IPv6 と IPsec プロトコルに対応した遠隔加工支援システム −NC マシンにおける遠隔地からの加工支援システムの実用化− ○河北隆生、岡嶌崇、高橋孝誠、上村誠、土村将範、城戸浩一小笠原健一（熊本県工業技術センター）、渡辺健次（佐賀大学理工学部）平澤純一、川村浩二（ネクサス（株））、山本英明（ナカヤマ精密（株）） IPv6 と IPsec プロトコルへの対応とその評価について述べる。１はじめに筆者らは、多品種少量生産時の金型などの製品開発を対象として、設計現場と製造工場あるいは製造管理部門と製造現場が遠隔地にある場合の「打合せ」、「段取り作業(工具、ワーク、治具などの取付作業)およびテスト加工の指示と確認」、「加工状況監視」等の一連の流れを支援するシステムを構築・開発し、熊本県工業技術センター(以下、「当センター」)と佐賀大学間を通信・放送機構 (TAO 、現「独立行政法人情報通信研究機構 (NICT)」)が運用する研究開発用ギガビットネットワーク (Japan Gigabit Network[1] 、以下「JGN」)で接続して実証実験を行った[2][3]。本システムは、IPv6 プロトコルへ対応するとともに、IPsec(IP Security Protocol)によりセキュリティを強化した。本報告では、本実証実験で構築したシステムの２構築システム概要 2.1 ネットワーク構成構築したネットワークでは、IPv4 と IPv6 の両方のプロトコルが利用できる[4]。 2.2. 遠隔打合せ・指示システム本システムは、遠隔地間での打合せ、段取り作業やテスト加工の指示と確認などに利用する。本システムの構成図と実験の様子を図１に示す。 2.3 遠隔加工監視システム本システムは、遠隔地から加工状況を把握することで、不具合時対応の指示を行うとともにデータを蓄積・解析することで原因究明を可能とすることを目的としている。設計現場（製造管理部門）佐賀大学製造工場熊本県工業技術センター DVTS受信 TV会議 3DCAD JGN PCルータ PCルータＴＶ会議 CAD共有 DNC TV会議/カメラ制御 (作業指示確認） IPv4/IPv6 Multicast NC工作機械作業の指示と詳細確認・蓄積 DVTS送信/カメラ制御(作業指示詳細確認) 打合せと作業の指示と確認図１遠隔打合せ・指示システム３ IPsec によるセキュリティ強化ホスト間通信では、IPsec の SAD(Security Assosiation DB、鍵や暗号・認証アルゴリズムやパラメータなどの共有)の管理に IKE（Internet Key Exchange、鍵交換）を使用した。通常、IKE では、暗号化などのための共有秘密鍵や SA の折衝を行うときにホスト認証を行う。本システムでは、ホスト認証の方法として PKI(公開鍵基盤)を利用することとし、当センターで開発した認証局から発行された秘密鍵と X.509 公開鍵証明書を組み込んだ。使用した OS と IKE プログラムは、 FreeBSD 4.7R と racoon である。マルチキャスト通信では、通信相手を特定できないため、IPsec の SAD の設定は、手動で行った。４実験結果 4.1 IPsec 暗号と認証アルゴリズムの選定測定には、Intel PentiumIII 1GHz CPU、 512Mbyte メモリ、FreeBSD4.7R OS のパソコンを使用した。表１には、暗号アルゴリズム毎の遅延時間と転送速度の測定値を示す。暗号アルゴリズムによる暗号･復号の片方向遅延時間が、最も大きいのは 3des-cbc の 0.221msec であるが、この程度であれば計測や映像音声などのデータ送受信の遅延にほとんど影響を与えない程度である。号鍵長は、128bit 以上がある程度安全だと言われており、遅延時間と転送速度の測定結果から、暗号アルゴリズムは、blowfish-cbc るいは cast128 が適当だと考えられる。表 1 暗号アルゴリズムの測定値暗号アルゴリズム鍵長 (bit) なし des-cbc 3des-cbc 64 192 64 128 192 256 64 128 128 192 256 blowfish-cbc cast128 rijndael-cbc 暗号･復号の片方向 RTT (msec) 遅延時間 (msec) 0.331 0.599 0.134 0.772 0.221 0.577 0.123 0.574 0.122 0.580 0.125 0.579 0.124 0.539 0.104 0.560 0.115 0.584 0.127 0.602 0.136 0.620 0.145 転送速度 (Mbps) 92.69 65.19 38.82 74.09 74.21 74.16 74.11 84.54 78.63 66.27 62.51 59.14 表 2 には、暗号アルゴリズム blowfish-cbc 128bit、ESP(Encapsulation Security Payload) プロトコルを使用した時の認証アルゴリズム毎の遅延時間と転送速度測定値を示す。遅延時間と転送速度の測定結果から、認証アルゴリズムは、HMAC-md5 あるいは keyed-md5 が適当であると考えられる。表 2 認証アルゴリズムの測定値認証･暗号の片方向転送速度遅延時間 (Mbps) (msec) 認証アルゴリズム鍵長 (bit) RTT (msec) 認証・暗号アルゴリズムなし - 0.331 - 92.69 128 160 128 160 0.645 0.740 0.632 0.717 0.157 0.205 0.151 0.193 62.31 47.36 63.11 48.52 HMAC-md5 HMAC-sha1 keyed-md5 keyed-sha1 筆者らのシステムでは、IPsec の暗号アルゴリズムには blowfish-cbc 128bit を、認証アルゴリズムには HMAC-md5 を使用した。その時のパソコン転送速度が、 92Mbps 程度から 62Mbps 程度へ低下した。 4.2 IPv6 と IPsec プロトコルのトラフィックと遅延時間 DVTS による IPv4、IPv6、IPv6+IPsec のトラフィック測定結果を表 3 に、VIC による映像、 RAT による音声、DVTS による映像と音声の片方向の遅延時間計測結果と最大トラフィックを表４に示す。 IPv4 より IPv6、IPv6 より IPv6+IPsec とトラフィックが高くなるが、IPv6 や IPsec による遅延は、人間の感覚に影響を及ぼさない程度であった。表 3 DVTS トラフィック測定値 (単位：Mbps) IPv6 IPv6+IPsec 28.8464 29.4890 28.9514 29.6027 26.5882 25.9994 IPv4 28.4678 28.5443 27.0771 平均値最大値最小値表4 映像・音声の遅延時間ソフト遅延時間(sec程度) ウェア IPv4 IPv6 IPv6+ IPsec 設定条件 VIC 0.1 0.1 RAT DVTS 0.5 0.5 h.261フォーマット 0.1 最大フレームレート30f/s 最大転送速度3Mpss 0.5 PCM64Kbpsモノラル 0.3 0.3 0.3 全フレーム転送５おわりに本報告では、本実証実験で構築したシステムの IPv6 と IPsec プロトコルへの対応を評価した結果、遅延やトラフィック増加はほとんど影響を与えない程度であった。参考文献 [1] 独立行政法人情報通信研究機構 JGN2, http://www.jgn.tao.go.jp [2] 河北・岡嶌他,高速ネットワークを用いた遠隔打ち合わせ・指示システム,熊本県工業技術センター研究報告第 40 号(平成 13 年度),p36-42 ,2002.10 [3] 河北・岡嶌他、IPv6 と IPsec プロトコルに対応した遠隔加工支援システム,熊本県工業技術センター研究報告第 42 号(平成 15 年度), p12-19,2004.10 [4] 大久保・河北他,熊本地域における IPv6 実験ネットワークの構築,第 17 回熊本県産学官技術交流会講演論文集,p112,2003.1 [5] Racoon, a key management daemon, http://www.kame.net/racoon/ [問合せ先] 熊本県工業技術センター情報デザイン部河北隆生 TEL：096-368-2101 E-mail：[email protected]