【正确答案】 C

【答案解析】解析：C正确。多厂商环境下欧洲安全应用系统(Secure European System forApplication in a Multivendor Environment，SESAME)项目是为拓展Kerberos功能和改进其弱点而开发的单点登录(Single sign-on，SSO)技术。SESAME使用对称和非对称加密技术来验证主体对网络资源的访问身份。Kerberos使用票证来验证主体访问客体的身份，而SESAME使用特权属性证书(PrivilegedAttribute Certificates，PAC)来验证，PAC包括主体的身份、访问客体的功能、访问时限和PAC的生命周期。PAC是数字签名，因此客体可以验证它是否来自于可信任的验证服务器，即特权属性服务器(Privileged Attribute Server，PAS)。PAS和Kerberos内的密钥分发中心(Key Distribution Center，KDC)承担着相似的角色。在用户在验证服务(authentication service，AS)处成功验证了身份之后，他便被授予一个令牌再发送给PAS。然后PAS创建一个PAC以供用户出示给他要访问的资源。 A不正确。Kerberos是一个基于对称密钥密码术的身份验证协议。Kerberos是适合于分布式环境(和SESAME一样)的一个单点登录系统示例，但事实上它却成为了今天异构网络的标准。Kerberos包括广泛的安全功能，在公司需要提供一个整体性的安全体系结构时，它能赋予公司更多灵活性和可扩展性。它具有企业安全控制所必需的4个元素：可扩展性、透明性、可靠性和安全性。上一个答案中已经很详细地解释了这些技术之间的区别。虽然SESAME和Kerberos在它们所表现的功能方面很相近，但这个图中显示的是SESAME这个技术。 B不正确。自主访问控制(Discretionary Access Control，DAC)是一种内置于操作系统或应用程序中的访问控制模式，而用单点登录技术。使用自主访问控制的系统使得该资源的所有者能够规定哪些主体能够访问特定资源。这种模式被叫做自主的是因为这个访问控制是建立在所有者自由决定的基础上。很多时候，部门经理或业务部门经理都是他们那个具体部门的数据所有者。作为所有者，他们能够规定谁应该拥有访问权、谁不应该拥有访问权。DAC模式根据用户获得的授权来限制访问。这意味着允许用户规定能对他们的客体进行什么类型的访问。DAC通过ACLs实施最为常见，后者是由所有者支配和设定，由操作系统执行。这相对于更加静态的强制访问控制(mandatory access control，MAC)来讲，能使用户访问信息的能力动态化。 D不正确。强制访问控制(mandatory access control，MAC)是一种内置于操作系统或应用程序中的访问控制模式，而非采用单点登录技术。在MAC模式中，用户和数据所有者拥有不同的决定谁能访问文件的自由。操作系统做最后的决定，并且可以违背用户的意愿。这种基于一种安全标签体系的模式更加结构化、更加严格。对用户进行安全审查(秘密、绝密、机密等)并按相同方式为数据分类。审查结果和分类数据都将被标上安全标签存储起来，这些安全标签与具体的主体和客体相绑定。系统在决定是否满足访问某一客体的请求时，将根据对这个主体的审查、客体的分类和系统的安全策略来决策。主体如何访问客体的规则由安全官制定、管理员配置、操作系统执行和安全技术支持。