CN102194157B - 电力管理设备和登记电子器具的方法 - Google Patents

Abstract

本发明公开了一种电力管理设备和登记电子器具的方法。所述电力管理设备包括：被管理器具登记单元，其对连接到电力网络的电子器具执行认证，并将认证成功的电子器具登记为被管理器具；以及控制单元，其控制所述被管理器具的操作，并对所述被管理器具供电。所述被管理器具登记单元向一个或更多个电子器具发送在登记电子器具时使用的提问消息，并对响应于所述提问消息从所述一个或更多个电子器具发回的一个或更多个应答消息进行统一验证。

Description

电力管理设备和登记电子器具的方法

技术领域

本申请涉及一种电力管理设备以及一种登记电子器具的方法。

背景技术

近年来，被称为智能电网的技术一直受到关注。智能电网是通过与传输网一起构建具有通信信道的新传输网并且使用该智能传输网来实现高效电力使用的技术框架。智能电网的构思背景是实现电力使用量的高效管理，当意外事件发生时迅速处理这种意外事件，远程控制电力使用量，使用电力公司控制之外的发电设施的分布式发电，或者电动交通工具的充电管理。特别地，由普通家庭或操作者而非电力公司使用可再生能源对自家发电站的有效利用以及通常包括电动汽车的多种电动交通工具的充电管理已经引起高度关注。顺便提及，可再生能源是在不使用化石燃料的情况下生成的能源。

由普通家庭或除电力公司之外的操作者生成的电力由发电操作者使用。发电操作者使用之后剩余的电力目前由电力公司购买。然而，购买由电力公司控制之外的发电设施提供的电力，对于电力公司来说是很重的负担。例如，由光电发电设施提供的电力量取决于天气。而且，由普通家庭的自家发电站提供的电力量取决于一天天大量改变的普通家庭用电。从而，对于电力公司来说，很难从电力公司控制之外的发电设施接收稳定电力。由于以上原因，电力公司在未来购买电力可能变得很难。

这样，在暂时将电力存储在蓄电池中之后使用由电力公司控制之外的发电设施生成的电力的家庭蓄电池构想(home battery initiative)近来已经引起关注。例如，考虑通过将由光电发电设施生成的电力存储在蓄电池中并补偿在夜晚或者当天气不好时的短缺来使用这种电力的方法。此外，考虑根据电池存储量限制从电力公司接收的电力量，或者通过将电力公司在电费较低的夜晚提供的电力存储在蓄电池中而在电费较高的白天使用存储在蓄电池中的电力的方法。而且，蓄电池可以将电力存储为DC，这使得在传输期间无需DC/AC转换或AC/DC转换，从而可以减少转换期间的损失。

这样，关于电力管理的多种期望在智能电网构想中相互混合。为了实现这样的电力管理，智能电网构想以具有通信信道以及传输网为前提。也就是说，假设通过使用该智能传输网来交换关于电力管理的信息(例如，参见JP-A-2002-354560)。然而，在已经建造了通信基础设施的区域中，可以通过使用由所配置的通信基础设施构建的网络来交换关于电力管理的信息，而不使用传输网作为通信信道。也就是说，在智能电网构想中，重要的是如何高效地管理未被统一管理的发电设施和存储设施。

发明内容

在上述的智能电网构想中，在进行建筑物里存在的电子器具的电力管理时，例如，按照常规的器具登记方法，一个接着一个地登记要对其执行电力管理的电子器具。然而在使用这样的登记方法的情况下，如果要被管理的设备数增加，登记本身就已成为负担。

考虑到以上情况，期望提供一种能够高效地登记要对其进行电力管理的电子器具的电力管理设备以及登记电子器具的方法。

根据本发明的实施例，提供了一种电力管理设备，其包括：被管理器具登记单元，所述被管理器具登记单元对连接到电力网络的电子器具进行认证，并将认证成功的电子器具登记为被管理器具；以及控制单元，所述控制单元控制所述被管理器具的操作并向所述被管理器具供电。所述被管理器具登记单元向一个或更多个电子器具发送在登记电子器具设备时使用的提问消息，并对响应于所述提问消息从所述一个或更多个电子器具发回的一个或更多个应答消息进行统一验证。

所述被管理器具登记单元可通过批量验证处理来对从所述一个或更多个电子器具发回的所述一个或更多个应答消息进行统一验证，并在对所有所述应答消息的验证成功时将所述一个或更多个电子器具登记为所述被管理器具。

所述被管理器具登记单元可将作为从所述一个或更多个电子器具发回的所述一个或更多个应答消息的一个或更多个数字签名聚合为一个数字签名，并且当聚合的数字签名的验证成功时，所述被管理器具登记单元可将所述一个或更多个电子器具登记为被管理器具。

当所述一个或更多个电子器具的统一验证失败时，所述被管理器具登记单元可指定发回验证失败的应答消息的电子器具，并且所述被管理器具登记单元可在排除所述指定的电子器具的情况下重复所述统一验证。

所述被管理器具登记单元可指定发回验证失败的应答消息的至少一个电子器具。

所述被管理器具登记单元可在所述一个或更多个电子器具中指定每一个发回验证失败的应答消息的电子器具。

所述电子器具可以是蓄电池中包括的一个或更多个电池。所述被管理器具登记单元可指定发回验证失败的应答消息的电池，可重新配置除验证失败的电池之外的所述一个或更多个电池，并可重复统一验证。

根据本发明的另一个实施例，提供一种登记电子器具的方法，所述方法包括以下步骤：向连接至电力网络的一个或更多个电子器具发送在登记电子器具时使用的提问信息，获取响应于所述提问消息从所述一个或更多个电子器具发回的一个或多个应答消息，以及对所有已获取的所述一个或更多个应答消息进行统一验证。

根据上述本发明的实施例，可以高效地对要对其执行电力管理的电子器具进行登记。

附图说明

图1是用于解释根据本发明的实施例的电力管理系统的概况的示意图；

图2是用于解释被管理块的整体配置的示意图；

图3是用于解释局部电力管理系统中的通信网络的示意图；

图4是用于解释集中于电力管理设备的系统配置的示意图；

图5是用于解释外部服务器的具体示例的示意图；

图6是用于解释系统管理服务器的一个功能的示意图；

图7是用于解释根据本发明的实施例的电力管理设备的功能配置的示意图；

图8是用于解释信息管理单元的详细功能配置的示意图；

图9是用于解释信息管理单元的详细功能配置的表格；

图10是用于解释显示在显示单元上的内容的示意图；

图11是用于解释显示在显示单元上的内容的示意图；

图12是用于解释显示在显示单元上的内容的示意图；

图13是用于解释显示在显示单元上的内容的示意图；

图14是用于解释电力消费的时序模式的图表；

图15是用于解释电力消费的时序模式的图表；

图16是用于解释隐藏电力消费模式的方法的示意图；

图17是用于解释隐藏电力消费模式的方法的示意图；

图18是用于解释隐藏电力消费模式的方法的示意图；

图19是用于解释由电力管理设备执行的多种控制的示意图；

图20是用于解释由电力管理设备管理的多种信息的示意图；

图21是示出根据插座的类型和所连接器具的类型的通信装置、认证装置以及对供电的控制的组合的表格；

图22是示出器具管理单元的配置的框图；

图23是示出被管理器具登记单元的配置的框图；

图24是示出信息篡改检测单元的配置的框图；

图25是示出信息分析单元的配置的框图；

图26是示出受控制器具的配置的框图；

图27是示出受控制器具的控制单元的配置的框图；

图28是示出受控制器具的控制单元的配置的框图；

图29是示出篡改检测信息生成单元的配置的框图；

图30是示出电力存储设备的配置的框图；

图31是示出电力存储设备的控制单元的配置的框图；

图32是示出电力存储设备的控制单元的配置的框图；

图33是示出篡改检测信息生成单元的配置的框图；

图34是用于解释登记电力管理设备的方法的流程图；

图35是用于解释登记电力管理设备的方法的具体示例的流程图；

图36是用于解释登记受控制器具的方法的流程图；

图37是用于解释登记受控制器具的方法的具体示例的流程图；

图38是用于解释登记受控制器具的方法的具体示例的流程图；

图39是用于解释登记受控制插座的方法的流程图；

图40是用于解释已经被暂时登记的受控制器具的记账处理的示意图；

图41是用于解释已经被暂时登记的受控制器具的记账处理的流程图；

图42是用于解释对登记受控制器具的方法的改进的示意图；

图43是用于解释对登记受控制器具的方法的改进的示意图；

图44是用于解释对登记受控制器具的方法的改进的示意图；

图45是用于解释对登记受控制器具的方法的改进的示意图；

图46是用于解释对登记受控制器具的方法的改进的示意图；

图47是用于解释对登记受控制器具的方法的改进的示意图；

图48是用于解释对登记受控制器具的方法的改进的示意图；

图49是用于解释电力管理设备对于发生了异常的被管理器具的操作的流程图；

图50是用于解释电力管理设备对于发生了异常的被管理器具的操作的流程图；

图51是用于解释电力管理设备对于发生了异常的被管理器具的操作的流程图；

图52是用于解释电力管理设备对于发生了异常的被管理器具的操作的流程图；

图53是用于解释当在电力状态中发生异常时，电力管理设备的操作的流程图；

图54是用于解释当在电力状态中发生异常时，电力管理设备的操作的流程图；

图55是用于解释嵌入电子水印信息的方法的流程图；

图56是用于解释验证电子水印信息的方法的流程图；

图57是用于解释嵌入电子水印信息的方法的流程图；

图58是用于解释验证电子水印信息的方法的流程图；

图59是用于解释分析服务器的配置的框图；

图60是示出分析服务器的信息篡改检测单元的配置的框图；

图61是示出分析服务器的第一验证单元的配置的框图；

图62是示出分析服务器的第二验证单元的配置的框图；

图63是用于解释待排除蓄电池的示意图；

图64是用于解释保护电力管理设备免受非法攻击的方法的流程图；

图65是用于解释排除蓄电池的方法的流程图；

图66A是用于解释通过分析服务器的获取数据验证单元进行验证的方法的流程图；

图66B是用于解释通过分析服务器的获取数据验证单元进行验证的方法的流程图；

图67是用于解释第一验证单元的验证处理的流程图；

图68是用于解释由数据库管理单元进行的测试处理的流程图；

图69是用于解释由数据库管理单元更新数据库并且生成判定词典的示意图；

图70是用于解释由病毒定义文件管理单元管理病毒定义文件的方法的流程图；

图71A是用于解释由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71B是用于解释由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图71C是用于解释由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图72是用于解释由获取数据验证单元执行以指定待排除蓄电池的方法的流程图；

图73是用于解释多个电力管理设备的操作流程的示意图；

图74是用于解释多个电力管理设备的操作流程的示意图；

图75是用于解释多个电力管理设备的操作流程的示意图；

图76是用于解释电力管理设备的服务提供单元的配置的框图；

图77是用于解释电力管理设备的服务提供单元的配置的框图；

图78是用于解释与电力管理设备中的数据库的关联的示意图；

图79是用于解释关于与系统关联的娱乐的安全性的示意图；

图80是用于解释与系统关联的娱乐的流程的流程图；

图81A是用于解释与系统关联的娱乐的流程的流程图；

图81B是用于解释与系统关联的娱乐的流程的流程图；以及

图82是用于解释根据本发明的实施例的电力管理设备的硬件配置的框图。

具体实施方式

此后，将参考所附附图详细地描述本发明的优选实施例。注意，在本说明书和所附附图中，具有基本相同功能和结构的结构元件用相同附图标记表示，并且省略这些结构元件的重复解释。

按以下指出的顺序给出以下说明。

(1)第一实施例

(1-1)电力管理设备的概述

(1-2)电力管理设备的配置

(1-3)由显示单元显示的内容

(1-4)隐藏电力消费模式

(1-5)由电力管理设备进行的多种控制

(1-6)器具管理单元的配置

(1-7)信息分析单元的配置

(1-8)受控制器具的配置

(1-9)电力存储设备的配置

(1-10)电子水印信息的嵌入方法和验证方法的具体示例

(1-11)登记电力管理设备的方法

(1-12)登记受控制器具的方法

(1-13)登记受控制插座的方法

(1-14)用于暂时登记的受控制器具的记账处理

(1-15)对登记受控制器具的方法的改进

(1-16)在发生异常的情况下电力管理设备对被管理器具的操作

(1-17)电力状态出现异常时电力管理设备的操作

(1-18)电子水印信息的嵌入方法和验证方法的流程

(1-19)分析服务器的角色

(1-20)分析服务器的配置

(1-21)指定要排除的蓄电池的处理

(1-22)保护电力管理设备免受非法攻击的方法

(1-23)排除蓄电池的方法

(1-24)由获取数据验证单元进行的验证处理

(1-25)由第一验证单元进行的验证处理的流程

(1-26)由数据库管理单元进行的测试处理

(1-27)数据库的更新和判定词典的生成

(1-28)管理病毒定义文件的方法

(1-29)指定要排除蓄电池的方法的流程

(1-30)当存在多个电力管理设备时的处理

(2)第二实施例

(2-1)第二实施例概述

(2-2)服务提供单元的配置

(2-3)关联到数据库

(2-4)与系统关联的娱乐的安全性

(2-5)与系统关联的娱乐的流程

(3)根据本发明的实施例的电力管理设备的硬件配置

第一实施例

(1-1)电力管理设备的概述

首先，描述根据本发明的第一实施例的电力管理设备的概述。

图1示出根据本实施例的电力管理系统的总体图。

如图1所示，根据本实施例的电力管理系统包括：局部电力管理系统1、广域网2、外部服务器3、电力信息收集设备4、电力供应者系统5、终端设备6、以及电力交易系统7。而且，局部电力管理系统1、外部服务器3、电力信息收集设备4、电力供应者系统5、终端设备6、以及电力交易系统7连接至广域网2，从而相互之间可以交换信息。

另外，在本说明书中，使用措辞“局部”和“广域”。“局部”表示由在不使用广域网2的情况下可以通信的多个元件形成的小组。换句话说，“广域”表示包括经由广域网2通信的多个元件的大组。而且，由设置在局部电力管理系统1内的多个元件构成的小组可以由措辞“局部”来特别地表达。换句话说，图1中所示的整个电力管理系统可以由措辞“广域”来表达。

现在，上述电力管理系统试图(如同通过上述智能电网构想一样)提高电力使用效率，适当地管理利用电力进行操作的多种器具、存储电力的电力存储装置、生成电力的发电装置、从电源提供电力的供电装置等。该电力管理系统中的电力管理的目标是设置在局部电力管理系统1中的器具、电力存储装置、发电装置、供电装置等。另外，被称为HEMS(家用能量管理系统)或BEMS(建筑物能量管理系统)的智能电网构想中的系统是局部电力管理系统1的示例。

如图1所示，局部电力管理系统1包括电力管理设备11以及被管理块12。电力管理设备11担任对设置在局部电力管理系统1中的器具、电力存储装置、发电装置、供电装置等进行管理的角色。例如，电力管理设备11允许或禁止给每个器具供电。而且，电力管理设备11执行对每个器具的认证，以识别器具或确认器具的合法性。然后，电力管理设备11从每个器具收集关于电力消费等的信息。

此外，电力管理设备11从电力存储装置获取关于所存储电力量等的信息。然后，电力管理设备11对电力存储装置执行充电/放电控制。而且，电力管理设备11从发电装置获取关于发电量等的信息。此外，电力管理设备11从供电装置获取关于从外部提供的电力量的信息。以该种方式，电力管理设备11从设置在局部电力管理系统1中的器具、电力存储装置、发电装置、以及供电装置获取信息，并且控制电力的输入/输出。当然，电力管理设备11在适当的时候对除器具、电力存储装置、发电装置、以及供电装置之外的结构元件执行类似管理。此外，电力管理设备11不仅可以对电力执行管理，而且还对缩减量可以被量化的一般生态(诸如，CO₂、水资源等)进行管理。即，电力管理设备11还可以起生态管理设备的作用。顺便提及，以下，通过将电力作为缩减量可以被量化的资源的示例来进行解释。

在图1中所示的局部电力管理系统1中，作为电力管理的目标的结构元件(诸如，器具、电力存储装置、发电装置、以及供电装置)被包括在被管理块12中。被包括在被管理块12中的结构元件和电力管理设备11能够直接或间接地交换信息。而且，电力管理设备11可以被配置为能够与电力信息收集设备4交换信息。电力信息收集设备4管理从与电力供应者所管理的电力供应者系统5提供的电力相关的信息。另外，在智能电网构想中被称为智能仪表的器具是电力信息收集设备4的示例。

电力供应者系统5给每个局部电力管理系统1供电。然后，从电力供应者系统5提供的电力经由电力信息收集设备4被提供给局部电力管理系统1中的被管理块12。这里，电力信息收集设备4获取例如关于提供给被管理块12的电力量的信息。然后，电力信息收集设备4将所获取的关于电力量等的信息发送至电力供应者系统5。通过使用这种机制，电力供应者系统5收集与每个局部电力管理系统1中的被管理块12的电力消费等相关的信息。

此外，电力供应者系统5参考所收集的关于电力消费等的信息，控制电力信息收集设备4，并且控制电力供应量，使得实现被管理块12或整个电力管理系统的高效电力使用。在此，电力信息收集设备4限制从电力供应者系统5提供至被管理块12的电力量，或者根据被管理块12的电力消费提高对电力量的限制。另外，电力供应者例如可以是电力公司、拥有发电站的法人或非法人发电管理者、拥有电力存储设施的法人或非法人电力存储管理者等。

然而，在当前情况下，电力公司很可能是电力供应者，并且在本说明书中，将假设电力公司是电力供应者的情况作出解释。而且，目前大多数从外部提供的电力都是从电力公司(其为电力供应者)购买的。然而，未来，电力市场可能变得活跃并且在电力市场中购买的电力可能涵盖大多数从外部提供的电力。在这种情况下，假设将从电力交易系统7提供电力给局部电力管理系统1，如图1所示。

电力交易系统7执行关于电力交易的处理，诸如电力市场中的买卖订单的安排(placement)、订单执行后的价格计算、结算处理、供电订单的安排等。而且，在图1的示例中，对在电力市场中已经执行订单的电力的接收也由电力交易系统7实现。从而，在图1的示例中，根据所执行订单的类型，将电力从电力交易系统7提供给局部电力管理系统1，或者将电力从局部电力管理系统1提供给电力交易系统7。而且，通过使用电力管理设备11自动地或手动地执行对电力交易系统7的订单的安排。

此外，图1中所示的电力管理系统包括多个局部电力管理系统1。如上所述，每个局部电力管理系统1均包括电力管理设备11。多个电力管理设备11可以经由广域网2或安全通信路径(未示出)相互交换信息。还提供了一种将电力从一个局部电力管理系统1提供给另一局部电力管理系统1的机制。在这种情况下，两个系统的电力管理设备11都执行关于电力接收的信息交换，并且执行控制以发送由信息交换适当决定的电力量。

对于该部分，电力管理设备11可以被配置为可由经由广域网2连接的外部终端设备6操作。例如，用户可能想要通过使用终端设备6检查用户管理的局部电力管理系统1的电力状态。在这种情况下，如果电力管理设备11被配置为可由终端设备6操作，则用户能够获得由终端设备6显示的用户管理的局部电力管理系统1的电力状态，并且检查电力状态。用户还能够通过使用终端设备6执行电力管理设备11的电力交易。

另外，终端设备6可以设置在局部电力管理系统1内。在这种情况下，终端设备6通过使用设置在局部电力管理系统1中的通信路径连接至电力管理设备11，而不使用广域网2。使用终端设备6的一个优点在于，用户不必去往电力管理设备11的安装位置。也就是说，如果终端设备6可以使用，则可以从任意位置对电力管理设备11进行操作。另外，作为终端设备6的具体形式，可以假设为例如移动电话、移动信息终端、笔记本电脑、便携式游戏机、信息家电、传真机、有线电话、音频/视频器具、汽车导航系统、或电动交通工具。

以上，已经参考每个结构元件的操作或功能简单地描述了图1中所示的电力管理系统中的电力管理。然而，除了与电力管理相关的功能之外，上述电力管理设备11还具有通过使用从被管理块12等收集的各种信息将多种服务提供给用户的功能。

由电力管理设备11收集的信息可以为例如每个器具的型号或器具ID(以下称为器具信息)、关于用户的简档的信息(以下称为用户信息)、关于用户的账户或信用卡的信息(以下称为记账信息)、关于将要使用的服务的登记信息(以下称为服务信息)等。上述器具信息被预先设置在每个器具中或者由用户手动输入。而且，在很多情况下，上述用户信息、记账信息、以及服务信息可以由用户手动输入至电力管理设备11。另外，信息的输入方法不限于这些示例，并且可以改变为任何输入方法。而且，在以下解释中，器具信息、用户信息、记账信息、以及服务信息将被称为“初始信息”。

除了初始信息之外，电力管理设备11能够收集的信息可以为与连接至每个器具的蓄电池的规格相关的信息(以下称为器具蓄电池信息)、与每个器具(包括电力存储装置、发电装置、供电装置等)等的状态相关的信息(以下称为器具状态信息)、可以从连接至广域网2的外部系统或服务器获取的信息(以下称为外部信息)等。上述器具状态信息可以为，例如电力存储装置在信息收集时间点的放电电压或所存储的电力量、发电装置的发电电压或发电量、每个器具的电力消费等。而且，上述外部信息可以为从电力交易系统7获取的电力的单位市场价格、从外部服务器3获取的可用服务的列表等。另外，在以下解释中，器具蓄电池信息、器具状态信息，以及外部信息将被称为“初级信息”。

而且，电力管理设备11可以由其本身或者使用外部服务器3的功能，通过使用初始信息和初级信息来计算次级信息。例如，电力管理设备11分析上述初级信息，并且计算表示从电力供应者系统5提供的电力、由发电装置生成的电力、由电力存储装置充电/放电的电力、以及由被管理块12消费的电力之间的平衡的指标值(以下称为平衡指标)。而且，电力管理设备11基于电力消费，计算记账情况和CO₂缩减量情况。而且，电力管理设备11基于初始信息计算每个器具的消耗程度(使用持续时间与寿命的比例等)，或者基于所消费电力随着时间的改变，分析用户的生活模式。

此外，电力管理设备11通过执行使用次级信息的计算或者通过执行与连接至广域网2的系统或服务器或另一电力管理设备11的信息交换，来获得各种信息(以下称为三级信息)。例如，电力管理设备11获取与买/卖订单的情况或电力市场中的价格相关的信息(以下称为市场数据)、与邻近区域中的剩余电力或不足电力的量相关的信息(以下称为区域电力信息)、与从提高高效电源使用角度看适于用户的生活模式的器具相关的信息(以下称为器具推荐信息)、与计算机病毒等相关的安全信息、或者与器具中的故障等相关的器具危险信息。

通过适当地使用上述初始信息、初级信息、次级信息以及三级信息，电力管理设备11可以给用户提供多种服务。同时，电力管理设备11将拥有与用户的隐私或局部电力管理系统1的安全相关的重要信息。而且，电力管理设备11用来允许或禁止给被管理块12供电。因此，希望从电力管理设备11得到高安全等级，使得能够防止来自局部电力管理系统1外部的攻击或者在局部电力管理系统1内执行的非法行为。

作为电力管理设备11从局部电力管理系统1外部接收的攻击，可以认为是DoS攻击(拒绝服务攻击)、或计算机病毒等。当然，防火墙设置在局部电力管理系统1和广域网2之间，但是为了上述原因，想要更严格的安全措施。此外，作为在局部电力管理系统1内执行的非法行为，可以是器具、电力存储装置等的非法改进、信息的伪造、未授权器具的连接等。此外，从提高安全等级的观点来看，防止由恶意第三方使用与反映用户的生活模式的被消费电力相关的信息、或者检测/恢复每个器具或电力管理设备11的损坏(在一些情况下为起火等)的措施可能变得必要。

如随后所述，电力管理设备11具有实现上述这种高安全等级的功能。电力管理设备11实现对被管理块12的电力管理、基于从被管理块12等收集的初始信息、初级信息、次级信息以及三级信息的服务提供，同时保持安全等级。另外，由电力管理设备11保持高安全等级可以不仅由电力管理设备11实现。从而，可以尝试用被管理块12中设置的器具、电力存储装置、发电装置、供电装置等与电力管理设备11结合来保持安全等级。此外，随后将详细描述被管理块12的这种结构元件。

被管理块的配置

将参考图2至图4详细地描述被管理块12的配置。图2示出被管理块12的配置。另外，图3示出被管理块12内的通信网络的配置。此外，图4示出用于与电力管理设备11交换信息的主要结构元件的具体配置。

首先，参考图2。如图2所示，被管理块12包括：配电设备121、AC/DC转换器122、受控制插座123、电动交通工具124、受控制器具125、不受控制器具126、插座扩展设备127、电力存储设备128、第一发电设备129、第二发电设备130、以及环境传感器131。

另外，受控制插座123、电动交通工具124、受控制器具125、以及插座扩展设备127是上述器具的示例。另外，电力存储装置128是上述电力存储装置的示例。此外，第一发电设备129和第二发电设备130是上述发电装置的示例。受控制插座123和插座扩展设备127还是上述供电装置的示例。此外，不受控制器具126不直接受到电力管理设备11的电力管理，从而其本身不是上述器具的示例。然而，如随后所述，通过与插座扩展设备127结合，不受控制器具126能够被电力管理设备11所管理，并且是上述器具的示例。

电力流

从电力供应者系统5、电力交易系统7、或另一局部电力管理系统1提供的电力(以下称为外部电力)被输入配电设备121。假设外部AC电力被输入图2的示例中的配电设备121，但是也可以输入外部DC电力。然而，为了解释，以下假设外部AC电力被输入配电设备121。输入至配电设备121的外部电力由AC/DC转换器122从AC转换为DC，并且被输入受控制插座123或电力存储设备128。

此外，从电力存储设备128放电的电力(以下称为放电电力)也被输入配电设备121。从电力存储设备128输出的放电电力由AC/DC转换器122从DC转换为AC，并且被输入至配电设备121。输入至配电设备121的放电AC电力由AC/DC转换器122从AC转换为DC，并且被输入至受控制插座123。然而，为了避免放电电力在AC/DC转换器122处的损失，放电电力还可以在不经过AC/DC转换器122的情况下，被从电力存储设备128提供至受控制插座123。

除了经由配电设备121输入的外部电力之外，由第一发电设备129和第二发电设备130生成的电力(以下称为生成电力)被输入至电力存储设备128。另外，在图2的示例中，由第一发电设备129和第二发电设备130生成的生成电力被暂时存储在电力存储设备128中。然而，由第一发电设备129和第二发电设备130生成的生成电力还可以在不经过电力存储设备128的情况下，被输入AC/DC转换器122或受控制插座123。然而，在很多情况下，由于气候或环境原因，从第一发电设备129输出的生成电力的提供是不稳定的。从而，在使用从第一发电设备129输出的生成电力的情况下，优选在被暂时存储在电力存储设备128中之后使用生成电力。

另外，第一发电设备129是用于使用可再生能源生成电力的发电装置。例如，第一发电设备129是光电设备、风力发电设备、地热发电设备、水力发电设备等。另一方面，第二发电设备130是用于使用不可再生能源生成电力的发电装置(与通过使汽油、煤等燃烧并且使用燃烧生成电力的热力发电相比，其是环保的)。例如，第二发电设备130是燃料电池、天然气发电设备、生物质发电设备等。顺便提及，在使用从可再生能源得到的电力生成氢(其为用于燃料电池发电的燃料)的情况下，燃料电池是在不使用不可再生能源的情况下生成电力的发电装置。

由第一发电设备129和第二发电设备130生成的生成电力、以及存储在电力存储设备128中的电力，一方面经由配电设备121或AC/DC转换器122被输入受控制插座123，另一方面，可以由电力供应者系统5、电力交易系统7等购买。在这种情况下，由第一发电设备129和第二发电设备130生成的生成电力、以及从电力存储设备128输出的放电电力，由AC/DC转换器122从DC转换为AC，并且经由配电设备121被发送至电力供应者系统5、电力交易系统7等。

以上，粗略地描述了被管理块12中的电力流。特别地，在此描述了流经配电设备121的电力的分配路径。如上所述，配电设备121担任划分被管理块12内的电力的分配路径的角色。这样，如果配电设备121停止，则被管理块12内的电力的分配中断。因此，配电设备121设置有不间断电源(UPS)。另外，在图2的示例中，独立于电力管理设备11提供配电设备121，但是配电设备121和电力管理设备11可以安装在同一外壳内。

供电时的认证

在被管理块12中，经由配电设备121流至受控制插座123或电力存储设备128的电力由电力管理设备11管理。例如，电力管理设备11控制配电设备121并且给受控制插座123供电或者停止给受控制插座123供电。

电力管理设备11还执行对受控制插座123的认证。然后，电力管理设备11给认证成功的受控制插座123供电，并且停止给认证失败的受控制插座123供电。这样，通过电力管理设备11作出的认证成功或失败来确定在被管理块12中供电或不供电。电力管理设备11进行的认证不仅对受控制插座123执行，还对电动交通工具124、受控制器具125、以及插座扩展设备127执行。顺便提及，由电力管理设备11进行的认证不对不受控制器具126执行，不受控制器具126不拥有与电力管理设备11通信的功能，也不拥有认证所需的计算功能。

因此，基于电力管理设备11的控制，可以给已被认证的受控制插座123、电动交通工具124、受控制器具125、或插座扩展设备127供电。然而，其本身没有被经过认证的不受控制器具126将不基于电力管理设备11的控制被供电。因此，电力被连续提供给不受控制器具126，而与电力管理设备11的控制无关，或者根本不提供给不受控制器具126电力。然而，通过使插座扩展设备127执行认证作为代替，可能基于电力管理设备11的控制给不受控制器具126供电。

器具功能的概述

在此简短地概述受控制插座123、电动交通工具124、受控制器具125、不受控制器具126、以及插座扩展器具127的功能。

受控制插座123

首先，将概述受控制插座123的功能。受控制插座123具有与电动交通工具124、受控制器具125、不受控制器具126、以及插座扩展设备127的电源插头连接的端子。此外，受控制插座123具有经由配电设备121给连接到该端子的电动交通工具124、受控制器具125、不受控制器具126、以及插座扩展设备127供电的功能。即，受控制插座123具有供电插座的功能。

受控制插座123还具有电力管理设备11进行认证所必须的多种功能。例如，受控制插座123具有与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给受控制插座123提供用于无线通信的通信模块，来实现该通信功能。受控制插座123还具有用于执行在认证时必须的计算的计算功能。此外，受控制插座123保存识别信息诸如认证所必须的器具ID以及密钥信息。通过使用这些功能和信息，受控制插座123能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公开密钥对的公开密钥认证。

此外，受控制插座123还可以具有用于显示利用电力管理设备11的认证的成功/失败以及在认证期间的状态(以下称为认证状态)的状态显示装置。在这种情况下，设置在受控制插座123中的状态显示装置可以显示连接至受控制插座123的电动交通工具124、受控制器具125、以及插座扩展设备127的认证状态。此外，该状态显示装置还可以显示连接至受控制插座123的器具是否是不受控制器具126。另外，该状态显示装置由诸如LED或小灯泡的指示灯、或者诸如LCD或ELD的显示器件配置。

如上所述，在电力管理设备11的控制下经由配电设备121给由电力管理设备11认证成功的受控制插座123供电。换句话说，在电力管理设备11的控制下，停止给认证失败的受控制插座123供电。这样，根据认证的成功/失败控制供电，可以防止未授权供电插座连接至配电设备121。还可以容易地检测欺诈性地连接至配电设备121的供电插座。而且，在状态显示装置设置在受控制插座123中的情况下，可以容易地掌握受控制插座123的认证状态，并且可以容易地区分受控制插座123的认证失败和损坏。

现在，受控制插座123的形式不限于用于连接电源插头的功率点(powe point)的形式。例如，还可以实现具有通过使用电磁感应来供电的内置线圈(如同用于非接触IC卡的读取器/写入器那样)的受控制插座123，以及具有不同于功率点形式的表面形式的受控制插座123。在这种情况下，如同非接触IC卡那样，将用于从受控制插座123生成的电磁场生成感应电动势的线圈设置在电动交通工具124、受控制器具125以及插座扩展设备127中。根据这种配置，可以在不使用电源插头的情况下，提供或接收电力。另外，在使用电磁感应的情况下，在受控制插座123和电动交通工具124、受控制器具125、或插座扩展设备127之间使用磁场调制的信息交换变得可能。

此外，受控制插座123具有测量提供给连接至该端子的电动交通工具124、受控制器具125、或插座扩展设备127的电力量的功能。另外，受控制插座123具有将所测量的电力量通知给电力管理设备11的功能。而且，受控制插座123可以具有从连接至该端子的电动交通工具124、受控制器具125、或插座扩展设备127获取初级信息并且将所获取的初级信息发送至电力管理设备11的功能。这样，通过将受控制插座123测量或获取的信息发送至电力管理设备11，可以使电力管理设备11掌握电力状态或者执行对每个独立受控制插座123的供电控制。

电动交通工具124

接下来将概述电动交通工具124的功能。电动交通工具124包括用于存储电力的蓄电池。电动交通工具124还包括使用从蓄电池放电的电力来驱动的驱动机构。在电动交通工具124是电动汽车或插入式混合电动汽车的情况下，该驱动机构包括例如马达、齿轮、轴、车轮、轮胎等。其他电动交通工具124的驱动机构至少包括马达。此外，电动交通工具124包括在给蓄电池充电时使用的电源插头。可以通过将该电源插头连接至受控制插座123来接收电力。顺便提及，在受控制插座123通过使用电磁感应供电的方法的情况下，在电动交通工具124中设置放在磁场中时生成感应电动势的线圈。

电动交通工具124还具有用于电力管理设备11进行认证所必须的多种功能。例如，电动交通工具124具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给电动交通工具124提供用于无线通信的通信模块，来实现该通信功能。电动交通工具124还具有用于执行认证时所必须的计算的计算功能。此外，电动交通工具124保存识别信息诸如认证所必须的器具ID以及密钥信息。通过使用这些功能和信息，电动交通工具124能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公开密钥对的公开密钥认证。

此外，电动交通工具124还具有向电力管理设备11发送与所装配的蓄电池相关的器具蓄电池信息(诸如剩余蓄电池电平、充电量、以及放电量)的功能。还将与拥有电动交通工具124的用户相关的用户信息、与电动交通工具124的燃料效率、性能等相关的器具信息发送至电力管理设备11。通过从电动交通工具124发送到电力管理设备11的这些信息，电力管理设备11可以执行诸如使用用户信息记账，以及基于用户信息和器具信息征税等的处理。例如，可以通过电力管理设备11执行征收基于CO₂释放量计算的环境税的处理、基于剩余蓄电池电平显示英里里程的处理等。

另外，还可以想到使用电动交通工具124的蓄电池代替电力存储设备128。例如，当暂时不可能使用电力存储设备128时，诸如当电力存储设备128坏了或者被更换的时候，可以使用电动交通工具124的蓄电池来代替电力存储设备128。而且，由于电动交通工具124本身是可移动的，所以可以携带作为原料的外部电力。即，其可以用作可移动电力存储设备128。由于这种优点，在天灾或紧急情况下，使电动交通工具124作为备用电源也是有用的。当然，这种使用可以在根据本实施例的局部电力管理系统1的框架内实现。

受控制器具125

接下来，将概述受控制器具125的功能。受控制器具125具有由电力管理设备11进行认证所必须的多种功能。例如，受控制器具125具有用于与电力管理设备11交换信息的通信功能。通过电力线或信号线的电缆通信，或者通过给受控制器具125提供用于无线通信的通信模块来实现该通信功能。受控制器具125还具有用于执行认证时所必须的计算的计算功能。而且，受控制器具125保存识别信息诸如认证所必须的器具ID和密钥信息。通过使用这些功能和信息，受控制器具125能够被电力管理设备11认证。另外，认证的类型可以是使用随机数的相互认证，也可以是使用秘密密钥和公开密钥对的公开密钥认证。

此外，受控制器具125还具有向电力管理设备11发送与所装配的蓄电池相关的器具蓄电池信息，诸如剩余蓄电池电平、充电量、以及放电量。还将与拥有受控制器具125的用户相关的用户信息、与受控制器具125的类型、性能等相关的器具信息发送至电力管理设备11。通过从受控制器具125发送到电力管理设备11的这些信息，电力管理设备11可以执行诸如使用用户信息记账，以及基于用户信息和器具信息征税等的处理。例如，可以通过电力管理设备11执行征收基于CO₂释放量计算的环境税的处理、推荐具有更高环境性能的显示处理等。

不受控制器具126、插座扩展设备127

接下来，将概述不受控制器具126和插座扩展设备127的功能。与上述受控制插座123、电动交通工具124、以及受控制器具125不同，不受控制器具126不拥有由电力管理设备11认证所必须的功能。即，不受控制器具126是现有家用电器、现有视频器具等。未经过认证的不受控制器具126不能经受电力管理设备11的电力管理，并且在一些情况下，不能接收电力。从而，为了能够在局部电力管理系统1中使用不受控制器具126，用于执行认证的委托装置是必须的。

插座扩展设备127担任两个角色。一个角色是用于执行委托认证，使得不受控制器具126能够在局部电力管理系统1中使用的功能。另一个角色是增加连接至受控制插座123的器具数量的功能。插座扩展设备127具有与电动交通工具124、受控制器具125、或不受控制器具126的电源插头连接的一个或多个端子。当使用具有多个端子的插座扩展设备127时，能够增加可以连接至受控制插座123的电动交通工具124、受控制器具125、或不受控制器具126的数量。即，插座扩展设备127用作具有高级功能的电源板。

以上，简单地概述了受控制插座123、电动交通工具124、受控制器具125、不受控制器具126、以及插座扩展设备127的功能。顺便提及，上述功能不是受控制插座123、电动交通工具124、受控制器具125、不受控制器具126、以及插座扩展设备127仅有的功能。将这些功能作为基础，还可以进一步补充以下描述的用于电力管理设备11进行电力管理的操作所必须的功能。

通信功能

在此，参考图3描述局部电力管理系统1内的电力管理设备11、受控制插座123、电动交通工具124、受控制器具125、插座扩展设备127等的通信功能。如图3所示，在局部电力管理系统1中，例如，使用短程无线通信、无线LAN、电力线通信等。例如，ZigBee是短程无线通信的一个示例。另外，PLC是电力线通信的一个示例。

如图2所示，在局部电力管理系统1中，受控制插座123和连接至受控制插座123的器具通过电力线连接至配电设备121。这样，很容易通过使用这些电力线构建基于电力线通信的通信网络。另一方面，在使用短程无线通信的情况下，可以通过自组(ad-hoc)方式连接每个器具来构建通信网络，如图3所示。而且，在使用无线LAN的情况下，每个器具都可以直接连接至电力管理设备11。从而，可以通过使用任何通信方法，在局部电力管理系统1内构建必要的通信网络。

然而，如图3所示，不受控制器具126有时不能通过使用通信网络连接至电力管理设备11。因此，在使用不受控制器具126的情况下，不受控制器具126必须连接至插座扩展设备127。另外，即使在使用不具有通信功能也不具有认证功能的不受控制插座的情况下，如果电动交通工具124、受控制器具125、或插座扩展设备127连接至不受控制插座，也可以通过使用电动交通工具124、受控制器具125、或插座扩展设备127的功能，来进行经由通信网络到电力管理设备11的连接。当然，在不受控制器具126连接至不受控制插座的情况下，不能进行到通信网络的连接，从而不能进行由电力管理设备11的控制。

顺便提及，电力信息收集设备4可以被包括在局部电力管理系统1内构建的通信网络中，作为连接目的地，如图3所示。而且，可以通过使用该通信网络，在电动交通工具124或受控制器具125与电力信息收集设备4之间交换信息。当然，电力管理设备11和电力信息收集设备4可以通过使用该通信网络来交换信息。这样，可以根据实施例的模式适当地设置局部电力管理系统1内构建的通信网络的结构。另外，该通信网络由充分安全的通信信道构建。而且，将提供允许保证流经通信信道的信息的安全的机制。

器具和多种设备的具体示例

在此，将参考图4介绍局部电力管理系统1中的一些结构元件的具体示例。如图4所示，可以与电力管理设备11交换信息的结构元件包括：例如，电动交通工具124、受控制器具125(智能器具)、不受控制器具126(传统器具)、电力存储设备128、第一发电设备129、第二发电设备130等。

例如，电动车和插电式混合电动车可以被给定为电动交通工具124的具体示例。此外，例如，家用电器、个人计算机、移动电话、以及视频器具可以被给定为受控制器具125和不受控制器具126的具体示例。例如，锂离子充电电池、NAS充电电池、以及电容器可以被给定为电力存储设备128的具体示例。另外，例如，光电设备、风力发电设备、以及地热发电设备可以被给定为第一发电设备129的具体示例。此外，燃料电池、天然气发电设备、以及生物质发电设备可以被给定为第二发电设备130的具体示例。如上所述，多种设备和器具都可以被用作局部电力管理系统1的结构元件。

以上，已经描述了被管理块12的配置。然而，包括在被管理块12中的每个结构元件的功能不限于上述。在电力管理设备11进行电力管理需要时，补充每个结构元件的功能。另外，将在随后描述的电力管理设备11和其他结构元件的配置的说明中，详细描述每个结构元件的补充功能。

外部服务器的配置

接下来，参考图5描述外部服务器3的配置。如图5所示，例如，服务提供服务器31、记账服务器32、系统管理服务器33、分析服务器34、证书授权服务器35、制造商服务器36、以及地图DB服务器37用作外部服务器3。

服务提供服务器31具有提供使用电力管理设备11等的功能的服务的功能。记账服务器32具有根据局部电力管理系统1内消费的电力，给电力管理设备11提供记账信息，并且基于关于由电力管理设备11管理的电力量的信息，请求用户支付使用费的功能。另外，记账服务器32与服务提供服务器31合作，执行对用户使用的服务的记账处理。另外，可以针对拥有消费电力的电动交通工具124、受控制器具125等的用户来执行记账处理，或者可以针对管理关于被消费电力的信息的电力管理设备11的用户来执行记账处理。

系统管理服务器33具有管理图1所示的整个电力管理系统或者基于区域管理电力管理系统的功能。例如，如图6所示，系统管理服务器33掌握在用户#1的局部电力管理系统1中的使用情况、在用户#2的局部电力管理系统1中的使用情况、在用户#3的局部电力管理系统1中的使用情况，并且给记账服务器32等提供必要信息。

在图6的示例中，假设用户#1使用用户#1他/她自己、用户#2、以及用户#3的局部电力管理系统1中的电力的情况。在这种情况下，用户#1(消费的电力和使用信息(电力消费等)由系统管理服务器33收集)的器具ID、以及用户#1的用户信息和使用信息从系统管理服务器33被发送至记账服务器32。此外，系统管理服务器33基于所收集的使用信息来计算记账信息(记账数目等)，并将其提供给用户#1。对于该部分，记账服务器32向用户#1收取对应于记账信息的金额。

如上所述，通过系统管理服务器33对多个局部电力管理系统1进行总体控制，即使用户使用另一用户的局部电力管理系统1中的电力，也可以实现给使用了电力的用户记账的机制。特别地，在多数情况下，在由局部电力管理系统1本身管理的局部电力管理系统1的外部，执行对电动交通工具124的充电。在这种情况下，如果使用系统管理服务器33的上述功能，则费用可以被可靠地计入电动交通工具124的用户的账户。

分析服务器34具有对由电力管理设备11收集的信息、或者连接至广域网2的另一服务器所拥有的信息进行分析的功能。例如，在优化基于区域的供电控制的情况下，从局部电力管理系统1收集的信息量将会很大，并且为了通过分析信息计算用于每个局部电力管理系统1的最优控制方法，必须执行大量计算。这种计算对于电力管理设备11来说是繁重的，因此通过使用分析服务器34来执行。另外，分析服务器34还可以用于其他多种计算处理。此外，证书授权服务器35用于对公开密钥进行认证并用于发布公开密钥证书。

制造商服务器36由器具的制造商管理。例如，电动交通工具124的制造商服务器36保存关于电动交通工具124的设计的信息。类似地，受控制器具125的制造商服务器36保存关于受控制器具125的设计的信息。此外，制造商服务器36保存用于识别每个所制造器具(诸如，每个电动交通工具124和每个受控制器具125)的信息。制造商服务器36具有通过使用这些信息并且与电力管理设备11合作，识别位于每个局部电力管理系统1内的电动交通工具124或受控制器具125的功能。通过使用该功能，电力管理设备11可以执行对电动交通工具124或受控制器具125的认证，或者检测未授权器具的连接。

地图DB服务器37保存地图数据库。从而，连接至广域网2的服务器或电力管理设备11可以访问地图DB服务器37并且使用地图数据库。例如，在用户使用他/她的局部电力管理系统1外部的电力的情况下，系统管理服务器33可以从地图数据库搜索使用位置，并且将关于使用位置的信息以及记账信息提供给用户。如上所述，存在多种类型的外部服务器3，并且除了在此所示的服务器配置之外，在适当的时候，还可以增加不同类型的外部服务器3。

(1-2)电力管理设备的配置

以上，描述了根据本实施例的电力管理系统的整体图。以下，将参考图7至图9描述主要负责电力管理系统中的电力管理的电力管理设备11的配置。

功能综述

首先，将参考图7描述电力管理设备11的总体功能配置。如图7所示，电力管理设备11包括局部通信单元111、信息管理单元112、存储单元113、广域通信单元114、控制单元115、显示单元116、输入单元117、以及服务提供单元118。

局部通信单元111是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信装置。信息管理单元112是用于管理被包括在局部电力管理系统1内的每个结构元件的器具信息以及与电力相关的信息的装置。另外，由信息管理单元112执行对受控制插座123、电动交通工具124、受控制器具125、插座扩展设备127等的认证处理。存储单元113是用于保存用于认证的信息和用于电力管理的信息的存储装置。存储单元113存储与电力管理设备11所保存的秘密密钥和公开密钥构成的密钥对、共有密钥等相关的密钥信息、多种数字签名或证书、多种数据库、或历史信息。广域通信单元114是用于经由广域网2与外部系统和服务器交换信息的通信装置。

控制单元115是用于控制包括在局部电力管理系统1内的每个结构元件的操作的控制装置。显示单元116是用于显示与在局部电力管理系统1中消费的电力相关的信息、用户信息、记账信息、与电力管理相关的其他类型信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示装置。另外，例如，LCD、ELD等可以用作显示装置。输入单元117是用于用户输入信息的输入装置。另外，例如，键盘、按钮等可以用作输入单元117。而且，还可以通过结合显示单元116和输入单元117来构建触摸面板。服务提供单元118是用于在电力管理设备11处实现多种服务和功能并且将其提供给用户，同时与外部系统、服务器等协同操作的装置。

如上所述，电力管理设备11包括用于与局部电力管理系统1内部或外部的器具、设备、系统、服务器等交换信息的通信装置(局部通信单元111、广域通信单元114)。此外，电力管理设备11包括用于控制局部电力管理系统1内的器具或设备的控制装置(控制单元115)。另外，电力管理设备11包括从局部电力管理系统1内部或外部的器具、设备、系统、服务器等收集信息，并通过使用该信息给局部电力管理系统1内的器具或设备提供服务或认证的信息管理装置(信息管理单元112)。另外，电力管理设备11包括用于显示与局部电力管理系统1内部或外部的电力相关的信息的显示装置(显示单元116)。

为了安全和高效地管理局部电力管理系统1内的电力，首先，必须正确地识别局部电力管理系统1内的器具、设备等。另外，为了安全和高效地管理局部电力管理系统1内的电力，还必须分析与局部电力管理系统1内部和外部的电力相关的信息并且执行适当的电力控制。信息管理单元112的功能用于执行信息的管理，以实现以上功能。相应地，将更详细地描述信息管理单元112的功能。另外，控制单元115的功能用于控制具体器具、设备等。

功能详情

以下，将参考图8和图9详细地描述信息管理单元112的功能配置。图8示出信息管理单元112的详细功能配置。图9示出信息管理单元112的每个结构元件的主要功能。

如图8所示，信息管理单元112包括：器具管理单元1121、电力交易单元1122、信息分析单元1123、显示信息生成单元1124、以及系统管理单元1125。

器具管理单元1121

如图9所示，器具管理单元1121是用于管理局部电力管理系统1内的器具、设备等的装置。例如，器具管理单元1121为受控制插座123、电动交通工具124、受控制器具125、插座扩展设备127等执行器具ID的登记、认证、管理，操作设置和服务设置的管理，操作状态和使用状态的掌握，环境信息的收集等。另外，通过使用安装在被管理块12中的环境传感器131来执行环境信息的收集。而且，环境信息是与温度、湿度、天气、风向、风速、地形、区域、天气预报等相关的信息，以及通过对这些信息进行分析获得的信息。

电力交易单元1122

如图9所示，电力交易单元1122执行电力市场中的市场交易数据或个体交易数据的获取、交易执行的时机控制、交易的执行、交易日志的管理等。另外，市场交易数据是与电力市场中的市场价格和交易条件相关的信息。而且，个体交易数据是与在电力供应者与邻近地区电力消费者之间进行个体交易时确定的交易价格和交易条件等相关的信息。交易执行的时机控制是，例如，在电力购买价格下降到预定量以下的时机下预定量的购买订单，或者在电力卖出价格上升到预定量以上的时机下预定量的出售订单的自动控制。

信息分析单元1123

如图9所示，信息分析单元1123执行发电数据的分析、电力存储数据的分析、生活模式的学习、以及电力消费数据的分析。此外，信息分析单元1123基于以上分析，执行电力消费模式的估计、电力存储模式的估计、电力放电模式的估计、以及发电模式的估计。另外，例如，通过使用局部电力管理系统1内的第一发电设备129或第二发电设备130的发电量的时序数据、电力存储设备128的充电/放电量或电力存储量的时序数据、或由电力提供者系统5提供的电力量的时序数据，来执行信息分析单元1123的分析和学习。

此外，通过将时序数据或通过分析时序数据获得的分析结果用作用于学习的数据，并且通过使用基于预定器具学习算法获得的估计公式，来执行信息分析单元1123的估计。例如，通过使用遗传学习算法(例如，参见JP-A-2009-48266)，可以自动构建估计公式。另外，通过将过去的时序数据或分析结果输入估计公式，可以获得估计结果。此外，通过顺序地将所计算的估计结果输入估计公式，可以获得时序数据。

此外，信息分析单元1123执行现在或未来CO₂排放量的计算、用于减少电力消费的供电模式(电力节省模式)的计算、用于减少CO₂排放量的供电模式(低CO₂排放模式)的计算、以及能够减少局部电力管理系统1内的电力消费和CO₂排放量的器具配置、器具布置等的计算或推荐。基于总电力消费或对于每种发电方法有所区别的电力消费来计算CO₂排放量。

在使用总电力消费的情况下，计算近似平均CO₂排放量。换句话说，在使用对于每种发电方法有所区别的电力消费的情况下，计算相当精确的CO₂排放量。另外，通过至少区分从外部提供的电力、由第一发电设备129生成的电力与第二发电设备130所生成的电力，可以计算出比使用总电力消费时更精确的CO₂排放量。在很多情况下，根据CO₂排放量来确定税金(比如，碳税)和记账。从而，认为能够准确计算CO₂排放量增加了用户间的公平感，并且有助于广泛使用基于可再生能源的发电装置。

显示信息生成单元1124

如图9中所示，显示信息生成单元1124通过调节与局部电力管理系统1内的器具、设备等相关的信息、与电力相关的信息、与环境相关的信息、与电力交易相关的信息、与信息分析单元1123的分析结果或估计结果相关的信息等的格式，来生成将被显示在显示单元116上的显示信息。例如，显示信息生成单元1124生成用于以图表格式显示表示电力量的信息的显示信息，或者生成用于以表格形式显示市场数据的显示信息。另外，显示信息生成单元1124生成用于显示多种类型信息或输入信息的图形用户界面(GUI)。由显示信息生成单元1124生成的各种显示信息被显示在显示单元116上。

系统管理单元1125

如图9所示，例如，系统管理单元1125执行固件(其为用于控制电力管理设备11的基本操作的程序)版本的管理/更新，限制对系统管理单元1125的访问，并采取防病毒措施。另外，在多个电力管理设备11安装在局部电力管理系统1中的情况下，系统管理单元1125与另一电力管理设备11交换信息，并且执行控制，使得多个电力管理设备11相互协同操作。例如，系统管理单元1125管理每个电力管理设备11的属性(例如，对器具、设备等的控制处理的优先级排序)。此外，系统管理单元1125执行与参与协同操作或从协同操作退出相关的每个电力管理设备11的状态控制。

以上，描述了电力管理设备11的功能配置。另外，在此描述的电力管理设备11的功能配置仅为一个示例，在需要时，可以增加除以上之外的功能。

(1-3)显示在显示单元上的内容

接下来，将参考图10至图13更加具体地描述显示在显示单元上的内容。图10至图13是用于解释显示在显示单元上的内容的示意图。

如先前所述，多种信息被显示在电力管理设备11的显示单元116上。例如，如图10所示，已经登记在电力管理设备11中的器具列表与每个器具的电力消费一起被显示在电力管理设备11的显示单元上。在此，电力消费可以被显示为数值，或者如图10所示，例如，显示为柱状图的形式。对于设备，比如插座扩展设备(多个器具可以通过选择显示器上的“插座扩展设备”连接到插座扩展设备)，可以掌握连接至插座扩展设备的各个器具的电力消费。

如图11所示，显示单元116还可以显示连接至电力管理设备11的器具的认证状态。通过显示这种信息，电力管理设备11的用户可以容易地区分哪个器具已经被认证，这可以增加用户维护的效率。

另外，如图12所示，用于每个使用位置的电力消费和记账金额的列表可以被显示在显示单元116上。通过显示这种信息，例如，用户可以容易地掌握备用电力是否被不必要地消费了。

如图13所示，在显示单元116上显示电力消费时，还可以区分已经使用的电力的类型(即，电力是在系统外部使用的电力还是在系统内使用的电力)。

(1-4)隐藏电力消费模式

在此，将参考图14至图18描述隐藏电力消费模式的方法。

被管理块12的电力消费模式反映用户的生活风格模式。作为一个示例，在图14中所示的电力消费模式中，峰值在整天都出现。从该电力消费模式可以明白，用户整天都在家。而且，由于消费峰值大多数在约0:00(午夜)消失，可以明白，用户在午夜左右上床睡觉。同时，在图15中所示的电力消费模式中，虽然大峰值出现在约7:00和在21:00，但只有很少峰值出现在一天的其他时间。该电力消费模式暗示，用户约7:00离开家，并且直到接近21:00都不在。

这样，电力消费模式反映用户的生活模式。如果这种电力消费模式被恶意第三方知悉，则这样的第三方可以滥用电力消费模式。作为示例，第三方可以尝试在用户不在时进入用户的家里，当用户在家时进行高压销售访问，或者当用户睡觉时进行抢劫。

为此原因，必须严格管理关于电力消费的信息，或者提供隐藏电力消费模式的配置。如先前所述，通过由电力供应者管理的电力信息收集设备4收集与电力供应者系统5提供的电力量相关的信息。这意味着，关于被管理块12的电力消费的时序模式将暴露给至少一个电力供应者。

为此原因，除了以上措施之外，优选提供用于隐藏电力消费模式的配置，以防止用户的生活风格模式被第三方发现。隐藏电力消费模式的一种方式是，制造由电力供应者系统5提供的电力量的时序模式与用户的生活风格模式之间的差异。例如，电力供应者系统5可以在用户不在家时供电，或者局部系统可以在用户在家时停止接收来自电力供应者系统5的电力。

使用电力存储设备128实现这种措施。例如，可以将用户不在家时从电力供应者系统5接收的所提供电力存储在电力存储设备128中，并且当用户在家时，使用存储在电力存储设备128中的电力，以抑制从电力供应者系统5提供的电力量。为了进一步增加安全性，优选执行对电力存储设备128的充电/放电控制，以使电力消费模式变为指定模式，从而尽量根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。

平均化

如图16所示，一个可能示例是执行电力存储设备128的充电/放电控制以使电力消费恒定的方法。为了使电力消费为恒定值，可以在电力消费低于恒定值时，增加存储在电力存储设备128中的电力，并且可以在电力消费高于恒定值时，增加电力存储设备128的放电。这种控制由电力管理设备11执行。除了电力存储设备128的充电/放电控制之外，可以在电力消费者之间交易电力，和/或使用电动交通工具124等的蓄电池执行充电/放电控制。这样，通过使电力消费恒定，可以根除由于用户的生活风格模式导致的出现在电力消费模式中的特征。结果，可以根除由于电力消费模式的滥用导致的用户遭受犯罪行为的危险。

复杂化

注意，只要电力消费模式和生活风格模式之间存在差异，就不必将电力消费设定为恒定值。为了使电力消费为恒定值，需要具有足够容量以吸收电力消费中的峰值的电力存储设备128。然而，具有这种大容量的电力存储设备128很贵，并且仅仅为了隐藏电力消费模式而在普通家庭中提供这种设备不太现实。为此原因，优选使用小容量的电力存储设备128在电力消费模式和生活风格模式之间创建差异的方法。如图17所示，这种方法的一个可能示例使电力消费模式变复杂(即，增加电力消费模式的复杂度)。

以下描述使电力消费模式变复杂以在模式各处生成相对小的峰值和波谷的一种可能方法。虽然将需要大容量电力存储设备128以将大峰值抑制为接近平均值，但是可以使用容量小很多的存储设备生成和移动相对小的峰值。虽然可以使以一天为单位的电力消费模式变复杂，但是使电力消费模式变复杂，以生成每天不同的电力消费模式和/或根除基于周或月的周期也是有效的。使(诸如外出、回家、上床睡觉和起床之类的尤其容易被滥用的)事件的时机变复杂的装置也能够在不使电力存储设备128的充电/放电控制过度复杂的情况下，充分抑制不诚实行为。

模式化

另外，如图18所示，还可以想到控制电力消费模式以使邻近地区的平均模式基本匹配的方法。基于其他人的生活风格模式获得邻近地区的平均模式。这意味着，必须进行少量电力控制，以使特定用户的电力消费模式与邻近地区的平均模式匹配。与当电力消费被控制变为恒定值时相比，应该可以使用低容量的电力存储设备128隐藏具体用户的生活风格模式。当这样控制电力消费时，在邻近地区的电力管理设备11之间交换电力信息。使用信息分析单元1123的功能或分析服务器34的功能计算邻近地区的平均模式。基于所计算出的平均模式，对电力存储设备128执行充电/放电控制。

(1-5)由电力管理设备进行的多种控制

现在将参考图19简单地描述上述局部电力管理系统1的电力管理设备11执行的多种控制操作。图19是用于解释由电力管理设备进行的多种控制的概述的示意图。

电力管理设备11执行对将被管理的配电设备121、受控制插座123、电动交通工具124、受控制器具125、插座扩展设备127等的控制，如图19所示。即，电力管理设备11对将被管理的器具执行多种控制操作，诸如，电力存储控制、平均化控制、交易控制、供电切换控制、异常切换控制、恢复控制、认证/登记控制、信息收集/信息处理控制、外部访问控制、以及服务关联控制。除了这种控制之外，充电控制是关于电力使用和存储的控制，诸如，在白天使用被管理块内的多种类型的发电设备生成的电力，以及在夜晚使用外部电力。

如图19所示，电力管理设备11通过参考与电力资源相关的信息、与优先级排序相关的信息、与控制条件(参数)相关的信息等，执行这种控制。

如图19所示，例如，与电力资源相关的信息是与电力管理设备11所属的局部电力管理系统1能够使用的电力资源相关的信息。如图19所示，这种电力资源可以粗略地被分类为外部电力和家庭电力(或“系统内部电力”)。外部电力是从局部电力管理系统1外部提供的电力，并且一个示例可以为从供电公司等提供的标准电力。系统内部电力是局部电力管理系统1内管理的电力，示例可以为存储在电力存储设备中的电力，由发电设备生成的电力，存储在电动交通工具中的电力，以及存储在蓄电池模块中的电力。注意，此处的表达“存储在电力存储设备中的电力”不仅指存储在所谓的专用电力存储设备中的电力，还包括在能够由电力管理设备11控制的设备(诸如，计算机、家用电器、或移动电话)中设置的蓄电池等中存储的电力。电力管理设备11还能够使用这种信息来存储表示哪个电力资源提供了被存储在电力存储设备中的电力的信息。

如图19所示，例如，与优先级排序相关的信息是设定供电的优先级排序的信息。如果停止给用于给食物和饮料保鲜的冰箱或者维护系统安全的安全相关器具供电，或者如果用于照明或控制器具的电力停止，则变得很难实现这种功能，其可能不利地影响用户。相应地，电力管理设备11能够提供非受限制的电力给这种器具，以保证维持这种功能。电力管理设备11还能够通过适当地对优先级排序被设置为“电力节省模式(POWERSAVING MODE)”的器具(诸如，电视或空调)的供电进行控制来抑制电力使用。电力管理设备11还能够设定“关机(POWER OFF)”优先级排序，一个示例是能够实现控制以使得充电器正常关机。注意，图19中所示的优先级排序仅是示例，电力管理设备11中设置的优先级排序不限于图19中所示的示例。

如图19所示，例如，与控制条件相关的信息是设定电力管理设备11的控制条件的信息。作为一个示例，这种控制条件可以被粗略地分为，例如，与电力的使用环境相关的条件、与电力的使用时段相关的条件、与电力使用模式相关的条件、以及与异常相关的条件。如图19所示，可以为各个条件设置更详细的条件项。注意，图19中所示的控制条件仅是示例，并且电力管理设备11中设置的控制条件不限于图19中所示的示例。

基于这种信息，电力管理设备11实现对系统1中的各个器具的控制，如图19所示。通过这样，电力管理设备11能够执行对被管理的各个器具的充电控制，控制器具的操作、以及更新器件的固件。例如，电力管理设备11能够执行诸如“在XX点钟启动饭煲的功能”的控制。还可以将这种控制与电力估计功能(其是设置在电力管理设备11中的另一功能)关联，以及在电力便宜的时区内启动多个功能。电力管理设备11还能够与设置在系统1外部的服务器协同操作，以给用户提供多种服务。例如，外部设置的服务器能够使用由电力管理设备11输出的输出信息来提供服务等，使得可以容易地检查分开住的家庭成员是否具有正常电力使用状态(即，这种家庭成员正常生活，没有健康问题)。

这种控制不仅能够由电力管理设备11实现，还能够由例如设置在电力管理系统1中的受控制插座123、插座扩展设备127等实现。

为了实现这种控制，电力管理设备11存储信息，诸如图20中所示的信息，并且还将这种信息登记在系统1外部设置的系统管理服务器33中。图20是用于解释由电力管理设备11管理的多种信息的示意图。

如图20所示，电力管理设备11存储诸如指派给设备的标识号(ID)的信息，与制造商、型号等相关的信息，在系统中的登记日期、以及情况。另外，电力管理设备11存储诸如用户名、地址、电话号码、记账信息(与账户等相关的信息)、以及拥有电力管理设备11的用户的紧急联系方式等信息。电力管理设备11还存储与被指派给系统1中存在的配电设备121的ID、制造商名称、型号、登记日期、情况等相关的信息。另外，电力管理设备11存储与被指派给系统1中存在的多种类型受控制器具125的ID、制造商名称、型号、登记日期、情况等相关的信息。

通过存储这种信息，电力管理设备11可以发送获取多种信息的请求和/或给设置在系统1外部的服务器提供多种服务的请求。例如，电力管理设备11能够参考用于特定受控制器具125的制造商信息，访问由该制造商管理的服务器，以及从被访问服务器获取与受控制器具125相关的多种信息。

注意，除了能够由电力管理设备11控制的受控制器具125(即，配电设备121、受控制插座123、电动交通工具124、插座扩展设备127、电力存储设备128、以及发电设备129、130)之外，还存在不受控制器具和/或不受控制插座(为不能被控制的设备)设置在局部电力管理系统1中的情况。为此原因，电力管理设备11根据什么类型的设备(受控制器具或不受控制器具)连接至什么类型的插座(受控制插座或不受控制插座)来选择交换信息的方法、控制供电的方法等。注意，如下所述，除非特别说明，措辞“受控制器具125”还包括可以被控制的器具类型，诸如受控制插座123、电动交通工具124、插座扩展设备127、电力存储设备128等。

图21是用于解释通信装置、认证装置、以及根据插座的类型和被连接器具的类型设置的供电控制的组合的示意图。从图21可以清楚地看出，一种类型的插座以及连接至这种插座的一种类型的被连接器具的组合可以粗略地被划分为四种模式。

当受控制器具125连接至受控制插座123时，电力管理设备11能够与受控制插座123和受控制器具125通信并对其进行控制。从而，当被连接器具将电力信息发送至电力管理设备11时，例如，被连接器具(即，受控制器具125)可以使用ZigBee将电力信息发送至电力管理设备11。受控制插座123可以使用例如，ZigBee或PLC，将电力信息发送至电力管理设备11。此外，在对被连接器具进行认证期间，被连接器具(受控制器具125)能够使用例如，ZigBee，执行与电力管理设备11的认证。关于对给被连接器具供电的控制，电力管理设备11可以将控制命令发送至配电设备121。在一些情况下，受控制插座123还可以执行对给被连接器具供电的有限控制。

当不受控制器具126连接至受控制插座123时，被连接器具可能不能向电力管理设备11执行认证处理。这意味着，在这种情况下，被连接器具和电力管理设备11无法执行器具认证。在这种情况下的电力信息传输可以经由例如ZigBee或PLC，由不受控制器具126连接至的受控制插座123来执行。关于对给被连接器具供电的控制，电力管理设备11可以将控制命令发送至配电设备121。另外，在一些情况下，受控制插座123可以对给被连接器具供电执行有限控制。

当受控制器具125连接至不受控制插座时，被连接器具可以使用例如ZigBee，来向电力管理设备11执行器具认证处理，并且将电力信息发送至电力管理设备11。而且，关于对给被连接器具供电的控制，电力管理设备11可以将控制命令发送至配电设备121。

当不受控制器具126连接至不受控制插座时，被连接器具不能向电力管理设备11执行器具认证处理或者将电力信息发送至电力管理设备11。而且，由于不能控制对被连接器具的供电，电力管理设备11不断地给被连接器具供电。

(1-6)器具管理单元的配置

对上述器具的控制基于由设置在电力管理设备11中的信息管理单元112获得的多种信息来执行。现在将参考图22详细地描述设置在电力管理设备11的信息管理单元112中的器具管理单元1121的具体配置。图22是示出根据本实施例的器具管理单元1121的配置的框图。

器具管理单元1121主要包括：密钥生成单元1501、系统登记单元1503、被管理器具登记单元1505、被管理器具信息获取单元1507、被管理器具信息输出单元1509、被排除器具指定单元1511、信息篡改检测单元1513、以及电力使用证书管理单元1515。

作为一个示例，密钥生成单元1501可以由CPU(中央处理单元)、ROM(只读存储器)、RAM(随机存取存储器)等实现。密钥生成单元1501生成在局部电力管理系统1中使用的多种类型密钥，诸如，公开密钥(public key)、秘密密钥、或共有密钥(common key)，以及用于在局部电力管理系统1和设置在系统1外部的设备之间进行通信的多种类型密钥，诸如，公开密钥、秘密密钥、或共有密钥。密钥生成单元1501使用已经由例如系统管理服务器33或证书授权服务器35披露的公开参数，来生成当生成这种密钥时使用的多种参数或生成密钥本身。密钥生成单元1501将所生成的参数或密钥安全地存储在存储单元113等中。

根据来自系统登记单元1503或被管理器具登记单元1505的请求，来实现由密钥生成单元1501执行的密钥生成处理，这将在随后描述。一旦密钥生成处理结束，密钥生成单元1501就可以将所生成的密钥等输出至作出请求的处理单元(系统登记单元1503或被管理器具登记单元1505)。密钥生成单元1501可以向作出请求的处理单元(系统登记单元1503或被管理器具登记单元1505)通知密钥生成处理结束，使得处理单元然后可以从特定位置(例如，存储单元113)获取所生成的密钥等。

密钥生成单元1501执行密钥生成处理时的协议不限于指定协议，并且例如，可以使用在局部电力管理系统1内设置的或者由与服务器达成的协议决定的协议。

系统登记单元1503由例如CPU、ROM、RAM等实现。系统登记单元1503是执行经由广域通信单元114将电力管理设备11本身登记在管理局部电力管理系统1的系统管理服务器33中的处理的处理单元。

系统登记单元1503首先经由广域通信单元114连接至系统管理服务器33，并且实现与系统管理服务器33的具体认证处理。接下来，系统登记单元1503将指定登记信息发送至系统管理服务器33，以将电力管理设备11本身登记在系统管理服务器33中。

系统登记单元1503发送至系统管理服务器33的登记信息的一个示例是图20中所示的信息。

随后将详细地描述由系统登记单元1503实现的登记处理的具体示例。

被管理器具登记单元1505由例如CPU、ROM、RAM等实现。被管理器具登记单元1505与能够经由局部通信单元111进行通信的受控制插座123、电动交通工具124、受控制器具125、插座扩展设备127、电力存储设备128、发电设备129、130等进行通信，并且将建立了通信的器具登记为被管理器具。当这种受控制设备连接至电源插座(受控制插座123、插座扩展设备127、不受控制插座)和/或被接通时，被管理器具登记单元1505向这种设备执行指定的认证处理，并且在认证之后执行指定的登记处理。

被管理器具登记单元1505从受控制设备获取该设备特有的标识号(器具ID)、制造商名称、型号、电力使用、被连接插座的ID等作为登记信息。被管理器具登记单元1505将所获取的登记信息登记在存储单元113等中所存储的数据库中。被管理器具登记单元1505还经由广域通信单元114将所获取的登记信息发送至系统管理服务器33，以将该信息登记在系统管理服务器33中。

随后将更详细地描述被管理器具登记单元1505的详细配置。随后还将详细地描述由被管理器具登记单元1505执行的登记处理的具体示例。

被管理器具信息获取单元1507由例如CPU、ROM、RAM等实现。被管理器具信息获取单元1507经由局部通信单元111从登记在电力管理设备11中的被管理器具获取多种信息。如图8所示，例如，表示器具的操作状态的信息、表示器具的使用状态的信息、环境信息、电力信息等都可以被给定为从被管理器具获取的信息的示例。被管理器具信息获取单元1507还能够从被管理器具获取除了上述信息之外的多种信息。

被管理器具信息获取单元1507还能够将从被管理器具获取的多种信息转发至被管理器具信息输出单元1509和被排除器具指定单元1511，将在随后描述。如果器具管理单元1121包括信息篡改检测单元1513，则被管理器具信息获取单元1507可以将从被管理器具获取的多种信息转发至信息篡改检测单元1513。

被管理器具信息输出单元1509由例如CPU、ROM、RAM等实现。被管理器具信息输出单元1509将被管理器具信息获取单元1507从被管理器具获取的多种信息输出至电力管理设备11的指定处理单元，和/或经由广域通信单元114将该信息输出至设置在电力管理设备11外部的设备。而且，如随后所描述的，如果被管理器具将用于检测信息是否已经被篡改的数据嵌入到该信息中，则当嵌入有该数据的这种信息被转发至分析服务器34时，被管理器具信息输出单元1509用作仲裁者。

被排除器具指定单元1511由例如CPU、ROM、RAM等实现。被排除器具指定单元1511基于由被管理器具信息获取单元1507从被管理器具获取的多种信息，指定将从局部电力管理系统1排除的被管理器具。可以基于已经获取的多种信息来决定被排除器具，或者可以基于无法获取正常是可获得的信息来决定被排除器具。指定被排除器具的方法不限于具体方法，可以使用任意方法。

信息篡改检测单元1513由例如CPU、ROM、RAM等实现。如果用于检测信息是否已经被篡改的数据被嵌入到由被管理器具信息获取单元1507从被管理器具获取的信息中，则信息篡改检测单元1513验证这种数据并且检测该信息是否已经被篡改。电子水印可以被给定为信息中所嵌入的这种数据的一个示例。

在检测到该信息已经被篡改时，信息篡改检测单元1513可以向被排除器具指定单元1511通知这种结果。通过这样，被排除器具指定单元1511变得能够从系统1中排除信息已被篡改的器具。

随后将描述由信息篡改检测单元1513执行的篡改检测处理。

电力使用证书管理单元1515由例如CPU、ROM、RAM等实现。在包括电力管理设备11的局部电力管理系统1中，在一些情况下，电力可以被提供给不属于系统1的受控制器具125等。为了这样，如下所述，来自供电被接受的系统1的外部的受控制器具125等将电力使用证书发布至供电被接受的系统进行管理的电力管理设备11。电力使用证书是具有特定格式的证书，表示是否已经接受供电。电力使用证书管理单元1515管理所发布的电力使用证书，并且验证所发布的电力使用证书是否为官方证书。当所发布的电力使用证书为官方证书时，电力使用证书管理单元1515能够使用电力使用证书对与所提供电力相关的记账执行控制。

随后将详细地描述由电力使用证书管理单元1515执行的处理。

被管理器具登记单元的配置

接下来，将参考图23详细地描述被管理器具登记单元1505的配置。图23是用于解释被管理器具登记单元1505的配置的框图。

如图23所示，被管理器具登记单元1505包括被管理器具认证单元1551、签名生成单元1553、以及签名验证单元1555。

被管理器具认证单元1551由例如CPU、ROM、RAM等实现。如果未被登记在由电力管理设备11管理的局部电力管理系统1中的受控制器具125等被连接，则被管理器具认证单元1551使用由密钥生成单元1501生成的密钥等来认证未被登记的受控制器具125等。该认证处理可以是使用公开密钥的公开密钥认证处理，或者可以是使用共有密钥的共有密钥认证处理。通过与随后描述的签名生成单元1553和签名验证单元1555协作，被管理器具认证单元1551执行对被管理器具的认证处理和登记处理。

签名生成单元1553由例如CPU、ROM、RAM等实现。签名生成单元1553使用由密钥生成单元1501生成的密钥等来生成具体签名(数字签名)和/或用于执行认证处理的受控制器具125等的证书。签名生成单元1553将与所生成签名和/或证书相关的信息登记在存储单元113等中存储的数据库中，并且将所生成的签名和/或证书经由局部通信单元111发送至执行认证处理的受控制器具125等。

签名验证单元1555由例如CPU、ROM、RAM等实现。签名验证单元1555使用由密钥生成单元1501生成的密钥等，验证由执行验证处理的受控制器具125等发送至电力管理设备11的签名(数字签名)和/或证书。如果签名和/或证书的验证成功，则签名验证单元1555将与验证成功的签名和/或证书相关的信息登记在存储单元113等中存储的数据库中。如果签名和/或证书的验证失败，则签名验证单元1555可以取消认证处理。

随后将描述由被管理器具登记单元1505、被管理器具认证单元1551、签名生成单元1553、以及签名验证单元1555协同对被管理器具执行认证处理和登记处理的具体示例。

信息篡改检测单元的配置

接下来，将参考图24详细地描述信息篡改检测单元1513的配置。图24是用于解释信息篡改检测单元1513的配置的框图。

如图24所示，信息篡改检测单元1513还包括嵌入位置指定单元1561、电子水印提取单元1563、以及电子水印验证单元1565。

通过根据本实施例的局部电力管理系统1，可以将适于以下信息的电子水印数据嵌入到诸如电流、电压、温度、以及湿度的物理数据中，或者嵌入到使用这种物理数据计算出的多种信息中。通过验证电子水印数据，局部电力管理系统1中的设备和能够与局部电力管理系统1双向通信的多种类型服务器能够检测物理数据(在下文中物理数据包括使用物理数据计算出的多种信息)是否已被篡改。

嵌入位置指定单元1561由例如CPU、ROM、RAM等实现。通过对已经使用预定信号处理电路嵌入有电子水印的物理数据进行分析，嵌入位置指定单元1561根据与数据对应的信号的特征，指定电子水印信息的嵌入位置。当指定电子水印信息的嵌入位置时，嵌入位置指定单元1561向电子水印提取单元1563通知与指定的嵌入位置相关的信息。注意，如果在受控制器具125等与电力管理设备11之间预先确定了电子水印的嵌入位置，则不必执行对嵌入位置的指定处理。

电子水印提取单元1563由例如CPU、ROM、RAM等实现。电子水印提取单元1563基于与嵌入位置指定单元1561所提供的嵌入位置相关的信息，从物理数据提取电子水印信息。电子水印提取单元1563将从物理数据提取的电子水印转发至电子水印验证单元1565，这在随后描述。

电子水印验证单元1565由例如CPU、ROM、RAM等实现。电子水印验证单元1565首先基于与受控制器具125等共享的共享信息以及由电子水印提取单元1563提取的物理数据生成电子水印信息。为了生成电子水印信息，使用散列函数、伪随机数发生器、公开密钥加密、共有密钥加密、或其他加密原语(例如，消息认证码(MAC))等。此后，电子水印验证单元1565将所生成的电子水印信息与电子水印提取单元1563所提取的电子水印信息进行比较。

如果所生成的电子水印信息与所提取的电子水印信息相同，则电子水印验证单元1565判定由受控制器具125生成的物理数据等未被篡改。同时，如果所生成的电子水印信息与所提取的电子水印信息不同，则电子水印验证单元1565判定物理数据已经被篡改。

如果物理数据被篡改，则电子水印验证单元1565通知被排除器具指定单元1511。通过这样做，被排除器具指定单元1511能够从局部电力管理系统1中排除其操作已经被修改的受控制器具125等。

以上完成了器具管理单元1121的配置的详细描述。

(1-7)信息分析单元的配置

接下来，将详细地描述信息分析单元1123的配置。图25是用于解释信息分析单元的配置的框图。

信息分析单元1123是生成次级信息的处理单元，比如图8所示的信息分析单元，次级信息是多种数据的分析结果并且是基于由器具管理单元1121获取或生成的信息。如图25所示，例如，信息分析单元1123包括器具状态判定单元1601和电力状态判定单元1603。

器具状态判定单元1601由例如CPU、ROM、RAM等实现。基于由器具管理单元1121获取的多种被管理器具信息，器具状态判定单元1601判定各个被管理器具的器具状态。当作为判定的结果，被管理器具的状态被判定为异常时，器具状态判定单元1601经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理器具。

电力状态判定单元1603由例如CPU、ROM、RAM等实现。电力状态判定单元1603基于由器具管理单元1121从多个设备获取的电力信息，来判定其电力状态由电力管理设备11管理的局部电力管理系统1中的电力状态。当作为判定结果，被管理器具的状态被判定为异常时，电力状态判定单元1603经由显示单元116向用户通知异常，并且还请求控制单元115控制被判定为处于异常状态的被管理器具。

以上完成了根据本实施例的电力管理设备11的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平适当地改变所使用的配置。

注意，用于实现根据以上实施例的电力管理设备的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供其上存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-8)受控制器具的配置

接下来，将参考图26详细地描述根据本实施例的受控制器具的配置。图26是用于解释根据本实施例的受控制器具的配置的框图。

如图26所示，受控制器具125主要包括控制单元2001、传感器2003、蓄电池2005、功能提供单元2007、局部通信单元2009、输入单元2011、显示单元2013、存储单元2015等。

控制单元2001由例如CPU、ROM、RAM等实现。控制单元2001是执行对设置在受控制器具125中的处理单元的执行控制的处理单元。如先前所述，控制单元2001还将与受控制器具125相关的初级信息等发送至电力管理设备11。另外，当已经从暂时登记了受控制器具125的电力管理设备接收到供电时，控制单元2001生成电力使用证书，如随后所述。注意，控制单元2001的配置将在随后描述。

传感器2003由监控蓄电池状态的电流传感器或电压传感器、或者监控受控制器具125的安装位置处的周围环境的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于由控制单元2001的控制，传感器2003以指定时间间隔或在任意时机测量多种物理数据，并且将所获得的物理数据作为传感器信息输出至控制单元2001。

蓄电池2005是设置在受控制器具125中的电力存储设备，由一个或多个电池(cell)构成，并且提供受控制器具125操作所需的电力。电力由外部电力或存在于系统1中的发电设备129、130提供给蓄电池2005，并被存储在蓄电池2005中。蓄电池2005由控制单元2001控制，并且以指定时间间隔或在任意时机将多种物理数据作为蓄电池信息输出至控制单元2001。

注意，虽然图26示出了受控制器具125装配有蓄电池2005的示例，但是根据受控制器具125的类型，可以使用不设置蓄电池2005并且直接给受控制器具125提供电力的配置。

功能提供单元2007由例如CPU、ROM、RAM、以及多种器件等实现。功能提供单元2007是实现由受控制器具125提供给用户的指定功能(例如，做饭功能、制冷功能、或登记和执行多种内容的功能)的处理单元。功能提供单元2007基于控制单元2001的控制向用户提供这种功能。

局部通信单元2009由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2009是用于经由在局部电力管理系统1内构建的通信网络进行通信的通信设备。局部通信单元2009能够经由在局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

输入单元2011由例如CPU、ROM、RAM、以及输入器件等实现。输入单元2011是使用户能够输入信息的输入器具。注意，作为示例，键盘、按钮等被用作输入单元2011。还可以结合随后描述的显示单元2013和输入单元2011，以构建触摸面板。

显示单元2013由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2013是用于显示关于受控制器具125的电力消费的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示器件。注意，作为示例，LCD、ELD等被用作显示器件。

存储单元2015是设置在受控制器具125内的存储设备的一个示例。存储单元2015存储受控制器具125特有的识别信息、与受控制器具125所保存的多种密钥相关的信息、由受控制器具125保存的多种数字签名和/证书等。多种历史信息也可以记录在存储单元2015中。另外，当根据本实施例的受控制器具125执行处理时应该被存储的处理的多种参数和中间进展或多种数据库等，被适当地记录在存储单元2015中。受控制器具125的多种处理单元还能够自由地对存储单元2015进行读取和写入。

控制单元的配置-部分1

以上完成了根据本实施例的受控制器具125的总体配置的描述。现在将参考图27详细地描述受控制器具125的控制单元2001的配置。

如图27所示，受控制器具125的控制单元2001包括：认证处理单元2021、传感器控制单元2023、传感器信息输出单元2025、蓄电池控制单元2027、以及蓄电池信息输出单元2029。

认证处理单元2021由例如CPU、ROM、RAM等实现。认证处理单元2021与电力管理设备11一起基于指定协议执行认证处理，并且还执行将受控制器具125登记在电力管理设备11中的处理。当与电力管理设备11执行处理时，认证处理单元2021能够使用存储在存储单元2015等中的多种密钥、当制造受控制器具125时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2021执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2023由例如CPU、ROM、RAM等实现。传感器控制单元2023是对设置在受控制器具125中的传感器2003进行控制的处理单元。传感器控制单元2023根据指定方法执行对传感器2003的控制，以指定时间间隔或在任意时机获取由传感器2003测量的物理数据，并且将物理数据输出至传感器信息输出单元2025，随后描述。

传感器信息输出单元2025由例如CPU、ROM、RAM等实现。传感器信息输出单元2025经由局部通信单元2009将从传感器控制单元2023输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2025还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2025可以使用从传感器控制单元2023获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

蓄电池控制单元2027由例如CPU、ROM、RAM等实现。蓄电池控制单元2027是对设置在受控制器具125中的蓄电池2005进行控制的处理单元。蓄电池控制单元2027使用存储在蓄电池2005中的电力以使受控制器具125起作用，并且根据状态，将存储在蓄电池2005中的电力提供至受控制器具125的外部。蓄电池控制单元2027根据指定方法执行对蓄电池2005的控制，以指定时间间隔或在任意时机获取由蓄电池2005测量的物理数据，并将物理数据输出至蓄电池信息输出单元2029，如随后描述。

蓄电池信息输出单元2029由例如CPU、ROM、RAM等实现。蓄电池信息输出单元2029经由局部通信单元2009将从蓄电池控制单元2027输出的蓄电池信息输出至电力管理设备11。当输出蓄电池信息时，蓄电池信息输出单元2029还可以实现预处理，诸如降噪处理和数字化处理。蓄电池信息输出单元2029还可以使用从蓄电池控制单元2027获取的信息来生成多种次级信息，并且将次级信息作为蓄电池信息输出。

控制单元的配置-部分2

受控制器具125的控制单元2001可以具有以下描述的配置，代替图27中所示的配置。现在将参考图28详细地描述设置在受控制器具125中的控制单元2001的另一种配置。

如图28所示，受控制器具125的控制单元2001可以包括：认证处理单元2021、传感器控制单元2023、蓄电池控制单元2027、以及篡改检测信息生成单元2031。

由于图28中所示的认证处理单元2021具有与图27中所示的认证处理单元2021相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器控制信息和蓄电池信息输出至篡改检测信息生成单元2031之外，图28中所示的传感器控制单元2023和蓄电池控制单元2027具有与图27中所示的相应处理单元相同的配置并且实现相同的效果。因此，省略其详细描述。

篡改检测信息生成单元2031由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2031基于从传感器控制单元2023输出的传感器信息和从蓄电池控制单元2027输出的蓄电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2031经由局部通信单元2009将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可以将由篡改检测信息生成单元2031生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器，诸如，分析服务器34。

篡改检测信息生成单元的配置

现在将参考图29描述篡改检测信息生成单元2031的详细配置。图29是用于解释篡改检测信息生成单元的配置的框图。

如图29所示，篡改检测信息生成单元2031进一步包括：器具特征信息生成单元2033、电子水印生成单元2035、嵌入位置决定单元2037、以及电子水印嵌入单元2039。

器具特征信息生成单元2033由例如CPU、ROM、RAM等实现。器具特征信息生成单元2033基于从传感器控制单元2023和蓄电池控制单元2027输出的传感器信息和蓄电池信息，来生成器具特征信息，器具特征信息是表征受控制器具125的特征量信息。器具特征信息生成单元2033可以使用传感器信息和蓄电池信息本身作为器具特征信息，或者可以将使用传感器信息和蓄电池信息来新生成的信息用作器具特征信息。器具特征信息生成单元2033将所生成的器具特征信息输出至嵌入位置决定单元2037和电子水印嵌入单元2039，这在随后描述。

注意，器具特征信息生成单元2033可以在生成器具特征信息之前，验证输入的传感器信息和蓄电池信息。在这种情况下，器具特征信息生成单元2033可以参考存储在存储单元2015等中的数据库等，来获取物理数据(诸如，传感器信息和蓄电池信息)的取值范围，并且判定所获得的物理数据是否出现在该范围内。另外，器具特征信息生成单元2033可以分析所获取的物理数据，并且确认受控制器具125没有呈现异常行为。如果器具特征信息生成单元2033通过执行这样的验证检测出异常行为或者物理数据的有效性被确认，则器具特征信息生成单元2033可以经由显示单元2013向用户通知这种状态。

电子水印生成单元2035由例如CPU、ROM、RAM等实现。电子水印生成单元2035使用在受控制器具125和电力管理设备11或外部服务器如分析服务器34之间被共享的共享信息(诸如与密钥信息和标识号相关的信息)，以生成将被用作篡改检测信息的电子水印信息。

作为示例，由电子水印生成单元2035生成的电子水印信息可以使用共享信息本身、基于共享信息生成的随机数串、利用受控制器具125特有的唯一值(诸如ID信息)生成的信息等来生成。如果生成和嵌入电子水印信息或者嵌入电子水印信息本身的方法不被第三方所知，则可以通过使用利用这种信息所生成的电子水印信息来检测对信息的篡改。

还可以经由电力管理设备11将嵌入了由以下方法生成的电子水印信息的物理数据转发至诸如分析服务器34的外部服务器。同时，还存在用作中间设备的电力管理设备11被恶意第三方等接管的危险。在这种情况下，接管电力管理设备11的该第三方可能从事非法行为，诸如重新使用接管之前的篡改检测信息，以防止外部服务器的真正用户、管理者等注意到该接管。为此，除了以上描述的信息之外还通过使用时间信息定期地生成电子水印信息，电子水印生成单元2035能够检测诸如电力管理设备11以上述方式被接管的现象。

为了生成电子水印信息，电子水印生成单元2035能够使用多种技术，诸如散列函数、公开密钥加密、随机数发生器、共有密钥加密、另一加密原语(MAC)等。在这种情况下，被输出的电子水印信息的数据尺寸被设置为m个比特。

这样，根据本实施例的电子水印生成单元2035使用物理数据生成电子水印信息，并且不使用物理数据本身作为电子水印信息。

电子水印生成单元2035将所生成的电子水印信息输出至电子水印嵌入单元2039，这在随后描述。

嵌入位置决定单元2037由例如CPU、ROM、RAM等实现。嵌入位置决定单元2037分析从器具特征信息生成单元2033转发的器具特征信息，并确定篡改检测信息在器具特征信息中的嵌入位置。更具体地，嵌入位置决定单元2037决定将在器具特征信息中具有等于或大于指定阈值的大值的区域、具有高离差的区域、与噪声区域对应的区域、当频域上的数据被处理时的高频域等作为嵌入位置。如果电子水印信息被嵌入到数据的某个区域如具有高噪声的区域和具有高SN比的区域中，则对器具特征信息的总体倾向(例如，统计特性)基本没有影响。这意味着，通过使用这种区域作为电子水印信息的嵌入位置，不必独立于器具特征信息发送电子水印信息，并且甚至仅具有用于接收器具特征信息的功能的电力管理设备11都可以检测篡改。

嵌入位置决定单元2037将与所决定的嵌入位置相关的位置信息输出至电子水印嵌入单元2039，随后描述。注意，当电子水印信息的嵌入位置被预先决定时，不需要执行该处理。

电子水印嵌入单元2039由例如CPU、ROM、RAM等实现。电子水印嵌入单元2039基于从嵌入位置决定单元2037接收的与嵌入位置相关的位置信息，将由电子水印生成单元2035生成的电子水印信息嵌入到器具特征信息生成单元2033所生成的器具特征信息中。通过这样做，生成嵌入有电子水印信息的器具特征信息。

电子水印嵌入单元2039可以再次对嵌入有电子水印信息的器具特征信息进行验证。通过执行这样的验证，在该信息包括超过器具特征信息的取值范围的值时，或者在异常行为被清楚地指示时，篡改检测信息生成单元2031可以重复嵌入电子水印信息的处理。而且，当嵌入尝试的次数等于或高于预定阈值时，电子水印嵌入单元2039可以经由显示单元2013通知用户。

注意，当时间信息被用于不仅验证信息是否被篡改，还验证电力管理设备11是否被接管时，这种时间信息可以被结合作为上述电子水印信息的一部分，或者这种时间信息可以独立于电子水印信息而被嵌入到器具特征信息中。

以上完成了根据本实施例的受控制器具125的功能的一个示例的描述。上述多种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主流技术水平，适当地改变所使用的配置。

例如，在图26中，示出蓄电池2005与受控制器具125整体地形成的情况，但是蓄电池还可以独立于受控制器具125形成。

而且，除了图26中所示的处理单元之外，受控制器具125可以进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力管理设备的功能的计算机程序可以被创建并安装在个人计算机等中。还可以提供存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-9)电力存储设备的配置

接下来，将参考图30详细地描述根据本实施例的电力存储设备128的配置。图30是用于解释根据本实施例的电力存储设备的配置的框图。

如图30所示，电力存储设备128主要包括：控制单元2501、传感器2503、电池2505、局部通信单元2507、显示单元2509、存储单元2511等。

控制单元2501由例如CPU、ROM、RAM等实现。控制单元2501是执行对设置在受控制器具125中的处理单元的执行控制的处理单元。控制单元2501还将与受控制器具125相关的先前描述的初级信息等发送至电力管理设备11。此外，如果稍后描述的电池2505中出现问题如损坏，则控制单元2501执行对电池的重配置(电池配置的重排)。注意，随后将详细描述控制单元2501的配置。

传感器2503由对电池2505的状态进行监控的电流传感器或电压传感器、或者对电力存储器件128的安装位置处的周围环境进行监控的能够获取多种物理数据的传感器(诸如温度传感器、湿度传感器、气压计等)构成。基于控制单元2501进行的控制，传感器2503以指定时间间隔或在任意时机测量多种物理数据，并将所获得的物理数据作为传感器信息输出至控制单元2501。

电池2505是设置在电力存储设备128中的电力存储器具，由一个或多个电池构成，并且给电力存储设备128以及设置在电力存储设备128外部的设备供电。电力由外部电力或存在于系统1中的发电设备129、130提供给电池2505并且被存储在电池2505中。电池2505由控制单元2501控制，并且以指定时间间隔或任意时机，将多种物理数据作为电池信息输出至控制单元2501。

局部通信单元2507由例如CPU、ROM、RAM、以及通信装置等实现。局部通信单元2507是用于经由局部电力管理系统1内构建的通信网络进行通信的通信设备。局部通信单元2507能够经由局部电力管理系统1内构建的通信网络与根据本实施例的电力管理设备11通信。

显示单元2509由例如CPU、ROM、RAM、以及输出设备等实现。显示单元2509是用于显示关于电力存储设备128的电力消费的信息、用户信息、记账信息、与电力管理相关的其他信息、与局部电力管理系统1外部的电力管理相关的信息、与电力交易相关的信息等的显示器件。注意，作为示例，LCD、ELD等被用作显示器件。

存储单元2511是设置在电力存储设备128内的存储设备的一个示例。存储单元2511存储电力存储设备128特有的识别信息、与电力存储设备128所保存的多种密钥相关的信息、由电力存储设备128保存的多种数字签名和/证书等。多种历史信息也可以被记录在存储单元2511中。另外，当根据本实施例的电力存储设备128执行处理时应该被存储的处理的多种参数和中间进展或多种数据库等，被适当地记录在存储单元2511中。电力存储设备128的多种处理单元还能够自由地对存储单元2511进行读取和写入。

控制单元的配置-部分1

以上完成了根据本实施例的电力存储设备128的总体配置的描述。现在将参考图31详细地描述电力存储设备128的控制单元2501的配置。

如图31所示，电力存储设备128的控制单元2501包括：认证处理单元2521、传感器控制单元2523、传感器信息输出单元2525、电池控制单元2527、以及电池信息输出单元2529。

认证处理单元2521由例如CPU、ROM、RAM等实现。认证处理单元2521与电力管理设备11一起基于指定协议执行认证处理，并且还执行将电力存储设备128登记在电力管理设备11中的处理。当执行与电力管理设备11之间的处理时，认证处理单元2521能够使用存储在存储单元2511等中的多种密钥、制造电力存储设备128时由制造商提供的数字签名或证书、以及多种参数等。由认证处理单元2521执行的认证处理不限于任何指定处理，并且可以根据系统1的内容和配置使用任意处理。

传感器控制单元2523由例如CPU、ROM、RAM等实现。传感器控制单元2523是控制设置在电力存储设备128中的传感器2503的处理单元。传感器控制单元2523根据指定方法执行对传感器2503的控制，以指定时间间隔或在任意时机，获取由传感器2503测量到的物理数据，并且将物理数据输出至传感器信息输出单元2525，随后描述。

传感器信息输出单元2525由例如CPU、ROM、RAM等实现。传感器信息输出单元2525经由局部通信单元2507将从传感器控制单元2523输出的传感器信息输出至电力管理设备11。当输出传感器信息时，传感器信息输出单元2525还可以实现预处理，诸如降噪处理和数字化处理。传感器信息输出单元2525可以使用从传感器控制单元2523获取的信息，来生成多种类型的次级信息，并将这种信息作为传感器信息输出。

电池控制单元2527由例如CPU、ROM、RAM等实现。电池控制单元2527是控制设置在电力存储设备128中的电池2505的处理单元。电池控制单元2527使用存储在电池2505中的电力以使电力存储设备128起作用，并且根据状态，将存储在电池2505中的电力提供至电力存储设备128的外部。电池控制单元2527根据指定方法执行对电池2505的控制，以指定时间间隔或在任意时机获取由电池2505测量的物理数据，并将物理数据输出至电池信息输出单元2529，如随后描述。

电池信息输出单元2529由例如CPU、ROM、RAM等实现。电池信息输出单元2529经由局部通信单元2507将从电池控制单元2527输出的电池信息输出至电力管理设备11。当输出电池信息时，电池信息输出单元2529还可以实现预处理，诸如降噪处理和数字化处理。电池信息输出单元2529还可以使用从电池控制单元2527获取的信息来生成多种类型的次级信息，并且将这种信息作为电池信息输出。

控制单元的配置-部分2

电力存储设备128的控制单元2501可以具有以下描述的配置，代替图31中所示的配置。现在将参考图32详细地描述设置在电力存储设备128中的控制单元2501的另一种配置。

如图32所示，电力存储设备128的控制单元2501可以包括：认证处理单元2521、传感器控制单元2523、电池控制单元2527、以及篡改检测信息生成单元2531。

由于图32中所示的认证处理单元2521具有与图31中所示的认证处理单元2521相同的配置并且实现相同的效果，所以省略其详细描述。类似地，除了将传感器控制信息和电池信息输出至篡改检测信息生成单元2531之外，图32中所示的传感器控制单元2523和电池控制单元2527具有与图31中所示的相应处理单元相同的配置并且实现相同的效果。因此，省略其详细描述。

篡改检测信息生成单元2531由例如CPU、ROM、RAM等实现。篡改检测信息生成单元2531基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息，生成用于检测信息是否已被篡改的篡改检测信息。篡改检测信息生成单元2531经由局部通信单元2507将所生成的篡改检测信息发送至电力管理设备11。电力管理设备11还可以将篡改检测信息生成单元2531所生成的篡改检测信息转发至设置在局部电力管理系统1外部的多个服务器，诸如分析服务器34。

篡改检测信息生成单元的配置

现在将参考图33描述篡改检测信息生成单元2531的详细配置。图33是用于解释篡改检测信息生成单元的配置的框图。

如图33所示，篡改检测信息生成单元2531进一步包括：器具特征信息生成单元2533、电子水印生成单元2535、嵌入位置决定单元2537、以及电子水印嵌入单元2539。

除了基于从传感器控制单元2523输出的传感器信息和从电池控制单元2527输出的电池信息生成器具特征信息之外，器具特征信息生成单元2533具有与图29中所示的器具特征信息生成单元2033相同的功能并且实现相同的效果。因此，省略其详细描述。

此外，电子水印生成单元2535、嵌入位置决定单元2537以及电子水印嵌入单元2539具有与图29中所示的相应处理单元相同的功能并且实现相同的效果。因此，省略其详细描述。

以上完成了根据本实施例的电力存储设备128的功能的一个示例的描述。上述各种组成元件可以使用通用部件和电路来配置，或者可以使用专用于各个组成元件的功能的硬件来配置。可替换地，各个组成元件的功能均可以由CPU等来执行。从而，可以根据当实现本实施例时的主导技术水平，适当地改变所使用的配置。

例如，除了图30中所示的处理单元之外，电力存储设备128可以进一步包括诸如广域通信单元的通信功能。

注意，用于实现根据以上实施例的电力存储设备的功能的计算机程序可以被创建并安装在具有电力存储设备的个人计算机等中。还可以提供存储有计算机程序的计算机可读记录介质。作为示例，记录介质可以为磁盘、光盘、磁光盘、或闪存。上述计算机程序还可以例如经由网络分布，而不使用记录介质。

(1-10)嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例

现在将详细地描述嵌入电子水印信息的方法和验证电子水印信息的方法的具体示例。

在智能、网络化、以及数字化的局部电力管理系统1中，电力管理设备11与多种器具和蓄电池交流该系统中各个器具的电力使用，以最优化整个系统中的电力使用。通过这样做，电力管理设备11监控来自各个器具/蓄电池的传感器信息以及状态如日期/时间、电价、温度、以及用户是在家还是外出，并且根据这种状态执行控制，诸如设置操作模式和各个器具的最大电流。还可能受益于多种服务，诸如经由电力管理设备11从家庭外部进行控制，以制定由安全检验服务器支持的高度安全措施，并且最优化。

当这样做时，由于可以从外部对器具和蓄电池进行访问，所以增加了安全威胁，诸如，发送至器具或蓄电池的异常操作命令，从另一电力管理设备发动的对家用电力管理设备或器具或蓄电池的攻击，DoS攻击，以及信息泄露。对这种威胁的可能对策包括：由电力管理设备11进行业务管理、防病毒措施、以及安装防火墙。为了对付未知攻击，假设用于器具或蓄电池的传感器信息和执行命令信息被发送至诸如分析服务器34的安全检验服务器，并且物理仿真或学习理论被用于估计危害程度和/或检测非法使用。

然而，由于这种对策以电力管理设备正常操作为前提，当电力管理设备11的控制功能受到外部攻击者危害时，这种防御将会无效。而且，由于制造和管理成本导致的器具和蓄电池很可能具有相对弱的防御性，在电力管理设备11的控制功能受到危害的情况下，可以想象，器具和蓄电池是无防御的。另外，虽然可以想到非法电力管理设备用作合法电力管理设备、篡改物理数据、并且将这种数据发送至安全检验服务器的攻击，但是由于对于服务来说很难区分非法电力管理设备和合法电力管理设备，所以很难检测这种攻击。由于与对计算机的传统攻击相比，对器具或蓄电池的攻击具有导致主要危害的更高风险，所以必须不仅给电力管理设备而且还要给器具和电池提供特定级别的安全功能。

为此，在本实施例中，如先前所描述的，可以将用于防止非法篡改的电子水印插入到从器具和蓄电池的传感器等获取的物理数据中。通过使用这种方法，甚至当物理数据在通信路径上被攻击者篡改时，仍可以检测到攻击。而且，甚至当电力管理设备的控制功能受到危害时，通过将包括时间信息的电子水印信息定期地发送至安全检验服务器，可以通过与服务的协作检测到控制功能已经受到危害。另外，通过使用电子水印信息，不必独立于物理数据而发送认证信息，诸如MAC，这使得可以使用仅能够接收物理数据的电力管理设备。

现在将通过更特别地给出一个示例来描述嵌入电子水印信息的方法和验证电子水印信息的方法。注意，在以下解释中，假设电子水印信息被嵌入到在特定时间获得的物理数据(器具特征信息)中。物理数据是由n个数据构成的时序数据，并且在时间k(其中，0≤k≤n-1)处的物理数据值被表达为X_k。在被从传感器等获取之后，在各时间处的物理数据值经过离散化，并且被设置为r比特数据。电子水印信息的数据尺寸被设置为m比特。

嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法

现在将通过给出具体示例来描述嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。

具体示例1

首先，将描述由受控制器具125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，从作为物理数据的器具特征信息等中选择具有大值的p个数据。此后，电子水印嵌入单元2039使用指定嵌入处理电路等，相继地将基于共享信息生成的电子水印信息按照时序顺序插入到从所选择的p个器具特征信息的最低有效位(LSB)开始数起的q(k)比特部分中。在此，q(k)为满足以下给定的条件的值。

表达式1

1≤q(k)≤r-1，0≤k≤p-1， $\underset{k=0}{\overset{p-1}{\mathrm{\Σ}}}q\left(k\right)=m$ (条件a)

在一些情况下，在电子水印信息被嵌入之后的所选择的p个器具特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的器具特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值低于嵌入p个电子水印信息之后的器具特征信息中的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到满足条件为止。

接下来，将描述通过电力管理设备11的信息篡改检测单元或者安全检验服务器(诸如分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定信号处理电路等，来从作为物理数据的器具特征信息等中指定具有最大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息以及指定嵌入提取电路等，连续地按照时序提取从所选择的p个器具特征信息的LSB开始数起的q(k)个比特的值。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并将所生成的信息与电子水印提取单元提取的电子水印信息进行比较。

具体示例2

首先，将描述由受控制器具125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，来执行由以下公式101表达的离散傅立叶变换或者由以下公式102表达的离散余弦变换，以将时域中的器具特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域的数据串(Y₀，Y₁，...，Y_n-1)。

表达式2

$y_j=\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k{e}^{-\frac{2\mathrm{\πi}}{n}\mathrm{jk}},$ j＝0，…，n-1 ...(公式101)

$y_j=\left\{\begin{array}{cc}\frac{\sqrt{2}}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k& (j=0)\\ \frac{2}{n}\underset{k=0}{\overset{n-1}{\mathrm{\Σ}}}{x}_k\frac{(2k+1)\mathrm{j\π}}{2n}& (j\≠0)\end{array}\right.$ ...(公式102)

此后，嵌入位置决定单元2037从高频率中按照顺序选择p个高频分量(即，在公式101和102中j很大的分量)。接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位LSB开始数起的q(k)比特部分中。在此，“q(k)”是满足以上给定条件的值。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如给实数和复数均等地指派优先级，或者给大值指派优先级。

接下来，电子水印嵌入单元2039使用指定信号处理电路等，以使嵌入电子水印信息之后的频域数据经受由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将该数据恢复为时域中的数据串。

表达式3

$x_k=\frac{1}{n}\underset{j=0}{\overset{n-1}{\mathrm{\Σ}}}{\text{y}}_j{e}^{\frac{2\mathrm{\πi}}{n}\mathrm{jk}},$ k＝0，…，n-1 ...(公式103)

$x_k=\frac{1}{\sqrt{2}}{y}_0+\underset{j=1}{\overset{n-1}{\mathrm{\Σ}}}{y}_j\cos \frac{(2k+1)\mathrm{j\π}}{2n},$ k＝0，…，n-1 ...(公式104)

接下来，将描述通过电力管理设备11的信息篡改检测单元或安全检验服务器(诸如分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的器具特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频率中按照顺序选择p个高频分量(即，在公式101和102中j很大的分量)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，并且使用预定嵌入提取电路等相继地提取从所选择的p个器具特征信息的最低有效位LSB开始数起的q(k)比特值。然后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

具体示例3

首先，将描述由受控制器具125等执行的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的器具特征信息生成单元2033基于器具特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置决定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和低于指定阈值σ，并且所选p-1个数据在满足这种条件的连续数据串中具有最高平方和。

此后，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息以时序顺序相继地插入从所选择的p个器具特征信息X_k(t-1≤k≤t+p-2)的最低有效位LSB开始数起的q(k)比特部分。在此，“q(k)”是满足以上给定条件的值。

关于嵌入电子水印信息之后的p个所选择的器具特征信息的连续差量数据，可能存在总和不再低于阈值σ和/或平方和不再是满足这种条件的连续数据串中的最高者的情况。在这种情况下，篡改检测信息生成单元2031的器具特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得以上给定的条件为真(true)。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到以上条件正确为止。

接下来，将描述由电力管理设备11和安全检验服务器(诸如，分析服务器34)的信息篡改检测单元执行的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成用于器具特征信息X_k的差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，其中，p-1连续差值数据的总和低于预定阈值σ，并且平方和是满足这种条件的连续数据串中的最高者。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定嵌入提取电路等，按照时序顺序相继地提取从所选择的p个器具特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。接下来，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法

以上描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法。接下来，将通过给出具体示例来描述嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法。

注意，由于使用共享信息和时间信息的电子水印信息还可以用于检测电力管理设备11是否被接管，因此这种信息的验证通过诸如分析服务器34的安全检验服务器来正常地执行。

注意，当验证使用时间信息的电子水印信息时，安全检验服务器比如分析服务器34根据时间信息如何被嵌入来改变验证方法。即，如果时间信息与电子水印信息一起被嵌入，则嵌入的时间信息被提取并且在验证期间用于数据生成处理。如果未嵌入时间信息，则使用预先决定的时间信息或者基于为器具特征信息估计的获取时间而选择的多个时间信息，来生成电子水印信息。

具体示例1

首先，将描述由受控制器具125执行的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的电子水印生成单元2035使用指定电路等，基于从n个器具特征信息(物理数据)的最高有效位(MSB)开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及在一些情况下的其他信息，生成用于每个器具特征信息的m比特电子水印信息。

此后，嵌入位置决定单元2037使用指定嵌入电路等，以将为每个器具特征信息生成的电子水印信息嵌入从器具特征信息的LSB开始的m比特部分。在这种情况下，整个电子水印信息的数据尺寸为nm比特。

接下来，将描述由安全检验服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

首先，信息篡改检测单元的电子水印提取单元使用指定嵌入提取电路，以提取从n个器具特征信息中的每个的LSB开始数起的m比特数据作为电子水印信息。接下来，电子水印验证单元基于从n个器具特征信息的MSB开始数起的r-m(1≤m≤r-1)比特串、诸如密钥信息的共享信息、时间信息、以及由嵌入侧使用的数据，生成用于每个器具特征信息的m比特电子水印信息。此后，电子水印验证单元基于存储在存储单元等中的共享信息(诸如，密钥信息)生成电子水印信息，并且将所生成的电子水印信息与电子水印提取单元所提取的电子水印信息进行比较。

注意，虽然在以上说明中描述了时域中的数据，还可以使用关于频域数据的相同方式，该频域数据是通过经由离散傅立叶逆变换或离散余弦变换来转换器具特征信息(诸如，物理数据)来生成的。

具体示例2

首先，将描述由受控制器具125实现的嵌入电子水印信息的方法。

篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，从作为物理数据的器具特征信息等中选择具有大值的p个数据。

此后，电子水印生成单元2035基于除了从所选择的p个器具特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将所生成的电子水印信息按照时序顺序相继地插入从所选择的p个器具特征信息的LSB开始数起的q(k)比特部分中。

在一些情况下，嵌入电子水印信息之后的所选择的p个器具特征信息的值等于或小于从第p+1个数据起的值。在这种情况下，篡改检测信息生成单元2031的器具特征信息生成单元2033校正除电子水印信息的嵌入位置之外的数据，使得从第p+1个值起的值低于嵌入p个电子水印信息之后器具特征信息的最低值。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到条件满足为止。

接下来，将描述由安全检测服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元使用指定信号处理电路等，在作为物理信息的器具特征信息等中指定具有大值的p个数据位置。接下来，电子水印提取单元使用表示指定数据位置的位置信息和指定嵌入提取电路等，按照时序顺序相继地提取从所选择的p个器具特征信息的LSB开始数起的q(k)比特的值。

接下来，电子水印验证单元基于未嵌入电子水印信息的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将电子水印提取单元所提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例3

首先，将描述由受控制器具125实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的嵌入位置决定单元2037使用指定信号处理电路等，来执行由以上公式101表达的离散傅立叶变换或者由以上公式102表达的离散余弦变换，以将时域中的器具特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。

此后，嵌入位置决定单元2037从高频率中按照顺序选择p个高频分量(即，在公式101和102中j很大的分量)。

此后，电子水印生成单元2035基于除从所选择的p个器具特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

在此，作为当使用离散傅立叶变换时的嵌入方法，可以使用任意方法，诸如均等地给实数和复数指派优先级，或者给大值指派优先级。

接下来，电子水印嵌入单元2039使用指定信号处理电路等，使嵌入电子水印信息之后的频域数据经受由公式103表达的离散傅立叶逆变换或者由公式104表达的离散余弦逆变换，以将数据恢复为时域中的数据串。

接下来，将描述通过安全服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先使用指定信号处理电路等，执行由以上公式101表达的离散傅里叶变换或者由以上公式102表达的离散余弦变换，以将时域中的器具特征信息(物理数据)(X₀，X₁，...，X_n-1)变换为频域中的数据串(Y₀，Y₁，...，Y_n-1)。接下来，嵌入位置指定单元从高频率中按照顺序选择p个高频分量(即，在公式101和102中j很大的分量)。通过这样做，可以指定电子水印信息嵌入的位置。此后，电子水印提取单元使用表示指定数据的位置的位置信息，使用预定嵌入提取电路等，相继地提取从所选择的p个器具特征信息的最低有效位LSB开始数起的q(k)比特值。

接下来，电子水印验证单元基于电子水印信息未嵌入的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

具体示例4

首先，将描述由受控制器具125等实现的嵌入电子水印信息的方法。

首先，篡改检测信息生成单元2031的器具特征信息生成单元2033基于器具特征信息X_k生成差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置决定单元2037选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，使得p-1个连续差值数据的总和低于指定阈值σ，并且所选p-1个数据在满足这种条件的连续数据串中具有最高平方和。

此后，电子水印生成单元2035基于除从所选择的p个器具特征信息的LSB开始数起的q(k)比特之外的每个比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、以及在一些情况下的其他信息，生成m比特电子水印信息。在此，“q(k)”是满足以上给定条件的值。

接下来，电子水印嵌入单元2039使用指定嵌入处理电路等，将基于共享信息生成的电子水印信息相继地插入从所选择的p个频域数据的最低有效位(LSB)开始数起的q(k)比特部分中。

关于嵌入电子水印信息之后的p个所选择的器具特征信息的连续差值数据，可能存在总和不再低于阈值σ和/或平方和不再为满足这种条件的连续数据串中的最高者的情况。在这种情况下，篡改检测信息生成单元2031的器具特征信息生成单元2033校正除了电子水印信息的嵌入位置之外的数据，使得以上给定的条件真实。篡改检测信息生成单元2031基于校正后的值更新电子水印信息，并且重复嵌入处理，直到以上条件正确为止。

接下来，将描述由电力管理设备11的信息篡改检测单元和安全检验服务器(诸如，分析服务器34)的信息篡改检测单元实现的验证电子水印信息的方法。

信息篡改检测单元的嵌入位置指定单元首先生成用于器具特征信息X_k的差值数据S_k＝X_k-X_k-1(1≤k≤n-1)。接下来，嵌入位置指定单元选择p-1连续数据串S_k(t≤k≤t+p-2，1≤t≤n-p+1)，其中，p-1连续差值数据的总和低于预定阈值σ，并且平方和是满足这种条件的连续数据串中的最高者。通过这样做，可以指定嵌入电子水印信息的位置。

此后，电子水印提取单元使用表示指定数据的位置的位置信息和指定嵌入提取电路等，按照时序顺序相继地提取从所选择的p个器具特征信息X_k(t-1≤k≤t+p-2)的LSB开始数起的q(k)比特部分的值。

接下来，电子水印验证单元基于电子水印信息未嵌入的部分中的每比特(nr-m比特)、共享信息(诸如，密钥信息)、时间信息、由嵌入侧使用的数据，生成m比特电子水印信息。然后，电子水印验证单元将由电子水印提取单元提取的电子水印信息与已经生成的电子水印信息进行比较。

已经描述了嵌入使用共享信息的电子水印信息的方法和验证使用共享信息的电子水印信息的方法，以及嵌入使用共享信息和时间信息的电子水印信息的方法和验证使用共享信息和时间信息的电子水印信息的方法，同时给出了具体示例。通过在根据本实施例的局部电力管理系统1中使用这种方法，可以检测诸如信息是否已被篡改和电力管理设备是否已被接管的发展。

注意，虽然在以上解释中描述了将电子水印信息嵌入具有大值的区域中的情况，还可以实现当电子水印信息被嵌入具有高离差的区域、噪声区域等中时的相同处理。

(1-11)登记电力管理设备的方法

接下来，将参考图34和图35按照处理流程的顺序描述由电力管理设备11实现的登记电力管理设备的方法。图34是用于解释根据本实施例的登记电力管理设备的方法的流程图。图35是用于解释根据本实施例的登记电力管理设备的方法的具体示例的流程图。

首先，将参考图34描述电力管理设备11的登记方法的整体流程。

电力管理设备11的器具管理单元1121首先连接设置在局部电力管理系统1中的配电设备121(步骤S1001)。更特别地，器具管理单元1121从配电设备121获取当制造配电设备121时存储在配电设备121中的数字签名、证书等，并且自动地或经由在线识别来识别配电设备121。根据用于受控制器具125等的识别处理和登记处理的流程，来执行用于配电设备121的识别处理和登记处理，这在随后描述。

此后，器具管理单元1121将询问用户待登记信息(被登记信息)的内容的消息显示在设置于电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将登记信息的内容(诸如，图20中所示的信息)输入至电力管理设备11中。通过这样做，器具管理单元1121能够获取登记信息(步骤S1003)。

接下来，器具管理单元1121经由广域通信单元114连接至系统管理服务器33，并且由系统管理服务器33执行认证(步骤S1005)。虽然可以使用任意技术连接至系统管理服务器33并且执行认证处理，但作为一个示例，可以使用公开密钥加密。

在由系统管理服务器33执行的认证处理中，系统管理服务器33向电力管理设备11通知认证结果。器具管理单元1121参考所接收的认证结果，并且判定认证是否成功(步骤S1007)。

当由系统管理服务器33进行的认证处理失败时，器具管理单元1121确定写入认证结果中的出错内容(步骤S1009)。在登记信息不完整的情况(a)下，器具管理单元1121返回至步骤S1003，询问不完整登记信息的内容，并且获取正确内容。在登记信息并非不完整但认证失败的情况(b)下，器具管理单元1121连接至系统管理服务器33并且再次执行认证处理。而且，在认证失败连续反复的指定次数或更多的情况(c)下，器具管理单元1121取消对电力管理设备11的登记。

同时，当由系统管理服务器33执行的认证处理成功时，器具管理单元1121将所获取的登记信息正式地发送至系统管理服务器33(步骤S1011)，并且将电力管理设备11登记在系统管理服务器33的数据库中。

通过根据上述流程执行处理，电力管理设备11的器具管理单元1121能够将电力管理设备11本身登记在系统管理服务器33中。注意，当电力管理设备11的登记成功时，电力管理设备11定期地与系统管理服务器33进行通信并且检验当前状态。

登记电力管理设备的方法的具体示例

接下来，将参考图35描述登记电力管理设备的方法的具体示例。图35示出使用公开密钥加密来登记电力管理设备的方法的一个示例。

注意，假设在以下解释开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设，例如，电力管理设备特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已经由制造商存储在该设备中。另外，假设系统管理服务器33具有系统管理服务器33特有的公开密钥和秘密密钥。

当电力管理设备11的用户已执行开始用于电力管理设备的登记处理的操作时，器具管理单元1121的密钥生成单元1501使用公开参数来生成由公开密钥和秘密密钥构成的密钥对(步骤S1021)。密钥生成单元1501将所生成的密钥对存储在存储单元113等中。

接下来，系统登记单元1503对电力管理设备的识别信息、识别信息的数字签名、以及使用系统管理服务器33的公开密钥生成的公开密钥进行加密。此后，系统登记单元1503将所生成的密码作为证书发布请求，经由广域通信单元114发送至系统管理服务器33(步骤S1023)。

当获取从电力管理设备11发送的证书发布请求时，系统管理服务器33首先验证附加至数字签名的签名的有效性(步骤S1025)。更特别地，系统管理服务器33使用由服务器隐藏的秘密密钥，来验证附加至电力管理设备的识别信息的数字签名是否有效。

如果验证失败，则系统管理服务器33将表示认证失败的认证结果发送至电力管理设备11。同时，如果验证成功，则系统管理服务器33将电力管理设备11的识别信息添加至由系统管理服务器33存储的数据库中的被管理列表中(步骤S1027)。

接下来，系统管理服务器33发布用于由电力管理设备11生成的公开密钥的公开密钥证书(步骤S1029)，并且将所生成的公开密钥证书发送至电力管理设备11。

当接收到从系统管理服务器33发送的公开密钥证书时，电力管理设备11的系统登记单元1503验证公开密钥证书(步骤S1031)。如果公开密钥证书的验证成功，则系统登记单元1503将登记信息发送至系统管理服务器33(步骤S1033)。注意，使用加密通信来执行对登记信息的这种发送。

当接收到从电力管理设备11发送的登记信息时，系统管理服务器33将所接收到的登记信息登记在被管理列表中(步骤S1035)。通过这样做，由电力管理设备11和系统管理服务器33执行的用于登记电力管理设备11的处理被认为成功(步骤S1037)。

已经描述了用于登记电力管理设备11的具体示例。注意，上述登记方法的具体示例仅为一个示例，根据本实施例的登记处理不限于以上示例。

登记受控制器具的方法

接下来，将参考图36至图38描述将受控制器具125登记在电力管理设备11中的方法。图36是用于解释根据本实施例的登记受控制器具的方法的流程图。图37和图38是用于解释根据本实施例的登记受控制器具的方法的具体示例的流程图。

注意，将受控制器具125作为由电力管理设备11管理的被管理器具的一个示例，描述该登记方法。在将电动交通工具124、电力存储设备128、第一发电设备129、以及第二发电设备130登记在电力管理设备11时，以相同方式来执行以下描述的登记方法。

首先，将参考图36描述登记受控制器具125的方法的总体流程。

当未被登记的受控制器具125连接至由电力管理设备11管理的局部电力管理系统1时，电力管理设备11的器具管理单元1121检测到受控制器具125连接至系统(步骤S1041)。更具体地，电力管理设备11本身可以检测出受控制器具125被连接，或者配电设备121或电源插座(受控制插座123或插座扩展设备127)可以检测出受控制器具125被连接，并且通知电力管理设备11。作为该处理的结果，电力管理设备11能够掌握与受控制器具125所连接的插座相关的信息(位置信息)。

接下来，器具管理单元1121对新连接的受控制器具125进行认证处理。该认证处理可以使用任意技术来执行，例如，公开密钥加密。通过执行认证处理，器具管理单元1121从受控制器具125获取诸如图20中所示的信息。

如果受控制器具125的认证失败，则器具管理单元1121结束对受控制器具125的登记处理。注意，如果器具管理单元1121决定尝试对受控制器具125进行认证，而不是突然终止登记处理，处理可以返回至步骤S1043，重复进行认证处理。

同时，当受控制器具125的认证成功时，器具管理单元1121经由广域通信单元114将受控制器具125登记在系统管理服务器33中(步骤S1047)。接下来，器具管理单元1121向认证成功的受控制器具125发布签名(数字签名)、证书等(步骤S1049)。此后，器具管理单元1121将受控制器具125登记在存储单元113等中存储的管理数据库中(步骤S1051)。

登记受控制器具的方法的具体示例

接下来，将参考图37和图38描述登记受控制器具的方法的具体示例。图37和图38是使用公开密钥加密登记受控制器具的方法的示例。

注意，假设在以下解释开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设电力管理设备特有的识别信息(ID)和系统管理服务器33所生成的识别信息的数字签名已经例如由制造商存储在该设备中，并且假设由公开密钥和秘密密钥构成的密钥对也被存储在该设备中。还假设系统管理服务器33存储系统管理服务器33特有的公开密钥和秘密密钥。最后，假设受控制器具125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经例如由制造商存储在受控制器具125内。

首先，将参考图37描述最初登记受控制器具的方法的具体示例。

当受控制器具125连接至系统1时(更特别地，当受控制器具125连接至受控制插座123等时)(步骤S1061)，在随后描述的过程中，电力管理设备11的被管理器具登记单元1505检测出受控制器具125已经被连接(步骤S1063)。

接下来，被管理器具登记单元1505获取登记条件，诸如，图19中所示的优先级排序(步骤S1065)。更具体地，被管理器具登记单元1505将对用户询问登记条件的消息显示在电力管理设备11中所设置的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将登记条件(诸如，图19中所示的那些)输入至电力管理设备11中。

此后，被管理器具登记单元1505经由局部通信单元111将登记开始信号发送至受控制器具125(步骤S1067)。

接收到登记开始信号的受控制器具125的认证处理单元2021，将器具特有的识别信息(ID)和系统管理服务器33生成的数字签名作为器具登记请求发送至电力管理设备11(步骤S1069)。

接收到器具登记请求的被管理器具登记单元1505使用系统管理服务器33的公开密钥，来验证所接收的数字签名的有效性(步骤S1071)。当验证失败时，被管理器具登记单元1505将表示验证失败的验证结果发送至受控制器具125。同时，当验证成功时，被管理器具登记单元1505请求系统管理服务器33登记受控制器具125的识别信息和/或受控制器具125的器具信息(包括制造商名称、型号等)(步骤S1073)。

当接收登记请求时，系统管理服务器33确认包括在登记请求中的受控制器具125是否是合法器具(即，器具是否已经被登记)(步骤S1075)。当受控制器具125是合法器具时，系统管理服务器33将所接收的器具信息添加至存储在系统管理服务器33中的数据库中的被管理列表中(步骤S1077)。

此后，系统管理服务器33从由系统管理服务器33本身存储的多种数据库或者从属于制造商等的服务器，获取与所登记的受控制器具125的规格相关的信息(器具规格信息)，并且将所获取的信息发送至电力管理设备11(步骤S1079)。

然后，电力管理设备11的被管理器具登记单元1505使用由被管理器具登记单元1505本身保存的密钥，发布用于受控制器具的识别信息(ID)的签名(证书)。此后，被管理器具登记单元1505将所发布的签名与电力管理设备11的识别信息(ID)一起发送至受控制器具125(步骤S1083)。

受控制器具125的认证处理单元2021将所接收的签名和电力管理设备11的识别信息(ID)存储到指定位置，诸如存储单元2015中(步骤S1085)。电力管理设备11的被管理器具登记单元1505将受控制器具125的器具信息登记在存储单元113等中存储的管理数据库中(步骤S1087)。通过这样做，最初登记受控制器具125的处理被认为成功(步骤S1089)。

图37示出受控制器具125被正式登记(最初登记)在电力管理设备11中的处理。然而，作为一个示例，还可能存在用户想要将已经被登记在用户家的电力管理设备11中的受控制器具125暂时登记在朋友家设置的电力管理设备11中的情况。为此，根据本实施例的电力管理设备11设置有用于暂时登记最初已经登记在另一电力管理设备11中的受控制器具125的登记处理。现在参考图38描述暂时登记受控制器具125的处理。

注意，假设在以下解释开始之前，电力管理设备11已经根据任意方法公开地获取了可用系统参数(公开参数)。还假设电力管理设备特有的识别信息(ID)和由系统管理服务器33生成的识别信息的数字签名已经例如由制造商存储在该设备中，并且假设由公开密钥和秘密密钥构成的密钥对也被存储在该设备中。另外，还假设系统管理服务器33具有系统管理服务器33特有的公开密钥和秘密密钥。最后，假设受控制器具125特有的识别信息(ID)和由系统管理服务器33生成的数字签名已经例如由制造商存储在受控制器具125内，并且假设所登记的电力管理设备的识别信息(ID)和签名已经被存储在受控制器具125中。

当受控制器具125连接至系统1时(更特别地，当受控制器具125连接至受控制插座123等时)(步骤S1091)，在随后描述的过程中，电力管理设备11的被管理器具登记单元1505检测出受控制器具125已经被连接(步骤S1093)。

接下来，被管理器具登记单元1505获取登记条件，诸如，图19中所示的优先级排序(步骤S1095)。更特别地，被管理器具登记单元1505将询问用户登记条件的消息显示在设置在电力管理设备11中的显示单元116上。用户对设置在电力管理设备11中的输入单元117(诸如，触摸面板或键盘)进行操作，并且将登记条件(诸如，图19中所示的那些)输入至电力管理设备11中。

接下来，被管理器具登记单元1505经由局部通信单元111将登记开始信号发送至受控制器具125(步骤S1097)。

接收到登记开始信号的受控制器具125的认证处理单元2021，将所登记的电力管理设备11的识别信息(ID)、所提供的数字签名、以及受控制器具125特有的识别信息(ID)作为器具登记请求发送至电力管理设备11(步骤S1099)。

接收到器具登记请求的被管理器具登记单元1505检验受控制器具125特有的并且包括在器具登记请求中的识别信息(ID)(步骤S1101)。此后，基于受控制器具125特有的识别信息(ID)，被管理器具登记单元1505向系统管理服务器33请求受控制器具125的证书(步骤S1103)。

在确认请求证书的受控制器具125不是包括在过期列表中的器具时(步骤S1105)，系统管理服务器33将所请求的证书发送至电力管理设备11(步骤S1107)。

电力管理设备11的被管理器具登记单元1505验证受控制器具125所拥有的签名(从所登记的电力管理设备获取的签名)(步骤S1109)。当签名的验证成功时，被管理器具登记单元1505将受控制器具125暂时登记在电力管理设备11中(步骤S1111)。通过这样做，电力管理设备11能够暂时登记已经登记在另一电力管理设备11中的受控制器具125。

(1-13)受控制插座的登记方法

接着，参考图39，描述电力管理设备11中的受控制插座123的登记方法。图39是用于解释根据本实施例的受控制插座的登记方法流程图。

注意，尽管下面的描述以受控制插座123为例，但是可以以同样的方式对插座扩展设备127执行这种登记方法。

电力管理设备11的器具管理单元1121首先连接到配电设备121(步骤S1121)，并从配电设备121获取关于系统1中的插座的信息(步骤S1123)。“与插座相关的信息”的表述是指如下信息：诸如受控制插座或不受控制插座的指示、受控制插座的识别信息(ID)、生产者名称和型号、诸如电力供应量和电源限制等技术规格、系统内部插座的位置信息等等。

接着，器具管理单元1121的被管理器具登记单元1505与系统中存在的受控制插座建立连接(步骤S1125)。此后，被管理器具登记单元1505将已建立连接的受控制插座登记到存储单元113等中保存的管理数据库中(步骤S1127)。

接着，被管理器具登记单元1505确认电力供应控制方法和如图21所示的那些器具认证装置，并将这样的信息设置在管理数据库中。这样，当受控制器具125或不受控制器具126连接到受控制插座123时，电力管理设备11能够进行适当的电力供应控制和器具认证处理。

接着，被管理器具登记单元1505判断是否已对每个插座(受控制插座)执行了该处理(步骤S1131)。当存在未进行该处理的受控制插座时，被管理器具登记单元1505返回步骤S1125并继续该处理。当已经对每个受控制插座进行过该处理时，被管理器具登记单元1505正常结束该处理。

这完成了对于根据本实施例在局部电力管理系统1中登记各种设备的处理的描述。

(1-14)暂时登记的受控制器具的计帐处理

现在将参考图40和41，描述暂时登记的受控制器具的记账处理。图40是用于解释暂时登记的受控制器具的记账处理的图。图41是用于解释暂时登记的受控制器具的记账处理的流程图。

如上所述，可以设想如下状态：已在某个电力管理设备11中登记的受控制器具125被暂时登记在管理不同的局部电力管理系统1的另一个电力管理设备11中。当这样做时，可能生成如下情况：已暂时登记的受控制器具125在另一个电力管理设备11的控制下，从该不同的局部电力管理系统1接收电力供应。

这种情况如图40所示。如图40所示，属于局部电力管理系统#1的受控制器具#1已经在电力管理设备#1中登记。受控制器具#1已经从电力管理设备#1接收到电力管理设备#1的识别信息(ID_P1)和关于受控制器具#1的识别信息的电力管理设备#1的数字签名(sig(ID_P1))。这里，设想如下情况：受控制器具#1被暂时登记在由电力管理设备#2管理的局部电力管理系统#2(例如，公共电力供应站等)中，并且受控制器具#1从局部电力管理系统#2接收电力供应。这里，假定系统管理服务器33已经获得电力管理设备#1的识别信息(ID_P1)和电力管理设备#2的识别信息(ID_P2)。

对于这种电力使用费用而言，优选的方式是：向登记有受控制器具#1的电力管理设备#1计费，并且对于电力管理设备#1而言，优选的方式是：采用记账服务器32实现指定的记账处理。仅当该器具存储了公开密钥和私密密钥，并且这种信息未被存储，并且电力管理设备#2停止免费向受控制器具#1供应电力时，这种方案才有可能。注意，即使保存了由公开密钥和私密密钥组成的密钥对，可以依据已做的设置许可免费电力供应。

这种情况下的潜在问题是，当电力管理设备#1是非法设备时，即使通过电力管理设备#2向受控制器具#1供应电力，计费也可能是无效的。为此，在当前实施例中，在许可向受控制器具#1电力供应之前，电力管理设备#2确认电力管理设备#1的有效性，并确认受控制器具#1已正式登记到电力管理设备#1中。即使电力管理设备#2免费电力供应，为了安全也应优选进行这种确认操作。也就是说，无论何时供应电力，电力管理设备#2都使电力使用力管理设备#1的签名和/或证书等来验证电力管理设备#1和受控制器具#1之间的关系，并且电力管理设备#2还查询系统管理服务器33以检查电力管理设备#1和受控制器具#1的有效性。

此外，在当前实施例中，如以下参考图41所述，关于计费，通过将电力供应与官方证明电力已被使用的电力使用证书的交换相结合的方式，能够实现一种安全的记账处理。

现在将参考图41描述已暂时登记的受控制器具的记账处理的流程。注意，以下处理主要由受控制器具125的控制单元2001和电力管理设备11的器具管理单元1121执行。

首先，受控制器具#1请求电力管理设备#2执行认证处理(步骤S1141)。当请求认证时，受控制器具#1将电力管理设备#1的识别信息(ID_P1)、受控制器具#1的识别信息(ID_d1)以及受控制器具#1中保存的ID_P1和ID_d1的数字签名发送到电力管理设备#2。

电力管理设备#2检查已收到的受控制器具的识别信息(ID_d1)是否存在于由电力管理设备#2自身管理的管理列表中。电力管理设备#2也检查电力管理设备#1的识别信息(ID_P1)是否存在于由电力管理设备#2保存的证书列表中。这样，电力管理设备#2检查电力管理设备#1(步骤S1143)。

如果电力管理设备#1的识别信息不存在于电力管理设备#2存储的证书列表中，则电力管理设备#2向系统管理服务器33请求电力管理设备#1的证书(步骤S1145)。根据对证书的请求，电力管理设备#1可以向系统管理服务器33通知受控制器具#1的识别信息。

通过检查电力管理设备#1是否不在失效列表中，系统管理服务器33检查电力管理设备#1的有效性(步骤S1147)。如果电力管理设备#1的识别信息包括在失效列表中，则系统管理服务器33向电力管理设备#2通知这种情况并且电力管理设备#2错误地结束该处理。

同时，电力管理设备#2向受控制器具#1请求由电力管理设备#1颁发的证书或者由电力管理设备#1生成的数字签名(步骤S1149)。在接收到这个请求时，受控制器具#1向电力管理设备#2发送由电力管理设备#1提供的数字签名(sig(ID_P1))(步骤S1151)。

当系统管理服务器33确认了电力管理设备#1的有效性时，系统管理服务器33向电力管理设备#2发送系统管理服务器33中保存的电力管理设备#1的证书(步骤S1153)。

电力管理设备#2验证从受控制器具#1发送的数字签名和/或证书(步骤S1155)，并且当验证成功时，电力管理设备#2允许向受控制器具#1电力供应。此时，电力管理设备#2通知受控制器具#1电力收费或免费。如果电力免费，则不进行下列步骤。

由于验证已经成功，因此，电力管理设备#2向受控制器具#1电力供应给定的时间(步骤S1157)。

接受了电力供应的受控制器具#1生成关于电力使用的消息作为证据，以证明消耗了给定时间的电力，并将该消息附有签名发送到电力管理设备#2(步骤S1159)。附有签名的关于电力使用的消息是电力使用证书。注意，步骤S1157和步骤S1159的处理应当优选以固定的间隔重复进行，直至电力管理设备#2停止电力供应或者受控制器具#1从电网(局部电力管理系统)断开为止。

电力管理设备#2将从电力管理设备#1获得的增加了电力管理设备#2的识别信息(ID_P2)和器具证书的电力使用证书发送到系统管理服务器33中(步骤S1161)。

系统管理服务器33验证“受控制器具#1是否已经从电力管理设备#2购电”。使用该器具的证书，通过验证该电力使用证书来进行验证(步骤S1163)。

当电力使用证书验证成功时，系统管理服务器33请求记账服务器32执行记账处理(步骤S1165)。此后，记账服务器32根据从系统管理服务器33请求的内容进行记账处理(步骤S1167)。

通过进行该处理，能够实现可以扩展到公电力使用站的安全记账处理的功能。

注意，除电力管理设备11管理的受控制器具等之外，可以想到：装备有大容量蓄电池的电动交通工具124等可能会将蓄电池中保存的电力卖给另一个电网(局部电力管理系统)。这种情况也可采用图41所示的过程进行处理。在这种情况下，电力管理设备11接收来自电动交通工具124等的电力，并且电力管理设备11向电动交通工具124等发行电力使用证书。这里，优选地，已经购电的电力管理设备11主要负责将电力使用证书发送到系统管理服务器33。

例如，还可以想到：通过不向系统管理服务器33发送电力使用证书，接受了电力供应的电力管理设备11会非法地进行这种操作。在这种情况下，通过使登记了电动交通工具124等的电力管理设备11向系统管理服务器33发送保存在电动交通工具124等中的电力使用证书，可以检测这种非法行为。

(1-15)受控制器具的登记方法的变型

这里，将参考图42至48详细描述对上述受控制器具的登记方法的示例变型。图42至47是用于解释对于受控制器具的登记方法的变型的图。图48是用于解释对于受控制器具的登记方法的变型的流程图。

如上所述，在局部电力管理系统1中，以防止向非法器具和非法蓄电池供应电力和防止非法器具及非法蓄电池连接到该系统为目的，对设备和蓄电池进行认证。下述根据本实施例的受控制器具的登记方法的示例变型的目的在于，提供一种登记方法，其能够高效地执行受控制器具或者包含多个蓄电池的蓄电装置的认证。

在下面解释中，如图24所示，考虑如下情况：电力管理设备11认证和登记标记为“A”到“H”的八个受控制器具125。

在上述方法中，对于受控制器具125共重复进行电力管理设备11和一个受控制器具125之间所进行的一对一认证处理8次。在这种情况下，当认证单个受控制器具125时，进行下列处理。也就是说，首先电力管理设备11向受控制器具125发送包含随机数的提问消息。接着，受控制器具125通过使用受控制器具125保存的密钥对提问消息(challengemessage)进行操作来生成应答消息，并将应答消息作为答复发送出去。此后，电力管理设备11验证接收的应答消息是否正确。

这里，认证方法可以大致区分为两类：(i)当执行操作以从提问消息生成应答消息时，采用公开密钥加密中使用的私密密钥作为密钥的方法，以便应答消息是数字签名；以及(ii)采电力使用力管理设备11和受控制器具125之间共享的密钥进行共有密钥加密的方法。

该示例变型关注使用如上述(i)所述数字签名的认证方法。这是因为这种认证方法包含能够使用称为批量验证(batch verification)和聚合签名(aggregate signature)技术的方法。

这里，“批量验证”的表述是指能够在一次操作中对多个数字签名统一进行验证的验证技术，该验证技术使用只有当全部数字签名均正确时才输出“验证成功”的验证算法。通过使用该技术，较之于分别对各个数字签名进行验证的情况，可提高计算效率。

批量验证处理的具体示例是D.Naccache等在1994年德国施普林格的Eurocrypt会议记录94、计算机科学讲稿Vol.950中的“Can D.S.A beimproved？Complexity trade-offswith the digital signature standard”以及M.Bellare等在1998年德国施普林格的Eurocrypt会议记录98、计算机科学讲稿Vol.1403中的“Fast Batch Verification forModular Exponentiationand Digital Signatures”中公开的方法。在本变型中，通过使用批量验证处理，可以改进计算效率。这些技术包括能够响应于各个不同消息来统一验证由多个签名者生成的签名的技术。

“聚合签名”的表述是指如下验证技术：其能够将多个签名聚合为单个签名，并且当对聚合签名进行验证处理时，只有当全部签名均正确时该验证算法才输出“验证成功”。这里，响应于各个不同的消息，通过多个签名者可生成多个签名。

聚合签名的具体示例是D.Boneh等在2003年德国施普林格的Eurocrypt会议记录2003、计算机科学Vol.2656中的讲稿的“Aggregateand Verifiably EncryptedSignatures from Bilinear Maps”以及D.Boneh等在2003年CryptoBytes Vol.6，No.2的“ASurvey of Two SignatureAggregation Techniques”中公开的方法。在这个变型中，通过使用聚合签名，可以改进计算效率。

这里，如图42所示，考虑到如下情况：电力管理设备11认证八个受控制器具125。在重复一对一的认证的普通方法中，共进行八次验证处理，然而如图42下半部分所示，通过采用批量验证处理或聚合签名能够改进计算效率。

注意，下述认证处理主要由电力管理设备11的器具管理单元1121和受控制器具125的控制单元2001执行。

首先，电力管理设备11向受控制器具A到H发送提问消息C(步骤S1171)。由于在该发送期间无需向各个受控制器具分别发送消息，因此若通信网络是允许广播的环境，则可采用广播。

受控制器具A到H分别对提问消息C使用该器具中持有的用于公开密钥加密的私密密钥来生成提问消息C的应答消息，然后将生成的应答消息返回给电力管理设备11。

例如，接收到提问消息C时，受控制器具A使用保存在受控制器具A中的私密密钥来生成应答消息R_A作为提问消息C的答复(步骤S1173)。此后，受控制器具A将生成的应答消息R_A发送到电力管理设备11(步骤S1175)。

类似地，接收到提问消息C时，受控制器具H使用保存在受控制器具H中的私密密钥来生成应答消息R_H作为提问消息C的答复(步骤S1177)。接着，受控制器具H将生成的应答消息R_H发送到电力管理设备11(步骤S1179)。

更具体地，应答消息R_A到R_H是各受控制器具A到H关于提问消息C的数字签名。

在此期间，电力管理设备11等待来自正进行验证处理的受控制器具A到H的应答消息。电力管理设备11采集来自八个受控制器具的应答消息，统一认证全部的应答消息R_A到R_H(步骤S1181)，并验证全部应答消息是否都正确。可通过批量验证处理执行该验证、或者可通过使用聚合签名技术将八个应答消息聚合为单个数字签名并对所生成的数字签名进行验证来执行该验证。

注意，尽管为了简化上述解释假定电力管理设备11已经知道每个受控制器具的公开密钥，但是受控制器具A到H可以将它们各自的公开密钥证书和应答消息一起发送到电力管理设备11。

这里，公开密钥证书是证书授权服务器35对于器具的识别信息(ID)和/或公开密钥的数字签名。这意味着可采用诸如批量验证或聚合签名之类的方法高效地进行验证。

当已经收集到各个受控制器具响应于来自电力管理设备11的提问消息而发送的应答消息并且统一验证了应答消息时，在多数情况下，全部应答消息将是正确的并且验证结果将为“成功”。在此情况下，因为电力管理设备11已经确认全部受控制器具A到H的有效性，所以该处理可如常进行。

然而，在有些情况下，在对n个器具进行统一验证处理期间，输出“验证失败”。这意味着这n个受控制器具中存在至少一个异常器具。因此，除了对正常器具进行新的统一验证处理之外，电力管理设备11指出异常的受控制器具并对这些异常器具进行单独处理是很重要的。

通过将经过统一验证的受控制器具组重复划分为更小的组，可以指出异常器具。下面参考图43和44描述这样做的两种具体方法。

第一种策略是指定最少一个器具为异常的方法，这样做所需的迭代次数(计算负荷)为O(log₂n)。

第二种策略是指出全部异常器具的方法，这样做所需的迭代次数为O(n)。

现在详细描述基于各策略的方法。

策略1是如下方法：从统一验证结果为“失败”的组中选择一个组(例如，该组具有最小数目的组成元件)，并且重复执行统一验证，直至组中仅包含一个受控制器具。图43显示这种方法的示例。在图43中，受控制器具A到H中的三个受控制器具C、E和F异常。

步骤1中，电力管理设备11向全部八个受控制器具发送提问消息，并对八个受控制器具进行统一验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，其中由八个受控制器具组成的单个组被划分为两个组。

在图43所示的示例中，电力管理设备11将组划分为由受控制器具A到D组成的组以及由受控制器具E到H组成的组，并将提问消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行统一验证。在图43所示的示例中，两个组的统一验证结果都是“验证失败”。

接着，在步骤3中，电力管理设备11选择将被从验证结果为“失败”(即，从两个组中)的当前组(在图43中，受控制器具ABCD组和受控制器具EFGH组)中划分出去的下一个组。在图43所示的示例中，电力管理设备11选择由受控制器具ABCD组成的组，并更进一步地划分该组。在图43所示的示例中，以一组由受控制器具AB组成且另一组由受控制器具CD组成的形式，将由受控制器具ABCD组成的组分为两个具有两个器具的组。

电力管理设备11然后向具有两个器具的两个组发送提问消息，并对已接收到的应答消息进行统一验证。在图43所示的示例中，因为由受控制器具AB组成的组的验证结果为“成功”，所以确认受控制器具A、B都正常。同时，因为由受控制器具CD组成的组的验证结果是“失败”，理解受控制器具C、D中至少一个是异常。

接着，在步骤4中，电力管理设备11将由受控制器具CD组成的组划分为具有单个器具的组，并对每个组进行验证处理。这样，电力管理设备11可以确定出受控制器具C异常。

在图43所示的示例中，可以按照四级步骤，从八个受控制器具中确定出一个异常的受控制器具。一般地说，如果受控制器具数目是n，则可以轻易地设想出具有n个叶节点的二叉树，通过分组使得组成元件的数目大致被平分，从而可在作为二叉树的高度的log₂(n+1)个步骤中完成该处理。因为一个步骤中对最多两个组执行验证处理，因此验证处理的迭代次数为O(log₂n)。

接着描述策略2。

策略2是用于检测全部异常器具的方法。图44显示这种方法的一个示例。在图44中，受控制器具A到H中的三个受控制器具C、E和F异常。

在步骤1中，电力管理设备11向全部八个受控制器具发送提问消息，并对八个受控制器具进行统一验证。如果验证结果是“失败”，则电力管理设备11转到步骤2，在步骤2中，由八个受控制器具组成的单个组被划分成两个组。

在图44所示的示例中，电力管理设备11将组划分为由受控制器具A到D组成的组以及由受控制器具E到H组成的组，并将提问消息发送到各个组。此后，电力管理设备11对组单元中所获得的应答消息进行统一验证。在图44所示的示例中，两个组的统一验证结果都是“验证失败”。

在策略2中，在步骤3中，对在先前步骤中验证为“失败”的全部组重复验证过程。在图44所示的示例中，由受控制器具ABCD组成的组被分成由受控制器具AB组成的组和由受控制器具CD组成的组。电力管理设备11还将由受控制器具EFGH组成的组划分为由受控制器具EF组成的组和由受控制器具GH组成的组。此后，电力管理设备11对生成的四个组分别进行验证处理。

在图44所示的示例中，由受控制器具AB组成的组和由受控制器具GH组成的组的验证结果都为“成功”，由受控制器具CD组成的组和由受控制器具EF组成的组的验证结果为都“失败”。

接着，在步骤4中，电力管理设备11将由验证失败的受控制器具CD组成的组划分为由受控制器具C组成的组和由受控制器具D组成的组。以同样的方式，电力管理设备11将由验证失败的受控制器具EF组成的组划分为由受控制器具E组成的组和由受控制器具F组成的组。然后电力管理设备11分别对新的四个组进行认证处理。

结果，如图44所示，以受控制器具D“成功”而其它三个受控制器具“失败”结束认证。这样，电力管理设备11能够确定异常的全部受控制器具C、E和F。

与策略1一样，策略2中的步骤数为4，但在第I步中，对2I-1个组进行验证。在这种方法中，在某些情况下，诸如当异常器具和正常器具交替排列时，将对每个器具进行验证处理，因此验证迭代次数为2n。这意味着策略2的计算负荷为O(n)。

然而，电力管理设备11是掌握连接到局部电力管理系统1的受控制器具等的类型的装置。这是因为需要这样的信息来控制要向哪些器具供应电力。也就是说，例如，当用户将器具引入家中的局部电力管理系统1时，执行将该器具登记在电力管理设备11中的处理。因此，如前所述，电力管理设备11管理已登记器具列表。

这里，在局部电力管理系统1中，假定受控制器具A到受控制器具H这八个器具已经登记到电力管理设备11中，但作为认证结果已知受控制器具C异常。

在这种情况下，电力管理设备11从管理列表中删除受控制器具C，或者将受控制器具C标记为暂时不可用。这样，在下次认证迭代期间，电力管理设备11能够预先排除受控制器具C，这样能够相应地减少验证处理的负荷。例如，如果除了受控制器具C以外的七个受控制器具均正常，则可在对七个受控制器具进行的单个认证中确认此情况。

此外，如果已经通过用户指示通知电力管理设备11一个器具已修理且恢复正常，或者如果通过电力管理设备11定期地或不定期地尝试对异常设备进行认证而获得结果“成功”，则电力管理设备11可校正电力管理设备11所管理的管理列表，以便将先前认证所排除的器具视为正常。

蓄电池的认证

多数情况下，在蓄电池壳中提供多个蓄电池组电池。通过组合该多个电池，蓄电池能够生成多种输出。

例如，图45显示装备有六个1V蓄电池组电池单元的电力存储设备128的示例。如图45所示，能够组合这些电池A到F以输出多种电压。如果还考虑到一些电池未被使用和/或电力存储设备128设置有不是一个而是多对输出终端的情况，则可实现更大数量的输出变化。

如果蓄电池包括失败的电池和/或非法制造的电池，则存在增加的风险：不仅无法达到期望输出，而且在充电期间发生火灾事故。为此，对各个蓄电池组电池进行认证以确认每个电池(而且蓄电池自身)正常是很重要的。

这里，可以设想电力管理设备11或蓄电池的控制单元能够对各个电池进行认证。当这样做时，如图46所示，可以设想使用六个电池结合三个电池以获得3V的输出。这里，通过正常地重复电力管理设备11或蓄电池的控制单元对一个电池的认证，蓄电池的控制单元能够预先掌握全部电池的状态。基于登记在电力管理设备11中的型号等，电力管理设备11能够从外部的服务器等获得蓄电池的电池配置。

在需要3V电压的情况下，即使具有低载流容量，也可对电池A、B和C(或D和E和F)三个电池进行认证，并将这些电池作为蓄电池。在此情况下，进行三次验证处理。

然而，通过采用诸如前述批量验证或聚合签名之类的技术进行ABC(或DEF)的统一验证，能够通过单次验证处理掌握是否能使用这些电池作为3V蓄电池，从而提高认证处理的效率。另外，如果由ABC组成的组和由DEF组成的组中至少一个组验证“成功”，则能够轻易地掌握可用作蓄电池的电池。

另外，当存在一个组认证结果为“失败”时，采用前述方法连续划分该组能够确定异常电池。

如图46所示，当需要2V电压时，可对两个电池串联连接的组AB、CD、EF进行统一认证。

这样，通过根据蓄电池组电池的组合将待认证的电池划分为多个组，能够提高验证处理的效率。

这里假定如图47所示(初始状态)，采用六个蓄电池组电池生成2V电压。这里，假定全部六个电池初始状态均正常，但在给定时间认证时，认证结果为“失败”。

电力管理设备11和蓄电池的控制单元能够采用上述策略2确定全部电池都异常。结果，如图47中间所示，假定这里已经确定电池D和电池E异常。

在这种情况下，蓄电池的控制单元或电力管理设备11能够切换连接蓄电池组电池的线，以如图47右侧所示重新配置电池。通过这样做，可以仅使用正常电池来配置能够用作蓄电池的组合。如果不进行重新配置，则正常的电池C和F将不可避免地被浪费，而通过重新配置，则能使用资源而不浪费。通过蓄电池的控制单元或电力管理设备11精确地掌握各个电池的状态并且根据认证结果重新配置电池之间的连接，可以实现电池的重新配置。

上述受控制器具的批量认证的全部流程如图48所示。

首先，电力管理设备11的器具管理单元1121生成提问消息并将该提问消息广播到全部待认证的受控制器具125(步骤S1191)。通过这样做，每个受控制器具125的控制单元2001生成答复提问消息的应答消息，并将生成的应答消息发回电力管理设备11。

在电力管理设备11中，等待从受控制器具125发送的应答消息，当从受控制器具125发送应答消息时，电力管理设备11获得发送来的应答消息(步骤S1193)。

这里，电力管理设备11的器具管理单元1121判断是否已经获得全部应答消息(步骤S1195)。如果一些应答消息没有获得，则器具管理单元1121回到步骤S1193，并等待更进一步的应答消息。

同时，如果已经从全部受控制器具125获得应答消息，则器具管理单元1121执行批量认证处理(步骤S1197)。如果批量认证处理对全部受控制器具都成功，则器具管理单元1121判断出认证成功，并且批量认证处理正常结束。

如果批量认证处理未对全部受控制器具125成功，则器具管理单元1121根据前述策略1或策略2确定认证失败的受控制器具(步骤S1201)。此后，器具管理单元1121在排除认证失败的器具的情况下重复认证处理(步骤S1203)，返回步骤S1199，并且判断批量认证处理是否成功。

通过执行上述流程中的处理，当前的示例变型能够高效地认证受控制器具。

上述解释说明如下方法：使用出自基于公开密钥加密的数字签名技术中的批量验证或者聚合签名技术，通过对受控制器具和电力存储设备分组来进行高效的认证。然而，尽管公开密钥加密较之于共有密钥加密的优势在于能够使用利用单个私密密钥生成的数字签名等，但是其缺点在于计算负荷通常极大。

为了克服这种缺点，可设想能够采用公开密钥加密和共有密钥加密。更具体地，电力管理设备11根据公开密钥加密进行受控制器具等的认证。假定电力管理设备(或蓄电池的控制单元等)之后按照1∶1的基础，向基于公开密钥加密认证成功的受控制器具和/或电力存储设备提供供用于由电力管理设备(或蓄电池的控制单元等)和受控制器具使用的共有密钥(即，对每个受控制器具采用不同的密钥)。

这种共有密钥具有诸如一天或者一个小时的有效期限，在有效期限内，这种共有密钥用于由电力管理设备11对受控制器具进行的认证处理。此外，在共有密钥的有效期限结束之后，再使用公开密钥加密进行认证处理，并在电力管理设备和受控制器具之间建立新的共有密钥。

通过使用这个方法，能够执行如下处理：该处理一小时仅一次或一天仅一次的采用计算负荷大的公开密钥加密，而对经常进行的认证采用处理负荷小的共有密钥加密。

注意，代替使电力使用力管理设备11和某个受控制器具125之间1∶1的共有密钥，还能够在电力管理设备和多个待由电力管理设备认证的受控制器具之间共享单个组密钥，并将该组密钥作为后续认证处理中的共有密钥。

这完成了对于根据当前示例变型的受控制器具的登记方法的说明。

现在详细描述电力管理设备对出现异常的管理器具的处理，同时给出具体示例。

(1-16)电力管理设备对出现异常的管理器具的操作

现在将使用具体示例参考图49到52详细描述电力管理设备对出现异常的管理器具的操作。图49到52是用于解释电力管理设备对已出现异常的管理器具的操作的流程图。

首先，将参考图49描述电力管理设备对已出现异常的管理器具的操作的整个流程。

电力管理设备11的器具管理单元1121参考关于当前时间的时间信息，或者参考关于自进行先前操作确认处理起经过了多长时间的信息，并判断是否已经到达对管理器具进行操作确认处理的时间(检查时间)(步骤S1211)。如果检查时间未到，则器具管理单元1121返回步骤S1211并等待检查时间到达。

此外，当到达检查时间时，器具管理单元1121的被管理器具信息获取单元1507判断是否已经从每个受控制器具125接收到报告出现异常的传感器信息(步骤S1213)。如果已经接收到报告出现异常的传感器信息，则器具管理单元1121执行下述的步骤S1225。

如果没有接收到报告出现异常的传感器信息，则被管理器具信息获取单元1507判断是否已经从配电设备121接收到报告出现异常的器具信息(步骤S1215)。如果已经接收到报告出现异常的器具信息，则器具管理单元1121执行下述的步骤S1225。

如果没有接收到报告配电设备出现异常的器具信息，则被管理器具信息获取单元1507判断是否已经从受控制插座123(下文中包括插座扩展设备127)接收到报告出现异常的器具信息(步骤S1217)。如果判断出已出现异常，则器具管理单元1121执行下述的步骤S1225。

注意，通过执行步骤S1215和步骤S1217的处理，电力管理设备11能够判断出不能与电力管理设备11直接进行通信的不受控制器具126是否出现异常。

接着，被管理器具信息获取单元1507从各个受控制器具等采集诸如传感器信息、蓄电池信息和电池信息之类的器具信息，并将器具信息发送给器具状态判定单元1601和信息分析单元1123的电力状态判定单元1603。器具状态判定单元1601和电力状态判定单元1603将器具信息与所发送信息的历史进行比较，或者与所发送信息的模型实例进行比较(步骤S1219)。通过这样做，电力管理设备11能够检查出出现异常的受控制器具。被管理器具信息获取单元1507和/或器具状态判定单元1601也能够从本应接收到的未接收信息中检测出受控制器具已出现异常。

器具管理单元1121参考对器具信息的采集/比较处理的结果，并判断是否已经出现问题(步骤S1221)。如果已出现问题，则器具管理单元1121执行下述的步骤S1225。

此外，如果根据器具信息的采集/比较处理的结果判断出未出现问题，则器具状态判定单元1601判断是否所有器具都没有问题(步骤S1223)。如果判断结果是对于某些设备未完成验证，则器具管理单元1121和信息分析单元1123返回步骤S1219并继续验证处理。当对全部器具都完成验证后，器具管理单元1121结束对被管理器具的操作的验证处理。

这里，当通过上述验证处理检测到异常时，信息分析单元1123在显示单元116上显示警告(步骤S1225)。电力管理设备11切换至在检测到异常时所使用的工作模式(错误模式)(步骤S1227)。

此后，器具管理单元1121向用户已登记的电话号码或邮件地址发送报警消息，通知用户已经出现异常(步骤S1229)。此后，器具管理单元1121判断设定时间段内是否有用户对电力管理设备11进行访问(步骤S1231)。如果在设定时间内有用户进行访问，则电力管理设备11的控制单元115根据用户指示开始对受控制器具的操作控制。同时，如果在设定时间内没有用户进行访问，则电力管理设备11的控制单元115开始自动控制(步骤S1235)。此后，电力管理设备11的控制单元将工作模式切换为由受控制插座控制(步骤S1237)，并且当检测到操作异常时结束该处理。

现在将简要描述根据出现异常的设备类型实施的特定处理。

当电力管理设备出现异常时

首先，将参考图50简要描述当电力管理设备11自身出现异常时的操作。

注意，假定在开始以下说明前用户已经设置了当电力管理设备11出现异常时进行何种控制(例如，受控制插座的控制或者恒定状态供应电力的控制)。还假定电力管理设备11定期地在局部电力管理系统1外部设置的系统管理服务器33中备份诸如历史信息、被管理器具的识别信息(ID)以及设置条件的各种信息。

当电力管理设备11自身出现某种异常(步骤S1241)并且电力管理设备11自身停止工作时，由于与电力管理设备11的定期通信将会停止，因此系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1243)。

此后，系统管理服务器33参考登记的紧急联系者等，并通知用户出现异常(步骤S1245)。

因为不能与电力管理设备11定期通信(步骤S1247)，所以受控制插座123和受控制器具125也检测到电力管理设备11出现异常的可能性。此后，受控制插座123和受控制器具125检查电力管理设备11的状态(步骤S1249)，并且当掌握电力管理设备11出现异常时，受控制插座123和受控制器具125检查应当切换为哪个模式(步骤S1251)。此后，受控制插座123和受控制器具125切换为受控制插座控制方式(步骤S1253)。

更具体地，受控制插座123开始控制受控制器具125和不受控制器具126(步骤S1255)，并且受控制器具125开始向受控制插座123输出电力信息(步骤S1257)。如果在从受控制器具125获得的电力信息中检测到异常，则受控制插座123也能够进行诸如停止电力供应的控制。

此时，假定由于系统管理服务器33所联系的用户重新激活电力管理设备11或者对电力管理设备11进行某种人工操作，导致电力管理设备11恢复。

此时，恢复的电力管理设备11的器具管理单元1121请求系统管理服务器33执行认证处理(步骤S1261)。如果电力管理设备11的认证成功，则系统管理服务器33获得备份的设置信息，并将该设置信息发送给电力管理设备11(步骤S1263)。

接收到该设置信息的电力管理设备11根据所接收到的设置信息，自动地连接到作为被管理设备的受控制插座123和受控制器具125(步骤S1265)，并且通知这些器具电力管理设备11已恢复。

此后，受控制插座123和受控制器具125切换到电力管理设备控制摸式(步骤S1267)，并此后由电力管理设备11进行正常控制。

当受控制插座出现异常时

接着，将参考图51简要描述当受控制插座123出现异常时的操作。

首先，假定受控制插座123的传感器或通信单元中的至少一个出现异常(步骤S1271)。在这种情况下，因为维持从受控制插座123到所连接的受控制器具125的电力供应(步骤S1273)，所以电力管理设备11难以直接检测到异常。然而，通过确定没有接收到应当定期接收到的来自受控制插座123的器具信息等，电力管理设备11能够检测到受控制插座123出现异常(步骤S1275)。

检测到异常的电力管理设备11的信息分析单元1123通知用户，受控制插座123出现异常(步骤S1277)。更具体地，电力管理设备11通过在显示单元116显示出现异常、发出警告声音，或者向用户登记的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对发生问题的受控制插座123手工进行任意操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1279)。

此时，假定受控制插座123的电力供应出现异常(步骤S1281)。在这种情况下，受控制器具125能够检测到受控制插座123出现异常，并且在某些情况下，受控制器具125也能够停止接收电力供应，并因此停止运转(步骤S1283)。结果，由于受控制器具125向电力管理设备11通知受控制插座123出现异常，或者由于受控制器具125停止操作而引起定期通信停止，因此电力管理设备11检测到出现异常(步骤S1285)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：受控制插座123出现异常(步骤S1287)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户登记的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对发生问题的受控制插座123进行人工操作，被通知的用户将受控制插座123恢复到运行状态(步骤S1289)。

当配电设备出现异常时

接着，将参考图52简要描述当配电设备121出现异常时的操作。

当配电设备121出现异常时(步骤S1301)，配电设备121向电力管理设备11通知出现异常，和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制器具125的电力供应可能出现问题。为此，受控制器具125定期发送的电力信息中也可出现异常(步骤S1303)。根据这种信息，电力管理设备11的信息分析单元1123可以检测到配电设备121出现异常(步骤S1305)。

检测到异常的电力管理设备11的信息分析单元1123通知用户：配电设备121出现异常(步骤S1307)。更具体地，电力管理设备11通过在显示单元116上显示出现异常、发出警告声音，或者向用户登记的电话号码或电子邮件地址发送消息，向用户通知出现异常。

通过对发生问题的配电设备121进行人工操作，被通知的用户将配电设备121恢复到运行状态(步骤S1309)。

配电设备121再次出现异常(步骤S1311)，并且配电设备121向电力管理设备11通知出现异常和/或来自配电设备121的定期通信停止。此外，当配电设备121出现异常时，向受控制器具125的电力供应可能出现问题。由于这个原因，受控制器具125定期发送的电力信息中也可出现异常(步骤S1313)。根据这种信息，假定电力管理设备11自身也出现异常(步骤S1317)。

这里，与电力管理设备11的定期通信的中断使得系统管理服务器33能够检测到电力管理设备11出现异常(步骤S1319)。

此后，系统管理服务器33参考登记的紧急联系者等，并且通知用户出现异常(步骤S1321)。

在这种情况下，电力管理设备11实施电力管理设备出现异常时执行的上述处理(步骤S1323)。响应于电力管理设备11发生的异常，受控制器具125切换到受控制插座控制模式(步骤S1325)。

这里，通过对发生问题的配电设备121进行人工操作，被通知的用户将配电设备121恢复到运行状态(步骤S1327)。此外，根据电力管理设备出现异常时进行的操作，电力管理设备11也恢复到工作状态(步骤S1327)。

这完成了对于当诸如受控制插座123或受控制器具125的被管理设备出现异常时电力管理设备11的操作的说明。

(1-17)电力状态出现异常时电力管理设备的操作

接着，将参考图53和54描述当局部电力管理系统1的电力状态出现诸如断电或漏电的异常时电力管理设备11的操作。图53和54是用于解释当电力状态出现异常时电力管理设备的操作的流程图。

断电期间电力管理设备的操作

首先，将参考图53简要描述发生断电时电力管理设备的操作。

当外部电源出现异常并且发生断电时，停止向配电设备121供应外部电力。结果，由于配电设备121向电力管理设备11通知发生断电，或者从配电设备121发送出含有异常的设备信息，电力管理设备11能够检测出配电设备121异常(步骤S1331)。

在检测到发生断电时，信息分析单元1123的电力状态判定单元1603将当前模式切换为使用发电设备129、130和电力存储设备128的电力供应模式(已保存的电力供应模式)(步骤S1333)。更具体地，电力管理设备11的控制单元115向配电设备121发送控制命令，以从外部电力切换为能够在系统1内部供应的电力。器具管理单元1121根据预先设置的信息，开始确定电力供应的优先级和/或确定待分配的电量。信息分析单元1123也通过显示单元116等向用户通知发生断电。

器具管理单元1121首先判断待供电的器具是否是受控制器具125(步骤S1335)。如果该待供电力的器具是受控制器具125，则器具管理单元1121通过控制单元115向该器具发送控制命令(步骤S1337)。更具体地，控制单元115向受控制器具125发送请求节能模式或关机的控制命令。

同时，如果待供电的器具不是受控制器具125(也就是说，不受控制器具126)，则器具管理单元1121判断该待供电的器具是否连接到受控制插座123(包含插座扩展设备127)(步骤S1339)。如果该待供电的器具连接到受控制插座123，则器具管理单元1121通过控制单元115向受控制插座123发送控制命令(步骤S1341)。更具体地，控制单元115向受控制插座123发送请求该待供电的器具关机(也就是说，停止向不受控制器具126供应电力)的控制命令。

如果该待供电的器具未连接到受控制插座123，由于电力管理设备11不能控制向该待供电的器具的电力供应，因此电力管理设备11使该器具保持原状或者继续当前的电力供应(步骤S1343)。

当结束该判断时，器具管理单元1121判断每个器具的设置是否已经完成(步骤S1345)。如果一个或多个器具的设置尚未完成，则电力管理设备11返回步骤S1335并继续该处理。同时，如果全部器具的设置已经完成，则在断电期间电力管理设备11结束处理。

漏电期间电力管理设备的操作

接着，将参考图54简要描述发生漏电时电力管理设备的操作。

当发生漏电时，较之于漏电发生之前，预期电力使用趋势将发生改变。因此，通过将过去的电力使用历史和当前的电力使用相比较，电力管理设备11中信息分析单元1123的电力状态判定单元1603能够检测出发生了漏电。此外，对于系统1中存在的器具而言，电力状态判定单元1603基于受控制器具125的电力使用理论值和不受控制器具126的电力使用估计值，计算出理论电力使用值，并且通过比较实际电力使用量与该理论电力使用值，能够检测出漏电。注意，可通过过去电力使用量估计出不受控制器具126的电力使用估计。

此外，不仅可通过电力管理设备11而且也可通过诸如局部电力管理系统1外部存在的安全检查服务器的分析服务器34来检测漏电的发生。这意味着在某些情况下，当发生漏电时，分析服务器34向电力管理设备11通知漏电。

当检测出发生漏电时，电力管理设备11使用任意方法来确定漏电位置(步骤S1353)，并且控制单元115向漏电位置发送停止电力供应命令(步骤S1355)。信息分析单元1123还在显示单元116上显示关于发生漏电以及漏电位置的信息。

通过执行这种处理，即使电力状态出现断电或漏电的异常，电力管理设备11能够保持局部电力管理系统1内部各方面的安全。

(1-18)嵌入电子水印信息方法和验证电子水印信息方法的流程

接着，将参考图55到58描述在根据本实施例的局部电力管理系统1中执行的嵌入电子水印信息的方法和验证电子水印信息的方法流程。图55和57是用于解释根据本实施例的嵌入电子水印信息的方法的流程图。图56和58是用于解释根据本实施例验证电子水印信息的方法的流程图。

使用共享信息的电子水印信息的嵌入方法和验证方法

首先，将参考图55和56描述使用共享信息的电子水印信息的嵌入方法和验证方法的流程。注意，下面描述物理数据自身被用作器具特征信息的情况。

嵌入方法的流程

首先，将参考图55描述由受控制器具125的篡改检测信息生成单元2031实施的嵌入方法。

受控制器具125中的篡改检测信息生成单元2031的器具特征信息生成单元2033首先从传感器控制单元2023和蓄电池控制单元2027获得物理数据(步骤S2001)。此后，器具特征信息生成单元2033对所获得的物理数据进行验证(步骤S2003)。接着，器具特征信息生成单元2033判断所获得的物理数据是否正常(步骤S2005)。

如果验证发现物理数据的值超过该物理数据的可取值的范围，或者显示为明显的异常行为，则器具特征信息生成单元2033报告异常(步骤S2019)。

经由验证确认物理数据正常之后，电子水印生成单元2035基于该物理数据和共享数据生成电子水印信息(步骤S2007)，并向电子水印嵌入单元2039输出所生成的电子水印信息。嵌入位置确定单元2037分析该物理数据，确定适于该物理数据的电子水印信息嵌入位置，并将关于所确定的嵌入位置的信息通知电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入该物理数据(步骤S2009)。接着，电子水印嵌入单元2039对嵌入了电子水印信息的物理数据(这种物理数据以下简称“嵌入后的数据”)进行验证(步骤S2011)。此后，电子水印嵌入单元2039检查验证结果(步骤S2013)。

如果嵌入后的数据正常，则电子水印嵌入单元2039将嵌入后的数据发送到电力管理设备11(步骤S2015)。电力管理设备11将接收到的嵌入后的数据发送到局部电力管理系统1外部的分析服务器34。

同时，如果在嵌入后的数据中发现异常，则电子水印嵌入单元2039判断出现异常的次数是否小于指定的阈值(步骤S2017)。如果出现异常的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2007，并且继续该处理。同时，如果出现异常的次数大于或等于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2019)。

注意，如果预先确定了电子水印信息的嵌入位置，则可以省略确定嵌入位置的处理、在步骤S2003到步骤S2005中验证物理数据的处理以及步骤S2011到S2019中验证嵌入后的数据的处理。

验证方法的流程

接着，将参考图56描述，由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的验证电子水印信息的方法。应当注意，尽管下文中描述了在分析服务器34上执行的验证方法，但是同样的方法可以由电力管理设备的信息篡改检测单元来执行。

分析服务器34的信息篡改检测单元的嵌入位置指定单元获取嵌入有电子水印信息的物理数据(步骤S2021)。此后，嵌入位置指定单元验证所获取的物理数据(步骤S2023)。接着，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2025)。

如果所述验证发现物理数据的值超出该物理数据可取的值的范围或者表明明显异常的行为，则嵌入位置指定单元报告异常(步骤S2027)。

在经由验证确认物理数据正常后，嵌入位置指定单元分析该物理数据，指定嵌入电子水印信息的位置(步骤S2029)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。

接着，电子水印提取单元基于接收的关于嵌入位置的位置信息从物理数据提取电子水印信息(步骤S2031)并且将提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元基于物理数据和共享数据生成电子水印信息(步骤S2033)并且通过将提取的电子水印信息与生成的电子水印信息进行比较而验证电子水印信息(步骤S2035)。如果基于所述比较的电子水印信息的验证失败，则电子水印验证单元向电力管理设备11通知异常(步骤S2027)。此外，如果基于所述比较的电子水印信息的验证成功，则电子水印验证单元报告验证成功，并且所述处理正常结束。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略在步骤S2023至步骤S2025中验证物理数据的处理以及指定嵌入位置(步骤S2029)的处理。

使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法

接着，将参考图57和图58描述使用时间信息和共享信息的电子水印信息的嵌入方法和验证方法。应当注意，下面描述物理数据自身被用作器具特征信息的情况。

嵌入方法的流程

首先，将参考图57描述由受控制器具125的篡改检测信息生成单元2031实施的嵌入方法。

应当注意，假设受控制器具125通过电力管理设备11定期将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制器具125与分析服务器34之间预先决定数据发送时序。

受控制器具125的篡改检测信息生成单元2031判断是否已到达预定的数据发送时间(步骤S2041)。如果未到预定的发送时间，则篡改检测信息生成单元2031等待到达该预定时间。如果已经到达预定的发送时间，则器具特征信息生成单元2033从传感器控制单元2023和蓄电池控制单元2027获取物理数据(步骤S2043)。此后，器具特征信息生成单元2033验证获取的物理数据(步骤2045)。接着，器具特征信息生成单元2033判断所获取的物理数据是否正常(步骤S2047)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明明显异常的行为，则器具特征信息生成单元2033报告异常(步骤S2065)。

在通过验证确认物理数据正常后，嵌入位置决定单元2037分析物理数据，确定适合物理数据的电子水印信息的嵌入位置(步骤S2049)，并且将关于所决定的嵌入位置的信息通知给电子水印嵌入单元2039。

接着，电子水印生成单元2035获取表明当前时间或发送预定时间的时间信息(步骤S2051)。此后，电子水印生成单元2035基于物理数据、时间信息和共享信息生成电子水印信息(步骤S2053)，并且将生成的电子水印信息输出给电子水印嵌入单元2039。

此后，电子水印嵌入单元2039基于关于嵌入位置的信息将电子水印信息嵌入物理数据中(步骤S2055)。接着，电子水印嵌入单元2039验证嵌入有电子水印信息的物理数据(这样的物理数据在下文中称为“嵌入后的数据”)(步骤S2057)。此后，电子水印嵌入单元2039检查验证结果(步骤S2059)。

如果嵌入后的数据正常，则电子水印嵌入单元2039将该嵌入后的数据发送给电力管理设备11(步骤S2061)。电力管理设备11将所接收的嵌入数据发送给局部电力管理系统1外部的分析服务器34。

同时，如果在嵌入后的数据中发现了异常，则电子水印嵌入单元2039判定异常出现的次数是否小于在指定的阈值(步骤S2063)。如果异常出现的次数小于指定的阈值，则篡改检测信息生成单元2031返回步骤S2053，并且处理继续。同时，如果异常出现的次数等于或大于指定的阈值，则篡改检测信息生成单元2031报告异常(步骤S2065)。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略决定嵌入位置的处理、在步骤S2045至步骤S2047中验证物理数据的处理以及在步骤S2057之步骤S2063中验证嵌入后的数据的处理。

验证方法的流程

接着，将参考图58描述验证由诸如安全检查服务器的分析服务器34中的信息篡改检测单元实施的电子水印信息的方法。

应当注意，假设受控制器具125定期通过电力管理设备11将嵌有电子水印信息的物理数据发送给分析服务器34，并且在受控制器具125与分析服务器34之间预先决定数据发送时序。

分析服务器的信息篡改检测单元判断是否已到达预定的数据发送时间(步骤S2071)。如果未到预定的发送时间，则信息篡改检测单元等待到达该预定时间。如果已经到达预定的发送时间，则信息篡改检测单元尝试获取受控制器具125通过电力管理设备11发送的物理数据。这里，信息篡改检测单元判断是否能够在指定的时间段内接收到物理数据(步骤S2073)。

如果未在指定的时间段内接收到物理数据，则信息篡改检测单元将异常通知给电力管理设备11的用户(步骤S2089)。同时，如果在预定的时间段内接收到物理数据，则嵌入位置指定单元验证所获取的物理数据(步骤S2075)。此后，嵌入位置指定单元判断所获取的物理数据是否正常(步骤S2077)。

如果验证发现物理数据的值超出该物理数据可取的值的范围或者表明明显异常的行为，则嵌入位置指定单元报告异常(步骤S2089)。

在通过验证确认物理数据正常后，嵌入位置指定单元分析物理数据，指定电子水印信息嵌入的位置(步骤S2079)，并且将关于嵌入位置的位置信息通知给电子水印提取单元。电子水印提取单元基于关于嵌入位置的位置信息从物理数据提取电子水印信息并且将所提取的电子水印信息输出至电子水印验证单元。

此后，电子水印验证单元获取表明当前时间或者发送预定时间的时间信息(步骤S2081)。

此后，电子水印验证单元基于物理数据、时间信息和共享数据生成电子水印信息(步骤S2083)并且通过将提取的电子水印信息与生成的电子水印信息进行比较以验证电子水印信息(步骤S2085)。如果基于所述比较的电子水印信息的验证失败，则电子水印验证单元报告异常(步骤S2089)。此外，如果基于所述比较的电子水印信息的验证成功，则电子水印验证单元报告验证成功，并且所述处理正常结束。

应当注意，如果预先决定了电子水印信息的嵌入位置，则可省略在步骤S2075至步骤S2077中验证物理数据的处理以及指定嵌入位置(步骤S2079)的处理。

通过进行上述处理，可以在位于分析服务器34和受控制器具125之间的电力管理设备11的控制功能受到损害时检测到异常。通过使电力使用子水印信息，还可以检测由攻击者在通信路径上进行的对物理数据的篡改。另外，电力管理设备11仅仅调解物理数据的发送，并且可以检测在分析服务器34与受控制器具125之间的路径上的对物理数据的篡改，而不需要发送或接收用于防止篡改的特定数据。

即使当电力管理设备11的控制功能受到了损害时，也可以在攻击者篡改物理数据的情况下防止攻击。另外，通过使用该方法，可以为物理数据增添用于检测篡改的功能，而不丢失物理数据的统计本性。

(1-19)分析服务器的作用

用作局部电力管理系统1的电力中心的电力管理设备11被连接到装备有蓄电池的各种受控制器具等。电力管理设备11通过基于从各种器具获得的电力信息控制配电设备121来控制配电。电力管理设备11能够实时地掌握连接至系统1的器具的电力消耗，并且集中管理系统1内的电力使用状态，包括通过诸如光伏发电的自然能量的家庭发电生成的电力。电力管理设备11还能够将电力消耗可视化，这希望致使用户抑制能量的浪费消耗。

但是，由于局部电力管理系统1是控制局部电网的网络系统，所以重要的是在系统配置和服务中使用安全技术。近年来，对于装配有蓄电池的器具，用户通常用较次的产品代替蓄电池组电池，和/或使用绕过对器具认证的伪造芯片。这可能导致问题，例如质量下降，导致起火。由根据本实施例的局部电力管理系统1处理的“蓄电池”包括多种设备，如存在于系统中的电力储存设备和电动交通工具，并且重要的是保持这样的器具安全。

以下是能够对电力管理设备11实施的外部攻击的一些设想示例，该电力管理设备11形成局部电力管理系统1的外部与该系统1的内部之间的接口。

-引入导致器具或蓄电池异常操作的非法命令(病毒)；

-接管对电力管理设备的控制；

-特洛伊木马攻击；

-通过电力管理设备对另一器具或系统的攻击；

-DoS攻击。

为了针对这样的外部攻击提供保护，过去使用了下列措施：

-防止预先预测的非法操作；

-使用预先定义的病毒模式文件检测病毒；

-监视执行文件的行为以及检测非法文件以进行保护防止未知的攻击。

但是，由于这样的措施是针对计算机上的行为而使用的，所以难以使用这样的措施来监视诸如蓄电池的物理装置，因此很难说这样的措施提供了足够的保护。此外，由于想到可与电力管理设备连接的蓄电池和器具会经常更新，所以极可能针对攻击的对策会变得极其复杂并且会难以预先想象攻击的内容。

针对仿造蓄电池的一个对策是将认证芯片集成到蓄电池模块中并且仅与质量得到保证的蓄电池连接。但是，在近年来，用于使认证芯片的功能变得无效的技术得到了发展，并且仿造芯片绕过认证的情况变得越来越普遍。如果从安装在较次蓄电池单元上的仿造芯片经由器具发送的蓄电池状态(电压、电流、剩余电荷等)不正确(即，如果数字信息错误)，则电力管理设备不能正确地控制电网，导致出现意外的风险很高。在这种情况下，应当停止器具的操作或者应当排除有问题的蓄电池，但是没有用于实现这样的机制的现有技术。

由于以上原因，需要有用于避免对连接到电力管理设备或系统的器具/蓄电池的攻击(病毒感染)以及蓄电池劣化或仿造产品带来的风险的技术。下面描述一种方法，该方法能够使用从连接至系统的蓄电池或器具输出的传感器信息以及多种历史信息来检测对系统的上述类型攻击的存在以及蓄电池的劣化等。

下面描述的检测攻击的存在以及蓄电池的劣化等的方法主要使用从各器具输出的诸如传感器信息等的物理数据以及历史信息，以通过计算物理估计进行判断以及使用启发式统计方法进行快速判断。通过这样做，可以检测未知的攻击以及从源头避免风险。

在本实施例中，设置在局部电力管理系统1外部的分析服务器34被用作用于检测攻击以及避免风险的设备。假设分析服务器34的功能之一是对局部电力管理系统执行安全检查。相应地，以下描述的分析服务器34是用作安全检查服务器的服务器。

分析服务器34基于从电力管理设备发送的各种器具和蓄电池的传感器信息、执行命令信息、分析服务器34中预先登记的器具/蓄电池信息、使用环境信息和使用历史信息，实现下列功能。

-排除绕过认证的复制品以及已经劣化并且其操作变得危险的蓄电池；

-针对启发式外部攻击提供保护；

-通过基于当前状态、输入以及关于外部环境的信息的估计验证有效性；

-生成和更新由电力管理设备中的防病毒系统使用的病毒定义文件。

此外，如上所述，分析服务器34还能够配备有以下功能：验证在从各种器具和蓄电池发送的器具特征信息中嵌入的篡改检测信息(电子水印信息)。通过使用篡改检测信息，还可以检查电力管理设备是否已被接管。

这里，上述传感器信息的示例可包括电压、电流、温度、湿度、时间、使用器具信息、用户等，并且执行命令信息的示例可包括指令命令、执行文件、器具/蓄电池参数等。此外，在分析服务器34中预先登记的器具/蓄电池信息的示例可包括制造商、型号、制造商号等，并且使用环境信息的示例可包括家庭信息、位置、自有器具信息等。上述使用历史信息的示例可包括过去的器具/蓄电池传感器信息、执行命令信息、使用时间、使用频率等。

(1-20)分析服务器的配置

接着，将参考图59至图62具体描述分析服务器34的配置，该分析服务器根据本实施例为安全检查服务器。图59是用于说明根据本实施例的分析服务器的配置的框图。图60是用于说明根据本实施例的分析服务器中包括的信息篡改检测单元的配置的框图。图61是用于说明根据本实施例的分析服务器中包括的第一验证单元的配置的框图。图62是用于说明根据本实施例的分析服务器中包括的第二验证单元的配置的框图。

分析服务器的总体配置

首先，将参考图59描述根据本实施例的分析服务器34的整体配置。

如图59所示，根据本实施例的分析服务器34主要包括广域通信单元3001、信息篡改检测单元3003、获取数据验证单元3005和存储单元3013。

广域通信单元3001是用于在局部电力管理系统1和另一服务器等之间通过广域网2交换信息的通信装置。

信息篡改检测单元3003例如由CPU、ROM、RAM等实现。当用于检测信息是否已被篡改的数据被嵌入到由分析服务器34从电力管理设备11获取的信息中时，信息篡改检测单元3003验证该数据并且检测信息是否已被篡改。这里，嵌入这样的信息的数据的一个示例可以为电子水印。

当检测到信息被篡改时，信息篡改检测单元3003将检测结果通知给电力管理设备11或用户本人。通过这样做，电力管理设备11或者电力管理设备11的用户能够将出现信息篡改的器具从系统1内部排除。

获取数据验证单元3005例如由CPU、ROM、RAM等实现。获取数据验证单元3005验证从电力管理设备11获取的各种信息，并且如上所述，是提供用于保护电力管理设备11非受外部攻击的各种功能的处理单元。

如图59所示，获取数据验证单元3005还包括获取数据验证控制单元3007、第一验证单元3009和第二验证单元3011。

在分析和验证由分析服务器34从电力管理设备11获取的各种数据时，获取数据验证控制单元3007进行控制。更具体地，获取数据验证控制单元3007判断如何将以下描述的第一验证单元3009的验证和第二验证单元3011的验证组合，以分析和验证所获取的数据。相应地，以下描述的第一验证单元3009和第二验证单元3011在获取数据验证控制单元3007的控制下执行各种验证处理。

第一验证单元3009例如由CPU、ROM和RAM等实现。第一验证单元3009基于统计处理、使用启发式方法分析和验证由分析服务器34获取的各种类型信息。

第一验证单元3009主要具有下述两个功能：

通过将从电力管理设备获取的数据与从具有相似电力使用环境的另一电力管理设备获取的数据进行比较，检测存在对电力管理设备的攻击、蓄电池或者各种器具或传感器的存在异常的功能；

在从电力管理设备获取的数据中根据与先前使用历史数据的比较，而检测对存在电力管理设备的攻击、蓄电池或者各种器具或传感器的存在异常的功能。

为了实现以上给出的功能(i)，第一验证单元3009使用从处于验证中的电力管理设备11获取的“蓄电池型号/ID信息和电力状态信息、历史”和“器具型号/ID信息和如温度的传感器信息、历史”或者“电力管理设备的执行文件”。第一验证单元3009不仅使用从处于验证中的电力管理设备获取的上述信息，而且使用未处于验证中的其它电力管理设备11获取的上述信息。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/器具或传感器中是否存在异常。

为实现以上给出的功能(ii)，第一验证单元3009从处于验证中的电力管理设备11获取“蓄电池型号/ID信息和电力状态信息”和“器具型号/ID信息和如温度的传感器信息”或者“电力管理设备的执行文件”。第一验证单元3009还使用处于验证中的电力管理设备11的“蓄电池电力状态信息历史”、“器具的传感器信息历史”和“电力管理设备的执行文件历史”。通过比较和验证这样的数据，第一验证单元3009判断是否存在对处于验证中的电力管理设备的攻击和/或在蓄电池/器具或传感器中是否存在异常。

第一验证单元3009还包括验证“电力管理设备的执行文件”中的命令信息的功能，并且可用于在命令信息被确定为异常时从被确定为异常的命令信息中提取病毒模式。第一验证单元3009使用所提取的病毒模式并生成关于该病毒的病毒定义文件。

在判断为器具的传感器信息、执行文件、命令信息等中存在异常时，第一验证单元3009可以与第二验证单元3011共享该信息，或者可以将该信息发送给第二验证单元3011。通过共享或发送该信息，第二验证单元可以更新仿真中使用的参数并且可以进一步提高仿真精度。

第二验证单元3011例如由CPU、ROM、RAM等实现。第二验证单元3011使用所获取的数据通过仿真(计算物理估计)来分析并验证由分析服务器34获取的各种信息。

第二验证单元3011主要包括如下功能：通过利用计算物理量的估计而实现的高精度判断，来检测蓄电池/器具或传感器的异常。

第二验证单元3011从处于验证中的电力管理设备11获取系统1中的“蓄电池型号/ID信息和电力状态信息、历史”和“器具型号/ID信息和如温度的传感器信息、历史”。另外，第二验证单元3011从处于验证中的电力管理设备11获取蓄电池/器具的电气规格和特征信息。第二验证单元3011基于获取的器具信息、电气规格和特征信息以及使用历史信息进行仿真，以计算表明这些器具操作正常的指标(在下文中称为“正常操作范围”)。第二验证单元3011比较并验证所计算的正常操作范围和已获得的上述各种数据，并且判断是否存在针对处于验证中的电力管理设备的攻击以及蓄电池/器具或传感器是否存在异常。

存储单元3013是设置在根据本实施例的分析服务器34中的存储设备的一个示例。存储单元3013存储关于由分析服务器34存储的各个密钥以及由分析服务器34存储的各个数字签名、证书等的信息。在存储单元3013中还可以记录各历史信息。另外，存储单元3013还可以适当地存储处理期间应当由根据本实施例的分析服务器34存储的各参数和中间处理进程，或者各数据库等。分析服务器34的各处理单元能够自由地对存储单元3013进行读写。

信息篡改检测单元的配置

接着，将参考图60描述信息篡改检测单元3003的配置。

如图60所示，信息篡改检测单元3003还包括嵌入位置指定单元3021、电子水印提取单元3023和电子水印验证单元3025。

利用根据本实施例的局部电力管理系统1，可以在诸如电流、电压、温度和湿度等的物理数据中或者在使用这些物理数据计算出的各种信息中嵌入适合这些信息的电子水印数据。通过验证电子水印数据，能够与局部电力管理系统1进行双向通信的分析服务器34能够检测物理数据(其在下文中包括使用物理数据计算出的各种信息)是否被篡改。

嵌入位置指定单元3021例如由CPU、ROM、RAM等实现。通过使用预定的信号处理电路分析嵌有电子水印的物理数据，嵌入位置指定单元3021根据对应于该数据的信号的特征指定电子水印信息的嵌入位置。在指定电子水印信息的嵌入位置时，嵌入位置指定单元3021将关于指定嵌入位置的信息通知给电子水印提取单元3023。应当注意，如果在受控制器具125等与分析服务器34之间预先确定了电子水印的嵌入位置，则可无需执行嵌入位置的指定处理。

电子水印提取单元3023例如由CPU、ROM、RAM等实现。电子水印提取单元3023基于关于由嵌入位置指定单元3021提供的嵌入位置的信息从物理数据中提取电子水印信息。电子水印提取单元3023将从物理数据中提取出的电子水印发送给下文描述的电子水印验证单元3025。

电子水印验证单元3025例如由CPU、ROM、RAM等实现。电子水印验证单元3025首先基于与受控制器具125共享的共享信息等以及由电子水印提取单元3023提取的物理数据生成电子水印信息。为生成电子水印信息，使用哈希函数、伪随机数生成器、共有密钥加密、共享密钥加密(例如，消息认证码MAC)等。此后，电子水印验证单元3025将生成的电子水印信息与由电子水印提取单元3023提取的电子水印信息进行比较。

如果生成的电子水印信息和提取的电子水印信息相同，则电子水印验证单元3025判断出由受控制器具125等生成的物理数据等未被篡改。同时，如果所生成的电子水印信息和所提取的电子水印信息不相同，则电子水印验证单元3025判断出物理数据被篡改。

如果物理数据被篡改，则电子水印验证单元3025通知电力管理设备11或者用户本人。通过这样做，电力管理设备11或者用户本人能够将其操作被修改的受控制器具125等排除在局部电力管理系统1之外。

此外，如果电子水印信息是通过使用物理数据和共享信息并且使用时间信息生成的，则还可以验证管理局部电力管理系统1的电力管理设备是否被接管，如上所述。

第一验证单元的配置

接着，将参考图61具体描述第一验证单元3009的配置。

如上所述，第一验证单元3009基于从电力管理设备11发送的蓄电池和器具的传感器信息和执行命令信息、在分析服务器34中预先登记的关于蓄电池和器具的信息、使用环境信息和使用历史信息而提取特征量。此后，第一验证单元3009基于所提取的特征量来高速地检测差别和异常。

如图61所示，第一验证单元3009包括验证控制单元3031、操作判定单元3033、数据库管理单元3035、病毒定义文件管理单元3037和共享信息生成单元3039。第一验证单元3009还包括电力管理设备数据库3041、判定词典3043和病毒定义文件数据库3045。

验证控制单元3031例如由CPU、ROM、RAM等实现。验证控制单元3031控制启发式验证处理并且与第一验证单元3009的各处理单元合作，其中，启发式验证处理使用由第一验证单元3009执行的统计处理。

操作判定单元3033例如由CPU、ROM、RAM等实现。操作判定单元3033输入从待验证的电力管理设备11获取的诸如传感器信息和执行命令信息的各种信息，并且基于处于验证中的电力管理设备11或其它电力管理设备11的历史信息等判断处于验证中的电力管理设备11的操作是正常还是异常。由操作判定单元3033执行的判断处理在后文描述。

数据库管理单元3035例如由CPU、ROM、RAM等实现。数据库管理单元3035将从电力管理设备11发送的诸如新蓄电池和器具的传感器信息、执行命令信息以及历史信息的各种信息存储在数据库3041中，并且还更新判定词典3043。数据库管理单元3035定期比较指定的电力管理设备11的统计与其它电力管理设备11的数据的统计，并且测试是否存在蓄意生成的数据。

病毒定义文件管理单元3037例如由CPU、ROM、RAM等实现。病毒定义文件管理单元3037将已经被操作判定单元3033判断为异常的执行命令信息定义为病毒模式，并且生成病毒定义文件。病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中以更新数据库，并且还经由验证控制单元3031将生成的病毒定义文件发送至外部。

共享信息生成单元3039收集已被操作判定单元3033检测为异常的电力管理设备11上的信息(例如蓄电池/器具上的传感器信息、执行命令信息、蓄电池/器具上的器具信息、使用历史信息等)作为共享信息。此后，共享信息生成单元3039经由验证控制单元3031和获取数据验证控制单元3007将生成的共享信息输出至第二验证单元3011。

通过使用共享信息来更新用于仿真的设置信息(参数等)，第二验证单元3011能够进一步提高仿真精度。

电力管理设备数据库3041是存储在第一验证单元3009中的数据库的一个示例。在该数据库中存储各种信息，如关于蓄电池和器具的器具信息、使用环境信息和每个电力管理设备11的使用历史信息。

判定词典3043是存储在第一验证单元3009中的另一数据库并且在操作判定单元3033启发式地判决操作时存储关于特征量的信息。这样的特征量是在提供特定条件(器具信息、使用环境信息等)时关于典型传感器信息的统计并且基于电力管理设备数据库3041而生成。

病毒定义文件数据库3045是存储在第一验证单元3009中的又一数据库。病毒定义文件数据库3045存储由病毒定义文件管理单元3037生成的病毒定义文件。

这完成了对第一验证单元3009的配置的具体描述。

第二验证单元的配置

接着，将参考图62具体描述第二验证单元3011的配置。

如上所述，第二验证单元3011通过基于随时间和使用环境的变化、使用历史、使用状态和蓄电池的特征信息进行仿真来计算正常操作范围，并且高速地检测差别和异常。第一验证单元3009进行的验证是使用来自病毒环境等的统计信息的高速判定方法，而第二验证单元3011进行的验证是耗时的。但是，第二验证单元3011可以高精度地计算真品的质量劣化。

第二验证单元3011包括使用从第一验证单元3009输出的共享信息来将在进行仿真时使用的各设置信息(参数)更新为适当值的功能。

如图62所示，第二验证单元3011还包括特征估计值计算单元3051、数据库3053以及数据判定单元3055。

特征估计值计算单元3051由例如CPU、ROM、RAM等实现。特征估计值计算单元3051基于从要被验证的电力管理设备11获取的器具信息、电气规格和特征信息以及使用历史信息进行仿真，以计算特征估计值。特征估计值是表明器具是否正确操作的指标(即，正常操作范围)。当进行仿真时，特征估计值计算单元3051获取数据库3053中登记的用于仿真的各种参数。

数据库3053是存储在第二验证单元3011中的数据库，并且存储当特征估计值计算单元3051进行仿真时使用的各种设置信息(参数)。如上所述，由第二验证单元3011使用从第一验证单元3009输出的共享信息来更新数据库3053中存储的参数。

数据判定单元3055由例如CPU、ROM、RAM等实现。数据判定单元3055将从要被验证的电力管理设备11获取到的各种数据与由特征估计值计算单元3051计算的估计值作比较，并判断从要被验证的电力管理设备11获取的各种数据。通过使用任意逻辑，数据判定单元3055能够检测蓄电池/器具或传感器的异常，并且作为一个示例，当实际值和特征估计值之间的差等于或高于特定阈值时，或当该差别等于或低于该阈值时，数据判定单元3055能够判断在器具中出现了异常。

在第二验证单元3011中，物理仿真中使用的参数能够被纠正为更加真实的值。还可以将这样的信息发送给蓄电池或器具制造商，以将未预先想到的故障通知给制造商。

这完成了对第二验证单元3011的配置的具体描述。

以上描述了根据本实施例的分析服务器34的功能的一个示例。上述的组成部件可以使用通用部件和/或电路来构建，或者可以由专用于各组成部件的功能的硬件来构建。可选地，各组成部件的功能可以都由CPU等执行。因此，当实施本实施例时，可以根据主导的技术水平适当改变使用的配置。

应当注意，用于实现上述根据本实施例的分析服务器的功能的计算机程序可以在个人计算机等中创建和安装。也可以提供存储有这样的计算机程序的计算机可读记录介质。例如，记录介质可以是磁盘、光盘、磁光盘、闪速存储器等。上述计算机程序也可以通过例如网络发布，而不使用记录介质。

(1-21)指定要排除的蓄电池的处理

接着，将参考图63描述由具有上述功能的分析服务器34执行的用于指定要排除的蓄电池的处理。图63是用于说明要排除的蓄电池的示图。

图63中示出的表是局部电力管理系统1中使用的蓄电池的可想到的状态的列表。如图63的顶部所示，局部电力管理系统1中使用的蓄电池包括储存电力的一个或多个电池、用于控制所述一个或多个电池的电路板以及该电路板上设置的认证芯片。所述电池和包括认证芯片的电路板的可想到的状态可大致分为表中所示的七种情况。

情况1至情况3是由真品电池和真品电路板组成的蓄电池中可能出现的状态。情况4至情况7是使用假冒电池的蓄电池中可能出现的状态。

在所述七种情况中，情况1、情况2和情况4的电池特征没有问题，并且输出正确的器具状态。由于归入这些情况中的蓄电池在估计范围内劣化或者为具有不成问题的特征或信息的副本，所以这样的蓄电池出现在局部电力管理系统中时不会引起大的问题。

但是，对于归入情况3和情况5至7中的蓄电池，当电池的特征或器具信息与具有正常使用的真品的情况比较时生成差异，并且由于这样的产品存在多种风险，所以需要将这样的蓄电池排除在局部电力管理系统1之外。

由于该原因，通过使用上述多种验证处理，根据本实施例的分析服务器34能够指定应当被排除的上述蓄电池。

随后将具体描述由分析服务器34执行的用于指定要排除的蓄电池的处理。

(1-22)保护电力管理设备免受非法攻击的方法

接着，将参考图64描述防止对电力管理设备的非法攻击的保护方法的总体流程。图64是用于说明防止对电力管理设备的非法攻击的保护方法的流程图。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以登记防止非法攻击的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、时机等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查非法攻击的存在的时刻(步骤S3001)。如果未到达该检查时刻，则电力管理设备11的系统管理单元1125等待到达该检查时刻。如果已到达该检查时刻，则电力管理设备11的系统管理单元1125使用到目前为止存储在电力管理设备11中的攻击模式文件(病毒定义文件)以搜索系统(步骤S3003)。

当在模式检查中存在问题时，电力管理设备11的系统管理单元1125在电力管理设备11中存储的器具排除列表中登记有问题的器具，并且控制单元115从系统中排除有问题的器具(步骤S3005)。

如果在模式检查中不存在问题，则电力管理设备11的器具管理单元1121从包括连接至系统的蓄电池的各器具收集诸如传感器信息和执行命令信息的各种信息(步骤S3007)。此后，电力管理设备11的器具管理单元1121通过相互认证访问分析服务器34(步骤S3009)。当已建立连接时，电力管理设备11对电力管理设备的ID、每个器具的蓄电池ID、蓄电池的输出信息、电力管理设备的传感器信息和执行命令信息进行加密，并且将加密的信息发送至分析服务器34(步骤S3011)。

分析服务器34的获取数据验证单元3005判断在从电力管理设备11发送的各种数据中是否存在任何异常(步骤S3013)。当不存在异常时，获取数据验证单元3005将关于电力管理设备11的获取数据添加至数据库中(步骤S3015)并且将分析结果通知给电力管理设备11(步骤S3017)。

同时，当在步骤S3013中识别出异常时，分析服务器34的获取数据验证单元3005生成病毒定义文件(步骤S3019)。分析服务器34的获取数据验证单元3005检查在识别出异常的电力管理设备11中是否出现很多异常(步骤S3021)。当判断出出现很多异常并且电力管理设备11已成为攻击等的发射台时，分析服务器34向系统管理服务器33通知异常(步骤S3023)。已收到报告的系统管理服务器33例如通过将涉及的设备置于黑名单中而排除该设备(步骤S3025)。分析服务器34还将步骤S3019中生成的分析结果和病毒定义文件发送至电力管理设备11(步骤S3027)。电力管理设备11的系统管理单元1125接收该结果并且进行适当处理，诸如在存在病毒定义文件时更新该病毒定义文件(步骤S3029)。

这完成了对防止对电力管理设备的非法攻击的保护方法的总体流程的说明。

(1-23)排除蓄电池的方法

接着，将参考图65描述由分析服务器34执行的用于指定要排除的蓄电池的处理以及由电力管理设备11执行的用以排除这样的蓄电池的处理。图65是用于说明排除蓄电池的方法的流程图。

根据本实施例的分析服务器34基于从电力管理设备11发送的信息检测在蓄电池中是否存在异常，并且在出现了异常时通知电力管理设备11。已收到关于异常的通知的电力管理设备11进行一系列操作，诸如停止向异常蓄电池供应电力。

应当注意，在以下说明开始之前，假设已设置电力管理设备11以登记排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、时机等。

电力管理设备11的系统管理单元1125首先判断是否已到达用于检查蓄电池风险的时刻(步骤S3031)。如果未到达该检查时刻，则电力管理设备11的系统管理单元1125等待到达该检查时刻。如果已到达该检查时刻，则电力管理设备11的器具管理单元1121请求包括蓄电池的受控制器具125等发送蓄电池信息(蓄电池初级信息)。作为响应，包括蓄电池的各受控制器具125将蓄电池信息发送给电力管理设备11(步骤S3033)。电力管理设备11检查是否已从每个器具获取了蓄电池信息(步骤S3035)。应当注意，尽管不是绝对必须从每个器具获取蓄电池信息，但是优选检查所有器具。

电力管理设备11的器具管理单元1121通过相互认证访问分析服务器34(步骤S3037)。当已建立连接时，电力管理设备11将电力管理设备的ID、每个器具的蓄电池ID以及蓄电池的初级信息发送至分析服务器34(步骤S3039)。

分析服务器34的获取数据验证单元3005使用从电力管理设备11发送的各种数据来计算特征估计值，并将获取的数据与计算的特征估计值作比较。这样做之后，分析服务器34的获取数据验证单元3005向电力管理设备11通知获取的结果(步骤S3041)。

电力管理设备11的系统管理单元1125判断得到的结果(步骤S3043)。当该结果为不存在异常时，电力管理设备11的器具管理单元1121检查从传感器收集的物理信息(步骤S3045)并且如果不存在问题则结束处理。

当在步骤S3043中存在异常时，电力管理设备11的控制单元115向配电设备121发出用于具有异常蓄电池的器具的电力供应停止命令(步骤S3047)。配电设备121根据来自电力管理设备11的命令停止向这样的器具供应电力(步骤S3049)。电力管理设备11的系统管理单元1125将存在异常的器具的ID置于撤销列表上，并且器具管理单元1121断开器具的信息网络(步骤S3051)。

通过执行上述处理，分析服务器34能够指定要排除的蓄电池，并且电力管理设备11能够从系统中排除此类要排除的蓄电池。

(1-24)由获取数据验证单元进行的验证处理

接着，将参考图66A和图66B描述分析服务器34的获取数据验证单元3005进行的验证处理的总体流程。图66A和图66B为用于说明由获取数据验证单元进行的验证的流程图。

分析服务器34的获取数据验证单元3005的获取数据验证控制单元3007首先获取从电力管理设备11发送的各种数据(步骤S3061)。接着，获取数据验证控制单元3007使用预定过滤器测试所获取的数据(步骤S3063)。作为示例，过滤器可以针对从指定电力管理设备11发送大量信息的DoS攻击提供保护，可以用作防火墙，和/或可以拒绝非标准通信。

如果在对获取的数据进行的过滤处理中检测到异常，则获取数据验证控制单元3007输出异常判断(步骤S3083)，实施指定的报警处理(步骤S3085)，并且结束流程。作为一个例子，可以针对系统管理服务器33或与讨论的电力管理设备有关的另一服务器执行该报警处理。

同时，如果在对获取的数据进行的过滤处理中未检测到异常，则获取数据验证控制单元3007对所获取的数据实施简化的判断处理(步骤S3065)。假设简化的判断包括由分析服务器34检测预先了解的病毒模式，由第一验证单元3009执行简化的判断，和/或针对典型使用进行匹配，这样的处理通常高速执行。当可以在该阶段明确确认操作正常时，输出正常判断(步骤S3081)并且结束流程。

同时，如果该简化判定判断出存在异常或者如果无法判断，则获取数据验证控制单元3007判断使用以下描述的三个判断处理(标号为模式1至模式3)中的哪一个(步骤S3067)。

模式1是选择关联判断处理的模式，该关联判断处理使用第一验证单元3009和第二验证单元3011的组合。

例如，获取数据验证控制单元3007首先通过第一验证单元3009的统计处理进行判断(步骤S3069)，并且还从发送的信息中掌握蓄电池/器具的物理特征。这里，获取数据验证控制单元3007判断处理路径(步骤S3071)并且判断是要输出最终结果(步骤S3075)还是执行第二验证单元3011的验证(步骤S3073)。当还执行第二验证单元3011的验证时，第二验证单元3011基于从第一验证单元3009接收的共享信息(即，物理特征)来更新仿真中使用的物理参数，并且基于发送的信息执行仿真。另外，第一验证单元3009基于通过第二验证单元3011的验证获得的发现来更新判定词典，并且基于统计处理再次执行判断。

还可以选择如下判断处理：在由验证单元之一进行的判断中明确建立应当更加详细研究的点，然后将该点反馈给另一验证单元进行的判断。这样，模式1是通过第一验证单元3009与第二验证单元3011的互补使用来提高判断精度的方法。

模式2是选择线性判断处理的模式，其中，第一验证单元3009的验证和第二验证单元3011的验证按该顺序进行。

更具体地，获取数据验证控制单元3007首先实施使用能够在相对较短处理时间内进行判断的第一验证单元3009来实施验证(步骤S3077)，并且，如果判断结果不正常，则切换到需要较长处理时间的由第二验证单元3011执行的验证(步骤S3079)。这里，假设由第一验证单元3009执行的验证是比简化判定中的验证更为详细的调查。

当使用模式2时，如果由第一验证单元3009的验证生成“正常”判断，则获取数据验证控制单元3007输出正常判断(步骤S3081)并且流程结束。

在图66A中，假设了首先实施相对较快的第一验证单元3009的验证的情况，但是也可以首先实施第二验证单元3011的验证。

模式3是选择并行判断处理的模式，其中，同时使用第一验证单元3009的验证和第二验证单元3011的验证。

获取数据验证控制单元3007决定执行第一验证单元3009和第二验证单元3011两者的验证还是仅使用这些验证单元之一执行验证，并且决定研究什么属性(步骤S3087)。第一验证单元3009(步骤S3089)和第二验证单元3011(步骤S3091)执行各自的调查，并且获取数据验证控制单元3007基于来自这两个处理单元的调查结果执行最终判断(步骤S3093)。

应当注意，尽管可以执行上述三种方法(模式)之一，但是也可以并行执行这三种方法。还可以根据要调查的属性信息和/或传感器信息的范围等自适应地分配这些方法。还应当可以通过并行使用多个模式1至3代替单独使用模式1至模式3来生成潜在高速模型。

(1-25)第一验证单元的验证处理的流程

接着，将参考图67描述第一验证单元的验证处理的流程。图67是用于说明第一验证单元的验证处理的流程图。

第一验证单元3009的验证控制单元3031首先获取要验证的电力管理设备11的蓄电池/传感器信息和执行命令信息中的至少之一作为验证数据(步骤S3101)。接着，操作判定单元3033执行调整所获取信息(例如，蓄电池或器具的传感器信息)的数据格式的预处理(步骤S3103)。

此后，操作判定单元3033指定特定的属性信息(例如，器具信息、使用环境信息)，并且根据这些属性从已由预处理调整后的数据(蓄电池或器具的传感器信息，执行命令信息)提取特征量(步骤S3105)。由于在提取特征量时指定的属性信息的典型特征量是预先根据要验证的电力管理设备或其它电力管理设备的使用历史计算出的，所以所指定属性信息的典型特征量会存储在判定词典中。

应当注意，特征量如下：

由未处于验证中的电力管理设备的蓄电池/传感器信息和使用历史给出的特征量；

由处于验证中的电力管理设备的蓄电池/传感器信息/历史给出的特征量；

未处于验证中的电力管理设备的执行命令的特征；

处于验证中的电力管理设备的执行命令的特征；

接着，第一操作判定单元3033将指定属性信息的典型特征量和计算出的特征量进行比较(步骤S3107)并且输出判断结果(步骤S3109)。作为一个示例，操作判定单元3033能够在这两个特征量之间相关度低时判断出出现异常，并且在相关度高时能够判断出状态正常。

另一操作判定单元3033也可以对于相同的特征量或不同的特征量执行同样的处理(步骤S3111至步骤S3115)并且输出判断结果。

此后，验证控制单元3031可以基于来自每个操作判定单元3033的判断结果给出为正常/异常的最终判断(步骤S3117)。例如，验证控制单元3031可以在每个操作判定单元3033给出为正常/异常的判断时给出择多判断。可选地，验证控制单元3031可以使用以下方法：通过对于正常使用权重1且对于异常使用权重0来计算总和，并且在该总和等于或大于阈值时给出为正常的最终判断。当计算相关度或函数值时，验证控制单元3031可发现采用了与以上相同的权重的总和，然后使用阈值进行判断或使用某类型函数。

验证控制单元3031将如上所述获得的总体判断结果输出至获取数据验证控制单元3007(步骤S3119)并结束验证处理。获取数据验证控制单元3007将获得的验证结果输出至电力管理设备、用户本人和提供其它服务的服务器等。

应当注意，作为示例，操作判定单元3033可以使用诸如最近邻近原则、感知器、神经网络、支撑矢量机、多变量分析或提升(Boosting)等方法作为判断函数。判断函数的参数可以预先基于另一电力管理设备11上的数据和/或物理数据而通过学习确定。

应当注意，如果通过上述处理最终识别出异常，则病毒定义文件管理单元3037从对其识别出异常的执行命令信息中提取模式，并且生成病毒定义文件。

(1-26)数据库管理单元的测试处理

接着，将参考图68描述第一验证单元3009的数据库管理单元3035的测试处理。图68是用于说明数据库管理单元的测试处理的流程图。

在数据库管理单元3035中，关于从指定的电力管理设备11获取的数据的统计定期与关于从另一电力管理设备获取的数据的统计进行比较，并且进行关于是否存在蓄意生成的数据的测试。

为了通过操作判定单元3033检测异常操作，数据库管理单元3035预先从自多个电力管理设备收集的各种信息(例如，蓄电池或器具的传感器信息)正常地提取用于比较目的的特征量。

这里，存在恶意的电力管理设备11发送被篡改的蓄电池或器具的传感器信息等以操纵特征量的风险。因为这个原因，通过将从具有指定属性信息(例如，器具信息和使用环境信息)的指定电力管理设备的使用历史信息提取出的特征量与具有相同属性信息的多个其它电力管理设备的使用历史提取出的特征量进行比较，病毒定义文件管理单元3037可检测出这种攻击。

首先，关于指定的属性信息，数据库管理单元3035首先获得要被判断为恶意或正常的电力管理设备的传感器信息或执行命令信息(步骤S3121)，并且从获取的信息提取特征量(步骤S3123)。数据库管理单元3035从具有相同属性信息的多个其它电力管理设备获取同一信息(步骤S3125)，并且使用相同方法提取特征量(步骤S3127)。

接着，数据库管理单元3035比较已提取的两个特征量并且判断当前关注的指定电力管理设备是否在非法操纵特征量(步骤S3129)，并且输出最终结果(步骤S3131)。可选地，数据库管理单元3035可以对其它属性执行相同的比较和判断，然后决定最终结果。应当注意，先前所列的判断函数之一被用于特征量的比较和判断，其中，通过学习预先计算用于此函数的参数。

当判断结果为电力管理设备是恶意时，则分析服务器34通知拥有该电力管理设备11的用户和/或电力公司的服务提供服务器等。

(1-27)数据库的更新以及判定词典的生成

接着，将参考图69简要描述由数据库管理单元3035进行的数据库的更新和判定词典的生成。图69是用于说明由数据库管理单元进行的数据库的更新和判定词典的生成的示图。

数据库管理单元3035将来自电力管理设备11的新的传感器信息和执行命令信息等存储在电力管理设备数据库3041中，并且还生成由操作判定单元3033使用的判定词典3043。

定期发送自电力管理设备11的传感器信息和执行命令信息以及在登记期间发送自电力管理设备11的器具信息、使用环境信息等通过验证控制单元3031被存储在电力管理设备数据库3041中。还基于传感器信息计算指定电力管理设备11的使用时间、使用频率等并将其存储在电力管理设备数据库3041中。

针对指定属性信息之外的各属性，基于多个电力管理设备11的传感器信息、执行命令信息等提取的特征量被存储在由操作判定单元3033使用的判定词典3043中。由于假设在起始阶段少数样本存储在判定词典3043中，所以从电力管理设备11发送关于各器具的物理数据并且估计特征量。此外，由于对于指定属性信息而言样品数量可能少，所以在一些情况下，可以从物理数据提取特征量并将其用于纠正判定词典3043中存储的特征量。

(1-28)管理病毒定义文件的方法

接着，将参考图70简要描述由病毒定义文件管理单元3037执行的管理病毒定义文件的方法。图70是用于说明由病毒定义文件管理单元执行的管理病毒定义文件的方法的流程图。

病毒定义文件管理单元3037将在由操作判定单元3033进行的判断中被判断为异常的执行命令信息定义为病毒模式，以生成病毒定义文件。此后，病毒定义文件管理单元3037将生成的病毒定义文件存储在病毒定义文件数据库3045中。

在生成病毒定义文件之前，首先，操作判定单元3033判断出特定电力管理设备11的操作异常(步骤S3141)。此后，病毒定义文件管理单元3037分析由操作判定单元3033判断为异常的执行命令信息并提取模式(步骤S3143)。

接着，病毒定义文件管理单元3037基于提取的模式生成文件(病毒定义文件)(步骤S3145)并且将生成的定义文件存储在病毒定义文件数据库3045中。病毒定义文件管理单元3037将生成的定义文件通过获取数据验证控制单元3007发送至电力管理设备11(步骤S3149)。每个电力管理设备11和分析服务器34能够使用该定义文件作为用于检测病毒的过滤器。

病毒定义文件管理单元3037分析包括从中提取了模式的执行命令信息的电力管理设备11的使用历史信息。结果，如果从电力管理设备11频繁发生异常，则在一些情况下，电力管理设备11被认作为恶意攻击者并且被登记在黑名单中(步骤S3151)。病毒定义文件管理单元3037也可以向电力公司报告存在这样的电力管理设备11。

注意，当电力管理设备被登记在黑名单中时，来自所登记的电力管理设备的通信接收会被拒绝和/或警告其它电力管理设备。

(1-29)指定要排除的蓄电池的方法的流程

接着，将参考图71A至图72说明由获取数据验证单元3005实施以指定要排除的蓄电池的方法的流程。图71A至图72是用于说明由获取数据验证单元实施以指定要排除的蓄电池的方法的流程图。

首先，将参考图71A至图71C说明指定对应于图63中的情况3、5、6的蓄电池的处理。

应当注意，在以下说明开始之前，假设电力管理设备11已被设置以便签署排除蓄电池风险的服务(即，由分析服务器34提供的服务)并且已预先设置这样的服务的执行频率、时机等(步骤S3161)。

如果检查蓄电池风险的时刻已到，则电力管理设备11的系统管理单元1125请求受控制器具125执行性能检查(步骤S3163)，该受控制器具125为受电力管理设备11管理的被管理器具。

受控制器具125的主单元随后请求与其连接的蓄电池以获取关于蓄电池的与电压/电流/剩余电荷/阻抗/负载等有关的暂时状态信息(即电池特征)D1以及器具信息D2(步骤S3165)。

连接至受控制器具125的蓄电池获取信息D1和D2(步骤S3167)，并且将所述信息和蓄电池的ID信息通过受控制器具125的主单元发送至电力管理设备11(步骤S3169)。

电力管理设备11的器具管理单元1121将获取的信息存储在电力管理设备11中存储的数据库中(步骤S3171)。电力管理设备11还向分析服务器34发出特定询问(步骤S3173)。此后，电力管理设备11与分析服务器34进行认证(步骤S3175)并且与分析服务器34建立通信路径。

接着，电力管理设备11的系统管理单元1125将获取的信息(D1、D2和蓄电池的ID信息)发送至分析服务器34(步骤S3177)。

分析服务器34中的获取数据验证单元3005的第二验证单元3011使用获取到的数据来执行特征估计计算(步骤S3179)以计算关于信息D1和D2的特征估计值。此后，第二验证单元3011计算实际测量值与估计值之间的差并判断结果(步骤S3181)。接下来，分析服务器34向电力管理设备11发送获得的判断结果(步骤S3183)。

这里，针对各情况，步骤S3181中获得的判断结果预期如下：

(情况3)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况5)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

(情况6)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之外。

已获取此判断结果的电力管理设备11执行用于处理异常的处理(步骤S3185)。更具体地，电力管理设备11的器具管理单元1121命令配电设备121停止向出现了异常的受控制器具125供应电力(步骤S3187)。配电设备121接收该命令并停止向受控制器具125供应电力(步骤S3189)。

同时，电力管理设备11的系统管理单元125向用户发出警告(步骤S3191)并且更新撤销列表(步骤S3193)。此后，电力管理设备11断开有问题的受控制器具125的网络(步骤S3195)。

注意，虽然图71A中示出了分析服务器34指定要排除的电池的处理，但是如果电力管理设备11具有计算特征估计值的功能，则可执行图71C中所示的处理以代替图71A中的步骤S3177到S3183。更具体地，电力管理设备11从分析服务器34请求计算特征估计值所需的信息，比如特征值(步骤S3201)。当接收到这样的请求时，分析服务器34将计算特征估计值所需的信息发送到电力管理设备11(步骤S3203)。此后，电力管理设备11使用获取到的信息来计算特征估计值(步骤S3205)并判断结果(步骤S3207)。通过以这种方式执行处理，电力管理设备11也可以指定要排除的电池。

接着，将参考图72描述用于指定和排除对应于情况7的蓄电池的流程。直到指定对应于情况7的蓄电池的处理与图71A中示出的步骤S3161至S3183相同。但是，对于对应于情况7的蓄电池的判断结果如下。

(情况7)

关于D1的差异：在指定范围之外；关于D2的差异：在指定范围之内。

已获取以上判断结果的电力管理设备11执行用于处理异常的处理(步骤S3211)。更具体地，电力管理设备11的器具管理单元1121将传感器检查命令和增加检查频率的命令发送至受控制器具125(步骤S3213)。在收到此命令时，受控制器具125实施收到的命令并且请求传感器执行测量(步骤S3215)。结果，传感器输出关于警告的传感器信息(步骤S3217)。

已获取关于警告的传感器信息的电力管理设备11命令配电设备121停止向出现异常的受控制器具125供应电力(步骤S3219)。配电设备121接收该命令并停止向受控制器具125供应电力(步骤S3221)。

同时，电力管理设备11的系统管理单元1125向用户发出警告(步骤S3223)并更新撤销列表(步骤S3225)。此后，电力管理设备11断开有问题的受控制器具125的网络(步骤S3227)。

这完成了对于指定要排除的蓄电池的方法和排除蓄电池的方法的流程的描述。

由于具有上述分析服务器34，可以保护电力管理设备11免受已有攻击以及未知攻击。根据本实施例的分析服务器34的获取数据验证单元3005具有能够进行启发式的或者基于物理分析的判断的功能，这意味着当出现问题时能够高速进行判断。

此外，通过使用由获取数据验证单元3005生成的验证结果，可以指定已针对从合法蓄电池和非法蓄电池(如复制品)中的任一个获得的物理信息或数字信息识别出差异的器具。通过这样做，可以从局部电力管理系统1中去除有问题的蓄电池，或者停止向这样的蓄电池供应电力。对蓄电池颁发了多种安全措施，但是即使在通过这些安全措施无法控制时，也可以通过本发明来确保保持安全。

(1-30)当存在多个电力管理设备时的处理

接着，将参考图73至图75描述在局部电力管理系统1中存在多个电力管理设备11时的处理。

这里，将参考图73到图75描述多个电力管理设备11的使用。如上所述，电力管理设备11充当向局部电力管理系统1中的器具等供电的总体管理器。这意味着如果电力管理设备11故障或由于软件升级而停止，则无法使用局部电力管理系统1中的器具等。为了防备这样的情况，优选的是使用多个电力管理设备11。然而，电力管理设备11充当针对电力相关信息的总体管理器，并控制局部电力管理系统1中的各种器具等。这意味着需要特定措施来使得多个电力管理设备11安全并高效地执行复杂管理和控制。一个可想到的措施是如图73到图75中显示的方法。

控制操作

首先，将参考图73描述使用多个电力管理设备11控制器具等的方法。应当注意，多个电力管理设备11的协同操作通过信息管理单元112中包括的系统管理单元1125的功能来实现。

如图73所示，首先，系统管理单元1125检查是否有两个或更多电力管理设备11处于工作中(步骤S4001)。在进行检查时，系统管理单元1125使用局部通信单元111的功能来询问其它电力管理设备11的系统管理单元1125并检查这些电力管理设备11是否工作。当有两个或更多电力管理设备11工作时，系统管理单元1125的处理进入步骤S4003。同时，在没有其它电力管理设备11工作时，系统管理单元1125的处理进入步骤S4009。

当处理从步骤S4001进入到步骤S4003时，系统管理单元1125将指定的电力管理设备11设置为父装置并将其余电力管理设备11设为子装置(步骤S4003)。例如，当预先决定了用于将电力管理设备设置为父装置的基于优先级的顺序时，具有最高优先级等级的电力管理设备11被设置为父装置。应当注意，这里使用的表述“父装置”和“子装置”是指电力管理设备11的属性。通过设置该属性，在控制器具等时，具有“子装置”属性的电力管理设备11将控制信号发送至具有“父装置”属性的电力管理设备11(步骤S4005)。

当从多个子装置向父装置发送了控制信号时，父装置的系统管理单元1125基于择多判决或父装置进行的判断(随机地或者根据预定条件)，决定要发送至器具等的控制信号(步骤S4007)。一旦决定了控制信号，控制单元115将系统管理单元1125所决定的控制信号发送至器具等，以使该器具等根据控制信号执行处理(步骤S4011)并结束该系列处理。同时，在处理已从步骤S4001进入到步骤S4009时，控制单元115将自身生成的控制信号发送至器具等，以使该器具等根据控制信号进行处理(步骤S4009)并结束该系列处理。

这样，系统管理单元1125具有用于设置每个电力管理设备11的属性的功能以及用于选择控制信号的功能。系统管理单元1125能够使用这样的功能高效地控制器具等。在一个或多个电力管理设备11已损坏或者已由于更新目的而停用时，还可以使另一个电力管理设备11继续电力管理，从而避免器具等变得不可用的情况。

更新期间的操作

接着，将参考图74和图75描述更新用于定义电力管理设备11的基本操作的软件的方法。应当注意，对于固件的更新处理由系统管理单元1125的功能实现。这里，假设局部电力管理系统1中有N个电力管理设备11处于工作中。

如图74所示，系统管理单元1125首先检查是否有两个或更多电力管理设备11处于工作中(步骤S4021)。当有两个或更多电力管理设备11在工作时，系统管理单元1125的处理进入步骤S4023。同时，在没有其它电力管理设备11在工作时，系统管理单元1125结束关于更新的一系列处理。

当处理进入到步骤S4023时，系统管理单元1125从协同操作中去除要更新的第一电力管理设备11并执行更新(步骤S4023)。这样做时，已从协同操作中被去除的电力管理设备11的系统管理单元1125从系统管理服务器33获取最新的固件并且将旧的固件更新为最新的固件。当完成了对固件的更新时，协同操作的其余电力管理设备11检查已完成更新的电力管理设备11的操作(步骤S4025、S4027)。

如果电力管理设备11操作正常，则处理进入到步骤S4029。同时，如果更新后的电力管理设备11操作不正常，则处理进入到步骤S4031。当处理进入到步骤S4029时，包括更新后的电力管理设备11的多个电力管理设备11的系统管理单元1125使更新后的电力管理设备11回到协同操作中(步骤S4029)，并且变更要更新的电力管理设备11。此时，检查是否针对所有N个电力管理设备11完成了更新(步骤S4033)，并且在N个设备的更新完成时，更新处理结束。

同时，当未针对所有N个电力管理设备11完成更新时，处理返回至步骤S4023并且对下一个要更新的电力管理设备11进行更新处理。这样，重复执行步骤S4023至步骤S4029中的处理直到完成对所有N个电力管理设备11的更新。但是，当处理从步骤S4027进入步骤S4031时，进行更新取消处理(步骤S4031)，并且结束关于更新的一系列处理。

这里，将参考图75描述更新取消处理。

如图75所示，当开始更新取消处理时，更新后的电力管理设备11的系统管理单元1125将更新后的电力管理设备11的固件返回到更新前的状态(步骤S4041)。此后，协同操作的其余电力管理设备11的系统管理单元1125检查已返回至更新前的状态的电力管理设备11是否正常操作(步骤S4043、S4045)。

如果返回至更新前的状态的电力管理设备11正常操作，则处理进入到步骤S4047。同时，如果返回至更新前的状态的电力管理设备11操作不正常，则更新取消处理以此状态结束。当处理进入到步骤S4047时，包括返回至更新前的状态的电力管理设备11在内的多个电力管理设备11的系统管理单元1125将返回至更新前的状态的电力管理设备11返回到协同操作(步骤S4047)并且更新取消处理结束。

这样，在更新期间进行如下处理：使要更新的电力管理设备11脱离协同操作的处理，并且在更新后确认操作正常时使电力管理设备11返回协同操作。如果更新失败，还执行如下处理：在电力管理设备返回至更新前状态后检查正常操作，并且如果确认了操作正常，则将电力管理设备11返回至协同控制。通过使用这种配置，能够进行更新而不影响协同操作的电力管理设备11并且保证电力管理设备11的安全操作。

(2)第二实施例

(2-1)第二实施例概述

局部电力管理系统是向低能量社会转型的一个标志，但是目前，由于安装所需要的工作的原因，这样的系统仍有待变得普遍。这种情形意味着，将其它有吸引力的方面加入到系统安装和使用中以鼓励更多用户安装系统从而实现低能量社会很重要。这样的附加吸引力的一个示例为提供与局部电力管理系统关联的娱乐(例如游戏)。

目前在售的多数视频游戏是虚拟的。尽管有些游戏(例如关于历史事件或运动的游戏)使用真实人物和场所的名字和/或在游戏视频中使用实际片段，但是游戏自身还是与实际社会或现实生活没有联系。由于该原因，在下文描述的本发明第二实施例中，提出了现实生活的游戏，在该现实生活的游戏具有的故事情节中，游戏内容自身能够导致在单独的局部电力管理系统(例如，家庭系统)中降低能量使用。

另外，过去的游戏仅能够以诸如点、在游戏中收集的项目以及打通的关数等的无形形式吸引用户以及提供满足和成就感。但是，利用诸如以下描述的与系统关联的娱乐，能够在实际的局部电力管理系统的操作中实现有效的游戏可玩性和游戏中的策略。通过这样做，根据本实施例的与系统关联的娱乐具有能导致现实世界利益(诸如对电力的实际控制，降低电力消耗，有益于降低CO₂，以及从电力售卖中获利)的方面，并且同时具有切实的效果，从而用户能够获得现实世界的利益。

从以上应当看出，通过使用以下描述的与系统关联的娱乐，用户能够在进行生态友好的行为(例如降低电力消耗)时得到乐趣。

应当注意，尽管本实施例是应用于局部电力管理系统的示例，但是，还可以将本发明应用于任何与现实世界关联的游戏并具有切实效果。

与系统关联的娱乐由电力管理设备11的服务提供单元118以及在局部电力管理系统1之外存在的服务提供服务器31(游戏服务提供服务器)实现，该服务提供单元118操作用于被关联到电力管理设备11的各处理单元。此外，通过操作能够连接至电力管理设备11的受控制器具125，用户能够享受由游戏呈现的与系统关联的娱乐。

(2-2)服务提供单元的配置

首先，将参考图76和图77描述电力管理设备11的服务提供单元118的配置。图76和图77是用于说明电力管理设备的服务提供单元的配置的框图。

应当注意，假设根据本实施例的电力管理设备11包括根据本发明第一实施例的电力管理设备11的处理单元，并且能够实现与根据第一实施例的电力管理设备11相同的功能。

服务提供单元118例如由CPU、ROM、RAM等实现。如图76所示，服务提供单元118包括游戏服务提供单元1181和“其它服务”提供单元1182。

游戏服务提供单元1181例如由CPU、ROM、RAM等实现。游戏服务提供单元1181包括游戏控制单元1701、部件库1707和内容库1709。

游戏控制单元1701例如由CPU、ROM、RAM等实现。游戏控制单元1701是关联到部件库1707和游戏服务提供服务器31的处理单元并且进行游戏的基本设置，如游戏的背景故事和阶段。此外，当执行存储在内容库1709和/或游戏服务提供服务器31中的游戏程序时，游戏控制单元1701控制游戏程序的执行，以控制游戏如何进展。游戏控制单元1701包括现实世界构建单元1703和虚拟世界构建单元1705。

现实世界构建单元1703例如由CPU、ROM、RAM等实现。现实世界构建单元1703是指存储在电力管理设备11的存储单元113等中的数据库，并且构建集成有关于实际的局部电力管理系统1的信息的现实世界。

虚拟世界构建单元1705例如由CPU、ROM、RAM等实现。虚拟世界构建单元1705构建预先设置在内容程序中的虚拟世界。

游戏控制单元1701在将现实世界构建单元1703与虚拟世界构建单元1705彼此关联的同时实现与系统关联的娱乐。

游戏控制单元1701能够访问电力管理设备11中的数据库并且还具有对于电力管理设备11的控制执行路径。

由游戏控制单元1701控制的游戏在人物中包括另一局部电力管理系统1的成员，并且使得用户能够享受对战或者作为角色扮演游戏的成员远程操作游戏。应当注意，当允许其它系统的成员参与时，应当优选防止此类其它系统的成员访问本系统1的现实世界。

部件库1707是设置在游戏服务提供单元1181中的数据库。与游戏内容中出现的诸如虚拟家具、虚拟器具和人物的部分以及在游戏期间出现的项目等有关的信息被记录在部件库1707中。应当注意，部件库1707可存在于游戏服务提供服务器31中。

内容库1709是设置在游戏服务提供单元1181中的另一数据库。在内容库1709中存储能够由电力管理设备11执行的游戏内容的各种实际程序。

图77示出内容库1709中存储的游戏内容的一个示例。下面简要描述游戏内容的特定示例。

房间装饰(现实世界游戏)

该游戏具有以下构思：自房间的当前布局改变家具和家用器具的布局，搭配窗帘和地毯，购买新的家具和家用器具，以及争取生成具有最佳色彩和品位的内部设计。该游戏使得用户能够掌握器具所使用的总电量如何随着改变房间布局而变化，或者掌握当购买并设置了新的家用器具时电量发生什么变化。这里，提供能够显示具有现实世界属性(如制造商、设计和电力消耗)的项目的库。这样的库可以存储在游戏服务提供服务器31中。对于与现实世界关联的改进的项目，可以实施“结果应用模式”(在该模式中，游戏结果被应用于现实世界系统)。

送别电老虎(The Power Eaters)(现实世界+虚拟世界游戏)

该游戏显示当前房间中的当前电力使用并且关闭不需要的灯。该游戏还允许用户通过调整照明、音量等来争取降低电力和/或从售卖更多电力中获利。结果应用模式可针对该游戏的该部分实施。游戏还具有虚拟世界的概念，在该虚拟世界中，“电老虎”四处游走，将灯打开，而用户尽其最大可能争取打败该“电老虎”。

终极生活方式冒险队(现实世界+虚拟世界游戏)

该游戏由如下阶段组成：用户旨在使用实际家庭中存在的器具来实现终极低消耗生活方式的阶段，以及用户旨在使用虚拟家庭中的器具达到终极生活方式的阶段。

拯救地球！重现绿色大工程(虚拟世界游戏)

该游戏具有以下构思：用户争取从由CO2排放引起的全球变暖危机中存活下来。用户装扮国家环境大臣的角色并通过各关，同时掌握国内公众意见并与其它国家谈判。这是智力游戏，该智力游戏能够使用现实世界的统计和情形来实现关于环境的先进知识。

角色扮演游戏(现实世界+虚拟世界游戏)

该游戏具有仅将第一层与现实世界关联的阶段，而其它阶段提供匹配形式的虚拟环境(例如，花园、储藏室和密闭室)，然后在其中开展故事。在现实世界阶段中，能够对可以反映在电力状态上的游戏结果实施结果应用模式。

(2-3)关联到数据库

接着，将参考图78描述与电力管理设备11的数据库的关联，在该数据库中存储表明现实世界的局部电力管理系统1的状态的各种信息。图78是用于说明与电力管理设备中的数据库的关联的示图。

作为示例，以下示出的数据被存储在电力管理设备11中所存储的数据库中。

-受控制器具的器具信息、电动交通工具、发电设备、电力储存设备、器具的蓄电池、受控制插座、插座扩展设备等；

-关于上述设备的电力信息(使用/电力储存状态)和位置信息；

-登记的用户和访问权利；

-电费信息和账户信息；

-时间、天气、温度。

通过使用这些数据，游戏控制单元1701在游戏中再现现实世界。

通过布置这些器具，现实世界构建单元1703能够构想游戏场景(gamestage)的整体建筑平面图。例如，通过假设具有冰箱等表示就餐区域，具有个人计算机或灯表示个人房间，具有洗衣机表示浴室或洗手间区域，具有电动交通工具表示车库，并且具有灯表示走廊，可以构想建筑平面图。现实世界构建单元1703基于这样的假设决定建筑平面图，并且从部件库1707布置代表器具、家具等的项目。

现实世界构建单元1703基于登记的用户信息决定游戏人物。在现实世界中，实际器具和项目属性是关联的，使得可以显示这些器具并且在结果应用模式中进行诸如切断电源等动作。因此，当用户选择了显示屏幕等上显示的诸如器具图标的对象时，显示数据库中写入的、诸如所选器具的器具信息、电力信息等的各种信息。

由于当游戏中仅使用现实世界时游戏场景会受限，所以虚拟世界构建单元1703将游戏内容中预先设置的虚拟世界加入到基于现实世界设置的游戏场景中，以配置更多游戏场景(故事背景)。

在图78中，示出在显示装置的显示区域中显示现实世界的状态。用户能够在操作主要角色时享受该阶段上的游戏。

(2-4)与系统关联的娱乐的安全性

接着，将参考图79描述与系统关联的娱乐的安全性。图79是用于说明与系统关联的娱乐的安全性的示图。

在执行本游戏的系统中，优选注意关于安全性的以下三点：

(1)由于电力管理设备上的游戏接受匿名第三方参加，或者来自使用这些连接的恶意第三方的攻击，所以存在电力管理设备损坏的风险、对结果应用模式的控制权受到损害的风险、电力管理设备中的保密信息泄露的风险等。

(2)从恶意的第三方器具执行电力管理设备上的游戏并且实施有害行为。

(3)电力管理设备和与售卖电力相关的服务提供服务器(电力销售管理服务器)之间的保密信息(账户/收费信息等)泄露。

安全风险1

首先，当电力管理设备上的游戏接受的匿名第三方参与时，该游戏被设计成将该参与限制于仅由虚拟世界构成的阶段，从而防止从游戏中泄露电力管理设备中的保密信息。

接着，为了阻止来自恶意第三方的攻击，必需防止第三方自由控制电力管理设备。为此，通过将病毒移除软件安装至电力管理设备中，来检测和/或移除第三方攻击。通过使电力使用子水印来防止电力管理设备被接管以及通过使用分析服务器34来根据执行历史检测可疑的重复攻击等并防止执行和/或切断连接，可进一步提供保护免受攻击。

安全风险2

器具和玩家检查成员是否为允许玩该游戏的合法成员。即使该成员是合法成员，但是由于小孩优选不参与诸如售电等行为，所以访问游戏自身被分成多个级别并且进行成员是否具有访问权利和/或能够实施结果应用模式的设置。当允许其它用户玩游戏时，则进行控制以防止故事使用现实世界信息。

因此，在电力管理设备中预先设置器具和用户，指定访问级别，并且对于器具和用户两者实施认证。该认证能够使用与第一实施例中示出的使用公开密钥或共有密钥或者两者的方法相同的方案。优选还在游戏中包括用于以指定间隔实施认证的配置。优选还在没有访问权限的用户使用该游戏时防止数据库被访问。

安全风险3

优选在售卖电力期间而不是仅仅对于本游戏实施安全措施。如果由局部电力管理系统1通过因特网进行的服务认证起作用，则这应该不成问题。

(2-5)与系统关联的娱乐的流程

接着，将参考图80至图81B描述由根据本实施例的电力管理设备11提供的与系统关联的娱乐的流程。图80至图81B是用于说明与系统关联的娱乐的流程的流程图。注意，图80至图81B用于说明作为与系统关联的娱乐的一个示例的游戏。

注意，在以下说明开始之前，假设希望玩与局部电力管理系统1关联的游戏的用户通过操作显示终端(例如，诸如电视机的显示器具，或者诸如移动电话或移动游戏控制台的便携式器具)玩该游戏，该显示终端具有显示屏并且能够连接至电力管理设备11。用户用以玩游戏的器具也可以是电力管理设备11自身。

首先，将参考图80描述总体流程。

首先，用户接通显示终端125的电力以激活终端自身(步骤S5001)。在激活终端后，用户选择用于启动游戏的诸如图标的对象，从而请求电力管理设备11启动游戏。

接收到请求的电力管理设备11实施对显示终端进行认证的处理，以判断请求启动游戏的显示终端是否是由电力管理设备11本身管理的被管理器具(步骤S5003)。此外，如图81A和图81B中详细示出的那样，由于提供给用户的游戏的功能将根据显示终端是否是被管理器具而不同，因此电力管理设备11检查设置信息(步骤S5005)并确认能提供哪些功能。此后，电力管理设备11启动游戏程序(步骤S5007)并将所请求的数据类型发送给显示终端。

显示终端接收从电力管理设备11发送的数据类型并且将游戏的初始画面显示在显示终端125的显示屏幕上(步骤S5009)。用户选择代表游戏并且显示在初始画面上的诸如图标的对象(步骤S5011)，以指定用户希望玩的游戏内容。这里，显示屏幕上显示的游戏为允许用户执行的除内容库1709等中存储的游戏之外的游戏。

用户操作显示终端125的输入设备(鼠标、键盘、触摸板等)以开始游戏(步骤S5013)。根据显示终端上的游戏进展，电力管理设备11载入各数据、准备数据和/或存储游戏内容(步骤S5015)。

存在以下情况：在游戏期间的任意时间，用户请求开始结果应用模式，在该结果应用模式中，游戏结果被应用于实际系统(步骤S5017)。接收到请求的电力管理设备11检查是否可由发出对于结果应用模式的开始请求的用户执行结果应用模式(步骤S5019)。在检查设置信息等以检查用户的访问权和执行权从而确认执行风险后(步骤S5020)，电力管理设备11向显示终端呈现在结果应用模式之外的可执行动作的范围(步骤S5021)。

在显示终端处，在显示屏幕上显示从电力管理设备11呈现的内容并邀请用户选择执行内容(步骤S5023)。显示终端将用户的选择的内容通知给电力管理设备11。

根据用户的选择结果，电力管理设备11依据用户的选择结果向配电设备发出针对该选择结果的适当执行指令(步骤S5025)。电力管理设备11更新日志信息(步骤S5027)并且通知用户结果应用模式的执行已结束(步骤S5029)。

接着，将参考图81A和图81B描述与系统关联的娱乐的具体流程。

如之前所述，用户操作执行游戏的器具以开始游戏，电力管理设备11的游戏服务提供单元1181等待从显示终端发送关于游戏的启动请求(步骤S5031)。

当从显示终端发送了游戏开始请求时，电力管理设备11实施对于发送了游戏开始请求的显示终端的器具认证(步骤S5033)。通过这样做，电力管理设备11能够检查已请求游戏开始的显示终端是否是由电力管理设备11自身管理的被管理器具(步骤S5035)。

当显示终端不是被管理器具时，电力管理设备11的游戏服务提供单元1181检查是否允许电力管理设备11的用户开始游戏(步骤S5037)，并且如果不允许电力管理设备11的用户执行游戏，则处理结束。当允许电力管理设备11的用户执行游戏时，电力管理设备11的游戏服务提供单元1181实施步骤S5039，如下所述。

同时，如果显示终端是被管理器具，或者不是被管理器具但是已从电力管理设备11的用户获得允许来执行游戏，则电力管理设备11的游戏服务提供单元1181进行用户认证(步骤S5039)。

如果电力管理设备11的游戏服务提供单元1181已确认用户是电力管理设备11中登记的成员，则根据用户的控制权的级别设置游戏的访问级别和结果应用模式的控制级别(步骤S5041)。

接着，电力管理设备11的游戏服务提供单元1181启动游戏的主程序(步骤S5043)并且使游戏的初始显示显示在用户所使用的显示终端上。

一旦显示终端的用户选择了用户希望玩的游戏内容，选择结果被发送至电力管理设备11，使得电力管理设备11的游戏服务提供单元1181能够指定选择的游戏内容(步骤S5045)。

电力管理设备11的游戏服务提供单元1181检查指定的内容是否能够由显示终端的用户访问以及结果应用模式是否能够实施(步骤S5047)。

当游戏用户不具有访问权或者不具有实施结果应用模式的授权时，电力管理设备11的游戏服务提供单元1181进行设置，使得在游戏被激活时不可访问数据库和实施结果确定模式(步骤S5049)。

当游戏用户具有访问权并且能够实施结果应用模式时，电力管理设备11访问数据库并且收集被管理器具的器具信息和电力信息(步骤S5051)。

游戏服务提供单元1181的游戏控制单元1701使用步骤S5051中收集的各种信息来构建游戏的诸如故事背景的基本设置(步骤S5053)。当结束对基本设置的构建时，游戏控制单元1701基于所设置的故事背景对选择的游戏内容进行执行控制(步骤S5055)。在此发生时，电力管理设备11和显示终端进行交互式通信，使得电力管理设备11在终端的显示器上显示游戏画面并且从显示终端发送用户所输入的信息。此外，在该时间期间，电力管理设备11的游戏控制单元1701判断是否进行了请求结束游戏、中断游戏等的处理(步骤S5057)。

在用户选择了诸如结束游戏、中断游戏等的状态后，如果游戏是可激活结果应用模式的内容，则电力管理设备11的游戏服务提供单元1181检查用户是否希望切换到结果应用模式(步骤S5059)。

如果用户选择不切换到结果应用模式，则电力管理设备11的游戏服务提供单元1181检查是否保存游戏内容并且结束游戏程序。

此外，当切换到结果应用模式时，电力管理设备11的游戏服务提供单元1181确认用户是否具有结果应用模式的执行权(步骤S5061)。如果用户不具有结果应用模式的执行权，则电力管理设备11的游戏服务提供单元1181结束游戏程序。

当用户具有结果应用模式的执行权时，电力管理设备11的游戏服务提供单元1181基于游戏从激活到当前点的内容提取能够对实际器具实施的控制(步骤S5063)并且向用户显示列表。

在显示列表之前，电力管理设备11的游戏服务提供单元1181应当优选实施风险检查。更具体地，游戏服务提供单元1181应当询问分析服务器34基于可控制的内容及其历史检查所述控制是否可疑，并且从上述提取的列表中删除可疑控制。通过这样做，除关于网络攻击等的风险之外，可以检查与关断优选具有不中断连接的器具(例如家用器具，如冰箱)的电源的命令有关的风险。

游戏用户从显示终端的显示屏幕上显示的列表中选择用户希望实施的项目，诸如“关闭器具A”。选择结果被发送到电力管理设备11并且电力管理设备11能够指定该项目内容(步骤S5065)。

此后，根据用户的选择结果，电力管理设备11根据该选择结果向配电设备121、受控制插座123、受控制器具125等发出执行指令(步骤S5067)。电力管理设备11更新日志信息(步骤S5069)并且检查所有控制是否均已执行(步骤S5071)。

电力管理设备11从命令目标器具接收执行结束，并且如果所有控制均已执行，则向用户显示结束消息(步骤S5073)。电力管理设备11检查游戏是否要结束或者继续(步骤S5075)，并且在游戏继续时返回步骤S5055。同时，在游戏要结束时，电力管理设备11结束游戏。

通过根据上述流程进行处理，电力管理设备能够向用户提供诸如游戏的与局部电力管理系统关联的娱乐。结果，由于局部电力管理系统的有吸引力的应用，与系统关联的娱乐能够实际对电力和CO₂的减少作出贡献。

硬件配置

接着，将参考图82具体描述根据本发明实施例的电力管理设备11的硬件配置。图82是用于说明根据本发明实施例的电力管理设备11的硬件配置的框图。

电力管理设备11主要包括CPU 901、ROM 903和RAM 905。此外，电力管理设备11还包括主机总线907、桥909、外部总线911、接口913、输入装置915、输出装置917、存储装置919、驱动921、连接端口923和通信装置925。

CPU 901用作算术处理设备和控制装置，并且根据ROM 903、RAM905、存储装置919或可移动记录介质927中记录的各种程序来控制电力管理设备11的总体操作或者部分操作。ROM 903存储由CPU 901使用的程序、操作参数等。RAM 905主要存储CPU 901的执行中使用的程序以及在该执行期间适当变化的参数等。这些部件通过从内部总线(如CPU总线等)构成的主机总线907而彼此连接。

主机总线907通过桥909连接至外部总线911(如PCI，即外围组件互连/接口)。

输入装置915是由用户操作的操作部件，如鼠标、键盘、触摸面板、按钮、开关和操作杆。此外，输入装置915可以是使用诸如红外光或其它无线电波的远程控制部件(所谓的远程控制)，或者也可以是符合电力管理设备11的操作的诸如移动电话或PDA之类的外部连接装置929。此外，输入装置915基于例如用于使用上述操作装置输入的信息来产生输入信号，并且由用于将输入信号输出到CPU 901的输入控制电路构造。电力管理设备11的用户能够向电力管理设备11输入各种数据并能够通过操作该输入设备915来指示电力管理设备11执行处理。

输出装置917由能够在视觉上或者听觉上将获取的信息通知给用户的装置构成。这样的装置的示例包括：诸如CRT显示装置、液晶显示装置、等离子体显示装置、EL显示装置和灯泡的显示装置，诸如扩音器和耳机，打印机，移动电话，传真机等的音频输出装置等。例如，输出装置917输出通过由电力管理设备11执行的各种处理获得的结果。更具体地，显示装置以文本或图像形式显示通过由电力管理设备11执行的各种处理获得的结果。另一方面，音频输出装置将音频信号(如再现的音频数据和声音数据)转换成模拟信号，并输出该模拟信号。

存储装置919是被配置为电力管理设备11的存储单元的示例的用于存储数据的装置，并用于存储数据。存储装置919例如由磁存储装置(如HDD，即硬盘驱动器)、半导体存储装置、光存储装置或磁光存储装置构成。存储装置919存储待由CPU 901执行的程序、各种数据和从外部获得的各种数据。

驱动921是用于记录介质的读取器/写入器，并且植入电力管理设备11中或者在外部安装至电力管理设备11上。驱动921读取所安装的可移动记录介质927(如磁盘、光盘、磁光盘或半导体存储器)中记录的信息，并且将所读取的信息输出至RAM 905。此外，驱动921能够写所安装的可移动记录介质927(如磁盘、光盘、磁光盘或半导体存储器)。可移动记录介质927为例如DVD介质、HD-DVD介质或蓝光介质。可移动记录介质927可以是致密闪存(CF，注册商标C)、闪速存储器、SD存储卡(安全数字存储卡)等。可选地，可移动记录介质927可以例如为装配有非接触式IC芯片或电器的IC卡(集成电路卡)。

连接端口923是用于允许装置直接连接至电力管理设备11的端口。连接端口923的示例包括USB(通用串行总线)端口、IEEE 1394端口、SCSI(小型计算机系统接口)端口等。连接端口923的其它示例包括RS-232C端口、光学音频终端、HDMI(高清晰度多媒体接口)端口等。通过连接至该连接端口923的外部连接的设备929，电力管理设备11从外部连接的设备929直接获得各种数据并且向外部连接的设备929提供各种数据。

通信装置925是例如由用于连接至通信网络931的通信装置构成的通信接口。通信装置925例如为有线或无线LAN(局域网)、蓝牙(注册商标)、WUSB(无线USB)的通信卡等。可选地，通信装置925可以是用于光通信的路由器、用于ADSL(非对称数字用户线)的路由器、用于各种通信的调制解调器等。该通信装置925例如能够根据因特网上的预定协议(如TCP/IP)与其它通信装置发送和接收信号等。连接至通信装置925的通信网931由通过有线或无线连接的网络等构成，例如可以为因特网、家庭LAN、红外通信、无线波通信、卫星通信等。

到此为止，已示出能够实现根据本发明实施例的电力管理设备11的功能的硬件配置的示例。每个上述结构器件可以使用通用材料构成，或者可以由专用于每个结构器件的功能的硬件构成。因此，要使用的硬件配置能够根据实行本发明时的技术水平而适当变化。

由于根据本发明实施例的受控制器具125和分析服务器34的硬件配置与根据本发明实施例的电力管理设备11的配置相同，因此省略其具体描述。

尽管已参考附图具体描述了本发明的优选实施例，但是本发明不限于以上示例。本领域技术人员应当理解，依据设计要求以及其它因素，只要各种变型、组合、子组合和替选方案在所附权利要求书及其等同内容的范围内，则可以进行这些变型、组合、子组合和替选方案。

本申请包含与2010年1月25日向日本专利局提交的日本优先权专利申请JP 2010-013673中公开的主题相关的主题，该优先权专利申请的整体内容通过引用合并于此。

Claims (8)

1.一种电力管理设备，包括：

被管理器具登记单元，其对连接到电力网络的电子器具进行认证，并将认证成功的电子器具中的每个电子器具登记为被管理器具；以及

控制单元，其允许选择性地对所述电子器具供电的配电设备对登记为被管理器具的电子器具中的任意电子器具供电，并且不允许所述配电设备对未登记为被管理器具的电子器具中的任意电子器具供电，

其中所述被管理器具登记单元向所述电子器具中的每个电子器具发送在登记电子器具时使用的提问消息，并对响应于所述提问消息从所述电子器具发回的应答消息进行统一验证。

2.根据权利要求1所述的电力管理设备，其中所述被管理器具登记单元通过批量验证处理对从所述电子器具发回的所述应答消息进行统一验证，并在对所有所述应答消息的验证成功时将所述电子器具登记为所述被管理器具。

3.根据权利要求1所述的电力管理设备，其中所述被管理器具登记单元将作为从所述电子器具发回的所述应答消息的数字签名聚合成一个数字签名，并且当聚合的数字签名的验证成功时，所述被管理器具登记单元将所述电子器具登记为所述被管理器具。

4.根据权利要求1所述的电力管理设备，其中，当所述电子器具的统一验证失败时，所述被管理器具登记单元指定发回验证失败的应答消息的电子器具，并在排除所指定的电子器具的情况下重复所述统一验证。

5.根据权利要求4所述的电力管理设备，其中所述被管理器具登记单元指定至少一个发回验证失败的应答消息的电子器具。

6.根据权利要求4所述的电力管理设备，其中所述被管理器具登记单元在所述电子器具中指定每一个发回验证失败的应答消息的电子器具。

7.根据权利要求1所述的电力管理设备，

其中，所述电子器具是包括在蓄电池中的电池，以及

其中，所述被管理器具登记单元指定发回验证失败的应答消息的电池，在排除验证失败的电池的情况下重新配置所述电池，并重复统一验证。

8.一种管理电子器具的方法，包括步骤：

对连接到电力网络的电子器具进行认证；

将认证成功的电子器具中的每个电子器具登记为被管理器具；

对登记为被管理器具的电子器具中的任意电子器具供电，并且抑制对未登记为被管理器具的电子器具中的任意电子器具供电；

向所述电子器具中的每个电子器具发送在登记电子器具时使用的提问消息；

获取响应于所述提问消息从所述电子器具发回的应答消息；以及

对所有已获取的所述应答消息进行统一验证。