华为云用户手册

API限制 视频直播 服务对服务端API设置了调用次数限制，避免出现短时间内重复调用API，服务中断的情况。 表2 API流控限制 接口分类 接口名称 用户流量限制 API流量限制 域名 管理 创建直播域名 查询直播域名 300次/分钟 3000次/分钟 删除直播域名 修改直播域名 域名映射 删除直播域名映射关系 配置域名IPV6开关 100次/分钟 1000次/分钟 转码模板管理 创建直播转码模板 删除直播转码模板 配置直播转码模板 查询直播转码模板 100次/分钟 1000次/分钟 流管理 禁止直播推流 修改禁推属性 4000次/分钟 12000次/分钟 禁推恢复 查询禁止直播推流列表 3000次/分钟 6000次/分钟 查询直播中的流信息 1000次/分钟 2000次/分钟 鉴权管理 查询指定域名的Key防盗链配置 修改指定域名的Key防盗链配置 删除指定域名的Key防盗链配置 150次/分钟 300次/分钟 截图管理 创建直播截图配置 修改直播截图配置 查询直播截图配置 删除直播截图配置 150次/分钟 300次/分钟 日志管理 获取直播播放日志 300次/分钟 3000次/分钟 录制管理 创建录制规则 查询录制规则列表 修改录制规则 删除录制规则 查询录制规则配置 提交录制控制命令 300次/分钟 3000次/分钟 创建录制视频索引文件 1200次/分钟 3000次/分钟 录制回调管理 创建录制回调配置 查询录制回调配置列表 修改录制回调配置 查询录制回调配置 删除录制回调配置 300次/分钟 300次/分钟 HTTPS证书管理 修改指定域名的HTTPS证书配置 查询指定域名的HTTPS证书配置 删除指定域名的HTTPS证书配置 150次/分钟 300次/分钟 OBS桶管理 OBS桶授权及取消授权 150次/分钟 300次/分钟 数据统计分析 查询播放带宽趋势接口 500次/分钟 5000次/分钟 数据统计分析 查询转码用量接口 查询录制用量接口 查询截图用量接口 查询播放画像信息接口 60次/分钟 5000次/分钟 查询播放流量趋势接口 查询播放带宽峰值接口 查询播放流量汇总接口 查询观众趋势接口 查询直播拉流HTTP状态码接口 查询上行带宽数据接口 查询域名维度推流路数接口 查询历史推流列表接口 20次/分钟 5000次/分钟 查询直播各区域指标分布接口 50次/秒 150次/秒 流监控 查询推流帧率数据接口 查询推流码率数据接口 20次/分钟 5000次/分钟 查询流监控数据接口 1次/秒 5次/秒 查询CDN上行推流质量数据接口 60次/秒 300次/秒

操作步骤 进入“策略”界面，单击展开“静态策略”，单击“添加实例”。 按照下方参数说明填写关键参数信息后，单击“确定”。 表1 静态策略参数列表 参数名称 说明 示例 关键字 即关键字来源中的关键字。设备发放时，如果关键字来源字符串中包含设置的关键字，则可按该实例进行发放。 将设备名称携带Beijing的设备发放至华北-北京四的 物联网平台 。 设备名称：WaterMeter-Beijing0001、WaterMeter-Beijing0002 关键字来源：设备名称 关键字：Beijing 发放区域：华北-北京四 发放应用：beijing-app1 将上报信息中携带Beijing的设备发放至华北-北京四的物联网平台。 关键字来源：数据上报 topic“$oc/devices/${device_id}/sys/bootstrap/up”上报信息：{ "baseStrategyKeyword": "WaterMeter-Beijing0003"} 关键字：Beijing 发放区域：华北-北京四 发放应用：beijing-app1 关键字来源 关键字来源指的是用于匹配关键字的字符串信息的数据来源。目前支持设备名称与数据上报两种形式。 如果为设备名称，则匹配关键字的字符串取设备创建后的设备名称。 如果为数据上报，则匹配关键字的字符串取设备发放过程中，发起发放请求Topic“$oc/devices/${device_id}/sys/bootstrap/up” 的上报信息json中的baseStrategyKeyword属性。 优先级别 发放策略的优先级，取值范围1 - 5级，1级为最低优先级。当一个设备符合多个发放策略时，按照优先级最高的策略实例发放。 发放区域 发放到指定区域后，设备将接入对应区域的 设备接入服务 。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。

概述 静态策略，即设备关键字模糊匹配的发放策略。每条静态策略实例指：匹配上该策略实例的设备，将会被发放到该条策略实例关联的设备接入实例的对应资源空间（即应用）下。 设备匹配静态策略实例的机制为： 设备的发放策略为“静态策略”，设备的关键字来源字符串包含某一静态策略实例的关键字，即被认为该设备匹配上该条策略实例。关键字来源有以下两种来源类型： 设备名称：如果设备名称包含设置的关键字，即可按照该行策略指定的发放应用进行实例发放。 数据上报：如果设备在连接后，进行发放publish时，上报Topic “$oc/devices/${deviceId}/sys/bootstrap/up” 中，json上报的属性 “baseStrategyKeyword” 包含设置的关键字，即可按该实例进行发放。 一个设备最多匹配一条静态策略实例； 当一个设备匹配上多条静态策略实例时，则以优先级最高的策略实例为优先。

按资源空间创建同步任务 进入“设备数据同步”界面，单击右上角“创建同步任务”。 同步方式选择“按资源空间整体同步”，将所有必填选项选择完毕后，单击“确认创建”。 在设备数据同步任务界面，将会看到刚创建的任务，可以对任务进行查看详情、重试、停止或删除操作。 单击“任务ID”或者“详情”，可以看到刚创建的任务的详细内容，并且可以使用“高级搜索”对同步设备进行过滤查询操作。 单击“设备名称”，可以跳转到设备同步详情页，能够查看该设备的信息和设备的发放记录。 同一个资源空间不能创建多个同步任务，如需对该资源空间下的数据进行重新同步，要删除该资源空间关联的同步任务。重新创建该资源空间的同步任务后，相关数据同步到新的目标实例，设备南向引导以最新同步的目标平台实例为准下发地址。（删除同步任务之后，如果没有创建新的同步任务，设备南向无法引导。） 当多个资源空间同时同步时，若某资源空间下的产品、证书同步失败只影响当前资源空间的同步，其他资源空间正常执行。当产品和证书同步失败时，可以选择通过重试同步任务，尝试进行再次同步。 按资源空间同步后，在源实例的设备接入控制台上查看不到同步的资源空间。

指定设备创建同步任务 进入“设备数据同步”界面，单击右上角“创建同步任务”。 同步方式选择“指定设备同步”，将所有必填选项选择完毕后，单击“确认创建”。 在设备数据同步任务界面，将会看到刚创建的任务，可以对任务进行查看详情、重试、停止和删除操作。 单击“任务ID”或者“详情”，可以看到刚创建的任务的详细内容，并且可以使用“高级搜索”对同步设备进行过滤查询操作。 当同步任务类型为“指定设备同步”时，该类任务下所有设备的“所属产品”和“所属资源空间”均相同。因此在进行“高级搜索”时，搜索项“所属产品”和“所属资源空间”均为空。 在设备同步详情页，可以查看单个设备的信息和设备的发放记录。 不同的设备可以根据不同的目标实例创建多个同步任务，设备发放的发放数据以最新的一次的同步任务为准。

变更实例规格 IoTDA实例创建成功后，您可以根据业务需要，升级实例规格，实例规格变更不会对业务产生影响。 访问设备接入服务，单击“管理控制台 ”进入设备接入控制台。 选择左侧导航栏“IoTDA实例”，单击实例名称进入实例详情页面。 单击右上角的“变更配置”，根据您的业务需求，选择变更后的实例规格。 图3 实例管理-变更规格入口 可设置延迟生效，选定维护的时间窗口，将会在指定时间窗口内进行变更。 图4 实例管理-变更规格

MQTT协议设备软件升级流程 MQTT协议SOTA升级流程的详细说明： 1～2. 用户在设备管理服务的控制台上传软件包，并在控制台或者应用服务器上创建软件升级任务。 3. 平台感知设备是否在线，当设备在线时立即触发升级协商流程。当设备不在线时，等待设备上线订阅升级Topic，平台感知设备上线，触发升级协商流程。（等待设备上线时间25小时以内） 4~5. 平台向设备下发查询设备软件版本号的命令，查询成功后，物联网平台根据升级的目标版本判断设备是否需要升级 。（第5步超时时间3分钟） 如果返回的软件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理，升级任务置为成功。 如果返回的软件版本信息与升级的目标版本信息不同，且该版本号支持升级，则继续进行下一步的升级处理。 6~7. 物联网平台下发下载包URL访问这里，token及包的相关信息，用户根据下载包URL和token通过HTTPS协议来下载软件包，24小时后token无效。（下载包和升级状态上报超时时间为24小时） 8. 终端设备进行下载包升级操作，升级完成后终端设备向物联网平台反馈升级的结果。(设备升级完成后返回的版本号和设置的版本一致为成功) 9. 物联网平台向控制台/应用服务器通知升级的结果。

MQTT协议固件升级流程 MQTT协议FOTA升级流程的详细说明： 1～2. 用户在设备接入服务的控制台上传固件包，并在控制台或者应用服务器上创建固件升级任务。 3. 平台感知设备是否在线，当设备在线时立即触发升级协商流程。当设备不在线时，等待设备上线订阅升级Topic，平台感知设备上线，触发升级协商流程。（等待设备上线时间25小时以内） 4~5. 平台向设备下发查询设备固件版本号的命令，查询成功后，物联网平台根据升级的目标版本判断设备是否需要升级 。（第5步超时时间3分钟） 如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理，升级任务置为成功。 如果返回的固件版本信息与升级的目标版本信息不同，且该版本号支持升级，则继续进行下一步的升级处理。 6~7. 物联网平台下发设备侧升级包下载指导、token及包的相关信息，用户根据下载包URL和token通过HTTPS协议来下载软件包，24小时后token无效。（下载包和升级状态上报超时时间为24小时） 8. 终端设备进行下载包升级操作，升级完成后终端设备向物联网平台反馈升级的结果。(设备升级完成后返回的版本号和设置的版本一致为成功) 9. 物联网平台向控制台/应用服务器通知升级的结果。 在下载包中断的情况下，平台支持断点续传功能。

固件升级失败原因 物联网平台上报的失败原因： 失败原因 原因解释 处理建议 Device Abnormal is not online 设备异常未在线 请检查设备侧。 Task Conflict 任务冲突 请检查当前设备是否有软件升级、固件升级、日志收集或设备重启的任务正在进行。 Waiting for the device online timeout 等待设备上线超时 请检查设备侧。 Wait for the device to report upgrade result timeout 等待设备上报升级结果超时 请检查设备侧。 Waiting for report device firmware version timeout 等待上报设备固件版本超时 请检查设备侧。 Waiting for report cellId timeout 等待上报cellId超时 请检查设备侧。 Updating timeout and query device version for check timeout 等待升级结果超时，且等待设备版本信息超时 请检查设备侧。 Waiting for device downloaded package timeout 等待设备完成下载固件包超时 请检查设备侧。 Waiting for device start to update timeout 等待设备启动更新超时 请检查设备侧。 Waiting for device start download package timeout 等到设备开始下载固件包超时 请检查设备侧。 设备上报的失败原因： 失败原因 原因解释 处理建议 Not enough storage for the new firmware package 下载的固件包存储空间不足 请检查设备存储。 Out of memory during downloading process 下载过程中内存不足 请检查设备内存。 Connection lost during downloading process 下载过程中连接断开 请检查设备连接状态。 Integrity check failure for new downloaded package 下载的固件包完整性校验失败 请检查设备下载的固件包是否完整。 Unsupported package type 固件包类型不支持 请检查设备状态和厂商提供的固件包是否正确。 Invalid URI URI不可用 检查设备侧的固件包下载地址是否正确。 Firmware update failed 固件更新失败 请检查设备侧。

操作步骤 进入“策略”界面，单击展开“证书策略”，单击“添加实例”。 按照下方参数说明填写关键参数信息后，单击“确定”。 表1 证书策略参数列表 参数名称 说明 示例 证书名称 即所要根据证书属性将设备发放到指定的目标区域，选择对应的证书。 将需要通过证书“certificates”发放的设备发放至华北-北京四的物联网平台。 需通过证书“certificates”发放的设备：WaterMeter-Beijing0001、WaterMeter-Beijing0002 证书名称：certificates 发放区域：华北-北京四 发放应用：beijing-app1 发放区域 发放到指定区域后，设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。

概述 证书策略，即通过平台认证设备的设备CA证书匹配的发放策略。每条证书策略实例指：匹配上该策略实例的设备，将会被发放到该策略实例关联的设备接入实例的对应资源空间（即应用）下。 设备匹配证书策略实例的机制为： 设备的发放策略指定为“证书策略”时，其认证方式也必须为X.509证书认证且同时指定了认证设备的设备CA证书，当设备关联的设备CA证书与证书策略实例关联的证书为同一个证书时，即被认为该设备匹配上该条策略实例； 一个设备最多匹配一条证书策略实例；一个CA证书最多被一条证书策略关联。

LwM2M协议设备固件升级流程 LwM2M协议FOTA升级流程的详细说明： 1～2. 用户在设备接入服务的控制台上传固件包，并在控制台或者应用服务器上创建固件升级任务。 3. LwM2M设备上报数据，平台感知设备上线，触发升级协商流程。(超时时间为24小时) 4～5. 物联网平台向设备下发查询设备固件版本的命令，查询成功后，物联网平台根据升级的目标版本判断设备是否需要升级。（第4步等待设备上报固件版本，超时时间为3分钟） 如果返回的固件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理。 如果返回的固件版本信息与升级的目标版本信息不同，则继续进行下一步的升级处理。 6～7. 物联网平台查询终端设备所在的无线信号覆盖情况，获取小区ID、RSRP（Reference Signal Received Power，参考信号接收功率）和SINR（Signal to Interference Plus Noise Ratio，信号干扰噪声比）信息。（等待上报无线覆盖等级和小区ID，超时时间为3分钟左右） 查询成功：则根据如下方式计算可同时升级的并发数计算，并按照步骤9进行处理。 如下图所示，如果设备的RSRP强度和SINR强度均落在等级“0”中，则同时可以对该小区的50个相同信号覆盖区间的设备进行同时升级。 如果设备的RSRP强度和SINR强度分别落在等级“0”和“1”中，则以信号较弱的等级“1”为准，则只能同时对该小区的10个设备进行升级。 如果设备的RSRP强度和SINR强度分别落在等级“1”和“2”中，则以信号较弱的等级“2”为准，则只能同时对该小区的1个设备进行升级。 如果设备的RSRP强度和SINR强度不在该3个等级范围内，且均可以查询到，则按照信号最弱覆盖等级“2”处理，则只能同时对1个设备进行升级。 如果用户在固件升级中发现同时进行升级的设备数较少，则可以联系当地运营商检查和优化设备所在小区的无线覆盖情况。 查询失败：则按照流程步骤8进行处理。 8. 物联网平台继续下发查询小区ID信息的命令，获取终端设备所在的小区ID信息。 如果查询成功：物联网平台支持同时对该小区的10个相同情况的设备进行固件升级。 如果查询失败：则升级失败。 9. 物联网平台向设备订阅固件升级的状态。 10～11. 物联网平台向设备下发下载固件包的URL地址，通知设备下载固件包。终端设备根据该URL地址下载固件包，固件包的下载支持分片下载，下载完成后，设备知会物联网平台固件包已下载完毕。（第11步超时时间为60分钟） 12～13. 物联网平台向设备下发升级的命令，终端设备进行升级操作，升级完成后终端设备向物联网平台反馈升级结束。（等待设备上报升级结果和升级状态，超时时间为30分钟） 14～16. 物联网平台下发命令查询固件升级的结果，获取升级结果后，向终端设备取消订阅升级状态通知，并向控制台应用服务器通知升级的结果。 在下载包中断的情况下，平台支持断点续传功能。

LwM2M协议设备软件升级流程 LwM2M协议SOTA升级流程的详细说明： 1～2. 用户在设备管理服务的控制台上传软件包，并在控制台或者应用服务器上创建软件升级任务。 3. LwM2M设备上报数据，平台感知设备上线，触发升级协商流程。(超时时间为24小时) 4～5. 物联网平台向设备下发查询设备软件版本的命令，查询成功后，物联网平台根据升级的目标版本判断设备是否需要升级。（第4步等待设备上报软件版本，超时时间为3分钟） 如果返回的软件版本信息与升级的目标版本信息相同，则升级流程结束，不做升级处理。 如果返回的软件版本信息与升级的目标版本信息不同，则继续进行下一步的升级处理。 6. 物联网平台向设备订阅软件升级的状态。 7～8. 物联网平台查询终端设备所在的无线信号覆盖情况，获取小区ID、RSRP（Reference Signal Received Power，参考信号接收功率）和SINR（Signal to Interference Plus Noise Ratio，信号干扰噪声比）信息。（等待上报无线覆盖等级和小区ID，超时时间为3分钟左右） 查询成功：则根据如下方式计算可同时升级的并发数计算，并按照步骤10进行处理。 如下图所示，如果设备的RSRP强度和SINR强度均落在等级“0”中，则同时可以对该小区的50个相同信号覆盖区间的设备进行同时升级。 如果设备的RSRP强度和SINR强度分别落在等级“0”和“1”中，则以信号较弱的等级“1”为准，则只能同时对该小区的10个设备进行升级。 如果设备的RSRP强度和SINR强度分别落在等级“1”和“2”中，则以信号较弱的等级“2”为准，则只能同时对该小区的1个设备进行升级。 如果设备的RSRP强度和SINR强度不在该3个等级范围内，且均可以查询到，则按照信号最弱覆盖等级“2”处理，则只能同时对1个设备进行升级。 如果用户在软件升级中发现同时进行升级的设备数较少，则可以联系当地运营商检查和优化设备所在小区的无线覆盖情况。 查询失败：则按照流程9进行处理。 9. 物联网平台继续下发查询小区ID信息的命令，获取终端设备所在的小区ID信息。 如果查询成功：物联网平台支持同时对该小区的10个相同情况的设备进行软件升级。 如果查询失败：则升级失败。 10～12. 物联网平台通知设备有新的软件包版本，设备启动软件包的下载。软件包的下载按照分片的方式进行下载，支持断点续传功能，通过软件包分片中携带的“versionCheckCode”确定是否属于同一个软件包。下载完成后，设备知会物联网平台软件包已下载完毕。（第11步超时时间为60分钟） 13～14. 物联网平台向设备下发升级的命令，终端设备进行升级操作，升级完成后终端设备向物联网平台反馈升级的结果。（等待设备上报升级结果和升级状态，超时时间为30分钟） 15. 物联网平台向控制台/应用服务器通知升级的结果。

固件升级失败原因 物联网平台上报的失败原因： 失败原因 原因解释 处理建议 Device Abnormal is not online 设备异常未在线 请检查设备侧。 Task Conflict 任务冲突 请检查当前设备是否有软件升级、固件升级、日志收集或设备重启的任务正在进行。 Waiting for the device online timeout 等待设备上线超时 请检查设备侧。 Wait for the device to report upgrade result timeout 等待设备上报升级结果超时 请检查设备侧。 Waiting for report device firmware version timeout 等待上报设备固件版本超时 请检查设备侧。 Waiting for report cellId timeout 等待上报cellId超时 请检查设备侧。 Updating timeout and query device version for check timeout 等待升级结果超时，且等待设备版本信息超时 请检查设备侧。 Waiting for device downloaded package timeout 等待设备完成下载固件包超时 请检查设备侧。 Waiting for device start to update timeout 等待设备启动更新超时 请检查设备侧。 Waiting for device start download package timeout 等到设备开始下载固件包超时 请检查设备侧。 设备上报的失败原因： 失败原因 原因解释 处理建议 Not enough storage for the new firmware package 下载的固件包存储空间不足 请检查设备存储。 Out of memory during downloading process 下载过程中内存不足 请检查设备内存。 Connection lost during downloading process 下载过程中连接断开 请检查设备连接状态。 Integrity check failure for new downloaded package 下载的固件包完整性校验失败 请检查设备下载的固件包是否完整。 Unsupported package type 固件包类型不支持 请检查设备状态和厂商提供的固件包是否正确。 Invalid URI URI不可用 检查设备侧的固件包下载地址是否正确。 Firmware update failed 固件更新失败 请检查设备侧。

使用限制 设备发放服务具有以下使用限制。 表1 设备发放服务使用限制列表 对象 类别/描述 限制 设备 集成Agent Lite的设备（MQTT） 不支持 原生MQTT协议设备 支持，设备需要开发设备引导接口，具备设备发放能力。 集成LiteOS的设备（LwM2M） 支持 证书 数字证书保证系统内各服务及系统与外部通信的安全性，防止通信数据在传输过程被篡改造成安全风险。 100 策略 自定义策略最多可添加的实例数 10 静态策略最多可添加的实例数 20 证书策略最多可添加的实例数 20 父主题： 产品介绍

设备发放业务流程 设备启动后，通过Bootstrap流程（设备出厂时预置设备发放平台地址作为引导服务器地址），引导物联网设备在初次上电时获得正确的目标物联网平台地址，继而完成设备与平台的建链过程。保证设备安全可靠的按业务目标上线，最大程度上减少人为干预的错误可能。 流程如下： 首先确认用户是否开通设备接入服务（物联网平台）。 在设备发放平台创建设备的发放清单（包括预注册设备以及添加发放策略）。 设备出厂时预置设备发放平台地址，设备上电后，设备发放服务通过使用标准 X.509证书验证或者根据设备密钥验证设备的标识，把设备发放到对应的设备接入平台。 设备发放将设备接入平台连接信息返回给设备。 设备通过收到的设备接入平台连接信息连接到设备接入平台。 父主题： 产品介绍

转发方式概述 设备接入到物联网平台后，便可与物联网平台进行通信。设备通过自定义Topic或产品模型方式将数据上报到平台，在控制台设置后，通过订阅推送的方式，将设备生命周期变更、设备属性上报、设备消息上报、设备消息状态变更、设备状态变更、批量任务状态变更等消息转发到您指定的服务器。 当前华为物联网平台支持HTTP/HTTPS、AMQP、MQTT和设备间通信四种数据转发方式。 HTTP/HTTPS方式 订阅：应用服务器通过调用物联网平台的创建规则触发条件、创建规则动作、修改规则触发条件接口配置并激活规则，或者在控制台创建订阅任务，向平台获取发生变更的设备业务信息（如设备生命周期管理、设备数据上报、设备消息状态、设备状态等）和管理信息（软固件升级状态和升级结果）。订阅时必须指定应用服务器的URL，也称为回调地址。（什么是回调地址？）。 推送：订阅成功后，物联网平台根据应用服务器订阅的数据类型，将对应的变更信息（推送的通知内容可参考流转数据）推送给指定的URL地址。如果应用服务器没有订阅该类型的数据通知，即使数据发生了变更也不会进行推送。物联网平台进行数据推送时，数据格式为JSON格式，推送协议可以采用HTTP或HTTPS协议，其中HTTPS协议为加密传输协议，需要进行安全认证，更加安全，推荐使用。 HTTP/HTTPS方式详细请参考使用HTTP/HTTPS转发。 AMQP方式 订阅：AMQP（Advanced Message Queuing Protocol）即高级队列消息协议。用户通过控制台创建订阅任务，也可以通过调用物联网平台的创建规则触发条件、创建规则动作、修改规则触发条件接口配置并激活规则，向平台获取发生变更的设备业务信息（如设备生命周期管理、设备数据上报、设备消息状态、设备状态等）和管理信息（软固件升级状态和升级结果）。订阅时必须指定具体的AMQP消息通道。 推送：订阅成功后，物联网平台根据用户订阅的数据类型，将对应的变更信息推送给指定的AMQP消息队列。如果用户没有订阅该类型的数据通知，即使数据发生了变更也不会进行推送。用户可通过AMQP的客户端与IoT平台建立链接，来接收数据。 AMQP详细请参考使用AMQP转发。 MQTT方式 订阅：用户可以通过调用物联网平台的创建规则触发条件、创建规则动作、修改规则触发条件接口配置并激活规则，向平台获取发生变更的设备业务信息（如设备生命周期管理、设备数据上报、设备消息上报、设备状态等）和管理信息（软固件升级状态和升级结果）。订阅时必须指定接收推送消息的Topic。 推送：订阅成功后，物联网平台根据用户订阅的数据类型，将对应的变更信息推送给指定的Topic。如果用户没有订阅该类型的数据通知，即使数据发生了变更也不会进行推送。用户可通过MQTT的客户端与IoT平台建立连接，来接收数据。 MQTT详细请参考使用MQTT转发。 设备间通信 订阅：物联网平台支持基于MQTT协议实现设备间的消息通信，用户可通过控制台创建规则，也可以通过调用物联网平台的创建规则触发条件、创建规则动作、修改规则触发条件接口配置并激活规则，向平台获取设备上报的消息。设备订阅只支持消息上报。 推送：订阅成功后，物联网平台会将设备上报的消息推送到指定的MQTT Topic，当设备接入平台后，可以通过订阅该Topic来接收数据，从而实现设备间的消息通信。 设备间通信详细请参考设备间通信。 数据转发方式 适用场景 优点 限制 HTTP/HTTPS订阅推送 应用作为服务端被动接收IoT云服务的消息。 - 流控限制800TPS，不建议大流量推送使用HTTP/HTTPS方式。 AMQP订阅推送 应用作为客户端，可主动拉取IoT云服务的消息，也可以通过监听被动接收 IoT云服务的消息。 能主动拉取数据 请参考连接规格。 MQTT订阅推送 应用作为客户端，可以通过订阅接收 IoT云服务的消息。 - 请参考使用限制。 设备间通信 智能家居控制场景，手机APP和智能设备之间进行消息通信。 设备联动，设备间进行数据传输与消息通信。 实现设备间通信 请参考设备间消息通信概述。 父主题： 数据转发至第三方应用

和其他服务的关系 设备发放服务与其他服务的关系如表1所示。 表1 与其他服务的关系列表 交互功能 相关服务 位置 创建设备时，需要使用设备接入服务创建的产品 设备接入服务（IoT Device Access，IoTDA） 创建产品 创建自定义策略时需要使用函数 函数工作流 服务（FunctionGraph） 创建并初始化函数 创建证书策略使用云证书时，需要去 云证书管理服务 创建云证书 云证书管理 服务（Cloud Certificate Manager Service，CCM） 创建私有CA 父主题： 产品介绍

创建授权关系 被授权方进入“授权”界面，单击在“被授权列表”下的“发起授权请求”。 被授权方填写授权方的账号名称或者账号ID（即 IAM 的Domain Name或Domain ID），单击“获取短信验证码”。 系统将向授权方绑定的手机号发送短信验证码，被授权方从授权方获取到短信验证码，填入验证码输入框，填写“描述”信息。 被授权方单击“确定”，授权请求完成，授权关系建立。 被授权方将在“被授权列表”中查看到与其他租户建立的授权关系，授权方将在“授权列表”中查看到与其他租户建立的授权关系。被授权方可删除某一条授权关系，授权方可禁用或删除某一条授权关系。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和 CS R文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

新增注册组 创建注册组。 注册组密钥为长度在”32~128“字节的字节码。在创建密钥注册组时，返回的注册组密钥为“base64编码后的注册组密钥字符串”。 若不指定注册组密钥，则注册组密钥由设备发放服务生成。 若指定注册组密钥，在创建中注册组时需在密钥输入框内填写“指定字节码Base64编码后生成的字符串”。 如果需要下发初始化配置，那么对应在初始设备配置选项中填写对应的JSON字符串，设备发放不理解该字段，只是透传该JSON字符串，由设备理解解析。如果不需要下发该字段则不填 创建完成后会返回注册组密钥，点击复制保存注册组密钥。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息。其中General 可以使用工具默认信息。 其中Broker Address和Broker Port可以参考获取终端节点，Client ID 可以参考MQTT CONNECT连接鉴权参数说明，访问这里填写设备ID（DeviceId）等设备信息，生成连接信息（ClientId、Username、Password）。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选 Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤设置后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

签发设备证书 使用OpenSSL工具为设备证书生成密钥对，即”设备证书（客户端证书）私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1所示。 表2 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整