ICS 35.240.40 CCS A 11 团体标准 T/BFIA0162022 商业银行应用程序接口共享平台技术要求 Technical requirements for sharing platform of commercial bank application programming interface 2022-08-16发布 2022-08-16实施 北京金融科技产业联盟 发布 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 T/BFIA 016—2022 目 次 前言 I 范围 2 规范性引用文件 术语和定义 4 缩略语 2 5 概述 3 6 功能架构 3 7 技术要求 安全要求 T/BFIA016—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由北京金融科技产业联盟归口。 本文件起草单位：神州数码信息服务股份有限公司、北京金融科技产业联盟、中国人民银行清算总 中心、中国银联股份有限公司、交通银行股份有限公司、招商银行股份有限公司、广发银行股份有限公 司、中电金信软件有限公司、赞同科技股份有限公司、杭州趣链科技有限公司、恒生电子股份有限公司、 武汉达梦数据库股份有限公司、广州顺德农村商业银行股份有限公司、无锡锡商银行股份有限公司、平 安银行股份有限公司、杭州云链趣链数字科技有限公司、成都虚谷伟业科技有限公司、北京东方通科技 股份有限公司、秦皇岛银行股份有限公司、兰州银行股份有限公司、珠海华润银行股份有限公司。 本文件主要起草人：李敏、史博文、杨宗智、马洪杰、于宏志、沈伟、施媛、潘紫娟、聂丽琴、杨 毅夫、王艺颖、汤洋、向洁敏、方鹤鸣、张美庆、刘慕寒、连宾雄、吴守钰、魏晓云、闵勇博、张璐、 严佳栋、黄海明、张寒、陈金元、付晓东、卢锐、洪旭东、刘洁、姜勇、明玉琢、黄元霞、林静、项海 南、李建庆、王凌云、许泽敏。 II T/BFIA016—2022 商业银行应用程序接口共享平台技术要求 1范围 本文件规定了商业银行应用程序接口共享平台逻辑结构、功能架构、技术要求和安全要求。 本文件适用于商业银行应用程序接口共享平台的建设及应用。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB17859-1999计算机信息系统安全等级保护划分准则 GB/T22239-一2019信息安全技术网络安全等级保护基本要求 GB/T35273一2020信息安全技术个人信息安全规范 JR/T0071.2一2020金融行业网络安全等级保护实施指引 第2部分：基本要求 JR/T 0171—2020 个人金融信息保护技术规范 JR/T0185—2020 商业银行应用程序接口安全管理规范 3术语和定义 下列术语和定义适用于本文件。 3.1 应用程序接口共享平台 sharingplatform of commercialbankapplication programming interface 通过应用程序接口调用的方式，实现后台功能的共享的应用系统。 3.2 网络安全cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 [来源：GB/T22239—2019,3.1] 3.3 开发者developer 应用程序接口共享平台的使用用户，即接口使用方，包括但不限于企业、商户、第三方合作伙伴， 使用该平台对外发布的应用程序接口进行自身应用的开发。 3. 4 用户user 1 T/BFIA016—2022 开发者的应用的使用者。 3.5 应用程序接applicationprogramminginterface 一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注 服务的设计与实现。 [来源：JR/T0185—2020,3.1] 3.6 应用软件开发工具包softwaredevelopmentkit 基于特定的软件包、软件框架、硬件平台、操作系统等建立应用时所使用的软件开发工具集合。 [来源：JR/T0185—2020,3.5] 3.7 移动客户端应用软件mobileclientapplication software 在移动终端上为用户提供服务的应用软件，包括但不限于可执行文件、组件等。 3.8 安全套接层协议 securesocketslayer 一种处于网络层与应用层之间，提供客户端和服务器的鉴别及保密性和完整性服务的协议。 BEI 3. 9 安全传输层协议 transport layer security 用于在两个通信应用程序之间提供保密性和数据完整性。 3.10 每秒查询率 query per second 对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服 务器的机器的性能经常用每秒查询率来衡量。NQNI 4 缩略语 下列缩略语适用于本文件。 API：应用程序接（ApplicationProgrammingInterface） App：应用（Application） DMZ：（网络）隔离区（DemilitarizedZone） HTTPS：超文本传输安全协议（Hypertext Transfer ProtocolSecure） H5：超文本标记语言5.0（HyperTextMarkupLanguage5.0） QPS：每秒查询率（QueryPerSecond） SDK：应用软件开发工具包（SoftwareDevelopmentKit） SSL：安全套接层协议（Secure SocketsSecurity） 2 T/BFIA 016—2022 SFTP：安全文件传送协议（SecretFileTransferProtocol） URL：统一资源定位符（UniformResourceLocator） 5概述 商业银行应用程序接口共享平台是商业银行将自身的服务通过应用程序接口对接的共享方式，提供 给开发者（包括但不限于企业、商户及第三方合作伙伴）而搭建的应用平台。开发者可以使用商业银行 的API或者SDK等方式进行对接，其逻辑结构见图1。 商业银行应用程序接口共享平台的参与方主要包括开发者、商业银行。商业银行通过API直接 连接或者SDK间接连接方式向开发者提供共享服务。商业银行对外提供的API和SDK接口规范应遵循JR/T 0185—2020要求。 开发者向商业银行应用程序接口共享平台发送相关请求，接收返回结果。 商业银行提供应用程序接口，通过商业银行应用程序接口共享平台实现对接，将请求转发至银 行业务系统，将结果返回。商业银行应用程序接口共享平台重点实现对接过程中的基本功能，包含安全 认证、流量控制、故障隔离、报文转换、服务组合等功能。 客户B 客户C 客户A API Client 商业银行应用程序接口共享平台 API接出网关 API接入网关 安全中心 （可选） 核心系统 Y信贷系统 支付系统 图1商业银行应用程序接口共享平台逻辑结构 6功能架构 6.1整体架构 商业银行应用程序接口共享平台功能整体上分为：开发者门户、安全中心、接入网关、接出网关、 文件网关、安全管理、监控管理、参数中心，为更好管理共享平台服务，还宜包括服务治理、服务组合 功能模块，系统功能架构见图2。 3 T/BFIA016—2022 API SDK 负载均衡 API接入网关 API接出网关 文件网关 开发者门户 （见6.2） （见6.3） （见6.4） 工具集 （见6.13） （见6.10） API安全中 参数中心 心 （见6.5） （见6.6） API治理平台 API监控平台 API组合 （见6.7） （见6.8） （见6.9） 融科技足 高速共享缓存 数据库 （见6.11） （见6.12） 图2系统功能架构 6.2API接入网关 API接入网关是商业银行应用程序接口共享平台中核心和基础的运行态功能实现平台。主要包含服 务发现、安全控制、服务路由，根据服务使用方情况，还宜包括协议转换、报文转换、动态发布等技术 集成功能，为API的调度提供安全、稳定、可靠的运行环境。 API接入网关的核心控制就是安全接入，通过用户、应用、系统和服务多维度组合完成系统的安全 和访问权限多维度控制，接入网关要求如下： a）应具备服务熔断与降级的功能； b）交易路由策略应对于不同业务场景分配不同的路由策略，保证网关的高扩展性； 动态发布的能力，使得更新和发布不会影响网关的基本功能，应保证网关的高可用性； (P API接入网关的服务适配宜支持服务路由和报文转换的功能，其中报文转换应该支持动态加载 的功能，便于后台服务系统的服务发布和变更； e）API接入网关宜支持大量API迁移、流量切换功能。 6.3API接出网关 API接出网关为银行内部业务系统提供安全的外联接出服务，实现第三方服务的整合和第三方系统 差异的屏蔽，包括不限于异步交易的结果通知、外部数据查询等业务场景。 API接出网关应具备API接入网关的基本功能，包括服务发布、服务路由、安全控制、为