WO2017057899A1

WO2017057899A1 - 일회용 난수를 이용하여 인증하는 통합 인증 시스템

Info

Publication number: WO2017057899A1
Application number: PCT/KR2016/010860
Authority: WO
Inventors: 황순영
Original assignee: 황순영
Priority date: 2015-10-02
Filing date: 2016-09-28
Publication date: 2017-04-06
Also published as: KR101718948B1; JP6498358B2; EP3358783A4; US20180254904A1; CN108370316A; JP2018530235A; EP3358783A1

Abstract

본 발명에 따른 일회용 난수를 이용하여 인증하는 통합 인증 시스템은 일회용 난수 생성기가 사용자 단말이 수신한 씨드값과 사용자 비밀번호를 위치정보로 이용하여 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하고, 상기 인증 서버가 상기 씨드값과 비밀번호 DB에 저장된 사용자 비밀번호를 위치정보로 이용하여 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 상기 제2 일회용 난수와 상기 사용자 단말로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증한다.

Description

일회용 난수를 이용하여 인증하는 통합 인증 시스템

본 발명은 일회용 무작위숫자를 이용하여 인증하는 통합 인증 시스템에 관한 것이다. 보다 구체적으로, 본 발명은 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 유출되지 않도록 하고, 사용자 인증 요청시마다 거래 비밀번호를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하고, 제3자가 이 거래 비밀번호를 사전에 예측할 수 없도록 함으로써, 사용자 인증의 보안성을 크게 강화시킬 수 있는 방법에 관한 것이다.

일반적으로 사용자는 사용자 단말을 통해 특정한 서비스를 제공하는 웹 페이지(web page)에 접속할 때 자신의 아이디와 비밀번호를 입력하여 서버에 사용자 인증을 요청한다. 이때 서버는 기존에 등록된 사용자의 아이디와 비밀번호가 일치함을 확인함으로써 접속 여부를 결정하게 된다. 그런데 만일 사용자의 아이디와 비밀번호가 제3자에게 유출된 상태에서 제3자가 사용자의 아이디와 비밀번호를 입력하여 인증을 요청하는 경우, 서버는 제3자가 정당한 권원이 있는 사용자인지 여부를 구분할 수 없어, 아이디와 비밀번호의 일치 여부만을 기준으로 접속을 인증하기 때문에, 실질적인 오인증의 문제가 발생한다.

이러한 오인증의 문제는 현재 인터넷 해킹에 의해 광범위하게 출현하고 있으며, 이에 따른 인터넷 사용자의 정보도용의 문제가 심각한 것이 현실이다.

즉 종래의 방식에 따르면, 비밀번호가 사용자에 의해 수정되지 않는 한 고정되기 때문에 제3자가 사용자의 컴퓨터 등을 해킹하거나 서버에 저장된 사용자의 비밀번호를 해킹하여 알게 되면 그 번호를 재사용함으로써 정당한 권원없이 사용자 행세를 할 수 있다는 문제점이 있다.

이러한 고정 비밀번호 방식의 문제점을 해결하기 위하여 매번 변하는 숫자를 발생시키는 일회용 비밀번호(One Time Password, OTP) 생성기가 사용되고 있다.

그러나 종래의 OTP 방식은 일방향 해쉬함수라는 특정한 규칙(알고리즘)을 사용하여 비밀번호를 생성하고 있기 때문에, 정당한 권원이 없는 제3자에게 이 규칙(알고리즘)이 유출되는 경우, 비밀번호로 사용되는 숫자를 예측할 수 있기 때문에 역시 도용이 발생할 수 있다는 문제점이 있다.

[선행기술문헌]

[특허문헌]

(특허문헌 1) 대한민국 공개특허공보 제10-2008-0086733호(공개일자: 2008년 09월 26일, 명칭: ＯＴＰ를 이용한 금융거래 시스템)

(특허문헌 2) 대한민국 공개특허공보 제10-2014-0106360호(공개일자: 2014년 09월 03일, 명칭: OTP 인증 시스템 및 방법)

본 발명은 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 유출되지 않도록 함으로써, 사용자 인증의 보안성을 크게 향상시키는 것을 기술적 과제로 한다.

또한, 본 발명은 사용자 인증 요청시마다 거래 비밀번호를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하고, 제3자가 이 거래 비밀번호를 사전에 예측할 수 없도록 함으로써, 사용자 인증의 보안성을 크게 강화시키는 것을 기술적 과제로 한다.

또한, 본 발명은 사용자가 서버에 접속하기 전에는 거래 비밀번호가 생성되지 않게 함으로써, 서버 운영자조차도 도용이 불가능하고, 서버 운영자 측면에서 내부통제비용을 감소시키는 것을 기술적 과제로 한다.

본 발명의 일 측면에 따른 통합 인증 시스템은 사용자 단말, 인증 서버 및 일회용 난수 생성기를 포함하고, 사용자 단말로부터 사용자에 대한 인증을 요청받은 인증 서버가 씨드값(seed value)을 생성하여 상기 사용자 단말로 전송하고, 일회용 난수 생성기가 상기 사용자 단말이 수신한 씨드값과 사용자 비밀번호를 위치정보로 이용하여 상기 일회용 난수 생성기에 저장된 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하고, 상기 인증 서버가 상기 씨드값과 비밀번호 DB에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB에 저장된 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 상기 제2 일회용 난수와 상기 사용자 단말로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증한다.

본 발명의 다른 측면에 따른 통합 인증 시스템은 사용자 단말, 인증 서버 및 일회용 난수 생성기를 포함하고, 사용자 단말로부터 사용자에 대한 인증을 요청받은 인증 서버가 씨드값(seed value)이 포함된 은폐숫자집합을 생성하여 상기 사용자 단말로 전송하고, 일회용 난수 생성기가 상기 사용자 단말이 수신한 은폐숫자집합으로부터 획득된 씨드값과 사용자 비밀번호를 위치정보로 이용하여 상기 일회용 난수 생성기에 저장된 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하고, 상기 인증 서버가 상기 씨드값과 비밀번호 DB에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB에 저장된 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 상기 제2 일회용 난수와 상기 사용자 단말로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증한다.

본 발명의 다른 측면에 따른 통합 인증 시스템에 있어서, 상기 씨드값은 상기 은폐숫자집합을 구성하는 숫자들 중에서 사용자에게 기 부여된 씨드 추출용 위치번호에 대응하는 숫자들을 추출하여 획득되는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기는 상기 씨드값과 상기 사용자 비밀번호에 제1 연산규칙을 적용하여 제1 중간값을 생성하고, 상기 제1 중간값에 제1 추출규칙을 적용하여 제1 위치번호를 추출하고, 상기 제1 난수집합을 구성하는 난수들 중에서 상기 제1 위치번호에 대응하는 난수들을 추출하여 상기 제1 일회용 난수를 생성하고, 상기 인증 서버는 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 제2 연산규칙을 적용하여 제2 중간값을 생성하고, 상기 제2 중간값에 제2 추출규칙을 적용하여 제2 위치번호를 추출하고, 상기 제2 난수집합을 구성하는 난수들 중에서 상기 제2 위치번호에 대응하는 난수들을 추출하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기와 상기 인증 서버는 각각 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기와 상기 인증 서버는 각각 상기 사용자의 생체정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기는 상기 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제1 변환규칙을 적용하여 상기 제1 일회용 난수를 생성하고, 상기 인증 서버는 상기 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제2 변환규칙을 적용하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기는 상기 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제1 해시 함수로 암호화하여 상기 제1 일회용 난수를 생성하고, 상기 인증 서버는 상기 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제2 해시 함수로 암호화하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기는 상기 사용자 단말과 물리적으로 구분된 하드웨어 장치이거나 상기 사용자 단말에 소프트웨어적으로 구현된 기능 모듈인 것을 특징으로 한다.

본 발명의 양 측면에 따른 통합 인증 시스템에 있어서, 상기 일회용 난수 생성기에는 상기 사용자 비밀번호가 저장되어 있지 않은 것을 특징으로 한다.

본 발명에 따르면, 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 유출되지 않도록 함으로써, 사용자 인증의 보안성이 크게 향상되는 효과가 있다.

또한, 사용자 인증 요청시마다 거래 비밀번호를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하고, 제3자가 이 거래 비밀번호를 사전에 예측할 수 없도록 함으로써, 사용자 인증의 보안성이 크게 강화되는 효과가 있다.

또한, 사용자가 서버에 접속하기 전에는 거래 비밀번호가 생성되지 않기 때문에, 서버 운영자조차도 도용이 불가능하다는 효과가 있고, 서버 운영자 측면에서 내부통제비용이 감소되는 효과가 있다.

또한, 본 발명은 사용자가 인증을 받기 위해 일회용 난수 생성기에서 생성된 일회용 난수를 거래 비밀번호로 이용하기 때문에, 정당한 권원이 없는 제3자가 온 라인 도청 또는 해킹을 하더라도 거래 비밀번호를 도용을 할 수 없는 효과가 있다.

또한, 정당한 권원이 없는 제3자가 일회용 난수 생성기를 습득하여 사용하더라도, 제3자는 사용자 비밀번호를 알 수 없기 때문에, 제3자가 습득한 일회용 난수 생성기는 인증 서버가 생성한 난수와 동일한 난수를 생성할 수 없으며, 이에 따라 일회용 난수 생성기가 분실되는 경우에도 거래 비밀번호가 도용되지 않는다는 효과가 있다.

또한, 사용자 비밀번호와 사용자 개인키에 해당하는 제2 난수집합을 인증 서버에 보관하지 않고, 각각 비밀번호 DB와 난수집합 DB에 분리 보관하기 때문에, 인증 서버가 해킹을 당하여도 거래 비밀번호가 도용되지 않는다는 효과가 있다.

또한, 일회용 난수 생성기에서 생성되는 난수는 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 포함하기 때문에 거래부인 방지효과가 발생한다. 즉, 씨드값을 보내준 인증 서버(금융기관 등)가 거래하지 않았다고 부인할 수 없으며, 그 씨드값과 자신의 사용자 비밀번호를 입력하여 발생한 숫자를 인증 서버로 보내준 사용자도 자신이 그러한 행위를 하지 않았다고 부인할 수 없다. 또한, 일회용 난수 생성기에서 생성되는 난수는 수취인 식별정보를 포함하기 때문에, 해커가 일회용 난수 생성기를 부당하게 가로채 자신의 대포통장 번호로 이체를 요구해도 수취인 식별정보가 다르기 때문에 해커에 대한 인증이 거부되는 효과가 있다.

또한, 일회용 난수 생성기를 사용하기 위해서는 사용자 비밀번호가 필요하고 그 사용자 비밀번호는 사용자의 기억(두뇌)속에만 보관되며 외부 어디에도 남아 있지 않으므로, 제3자가 이를 도용할 방법이 없기 때문에, 일회용 난수 생성기는 공인인증서를 효과적으로 대체할 수 있다.

또한, 특정 거래에서 거래자가 정당한 사용자인지 여부를 인증할 수 있을 뿐만 아니라, 사용자의 신분을 일반적으로 확인할 수 있는 신분확인용으로도 이용될 수 있기 때문에, 사용자에 대한 통합적인 인증이 가능해지는 효과가 있다.

도 1은 본 발명의 제1 실시예에 따른 통합 인증 시스템을 나타낸 도면이다.

도 2는 본 발명의 제1 실시예에 따른 통합 인증 시스템의 동작 흐름을 설명하기 위한 도면이다.

도 3은 본 발명의 제2 실시예에 따른 통합 인증 시스템을 나타낸 도면이다.

도 4는 본 발명의 제2 실시예에 따른 통합 인증 시스템의 동작 흐름을 설명하기 위한 도면이다.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.

어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하에서는, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.

도 1을 참조하면, 본 발명의 제1 실시예에 따른 통합 인증 시스템은 사용자 단말(10), 일회용 난수 생성기(20), 인증 서버(31), 비밀번호 DB(40) 및 난수집합 DB(50)를 포함한다. 이하, 해당 부분에서 설명하겠지만, 제1 난수집합과 제2 난수집합은 동일하고, 제1 연산규칙과 제2 연산규칙은 동일하고, 제1 중간값과 제2 중간값은 동일하고, 제1 추출규칙과 제2 추출규칙은 동일하고, 제1 위치번호와 제2 위치번호는 동일하고, 제1 변환규칙과 제2 변환규칙은 동일하고, 제1 해시 함수와 제2 해시 함수는 동일하다. 또한, 본 실시예에 따르면, 제1 일회용 난수와 제2 일회용 난수는 동일한 경우에만, 사용자가 정상적으로 인증된다.

사용자 단말(10)은 사용자가 통신망을 이용한 거래를 수행하기 위한 장치이며, 거래 수행 과정에서 인증 서버(31)로 인증을 요청하고, 인증 서버(31)로부터 씨드값을 전송받아 표시하고, 일회용 난수 생성기(20)가 생성하여 표시하는 제1 일회용 난수를 사용자로부터 입력받아 인증 서버(31)로 전송하는 등의 기능을 수행한다. 이러한 사용자 단말(10)은 일반적인 퍼스널 컴퓨터, 노트북 등 뿐만 아니라, 소정의 연산 및 통신 기능을 구비한 스마트폰 등과 같은 모바일 단말일 수 있다.

일회용 난수 생성기(20)는 제1 일회용 난수를 생성하여 사용자에게 표시하는 기능을 수행한다.

예를 들어, 일회용 난수 생성기(20)는 사용자 인터페이스 모듈(210), 제1 일회용 난수 생성 모듈(220) 및 저장 모듈(230)을 포함하여 구성될 수 있다.

사용자 인터페이스 모듈(210)은 사용자에 의한 정보 입력을 지원하고, 제1 일회용 난수 생성 모듈(220)에 의해 생성된 제1 일회용 난수를 사용자에게 표시하는 기능을 수행한다.

제1 일회용 난수 생성 모듈(220)은 인증 서버(31)에 의해 생성된 씨드값과 사용자 비밀번호를 위치정보로 이용하여 저장 모듈(230)에 저장된 제1 난수집합을 구성하는 난수들 중에서 씨드값과 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고, 이를 사용자에게 표시하는 기능을 수행한다. 씨드값은 인증 서버(31)에 의해 생성되어 사용자 단말(10)로 전송되어 표시되고, 사용자에 의해 사용자 인터페이스 모듈(210)을 통해 일회용 난수 생성기(20)로 입력된다. 여기서, 사용자 비밀번호가 사용자가 기억하고 있는 정보이다.

저장 모듈(230)에는 제1 일회용 난수를 생성하기 위한 모집합인 제1 난수집합이 저장되어 있으며, 그 이외의 사용자와 관련된 정보 예를 들어, 사용자 비밀번호는 저장되어 있지 않다. 제1 난수집합은 사용자마다 고유하게 생성되어 부여된 정보이며, 제1 난수집합과 동일한 정보인 제2 난수집합이 인증 서버(31)가 접근할 수 있는 난수집합 DB(50)에 저장되어 있다.

인증 서버(31)는 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB(50)에 저장된 제2 난수집합을 구성하는 난수들 중에서 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 제2 일회용 난수와 사용자 단말(10)로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증하는 기능을 수행한다.

예를 들어, 인증 서버(31)는 통신 모듈(310), 씨드값 생성 모듈(320), 제2 일회용 난수 생성 모듈(340) 및 인증 모듈(350)을 포함하여 구성될 수 있다.

통신 모듈(310)은 사용자 단말을 포함하는 외부 장치와의 통신을 지원하는 기능을 수행한다.

씨드값 생성 모듈(320)은 제1 일회용 난수와 제2 일회용 난수를 생성하기 위한 씨드값을 생성하는 기능을 수행한다.

제2 일회용 난수 생성 모듈(340)은 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB(50)에 저장된 제2 난수집합을 구성하는 난수들 중에서 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하는 기능을 수행한다.

인증 모듈(350)은 제2 일회용 난수 생성 모듈(340)에 의해 생성된 제2 일회용 난수와 사용자 단말(10)로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증하는 기능을 수행한다.

비밀번호 DB(40)에는 사용자들이 설정한 사용자 비밀번호들이 사용자의 아이디에 대응되어 저장되어 있다.

난수집합 DB(50)에는 제2 일회용 난수를 생성하기 위한 모집합인 제2 난수집합이 저장되어 있다. 제2 난수집합은 사용자마다 고유하게 생성되어 부여된 정보이며, 제1 난수집합과 동일한 정보이다. 난수집합 DB(50)에는 사용자들에게 부여된 제2 난수집합들이 사용자의 아이디에 대응되어 저장되어 있다.

이러한 시스템 환경에서, 사용자 단말(10) 또는 인증 서버(31)가 제3자에 의해 해킹을 당하여도, 제3자가 사용자처럼 행세하지 못하게 하려면, 즉, 제3자에 대한 오인증을 방지하려면, 1) 인증 요청시마다 비밀번호를 동적으로 변경시켜 제3자에 의한 재사용을 불가능하게 하여야 하고, 2) 제3자가 이 비밀번호를 사전에 예측할 수 없도록 하여야 하고, 3) 일회용 난수 생성기(20)에서 동적으로 변경 생성되는 일회용 난수를 인증 서버(31)가 알 수 있어야 하므로, 인증 서버(31) 역시 일회용 난수 생성기(20)에서 생성되는 일회용 난수와 동일한 일회용 난수를 생성할 수 있어야 한다.

이를 위하여, 일회용 난수 생성기(20)에는 일련의 무작위 숫자들 및 그 숫자들로부터 일정한 개수의 무작위 숫자를 추출하는 방법(알고리즘)이 저장되어 있다. 일회용 난수 생성기(20)에 저장된 무작위 숫자들을 제1 난수집합이라 지칭하고, 일회용 난수 생성기(20)가 제1 난수집합으로부터 일정한 무작위 숫자를 추출하는 알고리즘을 제1 알고리즘이라 지칭한다. 일회용 난수 생성기(20)는 사용자가 별도로 소지하는 하드웨어 장치로 구현되거나, 사용자 단말(10)에 소프트웨어적으로 구현될 수 있다.

또한, 인증 서버(31)에도 사용자측의 일회용 난수 생성기(20)와 동일한 일회용 난수를 발생시킬 수 있는 무작위 숫자들 및 그 무작위 숫자들로부터 일정한 무작위 숫자를 추출하는 방법(알고리즘)이 저장되어 있다. 인증 서버(31)에 저장된 무작위 숫자들을 제2 난수집합이라 지칭하고, 인증 서버(31)가 제2 난수집합으로부터 일정한 무작위 숫자를 추출하는 알고리즘을 제2 알고리즘이라 지칭한다.

인증 서버(31)와 일회용 난수 생성기(20)는 동일한 일회용 난수를 생성해야 하므로, 제1 난수집합과 제2 난수집합은 동일하고, 제1 알고리즘은 제2 알고리즘과 동일하다. 난수집합 DB(50)에는 사용자 별 난수집합들이 모두 저장되어 있으며, 사용자의 아이디를 통해 사용자를 식별한 인증 서버(31)는 이 사용자에게 할당된 난수집합인 제2 난수집합을 이용한다.

도 2를 추가적으로 참조하면, 단계 S110에서는, 사용자 단말(10)이 인증 서버(31)로 사용자에 대한 인증을 요청하는 과정이 수행된다. 예를 들어, 이 과정은 사용자 단말(10)을 통해 인증 서버(31)가 제공하는 특정 서비스를 제공받고자 하는 사용자가 자신이 소지한 사용자 단말(10)에 아이디(ID)를 입력하여 사용자 인증을 요청하고, 인증 서버(31)가 이 인증요청을 수신하는 방식으로 수행될 수 있다.

단계 S120에서는, 사용자 단말(10)로부터 사용자에 대한 인증을 요청받은 인증 서버(31)가 씨드값(seed value)을 생성하여 사용자 단말(10)로 전송하는 과정이 수행된다. 예를 들어, 인증 서버(31)에서 생성되는 씨드값은 난수들일 수 있으며, 이 숫자들은 의사난수 생성기를 통해 생성될 수 있다.

단계 S130에서는, 일회용 난수 생성기(20)가 사용자 단말(10)이 수신한 씨드값과 사용자에 의해 입력된 사용자 비밀번호를 위치정보로 이용하여 일회용 난수 생성기(20)에 저장된 제1 난수집합을 구성하는 난수들 중에서 씨드값과 사용자에 의해 입력된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하는 과정이 수행된다.

하나의 예로, 일회용 난수 생성기(20)가 사용자 단말(10)과 물리적으로 구분된 하드웨어 장치인 경우, 단계 S130은, 사용자가 자신이 기억하고 있는 사용자 비밀번호와 사용자 단말(10)이 인증 서버(31)로부터 전송받아 표시하는 씨드값을 일회용 난수 생성기(20)에 입력하는 경우, 일회용 난수 생성기(20)가 이 씨드값과 사용자 비밀번호를 위치정보로 이용하여 제1 난수집합을 구성하는 난수들 중에서 씨드값과 사용자 비밀번호에 대응하는 제1 일회용 난수를 생성하여 표시하도록 구성될 수 있다.

다른 예로, 일회용 난수 생성기(20)가 사용자 단말(10)에 소프트웨어적으로 구현된 경우, 사용자 단말(10)이 인증 서버(31)로부터 씨드값을 전송받아 표시하고, 사용자 단말(10)에 구현된 일회용 난수 생성기(20) 즉, 일회용 난수 생성용 어플리케이션이 제공하는 인터페이스 화면을 통해, 씨드값 및 사용자 비밀번호가 입력되면, 일회용 난수 생성기(20)가 이 씨드값과 사용자 비밀번호를 위치정보로 이용하여 제1 난수집합을 구성하는 난수들 중에서 씨드값과 사용자 비밀번호에 대응하는 제1 일회용 난수를 생성하여 표시하도록 구성될 수 있다.

단계 S140에서는, 사용자 단말(10)이 제1 일회용 난수를 인증 서버(31)로 전송하는 과정이 수행된다. 제1 일회용 난수는 일회용 난수 생성기(20)에 의해 생성되어 표시되며, 사용자가 제1 일회용 난수를 사용자 단말(10)에 입력하는 경우, 사용자 단말(10)이 제1 일회용 난수를 인증 서버(31)로 전송하도록 구성될 수 있다.

단계 S150에서는, 인증 서버(31)가 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB(50)에 저장된 제2 난수집합을 구성하는 난수들 중에서 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하는 과정이 수행된다.

단계 S160에서는, 인증 서버(31)가 자신이 생성한 제2 일회용 난수와 사용자 단말(10)로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증하는 과정이 수행된다.

이하에서는, 본 발명의 제1 실시예에 있어서, 일회용 난수 생성기(20)가 제1 일회용 난수를 생성하고, 인증 서버(31)가 이에 대응하여 제2 일회용 난수를 생성하는 구체적인 방식의 예들을 설명한다.

하나의 예로, 일회용 난수 생성기(20)는 인증 서버(31)에 의해 생성된 씨드값과 사용자에 의해 입력된 사용자 비밀번호에 제1 연산규칙을 적용하여 제1 중간값을 생성하고, 제1 중간값에 제1 추출규칙을 적용하여 제1 위치번호를 추출하고, 제1 난수집합을 구성하는 난수들 중에서 상기 제1 위치번호에 대응하는 난수들을 추출하여 제1 일회용 난수를 생성할 수 있다. 예를 들어, 제1 연산규칙은 합산, 감산 등의 다양한 연산방법일 수 있고, 제1 추출규칙으로는 제1 중간값에서 제1 위치번호를 추출하기 위한 다양한 방법이 적용될 수 있다. 또한, 인증 서버(31)는 자신이 생성한 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 제2 연산규칙을 적용하여 제2 중간값을 생성하고, 제2 중간값에 제2 추출규칙을 적용하여 제2 위치번호를 추출하고, 제2 난수집합을 구성하는 난수들 중에서 제2 위치번호에 대응하는 난수들을 추출하여 제2 일회용 난수를 생성할 수 있다. 제2 연산규칙은 제1 연산규칙과 동일하고, 제2 추출규칙은 제1 추출규칙과 동일하다. 이 예에서, 일회용 난수 생성기(20)와 인증 서버(31)는 각각 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 추가적으로 이용하여 제1 일회용 난수와 제2 일회용 난수를 생성하도록 구성될 수도 있다. 예를 들어, 송금 거래의 경우, 수취인 식별정보는 수취인의 계좌 정보일 수 있고, 쇼핑몰 결제 거래의 경우, 수추인 식별정보는 쇼핑몰 사업자 번호 정보일 수 있다.

또한 예를 들어, 일회용 난수 생성기(20)와 인증 서버(31)는 각각 상기 사용자의 생체정보를 추가적으로 이용하여 제1 일회용 난수와 제2 일회용 난수를 생성하도록 구성될 수도 있다.

다른 예로, 일회용 난수 생성기(20)는 제1 난수집합을 구성하는 난수들 중에서 인증 서버(31)에 의해 생성된 씨드값과 사용자에 의해 입력된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제1 변환규칙을 적용하여 제1 일회용 난수를 생성할 수 있다. 또한, 인증 서버(31)는 제2 난수집합을 구성하는 난수들 중에서 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제2 변환규칙을 적용하여 제2 일회용 난수를 생성할 수 있다. 제1 변환규칙과 제2 변환규칙은 동일하다. 예를 들어, 추출된 난수들이 '114101'인 경우, 이 숫자에 2를 곱한 수(229202) 또는 LOG를 취하여 나온 수(5.0572894506634274641656910578661)의 일부(예: 057289)를 제1 및 제2 OTP로 사용할 수 있다. 이 예에서도, 일회용 난수 생성기(20)와 인증 서버(31)는 각각 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 추가적으로 이용하여 제1 일회용 난수와 제2 일회용 난수를 생성하도록 구성될 수도 있다. 또한 예를 들어, 일회용 난수 생성기(20)와 인증 서버(31)는 각각 상기 사용자의 생체정보를 추가적으로 이용하여 제1 일회용 난수와 제2 일회용 난수를 생성하도록 구성될 수도 있다.

또 다른 예로, 보안성 강화를 위하여 제1 일회용 난수와 제2 일회용 난수는 암호화될 수 있다. 이를 위하여, 일회용 난수 생성기(20)는 제1 난수집합을 구성하는 난수들 중에서 인증 서버(31)에 의해 생성된 씨드값과 사용자에 의해 입력된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제1 해시 함수로 암호화하여 제1 일회용 난수를 생성할 수 있으며, 추출된 난수들에 사용자 정보를 부가한 후 암호화할 수도 있다. 또한, 인증 서버(31)는 제2 난수집합을 구성하는 난수들 중에서 자신이 생성한 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제2 해시 함수로 암호화하여 제2 일회용 난수를 생성할 수 있으며, 추출된 난수들에 사용자 정보를 부가한 후 암호화할 수도 있다. 제1 해쉬 함수와 제2 해쉬 함수는 동일하다.

도 3은 본 발명의 제2 실시예에 따른 통합 인증 시스템을 나타낸 도면이다. 이하에서는, 제1 실시예와 비교하여 제2 실시예가 갖는 특징적인 부분에 초점을 맞추어 설명하며, 제1 실시예에 적용되는 다양한 예들이 제2 실시예에도 적용될 수 있다는 점을 밝혀둔다.

도 3을 참조하면, 본 발명의 제2 실시예에 따른 통합 인증 시스템은 사용자 단말(10), 일회용 난수 생성기(20), 인증 서버(32), 비밀번호 DB(40) 및 난수집합 DB(50)를 포함한다. 제2 실시예는 제1 실시예와 비교하여 인증 서버(32)가 은폐숫자집합 생성 모듈(330)을 추가적으로 포함한다는 점에서 차이가 있다.

은폐숫자집합 생성 모듈(330)은 씨드값(seed value)이 포함된 은폐숫자집합을 생성하는 기능을 수행한다.

도 4를 추가적으로 참조하면, 단계 S210에서는, 사용자 단말(10)이 인증 서버(32)로 사용자에 대한 인증을 요청하는 과정이 수행된다.

단계 S220에서는, 사용자 단말(10)로부터 사용자에 대한 인증을 요청받은 인증 서버(32)가 씨드값(seed value)이 포함된 은폐숫자집합을 생성하여 사용자 단말(10)로 전송하는 과정이 수행된다. 씨드값을 은폐숫자집합에 포함시켜 전송하면, 제3자가 씨드값이 무엇인지를 알 수 없기 때문에, 보안성이 강화된다.

단계 S230에서는, 일회용 난수 생성기(20)가 사용자 단말(10)이 수신한 은폐숫자집합으로부터 획득된 씨드값과 사용자에 의해 입력된 사용자 비밀번호를 위치정보로 이용하여 일회용 난수 생성기(20)에 저장된 제1 난수집합을 구성하는 난수들 중에서 씨드값과 사용자에 의해 입력된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하는 과정이 수행된다. 예를 들어, 단계 S230는 은폐숫자집합을 구성하는 숫자들 중에서 사용자에게 기 부여된 씨드 추출용 위치번호에 대응하는 숫자들을 추출하여 씨드값을 획득하도록 구성될 수 있다. 구체적인 예로, 약속된 위치값 즉, 씨드 추출용 위치번호가 '7', '9', '5', '6'인 경우 인증 서버(32)가 사용자 단말(10)로 전송한 은폐숫자집합이 '3701235468'이라면 씨드값은 7번째에 위치하는 숫자 '5'와 9번째에 위치하는 숫자 '6'과 5번째에 위치하는 숫자 '2' 및 6번째에 위치하는 숫자 '3' 즉, '5623'이 씨드값이 되는 것이다.

단계 S240에서는, 사용자 단말(10)이 제1 일회용 난수를 인증 서버(32)로 전송하는 과정이 수행된다. 제1 일회용 난수는 일회용 난수 생성기(20)에 의해 생성되어 표시되며, 사용자가 제1 일회용 난수를 사용자 단말(10)에 입력하는 경우, 사용자 단말(10)이 제1 일회용 난수를 인증 서버(32)로 전송하도록 구성될 수 있다.

단계 S250에서는, 인증 서버(32)가 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB(50)에 저장된 제2 난수집합을 구성하는 난수들 중에서 씨드값과 비밀번호 DB(40)에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하는 과정이 수행된다.

단계 S260에서는, 인증 서버(32)가 자신이 생성한 제2 일회용 난수와 사용자 단말(10)로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인하는 과정이 수행된다.

앞서 밝힌 바와 같이, 제1 실시예에 적용되는 다양한 예들이 제2 실시예에도 적용될 수 있다. 예를 들어, 제1 실시예에 적용되는 일회용 난수 생성기(20)가 제1 일회용 난수를 생성하고, 인증 서버(31)가 이에 대응하여 제2 일회용 난수를 생성하는 구체적인 방식의 예들이 제2 실시예에도 적용될 수 있다.

이상에서 상세히 설명한 바와 같이 본 발명에 따르면, 정당한 권원이 없는 제3자에 의해 사용자 단말 또는 서버가 해킹당하여도 거래 비밀번호가 유출되지 않도록 함으로써, 사용자 인증의 보안성이 크게 향상되는 효과가 있다.

또한, 일회용 난수 생성기에서 생성되는 난수는 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 포함하기 때문에 거래부인 방지효과가 발생한다. 즉, 씨드값 보내준 인증 서버(금융기관 등)가 거래하지 않았다고 부인할 수 없으며, 그 씨드값과 자신의 사용자 비밀번호를 입력하여 발생한 숫자를 인증 서버로 보내준 사용자도 자신이 그러한 행위를 하지 않았다고 부인할 수 없다. 또한, 일회용 난수 생성기에서 생성되는 난수는 수취인 식별정보를 포함하기 때문에, 해커가 일회용 난수 생성기를 부당하게 가로채 자신의 대포통장 번호로 이체를 요구해도 수취인 식별정보가 다르기 때문에 해커에 대한 인증이 거부되는 효과가 있다.

[부호의 설명]

10: 사용자 단말

20: 일회용 난수 생성기

31, 32: 인증 서버

40: 비밀번호 DB

50: 난수집합 DB

210: 사용자 인터페이스 모듈

220: 제1 일회용 난수 생성 모듈

230: 저장 모듈

310: 통신 모듈

320: 씨드값 생성 모듈

330: 은폐숫자집합 생성 모듈

340: 제2 일회용 난수 생성 모듈

350: 인증 모듈

Claims

사용자 단말, 인증 서버 및 일회용 난수 생성기를 포함하는 통합 인증 시스템으로서,

사용자 단말로부터 사용자에 대한 인증을 요청받은 인증 서버가 씨드값(seed value)을 생성하여 상기 사용자 단말로 전송하고,

일회용 난수 생성기가 상기 사용자 단말이 수신한 씨드값과 사용자 비밀번호를 위치정보로 이용하여 상기 일회용 난수 생성기에 저장된 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하고,

상기 인증 서버가 상기 씨드값과 비밀번호 DB에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB에 저장된 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 상기 제2 일회용 난수와 상기 사용자 단말로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증하고,

상기 일회용 난수 생성기에는 상기 사용자 비밀번호가 저장되어 있지 않고,

상기 제1 난수집합 및 상기 제1 난수집합과 동일한 상기 제2 난수집합은 사용자마다 고유하게 생성되어 부여된 정보이고,

상기 씨드값은 의사난수 생성기를 통해 생성된 난수인, 통합 인증 시스템.
사용자 단말, 인증 서버 및 일회용 난수 생성기를 포함하는 통합 인증 시스템으로서,

사용자 단말로부터 사용자에 대한 인증을 요청받은 인증 서버가 씨드값(seed value)이 포함된 은폐숫자집합을 생성하여 상기 사용자 단말로 전송하고,

일회용 난수 생성기가 상기 사용자 단말이 수신한 은폐숫자집합으로부터 획득된 씨드값과 사용자 비밀번호를 위치정보로 이용하여 상기 일회용 난수 생성기에 저장된 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제1 일회용 난수를 생성하고 표시하고,

상기 인증 서버가 상기 씨드값과 비밀번호 DB에 저장된 사용자 비밀번호를 위치정보로 이용하여 난수집합 DB에 저장된 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하여 제2 일회용 난수를 생성하고, 상기 제2 일회용 난수와 상기 사용자 단말로부터 전송받은 제1 일회용 난수의 일치 여부를 기준으로 사용자를 인증하고,

상기 일회용 난수 생성기에는 상기 사용자 비밀번호가 저장되어 있지 않고,

상기 제1 난수집합 및 상기 제1 난수집합과 동일한 상기 제2 난수집합은 사용자마다 고유하게 생성되어 부여된 정보이고,

상기 씨드값은 의사난수 생성기를 통해 생성된 난수인, 통합 인증 시스템.
제2항에 있어서,

상기 씨드값은 상기 은폐숫자집합을 구성하는 숫자들 중에서 사용자에게 기 부여된 씨드 추출용 위치번호에 대응하는 숫자들을 추출하여 획득되는 것을 특징으로 하는, 통합 인증 시스템.
제1항 또는 제2항에 있어서,

상기 일회용 난수 생성기는 상기 씨드값과 상기 사용자 비밀번호에 제1 연산규칙을 적용하여 제1 중간값을 생성하고, 상기 제1 중간값에 제1 추출규칙을 적용하여 제1 위치번호를 추출하고, 상기 제1 난수집합을 구성하는 난수들 중에서 상기 제1 위치번호에 대응하는 난수들을 추출하여 상기 제1 일회용 난수를 생성하고,

상기 인증 서버는 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 제2 연산규칙을 적용하여 제2 중간값을 생성하고, 상기 제2 중간값에 제2 추출규칙을 적용하여 제2 위치번호를 추출하고, 상기 제2 난수집합을 구성하는 난수들 중에서 상기 제2 위치번호에 대응하는 난수들을 추출하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제4항에 있어서,

상기 일회용 난수 생성기와 상기 인증 서버는 각각 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제4항에 있어서,

상기 일회용 난수 생성기와 상기 인증 서버는 각각 상기 사용자의 생체정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제1항 또는 제2항에 있어서,

상기 일회용 난수 생성기는 상기 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제1 변환규칙을 적용하여 상기 제1 일회용 난수를 생성하고,

상기 인증 서버는 상기 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들에 제2 변환규칙을 적용하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제7항에 있어서,

상기 일회용 난수 생성기와 상기 인증 서버는 각각 이체금액정보, 수취인 식별정보, 거래시간정보의 일부 또는 전부를 포함하는 거래정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제7항에 있어서,

상기 일회용 난수 생성기와 상기 인증 서버는 각각 상기 사용자의 생체정보를 추가적으로 이용하여 상기 제1 일회용 난수와 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제1항 또는 제2항에 있어서,

상기 일회용 난수 생성기는 상기 제1 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제1 해시 함수로 암호화하여 상기 제1 일회용 난수를 생성하고,

상기 인증 서버는 상기 제2 난수집합을 구성하는 난수들 중에서 상기 씨드값과 상기 비밀번호 DB에 저장된 사용자 비밀번호에 대응하는 위치의 난수들을 추출하고, 추출된 난수들을 제2 해시 함수로 암호화하여 상기 제2 일회용 난수를 생성하는 것을 특징으로 하는, 통합 인증 시스템.
제1항 또는 제2항에 있어서,

상기 일회용 난수 생성기는 상기 사용자 단말과 물리적으로 구분된 하드웨어 장치이거나 상기 사용자 단말에 소프트웨어적으로 구현된 기능 모듈인 것을 특징으로 하는, 통합 인증 시스템.