JP6225283B1 - Closed network connection device, program, and method - Google Patents
Closed network connection device, program, and method Download PDFInfo
- Publication number
- JP6225283B1 JP6225283B1 JP2017030418A JP2017030418A JP6225283B1 JP 6225283 B1 JP6225283 B1 JP 6225283B1 JP 2017030418 A JP2017030418 A JP 2017030418A JP 2017030418 A JP2017030418 A JP 2017030418A JP 6225283 B1 JP6225283 B1 JP 6225283B1
- Authority
- JP
- Japan
- Prior art keywords
- segment
- external
- network
- closed
- request data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部ネットワークに接続された外部装置との接続を確立する。【解決手段】閉域ネットワーク100内の利用者端末51から送信される、インターネット200に接続された外部データセンタ60を指定した閉域内アクセス要求データを受信し、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部データセンタ60のインターネット上における識別情報とを対応付けて記憶した対応情報から、閉域内アクセス要求データが指定する外部データセンタ60の識別情報を抽出し、当該識別情報に基づき、閉域内アクセス要求データが指定する外部データセンタ60に外部アクセス要求データを送信し、外部データセンタ60からの応答データを受信して、閉域内アクセス要求データを送信した利用者端末51に応答データを送信する。【選択図】図1An object of the present invention is to establish a connection between a closed network and an external device connected to an external network without requiring a dedicated connection device or procedure. Intra-closed access request data specifying an external data center 60 connected to the Internet 200, transmitted from a user terminal 51 in the closed network 100, is received. The identification information of the external data center 60 designated by the access request data in the closed area is extracted from the correspondence information stored in association with the identification information on the Internet of the external data center 60 designated by the access request data, and the identification information is included in the identification information. Based on this, the external access request data is transmitted to the external data center 60 specified by the in-closed area access request data, the response data from the external data center 60 is received, and the response to the user terminal 51 that has transmitted the in-closed area access request data. Send data. [Selection] Figure 1
Description
本発明は、例えば、総合行政ネットワーク(LGWAN)や、住民基本台帳ネットワークシステム(住基ネット)、企業・組織のLANやWANなど、外部のネットワークと遮断された閉域ネットワーク(閉域網)に対して、インターネットなどの外部ネットワーク(広域網)からの接続を可能とするための、閉域ネットワーク接続装置とそれに用いられるプログラム及び方法に関する。 The present invention is applied to a closed network (closed network) isolated from an external network such as a general administrative network (LGWAN), a basic resident register network system (Juki Net), a company / organization's LAN or WAN, etc. The present invention relates to a closed network connection device, a program and a method used therefor, for enabling connection from an external network (wide area network) such as the Internet.
近年、インターネットの普及に伴って、ネットワーク上への情報・データの流出・漏洩の問題が拡大している。
このようなネットワーク上へのデータ流出を完全に防止するために、例えば特定の組織や企業・団体などでは、インターネットなどの外部ネットワークと遮断された閉域ネットワーク(閉域網)を活用することが行われている。
In recent years, with the spread of the Internet, the problem of leakage / leakage of information / data on the network has been expanding.
In order to completely prevent such data leakage on the network, for example, a specific organization, company, or organization uses a closed network (closed network) that is blocked from an external network such as the Internet. ing.
閉域ネットワークとは、インターネットのように誰もが自由にアクセス可能なオープンな外部ネットワーク(広域網)に対して、遮断された(閉じた)ネットワークであり、インターネット等の外部ネットワークから直接アクセスできない、分離・隔離されたネットワークである。
このような閉域ネットワークによれば、外部ネットワークと遮断されデータの流出・漏洩が防止される一方、閉域ネットワークに接続された装置・システム間ではデータの送受信等が行えることから、特定の組織や団体,企業などの内部ネットワークシステムとして広く活用されている。
A closed network is a network that is blocked (closed) from an open external network (wide area network) that anyone can freely access, such as the Internet, and cannot be directly accessed from an external network such as the Internet. -It is an isolated network.
According to such a closed network, data can be transmitted and received between devices and systems connected to the closed network while being blocked from the external network and prevented from leaking and leaking data. It is widely used as an internal network system for companies.
この種の閉域ネットワークの典型例としては、例えば総合行政ネットワーク(LGWAN:Local Government Wide Area Network)が知られている(特許文献1参照)。
LGWANは、地方公共団体の組織内ネットワーク(庁内LAN)を相互に接続し、地方公共団体相互間のコミュニケーションの円滑化、情報の共有による情報の高度利用を図ることを目的とした、高度なセキュリティを維持した行政専用のネットワークである。このLGWANは、インターネット等の外部ネットワークとは遮断された閉域ネットワークを構成している。
As a typical example of this type of closed network, for example, a general government network (LGWAN) is known (see Patent Document 1).
LGWAN is an advanced network designed to connect local government organizations' networks (LAN within the agency) to each other, facilitate communication between local governments, and share information to make advanced use of information. It is a dedicated network for government that maintains security. The LGWAN constitutes a closed network that is blocked from an external network such as the Internet.
しかしながら、上記のような閉域ネットワークでは、特許文献1に開示されているシステムを含めて、外部ネットワークと遮断された構成となっているので、原則としてインターネット等の外部ネットワークに接続されている装置・システム等は接続することができない。
外部ネットワークに接続された装置等が閉域ネットワークに接続できるようにするためには、閉域ネットワーク内の規約やプロトコルに従った接続・認証用の装置・機器等を用意し、そのような装置・機器等を介してのみ、閉域ネットワーク内への接続・アクセスが許可されることになる。
However, since the closed network as described above is configured to be cut off from the external network including the system disclosed in
In order to allow devices connected to external networks to connect to the closed network, prepare devices / devices for connection / authentication according to the rules and protocols in the closed network, and such devices / devices. Etc., connection / access to the closed network is permitted only through the network.
このため、例えば閉域ネットワーク内においても有用なアプリケーションや使い勝手の良いソフトウェア等を提供したい事業者等がいても、手軽に閉域ネットワークに接続して、自社の有用なアプリケーションやシステム等の提供を行うことは困難であった。
一方で、閉域ネットワークを利用する側にとっても、ネットワーク内で利用可能なアプリケーションやサービス等があれば、事務処理効率や利便性の向上などのメリットも大きいが、そのような質の高いアプリケーションやサービス等の提供を受けることは、外部ネットワークと遮断された閉域ネットワーク内のみでは困難であった。
For this reason, for example, even if there is a business operator who wants to provide useful applications or easy-to-use software even in a closed network, it can easily connect to the closed network and provide its own useful applications and systems etc. Was difficult.
On the other hand, if there are applications and services that can be used in the closed network side, there are great benefits such as improved administrative efficiency and convenience, but such high-quality applications and services are also available. It was difficult to receive such provisions only within a closed network that was disconnected from the external network.
例えば、上記のようなLGWANに外部ネットワークから接続したい場合には、LGWANを管理・運営する組織(地方公共団体情報システム機構)に対して、所定の申請を行った上で契約を締結し、接続用の機器調達などをする必要がある。
このため、例えばアプリケーションの提供サービスを行おうとするASP(Application Service Provider)サービス提供事業者が、簡単にLGWANに接続してサービス提供を行うことはできなかった。この点、例えば既存のリバースプロキシによる接続では、相互のIPアドレスを交換する仕組み等が必要であり、閉域ネットワークへの接続の容易化は困難であった。
また、LGWANの利用者である例えば各自治体の職員等のユーザが、外部のASPを利用してより効率的で利便性の高い業務を行いたいと考えても、LGWANへの接続が許可された特定のASP等でない限り利用することはできなかった。
For example, if you want to connect to the LGWAN as described above from an external network, make a predetermined application to the organization that manages and operates the LGWAN (Local Public Organization Information System Organization) and connect It is necessary to procure equipment for use.
For this reason, for example, an ASP (Application Service Provider) service provider trying to provide an application providing service cannot easily connect to the LGWAN and provide the service. In this regard, for example, a connection using an existing reverse proxy requires a mechanism for exchanging mutual IP addresses, and it is difficult to facilitate connection to a closed network.
In addition, users of LGWAN, such as local government staff, are permitted to connect to LGWAN even if they want to perform more efficient and convenient operations using external ASPs. It could not be used unless it was a specific ASP.
本発明は、以上のような従来の技術が有する課題を解決するために提案されたものであり、外部のネットワークと遮断された閉域ネットワークに対して、インターネットなどの外部ネットワークに接続された外部装置の接続を可能とし、専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部装置との接続を確立することができる閉域ネットワーク接続装置と、それに用いられるプログラム及び方法の提供を目的とする。 The present invention has been proposed in order to solve the above-described problems of the prior art, and an external device connected to an external network such as the Internet with respect to a closed network blocked from the external network. A closed network connection device that can establish a connection between a closed network and an external device without requiring a dedicated connection device or procedure, and a program and method used therefor And
上記目的を達成するため、本発明の閉域ネットワーク接続装置は、外部ネットワークとの接続が遮断された閉域ネットワーク内の内部装置と、外部ネットワークに接続された外部装置とを接続するための閉域ネットワーク接続装置であって、第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、前記第一セグメントは、前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段を備え、前記第二セグメントは、前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段を備え、前記第一セグメントは、前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信し、前記第二セグメントは、前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信し、前記第三セグメントは、前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段と、前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段と、を備え、前記外部ネットワークに接続された外部装置は、前記第三セグメントとのみ接続され、閉域ネットワーク内の内部装置は、前記第一セグメントとのみ接続され、前記外部装置が、前記第二セグメント,前記第一セグメント及び前記内部装置に接続されることがない構成としてある。
To achieve the above object, a closed network connection device according to the present invention is a closed network connection for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network. A device having at least three segments of a first segment, a second segment, and a third segment, wherein the first segment is connected to the closed network and the second segment via a closed network connection segment. , Not connected to the third segment and the external network, the second segment is connected to the first segment and the third segment, is not connected to the closed network and the external network, and the third segment is Connected to the second segment and the external network Not connected to the first segment and the closed network, the first segment, the closed is transmitted from the internal device in the network, specify a predetermined external device connected to the external network, of the external device Intra-closed area access request data receiving means for receiving intra-closed area access request data comprising information different from identification information in the external network , the second segment includes the intra-closed area access request data and the intra-closed area access request data There with corresponding information storage means for the storing in association with identification information in the external network of the external device to specify said first segment from said correspondence information information stored in the storage means, said closed the access request Extracting the identification information of the external device specified by the data, the identification information The second segment transmits the identification information transmitted from the first segment to the third segment, and the third segment transmits the identification transmitted from the second segment. Based on the information , external request data transmitting means for transmitting the external access request data to the external device designated by the in-closed access request data, and receiving response data from the external device to which the external access request data is transmitted , said second segment and via the first segment, in the apparatus which has transmitted the closed the access request data specifying the external device, and a response data transmission means for transmitting the response data, the external External devices connected to the network are connected only to the third segment, and internal devices in the closed network are Only the first segment is connected, and the external device is not connected to the second segment, the first segment, and the internal device .
また、本発明は、上記のような本発明に閉域ネットワーク接続装置で実行される閉域ネットワーク接続プログラムとして構成することができる。
さらに、本発明は、上記のような本発明に係る閉域ネットワーク接続装置及びプログラムによって実施可能な閉域ネットワーク接続方法として構成することもできる。
The present invention can also be configured as a closed network connection program executed by the closed network connection device according to the present invention as described above.
Furthermore, the present invention can also be configured as a closed network connection method that can be implemented by the closed network connection apparatus and program according to the present invention as described above.
本発明によれば、外部のネットワークと遮断された閉域ネットワークに対して、インターネットなどの外部ネットワークに接続された外部装置の接続を可能とし、専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部装置との接続を確立することが可能となる。
これにより、例えばアプリケーション等の提供サービスを行う事業者が、LGWANなどの閉域ネットワークに接続してASPの提供を行う場合などに好適なネットワーク接続技術を提供することができる。
According to the present invention, it is possible to connect an external device connected to an external network such as the Internet to a closed network blocked from an external network, without requiring a dedicated connection device or procedure, It is possible to establish a connection between the closed network and an external device.
This makes it possible to provide a network connection technique suitable for, for example, a case where a provider providing a service such as an application provides an ASP by connecting to a closed network such as LGWAN.
以下、本発明に係る閉域ネットワーク接続装置の実施形態について、図面を参照しつつ説明する。
ここで、以下に示す本発明の閉域ネットワーク接続装置は、プログラム(ソフトウェア)の命令によりコンピュータで実行される処理,手段,機能によって実現される。プログラムは、コンピュータの各構成要素に指令を送り、以下に示す本発明に係る所定の処理や機能等を行わせることができる。すなわち、本発明における各処理や手段,機能は、プログラムとコンピュータとが協働した具体的手段によって実現される。
Hereinafter, embodiments of a closed network connection device according to the present invention will be described with reference to the drawings.
Here, the closed network connection device of the present invention described below is realized by processing, means, and functions executed by a computer in accordance with instructions of a program (software). The program can send commands to each component of the computer to perform the following predetermined processing and functions according to the present invention. That is, each process, means, and function in the present invention are realized by specific means in which a program and a computer cooperate.
なお、プログラムの全部又は一部は、例えば、磁気ディスク,光ディスク,半導体メモリ,その他任意のコンピュータで読取り可能な記録媒体により提供され、記録媒体から読み出されたプログラムがコンピュータにインストールされて実行される。また、プログラムは、記録媒体を介さず、通信回線を通じて直接にコンピュータにロードし実行することもできる。また、本発明に係る閉域ネットワーク接続装置は、単一の情報処理装置(例えば一台のパーソナルコンピュータ等)で構成することもでき、複数の情報処理装置(例えば複数台のサーバコンピュータ群等)で構成することもできる。 Note that all or part of the program is provided by, for example, a magnetic disk, optical disk, semiconductor memory, or any other computer-readable recording medium, and the program read from the recording medium is installed in the computer and executed. The The program can also be loaded and executed directly on a computer through a communication line without using a recording medium. Further, the closed network connection device according to the present invention can be constituted by a single information processing device (for example, one personal computer), or a plurality of information processing devices (for example, a plurality of server computer groups). It can also be configured.
[システム構成]
図1に、本発明の一実施形態に係る閉域ネットワーク接続装置10を備えたる閉域ネットワーク接続システム1の構成を模式的に示す。
以下、本実施形態の閉域ネットワーク接続装置10が接続される閉域ネットワークの具体例としてLGWAN100を例に採って説明する。
同図に示すように、本発明の一実施形態に係る閉域ネットワーク接続システム1は、
外部ネットワークとの接続が遮断された閉域ネットワークであるLGWAN100に接続されている一又は二以上の地方公共団体50(50a〜50n)に備えられた利用者端末(Webブラウザ)51と、外部ネットワークであるインターネットに接続された外部データセンタ(パブリッククラウド)60(60a〜60n)に備えられた外部APサーバ61と、利用者端末51と外部APサーバ61とを接続するためのデータセンタ(閉域ネットワーク接続装置)10とを備えて構成されている。
[System configuration]
FIG. 1 schematically shows a configuration of a closed
Hereinafter, the LGWAN 100 will be described as an example of a closed network to which the closed
As shown in the figure, a closed
A user terminal (Web browser) 51 provided in one or more local public organizations 50 (50a to 50n) connected to the LGWAN 100, which is a closed network that is disconnected from the external network, and an external network An
[地方公共団体・利用者端末]
地方公共団体50(50a〜50n)は、都道府県や市町村などの自治体であって、閉域ネットワークであるLGWAN100を介して相互にネットワーク接続される組織・団体である。
各地方公共団体50a〜50nには、それぞれ利用者端末(Webブラウザ)51が備えられており、利用者端末51を介してLGWAN100に接続され、地方公共団体50a〜50n相互間や、国の府省間ネットワークである政府共通ネットワーク(図示せず)などとデータ通信が行われるようになっている。
利用者端末51は、Webブラウザが実装された情報処理装置であり、例えば各地方公共団体50a〜50nの庁舎や事務所などに設置されるPCやタブレット,専用端末等によって構成される。
[Local government / user terminals]
The local public organizations 50 (50a to 50n) are local governments such as prefectures and municipalities, and are organizations / organizations connected to each other via the LGWAN 100 which is a closed network.
Each local
The
[LGWAN]
LGWAN100は、上述した各地方公共団体50a〜50n及び政府共通ネットワーク(図示せず)などを相互にデータ通信可能に接続するためのネットワークであり、本発明の閉域ネットワーク(閉域網)を構成している。
このLGWAN100には、各地方公共団体50に備えられる利用者端末51と、LGWAN100を管理・運営する組織(地方公共団体情報システム機構)と契約を締結した特定のASP提供事業者が備える装置・システムのみが接続され、その他の装置・機器、例えばインターネット200に接続されたLGWANと契約していないASP提供事業者のサーバや、一般ユーザのPCやスマートフォンなどは接続することはできない。
また、LGWAN100に接続された装置・機器は、LGWAN100以外の他のネットワークと直接的に接続・アクセスすることはできない。したがって、地方公共団体50の利用者端末51から、例えばインターネット上のパブリッククラウドにアクセスすることはできない。
[LGWAN]
The LGWAN 100 is a network for connecting the above-mentioned local
The LGWAN 100 includes devices / systems provided by a specific ASP provider that has signed a contract with a
In addition, a device / equipment connected to the LGWAN 100 cannot be directly connected / accessed to a network other than the LGWAN 100. Therefore, the
[外部データセンタ・外部APサーバ]
外部データセンタ(パブリッククラウド)60(60a〜60n)は、ASP提供事業者などであって、インターネット200に接続された外部APサーバ61を介して、一般ユーザにアプリケーション・ソフトウェア等の提供サービスを行うパブリッククラウドを管理・運営する企業等である。
各外部データセンタ60a〜60nには、それぞれ外部APサーバ61が備えられており、外部APサーバ61を介してインターネット200に接続され、インターネット上においてパブリッククラウドの提供サービス等が行われるようになっている。
外部APサーバ61は、ユーザの要望に応じてソフトウェアやハードウェアシステムなどをネットワーク経由で利用可能に提供するための情報処理装置であり、例えば外部データセンタ60a〜60nのデータセンタやオフィスなどに設置されるPCやサーバ群等によって構成される。
[External data center / AP server]
The external data center (public cloud) 60 (60a to 60n) is an ASP provider or the like, and provides application software and the like to general users via an
Each of the
The
そして、上記のような外部データセンタ60a〜60nのうち、データセンタ10と専用接続を介して接続される外部データセンタ60(外部APサーバ61)が、データセンタ10を経由して、閉域ネットワークであるLGWAN100に接続・アクセスできるようになっている。
データセンタ10を経由することで、LGWAN100側からは外部データセンタ60(外部APサーバ61)の存在(グローバルIPアドレス)が見えず、また、外部データセンタ60側からもLGWAN100に接続された利用者端末51の存在(閉域内IPアドレス)が見えず、互いに直接的な接続・アクセスが行えず、さらに、データセンタ10と外部データセンタ60(外部APサーバ61)とは専用接続により接続されることから、LGWAN100の閉域ネットワークとしてのセキュリティが確保されることになる。
Of the
By passing through the
ここで、データセンタ10と外部APサーバ61とを接続する「専用接続」とは、データセンタ10と外部APサーバ61とが専用回線により接続される物理的な専用接続の場合と、例えばゲートウェイやVPN(Virtual Private Network)等を介して、データセンタ10と外部APサーバ61とが論理的・仮想的に一対一に専用接続される場合とがある。
このような専用接続を介してデータセンタ10と接続されることで、外部APサーバ61は、自己がインターネット上で提供しているのと同様のアプリケーションやパブリッククラウドサービス等を、データセンタ10経由でLGWAN100に接続されている利用者端末51に対して提供できるようになる。
Here, the “dedicated connection” for connecting the
By being connected to the
[データセンタ]
データセンタ10は、上述した外部ネットワークとの接続が遮断された閉域ネットワークであるLGWAN100内の内部装置(利用者端末51)と、外部ネットワークであるインターネット200に接続された外部装置(外部APサーバ61)とを接続するための情報処理装置であり、本発明に係る閉域ネットワーク接続装置を構成している。
具体的には、データセンタ10は、一又は二以上のコンピュータやサーバ,ネットワーク接続機器等によって構成されており、本実施形態では、図1に示すように、閉域網接続セグメント11,閉域専用セグメント20,ゲートウェイ専用セグメント30及び公開専用セグメント40の各部を備えている。
[Data Center]
The
Specifically, the
[閉域網接続セグメント]
閉域網接続セグメント11は、LGWAN100と直接的に接続されており、データセンタ10とLGWAN100に接続された各地方公共団体50a〜50nの利用者端末51とは直接的に通信・アクセスが行えるようになっている。
閉域網接続セグメント11は、LGWAN100を管理・運営する組織(地方公共団体情報システム機構)に対する申請・契約を経て、所定の接続用環境を備えた通信機器等により構成され、LGWAN100に接続された装置・機器として動作可能となっている。
この閉域網接続セグメント11に対して、閉域専用セグメント20・ゲートウェイ専用セグメント30の2つのセグメントのProxyサーバ22・32が接続されるようになっている。
[Closed network connection segment]
The closed
The closed
To this closed
[閉域専用セグメント]
閉域専用セグメント20は、認証APサーバ21とProxyサーバ(WebAPI)22を備えている。
認証APサーバ21は、閉域網接続セグメント11を経由して利用者端末51から送信される認証情報(ユーザID・パスワード)と外部APサーバ61の接続先URLを含む接続認証要求を受信し、認証情報に基づく認証処理を行うとともに、当該接続認証要求についての利用ステータス情報(図3(a)参照)を、ゲートウェイ専用セグメント30の認証DBサーバから取得する(図4参照)。
[Closed segment]
The closed area dedicated
The
したがって、この認証APサーバ21が、閉域ネットワーク内の内部装置から送信される、外部ネットワークに接続された所定の外部装置を指定した閉域内アクセス要求データを受信する、本発明の閉域内アクセス要求データ受信手段を構成する。
また、この認証APサーバ21は、内部装置の識別情報と、当該内部装置が指定可能な外部装置の識別情報を、認証情報として対応付けて記憶する、本発明の認証情報記憶手段を構成する。
Accordingly, the
The
ここで、認証APサーバ21による認証処理は、利用者端末51から送信される認証情報(ユーザID・パスワード)を、認証APサーバ21で保持している認証情報(ユーザID・パスワード)と照合することにより行われる。
また、認証処理後に認証APサーバ21により要求・取得される利用ステータス情報は、上記の認証情報(ユーザID・パスワード)と対応付けられた情報として、例えば当該ユーザが所属する自治体の情報と、当該ユーザが利用(アクセス)可能な外部APサーバ61の接続先情報等が含まれる。
Here, in the authentication process by the
Further, the usage status information requested / acquired by the
図3(a)に、本実施形態における利用ステータス情報の一例を示す。
同図に示すように、利用ステータス情報としては、利用者端末51のユーザの「ユーザID」・「パスワード」と、これに対応付けられた、当該ユーザ(利用者端末51)が所属する自治体の識別情報となる「団体グローバルIPアドレス」、当該ユーザ(利用者端末51)が接続(利用)可能な外部APサーバ61の接続先情報となる「接続先URL」等で構成されている。
なお、図3(a)に示す利用ステータス情報は、本実施形態における一例であり、他の情報を利用ステータス情報として用いることもできる。例えば自治体の識別情報として、当該自治体を一意に特定することができる識別情報であれば、「団体グローバルIPアドレス」以外の情報、例えば閉域ネットワーク内専用の識別番号や識別コード等を用いることもできる。
FIG. 3A shows an example of usage status information in the present embodiment.
As shown in the figure, the usage status information includes “user ID” / “password” of the user of the
Note that the usage status information illustrated in FIG. 3A is an example in the present embodiment, and other information may be used as the usage status information. For example, as identification information of a local government, if it is identification information that can uniquely identify the local government, information other than the “organization global IP address”, for example, an identification number or an identification code dedicated to the closed network can be used. .
このような利用ステータス情報は、本実施形態では、ゲートウェイ専用セグメント30の認証DBサーバ31に登録・記憶されるようになっており、認証APサーバ21からの取得要求に従って、ゲートウェイ専用セグメント30の認証DBサーバ31から認証APサーバ21に送信される。但し、利用ステータス情報は、ゲートウェイ専用セグメント30に限らず、データセンタ10に備えられるいずれかの記憶手段に記憶されれば良い。
したがって、この利用ステータス情報を記憶・保持する記憶手段(例えば認証DBサーバ31)が、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部装置の外部ネットワークにおける識別情報とを対応付けて記憶した、本発明に係る対応情報記憶手段を構成する。
In the present embodiment, such usage status information is registered and stored in the
Therefore, the storage means (for example, the authentication DB server 31) that stores and holds the usage status information associates the access request data in the closed area with the identification information in the external network of the external device specified by the access request data in the closed area. Corresponding information storage means according to the present invention is stored.
そして、認証APサーバ21は、利用ステータス情報を取得すると、利用ステータス設定処理を要求し、取得した利用ステータス情報(団体グローバルIPアドレス)をサービス制御部22bに送信する。
さらに、認証APサーバ21は、後述する利用ステータスの設定・ホワイトリスト認証の処理(図4参照)後、設定処理結果情報となるステータスコードを受信すると、外部APサーバ61の接続先URLを含むリダイレクト要求を、閉域網接続セグメント11を経由して要求元となる利用者端末51に返信する(図4参照)。
Then, when acquiring the usage status information, the
Further, after receiving a status code serving as setting processing result information after processing of setting usage status / whitelist authentication (see FIG. 4) described later, the
Proxyサーバ22は、認証APサーバ21で取得された利用ステータス情報に基づいて、利用ステータスの設定・ホワイトリスト認証の処理を実行し、処理結果を示すステータスコードを認証APサーバ21に送信する(図4参照)。
また、Proxyサーバ22は、利用ステータスの設定・ホワイトリスト認証の処理が行われた利用者端末51からのHTTPSリクエストを受信して、当該リクエストを、後段のゲートウェイ専用セグメント30・公開専用セグメント40を経て、LGWAN100外の外部APサーバ61に対してプロキシ接続によって透過・送信する(図4参照)。
そして、Proxyサーバ22は、外部APサーバ61から送信されるHTTPSレスポンスを、公開専用セグメント40・ゲートウェイ専用セグメント30を経て受信し、通信元となる利用者端末51に送信・返送する。
The
In addition, the
Then, the
図2に、閉域専用セグメント20のProxyサーバ22の詳細な機能構成を示す。
同図に示すように、Proxyサーバ(WebAPI)22は、管理部22a,サービス制御部22b,HTTPS制御部22c,ユーザ制御部22dとして機能するように構成されている。
管理部22aは、Proxyサーバ22の全体を管理・制御するソフトウェアである。
また、管理部22aは、利用ステータス設定・ホワイトリスト認証の処理の済んだ利用者端末51からのHTTPSリクエストを受信して、HTTPS制御部22cに送信・透過する制御を行う(図4参照)。
FIG. 2 shows a detailed functional configuration of the
As shown in the figure, the proxy server (WebAPI) 22 is configured to function as a
The
In addition, the
サービス制御部22bは、認証APサーバ21から送信される利用ステータスの設定要求を受信し、当該設定要求に基づくホワイトリスト認証要求をユーザ制御部22dに送信する(図4参照)。
HTTPS制御部22cは、利用ステータス設定・ホワイトリスト認証の処理の済んだ利用者端末51からのHTTPSリクエストを管理部22aから受信して、利用ステータス設定を確認後、ゲートウェイ専用セグメント30のProxyサーバ32へトンネリング通信を行う(図4参照)。
また、HTTPS制御部22cは、ゲートウェイ専用セグメント30のProxyサーバ32から外部APサーバ61のHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスを、通信元となる利用者端末51に送信・返送する。
The
The
Further, the
ユーザ制御部22dは、サービス制御部22bから送信されるホワイトリスト認証要求を受信し、当該要求に基づくホワイトリスト認証処理を実行し、その結果要求を、ステータスコードとしてサービス制御部22bに送信・返送する(図4参照)。
ここで、ホワイトリスト認証処理は、認証APサーバ21から送信される利用ステータス情報に基づいて、利用ステータス情報に含まれる自治体の識別情報をホワイトリストに登録する。具体的には、ユーザ制御部22dは、自治体の識別情報(団体グローバルIPアドレス)及びステータス「True」を設定し、ホワイトリストに登録されたことを示すステータスコードを送信する。ステータスコードは、例えばホワイトリスト認証の結果について、「正常:1」・「エラー:2」等のコード情報が生成されて送信される。
このステータスコードは、ホワイトリストの設定処理結果情報としてサービス制御部22bを経て認証APサーバ21へ送信され、利用者端末51のWebブラウザに、外部APサーバ61の接続先URLを含むリダイレクト要求が送信されるようになる。
The
Here, in the white list authentication process, based on the usage status information transmitted from the
This status code is transmitted as whitelist setting process result information to the
図3(b)に、本実施形態におけるホワイトリストの一例を示す。
同図に示すように、ユーザ制御部22dは、認証APサーバ21・サービス制御部22bから利用ステータス設定要求が送信されると、当該利用ステータス情報に含まれる自治体の識別情報となる「団体グローバルIPアドレス」をホワイトリストに登録・記憶するとともに、当該自治体からの外部アクセスが開始されたことを示すステータスとして、「開始フラグ」を「True」に設定する。
FIG. 3B shows an example of the white list in the present embodiment.
As shown in the figure, when the usage status setting request is transmitted from the
また、管理部22aは、利用者端末51のWebブラウザから送信される外部APサーバ61の接続先URLを含むHTTPSリクエストを受信し、HTTPS制御部22cに透過してプロキシ送信する。
HTTPS制御部22cは、HTTPSリクエストを受信すると、上述した利用ステータスの設定(図3(b)参照)を確認する。具体的には、受信したHTTPSリクエストに含まれる団体グローバルIPアドレスが、ユーザ制御部22dのホワイトリストに登録された団体グローバルIPアドレスと一致するか、「開始フラグ:True」であるか、の利用ステータスが参照・確認され、確認処理結果情報(ステータスコード)が、ユーザ制御部22dからHTTPS制御部22cに送信される。
In addition, the
When receiving the HTTPS request, the
HTTPS制御部22cは、ユーザ制御部22dから利用ステータス確認処理の要求結果を受信すると、まず、条件を満たさない場合(「エラー」等)は、接続処理を拒否する。
一方、条件を満たす場合(「正常」等)は、HTTPSリクエストに含まれる接続先URLを、当該接続先URLが示す外部APサーバ61のグローバルIPアドレスに書き換える処理を行う。
外部APサーバ61を指定した接続先URLと、対応するグローバルIPアドレスとの書き換え処理は、あらかじめ設定・登録された対応情報に基づいて行われる。
When the
On the other hand, when the condition is satisfied (“normal” or the like), a process of rewriting the connection destination URL included in the HTTPS request to the global IP address of the
The rewriting process between the connection destination URL specifying the
図3(c)に、本実施形態における書き換え処理に用いられる対応情報の一例を示す。
同図に示すように、書き換え処理の対応情報としては、外部APサーバ61の接続先URLとグローバルIPアドレスの情報が対応付けられた情報(テーブル)となっており、この情報が例えばHTTPS制御部22cにおいて登録・記憶されるようになっている。但し、この対応情報は、HTTPS制御部22cに限らず、データセンタ10に備えられるいずれかの記憶手段に記憶されれば良い。
したがって、この対応情報を記憶・保持する記憶手段(例えばHTTPS制御部22c)も、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部装置の外部ネットワークにおける識別情報とを対応付けて記憶した、本発明に係る対応情報記憶手段を構成する。
FIG. 3C shows an example of correspondence information used for the rewriting process in the present embodiment.
As shown in the figure, the correspondence information of the rewrite processing is information (table) in which the connection destination URL of the
Therefore, the storage means (for example, the
HTTPS制御部22cは、接続先URLがグローバルIPアドレスに書き換えられたHTTPSリクエストを、ゲートウェイ専用セグメント30のProxyサーバ32へトンネリング通信により送信する(図4参照)。
したがって、このHTTPS制御部22cが、対応情報記憶手段に記憶された情報から、閉域内アクセス要求データが指定する外部装置の識別情報を抽出し、当該識別情報に基づいて、閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する、本発明に係る外部要求データ送信手段を構成する。
The
Therefore, the
そして、HTTPS制御部22cは、送信したHTTPSリクエストに対応するHTTPSレスポンスをゲートウェイ専用セグメント30から受信すると、そのHTTPSレスポンスを、管理部22aを経由して、通信元となる利用者端末51に透過してプロキシ送信する。
したがって、HTTPS制御部22cは、外部アクセス要求データが送信された外部装置からの応答データを受信して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、応答データを送信する、本発明に係る応答データ送信手段を構成する。
When the
Accordingly, the
[ゲートウェイ専用セグメント]
ゲートウェイ専用セグメント30は、認証DBサーバ31及びProxyサーバ32を備えている。
認証DBサーバ31は、上述した閉域網接続セグメント11の認証APサーバ21から送信される利用ステータス情報の取得要求に応じて、記憶・保持している利用ステータス情報を認証APサーバ21に送信する。
この利用ステータス情報については、上述したとおりである(図3(a)参照)。
[Gateway-dedicated segment]
The gateway dedicated
The
This usage status information is as described above (see FIG. 3A).
Proxyサーバ32は、閉域専用セグメント20のProxyサーバ22(HTTPS制御部22c)からHTTPSリクエストのトンネリング通信を受信し、そのHTTPSリクエストをトンネリング通信により公開専用セグメント40のProxyサーバ41に送信する。
また、Proxyサーバ32は、公開専用セグメント40のProxyサーバ41から外部APサーバ61のHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスをトンネリング通信により閉域専用セグメント20のProxyサーバ22(HTTPS制御部22c)に送信する。
したがって、このProxyサーバ32も、本発明に係る外部要求データ送信手段・応答データ送信手段を構成する。
The
Further, the
Therefore, this
[公開専用セグメント]
公開専用セグメント40は、Proxyサーバ41を備えている。
Proxyサーバ41は、上述した専用接続により、外部データセンタ60の外部APサーバ61と接続されている。
そして、Proxyサーバ41は、ゲートウェイ専用セグメント30のProxyサーバ32からHTTPSリクエストのトンネリング通信を受信し、そのHTTPSリクエストを、専用接続を介して、トンネリング通信により外部APサーバ61に送信する。
また、Proxyサーバ41は、外部APサーバ61からHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスをトンネリング通信によりゲートウェイ専用セグメント30のProxyサーバ32に送信する。
したがって、このProxyサーバ41も、本発明に係る外部要求データ送信手段・応答データ送信手段を構成する。
[Public-only segment]
The public
The
Then, the
Further, the
Therefore, this
このように、データセンタ10の構成要素のうち、公開専用セグメント40のProxyサーバ41のみが外部AP61と接続され、外部APサーバ61(外部データセンタ60側)からは、Proxyサーバ41の存在のみが見え、他のデータセンタ10の構成(ゲートウェイ専用セグメント30・閉域専用セグメント20・閉域網接続セグメント11)も、LGWAN100も、LGWAN100に接続された利用者端末51の存在も、外部APサーバ61からは見えないようになっている。
As described above, only the
特に、データセンタ10の外部APサーバ61側は、公開専用セグメント40及びゲートウェイ専用セグメント30の複数のProxyサーバ41・32が多段に接続されており、データセンタ10側のLGWAN100側の閉域網接続セグメント11及び閉域専用セグメント20は、外部APサーバ61からは直接的に一切見えないようになっている。
In particular, on the
なお、以上のような複数の中継サーバによる多段の接続は、本実施形態では、公開専用セグメント40及びゲートウェイ専用セグメント30の2つのProxyサーバ41・32による2段の接続としてあるが、これを3つ以上の中継サーバによる3段以上の接続とすることも勿論可能である。
また、外部APサーバ61等の外部装置から閉域ネットワーク内が直接的に「見えない」ようにするためには、外部装置側に少なくとも1つの中継サーバが存在していれば良いので、閉域ネットワークの規約や要請等によっては、外部装置側の中継サーバは1つ(1段)とすることも可能である。
The multi-stage connection by the plurality of relay servers as described above is a two-stage connection by the two
Also, in order to make the inside of the closed network “invisible” directly from an external device such as the
[動作]
次に、以上のような構成からなる本実施形態に係る閉域ネットワーク接続システム1における具体的な動作(閉域ネットワーク接続方法)について、図4を参照しつつ説明する。
図4は、本実施形態に係る閉域ネットワークシステム1における、閉域ネットワーク内の装置から外部ネットワーク上の装置への接続を行う場合の動作の一例を示すシーケンス図である。
まず、本実施形態に係る閉域ネットワーク接続システム1では、データセンタ10は、閉域ネットワークであるLGWAN100に対してアクセス・通信可能に接続が確立されている。
[Operation]
Next, a specific operation (closed network connection method) in the closed
FIG. 4 is a sequence diagram illustrating an example of an operation in the
First, in the closed
具体的には、データセンタ10は、閉域網接続セグメント11がLGWAN100と接続されており、閉域専用セグメント20・ゲートウェイ専用セグメント30・公開専用セグメント40の3セグメントのProxyサーバ22・32・41と専用線(専用接続)を経由することにより、閉域ネットワークであるLGWAN100と広域ネットワークであるインターネット上に接続された外部データセンタ(パブリッククラウド)60のサービス(外部APサーバ61)を接続する。
接続確立は、概要以下の4段階の処理を経て実行される。
Specifically, the
Connection establishment is performed through the following four steps.
(1)閉域ネットワークと閉域専用セグメント接続処理
閉域専用セグメント20のProxyサーバ22を用いて、利用者端末51からのリクエストを受け付ける。
(2)閉域専用セグメントとゲートウェイ専用セグメント接続処理
閉域専用セグメント20とゲートウェイ専用セグメント30を、Proxyサーバ22,32を用いて接続する。
(3)ゲートウェイ専用セグメントと公開専用セグメントの接続処理
ゲートウェイ専用セグメント30と公開専用セグメント40を、Proxyサーバ32,41を用いて接続する。
(4)公開専用セグメントと広域ネットワーク(パブリッククラウド等)
インターネット(VPN等)あるいは専用線(専用回線)を用いて、公開専用セグメント40と広域ネットワークのサービス(インターネット200上のパブリッククラウド等)を接続する。その後、公開専用セグメント40のProxyサーバ41を用いて、広域ネットワーク(パブリッククラウド等)のサービスからのレスポンスを受け付ける。
これによって、閉域ネットワーク(LGWAN100)と広域ネットワーク(インターネット200のパブリッククラウド)の接続が確立する。
(1) Closed Network and Closed Dedicated Segment Connection Processing A request from the
(2) Closed area dedicated segment and gateway dedicated segment connection process The closed area dedicated
(3) Connection Process between Gateway Dedicated Segment and Public Dedicated Segment The gateway dedicated
(4) Public segment and wide area network (public cloud, etc.)
The public
As a result, a connection between the closed network (LGWAN 100) and the wide area network (public cloud of the Internet 200) is established.
以下、図4を参照しつつ、上記4段階の接続処理の詳細を説明する。
(1)閉域ネットワークと閉域専用セグメント接続処理
まず、LGWAN100に接続された利用者端末51は、Webブラウザを起動して、所望の外部APサーバ61(外部データセンタ60)の接続認証要求を送信する(ステップ(1))。この接続認証要求は、LGWAN100・閉域網接続セグメント11を経て、閉域専用セグメント20の認証APサーバ21に送信される(ステップ(1))。
閉域専用セグメント20の認証APサーバ21は、上述した認証情報(ユーザID・パスワード)に基づく認証処理を行った上で、ゲートウェイ専用セグメント30の認証DBサーバ31に対して利用ステータス情報の取得処理要求を送信し、認証DBサーバ31から利用ステータス情報を取得する(ステップ(2))。この利用ステータス情報には、上述のとおり、利用者端末51のユーザ情報に対応した団体グローバルIPアドレス及び外部APサーバ61の接続先URLが含まれる(図3(a)参照)。
Hereinafter, the details of the above four-stage connection process will be described with reference to FIG.
(1) Closed network and closed area dedicated segment connection processing First, the
The
次いで、閉域専用セグメント20の認証APサーバ21は、Proxyサーバ22のWebAPIを起動し、利用ステータス設定処理を要求する(ステップ(3))。利用ステータス設定処理の要求は、認証APサーバ21から、WebAPI22のサービス制御部22bに利用ステータス情報に含まれる団体グローバルIPアドレスが送信されることにより実行される。
WebAPI22は、サービス制御部22bが利用ステータス設定処理の要求を受信すると、ユーザ制御部22dのホワイトリストへの団体グローバルIPアドレスの登録及びステータスとなる開始フラグをTrueに設定する(図3(b)参照)。その後、ホワイトリストに登録されたことを示すステータスコードが認証APサーバ21に送信される(ステップ(4))。
Next, the
When the
認証APサーバ21は、WebAPI22からステータスコードを受信すると、利用者端末51のWebブラウザに、外部APサーバ61の接続先URLのリダイレクト要求を接続認証要求結果として送信する(ステップ(5))。
利用者端末51のWebブラウザは、認証APサーバ21から要求結果を受信すると、外部APサーバ61の接続先URLを含むHTTPSリクエストを生成し、閉域専用セグメント20のProxyサーバ22に送信する(ステップ(6))。このHTTPSリクエストには、ホワイトリストに登録された団体グローバルIPアドレスも含まれている。
When the
When receiving the request result from the
閉域専用セグメント20のProxyサーバ22は、WebAPIを起動して、HTTPS制御部22cに対して、利用者端末51から送信されたHTTPSリクエストを透過プロキシにより送信し、HTTPSリクエストのステータスの確認処理を要求する(ステップ(7))。
WebAPI22のHTTPS制御部22cは、HTTPSステータス確認処理の要求を受信すると、ユーザ制御部22dに対してステータス確認を行い、設定されている情報(団体グローバルIPアドレス)が、利用者端末51から送信された団体グローバルIPアドレスと一致するか、開始フラグはTrueであるかの利用ステータスの接続条件の確認処理を実行し、確認処理結果情報としてステータスコード(例えば「正常:1」等)をHTTPS制御部22cへ送信する(ステップ(8))。
ここで、利用ステータスが確認されると、次段(2)・(3)・(4)の接続処理に移行する。
The
When the
Here, when the usage status is confirmed, the process proceeds to the connection processing of the next stage (2), (3), (4).
(2)閉域専用セグメントとゲートウェイ専用セグメント接続処理
WebAPI22は、HTTPSステータス確認処理の要求結果を受信すると、まず、前述の接続条件を満たさない場合には接続処理を拒否する。接続条件を満たす場合には、閉域専用セグメント20のProxyサーバ22にあらかじめ設定された対応情報(図3(c)参照)に基づき、HTTPSリクエストに含まれる接続先URLを、外部APサーバ61のグローバルIPアドレスに書き換えて、ゲートウェイ専用セグメント30のProxyサーバ32に、HTTPSリクエストをトンネリング通信により送信する(ステップ(9))。
(2) Closed area dedicated segment and gateway dedicated segment connection process Upon receiving the request result of the HTTPS status confirmation process, the
(3)ゲートウェイ専用セグメントと公開専用セグメントの接続処理
ゲートウェイ専用セグメント30のProxyサーバ32は、HTTPSリクエストのトンネリング通信を受信すると、そのHTTPSリクエストをトンネリング通信により公開専用セグメント40のProxyサーバ41に送信する(ステップ(10))。
(4)公開専用セグメントと広域ネットワーク(パブリッククラウド等)
公開専用セグメント40のProxyサーバ41は、HTTPSリクエストのトンネリング通信を受信すると、そのHTTPSリクエストをトンネリング通信により外部APサーバ61に送信する(ステップ(11))。
(3) Connection Process of Gateway Dedicated Segment and Public Dedicated Segment When the
(4) Public segment and wide area network (public cloud, etc.)
When the
以上により、利用者端末51から送信されたHTTPSリクエストは、外部APサーバ61に送信され、外部APサーバ61からは、HTTPSレスポンスがトンネリング通信により送信され、上記ステップ(6)〜(11)と逆の手順(処理)を経て、利用者端末51に送信される(図4参照)。
このようにして、LGWAN100内の利用者端末51と、インターネット200上の外部APサーバ61とは、データセンタ10の閉域専用セグメント20・ゲートウェイ専用セグメント30・公開専用セグメント40の3セグメントのProxyサーバと専用線(専用接続)を経由することにより接続される。
これにより、利用者端末51のユーザは、インターネット200上で提供されるパブリッククラウドのアプリケーション・サービスを、LGWAN100内のアプリケーション・サービスとして透過的に利用することができるようになる。
As described above, the HTTPS request transmitted from the
In this way, the
As a result, the user of the
また、外部APサーバ61を提供するASP提供事業者にとっても、データセンタ10との専用接続を締結・確立するのみでLGWAN100内の利用者端末51へのサービス提供が可能となり、LGWAN100に接続するための厳格な申請・契約手続や、規約やプロトコルに従った接続・認証用の装置・機器等の調達・設置等が不要となり、容易かつ低コストに、閉域ネットワークであるLGWAN100への接続・アクセス環境を実現することが可能となる。
また、LGWAN100内の利用者端末51からのアクセス要求は、認証アクセス制御により、ホワイトリストに登録された団体(自治体)単位や、ユーザID単位に認証を行って、LGWAN100外の広域ネットワーク(パブリッククラウド等)の外部APサーバに接続することができるので、例えば利用者端末51のユーザの所属や職務・職域・職位・権限等に応じて、利用可能な接続先やアプリケーション等を制御(許可・制限)でき、セキュリティや利便性の高いASPサービスが実現されるようになる。
In addition, an ASP provider that provides the
Further, the access request from the
以上説明したように、本実施形態に係る閉域ネットワーク接続システム1によれば、外部のネットワークと遮断された閉域ネットワークであるLGWAN100に対して、インターネット200などの外部ネットワークに接続された外部データセンタ60の接続が可能となり、専用の接続機器や手続などを必要とすることなく、LGWAN100と外部データセンタ60との接続を確立することができるようになる。
したがって、アプリケーション等の提供サービスを行う事業者が、LGWANなどの閉域ネットワークに接続してASPの提供を行う場合に最適なネットワーク接続環境を提供することができる。
As described above, according to the closed
Therefore, it is possible to provide an optimal network connection environment when a provider that provides a service such as an application provides an ASP by connecting to a closed network such as LGWAN.
また、本実施形態の閉域ネットワークシステム1によれば、閉域網(LGWAN)からセキュリティ連携基盤を通して、安心・安全に広域網(インターネット)の各種クラウドサービスを利用可能な環境を実現できるため、基盤の拡張メリットに優れ、このメリットを活用して、更なるシステムの効率化、クラウドサービスを組み合わせた付加価値の高いシステム・サービスを、ユーザとなる地方公共団体やASP提供事業者等のニーズに即した内容を、各ユーザのガバナンスを確保しつつ実現することができる。
さらに、本実施形態の閉域ネットワークシステム1によれば、例えば官民連携事業など、自治体・地方公共団体と地域の住民・来訪者・事業者等とをつなぐ共同利用システムとして有用なコンテンツ提供も可能となる。
In addition, according to the
Furthermore, according to the
以上、本発明について、好ましい実施形態を示して説明したが、本発明は、上述した実施形態に限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、上述した実施形態では、本発明の適用対象となる閉域ネットワークとして、LGWAN(総合行政ネットワーク)を例にとって説明したが、本発明の対象となる閉域ネットワークとしては、特にLGWANに限定されるものではない。
外部のネットワークと遮断された閉域ネットワーク(閉域網)に対して、インターネットなどの外部ネットワーク(広域網)からの接続を可能とする必要がある限り、閉域ネットワークの構成や用途・機能等は特に限定されず、例えば、住民基本台帳ネットワークシステム(住基ネット)、企業・組織のLANやWANなど、任意の閉域ネットワークについて、本発明を適用することができる。
While the present invention has been described with reference to the preferred embodiment, it is needless to say that the present invention is not limited to the above-described embodiment, and various modifications can be made within the scope of the present invention.
For example, in the above-described embodiments, the LGWAN (general administrative network) has been described as an example of the closed network to which the present invention is applied. However, the closed network that is the target of the present invention is particularly limited to the LGWAN. is not.
As long as it is necessary to enable connection from an external network (wide area network) such as the Internet to a closed network (closed network) that is blocked from an external network, the configuration, usage, and functions of the closed network are particularly limited. However, the present invention can be applied to an arbitrary closed network such as a basic resident register network system (Juki Net), a company / organization LAN, or a WAN.
本発明は、例えばLGWANや住基ネット、企業・組織のLANやWANなど、外部のネットワークと遮断された閉域ネットワークに対してインターネットなどの外部ネットワーク(広域網)からの接続を可能とするためのネットワーク接続技術として好適に利用可能である。 The present invention is to enable connection from an external network (wide area network) such as the Internet to a closed network blocked from an external network such as LGWAN, Juki Net, company / organization LAN, and WAN. It can be suitably used as a network connection technique.
1 閉域ネットワーク接続システム
10 データセンタ(閉域ネットワーク接続装置)
11 閉域網接続セグメント
20 閉域専用セグメント
21 認証APサーバ
22 Proxyサーバ(WebAPI)
30 ゲートウェイ専用セグメント
31 認証DBサーバ
32 Proxyサーバ
40 閉域専用セグメント
41 Proxyサーバ
50 地方公共団体
51 利用者端末(Webブラウザ)
60 外部データセンタ(パブリッククラウド)
61 外部APサーバ
100 LGWAN(閉域ネットワーク)
200 インターネット(外部ネットワーク)
1 Closed
11 Closed
30 Dedicated segment for
60 External data center (public cloud)
61
200 Internet (external network)
Claims (4)
第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントは、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段を備え、
前記第二セグメントは、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段を備え、
前記第一セグメントは、
前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信し、
前記第二セグメントは、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信し、
前記第三セグメントは、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段と、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段と、を備え、
前記外部ネットワークに接続された外部装置は、前記第三セグメントとのみ接続され、
閉域ネットワーク内の内部装置は、前記第一セグメントとのみ接続され、
前記外部装置が、前記第二セグメント,前記第一セグメント及び前記内部装置に接続されることがない
ことを特徴とする閉域ネットワーク接続装置。 A closed network connection device for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network,
Having at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network, not connected to the first segment and the closed network,
The first segment is
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network comprising a closed the access request data receiving means for,
The second segment is
Corresponding information storage means for storing the access request data in the closed area and the identification information in the external network of the external device specified by the access request data in the closed area,
The first segment is
Extracting the identification information of the external device designated by the in-closed area access request data from the information stored in the correspondence information storage means, and transmitting the identification information to the second segment,
The second segment is
Transmitting the identification information transmitted from the first segment to the third segment;
The third segment is
Based on the identification information transmitted from the second segment, external request data transmission means for transmitting external access request data to an external device designated by the in-closed area access request data;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment Response data transmission means for transmitting the response data ,
The external device connected to the external network is connected only to the third segment,
Internal devices in the closed network are connected only with the first segment,
The closed network connection device , wherein the external device is not connected to the second segment, the first segment, and the internal device.
前記外部要求データ送信手段は、
前記認証情報が記憶されている前記内部装置からの、当該内部装置が指定可能な前記外部装置を指定した前記閉域内アクセス要求データのみについて、当該閉域内アクセス要求データが指定する前記外部アクセス要求データを送信する
ことを特徴とする請求項1記載の閉域ネットワーク接続装置。 Authentication information storage means for storing the identification information of the internal device and the identification information of the external device that can be specified by the internal device in association with each other as authentication information;
The external request data transmission means includes
The external access request data specified by the in-closed area access request data for only the in-closed area access request data specifying the external apparatus that can be specified by the internal apparatus from the internal apparatus in which the authentication information is stored The closed network connection device according to claim 1, wherein:
前記コンピュータが、第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントを、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段として機能させ、
前記第二セグメントを、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段として機能させ、
前記第一セグメントに、
前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信させ、
前記第二セグメントに、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信させ、
前記第三セグメントを、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段、として機能させ、
前記外部ネットワークに接続された外部装置を、前記第三セグメントとのみ接続させ、
閉域ネットワーク内の内部装置を、前記第一セグメントとのみ接続させ、
前記外部装置を、前記第二セグメント,前記第一セグメント及び前記内部装置に接続させない
ことを特徴とする閉域ネットワーク接続プログラム。 A program for functioning a computer constituting a closed network connection device for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network ,
The computer has at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network, not connected to the first segment and the closed network,
The first segment,
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network Function as a closed area access request data receiving means,
The second segment,
Functioning as correspondence information storage means for storing the intra-closed area access request data and the identification information in the external network of the external device specified by the intra-closed area access request data,
In the first segment,
Extracting the identification information of the external device designated by the in-closed area access request data from the information stored in the correspondence information storage means, causing the identification information to be transmitted to the second segment,
In the second segment,
Transmitting the identification information transmitted from the first segment to the third segment;
The third segment,
External request data transmission means for transmitting external access request data to an external device designated by the in-closed access request data based on the identification information transmitted from the second segment ;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment To function as response data transmitting means for transmitting the response data ,
An external device connected to the external network is connected only to the third segment,
An internal device in the closed network is connected only to the first segment;
A closed network connection program , wherein the external device is not connected to the second segment, the first segment, and the internal device .
コンピュータが、
第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントが、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手順、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて前記第二セグメントに記憶された対応情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信する手順、を実行し、
前記第二セグメントが、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信する手順、を実行し、
前記第三セグメントが、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手順、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手順、とを実行し、
前記外部ネットワークに接続された外部装置を、前記第三セグメントとのみ接続させ、
閉域ネットワーク内の内部装置を、前記第一セグメントとのみ接続させ、
前記外部装置を、前記第二セグメント,前記第一セグメント及び前記内部装置に接続させない
ことを特徴とする閉域ネットワーク接続方法。 A method of connecting an internal device in a closed network that is disconnected from an external network by a programmed computer and an external device connected to the external network,
Computer
Having at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network and is not connected to the first segment and the closed network;
The first segment is
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network In-close access request data reception procedure,
From the correspondence information stored in the second segment by associating the access request data in the closed area with the identification information in the external network of the external device specified by the access request data in the closed area, the access request data in the closed area To extract the identification information of the external device specified by, and send the identification information to the second segment,
The second segment is
Performing the procedure of transmitting the identification information transmitted from the first segment to the third segment;
The third segment is
An external request data transmission procedure for transmitting external access request data to an external device designated by the in-closed access request data based on the identification information transmitted from the second segment ;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment the response data transmitting step of transmitting the response data, run the city,
An external device connected to the external network is connected only to the third segment,
An internal device in the closed network is connected only to the first segment;
A closed network connection method , wherein the external device is not connected to the second segment, the first segment, and the internal device .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017030418A JP6225283B1 (en) | 2017-02-21 | 2017-02-21 | Closed network connection device, program, and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017030418A JP6225283B1 (en) | 2017-02-21 | 2017-02-21 | Closed network connection device, program, and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6225283B1 true JP6225283B1 (en) | 2017-11-01 |
JP2018137591A JP2018137591A (en) | 2018-08-30 |
Family
ID=60214002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017030418A Active JP6225283B1 (en) | 2017-02-21 | 2017-02-21 | Closed network connection device, program, and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6225283B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005004631A (en) * | 2003-06-13 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | Web-assisted learning support method by web resource reorganization, web resource reorganization device, and program |
JP2006011601A (en) * | 2004-06-23 | 2006-01-12 | Hitachi Ltd | Electronic application support method, electronic application support system and electronic application support program |
JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
-
2017
- 2017-02-21 JP JP2017030418A patent/JP6225283B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005004631A (en) * | 2003-06-13 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | Web-assisted learning support method by web resource reorganization, web resource reorganization device, and program |
JP2006011601A (en) * | 2004-06-23 | 2006-01-12 | Hitachi Ltd | Electronic application support method, electronic application support system and electronic application support program |
JP2012203719A (en) * | 2011-03-25 | 2012-10-22 | Fuji Xerox Co Ltd | Information processing device, program, and information processing system |
Also Published As
Publication number | Publication date |
---|---|
JP2018137591A (en) | 2018-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102472362B1 (en) | Internet Of Things Device Control System and Method Based On Block Chain | |
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
JP5333263B2 (en) | Access control system and access control method | |
KR100953805B1 (en) | Virtual private network structures reuse for mobile computing devices | |
TWI545446B (en) | A method and system for use with a public cloud network | |
CN108881308B (en) | User terminal and authentication method, system and medium thereof | |
US11196797B2 (en) | Transferring files between computer nodes on different networks | |
JP7093531B2 (en) | Systems and methods for managing payment terminals via a web browser | |
CN102577303A (en) | Systems and methods for generating a dns query to improve resistance against a dns attack | |
KR20080026161A (en) | Unified architecture for remote network access | |
CN110401641B (en) | User authentication method and device and electronic equipment | |
CN103973785B (en) | A kind of log read system and method based on P2P | |
CN106844489A (en) | A kind of file operation method, device and system | |
JP5122587B2 (en) | Connection control method, connection control server device, connection control client device, connection control system, and program | |
US20180007026A1 (en) | Network monitoring method and device | |
CN105247832A (en) | Method and apparatus for integrating security context in network routing decisions | |
CN110971434B (en) | Method, device and system for managing intranet network equipment | |
CN109548022A (en) | Method for mobile terminal user to remotely access local network | |
CN115462108A (en) | Password-free wireless authentication | |
CN114025009B (en) | Method, system, proxy server and device for forwarding request | |
US20210281994A1 (en) | Roaming among different types of networks | |
US20150047009A1 (en) | Access control method, access control system and access control device | |
WO2023138335A1 (en) | Differentiated control method and apparatus for user terminal, and related device | |
JP6225283B1 (en) | Closed network connection device, program, and method | |
CN110213769B (en) | Intranet access method and related device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170725 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170915 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171006 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6225283 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |