JP6225283B1 - Closed network connection device, program, and method - Google Patents

Closed network connection device, program, and method Download PDF

Info

Publication number
JP6225283B1
JP6225283B1 JP2017030418A JP2017030418A JP6225283B1 JP 6225283 B1 JP6225283 B1 JP 6225283B1 JP 2017030418 A JP2017030418 A JP 2017030418A JP 2017030418 A JP2017030418 A JP 2017030418A JP 6225283 B1 JP6225283 B1 JP 6225283B1
Authority
JP
Japan
Prior art keywords
segment
external
network
closed
request data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017030418A
Other languages
Japanese (ja)
Other versions
JP2018137591A (en
Inventor
剛正 今村
剛正 今村
Original Assignee
株式会社両備システムズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社両備システムズ filed Critical 株式会社両備システムズ
Priority to JP2017030418A priority Critical patent/JP6225283B1/en
Application granted granted Critical
Publication of JP6225283B1 publication Critical patent/JP6225283B1/en
Publication of JP2018137591A publication Critical patent/JP2018137591A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部ネットワークに接続された外部装置との接続を確立する。【解決手段】閉域ネットワーク100内の利用者端末51から送信される、インターネット200に接続された外部データセンタ60を指定した閉域内アクセス要求データを受信し、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部データセンタ60のインターネット上における識別情報とを対応付けて記憶した対応情報から、閉域内アクセス要求データが指定する外部データセンタ60の識別情報を抽出し、当該識別情報に基づき、閉域内アクセス要求データが指定する外部データセンタ60に外部アクセス要求データを送信し、外部データセンタ60からの応答データを受信して、閉域内アクセス要求データを送信した利用者端末51に応答データを送信する。【選択図】図1An object of the present invention is to establish a connection between a closed network and an external device connected to an external network without requiring a dedicated connection device or procedure. Intra-closed access request data specifying an external data center 60 connected to the Internet 200, transmitted from a user terminal 51 in the closed network 100, is received. The identification information of the external data center 60 designated by the access request data in the closed area is extracted from the correspondence information stored in association with the identification information on the Internet of the external data center 60 designated by the access request data, and the identification information is included in the identification information. Based on this, the external access request data is transmitted to the external data center 60 specified by the in-closed area access request data, the response data from the external data center 60 is received, and the response to the user terminal 51 that has transmitted the in-closed area access request data. Send data. [Selection] Figure 1

Description

本発明は、例えば、総合行政ネットワーク(LGWAN)や、住民基本台帳ネットワークシステム(住基ネット)、企業・組織のLANやWANなど、外部のネットワークと遮断された閉域ネットワーク(閉域網)に対して、インターネットなどの外部ネットワーク(広域網)からの接続を可能とするための、閉域ネットワーク接続装置とそれに用いられるプログラム及び方法に関する。   The present invention is applied to a closed network (closed network) isolated from an external network such as a general administrative network (LGWAN), a basic resident register network system (Juki Net), a company / organization's LAN or WAN, etc. The present invention relates to a closed network connection device, a program and a method used therefor, for enabling connection from an external network (wide area network) such as the Internet.

近年、インターネットの普及に伴って、ネットワーク上への情報・データの流出・漏洩の問題が拡大している。
このようなネットワーク上へのデータ流出を完全に防止するために、例えば特定の組織や企業・団体などでは、インターネットなどの外部ネットワークと遮断された閉域ネットワーク(閉域網)を活用することが行われている。 In recent years, with the spread of the Internet, the problem of leakage / leakage of information / data on the network has been expanding.
In order to completely prevent such data leakage on the network, for example, a specific organization, company, or organization uses a closed network (closed network) that is blocked from an external network such as the Internet. ing.

閉域ネットワークとは、インターネットのように誰もが自由にアクセス可能なオープンな外部ネットワーク(広域網)に対して、遮断された(閉じた)ネットワークであり、インターネット等の外部ネットワークから直接アクセスできない、分離・隔離されたネットワークである。
このような閉域ネットワークによれば、外部ネットワークと遮断されデータの流出・漏洩が防止される一方、閉域ネットワークに接続された装置・システム間ではデータの送受信等が行えることから、特定の組織や団体,企業などの内部ネットワークシステムとして広く活用されている。 A closed network is a network that is blocked (closed) from an open external network (wide area network) that anyone can freely access, such as the Internet, and cannot be directly accessed from an external network such as the Internet. -It is an isolated network.
According to such a closed network, data can be transmitted and received between devices and systems connected to the closed network while being blocked from the external network and prevented from leaking and leaking data. It is widely used as an internal network system for companies.

この種の閉域ネットワークの典型例としては、例えば総合行政ネットワーク(LGWAN:Local Government Wide Area Network)が知られている(特許文献1参照)。
LGWANは、地方公共団体の組織内ネットワーク(庁内LAN)を相互に接続し、地方公共団体相互間のコミュニケーションの円滑化、情報の共有による情報の高度利用を図ることを目的とした、高度なセキュリティを維持した行政専用のネットワークである。このLGWANは、インターネット等の外部ネットワークとは遮断された閉域ネットワークを構成している。 As a typical example of this type of closed network, for example, a general government network (LGWAN) is known (see Patent Document 1).
LGWAN is an advanced network designed to connect local government organizations' networks (LAN within the agency) to each other, facilitate communication between local governments, and share information to make advanced use of information. It is a dedicated network for government that maintains security. The LGWAN constitutes a closed network that is blocked from an external network such as the Internet.

特開2004−118620号公報JP 2004-118620 A

しかしながら、上記のような閉域ネットワークでは、特許文献1に開示されているシステムを含めて、外部ネットワークと遮断された構成となっているので、原則としてインターネット等の外部ネットワークに接続されている装置・システム等は接続することができない。
外部ネットワークに接続された装置等が閉域ネットワークに接続できるようにするためには、閉域ネットワーク内の規約やプロトコルに従った接続・認証用の装置・機器等を用意し、そのような装置・機器等を介してのみ、閉域ネットワーク内への接続・アクセスが許可されることになる。 However, since the closed network as described above is configured to be cut off from the external network including the system disclosed in Patent Document 1, in principle, a device connected to an external network such as the Internet System etc. cannot be connected.
In order to allow devices connected to external networks to connect to the closed network, prepare devices / devices for connection / authentication according to the rules and protocols in the closed network, and such devices / devices. Etc., connection / access to the closed network is permitted only through the network.

このため、例えば閉域ネットワーク内においても有用なアプリケーションや使い勝手の良いソフトウェア等を提供したい事業者等がいても、手軽に閉域ネットワークに接続して、自社の有用なアプリケーションやシステム等の提供を行うことは困難であった。
一方で、閉域ネットワークを利用する側にとっても、ネットワーク内で利用可能なアプリケーションやサービス等があれば、事務処理効率や利便性の向上などのメリットも大きいが、そのような質の高いアプリケーションやサービス等の提供を受けることは、外部ネットワークと遮断された閉域ネットワーク内のみでは困難であった。 For this reason, for example, even if there is a business operator who wants to provide useful applications or easy-to-use software even in a closed network, it can easily connect to the closed network and provide its own useful applications and systems etc. Was difficult.
On the other hand, if there are applications and services that can be used in the closed network side, there are great benefits such as improved administrative efficiency and convenience, but such high-quality applications and services are also available. It was difficult to receive such provisions only within a closed network that was disconnected from the external network.

例えば、上記のようなLGWANに外部ネットワークから接続したい場合には、LGWANを管理・運営する組織(地方公共団体情報システム機構)に対して、所定の申請を行った上で契約を締結し、接続用の機器調達などをする必要がある。
このため、例えばアプリケーションの提供サービスを行おうとするASP(Application Service Provider)サービス提供事業者が、簡単にLGWANに接続してサービス提供を行うことはできなかった。この点、例えば既存のリバースプロキシによる接続では、相互のIPアドレスを交換する仕組み等が必要であり、閉域ネットワークへの接続の容易化は困難であった。
また、LGWANの利用者である例えば各自治体の職員等のユーザが、外部のASPを利用してより効率的で利便性の高い業務を行いたいと考えても、LGWANへの接続が許可された特定のASP等でない限り利用することはできなかった。 For example, if you want to connect to the LGWAN as described above from an external network, make a predetermined application to the organization that manages and operates the LGWAN (Local Public Organization Information System Organization) and connect It is necessary to procure equipment for use.
For this reason, for example, an ASP (Application Service Provider) service provider trying to provide an application providing service cannot easily connect to the LGWAN and provide the service. In this regard, for example, a connection using an existing reverse proxy requires a mechanism for exchanging mutual IP addresses, and it is difficult to facilitate connection to a closed network.
In addition, users of LGWAN, such as local government staff, are permitted to connect to LGWAN even if they want to perform more efficient and convenient operations using external ASPs. It could not be used unless it was a specific ASP.

本発明は、以上のような従来の技術が有する課題を解決するために提案されたものであり、外部のネットワークと遮断された閉域ネットワークに対して、インターネットなどの外部ネットワークに接続された外部装置の接続を可能とし、専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部装置との接続を確立することができる閉域ネットワーク接続装置と、それに用いられるプログラム及び方法の提供を目的とする。   The present invention has been proposed in order to solve the above-described problems of the prior art, and an external device connected to an external network such as the Internet with respect to a closed network blocked from the external network. A closed network connection device that can establish a connection between a closed network and an external device without requiring a dedicated connection device or procedure, and a program and method used therefor And

上記目的を達成するため、本発明の閉域ネットワーク接続装置は、外部ネットワークとの接続が遮断された閉域ネットワーク内の内部装置と、外部ネットワークに接続された外部装置とを接続するための閉域ネットワーク接続装置であって、第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、前記第一セグメントは、前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段を備え前記第二セグメントは、前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段を備え前記第一セグメントは、前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信し、前記第二セグメントは、前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信し、前記第三セグメントは、前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段と、前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段と、を備え、前記外部ネットワークに接続された外部装置は、前記第三セグメントとのみ接続され、閉域ネットワーク内の内部装置は、前記第一セグメントとのみ接続され、前記外部装置が、前記第二セグメント,前記第一セグメント及び前記内部装置に接続されることがない構成としてある。
To achieve the above object, a closed network connection device according to the present invention is a closed network connection for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network. A device having at least three segments of a first segment, a second segment, and a third segment, wherein the first segment is connected to the closed network and the second segment via a closed network connection segment. , Not connected to the third segment and the external network, the second segment is connected to the first segment and the third segment, is not connected to the closed network and the external network, and the third segment is Connected to the second segment and the external network Not connected to the first segment and the closed network, the first segment, the closed is transmitted from the internal device in the network, specify a predetermined external device connected to the external network, of the external device Intra-closed area access request data receiving means for receiving intra-closed area access request data comprising information different from identification information in the external network , the second segment includes the intra-closed area access request data and the intra-closed area access request data There with corresponding information storage means for the storing in association with identification information in the external network of the external device to specify said first segment from said correspondence information information stored in the storage means, said closed the access request Extracting the identification information of the external device specified by the data, the identification information The second segment transmits the identification information transmitted from the first segment to the third segment, and the third segment transmits the identification transmitted from the second segment. Based on the information , external request data transmitting means for transmitting the external access request data to the external device designated by the in-closed access request data, and receiving response data from the external device to which the external access request data is transmitted , said second segment and via the first segment, in the apparatus which has transmitted the closed the access request data specifying the external device, and a response data transmission means for transmitting the response data, the external External devices connected to the network are connected only to the third segment, and internal devices in the closed network are Only the first segment is connected, and the external device is not connected to the second segment, the first segment, and the internal device .

また、本発明は、上記のような本発明に閉域ネットワーク接続装置で実行される閉域ネットワーク接続プログラムとして構成することができる。
さらに、本発明は、上記のような本発明に係る閉域ネットワーク接続装置及びプログラムによって実施可能な閉域ネットワーク接続方法として構成することもできる。 The present invention can also be configured as a closed network connection program executed by the closed network connection device according to the present invention as described above.
Furthermore, the present invention can also be configured as a closed network connection method that can be implemented by the closed network connection apparatus and program according to the present invention as described above.

本発明によれば、外部のネットワークと遮断された閉域ネットワークに対して、インターネットなどの外部ネットワークに接続された外部装置の接続を可能とし、専用の接続機器や手続などを必要とすることなく、閉域ネットワークと外部装置との接続を確立することが可能となる。
これにより、例えばアプリケーション等の提供サービスを行う事業者が、LGWANなどの閉域ネットワークに接続してASPの提供を行う場合などに好適なネットワーク接続技術を提供することができる。 According to the present invention, it is possible to connect an external device connected to an external network such as the Internet to a closed network blocked from an external network, without requiring a dedicated connection device or procedure, It is possible to establish a connection between the closed network and an external device.
This makes it possible to provide a network connection technique suitable for, for example, a case where a provider providing a service such as an application provides an ASP by connecting to a closed network such as LGWAN.

本発明の一実施形態に係る閉域ネットワーク接続装置を備えたシステムの全体構成を模式的に示すブロック図である。1 is a block diagram schematically showing an overall configuration of a system including a closed network connection device according to an embodiment of the present invention. 本発明の一実施形態に係る閉域ネットワーク接続装置の閉域専用セグメントの詳細を示すブロック図である。It is a block diagram which shows the detail of the closed area exclusive segment of the closed network connection apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る閉域ネットワーク接続装置に記憶されるデータの一例を示すテーブルであり、(a)はユーザの認証情報を含む利用ステータス情報を、(b)はホワイトリスト情報を、(c)は外部装置の接続先書き換え処理の対応情報を示している。It is a table which shows an example of the data memorize | stored in the closed network connection apparatus which concerns on one Embodiment of this invention, (a) is utilization status information containing a user's authentication information, (b) is whitelist information, ( c) shows correspondence information of the connection destination rewriting process of the external device. 本発明の一実施形態に係る閉域ネットワーク接続装置を備えたシステムにおける、閉域ネットワーク内の装置から外部ネットワーク上の装置への接続を行う場合の動作の一例を示すシーケンス図である。It is a sequence diagram which shows an example of operation | movement in the case of performing the connection from the apparatus in a closed network to the apparatus on an external network in the system provided with the closed network connection apparatus which concerns on one Embodiment of this invention.

以下、本発明に係る閉域ネットワーク接続装置の実施形態について、図面を参照しつつ説明する。
ここで、以下に示す本発明の閉域ネットワーク接続装置は、プログラム(ソフトウェア)の命令によりコンピュータで実行される処理,手段,機能によって実現される。プログラムは、コンピュータの各構成要素に指令を送り、以下に示す本発明に係る所定の処理や機能等を行わせることができる。すなわち、本発明における各処理や手段,機能は、プログラムとコンピュータとが協働した具体的手段によって実現される。 Hereinafter, embodiments of a closed network connection device according to the present invention will be described with reference to the drawings.
Here, the closed network connection device of the present invention described below is realized by processing, means, and functions executed by a computer in accordance with instructions of a program (software). The program can send commands to each component of the computer to perform the following predetermined processing and functions according to the present invention. That is, each process, means, and function in the present invention are realized by specific means in which a program and a computer cooperate.

なお、プログラムの全部又は一部は、例えば、磁気ディスク,光ディスク,半導体メモリ,その他任意のコンピュータで読取り可能な記録媒体により提供され、記録媒体から読み出されたプログラムがコンピュータにインストールされて実行される。また、プログラムは、記録媒体を介さず、通信回線を通じて直接にコンピュータにロードし実行することもできる。また、本発明に係る閉域ネットワーク接続装置は、単一の情報処理装置(例えば一台のパーソナルコンピュータ等)で構成することもでき、複数の情報処理装置(例えば複数台のサーバコンピュータ群等)で構成することもできる。   Note that all or part of the program is provided by, for example, a magnetic disk, optical disk, semiconductor memory, or any other computer-readable recording medium, and the program read from the recording medium is installed in the computer and executed. The The program can also be loaded and executed directly on a computer through a communication line without using a recording medium. Further, the closed network connection device according to the present invention can be constituted by a single information processing device (for example, one personal computer), or a plurality of information processing devices (for example, a plurality of server computer groups). It can also be configured.

[システム構成]
図1に、本発明の一実施形態に係る閉域ネットワーク接続装置10を備えたる閉域ネットワーク接続システム1の構成を模式的に示す。
以下、本実施形態の閉域ネットワーク接続装置10が接続される閉域ネットワークの具体例としてLGWAN100を例に採って説明する。
同図に示すように、本発明の一実施形態に係る閉域ネットワーク接続システム1は、
外部ネットワークとの接続が遮断された閉域ネットワークであるLGWAN100に接続されている一又は二以上の地方公共団体50(50a〜50n)に備えられた利用者端末(Webブラウザ)51と、外部ネットワークであるインターネットに接続された外部データセンタ(パブリッククラウド)60(60a〜60n)に備えられた外部APサーバ61と、利用者端末51と外部APサーバ61とを接続するためのデータセンタ(閉域ネットワーク接続装置)10とを備えて構成されている。 [System configuration]
FIG. 1 schematically shows a configuration of a closed network connection system 1 including a closed network connection device 10 according to an embodiment of the present invention.
Hereinafter, the LGWAN 100 will be described as an example of a closed network to which the closed network connection device 10 of the present embodiment is connected.
As shown in the figure, a closed network connection system 1 according to an embodiment of the present invention is
A user terminal (Web browser) 51 provided in one or more local public organizations 50 (50a to 50n) connected to the LGWAN 100, which is a closed network that is disconnected from the external network, and an external network An external AP server 61 provided in an external data center (public cloud) 60 (60a to 60n) connected to a certain Internet, and a data center (closed network connection) for connecting the user terminal 51 and the external AP server 61 Device) 10.

[地方公共団体・利用者端末]
地方公共団体50(50a〜50n)は、都道府県や市町村などの自治体であって、閉域ネットワークであるLGWAN100を介して相互にネットワーク接続される組織・団体である。
各地方公共団体50a〜50nには、それぞれ利用者端末(Webブラウザ)51が備えられており、利用者端末51を介してLGWAN100に接続され、地方公共団体50a〜50n相互間や、国の府省間ネットワークである政府共通ネットワーク(図示せず)などとデータ通信が行われるようになっている。
利用者端末51は、Webブラウザが実装された情報処理装置であり、例えば各地方公共団体50a〜50nの庁舎や事務所などに設置されるPCやタブレット,専用端末等によって構成される。 [Local government / user terminals]
The local public organizations 50 (50a to 50n) are local governments such as prefectures and municipalities, and are organizations / organizations connected to each other via the LGWAN 100 which is a closed network.
Each local public entity 50a-50n is provided with a user terminal (Web browser) 51, and is connected to the LGWAN 100 via the user terminal 51, and between the local public entities 50a-50n, Data communication is performed with a government common network (not shown) which is an inter-provincial network.
The user terminal 51 is an information processing apparatus in which a Web browser is installed, and is configured by, for example, a PC, a tablet, a dedicated terminal, or the like installed in a government office or office of each local public organization 50a to 50n.

[LGWAN]
LGWAN100は、上述した各地方公共団体50a〜50n及び政府共通ネットワーク(図示せず)などを相互にデータ通信可能に接続するためのネットワークであり、本発明の閉域ネットワーク(閉域網)を構成している。
このLGWAN100には、各地方公共団体50に備えられる利用者端末51と、LGWAN100を管理・運営する組織(地方公共団体情報システム機構)と契約を締結した特定のASP提供事業者が備える装置・システムのみが接続され、その他の装置・機器、例えばインターネット200に接続されたLGWANと契約していないASP提供事業者のサーバや、一般ユーザのPCやスマートフォンなどは接続することはできない。
また、LGWAN100に接続された装置・機器は、LGWAN100以外の他のネットワークと直接的に接続・アクセスすることはできない。したがって、地方公共団体50の利用者端末51から、例えばインターネット上のパブリッククラウドにアクセスすることはできない。 [LGWAN]
The LGWAN 100 is a network for connecting the above-mentioned local public bodies 50a to 50n and a government common network (not shown) and the like so as to be able to perform data communication with each other, and constitutes a closed network (closed network) of the present invention. Yes.
The LGWAN 100 includes devices / systems provided by a specific ASP provider that has signed a contract with a user terminal 51 provided in each local public entity 50 and an organization (local public entity information system organization) that manages and operates the LGWAN 100. However, it is not possible to connect other devices / devices such as a server of an ASP provider not contracted with LGWAN connected to the Internet 200, a general user's PC, a smartphone, or the like.
In addition, a device / equipment connected to the LGWAN 100 cannot be directly connected / accessed to a network other than the LGWAN 100. Therefore, the user terminal 51 of the local public entity 50 cannot access a public cloud on the Internet, for example.

[外部データセンタ・外部APサーバ]
外部データセンタ(パブリッククラウド)60(60a〜60n)は、ASP提供事業者などであって、インターネット200に接続された外部APサーバ61を介して、一般ユーザにアプリケーション・ソフトウェア等の提供サービスを行うパブリッククラウドを管理・運営する企業等である。
各外部データセンタ60a〜60nには、それぞれ外部APサーバ61が備えられており、外部APサーバ61を介してインターネット200に接続され、インターネット上においてパブリッククラウドの提供サービス等が行われるようになっている。
外部APサーバ61は、ユーザの要望に応じてソフトウェアやハードウェアシステムなどをネットワーク経由で利用可能に提供するための情報処理装置であり、例えば外部データセンタ60a〜60nのデータセンタやオフィスなどに設置されるPCやサーバ群等によって構成される。 [External data center / AP server]
The external data center (public cloud) 60 (60a to 60n) is an ASP provider or the like, and provides application software and the like to general users via an external AP server 61 connected to the Internet 200. Companies that manage and operate public clouds.
Each of the external data centers 60a to 60n is provided with an external AP server 61, which is connected to the Internet 200 via the external AP server 61 so that a public cloud providing service or the like is performed on the Internet. Yes.
The external AP server 61 is an information processing apparatus for providing software and hardware systems and the like that can be used via a network in response to a user's request. For example, the external AP server 61 is installed in a data center or office of the external data centers 60a to 60n. Configured by a PC or a server group.

そして、上記のような外部データセンタ60a〜60nのうち、データセンタ10と専用接続を介して接続される外部データセンタ60(外部APサーバ61)が、データセンタ10を経由して、閉域ネットワークであるLGWAN100に接続・アクセスできるようになっている。
データセンタ10を経由することで、LGWAN100側からは外部データセンタ60(外部APサーバ61)の存在(グローバルIPアドレス)が見えず、また、外部データセンタ60側からもLGWAN100に接続された利用者端末51の存在(閉域内IPアドレス)が見えず、互いに直接的な接続・アクセスが行えず、さらに、データセンタ10と外部データセンタ60(外部APサーバ61)とは専用接続により接続されることから、LGWAN100の閉域ネットワークとしてのセキュリティが確保されることになる。 Of the external data centers 60a to 60n as described above, the external data center 60 (external AP server 61) connected to the data center 10 via a dedicated connection is connected via the data center 10 in a closed network. A certain LGWAN 100 can be connected and accessed.
By passing through the data center 10, the existence (global IP address) of the external data center 60 (external AP server 61) cannot be seen from the LGWAN 100 side, and the user connected to the LGWAN 100 from the external data center 60 side as well. The presence of the terminal 51 (the IP address in the closed area) cannot be seen, the direct connection / access to each other cannot be performed, and the data center 10 and the external data center 60 (external AP server 61) are connected by a dedicated connection. Therefore, security as a closed network of the LGWAN 100 is ensured.

ここで、データセンタ10と外部APサーバ61とを接続する「専用接続」とは、データセンタ10と外部APサーバ61とが専用回線により接続される物理的な専用接続の場合と、例えばゲートウェイやVPN(Virtual Private Network)等を介して、データセンタ10と外部APサーバ61とが論理的・仮想的に一対一に専用接続される場合とがある。
このような専用接続を介してデータセンタ10と接続されることで、外部APサーバ61は、自己がインターネット上で提供しているのと同様のアプリケーションやパブリッククラウドサービス等を、データセンタ10経由でLGWAN100に接続されている利用者端末51に対して提供できるようになる。 Here, the “dedicated connection” for connecting the data center 10 and the external AP server 61 is a case of a physical dedicated connection in which the data center 10 and the external AP server 61 are connected by a dedicated line, such as a gateway or the like. In some cases, the data center 10 and the external AP server 61 are logically and virtually dedicatedly connected one-on-one via a VPN (Virtual Private Network) or the like.
By being connected to the data center 10 through such a dedicated connection, the external AP server 61 transmits the same application or public cloud service, etc. that it provides on the Internet via the data center 10. This can be provided to the user terminal 51 connected to the LGWAN 100.

[データセンタ]
データセンタ10は、上述した外部ネットワークとの接続が遮断された閉域ネットワークであるLGWAN100内の内部装置(利用者端末51)と、外部ネットワークであるインターネット200に接続された外部装置(外部APサーバ61)とを接続するための情報処理装置であり、本発明に係る閉域ネットワーク接続装置を構成している。
具体的には、データセンタ10は、一又は二以上のコンピュータやサーバ,ネットワーク接続機器等によって構成されており、本実施形態では、図1に示すように、閉域網接続セグメント11,閉域専用セグメント20,ゲートウェイ専用セグメント30及び公開専用セグメント40の各部を備えている。 [Data Center]
The data center 10 includes an internal device (user terminal 51) in the LGWAN 100, which is a closed network that is disconnected from the external network, and an external device (external AP server 61) connected to the Internet 200, which is an external network. ), And constitutes a closed network connection device according to the present invention.
Specifically, the data center 10 is composed of one or more computers, servers, network connection devices, and the like. In this embodiment, as shown in FIG. 1, a closed network connection segment 11, a closed dedicated segment 20, the gateway dedicated segment 30 and the public dedicated segment 40 are provided.

[閉域網接続セグメント]
閉域網接続セグメント11は、LGWAN100と直接的に接続されており、データセンタ10とLGWAN100に接続された各地方公共団体50a〜50nの利用者端末51とは直接的に通信・アクセスが行えるようになっている。
閉域網接続セグメント11は、LGWAN100を管理・運営する組織(地方公共団体情報システム機構)に対する申請・契約を経て、所定の接続用環境を備えた通信機器等により構成され、LGWAN100に接続された装置・機器として動作可能となっている。
この閉域網接続セグメント11に対して、閉域専用セグメント20・ゲートウェイ専用セグメント30の2つのセグメントのProxyサーバ22・32が接続されるようになっている。 [Closed network connection segment]
The closed network connection segment 11 is directly connected to the LGWAN 100 so that the data center 10 and the user terminals 51 of the local public bodies 50a to 50n connected to the LGWAN 100 can directly communicate and access. It has become.
The closed network connection segment 11 is configured by a communication device having a predetermined connection environment through an application / contract to an organization (local public entity information system organization) that manages and operates the LGWAN 100, and is connected to the LGWAN 100 -It can operate as a device.
To this closed network connection segment 11, proxy servers 22 and 32 of two segments, a closed dedicated segment 20 and a gateway dedicated segment 30, are connected.

[閉域専用セグメント]
閉域専用セグメント20は、認証APサーバ21とProxyサーバ(WebAPI)22を備えている。
認証APサーバ21は、閉域網接続セグメント11を経由して利用者端末51から送信される認証情報(ユーザID・パスワード)と外部APサーバ61の接続先URLを含む接続認証要求を受信し、認証情報に基づく認証処理を行うとともに、当該接続認証要求についての利用ステータス情報(図3(a)参照)を、ゲートウェイ専用セグメント30の認証DBサーバから取得する(図4参照)。 [Closed segment]
The closed area dedicated segment 20 includes an authentication AP server 21 and a proxy server (WebAPI) 22.
The authentication AP server 21 receives the connection authentication request including the authentication information (user ID / password) transmitted from the user terminal 51 via the closed network connection segment 11 and the connection destination URL of the external AP server 61, and performs authentication. The authentication process based on the information is performed, and usage status information (see FIG. 3A) regarding the connection authentication request is acquired from the authentication DB server of the gateway dedicated segment 30 (see FIG. 4).

したがって、この認証APサーバ21が、閉域ネットワーク内の内部装置から送信される、外部ネットワークに接続された所定の外部装置を指定した閉域内アクセス要求データを受信する、本発明の閉域内アクセス要求データ受信手段を構成する。
また、この認証APサーバ21は、内部装置の識別情報と、当該内部装置が指定可能な外部装置の識別情報を、認証情報として対応付けて記憶する、本発明の認証情報記憶手段を構成する。 Accordingly, the authentication AP server 21 receives the access request data in the closed area specifying the predetermined external apparatus connected to the external network, which is transmitted from the internal apparatus in the closed network, and the access request data in the closed area of the present invention. Receiving means is configured.
The authentication AP server 21 constitutes an authentication information storage unit of the present invention that stores identification information of an internal device and identification information of an external device that can be specified by the internal device in association with each other as authentication information.

ここで、認証APサーバ21による認証処理は、利用者端末51から送信される認証情報(ユーザID・パスワード)を、認証APサーバ21で保持している認証情報(ユーザID・パスワード)と照合することにより行われる。
また、認証処理後に認証APサーバ21により要求・取得される利用ステータス情報は、上記の認証情報(ユーザID・パスワード)と対応付けられた情報として、例えば当該ユーザが所属する自治体の情報と、当該ユーザが利用(アクセス)可能な外部APサーバ61の接続先情報等が含まれる。 Here, in the authentication process by the authentication AP server 21, the authentication information (user ID / password) transmitted from the user terminal 51 is collated with the authentication information (user ID / password) held in the authentication AP server 21. Is done.
Further, the usage status information requested / acquired by the authentication AP server 21 after the authentication processing is information associated with the authentication information (user ID / password), for example, information on the local government to which the user belongs, The connection destination information of the external AP server 61 that can be used (accessed) by the user is included.

図3(a)に、本実施形態における利用ステータス情報の一例を示す。
同図に示すように、利用ステータス情報としては、利用者端末51のユーザの「ユーザID」・「パスワード」と、これに対応付けられた、当該ユーザ(利用者端末51)が所属する自治体の識別情報となる「団体グローバルIPアドレス」、当該ユーザ(利用者端末51)が接続(利用)可能な外部APサーバ61の接続先情報となる「接続先URL」等で構成されている。
なお、図3(a)に示す利用ステータス情報は、本実施形態における一例であり、他の情報を利用ステータス情報として用いることもできる。例えば自治体の識別情報として、当該自治体を一意に特定することができる識別情報であれば、「団体グローバルIPアドレス」以外の情報、例えば閉域ネットワーク内専用の識別番号や識別コード等を用いることもできる。 FIG. 3A shows an example of usage status information in the present embodiment.
As shown in the figure, the usage status information includes “user ID” / “password” of the user of the user terminal 51 and the local government to which the user (user terminal 51) associated with the user status belongs. The “organization global IP address” serving as identification information, the “connection destination URL” serving as connection destination information of the external AP server 61 to which the user (user terminal 51) can connect (use), and the like.
Note that the usage status information illustrated in FIG. 3A is an example in the present embodiment, and other information may be used as the usage status information. For example, as identification information of a local government, if it is identification information that can uniquely identify the local government, information other than the “organization global IP address”, for example, an identification number or an identification code dedicated to the closed network can be used. .

このような利用ステータス情報は、本実施形態では、ゲートウェイ専用セグメント30の認証DBサーバ31に登録・記憶されるようになっており、認証APサーバ21からの取得要求に従って、ゲートウェイ専用セグメント30の認証DBサーバ31から認証APサーバ21に送信される。但し、利用ステータス情報は、ゲートウェイ専用セグメント30に限らず、データセンタ10に備えられるいずれかの記憶手段に記憶されれば良い。
したがって、この利用ステータス情報を記憶・保持する記憶手段(例えば認証DBサーバ31)が、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部装置の外部ネットワークにおける識別情報とを対応付けて記憶した、本発明に係る対応情報記憶手段を構成する。 In the present embodiment, such usage status information is registered and stored in the authentication DB server 31 of the gateway dedicated segment 30. According to the acquisition request from the authentication AP server 21, the authentication of the gateway dedicated segment 30 is performed. The data is transmitted from the DB server 31 to the authentication AP server 21. However, the usage status information is not limited to the gateway-dedicated segment 30 and may be stored in any storage means provided in the data center 10.
Therefore, the storage means (for example, the authentication DB server 31) that stores and holds the usage status information associates the access request data in the closed area with the identification information in the external network of the external device specified by the access request data in the closed area. Corresponding information storage means according to the present invention is stored.

そして、認証APサーバ21は、利用ステータス情報を取得すると、利用ステータス設定処理を要求し、取得した利用ステータス情報(団体グローバルIPアドレス)をサービス制御部22bに送信する。
さらに、認証APサーバ21は、後述する利用ステータスの設定・ホワイトリスト認証の処理(図4参照)後、設定処理結果情報となるステータスコードを受信すると、外部APサーバ61の接続先URLを含むリダイレクト要求を、閉域網接続セグメント11を経由して要求元となる利用者端末51に返信する(図4参照)。 Then, when acquiring the usage status information, the authentication AP server 21 requests usage status setting processing, and transmits the acquired usage status information (organization global IP address) to the service control unit 22b.
Further, after receiving a status code serving as setting processing result information after processing of setting usage status / whitelist authentication (see FIG. 4) described later, the authentication AP server 21 redirects including the connection destination URL of the external AP server 61. The request is returned to the user terminal 51 as the request source via the closed network connection segment 11 (see FIG. 4).

Proxyサーバ22は、認証APサーバ21で取得された利用ステータス情報に基づいて、利用ステータスの設定・ホワイトリスト認証の処理を実行し、処理結果を示すステータスコードを認証APサーバ21に送信する(図4参照)。
また、Proxyサーバ22は、利用ステータスの設定・ホワイトリスト認証の処理が行われた利用者端末51からのHTTPSリクエストを受信して、当該リクエストを、後段のゲートウェイ専用セグメント30・公開専用セグメント40を経て、LGWAN100外の外部APサーバ61に対してプロキシ接続によって透過・送信する(図4参照)。
そして、Proxyサーバ22は、外部APサーバ61から送信されるHTTPSレスポンスを、公開専用セグメント40・ゲートウェイ専用セグメント30を経て受信し、通信元となる利用者端末51に送信・返送する。 The proxy server 22 executes processing for setting usage status and whitelist authentication based on the usage status information acquired by the authentication AP server 21, and transmits a status code indicating the processing result to the authentication AP server 21 (FIG. 4).
In addition, the proxy server 22 receives an HTTPS request from the user terminal 51 that has undergone usage status setting / whitelist authentication processing, and sends the request to the gateway dedicated segment 30 and the public dedicated segment 40 in the subsequent stage. Then, it transmits and transmits to the external AP server 61 outside the LGWAN 100 by proxy connection (see FIG. 4).
Then, the proxy server 22 receives the HTTPS response transmitted from the external AP server 61 via the public dedicated segment 40 and the gateway dedicated segment 30, and transmits / returns it to the user terminal 51 serving as a communication source.

図2に、閉域専用セグメント20のProxyサーバ22の詳細な機能構成を示す。
同図に示すように、Proxyサーバ(WebAPI)22は、管理部22a,サービス制御部22b,HTTPS制御部22c,ユーザ制御部22dとして機能するように構成されている。
管理部22aは、Proxyサーバ22の全体を管理・制御するソフトウェアである。
また、管理部22aは、利用ステータス設定・ホワイトリスト認証の処理の済んだ利用者端末51からのHTTPSリクエストを受信して、HTTPS制御部22cに送信・透過する制御を行う(図4参照)。 FIG. 2 shows a detailed functional configuration of the proxy server 22 of the closed area dedicated segment 20.
As shown in the figure, the proxy server (WebAPI) 22 is configured to function as a management unit 22a, a service control unit 22b, an HTTPS control unit 22c, and a user control unit 22d.
The management unit 22a is software that manages and controls the entire proxy server 22.
In addition, the management unit 22a performs control to receive an HTTPS request from the user terminal 51 that has undergone the usage status setting / whitelist authentication process, and transmit / transmit it to the HTTPS control unit 22c (see FIG. 4).

サービス制御部22bは、認証APサーバ21から送信される利用ステータスの設定要求を受信し、当該設定要求に基づくホワイトリスト認証要求をユーザ制御部22dに送信する(図4参照)。
HTTPS制御部22cは、利用ステータス設定・ホワイトリスト認証の処理の済んだ利用者端末51からのHTTPSリクエストを管理部22aから受信して、利用ステータス設定を確認後、ゲートウェイ専用セグメント30のProxyサーバ32へトンネリング通信を行う(図4参照)。
また、HTTPS制御部22cは、ゲートウェイ専用セグメント30のProxyサーバ32から外部APサーバ61のHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスを、通信元となる利用者端末51に送信・返送する。 The service control unit 22b receives the usage status setting request transmitted from the authentication AP server 21, and transmits a whitelist authentication request based on the setting request to the user control unit 22d (see FIG. 4).
The HTTPS control unit 22c receives an HTTPS request from the management unit 22a from the user terminal 51 that has undergone the usage status setting / whitelist authentication process, confirms the usage status setting, and then the proxy server 32 of the gateway dedicated segment 30. Heneling communication is performed (see FIG. 4).
Further, the HTTPS control unit 22c receives the tunneling communication of the HTTPS response of the external AP server 61 from the proxy server 32 of the gateway dedicated segment 30, and transmits / returns the HTTPS response to the user terminal 51 serving as the communication source.

ユーザ制御部22dは、サービス制御部22bから送信されるホワイトリスト認証要求を受信し、当該要求に基づくホワイトリスト認証処理を実行し、その結果要求を、ステータスコードとしてサービス制御部22bに送信・返送する(図4参照)。
ここで、ホワイトリスト認証処理は、認証APサーバ21から送信される利用ステータス情報に基づいて、利用ステータス情報に含まれる自治体の識別情報をホワイトリストに登録する。具体的には、ユーザ制御部22dは、自治体の識別情報(団体グローバルIPアドレス)及びステータス「True」を設定し、ホワイトリストに登録されたことを示すステータスコードを送信する。ステータスコードは、例えばホワイトリスト認証の結果について、「正常:1」・「エラー:2」等のコード情報が生成されて送信される。
このステータスコードは、ホワイトリストの設定処理結果情報としてサービス制御部22bを経て認証APサーバ21へ送信され、利用者端末51のWebブラウザに、外部APサーバ61の接続先URLを含むリダイレクト要求が送信されるようになる。 The user control unit 22d receives the whitelist authentication request transmitted from the service control unit 22b, executes whitelist authentication processing based on the request, and transmits the result request as a status code to the service control unit 22b. (See FIG. 4).
Here, in the white list authentication process, based on the usage status information transmitted from the authentication AP server 21, the local government identification information included in the usage status information is registered in the white list. Specifically, the user control unit 22d sets the local government identification information (organization global IP address) and the status “True”, and transmits a status code indicating that it is registered in the white list. As the status code, for example, code information such as “normal: 1” and “error: 2” is generated and transmitted for the result of whitelist authentication.
This status code is transmitted as whitelist setting process result information to the authentication AP server 21 via the service control unit 22b, and a redirect request including the connection destination URL of the external AP server 61 is transmitted to the Web browser of the user terminal 51. Will come to be.

図3(b)に、本実施形態におけるホワイトリストの一例を示す。
同図に示すように、ユーザ制御部22dは、認証APサーバ21・サービス制御部22bから利用ステータス設定要求が送信されると、当該利用ステータス情報に含まれる自治体の識別情報となる「団体グローバルIPアドレス」をホワイトリストに登録・記憶するとともに、当該自治体からの外部アクセスが開始されたことを示すステータスとして、「開始フラグ」を「True」に設定する。 FIG. 3B shows an example of the white list in the present embodiment.
As shown in the figure, when the usage status setting request is transmitted from the authentication AP server 21 / service control unit 22b, the user control unit 22d becomes the “organization global IP” which becomes the local government identification information included in the usage status information. “Address” is registered and stored in the white list, and “Start flag” is set to “True” as a status indicating that external access from the local government has been started.

また、管理部22aは、利用者端末51のWebブラウザから送信される外部APサーバ61の接続先URLを含むHTTPSリクエストを受信し、HTTPS制御部22cに透過してプロキシ送信する。
HTTPS制御部22cは、HTTPSリクエストを受信すると、上述した利用ステータスの設定(図3(b)参照)を確認する。具体的には、受信したHTTPSリクエストに含まれる団体グローバルIPアドレスが、ユーザ制御部22dのホワイトリストに登録された団体グローバルIPアドレスと一致するか、「開始フラグ:True」であるか、の利用ステータスが参照・確認され、確認処理結果情報(ステータスコード)が、ユーザ制御部22dからHTTPS制御部22cに送信される。 In addition, the management unit 22a receives an HTTPS request including the connection destination URL of the external AP server 61 transmitted from the Web browser of the user terminal 51, transmits the request to the HTTPS control unit 22c, and performs proxy transmission.
When receiving the HTTPS request, the HTTPS control unit 22c confirms the setting of the use status described above (see FIG. 3B). Specifically, use of whether the group global IP address included in the received HTTPS request matches the group global IP address registered in the white list of the user control unit 22d or is “start flag: True”. The status is referred to and confirmed, and confirmation processing result information (status code) is transmitted from the user control unit 22d to the HTTPS control unit 22c.

HTTPS制御部22cは、ユーザ制御部22dから利用ステータス確認処理の要求結果を受信すると、まず、条件を満たさない場合(「エラー」等)は、接続処理を拒否する。
一方、条件を満たす場合(「正常」等)は、HTTPSリクエストに含まれる接続先URLを、当該接続先URLが示す外部APサーバ61のグローバルIPアドレスに書き換える処理を行う。
外部APサーバ61を指定した接続先URLと、対応するグローバルIPアドレスとの書き換え処理は、あらかじめ設定・登録された対応情報に基づいて行われる。 When the HTTPS control unit 22c receives the request result of the usage status confirmation process from the user control unit 22d, first, when the condition is not satisfied (such as “error”), the connection control process is rejected.
On the other hand, when the condition is satisfied (“normal” or the like), a process of rewriting the connection destination URL included in the HTTPS request to the global IP address of the external AP server 61 indicated by the connection destination URL is performed.
The rewriting process between the connection destination URL specifying the external AP server 61 and the corresponding global IP address is performed based on correspondence information set and registered in advance.

図3(c)に、本実施形態における書き換え処理に用いられる対応情報の一例を示す。
同図に示すように、書き換え処理の対応情報としては、外部APサーバ61の接続先URLとグローバルIPアドレスの情報が対応付けられた情報(テーブル)となっており、この情報が例えばHTTPS制御部22cにおいて登録・記憶されるようになっている。但し、この対応情報は、HTTPS制御部22cに限らず、データセンタ10に備えられるいずれかの記憶手段に記憶されれば良い。
したがって、この対応情報を記憶・保持する記憶手段(例えばHTTPS制御部22c)も、閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する外部装置の外部ネットワークにおける識別情報とを対応付けて記憶した、本発明に係る対応情報記憶手段を構成する。 FIG. 3C shows an example of correspondence information used for the rewriting process in the present embodiment.
As shown in the figure, the correspondence information of the rewrite processing is information (table) in which the connection destination URL of the external AP server 61 is associated with the information of the global IP address, and this information is, for example, an HTTPS control unit 22c is registered and stored. However, this correspondence information may be stored not only in the HTTPS control unit 22c but also in any storage means provided in the data center 10.
Therefore, the storage means (for example, the HTTPS control unit 22c) that stores and holds the correspondence information also associates the access request data in the closed area with the identification information in the external network of the external device specified by the access request data in the closed area. The stored correspondence information storage means according to the present invention is configured.

HTTPS制御部22cは、接続先URLがグローバルIPアドレスに書き換えられたHTTPSリクエストを、ゲートウェイ専用セグメント30のProxyサーバ32へトンネリング通信により送信する(図4参照)。
したがって、このHTTPS制御部22cが、対応情報記憶手段に記憶された情報から、閉域内アクセス要求データが指定する外部装置の識別情報を抽出し、当該識別情報に基づいて、閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する、本発明に係る外部要求データ送信手段を構成する。 The HTTPS control unit 22c transmits the HTTPS request in which the connection destination URL is rewritten to the global IP address to the proxy server 32 of the gateway dedicated segment 30 by tunneling communication (see FIG. 4).
Therefore, the HTTPS control unit 22c extracts the identification information of the external device specified by the access request data in the closed area from the information stored in the correspondence information storage means, and the access request data in the closed area is determined based on the identification information. An external request data transmission unit according to the present invention is configured to transmit external access request data to a designated external device.

そして、HTTPS制御部22cは、送信したHTTPSリクエストに対応するHTTPSレスポンスをゲートウェイ専用セグメント30から受信すると、そのHTTPSレスポンスを、管理部22aを経由して、通信元となる利用者端末51に透過してプロキシ送信する。
したがって、HTTPS制御部22cは、外部アクセス要求データが送信された外部装置からの応答データを受信して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、応答データを送信する、本発明に係る応答データ送信手段を構成する。 When the HTTPS control unit 22c receives an HTTPS response corresponding to the transmitted HTTPS request from the gateway dedicated segment 30, the HTTPS control unit 22c transmits the HTTPS response to the user terminal 51 serving as a communication source via the management unit 22a. To proxy.
Accordingly, the HTTPS control unit 22c receives the response data from the external device to which the external access request data is transmitted, and transmits the response data to the internal device that has transmitted the access request data in the closed area designating the external device. The response data transmission means according to the present invention is configured.

[ゲートウェイ専用セグメント]
ゲートウェイ専用セグメント30は、認証DBサーバ31及びProxyサーバ32を備えている。
認証DBサーバ31は、上述した閉域網接続セグメント11の認証APサーバ21から送信される利用ステータス情報の取得要求に応じて、記憶・保持している利用ステータス情報を認証APサーバ21に送信する。
この利用ステータス情報については、上述したとおりである(図3(a)参照)。 [Gateway-dedicated segment]
The gateway dedicated segment 30 includes an authentication DB server 31 and a Proxy server 32.
The authentication DB server 31 transmits the usage status information stored and held to the authentication AP server 21 in response to the usage status information acquisition request transmitted from the authentication AP server 21 of the closed network connection segment 11 described above.
This usage status information is as described above (see FIG. 3A).

Proxyサーバ32は、閉域専用セグメント20のProxyサーバ22(HTTPS制御部22c)からHTTPSリクエストのトンネリング通信を受信し、そのHTTPSリクエストをトンネリング通信により公開専用セグメント40のProxyサーバ41に送信する。
また、Proxyサーバ32は、公開専用セグメント40のProxyサーバ41から外部APサーバ61のHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスをトンネリング通信により閉域専用セグメント20のProxyサーバ22(HTTPS制御部22c)に送信する。
したがって、このProxyサーバ32も、本発明に係る外部要求データ送信手段・応答データ送信手段を構成する。 The proxy server 32 receives the tunneling communication of the HTTPS request from the proxy server 22 (HTTPS control unit 22c) of the closed area dedicated segment 20, and transmits the HTTPS request to the proxy server 41 of the public dedicated segment 40 by the tunneling communication.
Further, the proxy server 32 receives the tunneling communication of the HTTPS response of the external AP server 61 from the proxy server 41 of the public dedicated segment 40, and transmits the HTTPS response to the proxy server 22 (HTTPS control unit 22c) of the closed dedicated segment 20 through the tunneling communication. ).
Therefore, this Proxy server 32 also constitutes external request data transmission means / response data transmission means according to the present invention.

[公開専用セグメント]
公開専用セグメント40は、Proxyサーバ41を備えている。
Proxyサーバ41は、上述した専用接続により、外部データセンタ60の外部APサーバ61と接続されている。
そして、Proxyサーバ41は、ゲートウェイ専用セグメント30のProxyサーバ32からHTTPSリクエストのトンネリング通信を受信し、そのHTTPSリクエストを、専用接続を介して、トンネリング通信により外部APサーバ61に送信する。
また、Proxyサーバ41は、外部APサーバ61からHTTPSレスポンスのトンネリング通信を受信し、そのHTTPSレスポンスをトンネリング通信によりゲートウェイ専用セグメント30のProxyサーバ32に送信する。
したがって、このProxyサーバ41も、本発明に係る外部要求データ送信手段・応答データ送信手段を構成する。 [Public-only segment]
The public dedicated segment 40 includes a proxy server 41.
The proxy server 41 is connected to the external AP server 61 of the external data center 60 through the dedicated connection described above.
Then, the proxy server 41 receives the tunneling communication of the HTTPS request from the proxy server 32 of the gateway dedicated segment 30, and transmits the HTTPS request to the external AP server 61 through the dedicated connection via the tunneling communication.
Further, the proxy server 41 receives the tunneling communication of the HTTPS response from the external AP server 61, and transmits the HTTPS response to the proxy server 32 of the gateway dedicated segment 30 by the tunneling communication.
Therefore, this Proxy server 41 also constitutes external request data transmission means / response data transmission means according to the present invention.

このように、データセンタ10の構成要素のうち、公開専用セグメント40のProxyサーバ41のみが外部AP61と接続され、外部APサーバ61(外部データセンタ60側)からは、Proxyサーバ41の存在のみが見え、他のデータセンタ10の構成(ゲートウェイ専用セグメント30・閉域専用セグメント20・閉域網接続セグメント11)も、LGWAN100も、LGWAN100に接続された利用者端末51の存在も、外部APサーバ61からは見えないようになっている。   As described above, only the proxy server 41 of the public dedicated segment 40 among the components of the data center 10 is connected to the external AP 61, and only the existence of the proxy server 41 from the external AP server 61 (external data center 60 side). It can be seen that the configuration of the other data center 10 (the gateway dedicated segment 30, the closed dedicated segment 20, the closed network connection segment 11), the LGWAN 100, the presence of the user terminal 51 connected to the LGWAN 100, It is invisible.

特に、データセンタ10の外部APサーバ61側は、公開専用セグメント40及びゲートウェイ専用セグメント30の複数のProxyサーバ41・32が多段に接続されており、データセンタ10側のLGWAN100側の閉域網接続セグメント11及び閉域専用セグメント20は、外部APサーバ61からは直接的に一切見えないようになっている。   In particular, on the external AP server 61 side of the data center 10, a plurality of proxy servers 41 and 32 of the public dedicated segment 40 and the gateway dedicated segment 30 are connected in multiple stages, and a closed network connection segment on the LGWAN 100 side on the data center 10 side. 11 and the closed area dedicated segment 20 cannot be directly seen from the external AP server 61.

なお、以上のような複数の中継サーバによる多段の接続は、本実施形態では、公開専用セグメント40及びゲートウェイ専用セグメント30の2つのProxyサーバ41・32による2段の接続としてあるが、これを3つ以上の中継サーバによる3段以上の接続とすることも勿論可能である。
また、外部APサーバ61等の外部装置から閉域ネットワーク内が直接的に「見えない」ようにするためには、外部装置側に少なくとも1つの中継サーバが存在していれば良いので、閉域ネットワークの規約や要請等によっては、外部装置側の中継サーバは1つ(1段)とすることも可能である。 The multi-stage connection by the plurality of relay servers as described above is a two-stage connection by the two proxy servers 41 and 32 of the public dedicated segment 40 and the gateway dedicated segment 30 in this embodiment. Of course, a connection of three or more stages by two or more relay servers is also possible.
Also, in order to make the inside of the closed network “invisible” directly from an external device such as the external AP server 61, it is sufficient that at least one relay server exists on the external device side. Depending on the rules and requests, the number of relay servers on the external device side can be one (one stage).

[動作]
次に、以上のような構成からなる本実施形態に係る閉域ネットワーク接続システム1における具体的な動作(閉域ネットワーク接続方法)について、図4を参照しつつ説明する。
図4は、本実施形態に係る閉域ネットワークシステム1における、閉域ネットワーク内の装置から外部ネットワーク上の装置への接続を行う場合の動作の一例を示すシーケンス図である。
まず、本実施形態に係る閉域ネットワーク接続システム1では、データセンタ10は、閉域ネットワークであるLGWAN100に対してアクセス・通信可能に接続が確立されている。 [Operation]
Next, a specific operation (closed network connection method) in the closed network connection system 1 according to the present embodiment configured as described above will be described with reference to FIG.
FIG. 4 is a sequence diagram illustrating an example of an operation in the closed network system 1 according to the present embodiment when a connection is made from a device in the closed network to a device on the external network.
First, in the closed network connection system 1 according to the present embodiment, the data center 10 is connected to the LGWAN 100, which is a closed network, so as to be accessible and communicable.

具体的には、データセンタ10は、閉域網接続セグメント11がLGWAN100と接続されており、閉域専用セグメント20・ゲートウェイ専用セグメント30・公開専用セグメント40の3セグメントのProxyサーバ22・32・41と専用線(専用接続)を経由することにより、閉域ネットワークであるLGWAN100と広域ネットワークであるインターネット上に接続された外部データセンタ(パブリッククラウド)60のサービス(外部APサーバ61)を接続する。
接続確立は、概要以下の4段階の処理を経て実行される。 Specifically, the data center 10 has a closed network connection segment 11 connected to the LGWAN 100, and is dedicated to three segments of proxy servers 22, 32, and 41, which are a dedicated segment 20, a gateway segment 30, and a public segment 40. By connecting the line (dedicated connection), the LGWAN 100 that is a closed network and the service (external AP server 61) of the external data center (public cloud) 60 connected to the Internet that is a wide area network are connected.
Connection establishment is performed through the following four steps.

(1)閉域ネットワークと閉域専用セグメント接続処理
閉域専用セグメント20のProxyサーバ22を用いて、利用者端末51からのリクエストを受け付ける。
(2)閉域専用セグメントとゲートウェイ専用セグメント接続処理
閉域専用セグメント20とゲートウェイ専用セグメント30を、Proxyサーバ22,32を用いて接続する。
(3)ゲートウェイ専用セグメントと公開専用セグメントの接続処理
ゲートウェイ専用セグメント30と公開専用セグメント40を、Proxyサーバ32,41を用いて接続する。
(4)公開専用セグメントと広域ネットワーク(パブリッククラウド等)
インターネット(VPN等)あるいは専用線(専用回線)を用いて、公開専用セグメント40と広域ネットワークのサービス(インターネット200上のパブリッククラウド等)を接続する。その後、公開専用セグメント40のProxyサーバ41を用いて、広域ネットワーク(パブリッククラウド等)のサービスからのレスポンスを受け付ける。
これによって、閉域ネットワーク(LGWAN100)と広域ネットワーク(インターネット200のパブリッククラウド)の接続が確立する。 (1) Closed Network and Closed Dedicated Segment Connection Processing A request from the user terminal 51 is received using the proxy server 22 of the closed dedicated segment 20.
(2) Closed area dedicated segment and gateway dedicated segment connection process The closed area dedicated segment 20 and the gateway dedicated segment 30 are connected using the proxy servers 22 and 32.
(3) Connection Process between Gateway Dedicated Segment and Public Dedicated Segment The gateway dedicated segment 30 and the public dedicated segment 40 are connected using the proxy servers 32 and 41.
(4) Public segment and wide area network (public cloud, etc.)
The public dedicated segment 40 is connected to a wide area network service (such as a public cloud on the Internet 200) using the Internet (VPN or the like) or a dedicated line (dedicated line). Thereafter, the proxy server 41 of the public dedicated segment 40 is used to receive a response from a service of a wide area network (public cloud or the like).
As a result, a connection between the closed network (LGWAN 100) and the wide area network (public cloud of the Internet 200) is established.

以下、図4を参照しつつ、上記4段階の接続処理の詳細を説明する。
(1)閉域ネットワークと閉域専用セグメント接続処理
まず、LGWAN100に接続された利用者端末51は、Webブラウザを起動して、所望の外部APサーバ61(外部データセンタ60)の接続認証要求を送信する(ステップ(1))。この接続認証要求は、LGWAN100・閉域網接続セグメント11を経て、閉域専用セグメント20の認証APサーバ21に送信される(ステップ(1))。
閉域専用セグメント20の認証APサーバ21は、上述した認証情報(ユーザID・パスワード)に基づく認証処理を行った上で、ゲートウェイ専用セグメント30の認証DBサーバ31に対して利用ステータス情報の取得処理要求を送信し、認証DBサーバ31から利用ステータス情報を取得する(ステップ(2))。この利用ステータス情報には、上述のとおり、利用者端末51のユーザ情報に対応した団体グローバルIPアドレス及び外部APサーバ61の接続先URLが含まれる(図3(a)参照)。 Hereinafter, the details of the above four-stage connection process will be described with reference to FIG.
(1) Closed network and closed area dedicated segment connection processing First, the user terminal 51 connected to the LGWAN 100 starts a Web browser and transmits a connection authentication request for a desired external AP server 61 (external data center 60). (step 1)). This connection authentication request is transmitted to the authentication AP server 21 of the closed dedicated segment 20 via the LGWAN 100 / closed network connection segment 11 (step (1)).
The authentication AP server 21 of the closed dedicated segment 20 performs an authentication process based on the above-described authentication information (user ID / password), and then requests the authentication DB server 31 of the gateway dedicated segment 30 to acquire usage status information. And the usage status information is acquired from the authentication DB server 31 (step (2)). As described above, the usage status information includes the group global IP address corresponding to the user information of the user terminal 51 and the connection destination URL of the external AP server 61 (see FIG. 3A).

次いで、閉域専用セグメント20の認証APサーバ21は、Proxyサーバ22のWebAPIを起動し、利用ステータス設定処理を要求する(ステップ(3))。利用ステータス設定処理の要求は、認証APサーバ21から、WebAPI22のサービス制御部22bに利用ステータス情報に含まれる団体グローバルIPアドレスが送信されることにより実行される。
WebAPI22は、サービス制御部22bが利用ステータス設定処理の要求を受信すると、ユーザ制御部22dのホワイトリストへの団体グローバルIPアドレスの登録及びステータスとなる開始フラグをTrueに設定する(図3(b)参照)。その後、ホワイトリストに登録されたことを示すステータスコードが認証APサーバ21に送信される(ステップ(4))。 Next, the authentication AP server 21 of the closed area dedicated segment 20 activates the Web API of the proxy server 22 and requests a usage status setting process (step (3)). The request for the usage status setting process is executed by transmitting the group global IP address included in the usage status information from the authentication AP server 21 to the service control unit 22 b of the Web API 22.
When the service control unit 22b receives the request for the usage status setting process, the Web API 22 registers the group global IP address in the white list of the user control unit 22d and sets a start flag that is a status to True (FIG. 3B). reference). Thereafter, a status code indicating that it is registered in the white list is transmitted to the authentication AP server 21 (step (4)).

認証APサーバ21は、WebAPI22からステータスコードを受信すると、利用者端末51のWebブラウザに、外部APサーバ61の接続先URLのリダイレクト要求を接続認証要求結果として送信する(ステップ(5))。
利用者端末51のWebブラウザは、認証APサーバ21から要求結果を受信すると、外部APサーバ61の接続先URLを含むHTTPSリクエストを生成し、閉域専用セグメント20のProxyサーバ22に送信する(ステップ(6))。このHTTPSリクエストには、ホワイトリストに登録された団体グローバルIPアドレスも含まれている。 When the authentication AP server 21 receives the status code from the Web API 22, it transmits a redirect request for the connection destination URL of the external AP server 61 to the Web browser of the user terminal 51 as a connection authentication request result (step (5)).
When receiving the request result from the authentication AP server 21, the Web browser of the user terminal 51 generates an HTTPS request including the connection destination URL of the external AP server 61 and transmits it to the proxy server 22 of the closed dedicated segment 20 (step ( 6)). This HTTPS request also includes a group global IP address registered in the white list.

閉域専用セグメント20のProxyサーバ22は、WebAPIを起動して、HTTPS制御部22cに対して、利用者端末51から送信されたHTTPSリクエストを透過プロキシにより送信し、HTTPSリクエストのステータスの確認処理を要求する(ステップ(7))。
WebAPI22のHTTPS制御部22cは、HTTPSステータス確認処理の要求を受信すると、ユーザ制御部22dに対してステータス確認を行い、設定されている情報(団体グローバルIPアドレス)が、利用者端末51から送信された団体グローバルIPアドレスと一致するか、開始フラグはTrueであるかの利用ステータスの接続条件の確認処理を実行し、確認処理結果情報としてステータスコード(例えば「正常:1」等)をHTTPS制御部22cへ送信する(ステップ(8))。
ここで、利用ステータスが確認されると、次段(2)・(3)・(4)の接続処理に移行する。 The proxy server 22 of the closed dedicated segment 20 activates the Web API, transmits the HTTPS request transmitted from the user terminal 51 to the HTTPS control unit 22c by the transparent proxy, and requests the status confirmation process of the HTTPS request. (Step (7)).
When the HTTPS control unit 22c of the Web API 22 receives the request for the HTTPS status check process, the HTTPS control unit 22c checks the status to the user control unit 22d, and the set information (organization global IP address) is transmitted from the user terminal 51. The connection condition of the use status is checked whether it matches the group global IP address or the start flag is True, and a status code (for example, “normal: 1”, etc.) is sent as the confirmation processing result information to the HTTPS control unit It transmits to 22c (step (8)).
Here, when the usage status is confirmed, the process proceeds to the connection processing of the next stage (2), (3), (4).

(2)閉域専用セグメントとゲートウェイ専用セグメント接続処理
WebAPI22は、HTTPSステータス確認処理の要求結果を受信すると、まず、前述の接続条件を満たさない場合には接続処理を拒否する。接続条件を満たす場合には、閉域専用セグメント20のProxyサーバ22にあらかじめ設定された対応情報(図3(c)参照)に基づき、HTTPSリクエストに含まれる接続先URLを、外部APサーバ61のグローバルIPアドレスに書き換えて、ゲートウェイ専用セグメント30のProxyサーバ32に、HTTPSリクエストをトンネリング通信により送信する(ステップ(9))。 (2) Closed area dedicated segment and gateway dedicated segment connection process Upon receiving the request result of the HTTPS status confirmation process, the Web API 22 first rejects the connection process when the above connection conditions are not satisfied. When the connection condition is satisfied, the connection destination URL included in the HTTPS request is set to the global information of the external AP server 61 based on the correspondence information (see FIG. 3C) set in advance in the proxy server 22 of the closed area dedicated segment 20. The IP address is rewritten and an HTTPS request is transmitted by tunneling communication to the proxy server 32 of the gateway dedicated segment 30 (step (9)).

(3)ゲートウェイ専用セグメントと公開専用セグメントの接続処理
ゲートウェイ専用セグメント30のProxyサーバ32は、HTTPSリクエストのトンネリング通信を受信すると、そのHTTPSリクエストをトンネリング通信により公開専用セグメント40のProxyサーバ41に送信する(ステップ(10))。
(4)公開専用セグメントと広域ネットワーク(パブリッククラウド等)
公開専用セグメント40のProxyサーバ41は、HTTPSリクエストのトンネリング通信を受信すると、そのHTTPSリクエストをトンネリング通信により外部APサーバ61に送信する(ステップ(11))。 (3) Connection Process of Gateway Dedicated Segment and Public Dedicated Segment When the proxy server 32 of the gateway dedicated segment 30 receives the tunneling communication of the HTTPS request, it transmits the HTTPS request to the proxy server 41 of the public dedicated segment 40 by the tunneling communication. (Step (10)).
(4) Public segment and wide area network (public cloud, etc.)
When the proxy server 41 of the public dedicated segment 40 receives the tunneling communication of the HTTPS request, it transmits the HTTPS request to the external AP server 61 by the tunneling communication (step (11)).

以上により、利用者端末51から送信されたHTTPSリクエストは、外部APサーバ61に送信され、外部APサーバ61からは、HTTPSレスポンスがトンネリング通信により送信され、上記ステップ(6)〜(11)と逆の手順(処理)を経て、利用者端末51に送信される(図4参照)。
このようにして、LGWAN100内の利用者端末51と、インターネット200上の外部APサーバ61とは、データセンタ10の閉域専用セグメント20・ゲートウェイ専用セグメント30・公開専用セグメント40の3セグメントのProxyサーバと専用線(専用接続)を経由することにより接続される。
これにより、利用者端末51のユーザは、インターネット200上で提供されるパブリッククラウドのアプリケーション・サービスを、LGWAN100内のアプリケーション・サービスとして透過的に利用することができるようになる。 As described above, the HTTPS request transmitted from the user terminal 51 is transmitted to the external AP server 61, and the HTTPS response is transmitted from the external AP server 61 through the tunneling communication, which is the reverse of the above steps (6) to (11). Is transmitted to the user terminal 51 (see FIG. 4).
In this way, the user terminal 51 in the LGWAN 100 and the external AP server 61 on the Internet 200 are the three-segment proxy server of the closed center segment 20, the gateway dedicated segment 30, and the public dedicated segment 40 of the data center 10. Connected via a dedicated line (dedicated connection).
As a result, the user of the user terminal 51 can transparently use the public cloud application service provided on the Internet 200 as the application service in the LGWAN 100.

また、外部APサーバ61を提供するASP提供事業者にとっても、データセンタ10との専用接続を締結・確立するのみでLGWAN100内の利用者端末51へのサービス提供が可能となり、LGWAN100に接続するための厳格な申請・契約手続や、規約やプロトコルに従った接続・認証用の装置・機器等の調達・設置等が不要となり、容易かつ低コストに、閉域ネットワークであるLGWAN100への接続・アクセス環境を実現することが可能となる。
また、LGWAN100内の利用者端末51からのアクセス要求は、認証アクセス制御により、ホワイトリストに登録された団体(自治体)単位や、ユーザID単位に認証を行って、LGWAN100外の広域ネットワーク(パブリッククラウド等)の外部APサーバに接続することができるので、例えば利用者端末51のユーザの所属や職務・職域・職位・権限等に応じて、利用可能な接続先やアプリケーション等を制御(許可・制限)でき、セキュリティや利便性の高いASPサービスが実現されるようになる。 In addition, an ASP provider that provides the external AP server 61 can provide a service to the user terminal 51 in the LGWAN 100 only by establishing and establishing a dedicated connection with the data center 10, and is connected to the LGWAN 100. Connection and access environment to LGWAN100, which is a closed network, easily and at low cost, without the need for rigorous application / contract procedures and procurement / installation of devices / equipment for connection / authentication according to the rules and protocols Can be realized.
Further, the access request from the user terminal 51 in the LGWAN 100 is authenticated by the group (local government) registered in the white list or the user ID by the authentication access control, and the wide area network (public cloud) outside the LGWAN 100 is authenticated. For example, depending on the affiliation of the user of the user terminal 51 and the job / job / job level / authority, etc., the available connection destinations and applications are controlled (permitted / restricted). As a result, an ASP service with high security and convenience can be realized.

以上説明したように、本実施形態に係る閉域ネットワーク接続システム1によれば、外部のネットワークと遮断された閉域ネットワークであるLGWAN100に対して、インターネット200などの外部ネットワークに接続された外部データセンタ60の接続が可能となり、専用の接続機器や手続などを必要とすることなく、LGWAN100と外部データセンタ60との接続を確立することができるようになる。
したがって、アプリケーション等の提供サービスを行う事業者が、LGWANなどの閉域ネットワークに接続してASPの提供を行う場合に最適なネットワーク接続環境を提供することができる。 As described above, according to the closed network connection system 1 according to the present embodiment, the external data center 60 connected to an external network such as the Internet 200 with respect to the LGWAN 100 that is a closed network blocked from the external network. The connection between the LGWAN 100 and the external data center 60 can be established without requiring dedicated connection devices or procedures.
Therefore, it is possible to provide an optimal network connection environment when a provider that provides a service such as an application provides an ASP by connecting to a closed network such as LGWAN.

また、本実施形態の閉域ネットワークシステム1によれば、閉域網(LGWAN)からセキュリティ連携基盤を通して、安心・安全に広域網(インターネット)の各種クラウドサービスを利用可能な環境を実現できるため、基盤の拡張メリットに優れ、このメリットを活用して、更なるシステムの効率化、クラウドサービスを組み合わせた付加価値の高いシステム・サービスを、ユーザとなる地方公共団体やASP提供事業者等のニーズに即した内容を、各ユーザのガバナンスを確保しつつ実現することができる。
さらに、本実施形態の閉域ネットワークシステム1によれば、例えば官民連携事業など、自治体・地方公共団体と地域の住民・来訪者・事業者等とをつなぐ共同利用システムとして有用なコンテンツ提供も可能となる。 In addition, according to the closed network system 1 of the present embodiment, it is possible to realize an environment in which various cloud services of the wide area network (Internet) can be used safely and securely from the closed network (LGWAN) through the security cooperation infrastructure. Excellent expansion merit. Utilizing this merit, further system efficiency and high value-added system services combined with cloud services are in line with the needs of local governments and ASP providers who are users. The content can be realized while ensuring the governance of each user.
Furthermore, according to the closed network system 1 of the present embodiment, it is possible to provide useful content as a joint use system that links local governments / local public bodies and local residents / visitors / businesses, such as public-private partnerships. Become.

以上、本発明について、好ましい実施形態を示して説明したが、本発明は、上述した実施形態に限定されるものではなく、本発明の範囲で種々の変更実施が可能であることは言うまでもない。
例えば、上述した実施形態では、本発明の適用対象となる閉域ネットワークとして、LGWAN(総合行政ネットワーク)を例にとって説明したが、本発明の対象となる閉域ネットワークとしては、特にLGWANに限定されるものではない。
外部のネットワークと遮断された閉域ネットワーク(閉域網)に対して、インターネットなどの外部ネットワーク(広域網)からの接続を可能とする必要がある限り、閉域ネットワークの構成や用途・機能等は特に限定されず、例えば、住民基本台帳ネットワークシステム(住基ネット)、企業・組織のLANやWANなど、任意の閉域ネットワークについて、本発明を適用することができる。 While the present invention has been described with reference to the preferred embodiment, it is needless to say that the present invention is not limited to the above-described embodiment, and various modifications can be made within the scope of the present invention.
For example, in the above-described embodiments, the LGWAN (general administrative network) has been described as an example of the closed network to which the present invention is applied. However, the closed network that is the target of the present invention is particularly limited to the LGWAN. is not.
As long as it is necessary to enable connection from an external network (wide area network) such as the Internet to a closed network (closed network) that is blocked from an external network, the configuration, usage, and functions of the closed network are particularly limited. However, the present invention can be applied to an arbitrary closed network such as a basic resident register network system (Juki Net), a company / organization LAN, or a WAN.

本発明は、例えばLGWANや住基ネット、企業・組織のLANやWANなど、外部のネットワークと遮断された閉域ネットワークに対してインターネットなどの外部ネットワーク(広域網)からの接続を可能とするためのネットワーク接続技術として好適に利用可能である。   The present invention is to enable connection from an external network (wide area network) such as the Internet to a closed network blocked from an external network such as LGWAN, Juki Net, company / organization LAN, and WAN. It can be suitably used as a network connection technique.

1 閉域ネットワーク接続システム
10 データセンタ(閉域ネットワーク接続装置)
11 閉域網接続セグメント
20 閉域専用セグメント
21 認証APサーバ
22 Proxyサーバ(WebAPI)
30 ゲートウェイ専用セグメント
31 認証DBサーバ
32 Proxyサーバ
40 閉域専用セグメント
41 Proxyサーバ
50 地方公共団体
51 利用者端末(Webブラウザ)
60 外部データセンタ(パブリッククラウド)
61 外部APサーバ
100 LGWAN(閉域ネットワーク)
200 インターネット(外部ネットワーク) 1 Closed network connection system 10 Data center (closed network connection device)
11 Closed network connection segment 20 Closed dedicated segment 21 Authentication AP server 22 Proxy server (WebAPI)
30 Dedicated segment for gateway 31 Authentication DB server 32 Proxy server 40 Dedicated segment for closed area 41 Proxy server 50 Local government 51 User terminal (Web browser)
60 External data center (public cloud)
61 External AP server 100 LGWAN (closed network)
200 Internet (external network)

Claims (4)

外部ネットワークとの接続が遮断された閉域ネットワーク内の内部装置と、外部ネットワークに接続された外部装置とを接続するための閉域ネットワーク接続装置であって、
第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントは、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段を備え
前記第二セグメントは、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段を備え
前記第一セグメントは、
前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信し、
前記第二セグメントは、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信し、
前記第三セグメントは、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段と、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段と、を備え
前記外部ネットワークに接続された外部装置は、前記第三セグメントとのみ接続され、
閉域ネットワーク内の内部装置は、前記第一セグメントとのみ接続され、
前記外部装置が、前記第二セグメント,前記第一セグメント及び前記内部装置に接続されることがない
ことを特徴とする閉域ネットワーク接続装置。 A closed network connection device for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network,
Having at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network, not connected to the first segment and the closed network,
The first segment is
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network comprising a closed the access request data receiving means for,
The second segment is
Corresponding information storage means for storing the access request data in the closed area and the identification information in the external network of the external device specified by the access request data in the closed area,
The first segment is
Extracting the identification information of the external device designated by the in-closed area access request data from the information stored in the correspondence information storage means, and transmitting the identification information to the second segment,
The second segment is
Transmitting the identification information transmitted from the first segment to the third segment;
The third segment is
Based on the identification information transmitted from the second segment, external request data transmission means for transmitting external access request data to an external device designated by the in-closed area access request data;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment Response data transmission means for transmitting the response data ,
The external device connected to the external network is connected only to the third segment,
Internal devices in the closed network are connected only with the first segment,
The closed network connection device , wherein the external device is not connected to the second segment, the first segment, and the internal device. 前記内部装置の識別情報と、当該内部装置が指定可能な前記外部装置の識別情報を、認証情報として対応付けて記憶する認証情報記憶手段を備え、
前記外部要求データ送信手段は、
前記認証情報が記憶されている前記内部装置からの、当該内部装置が指定可能な前記外部装置を指定した前記閉域内アクセス要求データのみについて、当該閉域内アクセス要求データが指定する前記外部アクセス要求データを送信する
ことを特徴とする請求項1記載の閉域ネットワーク接続装置。 Authentication information storage means for storing the identification information of the internal device and the identification information of the external device that can be specified by the internal device in association with each other as authentication information;
The external request data transmission means includes
The external access request data specified by the in-closed area access request data for only the in-closed area access request data specifying the external apparatus that can be specified by the internal apparatus from the internal apparatus in which the authentication information is stored The closed network connection device according to claim 1, wherein: 外部ネットワークとの接続が遮断された閉域ネットワーク内の内部装置と、外部ネットワークに接続された外部装置とを接続するための閉域ネットワーク接続装置を構成するコンピュータを機能させるプログラムであって、
前記コンピュータが、第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され、前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントを、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手段として機能させ
前記第二セグメントを、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて記憶した対応情報記憶手段として機能させ
前記第一セグメントに、
前記対応情報記憶手段に記憶された情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信させ、
前記第二セグメントに、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信させ、
前記第三セグメントを、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手段、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手段、として機能させ
前記外部ネットワークに接続された外部装置を、前記第三セグメントとのみ接続させ、
閉域ネットワーク内の内部装置を、前記第一セグメントとのみ接続させ、
前記外部装置を、前記第二セグメント,前記第一セグメント及び前記内部装置に接続させない
ことを特徴とする閉域ネットワーク接続プログラム。 A program for functioning a computer constituting a closed network connection device for connecting an internal device in a closed network that is disconnected from an external network and an external device connected to the external network ,
The computer has at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network, not connected to the first segment and the closed network,
The first segment,
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network Function as a closed area access request data receiving means,
The second segment,
Functioning as correspondence information storage means for storing the intra-closed area access request data and the identification information in the external network of the external device specified by the intra-closed area access request data,
In the first segment,
Extracting the identification information of the external device designated by the in-closed area access request data from the information stored in the correspondence information storage means, causing the identification information to be transmitted to the second segment,
In the second segment,
Transmitting the identification information transmitted from the first segment to the third segment;
The third segment,
External request data transmission means for transmitting external access request data to an external device designated by the in-closed access request data based on the identification information transmitted from the second segment ;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment To function as response data transmitting means for transmitting the response data ,
An external device connected to the external network is connected only to the third segment,
An internal device in the closed network is connected only to the first segment;
A closed network connection program , wherein the external device is not connected to the second segment, the first segment, and the internal device . プログラムされたコンピュータによって、外部ネットワークとの接続が遮断された閉域ネットワーク内の内部装置と、外部ネットワークに接続された外部装置とを接続する方法であって、
コンピュータが、
第一セグメント,第二セグメント,第三セグメントの少なくとも三つのセグメントを有し、
前記第一セグメントは、閉域網接続セグメントを経由して前記閉域ネットワーク及び前記第二セグメントに接続され、前記第三セグメント及び前記外部ネットワークに接続されず、
前記第二セグメントは、前記第一セグメント及び前記第三セグメントに接続され、前記閉域ネットワーク及び前記外部ネットワークに接続されず、
前記第三セグメントは、前記第二セグメント及び前記外部ネットワークに接続され前記第一セグメント及び前記閉域ネットワークに接続されず、
前記第一セグメントが、
前記閉域ネットワーク内の内部装置から送信される、前記外部ネットワークに接続された所定の外部装置を指定した、当該外部装置の前記外部ネットワークにおける識別情報とは異なる情報からなる閉域内アクセス要求データを受信する閉域内アクセス要求データ受信手順、
前記閉域内アクセス要求データと、当該閉域内アクセス要求データが指定する前記外部装置の前記外部ネットワークにおける識別情報とを対応付けて前記第二セグメントに記憶された対応情報から、前記閉域内アクセス要求データが指定する外部装置の前記識別情報を抽出し、当該識別情報を前記第二セグメントに送信する手順、を実行し、
前記第二セグメントが、
前記第一セグメントから送信された前記識別情報を前記第三セグメントに送信する手順、を実行し、
前記第三セグメントが、
前記第二セグメントから送信された前記識別情報に基づいて、前記閉域内アクセス要求データが指定する外部装置に外部アクセス要求データを送信する外部要求データ送信手順、
前記外部アクセス要求データが送信された外部装置からの応答データを受信して、前記第二セグメント及び前記第一セグメントを経由して、当該外部装置を指定した閉域内アクセス要求データを送信した内部装置に、前記応答データを送信する応答データ送信手順、とを実行し、
前記外部ネットワークに接続された外部装置を、前記第三セグメントとのみ接続させ、
閉域ネットワーク内の内部装置を、前記第一セグメントとのみ接続させ、
前記外部装置を、前記第二セグメント,前記第一セグメント及び前記内部装置に接続させない
ことを特徴とする閉域ネットワーク接続方法。 A method of connecting an internal device in a closed network that is disconnected from an external network by a programmed computer and an external device connected to the external network,
Computer
Having at least three segments: a first segment, a second segment, and a third segment;
The first segment is connected to the closed network and the second segment via a closed network connection segment, not connected to the third segment and the external network,
The second segment is connected to the first segment and the third segment, not connected to the closed network and the external network,
The third segment is connected to the second segment and the external network and is not connected to the first segment and the closed network;
The first segment is
Received in-closed access request data that is transmitted from an internal device in the closed network and that designates a predetermined external device connected to the external network and that is different from the identification information of the external device in the external network In-close access request data reception procedure,
From the correspondence information stored in the second segment by associating the access request data in the closed area with the identification information in the external network of the external device specified by the access request data in the closed area, the access request data in the closed area To extract the identification information of the external device specified by, and send the identification information to the second segment,
The second segment is
Performing the procedure of transmitting the identification information transmitted from the first segment to the third segment;
The third segment is
An external request data transmission procedure for transmitting external access request data to an external device designated by the in-closed access request data based on the identification information transmitted from the second segment ;
An internal device that has received response data from an external device to which the external access request data has been transmitted, and has transmitted in-closed access request data designating the external device via the second segment and the first segment the response data transmitting step of transmitting the response data, run the city,
An external device connected to the external network is connected only to the third segment,
An internal device in the closed network is connected only to the first segment;
A closed network connection method , wherein the external device is not connected to the second segment, the first segment, and the internal device .
JP2017030418A 2017-02-21 2017-02-21 Closed network connection device, program, and method Active JP6225283B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017030418A JP6225283B1 (en) 2017-02-21 2017-02-21 Closed network connection device, program, and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017030418A JP6225283B1 (en) 2017-02-21 2017-02-21 Closed network connection device, program, and method

Publications (2)

Publication Number Publication Date
JP6225283B1 true JP6225283B1 (en) 2017-11-01
JP2018137591A JP2018137591A (en) 2018-08-30

Family

ID=60214002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017030418A Active JP6225283B1 (en) 2017-02-21 2017-02-21 Closed network connection device, program, and method

Country Status (1)

Country Link
JP (1) JP6225283B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005004631A (en) * 2003-06-13 2005-01-06 Nippon Telegr & Teleph Corp <Ntt> Web-assisted learning support method by web resource reorganization, web resource reorganization device, and program
JP2006011601A (en) * 2004-06-23 2006-01-12 Hitachi Ltd Electronic application support method, electronic application support system and electronic application support program
JP2012203719A (en) * 2011-03-25 2012-10-22 Fuji Xerox Co Ltd Information processing device, program, and information processing system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005004631A (en) * 2003-06-13 2005-01-06 Nippon Telegr & Teleph Corp <Ntt> Web-assisted learning support method by web resource reorganization, web resource reorganization device, and program
JP2006011601A (en) * 2004-06-23 2006-01-12 Hitachi Ltd Electronic application support method, electronic application support system and electronic application support program
JP2012203719A (en) * 2011-03-25 2012-10-22 Fuji Xerox Co Ltd Information processing device, program, and information processing system

Also Published As

Publication number Publication date
JP2018137591A (en) 2018-08-30

Similar Documents

Publication Publication Date Title
KR102472362B1 (en) Internet Of Things Device Control System and Method Based On Block Chain
EP1998506B1 (en) Method for controlling the connection of a virtual network
JP5333263B2 (en) Access control system and access control method
KR100953805B1 (en) Virtual private network structures reuse for mobile computing devices
TWI545446B (en) A method and system for use with a public cloud network
CN108881308B (en) User terminal and authentication method, system and medium thereof
US11196797B2 (en) Transferring files between computer nodes on different networks
JP7093531B2 (en) Systems and methods for managing payment terminals via a web browser
CN102577303A (en) Systems and methods for generating a dns query to improve resistance against a dns attack
KR20080026161A (en) Unified architecture for remote network access
CN110401641B (en) User authentication method and device and electronic equipment
CN103973785B (en) A kind of log read system and method based on P2P
CN106844489A (en) A kind of file operation method, device and system
JP5122587B2 (en) Connection control method, connection control server device, connection control client device, connection control system, and program
US20180007026A1 (en) Network monitoring method and device
CN105247832A (en) Method and apparatus for integrating security context in network routing decisions
CN110971434B (en) Method, device and system for managing intranet network equipment
CN109548022A (en) Method for mobile terminal user to remotely access local network
CN115462108A (en) Password-free wireless authentication
CN114025009B (en) Method, system, proxy server and device for forwarding request
US20210281994A1 (en) Roaming among different types of networks
US20150047009A1 (en) Access control method, access control system and access control device
WO2023138335A1 (en) Differentiated control method and apparatus for user terminal, and related device
JP6225283B1 (en) Closed network connection device, program, and method
CN110213769B (en) Intranet access method and related device

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171006

R150 Certificate of patent or registration of utility model

Ref document number: 6225283

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250