SM4算法門限掩碼方案設計與實現

摘 要： "側信道分析已嚴重威脅到密碼算法應用安全，為提高SM4算法抵御側信道分析的能力，提出一種門限掩碼方案。首先，完成對SM4算法S盒的復合域分解；其次，基于二共享設計門限掩碼方案，使用隨機數將S盒輸入進行二共享拆分，通過復合域運算和S盒門限掩碼進行電路重構，并基于S盒復用降低硬件開銷；最后進行線性層操作后將兩個輸出結果通過異或完成去掩碼操作。對SM4算法門限掩碼方案的FPGA實現仿真結果和安全性測試結果表明，本掩碼方案能夠有效抵抗CPA攻擊，實現面積相對較低。

關鍵詞： "SM4； 門限掩碼； 復合域； S盒； 現場可編程門陣列

中圖分類號： "TP309.2 """文獻標志碼： A

文章編號： "1001-3695（2022）02-043-0572-05

doi：10.19734/j.issn.1001-3695.2021.08.0302

Design and implementation of threshold masking schema on SM4 algorithm

Wu Xiaonian， Li Jinlin， Pan Sheng， Li Junbang， Zhang Runlian

（Guangxi Key Laboratory of Cryptography amp; Information Security， Guilin University of Electronic Technology， Guilin Guangxi 541004， China）

Abstract： "Side channel analysis has seriously threatened the application security of cryptographic algorithms.In order to improve the ability of SM4 algorithm to resist side channel analysis，this paper proposed a threshold masking scheme for SM4 algorithm.Firstly，it decomposed the S-box of SM4 algorithm.Then this paper designed the threshold masking method based on two sharing pattern for SM4.According to the method，the schema split the S-box input into two shares by using random number，and rebuilt the circuit by composite field operation and the S-box threshold masking，and reduced the hardware cost by reusing S-boxes.After the linear layer operation，the schema carried out unmasked operation by XOR the two output results.The simulation results and security test results of FPGA implementation for SM4 threshold masking schema show that the mas-king scheme can effectively resist CPA attack，and its implementation area is lower.

Key words： nbsp;SM4； threshold masking； composite field； S-box； FPGA

0 引言

側信道分析（side-channel analysis，SCA）［1，2］通過捕獲密碼算法在運行過程中所泄露的信息進而進行密鑰恢復。相比于傳統的密碼分析方法，側信道攻擊更加高效且實現成本相對較低，對密碼算法及其應用形成了嚴重威脅。SM4算法是我國自主設計的分組密碼算法，于2012年被國家商用密碼管理局確定為國家密碼行業標準，成為我國第一個官方公布的商業密碼算法［3］，并于2021年6月正式被選為國際標準算法。SM4算法原用于中國無線標準，目前已被推廣應用于無線通信、車聯網、安全通信協議等領域。SM4算法能夠抵御多種密碼算法分析方法，如代數攻擊、弱密鑰分析等，但SM4算法在側信道攻擊下仍然岌岌可危。設計針對SM4算法的掩碼防護方案以保護算法運行安全和應用安全已迫在眉睫。

側信道分析發展迅速，最早于1996年由Kocher［4］提出，隨后，故障攻擊、功耗分析（differential power analysis，DPA）［5］、簡單功耗分析、模板攻擊（template attack，TA）［6］、相關功耗分析（correlation power analysis，CPA）［7］、互信息分析、相關碰撞功耗分析等紛紛被提出；在CHES2016會議上，Battistello等人［8］提出的水平側信道攻擊（horizontal-SCA attack，HSCA）進一步提高了側信道攻擊的能力。

掩碼技術是一種能夠有效抵御側信道攻擊的防護技術，其通過對密碼算法的運算過程進行數據遮蔽，提高攻擊者進行密碼分析的難度，從而進行有效的防護［9］。為實現對SM4算法的防護，文獻［10］基于復合域分解設計了掩碼方案，采用模塊重用和改變計算順序等方法減少電路面積，并通過實驗驗證該方案能有效抵抗DPA攻擊和零值攻擊；文獻［11］給出了基于復合域的S盒掩碼方案，同樣通過重用減少計算開銷，降低硬件成本，并通過理論分析和仿真CPA驗證了該方法的有效性，但其僅通過MATLAB仿真，未能進行實際測試驗證和綜合評測；文獻［12］在其提出的SM4算法門限S盒實現方案中，通過構造秘密共享函數代替仿射變換，使用隨機數將S盒的輸入進行二共享拆分以抵御側信道攻擊，并通過安全性分析和實驗驗證了可抵御一階DPA攻擊；文獻［13］使用一個隨機生成器生成隨機的明文和密鑰，通過隨機明文和密鑰與正確的明文和密鑰進行隨機加密而破壞正常的功耗曲線，從而抵抗DPA。

隨著SM4算法在不同領域中的逐步應用，在加強對SM4算法防護的同時需要進一步降低其硬件開銷，但現有防護方法的硬件實現面積都相對較高。為提高SM4算法抵御側信道攻擊的能力并降低其硬件開銷，本文設計和實現了一種門限掩碼防護方案，該方法基于復合域分解完成S盒的分解，以降低硬件實現面積；在門限掩碼方案中將32 bit的S盒輸入使用隨機數將其進行二共享拆分，拆分后的兩個輸入進行復合域運算，其結果通過線性層之后再將兩個輸出進行異或得到該輪的正確結果。本方案在初始時構造一個隨機數，并通過隨機數對輸入的隨機化，使得復合域電路中的運算所產生的功耗與真正的明文無關，破壞中間值與功耗曲線的相關性，可有效抵抗CPA攻擊；在后續操作中不再使用隨機數，并通過電路優化以降低硬件開銷。

1 SM4算法概述

SM4算法［3］是一個四分支的廣義非平衡Feistel結構，分組長度和密鑰長度均為128 bit，加解密算法和密鑰擴展算法都采用32 輪非線性迭代結構，每一輪迭代完成32 bit的加/解密運算。解密算法的結構與加密算法相同，但輪密鑰的使用順序相反，算法結構如圖1所示。圖1中，SM4算法每一輪的輪操作包括輪密鑰加、S盒替換和線性操作。每一輪的輸入為4個32 bit的字，在與密鑰異或后經過4個S盒和1個線性層完成一輪的加密。

2 SM4算法掩碼防護方案設計

掩碼運算包括線性操作和非線性操作。對于SM4算法，線性操作使用布爾異或運算實現對數據的遮蔽；而對于非線性操作S盒，將采用門限掩碼防護。門限（threshold implementations，TI）掩碼［14，15］是一種將秘密拆分存儲的防護技術，其將秘密消息拆分成 n 個樣本，每個樣本由不同用戶管理，少于 n 個用戶都無法恢復秘密信息，只有集齊 n 個用戶協作才可恢復秘密消息。門限方案能夠在毛刺出現的情況下有效地抵抗側信道攻擊。由于在對S盒進行門限掩碼時，其硬件實現性能會影響整個算法的綜合性能，如電路面積、吞吐量和功耗等，所以需要先對S盒進行復合域分解以降低S盒硬件實現成本。

2.1 SM4算法S盒分解

SM4算法的S盒分解是將GF（28）域上的乘法求逆運算變為GF（（（22）2）2）域上的求逆，最后通過簡單的邏輯運算在電路上實現，降低硬件實現成本。復合域的求逆過程采用了圖2所示的實現框架［16］。

文獻［14］給出了圖2中SM4算法S盒的代數表達式如下：

S（ x ）=I（ x · A "1+C 1）· A "2+C 2 ""（1）

其中： I 為求逆，常量 C 1和C 2相同，C 1=C "2=（1 1 0 0 1 0 1 1）； S盒的仿射變換的矩陣 A 1與A "2相同，為式（2）中的矩陣 A 。文獻［17］則基于式（1）構建出的S盒的仿射變換運算如下：

a 0 a 1 a 2 a 3 a 4 a 5 a 6 a 7 "= x·A=A·x T = "1 1 1 0 0 1 0 1 1 1 1 1 0 0 1 0 0 1 1 1 1 0 0 1 1 0 1 1 1 1 0 0 0 1 0 1 1 1 1 0 0 0 1 0 1 1 1 1 1 0 0 1 0 1 1 1 1 1 0 0 1 0 1 1 "·

x 0 x 1 x 2 x 3 x 4 x 5 x 6 x 7 "= "x 0""x 1""x 2""x 5""x 7 x 0""x 1""x 2""x 3""x 6 x 1""x 2""x 3""x 4""x 7 x 0""x 2""x 3""x 4""x 5 x 1""x 3""x 4""x 5""x 6 x 2""x 4""x 5""x 6""x 7 x 0""x 3""x 5""x 6""x 7 x 0""x 1""x 4""x 6""x 7 """""（2）

在對S盒輸入進行仿射變換后，將GF（28）域上的求逆運算通過同構映射變為GF（（24）2），其電路如圖3所示。其中 γ "1、 γ "0分別為S盒輸入的8 bit數據映射后的高4位和低4位， v 為GF（（24）2）域不可約多項式的常數，取 v ={1001}， δ "1和 δ "0對應求逆后的高4位和低4位。進一步地，將GF（（24）2）域上的求逆運算同樣通過同構映射變為GF（（（22）2）2）。

2.2 門限掩碼防護方案

為抵抗DPA攻擊，破壞中間值與功耗曲線的相關性，本文在設計SM4算法的門限掩碼方案中，將32 bit的S盒輸入先使用隨機數進行二共享拆分，拆分后的兩個輸入再進行復合域運算。通過隨機數對S盒輸入的隨機化使得復合域電路中的運算所產生的功耗與真正的明文無關，達到防護的目的。

首先構造了一個隨機數 m，以m和x""m（x 為S盒8 bit數據輸入）作為雙輸入的兩組8 bit數據輸入，將真實值 x 的信息分割成二分量。在其他操作中不再添加隨機數進行環掩碼，減少隨機數的使用。具體操作過程如下：

1）仿射變換重構

S盒仿射變換運算為 y=x· A ""C 。設S盒8 bit數據輸入為 x ，將數據 x 拆分為 x "1和 x "2兩組，且 x=x 1""x 2，則y 變換為

y=x· A ""C=（x 1""x 2）· A ""C=x 1· A ""x 2· A ""C ""（3）

將 y拆分為y 1和y "2，結果為

y 1=x 1· A ""C

y 2=x 2· A """（4）

2）有限域乘法器重構

根據文獻［14］中的乘法器拆分方法，對于乘法運算 out=u""v ，將乘法器的兩個輸入 u、v 分別拆分為 u=u 1""u 0，v=v 1""v 0；乘法器的輸出out=out 3""out 2""out 1""out "0，則有

out 3""out 2""out 1""out 0=（u 1""u 0）""（v 1""v 0）=

（u 1""v 1）""（u 1""v 0）""（u 0""v 1）""（u 0""v 0） ""（5）

根據圖3，在進入GF（24）求逆器之前的運算包含一個乘法器和平方器；令 γ 1=a，γ 0=b 作為GF（28）求逆輸入，將平方器 vγ2 1 看做一個函數square （x），以a作為 square （x）的輸入，c 作為GF（24）求逆前的乘法與平方結合的輸出結果，則有

c=（（a""b）""b）"""square （a） ""（6）

將式（5）（6）結合，拆分后的運算可表示為

c 3=（（a 1""b 1）""b 1）"""square （a 1）

c 2=（（a 1""b 1）""b 0）

c 1=（（a 0""b 0）""b 1）

c 0=（（a 0""b 0）""b 0）"""square （a 0） """（7）

基于上述仿射變換重構和乘法器重構對圖3電路進行重構，實現S盒的門限掩碼。重構后的電路分為三步完成，基于上述雙輸入和雙輸出思路，具體實現步驟如下：

a）將帶有掩碼的8 bit數據 x""m 以及掩碼 m 作為兩組，輸入到分組仿射變換以及同構映射部件，分別輸出 a 1、a 0、b 1、b "0，再將其輸入到乘法器與平方器，根據式（7）得到輸出 c 3、c 2、c 1、c "0，如圖4所示。

b）在GF（24）域上求逆。首先將第一步輸出的 c 3、c 2、c 1、c "0分成兩組（ c 3，c 2）、（c 1，c 0）；進行異或操作，令d 1=c 3""c 2，d 0=c 1""c "0；再將 d 1、d "0分別進行高低位分解為（ e 1，f 1）、（e 0，f 0）；最后通過乘法器和平方器得到如式（8）所示輸出g 3、g 2、g 1、g "0。

g 3=（（e 1""f 1）""f 1）"""square （e 1）

g 2=（（e 1""f 1）""f 0）

g 1=（（e 0""f 0）""f 1）

g 0=（（e 0""f 0）""f 0）"""square （e 0） """（8）

進一步將輸出進行異或分組，令 h 1=g 3""g 2，h 0=g 1""g 0 ；再進入到GF（22）求逆器進行平方運算，輸出 i 1、i 0 ；將其作為輸入進入到兩個GF（22）乘法器，分別輸出 j 3、j 2、j 1、j 0和k 3、k 2、k 1、k 0。j i（i =0，1，2，3）計算如式（9）所示， k i 計算方法相同。

j 3=e 1""i 1

j 2=e 1""i 0

j 1=e 0""i 1

j 0=e 0""i 0 """（9）

最后將 j i和k i進行合成，即將j i和k i 進行連接，以“‖”表示連接符，則結果表示為 l 3=（j 3‖k 3），l 2=（j 2‖k 2），l 1=（j 1‖k 1），l 0=（j 0‖k 0） ；再將其輸入到下一步，電路如圖5所示。

c）以 l 3、l 2、l 1、l "0作為輸入進行異或分組，令 n 1=l 3""l 2，n 0=l 1""l 0 ；將結果輸入到兩個GF（24）乘法器中，分別得出輸出結果 p 3、p 2、p 1、p 0和q 3、q 2、q 1、q "0，計算方法同式（9）；同樣再將兩組輸出進行連接，獲得 t 3=（p 3‖q 3），t 2=（p 2‖q 2），t 1=（p 1‖q 1），t 0=（p 0‖q 0）；再進行異或操作，令z 1=t 3""t 2，z 0=t 1""t 0；最后對z 1、z 0進行逆同構映射和仿射變換得到輸出結果x′""m′和m′ ，電路如圖6所示。

通過上述三步完成SM4 算法S盒門限掩碼運算，得到輸出 m′和x′""m′ ，而將這兩個輸出經過線性層操作后，再將兩個輸出進行異或完成去掩碼操作，從而構造出SM4算法的掩碼方案。具體操作過程如下：a）隨機生成兩個32 bit數 m 1、m "2；b）根據算法運算，由 （MK 3，MK 2，MK 1，MK 0）""（FK 3，FK 2，FK 1，FK 0） 得到（ K 0，K 1，K 2，K 3），再與掩碼M 2=（m 2，m 2，m 2，m 2）進行異或得到（K′ 0，K′ 1，K′ 2，K′ 3） ；c）密鑰擴展函數的掩碼結構與輪函數結構相似，但輪密鑰生成不同，其計算方法為 rk′ i=K′ i+4=K′ i""T′（K′ i+1""K′ i+2""K′ i+3""CK i""m 1） ；d）在明文 X進入輪轉之前，與M 1=（m 1，m 1，m 1，m 1）異或進行掩蓋，得到（X′ 0，X′ 1，X′ 2，X′ 3） ；e）進入輪函數，因為密鑰擴展中并沒有進行去掩操作，所以輪密鑰自身攜帶了掩碼值 m 2，與rk′ i 異或后，S盒的輸入就攜帶了 m 1""m 2 ，通過門限S盒后得到兩個輸出并進行線性變換 L ，再進行異或去掉輸入S盒時帶有的掩碼 m 1""m 2 ；f）在32輪后得到結果（ X′ 32，X′ 33，X′ 34，X′ 35） ，再將 （X′ 32，X′ 33，X′ 34，X′ 35） 與 M "1進行異或，得到正確結果 （Y 0，Y 1，Y 2，Y 3）=（X 35，X 34，X 33，X 32） 。

SM4算法掩碼方案結構如圖7所示。

3 SM4算法掩碼方案的FPGA實現與仿真

3.1 SM4算法FPGA硬件電路設計

在SM4硬件實現中，沒有掩碼的SM4每一輪的加/解密運算都在一個時鐘周期內完成加/解密。而為了抵抗毛刺攻擊，掩碼的中間值需要使用寄存器保存，因此增加了掩碼實現的SM4的每一輪都需要多個時鐘。由于在算法運行中都是先等待密鑰擴展模塊計算輪子密鑰完畢才進行加/解密運算，所以對掩碼實現中占用面積最大的四個并行S盒進行復用，即將密鑰擴展和加/解密運算中的S盒復用，減少了四個經過掩碼后的S盒的面積。值得注意的是，密鑰擴展出來的子密鑰使用芯片中的RAM存儲，這樣可以不占用邏輯門面積。SM4算法硬件電路結構如圖8所示。

3.2 時序仿真與時序分析及驗證

采用Verilog HDL編程完成掩碼方案實現，并在仿真工具Vivado 2017.4環境下進行仿真。仿真的明文為123456789abc "deffedcba9876543210，密鑰為123456789abcdeffedcba9876543210， 密文為681edf34d206965e86b3e94f536e4246，加密仿真和解密仿真如圖9和10所示。

圖9、10顯示完成門限掩碼的SM4算法在解密后能夠獲得與加密前一樣的結果，都是正確的，且端口輸出的電平也在預定的結果之內。

4 實驗測試及結果分析

4.1 SM4算法FPGA實現綜合評測

本文設計并完成了基于門限掩碼方案的SM4算法的FPGA硬件實現。采用Synopsys公司版本號為L-2016.03-SP1的綜合工具Design Compiler，選取工藝庫SMIC 130 nm（工作電壓1.2 V，溫度25 ℃）評估上述ASIC硬件實現，在所有的綜合中均使用了典型的工作條件，并與幾種掩碼實現結果對比如表1所示。

表1中，吞吐率/面積表示電路的品質因數，在不考慮電路翻轉率情況下，相同吞吐率下的面積越小則功耗將越低，即計算的值越高越好。文獻［10，12，13］和本文門限掩碼實現方法都是添加了掩碼防護的SM4算法硬件實現?？傮w來看，本文門限掩碼方案因掩碼方法的優化及電路優化，面積較小，實現成本較低，吞吐率/面積的結果最好。

4.2 安全性測試及分析

將未進行掩碼防護的SM4算法和添加了門限掩碼防護的SM4算法用Verilog HDL編寫并完成仿真后，將生成的比特流文件燒錄進SPARTAN-6 XC6SLX9型號芯片的開發板，采用側信道分析平臺采集系統實現的能量跡進行CPA分析。采集波形所用的示波器為PicoScope3206D。在以下所有實驗中，加密算法所用密鑰均為0，…，15。

1）對未進行掩碼防護的SM4算法的測試分析

將未加掩碼的原始SM4算法編寫并完成仿真后燒錄進FPGA開發板，通過采集設備采集的波形如圖11所示，其中，32輪加密的結果非常清晰。

采集30萬條能量跡進行CPA［1］攻擊，選取的攻擊點為最后四輪S盒輸出值，得到最后四輪的子密鑰，再進行主密鑰的恢復，結果如圖12所示。其中，ths.key為用于加密的原始主密鑰，round_key為得到的最后四輪子密鑰，對這四個子密鑰使用recover_key函數恢復出了正確的主密鑰。

2）對添加門限掩碼的SM4算法的測試分析

基于本文的門限掩碼方案進行實現，將加掩碼后的SM4加密算法編寫并完成仿真后燒錄進開發板，得到的波形如圖13所示。從波形上看，難以區分算法的加密過程。

采集30萬條能量跡對掩碼后的SM4算法進行CPA攻擊，選取的攻擊點同樣是最后四輪S盒的輸出值，得到最后四輪的子密鑰再進行主密鑰的恢復，結果如圖14所示。其中，采用recover_key函數對得到的最后四輪子密鑰round_key進行主密鑰恢復，結果與原始主密鑰ths.key都不相同，攻擊失敗，這表明本文的門限掩碼方案成功實現了對SM4算法的防護，抵抗了CPA攻擊。

5 結束語

本文基于FPGA設計和實現了SM4算法及其掩碼防護方案，針對SM4算法S盒，基于復合域分解降低了硬件面積；在對S盒構造門限掩碼方案時，使用隨機數對S盒輸入進行隨機化實現防護，并通過電路重構和優化降低硬件成本。針對SM4算法的門限掩碼方案的FPGA硬件實現及時序仿真驗證了實現的正確性，而對硬件實現的綜合測評和安全性攻擊表明本文方案的有效性，能夠成功抵抗CPA攻擊，并具有更低的實現成本。在今后的工作中，將考慮在掩碼中減少隨機數的使用，以進一步降低硬件面積。

參考文獻：

［1］ "Kocher P，Jaffe J，Jun B.Differential power analysis［C］//Proc of the 19th Annual International Cryptology Conference.Berlin：Springer，1999：388-397.

［2］ Robyns P，Quax P，Lamotte W.Improving CEMA using correlation optimization［J］. Trans on Cryptographic Hardware and Embedded Systems ，2019（1）：1-24.

［3］ "Office of State Commercial Cipher Administration.Block cipher for WLAN products-SMS4［EB/OL］.http：//www.oscca.gov.cn/sca/c100061/201611/1002423/files/330480f731f64e1ea75138211ea0dc27.pdf.

［4］ Kocher P C.Timing attacks on implementations of Diffie-Hellman，RSA，DSS，and other systems［C］//Proc of the 16th Annual International Cryptology Conference on Advances in Cryptology.Berlin：Springer，1996：104-113.

［5］ Boneh D，Demillo R A，Lipton R J.On the importance of checking cryptographic protocols for faults［C］//Proc of International Confe-rence on Theory and Application of Cryptographic Techniques.Berlin：Springer，1997：37-51.

［6］ Charis S，Rao J R，Rohatgi P.Template attacks［C］//Proc of International Workshop on Cryptographic Hardware and Embedded Systems.Berlin：Springer，2002：13-28.

［7］ Brier E，Clavier C，Olivier F.Correlation power analysis with a leakage model［C］//Proc of International Workshop on Cryptographic Hardware and Embedded Systems.Berlin：Springer，2004：16-29.

［8］ Battistello A，Coron J S，Prouff E， et al .Horizontal side-channel attacks and countermeasures on the ISW masking scheme［C］//Proc of International Conference on Cryptographic Hardware and Embedded Systems.Berlin：Springer，2016：23-39.

［9］ Nikova S，Rechberger C，Rijmen V.Threshold implementations against side-channel attacks and glitches［C］//Proc of the 8th International Conference on Information and Communications Security.Berlin：Springer，2006：529-545.

［10］ Bai Xuefei，Xu Yanhua，Guo Li.Securing SMS4 cipher against diffe-rential power analysis and its VLSI implementation［C］//Proc of the 11th IEEE Singapore International Conference on Communication Systems.Piscataway，NJ：IEEE Press，2009：167-172.

［11］ Liang Hao，Wu Liji，Zhang Xiangmin， et al .Design of a masked S-box for SM4 based on composite field［C］//Proc of 10th International Conference on Computational Intelligence and Security.Piscataway，NJ：IEEE Press，2014：387-391.

［12］ 李新超，鐘衛東，張帥偉，等.一種基于門限實現的SM4算法S盒實現方案［J］.計算機工程與應用，2018， 54 （17）：83-88，140. （Li Xinchao，Zhong Weidong，Zhang Shuaiwei， "et al .New S-box of SM4 based on threshold implementation［J］. Computer Engineering and Applications ，2018， 54 （17）：83-88，140.）

［13］ Lu Tong，Zhou Fang，Wu Ning， et al .Implementation of SM4 based on random state to resist DPA［C］//Proc of the 4th IEEE International Conference on Electronics Technology.Piscataway，NJ：IEEE Press，2021：717-721.

［14］ Ueno R，Homma N，Aoki T.A systematic design of tamper-resistant Galois-field arithmetic circuits based on threshold implementation with（ d +1） input shares［C］//Proc of the 47th IEEE International Symposium on Multiple-Valued Logic.Piscataway，NJ：IEEE Press，2017：136-141.

［15］ Wei Yongzhuang，Yao Fu，Pasalic E， et al .New second-order threshold implementation of AES［J］. IET Information Security ，2018， 13 （2）：117-124.

［16］ Liu Fen，Ji Wen，Hu Lei， et al .Analysis of the SMS4 block cipher［C］//Proc of the 12th Australasian Conference Information Security and Privacy.Berlin：Springer，2007：158-170.

［17］ 徐艷華，白雪飛，郭立.適合SMS4算法硬件實現的S盒構造新方法［J］.中國科學技術大學學報，2009， 39 （11）：1164-1170. （Xu Yanhua，Bai Xuefei，Guo Li.A new algorithm of S-box for hardware implementation of SMS4［J］. Journal of University of Science amp; Technology of China ，2009， 39 （11）：1164-1170.）