03讲_线程进程安全

第三章线程/进程安全进程和线程是两个范围不同的概念。进程是程序在计算机上的一次执行活动。运行一个程序，相当于启动了一个进程。进程是操作系统进行资源分配的单位，通俗地讲，是一个正在执行的程序。线程是进程中的一个实体，是被系统独立调度和分派的基本单位，它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程，同一进程中的多个线程之间可以并发执行。比如，一个在线播放软件，在播放歌曲的同时还可以进行下载，就可认为这两件工作由不同的线程完成。线程和进程的开发和相关操作，在程序设计中具有重要地位,线程和进程的安全和系统的安全息息相关。对于不够熟练的程序员来说，很容易出现安全隐患，而这些安全问题又具有不间断发生，难于调试等特点。一般说来，线程的安全性主要来源于其运行的并发性和对资源的共享性；进程的安全性主要在应用级别，在于其对系统的威胁性，不过对于系统软件的开发者，进程安全的考虑需要更加深入。本章主要针对线程和进程开发过程中的安全问题进行讲述，首先基于面向对象语言，讲解线程的的基本机制，然后讲解线程操作过程中的几个重要的安全问题：线程同步安全、线程协作安全、线程死锁、线程控制，最后讲解进程安全。3.1线程机制3.1.1为什么需要线程由于Java在线程操作方面具有较好的面向对象特性，也具有一定的代表性本章基于Java语言进行讲解。实际上，多线程最直观的说法是：让应用程序看起来好像同时能做好几件事情。为了表达这个问题，我们用一个案例来说明。比如，需要在控制台上每隔1秒钟打印一个欢迎信息。代码如下所示：publicclassP03_01{publicstaticvoidmain(String[]args){while(true){System.out.println(Welcome);try{Thread.sleep(1000);}catch(Exceptionex){}}System.out.println(其他工作);//代码行1}}该程序似乎没有什么问题，运行时，Welcome也能不断打印。但是，我们发现，打印函数中的while循环是个死循环，也就是说，这个死循环不运行完毕，程序将不能作其他事情。比如，程序中的代码行1永远也无法运行。这就给程序的功能形成了巨大的阻碍。在实际应用开发的过程中，经常会出现一个程序看起来同时作好几件事情的情况，如􀀹程序进行一个用时较长的计算，希望该计算进行的时候，程序还可以做其他事情；程序进行一个用时较长的计算，希望该计算进行的时候，程序还可以做其他事情；软件要能够接受多个客户的请求，而让客户感觉不出等待；媒体播放器在播放歌曲的同时也能下载电影；财务软件在后台进行财务汇总的同时还能接受终端的请求；等等。在这些情况下，多线程就能够起到巨大的作用。线程和进程的关系很紧密，进程和线程是两个不同的概念，但是进程的范围大于线程。通俗地说，进程就是一个程序，线程是这个程序能够同时做的各件事情。比如，媒体播放机运行时就是一个进程，而媒体播放机同时做的下载文件和播放歌曲，就是两个线程。以上代码如果用线程来进行开发，在Java语言里面，就可以用如P03_02.java的方式(其他语言类似)。运行，就会发现，此时“打印欢迎信息”和“其他工作”就“同时”做了。3.1.2线程机制和生命周期每个程序至少自动拥有一个线程，称为主线程。当程序加载到内存时，启动主线程。从上节的程序可以看出，代码行：实际上相当于实例化一个新的线程对象，并运行该线程中的run()函数。该线程的运行并不影响主线程向下执行，这是为什么呢？这是由于多线程的机制实际上相当于CPU交替分配给不同的代码段来运行：也就是说，某一个时间片，某线程运行，下一个时间片，另一个线程运行，各个线程都有抢占CPU的权利，至于决定哪个线程抢占，是操作系统需要考虑的事情。由于时间片的轮转非常快，用户感觉不出各个线程抢占CPU的过程，看起来好像计算机在“同时”做好几件事情。WelcomeThreadwt=newWelcomeThread();wt.start();一个线程有从创建、运行到消亡的过程，称为线程的生命周期。用线程的状态（state）表明线程处在生命周期的哪个阶段。线程有创建、可运行、运行中、阻塞、死亡五种状态。通过线程的控制与调度可使线程在这几种状态间转化。这五种状态详细描述如下：1：创建状态：使用new运算符创建一个线程后。该线程仅仅是一个空对象，系统没有分配资源。2：可运行状态：使用start()方法启动一个线程后，系统分配了资源，使该线程处于可运行状态（Runnable）。3：运行中状态：占有CPU，执行线程的run()方法。4：阻塞状态：运行的线程因某种原因停止继续运行。5：死亡状态：线程结束。线程的安全隐患可能出现在各个状态。一般说来，线程的安全性来源于两个方面：1：多个线程之间可能会共享进程的内存资源。2：CPU的某个时间片分配给哪个线程使用，默认情况下无法由用户控制。多线程的安全问题比较复杂，解决方法繁多，在这里我们阐述几个比较典型的安全问题。3.2线程同步安全3.2.1线程同步默认情况下，线程都是独立的，而且异步执行，线程中包含了运行时所需要的数据或方法，而不需要外部的资源或方法，也不必关心其它线程的状态或行为。但是在多个线程在运行时共享数据的情况下，就需考虑其他线程的状态和行为，否则就不能保证程序的运行结果的正确性。在某些项目中，经常会出现线程同步的问题，即：多个线程在访问同一资源时，会出现安全问题。本节基于一个简单的案例，针对线程的同步问题进行阐述。所谓同步，就是在发出一个功能调用时，在没有得到结果之前，该调用就不返回，同时其它线程也不能调用这个方法。通俗地讲，一个线程是否能够抢占CPU，必须考虑另一个线程中的某种条件，而不能随便让操作系统按照默认方式分配CPU，如果条件不具备，就应该等待另一个线程运行，直到条件具备。3.2.2案例分析给出一个案例：有若干张飞机票，2个线程去卖它们，要求没有票时能够提示：没有票了。以最后剩下3张票为例。首先用传统方法来编写这段代码。代码如P03_03.java所示。运行，控制台打印如下：这段程序貌似没有问题。但是它是很不安全的，并且这种不安全性很难发现，会给项目后期维护带来巨大的代价。观察程序中的代码行1处的注释，当只剩下一张票时，线程1卖出了最后一张票，接着要运行ticketNum--，但在ticketNum--还没来得及运行的时候，线程2有可能抢占CPU，来判断当前有无票可卖，此时，由于线程1还没有将ticketNum--，当然票数还是1，线程2判断还可以买票，这样，最后一张票卖出了两次。当然，上面的程序中，没有给线程2以买票的机会，实际上票都由线程1卖出，我们看不出其中的问题。为了让大家看清这个问题，我们模拟线程1和线程2交替卖票的情况。将P03_03.java的代码改为P03_04.java：该代码中，增加了一行：程序休眠1000毫秒，让另一个线程来抢占CPU。运行，控制台打印如下：最后一张票被卖出两次，系统不可靠。更为严重的是，该问题的出现很具有随机性。比如，有些项目在实验室运行阶段没有问题，因为哪个线程抢占CPU，是由操作系统决定的，用户并没有权利干涉，也无法预测，所以，项目可能在商业运行阶段出现了问题，等到维护人员去查问题的时候，由于问题出现的随机性，问题可能就不出现了。这种工作往往给维护带来了巨大的代价。以上案例是多个线程消费有限资源的情况，该情况下还有很多其他案例，如：多个线程，向有限空间写数据时：线程1写完数据，空间满了，但没来得及告诉系统；此时另一个线程抢占CPU，也来写，不知道空间已满，造成溢出。3.2.3解决方案怎样解决这个问题？很简单，就是让一个线程卖票时其他线程不能抢占CPU。根据定义，实际上相当于要实现线程的同步，通俗地讲，可以给共享资源（在本例中为票）加一把锁，这把锁只有一把钥匙。哪个线程获取了这把钥匙，才有权利访问该共享资源。有一种比较直观的方法，可以在共享资源（如“票”）每一个对象内部都增加一个新成员，标识“票”是否正在被卖中，其他线程访问时，必须检查这个标识，如果这个标识确定票正在被卖中，线程不能抢占CPU。这种设计理论上当然也是可行，但由于线程同步的情况并不是很普遍，仅仅为了这种小概率事件，在所有对象内部都开辟另一个成员空间，带来极大的空间浪费，增加了编程难度，所以，一般不采用这种方法。现代的编程语言的设计思路都是把同步标识加在代码段上，确切的说，是把同步标识放在“访问共享资源（如卖票）的代码段”上。不同语言中，同步代码段的实现模型类似，只是表达方式有些不同。这里以Java语言为例，在Java语言中，synchronized关键字可以解决这个问题，整个语法形式表现为：注意，synchronized后的“同步锁对象”，必须是可以被各个线程共享的，如this、某个全局标量等。不能是一个局部变量。其原理为：当某一线程运行同步代码段时，在“同步锁对象”上置一标记，运行完这段代码，标记消除。其他线程要想抢占CPU运行这段代码，必须在“同步锁对象”上先检查该标记，只有标记处于消除状态，才能抢占CPU。在上面的例子中，this是一个“同步锁对象”。synchronized(同步锁对象){//访问共享资源，需要同步的代码段}因此，在上面的案例中，可以将将卖票的代码用synchronized代码块包围起来，“同步锁对象”取this。如代码P03_05.java所示。运行，可以得到如下效果。这说明程序运行完全正常。从以上代码可以看出，该方法的本质是将需要独占CPU的代码用synchronized(this)包围起来。如前所述，一个线程进入这段代码之后，就在this上加了一个标记，直到该线程将这段代码运行完毕，才释放这个标记。如果其他线程想要抢占CPU，先要检查this上是否有这个标记。若有，就必须等待。但是可以看出，该代码实际上运行较慢，因为一个线程的运行，必须等待另一个线程将同步代码段运行完毕。因此，从性能上讲，线程同步是非常耗费资源的一种操作。我们要尽量控制线程同步的代码段范围，理论上说，同步的代码段范围越小，段数越少越好，因此在某些情况下，推荐将小的同步代码段合并为大的同步代码段。实际上，在Java内，还可以直接把synchronized关键字直接加在函数的定义上，这也是一种可以推荐的方法。不过，值得一提的是，如果不能确定整个函数都需要同步，那就要尽量避免直接把synchronized加在函数定义上的做法。如前所述，要控制同步粒度，同步的代码段越小越好，synchronized控制的范围越小越好，否则造成不必要的系统开销。所以，在实际开发的过程中，要十分小心，因为过多的线程等待可能造成系统性能的下降，甚至造成死锁。3.3线程协作安全3.3.1线程协作有些情况下，多个线程合作完成一件事情的几个步骤，此时线程之间实现了协作。如一个工作需要若干个步骤，各个步骤都比较耗时，不能因为它们的运行，影响程序的运行效果，最好的方法就是将各步用线程实现。但是，由于线程随时都有可能抢占CPU，可能在前面一个步骤没有完成时，后面的步骤线程就已经运行，该安全隐患造成系统得不到正确结果。3.3.2案例分析给出一个案例：线程1负责完成一个复杂运算（比较耗时），线程2负责得到结果，并将结果进行下一步处理。如：某个科学计算系统中，线程1负责计算1-1000各个数字的和(暂且认为它非常耗时)，线程2负责得到这个结果并且写入数据库。读者首先想到的是将耗时的计算放入线程。这是正确的想法。首先用传统线程方法来编写这段代码，代码如P03_06.java所示。该程序貌似没有问题，也能够打印正确结果，但是和上一节的例子一样，它也是很不安全的，这种不安全性也很难发现，也会给项目后期维护带来巨大的代价。该程序的安全隐患在哪里呢？观察cal()函数中的代码，当线程th1运行后，线程th2运行，此时，线程th2随时可能抢占CPU，而不一定要等线程th1运行完毕。当然，在上面的例子中，可能因为线程