前几天在给人解释Windows是如何通过Kerberos进行Authentication的时候，讲了半天也别把那位老兄讲明白，还差点把自己给绕进去。后来想想原因有以下两点：对于一个没有完全不了解Kerberos的人来说，Kerberos的整个Authentication过程确实不好理解——一会儿以这个Key进行加密、一会儿又要以另一个Key进行加密，确实很容易把人给弄晕；另一方面是我讲解方式有问题，一开始就从Kerberos的3个Sub-protocol全面讲述整个Authentication 过程，对于一个完全不了解Kerberos的人来说要求也忒高了点。为此，我花了一些时间写了这篇文章，尽量以由浅入深、层层深入的方式讲述我所理解的基于Kerberos的Windows Network Authentication，希望这篇文章能帮助那些对Kerberos不明就里的人带来一丝帮助。对于一些不对的地方，欢迎大家批评指正。

一、 基本原理

Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication，我们采用这样的方法：如果一个秘密（secret）仅仅存在于A和B，那么有个人对B声称自己就是A，B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面：

• Secret如何表示。
• A如何向B提供Secret。
• B如何识别Secret。

基于这3个方面，我们把Kerberos Authentication进行最大限度的简化：整个过程涉及到Client和Server，他们之间的这个Secret我们用一个Key（KServer-Client）来表示。Client为了让Server对自己进行有效的认证，向对方提供如下两组信息：

• 代表Client自身Identity的信息，为了简便，它以明文的形式传递。
• 将Client的Identity使用KServer-Client作为Public Key、并采用对称加密算法进行加密。

由于KServer-Client仅仅被Client和Server知晓，所以被Client使用KServer-Client加密过的Client Identity只能被Client和Server解密。同理，Server接收到Client传送的这两组信息，先通过KServer-Client对后者进行解密，随后将机密的数据同前者进行比较，如果完全一样，则可以证明Client能过提供正确的KServer-Client，而这个世界上，仅仅只有真正的Client和自己知道KServer-Client，所以可以对方就是他所声称的那个人。

Keberos大体上就是按照这样的一个原理来进行Authentication的。但是Kerberos远比这个复杂，我将在后续的章节中不断地扩充这个过程，知道Kerberos真实的认证过程。为了使读者更加容易理解后续的部分，在这里我们先给出两个重要的概念：

• Long-term Key/Master Key：在Security的领域中，有的Key可能长期内保持不变，比如你在密码，可能几年都不曾改变，这样的Key、以及由此派生的Key被称为Long-term Key。对于Long-term Key的使用有这样的原则：被Long-term Key加密的数据不应该在网络上传输。原因很简单，一旦这些被Long-term Key加密的数据包被恶意的网络监听者截获，在原则上，只要有充足的时间，他是可以通过计算获得你用于加密的Long-term Key的——任何加密算法都不可能做到绝对保密。

在一般情况下，对于一个Account来说，密码往往仅仅限于该Account的所有者知晓，甚至对于任何Domain的Administrator，密码仍然应该是保密的。但是密码却又是证明身份的凭据，所以必须通过基于你密码的派生的信息来证明用户的真实身份，在这种情况下，一般将你的密码进行Hash运算得到一个Hash code, 我们一般管这样的Hash Code叫做Master Key。由于Hash Algorithm是不可逆的，同时保证密码和Master Key是一一对应的，这样既保证了你密码的保密性，有同时保证你的Master Key和密码本身在证明你身份的时候具有相同的效力。

• Short-term Key/Session Key：由于被Long-term Key加密的数据包不能用于网络传送，所以我们使用另一种Short-term Key来加密需要进行网络传输的数据。由于这种Key只在一段时间内有效，即使被加密的数据包被黑客截获，等他把Key计算出来的时候，这个Key早就已经过期了。

二、引入Key Distribution: KServer-Client从何而来

上面我们讨论了Kerberos Authentication的基本原理：通过让被认证的一方提供一个仅限于他和认证方知晓的Key来鉴定对方的真实身份。而被这个Key加密的数据包需要在Client和Server之间传送，所以这个Key不能是一个Long-term Key，而只可能是Short-term Key，这个可以仅仅在Client和Server的一个Session中有效，所以我们称这个Key为Client和Server之间的Session Key（SServer-Client）。

现在我们来讨论Client和Server如何得到这个SServer-Client。在这里我们要引入一个重要的角色：Kerberos Distribution Center-KDC。KDC在整个Kerberos Authentication中作为Client和Server共同信任的第三方起着重要的作用，而Kerberos的认证过程就是通过这3方协作完成。顺便说一下，Kerberos起源于希腊神话，是一支守护着冥界长着3个头颅的神犬，在keberos Authentication中，Kerberos的3个头颅代表中认证过程中涉及的3方：Client、Server和KDC。

对于一个Windows Domain来说，Domain Controller扮演着KDC的角色。KDC维护着一个存储着该Domain中所有帐户的Account Database（一般地，这个Account Database由AD来维护），也就是说，他知道属于每个Account的名称和派生于该Account Password的Master Key。而用于Client和Server相互认证的SServer-Client就是有KDC分发。下面我们来看看KDC分发SServer-Client的过程。

通过下图我们可以看到KDC分发SServer-Client的简单的过程：首先Client向KDC发送一个对SServer-Client的申请。这个申请的内容可以简单概括为“我是某个Client，我需要一个Session Key用于访问某个Server ”。KDC在接收到这个请求的时候，生成一个Session Key，为了保证这个Session Key仅仅限于发送请求的Client和他希望访问的Server知晓，KDC会为这个Session Key生成两个Copy，分别被Client和Server使用。然后从Account database中提取Client和Server的Master Key分别对这两个Copy进行对称加密。对于后者，和Session Key一起被加密的还包含关于Client的一些信息。

KDC现在有了两个分别被Client和Server 的Master Key加密过的Session Key，这两个Session Key如何分别被Client和Server获得呢？也许你 马上会说，KDC直接将这两个加密过的包发送给Client和Server不就可以了吗，但是如果这样做，对于Server来说会出现下面 两个问题：

• 由于一个Server会面对若干不同的Client, 而每个Client都具有一个不同的Session Key。那么Server就会为所有的Client维护这样一个Session Key的列表，这样做对于Server来说是比较麻烦而低效的。
• 由于网络传输的不确定性，可能出现这样一种情况：Client很快获得Session Key，并将这个Session Key作为Credential随同访问请求发送到Server，但是用于Server的Session Key确还没有收到，并且很有可能承载这个Session Key的永远也到不了Server端，Client将永远得不到认证。

为了解决这个问题，Kerberos的做法很简单，将这两个被加密的Copy一并发送给Client，属于Server的那份由Client发送给Server。

可能有人会问，KDC并没有真正去认证这个发送请求的Client是否真的就是那个他所声称的那个人，就把Session Key发送给他，会不会有什么问题？如果另一个人（比如Client B）声称自己是Client A，他同样会得到Client A和Server的Session Key，这会不会有什么问题？实际上不存在问题，因为Client B声称自己是Client A，KDC就会使用Client A的Password派生的Master Key对Session Key进行加密，所以真正知道Client A 的Password的一方才会通过解密获得Session Key。 

三、引入Authenticator - 为有效的证明自己提供证据

通过上面的过程，Client实际上获得了两组信息：一个通过自己Master Key加密的Session Key，另一个被Sever的Master Key加密的数据包，包含Session Key和关于自己的一些确认信息。通过第一节，我们说只要通过一个双方知晓的Key就可以对对方进行有效的认证，但是在一个网络的环境中，这种简单的做法是具有安全漏洞，为此,Client需要提供更多的证明信息，我们把这种证明信息称为Authenticator，在Kerberos的Authenticator实际上就是关于Client的一些信息和当前时间的一个Timestamp（关于这个安全漏洞和Timestamp的作用，我将在后面解释）。

在这个基础上，我们再来看看Server如何对Client进行认证：Client通过自己的Master Key对KDC加密的Session Key进行解密从而获得Session Key，随后创建Authenticator（Client Info + Timestamp）并用Session Key对其加密。最后连同从KDC获得的、被Server的Master Key加密过的数据包（Client Info + Session Key）一并发送到Server端。我们把通过Server的Master Key加密过的数据包称为Session Ticket。

当Server接收到这两组数据后，先使用他自己的Master Key对Session Ticket进行解密，从而获得Session Key。随后使用该Session Key解密Authenticator，通过比较Authenticator中的Client Info和Session Ticket中的Client Info从而实现对Client的认证。

为什么要使用Timestamp？

到这里，很多人可能认为这样的认证过程天衣无缝：只有当Client提供正确的Session Key方能得到Server的认证。但是在现实环境中，这存在很大的安全漏洞。

我们试想这样的现象：Client向Server发送的数据包被某个恶意网络监听者截获，该监听者随后将数据包座位自己的Credential冒充该Client对Server进行访问，在这种情况下，依然可以很顺利地获得Server的成功认证。为了解决这个问题，Client在Authenticator中会加入一个当前时间的Timestamp。

在Server对Authenticator中的Client Info和Session Ticket中的Client Info进行比较之前，会先提取Authenticator中的Timestamp，并同当前的时间进行比较，如果他们之间的偏差超出一个可以接受的时间范围（一般是5mins），Server会直接拒绝该Client的请求。在这里需要知道的是，Server维护着一个列表，这个列表记录着在这个可接受的时间范围内所有进行认证的Client和认证的时间。对于时间偏差在这个可接受的范围中的Client，Server会从这个这个列表中获得最近一个该Client的认证时间，只有当Authenticator中的Timestamp晚于通过一个Client的最近的认证时间的情况下，Server采用进行后续的认证流程。

Time Synchronization的重要性

上述 基于Timestamp的认证机制只有在Client和Server端的时间保持同步的情况才有意义。所以保持Time Synchronization在整个认证过程中显得尤为重要。在一个Domain中，一般通过访问同一个Time Service获得当前时间的方式来实现时间的同步。

双向认证（Mutual Authentication）

Kerberos一个重要的优势在于它能够提供双向认证：不但Server可以对Client 进行认证，Client也能对Server进行认证。

具体过程是这样的，如果Client需要对他访问的Server进行认证，会在它向Server发送的Credential中设置一个是否需要认证的Flag。Server在对Client认证成功之后，会把Authenticator中的Timestamp提出出来，通过Session Key进行加密，当Client接收到并使用Session Key进行解密之后，如果确认Timestamp和原来的完全一致，那么他可以认定Server正式他试图访问的Server。

那么为什么Server不直接把通过Session Key进行加密的Authenticator原样发送给Client，而要把Timestamp提取出来加密发送给Client呢？原因在于防止恶意的监听者通过获取的Client发送的Authenticator冒充Server获得Client的认证。


四、引入Ticket Granting  Service

通过上面的介绍，我们发现Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源，先得通过Server的认证；而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket（Session Key + Client Info）。可以这么说，Session Ticket是Client进入Server领域的一张门票。而这张门票必须从一个合法的Ticket颁发机构获得，这个颁发机构就是Client和Server双方信任的KDC， 同时这张Ticket具有超强的防伪标识：它是被Server的Master Key加密的。对Client来说， 获得Session Ticket是整个认证过程中最为关键的部分。

上面我们只是简单地从大体上说明了KDC向Client分发Ticket的过程，而真正在Kerberos中的Ticket Distribution要复杂一些。为了更好的说明整个Ticket Distribution的过程，我在这里做一个类比。现在的股事很火爆，上海基本上是全民炒股，我就举一个认股权证的例子。有的上市公司在股票配股、增发、基金扩募、股份减持等情况会向公众发行认股权证，认股权证的持有人可以凭借这个权证认购一定数量的该公司股票，认股权证是一种具有看涨期权的金融衍生产品。

而我们今天所讲的Client获得Ticket的过程也和通过认股权证购买股票的过程类似。如果我们把Client提供给Server进行认证的Ticket比作股票的话，那么Client在从KDC那边获得Ticket之前，需要先获得这个Ticket的认购权证，这个认购权证在Kerberos中被称为TGT：Ticket Granting Ticket，TGT的分发方仍然是KDC。

我们现在来看看Client是如何从KDC处获得TGT的：首先Client向KDC发起对TGT的申请，申请的内容大致可以这样表示：“我需要一张TGT用以申请获取用以访问所有Server的Ticket”。KDC在收到该申请请求后，生成一个用于该Client和KDC进行安全通信的Session Key（SKDC-Client）。为了保证该Session Key仅供该Client和自己使用，KDC使用Client的Master Key和自己的Master Key对生成的Session Key进行加密，从而获得两个加密的SKDC-Client的Copy。对于后者，随SKDC-Client一起被加密的还包含以后用于鉴定Client身份的关于Client的一些信息。最后KDC将这两份Copy一并发送给Client。这里有一点需要注意的是：为了免去KDC对于基于不同Client的Session Key进行维护的麻烦，就像Server不会保存Session Key（SServer-Client）一样，KDC也不会去保存这个Session Key（SKDC-Client），而选择完全靠Client自己提供的方式。

当Client收到KDC的两个加密数据包之后，先使用自己的Master Key对第一个Copy进行解密，从而获得KDC和Client的Session Key（SKDC-Client），并把该Session 和TGT进行缓存。有了Session Key和TGT，Client自己的Master Key将不再需要，因为此后Client可以使用SKDC-Client向KDC申请用以访问每个Server的Ticket，相对于Client的Master Key这个Long-term Key，SKDC-Client是一个Short-term Key，安全保证得到更好的保障，这也是Kerberos多了这一步的关键所在。同时需要注意的是SKDC-Client是一个Session Key，他具有自己的生命周期，同时TGT和Session相互关联，当Session Key过期，TGT也就宣告失效，此后Client不得不重新向KDC申请新的TGT，KDC将会生成一个不同Session Key和与之关联的TGT。同时，由于Client Log off也导致SKDC-Client的失效，所以SKDC-Client又被称为Logon Session Key。

接下来，我们看看Client如何使用TGT来从KDC获得基于某个Server的Ticket。在这里我要强调一下，Ticket是基于某个具体的Server的，而TGT则是和具体的Server无关的，Client可以使用一个TGT从KDC获得基于不同Server的Ticket。我们言归正传，Client在获得自己和KDC的Session Key（SKDC-Client）之后，生成自己的Authenticator以及所要访问的Server名称的并使用SKDC-Client进行加密。随后连同TGT一并发送给KDC。KDC使用自己的Master Key对TGT进行解密，提取Client Info和Session Key（SKDC-Client），然后使用这个SKDC-Client解密Authenticator获得Client Info，对两个Client Info进行比较进而验证对方的真实身份。验证成功，生成一份基于Client所要访问的Server的Ticket给Client，这个过程就是我们第二节中介绍的一样了。 

五、Kerberos的3个Sub-protocol：整个Authentication

通过以上的介绍，我们基本上了解了整个Kerberos authentication的整个流程：整个流程大体上包含以下3个子过程：

1. Client向KDC申请TGT（Ticket Granting Ticket）。
2. Client通过获得TGT向DKC申请用于访问Server的Ticket。
3. Client最终向为了Server对自己的认证向其提交Ticket。

不过上面的介绍离真正的Kerberos Authentication还是有一点出入。Kerberos整个认证过程通过3个sub-protocol来完成。这个3个Sub-Protocol分别完成上面列出的3个子过程。这3个sub-protocol分别为：

1. Authentication Service Exchange
2. Ticket Granting Service Exchange
3. Client/Server Exchange

下图简单展示了完成这个3个Sub-protocol所进行Message Exchange。

1． Authentication Service Exchange

通过这个Sub-protocol，KDC（确切地说是KDC中的Authentication Service）实现对Client身份的确认，并颁发给该Client一个TGT。具体过程如下：

Client向KDC的Authentication Service发送Authentication Service Request（KRB_AS_REQ）, 为了确保KRB_AS_REQ仅限于自己和KDC知道，Client使用自己的Master Key对KRB_AS_REQ的主体部分进行加密（KDC可以通过Domain 的Account Database获得该Client的Master Key）。KRB_AS_REQ的大体包含以下的内容：

• Pre-authentication data：包含用以证明自己身份的信息。说白了，就是证明自己知道自己声称的那个account的Password。一般地，它的内容是一个被Client的Master key加密过的Timestamp。
• Client name & realm: 简单地说就是Domain name\Client
• Server Name：注意这里的Server Name并不是Client真正要访问的Server的名称，而我们也说了TGT是和Server无关的（Client只能使用Ticket，而不是TGT去访问Server）。这里的Server Name实际上是KDC的Ticket Granting Service的Server Name。

AS（Authentication Service）通过它接收到的KRB_AS_REQ验证发送方的是否是在Client name & realm中声称的那个人，也就是说要验证发送放是否知道Client的Password。所以AS只需从Account Database中提取Client对应的Master Key对Pre-authentication data进行解密，如果是一个合法的Timestamp，则可以证明发送放提供的是正确无误的密码。验证通过之后，AS将一份Authentication Service Response（KRB_AS_REP）发送给Client。KRB_AS_REQ主要包含两个部分：本Client的Master Key加密过的Session Key（SKDC-Client：Logon Session Key）和被自己（KDC）加密的TGT。而TGT大体又包含以下的内容：

• Session Key: SKDC-Client：Logon Session Key
• Client name & realm: 简单地说就是Domain name\Client
• End time: TGT到期的时间。

Client通过自己的Master Key对第一部分解密获得Session Key（SKDC-Client：Logon Session Key）之后，携带着TGT便可以进入下一步：TGS（Ticket Granting Service）Exchange。

2． TGS（Ticket Granting Service）Exchange

TGS（Ticket Granting Service）Exchange通过Client向KDC中的TGS（Ticket Granting Service）发送Ticket Granting Service Request（KRB_TGS_REQ）开始。KRB_TGS_REQ大体包含以下的内容：

• TGT：Client通过AS Exchange获得的Ticket Granting Ticket，TGT被KDC的Master Key进行加密。
• Authenticator：用以证明当初TGT的拥有者是否就是自己，所以它必须以TGT的办法方和自己的Session Key（SKDC-Client：Logon Session Key）来进行加密。
• Client name & realm: 简单地说就是Domain name\Client。
• Server name & realm: 简单地说就是Domain name\Server，这回是Client试图访问的那个Server。

TGS收到KRB_TGS_REQ在发给Client真正的Ticket之前，先得整个Client提供的那个TGT是否是AS颁发给它的。于是它不得不通过Client提供的Authenticator来证明。但是Authentication是通过Logon Session Key（SKDC-Client）进行加密的，而自己并没有保存这个Session Key。所以TGS先得通过自己的Master Key对Client提供的TGT进行解密，从而获得这个Logon Session Key（SKDC-Client），再通过这个Logon Session Key（SKDC-Client）解密Authenticator进行验证。验证通过向对方发送Ticket Granting Service Response（KRB_TGS_REP）。这个KRB_TGS_REP有两部分组成：使用Logon Session Key（SKDC-Client）加密过用于Client和Server的Session Key（SServer-Client）和使用Server的Master Key进行加密的Ticket。该Ticket大体包含以下一些内容：

• Session Key：SServer-Client。
• Client name & realm: 简单地说就是Domain name\Client。
• End time: Ticket的到期时间。

Client收到KRB_TGS_REP，使用Logon Session Key（SKDC-Client）解密第一部分后获得Session Key（SServer-Client）。有了Session Key和Ticket，Client就可以之间和Server进行交互，而无须在通过KDC作中间人了。所以我们说Kerberos是一种高效的认证方式，它可以直接通过Client和Server双方来完成，不像Windows NT 4下的NTLM认证方式，每次认证都要通过一个双方信任的第3方来完成。

我们现在来看看 Client如果使用Ticket和Server怎样进行交互的，这个阶段通过我们的第3个Sub-protocol来完成：CS（Client/Server ）Exchange。

3． CS（Client/Server ）Exchange

这个已经在本文的第二节中已经介绍过，对于重复发内容就不再累赘了。Client通过TGS Exchange获得Client和Server的Session Key（SServer-Client），随后创建用于证明自己就是Ticket的真正所有者的Authenticator，并使用Session Key（SServer-Client）进行加密。最后将这个被加密过的Authenticator和Ticket作为Application Service Request（KRB_AP_REQ）发送给Server。除了上述两项内容之外，KRB_AP_REQ还包含一个Flag用于表示Client是否需要进行双向验证（Mutual Authentication）。

Server接收到KRB_AP_REQ之后，通过自己的Master Key解密Ticket，从而获得Session Key（SServer-Client）。通过Session Key（SServer-Client）解密Authenticator，进而验证对方的身份。验证成功，让Client访问需要访问的资源，否则直接拒绝对方的请求。

对于需要进行双向验证，Server从Authenticator提取Timestamp，使用Session Key（SServer-Client）进行加密，并将其发送给Client用于Client验证Server的身份。


六、User2User Sub-Protocol：有效地保障Server的安全

通过3个Sub-protocol的介绍，我们可以全面地掌握整个Kerberos的认证过程。实际上，在Windows 2000时代，基于Kerberos的Windows Authentication就是按照这样的工作流程来进行的。但是我在上面一节结束的时候也说了，基于3个Sub-protocol的Kerberos作为一种Network Authentication是具有它自己的局限和安全隐患的。我在整篇文章一直在强调这样的一个原则：以某个Entity的Long-term Key加密的数据不应该在网络中传递。原因很简单，所有的加密算法都不能保证100%的安全，对加密的数据进行解密只是一个时间的过程，最大限度地提供安全保障的做法就是：使用一个Short-term key（Session Key）代替Long-term Key对数据进行加密，使得恶意用户对其解密获得加密的Key时，该Key早已失效。但是对于3个Sub-Protocol的C/S Exchange，Client携带的Ticket却是被Server Master Key进行加密的，这显现不符合我们提出的原则，降低Server的安全系数。

所以我们必须寻求一种解决方案来解决上面的问题。这个解决方案很明显：就是采用一个Short-term的Session Key，而不是Server Master Key对Ticket进行加密。这就是我们今天要介绍的Kerberos的第4个Sub-protocol：User2User Protocol。我们知道，既然是Session Key，仅必然涉及到两方，而在Kerberos整个认证过程涉及到3方：Client、Server和KDC，所以用于加密Ticket的只可能是Server和KDC之间的Session Key（SKDC-Server）。

我们知道Client通过在AS Exchange阶段获得的TGT从KDC那么获得访问Server的Ticket。原来的Ticket是通过Server的Master Key进行加密的，而这个Master Key可以通过Account Database获得。但是现在KDC需要使用Server和KDC之间的SKDC-Server进行加密，而KDC是不会维护这个Session Key，所以这个Session Key只能靠申请Ticket的Client提供。所以在AS Exchange和TGS Exchange之间，Client还得对Server进行请求已获得Server和KDC之间的Session Key（SKDC-Server）。而对于Server来说，它可以像Client一样通过AS Exchange获得他和KDC之间的Session Key（SKDC-Server）和一个封装了这个Session Key并被KDC的Master Key进行加密的TGT，一旦获得这个TGT，Server会缓存它，以待Client对它的请求。我们现在来详细地讨论这一过程。

上图基本上翻译了基于User2User的认证过程，这个过程由4个步骤组成。我们发现较之我在上面一节介绍的基于传统3个Sub-protocol的认证过程，这次对了第2部。我们从头到尾简单地过一遍：

1. AS Exchange：Client通过此过程获得了属于自己的TGT，有了此TGT，Client可凭此向KDC申请用于访问某个Server的Ticket。
2. 这一步的主要任务是获得封装了Server和KDC的Session Key（SKDC-Server）的属于Server的TGT。如果该TGT存在于Server的缓存中，则Server会直接将其返回给Client。否则通过AS Exchange从KDC获取。
3. TGS Exchange：Client通过向KDC提供自己的TGT，Server的TGT以及Authenticator向KDC申请用于访问Server的Ticket。KDC使用先用自己的Master Key解密Client的TGT获得SKDC-Client，通过SKDC-Client解密Authenticator验证发送者是否是TGT的真正拥有者，验证通过再用自己的Master Key解密Server的TGT获得KDC和Server 的Session Key（SKDC-Server），并用该Session Key加密Ticket返回给Client。
4. C/S Exchange：Client携带者通过KDC和Server 的Session Key（SKDC-Server）进行加密的Ticket和通过Client和Server的Session Key（SServer-Client）的Authenticator访问Server，Server通过SKDC-Server解密Ticket获得SServer-Client，通过SServer-Client解密Authenticator实现对Client的验证。

这就是整个过程。

七、Kerberos的优点

分析整个Kerberos的认证过程之后，我们来总结一下Kerberos都有哪些优点：

1．较高的Performance

虽然我们一再地说Kerberos是一个涉及到3方的认证过程：Client、Server、KDC。但是一旦Client获得用过访问某个Server的Ticket，该Server就能根据这个Ticket实现对Client的验证，而无须KDC的再次参与。和传统的基于Windows NT 4.0的每个完全依赖Trusted Third Party的NTLM比较，具有较大的性能提升。

2．实现了双向验证（Mutual Authentication）

传统的NTLM认证基于这样一个前提：Client访问的远程的Service是可信的、无需对于进行验证，所以NTLM不曾提供双向验证的功能。这显然有点理想主义，为此Kerberos弥补了这个不足：Client在访问Server的资源之前，可以要求对Server的身份执行认证。

3．对Delegation的支持

Impersonation和Delegation是一个分布式环境中两个重要的功能。Impersonation允许Server在本地使用Logon 的Account执行某些操作，Delegation需用Server将logon的Account带入到另过一个Context执行相应的操作。NTLM仅对Impersonation提供支持，而Kerberos通过一种双向的、可传递的（Mutual 、Transitive）信任模式实现了对Delegation的支持。

4．互操作性（Interoperability）

Kerberos最初由MIT首创，现在已经成为一行被广泛接受的标准。所以对于不同的平台可以进行广泛的互操作。

摘要：本文ASP.NET应用程序身份验证的概念，介绍了各种身份验证模式并进行了比较，阐述了选择身份验证模式的机制，并给出了一种基于窗体身份验证模式的实现方法。

关键字：身份验证 authentication ASP.NET WEB应用

1.身份验证概念 任何成功的应用程序安全策略的基础都是稳固的身份验证和授权手段，以及提供机密数据的保密性和完整性的安全通讯。
身份验证（authentication）是一个标识应用程序客户端的过程，这里的客户端可能包括终端用户、服务、进程或计算机，通过了身份验证的客户端被称为主体（principal）。身份验证可以跨越应用程序的多个层发生。终端用户起初由Web应用程序进行身份验证，通常根据用户名和密码进行；随后终端用户的请求由中间层应用程序服务器和数据库服务器进行处理，这过程中也将进行身份验证以便验证并处理这些请求。
图1列出了各种安全技术以及每种技术所提供的主要验证方式。
2. 身份验证模式 如图1所示，Windows 2000上的.NET框架上提供了以下几种身份验证：
ASP.NET身份验证模式 Enterprise Services身份验证 SQL Server身份验证 2.1 ASP.NET身份验证模式 ASP.NET身份验证模式包括Windows、Forms（窗体）、Passport（护照）和None（无）。
2.1.1 Windows身份验证 使用这种身份验证模式时，ASP.NET依赖于IIS对用户进行验证，并创建一个Windows访问令牌来表示已通过验证的标识。IIS提供以下几种身份验证机制：
基本身份验证简要身份验证集成Windows身份验证证书身份验证匿名身份验证 2.1.2 护照身份验证 使用这种身份验证模式时，ASP.NET使用Microsoft Passport的集中式身份验证服务，ASP.NET为Microsoft Passport软件开发包（SDK）所提供的功能提供了一个方便的包装（Wrapper）。此SDK必须安装在WEB服务器上。
2.1.3 窗体身份验证 这种验证方式使用客户端重定向功能，将未通过身份验证的用户转发到特定的登录窗体，要求用户输入其凭据信息（通常是用户名和密码）。这些凭据信息被验证后，系统生成一个身份验证票证（ticket）并将其返回客户端。身份验证票证可在用户的会话期间维护用户的身份标识信息，以及用户所属的角色列表（可选）。
2.1.4 None 使用这种身份验证模式，表示你不希望对用户进行验证，或是采用自定义的身份验证协议。
2.2 Enterprise Services身份验证 Enterprise Services身份验证通过使用底层的远程过程调用（RPC，Remote Procedure Call）传输结构来进行，而这种结构又使用了操作系统安全服务提供程序接口（SSPI，Security Service Provider Interface）。可以利用Kerberose或NTLM身份验证机制对Enterprise Services应用程序的客户端进行验证。
2.3 SQL Server身份验证 SQL Server可以通过Windows身份验证机制（Kerberose或NTLM），也可以通过其内置的身份验证方案-SQL身份验证机制进行验证。通常有两种可用的验证方案。
2.3.1 SQL Server and Windows 客户端可用通过SQL Server身份验证或Windows身份验证机制来连接SQL Server的某个实例。这种方式有时也被称为混合模式的身份验证。
2.3.2 Windows Only 客户端必须通过使用Windows身份验证机制来连接到SQL Server的一个实例。
3. 选择身份验证机制 设计分布式应用程序的身份验证是一项具有挑战性的任务。在应用程序开发的早期阶段，进行适当的身份验证设计有助于降低许多安全风险。 3.1 各种身份验证机制的比较 用户是否需要在服务器域中拥有Windows帐户是否支持委托是否需要Windows 2000客户端和服务器凭据是否明文传输（需要SSL）是否支持非IE浏览器 基本身份验证 是 是 否 是 是 简要身份验证 是 否 是 否 否 NTLM身份验证 是 否 否 否 否 Kerberos身份验证 是 是 是 否 否 证书身份验证 否 是 否 否 是 窗体身份验证 否 是 否 是 是 护照身份验证 否 是 否 否 是 3.2 选择身份验证机制需要考虑的因素 标识 只有当应用程序的用户具有的Windows帐户可以通过一个受信任的权威机构（它可以被应用程序Web服务器访问）来进行验证时，使用Windows身份验证机制才是合适的。
凭据管理 Windows身份验证的一个关键优势在于它可以使用操作系统进行凭据管理。当使用非Windows身份验证方式，例如窗体身份验证时，必须仔细考虑在何处以及如何保存用户凭据。其中最常用的方式是使用SQL Server数据库或是使用位于Active Directory中的User对象。
标识流动 是否需要实现一个模拟/委托模型，并将原始调用者的安全上下文在操作系统级进行跨层流动-例如，以便支持审核或针对每个用户的精细授权。
浏览器类型 应用程序的所有用户是否都拥有IE浏览器？或是你是否需要支持一个具有混合型浏览器的用户群？ 我们选择身份验证时需要根据各种方式的特点，综合考虑以上因素。

• A fresh install of Ubuntu Dapper + all the updates
• A Windows box with a fully installed and activated version of Adobe Photoshop CS2

- Fire up a terminal session and type the next commands;

TIP: Instead of using apt-get, you can install them with the Synaptic Package Manager located in the System/Administration menu

• $ sudo apt-get update
• $ sudo apt-get install wine and then type “yes”
• $ sudo wine /*To create the wine file structure*/
• $ sudo apt-get install recode and then type “yes”

- Then you need to copy all the necessary files from the Windows box;

• Copy the whole Adobe folder from “c:\Program Files\” to “/home/YOURNAME/.wine/drive_c/Program Files/”

- Now you need to export the registry keys of the Adone Photoshop CS2;

• In your Windows box, type “regedit” in the command-line and export the whole “HKEY_LOCAL_MACHINE/Software/Adobe/” to “adobe.reg”.
• The next step is to copy that file to your Ubuntu box and convert it to the encoding of YOUR system. For example, if your Ubuntu box has as default charset ascii and your Windows box has ucs-2 then “$ recode ucs-2..ascii adobe.reg” would do the trick. After you converted your adobe.reg file, type “$ sudo wine regedit adobe.reg” to import it to wine.
• That’s it! Type “$ sudo wine –winver winxp “[path to Photoshop]/photoshop.exe” or create a launcher and enjoy Adobe Photoshop CS2 on Ubuntu ;)

If you are having a problem regarding “unregistered” versions, you will need to crack your photoshop.exe file.

英语翻译网站:
http://www.readworld.com

中日英互译,还能上载翻译
http://165net.com

http://www.worldlingo.com/

http://www.netat.net/

http://www.translate.ru/eng/

日语翻译网站
1.goo 辞書:收录4部三省堂字典
http://dictionary.goo.ne.jp/index.htmlc

2.インフォシーク :支持在线翻译文本和网页
http://www.infoseek.co.jp/Honyaku/

3.@nifty翻訳:英和辞典／和英辞典 国語辞典 デジタル用語辞典
http://www.nifty.com/dictionary/?top4

4.万物大辞典:所有日常用专业辞典
http://www.prcity.co.jp/oichan/dic/index.html

5.在线字典集合网页
http://www.kyotsu.com/level2/culture/dictionary.htm

6.Bit.ex日中 中日辞書
http://www.bitex-cn.com

7.Kiki's Kanji Dictionary:日汉字发音大全
http://www.kanjidict.com/

8.楽 語 辞 書:乐器方面的辞典
http://www.cablenet.ne.jp/~atari/music09.htm

9.ライフサイエンス辞書:提供一些日文输入法的下载及电子辞典部分内容下载
http://lsd.pharm.kyoto-u.ac.jp/FTP3-dos-J.html
http://lsd.pharm.kyoto-u.ac.jp/Others-J.html

10.日语学习资源发布:日语相关的资料贴子(暴多网站)
http://bbs.online.sh.cn/elitearticle.php?elite_id=231124

11.excite翻訳:支持在线翻译文本
http://www.excite.co.jp/world/text_cn/

12.三省堂在线字典
http://www.sanseido.net/

13.カタカナ語:外来语辞典
http://homepage2.nifty.com/YONE/

14.パソコン辞典:电脑专业用语辞典
http://www.qiuyue.com/index.html

15.デジタル用語辞典:基礎的なパソコン用語から難しい専門用語まで、コンピュータに関連する用語を幅広く収録したインターネット上の用語辞典です
http://yougo.ascii24.com/

16.女の子の名前辞書
http://www.dd.iij4u.or.jp/~ume20/f_name/

17.アニメと人形劇のキャラクターのスペル辞典
http://web.kyoto-inet.or.jp/peop ... sons/animechara.htm

18.日语文章汉字假名自动全篇标注
http://www.yaru.com/

19.房英類似辞典 外来语研究辞典
http://www.awa.or.jp/home/hiroomi/b-jdic/b-jindex.htm

　　此外，附录部分的“VSS命令-权限级别对应表”是笔者整理之后的结果，有了它，大家对不同权限的用户可以使用何种功能，自会变得一目了然。

　　希望这个教程可以对并不十分熟悉VSS的开发人员和管理人员有所帮助，同时也希望可以借此机会澄清一下大家对VSS的一些“偏见”：）

1 说明

一、本教程针对不同使用对象提供Visual SourceSafe 6.0的若干使用指导，阅读对象包括Visual SourceSafe的管理员和普通用户，以及希望了解如何采用Visual SourceSafe进行软件版本控制的管理人员。管理员或普通用户在使用Visual SourceSafe的过程中，如果遇到不知如何操作，或者对某些操作的注意事项不甚了解等类似情况时，可以查阅本教程。

二、本教程的"管理员部分"是管理员必读的，如果管理员在除履行其自身职责之外，还兼任普通用户的角色，则可以参阅教程中的"普通用户部分"。作为一般的普通用户，只需阅读"普通用户部分"即可。

三、教程中列举的操作，加星号者，为高级用法（Advanced Usage），其余为基本用法（Basic Usage）。所谓基本用法是指一些通常使用频繁的，或者是使用方法较为简单的操作。所谓高级用法是指通常使用频率不多，或者较为重要的，或者用法复杂的操作。

四、本教程内容摘选并改编自Visual SourceSafe 6.0英文版联机帮助，从中提取了诸多重要信息、容易忽略的内容以及若干注意事项。一些基本内容（主要指某些基本操作的使用方法）只简单列举了条目，欲了解这些条目的详细情况请查看联机帮助的相关部分，可以通过列于这些条目之后的英文说明在联机帮助中搜索到相关内容。

五、本教程不涉及Visual SourceSafe图形用户界面操作的解释说明，对指定功能的具体操作步骤请查看联机帮助的相关部分。可以通过列于该功能之后的英文说明在联机帮助中搜索到相关内容。

六、在其他Visual Studio产品中（例如：Visual C++）可以集成Visual SourceSafe的功能，本教程不涉及有关在其他集成开发环境下如何使用Visual SourceSafe功能的内容，这部分内容主要针对普通用户。对这些内容的了解，在阅读完本教程之后，将会变得容易。此外，某些操作在Visual SourceSafe环境下使用更为方便。

2 概述

　　Visual SourceSafe（以下简称VSS）是一种版本控制管理工具。它通过将各种类型的文件（包括：文本文件、图像文件、二进制文件、声音文件、视频文件等）存入其内部数据库的方式，帮助你有效地管理工程（Project，关于VSS中工程的概念请见下面）。它允许你在多个工程间共享同一组文件；你可以将一个文件添加到数据库中，以便其他相关人员使用；任何对文件的更改将被记录下来，以便在任何时候可以恢复到该文件的某个旧版本。

　　VSS的工程组织方式使团队协作开发变得更为容易和直观。一个工程是一组存放于VSS数据库内的任意类型的文件，一个工程类似于操作系统中的目录，但VSS为其提供了版本控制、历史记录、文件合并等更多的功能支持。

3 管理员部分

3.1 维护用户列表(Maintain the User List)

3.1.1 添加用户(Add a User)

　　此处略，详细内容请查阅联机帮助。

3.1.2 更改密码(Change Passwords)

　　此处略，详细内容请查阅联机帮助。

3.1.3 创建用户列表(Create a User List)

　　此处略，详细内容请查阅联机帮助。

3.1.4 删除用户(Delete a User)

　　此处略，详细内容请查阅联机帮助。

3.1.5 编辑用户属性(Edit User Attributes)

　　此处略，详细内容请查阅联机帮助。

3.2 管理数据库(Manage the Database)

3.2.1 分析数据目录(Analyze the Data Folder)*
建议你定期备份完整的VSS数据目录（参见数据库打包）。VSS数据目录中包含有全部工程和文件的数据库信息。由于网络或操作系统的某些故障，VSS中的文件可能存在错误和不一致问题，Analyze VSS DB工具被用来查找和修复这些问题。在运行该工具前，需要锁定（Lock）所有用户并要求他们退出VSS，用户可以在一个数据库被锁定时保持文件的签出状态（参见锁定数据库）。建议分两次运行Analyze VSS DB工具，第一次修复错误，第二次核查是否仍然存在没有被修复的错误。数据目录的具体位置是由Data_Path初始化变量在SRCSAFE.INI文件中指定的（参见定制SS.INI和SRCSAFE.INI文件）。

3.2.2 数据库打包(Archive Databases)*

　　你可能需要定期地备份VSS数据库，或者数据库的某一部分。VSS Administrator工具提供了此项功能。它可以：

节省VSS数据库服务器的磁盘空间。
加快显示历史记录操作（Show History）的速度。
便于在多个VSS数据库间传递文件和工程，保持历史记录完整无缺。
备份全部或部分VSS数据库内容并压缩成文件。

3.2.3 清除临时目录(Clean Temporary Folder)

　　VSS通常在运行时把临时结果放在临时目录里，并在退出前将之删除。由于某些原因，例如非正常重启，可能导致临时内容残留在目录中。作为管理员，你有责任定期清除临时目录的内容。每隔几周一次，当没有任何用户运行VSS或VSS Administrator时，请清除临时目录的内容。临时目录的具体位置是由Temp_Path初始化变量在SRCSAFE.INI文件中指定的（参见定制SS.INI和SRCSAFE.INI文件）。

3.2.4 锁定数据库(Lock a Database)

　　数据库锁定功能将不会自动锁定那些当前已经登录的用户，你应该在锁定数据库之前要求登录用户退出VSS。在重新允许用户使用VSS之前，需要解除对数据库的锁定。


3.2.5 数据库恢复(Restore Databases)

　　此处略，详细内容请查阅联机帮助。

3.2.6 使用多个数据库(Work with Multiple Databases)*

　　缺省时，VSS将所有文件集中放在一个数据库中。如果可能，应尽量使用一个数据库存放所有文件，这比分多个数据库存放要好，因为：
你不能在多个数据库间共享（Share）文件（参见对文件和工程的Branch/Share操作）。
将位于多个数据库中的内容集中在一起是比较困难的，需要使用VSS Administrator的Archive功能（参见数据库打包）。
出于安全的考虑，VSS的用户信息，包括密码在内，是和数据一起存放的。
如果为了安全起见，要将信息拆分成多个独立的数据库，

　　缺省时，VSS将所有文件集中放在一个数据库中。如果可能，应尽量使用一个数据库存放所有文件，这比分多个数据库存放要好，因为：你不能在多个数据库间共享（Share ）文件（参见对文件和工程的Branch/Share操作）。
将位于多个数据库中的内容集中在一起是比较困难的，需要使用VSS Administrator 的Archive功能（参见数据库打包）。
出于安全的考虑，VSS的用户信息，包括密码在内，是和数据一起存放的。如果为了安全起见，要将信息拆分成多个独立的数据库，这种信息存储方式将带来极大的便利,但你必须为每个数据库都单独添加用户。


3.3 有关权限的话题(About Rights)

3.3.1 权限的传递(Rights Propagation)

　　当你添加了一个新用户，并为该用户设置了针对某个工程的权限时，将在VSS数据库中建立起一个assignment。该 assignment将会沿着工程树向下传递直至遇到另一个assignment。

　　例如：针对工程"$/" ，你为用户A指定了Add权限（参见安全访问权限），而对于工程"$/Sample"，你没有为用户显式指定权限，则该用户将对工程"$/Sample"自动拥有Add权限。当你在工程"$/Sample/BusinessObject"处为其指定了Read权限后，将阻止早先assignment的向下传递过程，所以用户A对该工程（指"$/Sample/BusinessObject"）及其子工程都只具有Read权限了。

　　当你首次添加一个用户时，该用户在工程"$/"处被赋予的权限由"缺省权限"决定，缺省权限是通过在VSS Administrator里设置Project Security属性页的内容来定义的。你可以通过修改该页内容，全局性地变更所有用户的缺省权限。

3.3.2 安全访问权限(Security Access Rights)

3.3.2.1 缺省安全设置

　　当安装VSS后，缺省安全设置将被启用。你可以利用定制的方式，使某些用户拥有对某些工程和某些VSS命令的特定权限。

　　缺省安全设置很简单，当添加新用户时，你只有两种级别的访问权限可供选择：

只读权限（Read-only rights）：用户可以查看VSS中的任何内容，但不能更改。
可读写权限（Read/write rights）：用户可以查看和修改VSS中的任何内容。

　　如果这样的访问权限级别足以应对日常使用，那么就无需再增强安全控制的级别了。

　　所有的VSS安全管理都在VSS Administrator中进行。任何能运行该程序的用户都可以改变VSS的任意特性，所以最好只有管理员才使用该程序。

3.3.2.2 更高级别的安全控制

　　在VSS中，对工程的安全性控制，是通过制定用户访问权限来实现的。每个工程仅能被那些具有相应权限的用户访问到，每个命令仅能被那些具有相应权限的用户使用。可以通过VSS Administrator来定制权限，以达到更高级别的安全控制。

　　以下是VSS的权限级别列表，下列每种权限都拥有该权限之前的全部权限。例如：拥有Check Out权限的用户，也将同时拥有Read权限。（参见附录A2：VSS中部分命令的对应权限级别）

权限 描述
Read (R) 类似于缺省安全设置中的只读权限
Check Out (C) 可以使用Check Out/Check In/Undo Check Out等命令对文件进行修改
Add (A) 可以使用Add/Delete/Label/Rename等命令对文件进行修改
Destroy(D) 可以使用 Destroy/Purge/Rollback等命令对文件实施永久删除操作

4 普通用户部分

4.1 对工程、文件的一般性使用(Normal Use about Projects and Files)

4.1.1 打开/关闭数据库(Open/Close a Database)

　　此处略，详细内容请查阅联机帮助。

4.1.2 创建新工程(Create New Projects)

　　此处略，详细内容请查阅联机帮助。

4.1.3 添加文件、目录、工程(Add Files，Folders，and Projects)

　　此处略，详细内容请查阅联机帮助。

4.1.4 删除和恢复文件、工程(Delete and Recover Files and Projects)

　　VSS提供了3种删除文件的方法：

• Delete：VSS只把指定文件从当前工程中删除，而在VSS数据库中仍留有该文件的记录。此外，其他共享了该文件的工程仍保留此文件（参见对文件和工程的Branch/Share操作）。
• Destroy：VSS将把指定文件从VSS数据库中彻底删除，其后将无法恢复。
• Purge：永久性删除已被Delete掉的文件，其后将无法恢复。

　　对于共享文件，Delete和Destroy仅将文件从当前所选工程中删除掉，其他共享了该文件的工程，以及VSS数据库中，仍留有此文件。

4.1.5 移动文件和工程(Move Files and Projects)

　　移动一个文件的唯一方法是，在文件新所在位置的上一级工程（parent project）处使该文件共享（参见对文件和工程的Branch/Share操作），然后将原有工程（original project）下的该文件Delete或者 Destroy（参见删除和恢复文件、工程）。移动后，文件的历史记录将被保留。

　　通过使用Move命令，你可以将一个子工程（subproject）从某个上级工程重置到另一个工程下。该操作不会改变子工程的内容和历史记录，但它会影响上级工程的历史记录（包括子工程所在的原有上级工程和新的上级工程）。当移动一个工程后，你将无法重建原有上级工程的某个旧版本。

4.1.6 重命名文件、工程(Rename Files or Projects)

　　若某个文件被多个工程所共享，对该文件的重命名将影响所有工程，而在Branch状态下，则不影响（参见对文件和工程的Branch/Share操作）。

4.1.7 设置工作目录(Set Working Folders)

　　此处略，详细内容请查阅联机帮助。

4.2 签入、签出、获取、查看及相关操作(Check In/Out、Get、View and Other Related Use)

4.2.1 签入签出操作(Check In and Check Out Files)

　　此处略，详细内容请查阅联机帮助。

4.2.2 撤销签出(Undo Check Out)

　　执行该操作时，若用户选择了替换本地文件，则用户将丢失最近一次签出后对该文件在本地的更改。

4.2.3 获取最近版本(Get Latest Version)

　　此处略，详细内容请查阅联机帮助。

4.2.4 获取早期版本(Get Earlier Version)

　　此处略，详细内容请查阅联机帮助。

4.2.5 获取和查看文件、工程(Get and View Files and Projects)

　　Get操作将文件或工程拷贝至本地的工作目录，并设置为read-only属性。可以用View操作查看文件内容，此时用户无需设置工作目录。

　　尽量不要删除vssver.scc文件。本地工作目录及每个子目录下都包含一个这样的文件，VSS利用其中记录的信息确定本地目录中哪个文件已经更改了。删除后，将使新一次的Get操作速度减慢。

4.2.6 回滚到以前版本(Rollback to Previous Versions)

　　该操作将使文件的内容恢复到先前某个版本时的状态，它将使所有在该版本后所做的改动丢失。如果你所回滚的文件被多个工程共享，则操作只影响你所指定的那个工程，并且它会自动实行Branch操作（参见对文件和工程的 Branch/Share操作）。建议你使用虚拟回滚（Virtual Rollback），它将不会使随后的改动永久丢失。具体操作如下：

• 选择你要回滚的文件并签出
• 使用Get命令获取某个原有版本到本地
• 签入该文件

4.2.7 多人同时签出一个文件(Check Out Multiple Files) *

　　缺省状态下，一个文件只允许一个人签出，管理员可以通过修改配置，允许多人同时签出。此时，VSS将跟踪所有签出该文件的用户。每当用户签入时，VSS都将和当前存于数据库内的最新版本进行比较，若用户修改的是同一文件的不同处，VSS将进行简单的合并（Merge），否则提示用户，并且不允许签入。用户可以通过VSS提供的Visual Merge工具，比较存放于VSS数据库中的文件和本地文件的异同，手工修改本地文件，直到认为已经可以签入时，方才执行最终签入操作。（参见合并）

4.2.8 合并(Merge)*

　　在VSS中，合并可能发生在3种场合下：使用Multiple Checkout的工作方式；合并原先已经Branch了的文件；获取（Get）文件。

• Multiple Checkout：若多个用户同时签出一个文件，第一个用户只要简单的签入就可以了。后续用户也可以签入，但他们的更改将需要和其他所有用户的更改合并，VSS将得到完整的更改内容（参见多人同时签出一个文件 ）。
• Branch：当被Branch的文件合并到其中一个分支时，VSS将会把在另一个分支上所做的改动合并到该分支上（参见对文件和工程的Branch/Share操作）。
• Merge on Get：在Multiple Checkout工作方式下，当使用Get Latest Version操作时可能引发合并操作，此时保存在VSS数据库中的内容将合并到本地文件。但如果某个文件是排他性签出的，则不会引发合并操作（参见排他性签出 ）。

　　在完成一个合并之后，VSS遵循如下规则：

• 如果仍有冲突，VSS维持文件的签出状态，为了使文件能顺利签入，你必须排除这些冲突。
• 如果你使用Merge Branches命令，将一个文件合并到一个工程中，而该工程中的对应文件已被签出，该文件将继续保持签出状态（参见对文件和工程的Branch/Share操作）。
• 在任何其他时候，VSS将会提示你，或者在合并后自动签入，或者保持文件的签出状态以使你在更新VSS数据库中内容之前再核查一边。

　　缺省情况下，当发生冲突时，VSS将启用其Visual Merge工具。

4.2.9 排他性签出(Exclusive Check Out)*

　　允许多人同时签出一个文件是针对整个VSS数据库而言的，但用户仍可以根据实际情况，针对某些文件修改该规则。对某个文件实施排他性签出，则其他用户将无法签出该文件，直至该用户使用了签入操作。

4.2.10 对工程的Cloak操作(Cloak Projects)*

　　若对某工程实行了Cloak操作，则当对该工程的上一级工程进行Get/Check In/Check Out/Undo Check Out/Project Difference操作时，将不会影响该工程及其子工程。而在该工程上进行类似操作时，则和平常得到的结果一样。这一属性将传递给其下的子工程。

　　例如：某个工程其路径为$/Application，下面有三个子工程：$/Application/Code，$/Application/Test，