华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 identity_provider 是 Object 身份提供商信息。 表4 identity_provider 参数 是否必选 参数类型 描述 description 否 String 身份提供商描述信息。 enabled 否 Boolean 身份提供商是否启用，true为启用，false为停用，默认为false。

响应示例 状态码为 200 时: 请求成功。 { "identity_provider": { "remote_ids": [], "enabled": false, "id": "ACME", "sso_type": "iam_user_sso", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 mapping 是 Object 映射信息。 表4 mapping 参数 是否必选 参数类型 描述 rules 是 Array of objects 将联邦用户映射为本地用户的规则列表。 表5 mapping.rules 参数 是否必选 参数类型 描述 local 是 Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote 是 Array of objects 表示联邦用户在IdP中的用户信息。使用SAML协议时，由断言属性及运算符组成的表达式，取值由断言决定。使用OIDC协议时，取值由ID token决定。 表6 mappings.rules.local 参数 是否必选 参数类型 描述 user 否 user object 联邦用户在本系统中的用户名称 group 否 group object 联邦用户在本系统中所属用户组 表7 mappings.rules.local.user 名称 是否必选 类型 描述 name 是 String 联邦用户在本系统中的用户名称 表8 mappings.rules.local.group 名称 是否必选 类型 描述 name 是 String 联邦用户在本系统中所属用户组 表9 mapping.rules.remote 参数 是否必选 参数类型 描述 type 是 String 表示IdP断言中的属性。 any_one_of 否 Array of strings 输入属性值中包含指定值才生效，并返回布尔值，返回值不能用于local块中的占位符。在同一个remote数组元素中，any_one_of与not_any_of互斥，两者至多填写一个，不能同时填写。 not_any_of 否 Array of strings 输入属性值中不包含指定值才生效，并返回布尔值，返回值不能用于local块中的占位符。not_any_of 与any_one_of互斥，两者至多填写一个，不能同时填写。

请求示例 更新映射。 PATCH https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/{id} { "mapping": { "rules": [ { "local": [ { "user": { "name": "LocalUser" } }, { "group": { "name": "LocalGroup" } } ], "remote": [ { "type": "UserName" }, { "type": "orgPersonType", "not_any_of": [ "Contractor", "Guest" ] } ] } ] } }

响应示例 状态码为 200 时: 请求成功。 { "mapping": { "rules": [ { "local": [ { "user": { "name": "LocalUser" } }, { "group": { "name": "LocalGroup" } } ], "remote": [ { "type": "UserName" }, { "type": "orgPersonType", "not_any_of": [ "Contractor", "Guest" ] } ] } ], "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/mappings/ACME" } } }

使用场景 公路隧道中的监控设备种类较多，数量较大，并且隧道内网络环境复杂，网络质量也不稳定。然而，在应急处理时对网络实时性要求较高，因此无法将应急设备间的联动完全依赖于云端规则处理，需要借助端侧规则引擎实现预案联动。在实施时，可以预先针对火灾、交通事故等不同情况制定相应的设备联动预案。监控人员可以根据隧道内发生的情况，一键启动设备预案，通过端侧规则引擎实现多种相关设备同步进行状态变化，从而降低对网络质量的依赖，提高整体设备联动效率。例如，当烟道温度过高时，可以联动排水阀控制器打开排水阀实现降温；当一氧化碳浓度过高时，可以联动covi设备控制风机来通风。

概述 在云端规则中，用户创建的规则的解析及执行均在云端完成，云平台需要判断条件是否满足并触发相应的设备联动操作。端侧规则是指用户在云平台创建的设备联动规则，可以下发到端侧设备，该设备上会运行端侧规则引擎，对云端下发的规则进行解析并执行。端侧规则可以在网络中断或设备无法与云端交互情况下，继续在端侧执行指定规则。端侧规则可以扩展用户应用场景，提升端侧设备运行的稳定性及执行效率等。例如：设置室内光照强度低于20时，打开灯控总开关，自动照明，实现不依赖网络设备的智能控制。 图1 端侧规则架构图 相关背景概念说明可参考基础概念。

LwM2M/CoAP设备命令执行状态说明 命令执行状态以及状态变化机制如下所示。 图4 LwM2M/CoAP命令下发状态 表5 LwM2M/CoAP命令执行状态 命令执行状态 说明 等待（PENDING） LwM2M/CoAP设备采用缓存下发模式下发命令时，如果设备未上报数据，物联网平台会将命令进行缓存，此时任务状态为“等待”状态。 LwM2M/CoAP设备采用立即下发模式下发命令时，无此状态。 超期（EXPIRED） LwM2M/CoAP设备采用缓存下发模式下发命令时，如果在设置的超期时间内，物联网平台未将命令下发给设备，则状态变更为“超期”。超期时间会根据应用侧接口中携带的expireTime为准，如果未携带，默认24h。 LwM2M/CoAP设备采用立即下发模式下发命令时，无此状态。 已发送（SENT） LwM2M/CoAP设备采用缓存下发模式下发命令时，设备上报数据，物联网平台会将缓存的命令发送给设备，此时状态会由“等待”变为“已发送”。 LWM2M/CoAP设备采用立即下发模式下发命令时，如果设备在线，状态为“已发送”。 超时（TIMEOUT） LwM2M/CoAP设备收到命令后，物联网平台在180秒内未收到设备反馈的收到命令响应，此时状态会变为“超时”。 已送达（DELIVERED） 物联网平台收到设备反馈的已收到下发命令响应后，状态变为“已送达”。 成功（SUCCESSFUL） 如果设备在执行完命令后，会给物联网平台反馈命令执行成功的结果，将任务状态变更为“成功”。 失败（FAILED） 如果设备在执行完命令后，会给物联网平台反馈命令执行失败的结果，将任务状态变更为“失败”。 LwM2M/CoAP设备采用立即下发模式下发命令时，如果设备离线，状态为“失败”。

异步命令缓存下发 图3 LwM2M/CoAP命令缓存下发流程 应用调用下发异步设备命令接口，下发请求到物联网平台，携带send_strategy为delay。 物联网平台将命令写入缓存队列，并上报200 OK，携带命令状态为PENDING。 设备上线或设备上报数据到平台。 物联网平台调用编解码插件对命令请求进行编码后，根据协议规范下发命令给设备。 若应用订阅了命令的状态变更通知，物联网平台通过命令状态变化通知接口推送消息给应用，携带命令状态为SENT。 后续流程请参考“命令立即下发”的步骤4到步骤7。

异步命令立即下发 图2 LwM2M/CoAP命令下发流程 按照上述使用流程，进行对应步骤的示例如下： 应用调用下发异步设备命令接口，下发请求到物联网平台，携带send_strategy为immediately。消息样例如下： POST https://{endpoint}/v5/iot/{project_id}/devices/{device_id}/async-commands Content-Type: application/json X-Auth-Token: ******** { "service_id" : "WaterMeter", "command_name" : "ON_OFF", "paras" : { "value" : "ON" }, "expire_time": 0, "send_strategy": "immediately" } 物联网平台调用编解码插件对命令请求进行编码后，会通过LwM2M协议定义的设备管理和服务实现接口的Execute操作下发命令，消息体为二进制格式。 物联网平台向应用返回200 OK，携带命令状态为SENT。（如果设备不在线或者设备没收到指令则下发失败，命令状态为FAILED） 设备收到命令后返回ACK响应。 若应用订阅了命令的状态变更通知，物联网平台通过命令状态更新通知接口推送消息给应用，携带命令状态为DELIVERED。消息样例如下： Method: POST request: Body: { "resource": "device.commmad.status", "event": "update", "event_time": "20200811T080745Z", "notify_data": { "header": { "app_id": "8d4a34e5363a49bfa809c6bd788e6ffa", "device_id": "5f111a5a29c62ac7edc88828_test0001", "node_id": "test0001", "product_id": "5f111a5a29c62ac7edc88828", "gateway_id": "5f111a5a29c62ac7edc88828_test0001", "tags": [] }, "body": { "command_id": "49ca40af-7e14-4f7b-b97b-78cdd347a6b9", "created_time": "20200811T080738Z", "sent_time": "20200811T080738Z", "delivered_time": "20200811T080745Z", "response_time": "", "status": "DELIVERED", "result": null } } } 设备执行命令后通过205 Content响应返回命令执行结果。 若应用订阅了命令的状态变更通知，物联网平台会调用编解码插件对设备响应进行解码，然后通过命令状态更新通知接口推送消息给应用，携带命令状态为SUCCESSFUL。消息样例如下： Method: POST request: Body: { "resource": "device.commmad.status", "event": "update", "event_time": "20200811T080745Z", "notify_data": { "header": { "app_id": "8d4a34e5363a49bfa809c6bd788e6ffa", "device_id": "5f111a5a29c62ac7edc88828_test0001", "node_id": "test0001", "product_id": "5f111a5a29c62ac7edc88828", "gateway_id": "5f111a5a29c62ac7edc88828_test0001", "tags": [] }, "body": { "command_id": "49ca40af-7e14-4f7b-b97b-78cdd347a6b9", "created_time": "20200811T080738Z", "sent_time": "20200811T080738Z", "delivered_time": "20200811T080745Z", "response_time": "20200811T081745Z", "status": "SUCCESSFUL", "result": { "resultCode":"SUCCESSFUL", "resultDetail": { "value": "ON" } } } } }

异步命令下发概述 异步命令下发主要用于LwM2M/CoAP设备接入物联网平台，平台或应用侧可通过以下方式进行命令下发： 表4 异步命令下发 类型 描述 适用场景 使用流程 异步命令立即下发 不管设备是否在线，平台收到命令后立即下发给设备。如果设备不在线或者设备没收到指令则下发失败。 适用于实时性要求高的场景。 异步命令立即下发 异步命令缓存下发 物联网平台在收到命令后先缓存，等设备上线或者设备上报属性时再下发给设备，如果单个设备存在多条缓存命令，则进行排队串行下发。 适合对命令实时性要求不高的场景，比如配置水表的参数。 异步命令缓存下发

同步命令下发概述 同步命令下发主要用于MQTT设备，分为单个MQTT设备同步命令下发与批量MQTT设备同步命令下发。 表2 同步命令下发 类型 描述 适用场景 使用示例 单个MQTT设备命令下发 平台向单个设备下发设备控制命令。 对单个设备进行下发设备控制命令。 单个MQTT设备同步命令下发 批量MQTT设备命令下发 平台向多个设备下发设备控制命令。可创建批量处理任务，对多个设备进行批量操作 对多个设备进行批量下发设备控制命令。 批量MQTT设备同步命令下发

单个MQTT设备同步命令下发 属性设置和属性查询分别参考查询设备属性和修改设备属性接口。 图1 命令下发流程图 应用调用下发设备命令接口，下发请求到物联网平台，命令下发消息样例如下： POST https://{Endpoint}/v5/iot/{project_id}/devices/{device_id}/commands Content-Type: application/json X-Auth-Token: ******** { "service_id" : "WaterMeter", "command_name" : "ON_OFF", "paras" : { "value" : "ON" } } 物联网平台根据协议规范下发命令给设备。 MQTT设备使用平台命令下发下行接口对应的Topic用来接收平台下发的命令，消息样例如下： Topic: $oc/devices/{device_id}/sys/commands/request_id={request_id} 数据格式： { "object_device_id": "{object_device_id}", "command_name": "ON_OFF", "service_id": "WaterMeter", "paras": { "value": "ON" } } 设备执行命令后通过平台命令下发上行接口返回命令执行结果，消息样例如下： Topic：$oc/devices/{device_id}/sys/commands/response/request_id={request_id} 数据格式： { "result_code": 0, "response_name": "COMMAND_RESPONSE", "paras": { "result": "success" } } 应用侧收到发送HTTP下发命令的同步响应结果。消息样例如下： Status Code: 200 OK Content-Type: application/json { "command_id" : "b1224afb-e9f0-4916-8220-b6bab568e888", "response" : { "result_code" : 0, "response_name" : "COMMAND_RESPONSE", "paras" : { "result" : "success" } } }

概述 为能有效地对设备进行管理，设备的产品模型中定义了物联网平台可向设备下发的命令，应用服务器可以调用物联网平台应用侧API接口向设备下发命令，以实现对设备的远程控制。 物联网平台有同步命令下发和异步命令下发两种命令下发机制，如下表所示。 表1 命令下发概述 命令下发机制 定义 适用场景 LwM2M/CoAP协议设备 MQTT协议设备 同步命令下发 应用服务器可调用同步命令下发接口向指定设备下发命令，以实现对设备的同步控制。平台负责将命令以同步方式发送给设备，并将设备执行命令结果在HTTP请求中同步返回, 如果设备没有响应，平台会返回给应用服务器超时。 同步命令下发适合对命令实时性有要求的场景，比如路灯开关灯，燃气表开关阀。使用同步命令下发时，命令下发的时机需要由应用服务器来保证。 不适用 适用 异步命令下发 应用服务器可调用异步命令下发接口向指定设备下发命令，以实现对设备的控制。平台负责将命令发送给设备，并将命令执行结果异步推送给应用。 异步命令下发又分为缓存下发和立即下发。 立即下发：不管设备是否在线，平台收到命令后立即下发给设备。如果设备不在线或者设备没收到指令则下发失败。 缓存下发：物联网平台在收到命令后先缓存，等设备上线或者设备上报属性时再下发给设备，如果单个设备存在多条缓存命令，则进行排队串行下发。 立即命令下发适用于实时性要求高的场景； 缓存下发适合对命令实时性要求不高的场景，比如配置水表的参数。 适用 不适用 具体使用流程请见：同步命令下发、异步命令下发。

批量MQTT设备同步命令下发 平台支持通过调用创建批量任务接口，对多个MQTT协议设备下发同步命令。下面介绍如何调用创建批量任务下发批量命令。 应用调用创建批量任务接口，下发请求到物联网平台，下发消息样例如下。 POST https://{Endpoint}/v5/iot/{project_id}/batchtasks Content-Type: application/json X-Auth-Token: ******** { "app_id": "84fb64e43c5f4c6cbec339e52449bcea", "task_name": "task123", "task_type": "createCommands", "targets": [ "5f2bc9b961e7670469c5ef6d_1997930"， "5f2bc9b961e7670469c5ef6d_1997931" ], "document": { "service_id": "water", "command_name": "ON_OFF", "paras": { "value": "ON" } } } 表3 命令下发创建批量任务参数表 参数 是否必选 描述 app_id 否 资源空间ID。 task_name 是 任务名（自定义）。 task_type 是 批量任务类型。具体可见创建批量任务，命令下发中取值有： createCommands-批量创建同步命令任务 createAsyncCommands-批量创建异步命令任务 targets 否 设备ID数组，执行批量任务的目标。 document 否 命令相关参数，执行任务数据文档，Json格式，Json里面是(K,V)键值对。参考设备同步命令 物联网平台向应用返回“201 Created”。 设备订阅下行topic接收命令，并通过上行topic向平台响应命令结果，参考平台命令下发。 通过调用查询批量任务列表接口查询批量命令下发任务执行情况。

证书资源 当设备和应用需要对IoT平台进行校验时可使用以下证书。 此证书文件只适用于华为云物联网平台，且必须配合对应域名使用。 CA 证书具有一个过期日期，在该日期后，这些证书将无法用于验证服务器的证书；请在 CA 证书的过期日期前替换这些证书，以确保设备可以正常的连接到IoT平台。 表3 证书资源 证书包名称 region&版本 证书类型 证书格式 说明 下载 certificate 北京四基础版 设备侧证书 pem、jks、bks 用于设备校验平台的身份。该证书必须配合当前设备侧接入域名使用。 注：之前的老域名(iot-acc.cn-north-4.myhuaweicloud.com)必须要配合老证书使用。 证书文件 certificate 北京四、上海一和广州标准版 设备侧证书 pem、jks、bks 用于设备校验平台的身份。该证书必须配合当前设备侧接入域名使用。 证书文件 certificate 北京四 应用侧证书 pem 用于订阅推送场景，应用侧校验平台的身份。 证书文件 certificate（设备发放） 通用 设备侧证书 pem、jks、bks 用于设备校验平台（设备发放）的身份。该证书必须配合设备发放使用。 证书文件 certificate 中国-香港、亚太-新加坡、亚太-曼谷、非洲-约翰内斯堡 设备侧证书 pem、jks、bks 用于设备校验平台的身份。该证书必须配合当前设备侧接入域名使用。 证书文件

第三方协议 第三方协议由生态伙伴基于华为云IoT泛协议设备端SDK开发。需至云市场单独购买协议解析插件，加载到设备侧网关，再结合IoTDA共同使用。通过网关来完成协议转换，将第三方协议转成MQTT协议，从而实现泛协议接入华为物联网平台。原理请见：说明文档。 支持方式：IoTDA + 生态协议插件，协议解析插件需通过云市场购买。 表2 第三方协议 使用场景 协议 协议描述 云市场 消防 JB-3208 火灾报警控制器协议 是一种为防火保护系统设计的智能报警控制器。它采用8路独立控制，可通过网络连接到多台控制器，可同时控制多台控制器，以实现跨区域的报警控制、系统状态查询及系统自检等功能。 链接 GB26875消防监测系统协议 是一种城市消防远程监控系统通讯协议，可全天候远程实现火灾报警联动、消防设施状态监测。 链接 报警主机协议 用于报警监控防火设备。可实现实时监控报警主机的状态信息、报警信息，并提供操作相关设备。可快速接入报警主机，将主机下各类传感器的信息及时传输上报。 链接 城市建设 智慧灯杆(路灯)协议 是一种智慧灯杆(路灯)协议插件，可以提供智能灯杆屏：远程管理，多屏同步，自动亮度和定时亮度，天气信息显示，远程断电，集群管理，AI智能审核等能力。 链接 管理 会议室管理系统协议 是一种可扩展的音视频解决方案，用于视频会议，可以有效提高员工参与度，帮助客户实现更佳的会议效果。 链接 DCIM能耗管理系统标准协议 是一种用于数据中心基础设施管理系统的协议，适用于微/小型数据中心、中大型数据中心、室外预制化数据中心。 链接 SNMP标准协议 SNMP是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。该协议可以使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。 链接 门禁 门禁协议 适用于小区入口门禁。采用人脸门禁系统，利用相关数据实现数字化安全管理，具备人员防夹、防尾随功能。 链接 AI门禁协议 用于自助闸机，可以实现现场采集信息与本地信息库进行黑/白名单的身份查验的功能，具有高安全性、高稳定性、高效率等特点。 链接 人脸门禁协议 用于门禁考勤，是一款可脱机或联网的人脸门禁考勤产品，支持刷卡四种验证方式，支持TCP/IP、U盘两种通信方式。 链接 环境监测 环境监测协议 可用于环境监测，监测设备是否出现故障，可以实现实时、远程、自动监测颗粒物浓度以及现场数据通过网络传输。 链接 环境监测与智慧路灯协议 这是一个用于对接环境监测以及智慧路灯系统的协议插件，插件中对接了智慧路灯的包括了智能照明、环境监测、视频监控、LED屏幕控制、广播任务发布等。实现了智能照明、绿色能源、智能安防、互通互联。 链接 视频监控 IVS协议 IVS监控是一款智能视频监控系统，可用于安防、交通、公共安全等领域。它具有高清图像、智能分析、实时响应等特点，能够帮助用户快速、准确地捕捉、分析现场信息。 链接 云平台协议 为用户提供视频监控服务的云端平台。它支持多种类型的视频监控设备，包括摄像机、网络摄像机、枪机、半球机等，可以通过云端平台进行远程监控和管理。 链接 DVR摄像头协议 用于实现图像的多画面显示，一般用于监看多个来自摄像头的画面录像功能。该插件主要完成视频信号的数字化和存储，通过矩阵切换模拟视频上电视墙显示，可以达到很好的图像效果。 链接 停车场 智慧停车场协议 为停车场提供围绕智慧停车业务的智能硬件、软件及云服务、智慧停车运营、城市级停车，实现智慧停车领域的全生态覆盖。 链接 充电桩协议 是一种充电桩协议插件，可以用于解决停车场景和充电场景的车场及车主需求，同时为管理方提供可持续性增益的运营办法。 链接 宣传 公共广播系统协议 是一种公共广播协议插件，可以用于帮助用户实现专业的广播播出和营销活动。通过移动网络或宽带网络，将节目、音乐、图片、视频等内容以公共广播的方式发送到指定的客户机。 链接 智慧云屏协议 用于商场屏幕投屏。该协议采用了云端管理的方式，使得用户可以随时随地更新显示内容，能够实时展示信息，并支持互动，提高显示效率。 链接 其他 科技汽车在线平台协议 用于汽车在线平台24小时实时定位。在使用汽车在线定位平台查看车辆的时候，平台上显示是实时定位信息，可用于个人及单位查找车辆。 链接 大屏协议 适用于多种终端设备与会议一体机智能互联可用于多场景进行如：智慧城市 云+端，行业指挥中心，新商业显示，智慧会议显示终端等。 链接

设备接入协议 华为云物联网平台支持多种接入方式和接入协议，满足各类设备和接入场景要求。请根据设备类型，选择合适方式接入到平台。 表1 协议清单 类型 子类型 协议编码 版本 适用场景 指导链接 通用协议 直连云端 MQTT/MQTTS 5.0 3.1.1 3.1 协议描述：MQTT是基于TCP/IP协议的一种轻量级的发布、订阅信息传输协议，特点报文紧凑、轻量可靠、支持QoS等。 应用场景：为物联网行业推荐协议之一，广泛应用于智能硬件、车联网、能源、电力等场景。 支持方式：IoTDA原生支持。 使用指导 CoAP - 协议描述：CoAP（Constrained Application Protocol）是一种在物联网世界的类web协议，使用了请求/响应交互模型。协议设计精炼， 采用 UDP 协议进行数据传输，适用在资源受限的低功耗设备上，尤其是NB-IoT的设备使用。应用场景：在水表、电表等资源受限的低功耗设备上应用广泛。 支持方式：IoTDA原生支持。 使用指导 LwM2M 1.1 协议描述：LwM2M是建立在COAP上层的应用层协议。 应用场景：在水表、电表等资源受限的低功耗设备上应用广泛。 支持方式：IoTDA原生支持。 HTTPS 1.0 1.1 协议描述：HTTP协议超文本传输协议，基于请求/响应模型进行数据传输。 应用场景：适用于对设备硬件和网络带宽充裕的场景。 支持方式：IoTDA原生支持。 使用指导 网关接入 Modbus - 协议描述：Modbus协议是一项应用层报文传输协议，包括ASCII、RTU、TCP三种报文类型。通过此协议，控制器相互之间、控制器经由网络（例如以太网）和其它设备之间可以通信。 应用场景：在工业领域应用广泛。 支持方式：IoTEdge+IoTDA。 - OPC-UA - 协议描述：全称为OPC Unified Architecture（OPC统一架构），是一项开源的、独立于平台的标准协议；通过此协议，使用不同系统的设备可以通过网络在客户端和服务器之间发送消息进行通信。 应用场景：适用于现场设备，控制系统，制造执行系统和企业资源规划系统等应用领域的制造软件。 支持方式：IoTEdge+IoTDA。 使用指导 OPC-DA - 协议描述：OPC-DA对比OPC-UA, OPC-UA更适用于远程访问，OPC-DA适用于单系统数据访问。OPC-DA为实时数据访问规范,定义了包括数据值，更新时间与数据品质信息的相关标准。 应用场景：适用于多个供应商设备和控制应用程序之间实现数据交换。 支持方式：IoTEdge+IoTDA。 - Onvif - 协议描述：Onvif协议是安防监控设备的通用协议。涵盖了设备发现、设备配置、事件、PTZ控制、视频分析和实时流媒体直播功能，以及搜索，回放和录像录音管理功能。 应用场景：安防监控，用于录像机和摄像机。 支持方式：IoTEdge+IoTDA。 使用指导 GB28181 2016版 协议描述：国家标准GB/T 28181—2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》,是视频监控领域的国家标准。 应用场景：视频联网传输和设备控制。 支持方式：IoTEdge+IoTDA。 - LoRa - 协议描述：LoRa是基于Semtech公司开发的一种低功耗局域网无线标准，解决了在同样的功耗条件下比其他无线方式传播的距离更远的技术问题，实现了低功耗和远距离的统一。 应用场景：主要在智慧城市、智慧建筑、智能家居、智能农业、无线工业等各个领域。 支持方式：IoTDA+协议转换网关（网关请前往云市场购买）。 云市场链接 行业协议 交通 JT/T 808 - 协议描述：《道路运输车辆卫星定位系统终端通信协议及数据格式》，主要用于“两客一危”车辆。 应用场景：交通行业应用。 支持方式：IoTDA原生支持，需要加载协议镜像，详情见使用指导。 - 水务 SL651 - 协议描述：《水文监测数据通信规约》，水文监测等设备需要遵循该规范。 应用场景：水文监测。 支持方式：IoTDA原生支持，需要加载协议镜像，详情见使用指导。 - 环境 HJ212 - 协议描述：《污染物在线监控（监测）系统数据传输标准》环保行业中使用的数据传输标准协议。 应用场景：环保行业。 支持方式：IoTDA原生支持，需要加载协议镜像，详情见使用指导。 - 电力 IEC104 - 全称为Telecontrol equipment and systems - Part 5-104, 是一种电力规约协议，是电力行业的国际标准。 应用场景：电力、城市轨道交通。 支持方式：IoTDA+生态协议插件 （插件请前往云市场购买）。 云市场链接 GB3761 - 协议描述：是一种国标电表协议插件，采用新型的数据采集技术，将电能表的实时工况数据转换成电信号，提供给计量系统，并能进行电能的实时记录、统计、抄表和结算等。 应用场景：电表。 支持方式：IoTDA+生态协议插件 （插件请前往云市场购买）。 云市场链接 其他协议 - TCP私有协议 - 厂商内部发展和采用的标准。私有协议具有灵活性，它往往会在某个公司或者组织内部使用，按需定制，升级方便，灵活性好。具体实现需要客户手动部署。 第三方协议 - 适用于具体的场景。第三方协议由生态伙伴基于华为云IoT泛协议SDK开发，需至云市场单独购买协议解析插件，结合IoTDA共同使用。 表2 第三方协议

使用说明 图2 设备消息上报操作流程 创建产品与设备：创建产品流程、创建设备流程。 设备鉴权：平台验证设备是否具有接入权限。 设备消息上报：设备通过MQTT/HTTPS等协议发送消息数据。 按照不同的设备协议，调用的接口不一样，下面分别介绍MQTT、HTTPS协议消息上报的样例： MQTT：通过消息上报接口MQTT协议消息上报、使用MQTT.fx调测上报数据到物联网平台。 MQTT消息上报Topic样例如下： $oc/devices/{device_id}/sys/messages/up MQTT消息上报数据格式样例如下： { "content": {"hello":"123"} } HTTPS：通过消息上报接口HTTP协议消息上报上报数据到物联网平台，其中access_token获取参考：HTTPS设备鉴权。HTTPS消息上报样例如下： POST https://{endpoint}/v5/devices/{device_id}/sys/messages/up Content-Type: application/json access_token: d144a524-1997-4b99-94bf-f27128da8a34 { "name": "name", "id": "id", "content": "messageUp" } 协议接口详情请参考：MQTT协议消息上报、HTTP协议消息上报。 数据转发：可以通过数据流转功能转发到应用侧或华为云其他云服务上进行进一步处理。

昇腾云服务6.3.T041版本说明 昇腾云服务6.3.T041版本发布支持的软件包和能力如下。 发布包 软件包特性说明 镜像配套说明 对应操作指导 昇腾云模型代码 包名：AscendCloud-3rdLLM-6.3.T041-20240424144057.zip 包含大语言模型，具体如下： 1.Qwen-7b 2.Qwen-14b 3.Qwen-72b 4.Llama2-7b 5.Llama2-13b 6.Llama2-70b 7.GLM3-6b 配套CANN7.0的商发基础镜像，地址： swr.cn-southwest-2.myhuaweicloud.com/atelier/pytorch_2_1_ascend:pytorch_2.1.0-cann_7.0.1.1-py_3.9-euler_2.10.7-aarch64-snt9b-20240411153110-ca68771 无 包名：ascendcloud-aigc-6.3.T041-20240425172135.tar.gz 包含AIGC模型，具体如下： 1.SD 1.5 2.SD XL 配套CANN8.0.RC1镜像，见基础镜像Beta包： mindspore_2.3.0-cann_8.0.rc1-py_3.9-euler_2.10.7-aarch64-snt9b-20240422202644-39b975b.tar.partxx 无 基础镜像Beta包 包含模型代码运行的基础镜像，具体如下： mindspore_2.3.0-cann_8.0.rc1-py_3.9-euler_2.10.7-aarch64-snt9b-20240422202644-39b975b.tar.partxx 此基础镜像是非商发版本，仅适配了SD1.5和SD XL模型，后续用CANN8.0.RC1的商发版本收编 镜像为分卷压缩，需要合并后使用 临时镜像（生态伙伴用） 包含SD 1.5自研模型，代码以及镜像 anime_vid2vid_code_split.tar.gzxx 此镜像仅提供给伙伴使用。 镜像为分卷压缩，需要合并后使用 昇腾云服务6.3.T041版本目前仅适用于部分企业客户，如需使用请联系您所在企业的华为方技术支持。 父主题： 产品发布说明

支持的特性 表1 本版本支持的特性说明 分类 软件包特性说明 参考文档 三方大模型，包名：AscendCloud-3rdLLM 支持如下模型适配PyTorch-NPU的训练。 llama2-7b llama2-13b llama2-70b qwen-7b qwen-14b qwen-72b baichuan2-13b chatglm3-6b llama3-8b llama3-70b yi-6B yi-34B qwen1.5-7B qwen1.5-14B qwen1.5-32B qwen1.5-72B 无 支持如下模型适配PyTorch-NPU的推理。 llama-7B llama-13b llama-65b llama2-7b llama2-13b llama2-70b llama3-8b llama3-70b yi-6b yi-9b yi-34b deepseek-llm-7b deepseek-llm-67b qwen-7b qwen-14b qwen-72b qwen1.5-0.5b qwen1.5-7b qwen1.5-1.8b qwen1.5-14b qwen1.5-32b qwen1.5-72b qwen1.5-110b baichuan2-7b chatglm2-6b chatglm3-6b mistral-7b 支持如下推理特性： 1. llama 系列推理支持bf16数据类型 2. llama 系列推理支持w8a8、w4a16量化 3. 支持MoE-mixtral 8*7B 推理 4. vllm推理框架支持prefix caching 无 算子，包名：AscendCloud-OPP 提供配套的推理量化算子 无

配套的基础镜像 镜像地址 新增主要特性 获取方式 配套关系 PyTorch： 西南-贵阳一 swr.cn-southwest-2.myhuaweicloud.com/atelier/pytorch_2_1_ascend:pytorch_2.1.0-cann_8.0.rc2-py_3.9-hce_2.0.2312-aarch64-snt9b-20240606190017-b881580 MindSpore Lite框架支持SD1.5动态LoRA融合 MindSpore Lite框架支持5d输入onnx模型进行动态分档转换 镜像发布到SWR，从SWR拉取 cann_8.0.rc2 pytorch_2.1.0 hce_2.0 MindSpore 2.3.0 FrameworkPTAdapter6.0.RC2

背景信息 在购买AstroCanvas后，如果发现当前规格套餐无法满足业务需求，您可以变更套餐规格。当需要变更到高规格套餐时，需补齐版本差价，剩余服务周期按照剩余天数（不含闰年的2.29号）/365 进行计算（变更当天不算） ，续费时按照变更后的版本进行续费。 升级版本费用 = 升级后版本价格 * 剩余周期 - 未升级版本价格 * 剩余周期 剩余周期计算：按照实际剩余有效期进行换算 示例：2023/11/1客户购买了3年的AstroCanvas套餐，有效期截止到2026/11/1，客户在2024/5/1发生变更版本，则剩余周期=2024年剩余周期+2025年剩余周期+2026年剩余周期=244/365+1+305/365=2.50（年）。

步骤一：购买ECS 购买用于采集数据的弹性云服务器，详细操作请参见购买ECS。 数据采集的Agent目前仅支持运行在Linux系统x86_64架构的ECS主机上。ECS主机支持以下操作系统类型：Huawei Cloud EulerOS 2.5、Huawei Cloud EulerOS 2.9、EulerOS 2.5、EulerOS 2.9、CentOS 7.9。 购买时，需注意操作系统和版本的选择。 图1 选择操作系统版本 ECS购买后，系统将根据使用情况进行收费，具体收费情况请参见ECS计费说明。 后续如果不再使用数据采集功能，需要手动释放用于采集数据的ECS资源，详细操作请参见如何释放ECS和VPC终端节点资源？。

剧本说明 攻击者攻击域名成功之后会对后端服务器进行攻击，因此针对此链路攻击的路径，安全云脑提供了攻击链路分析告警通知剧本。当攻击者通过层层攻击到主机之后，进行告警，通知运营人员进行处置。 “攻击链路分析告警通知”剧本已匹配“攻击链路分析告警通知”流程，该流程需要使用消息通知服务（Simple Message Notification，SMN）来创建安全云脑告警通知主题，并完成订阅即可接收到告警通知。 “攻击链路分析告警通知”流程是通过资产关联，查询对应HSS告警影响资产所关联的网站资产列表，流程预置默认查询最多3条网站资产。 如果有关联网站资产，则每条网站资产查询3小时前到现在这个时间段内对应的WAF告警数据（告警类型为XSS、SQL注入、命令注入、本地文件包含、远程文件包含、Webshell、漏洞攻击），同样的，最多查询3条告警数据。 如果有对应WAF告警，则将WAF告警数据与本条HSS告警数据进行关联，并通过消息通知服务（Simple Message Notification，SMN）通知到邮箱。 图1 攻击链路分析告警通知流程

使用须知 安全舆情监测提供按需计费模式，根据报告份数（一份报告仅包含一个监测主题）按次进行收费。 安全舆情监测提供有专报、月报和年包三种类型的报告供您选择。 专报：根据具体事件的实际发生时间自动配置，购买后5个工作日内提供1份报告。 月报：监测周期为自定义设置的1个月。在监测周期结束后，7个工作日内提供1份报告。 年包：监测周期为自定义设置的1年。每月监测任务结束后，7个工作日内提供1份月报，一年的监测任务结束后，15个工作日内提供1份年报。

操作场景 云服务委托可将相关云服务的操作权限委托给安全云脑，让安全云脑以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 当您首次使用安全云脑时，需要先进行委托授权，才能正常访问。具体待委托权限如下所示： 表1 委托权限 权限 权限描述 授权主体 权限用途 ECS FullAccess 弹性云服务器所有权限 SecMaster_Agency 用于安全组阻断、更新安全组的剧本的执行、查询ECS资产等信息 WAF FullAccess Web应用防火墙管理员 SecMaster_Agency 用于WAF阻断、WAF地址组关联策略配置和在基线检查功能中检查WAF网站防护信息 SecMaster FullAccess 安全云脑管理员 SecMaster_Agency 用于执行告警处置等操作 HSS FullAccess 主机安全服务的所有权限 SecMaster_Agency 用于漏洞管理、主机隔离等相关剧本的执行和在基线检查功能中获取主机安全服务状态 EPS ReadOnlyAccess 企业项目管理服务只读权限 SecMaster_Agency 用于WAF相关剧本流程的执行 ECS ReadOnlyAccess 弹性云服务器的只读访问权限 SecMaster_Agency 用于订购时查询ECS数量和在基线检查功能中获取ECS安全配置信息 Anti-DDoS ReadOnlyAccess Anti-DDoS流量清洗服务只读权限 SecMaster_Agency 用于在基线功能中获取用户DDoS资产信息 IAM ReadOnlyAccess 统一身份认证服务的只读权限 SecMaster_Agency 用于剧本流程执行中获取凭证信息 WAF Administrator Web应用防火墙服务（WAF）管理员，拥有该服务下的所有权限 SecMaster_Agency 用于WAF相关剧本流程的执行 SMN FullAccess 拥有消息通知服务的所有权限 SecMaster_Agency 用于通知类剧本的执行 RDS ReadOnlyAccess 关系型数据库服务资源只读权限 SecMaster_Agency 用于资产连接相关剧本的执行 EIP ReadOnlyAccess EIP服务只读权限 SecMaster_Agency 用于资产连接类剧本的执行和在基线检查功能中获取EIP配置信息 Tenant Guest 全部云服务只读权限(除IAM权限) SecMaster_Agency 用于剧本中HTTP插件的执行 NAT ReadOnlyAccess NAT网关服务只读权限 SecMaster_Agency 用于资产管理获取NAT信息 VPC FullAccess 虚拟私有云所有权限 SecMaster_Agency 用于资产连接类剧本以及隔离类流程的执行，和在基线检查功能中获取租户VPC资产信息 OBS OperateAccess 具有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SecMaster_Agency 用于告警剧本的执行和在基线检查功能中获取租户OBS资产信息 ELB ReadOnlyAccess 弹性负载均衡服务只读权限 SecMaster_Agency 用于在基线检查功能中获取租户ELB资产信息 CFW FullAccess 云防火墙所有权限 SecMaster_Agency 用于止血类剧本的执行 RMS ReadOnlyAccess 资源管理服务只读权限 SecMaster_Agency 用于关键运维操作通知剧本使用

约束与限制 HSS各版本支持的漏洞处理操作请参见支持扫描和修复的漏洞类型。 CentOS 6和CentOS 8官方已停止维护，HSS使用Red Hat的补丁公告替代扫描，因此这两个操作系统的漏洞无法修复，建议您切换为正在维护的操作系统。 Ubuntu 18.04及以下版本目前已不支持免费补丁更新，需要购买配置Ubuntu Pro后才能安装升级包，未配置Ubuntu Pro会导致漏洞修复失败。 CCE、MRS、BMS的主机不能修复内核漏洞，贸然修复可能导致功能不可用。 CCE主机的内核漏洞不支持自动修复，主机安全服务在执行批量自动修复漏洞任务时会自动过滤不修复这类漏洞。 处理漏洞时需保证目标服务器的“服务器状态”为“运行中”、“Agent状态”为“在线”、“防护状态”为“防护中”。

修复验证 漏洞修复后，建议您立即进行验证。 表3 修复验证 验证方式 操作方法 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 CentOS/Fedora /Euler/Redhat/Oracle操作系统：rpm -qa | grep 软件名称 Debian/Ubuntu操作系统：dpkg -l | grep 软件名称 Gentoo操作系统：emerge --search 软件名称 在HSS中进行手动执行漏洞检测，查看漏洞修复结果。 自动验证 如果您未进行手动验证，HSS每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

手动修复系统软件漏洞 对于Web-CMS漏洞、应用漏洞，不支持一键自动修复，您可以参考漏洞详情页面的修复建议，登录服务器手动修复。 漏洞修复命令 进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见表2。 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 如果同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 表2 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称 --only-upgrade Gentoo 请参见漏洞修复建议。 漏洞修复方案 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 为需要修复漏洞的ECS主机创建镜像，详细操作请参见通过云服务器创建整机镜像。 使用该镜像创建新的ECS主机，详细操作请参见通过镜像创建云服务器。 在新启动的主机上执行漏洞修复并验证修复结果。 确认修复完成之后将业务切换到新主机。 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 为需要修复漏洞的ECS主机创建备份，详细操作请参见创建云服务器备份。 在当前主机上直接进行漏洞修复。 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态，详细操作请参见使用备份恢复服务器。 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。