关于Kerberos认证系统的描述中，错误的是( )。A．有一个包含所有用户密钥的数据库B．用户密钥是一个加密口令C．加密算法必须使用DESD．Kerberos提供会话密钥

正确答案：C
解析：Kerberos是一种计算机网络认证协议，是MIT为校园网用户访问服务器进行身份认证而设计的安全协议，它可以防止偷听和重放攻击，保护数据的完整性。Kerberos的安全机制如下。
  . AS (Authentication Server)：认证服务器，是为用户发放TGT的服务器；
  . TGS (Ticket Granting Server)：票证授予服务器，负责发放访问应用服务器时需要的票证；认证服务器和票据授予服务器组成密钥分发中心KDC (Key Distribution Center)；
  . V：用户请求访问的应用服务器；
  . TGT (Ticket Granting Ticket)：用户向TGS证明自己身份的初始票据，即KTGS(A,Ks)。
  对下图的认证过程解释如下：
 
  (1) 用户向KDC申请初始票据：
  (2) KDC向用户发放TGT会话票据；
  (3) 用户向TGS请求会话票据；
  (4) TGS验证用户身份后发放给用户会话票据KAV
  (5) 用户向应用服务器请求登录；
  (6) 应用服务器向用户验证时间戳。
  Kerberos的安全机制分析如下：
  . KA是用户的工作站根据键入的口令字导出的Hash值，最容易受到攻击，但是ICA的使用是很少的。
  . 系统的安全是基于对AS和TGS的绝对信任，实现软件是不能修改的。
  . 时间戳t可以防止重放攻击。
  . 2～6步使用加密，实施了连续认证机制。
  . AS存储所有用户的KA，以及TGS，V的标识和KTGS,TGS，TGS要存储KTGS，服务器要存储KV。
  公钥基础设施PKI(Public Key Infrastructure)是基于非对称密钥的密钥分发机制，通过双方信任的证书授权中心CA(Certification Authorities)获取对方的公钥，用于身份认证和保密通信。

正确答案：C

正确答案：D
选项A)，Kerberos是由麻省理工学院开发的协议，是为TCP/IP网络设计的，故选项A)错误；选项B)KCrberos没有规定用户必须有数字证书；选项C)Kerberos的加密算法一般采用DES，但也可以使用其他算法。A)、B)、C)均是错误的描述，而选项D)的描述是正确的。

正确答案：C
解析：Kerberos基于对称密钥体系<一般用DES，但也可以采用其他算法)。Kerberos有一个存有所有用户秘密密钥的数据库，对于每一个用户来说，秘密密钥是一个加密口令(加密以后的用户密码)，需要鉴别的网络业务以及希望运用这些业务的客户机需要用Kerberos注册其秘密密钥(注册过程不能是通过网络的，必须是面对面的)。Kerberos还能产生会话密钥，只提供一个客户机和一个服务器(或两个客户机)使用，会话密钥用来加密双方间的通信信息，通信完毕，即销毁会话密钥。

正确答案：C
选项A)，Kerberos有一个存有所有用户秘密密钥的数据库；选项B)，对于单个用户来说，用户密钥是一个加密口令：选项C)，Kerberos的加密算法一般采用DES，也可以采用其他算法；选项D)，Kerberos提供会话密钥，只供一个客户机和一个服务器使用。会话密钥用来加密双方间的通信信息，通信完毕，即销毁会话密钥。