WO2024111658A1

WO2024111658A1 - 認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システム

Info

Publication number: WO2024111658A1
Application number: PCT/JP2023/042151
Authority: WO
Inventors: 成次郎安木; 正法森
Original assignee: 株式会社エアロネクスト
Priority date: 2022-11-24
Filing date: 2023-11-24
Publication date: 2024-05-30

Abstract

ドローンの認証をより簡便かつ高い信頼性で行うことを可能とする、認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システムを提供する。本開示に係る認証方法は、一以上の情報処理装置により行われる飛行体の認証に係る認証方法であって、前記飛行体の型式情報を取得し、該型式情報に基づいて型式認証の合否を判定し、合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を前記飛行体に送信して前記飛行体に格納させる。

Description

認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システム

　本開示は、認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システムに関する。

　近年、半導体やソフトウエアの技術の進化により、ドローンの自律飛行の性能が著しく向上している。これまでは、手動操作による目視内での飛行が通常であったが、今後は、より高性能のドローンにより、自律飛行によって目視外で飛行するドローンが一般化してくると考えられている。そのようなドローンでは、荷物の搬送が難しかった山間部や離島などへの物流への利用や、大きな農場での農薬散布、あるいは、空からの災害時の状況把握、人が確認できないようなインフラの点検など、様々な応用が検討されている。その際に、ドローンの飛行時の安全性の配慮は極めて重要である。

　ドローンの飛行制御レベルは、日本では例えば以下４つのレベルに分類されている。
　レベル１は、手動操作であり、目視内で飛行する。
　レベル２は、自律飛行であり、目視内で飛行する。
　レベル３は、自律飛行であり、目視外で無人地帯上空を飛行する。
　レベル４は、自律飛行であり、目視外で有人地帯上空を飛行する。

　上記分類において、自律飛行であり、目視外で有人地帯上空を飛行するケース（以下、レベル４という）における安全性を十分確保するためには、レベル４の飛行の認定制度の検討が進んでいる。

　レベル４の認定には、（１）ドローンの機体のそのものの安全性を確保する機体の認証、（２）操縦者の技能を認定する操作ライセンス、（３）飛行計画等からなる運用管理ルールがある。それに加えて、（４）所有者の把握ができる制度設計が検討されている。

　ドローンのレベル４飛行の実現において、上記の（１）機体の認証は特に重要かつ困難度が高いとされている。機体の認証は、ドローンの製造者に対する「型式認証」と、ドローンのユーザに対する「機体認証」からなる。特に、ドローンのユーザに対しては整備の義務付けが行われる。また、不具合時には不具合に関する報告の義務があり、国からの整備命令に対して、国の登録を受けた検査機関での整備が実施される予定である。

　また、認定制度では、第一種認定と、第二種認定の二種類が存在する。第一種認定がレベル４飛行、第二種認定が第三者上空以外での特定飛行と定義されている。ここでいう特定飛行とは、一定の空域（空港周辺、人口集中地区、１５０ｍ以上の空域）、一定の飛行方法（夜間、目視外、３０ｍ以下に接近など）で飛行することで、国土交通省の許可・申請が必要となる。より具体的には、型式認証および機体認証は下記の様に定義づけされている状況にある。

（ａ）型式認証
・メーカ、製造者が受ける検査
・型式ごとの設計、製造過程を検査
・主に量産機が対象
・第一種（レベル４適合）有効期限１年：国が検査
・第二種（第三者上空以外での特定飛行）有効期間３年：当初は国が検査、段階的に登録検査機関に移行

（ｂ）機体認証
・ドローンユーザが受ける検査
・機体ごとの現状を検査
・自作機等は設計・製造過程も検査
・第一種（レベル４適合）有効期限１年：登録検査機関が検査
・第二種　有効期間３年：登録検査機関が検査
・型式認証を受けた機体（主に量産機）については、機体毎に行う機体認証の際の検査の全部または一部が省略される。

国土交通省，"レベル４飛行実現に向けた新たな制度整備"，［ｏｎｌｉｎｅ］，令和４年４月２０日，国土交通省，インターネット＜ＵＲＬ：ｈｔｔｐｓ：／／ｗｗｗ．ｍｌｉｔ．ｇｏ．ｊｐ／ｋｏｋｕ／ｃｏｎｔｅｎｔ／００１４７８５８０．ｐｄｆ＞

　以上のように、機体認証は、ドローンの安全性を確保するために、極めて重要な制度ではある。しかしながら、一定期間ごとに検査が必須となるため、費用および時間がかかる。今後ドローンの保有台数が増加すると、ドローンの所有者やユーザにとって大きな負担となる。また、点検箇所や点検回数が増加することにより、人為的なミスが生じする可能性が高くなる。

　そこで、本開示は、ドローンの認証をより簡便かつ高い信頼性で行うことを可能とする、認証方法、有効性判定方法、飛行体の制御方法、認証システムおよび飛行体の制御システムを提供する。

　本開示によれば、一以上の情報処理装置により行われる飛行体の認証に係る認証方法であって、前記飛行体の型式情報を取得し、該型式情報に基づいて型式認証の合否を判定し、合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を前記飛行体に送信して前記飛行体に格納させる、認証方法が提供される。

　また、本開示によれば、飛行体の認証に係る認証システムであって、前記認証システムは、認証局サーバと、判定サーバとを備え、前記判定サーバは、前記認証局サーバを介して前記飛行体の型式情報を取得し、該型式情報に基づいて型式認証の合否を判定し、前記認証局サーバに通知し、前記認証局サーバは、合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を生成し、前記飛行体に送信する、認証システムが提供される。

　その他本願が開示する課題およびその解決方法については、発明の実施形態の欄及び図面により明らかにされる。

　本開示によれば、ドローンの認証をより簡便かつ高い信頼性で行うことができる。

本実施形態に係る認証システム１００およびドローン１０００の構成例を示す図である。本実施形態に係る判定サーバ１４００およびドローン１０００の構成例を示す図である。本実施形態に係る型式認証における認証局サーバ１１００の構成および処理の例を説明するための図である。本実施形態に係る機体認証におけるログ収集分析サーバ１３００および判定サーバ１４００の構成および処理の例を示す図である。本実施形態に係る機体認証における認証局サーバ１１００およびドローン１０００の構成および処理の例を示す図である。本実施形態に係るドローン１０００の機体認証後の処理に係る構成および処理の一例を示す図である。本実施形態に係る認証システム１００による、型式認証および機体認証の処理の流れの一例を示すフローチャートである。本開示の第２の実施形態に係る認証システム１１０およびドローン１０００の構成を示す。本実施形態に係る認証システム１１０の具体的な構成例を示す図である。本開示に係る通信機器１２００のハードウェア構成例を示す図である。認証局サーバ１１００のハードウェア構成の一例を示す図である。ドローンの構成例を示す図である。

　本開示に係る認証システムに関する技術は、ドローンの機体にセキュリティに関する機能を追加し、認証局サーバと接続させることにより型式認証するための技術である。それに加えて、本技術は、通信機器等を介して、ドローンのユーザ等による操作に基づき、ドローンと認証局サーバとを接続させることで機体認証を行う技術であり得る。本開示に係る認証システムによれば、セキュリティが確保された機体認証の手続を、自動化することが可能となる。これにより、ドローンのユーザに対する認証手続きに係る負荷を減らすことができる。また、ドローンの機体認証をより確実に実行することができる。また、ドローンの機体とログ収集分析サーバとを無線等の通信手段で接続することで、定期的に飛行時のドローンの機体の状態をログデータとして蓄積することができる。かかるログデータを適宜確認することで、ドローンの状態をモニタリングでき、ドローンの機体の健全性を維持することができる。

　ドローンのレベル４における飛行の実現のため、型式認証および機体認証が日本国においては導入が検討されている。型式認証は、製造者が対象である認証であり、ドローンの型式毎の設計の内容や製造過程が検査される。一方で、機体認証は、ドローンのユーザが対象である認証であり、ドローンの機体ごとの状態等について検査される。第一種認定の場合は、１年ごとに検査が必要となり、第二種認定の場合は３年ごとに検査が必要である。型式認証および機体認証は、ドローンの安全性を確保するために重要な認証の制度であるが、認証の手続にかかる負担が大きい。特に、機体認証は、ドローンのユーザに対して定期的な検査を行うことが求められる。今後ドローンの保有台数が増加すると、定期的な検査を多くのドローンで実施する必要があり、ドローンのユーザの負担が増加し得る。しかしながら、現在の機体認証の制度では、オフラインでの認証が前提となっている。そのため、検査する側も大きな負担となり、今後のドローンのレベル４飛行の普及に対して妨げとなる可能性がある。

　図１２は、ドローンの構成例を示す図である。ドローン１２０００は、駆動部１２０１０、センサー部１２０３０、電源通信部１２０４０、監視部１２０５０、メイン制御部１２０７０を備える。

　駆動部１２０１０は、モータ１２００１～１２００４、モータドライバ１２０１１～１２０１４、およびプロペラ１２０２１～１２０２４を備える。モータドライバ１２０１１～１２０１４は、メイン制御部１２０７０に接続されている。メイン制御部１２０７０は、モータドライバ１２０１１～１２０１４に適切な制御信号を入力する。モータドライバ２０１１～１２０１４は、制御信号に応じて、対応するモータ１２００１～１２００４の回転数を制御する。モータ１２００１～１２００４は、それぞれ、プロペラ１２０２１～１２０２４が接続されており、プロペラの回転によりドローンの飛行のための推進力を生成する。

　センサー部１２０３０は、第２制御部１２０３１、ＧＰＳ１２０３２、磁気センサー１２０３３、カメラ１２０３４を備える。ＧＰＳ１２０３２は、一般的なＧＮＳＳ（Ｇｌｏｂａｌ　Ｎａｖｉｇａｔｉｏｎ　Ｓａｔｅｌｌｉｔｅ　Ｓｙｓｔｅｍ）により実現され得る、ドローン１２０００の位置情報を取得する。ＧＰＳ１２０３２は位置情報を第２制御部１２０３１へ入力する。磁気センサー１２０３３は、取得した地磁気情報を第２制御部１２０３１へ入力する。カメラ１２０３４は、取得した撮影画像の情報を第２制御部１２０３１へ入力する。

　電源通信部１２０４０は、Ｗｉ－Ｆｉ（登録商標）モジュール１２０４１、バッテリ管理部１２０４２、ＢＴ（Ｂｌｕｅｔｏｏｔｈ（登録商標））モジュール１２０４３、およびバッテリ１２０４５を備える。バッテリ管理部１２０４２は、不図示のコントローラやメモリ等により構成される情報処理装置であり、バッテリ管理部１２０４２によりバッテリ１２０４５から得られる電力が各部へ適宜供給される。Ｗｉ－Ｆｉモジュール１２０４１は、無線通信機能を持つ通信装置の一例であり、不図示の地上局と無線通信を行うためのモジュールである。無線通信により受信したデータは、メイン制御部１２０７０へ入力される。ＢＴモジュール１２０４３は、メイン制御部１２０７０に接続されている。ＢＴモジュール１２０４３は、例えばリモートＩＤのような、個体確認等に利用される。リモートＩＤは、既に日本国において制度化されている。具体的には、リモートＩＤは、Ｂｌｕｅｔｏｏｔｈ等のビーコンを用いて、ドローンの機体番号を確認するためのシステムである。ＢＴモジュール１２０４３より定期的に出力される機体情報を基に、離れたところからでもドローンの個体情報を得ることができる。

　監視部１２０５０は、機体監視制御部１２０５１、非常用カメラ１２０５２、非常用ＧＰＳ１２０５３、加速度センサー１２０５４および距離センサー１２０５５を備える。非常用カメラ１２０５２および非常用ＧＰＳ１２０５３は、ドローン１２０００の本体に異常があった場合に作動し、それぞれ、異常時の画像および位置情報を機体監視制御部１２０５１へ入力する。加速度センサー１２０５４は、ドローン１２０００の速度の変化量（加速度や各加速度）を検知し、ドローン１２０００の角度変化量により、機体の傾きや向きの情報を機体監視制御部１２０５１へ入力する。距離センサー１２０５５は、ドローン１２０００が一定時間に移動した距離を検出し、検出結果を機体監視制御部１２０５１へ入力する。監視部１２０５０では、不具合が生じた場合は、機体監視制御部１２０５１が、メイン制御部１２０７０より異常信号を受け取り、安全に着陸するように、ドローン１２０００を制御する。

　以上の様に、ドローンでは、多数の部品により構成され安全に飛行するための機能を備えているが、様々な原因で飛行が不安定になることが知られている。特に、不具合が発生しやすい駆動部１２０１０のモータ１２００１～１２００４は、高速で回転するため、負荷がかかりやすく、回転動作の異常の確認が必要である。また、モータドライバ１２００１～１２００４は、不具合があるとモータ１２００１～１２００４が停止するため、墜落につながる可能性がある。また、バッテリ１２０４５は、劣化が進むと容量が減って、バッテリ１２０４５自体が膨張する等の異常が生じうる。したがって、バッテリ１２０４５の容量や温度の確認が必須である。また、Ｗｉ－Ｆｉモジュール１２０４１に不具合があると、ドローン１２０００の制御信号を送ることができなくなる。以上のように、ドローンは、多くの部品で構成されており、検査を実施するには、多くの手間と時間がかかる。機体認証では、定期的に検査する必要があり、ドローンの台数が増加すると、検査にかかるコストは無視できないものとなる。

　そこで、本開示では、公開暗号方式によるデジタル証明書を、型式認証および機体認証の合格証明書として使用することで、認証手続のオンライン化を可能とする。ドローン１２０００の本体は、無線クライアントとして機能させる。認証局サーバによって、ドローン１２０００の本体に合格証明書が払い出される。

　このように、申請手続きや証明書の払出しもすべてオンライン化が可能であるため、手続きが容易となる。

　なお、例えば合格証明書の有効期限が過ぎている場合は、ドローン１２０００の飛行を止めるようにドローン１２０００が制御されてもよい。また、盗難されたドローンに対しては、オンラインでリボーク処理を実施することができ、さらには認証を取り消すこともできる。また、ドローン１２０００からオンタイムで取得されるログデータを分析することで、合格証明書が有効であることを判断することも可能である。これにより、リアルタイムでのドローン１２０００の健全性評価も可能である。以下、本開示の一実施形態について説明する。

　本実施形態における認証方法について概要を説明する。まずドローンの製造者は、型式認証に必要な情報を認証局サーバへ送信する。ここで、型式認証に必要な情報は、例えば、型式ごとの設計、製造過程に関する検査結果等の内容を、あらかじめ定められたレギュレーションに基づき実施し得られた結果を含みうる。

　認証局サーバは、ドローンの製造者から送信される、型式認証に必要な情報を取得し、判定サーバへ送信する。判定サーバは、送信された型式認証に必要な情報に対する判定を行う。判定サーバは、判定結果を認証局サーバへ送信する。

　認証局サーバは、合格と判断された場合に限り、型式認証合格証明書をドローンへ送信し、ドローンのセキュリティ部に当該証明書を設定する。

　ドローン本体がドローン製造者から、ドローンのユーザへ引き渡された後、ドローンのユーザは、機体認証に必要な情報を自身が持つ通信機器へ入力する。

　通信機器より機体認証に必要な情報が、認証局サーバへ送信される。認証局サーバは、機体認証に必要な情報を判定サーバへ送信し、判定サーバでは、機体認証の合否を判断する。

　判定サーバは、機体認証の合否結果を認証局サーバへ送信し、認証局サーバは、合格であった場合に限り、機体認証の合格証明書を通信機器へ送信する。

　通信機器は、機体認証の合格証明書をドローンのセキュリティ部へ設定する。

　以上の動作により、型式認証の合格証明書と機体認証の合格証明書とが、ドローンのセキュリティ部に設定される。

　次に、ドローンのユーザがドローンを飛行させる場合に関して説明する。

　ドローンは例えば無線接続により、ログ収集分析サーバと接続される。ログ収集分析サーバは、ドローンの飛行待機時、飛行準備時及び飛行時に収集されるログデータ（ログ情報）を内部に蓄積する。ここでいうログデータは、例えば、ドローンを構成する主要部品の状態（例えば動作時間、異常動作状態、劣化状態もしくはそれを示す閾値等）を示すデータ、各種センサーの飛行準備時、飛行時に出力するデータ並びに画像データ等であり得る。

　ドローンのセキュリティ部に蓄積されたログデータは、定期的に、ログ収集分析サーバと例えば無線による通信を行い、ログデータをドローンのセキュリティ部からログ収集分析サーバへ転送する。その際に、ログ収集分析サーバは、ログ収集分析サーバに記載されている機体認証の証明書失効リストを確認する。機体認証の証明書が失効している場合には、例えば、ログ収集分析サーバは、ドローンのセキュリティ部に蓄積されている機体認証の証明書を無効化しうる。

　２回目以降からの機体認証は、ログ収集分析サーバに蓄積されたログデータの分析結果と機体認証の合格証明書を確認し、機体認証の合格証明書を更新することで行われる。

　次に本実施形態の内容を列記して説明する。本実施形態に係るドローンは、詳細は後述するが、センサー部、駆動部、メイン制御部、電源通信部、監視部、セキュリティ部を備える。

　センサー部は、ＧＰＳ、磁気センサー、カメラ、第２制御部を備える。

　駆動部は、モータドライバ、モータ、プロペラを備える。

　電源通信部は、バッテリ、バッテリ管理、Ｗｉ－Ｆｉモジュール、ＢＴモジュールを備える。

　監視部は非常用カメラ、非常用ＧＰＳ、加速度センサー、距離センサー、機体監視制御部を備える。

　セキュリティ部は、通信モジュール、部品ＤＢ、ログ蓄積ＤＢ、有効期限タイマ、デジタル証明書メモリ、ルート証明書メモリ、動作制御部を備える。

　セキュリティ部は、通信モジュールを介して、例えば、認証局サーバ、通信機器、ログ収集分析サーバと、それぞれ無線等の通信手段により接続されている。

　認証局サーバは、例えばコンピュータやサーバ（単一またはクラウドである）により実現され、判定サーバに型式認証の合否を問い合わせ、合格の場合に対象のドローンに型式認証の合格証明書を送信する機能を有する。

　通信機器は、例えば携帯端末等により実現され、ドローンおよび認証局サーバに接続されている。ドローンのユーザは通信機器を用いて、機体認証に必要な情報を入力することができる。通信機器は、認証局サーバと接続されており、通信機器は、機体認証に必要な情報を認証局サーバへ送信する。

　認証局サーバは、判定部に対して、機体認証の合否を問い合わせる。そして合格の場合は、認証局サーバは、通信機器へ機体認証の合格証明書を送信する。通信機器は、合格証明書をドローンに送信する。ドローンは、受信した型式認証の合格証明書によって、機体認証合格証明書を認証する。認証が成立した場合は、ドローンのセキュリティ部からメイン制御部へ、本体の動作制御を可能とする信号を出力しうる。

　ドローンはログ収集分析サーバに接続されている。ドローンは、飛行準備中及び飛行中に取得したデータをログデータとしてセキュリティ部に保存し、定期的にログ収集分析サーバへ通信モジュールを介して送信する。

　ログ収集分析サーバは、認証局サーバと接続されている。ログ収集分析サーバは、認証局サーバより送信される証明書失効リストを保管している。ログ収集分析サーバは、ドローンから送信されてくるログデータを保管するとともに、ドローンの機体認証合格証明書と証明書失効リストとの照合を行う機能を有する。ログ収集分析サーバは、証明書失効リストに当該合格証明書がリストされている場合は、合格証明書を無効化し得る。また、ログ収集分析サーバは、保管されたログデータを分析し異常がないかを確認し、異常があった場合は、合格証明書を無効化し得る。

　（第１の実施形態）
　図１は、本実施形態に係る認証システム１００およびドローン１０００の構成例を示す図である。図１に示すように、認証システム１００は、認証局サーバ１１００、ログ収集分析サーバ１３００および判定サーバ１４００を備える。認証対象であるドローン１０００について、かかる認証システム１００により、型式認証および機体認証が行われる。また、通信機器１２００が、認証システム１００において用いられ得る。

　ドローン１０００は、駆動部１０１０、センサー部１０３０、電源通信部１０４０、監視部１０５０、セキュリティ部１０６０、およびメイン制御部１０７０を備える。なお、駆動部１０１０、センサー部１０３０、電源通信部１０４０および監視部１０５０の機能は、図１２で示したドローン１２０００の各機能と同様であるため、説明を省略する。

　セキュリティ部１０６０は通信モジュール１０６１、ログ蓄積ＤＢ１０６２、有効期限タイマ１０６３、デジタル証明書メモリ１０６４、ルート証明書メモリ１０６５、動作制御部１０６６および部品ＤＢ１０６７を備える。通信モジュール１０６１は、例えば通信機器等により実現される。ログ蓄積ＤＢ１０６２、デジタル証明書メモリ１０６４、ルート証明書メモリ１０６５および部品ＤＢ１０６７は、いわゆるデータベースであり、メモリやストレージ等により実現される。動作制御部１０６６は、コンピューティング処理を行うＣＰＵやＧＰＵ、ＡＳＩＣ等の情報処理機能と、ＲＡＭ等の記憶装置等により実現される。

　通信モジュール１０６１は、認証局サーバ１１００、通信機器１２００、ログ収集分析サーバ１３００に接続可能である。これらの接続は暗号化通信により実施され、第三者に対して傍受されないように、通信路が保護され得る。暗号化通信としては、例えばＩＰｓｅｃやＳＳＬ／ＴＬＳ等の公知の手段を利用することができる。

　認証局サーバ１１００は、判定サーバ１４００に接続され、型式認証および機体認証の認定を行う。通信機器１２００は、認証局サーバ１１００に接続され、機体認証に必要な情報の通信および機体認証の合格証明書の取得などの処理を行う。ログ収集分析サーバ１３００は、認証局サーバ１１００に接続され、ドローン１０００等から取得したログデータの蓄積、分析や証明書失効リストの処理を実施する。

　以下、セキュリティ部１０６０の動作に関して詳しく説明する。

　ルート証明書メモリ１０６５には、型式認証の合格証明書が蓄積される。型式認証の合格証明書は、認証局サーバ１１００から送信され、通信モジュール１０６１を経て、動作制御部１０６６に入力される。動作制御部１０６６は、受信した型式認証の合格証明書をルート証明書メモリ１０６５に格納する。

　デジタル証明書メモリ１０６４には、機体認証の合格証明書が蓄積される。機体認証の合格証明書は、例えば、認証局サーバ１１００から送信され、通信機器１２００で受信し、通信機器１２００から通信モジュール１０６１へ送信される。機体認証の合格証明書は、通信モジュール１０６１から動作制御部１０６６へ送信され、動作制御部１０６６からデジタル証明書メモリ１０６４に格納される。

　有効期限タイマ１０６３は、時刻情報を動作制御部１０６６へ出力する。動作制御部１０６６は、得られた時刻情報と、ルート証明書メモリ１０６５に蓄積された型式認証の合格証明書およびデジタル証明書メモリ１０６４に蓄積された機体認証の合格証明書に記載された有効期限との比較を行い、それぞれの証明書の有効性を判断する。

　ログ蓄積ＤＢ１０６２は、ドローン１０００内で得られた各部の状態の情報が蓄積される。

　駆動部１０１０にある熱センサー１００６は、一般的な温度計や熱流束センサにより実現され、モータ１００１～１００４の熱または温度の測定値を取得する。メイン制御部１０７０は、熱センサー１００６から得られた測定値と、それぞれのモータの型式に関する情報を、機体監視制御部１０５１へ出力する。機体監視制御部１０５１は、メイン制御部１０７０と一体であってもよいし、別の情報処理装置により実現されてもよい。機体監視制御部１０５１は、測定値を動作制御部１０６６へ出力する。動作制御部１０６６は、測定値の情報をログ蓄積ＤＢ１０６２へ格納する。また、モータの型式に関する情報は、機体監視制御部１０５１から動作制御部１０６６に入力される。動作制御部１０６６は、型式に関する情報を、部品ＤＢ１０６７に格納する。

　駆動部１０１０にある回転数トルクセンサー１００５は、モータドライバ１０１１～１０１４の回転数トルクの値を取得する。メイン制御部１０７０は、回転数トルクセンサー１００５から得られた測定値と、それぞれのモータドライバの型式に関する情報を、機体監視制御部１０５１へ出力する。機体監視制御部１０５１は、回転数トルクの測定値を動作制御部１０６６へ出力する。動作制御部１０６６は、測定値をログ蓄積ＤＢ１０６２へ格納する。また、モータドライバの型式に関する情報は、機体監視制御部１０５１から動作制御部１０６６に入力される。動作制御部１０６６は、型式に関する情報を、部品ＤＢ１０６７に格納する。

　電源通信部１０４０にある容量・熱センサー１０４６は、バッテリ１０４５の電力容量、熱の測定値をメイン制御部１０７０に出力する。メイン制御部１０７０は、上記の測定値、バッテリ１０４５の型式およびバッテリ管理部１０４２の型式に関する情報を、機体監視制御部１０５１へ出力する。機体監視制御部１０５１は、受信した各種情報を動作制御部１０６６へ出力する。動作制御部１０６６は、各種情報をログ蓄積ＤＢ１０６２へ格納する。一方、バッテリの型式およびバッテリ管理の型式に関する情報は、機体監視制御部１０５１から動作制御部１０６６に入力される。動作制御部１０６６は、型式に関する情報を、部品ＤＢ１０６７に格納する。

　電源通信部１０４０にある、Ｗｉ－Ｆｉモジュール１０４１およびＢＴモジュール１０４３は、通信データをメイン制御部１０７０へ出力する。また、メイン制御部１０７０は、Ｗｉ－Ｆｉモジュール１０４１およびＢＴモジュール１０４３が受信した電波の強度に関する情報を機体監視制御部１０５１へ出力する。機体監視制御部１０５１は、受信した電波の強度に関する情報を動作制御部１０６６へ出力する。動作制御部１０６６は、受信した電波の強度に関する情報をログ蓄積ＤＢ１０６２へ格納する。また、Ｗｉ－Ｆｉモジュール１０４１とＢＴモジュール１０４３の型式に関する情報は、機体監視制御部１０５１を経由して、動作制御部１０６６に入力される。動作制御部１０６６は、型式に関する情報を、部品ＤＢ１０６７に格納する。

　センサー部１０３０にあるＧＰＳ１０３２および磁気センサー１０３３から得られた測定データは、第２制御部１０３１を経由してメイン制御部１０７０へ出力される。また、これらのセンサーの強度に関する情報も、第２制御部１０３１へ出力される。センサーの強度に関する情報は、第２制御部１０３１から、メイン制御部１０７０を経由して、機体監視制御部１０５１へ出力される。機体監視制御部１０５１は、測定データおよびセンサーの強度に関する情報を動作制御部１０６６へ出力する。動作制御部１０６６は、測定データおよびセンサーの強度に関する情報をログ蓄積ＤＢ１０６２へ格納する。また、ＧＰＳ１０３２、磁気センサー１０３３およびカメラ１０３４の型式に関する情報も、メイン制御部１０７０を経由して、機体監視制御部１０５１から動作制御部１０６６へ出力され、部品ＤＢ１０６７に蓄積される。

　監視部１０５０にある加速度センサー１０５４および距離センサー１０５５から得られた測定データは、機体監視制御部１０５１へ出力される。また、これらのセンサーの強度に関する情報は、機体監視制御部１０５１へ出力される。機体監視制御部１０５１は、測定データおよびセンサーの強度に関する情報を動作制御部１０６６へ出力する。動作制御部１０６６は、測定データおよびセンサーの強度に関する情報をログ蓄積ＤＢ１０６２へ格納する。また、非常用カメラ１０５２、非常用ＧＰＳ１０５３、加速度センサー１０５４および距離センサー１０５５の型式に関する情報も、機体監視制御部１０５１を経由して、動作制御部１０６６から部品ＤＢ１０６７へ格納される。

　以上の動作により、ログ蓄積ＤＢには、下記のデータが蓄積される。
・駆動部１０１０のモータ１００１～１００４の熱や温度に関する測定値、および、モータドライバ１０１１～１０１４の回転数トルクの測定値
・電源通信部１０４０のバッテリ１０４５の容量、バッテリ１０４５に関する熱等の測定値、Ｗｉ－Ｆｉモジュール１０４１の受信電波強度、ＢＴモジュール１０４３の受信電波強度
・センサー部１０３０のＧＰＳ１０３２の測定データおよびセンサー強度、磁気センサー１０３３の測定データおよびセンサー強度
・監視部１０５０の加速度センサー１０５４の測定データおよびセンサー強度、距離センサー１０５５の測定データおよびセンサー強度

　以上のログデータの取得は、飛行時に連続的または断続的に実施される。取得されたログデータは、ログ蓄積ＤＢ１０６２から、動作制御部１０６６を経由して、通信モジュール１０６１へ送信される。通信モジュール１０６１は、ログ収集分析サーバ１３００と通信し、ログ収集分析サーバ１３００にこれらのログデータが蓄積される。

　また、部品ＤＢ１０６７には、モータ１００１～１００４の型式、モータドライバ１０１１～１０１４の型式、バッテリ１０４５の型式、バッテリ管理部１０４２の型式、Ｗｉ－Ｆｉモジュール１０４１の型式、ＢＴモジュール１０４３の型式、ＧＰＳ１０３２の型式、磁気センサー１０３３の型式、カメラ１０３４、加速度センサー１０５４の型式、距離センサー１０５５の型式、非常用カメラ１０５２の型式および非常用ＧＰＳ１０５３の型式に関する情報が格納される。

　次に、本実施形態に係る型式認証の処理に係る構成および処理の流れについて説明する。図２は、本実施形態に係る判定サーバ１４００およびドローン１０００の構成例を示す図である。

　図示するように、判定サーバ１４００は、通信制御部１４０１、型式認証判定部１４１０および機体認証判定部１４２０を備える。型式認証では、型式認証判定部１４１０が使用される。型式認証判定部１４１０は、部品リスト検索部１４１２、部品リストＤＢ１４１３、レギュレーションチェック部１４１４、レギュレーションチェックリスト１４１５、合否判定部１４１６および型式登録ＤＢ１４１７を備える。

　ドローン１０００のセキュリティ部１０６０の通信モジュール１０６１は、認証局サーバ１１００に接続される。認証局サーバ１１００は、判定サーバ１４００の通信制御部１４０１に接続される。

　ルート証明書メモリ１０６５には、あらかじめ本体型式情報が書き込まれている。ここで、本体型式情報は、レギュレーションリストに関する確認結果と該ドローン１０００の型番および製造番号等の情報を含みうる。本体型式情報は、動作制御部１０６６によりルート証明書メモリ１０６５から読み出され、通信モジュール１０６１へ送信される。通信モジュール１０６１は、本体型式情報を、認証局サーバ１１００を経由して、判定サーバ１４００の型式認証判定部１４１０の通信制御部１４０１へ出力する。通信制御部１４０１は、受信した本体型式情報をレギュレーションチェック部１４１４に入力する。レギュレーションチェック部１４１４は、レギュレーションチェックリスト１４１５より読み出されるレギュレーションリストの情報に基づき、本体型式情報のレギュレーションチェックリストを確認する。レギュレーションチェックリストに問題が無ければ、レギュレーションチェック部１４１４は、合否判定部１４１６へ合格情報を出力する。

　一方で、部品ＤＢ１０６７には、ドローン１０００の各部分の型式を記載した、各部型式情報が蓄積されている。ここで、各部型式情報は、前述の処理よって取得された、ドローン本体で使われている各主要部品の型式の情報を示す。

　動作制御部１０６６は、部品ＤＢ１０６７より、各部型式情報を読み出し、通信モジュール１０６１へ送信する。通信モジュール１０６１は、各部型式情報を、認証局サーバ１１００を経由して、判定サーバ１４００の型式認証判定部１４１０の部品リスト検索部１４１２へ入力する。部品リスト検索部１４１２は、各部型式情報の各部分の情報と、部品リストＤＢ１４１３から部品に関する情報を読み出し、各部型式情報に対応する部品が部品リストＤＢ１４１３に登録されている部品であるか照合する。ここで、部品リストＤＢ１４１３には、レギュレーションで規定される部品のリストが記載されている。部品リスト検索部１４１２は、各部型式情報にあるドローン１０００の各部の情報がレギュレーションに従って登録されている部品に一致しているか照合し、照合されれば合否判定部１４１６へ合格情報を出力する。

　合否判定部１４１６は、レギュレーションチェック部１４１４、及び、部品リスト検索部１４１２のいずれからも合格情報が入力されている場合に、型式認証の合格を示す合格情報を通信制御部１４０１へ出力する。通信制御部１４０１は、合格情報を認証局サーバ１１００へ出力する。また、合否判定部１４１６は、レギュレーションチェック部１４１４から出力される本体型式情報のドローン本体を示す型式情報を型式登録ＤＢ１４１７へ登録する。ここで登録された型式情報は、機体認証の際に、認証済みのドローンであることを確認する際に使用される。

　次に、本実施形態に係る型式認証における認証局サーバ１１００の構成および処理について説明する。図３は、本実施形態に係る型式認証における認証局サーバ１１００の構成および処理の例を説明するための図である。ここでは、型式認証に係るドローン１０００のセキュリティ部１０６０と認証局サーバ１１００の構成および処理について主に説明する。

　図示するように、認証局サーバ１１００は、通信制御部１１０１、型式認証部１１１０および機体認証部１１２０を備える。型式認証の処理には、認証局サーバ１１００の型式認証部１１１０が使われる。型式認証部１１１０は、型式情報受信部１１１１、暗号化部１１１３、型式認証合格判定部１１１４、暗号化型式情報部１１１５、ＣＡ公開鍵１１１６および型式認証合格証明書生成部１１１７を備える。ここで、ドローン１０００のセキュリティ部１０６０のルート証明書メモリ１０６５には、あらかじめ本体型式情報が保存されているとする。

　保存された本体型式情報は、上記と同じく、レギュレーションリスト確認結果、ドローン本体の型番および製造番号等の情報を含みうる。レギュレーションリスト確認結果は、例えば、あらかじめ定められたレギュレーションに基づき、ドローンの製造者または検査担当者がドローンを検査した結果が含まれ得る。

　動作制御部１０６６は、ルート証明書メモリ１０６５から本体型式情報を読み出し、通信モジュール１０６１を経由して、認証局サーバ１１００の通信制御部１１０１へ送信する。通信制御部１１０１は、型式情報受信部１１１１へ本体型式情報を送信する。型式情報受信部１１１１は、本体型式情報から、ドローン本体の型番と製造番号に関する情報を取得し、有効日時および発行者に関する情報を追加し、平文の型式情報を作成する。平文の型式情報は、ＣＡ公開鍵１１１６によって、暗号化部１１１３により暗号化される。暗号化された型式情報（暗号化型式情報という）は、暗号化型式情報部１１１５へ出力する。

　暗号化型式情報部１１１５は、暗号化型式情報を型式認証合格証明書生成部１１１７へ出力する。型式認証合格証明書生成部１１１７は、ＣＡ公開鍵１１１６と暗号化型式情報を合わせて型式認証合格証明書を生成し、型式認証合格証明書を通信制御部１１０１へ出力する。ここで、型式認証合格判定部１１１４から合格情報が通信制御部１１０１へ送信された場合は、通信制御部１１０１は、型式認証合格証明書を通信モジュール１０６１へ送信し、動作制御部１０６６を経由して、ルート証明書メモリ１０６５へ保存される。型式認証合格判定部１１１４から合格情報が通信制御部１１０１へ送信されなかった場合は、通信制御部１１０１は、不合格通知を通信モジュール１０６１へ送信し、動作制御部１０６６による以降の処理を停止させる。ここで、型式認証合格判定部１１１４は、判定サーバ１４００から送信されてくる合格情報に基づき、合否を判定する。

　以上の処理により、型式認証が成立した場合は、ドローン１０００のセキュリティ部１０６０のルート証明書メモリ１０６５には、型式認証合格証明書が保存される。、型式認証合格証明書は、暗号化型式情報とＣＡ公開鍵で構成されている。暗号化型式情報には、ドローン本体の型番と製造番号、有効日時、発行者に関する情報が含まれ、これらは暗号化されている。

　次に、本実施形態に係る機体認証の処理について説明する。図４は、本実施形態に係る機体認証におけるログ収集分析サーバ１３００および判定サーバ１４００の構成および処理の例を示す図である。なお、図４においては、セキュリティ部１０６０は、機体認証の判定に使われる部分のみを記載しており、部品ＤＢ１０６７、有効期限タイマ１０６３に関しては記載を省略する。

　判定サーバ１４００は、通信制御部１４０１、型式認証判定部１４１０および機体認証判定部１４２０を備える。機体認証判定部１４２０は、必要情報確認部１４２１、ログ分析確認部１４２２および合否判定部１４２３を備える。機体認証には、機体認証判定部１４２０が使用される。

　ログ収集分析サーバ１３００は、通信制御部１３０１、ログ蓄積部１３０２、ログ分析部１３０３、証明書失効リスト１３０４および証明書照合部１３０５を備える。

　判定サーバ１４００は、ドローンユーザの入力する必要情報、ログ分析結果および証明書失効の有無に関する情報に基づき、機体認証の判定を実施する。

　（１）必要情報に関わる判定
　動作制御部１０６６は、ルート証明書メモリ１０６５から型式認証合格証明書の暗号化型式情報を取得し、通信モジュール１０６１へ送信する。通信モジュール１０６１は、暗号化型式情報を通信機器１２００へ送信する。ドローンのユーザは、機体認証に必要な情報である機体認証必要情報を、通信機器１２００へ入力する。そして通信機器１２００は、入力された機体認証必要情報を、暗号化型式情報とともに、認証局サーバ１１００へ送信する。ここで、機体認証必要情報は、ドローンのユーザに関する名称、所在地、ドローンの操作に関するライセンス情報等、ユーザの識別を可能とする情報を含む。

　認証局サーバ１１００は、まず機体認証必要情報を判定サーバ１４００へ送信する。なお、暗号化型式情報は、判定サーバ１４００では使用されず、後述する図５に示す認証局サーバ１１００での機体認証処理で使用される。判定サーバ１４００は、機体認証必要情報を受信し、必要情報確認部１４２１へ送信する。必要情報確認部１４２１は、機体認証必要情報を確認し、情報が適切であることを判断する。情報が適切であるかどうかは、例えば、入力された情報の属性と内容が一致しているか、漏れが無いか等、機体認証の処理に必要な情報が含まれているかの判定により行われる。必要情報確認部１４２１は、機体認証必要情報が適切である場合に、合否判定部１４２３へ合格情報を送信する。

　（２）ログ分析に関わる判定
　ログ蓄積ＤＢ１０６２に蓄積されたログ情報は、動作制御部１０６６により取得され、通信モジュール１０６１へ送信される。通信モジュール１０６１は、ログ収集分析サーバ１３００に接続され、ログ情報はログ収集分析サーバ１３００の通信制御部１３０１へ送信される。通信制御部１３０１は、ログ情報をログ蓄積部１３０２へ送信する。ログ蓄積部１３０２に蓄積されたログ情報は、ログ分析部１３０３により取得される。ログ分析部１３０３はログの分析を行い、ログ情報に異常がないか確認を行う。ログ情報に異常がないかどうかは、例えば、ログ情報にエラーや外れ値がないか等の分析により行われる。ログ分析部１３０３はログ分析結果を通信制御部１３０１へ送信する。通信制御部１３０１は、ログ分析結果を、認証局サーバ１１００を経由して、判定サーバ１４００の通信制御部１４０１へ送信する。通信制御部１４０１は、ログ分析結果をログ分析確認部１４２２へ出力する。ログ分析確認部１４２２では、ログ分析結果に異常がないか確認を行い、異常がない場合は、合格情報を合否判定部１４２３へ出力する。

　（３）証明書失効リストに関わる判定
　証明書失効リスト１３０４は、失効した機体認証合格証明書が記載されたリストを保有している。動作制御部１０６６は、デジタル証明書メモリ１０６４に保存されている機体認証合格証明書を取得し、通信モジュール１０６１へ出力する。通信モジュール１０６１は、通信制御部１３０１に機体認証合格証明書を送信する。通信制御部１３０１は、機体認証合格証明書を証明書照合部１３０５へ出力する。証明書照合部１３０５は、取得した機体認証合格証明書と、証明書失効リスト１３０４に含まれる失効している機体認証合格証明書との照合を行う。照合の結果ドローン１０００の機体認証合格証明書が失効している場合は、証明書照合部１３０５が通信制御部１３０１を経由して、機体認証合格証明書の失効情報を認証局サーバ１１００へ送信する。認証局サーバ１１００は、機体認証合格証明書の失効情報を受信した際には、当該機体認証合格証明書の失効処理を実施する。

　図５は、本実施形態に係る機体認証における認証局サーバ１１００およびドローン１０００の構成および処理の例を示す図である。認証局サーバ１１００は、通信制御部１１０１、型式認証部１１１０および機体認証部１１２０を備える。機体認証部１１２０は、必要情報受信部１２２１、機体情報生成部１２２２、有効期限部１２２３、ハッシュ関数１２２４、暗号化部１２２５、ＣＡ秘密鍵１２２６、型式確認部１２２７、機体認証合格証明書生成部１２２８、暗号化型式情報受信部１２２９、復号化部１２３０、型式認証合格判定部１２３１および機体登録ＤＢ１２３２を備える。

　図示するように、まず、ドローンのユーザは、通信機器１２００を用いて、機体認証必要情報１２５０を入力する。機体認証必要情報１２５０は、通信機器１２００から認証局サーバ１１００の通信制御部１１０１へ送信される。機体認証必要情報１２５０は、必要情報受信部１２２１に出力される。必要情報受信部１２２１は、機体認証必要情報１２５０に型式証明書発行元の情報を追加し、機体認証必要情報１２５０を機体情報生成部１２２２へ出力する。

　機体情報生成部１２２２は、有効期限部１２２３より出力される有効期限の情報を機体認証必要情報と合わせて、機体情報を生成する。機体情報は、ハッシュ関数１２２４、機体認証合格証明書生成部１２２８および機体登録ＤＢ１２３２へ出力される。機体登録ＤＢ１２３２は、型式認証合格判定部１２３１で合格情報が出力された場合に、機体情報を登録する。ここで、機体情報は、前述の様に、ドローンのユーザに関する名称、所在地、ドローンの操作に関するライセンス情報等、ユーザの識別を可能とする情報と、型式証明書発行元の情報、有効期限を含みうる。

　次に、機体情報生成部１２２２より出力される機体情報は、ハッシュ関数１２２４によりメッセージダイジェストに変換される。変換されたメッセージダイジェストは、ＣＡ秘密鍵１２２６を使い、暗号化部１２２５で暗号化される。暗号化されたメッセージダイジェストは機体認証合格証明書生成部１２２８へ出力される。機体認証合格証明書生成部１２２８は、暗号化されたメッセージダイジェストと機体情報を合わせて、機体認証合格証明書を作成し、通信制御部１１０１へ出力する。

　次に、動作制御部１０６６は、ルート証明書メモリ１０６５から、型式認証合格証明書に含まれている暗号化型式情報を取得する。暗号化型式情報は、動作制御部１０６６を経由して、通信モジュール１６０１より、認証局サーバ１１００の通信制御部１１０１へ出力される。暗号化型式情報は、暗号化型式情報受信部１２２９に入力される。そして暗号化型式情報は、ＣＡ秘密鍵１２２６を用いて復号化部１２３０で復号化され、平文の型式情報に変換される。

　型式認証合格判定部１２３１は、判定サーバ１４００にある型式登録ＤＢ１４１７に含まれる型式情報を取得し、型式確認部１２２７へ送信する。型式確認部１２２７は、復号化部１２３０より出力される型式情報と、型式認証合格判定部１２３１から取得した型式情報を比較し、登録済みの型式情報であるか否かを判定する。登録済みの型式情報であると判定されれば、型式確認部１２２７は、合格情報を通信制御部１１０１へ出力する。型式情報が存在しない場合は、通信制御部１１０１へ機体認証合格証明書の送信を停止する。

　通信制御部１１０１は、合格情報を取得すると、機体認証合格証明書を、通信機器１２００を経由して、ドローン１０００のセキュリティ部１０６０にある通信モジュール１０６１へ送信する。なお、通信制御部１１０１は、機体認証合格証明書を、直接ドローン１０００の通信モジュール１０６１に送信してもよい。通信モジュール１０６１は、受信した機体認証合格証明書を、動作制御部１０６６を経由して、デジタル証明書メモリ１０６４へ保存する。図５に示すように、デジタル証明書メモリ１０６４には、機体認証合格証明書が格納される。格納された機体認証合格証明書は、平文の機体情報とともに、機体情報のメッセージダイジェストを暗号化した暗号化機体情報とを含みうる。

　次に、機体認証が完了した後のドローン１０００における処理について説明する。図６は、本実施形態に係るドローン１０００の機体認証後の処理に係る構成および処理の一例を示す図である。図示するように、セキュリティ部１０６０の動作制御部１０６６は、機体情報受信部６００１、ハッシュ関数６００２、暗号化情報受信部６００３、復号化部６００４、ＣＡ公開鍵６００５、メッセージダイジェスト比較部６００６、判定部６００７および有効期限確認部６００８を備える。

　ドローン１０００の型式認証および機体認証が終了すると、セキュリティ部１０６０のデジタル証明書メモリ１０６４には機体認証合格証明書が保存され、また、ルート証明書メモリ１０６５には、型式情報および型式認証合格証明書が保存される。これら証明書により、ドローン１０００のセキュリティ部１０６０では、ドローン１０００の飛行動作が可能であるかどうかを判断することができる。

　まず、動作制御部１０６６は、デジタル証明書メモリ１０６４から機体認証合格証明書の機体情報と暗号化機体情報を取得する。一方で、動作制御部１０６６は、ルート証明書メモリ１０６５からＣＡ公開鍵を取得する。ここで、取得された機体情報は、動作制御部１０６６にある、機体情報受信部６００１が取得し、ハッシュ関数６００２を用いてメッセージダイジェストに変換される。一方、デジタル証明書メモリ１０６４から取得された暗号化情報は、動作制御部１０６６にある、暗号化情報受信部６００３が取得し、ＣＡ公開鍵６００５を用いて、復号化部６００４により復号化される。

　復号化されたメッセージダイジェストは、メッセージダイジェスト比較部６００６に入力される。そして、メッセージダイジェスト比較部６００６は、復号化されたメッセージダイジェストと、ハッシュ関数６００２から出力されるメッセージダイジェストとを比較する。これらのメッセージダイジェストが一致していれば、機体認証合格証明書の有効性があると判定される。この場合、メッセージダイジェスト比較部６００６は、一致信号を判定部６００７へ出力する。

　また、機体情報受信部６００１は、機体情報に含まれる有効期限の情報を取得し、有効期限確認部６００８へ出力する。有効期限確認部６００８は、有効期限タイマ１０６３が示す有効期限の値と比較して、機体情報に含まれる有効期限が切れていないかを確認する。確認されれば、有効期限確認部６００８は、確認信号を判定部６００７へ出力する。判定部６００７は、有効期限確認部６００８の出力とメッセージダイジェスト比較部６００６の出力を得て、同時に成立している場合に、機体認証合格証明書の有効性があると判定し、動作可能信号を出力する。動作可能信号は、監視部１０５０へ出力される。かかる動作可能信号を取得することにより、ドローン１０００の飛行等に関する制御を通常通り行うことができる。一方で、判定部６００７から動作可能信号が出力されない場合は、ドローン１０００は飛行不能となるか、またはドローン１０００が飛行中である場合は、ドローン１０００を着陸させる。

　図７は、本実施形態に係る認証システム１００による、型式認証および機体認証の処理の流れの一例を示すフローチャートである。まず、型式認証の処理のフロー９０１０に関して説明する。型式認証は、ユーザに引き渡す前に、製造者が手続きを行う。製造者は、あらかじめ定められたレギュレーションに従い、ドローンを製造する。レギュレーションには、例えば、使用可能な部品、製造工程、動作試験手順等が規定されている。製造者は、これらのレギュレーションの事項を確認し、ドローン１０００から型式認証の取得要求を認証局サーバ１１００に通信により実行する。

　型式認証の取得要求フェーズ９０１１では、製造時のドローンに対して、型式認証のレギュレーションの確認リスト、本体型番および製造番号を、本体型式情報として本体に記録する。また、ドローンを構成する部品の情報である各部型式情報も本体に記録する。各部型式情報は、ドローン本体で使われている部品のリストであり、レギュレーションに規定されている部品が正しく使われているかを確認するために用いられる。

　次に、型式認証の判定要求フェーズ９０１２では、認証局サーバ１１００が判定サーバ１４００に対して、当該本体型式情報および各部型式情報を送信し、判定を要求する。

　型式認定合否結果フェーズ９０１３では、判定サーバ１４００は、型式認定の合否結果を合格情報として認証局サーバ１１００に返す。

　型式認証合格証明書の設定フェーズ９０１４では、認証局サーバ１１００は、型式認証合格証明書をドローン１０００に設定する。型式情報には、本体型番と製造番号と発行元情報と有効期限が含まれており、当該型式情報は暗号化される。暗号化型式情報と認証局サーバ１１００のＣＡ公開鍵が型式認証合格証明書を構成し、製造時のドローン１０００に記録される。

　次に機体認証のフロー９０２０を説明する。機体認証は、ドローンのユーザが手続きを行う。ドローンのユーザは、例えば通信機器１２００を用いて設定を行う。

　まず、型式認証に関する情報送付フェーズ９０２１では、ドローン１０００に記憶された暗号化型式情報を通信機器１２００へ送信する。暗号化型式情報は、例えば、本体型番と製造番号と発行元情報と有効期限が含まれている。

　ユーザの入力フェーズ９０２２では、ドローンのユーザは、暗号化型式情報を取得後、機体認証に必要な情報を通信機器１２００に入力する。機体情報必要情報は、例えば、ドローンのユーザの名称、所在地、操作ライセンス情報などユーザを識別できる情報を含みうる。

　機体認証の取得要求フェーズ９０２３では、ドローンのユーザは、通信機器１２００により、機体認証の取得要求を認証局サーバ１１００に対し実施する。具体的には、機体認証必要情報と暗号化型式情報を通信機器１２００から認証局サーバ１１００へ送信する。

　機体認証の判定要求フェーズ９０２４では、認証局サーバ１１００は、判定サーバ１４００に対して、機体認証時必要情報を送信し判定を要求する。並行して、暗号化型式情報は、認証局サーバ１１００にて、復号化され、型式情報の内容が確認される。

　他情報入力フェーズ９０２５では、外部より、補助情報として、ログ分析結果と失効リストが判定サーバ１４００へ入力される。なお、かかる処理は、後述する第２の実施形態に係る認証システム１１０により行われ得る。

　機体認定合否結果フェーズ９０２６では、判定サーバ１４００は、認証局サーバ１１００へ機体認証の合否判定結果（合格情報）を送付する。

　機体認証合格証明書の取得フェーズ９０２７では、認証局サーバ１１００は、機体認証合格証明書を通信機器１２００へ送信する。ここで、機体認証合格証明書には、平文の機体情報と暗号化された機体のメッセージダイジェストが記載されている。

　そして、機体認証合格証明書の設定フェーズ９０２８では、通信機器１２００から機体認証の対象であるドローン１０００へ、機体認証合格証明書が送付される。ドローン１０００はかかる機体認証合格証明書を格納する。

　次に、本開示の第２の実施形態について説明する。図８は、本開示の第２の実施形態に係る認証システム１１０およびドローン１０００の構成を示す。ドローン１０００の構成は第１の実施形態と同様であるため、説明を省略する。

　本実施形態に係る認証システム１１０は、第１の実施形態に係る認証システム１００に、さらに補助機能サーバ７０００を追加した構成である。補助機能サーバ７０００は、認証局サーバ１１００および判定サーバ１４００と接続される。

　本開示による第１の実施形態では、型式認証が実行された後に、機体認証が実行される。型式認証の合格の判断は、セキュリティ部１０６０にあらかじめ書き込まれているレギュレーションチェックリストと部品リストを認証局サーバ１１００経由で判定サーバ１４００に送信することで実施され得る。

　次に、機体認証は、認証局サーバ１１００において、型式認証で得られた型式情報の確認と、判定サーバ１４００での機体認証必要情報とログ分析結果と証明書失効リストの確認によって実施されている。

　本実施形態では、補助機能サーバ７０００を用いることで、機体認証において実施されるログ分析と証明書失効リスト確認の精度を上げことができる。

　具体的には、本実施形態に係るログ分析では、ドローン１０００の各部から集まるセンサー情報に加え、検査官等によるマニュアルの検査に基づく補助情報をログデータとして用いられる。ドローンは外部より見えるプロペラ、機体のフレーム、コネクタ、ケーブル等があり、これら部品は、外部環境から直接的に影響を受けるため、センサー等から得られたログデータだけでは、機体の状態を十分に反映していない可能性がある。そこで、本実施形態では、センサー等からのログデータに加え、検査官が目視による検査を行って得られる目視データをログデータの補助データとして追加することで、より機体認証における精度を向上させることができる。

　図９は、本実施形態に係る認証システム１１０の具体的な構成例を示す図である。図９に示すように、補助機能サーバ７０００は、目視データ確認部７００１、過去ログデータ部７００２、ＣＲＬ（Ｃｅｒｔｉｆｉｃａｔｅ　Ｒｅｖｏｃａｔｉｏｎ　Ｌｉｓｔ）証明書失効リスト入力部７００３を備える。

　目視データ確認部７００１は、検査員により検査されて得られる検査データを保存している。目視データ確認部７００１は、例えば、判定サーバ１４００の機体認証判定部１４２０の合否判定部１４２３に接続される。目視データ確認部７００１に明らかな破損や歪などが反映された確認情報が含まれている場合、かかる確認情報が合否判定部１４２３へ出力されると、合否判定部１４２３は合格情報を出力しないようにできる。以上の処理により、ドローン１０００の各部から集まるセンサー情報で補足できない情報を追加し、合格判断の精度を向上することが出来る。

　ログ収集分析サーバ１３００は、当該ドローンの飛行時の状態を示すログデータを保存している。同一の型式の他のドローンや、同一の型式の部品のログデータを利用することで、ログデータ分析の精度を向上することが出来る。過去ログデータ部７００２は、ログ収集分析サーバ１３００のログ分析部１３０３に接続されている。同一の型式のドローンや部品の過去ログデータをログ分析部１３０３に追加することで、データ数を増加させ、ログデータ分析の精度を上げる。

　ＣＲＬ（Ｃｅｒｔｉｆｉｃａｔｅ　Ｒｅｖｏｃａｔｉｏｎ　Ｌｉｓｔ）証明書失効リスト入力部７００３は、ログ収集分析サーバ１３００の証明書失効リスト１３０４へ接続可能に設けられている。盗難や大きな不具合があった機体に対しては、証明書失効リストを発行することで、ドローンの飛行を制限することができる。通常は、ネットワークで取得可能な証明書失効リストを監視し、証明書失効リスト１３０４に登録するが、本実施形態では、ＣＲＬ証明書失効リスト入力部７００３が証明書失効リストを取得し、かかるリストにより盗難の報告や不具合報告を反映した証明書失効リスト１３０４をアップデートすることが可能となる。また、証明書を失効するべき報告があった場合は、ＣＲＬ証明書失効リスト入力部７００３は、直ちに、最新の証明書失効リストを証明書失効リスト１３０４へ出力する。これにより、問題のあるドローンの飛行動作をより早く停止させることが可能となる。

　図１０は、本開示に係る通信機器１２００のハードウェア構成例を示す図である。図示するように、通信機器１２００は、タッチパネル１２０１、入出力部１２０２、ＣＰＵ１２０３、通信部１２０４、バス１２０５、メモリ１２０６および蓄積部１２０７を備える。タッチパネル１２０１は、例えば圧電式や静電容量式等の一般的なタッチパネル等であり得る。入出力部１２０２は、ディスプレイやその他インタフェースのデバイス等により実現され得る。ＣＰＵ１２０３は、例えばマイクロプロセッサにより実現される。ＣＰＵ１２０３はＣＰＵに限定されず、ＡＳＩＣ等のプロセッサであってもよい。通信部１２０４は、有線又は無線により外部のデバイスと通信を行うためのデバイスである。バス１２０５は、通信機器１２００の各機能部との通信機能を実現する部品である。メモリ１２０６はＲＡＭやキャッシュ等の短期記憶機能を実現するデバイスである。蓄積部１２０７は、ＳＳＤやフラッシュ等のハードウェアストレージ等であり得る。

　通信機器１２００は通信部１２０４を介して、ドローン１０００および認証局サーバ１１００と接続可能に構成される。

　タッチパネル１２０１は、例えば図示するような表示画面１２１０を表示させることができる。例えば、表示画面１２１０は、ユーザ情報入力エリア１２１１、認証局への送信ボタン１２１２、証明書受信表示エリア１２１３、ドローンへの送信ボタン１２１４および暗号化型式情報取得ボタン１２１５を含みうる。

　ドローンのユーザは、暗号化型式情報取得ボタン１２１５を押下し、ドローンから暗号化型式情報を取得し得る。タッチパネル表示画面１２１０には、ユーザ情報入力エリア１２１１があり、必要な情報をユーザが入力することができる。入力完了後、認証局への送信ボタン１２１２をユーザが押下することで、暗号化型式情報と機器認証必要情報を認証局サーバ１１００へ送信することができる。

　認証局サーバ１１００は、機体認証が成立した場合には、機体認証合格証明書を通信機器１２００へ送信する。通信機器１２００は、機体認証合格証明書を受信する。受信が完了すると、パネル表示画面１２１０の証明書受信表示エリア１２１３が現れる。次に、ドローンのユーザは、ドローンへ送信ボタン１２１４を押下する。これにより、通信機器１２００は、受信した機体認証合格証明書をドローン１０００へ送信することができる。

　図１１は、認証局サーバ１１００のハードウェア構成の一例である。認証局サーバ１１００は、第１通信部１１０１、ＣＰＵ１１０２、バス１１０３、蓄積部１１０４、メモリ１１０５および第２通信部１１０６を備える。第１通信部１１０１は、有線又は無線により外部のデバイスと通信を行うためのデバイスであり、ドローン１０００、通信機器１２００、ログ収集分析サーバ１３００に接続されている。第２通信部１１０６は有線又は無線により外部のデバイスと通信を行うためのデバイスであり、判定サーバ１４００に接続されており、型式認証および機器認証の判定結果を取得する。第１通信部１１０１と第２通信部１１０６は、ハードウェアとして同一であってもよい。なお、型式認証、機体認証等に必要な処理は、メモリ１１０５にあるプログラムコードをＣＰＵ１１０２が実行することにより実施される。バス１１０３、蓄積部１１０４の各機能は、通信機器１２００のそれらと同様である。また、ログ収集分析サーバ１３００、判定サーバ１４００および補助機能サーバ７０００も、認証局サーバ１１００と同様のハードウェア構成を有し得る。

　上述した実施の形態は、ドローン１０００の型式認証および機体認証のシステムの一例として説明したが、本技術はかかる例に限定されない。例えば上記システムは、ＵＧＶ（Ｕｎｍａｎｎｅｄ　Ｇｒｏｕｎｄ　Ｖｅｈｉｃｌｅｓ）等の無人車両、無人船舶等の無人機に関する認証へ用いられてもよい。もちろん、有人機への適用も可能である。

　また、型式認証および機体認証により得られる認証の結果や、認証に付随して取得される各種のデータについては、第三者へ提供されることも可能である。例えば、かかる結果や各種データは、保険会社、リース会社、管理会社、メンテナンス会社等に適宜共有されうる。これにより、認証対象である機体に関するサービスや保全等について、より適切に行うことが可能となる。また、機体認証により得られる認証の結果や、認証に付随して取得される各種のデータに基づいて、ドローンの飛行可能領域や、航続可能時間等、ドローンの飛行に係る制御や、飛行の制限のための制御が行われてもよい。これにより、認証内容に応じたドローンの監視、管理が可能となる。

　上述した実施の形態は、本開示の理解を容易にするための例示に過ぎず、本開示を限定して解釈するためのものではない。本開示は、その趣旨を逸脱することなく、変更、改良することができると共に、本開示にはその均等物が含まれることは言うまでもない。

　なお、下記の技術も本技術の一例である。
（１）部品リスト、証明書メモリ、通信モジュールを有するドローンと、認証局サーバが接続されており、ドローンより送信される型式認証に関するレギュレーションの確認情報と部品リストに記載されているドローンの構成部品の情報を基に、判定サーバが型式認証の合否を判定し、判定サーバの合否結果に応じて、認証局サーバが、型式認定の合格証明書をドローンの証明書メモリへ記録する型式認証システム。
（２）前記、型式認定の合格証明書は、ドローンより送信されてくる型番、製造番号等のドローンを識別する情報に証明書の発行者に関する情報を追加し、認証局サーバの公開鍵で暗号化した暗号化型式情報と、認証局サーバの公開鍵とを合わせることで生成される型式認証システム。
（３）ログ蓄積部と複数の証明書メモリと通信モジュールを有するドローンと、通信機器を接続し、機体認証に必要な情報を通信機器に入力し、判定サーバが、当該機体認証に必要情報を確認する第１の合否判定と、当該ドローンのログ蓄積部に蓄積されたログデータを、当該ドローンに接続されているログ収集分析サーバで分析した結果を基に、判定サーバが、ログの分析結果を確認する第２の合否判定と、判定サーバで当該第１及び２の合否判定の結果により、機体認証の合否を判断する機体認証システム。
（４）複数の証明書メモリを有するドローンと通信機器が接続されており、通信機器に機体認証に必要な情報を入力し、通信機器に接続されている認証局サーバにおいて、当該入力された機体認証に必要な情報に証明書の発行者の情報を追加し機体情報を生成し、認証局サーバの秘密鍵で暗号化することで機体認証の合格証明書を作成し、当該ドローンの証明書メモリに記録する際に、判定サーバの合否結果と、型式認証でドローンの証明書メモリに記録されている認証局サーバの公開鍵で暗号化された暗号化型式情報を、認証サーバの秘密鍵で復号化した後、合格した型式認証を示す型式情報のリストを照合することで、当該ドローンが型式認証に合格していることを確認した結果により、機体認証の合否を判断する機体認証システム。
（５）前記、機体認証に必要な情報は、ドローンユーザの名称、住所、ドローン操作ライセンス情報等のドローンユーザが特定できる情報を示す機体認証システム。
（６）ドローンとログ収集分析サーバが接続され、定期的に収集されるログデータと共にドローンの機体認証合格書を取得し、ログ収集分析サーバにあるドローンの機体認証合格証明書を証明書失効リストとを照合することで、ドローンの機体認証合格証明書を失効させる機体認証システム。
（７）型式認証合格証明書に記載されている有効期限と、機体認証合格証明書に記載されている有効期限と、ドローンの有効期限タイマ、あるいは、ログ収集分析サーバの有効期限タイマとを比較して、有効期限を超えている証明書を失効される型式認証および機体認証システム。
（８）ドローンに記録された、機体認証合格証明書に記載された機体情報と、機体認証合格証明書に記載された認証局サーバの秘密鍵で暗号化された機体情報を、型式認証合格証明書に記載された認証局サーバの公開鍵で復号し、復号された機体情報と、機体認証合格証明書に記載された機体情報を比較することで、飛行可能の可否を判断する機体認証システム。
（９）ドローンの各部を目視で確認した結果と、過去に蓄積された過去のログデータと、リアルタイムに入力される証明書失効リストを補助情報として、型式認証、及び、機体認証の合否判断を実施する認証システム。

　また、下記の技術も本技術の一例である。
（項目１）
　一以上の情報処理装置により行われる飛行体の認証に係る認証方法であって、
　前記飛行体の型式情報を取得し、
　該型式情報に基づいて型式認証の合否を判定し、
　合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、
　暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を前記飛行体に送信して前記飛行体に格納させる、認証方法。
（項目２）
　項目１に記載の認証方法であって、
　前記型式情報は、レギュレーションチェックリストに関する情報を含み、
　前記レギュレーションチェックリストにする情報に基づいて前記型式認証の合否を判定する、認証方法。
（項目３）
　項目１または２に記載の認証方法であって、
　前記型式情報は、前記飛行体を構成する部品の型式に関する情報を含み、
　前記飛行体を構成する部品の型式に関する情報と、所定のレギュレーションに規定される部品の型式に関する情報とに基づいて前記型式認証の合否を判定する、認証方法。
（項目４）
　項目１～３のいずれか１項に記載の認証方法であって、
　前記飛行体の前記暗号化型式情報と、機体認証に必要な機体認証必要情報とを取得し、
　前記機体認証必要情報に基づいて前記飛行体の機体認証の合否を判定し、
　合格と判定された前記飛行体の機体情報を前記機体認証必要情報に基づき生成し、
　前記機体情報を前記所定の公開鍵に対応する所定の秘密鍵に基づき暗号化し、これにより得られる暗号化機体情報を含む機体認証合格証明書を生成し、
　前記飛行体から前記暗号化型式情報を取得し、前記所定の秘密鍵により復号化し、
　前記型式認証の合否の判定の際に格納した型式情報と、前記復号化された型式情報とを比較し、該比較の結果に基づき前記機体認証合格証明書を前記飛行体に送信して格納させる、認証方法。
（項目５）
　項目４に記載の認証方法であって、
　前記機体認証必要情報は、
　前記飛行体に関するユーザに基づく情報を含み、
　前記飛行体とは異なるデバイスにより入力されて取得される情報である、認証方法。
（項目６）
　項目４または５に記載の認証方法であって、
　前記飛行体に関して蓄積されるログ情報をさらに取得し、
　前記ログ情報の分析を行い、分析結果に基づき前記飛行体の機体認証の合否を判定する、認証方法。
（項目７）
　項目６に記載の認証方法であって、
　前記ログ情報は、さらに前記飛行体とは異なる他の飛行体に関して蓄積されるログ情報を含む、認証方法。
（項目８）
　項目６または７に記載の認証方法であって、
　前記ログ情報とは異なり前記飛行体の検査員により検査されて得られる検査データに基づき、前記飛行体の機体認証の合否を判定する、認証方法。
（項目９）
　項目４～８のいずれか１項に記載の認証方法であって、
　失効している機体認証合格証明書に関する情報を取得し、
　前記失効している機体認証合格証明書に関する情報に基づき、前記飛行体の機体認証の合否を判定する、認証方法。
（項目１０）
　項目９に記載の認証方法であって、
　前記失効している機体認証合格証明書に関する情報は、外部からの更新処理によりアップデートされる、認証方法。
（項目１１）
　項目４～１０のいずれか１項に記載の認証方法であって、
　前記機体認証合格証明書は、平文の前記機体情報をさらに含み、前記飛行体に送信して格納される、認証方法。
（項目１２）
　項目１１に記載の認証方法により認証された前記飛行体の機体認証合格証明書の有効性を確認する有効性判定方法であって、
　前記平文の機体情報に基づく情報と、前記暗号化機体情報を前記飛行体に格納される前記所定の公開鍵に基づき復号化された情報とを比較することにより、前記機体認証合格証明書の有効性を判定する、有効性判定方法。
（項目１３）
　項目１２に記載の有効性判定方法であって、
　前記平文の機体情報に含まれる前記機体認証合格証明書の有効期限に関する情報に基づいて、前記機体認証合格証明書の有効性を判定する、有効性判定方法。
（項目１４）
　項目１２または１３に記載の有効性判定方法を用いた前記機体認証合格証明書の有効性を判定の結果に基づいて、前記飛行体の動作を制御する、飛行体の制御方法。
（項目１５）
　飛行体の認証に係る認証システムであって、
　前記認証システムは、認証局サーバと、判定サーバとを備え、
　前記判定サーバは、
　　前記認証局サーバを介して前記飛行体の型式情報を取得し、
　　該型式情報に基づいて型式認証の合否を判定し、前記認証局サーバに通知し、
　前記認証局サーバは、
　　合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、
　　暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を生成し、前記飛行体に送信する、認証システム。
（項目１６）
　項目１５に記載の認証システムであって、
　前記判定サーバは、
　　前記認証局サーバを介して、前記飛行体の前記暗号化型式情報と、機体認証に必要な機体認証必要情報とを取得し、
　　前記機体認証必要情報に基づいて前記飛行体の機体認証の合否を判定し、前記認証局サーバに通知し、
　前記認証局サーバは、
　　合格と判定された前記飛行体の機体情報を前記機体認証必要情報に基づき生成し、
　　前記機体情報を前記所定の公開鍵に対応し前記認証局サーバに格納される所定の秘密鍵に基づき暗号化し、これにより得られる暗号化機体情報を含む機体認証合格証明書を生成し、
　　前記飛行体から前記暗号化型式情報を取得し、前記所定の秘密鍵により復号化し、
　　前記型式認証の合否の判定の際に格納した型式情報と、前記復号化された型式情報とを比較し、該比較の結果に基づき前記機体認証合格証明書を前記飛行体に送信する、認証システム。
（項目１７）
　項目１６に記載の認証方法であって、
　前記機体認証合格証明書は、平文の前記機体情報をさらに含み、
　前記認証局サーバは、前記平文の機体情報を前記飛行体に送信する、認証システム。
（項目１８）
　項目１７に記載の認証システムにより認証された前記飛行体の機体認証合格証明書の有効性を確認する飛行体の制御システムであって、
　前記飛行体のプロセッサが、前記平文の機体情報に基づく情報と、前記暗号化機体情報を前記飛行体に格納される前記所定の公開鍵に基づき復号化された情報とを比較することにより、前記機体認証合格証明書の有効性を判定する、飛行体の制御システム。
（項目１９）
　項目１８に記載の飛行体の制御システムであって、
　前記飛行体のプロセッサが、前記機体認証合格証明書の有効性を判定の結果に基づいて、前記飛行体の動作を制御する、飛行体の制御システム。

１０００　　ドローン
１１００　　認証局サーバ
１２００　　通信機器
１３００　　ログ収集分析サーバ
１４００　　判定サーバ

Claims

　一以上の情報処理装置により行われる飛行体の認証に係る認証方法であって、
　前記飛行体の型式情報を取得し、
　該型式情報に基づいて型式認証の合否を判定し、
　合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、
　暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を前記飛行体に送信して前記飛行体に格納させる、認証方法。
　請求項１に記載の認証方法であって、
　前記型式情報は、レギュレーションチェックリストに関する情報を含み、
　前記レギュレーションチェックリストにする情報に基づいて前記型式認証の合否を判定する、認証方法。
　請求項１または２に記載の認証方法であって、
　前記型式情報は、前記飛行体を構成する部品の型式に関する情報を含み、
　前記飛行体を構成する部品の型式に関する情報と、所定のレギュレーションに規定される部品の型式に関する情報とに基づいて前記型式認証の合否を判定する、認証方法。
　請求項１～３のいずれか１項に記載の認証方法であって、
　前記飛行体の前記暗号化型式情報と、機体認証に必要な機体認証必要情報とを取得し、
　前記機体認証必要情報に基づいて前記飛行体の機体認証の合否を判定し、
　合格と判定された前記飛行体の機体情報を前記機体認証必要情報に基づき生成し、
　前記機体情報を前記所定の公開鍵に対応する所定の秘密鍵に基づき暗号化し、これにより得られる暗号化機体情報を含む機体認証合格証明書を生成し、
　前記飛行体から前記暗号化型式情報を取得し、前記所定の秘密鍵により復号化し、
　前記型式認証の合否の判定の際に格納した型式情報と、前記復号化された型式情報とを比較し、該比較の結果に基づき前記機体認証合格証明書を前記飛行体に送信して格納させる、認証方法。
　請求項４に記載の認証方法であって、
　前記機体認証必要情報は、
　前記飛行体に関するユーザに基づく情報を含み、
　前記飛行体とは異なるデバイスにより入力されて取得される情報である、認証方法。
　請求項４または５に記載の認証方法であって、
　前記飛行体に関して蓄積されるログ情報をさらに取得し、
　前記ログ情報の分析を行い、分析結果に基づき前記飛行体の機体認証の合否を判定する、認証方法。
　請求項６に記載の認証方法であって、
　前記ログ情報は、さらに前記飛行体とは異なる他の飛行体に関して蓄積されるログ情報を含む、認証方法。
　請求項６または７に記載の認証方法であって、
　前記ログ情報とは異なり前記飛行体の検査員により検査されて得られる検査データに基づき、前記飛行体の機体認証の合否を判定する、認証方法。
　請求項４～８のいずれか１項に記載の認証方法であって、
　失効している機体認証合格証明書に関する情報を取得し、
　前記失効している機体認証合格証明書に関する情報に基づき、前記飛行体の機体認証の合否を判定する、認証方法。
　請求項９に記載の認証方法であって、
　前記失効している機体認証合格証明書に関する情報は、外部からの更新処理によりアップデートされる、認証方法。
　請求項４～１０のいずれか１項に記載の認証方法であって、
　前記機体認証合格証明書は、平文の前記機体情報をさらに含み、前記飛行体に送信して格納される、認証方法。
　請求項１１に記載の認証方法により認証された前記飛行体の機体認証合格証明書の有効性を確認する有効性判定方法であって、
　前記平文の機体情報に基づく情報と、前記暗号化機体情報を前記飛行体に格納される前記所定の公開鍵に基づき復号化された情報とを比較することにより、前記機体認証合格証明書の有効性を判定する、有効性判定方法。
　請求項１２に記載の有効性判定方法であって、
　前記平文の機体情報に含まれる前記機体認証合格証明書の有効期限に関する情報に基づいて、前記機体認証合格証明書の有効性を判定する、有効性判定方法。
　請求項１２または１３に記載の有効性判定方法を用いた前記機体認証合格証明書の有効性を判定の結果に基づいて、前記飛行体の動作を制御する、飛行体の制御方法。
　飛行体の認証に係る認証システムであって、
　前記認証システムは、認証局サーバと、判定サーバとを備え、
　前記判定サーバは、
　　前記認証局サーバを介して前記飛行体の型式情報を取得し、
　　該型式情報に基づいて型式認証の合否を判定し、前記認証局サーバに通知し、
　前記認証局サーバは、
　　合格と判定された前記飛行体の型式認証に関する型式認証情報を所定の公開鍵により暗号化し、
　　暗号化された暗号化型式情報と前記所定の公開鍵とを合わせた型式認証合格証明書を生成し、前記飛行体に送信する、認証システム。
　請求項１５に記載の認証システムであって、
　前記判定サーバは、
　　前記認証局サーバを介して、前記飛行体の前記暗号化型式情報と、機体認証に必要な機体認証必要情報とを取得し、
　　前記機体認証必要情報に基づいて前記飛行体の機体認証の合否を判定し、前記認証局サーバに通知し、
　前記認証局サーバは、
　　合格と判定された前記飛行体の機体情報を前記機体認証必要情報に基づき生成し、
　　前記機体情報を前記所定の公開鍵に対応し前記認証局サーバに格納される所定の秘密鍵に基づき暗号化し、これにより得られる暗号化機体情報を含む機体認証合格証明書を生成し、
　　前記飛行体から前記暗号化型式情報を取得し、前記所定の秘密鍵により復号化し、
　　前記型式認証の合否の判定の際に格納した型式情報と、前記復号化された型式情報とを比較し、該比較の結果に基づき前記機体認証合格証明書を前記飛行体に送信する、認証システム。
　請求項１６に記載の認証方法であって、
　前記機体認証合格証明書は、平文の前記機体情報をさらに含み、
　前記認証局サーバは、前記平文の機体情報を前記飛行体に送信する、認証システム。
　請求項１７に記載の認証システムにより認証された前記飛行体の機体認証合格証明書の有効性を確認する飛行体の制御システムであって、
　前記飛行体のプロセッサが、前記平文の機体情報に基づく情報と、前記暗号化機体情報を前記飛行体に格納される前記所定の公開鍵に基づき復号化された情報とを比較することにより、前記機体認証合格証明書の有効性を判定する、飛行体の制御システム。
　請求項１８に記載の飛行体の制御システムであって、
　前記飛行体のプロセッサが、前記機体認証合格証明書の有効性を判定の結果に基づいて、前記飛行体の動作を制御する、飛行体の制御システム。