华为云用户手册

版本说明 表1 Python版本说明 版本 变更类型 说明 1.2.0 新增功能 增加规则引擎、设备发放功能、自定义断线重连功能、升级组件版本。 1.1.4 新增功能 OTA升级支持网关模式 1.1.3 功能增强 更新服务端ca证书 1.1.2 新增功能 增加micropython支持和对应demo，从OBS下载OTA，以及说明文档。 1.1.1 新增功能 提供对接华为云IoT 物联网平台 能力，方便用户实现安全接入、设备管理、数据采集、命令下发等业务场景。

使用说明 已安装Python 3.11.4 已安装第三方类库paho-mqtt：2.0.0 (必需) 已安装第三方类库schedule: 1.2.2 (必需) 已安装第三方类库apscheduler: 3.10.4 (必需) 已安装第三方类库requests: 2.32.2 （可选，在网关与子设备管理demo演示中使用） 已安装第三方类库tornado: 6.3.3 （可选，在网关与子设备管理demo演示中使用）

设备开发资源 物联网平台支持设备通过MQTT协议、LWM2M/CoAP协议和HTTPS协议进行接入，也可以通过IoTEdge将Modbus、OPC-UA、OPC-DA这些协议的设备接入。设备可以通过调用接口或者集成SDK的方式接入到物联网平台。 资源包名 描述 下载路径 IoT Device SDK(Java) 设备可以通过集成IoT Device SDK(Java)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK使用指南（Java）。 IoT Device SDK(Java) IoT Device SDK(C) 设备可以通过集成IoT Device SDK(C)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK(C)使用指南。 IoT Device SDK(C) IoT Device SDK(C#) 设备可以通过集成IoT Device SDK(C#)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK(C#)使用指南。 IoT Device SDK(C#) IoT Device SDK(Android) 设备可以通过集成IoT Device SDK(Android)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK(Android)使用指南。 IoT Device SDK(Android) IoT Device SDK(Go) 设备可以通过集成IoT Device SDK(Go)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK(Go)使用指南。 IoT Device SDK(Go) IoT Device SDK(Python) 设备可以通过集成IoT Device SDK(Python)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device SDK(Python)使用指南。 IoT Device SDK(Python) IoT Device SDK Tiny (C) 设备可以通过集成IoT Device SDK Tiny (C)接入物联网平台, Demo提供了调用SDK接口的样例代码。使用指导请参考 IoT Device Tiny SDK(C)使用指南 IoT Device SDK Tiny (C) 原生MQTT/MQ TTS 协议接入示例 设备侧可以通过原生MQTT/MQTTS协议接入到物联网平台，Demo提供了SSL加密建链和TCP不加密建链、数据上报、订阅Topic的样例代码。 接入示例参考：Java版、Python版、Android版、C版、C#、NodeJS。 quickStart(Java) quickStart(Android) quickStart(Python) quickStart(C) quickStart(C#) quickStart(Node.js) 产品模型模板 产品模型模板中包含了典型场景的产品模型样例，开发者可以在模板基础进行修改，定义自己需要的产品模型。 使用指导可以参考离线开发产品模型。 产品模型开发示例 编解码插件样例 编解码插件的代码样例工程，开发者可以基于该样例工程进行二次开发。 编解码插件开发样例 编解码插件检测工具 用于检测离线开发的编解码插件的编解码能力是否正常。 编解码插件检测工具 NB-IoT设备模拟器 用于模拟以CoAP/LWM2M协议接入物联网平台的NB设备，实现数据上报和命令下发功能。 使用指导可以参考基于控制台开发产品。 NB-IoT设备模拟器 IoT Link Studio（原名为IoT Studio） IoT Link Studio是针对IoT物联网端侧开发（IoT Device SDK Tiny）的IDE环境，提供了编译、烧录、调试等一站式开发体验，支持 C、 C++、汇编等多种开发语言，让您快速、高效地进行物联网开发。 使用指导可以参考基于NB-IoT小熊派开发智慧路灯。 IoT Link Studio

设备接入方式 华为物联网平台支持多种接入方式，满足各类设备和接入场景要求。请根据设备类型，选择合适的开发模式。 开发模式 特点 适用场景 难度系数 认证MCU开发模式 IoT Device SDK Tiny已经预集成在MCU（Main Control Unit）中，可以直接调用方法连接华为云IoT。 设备商用时间短，研发成本低，无需管理子设备的直连设备。 认证模组开发模式 IoT Device SDK Tiny已经预集成在模组中，通过调用AT指令连接华为云IoT。 需要节省MCU资源，无需管理子设备的直连设备。详细接入方式请参考通过华为认证模组接入。 LiteOS开发模式 设备运行在LiteOS中，通过LiteOS对MCU进行资源管理，同时liteOS内置了IoT Device SDK Tiny，可以通过调用函数连接华为云IoT。LiteOS开发模式的设备开发耗时更短，开发难度也低。 无操作系统，无需管理子设备的直连设备 常规开发模式 集成IoT Device SDK Tiny到MCU中，调用SDK中的函数连接华为云IoT，相比API接入更便捷。 设备商用时间充足，MCU的Flash与 RAM 资源满足IoT Device SDK Tiny集成条件的场景。 Open CPU开发模式 节省一个MCU，使用公用模组中的MCU能力，将设备的应用程序编译运行在OpenCPU上。 安全要求高，体积较小，商用时间短的设备 网关设备开发模式 IoT Device SDK预置到CPU（Central Processing Unit）或者MPU（Main Processing Unit）中，通过调用函数连接到华为云IoT。 管理子设备的网关设备。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息。其中General 可以使用工具默认信息。 其中Broker Address和Broker Port可以参考获取终端节点，Client ID 可以参考MQTT CONNECT连接鉴权参数说明，访问这里填写设备ID（DeviceId）等设备信息，生成连接信息（ClientId、Username、Password）。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选 Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤设置后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件 CS R。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图4 上传验证证书

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

创建MySQL 登录华为云官方网站，访问云数据库 MySQL，购买实例。 设备接入服务 企业版实例支持通过内网连接MySQL，标准版实例仅支持通过公网连接MySQL。 在购买的MySQ L实例 中，根据流转数据格式设计数据库表，可以通过数据过滤语句编辑流转数据。本示例使用设备属性上报通知的默认格式，将流转数据中的resource、event、notify_data、event_time分别转存至数据库表中的resource、event、content、event_time字段。 图1 创建数据库表样例

部署插件 访问设备接入服务，单击“管理控制台”进入设备接入控制台。 单击“IoTDA实例 ”，单击具体实例“详情”按钮，选择“泛协议接入”。 图1 泛协议-泛协议接入 选择“云网关”，单击“新增云网关” 。端口填写为“8898”。镜像选择镜像名称为“protocol-plugin-sl651”的镜像。 图2 泛协议-部署成功SL651 防火墙和安全组需要放通8898端口（TCP）。 父主题： SL651协议接入

使用说明 图2 设备消息上报操作流程 创建产品与设备：创建产品流程、创建设备流程。 设备鉴权：平台验证设备是否具有接入权限。 设备消息上报：设备通过MQTT/HTTPS等协议发送消息数据。 按照不同的设备协议，调用的接口不一样，下面分别介绍MQTT、HTTPS协议消息上报的样例： MQTT：通过消息上报接口MQTT协议消息上报、使用MQTT.fx调测上报数据到物联网平台。 MQTT消息上报Topic样例如下： $oc/devices/{device_id}/sys/messages/up MQTT消息上报数据格式样例如下： { "content": {"hello":"123"} } HTTPS：通过消息上报接口HTTP协议消息上报上报数据到物联网平台，其中access_token获取参考：HTTPS设备鉴权。HTTPS消息上报样例如下： POST https://{endpoint}/v5/devices/{device_id}/sys/messages/up Content-Type: application/jsonaccess_token: ********{ "name": "name", "id": "id", "content": "messageUp"} 协议接口详情请参考：MQTT协议消息上报、HTTP协议消息上报。 数据转发：可以通过数据流转功能转发到应用侧或华为云其他云服务上进行进一步处理。

X.509证书认证 X.509是一种用于通信实体鉴别的数字证书，物联网平台支持设备使用自己的X.509证书进行认证鉴权。使用X.509认证技术时，设备无法被仿冒，避免了密钥被泄露的风险。 使用X.509证书认证的完整操作流程为： 1. 在平台上传设备CA证书并完成验证（或使用华为云证书服务的私有CA）； 2. 创建设备或注册组时，认证方式选择X.509证书认证，并关联已认证的设备CA证书； 3. 开发设备端，将X.509证书及其私钥烧录到设备上； 4. 设备在与平台双向认证过程中，设备验证平台证书，平台使用设备CA证书验证设备证书并验证设备证书与设备的关联关系。

示例流程 图1 给用户授予IoTDA权限流程 创建用户组并授权：在 IAM 控制台创建用户组，并授权IoTDA权限，例如IoTDA ReadOnlyAccess。 创建用户并加入用户组：在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限：新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择IoTDA，进入主界面尝试创建设备（假设当前权限仅包含IoTDA ReadOnlyAccess），如果无法成功操作，则表示“IoTDA ReadOnlyAccess”已生效。 在“服务列表”中选择除IoTDA外（假设当前策略仅包含IoTDA ReadOnlyAccess）的任一服务，若提示权限不足，表示“IoTDA ReadOnlyAccess”已生效。

概述 MQTT消息由固定报头（Fixed header）、可变报头（Variable header）和有效载荷（Payload）三部分组成。 其中固定报头（Fixed header）和可变报头（Variable header）格式的填写请参考MQTT标准规范，有效载荷（Payload）的格式（须使用UTF-8编码格式）由应用定义，即由设备和物联网平台之间定义。 MQTT的语法和接口细节，请以MQTT标准规范为准。 常见MQTT消息类型主要有CONNECT、SUBSCRIBE、PUBLISH。 CONNECT：指客户端发起与服务端的连接请求。有效载荷（Payload）的主要参数，参考设备连接鉴权填写。 SUBSCRIBE：指客户端发起订阅的请求。有效载荷（Payload）中的主要参数“Topic name”，参考Topic定义中订阅者为设备的Topic。 PUBLISH：平台发布消息。 可变报头（Variable header）中的主要参数“Topic name”，指当设备上报到物联网平台，发布者为设备时所对应的Topic。详细请参考Topic定义。 有效载荷（Payload）中的主要参数为完整的数据上报和命令下发的消息内容，目前是一个JSON对象。

MQTT的TLS支持 平台推荐使用TLS来保护设备和平台的传输安全。 平台目前支持TLS1.3、1.2 、1.1版本以及GMTLS。其中TLS 1.1 计划后续不再支持，建议使用 TLS 1.3作为首选 TLS 版本。GMTLS版本仅在国密算法的企业版才支持。 基础版，标准版以及支持通用加密算法的企业版使用TLS连接时，平台支持如下加密套件： TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 支持国密算法的企业版使用TLS连接时平台支持如下加密套件： ECC_SM4_GCM_SM3 ECC_SM4_CBC_SM3 ECDHE_SM4_GCM_SM3 ECDHE_SM4_CBC_SM3 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 带CBC的加密套件存在安全风险，请谨慎使用。

使用限制 描述 限制 单个MQTT直连设备在同一时间的连接数 1 单账户设备侧每秒最大建链请求数量 基础版100 标准版请参考标准版规格 企业版请参考企业版规格 单账号设备侧每秒最大上行的请求数量（单消息payload平均为512字节） 基础版500 标准版请参考标准版规格 企业版请参考企业版规格 单个MQTT连接每秒最大上行消息数量 50/s 单个MQTT连接最大带宽（上行消息） 1MB（默认） MQTT单条发布消息最大长度。超过此大小的发布请求将被直接拒绝。 1MB MQTT协议规范 MQTT v5.0、MQTT v3.1.1、MQTT v3.1 与标准MQTT协议的区别 不支持QoS2 不支持will、retain msg MQTT协议支持的安全等级 采用TCP通道基础 + TLS协议（TLSv1、 TLSv1.1、TLSv1.2和TLSv1.3版本） MQTT连接心跳时间建议值 心跳时间限定为30至1200秒，推荐设置为120秒 MQTT协议消息发布与订阅 设备只能对自己的Topic进行消息发布与订阅 单个MQTT连接的最大订阅数量。 100个 MQTT自定义Topic支持的最大长度 128字节 MQTT自定义Topic支持每个产品添加的最大个数 10个/产品 单账号支持上传设备侧CA证书个数 100个

与标准MQTT协议的兼容说明 华为云IoTDA服务支持设备基于MQTT 5.0、MQTT 3.1.1和 MQTT 3.1规范的接入，但同这些MQTT协议规范有一些差异， IoTDA服务不是简单的MQTT Broker，而是在支持设备使用MQTT协议接入的基础上集成消息通信、设备管理、规则引擎、数据流转等能力。与MQTT标准规范的的区别如下： 支持设备与IoTDA服务之间使用MQTT规范中的CONNECT、CONNACK、PUBLISH、PUBACK、SUBSCRIBE、SUBACK、UNSUBSCRIBE、UNSUBACK、PINGREQ、PINGRESP、DISCONNECT等报文进行通信。 支持MQTT的服务质量等级为QoS 0、QoS 1，不支持QoS 2。 支持MQTT协议规范中的clean session。 不支持MQTT协议规范中的will。 IoTDA提供设备状态推送的能力，设备离线后支持根据流转规则将设备状态推送到客户应用或者云服务。 不支持MQTT协议规范中retain msg。IoTDA提供消息缓存的能力消息上报和消息下发时支持对消息进行缓存。

支持的MQTT 5.0特性说明 MQTT5.0相关特性仅在企业版支持。 IoTDA服务支持的MQTT 5.0的部分新增特性如下： 支持Topic Alias。将消息通信Topic缩小为整型数值，来减小MQTT报文，节约网络带宽资源。 支持ResponseTopic 和CorrelationData。消息上报和下发时支持携带这两个参数，实现类似云HTTP的请求和响应。 支持设置UserProperty属性列表。每个属性由Key和Value组成，用于在非payload区传输属性数据。 支持Content-Type属性。消息上报的报文可以携带Content-Type属性，标识报文类型。 支持在CONNACK和PUBACK报文中返回码，便于设备快速定位请求状态及问题。

业务流程 采用MQTT协议接入物联网平台的设备，设备与物联网平台之间的通信过程，数据没有加密，建议使用MQTTS协议。 若选择MQTTS协议接入平台，建议通过使用IoT Device SDK接入。 设备接入前，需创建产品（可通过控制台创建或者使用应用侧API创建产品）。 产品创建完毕后，需注册设备（可通过控制台注册单个设备或者使用应用侧API注册设备创建）。 设备注册完毕后，可以按照图中流程实现消息/属性上报、接收命令/属性/消息、OTA升级、自定义Topic等功能。关于平台预置Topic可参考Topic定义 您可以通过mqtt.fx进行原生协议接入调测，可以参考快速体验mqtt接入。

验证 使用设备间消息通信功能时，具体步骤如下： 访问设备接入服务，单击“管理控制台”进入设备接入控制台。选择您的实例，单击实例卡片进入。 创建产品，产品的“协议类型”选择“MQTT”。 图9 创建产品-M2M 在1中创建的产品下分别注册设备A（test111）和设备B（test222），详细步骤可参考注册单个设备。 图10 设备-注册M2M设备 您可以根据自己的业务场景来实现设备间消息通信。下面以MQTT.fx为例说明如何进行设备间消息通信： 打开两个MQTT.fx，分别模拟设备A（test111）、B（test222）。如何使用MQTT.fx可参考使用Mqtt.fx调测使用Mqtt.fx调测。 设备B在Subscribe页面中输入Topic“ /test/M2M/#”后，单击“Subscribe”订阅。 图11 设备B（test222）在Subscribe页面中输入topic 设备A（test111）向设备B（test222）发送消息，在设备A（test111）的MQTT.fx的“Publish”页面中，输入topic“/test/M2M/${任意单词}”（其中“${任意单词}”替换成任意单词） ，在内容输入框中输入要发送的消息（如：hello）单击“Publish”即可发送。 图12 设备A Publish页面输入消息 在设备B的Subscribe页面可以看到接收的消息如下： 图13 设备B Subscribe页面展示

MQTT概述 MQTT标准规范参见《mqtt-v3.1.1-os.pdf》。 MQTT的语法和接口细节，请以此标准为准。设备发放目前仅支持MQTTS/HTTPS这种安全接入的设备进行发放，暂不支持MQTT/HTTP这种非安全接入的设备进行发放。 MQTT消息分为固定报头（Fixed header）、可变报头（Variable header）和有效载荷（Payload）部分。 固定报头（Fixed header）和可变报头（Variable header）格式的填写直接MQTT标准规范。有效载荷（Payload）部分在PUB消息中可以由应用定义，即设备和设备发放平台之间自己定义。 下面主要介绍CONNECT、SUB和PUB消息格式的填写。 CONNECT - Client requests a connection to a server 有效载荷（Payload）中的主要参数填写，具体参见MQTT CONNECT连接鉴权。 SUBSCRIBE - Subscribe to named topics 有效载荷（Payload）中的主要参数填写：Topic name，填写为设备想要订阅的主题消息，目前填写为设备自己的topic，具体参见Topic说明。 PUBLISH - Publish message 可变报头（Variable header）：Topic name，设备发往设备发放平台时，为平台的Topic name，设备接收消息时，为设备的Topic name，具体参见Topic说明。 有效载荷（Payload）中的主要参数填写：为完整的数据上报和命令下发的消息内容，目前是一个JSON对象。

Topic说明 设备发放平台作为消息接收方时，已默认订阅了相关Topic，设备只要向对应Topic发送消息，设备发放平台就可以接收。 设备作为消息接收方时，需要先订阅相关Topic，这样设备发放平台向对应Topic发送消息时，设备才能接收到。设备需要根据具体实现的业务来决定订阅哪些Topic。 表1 设备发放Topic Topic 消息发送方 （Publisher） 消息接收方 （Subscriber） 说明 $oc/devices/{device_id}/sys/bootstrap/up 设备 设备发放平台 设备向发放服务请求对应设备接入实例的引导信息。 $oc/devices/{device_id}/sys/bootstrap/down 设备发放平台 设备 设备接收发放服务下发的引导信息。

场景示例矩阵 表2 示例列表 注册/注册组 认证类型 策略类型 示例 注册 证书认证 证书策略 MQTT X.509证书认证设备使用证书策略发放示例 注册 密钥认证 静态策略 MQTT 密钥设备使用静态策略发放示例 注册组 证书认证 自定义策略 MQTT 注册组自定义策略发放示例 注册组 云证书认证 证书策略 MQTT 华为云证书注册组发放示例 注册组 证书认证 自定义策略 MQTT 注册组自定义策略发放示例 注册 密钥认证 静态策略（跨账号） MQTT 密钥设备跨账号使用静态策略发放示例

认证凭证更新 设备的接入凭证可能在特定场景需要更新，如设备的X.509证书即将过期，需要将设备证书进行更新。平台提供了密钥/指纹的重置功能，您可以调用接口重置设备指纹/重置设备密钥进行设备凭证的重置。为避免认证凭据切换过程中，用户未在平台及时重置认证凭据导致设备鉴权失败，出现业务中断，平台推出支持双指纹/双密钥的功能。如在证书认证的场景下，将新证书的指纹设置到设备的备用指纹中，此时如果设备没及时更新证书，仍然可以通过旧的证书接入平台，当设备更新证书后，无需在应用侧进行重置操作，即可立即使用新证书接入平台，实现无损切换认证凭证。

示例1 证书认证设备，不限制UserName与ClientId参数取值，从设备证书通用名称（Common Name）中取值设备ID。 表1 鉴权参数 参数 说明 Client ID 任意值 User Name 任意值 Password 空值 鉴权模板： {"template_name": "template1","description": "template1","template_body": {"parameters": {"iotda::certificate::common_name": {"type": "String"}},"resources": {"device_id": {"Ref": "iotda::certificate::common_name"}}}}

什么是编解码插件 编解码插件是供物联网平台调用，可以完成二进制格式与JSON格式相互转换、也可以完成JSON格式之间的转换。MQTT协议的设备建议使用JS插件、FunctionGraph、LwM2M协议的设备建议使用图形化插件、离线开发插件。 以NB-IoT场景为例，NB-IoT设备和物联网平台之间采用CoAP协议通讯，CoAP消息的payload为应用层数据，应用层数据的格式由设备自行定义。由于NB-IoT设备一般对省电要求较高，所以应用层数据一般不采用流行的JSON格式，而是采用二进制格式。但是，物联网平台与应用侧使用JSON格式进行通信。因此，您需要开发编码插件，供物联网平台调用，以完成二进制格式和JSON格式的转换。

编解码插件开发方法 物联网平台提供了多种开发编解码插件的方法，您可以根据自己需求，选择对应的方法开发编解码插件。由于离线开发编解码插件的方法较为复杂，且耗时比较长，我们推荐使用图形化开发编解码插件和脚本化开发。 图形化开发：是指在设备接入控制台，通过可视化的方式快速开发一款产品的编解码插件。详细请参考图形化开发。 脚本化开发：是指使用JavaScript脚本实现编解码的功能。详细请参考脚本化开发。 FunctionGraph开发：是指通过FunctionGraph来实现编解码的功能。详细请参考FunctionGraph开发。

示例2 设备ID格式为：${ProductId}_${NodeId}。 表2 鉴权参数 参数 说明 Client ID 固定格式： ${ClientId}|securemode=2,signmethod=hmacsha256|timestamp=${timestamp}| ${ClientId}： 固定格式 ${ProductId}.${NodeId}。 ${NodeId}： 设备标识码。 ${ProductId}：产品ID。 ${timestamp}：Unix时间戳，毫秒。 User Name 由设备标识码和产品ID组成，固定格式： ${NodeId}&${ProductId} Password 以设备密码为密钥，将设备参数与参数值拼接后的字符串为加密串进行hmacsha256算法加密。 加密串格式： clientId${clientId}deviceName${nodeId}productKey${productId}timestamp${timestamp} ${ClientId}： 固定格式 ${ProductId}.${NodeId}。 ${NodeId}： 设备标识码。 ${ProductId}：产品ID。 ${timestamp}：时间戳。 鉴权模板： {"template_name": "template2","description": "template2","template_body": {"parameters": {"iotda::mqtt::client_id": {"type": "String"},"iotda::mqtt::username": {"type": "String"},"iotda::device::secret": {"type": "String"}},"resources": {"device_id": {"Fn::Join": [{"Fn::SplitSelect": ["${iotda::mqtt::username}","&",1]}, "_", {"Fn::SplitSelect": ["${iotda::mqtt::username}","&",0]}]},"timestamp": {"type": "UNIX","value": {"Fn::MathDiv": [{"Fn::ParseLong": {"Fn::SplitSelect": [{"Fn::SplitSelect": ["${iotda::mqtt::client_id}", "|", 2]}, "=", 1]}}, 1000]}},"password": {"Fn::HmacSHA256": [{"Fn::Sub": ["clientId${clientId}deviceName${deviceName}productKey${productKey}timestamp${timestamp}",{"clientId": {"Fn::SplitSelect": ["${iotda::mqtt::client_id}","|",0]},"deviceName": {"Fn::SplitSelect": ["${iotda::mqtt::username}","&",0]},"productKey": {"Fn::SplitSelect": ["${iotda::mqtt::username}","&",1]},"timestamp": {"Fn::SplitSelect": [{"Fn::SplitSelect": ["${iotda::mqtt::client_id}", "|", 2]}, "=", 1]}}]},"${iotda::device::secret}"]}}}}

示例3 设备ID格式为：${productId}${nodeId}。 表3 鉴权参数 参数 说明 Client ID 固定格式： ${productId}${nodeId} ${productId}：产品ID。 ${nodeId}： 设备标识码。 User Name 固定格式： ${productId}${nodeId};12010126;${connid};${expiry} ${productId}： 产品ID。 ${nodeId}： 设备标识码。 ${connid}：一个随机字符串。 ${expiry}：Unix时间戳，单位秒。 Password 固定格式： ${token};hmacsha256 ${token}：以BASE64解码后的设备密码为密钥，对User Name字段进行hmacsha256算法加密后的值。 鉴权模板： {"template_name": "template3","description": "template3","template_body": {"parameters": {"iotda::mqtt::client_id": {"type": "String"},"iotda::mqtt::username": {"type": "String"},"iotda::device::secret": {"type": "String"}},"resources": {"device_id": {"Ref": "iotda::mqtt::client_id"},"timestamp": {"type": "UNIX","value": {"Fn::ParseLong": {"Fn::SplitSelect": ["${iotda::mqtt::username}", ";", 3]}}},"password": {"Fn::Sub": ["${token};hmacsha256",{"token": {"Fn::HmacSHA256": ["${iotda::mqtt::username}",{"Fn::Base64Decode": "${iotda::device::secret}"}]}}]}}}}

在标签管理页面单个删除 访问设备接入服务，单击“管理控制台 ”进入设备接入控制台。 在右上角的用户名下选择“标签管理”，进入标签管理服务页面。 图2 标签管理 在“资源标签”页面，勾选资源所在的区域，“资源类型”请选择“IoTDA-Instance”，单击“搜索”。系统列出所选区域下的所有IoTDA实例资源。 页面下方展示的搜索结果包含“编辑”与“只读”两种状态，单击“编辑”，切换资源标签列表为可编辑状态。单击在弹窗中勾选需要删除的标签的“键”。勾选需要展示的标签键建议不超过10个。 图3 实例标签-标签列表 单击待删除标签的设备接入实例资源所在行的，资源标签删除完成。 图4 实例标签-删除标签