505将受控制机器125暂时注册在电力管理设备11中(步骤S1111)。通过这样做，电力管理设备11能够暂时注册已经注册在另一电力管理设备11中的受控制机器125。

(1-13)注册受控制插座的方法

接着，参考图39，描述将受控制插座123注册在电力管理设备11中的方法。图39是用于说明根据本实施例的注册受控制插座的方法的流程图。

注意，尽管下面的描述以受控制插座123为例，但是可以以同样的方式对插座扩展设备127执行这种注册方法。

电力管理设备11的机器管理单元1121首先连接到配电设备121(步骤S1121)，并从配电设备121获取关于系统1中存在的插座的信息(步骤S1123)。“与插座相关的信息”的表述是指如下信息：诸如受控制插座或不受控制插座的指示、受控制插座的标识信息(ID)、制造商名称和型号、诸如电力供应量和电源限制等技术规格、系统内的插座的位置信息等等。

接着，机器管理单元1121的被管理机器注册单元1505与系统中存在的受控制插座建立连接(步骤S1125)。此后，被管理机器注册单元1505将已建立连接的受控制插座存储在存储单元113等中的管理数据库中(步骤S1127)。

接着，被管理机器注册单元1505确认电力供应控制方法和如图21所示的那些机器认证手段，并将这些信息设置在管理数据库中。这样，当受控制机器125或不受控制机器126连接到受控制插座123时，电力管理设备11能够进行适当的电力供应控制和机器认证处理。

接着，被管理机器注册单元1505判断是否已对每个插座(受控制插座)执行了该处理(步骤S1131)。当存在未进行该处理的受控制插座时，被管理机器注册单元1505返回步骤S1125并继续该处理。当已经对每个受控制插座进行过该处理时，被管理机器注册单元1505正常结束该处理。

这完成了对于根据本实施例在局部电力管理系统1中注册各种设备的处理的描述。

(1-14)临时注册的受控制机器的计帐处理

现在将参考图40和41，描述临时注册的受控制机器的记账处理。图40是用于说明临时注册的受控制机器的记账处理的图。图41是用于说明临时注册的受控制机器的记账处理的流程图。

如上所述，可以设想如下状态：已在某个电力管理设备11中注册的受控制机器125被临时注册在管理不同的局部电力管理系统1的另一个电力管理设备11中。当这样做时，可能生成如下情况：已临时注册的受控制机器125在另一个电力管理设备11的控制下，从该不同的局部电力管理系统1接收电力供应。

这种情况如图40所示。如图40所示，属于局部电力管理系统#1的受控制机器#1已经在电力管理设备#1中注册。受控制机器#1已经从电力管理设备#1接收到电力管理设备#1的标识信息(ID_P1)和关于受控制机器#1标识信息的电力管理设备的数字签名(sig(ID_P1))。这里，设想如下情况：受控制机器#1被临时注册在由电力管理设备#2管理的局部电力管理系统#2(例如，公共电力供应站等)中，并且受控制机器#1从局部电力管理系统#2接收电力供应。这里，假定系统管理服务器33已经获得电力管理设备#1的标识信息(ID_P1)和电力管理设备#2的标识信息(ID_P2)。

对于这种电力使用费用而言，更优选的方式是：向注册有受控制机器#1的电力管理设备#1计费，并且对于电力管理设备#1而言，更优选的方式是：采用记账服务器32实现指定的记账处理。仅当该机器存储了公钥和私钥，这种方案才有可能，并且当这种信息未被存储时且电力管理设备#2将结束免费向受控制机器#1供应电力时，这种方案才有可能。注意，即使存储了由公钥和私钥组成的密钥对，也可以依据已做的设置许可免费电力供应。

这种情况下的潜在问题是，当电力管理设备#1是非法设备时，即使通过电力管理设备#2向受控制机器#1供应电力，计费也可能是无效的。为此，在本实施例中，在许可向受控制机器#1电力供应之前，电力管理设备#2确认电力管理设备#1的有效性，并确认受控制机器#1已正式注册到电力管理设备#1中。甚至当电力管理设备#2免费供应电力时，为了安全也应优选进行这种确认操作。也就是说，无论何时电力供应，电力管理设备#2使用电力管理设备#1的签名和/或证书等来验证电力管理设备#1和受控制机器#1之间的关系，并且电力管理设备#2还查询系统管理服务器33以检查电力管理设备#1和受控制机器#1的有效性。

此外，在本实施例中，如以下参考图41所述，关于计费，通过将电力供应与官方证明电力已被使用的电力使用证书的交换相结合，能够实现安全的记账处理。

现在将参考图41描述已临时注册的受控制机器的记账处理的流程。注意，以下处理主要由受控制机器125的控制单元2001和电力管理设备11的机器管理单元1121执行。

首先，受控制机器#1请求电力管理设备#2执行认证处理(步骤S1141)。当请求认证时，受控制机器#1将电力管理设备#1的标识信息(ID_P1)、受控制机器#1的标识信息(ID_d1)以及受控制机器#1中存储的ID_P1和ID_d1的数字签名发送到电力管理设备#2。

电力管理设备#2检查已收到的受控制机器的标识信息(ID_d1)是否存在于由电力管理设备#2自身管理的被管理列表中。电力管理设备#2也检查电力管理设备#1的标识信息(ID_P1)是否存在于由电力管理设备#2存储的证书列表中。这样，电力管理设备#2检查电力管理设备#1(步骤S1143)。

如果电力管理设备#1的标识信息不存在于由电力管理设备#2存储的证书列表中，则电力管理设备#2向系统管理服务器33请求电力管理设备#1的证书(步骤S1145)。根据对证书的请求，电力管理设备#1可以向系统管理服务器33通知受控制机器#1的标识信息。

通过检查电力管理设备#1是否不在失效列表中，系统管理服务器33检查电力管理设备#1的有效性(步骤S1147)。如果电力管理设备#1的标识信息包括在失效列表中，则系统管理服务器33向电力管理设备#2通知这种情况并且电力管理设备#2错误地结束该处理。

同时，电力管理设备#2向受控制机器#1请求由电力管理设备#1颁发的证书或者由电力管理设备#1生成的数字签名(步骤S1149)。在接收到这个请求时，受控制机器#1向电力管理设备#2发送由电力管理设备#1提供的数字签名(sig(ID_P1))(步骤S1151)。

当系统管理服务器33确认了电力管理设备#1的有效性时，系统管理服务器33向电力管理设备#2发送存储在系统管理服务器33中的电力管理设备#1的证书(步骤S1153)。

电力管理设备#2验证从受控制机器#1发送的数字签名和/或证书(步骤S1155)，并且当验证成功时，电力管理设备#2允许向受控制机器#1电力供应。此时，电力管理设备#2通知受控制机器#1电力收费还是免费。如果电力免费，则不进行以下步骤。

由于验证已经成功，因此，电力管理设备#2在指定时间内向受控制机器#1供应电力(步骤S1157)。

接收了电力供应的受控制机器#1生成关于电力使用的消息作为证据，以证明消耗了给定时间的电力，并将该消息发送到附有签名的电力管理设备#2(步骤S1159)。附有签名的关于电力使用的消息是电力使用证书。注意，步骤S1157和步骤S1159的处理应当优选以固定的间隔重复进行，直至电力管理设备#2停止电力供应或者受控制机器#1从电网(局部电力管理系统)断开为止。

电力管理设备#2将从电力管理设备#1获得的、增加了电力管理设备#2的标识信息(ID_P2)和机器证书的电力使用证书发送到系统管理服务器33中(步骤S1161)。

系统管理服务器33验证“受控制机器#1是否已经从电力管理设备#2购电”。通过使用该机器的证书，验证该电力使用证书来进行验证(步骤S1163)。

当电力使用证书验证成功时，系统管理服务器33请求记账服务器32执行记账处理(步骤S1165)。此后，记账服务器32根据从系统管理服务器33请求的内容进行记账处理(步骤S1167)。

通过进行该处理，能够实现可以扩展到公共站的安全记账处理功能。

注意，除电力管理设备11管理的受控制机器等之外，可以想到：装备有大容量蓄电池的电动交通工具124等可能会将蓄电池中存储的电力出售给另一个电网(局部电力管理系统)。这种情况也可采用图41所示的过程进行处理。在这种情况下，电力管理设备11接收来自电动交通工具124等的电力，并且电力管理设备11向电动交通工具124等颁发电力使用证书。这里，优选地，已经购电的电力管理设备11主要负责将电力使用证书发送到系统管理服务器33。

还可以想到：接受了电力供应的电力管理设备11会非法地进行这种操作，例如通过不向系统管理服务器33发送电力使用证书。在这种情况下，通过使注册了电动交通工具124等的电力管理设备11向系统管理服务器33发送存储在电动交通工具124等中的电力使用证书，可以检测这种非法行为。

(1-15)注册受控制机器的方法的变型

这里，将参考图42至48详细描述注册上述受控制机器的方法的示例变型。图42至47是用于说明注册受控制机器的方法的变型的图，图48是用于说明注册受控制机器的方法的变型的流程图。

如上所述，在局部电力管理系统1中，以防止向非法机器和非法蓄电池供应电力和防止非法机器及非法蓄电池连接到该系统为目的，对设备和蓄电池进行认证。下述根据本实施例的注册受控制机器的方法的示例变型的目的在于，提供一种注册方法，其能够有效地执行受控制机器或者包含多个蓄电池的蓄电装置的认证。

在下面说明中，如图24所示，考虑如下情况：电力管理设备11认证和注册表示为“A”到“H”的八个受控制机器125。

在上述方法中，对于受控制机器125重复进行电力管理设备11和一个受控制机器125之间所进行的一对一认证处理共8次。在这种情况下，当认证单个受控制机器125时，进行下列处理。也就是说，首先，电力管理设备11向受控制机器125发送包含随机数的提问消息(challenge message)。接着，受控制机器125通过使用由受控制机器125存储的密钥对提问消息进行操作来生成应答消息，并发送应答消息作为答复。此后，电力管理设备11验证接收的应答消息是否正确。

这里，认证方法可以大致区分为两类，包括：(i)当执行操作以从提问消息生成应答消息时，采用公钥加密中使用的私钥作为密钥的方法，使得应答消息是数字签名；以及(ii)使用利用电力管理设备11和受控制机器125之间共享的密钥进行共有密钥加密的方法。

该示例变型关注使用如上述(i)所指示的数字签名的认证方法。这是因为这种认证方法包含能够使用称为批量验证(batch verification)和聚合签名(aggregate signature)技术的方法。

这里，“批量验证”的表述是指能够在单次操作中对多个数字签名集中进行验证的验证技术，其中只有当全部数字签名均正确时验证算法才输出“验证成功”。通过使用该技术，较之于分别对各个数字签名进行验证的情况，可提高计算效率。

批量验证处理的具体示例是D.Naccache等在1994年德国施普林格的Eurocrypt会议记录94、计算机科学讲稿Vol.950中的“Can D.S.A be improved？Complexity trade-offs with the digital signature standard，”以及M.Bellare等在1998年德国施普林格的Eurocrypt会议记录98、计算机科学讲稿Vol.1403中的“Fast Batch Verification for Modular Exponentiation and Digital Signatures，”中公开的方法。在本变型中，通过使用批量验证处理，可以改进计算效率。这些技术包括能够响应于各个不同消息集中验证由多个签名者生成的签名的技术。

“聚合签名”的表述是指如下验证技术：其能够将多个签名聚合为单个签名，并且当对聚合签名进行验证处理时，只有当全部签名均正确时该验证算法才输出“验证成功”。这里，响应于各个不同的消息，通过多个签名者可生成多个签名。

聚合签名的具体示例是D.Boneh等在2003年德国施普林格的Eurocrypt会议记录2003、计算机科学Vol.2656中的讲稿的“Aggregate and Verifiably Encrypted Signatures from Bilinear Maps，”以及D.Boneh 等在2003年CryptoBytes Vol.6，No.2的“A Survey of Two Signature Aggregation Techniques，”中公开的方法。在这个变型中，通过使用聚合签名，可以改进计算效率。

这里，如图42所示，考虑到如下情况：电力管理设备11认证八个受控制机器125。在重复一对一的认证的普通方法中，共进行八次验证处理，然而如图42下半部分所示，通过采用批量验证处理或聚合签名能够改进计算效率。

注意，下述认证处理主要由电力管理设备11的机器管理单元1121和受控制机器125的控制单元2001执行。

首先，电力管理设备11向受控制机器A到H发送提问消息C(步骤S1171)。由于在该发送期间无需向各个受控制机器分别发送消息，因此若通信网络是允许广播的环境，则可采用广播。

受控制机器A到H分别对提问消息C使用该机器中保存的用于公钥加密的私钥，以生成提问消息C的应答消息，然后将所生成的应答消息作为答复发送给电力管理设备11。

例如，接收到提问消息C时，受控制机器A使用由受控制机器A存储的私钥生成应答消息RA作为提问消息C的答复(步骤S1173)。此后，受控制机器A将生成的应答消息RA发送到电力管理设备11(步骤S1175)。

类似地，接收到提问消息C时，受控制机器H使用由受控制机器H存储的私钥生成应答消息RH作为提问消息C的答复(步骤S1177)。接着，受控制机器H将生成的应答消息RH发送到电力管理设备11(步骤S1179)。

更具体地，应答消息RA到RH是各受控制机器A到H关于提问消息C的数字签名。

在此期间，电力管理设备11等待来自正进行验证处理的受控制机器A到H的应答消息。电力管理设备11收集来自八个受控制机器的应答消息，集中认证全部的应答消息RA到RH(步骤S1181)，并验证全部应答消息是否都正确。可通过批量验证处理执行该验证或可通过使用聚合签名技术将八个应答消息聚合为单个数字签名并对所生成的数字签名进行验证来执行该验证。

注意，尽管为了简化上述说明假定电力管理设备11已经知道每个受控制机器的公钥，但是受控制机器A到H可以将它们各自的公钥证书和应答消息一起发送到电力管理设备11。

这里，公钥证书是证书授权服务器35对于机器的标识信息(ID)和/或公钥的数字签名。这意味着可采用诸如批量验证或聚合签名之类的方法有效率地进行验证。

当已经收集到各个受控制机器响应于来自电力管理设备11的提问消息而发送的应答消息并且集中验证了应答消息时，在多数情况下，全部应答消息将是正确的并且验证结果将为“成功”。在此情况下，因为电力管理设备11已经确认全部受控制机器A到H的有效性，所以该处理可如常进行。

然而，在有些情况下，在对n个机器进行集中验证处理期间，输出“验证失败”。这意味着这n个受控制机器中存在至少一个异常机器。因此，除了对正常机器进行新的集中验证处理之外，电力管理设备11指定异常的受控制机器并对这些异常机器进行单独处理是很重要的。

通过将经过集中验证的受控制机器组重复划分为更小的组，可以指出异常机器。下面参考图43和44描述这样做的两种具体方法。

第一种策略是指定异常的一个机器为最小值的方法，这样做所需迭代(计算负荷)次数为O(log₂n)。

第二种策略是指出全部异常机器的方法，这样做所需迭代次数为O(n)。

现在详细描述基于各策略的方法。

策略1是如下方法：从集中验证结果为“失败”的组中选择一个组(例如，该组具有最小数目的组成元件)，并且重复执行集中验证，直至组中仅包含一个受控制机器。图43显示这种方法的示例。在图43中，受控制机器A到H中的三个受控制机器C、E和F异常。

步骤1中，电力管理设备11向全部八个受控制机器发送提问消息，并对八个受控制机器进行集中验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，其中由八个受控制机器组成的单个组被划分为两个组。

在图43所示的示例中，电力管理设备11将组划分为由受控制机器A到D组成的组以及由受控制机器E到H组成的组，并将提问消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行集中验证。在图43所示的示例中，两个组的集中验证结果都是“验证失败”。

接着，在步骤3中，电力管理设备11选择将被从验证结果为“失败”的当前组(在图43中，受控制机器ABCD组和受控制机器EFGH组)中(即，从两个组中)划分出去的下一个组。在图43所示的示例中，电力管理设备11选择由受控制机器ABCD组成的组，并进一步划分该组。在图43所示的示例中，以一组由受控制机器AB组成且另一组由受控制机器CD组成的形式，将由受控制机器ABCD组成的组分为两个具有两个机器的组。

电力管理设备11然后向具有两个机器的两个组发送提问消息，并对已接收到的应答消息进行集中验证。在图43所示的示例中，因为由受控制机器AB组成的组的验证结果为“成功”，所以确认受控制机器A、B都正常。同时，因为由受控制机器CD组成的组的验证结果是“失败”，理解受控制机器C、D中至少一个是异常。

接着，在步骤4中，电力管理设备11将由受控制机器CD组成的组划分为具有单个机器的组，并对每个组进行验证处理。这样，电力管理设备11可以确定出受控制机器C异常。

在图43所示的示例中，可以按照四级步骤，从八个受控制机器中确定出一个异常的受控制机器。一般地说，如果受控制机器数目是n，则可以容易地设想出具有n个叶节点的二叉树，但是通过分组使得组成元件的数目大致被二等分，从而可在作为二叉树的高度的log₂(n+1)个步骤中完成该处理。因为一个步骤中对最多两个组执行验证处理，因此验证处理的迭代次数为O(log₂n)。

接着描述策略2。

策略2是用于检测全部异常机器的方法。图44示出这种方法的示例。在图44中，受控制机器A到H中的三个受控制机器C、E和F异常。

在步骤1中，电力管理设备11向全部八个受控制机器发送提问消息，并对八个受控制机器进行集中验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，在步骤2中，由八个受控制机器组成的单个组被划分成两个组。

在图44所示的示例中，电力管理设备11将组划分为由受控制机器A到D组成的组以及由受控制机器E到H组成的组，并将提问消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行集中验证。在图44所示的示例中，两个组的集中验证结果是“验证失败”。

在策略2中，在步骤3中，对在先前步骤中验证为“失败”的全部组重复认证处理。在图44所示的示例中，由受控制机器ABCD组成的组被分成由受控制机器AB组成的组和由受控制机器CD组成的组。电力管理设备11还将由受控制机器EFGH组成的组划分为由受控制机器EF组成的组和由受控制机器GH组成的组。此后，电力管理设备11对生成的四个组分别进行验证处理。

在图44所示的示例中，由受控制机器AB组成的组和由受控制机器GH组成的组的验证结果为“成功”，而由受控制机器CD组成的组和由受控制机器EF组成的组的验证结果为“失败”。

接着，在步骤4中，电力管理设备11将由验证失败的受控制机器CD组成的组划分为由受控制机器C组成的组和由受控制机器D组成的组。以同样的方式，电力管理设备11将由验证失败的受控制机器EF组成的组划分为由受控制机器E组成的组和由受控制机器F组成的组。然后电力管理设备11单独对新的四个组进行认证处理。

结果，如图44所示，以受控制机器D“成功”而其它三个受控制机器“失败”结束认证。这样，电力管理设备11能够确定全部的异常的受控制机器C、E和F。

与策略1一样，策略2中的步骤数为4，但在第I步中，对2I-1个组进行验证处理。在这种方法中，在某些情况下，诸如当异常机器和正常机器交替排列时，将对每个机器进行验证处理，使得验证迭代次数为2n。这意味着策略2的计算负荷为O(n)。

然而，电力管理设备11是掌握连接到局部电力管理系统1的受控制机器等的类型的装置。这是因为该信息对于控制向哪个机器供应电力是必需的。也就是说，例如，当用户将机器引入家中的局部电力管理系统1时，执行将该机器注册在电力管理设备11中的处理。因此，如前所述，电力管理设备11管理已注册机器列表。

这里，在局部电力管理系统1中，假定受控制机器A到受控制机器H这八个机器已经注册到电力管理设备11中，但作为认证结果已知受控制机器C异常。

在这种情况下，电力管理设备11从被管理列表中删除受控制机器C，或者将受控制机器C标记为临时不可用。这样，在下次认证迭代期间，电力管理设备11能够从认证中预先排除受控制机器C，这样能够相应地减少认证处理的负荷。例如，如果除了受控制机器C以外的七个受控制机器正常，则可在对七个受控制机器进行的单个认证中确认此情况。

此外，如果通过用户指示已经通知过电力管理设备11：机器已修复且恢复正常，或者如果通过电力管理设备11定期地或不定期地尝试对异常设备进行认证而获得“成功”的结果，则电力管理设备11可校正电力管理设备11所管理的被管理列表，使得将先前从认证排除的机器视为正常。

蓄电池的认证

多数情况下，在蓄电池壳中提供多个蓄电池组电池。通过组合该多个电池，蓄电池能够生成多种输出。

例如，图45示出装备有六个1V蓄电池组电池单元的电力存储设备128的示例。如图45所示，能够组合这些电池A到F以输出多种电压。如果还考虑到一些电池未被使用和/或电力存储设备128设置有不是一个而是多对输出终端的布置，则可实现更大数量的输出变化。

如果蓄电池包括失败的电池和/或非法制造的电池，则存在增大的风险：不仅无法达到期望输出，而且在充电期间发生诸如火灾等的事故。为此，对各个蓄电池组电池进行认证以确认每个电池(以及还有蓄电池自身)正常是很重要的。

这里，可以设想电力管理设备11或蓄电池的控制单元能够对各个电池进行认证。当这样做时，如图46所示，可以设想使用以三个电池为组合的六个电池以获得3V的输出。这里，通过正常地重复电力管理设备11或蓄电池的控制单元对一个电池的认证，蓄电池的控制单元能够预先掌握全部电池的状态。基于注册在电力管理设备11中的型号等，电力管理设备11能够从外部的服务器等获得蓄电池的电池配置。

在需要3V电压的情况下，即使具有低载流容量，也可对电池A、B和C(或D和E和F)三个电池进行认证，并将这些电池作为蓄电池。在此情况下，进行三次验证处理。

然而，通过采用前述的批量验证或聚合签名的技术进行ABC(或DEF)的集中验证，能够通过单次验证处理掌握是否能使用这些电池作为3V蓄电池，从而改进认证处理的效率。另外，如果给出了由ABC组成的组和由DEF组成的组中至少一个组验证“成功”，则能够容易地了解电池可用作蓄电池。

另外，当存在认证结果为“失败”的组时，采用前述方法连续划分该组能够确定异常电池。

如图46所示，当需要2V电压时，可对串联连接的两个电池的组AB、CD、EF进行集中认证。

这样，通过根据蓄电池组电池的组合将待认证的电池划分为多个组，能够提高验证处理的效率。

这里假定如图47(中的初始状态)所示地，采用六个蓄电池组电池生成2V电压。这里，假定全部六个电池在初始状态均正常，但当在给定时间认证时，认证结果为“失败”。

电力管理设备11和蓄电池的控制单元能够采用上述策略2确定全部的异常的电池。结果，如图47中间所示地，假定这里已经确定电池D和电池E异常。

在这种情况下，蓄电池的控制单元或电力管理设备11能够切换连接蓄电池组电池的线，以如图47右侧所示重新配置电池。通过这样做，可以仅使用正常电池来配置能够用作蓄电池的组合。如果不进行重新配置，则正常的电池C和F将不可避免地被浪费，而通过重新配置，则能使用资源而不浪费。通过蓄电池的控制单元或电力管理设备11精确地掌握各个电池的状态并且根据认证结果重新配置电池之间的连接，可以实现电池的重新配置。

上述受控制机器的批量认证的全部流程如图48所示。

首先，电力管理设备11的机器管理单元1121生成提问消息并将该提问消息广播到全部待认证的受控制机器125(步骤S1191)。通过这样做，每个受控制机器125的控制单元2001生成答复提问消息的应答消息，并将生成的应答消息发回电力管理设备11。

在电力管理设备11中，等待从受控制机器125发送的应答消息，当从受控制机器125发送应答消息时，电力管理设备11获得发送来的应答消息(步骤S1193)。

这里，电力管理设备11的机器管理单元1121判断是否已经获得全部应答消息(步骤S1195)。如果一些应答消息没有获得，则机器管理单元1121回到步骤S1193，并等待其它应答消息。

同时，如果已经从全部受控制机器125获得应答消息，则机器管理单元1121执行批量认证处理(步骤S1197)。如果批量认证处理对全部受控制机器都成功，则机器管理单元1121判断出认证成功，并且批量认证处理正常结束。

如果批量认证处理未对全部受控制机器125成功，则机器管理单元1121根据前述策略1或策略2确定认证失败的受控制机器(步骤S1201)。此后，机器管理单元1121重复排除认证失败的机器的认证处理(步骤S1203)，返回步骤S1199，并且判断批量认证处理是否成功。

通过执行上述流程中的处理，本示例变型能够有效地认证受控制机器。

上述说明说明如下方法：使用批量验证或者来自基于公钥加密的数字签名技术中的聚合签名技术，通过对受控制机器和电力存储设备分组来进行有效的认证。然而，尽管公钥加密较之于共有密钥加密的优势在于能够使用利用单个私钥生成的数字签名等，但是其缺点在于计算负荷通常极大。

为了克服这种缺点，可设想能够采用公钥加密和共有密钥加密。更具体地，电力管理设备11根据公钥加密进行受控制机器等的认证。假定电力管理设备(或蓄电池的控制单元等)之后按照1∶1的基础，向基于公钥加密认证成功的受控制机器和/或电力存储设备提供供电力管理设备(或蓄电池的控制单元等)和受控制机器使用的共有密钥(即，对每个受控制机器采用不同的密钥)。

这种共有密钥具有诸如一天或者一个小时的有效期限，在有效期限内，这种共有密钥用于由电力管理设备11对受控制机器进行的认证处理。此外，在共有密钥的有效期限结束之后，再使用公钥加密进行认证处理，并在电力管理设备和受控制机器之间建立新的共有密钥。

通过使用这个方法，能够执行采用计算负荷大的公开密钥加密一小时仅一次或一天仅一次的处理，并且能够对经常进行的认证采用处理负荷小的共有密钥加密。

注意，代替使用电力管理设备11和某个受控制机器125之间1∶1的共有密钥，还能够在电力管理设备和多个待由电力管理设备认证的多个受控制机器之间共享单个组密钥，并将该组密钥作为后续认证处理中的共有密钥。

这完成了注册根据本示例变型的受控制机器的方法的说明。

现在详细描述电力管理设备对出现异常的被管理机器进行的处理，同时给出具体示例。

(1-16)电力管理设备对出现异常的被管理机器的操作

现在将使用具体示例参考图49到52详细描述电力管理设备对出现异常的被管理机器的操作。图49到52是用于说明电力管理设备对已出现异常的被管理机器的操作的流程图。

首先，将参考图49描述电力管理设备对已出现异常的被管理机器的操作的整体流程。

电力管理设备11的机器管理单元1121参考关于当前时间的时间信息，或者参考关于自进行先前操作确认处理经过了多长时间的信息，并判断是否已经到达对被管理机器进行操作确认处理的时间(检查时间)(步骤S1211)。如果检查时间未到，则机器管理单元1121返回步骤S1211并等待检查时间到达。

此外，当到达检查时间时，机器管理单元1121的被管理机器信息获取单元1507判断是否已经从每个受控制机器125接收到报告出现异常的传感器信息(步骤S1213)。如果已经接收到报告出现异常的传感器信息，则机器管理单元1121执行下述的步骤S1225。

如果没有接收到报告出现异常的传感器信息，则被管理机器信息获取单元1507判断是否已经从配电设备121接收到报告出现异常的机器信息(步骤S1215)。如果已经接收到报告出现异常的机器信息，则机器管理单元1121执行下述的步骤S1225。

如果没有接收到报告配电设备出现异常的机器信息，则被管理机器信息获取单元1507判断是否已经从受控制插座123(下文中包括插座扩展设备127)接收到报告出现异常的机器信息(步骤S1217)。如果判断出已出现异常，则机器管理单元1121执行下述的步骤S1225。

注意，通过执行步骤S1215和步骤S1217的处理，电力管理设备11能够判断出不能与电力管理设备11直接进行通信的不受控制机器126是否出现异常。

接着，被管理机器信息获取单元1507从各个受控制机器等收集诸如传感器信息、蓄电池信息和电池信息的机器信息，并将机器信息发送给信息分析单元1123的机器状态判断单元1601和电力状态判断单元1603。机器状态判断单元1601和电力状态判断单元1603将机器信息与所发送信息的历史或者模型实例进行比较(步骤S1219)。通过这样做，电力管理设备11能够检测出现异常的受控制机器。被管理机器信息获取单元1507和/或机器状态判断单元1601也能够从本应接收到的未接收信息中检测出受控制机器等已出现异常。

机器管理单元1121参考对机器信息的收集/比较处理的结果，并判断是否已经出现问题(步骤S1221)。如果已出现问题，则机器管理单元1121执行下述的步骤S1225。

此外，如果根据机器信息的收集/比较处理的结果判断出未出现问题，则机器状态判断单元1601判断是否任一机器都没有问题(步骤S1223)。如果判断结果是对于某些设备未完成验证，则机器管理单元1121和信息分析单元1123返回步骤S1219并继续验证处理。当对全部机器都完成验证时，机器管理单元1121结束对被管理机器的操作的验证处理。

这里，当通过上述验证处理检测到异常时，信息分析单元1123在显示单元116上显示警告(步骤S1225)。电力管理设备11切换至当检测到异常时所使用的工作模式(错误模式)(步骤S1227)。

此后，机器管理单元1121向用户已注册的电话号码或已注册的邮件地址发送报警消息，以通知用户已经出现异常(步骤S1229)。此后，机器管理单元1121判断设定时间段内是否有用户对电力管理设备11进行访问(步骤S1231)。如果在设定时间段内有用户进行访问，则电力管理设备11的控制单元115根据用户指示开始对受控制机器的操作控制(步骤S1233)。同时，如果在设定时间内没有用户进行访问，则电力管理设备11的控制单元115开始自动控制(步骤S1235)。此后，电力管理设备11的控制单元115将工作模式切换为由受控制插座控制(步骤S1237)，并且当检测到操作异常时结束该处理。

现在将简要描述根据出现异常的设备类型实施的具体处理。

当电力管理设备出现异常时

首先，将参考图50简要描述当电力管理设备11自身出现异常时的操作。

注意，假定在开始以下说明前用户已经设置了当电力管理设备11出现异常时进行何种控制(例如，受控制插座的控制或者稳定状态供应电力的控制)。还假定电力管理设备11定期地在局部电力管理系统1外部设置的系统管理服务器33中备份诸如历史信息、被管理机器的标识信息(ID)以及设置条件的各种信息。

当电力管理设备11自身出现某种异常(步骤S1241)并且电力管理设备11自身停止工作时，由于与电力管理设备11的定期通信将会停止，因此系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1243)。

此后，系统管理服务器33参考注册的紧急联系人等，并通知用户出现异常(步骤S1245)。

因为不能与电力管理设备11定期通信(步骤S1247)，所以受控制插座123和受控制机器125也检测到电力管理设备11可能出现异常。此后，受控制插座123和受控制机器125检查电力管理设备11的状态(步骤S1249)，并且当掌握电力管理设备11出现异常时，受控制插座123和受控制机器125检查应当切换为哪个模式(步骤S1251)。此后，受控制插座123和受控制机器125切换为受控制插座控制模式(步骤S1253)。

更具体地，受控制插座123开始控制受控制机器125和不受控制机器126(步骤S1255)，并且受控制机器125开始向受控制插座123输出电力信息(步骤S1257)。如果在从受控制机器125获得的电力信息中检测到异常，则受控制插座123也能够进行诸如停止电力供应的控制。

此时，假定由于系统管理服务器33所联系的用户重新激活电力管理设备11或者对电力管理设备11手动地进行某种操作，导致电力管理设备11恢复(步骤S1259)。

此时，恢复的电力管理设备11的机器管理单元1121请求系统管理服务器33执行认证处理(步骤S1261)。如果电力管理设备11的认证成功，则系统管理服务器33获得备份的设置信息，并将该设置信息发送给电力管理设备11(步骤S1263)。

接收到该设置信息的电力管理设备11根据所接收到的设置信息，自动地连接到作为被管理设备的受控制插座123和受控制机器125(步骤S1265)，并且通知这些机器电力管理设备11已恢复。

此后，受控制插座123和受控制机器125切换到电力管理设备控制摸式(步骤S1267)，此后由电力管理设备11进行正常控制。

当受控制插座出现异常时

接着，将参考图51简要描述当受控制插座123出现异常时的操作。

首先，假定受控制插座123的传感器或通信单元中的至少一个出现异常(步骤S1271)。在这种情况下，因为维持从受控制插座123到所连接的受控制机器125的电力供应(步骤S1273)，所以电力管理设备11难以直接检测到异常。然而，通过确定没有接收到应当定期接收到的来自受控制插座123的机器信息等，电力管理设备11能够检测到受控制插座123出现异常(步骤S1275)。

检测到异常的电力管理设备11的信息分析单元1123通知用户，受控制插座123出现异常(步骤S1277)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现出现问题的受控制插座123手动地进行任意操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1279)。

此时，假定受控制插座123的电力供应控制出现异常(步骤S1281)。在这种情况下，受控制机器125能够检测到受控制插座123出现异常，并且在某些情况下，受控制机器125也能够停止接收电力供应，并因此停止运转(步骤S1283)。结果，由于受控制机器125向电力管理设备11通知受控制插座123出现异常，或者由于受控制机器125停止操作而引起定期通信停止，因此电力管理设备11检测到出现异常(步骤S1285)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：受控制插座123出现异常(步骤S1287)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的受控制插座123手动地进行人工操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1289)。

当配电设备出现异常时

接着，将参考图52简要描述当配电设备121出现异常时的操作。

当配电设备121出现异常时(步骤S1301)，配电设备121向电力管理设备11通知出现异常，和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制机器125的电力供应可能出现问题。为此，受控制机器125定期发送的电力信息中也可出现异常(步骤S1303)。根据这种信息，电力管理设备11的信息分析单元1123可以检测到配电设备121出现异常(步骤S1305)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：配电设备121出现异常(步骤S1307)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的配电设备121手动地进行操作，被通知的用户将配电设备121恢复到运行状态(步骤S1309)。

配电设备121再次出现异常(步骤S1311)，并且配电设备121向电力管理设备11通知出现异常和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制机器125的电力供应可能出现问题。由于这个原因，受控制机器125定期发送的电力信息也可出现异常(步骤S1313)。由于这种信息，假定电力管理设备11自身也出现异常(步骤S1317)。

这里，与电力管理设备11的定期通信的中断使得系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1319)。

此后，系统管理服务器33参考注册的紧急联系人等，并且通知用户出现异常(步骤S1321)。

在这种情况下，在电力管理设备11处，实施在电力管理设备出现异常时执行的上述处理(步骤S1323)。响应于电力管理设备11发生的异常，受控制机器125切换到受控制插座控制模式(步骤S1325)。

这里，通过对出现问题的配电设备121手动地进行操作，被通知的用户将配电设备121恢复到运行状态(步骤S1327)。此外，由于电力管理设备出现异常时进行的操作，电力管理设备11也恢复到运行状态(步骤S1327)。

这完成了在诸如受控制插座123或受控制机器125的被管理设备出现异常时的电力管理设备11的操作的说明。

(1-17)当电力状态出现异常时的电力管理设备的操作

接着，将参考图53和54描述当局部电力管理系统1中的电力状态出现诸如断电或漏电的异常时的电力管理设备11的操作。图53和54是用于说明当电力状态出现异常时电力管理设备的操作的流程图。

断电期间电力管理设备的操作

首先，将参考图53简要描述在发生断电时的电力管理设备的操作。

当外部电源出现异常并且发生断电时，停止向配电设备121供应外部电力。结果，由于配电设备121向电力管理设备11通知发生断电，或者从配电设备121发送出含有异常的设备信息，电力管理设备11能够检测出配电设备121异常(步骤S1331)。

在检测到发生断电时，信息分析单元1123的电力状态判断单元1603将当前模式切换为使用发电设备129、130和电力存储设备128的电力供应模式(已保存的电力供应模式)(步骤S1333)。更具体地，电力管理设备11的控制单元115向配电设备121发送控制命令，以从外部电力切换为能够在系统1内部供应的电力。机器管理单元1121根据预先设置的信息，开始确定电力供应的优先级和/或确定待分配的电量。信息分析单元1123也通过显示单元116等向用户通知发生断电。

机器管理单元1121首先判断待供电的机器是否是受控制机器125(步骤S1335)。如果待供电力的机器是受控制机器125，则机器管理单元1121通过控制单元115向该机器发送控制命令(步骤S1337)。更具体地，控制单元115向有问题的受控制机器125发送请求节能模式或关机的控制命令。

同时，如果待供电的机器不是受控制机器125(也就是说，不受控制机器126)，则机器管理单元1121判断待供电的机器是否连接到受控制插座123(包含插座扩展设备127)(步骤S1339)。如果待供电的机器连接到受控制插座123，则机器管理单元1121通过控制单元115向受控制插座123发送控制命令(步骤S1341)。更具体地，控制单元115向受控制插座123发送请求该待供电的机器关机(也就是说，停止向不受控制机器126供应电力)的控制命令。

如果待供电的机器未连接到受控制插座123，由于电力管理设备11不能控制向待供电的机器的电力供应，因此电力管理设备11使该机器保持原状或者继续当前的电力供应(步骤S1343)。

当结束该确定时，机器管理单元1121判断每个机器的设置是否已经完成(步骤S1345)。如果一个或多个机器的设置尚未完成，则电力管理设备11返回步骤S1335并继续该处理。同时，如果全部机器的设置已经完成，则在断电期间电力管理设备11结束处理。

漏电期间电力管理设备的操作

接着，将参考图54简要在描述发生漏电时的电力管理设备的操作。

当发生漏电时，较之于漏电发生之前，预期电力使用趋势将发生改变。因此，通过将过去的电力使用历史和当前的电力使用相比较，电力管理设备11中信息分析单元1123的电力状态判断单元1603能够检测出发生了漏电(步骤S1351)。此外，对于系统1中存在的机器而言，电力状态判断单元1603基于受控制机器125的电力使用的理论值和不受控制机器126的估计的电力使用量，计算出电力使用理论值，并且通过比较实际电力使用量与该电力使用理论值，能够检测出漏电。注意，可通过过去的使用量估计出不受控制机器126的估计的电力使用量。

此外，不仅可通过电力管理设备11而且也可通过诸如局部电力管理系统1外部存在的安全检查服务器的分析服务器34来检测漏电的发生。这意味着在某些情况下，当发生漏电时，分析服务器34向电力管理设备11通知漏电。

当检测出发生漏电时，电力管理设备11使用任意方法来确定漏电位置(步骤S1353)，并且控制单元115向漏电位置发送电力供应停止命令(步骤S1355)。信息分析单元1123还在显示单元116上显示关于发生漏电以及漏电位置的信息。

通过执行这种处理，甚至当电力状态出现诸如断电或漏电的异常时，电力管理设备11能够保持局部电力管理系统1内部各方面的安全。

(1-18)嵌入电子水印信息的方法和验证电子水印信息的方法的流程

接着，将参考图55到58描述在根据本实施例的局部电力管理系统1中执行的嵌入电子水印信息的方法和验证电子水印信息的方法的流程。图55和57是用于说明根据本实施例的嵌入电子水印信息的方法的流程图。图56和58是用于说明根据本实施例验证电子水印信息的方法的流程图。

嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法

首先，将参考图55和56描述嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法的流程。注意，下面描述物理数据自身被用作机器特征信息的情况。

嵌入方法的流程

首先，将参考图55描述由受控制机器125的篡改检测信息生成单元2031实施的嵌入方法。

受控制机器125中的篡改检测信息生成单元2031的机器特征信息生成单元2033首先从传感器控制单元2023和蓄电池控制单元2027获得物理数据(步骤S2001)。此后，机器特征信息生成单元2033对所获得的物理数据进行验证(步骤S2003)。接着，机器特征信息生成单元2033判断所获得的物理数据是否正常(步骤S2005)。

如果验证发现物理数据的值超过该物理数据的优选值的范围，或者表示为明显的异常行为，则机器特征信息生成单元2033报告异常(步骤S2019)。

经由验证确认物理数据正常之后，电子水印生成单元2035基于该物理数据和共享数据生成电子水印信息(步骤S2007)，并向电子水印嵌入单元2039输出所生成的电子水印信息。嵌入位置决定单元2037分析该物理数据，确定适于该物理数据的电子水印信息嵌入位置，并将关于所确定的嵌入位置的信息通知电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入该物理数据(步骤S2009)。接着，电子水印嵌入单元2039对嵌入了电子水印信息的物理数据(这种物理数据以下称为“被嵌入数据”)进行验证(步骤S2011)。此后，电子水印嵌入单元2039检查验证结果(步骤S2013)。

如果被嵌入数据正常，则电子水印嵌入单元2039将被嵌入数据发送到电力管理设备11(步骤S2015)。电力管理设备11将接收到的被嵌入数据发送到局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现异常，则电子水印嵌入单元2039判断出现异常的次数是否小于指定的阈值(步骤S2017)。如果出现异常的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2007，并且继续该处理。同时，如果出现异常的次数大于或等于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2019)。

注意，如果预先确定了电子水印信息的嵌入位置，则可以省略确定嵌入位置的处理、在步骤S2003到步骤S2005中验证物理数据的处理以及步骤S2011到S2019中验证被嵌入数据的处理。

验证方法的流程

接着，将参考图56描述，由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的验证电子水印信息的方法。应当注意，尽管下文中描述了对分析服务器34执行的验证方法，但是同样的方法可以由电力管理设备的信息篡改检测单元来执行。

分析服务器34的信息篡改检测单元的嵌入位置指定单元获取嵌入有电子水印信息的物理数据(步骤S2021)。此后，嵌入位置指定单元验证所获取的物理数据(步骤S2023)。接着，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2025)。

如果验证发现物理数据的值超出该物理数据优选的值的范围或者表明为明显的异常行为，则嵌入位置指定单元报告异常(步骤S2027)。

在经由验证确认物理数据正常之后，嵌入位置指定单元分析该物理数据，指定嵌入电子水印信息的位置(步骤S2029)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。

接着，电子水印提取单元基于接收的关于嵌入位置的位置信息从物理数据提取电子水印信息(步骤S2031)并且将提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元基于物理数据和共享数据生成电子水印信息(步骤S2033)并且通过将提取的电子水印信息与生成的电子水印信息进行比较而验证电子水印信息(步骤S2035)。如果基于比较验证电子水印信息失败，则电子水印验证单元向电力管理设备11通知异常(步骤S2027)。此外，如果基于比较验证电子水印信息成功，则电子水印验证单元报告验证成功，并且处理正常结束。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略在步骤S2023至步骤S2025中验证物理数据的处理以及指定嵌入位置的处理(步骤S2029)。

使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法

接着，将参考图57和图58描述使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法。应当注意，下面描述物理数据自身被用作机器特征信息的情况。

嵌入方法的流程

首先，将参考图57描述由受控制机器125的篡改检测信息生成单元2031实施的嵌入方法。

应当注意，假设受控制机器125通过电力管理设备11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制机器125与分析服务器34之间预先决定数据发送定时(timing)。

受控制机器125的篡改检测信息生成单元2031判断是否已到达预定的数据发送时间(步骤S2041)。如果未到预定的发送时间，则篡改检测信息生成单元2031等待到达该预定时间。如果已经到达预定的发送时间，则机器特征信息生成单元2033从传感器控制单元2023和蓄电池控制单元2027获取物理数据(步骤S2043)。此后，机器特征信息生成单元2033验证获取的物理数据(步骤2045)。接着，机器特征信息生成单元2033判断所获取的物理数据是否正常(步骤S2047)。

如果验证发现物理数据的值超出该物理数据优选的值的范围或者表明为明显的异常的行为，则机器特征信息生成单元2033报告异常(步骤S2065)。

在通过验证确认物理数据正常之后，嵌入位置决定单元2037分析物理数据，确定适合物理数据的电子水印信息的嵌入位置(步骤S2049)，并且将关于所决定的嵌入位置的信息通知给电子水印嵌入单元2039。

接着，电子水印生成单元2035获取表明当前时间或发送预定时间的时间信息(步骤S2051)。此后，电子水印生成单元2035基于物理数据、时间信息和共享信息生成电子水印信息(步骤S2053)，并且将生成的电子水印信息输出给电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入物理数据中(步骤S2055)。接着，电子水印嵌入单元2039验证嵌入有电子水印信息的物理数据(这样的物理数据在下文中称为“被嵌入数据”)(步骤S2057)。此后，电子水印嵌入单元2039检查验证结果(步骤S2059)。

如果被嵌入数据正常，则电子水印嵌入单元2039将该被嵌入数据发送给电力管理设备11(步骤S2061)。电力管理设备11将所接收的嵌入数据发送给局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现了异常，则电子水印嵌入单元2039判定异常出现的次数是否小于指定的阈值(步骤S2063)。如果异常出现的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2053，并且处理继续。同时，如果异常出现的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2065)。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略决定嵌入位置的处理、在步骤S2045至步骤S2047中验证物理数据的处理以及在步骤S2057至步骤S2063中验证被嵌入数据的处理。

验证方法的流程

接着，将参考图58描述验证由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的电子水印信息的方法。

应当注意，假设受控制机器125通过电力管理设备11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制机器125与分析服务器34之间预先决定数据发送定时。

分析服务器的信息篡改检测单元判断是否已到达预定的数据发送时间(步骤S2071)。如果未到预定的发送时间，则信息篡改检测单元等待到达该预定时间。如果已经到达预定的发送时间，则信息篡改检测单元尝试获取通过电力管理设备11从受控制机器125发送的物理数据。这里，信息篡改检测单元判断是否能够在指定的时间段内接收到物理数据(步骤S2073)。

如果未在指定的时间段内接收到物理数据，则信息篡改检测单元将异常通知给电力管理设备11的用户(步骤S2089)。同时，如果在预定的时间段内接收到物理数据，则嵌入位置指定单元验证所获取的物理数据(步骤S2075)。此后，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2077)。

如果验证发现物理数据的值超出该物理数据优选的值的范围或者表明的明显的异常的行为，则嵌入位置指定单元报告异常(步骤S2089)。

在通过验证确认物理数据正常之后，嵌入位置指定单元分析物理数据，指定电子水印信息嵌入的位置(步骤S2079)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。电子水印提取单元基于关于嵌入位置的位置信息从物理数据提取电子水印信息并且将所提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元获取表明当前时间或者发送预定时间的时间信息(步骤S2081)。

此后，电子水印验证单元基于物理数据、时间信息和共享数据生成电子水印信息(步骤S2083)并且通过将提取的电子水印信息与生成的电子水印信息进行比较以验证电子水印信息(步骤S2085)。如果基于所述比较的电子水印信息的验证失败，则电子水印验证单元报告异常(步骤S2089)。此外，如果基于所述比较的电子水印信息的验证成功，则电子水印验证单元报告验证成功，并且所述处理正常结束。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略在步骤S2075至步骤S2077中验证物理数据的处理以及指定嵌入位置的处理(步骤S2079)。

通过进行上述处理，可以在位于分析服务器34和受控制机器125之间的电力管理设备11的控制功能受到损害时检测到异常。通过使电力使用子水印信息，还可以检测由攻击者在通信路径上进行的对物理数据的篡改。另外，电力管理设备11仅仅调解物理数据的发送，并且可以检测在分析服务器34与受控制机器125之间的路径上的对物理数据的篡改，而不需要发送或接收用于防止篡改的特定数据。

甚至当电力管理设备11的控制功能受到了损害时，也可以防止攻击者篡改物理数据的攻击。另外，通过使用该方法，可以为物理数据增添用于检测篡改的功能，而不丢失物理数据的统计特性。

(1-19)分析服务器的作用

用作局部电力管理系统1的电力中心的电力管理设备11被连接到装备有蓄电池的各种受控制机器等。电力管理设备11通过基于从各种机器获得的电力信息控制配电设备121来控制配电。电力管理设备11能够实时地掌握连接至系统1的机器的电力消耗，并且集中管理系统1内的包括通过诸如光伏发电的自然能量的家庭发电生成的电力的电力使用状态。电力管理设备11还能够将电力消耗可视化，这希望使用户抑制能量的浪费消耗。

但是，由于局部电力管理系统1是控制局部电网的网络系统，所以重要的是在系统配置和服务中使用安全技术。近年来，对于装配有蓄电池的机器，用户通常用较次的产品代替蓄电池组电池，和/或使用绕过对机器认证的伪造芯片。这可能导致问题，例如质量下降，从而导致起火。由根据本实施例的局部电力管理系统1处理的“蓄电池”包括多种设备，如存在于系统中的电力储存设备和电动交通工具，并且重要的是保持这样的机器安全。

以下是能够对电力管理设备11实施的外部攻击的一些设想示例，该电力管理设备11形成局部电力管理系统1的外部与该系统1的内部之间的接口。

-引入导致机器或蓄电池异常操作的非法命令(病毒)；

-接管对电力管理设备的控制；

-特洛伊木马攻击；

-通过电力管理设备对另一机器或系统的攻击；

-DoS攻击。

为了保护免受这样的外部攻击，过去使用了下列措施：

-防止预先预测的非法操作；

-使用预先定义的病毒模式文件检测病毒；

-监视执行文件的行为以及检测非法文件以保护免受未知的攻击。

但是，由于这样的措施是响应于计算机上的行为而使用的，所以难以使用这样的措施来监视诸如蓄电池的物理装置，因此很难说这样的措施提供了足够的保护。此外，由于想到可与电力管理设备连接的蓄电池和机器会经常更新，所以极可能针对攻击的对策会变得极其复杂并且会难以预先想象攻击的内容。

针对仿造蓄电池的一个对策是将认证芯片集成到蓄电池模块中并且仅与质量得到保证的蓄电池连接。但是，近年来，用于使认证芯片的功能变得无效的技术得到了发展，并且仿造芯片绕过认证的情况变得越来越普遍。如果从安装在较次蓄电池组电池上的仿造芯片经由机器发送的蓄电池状态(电压、电流、剩余电荷等)不正确(即，如果数字信息错误)，则电力管理设备不能正确地控制电网，从而导致出现意外的风险很高。在这种情况下，应当停止机器的操作或者应当排除有问题的蓄电池，但是没有用于实现这样的机制的现有技术。

由于以上原因，需要用于避免对连接到电力管理设备或系统的机器/蓄电池的攻击(病毒感染)以及伴随蓄电池劣化或仿造产品的风险的技术。下面描述如下方法：该方法能够使用从连接至系统的蓄电池或机器输出的传感器信息和多种历史信息而检测对系统的上述类型攻击的存在以及蓄电池的劣化等。

下面描述的检测攻击的存在以及蓄电池的劣化等的方法主要使用从各机器输出的诸如传感器信息等的物理数据以及历史信息，以使用计算物理估计进行判断以及使用启发式统计方法进行高速判断。通过这样做，可以检测未知的攻击以及从源头避免风险。

在本实施例中，设置在局部电力管理系统1外部的分析服务器34被用作用于检测攻击以及避免风险的设备。假设分析服务器34的功能之一是对局部电力管理系统执行安全检查的功能。相应地，以下描述的分析服务器34是用作安全检查服务器的服务器。

分析服务器34基于从电力管理设备发送的各种机器和蓄电池的传感器信息、执行命令信息、分析服务器34中预先注册的机器/蓄电池信息、使用环境信息和使用历史信息，实现下列功能。

-排除绕过认证的复制品以及已经劣化并且其操作变得危险的蓄电池；

-保护免受启发式外部攻击；

-通过基于当前状态、输入以及关于外部环境的信息的估计验证有效性；

-生成和更新由电力管理设备中的防病毒系统使用的病毒定义文件。

此外，如上所述，分析服务器34还能够配备有以下功能：验证嵌入在从各种机器和蓄电池发送的机器特征信息中的篡改检测信息(电子水印信息)。通过使用篡改检测信息，还可以检查电力管理设备是否已被接管。

这里，上述传感器信息的示例可包括电压、电流、温度、湿度、时间、使用机器信息、用户等，并且执行命令信息的示例可包括指令命令、执行文件、机器/蓄电池参数等。此外，在分析服务器34中预先注册的机器/蓄电池信息的示例可包括制造商、型号、制造号等，并且使用环境信息的示例可包括家庭信息、位置、自有机器信息等。上述使用历史信息的示例可包括过去的机器/蓄电池传感器信息、执行命令信息、使用时间、使用频率等。

(1-20)分析服务器的配置

接着，将参考图59至图62具体描述分析服务器34的配置，该分析服务器根据本实施例为安全检查服务器。图59是用于说明根据本实施例的分析服务器的配置的框图。图60是用于说明根据本实施例的分析服务器中包括的信息篡改检测单元的配置的框图。图61是用于说明根据本实施例的分析服务器中包括的第一验证单元的配置的框图。图62是用于说明根据本实施例的分析服务器中包括的第二验证单元的配置的框图。

分析服务器的总体配置

首先，将参考图59描述根据本实施例的分析服务器34的总体配置。

如图59所示，根据本实施例的分析服务器34主要包括广域通信单元3001、信息篡改检测单元3003、获取数据验证单元3005和存储单元3013。

广域通信单元3001是用于在局部电力管理系统1和另一服务器等之间通过广域网2交换信息的通信装置。

信息篡改检测单元3003例如由CPU、ROM、RAM等实现。当用于检测信息是否已被篡改的数据被嵌入到由分析服务器34从电力管理设备11获取的信息中时，信息篡改检测单元3003验证该数据并且检测信息是否已被篡改。这里，嵌入这样的信息的数据的一个示例可以包括电子水印。

当检测到信息被篡改时，信息篡改检测单元3003将检测结果通知给电力管理设备11或用户本人。通过这样做，电力管理设备11或者电力管理设备11的用户能够将出现信息篡改的机器从系统1内部排除。

获取数据验证单元3005例如由CPU、ROM、RAM等实现。获取数据验证单元3005验证从电力管理设备11获取的各种信息，并且如上所述，是提供用于保护电力管理设备11不受外部攻击的各种功能的处理单元。

如图59所示，获取数据验证单元3005还包括获取数据验证控制单元3007、第一验证单元3009和第二验证单元3011。

在分析和验证由分析服务器34从电力管理设备11获取的各种数据时，获取数据验证控制单元3007进行控制。更具体地，获取数据验证控制单元3007判断如何将以下描述的第一验证单元3009的验证和第二验证单元3011的验证组合，以分析和验证所获取的数据。相应地，以下描述的第一验证单元3009和第二验证单元3011在获取数据验证控制单元3007的控制下执行各种验证处理。

第一验证单元3009例如由CPU、ROM和RAM等实现。第一验证单元3009使用基于统计处理的启发式方法，分析和验证由分析服务器34获取的各种类型信息。

第一验证单元3009主要具有下述两个功能：

(i)通过将从电力管理设备获取的数据与从具有相似电力使用环境的另一电力管理设备获取的数据进行比较，检测存在对电力管理设备的攻击、蓄电池或者各种机器或传感器的存在异常的功能；

(ii)在从电力管理设备获取的数据中根据与先前使用历史数据的比较，而检测对存在电力管理设备的攻击、蓄电池或者各种机器或传感器的存在异常的功能。

为了实现以上给出的功能(i)，第一验证单元3009使用从处于验证中的电力管理设备11获取的“蓄电池型号/ID信息和电力状态信息、历史”和“机器型号/ID信息和如温度的传感器信息、历史”或者“电力管理设备的执行文件”。第一验证单元3009不仅使用从处于验证中的电力管理设备获取的上述信息，而且使用未处于验证中的其它电力管理设备11获取的上述信息。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/机器或传感器中是否存在异常。

为实现以上给出的功能(ii)，第一验证单元3009从处于验证中的电力管理设备11获取“蓄电池型号/ID信息和电力状态信息”和“机器型号/ID信息和如温度的传感器信息”或者“电力管理设备的执行文件”。第一验证单元3009还使用处于验证中的电力管理设备11的“蓄电池电力状态信息历史”、“机器的传感器信息历史”和“电力管理设备的执行文件历史”。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/机器或传感器中是否存在异常。

第一验证单元3009还包括如下功能：验证“电力管理设备的执行文件”中的命令信息，并且可用于在命令信息被确定为异常时从被确定为异常的命令信息中提取病毒模式。第一验证单元3009使用所提取的病毒模式并生成关于该病毒的病毒定义文件。

在判断为机器的传感器信息、执行文件、命令信息等中存在异常时，第一验证单元3009可以与第二验证单元3011共享该信息，或者可以将该信息发送给第二验证单元3011。通过共享或发送该信息，第二验证单元可以更新仿真中使用的参数并且可以进一步提高仿真精度。

第二验证单元3011例如由CPU、ROM、RAM等实现。第二验证单元3011通过使用所获取的数据的仿真(计算物理估计)来分析并验证由分析服务器34获取的各种信息。

第二验证单元3011主要包括如下功能：通过利用计算物理量的估计而实现的高精度判断，来检测蓄电池/机器或传感器的异常。

第二验证单元3011从处于验证中的电力管理设备11获取系统1中的“蓄电池型号/ID信息和电力状态信息、历史”和“机器型号/ID信息和如温度的传感器信息、历史”。另外，第二验证单元3011从处于验证中的电力管理设备11获取蓄电池/机器的电气规格和特征信息。第二验证单元3011基于获取的机器信息、电气规格和特征信息以及使用历史信息进行仿真，以计算表明这些机器操作正常的指标(在下文中称为“正常操作范围”)。第二验证单元3011比较并验证所计算的正常操作范围和已获得的上述各种数据，并且判断是否存在针对处于验证中的电力管理设备的攻击以及蓄电池/机器或传感器是否存在异常。

存储单元3013是设置在根据本实施例的分析服务器34中的存储设备的一个示例。存储单元3013存储关于由分析服务器34存储的各个密钥的信息以及由分析服务器34存储的各个数字签名、证书等。在存储单元3013中还可以记录各历史信息。另外，存储单元3013还可以适当地存储根据本实施例的分析服务器34的处理期间应当存储的各参数和中间处理进程，或者各数据库等。分析服务器34的各处理单元能够自由地对存储单元3013进行读写。

信息篡改检测单元的配置

接着，将参考图60描述信息篡改检测单元3003的配置。

如图60所示，信息篡改检测单元3003还包括嵌入位置指定单元3021、电子水印提取单元3023和电子水印验证单元3025。

利用根据本实施例的局部电力管理系统1，可以在诸如电流、电压、温度和湿度等的物理数据中或者在使用这些物理数据计算出的各种信息中嵌入适合这些信息的电子水印数据。通过验证电子水印数据，能够与局部电力管理系统1进行双向通信的分析服务器34能够检测物理数据(其在下文中包括使用物理数据计算出的各种信息)是否被篡改。

嵌入位置指定单元3021例如由CPU、ROM、RAM等实现。通过使用预定的信号处理电路分析嵌有电子水印的物理数据，嵌入位置指定单元3021根据对应于该数据的信号的特征指定电子水印信息的嵌入位置。在指定电子水印信息的嵌入位置时，嵌入位置指定单元3021将关于指定嵌入位置的信息通知给电子水印提取单元3023。应当注意，如果在受控制机器125等与分析服务器34之间预先确定了电子水印的嵌入位置，则可无需执行嵌入位置的指定处理。

电子水印提取单元3023例如由CPU、ROM、RAM等实现。电子水印提取单元3023基于关于由嵌入位置指定单元3021提供的嵌入位置的信息从物理数据中提取电子水印信息。电子水印提取单元3023将从物理数据中提取出的电子水印发送给下文描述的电子水印验证单元3025。

电子水印验证单元3025例如由CPU、ROM、RAM等实现。电子水印验证单元3025首先基于与受控制机器125等共享的共享信息等以及由电子水印提取单元3023提取的物理数据，生成电子水印信息。为了生成电子水印信息，使用哈希函数、伪随机数生成器、公用密钥加密、共享密钥加密(例如，消息认证码MAC)等。此后，电子水印验证单元3025将生成的电子水印信息与由电子水印提取单元3023提取的电子水印信息进行比较。

如果生成的电子水印信息和提取的电子水印信息相同，则电子水印验证单元3025判断出由受控制机器125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息和所提取的电子水印信息不相同，则电子水印验证单元3025判断出物理数据被篡改。

如果物理数据被篡改，则电子水印验证单元3025通知电力管理设备11或者用户本人。通过这样做，电力管理设备11或者用户本人能够将其操作被修改的受控制机器125等排除在局部电力管理系统1之外。

此外，如果电子水印信息是通过使用物理数据和共享信息并且使用时间信息生成的，则还可以验证管理局部电力管理系统1的电力管理设备是否被接管，如上所述。

第一验证单元的配置

接着，将参考图61具体描述第一验证单元3009的配置。

如上所述，第一验证单元3009基于从电力管理设备11发送的蓄电池和机器的传感器信息和执行命令信息、在分析服务器34中预先注册的关于蓄电池和机器的信息、使用环境信息和使用历史信息而提取特征量。此后，第一验证单元3009基于所提取的特征量高速检测差别和异常。

如图61所示，第一验证单元3009包括验证控制单元3031、操作判断单元3033、数据库管理单元3035、病毒定义文件管理单元3037和共享信息生成单元3039。第一验证单元3009还包括电力管理设备数据库3041、判断词典3043和病毒定义文件数据库3045。

验证控制单元3031例如由CPU、ROM、RAM等实现。验证控制单元3031控制启发式验证处理并且与第一验证单元3009的各处理单元协作以使之起作用，其中，启发式验证处理使用由第一验证单元3009执行的统计处理。

操作判断单元3033例如由CPU、ROM、RAM等实现。操作判断单元3033输入从待验证的电力管理设备11获取的诸如传感器信息和执行命令信息的各种信息，并且基于电力管理设备11或其它电力管理设备11的历史信息等，判断处于验证中的电力管理设备11的操作是正常还是异常。由操作判断单元3033执行的判断处理在后文描述。

数据库管理单元3035例如由CPU、ROM、RAM等实现。数据库管理单元3035将从电力管理设备11发送的诸如新蓄电池和机器的传感器信息、执行命令信息以及历史信息的各种信息存储在数据库3041中，并且还更新判断词典3043。数据库管理单元3035定期比较指定的电力管理设备11的统计量与其它电力管理设备11的数据的统计量，并且测试是否存在蓄意生成的数据。

病毒定义文件管理单元3037例如由CPU、ROM、RAM等实现。病毒定义文件管理单元3037将已经被操作判断单元3033判断为异常的执行命令信息定义为病毒模式，并且生成病毒定义文件。病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中以更新数据库，并且还经由验证控制单元3031将生成的病毒定义文件发送至外部。

共享信息生成单元3039收集关于已被操作判断单元3033检测为异常的电力管理设备11上的信息(例如关于蓄电池/机器的传感器信息、执行命令信息、关于蓄电池/机器的机器信息、使用历史信息等)作为共享信息。此后，共享信息生成单元3039经由验证控制单元3031和获取数据验证控制单元3007将生成的共享信息输出至第二验证单元3011。

通过使用共享信息来更新用于仿真的设置信息(参数等)，第二验证单元3011能够进一步提高仿真精度。

电力管理设备数据库3041是存储在第一验证单元3009中的数据库的一个示例。在该数据库中存储各种信息，如每个电力管理设备11的、关于蓄电池和机器的机器信息、使用环境信息和使用历史信息。

判断词典3043是存储在第一验证单元3009中的另一数据库，并且存储关于操作判断单元3033启发式地判决操作时的特征量的信息。这样的特征量是关于在提供特定条件(机器信息、使用环境信息等)时的典型传感器信息的统计量，并且基于电力管理设备数据库3041而生成。

病毒定义文件数据库3045是存储在第一验证单元3009中的又一数据库。病毒定义文件数据库3045存储由病毒定义文件管理单元3037生成的病毒定义文件。

这完成了对第一验证单元3009的配置的具体描述。

第二验证单元的配置

接着，将参考图62具体描述第二验证单元3011的配置。

如上所述，第二验证单元3011通过基于随时间的变化和使用环境、使用历史、使用状态和蓄电池的特征信息进行仿真来计算正常操作范围，并且高速检测差别和异常。第一验证单元3009进行的验证是使用来自虚拟环境等的统计信息的高速判定方法，而第二验证单元3011进行的验证是耗时的。但是，第二验证单元3011可以高精度地计算正品的质量劣化。

第二验证单元3011包括使用从第一验证单元3009输出的共享信息来将在进行仿真时使用的各设置信息(参数)更新为适当值的功能。

如图62所示，第二验证单元3011还包括估计特征值计算单元3051、数据库3053和数据判断单元3055。

估计特征值计算单元3051例如由CPU、ROM、RAM等实现。估计特征值计算单元3051基于从要验证的电力管理设备11获取的机器信息、电气规格和特征信息以及使用历史信息进行仿真，以计算估计特征值。估计特征值是表明机器是否正确操作的指标(即，正常操作范围)。当进行仿真时，估计特征值计算单元3051获取数据库3053中注册的用于仿真的各参数。

数据库3053是存储在第二验证单元3011中的数据库，并且存储当估计特征值计算单元3051进行仿真时使用的各设置信息(参数)。如上所述，数据库3053中存储的参数由第二验证单元3011使用从第一验证单元3009输出的共享信息进行更新。

数据判断单元3055例如由CPU、ROM、RAM等实现。数据判断单元3055将从要验证的电力管理设备11获取的各数据与由估计特征值计算单元3051计算的估计特征值进行比较，并且判断从要验证的电力管理设备11获取的各数据。通过使用任意逻辑，数据判断单元3055能够检测蓄电池/机器或传感器的异常，作为一个示例，当实际值和估计特征值之间的差异等于或大于指定阈值时或者该差异等于或小于该阈值时，数据判断单元3055能够判断在机器中出现异常。

在第二验证单元3011中，物理仿真中使用的参数能够被纠正为更加真实的值。还可以将这样的信息发送给蓄电池或机器制造商，以将未预先想到的故障通知给制造商。

这完成了对第二验证单元3011的配置的具体描述。

以上描述了根据本实施例的分析服务器34的功能的一个示例。上述的组成元件可以使用通用部件和/或电路来构建，或者可以由专用于各组成元件的功能的硬件来构建。可替选地，各组成元件的功能可以都由CPU等执行。因此，当实施本实施例时，可以根据主导的技术水平适当改变使用的配置。

应当注意，用于实现上述根据本实施例的分析服务器的功能的计算机程序可以在个体计算机等中创建和安装。也可以提供存储有这样的计算机程序的计算机可读记录介质。例如，记录介质可以是磁盘、光盘、磁光盘、闪速存储器等。上述计算机程序也可以通过例如网络发布，而不使用记录介质。

(1-21)指定要排除的蓄电池的处理

接着，将参考图63描述由具有上述功能的分析服务器34执行的用于指定要排除的蓄电池的处理。图63是用于说明要排除的蓄电池的示图。

图63中示出的表是局部电力管理系统1中使用的蓄电池的可想到的状态的列表。如图63的顶部所示，局部电力管理系统1中使用的蓄电池包括储存电力的一个或多个电池、用于控制所述一个或多个电池的电路板以及该电路板上设置的认证芯片。所述电池和包括认证芯片的电路板的可想到的状态可大致分为表中所示的七种情况。

情况1至情况3是由正品电池和正品电路板组成的蓄电池中可能出现的状态。情况4至情况7是使用假冒电池的蓄电池中可能出现的状态。

在所述七种情况中，情况1、情况2和情况4的电池特征没有问题，并且输出正确的机器状态。由于归入这些情况中的蓄电池在估计范围内劣化或者为具有不成问题的特征或信息的副本，所以这样的蓄电池出现在局部电力管理系统中时不会引起大的问题。

但是，对于归入情况3和情况5至7中的蓄电池，当电池的特征或机器信息与具有正常使用的正品的情况比较时生成差异，并且由于这样的产品存在多种风险，所以需要将这样的蓄电池排除在局部电力管理系统1之外。

由于该原因，通过使用上述多种验证处理，根据本实施例的分析服务器34能够指定应当被排除的上述蓄电池。

随后将具体描述由分析服务器34执行的用于指定要排除的蓄电池的处理。

(1-22)防止对电力管理设备的非法攻击的保护方法

接着，将参考图64描述防止对电力管理设备的非法攻击的保护方法的总体流程。图64是用于说明防止对电力管理设备的非法攻击的保护方法的流程图。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以签署防止非法攻击的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查非法攻击的存在的定时(步骤S3001)。如果未到达该检查定时，则电力管理设备11的系统管理单元1125等待到达该检查定时。如果已到达该检查定时，则电力管理设备11的系统管理单元1125使用到目前为止存储在电力管理设备11中的攻击模式文件(病毒定义文件)以搜索系统(步骤S3003)。

当在模式检查中存在问题时，电力管理设备11的系统管理单元1125在电力管理设备11中存储的机器排除列表中注册有问题的机器，并且控制单元115从系统中排除有问题的机器(步骤S3005)。

如果在模式检查中不存在问题，则电力管理设备11的机器管理单元1121从包括连接至系统的蓄电池的各机器收集诸如传感器信息和执行命令信息的各种信息(步骤S3007)。此后，电力管理设备11的机器管理单元1121通过相互认证访问分析服务器34(步骤S3009)。当已建立连接时，电力管理设备11对电力管理设备的ID、每个机器的蓄电池ID、蓄电池的输出信息、传感器信息和电力管理设备的执行命令信息进行加密，并且将加密的信息发送至分析服务器34(步骤S3011)。

分析服务器34的获取数据验证单元3005判断在从电力管理设备11发送的各种数据中是否存在任何异常(步骤S3013)。当不存在异常时，获取数据验证单元3005将关于电力管理设备11的获取数据添加至数据库中(步骤S3015)并且将分析结果通知给电力管理设备11(步骤S3017)。

同时，当在步骤S3013中识别出异常时，分析服务器34的获取数据验证单元3005生成病毒定义文件(步骤S3019)。分析服务器34的获取数据验证单元3005检查在识别出异常的电力管理设备11中是否出现很多异常(步骤S3021)。当判断出出现很多异常并且电力管理设备11已成为攻击等的发射台时，分析服务器34向系统管理服务器33通知异常(步骤S3023)。已收到报告的系统管理服务器33例如通过将有问题的设备置于黑名单中而排除该设备(步骤S3025)。分析服务器34还将分析结果和步骤S3019中生成的病毒定义文件发送至电力管理设备11(步骤S3027)。电力管理设备11的系统管理单元1125接收该结果并且进行适当处理，诸如在存在病毒定义文件时更新该病毒定义文件(步骤S3029)。

这完成了对防止对电力管理设备的非法攻击的保护方法的总体流程的说明。

(1-23)排除蓄电池的方法

接着，将参考图65描述由分析服务器34执行的用于指定要排除的蓄电池的处理、以及由电力管理设备11执行的用以排除这样的蓄电池的处理的流程。图65是用于说明排除蓄电池的方法的流程图。

根据本实施例的分析服务器34基于从电力管理设备11发送的信息检测在蓄电池中是否存在异常，并且在出现了异常时通知电力管理设备11。已收到关于异常的通知的电力管理设备11进行一系列操作，诸如停止向异常蓄电池供应电力。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以签署排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查蓄电池风险的定时(步骤S3031)。如果未到达该检查定时，则电力管理设备11的系统管理单元1125等待到达该检查定时。如果已到达该检查定时，则电力管理设备11的机器管理单元1121请求包括蓄电池的受控制机器125等发送蓄电池信息(蓄电池初级信息)。作为响应，包括蓄电池的各受控制机器125将蓄电池信息发送给电力管理设备11(步骤S3033)。电力管理设备11检查是否已从每个机器获取了蓄电池信息(步骤S3035)。应当注意，尽管不是绝对必须从每个机器获取蓄电池信息，但是优选检查所有机器。

电力管理设备11的机器管理单元1121通过相互认证访问分析服务器34(步骤S3037)。当已建立连接时，电力管理设备11将电力管理设备的ID、每个机器的蓄电池ID以及蓄电池的初级信息发送至分析服务器34(步骤S3039)。

分析服务器34的获取数据验证单元3005使用从电力管理设备11发送的各种数据计算估计特征值，并且将获取的数据与计算的估计特征值进行比较。此后，分析服务器34的获取数据验证单元3005将得到的结果通知给电力管理设备11(步骤S3041)。

电力管理设备11的系统管理单元1125判断得到的结果(步骤S3043)。当该结果为不存在异常时，电力管理设备11的机器管理单元1121检查从传感器收集的物理数据(步骤S3045)，并且如果不存在问题则结束处理。

当在步骤S3043中存在异常时，电力管理设备11的控制单元115向配电设备121发出关于具有存在异常的蓄电池的机器的电力供应停止命令(步骤S3047)。配电设备121根据来自电力管理设备11的命令停止向这样的机器电力供应(步骤S3049)。电力管理设备11的系统管理单元1125将存在异常的机器的ID置于撤销列表上，并且机器管理单元1121断开机器的信息网络(步骤S3051)。

通过执行上述处理，分析服务器34能够指定要排除的蓄电池，并且电力管理设备11能够从系统中排除此类要排除的蓄电池。

(1-24)由获取数据验证单元进行的验证处理

接着，将参考图66A和图66B描述分析服务器34的获取数据验证单元3005进行的验证处理的总体流程。图66A和图66B为用于说明由获取数据验证单元进行的验证处理的流程图。

分析服务器34的获取数据验证单元3005的获取数据验证控制单元3007首先获取从电力管理设备11发送的各种数据(步骤S3061)。接着，获取数据验证控制单元3007使用预定过滤器测试所获取的数据(步骤S3063)。作为示例，过滤器可以保护免受从指定电力管理设备11发送大量信息的DoS攻击，可以用作防火墙，和/或可以拒绝非标准通信。

如果在对获取的数据进行的过滤处理中检测到异常，则获取数据验证控制单元3007输出异常判断(步骤S3083)，实施指定的报警处理(步骤S3085)，并且结束流程。作为一个例子，可以针对系统管理服务器33或与讨论的电力管理设备有关的另一服务器执行该报警处理。

同时，如果在对获取的数据进行的过滤处理中未检测到异常，则获取数据验证控制单元3007对所获取的数据实施简化的判断处理(步骤S3065)。假设简化的判断包括检测由分析服务器34预先了解的病毒模式，由第一验证单元3009执行简化的判断，和/或针对典型使用进行匹配，这样的处理通常高速执行。当可以在该阶段明确确认操作正常时，输出正常判断(步骤S3081)，并且结束流程。

同时，如果该简化判断判断出存在异常或者如果无法判断，则获取数据验证控制单元3007判断使用以下描述的三个判断处理(标号为模式1至模式3)中的哪一个(步骤S3067)。

模式1是选择关联判断处理的模式，该关联判断处理使用第一验证单元3009和第二验证单元3011的组合。

例如，获取数据验证控制单元3007首先通过第一验证单元3009的统计处理(步骤S3069)进行判断，并且还从发送的信息中掌握蓄电池/机器的物理特征。这里，获取数据验证控制单元3007判断处理路径(步骤S3071)并且判断是要输出最终结果(步骤S3075)还是执行第二验证单元3011的验证(步骤S3073)。当还执行第二验证单元3011的验证时，第二验证单元3011基于接收自第一验证单元3009的共享信息(即，物理特征)更新仿真中使用的物理参数，并且基于发送的信息执行仿真。另外，第一验证单元3009基于通过第二验证单元3011的验证获得的发现来更新判断词典，并且基于统计处理再次执行判断。

还可以选择如下判断处理：在由验证单元之一进行的判断中明确建立应当更加详细研究的点，然后将该点反馈给另一验证单元进行的判断。这样，模式1是通过第一验证单元3009与第二验证单元3011的互补使用来提高判断精度的方法。

模式2是选择线性判断处理的模式，其中，第一验证单元3009的验证和第二验证单元3011的验证按该顺序进行。

更具体地，获取数据验证控制单元3007首先使用能够在相对较短的处理时间中进行判断的第一验证单元3009实施验证(步骤S3077)，并且，如果判断结果不正常，则切换到需要较长处理时间的第二验证单元3011的验证(步骤S3079)。这里，假设第一验证单元3009的验证是比简化判断中的验证更详细的研究。

当使用模式2时，如果由第一验证单元3009的验证生成“正常”判断，则获取数据验证控制单元3007输出正常判断(步骤S3081)并且流程结束。

在图66A中，假设了首先实施相对较快的第一验证单元3009的验证的情况，但是也可以首先实施第二验证单元3011的验证。

模式3是选择并行判断处理的模式，其中，同时使用第一验证单元3009的验证和第二验证单元3011的验证。

获取数据验证控制单元3007决定执行第一验证单元3009和第二验证单元3011两者的验证还是仅使用这些验证单元之一执行验证，并且决定研究什么属性(步骤S3087)。第一验证单元3009(步骤S3089)和第二验证单元3011(步骤S3091)执行各自的研究，并且获取数据验证控制单元3007基于来自这两个处理单元的研究结果执行最终判断(步骤S3093)。

应当注意，尽管可以执行上述三种方法(模式)之一，但是也可以并行执行这三种方法。还可以根据要研究的属性信息和/或传感器信息的范围等自适应地分配这些方法。还应当可以通过并行使用多个模式1至3代替单独使用模式1至模式3来生成潜在高速模型。

(1-25)第一验证单元的验证处理的流程

接着，将参考图67描述第一验证单元的验证处理的流程。图67是用于说明第一验证单元的验证处理的流程图。

第一验证单元3009的验证控制单元3031首先获取要验证的电力管理设备11的蓄电池/传感器信息和执行命令信息中的至少之一作为验证数据(步骤S3101)。接着，操作判断单元3033执行调整所获取信息(例如，蓄电池或机器的传感器信息)的数据格式的预处理(步骤S3103)。

此后，操作判断单元3033指定特定的属性信息(例如，机器信息、使用环境信息)，并且根据这些属性从已由预处理调整后的数据(蓄电池或机器的传感器信息，执行命令信息)提取特征量(步骤S3105)。由于在提取特征量时指定的属性信息的典型特征量是预先根据要验证的电力管理设备或其它电力管理设备的使用历史计算出的，所以所指定属性信息的典型特征量会存储在判断词典中。

应当注意，特征量如下：

-由未处于验证中的电力管理设备的蓄电池/传感器信息和使用历史给出的特征量；

-由处于验证中的电力管理设备的蓄电池/传感器信息/历史给出的特征量；

-未处于验证中的电力管理设备的执行命令的特征；

-处于验证中的电力管理设备的执行命令的特征；

接着，第一操作判断单元3033将指定属性信息的典型特征量和计算出的特征量进行比较(步骤S3107)并且输出判断结果(步骤S3109)。作为一个示例，操作判断单元3033能够在这两个特征量之间相关度低时判断出出现异常，并且在相关度高时能够判断出状态正常。

另一操作判断单元3033也可以对于相同的特征量或不同的特征量执行同样的处理(步骤S3111至步骤S3115)并且输出判断结果。

此后，验证控制单元3031可以基于来自每个操作判断单元3033的判断结果给出为正常/异常的最终判断(步骤S3117)。例如，验证控制单元3031可以在每个操作判断单元3033给出为正常/异常的判断时给出择多判断。可替选地，验证控制单元3031可以使用以下方法：通过对于正常使用权重1且对于异常使用权重0来计算总和，并且在该总和等于或大于阈值时给出为正常的最终判断。当计算相关度或函数值时，验证控制单元3031可得到采用了与以上相同的权重的总和，然后使用阈值进行判断或使用某类型函数。

验证控制单元3031将如上所述获得的总体判断结果输出至获取数据验证控制单元3007(步骤S3119)，并结束验证处理。获取数据验证控制单元3007将获得的验证结果输出至电力管理设备、用户本人和提供其它服务的服务器等。

应当注意，作为示例，操作判断单元3033可以使用诸如最近邻近原则、感知器、神经网络、支撑矢量机、多变量分析或提升(boosting)的方法作为判断函数。判断函数的参数可以通过基于另一电力管理设备11上的数据和/或物理数据的预先学习而确定。

应当注意，如果通过上述处理最终识别出异常，则病毒定义文件管理单元3037从对其识别出异常的执行命令信息中提取模式，并且生成病毒定义文件。

(1-26)数据库管理单元的测试处理

接着，将参考图68描述第一验证单元3009的数据库管理单元3035的测试处理。图68是用于说明数据库管理单元的测试处理的流程图。

在数据库管理单元3035中，关于从指定的电力管理设备11获取的数据的统计量定期与关于从另一电力管理设备获取的数据的统计量进行比较，并且进行关于是否存在蓄意生成的数据的测试。

为了通过操作判断单元3033检测异常操作，数据库管理单元3035通常预先从自多个电力管理设备收集的各种信息(例如，蓄电池或机器的传感器信息)提取用于比较目的的特征量。

这里，存在恶意的电力管理设备11发送被篡改的蓄电池或机器的传感器信息等以操纵特征量的风险。因为这个原因，通过将从具有指定属性信息(例如，机器信息和使用环境信息)的指定电力管理设备的使用历史信息提取出的特征量与从具有相同属性信息的多个其它电力管理设备的使用历史提取出的特征量进行比较，病毒定义文件管理单元3037可检测出这种攻击。

首先，关于指定的属性信息，数据库管理单元3035首先获得要被判断为恶意或正常的电力管理设备的传感器信息或执行命令信息(步骤S3121)，并且从获取的信息提取特征量(步骤S3123)。数据库管理单元3035从具有相同属性信息的多个其它电力管理设备获取同一信息(步骤S3125)，并且使用相同方法提取特征量(步骤S3127)。

接着，数据库管理单元3035比较已提取的两个特征量并且判断当前关注的指定电力管理设备是否在非法操纵特征量(步骤S3129)，并且输出最终结果(步骤S3131)。可替选地，数据库管理单元3035可以对其它属性执行相同的比较和判断，然后决定最终结果。应当注意，先前所列的判断函数之一被用于特征量的比较和判断，其中，通过学习预先计算用于此函数的参数。

当判断结果为电力管理设备是恶意时，分析服务器34通知拥有该电力管理设备11的用户和/或电力公司等的服务提供服务器。

(1-27)数据库的更新以及判断词典的生成

接着，将参考图69简要描述由数据库管理单元3035进行的数据库的更新和判断词典的生成。图69是用于说明由数据库管理单元进行的数据库的更新和判断词典的生成的示图。

数据库管理单元3035将来自电力管理设备11的新的传感器信息和执行命令信息等存储在电力管理设备数据库3041中，并且还生成由操作判断单元3033使用的判断词典3043。

定期发送自电力管理设备11的传感器信息和执行命令信息、以及在注册期间发送自电力管理设备11的机器信息、使用环境信息等通过验证控制单元3031被存储在电力管理设备数据库3041中。还基于传感器信息计算指定电力管理设备11的使用时间、使用频率等，并将其存储在电力管理设备数据库3041中。

对于指定属性信息中的各属性，基于多个电力管理设备11的传感器信息、执行命令信息等提取的特征量被存储在由操作判断单元3033使用的判断词典3043中。由于假设在起始阶段少数样本存储在判断词典3043中，所以从电力管理设备11发送关于各机器的物理数据并且估计特征量。此外，由于对于指定属性信息而言样品数量可能少，所以在一些情况下，可以从物理数据提取特征量并将其用于纠正判断词典3043中存储的特征量。

(1-28)管理病毒定义文件的方法

接着，将参考图70简要描述由病毒定义文件管理单元3037执行的管理病毒定义文件的方法。图70是用于说明由病毒定义文件管理单元执行的管理病毒定义文件的方法的流程图。

病毒定义文件管理单元3037将在由操作判断单元3033进行的判断中被判断为异常的执行命令信息定义为病毒模式，以生成病毒定义文件。此后，病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中。

在生成病毒定义文件之前，首先，操作判断单元3033判断出特定电力管理设备11的操作异常(步骤S3141)。此后，病毒定义文件管理单元3037分析由操作判断单元3033判断为异常的执行命令信息并提取模式(步骤S3143)。

接着，病毒定义文件管理单元3037基于提取的模式生成文件(病毒定义文件)(步骤S3145)并且将生成的定义文件存储在病毒定义文件数据库3045中。病毒定义文件管理单元3037将生成的定义文件通过获取数据验证控制单元3007发送至电力管理设备11(步骤S3149)。每个电力管理设备11和分析服务器34能够使用该定义文件作为用于检测病毒的过滤器。

病毒定义文件管理单元3037分析包括从中提取了模式的执行命令信息的电力管理设备11的使用历史信息。结果，如果从电力管理设备11频繁发生异常，则在一些情况下，电力管理设备11被认作为恶意攻击者并且被注册在黑名单中(步骤S3151)。病毒定义文件管理单元3037也可以向电力公司报告存在这样的电力管理设备11。

注意，当电力管理设备被注册在黑名单中时，来自所注册的电力管理设备的通信接收会被拒绝和/或警告其它电力管理设备。

(1-29)指定要排除的蓄电池的方法的流程

接着，将参考图71A至图72说明由获取数据验证单元3005实施以指定要排除的蓄电池的方法的流程。图71A至图72是用于说明由获取数据验证单元实施以指定要排除的蓄电池的方法的流程图。

首先，将参考图71A至图71C说明指定对应于图63中的情况3、5、6的蓄电池的处理。

应当注意，在以下说明开始之前，假设已设置电力管理设备11签署排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等(步骤S3161)。

如果检查蓄电池风险的定时已到，则电力管理设备11的系统管理单元1125请求受控制机器125执行性能检查(步骤S3163)，该受控制机器125为受电力管理设备11管理的被管理机器。

受控制机器125的主部件于是请求与其连接的蓄电池获取关于蓄电池的与电压/电流/剩余电荷/阻抗/负载等有关的临时状态信息(即电池特征)D1和机器信息D2(步骤S3165)。

连接至受控制机器125的蓄电池获取信息D1和D2(步骤S3167)，并且将此信息和蓄电池的ID信息通过受控制机器125的主部件发送至电力管理设备11(步骤S3169)。

电力管理设备11的机器管理单元1121将获取的信息存储在电力管理设备11中存储的数据库中(步骤S3171)。电力管理设备11还向分析服务器34发出特定询问(步骤S3173)。此后，电力管理设备11与分析服务器34进行认证(步骤S3175)并且与分析服务器34建立通信路径。

接着，电力管理设备11的系统管理单元1125将获取的信息(D1、D2和蓄电池的ID信息)发送至分析服务器34(步骤S3177)。

分析服务器34中的获取数据验证单元3005的第二验证单元3011使用获取的数据来执行特征估计计算(步骤S3179)，以计算关于信息D1和D2的估计特征值。此后，第二验证单元3011计算实际测量值与估计值之间的差异并且判断出结果(步骤S3181)。接着，分析服务器34将获得的判断结果发送至电力管理设备11(步骤S3183)。

这里，针对各情况，在步骤S3181中获得的判断结果预期如下：

(情况3)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况5)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况6)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

已获取此判断结果的电力管理设备11执行用于处理异常的处理(步骤S3185)。更具体地，电力管理设备11的机器管理单元1121命令配电设备121停止向出现了异常的受控制机器125供应电力(步骤S3187)。配电设备121接收该命令并且停止向受控制机器125供应电力(步骤S3189)。

同时，电力管理设备11的系统管理单元125向用户发出警告(步骤S3191)并且更新撤销列表(步骤S3193)。此后，电力管理设备11断开有问题的受控制机器125的网络(步骤S3195)。

应当注意，尽管在图71A中示出了分析服务器34指定要排除的蓄电池的处理，但是，如果电力管理设备11具有计算估计特征值的功能，则可执行图71C中示出的处理代替图71A中的步骤S3177至S3183。更具体地，电力管理设备11从分析服务器34请求计算估计特征值所必需的信息，诸如特征值(步骤S3201)。在接收到此请求时，分析服务器34将计算估计特征值所必需的信息发送至电力管理设备11(步骤S3203)。此后，电力管理设备11使用所获取的信息计算估计特征值(步骤S3205)并且判断出结果(步骤S3207)。通过以这种方式执行处理，电力管理设备11也可以指定要排除的蓄电池。

接着，将参考图72描述用于指定和排除对应于情况7的蓄电池的流程。直到指定对应于情况7的蓄电池的处理与图71A中示出的步骤S3161至S3183相同。但是，对于对应于情况7的蓄电池的判断结果如下。

(情况7)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之内。

已获取以上判断结果的电力管理设备11执行用于处理异常的处理(步骤S3211)。更具体地，电力管理设备11的机器管理单元1121将传感器检查命令和增加检查频率的命令发送至受控制机器125(步骤S3213)。在收到此命令时，受控制机器125实施收到的命令并且请求传感器执行测量(步骤S3215)。结果，传感器输出关于警告的传感器信息(步骤S3217)。

已获取关于警告的传感器信息的电力管理设备11命令配电设备121停止向出现异常的受控制机器125供应电力(步骤S3219)。配电设备121接收该命令并停止向受控制机器125供应电力(步骤S3221)。

同时，电力管理设备11的系统管理单元1125向用户发出警告(步骤S3223)并更新撤销列表(步骤S3225)。此后，电力管理设备11断开有问题的受控制机器125的网络(步骤S3227)。

这完成了对于指定要排除的蓄电池的方法和排除蓄电池的方法的流程的描述。

由于上述分析服务器34的存在，可以保护电力管理设备11免受已有攻击以及未知攻击。根据本实施例的分析服务器34的获取数据验证单元3005具有能够进行启发式的或者基于物理分析的判断的功能，这意味着当出现问题时能够高速进行判断。

此外，通过使用由获取数据验证单元3005生成的验证结果，可以指定已针对从合法蓄电池和非法蓄电池(如复制品)中的任一个获得的物理数据或数字信息识别出差异的机器。通过这样做，可以从局部电力管理系统1中去除有问题的蓄电池，或者停止向这样的蓄电池供应电力。对蓄电池颁发了多种安全措施，但是即使在通过这些安全措施无法控制时，也可以通过本方法来确保保持安全。

(1-30)存在多个电力管理设备时的处理

接着，将参考图73至图75描述在局部电力管理系统1中存在多个电力管理设备11时的处理。

这里，将参考图73至图75描述多个电力管理设备11的使用。如上所述，电力管理设备11用作针对局部电力管理系统1中的机器等的电力供应的总管理者。这意味着，如果电力管理设备11出故障或者由于软件升级而停用，则无法使用局部电力管理系统1中的机器等。为做好针对此类情形的准备，优选使用多个电力管理设备11。但是，电力管理设备11用作针对电力相关信息的总管理者并且控制局部电力管理系统1中的各机器等。这意味着，需要特定措施来使多个电力管理设备11安全且高效地执行复杂管理和控制。一个可想到的措施是图73至图75所示的方法。

控制操作

首先，将参考图73描述使用多个电力管理设备11控制机器等的方法。应当注意，多个电力管理设备11的协同操作通过信息管理单元112中包括的系统管理单元1125的功能来实现。

如图73所示，首先，系统管理单元1125检查是否有两个或更多电力管理设备11处于工作中(步骤S4001)。在进行检查时，系统管理单元1125使用局部通信单元111的功能来询问其它电力管理设备11的系统管理单元1125并检查这些电力管理设备11是否工作。当有两个或更多电力管理设备11工作时，系统管理单元1125的处理进入步骤S4003。同时，在没有其它电力管理设备11工作时，系统管理单元1125的处理进入步骤S4009。

当处理从步骤S4001进入到步骤S4003时，系统管理单元1125将指定的电力管理设备11设置为父装置并将其余电力管理设备11设为子装置(步骤S4003)。例如，当预先决定了用于将电力管理设备设置为父装置的基于优先级的顺序时，具有最高优先级等级的电力管理设备11被设置为父装置。应当注意，这里使用的表述“父装置”和“子装置”是指电力管理设备11的属性。通过设置该属性，在控制机器等时，具有“子装置”属性的电力管理设备11将控制信号发送至具有“父装置”属性的电力管理设备11(步骤S4005)。

当从多个子装置向父装置发送了控制信号时，父装置的系统管理单元1125基于择多判决或父装置进行的判断(随机地或者根据预定条件)，决定要发送至机器等的控制信号(步骤S4007)。一旦决定了控制信号，控制单元115将系统管理单元1125所决定的控制信号发送至机器等，以使该机器等根据控制信号执行处理(步骤S4011)并结束该系列处理。同时，在处理已从步骤S4001进入到步骤S4009时，控制单元115将自身生成的控制信号发送至机器等，以使该机器等根据控制信号进行处理(步骤S4009)并结束该系列处理。

这样，系统管理单元1125具有用于设置每个电力管理设备11的属性的功能以及用于选择控制信号的功能。系统管理单元1125能够使用这样的功能高效地控制机器等。在一个或多个电力管理设备11已损坏或者已由于更新目的而停用时，还可以使另一个电力管理设备11继续电力管理，从而避免机器等变得不可用的情况。

更新期间的操作

接着，将参考图74和图75描述更新用于定义电力管理设备11的基本操作的软件(或“固件”)的方法。应当注意，对于固件的更新处理由系统管理单元1125的功能实现。这里，假设局部电力管理系统1中有N个电力管理设备11处于工作中。

如图74所示，系统管理单元1125首先检查是否有两个或更多电力管理设备11处于工作中(步骤S4021)。当有两个或更多电力管理设备11在工作时，系统管理单元1125的处理进入步骤S4023。同时，在没有其它电力管理设备11在工作时，系统管理单元1125结束关于更新的一系列处理。

当处理进入到步骤S4023时，系统管理单元1125从协同操作中去除要更新的第一电力管理设备11并执行更新(步骤S4023)。当这样做时，已从协同操作中被去除的电力管理设备11的系统管理单元1125从系统管理服务器33获取最新的固件并且将旧的固件更新为最新的固件。当完成了对固件的更新时，协同操作的其余电力管理设备11检查已完成更新的电力管理设备11的操作(步骤S4025、S4027)。

如果电力管理设备11操作正常，则处理进入到步骤S4029。同时，如果更新后的电力管理设备11操作不正常，则处理进入到步骤S4031。当处理进入到步骤S4029时，包括更新后的电力管理设备11的多个电力管理设备11的系统管理单元1125使更新后的电力管理设备11回到协同操作中(步骤S4029)，并且变更要更新的电力管理设备11。此时，检查是否针对所有N个电力管理设备11完成了更新(步骤S4033)，并且在N个设备的更新完成时，更新处理结束。

同时，当未针对所有N个电力管理设备11完成更新时，处理返回至步骤S4023并且对下一个要更新的电力管理设备11进行更新处理。这样，重复执行步骤S4023至步骤S4029中的处理，直到完成对所有N个电力管理设备11的更新。但是，当处理从步骤S4027进入步骤S4031时，进行更新取消处理(步骤S4031)，并且结束关于更新的一系列处理。

这里，将参考图75描述更新取消处理。

如图75所示，当开始更新取消处理时，更新后的电力管理设备11的系统管理单元1125将更新后的电力管理设备11的固件返回到更新前的状态(步骤S4041)。此后，协同操作的其余电力管理设备11的系统管理单元1125检查已返回至更新前的状态的电力管理设备11是否正常操作(步骤S4043、S4045)。

如果返回至更新前的状态的电力管理设备11正常操作，则处理进入到步骤S4047。同时，如果返回至更新前的状态的电力管理设备11操作不正常，则更新取消处理以此状态结束。当处理进入到步骤S4047时，包括返回至更新前的状态的电力管理设备11在内的多个电力管理设备11的系统管理单元1125将返回至更新前的状态的电力管理设备11返回到协同操作(步骤S4047)并且更新取消处理结束。

这样，在更新期间进行如下处理：使要更新的电力管理设备11脱离协同操作，并且在更新后确认操作正常时使电力管理设备11返回协同操作。如果更新失败，还执行如下处理：在电力管理设备返回至更新前状态后检查正常操作，并且如果确认了操作正常，则将电力管理设备11返回至协同控制。通过使用这种配置，能够进行更新而不影响协同操作的电力管理设备11并且保证电力管理设备11的安全操作。

(2)第二实施例

(2-1)第二实施例概述

局部电力管理系统是向低能量社会转型的一个标志，但是目前，由于安装所需要的工作的原因，这样的系统仍有待变得普遍。这种情形意味着，将其它有吸引力的方面加入到系统安装和使用中以鼓励更多用户安装系统从而实现低能量社会很重要。这样的附加吸引力的一个示例为提供与局部电力管理系统关联的娱乐(例如游戏)。

目前在售的多数视频游戏是虚拟的。尽管有些游戏(例如关于历史事件或运动的游戏)使用真实人物和场所的名字和/或在游戏视频中使用实际片段，但是游戏自身还是与实际社会或现实生活没有联系。由于该原因，在下文描述的本发明第二实施例中，提出了现实生活的游戏，在该现实生活的游戏具有的故事情节中，游戏内容自身能够导致在单独的局部电力管理系统(例如，家庭系统)中降低能量使用。

另外，过去的游戏仅能够以诸如得分、在游戏中收集的项目以及打通的关数等的无形形式吸引用户以及提供满足和成就感。但是，利用诸如以下描述的与系统关联的娱乐，能够在实际的局部电力管理系统的操作中实现游戏中的有效博弈和策略。通过这样做，根据本实施例的与系统关联的娱乐具有能导致现实世界利益(诸如对电力的实际控制，降低电力消耗，有益于降低CO₂，以及从电力售卖中获利)的方面，并且同时具有切实的效果，从而用户能够获得现实世界的利益。

从以上应当看出，通过使用以下描述的与系统关联的娱乐，用户能够在进行环保的行为(例如降低电力消耗)时得到乐趣。

应当注意，尽管本实施例是应用于局部电力管理系统的示例，但是，还可以将本发明应用于任何具有切实效果的与现实世界相关联的游戏。

与系统关联的娱乐由电力管理设备11的服务提供单元118实现，该服务提供单元118操作用于被关联到电力管理设备11的各处理单元以及在局部电力管理系统1之外存在的服务提供服务器31(游戏服务提供服务器)。此外，通过操作能够连接至电力管理设备11的受控制机器125，用户能够享受由游戏呈现的与系统关联的娱乐。

(2-2)服务提供单元的配置

首先，将参考图76和图77描述电力管理设备11的服务提供单元118的配置。图76和图77是用于说明电力管理设备的服务提供单元的配置的框图。

应当注意，假设根据本实施例的电力管理设备11包括根据本发明第一实施例的电力管理设备11的处理单元，并且能够实现与根据第一实施例的电力管理设备11相同的功能。

服务提供单元118例如由CPU、ROM、RAM等实现。如图76所示，服务提供单元118包括游戏服务提供单元1181和“其它服务”提供单元1182。

游戏服务提供单元1181例如由CPU、ROM、RAM等实现。游戏服务提供单元1181包括游戏控制单元1701、部件库1707和内容库1709。

游戏控制单元1701例如由CPU、ROM、RAM等实现。游戏控制单元1701是关联到部件库1707和游戏服务提供服务器31的处理单元并且进行游戏的基本设置，如游戏的背景故事和阶段。此外，当执行存储在内容库1709和/或游戏服务提供服务器31中的游戏程序时，游戏控制单元1701控制游戏程序的执行，以控制游戏如何进展。游戏控制单元1701包括现实世界构建单元1703和虚拟世界构建单元1705。

现实世界构建单元1703例如由CPU、ROM、RAM等实现。现实世界构建单元1703参考存储在电力管理设备11的存储单元113等中的数据库，并且构建集成有与实际的局部电力管理系统1相关的信息的现实世界。

虚拟世界构建单元1705例如由CPU、ROM、RAM等实现。虚拟世界构建单元1705构建预先设置在内容程序中的虚拟世界。

游戏控制单元1701在将现实世界构建单元1703与虚拟世界构建单元1705彼此关联的同时，实现与系统关联的娱乐。

游戏控制单元1701能够访问电力管理设备11中的数据库并且还具有对于电力管理设备11的控制执行路径。

由游戏控制单元1701控制的游戏在人物中包括另一局部电力管理系统1的成员，并且使得用户能够享受对战或者作为作用扮演游戏的成员远程操作游戏。应当注意，当允许其它系统的成员参与时，应当优选防止此类其它系统的成员访问本系统1的现实世界。

部件库1707是设置在游戏服务提供单元1181中的数据库。与游戏内容中出现的诸如虚拟家具、虚拟机器和人物的部分以及在游戏期间出现的项目等有关的信息被记录在部件库1707中。应当注意，部件库1707可存在于游戏服务提供服务器31中。

内容库1709是设置在游戏服务提供单元1181中的另一数据库。在内容库1709中存储能够由电力管理设备11执行的游戏内容的各种实际程序。

图77示出内容库1709中存储的游戏内容的一个示例。下面简要描述游戏内容的特定示例。

房间装饰(现实世界游戏)

该游戏具有以下构思：自房间的当前布局改变家具和家用机器的布局，搭配窗帘和地毯，购买新的家具和家用机器，以及争取生成具有最佳色彩和品位的内部设计。该游戏使得用户能够掌握机器所使用的总电量如何随着改变房间布局而变化，或者掌握当购买并设置了新的家用机器时电量发生什么变化。这里，提供能够显示具有现实世界属性(如制造商、设计和电力消耗)的项目的库。这样的库可以存储在游戏服务提供服务器31中。对于与现实世界关联的改进的项目，可以实施“结果应用模式”(在该模式中，游戏结果被应用于现实世界系统)。

送别电老虎(The Power Eaters)(现实世界+虚拟世界游戏)

该游戏显示当前房间中的当前电力使用并且关闭不需要的灯。该游戏还允许用户通过调整照明、音量等来争取降低电力和/或从售卖更多电力中获利。结果应用模式可针对该游戏的该部分实施。游戏还具有虚拟世界的概念，在该虚拟世界中，“电老虎”四处游走，将灯打开，而用户尽其最大可能争取打败该“电老虎”。

终极生活方式冒险队(现实世界+虚拟世界游戏)

该游戏由如下阶段组成：用户旨在使用实际家庭中存在的机器来实现终极低消耗生活方式的阶段，以及用户旨在使用虚拟家庭中的机器达到终极生活方式的阶段。

拯救地球！重现绿色大工程(虚拟世界游戏)

该游戏具有以下构思：用户争取从由CO2排放引起的全球变暖危机中存活下来。用户装扮国家环境大臣的作用并通过各关，同时掌握国内公众意见并与其它国家谈判。这是智力游戏，该智力游戏能够使用现实世界的统计量和情形来实现关于环境的先进知识。

作用扮演游戏(现实世界+虚拟世界游戏)

该游戏具有仅将第一层与现实世界关联的阶段，而其它阶段提供匹配形式的虚拟环境(例如，花园、储藏室和密闭室)，然后在其中开展故事。在现实世界阶段中，能够对可以反映在电力状态上的游戏结果实施结果应用模式。

(2-3)关联到数据库

接着，将参考图78描述与电力管理设备11的数据库的关联，在该数据库中存储表明现实世界的局部电力管理系统1的状态的各种信息。图78是用于说明与电力管理设备中的数据库的关联的示图。

作为示例，以下示出的数据被存储在电力管理设备11中所存储的数据库中。

-受控制机器、电动交通工具、发电设备、电力储存设备、机器的蓄电池、受控制插座、插座扩展设备等的机器信息；

-与上述设备相关的电力信息(使用/电力储存状态)和位置信息；

-注册的用户和访问权利；

-电费信息和账户信息；

-时间、天气、温度。

通过使用这些数据，游戏控制单元1701在游戏中再现现实世界。

通过布置这些机器，现实世界构建单元1703能够构想游戏场景的整体建筑平面图。例如，通过假设具有冰箱等表示就餐区域，具有个体计算机或灯表示个体房间，具有洗衣机表示浴室或洗手间区域，具有电动交通工具表示车库，并且具有灯表示走廊，可以构想建筑平面图。现实世界构建单元1703基于这样的假设决定建筑平面图，并且从部件库1707布置代表机器、家具等的项目。

现实世界构建单元1703基于注册的用户信息决定游戏人物。在现实世界中，实际机器和项目属性是关联的，使得可以显示这些机器并且在结果应用模式中进行诸如切断电源等动作。因此，当用户选择了在显示屏幕等上布置的诸如机器图标之类的对象时，显示数据库中写入的、诸如所选机器的机器信息、电力信息等的各种信息。

由于当游戏中仅使用现实世界时游戏场景会受限，所以虚拟世界构建单元1703将游戏内容中预先设置的虚拟世界加入到基于现实世界设置的游戏场景中，以配置更多游戏场景(故事背景)。

在图78中，示出在显示装置的显示区域中显示现实世界的状态。用户能够在操作主要作用时享受该阶段上的游戏。

(2-4)与系统关联的娱乐的安全性

接着，将参考图79描述与系统关联的娱乐的安全性。图79是用于说明与系统关联的娱乐的安全性的示图。

在执行本游戏的系统中，优选注意关于安全性的以下三点：

(1)由于电力管理设备上的游戏接受匿名第三方参加，或者来自使用这些连接的恶意第三方的攻击，所以存在电力管理设备损坏的风险、对结果应用模式的控制权受到损害的风险、电力管理设备中的保密信息泄露的风险等。

(2)从恶意的第三方机器执行电力管理设备上的游戏并且实施有害行为。

(3)电力管理设备和与售卖电力相关的服务提供服务器(电力销售管理服务器)之间的保密信息(账户/收费信息等)泄露。

安全风险1

首先，当电力管理设备上的游戏接受的匿名第三方参与时，该游戏被设计成将该参与限制于仅由虚拟世界构成的阶段，从而防止从游戏中泄露电力管理设备中的保密信息。

接着，为了阻止来自恶意第三方的攻击，必需防止第三方自由控制电力管理设备。为此，通过将病毒移除软件安装至电力管理设备中，来检测和/或移除第三方攻击。通过使用电子水印来防止电力管理设备被接管以及通过使用分析服务器34来根据执行历史检测可疑的重复攻击等并防止执行和/或切断连接，可进一步提供保护免受攻击。

安全风险2

机器和玩家检查成员是否为允许玩该游戏的合法成员。即使该成员是合法成员，但是由于小孩优选不参与诸如售电等行为，所以访问游戏自身被分成多个级别并且进行成员是否具有访问权利和/或能够实施结果应用模式的设置。当允许其它用户玩游戏时，则进行控制以防止故事使用现实世界信息。

因此，在电力管理设备中预先设置机器和用户，指定访问级别，并且对于机器和用户两者实施认证。该认证能够使用与第一实施例中示出的使用公钥或公用密钥或者两者的方法相同的方案。优选还在游戏中包括用于以指定间隔实施认证的配置。优选还在没有访问权限的用户使用该游戏时防止数据库被访问。

安全风险3

优选在售卖电力期间而不是仅仅对于本游戏实施安全措施。如果由局部电力管理系统1通过因特网进行的服务认证起作用，则这应该不成问题。

(2-5)与系统关联的娱乐的流程

接着，将参考图80至图81B描述由根据本实施例的电力管理设备11提供的与系统关联的娱乐的流程。图80至图81B是用于说明与系统关联的娱乐的流程的流程图。注意，图80至图81B用于说明作为与系统关联的娱乐的一个示例的游戏。

注意，在以下说明开始之前，假设希望玩与局部电力管理系统1关联的游戏的用户通过操作显示终端(例如，诸如电视机的显示机器，或者诸如移动电话或移动游戏控制台的便携式机器)玩该游戏，该显示终端具有显示屏并且能够连接至电力管理设备11。用户用以玩游戏的机器也可以是电力管理设备11自身。

首先，将参考图80描述总体流程。

首先，用户接通显示终端125的电力以激活终端自身(步骤S5001)。在激活终端后，用户选择诸如用于启动游戏的图标的对象，从而请求电力管理设备11启动游戏。

接收到请求的电力管理设备11实施如下处理：对显示终端进行认证，以判断请求启动游戏的显示终端是否是由电力管理设备11自身管理的被管理机器(步骤S5003)。此外，如图81A和图81B具体所示，由于提供给用户的游戏的功能根据显示终端是否为被管理机器而不同，所以电力管理设备11检查设置信息(步骤S5005)并且确认能提供哪些功能。此后，电力管理设备11启动游戏程序(步骤S5007)并且将必要数据类型发送至显示终端。

显示终端接收从电力管理设备11发送的数据类型并且将游戏的初始画面显示在显示终端125的显示屏幕上(步骤S5009)。用户选择诸如代表游戏并且显示在初始画面上的图标的对象(步骤S5011)，以指定用户希望玩的游戏内容。这里，显示屏幕上显示的游戏是存储在内容库1709等中的游戏之中准许用户执行的游戏。

用户操作显示终端125的输入设备(鼠标、键盘、触摸板等)以开始游戏(步骤S5013)。根据显示终端上的游戏进展，电力管理设备11载入各数据、准备数据和/或存储游戏内容(步骤S5015)。

存在以下情况：在游戏期间的任意时间，用户请求开始结果应用模式，在该结果应用模式中，游戏结果被应用于实际系统(步骤S5017)。接收到请求的电力管理设备11检查是否可由发出对于结果应用模式的开始请求的用户执行结果应用模式(步骤S5019)。在检查设置信息等以检查用户的访问权和执行权从而确认执行风险后(步骤S5020)，电力管理设备11向显示终端呈现结果应用模式之中可执行动作的范围(步骤S5021)。

在显示终端处，在显示屏幕上显示从电力管理设备11呈现的内容并邀请用户选择执行内容(步骤S5023)。显示终端将用户的选择的内容通知给电力管理设备11。

根据用户的选择结果，电力管理设备11依据用户的选择结果向配电设备发出针对该选择结果的适当执行指令(步骤S5025)。电力管理设备11更新日志信息(步骤S5027)并且通知用户结果应用模式的执行已结束(步骤S5029)。

接着，将参考图81A和图81B描述与系统关联的娱乐的具体流程。

如前所述，用户操作执行游戏的机器以开始游戏，电力管理设备11的游戏服务提供单元1181等待从显示终端发送关于游戏的开始请求(步骤S5031)。

当从显示终端发送了游戏开始请求时，电力管理设备11实施对于发送了游戏开始请求的显示终端的机器认证(步骤S5033)。通过这样做，电力管理设备11能够检查已请求游戏开始的显示终端是否是由电力管理设备11自身管理的被管理机器(步骤S5035)。

当显示终端不是被管理机器时，电力管理设备11的游戏服务提供单元1181检查是否允许电力管理设备11的用户开始游戏(步骤S5037)，并且如果不允许电力管理设备11的用户执行游戏，则处理结束。当允许电力管理设备11的用户执行游戏时，电力管理设备11的游戏服务提供单元1181实施如下所述的步骤S5039。

同时，如果显示终端是被管理机器，或者不是被管理机器但是已从电力管理设备11的用户获得允许来执行游戏，则电力管理设备11的游戏服务提供单元1181进行用户认证(步骤S5039)。

如果电力管理设备11的游戏服务提供单元1181已确认用户是电力管理设备11中注册的成员，则根据用户的控制权的级别设置游戏的访问级别和结果应用模式的控制级别(步骤S5041)。

接着，电力管理设备11的游戏服务提供单元1181启动游戏的主程序(步骤S5043)并且使游戏的初始显示显示在用户所使用的显示终端上。

一旦显示终端的用户选择了用户希望玩的游戏内容，则选择结果被发送至电力管理设备11，使得电力管理设备11的游戏服务提供单元1181能够指定选择的游戏内容(步骤S5045)。

电力管理设备11的游戏服务提供单元1181检查指定的内容是否能够由显示终端的用户访问以及结果应用模式是否能够实施(步骤S5047)。

当游戏用户不具有访问权或者不具有实施结果应用模式的授权时，电力管理设备11的游戏服务提供单元1181进行设置，使得在游戏被激活时不可访问数据库且实施结果应用模式(步骤S5049)。

当游戏用户具有访问权并且能够实施结果应用模式时，电力管理设备11访问数据库并且收集被管理机器的机器信息和电力信息(步骤S5051)。

游戏服务提供单元1181的游戏控制单元1701使用步骤S5051中收集的各种信息来构建诸如游戏的故事背景的基本设置(步骤S5053)。当结束对基本设置的构建时，游戏控制单元1701基于所设置的故事背景对选择的游戏内容进行执行控制(步骤S5055)。在此发生时，电力管理设备11和显示终端进行交互式通信，使得电力管理设备11在终端的显示器上显示游戏画面并且从显示终端发送用户所输入的信息。此外，在该时间期间，电力管理设备11的游戏控制单元1701判断是否进行了请求结束游戏、中断游戏等的处理(步骤S5057)。

在用户选择了诸如结束游戏、中断游戏等的状态后，如果游戏是可激活结果应用模式的内容，则电力管理设备11的游戏服务提供单元1181检查用户是否希望切换到结果应用模式(步骤S5059)。

如果用户选择不切换到结果应用模式，则电力管理设备11的游戏服务提供单元1181检查是否保存游戏内容并且结束游戏程序。

此外，当切换到结果应用模式时，电力管理设备11的游戏服务提供单元1181确认用户是否具有结果应用模式的执行权(步骤S5061)。如果用户不具有结果应用模式的执行权，则电力管理设备11的游戏服务提供单元1181结束游戏程序。

当用户具有结果应用模式的执行权时，电力管理设备11的游戏服务提供单元1181基于游戏从激活到当前点的内容提取能够对实际机器实施的控制(步骤S5063)并且向用户显示列表。

在显示列表之前，电力管理设备11的游戏服务提供单元1181应当优选实施风险检查。更具体地，游戏服务提供单元1181应当询问分析服务器34，以基于可控制的内容及其历史检查所述控制是否可疑，并且从上述提取的列表中删除可疑控制。通过这样做，除关于网络攻击等的风险之外，可以检查与关断优选具有不中断连接的机器(例如家用机器，如冰箱)的电源的命令有关的风险。

游戏用户从显示终端的显示屏幕上显示的列表中选择用户希望实施的项目，诸如“关闭机器A”。选择结果被发送到电力管理设备11并且电力管理设备11能够指定该项目内容(步骤S5065)。

此后，根据用户的选择结果，电力管理设备11根据该选择结果向配电设备121、受控制插座123、受控制机器125等发出执行指令(步骤S5067)。电力管理设备11更新日志信息(步骤S5069)并且检查所有控制是否均已执行(步骤S5071)。

电力管理设备11从命令目标机器接收执行结束，并且如果所有控制均已执行，则向用户显示结束消息(步骤S5073)。电力管理设备11检查游戏是否要结束或者继续(步骤S5075)，并且在游戏继续时返回步骤S5055。同时，在游戏要结束时，电力管理设备11结束游戏。

通过根据上述流程进行处理，电力管理设备能够向用户提供诸如游戏的与局部电力管理系统关联的娱乐。结果，由于局部电力管理系统的有吸引力的应用，与系统关联的娱乐能够实际对电力和CO₂的减少作出贡献。

硬件配置

接着，将参考图82具体描述根据本发明实施例的电力管理设备11的硬件配置。图82是用于说明根据本发明实施例的电力管理设备11的硬件配置的框图。

电力管理设备11主要包括CPU 901、ROM 903和RAM 905。此外，电力管理设备11还包括主机总线907、桥909、外部总线911、接口913、输入装置915、输出装置917、存储装置919、驱动921、连接端口923和通信装置925。

CPU 901用作算术处理设备和控制装置，并且根据ROM 903、RAM905、存储装置919或可移动记录介质927中记录的各种程序来控制电力管理设备11的总体操作或者部分操作。ROM 903存储由CPU 901使用的程序、操作参数等。RAM 905主要存储CPU 901的执行中使用的程序以及在该执行期间适当变化的参数等。这些部件通过从内部总线(如CPU总线等)构成的主机总线907而彼此连接。

主机总线907通过桥909连接至外部总线911(如PCI，即外围组件互连/接口)。

输入装置915是由用户操作的操作部件，如鼠标、键盘、触摸板、按钮、开关和操作杆。此外，输入装置915可以是使用例如红外光或其它无线波的远程控制部件(所谓的远程控制)，或者可以是诸如符合电力管理设备11的操作的移动电话或PDA的外部连接的装置929。此外，输入装置915基于例如用户利用以上操作部件输入的信息而生成输入信号，并且由用于将输入信号输出至CPU 901的输入控制电路构成。电力管理设备11的用户能够将各种数据输入电力管理设备11并且能够通过操作该输入设备915指示电力管理设备11执行处理。

输出装置917由能够在视觉上或者听觉上将获取的信息通知给用户的装置构成。这样的装置的示例包括：诸如CRT显示装置、液晶显示装置、等离子体显示装置、EL显示装置和灯泡的显示装置，诸如扩音器和耳机，打印机，移动电话，传真机等的音频输出装置等。例如，输出装置917输出通过由电力管理设备11执行的各种处理获得的结果。更具体地，显示装置以文本或图像形式显示通过由电力管理设备11执行的各种处理获得的结果。另一方面，音频输出装置将音频信号(如再现的音频数据和声音数据)转换成模拟信号，并输出该模拟信号。

存储装置919是被配置为电力管理设备11的存储单元的示例的用于存储数据的装置，并用于存储数据。存储装置919例如由磁存储装置(如HDD，即硬盘驱动器)、半导体存储装置、光存储装置或磁光存储装置构成。存储装置919存储待由CPU 901执行的程序、各种数据和从外部获得的各种数据。

驱动921是用于记录介质的读取器/写入器，并且植入电力管理设备11中或者在外部安装至电力管理设备11上。驱动921读取所安装的可移动记录介质927(如磁盘、光盘、磁光盘或半导体存储器)中记录的信息，并且将所读取的信息输出至RAM 905。此外，驱动921能够写所安装的可移动记录介质927(如磁盘、光盘、磁光盘或半导体存储器)。可移动记录介质927为例如DVD介质、HD-DVD介质或蓝光介质。可移动记录介质927可以是致密闪存(CF，注册商标C)、闪速存储器、SD存储卡(安全数字存储卡)等。可替选地，可移动记录介质927可以例如为装配有非接触式IC芯片或电器的IC卡(集成电路卡)。

连接端口923是用于允许装置直接连接至电力管理设备11的端口。连接端口923的示例包括USB(通用串行总线)端口、IEEE 1394端口、SCSI(小型计算机系统接口)端口等。连接端口923的其它示例包括RS-232C端口、光学音频终端、HDMI(高清晰度多媒体接口)端口等。通过连接至该连接端口923的外部连接的设备929，电力管理设备11从外部连接的设备929直接获得各种数据并且向外部连接的设备929提供各种数据。

通信装置925是例如由用于连接至通信网络931的通信装置构成的通信接口。通信装置925例如为有线或无线LAN(局域网)、蓝牙(注册商标)、WUSB(无线USB)的通信卡等。可替选地，通信装置925可以是用于光通信的路由器、用于ADSL(非对称数字用户线)的路由器、用于各种通信的调制解调器等。该通信装置925例如能够根据因特网上的预定协议(如TCP/IP)与其它通信装置发送和接收信号等。连接至通信装置925的通信网931由通过有线或无线连接的网络等构成，例如可以为因特网、家庭LAN、红外通信、无线波通信、卫星通信等。

到此为止，已示出能够实现根据本发明实施例的电力管理设备11的功能的硬件配置的示例。每个上述结构器件可以使用通用材料构成，或者可以由专用于每个结构器件的功能的硬件构成。因此，要使用的硬件配置能够根据实行本发明时的技术水平而适当变化。

由于根据本发明实施例的受控制机器125和分析服务器34的硬件配置与根据本发明实施例的电力管理设备11的配置相同，所以省略其具体描述。

尽管已参考附图具体描述了本发明的优选实施例，但是本发明不限于以上示例。本领域技术人员应当理解，依据设计要求以及其它因素，只要各种变型、组合、子组合和替选方案在所附权利要求书及其等同内容的范围内，则可以进行这些变型、组合、子组合和替选方案。

本申请包含与2010年1月25日向日本专利局提交的日本优先权专利申请JP 2010-013677中公开的主题相关的主题，该优先权专利申请的全部内容通过引用合并于此。

Claims (6)

1.一种电力管理设备，包括：

被管理机器注册单元，所述被管理机器注册单元对连接至电力网络的电器进行认证，并将认证成功的电器注册为被管理机器；

被管理机器信息获取单元，所述被管理机器信息获取单元从所述被管理机器获取包括以下信息的机器信息中的至少任一个作为被管理机器信息：对于所述电器而言唯一的标识信息、表示所述电器的操作状态的信息、表示所述电器的使用状态的信息以及所述电器的电力信息；

数据库，所述数据库存储所述被管理机器信息；以及

游戏服务提供单元，所述游戏服务提供单元向所述电器提供使用主题为电力的游戏内容的服务，

其中，所述游戏服务提供单元包括：

游戏控制单元，所述游戏控制单元控制所述游戏内容的执行；

现实世界构建单元，所述现实世界构建单元基于存储在所述数据库中的所述被管理机器信息而构建游戏的反映现实世界环境的设置；以及

虚拟世界构建单元，所述虚拟世界构建单元基于所述游戏内容中预先设置的设置而构建所述游戏的反映虚拟环境的设置；以及

其中，所述游戏控制单元能够操作用于通过组合由所述现实世界构建单元构建的游戏的设置和由所述虚拟世界构建单元构建的游戏的设置来初始化所述游戏内容。

2.根据权利要求1所述的电力管理设备，其中：

在所述数据库中描述有表示所述电器的位置的位置信息，以及，

所述现实世界构建单元能够操作用于基于所述位置信息而布置与在游戏阶段中被注册为所述被管理机器的所述电器相对应的对象。

3.根据权利要求2所述的电力管理设备，其中，所述游戏控制单元能够操作用于在选择了与所述电器相对应的对象时在显示所述游戏内容的显示屏幕上显示以下信息中的任一信息：与所选择的对象相对应的电器的机器信息、表示操作状态的信息、表示使用状态的信息以及电力信息。

4.根据权利要求3所述的电力管理设备，还包括：

控制单元，用于对所述被管理机器的操作以及向所述被管理机器的电力供应进行控制，其中，

在所述游戏内容中设置用于将所述游戏内容的游戏结果应用于现实世界中的、所述电器的结果应用模式，以及

所述控制单元能够操作用于当存在来自所述游戏控制单元的表示执行了所述结果应用模式的通知时将所述游戏的结果反映到实际的电器。

5.根据权利要求1所述的电力管理设备，其中，所述游戏服务提供单元在与设置在所述电力管理设备外部的游戏服务提供服务器协同运作的同时提供使用游戏内容的服务。

6.一种提供游戏内容的方法，包括以下步骤：

对连接至电力网络的电器进行认证并将认证成功的电器注册为被管理机器；

从所述被管理机器获取包括以下信息的机器信息中的至少任一个作为被管理机器信息：对于所述电器而言唯一的标识信息、表示所述电器的操作状态的信息、表示所述电器的使用状态的信息以及所述电器的电力信息；以及

向所述电器提供使用主题为电力的游戏内容的服务，

其中，所述提供步骤还包括以下步骤：

通过参考存储有所述被管理机器信息的数据库来构建游戏的反映现实世界环境的设置；以及

基于所述游戏内容中预先设置的设置而构建所述游戏的反映虚拟环境的设置，以及

其中，通过组合在所述构建游戏的反映现实世界环境的设置的步骤中构建的游戏的设置以及在所述构建所述游戏的反映虚拟环境的设置的步骤中构建的游戏的设置来初始化所述游戏内容。

Images