PJProject中媒体时钟线程安全问题的分析与修复

在基于PJSIP的多媒体通信系统中，媒体时钟(pjmedia_clock)是处理实时音视频传输的核心组件之一。近期在Windows平台上发现了一个与媒体时钟停止操作相关的线程安全问题，该问题在密集的SIP呼叫场景下可能导致程序崩溃。

问题现象

当系统同时处理多个短时SAVP(Secure Audio/Video Profile)呼叫时，在被叫方处理呼叫断开的过程中会出现异常崩溃。崩溃时的调用栈显示程序在尝试获取内存池使用大小时传入了空指针，具体发生在pj_pool_get_used_size()函数中。深入分析表明，这是由于多个线程同时尝试停止同一个媒体时钟对象导致的竞态条件。

根本原因

媒体时钟停止操作pjmedia_clock_stop()内部会重置关联的内存池，但该操作缺乏必要的线程同步保护。当两个执行路径同时尝试停止时钟时：

1. 主路径：通过dtls_media_stop() -> dtls_media_stop_channel() -> pjmedia_clock_stop()
2. 辅助路径：通过ssl_flush_wbio() -> pjmedia_clock_stop()

这两个路径可能并发执行，导致第一个线程已经释放了内存池(pool被置为NULL)，而第二个线程仍尝试访问该内存池的情况。

解决方案

修复方案主要包含以下关键点：

1. 在dtls_media_stop()函数中添加互斥锁保护，确保媒体时钟停止操作的原子性
2. 对媒体时钟对象的状态进行更严格的检查，避免重复停止
3. 确保所有访问媒体时钟的路径都遵循相同的同步机制

最佳实践建议

对于直接使用PJMedia(而非PJSUA)的开发者，在处理媒体传输时应注意：

1. 媒体资源的生命周期管理应由单一控制点负责，避免多路径并发操作
2. 对于关键媒体操作(如启动/停止)应实现适当的同步机制
3. 在复杂场景下，考虑添加额外的状态检查以避免重复操作
4. 在高负载测试中特别注意资源释放顺序和线程安全问题

总结

这个案例展示了多媒体通信系统中线程安全的重要性，特别是在处理底层资源时。通过分析崩溃场景和调用路径，我们不仅修复了特定的竞态条件问题，也为类似场景下的资源管理提供了参考模式。开发者在使用PJSIP/PJMedia构建高并发通信系统时，应当特别注意这类潜在的线程安全问题。