2936.某信息系统部署了经检测认证的签名验签服务器,且密码模块达到了相应等级要求,关于设备和计算安全层面应用服务器“系统资源访问控制信息完整性”测评项,依据GM/T 0115《信息系统密码应用测评要求》,以下判定结果错误的是()。

好的，我们来逐一分析这道多选题的各个选项，并解释为什么选择这些答案。 ### 题目背景 题目描述了一个信息系统部署了经过检测认证的签名验签服务器，并且密码模块达到了相应等级要求。我们需要根据 GM/T 0115《信息系统密码应用测评要求》来判断关于设备和计算安全层面应用服务器“系统资源访问控制信息完整性”的测评项的判定结果是否正确。 ### 选项分析 #### 选项A **描述**：通过调用签名验签服务器的AES-128 ECB模式加密接口，对访问控制信息加密，取最后一组分组密文作为MAC并存储，值为A；在验证完整性时，调用签名验签服务器的 AES-128 ECB模式加密接口，对访问控制信息加密，取最后一组分组密文作为MAC，值为B，比对A与B是否一致；基于上述措施，测评人员判定为部分符合。 **分析**： - **问题**：AES-128 ECB模式不适用于生成MAC。ECB模式没有使用初始化向量（IV），因此相同的明文会生成相同的密文，容易受到重放攻击。 - **结论**：这种做法不符合GM/T 0115的要求，因此测评人员判定为部分符合是错误的。 #### 选项B **描述**：通过调用签名验签服务器的SM4 CBC-MAC接口，对访问控制信息计算MAC并存储，值为A；在验证完整性时，调用签名验签服务器 SM4 CBC-MAC接口，对访问控制信息计算MAC，值为 B，比对A与B是否一致；其中，计算 SM4 CBC-MAC使用的初始向量为符合密码相关国家和行业标准的随机数；基于上述措施，测评人员判定为符合。 **分析**： - **问题**：SM4 CBC-MAC是一种安全的MAC生成方法，使用随机初始向量可以增加安全性。 - **结论**：这种做法符合GM/T 0115的要求，因此测评人员判定为符合是正确的。 #### 选项C **描述**：通过调用签名验签服务器的SM3接口，计算访问控制信息的杂凑值并存储，值为A；在验证完整性时，调用签名验签服务器SM3接口，计算访问控制信息的杂凑值，值为B，比对A与B是否一致；基于上述措施，测评人员判定为不符合。 **分析**： - **问题**：SM3是一种安全的哈希函数，可以用于验证数据的完整性。 - **结论**：这种做法符合GM/T 0115的要求，因此测评人员判定为不符合是错误的。 #### 选项D **描述**：通过调用签名验签服务器的HMAC-SHA256接口，对访问控制信息计算MAC并存储，值为A；在验证完整性时，将访问控制信息与A拼接，并调用签名验签服务器 HMAC-SHA256接口，对拼接数据计算MAC，值为B，比对A与B是否一致；基于上述措施，测评人员判定为部分符合。 **分析**： - **问题**：HMAC-SHA256是一种安全的MAC生成方法，但在验证完整性时，不应该将MAC值与访问控制信息拼接后再计算MAC。这样做可能会引入额外的安全风险。 - **结论**：这种做法不符合GM/T 0115的要求，因此测评人员判定为部分符合是错误的。 ### 答案 根据以上分析，选项A、C和D的判定结果都是错误的，因此正确答案是： **答案：ABD**