RU2015146659A

RU2015146659A - Синхронизация хэшей мандатов между службами каталогов

Info

Publication number: RU2015146659A
Application number: RU2015146659A
Authority: RU
Inventors: Джонатан М. ЛЮК; Ариэль Н. ГОРДОН; Раман Н. ЧИККАМАГАЛУР; Зиад ЭЛМАЛКИ; Сергий ГУБЕНКО; Гириш ЧАНДЕР; Ананди СОМАСЕКАРАН; Мурли Д. САТАГОПАН
Original assignee: МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи
Priority date: 2013-04-30
Filing date: 2014-04-30
Publication date: 2017-06-05
Also published as: EP2992473B1; CN105247529B; US10069630B2; CN105247529A; BR112015027175A2; JP2016522932A; US20140325622A1; JP6446032B2; US20170302448A1; BR112015027175A8; BR112015027175B1; EP2992473A1; WO2014179386A1; RU2015146659A3; US9282093B2; RU2671045C2; US20160301694A1; US9769170B2

Claims

1. Способ в вычислительном окружении, содержащий этапы, на которых принимают хэш-значение, вычисленное на основании незашифрованного пароля, причем хэш-значение было вычислено в ответ на событие изменения пароля в исходной службе, и экспортируют данные, которые соответствуют хэш-значению, в целевую службу, чтобы синхронизировать данные, которые соответствуют хэш-значению, с целевой службой для использования при аутентификации идентификатора.

2. Способ по п. 1, в котором хэш-значение вычисляется с помощью алгоритма первичного хэширования, и дополнительно содержащий этап, на котором вторично хэшируют хэш-значение в защищенный с помощью секрета большой бинарный объект с помощью алгоритма вторичного хэширования для вычисления данных, которые соответствуют хэш-значению, для экспорта в целевую службу.

3. Способ по п. 2, в котором вторичное хэширование хэш-значения в защищенный с помощью секрета большой бинарный объект содержит этап, на котором используют случайную соль и множество итераций.

4. Система, содержащая основной процесс синхронизации, соединенный с доменной сетью, причем основной процесс синхронизации выполнен с возможностью синхронизации изменений пароля, принятых в доменной сети, с целевой службой каталогов, внешней по отношению к сети, включая получение хэш-значения, представляющего незашифрованный пароль из доменной сети, обработку хэш-значения в защищенный с помощью секрета большой бинарный объект через по меньшей мере один алгоритм вторичного хэширования, и экспорт защищенного большого бинарного объекта пароля в целевую службу каталогов.

5. Система по п. 4, в которой основной процесс синхронизации обрабатывает хэш-значение в защищенный с помощью секрета большой бинарный объект через алгоритм вторичного хэширования и случайную соль.

6. Система по п. 4, в которой основной процесс синхронизации связан со службой сети для определения, с каким контроллером домена в каждом из одного или более доменов следует контактировать на предмет данных об изменении пароля.

7. Система по п. 4, в которой хэш-значение обрабатывается в защищенный с помощью секрета большой бинарный объект по меньшей мере через один алгоритм вторичного хэширования посредством по меньшей мере части основного процесса синхронизации, выполняемого:

a) на каждом контроллере домена,

b) на отдельной машине, соединенной с доменной сетью локального сервера, или

c) на облачной машине или другой машине, географически отделенной от доменной сети.

8. Система по п. 4, в которой целевая служба каталогов конфигурирована с криптографической адаптивностью для использования любого из множества алгоритмов хэширования или сочетаний алгоритмов хэширования, ассоциированных с идентификатором, во время аутентификации идентификатора.

9. Один или более машиночитаемых носителей информации, имеющих машиноисполняемые инструкции, которые при исполнении выполняют этапы, содержащие:

хранение в целевой службе множества наборов данных, содержащих защищенные секретом большие бинарные объекты, соответствующие незашифрованным паролям, причем каждый защищенный секретом большой бинарный объект ассоциирован с идентификатором, при этом каждый из защищенных секретом больших бинарных объектов вычисляется из незашифрованного пароля по меньшей мере посредством двух алгоритмов хэширования и синхронизируется с целевой службой; и

прием в целевой службе попытки входа в систему, включающей в себя мандат, соответствующий идентификатору и паролю, вычисление первого значения на основании выполнения по меньшей мере одного алгоритма хэширования по паролю, и сравнение первого значения по меньшей мере с одним защищенным секретом большим бинарным объектом, ассоциированным с идентификатором, для аутентификации идентификатора.

10. Один или более машиночитаемых носителей информации по п. 9, имеющие дополнительные машиноисполняемые инструкции, содержащие замену большого бинарного объекта, ассоциированного с идентификатором, другим большим бинарным объектом, вычисленным по меньшей мере из одного другого алгоритма хэширования.