SHA－3算法的抗原象攻擊性能優(yōu)化

李建瑞，汪鵬君，張躍軍（寧波大學(xué)電路與系統(tǒng)研究所，浙江寧波315211）

?

SHA－3算法的抗原象攻擊性能優(yōu)化

李建瑞，汪鵬君＊，張躍軍
（寧波大學(xué)電路與系統(tǒng)研究所，浙江寧波315211）

摘 要：通過對SHA－3算法置換函數(shù)Keccak－f的線性性質(zhì)以及縮減輪數(shù)的Keccak雜湊函數(shù)原象攻擊的研究，提出了SHA－3算法的抗原象攻擊性能優(yōu)化設(shè)計(jì)方案．首先結(jié)合Keccak雜湊函數(shù)的差分特點(diǎn)和θ置換函數(shù)的奇偶性質(zhì)，分析了基于CP－kernel的SHA－3算法原象攻擊；然后針對目前實(shí)施原象攻擊的方法，在θ置換函數(shù)運(yùn)算后異或隨機(jī)數(shù)以打亂其漢明重量，改變CP－kernel的校驗(yàn)性質(zhì)，阻止攻擊者利用中間相遇的方法尋找原象，提高了SHA－3算法的抗原象攻擊能力；最后利用VHDL硬件語言實(shí)現(xiàn)抗原象攻擊SHA－3算法的設(shè)計(jì)方案，驗(yàn)證了該算法的正確性以及安全性．

關(guān) 鍵 詞：SHA－3算法；Keccak雜湊函數(shù)；抗原象攻擊；隨機(jī)數(shù)；安全性

Hash函數(shù)又稱雜湊函數(shù)，被廣泛應(yīng)用于數(shù)字簽名、消息認(rèn)證、密碼協(xié)議等，在密碼學(xué)領(lǐng)域扮演著極其重要的角色．2007年，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）發(fā)布了一項(xiàng)公開征集活動，旨在推選密碼學(xué)中散列函數(shù)的新標(biāo)準(zhǔn)——SHA－3算法．經(jīng)過3輪篩選，2012年Keccak雜湊函數(shù)憑借其新穎的設(shè)計(jì)方法、較強(qiáng)的安全性能以及良好的實(shí)現(xiàn)方法成為新一代SHA－3算法［1］．Keccak雜湊算法采用標(biāo)準(zhǔn)Sponge結(jié)構(gòu)進(jìn)行迭代，在軟硬件平臺上能夠安全有效地實(shí)現(xiàn)，且能滿足NIST對所提交算法的要求．同時NIST的計(jì)算機(jī)安全專家也對SHA－3算法的安全性能給予了高度評價(jià)［2］，自此，Keccak作為一個新型雜湊函數(shù)登上了密碼學(xué)的舞臺．

由于SHA算法在密碼學(xué)中的重要地位，新一代SHA算法的安全性引起了學(xué)者們的廣泛關(guān)注，目前有關(guān)SHA－3標(biāo)準(zhǔn)Keccak算法的攻擊方式主要有［3－8］：利用算法內(nèi)部結(jié)構(gòu)差分性質(zhì)實(shí)施的碰撞攻擊或部分碰撞攻擊［3］，其中對Keccak－256實(shí)施5輪碰撞攻擊，復(fù)雜度為2115，同時結(jié)合squeeze規(guī)則對Keccak－512產(chǎn)生3輪的實(shí)際性攻擊，對Keccak－384產(chǎn)生4輪的碰撞攻擊，復(fù)雜度為2147；利用縮減輪數(shù)零和子集劃分方式實(shí)施的區(qū)分攻擊，其中對Keccak－512實(shí)施5輪的區(qū)分攻擊，復(fù)雜度為212，并且提出針對全輪Keccak置換的零和劃分［5］；利用θ線性性質(zhì)實(shí)施原像攻擊，提出了Keccak－512版本3輪的實(shí)際性原象攻擊和Keccak其他版本的4輪部分原像攻擊［8］，且時間復(fù)雜度要低于文獻(xiàn)［7］中的2輪原象攻擊．鑒于此，本文在研究SHA－3算法的差分性質(zhì)以及θ置換函數(shù)的特點(diǎn)后，提出一種基于CP－kernel性質(zhì)添加隨機(jī)數(shù)的方法以提高SHA－3算法抗原象攻擊的性能，同時該方案可抵御零和區(qū)分攻擊．

1 SHA－3標(biāo)準(zhǔn)及零和區(qū)分性質(zhì)

SHA－3標(biāo)準(zhǔn)Keccak算法是基于海綿構(gòu)造（sponge construction）的Hash函數(shù)家族，將輸入數(shù)據(jù)經(jīng)過特殊的填充（pad）算法處理后的迭代雜湊函數(shù)定義為Keccak［r，c］，其中，參數(shù)r表示比特率（bitrate），c表示容量（capacity），r＋c決定Keccakf［b］雜湊函數(shù)中輪函數(shù)的置換寬度，即b＝r＋c，b∈｛25，50，100，200，400，800，1600｝，Keccak算法所采用的sponge結(jié)構(gòu)如圖1所示，圖中的f即為置換函數(shù)Keccak－f［b］［1－2］．

Keccak－f［b］為迭代置換函數(shù)，是Keccak算法的靈魂，迭代輪數(shù)nr由b決定：nr＝12＋2l，其中，2l＝b／25，設(shè)計(jì)者最終提交的SHA－3標(biāo)準(zhǔn)Keccakf［b］輪函數(shù)的b值為1 600，則由此可得出具體的迭代輪數(shù)為24輪．Keccak雜湊函數(shù)在輪函數(shù)壓縮處理時，每一輪的置換函數(shù)f都是作用在一個三維矩陣上的5步迭代置換，即R＝τ。χ。π。ρ。θ，在三維矩陣中數(shù)據(jù)按照坐標(biāo)軸x、y、z依次填充，運(yùn)算過程中行元素記為a［．］［y］［z］，列元素記為a［x］［．］［z］，道元素記為a［x］［y］［．］，對應(yīng)關(guān)系為S［w（5y＋x）］＝A［x］［y］［z］，w＝b／25［2］．

圖1　Sponege結(jié)構(gòu)Fig．1 Sponge construction

Keccak雜湊函數(shù)5個迭代環(huán)節(jié)中前4步是在三維矩陣中進(jìn)行不同方向的行、列、道以及面的變換，從而達(dá)到混淆和擴(kuò)散三維數(shù)組的目的，最后一步置換是在三維數(shù)組的第1道上異或一組輪常數(shù)，以破壞原有的對稱性．其中，在x和y軸上是?！?”運(yùn)算，而在z軸上是?！皐”運(yùn)算，具體的5步置換函數(shù)式如下［］：

SHA－3算法原象攻擊的基本定義為：對給定的輸入消息值M，經(jīng)算法運(yùn)算后很容易計(jì)算出摘要值H（M），根據(jù)H（M），也可計(jì)算出消息值M或部分M值．這違反了雜湊函數(shù)的單向性原則，攻擊者可對SHA－3算法實(shí)施有效的原象攻擊．

SHA－3算法的零和區(qū)分性質(zhì)由AUMASSON［7］首先提出，其基本定義為：令F是一個從到的函數(shù)，長度為k的零和輸入子集經(jīng)函數(shù)F運(yùn)算后結(jié)果仍然為零，定義如式（1）所示：

攻擊者通過零和區(qū)分性質(zhì)利用零和區(qū)分器可以找出零和子集，從而對SHA－3算法實(shí)施縮減輪數(shù)的區(qū)分攻擊．

2 抗原象攻擊SHA－3算法優(yōu)化

2．1 SHA－3算法的θ置換函數(shù)

Keccak算法5步迭代中θ函數(shù)是比特級的按位異或運(yùn)算過程，作用在整個三維數(shù)組中，具有很好的擴(kuò)散性質(zhì)，A［x］［y］［z］的更新值可表示為A［x］［y］［z］與2列之和做按位異或運(yùn)算，2列即：A［x－1］［．］［z］和A［x＋1］［．］［z－1］，θ的數(shù)學(xué)模型如圖2所示．從而可以得出三維矩陣中θ函數(shù)所有的列具有奇偶校驗(yàn)性質(zhì)，假設(shè)三維數(shù)組中的某一列有2個活性位，經(jīng)θ函數(shù)變換后，活性位的個數(shù)不變，僅改變位置，將這種狀態(tài)集稱為列校驗(yàn)內(nèi)核（Column parity kernel）或者CP－kernel［1，8］．

圖2　θ置換函數(shù)的數(shù)學(xué)模型Fig．2 Mathematical model ofθpermutation function

2．2 CP－kernel原象攻擊

文獻(xiàn)［8］提出利用迭代函數(shù)θ的奇偶性質(zhì)對SHA－3算法實(shí)施4輪的原象攻擊，其中一種方法是在1 600位寬的狀態(tài)矩陣中每一列和為0時，θ運(yùn)算不會引起差分改變，其漢明重量也不變，實(shí)施攻擊過程中設(shè)計(jì)者從具有最低漢明重量的CP－kernel差分性質(zhì)開始，通過1輪運(yùn)算仍然保持一個非常低的漢明重量；第2種攻擊方法是利用簡單的觀察法，經(jīng)θ運(yùn)算更新的一列位元的5位值要么保持不變，要么全部翻轉(zhuǎn)，所以在攻擊過程中即使不清楚所給列的每一個位元，只需將選擇的位元經(jīng)過θ運(yùn)算便可看出該位元的變化，具體分析如圖3所示．

圖3　θ置換函數(shù)的列校驗(yàn)性質(zhì)Fig．3 Column parity kernel property of θpermutation function

θ置換函數(shù)中所有運(yùn)算均基于列的異或，如果θ狀態(tài)矩陣中每一列均具有偶校驗(yàn)性質(zhì)，則1 600位狀態(tài)差異存在于CP－kernel中，且狀態(tài)差異經(jīng)函數(shù)θ運(yùn)算后保持不變；如果有一列奇數(shù)位存在差異，則經(jīng)過θ運(yùn)算后可將其擴(kuò)展到10位，所以θ函數(shù)在5步迭代中起到擴(kuò)散三維數(shù)組的作用．正因?yàn)棣染哂辛衅媾夹ｒ?yàn)的性質(zhì)，攻擊者可利用該性質(zhì)對SHA－3算法實(shí)施縮減輪數(shù)的原象攻擊、碰撞攻擊以及近似碰撞攻擊．所以θ置換函數(shù)運(yùn)算后的異或隨機(jī)數(shù)，其目的就是破壞原有的奇偶性，攻擊者即使分析出中間狀態(tài)每一列的奇偶性，但進(jìn)入ρ的初始狀態(tài)后，無法在后續(xù)步驟中應(yīng)用θ性質(zhì)進(jìn)行攻擊．

2．3 CP－kernel抗原象攻擊的改進(jìn)

SHA－3算法5步迭代置換中的θ函數(shù)具有CP－kernel性質(zhì)，利用該性質(zhì)尋找差分路徑［9］，從而可采用中間相遇的方法對縮減輪數(shù)的SHA－3算法進(jìn)行攻擊．首先，結(jié)合文獻(xiàn)［8］和［10］對SHA－3算法成功實(shí)施了3輪原象攻擊、2輪碰撞攻擊以及3輪近似碰撞攻擊．然后，根據(jù)SHA－3算法θ函數(shù)的CP－kernel性質(zhì)，每一輪置換函數(shù)經(jīng)θ運(yùn)算后，所得結(jié)果與隨機(jī)數(shù)做異或運(yùn)算，即R＝θ⊕γ。ρ。π。χ。τ，打亂經(jīng)θ置換函數(shù)運(yùn)算后的漢明重量，針對3輪的原象攻擊方法，提出了一種基于隨機(jī)數(shù)的增強(qiáng)型CP－kernel抗原象攻擊方案，見圖4．

圖4　增強(qiáng)型CP－kernel抗原象攻擊方案Fig．4 Preimage resistance attack based on the improved CP－kernel

圖4給出了對SHA－3算法實(shí)施抗原象攻擊的具體運(yùn)算過程，其中，Mi代表需要處理的消息值，C代表初始狀態(tài)中的容量值，Si代表每一輪迭代運(yùn)算后的中間鏈值，Ri則表示輸入的隨機(jī)數(shù)，每輪加入的隨機(jī)數(shù)視使用者對開銷面積的要求而定，可以是相同的一組數(shù)據(jù)，也可以是不同的數(shù)據(jù)．Mi經(jīng)過一輪改進(jìn)的置換函數(shù)運(yùn)算后，其中間值與逆運(yùn)算得到的中間值是一樣的，在迭代函數(shù)θ后異或了隨機(jī)數(shù)，由于縮減輪數(shù)的原消息值在迭代過程中異或未知的隨機(jī)數(shù)，導(dǎo)致即使中間結(jié)果相同，反推出的信息值與原信息值卻不相等，所以該方法可阻止利用中間相遇的方法尋找原象，提高了SHA－3算法的安全性．此外，在θ置換函數(shù)運(yùn)算后異或隨機(jī)數(shù)，可以阻止現(xiàn)有的區(qū)分器找到縮減輪數(shù)的SHA－3算法零和子集路徑，從而使攻擊者在知道雜湊值的情況下，無法利用現(xiàn)有的方法對SHA－3算法進(jìn)行原象攻擊．

2．4 SHA－3算法抗原象攻擊優(yōu)化

在SHA－3算法5步迭代θ函數(shù)后異或隨機(jī)數(shù)，對算法原有的CP－kernel進(jìn)行改進(jìn)，改變每輪θ函數(shù)的奇偶性，阻止攻擊者利用該限制條件實(shí)施攻擊．SHA－3算法抗原象攻擊優(yōu)化結(jié)構(gòu)如圖5所示，該設(shè)計(jì)結(jié)構(gòu)主要包含總控制端、數(shù)據(jù)的緩存、輪函數(shù)和數(shù)據(jù)讀寫4個模塊，其中總控制端主要是保證各個模塊按照算法流程工作；數(shù)據(jù)緩存（buffer）主要是為避免運(yùn)算過程中內(nèi)部數(shù)據(jù)處理速度低于外部數(shù)據(jù)讀取速度導(dǎo)致輸入信息覆蓋而增加的一個緩存模塊；輪函數(shù)是算法結(jié)構(gòu)的核心，是根據(jù)算法的安全性需要所設(shè)計(jì)的24輪5步迭代置換函數(shù)，隨機(jī)數(shù)添加在θ函數(shù)運(yùn)算后的狀態(tài)矩陣中，提高了算法的安全性；數(shù)據(jù)讀寫模塊主要根據(jù)要處理的消息值以及所需雜湊值長度，按照規(guī)定進(jìn)行數(shù)據(jù)的讀寫．算法本身的處理速度主要體現(xiàn)在24輪5步迭代的過程中，所以硬件語言以速度優(yōu)先的方法實(shí)現(xiàn)，在一個時鐘周期內(nèi)完成5步迭代運(yùn)算．

圖5　SHA－3算法抗原象攻擊性能優(yōu)化設(shè)計(jì)框圖Fig．5 The block of optimization preimage resistance on SHA－3algorithm

該設(shè)計(jì)利用VHDL硬件語言實(shí)現(xiàn)，首先用matlab產(chǎn)生一組隨機(jī)數(shù)并且將該組數(shù)據(jù)存儲在相應(yīng)的寄存器中，經(jīng)θ函數(shù)迭代運(yùn)算后，將隨機(jī)數(shù)與更新后的狀態(tài)矩陣進(jìn)行異或運(yùn)算．算法偽代碼如下：

Algorithmθ

Random—R［x］

for x＝0to 4do

C［x］＝a［x，0］

for y＝1to 4do

C［x］＝C［x］⊕a［x，y］

end for

end for

for x＝0to 4do

D［x］＝C［x－1］⊕ROT（C［x＋1］，1）

for y＝0to 4do

B［x，y］＝a［x，y］⊕D［x］

A［x，y］＝B［x，y］⊕R［x］

end for

end for

3 實(shí)驗(yàn)結(jié)果與分析

根據(jù)SHA－3算法所提供的KAT（Knowledge acquisition toolkit）數(shù)據(jù)，對所提出的SHA－3算法抗原象攻擊方案進(jìn)行多組數(shù)據(jù)測試與分析，加入隨機(jī)數(shù)后，θ在進(jìn)入下一步迭代函數(shù)的列奇偶校驗(yàn)性質(zhì)變?yōu)槲粗?，所以采用中間相遇的方法無法對SHA－3實(shí)施有效的原象攻擊和碰撞攻擊，測試版本選擇Keccak－256［11－12］．

表1是Keccak算法的輸入消息值，其中CaV 是Capacity Value的縮寫，表示容量值，在每輪的迭代過程中長度是固定的；表2是θ置換函數(shù)輸出后異或的隨機(jī)數(shù)，其中ChV是Chaining Value的縮寫，表示每輪迭代在5步函數(shù)運(yùn)算后的結(jié)果，其長度為三維數(shù)組的大小．表3與4是算法前4輪中的256位部分輸出結(jié)果，S下標(biāo)代表輪數(shù)，其中表3為由表1中的輸入數(shù)據(jù)經(jīng)過SHA－3算法后的部分輸出值，表4為在本文方案的基礎(chǔ)上，加入隨機(jī)數(shù)后SHA－3標(biāo)準(zhǔn)部分的輸出值．由于對應(yīng)道上二者的輸出值完全不同，在θ之后加入未知的隨機(jī)數(shù)，則無法通過中間相遇的方法推算出每輪狀態(tài)的初始值，改變CP－kernel的奇偶校驗(yàn)特性，從而有效抵御攻擊者利用θ性質(zhì)以及中間相遇的方法對SHA－3實(shí)施原象攻擊．

表1　輸入數(shù)據(jù)Table 1 Input data

表2　輸入隨機(jī)數(shù)Table 2 Input random data

表3　SHA－3標(biāo)準(zhǔn)輸出結(jié)果Table 3 Standard output results of SHA－3

表4　SHA－3改進(jìn)后的輸出結(jié)果Table 4 Output results of improved SHA－3

基于隨機(jī)數(shù)提出的抗攻擊方案，增加了尋找零和子集的復(fù)雜度［13－14］，消息值或者經(jīng)每一輪運(yùn)算后中間鏈值的零和子集經(jīng)過5步迭代運(yùn)算后結(jié)果不為零；或者消息值和中間鏈值子集不為零，經(jīng)5步迭代運(yùn)算后其結(jié)果為零．表5與6是SHA－3算法最終的Hash值，以下就輸出結(jié)果做幾組分析：第1組：當(dāng)表1中輸入數(shù)據(jù)“010F1”為零和子集時，表5中對應(yīng)位的輸出“C3E01”為零和子集，表6中對應(yīng)位的輸出“459BD”子集之和不為零，可以記為“001”；第2組：“00000”“4E142”“AA1C6”，可記為“001”；第3組：“0000000”“30E0F041”“18E4D3A”，可記為“001”．從輸入輸出數(shù)據(jù)可看出，加入隨機(jī)數(shù)后零和子集的排列發(fā)生了改變，而且每一輪同一狀態(tài)下零和子集的分布也不同，因此攻擊者無法準(zhǔn)確找出初始值對應(yīng)的零和子集，并對SHA－3算法實(shí)施零和區(qū)分攻擊．

表5　SHA－3標(biāo)準(zhǔn)輸出結(jié)果Table 5 Standard output results of SHA－3

表6　SHA－3改進(jìn)后的輸出結(jié)果Table 6 Output results of improved SHA－3

4 結(jié) 論

通過對SHA－3算法的加密過程以及性質(zhì)的研究，并結(jié)合θ置換函數(shù)的CP－kernel性質(zhì)，基于目前對SHA－3算法實(shí)施原象攻擊所使用的方法，提出了一種有效的抗原象攻擊方案，并利用硬件語言實(shí)現(xiàn)了此方案．實(shí)驗(yàn)結(jié)果表明，該設(shè)計(jì)使得SHA－3算法具有良好的加密特性，在不改變算法新穎獨(dú)特的海綿結(jié)構(gòu)設(shè)計(jì)的同時，增加了尋找零和子集的復(fù)雜度，可抵御零和區(qū)分攻擊，具有良好的抗原象攻擊能力，進(jìn)一步提高了算法的安全性能，拓寬了SHA－3算法的應(yīng)用范圍．

參考文獻(xiàn)（References）：

［1］ BERTONI G，DAEMEN J，PEETERS，M，et al．The Keccak［J］．Lecture Notes in Computer Science，2013，7881：313－314．

［2］ BERTONI G J，DAEMEN J，PEETERS M，et al．Cryptographic sponge functions，January，2011，http：／／sponge．noekeon．org．

［3］ DINUR I，DUNKELMAN O，SHAMIR A．New attacks on Keccak－224and Keccak－256［C］／／Fast Software Encryption．Heidelberg：Springer，2012：442－461．

［4］ DINUR I，DUNKELMAN O，SHAMIR A．Collision attacks on up to 5rounds of SHA－3using generalized internal differentials［C］／／Fast Software Encryption．Heidelberg：Springer，2014：219－240．

［5］ DUAN M，LAI X J．Improved zero－sum distinguisherfor full round Keccak－f permutation［J］．Chinese Science Bulletin，2012，57（6）：694－697．

［6］ NAYA－PLASENCIA M，R?CK A，MEIER W．Practical Analysis of Reduced－Round Keccak［M］．Heidelberg：Springer，2011：236－254．

［7］ AUMASSON J P，MEIER W．Zero－sum distinguishers for reduced Keccak－fand for the core functions of Luffa and Hamsi［C］．ACM Conference on Computer ＆Communications Security，Chicago：ACM，2009：1－4．

［8］ MORAWIECKI P，PIEPRZYK J，SREBRNY M，et al．Preimage attacks on the round－reduced Keccak with the aid of differential cryptanalysis［J］．Eprint Iacr Org，2013：2003：561．

［9］ MORAWIECKI P，PIEPRZYK J，SREBRNY M．Rotational cryptanalysis of round－reduced Keccak［C］／／Fast Software Encryption．Heidelberg：Springer，2014：241－262．

［10］ NAYA－PLASENCIA M，ROCK A，MEIER W．Practical analysis of reduced－round keccak．In：Bernstein［C］／／The 2011International Conference on Cryptology．India：Springer，2011（12）：236－254．

［11］ 高曉東，楊亞濤，李子臣．SHA－3置換函數(shù)的差分轉(zhuǎn)移概率分析［J］．計(jì)算機(jī)科學(xué)，2014，41（3）：159－162．GAO Xiaodong，YANG Yatao，LI Zichen．Differential transition probability analysis of SHA－3permuta－tion function．Computer Science，2014，41（3）：159－162．

［12］ BAYAT－SARMADI S，MOZAFFARI－KERMANI M，REYHANI－MASOLEH A．Efficient and concurrent reliable realization of the secure cryptographic SHA－3algorithm［J］．IEEE Transactions on Computer－Aided Design of Integrated Circuits and Systems，2014，33（7）：1105－1109．

［13］ TAHA M，SCHAUMONT P．Side－channel countermeasure for SHA－3at almost－zero area overhead［C］／／2014IEEE International Symposium on Hardware－Oriented Security and Trust（HOST）．Arlington：IEEE，2014：93－96．

［14］ LI Jianrui，WANG Pengjun，JIANG Zhidi，et al．Design of anti－distinguish attack of SHA－3algorithm based on enhancement－mode CP－Kerne?。跜］／／2014 IEEE 12th International Conference on Solid State and Integrated Circuit Technology Proceedings．Guilin：ICSICT 2014，2014．

Optimization of preimage resistance on SHA－3algorithm

LI Jianrui，WANG Pengjun，ZHANG Yuejun（Institute of Circuits and System，Ningbo University，Ningbo 315211，Zhejiang Province，China）

ournal of Zhejiang University（Science Edition），2016，43（1）：097－102

Abstract：By analyzing the linear property of Keccak－fpermutation functions of SHA－3algorithm and the round－reduced preimage attack of Keccak hash function，an optimization of preimage resistance on SHA－3algorithm is proposed．Firstly，we combine the differential property of Keccak algorithm and even parity ofθpermutation function，and analyze the preimage resistance of SHA－3algorithm based on CP－kernel．Secondly，according to the current preimage attack methods on SHA－3algorithm，the output ofθpermutation function XOR random numbers are used to change Hamming weight and to improve the properties of CP－kernel．It prevents an attacker from using meet－in－themiddle method to find the preimage．Finally，the scheme has been implemented with VHDL hardware language．And，the results show that the encryption process has a good performance and high security．

Key Words：SHA－3algorithm；Keccak hash function；preimage resistance；random numbers；security

通信作者＊，E－mail：wangpengjun＠nbu．edu．cn．J

作者簡介：李建瑞（1989－），女，碩士，主要從事低功耗集成電路和信息安全芯片理論研究及設(shè)計(jì)．

基金項(xiàng)目：國家自然科學(xué)基金資助項(xiàng)目（61274132，61474068）；浙江省自然科學(xué)基金資助項(xiàng)目（LQ14F04001）．

收稿日期：2015－02－04．

DOI：10．3785／j．issn．1008－9497．2016．01．016

中圖分類號：TN 79

文獻(xiàn)標(biāo)志碼：A

文章編號：1008－9497（2016）01－097－06