内容简介
ICS 35.240.01 4101 CCS L 67
郑
州 市 地 方 标 准
DB4101/T 105—2024
政务数据市场化运营服务接口规范
2024 - 08 - 16 发布
2024 - 11 - 16 实施
郑州市市场监督管理局 发 布
DB4101/T 105—2024
目
次
前
言 ........................................................................... III
1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 术语和定义 ........................................................................... 1
4 缩略语 ............................................................................... 1
5 基本原则 ............................................................................. 1
6 接口组成 ............................................................................. 2
7 接口描述 ............................................................................. 2
7.1 数据协议 ......................................................................... 2
7.2 接口名称 ......................................................................... 2
7.3 版本号 ........................................................................... 2
7.4 接口访问地址 ..................................................................... 3
7.5 功能描述 ......................................................................... 3
8 请求参数 ............................................................................. 3
8.1 消息头 ........................................................................... 3
8.2 请求数据体 ....................................................................... 3
8.3 公共参数 ......................................................................... 3
9 响应参数 ............................................................................. 3
9.1 响应码 ........................................................................... 3
9.2 响应数据 ......................................................................... 4
9.3 响应数据签名 ..................................................................... 4
10 接口管理 ............................................................................ 4
10.1 接口注册 ........................................................................ 4
10.2 接口变更 ........................................................................ 4
10.3 接口交付 ........................................................................ 4
10.4 接口调用 ........................................................................ 4
10.5 接口下线 ........................................................................ 5
11 安全保障要求 ........................................................................ 5
11.1 基本要求 ........................................................................ 5
11.2 运行监测 ........................................................................ 5
11.3 管理制度 ........................................................................ 5
附
录 A (资料性) 接口信息表 ................................................... 7
A.1 概述 ............................................................................. 7
附
录 B (资料性) 响应码示例 ................................................... 8
B.1 公共响应码 ....................................................................... 8
I
DB4101/T 105—2024
B.2 业务响应码 ....................................................................... 8
附
录 C (资料性) 接口注册备案表 ............................................... 9
C.1 接口注册备案表 ................................................................... 9
附
录 D (资料性) 接口使用备案表 .............................................. 10
D.1 接口使用信息表 .................................................................. 10
附
录 E (资料性) 接口下线备案表 .............................................. 11
E.1 接口下线备案表 .................................................................. 11
参
考 文 献 ........................................................................ 12
II
DB4101/T 105—2024
前
言
本文件按照GB/T 1.1—2020《标准化工作导则
起草。
第1部分:标准化文件的结构和起草规则》的规定
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中共郑州市委智慧城市运行办公室提出。
本文件由郑州市大数据标准化技术委员会(ZZTC12)归口。
本文件起草单位:郑州大数据发展有限公司、郑州市大数据中心。
本文件主要起草人:尹旭、樊帆、魏红格、苏文杰、孟旭、李鑫均、杨耀环、徐晓强、常蔓文、张
艳荣、刘文星、周昂达、杨泽尧、刘玉婷、张研硕。
III
DB4101/T 105—2024
政务数据市场化运营服务接口规范
1
范围
本文件规定了政务数据市场化运营服务接口的基本原则、接口组成、接口描述、请求参数、响应参
数、接口管理和安全保障等要求。
本文件适用于政务数据市场化运营服务。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T
38664.2 信息技术 大数据 政务数据开发共享 第2部分:基本要求
GB/T
41479 信息安全技术 网络数据处理安全要求
3
术语和定义
下列术语和定义适用于本文件。
3.1
政务数据
各级政务部门以及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。
[来源:GB/T 38664.1—2020,3.1]
3.2
[服务]接口
信息系统为开发特定业务功能而发布的可供其他系统调用的应用编程函数。
[来源:GB/T 42877—2023,3.2]
4
缩略语
下列缩略语适用于本文件。
URL:统一资源定位符(Uniform Resource Locator)
API:应用程序编程接口(Application Programming Interface)
HTTPS:超文本传输安全协议(Hypertext Transfer Protocol Secure)
IP:互联网协议地址(Internet Protocol Address)
JSON:一种简单的数据交换格式(JavaScript Object Notation)
SSL:安全套接层协议(Secure Sockets Layer)
TLS:安全传输层协议(Transport Layer Security)
5
基本原则
1
DB4101/T 105—2024
服务接口应遵循以下基本原则:
a)
完整性:应完整反映服务接口功能,提供完整的输入、输出和使用要求等,确保接口调用方
能够通过接口完成所需的任务;
b)
简洁性:服务接口的参数命名、顺序、格式说明等应尽量简洁、清晰明了,方便接口调用方
理解和使用;
c)
扩展性:应考虑扩展和变化,对扩展开放,对修改封闭,以降低接口的复杂性和提高服务接
口的可维护性;
d)
开放性:应采用通用的设计标准,确保与其他系统的互联互通;
e)
安全性:应提供多种安全可靠的技术手段,保证服务接口及政务数据的安全。
6
接口组成
服务接口应至少包含接口描述、请求参数和响应参数,具体内容如下:
a)
接口描述:表达数据访问的基本信息,包含数据协议、接口名称、版本号、接口访问地址及功
能描述等基本信息,接口示例见附录 A;
b)
请求参数:表达数据访问的输入条件,包含消息头和请求数据体;
c)
响应参数:表达数据访问的输出结果,包含响应码、响应数据和响应数据签名。
7
接口描述
7.1
数据协议
应采用HTTPS协议中的POST方式进行数据交互,使用通用的字符集编码,返回结果采用JSON格式。
7.2
接口名称
接口名称用于标识和区分不同的接口,通常包括接口的中文名称和英文名称。接口名称应包含业务
领域、信息项、接口功能和参数条件等组成部分。其中,信息项和接口功能不应为空,业务领域和参数
条件可为空,接口中文名称中各组成部分应以中文横杠“-”连接,接口英文名称中组成部分包含多个
参数条件应以英文“AND”连接。
业务领域:接口数据所属行业或领域,如不动产、公积金等。
信息项:接口数据所表示的具体业务信息,如产权登记、抵押登记等。
接口功能:接口提供数据结果的方法,见表1示例。
参数条件:接口提供数据结果的条件,如身份证号码、企业统一社会信用代码等。
表 1
接口功能示例
序号 代码 接口功能 接口功能说明
1 query 查询 直接获取数据结果的方法
2 report 统计 获取数据统计结果的方法
3 validate 核验 获取数据比对、核对结果的方法
4 upload 上传 上传用户授权、密钥的方法
7.3
版本号
2
DB4101/T 105—2024
版本号是接口的版本识别符,由数字和英文句号组成,版本号从左至右分为一级、二级、三级,默
认为1.0.0,采用多版本并存,增量发布的方式,大功能发布使用V1.0.0、V2.0.0形式,小版本发布使用
V1.1.0、V1.2.0组成,其中小版本变化向下兼容。
a)
一级版本号:服务接口发生不兼容现版本的重大变更(包括但不限于发生影响结果的业务逻
辑变更、增加或减少必填入参、减少非必填入参或出参)时,版本号数字加 1;
b)
二级版本号:服务接口发生兼容现版本的变更,同时标识服务接口存在变更(包括但不限于
增加非必填入参、增加出参)时,版本号数字加 1;
c)
三级版本号:默认为 0,仅当发生不涉及任何影响外部接口、操作使用和业务逻辑理解方面的
版本发布时使用,一般是内部安全性和可靠性提升时,版本号数字加 1。
7.4
接口访问地址
应统一格式的URL,格式为:https://{接口域名}/{版本号}/{接口英文名称},其中接口域名应部
署在专用域名下。
7.5
功能描述
应提供功能说明、示例说明,以便接口调用方快速理解接口功能和使用。
8 请求参数
8.1 消息头
消息头应携带接口凭证,用于减少用户名和密码的传输次数。
8.2
请求数据体
请求数据体应包含公共参数、业务参数、参数签名。
8.3
公共参数
公共参数应包含接口调用方唯一标识、时间戳和请求流水号等信息,其中时间戳格式应为
YYYYMMDDHHmmssSSS,其中,YYYY表示年(4位),MM表示月(2位),DD表示日(2位),HH表示小时(2
位,24小时制), mm表示分钟(2位),ss表示秒(2位),SSS表示毫秒(3位), 如无特殊说明,时
间应为北京时间(UTC+8)。
8.3.1
业务参数
应使用安全自主可控的密码算法对业务参数进行加密运算。
8.3.2
参数签名
应使用安全自主可控的密码算法对请求数据报文进行签名,保证数据的完整性和安全性。
9 响应参数
9.1 响应码
响应码分为公共响应码和业务响应码,应使用英文组合字符串,成功状态应使用固定字符(如
“success”或“ok”),示例见附录B。
3
DB4101/T 105—2024
公共响应码非成功状态格式应为:{服务代码}.{错误原因英文组合}。其中服务代码示例见表2。
业务响应码非成功状态格式应为:{业务信息项}.{接口功能}.{错误原因英文组合}。
表 2
服务代码示例
序号 服务代码 服务代码说明
1 isv 客户端异常,如参数缺失、请求方法错误等
2 sys 服务器异常,如服务器过载、内部程序错误等
3 net 网络异常,如限流、数据处理超时等
4 auth 权限异常,如未授权、授权失效等
5 other 其他异常,如资源不存在等
9.2
响应数据
应使用安全自主可控的密码算法对响应数据进行加密运算。
9.3
响应数据签名
应使用安全自主可控的密码算法对响应数据报文进行签名,保证数据的完整性和安全性。
10 接口管理
10.1 接口注册
接口注册应满足以下要求:
a)
应提供测试样例,确保接口调用方能够对接口进行测试;
b)
应完整填写接口注册信息,经审核后发布,接口注册备案表模板见附录 C。
10.2
接口变更
接口变更应满足以下要求:
a)
已发布的接口发生变更时,应确保接口调用方不受影响;
b)
已发布并被正常调用的接口发生变更时,应提前通知接口调用方在一定期限内更新接口;
c)
应建立版本控制机制,生产环境中应最多保留 3 个详细的版本;
d)
应建立备案机制,备案内容包括但不限于接口更新内容、计划停更时间、应急预案等。
10.3
接口交付
接口交付应满足以下要求:
a)
应提供审计功能,记录调用时间、接口提供方、调用方、调用情况等信息,不宜记录账号、
密码等敏感信息;
b)
应对接口的连通有效性进行验证,如接口版本、参数格式等要素是否与注册信息保持一致;
c)
应按照最小授权原则,对其相应接口权限进行授权管理,当接口需求变更时,需及时评估和
调整接口权限;
d)
应对 API 的调用有效期进行控制(如单次有效、阶段性有效、协议期限内有效)。
10.4
接口调用
接口调用应满足以下要求:
4
DB4101/T 105—2024
a)
应建立接口使用备案审核机制,审核通过后为接口调用方提供唯一标识、密钥等凭证信息;
b)
应合法合规使用接口,明确接口具体的使用单位、使用场景、数据安全措施等,接口使用备
案表模板见附录 D;
c)
应首先取得信息主体授权后使用接口,其内容应包含授权有效期;
d)
应遵循保密规定,未经允许,不应泄露给第三方;
e)
若发现接口存在安全缺陷,应采取补救措施并及时通知接口管理方。未经许可,不得将缺陷
细节透露给任何其他第三方;
f)
应妥善使用和保管相关密钥等凭证,对于密钥存储应采取加密等方式进行安全防护,防范密
钥丢失或泄露。
10.5
接口下线
接口下线应满足以下要求:
a)
已发布并被正常调用的接口下线时,应提前通知接口调用方;
b)
应建立备案审核机制,备案内容包括但不限于接口下线原因、计划下线时间等,接口下线备
案表模板见附录 E;
c)
应在相关服务确认终止之后执行,在下线之前应设置挡板(如服务接口终止提示信息),明
示服务接口已终止;
d) 应将有关数据进行归档处理,数据保留期限应按照国家与行业主管部门相关规定与规则执行;
e) 应对接口认证信息(如接口调用方唯一标识、密钥等)进行作废处理,归档并保存待查。
11 安全保障要求
11.1 基本要求
应遵循GB/T 41479要求,保证政务数据及服务接口安全,满足以下基本要求:
a)
应进行分类管理,划分相应的安全级别,定期评估,动态调整,实施不同级别安全保护,同
时对接入风险进行评估,并报送主管部门进行备案;
b)
应设计不同级别的用户身份认证机制;
c)
应对接口交互的数据进行完整性保护,保证数据传输的完整性,宜使用数字签名技术;
d)
应采用 SSL/TLS 等安全通道连接进行通信,交互流程结束后及时清除相关信息,防范攻击者
通过读取临时文件、内存数据等方式获得全部或部分信息。
11.2
运行监测
应对接口运行状态进行监测,发现异常应及时处理,具体要求如下:
a)
应监测接口状态(包括耗时、调用量、成功率等参数),并建立告警机制和接口可用性主动
监测机制,保障服务接口的可用性;
b)
应具备接口调用流量控制能力,控制规则包括最大允许接口调用并发数、单位时间最大调用
量等,控制措施包括告警、暂停、拒绝等;
c)
应建立未授权和冒用接口的监测机制,发现问题及时处理;
d)
应设计熔断机制,熔断规则包括设置失败次数阈值、接口调用失败阈值等,熔断措施包括拒
绝请求、暂停服务调用等;
e)
应具备接口健康主动监测功能,包括接口访问地址、版本号等在线检测和监测。
11.3
管理制度
5
DB4101/T 105—2024
应遵循GB/T 38664.2基本要求,制定安全管理制度,明确安全责任,保障原始政务数据不出域,可
用不可见,具体要求如下:
a)
应建立覆盖接口全生命周期的安全管理制度与控制措施,并对管理制度与控制措施的有效性
进行验证,保证接口效率及安全性;
b)
应以合同或协议的方式,明确规定接口的数据安全与个人信息保护等方面的安全责任;
c)
应具备安全审计能力,提供接口访问、授权等历史操作日志记录,日志记录至少包含来源 IP、
日期、时间、日志级别、代码位置、日志内容、响应结果等内容;
d)
应对日志记录进行完整性保护,确保日志不被篡改、删除、覆盖,根据日志级别存储到不同
位置,定期备份,留存时间应不少于六个月,对于重要日志宜采取离线存储方式;
e)
应设置数据安全关键岗位,定期开展数据安全风险自查、教育培训等工作。
6
DB4101/T 105—2024
附 A A A
录
(资料性)
接口信息表
A.1
概述
接口信息包含接口描述、请求参数、响应参数等,示例见表A.1。
表 A.1 接口信息示例表
信息项名称 信息项内容
接口描述 接口名称 通过产权证号-核验-不动产-产权证信息
版本号 V1.0.0
功能说明 查询不动产产权证号核验用户产权证是否真实有效
接口访问地址 https://api.xx.com/V1.0.0/validateRealEstateCertificateByEstateNumber
数据协议 HTTPS、POST
数据类型 application/json
请求参数 消息头 名称 是否必须 类型 长度 描述
accesstoken 是 字符型 128 接口凭证,授权类接口不填写
请求数据体 名称 是否必须 类型 长度 描述
appid 是 字符型 32 公共参数:调用方唯一标识
timestamp 是 数值型 17 公共参数:时间戳
reqid 是 数值型 32 公共参数:请求流水号
content 是 字符型 N 业务参数
sn 是 字符型 N 参数签名
响应参数 响应码 名称 类型 描述
commCode 字符型 公共响应码
commMessage 字符型 公共响应码描述
code 字符型 业务响应码
message 字符型 业务响应码描述
响应数据 content 字符型 响应数据,密文形式
响应数据签名 sn 字符型 响应数据签名
示例说明 响应数据(解密 后) verifyRes data 数值型 核验结果
total data 数值型 数据总条数
size data 数值型 数据条数
7
DB4101/T 105—2024
附 B B B
录
(资料性)
响应码示例
B.1
公共响应码
接口公共响应码示例见表B.1。
表 B.1 公共响应码示例
响应代码 响应代码说明
success 接口调用成功,调用结果请参考对应的业务返回参数。
sys.unknow-error 服务暂不可用
auth.invalid-auth-token 无效的访问令牌
auth.auth-token-time-out 访问令牌已过期
auth.invalid-app-auth-token-no-api 未授权当前接口
isv.missing-signature 缺少签名参数
isv.missing-timestamp 缺少时间戳参数
isv.missing-app-id 缺少AppID参数
isv.invalid-parameter 参数无效
isv.invalid-signature 无效签名
isv.decryption-error-unknown 解密出错,未知异常
isv.forbidden-api 接口被禁用
net.app-call-limited 调用频率超限
B.2
业务响应码
接口业务响应码示例见表B.2。
表 B.2 业务响应码示例
响应代码 响应代码说明
success 接口调用成功,调用结果请参考 所对应的业务返回参数。
carBaseInfoVerify.entity-params-error 车辆信息核验,车牌号错误
carBaseInfoGet.entity-empty 车辆信息查询,数据不存在
carBaseInfoVerify.entity-auth-error 车辆信息核验, 授权主体不一致
carBaseInfoVerify.entity-false 车辆信息核验失败
carBaseInfoVerify.entity-error 车辆信息核验,未知错误
8
DB4101/T 105—2024
附 C C C
录
(资料性)
接口注册备案表
C.1
接口注册备案表
接口注册备案表模板见表C.1。
表 C.1 接口注册备案表模板
信息项名称 信息项内容
接口名称 通过产权证号-核验-不动产-产权证信息
功能说明 查询不动产产权证号核验用户产权证是否真实有效
接口提供方 XX 科技有限公司
数据提供方 XX 数据交易中心
接口访问地址 https://api.xx.com/V1.0.0/verifyRealEstateCertificateByEstateNumber
数据协议 HTTPS、POST
数据更新情况 实时
调用频率 1000 次/天
有效期 2023-03-15 00:00:00 至 2023-03-14 23:59:59
数据类型 application/json
参数位置 Body
请求参数 名称 是否必须 类型 长度 描述
estateNumber 是 字符型 32 不动产产权证号
响应参数 名称 类型 描述
code 字符型 业务响应码
message 字符型 业务响应码描述
res 数值型 业务结果
样例说明
备注说明
9
DB4101/T 105—2024
附 D D D
录
(资料性)
接口使用备案表
D.1
接口使用信息表
接口使用备案表模板见表D.1。
表 D.1 接口使用备案表模板
信息项目名称 信息项目内容
接口名称 通过产权证号-核验-不动产-产权证信息
使用单位 XX 科技有限公司
调用频率 1000 次/天
使用期限 2023-03-15 00:00:00 至 2023-03-14 23:59:59
使用场景说明
业务联系人 联系电话
技术联系人 联系电话
数据需求 数据参数 数据要求
estateNumber 不动产产权证号
obligee 权利人
备注说明
单位意见: 签字(盖章): 日期:
10
DB4101/T 105—2024
附 E E E
录
(资料性)
接口下线备案表
E.1
接口下线备案表
接口下线备案表模板见表E.1。
表 E.1 接口下线备案表模板
信息项名称 信息项内容
接口名称 通过产权证号-核验-不动产-产权证信息
提出单位 XX 科技有限公司
下线时间 2023-03-15 00:00:00
下线原因
业务联系人 联系电话
技术联系人 联系电话
备注说明
单位意见: 签字(盖章): 日期:
11
DB4101/T 105—2024
参
考
文
献
[1] GB/T 35273—2020 信息安全技术
个人信息安全规范
[2] GB/T 38664.1—2020 信息技术
[3] GB/T 38664.2—2020 信息技术
大数据 政务数据开发共享 第1部分:总则
大数据 政务数据开发共享 第2部分:基本要求
[4] GB/T 38667—2020 信息技术
大数据
[5] GB/T 40094.3—2021电子商务数据交易
数据分类指南
第3部分:数据接口规范