WO2022209040A1

WO2022209040A1 - 移動体認証装置、移動体認証システム、移動体認証方法、及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2022209040A1
Application number: PCT/JP2021/046217
Authority: WO
Inventors: 拓矢野村; 拓也久本; 憲一木島
Original assignee: 日本電気株式会社
Priority date: 2021-03-31
Filing date: 2021-12-15
Publication date: 2022-10-06
Also published as: JPWO2022209040A1

Abstract

自律移動可能な移動体が許可なく不正に移動することを抑制することが可能な移動体認証装置を提供する。移動体認証装置（１）は、取得部（１ａ）、照合部（１ｂ）、及び出力部（１ｃ）を備える。取得部（１ａ）は、自律移動可能な移動体から、上記移動体の遠隔運行を管理するための情報である遠隔識別情報と上記移動体の現在位置を示す位置情報と上記移動体での現在時刻を示す時刻情報と認証情報とを取得する。照合部（１ｂ）は、取得部（１ａ）で取得された情報の一部又は全部に基づき照合を実行する。出力部（１ｃ）は、照合部（１ｂ）での照合の結果を出力する。

Description

移動体認証装置、移動体認証システム、移動体認証方法、及び非一時的なコンピュータ可読媒体

　本開示は、移動体認証装置、移動体認証システム、移動体認証方法、及びプログラムに関する。

　近年、無人航空機、自律ロボット又は自動運転車両など、遠隔操作又は自律移動により移動する移動体の普及が拡大している。また、このような移動体の普及のためにも移動体を安全に運用するための技術の開発が期待されている。

　特許文献１には、無人航空機（ＵＡＶ）の動作に対して認証のレベルを判定する方法が記載されている。この方法は、無人航空機に関する情報を受信するステップと、その情報と無人航空機を操作するユーザのタイプ又はユーザの技能レベルに基づいて、無人航空機のユーザ識別子の認証のレベルを判定するステップと、を含む。この方法は、さらに、この判定の結果に基づいて無人航空機又はユーザ識別子の認証を発効するステップと、この発効に基づいて、ユーザによる無人航空機の操作を許可するステップと、を含む。

　特許文献２には、管理サーバと、認証端末とを利用した飛行体の識別方法が記載されている。この識別方法は、飛行体の個別情報を受け付けたユーザ端末が、当該個別情報を管理サーバに送信するステップを含む。さらに、この識別方法は、管理サーバが、個別情報を評価するステップと、当該評価に基づいて識別情報を生成するステップと、識別情報を識別情報データベースに記録するとともにユーザ端末に送信するステップと、を含む。さらに、この識別方法は、飛行体の識別情報を受け付けた認証端末が、識別情報を管理サーバに送信するステップと、管理サーバが、識別情報データベースを参照して、受信した識別情報を認証するステップと、を含む。

　特許文献３には、第１無人機と第２無人機との間の通信を認証するための方法が記載されている。この方法は、第１無人機の搭載コンピュータシステムの制御下で、第１無人機によって実行される操作の集合を指定する情報を記憶し、第２無線機からメッセージ及び該メッセージのための認証情報を受信し、メッセージが本物であると判断し、上記情報を修正する。ここで、上記認証情報は上記メッセージの発信者に特有である。上記の判断は、認証情報の少なくとも部分的に基づいて実行され、上記の修正はメッセージの少なくとも部分的に基づいて実行される。

特開２０２０－１４４８７０号公報特開２０１９－１０１８２８号公報特表２０１８－５１１２４８号公報

　上述したように、安全性に配慮しつつ移動体の普及を促進することが望まれるが、そのためには移動体がなりすまし等により許可なく不正に移動することを抑制することが求められる。よって、移動体の不正使用を抑制する技術が求められている。なお、特許文献１～３に記載のいずれの技術でも移動体の不正使用を十分に抑制することはできない。

　本開示の目的は、上述した課題を鑑み、自律移動可能な移動体が許可なく不正に移動することを抑制することが可能な移動体認証装置、移動体認証システム、移動体認証方法、及びプログラムを提供することにある。

　本開示の第１の態様に係る移動体認証装置は、取得部と、照合部と、出力部と、を備えたものである。前記取得部は、自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得する。前記照合部は、前記取得部で取得された情報の一部又は全部に基づき照合を実行する。前記出力部は、前記照合部での照合の結果を出力する。

　本開示の第２の態様に係る移動体認証方法は、コンピュータが、次の処理を実行するものである。前記処理は、自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得する。前記処理は、取得した情報の一部又は全部に基づき照合を実行し、照合の結果を出力する。

　本開示の第３の態様に係るプログラムは、コンピュータに、次の処理を実行させるためのプログラムである。前記処理は、自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得する。前記処理は、取得した情報の一部又は全部に基づき照合を実行し、照合の結果を出力する。

　本開示によれば、自律移動可能な移動体が許可なく不正に移動することを抑制することが可能な移動体認証装置、移動体認証システム、移動体認証方法、及びプログラムを提供することができる。

実施の形態１に係る移動体認証装置の一構成例を示すブロック図である。実施の形態１に係る移動体認証方法の一例を説明するためのフローチャートである。実施の形態２に係る移動体認証システムの一構成例を示す模式図である。図３における移動体の一構成例を示すブロック図である。遠隔識別情報の一例を示す図である。図３の移動体認証システムにおける情報の送受及び照合について説明するための模式図である。図３の移動体認証システムにおける照合処理の一例を説明するためのフローチャートである。コンピュータのハードウェア構成を例示するブロック図である。

　以下、発明の実施の形態を通じて本発明を説明するが、特許請求の範囲にかかる発明を以下の実施の形態に限定するものではない。また、実施の形態で説明する構成の全てが課題を解決するための手段として必須であるとは限らない。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。なお、各図面において、同一又は同等の要素には、同一の符号を付し、適宜重複する説明は省略される。また、図面において、一方向性の矢印を付すことがあるが、当該一方向性の矢印は、ある信号（データ）の流れの方向を端的に示したもので、双方向性を排除するものではない。

＜実施の形態１＞
　図１及び図２を参照しながら、実施の形態１について説明する。
　図１は、実施の形態１に係る移動体認証装置の一構成例を示すブロック図である。図１に示すように、本実施の形態に係る移動体認証装置１は、自律移動可能な移動体の認証を行うための装置であり、取得部１ａ、照合部１ｂ、及び出力部１ｃを備える。

　ここで、認証対象の移動体は、自律移動可能な移動体であればよく、様々なサイズや形状の車両、飛行体、船舶、自律移動ロボット（歩行ロボット等）などとすることができ、操縦者の搭乗の要否や可否は問わず、少なくとも自律移動が可能であればよい。上記車両は、自動運転車を含むことができる。

　上記飛行体は、無人航空機（無人飛行機：ＵＡＶ［Unmanned Aerial Vehicle］）、空飛ぶ車（クルマ）などとすることができる。また、上記飛行体は垂直離着陸機（Vertical Take-Off and Landing Aircraft,　Ｖｔｏｌ機）やｅＶＴＯＬ（electric ＶＴＯＬ）機であってもよい。上記飛行体はティルトロータ機であってもよい。上記飛行体はヘリコプターであってもよい。また、上記飛行体は例えば回転翼を有することができるが、これに限らず自律制御により飛行が可能なものであればよい。上記飛行体は、荷物などを搭載する無人機であってもよく、搭乗者が搭乗する有人機であってもよい。

　また、自律移動は、予めルートを設定されてそのルートに沿った移動であってもよいし、予め移動範囲が許可されてその移動範囲内での使用者による遠隔操作に基づく移動であってもよい。後者の移動を行う移動体のように、認証対象の移動体は、遠隔操縦に応じて操作指示（移動方向や移動速度等）に従って自律的に姿勢制御等を行いながら移動させる制御を行うことが可能で、ルートに沿った自律的な移動ができないような移動体を含むこともできる。このように、認証対象の移動体とは、例えば遠隔操縦により移動する移動体又は所定の管理下に置いて自律移動する移動体とすることができる。

　取得部１ａは、自律移動可能な移動体から、遠隔識別情報とこの移動体の現在位置を示す位置情報とこの移動体での現在時刻を示す時刻情報と認証情報とを取得する。認証情報は、例えば遠隔識別情報、位置情報、及び時刻情報を秘匿化した情報とすることができる。取得部１ａは、これらの情報を一度に取得することができるが、例えば遠隔識別情報、位置情報、及び時刻情報をまず取得して、その後、認証情報を取得するなど、取得の手順は問わない。取得部１ａは、認証対象の移動体と無線通信で接続することで、上述したような各種情報を取得することができる。なお、移動体の種類にもよるがこの接続は有線とすることもできる。

　ここで、遠隔識別情報は、その移動体の遠隔運行を管理するための情報である。遠隔識別情報は、移動体の遠隔運行時においてその移動体の機体を識別するために用いることができ、そのため機体識別情報と称することもできる。遠隔識別情報のより具体的な例については実施の形態２で説明する。

　認証情報は、遠隔識別情報及び位置情報及び時刻情報からデジタル署名の方式によって生成してもよく、またワンタイムパスワードとするなど、他の手法で生成されたものとすることもできる。但し、認証情報はこれらに限ったものではなく、後述の照合部１ｂで認証できる情報であればよい。

　照合部１ｂは、取得部１ａで取得された各種情報の一部又は全部に基づき照合を実行する。照合に認証情報を使用する場合には、照合部１ｂは、秘匿化された認証情報を非秘匿化（解読）する機能を有するとよい。照合部１ｂにおいて認証情報と照合させる対象の情報は問わない。取得部１ａにおいて上記秘匿化されていない情報を取得している場合には、照合部１ｂは、上記秘匿化されていない情報を用いて照合を実行することもできる。この場合、照合部１ｂは、取得部１ａで取得された認証情報と、取得部１ａで取得された遠隔識別情報及び位置情報及び時刻情報の少なくとも１つと、を照合するように構成することもできる。あるいは、照合部１ｂは、取得部１ａで取得された遠隔識別情報及び位置情報及び時刻情報の少なくとも１つを、予め保存された対応する情報と照合してもよい。

　また、移動体認証装置１は、その本体と、その本体に接続可能な端末装置とで構成し、上記端末装置を移動体認証装置１の一部として機能させることもできる。この場合、上記端末装置は、移動体から、その移動体についての位置情報、時刻情報、認証情報の少なくとも１つを受信し、受信した情報に基づき照合を実行することで、不正な情報や改ざんされた情報が送信されていないかを検知することができる。この場合、移動体認証装置１の本体側では、上記端末装置からその検知結果を照合結果の一つとして得る。さらに、移動体認証装置１の本体側では、移動体が送信した認証情報が正しいかを照合することや、移動体が送信した情報と予め登録された遠隔識別情報の登録情報や移動体の移動計画の登録情報などとの照合を行うこともできる。これにより、移動体認証装置１では、なりすまし等を検知することができる。

　出力部１ｃは、照合部１ｂでの照合の結果を出力する。出力部１ｃでの出力先は、例えば、移動体認証装置１に設けられた表示装置（図示せず）、移動体認証装置１に接続可能な端末装置などとすることができ、出力先は予め定めておくことができる。このように、移動体認証装置１は、上述のような照合及び照合結果の出力を行うことで、自律移動可能な移動体がなりすまし等によって許可なく不正に移動することを抑制することができる。

　図２のフローチャートを参照しながら、本実施の形態に係る移動体認証方法の一例を説明する。移動体認証装置１は、コンピュータで構成されること、あるいはコンピュータを内蔵して構成されることができる。図２に示す方法では、このようなコンピュータが、移動体から遠隔識別情報、位置情報、時刻情報、及び認証情報を取得する（ステップＳ１）。次いで、上記コンピュータが、取得した情報の一部又は全部に基づき照合を実行し（ステップＳ２）、照合結果を出力する（ステップＳ３）。

　なお、移動体認証装置１は、図示しないがプロセッサ及び記憶装置を有することができる。この記憶装置は、例えばフラッシュメモリやＳＳＤ（Solid State Drive）などの不揮発性メモリを含むことができる。この場合に、移動体認証装置１が有する記憶装置は、上述の移動体認証方法を実行するためのコンピュータプログラム（以降、単にプログラムとも称する）を記憶している。また、プロセッサは、当該記憶装置からコンピュータプログラムをＤＲＡＭ（Dynamic Random Access Memory）等のバッファメモリへ読み込ませ、当該プログラムを実行する。

　移動体認証装置１が有する各構成は、それぞれが専用のハードウェアで実現されていてもよい。また、各構成要素の一部又は全部は、汎用又は専用の回路（circuitry）、プロセッサ等やこれらの組合せによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。また、プロセッサとして、ＣＰＵ（Central Processing Unit）、ＧＰＵ（Graphics Processing Unit）、ＦＰＧＡ（field-programmable gate array）等を用いることができる。なお、ここに説明した構成に関する説明は、本開示において以下に説明するその他の装置又はシステムにおいても、適用され得る。

　また、移動体認証装置１の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、上記端末装置を利用した例のように分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。また、移動体認証装置１の機能がＳａａＳ（Software as a Service）形式で提供されてもよい。

　以上に説明したように、本実施の形態によれば、自律移動可能な移動体が許可なく不正に移動することを抑制することが可能になる。

＜実施の形態２＞
　次に、実施の形態２について、図３～図７を参照しながら説明するが、実施の形態１で説明した様々な例が適用できる。図３は、本実施の形態に係る移動体認証システムの一構成例を示す模式図である。

　図３に示すように、本実施の形態に係る移動体認証システム（以下、本システム）は、移動体認証システムの一例であり、認証対象の移動体を移動体３０とし、移動体認証装置１の例としての移動体認証装置１０を備えたシステムである。

　本システムは、図３に示すように、移動体認証装置１０と、端末装置２０と、遠隔識別情報を管理する遠隔識別情報管理システム４０とが、ネットワークＮ１を介して接続されている。このネットワークＮ１はセキュアなネットワークとしておくことが望ましい。遠隔識別情報管理システム４０は端末装置２０と接続できなくてもよく、移動体認証装置１０と接続されていればよい。さらに、本システムでは、端末装置２０（又は移動体認証装置１０）が移動体３０と通信可能に無線接続されることができるが、移動体３０が他の移動体になりすましている場合や通信不能に改造されている場合もある。

　以下、本実施の形態について、図３に示すように移動体３０（但し通信不能に改造されていない場合）が端末装置２０を介して移動体認証装置１０と接続可能なように本システムを構築した例を挙げて説明する。但し、代替構成として、移動体３０が移動体認証装置１０に直接無線接続可能なシステムを構築することや、図３において端末装置２０に移動体認証装置１０を搭載したようなシステムを構築することもできる。

　本システムにおいて、移動体３０以外の認証対象の移動体は、移動体３０と同じ機種であってもよく、異なる機種であってもよい。移動体３０の機能構成例については後述する。

　移動体３０は、使用者（操作者）Ｐ１によって遠隔コントローラ（操縦装置）３２から制御されること、あるいはルートが設定された状態でそのルートに沿って完全に自律移動することができる。遠隔コントローラ３２は、移動体３０を遠隔操作するための装置であって、無線通信により移動体３０に所定の動作をさせるための命令を送ることができる。遠隔コントローラ３２は移動体３０が有するセンサのデータ等を取得できてもよい。また、遠隔コントローラ３２は移動体３０を介して端末装置２０や移動体認証装置１０側に所定の情報を送信できてもよい。

　移動体認証装置１０は、その全体を制御する制御部１１と、記憶部１２と、外部との通信を行う通信部１３と、を備えることができ、単体の装置としてあるいは複数の装置に機能を分散したシステムとして構築することができる。図１の取得部１ａは制御部１１とその制御に従い情報の取得を行う通信部１３で例示することができ、図１の照合部１ｂは制御部１１で例示することができる。また、図１の出力部１ｃは、制御部１１及びその制御により認証結果を表示させる表示装置（図示せず）で例示することや、制御部１１及びその制御により端末装置２０に照合結果を送信する通信部１３で例示することができる。

　また、移動体認証装置１０は、照合を実行する指示を受け付ける指示受付部を備えることができ、図３の例では、この指示受付部は通信部１３及び制御部１１で構成することができる。制御部１１が通信部１３を介して上記指示を受け付けることになる。

　端末装置２０は、移動体３０等の複数の移動体の運行を管理や監視する管理者Ｐ２が使用する装置とすることができるが、管理者Ｐ２が使用する装置に限ったものではない。つまり、端末装置２０は、一般人や警察官など様々な、管理者Ｐ２以外の者が使用する装置とすることもできる。また、端末装置２０として、管理者Ｐ２が使用する端末装置と管理者Ｐ２以外の者が使用する端末装置とを、本システムに組み込むこともでき、この場合、管理者Ｐ２及びそれ以外の者が自身がもつ端末装置で移動体の情報を受信することができる。但し、以下では説明の簡略化のため、端末装置２０は管理者Ｐ２が使用する例を挙げる。端末装置２０は、携帯電話機、スマートフォン、タブレット端末などといった可搬型のコンピュータとすることができるが、据え置き型のＰＣ（Personal Computer）などであってもよい。

　遠隔識別情報管理システム４０は、移動体認証装置１０に接続され、遠隔識別情報を管理する管理装置の一例であり、単体の装置としてあるいは複数の装置に機能を分散したシステムとして構築することができる。遠隔識別情報管理システムは、その全体を制御する制御部４１と、遠隔識別情報４４を移動体毎に記憶した記憶部４２と、ネットワークＮ１を介するなどして外部との通信を行う通信部４３と、を備えることができる。このように、遠隔識別情報管理システム４０は、複数の移動体のそれぞれについての遠隔識別情報４４を管理する。この遠隔識別情報４４は、その有効／無効を示すフラグとともに記憶されることができ、その内容についても遠隔識別情報管理システム４０の運営側によって手動又は自動的に適宜更新されることができる。また、記憶部４２には、移動体３０等の各移動体についての移動計画（無人航空機等の飛行体の場合には飛行計画とも称する）が予め申請されて登録されていることもできる。

　次に、図４を参照しながら図３の移動体３０の構成例について説明する。図４は移動体３０の一構成例を示すブロック図である。移動体３０は主な構成として、通信部３１１、カメラ３１２、センサ群３１３、制御部３１４、駆動部３１５、及び記憶部３２０を有することができる。

　通信部３１１は、遠隔コントローラ３２と無線通信可能に接続するためのインタフェースと、端末装置２０と無線通信可能に接続するためのインタフェースとを含む。無線通信方式は両者の通信についての混信がなければよい。

　また、上述したように移動体３０が移動体認証装置１０と直接通信する構成では、通信部３１１は移動体認証装置１０と無線通信可能に接続するためのインタフェースを含むことができる。この無線通信の方式も問わない。

　本実施の形態では、実施の形態１と同様に移動体３０から認証情報、あるいは、認証情報、遠隔識別情報、位置情報、及び時刻情報等の情報が送信される。この送信は、端末装置２０に対して行うことができるが、移動体認証装置１０に対して行うこともできる。いずれの場合でも、移動体３０が、遠隔識別情報等の情報を定期的に送信するように構成することもできる。つまり、移動体３０は、定期的に遠隔識別情報等の情報を発信しながら移動するように設定された移動体であってもよい。

　カメラ３１２は、移動体３０が移動中に、予め設定された期間毎に風景を撮影し、撮影した画像にかかる画像データを生成する。カメラ３１２が撮影した画像にかかる画像データは、通信部３１１を介して遠隔コントローラ３２に供給される。また、移動体３０は、この画像データを端末装置２０（又は移動体認証装置１０）に送信されるように構成することもできる。センサ群３１３は、移動体３０に備えられた種々のセンサを指すものである。センサ群３１３は例えば、ＧＮＳＳ（Global Navigation Satellite System）による位置情報を取得するアンテナ、ジャイロセンサ、温度計又は湿度計などを含み得る。

　制御部３１４は、ＣＰＵ又はＭＣＵなどの演算装置を含み、移動体３０の全体を制御する。駆動部３１５は、移動体３０が移動するために駆動するものであって、例えば移動体３０が移動する際に使用する回転翼（プロペラ）３１を回転させるためのモータを含む。記憶部３２０は、フラッシュメモリやＳＳＤなどの不揮発性メモリを含む記憶装置であって、遠隔識別情報３２１を少なくとも記憶する。本実施の形態は、操作者Ｐ１等によってこの遠隔識別情報３２１が改ざんされる場合も想定した処理を行うことになる。

　次に、図５を参照しながら遠隔識別情報４４，３２１の例について説明するが、遠隔識別情報はここで例示する内容に限ったものではない。図５は遠隔識別情報の一例を示す図である。以下に例示する遠隔識別情報４４及び遠隔識別情報３２１は、移動体毎に一部又は全部が異なる値となるが、１つの移動体について両者は基本的に同じである。遠隔識別情報４４は遠隔識別情報管理システム４０をセキュアなシステムとして構築することで外部からの改ざんなどはできなくなっているが、移動体３０側の遠隔識別情報３２１が操作者Ｐ１等によって改ざんされる可能性がある。

　図５で例示するように、遠隔識別情報４４，３２１は、機体情報、管理者情報、及び使用者情報を含むことができ、各情報が例えば移動体の識別子と関連付けられて記憶されることができる。

　機体情報は、累積移動時間及び修理履歴等を含むことができ、これらは動的に更新されることができる。また、機体情報は、対象となる移動体３０の運行資格にかかる有効期間、機体番号（機体ＩＤ）、及び重量等を含むことができる。

　管理者情報は、機体運用実績及び保有台数等を含むことができ、これらは動的に更新されることができる。また、管理者情報は、対象となる移動体３０の管理資格にかかる有効期間、管理者の氏名又は住所、及び管理者の住所又は居所等を含むことができる。

　使用者情報は、使用者の移動実績及び事故履歴等を含むことができ、これらは動的に更新されることができる。また、使用者情報は、対象となる移動体３０の使用資格にかかる有効期間、使用者Ｐ１の氏名、及び使用者の住所等を含むことができる。

　次に、図６を参照しながら、装置間での情報の送受や照合対象の例について説明する。図６は、図３の移動体認証システムにおける情報の送受及び照合について説明するための模式図である。なお、図６において、片方向の細線矢印は情報の流れを示し、片方向の太線矢印は処理を伴う情報の流れを示し、双方向の細線矢印は照合処理を示している。また、双方向の細い破線矢印は端末装置２０内での照合処理を示している。

　実施の形態１で説明したように、本実施の形態でも移動体３０からの各種情報を移動体認証装置１０で機体認証となりすまし対策として受信し、照合を行うことになる。各種情報は、移動体３０が定期的にこれらの情報を配信するような構成を採用することができるが、端末装置２０が移動体３０に情報送信要求を行った結果として得ることもできる。

　本システムは、上述のような構成において、管理者Ｐ２が移動体３０を目視した状態で、以下のような処理を行うことができる。

　移動体認証装置１０の制御部１１は、照合を実行する指示を受け付けた場合に、通信部１３を介した移動体３０からの情報取得を実行し、照合を実行する。この指示は、端末装置２０が移動体認証装置１０を介して又は直接、遠隔識別情報管理システム４０にアクセスし、移動予定を閲覧した状態で遠隔識別情報を特定して行い、移動体３０に情報送信要求を行うこともできる。

　制御部１１は、この照合時に、取得した認証情報と遠隔識別情報３２１及び時刻情報及び位置情報とを照合するだけでなく、次のような照合も実行する。即ち、制御部１１は、さらに移動体３０の時刻情報と自身の又は端末装置２０での現在時刻を示す時刻情報との照合、及び、移動体３０の位置情報と自身の又は端末装置２０の現在位置を示す位置情報との照合の少なくとも一方を実行する。

　具体例について説明すると、まず、端末装置２０が、移動体３０との無線通信により移動体３０から、移動体３０の現在位置を示す位置情報、現在時刻を示す時刻情報、遠隔識別情報３２１、及び認証情報を取得する。この認証情報は、移動体３０が、それら遠隔識別情報３２１、位置情報、時刻情報から生成したものとすることができ、その生成方法は問わない。

　また、移動体３０から端末装置２０への送信並びに後述する端末装置２０から移動体認証装置１０への送信で用いるデータフォーマットは問わない。本実施の形態では、機体ＩＤ等を含む遠隔識別情報と時刻情報と位置情報より作成した認証情報に基づく認証（照合）を実施し、機体認証となりすまし対策を実施することになる。

　次いで、端末装置２０が、移動体３０から受信した遠隔識別情報３２１、位置情報、時刻情報、及び認証情報とともに、端末装置２０の現在位置を示す位置情報及び端末装置２０の現在時刻を示す時刻情報を、移動体認証装置１０に送信する。

　また、移動体認証装置１０は、受信した認証情報を復号等により解読（非秘匿化）し、それが改竄されたものでないか否かについて、同じく受信した遠隔識別情報３２１、位置情報、及び時刻情報と照合する。このように、認証情報は、例えば、遠隔識別情報３２１及び位置情報及び時刻情報を含む情報から生成された情報であり、その認証情報を解読した後に照合が実行されることができる。

　また、移動体認証装置１０は、受信した移動体３０の時刻情報、位置情報をそれぞれ、受信した遠隔識別情報３２１についての運行計画に含まれる時刻情報、位置情報と照合する。また、端末装置２０が自身の位置情報や時刻情報も移動体認証装置１０に送信しておき、移動体認証装置１０が受信した移動体３０の位置情報や時刻情報と受信した端末装置２０の位置情報や時刻情報とを照合することもできる。この場合、端末装置２０における自身の位置及び時刻と移動体３０の位置及び時刻との比較による確認を、移動体認証装置１０側で実行することを意味する。無論、この確認は端末装置２０側で実行することもできる。例えば端末装置２０は、移動体３０から受信した時刻情報、位置情報、認証情報の少なくとも１つをそれぞれ自身の時刻情報、自身の位置情報、自身が保有する認証情報と照合することもできる（図６の双方向の細い破線矢印）。端末装置２０は、その照合結果を移動体認証装置１０や他の通知先に送信することができる。

　また、移動体認証装置１０は、遠隔識別情報管理システム４０にアクセスして端末装置２０から受信した遠隔識別情報３２１を遠隔識別情報管理システム４０に格納された対象の移動体３０の遠隔識別情報４４と照合することもできる。つまり、移動体認証装置１０は、取得した遠隔識別情報３２１を遠隔識別情報管理システム４０で管理されている使用可能な遠隔識別情報と照合することもできる。

　移動体認証装置１０は、このようにして各情報についての照合を実行し（又は一部の情報についての照合結果を受信し）、各情報全てについての照合が成功した場合に照合が成功したと判定し、それ以外の場合には照合が失敗したと判定することができる。また、照合ができない場合には、移動体３０が情報を送信できないように改造されている場合も含み、移動体３０から必要な情報の全てが受信できない場合にも照合失敗と判定することができる。そして、移動体認証装置１０は、その判定結果（照合結果）を、指示元である端末装置２０に返信するなどして出力する。なお、照合結果の出力は照合に失敗した場合だけであってもよい。また、移動体認証装置１０は不審移動体を取り締まる警察のシステム（図示せず）及び国土交通省のシステム（図示せず）の少なくとも一方にこの照合結果を送信するように構成することもできる。

　このような処理により、移動体認証装置１０は、遠隔識別情報、時刻、位置について、移動体３０の機体認証及びなりすましの検知を実施し、その結果を出力することができる。また、遠隔識別情報及び位置及び時刻の全てについて照合することを前提に説明したが、いずれか１又は２つだけ照合するように、本システムを構築することもできる。

　また、移動体認証装置１０は、認証が失敗した場合（つまり、なりすまし等を検知した場合）、次のような様々な通知先にその旨を通知することが好ましい。通知先としては、管理者Ｐ２等が使用する端末装置２０、移動体３０、移動体３０の管理者や使用者（登録済みの者でなりすまされた側の者）、移動体認証装置１０の運用者、警察、国土交通省などの１又は複数を含むことができる。

　また、移動体認証装置１０は、照合が失敗した場合、通信部１３を介して認証情報の送信元となる移動体３０に警告情報を送信することが好ましい。この送信は、移動体認証装置１０から直接実行することができるが、端末装置２０を介して実行することもできる。無論、移動体３０は、端末装置２０からこのような警告情報の受信を行えないように、あるいは無視するように改造されている可能性もあるため、通信ができる場合にこのような警告情報を送信することになる。

　さらに、移動体認証装置１０が端末装置２０を介して、移動体３０に強制的に着陸させるように指示（強制着陸信号）も併せて送信することもできる。但し、ここでも端末装置２０が移動体３０との通信が可能で且つ移動体３０がこのような指示を無視せず受信できる場合に実行することができる。

　また、本システムでは、移動体認証装置１０が遠隔識別情報管理システム４０にアクセスすることで、管理者Ｐ２による目視を不要とする構成を採用することができる。なお、その場合にも照合後の処理例については、目視を必要とする構成と同様の処理を採用することができる。

　管理者Ｐ２による目視を不要とするために、移動体認証装置１０は、端末装置２０を介して（又は直接）、移動体３０の現在位置を示す位置情報を取得することが前提となる。そして、移動体認証装置１０は、照合時にさらに、移動体３０の時刻情報及び位置情報と遠隔識別情報３２１に係る移動体３０についての運行計画（移動計画）として予め記憶部４２に設定された時刻情報及び位置情報との照合を実行する。この運行計画は事前に申請されたものとすることができる。但し、目視を伴う場合にも、このような運行計画との照合を実行することもできる。

　また、基本的に照合は移動体認証装置１０のみで実施することを前提として説明したが、簡単に説明したように端末装置２０で照合の一部又は全部を実行することもできる。つまり、端末装置２０においても、遠隔識別情報、時刻情報、位置情報、認証情報に基づいた照合を行うように構成することもでき、これにより端末装置２０でなりすましを検知できる。端末装置２０で照合を行う場合において、その照合結果に対する処理は移動体認証装置１０について説明したものと基本的に同様とすることができるが、照合結果の通知先として移動体認証装置１０を含めておくことができる。つまり、端末装置２０は、認証が失敗した場合（つまり、なりすまし等を検知した場合）、次のような様々な通知先にその旨を通知することが好ましい。通知先としては、移動体認証装置１０、移動体３０、移動体３０の管理者や使用者（登録済みの者でなりすまされた側の者）、移動体認証装置１０の運用者、警察、国土交通省などの１又は複数を含むことができる。

　よって、本システムは、（１）端末装置２０で移動体３０から各種情報を受信した場合と、（２）移動体認証装置１０で移動体３０から各種情報を受信した場合とで、次のように照合を実行するように構成することができる。上記（１）の場合、端末装置２０が移動体３０から遠隔識別情報、位置情報、時刻情報を受信し、端末装置２０の位置情報、時刻情報と照合を行い、不正な情報が送られていないか、改ざんされていないかを確認する。さらに、端末装置２０は、移動体３０から認証情報を受信し、情報を発信した移動体３０が正しい移動体か否かを、例えば予め用意された被認証情報との照合により認証する。上記（２）の場合、移動体認証装置１０は、移動体３０もしくは端末装置２０から、移動体３０が発信した遠隔識別情報、位置情報、時刻情報を受信し、事前に遠隔識別情報毎に登録された飛行計画の位置情報、時刻情報と比較し、一致するか否かを確認する。さらに、移動体認証装置１０は、移動体３０が発信した認証情報を受信し、その情報を発信した移動体３０が正しい移動体であるか否かを、例えば予め用意された被認証情報との照合により認証する。

　次に、図７を参照して、本システム（図３の移動体認証システム）における照合処理の一例について簡単に説明する。図７は、本システムにおける照合処理の一例を説明するためのフローチャートである。

　本システムでは、まず移動体認証装置１０が端末装置２０を介して移動体３０から各種情報（遠隔識別情報３２１、時刻情報、位置情報、認証情報）を取得する（ステップＳ１１）。ステップＳ１１では上述のように端末装置２０の位置情報や時刻情報も取得することができるが、これは移動体認証装置１０が端末装置２０に近い位置に配置されておれば、移動体認証装置１０の位置を示す位置情報や時刻情報を利用することもできる。

　次いで、移動体認証装置１０は、受信した情報のうち解読が必要な情報（ここでは認証情報）を解読（非秘匿化）し（ステップＳ１２）、解読後の情報及び解読不要な情報を自身で用意した情報と照合する（ステップＳ１３）。

　次いで、移動体認証装置１０は、各情報についての照合結果から全体として移動体３０の照合に成功したか否かを判定し（ステップＳ１４）、成功した場合には照合成功を端末装置２０に送信（出力）し（ステップＳ１５）、処理を終了する。一方で失敗した場合（ステップＳ１４でＮＯの場合）には、照合失敗を端末装置２０に送信（出力）し（ステップＳ１６）、対象の遠隔識別情報３２１の使用を停止させる指示を遠隔識別情報管理システム４０に送信し（ステップＳ１７）、処理を終了する。

　ステップＳ１６，Ｓ１７の順序は問わず、またステップＳ１７の送信内容には無論、照合に失敗したことを示す情報も含めておくこと、あるいは照合に失敗したことを示す情報のみとすることもできる。この指示又は失敗した情報を受信した遠隔識別情報管理システム４０では、制御部４１がその遠隔識別情報３２１に少なくとも機体番号について対応する遠隔識別情報４４の使用を停止させるか、あるいは要注意対象として記憶する。

　使用停止対象の遠隔識別情報は、使用停止指示の対象の遠隔識別情報３２１についての一部の情報（例えば使用者のみ、使用者及び管理者のみなど）が合致する遠隔識別情報とすることができ、要注意対象とする場合にも同様である。このように、遠隔識別情報管理システム４０は、使用停止対象又は要注意対象として、遠隔識別情報を使用停止状態又は要注意管理状態とすることができるが、これは運行資格や管理資格を変更又は関連付けられたフラグの変更を行うことで実行することができる。また、遠隔識別情報管理システム４０は、使用停止指示の対象の遠隔識別情報３２１が存在しない場合には、要注意対象として記憶部４２に記憶させておくこともできる。

　このように、遠隔識別情報管理システム４０は、複数の移動体のそれぞれについての遠隔識別情報を管理し、遠隔識別情報の使用を停止させる指示を移動体認証装置１０から受信した場合、当該指示にかかる移動体についての遠隔識別情報を使用できない状態にすることが好ましい。また、ステップＳ１７では、対象の遠隔識別情報３２１の使用を停止させる指示を遠隔識別情報管理システム４０に送信した例を挙げたが、遠隔識別情報管理システム４０に移動体認証装置１０を備える構成を採用することもできる。その場合にはかかる指示に従い、対象の遠隔識別情報３２１の使用が停止されることになる。

　以上に説明したように、本実施の形態によれば、移動体３０等の移動体が許可なく不正に移動することを抑制することが可能になる。

　＜ハードウェア構成の例等＞
　以下、図８を参照しながら、本開示における移動体認証装置等の各装置における各機能構成がハードウェアとソフトウェアとの組み合わせで実現される場合について説明する。図８は、コンピュータのハードウェア構成を例示するブロック図である。

　本開示における移動体認証装置や管理装置や端末装置や操縦装置は、図８に示すハードウェア構成を含むコンピュータ５００により上述の機能を実現できる。コンピュータ５００は、スマートフォンやタブレット端末などといった可搬型のコンピュータであってもよいし、ＰＣなどの据え置き型のコンピュータであってもよい。コンピュータ５００は、各装置を実現するために設計された専用のコンピュータであってもよいし、汎用のコンピュータであってもよい。コンピュータ５００は、所定のアプリケーションをインストールされることにより、所望の機能を実現できる。

　コンピュータ５００は、バス５０２、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース（Ｉ／Ｆ）５１０及びネットワークインタフェース（Ｉ／Ｆ）５１２を有する。バス５０２は、プロセッサ５０４、メモリ５０６、ストレージデバイス５０８、入出力インタフェース５１０、及びネットワークインタフェース５１２が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ５０４などを互いに接続する方法は、バス接続に限定されない。

　プロセッサ５０４は、ＣＰＵ、ＧＰＵ又はＦＰＧＡなどの種々のプロセッサである。メモリ５０６は、ＲＡＭ（Random Access Memory）などを用いて実現される主記憶装置である。ストレージデバイス５０８は、ハードディスク、ＳＳＤ、メモリカード、又はＲＯＭ（Read Only Memory）などを用いて実現される補助記憶装置である。ストレージデバイス５０８は、所望の機能を実現するためのプログラムが格納されている。プロセッサ５０４は、このプログラムをメモリ５０６に読み出して実行することで、各装置の各機能構成部を実現する。

　入出力インタフェース５１０は、コンピュータ５００と入出力デバイスとを接続するためのインタフェースである。例えば入出力インタフェース５１０には、キーボードなどの入力装置や、ディスプレイ装置などの出力装置が接続される。ネットワークインタフェース５１２は、コンピュータ５００をネットワークに接続するためのインタフェースである。

　各実施の形態において上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）を含む。さらに、この例は、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗを含む。さらに、この例は、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
（付記１）
　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得する取得部と、
　前記取得部で取得された情報の一部又は全部に基づき照合を実行する照合部と、
　前記照合部での照合の結果を出力する出力部と、
　を備えた移動体認証装置。
（付記２）
　前記照合部での照合を実行する指示を受け付ける指示受付部を備え、
　前記指示受付部で前記指示を受け付けた場合に、前記取得部での取得を実行し、前記照合部で前記移動体の時刻情報と前記移動体認証装置での現在時刻を示す時刻情報との照合を実行する、
　付記１に記載の移動体認証装置。
（付記３）
　前記照合部での照合を実行する指示を受け付ける指示受付部を備え、
　前記指示受付部で前記指示を受け付けた場合に、前記取得部での取得を実行し、前記照合部で前記移動体の位置情報と前記移動体認証装置の現在位置を示す位置情報との照合を実行する、
　付記１又は２に記載の移動体認証装置。
（付記４）
　前記指示受付部は、前記移動体認証装置に接続された端末装置から前記指示を受け付け、
　前記出力部は、前記照合部での照合が失敗した場合、前記指示受付部で前記指示を送った前記端末装置に、前記照合の失敗を通知する、
　付記２又は３に記載の移動体認証装置。
（付記５）
　前記照合部は、前記移動体での時刻情報及び位置情報と前記遠隔識別情報に係る前記移動体についての運行計画として予め設定された時刻情報及び位置情報との照合を実行する、
　付記１～４のいずれか１項に記載の移動体認証装置。
（付記６）
　前記取得部で取得される前記認証情報は、前記取得部で取得される前記遠隔識別情報、前記位置情報、及び前記時刻情報を含む情報が秘匿化された情報である、
　付記１～５のいずれか１項に記載の移動体認証装置。
（付記７）
　前記出力部は、前記照合部での照合が失敗した場合、前記認証情報の送信元となる前記移動体に警告情報を送信する、
　付記１～６のいずれか１項に記載の移動体認証装置。
（付記８）
　前記出力部は、前記照合部での照合が失敗した場合、前記遠隔識別情報の使用を停止させる指示を、前記遠隔識別情報を管理する管理装置に送信する、
　付記１～７のいずれか１項に記載の移動体認証装置。
（付記９）
　前記照合部は、さらに前記取得部で取得された前記遠隔識別情報を前記管理装置で管理されている使用可能な遠隔識別情報と照合する、
　付記８に記載の移動体認証装置。
（付記１０）
　付記８又は９に記載の移動体認証装置と、前記移動体認証装置に接続される管理装置と、を備え、
　前記管理装置は、複数の移動体のそれぞれについての前記遠隔識別情報を管理し、
　前記遠隔識別情報の使用を停止させる指示を前記移動体認証装置から受信した場合、当該指示にかかる移動体についての前記遠隔識別情報を使用できない状態にする、
　移動体認証システム。
（付記１１）
　コンピュータが、
　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得し、
　取得した情報の一部又は全部に基づき照合を実行し、
　照合の結果を出力する、
　移動体認証方法。
（付記１２）
　コンピュータに、
　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得し、
　取得した情報の一部又は全部に基づき照合を実行し、
　照合の結果を出力する、
　処理を実行させるためのプログラム。

　この出願は、２０２１年３月３１日に出願された日本出願特願２０２１－０６２０５３を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　Ｎ１　ネットワーク
　Ｐ１　操作者
　Ｐ２　管理者
　１　移動体認証装置
　１ａ　取得部
　１ｂ　照合部
　１ｃ　出力部
　１０　移動体認証装置
　１１　制御部
　１２　記憶部
　１３　通信部
　２０　端末装置
　３０　移動体
　３２　遠隔コントローラ
　４０　遠隔識別情報管理システム
　４１　制御部
　４２　記憶部
　４３　通信部
　４４　遠隔識別情報
　３１１　通信部
　３１２　カメラ
　３１３　センサ群
　３１４　制御部
　３１５　駆動部
　３２０　記憶部
　３２１　遠隔識別情報（移動体内部に記憶）
　５００　コンピュータ
　５０２　バス
　５０４　プロセッサ
　５０６　メモリ
　５０８　ストレージデバイス
　５１０　入出力Ｉ／Ｆ
　５１２　ネットワークＩ／Ｆ

Claims

　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得する取得手段と、
　前記取得手段で取得された情報の一部又は全部に基づき照合を実行する照合手段と、
　前記照合手段での照合の結果を出力する出力手段と、
　を備えた移動体認証装置。
　前記照合手段での照合を実行する指示を受け付ける指示受付手段を備え、
　前記指示受付手段で前記指示を受け付けた場合に、前記取得手段での取得を実行し、前記照合手段で前記移動体の時刻情報と前記移動体認証装置での現在時刻を示す時刻情報との照合を実行する、
　請求項１に記載の移動体認証装置。
　前記照合手段での照合を実行する指示を受け付ける指示受付手段を備え、
　前記指示受付手段で前記指示を受け付けた場合に、前記取得手段での取得を実行し、前記照合手段で前記移動体の位置情報と前記移動体認証装置の現在位置を示す位置情報との照合を実行する、
　請求項１又は２に記載の移動体認証装置。
　前記指示受付手段は、前記移動体認証装置に接続された端末装置から前記指示を受け付け、
　前記出力手段は、前記照合手段での照合が失敗した場合、前記指示受付手段で前記指示を送った前記端末装置に、前記照合の失敗を通知する、
　請求項２又は３に記載の移動体認証装置。
　前記照合手段は、前記移動体での時刻情報及び位置情報と前記遠隔識別情報に係る前記移動体についての運行計画として予め設定された時刻情報及び位置情報との照合を実行する、
　請求項１～４のいずれか１項に記載の移動体認証装置。
　前記取得手段で取得される前記認証情報は、前記取得手段で取得される前記遠隔識別情報、前記位置情報、及び前記時刻情報を含む情報が秘匿化された情報である、
　請求項１～５のいずれか１項に記載の移動体認証装置。
　前記出力手段は、前記照合手段での照合が失敗した場合、前記認証情報の送信元となる前記移動体に警告情報を送信する、
　請求項１～６のいずれか１項に記載の移動体認証装置。
　前記出力手段は、前記照合手段での照合が失敗した場合、前記遠隔識別情報の使用を停止させる指示を、前記遠隔識別情報を管理する管理装置に送信する、
　請求項１～７のいずれか１項に記載の移動体認証装置。
　前記照合手段は、さらに前記取得手段で取得された前記遠隔識別情報を前記管理装置で管理されている使用可能な遠隔識別情報と照合する、
　請求項８に記載の移動体認証装置。
　請求項８又は９に記載の移動体認証装置と、前記移動体認証装置に接続される管理装置と、を備え、
　前記管理装置は、複数の移動体のそれぞれについての前記遠隔識別情報を管理し、
　前記遠隔識別情報の使用を停止させる指示を前記移動体認証装置から受信した場合、当該指示にかかる移動体についての前記遠隔識別情報を使用できない状態にする、
　移動体認証システム。
　コンピュータが、
　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得し、
　取得した情報の一部又は全部に基づき照合を実行し、
　照合の結果を出力する、
　移動体認証方法。
　コンピュータに、
　自律移動可能な移動体から、前記移動体の遠隔運行を管理するための情報である遠隔識別情報と前記移動体の現在位置を示す位置情報と前記移動体での現在時刻を示す時刻情報と認証情報とを取得し、
　取得した情報の一部又は全部に基づき照合を実行し、
　照合の結果を出力する、
　処理を実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。