CN102136762A - 电子水印生成设备和方法、电子水印验证设备和方法 - Google Patents

Abstract

本发明提供了一种电子水印生成设备和方法、电子水印验证设备和方法，其中，该电子水印生成设备包括：机器特征信息生成单元，其通过使用由测量电子机器的特性的传感器获取的物理数据，生成表征电子机器的机器特征信息；电子水印生成单元，其对于机器特征信息，生成用于检测信息是否已被篡改的电子水印信息；嵌入位置确定单元，其分析机器特征信息，并且确定电子水印信息在机器特征信息中的嵌入位置；以及电子水印嵌入单元，其将由电子水印生成单元生成的电子水印信息嵌入由嵌入位置确定单元确定的机器特征信息上的位置中。

Description

电子水印生成设备和方法、电子水印验证设备和方法

技术领域

本发明涉及电子水印生成设备、电子水印验证设备、生成电子水印的方法以及验证电子水印的方法。

背景技术

近年来，被称为智能电网的技术一直受到关注。智能电网是通过与传输网(transmission network，输电网)一起构建具有通信信道的新传输网并且使用该智能传输网来实现有效电力使用的技术框架。智能电网的背景思想是实现电力使用量的有效管理，当事故发生时迅速处理这种事故，远程控制电力使用量，使用在电力公司控制之外的发电设施的分布式发电，或者电动交通工具(vehicle)的充电管理。特别地，由普通家庭或操作者而非电力公司使用可再生能源对室内发电站的有效利用以及通常包括电动汽车的多种电动交通工具的充电管理已经引起高度关注。顺便提及，可再生能源是在不使用矿物燃料的情况下生成的能源。

发电操作者使用由普通家庭或除电力公司之外的操作者生成的电力。目前由电力公司购买发电操作者使用之后剩余的电力。然而，购买由在电力公司控制之外的发电设施供给的电力，对于电力公司来说是很重的负担。例如，由光电发电设施供给的电力量取决于天气。而且，由普通家庭的室内发电站提供的电力量取决于一天天大量改变的普通家庭的电力使用。从而，电力公司很难从在电力公司控制之外的发电设施接收稳定的供电。由于以上原因，电力公司在未来购买电力可能变得困难。

从而，在临时将电力储存在蓄电池中之后使用在由电力公司控制之外的发电设施生成的电力的家庭蓄电池计划(home battery initiative)近来已经引起关注。例如，考虑通过将由光电发电设施生成的电力储存在蓄电池中并且补偿在夜晚或者当天气不好时的缺乏来使用这种电力的方法。而且，考虑以下这种方法：根据电池储存量限制从电力公司接收的电力量，或者通过将电力公司在电费较低的夜晚供给的电力储存在蓄电池中而在电费较高的白天使用储存在蓄电池中的电力。此外，蓄电池可以将电力储存为DC，这使得在传输期间无需DC/AC转换或AC/DC转换，从而可以减少转换期间的损失。

从而，关于电力管理的多种期望相互混合在智能电网计划中。为了实现这种电力管理，智能电网计划以具有通信信道以及传输网为前提。也就是说，假设通过使用该智能传输网来交换关于电力管理的信息(例如，参见JP-A-2008-109849)。然而，在已经建造了通信基础设施的区域中，不使用传输网作为通信信道，而是可通过使用由所配置的通信基础设施构建的网络来交换关于电力管理的信息。

考虑到以上内容，上述专利文献提出了一种从远程位置操作进行电力管理的电子机器的技术，并且尝试提高用户的便利性。

发明内容

然而，与上述专利文献中一样，能够从远程位置控制电子机器，这意味着可通过恶意的第三方伪造在电力管理系统内所交换的各种类型的信息。相应地，需要检测是否篡改了信息并且保护电力管理系统的机构。

考虑到上述情况，期望提供新的且改进的、并且能够检测由恶意的第三方执行的伪造信息的动作的电子水印生成设备、电子水印验证设备、生成电子水印的方法以及验证电子水印的方法。

根据本发明的一个实施例，提供了一种电子水印生成设备，其包括：机器特征信息生成单元，其通过使用由测量电子机器的特性的传感器获取的物理数据，生成表征电子机器的机器特征信息；电子水印生成单元，其对于机器特征信息，生成用于检测信息是否已被篡改的电子水印信息；嵌入位置确定单元，其分析机器特征信息，并且确定电子水印信息在机器特征信息中的嵌入位置；以及电子水印嵌入单元，其将由电子水印生成单元生成的电子水印信息嵌入由嵌入位置确定单元确定的机器特征信息上的位置中。嵌入位置确定单元将机器特征信息中噪声高的位置、SN(信噪)比高的位置以及高频域中的任一个确定为要嵌入电子水印信息的位置。

电子水印生成单元可通过使用物理数据、时间信息以及与验证电子水印的验证设备共享的共享信息中的至少任一个，生成电子水印信息。

可将嵌入有电子水印信息的机器特征信息经由位于电子水印生成设备与验证设备之间的中继设备发送至验证设备。电子水印生成单元可通过至少使用时间信息来生成电子水印信息。电子水印生成设备可定期地将嵌入有电子水印信息的机器特征信息发送至验证设备。

根据本发明的另一实施例，提供了一种电子水印验证设备，其包括：嵌入位置指定单元，其分析机器特征信息，并且指定电子水印信息的嵌入位置，其中，该机器特征信息嵌入有用于检测信息是否已被篡改的电子水印信息，并且该机器特征信息是通过使用由测量电子机器的特性的传感器获取的物理数据来生成的；电子水印提取单元，其从嵌入有电子水印信息的机器特征信息中由嵌入位置指定单元指定的位置提取电子水印信息；以及电子水印验证单元，其验证由电子水印提取单元提取的电子水印信息。嵌入位置指定单元将机器特征信息中噪声高的位置、SN比高的位置以及高频域中的任一个指定为嵌入有电子水印信息的位置。

电子水印信息是可通过使用物理数据、时间信息以及与生成电子水印的生成设备共享的共享信息中的至少任一个来生成的，并且与生成设备共享用于生成电子水印信息的信息的类型。电子水印验证单元可基于与生成设备共享的用于生成电子水印信息的信息的类型，生成电子水印信息，并且通过将由电子水印提取单元提取的电子水印信息与已生成的电子水印信息进行比较，来执行电子水印信息的生成。

经由位于电子水印验证设备与生成设备之间的中继设备，从生成设备发送嵌入有电子水印信息的机器特征信息。可通过至少使用时间信息来生成电子水印信息。电子水印验证单元可基于电子水印信息的验证是否成功，检测在中继设备中发生的异常。

根据本发明的另一实施例，提供了一种生成电子水印的方法，其包括以下步骤：通过使用由测量电子机器的特性的传感器获取的物理数据，生成表征电子机器的机器特征信息；对于机器特征信息，生成用于检测信息是否已被篡改的电子水印信息；分析机器特征信息，并且确定电子水印信息在机器特征信息中的嵌入位置；以及将在生成电子水印信息步骤中生成的电子水印信息嵌入在分析和确定步骤中确定的机器特征信息上的位置中。在分析和确定步骤中，将机器特征信息中噪声高的位置、SN比高的位置以及高频域中的任一个确定为要嵌入电子水印信息的位置。

根据本发明的另一实施例，提供了一种验证电子水印的方法，其包括以下步骤：分析机器特征信息，并且指定电子水印信息的嵌入位置，其中，该机器特征信息嵌入有用于检测信息是否已被篡改的电子水印信息，并且该机器特征信息是通过使用由测量电子机器的特性的传感器获取的物理数据来生成的；从嵌入有电子水印信息的机器特征信息中在分析和指定步骤中指定的位置提取电子水印信息；以及验证在提取步骤中提取的电子水印信息。在分析和指定步骤中，将机器特征信息中噪声高的位置、SN比高的位置以及高频域中的任一个指定为嵌入有电子水印信息的位置。

根据本发明的上述实施例，可以检测由恶意的第三方执行的伪造信息的动作。

附图说明

图1是用于说明根据本发明的实施例的电力管理系统的概况的示意图；

图2是用于说明被管理块的整体配置的示意图；

图3是用于说明局部电力管理系统中的通信网络的示意图；

图4是用于说明以电力管理设备为中心的系统配置的示意图；

图5是用于说明外部服务器的具体示例的示意图；

图6是用于说明系统管理服务器的一个功能的示意图；

图7是用于说明根据本发明的实施例的电力管理设备的功能配置的示意图；

图8是用于说明信息管理单元的详细功能配置的示意图；

图9是用于说明信息管理单元的详细功能配置的表格；

图10是用于说明显示在显示单元上的内容的示意图；

图11是用于说明显示在显示单元上的内容的示意图；

图12是用于说明显示在显示单元上的内容的示意图；

图13是用于说明显示在显示单元上的内容的示意图；

图14是用于说明电力消费的时序模式的图表；

图15是用于说明电力消费的时序模式的图表；

图16是用于说明隐藏电力消费模式的方法的示意图；

图17是用于说明隐藏电力消费模式的方法的示意图；

图18是用于说明隐藏电力消费模式的方法的示意图；

图19是用于说明由电力管理设备执行的多种控制的示意图；

图20是用于说明由电力管理设备管理的多种信息的示意图；

图21是示出根据插座的类型和所连接机器的类型的通信装置、认证装置以及对供电的控制的组合的表格；

图22是示出机器管理单元的配置的框图；

图23是示出被管理机器注册单元的配置的框图；

图24是示出信息篡改检测单元的配置的框图；

图25是示出信息分析单元的配置的框图；

图26是示出受控制机器的配置的框图；

图27是示出受控制机器的控制单元的配置的框图；

图28是示出受控制机器的控制单元的配置的框图；

图29是示出篡改检测信息生成单元的配置的框图；

图30是示出电力储存设备的配置的框图；

图31是示出电力储存设备的控制单元的配置的框图；

图32是示出电力储存设备的控制单元的配置的框图；

图33是示出篡改检测信息生成单元的配置的框图；

图34是用于说明注册电力管理设备的方法的流程图；

图35是用于说明注册电力管理设备的方法的具体示例的流程图；

图36是用于说明注册受控制机器的方法的流程图；

图37是用于说明注册受控制机器的方法的具体示例的流程图；

图38是用于说明注册受控制机器的方法的具体示例的流程图；

图39是用于说明注册受控制插座的方法的流程图；

图40是用于说明已经被临时注册的受控制机器的记账处理的示意图；

图41是用于说明已经被临时注册的受控制机器的记账处理的流程图；

图42是用于说明对注册受控制机器的方法的改进的示意图；

图43是用于说明对注册受控制机器的方法的改进的示意图；

图44是用于说明对注册受控制机器的方法的改进的示意图；

图45是用于说明对注册受控制机器的方法的改进的示意图；

图46是用于说明对注册受控制机器的方法的改进的示意图；

图47是用于说明对注册受控制机器的方法的改进的示意图；

图48是用于说明对注册受控制机器的方法的改进的流程图；

图49是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图50是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图51是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图52是用于说明电力管理设备对于发生了异常的被管理机器的操作的流程图；

图53是用于说明当在电力状态中发生异常时电力管理设备的操作的流程图；

图54是用于说明当在电力状态中发生异常时电力管理设备的操作的流程图；

图55是用于说明嵌入电子水印信息的方法的流程图；

图56是用于说明验证电子水印信息的方法的流程图；

图57是用于说明嵌入电子水印信息的方法的流程图；

图58是用于说明验证电子水印信息的方法的流程图；

图59是用于说明分析服务器的配置的框图；

图60是示出分析服务器的信息篡改检测单元的配置的框图；

图61是示出分析服务器的第一验证单元的配置的框图；

图62是示出分析服务器的第二验证单元的配置的框图；

图63是用于说明待排除蓄电池的示意图；

图64是用于说明保护电力管理设备免受非法攻击的方法的流程图；

图65是用于说明排除蓄电池的方法的流程图；

图66A是用于说明通过分析服务器的被获取数据验证单元进行验证的方法的流程图；

图66B是用于说明通过分析服务器的被获取数据验证单元进行验证的方法的流程图；

图67是用于说明第一验证单元的验证处理的流程图；

图68是用于说明由数据库管理单元进行的测试处理的流程图；

图69是用于说明由数据库管理单元更新数据库并且生成判定词典的示意图；

图70是用于说明由病毒定义文件管理单元管理病毒定义文件的方法的流程图；

图71A是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71B是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71C是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图72是用于说明由被获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图73是用于说明多个电力管理设备的操作流程的示意图；

图74是用于说明多个电力管理设备的操作流程的示意图；

图75是用于说明多个电力管理设备的操作流程的示意图；

图76是用于说明电力管理设备的服务提供单元的配置的框图；

图77是用于说明电力管理设备的服务提供单元的配置的框图；

图78是用于说明链接到电力管理设备中的数据库的示意图；

图79是用于说明关于与系统链接的娱乐的安全性的示意图；

图80是用于说明与系统链接的娱乐的流程的流程图；

图81A是用于说明与系统链接的娱乐的流程的流程图；

图81B是用于说明与系统链接的娱乐的流程的流程图；以及

图82是用于说明根据本发明的实施例的电力管理设备的硬件配置的框图。

具体实施方式

下文中，将参考所附附图详细地描述本发明的优选实施例。注意，在本说明书和所附附图中，基本上具有相同功能和结构的结构元件用相同附图标记表示，并且省略这些结构元件的重复说明。

按以下指出的顺序给出以下描述。

(1)第一实施例

(1-1)电力管理设备的概述

(1-2)电力管理设备的配置

(1-3)由显示单元显示的内容

(1-4)隐藏电力消费模式

(1-5)由电力管理设备进行的多种控制

(1-6)机器管理单元的配置

(1-7)信息分析单元的配置

(1-8)受控制机器的配置

(1-9)电力储存设备的配置

(1-10)电子水印信息的嵌入方法和验证方法的具体示例

(1-11)注册电力管理设备的方法

(1-12)注册受控制机器的方法

(1-13)注册受控制插座的方法

(1-14)用于临时注册的受控制机器的记账处理

(1-15)对注册受控制机器的方法的改进

(1-16)电力管理设备对发生了异常的被管理机器的操作

(1-17)当在电力状态中发生异常时电力管理设备的操作

(1-18)电子水印信息的嵌入方法和验证方法的流程

(1-19)分析服务器的作用

(1-20)分析服务器的配置

(1-21)指定待排除的蓄电池的处理

(1-22)保护电力管理设备免受非法攻击的方法

(1-23)排除蓄电池的方法

(1-24)由被获取数据验证单元执行的验证处理

(1-25)由第一验证单元进行的验证处理的流程

(1-26)由数据库管理单元进行的测试处理

(1-27)数据库的更新和判定词典的生成

(1-28)管理病毒定义文件的方法

(1-29)指定待排除蓄电池的方法的流程

(1-30)当存在多个电力管理设备时的处理

(2)第二实施例

(2-1)第二实施例的概况

(2-2)服务提供单元的配置

(2-3)链接到数据库

(2-4)对于与系统链接的娱乐的安全性

(2-5)与系统链接的娱乐的流程

(3)根据本发明的实施例的电力管理设备的硬件配置

第一实施例

(1-1)电力管理设备的概况

首先，描述根据本发明的第一实施例的电力管理设备的概况。

图1示出根据本实施例的电力管理系统的总体图。

如图1所示，根据本实施例的电力管理系统包括：局部电力管理系统1、广域网2、外部服务器3、电力信息收集设备4、电力供应者系统5、终端设备6、以及电力交易系统7。而且，局部电力管理系统1、外部服务器3、电力信息收集设备4、电力供应者系统5、终端设备6、以及电力交易系统7连接至广域网2，从而相互之间可以交换信息。

另外，在本说明书中，使用表述“局部”和“广域”。“局部”表示由在不使用广域网2的情况下可以通信的元件形成的小组。换句话说，“广域”表示包括经由广域网2通信的元件的大组。而且，由设置在局部电力管理系统1内的元件构成的小组可由表述“局部”来特别地表达。换句话说，图1中所示的整个电力管理系统可以由表述“广域”来表达。

现在，上述电力管理系统试图(如同通过上述智能电网计划一样)提高电力使用效率，适当地管理对电力进行操作的多种机器、储存电力的电力储存装置、生成电力的发电装置、从电源供给电力的供电装置等。该电力管理系统中的电力管理的目标是设置在局部电力管理系统1中的机器、电力储存装置、发电装置、供电装置等。另外，被称为HEMS(家用能量管理系统)或BEMS(建筑物能量管理系统)的智能电网计划中的系统是局部电力管理系统1的示例。

如图1所示，局部电力管理系统1包括电力管理设备11以及被管理块12。电力管理设备11承担管理设置在局部电力管理系统1中的机器、电力储存装置、发电装置、供电装置等的作用。例如，电力管理设备11允许或禁止向每个机器供电。而且，电力管理设备11对每个机器执行认证，以识别机器或确认机器的合法性。然后，电力管理设备11从每个机器收集关于电力消费等的信息。

而且，电力管理设备11从电力储存装置获取关于所储存电力量等的信息。然后，电力管理设备11对电力存储装置执行充电/放电控制。而且，电力管理设备11从发电装置获取关于发电量等的信息。而且，电力管理设备11从供电装置获取关于从外部供给的电力量的信息。以该种方式，电力管理设备11从设置在局部电力管理系统1中的机器、电力储存装置、发电装置、以及供电装置获取信息，并且控制电力的输入/输出。当然，电力管理设备11在适当的时候对除机器、电力储存装置、发电装置、以及供电装置之外的结构元件执行类似管理。而且，电力管理设备11不仅可以对电力执行管理，而且还对其中的缩减量可以被量化的一般生态(诸如，CO₂、水资源等)进行管理。即，电力管理设备11还可以起生态管理设备的作用。顺便提及，以下，通过将电力作为其缩减量可以被量化的资源的示例来进行说明。

在图1中所示的局部电力管理系统1中，作为电力管理的目标的结构元件(诸如，机器、电力储存装置、发电装置、以及供电装置)被包括在被管理块12中。被包括在被管理块12中的结构元件和电力管理设备11能够直接或间接地交换信息。而且，电力管理设备11可以被配置为能够与电力信息收集设备4交换信息。电力信息收集设备4管理与从电力供应者所管理的电力供应者系统5供给的电力相关的信息。另外，在智能电网计划中被称为智能仪表的机器是电力信息收集设备4的示例。

电力供应者系统5向每个局部电力管理系统1供电。然后，从电力供应者系统5供给的电力经由电力信息收集设备4被供给局部电力管理系统1中的被管理块12。这里，电力信息收集设备4获取例如关于供给被管理块12的电力量的信息。然后，电力信息收集设备4将所获取的关于电力量等的信息发送至电力供应者系统5。通过使用这种机制，电力供应者系统5收集与每个局部电力管理系统1中的被管理块12的电力消费等相关的信息。

而且，电力供应者系统5参考所收集的关于电力消费等的信息，控制电力信息收集设备4，并且控制电力供应量，使得实现被管理块12或整个电力管理系统的有效电力使用。这里，电力信息收集设备4限制从电力供应者系统5供给被管理块12的电力量，或者根据被管理块12的电力消费解除对电力量的限制。另外，电力供应者例如可以是电力公司、拥有发电站的法人或非法人发电管理者、拥有电力储存设施的法人或非法人电力储存管理者等。

然而，在当前情况下，电力公司很可能是电力供应者，并且在本说明书中，将假设电力公司是电力供应者的情况作出说明。而且，目前大多数从外部供给的电力都是从电力公司(其为电力供应者)购买的。然而，未来，电力市场可能变得活跃并且在电力市场中购买的电力可能覆盖大多数从外部供给的电力。在这种情况下，假设将从电力交易系统7将电力供给局部电力管理系统1，如图1所示。

电力交易系统7执行关于电力交易的处理，诸如，电力市场中的买卖订单的安排(placement)、订单执行后的价格计算、结算处理、供电订单的安排等。而且，在图1的示例中，在电力市场中已经执行订单的电力接收也由电力交易系统7实现。从而，在图1的示例中，根据所执行订单的类型，将电力从电力交易系统7供给局部电力管理系统1，或者将电力从局部电力管理系统1供给电力交易系统7。而且，通过使用电力管理设备11自动地或手动地执行对电力交易系统7的订单的安排。

而且，图1中所示的电力管理系统包括多个局部电力管理系统1。如上所述，每个局部电力管理系统1均包括电力管理设备11。多个电力管理设备11可以经由广域网2或安全通信路径(未示出)相互交换信息。还可提供了一种用于将电力从一个局部电力管理系统1供给另一局部电力管理系统1的机构。在这种情况下，两个系统的电力管理设备11都执行关于电力接收的信息交换，并且执行控制以发送由信息交换适当确定的电力量。

对于该部分，电力管理设备11可被配置为可由经由广域网2连接的外部终端设备6操作。例如，用户可能想要通过使用终端设备6来检查用户管理的局部电力管理系统1的电力状态。在这种情况下，如果电力管理设备11被配置为可由终端设备6操作，则用户能够获得由终端设备6显示的、用户管理的局部电力管理系统1的电力状态，并且检查电力状态。用户还能够通过使用终端设备6执行电力管理设备11的电力交易。

另外，终端设备6可设置在局部电力管理系统1内。在这种情况下，终端设备6通过使用设置在局部电力管理系统1中的通信路径连接至电力管理设备11，而不使用广域网2。使用终端设备6的一个优点在于，用户不必去往电力管理设备11的安装位置。也就是说，如果可以使用终端设备6，则可以从任意位置对电力管理设备11进行操作。另外，作为终端设备6的具体形式，可以假设为例如移动电话、移动信息终端、笔记本电脑、便携式游戏机、信息家电、传真机、固定电话、音频/视频机器、汽车导航系统、或电动交通工具。

以上，已经参考每个结构元件的操作或功能简单地描述了图1中所示的电力管理系统中的电力管理。然而，除了与电力管理相关的功能之外，上述电力管理设备11还具有通过使用从被管理块12等收集的多段信息来将多种服务提供给用户的功能。

可以由电力管理设备11收集的信息可以为例如每个机器的型号或机器ID(以下称为机器信息)、关于用户的简档的信息(以下称为用户信息)、关于用户的计费账户或信用卡的信息(以下称为记账信息)、关于将要使用的服务的注册信息(以下称为服务信息)等。上述机器信息被预先设置在每个机器中或者由用户手动输入。而且，在很多情况下，上述用户信息、记账信息、以及服务信息由用户手动输入至电力管理设备11。另外，信息的输入方法不限于这些示例，并且可以改变为任何输入方法。而且，在以下说明中，机器信息、用户信息、记账信息、以及服务信息将被称为“初始信息”。

除了初始信息之外，电力管理设备11能够收集的信息可以为与连接至每个机器的蓄电池的规格相关的信息(以下称为机器蓄电池信息)、与每个机器等(包括电力储存装置、发电装置、供电装置等)的状态相关的信息(以下称为机器状态信息)、可以从连接至广域网2的外部系统或服务器获取的信息(以下称为外部信息)等。上述机器状态信息可以为，例如电力储存装置在信息收集时间点的放电电压或所储存的电力量、发电装置的发电电压或发电量、每个机器的电力消费等。而且，上述外部信息可以为从电力交易系统7获取的电力的单位市场价格、从外部服务器3获取的可用服务的列表等。另外，在以下说明中，机器蓄电池信息、机器状态信息，以及外部信息将被称为“初级信息”。

而且，电力管理设备11可以由其本身或者使用外部服务器3的功能，通过使用初始信息和初级信息来计算次级信息。例如，电力管理设备11分析上述初级信息，并且计算表示从电力供应者系统5供给的电力、由发电装置生成的电力、由电力储存装置充电/放电的电力、以及由被管理块12消费的电力之间的平衡的指标值(以下称为平衡指标)。而且，电力管理设备11基于电力消费，计算记账情况和CO₂缩减情况。而且，电力管理设备11基于初始信息计算每个机器的消耗程度(使用持续时间与寿命的比例等)，或者基于所消费电力随着时间的改变，分析用户的生活模式。

而且，电力管理设备11通过执行使用次级信息的计算或者通过执行与连接至广域网2的系统或服务器、或者另一电力管理设备11的信息交换，来获得多段信息(以下称为三级信息)。例如，电力管理设备11获得与电力市场中的买/卖订单的情况或价格相关的信息(以下称为市场数据)、与相邻区域中的剩余电力或不足电力的量相关的信息(以下称为区域电力信息)、与从促进有效电源使用角度来看适于用户的生活模式的机器相关的信息(以下称为机器推荐信息)、与计算机病毒等相关的安全信息、或者与机器中的故障等相关的机器危险信息。

通过适当地使用上述初始信息、初级信息、次级信息以及三级信息，电力管理设备11可以将多种服务提供给用户。同时，电力管理设备11保存与用户的隐私或局部电力管理系统1的安全相关的重要信息。而且，电力管理设备11用来允许或禁止向被管理块12供电。从而，希望从电力管理设备11得到高安全等级，使得能够防止来自局部电力管理系统1外部的攻击或者在局部电力管理系统1内执行的非法行为。

作为电力管理设备11从局部电力管理系统1外部接收的攻击，可以认为是DoS攻击(拒绝服务攻击)、或计算机病毒等。当然，防火墙设置在局部电力管理系统1和广域网2之间，但是出于上述原因，想要更严格的安全措施。而且，作为在局部电力管理系统1内执行的非法行为，可以是机器、电力储存装置等的非法改进、信息的伪造、未授权机器的连接等。而且，从提高安全等级的观点来看，防止由恶意第三方使用与反映用户的生活模式的被消费电力相关的信息、或者检测/恢复每个机器或电力管理设备11的损坏(在一些情况下为起火等)的措施可能变为必须的。

如随后所述，电力管理设备11具有实现上述这种高安全等级的功能。在保持安全等级的情况下，电力管理设备11实现对被管理块12的电力管理、基于从被管理块12等收集的初始信息、初级信息、次级信息以及三级信息的服务提供。另外，由电力管理设备11保持高安全等级可以不仅由电力管理设备11实现。从而，被管理块12中设置的机器、电力储存装置、发电装置、供电装置等与电力管理设备11结合来尝试保持安全等级。此外，随后将详细描述被管理块12的这些结构元件。

被管理块的配置

将参考图2至图4详细地描述被管理块12的配置。图2示出被管理块12的配置。而且，图3示出被管理块12内的通信网络的配置。而且，图4示出用于与电力管理设备11交换信息的主要结构元件的具体配置。

首先，参考图2。如图2所示，被管理块12包括：配电设备121、AC/DC转换器122、受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、插座扩展设备127、电力储存设备128、第一发电设备129、第二发电设备130、以及环境传感器131。

另外，受控制插座123、电动交通工具124、受控制机器125、以及插座扩展设备127是上述机器的示例。而且，电力储存装置128是上述电力储存装置的示例。而且，第一发电设备129和第二发电设备130是上述发电装置的示例。受控制插座123和插座扩展设备127还是上述供电装置的示例。而且，不受控制机器126不直接受到电力管理设备11的电力管理，从而其本身不是上述机器的示例。然而，如随后所述，通过与插座扩展设备127结合，不受控制机器126将能够被电力管理设备11所管理，并且是上述机器的示例。

电力流

从电力供应者系统5、电力交易系统7、或另一局部电力管理系统1供给的电力(以下称为外部电力)被输入配电设备121。假设外部AC电力被输入至图2的示例中的配电设备121，但也可以输入外部DC电力。然而，为了说明，以下假设外部AC电力被输入至配电设备121。输入至配电设备121的外部电力由AC/DC转换器122从AC转换为DC，并且被输入至受控制插座123或电力储存设备128。

而且，从电力储存设备128放电的电力(以下称为放电电力)也被输入至配电设备121。从电力储存设备128输出的放电电力由AC/DC转换器122从DC转换为AC，并且被输入至配电设备121。输入至配电设备121的放电AC电力由AC/DC转换器122从AC转换为DC，并且被输入至受控制插座123。然而，为了避免放电电力在AC/DC转换器122处的损失，放电电力还可在不经过AC/DC转换器122的情况下，被从电力储存设备128供给受控制插座123。

除了经由配电设备121输入的外部电力之外，由第一发电设备129和第二发电设备130生成的电力(以下称为生成电力)被输入至电力储存设备128。另外，在图2的示例中，由第一发电设备129和第二发电设备130生成的生成电力被临时储存在电力储存设备128中。然而，由第一发电设备129和第二发电设备130生成的生成电力在不经过电力储存设备128的情况下，还可被输入至AC/DC转换器122或受控制插座123。然而，在很多情况下，由于气候或环境原因，从第一发电设备129输出的生成电力的供给是不稳定的。从而，在使用从第一发电设备129输出的生成电力的情况下，优选在被临时储存在电力储存设备128中之后使用生成电力。

另外，第一发电设备129是用于使用可再生能源生成电力的发电装置。例如，第一发电设备129是光电设备、风力发电设备、地热发电设备、水力发电设备等。另一方面，第二发电设备130是用于使用不可再生能源生成电力的发电装置(与通过使汽油、煤等燃烧并且使用燃烧生成电力的热力发电相比，其是环保的)。例如，第二发电设备130是燃料电池、天然气发电设备、生物质发电设备等。顺便提及，在使用从可再生能源得到的电力生成氢(其为用于燃料电池发电的燃料)的情况下，燃料电池是在不使用不可再生能源的情况下生成电力的发电装置。

由第一发电设备129和第二发电设备130生成的生成电力、以及储存在电力储存设备128中的电力，一方面经由配电设备121或AC/DC转换器122被输入至受控制插座123，另一方面，可由电力供应者系统5、电力交易系统7等购买。在这种情况下，由第一发电设备129和第二发电设备130生成的生成电力、以及从电力储存设备128输出的放电电力由AC/DC转换器122从DC转换为AC，并且经由配电设备121被发送至电力供应者系统5、电力交易系统7等。

以上，粗略地描述了被管理块12中的电力流。特别地，在此描述了流经配电设备121的电力的分配路径。如上所述，配电设备121承担划分被管理块12内的电力的分配路径的作用。从而，如果配电设备121停止，则被管理块12内的电力的分配中断。因此，配电设备121设置有不间断电源(UPS)。另外，在图2的示例中，独立于电力管理设备11提供配电设备121，但是配电设备121和电力管理设备11可安装在同一壳体内。

供电时的认证

在被管理块12中，经由配电设备121流至受控制插座123或电力储存设备128的电力由电力管理设备11管理。例如，电力管理设备11控制配电设备121并且向受控制插座123供电或者停止向受控制插座123供电。

电力管理设备11还执行对受控制插座123的认证。然后，电力管理设备11向认证成功的受控制插座123供电，并且停止向认证失败的受控制插座123供电。这样，通过电力管理设备11作出的认证成功或失败来确定在被管理块12中供电或不供电。电力管理设备11进行的认证不仅对受控制插座123执行，还对电动交通工具124、受控制机器125、以及插座扩展设备127执行。顺便提及，不对不受控制机器126执行由电力管理设备11进行的认证，其中，不受控制机器126不具备与电力管理设备11的通信功能，也不具备认证所必须的计算功能。

从而，基于电力管理设备11的控制，可以向已被认证的受控制插座123、电动交通工具124、受控制机器125、或插座扩展设备127供电。然而，将不基于电力管理设备11的控制向其本身没有经过认证的不受控制机器126供电。从而，电力被连续供给不受控制机器126，而与电力管理设备11的控制无关，或者根本不向其供给电力。然而，通过使插座扩展设备127执行认证作为代替，可以基于电力管理设备11的控制向不受控制机器126供电。

机器功能的概述

在此简短地概述受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展机器127的功能。

受控制插座123

首先，将概述受控制插座123的功能。受控制插座123具有与电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127的电源插头连接的端子。而且，受控制插座123具有经由配电设备121向连接到这些端子的电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127供电的功能。即，受控制插座123具有供电插座的功能。

受控制插座123还具有电力管理设备11进行认证所必须的多种功能。例如，受控制插座123具有与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过向受控制插座123提供用于无线通信的通信模块，来实现该通信功能。受控制插座123还具有用于执行在认证时必须的计算的计算功能。而且，受控制插座123保存诸如认证所必须的机器ID以及密钥信息的识别信息。通过使用这些功能和信息，受控制插座123能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，或者可以是使用秘密密钥和公开密钥对的公开密钥认证。

此外，受控制插座123还可具有用于显示对电力管理设备11的认证的成功/失败以及在认证期间的状态(以下称为认证状态)的状态显示装置。在这种情况下，设置在受控制插座123中的状态显示装置可显示连接至受控制插座123的电动交通工具124、受控制机器125、以及插座扩展设备127的认证状态。而且，该状态显示装置还可显示连接至受控制插座123的机器是否是不受控制机器126。另外，该状态显示装置由诸如LED或小灯泡的指示灯、或者诸如LCD或ELD的显示器件配置。

如上所述，在电力管理设备11的控制下经由配电设备121向由电力管理设备11认证成功的受控制插座123供电。另一方面，在电力管理设备11的控制下，停止向认证失败的受控制插座123供电。这样，通过根据认证的成功/失败控制供电，可以防止未授权的供电插座连接至配电设备121。还可以容易地检测欺诈性地连接至配电设备121的供电插座。而且，在状态显示装置设置在受控制插座123中的情况下，可以容易地掌握受控制插座123的认证状态，并且可以容易地区分受控制插座123的认证失败和损坏。

现在，受控制插座123的形式不限于用于连接电源插头的电源插座(powe point)的形式。例如，还可以实现具有通过使用电磁感应来供电的内置线圈(如同用于非接触IC卡的读写器那样)、并且表面形式不具有电源插座形式的受控制插座123。在这种情况下，如同非接触IC卡那样，将用于从受控制插座123所生成的电磁场生成感应电动势的线圈设置在电动交通工具124、受控制机器125、以及插座扩展设备127中。根据这种配置，可以在不使用电源插头的情况下供给或接收电力。另外，在使用电磁感应的情况下，可以在受控制插座123和电动交通工具124、受控制机器125、或插座扩展设备127之间使用磁场的调制进行信息交换。

此外，受控制插座123具有测量供给连接至端子的电动交通工具124、受控制机器125、或插座扩展设备127的电力量的功能。而且，受控制插座123具有向电力管理设备11通知所测量的电力量的功能。此外，受控制插座123可具有从连接至该端子的电动交通工具124、受控制机器125、或插座扩展设备127获取初级信息并且将所获取的初级信息发送至电力管理设备11的功能。这样，通过将已由受控制插座123测量或获取的信息发送至电力管理设备11，电力管理设备11可以掌握电力状态，或者执行对每个独立受控制插座123的供电控制。

电动交通工具124

接下来将概述电动交通工具124的功能。电动交通工具124包括用于储存电力的蓄电池。电动交通工具124还包括使用从蓄电池放电的电力来驱动的驱动机构。在电动交通工具124是电动汽车或插入式混合电动汽车的情况下，该驱动机构包括例如马达、齿轮、轴、车轮、轮胎等。其他电动交通工具124的驱动机构至少包括马达。而且，电动交通工具124包括在给蓄电池充电时使用的电源插头。可以通过将该电源插头连接至受控制插座123来接收电力。顺便提及，在受控制插座123通过使用电磁感应供电的方法的情况下，在电动交通工具124中设置当放在磁场中时生成感应电动势的线圈。

电动交通工具124还具有电力管理设备11进行认证所必须的多种功能。例如，电动交通工具124具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过向电动交通工具124提供用于无线通信的通信模块，来实现该通信功能。电动交通工具124还具有用于执行认证时所必须的计算的计算功能。而且，电动交通工具124保存诸如认证所必须的机器ID以及密钥信息的识别信息。通过使用这些功能和信息，电动交通工具124能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公开密钥对的公开密钥认证。

而且，电动交通工具124还具有向电力管理设备11发送与所装配的蓄电池相关的机器蓄电池信息(诸如剩余蓄电池电平、充电量、以及放电量)的功能。还将与拥有电动交通工具124的用户相关的用户信息、与电动交通工具124的燃料效率、性能等相关的机器信息发送至电力管理设备11。通过从电动交通工具124发送到电力管理设备11的这些段信息，电力管理设备11可以执行诸如使用用户信息记账、以及基于用户信息和机器信息征税等的处理。例如，能够通过电力管理设备11执行征收基于CO₂释放量计算的环境税的处理、基于剩余蓄电池电平显示英里里程的处理等。

另外，还可以想到使用电动交通工具124的蓄电池代替电力储存设备128。例如，当临时不可以使用电力储存设备128时(诸如，当电力储存设备128坏了或者被更换时)，可使用电动交通工具124的蓄电池来代替电力储存设备128。而且，由于电动交通工具124本身是可移动的，所以可以携带作为原料的外部电力。即，其可以被用作可移动电力储存设备128。由于这种优点，在天灾或紧急情况下，使电动交通工具124作为备用电源也是有用的。当然，这种使用可以在根据本实施例的局部电力管理系统1的框架内实现。

受控制机器125

接下来，将概述受控制机器125的功能。受控制机器125具有由电力管理设备11进行认证所必须的多种功能。例如，受控制机器125具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过向受控制机器125提供用于无线通信的通信模块来实现该通信功能。受控制机器125还具有用于执行认证时所必须的计算的计算功能。而且，受控制机器125保存诸如认证所必须的机器ID和密钥信息的识别信息。通过使用这些功能和信息，受控制机器125能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公开密钥对的公开密钥认证。

而且，受控制机器125还具有向电力管理设备11发送与所装配的蓄电池相关的机器蓄电池信息，诸如，剩余蓄电池电平、充电量、以及放电量。还将与拥有受控制机器125的用户相关的用户信息、以及与受控制机器125的类型、性能等相关的机器信息发送至电力管理设备11。通过从受控制机器125发送到电力管理设备11的这些段信息，电力管理设备11可以执行诸如使用用户信息记账、以及基于用户信息和机器信息征税的处理。例如，能够通过电力管理设备11执行征收基于CO₂释放量所计算的环境税的处理、推荐具有更高环境性能的器械的显示处理等。

不受控制机器126、插座扩展设备127

接下来，将概述不受控制机器126和插座扩展设备127的功能。与上述受控制插座123、电动交通工具124、以及受控制机器125不同，不受控制机器126不具备由电力管理设备11认证所必须的功能。即，不受控制机器126是现有家用电器、现有视频机器等。未通过认证的不受控制机器126不能经受电力管理设备11的电力管理，并且在一些情况下，不能接收电力。因此，为了能够在局部电力管理系统1中使用不受控制机器126，用于执行认证的委托装置(delegate means)是必须的。

插座扩展设备127承担两种作用。一种作用是用于执行委托认证，使得不受控制机器126能够在局部电力管理系统1中使用的功能。另一种作用是增加连接至受控制插座123的机器数量的功能。与电动交通工具124、受控制机器125、或不受控制机器126的电源插头连接的一个或多个端子被提供给插座扩展设备127。当使用提供有多个端子的插座扩展设备127时，能够增加可以连接至受控制插座123的电动交通工具124、受控制机器125、和不受控制机器126的数量。即，插座扩展设备127用作具有高级功能的电源板。

以上，简单地概述了受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127的功能。顺便提及，上述功能不是受控制插座123、电动交通工具124、受控制机器125、不受控制机器126、以及插座扩展设备127仅有的功能。将这些功能作为基础，还将进一步补充以下描述的电力管理设备11进行电力管理的操作所必须的功能。

通信功能

在此，参考图3描述局部电力管理系统1内的电力管理设备11、受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的通信功能。如图3所示，在局部电力管理系统1中，例如，使用短程无线通信、无线LAN、电力线通信等。例如，ZigBee是短程无线通信的示例。此外，PLC是电力线通信的示例。

如图2所示，在局部电力管理系统1中，受控制插座123和连接至受控制插座123的机器通过电力线连接至配电设备121。因而，很容易通过使用这些电力线构建基于电力线通信的通信网络。另一方面，在使用短程无线通信的情况下，可以通过自组方式连接每个机器来构建通信网络，如图3所示。此外，在使用无线LAN的情况下，每个机器都可以直接连接至电力管理设备11。从而，可以通过使用任何通信方法，在局部电力管理系统1内构建必要的通信网络。

然而，如图3所示，不受控制机器126有时不能通过使用通信网络连接至电力管理设备11。从而，在使用不受控制机器126的情况下，不受控制机器126必须连接至插座扩展设备127。另外，即使在使用不具有通信功能也不具有认证功能的不受控制插座的情况下，如果电动交通工具124、受控制机器125、或插座扩展设备127连接至不受控制插座，则也能够通过使用电动交通工具124、受控制机器125、或插座扩展设备127的功能，来进行经由通信网络到电力管理设备11的连接。当然，在不受控制机器126连接至不受控制插座的情况下，不能进行到通信网络的连接，从而不能进行电力管理设备11的控制。

顺便提及，电力信息收集设备4可作为连接目的地被包括在局部电力管理系统1内构建的通信网络中，如图3所示。而且，可通过使用该通信网络，在电动交通工具124或受控制机器125和电力信息收集设备4之间交换信息。当然，电力管理设备11和电力信息收集设备4可通过使用该通信网络来交换信息。这样，应当根据实施例的模式适当地设置局部电力管理系统1内构建的通信网络的结构。另外，该通信网络由充分安全的通信信道构建。此外，应当提供允许保证流经通信信道的信息的安全的机制。

机器和多种设备的具体示例

在此，将参考图4介绍局部电力管理系统1的一些结构元件的具体示例。如图4所示，可以与电力管理设备11交换信息的结构元件包括：例如，电动交通工具124、受控制机器125(智能机器)、不受控制机器126(传统机器)、电力储存设备128、第一发电设备129、第二发电设备130等。

例如，可以给出电动车和插入式混合电动车作为电动交通工具124的具体示例。此外，例如，可以给出家用电器、个人计算机、移动电话、以及视频机器作为受控制机器125和不受控制机器126的具体示例。例如，可以给出锂离子可充电电池、NAS可充电电池、以及电容器作为电力储存设备128的具体示例。此外，例如，可以给出光电设备、风力发电设备、以及地热发电设备作为第一发电设备129的具体示例。而且，可以给出燃料电池、天然气发电设备、以及生物质发电设备作为第二发电设备130的具体示例。如上所述，将多种设备和机器用作局部电力管理系统1的结构元件。

以上，已经描述了被管理块12的配置。然而，包括在被管理块12中的每个结构元件的功能不限于上述。在电力管理设备11进行电力管理时，根据需要补充每个结构元件的功能。另外，将在随后描述的电力管理设备11和其他结构元件的配置的说明中，详细描述每个结构元件的补充功能。

外部服务器的配置

接下来，参考图5描述外部服务器3的配置。如图5所示，例如，将服务提供服务器31、记账服务器32、系统管理服务器33、分析服务器34、证书授权服务器35、制造商服务器36、以及地图DB服务器37用作外部服务器3。

服务提供服务器31具有提供使用电力管理设备11等的功能的服务的功能。记账服务器32具有以下功能：根据局部电力管理系统1内消费的电力，向电力管理设备11提供记账信息，并且基于关于由电力管理设备11管理的电力量的信息，请求用户支付使用费。此外，记账服务器32与服务提供服务器31合作，执行对用户使用的服务的记账处理。另外，可以针对消费了电力的电动交通工具124、受控制机器125等的所有用户执行记账处理，或者可以针对管理关于所消费电力的信息的电力管理设备11的用户执行记账处理。

系统管理服务器33具有管理图1所示的整个电力管理系统或者基于区域管理电力管理系统的功能。例如，如图6所示，系统管理服务器33掌握在用户#1的局部电力管理系统1中的使用情况、在用户#2的局部电力管理系统1中的使用情况、和在用户#3的局部电力管理系统1中的使用情况，并且向记账服务器32等提供必要信息。

在图6的示例中，假设用户#1使用用户#1他/她自己、用户#2、以及用户#3的局部电力管理系统1中的电力的情况。在这种情况下，消费了电力的用户#1的机器ID和使用信息(电力消费等)由系统管理服务器33收集)，并且用户#1的用户信息和使用信息从系统管理服务器33被发送至记账服务器32。而且，系统管理服务器33基于所收集的使用信息计算记账信息(记账数额等)，并且将其提供给用户#1。对于该部分，记账服务器32向用户#1收取对应于记账信息的金额。

如上所述，通过系统管理服务器33对多个局部电力管理系统1进行总体控制，即使用户使用了另一用户的局部电力管理系统1中的电力，也能实现给使用了电力的用户记账的机制。特别地，在多数情况下，在由其本身管理的局部电力管理系统1的外部执行对电动交通工具124的充电。在这种情况下，如果使用系统管理服务器33的上述功能，则可以可靠地对电动交通工具124的用户进行记账。

分析服务器34具有分析由电力管理设备11收集的信息、或者连接至广域网2的另一服务器保存的信息的功能。例如，在优化基于区域的供电控制的情况下，从局部电力管理系统1收集的信息量将会很大，并且为了通过分析信息计算用于每个局部电力管理系统1的最优控制方法，必须执行大量计算。这种计算对于电力管理设备11来说是繁重的，因此通过使用分析服务器34来执行。另外，分析服务器34还可以用于其他多种计算处理。而且，证书授权服务器35用于对公开密钥进行认证并且用于颁发公开密钥证书。

制造商服务器36由机器的制造商管理。例如，电动交通工具124的制造商服务器36保存与电动交通工具124的设计的相关信息。类似地，受控制机器125的制造商服务器36保存与受控制机器125的设计相关的信息。而且，制造商服务器36保存用于识别每个所制造机器(诸如，每个电动交通工具124和每个受控制机器125)的信息。制造商服务器36具有以下功能：通过使用这些段信息并且与电力管理设备11合作，识别位于每个局部电力管理系统1内的电动交通工具124或受控制机器125。通过使用该功能，电力管理设备11可以执行对电动交通工具124或受控制机器125的认证，或者检测未授权机器的连接。

地图DB服务器37保存地图数据库。从而，连接至广域网2的服务器或电力管理设备11可以访问地图DB服务器37并且使用地图数据库。例如，在用户使用他/她的局部电力管理系统1外部的电力的情况下，系统管理服务器33可以从地图数据库搜索使用位置，并且将关于使用位置的信息以及记账信息提供给用户。如上所述，存在多种类型的外部服务器3，并且除了在此所示的服务器配置之外，还可以适当地增加不同类型的外部服务器3。

(1-2)电力管理设备的配置

以上，描述了根据本实施例的电力管理系统的整体图。以下，将参考图7至图9描述主要负责电力管理系统中的电力管理的电力管理设备11的配置。

功能综述

首先，将参考图7描述电力管理设备11的总体功能配置。如图7所示，电力管理设备11包括局部通信单元111、信息管理单元112、存储单元113、广域通信单元114、控制单元115、显示单元116、输入单元117、以及服务提供单元118。

局部通信单元111是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。信息管理单元112是用于管理被包括在局部电力管理系统1内的每个结构元件的机器信息以及与电力相关的信息的装置。此外，由信息管理单元112执行对受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的认证处理。存储单元113是用于保存用于认证的信息和用于电力管理的信息的存储装置。存储单元113存储与由电力管理设备11所保存的秘密密钥和公开密钥构成的密钥对、公共密钥等相关的密钥信息、多种数字签名或证书、多种数据库、或历史信息。广域通信单元114是用于经由广域网2与外部系统和服务器交换信息的通信装置。

控制单元115是用于控制包括在局部电力管理系统1内的每个结构元件的操作的控制装置。显示单元116是用于显示与在局部电力管理系统1中消费的电力相关的信息、用户信息、记账信息、与电力管理相关的其他类型信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示装置。另外，例如，可以将LCD、ELD等用作显示装置。输入单元117是用于用户输入信息的输入装置。另外，例如，可以将键盘、按钮等用作输入单元117。而且，还可以通过结合显示单元116和输入单元117来构建触摸面板。服务提供单元118是用于在与外部系统、服务器等合作操作的情况下在电力管理设备11处实现多种服务和功能并且将其提供给用户的装置。

如上所述，电力管理设备11包括用于与局部电力管理系统1内部或外部的机器、设备、系统、服务器等交换信息的通信装置(局部通信单元111、广域通信单元114)。而且，电力管理设备11包括用于控制局部电力管理系统1内的机器或设备的控制装置(控制单元115)。而且，电力管理设备11包括信息管理装置(信息管理单元112)，该信息管理装置从局部电力管理系统1内部或外部的机器、设备、系统、服务器等收集信息，并且通过使用该信息向局部电力管理系统1内的机器或设备提供服务或认证。此外，电力管理设备11包括用于显示与局部电力管理系统1内部或外部的电力相关的信息的显示装置(显示单元116)。

为了安全和有效地管理局部电力管理系统1内的电力，首先，必须正确地识别局部电力管理系统1内的机器、设备等。而且，为了安全和有效地管理局部电力管理系统1内的电力，还必须分析与局部电力管理系统1内部和外部的电力相关的信息并且执行适当的电力控制。信息管理单元112的功能用于为了履行以上功能所执行的信息管理。从而，将更详细地描述信息管理单元112的功能。另外，控制单元115的功能用于控制具体机器、设备等。

功能详情

以下，将参考图8和图9详细地描述信息管理单元112的功能配置。图8示出信息管理单元112的详细功能配置。图9示出信息管理单元112的每个结构元件的主要功能。

如图8所示，信息管理单元112包括机器管理单元1121、电力交易单元1122、信息分析单元1123、显示信息生成单元1124、以及系统管理单元1125。

机器管理单元1121

如图9所示，机器管理单元1121是用于管理局部电力管理系统1内的机器、设备等的装置。例如，机器管理单元1121为受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等执行机器ID的注册、认证、管理，操作设置和服务设置的管理，操作状态和使用状态的掌握，环境信息的收集等。另外，通过使用安装在被管理块12中的环境传感器131来执行环境信息的收集。而且，环境信息是与温度、湿度、天气、风向、风速、地形、区域、天气预报等相关的信息、以及通过对其进行分析获得的信息。

电力交易单元1122

如图9所示，电力交易单元1122执行电力市场中的市场交易数据或个体交易数据的获取、交易执行的定时控制、交易的执行、交易日志的管理等。另外，市场交易数据是与电力市场中的市场价格和交易条件相关的信息。而且，个体交易数据是与在电力供应者和邻居电力消费者之间进行个体交易时确定的交易价格和交易条件等相关的信息。交易执行的定时的控制是，例如，在电力购买价格下降到预定值以下的定时发出预定量的购买订单，或者在电力售卖价格上升到预定值以上的定时发出预定量的售卖订单的自动控制。

信息分析单元1123

如图9所示，信息分析单元1123执行发电数据的分析、电力储存数据的分析、生活模式的学习、以及电力消费数据的分析。而且，信息分析单元1123基于以上分析，执行电力消费模式的估计、电力储存模式的估计、电力放电模式的估计、以及发电模式的估计。另外，例如，通过使用局部电力管理系统1内的第一发电设备129或第二发电设备130的发电量的时序数据、电力储存设备128的充电/放电量或电力储存量的时序数据、或从电力提供者系统5供给的电力量的时序数据，来执行信息分析单元1123的分析和学习。

而且，通过将时序数据或通过分析时序数据获得的分析结果用作用于学习的数据，并且通过使用基于预定机器学习算法获得的估计公式，来执行信息分析单元1123的估计。例如，通过使用遗传学习算法(例如，参见JP-A-2009-48266)，可以自动构建估计公式。此外，通过将过去的时序数据或分析结果输入估计公式，可以获得估计结果。而且，通过顺序地将所计算出的估计结果输入估计公式，可以获得时序数据。

而且，信息分析单元1123执行现在或未来CO₂排放量的计算、用于减少电力消费的供电模式(电力节省模式)的计算、用于减少CO₂排放量的供电模式(低CO₂排放模式)的计算、以及能够减少局部电力管理系统1内的电力消费和CO₂排放量的机器配置、机器布置等的计算或推荐。基于总电力消费或对于每种发电方法有所区别的电力消费来计算CO₂排放量。

在使用总电力消费的情况下，计算近似平均CO₂排放量。另一方面，在使用对于每种发电方法有所区别的电力消费的情况下，计算相对精确的CO₂排放量。另外，通过至少区分从外部供给的电力、由第一发电设备129生成的电力与第二发电设备130所生成的电力，可以计算出比使用总电力消费时更精确的CO₂排放量。在很多情况下，根据CO₂排放量来确定税金(诸如，碳税)和记账。从而，认为能够精确计算CO₂排放量增加了用户间的公平感，并且有助于广泛使用基于可再生能源的发电装置。

显示信息生成单元1124

如图9中所示，显示信息生成单元1124通过调节与局部电力管理系统1内的机器、设备等相关的信息、与电力相关的信息、与环境相关的信息、与电力交易相关的信息、与信息分析单元1123的分析结果或估计结果相关的信息等的格式，来生成将被显示在显示单元116上的显示信息。例如，显示信息生成单元1124生成用于以图表格式显示表示电力量的信息的显示信息，或者生成用于以表格形式显示市场数据的显示信息。此外，显示信息生成单元1124生成用于显示多种类型信息或输入信息的图形用户界面(GUI)。由显示信息生成单元1124生成的多段显示信息显示在显示单元116上。

系统管理单元1125

如图9所示，例如，系统管理单元1125执行固件(其为用于控制电力管理设备11的基本操作的程序)版本的管理/更新，限制对其的访问，并且采取防病毒措施。此外，在多个电力管理设备11安装在局部电力管理系统1中的情况下，系统管理单元1125与另一电力管理设备11交换信息，并且执行控制，使得多个电力管理设备11相互协同操作。例如，系统管理单元1125管理每个电力管理设备11的属性(例如，对机器、设备等的控制处理的优先级排序)。而且，系统管理单元1125执行与参与协同操作或从协同操作退出相关的每个电力管理设备11的状态控制。

以上，描述了电力管理设备11的功能配置。另外，在此描述的电力管理设备11的功能配置仅为示例，在需要时，可以增加除以上之外的功能。

(1-3)显示在显示单元上的内容

接下来，将参考图10至图13更加具体地描述显示在显示单元上的内容。图10至图13是用于说明显示在显示单元上的内容的示意图。

如先前所述，多种信息被显示在电力管理设备11的显示单元116上。例如，如图10所示，已经注册在电力管理设备11中的机器的列表与每个机器的电力消费一起被显示在电力管理设备11的显示单元上。在此，电力消费可以被显示为数值，或者如图10所示，例如，显示为柱状图的形式。对于设备，诸如插座扩展设备(多个机器可以通过选择显示器上的“插座扩展设备”区域连接到插座扩展设备)，可以掌握连接至插座扩展设备的各个机器的电力消费。

如图11所示，显示单元116还可显示连接至电力管理设备11的机器的认证状态。通过显示这种信息，电力管理设备11的用户可以容易地区分哪个机器已经被认证，这可以增加用户维护的效率。

另外，如图12所示，每个使用位置的电力消费和记账金额的列表可显示在显示单元116上。通过显示这种信息，例如，用户可以容易地掌握是否不必要地消费了备用电力。

如图13所示，在显示单元116上显示电力消费时，还可以区分已经使用的电力的类型(即，电力是在系统外部使用的电力还是在系统内使用的电力)。

(1-4)隐藏电力消费模式

在此，将参考图14至图18描述隐藏电力消费模式的方法。

被管理块12的电力消费模式反映用户的生活风格模式。作为一个示例，在图14中所示的电力消费模式中，峰值在整天都出现。从该电力消费模式可以了解，用户整天都在家。此外，由于消费峰值大多数在约0:00(午夜)消失，可以了解，用户在午夜左右上床睡觉。同时，在图15中所示的电力消费模式中，虽然大峰值出现在约7:00和在21:00，但只有少数峰值出现在一天的其他时间。该电力消费模式暗示，用户在约7:00离开家，并且直到接近21:00都不在。

这样，电力消费模式反映用户的生活模式。如果这种电力消费模式被恶意第三方知悉，则这样的第三方可以滥用电力消费模式。作为示例，第三方可以尝试在用户不在时进入用户的家里，当用户在家时进行高压销售访问，或者当用户睡觉时进行抢劫。

为此，必须严格管理关于电力消费的信息，或者提供隐藏电力消费模式的布置。如先前所述，通过由电力供应者管理的电力信息收集设备4收集与电力供应者系统5供给的电力量相关的信息。这意味着，关于被管理块12的电力消费的时序模式将至少暴露给电力供应者。

为此，在以上措施之中，优选提供用于隐藏电力消费模式的布置，以防止用户的生活风格模式被第三方发现。一种隐藏电力消费模式的方式是，在从电力供应者系统5供给的电力量的时序模式与用户的生活风格模式之间创建差异。例如，电力供应者系统5可以在用户不在家时供电，或者局部系统可以在用户在家时停止接收来自电力供应者系统5的电力。

使用电力储存设备128实现这种措施。例如，可以将用户不在家时从电力供应者系统5接收的所供给电力储存在电力储存设备128中，并且当用户在家时，可使用储存在电力储存设备128中的电力，以抑制从电力供应者系统5供给的电力量。为了进一步增加安全性，优选执行对电力储存设备128的充电/放电控制，以使电力消费模式变为指定模式，从而尽量根除由于用户的生活风格模式导致的在电力消费模式下出现的特征。

平均化

如图16所示，一个可想到的示例是执行电力储存设备128的充电/放电控制以使电力消费恒定的方法。为了使电力消费为恒定值，可在电力消费低于恒定值时，增加储存在电力储存设备128中的电力，并且可在电力消费高于恒定值时，增加电力储存设备128的放电。这种控制由电力管理设备11执行。除了电力储存设备128的充电/放电控制之外，可以在电力消费者之间交易电力，和/或使用电动交通工具124等的蓄电池执行充电/放电控制。这样，通过使电力消费恒定，可以根除由于用户的生活风格模式导致的在电力消费模式下出现的特征。结果，可以根除由于电力消费模式的滥用导致的用户遭受犯罪行为的危险。

复杂化

注意，只要电力消费模式和生活风格模式之间存在差异，就不必将电力消费设定为恒定值。为了使电力消费为恒定值，需要具有足够容量以吸收电力消费中的峰值的电力储存设备128。然而，具有这种大容量的电力储存设备128很贵，并且仅仅为了隐藏电力消费模式而在普通家庭中提供这种设备不太现实。为此，使用小容量的电力储存设备128在电力消费模式和生活风格模式之间创建差异的方法是优选的。如图17所示，这种方法的一个可想到的示例使电力消费模式变复杂(即，增加电力消费模式的复杂性)。

以下描述使电力消费模式变复杂以在整个模式中产生相对小的峰值和波谷的一种可想到的方法。虽然需要大容量电力储存设备128来将大峰值抑制为接近平均值，但是可以使用容量小很多的存储设备生成和移动相对小的峰值。虽然可以使以一天为单位的电力消费模式变复杂，但是可以有效地使电力消费模式变复杂，以产生每天不同的电力消费模式和/或根除基于星期几或日期的循环。使事件(诸如，尤其容易被滥用的外出、回家、上床睡觉、起床)的定时变复杂的布置也能够在不使电力储存设备128的充电/放电控制过度复杂的情况下，充分抑制欺骗行为。

模式化

此外，如图18所示，还可以想到控制电力消费模式以使邻居地区的平均模式基本匹配的方法。基于其他人的生活风格模式获得邻居地区的平均模式。这意味着，必须进行少量电力控制，以使特定用户的电力消费模式与邻居地区的平均模式匹配。与当控制电力消费以使其变为恒定值时相比，应该可以使用低容量的电力储存设备128隐藏特定用户的生活风格模式。当这样控制电力消费时，在邻居地区的电力管理设备11之间交换电力信息。使用信息分析单元1123的功能或分析服务器34的功能计算邻居地区的平均模式。基于所计算出的平均模式，对电力储存设备128执行充电/放电控制。

(1-5)由电力管理设备进行的多种控制

现在将参考图19简单地描述上述局部电力管理系统1的电力管理设备11执行的多种控制操作。图19是用于说明由电力管理设备进行的多种控制的概述的示意图。

电力管理设备11执行对将被管理的配电设备121、受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127等的控制，如图19所示。即，电力管理设备11对将被管理的机器执行多种控制操作，诸如，电力储存控制、平均化控制、交易控制、供电切换控制、异常切换控制、恢复控制、认证/注册控制、信息收集/信息处理控制、外部访问控制、以及服务链接控制。在这种控制之中，充电控制是与电力使用和储存相关的控制，诸如，在白天使用由被管理块内的多种类型的发电设备生成的电力，以及在夜晚使用外部电力。

如图19所示，电力管理设备11通过参考与电力资源相关的信息、与优先级排序相关的信息、与控制条件(参数)相关的信息等，执行这种控制。

如图19所示，例如，与电力资源相关的信息是与电力管理设备11所属的局部电力管理系统1能够使用的电力资源相关的信息。如图19所示，可以粗略地将这种电力资源分类为外部电力和家庭电力(或“系统内部电力”)。外部电力是从局部电力管理系统1外部供给的电力，并且作为一个示例，可以为从供电公司等供给的标准电力。系统内部电力是在局部电力管理系统1内部管理的电力，并且作为示例，可以为储存在电力储存设备中的电力、由发电设备生成的电力、储存在电动交通工具中的电力、以及储存在蓄电池模块中的电力。注意，此处的表达“储存在电力储存设备中的电力”不仅指储存在所谓的专用电力储存设备中的电力，而且还包括储存在能够由电力管理设备11(诸如，计算机、家用电器、或移动电话)控制的设备中设置的蓄电池等中的电力。电力管理设备11还能够使用这种信息来存储表示哪个电力资源供给了储存在电力储存设备中的电力的信息。

如图19所示，例如，与优先级排序相关的信息是设定供电的优先级排序的信息。如果停止向用于给食物和饮料保鲜的冰箱或者维护系统安全的安全相关机器供电，或者如果用于照明或控制机器的电力停止，则很难实现这种功能，这可能不利地影响用户。从而，电力管理设备11能够将不受限制的电力供给这种机器，以保证维持这种功能。电力管理设备11还能够通过适当地对向优先级排序被设置为“电力节省模式(POWER SAVING MODE)”的机器(诸如，电视或空调)的供电进行控制来抑制电力使用。电力管理设备11还能够设定“关机(POWER OFF)”优先级排序，并且作为一个示例，可以实现使得充电器正常关机的控制。注意，图19中所示的优先级排序仅是示例，并且电力管理设备11中所设置的优先级排序不限于图19中所示的示例。

如图19所示，例如，与控制条件相关的信息是设定电力管理设备11的控制条件的信息。作为一个示例，例如，可以将这种控制条件粗略地分为与电力的使用环境相关的条件、与电力的使用时段相关的条件、与电力使用模式相关的条件、以及与异常相关的条件。如图19所示，可以为各个条件设置更详细的条件项。注意，图19中所示的控制条件仅是示例，并且电力管理设备11中所设置的控制条件不限于图19中所示的示例。

基于这种信息，电力管理设备11实现对系统1中的各个机器的控制，如图19所示。通过这样做，电力管理设备11能够执行对被管理的各个机器的充电控制，控制机器的操作、以及更新器件的固件。例如，电力管理设备11能够执行诸如“在XX点钟启动饭煲的功能”的控制。还可以将这种控制链接到电力估计功能(其是设置在电力管理设备11中的另一功能)，以及在电力便宜的时区内启动功能。电力管理设备11还能够与设置在系统1外部的服务器协同操作，以给用户提供多种服务。例如，外部设置的服务器能够使用由电力管理设备11输出的输出信息来提供使得可以容易地检查分开住的家庭成员是否具有正常电力使用状态(即，这些家庭成员正常生活，而没有健康问题)的服务等。

这种控制不仅能够由电力管理设备11实现，而且还能够由例如设置在电力管理系统1中的受控制插座123、插座扩展设备127等实现。

为了实现这种控制，电力管理设备11存储信息(诸如，图20中所示的信息)，并且还将这种信息注册在系统1外部所设置的系统管理服务器33中。图20是用于说明由电力管理设备11管理的多种信息的示意图。

如图20所示，电力管理设备11存储诸如分配给设备的标识号(ID)的信息，与制造商、型号等相关的信息，系统中的注册日期、以及情况。另外，电力管理设备11存储诸如用户名、地址、电话号码、记账信息(与银行账户等相关的信息)、以及拥有电力管理设备11的用户的紧急联系人等信息。电力管理设备11还存储与被分配给存在于系统1中的配电设备121的ID、制造商名称、型号、注册日期、情况等相关的信息。另外，电力管理设备11存储与分配给存在于系统1中的多种类型受控制机器125的ID、制造商名称、型号、注册日期、情况等相关的信息。

通过存储这种信息，电力管理设备11可以将获取多种信息的请求和/或提供多种服务的请求发送至设置在系统1外部的服务器。例如，电力管理设备11能够参考特定受控制机器125的制造商信息，访问由该制造商管理的服务器，以及从所访问的服务器获取与受控制机器125相关的多种信息。

注意，除了能够由电力管理设备11控制的受控制机器125(即，配电设备121、受控制插座123、电动交通工具124、插座扩展设备127、电力储存设备128、以及发电设备129、130)之外，还存在不受控制机器和/或不受控制插座(其为不能被控制的设备)存在于局部电力管理系统1中的情况。为此，电力管理设备11根据什么类型的设备(受控制机器或不受控制机器)连接至什么类型的插座(受控制插座或不受控制插座)，选择交换信息的方法、控制供电的方法等。注意，如下所述，除非特别说明，表述“受控制机器125”还包括可以控制的机器类型，诸如，受控制插座123、电动交通工具124、插座扩展设备127、电力储存设备128等。

图21是用于说明根据插座的类型和被连接机器的类型设置的通信装置、认证装置、以及供电控制的组合的示意图。从图21可以清楚地看出，将一种类型的插座与连接至这种插座的一种类型的被连接机器的组合粗略地被分为四种模式。

当受控制机器125连接至受控制插座123时，电力管理设备11能够与受控制插座123和受控制机器125通信并对其进行控制。从而，当被连接机器将电力信息发送至电力管理设备11时，例如，被连接机器(即，受控制机器125)可以使用ZigBee将电力信息发送至电力管理设备11。受控制插座123可以使用例如ZigBee或PLC，将电力信息发送至电力管理设备11。此外，在对被连接机器进行认证期间，被连接机器(受控制机器125)能够使用例如ZigBee，来与电力管理设备11执行认证。关于对向被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。在一些情况下，受控制插座123还可以执行对向被连接机器供电的有限控制。

当不受控制机器126连接至受控制插座123时，被连接机器可能不能与电力管理设备11执行认证处理。这意味着，在这种情况下，被连接机器和电力管理设备11无法执行机器认证。可经由例如ZigBee或PLC由不受控制机器126所连接的受控制插座123来执行在这种情况下的电力信息传输。关于对向被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。此外，在一些情况下，受控制插座123可以对向被连接机器供电执行有限控制。

当受控制机器125连接至不受控制插座时，被连接机器可以使用例如ZigBee，来与电力管理设备11执行机器认证处理，并且将电力信息发送至电力管理设备11。此外，关于对向被连接机器供电的控制，电力管理设备11可以将控制命令发送至配电设备121。

当不受控制机器126连接至不受控制插座时，被连接机器不能与电力管理设备11执行机器认证处理或者将电力信息发送至电力管理设备11。此外，由于不能控制向被连接机器的供电，电力管理设备11不断地向被连接机器供电。

(1-6)机器管理单元的配置

基于由设置在电力管理设备11中的信息管理单元112获得的多种信息来执行对上述机器的控制。现在将参考图22详细地描述设置在电力管理设备11的信息管理单元112中的机器管理单元1121的具体配置。图22是示出根据本实施例的机器管理单元1121的配置的框图。

机器管理单元1121主要包括：密钥生成单元1501、系统注册单元1503、被管理机器注册单元1505、被管理机器信息获取单元1507、被管理机器信息输出单元1509、被排除机器指定单元1511、信息篡改检测单元1513、以及电力使用证书管理单元1515。

作为一个示例，密钥生成单元1501可由CPU(中央处理单元)、ROM(只读存储器)、RAM(随机存取存储器)等实现。密钥生成单元1501生成在局部电力管理系统1中使用的多种类型密钥(诸如，公开密钥、秘密密钥、或公共密钥)、以及用于在局部电力管理系统1和设置在系统1外部的设备之间进行通信的多种类型密钥(诸如，公开密钥、秘密密钥、或公共密钥)。密钥生成单元1501使用已经由例如系统管理服务器33或证书授权服务器35披露的公开参数，来生成当生成这种密钥时使用的多种参数或生成密钥本身。密钥生成单元1501将所生成的参数或密钥安全地存储在存储单元113等中。

根据来自系统注册单元1503或被管理机器注册单元1505的请求，来实现由密钥生成单元1501执行的密钥生成处理，随后描述。一旦密钥生成处理结束，密钥生成单元1501就可将所生成的密钥等输出至作出请求的处理单元(系统注册单元1503或被管理机器注册单元1505)。密钥生成单元1501可向作出请求的处理单元(系统注册单元1503或被管理机器注册单元1505)通知密钥生成处理结束，使得处理单元接着可从特定位置(例如，存储单元113)获取所生成的密钥等。

密钥生成单元1501执行密钥生成处理时的协议不限于指定协议，并且例如，可以使用在局部电力管理系统1内设置的或者通过与服务器协定而确定的协议。

系统注册单元1503由例如CPU、ROM、RAM等实现。系统注册单元1503是执行经由广域通信单元114将电力管理设备11本身注册在管理局部电力管理系统1的系统管理服务器33中的处理的处理单元。

系统注册单元1503首先经由广域通信单元114连接至系统管理服务器33，并且实现与系统管理服务器33的具体认证处理。接下来，系统注册单元1503将指定的注册信息发送至系统管理服务器33，以将电力管理设备11本身注册在系统管理服务器33中。

系统注册单元1503发送至系统管理服务器33的注册信息的一个示例是图20中所示的信息。

随后将详细地描述由系统注册单元1503实现的注册处理的具体示例。

被管理机器注册单元1505由例如CPU、ROM、RAM等实现。被管理机器注册单元1505与能够经由局部通信单元111进行通信的受控制插座123、电动交通工具124、受控制机器125、插座扩展设备127、电力储存设备128、发电设备129、130等执行通信，并且将建立了通信的机器注册为被管理机器。当这种受控制设备连接至电源插座(受控制插座123、插座扩展设备127、不受控制插座)和/或被接通时，被管理机器注册单元1505与这种设备执行指定的认证处理，并且在认证之后执行指定的注册处理。

被管理机器注册单元1505从受控制设备获取该设备特有的标识号(机器ID)、制造商名称、型号、电力使用、被连接插座的ID等作为注册信息。被管理机器注册单元1505将所获取的注册信息注册在存储单元113等中所存储的数据库中。被管理机器注册单元1505还经由广域通信单元114将所获取的注册信息发送至系统管理服务器33，以将该信息注册在系统管理服务器33中。

随后将更详细地描述被管理机器注册单元1505的详细配置。随后还将详细地描述由被管理机器注册单元1505执行的注册处理的具体示例。

被管理机器信息获取单元1507由例如CPU、ROM、RAM等实现。被管理机器信息获取单元1507经由局部通信单元111从注册在电力管理设备11中的被管理机器获取多种信息。如图8所示，例如，可以给出表示机器的操作状态的信息、表示机器的使用状态的信息、环境信息、电力信息等，作为从被管理机器获取的信息的示例。被管理机器信息获取单元1507还能够从被管理机器获取除了上述信息之外的多种信息。

被管理机器信息获取单元1507还能够将从被管理机器获取的多种信息转发至被管理机器信息输出单元1509和被排除机器指定单元1511，将在随后描述。如果机器管理单元1121包括信息篡改检测单元1513，则被管理机器信息获取单元1507可将从被管理机器获取的多种信息转发至信息篡改检测单元1513。

被管理机器信息输出单元1509由例如CPU、ROM、RAM等实现。被管理机器信息输出单元1509将被管理机器信息获取单元1507已从被管理机器获取的多种信息输出至电力管理设备11的指定处理单元，和/或经由广域通信单元114将该信息输出至设置在电力管理设备11外部的设备。而且，如随后所描述的，如果被管理机器将用于检测信息是否已被篡改的数据嵌入到该信息中，则当嵌入有该数据的这种信息被转发至分析服务器34时，被管理机器信息输出单元1509用作中介。

被排除机器指定单元1511由例如CPU、ROM、RAM等实现。被排除机器指定单元1511基于由被管理机器信息获取单元1507从被管理机器获取的多种信息，指定将从局部电力管理系统1排除的被管理机器。可基于已经所获取的多种信息来确定被排除机器，或者可以基于无能力获取正常应当可用的信息来确定被排除机器。指定被排除机器的方法不限于具体方法，并且可以使用任意方法。

信息篡改检测单元1513由例如CPU、ROM、RAM等实现。如果用于检测信息是否已经被篡改的数据被嵌入到由被管理机器信息获取单元1507从被管理机器获取的信息中，则信息篡改检测单元1513验证这种数据并且检测该信息是否已经被篡改。可以给出电子水印，作为嵌入信息中的这种数据的一个示例。

在检测到该信息已经被篡改时，信息篡改检测单元1513可以向被排除机器指定单元1511通知这种结果。通过这样做，被排除机器指定单元1511能够从系统1中排除信息已被篡改的机器。

随后将描述由信息篡改检测单元1513执行的篡改检测处理。

电力使用证书管理单元1515由例如CPU、ROM、RAM等实现。在包括电力管理设备11的局部电力管理系统1中，在一些情况下，可将电力供给不属于系统1的受控制机器125等。为了这样做，如下所述，受控制机器125等从接收供电的系统1外部，将电力使用证书颁发至对接收供电的系统进行管理的电力管理设备11。电力使用证书是具有特定格式的证书，其表示是否已经接收供电。电力使用证书管理单元1515管理所颁发的电力使用证书，并且验证所颁发的电力使用证书是否为官方证书。当所颁发的电力使用证书为官方证书时，电力使用证书管理单元1515能够使用电力使用证书对与所供给电力相关的记账执行控制。

随后将详细地描述由电力使用证书管理单元1515执行的处理。

被管理机器注册单元的配置

接下来，将参考图23详细地描述被管理机器注册单元1505的配置。图23是用于说明被管理机器注册单元1505的配置的框图。

如图23所示，被管理机器注册单元1505包括被管理机器认证单元1551、签名生成单元1553、以及签名验证单元1555。

被管理机器认证单元1551由例如CPU、ROM、RAM等实现。如果未被注册在由电力管理设备11管理的局部电力管理系统1中的受控制机器125等被连接，则被管理机器认证单元1551使用由密钥生成单元1501生成的密钥等来对未被注册的受控制机器125等进行认证。该认证处理可以为使用公开密钥的公开密钥认证处理，或者可以为使用公共密钥的公共密钥认证处理。通过与随后描述的签名生成单元1553和签名验证单元1555协作，被管理机器认证单元1551执行对被管理机器的认证处理和注册处理。

签名生成单元1553由例如CPU、ROM、RAM等实现。签名生成单元1553使用由密钥生成单元1501生成的密钥等来针对执行认证处理的受控制机器125等生成特定签名(数字签名)和/或证书。签名生成单元1553将与所生成签名和/或证书相关的信息注册在存储单元113等中所存储的数据库中，并且经由局部通信单元111将所生成的签名和/或证书发送至执行认证处理的受控制机器125等。

签名验证单元1555由例如CPU、ROM、RAM等实现。签名验证单元1555使用由密钥生成单元1501生成的密钥等，验证由正执行认证处理的受控制机器125等发送至电力管理设备11的签名(数字签名)和/或证书。如果签名和/或证书的验证成功，则签名验证单元1555将与验证成功的签名和/或证书相关的信息注册在存储单元113等中所存储的数据库中。如果签名和/或证书的验证失败，则签名验证单元1555可取消认证处理。

随后将描述由被管理机器注册单元1505、被管理机器认证单元1551、签名生成单元1553、以及签名验证单元1555协同对被管理机器执行认证处理和注册处理的具体示例。

信息篡改检测单元的配置

接下来，将参考图24详细地描述信息篡改检测单元1513的配置。图24是用于说明信息篡改检测单元1513的配置的框图。

如图24所示，信息篡改检测单元1513还包括嵌入位置指定单元1561、电子水印提取单元1563、以及电子水印验证单元1565。

通过根据本实施例的局部电力管理系统1，可以将适于以下信息的电子水印数据嵌入到诸如电流、电压、温度、以及湿度的物理数据中，或者嵌入到使用这种物理数据计算出的多种信息中。通过验证电子水印数据，局部电力管理系统1中的设备和能够与局部电力管理系统1双向通信的多种类型服务器能够检测物理数据(在下文中，物理数据包括使用物理数据计算出的多种信息)是否已被篡改。

嵌入位置指定单元1561由例如CPU、ROM、RAM等实现。通过使用预定信号处理电路分析已嵌入有电子水印的物理数据，嵌入位置指定单元1561根据与数据对应的信号的特征，指定电子水印信息的嵌入位置。当指定电子水印信息的嵌入位置时，嵌入位置指定单元1561向电子水印提取单元1563通知与指定的嵌入位置相关的信息。注意，如果在受控制机器125等与电力管理设备11之间预先确定电子水印的嵌入位置，则不必对嵌入位置执行指定处理。

电子水印提取单元1563由例如CPU、ROM、RAM等实现。电子水印提取单元1563基于与嵌入位置指定单元1561所提供的嵌入位置相关的信息，从物理数据提取电子水印信息。电子水印提取单元1563将从物理数据提取的电子水印转发至电子水印验证单元1565，随后描述。

电子水印验证单元1565由例如CPU、ROM、RAM等实现。电子水印验证单元1565首先基于与受控制机器125等共享的共享信息以及由电子水印提取单元1563提取的物理数据生成电子水印信息。为了生成电子水印信息，使用散列函数、伪随机数发生器、公开密钥加密、公共密钥加密、或另一加密原语(例如，消息认证码(MAC))等。此后，电子水印验证单元1565将所生成的电子水印信息与电子水印提取单元1563所提取的电子水印信息进行比较。

如果所生成的电子水印信息与所提取的电子水印信息相同，则电子水印验证单元1565判定由受控制机器125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息与所提取的电子水印信息不同，则电子水印验证单元1565判定物理数据已经被篡改。

如果物理数据已被篡改，则电子水印验证单元1565通知被排除机器指定单元1511。通过这样做，被排除机器指定单元1511能够从局部电力管理系统1中排除操作可能已经被修改的受控制机器125等。

以上完成了机器管理单元1121的配置的详细描述。

(1-7)信息分析单元的配置

接下来，将详细地描述信息分析单元1123的配置。图25是用于说明信息分析单元的配置的框图。

信息分析单元1123是生成次级信息的处理单元(诸如，图8所示的信息分析单元)，次级信息是多种数据的分析结果并且基于由机器管理单元1121获取或生成的信息。如图25所示，例如，信息分析单元1123包括机器状态判断单元1601和电力状态判断单元1603。

机器状态判断单元1601由例如CPU、ROM、RAM等实现。基于由机器管理单元1121获取的多种被管理机器信息，机器状态判断单元1601判定各个被管理机器的机器状态。当作为判定的结果，被管理机器的状态被判定为异常时，机器状态判断单元1601经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理机器。

电力状态判断单元1603由例如CPU、ROM、RAM等实现。电力状态判断单元1603基于由机器管理单元1121从多个设备获取的电力信息，来判定电力状态由电力管理设备11管理的局部电力管理系统1中的电力状态。当作为判定结果，被管理机器的状态被判定为异常时，电力状态判断单元1603经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理机器。

以上完成了根据本实施例的电力管理设备11的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平适当地改变所使用的配置。

注意，用于实现根据以上实施例的电力管理设备的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-8)受控制机器的配置

接下来，将参考图26详细地描述根据本实施例的受控制机器的配置。图26是用于说明根据本实施例的受控制机器的配置的框图。

如图26所示，受控制机器125主要包括控制单元2001、传感器2003、蓄电池2005、功能提供单元2007、局部通信单元2009、输入单元2011、显示单元2013、存储单元2015等。

控制单元2001由例如CPU、ROM、RAM等实现。控制单元2001是执行对设置在受控制机器125中的处理单元的运行控制的处理单元。如先前所述，控制单元2001还将与受控制机器125相关的初级信息等发送至电力管理设备11。另外，当已经从临时注册了受控制机器125的电力管理设备接收到供电时，控制单元2001生成电力使用证书，如随后所述。注意，随后将描述控制单元2001的配置。

传感器2003由监控蓄电池状态的电流传感器或电压传感器、或者监控在受控制机器125的安装位置处的周围环境的且能够获取多种物理数据的传感器(诸如，温度传感器、湿度传感器、气压计等)构成。基于控制单元2001的控制，传感器2003以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2001。

蓄电池2005是设置在受控制机器125中的电力储存设备，由一个或多个电池(cell)构成，并且供给受控制机器125进行操作所需的电力。电力由外部电力或存在于系统1中的发电设备129、130供给蓄电池2005，并且被储存在蓄电池2005中。蓄电池2005由控制单元2001控制，并且以指定时间间隔或任意定时将多种物理数据作为蓄电池信息输出至控制单元2001。

注意，虽然图26示出了受控制机器125配备有蓄电池2005的示例，但是根据受控制机器125的类型，可以使用没有提供蓄电池2005并且直接向受控制机器125供给电力的配置。

功能提供单元2007由例如CPU、ROM、RAM、以及多种器件等实现。功能提供单元2007是实现由受控制机器125提供给用户的指定功能(例如，做饭功能、制冷功能、或记录和执行多种内容的功能)的处理单元。功能提供单元2007基于控制单元2001的控制向用户提供这种功能。

局部通信单元2009由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2009是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。局部通信单元2009能够经由在局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

输入单元2011由例如CPU、ROM、RAM、以及输入设备等实现。输入单元2011是使用户能够输入信息的输入装置。注意，作为示例，将键盘、按钮等用作输入单元2011。还可以结合随后描述的显示单元2013和输入单元2011，以构建触摸面板。

显示单元2013由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2013是这样的一种显示器件：其用于显示与受控制机器125的电力消费相关的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等。注意，作为示例，将LCD、ELD等用作显示器件。

存储单元2015是设置在受控制机器125内的存储设备的一个示例。存储单元2015存储受控制机器125特有的识别信息、与受控制机器125所保存的多种密钥相关的信息、由受控制机器125保存的多种数字签名和/证书等。也可将多种历史信息记录在存储单元2015中。另外，当根据本实施例的受控制机器125执行处理时应该存储的处理的多种参数和中间进程、或多种数据库等被适当地记录在存储单元2015中。受控制机器125的多种处理单元还能够自由地对存储单元2015进行读写。

控制单元的配置-部分1

以上完成了根据本实施例的受控制机器125的总体配置的描述。现在将参考图27详细地描述受控制机器125的控制单元2001的配置。

如图27所示，受控制机器125的控制单元2001包括认证处理单元2021、传感器控制单元2023、传感器信息输出单元2025、蓄电池控制单元2027、以及蓄电池信息输出单元2029。

认证处理单元2021由例如CPU、ROM、RAM等实现。认证处理单元2021与电力管理设备11一起基于指定协议执行认证处理，并且还执行将受控制机器125注册在电力管理设备11中的处理。当与电力管理设备11执行处理时，认证处理单元2021能够使用存储在存储单元2015等中的多种密钥、当制造受控制机器125时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2021执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2023由例如CPU、ROM、RAM等实现。传感器控制单元2023是对设置在受控制机器125中的传感器2003进行控制的处理单元。传感器控制单元2023根据指定方法对传感器2003执行控制，以指定时间间隔或在任意定时获取由传感器2003测量到的物理数据，并且将物理数据输出至随后所述的传感器信息输出单元2025。

传感器信息输出单元2025由例如CPU、ROM、RAM等实现。传感器信息输出单元2025经由局部通信单元2009将从传感器控制单元2023输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2025还可实现预处理，诸如，降噪处理和数字化处理。传感器信息输出单元2025可使用从传感器控制单元2023获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

蓄电池控制单元2027由例如CPU、ROM、RAM等实现。蓄电池控制单元2027是对设置在受控制机器125中的蓄电池2005进行控制的处理单元。蓄电池控制单元2027使用储存在蓄电池2005中的电力，以使受控制机器125起作用，并且根据状态，将储存在蓄电池2005中的电力供给受控制机器125的外部。蓄电池控制单元2027根据指定方法对蓄电池2005执行控制，以指定时间间隔或在任意定时获取由蓄电池2005测量到的物理数据，并将物理数据输出至随后所述的蓄电池信息输出单元2029。

蓄电池信息输出单元2029由例如CPU、ROM、RAM等实现。蓄电池信息输出单元2029经由局部通信单元2009将从蓄电池控制单元2027输出的蓄电池信息输出至电力管理设备11。当输出蓄电池信息时，蓄电池信息输出单元2029还可实现预处理，诸如降噪处理和数字化处理。蓄电池信息输出单元2029还可使用从蓄电池控制单元2027获取的信息来生成多种次级信息，并且将次级信息作为蓄电池信息输出。

控制单元的配置-部分2

受控制机器125的控制单元2001可具有以下描述的配置，来代替图27中所示的配置。现在将参考图28详细地描述设置在受控制机器125中的控制单元2001的另一种配置。

如图28所示，受控制机器125的控制单元2001可包括认证处理单元2021、传感器控制单元2023、蓄电池控制单元2027、以及篡改检测信息生成单元2031。

由于图28中所示的认证处理单元2021具有与图27中所示的认证处理单元2021相同的配置，并且实现相同的效果，所以省略对其的详细描述。类似地，除了将传感器信息和蓄电池信息输出至篡改检测信息生成单元2031之外，图28中所示的传感器控制单元2023和蓄电池控制单元2027具有与图27中所示的对应处理单元相同的配置并且实现相同的效果。因此，省略对其的详细描述。

篡改检测信息生成单元2031由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2031基于从传感器控制单元2023输出的传感器信息和从蓄电池控制单元2027输出的蓄电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2031经由局部通信单元2009将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可将由篡改检测信息生成单元2031生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器，诸如，分析服务器34。

篡改检测信息生成单元的配置

现在将参考图29描述篡改检测信息生成单元2031的详细配置。图29是用于说明篡改检测信息生成单元的配置的框图。

如图29所示，篡改检测信息生成单元2031进一步包括机器特征信息生成单元2033、电子水印生成单元2035、嵌入位置确定单元2037、以及电子水印嵌入单元2039。

机器特征信息生成单元2033由例如CPU、ROM、RAM等实现。机器特征信息生成单元2033基于从传感器控制单元2023和蓄电池控制单元2027输出的传感器信息和蓄电池信息，来生成机器特征信息，该机器特征信息是表征受控制机器125的特征量信息。机器特征信息生成单元2033可使用传感器信息和蓄电池信息本身作为机器特征信息，或者可将使用传感器信息和蓄电池信息所新生成的信息用作机器特征信息。机器特征信息生成单元2033将所生成的机器特征信息输出至随后所述的嵌入位置确定单元2037和电子水印嵌入单元2039。

注意，机器特征信息生成单元2033可在生成机器特征信息之前，验证所输入的传感器信息和蓄电池信息。在这种情况下，机器特征信息生成单元2033可参考存储在存储单元2015等中的数据库等，以获取物理数据(诸如，传感器信息和蓄电池信息)的取值范围，并且判定所获得的物理数据是否存在于该范围内。此外，机器特征信息生成单元2033可分析所获得的物理数据，并且确认受控制机器125没有呈现异常行为。如果机器特征信息生成单元2033通过执行这样的验证检测出异常行为或者物理数据的合法性被确认，则机器特征信息生成单元2033可经由显示单元2013向用户通知这种状态。

电子水印生成单元2035由例如CPU、ROM、RAM等实现。电子水印生成单元2035使用在受控制机器125与电力管理设备11或外部服务器(诸如，分析服务器34)之间共享的共享信息(诸如，与密钥信息和标识号相关的信息)，来生成将被用作篡改检测信息的电子水印信息。

作为示例，可以使用共享信息本身、基于共享信息所生成的随机数串、使用受控制机器125特有的唯一值(诸如，ID信息)生成的信息等来生成由电子水印生成单元2035生成的电子水印信息。如果第三方不知道生成并嵌入电子水印信息或者嵌入电子水印信息本身的方法，则可以通过使用利用这种信息所生成的电子水印信息来检测对信息的篡改。

还可以经由电力管理设备11将嵌入了由下述方法生成的电子水印信息的物理数据转发至诸如分析服务器34的外部服务器。同时，还存在用作中间设备的电力管理设备11会被恶意第三方等接管的风险。在这种情况下，接管电力管理设备11的第三方可能从事非法行为(诸如，重新使用接管以前的篡改检测信息)，以防止外部服务器的真正用户、管理者等注意到该接管。为此，除了以上描述的信息之外还通过使用时间信息，来定期地生成电子水印信息，电子水印生成单元2035能够检测诸如电力管理设备11以上述方式被接管的现象。

为了生成电子水印信息，电子水印生成单元2035能够使用多种技术，诸如，散列函数、公开密钥加密、随机数发生器、公共密钥加密、另一加密原语(MAC)等。在这种情况下，所输出的电子水印信息的数据大小被设置为m个比特。

这样，根据本实施例的电子水印生成单元2035使用物理数据生成电子水印信息，并且不使用物理数据本身作为电子水印信息。

电子水印生成单元2035将所生成的电子水印信息输出至随后所述的电子水印嵌入单元2039。

嵌入位置确定单元2037由例如CPU、ROM、RAM等实现。嵌入位置确定单元2037分析从机器特征信息生成单元2033转发的机器特征信息，并且确定篡改检测信息在机器特征信息中的嵌入位置。更特别地，嵌入位置确定单元2037确定将在机器特征信息中具有等于或大于指定阈值的大值的区域、具有高离差的区域、与噪声区域对应的区域、当频域上的数据被处理时的高频域等作为嵌入位置。如果电子水印信息被嵌入到数据的某个区域(诸如，具有高噪声的区域和具有高信噪比的区域)中，则对机器特征信息的总体趋势(例如，统计特性)基本没有影响。这意味着，通过使用这种区域作为电子水印信息的嵌入位置，不必独立于机器特征信息发送电子水印信息，并且甚至仅具有用于接收机器特征信息的功能的电力管理设备11都可以检测篡改。

嵌入位置确定单元2037将与所确定的嵌入位置相关的位置信息输出至随后所述的电子水印嵌入单元2039。注意，当预先确定电子水印信息的嵌入位置时，不需要执行该处理。

电子水印嵌入单元2039由例如CPU、ROM、RAM等实现。电子水印嵌入单元2039基于从嵌入位置确定单元2037接收到的、与嵌入位置相关的位置信息，将由电子水印生成单元2035生成的电子水印信息嵌入机器特征信息生成单元2033所生成的机器特征信息中。通过这样做，生成嵌入有电子水印信息的机器特征信息。

电子水印嵌入单元2039可再次对嵌入有电子水印信息的机器特征信息进行验证。通过执行这样的验证，在该信息包含超过机器特征信息的取值范围的值时，或者在清楚地指示异常行为时，篡改检测信息生成单元2031可以重复嵌入电子水印信息的处理。此外，当嵌入尝试的次数等于或大于预定阈值时，电子水印嵌入单元2039可经由显示单元2013通知用户。

注意，当时间信息用于不仅验证信息是否被篡改，还验证电力管理设备11是否被接管时，这种时间信息可以被结合作为上述电子水印信息的一部分，或者这种时间信息可以独立于电子水印信息而被嵌入机器特征信息中。

以上完成了根据本实施例的受控制机器125的功能的一个示例的描述。上述多种组成元件可使用通用部件和电路来配置，或者可使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平，适当地改变所使用的配置。

例如，在图26中，示出蓄电池2005与受控制机器125形成为一体的情况，但是还可以独立于受控制机器125形成蓄电池。

此外，除了图26中所示的处理单元之外，受控制机器125可进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的受控制机器的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-9)电力储存设备的配置

接下来，将参考图30详细地描述根据本实施例的电力储存设备128的配置。图30是用于说明根据本实施例的电力储存设备的配置的框图。

如图30所示，电力储存设备128主要包括控制单元2501、传感器2503、电池2505、局部通信单元2507、显示单元2509、存储单元2511等。

控制单元2501由例如CPU、ROM、RAM等实现。控制单元2501是执行对设置在受控制机器125中的处理单元的运行控制的处理单元。控制单元2501还将与受控制机器125相关的、先前描述的初级信息等发送至电力管理设备11。而且，如果在稍后描述的电池2505中出现诸如损坏的问题，则控制单元2501执行对电池的重新配置(电池配置的重新布置)。注意，随后将详细描述控制单元2501的配置。

传感器2503由监控电池2505的状态的电流传感器或电压传感器、或者监控在电力储存设备128的安装位置处的周围环境的且能够获取多种物理数据的传感器(诸如，温度传感器、湿度传感器、气压计等)构成。基于控制单元2501的控制，传感器2503以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2501。

电池2505是设置在电力储存设备128中的电力储存装置，由一个或多个电池构成，并且向电力储存设备128和设置在电力储存设备128外部的设备供电。电力由外部电力或存在于系统1中的发电设备129、130供给电池2505并且被储存在电池2505中。电池2505由控制单元2501控制，并且以指定时间间隔或任意定时，将多种物理数据作为电池信息输出至控制单元2501。

局部通信单元2507由例如CPU、ROM、RAM、以及通信设备等实现。局部通信单元2507是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。局部通信单元2507能够经由在局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

显示单元2509由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2509是这样的一种显示装置：其用于显示与电力储存设备128的电力消费相关的信息、用户信息、记账信息、与电力管理相关的其他信息、与在局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等。注意，作为示例，将LCD、ELD等用作显示装置。

存储单元2511是设置在电力储存设备128内的存储设备的一个示例。存储单元2511存储电力储存设备128特有的识别信息、与电力储存设备128所保存的多种密钥相关的信息、由电力储存设备128保存的多种数字签名和/证书等。多种历史信息也可被记录在存储单元2511中。另外，当根据本实施例的电力储存设备128执行处理时应该存储的处理的多种参数和中间进程、或多种数据库等被适当地记录在存储单元2511中。电力储存设备128的多种处理单元还能够自由地对存储单元2511进行读写。

控制单元的配置-部分1

以上完成了根据本实施例的电力储存设备128的总体配置的描述。现在将参考图31详细地描述电力储存设备128的控制单元2501的配置。

如图31所示，电力储存设备128的控制单元2501包括认证处理单元2521、传感器控制单元2523、传感器信息输出单元2525、电池控制单元2527、以及电池信息输出单元2529。

认证处理单元2521由例如CPU、ROM、RAM等实现。认证处理单元2521与电力管理设备11一起基于指定协议执行认证处理，并且还执行将电力储存设备128注册在电力管理设备11中的处理。当与电力管理设备11执行处理时，认证处理单元2521能够使用存储在存储单元2511等中的多种密钥、制造电力储存设备128时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2521执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2523由例如CPU、ROM、RAM等实现。传感器控制单元2523是控制设置在电力储存设备128中的传感器2503的处理单元。传感器控制单元2523根据指定方法执行对传感器2503的控制，以指定时间间隔或在任意定时获取由传感器2503测量到的物理数据，并且将物理数据输出至随后所述的传感器信息输出单元2525。

传感器信息输出单元2525由例如CPU、ROM、RAM等实现。传感器信息输出单元2525经由局部通信单元2507将从传感器控制单元2523输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2525还可实现诸如降噪处理和数字化处理的预处理。传感器信息输出单元2525可使用从传感器控制单元2523获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

电池控制单元2527由例如CPU、ROM、RAM等实现。电池控制单元2527是控制设置在电力储存设备128中的电池2505的处理单元。电池控制单元2527使用储存在电池2505中的电力，以使电力储存设备128起作用，并且根据状态，将储存在电池2505中的电力供给电力储存设备128的外部。电池控制单元2527根据指定方法执行对电池2505的控制，以指定时间间隔或在任意定时获取由电池2505测量出的物理数据，并将物理数据输出至随后所述的电池信息输出单元2529。

电池信息输出单元2529由例如CPU、ROM、RAM等实现。电池信息输出单元2529经由局部通信单元2507将从电池控制单元2527输出的电池信息输出至电力管理设备11。当输出电池信息时，电池信息输出单元2529还可实现诸如降噪处理和数字化处理的预处理。电池信息输出单元2529还可使用从电池控制单元2527获取的信息来生成多种类型的次级信息，并且将这种信息作为电池信息输出。

控制单元的配置-部分2

电力储存设备128的控制单元2501可具有以下描述的配置，来代替图31中所示的配置。现在将参考图32详细地描述设置在电力储存设备128中的控制单元2501的另一种配置。

如图32所示，电力储存设备128的控制单元2501可包括认证处理单元2521、传感器控制单元2523、电池控制单元2527、以及篡改检测信息生成单元2531。

由于图32中所示的认证处理单元2521具有与图31中所示的认证处理单元2521相同的配置，并且实现相同的效果，所以省略对其的详细描述。类似地，除了将传感器信息和电池信息输出至篡改检测信息生成单元2531之外，图32中所示的传感器控制单元2523和电池控制单元2527具有与图31中所示的对应处理单元相同的配置并且实现相同的效果。从而，省略对其的详细描述。

篡改检测信息生成单元2531由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2531基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2531经由局部通信单元2507将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可将篡改检测信息生成单元2531所生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器(诸如，分析服务器34)。

篡改检测信息生成单元的配置

现在将参考图33描述篡改检测信息生成单元2531的详细配置。图33是用于说明篡改检测信息生成单元的配置的框图。

如图33所示，篡改检测信息生成单元2531进一步包括机器特征信息生成单元2533、电子水印生成单元2535、嵌入位置确定单元2537、以及电子水印嵌入单元2539。

除了基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息生成机器特征信息之外，机器特征信息生成单元2533具有与图29中所示的机器特征信息生成单元2033相同的功能，并且实现相同的效果。从而，省略对其的详细描述。

而且，电子水印生成单元2535、嵌入位置确定单元2537以及电子水印嵌入单元2539具有与图29中所示的对应处理单元相同的功能并且实现相同的效果。从而，省略对其的详细描述。

以上完成了根据本实施例的电力储存设备128的功能的一个示例的描述。上述多种组成元件可使用通用部件和电路来配置，或者可使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平，适当地改变所使用的配置。

例如，除了图30中所示的处理单元之外，电力储存设备128可进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力储存设备的功能的计算机程序可以被创建并安装在具有电力储存设备的个人计算机等中。还可以提供存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-10)嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例

现在将详细地描述嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例。

在智能、网络化、以及数字化的局部电力管理系统1中，电力管理设备11与多种机器和蓄电池交流该系统中的各个机器的电力使用，以最优化整个系统中的电力使用。通过这样做，电力管理设备11监控来自各个机器/蓄电池的传感器信息以及状态(诸如，日期/时间、电价、温度、以及用户是在家还是外出)，并且根据这种状态执行诸如设置操作模式和各个机器的最大电流的控制。还可能受益于多种服务(诸如，经由电力管理设备11从家庭外部进行控制)，以制定由安全检查服务器支持的高度安全措施、以及最优化。

当这样做时，由于可以从外部对机器和蓄电池进行访问，所以增加了安全威胁，诸如，发送至机器或蓄电池的异常操作命令、从另一电力管理设备发动的对家用电力管理设备或机器或蓄电池的攻击、D0S攻击、以及信息泄露。可想到的对这种威胁的对策包括电力管理设备11的业务管理、防病毒措施、以及安装防火墙。为了对付未知攻击，假设用于机器或蓄电池的传感器信息和执行命令信息被发送至诸如分析服务器34的安全检查服务器，并且物理仿真或学习理论被用于估计危险程度和/或检测非法使用。

然而，由于这种对策以电力管理设备正常操作为前提，当电力管理设备11的控制功能受到外部攻击者危害时，这种防御将会无效。此外，由于制造和管理成本导致机器和蓄电池很可能具有相对弱的防御性，在电力管理设备11的控制功能受到危害的情况下，可以想象，机器和蓄电池是无防御的。另外，虽然可以想到非法电力管理设备用作合法电力管理设备、篡改物理数据、并且将这种数据发送至安全检查服务器的攻击，但是由于对于服务来说，很难区分非法电力管理设备和合法电力管理设备，所以很难检测这种攻击。由于与对计算机的传统攻击相比，对机器或蓄电池的攻击具有导致主要危害的更高风险，所以必须不仅向电力管理设备而且还要向机器和电池提供特定级别的安全功能。

为此，在本实施例中，如先前所描述的，可以将用于防止非法篡改的电子水印插入从机器和蓄电池的传感器等获得的物理数据中。通过使用这种方法，甚至当物理数据在通信路径上被攻击者篡改时，仍可以检测到攻击。而且，甚至当电力管理设备的控制功能受到危害时，通过将包括时间信息的电子水印信息定期地发送至安全检查服务器，可以通过与服务的协作检测到控制功能已经受到危害。另外，通过使用电子水印信息，不必独立于物理数据而发送诸如MAC的认证信息，这使得可以使用仅能够接收物理数据的电力管理设备。

现在将通过给出示例来更具体地描述嵌入电子水印信息的方法和验证电子水印信息的方法。注意，在以下说明中，假设电子水印信息被嵌入在特定时间获得的物理数据(机器特征信息)中。物理数据是由n个数据构成的时序数据，并且在时间k(其中，0≤k≤n-1)处的物理数据值被表示为X_k。在被从传感器等获取之后，在各时间处的物理数据值经过离散化，并且被设置为r比特数据。电子水印信息的数据大小被设置为m比特。

嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法

现在将通过给出具体示例来描述嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。

具体示例1

首先，将描述由受控制机器125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定的信号处理电路等，从作为物理数据的机器特征信息等中选择具有大值的p个数据。此后，电子水印嵌入单元2039使用指定嵌入处理电路等，连续地将基于共享信息生成的电子水印信息按照时序顺序插入到从所选择的p个机器特征信息的最低有效位(LSB)开始数起的q(k)比特部分中。在此，q(k)为满足以下给定的条件的值。

表达式1

$1\≤q\left(k\right)\≤r-\mathrm{1,0}\≤k\≤p-1,\underset{k=0}{\overset{p-1}{\mathrm{\Σ}}}q\left(k\right)=m$ (条件a)

在一些情况下，在电子水印信息被嵌入之后的所选择的p个机器特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值小于嵌入p个电子水印信息之后的机器特征信息中的最小值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述通过电力管理设备11的信息篡改检测单元或者安全检查服务器(诸如，分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定的信号处理电路等，来从作为物理数据的机器特征信息等中指定具有最大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息以及指定的嵌入提取电路等，按照时序连续地提取从所选择的p个机器特征信息的LSB开始数起的q(k)个比特的值。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并将所生成的信息与电子水印提取单元提取的电子水印信息进行比较。

具体示例2

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定信号处理电路等，来执行由以下公式101表达的离散傅立叶变换或者由以下公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域的数据串(Y₀，Y₁，...，Y_n-1)。

表达式2

$y_j=\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k{e}^{-\frac{2\mathrm{\πi}}{n}\mathrm{jk}},j=0,...,n-1$ ...(公式101)

$y_j=\left\{\begin{array}{c}\frac{\sqrt{2}}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k(j=0)\\ \frac{2}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k\cos \frac{(2k+1)\mathrm{j\π}}{2n}(j\≠0)\end{array}\right.$ ...(公式102)

此后，嵌入位置确定单元2037从高频率中按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息所生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。在此，“q(k)”是满足以上给定条件的值。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如，均匀地分配给实数和复数，或者优先地分配给大值。

接下来，电子水印嵌入单元2039使用指定的信号处理电路等，以使嵌入电子水印信息之后的频域数据经过由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将该数据恢复为时域中的数据串。

表达式3

$x_k=\frac{1}{n}\underset{j=0}{\overset{n-1}{\mathrm{\Σ}}}{y}_j{e}^{\frac{2\mathrm{\πi}}{n}\mathrm{jk}},k=0,...,n-1$ ...(公式103)

$x_k=\frac{1}{\sqrt{2}}{y}_0+\underset{j=1}{\overset{n-1}{\mathrm{\Σ}}}{y}_j\cos \frac{(2k+1)\mathrm{j\π}}{2n},k=0,...,n-1$ ...(公式104)

接下来，将描述通过电力管理设备11的信息篡改检测单元或安全检查服务器(诸如分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定的信号处理电路等，来执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频起按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。通过这样做，可以指定嵌入电子水印信息的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，并且使用预定嵌入提取电路等连续地提取从所选择的p个机器特征信息的最低有效位LSB开始数起的q(k)比特值。然后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

具体示例3

首先，将描述由受控制机器125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的机器特征信息生成单元2033基于机器特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置确定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和小于指定阈值σ，并且所选的p-1个数据在满足这种条件的连续数据串中具有最大平方和。

此后，电子水印嵌入单元2039使用指定的嵌入处理电路等，将基于共享信息所生成的电子水印信息按照时序顺序连续地插入从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的最低有效位LSB开始数起的q(k)比特部分。在此，“q(k)”是满足以上给定条件的值。

关于嵌入电子水印信息之后的p个所选择的机器特征信息的连续差值数据，可能存在总和不再小于阈值σ和/或平方和在满足这种条件的连续数据串中不再为最大的情况。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得满足以上给定的条件。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足以上条件为止。

接下来，将描述由电力管理设备11和安全检查服务器(诸如，分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成关于机器特征信息X_k的差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1个连续差值数据的总和小于预定阈值σ、并且平方和在满足这种条件的连续数据串中为最大的p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)。通过这样做，可以指定嵌入了电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定的嵌入提取电路等，来按照时序顺序连续地提取从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。接下来，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法

以上描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。接下来，将通过给出具体示例来描述嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法。

注意，由于使用共享信息和时间信息的电子水印信息还可以用于检测电力管理设备11是否被接管，因此，通过诸如分析服务器34的安全检查服务器来正常地执行这种信息的验证。

注意，当验证使用时间信息的电子水印信息时，诸如分析服务器34的安全检查服务器根据如何嵌入时间信息来改变验证方法。即，如果时间信息与电子水印信息一起被嵌入，则所嵌入的时间信息被提取并且在验证期间用于数据生成处理中。如果未嵌入时间信息，则使用预先确定的时间信息或者基于针对机器特征信息估计的获取时间所选择的多个时间信息，生成电子水印信息。

具体示例1

首先，将描述由受控制机器125执行的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的电子水印生成单元2035使用指定电路等，来基于从n个机器特征信息(物理数据)的最高有效位(MSB)开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及在一些情况下的其他信息，生成每个机器特征信息的m比特电子水印信息。

此后，嵌入位置确定单元2037使用指定的嵌入电路等，来将针对每个机器特征信息所生成的电子水印信息嵌入从机器特征信息的LSB开始的m比特部分。在这种情况下，整个电子水印信息的数据大小为nm比特。

接下来，将描述由安全检查服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

首先，信息篡改检测单元的电子水印提取单元使用指定的嵌入提取电路，来提取从n个机器特征信息中的每一个的LSB开始数起的m比特数据作为电子水印信息。接下来，电子水印验证单元基于从n个机器特征信息的MSB开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及由嵌入侧使用的数据，生成每个机器特征信息的m比特电子水印信息。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

注意，虽然在以上说明中描述了时域中的数据，还可以对频域数据使用相同方式，该频域数据是通过经由离散傅立叶变换或离散余弦变换来转换机器特征信息(诸如，物理数据)来产生的。

具体示例2

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定的信号处理电路等，来从作为物理数据的机器特征信息等中选择具有大值的p个数据。

此后，电子水印生成单元2035基于除了从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定的嵌入处理电路等，将所生成的电子水印信息按照时序顺序连续地插入从所选择的p个机器特征信息的LSB开始数起的q(k)比特部分中。

在一些情况下，嵌入电子水印信息之后的所选择的p个机器特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值小于嵌入p个电子水印信息之后机器特征信息的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述由安全检测服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定的信号处理电路等，在作为物理数据的机器特征信息等中指定具有大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息和指定的嵌入提取电路等，来按照时序顺序连续地提取从所选择的p个机器特征信息的LSB开始数起的q(k)比特的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将电子水印提取单元所提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例3

首先，将描述由受控制机器125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定的信号处理电路等，来执行由以上公式101表达的离散傅立叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。

此后，嵌入位置确定单元2037从高频率中按照顺序选择p个高频成分(即，在公式101和102中i很大的成分)。

此后，电子水印生成单元2035基于除从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定的嵌入处理电路等，将基于共享信息所生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如，均匀地分配给实数和复数，或者优先地分配给大值。

接下来，电子水印嵌入单元2039使用指定的信号处理电路等，使嵌入电子水印信息之后的频域数据经过由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将数据恢复为时域中的数据串。

接下来，将描述通过安全服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定的信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的机器特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频率中按照顺序选择p个高频成分(即，在公式101和102中j很大的成分)。通过这样做，可以指定嵌入了电子水印信息的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，并且使用预定嵌入提取电路等来连续地提取从所选择的p个机器特征信息的最低有效位LSB开始数起的q(k)比特值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例4

首先，将描述由受控制机器125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的机器特征信息生成单元2033基于机器特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置确定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和小于指定阈值σ，并且所选的p-1个数据在满足这种条件的连续数据串中具有最大平方和。

此后，电子水印生成单元2035基于除从所选择的p个机器特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定的嵌入处理电路等，将基于共享信息生成的电子水印信息连续地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

关于嵌入电子水印信息之后的p个所选择的机器特征信息的连续差值数据，可能存在总和不再小于阈值σ和/或平方和在满足这种条件的连续数据串中不再为最大的情况。在这种情况下，篡改检测信息生成单元2031的机器特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得满足以上给定的条件。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足以上条件为止。

接下来，将描述由电力管理设备11的信息篡改检测单元和安全检查服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成机器特征信息X_k的差值数据S_k＝X_k-X_k-1(1k≤n-1)。接下来，嵌入位置指定单元选择p-1连续差值数据的总和小于预定阈值σ并且平方和在满足这种条件的连续数据串中为最大的p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定的嵌入提取电路等，按照时序顺序连续地提取从所选择的p个机器特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

以上已经描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法、以及嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法，同时给出了具体示例。通过在根据本实施例的局部电力管理系统1中使用这种方法，可以检测诸如信息是否已被篡改和电力管理设备是否已被接管的现象。

注意，虽然在以上说明中具体描述了将电子水印信息嵌入具有大值的区域中的情况，但还可以当电子水印信息被嵌入具有高离差的区域、噪声区域等中时实现相同处理。

(1-11)注册电力管理设备的方法

接下来，将参考图34和图35按照处理流程的顺序描述由电力管理设备11实现的注册电力管理设备的方法。图34是用于说明根据本实施例的注册电力管理设备的方法的流程图。图35是用于说明根据本实施例的注册电力管理设备的方法的具体示例的流程图。

首先，将参考图34描述电力管理设备11的注册方法的整体流程。

电力管理设备11的机器管理单元1121首先连接设置在局部电力管理系统1中的配电设备121(步骤S1001)。更特别地，机器管理单元1121从配电设备121获取当制造配电设备121时存储在配电设备121中的数字签名、证书等，并且自动地或经由在线识别来识别配电设备121。根据用于受控制机器125等的识别处理和注册处理的流程，来执行用于配电设备121的识别处理和注册处理，随后描述。

此后，机器管理单元1121将询问用户待注册信息(被注册信息)的内容的消息显示在设置于电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册信息的内容(诸如，图20中所示的信息)输入至电力管理设备11中。通过这样做，机器管理单元1121能够获取注册信息(步骤S1003)。

接下来，机器管理单元1121经由广域通信单元114连接至系统管理服务器33，并且由系统管理服务器33执行认证(步骤S1005)。虽然可以使用任意技术连接至系统管理服务器33并且执行认证处理，但作为一个示例，使用公开密钥加密。

在由系统管理服务器33执行的认证处理中，系统管理服务器33向电力管理设备11通知认证结果。机器管理单元1121参考所接收的认证结果，并且判定认证是否成功(步骤S1007)。

当由系统管理服务器33进行的认证处理失败时，机器管理单元1121确定写入认证结果中的错误内容(步骤S1009)。在注册信息不完整的情况(a)下，机器管理单元1121返回至步骤S1003，询问不完整注册信息的内容，并且获取正确内容。在注册信息并非不完整但认证失败的情况(b)下，机器管理单元1121连接至系统管理服务器33并且再次执行认证处理。而且，在认证失败连续反复的指定次数或更多的情况(c)下，机器管理单元1121取消对电力管理设备11的注册。

同时，当由系统管理服务器33执行的认证处理成功时，机器管理单元1121将所获取的注册信息正式地发送至系统管理服务器33(步骤S1011)，并且将电力管理设备11注册在系统管理服务器33的数据库中。

通过根据上述流程执行处理，电力管理设备11的机器管理单元1121能够将电力管理设备11本身注册在系统管理服务器33中。注意，当电力管理设备11的注册成功时，电力管理设备11定期地与系统管理服务器33进行通信并且检验当前状态。

注册电力管理设备的方法的具体示例

接下来，将参考图35描述注册电力管理设备的方法的具体示例。图35示出使用公开密钥加密来注册电力管理设备的方法的示例。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设，例如，电力管理设备特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已经由制造商存储在该设备中。另外，假设系统管理服务器33具有系统管理服务器33特有的公开密钥和私密密钥。

当电力管理设备11的用户已执行开始用于电力管理设备的注册处理的操作时，机器管理单元1121的密钥生成单元1501使用公开参数来生成由公开密钥和私密密钥构成的密钥对(步骤S1021)。密钥生成单元1501将所生成的密钥对存储在存储单元113等中。

接下来，系统注册单元1503使用系统管理服务器33的公开密钥对电力管理设备的识别信息、识别信息的数字签名、以及生成的公开密钥进行加密。此后，系统注册单元1503将所生成的密码作为证书颁发请求，经由广域通信单元114发送至系统管理服务器33(步骤S1023)。

当获取从电力管理设备11发送的证书颁发请求时，系统管理服务器33首先验证附加至数字签名的签名的合法性(步骤S1025)。更特别地，系统管理服务器33使用由服务器隐藏的私密密钥，来验证附加至电力管理设备的识别信息的数字签名是否有效。

如果验证失败，则系统管理服务器33将表示认证失败的认证结果发送至电力管理设备11。同时，如果验证成功，则系统管理服务器33将电力管理设备11的识别信息添加至由系统管理服务器33存储的数据库中的被管理列表中(步骤S1027)。

接下来，系统管理服务器33颁发用于由电力管理设备11生成的公开密钥的公开密钥证书(步骤S1029)，并且将所生成的公开密钥证书发送至电力管理设备11。

当接收到从系统管理服务器33发送的公开密钥证书时，电力管理设备11的系统注册单元1503验证公开密钥证书(步骤S1031)。如果公开密钥证书的验证成功，则系统注册单元1503将注册信息发送至系统管理服务器33(步骤S1033)。注意，使用加密通信来执行对注册信息的这种发送。

当接收到从电力管理设备11发送的注册信息时，系统管理服务器33将所接收到的注册信息注册在被管理列表中(步骤S1035)。通过这样做，由电力管理设备11和系统管理服务器33执行的用于注册电力管理设备11的处理被认为成功(步骤S1037)。

以上已经描述了用于注册电力管理设备11的具体示例。注意，上述注册方法的具体示例仅为一个示例，根据本实施例的注册处理不限于以上示例。

(1-12)注册受控制机器的方法

接下来，将参考图36至图38描述将受控制机器125注册在电力管理设备11中的方法。图36是用于说明根据本实施例的注册受控制机器的方法的流程图。图37和图38是用于说明根据本实施例的注册受控制机器的方法的具体示例的流程图。

注意，将受控制机器125作为由电力管理设备11管理的被管理机器的一个示例，描述该注册方法。以下描述的注册方法以与当将电动交通工具124、电力存储设备128、第一发电设备129、以及第二发电设备130注册在电力管理设备11时的相同方式来执行。

首先，将参考图36描述注册受控制机器125的方法的总体流程。

当未被注册的受控制机器125连接至由电力管理设备11管理的局部电力管理系统1时，电力管理设备11的机器管理单元1121检测到受控制机器125连接至系统(步骤S1041)。更特别地，电力管理设备11本身可以检测出受控制机器125被连接，或者配电设备121或电源插座(受控制插座123或插座扩展设备127)可以检测出受控制机器125被连接，并且通知电力管理设备11。作为该处理的结果，电力管理设备11能够掌握与受控制机器125所连接的插座相关的信息(位置信息)。

接下来，机器管理单元1121对新连接的受控制机器125进行认证处理。该认证处理可以使用任意技术来执行，例如，公开密钥加密。通过执行认证处理，机器管理单元1121从受控制机器125获取诸如图20中所示的信息。

如果受控制机器125的认证失败，则机器管理单元1121结束对受控制机器125的注册处理。注意，如果机器管理单元1121确定尝试对受控制机器125进行认证，而不是突然终止注册处理，处理可以返回至步骤S1043，在步骤S1043中重复进行认证处理。

同时，当受控制机器125的认证成功时，机器管理单元1121经由广域通信单元114将受控制机器125注册在系统管理服务器33中(步骤S1047)。接下来，机器管理单元1121向认证成功的受控制机器125颁发签名(数字签名)、证书等(步骤S1049)。此后，机器管理单元1121将受控制机器125注册在存储单元113等中存储的管理数据库中(步骤S1051)。

注册受控制机器的方法的具体示例

接下来，将参考图37和图38描述注册受控制机器的方法的具体示例。图37和图38是使用公开密钥加密注册受控制机器的方法的示例。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理设备特有的识别信息(ID)和系统管理服务器33所生成的识别信息的数字签名已经由制造商存储在该设备中，并且假设由公开密钥和私密密钥构成的密钥对也被存储在该设备中。还假设系统管理服务器33存储系统管理服务器33特有的公开密钥和私密密钥。最后，假设例如受控制机器125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经由制造商存储在受控制机器125内。

首先，将参考图37描述最初注册受控制机器的方法的具体示例。

当受控制机器125连接至系统1时(更特别地，当受控制机器125连接至受控制插座123等时)(步骤S1061)，在随后描述的过程中，电力管理设备11的被管理机器注册单元1505检测出受控制机器125已经被连接(步骤S1063)。

接下来，被管理机器注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1065)。更特别地，被管理机器注册单元1505将对用户询问注册条件的消息显示在电力管理设备11中所设置的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理设备11中。

此后，被管理机器注册单元1505经由局部通信单元111将注册开始信号发送至受控制机器125(步骤S1067)。

接收到注册开始信号的受控制机器125的认证处理单元2021，将机器特有的识别信息(ID)和系统管理服务器33生成的数字签名作为机器注册请求发送至电力管理设备11(步骤S1069)。

接收到机器注册请求的被管理机器注册单元1505使用系统管理服务器33的公开密钥，来验证所接收的数字签名的合法性(步骤S1071)。当验证失败时，被管理机器注册单元1505将表示验证失败的验证结果发送至受控制机器125。同时，当验证成功时，被管理机器注册单元1505请求系统管理服务器33注册受控制机器125的识别信息和/或受控制机器125的机器信息(包括制造商名称、型号等)(步骤S1073)。

当接收注册请求时，系统管理服务器33确认包括在注册请求中的受控制机器125是否是合法机器(即，机器是否已经被注册)(步骤S1075)。当受控制机器125是合法机器时，系统管理服务器33将所接收的机器信息添加至存储在系统管理服务器33中的数据库中的被管理列表中(步骤S1077)。

此后，系统管理服务器33从由系统管理服务器33本身存储的多种数据库或者从属于制造商等的服务器，获取与所注册的受控制机器125的规格相关的信息(机器规格信息)，并且将所获取的信息发送至电力管理设备11(步骤S1079)。

然后，电力管理设备11的被管理机器注册单元1505使用由被管理机器注册单元1505本身保存的密钥，颁发用于受控制机器的识别信息(ID)的签名(证书)(步骤S1081)。此后，被管理机器注册单元1505将所颁发的签名与电力管理设备11的识别信息(ID)一起发送至受控制机器125(步骤S1083)。

受控制机器125的认证处理单元2021将所接收的签名和电力管理设备11的识别信息(ID)存储到指定位置，诸如存储单元2015中(步骤S1085)。电力管理设备11的被管理机器注册单元1505将受控制机器125的机器信息注册在存储单元113等中存储的管理数据库中(步骤S1087)。通过这样做，最初注册受控制机器125的处理被认为成功(步骤S1089)。

图37示出受控制机器125被正式注册(最初注册)在电力管理设备11中的处理。然而，作为一个示例，还可能存在用户想要将已经被注册在用户家的电力管理设备11中的受控制机器125临时注册在朋友家设置的电力管理设备11中的情况。为此，根据本实施例的电力管理设备11设置有用于临时注册最初已经注册在另一电力管理设备11中的受控制机器125的注册处理。现在参考图38描述临时注册受控制机器125的处理。

注意，假设在以下说明开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理设备特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已经由制造商存储在该设备中，并且假设由公开密钥和私密密钥构成的密钥对也被存储在该设备中。另外，还假设系统管理服务器33具有系统管理服务器33特有的公开密钥和私密密钥。最后，假设受控制机器125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经例如由制造商存储在受控制机器125内，并且假设所注册的电力管理设备的识别信息(ID)和签名已经被存储在受控制机器125中。

当受控制机器125连接至系统1时(更特别地，当受控制机器125连接至受控制插座123等时)(步骤S1091)，在之前描述的过程中，电力管理设备11的被管理机器注册单元1505检测出受控制机器125已经被连接(步骤S1093)。

接下来，被管理机器注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1095)。更特别地，被管理机器注册单元1505将询问用户注册条件的消息显示在设置在电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理设备11中。

接下来，被管理机器注册单元1505经由局部通信单元111将注册开始信号发送至受控制机器125(步骤S1097)。

接收到注册开始信号的受控制机器125的认证处理单元2021，将所注册的电力管理设备11的识别信息(ID)、所提供的数字签名、以及受控制机器125特有的识别信息(ID)作为机器注册请求发送至电力管理设备11(步骤S1099)。

接收到机器注册请求的被管理机器注册单元1505检验受控制机器125特有的并且包括在机器注册请求中的识别信息(ID)(步骤S1101)。此后，基于受控制机器125特有的识别信息(ID)，被管理机器注册单元1505向系统管理服务器33请求受控制机器125的证书(步骤S1103)。

在确认请求证书的受控制机器125不是包括在过期列表中的机器(步骤S1105)之后，系统管理服务器33将所请求的证书发送至电力管理设备11(步骤S1107)。

电力管理设备11的被管理机器注册单元1505验证受控制机器125所拥有的签名(从所注册的电力管理设备获取的签名)(步骤S1109)。当签名的验证成功时，被管理机器注册单元1505将受控制机器125临时注册在电力管理设备11中(步骤S1111)。通过这样做，电力管理设备11能够临时注册已经注册在另一电力管理设备11中的受控制机器125。

(1-13)注册受控制插座的方法

接下来，参考图39，描述将受控制插座123注册在电力管理设备11中的方法。图39是用于说明根据本实施例的注册受控制插座的方法的流程图。

注意，尽管下面的描述以受控制插座123为例，但是可以以同样的方式对插座扩展设备127执行这种注册方法。

电力管理设备11的机器管理单元1121首先连接到配电设备121(步骤S1121)，并从配电设备121获取关于系统1中存在的插座的信息(步骤S1123)。“与插座相关的信息”的表述是指如下信息：诸如受控制插座或不受控制插座的指示、受控制插座的识别信息(ID)、制造商名称和型号、诸如电力供应量和电源限制等技术规格、系统内的插座的位置信息等等。

接下来，机器管理单元1121的被管理机器注册单元1505与系统中存在的受控制插座建立连接(步骤S1125)。此后，被管理机器注册单元1505将已建立连接的受控制插座注册到存储在存储单元113等中的管理数据库中(步骤S1127)。

接下来，被管理机器注册单元1505确认电力供应控制方法和如图21所示的那些机器认证手段，并将这种信息设置在管理数据库中。这样，当受控制机器125或不受控制机器126连接到受控制插座123时，电力管理设备11能够进行适当的电力供应控制和机器认证处理。

接下来，被管理机器注册单元1505判断是否已对每个插座(受控制插座)执行了该处理(步骤S1131)。当存在未进行该处理的受控制插座时，被管理机器注册单元1505返回步骤S1125并继续该处理。当已经对每个受控制插座进行过该处理时，被管理机器注册单元1505正常结束该处理。

这完成了对于根据本实施例在局部电力管理系统1中注册各种设备的处理的描述。

(1-14)临时注册的受控制机器的计账处理

现在将参考图40和41，描述临时注册的受控制机器的记账处理。图40是用于说明临时注册的受控制机器的记账处理的图。图41是用于说明临时注册的受控制机器的记账处理的流程图。

如上所述，可以设想如下状态：已在某个电力管理设备11中注册的受控制机器125被临时注册在管理不同的局部电力管理系统1的另一个电力管理设备11中。当这样做时，可能出现如下情况：已临时注册的受控制机器125在另一个电力管理设备11的控制下，从该不同的局部电力管理系统1接收电力供应。

图40示出了这种情况。如图40所示，属于局部电力管理系统#1的受控制机器#1已被注册在电力管理设备#1中。受控制机器#1已经从电力管理设备#1接收到电力管理设备#1的识别信息(ID_P1)和关于受控制机器#1识别信息的电力管理设备的数字签名(sig(ID_P1))。这里，设想如下情况：受控制机器#1被临时注册在由电力管理设备#2管理的局部电力管理系统#2(例如，公共电力供应站等)中，并且受控制机器#1从局部电力管理系统#2接收电力供应。这里，假定系统管理服务器33已经获得电力管理设备#1的识别信息(ID_P1)和电力管理设备#2的识别信息(ID_P2)。

对于这种电力使用费用而言，更优选的是，向注册有受控制机器#1的电力管理设备#1计费，并且对于电力管理设备#1而言，优选的是，采用记账服务器32实现指定的记账处理。仅当该机器存储了公开密钥和私密密钥时，这种布置才有可能，并且当这种信息未被存储时，电力管理设备#2将结束免费向受控制机器#1供应电力。注意，即使存储了由公开密钥和私密密钥组成的密钥对，也可以依据已做的设置许可免费电力供应。

这种情况下的潜在问题是，当电力管理设备#1是非法设备时，即使通过电力管理设备#2向受控制机器#1供应电力，计费也可能是无效的。为此，在本实施例中，在许可向受控制机器#1电力供应之前，电力管理设备#2确认电力管理设备#1的有效性，并确认受控制机器#1已正式注册到电力管理设备#1中。甚至当电力管理设备#2免费供应电力时，为了安全也应优选进行这种确认操作。也就是说，无论何时电力供应，电力管理设备#2使用电力管理设备#1的签名和/或证书等来验证电力管理设备#1和受控制机器#1之间的关系，并且电力管理设备#2还查询系统管理服务器33以检查电力管理设备#1和受控制机器#1的有效性。

此外，在本实施例中，如以下参考图41所述，关于计费，通过将电力供应与官方证明电力已被使用的电力使用证书的交换结合，能够实现安全的记账处理。

现在将参考图41描述已临时注册的受控制机器的记账处理的流程。注意，以下处理主要由受控制机器125的控制单元2001和电力管理设备11的机器管理单元1121执行。

首先，受控制机器#1请求电力管理设备#2执行认证处理(步骤S1141)。当请求认证时，受控制机器#1将电力管理设备#1的识别信息(ID_P1)、受控制机器#1的识别信息(ID_d1)以及受控制机器#1中存储的ID_P1和ID_d1的数字签名发送到电力管理设备#2。

电力管理设备#2检查已收到的受控制机器的识别信息(ID_d1)是否存在于由电力管理设备#2自身管理的被管理列表中。电力管理设备#2也检查电力管理设备#1的识别信息(ID_P1)是否存在于由电力管理设备#2存储的证书列表中。这样，电力管理设备#2检查电力管理设备#1(步骤S1143)。

如果电力管理设备#1的识别信息不存在于由电力管理设备#2存储的证书列表中，则电力管理设备#2向系统管理服务器33请求电力管理设备#1的证书(步骤S1145)。根据对证书的请求，电力管理设备#1可以向系统管理服务器33通知受控制机器#1的识别信息。

通过检查电力管理设备#1是否不在失效列表中，系统管理服务器33检查电力管理设备#1的有效性(步骤S1147)。如果电力管理设备#1的识别信息包括在失效列表中，则系统管理服务器33向电力管理设备#2通知这种情况并且电力管理设备#2错误地结束该处理。

同时，电力管理设备#2向受控制机器#1请求由电力管理设备#1颁发的证书或者由电力管理设备#1生成的数字签名(步骤S1149)。在接收到这个请求时，受控制机器#1向电力管理设备#2发送由电力管理设备#1提供的数字签名(sig(ID_P1))(步骤S1151)。

当系统管理服务器33确认了电力管理设备#1的有效性时，系统管理服务器33向电力管理设备#2发送存储在系统管理服务器33中的电力管理设备#1的证书(步骤S1153)。

电力管理设备#2验证从受控制机器#1发送的数字签名和/或证书(步骤S1155)，并且当验证成功时，电力管理设备#2允许对受控制机器#1的电力供应。此时，电力管理设备#2通知受控制机器#1电力收费还是免费。如果电力免费，则不进行以下步骤。

由于验证已经成功，因此，电力管理设备#2在指定时间内向受控制机器#1供应电力(步骤S1157)。

接收了电力供应的受控制机器#1生成关于电力使用的消息作为证据，以证明消耗了给定时间的电力，并将该消息附有签名地发送到电力管理设备#2(步骤S1159)。附有签名的关于电力使用的消息是电力使用证书。注意，步骤S1157和步骤S1159的处理应当优选以固定的间隔重复进行，直至电力管理设备#2停止电力供应或者受控制机器#1从电网(局部电力管理系统)断开为止。

电力管理设备#2将从电力管理设备#1获得的、增加了电力管理设备#2的识别信息(ID_P2)和机器证书的电力使用证书发送到系统管理服务器33中(步骤S1161)。

系统管理服务器33验证“受控制机器#1是否已经从电力管理设备#2购电”。通过使用该机器的证书，验证该电力使用证书来进行验证(步骤S1163)。

当电力使用证书验证成功时，系统管理服务器33请求记账服务器32执行记账处理(步骤S1165)。此后，记账服务器32根据从系统管理服务器33请求的内容进行记账处理(步骤S1167)。

通过进行该处理，能够实现可以扩展到公共站的安全记账处理功能。

注意，除电力管理设备11管理的受控制机器等之外，可以想到：装备有大容量蓄电池的电动交通工具124等可能会将蓄电池中存储的电力售卖给另一个电网(局部电力管理系统)。这种情况也可采用图41所示的过程来处理。在这种情况下，电力管理设备11接收来自电动交通工具124等的电力，并且电力管理设备11向电动交通工具124等颁发电力使用证书。这里，优选地，已经购电的电力管理设备11主要负责将电力使用证书发送到系统管理服务器33。

还可以想到接受了电力供应的电力管理设备11非法地进行这种操作，例如，通过不向系统管理服务器33发送电力使用证书。在这种情况下，通过使注册了电动交通工具124等的电力管理设备11向系统管理服务器33发送存储在电动交通工具124等中的电力使用证书，可以检测这种非法行为。

(1-15)注册受控制机器的方法的变型

这里，将参考图42至48详细描述注册上述受控制机器的方法的示例变型。图42至47是用于说明注册受控制机器的方法的变型的图，图48是用于说明注册受控制机器的方法的变型的流程图。

如上所述，在局部电力管理系统1中，以防止向非法机器和非法蓄电池供应电力和防止非法机器及非法蓄电池连接到该系统为目的，对设备和蓄电池进行认证。下述根据本实施例的注册受控制机器的方法的示例变型的目的在于，提供一种注册方法，其能够有效地执行受控制机器或者包含多个蓄电池的蓄电装置的认证。

在下面说明中，如图24所示，考虑如下情况：电力管理设备11认证和注册表示为“A”到“H”的八个受控制机器125。

在上述方法中，对于受控制机器125重复进行电力管理设备11和一个受控制机器125之间所进行的一对一认证处理共8次。在这种情况下，当认证单个受控制机器125时，进行下列处理。也就是说，首先，电力管理设备11向受控制机器125发送包含随机数的挑战消息。接下来，受控制机器125通过使用由受控制机器125存储的密钥对挑战消息进行操作来生成应答消息，并发送应答消息作为答复。此后，电力管理设备11验证接收的应答消息是否正确。

这里，认证方法可以大致区分为两类，包括：(i)当执行操作以从挑战消息生成应答消息时，采用公开密钥加密中使用的私密密钥作为密钥的方法，使得应答消息是数字签名；以及(ii)使用利用电力管理设备11和受控制机器125之间共享的密钥的共有密钥加密的方法。

该示例变型关注使用由以上(i)指示的数字签名的认证方法。这是因为这种认证方法包含能够使用称为批量验证(batch verification)和聚合签名(aggregate signature)技术的方法。

这里，“批量验证”的表述是指能够在单次操作中对多个数字签名集中进行验证的验证技术，其中只有当全部数字签名正确时，验证算法才输出“验证成功”的验证算法。通过使用该技术，较之于分别对各个数字签名进行验证的情况，可提高计算效率。

批量验证处理的具体示例是D.Naccache等在1994年德国施普林格的Eurocrypt会议记录94、计算机科学讲稿Vol.950中的“Can D.S.A be improved？Complexity trade-offs with the digital signature standard，”以及M.Bellare等在1998年德国施普林格的Eurocrypt会议记录98、计算机科学讲稿Vol.1403中的“Fast Batch Verification for Modular Exponentiation and Digital Signatures，”中公开的方法。在本变型中，通过使用批量验证处理，可以改进计算效率。这些技术包括能够响应于各个不同消息集中验证由多个签名者生成的签名的技术。

“聚合签名”的表述是指如下验证技术：其能够将多个签名聚合为单个签名，并且当对聚合签名进行验证处理时，只有当全部签名均正确时该验证算法才输出“验证成功”。这里，响应于各个不同的消息，通过多个签名者可生成多个签名。

聚合签名的具体示例是D.Boneh等在2003年德国施普林格的Eurocrypt会议记录2003、计算机科学Vol.2656中的讲稿的“Aggregate and Verifiably Encrypted Signatures from Bilinear Maps，”以及D.Boneh等在2003年CryptoBytes Vol.6，No.2的“A Survey of Two Signature Aggregation Techniques，”中公开的方法。在这个变型中，通过使用聚合签名，可以改进计算效率。

这里，如图42所示，考虑到如下情况：电力管理设备11认证八个受控制机器125。在重复一对一的认证普通方法中，共进行八次验证处理，然而如图42下半部分所示，通过采用批量验证处理或聚合签名能够改进计算效率。

注意，下述认证处理主要由电力管理设备11的机器管理单元1121和受控制机器125的控制单元2001执行。

首先，电力管理设备11向受控制机器A到H发送挑战消息C(步骤S1171)。由于在该发送期间无需向各个受控制机器分别发送消息，因此若通信网络是允许广播的环境，则可采用广播。

受控制机器A到H分别对挑战消息C使用该机器中保存的用于公开密钥加密的私密密钥，以生成挑战消息C的应答消息，然后将所生成的应答消息作为答复发送至电力管理设备11。

例如，接收到挑战消息C时，受控制机器A使用由受控制机器A存储的私密密钥生成应答消息RA作为挑战消息C的答复(步骤S1173)。此后，受控制机器A将生成的应答消息RA发送到电力管理设备11(步骤S1175)。

类似地，接收到挑战消息C时，受控制机器H使用由受控制机器H存储的私密密钥生成应答消息RH作为挑战消息C的答复(步骤S1177)。接下来，受控制机器H将生成的应答消息RH发送到电力管理设备11(步骤S1179)。

更具体地，应答消息RA到RH是各受控制机器A到H关于挑战消息C的数字签名。

在此期间，电力管理设备11等待来自正进行验证处理的受控制机器A到H的应答消息。电力管理设备11收集来自八个受控制机器的应答消息，共同认证全部的应答消息RA到RH(步骤S1181)，并验证全部应答消息是否都正确。可通过批量验证处理执行该验证或可通过使用聚合签名技术将八个应答消息聚合为单个数字签名并对所生成的数字签名进行验证来执行该验证。

注意，尽管为了简化上述说明假定电力管理设备11已经知道每个受控制机器的公开密钥，但是受控制机器A到H可以将它们各自的公开密钥证书和应答消息一起发送到电力管理设备11。

这里，公开密钥证书是证书授权服务器35对于机器的识别信息(ID)和/或公开密钥的数字签名。这意味着可采用诸如批量验证或聚合签名之类的方法有效率地进行验证。

当已经收集到各个受控制机器响应于来自电力管理设备11的挑战消息而发送的应答消息并且集中验证了应答消息时，在多数情况下，全部应答消息将是正确的并且验证结果将为“成功”。在此情况下，因为电力管理设备11已经确认全部受控制机器A到H的有效性，所以该处理可如常进行。

然而，在有些情况下，在对n个机器进行集中验证处理期间，输出“验证失败”。这意味着这n个受控制机器中存在至少一个异常机器。因此，除了对正常机器进行新的集中验证处理之外，电力管理设备11指定异常的受控制机器并对这些异常机器进行单独处理是很重要的。

通过将经过集中验证的受控制机器组重复划分为更小的组，可以指定异常机器。下面参考图43和44描述这样做的两种具体方法。

第一种策略是指定异常的一个机器最小值的方法，这样做所需迭代(计算负荷)次数为O(log₂n)。

第二种策略是指出全部异常机器的方法，这样做所需迭代次数为O(n)。

现在详细描述基于各策略的方法。

策略1是如下方法：从集中验证结果为“失败”的组中选择一个组(例如，该组具有最小数目的组成元件)，并且重复执行集中验证，直至组中仅包含一个受控制机器。图43显示这种方法的示例。在图43中，受控制机器A到H中的三个受控制机器C、E和F异常。

步骤1中，电力管理设备11向全部八个受控制机器发送挑战消息，并对八个受控制机器进行集中验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，其中由八个受控制机器组成的单个组被划分为两个组。

在图43所示的示例中，电力管理设备11将组划分为由受控制机器A到D组成的组以及由受控制机器E到H组成的组，并将挑战消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行集中验证。在图43所示的示例中，两个组的集中验证结果都是“验证失败”。

接下来，在步骤3中，电力管理设备11选择将被从验证结果为“失败”的当前组(在图43中，受控制机器ABCD组和受控制机器EFGH组)中(即，从两个组中)划分出去的下一个组。在图43所示的示例中，电力管理设备11选择由受控制机器ABCD组成的组，并进一步划分该组。在图43所示的示例中，以一组由受控制机器AB组成且另一组由受控制机器CD组成的形式，将由受控制机器ABCD组成的组分为两个具有两个机器的组。

电力管理设备11然后向具有两个机器的两个组发送挑战消息，并对已接收到的应答消息进行集中验证。在图43所示的示例中，因为由受控制机器AB组成的组的验证结果为“成功”，所以确认受控制机器A、B都正常。同时，因为由受控制机器CD组成的组的验证结果是“失败”，理解受控制机器C、D中至少一个是异常。

接下来，在步骤4中，电力管理设备11将由受控制机器CD组成的组划分为具有单个机器的组，并对每个组进行验证处理。这样，电力管理设备11可以指定受控制机器C异常。

在图43所示的示例中，可以按照四级步骤，从八个受控制机器中指定一个异常的受控制机器。一般地说，如果受控制机器数目是n，则可以容易地设想出具有n个叶节点的二叉树，但是通过分组使得组成元件的数目大致被二等分，从而可在作为二叉树的高度的log₂(n+1)个步骤中完成该处理。因为一个步骤中对最多两个组执行验证处理，因此验证处理的迭代次数为O(log₂n)。

接下来，将描述策略2。

策略2是用于检测全部异常机器的方法。图44示出这种方法的示例。在图44中，受控制机器A到H中的三个受控制机器C、E和F异常。

在步骤1中，电力管理设备11向全部八个受控制机器发送挑战消息，并对八个受控制机器进行集中验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，在步骤2中，由八个受控制机器组成的单个组被划分成两个组。

在图44所示的示例中，电力管理设备11将组划分为由受控制机器A到D组成的组以及由受控制机器E到H组成的组，并将挑战消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行集中验证。在图44所示的示例中，两个组的集中验证结果是“验证失败”。

在策略2中，在步骤3中，对在先前步骤中验证为“失败”的全部组重复认证处理。在图44所示的示例中，由受控制机器ABCD组成的组被分成由受控制机器AB组成的组和由受控制机器CD组成的组。电力管理设备11还将由受控制机器EFGH组成的组划分为由受控制机器EF组成的组和由受控制机器GH组成的组。此后，电力管理设备11对生成的四个组分别进行验证处理。

在图44所示的示例中，由受控制机器AB组成的组和由受控制机器GH组成的组的验证结果为“成功”，而由受控制机器CD组成的组和由受控制机器EF组成的组的验证结果为“失败”。

接下来，在步骤4中，电力管理设备11将由验证失败的受控制机器CD组成的组划分为由受控制机器C组成的组和由受控制机器D组成的组。以同样的方式，电力管理设备11将由验证失败的受控制机器EF组成的组划分为由受控制机器E组成的组和由受控制机器F组成的组。然后电力管理设备11单独对新的四个组进行认证处理。

结果，如图44所示，以受控制机器D“成功”而其它三个受控制机器“失败”结束认证。这样，电力管理设备11能够指定所有异常的受控制机器C、E和F。

与策略1一样，策略2中的步骤数为4，但在第I步中，对2I-1个组进行验证处理。在这种方法中，在某些情况下，诸如当异常机器和正常机器交替对准时，将对每个机器进行验证处理，使得验证迭代次数为2n。这意味着策略2的计算负荷为O(n)。

然而，电力管理设备11是掌握连接到局部电力管理系统1的受控制机器等的类型的装置。这是因为该信息对于控制向哪个机器供应电力是必需的。也就是说，例如，当用户将机器引入家中的局部电力管理系统1时，执行将该机器注册在电力管理设备11中的处理。因此，如前所述，电力管理设备11管理已注册机器列表。

这里，在局部电力管理系统1中，假定受控制机器A到受控制机器H这八个机器已经注册到电力管理设备11中，但作为认证结果已知受控制机器C异常。

在这种情况下，电力管理设备11从被管理列表中删除受控制机器C，或者将受控制机器C标记为临时不可用。这样，在下次认证迭代期间，电力管理设备11能够从认证中预先排除受控制机器C，这样能够相应地减少认证处理的负荷。例如，如果除了受控制机器C以外的七个受控制机器正常，则可在对七个受控制机器进行的单个认证中确认此情况。

此外，如果通过用户指示已经通知过电力管理设备11：机器已修复且恢复正常，或者如果通过电力管理设备11定期地或不定期地尝试对异常设备进行认证而获得“成功”的结果，则电力管理设备11可校正电力管理设备11所管理的被管理列表，使得先前从认证排除的机器视为正常的。

蓄电池的认证

多数情况下，在蓄电池壳中提供多个蓄电池组电池。通过组合该多个电池，蓄电池能够产生多种输出。

例如，图45示出装备有六个1V蓄电池组电池单元的电力存储设备128的示例。如图45所示，能够组合这些电池A到F以输出多种电压。如果还考虑到一些电池未被使用和/或电力存储设备128设置有不是一个而是多对输出终端的布置，则可实现更大数量的输出变化。

如果蓄电池包括失败的电池和/或非法制造的电池，则存在增大的风险：不仅无法达到期望输出，而且在充电期间发生诸如火灾等的事故。为此，对各个蓄电池组电池进行认证以确认每个电池(以及还有蓄电池自身)正常是很重要的。

这里，可以设想电力管理设备11或蓄电池的控制单元能够对各个电池进行认证。当这样做时，如图46所示，可以设想使用以三个电池为组合的六个电池以获得3V的输出。这里，通过正常地重复电力管理设备11或蓄电池的控制单元对一个电池的认证，蓄电池的控制单元能够预先掌握全部电池的状态。基于注册在电力管理设备11中的型号等，电力管理设备11能够从外部的服务器等获得蓄电池的电池配置。

在需要3V电压的情况下，即使具有低载流容量，也可对电池A、B和C(或D和E和F)三个电池进行认证，并将这些电池作为蓄电池。在此情况下，进行三次验证处理。

然而，通过采用前述的批量验证或聚合签名的技术进行ABC(或DEF)的集中验证，能够通过单次验证处理掌握是否能使用这些电池作为3V蓄电池，从而改进认证处理的效率。另外，如果给出了由ABC组成的组和由DEF组成的组中至少一个组验证“成功”，则能够容易地掌握电池可用作蓄电池。

另外，当存在认证结果为“失败”的组时，采用前述方法连续划分该组能够指定异常电池。

如图46所示，当需要2V电压时，可对串联连接的两个电池的组AB、CD、EF进行共同认证。

这样，通过根据蓄电池组电池的组合将待认证的电池划分为多个组，能够改进验证处理的效率。

这里假定如图47(中的初始状态)所示，采用六个蓄电池组电池生成2V电压。这里，假定全部六个电池在初始状态均正常，但当在给定时间认证时，给出“失败”的认证结果。

电力管理设备11和蓄电池的控制单元能够采用上述策略2以指定所有异常的电池。结果，如在图47中间所示，假定这里已经指定电池D和电池E异常。

在这种情况下，蓄电池的控制单元或电力管理设备11能够切换连接蓄电池组电池的线，以如图47右侧所示重新配置电池。通过这样做，可以仅使用正常电池来配置能够用作蓄电池的组合。如果不进行重新配置，则正常的电池C和F将不可避免地被浪费，而通过重新配置，则能使用资源而不会浪费。通过蓄电池的控制单元或电力管理设备11准确地掌握各个电池的状态并且根据认证结果重新配置电池之间的连接，可以实现电池的重新配置。

在图48中示出了上述受控制机器的批量认证的总体流程。

首先，电力管理设备11的机器管理单元1121生成挑战消息并将该挑战消息广播到全部待认证的受控制机器125(步骤S1191)。通过这样做，每个受控制机器125的控制单元2001生成答复挑战消息的应答消息，并将生成的应答消息发回电力管理设备11。

在电力管理设备11中，等待从受控制机器125发送的应答消息，当从受控制机器125发送应答消息时，电力管理设备11获得发送来的应答消息(步骤S1193)。

这里，电力管理设备11的机器管理单元1121判断是否已经获得全部应答消息(步骤S1195)。如果一些应答消息没有获得，则机器管理单元1121回到步骤S1193，并等待其它应答消息。

同时，如果已经从全部受控制机器125获得应答消息，则机器管理单元1121执行批量认证处理(步骤S1197)。如果批量认证处理对全部受控制机器都成功，则机器管理单元1121判断出认证成功，并且批量认证处理正常结束。

如果批量认证处理未对全部受控制机器125成功，则机器管理单元1121根据前述策略1或策略2指定认证失败的受控制机器(步骤S1201)。此后，机器管理单元1121重复排除认证失败的机器的认证处理(步骤S1203)，返回步骤S1199，并且判断批量认证处理是否成功。

通过执行上述流程中的处理，在本示例变型中能够有效地认证受控制机器。

上述说明描述如下方法：使用批量验证或者来自基于公开密钥加密的数字签名技术中的聚合签名技术，通过对受控制机器和电力存储设备分组以有效地进行认证。然而，尽管公开密钥加密较之于共有密钥加密的优势在于能够使用利用单个私密密钥生成的数字签名等，但是其缺点在于计算负荷通常极大。

为了克服这个缺点，可设想能够采用公开密钥加密和共有密钥加密。更具体地，电力管理设备11根据公开密钥加密进行对受控制机器等的认证。假定电力管理设备(或蓄电池的控制单元等)之后按照1∶1的基础，向基于公开密钥加密认证成功的受控制机器和/或电力存储设备提供供电力管理设备(或蓄电池的控制单元等)和受控制机器使用的共有密钥(即，对每个受控制机器采用不同的密钥)。

这种共有密钥具有诸如一天或者一个小时的有效期限，在有效期限内，这种共有密钥用于由电力管理设备11对受控制机器进行的认证处理。此外，在共有密钥的有效期限结束之后，再使用公开密钥加密进行认证处理，并在电力管理设备和受控制机器之间建立新的共有密钥。

通过使用这个方法，能够执行采用计算负荷大的公开密钥加密一小时仅一次或一天仅一次的处理，并且能够对经常进行的认证采用处理负荷小的共有密钥加密。

注意，代替使用电力管理设备11和某个受控制机器125之间1∶1的共有密钥，还能够在电力管理设备和多个待由电力管理设备认证的多个受控制机器之间共享单个组密钥，并将该组密钥作为后续认证处理中的共有密钥。

这完成了注册根据本示例变型的受控制机器的方法的说明。

现在将详细描述电力管理设备对出现异常的被管理机器进行的处理，同时给出具体示例。

(1-16)电力管理设备对出现异常的被管理机器的操作

现在将参考使用具体示例的图49到52详细描述电力管理设备对出现异常的被管理机器的操作。图49到52是用于说明电力管理设备对已出现异常的被管理机器的操作的流程图。

首先，将参考图49描述电力管理设备对已出现异常的被管理机器的操作的整体流程。

电力管理设备11的机器管理单元1121参考关于当前时间的时间信息，或者参考关于自进行先前操作确认处理经过了多长时间的信息，并判断是否已经到达对被管理机器进行操作确认处理的时间(检查时间)(步骤S1211)。如果检查时间未到，则机器管理单元1121返回步骤S1211并等待检查时间到达。

此外，当到达检查时间时，机器管理单元1121的被管理机器信息获取单元1507判断是否已经从每个受控制机器125接收到报告出现异常的传感器信息(步骤S1213)。如果已经接收到报告出现异常的传感器信息，则机器管理单元1121执行下述的步骤S1225。

如果没有接收到报告出现异常的传感器信息，则被管理机器信息获取单元1507判断是否已经从配电设备121接收到报告出现异常的机器信息(步骤S1215)。如果已经接收到报告出现异常的机器信息，则机器管理单元1121执行下述的步骤S1225。

如果没有接收到报告配电设备出现异常的机器信息，则被管理机器信息获取单元1507判断是否已经从受控制插座123(下文中包括插座扩展设备127)接收到报告出现异常的机器信息(步骤S1217)。如果判断出已出现异常，则机器管理单元1121执行下述的步骤S1225。

注意，通过执行步骤S1215和步骤S1217的处理，电力管理设备11能够判断出不能与电力管理设备11直接进行通信的不受控制机器126是否出现异常。

接下来，被管理机器信息获取单元1507从各个受控制机器等收集诸如传感器信息、蓄电池信息和电池信息的机器信息，并将机器信息转发给信息分析单元1123的机器状态判断单元1601和电力状态判断单元1603。机器状态判断单元1601和电力状态判断单元1603将机器信息与所转发信息的历史或者模型实例进行比较(步骤S1219)。通过这样做，电力管理设备11能够检测查出出现异常的受控制机器。被管理机器信息获取单元1507和/或机器状态判断单元1601也能够从应接收到的未接收信息中检测出受控制机器等已出现异常。

机器管理单元1121参考对机器信息的收集/比较处理的结果，并判断是否已经出现问题(步骤S1221)。如果已出现问题，则机器管理单元1121执行下述的步骤S1225。

此外，如果根据机器信息的收集/比较处理的结果判断出未出现问题，则机器状态判断单元1601判断是否任一机器都没有问题(步骤S1223)。如果判断结果是对于某些设备未完成验证，则机器管理单元1121和信息分析单元1123返回步骤S1219并继续验证处理。当对全部机器都完成验证时，机器管理单元1121结束对被管理机器的操作的验证处理。

这里，当通过上述验证处理检测到异常时，信息分析单元1123在显示单元116上显示警告(步骤S1225)。电力管理设备11切换至在检测到异常时使用的操作模式(错误模式)(步骤S1227)。

此后，机器管理单元1121向用户已注册的电话号码或已注册的邮件地址发送报警消息，以通知用户已经出现异常(步骤S1229)。此后，机器管理单元1121判断设定时间段内是否有用户对电力管理设备11进行访问(步骤S1231)。如果在设定时间段内有用户进行访问，则电力管理设备11的控制单元115根据用户指示开始对受控制机器的操作控制(步骤S1233)。同时，如果在设定时间内没有用户进行访问，则电力管理设备11的控制单元115开始自动控制(步骤S1235)。此后，电力管理设备11的控制单元115将操作模式切换为由受控制插座控制(步骤S1237)，并且当检测到操作异常时结束该处理。

现在将简要描述根据出现异常的设备类型实施的具体处理。

当电力管理设备出现异常时

首先，将参考图50简要描述当电力管理设备11自身出现异常时的操作。

注意，假定在开始以下说明前用户已经设置了当电力管理设备11出现异常时进行何种控制(例如，受控制插座的控制或者稳定状态供应电力的控制)。还假定电力管理设备11定期地在局部电力管理系统1外部设置的系统管理服务器33中备份诸如历史信息、被管理机器的识别信息(ID)以及设置条件的各种信息。

当电力管理设备11自身出现某种异常(步骤S1241)并且电力管理设备11自身停止操作时，由于与电力管理设备11的定期通信将会停止，因此系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1243)。

此后，系统管理服务器33参考注册的紧急联系人等，并通知用户出现异常(步骤S1245)。

因为不能与电力管理设备11定期通信(步骤S1247)，所以受控制插座123和受控制机器125也检测到电力管理设备11可能出现异常。此后，受控制插座123和受控制机器125检查电力管理设备11的状态(步骤S1249)，并且当掌握电力管理设备11出现异常时，受控制插座123和受控制机器125检查应当切换为哪个模式(步骤S1251)。此后，受控制插座123和受控制机器125切换为受控制插座控制模式(步骤S1253)。

更具体地，受控制插座123开始控制受控制机器125和不受控制机器126(步骤S1255)，并且受控制机器125开始向受控制插座123输出电力信息(步骤S1257)。如果在从受控制机器125获得的电力信息中检测到异常，则受控制插座123也能够进行诸如停止电力供应的控制。

此时，假定由于系统管理服务器33所联系的用户重新激活电力管理设备11或者对电力管理设备11手动地进行某种操作，导致电力管理设备11恢复(步骤S1259)。

此时，恢复的电力管理设备11的机器管理单元1121请求系统管理服务器33执行认证处理(步骤S1261)。如果电力管理设备11的认证成功，则系统管理服务器33获得备份的设置信息，并将该设置信息发送给电力管理设备11(步骤S1263)。

接收到该设置信息的电力管理设备11根据所接收到的设置信息，自动地连接到作为被管理设备的受控制插座123和受控制机器125(步骤S1265)，并且通知这些机器电力管理设备11已恢复。

此后，受控制插座123和受控制机器125切换到电力管理设备控制摸式(步骤S1267)，此后由电力管理设备11进行正常控制。

当受控制插座出现异常时

接下来，将参考图51简要描述当受控制插座123出现异常时的操作。

首先，假定受控制插座123的传感器或通信单元中的至少一个出现异常(步骤S1271)。在这种情况下，因为维持从受控制插座123到所连接的受控制机器125的电力供应(步骤S1273)，所以电力管理设备11难以直接检测到异常。然而，通过确定没有接收到应当定期接收到的来自受控制插座123的机器信息等，电力管理设备11能够检测到受控制插座123出现异常(步骤S1275)。

检测到异常的电力管理设备11的信息分析单元1123通知用户，受控制插座123出现异常(步骤S1277)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的受控制插座123手动地进行任意操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1279)。

这里，假定受控制插座123的电力供应控制出现异常(步骤S1281)。在这种情况下，受控制机器125能够检测到受控制插座123出现异常，并且在某些情况下，受控制机器125也能够停止接收电力供应，并因此停止运转(步骤S1283)。结果，由于受控制机器125向电力管理设备11通知受控制插座123出现异常，或者由于受控制机器125停止操作而引起定期通信停止，因此电力管理设备11检测到出现异常(步骤S1285)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：受控制插座123出现异常(步骤S1287)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的受控制插座123手动地进行人工操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1289)。

当配电设备出现异常时

接下来，将参考图52简要描述当配电设备121出现异常时的操作。

当配电设备121出现异常时(步骤S1301)，配电设备121向电力管理设备11通知出现异常，和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制机器125的电力供应可能出现问题。为此，受控制机器125定期发送的电力信息中也可出现异常(步骤S1303)。根据这种信息，电力管理设备11的信息分析单元1123可以检测到配电设备121出现异常(步骤S1305)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：配电设备121出现异常(步骤S1307)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对发生问题的配电设备121手动地进行操作，被通知的用户将配电设备121恢复到运行状态(步骤S1309)。

配电设备121再次出现异常(步骤S1311)，并且配电设备121向电力管理设备11通知出现异常和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制机器125的电力供应可能出现问题。由于这个原因，受控制机器125定期发送的电力信息也可出现异常(步骤S1313)。由于这种信息，假定电力管理设备11自身也出现异常(步骤S1317)。

这里，与电力管理设备11的定期通信的中断使得系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1319)。

此后，系统管理服务器33参考注册的紧急联系人等，并且通知用户出现异常(步骤S1321)。

在这种情况下，在电力管理设备11处，实施在电力管理设备出现异常时执行的上述处理(步骤S1323)。响应于电力管理设备11发生的异常，受控制机器125切换到受控制插座控制模式(步骤S1325)。

这里，通过对出现问题的配电设备121手动地进行操作，被通知的用户将配电设备121恢复到运行状态(步骤S1327)。此外，由于电力管理设备出现异常时进行的操作，电力管理设备11也恢复到运行状态(步骤S1327)。

这完成了在诸如受控制插座123或受控制机器125的被管理设备出现异常时的电力管理设备11的操作的说明。

(1-17)当电力状态出现异常时的电力管理设备的操作

接下来，将参考图53和54描述当局部电力管理系统1中的电力状态出现诸如断电或漏电的异常时的电力管理设备11的操作。图53和54是用于说明当电力状态出现异常时电力管理设备的操作的流程图。

断电期间电力管理设备的操作

首先，将参考图53简要描述在发生断电时的电力管理设备的操作。

当外部电源出现异常并且发生断电时，停止向配电设备121供应外部电力。结果，由于配电设备121向电力管理设备11通知发生断电，或者从配电设备121发送出含有异常的设备信息，电力管理设备11能够检测出配电设备121异常(步骤S1331)。

在检测到发生断电时，信息分析单元1123的电力状态判断单元1603将当前模式切换为使用发电设备129、130和电力存储设备128的电力供应模式(已存储的电力供应模式)(步骤S1333)。更具体地，电力管理设备11的控制单元115向配电设备121发送控制命令，以从外部电力切换为能够在系统1内部供应的电力。机器管理单元1121根据预先设置的信息，开始确定供应电力的优先级和/或确定待分配的电量。信息分析单元1123也通过显示单元116等向用户通知发生断电。

机器管理单元1121首先判断待供电的机器是否是受控制机器125(步骤S1335)。如果待供电力的机器是受控制机器125，则机器管理单元1121通过控制单元115向该机器发送控制命令(步骤S1337)。更具体地，控制单元115向有问题的受控制机器125发送请求节能模式或关机的控制命令。

同时，如果待供电的机器不是受控制机器125(也就是说，不受控制机器126)，则机器管理单元1121判断待供电的机器是否连接到受控制插座123(包含插座扩展设备127)(步骤S1339)。如果待供电的机器连接到受控制插座123，则机器管理单元1121通过控制单元115向受控制插座123发送控制命令(步骤S1341)。更具体地，控制单元115向受控制插座123发送请求该待供电的机器关机(也就是说，停止向不受控制机器126供应电力)的控制命令。

如果待供电的机器未连接到受控制插座123，由于电力管理设备11不能控制向该待供电的机器的电力供应，因此电力管理设备11使该机器保持原状或者继续当前的电力供应(步骤S1343)。

当结束该确定时，机器管理单元1121判断每个机器的设置是否已经完成(步骤S1345)。如果一个或多个机器的设置尚未完成，则电力管理设备11返回步骤S1335并继续该处理。同时，如果全部机器的设置已经完成，则在断电期间电力管理设备11结束处理。

漏电期间电力管理设备的操作

接下来，将参考图54简要在描述发生漏电时的电力管理设备的操作。

当发生漏电时，较之于漏电发生之前，预期电力使用趋势将发生改变。因此，通过将过去的电力使用历史和当前的电力使用相比较，电力管理设备11中信息分析单元1123的电力状态判断单元1603能够检测出发生了漏电(步骤S1351)。此外，对于系统1中存在的机器而言，电力状态判断单元1603基于受控制机器125的电力使用的理论值和不受控制机器126的估计的电力使用量，计算出电力使用理论值，并且通过比较实际电力使用量与该电力使用理论值，能够检测出漏电。注意，可通过过去的使用量估计出不受控制机器126的估计的电力使用量。

此外，不仅可通过电力管理设备11而且也可通过诸如局部电力管理系统1外部存在的安全检查服务器的分析服务器34来检测漏电的发生。这意味着在某些情况下，当发生漏电时，分析服务器34向电力管理设备11通知漏电。

当检测出发生漏电时，电力管理设备11使用任意方法来指定漏电位置(步骤S1353)，并且控制单元115向漏电位置发送电力供应停止命令(步骤S1355)。信息分析单元1123还在显示单元116上显示关于发生漏电以及漏电位置的信息(步骤S1357)。

通过执行这种处理，甚至当电力状态出现诸如断电或漏电的异常时，电力管理设备11能够保持局部电力管理系统1内部各方面的安全。

(1-18)嵌入电子水印信息的方法和验证电子水印信息的方法的流程

接下来，将参考图55到58描述在根据本实施例的局部电力管理系统1中执行的嵌入电子水印信息的方法和验证电子水印信息的方法的流程。图55和57是用于说明根据本实施例的嵌入电子水印信息的方法的流程图。图56和58是用于说明根据本实施例验证电子水印信息的方法的流程图。

嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法

首先，将参考图55和56描述嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法的流程。注意，下面描述物理数据自身被用作机器特征信息的情况。

嵌入方法的流程

首先，将参考图55描述由受控制机器125的篡改检测信息生成单元2031实施的嵌入方法。

受控制机器125中的篡改检测信息生成单元2031的机器特征信息生成单元2033首先从传感器控制单元2023和蓄电池控制单元2027获得物理数据(步骤S2001)。此后，机器特征信息生成单元2033对所获得的物理数据进行验证(步骤S2003)。接下来，机器特征信息生成单元2033判断所获得的物理数据是否正常(步骤S2005)。

如果验证发现物理数据的值超过该物理数据的可取的值的范围，或者表面为明显的异常行为，则机器特征信息生成单元2033报告异常(步骤S2019)。

经由验证确认物理数据正常之后，电子水印生成单元2035基于该物理数据和共享数据生成电子水印信息(步骤S2007)，并向电子水印嵌入单元2039输出所生成的电子水印信息。嵌入位置确定单元2037分析该物理数据，确定适于该物理数据的电子水印信息嵌入位置，并将关于所确定的嵌入位置的信息通知电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入该物理数据(步骤S2009)。接下来，电子水印嵌入单元2039对嵌入了电子水印信息的物理数据(这种物理数据以下称为“被嵌入的数据”)进行验证(步骤S2011)。此后，电子水印嵌入单元2039检查验证结果(步骤S2013)。

如果被嵌入数据正常，则电子水印嵌入单元2039将被嵌入数据发送到电力管理设备11(步骤S2015)。电力管理设备11将接收到的被嵌入数据发送到局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现异常，则电子水印嵌入单元2039判断出现异常的次数是否小于指定的阈值(步骤S2017)。如果出现异常的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2007，并且继续该处理。同时，如果出现异常的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2019)。

注意，如果预先确定了电子水印信息的嵌入位置，则可以省略确定嵌入位置的处理、在步骤S2003到步骤S2005中验证物理数据的处理以及步骤S2011到S2019中验证被嵌入数据的处理。

验证方法的流程

接下来，将参考图56描述，由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的验证电子水印信息的方法。应当注意，尽管下文中描述了对分析服务器34执行的验证方法，但是同样的方法可以由电力管理设备的信息篡改检测单元来执行。

分析服务器34的信息篡改检测单元的嵌入位置指定单元获取嵌入有电子水印信息的物理数据(步骤S2021)。此后，嵌入位置指定单元验证所获取的物理数据(步骤S2023)。接下来，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2025)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则嵌入位置指定单元报告异常(步骤S2027)。

在经由验证确认物理数据正常之后，嵌入位置指定单元分析该物理数据，指定嵌入电子水印信息的位置(步骤S2029)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。

接下来，电子水印提取单元基于接收的关于嵌入位置的位置信息从物理数据提取电子水印信息(步骤S2031)并且将提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元基于物理数据和共享数据生成电子水印信息(步骤S2033)并且通过将提取的电子水印信息与生成的电子水印信息进行比较而验证电子水印信息(步骤S2035)。如果基于比较验证电子水印信息失败，则电子水印验证单元向电力管理设备11通知异常(步骤S2027)。此外，如果基于比较验证电子水印信息成功，则电子水印验证单元报告验证成功，并且处理正常结束。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略在步骤S2023至步骤S2025中验证物理数据的处理、以及指定嵌入位置的处理(步骤S2029)。

使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法

接下来，将参考图57和图58描述使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法。应当注意，下面描述物理数据自身被用作机器特征信息的情况。

嵌入方法的流程

首先，将参考图57描述由受控制机器125的篡改检测信息生成单元2031实施的嵌入方法。

应当注意，假设受控制机器125通过电力管理设备11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制机器125与分析服务器34之间预先确定数据发送定时。

受控制机器125的篡改检测信息生成单元2031判断是否已到达预定的数据发送时间(步骤S2041)。如果未到预定的发送时间，则篡改检测信息生成单元2031等待到达该预定时间。如果已经到达预定的发送时间，则机器特征信息生成单元2033从传感器控制单元2023和蓄电池控制单元2027获取物理数据(步骤S2043)。此后，机器特征信息生成单元2033验证获取的物理数据(步骤2045)。接下来，机器特征信息生成单元2033判断所获取的物理数据是否正常(步骤S2047)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则机器特征信息生成单元2033报告异常(步骤S2065)。

在通过验证确认物理数据正常之后，嵌入位置确定单元2037分析物理数据，确定适合物理数据的电子水印信息的嵌入位置(步骤S2049)，并且将关于所确定的嵌入位置的信息通知给电子水印嵌入单元2039。

接下来，电子水印生成单元2035获取表明当前时间或发送预定时间的时间信息(步骤S2051)。此后，电子水印生成单元2035基于物理数据、时间信息和共享信息生成电子水印信息(步骤S2053)，并且将生成的电子水印信息输出给电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入物理数据中(步骤S2055)。接下来，电子水印嵌入单元2039验证嵌入有电子水印信息的物理数据(这样的物理数据在下文中称为“被嵌入数据”)(步骤S2057)。此后，电子水印嵌入单元2039检查验证结果(步骤S2059)。

如果被嵌入数据正常，则电子水印嵌入单元2039将该被嵌入数据发送给电力管理设备11(步骤S2061)。电力管理设备11将所接收的嵌入数据发送给局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现了异常，则电子水印嵌入单元2039判定异常出现的次数是否小于指定的阈值(步骤S2063)。如果异常出现的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2053，并且处理继续。同时，如果异常出现的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2065)。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略确定嵌入位置的处理、在步骤S2045至步骤S2047中验证物理数据的处理以及在步骤S2057至步骤S2063中验证被嵌入数据的处理。

验证方法的流程

接下来，将参考图58描述验证由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的电子水印信息的方法。

应当注意，假设受控制机器125通过电力管理设备11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制机器125与分析服务器34之间预先确定数据发送定时。

分析服务器的信息篡改检测单元判断是否已到达预定的数据发送时间(步骤S2071)。如果未到预定的发送时间，则信息篡改检测单元等待到达该预定时间。如果已经到达预定的发送时间，则信息篡改检测单元尝试获取通过电力管理设备11从受控制机器125发送的物理数据。这里，信息篡改检测单元判断是否能够在指定的时间段内接收到物理数据(步骤S2073)。

如果未在指定的时间段内接收到物理数据，则信息篡改检测单元将异常通知给电力管理设备11的用户(步骤S2089)。同时，如果在预定的时间段内接收到物理数据，则嵌入位置指定单元验证所获取的物理数据(步骤S2075)。此后，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2077)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则嵌入位置指定单元报告异常(步骤S2089)。

在通过验证确认物理数据正常之后，嵌入位置指定单元分析物理数据，指嵌入定电子水印信息的位置(步骤S2079)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。电子水印提取单元基于关于嵌入位置的位置信息从物理数据提取电子水印信息并且将所提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元获取表明当前时间或者发送预定时间的时间信息(步骤S2081)。

此后，电子水印验证单元基于物理数据、时间信息和共享数据生成电子水印信息(步骤S2083)并且通过将提取的电子水印信息与生成的电子水印信息进行比较以验证电子水印信息(步骤S2085)。如果基于比较验证电子水印信息失败，则电子水印验证单元报告异常(步骤S2089)。此外，如果基于比较验证电子水印信息成功，则电子水印验证单元报告验证成功，并且处理正常结束。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略在步骤S2075至步骤S2077中验证物理数据的处理、以及指定嵌入位置的处理(步骤S2079)。

通过进行上述处理，可以在位于分析服务器34和受控制机器125之间的电力管理设备11的控制功能受到损害时检测到异常。通过使电力使用子水印信息，还可以检测由攻击者在通信路径上进行的对物理数据的篡改。另外，电力管理设备11仅仅调解物理数据的转发，并且可以检测在分析服务器34与受控制机器125之间的路径上的对物理数据的篡改，而不需要发送或接收用于防止篡改的特定数据。

甚至当电力管理设备11的控制功能受到了损害时，也可以防止攻击者篡改物理数据的攻击。另外，通过使用该方法，可以为物理数据增添用于检测篡改的功能，而不丢失物理数据的统计特性。

(1-19)分析服务器的作用

用作局部电力管理系统1的电力中心的电力管理设备11被连接到装备有蓄电池的各种受控制机器等。电力管理设备11通过基于从各种机器获得的电力信息控制配电设备121来控制配电。电力管理设备11能够实时地掌握连接至系统1的机器的电力消耗，并且集中管理系统1内的包括通过诸如光伏发电的自然能量的家庭发电生成的电力的电力使用状态。电力管理设备11还能够将电力消耗可视化，这希望使用户抑制能量的浪费消耗。

但是，由于局部电力管理系统1是控制局部电网的网络系统，所以重要的是在系统配置和服务中使用安全技术。近年来，对于装配有蓄电池的机器，用户通常用较次的产品代替蓄电池组电池，和/或使用绕过对机器认证的伪造芯片。这可能导致问题，例如质量下降，从而导致起火。由根据本实施例的局部电力管理系统1处理的“蓄电池”包括多种设备，如存在于系统中的电力储存设备和电动交通工具，并且重要的是保持这样的机器安全。

以下是能够对电力管理设备11实施的外部攻击的一些设想示例，该电力管理设备11形成局部电力管理系统1的外部与该系统1的内部之间的接口。

-引入导致机器或蓄电池异常操作的非法命令(病毒)；

-接管对电力管理设备的控制；

-特洛伊木马攻击；

-通过电力管理设备对另一机器或系统的攻击；

-DoS攻击。

为了保护免受这样的外部攻击，过去使用了下列措施：

-防止预先预测的非法操作；

-使用预先定义的病毒模式文件检测病毒；

-监视执行文件的行为以及检测非法文件以保护免受未知的攻击。

但是，由于这样的措施是响应于计算机上的行为而使用的，所以难以使用这样的措施来监视诸如蓄电池的物理装置，因此很难说这样的措施提供了足够的保护。此外，由于想到可与电力管理设备连接的蓄电池和机器会经常更新，所以极可能针对攻击的对策会变得极其复杂并且预先难以想象攻击的内容。

针对仿造蓄电池的一个对策是将认证芯片集成到蓄电池模块中并且仅与质量得到保证的蓄电池连接。但是，近年来，用于使认证芯片的功能变得无效的技术得到了发展，并且仿造芯片绕过认证的情况变得越来越普遍。如果从安装在较次蓄电池组电池上的仿造芯片经由机器发送的蓄电池状态(电压、电流、剩余电荷等)不正确(即，如果数字信息错误)，则电力管理设备不能正确地控制电网，从而导致出现意外的风险很高。在这种情况下，应当停止机器的操作或者应当排除有问题的蓄电池，但是没有用于实现这样的机制的现有技术。

由于以上原因，需要用于避免对连接到电力管理设备或系统的机器/蓄电池的攻击(病毒感染)以及伴随蓄电池劣化或仿造产品的风险的技术。下面描述如下方法：该方法能够使用从连接至系统的蓄电池或机器输出的传感器信息和多种历史信息而检测对系统的上述类型攻击的存在以及蓄电池的劣化等。

下面描述的检测攻击的存在以及蓄电池的劣化等的方法主要使用从各机器输出的诸如传感器信息等的物理数据以及历史信息，以使用计算物理估计进行判断以及使用启发式统计方法进行高速判断。通过这样做，可以检测未知的攻击以及从源头避免风险。

在本实施例中，设置在局部电力管理系统1外部的分析服务器34被用作用于检测攻击以及避免风险的设备。假设分析服务器34的功能之一是对局部电力管理系统执行安全检查的功能。相应地，以下描述的分析服务器34是用作安全检查服务器的服务器。

分析服务器34基于从电力管理设备发送的各种机器和蓄电池的传感器信息、执行命令信息、分析服务器34中预先注册的机器/蓄电池信息、使用环境信息和使用历史信息，实现下列功能。

-排除绕过认证的复制品以及已经劣化并且其操作变得危险的蓄电池；

-保护免受启发式外部攻击；

-通过基于当前状态、输入以及关于外部环境的信息的估计验证有效性；

-生成和更新由电力管理设备中的防病毒系统使用的病毒定义文件。

此外，如上所述，分析服务器34还能够配备有以下功能：验证嵌入在从各种机器和蓄电池发送的机器特征信息中的篡改检测信息(电子水印信息)。通过使用篡改检测信息，还可以检查电力管理设备是否已被接管。

这里，上述传感器信息的示例可包括电压、电流、温度、湿度、时间、使用机器信息、用户等，并且执行命令信息的示例可包括指令命令、执行文件、机器/蓄电池参数等。此外，在分析服务器34中预先注册的机器/蓄电池信息的示例可包括制造商、型号、制造号等，并且使用环境信息的示例可包括家庭信息、位置、自有机器信息等。上述使用历史信息的示例可包括过去的机器/蓄电池传感器信息、执行命令信息、使用时间、使用频率等。

(1-20)分析服务器的配置

接下来，将参考图59至图62具体描述分析服务器34的配置，该分析服务器根据本实施例为安全检查服务器。图59是用于说明根据本实施例的分析服务器的配置的框图。图60是用于说明根据本实施例的分析服务器中包括的信息篡改检测单元的配置的框图。图61是用于说明根据本实施例的分析服务器中包括的第一验证单元的配置的框图。图62是用于说明根据本实施例的分析服务器中包括的第二验证单元的配置的框图。

分析服务器的总体配置

首先，将参考图59描述根据本实施例的分析服务器34的整体配置。

如图59所示，根据本实施例的分析服务器34主要包括广域通信单元3001、信息篡改检测单元3003、获取数据验证单元3005和存储单元3013。

广域通信单元3001是用于在局部电力管理系统1和另一服务器等之间通过广域网2交换信息的通信装置。

信息篡改检测单元3003例如由CPU、ROM、RAM等实现。当用于检测信息是否已被篡改的数据被嵌入到由分析服务器34从电力管理设备11获取的信息中时，信息篡改检测单元3003验证该数据并且检测信息是否已被篡改。这里，嵌入这样的信息的数据的一个示例可以包括电子水印。

当检测到信息被篡改时，信息篡改检测单元3003将检测结果通知给电力管理设备11或用户本人。通过这样做，电力管理设备11或者电力管理设备11的用户能够将出现信息篡改的机器从系统1内部排除。

获取数据验证单元3005例如由CPU、ROM、RAM等实现。获取数据验证单元3005验证从电力管理设备11获取的各种信息，并且如上所述，是提供用于保护电力管理设备11不受外部攻击的各种功能的处理单元。

如图59所示，获取数据验证单元3005还包括获取数据验证控制单元3007、第一验证单元3009和第二验证单元3011。

在分析和验证由分析服务器34从电力管理设备11获取的各种数据时，获取数据验证控制单元3007进行控制。更具体地，获取数据验证控制单元3007判断如何将以下描述的第一验证单元3009的验证和第二验证单元3011的验证组合，以分析和验证所获取的数据。相应地，以下描述的第一验证单元3009和第二验证单元3011在获取数据验证控制单元3007的控制下执行各种验证处理。

第一验证单元3009例如由CPU、ROM和RAM等实现。第一验证单元3009使用基于统计处理的启发式方法，分析和验证由分析服务器34获取的各种类型信息。

第一验证单元3009主要具有下述两个功能。

(i)通过将从电力管理设备获取的数据与从具有相似电力使用环境的另一电力管理设备获取的数据进行比较，检测存在对电力管理设备的攻击、蓄电池或者各种机器或传感器的存在异常的功能；

(ii)在从电力管理设备获取的数据中根据与先前使用历史数据的比较，而检测对存在电力管理设备的攻击、蓄电池或者各种机器或传感器的存在异常的功能。

为了实现以上给出的功能(i)，第一验证单元3009使用从处于验证中的电力管理设备11获取的“蓄电池型号/ID信息和电力状态信息、历史”和“机器型号/ID信息和如温度的传感器信息、历史”或者“电力管理设备的执行文件”。第一验证单元3009不仅使用从处于验证中的电力管理设备获取的上述信息，而且使用未处于验证中的其它电力管理设备11获取的上述信息。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/机器或传感器中是否存在异常。

为实现以上给出的功能(ii)，第一验证单元3009从处于验证中的电力管理设备11获取“蓄电池型号/ID信息和电力状态信息”和“机器型号/ID信息和如温度的传感器信息”或者“电力管理设备的执行文件”。第一验证单元3009还使用处于验证中的电力管理设备11的“蓄电池电力状态信息历史”、“机器的传感器信息历史”和“电力管理设备的执行文件历史”。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/机器或传感器中是否存在异常。

第一验证单元3009还包括如下功能：验证“电力管理设备的执行文件”中的命令信息，并且可用于在命令信息被确定为异常时从被确定为异常的命令信息中提取病毒模式。第一验证单元3009使用所提取的病毒模式并生成关于该病毒的病毒定义文件。

在判断为机器的传感器信息、执行文件、命令信息等中存在异常时，第一验证单元3009可以与第二验证单元3011共享该信息，或者可以将该信息发送给第二验证单元3011。通过共享或发送该信息，第二验证单元可以更新仿真中使用的参数并且可以进一步提高仿真精度。

第二验证单元3011例如由CPU、ROM、RAM等实现。第二验证单元3011通过使用所获取的数据的仿真(计算物理估计)来分析并验证由分析服务器34获取的各种信息。

第二验证单元3011主要包括如下功能：通过利用计算物理量的估计而实现的高精度判断，来检测蓄电池/机器或传感器的异常。

第二验证单元3011从处于验证中的电力管理设备11获取系统1中的“蓄电池型号/ID信息和电力状态信息、历史”和“机器型号/ID信息和如温度的传感器信息、历史”。另外，第二验证单元3011从处于验证中的电力管理设备11获取蓄电池/机器的电气规格和特征信息。第二验证单元3011基于获取的机器信息、电气规格和特征信息以及使用历史信息进行仿真，以计算表明这些机器操作正常的指标(在下文中称为“正常操作范围”)。第二验证单元3011比较并验证所计算的正常操作范围和已获得的上述各种数据，并且判断是否存在针对处于验证中的电力管理设备的攻击以及蓄电池/机器或传感器是否存在异常。

存储单元3013是设置在根据本实施例的分析服务器34中的存储设备的一个示例。存储单元3013存储关于由分析服务器34存储的各个密钥的信息以及由分析服务器34存储的各个数字签名、证书等。在存储单元3013中还可以记录各历史信息。另外，存储单元3013还可以适当地存储根据本实施例的分析服务器34的处理期间应当存储的各参数和中间处理进程，或者各数据库等。分析服务器34的各处理单元能够自由地对存储单元3013进行读写。

信息篡改检测单元的配置

接下来，将参考图60描述信息篡改检测单元3003的配置。

如图60所示，信息篡改检测单元3003还包括嵌入位置指定单元3021、电子水印提取单元3023和电子水印验证单元3025。

利用根据本实施例的局部电力管理系统1，可以在诸如电流、电压、温度和湿度等的物理数据中或者在使用这些物理数据计算出的各种信息中嵌入适合这些信息的电子水印数据。通过验证电子水印数据，能够与局部电力管理系统1进行双向通信的分析服务器34能够检测物理数据(其在下文中包括使用物理数据计算出的各种信息)是否被篡改。

嵌入位置指定单元3021例如由CPU、ROM、RAM等实现。通过使用预定的信号处理电路分析嵌有电子水印的物理数据，嵌入位置指定单元3021根据对应于该数据的信号的特征指定电子水印信息的嵌入位置。在指定电子水印信息的嵌入位置时，嵌入位置指定单元3021将关于指定嵌入位置的信息通知给电子水印提取单元3023。应当注意，如果在受控制机器125等与分析服务器34之间预先确定了电子水印的嵌入位置，则可无需执行嵌入位置的指定处理。

电子水印提取单元3023例如由CPU、ROM、RAM等实现。电子水印提取单元3023基于关于由嵌入位置指定单元3021提供的嵌入位置的信息，从物理数据中提取电子水印信息。电子水印提取单元3023将从物理数据中提取出的电子水印转发给下文描述的电子水印验证单元3025。

电子水印验证单元3025例如由CPU、ROM、RAM等实现。电子水印验证单元3025首先基于与受控制机器125等共享的共享信息等以及由电子水印提取单元3023提取的物理数据，生成电子水印信息。为了生成电子水印信息，使用哈希函数、伪随机数生成器、公共密钥加密、共享密钥加密(例如，消息认证码MAC)等。此后，电子水印验证单元3025将生成的电子水印信息与由电子水印提取单元3023提取的电子水印信息进行比较。

如果所生成的电子水印信息和所提取的电子水印信息相同，则电子水印验证单元3025判断出由受控制机器125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息和所提取的电子水印信息不相同，则电子水印验证单元3025判断出物理数据被篡改。

如果物理数据被篡改，则电子水印验证单元3025通知电力管理设备11或者用户本人。通过这样做，电力管理设备11或者用户本人能够将其操作被修改的受控制机器125等排除在局部电力管理系统1之外。

此外，如果电子水印信息是通过使用物理数据和共享信息并且使用时间信息生成的，则如上所述，还可以验证管理局部电力管理系统1的电力管理设备是否被接管。

第一验证单元的配置

接下来，将参考图61具体描述第一验证单元3009的配置。

如上所述，第一验证单元3009基于从电力管理设备11发送的蓄电池和机器的传感器信息和执行命令信息、在分析服务器34中预先注册的关于蓄电池和机器的信息、使用环境信息和使用历史信息，提取特征量。此后，第一验证单元3009基于所提取的特征量高速检测差别和异常。

如图61所示，第一验证单元3009包括验证控制单元3031、操作判断单元3033、数据库管理单元3035、病毒定义文件管理单元3037和共享信息生成单元3039。第一验证单元3009还包括电力管理设备数据库3041、判断词典3043和病毒定义文件数据库3045。

验证控制单元3031例如由CPU、ROM、RAM等实现。验证控制单元3031控制启发式验证处理并且与第一验证单元3009的各处理单元合作以使之起作用，其中，启发式验证处理使用由第一验证单元3009执行的统计处理。

操作判断单元3033例如由CPU、ROM、RAM等实现。操作判断单元3033输入从要验证的电力管理设备11获取的诸如传感器信息和执行命令信息的各种信息，并且基于电力管理设备11或其它电力管理设备11的历史信息等，判断处于验证中的电力管理设备11的操作是正常还是异常。由操作判断单元3033执行的判断处理在后文描述。

数据库管理单元3035例如由CPU、ROM、RAM等实现。数据库管理单元3035将从电力管理设备11发送的、诸如新蓄电池和机器的传感器信息、执行命令信息以及历史信息的各种信息存储在数据库3041中，并且还更新判断词典3043。数据库管理单元3035定期比较指定的电力管理设备11的统计量与其它电力管理设备11的数据的统计量，并且测试是否存在蓄意生成的数据。

病毒定义文件管理单元3037例如由CPU、ROM、RAM等实现。病毒定义文件管理单元3037将已经被操作判断单元3033判断为异常的执行命令信息定义为病毒模式，并且生成病毒定义文件。病毒定义文件管理单元3037将所生成的病毒定义文件存储在病毒定义文件数据库3045中以更新数据库，并且还经由验证控制单元3031将所生成的病毒定义文件发送至外部。

共享信息生成单元3039收集关于已被操作判断单元3033检测为异常的电力管理设备11的信息(例如，关于蓄电池/机器的传感器信息、执行命令信息、关于蓄电池/机器的机器信息、使用历史信息等)作为共享信息。此后，共享信息生成单元3039经由验证控制单元3031和获取数据验证控制单元3007将所生成的共享信息输出至第二验证单元3011。

通过使用共享信息来更新用于仿真的设置信息(参数等)，第二验证单元3011能够进一步提高仿真精度。

电力管理设备数据库3041是存储在第一验证单元3009中的数据库的一个示例。在该数据库中存储各种信息，如每个电力管理设备11的、关于蓄电池和机器的机器信息、使用环境信息和使用历史信息。

判断词典3043是存储在第一验证单元3009中的另一数据库，并且存储关于操作判断单元3033启发式地判决操作时的特征量的信息。这样的特征量是关于在提供特定条件(机器信息、使用环境信息等)时的典型传感器信息的统计量，并且基于电力管理设备数据库3041而生成。

病毒定义文件数据库3045是存储在第一验证单元3009中的又一数据库。病毒定义文件数据库3045存储由病毒定义文件管理单元3037生成的病毒定义文件。

这完成了对第一验证单元3009的配置的具体描述。

第二验证单元的配置

接下来，将参考图62具体描述第二验证单元3011的配置。

如上所述，第二验证单元3011通过基于随时间的变化和使用环境、使用历史、使用状态和蓄电池的特征信息进行仿真来计算正常操作范围，并且高速检测差别和异常。第一验证单元3009进行的验证是使用来自虚拟环境等的统计信息的高速判定方法，而第二验证单元3011进行的验证是耗时的。但是，第二验证单元3011可以高精度地计算正品的质量劣化。

第二验证单元3011包括使用从第一验证单元3009输出的共享信息来将在进行仿真时使用的各设置信息(参数)更新为适当值的功能。

如图62所示，第二验证单元3011还包括估计特征值计算单元3051、数据库3053和数据判断单元3055。

估计特征值计算单元3051例如由CPU、ROM、RAM等实现。估计特征值计算单元3051基于从要验证的电力管理设备11获取的机器信息、电气规格和特征信息以及使用历史信息进行仿真，以计算估计特征值。估计特征值是表明机器是否正确操作的指标(即，正常操作范围)。当进行仿真时，估计特征值计算单元3051获取数据库3053中注册的用于仿真的各参数。

数据库3053是存储在第二验证单元3011中的数据库，并且存储当估计特征值计算单元3051进行仿真时使用的各设置信息(参数)。如上所述，数据库3053中存储的参数由第二验证单元3011使用从第一验证单元3009输出的共享信息进行更新。

数据判断单元3055例如由CPU、ROM、RAM等实现。数据判断单元3055将从要验证的电力管理设备11获取的各数据与由估计特征值计算单元3051计算的估计特征值进行比较，并且判断从要验证的电力管理设备11获取的各数据。通过使用任意逻辑，数据判断单元3055能够检测蓄电池/机器或传感器的异常，并且作为一个示例，当实际值和估计特征值之间的差异等于或大于指定阈值时或者该差异等于或小于该阈值时，数据判断单元3055能够判断在机器中出现异常。

在第二验证单元3011中，物理仿真中使用的参数能够被纠正为更加真实的值。还可以将这样的信息发送给蓄电池或机器制造商，以将未预先想到的故障通知给制造商。

这完成了对第二验证单元3011的配置的具体描述。

以上描述了根据本实施例的分析服务器34的功能的一个示例。上述的组成元件可以使用通用部件和/或电路来构建，或者可以由专用于各组成元件的功能的硬件来构建。可替选地，各组成元件的功能可以都由CPU等执行。因此，当实施本实施例时，可以根据主导的技术水平适当改变使用的配置。

应当注意，用于实现上述根据本实施例的分析服务器的功能的计算机程序可以在个体计算机等中创建和安装。也可以提供存储有这样的计算机程序的计算机可读记录介质。例如，记录介质可以是磁盘、光盘、磁光盘、闪速存储器等。上述计算机程序也可以通过例如网络颁发，而不使用记录介质。

(1-21)指定要排除的蓄电池的处理

接下来，将参考图63描述由具有上述功能的分析服务器34执行的用于指定要排除的蓄电池的处理。图63是用于说明要排除的蓄电池的示意图。

图63中示出的表是局部电力管理系统1中使用的蓄电池的可想到的状态的列表。如图63的顶部所示，局部电力管理系统1中使用的蓄电池包括储存电力的一个或多个电池、用于控制所述一个或多个电池的电路板以及该电路板上设置的认证芯片。所述电池和包括认证芯片的电路板的可想到的状态可大致分为表中所示的七种情况。

情况1至情况3是由正品电池和正品电路板组成的蓄电池中可能出现的状态。情况4至情况7是使用假冒电池的蓄电池中可能出现的状态。

在所述七种情况中，情况1、情况2和情况4的电池特征没有问题，并且输出正确的机器状态。由于归入这些情况中的蓄电池在估计范围内劣化或者为具有不成问题的特征或信息的副本，所以这样的蓄电池出现在局部电力管理系统中时不会引起大的问题。

但是，对于归入情况3和情况5至7中的蓄电池，当电池的特征或机器信息与具有正常使用的正品的情况比较时生成差异，并且由于这样的产品存在多种风险，所以需要将这样的蓄电池排除在局部电力管理系统1之外。

由于该原因，通过使用上述多种验证处理，根据本实施例的分析服务器34能够指定应当被排除的上述蓄电池。

随后将具体描述由分析服务器34执行的用于指定要排除的蓄电池的处理。

(1-22)防止对电力管理设备的非法攻击的保护方法

接下来，将参考图64描述防止对电力管理设备的非法攻击的保护方法的总体流程。图64是用于说明防止对电力管理设备的非法攻击的保护方法的流程图。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以签署防止非法攻击的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查非法攻击的存在的定时(步骤S3001)。如果未到达该检查定时，则电力管理设备11的系统管理单元1125等待到达该检查定时。如果已到达该检查定时，则电力管理设备11的系统管理单元1125使用到目前为止存储在电力管理设备11中的攻击模式文件(病毒定义文件)以搜索系统(步骤S3003)。

当在模式检查中存在问题时，电力管理设备11的系统管理单元1125在电力管理设备11中存储的机器排除列表中注册有问题的机器，并且控制单元115从系统中排除有问题的机器(步骤S3005)。

如果在模式检查中不存在问题，则电力管理设备11的机器管理单元1121从包括连接至系统的蓄电池的各机器收集诸如传感器信息和执行命令信息的各种信息(步骤S3007)。此后，电力管理设备11的机器管理单元1121通过相互认证访问分析服务器34(步骤S3009)。当已建立连接时，电力管理设备11对电力管理设备的ID、每个机器的蓄电池ID、蓄电池的输出信息、传感器信息和电力管理设备的执行命令信息进行加密，并且将加密的信息发送至分析服务器34(步骤S3011)。

分析服务器34的获取数据验证单元3005判断在从电力管理设备11发送的各种数据中是否存在任何异常(步骤S3013)。当不存在异常时，获取数据验证单元3005将关于电力管理设备11的获取数据添加至数据库中(步骤S3015)并且将分析结果通知给电力管理设备11(步骤S3017)。

同时，当在步骤S3013中识别出异常时，分析服务器34的获取数据验证单元3005生成病毒定义文件(步骤S3019)。分析服务器34的获取数据验证单元3005检查在识别出异常的电力管理设备11中是否出现很多异常(步骤S3021)。当判断出出现很多异常并且电力管理设备11已成为攻击等的发射台时，分析服务器34向系统管理服务器33通知异常(步骤S3023)。已收到报告的系统管理服务器33例如通过将有问题的设备置于黑名单中而排除该设备(步骤S3025)。分析服务器34还将分析结果和在步骤S3019中生成的病毒定义文件发送至电力管理设备11(步骤S3027)。电力管理设备11的系统管理单元1125接收该结果并且进行适当处理，诸如在存在病毒定义文件时更新该病毒定义文件(步骤S3029)。

这完成了对防止对电力管理设备的非法攻击的保护方法的总体流程的说明。

(1-23)排除蓄电池的方法

接下来，将参考图65描述由分析服务器34执行的用于指定要排除的蓄电池的处理、以及由电力管理设备11执行的用以排除这样的蓄电池的处理的流程。图65是用于说明排除蓄电池的方法的流程图。

根据本实施例的分析服务器34基于从电力管理设备11发送的信息检测在蓄电池中是否存在异常，并且在出现了异常时通知电力管理设备11。已收到关于异常的通知的电力管理设备11进行一系列操作，诸如停止向异常蓄电池供应电力。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以签署排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查蓄电池风险的定时(步骤S3031)。如果未到达该检查定时，则电力管理设备11的系统管理单元1125等待到达该检查定时。如果已到达该检查定时，则电力管理设备11的机器管理单元1121请求包括蓄电池的受控制机器125等发送蓄电池信息(蓄电池初级信息)。作为响应，包括蓄电池的各受控制机器125将蓄电池信息发送给电力管理设备11(步骤S3033)。电力管理设备11检查是否已从每个机器获取了蓄电池信息(步骤S3035)。应当注意，尽管不是绝对必须从每个机器获取蓄电池信息，但是优选检查所有机器。

电力管理设备11的机器管理单元1121通过相互认证访问分析服务器34(步骤S3037)。当已建立连接时，电力管理设备11将电力管理设备的ID、每个机器的蓄电池ID以及蓄电池的初级信息发送至分析服务器34(步骤S3039)。

分析服务器34的获取数据验证单元3005使用从电力管理设备11发送的各种数据计算估计特征值，并且将获取的数据与计算的估计特征值进行比较。此后，分析服务器34的获取数据验证单元3005将得到的结果通知给电力管理设备11(步骤S3041)。

电力管理设备11的系统管理单元1125判断得到的结果(步骤S3043)。当该结果为不存在异常时，电力管理设备11的机器管理单元1121检查从传感器收集的物理信息(步骤S3045)，并且如果不存在问题则结束处理。

当在步骤S3043中存在异常时，电力管理设备11的控制单元115向配电设备121发出关于具有存在异常的蓄电池的机器的电力供应停止命令(步骤S3047)。配电设备121根据来自电力管理设备11的命令停止向这样的机器电力供应(步骤S3049)。电力管理设备11的系统管理单元1125将存在异常的机器的ID置于撤销列表上，并且机器管理单元1121断开机器的信息网络(步骤S3051)。

通过执行上述处理，分析服务器34能够指定要排除的蓄电池，并且电力管理设备11能够从系统中排除此类要排除的蓄电池。

(1-24)由获取数据验证单元进行的验证处理

接下来，将参考图66A和图66B描述分析服务器34的获取数据验证单元3005进行的验证处理的总体流程。图66A和图66B为用于说明由获取数据验证单元进行的验证处理的流程图。

分析服务器34的获取数据验证单元3005的获取数据验证控制单元3007首先获取从电力管理设备11发送的各种数据(步骤S3061)。接下来，获取数据验证控制单元3007使用预定过滤器测试所获取的数据(步骤S3063)。作为示例，过滤器可以保护免受从指定电力管理设备11发送大量信息的DoS攻击，可以用作防火墙，和/或可以拒绝非标准通信。

如果在对获取的数据进行的过滤处理中检测到异常，则获取数据验证控制单元3007输出异常判断(步骤S3083)，实施指定的报警处理(步骤S3085)，并且结束流程。作为一个例子，可以针对系统管理服务器33或与讨论的电力管理设备有关的另一服务器执行该报警处理。

同时，如果在对获取的数据进行的过滤处理中未检测到异常，则获取数据验证控制单元3007对所获取的数据实施简化的判断处理(步骤S3065)。假设简化的判断包括检测由分析服务器34预先了解的病毒模式，由第一验证单元3009执行简化的判断，和/或针对典型使用进行匹配，这样的处理通常高速执行。当可以在该阶段明确确认操作正常时，输出正常判断(步骤S3081)，并且结束流程。

同时，如果该简化判断判断出存在异常或者如果无法判断，则获取数据验证控制单元3007判断使用以下描述的三个判断处理(标号为模式1至模式3)中的哪一个(步骤S3067)。

模式1是选择链接判断处理的模式，该链接判断处理使用第一验证单元3009和第二验证单元3011的组合。

例如，获取数据验证控制单元3007首先通过第一验证单元3009的统计处理(步骤S3069)进行判断，并且还从发送的信息中掌握蓄电池/机器的物理特征。这里，获取数据验证控制单元3007判断处理路径(步骤S3071)并且判断是要输出最终结果(步骤S3075)还是执行第二验证单元3011的验证(步骤S3073)。当还执行第二验证单元3011的验证时，第二验证单元3011基于接收自第一验证单元3009的共享信息(即，物理特征)更新仿真中使用的物理参数，并且基于发送的信息执行仿真。另外，第一验证单元3009基于通过第二验证单元3011的验证获得的发现来更新判断词典，并且基于统计处理再次执行判断。

还可以选择如下判断处理：在由验证单元之一进行的判断中明确建立应当更加详细研究的点，然后将该点反馈给另一验证单元进行的判断。这样，模式1是通过第一验证单元3009与第二验证单元3011的互补使用来提高判断精度的方法。

模式2是选择线性判断处理的模式，其中，第一验证单元3009的验证和第二验证单元3011的验证按该顺序进行。

更具体地，获取数据验证控制单元3007首先使用能够在相对较短的处理时间中进行判断的第一验证单元3009实施验证(步骤S3077)，并且，如果判断结果不正常，则切换到需要较长处理时间的第二验证单元3011的验证(步骤S3079)。这里，假设第一验证单元3009的验证是比简化判断中的验证更详细的研究。

当使用模式2时，如果由第一验证单元3009的验证生成“正常”判断，则获取数据验证控制单元3007输出正常判断(步骤S3081)并且流程结束。

在图66A中，假设了首先实施相对较快的第一验证单元3009的验证的情况，但是也可以首先实施第二验证单元3011的验证。

模式3是选择并行判断处理的模式，其中，同时使用第一验证单元3009的验证和第二验证单元3011的验证。

获取数据验证控制单元3007确定执行第一验证单元3009和第二验证单元3011两者的验证还是仅使用这些验证单元之一执行验证，并且确定研究什么属性(步骤S3087)。第一验证单元3009(步骤S3089)和第二验证单元3011(步骤S3091)执行各自的研究，并且获取数据验证控制单元3007基于来自这两个处理单元的研究结果执行最终判断(步骤S3093)。

应当注意，尽管可以执行上述三种方法(模式)之一，但是也可以并行执行这三种方法。还可以根据要研究的属性信息和/或传感器信息的范围等自适应地分配这些方法。还应当可以通过并行使用多个模式1至3代替单独使用模式1至模式3来生成潜在高速模型。

(1-25)第一验证单元的验证处理的流程

接下来，将参考图67描述第一验证单元的验证处理的流程。图67是用于说明第一验证单元的验证处理的流程图。

第一验证单元3009的验证控制单元3031首先获取要验证的电力管理设备11的蓄电池/传感器信息和执行命令信息中的至少之一作为验证数据(步骤S3101)。接下来，操作判断单元3033执行调整所获取信息(例如，蓄电池或机器的传感器信息)的数据格式的预处理(步骤S3103)。

此后，操作判断单元3033指定特定的属性信息(例如，机器信息、使用环境信息)，并且根据这些属性从已由预处理调整后的数据(蓄电池或机器的传感器信息，执行命令信息)提取特征量(步骤S3105)。由于在提取特征量时指定的属性信息的典型特征量是预先根据要验证的电力管理设备或其它电力管理设备的使用历史计算出的，所以所指定属性信息的典型特征量会存储在判断词典中。

应当注意，特征量如下：

-由未处于验证中的电力管理设备的蓄电池/传感器信息和使用历史给出的特征量；

-由处于验证中的电力管理设备的蓄电池/传感器信息/历史给出的特征量；

-未处于验证中的电力管理设备的执行命令的特征；

-处于验证中的电力管理设备的执行命令的特征；

接下来，第一操作判断单元3033将指定属性信息的典型特征量和计算出的特征量进行比较(步骤S3107)，并且输出判断结果(步骤S3109)。作为一个示例，操作判断单元3033能够在这两个特征量之间相关度低时判断出出现异常，并且在相关度高时能够判断出状态正常。

另一操作判断单元3033也可以对于相同的特征量或不同的特征量执行同样的处理(步骤S3111至步骤S3115)，并且输出判断结果。

此后，验证控制单元3031可以基于来自每个操作判断单元3033的判断结果，给出为正常/异常的最终判断(步骤S3117)。例如，验证控制单元3031可以在每个操作判断单元3033给出为正常/异常的判断时给出择多判断。可替选地，验证控制单元3031可以使用以下方法：通过对于正常使用权重1且对于异常使用权重0来计算总和，并且在该总和等于或大于阈值时给出为正常的最终判断。当计算相关度或函数值时，验证控制单元3031可得到采用了与以上相同的权重的总和，然后使用阈值进行判断或使用某类型函数。

验证控制单元3031将如上所述获得的总体判断结果输出至获取数据验证控制单元3007(步骤S3119)，并结束验证处理。获取数据验证控制单元3007将获得的验证结果输出至电力管理设备、用户本人和提供其它服务的服务器等。

应当注意，作为示例，操作判断单元3033可以使用诸如最近邻近原则、感知器、神经网络、支撑矢量机、多变量分析或提升(boosting)的方法作为判断函数。判断函数的参数可以通过基于另一电力管理设备11上的数据和/或物理数据的预先学习而确定。

应当注意，如果通过上述处理最终识别出异常，则病毒定义文件管理单元3037从对其识别出异常的执行命令信息中提取模式，并且生成病毒定义文件。

(1-26)数据库管理单元的测试处理

接下来，将参考图68描述第一验证单元3009的数据库管理单元3035的测试处理。图68是用于说明数据库管理单元的测试处理的流程图。

在数据库管理单元3035中，关于从指定的电力管理设备11获取的数据的统计量定期与关于从另一电力管理设备获取的数据的统计量进行比较，并且进行关于是否存在蓄意生成的数据的测试。

为了通过操作判断单元3033检测异常操作，数据库管理单元3035通常预先从自多个电力管理设备收集的各种信息(例如，蓄电池或机器的传感器信息)提取用于比较目的的特征量。

这里，存在恶意的电力管理设备11发送被篡改的蓄电池或机器的传感器信息等以操纵特征量的风险。因为这个原因，通过将从具有指定属性信息(例如，机器信息和使用环境信息)的指定电力管理设备的使用历史信息提取出的特征量与从具有相同属性信息的多个其它电力管理设备的使用历史提取出的特征量进行比较，病毒定义文件管理单元3037可检测出这种攻击。

首先，关于指定的属性信息，数据库管理单元3035首先获得要被判断为恶意或正常的电力管理设备的传感器信息或执行命令信息(步骤S3121)，并且从获取的信息提取特征量(步骤S3123)。数据库管理单元3035从具有相同属性信息的多个其它电力管理设备获取同一信息(步骤S3125)，并且使用相同方法提取特征量(步骤S3127)。

接下来，数据库管理单元3035比较已提取的两个特征量并且判断当前关注的指定电力管理设备是否在非法操纵特征量(步骤S3129)，并且输出最终结果(步骤S3131)。可替选地，数据库管理单元3035可以对其它属性执行相同的比较和判断，然后确定最终结果。应当注意，先前所列的判断函数之一被用于特征量的比较和判断，其中，通过学习预先计算用于此函数的参数。

当判断结果为电力管理设备是恶意时，分析服务器34通知拥有该电力管理设备11的用户和/或电力公司等的服务提供服务器。

(1-27)数据库的更新以及判断词典的生成

接下来，将参考图69简要描述由数据库管理单元3035进行的数据库的更新和判断词典的生成。图69是用于说明由数据库管理单元进行的数据库的更新和判断词典的生成的示意图。

数据库管理单元3035将来自电力管理设备11的新的传感器信息和执行命令信息等存储在电力管理设备数据库3041中，并且还生成由操作判断单元3033使用的判断词典3043。

定期发送自电力管理设备11的传感器信息和执行命令信息、以及在注册期间发送自电力管理设备11的机器信息、使用环境信息等通过验证控制单元3031被存储在电力管理设备数据库3041中。还基于传感器信息计算指定电力管理设备11的使用时间、使用频率等，并将其存储在电力管理设备数据库3041中。

对于指定属性信息中的各属性，基于多个电力管理设备11的传感器信息、执行命令信息等提取的特征量被存储在由操作判断单元3033使用的判断词典3043中。由于假设在起始阶段少数样本存储在判断词典3043中，所以从电力管理设备11发送关于各机器的物理数据并且估计特征量。此外，由于对于指定属性信息而言样品数量可能少，所以在一些情况下，可以从物理数据提取特征量并将其用于纠正判断词典3043中存储的特征量。

(1-28)管理病毒定义文件的方法

接下来，将参考图70简要描述由病毒定义文件管理单元3037执行的管理病毒定义文件的方法。图70是用于说明由病毒定义文件管理单元执行的管理病毒定义文件的方法的流程图。

病毒定义文件管理单元3037将在由操作判断单元3033进行的判断中被判断为异常的执行命令信息定义为病毒模式，以生成病毒定义文件。此后，病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中。

在生成病毒定义文件之前，首先，操作判断单元3033判断出特定电力管理设备11的操作异常(步骤S3141)。此后，病毒定义文件管理单元3037分析由操作判断单元3033判断为异常的执行命令信息并提取模式(步骤S3143)。

接下来，病毒定义文件管理单元3037基于提取的模式生成文件(病毒定义文件)(步骤S3145)并且将生成的定义文件存储在病毒定义文件数据库3045中。病毒定义文件管理单元3037将生成的定义文件通过获取数据验证控制单元3007发送至电力管理设备11(步骤S3149)。每个电力管理设备11和分析服务器34能够使用该定义文件作为用于检测病毒的过滤器。

病毒定义文件管理单元3037分析包括从中提取了模式的执行命令信息的电力管理设备11的使用历史信息。结果，如果从电力管理设备11频繁发生异常，则在一些情况下，电力管理设备11被认作为恶意攻击者并且被注册在黑名单中(步骤S3151)。病毒定义文件管理单元3037也可以向电力公司报告存在这样的电力管理设备11。

注意，当电力管理设备被注册在黑名单中时，来自所注册的电力管理设备的通信接收会被拒绝和/或警告其它电力管理设备。

(1-29)指定要排除的蓄电池的方法的流程

接下来，将参考图71A至图72说明由获取数据验证单元3005实施以指定要排除的蓄电池的方法的流程。图71A至图72是用于说明由获取数据验证单元实施以指定要排除的蓄电池的方法的流程图。

首先，将参考图71A至图71C说明指定对应于图63中的情况3、情况5和情况6的蓄电池的处理。

应当注意，在以下说明开始之前，假设已设置电力管理设备11签署排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等(步骤S3161)。

如果已到达检查蓄电池风险的定时，则电力管理设备11的系统管理单元1125请求受控制机器125执行性能检查(步骤S3163)，该受控制机器125为受电力管理设备11管理的被管理机器。

受控制机器125的主部件于是请求与其连接的蓄电池获取关于蓄电池的与电压/电流/剩余电荷/阻抗/负载等有关的临时状态信息(即电池特征)D1和机器信息D2(步骤S3165)。

连接至受控制机器125的蓄电池获取信息D1和D2(步骤S3167)，并且将此信息和蓄电池的ID信息通过受控制机器125的主部件发送至电力管理设备11(步骤S3169)。

电力管理设备11的机器管理单元1121将获取的信息存储在电力管理设备11中存储的数据库中(步骤S3171)。电力管理设备11还向分析服务器34发出特定询问(步骤S3173)。此后，电力管理设备11与分析服务器34进行认证(步骤S3175)并且与分析服务器34建立通信路径。

接下来，电力管理设备11的系统管理单元1125将获取的信息(D1、D2和蓄电池的ID信息)发送至分析服务器34(步骤S3177)。

分析服务器34中的获取数据验证单元3005的第二验证单元3011使用获取的数据来执行特征估计计算(步骤S3179)，以计算关于信息D1和D2的估计特征值。此后，第二验证单元3011计算实际测量值与估计值之间的差异并且判断出结果(步骤S3181)。接下来，分析服务器34将获得的判断结果发送至电力管理设备11(步骤S3183)。

这里，针对各情况，在步骤S3181中获得的判断结果预期如下：

(情况3)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况5)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况6)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

已获取此判断结果的电力管理设备11执行用于处理异常的处理(步骤S3185)。更具体地，电力管理设备11的机器管理单元1121命令配电设备121停止向出现了异常的受控制机器125供应电力(步骤S3187)。配电设备121接收该命令并且停止向受控制机器125供应电力(步骤S3189)。

同时，电力管理设备11的系统管理单元125向用户发出警告(步骤S3191)并且更新撤销列表(步骤S3193)。此后，电力管理设备11断开有问题的受控制机器125的网络(步骤S3195)。

应当注意，尽管在图71A中示出了分析服务器34指定要排除的蓄电池的处理，但是，如果电力管理设备11具有计算估计特征值的功能，则可执行图71C中示出的处理代替图71A中的步骤S3177至S3183。更具体地，电力管理设备11从分析服务器34请求计算估计特征值所必需的信息，诸如特征值(步骤S3201)。在接收到此请求时，分析服务器34将计算估计特征值所必需的信息发送至电力管理设备11(步骤S3203)。此后，电力管理设备11使用所获取的信息计算估计特征值(步骤S3205)并且判断出结果(步骤S3207)。通过以这种方式执行处理，电力管理设备11也可以指定要排除的蓄电池。

接下来，将参考图72描述用于指定和排除对应于情况7的蓄电池的流程。直到指定对应于情况7的蓄电池的处理与图71A中示出的步骤S3161至S3183相同。但是，对于对应于情况7的蓄电池的判断结果如下。

(情况7)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之内。

已获取以上判断结果的电力管理设备11执行用于处理异常的处理(步骤S3211)。更具体地，电力管理设备11的机器管理单元1121将传感器检查命令和增加检查频率的命令发送至受控制机器125(步骤S3213)。在收到此命令时，受控制机器125实施收到的命令并且请求传感器执行测量(步骤S3215)。结果，传感器输出关于警告的传感器信息(步骤S3217)。

已获取关于警告的传感器信息的电力管理设备11命令配电设备121停止向出现异常的受控制机器125供应电力(步骤S3219)。配电设备121接收该命令并停止向受控制机器125供应电力(步骤S3221)。

同时，电力管理设备11的系统管理单元1125向用户发出警告(步骤S3223)并更新撤销列表(步骤S3225)。此后，电力管理设备11断开有问题的受控制机器125的网络(步骤S3227)。

这完成了对于指定要排除的蓄电池的方法和排除蓄电池的方法的流程的描述。

由于上述分析服务器34的存在，可以保护电力管理设备11免受已有攻击以及未知攻击。根据本实施例的分析服务器34的获取数据验证单元3005具有能够进行启发式的或者基于物理分析的判断的功能，这意味着当出现问题时能够高速进行判断。

此外，通过使用由获取数据验证单元3005生成的验证结果，可以指定已针对从合法蓄电池和非法蓄电池(如复制品)中的任一个获得的物理信息或数字信息识别出差异的机器。通过这样做，可以从局部电力管理系统1中去除有问题的蓄电池，或者停止向这样的蓄电池供应电力。对蓄电池颁发了多种安全措施，但是即使在通过这些安全措施无法控制时，也可以通过本方法来确保保持安全。

(1-30)存在多个电力管理设备时的处理

接下来，将参考图73至图75描述在局部电力管理系统1中存在多个电力管理设备11时的处理。

这里，将参考图73至图75描述多个电力管理设备11的使用。如上所述，电力管理设备11用作针对局部电力管理系统1中的机器等的电力供应的总管理者。这意味着，如果电力管理设备11出故障或者由于软件升级而停用，则无法使用局部电力管理系统1中的机器等。为做好针对此类情形的准备，优选使用多个电力管理设备11。但是，电力管理设备11用作针对电力相关信息的总管理者并且控制局部电力管理系统1中的各机器等。这意味着，需要特定措施来使多个电力管理设备11安全且高效地执行复杂管理和控制。一个可想到的措施是图73至图75所示的方法。

控制操作

首先，将参考图73描述使用多个电力管理设备11控制机器等的方法。应当注意，多个电力管理设备11的合作操作通过信息管理单元112中包括的系统管理单元1125的功能来实现。

如图73所示，首先，系统管理单元1125检查是否有两个或更多电力管理设备11处于操作中(步骤S4001)。在进行检查时，系统管理单元1125使用局部通信单元111的功能来询问其它电力管理设备11的系统管理单元1125并检查这些电力管理设备11是否操作。当有两个或更多电力管理设备11操作时，系统管理单元1125的处理进入步骤S4003。同时，在没有其它电力管理设备11操作时，系统管理单元1125的处理进入步骤S4009。

当处理从步骤S4001进入到步骤S4003时，系统管理单元1125将指定的电力管理设备11设置为父器件并将其余电力管理设备11设为子器件(步骤S4003)。例如，当预先确定了用于将电力管理设备设置为父器件的基于优先级的顺序时，具有最高优先级等级的电力管理设备11被设置为父器件。应当注意，这里使用的表述“父器件”和“子器件”是指电力管理设备11的属性。通过设置该属性，在控制机器等时，具有“子器件”属性的电力管理设备11将控制信号发送至具有“父器件”属性的电力管理设备11(步骤S4005)。

当从多个子器件向父器件发送了控制信号时，父器件的系统管理单元1125基于择多判决或父器件进行的判断(随机地或者根据预定条件)，确定要发送至机器等的控制信号(步骤S4007)。一旦确定了控制信号，控制单元115将系统管理单元1125所确定的控制信号发送至机器等，以使该机器等根据控制信号执行处理(步骤S4011)并结束该系列处理。同时，在处理已从步骤S4001进入到步骤S4009时，控制单元115将自身生成的控制信号发送至机器等，以使该机器等根据控制信号进行处理(步骤S4009)并结束该系列处理。

这样，系统管理单元1125具有用于设置每个电力管理设备11的属性的功能以及用于选择控制信号的功能。系统管理单元1125能够使用这样的功能高效地控制机器等。在一个或多个电力管理设备11已损坏或者已由于更新目的而停用时，还可以使另一个电力管理设备11继续电力管理，从而避免机器等变得不可用的情况。

更新期间的操作

接下来，将参考图74和图75描述更新用于定义电力管理设备11的基本操作的软件(或“固件”)的方法。应当注意，对于固件的更新处理由系统管理单元1125的功能实现。这里，假设局部电力管理系统1中有N个电力管理设备11处于操作中。

如图74所示，系统管理单元1125首先检查是否有两个或更多电力管理设备11处于操作中(步骤S4021)。当有两个或更多电力管理设备11在操作时，系统管理单元1125的处理进入步骤S4023。同时，在没有其它电力管理设备11在操作时，系统管理单元1125结束关于更新的一系列处理。

当处理进入到步骤S4023时，系统管理单元1125从合作操作中去除要更新的第一电力管理设备11并执行更新(步骤S4023)。当这样做时，已从合作操作中被去除的电力管理设备11的系统管理单元1125从系统管理服务器33获取最新的固件并且将旧的固件更新为最新的固件。当完成了对固件的更新时，合作操作的其余电力管理设备11检查已完成更新的电力管理设备11的操作(步骤S4025、S4027)。

如果电力管理设备11操作正常，则处理进入到步骤S4029。同时，如果更新后的电力管理设备11操作不正常，则处理进入到步骤S4031。当处理进入到步骤S4029时，包括更新后的电力管理设备11的多个电力管理设备11的系统管理单元1125使更新后的电力管理设备11回到合作操作中(步骤S4029)，并且变更要更新的电力管理设备11。此时，检查是否针对所有N个电力管理设备11完成了更新(步骤S4033)，并且在N个设备的更新完成时，更新处理结束。

同时，当未针对所有N个电力管理设备11完成更新时，处理返回至步骤S4023并且对下一个要更新的电力管理设备11进行更新处理。这样，重复执行步骤S4023至步骤S4029中的处理，直到完成对所有N个电力管理设备11的更新。但是，当处理从步骤S4027进入步骤S4031时，进行更新取消处理(步骤S4031)，并且结束关于更新的一系列处理。

这里，将参考图75描述更新取消处理。

如图75所示，当开始更新取消处理时，更新后的电力管理设备11的系统管理单元1125将更新后的电力管理设备11的固件返回到更新前的状态(步骤S4041)。此后，合作操作的其余电力管理设备11的系统管理单元1125检查已返回至更新前的状态的电力管理设备11是否正常操作(步骤S4043、S4045)。

如果返回至更新前的状态的电力管理设备11正常操作，则处理进入到步骤S4047。同时，如果返回至更新前的状态的电力管理设备11操作不正常，则更新取消处理以此状态结束。当处理进入到步骤S4047时，包括返回至更新前的状态的电力管理设备11在内的多个电力管理设备11的系统管理单元1125将返回至更新前的状态的电力管理设备11返回到合作操作(步骤S4047)并且更新取消处理结束。

这样，在更新期间进行如下处理：使要更新的电力管理设备11脱离合作操作，并且在更新后确认操作正常时使电力管理设备11返回合作操作。如果更新失败，还执行如下处理：在电力管理设备返回至更新前状态后检查正常操作，并且如果确认了操作正常，则将电力管理设备11返回至合作控制。通过使用这种配置，能够进行更新而不影响合作操作的电力管理设备11并且保证电力管理设备11的安全操作。

(2)第二实施例

(2-1)第二实施例的概述

局部电力管理系统是向低能量社会转型的一个标志，但是目前，由于安装所需要的工作的原因，这样的系统仍有待变得普遍。这种情形意味着，将其它有吸引力的方面加入到系统安装和使用中以鼓励更多用户安装系统从而实现低能量社会很重要。这样的附加吸引力的一个示例为提供与局部电力管理系统链接的娱乐(例如游戏)。

目前在售的多数视频游戏是虚拟的。尽管有些游戏(例如关于历史事件或运动的游戏)使用真实人物和场所的名字和/或在游戏视频中使用实际片段，但是游戏自身还是与实际社会或现实生活没有联系。由于该原因，在下文描述的本发明第二实施例中，提出了现实生活的游戏，在该现实生活的游戏具有的故事情节中，游戏内容自身能够导致在单独的局部电力管理系统(例如，家庭系统)中降低能量使用。

另外，过去的游戏仅能够以诸如得分、在游戏中收集的项目以及打通的关数等的无形形式吸引用户以及提供满足和成就感。但是，利用诸如以下描述的与系统链接的娱乐，能够在实际的局部电力管理系统的操作中实现游戏中的有效博弈和策略。通过这样做，根据本实施例的与系统链接的娱乐具有能导致现实世界利益(诸如对电力的实际控制，降低电力消耗，有益于降低CO₂，以及从电力售卖中获利)的方面，并且同时具有切实的效果，从而用户能够获得现实世界的利益。

从以上应当看出，通过使用以下描述的与系统链接的娱乐，用户能够在进行生态友好的行为(例如降低电力消耗)时得到乐趣。

应当注意，尽管本实施例是应用于局部电力管理系统的示例，但是，还可以将本发明应用于任何具有切实效果的、与现实世界链接的游戏。

与系统链接的娱乐由电力管理设备11的服务提供单元118实现，该服务提供单元118操作用于被链接到电力管理设备11的各处理单元和在局部电力管理系统1之外存在的服务提供服务器31(游戏服务提供服务器)。此外，通过操作能够连接至电力管理设备11的受控制机器125，用户能够享受由游戏呈现的与系统链接的娱乐。

(2-2)服务提供单元的配置

首先，将参考图76和图77描述电力管理设备11的服务提供单元118的配置。图76和图77是用于说明电力管理设备的服务提供单元的配置的框图。

应当注意，假设根据本实施例的电力管理设备11包括根据本发明第一实施例的电力管理设备11的处理单元，并且能够实现与根据第一实施例的电力管理设备11相同的功能。

服务提供单元118例如由CPU、ROM、RAM等实现。如图76所示，服务提供单元118包括游戏服务提供单元1181和“其它服务”提供单元1182。

游戏服务提供单元1181例如由CPU、ROM、RAM等实现。游戏服务提供单元1181包括游戏控制单元1701、素材库1707和内容库1709。

游戏控制单元1701例如由CPU、ROM、RAM等实现。游戏控制单元1701是链接到素材库1707和游戏服务提供服务器31的处理单元并且进行游戏的基本设置，如游戏的背景故事和阶段。此外，当执行存储在内容库1709和/或游戏服务提供服务器31中的游戏程序时，游戏控制单元1701控制游戏程序的执行，以控制游戏如何进展。游戏控制单元1701包括现实世界构建单元1703和虚拟世界构建单元1705。

现实世界构建单元1703例如由CPU、ROM、RAM等实现。现实世界构建单元1703参照存储在电力管理设备11的存储单元113等中的数据库，并且构建集成有关于实际的局部电力管理系统1的信息的现实世界。

虚拟世界构建单元1705例如由CPU、ROM、RAM等实现。虚拟世界构建单元1705构建预先设置在内容程序中的虚拟世界。

游戏控制单元1701在将现实世界构建单元1703与虚拟世界构建单元1705彼此链接的同时，实现与系统链接的娱乐。

游戏控制单元1701能够访问电力管理设备11中的数据库，并且还具有对于电力管理设备11的控制执行路径。

由游戏控制单元1701控制的游戏在人物中包括另一局部电力管理系统1的成员，并且使得用户能够享受对战或者作为角色扮演游戏的成员远程操作游戏。应当注意，当允许其它系统的成员参与时，应当优选防止此类其它系统的成员访问本系统1的现实世界。

素材库1707是设置在游戏服务提供单元1181中的数据库。与游戏内容中出现的诸如虚拟家具、虚拟机器和人物的部分以及在游戏期间出现的项目等有关的信息被记录在素材库1707中。应当注意，素材库1707可存在于游戏服务提供服务器31中。

内容库1709是设置在游戏服务提供单元1181中的另一数据库。在内容库1709中存储能够由电力管理设备11执行的游戏内容的各种实际程序。

图77示出内容库1709中存储的游戏内容的一个示例。下面简要描述游戏内容的特定示例。

房间装饰(现实世界游戏)

该游戏具有以下构思：自房间的当前布局改变家具和家用机器的布局，搭配窗帘和地毯，购买新的家具和家用机器，以及争取生成具有最佳色彩和品位的内部设计。该游戏使得用户能够掌握机器所使用的总电量如何随着改变房间布局而变化，或者掌握当购买并设置了新的家用机器时电量发生什么变化。这里，提供能够显示具有现实世界属性(如制造商、设计和电力消耗)的项目的库。这样的库可以存储在游戏服务提供服务器31中。对于与现实世界链接的改进的项目，可以实施“结果应用模式”(在该模式中，游戏结果被应用于现实世界系统)。

送别电老虎(The Power Eaters)(现实世界+虚拟世界游戏)

该游戏显示当前房间中的当前电力使用并且关闭不需要的灯。该游戏还允许用户通过调整照明、音量等来争取降低电力和/或从售卖更多电力中获利。结果应用模式可针对该游戏的该部分实施。游戏还具有虚拟世界的概念，在该虚拟世界中，“电老虎”四处游走，将灯打开，而用户尽其最大可能争取打败该“电老虎”。

终极生活方式冒险队(现实世界+虚拟世界游戏)

该游戏由如下阶段组成：用户旨在使用实际家庭中存在的机器来实现终极低消耗生活方式的阶段，以及用户旨在使用虚拟家庭中的机器达到终极生活方式的阶段。

拯救地球！重现绿色大工程(虚拟世界游戏)

该游戏具有以下构思：用户争取从由CO₂排放引起的全球变暖危机中存活下来。用户装扮国家环境大臣的角色并通过各关，同时掌握国内公众意见并与其它国家谈判。这是智力游戏，该智力游戏能够使用现实世界的统计量和情形来实现关于环境的先进知识。

角色扮演游戏(现实世界+虚拟世界游戏)

该游戏具有仅将第一层与现实世界链接的阶段，而其它阶段提供匹配形式的虚拟环境(例如，花园、储藏室和密闭室)，然后在其中开展故事。在现实世界阶段中，能够对可以反映在电力状态上的游戏结果实施结果应用模式。

(2-3)链接到数据库

接下来，将参考图78描述与电力管理设备11的数据库的链接，在该数据库中存储表明现实世界的局部电力管理系统1的状态的各种信息。图78是用于说明与电力管理设备中的数据库的链接的示意图。

作为示例，以下示出的数据被存储在电力管理设备11中所存储的数据库中。

-受控制机器、电动交通工具、发电设备、电力储存设备、机器的蓄电池、受控制插座、插座扩展设备等的机器信息；

-关于上述设备的电力信息(使用/电力储存状态)和位置信息；

-注册的用户和访问权利；

-电费信息和账户信息；

-时间、天气、温度。

通过使用这些数据，游戏控制单元1701在游戏中再现现实世界。

通过布置这些机器，现实世界构建单元1703能够构想游戏场景的整体建筑平面图。例如，通过假设具有冰箱等表示就餐区域，具有个体计算机或灯表示个体房间，具有洗衣机表示浴室或洗手间区域，具有电动交通工具表示车库，并且具有灯表示走廊，可以构想建筑平面图。现实世界构建单元1703基于这样的假设确定建筑平面图，并且从素材库1707布置代表机器、家具等的项目。

现实世界构建单元1703基于注册的用户信息确定游戏人物。在现实世界中，实际机器和项目属性是链接的，使得可以显示这些机器并且在结果应用模式中进行诸如切断电源等动作。因此，当用户选择了显示屏幕等上布置的诸如机器图标的对象时，显示数据库中写入的、诸如所选机器的机器信息、电力信息等的各种信息。

由于当游戏中仅使用现实世界时游戏场景会受限，所以虚拟世界构建单元1703将游戏内容中预先设置的虚拟世界加入到基于现实世界设置的游戏场景中，以配置更多游戏场景(故事背景)。

在图78中，示出在显示器件的显示区域中显示现实世界的状态。用户能够在操作主要角色时享受该阶段上的游戏。

(2-4)与系统链接的娱乐的安全性

接下来，将参考图79描述与系统链接的娱乐的安全性。图79是用于说明与系统链接的娱乐的安全性的示意图。

在执行本游戏的系统中，优选注意关于安全性的以下三点：

(1)由于电力管理设备上的游戏接受匿名第三方参加，或者来自使用这些连接的恶意第三方的攻击，所以存在电力管理设备损坏的风险、对结果应用模式的控制权受到损害的风险、电力管理设备中的保密信息泄露的风险等。

(2)从恶意的第三方机器执行电力管理设备上的游戏并且实施有害行为。

(3)电力管理设备和与售卖电力相关的服务提供服务器(电力销售管理服务器)之间的保密信息(账户/收费信息等)泄露。

安全风险1

首先，当电力管理设备上的游戏接受的匿名第三方参与时，该游戏被设计成将该参与限制于仅由虚拟世界构成的阶段，从而防止从游戏中泄露电力管理设备中的保密信息。

接下来，为了阻止来自恶意第三方的攻击，必需防止第三方自由控制电力管理设备。为此，通过将病毒移除软件安装至电力管理设备中，来检测和/或移除第三方攻击。通过使用电子水印来防止电力管理设备被接管以及通过使用分析服务器34来根据执行历史检测可疑的重复攻击等并防止执行和/或切断连接，可进一步提供保护免受攻击。

安全风险2

机器和玩家检查成员是否为允许玩该游戏的合法成员。即使该成员是合法成员，但是由于小孩优选不参与诸如售电等行为，所以访问游戏自身被分成多个级别并且进行成员是否具有访问权利和/或能够实施结果应用模式的设置。当允许其它用户玩游戏时，则进行控制以防止故事使用现实世界信息。

因此，在电力管理设备中预先设置机器和用户，指定访问级别，并且对于机器和用户两者实施认证。该认证能够使用与第一实施例中示出的使用公开密钥或公共密钥或者两者的方法相同的方案。优选还在游戏中包括用于以指定间隔实施认证的配置。优选还在没有访问权限的用户使用该游戏时防止数据库被访问。

安全风险3

优选在售卖电力期间而不是仅仅对于本游戏实施安全措施。如果由局部电力管理系统1通过因特网进行的服务认证起作用，则这应该不成问题。

(2-5)与系统链接的娱乐的流程

接下来，将参考图80至图81B描述由根据本实施例的电力管理设备11提供的与系统链接的娱乐的流程。图80至图81B是用于说明与系统链接的娱乐的流程的流程图。注意，图80至图81B用于说明作为与系统链接的娱乐的一个示例的游戏。

注意，在以下说明开始之前，假设希望玩与局部电力管理系统1链接的游戏的用户通过操作显示终端(例如，诸如电视机的显示机器，或者诸如移动电话或移动游戏控制台的便携式机器)玩该游戏，该显示终端具有显示屏并且能够连接至电力管理设备11。用户用以玩游戏的机器也可以是电力管理设备11自身。

首先，将参考图80描述总体流程。

首先，用户接通显示终端125的电力以激活终端自身(步骤S5001)。在激活终端后，用户选择诸如用于启动游戏的图标的对象，从而请求电力管理设备11启动游戏。

接收到请求的电力管理设备11实施如下处理：对显示终端进行认证，以判断请求启动游戏的显示终端是否是由电力管理设备11自身管理的被管理机器(步骤S5003)。此外，如图81A和图81B具体所示，由于提供给用户的游戏的功能根据显示终端是否为被管理机器而不同，所以电力管理设备11检查设置信息(步骤S5005)并且确认能提供哪些功能。此后，电力管理设备11启动游戏程序(步骤S5007)并且将必要数据类型发送至显示终端。

显示终端接收从电力管理设备11发送的数据类型并且将游戏的初始画面显示在显示终端125的显示屏幕上(步骤S5009)。用户选择诸如代表游戏并且显示在初始画面上的图标的对象(步骤S5011)，以指定用户希望玩的游戏内容。这里，显示屏幕上显示的游戏是存储在内容库1709等中的游戏之中准许用户执行的游戏。

用户操作显示终端125的输入设备(鼠标、键盘、触摸板等)以开始游戏(步骤S5013)。根据显示终端上的游戏进展，电力管理设备11载入各数据、准备数据和/或存储游戏内容(步骤S5015)。

存在以下情况：在游戏期间的任意时间，用户请求开始结果应用模式，在该结果应用模式中，游戏结果被应用于实际系统(步骤S5017)。接收到请求的电力管理设备11检查是否可由发出对于结果应用模式的开始请求的用户执行结果应用模式(步骤S5019)。在检查设置信息等以检查用户的访问权和执行权从而确认执行风险后(步骤S5020)，电力管理设备11向显示终端呈现结果应用模式之中可执行动作的范围(步骤S5021)。

在显示终端处，在显示屏幕上显示从电力管理设备11呈现的内容并邀请用户选择执行内容(步骤S5023)。显示终端将用户的选择的内容通知给电力管理设备11。

根据用户的选择结果，电力管理设备11向配电设备发出针对该选择结果的适当执行指令(步骤S5025)。电力管理设备11更新日志信息(步骤S5027)并且通知用户结果应用模式的执行已结束(步骤S5029)。

接下来，将参考图81A和图81B描述与系统链接的娱乐的具体流程。

如前所述，用户操作执行游戏的机器以开始游戏，电力管理设备11的游戏服务提供单元1181等待从显示终端发送关于游戏的开始请求(步骤S5031)。

当从显示终端发送了游戏开始请求时，电力管理设备11实施对于发送了游戏开始请求的显示终端的机器认证(步骤S5033)。通过这样做，电力管理设备11能够检查已请求游戏开始的显示终端是否是由电力管理设备11自身管理的被管理机器(步骤S5035)。

当显示终端不是被管理机器时，电力管理设备11的游戏服务提供单元1181检查是否允许电力管理设备11的用户开始游戏(步骤S5037)，并且如果不允许电力管理设备11的用户执行游戏，则处理结束。当允许电力管理设备11的用户执行游戏时，电力管理设备11的游戏服务提供单元1181实施如下所述的步骤S5039。

同时，如果显示终端是被管理机器，或者不是被管理机器但是已从电力管理设备11的用户获得允许来执行游戏，则电力管理设备11的游戏服务提供单元1181进行用户认证(步骤S5039)。

如果电力管理设备11的游戏服务提供单元1181已确认用户是电力管理设备11中注册的成员，则根据用户的控制权的级别设置游戏的访问级别和结果应用模式的控制级别(步骤S5041)。

接下来，电力管理设备11的游戏服务提供单元1181启动游戏的主程序(步骤S5043)并且使游戏的初始显示显示在用户所使用的显示终端上。

一旦显示终端的用户选择了用户希望玩的游戏内容，则选择结果被发送至电力管理设备11，使得电力管理设备11的游戏服务提供单元1181能够指定选择的游戏内容(步骤S5045)。

电力管理设备11的游戏服务提供单元1181检查指定的内容是否能够由显示终端的用户访问以及结果应用模式是否能够实施(步骤S5047)。

当游戏用户不具有访问权或者不具有实施结果应用模式的授权时，电力管理设备11的游戏服务提供单元1181进行设置，使得在游戏被激活时不可访问数据库和实施结果应用模式(步骤S5049)。

当游戏用户具有访问权并且能够实施结果应用模式时，电力管理设备11访问数据库并且收集被管理机器的机器信息和电力信息(步骤S5051)。

游戏服务提供单元1181的游戏控制单元1701使用步骤S5051中收集的各种信息来构建诸如游戏的故事背景的基本设置(步骤S5053)。当结束对基本设置的构建时，游戏控制单元1701基于所设置的故事背景对选择的游戏内容进行执行控制(步骤S5055)。在此发生时，电力管理设备11和显示终端进行交互式通信，使得电力管理设备11在终端的显示器上显示游戏画面并且从显示终端发送用户所输入的信息。此外，在该时间期间，电力管理设备11的游戏控制单元1701判断是否进行了请求结束游戏、中断游戏等的处理(步骤S5057)。

在用户选择了诸如结束游戏、中断游戏等的状态后，如果游戏是可激活结果应用模式的内容，则电力管理设备11的游戏服务提供单元1181检查用户是否希望切换到结果应用模式(步骤S5059)。

如果用户选择不切换到结果应用模式，则电力管理设备11的游戏服务提供单元1181检查是否保存游戏内容并且结束游戏程序。

此外，当切换到结果应用模式时，电力管理设备11的游戏服务提供单元1181确认用户是否具有结果应用模式的执行权(步骤S5061)。如果用户不具有结果应用模式的执行权，则电力管理设备11的游戏服务提供单元1181结束游戏程序。

当用户具有结果应用模式的执行权时，电力管理设备11的游戏服务提供单元1181基于游戏从激活到当前点的内容提取能够对实际机器实施的控制(步骤S5063)，并且向用户显示列表。

在显示列表之前，电力管理设备11的游戏服务提供单元1181应当优选实施风险检查。更具体地，游戏服务提供单元1181应当询问分析服务器34，以基于可控制的内容及其历史检查所述控制是否可疑，并且从上述提取的列表中删除可疑控制。通过这样做，除关于网络攻击等的风险之外，可以检查与关断优选具有不中断连接的机器(例如家用机器，如冰箱)的电源的命令有关的风险。

游戏用户从显示终端的显示屏幕上显示的列表中选择用户希望实施的项目，诸如“关闭机器A”。选择结果被发送到电力管理设备11并且电力管理设备11能够指定该项目内容(步骤S5065)。

此后，根据用户的选择结果，电力管理设备11根据该选择结果向配电设备121、受控制插座123、受控制机器125等发出执行指令(步骤S5067)。电力管理设备11更新日志信息(步骤S5069)并且检查所有控制是否均已执行(步骤S5071)。

电力管理设备11从命令目标机器接收执行结束，并且如果所有控制均已执行，则向用户显示结束消息(步骤S5073)。电力管理设备11检查游戏是否要结束或者继续(步骤S5075)，并且在游戏继续时返回步骤S5055。同时，在游戏要结束时，电力管理设备11结束游戏。

通过根据上述流程进行处理，电力管理设备能够向用户提供诸如游戏的与局部电力管理系统链接的娱乐。结果，由于局部电力管理系统的有吸引力的应用，与系统链接的娱乐能够实际对电力和CO₂的减少作出贡献。

硬件配置

接下来，将参考图82具体描述根据本发明实施例的电力管理设备11的硬件配置。图82是用于说明根据本发明实施例的电力管理设备11的硬件配置的框图。

电力管理设备11主要包括CPU 901、ROM 903以及RAM 905。此外，电力管理设备11还包括主机总线907、桥909、外部总线911、接口913、输入器件915、输出器件917、存储器件919、驱动器921、连接端口923以及通信器件925。

CPU 901用作运算处理设备和控制器件，并且根据记录在ROM 903、RAM 905、存储设备919或可拆卸记录介质927中的各种程序控制电力管理设备11的全部操作或部分操作。ROM 903存储由CPU 901使用的程序、操作参数等。RAM 905主要存储在CPU 901的执行中使用的程序以及在该执行期间适当地变化的参数等。这些器件经由主机总线907相互连接，其中，主机总线907由诸如CPU总线等的内部总线构成。

主机总线907经由桥909连接到诸如PCI(外围组件互联)总线的外部总线911。

输入器件915是由用户操作的操作装置，诸如鼠标、键盘、触摸板、按钮、开关以及操纵杆。另外，输入器件915可以是使用例如红外线或其它无线电波的遥控装置(所谓的遥控)，或者可以是符合电力管理设备11的操作的诸如移动电话或PDA(个人数字助理)的外部连接器件929。此外，输入器件915基于例如由用户利用以上操作装置输入的信息，生成输入信号，并且由用于将该输入信号输出到CPU 901的输入控制电路构成。电力管理设备11的用户通过操作该输入器件915，可以将各种数据输入到电力管理设备11，并且可以指示电力管理设备11执行处理。

输出器件917由能够在视觉上或听觉上向用户通知所获取的信息的器件构成。这样的器件的示例包括诸如CRT(阴极射线管)显示器件、液晶显示器件、等离子显示器件、EL(电致发光)显示器件以及灯的显示器件、诸如扬声器和头戴耳机的音频输出器件、打印机、移动电话、传真机等。例如，输出器件917输出通过由电力管理设备11执行的各种处理获得的结果。更具体地，显示器件以文本或图像的形式显示通过由电力管理设备11执行的各种处理获得的结果。另一方面，音频输出器件将诸如所再现的音频数据和声音数据的音频信号转换成模拟信号，并且输出该模拟信号。

存储器件919是用于存储数据的器件，其被配置为电力管理设备11的存储单元的示例，并且用来存储数据。存储器件919例如由诸如HDD(硬盘驱动器)的磁存储器件、半导体存储器件、光存储器件或磁光存储器件构成。该存储器件919存储要由CPU 901执行的程序、各种数据以及从外部获得的各种数据。

驱动器921是用于记录介质的读写器，并且被嵌入在电力管理设备11中或外部附加到其上。驱动器921读取记录在诸如磁盘、光盘、磁光盘或半导体存储器的附加的可拆卸记录介质927中的信息，并且将所读取的信息输出到RAM 905。此外，驱动器921可以在诸如磁盘、光盘、磁光盘或半导体存储器的附加的可拆卸记录介质927中写入。可拆卸记录介质927是例如DVD(数字多功能盘)介质、HD-DVD(硬盘-数字多功能盘)介质或蓝光介质。可拆卸记录介质927可以是紧凑型闪存(CF；注册商标)、闪存、SD存储卡(安全数码存储卡)等。可替选地，可拆卸记录介质927可以是例如配备有非接触式IC(集成电路)芯片的IC卡(集成电路卡)或电子电器。

连接端口923是用于允许器件直接连接到电力管理设备11的端口。连接端口923的示例包括USB(通用串行总线)端口、IEEE(电气和电子工程师协会)1394端口、SCSI(小型计算机系统接口)端口等。连接端口923的其它示例包括RS-232C端口、光音频端子、HDMI(高清多媒体接口)端口等。通过连接到该连接端口923的外部连接器件929，电力管理设备11从外部连接设备929直接得到各种数据，并且将各种数据提供到外部连接设备929。

通信器件925是由例如用于连接到通信网931的通信器件构成的通信接口。通信器件925是例如有线或无线LAN(局域网)、蓝牙(注册商标)、用于WUSB(无线USB)的通信卡等。可替选地，通信器件925可以是用于光通信的路由器、用于ADSL(非对称数字用户线)的路由器、用于各种通信的调制解调器等。该通信器件925例如可以在因特网上和与其它通信器件、根据诸如TCP/IP(传输控制协议/网际协议)的预订协议来发送和接收信号等。连接到通信器件925的通信网931由经由有线或无线连接的网络等构成，并且可以是例如因特网、家庭LAN、红外通信、无线电波通信、卫星通信等。

至此，示出了能够实现根据本发明的实施例的电力管理设备11的功能的硬件配置的示例。可使用通用材料配置上述每个结构元件，或者其可由每个结构元件的功能专用的硬件构成。因此，可以根据实施本实施例时的技术水平适当地改变要使用的硬件配置。

由于根据本发明的实施例的受控制机器125和分析服务器34的硬件配置与根据本发明的实施例的电力管理设备11的配置相同，因此省略其详细描述。

虽然参照附图详细描述了本发明的优选实施例，但是本发明不限于以上示例。本领域的技术人员应该理解，在所附权利要求或其等同方案的范围内，根据设计需要和其它因素，可进行各种修改、组合、子组合以及变更。

本申请包含与2010年1月25日向日本专利局提交的日本优先权专利申请JP 2010-013674中公开的主题内容相关的主题内容，在此通过引用将其全文合并于此。

Claims (8)

1.一种电子水印生成设备，包括：

机器特征信息生成单元，其通过使用由测量电子机器的特性的传感器获取的物理数据，生成表征所述电子机器的机器特征信息；

电子水印生成单元，其对于所述机器特征信息，生成用于检测信息是否已被篡改的电子水印信息；

嵌入位置确定单元，其分析所述机器特征信息，并且确定所述电子水印信息在所述机器特征信息中的嵌入位置；以及

电子水印嵌入单元，其将由所述电子水印生成单元生成的所述电子水印信息嵌入由所述嵌入位置确定单元确定的所述机器特征信息上的位置中，

其中，所述嵌入位置确定单元将所述机器特征信息中噪声高的位置、信噪比高的位置以及高频域中的任一个确定为要嵌入所述电子水印信息的位置。

2.根据权利要求1所述的电子水印生成设备，其中，所述电子水印生成单元通过使用所述物理数据、时间信息以及与验证所述电子水印的验证设备共享的共享信息中的至少任一个，生成所述电子水印信息。

3.根据权利要求2所述的电子水印生成设备，

其中，将嵌入有所述电子水印信息的所述机器特征信息经由位于所述电子水印生成设备与所述验证设备之间的中继设备发送至所述验证设备，

其中，所述电子水印生成单元通过至少使用所述时间信息来生成所述电子水印信息，并且

其中，所述电子水印生成设备定期地将嵌入有所述电子水印信息的所述机器特征信息发送至所述验证设备。

4.一种电子水印验证设备，包括：

嵌入位置指定单元，其分析机器特征信息，并且指定电子水印信息的嵌入位置，其中，所述机器特征信息嵌入有用于检测信息是否已被篡改的所述电子水印信息，并且所述机器特征信息是通过使用由测量电子机器的特性的传感器获取的物理数据来生成的；

电子水印提取单元，其从嵌入有所述电子水印信息的所述机器特征信息中由所述嵌入位置指定单元指定的位置提取所述电子水印信息；以及

电子水印验证单元，其验证由所述电子水印提取单元提取的所述电子水印信息，

其中，所述嵌入位置指定单元将所述机器特征信息中噪声高的位置、信噪比高的位置以及高频域中的任一个指定为嵌入有所述电子水印信息的位置。

5.根据权利要求4所述的电子水印验证设备，

其中，所述电子水印信息是通过使用所述物理数据、时间信息以及与生成所述电子水印的生成设备共享的共享信息中的至少任一个来生成的，并且与所述生成设备共享用于生成所述电子水印信息的信息的类型，并且

其中，所述电子水印验证单元：

基于与所述生成设备共享的用于生成所述电子水印信息的信息的类型，生成所述电子水印信息，并且

通过将由所述电子水印提取单元提取的所述电子水印信息与已生成的所述电子水印信息进行比较，来执行所述电子水印信息的生成。

6.根据权利要求5所述的电子水印验证设备，

其中，经由位于所述电子水印验证设备与所述生成设备之间的中继设备，从所述生成设备发送嵌入有所述电子水印信息的所述机器特征信息，

其中，通过至少使用所述时间信息来生成所述电子水印信息，并且

其中，所述电子水印验证单元基于所述电子水印信息的验证是否成功，检测在所述中继设备中发生的异常。

7.一种生成电子水印的方法，包括以下步骤：

通过使用由测量电子机器的特性的传感器获取的物理数据，生成表征所述电子机器的机器特征信息；

对于所述机器特征信息，生成用于检测信息是否已被篡改的电子水印信息；

分析所述机器特征信息，并且确定所述电子水印信息在所述机器特征信息中的嵌入位置；以及

将在所述生成电子水印信息步骤中生成的所述电子水印信息嵌入在所述分析和确定步骤中确定的所述机器特征信息上的位置中，

其中，在所述分析和确定步骤中，将所述机器特征信息中噪声高的位置、信噪比高的位置以及高频域中的任一个确定为要嵌入所述电子水印信息的位置。

8.一种验证电子水印的方法，包括以下步骤：

分析机器特征信息，并且指定电子水印信息的嵌入位置，其中，所述机器特征信息嵌入有用于检测信息是否已被篡改的所述电子水印信息，并且所述机器特征信息是通过使用由测量电子机器的特性的传感器获取的物理数据来生成的；

从嵌入有所述电子水印信息的所述机器特征信息中在所述分析和指定步骤中指定的位置提取所述电子水印信息；以及

验证在所述提取步骤中提取的所述电子水印信息，

其中，在所述分析和指定步骤中，将所述机器特征信息中噪声高的位置、信噪比高的位置以及高频域中的任一个指定为嵌入有所述电子水印信息的位置。

Images