CN102148821A - 电力管理装置、电子设备以及注册电子设备的方法 - Google Patents

Abstract

公开了一种电力管理装置、电子设备以及注册电子设备的方法。电力管理装置包括：被管理设备注册单元，其对连接到电力网络的电子设备执行认证，并且将认证成功的电子设备注册为被管理设备；以及控制单元，其控制被管理设备的操作以及对被管理设备的电力供给。在把已经注册在另一个电力管理装置中的电子设备连接到电力网络时，从该电子设备获得数字签名和对于该另一个电力管理装置唯一的标识信息，该数字签名被该另一个电力管理装置分配给对于该电子设备唯一的标识信息，在由该另一个电力管理装置分配的数字签名的验证成功时，临时注册在该另一个电力管理装置中注册的该电子设备。

Description

电力管理装置、电子设备以及注册电子设备的方法

技术领域

本发明涉及电力管理装置、电子设备和注册电子设备的方法。

背景技术

近年来，被称为智能电网的技术一直受到关注。智能电网是通过与传输网一起构建具有通信信道的新传输网并且使用该智能传输网来实现高效的电力使用的技术框架。智能电网的背景思想是实现电力使用量的有效管理，当意外事件发生时迅速处理这种意外事件，远程控制电力使用量，使用电力公司控制之外的发电设施的分布式发电，或者电动交通工具的充电管理。特别地，由普通家庭或除电力公司之外的操作者使用可再生能源对室内发电站的高效利用以及通常包括电动汽车的多种电动交通工具的充电管理已经引起高度关注。顺便提及，可再生能源是在不使用矿物燃料的情况下生成的能源。

由普通家庭或除电力公司之外的操作者生成的电力由发电操作者使用。发电操作者使用之后剩余的电力目前由电力公司购买。然而，购买由电力公司控制之外的发电设施提供的电力对于电力公司来说是很重的负担。例如，由光电发电设施提供的电力量取决于天气。而且，由普通家庭的室内发电站提供的电力量取决于逐日较大地改变的普通家庭的电力使用。从而，对于电力公司来说，难以从电力公司控制之外的发电设施接收稳定电力供应。由于以上原因，电力公司在未来购买电力可能变得困难。

从而，在将由电力公司控制之外的发电设施生成电力临时存储在蓄电池中之后使用该电力的家庭蓄电池计划(home battery initiative)近来已经引起关注。例如，考虑通过将由光电发电设施生成的电力存储在蓄电池中并且补偿在夜晚或者当天气不好时的缺乏来使用这种电力的方法。而且，考虑根据电池存储量限制从电力公司接收的电力量，或者通过将电力公司在电费较低的夜晚提供的电力存储在蓄电池中而在电费较高的白天使用存储在蓄电池中的电力的方法。而且，蓄电池能够将电力存储为DC，这使得在传输期间无需DC/AC转换或AC/DC转换，从而可以减少转换过程中的损失。

从而，关于电力管理的多种期望相互混合在智能电网计划中。为了实现这种电力管理，智能电网计划的前提是除传输网之外还要具有通信信道。也就是说，假设通过使用该智能传输网来交换关于电力管理的信息(例如，参见JP-A-2002-354560)。然而，在已经建造了通信基础设施的区域中，可以不使用传输网作为通信信道，而是通过使用由所部署的通信基础设施构建的网络来交换关于电力管理的信息。也就是说，在智能电网计划中，重要的是如何有效地管理未被统一管理的发电设施和存储设施。

发明内容

然而，在实际生活中存在各种情况，例如当用户把电子设备带出家以在家外的某个位置使用时，某个电子设备由于用户的移动而移动到不同位置。相应地，对于例如前面描述的智能网格概念，可能存在这样的情况：期望把已经由某个装置进行电力管理的电子设备临时连接到管理电力的不同装置。

然而，尚未提出用于把已经由某个装置进行电力管理的电子设备临时注册到另一装置中的方案。

本发明是考虑到上述问题而构思的，并且目标是提供一种电力管理装置、电子设备和注册电子设备的方法，其能够把已经由某个装置进行电力管理的电子设备临时注册在另一装置中。

根据本发明一个实施例，提供一种电力管理装置，包括：被管理设备注册单元，其对连接到电力网络的电子设备执行认证，并且将认证成功的电子设备注册为被管理设备，以及控制单元，其控制被管理设备的操作以及对被管理设备的电力供给。被管理设备注册单元能够进行操作以在把已经注册在另一个电力管理装置中的电子设备连接到电力网络时，从该电子设备获取数字签名和对于另一个电力管理装置唯一的标识信息，该数字签名被该另一个电力管理装置分配给对于该电子设备唯一的标识信息，并且被管理设备注册单元能够进行操作以在由该另一个电力管理装置分配的数字签名的验证成功时，临时注册在该另一个电力管理装置中注册的该电子设备。

电力管理装置还可以包括：电力使用证书管理单元，其管理由注册在该另一个电力管理装置中的该电子设备生成的、并且证实已经接收到从该电子设备临时注册的该电力管理装置提供的电力的电力使用证书。电力使用证书管理单元可以能够进行操作以在控制单元已经向该临时注册的电子设备提供电力时，从该临时注册的电子设备获取电力使用证书，并且可以向所获取的电力使用证书分配数字签名，然后把分配了该数字签名的电力使用证书发送给为电力使用计费的外部服务器。

电力使用证书管理单元可以能够进行操作以在该电力管理装置已经接收到从该电子设备提供的电力时，针对所接收到的提供的电力来自于的电子设备生成电力使用证书，该电力使用证书证实从该电子设备接收所提供的电力。

根据本发明另一个实施例，提供一种电子设备，包括：存储单元，其存储对于该电子设备唯一的标识信息和已经由指定证书机构认证的数字签名；以及认证处理单元，其使用存储单元中存储的数字签名与管理对电子设备的电力提供的电力管理装置执行认证处理，并且在该电力管理装置中注册该电子设备。认证处理单元能够进行操作以在该电子设备已经被注册在该电力管理装置中时，从已经注册了该电子设备的该电力管理装置获取对于该电力管理装置唯一的标识信息和该电力管理装置已经分配给对于该电子设备唯一的标识信息的数字签名。

认证处理单元可以能够进行操作以在向除已经注册了该电子设备的该电力管理装置之外的电力管理装置请求临时注册时，把从已注册了该电子设备的该电力管理装置获取的数字签名发送给已被请求临时注册的电力管理装置。

电子设备还可以包括控制单元，其能够进行操作以在从已临时注册了该电子设备的电力管理装置接收所提供的电力时，生成电力使用证书，其证实从临时注册了该电子设备的该电力管理装置接收所提供的电力。

根据本发明另一个实施例，提供一种注册电子设备的方法，包括步骤：对连接到电力网络的电子设备执行认证，以及将认证成功的电子设备注册为被管理设备。执行认证的步骤使用由电子设备存储并且已经由指定证书机构认证的数字签名，能够进行操作以在电子设备已经被注册在电力管理装置中时，从该电力管理装置向该电子设备发送对于该电力管理装置唯一的标识信息和该电力管理装置已经分配给对于该电子设备唯一的标识信息的数字签名，能够进行操作以在把已经被注册在另一个电力管理装置中的电子设备连接到电力网络时，从该电子设备获取该另一个电力管理装置已经分配给对于该电子设备唯一的标识信息的数字签名和对于该另一个电力管理装置唯一的标识信息，并且能够进行操作以在由该另一个电力管理装置分配的数字签名的验证成功时，临时注册在该另一个电力管理装置中注册的该电子设备。

根据前面描述的本发明实施例，可以把已经由某个电力管理装置进行电力管理的电子设备临时注册在另一电力管理装置中。

附图说明

图1是用于说明根据本发明的实施例的电力管理系统的概况的图；

图2是用于说明被管理块的整体配置的图；

图3是用于说明局部电力管理系统中的通信网络的图；

图4是用于说明以电力管理装置为中心的系统配置的图；

图5是用于说明外部服务器的具体示例的图；

图6是用于说明系统管理服务器的一个功能的图；

图7是用于说明根据本发明的实施例的电力管理装置的功能配置的图；

图8是用于说明信息管理单元的详细功能配置的图；

图9是用于说明信息管理单元的详细功能配置的表格；

图10是用于说明显示在显示单元上的内容的图；

图11是用于说明显示在显示单元上的内容的图；

图12是用于说明显示在显示单元上的内容的图；

图13是用于说明显示在显示单元上的内容的图；

图14是用于说明电力消费的时间序列模式的图表；

图15是用于说明电力消费的时间序列模式的图表；

图16是用于说明隐藏电力消费模式的方法的图；

图17是用于说明隐藏电力消费模式的方法的图；

图18是用于说明隐藏电力消费模式的方法的图；

图19是用于说明由电力管理装置执行的多种控制的图；

图20是用于说明由电力管理装置管理的多种信息的图；

图21是示出根据插座的类型和所连接设备的类型的通信装置、认证装置以及对供电的控制的组合的表格；

图22是示出设备管理单元的配置的框图；

图23是示出被管理设备注册单元的配置的框图；

图24是示出信息篡改检测单元的配置的框图；

图25是示出信息分析单元的配置的框图；

图26是示出可控制设备的配置的框图；

图27是示出可控制设备的控制单元的配置的框图；

图28是示出可控制设备的控制单元的配置的框图；

图29是示出篡改检测信息生成单元的配置的框图；

图30是示出电力存储装置的配置的框图；

图31是示出电力存储装置的控制单元的配置的框图；

图32是示出电力存储装置的控制单元的配置的框图；

图33是示出篡改检测信息生成单元的配置的框图；

图34是用于说明注册电力管理装置的方法的流程图；

图35是用于说明注册电力管理装置的方法的具体示例的流程图；

图36是用于说明注册可控制设备的方法的流程图；

图37是用于说明注册可控制设备的方法的具体示例的流程图；

图38是用于说明注册可控制设备的方法的具体示例的流程图；

图39是用于说明注册可控制插座的方法的流程图；

图40是用于说明已经被临时注册的可控制设备的记账处理的图；

图41是用于说明已经被临时注册的可控制设备的记账处理的流程图；

图42是用于说明对注册可控制设备的方法的修改的图；

图43是用于说明对注册可控制设备的方法的修改的图；

图44是用于说明对注册可控制设备的方法的修改的图；

图45是用于说明对注册可控制设备的方法的修改的图；

图46是用于说明对注册可控制设备的方法的修改的图；

图47是用于说明对注册可控制设备的方法的修改的图；

图48是用于说明对注册可控制设备的方法的修改的图；

图49是用于说明电力管理装置对于发生了异常的被管理设备的操作的流程图；

图50是用于说明电力管理装置对于发生了异常的被管理设备的操作的流程图；

图51是用于说明电力管理装置对于发生了异常的被管理设备的操作的流程图；

图52是用于说明电力管理装置对于发生了异常的被管理设备的操作的流程图；

图53是用于说明当在电力状态中发生异常时，电力管理装置的操作的流程图；

图54是用于说明当在电力状态中发生异常时，电力管理装置的操作的流程图；

图55是用于说明嵌入电子水印信息的方法的流程图；

图56是用于说明验证电子水印信息的方法的流程图；

图57是用于说明嵌入电子水印信息的方法的流程图；

图58是用于说明验证电子水印信息的方法的流程图；

图59是用于说明分析服务器的配置的框图；

图60是示出分析服务器的信息篡改检测单元的配置的框图；

图61是示出分析服务器的第一验证单元的配置的框图；

图62是示出分析服务器的第二验证单元的配置的框图；

图63是用于说明待排除蓄电池的图；

图64是用于说明保护电力管理装置免受非法攻击的方法的流程图；

图65是用于说明排除蓄电池的方法的流程图；

图66A是用于说明通过分析服务器的获取数据验证单元进行验证的方法的流程图；

图66B是用于说明通过分析服务器的获取数据验证单元进行验证的方法的流程图；

图67是用于说明第一验证单元的验证处理的流程图；

图68是用于说明由数据库管理单元进行的测试处理的流程图；

图69是用于说明由数据库管理单元更新数据库并且生成判断词典的图；

图70是用于说明由病毒定义文件管理单元管理病毒定义文件的方法的流程图；

图71A是用于说明由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71B是用于说明由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71C是用于说明由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图72是用于说明由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图73是用于说明多个电力管理装置的操作流程的图；

图74是用于说明多个电力管理装置的操作流程的图；

图75是用于说明多个电力管理装置的操作流程的图；

图76是用于说明电力管理装置的服务提供单元的配置的框图；

图77是用于说明电力管理装置的服务提供单元的配置的框图；

图78是用于说明到电力管理装置中的数据库的链接的图；

图79是用于说明关于链接系统的娱乐的安全性的图；

图80是用于说明链接系统的娱乐的流程的流程图；

图81A是用于说明链接系统的娱乐的流程的流程图；

图81B是用于说明链接系统的娱乐的流程的流程图；以及

图82是用于说明根据本发明的实施例的电力管理装置的硬件配置的框图。

具体实施方式

此后，将参考附图详细地描述本发明的优选实施例。注意，在本说明书和所附附图中，用相同附图标记表示具有基本相同功能和结构的结构元件，并且省略这些结构元件的重复说明。

按以下指出的顺序给出以下描述。

(1)第一实施例

(1-1)电力管理装置的概述

(1-2)电力管理装置的配置

(1-3)由显示单元显示的内容

(1-4)隐藏电力消费模式

(1-5)由电力管理装置进行的多种控制

(1-6)设备管理单元的配置

(1-7)信息分析单元的配置

(1-8)可控制设备的配置

(1-9)电力存储装置的配置

(1-10)电子水印信息的嵌入方法和验证方法的具体示例

(1-11)注册电力管理装置的方法

(1-12)注册可控制设备的方法

(1-13)注册可控制插座的方法

(1-14)针对临时注册的可控制设备的记账处理

(1-15)对注册可控制设备的方法的修改

(1-16)在发生异常的情况下电力管理装置对被管理设备的操作

(1-17)当在电力状态中发生异常时电力管理装置的操作

(1-18)电子水印信息的嵌入方法和验证方法的流程

(1-19)分析服务器的作用

(1-20)分析服务器的配置

(1-21)指定待排除的蓄电池的处理

(1-22)保护电力管理装置免受非法攻击的方法

(1-23)排除蓄电池的方法

(1-24)由获取数据验证单元执行的验证处理

(1-25)由第一验证单元进行的验证处理的流程

(1-26)由数据库管理单元进行的测试处理

(1-27)数据库的更新和判断词典的生成

(1-28)管理病毒定义文件的方法

(1-29)指定待排除蓄电池的方法的流程

(1-30)当存在多个电力管理装置时的处理

(2)第二实施例

(2-1)第二实施例的概况

(2-2)服务提供单元的配置

(2-3)到数据库的链接

(2-4)对于链接系统的娱乐的安全性

(2-5)链接系统的娱乐的流程

(3)根据本发明的实施例的电力管理装置的硬件配置

第一实施例

(1-1)电力管理装置的概述

首先，描述根据本发明的第一实施例的电力管理装置的概况。

图1示出根据本实施例的电力管理系统的总体图。

如图1所示，根据本实施例的电力管理系统包括：局部电力管理系统1、广域网2、外部服务器3、电力信息收集装置4、电力供应者系统5、终端设备6、以及电力交易系统7。而且，局部电力管理系统1、外部服务器3、电力信息收集装置4、电力供应者系统5、终端设备6、以及电力交易系统7连接至广域网2，从而相互之间能够交换信息。

另外，在本说明书中，使用措辞“局部”和“广域”。“局部”表示由在不使用广域网2的情况下能够通信的多个元件形成的小组。换句话说，“广域”表示包括经由广域网2通信的多个元件的大组。而且，由设置在局部电力管理系统1内的多个元件构成的小组可以由措辞“局部”来特别地表达。换句话说，图1中所示的整个电力管理系统可以由措辞“广域”来表达。

现在，上述电力管理系统试图(如同通过上述智能电网计划)提高电力使用效率，以及适当地管理对电力进行操作的多种设备、存储电力的电力存储装置、生成电力的发电装置、从电源提供电力的供电装置等。该电力管理系统中的电力管理的目标是设置在局部电力管理系统1中的设备、电力存储装置、发电装置、供电装置等。另外，被称为HEMS(家用能量管理系统)或BEMS(建筑物能量管理系统)的智能电网计划中的系统是局部电力管理系统1的示例。

如图1所示，局部电力管理系统1包括电力管理装置11以及被管理块12。电力管理装置11充当管理设置在局部电力管理系统1中的设备、电力存储装置、发电装置、供电装置等的角色。例如，电力管理装置11允许或禁止给每个设备供电。而且，电力管理装置11执行对每个设备的认证，以识别设备或确认设备的合法性。然后，电力管理装置11从每个设备收集关于电力消费等的信息。

而且，电力管理装置11从电力存储装置获取关于所存储电力量等信息。然后，电力管理装置11对电力存储装置执行充电/放电控制。而且，电力管理装置11从发电装置获取关于发电量等信息。而且，电力管理装置11从供电装置获取关于从外部提供的电力量的信息。以这种方式，电力管理装置11从设置在局部电力管理系统1中的设备、电力存储装置、发电装置、以及供电装置获取信息，并且控制电力的输入/输出。当然，电力管理装置11在适当的时候对除设备、电力存储装置、发电装置、以及供电装置之外的结构元件执行类似管理。而且，电力管理装置11不仅能够对电力执行管理，而且还对其中的减少量可以被量化的一般生态(诸如，CO₂、水资源等)进行管理。即，电力管理装置11还能够起到生态管理装置的作用。顺便提及，以下，通过将电力作为其减少量可以被量化的资源的示例来进行说明。

在图1中所示的局部电力管理系统1中，作为电力管理的目标的结构元件(诸如，设备、电力存储装置、发电装置、以及供电装置)被包括在被管理块12中。包括在被管理块12中的结构元件和电力管理装置11能够直接或间接地交换信息。而且，电力管理装置11可以被配置为能够与电力信息收集装置4交换信息。电力信息收集装置4管理从与电力供应者所管理的电力供应者系统5提供的电力相关的信息。另外，在智能电网计划中被称为智能仪表的设备是电力信息收集装置4的示例。

电力供应者系统5给每个局部电力管理系统1供电。然后，从电力供应者系统5提供的电力经由电力信息收集装置4被提供给局部电力管理系统1中的被管理块12。这里，电力信息收集装置4获取例如关于提供给被管理块12的电力量的信息。然后，电力信息收集装置4将所获取的关于电力量等的信息发送至电力供应者系统5。通过使用这种机制，电力供应者系统5收集与每个局部电力管理系统1中的被管理块12的电力消费等相关的信息。

而且，电力供应者系统5参考所收集的关于电力消费等的信息，控制电力信息收集装置4，并且控制电力供应量，使得实现被管理块12或整个电力管理系统的有效电力使用。在此，电力信息收集装置4限制从电力供应者系统5提供至被管理块12的电力量，或者根据被管理块12的电力消费提高对电力量的限制。另外，电力供应者例如可以是电力公司、拥有发电站的法人或非法人发电管理者、拥有电力存储设施的法人或非法人电力存储管理者等。

然而，在当前情况下，电力公司很可能是电力供应者，并且在本说明书中，将假设电力公司是电力供应者的情况作出说明。而且，目前大多数从外部提供的电力都是从电力公司(其为电力供应者)购买的。然而，未来，电力市场可能变得活跃并且在电力市场中购买的电力可能覆盖大多数从外部提供的电力。在这种情况下，假设将从电力交易系统7提供电力给局部电力管理系统1，如图1所示。

电力交易系统7执行关于电力交易的处理，诸如，电力市场中的买卖订单的安排(placement)、订单执行后的价格计算、结算处理、供电订单的安排等。而且，在图1的示例中，在电力市场中已经执行订单的电力接收也由电力交易系统7实现。从而，在图1的示例中，根据所执行订单的类型，将电力从电力交易系统7提供给局部电力管理系统1，或者将电力从局部电力管理系统1提供给电力交易系统7。而且，通过使用电力管理装置11自动地或手动地执行对电力交易系统7的订单的安排。

而且，图1中所示的电力管理系统包括多个局部电力管理系统1。如上所述，每个局部电力管理系统1均包括电力管理装置11。多个电力管理装置11可以经由广域网2或安全通信路径(未示出)相互交换信息。还提供了一种将电力从一个局部电力管理系统1提供给另一局部电力管理系统1的机制。在这种情况下，两个系统的电力管理装置11都执行关于电力接收的信息交换，并且执行控制以发送由信息交换适当确定的电力量。

对于该部分，电力管理装置11可以被配置为可由经由广域网2连接的外部终端设备6操作。例如，用户可能想要通过使用终端设备6检查用户管理的局部电力管理系统1的电力状态。在这种情况下，如果电力管理装置11被配置为可由终端设备6操作，则用户能够获得由终端设备6显示的用户管理的局部电力管理系统1的电力状态，并且检查电力状态。用户还能够通过使用终端设备6通过电力管理装置11进行电力交易。

另外，终端设备6可以设置在局部电力管理系统1内。在这种情况下，终端设备6通过使用设置在局部电力管理系统1中的通信路径连接至电力管理装置11，而不使用广域网2。使用终端设备6的一个优点在于，用户不必去往电力管理装置11的安装位置。也就是说，如果终端设备6可以使用，则可以从任意位置对电力管理装置11进行操作。另外，作为终端设备6的具体形式，可以假设为例如移动电话、移动信息终端、笔记本电脑、便携式游戏机、信息家电、传真机、有线电话、音频/视频设备、汽车导航系统、或电动交通工具。

以上，已经参考每个结构元件的操作或功能简要地描述了图1中所示的电力管理系统中的电力管理。然而，除了与电力管理相关的功能之外，上述电力管理装置11还具有通过使用从被管理块12等收集的多条信息将多种服务提供给用户的功能。

由电力管理装置11收集的信息例如可以是每个设备的型号或设备ID(以下称为设备信息)、关于用户的简档的信息(以下称为用户信息)、关于用户的账户或信用卡的信息(以下称为记账信息)、关于将要使用的服务的注册信息(以下称为服务信息)等。上述设备信息被预先设置在每个设备中或者由用户手动输入。而且，在很多情况下，上述用户信息、记账信息、以及服务信息可以由用户手动输入至电力管理装置11。另外，信息的输入方法不限于这些示例，并且可以改变为任意输入方法。而且，在以下说明中，设备信息、用户信息、记账信息、以及服务信息将被称为“初始信息”。

除了初始信息之外，电力管理装置11能够收集的信息可以为与连接至每个设备的蓄电池的规格相关的信息(以下称为设备蓄电池信息)、与每个设备等(包括电力存储装置、发电装置、供电装置等)的状态相关的信息(以下称为设备状态信息)、能够从连接至广域网2的外部系统或服务器获取的信息(以下称为外部信息)等。上述设备状态信息例如可以是电力存储装置在信息收集时间点的放电电压或所存储的电力量、发电装置的发电电压或发电量、每个设备的电力消费等。而且，上述外部信息可以是从电力交易系统7获取的电力的单位市场价格、从外部服务器3获取的可用服务的列表等。另外，在以下说明中，设备蓄电池信息、设备状态信息，以及外部信息将被称为“初级信息”。

而且，电力管理装置11能够由其本身或者使用外部服务器3的功能，通过使用初始信息和初级信息来计算次级信息。例如，电力管理装置11分析上述初级信息，并且计算表示从电力供应者系统5提供的电力、由发电装置生成的电力、由电力存储装置充电/放电的电力、以及由被管理块12消费的电力之间的平衡的索引值(以下称为平衡索引)。而且，电力管理装置11基于电力消费，计算记账情况和CO₂减少量情况。而且，电力管理装置11基于初始信息计算每个设备的消耗程度(使用持续时间与寿命的比例等)，或者基于所消费电力随着时间的改变分析用户的生活模式。

而且，电力管理装置11通过使用次级信息进行计算或者通过执行与连接至广域网2的系统或服务器或另一电力管理装置11的信息交换，来获得多条信息(以下称为三级信息)。例如，电力管理装置11获取与买/卖订单的情况或电力市场中的价格相关的信息(以下称为市场数据)、与相邻区域中的剩余电力或不足电力的量相关的信息(以下称为区域电力信息)、与从提高有效电源使用角度看适于用户的生活模式的设备相关的信息(以下称为设备推荐信息)、与计算机病毒等相关的安全信息、或者与设备中的故障等相关的设备危险信息。

通过适当地使用上述初始信息、初级信息、次级信息以及三级信息，电力管理装置11能够给用户提供多种服务。同时，电力管理装置11将拥有与用户的隐私或局部电力管理系统1的安全相关的重要信息。而且，电力管理装置11用来允许或禁止给被管理块12供电。从而，希望从电力管理装置11得到高安全等级，使得能够防止来自局部电力管理系统1外部的攻击或者在局部电力管理系统1内执行的非法行为。

作为电力管理装置11从局部电力管理系统1外部接收的攻击，可以认为是DoS攻击(拒绝服务攻击)、计算机病毒等。当然，防火墙被设置在局部电力管理系统1和广域网2之间，但是为了上述原因，想要更严格的安全措施。而且，作为在局部电力管理系统1内执行的非法行为，可以是对设备、电力存储装置等的非法修改、信息的伪造、未授权设备的连接等。而且，从提高安全等级的观点来看，防止由恶意第三方使用与反映用户的生活模式的被消费电力相关的信息、或者检测/恢复每个设备或电力管理装置11的损坏(在一些情况下为起火等)的措施可能变为必要的。

如随后所述，电力管理装置11具有实现上述这种高安全等级的功能。电力管理装置11实现对被管理块12的电力管理、基于从被管理块12等收集的初始信息、初级信息、次级信息以及三级信息的服务提供，同时保持安全等级。另外，由电力管理装置11保持高安全等级可以不仅由电力管理装置11实现。从而，可以尝试用被管理块12中设置的设备、电力存储装置、发电装置、供电装置等与电力管理装置11结合来保持安全等级。此外，随后将详细描述被管理块12的这种结构元件。

被管理块的配置

将参考图2至图4详细地描述被管理块12的配置。图2示出被管理块12的配置。而且，图3示出被管理块12内的通信网络的配置。而且，图4示出用于与电力管理装置11交换信息的主要结构元件的具体配置。

首先，参考图2。如图2所示，被管理块12包括：配电装置121、AC/DC转换器122、可控制插座123、电动交通工具124、可控制设备125、不可控制设备126、插座扩展装置127、电力存储装置128、第一发电装置129、第二发电装置130、以及环境传感器131。

另外，可控制插座123、电动交通工具124、可控制设备125、以及插座扩展装置127是上述设备的示例。而且，电力存储装置128是上述电力存储装置的示例。而且，第一发电装置129和第二发电装置130是上述发电装置的示例。可控制插座123和插座扩展装置127还是上述供电装置的示例。而且，不可控制设备126不直接受到电力管理装置11的电力管理，从而其本身不是上述设备的示例。然而，如随后所述，通过与插座扩展装置127结合，不可控制设备126能够被电力管理装置11所管理，并且是上述设备的示例。

电力流

从电力供应者系统5、电力交易系统7、或另一局部电力管理系统1提供的电力(以下称为外部电力)被输入配电装置121。假设外部AC电力被输入图2的示例中的配电装置121，但是也可以输入外部DC电力。然而，为了说明，以下假设外部AC电力被输入配电装置121。输入至配电装置121的外部电力由AC/DC转换器122从AC转换为DC，并且被输入可控制插座123或电力存储装置128。

而且，从电力存储装置128放电的电力(以下称为放电电力)也被输入配电装置121。从电力存储装置128输出的放电电力由AC/DC转换器122从DC转换为AC，并且被输入至配电装置121。输入至配电装置121的放电AC电力由AC/DC转换器122从AC转换为DC，并且被输入至可控制插座123。然而，为了避免放电电力在AC/DC转换器122处的损失，还可以将放电电力在不经过AC/DC转换器122的情况下从电力存储装置128提供至可控制插座123。

除了经由配电装置121输入的外部电力之外，由第一发电装置129和第二发电装置130生成的电力(以下称为生成电力)被输入至电力存储装置128。另外，在图2的示例中，由第一发电装置129和第二发电装置130生成的生成电力被临时存储在电力存储装置128中。然而，由第一发电装置129和第二发电装置130生成的生成电力还可以在不经过电力存储装置128的情况下被输入AC/DC转换器122或可控制插座123。然而，在很多情况下，由于气候或环境原因，从第一发电装置129输出的生成电力的提供是不稳定的。从而，在使用从第一发电装置129输出的生成电力的情况下，优选在被临时存储在电力存储装置128中之后使用生成电力。

另外，第一发电装置129是用于使用可再生能源生成电力的发电装置。例如，第一发电装置129是光电装置、风力发电装置、地热发电装置、水力发电装置等。另一方面，第二发电装置130是用于使用不可再生能源生成电力的发电装置(与通过使汽油、煤等燃烧并且使用燃烧生成电力的热力发电相比是环保的)。例如，第二发电装置130是燃料电池、天然气发电装置、生物质发电装置等。顺便提及，在使用从可再生能源得到的电力来生成氢(其为用于燃料电池发电的燃料)的情况下，燃料电池是在不使用不可再生能源的情况下生成电力的发电装置。

由第一发电装置129和第二发电装置130生成的生成电力、以及存储在电力存储装置128中的电力，一方面经由配电装置121或AC/DC转换器122输入可控制插座123，另一方面，可以由电力供应者系统5、电力交易系统7等购买。在这种情况下，由第一发电装置129和第二发电装置130生成的生成电力以及从电力存储装置128输出的放电电力被AC/DC转换器122从DC转换为AC，并且经由配电装置121发送至电力供应者系统5、电力交易系统7等。

以上，粗略地描述了被管理块12中的电力流。特别地，在此描述了流经配电装置121的电力的分配路径。如上所述，配电装置121充当对被管理块12内的电力的分配路径进行划分的角色。从而，如果配电装置121停止，则被管理块12内的电力的分配中断。从而，配电装置121设置有不间断电源(UPS)。另外，在图2的示例中，独立于电力管理装置11地提供配电装置121，但是配电装置121和电力管理装置11可以安装在同一外壳内。

供电时的认证

在被管理块12中，经由配电装置121流至可控制插座123或电力存储装置128的电力由电力管理装置11管理。例如，电力管理装置11控制配电装置121并且对可控制插座123供电或者停止对可控制插座123供电。

电力管理装置11还执行对可控制插座123的认证。然后，电力管理装置11对认证成功的可控制插座123供电，并且停止对认证失败的可控制插座123供电。这样，通过电力管理装置11作出的认证成功或失败来确定在被管理块12中供电或不供电。电力管理装置11进行的认证不仅对可控制插座123执行，还对电动交通工具124、可控制设备125、以及插座扩展装置127执行。顺便提及，由电力管理装置11进行的认证不对不可控制设备126执行，不可控制设备126不拥有与电力管理装置11通信的功能，也不拥有认证所需要的计算功能。

从而，基于电力管理装置11的控制，可以给已被认证的可控制插座123、电动交通工具124、可控制设备125、或插座扩展装置127供电。然而，其本身没有被经过认证的不可控制设备126将不基于电力管理装置11的控制被供电。从而，与电力管理装置11的控制无关地将电力连续提供给不可控制设备126，或者根本不对其提供电力。然而，通过使插座扩展装置127执行认证作为代替，可能基于电力管理装置11的控制给不可控制设备126供电。

设备功能的概述

在此简短地概述可控制插座123、电动交通工具124、可控制设备125、不可控制设备126、以及插座扩展设备127的功能。

可控制插座123

首先，将概述可控制插座123的功能。可控制插座123具有与电动交通工具124、可控制设备125、不可控制设备126、以及插座扩展装置127的电源插头连接的端子。而且，可控制插座123具有经由配电装置121对连接到该端子的电动交通工具124、可控制设备125、不可控制设备126、以及插座扩展装置127供电的功能。即，可控制插座123具有供电插座的功能。

可控制插座123还具有电力管理装置11进行认证所需要的多种功能。例如，可控制插座123具有与电力管理装置11交换信息的通信功能。通过电力线或信号线的线缆通信或者通过给可控制插座123提供用于无线通信的通信模块来实现该通信功能。可控制插座123还具有用于执行在认证时需要的计算的计算功能。而且，可控制插座123保存识别信息诸如认证所需要的设备ID以及密钥信息。通过使用这些功能和信息，可控制插座123能够被电力管理装置11认证。另外，认证的类型可以是使用随机数的相互认证，或者是使用私密密钥和公开密钥对的公开密钥认证。

而且，可控制插座123还可以具有状态显示装置，用于显示向电力管理装置11的认证的成功/失败以及在认证过程中的状态(以下称为认证状态)。在这种情况下，设置在可控制插座123中的状态显示装置可以显示连接至可控制插座123的电动交通工具124、可控制设备125、以及插座扩展装置127的认证状态。而且，该状态显示装置还可以显示连接至可控制插座123的设备是否是不可控制设备126。另外，该状态显示装置由诸如LED或小灯泡的指示灯、或者诸如LCD或ELD的显示设备配置。

如上所述，在电力管理装置11的控制下经由配电装置121对由电力管理装置11认证成功的可控制插座123供电。换句话说，在电力管理装置11的控制下，停止对认证失败的可控制插座123供电。这样，根据认证的成功/失败控制供电，可以防止未授权供电插座连接至配电装置121。还可以容易地检测欺诈性地连接至配电装置121的供电插座。而且，在状态显示装置设置在可控制插座123中的情况下，可以容易地掌握可控制插座123的认证状态，并且可以容易地区分可控制插座123的认证失败和损坏。

现在，可控制插座123的形式不限于用于连接电源插头的插座的形式。例如，还可以实现具有通过使用电磁感应来供电的内置线圈(如用于非接触IC卡的读取器/写入器)的可控制插座123，以及具有不同于插座的形式的表面形式的可控制插座123。在这种情况下，如同非接触IC卡那样，将用于从可控制插座123生成的电磁场生成感应电动势的线圈设置在电动交通工具124、可控制设备125、以及插座扩展装置127中。根据这种配置，可以在不使用电源插头的情况下提供或接收电力。另外，在使用电磁感应的情况下，可以在可控制插座123和电动交通工具124、可控制设备125、或插座扩展装置127之间使用磁场的调节进行信息交换。

而且，可控制插座123具有测量提供给连接至该端子的电动交通工具124、可控制设备125、或插座扩展装置127的电力量的功能。而且，可控制插座123具有将所测量的电力量通知给电力管理装置11的功能。而且，可控制插座123可以具有从连接至该端子的电动交通工具124、可控制设备125、或插座扩展装置127获取初级信息并且将所获取的初级信息发送至电力管理装置11的功能。这样，通过将可控制插座123测量或获取的信息发送至电力管理装置11，可以使电力管理装置11掌握电力状态或者执行对每个独立可控制插座123的供电控制。

电动交通工具124

接下来将概述电动交通工具124的功能。电动交通工具124包括用于存储电力的蓄电池。电动交通工具124还包括使用从蓄电池放电的电力来驱动的驱动机构。在电动交通工具124是电动车或插电式混合电动车的情况下，该驱动机构包括例如马达、传动装置、轴、车轮、轮胎等。其他电动交通工具124的驱动机构至少包括马达。而且，电动交通工具124包括在给蓄电池充电时使用的电源插头。可以通过将该电源插头连接至可控制插座123来接收电力。顺便提及，在可控制插座123通过使用电磁感应供电的方法的情况下，在电动交通工具124中设置放在磁场中时生成感应电动势的线圈。

电动交通工具124还具有用于电力管理装置11进行认证所需要的多种功能。例如，电动交通工具124具有用于与电力管理装置11交换信息的通信功能。通过电力线或信号线的线缆通信或者通过给电动交通工具124提供用于无线通信的通信模块来实现该通信功能。电动交通工具124还具有用于执行认证时所需要的计算的计算功能。而且，电动交通工具124保存识别信息诸如认证所需要的设备ID以及密钥信息。通过使用这些功能和信息，电动交通工具124能够被电力管理装置11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用私密密钥和公开密钥对的公开密钥认证。

而且，电动交通工具124还具有向电力管理装置11发送与所装配的蓄电池相关的设备蓄电池信息(诸如剩余蓄电池电平、充电量、以及放电量)的功能。还将与拥有电动交通工具124的用户相关的用户信息、与电动交通工具124的燃料效率、性能等相关的设备信息发送至电力管理装置11。通过从电动交通工具124发送到电力管理装置11的这些条信息，电力管理装置11可以执行诸如使用用户信息进行记账以及基于用户信息和设备信息进行征税等处理。例如，可以通过电力管理装置11执行征收基于CO₂释放量计算的环境税的处理、基于剩余蓄电池电平显示里程的处理等。

另外，还可以想到使用电动交通工具124的蓄电池代替电力存储装置128。例如，当临时不可能使用电力存储装置128时，诸如当电力存储装置128故障或者被更换的时候，可以使用电动交通工具124的蓄电池来代替电力存储装置128。而且，由于电动交通工具124本身是可移动的，所以可以携带作为材料的外部电力。即，其可以用作可移动电力存储装置128。由于这种优点，在天灾或紧急情况下，使电动交通工具124作为备用电源也是有用的。当然，这种使用可以在根据本实施例的局部电力管理系统1的框架内实现。

可控制设备125

接下来，将概述可控制设备125的功能。可控制设备125具有由电力管理装置11进行认证所需要的多种功能。例如，可控制设备125具有用于与电力管理装置11交换信息的通信功能。通过电力线或信号线的线缆通信或者通过给可控制设备125提供用于无线通信的通信模块来实现该通信功能。可控制设备125还具有用于执行认证时所需要的计算的计算功能。而且，可控制设备125保存识别信息诸如认证所需要的设备ID和密钥信息。通过使用这些功能和信息，可控制设备125能够被电力管理装置11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用私密密钥和公开密钥对的公开密钥认证。

而且，可控制设备125还具有向电力管理装置11发送与所装配的蓄电池相关的设备蓄电池信息，诸如剩余蓄电池电平、充电量、以及放电量。还将与拥有可控制设备125的用户相关的用户信息、与可控制设备125的类型、性能等相关的设备信息发送至电力管理装置11。通过从可控制设备125发送到电力管理装置11的这些条信息，电力管理装置11可以执行诸如使用用户信息进行记账以及基于用户信息和设备信息进行征税等处理。例如，可以通过电力管理装置11执行征收基于CO₂释放量计算的环境税的处理、推荐具有更高环境性能的设备的显示处理等。

不可控制设备126、插座扩展装置127

接下来，将概述不可控制设备126和插座扩展装置127的功能。与上述可控制插座123、电动交通工具124、以及可控制设备125不同，不可控制设备126不拥有由电力管理装置11认证所需要的功能。即，不可控制设备126是现有家用电器、现有视频设备等。未通过认证的不可控制设备126不能经受电力管理装置11的电力管理，并且在一些情况下，不能接收电力。从而，为了能够在局部电力管理系统1中使用不可控制设备126，用于执行认证的委托装置是必要的。

插座扩展装置127充当两个角色。一个角色是用于执行委托认证以使得不可控制设备126能够在局部电力管理系统1中使用的功能。另一个角色是增加连接至可控制插座123的设备数量的功能。与电动交通工具124、可控制设备125、或不可控制设备126的电源插头连接的一个或多个端子被提供给插座扩展装置127。当使用提供有多个端子的插座扩展装置127时，能够增加可以连接至可控制插座123的电动交通工具124、可控制设备125、或不可控制设备126的数量。即，插座扩展装置127用作具有高级功能的电源板。

以上，简单地概述了可控制插座123、电动交通工具124、可控制设备125、不可控制设备126、以及插座扩展装置127的功能。顺便提及，上述功能不是可控制插座123、电动交通工具124、可控制设备125、不可控制设备126、以及插座扩展装置127仅有的功能。将这些功能作为基础，还可以进一步补充以下描述的用于电力管理装置11进行电力管理的操作所需要的功能。

通信功能

在此，参考图3描述局部电力管理系统1内的电力管理装置11、可控制插座123、电动交通工具124、可控制设备125、插座扩展装置127等的通信功能。如图3所示，在局部电力管理系统1中，例如，使用短程无线通信、无线LAN、电力线通信等。例如，ZigBee是短程无线通信的一个示例。而且，PLC是电力线通信的一个示例。

如图2所示，在局部电力管理系统1中，可控制插座123和连接至可控制插座123的设备通过电力线连接至配电装置121。这样，能够通过使用这些电力线容易地构建基于电力线通信的通信网络。另一方面，在使用短程无线通信的情况下，可以通过自组方式连接每个设备来构建通信网络，如图3所示。而且，在使用无线LAN的情况下，每个设备都能够直接连接至电力管理装置11。从而，能够通过使用任何通信方法，在局部电力管理系统1内构建必要的通信网络。

然而，如图3所示，不可控制设备126有时不能通过使用通信网络连接至电力管理装置11。从而，在使用不可控制设备126的情况下，不可控制设备126需要连接至插座扩展装置127。另外，即使在使用不具有通信功能也不具有认证功能的不可控制插座的情况下，如果电动交通工具124、可控制设备125、或插座扩展装置127连接至不可控制插座，也可以通过使用电动交通工具124、可控制设备125、或插座扩展装置127的功能来进行经由通信网络到电力管理装置11的连接。当然，在不可控制设备126连接至不可控制插座的情况下，不能进行到通信网络的连接，从而不能进行由电力管理装置11的控制。

顺便提及，电力信息收集装置4可以作为连接目的地被包括在局部电力管理系统1内构建的通信网络中，如图3所示。而且，可以通过使用该通信网络在电动交通工具124或可控制设备125和电力信息收集装置4之间交换信息。当然，电力管理装置11和电力信息收集装置4可以通过使用该通信网络来交换信息。这样，可以根据实施例的模式适当地设置局部电力管理系统1内构建的通信网络的结构。另外，该通信网络由充分安全的通信信道构建。而且，应提供允许保证流经通信信道的信息的安全的机制。

设备和多种装置的具体示例

在此，将参考图4介绍局部电力管理系统1中的一些结构元件的具体示例。如图4所示，可以与电力管理装置11交换信息的结构元件包括：例如，电动交通工具124、可控制设备125(智能设备)、不可控制设备126(传统设备)、电力存储装置128、第一发电装置129、第二发电装置130等。

例如，电动车和插电式混合电动车可以被给定为电动交通工具124的具体示例。而且，例如家用电器、个人计算机、移动电话、以及视频设备可以被给定为可控制设备125和不可控制设备126的具体示例。例如，锂离子充电电池、NAS充电电池、以及电容器可以被给定为电力存储装置128的具体示例。而且，例如，光电装置、风力发电装置、以及地热发电装置可以被给定为第一发电装置129的具体示例。而且，燃料电池、天然气发电装置、以及生物质发电装置可以被给定为第二发电装置130的具体示例。如上所述，多种装置和设备都可以被用作局部电力管理系统1的结构元件。

以上，已经描述了被管理块12的配置。然而，包括在被管理块12中的每个结构元件的功能不限于以上所述。在由电力管理装置11进行的电力管理需要时，补充每个结构元件的功能。另外，将在随后描述的电力管理装置11和其他结构元件的配置的说明中详细描述每个结构元件的补充功能。

外部服务器的配置

接下来，将参考图5描述外部服务器3的配置。如图5所示，例如，服务提供服务器31、记账服务器32、系统管理服务器33、分析服务器34、证书机构服务器35、制造商服务器36、以及地图DB服务器37用作外部服务器3。

服务提供服务器31具有提供使用电力管理装置11等的功能的服务的功能。记账服务器32具有根据局部电力管理系统1内消费的电力给电力管理装置11提供记账信息，并基于关于由电力管理装置11管理的电力量的信息请求用户支付使用费的功能。而且，记账服务器32与服务提供服务器31合作，执行对用户使用的服务的记账处理。另外，记账处理可以针对拥有消费电力的电动交通工具124、可控制设备125等的用户执行，或者可以针对管理关于被消费电力的信息的电力管理装置11的用户执行。

系统管理服务器33具有管理图1所示的整个电力管理系统或者基于区域地管理电力管理系统的功能。例如，如图6所示，系统管理服务器33掌握在用户#1的局部电力管理系统1中的使用情况、在用户#2的局部电力管理系统1中的使用情况、在用户#3的局部电力管理系统1中的使用情况，并且给记账服务器32等提供必要信息。

在图6的示例中，假设用户#1使用用户#1他/她自己、用户#2、以及用户#3的局部电力管理系统1中的电力的情况。在这种情况下，由系统管理服务器33收集消费电力的用户#1的设备ID和使用信息(电力消费等)，并且将用户#1的用户信息和使用信息从系统管理服务器33发送至记账服务器32。而且，系统管理服务器33基于所收集的使用信息计算记账信息(记账数目等)，并且将其提供给用户#1。对于该部分，记账服务器32以对应于记账信息的金额对用户#1计费。

如上所述，通过系统管理服务器33对多个局部电力管理系统1进行总体控制，即使用户使用另一用户的局部电力管理系统1中的电力，也可以实现给使用了电力的用户记账的机制。特别地，在多数情况下，在由其本身管理的局部电力管理系统1的外部，执行对电动交通工具124的充电。在这种情况下，如果使用系统管理服务器33的上述功能，则能够可靠地对电动交通工具124的用户计费。

分析服务器34具有分析由电力管理装置11收集的信息、或者连接至广域网2的另一服务器所拥有的信息的功能。例如，在优化基于区域的供电控制的情况下，从局部电力管理系统1收集的信息量将会很大，并且为了通过分析信息计算用于每个局部电力管理系统1的最优控制方法，需要执行大量计算。这种计算对于电力管理装置11来说是繁重的，因此通过使用分析服务器34来执行。另外，分析服务器34还可以用于其他多种计算处理。而且，证书机构服务器35用于对公开密钥进行认证，并且用于颁发公开密钥证书。

制造商服务器36由设备的制造商管理。例如，电动交通工具124的制造商服务器36保存关于电动交通工具124的设计的信息。类似地，可控制设备125的制造商服务器36保存关于可控制设备125的设计的信息。而且，制造商服务器36保存用于识别每个所制造设备(诸如，每个电动交通工具124和每个可控制设备125)的信息。制造商服务器36具有通过使用这些条信息并且与电力管理装置11合作来识别位于每个局部电力管理系统1内的电动交通工具124或可控制设备125的功能。通过使用该功能，电力管理装置11能够执行对电动交通工具124或可控制设备125的认证，或者检测未授权设备的连接。

地图DB服务器37保存地图数据库。从而，连接至广域网2的服务器或电力管理装置11能够访问地图DB服务器37并且使用地图数据库。例如，在用户使用他/她的局部电力管理系统1外部的电力的情况下，系统管理服务器33能够从地图数据库搜索使用位置，并且将关于使用位置的信息以及记账信息提供给用户。如上所述，存在多种类型的外部服务器3，并且除了在此所示的服务器配置之外，在适当的时候，还可以增加不同类型的外部服务器3。

(1-2)电力管理装置的配置

以上，描述了根据本实施例的电力管理系统的整体图。以下，将参考图7至图9描述主要负责电力管理系统中的电力管理的电力管理装置11的配置。

功能综述

首先，将参考图7描述电力管理装置11的总体功能配置。如图7所示，电力管理装置11包括局部通信单元111、信息管理单元112、存储单元113、广域通信单元114、控制单元115、显示单元116、输入单元117、以及服务提供单元118。

局部通信单元111是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。信息管理单元112是用于管理包括在局部电力管理系统1内的每个结构元件的设备信息以及与电力相关的信息的装置。而且，由信息管理单元112执行对可控制插座123、电动交通工具124、可控制设备125、插座扩展装置127等的认证处理。存储单元113是用于保存用于认证的信息和用于电力管理的信息的存储装置。存储单元113存储与电力管理装置11所保存的私密密钥和公开密钥构成的密钥对、公共密钥等相关的密钥信息，多种数字签名或证书，多种数据库，或历史信息。广域通信单元114是用于经由广域网2与外部系统和服务器交换信息的通信装置。

控制单元115是用于控制包括在局部电力管理系统1内的每个结构元件的操作的控制装置。显示单元116是用于显示与在局部电力管理系统1中消费的电力相关的信息、用户信息、记账信息、与电力管理相关的其他类型信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示装置。另外，例如，LCD、ELD等可以用作显示装置。输入单元117是用于用户输入信息的输入装置。另外，例如，键盘、按钮等可以用作输入单元117。而且，还可以通过结合显示单元116和输入单元117来构建触摸面板。服务提供单元118是用于在电力管理装置11处实现多种服务和功能并且将其提供给用户，同时与外部系统、服务器等合作操作的装置。

如上所述，电力管理装置11包括用于与局部电力管理系统1内部或外部的设备、装置、系统、服务器等交换信息的通信装置(局部通信单元111、广域通信单元114)。而且，电力管理装置11包括用于控制局部电力管理系统1内的设备或装置的控制装置(控制单元115)。而且，电力管理装置11包括从局部电力管理系统1内部或外部的设备、装置、系统、服务器等收集信息，并且通过使用该信息给局部电力管理系统1内的设备或装置提供服务或认证的信息管理装置(信息管理单元112)。而且，电力管理装置11包括用于显示与局部电力管理系统1内部或外部的电力相关的信息的显示装置(显示单元116)。

为了安全和有效地管理局部电力管理系统1内的电力，首先，需要正确地识别局部电力管理系统1内的设备、装置等。而且，为了安全和有效地管理局部电力管理系统1内的电力，还需要分析与局部电力管理系统1内部和外部的电力相关的信息并且执行适当的电力控制。信息管理单元112的功能用于为满足上述要求而执行的信息管理。从而，将更详细地描述信息管理单元112的功能。另外，控制单元115的功能用于控制具体设备、装置等。

功能详情

以下，将参考图8和图9详细地描述信息管理单元112的功能配置。图8示出信息管理单元112的具体功能配置。图9示出信息管理单元112的每个结构元件的主要功能。

如图8所示，信息管理单元112包括：设备管理单元1121、电力交易单元1122、信息分析单元1123、显示信息生成单元1124、以及系统管理单元1125。

设备管理单元1121

如图9所示，设备管理单元1121是用于管理局部电力管理系统1内的设备、装置等的装置。例如，设备管理单元1121针对可控制插座123、电动交通工具124、可控制设备125、插座扩展装置127等执行设备ID的注册、认证、管理，操作设置和服务设置的管理，操作状态和使用状态的掌握，环境信息的收集等。另外，通过使用安装在被管理块12中的环境传感器131来执行环境信息的收集。而且，环境信息是与温度、湿度、天气、风向、风速、地形、区域、天气预报等相关的信息，以及通过对其进行分析获得的信息。

电力交易单元1122

如图9所示，电力交易单元1122执行电力市场中的市场交易数据或个体交易数据的获取、交易执行的定时控制、交易的执行、交易日志的管理等。另外，市场交易数据是与电力市场中的市场价格和交易条件相关的信息。而且，个体交易数据是与在电力供应者和相邻电力消费者之间进行个体交易时确定的交易价格和交易条件等相关的信息。交易执行的定时控制是，例如，在电力购买价格下降到预定值以下的定时发出预定量的购买订单，或者在电力卖出价格上升到预定值以上的定时发出预定量的出售订单的自动控制。

信息分析单元1123

如图9所示，信息分析单元1123执行发电数据的分析、电力存储数据的分析、生活模式的学习、以及电力消费数据的分析。而且，信息分析单元1123基于以上分析，执行电力消费模式的估计、电力存储模式的估计、电力放电模式的估计、以及发电模式的估计。另外，例如，通过使用局部电力管理系统1内的第一发电装置129或第二发电装置130的发电量的时间序列数据、电力存储装置128的充电/放电量或电力存储量的时间序列数据、或由电力提供者系统5提供的电力量的时间序列数据，来执行信息分析单元1123的分析和学习。

而且，通过将时间序列数据或通过分析时间序列数据获得的分析结果用作用于学习的数据，并且通过使用基于预定机器学习算法获得的估计公式，来执行信息分析单元1123的估计。例如，通过使用遗传学习算法(例如，参见JP-A-2009-48266)，可以自动构建估计公式。而且，通过将过去的时间序列数据或分析结果输入估计公式，可以获得估计结果。而且，通过顺序地将所计算的估计结果输入估计公式，可以估计时间序列数据。

而且，信息分析单元1123执行现在或未来的CO₂排放量的计算、用于减少电力消费的供电模式(电力节省模式)的计算、用于减少CO₂排放量的供电模式(低CO₂排放模式)的计算、以及能够减少局部电力管理系统1内的电力消费和CO₂排放量的设备配置、设备布置等的计算或建议。基于总电力消费或对于每种发电方法有所区别的电力消费来计算CO₂排放量。

在使用总电力消费的情况下，计算近似平均CO₂排放量。换句话说，在使用对于每种发电方法有所区别的电力消费的情况下，计算较为精确的CO₂排放量。另外，通过至少区分从外部提供的电力、由第一发电装置129生成的电力与第二发电装置130所生成的电力，可以计算出比使用总电力消费时更精确的CO₂排放量。在很多情况下，根据CO₂排放量来确定税金(诸如，碳税)和记账。从而，认为能够准确计算CO₂排放量增加了用户间的公平感，并且有助于广泛使用基于可再生能源的发电装置。

显示信息生成单元1124

如图9中所示，显示信息生成单元1124通过调节与局部电力管理系统1内的设备、装置等相关的信息、与电力相关的信息、与环境相关的信息、与电力交易相关的信息、与信息分析单元1123的分析结果或估计结果相关的信息等的格式，来生成要显示在显示单元116上的显示信息。例如，显示信息生成单元1124生成用于以图表格式显示表示电力量的信息的显示信息，或者生成用于以表格形式显示市场数据的显示信息。而且，显示信息生成单元1124生成用于显示多种类型信息或输入信息的图形用户界面(GUI)。由显示信息生成单元1124生成的多段显示信息被显示在显示单元116上。

系统管理单元1125

如图9所示，例如，系统管理单元1125执行固件(其为用于控制电力管理装置11的基本操作的程序)版本的管理/更新，限制对其的访问，并且采取防病毒措施。而且，在多个电力管理装置11安装在局部电力管理系统1中的情况下，系统管理单元1125与另一电力管理装置11交换信息并且执行控制，使得多个电力管理装置11相互协同操作。例如，系统管理单元1125管理每个电力管理装置11的属性(例如，对设备、装置等的控制处理的优先级排序)。而且，系统管理单元1125执行与参与协同操作或从协同操作退出相关的每个电力管理装置11的状态控制。

以上，描述了电力管理装置11的功能配置。另外，在此描述的电力管理装置11的功能配置仅为一个示例，在需要时，可以增加除以上之外的功能。

(1-3)显示在显示单元上的内容

接下来，将参考图10至图13更加具体地描述显示在显示单元上的内容。图10至图13是用于说明显示在显示单元上的内容的图。

如先前所述，多种信息被显示在电力管理装置11的显示单元116上。例如，如图10所示，已经注册在电力管理装置11中的设备列表与每个设备的电力消费一起显示在电力管理装置11的显示单元上。在此，电力消费可以被显示为数值，或者如图10所示，例如显示为柱状图的形式。对于装置，诸如插座扩展装置(可以通过选择显示器上的“插座扩展装置”将多个设备连接到插座扩展装置)，可以掌握连接至插座扩展装置的各个设备的电力消费。

如图11所示，显示单元116还可以显示连接至电力管理装置11的设备的认证状态。通过显示这种信息，电力管理装置11的用户可以容易地区分哪个设备已经被认证，其能够增加用户维护的效率。

另外，如图12所示，用于每个使用位置的电力消费和记账金额的列表可以被显示在显示单元116上。通过显示这种信息，例如，用户可以容易地掌握备用电力是否被不必要地消费了。

如图13所示，在显示单元116上显示电力消费时，还可以区分已经使用的电力的类型(即，电力是在系统外部使用的电力还是在系统内使用的电力)。

(1-4)隐藏电力消费模式

在此，将参考图14至图18描述隐藏电力消费模式的方法。

被管理块12的电力消费模式反映用户的生活风格模式。作为一个示例，在图14中所示的电力消费模式中，峰值在整天都出现。从该电力消费模式可以明白，用户整天都在家。而且，由于消费峰值大多数在约0:00(午夜)消失，可以明白，用户在午夜左右上床睡觉。而在图15中所示的电力消费模式中，虽然大峰值出现在约7:00和在21:00，但只有很少峰值出现在一天的其他时间。该电力消费模式暗示，用户约7:00离开家，并且直到接近21:00都不在。

这样，电力消费模式反映用户的生活模式。如果这种电力消费模式被恶意第三方知悉，则这样的第三方可以滥用电力消费模式。作为示例，第三方可以尝试在用户不在时进入用户的家里，当用户在家时进行高压销售访问，或者当用户睡觉时进行抢劫。

为此原因，需要严格管理关于电力消费的信息，或者提供隐藏电力消费模式的配置。如先前所述，通过由电力供应者管理的电力信息收集装置4收集与电力供应者系统5提供的电力量相关的信息。这意味着，关于被管理块12的电力消费的时间序列模式将暴露给至少一个电力供应者。

为此原因，除了以上措施之外，优选提供用于隐藏电力消费模式的配置，以防止用户的生活风格模式被第三方发现。隐藏电力消费模式的一种方式是，在由电力供应者系统5提供的电力量的时间序列模式与用户的生活风格模式之间创建差异。例如，电力供应者系统5可以在用户不在家时供电，或者局部系统可以在用户在家时停止接收来自电力供应者系统5的电力。

使用电力存储装置128实现这种措施。例如，可以将用户不在家时从电力供应者系统5接收的所提供电力存储在电力存储装置128中，并且当用户在家时，使用存储在电力存储装置128中的电力，以抑制从电力供应者系统5提供的电力量。为了进一步增加安全性，优选执行对电力存储装置128的充电/放电控制，以使电力消费模式变为指定模式，从而尽量根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。

平均化

如图16所示，一个可能示例是执行电力存储装置128的充电/放电控制以使电力消费恒定的方法。为了使电力消费为恒定值，可以在电力消费低于恒定值时增加存储在电力存储装置128中的电力，并且可以在电力消费高于恒定值时增加电力存储装置128的放电。这种控制由电力管理装置11执行。除了电力存储装置128的充电/放电控制之外，可以在电力消费者之间交易电力，和/或使用电动交通工具124等的蓄电池执行充电/放电控制。这样，通过使电力消费恒定，可以根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。结果，可以根除由于电力消费模式的滥用导致的用户遭受犯罪行为的危险。

复杂化

注意，只要电力消费模式和生活风格模式之间存在差异，就不必将电力消费设定为恒定值。为了使电力消费为恒定值，需要具有足够容量以吸收电力消费中的峰值的电力存储装置128。然而，具有这种大容量的电力存储装置128很贵，并且仅仅为了隐藏电力消费模式而在普通家庭中提供这种装置不太现实。为此原因，优选使用小容量的电力存储装置128在电力消费模式和生活风格模式之间创建差异的方法。如图17所示，这种方法的一个可能示例使电力消费模式变复杂(即，增加电力消费模式的复杂性)。

以下描述使电力消费模式变复杂以在模式各处生成相对小的峰值和波谷的一种可能方法。虽然大容量电力存储装置128会是将大峰值抑制为接近平均值所需要的，但是可以使用容量小很多的存储装置生成和移动相对小的峰值。虽然可以使以一天为单位的电力消费模式变复杂，还可以有效地使电力消费模式变复杂，以生成每天的不同电力消费模式和/或根除基于星期几或日期的循环。使事件的定时(诸如，尤其容易被滥用的外出、回家、就寝、起床)变复杂的设置也能够在不使电力存储装置128的充电/放电控制过度复杂的情况下充分抑制不正当行为。

模式化

而且，如图18所示，还可以想到控制电力消费模式以基本匹配邻居的平均模式的方法。基于其他人的生活风格模式获得邻居的平均模式。这意味着，需要进行少量电力控制，以使特定用户的电力消费模式与邻近的平均模式匹配。与当电力消费被控制变为恒定值时相比，应该可以使用低容量的电力存储装置128隐藏具体用户的生活风格模式。当这样控制电力消费时，在邻居的电力管理装置11之间交换电力信息。使用信息分析单元1123的功能或分析服务器34的功能计算邻居的平均模式。基于所计算出的平均模式，对电力存储装置128执行充电/放电控制。

(1-5)由电力管理装置进行的多种控制

现在将参考图19简要描述上述局部电力管理系统1的电力管理装置11执行的多种控制操作。图19是用于说明由电力管理装置进行的多种控制的概要的图。

如图19所示，电力管理装置11执行对将被管理的配电装置121、可控制插座123、电动交通工具124、可控制设备125、插座扩展装置127等的控制。即，电力管理装置11对将被管理的设备执行多种控制操作，诸如，电力存储控制、平均化控制、交易控制、供电切换控制、异常切换控制、恢复控制、认证/注册控制、信息收集/信息处理控制、外部访问控制、以及服务链接控制。除了这种控制之外，充电控制是关于电力使用和存储的控制，诸如，在白天使用被管理块内的多种类型的发电装置生成的电力，而在夜晚使用外部电力。

如图19所示，电力管理装置11通过参考与电力资源相关的信息、与优先级排序相关的信息、与控制条件(参数)相关的信息等，执行这种控制。

如图19所示，例如，与电力资源相关的信息是与电力管理装置11所属的局部电力管理系统1能够使用的电力资源相关的信息。如图19所示，这种电力资源可以粗略地被分类为外部电力和家庭电力(或“系统内部电力”)。外部电力是从局部电力管理系统1外部提供的电力，并且一个示例可以为从供电公司等提供的标准电力。系统内部电力是在局部电力管理系统1内管理的电力，示例可以是存储在电力存储装置中的电力，由发电装置生成的电力，存储在电动交通工具中的电力，以及存储在蓄电池模块中的电力。注意，此处的表达“存储在电力存储装置中的电力”不仅指存储在所谓的专用电力存储装置中的电力，还包括在能够由电力管理装置11(诸如，计算机、家用电器、或移动电话)控制的装置中设置的蓄电池等中存储的电力。电力管理装置11还能够使用这种信息来存储表示哪个电力资源提供了被存储在电力存储装置中的电力的信息。

如图19所示，例如，与优先级排序相关的信息是设定供电的优先级排序的信息。如果停止对用于为食物和饮料保鲜的冰箱或者维护系统安全的安全相关设备供电，或者如果用于照明或控制设备的电力停止，则变得难以实现这种功能，其可能不利地影响用户。从而，电力管理装置11能够对这种设备提供不受限制的电力，以保证维持这种功能。电力管理装置11还能够通过适当地对优先级排序被设置为“电力节省模式(POWERSAVING MODE)”的设备(诸如，电视或空调)的供电进行控制来抑制电力使用。电力管理装置11还能够设定“关机(POWER OFF)”优先级排序，一个示例是能够实现控制以使得充电器的电力正常关断。注意，图19中所示的优先级排序仅是示例，电力管理装置11中设置的优先级排序不限于图19中所示的示例。

如图19所示，例如，与控制条件相关的信息是设定电力管理装置11的控制条件的信息。作为一个示例，这种控制条件可以被粗略地分为，例如，与电力的使用环境相关的条件、与电力的使用时段相关的条件、与电力使用模式相关的条件、以及与异常相关的条件。如图19所示，可以为各个条件设置更详细的条件项。注意，图19中所示的控制条件仅是示例，并且电力管理装置11中设置的控制条件不限于图19中所示的示例。

基于这种信息，电力管理装置11实现对系统1中的各个设备的控制，如图19所示。通过这样做，电力管理装置11能够执行对被管理的各个设备的充电控制，控制设备的操作，以及更新设备的固件。例如，电力管理装置11能够执行诸如“在XX点钟启动饭煲的功能”的控制。还可以将这种控制链接至电力估计功能(其是设置在电力管理装置11中的另一功能)，以及在电力便宜的时段内启动多个功能。电力管理装置11还能够与设置在系统1外部的服务器协同操作，以给用户提供多种服务。例如，外部设置的服务器能够使用由电力管理装置11输出的输出信息来提供服务等，使得可以容易地检查分开住的家庭成员是否具有正常电力使用状态(即，这种家庭成员正常生活，没有健康问题)。

这种控制不仅能够由电力管理装置11实现，还能够由例如设置在电力管理系统1中的可控制插座123、插座扩展装置127等实现。

为了实现这种控制，电力管理装置11存储信息，诸如图20中所示的信息，并且还将这种信息注册在系统1外部设置的系统管理服务器33中。图20是用于说明由电力管理装置11管理的多种信息的图。

如图20所示，电力管理装置11存储诸如分配给装置的标识号(ID)的信息，与制造商、型号等相关的信息，在系统中的注册日期、以及情况。另外，电力管理装置11存储诸如用户名、地址、电话号码、记账信息(与账户等相关的信息)、以及拥有电力管理装置11的用户的紧急联系方式等信息。电力管理装置11还存储与被分配给系统1中存在的配电装置121的ID、制造商名称、型号、注册日期、状态等相关的信息。另外，电力管理装置11存储与被分配给系统1中存在的多种类型可控制设备125的ID、制造商名称、型号、注册日期、状态等相关的信息。

通过存储这种信息，电力管理装置11可以发送获取多种信息的请求和/或向设置在系统1外部的服务器提供多种服务的请求。例如，电力管理装置11能够参考用于特定可控制设备125的制造商信息，访问由该制造商管理的服务器，以及从被访问服务器获取与可控制设备125相关的多种信息。

注意，除了能够由电力管理装置11控制的可控制设备125(即，配电装置121、可控制插座123、电动交通工具124、插座扩展装置127、电力存储装置128、以及发电装置129、130)之外，还存在不可控制设备和/或不可控制插座(为不能被控制的装置)存在于局部电力管理系统1中的情形。为此原因，电力管理装置11根据什么类型的装置(可控制设备或不可控制设备)连接至什么类型的插座(可控制插座或不可控制插座)来选择用于交换信息的装置、控制供电的方法等。注意，如下所述，除非特别说明，措辞“可控制设备125”还包括可以被控制的设备类型，诸如可控制插座123、电动交通工具124、插座扩展装置127、电力存储装置128等。

图21是用于说明通信装置、认证装置、以及根据插座的类型和被连接设备的类型设置的供电控制的组合的图。从图21可以清楚地看出，一种类型的插座以及连接至这种插座的一种类型的被连接设备的组合可以粗略地被划分为四种模式。

当可控制设备125连接至可控制插座123时，电力管理装置11能够与可控制插座123和可控制设备125通信并对其进行控制。从而，当被连接设备将电力信息发送至电力管理装置11时，例如，被连接设备(即，可控制设备125)可以使用ZigBee将电力信息发送至电力管理装置11。可控制插座123可以使用例如ZigBee或PLC来将电力信息发送至电力管理装置11。此外，在对被连接设备进行认证期间，被连接设备(可控制设备125)能够使用例如ZigBee来执行与电力管理装置11的认证。关于对被连接设备的供电的控制，电力管理装置11可以将控制命令发送至配电装置121。在一些情况下，可控制插座123还可以执行对被连接设备的供电的有限控制。

当不可控制设备126连接至可控制插座123时，被连接设备可能不能与电力管理装置11执行认证处理。这意味着，在这种情况下，被连接设备和电力管理装置11无法执行设备认证。在这种情况下的电力信息传输可以经由例如ZigBee或PLC，由不可控制设备126连接至的可控制插座123来执行。关于对被连接设备的供电的控制，电力管理装置11可以将控制命令发送至配电装置121。而且，在一些情况下，可控制插座123可以对被连接设备的供电执行有限控制。

当可控制设备125连接至不可控制插座时，被连接设备可以使用例如ZigBee来与电力管理装置11执行设备认证处理，并且将电力信息发送至电力管理装置11。而且，关于对被连接设备的供电的控制，电力管理装置11可以将控制命令发送至配电装置121。

当不可控制设备126连接至不可控制插座时，被连接设备不能与电力管理装置11执行设备认证处理或者将电力信息发送至电力管理装置11。而且，由于不能控制对被连接设备的供电，电力管理装置11不断地对被连接设备供电。

(1-6)设备管理单元的配置

对上述设备的控制基于由设置在电力管理装置11中的信息管理单元112获得的多种信息来执行。现在将参考图22详细地描述设置在电力管理装置11的信息管理单元112中的设备管理单元1121的具体配置。图22是示出根据本实施例的设备管理单元1121的配置的框图。

设备管理单元1121主要包括：密钥生成单元1501、系统注册单元1503、被管理设备注册单元1505、被管理设备信息获取单元1507、被管理设备信息输出单元1509、被排除设备指定单元1511、信息篡改检测单元1513、以及电力使用证书管理单元1515。

作为一个示例，密钥生成单元1501可以通过CPU(中央处理单元)、ROM(只读存储器)、RAM(随机存取存储器)等实现。密钥生成单元1501生成在局部电力管理系统1中使用的多种类型密钥，诸如，公开密钥、私密密钥、或公共密钥，以及用于在局部电力管理系统1和设置在系统1外部的装置之间进行通信的多种类型的密钥，诸如，公开密钥、私密密钥、或公共密钥。密钥生成单元1501使用已由例如系统管理服务器33或证书机构服务器35披露的公开参数，来生成当生成这种密钥时使用的多种参数或生成密钥本身。密钥生成单元1501将所生成的参数或密钥安全地存储在存储单元113等中。

根据来自系统注册单元1503或被管理设备注册单元1505的请求，实现由密钥生成单元1501执行的密钥生成处理，随后描述。一旦密钥生成处理结束，密钥生成单元1501就可以将所生成的密钥等输出至作出请求的处理单元(系统注册单元1503或被管理设备注册单元1505)。密钥生成单元1501可以向作出请求的处理单元(系统注册单元1503或被管理设备注册单元1505)通知密钥生成处理结束，使得处理单元然后可以从特定位置(例如，存储单元113)获取所生成的密钥等。

密钥生成单元1501执行密钥生成处理时的协议不限于指定协议，并且例如可以使用在局部电力管理系统1内设置的或者由与服务器达成的协议所确定的协议。

系统注册单元1503由例如CPU、ROM、RAM等实现。系统注册单元1503是执行经由广域通信单元114将电力管理装置11本身注册在管理局部电力管理系统1的系统管理服务器33中的处理的处理单元。

系统注册单元1503首先经由广域通信单元114连接至系统管理服务器33，并且实现与系统管理服务器33的具体认证处理。接下来，系统注册单元1503将指定的注册信息发送至系统管理服务器33，以将电力管理装置11本身注册在系统管理服务器33中。

系统注册单元1503发送至系统管理服务器33的注册信息的一个示例是图20中所示的信息。

随后将详细地描述由系统注册单元1503实现的注册处理的具体示例。

被管理设备注册单元1505由例如CPU、ROM、RAM等实现。被管理设备注册单元1505与能够经由局部通信单元111进行通信的可控制插座123、电动交通工具124、可控制设备125、插座扩展装置127、电力存储装置128、发电装置129、130等执行通信，并且将建立了通信的设备注册为被管理设备。当这种可控制装置连接至电源插座(可控制插座123、插座扩展装置127、不可控制插座)和/或被接通时，被管理设备注册单元1505与这种装置执行指定认证处理，并且在认证之后执行指定注册处理。

被管理设备注册单元1505从可控制装置获取该装置特有的标识号(设备ID)、制造商名称、型号、电力使用、被连接插座的ID等作为注册信息。被管理设备注册单元1505将所获取的注册信息注册在存储单元113等中所存储的数据库中。被管理设备注册单元1505还经由广域通信单元114将所获取的注册信息发送至系统管理服务器33，以将该信息注册在系统管理服务器33中。

随后将更详细地描述被管理设备注册单元1505的详细配置。随后还将详细地描述由被管理设备注册单元1505执行的注册处理的具体示例。

被管理设备信息获取单元1507由例如CPU、ROM、RAM等实现。被管理设备信息获取单元1507经由局部通信单元111从注册在电力管理装置11中的被管理设备获取多种信息。如图8所示，例如，示出设备的操作状态的信息、示出设备的使用状态的信息、环境信息、电力信息等都可以被给定为从被管理设备获取的信息的示例。被管理设备信息获取单元1507还能够从被管理设备获取除了上述信息之外的多种信息。

被管理设备信息获取单元1507还能够将从被管理设备获取的多种信息传递至被管理设备信息输出单元1509和被排除设备指定单元1511，将在随后描述。如果设备管理单元1121包括信息篡改检测单元1513，则被管理设备信息获取单元1507可以将从被管理设备获取的多种信息传递至信息篡改检测单元1513。

被管理设备信息输出单元1509由例如CPU、ROM、RAM等实现。被管理设备信息输出单元1509将被管理设备信息获取单元1507从被管理设备获取的多种信息输出至电力管理装置11的指定处理单元，和/或经由广域通信单元114将该信息输出至设置在电力管理装置11外部的装置。而且，如随后所描述的，如果被管理设备将用于检测信息是否已经被篡改的数据嵌入到该信息中，则当嵌入有该数据的这种信息被传递至分析服务器34时，被管理设备信息输出单元1509起到中介者的作用。

被排除设备指定单元1511由例如CPU、ROM、RAM等实现。被排除设备指定单元1511基于由被管理设备信息获取单元1507从被管理设备获取的多种信息，指定要从局部电力管理系统1排除的被管理设备。可以基于已经获取的多种信息来确定被排除设备，或者可以基于不能获取正常情况下可用的信息来确定。指定被排除设备的方法不限于具体方法，可以使用任意方法。

信息篡改检测单元1513由例如CPU、ROM、RAM等实现。如果用于检测信息是否已经被篡改的数据被嵌入到由被管理设备信息获取单元1507从被管理设备获取的信息中，则信息篡改检测单元1513验证这种数据并且检测该信息是否已经被篡改。电子水印可以被给定为信息中所嵌入的这种数据的一个示例。

在检测到该信息已经被篡改时，信息篡改检测单元1513可以向被排除设备指定单元1511通知这种结果。通过这样做，被排除设备指定单元1511变得能够从系统1中排除信息已被篡改的设备。

随后将描述由信息篡改检测单元1513执行的篡改检测处理。

电力使用证书管理单元1515由例如CPU、ROM、RAM等实现。在包括电力管理装置11的局部电力管理系统1中，在一些情况下，电力可以被提供给不属于系统1的可控制设备125等。为了这样做，如下所述，可控制设备125等从接收供电的系统1外部，将电力使用证书颁发至对接收供电的系统进行管理的电力管理装置11。电力使用证书是具有特定格式的证书，表示是否已经接收到供电。电力使用证书管理单元1515管理所颁发的电力使用证书，并且验证所颁发的电力使用证书是否为官方证书。当所颁发的电力使用证书为官方证书时，电力使用证书管理单元1515能够使用电力使用证书对与所提供电力相关的记账执行控制。

随后将详细地描述由电力使用证书管理单元1515执行的处理。

被管理设备注册单元的配置

接下来，将参考图23详细地描述被管理设备注册单元1505的配置。图23是用于说明被管理设备注册单元1505的配置的框图。

如图23所示，被管理设备注册单元1505包括被管理设备认证单元1551、签名生成单元1553、以及签名验证单元1555。

被管理设备认证单元1551由例如CPU、ROM、RAM等实现。如果未被注册在由电力管理装置11管理的局部电力管理系统1中的可控制设备125等被连接，则被管理设备认证单元1551使用由密钥生成单元1501生成的密钥等来认证未被注册的可控制设备125等。该认证处理可以是使用公开密钥的公开密钥认证处理，或者可以是使用公共密钥的公共密钥认证处理。通过与随后描述的签名生成单元1553和签名验证单元1555协作，被管理设备认证单元1551执行对被管理设备的认证处理和注册处理。

签名生成单元1553由例如CPU、ROM、RAM等实现。签名生成单元1553使用由密钥生成单元1501生成的密钥等来生成具体签名(数字签名)和/或用于执行认证处理的可控制设备125等的证书。签名生成单元1553将与所生成的签名相关的信息和/或证书注册在存储单元113等中存储的数据库中，并且经由局部通信单元111将所生成的签名和/或证书发送至执行认证处理的可控制设备125等。

签名验证单元1555由例如CPU、ROM、RAM等实现。签名验证单元1555使用由密钥生成单元1501生成的密钥等来验证由执行验证处理的可控制设备125等发送至电力管理装置11的签名(数字签名)和/或证书。如果签名和/或证书的验证成功，则签名验证单元1555将与验证成功的签名和/或证书相关的信息注册在存储单元113等中存储的数据库中。如果签名和/或证书的验证失败，则签名验证单元1555可以取消认证处理。

随后将描述由被管理设备注册单元1505、被管理设备认证单元1551、签名生成单元1553、以及签名验证单元1555协同对被管理设备执行认证处理和注册处理的具体示例。

信息篡改检测单元的配置

接下来，将参考图24详细地描述信息篡改检测单元1513的配置。图24是用于说明信息篡改检测单元1513的配置的框图。

如图24所示，信息篡改检测单元1513还包括嵌入位置指定单元1561、电子水印提取单元1563、以及电子水印验证单元1565。

通过根据本实施例的局部电力管理系统1，可以将适于这些信息的电子水印数据嵌入到诸如电流、电压、温度、以及湿度的物理数据中，或者嵌入到使用这种物理数据计算出的多种信息中。通过验证电子水印数据，局部电力管理系统1中的装置和能够与局部电力管理系统1双向通信的多种类型服务器能够检测物理数据(在下文中物理数据包括使用物理数据计算出的多种信息)是否已被篡改。

嵌入位置指定单元1561由例如CPU、ROM、RAM等实现。通过对已经使用预定信号处理电路嵌入有电子水印的物理数据进行分析，嵌入位置指定单元1561根据与数据对应的信号的特征，指定电子水印信息的嵌入位置。当指定电子水印信息的嵌入位置时，嵌入位置指定单元1561向电子水印提取单元1563通知与指定的嵌入位置相关的信息。注意，如果电子水印的嵌入位置在可控制设备125等与电力管理装置11之间预先确定，则可以不必执行对嵌入位置的指定处理。

电子水印提取单元1563由例如CPU、ROM、RAM等实现。电子水印提取单元1563基于与嵌入位置指定单元1561所提供的嵌入位置相关的信息，从物理数据提取电子水印信息。电子水印提取单元1563将从物理数据提取的电子水印传递至电子水印验证单元1565，随后描述。

电子水印验证单元1565由例如CPU、ROM、RAM等实现。电子水印验证单元1565首先基于与可控制设备125等共享的共享信息以及由电子水印提取单元1563提取的物理数据生成电子水印信息。为了生成电子水印信息，使用散列函数、伪随机数发生器、公开密钥加密、公共密钥加密、另一加密原语(例如，消息认证码(MAC))等。此后，电子水印验证单元1565将所生成的电子水印信息与电子水印提取单元1563所提取的电子水印信息进行比较。

如果所生成的电子水印信息与所提取的电子水印信息相同，则电子水印验证单元1565判断由可控制设备125生成的物理数据等未被篡改。而如果所生成的电子水印信息与所提取的电子水印信息不同，则电子水印验证单元1565判断物理数据已经被篡改。

如果物理数据被篡改，则电子水印验证单元1565通知被排除设备指定单元1511。通过这样做，被排除设备指定单元1511能够从局部电力管理系统1中排除其操作可能已经被修改的可控制设备125等。

以上完成了设备管理单元1121的配置的详细描述。

(1-7)信息分析单元的配置

接下来，将详细地描述信息分析单元1123的配置。图25是用于说明信息分析单元的配置的框图。

信息分析单元1123是生成次级信息的处理单元，诸如图8所示的信息分析单元，次级信息是多种数据的分析结果并且基于由设备管理单元1121获取或生成的信息。如图25所示，例如，信息分析单元1123包括设备状态判断单元1601和电力状态判断单元1603。

设备状态判断单元1601由例如CPU、ROM、RAM等实现。基于由设备管理单元1121获取的多种被管理设备信息，设备状态判断单元1601判断各个被管理设备的设备状态。当作为判断的结果，被管理设备的状态被判断为异常时，设备状态判断单元1601经由显示单元116向用户通知异常，并且还请求控制单元115控制被判断为处于异常状态的被管理设备。

电力状态判断单元1603由例如CPU、ROM、RAM等实现。电力状态判断单元1603基于由设备管理单元1121从多个装置获取的电力信息，来判断电力状态由电力管理装置11管理的局部电力管理系统1中的电力状态。当作为判断结果，被管理设备的状态被判断为异常时，电力状态判断单元1603经由显示单元116向用户通知异常，并且还请求控制单元115控制被判断为处于异常状态的被管理设备。

以上完成了根据本实施例的电力管理装置11的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替选地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平适当地改变所使用的配置。

注意，用于实现根据以上实施例的电力管理装置的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分配，而不使用记录介质。

(1-8)可控制设备的配置

接下来，将参考图26详细地描述根据本实施例的可控制设备的配置。图26是用于说明根据本实施例的可控制设备的配置的框图。

如图26所示，可控制设备125主要包括控制单元2001、传感器2003、蓄电池2005、功能提供单元2007、局部通信单元2009、输入单元2011、显示单元2013、存储单元2015等。

控制单元2001由例如CPU、ROM、RAM等实现。控制单元2001是执行对设置在可控制设备125中的处理单元的执行控制的处理单元。如先前所述，控制单元2001还将与可控制设备125相关的初级信息等发送至电力管理装置11。另外，当已经从临时注册了可控制设备125的电力管理装置接收到供电时，控制单元2001生成电力使用证书，如随后所述。注意，随后将描述控制单元2001的配置。

传感器2003由监控蓄电池状态的电流传感器或电压传感器或者监控可控制设备125的安装位置处的周围环境的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于控制单元2001的控制，传感器2003以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2001。

蓄电池2005是设置在可控制设备125中的电力存储装置，由一个或多个电池(cell)构成，并且提供可控制设备125操作所需要的电力。电力由外部电力或存在于系统1中的发电装置129、130提供给蓄电池2005，并且被存储在蓄电池2005中。蓄电池2005由控制单元2001控制，并且以指定时间间隔或任意定时将多种物理数据作为蓄电池信息输出至控制单元2001。

注意，虽然图26示出了可控制设备125装配有蓄电池2005的示例，但是根据可控制设备125的类型，可以使用不设置蓄电池2005并且直接给可控制设备125提供电力的配置。

功能提供单元2007由例如CPU、ROM、RAM、以及多种设备等实现。功能提供单元2007是实现由可控制设备125提供给用户的指定功能(例如，做饭功能、制冷功能、或记录和执行多种内容的功能)的处理单元。功能提供单元2007基于控制单元2001的控制向用户提供这种功能。

局部通信单元2009由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2009是用于经由局部电力管理系统1内构建的通信网络进行通信的通信装置。局部通信单元2009能够经由局部电力管理系统1内构建的通信网络与根据本实施例的电力管理装置11通信。

输入单元2011由例如CPU、ROM、RAM、以及输入设备等实现。输入单元2011是使用户能够输入信息的输入设备。注意，作为示例，键盘、按钮等被用作输入单元2011。还可以结合随后描述的显示单元2013和输入单元2011，以构建触摸面板。

显示单元2013由例如CPU、ROM、RAM、以及输出装置等实现。显示单元2013是用于显示关于可控制设备125的电力消费的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示设备。注意，作为示例，LCD、ELD等被用作显示设备。

存储单元2015是设置在可控制设备125内的存储装置的一个示例。存储单元2015存储可控制设备125特有的识别信息、与可控制设备125所保存的多种密钥相关的信息、由可控制设备125保存的多种数字签名和/证书等。多种历史信息也可以记录在存储单元2015中。另外，当根据本实施例的可控制设备125执行处理时应该被存储的处理的多种参数和中间过程或多种数据库等，被适当地记录在存储单元2015中。可控制设备125的多种处理单元还能够自由地对存储单元2015进行读取和写入。

控制单元的配置-第1部分

以上完成了根据本实施例的可控制设备125的总体配置的描述。现在将参考图27详细地描述可控制设备125的控制单元2001的配置。

如图27所示，可控制设备125的控制单元2001包括：认证处理单元2021、传感器控制单元2023、传感器信息输出单元2025、蓄电池控制单元2027、以及蓄电池信息输出单元2029。

认证处理单元2021由例如CPU、ROM、RAM等实现。认证处理单元2021与电力管理装置11一起基于指定协议执行认证处理，并且还执行将可控制设备125注册在电力管理装置11中的处理。当与电力管理装置11执行处理时，认证处理单元2021能够使用存储在存储单元2015等中的多种密钥、当制造可控制设备125时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2021执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2023由例如CPU、ROM、RAM等实现。传感器控制单元2023是对设置在可控制设备125中的传感器2003进行控制的处理单元。传感器控制单元2023根据指定方法执行对传感器2003的控制，以指定时间间隔或在任意定时获取由传感器2003测量的物理数据，并且将物理数据输出至传感器信息输出单元2025，随后描述。

传感器信息输出单元2025由例如CPU、ROM、RAM等实现。传感器信息输出单元2025经由局部通信单元2009将从传感器控制单元2023输出的传感器信息输出至电力管理装置11。当输出传感器信息时，传感器信息输出单元2025还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2025可以使用从传感器控制单元2023获取的信息来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

蓄电池控制单元2027由例如CPU、ROM、RAM等实现。蓄电池控制单元2027是对设置在可控制设备125中的蓄电池2005进行控制的处理单元。蓄电池控制单元2027使用存储在蓄电池2005中的电力以使可控制设备125起作用，并且根据状态将存储在蓄电池2005中的电力提供至可控制设备125的外部。蓄电池控制单元2027根据指定方法执行对蓄电池2005的控制，以指定时间间隔或在任意定时获取由蓄电池2005测量的物理数据，并将物理数据输出至蓄电池信息输出单元2029，如随后描述。

蓄电池信息输出单元2029由例如CPU、ROM、RAM等实现。蓄电池信息输出单元2029经由局部通信单元2009将从蓄电池控制单元2027输出的蓄电池信息输出至电力管理装置11。当输出蓄电池信息时，蓄电池信息输出单元2029还可以实现预处理，诸如降噪处理和数字化处理。蓄电池信息输出单元2029还可以使用从蓄电池控制单元2027获取的信息来生成多种次级信息，并且将次级信息作为蓄电池信息输出。

控制单元的配置-第2部分

可控制设备125的控制单元2001可以具有以下描述的配置以代替图27中所示的配置。现在将参考图28详细地描述设置在可控制设备125中的控制单元2001的另一种配置。

如图28所示，可控制设备125的控制单元2001可以包括：认证处理单元2021、传感器控制单元2023、蓄电池控制单元2027、以及篡改检测信息生成单元2031。

由于图28中所示的认证处理单元2021具有与图27中所示的认证处理单元2021相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器控制信息和蓄电池信息输出至篡改检测信息生成单元2031之外，图28中所示的传感器控制单元2023和蓄电池控制单元2027具有与图27中所示的相应处理单元相同的配置并且实现相同的效果。从而，省略其详细描述。

篡改检测信息生成单元2031由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2031基于从传感器控制单元2023输出的传感器信息和从蓄电池控制单元2027输出的蓄电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2031经由局部通信单元2009将所生成的篡改检测信息发送至电力管理装置11。电力管理装置11还可以将篡改检测信息生成单元2031生成的篡改检测信息传递至设置在局部电力管理系统1外部的多个服务器，诸如，分析服务器34。

篡改检测信息生成单元的配置

现在将参考图29描述篡改检测信息生成单元2031的详细配置。图29是用于说明篡改检测信息生成单元的配置的框图。

如图29所示，篡改检测信息生成单元2031还包括：设备表征信息生成单元2033、电子水印生成单元2035、嵌入位置确定单元2037、以及电子水印嵌入单元2039。

设备表征信息生成单元2033由例如CPU、ROM、RAM等实现。设备表征信息生成单元2033基于从传感器控制单元2023和蓄电池控制单元2027输出的传感器信息和蓄电池信息来生成设备表征信息，设备表征信息是表征可控制设备125的表征量信息。设备表征信息生成单元2033可以使用传感器信息和蓄电池信息本身作为设备表征信息，或者可以将使用传感器信息和蓄电池信息新生成的信息用作设备表征信息。设备表征信息生成单元2033将所生成的设备表征信息输出至嵌入位置确定单元2037和电子水印嵌入单元2039，随后描述。

注意，设备表征信息生成单元2033可以在生成设备表征信息之前验证输入的传感器信息和蓄电池信息。在这种情况下，设备表征信息生成单元2033可以参考存储在存储单元2015等中的数据库等来获取物理数据(诸如，传感器信息和蓄电池信息)的取值范围，并且判断所获得的物理数据是否存在于该范围内。而且，设备表征信息生成单元2033可以分析所获取的物理数据，并且确认可控制设备125没有呈现异常行为。如果设备表征信息生成单元2033通过执行这样的验证检测出异常行为或者物理数据的合法性被确认，则设备表征信息生成单元2033可以经由显示单元2013向用户通知这种状态。

电子水印生成单元2035由例如CPU、ROM、RAM等实现。电子水印生成单元2035使用在可控制设备125与电力管理装置11或外部服务器(诸如分析服务器34)之间被共享的共享信息(诸如与密钥信息和标识号相关的信息)，以生成要被用作篡改检测信息的电子水印信息。

作为示例，由电子水印生成单元2035生成的电子水印信息可以使用共享信息本身、基于共享信息生成的伪随机串、使用可控制设备125特有的唯一值(诸如ID信息)生成的信息等来生成。如果生成和嵌入电子水印信息的方法或者嵌入电子水印信息本身不被第三方所知，则可以通过使用利用这种信息生成的电子水印信息来检测对信息的篡改。

还可以经由电力管理装置11将嵌入了由以下方法生成的电子水印信息的物理数据传递至诸如分析服务器34的外部服务器。同时，还存在用作中间装置的电力管理装置11被恶意第三方等接管的危险。在这种情况下，接管电力管理装置11的该第三方可能从事非法行为，诸如重新使用接管之前的篡改检测信息以防止外部服务器的真正用户、管理者等注意到该接管。为此，除了以上描述的信息之外还通过使用时间信息定期地生成电子水印信息，电子水印生成单元2035能够检测诸如电力管理装置11以上述方式被接管的现象。

为了生成电子水印信息，电子水印生成单元2035能够使用多种技术，诸如散列函数、公开密钥加密、随机数发生器、公共密钥加密、另一加密原语(MAC)等。在这种情况下，被输出的电子水印信息的数据大小被设置为m个比特。

这样，根据本实施例的电子水印生成单元2035使用物理数据生成电子水印信息，而不使用物理数据本身作为电子水印信息。

电子水印生成单元2035将所生成的电子水印信息输出至电子水印嵌入单元2039，随后描述。

嵌入位置确定单元2037由例如CPU、ROM、RAM等实现。嵌入位置确定单元2037分析从设备表征信息生成单元2033传递的设备表征信息，并且确定篡改检测信息在设备表征信息中的嵌入位置。更具体地，嵌入位置确定单元2037确定将在设备表征信息中具有等于或大于指定阈值的大值的区域、具有高离差的区域、与噪声区域对应的区域、当频域上的数据被处理时的高频域等作为嵌入位置。如果电子水印信息被嵌入到数据的某个区域，诸如具有高噪声的区域和具有高SN比的区域中，则对设备表征信息的总体倾向(例如，统计特性)基本没有影响。这意味着，通过使用这种区域作为电子水印信息的嵌入位置，不必独立于设备表征信息发送电子水印信息，并且甚至仅具有用于接收设备表征信息的功能的电力管理装置11都可以检测篡改。

嵌入位置确定单元2037将与所确定的嵌入位置相关的位置信息输出至电子水印嵌入单元2039，随后描述。注意，当电子水印信息的嵌入位置被预先确定时，不需要执行该处理。

电子水印嵌入单元2039由例如CPU、ROM、RAM等实现。电子水印嵌入单元2039基于从嵌入位置确定单元2037接收的与嵌入位置相关的位置信息，将由电子水印生成单元2035生成的电子水印信息嵌入到设备表征信息生成单元2033所生成的设备表征信息中。通过这样做，生成嵌入有电子水印信息的设备表征信息。

电子水印嵌入单元2039可以再次对嵌入有电子水印信息的设备表征信息进行验证。通过执行这样的验证，在该信息包括超过设备表征信息的取值范围的值时，或者在异常行为被清楚地指示时，篡改检测信息生成单元2031可以重复嵌入电子水印信息的处理。而且，当嵌入尝试的次数等于或在预定阈值以上时，电子水印嵌入单元2039可以经由显示单元2013通知用户。

注意，当时间信息被用于不仅验证信息是否被篡改，还验证电力管理装置11是否被接管时，这种时间信息可以被结合作为上述电子水印信息的一部分，或者这种时间信息可以独立于电子水印信息而被嵌入到设备表征信息中。

以上完成了根据本实施例的可控制设备125的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替选地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平，适当地改变所使用的配置。

例如，在图26中，示出蓄电池2005与可控制设备125整体地形成的情况，但是蓄电池还可以独立于可控制设备125形成。

而且，除了图26中所示的处理单元之外，可控制设备125还可以包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力管理装置的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分配，而不使用记录介质。

(1-9)电力存储装置的配置

接下来，将参考图30详细地描述根据本实施例的电力存储装置128的配置。图30是用于说明根据本实施例的电力存储装置的配置的框图。

如图30所示，电力存储装置128主要包括：控制单元2501、传感器2503、电池2505、局部通信单元2507、显示单元2509、存储单元2511等。

控制单元2501由例如CPU、ROM、RAM等实现。控制单元2501是执行对设置在可控制设备125中的处理单元的执行控制的处理单元。控制单元2501还将与可控制设备125相关的先前描述的初级信息等发送至电力管理装置11。而且，如果稍后描述的电池2505中出现问题如损坏，则控制单元2501执行对电池的重配置(电池配置的重新设置)。注意，随后将详细描述控制单元2501的配置。

传感器2503由对电池2505的状态进行监控的电流传感器或电压传感器或者对电力存储设备128的安装位置处的周围环境进行监控的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于控制单元2501进行的控制，传感器2503以指定时间间隔或在任意定时测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2501。

电池2505是设置在电力存储装置128中的电力存储设备，由一个或多个电池构成，并且对电力存储装置128以及设置在电力存储装置128外部的装置供电。电力由外部电力或存在于系统1中的发电装置129、130提供给电池2505，并且被存储在电池2505中。电池2505由控制单元2501控制，并且以指定时间间隔或任意定时将多种物理数据作为电池信息输出至控制单元2501。

局部通信单元2507由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2507是用于经由局部电力管理系统1内构建的通信网络进行通信的通信装置。局部通信单元2507能够经由局部电力管理系统1内构建的通信网络与根据本实施例的电力管理装置11通信。

显示单元2509由例如CPU、ROM、RAM、以及输出装置等实现。显示单元2509是用于显示关于电力存储装置128的电力消费的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示设备。注意，作为示例，LCD、ELD等被用作显示设备。

存储单元2511是设置在电力存储装置128内的存储装置的一个示例。存储单元2511存储电力存储装置128特有的识别信息、与电力存储装置128所保存的多种密钥相关的信息、由电力存储装置128保存的多种数字签名和/证书等。多种历史信息也可以被记录在存储单元2511中。另外，当根据本实施例的电力存储装置128执行处理时应该被存储的处理的多种参数和中间过程或多种数据库等被适当地记录在存储单元2511中。电力存储装置128的多种处理单元还能够自由地对存储单元2511进行读取和写入。

控制单元的配置-第1部分

以上完成了根据本实施例的电力存储装置128的总体配置的描述。现在将参考图31详细地描述电力存储装置128的控制单元2501的配置。

如图31所示，电力存储装置128的控制单元2501包括：认证处理单元2521、传感器控制单元2523、传感器信息输出单元2525、电池控制单元2527、以及电池信息输出单元2529。

认证处理单元2521由例如CPU、ROM、RAM等实现。认证处理单元2521与电力管理装置11一起基于指定协议执行认证处理，并且还执行将电力存储装置128注册在电力管理装置11中的处理。当与电力管理装置11执行处理时，认证处理单元2521能够使用存储在存储单元2511等中的多种密钥、制造电力存储装置128时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2521执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2523由例如CPU、ROM、RAM等实现。传感器控制单元2523是控制设置在电力存储装置128中的传感器2503的处理单元。传感器控制单元2523根据指定方法执行对传感器2503的控制，以指定时间间隔或在任意定时获取由传感器2503测量到的物理数据，并且将物理数据输出至传感器信息输出单元2525，随后描述。

传感器信息输出单元2525由例如CPU、ROM、RAM等实现。传感器信息输出单元2525经由局部通信单元2507将从传感器控制单元2523输出的传感器信息输出至电力管理装置11。当输出传感器信息时，传感器信息输出单元2525还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2525可以使用从传感器控制单元2523获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

电池控制单元2527由例如CPU、ROM、RAM等实现。电池控制单元2527是控制设置在电力存储装置128中的电池2505的处理单元。电池控制单元2527使用存储在电池2505中的电力以使电力存储装置128起作用，并且根据状态将存储在电池2505中的电力提供至电力存储装置128的外部。电池控制单元2527根据指定方法执行对电池2505的控制，以指定时间间隔或在任意定时获取由电池2505测量的物理数据，并将物理数据输出至电池信息输出单元2529，如随后描述。

电池信息输出单元2529由例如CPU、ROM、RAM等实现。电池信息输出单元2529经由局部通信单元2507将从电池控制单元2527输出的电池信息输出至电力管理装置11。当输出电池信息时，电池信息输出单元2529还可以实现预处理，诸如降噪处理和数字化处理。电池信息输出单元2529还可以使用从电池控制单元2527获取的信息来生成多种类型的次级信息，并且将这种信息作为电池信息输出。

控制单元的配置-第2部分

电力存储装置128的控制单元2501可以具有以下描述的配置以代替图31中所示的配置。现在将参考图32详细地描述设置在电力存储装置128中的控制单元2501的另一种配置。

如图32所示，电力存储装置128的控制单元2501可以包括：认证处理单元2521、传感器控制单元2523、电池控制单元2527、以及篡改检测信息生成单元2531。

由于图32中所示的认证处理单元2521具有与图31中所示的认证处理单元2521相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器控制信息和电池信息输出至篡改检测信息生成单元2531之外，图32中所示的传感器控制单元2523和电池控制单元2527具有与图31中所示的相应处理单元相同的配置并且实现相同的效果。从而，省略其详细描述。

篡改检测信息生成单元2531由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2531基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2531经由局部通信单元2507将所生成的篡改检测信息发送至电力管理装置11。电力管理装置11还可以将篡改检测信息生成单元2531所生成的篡改检测信息传递至设置在局部电力管理系统1外部的多个服务器，诸如分析服务器34。

篡改检测信息生成单元的配置

现在将参考图33描述篡改检测信息生成单元2531的详细配置。图33是用于说明篡改检测信息生成单元的配置的框图。

如图33所示，篡改检测信息生成单元2531还包括：设备表征信息生成单元2533、电子水印生成单元2535、嵌入位置确定单元2537、以及电子水印嵌入单元2539。

除了基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息生成设备表征信息之外，设备表征信息生成单元2533具有与图29中所示的设备表征信息生成单元2033相同的功能并且实现相同的效果。从而，省略其详细描述。

而且，电子水印生成单元2535、嵌入位置确定单元2537以及电子水印嵌入单元2539具有与图29中所示的相应处理单元相同的功能并且实现相同的效果。从而，省略其详细描述。

以上完成了根据本实施例的电力存储装置128的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替选地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主导技术水平，适当地改变所使用的配置。

例如，除了图30中所示的处理单元之外，电力存储装置128还可以包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力存储装置的功能的计算机程序可以被创建并安装在具有电力存储装置的个人计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分配，而不使用记录介质。

(1-10)电子水印信息的嵌入方法和验证方法的具体示例

现在将详细地描述电子水印信息的嵌入方法和验证方法的具体示例。

在智能、网络化、以及数字化的局部电力管理系统1中，电力管理装置11关于该系统中各个设备的电力使用与各设备和蓄电池进行通信，以优化整个系统中的电力使用。通过这样做，电力管理装置11监控来自各个设备/蓄电池的传感器信息以及状态(如日期/时间、电价、温度、以及用户是在家还是外出)，并且根据这种状态执行诸如设置操作模式和各个设备的最大电流的控制。还可受益于多种服务，诸如经由电力管理装置11从家外进行控制，以制定由安全检验服务器支持的高度安全措施、以及最优化。

当这样做时，由于可以从外部对设备和蓄电池进行访问，所以增加了安全威胁，诸如发送至设备或蓄电池的异常操作命令、从另一电力管理装置启动的对家用电力管理装置或设备或蓄电池的攻击、DoS攻击、以及信息泄露。对这种威胁的可能对策包括：由电力管理装置11进行业务(traffic)管理、防病毒措施、以及安装防火墙。为了对付未知攻击，假设用于设备或蓄电池的传感器信息和执行命令信息被发送至诸如分析服务器34的安全检验服务器，并且物理仿真或学习理论被用于估计危害程度和/或检测非法使用。

然而，由于这种对策以电力管理装置正常操作为前提，当电力管理装置11的控制功能受到外部攻击者危害时，这种防御将会无效。而且，由于制造和管理成本导致的设备和蓄电池很可能具有相对弱的防御性，在电力管理装置11的控制功能受到危害的情况下，实际上可以想象，设备和蓄电池是无防御的。另外，虽然可以想到非法电力管理装置用作合法电力管理装置、篡改物理数据、并且将这种数据发送至安全检验服务器的攻击，但是由于对于服务来说很难区分非法电力管理装置和有效电力管理装置，所以很难检测这种攻击。由于与对计算机的传统攻击相比，对设备或蓄电池的攻击具有导致主要危害的较高风险，所以必须给电力管理装置以及设备和电池都提供特定级别的安全功能。

为此，在本实施例中，如先前所描述的，可以将用于防止非法篡改的电子水印插入到从设备和蓄电池的传感器等获取的物理数据中。通过使用这种方法，甚至当物理数据在通信路径上被攻击者篡改时，仍可以检测到攻击。而且，甚至当电力管理装置的控制功能受到危害时，通过将包括时间信息的电子水印信息定期地发送至安全检验服务器，可以通过与服务的协作检测到控制功能已经受到危害。另外，通过使用电子水印信息，不必分别向物理数据发送诸如MAC的认证信息，这使得可以使用能够仅接收物理数据的电力管理装置。

现在将通过给出示例来更具体地描述电子水印信息的嵌入方法和验证方法。注意，在以下解释中，假设电子水印信息被嵌入在特定时间获得的物理数据(设备表征信息)中。物理数据是由n个数据构成的时间序列数据，并且在时间k(其中，0≤k≤n-1)处的物理数据值被表示为X_k。在各时间处的物理数据值从传感器等获取之后，经过离散化，并且被设置为r比特数据。电子水印信息的数据大小被设置为m比特。

使用共享信息的电子水印信息的嵌入方法和验证方法

现在将通过给出具体示例来详细描述使用共享信息的电子水印信息的嵌入方法和验证方法。

具体示例1

首先，将描述由可控制设备125等执行的电子水印信息的嵌入方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定信号处理电路等，从作为物理数据的设备表征信息等中选择具有大值的p个数据。此后，电子水印嵌入单元2039使用指定嵌入处理电路等，相继地将基于共享信息生成的电子水印信息按照时间序列顺序插入到从所选择的p个设备表征信息的最低有效位(LSB)开始数起的q(k)比特部分中。在此，q(k)为满足以下给定的条件的值。

表达式1

$1\≤q\left(k\right)\≤r-\mathrm{1,0}\≤k\≤p-1,\underset{k=0}{\overset{p-1}{\mathrm{\Σ}}}q\left(k\right)=m$ (条件a)

在一些情况下，在电子水印信息被嵌入之后的所选择的p个设备表征信息的值将等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的设备表征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值低于嵌入p个电子水印信息之后的设备表征信息的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述通过电力管理装置11的信息篡改检测单元或者安全检验服务器(诸如分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定信号处理电路等，来从作为物理数据的设备表征信息等中指定具有大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息以及指定嵌入提取电路等，以便按照时间序列连续地提取从所选择的p个设备表征信息的LSB开始数起的q(k)个比特的值。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并将所生成的信息与由电子水印提取单元提取的电子水印信息进行比较。

具体示例2

首先，将描述由可控制设备125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定信号处理电路等来执行由以下公式101表达的离散傅立叶变换或者由以下公式102表达的离散余弦变换，以将时域中的设备表征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。

表达式2

$y_j=\underset{k=}{\overset{n-1}{\mathrm{\Σ}}}{x}_k{e}^{-\frac{2\mathrm{\πi}}{n}\mathrm{jk}},j=0,...,n-1$ ...(公式101)

$y_j=\left\{\begin{array}{c}\frac{\sqrt{2}}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k(j=0)\\ \frac{2}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k\cos \frac{(2k+1)\mathrm{j\π}}{2n}(j\≠0)\end{array}\right.$ ...(公式102)

此后，嵌入位置确定单元2037按照从高频率开始的顺序选择p个高频分量(即，在公式101和102中j很大的分量)。接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。在此，“q(k)”是满足以上给定条件的值。

在此，作为在使用离散傅立叶变换时嵌入的方法，可以使用任意方法，诸如给实数和复数均一地指派，或者给大值指派优先级。

接下来，电子水印嵌入单元2039使用指定信号处理电路等，以使嵌入电子水印信息之后的频域中的数据进行由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将该数据恢复为时域中的数据串。

表达式3

$x_k=\frac{1}{n}\underset{j=0}{\overset{n-1}{\mathrm{\Σ}}}{y}_j{e}^{\frac{2\mathrm{\πi}}{n}\mathrm{jk}},k=0,...,n-1$ ...(公式103)

$x_k=\frac{1}{\sqrt{2}}{y}_0+\underset{j=1}{\overset{n-1}{\mathrm{\Σ}}}{y}_j\cos \frac{(2k+1)\mathrm{j\π}}{2n},k=0,...,n-1$ ...(公式104)

接下来，将描述通过电力管理装置11的信息篡改检测单元或安全检验服务器(诸如分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的设备表征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元按照从高频率开始的顺序选择p个高频分量(即，在公式101和102中j很大的分量)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，并且使用预定嵌入提取电路等相继地提取从所选择的p个设备表征信息的最低有效位LSB开始数起的q(k)比特值。然后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与由电子水印提取单元提取的电子水印信息进行比较。

具体示例3

首先，将描述由可控制设备125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的设备表征信息生成单元2033基于设备表征信息X_k生成差数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置确定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差数据的和低于指定阈值σ，并且所选p-1个数据在满足这种条件的连续数据串中具有最高平方和。

此后，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息按照时间序列顺序相继地插入从所选择的p个设备表征信息X_k(t-1≤k≤t+p-2)的最低有效位LSB开始数起的q(k)比特部分。在此，“q(k)”是满足以上给定条件的值。

关于嵌入电子水印信息之后的p个所选择的设备表征信息的连续差数据，可能存在以下情况：和低于阈值σ和/或平方和是满足这种条件的连续数据串中的最高者不再为真。在这种情况下，篡改检测信息生成单元2031的设备表征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得以上给定的条件为真。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到以上条件为真为止。

接下来，将描述由电力管理装置11和安全检验服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成用于设备表征信息X_k的差数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，其中，p-1连续差数据的和低于预定阈值σ，并且平方和是满足这种条件的连续数据串中的最高者。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定嵌入提取电路等，按照时间序列顺序相继地提取从所选择的p个设备表征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。接下来，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与由电子水印提取单元提取的电子水印信息进行比较。

使用共享信息和时间信息的电子水印信息的嵌入方法和验证方法

以上描述了使用共享信息的电子水印信息的嵌入方法和验证方法。接下来，将通过给出具体示例来描述使用共享信息和时间信息的电子水印信息的嵌入方法和验证方法。

注意，由于使用共享信息和时间信息的电子水印信息还可以用于检测电力管理装置11是否被接管，这种信息的验证通常由诸如分析服务器34的安全检验服务器来执行。

注意，当验证使用时间信息的电子水印信息时，诸如分析服务器34的安全检验服务器根据时间信息如何被嵌入来改变验证方法。即，如果时间信息与电子水印信息一起被嵌入，则在验证期间嵌入的时间信息被提取并且用于数据生成处理。如果未嵌入时间信息，则使用预先确定的时间信息或者基于用于设备表征信息的估计获取时间所选择的一个或多个时间信息，生成电子水印信息。

具体示例1

首先，将描述由可控制设备125实现的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的电子水印生成单元2035使用指定电路等，基于从n个设备表征信息(物理数据)的最高有效位(MSB)开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及在一些情况下的其它信息，生成用于每个设备表征信息的m比特电子水印信息。

此后，嵌入位置确定单元2037使用指定嵌入电路等，以将为每个设备表征信息生成的电子水印信息嵌入从设备表征信息的LSB开始的m比特部分。在这种情况下，整个电子水印信息的数据大小为nm比特。

接下来，将描述由安全检验服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

首先，信息篡改检测单元的电子水印提取单元使用指定嵌入提取电路，以提取从n个设备表征信息中的每个的LSB开始数起的m比特数据作为电子水印信息。接下来，电子水印验证单元基于从n个设备表征信息的MSB开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及由嵌入侧使用的数据，生成用于每个设备表征信息的m比特电子水印信息。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与由电子水印提取单元提取的电子水印信息进行比较。

注意，虽然在以上说明中描述了时域中的数据，还可以使用关于频域数据的相同方式，该频域数据是通过经由离散傅立叶变换或离散余弦变换来转换设备表征信息(诸如，物理数据)而生成的。

具体示例2

首先，将描述由可控制设备125等实现的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定信号处理电路等，从作为物理数据的设备表征信息等中选择具有大值的p个数据。

此后，电子水印生成单元2035基于除了从所选择的p个设备表征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其它信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，按照时间序列顺序将所生成的电子水印信息相继地插入从所选择的p个设备表征信息的LSB开始数起的q(k)比特部分中。

在一些情况下，嵌入电子水印信息之后的所选择的p个设备表征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的设备表征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值低于嵌入p个电子水印信息之后设务表征信息的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述由安全检测服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定信号处理电路等，在作为物理数据的设备表征信息等中指定具有大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息和指定嵌入提取电路等，按照时间序列相继地提取从所选择的p个设备表征信息的LSB开始数起的q(k)比特的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将电子水印提取单元所提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例3

首先，将描述由可控制设备125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置确定单元2037使用指定信号处理电路等，来执行由以上公式101表达的离散傅立叶变换或者由以上公式102表达的离散余弦变换，以将时域中的设备表征信息(物理数据)(X₀，X₁，...，X_n-1)转换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。

此后，嵌入位置确定单元2037按照从高频率开始的顺序选择p个高频分量(即，在公式101和102中j很大的分量)。

此后，电子水印生成单元2035基于除从所选择的p个设备表征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其它信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。

在此，作为在使用离散傅立叶变换时嵌入的方法，可以使用任意方法，诸如给实数和复数均一地指派，或者给大值指派优先级。

接下来，电子水印嵌入单元2039使用指定信号处理电路等，使嵌入电子水印信息之后的频域中的数据经受由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将数据恢复为时域中的数据串。

接下来，将描述由安全服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的设备表征信息(物理数据)(X₀，X₁，...，X_n-1)转换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元按照从高频率开始的顺序选择p个高频分量(即，在公式101和102中j很大的分量)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，使用预定嵌入提取电路等，相继地提取从所选择的p个设备表征信息的最低有效位LSB开始数起的q(k)比特值。

接下来，电子水印验证单元基于电子水印信息未嵌入的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例4

首先，将描述由可控制设备125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的设备表征信息生成单元2033基于设备表征信息X_k生成差数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置确定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差数据的和低于指定阈值σ，并且所选p-1个数据在满足这种条件的连续数据串中具有最高平方和。

此后，电子水印生成单元2035基于除从所选择的p个设备表征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其它信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。

关于嵌入电子水印信息之后的p个所选择的设备表征信息的连续差数据，可存在以下情况：和低于阈值σ和/或平方和是满足这种条件的连续数据串中的最高者不再为真。在这种情况下，篡改检测信息生成单元2031的设备表征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得以上给定的条件为真。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到以上条件为真为止。

接下来，将描述由电力管理装置11的信息篡改检测单元和安全检验服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成用于设备表征信息X_k的差数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，其中，p-1连续差数据的和低于预定阈值σ，并且平方和是满足这种条件的连续数据串中的最高者。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定嵌入提取电路等，按照时间序列顺序相继地提取从所选择的p个设备表征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。

接下来，电子水印验证单元基于电子水印信息未嵌入的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

以上已经描述了使用共享信息的电子水印信息的嵌入方法和验证方法，以及使用共享信息和时间信息的电子水印信息的嵌入方法和验证方法，同时给出了具体示例。通过在根据本实施例的局部电力管理系统1中使用这种方法，可以检测诸如信息是否已被篡改和电力管理装置是否已被接管的进展。

注意，虽然在以上解释中具体描述了将电子水印信息嵌入具有大值的区域中的情况，但是还可以实现当电子水印信息被嵌入具有高离差的区域、噪声区域等中时的相同处理。

(1-11)注册电力管理装置的方法

接下来，将参考图34和图35按照处理流程的顺序描述由电力管理装置11实现的注册电力管理装置的方法。图34是用于解释根据本实施例的注册电力管理装置的方法的流程图。图35是用于解释根据本实施例的注册电力管理装置的方法的具体示例的流程图。

首先，将参考图34描述电力管理装置11的注册方法的整体流程。

电力管理装置11的设备管理单元1121首先连接设置在局部电力管理系统1中的配电装置121(步骤S1001)。更具体地，设备管理单元1121从配电装置121获取在制造配电装置121时存储在配电装置121中的数字签名、证书等，并且自动地或经由在线识别来识别配电装置121。根据用于可控制设备125等的识别处理和注册处理的流程，来执行用于配电装置121的识别处理和注册处理，随后描述。

此后，设备管理单元1121将询问用户待注册信息(被注册信息)的内容的消息显示在设置于电力管理装置11中的显示单元116上。用户对设置在电力管理装置11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册信息的内容(诸如，图20中所示的信息)输入至电力管理装置11中。通过这样做，设备管理单元1121能够获取注册信息(步骤S1003)。

接下来，设备管理单元1121经由广域通信单元114连接至系统管理服务器33，并且由系统管理服务器33执行认证(步骤S1005)。虽然可以使用任意技术连接至系统管理服务器33并且执行认证处理，但作为一个示例，使用公开密钥加密。

在由系统管理服务器33执行的认证处理中，系统管理服务器33向电力管理装置11通知认证结果。设备管理单元1121参考所接收的认证结果，并且判断认证是否成功(步骤S1007)。

当由系统管理服务器33进行的认证处理失败时，设备管理单元1121确定写入认证结果中的错误内容(步骤S1009)。在注册信息不完整的情况(a)下，设备管理单元1121返回至步骤S1003，询问不完整注册信息的内容，并且获取正确内容。在注册信息并非不完整但认证失败的情况(b)下，设备管理单元1121连接至系统管理服务器33并且再次执行认证处理。而且，在认证失败连续反复的指定次数或更多的情况(c)下，设备管理单元1121取消对电力管理装置11的注册。

同时，当由系统管理服务器33执行的认证处理成功时，设备管理单元1121将所获取的注册信息正式地发送至系统管理服务器33(步骤S1011)，并且将电力管理装置11注册在系统管理服务器33的数据库中。

通过根据上述流程执行处理，电力管理装置11的设备管理单元1121能够将电力管理装置11本身注册在系统管理服务器33中。注意，当电力管理装置11的注册成功时，电力管理装置11定期地与系统管理服务器33进行通信并且检验当前状态。

注册电力管理装置的方法的具体示例

接下来，将参考图35描述注册电力管理装置的方法的具体示例。图35示出使用公开密钥加密来注册电力管理装置的方法的示例。

注意，假设在以下解释开始之前，电力管理装置11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设，例如，电力管理装置特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已由制造商存储在该设备中。另外，假设系统管理服务器33具有系统管理服务器33特有的公开密钥和私密密钥。

当电力管理装置11的用户已执行开始用于电力管理装置的注册处理的操作时，设备管理单元1121的密钥生成单元1501使用公开参数来生成由公开密钥和私密密钥构成的密钥对(步骤S1021)。密钥生成单元1501将所生成的密钥对存储在存储单元113等中。

接下来，系统注册单元1503使用系统管理服务器33的公开密钥对电力管理装置的识别信息、识别信息的数字签名、以及生成的公开密钥进行加密。此后，系统注册单元1503将所生成的密码作为证书颁发请求，经由广域通信单元114发送至系统管理服务器33(步骤S1023)。

当获取从电力管理装置11发送的证书颁发请求时，系统管理服务器33首先验证附加至数字签名的签名的合法性(步骤S1025)。更具体地，系统管理服务器33使用由服务器隐藏的私密密钥，来验证附加至电力管理装置的识别信息的数字签名是否有效。

如果验证失败，则系统管理服务器33将表示认证失败的认证结果发送至电力管理装置11。同时，如果验证成功，则系统管理服务器33将电力管理装置11的识别信息添加至由系统管理服务器33存储的数据库中的被管理列表中(步骤S1027)。

接下来，系统管理服务器33颁发用于由电力管理装置11生成的公开密钥的公开密钥证书(步骤S1029)，并且将所生成的公开密钥证书发送至电力管理装置11。

当接收到从系统管理服务器33发送的公开密钥证书时，电力管理装置11的系统注册单元1503验证公开密钥证书(步骤S1031)。如果公开密钥证书的验证成功，则系统注册单元1503将注册信息发送至系统管理服务器33(步骤S1033)。注意，使用加密通信来执行对注册信息的这种发送。

当接收到从电力管理装置11发送的注册信息时，系统管理服务器33将所接收到的注册信息注册在被管理列表中(步骤S1035)。通过这样做，由电力管理装置11和系统管理服务器33执行的用于注册电力管理装置11的处理被认为成功(步骤S1037)。

以上已经描述了用于注册电力管理装置11的具体示例。注意，上述注册方法的具体示例仅为一个示例，根据本实施例的注册处理不限于以上示例。

(1-12)注册可控制设备的方法

接下来，将参考图36至图38描述将可控制设备125注册在电力管理装置11中的方法。图36是用于解释根据本实施例的注册可控制设备的方法的流程图。图37和图38是用于解释根据本实施例的注册可控制设备的方法的具体示例的流程图。

注意，将可控制设备125作为由电力管理装置11管理的被管理设备的一个示例，描述该注册方法。以下描述的注册方法以与当将电动交通工具124、电力存储设备128、第一发电设备129、以及第二发电设备130注册在电力管理装置11时的相同方式来执行。

首先，将参考图36描述注册可控制设备125的方法的整体流程。

当未被注册的可控制设备125连接至由电力管理装置11管理的局部电力管理系统1时，电力管理装置11的设备管理单元1121检测到可控制设备125连接至系统(步骤S1041)。更具体地，电力管理装置11本身可以检测出可控制设备125被连接，或者配电装置121或电源插座(可控制插座123或插座扩展设备127)可以检测出可控制设备125被连接，并且通知电力管理装置11。作为该处理的结果，电力管理装置11能够掌握与可控制设备125所连接的插座相关的信息(位置信息)。

接下来，设备管理单元1121对新连接的可控制设备125进行认证处理。该认证处理可以使用任意技术来执行，例如，公开密钥加密。通过执行认证处理，设备管理单元1121从可控制设备125获取诸如图20中所示的信息。

如果可控制设备125的认证失败，则设备管理单元1121结束对可控制设备125的注册处理。注意，如果设备管理单元1121确定尝试对可控制设备125进行认证，而不是突然终止注册处理，处理可以返回至步骤S1043，在步骤S1043中重复进行认证处理。

同时，当可控制设备125的认证成功时，设备管理单元1121经由广域通信单元114将可控制设备125注册在系统管理服务器33中(步骤S1047)。接下来，设备管理单元1121向认证成功的可控制设备125颁发签名(数字签名)、证书等(步骤S1049)。此后，设备管理单元1121将可控制设备125注册在存储单元113等中存储的管理数据库中(步骤S1051)。

注册可控制设备的方法的具体示例

接下来，将参考图37和图38描述注册可控制设备的方法的具体示例。图37和图38是使用公开密钥加密注册可控制设备的方法的示例。

注意，假设在以下解释开始之前，电力管理装置11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理装置特有的识别信息(ID)和系统管理服务器33所生成的识别信息的数字签名已经由制造商存储在该设备中，并且假设由公开密钥和私密密钥构成的密钥对也被存储在该设备中。还假设系统管理服务器33存储系统管理服务器33特有的公开密钥和私密密钥。最后，假设例如可控制设备125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经由制造商存储在可控制设备125内。

首先，将参考图37描述最初注册可控制设备的方法的具体示例。

当可控制设备125连接至系统1时(更具体地，当可控制设备125连接至可控制插座123等时)(步骤S1061)，在随后描述的过程中，电力管理装置11的被管理设备注册单元1505检测出可控制设备125已经被连接(步骤S1063)。

接下来，被管理设备注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1065)。更具体地，被管理设备注册单元1505将对用户询问注册条件的消息显示在电力管理装置11中所设置的显示单元116上。用户对设置在电力管理装置11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理装置11中。

此后，被管理设备注册单元1505经由局部通信单元111将注册开始信号发送至可控制设备125(步骤S1067)。

接收到注册开始信号的可控制设备125的认证处理单元2021，将设备特有的识别信息(ID)和系统管理服务器33生成的数字签名作为设备注册请求发送至电力管理装置11(步骤S1069)。

接收到设备注册请求的被管理设备注册单元1505使用系统管理服务器33的公开密钥，来验证所接收的数字签名的合法性(步骤S1071)。当验证失败时，被管理设备注册单元1505将表示验证失败的验证结果发送至可控制设备125。同时，当验证成功时，被管理设备注册单元1505请求系统管理服务器33注册可控制设备125的识别信息和/或可控制设备125的设备信息(包括制造商名称、型号等)(步骤S1073)。

当接收注册请求时，系统管理服务器33确认包括在注册请求中的可控制设备125是否是合法设备(即，设备是否已经被注册)(步骤S1075)。当可控制设备125是合法设备时，系统管理服务器33将所接收的设备信息添加至存储在系统管理服务器33中的数据库中的被管理列表中(步骤S1077)。

此后，系统管理服务器33从由系统管理服务器33本身存储的各个数据库或者从属于制造商等的服务器，获取与所注册的可控制设备125的规格相关的信息(设备规格信息)，并且将所获取的信息发送至电力管理装置11(步骤S1079)。

然后，电力管理装置11的被管理设备注册单元1505使用由被管理设备注册单元1505本身保存的密钥，颁发用于可控制设备的识别信息(ID)的签名(证书)(步骤S1081)。此后，被管理设备注册单元1505将所颁发的签名与电力管理装置11的识别信息(ID)一起发送至可控制设备125(步骤S1083)。

可控制设备125的认证处理单元2021将所接收的签名和电力管理装置11的识别信息(ID)存储到指定位置，诸如存储单元2015中(步骤S1085)。电力管理装置11的被管理设备注册单元1505将可控制设备125的设备信息注册在存储单元113等中存储的管理数据库中(步骤S1087)。通过这样做，最初注册可控制设备125的处理被认为成功(步骤S1089)。

图37示出可控制设备125被正式注册(最初注册)在电力管理装置11中的处理。然而，作为一个示例，还可能存在用户想要将已经被注册在用户家的电力管理装置11中的可控制设备125临时注册在朋友家设置的电力管理装置11中的情况。为此，根据本实施例的电力管理装置11设置有用于临时注册最初已经注册在另一电力管理装置11中的可控制设备125的注册处理。现在参考图38描述临时注册可控制设备125的处理。

注意，假设在以下解释开始之前，电力管理装置11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设例如电力管理装置特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已经由制造商存储在该设备中，并且假设由公开密钥和私密密钥构成的密钥对也被存储在该设备中。另外，还假设系统管理服务器33具有系统管理服务器33特有的公开密钥和私密密钥。最后，假设例如可控制设备125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经由制造商存储在可控制设备125内，并且假设所注册的电力管理装置的识别信息(ID)和签名已经被存储在可控制设备125中。

当可控制设备125连接至系统1时(更具体地，当可控制设备125连接至可控制插座123等时)(步骤S1091)，在之前描述的过程中，电力管理装置11的被管理设备注册单元1505检测出可控制设备125已经被连接(步骤S1093)。

接下来，被管理设备注册单元1505获取注册条件，诸如，图19中所示的优先级排序(步骤S1095)。更具体地，被管理设备注册单元1505将询问用户注册条件的消息显示在设置在电力管理装置11中的显示单元116上。用户对设置在电力管理装置11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将注册条件(诸如，图19中所示的注册条件)输入至电力管理装置11中。

接下来，被管理设备注册单元1505经由局部通信单元111将注册开始信号发送至可控制设备125(步骤S1097)。

接收到注册开始信号的可控制设备125的认证处理单元2021，将所注册的电力管理装置11的识别信息(ID)、所提供的数字签名、以及可控制设备125特有的识别信息(ID)作为设备注册请求发送至电力管理装置11(步骤S1099)。

接收到设备注册请求的被管理设备注册单元1505检验可控制设备125特有的并且包括在设备注册请求中的识别信息(ID)(步骤S1101)。此后，基于可控制设备125特有的识别信息(ID)，被管理设备注册单元1505向系统管理服务器33请求可控制设备125的证书(步骤S1103)。

在确认请求证书的可控制设备125不是包括在失效列表中的设备(步骤S1105)之后，系统管理服务器33将所请求的证书发送至电力管理装置11(步骤S1107)。

电力管理装置11的被管理设备注册单元1505验证可控制设备125所拥有的签名(从所注册的电力管理装置获取的签名)(步骤S1109)。当签名的验证成功时，被管理设备注册单元1505将可控制设备125临时注册在电力管理装置11中(步骤S1111)。通过这样做，电力管理装置11能够临时注册已经注册在另一电力管理装置11中的可控制设备125。

(1-13)注册可控制插座的方法

接着，将参考图39描述的将可控制插座123注册在电力管理装置11中的方法。图39是用于解释根据本实施例的注册可控制插座的方法的流程图。

注意，尽管下面的描述以可控制插座123为例，但是可以以同样的方式对插座扩展设备127执行这种注册方法。

电力管理装置11的设备管理单元1121首先连接到配电装置121(步骤S1121)，并从配电装置121获取关于系统1中存在的插座的信息(步骤S1123)。“与插座相关的信息”的表述是指如下信息：诸如可控制插座或不可控制插座的指示、可控制插座的识别信息(ID)、制造商名称和型号、诸如电力供应量和电源限制等技术规格、系统内的插座的位置信息等等。

接着，设备管理单元1121的被管理设备注册单元1505与系统中存在的可控制插座建立连接(步骤S1125)。此后，被管理设备注册单元1505将已建立连接的可控制插座注册到存储在存储单元113等中的管理数据库中(步骤S1127)。

接着，被管理设备注册单元1505确认电力供应控制方法和如图21所示的那些设备认证手段，并将这种信息设置在管理数据库中。这样，当可控制设备125或不可控制设备126连接到可控制插座123时，电力管理装置11能够进行适当的电力供应控制和设备认证处理。

接着，被管理设备注册单元1505判断是否已对每个插座(可控制插座)执行了该处理(步骤S1131)。当存在未进行该处理的可控制插座时，被管理设备注册单元1505返回步骤S1125并继续该处理。当已经对每个可控制插座进行过该处理时，被管理设备注册单元1505正常结束该处理。

这完成了对于根据本实施例在局部电力管理系统1中注册各种设备的处理的描述。

(1-14)针对临时注册的可控制设备的计账处理

现在将参考图40和41，描述临时注册的可控制设备的记账处理。图40是用于解释临时注册的可控制设备的记账处理的图。图41是用于解释临时注册的可控制设备的记账处理的流程图。

如上所述，可以设想如下情况：已在某个电力管理装置11中注册的可控制设备125被临时注册在管理不同的局部电力管理系统1的另一电力管理装置11中。当这样做时，可能出现如下情况：已临时注册的可控制设备125在另一个电力管理装置11的控制下，从该不同的局部电力管理系统1接收电力供应。

图40示出了这种情况。如图40所示，属于局部电力管理系统#1的可控制设备#1已被注册在电力管理装置#1中。可控制设备#1已经从电力管理装置#1接收到电力管理装置#1的识别信息(ID_P1)和关于可控制设备#1识别信息的电力管理装置的数字签名(sig(ID_P1))。这里，设想如下情况：可控制设备#1被临时注册在由电力管理装置#2管理的局部电力管理系统#2(例如，公共电力供应站等)中，并且可控制设备#1从局部电力管理系统#2接收电力供应。这里，假定系统管理服务器33已经获得电力管理装置#1的识别信息(ID_P1)和电力管理装置#2的识别信息(ID_P2)。

对于这种电力使用费用而言，优选的是，向注册有可控制设备#1的电力管理装置#1计费，并且对于电力管理装置#1而言，优选的是，采用记账服务器32实现指定的记账处理。仅当该设备存储了公开密钥和私密密钥时，这种方案才有可能，并且这当种信息未被存储时，电力管理装置#2将结束免费向可控制设备#1供应电力。注意，即使存储了由公开密钥和私密密钥组成的密钥对，也可以依据已做的设置许可免费电力供应。

这种情况下的潜在问题是，当电力管理装置#1是非法装置时，即使由电力管理装置#2向可控制设备#1供应电力，计费也可能是无效的。为此，在本实施例中，在许可向可控制设备#1电力供应之前，电力管理装置#2确认电力管理装置#1的合法性，并确认可控制设备#1已正式注册到电力管理装置#1中。甚至当电力管理装置#2免费供应电力时，为了安全也应优选进行这种确认操作。也就是说，每当电力供应，电力管理装置#2使用电力管理装置#1的签名和/或证书等来验证电力管理装置#1和可控制设备#1之间的关系，并且电力管理装置#2还查询系统管理服务器33以检查电力管理装置#1和可控制设备#1的合法性。

此外，在本实施例中，如以下参考图41所描述的，关于计费，通过将电力供应与官方证明电力已被使用的电力使用证书的交换结合，能够实现安全的记账处理。

现在将参考图41描述已临时注册的可控制设备的记账处理的流程。注意，以下处理主要由可控制设备125的控制单元2001和电力管理装置11的设备管理单元1121执行。

首先，可控制设备#1请求电力管理装置#2执行认证处理(步骤S1141)。当请求认证时，可控制设备#1将电力管理装置#1的识别信息(ID_P1)、可控制设备#1的识别信息(ID_d1)、以及可控制设备#1中存储的ID_P1和ID_d1的数字签名发送到电力管理装置#2。

电力管理装置#2检查接收到的可控制设备的识别信息(ID_d1)是否存在于由电力管理装置#2自身管理的被管理列表中。电力管理装置#2也检查电力管理装置#1的识别信息(ID_P1)是否存在于由电力管理装置#2存储的证书列表中。这样，电力管理装置#2检查电力管理装置#1(步骤S1143)。

如果电力管理装置#1的识别信息不存在于由电力管理装置#2存储的证书列表中，则电力管理装置#2向系统管理服务器33请求电力管理装置#1的证书(步骤S1145)。根据对证书的请求，电力管理装置#1可以向系统管理服务器33通知可控制设备#1的识别信息。

通过检查电力管理装置#1是否不在失效列表中，系统管理服务器33检查电力管理装置#1的合法性(步骤S1147)。如果电力管理装置#1的识别信息包括在失效列表中，则系统管理服务器33向电力管理装置#2通知这种情况并且电力管理装置#2错误地结束该处理。

同时，电力管理装置#2向可控制设备#1请求由电力管理装置#1颁发的证书或者由电力管理装置#1生成的数字签名(步骤S1149)。在接收到这个请求时，可控制设备#1向电力管理装置#2发送从电力管理装置#1提供的数字签名(sig(ID_P1))(步骤S1151)。

当系统管理服务器33确认了电力管理装置#1的合法性时，系统管理服务器33向电力管理装置#2发送存储在系统管理服务器33中的电力管理装置#1的证书(步骤S1153)。

电力管理装置#2验证从可控制设备#1发送的数字签名和/或证书(步骤S1155)，并且当验证成功时，电力管理装置#2允许对可控制设备#1的电力供应。此时，电力管理装置#2通知可控制设备#1电力收费还是免费。如果电力免费，则不进行以下步骤。

由于验证成功，因此，电力管理装置#2在指定时间内向可控制设备#1供应电力(步骤S1157)。

接收了电力供应的可控制设备#1生成关于电力使用的消息作为证据，以证明消耗了给定时间的电力，并将该消息附有签名地发送到电力管理装置#2(步骤S1159)。附有签名的关于电力使用的消息是电力使用证书。注意，步骤S1157和步骤S1159的处理应当优选以固定的间隔重复进行，直至电力管理装置#2停止电力供应或者可控制设备#1从电网(局部电力管理系统)断开为止。

电力管理装置#2将从电力管理装置#1获得的、增加了电力管理装置#2的识别信息(ID_P2)和设备证书的电力使用证书发送到系统管理服务器33中(步骤S1161)。

系统管理服务器33验证“可控制设备#1是否已经从电力管理装置#2购电”。使用该设备的证书，通过验证该电力使用证书来进行验证(步骤S1163)。

当电力使用证书验证成功时，系统管理服务器33请求记账服务器32执行记账处理(步骤S1165)。此后，记账服务器32根据从系统管理服务器33请求的内容进行记账处理(步骤S1167)。

通过进行该处理，能够实现可以扩展到公共电力站的安全记账处理功能。

注意，除电力管理装置11管理的可控制设备等之外，可以想到：装备有大容量蓄电池的电动交通工具124等可能会将蓄电池中存储的电力卖给另一个电网(局部电力管理系统)。这种情况也可采用图41所示的过程来处理。在这种情况下，电力管理装置11接收来自电动交通工具124等的电力，并且电力管理装置11向电动交通工具124等颁发电力使用证书。这里，优选地，已经购电的电力管理装置11主要负责将电力使用证书发送到系统管理服务器33。

还可以想到接受了电力供应的电力管理装置11非法地进行这种操作，例如，通过不向系统管理服务器33发送电力使用证书。在这种情况下，通过使注册了电动交通工具124等的电力管理装置11向系统管理服务器33发送存储在电动交通工具124等中的电力使用证书，可以检测这种非法活动。

(1-15)对注册可控制设备的方法的修改

这里，将参考图42至48详细描述注册上述可控制设备的方法的示例变型。图42至47是用于解释注册可控制设备的方法的修改的图，图48是用于解释注册可控制设备的方法的修改的流程图。

如上所述，在局部电力管理系统1中，以防止向非法设备和非法蓄电池供应电力和防止非法设备及非法蓄电池连接到该系统为目的，对设备和蓄电池进行认证。下述根据本实施例的注册可控制设备的方法的示例变型的目的在于，提供一种注册方法，其能够有效地执行可控制设备或者包含多个蓄电池的蓄电装置的认证。

在下面解释中，如图24所示，考虑如下情况：电力管理装置11认证和注册表示为“A”到“H”的八个可控制设备125。

在上述方法中，对于可控制设备125重复电力管理装置11与一个可控制设备125之间所进行的一对一认证处理共8次。在这种情况下，当认证单个可控制设备125时，进行下列处理。也就是说，首先，电力管理装置11向可控制设备125发送包含随机数的挑战消息。接着，可控制设备125通过使用由可控制设备125存储的密钥对挑战消息进行操作来生成应答消息，并发送应答消息作为答复。此后，电力管理装置11验证接收的应答消息是否正确。

这里，认证方法可被大致分类为两类，包括：(i)当执行操作以从挑战消息生成应答消息时，采用公开密钥加密中使用的私密密钥作为密钥的方法，使得应答消息是数字签名；以及(ii)使用利用电力管理装置11与可控制设备125之间共享的密钥的公共密钥加密的方法。

该示例变型关注使用由以上(i)指示的数字签名的认证方法。这是因为这种认证方法包含能够使用称为批量验证(batch verification)和聚合签名(aggregate signature)技术的方法。

这里，“批量验证”的表述是指能够在单次操作中对多个数字签名集中进行验证的验证技术，其中只有当全部数字签名正确时，验证算法才输出“验证成功”。通过使用该技术，较之于分别对各个数字签名进行验证的情况，可提高计算效率。

批量验证处理的具体示例是D.Naccache等在1994年德国施普林格的Eurocrypt会议记录94、计算机科学讲稿Vol.950中的“Can D.S.A beimproved？Complexity trade-offs with the digital signature standard，”以及M.Bellare等在1998年德国施普林格的Eurocrypt会议记录98、计算机科学讲稿Vol.1403中的“Fast Batch Verification for Modular Exponentiation and Digital Signatures，”中公开的方法。在本变型中，通过使用批量验证处理，可以改进计算效率。这些技术包括能够响应于各个不同消息集中验证由多个签名者生成的签名的技术。

“聚合签名”的表述是指如下验证技术：其能够将多个签名聚合为单个签名，并且当对聚合签名进行验证处理时，只有当全部签名均正确时该验证算法才输出“验证成功”。这里，响应于各个不同的消息，可由多个签名者生成多个签名。

聚合签名的具体示例是D.Boneh等在2003年德国施普林格的Eurocrypt会议记录2003、计算机科学Vol.2656中的讲稿的“Aggregate and Verifiably Encrypted Signatures from Bilinear Maps，”以及D.Boneh等在2003年CryptoBytes Vol.6，No.2的“A Survey of Two Signature Aggregation Techniques，”中公开的方法。在这个变型中，通过使用聚合签名，可以改进计算效率。

这里，如图42所示，考虑到如下情况：电力管理装置11认证八个可控制设备125。在重复一对一认证的常见方法中，共进行八次验证处理，然而如图42下半部分所示，通过采用批量验证处理或聚合签名能够改进计算效率。

注意，下述认证处理主要由电力管理装置11的设备管理单元1121和可控制设备125的控制单元2001执行。

首先，电力管理装置11向可控制设备A到H发送挑战消息C(步骤S1171)。由于在该发送期间无需向各个可控制设备分别发送各消息，因此若通信网络是允许广播的环境，则可采用广播。

可控制设备A到H分别对挑战消息C使用该设备中保存的用于公开密钥加密的私密密钥，以生成挑战消息C的应答消息，然后将所生成的应答消息作为答复发送到电力管理装置11。

例如，接收到挑战消息C时，可控制设备A使用由可控制设备A存储的私密密钥生成应答消息RA作为挑战消息C的答复(步骤S1173)。此后，可控制设备A将生成的应答消息RA发送到电力管理装置11(步骤S1175)。

类似地，接收到挑战消息C时，可控制设备H使用由可控制设备H存储的私密密钥生成应答消息RH作为挑战消息C的答复(步骤S1177)。接着，可控制设备H将生成的应答消息RH发送到电力管理装置11(步骤S1179)。

更具体地，应答消息RA到RH是各可控制设备A到H关于挑战消息C的数字签名。

在此期间，电力管理装置11等待来自正进行验证处理的可控制设备A到H的应答消息。电力管理装置11收集来自八个可控制设备的应答消息，集中认证全部的应答消息RA到RH(步骤S1181)，并验证全部应答消息是否都正确。可通过批量验证处理执行该验证或可通过使用聚合签名技术将八个应答消息聚合为单个数字签名并对所生成的数字签名进行验证来执行该验证。

注意，尽管为了简化上述解释假定电力管理装置11已经知道每个可控制设备的公开密钥，但是可控制设备A到H可以将它们各自的公开密钥证书和应答消息一起发送到电力管理装置11。

这里，公开密钥证书是证书机构服务器35对于设备的识别信息(ID)和/或公开密钥的数字签名。这意味着可采用诸如批量验证或聚合签名之类的方法有效率地进行验证。

当已经收集到各个可控制设备响应于来自电力管理装置11的挑战消息而发送的应答消息并且集中验证了应答消息时，在多数情况下，全部应答消息将是正确的并且验证结果将为“成功”。在此情况下，因为电力管理装置11已经确认全部可控制设备A到H的合法性，所以该处理可如常进行。

然而，在某些情况下，在对n个设备进行集中验证处理期间，输出“验证失败”。这意味着这n个可控制设备中存在至少一个异常设备。因此，除了对正常设备进行新的集中验证处理之外，电力管理装置11指定异常的可控制设备并对这些异常设备进行单独处理是很重要的。

通过将经过集中验证的可控制设备组重复划分为更小的组，可以指定异常设备。下面参考图43和44描述这样做的两种具体方法。

第一种策略是指定异常的一个设备的最小值的方法，这样做所需迭代(计算负荷)次数为O(log2n)。

第二种策略是指定全部异常设备的方法，这样做所需迭代次数为O(n)。

现在详细描述基于各策略的方法。

策略1是如下方法：从集中验证结果为“失败”的组中选择一个组(例如，该组具有最小数目的组成元件)，并且重复执行集中验证，直至组中仅包含一个可控制设备。图43显示这种方法的示例。在图43中，可控制设备A到H中的三个可控制设备C、E和F异常。

步骤1中，电力管理装置11向全部八个可控制设备发送挑战消息，并对八个可控制设备进行集中验证。如果验证结果是“失败”，则电力管理装置11转到步骤2，其中由八个可控制设备组成的单个组被划分为两个组。

在图43所示的示例中，电力管理装置11将组划分为由可控制设备A到D组成的组以及由可控制设备E到H组成的组，并将挑战消息发送到各个组。此后，电力管理装置11对组单元中所获得的应答消息进行集中验证。在图43所示的示例中，两个组的集中验证结果都是“验证失败”。

接着，在步骤3中，电力管理装置11选择将被从验证结果为“失败”的当前组(在图43中，可控制设备ABCD组和可控制设备EFGH组)中(即，从两个组中)划分出去的下一个组。在图43所示的示例中，电力管理装置11选择由可控制设备ABCD组成的组，并进一步划分该组。在图43所示的示例中，以一组由可控制设备AB组成且另一组由可控制设备CD组成的形式，将由可控制设备ABCD组成的组分为两个具有两个设备的组。

电力管理装置11然后向具有两个设备的两个组发送挑战消息，并对已接收到的应答消息进行集中验证。在图43所示的示例中，因为由可控制设备AB组成的组的验证结果为“成功”，所以确认可控制设备A、B都正常。同时，因为由可控制设备CD组成的组的验证结果是“失败”，理解可控制设备C、D中至少一个是异常。

接着，在步骤4中，电力管理装置11将由可控制设备CD组成的组划分为具有单个设备的组，并对每个组进行验证处理。这样，电力管理装置11可以指定可控制设备C异常。

在图43所示的示例中，可以按照四级步骤，从八个可控制设备中指定一个异常的可控制设备。一般地说，如果可控制设备数目是n，则可以容易地设想出具有n个叶节点的二叉树，但是通过分组使得组成元件的数目大致二等分，可在作为二叉树的高度的log₂(n+1)个步骤中完成该处理。因为一个步骤中对最多两个组执行验证处理，因此验证处理的迭代次数为O(log₂n)。

接着，将描述策略2。

策略2是用于检测全部异常设备的方法。图44示出这种方法的示例。在图44中，可控制设备A到H中的三个可控制设备C、E和F异常。

在步骤1中，电力管理装置11向全部八个可控制设备发送挑战消息，并对八个可控制设备进行集中验证。如果验证结果是“失败”，则电力管理装置11转到步骤2，在步骤2中，由八个可控制设备组成的单个组被划分成两个组。

在图44所示的示例中，电力管理装置11将组划分为由可控制设备A到D组成的组以及由可控制设备E到H组成的组，并将挑战消息发送到各个组。此后，电力管理装置11对组单元中所获得的应答消息进行集中验证。在图44所示的示例中，对两个组的集中验证结果是“验证失败”。

在策略2中，在步骤3中，对在先前步骤中验证为“失败”的全部组重复认证处理。在图44所示的示例中，由可控制设备ABCD组成的组被分成由可控制设备AB组成的组和由可控制设备CD组成的组。电力管理装置11还将由可控制设备EFGH组成的组划分为由可控制设备EF组成的组和由可控制设备GH组成的组。此后，电力管理装置11对生成的四个组分别进行验证处理。

在图44所示的示例中，由可控制设备AB组成的组和由可控制设备GH组成的组的验证结果为“成功”，而由可控制设备CD组成的组和由可控制设备EF组成的组的验证结果为“失败”。

接着，在步骤4中，电力管理装置11将由验证失败的可控制设备CD组成的组划分为由可控制设备C组成的组和由可控制设备D组成的组。以同样的方式，电力管理装置11将由验证失败的可控制设备EF组成的组划分为由可控制设备E组成的组和由可控制设备F组成的组。然后电力管理装置11单独对新的四个组进行认证处理。

结果，如图44所示，以可控制设备D“成功”而其它三个可控制设备“失败”结束认证。这样，电力管理装置11能够指定所有异常的可控制设备C、E和F。

以与策略1相同的方式，策略2中的步骤数为4，但在第I步中，对2I-1个组进行验证处理。在这种方法中，在某些情况下，诸如当异常设备和正常设备交替对准时，将对每个设备进行验证处理，使得验证迭代次数为2n。这意味着策略2的计算负荷为O(n)。

然而，电力管理装置11是掌握连接到局部电力管理系统1的可控制设备等的类型的装置。这是因为该信息对于控制向哪个设备供应电力是必需的。也就是说，例如，当用户将设备引入家中的局部电力管理系统1时，执行将该设备注册在电力管理装置11中的处理。因此，如前所述，电力管理装置11管理已注册设备列表。

这里，在局部电力管理系统1中，假定可控制设备A到可控制设备H这八个设备已经注册到电力管理装置11中，但作为认证结果已知可控制设备C异常。

在这种情况下，电力管理装置11从被管理列表中删除可控制设备C，或者将可控制设备C标记为临时不可用。这样，在下次认证迭代期间，电力管理装置11能够从认证中预先排除可控制设备C，这样能够相应地减少认证处理的负荷。例如，如果除了可控制设备C以外的七个可控制设备正常，则可在对七个可控制设备进行的单个认证中确认此情况。

此外，如果经由用户指示已经通知电力管理装置11：设备已修复且恢复正常，或者如果通过电力管理装置11定期地或不定期地尝试对异常设备进行认证而获得“成功”的结果，则电力管理装置11可校正电力管理装置11所管理的被管理列表，使得先前从认证排除的设备被认为是正常的。

蓄电池的认证

多数情况下，在蓄电池壳中提供多个蓄电池组电池。通过组合该多个电池，蓄电池能够产生多种输出。

例如，图45示出装备有六个1V蓄电池组电池单元的电力存储设备128的示例。如图45所示，能够组合这些电池A到F以输出多种电压。如果还考虑到一些电池未被使用和/或电力存储装置128设置有不是一个而是多对输出终端的布置，则可实现更大数量的输出变化。

如果蓄电池包括失败的电池和/或非法制造的电池，则存在增大的风险：不仅无法达到期望输出，而且在充电期间发生诸如火灾等的事故。为此，对各个蓄电池组电池进行认证以确认每个电池(以及还有蓄电池自身)正常是很重要的。

这里，可以设想电力管理装置11或蓄电池的控制单元能够对各个电池进行认证。当这样做时，如图46所示，可以设想使用以三个电池为组合的六个电池以获得3V的输出。这里，通过正常地重复电力管理装置11或蓄电池的控制单元对一个电池的认证，蓄电池的控制单元能够预先掌握全部电池的状态。基于注册在电力管理装置11中的型号等，电力管理装置11能够从外部的服务器等获得蓄电池的电池配置。

在需要3V电压的情况下，即使具有低载流容量，也可对电池A、B和C(或D和E和F)三个电池进行认证，并将这些电池作为蓄电池。在此情况下，进行三次验证处理。

然而，通过采用前述的批量验证或聚合签名的技术进行ABC(或DEF)的集中验证，能够经单次验证处理掌握是否能使用这些电池作为3V蓄电池，从而改进认证处理的效率。另外，如果给出了由ABC组成的组和由DEF组成的组中至少一个组验证“成功”，则能够容易地掌握电池可被用作蓄电池。

另外，当存在认证结果为“失败”的组时，采用前述方法连续划分该组能够指定异常电池。

如图46所示，当需要2V电压时，可对串联连接的两个电池的组AB、CD、EF进行集中认证。

以这种方式，通过根据蓄电池组电池的组合将待认证的电池划分为组，能够改进验证处理的效率。

这里假定如图47(中的初始状态)所示，采用六个蓄电池组电池产生2V电压。这里，假定全部六个电池在初始状态均正常，但当在给定时间进行认证时，给出“失败”的认证结果。

电力管理装置11和蓄电池的控制单元能够采用上述策略2以指定所有异常的电池。结果，如在图47中间所示，假定这里已经指定电池D和电池E异常。

在这种情况下，蓄电池的控制单元或电力管理装置11能够切换连接蓄电池组电池的线，以如图47右侧所示重新配置电池。通过这样做，可以仅使用正常电池来配置能够用作蓄电池的组合。如果不进行重新配置，则正常的电池C和F将不可避免地被浪费，而通过重新配置，能使用资源而不会浪费。通过蓄电池的控制单元或电力管理装置11准确地掌握各个电池的状态并且根据认证结果重新配置电池之间的连接，可以实现电池的重新配置。

在图48中示出了上述可控制设备的批量认证的整体流程。

首先，电力管理装置11的设备管理单元1121生成挑战消息并将该挑战消息广播到全部待认证的可控制设备125(步骤S1191)。通过这样做，每个可控制设备125的控制单元2001生成答复挑战消息的应答消息，并将生成的应答消息发回电力管理装置11。

在电力管理装置11中，等待从可控制设备125发送的应答消息，当从可控制设备125发送应答消息时，电力管理装置11获得发送来的应答消息(步骤S1193)。

这里，电力管理装置11的设备管理单元1121判断是否已经获得全部应答消息(步骤S1195)。如果一些应答消息没有获得，则设备管理单元1121回到步骤S1193，并等待其它应答消息。

同时，如果已经从全部可控制设备125获得应答消息，则设备管理单元1121执行批量认证处理(步骤S1197)。如果批量认证处理对全部可控制设备都成功，则设备管理单元1121判断出认证成功，并且批量认证处理正常结束。

如果批量认证处理未对全部可控制设备125成功，则设备管理单元1121根据前述策略1或策略2指定认证失败的可控制设备(步骤S1201)。此后，设备管理单元1121重复排除认证失败的设备的认证处理(步骤S1203)，返回步骤S1199，并且判断批量认证处理是否成功。

通过执行上述流程中的处理，在本示例变型中能够有效率地认证可控制设备。

上述解释说明如下方法：使用批量验证或者来自基于公开密钥加密的数字签名技术中的聚合签名技术，通过对可控制设备和电力存储装置分组以有效率地进行认证。然而，尽管公开密钥加密较之于公共密钥加密的优势在于能够使用利用单个私密密钥生成的数字签名等，但是其缺点在于计算负荷通常极大。

为了克服这个缺点，可设想能够采用公开密钥加密和公共密钥加密。更具体地，电力管理装置11根据公开密钥加密进行对可控制设备等的认证。假定电力管理装置(或蓄电池的控制单元等)之后按照1∶1的基础，向基于公开密钥加密认证成功的可控制设备和/或电力存储装置提供供电力管理装置(或蓄电池的控制单元等)和可控制设备使用的公共密钥(即，对每个可控制设备采用不同的密钥)。

这种公共密钥具有诸如一天或者一小时的有效期限，在有效期限内，这种公共密钥用于由电力管理装置11对可控制设备进行的认证处理。此外，在公共密钥的有效期限结束之后，再使用公开密钥加密进行认证处理，并在电力管理装置和可控制设备之间建立新的公共密钥。

通过使用这个方法，能够执行采用一小时仅一次或一天仅一次的计算负荷大的公开密钥加密的处理，并且能够对经常进行的认证采用处理负荷小的公共密钥加密。

注意，代替使用电力管理装置11和特定可控制设备125之间1∶1的公共密钥，还能够在电力管理装置和要由电力管理装置认证的多个可控制设备之间共享单个组密钥，并将该组密钥用作后续认证处理中的公共密钥。

这完成了注册根据本示例变型的可控制设备的方法的说明。

现在将详细描述电力管理装置对出现异常的被管理设备进行的处理，同时给出具体示例。

(1-16)在发生异常的情况下电力管理装置对被管理设备的操作

现在将参考使用具体示例的图49到52来详细描述电力管理装置对出现异常的被管理设备的操作。图49到52是用于解释电力管理装置对已出现异常的被管理设备的操作的流程图。

首先，将参考图49描述电力管理装置对已出现异常的被管理设备的操作的整体流程。

电力管理装置11的设备管理单元1121参考关于当前时间的时间信息，或者参考关于自进行先前操作确认处理经过了多长时间的信息，并判断是否已经到达对被管理设备进行操作确认处理的时间(检查时间)(步骤S1211)。如果检查时间未到，则设备管理单元1121返回步骤S1211并等待检查时间到达。

此外，当到达检查时间时，设备管理单元1121的被管理设备信息获取单元1507判断是否已经从每个可控制设备125接收到报告出现异常的传感器信息(步骤S1213)。如果已经接收到报告出现异常的传感器信息，则设备管理单元1121执行下述的步骤S1225。

如果没有接收到报告出现异常的传感器信息，则被管理设备信息获取单元1507判断是否已经从配电装置121接收到报告出现异常的设备信息(步骤S1215)。如果已经接收到报告出现异常的设备信息，则设备管理单元1121执行下述的步骤S1225。

如果没有接收到报告配电装置中出现异常的设备信息，则被管理设备信息获取单元1507判断是否已经从可控制插座123(下文中包括插座扩展装置127)接收到报告出现异常的设备信息(步骤S1217)。如果判断出已出现异常，则设备管理单元1121执行下述的步骤S1225。

注意，通过执行步骤S1215和步骤S1217的处理，电力管理装置11能够判断出不能与电力管理装置11直接进行通信的不可控制设备126是否出现异常。

接着，被管理设备信息获取单元1507从各个可控制设备等收集诸如传感器信息、蓄电池信息和电池信息的设备信息，并将设备信息发送给信息分析单元1123的设备状态判断单元1601和电力状态判断单元1603。设备状态判断单元1601和电力状态判断单元1603将设备信息与所发送信息的历史或者模型实例进行比较(步骤S1219)。通过这样做，电力管理装置11能够检测出出现异常的可控制设备等。被管理设备信息获取单元1507和/或设备状态判断单元1601也能够从应接收到的未接收信息中检测出可控制设备等已出现异常。

设备管理单元1121参考对设备信息的收集/比较处理的结果，并判断是否已经出现问题(步骤S1221)。如果已出现问题，则设备管理单元1121执行下述的步骤S1225。

此外，如果根据设备信息的收集/比较处理的结果判断出未出现问题，则设备状态判断单元1601判断是否任一设备都没有问题(步骤S1223)。如果判断结果是对于某些装置未完成验证，则设备管理单元1121和信息分析单元1123返回步骤S1219并继续验证处理。当对全部设备都完成验证时，设备管理单元1121结束对被管理设备的操作的验证处理。

这里，当通过上述验证处理检测到异常时，信息分析单元1123在显示单元116上显示警告(步骤S1225)。电力管理装置11切换至在检测到异常时使用的操作模式(错误模式)(步骤S1227)。

此后，设备管理单元1121向用户已注册的电话号码或已注册的邮件地址发送报警消息，以通知用户已经出现异常(步骤S1229)。此后，设备管理单元1121判断设定时间段内是否有用户对电力管理装置11进行访问(步骤S1231)。如果在设定时间段内有用户进行访问，则电力管理装置11的控制单元115根据用户指示开始对可控制设备的操作控制(步骤S1233)。同时，如果在设定时间内没有用户进行访问，则电力管理装置11的控制单元115开始自动控制(步骤S1235)。此后，电力管理装置11的控制单元115将操作模式切换为由可控制插座控制(步骤S1237)，并且当检测到操作异常时结束该处理。

现在将简要描述根据出现异常的装置类型实施的具体处理。

当电力管理装置出现异常时

首先，将参考图50简要描述当电力管理装置11自身出现异常时的操作。

注意，假定在开始以下说明前用户已经设置了当电力管理装置11出现异常时进行何种控制(例如，由可控制插座进行的控制或者稳定状态供应电力的控制)。还假定电力管理装置11定期地在局部电力管理系统1外部设置的系统管理服务器33中备份诸如历史信息、被管理设备的识别信息(ID)以及设置条件的各种信息。

当电力管理装置11自身出现某种异常(步骤S1241)并且电力管理装置11自身停止工作时，由于与电力管理装置11的定期通信将会停止，因此系统管理服务器33能够检测到电力管理装置11出现异常(步骤S1243)。

此后，系统管理服务器33参考注册的紧急联系人等，并通知用户出现异常(步骤S1245)。

因为不能与电力管理装置11定期通信(步骤S1247)，所以可控制插座123和可控制设备125也检测到电力管理装置11可能出现异常。此后，可控制插座123和可控制设备125检查电力管理装置11的状态(步骤S1249)，并且当掌握电力管理装置11出现异常时，可控制插座123和可控制设备125检查应当切换为哪个模式(步骤S1251)。此后，可控制插座123和可控制设备125切换为可控制插座控制模式(步骤S1253)。

更具体地，可控制插座123开始控制可控制设备125和不可控制设备126(步骤S1255)，并且可控制设备125开始向可控制插座123输出电力信息(步骤S1257)。如果在从可控制设备125获得的电力信息中检测到异常，则可控制插座123也能够进行诸如停止电力供应的控制。

此时，假定由于系统管理服务器33所联系的用户重新激活电力管理装置11或者对电力管理装置11手动地进行某种操作，导致电力管理装置11恢复(步骤S1259)。

此时，恢复的电力管理装置11的设备管理单元1121请求系统管理服务器33执行认证处理(步骤S1261)。如果电力管理装置11的认证成功，则系统管理服务器33获得备份的设置信息，并将该设置信息发送给电力管理装置11(步骤S1263)。

接收到该设置信息的电力管理装置11根据所接收到的设置信息，自动地连接到作为被管理设备的可控制插座123和可控制设备125(步骤S1265)，并且通知这些设备电力管理装置11已恢复。

此后，可控制插座123和可控制设备125切换到电力管理装置控制摸式(步骤S1267)，此后由电力管理装置11进行正常控制。

当可控制插座出现异常时

接着，将参考图51简要描述当可控制插座123出现异常时的操作。

首先，假定可控制插座123的传感器或通信单元中的至少一个出现异常(步骤S1271)。在这种情况下，因为维持从可控制插座123到所连接的可控制设备125的电力供应(步骤S1273)，所以电力管理装置11难以直接检测到异常。然而，通过确定没有接收到应当定期接收到的来自可控制插座123的设备信息等，电力管理装置11能够检测到可控制插座123出现异常(步骤S1275)。

检测到异常的电力管理装置11的信息分析单元1123通知用户，可控制插座123出现异常(步骤S1277)。更具体地，电力管理装置11通过在显示单元116上显示出现异常、发出警告声音，或者向用户所注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的可控制插座123手动地进行任意操作，被通知的用户将可控制插座123恢复到运行状态(步骤S1279)。

这里，假定可控制插座123的电力供应控制出现异常(步骤S1281)。在这种情况下，可控制设备125能够检测到可控制插座123出现异常，并且在某些情况下，可控制设备125也能够停止接收电力供应，并因此停止运转(步骤S1283)。结果，由于可控制设备125向电力管理装置11通知可控制插座123出现异常，或者由于可控制设备125停止操作而引起定期通信停止，因此电力管理装置11检测到出现异常(步骤S1285)。

检测到异常的电力管理装置11的信息分析单元1123通知用户：可控制插座123出现异常(步骤S1287)。更具体地，电力管理装置11通过在显示单元116上显示出现异常、发出警告声音，或者向用户所注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的可控制插座123手动地进行操作，被通知的用户将可控制插座123恢复到运行状态(步骤S1289)。

当配电装置出现异常时

接着，将参考图52简要描述当配电装置121出现异常时的操作。

当配电装置121出现异常时(步骤S1301)，配电装置121向电力管理装置11通知出现异常，和/或来自配电装置121的定期通信停止。此外，当配电装置121出现异常时，向可控制设备125的电力供应可能出现问题。为此，可控制设备125定期发送的电力信息中也可出现异常(步骤S1303)。根据这种信息，电力管理装置11的信息分析单元1123可以检测到配电装置121出现异常(步骤S1305)。

检测到异常的电力管理装置11的信息分析单元1123通知用户：配电装置121出现异常(步骤S1307)。更具体地，电力管理装置11通过在显示单元116上显示出现异常、发出警告声音，或者向用户所注册的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对出现问题的配电装置121手动地进行操作，被通知的用户将配电装置121恢复到运行状态(步骤S1309)。

配电装置121再次出现异常(步骤S1311)，并且配电装置121向电力管理装置11通知出现异常和/或来自配电装置121的定期通信停止。此外，当配电装置121出现异常时，向可控制设备125的电力供应可能出现问题。由于这个原因，可控制设备125定期发送的电力信息也可出现异常(步骤S1313)。由于这种信息，假定电力管理装置11自身也出现异常(步骤S1317)。

这里，与电力管理装置11的定期通信的中断使得系统管理服务器33能够检测到电力管理装置11出现异常(步骤S1319)。

此后，系统管理服务器33参考注册的紧急联系人等，并且通知用户出现异常(步骤S1321)。

在这种情况下，在电力管理装置11处，实施在电力管理装置出现异常时执行的上述处理(步骤S1323)。响应于电力管理装置11发生的异常，可控制设备125切换到可控制插座控制模式(步骤S1325)。

这里，通过对出现问题的配电装置121手动地进行操作，被通知的用户将配电装置121恢复到运行状态(步骤S1327)。此外，由于电力管理装置出现异常时进行的操作，电力管理装置11也恢复到运行状态(步骤S1327)。

这完成了在诸如可控制插座123或可控制设备125的被管理设备出现异常时的电力管理装置11的操作的说明。

(1-17)当在电力状态中出发生异常时电力管理装置的操作

接着，将参考图53和54描述当局部电力管理系统1中的电力状态出现诸如断电或漏电的异常时的电力管理装置11的操作。图53和54是用于解释当电力状态出现异常时电力管理装置的操作的流程图。

断电期间电力管理装置的操作

首先，将参考图53简要描述在发生断电时的电力管理装置的操作。

当外部电源出现异常并且发生断电时，停止向配电装置121供应外部电力。结果，由于配电装置121向电力管理装置11通知发生断电，或者从配电装置121发送含有异常的设备信息，电力管理装置11能够检测出配电装置121异常(步骤S1331)。

在检测到发生断电时，信息分析单元1123的电力状态判断单元1603将当前模式切换为使用发电装置129、130和电力存储装置128的电力供应模式(已存储的电力供应模式)(步骤S1333)。更具体地，电力管理装置11的控制单元115向配电装置121发送控制命令，以从外部电力切换为能够在系统1内部供应的电力。设备管理单元1121根据预先设置的信息，开始确定供应电力的优先级和/或确定待分配的电量。信息分析单元1123也经由显示单元116等向用户通知发生断电。

设备管理单元1121首先判断待供电的设备是否是可控制设备125(步骤S1335)。如果待供电力的设备是可控制设备125，则设备管理单元1121经由控制单元115向该设备发送控制命令(步骤S1337)。更具体地，控制单元115向有问题的可控制设备125发送请求节能模式或关机的控制命令。

同时，如果待供电的设备不是可控制设备125(也就是说，不可控制设备126)，则设备管理单元1121判断待供电的设备是否连接到可控制插座123(包含插座扩展装置127)(步骤S1339)。如果待供电的设备连接到可控制插座123，则设备管理单元1121经由控制单元115向可控制插座123发送控制命令(步骤S1341)。更具体地，控制单元115向可控制插座123发送请求该待供电的设备关机(也就是说，停止向不可控制设备126供应电力)的控制命令。

如果待供电的设备未连接到可控制插座123，由于电力管理装置11不能控制向该待供电的设备的电力供应，因此电力管理装置11使该设备保持原状或者继续当前的电力供应(步骤S1343)。

当结束该确定时，设备管理单元1121判断每个设备的设置是否已经完成(步骤S1345)。如果一个或多个设备的设置尚未完成，则电力管理装置11返回步骤S1335并继续该处理。同时，如果全部设备的设置已经完成，则在断电期间电力管理装置11结束处理。

漏电期间电力管理装置的操作

接着，将参考图54简要描述在发生漏电时的电力管理装置的操作。

当发生漏电时，较之于漏电发生之前，预期电力使用趋势将发生改变。因此，通过将过去的电力使用历史和当前的电力使用相比较，电力管理装置11中信息分析单元1123的电力状态判断单元1603能够检测出发生了漏电(步骤S1351)。此外，对于系统1中存在的设备而言，电力状态判断单元1603基于可控制设备125的电力使用的理论值和不可控制设备126的估计的电力使用量，计算出电力使用理论值，并且通过比较实际电力使用量与该电力使用理论值，能够检测出漏电。注意，可通过过去的使用量估计出不可控制设备126的估计的电力使用量。

此外，不仅可由电力管理装置11而且也可由诸如局部电力管理系统1外部存在的安全检查服务器的分析服务器34来检测漏电的发生。这意味着在某些情况下，当发生漏电时，分析服务器34向电力管理装置11通知漏电。

当检测出发生漏电时，电力管理装置11使用任意方法来指定漏电位置(步骤S1353)，并且控制单元115向漏电位置发送电力供应停止命令(步骤S1355)。信息分析单元1123还在显示单元116上显示关于发生漏电以及漏电位置的信息(步骤S1357)。

通过执行这种处理，甚至当电力状态出现诸如断电或漏电的异常时，电力管理装置11能够保持局部电力管理系统1内部各方面的安全。

(1-18)电子水印信息的嵌入方法和验证方法的流程

接着，将参考图55到58描述在根据本实施例的局部电力管理系统1中执行的嵌入电子水印信息的方法和验证电子水印信息的方法的流程。图55和57是用于解释根据本实施例的嵌入电子水印信息的方法的流程图。图56和58是用于解释根据本实施例验证电子水印信息的方法的流程图。

使用共享信息的电子水印信息的嵌入方法和验证方法

首先，将参考图55和56来描述使用共享信息的电子水印信息的嵌入方法和验证方法的流程。注意，下面描述物理数据自身被用作设备表征信息的情况。

嵌入方法的流程

首先，将参考图55描述由可控制设备125的篡改检测信息生成单元2031实施的嵌入方法。

可控制设备125中的篡改检测信息生成单元2031的设备表征信息生成单元2033首先从传感器控制单元2023和蓄电池控制单元2027获得物理数据(步骤S2001)。此后，设备表征信息生成单元2033对所获得的物理数据进行验证(步骤S2003)。接着，设备表征信息生成单元2033判断所获得的物理数据是否正常(步骤S2005)。

如果验证发现物理数据的值超过该物理数据的可取的值的范围，或者表面为明显的异常行为，则设备表征信息生成单元2033报告异常(步骤S2019)。

经由验证确认物理数据正常之后，电子水印生成单元2035基于该物理数据和共享数据生成电子水印信息(步骤S2007)，并向电子水印嵌入单元2039输出所生成的电子水印信息。嵌入位置确定单元2037分析该物理数据，确定适于该物理数据的电子水印信息嵌入位置，并将关于所确定的嵌入位置的信息通知电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入该物理数据(步骤S2009)。接着，电子水印嵌入单元2039对嵌入了电子水印信息的物理数据(这种物理数据以下称为“被嵌入数据”)进行验证(步骤S2011)。此后，电子水印嵌入单元2039检查验证结果(步骤S2013)。

如果被嵌入数据正常，则电子水印嵌入单元2039将被嵌入数据发送到电力管理装置11(步骤S2015)。电力管理装置11将接收到的被嵌入数据发送到局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现异常，则电子水印嵌入单元2039判断出现异常的次数是否小于指定的阈值(步骤S2017)。如果出现异常的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2007，并且继续该处理。同时，如果出现异常的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2019)。

注意，如果预先确定了电子水印信息的嵌入位置，则可以省略确定嵌入位置的处理、在步骤S2003到步骤S2005中验证物理数据的处理以及步骤S2011到S2019中验证被嵌入数据的处理。

验证方法的流程

接着，将参考图56描述，由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的验证电子水印信息的方法。应当注意，尽管下文中描述了对分析服务器34执行的验证方法，但是同样的方法可以由电力管理装置的信息篡改检测单元来执行。

分析服务器34的信息篡改检测单元的嵌入位置指定单元获取嵌入有电子水印信息的物理数据(步骤S2021)。此后，嵌入位置指定单元验证所获取的物理数据(步骤S2023)。接着，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2025)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则嵌入位置指定单元报告异常(步骤S2027)。

在经由验证确认物理数据正常之后，嵌入位置指定单元分析该物理数据，指定嵌入电子水印信息的位置(步骤S2029)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。

接着，电子水印提取单元基于接收的关于嵌入位置的位置信息从物理数据提取电子水印信息(步骤S2031)并且将提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元基于物理数据和共享数据生成电子水印信息(步骤S2033)并且通过将提取的电子水印信息与生成的电子水印信息进行比较而验证电子水印信息(步骤S2035)。如果基于比较验证电子水印信息失败，则电子水印验证单元向电力管理装置11通知异常(步骤S2027)。此外，如果基于比较验证电子水印信息成功，则电子水印验证单元报告验证成功，并且处理正常结束。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略在步骤S2023至步骤S2025中验证物理数据的处理、以及指定嵌入位置的处理(步骤S2029)。

使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法

接着，将参考图57和图58描述使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法。应当注意，下面描述物理数据自身被用作设备表征信息的情况。

嵌入方法的流程

首先，将参考图57描述由可控制设备125的篡改检测信息生成单元2031实施的嵌入方法。

应当注意，假设可控制设备125经由电力管理装置11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在可控制设备125与分析服务器34之间预先确定数据发送定时。

可控制设备125的篡改检测信息生成单元2031判断是否已到达预定的数据发送时间(步骤S2041)。如果未到预定的发送时间，则篡改检测信息生成单元2031等待到达该预定时间。如果已经到达预定的发送时间，则设备表征信息生成单元2033从传感器控制单元2023和蓄电池控制单元2027获取物理数据(步骤S2043)。此后，设备表征信息生成单元2033验证获取的物理数据(步骤2045)。接着，设备表征信息生成单元2033判断所获取的物理数据是否正常(步骤S2047)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则设备表征信息生成单元2033报告异常(步骤S2065)。

在经由验证确认物理数据正常之后，嵌入位置确定单元2037分析物理数据，确定适于物理数据的电子水印信息的嵌入位置(步骤S2049)，并且将关于所确定的嵌入位置的信息通知给电子水印嵌入单元2039。

接着，电子水印生成单元2035获取表明当前时间或发送预定时间的时间信息(步骤S2051)。此后，电子水印生成单元2035基于物理数据、时间信息和共享信息生成电子水印信息(步骤S2053)，并且将生成的电子水印信息输出给电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入物理数据中(步骤S2055)。接着，电子水印嵌入单元2039验证嵌入有电子水印信息的物理数据(这样的物理数据在下文中称为“被嵌入数据”)(步骤S2057)。此后，电子水印嵌入单元2039检查验证结果(步骤S2059)。

如果被嵌入数据正常，则电子水印嵌入单元2039将该被嵌入数据发送给电力管理装置11(步骤S2061)。电力管理装置11将所接收的嵌入数据发送给局部电力管理系统1外部的分析服务器34。

同时，如果在被嵌入数据中发现了异常，则电子水印嵌入单元2039判断异常出现的次数是否小于指定的阈值(步骤S2063)。如果异常出现的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2053，并且处理继续。同时，如果异常出现的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2065)。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略确定嵌入位置的处理、在步骤S2045至步骤S2047中验证物理数据的处理以及在步骤S2057至步骤S2063中验证被嵌入数据的处理。

验证方法的流程

接着，将参考图58描述验证由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的电子水印信息的方法。

应当注意，假设可控制设备125经由电力管理装置11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在可控制设备125与分析服务器34之间预先确定数据发送定时。

分析服务器的信息篡改检测单元判断是否已到达预定的数据发送时间(步骤S2071)。如果未到预定的发送时间，则信息篡改检测单元等待到达该预定时间。如果已经到达预定的发送时间，则信息篡改检测单元尝试获取经由电力管理装置11从可控制设备125发送的物理数据。这里，信息篡改检测单元判断是否能够在指定的时间段内接收到物理数据(步骤S2073)。

如果未在指定的时间段内接收到物理数据，则信息篡改检测单元将异常通知给电力管理装置11的用户(步骤S2089)。同时，如果在预定的时间段内接收到物理数据，则嵌入位置指定单元验证所获取的物理数据(步骤S2075)。此后，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2077)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明为明显的异常行为，则嵌入位置指定单元报告异常(步骤S2089)。

在经由验证确认物理数据正常之后，嵌入位置指定单元分析物理数据，指定嵌入电子水印信息的位置(步骤S2079)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。电子水印提取单元基于关于嵌入位置的位置信息从物理数据提取电子水印信息并且将所提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元获取表明当前时间或者发送预定时间的时间信息(步骤S2081)。

此后，电子水印验证单元基于物理数据、时间信息和共享数据生成电子水印信息(步骤S2083)并且通过将提取的电子水印信息与生成的电子水印信息进行比较以验证电子水印信息(步骤S2085)。如果基于比较验证电子水印信息失败，则电子水印验证单元报告异常(步骤S2089)。此外，如果基于比较验证电子水印信息成功，则电子水印验证单元报告验证成功，并且处理正常结束。

应当注意，如果预先确定了电子水印信息的嵌入位置，则可省略在步骤S2075至步骤S2077中验证物理数据的处理、以及指定嵌入位置的处理(步骤S2079)。

通过进行上述处理，可以在位于分析服务器34和可控制设备125之间的电力管理装置11的控制功能受到损害时检测到异常。通过使电力使用子水印信息，还可以检测由攻击者在通信路径上进行的对物理数据的篡改。另外，电力管理装置11仅仅中介(mediate)物理数据的发送，并且可以检测在分析服务器34与可控制设备125之间的路径上的对物理数据的篡改，而不需要发送或接收用于防止篡改的特定数据。

甚至当电力管理装置11的控制功能受到损害时，也可以防止攻击者篡改物理数据的攻击。另外，通过使用该方法，可以为物理数据增添用于检测篡改的功能，而不丢失物理数据的统计特性。

(1-19)分析服务器的作用

用作局部电力管理系统1的电力中心的电力管理装置11被连接到装备有蓄电池的各种可控制设备等。电力管理装置11通过基于从各种设备获得的电力信息控制配电装置121来控制配电。电力管理装置11能够实时地掌握连接至系统1的设备的电力消耗，并且集中管理系统1内的包括通过诸如光伏发电的自然能量的家庭发电生成的电力的电力使用状态。电力管理装置11还能够将电力消耗可视化，这希望使用户抑制能量的浪费消耗。

但是，由于局部电力管理系统1是控制局部电网的网络系统，所以重要的是在系统配置和服务中使用安全技术。近年来，对于装配有蓄电池的设备，用户通常用较次的产品代替蓄电池组电池，和/或使用绕过对设备认证的伪造芯片。这可能导致问题，例如质量下降，从而导致起火。由根据本实施例的局部电力管理系统1处理的“蓄电池”包括多种设备，如存在于系统中的电力存储装置和电动交通工具，并且重要的是保持这样的设备安全。

以下是能够对电力管理装置11进行的外部攻击的一些设想示例，该电力管理装置11形成局部电力管理系统1的外部与该系统1的内部之间的接口。

-引入导致设备或蓄电池异常操作的非法命令(病毒)；

-接管对电力管理装置的控制；

-特洛伊木马攻击；

-经由电力管理装置对另一设备或系统的攻击；

-DoS攻击。

为了保护免受这样的外部攻击，过去使用了下列措施：

-防止预先预测的非法操作；

-使用预先定义的病毒模式文件检测病毒；

-监视执行文件的行为以及检测非法文件以保护免受未知的攻击。

但是，由于这样的措施是响应于计算机上的行为而使用的，所以难以使用这样的措施来监视诸如蓄电池的物理装置，因此很难说这样的措施提供了足够的保护。此外，由于想到可与电力管理装置连接的蓄电池和设备会经常更新，所以极可能针对攻击的对策会变得极其复杂并且预先难以想象攻击的内容。

针对伪造蓄电池的一个对策是将认证芯片集成到蓄电池模块中并且仅与质量得到保证的蓄电池连接。但是，近年来，用于使认证芯片的功能变得无效的技术得到了发展，并且伪造芯片绕过认证的情况变得越来越普遍。如果从安装在较次蓄电池组电池上的伪造芯片经由设备发送的蓄电池状态(电压、电流、剩余电荷等)不正确(即，如果数字信息错误)，则电力管理装置不能正确地控制电网，从而导致出现事故的风险很高。在这种情况下，应当停止设备的操作或者应当排除有问题的蓄电池，但是没有用于实现这样的机制的现有技术。

由于以上原因，需要用于避免对连接到电力管理装置或系统的设备/蓄电池的攻击(病毒感染)以及伴随蓄电池劣化或伪造产品的风险的技术。下面描述如下方法：该方法能够使用从连接至系统的蓄电池或设备输出的传感器信息和多种历史信息而检测对系统的上述类型攻击的存在以及蓄电池的劣化等。

下面描述的检测攻击的存在以及蓄电池的劣化等的方法主要使用从各设备输出的诸如传感器信息等的物理数据以及历史信息，以使用计算物理估计进行判断以及使用启发式统计方法进行高速判断。通过这样做，可以检测未知的攻击以及从源头避免风险。

在本实施例中，设置在局部电力管理系统1外部的分析服务器34被用作用于检测攻击以及避免风险的设备。假设分析服务器34的功能之一是对局部电力管理系统执行安全检查的功能。因此，以下描述的分析服务器34是用作安全检查服务器的服务器。

分析服务器34基于从电力管理装置发送的各种设备和蓄电池的传感器信息、执行命令信息、预先注册在分析服务器34中的设备/蓄电池信息、使用环境信息和使用历史信息，实现下列功能。

-排除绕过认证的复制品以及已经劣化并且其操作变得危险的蓄电池；

-保护免受启发式外部攻击；

-通过基于当前状态、输入以及关于外部环境的信息的估计验证合法性；

-生成和更新由电力管理装置中的防病毒系统使用的病毒定义文件。

此外，如上所述，分析服务器34还能够配备有以下功能：验证嵌入在从各种设备和蓄电池发送的设备表征信息中的篡改检测信息(电子水印信息)。通过使用篡改检测信息，还可以检查电力管理装置是否已被接管。

这里，可给出电压、电流、温度、湿度、时间、使用设备信息、用户等作为上述传感器信息的示例，并且可给出指令命令、执行文件、设备/蓄电池参数等作为执行命令信息的示例。此外，可给出制造商、型号、制造商编号等作为预先注册在分析服务器34中的设备/蓄电池信息的示例，并且可给出家庭信息、位置、自有设备信息等作为使用环境信息的示例。可给出过去的设备/蓄电池传感器信息、执行命令信息、使用时间、使用频率等作为上述使用历史信息的示例。

(1-20)分析服务器的配置

接着，将参考图59至图62具体描述分析服务器34的配置，该分析服务器根据本实施例为安全检查服务器。图59是用于说明根据本实施例的分析服务器的配置的框图。图60是用于说明根据本实施例的分析服务器中包括的信息篡改检测单元的配置的框图。图61是用于说明根据本实施例的分析服务器中包括的第一验证单元的配置的框图。图62是用于说明根据本实施例的分析服务器中包括的第二验证单元的配置的框图。

分析服务器的总体配置

首先，将参考图59描述根据本实施例的分析服务器34的整体配置。

如图59所示，根据本实施例的分析服务器34主要包括广域通信单元3001、信息篡改检测单元3003、获取数据验证单元3005和存储单元3013。

广域通信单元3001是用于在局部电力管理系统1和另一服务器等之间通过广域网2交换信息的通信装置。

信息篡改检测单元3003例如由CPU、ROM、RAM等实现。当用于检测信息是否已被篡改的数据被嵌入到由分析服务器34从电力管理装置11获取的信息中时，信息篡改检测单元3003验证该数据并且检测信息是否已被篡改。这里，嵌入这样的信息的数据的一个示例可以为电子水印。

当检测到信息被篡改时，信息篡改检测单元3003将检测结果通知给电力管理装置11或用户本人。通过这样做，电力管理装置11或者电力管理装置11的用户能够将出现信息篡改的设备从系统1内部排除。

获取数据验证单元3005例如由CPU、ROM、RAM等实现。获取数据验证单元3005验证从电力管理装置11获取的各种信息，并且如上所述，是提供用于保护电力管理装置11不受外部攻击的各种功能的处理单元。

如图59所示，获取数据验证单元3005还包括获取数据验证控制单元3007、第一验证单元3009和第二验证单元3011。

在分析和验证由分析服务器34从电力管理装置11获取的各种数据时，获取数据验证控制单元3007进行控制。更具体地，获取数据验证控制单元3007判断如何将以下描述的第一验证单元3009的验证和第二验证单元3011的验证组合，以分析和验证所获取的数据。相应地，以下描述的第一验证单元3009和第二验证单元3011在获取数据验证控制单元3007的控制下执行各种验证处理。

第一验证单元3009例如由CPU、ROM和RAM等实现。第一验证单元3009基于统计处理、使用启发式方法分析和验证由分析服务器34获取的各种类型信息。

第一验证单元3009主要具有下述两个功能：

(i)通过将从电力管理装置获取的数据与从具有相似电力使用环境的另一电力管理装置获取的数据进行比较，检测存在对电力管理装置的攻击、蓄电池或者各种设备或传感器存在异常的功能；

(ii)在从电力管理装置获取的数据中根据与先前使用历史数据的比较，而检测存在对电力管理装置的攻击、蓄电池或者各种设备或传感器存在异常的功能。

为了实现以上给出的功能(i)，第一验证单元3009使用从处于验证中的电力管理装置11获取的“蓄电池型号/ID信息和电力状态信息、历史”和“设备型号/ID信息和如温度的传感器信息、历史”或者“电力管理装置的执行文件”。第一验证单元3009不仅使用从处于验证中的电力管理装置获取的上述信息，而且使用未处于验证中的其它电力管理装置11获取的上述信息。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理装置的攻击和/或在蓄电池/设备或传感器中是否存在异常。

为实现以上给出的功能(ii)，第一验证单元3009从处于验证中的电力管理装置11获取“蓄电池型号/ID信息和电力状态信息”和“设备型号/ID信息和如温度的传感器信息”或者“电力管理装置的执行文件”。第一验证单元3009还使用处于验证中的电力管理装置11的“蓄电池电力状态信息历史”、“设备的传感器信息历史”和“电力管理装置的执行文件历史”。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理装置的攻击和/或在蓄电池/设备或传感器中是否存在异常。

第一验证单元3009还包括验证“电力管理装置的执行文件”中的命令信息的功能，并且可用于在命令信息被确定为异常时从被确定为异常的命令信息中提取病毒模式。第一验证单元3009使用所提取的病毒模式并生成关于该病毒的病毒定义文件。

在判断为设备的传感器信息、执行文件、命令信息等中存在异常时，第一验证单元3009可以与第二验证单元3011共享该信息，或者可以将该信息发送给第二验证单元3011。通过共享或发送该信息，第二验证单元可以更新仿真中使用的参数并且可以进一步提高仿真精度。

第二验证单元3011例如由CPU、ROM、RAM等实现。第二验证单元3011使用所获取的数据通过仿真(计算物理估计)来分析并验证由分析服务器34获取的各种信息。

第二验证单元3011主要包括如下功能：通过利用计算物理量的估计而实现的高精度判断，来检测蓄电池/设备或传感器的异常。

第二验证单元3011从处于验证中的电力管理装置11获取系统1中的“蓄电池型号/ID信息和电力状态信息、历史”和“设备型号/ID信息和如温度的传感器信息、历史”。另外，第二验证单元3011从处于验证中的电力管理装置11获取蓄电池/设备的电气规格和特征信息。第二验证单元3011基于获取的设备信息、电气规格和特征信息以及使用历史信息进行仿真，以计算表明这些设备操作正常的指标(在下文中称为“正常操作范围”)。第二验证单元3011比较并验证所计算的正常操作范围和已获得的上述各种数据，并且判断是否存在针对处于验证中的电力管理装置的攻击以及蓄电池/设备或传感器是否存在异常。

存储单元3013是设置在根据本实施例的分析服务器34中的存储装置的一个示例。存储单元3013存储关于由分析服务器34存储的各个密钥以及由分析服务器34存储的各个数字签名、证书等的信息。在存储单元3013中还可以记录各历史信息。另外，存储单元3013还可以适当地存储处理期间应当由根据本实施例的分析服务器34存储的各参数和中间处理进程，或者各数据库等。分析服务器34的各处理单元能够自由地对存储单元3013进行读写。

信息篡改检测单元的配置

接着，将参考图60描述信息篡改检测单元3003的配置。

如图60所示，信息篡改检测单元3003还包括嵌入位置指定单元3021、电子水印提取单元3023和电子水印验证单元3025。

利用根据本实施例的局部电力管理系统1，可以在诸如电流、电压、温度和湿度等的物理数据中或者在使用这些物理数据计算出的各种信息中嵌入适合这些信息的电子水印数据。通过验证电子水印数据，能够与局部电力管理系统1进行双向通信的分析服务器34能够检测物理数据(其在下文中包括使用物理数据计算出的各种信息)是否被篡改。

嵌入位置指定单元3021例如由CPU、ROM、RAM等实现。通过使用预定的信号处理电路分析嵌有电子水印的物理数据，嵌入位置指定单元3021根据对应于该数据的信号的特征指定电子水印信息的嵌入位置。在指定电子水印信息的嵌入位置时，嵌入位置指定单元3021将关于指定嵌入位置的信息通知给电子水印提取单元3023。应当注意，如果在可控制设备125等与分析服务器34之间预先确定了电子水印的嵌入位置，则可无需执行嵌入位置的指定处理。

电子水印提取单元3023例如由CPU、ROM、RAM等实现。电子水印提取单元3023基于关于由嵌入位置指定单元3021提供的嵌入位置的信息从物理数据中提取电子水印信息。电子水印提取单元3023将从物理数据中提取出的电子水印发送给下文描述的电子水印验证单元3025。

电子水印验证单元3025例如由CPU、ROM、RAM等实现。电子水印验证单元3025首先基于与可控制设备125共享的共享信息等以及由电子水印提取单元3023提取的物理数据生成电子水印信息。为生成电子水印信息，使用哈希函数、伪随机数生成器、公共密钥加密、共享密钥加密(例如，消息认证码MAC)等。此后，电子水印验证单元3025将生成的电子水印信息与由电子水印提取单元3023提取的电子水印信息进行比较。

如果生成的电子水印信息和提取的电子水印信息相同，则电子水印验证单元3025判断出由可控制设备125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息和所提取的电子水印信息不相同，则电子水印验证单元3025判断出物理数据被篡改。

如果物理数据被篡改，则电子水印验证单元3025通知电力管理装置11或者用户本人。通过这样做，电力管理装置11或者用户本人能够将操作被修改的可控制设备125等排除在局部电力管理系统1之外。

此外，如上所述，如果电子水印信息是通过使用物理数据和共享信息并且使用时间信息生成的，则还可以验证管理局部电力管理系统1的电力管理装置是否被接管。

第一验证单元的配置

接着，将参考图61具体描述第一验证单元3009的配置。

如上所述，第一验证单元3009基于从电力管理装置11发送的蓄电池和设备的传感器信息和执行命令信息、在分析服务器34中预先注册的关于蓄电池和设备的信息、使用环境信息和使用历史信息而提取表征量。此后，第一验证单元3009基于所提取的表征量高速检测差别和异常。

如图61所示，第一验证单元3009包括验证控制单元3031、操作判断单元3033、数据库管理单元3035、病毒定义文件管理单元3037和共享信息生成单元3039。第一验证单元3009还包括电力管理装置数据库3041、判断词典3043和病毒定义文件数据库3045。

验证控制单元3031例如由CPU、ROM、RAM等实现。验证控制单元3031控制启发式验证处理并且与第一验证单元3009的各处理单元合作，其中，启发式验证处理使用由第一验证单元3009执行的统计处理。

操作判断单元3033例如由CPU、ROM、RAM等实现。操作判断单元3033输入从待验证的电力管理装置11获取的诸如传感器信息和执行命令信息的各种信息，并且基于处于验证中的电力管理装置11或其它电力管理装置11的历史信息等判断处于验证中的电力管理装置11的操作是正常还是异常。由操作判断单元3033执行的判断处理在后文描述。

数据库管理单元3035例如由CPU、ROM、RAM等实现。数据库管理单元3035将从电力管理装置11发送的诸如新蓄电池和设备的传感器信息、执行命令信息以及历史信息的各种信息存储在数据库3041中，并且还更新判断词典3043。数据库管理单元3035定期比较指定的电力管理装置11的统计与其它电力管理装置11的数据的统计，并且测试是否存在蓄意生成的数据。

病毒定义文件管理单元3037例如由CPU、ROM、RAM等实现。病毒定义文件管理单元3037将已经被操作判断单元3033判断为异常的执行命令信息定义为病毒模式，并且生成病毒定义文件。病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中以更新数据库，并且还经由验证控制单元3031将生成的病毒定义文件发送至外部。

共享信息生成单元3039收集关于已被操作判断单元3033检测为异常的电力管理装置11的信息(例如关于蓄电池/设备的传感器信息、执行命令信息、关于蓄电池/设备的设备信息、使用历史信息等)作为共享信息。此后，共享信息生成单元3039经由验证控制单元3031和获取数据验证控制单元3007将生成的共享信息输出至第二验证单元3011。

通过使用共享信息来更新用于仿真的设置信息(参数等)，第二验证单元3011能够进一步提高仿真精度。

电力管理装置数据库3041是存储在第一验证单元3009中的数据库的一个示例。在该数据库中存储各种信息，例如关于蓄电池和设备的设备信息、使用环境信息和每个电力管理装置11的使用历史信息。

判断词典3043是存储在第一验证单元3009中的另一数据库并且在操作判断单元3033启发式地判决操作时存储关于表征量的信息。这样的表征量是在提供特定条件(设备信息、使用环境信息等)时关于典型传感器信息的统计并且基于电力管理装置数据库3041而生成。

病毒定义文件数据库3045是存储在第一验证单元3009中的又一数据库。病毒定义文件数据库3045存储由病毒定义文件管理单元3037生成的病毒定义文件。

这完成了对第一验证单元3009的配置的具体描述。

第二验证单元的配置

接着，将参考图62具体描述第二验证单元3011的配置。

如上所述，第二验证单元3011通过基于随时间和使用环境的变化、使用历史、使用状态和蓄电池的特征信息进行仿真来计算正常操作范围，并且高速检测差别和异常。第一验证单元3009进行的验证是使用来自虚拟环境等的统计信息的高速判断方法，而第二验证单元3011进行的验证是耗时的。但是，第二验证单元3011可以高精度地计算真品的质量劣化。

第二验证单元3011包括使用从第一验证单元3009输出的共享信息来将在进行仿真时使用的各设置信息(参数)更新为适当值的功能。

如图62所示，第二验证单元3011还包括估计特征值计算单元3051、数据库3053和数据判断单元3055。

估计特征值计算单元3051例如由CPU、ROM、RAM等实现。估计特征值计算单元3051基于从待验证的电力管理装置11获取的设备信息、电气规格和特征信息以及使用历史信息进行仿真，以计算估计特征值。估计特征值是表明设备是否正确操作的指标(即，正常操作范围)。当进行仿真时，估计特征值计算单元3051获取数据库3053中注册的用于仿真的各参数。

数据库3053是存储在第二验证单元3011中的数据库，并且存储估计特征值计算单元3051进行仿真时使用的各设置信息(参数)。如上所述，数据库3053中存储的参数由第二验证单元3011使用从第一验证单元3009输出的共享信息进行更新。

数据判断单元3055例如由CPU、ROM、RAM等实现。数据判断单元3055将从待验证的电力管理装置11获取的各数据与由估计特征值计算单元3051计算的估计特征值进行比较，并且判断从待验证的电力管理装置11获取的各数据。通过使用任意逻辑，数据判断单元3055能够检测蓄电池/设备或传感器的异常，作为一个示例，当实际值和估计特征值之间的差异等于或大于指定阈值时或者该差异等于或小于该阈值时，数据判断单元3055能够判断在设备中出现异常。

在第二验证单元3011中，物理仿真中使用的参数能够被纠正为更加真实的值。还可以将这样的信息发送给蓄电池或设备制造商，以将预先未想到的故障通知给制造商。

这完成了对第二验证单元3011的配置的具体描述。

以上描述了根据本实施例的分析服务器34的功能的一个示例。上述的组成部件可以使用通用部件和/或电路来构建，或者可以由专用于各组成部件的功能的硬件来构建。可选地，各组成部件的功能可以都由CPU等执行。因此，当实施本实施例时，可以根据主导的技术水平适当改变使用的配置。

应当注意，用于实现上述根据本实施例的分析服务器的功能的计算机程序可以在个人计算机等中创建和安装。也可以提供存储有这样的计算机程序的计算机可读记录介质。例如，记录介质可以是磁盘、光盘、磁光盘、闪速存储器等。上述计算机程序也可以通过例如网络发布，而不使用记录介质。

(1-21)指定待排除的蓄电池的处理

接着，将参考图63描述由具有上述功能的分析服务器34执行的用于指定待排除的蓄电池的处理。图63是用于说明待排除的蓄电池的示图。

图63中示出的表是局部电力管理系统1中使用的蓄电池的可想到的状态的列表。如图63的顶部所示，局部电力管理系统1中使用的蓄电池包括存储电力的一个或多个电池、用于控制一个或多个电池的电路板以及该电路板上设置的认证芯片。电池和包括认证芯片的电路板的可想到的状态可大致分为表中所示的七种情况。

情况1至情况3是由正品电池和正品电路板组成的蓄电池中可能出现的状态。情况4至情况7是使用假冒电池的蓄电池中可能出现的状态。

在七种情况中，情况1、情况2和情况4的电池特征没有问题，并且输出正确的设备状态。由于归入这些情况中的蓄电池在估计范围内劣化或者为具有不成问题的特征或信息的副本，所以这样的蓄电池出现在局部电力管理系统中时不会引起大的问题。

但是，对于归入情况3和情况5至7中的蓄电池，当电池的特征或设备信息与具有正常使用的正品的情况比较时生成差异，并且由于这样的产品存在多种风险，所以需要将这样的蓄电池排除在局部电力管理系统1之外。

由于该原因，通过使用上述多种验证处理，根据本实施例的分析服务器34能够指定应当被排除的上述蓄电池。

随后将具体描述由分析服务器34执行的用于指定待排除的蓄电池的处理。

(1-22)保护电力管理装置免受非法攻击的方法

接着，将参考图64描述保护电力管理装置免受非法攻击的方法的整体流程。图64是用于说明保护电力管理装置免受非法攻击的方法的流程图。

应当注意，在以下说明开始之前，假设已设置电力管理装置11以注册防止非法攻击的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理装置11的系统管理单元1125首先判断是否已到达用于检查非法攻击的存在的定时(步骤S3001)。如果未到达该检查定时，则电力管理装置11的系统管理单元1125等待将到达的该检查定时。如果已到达该检查定时，则电力管理装置11的系统管理单元1125使用到目前为止存储在电力管理装置11中的攻击模式文件(病毒定义文件)搜索系统(步骤S3003)。

当在模式检查中存在问题时，电力管理装置11的系统管理单元1125在电力管理装置11中存储的设备排除列表中注册有问题的设备，并且控制单元115从系统中排除有问题的设备(步骤S3005)。

如果在模式检查中不存在问题，则电力管理装置11的设备管理单元1121从包括连接至系统的蓄电池的各设备收集诸如传感器信息和执行命令信息的各种信息(步骤S3007)。此后，电力管理装置11的设备管理单元1121经由相互认证来访问分析服务器34(步骤S3009)。当已建立连接时，电力管理装置11对电力管理装置的ID、每个设备的蓄电池ID、蓄电池的输出信息、电力管理装置的传感器信息和执行命令信息进行加密，并且将加密的信息发送至分析服务器34(步骤S3011)。

分析服务器34的获取数据验证单元3005判断在从电力管理装置11发送的各种数据中是否存在任何异常(步骤S3013)。当不存在异常时，获取数据验证单元3005将关于电力管理装置11的所获取的数据添加至数据库中(步骤S3015)并且将分析结果通知给电力管理装置11(步骤S3017)。

同时，当在步骤S3013中识别出异常时，分析服务器34的获取数据验证单元3005生成病毒定义文件(步骤S3019)。分析服务器34的获取数据验证单元3005检查在识别出异常的电力管理装置11中是否出现很多异常(步骤S3021)。当判断出出现很多异常并且电力管理装置11已成为攻击等的发射台时，分析服务器34向系统管理服务器33通知异常(步骤S3023)。已收到报告的系统管理服务器33例如通过将涉及的装置置于黑名单中而排除该装置(步骤S3025)。分析服务器34还将步骤S3019中生成的分析结果和病毒定义文件发送至电力管理装置11(步骤S3027)。电力管理装置11的系统管理单元1125接收该结果并且进行适当处理，例如在存在病毒定义文件时更新该病毒定义文件(步骤S3029)。

这完成了对保护电力管理装置免受非法攻击的方法的整体流程的说明。

(1-23)排除蓄电池的方法

接着，将参考图65描述由分析服务器34执行的用于指定待排除的蓄电池的处理以及由电力管理装置11执行的用以排除这样的蓄电池的处理。图65是用于说明排除蓄电池的方法的流程图。

根据本实施例的分析服务器34基于从电力管理装置11发送的信息检测在蓄电池中是否存在异常，并且在出现了异常时通知电力管理装置11。已收到关于异常的通知的电力管理装置11进行一系列操作，例如停止向异常蓄电池供应电力。

应当注意，在以下说明开始之前，假设已设置电力管理装置11以注册排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、定时等。

电力管理装置11的系统管理单元1125首先判断是否已到达用于检查蓄电池风险的定时(步骤S3031)。如果未到达该检查定时，则电力管理装置11的系统管理单元1125等待将到达的该检查定时。如果已到达该检查定时，则电力管理装置11的设备管理单元1121请求包括蓄电池的可控制设备125等发送蓄电池信息(蓄电池初级信息)。作为响应，包括蓄电池的各可控制设备125将蓄电池信息发送给电力管理装置11(步骤S3033)。电力管理装置11检查是否已从每个设备获取了蓄电池信息(步骤S3035)。应当注意，尽管不是绝对必须从每个设备获取蓄电池信息，但是优选检查所有设备。

电力管理装置11的设备管理单元1121经由相互认证来访问分析服务器34(步骤S3037)。当已建立连接时，电力管理装置11将电力管理装置的ID、每个设备的蓄电池ID以及蓄电池的初级信息发送至分析服务器34(步骤S3039)。

分析服务器34的获取数据验证单元3005使用从电力管理装置11发送的各种数据计算估计特征值，并且将获取的数据与计算的估计特征值进行比较。此后，分析服务器34的获取数据验证单元3005将得到的结果通知给电力管理装置11(步骤S3041)。

电力管理装置11的系统管理单元1125判断得到的结果(步骤S3043)。当该结果为不存在异常时，电力管理装置11的设备管理单元1121检查从传感器收集的物理信息(步骤S3045)并且如果不存在问题则结束处理。

当在步骤S3043中存在异常时，电力管理装置11的控制单元115向配电装置121发出关于具有存在异常的蓄电池的设备的电力供应停止命令(步骤S3047)。配电装置121根据来自电力管理装置11的命令停止向这样的设备的电力供应(步骤S3049)。电力管理装置11的系统管理单元1125将存在异常的设备的ID置于撤销列表上并且设备管理单元1121断开设备的信息网络(步骤S3051)。

通过执行上述处理，分析服务器34能够指定待排除的蓄电池，并且电力管理装置11能够从系统中排除此类待排除的蓄电池。

(1-24)由获取数据验证单元进行的验证处理

接着，将参考图66A和图66B描述分析服务器34的获取数据验证单元3005进行的验证处理的整体流程。图66A和图66B为用于说明由获取数据验证单元进行的验证的流程图。

分析服务器34的获取数据验证单元3005的获取数据验证控制单元3007首先获取从电力管理装置11发送的各种数据(步骤S3061)。接着，获取数据验证控制单元3007使用预定过滤器测试所获取的数据(步骤S3063)。作为示例，过滤器可以针对从指定电力管理装置11发送大量信息的DoS攻击提供保护，可以用作防火墙，和/或可以拒绝非标准通信。

如果在对获取的数据进行的过滤处理中检测到异常，则获取数据验证控制单元3007输出异常判断(步骤S3083)，实施指定的报警处理(步骤S3085)，并且结束流程。作为一个例子，可以针对系统管理服务器33或与讨论的电力管理装置有关的另一服务器执行该报警处理。

同时，如果在对获取的数据进行的过滤处理中未检测到异常，则获取数据验证控制单元3007对所获取的数据实施简化的判断处理(步骤S3065)。假设简化的判断包括由分析服务器34检测预先了解的病毒模式，由第一验证单元3009执行简化的判断，和/或针对典型使用进行匹配，这样的处理通常高速执行。当可以在该阶段明确确认操作正常时，输出正常判断(步骤S3081)并且结束流程。

同时，如果该简化判断判断出存在异常或者如果无法判断，则获取数据验证控制单元3007判断使用以下描述的三个判断处理(标号为模式1至模式3)中的哪一个(步骤S3067)。

模式1是选择链接判断处理的模式，该链接判断处理使用第一验证单元3009和第二验证单元3011的组合。

例如，获取数据验证控制单元3007首先经由第一验证单元3009的统计处理进行判断(步骤S3069)，并且还从发送的信息中掌握蓄电池/设备的物理特征。这里，获取数据验证控制单元3007判断处理路径(步骤S3071)并且判断是要输出最终结果(步骤S3075)还是执行第二验证单元3011的验证(步骤S3073)。当还执行第二验证单元3011的验证时，第二验证单元3011基于从第一验证单元3009接收的共享信息(即，物理特征)更新仿真中使用的物理参数，并且基于发送的信息执行仿真。另外，第一验证单元3009基于通过第二验证单元3011的验证获得的发现来更新判断词典，并且基于统计处理再次执行判断。

还可以选择如下判断处理：在由验证单元之一进行的判断中明确建立应当更加详细研究的点，然后将该点反馈给由另一验证单元进行的判断。这样，模式1是通过第一验证单元3009与第二验证单元3011的互补使用来提高判断精度的方法。

模式2是选择线性判断处理的模式，其中，第一验证单元3009的验证和第二验证单元3011的验证按该顺序进行。

更具体地，获取数据验证控制单元3007首先使用能够在相对较短的处理时间内进行判断的第一验证单元3009实施验证(步骤S3077)，并且，如果判断结果不正常，则切换到需要较长处理时间的第二验证单元3011的验证(步骤S3079)。这里，假设第一验证单元3009的验证是比简化判断中的验证更详细的研究。

当使用模式2时，如果由第一验证单元3009的验证生成“正常”判断，则获取数据验证控制单元3007输出正常判断(步骤S3081)并且流程结束。

在图66A中，假设了首先实施相对较快的第一验证单元3009的验证的情况，但是也可以首先实施第二验证单元3011的验证。

模式3是选择并行判断处理的模式，其中，同时使用第一验证单元3009的验证和第二验证单元3011的验证。

获取数据验证控制单元3007确定执行第一验证单元3009和第二验证单元3011两者的验证还是仅使用这些验证单元之一执行验证，并且确定研究什么属性(步骤S3087)。第一验证单元3009(步骤S3089)和第二验证单元3011(步骤S3091)执行各自的研究，并且获取数据验证控制单元3007基于来自这两个处理单元的研究结果执行最终判断(步骤S3093)。

应当注意，尽管可以执行上述三种方法(模式)之一，但是也可以并行执行这三种方法。还可以根据要研究的属性信息和/或传感器信息的范围等自适应地分配这些方法。还应当可以通过并行使用多个模式1至3代替单独使用模式1至模式3来生成潜在高速模型。

(1-25)由第一验证单元进行的验证处理的流程

接着，将参考图67描述第一验证单元的验证处理的流程。图67是用于说明第一验证单元的验证处理的流程图。

第一验证单元3009的验证控制单元3031首先获取要验证的电力管理装置11的蓄电池/传感器信息和执行命令信息中的至少之一作为验证数据(步骤S3101)。接着，操作判断单元3033执行调整所获取信息(例如，蓄电池或设备的传感器信息)的数据格式的预处理(步骤S3103)。

此后，操作判断单元3033指定特定的属性信息(例如，设备信息、使用环境信息)，并且根据这些属性从已由预处理调整后的数据(蓄电池或设备的传感器信息，执行命令信息)中提取表征量(步骤S3105)。由于在提取表征量时指定的属性信息的典型表征量是预先根据要验证的电力管理装置或其它电力管理装置的使用历史计算出的，所以所指定属性信息的典型表征量会存储在判断词典中。

应当注意，表征量如下：

-由未处于验证中的电力管理装置的蓄电池/传感器信息和使用历史给出的表征量；

-由处于验证中的电力管理装置的蓄电池/传感器信息/历史给出的表征量；

-未处于验证中的电力管理装置的执行命令的特征；

-处于验证中的电力管理装置的执行命令的特征；

接着，第一操作判断单元3033将指定属性信息的典型表征量和计算出的表征量进行比较(步骤S3107)并且输出判断结果(步骤S3109)。作为一个示例，操作判断单元3033能够在这两个表征量之间相关度低时判断出出现异常，并且在相关度高时能够判断出状态正常。

另一操作判断单元3033也可以针对相同的表征量或不同的表征量执行同样的处理(步骤S3111至步骤S3115)并且输出判断结果。

此后，验证控制单元3031可以基于来自每个操作判断单元3033的判断结果给出正常/异常的最终判断(步骤S3117)。例如，验证控制单元3031可以在每个操作判断单元3033给出正常/异常的判断时给出多数判断。可替换地，验证控制单元3031可以使用以下方法：通过对于正常使用权重1且对于异常使用权重0来计算和，并且在该和等于或大于阈值时给出正常的最终判断。当计算相关度或函数值时，验证控制单元3031可得到采用了与以上相同的权重的和，然后使用阈值进行判断或使用某类型函数。

验证控制单元3031将如上所述获得的总体判断结果输出至获取数据验证控制单元3007(步骤S3119)并结束验证处理。获取数据验证控制单元3007将获得的验证结果输出至电力管理装置、用户本人和提供其它服务的服务器等。

应当注意，作为示例，操作判断单元3033可以使用诸如最近邻近原则、感知器、神经网络、支撑矢量机、多变量分析、或提升(Boosting)等方法作为判断函数。判断函数的参数可以预先基于关于另一电力管理装置11的数据和/或物理数据而通过学习确定。

应当注意，如果通过上述处理最终识别出异常，则病毒定义文件管理单元3037从识别出异常的执行命令信息中提取模式，并且生成病毒定义文件。

(1-26)由数据库管理单元进行的测试处理

接着，将参考图68描述第一验证单元3009的数据库管理单元3035的测试处理。图68是用于说明数据库管理单元的测试处理的流程图。

在数据库管理单元3035中，将关于从指定的电力管理装置11获取的数据的统计定期与关于从另一电力管理装置获取的数据的统计进行比较，并且进行是否存在蓄意生成的数据的测试。

为了通过操作判断单元3033检测异常操作，数据库管理单元3035预先从自多个电力管理装置收集的各种信息(例如，蓄电池或设备的传感器信息)正常地提取用于比较目的的表征量。

这里，存在恶意的电力管理装置11发送被篡改的蓄电池或设备的传感器信息等以操纵表征量的风险。因为这个原因，通过将从具有指定属性信息(例如，设备信息和使用环境信息)的指定电力管理装置的使用历史信息提取出的表征量与具有相同属性信息的多个其它电力管理装置的使用历史提取出的表征量进行比较，病毒定义文件管理单元3037可检测出这种攻击。

首先，关于指定的属性信息，数据库管理单元3035首先获得要被判断为恶意或正常的电力管理装置的传感器信息或执行命令信息(步骤S3121)，并且从获取的信息提取表征量(步骤S3123)。数据库管理单元3035从具有相同属性信息的多个其它电力管理装置获取同一信息(步骤S3125)，并且使用相同方法提取表征量(步骤S3127)。

接着，数据库管理单元3035比较已提取的两个表征量并且判断当前关注的指定电力管理装置是否在非法操纵表征量(步骤S3129)，并且输出最终结果(步骤S3131)。可替换地，数据库管理单元3035可以针对其它属性执行相同的比较和判断，然后确定最终结果。应当注意，先前所列的判断函数之一被用于表征量的比较和判断，其中，通过学习预先计算用于此函数的参数。

当判断结果为电力管理装置是恶意时，则分析服务器34通知拥有该电力管理装置11的用户和/或电力公司的服务提供服务器等。

(1-27)数据库的更新以及判断词典的生成

接着，将参考图69简要描述由数据库管理单元3035进行的数据库的更新和判断词典的生成。图69是用于说明由数据库管理单元进行的数据库的更新和判断词典的生成的示图。

数据库管理单元3035将来自电力管理装置11的新的传感器信息和执行命令信息等存储在电力管理装置数据库3041中，并且还生成由操作判断单元3033使用的判断词典3043。

定期从电力管理装置11发送的传感器信息和执行命令信息以及在注册期间从电力管理装置11发送的设备信息、使用环境信息等经由验证控制单元3031被存储在电力管理装置数据库3041中。还基于传感器信息计算指定电力管理装置11的使用时间、使用频率等并将其存储在电力管理装置数据库3041中。

针对指定属性信息中的各属性，基于多个电力管理装置11的传感器信息、执行命令信息等所提取的表征量被存储在由操作判断单元3033使用的判断词典3043中。由于假设在起始阶段少数样本存储在判断词典3043中，所以从电力管理装置11发送关于各设备的物理数据并且估计表征量。此外，由于对于指定属性信息而言样品数量可能少，所以在一些情况下，可以从物理数据提取表征量并将其用于校正判断词典3043中存储的表征量。

(1-28)管理病毒定义文件的方法

接着，将参考图70简要描述由病毒定义文件管理单元3037执行的管理病毒定义文件的方法。图70是用于说明由病毒定义文件管理单元执行的管理病毒定义文件的方法的流程图。

病毒定义文件管理单元3037将在由操作判断单元3033进行的判断中被判断为异常的执行命令信息定义为病毒模式，以生成病毒定义文件。此后，病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中。

在生成病毒定义文件之前，首先，操作判断单元3033判断出某个电力管理装置11的操作异常(步骤S3141)。此后，病毒定义文件管理单元3037分析被操作判断单元3033判断为异常的执行命令信息并提取模式(步骤S3143)。

接着，病毒定义文件管理单元3037基于提取的模式生成文件(病毒定义文件)(步骤S3145)并且将生成的定义文件存储在病毒定义文件数据库3045中。病毒定义文件管理单元3037将生成的定义文件经由获取数据验证控制单元3007发送至电力管理装置11(步骤S3149)。每个电力管理装置11和分析服务器34能够使用该定义文件作为检测病毒的过滤器。

病毒定义文件管理单元3037分析包括执行命令信息的电力管理装置11的使用历史信息，其中从该执行命令信息中提取模式。结果，如果从电力管理装置11频繁发生异常，则在一些情况下，电力管理装置11被认作为恶意攻击者并且被注册在黑名单中(步骤S3151)。病毒定义文件管理单元3037也可以向电力公司报告存在这样的电力管理装置11。

注意，当电力管理装置被注册在黑名单中时，拒绝接收来自所注册的电力管理装置的通信和/或警告其它电力管理装置。

(1-29)指定待排除的蓄电池的方法的流程

接着，将参考图71A至图72说明由获取数据验证单元3005实施以指定待排除的蓄电池的方法的流程。图71A至图72是用于说明由获取数据验证单元实施以指定待排除的蓄电池的方法的流程图。

首先，将参考图71A至图71C说明指定对应于图63中的情况3、5和6的蓄电池的过程。

应当注意，在以下说明开始之前，假设已设置电力管理装置11以预定排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且预先设置这样的服务的执行频率、定时等(步骤S3161)。

如果检查蓄电池风险的定时已到，则电力管理装置11的系统管理单元1125请求可控制设备125执行性能检查(步骤S3163)，该可控制设备125为由电力管理装置11管理的被管理设备。

可控制设备125的主部件于是请求与其连接的蓄电池获取与关于蓄电池的电压/电流/剩余电荷/阻抗/负载等有关的临时状态信息(即电池特征)D1和设备信息D2(步骤S3165)。

连接至可控制设备125的蓄电池获取信息D1和D2(步骤S3167)并且将这些信息和蓄电池的ID信息经由可控制设备125的主部件发送至电力管理装置11(步骤S3169)。

电力管理装置11的设备管理单元1121将获取的信息存储在电力管理装置11中存储的数据库中(步骤S3171)。电力管理装置11还向分析服务器34发出特定查询(步骤S3173)。此后，电力管理装置11与分析服务器34进行认证(步骤S3175)并且与分析服务器34建立通信路径。

接着，电力管理装置11的系统管理单元1125将获取的信息(D1、D2和蓄电池的ID信息)发送至分析服务器34(步骤S3177)。

分析服务器34中的获取数据验证单元3005的第二验证单元3011使用获取的数据来执行特征估计计算(步骤S3179)以计算关于信息D1和D2的估计特征值。此后，第二验证单元3011计算实际测量值与估计值之间的差异并且判断出结果(步骤S3181)。接着，分析服务器34将获得的判断结果发送至电力管理装置11(步骤S3183)。

这里，针对各情况，步骤S3181中获得的判断结果预期如下：

(情况3)

针对D1的差异：在指定范围之外；针对D2的差异：在指定范围之外。

(情况5)

针对D1的差异：在指定范围之外；针对D2的差异：在指定范围之外。

(情况6)

针对D1的差异：在指定范围之外；针对D2的差异：在指定范围之外。

已获取此判断结果的电力管理装置11执行用于处理异常的处理(步骤S3185)。更具体地，电力管理装置11的设备管理单元1121命令配电装置121停止向出现了异常的可控制设备125供应电力(步骤S3187)。配电装置121接收该命令并且停止向可控制设备125供应电力(步骤S3189)。

同时，电力管理装置11的系统管理单元125向用户发出警告(步骤S3191)并且更新撤销列表(步骤S3193)。此后，电力管理装置11断开所涉及的可控制设备125的网络(步骤S3195)。

应当注意，尽管在图71A中示出了分析服务器34指定待排除的蓄电池的处理，但是，如果电力管理装置11具有计算估计特征值的功能，则可执行图71C中示出的处理代替图71A中的步骤S3177至S3183。更具体地，电力管理装置11从分析服务器34请求计算估计特征值所需的信息，例如特征值(步骤S3201)。在接收到此请求时，分析服务器34将计算估计特征值所需的信息发送至电力管理装置11(步骤S3203)。此后，电力管理装置11使用所获取的信息计算估计特征值(步骤S3205)并且判断出结果(步骤S3207)。通过以这种方式执行处理，电力管理装置11也可以指定待排除的蓄电池。

接着，将参考图72描述用于指定和排除对应于情况7的蓄电池的流程。一直到指定对应于情况7的蓄电池的处理与图71A中示出的步骤S3161至S3183相同。但是，对于对应于情况7的蓄电池的判断结果如下。

(情况7)

针对D1的差异：在指定范围之外；针对D2的差异：在指定范围之内。

已获取以上判断结果的电力管理装置11执行用于处理异常的处理(步骤S3211)。更具体地，电力管理装置11的设备管理单元1121将传感器检查命令和增加检查频率的命令发送至可控制设备125(步骤S3213)。在收到此命令时，可控制设备125执行收到的命令并且请求传感器执行测量(步骤S3215)。结果，传感器输出关于警告的传感器信息(步骤S3217)。

已获取关于警告的传感器信息的电力管理装置11命令配电装置121停止向出现异常的可控制设备125供应电力(步骤S3219)。配电装置121接收该命令并停止向可控制设备125供应电力(步骤S3221)。

同时，电力管理装置11的系统管理单元1125向用户发出警告(步骤S3223)并更新撤销列表(步骤S3225)。此后，电力管理装置11断开所涉及的可控制设备125的网络(步骤S3227)。

这完成了对指定待排除的蓄电池的方法和排除蓄电池的方法的流程的描述。

由于上述分析服务器34的存在，可以保护电力管理装置11免受已有的攻击以及未知的攻击。根据本实施例的分析服务器34的获取数据验证单元3005具有能够进行启发式的或者基于物理分析的判断的功能，这意味着当未出现问题时能够高速进行判断。

此外，通过使用由获取数据验证单元3005生成的验证结果，可以指定已识别出从合法蓄电池和非法蓄电池(如复制品)中的任一个获得的物理信息或数字信息的差异的设备。通过这样做，可以从局部电力管理系统1中移除有问题的蓄电池，或者停止向这样的蓄电池供应电力。为蓄电池制定了多种安全措施，但是即使在经由这些安全措施无法控制时，也可以经由本发明来确保保持安全。

(1-30)当存在多个电力管理装置时的处理

接着，将参考图73至图75描述在局部电力管理系统1中存在多个电力管理装置11时的处理。

这里，将参考图73至图75描述多个电力管理装置11的使用。如上所述，电力管理装置11担当对局部电力管理系统1中的设备等的电力供应的总管理者。这意味着，如果电力管理装置11出故障或者由于软件升级而停用，则无法使用局部电力管理系统1中的设备等。为做好针对此类情形的准备，优选使用多个电力管理装置11。但是，电力管理装置11担当电力相关信息的总管理者并且控制局部电力管理系统1中的各设备等。这意味着，需要某些措施来使多个电力管理装置11安全且高效地执行复杂的管理和控制。一个可想到的措施是图73至图75所示的方法。

控制操作

首先，将参考图73描述使用多个电力管理装置11控制设备等的方法。应当注意，通过信息管理单元112中包括的系统管理单元1125的功能来实现多个电力管理装置11的合作操作。

如图73所示，首先，系统管理单元1125检查是否有两个或更多个电力管理装置11正在运行(步骤S4001)。在进行检查时，系统管理单元1125使用局部通信单元111的功能来查询其它电力管理装置11的系统管理单元1125并检查这些电力管理装置11是否正在运行。当有两个或更多个电力管理装置11正在运行时，系统管理单元1125的处理进入步骤S4003。同时，在没有其它电力管理装置11正在运行时，系统管理单元1125的处理进入步骤S4009。

当处理从步骤S4001进入到步骤S4003时，系统管理单元1125将指定的电力管理装置11设置为父装置并将其余电力管理装置11设置为子装置(步骤S4003)。例如，当预先确定了用于将电力管理装置设置为父装置的基于优先级的顺序时，具有最高优先级等级的电力管理装置11被设置为父装置。应当注意，这里使用的表述“父装置”和“子装置”是指电力管理装置11的属性。通过设置该属性，在控制设备等时，具有“子装置”属性的电力管理装置11将控制信号发送至具有“父装置”属性的电力管理装置11(步骤S4005)。

当从多个子装置向父装置发送了控制信号时，父装置的系统管理单元1125基于多数判决或由父装置进行的判断(随机地或者根据预定条件)，确定要发送至设备等的控制信号(步骤S4007)。一旦确定了控制信号，控制单元115将系统管理单元1125所确定的控制信号发送至设备等，以使该设备等根据控制信号执行处理(步骤S4011)并结束该系列处理。同时，在处理已从步骤S4001进入到步骤S4009时，控制单元115将自生成的控制信号发送至设备等，以使该设备等根据控制信号进行处理(步骤S4009)并结束该系列处理。

这样，系统管理单元1125具有用于设置每个电力管理装置11的属性的功能以及用于选择控制信号的功能。系统管理单元1125能够使用这样的功能高效地控制设备等。在一个或更多个电力管理装置11已损坏或者由于更新目的已停用时，还可以使另一个电力管理装置11继续电力管理，从而避免设备等变得不可用的情况。

更新期间的操作

接着，将参考图74和图75描述对定义电力管理装置11的基本操作的软件(或“固件”)进行更新的方法。应当注意，对固件的更新过程由系统管理单元1125的功能实现。这里，假设局部电力管理系统1中有N个电力管理装置11正在运行。

如图74所示，系统管理单元1125首先检查是否有两个或更多个电力管理装置11正在运行(步骤S4021)。当有两个或更多个电力管理装置11正在运行时，系统管理单元1125的处理进入步骤S4023。同时，在没有其它电力管理装置11正在运行时，系统管理单元1125结束关于更新的一系列过程。

当处理进入到步骤S4023时，系统管理单元1125从合作操作中移除待更新的第一电力管理装置11并执行更新(步骤S4023)。这样做时，已从合作操作中被移除的电力管理装置11的系统管理单元1125从系统管理服务器33获取最新的固件并且将旧的固件更新为最新的固件。当完成了对固件的更新时，合作操作的其余电力管理装置11检查已完成更新的电力管理装置11的操作(步骤S4025、S4027)。

如果电力管理装置11操作正常，则处理进入到步骤S4029。同时，如果更新后的电力管理装置11操作不正常，则处理进入到步骤S4031。当处理进入到步骤S4029时，包括更新后的电力管理装置11的多个电力管理装置11的系统管理单元1125使更新后的电力管理装置11返回到合作操作中(步骤S4029)，并且更换待更新的电力管理装置11。此时，检查是否针对所有N个电力管理装置11完成了更新(步骤S4033)，并且在N个设备的更新完成时，更新处理结束。

同时，当未针对所有N个电力管理装置11完成更新时，处理返回至步骤S4023并且对下一个要更新的电力管理装置11执行更新过程。这样，重复执行步骤S4023至步骤S4029中的处理直到完成对所有N个电力管理装置11的更新。但是，当处理从步骤S4027进入步骤S4031时，进行更新取消过程(步骤S4031)，并且结束关于更新的一系列过程。

这里，将参考图75描述更新取消过程。

如图75所示，当开始更新取消过程时，更新后的电力管理装置11的系统管理单元1125将更新后的电力管理装置11的固件返回到更新前的状态(步骤S4041)。此后，合作操作的其余电力管理装置11的系统管理单元1125检查已返回至更新前的状态的电力管理装置11是否正常操作(步骤S4043、S4045)。

如果返回至更新前的状态的电力管理装置11正常操作，则处理进入到步骤S4047。同时，如果返回至更新前的状态的电力管理装置11操作不正常，则更新取消过程结束于此状态。当处理进入到步骤S4047时，包括返回至更新前的状态的电力管理装置11在内的多个电力管理装置11的系统管理单元1125将返回至更新前的状态的电力管理装置11返回到合作操作(步骤S4047)并且更新取消过程结束。

这样，在更新期间进行如下过程：使要更新的电力管理装置11与合作操作分离，并且在执行更新后确认操作正常时使电力管理装置11返回合作操作。如果更新失败，还执行如下过程：在电力管理装置返回至更新前状态后检查正常操作，并且如果确认了操作正常，则将电力管理装置11返回至合作控制。通过使用这种配置，能够进行更新而不影响合作操作的电力管理装置11并且保证电力管理装置11的安全操作。

(2)第二实施例

(2-1)第二实施例概述

局部电力管理系统是向低能源社会转型的一个标志，但是目前，由于安装所需要的工作的原因，这样的系统仍有待变得普遍。这种情形意味着，将其它有吸引力的方面加入到系统安装和使用中以鼓励更多用户安装系统从而实现低能源社会很重要。这样的附加吸引力的一个示例为提供与局部电力管理系统链接的娱乐(例如游戏)。

目前在售的多数视频游戏是虚构的。尽管有些游戏(例如关于历史事件或运动的游戏)使用真实人物和场所的名字和/或在游戏视频中使用实际镜头，但是游戏自身还是与实际社会或现实生活没有联系。由于该原因，在下文描述的本发明第二实施例中，提出了具有故事情节的现实生活游戏，在该故事情节中，游戏内容自身能够导致在单独的局部电力管理系统(例如，家庭系统)中降低能源使用。

另外，过去的游戏仅能够以诸如积分、在游戏中收集的物品以及打通的关数等无形资产的形式吸引用户以及提供满足和成就感。但是，利用诸如以下描述的与系统链接的娱乐，能够在实际的局部电力管理系统的操作中实现有效的游戏可玩性和游戏中的策略。通过这样做，根据本实施例的与系统链接的娱乐具有能导致现实世界利益(例如对电力的实际控制，降低电力消耗，有益于降低CO₂，以及从电力售卖中获利)的方面，并且同时具有切实的效果，从而用户能够获得现实世界的知识。

从以上应当看出，通过使用以下描述的与系统链接的娱乐，用户能够在进行环保行为(例如降低电力消耗)时得到乐趣。

应当注意，尽管本实施例是应用于局部电力管理系统的示例，但是，还可以将本发明应用于任何与现实世界链接的游戏并具有切实效果。

由电力管理装置11的服务提供单元118以及存在于局部电力管理系统1之外的服务提供服务器31(游戏服务提供服务器)实现与系统链接的娱乐，该服务提供单元118操作以被链接到电力管理装置11的各处理单元。此外，通过操作能够连接至电力管理装置11的可控制设备125，用户能够享受如游戏所呈现的与系统链接的娱乐。

(2-2)服务提供单元的配置

首先，将参考图76和图77描述电力管理装置11的服务提供单元118的配置。图76和图77是用于说明电力管理装置的服务提供单元的配置的框图。

应当注意，假设根据本实施例的电力管理装置11包括根据本发明第一实施例的电力管理装置11的处理单元，并且能够实现与根据第一实施例的电力管理装置11相同的功能。

服务提供单元118例如由CPU、ROM、RAM等实现。如图76所示，服务提供单元118包括游戏服务提供单元1181和“其它服务”提供单元1182。

游戏服务提供单元1181例如由CPU、ROM、RAM等实现。游戏服务提供单元1181包括游戏控制单元1701、素材库1707和内容库1709。

游戏控制单元1701例如由CPU、ROM、RAM等实现。游戏控制单元1701是链接到素材库1707和游戏服务提供服务器31的处理单元并且进行游戏的基本设置，如游戏的背景故事和阶段。此外，当执行存储在内容库1709和/或游戏服务提供服务器31中的游戏程序时，游戏控制单元1701控制游戏程序的执行，以控制游戏如何进展。游戏控制单元1701包括现实世界构建单元1703和虚拟世界构建单元1705。

现实世界构建单元1703例如由CPU、ROM、RAM等实现。现实世界构建单元1703是指存储在电力管理装置11的存储单元113等中的数据库，并且构建集成有关于实际的局部电力管理系统1的信息的现实世界。

虚拟世界构建单元1705例如由CPU、ROM、RAM等实现。虚拟世界构建单元1705构建在内容程序中预先提供的虚拟世界。

游戏控制单元1701在将现实世界构建单元1703与虚拟世界构建单元1705彼此链接的同时实现与系统链接的娱乐。

游戏控制单元1701能够访问电力管理装置11中的数据库并且还具有对于电力管理装置11的控制执行路径。

由游戏控制单元1701控制的游戏在人物中包括另一局部电力管理系统1的成员，并且使得用户能够享受对战或者作为角色扮演游戏的成员远程操作游戏。应当注意，当允许其它系统的成员参与时，应当优选防止此类其它系统的成员访问本系统1的现实世界。

素材库1707是设置在游戏服务提供单元1181中的数据库。与游戏内容中出现的诸如虚拟家具、虚拟设备和人物的素材以及在游戏期间出现的物品等有关的信息被记录在素材库1707中。应当注意，素材库1707可存在于游戏服务提供服务器31中。

内容库1709是设置在游戏服务提供单元1181中的另一数据库。在内容库1709中存储能够由电力管理装置11执行的游戏内容的各种实际程序。

图77示出内容库1709中存储的游戏内容的一个示例。下面简要描述游戏内容的特定示例。

房间装饰(现实世界游戏)

该游戏具有以下构思：自房间的当前布局改变家具和家用设备的布局，搭配窗帘和地毯，购买新的家具和家用设备，以及争取生成具有最佳色彩和品位的内部设计。该游戏使得用户能够掌握设备所使用的总电量如何随着改变房间布局而变化，或者掌握当购买并安装了新的家用设备时电量发生什么变化。这里，提供能够显示具有现实世界属性(如制造商、设计和电力消耗)的物品的库。这样的库可以存储在游戏服务提供服务器31中。对于与现实世界链接的改进的物品，可以实施“结果应用模式”(在该模式中，游戏结果被应用于现实世界系统)。

送别电老虎(The Power Eaters)(现实世界+虚拟世界游戏)

该游戏显示当前房间中的当前电力使用并且关闭不需要的灯。该游戏还允许用户通过调整照明、音量等来争取降低电力和/或从售卖更多电力中获利。结果应用模式可针对该游戏的该部分实施。游戏还具有虚拟世界的概念，在该虚拟世界中，“电老虎”四处游走，将灯打开，而用户尽其最大可能争取打败该“电老虎”。

终极生活方式冒险队(现实世界+虚拟世界游戏)

该游戏由如下阶段组成：用户打算使用实际家庭中存在的设备来实现终极低消耗生活方式的阶段，以及用户打算使用虚拟家庭中的设备达到终极生活方式的阶段。

拯救地球！重现绿色大工程(虚拟世界游戏)

该游戏具有以下构思：用户争取从由CO2排放引起的全球变暖危机中存活下来。用户装扮国家环境大臣的角色并通过各关，同时掌握国内公众意见并与其它国家谈判。这是智力游戏，该智力游戏能够使用现实世界的统计和情形来实现关于环境的先进知识。

角色扮演游戏(现实世界+虚拟世界游戏)

该游戏具有仅第一层与现实世界链接的阶段，而其它阶段提供匹配形式的虚拟环境(例如，花园、储藏室和密闭室)，然后在其中开展故事。在现实世界阶段中，能够对可以反映在电力状态上的游戏结果实施结果应用模式。

(2-3)链接到数据库

接着，将参考图78描述与电力管理装置11的数据库的链接，在该数据库中存储表明现实世界的局部电力管理系统1的状态的各种信息。图78是用于说明与电力管理装置中的数据库的链接的示图。

作为示例，以下示出的数据被存储在电力管理装置11中所存储的数据库中。

-可控制设备的设备信息、电动交通工具、发电装置、电力存储装置、设备的蓄电池、可控制插座、插座扩展装置等；

-关于上述装置的电力信息(使用/电力存储状态)和位置信息；

-注册的用户和访问权利；

-电费信息和账户信息；

-时间、天气、温度。

通过使用这些数据，游戏控制单元1701在游戏中再现现实世界。

通过布置这些设备，现实世界构建单元1703能够构想游戏场景的整体建筑平面图。例如，通过假设具有冰箱等表示就餐区域，具有个人计算机或灯表示私人房间，具有洗衣机表示浴室或洗手间区域，具有电动交通工具表示车库，并且具有灯表示走廊，可以构想建筑平面图。现实世界构建单元1703基于这样的假设确定建筑平面图，并且从素材库1707布置代表设备、家具等的物品。

现实世界构建单元1703基于注册的用户信息确定游戏人物。在现实世界中，实际设备和物品属性是链接的，使得可以显示这些设备并且在结果应用模式中执行诸如切断电源的动作。因此，当用户选择了显示屏幕等上显示的诸如设备图标的对象时，显示在数据库中所写入的各种信息，例如所选设备的设备信息、电力信息等。

由于当游戏中仅使用现实世界时游戏场景会受限，所以虚拟世界构建单元1703将游戏内容中预先设置的虚拟世界加入到基于现实世界设置的游戏场景中，以配置更多游戏场景(故事背景)。

在图78中，示出在显示装置的显示区域中显示现实世界的状态。用户能够在操作主要角色时享受该阶段的游戏。

(2-4)与系统链接的娱乐的安全性

接着，将参考图79描述与系统链接的娱乐的安全性。图79是用于说明与系统链接的娱乐的安全性的示图。

在执行本游戏的系统中，优选关注关于安全性的以下三点：

(1)由于电力管理装置上的游戏接受匿名第三方参加，或者由于来自使用这些连接的恶意第三方的攻击，所以存在以下风险：电力管理装置损坏、对结果应用模式的控制权受到损害、电力管理装置中的保密信息泄露等。

(2)从恶意的第三方设备执行电力管理装置上的游戏并且实施有害行为。

(3)电力管理装置和与售卖电力相关的服务提供服务器(电力销售管理服务器)之间的保密信息(账户/收费信息等)泄露。

安全风险1

首先，当电力管理装置上的游戏所接受的匿名第三方参与时，该游戏被设计成将该参与限制于仅由虚拟世界构成的阶段，从而防止从游戏中泄露电力管理装置中的保密信息。

接着，为了阻止来自恶意第三方的攻击，必需防止第三方随意地控制电力管理装置。为此，通过将病毒移除软件安装至电力管理装置中，来检测和/或移除第三方攻击。通过使用电子水印来防止电力管理装置被接管以及通过使用分析服务器34来根据执行历史检测可疑的重复攻击等并防止执行和/或切断连接，可提供进一步的保护以免受攻击。

安全风险2

设备和玩家检查成员是否为被允许玩该游戏的合法成员。即使该成员是合法成员，但是由于小孩优选不参与诸如售电的行为，所以访问游戏自身被分成多个级别并且进行成员是否具有访问权利和/或是否能够实施结果应用模式的设置。当允许其它用户玩游戏时，则执行控制以防止故事使用现实世界信息。

因此，在电力管理装置中预先设置设备和用户，指定访问级别，并且对于设备和用户两者实施认证。该认证能够使用与第一实施例中示出的使用公开密钥或公共密钥或者两者的方法相同的方案。优选还在游戏中包括用于以指定间隔实施认证的配置。优选还在没有访问权限的用户使用该游戏时防止数据库被访问。

安全风险3

优选在售卖电力期间而不是仅仅对于本游戏实施安全措施。如果由局部电力管理系统1通过因特网进行的服务认证起作用，则这应该不成问题。

(2-5)与系统链接的娱乐的流程

接着，将参考图80至图81B描述由根据本实施例的电力管理装置11提供的与系统链接的娱乐的流程。图80至图81B是用于说明与系统链接的娱乐的流程的流程图。注意，图80至图81B用于说明作为与系统链接的娱乐的一个示例的游戏。

注意，在以下说明开始之前，假设希望玩与局部电力管理系统1链接的游戏的用户通过操作显示终端(例如，诸如电视机的显示设备，或者诸如移动电话或移动游戏控制台的便携式设备)玩该游戏，该显示终端具有显示屏并且能够连接至电力管理装置11。用户用以玩游戏的设备也可以是电力管理装置11自身。

首先，将参考图80描述整体流程。

首先，用户接通显示终端125的电力以激活终端自身(步骤S5001)。在激活终端后，用户选择用于启动游戏的诸如图标的对象，从而请求电力管理装置11启动游戏。

接收到请求的电力管理装置11实施对显示终端进行认证的处理，以判断请求启动游戏的显示终端是否是由电力管理装置11自身管理的被管理设备(步骤S5003)。此外，如图81A和图81B具体所示，由于提供给用户的游戏的功能根据显示终端是否为被管理设备而不同，所以电力管理装置11检查设置信息(步骤S5005)并且确认能提供哪些功能。此后，电力管理装置11启动游戏程序(步骤S5007)并且将必要信息类型发送至显示终端。

显示终端接收从电力管理装置11发送的数据类型并且将游戏的初始画面显示在显示终端125的显示屏幕上(步骤S5009)。用户选择代表游戏并且显示在初始画面上的诸如图标的对象(步骤S5011)，以指定用户希望玩的游戏内容。这里，显示屏幕上显示的游戏为允许用户执行的除内容库1709等中存储的游戏之外的游戏。

用户操作显示终端125的输入装置(鼠标、键盘、触摸板等)以开始游戏(步骤S5013)。根据显示终端上的游戏进展，电力管理装置11载入各数据、准备数据和/或存储游戏内容(步骤S5015)。

存在以下情况：在游戏期间的任意时间，用户请求开始结果应用模式，在该结果应用模式中，游戏结果被应用于实际系统(步骤S5017)。接收到请求的电力管理装置11检查是否可由发出结果应用模式的开始请求的用户执行结果应用模式(步骤S5019)。在检查设置信息等以检查用户的访问权和执行权从而确认执行风险后(步骤S5020)，电力管理装置11向显示终端呈现在结果应用模式之外的可执行动作的范围(步骤S5021)。

在显示终端处，在显示屏幕上显示从电力管理装置11呈现的内容并邀请用户选择执行内容(步骤S5023)。显示终端将用户的选择的内容通知给电力管理装置11。

根据用户的选择结果，电力管理装置11向配电装置发出针对该选择结果的适当执行指令(步骤S5025)。电力管理装置11更新日志信息(步骤S5027)并且通知用户结果应用模式的执行已结束(步骤S5029)。

接着，将参考图81A和图81B描述与系统链接的娱乐的具体流程。

如前所述，用户操作执行游戏的设备以开始游戏，电力管理装置11的游戏服务提供单元1181等待从显示终端发送对游戏的启动请求(步骤S5031)。

当从显示终端发送了游戏开始请求时，电力管理装置11实施对发送了游戏开始请求的显示终端的设备认证(步骤S5033)。通过这样做，电力管理装置11能够检查已请求游戏开始的显示终端是否是由电力管理装置11自身管理的被管理设备(步骤S5035)。

当显示终端不是被管理设备时，电力管理装置11的游戏服务提供单元1181检查是否允许电力管理装置11的用户开始游戏(步骤S5037)，并且如果不允许电力管理装置11的用户执行游戏，则处理结束。如下所述，当允许电力管理装置11的用户执行游戏时，电力管理装置11的游戏服务提供单元1181实施步骤S5039。

同时，如果显示终端是被管理设备，或者显示终端虽然不是被管理设备但是已从电力管理装置11的用户获得允许来执行游戏，则电力管理装置11的游戏服务提供单元1181进行用户认证(步骤S5039)。

如果电力管理装置11的游戏服务提供单元1181已确认用户是电力管理装置11中注册的成员，则根据用户的控制权的级别设置游戏的访问级别和结果应用模式的控制级别(步骤S5041)。

接着，电力管理装置11的游戏服务提供单元1181启动游戏的主程序(步骤S5043)并且使游戏的初始显示显示在用户所使用的显示终端上。

一旦显示终端的用户选择了用户希望玩的游戏内容，选择结果被发送至电力管理装置11，使得电力管理装置11的游戏服务提供单元1181能够指定选择的游戏内容(步骤S5045)。

电力管理装置11的游戏服务提供单元1181检查指定的内容是否能够由显示终端的用户访问以及结果应用模式是否能够实施(步骤S5047)。

当游戏用户不具有访问权或者不具有实施结果应用模式的授权时，电力管理装置11的游戏服务提供单元1181进行设置，使得在游戏被激活时不可访问数据库和实施结果应用模式(步骤S5049)。

当游戏用户具有访问权并且能够实施结果应用模式时，电力管理装置11访问数据库并且收集被管理设备的设备信息和电力信息(步骤S5051)。

游戏服务提供单元1181的游戏控制单元1701使用步骤S5051中收集的各种信息来构建游戏的诸如故事背景的基本设置(步骤S5053)。当结束对基本设置的构建时，游戏控制单元1701基于所设置的故事背景对选择的游戏内容进行执行控制(步骤S5055)。当此发生时，电力管理装置11和显示终端进行交互式通信，使得电力管理装置11在终端的显示器上显示游戏画面并且从显示终端发送用户所输入的信息。此外，在该时间期间，电力管理装置11的游戏控制单元1701判断是否进行了请求结束游戏、暂停游戏等的处理(步骤S5057)。

在用户选择了诸如结束游戏、暂停游戏等的状态后，如果游戏是可激活结果应用模式的内容，则电力管理装置11的游戏服务提供单元1181检查用户是否希望切换到结果应用模式(步骤S5059)。

如果用户选择不切换到结果应用模式，则电力管理装置11的游戏服务提供单元1181检查是否保存游戏内容并且结束游戏程序。

此外，当切换到结果应用模式时，电力管理装置11的游戏服务提供单元1181确认用户是否具有结果应用模式的执行权(步骤S5061)。如果用户不具有结果应用模式的执行权，则电力管理装置11的游戏服务提供单元1181结束游戏程序。

当用户具有结果应用模式的执行权时，电力管理装置11的游戏服务提供单元1181基于从激活到当前点的游戏内容提取能够对实际设备实施的控制(步骤S5063)并且向用户显示列表。

在显示列表之前，电力管理装置11的游戏服务提供单元1181应当优选实施风险检查。更具体地，游戏服务提供单元1181应当查询分析服务器34以基于可控制的内容及其历史检查该控制是否可疑，并且从上述提取的列表中删除可疑控制。通过这样做，除了关于网络攻击等的风险之外，可以检查与关断设备(例如家用设备，如冰箱)电源的命令有关的风险，其中对这些设备优选不中断连接。

游戏用户从显示终端的显示屏幕上显示的列表中选择用户希望实施的项目，例如“关闭设备A”。选择结果被发送到电力管理装置11并且电力管理装置11能够指定该项目内容(步骤S5065)。

此后，根据用户的选择结果，电力管理装置11根据该选择结果向配电装置121、可控制插座123、可控制设备125等发出执行指令(步骤S5067)。电力管理装置11更新日志信息(步骤S5069)并且检查所有控制是否均已执行(步骤S5071)。

电力管理装置11从命令目标设备接收执行的结束，并且如果所有控制均已执行，则向用户显示结束消息(步骤S5073)。电力管理装置11检查游戏是否要结束或者继续(步骤S5075)，并且在游戏继续时返回步骤S5055。同时，在游戏要结束时，电力管理装置11结束游戏。

通过根据上述流程进行处理，电力管理装置能够向用户提供与局部电力管理系统链接的娱乐，例如游戏。结果，由于局部电力管理系统的有吸引力的应用，与系统链接的娱乐能够实际地对电力和CO₂的减少作出贡献。

硬件配置

接着，将参考图82具体描述根据本发明实施例的电力管理装置11的硬件配置。图82是用于说明根据本发明实施例的电力管理装置11的硬件配置的框图。

电力管理装置11主要包括CPU 901、ROM 903和RAM 905。此外，电力管理装置11还包括主机总线907、桥909、外部总线911、接口913、输入装置915、输出装置917、存储装置919、驱动器921、连接端口923和通信装置925。

CPU 901用作算术处理装置和控制装置，并且根据ROM 903、RAM905、存储装置919或可移动记录介质927中记录的各种程序来控制电力管理装置11的总体操作或者部分操作。ROM 903存储由CPU 901使用的程序、操作参数等。RAM 905主要存储CPU 901的执行中使用的程序以及在该执行期间适当变化的参数等。这些部件经由由内部总线(如CPU总线等)构成的主机总线907而彼此连接。

主机总线907通过桥909连接至外部总线911，例如PCI(外围组件互连/接口)。

输入装置915是由用户操作的操作部件，例如鼠标、键盘、触摸板、按钮、开关和操作杆。此外，输入装置915可以是使用例如红外光或其它无线电波的远程控制部件(所谓的远程控制)，或者可以是符合电力管理装置11的操作的外部连接装置929，例如移动电话或PDA。此外，输入装置915基于例如用户利用以上操作部件输入的信息而生成输入信号，并且由用于将输入信号输出至CPU 901的输入控制电路构成。电力管理装置11的用户能够将各种数据输入电力管理装置11并且能够通过操作该输入装置915指示电力管理装置11执行处理。

输出装置917由能够将获取的信息在视觉上或者听觉上通知给用户的装置构成。这样的装置的示例包括：显示装置，例如CRT显示装置、液晶显示装置、等离子显示装置、EL显示装置和灯，音频输出装置，例如扩音器和耳机，打印机，移动电话，传真机等。例如，输出装置917输出通过由电力管理装置11执行的各种处理获得的结果。更具体地，显示装置以文本或图像形式显示通过由电力管理装置11执行的各种处理获得的结果。另一方面，音频输出装置将音频信号(如再现的音频数据和声音数据)转换成模拟信号，并输出该模拟信号。

存储装置919是被配置为电力管理装置11的存储单元的示例的用于存储数据的装置，并用于存储数据。存储装置919例如由诸如HDD(硬盘驱动器)的磁存储装置、半导体存储装置、光存储装置或磁光存储装置构成。存储装置919存储将被CPU 901执行的程序、各种数据和从外部获得的各种数据。

驱动器921是用于记录介质的读取器/写入器，并且嵌入电力管理装置11中或者外部地连接至电力管理装置11上。驱动器921读取所连接的可移动记录介质927(如磁盘、光盘、磁光盘或半导体存储器)中记录的信息，并且将所读取的信息输出至RAM 905。此外，驱动器921能够写所连接的可移动记录介质927，例如磁盘、光盘、磁光盘或半导体存储器。可移动记录介质927为例如DVD介质、HD-DVD介质或蓝光介质。可移动记录介质927可以是致密闪存(CF，注册商标)、闪速存储器、SD存储卡(安全数字存储卡)等。可替换地，可移动记录介质927可以例如为装配有非接触式IC芯片或电子设备的IC卡(集成电路卡)。

连接端口923是用于允许装置直接连接至电力管理装置11的端口。连接端口923的示例包括USB(通用串行总线)端口、IEEE 1394端口、SCSI(小型计算机系统接口)端口等。连接端口923的其它示例包括RS-232C端口、光学音频终端、HDMI(高清晰度多媒体接口)端口等。通过连接至该连接端口923的外部连接的装置929，电力管理装置11从外部连接的装置929直接获得各种数据并且向外部连接的装置929提供各种数据。

通信装置925是例如由用于连接至通信网络931的通信装置构成的通信接口。通信装置925例如为有线或无线LAN(局域网)、蓝牙(注册商标)、WUSB(无线USB)的通信卡等。可替换地，通信装置925可以是用于光通信的路由器、用于ADSL(非对称数字用户线)的路由器、用于各种通信的调制解调器等。该通信装置925例如能够根据因特网上的预定协议(如TCP/IP)与其它通信装置发送和接收信号等。连接至通信装置925的通信网931由经由有线或无线连接的网络等构成，例如可以为因特网、家庭LAN、红外通信、无线波通信、卫星通信等。

到此为止，已示出能够实现根据本发明实施例的电力管理装置11的功能的硬件配置的示例。每个上述结构器件可以使用通用材料构成，或者可以由专用于每个结构器件的功能的硬件构成。因此，要使用的硬件配置能够根据实行本发明时的技术水平而适当变化。

由于根据本发明实施例的可控制设备125和分析服务器34的硬件配置与根据本发明实施例的电力管理装置11的配置相同，所以省略其具体描述。

尽管已参考附图具体描述了本发明的优选实施例，但是本发明不限于以上示例。本领域技术人员应当理解，依据设计要求以及其它因素，只要各种变型、组合、子组合和替选方案在所附权利要求书及其等同内容的范围内，则可以进行这些变型、组合、子组合和替选方案。

本申请包含与2010年1月25日向日本专利局提交的日本优先权专利申请JP 2010-013672中公开的主题相关的主题，该优先权专利申请的整体内容通过引用合并于此。

Claims (7)

1.一种电力管理装置，包括：

被管理设备注册单元，其对连接到电力网络的电子设备执行认证，并且将认证成功的电子设备注册为被管理设备；以及

控制单元，其控制所述被管理设备的操作以及对所述被管理设备的电力供给，

其中，所述被管理设备注册单元

能够进行操作以在把已经注册在另一个电力管理装置中的电子设备连接到所述电力网络时，从所述电子设备获取数字签名和对于所述另一个电力管理装置唯一的标识信息，所述数字签名被所述另一个电力管理装置分配给对于所述电子设备唯一的标识信息，并且

能够进行操作以在由所述另一个电力管理装置分配的所述数字签名的验证成功时，临时注册在所述另一个电力管理装置中注册的所述电子设备。

2.如权利要求1所述的电力管理装置，还包括：

电力使用证书管理单元，其管理由在所述另一个电力管理装置中注册的所述电子设备生成的、并且证实已经接收到从临时注册所述电子设备的所述电力管理装置提供的电力的电力使用证书，

其中所述电力使用证书管理单元

能够进行操作以在所述控制单元已经向所述临时注册的电子设备提供电力时，从所述临时注册的电子设备获取所述电力使用证书，并且

向所获取的电力使用证书分配数字签名，然后将分配了所述数字签名的所述电力使用证书发送给为电力使用计费的外部服务器。

3.如权利要求2所述的电力管理装置，

其中，所述电力使用证书管理单元能够进行操作以在所述电力管理装置已经接收到从所述电子设备提供的电力时，针对接收到的所提供的电力所来自于的所述电子设备生成电力使用证书，所述电力使用证书证实所提供的电力接收自所述电子设备。

4.一种电子设备，包括：

存储单元，其存储对于所述电子设备唯一的标识信息和已经被指定的证书机构认证的数字签名；以及

认证处理单元，其使用所述存储单元中存储的所述数字签名，与管理对所述电子设备的电力提供的电力管理装置执行认证处理，并且在所述电力管理装置中注册所述电子设备，

其中，所述认证处理单元能够进行操作以在所述电子设备已经被注册在所述电力管理装置中时，从已经注册了所述电子设备的所述电力管理装置获取对于所述电力管理装置唯一的标识信息以及所述电力管理装置已经分配给对于所述电子设备唯一的标识信息的数字签名。

5.如权利要求4所述的电子设备，

其中，所述认证处理单元能够进行操作以在向除已经注册了所述电子设备的所述电力管理装置之外的电力管理装置请求临时注册时，把从已经注册了所述电子设备的所述电力管理装置获取的所述数字签名发送给已被请求临时注册的所述电力管理装置。

6.如权利要求5所述的电子设备，还包括：

控制单元，其能够进行操作以在从临时注册所述电子设备的所述电力管理装置接收到所提供的电力时生成电力使用证书，所述电力使用证书证实所提供的电力接收自临时注册所述电子设备的所述电力管理装置。

7.一种注册电子设备的方法，包括：

对连接到电力网络的电子设备执行认证，并将所述认证已成功的电子设备注册为被管理设备的步骤，

其中，执行认证的步骤使用由所述电子设备存储并且已经被指定的证书机构认证的数字签名，

能够进行操作以在所述电子设备已经被注册在所述电力管理装置中时，从所述电力管理装置向所述电子设备发送对于所述电力管理装置唯一的标识信息以及所述电力管理装置已经分配给对于所述电子设备唯一的标识信息的数字签名，

能够进行操作以在将已经被注册在另一个电力管理装置中的电子设备连接到所述电力网络时，从所述电子设备获取已经由所述另一个电力管理装置分配给对于所述电子设备唯一的标识信息的数字签名，和对于所述另一个电力管理装置唯一的标识信息，并且

能够进行操作以在由所述另一个电力管理装置分配的所述数字签名的验证成功时，临时注册在所述另一个电力管理装置中注册的所述电子设备。

Images