[发明专利]在目录服务之间同步凭证散列

权利要求书

1.一种在计算环境中用于同步凭证集合的方法，所述方法包括：

提供对应于上一次同步的同步时戳；

接收仅包括自上一次同步起所作的改变的经散列的凭证的集合；以及

将所述经散列的凭证的集合导出到目标服务，以用于身份认证。

2.如权利要求1所述的方法，其特征在于，所述经散列的凭证的集合用主散列算法来计算，并且所述方法还包括，使用次级散列算法将所述经散列的凭证的集合次级散列成受秘密保护的团块，所述次级散列算法对应于所述散列的凭证的集合以用于导出到所述目标服务。

3.如权利要求2所述的方法，其特征在于，将所述经散列的凭证的集合次级散列成所述受秘密保护的团块包括使用随机盐和迭代数量。

4.一种用于同步凭证集合的系统，包括：

目标目录服务；

具有多个域的域网格；

耦合到所述域网格的同步主进程，所述同步主进程配置用于与所述网格以外的所述目标目录服务同步在所述域网格中接收到的口令改变，包括：

接收表示来自所述域网格的明文口令的散列值；

使用次级散列算法对所述散列值进行附加散列以生成受秘密保护的团块；以及

将所述受秘密保护的团块导出到所述目标目录服务。

5.如权利要求4所述的系统，其特征在于，所述同步主进程通过次级散列算法和随机盐将所述散列值处理成所述受秘密保护的团块。

6.如权利要求4所述的系统，其特征在于，所述同步主进程耦合到网格服务以确定联系一个或多个域中的每一个中的哪个域控制器寻找口令改变数据。

7.如权利要求4所述的系统，其特征在于，所述散列值通过至少一个次级散列算法由运行在以下的同步主进程的至少一部分处理成所述受秘密保护的团块：

a)在每个域控制器上，

b)在耦合到现场服务器域网格的分开的机器上，或

c)在云机器或与所述域网格地理上分开的其它机器上。

8.如权利要求4所述的系统，其特征在于，所述目标目录服务配置有密码灵活性以在一身份的认证期间使用与该身份相关联的多个散列算法或散列算法组合的任何一种。

9.一种在目录服务之间同步凭证散列的方法，包括：

在目标服务维护包括对应于明文口令的受秘密保护的团块的数据的多个集合，每个受秘密保护的团块与一身份相关联，其中每个受秘密保护的团块从明文口令用至少两个散列算法的组合来计算并同步到所述目标服务；

在所述目标服务接收包括对应于身份和口令的凭证的登录尝试；

基于对所述口令执行至少一个散列算法来计算第一值；以及

将所述第一值与所述身份相关联的至少一个与受秘密保护的团块进行比较，以认证所述身份。

10.如权利要求9所述的方法，其特征在于，进一步包括将与身份相关联的团块用从至少一个不同散列算法计算的另一个团块来代替。