binder源码分析(二)

最新推荐文章于 2023-04-13 18:50:20 发布
最新推荐文章于 2023-04-13 18:50:20 发布
阅读量344 收藏
点赞数
分类专栏: binder分析 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljt326053002/article/details/105193696
版权

binder源码分析(一)
binder源码分析(二)
binder源码分析(三)
binder源码分析(四)
binder源码分析(五)

Service获取

ServiceManager
  1. getService(),先从cache里面查找服务是否已注册,没有就getIServiceManager().getService()。
  2. getIServiceManager()中返回ServiceManagerNative.asInterface(Binder.allowBlocking(BinderInternal.getContextObject()))
  3. getContextObject()是native函数,实际调用frameworks\base\core\jni\android_util_Binder.cpp中的android_os_BinderInternal_getContextObject()
static jobject android_os_BinderInternal_getContextObject(JNIEnv* env, jobject clazz)
{
    sp<IBinder> b = ProcessState::self()->getContextObject(NULL);
    return javaObjectForIBinder(env, b);
}
ProcessState::self()

重要的是打开binder驱动,创建内存映射。

// 加锁后返回ProcessState的实例。
sp<ProcessState> ProcessState::self()
{
    Mutex::Autolock _l(gProcessMutex);
    if (gProcess != NULL) {
        return gProcess;
    }
    gProcess = new ProcessState("/dev/binder");
    return gProcess;
}

// 打开binder驱动的设备文件,打开成功则创建内存映射。
ProcessState::ProcessState(const char *driver)
    : mDriverName(String8(driver))
    // 这里获得binder驱动的文件描述符。
    , mDriverFD(open_driver(driver))
    , mVMStart(MAP_FAILED)
    , mThreadCountLock(PTHREAD_MUTEX_INITIALIZER)
    , mThreadCountDecrement(PTHREAD_COND_INITIALIZER)
    , mExecutingThreadsCount(0)
    , mMaxThreads(DEFAULT_MAX_BINDER_THREADS)
    , mStarvationStartTimeMs(0)
    , mManagesContexts(false)
    , mBinderContextCheckFunc(NULL)
    , mBinderContextUserData(NULL)
    , mThreadPoolStarted(false)
    , mThreadPoolSeq(1)
{
    if (mDriverFD >= 0) {
        // mmap the binder, providing a chunk of virtual address space to receive transactions.
		  // 需要注意的是,这里创建内存映射和open一样会调用对应的binder_mmap,该函数会将内存映射的信息(vm_area_struct)保存到进程的proc中
        mVMStart = mmap(0, BINDER_VM_SIZE, PROT_READ, MAP_PRIVATE | MAP_NORESERVE, mDriverFD, 0);
        if (mVMStart == MAP_FAILED) {
            ...
        }
    }
    LOG_ALWAYS_FATAL_IF(mDriverFD < 0, "Binder driver could not be opened.  Terminating.");
}

// 获取binder驱动的版本号和设置binder驱动最多的线程
static int open_driver(const char *driver)
{
    int fd = open(driver, O_RDWR | O_CLOEXEC);
    if (fd >= 0) {
        int vers = 0;
        status_t result = ioctl(fd, BINDER_VERSION, &vers);
        ... // io失败以及版本不符的操作
        size_t maxThreads = DEFAULT_MAX_BINDER_THREADS;
        result = ioctl(fd, BINDER_SET_MAX_THREADS, &maxThreads);
        ... // io失败操作
}
    return fd;
}

// binder_open主要是创建binder_proc,初始化proc中的等待队列,todo队列等,并将这个proc结构放在文件描述符中
// 当之后调用ioctl时都可以使用该proc信息。
static int binder_open(struct inode *nodp, struct file *filp)
{
	struct binder_proc *proc;
	struct binder_device *binder_dev;
	...
	proc = kzalloc(sizeof(*proc), GFP_KERNEL);
	...
	get_task_struct(current->group_leader);
	proc->tsk = current->group_leader;
	...
	binder_dev = container_of(filp->private_data, struct binder_device,
				  miscdev);
	proc->context = &binder_dev->context;
	binder_alloc_init(&proc->alloc);

	binder_stats_created(BINDER_STAT_PROC);
	proc->pid = current->group_leader->pid;
	INIT_LIST_HEAD(&proc->delivered_death);
	INIT_LIST_HEAD(&proc->waiting_threads);
	filp->private_data = proc;
	...
	hlist_add_head(&proc->proc_node, &binder_procs);
	...

	return 0;
}
ProcessState::getContextObject

getContextObject直接return getStrongProxyForHandle(0),主要查找是否已经有该handle对应的entry, entry中有IBinder的弱引用,这里尝试获取,必要的话创建新的BpBinder,并对应的强引用返回。

sp<IBinder> ProcessState::getStrongProxyForHandle(int32_t handle)
{
    sp<IBinder> result;

    AutoMutex _l(mLock);
	// 获取handle对应的entry,如果handle大于entry的个数N,会插入handle-N个entry。
    handle_entry* e = lookupHandleLocked(handle);

    if (e != NULL) {
        
        IBinder* b = e->binder;
        if (b == NULL || !e->refs->attemptIncWeak(this)) {
            if (handle == 0) {
                // context manager特殊情况,(context manager是唯一没有引用前就拥有实例了,见lookupHandleLocked() )。 
                // 为了确保context manager在我们使用它的引用前就已经创建了,需要进行一次假的事务。
                Parcel data;
                status_t status = IPCThreadState::self()->transact(
                        0, IBinder::PING_TRANSACTION, data, NULL, 0);
                if (status == DEAD_OBJECT)
                   return NULL;
            }

            b = BpBinder(handle);
            e->binder = b;
            if (b) e->refs = b->getWeakRefs();
            result = b;
        } else {
            result.force_set(b);
            e->refs->decWeak(this);
        }
    }

    return result;
}
IPCThreadState:: self

采用单例模式,用pthread_key_create创建线程私有数据,返回IPCThreadState的实例

IPCThreadState* IPCThreadState::self()
{
    if (gHaveTLS) {
restart:
        const pthread_key_t k = gTLS;
        IPCThreadState* st = (IPCThreadState*)pthread_getspecific(k);
        if (st) return st;
        return new IPCThreadState;
    }

    if (gShutdown) {
        ALOGW("Calling IPCThreadState::self() during shutdown is dangerous, expect a crash.\n");
        return NULL;
    }

    pthread_mutex_lock(&gTLSMutex);
    if (!gHaveTLS) {
        int key_create_value = pthread_key_create(&gTLS, threadDestructor);
        if (key_create_value != 0) {
            pthread_mutex_unlock(&gTLSMutex);
            ALOGW("IPCThreadState::self() unable to create TLS key, expect a crash: %s\n",
                    strerror(key_create_value));
            return NULL;
        }
        gHaveTLS = true;
    }
    pthread_mutex_unlock(&gTLSMutex);
    goto restart;
}
// 这里把this设置为gTLS的value值,所以self中可以读取IPCThreadState的指针,并且设置了mIn和mOut的大小。
IPCThreadState::IPCThreadState()
    : mProcess(ProcessState::self()),
      mStrictModePolicy(0),
      mLastTransactionBinderFlags(0)
{
    pthread_setspecific(gTLS, this);
    clearCaller();
    mIn.setDataCapacity(256);
    mOut.setDataCapacity(256);
}
IPCThreadState::transact()

这里首先将事务的数据写入Parcel数据结构中,根据是否双向的通信,调用waitForResponse的参数会有所不同。如果双向通信且reply为null就会构造一个虚假的reply作为参数,然后包装好需要通信的数据,

status_t IPCThreadState::transact(int32_t handle,
                                  uint32_t code, const Parcel& data,
                                  Parcel* reply, uint32_t flags)
{
    status_t err;

	flags |= TF_ACCEPT_FDS;
	... // log相关
	// 将data(Parcel)封装进binder_transaction_data,设置code和flag等。
	// 然后再放进IPCThreadState的成员变量mOut(Parcel)里面。
    err = writeTransactionData(BC_TRANSACTION, flags, handle, code, data, NULL);

    ...

    if ((flags & TF_ONE_WAY) == 0) {
        ... // log相关
        if (reply) {
            err = waitForResponse(reply);
        } else {
            Parcel fakeReply;
            err = waitForResponse(&fakeReply);
        }
        ... // log相关
    } else {
        err = waitForResponse(NULL, NULL);
    }

    return err;
}

status_t IPCThreadState::writeTransactionData(int32_t cmd, uint32_t binderFlags,
    int32_t handle, uint32_t code, const Parcel& data, status_t* statusBuffer)
{
    binder_transaction_data tr;

    tr.target.ptr = 0; /* Don't pass uninitialized stack data to a remote process */
    tr.target.handle = handle;
    tr.code = code;
    tr.flags = binderFlags;
    tr.cookie = 0;
    tr.sender_pid = 0;
    tr.sender_euid = 0;

    const status_t err = data.errorCheck();
    if (err == NO_ERROR) {
        tr.data_size = data.ipcDataSize();
        tr.data.ptr.buffer = data.ipcData();
        tr.offsets_size = data.ipcObjectsCount()*sizeof(binder_size_t);
        tr.data.ptr.offsets = data.ipcObjects(); // 这里存疑
    } else if (statusBuffer) {
        tr.flags |= TF_STATUS_CODE;
        *statusBuffer = err;
        tr.data_size = sizeof(status_t);
        tr.data.ptr.buffer = reinterpret_cast<uintptr_t>(statusBuffer);
        tr.offsets_size = 0;
        tr.data.ptr.offsets = 0;
    } else {
        return (mLastError = err);
    }

    mOut.writeInt32(cmd);
    mOut.write(&tr, sizeof(tr));

    return NO_ERROR;
}

// 
struct binder_transaction_data {
  union {
    __u32 handle;
    binder_uintptr_t ptr;
  } target;
  binder_uintptr_t cookie;
  __u32 code;
  __u32 flags;
  pid_t sender_pid;
  uid_t sender_euid;
  binder_size_t data_size;
  binder_size_t offsets_size;
  union {
    struct {
      binder_uintptr_t buffer;
      binder_uintptr_t offsets;
    } ptr;
    __u8 buf[8];
  } data;
};

包装后准备与驱动通信(talkWithDriver)。

// 与驱动交互,并将mIn的cmd读出来,执行对应的操作。
status_t IPCThreadState::waitForResponse(Parcel *reply, status_t *acquireResult)
{
    ... //变量声明
    while (1) {
        if ((err=talkWithDriver()) < NO_ERROR) break;
        err = mIn.errorCheck();
        if (err < NO_ERROR) break;
        if (mIn.dataAvail() == 0) continue;

        cmd = (uint32_t)mIn.readInt32();

        ... // log

        switch (cmd) {
        ... // case 见下
        }
    }

finish:
    if (err != NO_ERROR) {
        if (acquireResult) *acquireResult = err;
        if (reply) reply->setError(err);
        mLastError = err;
    }

    return err;
}

status_t IPCThreadState::talkWithDriver(bool doReceive)
{
    if (mProcess->mDriverFD <= 0) {
        return -EBADF;
    }

    binder_write_read bwr;

    // Is the read buffer empty?
    // 这里需要注意的是,needRead表示这次与binder驱动通信是否需要读数据,
    // 如果已经上次还在读数据(mIn.dataPosition() < mIn.dataSize()),这次就不读了,让上次的通信继续读完。
	const bool needRead = mIn.dataPosition() >= mIn.dataSize(); 


    // We don't want to write anything if we are still reading
    // from data left in the input buffer and the caller
    // has requested to read the next data.
    const size_t outAvail = (!doReceive || needRead) ? mOut.dataSize() : 0;

    bwr.write_size = outAvail;
    bwr.write_buffer = (uintptr_t)mOut.data();

    // This is what we'll read.
    if (doReceive && needRead) {
        bwr.read_size = mIn.dataCapacity();
        bwr.read_buffer = (uintptr_t)mIn.data();
    } else {
        bwr.read_size = 0;
        bwr.read_buffer = 0;
    }

    ... // log相关


    // Return immediately if there is nothing to do.
    if ((bwr.write_size == 0) && (bwr.read_size == 0)) return NO_ERROR;

    bwr.write_consumed = 0;
    bwr.read_consumed = 0;
    status_t err;
    do {
        ... // log
#if defined(__ANDROID__)
		// 调用ioctl
        if (ioctl(mProcess->mDriverFD, BINDER_WRITE_READ, &bwr) >= 0)
            err = NO_ERROR;
        else
            err = -errno;
#else
        err = INVALID_OPERATION;
#endif
        if (mProcess->mDriverFD <= 0) {
            err = -EBADF;
        }
        ... // log
    } while (err == -EINTR);

    ... // log 

    if (err >= NO_ERROR) {
        if (bwr.write_consumed > 0) {
            if (bwr.write_consumed < mOut.dataSize())
                mOut.remove(0, bwr.write_consumed);
            else {
                mOut.setDataSize(0);
                processPostWriteDerefs();
            }
        }
        if (bwr.read_consumed > 0) {
            mIn.setDataSize(bwr.read_consumed);
			  // 重头开始读
            mIn.setDataPosition(0);
        }
        ... // log
        return NO_ERROR;
    }

    return err;
}
binder_ioctl

talkWithDriver重要的是调用ioctl,自然而然调用到binder_ioctl,binder_ioctl根据cmd的类型,执行不同的函数,cmd为BINDER_WRITE_READ时,调用的是binder_ioctl_write_read。

static long binder_ioctl(struct file *filp, unsigned int cmd, unsigned long arg)
{
	int ret;
	struct binder_proc *proc = filp->private_data;
	struct binder_thread *thread;
	unsigned int size = _IOC_SIZE(cmd);
	void __user *ubuf = (void __user *)arg;

	...

	thread = binder_get_thread(proc);
	if (thread == NULL) {
		ret = -ENOMEM;
		goto err;
	}

	switch (cmd) {
	case BINDER_WRITE_READ:
		ret = binder_ioctl_write_read(filp, cmd, arg, thread);
		if (ret)
			goto err;
		break;
	... // other cases
	}
	ret = 0;
...
	return ret;
}
binder_ioctl_write_read

binder_ioctl_write_read的逻辑比较简单,先从用户空间拷贝对应的地址,然后先写后读(这里虽然只有四个字,但其中还是比较复杂的 = =),最后再把取得的数据拷贝回用户空间。

static int binder_ioctl_write_read(struct file *filp,
				unsigned int cmd, unsigned long arg,
				struct binder_thread *thread)
{
	int ret = 0;
	struct binder_proc *proc = filp->private_data;
	unsigned int size = _IOC_SIZE(cmd);
	void __user *ubuf = (void __user *)arg;
	struct binder_write_read bwr;

	if (size != sizeof(struct binder_write_read)) {
		ret = -EINVAL;
		goto out;
	}
	// 从用户空间中拷贝相应的数据,binder_write_read包含了要读写的长度,以及IPCThreadState
	// mIn mOut两个parcel成员变量。
	if (copy_from_user(&bwr, ubuf, sizeof(bwr))) {
		ret = -EFAULT;
		goto out;
	}
	... // log
	if (bwr.write_size > 0) {
		ret = binder_thread_write(proc, thread,
					  bwr.write_buffer,
					  bwr.write_size,
					  &bwr.write_consumed);
		trace_binder_write_done(ret);
		if (ret < 0) {
			bwr.read_consumed = 0;
			if (copy_to_user(ubuf, &bwr, sizeof(bwr)))
				ret = -EFAULT;
			goto out;
		}
	}
	if (bwr.read_size > 0) {
		ret = binder_thread_read(proc, thread, bwr.read_buffer,
					 bwr.read_size,
					 &bwr.read_consumed,
					 filp->f_flags & O_NONBLOCK);
		trace_binder_read_done(ret);
		binder_inner_proc_lock(proc);
		if (!binder_worklist_empty_ilocked(&proc->todo))
			binder_wakeup_proc_ilocked(proc);
		// 唤醒在进程中等待的线程。 
		binder_inner_proc_unlock(proc);
		if (ret < 0) {
			if (copy_to_user(ubuf, &bwr, sizeof(bwr)))
				ret = -EFAULT;
			goto out;
		}
	}
	... // log
	if (copy_to_user(ubuf, &bwr, sizeof(bwr))) {
		ret = -EFAULT;
		goto out;
	}
out:
	return ret;
}
binder_thread_write

循环从用户空间中读取cmd,并执行相应逻辑,这里只有一个cmd,BC_TRANSACTION,在writeTransactionData中写入,函数会读取binder_transaction_data,也是writeTransactionData中写入,然后调用重要的binder_transaction。

static int binder_thread_write(struct binder_proc *proc,
			struct binder_thread *thread,
			binder_uintptr_t binder_buffer, size_t size,
			binder_size_t *consumed)
{
	uint32_t cmd;
	struct binder_context *context = proc->context;
  // 这里都是用户空间的指针。
	void __user *buffer = (void __user *)(uintptr_t)binder_buffer;
	void __user *ptr = buffer + *consumed;
	void __user *end = buffer + size;

	while (ptr < end && thread->return_error.cmd == BR_OK) {
		int ret;

		if (get_user(cmd, (uint32_t __user *)ptr))
			return -EFAULT;
		// 读取cmd 这里是BC_TRANSACTION,在writeTransactionData中写入mOut
		ptr += sizeof(uint32_t);
		trace_binder_command(cmd);
		if (_IOC_NR(cmd) < ARRAY_SIZE(binder_stats.bc)) {
			atomic_inc(&binder_stats.bc[_IOC_NR(cmd)]);
			atomic_inc(&proc->stats.bc[_IOC_NR(cmd)]);
			atomic_inc(&thread->stats.bc[_IOC_NR(cmd)]);
		}
		switch (cmd) {
		... // other cases
		case BC_TRANSACTION:
		case BC_REPLY: {
			struct binder_transaction_data tr;

			if (copy_from_user(&tr, ptr, sizeof(tr)))
				return -EFAULT;
			ptr += sizeof(tr);
			binder_transaction(proc, thread, &tr,
					   cmd == BC_REPLY, 0);
			break;
		}
		... // other case
		*consumed = ptr - buffer;
	}
	return 0;
}

binder_transaction篇幅较长,下一篇继续分析。

ljt326053002
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android底层源码分析_Binder
07-17
Android底层源码分析_BinderAndroid底层源码分析_Binder
由浅入深 学习 Android Binder(五)- binder如何在进程间传递
许佳佳的博客
12-12 2228
概述 前文分析bindService源码,该文章地址如下: 由浅入深 学习 Android Binder)- bindService流程 最终得到时序图如下: 如上图,client进程与server进程是通过系统进程来进行通信的。 实际demo中,有两个场景我们会接触到binder: client进程通过serviceConnection获取到系统进程传递的binder。 server进程将service.onbind()返回的binder传递给系统进程。 我们就以server给系统进程传递bi
Binder 驱动源码分析
朝花夕拾
04-13 862
app 进入 loop,并阻塞读。其中 write_buffer 前面四个字节表示 binder 命令:BC_REPLY其中 BC_TRANSACTION、BC_REPLY 会触发进程间数据交换。从上述代码可知,此命令只是修改了 thread 的 looper 状态为 BINDER_LOOPER_STATE_ENTERED。thread 是从哪里定义的呢?
Binder源码分析
fdsafwagdagadg6576的专栏
05-29 1439
一. Binder架构解析
Android系统启动流程 -- ServiceManager进程的启动流程
qq_27246079的博客
03-30 958
当执行到 start servicemanager 这条命令,就会运行android设备(比如手机)中 /system/bin/servicemanager这个可执行文件,而这个可执行程序就是servicemanager进程,他由 frameworks\native\cmds\servicemanager\main.cpp 文件编译生成的。1.ServiceManager是一个独立的进程,由init进程创建,且在创建zygote进程之前被创建。*注:基于Android11源码
errno的一些错误定义
10-22 735
#define EPERM 1 /* Operation not permitted */   #define ENOENT 2 /* No such file or directory */   #define ESRCH 3 /* No such process */   #define EINTR 4 /* Interrupted system call */   #define E
MediaPlayerService Binder机制源码分析及详解
12-31
本文档详细解说了从MediaPlayerService的创建,到其Binder机制的实现,BnMediaPlayerService与BpMediaPlayerService之间的关系,Binder客户端如何与服务端进行通信。希望对你们有所帮助。
Binder面试题解答以及源码流程分析
03-06
Binder面试题解答以及源码流程分析
Binder机制分析】-Binder服务/客户端实现举例
04-02
例子源码 博文链接:https://null-point.iteye.com/blog/1447646
从AIDL调用看Binder使用方法
03-12
最近在看VirtualApk的源码,发现里面很多涉及到代理模式 Binder调用本身就是使用一个超级复杂的代理模式 而我们接触到最多的Binder调用就是AIDL 因此这里分析一下AIDL的调用原理
Android之IPC5————Binder2 Native层分析
冰炭不投day的博客
11-12 370
Android之IPC5————Binder2 native层分析
Android FrameWork ---- Binder驱动源码分析
qq_33235287的博客
02-12 1979
Binder机制以及Binder驱动源码分析
BinderProcessState和IPCThreadState分析
jiejingguo的博客
01-18 1380
ProcessState ProcessState表示进程状态,一个进程就一个ProcessState对象。
读书笔记 《深入理解安卓内核设计思想》获取ServiceManager服务
wxj280306451的博客
05-29 293
上一把我们分析了如下函数 ​ static jobject android_os_BinderInternal_getContextObject(JNIEnv* env, jobject clazz) { sp<IBinder> b = ProcessState::self()->getContextObject(NULL); return javaObjectForIBinder(env, b); } ​ 通过该函数我们会拿到一个ServiceManger对应的服
Binder 源码解析
Jack的博客
10-21 2401
主要论述了binder java层的相关流程以及原理,对相关的jni以及驱动层也有所涉及。
binder 源码集锦
lei7143的专栏
01-11 1504
目录 binder c 源码 Servicemanager 启动与实现 binder c 源码 Servicemanager 启动与实现 自动生成C++ AIDL 及实现BnServiceManager接口 out\soong\.intermediates\frameworks\native\libs\binder\libbinder\android_arm64_armv8-a_cortex-a53_shared\gen\aidl\android\os\IServiceManager.h (...
分析Android P的servicemanager的IBinder上下文管理(
小伍的专栏
08-14 537
接下来就看如何注册和获取binder服务:: 下面以audioFlinger为例子来进行说明 首先从audioserver.rc开始分析,audioserver进制的可执行文件:: frameworks/av/media/audioserver . ├── Android.mk ├── audioserver.rc ├── main_audioserver.cpp └── OWNERS 0...
HwServiceManager篇-Android10.0 HwBinder通信原理(五)
转载和创作优秀的博客
01-06 2541
1.概述 HwServiceManager是HAL服务管理中心,负责管理系统中的所有HAL服务,由init进程启动。 HwServiceManager 的主要工作就是收集各个硬件服务,当有进程需要服务时由HwServiceManager 提供特定的硬件服务。 2.HwBinder架构 HwBinder通信原理: 3.hwservicemanager的启动 在init.rc中,当init进程启动后,会去启动servicemanager、hwservicemanager、vn...
细读《深入理解 Android 内核设计思想》(五)Binder 机制 [下]
yhao的博客
05-17 909
对冗余挑拣重点,对重点深入补充,输出结构清晰的精简版 深入 binder 驱动内部 binder_ioctl binder_get_thread binder_ioctl_write_read binder_thread_write binder_transaction binder_thread_read 小结 binder Q&A 如何找到目标进程 Binder 实体 如何实现 Binder 线程的睡眠与唤醒 最后 深入 binder 驱动内部 前两篇文章都有提到 binder_ioc
android binder源码分析
最新发布
10-07
Binder源码主要位于frameworks/native目录下。 在Binder源码中,最核心的部分是Binder驱动和Binder服务。Binder驱动是位于内核空间的组件,负责处理进程间的数据传输和交互。Binder服务是位于用户空间的组件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值