PTaCL: 속성 기반 접근 제어를 위한 통합 정책 언어

초록

PTaCL은 정책 대상 언어(PTL)와 정책 조합 언어(PCL)를 결합한 ABAC 전용 언어이다. PTL은 속성‑기반 요청의 매칭을 3값 논리(허용, 거부, 미적용)로 정의하고, PCL은 정책 트리를 구성·평가한다. 논문은 형식적 구문·의미론을 제시하고, 속성 은닉 공격을 방지하기 위한 단조성·옵션 속성 제한을 논의한다.

상세 분석

본 논문은 기존 XACML과 같은 실용적 언어가 제공하는 풍부한 기능과, 정책 대수와 같은 형식적 접근이 제공하는 엄격한 의미론 사이의 격차를 메우고자 한다. 이를 위해 저자들은 정책 사양을 두 개의 독립적인 서브언어, 즉 정책 대상 언어(PTL)와 정책 조합 언어(PCL)로 분리한다. PTL은 원자 대상(null, 속성명, (속성명, 값))과 논리 연산자(and, or, opt, not)를 제공하며, 요청을 이름‑값 쌍의 집합으로 모델링한다. 대상 평가 결과는 {1_T(허용), 0_T(거부), ⊥_T(속성 부재)}라는 3값 집합 Dec_T에 매핑되며, 이는 약한·강한 Kleene 연산자를 통해 and/or/opt/not의 의미를 정형화한다. 이러한 3값 논리는 속성 누락 상황을 명시적으로 구분함으로써, 속성‑숨김 공격(attribute‑hiding attack)에 대한 탐지를 가능하게 한다.

PCL은 PTL에서 정의된 대상들을 정책 노드에 부착하고, leaf 정책은 단일 결정(allow/deny) 혹은 “not applicable”을 반환한다. 정책 트리의 내부 노드는 결합 연산자(deny‑overrides, permit‑overrides 등)를 사용해 하위 정책들의 결과를 종합한다. 저자들은 PCL 연산자를 PTL 연산자와 구분하기 위해 서브스크립트 P를 도입하고, 연산자들의 결합법칙을 명시한다.

핵심 기여는 두 가지이다. 첫째, PTaCL이 함수적 완전성을 갖추어 XACML이 표현할 수 있는 모든 정책을 더 간결한 구문으로 기술할 수 있음을 증명한다. 둘째, 속성‑숨김 공격을 방지하기 위한 제한 조건을 제시한다. 구체적으로, “mandatory” 속성과 “optional” 속성을 구분하고, 대상이 monotonic(단조)하도록 설계하면, 사용자가 속성을 의도적으로 누락하더라도 정책 결과가 불리하게 변하지 않는다. 이러한 단조성은 모든 원자 대상이 ⊥_T보다 0_T를, 0_T보다 1_T를 우선시하는 순서에 기반한다.

또한, 논문은 평가 과정에서 발생할 수 있는 오류(error)와 비정형 요청(malformed request)을 처리하기 위한 “evaluation‑error” 결정값을 도입한다. 이는 정책 평가가 중단되지 않고, 보안적으로 안전한 기본값(보통 deny)으로 전이될 수 있게 한다.

전반적으로 PTaCL은 풍부한 표현력과 엄격한 의미론을 동시에 제공함으로써, 오픈 시스템에서 속성 기반 접근 제어를 구현하기 위한 실용적이면서도 이론적으로 견고한 프레임워크를 제시한다.