linux可重入、異步信號安全和線程安全
一 可重入函數
當一個被捕獲的信號被一個進程處理時,進程執行的普通的指令序列會被一個信號處理器暫時地中斷。它首先執行該信號處理程序中的指令。如果從信號處理 程序返回(例如沒有調用exit或longjmp),則繼續執行在捕獲到信號時進程正在執行的正常指令序列(這和當一個硬件中斷發生是所發生的事情相 似。)但是在信號處理器裏,我們並不知道當信號被捕獲時進程正在執行哪裏的代碼。
如果進程正使用malloc在它的堆上分配額外的內存,而此時由於捕捉到信號而插入執行該信號處理程序,其中又調用了malloc,這會發生什麽 呢?或者,如果進程正調用一個把結果存儲在一個靜態區域裏的函數到一半,比如 getpwnam,而我們在信號處理器裏調用相同的函數,又會發生什麽呢?在malloc的例子裏,進程可能會遭到嚴重破壞,因為malloc通常維護它 所有分配過的區域的鏈表,而插入執行信號處理程序時,進程可能正在更改此鏈接表。在getpwnam的例子裏,返回給普通調用者的信息可能被返回給信號處 理器的信息覆蓋。
SUS規定了必須保證是可以再入的函數。下表列出了這些再入函數:
| accept | fchmod | lseek | sendto | stat |
| access | fchown | lstat | setgid | symlink |
| aio_error | fcntl | mkdir | setpgid | sysconf |
| aio_return | fdatasync | mkfifo | setsid | tcdrain |
| aio_suspend | fork | open | setsockopt | tcflow |
| alarm | fpathconf | pathconf | setuid | tcflush |
| bind | fstat | pause | shutdown | tcgetattr |
| cfgetispeed | fsync | pipe | sigaction | tcgetpgrp |
| cfgetospeed | ftruncate | poll | sigaddset | tcsendbreak |
| cfsetispeed | getegid | posix_trace_event | sigdelset | tcsetattr |
| cfsetospeed | geteuid | pselect | sigemptyset | tcsetpgrp |
| chdir | getgid | raise | sigfillset | time |
| chmod | getgroups | read | sigismenber | timer_getoverrun |
| chown | getpeername | readlink | signal | timer_gettime |
| clock_gettime | getpgrp | recv | sigpause | timer_settime |
| close | getpid | recvfrom | sigpending | times |
| connect | getppid | recvmsg | sigprocmask | umask |
| creat | getsockname | rename | sigqueue | uname |
| dup | getsockopt | rmdir | sigset | unlink |
| dup2 | getuid | select | sigsuspend | utime |
| execle | kill | sem_post | sleep | wait |
| execve | link | send | socket | waitpid |
| _Exit & _exit | listen | sendmsg | socketpair | write |
二 線程安全
線程安全:一個函數被稱為線程安全的,當且僅當被多個並發線程反復的調用時,它會一直產生正確的結果。
有一類重要的線程安全函數,叫做可重入函數,其特點在於它們具有一種屬性:當它們被多個線程調用時,不會引用任何共享的數據。
盡管線程安全和可重入有時會( 不正確的 )被用做同義詞,但是它們之間還是有清晰的技術差別的。可重入函數是線程安全函數的一個真子集。
三 可重入與線程安全的區別及聯系
可重入函數:
重入即表示重復進入,首先它意味著這個函數可以被中斷,其次意味著它除了使用自己棧上的變量以外不依賴於任何環境(包括static ),這樣的函數就是purecode (純代碼)可重入,可以允許有該函數的多個副本在運行,由於它們使用的是分離的棧,所以不會互相幹擾。
可重入函數是線程安全函數,但是反過來,線程安全函數未必是可重入函數。實際上,可重入函數很少,APUE 10.6 節中描述了Single UNIX Specification 說明的可重入的函數,只有115 個;APUE 12.5 節中描述了POSIX.1 中不能保證線程安全的函數,只有89 個。 信號就像硬件中斷一樣,會打斷正在執行的指令序列。信號處理函數無法判斷捕獲到信號的時候,進程在何處運行。如果信號處理函數中的操作與打斷的 函數的操作相同,而且這個操作中有靜態數據結構等,當信號處理函數返回的時候(當然這裏討論的是信號處理函數可以返回),恢復原先的執行序列,可能會導致 信號處理函數中的操作覆蓋了之前正常操作中的數據。
不可重入的幾種情況:
使用靜態數據結構,比如getpwnam,getpwuid:如果信號發生時正在執行getpwnam,信號處理程序中執行getpwnam可能覆蓋原來getpwnam獲取的舊值
- 調用malloc或free:如果信號發生時正在malloc(修改堆上存儲空間的鏈接表),信號處理程序又調用malloc,會破壞內核的數據結構
- 使用標準IO函數,因為好多標準IO的實現都使用全局數據結構,比如printf(文件偏移是全局的)
- 函數中調用longjmp或siglongjmp:信號發生時程序正在修改一個數據結構,處理程序返回到另外一處,導致數據被部分更新。
即 使對於可重入函數,在信號處理函數中使用也需要註意一個問題就是errno 。一個線程中只有一個errno 變量,信號處理函數中使用的可重入函數也有可能 會修改errno 。例如,read 函數是可重入的,但是它也有可能會修改errno 。因此,正確的做法是在信號處理函數開始,先保存errno ;在信號處 理函數退出的時候,再恢復errno 。
例如,程序正在調用printf 輸出,但是在調用printf 時,出現了信號,對應的信號處理函數也有printf 語句,就會導致兩個printf 的輸出混雜在一起。
如果是給printf 加鎖的話,同樣是上面的情況就會導致死鎖。對於這種情況,采用的方法一般是在特定的區域屏蔽一定的信號。
屏蔽信號的方法:
1> signal(SIGPIPE, SIG_IGN); // 忽略一些信號
2> sigprocmask()
sigprocmask 只為單線程定義的
3> pthread_sigmask()
pthread_sigmasks 可以在多線程中使用
現在看來信號異步安全和可重入的限制似乎是一樣的,所以這裏把它們等同看待;
線程安全:
線程安全:如果一個函數在同一時刻可以被多個線程安全的調用,就稱該函數是線程安全的。 Malloc 函數是線程安全的。
不需要共享時,請為每個線程提供一個專用的數據副本。如果共享非常重要,則提供顯式同步,以確保程序以確定的方式操作。通過將過程包含在語句中來鎖定和解除鎖定互斥,可以使不安全過程變成線程安全過程,而且可以進行串行化。
很多函數並不是線程安全的,因為他們返回的數據是存放在靜態的內存緩沖區中的。通過修改接口,由調用者自行提供緩沖區就可以使這些函數變為線程安全的。
操作系統實現支持線程安全函數的時候,會對POSIX.1 中的一些非線程安全的函數提供一些可替換的線程安全版本。
例如,gethostbyname() 是線程不安全的,在Linux 中提供了gethostbyname_r() 的線程安全實現。
函數名字後面加上"_r" ,以表明這個版本是可重入的(對於線程可重入,也就是說是線程安全的,但並不是說對於信號處理函數也是可重入的,或者是異步信號安全的)。
多線程程序中常見的疏忽性問題
1> 將指針作為新線程的參數傳遞給調用方棧。
2> 在沒有同步機制保護的情況下訪問全局內存的共享可更改狀態。
3> 兩個線程嘗試輪流獲取對同一對全局資源的權限時導致死鎖。其中一個線程控制第一種資源,另一個線程控制第二種資源。其中一個線程放棄之前,任何一個線程都無法繼續操作。
4> 嘗試重新獲取已持有的鎖(遞歸死鎖)。
5> 在同步保護中創建隱藏的間隔。如果受保護的代碼段包含的函數釋放了同步機制,而又在返回調用方之前重新獲取了該同步機制,則將在保護中出現此間隔。結果具有誤導性。對於調用方,表面上看全局數據已受到保護,而實際上未受到保護。
6> 將UNIX 信號與線程混合時,使用sigwait(2) 模型來處理異步信號。
7> 調用setjmp(3C) 和longjmp(3C) ,然後長時間跳躍,而不釋放互斥鎖。
8> 從對*_cond_wait() 或*_cond_timedwait() 的調用中返回後無法重新評估條件。
四 總結
判斷一個函數是不是可重入函數,在於判斷其能否可以被打斷,打斷後恢復運行能夠得到正確的結果。(打斷執行的指令序列並不改變函數的數據)
判斷一個函數是不是線程安全的,在於判斷其能否在多個線程同時執行其指令序列的時候,保證每個線程都能夠得到正確的結果。
如果一個函數對多個線程來說是可重入的,則說這個函數是線程安全的,但這並不能說明對信號處理程序來說該函數也是可重入的。
如果函數對異步信號處理程序的重入是安全的,那 麽就可以說函數是" 異步- 信號安全 " 的。
可重入與線程安全是兩個獨立的概念, 都與函數處理資源的方式有關。
首先,可重入和線程安全是兩個並不等同的概念,一個函數可以是可重入的,也可以是線程安全的,可以兩者均滿足,可以兩者皆不滿足( 該描述嚴格的說存在漏洞,參見第二條) 。
其次,從集合和邏輯的角度看,可重入是線程安全的子集,可重入是線程安全的充分非必要條件。可重入的函數一定是線程安全的,然過來則不成立。
第三,POSIX 中對可重入和線程安全這兩個概念的定義:
Reentrant Function :A
function whose effect, when called by two or more threads,is guaranteed
to be as if the threads each executed thefunction one after another in
an undefined order, even ifthe actual execution is interleaved.
Thread-Safe Function :A function that may be safely invoked concurrently by multiple threads.
Async-Signal-Safe Function : A function that may be invoked, without restriction fromsignal-catching functions. No function is async-signal -safe unless explicitly described as such
以上三者的關系為:可重入函數 必然 是 線程安全函數 和 異步信號安全函數;線程安全函數不一定是可重入函數。
可重入與線程安全的區別體現在能否在signal 處理函數中被調用的問題上, 可重入函數在signal 處理函數中可以被安全調用,因此同時也是Async-Signal-Safe Function ;而線程安全函數不保證可以在signal 處理函數中被安全調用,如果通過設置信號阻塞集合等方法保證一個非可重入函數不被信號中斷,那麽它也是Async-Signal-Safe Function 。
值得一提的是POSIX 1003.1 的System Interface 缺省是Thread-Safe 的,但不是Async-Signal-Safe 的。Async-Signal-Safe 的需要明確表示,比如fork () 和signal() 。
一個非可重入函數通常( 盡管不是所有情況下) 由它的外部接口和使用方法即可進行判斷。例如:strtok() 是非可重入的,因為它在內部存儲了被標記分割的字符串;ctime() 函數也是非可重入的,它返回一個指向靜態數據的指針,而該靜態數據在每次調用中都被覆蓋重寫。
一個線程安全的函數通過加鎖的方式來實現多線程對共享數據的安全訪問。線程安全這個概念,只與函數的內部實現有關,而不影響函數的外部接口。在 C 語言中,局部變量是在棧上分配的。因此,任何未使用靜態數據或其他共享資源的函數都是線程安全的。
目前的 AIX 版本中,以下函數庫是線程安全的:
* C 標準函數庫
* 與BSD 兼容的函數庫
使用全局變量( 的函數) 是非線程安全的。這樣的信息應該以線程為單位進行存儲,這樣對數據的訪問就可以串行化。一個線程可能會讀取由另外一個線程生成的錯誤代碼。在AIX 中,每個線程有獨立的errno 變量。
最後讓我們來構想一個線程安全但不可重入的函數:
假設函數func() 在執行過程中需要訪問某個共享資源,因此為了實現線程安全,在使用該資源前加鎖,在不需要資源解鎖。
假設該函數在某次執行過程中,在已經獲得資源鎖之後,有異步信號發生,程序的執行流轉交給對應的信號處理函數;再假設在該信號處理函數中也需要調用 函數 func() ,那麽func() 在這次執行中仍會在訪問共享資源前試圖獲得資源鎖,然而我們知道前一個func() 實例已然獲得該鎖,因此信號處理函數阻 塞—— 另一方面,信號處理函數結束前被信號中斷的線程是無法恢復執行的,當然也沒有釋放資源的機會,這樣就出現了線程和信號處理函數之間的死鎖局面。
因此,func() 盡管通過加鎖的方式能保證線程安全,但是由於函數體對共享資源的訪問,因此是非可重入。
改寫函數庫
下面強調了將現存函數庫改寫為可重入和線程安全版本的主要步驟,只適用於C 語言的函數庫。
*識別出由函數庫導出的所有全局變量。這些全局變量通常是在頭文件中由export 關鍵字定義的。
導出的全局變量應該被封裝起來。每個變量應該被設為函數庫所私有的( 通過static 關鍵字實現) ,然後創建全局變量的訪問函數來執行對全局變量的訪問。
* 識別出所有靜態變量和其他共享資源。靜態變量通常是由static 關鍵字定義的。
每個共享資源都應該與一個鎖關聯起來,鎖的粒度( 也就是鎖的數量) ,影響著函數庫的性能。為了初始化所有鎖,可能需要一個僅被調用一次的初始化函數。
* 識別所有非可重入函數,並將其轉化為可重入。參見函數可重入化
* 識別所有非線程安全函數,並將其轉化為線程安全。參見函數線程安全化。
使用非線程安全函數的解決方法
通過某種解決方法,非線程安全函數是可以被多個線程調用的。這在某些情況下或許是有用的,特別是當在多線程程序中使用一個非線程安全函數庫的時候 ——或者是出於測試的目的,或者是由於沒有相應的線程安全版本可用。這種解決方法會增加開銷,因為它需要將對某個或一組函數的調用進行串行化。
使用作用於整個函數庫的鎖,在每次使用該函數庫( 調用庫中的某個函數或是訪問庫中的全局變量) 時加鎖,如下面的偽代碼所示:
/* this is pseudo-code! */
lock(library_lock);
library_call();
unlock(library_lock);
lock(library_lock);
x = library_var;
unlock(library_lock);
該解決方法有可能會造成性能瓶頸,因為在任意時刻,只有一個線程能任意的訪問或是用該庫。只有在該庫很少被使用的情況下,或是作為一種快速的實現方式,該方法才是可接受的。
使用作用於單個庫組件( 函數或是全局變量) 或是一組組件的鎖,如下面的偽代碼所示
/* this is pseudo-code! */
lock(library_moduleA_lock);
library_moduleA_call();
unlock(library_moduleA_lock);
lock(library_moduleB_lock);
x = library_moduleB_var;
unlock(library_moduleB_lock);
這種方法與前者相比要復雜一些,但是能提高性能
由於該類解決方式只應該在應用程序而不是函數庫中使用,可以使用互斥鎖(mutex) 來為整個庫加鎖。
linux可重入、異步信號安全和線程安全