Académique Documents
Professionnel Documents
Culture Documents
de Bases de Données
2
Planning des sessions
Rappel: – Approche bases de données et fonctionnalités essentielles d’un SGBD
(1h30) – Conception de bases de données: modèle entité associations
1 – Modèle relationnel et Algèbre relationnelle
2/11 TD: (2h) – Exercices de conception et d’algèbre
Examen
12/12 7
3
Compétences à acquérir
• Concevoir une base de données
– Réaliser un modèle conceptuel avec le modèle E/A
– Concevoir un modèle relationnelle de base de données
• Créer une application base de données
– Ecrire des requêtes SQL d’interrogation/mise à jour
– Interfacer un programme Java/JDBC avec une base de données
– Ecrire et invoquer des fonctions et procédure stockées en PL/SQL Oracle
– Implanter des triggers sur une base de données en PL/SQL Oracle
• Administrer une base de données en vue d’optimiser les performances
– Optimiser une base de données multi utilisateurs (gestion de la concurrence)
– Créer des index
– Réécrire des requêtes SQL pour obtenir un plan d’exécution plus performant
• Administrer une base en vue d’en assurer la sécurité
– Créer des utilisateurs/rôle et des droits d’accès (DAC-SQL, RBAC-SQL)
– Implanter une stratégie de tolérance aux pannes
– Auditer les accès
– Chiffrer des données sensibles 4
L’approche bases de données
Fonctionnalités logicielles principales
5
L’approche ‘‘Bases de données’’ (1)
6
L’approche ‘‘Bases de données’’ (2)
I- Indépendance
Physique
VI - Gestion de la
cohérence
7
I - Indépendance Physique
8
II - Indépendance Logique
Les applications peuvent définir des vues logiques de la BD
Intérêt: dév. d’app. simplifié, intégration app., évolutivité BD…
2 Fluisédal …………………………….. 20
Patients
3 Mucomyst …………………………….. 230 Id-P Nom Prénom Ville Médicaments
1 Lebeau Jacques Paris Id-M Nom Description
…. …….. …………………………….. ….. 2 Troger Zoe Evry 1 Aspegic 1000 ……………………………..
3 Doe John Paris 2 Fluisédal ……………………………..
Docteurs Prescriptions
Id-D Nom Prénom Id-V Ligne Id-M Posologie
1 Dupont Pierre 1 1 12 1 par jour
2 Durand Paul
Visites
1 2 5 10 gouttes
Id-D Id-P Id-V Date Prix
3 Masse Jean 2 1 8 2 par jour
1 2 1 15 juin 250
…. …….. …… 2 2 12 1 par jour
1 1 2 12 août 180
2 3 3 2 gouttes
2 2 3 13 juillet 350
…. …. …. …………
2 3 4 1 mars 250
Patients
Id-P Nom Prénom Ville Médicaments
1 Lebeau Jacques Paris Id-M Nom Description
2 Troger Zoe Evry 1 Aspegic 1000 ……………………………..
3 Doe John Paris 2 Fluisédal ……………………………..
9
…. ……. ……. ……. …. …….. ……………………………..
III - Manipulation aisée
• La manipulation se fait via un langage déclaratif
– La question déclare l’objectif sans décrire la méthode
– Le langage suit une norme commune à tous les SGBD
– SQL : Structured Query Langage
• Syntaxe (aperçu !)
Select <Liste de champs ou de calculs à afficher>
From <Liste de relations mises en jeu>
Where <Liste de prédicats à satisfaire>
Group By <Groupement éventuel sur un ou plusieurs champs>
Order By <Tri éventuel sur un ou plusieurs champs>
10
IV – Gestion des vues
• Les vues permettent d’implémenter l’indépendance
logique en permettant de créer des objets virtuels
• Vue = Question SQL stockée
• Le SGBD stocke la définition et non le résultat
– Le SGBD transforme la question sur les vues en question
sur les relations de base
– Les mises à jours sont reportées sur les relations de base
• Exemple : la vue des patients parisiens
Create View Parisiens as (
Select Id, Nom, Prénom, Ville
From Patients
Where Patients.Ville = ’Paris’ ) 11
V – Exécution et Optimisation
BD
15
IX – Confidentialité: droits sur les vues
Employés Public
16
X - Standardisation
• L’approche bases de données est basée sur plusieurs
standards
– Langage SQL (SQL1, SQL2, SQL3)
– Communication SQL CLI (ODBC / JDBC)
– Transactions (X/Open DTP, OSI-TP)
17
Conception de bases de données
(Production du modèle conceptuel de
données)
18
Modélisation du réel
Réel
• Indépendant du
modèle de
Modèle données
conceptuel • Indépendant du
Médecin effectue Visite
SGBD
• Dépendant du
modèle de
Modèle données Codasyl Relationnel Objet XML
logique • Indépendant du
SGBD
• Dépendant du
modèle de • Organisation physique des données
Modèle données • Structures de stockage des données
Physique • Dépendant du • Structures accélératrices (index)
SGBD
19
Approche proposée
1/ Définir l’application (~MCT)
– Que veut-on faire exactement, définir les sorties (états)
2/ Définir les données (~MCD)
– quelles sont les données nécessaires ? Comment les organiser ?
3/ Définir les questions nécessaires pour l’application (~MLT)
4/ Validation : Est ce que la structure choisie permet de
répondre aux questions ? Sinon, retour en 1/ ou 2/
5/ Passer du MCD au MLD
6/ Définir les requêtes nécessaires pour l’application (~MPT).
Normalement, le MLD doit permettre de répondre aux
requêtes ?
7/ Passer du MLD au MPD
GENERATION AUTOMATIQUE POSSIBLE !
20
Modèle Entités-Associations
21
Déf° (1) : entité / type d’entité
• Entité : représentation d’un objet du monde réel …
… par rapport au problème à modéliser. Une entité peut donc être …
… concrète : ex. un docteur, un médicament, un client
… abstraite : ex. une visite médicale, une commande
Profs
Profs
Bouganim Profs Nom
Luc Crenn Prénom
..... Isabelle Adresse
…
....
23
Déf° (3) : Propriétés / Identifiants
24
Exemple : Profs et cours...
Prof Cours
CodeProf enseigne CodeCours
Nom NbreHeures NomCours
Prénom …
Adresse Cours
Profs 1
1 Maths
enseigne
Crenn .....
Profs Isabelle 55
3 ....
enseigne Cours
Lewis
Jerry 16 2
.... Profs Info
2 enseigne s
...
Bouganim 24
Luc
.....
25
Déf°(4) : Cardinalités
• Cardinalité : Exprime le nombre minimum et maximum
d’association(s) par entité. Il est indiqué sur chaque arc,
entre le type d’entité et le type d’association concernées
• par exemple:
– un prof enseigne plusieurs cours
– une matière est enseignée par plusieurs profs (info/anglais)
– les notes peuvent être données par n’importe quel prof ou
par plusieurs profs enseignant une matière... (info par
exemple)
– On peut redoubler une fois....
– etc...
27
Règles (2) : propriétés élémentaires, 28
calculées, constantes
• Toute propriété doit être élémentaire
– sinon, complexité de traitement
– Ex. de propriétés élémentaires : Age, Salaire, N° de rue
– Ex. de propriétés non élémentaires : Adresse (complète), N°SS
– la notion d’élémentaire dépend de l’application. L’adresse peut
devenir élémentaire si elle est toujours manipulée comme telle
(on ne cherchera jamais à faire, par exemple, un tri par ville)
« Il n’est pas gênant d’éclater des propriétés qui devrait être
groupés, mais on ne peut pas grouper des propriétés qui devrait
être éclatées»
29
30
30
31
de l’identifiant
• Toute propriété doit dépendre pleinement de l’identifiant
(et non d’une partie de celui-ci)
– Sinon on introduit des redondances
• Les propriétés d’une association doivent dépendre de la
totalité des entités associées
– Sinon, les déplacer, voire créer une nouvelle association…
• Exemple :
1/ la salle dépend du prof, du cours et du
enseigne
Heure
groupe OK
Prof Groupe
Salle 2/ la salle ne dépend que du prof
Salle Not OK (dans prof)
?
Salle 3/ la salle ne dépend que du prof et du cours
Cours not OK (nouvelle association entre
prof et cours)
32
33
Enseigne
Prof Groupe
Heure
?
Salle
Cours
33
34
Prof Prof
1,1 Ville
CodeProf CodeProf est dans 0,n
NomVille
Nom Nom
Pays
Prénom Prénom
Ville
Pays
34
Modèle relationnel
35
Le modèle relationnel
• En 1970, Edward Codd, Prix Turing 1981, chercheur chez IBM,
propose le Modèle Relationnel, basé sur la Logique du premier ordre
définie par les mathématiciens de la fin du 19e siècle pour formaliser
le langage des mathématiques
A Relational Model of Data for Large Shared Data Banks,
CACM 13, No. 6, June 1970
• Il définit le Calcul Relationnel et l’Algèbre Relationnelle, sur lesquels
sont basés SQL (Structured Query Language), le langage standard de
manipulation (LMD) et de définition des données (LDD) de tous les
SGBD Relationnels actuels
• ENSEMBLE DE VALEURS
• Exemples:
– ENTIER
– REEL
– CHAINES DE CARACTERES
– EUROS
– SALAIRE = {4 000..100 000}
– COULEUR= {BLEU, BLANC, ROUGE}
37
Produit cartésien
Bleu Vrai
Bleu Faux
Blanc Vrai
D1x D2 = Blanc Faux
Rouge Vrai
Rouge Faux
38
Relation, attribut
• Relation = sous-ensemble du produit cartésien d’une liste
de domaines
– Une relation est caractérisée par un nom
– Exemple: CoulVins Coul Choix
• D1 = COULEUR Bleu Faux
• D2 = BOOLEEN Blanc Vrai
Rouge Vrai
• Plus simplement …
– Une relation est une table à deux dimensions
– Une ligne est un tuple
– Un nom est associé à chaque colonne afin de la repérer
indépendamment de son numéro d'ordre
• Attribut =
– nom donné à une colonne d'une relation
– prend ses valeurs dans un domaine
39
Exemple de relation
40
Clé
• Exemples
– {CRU,MILLESIME} DANS VINS
– NSS DANS PERSONNE
• Contrainte d’entité
– Toute relation doit posséder au moins une clé documentée
41
Clé Etrangère
42
Schéma
• Schéma de relation
– Définition = Nom de la relation, liste des attributs avec
domaines, et clé de la relation
– Exemple
• VINS(NV: Int, CRU:texte, MILL:entier, DEGRE: Réel,
REGION:texte)
– Par convention, la clé primaire est soulignée
• Intention et extension de relation
– L'intention de la relation = le schéma de la relation
– Une instance de table représente une extension de la
relation
• Schéma d’une BD relationnelle = l'ensemble des
schémas des relations composantes
43
Exemple de Schéma
• BUVEURS (NB, NOM, PRENOM, TYPE)
• VINS (NV, CRU, MILL, DEGRE)
• ABUS (NB, NV, DATE, QUANTITE)
45
Propriétés, Entités
46
Cardinalités 1-1
Profs
• Un prof enseigne un et un seul
Cours
Nom 1,1 Enseigne
1,1 cours
NomCours
Prénom NbreHeures
Adresse
Description
• Un cours est enseigné par un et
un seul prof
Nom Prénom Adresse NomCours Description NbreHeures
Solution 1 Bouganim Luc Paris Info Informatique 44
Crenn Isabelle Paris Math Mathématiques 78
Rousseau Martine Versailles Droit Droit 26
Solution 2
Nom Prénom Adresse NomCours NbreHeures NomCours Description
Bouganim Luc Paris Info 44 Info Informatique
Crenn Isabelle Paris Math 78 Math Mathématiques
Droit Droit
48
Cardinalités 0-n
Profs
• Un prof enseigne un et un seul
Cours
Nom 1,1 Enseigne
1,n cours
NomCours
Prénom NbreHeures
Adresse
Description
• Un cours est enseigné par un
ou plusieurs profs
Solution 2
Nom Prénom Adresse NomCours NbreHeures NomCours Description
Bouganim Luc Paris Info 20 Info Informatique
Crenn Isabelle Paris Info 24 Droit Droit
Rousseau Martine Versailles Droit 26
49
Conclusion
• Objectifs
– Ne pas créer de tables inutiles
– Ne pas dégrader le modèle conceptuel (pas de propriété
répétitive ni sans signification)
• Méthode
– Si possible, passer les propriétés de l’association dans
l’une ou l’autre des entités mais:
• Si la cardinalité minimum est 0, on ne peut le faire car, pour
certaines entités, il y aurait des valeurs nulles (ex. un prof ne
donnant pas de cours)
• Si la cardinalité maximum est n, on ne peut le faire car il y aurait
des attributs répétitif (ex. un prof donnant plusieurs cours)
– Sinon, créer une table pour l’association contenant
• les clefs des entités associées
• les propriétés de l’association 50
Algèbre relationnelle
51
Algèbre relationnelle
OPERATIONS PERMETTANT D'EXPRIMER LES
REQUETES SOUS FORME D'EXPRESSIONS
ALGEBRIQUES
• Avantages
– Concis
– Sémantique simple
– Représentation graphique
– Utile pour raisonner (cf. TD) – peu d’erreur de syntaxe !
– Utile pour l’optimisation de requêtes
52
Projection
• Elimination des attributs non désirés et suppression
des tuples en double
• Relation Relation notée: a1,a2,...Ap (R)
Cru,Région
Cru,Région (VINS) =
CHENAS BEAUJOLAIS
JULIENAS BEAUJOLAIS
53
Restriction
• Obtention des tuples de R satisfaisant un critère Q
• Relation Relation, notée Q(R)
• Q est le critère de qualification de la forme :
– Ai Valeur, = { =, <, ≥, >, ≤ , != }
– Il est possible de réaliser des "ou" (conjonction) et des "et" (disjonction)
de critères simples
MILL>1983
55
Exemple de Jointure
56
Exemple de -Jointure
EMPLOYES NOM DEPT SALAIRE RESPONSABLE DEPT SALAIRE
EMPLOYES E RESPONSABLE R =
E.salaire > R.salaire et E.dept = R.dept
NB : signification de la requête ?
Employés ayant un salaire supérieur à celui du responsable de leur département
57
Unions, intersections, différences
• Opérations binaires
– Relation Relation Relation
• Opérations pour des relations de même schéma
– UNION notée
– INTERSECTION notée
– DIFFERENCE notée —
• Extension pour des relations de schémas différents
– Ramener au même schéma avec des valeurs nulles
58
Petite classe :
Exercice de conception
Exercice d’algèbre
59
Le langage SQL
60
SQL : pour quoi faire ?
• Avant SQL, rechercher des données satisfaisant une
qualification ressemblait à : [notations CODASYL]
Select B.plage
From Nageurs N, Baignade B
Where N.qualité = ‘excellent’
and B.date between ‘O1-08-89’
and ’31-08-89’and N.idn = B.idn
61
Le standard SQL
LANGAGE DE DEFINITION DE DONNEES
CREATE TABLE
LANGAGE DE CONTROLE
CREATE VIEW
ALTER ….
GRANT
...
REVOKE
COMMIT WORK
LANGAGE DE MANIPULATION DE DONNEES ROLLBACK WORK
SELECT
INSERT
UPDATE
DELETE
63
Création de table
CREATE TABLE <nom_table>
(<def_colonne> * [<def_contrainte_table>*]) ;
< def_colonne > ::= <nom_colonne> < type > [CONSTRAINT nom_contrainte <
NOT NULL |
UNIQUE |
PRIMARY KEY |
CHECK (condition) |
REFERENCES nom_table (colonne) > ]
64
Exemple de création de table
CREATE TABLE RDV(
NumRdv Integer,
DateRDV Date,
NumDoc Integer,
NumPat Integer,
Motif Varchar(200),
CONSTRAINT Clé_Primaire_RDV PRIMARY KEY (NumRdv),
CONSTRAINT Référence_DOC FOREIGN KEY (NumDoc) REFERENCES
DOC,
CONSTRAINT Référence_PAT FOREIGN KEY (NumPat) REFERENCES PAT);
L'association d'un nom à une contrainte est optionnelle. Ce nom peut être utilisé
pour référencer la contrainte (ex: messages d'erreurs).
• Exercice 1
– Donnez l’expression SQL de la création des tables DOC et DET
65
Index, modification du schéma
• Création d’index
– CREATE [UNIQUE] INDEX nom_index ON nom_table (<nom_colonne> * );
• Suppression
– DROP TABLE <nom_table>
– DROP INDEX <nom_index>
• Modification
– ALTER TABLE <nom_table> ADD COLUMN <def_colonne>
– ALTER TABLE <nom_table> ADD CONSTRAINT <def_contrainte_table >
– ALTER TABLE <nom_table> MODIFY <def_colonne>
– ALTER TABLE <nom_table> DROP COLUMN <nom_colonne>
– ALTER TABLE <nom_table> DROP CONSTRAINT <nom_contrainte >
• Exemples
– CREATE INDEX Index_date_RDV ON RDV (DateRDV) ;
– ALTER TABLE RDV ADD COLUMN Commentaires varchar(300);
– ALTER TABLE RDV ADD CONSTRAINT MotifNN NOTNULL(Motif);
• Exercice 2
– Créez un index sur le nom du docteur
– Supprimez l’attribut Motif de la table RDV
– Ajoutez une contrainte de clé primaire à la table MED (sur NumMed) 66
Insertion de données : INSERT
INSERT INTO < nom_table >
[( attribute [,attribute] … )]
{VALUES (<value spec.> [, <value spec.>] … ) |
<query specification>} ;
• Exemples :
– INSERT INTO DOC VALUES (1, ‘Dupont’, ‘Paris’);
– INSERT INTO DOC (NumDoc, NomDoc) VALUES (2, ‘Toto’);
– INSERT INTO PAT (NumPat, NomPat, VillePat)
SELECT NumDoc, NomDoc, VilleDoc FROM DOC;
67
Mise à jour : UPDATE
SYNTAXE :
UPDATE <relation_name>
SET <attribute> = value_expression [, <attribute> =
value_expression ] …
[WHERE <search condition> ];
EXEMPLES :
Mettre “Inconnue” quand VilleDoc n’est pas renseignée
UPDATE DOC SET VilleDoc = “Inconnue” WHERE VilleDoc IS NULL
68
Suppression : DELETE
SYNTAXE :
DELETE FROM <relation_name>
[WHERE <search_condition>];
EXEMPLES :
Supprimer les docteurs quand VilleDoc n’est pas renseignée
DELETE FROM DOC WHERE VilleDoc IS NULL
69
SELECT : forme générale
avec
::= < = > <>
Remarques:
<liste_de_valeurs> et <liste_de_tuples> peuvent être déterminés par une requête
<tuple> ::= (<nom_colonne> [,<nom_colonne>]…)
71
Projections et restrictions simples
72
Restrictions complexes et jointures
Liste des patients ayant un RDV avec le docteur "Dupont" NomPat
SELECT DISTINCT PAT.NomPat FROM PAT, RDV, DOC
WHERE PAT.NumPat = RDV.NumPat and RDV.NumDoc = DOC.NumDoc
and DOC.NomDoc like “dupont”;
73
Requêtes imbriquées : IN et EXIST
Liste des patients ayant un RDV avec le docteur "Dupont" NomPat
SELECT DISTINCT P.NomPat FROM PAT P, RDV R, DOC D
WHERE P.NumPat = R.NumPat and R.NumDoc = D.NumDoc and D.NomDoc = “Dupont”;
74
Calculs d'agrégats
Les fonctions d’agrégation (Count, Sum, Avg, Min, Max) permettent de
réaliser des calculs sur des ensembles de données
76
Évaluation « sémantique » d’une requête SQL
1. FROM
Réalise le produit cartésien des relations
2. WHERE
Réalise restriction et jointures
3. GROUP BY XXX
ZZZ
4. HAVING XXX
XXX
AGG1
ZZZ AGG3
5. SELECT
AGG1 XXX
Réaliser les projections/calculs finaux
AGG3 ZZZ
6. ORDER BY
Trier les tuples résultat AGG1 ZZZ
AGG3 XXX
77
Programmation SQL
78
Programmation SGBD: objectif
• Comment passer une commande dans la base telle que :
PROCEDURE COMM
Si le client n’est pas encore dans la base
Insérer les informations du client dans la table client
Si l’article est disponible dans la quantité commandée
ET le livreur disponible à la date de livraison désirée
Insérer sa commande dans la base
Sinon abandonner la commande
79
Programmation SGBD : les outils
• Utiliser un langage traditionnel
– Qui appelle des API Propriétaires fournies par l’éditeur de SGBD
• Ex: OCI (Oracle), DB-Lib (Sybase), …
• Programme écrit dans un langage classique (C, C++, Cobol, etc.)
… avec des appels à ces API non standards fournies par l’éditeur du SGBD
– Qui appelle des API indépendantes du SGBD
• SQL-CLI (Call Level Interface)
• Popularisé par les médiateurs ODBC, JDBC
– Embedded SQL (générateur de code + API propriétaires)
• Ex: Pro*C (Oracle), ECPG (Postgres), Pro*Cobol (Oracle), etc…
• Programme écrit dans un langage classique (C, C++, Cobol, etc.)
… avec des instructions SQL directement dans le programme
• Précompilation : le source (ex: C+SQL) …
… est transformé en code compilable (ex: C pur)
• Suivi d’une compilation classique (ex: C pur)
• Utiliser un langage « SGBD » propriétaire (fourni par l’éditeur)
– Ex: PL/SQL Oracle, PL/pgSQL (PostgreSQL), T-SQL (SQLServer), …
– Extension de SQL à des éléments de programmation procédurale
• Instructions conditionnelles, itérations, variables, etc.
80
Optimisation de requêtes
81
Du stockage à l’optimisation
82
Problème de l’optimisation
• Un problème global
– Touche l’ensemble des acteurs (pas seulement l’éditeur…)
Select
From
Where
Optimisation
83
84
Ex. 9 jointures
Coût
Objectifs de l’optimisation
• Objectif de l’optimiseur : trouver le meilleur plan …
– Donnant les résultats le + vite ….
• Optimisation pour le temps de réponse (response time)
– Minimisant la consommation de ressources
• Optimisation du travail total (Total work)
– Minimisant le temps de délivrance des premiers tuples
• Optimisation de la latence (Latency / First tuples …)
• Qui optimise ?
– Idéalement 2 requêtes équivalentes même plan, le meilleur !
Seuls les concepteurs de SGBD doivent maîtriser l’optimisation
– Pratiquement, ce qui conduit à des plans différents
• 2 modèles conceptuel/physiques différents (d’un même problème)
• 2 opérations sémantiques équivalentes (série de requêtes SQL différentes)
• 2 requêtes SQL équivalentes
Le concepteur et le programmeur BD jouent un rôle majeur
85
86
86
87
• Attention :
– Surcoût lors des mises à jour !
– Un accès par index plus coûteux qu’un parcours séquentiel ?
C’est parfois vrai…. Pourquoi ?
87
Index primaire vs. secondaire
Index primaire : 1 seul par table Index secondaire : n par table
Index Index
Table Table
Tuples triés sur la clé de l’index Tuples rangés aléatoirement sur la clé de l’index
Patients Visites Patients Visites
89
90
Optimisation Physique
Jointure
– Nested Loop Join ?
– Index Join ?
–
Hash Join ?
Sélection
– FTS (Full Table Scan) ?
– Index Scan (B+tree) ?
Patients Visites – Index Scan (Bitmap) ?
90
91
Algorithmes de jointure
• Nested loop Join : Jointures par boucle imbriquées
– Pour chaque visite, parcourir les patients
• Index Join : Utilisation d’index sur une des relations
– Pour chaque visite, retrouver le patient grâce à l’index
• Sort Merge Join
– Trier les visites sur le N° de patient
– Trier les patients sur le N° de patient
– Fusionner les deux tables triées (jointure ‘à deux doigts’)
• Hash Join
– Hacher les patients sur le N° de patient
– Pour chaque visite, calculer la valeur de hachage et chercher
dans la table de hachage le patient correspondant
91
92
Optimiseur heuristique
• L’optimisation est indépendante des données
– Dépend uniquement de la requête SQL…
• Exemple d’heuristiques classiques
– Effectuer les sélections en premier
– Ajouter un maximum de projections
– Utiliser tous les indexes disponibles
– Utiliser les ‘meilleurs’ algorithmes de jointure, dans l’ordre
1. Hash join
2. Sort merge join
3. Nested Loop join avec index
4. Nested loop join
• Conclusion
– L’ordre des opérations dépends de l’expression SQL
• Ex = ordre des jointures déterminé par leur ordre d’apparition
– Présent dans Oracle = Rule Based Optimizer (RBO)
92
Optimiseur basé sur un modèle de coût
• Dépend des caractéristiques des données
• Présent dans Oracle (Cost Based Optimizer ou CBO)
• Plus efficace que le RBO !
Graphe d'opérations Schéma interne
Plans d'exécution
(espace de recherche)
Bibliothèque de
Générateur de
transformations
Plans
Statégie de Heuristiques
Recherche
de choix
Modèle de coût
Plan d'exécution
Optimal
93
Difficultés de l’optimisation basée coût
• Espace de recherche (plans candidats)
– Plusieurs algorithmes pour chaque opérateur
– Coûts et comportement différents
– Plusieurs ordonnancement pour les opérations binaires
• Sans considérer les algorithmes, il y a 1620 ordres possibles pour
joindre 5 relations, et 17 milliards pour 10 relations !
Utilisation d’heuristiques et de programmation dynamique
94
95
Les statistiques
• Possibilité d’histogrammes
– RunStat(<Table>, <attribut>) construction et stockage d’un
histogramme de variation de l’attribut dans la table.
– Utilisation par le modèle de coût
– Sinon, hypothèse d ’uniformité
• Exemple :
– Personnes ayant un salaire entre 2K€ et 4 K€ ?
20%
– Personnes ayant 2 véhicules ?
15%
– Personnes ayant 2 véhicules et un salaire entre 2 et K4 K€?
3% ? Non !
En fait, 14%
15%
20%
Qualité de l’optimisation
1. Qualité du schéma physique
– Indexes
– Partitionnement, placement
– Configuration
2. Qualité de l'optimiseur (heuristique/coût)
– Qualité du modèle de coût utilisé
– Qualité de la stratégie de recherche de l'optimiseur
3. Qualité de l’administration
– Qualité des traces ou indicateurs générés par le système
– Qualité des outils d'aide à l'administration
– Qualité de l’administrateur !
4. Qualité des développeurs d’application ? 96
97
97
Oracle : Automatic SQL Tuning
Statistiques Index Mauvaises
SQL Profile
manquantes manquants constructions SQL
Requête SQL
98
99
99
Petite classe : exercices de SQL
et d’optimisation de requêtes
100
Contraintes d’intégrité
-
Triggers
102
Contrôle d’intégrité
• But
– Détecter les mises à jour erronées
– Réagir
• rejeter la transaction
• compenser les erreurs
• Mise en oeuvre
– Langage de définition de contraintes d'intégrité
– Processus de vérification automatique des contraintes
• Contraintes comportementales
– Spécifient une règle d’évolution des données
– Plusieurs sortes de contraintes comportementales
• Domaine de variation
• Contraintes temporelles
• Contraintes équationnelles
• Dépendances généralisées, …
104
Contraintes structurelles
• Contrainte d‘entité
– Contrainte de clé
• Un groupe d’attributs clé par relation
• Ex: identifiant de chaque personne
– Contrainte de non nullité
• Valeur d’attribut doit être renseignée CREATE TABLE personne
• Ex: nom de chaque personne (
id INTEGER PRIMARY KEY,
– Contrainte d’unicité nom VARCHAR(15) NOT NULL,
• Valeur d’attribut doit être unique num_sécu NUMBER(15) UNIQUE NOT NULL,
• Ex: numéro de sécurité sociale nom_ent VARCHAR(15) REFERENCES entreprise
);
• Contrainte référentielle
– Valeurs d’un d’attribut existent
comme clé d’une relation
• Contrainte de domaine
– typage des valeurs de l’attribut
105
Contraintes comportementales (1)
• Domaine de variation
CREATE TABLE Vin
– Précise l’ensemble des valeurs (…,
permises d’un attribut couleur VARCHAR(5) CHECK ( couleur IN
('rouge', 'blanc', 'rosé') ),
– L’ensemble peut être une liste de …)
valeurs discrète ou non
– Ex: couleur rouge, blanc, rosé
TRIGGER degré_croissant
• Contraintes temporelles (SQL2) BEFORE UPDATE OF degré ON vin REFERENCING
OLD ROW AS vin_avant
– Comparent ancienne et nouvelle NEW ROW AS vin_après
valeurs d’un attribut FOR EACH ROW
WHEN (vin_après.date > vin_avant.date AND
– Ex : degré du vin ne peut décroître vin_après.degré < vin_avant.degré )
BEGIN
lancerException
• Contraintes équationnelles END
107
Expression des contraintes en SQL2
• Une contrainte d’intégrité peut être
– Associée à un domaine
• Spécifiée
– Au travers de la clause CREATE DOMAIN
– Lors de la définition de l’attribut dans la clause CREATE TABLE
– Dissociées
• Spécifiée au travers de la clause CREATE ASSERTION
Exemple
109
SQL2 : contrainte de domaine (2)
• Spécification possible dans la clause CREATE TABLE
CREATE TABLE <nom_table>
(
<nom_colonne type|nom_domaine>* [<contrainte_colonne>*]
[<contrainte_table>*]
)
<contrainte_colonne>::=
[CONSTRAINT nom_contrainte]
< NOT NULL|UNIQUE|PRIMARY KEY|
REFERENCES nom_table(liste_colonnes)|
CHECK(expr)>
[NOT] DEFERRABLE
Exemple
CREATE TABLE Vin
(
id INTEGER PRIMARY KEY,
couleur COULEURS_VINS,
cru VARCHAR(20),
millesime DATE,
degre INTEGER CHECK(degre BETWEEN 8 AND 15) NOT DEFERRABLE,
quantite INTEGER
);
110
SQL2 : contraintes de relations (1)
• Spécification possible dans la clause CREATE TABLE
CREATE TABLE <nom_table>
(
<nom_colonne type|nom_domaine>* [<contrainte_colonne>*]
[<contrainte_table>*]
)
< contrainte_table > ::=
[CONSTRAINT nom_contrainte ]
< UNIQUE (liste_colonnes)|PRIMARY KEY (liste_colonnes)|
CHECK (expr)|
FOREIGN KEY (liste_colonnes) REFERENCES nom_table (liste_colonnes)>
[NOT] DEFERRABLE
Exemple
CREATE TABLE Vin
(id INTEGER PRIMARY KEY,
couleur COULEURS_VINS,
cru VARCHAR(20),
millesime DATE,
degre INTEGER CHECK(degre BETWEEN 8 AND 15) NOT DEFERRABLE,
quantite INTEGER,
CONSTRAINT dependance_fonctionnelle
CHECK (NOT EXISTS (SELECT *
FROM vins
GROUP BY cru,millesime
HAVING COUNT(degre) > 1)
NOT DEFERRABLE);
111
SQL2 : contraintes de relations (2)
• Sous-cas important : les contraintes référentielles
– Caractérisent toutes les associations
– Peuvent être croisées mode DEFERRABLE
• En cas de violation de la contrainte
– Mise à jour peut être rejetée
– Action de correction peut être déclenchée
• ON DELETE : action à effectuer si suppression d'un tuple référencé
• ON UPDATE : action à effectuer si MAJ de la clé d'un tuple référencé
FOREIGN KEY (<liste_colonnes>)
REFERENCES <nom_table> (<liste_colonnes>)
[ON DELETE {CASCADE | SET DEFAULT | SET NULL}]
[ON UPDATE {CASCADE | SET DEFAULT | SET NULL}]
[NOT] DEFERRABLE
Exemple
CREATE TABLE Abus
( id INTEGER NOT NULL,
id_vin INTEGER NOT NULL,
date DATE,
CONSTRAINT référence_buveurs FOREIGN KEY id REFERENCES Buveurs (id)
ON DELETE CASCADE DEFERRABLE
); 112
SQL2 : contraintes dissociées
• Spécification sous forme d’assertion (règle)
Exemple
CREATE ASSERTION quantite_produite
CHECK ( NOT EXIST (SELECT Id FROM Buveur
GROUP BY Id
HAVING SUM(qté)>100)
115
Contraintes structurelles Oracle (1)
• Contrainte d‘entité (clé de relation, non nullité, unicité)
– Spécifiées lors de la création de la table
• En tant que contrainte de colonne
CREATE TABLE Ville
( id NUMBER CONSTRAINT pk PRIMARY KEY,
… );
116
Contraintes structurelles Oracle (2)
• Contraintes référentielles (clé étrangère)
– Spécifiées lors de la création de la table
• En tant que contrainte de colonne
CREATE TABLE Ville
( …,
dept_id NUMBER CONSTRAINT fk REFERENCES Dept(Id),
… );
118
Contraintes comportementales Oracle
• Contraintes temporelles
• Contraintes équationnelles
• Dépendances généralisées
119
Vérification des contraintes
• Nécessite un travail (non trivial) de la part du SGBD
– Souvent pour cela que tout SQL2 n’est pas supporté dans les produits
– Pré-test : A‘ = A Q
– L’algorithme ajoute conjonctivement l’assertion A à la sous
formule conditionnant l'exécution de la mise à jour
– Exemple : A = salaire > SMIC
UPDATE employé
UPDATE employé
SET salaire = salaire * 0.9
SET salaire = salaire * 0.9 devient WHERE nom = 'Raleur'
WHERE nom = 'Raleur';
AND salaire * 0.9 > SMIC;
122
Notion de pré-tests différentiels
• Simplification des vérifications de contraintes lors de
modification de la base
• Ex : la relation Abus référence la relation Vins
Tuples à
insérer R+
Mises à dans R Pré-test
jour de R commit
Tuples à
supprimer
de R
R-
MEM. CACHE DISQUE
• Pré-tests simplifiés
– Insertion (Abus) : Abus+.id_vin = Vins.id
– Suppression (Abus) : rien à faire
– Insertion (Vins) : rien à faire
– Suppr. (Vins) : Count (Abus.id_vin) where (Abus.id_vin = Vins-.idm) = 0
Opération
insertion suppression modification
Type de contrainte
124
Conclusion contraintes d’intégrité
• Assurent la cohérence de la BD
• Définies dans la Norme SQL2
– Du papier…
126
SQL2 : déclencheurs (Triggers)
• Définition
– Action ou ensemble d'actions déclenchée(s) automatiquement
lorsqu'une condition se trouve satisfaite après l'apparition d'un
événement
• Un déclencheur est une règle ECA
– Événement = mise à jour d'une relation (INSERT, DELETE, UPDATE)
– Condition = optionnelle, équivaut à une clause WHERE
– Action = exécution de code spécifique (ordre SQL ou PL/SQL)
• Requête SQL de mise à jour, exécution d'une procédure stockée, abandon
d'une transaction, ...
128
SQL2 : Gestion des Triggers
129
Mises en garde : interactions
• L’action d’un trigger peut déclencher d’autres triggers
• L’action d’un trigger peut causer la vérification des
contraintes d’intégrité
• Les actions de réaction aux contraintes d’intégrité
peuvent déclencher des triggers
– on delete cascade trigger delete
– on update cascade / set default / set null
on delete set default / set null trigger update
130
Triggers des SGBD commerciaux
• Différences avec le standard
• Oracle
– 1 seul trigger déclenché par un même évènement
– Condition : ne peut contenir de requête SQL
– Action :
• 1 bloc PL/SQL anonyme sans COMMIT/ROLLBACK
• Pas de mise à jour de la table ayant levé le trigger
• Pas de lecture de la table ayant levé le trigger ligne
• Informix9
– Condition : ne peut contenir de requête SQL
– Action
• 1 seul ordre PL/SQL
• ou 1 seul appel de procédure/fonction
131
Définition globale des triggers Oracle
• Lors d’une requête de MAJ sur une table…
– Insert, delete, update
CREATE TRIGGER <nom-trigger>
<BEFORE | AFTER>
• […si la clause when est vérifiée…] <INSERT | DELETE | UPDATE>
ON <nom_de_table>
– Condition sur le tuple mis à jour [WHEN (<condition_sur_la_ligne>)]
[FOR EACH <ROW|STATEMENT>]
132
Triggers ordre Oracle (1)
CREATE TRIGGER <nom-trigger>
<qd_executer> <ordre_sql> ON <nom_table>
[FOR EACH STATEMENT]
<bloc_plsql>
<qd_executer> ::= BEFORE | AFTER
Exemple
CREATE TRIGGER vérif_qté
AFTER INSERT OR UPDATE OF qté ON Abus
DECLARE
qté_produite NUMBER;
qté_bue NUMBER;
BEGIN
SELECT SUM(qté) into qté_produite FROM Vins;
SELECT SUM(qté) into qté_bue FROM Abus;
IF qté_produite > qté_bue THEN
raise_application_error(-20001, ‘mise à jour incohérente’);
END IF;
END;
133
Triggers ordre Oracle (2)
• Exécution du trigger avant ou après la requête (ordre)
– Avant : mises à jour de l’ordre toutes invisibles
– Après : mises à jour de l’ordre toutes visibles
– Dans le trigger : mise à jour impossible de la table modifiée
• Ex. du trigger vérif_qté
SCN = 7
SCN = 8
SCN = 8 Transaction
SCN = 9 SCN = 9
Insert into Abus as select… Déclenche
Requête
SCN = 10
(après insertions)
Abus
SCN =11
SCN = 11
Trigger vérif_qté
Chronologie
134
Exercice 1
• Créer un trigger ordre qui s’assure que les
modifications sur la table Emp ont bien lieu pendant
les jours ouvrables (du lundi au vendredi)
– Vous pourrez utiliser la fonction TO_CHAR(SYSDATE, ‘DY’)
qui retourne le jour courant ‘MON’, ‘TUE’, ‘WED’, ‘THU’,
‘FRI’, ‘SAT’, ‘SUN’
135
Triggers ligne Oracle (1)
CREATE TRIGGER <nom-trigger> [INSTEAD OF]
<qd_executer> <ordre_sql> ON <nom_table>
[REFERENCING OLD AS <nom_old> NEW AS <nom_new>]
FOR EACH ROW
WHEN(<condition>)
<bloc_plsql>
<qd_executer> ::= BEFORE | AFTER
<ordre_sql> ::= < INSERT | DELETE | UPDATE [OF<liste_colonnes>] >
[OR <ordre_sql>]
<condition> ::= <attribut> <|>|!=|=|[NOT]<IN|BETWEEN|LIKE> <valeur>
SCN = 8
SCN = 8 Transaction
SCN = 9 SCN = 9
Update from Vin where… Déclenche
Requête
SCN = 10 Déclenche
Vin
SCN = 11
SCN = 11
Requête
Chronologie
137
Exercice 2
• Créer un trigger ligne qui s’assure que lorsqu’un employé est
embauché pour un type d’emploi, son salaire soit dans les
bornes admises pour ce type d’emploi. Les tables ont la
structure suivante :
– Employés (Id, Nom, Prénom, Salaire, Emploi, Dept)
– TypeEmploi (Emploi, Sal_inf, Sal_sup)
CREATE TRIGGER verif_salaire
BEFORE INSERT OR UPDATE OF salaire, emploi ON Emp
FOR EACH ROW
DECLARE
min_sal NUMBER;
max_sal NUMBER;
BEGIN
SELECT Sal_inf, Sal_sup INTO min_sal, max_sal
FROM TypeEmploi WHERE Emploi = :NEW.Emploi;
IF min_sal > :NEW.Salaire OR max_sal < :NEW.Salaire THEN
raise_application_error(-20001,
‘Salaire hors limite pour ’|| :NEW.Nom);
END IF;
END; 138
Commandes Oracle relatives aux triggers
• SHOW ERRORS
– affiche les erreurs dans le cas où le trigger aurait été crée
avec des erreurs de compilation dans SQLPlus
139
Résumé des limites des triggers Oracle
• Un trigger
– Ne peut contenir de COMMIT ou de ROLLBACK
– Ne peut mettre à jour la table qui le déclenche
• Un trigger ordre
– ne peut utiliser OLD et NEW
• Un trigger ligne
– Ne peut selectionner (lire) la table qui le déclenche, sauf dans le cas
d’un BEFORE INSERT déclenché par un ordre SQL unitaire du type
INSERT INTO <table> VALUES(…);
• Un trigger INSTEAD OF
– Ne peut etre déclenché lors d’un ordre sur autre chose qu’une vue (ex:
une table)
140
Exercice 3
• Dire ce qu’il se passe quand on exécute les triggers suivants
CREATE TRIGGER audit_temp
AFTER DELETE ON temp
BEGIN
INSERT INTO temp VALUES (‘suppression de ligne:’||SYSDATE);
END;
142
Langage PL/SQL
• Langage propriétaire Oracle
– Types SQL, tests conditionnels, itérations
• Simple
• Performant
• Utilisé pour
– Créer des packages
– Des fonctions
– Des procédures stockées
– …. Et des Triggers
143
Bloc PL/SQL
• Bloc de déclaration de variables:
DECLARE
<liste des variables utiles au programme>
144
Types des variables PL/SQL (1)
• Types de base
– Types Oracle (CHAR, NUMBER, DATE...)
– Type Booléen : boolean
– Types référençant le dictionnaire de données : table.col%TYPE
• Types complexes
– Record
• TYPE monType IS RECORD (champ1 NUMBER, champ2
VARCHAR2);
– Table
• TYPE maListe IS TABLE OF NUMBER ;
– Curseurs (cf. plus loin)
145
Types et variables PL/SQL (2)
• Déclaration des variables dans le bloc declare
DECLARE
maVar VARCHAR2 DEFAULT ‘ROUGE’;
maVar Personne.nom%TYPE; -- type de l’attribut concerné
maVar Personne%ROWTYPE; -- type RECORD
maVar MonCurseur%ROWTYPE; -- type RECORD
• Affectation de valeur
– Dans toutes les sections avec l’opérateur :=
maVar := 2;
146
Structures de contrôle PL/SQL
• Traitement conditionnel
IF condition THEN traitement1
[ELSIF condition THEN traitement2]
[ELSE traitement3]
END IF;
• Itérations
WHILE condition LOOP
traitement
END LOOP;
LOOP
traitement
EXIT WHEN condition END LOOP;
147
Curseurs PL/SQL : déclaration
• Résultat d’une requête SQL géré comme un fichier
séquentiel
• Déclaration
DECLARE
CURSOR monCurseur IS requête_SQL;
DECLARE
CURSOR monCurseur (nomRecherche IN VARCHAR2) IS
SELECT nom, adresse FROM Personne
WHERE nom = nomRecherche;
148
Curseurs PL/SQL : manipulation (1)
• Attributs de curseur
– %NOTFOUND, %FOUND, %ISOPEN, %ROWCOUNT
– S’évaluent à true, false, null, ou au numéro de tuple
• commandes classiques d’ouverture, lecture, fermeture
• OPEN, FETCH, CLOSE
DECLARE
CURSOR dept_10 IS SELECT Nom, Salaire
FROM employes WHERE NumDept = 10;
tuple dept_10%ROWTYPE;
BEGIN
OPEN dept_10;
LOOP
FETCH dept_10 INTO tuple;
.........
EXIT WHEN(dept_10%NOTFOUND) END LOOP;
CLOSE dept_10;
END;
149
Curseurs PL/SQL : manipulation (2)
• Manipulation simplifiée
– Déclaration implicite du curseur
– Déclaration implicite de l’enregistrement récepteur
– Ouverture et fermeture du curseur implicites
– Ordre de lecture pas à pas fetch implicite
– Condition de sortie implicite
BEGIN
FOR tuple IN
(SELECT Nom, Salaire FROM employes WHERE NumDept = 10)
LOOP
.........
END LOOP;
END;
150
Curseurs PL/SQL : exemple
• Augmente de 5% le salaire des employés du service
compta…
DECLARE
CURSOR Compta IS
SELECT nom, salaire FROM Employe WHERE service = ‘comptabilité’;
Emp Compta%ROWTYPE;
BEGIN
OPEN Compta;
FETCH Compta INTO Emp;
WHILE Compta%FOUND LOOP
IF Emp.salaire IS NOT NULL AND Emp.Salaire < 30.000 THEN
UPDATE Employe SET salaire = salaire*1,05 WHERE nom = Emp.nom;
END IF;
FETCH Compta INTO Emp;
END LOOP;
CLOSE Compta;
END;
151
Procédures et fonctions PL/SQL (1)
• Stockées sous forme compilée dans la base de données,
de la même façon qu’un objet de la base
– soumise aux mécanismes de sécurité ou de confidentialité
• Partagées par plusieurs applications et utilisateurs
– à condition d’avoir le privilège EXECUTE
• Procédure
– unité de traitement qui peut contenir des instructions
• SQL (sauf DDL), PL/SQL, variables, constantes, curseurs et
gestionnaire d’erreurs
• Fonction
– procédure qui retourne une valeur
152
Procédures et fonctions PL/SQL (2)
• Création de procédure
CREATE [OR REPLACE] PROCEDURE nom_procédure [(liste_arguments)]
<IS|AS> declaration_variables
bloc_PLSQL
liste_arguments ::= nom_argument_1 {IN | OUT | IN OUT} type,
nom_argument_2 {IN | OUT | IN OUT} type,
…...
nom_argument_n {IN | OUT | IN OUT} type
• Création de fonction
CREATE [OR REPLACE] FUNCTION nom_fonction [(liste_arguments)]
RETURN type {IS | AS} declaration_variables
bloc_PLSQL
• Re-compilation de procédure et fonction en cas de
modification du schéma de la BD
ALTER <PROCEDURE | FUNCTION> nom COMPILE;
• Suppression de procédure et fonction
DROP {PROCEDURE | FUNCTION} nom;
153
Procédures et fonctions PL/SQL (3)
• Exemple de procédure
– Modifie le prix d’un article d’un certain taux
CREATE PROCEDURE modif_prix (id IN NUMBER, taux IN NUMBER)
IS
BEGIN
UPDATE article a
SET a.prix_unitaire = a.prix_unitaire*(1+taux)
WHERE a.id_article = id;
END;
• Exemple de fonction
– Calcule le chiffre d’affaire
CREATE FUNCTION chiffre_affaire (id IN NUMBER) RETURN NUMBER
IS
ca NUMBER;
BEGIN
SELECT SUM(montant) INTO ca FROM vendeurs WHERE id_vendeur = id;
RETURN ca;
END;
154
Package PL/SQL
• Package
– regroupement de programmes dans un objet de la BD
CREATE [OR REPLACE] PACKAGE nom_Package
<IS|AS>
déclaration_variables Visible par
déclaration_exceptions l’application
déclaration_procédures
déclaration_fonctions
(public)
END nom_Package;
155
Package PL/SQL : exemple
CREATE PACKAGE traitements_vendeurs IS
FUNCTION chiffre_affaire (id_Vendeur IN NUMBER) RETURN NUMBER;
PROCEDURE modif_com (id IN NUMBER, tx IN NUMBER);
END traitements_vendeurs;
157
Petite classe : création de
contraintes d’intégrité en SQL et
avec des triggers SQL3 (PL/SQL)
158
Droits d’accès SGBD
159
Politique de contrôle d’accès
(ie, ensemble de règles)
160
Ex. Système d’information médical
• Sujets = Personnels du Médecin Secrétaire
groupe médical médicale
Jean
Jeanne Nadine
Dossier_Soins_Infirmiers
• Actions = Ex.
Consulter le dossier
Ausculter un patient Mettre à jour les parties
« Dossier_médical » et
« Dossier_soins_Infirmiers »
161
Exemple de règles
• Règles indépendantes du contenu
– Les plus simples
– Règle qui permet d’accéder un objet indépendamment de son contenu
– Ex.
• R1 : La secrétaire médicale a la permission de gérer le « Dossier_Admin »
d’un patient du groupe médical
• Permet de consulter et de mettre à jour n’importe quelle information du
« Dossier_Admin » d’un patient
• Règles dépendant du contenu
– La permission d’accéder à un objet dépend du contenu de cet objet
– Ex.
• R2 : Le médecin a la permission de consulter l’intégralité du dossier d’un de
ses patients (permet de consulter un dossier médical à condition qu’il
s’agisse d’un patient de ce médecin)
• R3 : Le médecin a la permission de mettre à jour les parties
« Dossier_Medical » et « Dossier_Soins_Infirmiers » d’un de ses patients
162
Exemple de règles (suite)
• Règles dépendant du contexte
– La permission d’accéder à un objet dépend d’une condition
associée au contexte d’exécution et indépendante du contenu de
cet objet
• Exemples :
– R4 : En l ’absence de la secrétaire médicale, le médecin a le droit
de créer le « dossier_admin » d’un nouveau patient
– R5 : La secrétaire médicale a accès au « Dossier_Admin » du
patient uniquement pendant les heures de travail
– R6 : La secrétaire médicale a accès au « Dossier_Admin » du
patient uniquement à partir d’un poste interne à la clinique
– R7 : en cas d’urgence, tout membre de l’équipe soignante à accès
au dossier du patient
• Contrôle a posteriori de la réalité de la situation d’urgence
163
Exemple de règles (suite)
• Délégation et transfert de droit
– Règles liées à l’administration de la politique de contrôle
d’accès
• Exemple :
– R8 : Un médecin du groupe médical a la permission
d’autoriser la secrétaire médicale à mettre à jour la
prescription contenue dans le « Dossier_médical » du
patient
• Contrepartie de la délégation
– La secrétaire médicale ayant reçu autorisation a la
permission de mettre à jour la prescription du
« Dossier_médical » du patient
164
Modèle discrétionnaire (DAC)
• DAC = Discretionary Access Control
– Contrôle d’accès discrétionnaire
• Principes de DAC
– Le créateur d’un objet fixe la politique de contrôle d’accès
sur cet objet
– Les sujets reçoivent des permissions pour réaliser des
actions sur des objets
– Les sujets ont l’autorisation de transférer certaines
permissions à d’autres sujets
– Modèle par essence décentralisé
très souple
difficile à administrer
165
Modèle discrétionnaire (DAC)
• Exemple de matrice d’accès
– La matrice peut être immense
Nom Salaire ...
read
Dupont write read
Robert
read
Durand
166
Exemple typique de DAC
• Gestion des droits dans UNIX
Répertoire
• Concept de propriétaire
Contenu
– Dans UNIX, chaque objet a un propriétaire
du fichier F
– C’est le propriétaire qui a les droits
discrétionnaires sur l’objet
• Le propriétaire décide des droits des autres sujets
167
Principe du modèle DAC-SQL
U P V
Utilisateur Permission Vue
O
A Objet
Action =
N-uplet
• Instruction GRANT/REVOKE
– Permet de donner/retirer des privilèges à certains utilisateurs
169
Création d’utilisateur – Ex. d’Oracle (1)
Créés par l’administrateur…
… ou tout utilisateur ayant la permission de créer des utilisateurs
CREATE USER <utilisateur> IDENTIFIED {BY <mot de passe> | EXTERNALLY }
[DEFAULT TABLESPACE <tablespace>] /* Tablespace par défaut : SYSTEM */
[TEMPORARY TABLESPACE <tablespace>]
[QUOTA { entier [K,M] | UNLIMITED } ON <tablespace…>]
/* Tablespace par défaut : SYSTEM */
[PROFILE <profile>] /* Profile par défaut: sans l’imitation de ressource */
[PASSWORD EXPIRE] /* Force le changement de mot de passe */
Ex. CREATE USER biblio IDENTIFIED BY auteur
DEFAULT TABLESPACE data
TEMPORARY TABLESPACE temp
QUOTA UNLIMITED ON data
QUOTA UNLIMITED ON indx
PASSWORD EXPIRE;
DROP USER utilisateur [CASCADE]; /* CASCADE supprime aussi les objets créés */
170
Création d’utilisateur – Ex. d’Oracle (2)
• Un profil = un ensemble nommé de :
– limites de ressources
– Contraintes sur le mot de passe
171
Privilèges SQL
• Deux types: Privilèges « objets » et « système »
• Privilèges objets
– SELECT : permet la consultation de la table
– INSERT : permet l ’insertion de nouvelles données dans la table
– UPDATE : permet la mise à jour de n ’importe quelle colonne de la table
– UPDATE(nom_colonne) : permet la mise à jour d ’une colonne spécifique de la table
– DELETE : permet de supprimer n ’importe quelle donnée de la table
– Etc.
• Privilèges systèmes
– CREATE/ALTER/DROP TABLE : Modifier la définition d’un objet
– EXECUTE : Compiler et exécuter une procédure utilisée dans un programme
– REFERENCE : référencer une table dans une contrainte
– INDEX : Créer un index sur une table
– Etc.
• Les privilèges sont stockés dans la métabase
– Oracle: dba_sys_privs, dba_tab_privs, dba_role_privs, …
172
Commandes SQL Grant
173
Commande SQL Revoke
REVOKE [ GRANT OPTION FOR ] <liste privileges>
ON <table ou vue>
FROM <liste utilisateurs>
[option] ;
– [GRANT OPTION FOR]
• signifie que seul le droit de transfert est révoqué
– [option] = RESTRICT ou CASCADE
• Si A accorde le privilège p à B et B accorde ensuite p à C:
CASCADE => si A révoque p à B alors C perd aussi le privilège
RESTRICT => si A révoque p à B alors la révocation échoue
175
Gestion des vues
Le SGBD transforme la question sur les vues en
question sur les relations de base
Requête Q
sur des vues
Résultat
Gestionnaire Requête Q’
de Vues sur les relations
de base
Définition
des
vues
Exécution de
requête
176
Confidentialité via les vues
Principe : Restreindre l'accès à la BD en
distribuant les droits via des vues :
Requête Q
sur des vues
OK
Résultat
Vérification
des droits
Définition OK
des Gestionnaire
droits Requête Q’
de Vues sur les relations
de base
Définition
des
vues
Exécution de
requête
177
Confidentialité via les vues
Employés Public
Service des (intranet) (internet)
ressources
humaines
Id-E Nom Prénom Poste
1 Ricks Jim 5485
2 Trock Jack 1254
Nombre Masse
3 Lerich Zoe 5489 d’employés Salariale
4 890
4 Doe Joe 4049
GRANT SELECT
ON dossier_patient_du_medecin
TO Jean, Jeanne ;
180
Expression des règles (exemples)
• R4 : En l’absence de la secrétaire médicale, le médecin a la permission
de créer le « dossier_admin » d’un nouveau patient
– Deux tables
• user_status (nom, status) => à créer (et à maintenir)
• user_role (nom, role) => existante dans la métabase
le prédicat est faux pour tous les postes clients autres que T1 et T2 !
182
Règle de délégation
• R8 : Un médecin a la permission d’autoriser la secrétaire médicale à mettre
à jour la prescription contenue dans le « Dossier_médical » de ses patients
183
Conclusion sur DAC-SQL
• Intérêt du concept de vue
– Permet d’exprimer des règles dépendant du contenu
– Permet d’exprimer certaines règles dépendant du contexte
• Règle de délégation
– Complexe à gérer
– « WITH GRANT OPTION » n’est pas suffisant
• Structuration des objets
– Grâce au concept de vue
• Contrôle d’accès basé sur l’identité des sujets
– Pas de structuration des sujets
Intérêt de RBAC
184
RBAC : Role-Based Access Control
• Rôle = ensemble de privilèges
• Les accès des utilisateurs sont gérés en fonction de
leur rôle organisationnel
• Principe de la gestion des rôles dans SQL3 :
R P V
Rôle Permission Vue
O
U A Objet
Utilisateur Action =
N-uplet
185
RBAC introduit dans SQL3
186
Adaptation de l’instruction GRANT
• Affectation des privilèges aux rôles
GRANT <liste privileges>
ON <table ou vue>
TO <liste roles>
[ WITH GRANT OPTION ] ;
187
Ex. d’application du modèle
• Création des rôles
• Hiérarchie organisationnelle
Directeur d ’un département
– R1 est un rôle senior de R2
Chef de service si un utilisateur jouant le rôle R1
est un supérieur hiérarchique d’un
Médecin utilisateur jouant le rôle R2
189
Le modèle RBAC complet
Hiérarchies
Users-Role Permission-Role
Assignment (URA) Assignment (PRA)
U R P
Utilisateurs Rôles Permissions
.
.
. S
Sessions Contraintes
191
Exemple de politique RBAC
192
Conclusion sur RBAC SQL
• Conservation des avantages de DAC-SQL
– Possibilité d’exprimer des règles dépendant du contenu et
du contexte
195
Exemple de Cheval de Troie
196
MAC : Mandatory Access Control
• Basé sur le modèle de Bell-LaPadula
• Politique de sécurité multi-niveaux
– Niveaux de sécurité hiérarchiques: cloisonnement vertical
• Unclassified < Confidentiel < Secret < Très secret…
– Catégories: cloisonnement horizontal
• cardiologie, pédiatrie, rhumatologie, ...
– 1 niveau de sécurité + 1 catégorie = 1 classe d’accès
• Le niveau de sécurité d’une classe d’accès associée à un utilisateur
est appelé niveau d’accréditation
• Le niveau de sécurité d’une classe d’accès associée à un objet est
appelé niveau de classification
• Ex. de systèmes supportant un modèle mandataire
– Oracle Label Security, Label-Based Access Control DB2,
Label Security SQL-Server
197
Dominance
• La décision d’accès est prise en comparant les deux
classes d’accès de l’objet et du sujet
– No read up : un sujet est autorisé à lire un objet seulement si
sa classe d’accès domine la classe d’accès de l’objet
– No write down : un sujet est autorisé à écrire un objet si
sa classe d’accès est dominée par la classe d’accès de
l’objet
• Une classe d’accès c1 domine () c2 ssi :
– Le niveau de sécurité de c1 >= niveau de sécurité de c2
– Les catégories de c1 c2
• Les deux classes c1 et c2 sont dites incomparables
ssi ni c1 c2 ni c2 c1 ne sont vérifiées
198
Mandatory Access Control (2)
Subjects Objects
writes
writes ….. TS
TS
writes ….. S
writes
….. C
C
….. U
Médecin Médecin
Dossier médical Dossier médical
Secret Secret
Secret Unclassified
Pirate Pirate
Fichier D Fichier D
Unclassified Unclassified
Secret Unclassified
Le médecin se connecte comme un sujet Secret Le médecin se connecte comme un sujet Unclassified
Hélas, il est difficile de contrôler tous les moyens de transmettre une information…
200
Synthèse sur les modèles de contrôle d’accès
• Principe fondateur
• DAC
– Permet de structurer les Objets
• RBAC
– Permet de structurer les Sujets
• MAC
– Lutte contre les programmes malveillants
– Mais permet peu de souplesse dans la définition des politiques
Résultat
Contexte
Requête Q’
Gestionnaire Complétée en
de VPD fonction du
contexte
Fonction
d’ajout de
condition liée
au contexte Exécution de
BD requête
202
VPD : Contexte d’application
• Oracle a prévu un contexte par défaut
– USERENV : contient des informations système relatives à la
session courante (équiv. sys_context)
– Exemple : CURRENT_USER, HOST, ISDBA …
204
Exemple de transformation de requêtes
• Supposons que Jean formule la requête suivante :
SELECT *
FROM dossier_patient
WHERE id_patient = 'Paul'
205
Oracle Label Security
• Une adaptation de MAC…
• …construite au dessus de VPD et ne nécessitant pas de programmation
• Data label
– Constitué de 3 composants (Level, Compartment, Group)
– Intégré aux tuples dans une colonne additionnelle (déclarée par le DSA)
– Valeurs définies par le DSA
• Level
– Obligatoire, unique, hiérarchique, dénotant la sensibilité de la donnée
– Exemple: Confidential, Sensitive and Highly Sensitive
• Compartment
– Optionnel, non unique, non hiérarchique, utilisé pour compartimenter les
données
– Exemple: types de données, liste de projets ou de secteur d’activité
• Group
– Optionnel, non unique, potentiellement hiérarchique, utilisé pour isoler les
données par organisation
– Exemple: FBI, CIA
206
Data Label (exemple)
207
User Label
• User Label
– associé à chaque utilisateur
– Mêmes composants: Level, Compartment, Group
• Autorisations requises pour accéder aux données
UserLabel.level DataLabel.level
AND UserLabel.compartment DataLabel.compartment
AND UserLabel.group DataLabel.group
• Exemple
– Une donnée de “DataLabel” (L2: C1,C3: G1,G2)
est accessible avec un “UserLabel” (L2: C1,C2,C3: G1)
mais pas avec un “UserLabel” (L3: C1: G1,G2)
209
Détail des composants du UserLabel (2)
210
Exercice
– C = Confidential, S = Secret
211
Autorisations complémentaires
• Autorisations complémentaires pouvant être données à un
utilisateur ou une procédure stockée
– READ : Oracle ne vérifie plus les labels lors des SELECT
• les opérations update/delete/insert restent contrôlées
– FULL: Oracle ne vérifie plus aucun label
• mais les droits standards sur les objets continuent à s’appliquer (ex: un
GRANT SELECT ON T est toujours requis pour interroger T)
– WRITEUP – WRITEDOWN: donne le droit au user d’augmenter (resp.
réduire) le DataLabel.Level d’un tuple dans la limite de ses propres
capacités
– WRITEACCROSS: donne le droit de modifier Groups et Compartment
d’un DataLabel
• Performance ?
– Un test supplémentaire par tuple (sauf si READ, FULL)
– Création d’un index bitmap sur l’attribut Label est recommandé
212
Synthèse sur les modèles de contrôle d’accès
• Via des vues
• DAC : Permet de structurer les Objets
• RBAC : Permet de structurer les Sujets
• MAC : Intègre l’hypothèse de programmes malveillants
– Lutte contre les chevaux de Troie
– Lourdeur d’implémentation (besoin de cartographier tout le système)
• VPD : Droits fins et contextuels
– Complexe à mettre en œuvre
• OLS: repose sur VPD, facilite (un peu) la mise en œuvre MAC
• Tout cela est TRES puissant… mais pas infaillible
– Nécessite d’avoir confiance dans les utilisateurs
– Nécessite de passer par la porte d’entrée
Audit des accès autorisés et chiffrement de la base
213
Petite classe :
administration des droits d’accès
214
Tolérance aux pannes
215
La tolérance aux pannes
• Types de pannes qui peuvent survenir…
– Abandons de transaction (transaction failure)
– Pertes de la mémoire vive (system failure)
– Perte du disque (media failure)
216
Pannes potentielles et but de la reprise
• Abandon de transaction (trans. failure)
– Levée d’une contrainte d’intégrité
Éliminer les effets de
– Choix de l’utilisateur l’exécution partielle de
– Plantage de l’application client la transaction
– Problèmes de concurrence
• Verrous mortels (verrouillage)
• Retard de transaction (estampillage)
Transaction 1 Transaction 2
A solde1
Défaire
A A - sur disque A solde
Solde1 A AA+
Solde A
Commit
A Solde2 Chronologie
AA+
Solde2 A
Commit
Assurer l’Atomicité
218
Défaillance de site
Plantage Terminal 2
Terminal 1 serveur
Panne de Terminal 3
courant
Base de données
AA+
Solde2 A
Commit
Terminal 3
Crash disque
Base de données
AA+
Solde2 A
Commit
Assurer la Durabilité
220
Tolérer l’abandon de transaction
• Objectif
– Éliminer les effets de l’exécution partielle de la transaction
• Mise en œuvre
– Effacer la mémoire de la transaction abandonnée (son cache)
• Ne plus rien reporter sur disque de ses effets en cache
– Retirer les effets de la transaction sur disque
• Si aucune modification reportée sur disque Rien à faire…
• Sinon
– Remplacer les valeurs modifiées par leur valeur avant modification
– Retirer tous les objets ajoutés par la transaction
• Cela suppose
1 Pendant la transaction: Garder l’historique des valeurs avant
modification par la transaction
2 Au commit : Ajouter sur disque les pages modifiées*
et faire un commit atomique
*peut être effectué avant le commit de façon asynchrone 221
Abandon utilisant le journal avant
• Pour retirer du disque les effets de la transaction abandonnée
– Journal avant Pourquoi ?
• Fichier séquentiel stockant les valeurs avant mise à jour de chaque objet modifié
– Mise à jour d’un objet par la transaction
écriture de sa valeur avant modification
– Validation de la transaction : écrire le fait qu’elle a validé
• Le journal est ensuite utilisé pour défaire les mises à jour reportées sur disque
Écrit page
Images avant
Lit page
Lit page
modification
Mémoire
secondaire
Base de données
• Utilisation: on part de la fin du journal, toute MAJ rencontrée effectuée par une
transaction non validée est annulée (en place) sur le disque
222
Tolérer la défaillance de site
• Perte du contenu de la mémoire vive
– S’appelle aussi la reprise à chaud
• But
– Annuler les effets sur disque des transactions non validées
– Rétablir les effets sur disques des transactions validées avant la panne
• Mise en œuvre
– Défaire les effets présents sur disque des transactions non validées
• Aucune modification reportée sur disque rien à faire…
• Sinon défaire avec le journal d’images avant
Journal avant en mémoire secondaire (support persistent) !
Mémoire de la transaction
Mises à jour
Écrit page
Lit page
Lit page
Défaire Refaire
Mémoire
secondaire Base de données
• Utilisation : on part du début du journal après, on refait toutes les transactions sur disque
224
Conclusion intermédiaire…
• Abandon de transaction
– Journal avant : défait les effets sur disque de la transaction
• Peut être en RAM
• Utile si on reporte le cache de la transaction sur disque avant validation
• Il contient les images avant de chaque transaction (non validée)
• Reprise à chaud
– Journal avant : pour défaire
• Doit être en mémoire persistante
• Utile si on reporte le cache de la transaction sur disque avant validation
– Journal après : pour refaire
• Doit être en mémoire persistante
• Utile si on ne reporte pas le cache de la transaction après validation
• Il contient les images après des transactions validées
La gestion du cache détermine l’existence des journaux
225
Politiques de gestion de cache
• Détermine l'instant du report sur disque des pages modifiées
– STEAL (resp. NO_STEAL)
• Des pages modifiées par des transactions non validées peuvent être reportées sur
disque
Lit page
Lit page
– Une partie des effets de la
transaction est dans la base
Gérer sur disque un mini-journal
temporaire d’images avant pour
défaire la transaction… Mini-journal
Base de données (temp.)
Mémoire de la transaction
WAL
Lit page
Lit page
Steal
Journal avant
Mémoire
secondaire Base de données
Mémoire de la transaction
Mises à jour
Force log
Lit page
Lit page
Commit
Journal après
Mémoire
Base de données secondaire
• No-force
– Mises à jour pas forcément reportées dans la base après le commit
Refaire les mises à jour commises (journal après)
Lit page
Défaire Refaire
Panne après commit Panne avant commit
Mémoire
secondaire Base de données
230
Tolérer la défaillance de mém. 2ndaire
• S’appelle aussi reprise à froid…
– Perte du contenu de la mémoire persistante
Lit page
Journal
avant Journal après
Défaire Refaire
Mémoire
Base de données
secondaire
231
Algorithme de reprise à froid
• Performances: utilisation de « backup »
(ie, points de reprise ou « checkpoints »)
– Recharger la base avec le dernier « backup »
– Refaire les transactions validées du journal redo log (image après)
• NB: le backup peut être réalisé à partir du redo log…
Réduit la taille
sur disque du
Sauvegarde du journal
journal après Journal après
Force Log at Commit
Chronologie
Disponible? Disponible!
Sauvegarde de
la BD
Pour
reconstruire
plus vite…
Base de données
232
Conclusion sur la journalisation
• Journaux : qu'y trouve t-on ?
– Identifiant de la transaction
– Identifiant de l'enregistrement de la BD
– Valeur avant
– Valeur après
• Défaire
– Lecture de la fin vers le début du journal des images avant
– On défait toutes les transactions non commises
– Garantir l‘Atomicité des transactions
• Refaire
– Lecture du début vers la fin du journal des images après
– On refait toutes les transactions validées
– Garantir la Durabilité 233
Vrai ou faux ?
• Le concept de transaction (ACID) n’est nécessaire que dans le cas où il y a
plusieurs utilisateurs Faux (même pour I!)
235
Tolérance aux pannes dans Oracle (2)
• Les Rollback Segments
« switch »
Sauvegarde du
journal après
– Cohérente
• Respecte les règles d'intégrité…
• Comment définir et implanter les contraintes ) voir la suite
– Isolée
• Seules les mises à jour validées sont visibles
• Contrôle de concurrence (verrouillage, estampillage, versionning, …)
– Durable
• Les mises à jour validées ne peuvent jamais être perdues
• Tolérance aux pannes (journal après, checkpoint, …)
238
Audit
Toutes les actions sont auditables…
Problèmes: quoi auditer ? Quoi rechercher ?
239
Objectifs de l’audit
• Sécurité
– Identifier les usages illicites
• Utilisateurs cherchant à outrepasser leurs droits (inférences),
Injection SQL ou Attaque d’un Cheval de Troie (dump), Pertes de
données suspectes (suppressions), etc.
– Identifier les données / comptes compromis
– Tracer des usages exceptionnels (ex: bris de glace)
– Vérifier la conformité d’un usage (ex: prise de décision
médicale)
– Imputer des actions
• Performance
• Amélioration organisationnelle, financière, etc.
240
Comment auditer ?
• L’audit du SGBD peut concerner les objets de la base
– Tables, vues, index, procédures, etc.
– Créations, modification, destruction, mises à jour, etc.
… et toutes les actions systèmes
– Connections à la base, attribution des privilèges, etc.
• Tout peut être audité
– Problème: le volume et l’exploitation de l’audit…
• Moyens:
– Audit par des déclencheurs (triggers)
– Audit en utilisant la commande AUDIT, peuplant la table
d’audit du SGBD
241
Audit par Triggers
• Triggers crées par l’administrateur BD/sécurité
– Déclenchés sur des événements « systèmes » (LOGON,
CREATE, DROP…)
• Localité de l’événement contrôlable (dans un schéma, etc.)
– Déclenchés sur des événements « objets » (INSERT,
DELETE, UPDATE)
• Avantages: faible volume, analyse ciblée
– choix fin des actions à auditer, activation à la demande
• Limites: certaines actions son difficiles à auditer
– Ex: auditer les requêtes (SELECT)
242
Le mode AUDIT du SGBD
• Les actions auditées sont stockées
– dans une table du SGBD (Oracle: SYS.AUD$)
– dans un fichier de l’OS (permet l’audit de plusieurs bases)
• Actions auditables sont
– les connexions à la base
– les actions qui affectent un type d’objet (table, rôle, etc.)
– les actions qui affectent un objet (table EMP)
… Aussi bien pour les actions réussies et non réussies
• Activer / désactiver l’audit:
– ALTER SYSTEM SET audit_trail=db,extended scope=spfile;
• Puis redémarrer l’instance Oracle…
– NOAUDIT ALL;
243
Utilisation de la table d’audit
• Table d’audit Oracle
– SYS.AUD$ du tablespace SYSTEM
• L’archiver et la purger périodiquement
– Privilège DELETE_CATALOG_ROLE
• Pour consulter l’audit
– L’interroger en SQL la table SYS.AUD$
– Utiliser les vues de l’audit_trail
• DBA_AUDIT_OBJECT,
• DBA_AUDIT_STATEMENT,
• DBA_AUDIT_SESSION,
• etc…
244
Types d’audit
• Audit de connexion
– Audite chaque tentative de connexion:
Ex: AUDIT SESSION [WHENEVER [NOT] SUCCESSFUL];
– Résultat de l’audit: SYS.AUD$, DBA_AUDIT_SESSION
• Audit des actions
– Audite chaque tentative d’action d’un certain type
Ex: AUDIT CREATE TABLE; AUDIT ROLE;
AUDIT CONNECT; AUDIT DBA; …
• Résultat de l’audit: SYS.AUD$, DBA_AUDIT_STATEMENT
• Pour arrêter l’audit: commande NOAUDIT Ex: NOAUDIT CREATE TABLE, NOAUDIT
ROLE; …
• Audit des objets
– Audite un objet particulier (par session, ou par accès)
Ex . AUDIT INSERT ON EMP; AUDIT DELET ON COM BY SESSION
– Résultat de l’audit: SYS.AUD$, DBA_AUDIT_OBJECT
• Audit d’un utilisateur particulier
– AUDIT SELECT TABLE, UPDATE TABLE BY scott, blake;
245
Conclusion sur l’audit
• Contrôler le volume et le contenu de la table d’audit
• Limiter le droit de supprimer dans la table
– Attention au DBA et à tous les utilisateurs ayant le privilège
DELETE_CATALOG_ROLE
• Toute action ou tentative d’action sur la table d’audit
peut être auditée elle aussi
246
Petite classe
Expériences sur les pannes
et audit des accès
247
Sécurité du SGBD
248
Sécurité des SI (ITSEC)
Information Technology Security Evaluation Criteria
• Confidentialité
– Seules les personnes autorisées ont accès aux ressources
• Intégrité
– Les ressources du SI ne sont pas corrompues
• Disponibilité
– L’accès aux ressources du SI est garanti de facon
permanente
• BD: les ressources sont les données de la BD + traitement
activables sur les données
• Et dans certains contexte
– Auditabilité, imputabilité
249
DBMS : qui attaque ?
• Pirate externe Pirate
externe
– capable de s’infiltrer sur le serveur
BD et de lire ses fichiers
– capable de casser une clé de
chiffrement avec un texte connu
• Pirate utilisateur
– est reconnu par le SGBD et a accès
Pirate
à une partie des données utilisateur
– suivant le mode de chiffrement, il a
accès à certaines clés Pirate
administrateur
• Pirate administrateur (DBA)
– employé peu scrupuleux ou pirate Client C1
(journal)
– peut espionner le SGBD pendant Serveur BD
l’exécution 250
Principales défenses
251
Chiffrement de BD
• Protection cryptographique pour
• Protéger les données de la BD
– Observation / altération illicite
• Protéger le moteur d’exécution de la BD
– Vérifier la complétude/exactitude des résultats
252
Objectifs du chiffrement de la BD
253
Chiffrement Symétrique (“à clé secrête”)
• Auteur et destinataire des messages partagent un secret (clé)
– Le secret permet de chiffrer et le déchiffrer les messages
• La sécurité repose sur ce seul secret
– Tous les détails du système sont publics, même les fonctions de
chiffrement/déchiffrement
Secret partagé: clé
K
déchiffre
Chiffre
m c c m
ALICE BOB
c = CK(m) m = DK(c)
= DK(CK(m))
MARVIN
254
Chiffrement symétrique (algos)
• Un algorithme sûr résiste aux attaques suivantes:
– L’attaquant connait le texte chiffré c il trouve m, ou mieux, la clé K
– L’attaquant connait des couples clair / chiffré (m, c) il trouve K, ou peut déchiffrer d’autres messages
• 3DES : Remplace DES (1997 – 2001) – La meilleure attaque connue nécessite 232
– Nécessite 3 clés de 56 bits messages clairs connus, 2113 étapes, 290
– 3DES(k1k2k3, m) = DES(k3,DES(k2,DES(k1,m))) chiffrements DES, et 288 mémoire !!
– 3DES est sûr (actuellement)
• RIJNDAEL (AES) : Utilisé depuis 2001
(standard depuis 2002)
– Chiffrement par bloc de 128 bits – Seules des attaques canal latéral ont été réussies
– La clé fait 128, 192 ou 256 bits sur AES
– Rapide, nécessite peu de mémoire – Voir www.cryptosystem.net/aes/ pour information
– AES est sûr (actuellement)
256
Problème du choix du mode opératoire
• Mode ECB => attaque par analyse de fréquence
– ECB : Motif en clair identiques => motif chiffré identique
257
Problème de performance
258
A quel niveau chiffrer ?
Storage layer
Application
Keys Encrypt/Decrypt
Server
RAM
Encrypted Data
Database Server
262
Solution « chiffrement transparent »
• SQL étendu à la gestion du chiffrement
– Transparent pour les applications
• Chiffrement niveau attribut (Oracle 10g)
– Certaines colonnes sont chiffrées dans tous les tablespaces
(même temporaires), SGA, logs/backups…
• La colonne peut rester indexable (option NO_SALT)
…. Mais l’attaque par analyse de fréquence est alors possible !
– Certains tablespace sont chiffrés (Oracle 11g)
• Tablespaces complets chiffrés sur disque, déchiffrés en SGA
• Indexation classique (indexes chiffrés fabriqués sur le clair)
• Master key chiffrée par un mot de passe (admin.)
ou stockée dans un HSM
• Exemples: Oracle Transparent Data Encryption (TDE),
SQL server 2008 TDE, … 263
Approche client : le principe
• Chiffrement coté client
– Pas de transmission du texte clair ni des clés au serveur
– Le traitement s’effectue sur le client (pire cas) Data Client
Database Server
Problème : déporter la majeure partie du traitement
Storage layer
sur le serveur (données chiffrées), sans perte de
sécurité Server
RAM
Encrypted Data
• Limites de l’approche client
– Gestionnaire de droits côté client
– Données et clés en clair sur le client
– Or le client n’est pas forcément un site de confiance
– Donc ne convient pas à une BD partagée (BD privée uniquement)
264
Approche client : les techniques
• L’objectif est de déporter le plus possible de taches
sur le serveur sans compromettre la sécurité
• Indexation des données
– Indexation sur le chiffré
• Utilisation d’un mode de chiffrement avec des propriétés particulières
• Ex: préservant l’égalité [Ora07, BoP02], l’ordre [AKS+04], ou
l’homomorphisme [GeZ07]
• Le serveur maintient un index sur le chiffré
• Le client interroge en posant des questions sur le chiffré
• C’est un compromis sécurité / performance…
– Etiquetage des tuples
• Le client pose des étiquettes, pour sélectionner/joindre
• Les étiquettes sont statistiquement indistingables
265
Solution par étiquetage [HIL+02]
• Granule de chiffrement = tuple
• Ajout d’étiquettes d’attributs
– Indique qu’un attribut de tuple appartient à une plage de
valeurs
– Permet des traitements (approximatifs) sur le serveur
• Sélection, jointure, groupement
266
Attributs numériques
• Partitionner le domaine de variation d’un attribut
Connaissance du client
h(1)=17 h(2)=4 h(3)=12 h(4)=3 h(5)=6 h(6)=1 h(7)=9
20 24 31 35 40 48 50 54
Age=53 32<Age<40
Connaissance du serveur
I Age Inférences => distribution
(Age=37) E(R1) 3 uniforme
(nb tuplesIpar
Age= 9
partitionIidentique)
Age= 12
(Age=53) E(R2) 9
• connaissance a priori vs.OR
(Age=26) E(R3) 4 updates? I =3
• combinaison d’indices?Age
• (à suivre…)
267
Architecture
Client Site Server Site
Encrypted
Query Results
Executer
Temporary
Results
Client Side
Server Side Service Provider
Query
Query
Query
Translator
Final Results
+vite
User
268
Données personnelles
et anonymat
269
Intérêt « industriel » pour l’anonymat
• Calculs statistiques sur des données personnelles
– Intérêt commercial évident…
– Marketing et publicité (profilage)
– Compagnies d’assurance et banque (évaluation du risque,
tarification des contrats)
– Santé, recherche (études épidémiologiques), etc.
• Mais des difficultés (au moins pour l’Europe)…
– 1) Obtenir le consentement de l’usager
– 2) L’informer du traitement statistique, etc.
… qui ne se posent pas si les données personnelles
sont rendues « anonymes »…
– Car ces données n’entrent pas dans le champ de la loi
(depuis 2004) 270
Anonymisation : le principe
Individus
Serveur de Serveur de
confiance statistiques
271
271
Anonymisation : les techniques
• Pseudonymat: remplace les identifiants par des pseudonymes
– Hachage (cryptographiques) des identifiants
– Conservation des colonnes sensibles utiles
• k-anonymat: cache chaque individu dans une classe de k individus
– Généralisation et suppression des quasi-identifiants
– Conservation des colonnes sensibles utiles
• l -diversité: diversifie les valeurs sensibles des classes
– Complète le k-anomymat
– Contrôle les valeurs sensibles présentes dans chaque classe
• t-fermeture: contrôle la distribution des valeurs sensibles
– Complète le k-anonymat et la l-diversité
– Contrôle la distribution des valeurs sensibles dans les classes
• Garantie différentielle de l’anonymat
– Ajoute de bruit
– Assure qu’un résultat anonyme change très peu avec ajout d’1 individu supplémentaire
• Suivi de cohorte
– M-invariance: les résultats successifs pour une population restent anonymes
272
Le pseudonymat…
• Base du pseudonymat
– Retirer les identifiants et les remplacer par un pseudo
Identifiants
(ID)
277
Le k-anonymat garantit que…
• Un individu donné est toujours associé à
au moins k individus participants au jeu anonyme
– C’est-à-dire à tous ceux appartenant à une même classe
– Par exemple: « Sue » est associée à au moins 3 tuples du
jeu 3-anonyme
278
278
… mais ne garantit pas tout
• Il n’y a pas de contrôle sur les valeurs des attributs
sensibles associées dans une même classe de taille k
– On peut donc avoir moins de k valeurs sensibles par classe
– Voire même une seule valeur sensible !
• Exemple:
– L’individu « Pat » est bien relié à une classe de taille 3…
… mais tous les individus de cette classe ont le même Diag !
Activity Age Diag
Name Activity Age Diag
"Teacher" [24, 27] Cancer
Pat "MC" 27 Cancer
"Teacher" [24, 27] Cancer
"Teacher" [24, 27] Cancer
[4] N.Li, T. Li, S. Venkatasubramanian. t-closeness: Privacy beyond k-anonymity and l-diversity. In IEEE
23rd International Conference on Data Engineering, 2007.
282
Suivi de cohorte
• Objectif: produire successivement dans le temps un jeu de
données anonymes correspondant à un groupe d’usagers
(cohorte), pour voir comment les données évoluent
• Problème: les mises à jour des données (suite à un
changement de valeurs sensibles ou à l’entrée ou la sortie d’un
individu dans le groupe) permettent de dé-anonymiser…
– Example
=> Sachant que Bob est toujours dans la cohorte, on connait son Diag…
283
Introduction de bruit
• Résolution par introduction de données factices
• La m-Invariance [5]
– Les données ne doivent pas (trop) varier d’une version à la version suivante
286
La garantie différentielle d’anonymat (3)
• Des algorithmes d’anonymisation offrent ce type de garanties
– Ex: (a, b)algorithm [14] [14] Vibhor Rastogi, Dan Suciu and Sungho Hong, The Boundary
between privacy and utility in data publishing, in VLDB 2007
• Problème:
– Le système ne peut plus fournir de résultats précis après un certain
nombre de requêtes
– L’analyste qui a consommé toutes ses requêtes est bloqué 287
Et les dossiers « historiques » ?
Cas NetFlix (trace GPS, trace d’accès, etc.)
• NetFlix Prize :1M€
• Fin en 2010 suite à une
« class action »
• 500K recommandations
anonymes
– Arvind Narayanan & Vitaly
Shmatikov
– connaissance antérieur
prises dans Imdb
– www.cs.utexas.edu/~shmat/
shmat_oak08netflix.pdf
288
Conclusion sur l’anonymat
• Permet de calculer des statistiques
– En sortant de la régulation sur les données personnelles
• De nombreuses techniques
– Pseudonymat
• Une phase incontournable mais très insuffisante
• Garanties d’anonymat très faibles voire inexistante
– k-anonymat, l-diversité, t-fermeture
• Le k-anonymat empêche la dé-anonymisation des tuples par jointure sur les
quasi-identifiants
• Le k-anonymat est préconisé aux USA
• Il ne garantie pas la dé-anonymisation des attributs sensibles
• Une famille de techniques complète les garanties d’anonymat
• … mais réduisent fortement l’usage
– Difficile d’assurer l’anonymat pour des versions successives
• Ou conduit à dégrader très fortement l’usage…
• Mais aucune ne garanti vraiment l’anonymat
289
En guise d’ouverture: cloud personnel
n°mobile 0,60€
géolocalisation 1,00€
People recording
email 0,15€
pointure 0,15€
290290
Pour les gérer : modèle du Web actuel ? Profils Pub. ciblée
Problèmes intrinsèques
Délégation vie privée
Très grands volumes sécurité Achats Photos Res. sociaux
Capteurs
Localisation
Plus de contrôle pour l’usager
Consensus : éco. (FEM), politique (EU)... Analyses croisées
Auto-évaluation Dissémination
contrôlée
291
Comment rendre ses données au citoyen ?
292
Serveur personnel* de données …
* PIMS, Cloud personnel, Web personnel, …
+ Sécurité matérielle
Résistance aux attaques physiques
Ex: PDS/PlugDB@Inria [VLDB10]
293
Exemple: PlugDB@Inria/CozyCloud
A
294
Smartcard SD card
(secrets) (data)
Bluetooth
MCU
(data managt) Fingerprint
reader
USB
PlugDB@Inria : https://project.inria.fr/plugdb/
Versailles Sciences Lab:
http://vsl.prism.uvsq.fr/projets/systeme-dinformation-privacy-by-design-2/
295
295
Annexes
296
Mode opératoire Electronic Code Book
EK (P1) EK (P2)
297
Mode opératoire Cipher Block Chaining
• les blocs chiffrés intégrent la valeur des
précédents
by tes
0 8 16
298
Mode opératoire CTR
• Résultat du XOR entre le clair et un mot aléatoire
by tes
0 8 16
Plain-text 1 (P1) Plain-text 2 (P2) …
+1 +2 +3
EK (IV+1) P1 EK (IV+2) P2
299