Двунаправленный шлюз с улучшенным уровнем защиты

Настоящее изобретение относится к защищенному шлюзу, обеспечивающему двустороннюю связь между двумя сетями связи, при этом первая сеть имеет высокий уровень защиты, а вторая сеть имеет более низкий уровень защиты.

На фиг.1 показана общая архитектура системы, в которой действует изобретение. Шлюз 1.1 соединяет первую сеть 1.2 со второй сетью 1.3. В контексте настоящего изобретения эти две сети имеют разный уровень защиты. Термин "сеть" используется для обозначения сети связи или по существу набора соединенных элементов оборудования, которые способны осуществлять связь друг с другом. Уровень защиты означает все рабочие правила и ограничения, налагаемые на сеть для того, чтобы обеспечить прохождение по этой сети только ожидаемых потоков данных для того, чтобы эти потоки проходили между ожидаемыми элементами оборудования и чтобы они не могли быть перехвачены несанкционированным оборудованием. Когда сети, имеющие различные уровни защиты, общаются друг с другом, необходимо гарантировать, чтобы сеть с более высоким уровнем защиты не могла быть повреждена атаками, исходящими из сети с меньшим уровнем защиты. В некоторых ситуациях, в которых требуется высокий уровень защиты, эта гарантия должна быть очень высокой или даже абсолютной. Один из примеров такой ситуации относится к авионике, в которой сеть передачи данных, связывающая контрольно-измерительные приборы самолета, должна гарантированно обеспечивать очень высокий уровень защиты, особенно во время полета. Однако выгодно подключить эту сеть с повышенным уровнем защиты к сети с более низким уровнем защиты, помимо прочего, для того, чтобы извлекать данные, относящиеся к различным параметрам полета, в процессе технического обслуживания. Кроме того, во время полета предпочтительно предоставлять в пассажирскую сеть информацию о полете в реальном времени.

Известны конструкции однонаправленных шлюзов между двумя сетями, имеющими различные уровни защиты. В этом случае шлюз позволяет передавать данные из сети с более высоким уровнем защиты в сеть с низким уровнем защиты. Однонаправленность может быть обеспечена даже на физическом уровне связи, например использованием диода, описанного в заявке на патент FR 2862399. Такой тип шлюза гарантирует невозможность создания угрозы для сети с высоким уровнем защиты вследствие атаки, исходящей из сети с низким уровнем защиты.

Однако для обеспечения возможности функционирования определенных приложений необходимо осуществлять передачу информации из сети с низким уровнем защиты в сеть с высоким уровнем защиты. Иногда речь идет о простых командах.

Кроме того, предпочтительно иметь доступные механизмы контроля потока данных во время передачи данных с уровня с высокой защитой на уровень с низкой защитой. Для контроля потока данных необходима возможность посылать информацию назад к источнику передачи, а следовательно из сети с низким уровнем защиты в сеть с высоким уровнем защиты. Однако желательно поддерживать уровень защиты на очень высоком уровне. Поэтому необходимо обеспечить контроль информации, возвращающейся из сети с низким уровнем защиты в сеть с высоким уровнем защиты. Этот контроль должен обеспечивать очень высокий уровень защиты.

В таких случаях общепринятым решением является создание шлюзов с помощью межсетевого экрана. Эти межсетевые экраны организуют фильтрацию данных, циркулирующих через шлюз. Такие фильтрации выполняют в соответствии с используемыми протоколами связи, адресами и количеством портов, участвующих в связи. Однако уровень защиты, обеспечиваемый таким сетевым экраном, не достаточен в некоторых ситуациях, когда потребность в защите особенно высока. Предпочтительно повысить уровень защиты такого шлюза, чтобы гарантировать уровень защиты, близкий к уровню защиты, обеспечиваемому однонаправленным шлюзом.

Настоящее изобретение предлагает двунаправленный шлюз с улучшенным уровнем защиты между сетью связи с высоким уровнем защиты и сетью связи с низким уровнем защиты. С этой целью обратный тракт из сети с низким уровнем защиты в сеть с высоким уровнем защиты включает низкоскоростную линию. Физический уровень этой низкоскоростной линии отличается от физических уровней как сети с высоким уровнем защиты, так и сети с низким уровнем защиты. Эта низкоскоростная линия предоставляется на канальном уровне в соответствии с протоколом, который отличается от протоколов, используемых в уровнях связи как в сети с высоким уровнем защиты, так и в сети с низким уровнем защиты. Предпочтительно, чтобы канальный уровень для низкоскоростной линии имел протокол аутентификации, гарантирующий подлинность данных.

Шлюз согласно настоящему изобретению обеспечивает высокий уровень защиты на основе простых механизмов, которые легко сертифицировать. Поэтому он может использоваться в приложениях, для которых необходим высокий уровень защиты, гарантированный поставщиком решений.

Изобретение относится к устройству (2.1), предназначенному для соединения по меньшей мере двух сетей связи, путем соединения первой сети, называемой сетью с высоким уровнем защиты, и по меньшей мере одной второй сети, называемой сетью с низким уровнем защиты, и содержащему первый интерфейс (2.11) связи с сетью с высоким уровнем защиты; второй интерфейс (2.12) связи с сетью с низким уровнем защиты; модуль (2.3) маршрутизации, соединенный с первым интерфейсом; модуль (2.8) адаптации, соединенный со вторым интерфейсом; однонаправленный тракт (2.4, 2.6), называемый нисходящим трактом, между модулем (2.3) маршрутизации и модулем (2.8) адаптации, предназначенный для передачи данных из модуля (2.3) маршрутизации в модуль (2.8) адаптации, и однонаправленный тракт (2.5, 2.7, 2.8), называемый обратным трактом, между модулем (2.8) адаптации и модулем (2.3) маршрутизации, предназначенный для передачи данных из модуля (2.8) адаптации в модуль (2.3) маршрутизации, при этом все передачи данных между первым интерфейсом (2.11) и вторым интерфейсом (2.12) обязательно проходят через эти два однонаправленных тракта.

Согласно одному из вариантов осуществления настоящего изобретения, указанное устройство также включает средство (2.6), гарантирующее на физическом уровне однонаправленность нисходящего тракта.

Согласно еще одному варианту осуществления настоящего изобретения, устройство также включает средство (2.10) уменьшения скорости по меньшей мере для части обратного тракта относительно скорости интерфейсов указанного устройства, с формированием, таким образом, низкоскоростной линии.

Согласно еще одному варианту осуществления настоящего изобретения, низкоскоростная линия (2.10) является последовательной линией.

Согласно еще одному варианту осуществления настоящего изобретения, указанное устройство содержит в обратном тракте межсетевой экран (2.7), предназначенный для фильтрации данных, идущих по обратному тракту.

Согласно еще одному варианту осуществления настоящего изобретения, указанное устройство также включает средства (2.8) форматирования данных, передаваемых по обратному тракту, до низкоскоростной линии, согласно протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства, и средства (2.5) восстановления данных, передаваемых по обратному тракту, после низкоскоростной линии, из данных, отформатированных согласно вышеуказанному протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства.

Согласно еще одному варианту осуществления настоящего изобретения, указанный протокол связи, отличающийся от протоколов связи, используемых для связи в интерфейсах указанного устройства, использует пакеты данных, включающие метку (3.1), которая идентифицирует тип данных, при этом указанный межсетевой экран включает средства фильтрации пакетов согласно списку санкционированных меток.

Согласно еще одному варианту осуществления настоящего изобретения, для каждой метки задана максимальная скорость передачи, при этом межсетевой экран (2.7) включает средства для проверки скорости передачи для пакетов, соответствующих каждой метке, и для отклонения пакетов, соответствующих данной метке, если эта скорость превышена.

Согласно еще одному варианту осуществления настоящего изобретения, для указанного устройства задано несколько режимов работы, при этом список санкционированных меток зависит от режима работы устройства.

Согласно еще одному варианту выполнения настоящего изобретения, все данные, передаваемые по обратному тракту, имеют криптографическую подпись посредством механизма асимметричного ключа, при этом указанное устройство включает также криптографические средства (2.5), предназначенные для проверки подлинности источника данных.

Согласно еще одному варианту выполнения настоящего изобретения, все данные, передаваемые по обратному каналу, шифруются посредством механизма ассиметричного ключа, при этом устройство включает также криптографические средства (2.5), для дешифрования переданных данных.

Кроме того, настоящее изобретение относится к способу управления потоком данных для пакетной передачи данных в пределах устройства по одному из пп.10 или 11, включающему для каждого пакета данных шаг передачи пакета данных модулем маршрутизации, включающий:

- шаг подготовки подписанного пакета, называемого пакетом Ok;

- шаг подготовки подписанного пакета, называемого пакетом Ko;

- шаг совместной передачи пакета данных и и пакетов Ok и Ko по нисходящему тракту;

и шаг приема модулем адаптации, включающий:

- шаг проверки корректности передачи пакета данных;

- если передача произошла корректно, шаг передачи по обратному тракту пакета Ok;

- если передача произошла некорректно, шаг передачи по обратному тракту пакета Ko.

Согласно одному из вариантов осуществления настоящего изобретения, предлагаемый способ включает также шаг периодической передачи по нисходящему тракту модулем маршрутизации подписанного пакета, называемого пакетом МОР, в случае отсутствия приема по обратному тракту в течение заданного времени и шаг передачи по обратному тракту любого пакета NОР, полученного модулем адаптации по нисходящему тракту.

Вышеуказанные и другие признаки настоящего изобретения станут понятнее из последующего описания, приведенного для примера варианта выполнения настоящего изобретения со ссылками на чертежи, где:

на фиг.1 показана общая архитектура системы, в которой применимо настоящее изобретение;

на фиг.2 показана архитектура примера варианта осуществления настоящего изобретения;

на фиг.3 показана форма пакета данных, идущего по низкоскоростной линии, в примере варианта осуществления настоящего изобретения;

на фиг.4 показана работа межсетевого экрана в примере варианта осуществления настоящего изобретения;

на фиг.5 показана работа механизма квитирования в примере варианта выполнения настоящего изобретения.

На фиг.2 показана архитектура шлюза согласно примеру варианта осуществления настоящего изобретения. Шлюз 2.1 содержит так называемую конфиденциальную зону 2.2. Эта конфиденциальная зона обеспечивает уровень защиты сети с высоким уровнем защиты, подключенной к интерфейсу 2.11 связи. Сеть с низким уровнем защиты подключена к интерфейсу 2.12 связи. Внешние интерфейсы 2.11 и 2.12 связи шлюза являются стандартными интерфейсами, например интерфейсами Ethernet, выполненными согласно стандарту 802.3 IEEE (Институт инженеров по электротехнике и электронике). Эти интерфейсы обеспечивают связь согласно IP протоколу (Интернет-протокол, определенный стандартом RFC 791). Этот шлюз в конфиденциальной зоне содержит модуль 2.3 маршрутизации, отвечающий за управление соединительной линией с сетью с высоким уровнем защиты. Этот модуль маршрутизации подключен к двум однонаправленным трактам: так называемому нисходящему тракту, по которому идет трафик из сети с высоким уровнем защиты в сеть с низким уровнем защиты, и так называемому обратному тракту, по которому идет трафик из сети с низким уровнем защиты в сеть с высоким уровнем защиты. Модуль 2.8 адаптации обеспечивает соединительную линию между сетью 2.12 с низким уровнем защиты и двумя однонаправленными каналами. Весь трафик данных между сетью с высоким уровнем защиты и сетью с низким уровнем защиты обязательно проходит через эти два однонаправленных канала. Не существует никакого другого тракта, по которому данные могут пройти через шлюз.

Нисходящий тракт включает модуль 2.4 управления трактом, называемый модулем DMZ-out (выход из «демилитаризованной зоны»). Данные, идущие по этому нисходящему тракту, предпочтительно проходят через диод 2.6, который на физическом уровне гарантирует отсутствие какой-либо передачи данных по нисходящему тракту в обратном направлении. С помощью этого диода обеспечивается полная защита нисходящего тракта.

Обратный тракт включает специальную линию 2.10 связи, называемую низкоскоростной линией. Эта низкоскоростная линия 2.10 осуществляет связь между модулем 2.8 адаптации и межсетевым экраном 2.7, ответственным за фильтрацию данных, которые идут по низкоскоростной линии 2.10. Этими данными, после их фильтрации межсетевым экраном 2.7, управляет второй модуль 2.5 управления трактом, называемый модулем DMZ-in (вход в «демилитаризованную зону»), прежде, чем эти данные передаются в модуль 2.3 маршрутизации для передачи их в сеть с высоким уровнем защиты. При необходимости к модулю DMZ-in управления трактом может быть подключен считыватель 2.9 медиаданных.

Один из аспектов защиты шлюза обусловлен физическим разделением нисходящей связи и обратной связи. Это разделение связи на два однонаправленных тракта допускает различный контроль связи в этих двух трактах. Это происходит потому, что нисходящие данные, идущие из сети с высоким уровнем защиты, не требуют тщательного контроля, поскольку предполагается, что они безопасны, в то время как обратные данные являются подозрительными данными, для которых требуется тщательный контроль с целью снижения риска нарушения работы сети с высоким уровнем защиты.

Как было сказано, нисходящий тракт предпочтительно защищен на физическом уровне диодом, предотвращающим любую обратную передачу информации. В этом случае уровень защиты шлюза, а следовательно и сети с высоким уровнем защиты, будет зависеть от уровня контроля информации, идущей по обратному тракту. Поэтому именно механизмы контроля, используемые для контроля обратного тракта, определяют службы, которые могут использоваться посредством шлюза, и их уровень защиты. Механизмы управления низкоскоростной линией 2.10 и межсетевым экраном 2.7 преимущественно реализованы в одной и той же программируемой логической схеме.

Один из аспектов контроля обратной линии относится к характеристикам так называемой низкоскоростной линии 2.10 между модулем 2.8 адаптации и межсетевым экраном 2.7. Эта линия называется низкоскоростной, поскольку она выполнена так, чтобы гарантировать низкую скорость передачи данных. Это сделано потому, что низкая скорость, обычно приблизительно несколько килобайтов в секунду, делает любую так называемую грубую атаку, включающую большое количество попыток, а следовательно и запросов на прохождение через шлюз, очень маловероятной. Для построения низкоскоростной линии 2.10 предпочтительно используют последовательную линию, но можно также использовать ARINC 429, шину CAN или дискретную линию. Эта последовательная линия гарантирует физически, а следовательно с надежной защитой, уменьшенную скорость в обратном тракте по сравнению со скоростью, используемой как в сети с высоким уровнем защиты, так и с сети с низким уровнем защиты, которые обычно функционируют на физических линиях Ethernet со скоростью приблизительно десять или даже сто мегабайтов в секунду. Поэтому между максимальной скоростью низкоскоростной линии и скоростью интерфейсов шлюза имеет место уменьшение скорости на коэффициент, который может составлять от 1000 до 10000. Поэтому этот аспект контроля обратного тракта относится к использованию физических средств для уменьшения предельной скорости в указанном обратном тракте.

Уровень защиты этой низкоскоростной линии преимущественно дополнен механизмом разрыва протокола связи. Для этого на низкоскоростной линии используется специальный протокол. Этим протоколом управляет модуль 2.8 адаптации до указанной линии и модуль 2.5 DMX-in управления трактом после нее. Модуль 2.8 адаптации форматирует данные, которые передаются согласно этому протоколу, в то время как модуль DMZ-in управления трактом восстанавливает переданные данные из данных, отформатированных согласно указанному протоколу. Межсетевой экран просто фильтрует данные, переданные согласно этому протоколу, и поэтому гарантирует, что любые данные, проходящие через обратный тракт, соответствуют этому протоколу. Поэтому невозможно передать данные по восходящему тракту согласно общепринятому протоколу, такому как IP (Протокол Интернет, определенный согласно стандарту RFC 791), UDP (Протокол пользовательских дейтаграмм, определенный стандартом RFC 768) или TCP (протокол управления передачей, определенный стандартом RFC 793). Из-за этого разрыва протокола атака затруднена. Это происходит потому, что протокол, используемый для низкоскоростной линии, является недокументированным протоколом и не доступен извне шлюза, так как он обеспечивает соединение двух внутренних компонентов последнего.

В одном из примеров осуществления настоящего изобретения этот протокол осуществляет передачу пакета, структура которого показана на фиг.3.

Эти пакеты включают первое поле 3.1, содержащее метку для описания типа переносимых данных. Одно значение метки соответствует посылаемым командам, другое - данным, еще одно может относиться к механизму контроля потока данных, который описан ниже. Могут использоваться и другие типы. Кроме того, пакет включает поле 3.2, которое содержит переносимые данные. Для проверки целостности переносимых данных поле 3.3 пакета включает контрольную сумму, например контрольную сумму CRC (Cyclic Redundancy Check, контроль циклическим избыточным кодом). Пакеты подготавливаются модулем 2.8 адаптации, который, в частности, выполняет преобразование для физической линии, указанной в метке, и осуществляет вычисления CRC. Переносимые данные подготавливаются источником, который затем подписывает их посредством механизма аутентификации. Эти данные состоят из пары "полезные данные/дескриптор". Дескриптор содержит информацию, которая потребуется для восстановления данных после прохождения линии. Когда данные соответствуют машинной команде, - это протокольная информация для выполнения команды, а когда это просто данные, - это инструкции для запоминающего устройства. Данные подписываются в источнике так, чтобы проверяющее устройство смогло проверить происхождение данных и доверять им. Поэтому данные, переданные по низкоскоростной линии, соответствуют полезным данным и ассоциированному дескриптору, при этом и данные, и дескриптор подписаны и, в качестве опции, зашифрованы.

Межсетевой экран предназначен для того, чтобы гарантировать, что по низкоскоростной линии проходят только пакеты согласно указанному протоколу передачи. Основные действия, выполняемые этим межсетевым экраном, показаны на фиг.4. На шаге 4.1 межсетевой экран проверяет, что метка пакета является санкционированной и известной меткой. Например, проверяют, входит ли метка в список санкционированных меток. На возможном шаге 4.2 проверяют скорость посылки пакетов, соответствующую этой метке. Для этого для каждого типа данных и поэтому для каждой метки заданы максимальные скорости передачи. Если скорость приема пакетов для данной метки превышает установленный порог, пакеты отклоняются. Эта проверка гарантирует, что никаких массовых посылок пакетов с данной меткой не произойдет. Этот механизм обеспечивает дополнительную защиту от повреждения модуля адаптации, непосредственно связанного с сетью с низким уровнем защиты. На шаге 4.3 межсетевой экран проверяет режим работы. Этот шаг выполняют в случае, если задано несколько режимов работы. В некоторых режимах работы некоторые типы данных, а следовательно некоторые метки, могут быть запрещены. Как правило, в случае использования в авионике различают наземный режим и полетный режим. Некоторые типы данных санкционированы только тогда, когда самолет находится на земле, и поэтому шлюз работает в наземном режиме. Эти те же самые метки будут запрещены в полетном режиме. Поэтому список санкционированных меток может зависеть от режима работы шлюза. Наконец, на шаге 4.4 межсетевой экран проверяет целостность пакета проверкой его контрольной суммы, обычно с циклическим контролем избыточности.

После прохождения через межсетевой экран пакеты передаются в модуль DMZ-in управления трактом. Этот модуль DMZ-in отвечает за интерпретацию пакетов, за их восстановление согласно метке и проверку в рамках механизма аутентификации. Как отмечено выше, переданные данные подписаны посредством ряда асимметричных ключей. Они содержат подпись, которую модуль DMZ-in может проверить посредством содержащихся в нем необходимых открытых ключей и сертификатов. Для повышения уровня защиты требуется, чтобы любые данные, переданные по восходящему каналу, были подписаны с использованием механизма аутентификации с асимметричным ключом. Таким образом обеспечивается то, что в сеть с высоким уровнем защиты данные могут отправить только ожидаемые и должным образом аутентифицированные участники. Предпочтительно, чтобы данные также были зашифрованы с помощью тех же самых сертификатов. Поэтому модуль DMZ-in гарантирует, что подписи проверены, и, таким образом, осуществляет проверку подлинности источника данных. Когда посылаемые данные для передачи по низкоскоростной линии должны быть разбиты модулем адаптации на несколько пакетов, модуль DMZ-in восстанавливает разбитые на части данные. После того как они восстановлены и их целостность и источник проверены путем обработки цифровой подписи, данные можно доставить адресату для обработки. Если данные зашифрованы, адресат передает данные в модуль DMZ-out для дешифровки. Это происходит потому, что в описываемом варианте осуществления настоящего изобретения шифрование и дешифрование выполняют криптографическими средствами модуля DMZ-out, например типа SIM-карты (модуля идентификации абонента). Эти средства включают секретный ключ, позволяющий модулю DMZ-out зашифровать полученные данные прежде, чем передать их в диод, или дешифровать данные, передаваемые в зашифрованном виде адресатами, расположенными в восходящем направлении.

Этот шлюз позволяет реализовать простые механизмы, требующие взаимодействия между двумя сетями. Таким образом можно отправлять данные в сеть с высоким уровнем защиты. Кроме того, можно посылать команды для запуска посылки данных в противоположном направлении.

Для клиента в сети с низким уровнем защиты становится возможным запустить посылку данных и выбрать данные, которые он желает получить из сети с высоким уровнем защиты. Эти механизмы применяются контролируемым путем участниками, которые должным образом аутентифицированы посредством ограниченного числа механизмов. Все данные в обратном направлении следуют по каналу с ограниченной скоростью и передаются с использованием нестандартного протокола. Согласно этому нестандартному протоколу, все пакеты данных проходят фильтрацию согласно правилам фильтрации для конкретного межсетевого экрана, адаптированным для протокола согласно ограничениям, относящимся к данным различных типов. Эти ограничения могут включать скорость передачи, то есть, например, скорость передачи данных конкретного типа, и режим работы шлюза.

В частности, можно осуществить контроль потока данных для данных, идущих из сети с высоким уровнем защиты, в сеть с низким уровнем защиты. Этот механизм иллюстрируется на фиг.5. С этой целью модуль DMZ-out управления трактом подготавливает для каждого передаваемого пакета данных два пакета, которые могут быть возвращены в него модулем адаптации. Это шаги 5.1, 5.2 и 5.3. Первый пакет называется пакетом Ok и означает, что пакет данных получен модулем адаптации должным образом. Второй пакет называется пакетом Ко и означает, что пакет данных не был корректно получен модулем адаптации. Понятно, что любой пакет, чтобы его можно было принять по обратному тракту шлюза, должен быть должным образом подписан. Следовательно, пакеты Ok и Ko будут подписаны их отправителем на стороне сети с высоким уровнем защиты. Этим отправителем может быть модуль DMZ-out. На шаге 5.4 пакет данных передают совместно с этими двумя пакетами Ok и Ko. Когда модуль адаптации получает пакет данных, он возвращает (шаг 5.6 и 5.7) по обратному тракту пакет Ok или пакет Ко согласно проверке 5.5, относящейся к передаче пакета данных. Поскольку эти пакеты должным образом подписаны модулем DMZ-out, они без проблем проходят проверку, проводимую в обратном тракте, и не могут быть повреждены. После приема пакета Ко, модуль DMZ-out повторно передает неправильно принятый пакет. После приема пакета Ok, модуль DMZ-out продолжает передачу следующего пакета. Этот механизм может также применяться для контроля потока данных посредством окна передачи, при этом размер окна передачи подстраивают согласно типу полученного пакета Ok или Ko.

Когда в течение определенного времени не получено никакого ответа, модуль DMZ-out генерирует пакет, называемый пакетом NOP. Этот пакет соответствует пакету Ok, не связанному с пакетом данных. Этот пакет передают по нисходящему тракту для его возврата модулем адаптации. В случае неприема пакета в ответ, линия считается разорванной. Чтобы можно было обнаружить возврат к нормальным условиям, пакет NOP продолжают передавать регулярно. Пока в ответ не получен пакет NOP, пакеты данных не передаются. Прежде чем быть переданными в ответ в модуль DMZ-out, пакеты Ok, Ko и NOP интерпретируются и проверяются в модуле DMZ-in.

Предпочтительно, чтобы в пакеты Ok, Ko и NOP был встроен механизм предотвращения повторной передачи. Этот механизм может быть осуществлен в виде порядкового номера или временной метки в пакете. Этот механизм предотвращения повторной передачи предотвращает любую атаку путем злонамеренного возврата этих пакетов.

Механизм управления потоком данных не обязательно применять ко всем передачам данных в нисходящем направлении. В частности, передача небольших объемов данных может быть сделана в рамках так называемого режима "послал и забыл". В этом режиме модуль DMZ-out посылает пакет данных без генерации пакетов Ok и Ko. Эти пакеты не сохраняют, а правильность их передачи не проверяют.

1. Устройство (2.1) для соединения, по меньшей мере, двух сетей связи путем соединения первой сети, называемой сетью с высоким уровнем защиты, и, по меньшей мере, одной второй сети, называемой сетью с низким уровнем защиты, содержащее:
первый интерфейс (2.11) связи с сетью с высоким уровнем защиты;
второй интерфейс (2.12) связи с сетью с низким уровнем защиты;
модуль (2.3) маршрутизации, соединенный с первым интерфейсом; и
модуль (2.8) адаптации, соединенный со вторым интерфейсом;
отличающееся тем, что оно дополнительно содержит:
однонаправленный тракт (2.4, 2.6), называемый нисходящим трактом, между модулем (2.3) маршрутизации и модулем (2.8) адаптации, предназначенный для передачи данных из модуля (2.3) маршрутизации в модуль (2.8) адаптации, причем нисходящий тракт защищен на физическом уровне диодом, предотвращающим любую обратную передачу информации, и
однонаправленный тракт (2.5, 2.7, 2.8), физически отделенный от нисходящего тракта и называемый обратным трактом, между модулем (2.8) адаптации и модулем (2.3) маршрутизации, предназначенный для передачи данных из модуля (2.8) адаптации в модуль (2.3) маршрутизации, при этом все передачи данных между первым интерфейсом (2.11) и вторым интерфейсом (2.12) обязательно проходят через эти два однонаправленных тракта, а модуль (2.8) адаптации создает соединительную линию между этими однонаправленными трактами и вторым интерфейсом (2.12).

2. Устройство по п.1, которое дополнительно содержит средство (2.6), гарантирующее на физическом уровне однонаправленность нисходящего тракта.

3. Устройство по одному из пп.1 или 2, которое дополнительно содержит средство (2.10) уменьшения скорости, по меньшей мере, для части обратного тракта относительно скорости интерфейсов указанного устройства, с формированием, таким образом, низкоскоростной линии.

4. Устройство по п.3, в котором низкоскоростная линия (2.10) является последовательной линией.

5. Устройство по одному из пп.1 или 2, которое содержит в обратном тракте межсетевой экран (2.7), предназначенный для фильтрации данных, идущих по обратному тракту.

6. Устройство по п.3, которое дополнительно содержит:
средства (2.8) форматирования данных, передаваемых по обратному тракту, до низкоскоростной линии, согласно протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства, и
средства (2.5) восстановления данных, передаваемых по обратному тракту, после низкоскоростной линии, из данных, отформатированных согласно вышеуказанному протоколу связи, отличающемуся от протоколов связи, используемых для связи в интерфейсах указанного устройства.

7. Устройство по п.6, в котором указанный протокол связи, отличающийся от протоколов связи, используемых для связи в интерфейсах указанного устройства, использует пакеты данных, включающие метку (3.1), которая идентифицирует тип данных, при этом указанный межсетевой экран включает средства фильтрации пакетов согласно списку санкционированных меток.

8. Устройство по п.7, в котором для каждой метки задана максимальная скорость передачи, при этом межсетевой экран (2.7) включает средства для проверки скорости передачи для пакетов, соответствующих каждой метке, и для отклонения пакетов, соответствующих данной метке, если эта скорость превышена.

9. Устройство по п.6, в котором для указанного устройства задано несколько режимов работы, при этом список санкционированных меток зависит от режима работы устройства.

10. Устройство по одному из пп.1 или 2, в котором все данные передаваемые по обратному тракту, имеют криптографическую подпись посредством механизма асимметричного ключа, при этом указанное устройство включает также криптографические средства (2.5) для проверки подлинности источника данных.

11. Устройство по п.10, в котором все данные передаваемые по обратному каналу, шифруются посредством механизма ассиметричного ключа, при этом устройство включает также криптографические средства (2.5) для дешифрования переданных данных.

12. Способ управления потоком данных для пакетной передачи данных в пределах устройства по одному из пп.10 или 11, отличающийся тем, что он для каждого пакета данных включает следующие шаги:
шаг передачи пакета данных модулем маршрутизации, включающий:
шаг подготовки подписанного пакета, называемого пакетом Ok;
шаг подготовки подписанного пакета, называемого пакетом Ko;
шаг совместной передачи пакета данных и пакетов Ok и Ko по нисходящему тракту;
шаг приема модулем адаптации, включающий:
шаг проверки корректности передачи пакета данных;
если передача пакета данных прошла корректно, шаг передачи по обратному тракту пакета Ok;
если передача прошла некорректно, шаг передачи по обратному тракту пакета Ko.

13. Способ по п.12, отличающийся тем, что он дополнительно включает:
шаг периодической передачи по нисходящему тракту модулем маршрутизации подписанного пакета, называемого пакетом NOP, в случае отсутствия приема по обратному тракту в течение заданного времени;
шаг передачи по обратному тракту любого пакета NOP, принятого модулем адаптации по нисходящему тракту.