下面关于 Kerberos 认证的说法中,错误的是(__)。
Kerberos是一种基于对称密钥加密的网络身份认证协议,主要用于开放、不安全的网络环境中为用户提供安全的身份验证服务,同时支持单点登录功能。它的核心依赖组件是密钥分发中心KDC,该中心包含认证服务器AS和票据授予服务器TGS两部分,用户之间要实现相互访问,需向KDC申请并获取对应票据,而非向公钥基础设施中的CA证书颁发机构申请,二者分属不同的安全体系。KDC会存储经过加密保护的所有用户账户信息及密码,避免明文存储带来的风险。在安全防护方面,Kerberos除了采用时间戳,还会结合请求序列号等机制防范重放攻击,进一步提升认证流程的安全性。
本题考察的是Kerberos 认证协议的基本原理与特点。
Kerberos 是一种基于对称密钥加密的网络认证协议,主要通过可信的第三方——密钥分发中心(KDC)来完成身份认证。KDC 由认证服务器(AS)和票据授予服务器(TGS)组成,能够实现单点登录并防止重放攻击。
A选项 Kerberos 是在开放的网络中为用户提供身份认证的一种方式:这是 Kerberos 的核心设计目标,它能够在不安全的网络环境中确保身份认证的安全性,正确。
B选项 系统中的用户要相互访问必须首先向 CA 申请票据:Kerberos 不使用 CA(Certificate Authority,证书颁发机构),而是依赖 KDC 分发票据,因此该描述错误。
C选项 KDC 中保存着所有用户的账号和密码:在 Kerberos 系统中,KDC 确实保存着用户的账户信息和经过加密保护的密码,正确。
D选项 Kerberos 使用时间戳来防止重放攻击:这是 Kerberos 防御重放攻击的机制之一,正确。
因此,选项 B 错误。