java開發常用四大框架如下：

• Struts是一個基于Sun Java EE平臺的MVC框架，主要是采用SERVLET和JSP技術來實現的。Struts框架可分為以下四個主要部分，其中三個就和MVC模式緊密相關： 模型、視圖、控制器、一堆用來做XML文件解析的工具包。

• Spring是輕量級的Java EE應用程序框架。Spring的核心是個輕量級容器，實現了IOC模式的容器，Spring的目標是實現一個全方位的整合框架，在Spring框架下實現多個子框架的組合，這些子框架之間彼此可以獨立，也可以使用其它的框架方案加以替代，Spring希望提供one-stop shop的框架整合方案 。

• Hibernate是一個開放源代碼的對象關系映射框架，它對JDBC進行了輕量級的對象封裝，使得Java程序員可以使用對象編程思維來操縱數據庫。Hibernate可以在應用EJB的Java EE架構中取代CMP，完成數據持久化。它還可以應用在任何使用JDBC的場合，既可以在Java的客戶端程序實用，也可以在SERVLET/JSP的Web應用中使用

• Swing：圖形用戶接口(GUI)庫最初的設計目的是讓程序員構建一個通用的GUI，使其在所有的平臺上都能夠正常的顯示。所有的Swing組件都是AWT的容器。Swing采用了MVC設計模式。

安全隔離內網與外網的方法有：

• 雙機雙網隔離：雙機雙網隔離技術方案是指通過配置兩臺計算機來分別連接內網和外網環境，再利用移動存儲設備來完成數據交互操作，然而這種技術方案會給后期系統維護帶來諸多不便，同時還存在成本上升、占用資源等缺點，而且通常效率也無法達到用戶的要求。

• 雙硬盤隔離：雙硬盤隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬盤和隔離卡來實現內網和外網的物理隔離，并通過選擇啟動內網硬盤或外網硬盤來連接內網或外網網絡。由于這種隔離技術方案需要多添加一塊硬盤，所以對那些配置要求高的網絡而言，就造成了成本浪費，同時頻繁地關閉、啟動硬盤容易造成硬盤的損壞。

• 單硬盤隔離：單硬盤隔離技術方案的實現原理是從物理層上將客戶端的單個硬盤分割為公共和安全分區，并分別安裝兩套系統來實現內網和外網的隔離，這樣就具有了較好的可擴展性，但是也存在數據是否安全界定困難、不能同時訪問內、外兩個網絡等缺陷。

• 集線器級隔離：集線器級隔離技術方案的一個主要特征在客戶端只需使用一條網絡線就可以部署內網和外網，然后通過遠端切換器來選擇連接內、外雙網，避免了客戶端要用兩條網絡線來連接內、外網絡。

• 服務器端隔離：服務器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內、外網絡下，如何快速、分時地處理和傳遞數據信息，該方案主要是通過采用復雜的軟、硬件技術手段來在服務器端實現數據信息過濾和傳輸任務，以達到隔離內、外網的目的。

數據安全管理防護的基本要求如下：

• 數據從其采集、傳輸、存儲、處理、使用、銷毀全生命周期實施安全管理。

• 以授權、審查、審計等手段來保障,防止數據泄露、濫用、丟失、被篡改、被損毀。

• 在相關業務系統在規劃、建設和運行時，應做到數據安全管理要求與配套措施“同步規劃、同步組織實施、同步運作投產”。

• 在系統的工程建設或擴容規劃設計階段，應同步考慮數據安全防護措施。

• 在系統建設或擴容時，應按照既定規劃方案，所有數據安全相關的建設應與工程同步進行。

• 在系統上線運營同時，應保證配套數據安全設施或服務同步投入使用。

• 未按照流程發起安全測試或未完成安全漏洞改造的應用系統不得通過驗收測試環節，不得交付和上線運營。

僵尸掃描的過程如下：

• 掃描者主機對Zombie(僵尸機)發送SYN/ACK包，然后Zombie（假設此時系統產生的IPID為x）會回個主機一個RST，主機將會得到Zombie的IPID；

• 掃描主機向目標機器發送一個SYN包，有所不同的是，此時掃描主機會偽造一個偽裝成Zombie的IP(即是x)向目標主機發送SYN包。

• 如果目標的端口開放，便會向Zombie返回一個SYN/ACK包，但是人家Zombie并沒有發送任何的包啊，zombie會覺得莫名其妙，于是向目標主機發送一RST過去詢問，此時Zombie的IPID將會增加1(x+1)。若果目標主機的端口并未開放，那么目標主機也會想Zombie發送一個RST包，但是Zombie收到RST包不會有任何反應，所以IPID不會改變(依舊是x)。

• 掃描者主機再向Zombie發送一個SYN/ACK，同樣的Zombie會摸不著頭腦，然后在懵懂中向掃描者主機發送一個RST包，此時Zombie的IPID將變成(x+2)。

腳本病毒有以下特點：

• 隱藏性強：在我們的傳統認識里，我們只要不從互聯網上下載應用程序，從網上感染病毒的幾率就會大大減少。腳本病毒的出現徹底改變了人們的這種看法。看似平淡無奇的網站其實隱藏著巨大的危機，一不小心，用戶就會在瀏覽網頁的同時“中招”，造成無盡的麻煩。此外，隱藏在電子郵件里的腳本病毒往往具有雙擴展名并以此來迷惑用戶。有的文件看似是一個jpg圖片，其實真正的擴展名是vbs腳本。

• 傳播性廣：病毒可以自我復制，并且與文件型病毒不同，腳本病毒基本上不依賴于文件就可以直接解釋、執行。

• 病毒變種多：與其他類型的病毒相比，腳本病毒更容易產生變種。腳本本身的特征是調用和解釋功能，因此病毒制造者并不需要太多的編程知識，只需要對源代碼進行稍加修改，就可以制造出新的變種病毒，使人們防不勝防。

• 感染力強：由于腳本是直接解釋執行，并且它不需要像PE病毒那樣，需要做復雜的PE文件格式處理，因此這類病毒可以直接通過自我復制的方式感染其他同類文件，并且自我的異常處理變得非常容易。

• 使得病毒生產機實現起來非常容易：所謂病毒生產機，就是可以按照用戶的意愿，生產病毒的機器（當然，這里指的是程序），目前的病毒生產機，之所以大多數都為腳本病毒生產機，其中最重要的一點還是因為腳本是解釋執行的，實現起來非常容易

防范腳本病毒的措施有以下這些：

• 養成良好的上網習慣，不瀏覽不熟悉的網站，尤其是一些個人主頁和色情網站，從根本上減少被病毒侵害的機會。

• 選擇安裝適合自身情況的主流廠商的殺毒軟件，或安裝個人防火墻，在上網前打開“實時監控功能”，尤其要打開“網頁監控”和“注冊表監控”兩項功能。

• 將正常的注冊表進行備份，或者下載注冊表修復程序，一旦出現異常情況，馬上進行相應的修復。

• 如果發現不良網站，立刻向有關部門報告，同時將該網站添加到“黑名單中。

• 提高IE的安全級別。將IE的安全級別設置為“高”。

• 最好安裝專業的殺毒軟件對計算機進行全面監控：在病毒日益增多的今天，使用殺毒軟件進行防毒，是越來越經濟的選擇，不過用戶在安裝了反病毒軟件之后，應該經常進行升級；將一些主要監控經常打開。

4A堡壘機指符合同意安全管理平臺解決方案的硬件堡壘機或者軟件堡壘機，4A是指認證Authentication、授權Authorization、賬號Account、審計Audit，中文名稱為統一安全管理平臺解決方案。即將身份認證、授權、記賬和審計定義為網絡安全的四大組成部分，從而確立了身份認證在整個網絡安全系統中的地位與作用。

• 集中認證(authentication)管理

  可以根據用戶應用的實際需要，為用戶提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證（一次性口令、數字證書、動態口令），而且還能夠集成現有其它如生物特征等新型的認證方式。不僅可以實現用戶認證的統一管理，并且能夠為用戶提供統一的認證門戶，實現企業信息資源訪問的單點登錄。

• 集中權限(authorization)管理

  可以對用戶的資源訪問權限進行集中控制。它既可以實現對B/S、C/S應用系統資源的訪問權限控制，也可以實現對數據庫、主機及網絡設備的操作的權限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數據庫的數據、記錄及主機、網絡設備的操作命令、IP地址及端口。

• 集中帳號（account）管理

  為用戶提供統一集中的帳號管理，支持管理的資源包括主流的操作系統、網絡設備和應用系統；不僅能夠實現被管理資源帳號的創建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進行帳號密碼策略，密碼強度、生存周期的設定。

• 集中審計(audit)管理

  將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進行監控，并且可以通過集中的審計數據進行數據挖掘，以便于事后的安全事故責任的認定。

• 欺騙

網絡欺騙的主要方式有ARP欺騙、IP欺騙、域名欺騙、Web欺騙以及電子郵件欺騙等。用戶可以通過瀏覽器訪問各種各樣的Web站點，一般的用戶不會意識到有以下問題存在：正在訪問的網頁已經被黑客篡改過，網頁上的信息是虛假的。

• 竊聽

竊聽是最常用的手段。應用最廣泛的局域網上的數據傳送是基于廣播方式進行的，這就使一臺主機有可能收到本子網上傳送的所有信息。而計算機的網卡工作在雜收模式時，它就可以將網絡上傳送的所有信息傳送到上層，以供進一步分析。如果沒有采取加密措施，通過協議分析，可以完全掌握通信的全部內容，竊聽還可以用無限截獲方式得到信息，通過高靈敏接受裝置接收網絡站點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數據信號從而獲得網絡信息。盡管有時數據信息不能通過電磁信號全部恢復，但可能得到極有價值的情報。

• 偽造

偽造指的是某個實體（人或系統）發出含有其他實體身份信息的數據信息，假扮成其他實體，從而以欺騙方式獲取一些合法用戶的權利和特權。

• 拒絕服務

拒絕服務即常說的DoS（Deny of Service），會導致對通訊設備正常使用或管理被無條件地中斷。通常是對整個網絡實施破壞，以達到降低性能、終端服務的目的。這種攻擊也可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數據包都被阻止。

• 信息篡改

一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產生一個未授權的效果。如修改傳輸消息中的數據，將“允許甲執行操作”改為“允許乙執行操作”。

橢圓曲線加密方法與RSA方法相比有以下優點：

• 安全性能更高：加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC和其他幾種公鑰系統相比，其抗攻擊性具有絕對的優勢。如160位ECC與1024位RSA、DSA有相同的安全強度。而210位ECC則與2048位RSA、DSA具有相同的安全強度。

• 計算量小，處理速度快：雖然在RSA中可以通過選取較小的公鑰（可以小到3）的方法提高公鑰處理速度，即提高加密和簽名驗證的速度，使其在加密和簽名驗證速度上與ECC有可比性，但在私鑰的處理速度上（解密和簽名），ECC遠比RSA、DSA快得多。因此ECC總的速度比RSA、DSA要快得多。

• 存儲空間占用小：ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多，意味著它所占的存儲空間要小得多。這對于加密算法在IC卡上的應用具有特別重要的意義。

• 帶寬要求低：當對長消息進行加解密時，三類密碼系統有相同的帶寬要求，但應用于短消息時ECC帶寬要求卻低得多，而公鑰加密系統多用于短消息，例如用于數字簽名和用于對對稱系統的會話密鑰傳遞。帶寬要求低，使ECC在無線網絡領域具有廣泛的應用前景。

主要包含以下三個要求：

1. 實施要求

   • 完善標準，分類指導（管理規范和技術標準）
   • 科學定級，嚴格備案（專家評審委員會，三級以上系統備案）
   • 建設整改，落實措施（信息系統：已有、新建、改建、擴建）
   • 自查自糾，落實要求（運營、使用單位及其主管部門）
   • 建立制度，加強管理（運營、使用單位及其主管部門）
   • 監督檢查，完善保護（公安機關重點對第三、第四系統）

2. 測評工作要求

   • 測評工作應按照”流程規范、方法科學、結論公正”的要求進行
   • 被測評單位要監督管理測評機構和測評人員的測評活動
   • 測評報告備案，備案單位每年應將等級測評報告向受理備案的公安機關備案

3. 其他要求

   • 國家對信息安全產品的使用實行分等級管理
   • 信息安全事件實行分等級響應、處置的制度

國家信息安全等級保護與涉密信息系統分級保護是兩個既有聯系又有區別的概念。涉密信息系統分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統，而不論它是否涉密。如：

(1) 國家事務處理信息系統（黨政機關辦公系統）；

(2) 金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統；

(3) 國防工業企業、科研等單位的信息系統；

(4) 公用通信、廣播電視傳輸等基礎信息網絡中的計算機信息系統；

(5) 互聯網網絡管理中心、關鍵節點、重要網站以及重要應用系統；

(6)其他領域的重要信息系統。

涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位，由各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全，確保國家秘密不被泄漏。國家秘密信息是國家主權的重要內容，關系到國家的安全和利益，一旦泄露，必將直接危害國家的政治安全、經濟安全、國防安全、科技安全和文化安全。沒有國家秘密的信息安全，國家就會喪失信息主權和信息控制權，所以國家秘密的信息安全是國家信息安全保障體系中的重要組成部分。

端到端加密對企業的好處：

• 端到端加密為防止數據泄露提供了強大的屏障。萬一惡意行為者入侵企業服務器，他們將無法訪問端到端加密數據，因為密鑰存儲在用戶設備上，而不是服務器上。

• 端到端加密還可以為云平臺增加一層安全性，從而實現與承包商、顧問和合作伙伴等外部方的安全協作。企業將獲得具有企業級安全性的云解決方案的靈活性。

• 端到端加密是一種強大的數據保護措施，可確保遵守嚴格的數據保護法規。它還可以加快技術采購的法律審查過程。

以下操作可以有效幫助服務器防御攻擊：

• 定期掃描網絡主節點：由于大多數網絡惡意攻擊都是對網絡的主節點進行攻擊，因此定期掃描網絡主節點，尋找可能存在的安全隱患并及時清理，不給攻擊者可乘之機。

• 配置防火墻：可以在主要的節點設置ddos防火墻，比如CDN或者WAF。防火墻的主要工作是對于數據包和流量進行監控，當出現大規模的流量并發時，CDN會自動進行流量的清洗和均衡負載，使得各個節點的流量負載達到平衡，只要節點的數量相對較多，就可以同時承受很大的流量，而不會導致網站的癱瘓。

• 保證足夠的帶寬：在條件允許的情況下，最好給服務器布置更高的帶寬，這樣當惡意攻擊的規模不是特別大的時候，可以避免服務器帶寬堵塞。

• 用足夠的機器承受黑客攻擊：這是比較理想的一種應對策略。這需要用戶有足夠的服務器，黑客攻擊的時候會不斷的訪問用戶，在這個期間黑客自己的資源也是在不斷的消耗的，可能用戶的主機還沒有被攻擊死，黑客已經沒有多余的精力和資源了。這種方法需要投入的資金比較多，平時大多數設備處于空閑狀態，和中小企業網絡實際運行情況不相符。

• 流量過濾：高防服務器可以在路由器上過濾掉假的IP，關閉其余端口只開放服務端口。CDN技術一般可以提供自動的流量清洗，保證服務器不被虛假的服務請求所影響，您還可以設置白名單和黑名單來保證部分服務請求不會被錯誤的過濾。

CAN是控制器局域網總線，是一種用于實時應用的串行通訊協議總線，它可以使用雙絞線來傳輸信號，是世界上應用最廣泛的現場總線之一。CAN協議用于汽車中各種不同元件之間的通信，以此取代昂貴而笨重的配電線束。該協議的健壯性使其用途延伸到其他自動化和工業應用。CAN協議的特性包括完整性的串行數據通訊、提供實時支持、傳輸速率高達1Mb/s、同時具有11位的尋址以及檢錯能力。

CAN總線特征如下：

• 報文(Message)總線上的數據以不同報文格式發送，但長度受到限制。當總線空閑時，任何一個網絡上的節點都可以發送報文。

• 信息路由(Information Routing)在CAN中，節點不使用任何關于系統配置的報文，比如站地址，由接收節點根據報文本身特征判斷是否接收這幀信息。因此系統擴展時，不用對應用層以及任何節點的軟件和硬件作改變，可以直接在CAN中增加節點。

• 標識符(Identifier) 要傳送的報文有特征標識符(是數據幀和遠程幀的一個域)，它給出的不是目標節點地址，而是這個報文本身的特征。信息以廣播方式在網絡上發送，所有節點都可以接收到。節點通過標識符判定是否接收這幀信息。

• 數據一致性應確保報文在CAN里同時被所有節點接收或同時不接收，這是配合錯誤處理和再同步功能實現的。

• 位傳輸速率不同的CAN系統速度不同，但在一個給定的系統里，位傳輸速率是唯一的，并且是固定的。

• 優先權 由發送數據的報文中的標識符決定報文占用總線的優先權。標識符越小，優先權越高。

• 遠程數據請求(Remote Data Request) 通過發送遠程幀，需要數據的節點請求另一節點發送相應的數據。回應節點傳送的數據幀與請求數據的遠程幀由相同的標識符命名。

• 仲裁(Arbitration) 只要總線空閑，任何節點都可以向總線發送報文。如果有兩個或兩個以上的節點同時發送報文，就會引起總線訪問碰撞。通過使用標識符的逐位仲裁可以解決這個碰撞。仲裁的機制確保了報文和時間均不損失。當具有相同標識符的數據幀和遠程幀同時發送時，數據幀優先于遠程幀。在仲裁期間，每一個發送器都對發送位的電平與被監控的總線電平進行比較。如果電平相同，則這個單元可以繼續發送，如果發送的是“隱性”電平而監視到的是“顯性”電平，那么這個單元就失去了仲裁，必須退出發送狀態。

• 總線狀態 總線有“顯性”和“隱性”兩個狀態，“顯性”對應邏輯“0”，“隱性”對應邏輯“1”。“顯性”狀態和“隱性”狀態與為“顯性”狀態，所以兩個節點同時分別發送“0”和“1”時，總線上呈現“0”。CAN總線采用二進制不歸零(NRZ)編碼方式，所以總線上不是“0”，就是“1”。但是CAN協議并沒有具體定義這兩種狀態的具體實現方式。

• 故障界定(Confinement) CAN節點能區分瞬時擾動引起的故障和永久性故障。故障節點會被關閉。

• 應答接收節點對正確接收的報文給出應答，對不一致報文進行標記。

• CAN通訊距離最大是10公里（設速率為5Kbps）,或最大通信速率為1Mbps(設通信距離為40米)。

• CAN總線上的節點數可達110個。通信介質可在雙絞線，同軸電纜，光纖中選擇。

• 報文是短幀結構，短的傳送時間使其受干擾概率低，CAN有很好的校驗機制，這些都保證了CAN通信的可靠性。

CAN是控制器局域網總線，是一種用于實時應用的串行通訊協議總線，它可以使用雙絞線來傳輸信號，是世界上應用最廣泛的現場總線之一。CAN協議用于汽車中各種不同元件之間的通信，以此取代昂貴而笨重的配電線束。該協議的健壯性使其用途延伸到其他自動化和工業應用。CAN協議的特性包括完整性的串行數據通訊、提供實時支持、傳輸速率高達1Mb/s、同時具有11位的尋址以及檢錯能力。

CAN總線特征如下：

• 報文(Message)總線上的數據以不同報文格式發送，但長度受到限制。當總線空閑時，任何一個網絡上的節點都可以發送報文。

• 信息路由(Information Routing)在CAN中，節點不使用任何關于系統配置的報文，比如站地址，由接收節點根據報文本身特征判斷是否接收這幀信息。因此系統擴展時，不用對應用層以及任何節點的軟件和硬件作改變，可以直接在CAN中增加節點。

• 標識符(Identifier) 要傳送的報文有特征標識符(是數據幀和遠程幀的一個域)，它給出的不是目標節點地址，而是這個報文本身的特征。信息以廣播方式在網絡上發送，所有節點都可以接收到。節點通過標識符判定是否接收這幀信息。

• 數據一致性應確保報文在CAN里同時被所有節點接收或同時不接收，這是配合錯誤處理和再同步功能實現的。

• 位傳輸速率不同的CAN系統速度不同，但在一個給定的系統里，位傳輸速率是唯一的，并且是固定的。

• 優先權 由發送數據的報文中的標識符決定報文占用總線的優先權。標識符越小，優先權越高。

• 遠程數據請求(Remote Data Request) 通過發送遠程幀，需要數據的節點請求另一節點發送相應的數據。回應節點傳送的數據幀與請求數據的遠程幀由相同的標識符命名。

• 仲裁(Arbitration) 只要總線空閑，任何節點都可以向總線發送報文。如果有兩個或兩個以上的節點同時發送報文，就會引起總線訪問碰撞。通過使用標識符的逐位仲裁可以解決這個碰撞。仲裁的機制確保了報文和時間均不損失。當具有相同標識符的數據幀和遠程幀同時發送時，數據幀優先于遠程幀。在仲裁期間，每一個發送器都對發送位的電平與被監控的總線電平進行比較。如果電平相同，則這個單元可以繼續發送，如果發送的是“隱性”電平而監視到的是“顯性”電平，那么這個單元就失去了仲裁，必須退出發送狀態。

• 總線狀態 總線有“顯性”和“隱性”兩個狀態，“顯性”對應邏輯“0”，“隱性”對應邏輯“1”。“顯性”狀態和“隱性”狀態與為“顯性”狀態，所以兩個節點同時分別發送“0”和“1”時，總線上呈現“0”。CAN總線采用二進制不歸零(NRZ)編碼方式，所以總線上不是“0”，就是“1”。但是CAN協議并沒有具體定義這兩種狀態的具體實現方式。

• 故障界定(Confinement) CAN節點能區分瞬時擾動引起的故障和永久性故障。故障節點會被關閉。

• 應答接收節點對正確接收的報文給出應答，對不一致報文進行標記。

• CAN通訊距離最大是10公里（設速率為5Kbps）,或最大通信速率為1Mbps(設通信距離為40米)。

• CAN總線上的節點數可達110個。通信介質可在雙絞線，同軸電纜，光纖中選擇。

• 報文是短幀結構，短的傳送時間使其受干擾概率低，CAN有很好的校驗機制，這些都保證了CAN通信的可靠性。

IPSec有三種功能，前兩種為主要功能：

• 數據的保密性保護：IPSec的ESP協議通過對分組進行加密，使得網絡黑客難以破譯。根據不同類型的應用需求，ESP可以提供不同強度的加密算法。

• 完整性保護與身份認證：IPSec為每個IP分組生成一個校驗和。通過檢查校驗和，可以發現數據是否在傳輸過程中被篡改。同時，IPSec的身份認證機制可檢查是否存在IP地址欺騙，有效地防御借用合法地址與用戶身份的網絡黑客行為。

• 防止拒絕服務和中間人：IPSec使用IP分組過濾方法，根據IP地址范圍、協議、特定協議的端口號來決定哪些數據流可以通過，從而防止了拒絕服務。作為第三方，中間人類似于身份欺騙，IPSec通過雙向認證、共享密鑰，可以有效地防止中間人。

ipsec具有以下安全特性：

• 不可否認性：”不可否認性”可以證實消息發送方是唯一可能的發送者，發送者不能否認發送過消息。”不可否認性”是采用公鑰技術的一個特征，當使用公鑰技術時，發送方用私鑰產生一個數字簽名隨消息一起發送，接收方用發送者的公鑰來驗證數字簽名。由于在理論上只有發送者才唯一擁有私鑰，也只有發送者才可能產生該數字簽名，所以只要數字簽名通過驗證，發送者就不能否認曾發送過該消息。但”不可否認性”不是基于認證的共享密鑰技術的特征，因為在基于認證的共享密鑰技術中，發送方和接收方掌握相同的密鑰。

• 反重播性：”反重播”確保每個IP包的唯一性，保證信息萬一被截取復制后，不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后，再用相同的信息包冒取非法訪問權（即使這種冒取行為發生在數月之后）。

• 數據完整性：防止傳輸過程中數據被篡改，確保發出數據和接收數據的一致性。IPSec利用Hash函數為每個數據包產生一個加密檢查和，接收方在打開包前先計算檢查和，若包遭篡改導致檢查和不相符，數據包即被丟棄。

• 數據可靠性：在傳輸前，對數據進行加密，可以保證在傳輸過程中，即使數據包遭截取，信息也無法被讀。該特性在IPSec中為可選項，與IPSec策略的具體設置相關。