[发明专利]在目录服务之间同步凭证散列

说明书

本发明涉及将在源位置(例如，现场目录服务)处改变的口令安全地同步到目标位置(例如，云目录服务)，使得相同凭证可被使用来登录到源和目标位置，但无需让每个域控制器处理该同步。明文口令未被展示，相反，使用从中计算的散列值来表示口令相关的数据。目标可接收主散列的次级散列，并且因此仅接收并存储口令团块。通过在目标服务处使用相同散列算法以计算团块并与经同步的团块进行比较来完成认证。还描述了密码灵活性和/或改变散列算法而不需要用户口令改变。

背景

越来越多的组织正在使用云服务应用及资源而不是只使用现场应用和资源(其中与云相反，“现场”指在组织的控制下，不考虑任何物理位置)。与现场应用和资源一样，用户需要凭证来访问现存云服务。注意某些(通常很小的)组织仅将云用于他们基于凭证的身份基础结构和应用，并且这样使用云来处理基于凭证的认证。

很大的组织现场运行目录服务(其一个示例是微软公司的包括其域控制器服务器的Active)来认证用户，并使应用发现用户帐户以及帐户之间的联系。此外，这允许这样的组织为安全的目的保留对它们的凭证相关的数据的完全控制而不是将数据提供给云。大的组织使用(例如，在Active场景中)可被称为联盟/联盟服务，其包括用于个体用户利用他们的现场凭证来访问云中的资源的机制。

凭证不被同步；相反，云将登录请求等引导到现场身份基础结构以认证，允许用户仅登录一次。

然而，联盟的安装和维护相对来说很昂贵，并且因此仅大组织趋向使用联盟。许多较小组织想要使用相同用户名和密码来访问现场资源和应用以及云资源和应用。然而，没有联盟，需要某种方式来处理现场凭证和云凭证。

一种解决方案是截取明文用户口令来传输到目标目录服务。明文用户口令可被复制到身份基础结构中的全部服务器/数据库。然而，这可能是不安全的，特别是当云目录服务是目标时。此外，软件需要在目标目录服务的每个服务器上被配置以捕捉全部用户口令改变事件。除了其它缺点，这还是低效且不便于维护的。

出于安全的理由，许多公司不想要将现场凭证数据释放到云，这导致认证问题。一种解决方案是发行一个凭证集合供用户来访问云应用，而另一凭证集合用于用户访问现场应用。这也是低效且不便于维护的。

概述

提供本概述以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念的选集。本概述不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在以限制所要求保护的主题的范围的任何方式来使用。

简言之，在此描述的主题的各种方面指向将在源位置改变了的口令安全地同步到目标位置，使得相同的凭证可在源和目标位置被使用。在一个方面，基于明文口令计算的散列值被接收，其中散列值响应于在源服务处的口令改变事件被计算。对应于散列值的数据被导出到目标服务，以将新口令同步到目标服务供在身份认证中使用。对应于散列值的数据可以使用次级散列算法被次级散列成为受口令保护的团块。

在一个方面，同步主进程被耦合到域网格。同步主进程被配置来将在域网格接收到的口令改变与网格外的目标目录服务(例如，云目录服务)进行同步。同步主进程从域网格获得代表明文口令的散列值、将散列值通过至少一个次级散列算法处理成受秘密保护的团块、将秘密保护的团块导出到目标目录服务。同步主进程可被耦合到网格的组件或耦合到网格的组件并获得来自网格的组件或耦合到网格的组件的散列值，其中组件被配置来接收对应于在网格的任何域控制器处作出的口令改变的经复制的口令改变数据。

在一个方面，包括对应于明文口令的受保护团块的多个数据集合被维护。每个团块与一个身份相关联，其中团块通过至少两个散列算法从明文口令计算。用另一个散列算法计算的另一个团块与身份相关联，包括通过用其它团块代替该团块。这可通过用其它散列算法为每个身份计算团块来实现，包括针对每个身份将与那个身份相关联的团块散列成针对那个身份的其它团块。这也可以通过从现场目录服务组件接收其它团块并接收标识对应于该其它散列算法的信息的信息来实现。