專利名稱:隱式證書驗證的制作方法
技術領域:
本發(fā)明涉及公共密鑰密碼。
背景技術:
公共密鑰密碼用于允許在一對通信對端之間進行安全通信,并允許對源自通信對端之一的消息進行認證。在公共密鑰密碼系統(tǒng)中,每個通信對端使用私有密鑰和通過數(shù)學函數(shù)與私有密鑰相關聯(lián)的公共密鑰。該數(shù)學函數(shù)提出了"困難"的數(shù)學問題以確保不能通過相應的公共
密鑰來獲得一方的私有密鑰。這種問題包括RSA密碼系統(tǒng)中所使用的對兩個大素數(shù)的乘積進行因子分解的難度,以及在數(shù)字簽名算法(DSA)中使用的在有限域上的離散對數(shù)問題的難解決性。離散對數(shù)系統(tǒng)得到廣泛使用,并且這種系統(tǒng)的特定適配利用了在有限域上定義的橢圓曲線中的點。這種系統(tǒng)被稱為橢圓曲線密碼系統(tǒng)(ECC),以比其它系統(tǒng)更小的密鑰大小提供了高級別的安全性。
在需要安全地交換消息時,在一般稱為密鑰協(xié)商協(xié)議的特定協(xié)議中使用公共密鑰和私有密鑰,以建立通信對端之間的共享密鑰且不公開相應的私有密鑰。然后,共享密鑰可以用于對通信對端之間的消息進行加密和解密。
橢圓曲線公共密鑰密鑰協(xié)商協(xié)議典型地包括下列步驟
麥勢貢腐^Te;; Co"W^"o"人每一方隨機生成短期(短暫)公共密鑰,根據(jù)作為隨機整數(shù)的私有密鑰以及種子點,提供表示短暫公共密鑰的點并且將相應的短暫公共密鑰傳送至另一方(而不傳送私有密鑰)。另外,每一方可以傳送其長期靜態(tài)公共密鑰。
^^^立。每一方基于其接收自另一方的靜態(tài)和短暫密鑰并基于其自身生成的短暫私有密鑰來計算共享密鑰。由于橢圓曲線的特性,兩方將得到相同的共享密鑰。
麥舒W^"。每一方驗證另一方的長期靜態(tài)密鑰的真實性,以證明能夠計算出共同密鑰的唯一方確實是其所感知的通信對端。 麥勢線M。每一方向另一方證明其擁有共同密鑰,通常通過傳送基于與任一方所傳送的密鑰貢獻相對應的字符串的消息認證校驗值。這向每一方確認了另一方的真實身份,并且證明該方成功計算出了共同密鑰。該步驟可以作為密鑰協(xié)商協(xié)議的一部分或隨后通過共享密鑰的使用來完成。密鑰認證步驟典型地獨立于上述其它協(xié)議步驟來執(zhí)行,并且通常涉及檢査證書的有效性,所述證書通過相應公共密鑰保證一方與其私有密鑰之間綁定的真實性。獨立的密鑰認證步驟允許更多的靈活性(例如在證書的使用中),但是付出很大代價,這是由于密鑰協(xié)商協(xié)議的在線計算代價是由密鑰認證步驟的代價和密鑰建立步驟期間的密鑰計算代價之和所支配的。
證書本質(zhì)上是通信對端的公共密鑰的信任方的簽名以及如發(fā)布方的名稱以及證書持有者的名稱之類的其它信息。在ECC系統(tǒng)中,盡管
可以使用其它簽名協(xié)議,但是通常使用ECDSA協(xié)議來執(zhí)行并驗證簽名。例如,ECDSA簽名生成過程對ECC的域參數(shù)、私有密鑰d以及消息m進行運算,在證書環(huán)境中,消息w包括通信對端的公共密鑰。輸出是簽名(r,",其中簽名分量r以及s是整數(shù),并且如下進行處理。
1、 選擇隨機整數(shù)*^[1,"-1],"是域參數(shù)之一。
2、 計算AG-Od,")并且將^轉(zhuǎn)換為整數(shù)^,其中G是在橢圓曲
線E上的點并且是域參數(shù)之一。
3、 計算^= ^ mod",其中如果f0,則返回步驟l。
4、 計算6 = //—),其中i/代表密碼散列(hash)函數(shù),其輸出具有不超過"的比特長度(如果不滿足該條件,則可以截斷/Z的輸出)。
5、 計算^ = ^^+ c^)mod",其中a是簽名者的長期私有密鑰。
如果
s=0,則返回步驟l。6、將(r, s)對作為消息w的ECDSA簽名輸出。
ECDSA簽名驗證過程對若干域參數(shù)、長期公共密鑰2 (其中g =
a(7)、消息m以及以上導出的簽名(r,"進行運算。ECDSA簽名驗
證輸出對簽名的拒絕或接受,并且如下進行處理。
1、 驗證r和j是區(qū)間[l,n-l]中的整數(shù)。如果驗證失敗,則返回拒絕。
2、 計算6 = //(—
3、 計算w =mod w
4、 計算wi = ew mod/ 以及w2 = , mod "
5、 計算i -w,G + M2g-^ (eG + r0 (根據(jù)以上3和4)
6、 如果7 =00,則拒絕該簽名
7、 將A的x坐標^轉(zhuǎn)換為整數(shù)^;計算v- 5, mod"
8、 如果v:r,則接受該簽名,否則拒絕該簽名
應當理解,可以使用如ECGDSA之類的其它簽名生成和驗證步驟,并且有時可以省略用于確認簽名完整性的特定步驟。
因此,為了對通信對端的公共密鑰(即包含通信對端的公共密鑰以及其它消息的消息m)進行認證,需要驗證證書上的簽名。
認證之后,通常確認每一方的密鑰確實相同。在兩方A和B之間執(zhí)行密鑰協(xié)商協(xié)議期間,A方建立了密鑰& ,而B方建立了密鑰《s。密鑰確認包括A通過向B傳送某個量/ 其中/是某個公知函數(shù),來向B證明A知道&, B將該量與其自己計算的值/fKP進行比較并且僅當這些值相匹配的時候才接受(反之亦然)。該函數(shù)/使得女口果),則有極大概率& =士《s并且已經(jīng)建立了共同密鑰。
如上所述,密鑰認證步驟向密鑰協(xié)商協(xié)議添加了很多計算負荷。因此本發(fā)明的目的是消除或者減輕上述缺點。
發(fā)明內(nèi)容
一般而言,申請人已經(jīng)認識到,通過對共享密鑰和證書驗證的組合進行聯(lián)合計算,可以在隨后的密鑰確認步驟中獲得證書的隱式驗證。優(yōu)選地,簽名驗證使用了齊次驗證等式,即等于O的等式,使得對證書驗證的失敗將導致在共享密鑰的計算值之間的不等性。
在一個方面,提供了一種對要在通過密碼系統(tǒng)互相通信的一對通信對端之間共享的密碼密鑰進行計算的方法, 一個通信對端接收另一通信對端的公共密鑰信息的證書,所述證書要與所述一個通信對端的私有密鑰信息相結(jié)合以生成所述密鑰,所述方法包括下列步驟通過將所述公共密鑰信息和所述私有密鑰信息相結(jié)合,并將與所述證書的驗證相對應的分量包括在所述計算中,使得所述證書的驗證失敗導致在所述一個通信對端處的密鑰不同于在所述另一通信對端處計算的密鑰。
在另一方面,提供了一種計算機可讀介質(zhì)、密碼單元和系統(tǒng),配置用于執(zhí)行上述方法的步驟。
現(xiàn)在參考附圖來描述本發(fā)明的實施例,其中
圖1是數(shù)據(jù)通信系統(tǒng)的示意表示。
圖2是第一密鑰協(xié)商協(xié)議的示意表示。
圖3是另一個密鑰協(xié)商協(xié)議的示意表示。
具體實施例方式
因此,參見圖l,密碼通信系統(tǒng)總體上由數(shù)字10來表示。系統(tǒng)IO
具有可以在通信信道16上互相通信的第一通信對端12和第二通信對端14。通信信道16可以安全或不安全的。每個通信對端分別具有密碼模塊18和20,用于進行密碼運算,該密碼運算對在所選域上定義的橢圓曲線E進行運算。密碼模塊18可以是硬件,計算機可讀軟件指令或二者的結(jié)合,并被配置為執(zhí)行如下所述的密碼運算。
通信對端12具有長期私有密鑰"a"以及相應的長期公共密鑰」=aG,其中G是在域參數(shù)中指定的曲線上的基點。
為了向通信對端12認證公共密鑰A,從信任權威獲得證書lA。該證書包括在公共密鑰^上的信任權威的簽名,可以使用信任權威的公共密鑰g來驗證該簽名。類似地,通信對端14具有長期私有密鑰b和相應的長期公共密鑰B二bG以及其公共密鑰的證書丁B??梢杂闪硪粋€信任方對證書TB簽名
或者使用與用于獲得證書TA的公共密鑰不同的另一個公共密鑰來對證書TB簽名。
典型地,每個通信對端12, 14可以分別生成隨機整數(shù)x、 y,用作會話或者短暫私有密鑰,該密鑰將生成相應的短暫公共密鑰xG、 yG。然而,為了清晰起見,在將描述的第一實施例中,使用每個通信對端的長期密鑰來建立共同密鑰。
在圖2所示的第一密鑰協(xié)商協(xié)議中,利用使用ECDSA來簽名的證書TA, TB來采用靜態(tài)橢圓曲線DiffieHellman (ECDH)密鑰生成過程。
首先,通信對端12、 14交換公共密鑰A、 B以及相應的證書TA、TB。共同密鑰是K^bG,可以根據(jù)接收到的公共信息以及其自己具有的私有信息來計算該共同密鑰。因此KAiB并且K^bA。
為了驗證該密鑰的真實性,通常驗證證書TA和TB。然而,在本實施例中,聯(lián)合執(zhí)行密鑰生成和認證以提高效率。如上所述,ECDSA在其驗證中提供了
R = s-1 (eG + rQ)。
相應地,如果證書驗證成功,則s" (eG + rQ)-R= 5: = O。通過取r為點R的x坐標值,可以根據(jù)簽名分量r來恢復R的值。x坐標提供了兩個可能的y值,并且為了解決不明確性,將正確值的指示包括在簽名中,或者有預先商定的規(guī)則來選擇這些值之一作為允許計算出R的正確值。
每個通信對端還具有來自證書TA、 TB的簽名(r, s)。為了計算密鑰K,通信對端12通過將公共密鑰和私有密鑰信息相結(jié)合并包括與簽名驗證相對應的分量來計算密鑰KA。因此
KA = abG + 、(SB"(eBG + r必)-RB)
其巾
、是隨機值
rB、- SB是證書Ts的簽名分量
eB是證書中消息m的散列,包括通信對端14的公共密鑰B,并且RB是根據(jù)fB恢復的值
可以認識到,如果證書認證了B的公共密鑰,則簽名驗證分量
sb—乂eBC7 + rB^)-R旦)應當為零,因此該計算應當?shù)玫矫荑€KA = aB。
類似地,通信對端14計算KB:abG + ^(sa"(eAG + rA仏)-RA),其
中i"a、 sa、 RA的值與證書TA相關。再一次,如果證書認證成功,則應
當?shù)玫矫荑€Kj^bA。
在每個通信對端12、 14已經(jīng)計算出相應密鑰KA、 Kb之后,通信對 端12、 14實現(xiàn)密鑰確認步驟以交換作為共同密鑰的函數(shù)的信息。如果 接收到的信息與計算出的不匹配,則拒絕該密鑰。
共同密鑰不同的一個原因是從證書驗證部分獲得的值不為零,說
明該證書未通過認證。通過在每個計算中插入隨機值人a對每個通信
對端12、 14通常是不同的)增強了認證過程的效力。
因此,通過聯(lián)合計算共同密鑰的值以及與O相對應的關系,如果 證書認證成功,則計算量得以減少。
圖3示出了另一實施例,其中將MQV密鑰協(xié)商協(xié)議與使用ECDSA 簽名的證書的認證相結(jié)合。
在圖3的實施例中,通信對端12和14分別具有長期私有密鑰a、 b, 長期公共密鑰A、 B,短期私有密鑰x、 y以及短期公共密鑰X、 Y。在 ECMQV中,共同密鑰具有如下形式
K = cX + dB
其中
c = x + ag(x) (mod n)以及
d = eg (Y)(mod n) 其中g是公知的表示函數(shù),將橢圓曲線點映射至合適的整數(shù)。
假定每個通信對端具有另一通信對端的證書TA、 TB,則每個通信 對端將短期公共密鑰X、 Y分別發(fā)送至另一通信對端。
通信對端U計算s,2 = (x + ag(x)) mod n。通信對端14計算 s14=(y+bg(y))m0dn。然后,共同密鑰K可以計算為
K>Sl2(Y + g(y)B) = s14(X + g(X)A)
為了認證該密鑰,必須對通信對端的長期公共密鑰的證書進行認證。相應地,如上所述,通信對端12將共同密鑰K計算為
KA = Sl2(Y + g(y)B) + M
=(x + ag(x)) ( Y + g(y)B) +sB") G + (、+ 、RB
并且,通信對端14將共同密鑰K計算為
KB = s14(X + g(x)A) + Xs
=(y + bg(y)) ( X + g(x)A) + (X2 eAsA-')G + ( i2 i^Sa'1)^ + 、RA
對于每個通信對端,X是隨機整數(shù),并且Z是針對相應證書的簽名 驗證關系s"(eG + r0-R。
假定Z =0,則密鑰相匹配,并且對證書了進行隱式認證。
所獲得的效率可以歸功于在點加倍運算上的節(jié)約以及使用多次 點相乘策略的可能性。
從安全角度看,隨機值x應當從大小為o(V^)的集合中選擇,這是
由于該集合與求解ECDLP問題的工作量相對應。從中選擇入的集合可 以變化,安全性也隨之發(fā)生變化。如果人從大小為2t的集合中選取,其 中t < (log2 n)/2,則密鑰認證強度將降至t比特。由于這種人的選擇,計 算aB+XR涉及wtH (a)次點加法(涉及B或B-R),其中wtH是值a的二進 制表示的Hamming權重。在計算aB中涉及到的點加法次數(shù)與此相同。
可以使用非鄰接形式(NAF)來計算量(Xes")G +( Xrs") g,在Guide to Elliptic Curve Cryptography, Vanstone et al., Springer, 第98至101 頁中更完整描述了NAF,其內(nèi)容以引用的方式并入本文。
以這種方式估計KA的工作量大約是m次點加法以及w次加倍,其 中m是曲線的比特大小。
通過比較,估計K^aB并驗證ECDSA簽名分別具有5m/6次加法和 2m次加倍的工作量。
因此,可實現(xiàn)30%的改進。如上所述,如果使用在美國專利申請 No. 11/333,296中所示的"快速驗證"技術,則可實現(xiàn)10%數(shù)量級的節(jié)約。
通過考慮具有以NAF表示而不是以二進制表示的整數(shù)的人,可以 獲得進一步的改進。由于w/h (a) =m/3,有l(wèi)丄l^3"^〉Vn (注意,丄中 的全部整數(shù)是NAF形式,因此是唯一的)。執(zhí)行類似如上的分析,此處 給出的方法產(chǎn)生大約5m/6次加法以及w次加倍。在這種情況中,此處給出的方法產(chǎn)生1.52m次加法,而不是使用上述二進制方法的1.70m次 加法,從而與分離計算(快速驗證和普通ECDSA驗證)相比分別產(chǎn)生 22%和47%的效率提高。注意,在這種情況中可以寫為aB - X R = (a-V + X—)B-X+(R-B)- T(R+B);其中人=入++入一,并且V和X—定義了X的
分量,所述分量分別具有與a的對應分量相同或不同的符號。
可以將止匕推廣至Guide to Elliptic Curve Cryptography, Vanstone et al., Springer,第99頁(w22)中描述的w-NAF表示。則i丄hV,其中 ^=2"+1并且t=M%(a)(全部整數(shù)是w-NAF形式,所以是唯一的)。 如果假定—a) m/—+l),則獲得^(2"+l,(w+'^2^^ V"。更詳細 的分析表明aB+入R中的加法可以以與在aB中的相同代價來計算(使 用相同方法),但是后者具有更大得多的預計算代價,約為2 +1)—2)/2 而不是2^2。存儲代價如下1對3(>=2), 2對8—=3), 4對24—=4), 8 對64—=5)。因此,如果存儲代價是選擇的度量,則比較是有些誤導的 如果存儲8個點并且僅使用w-NAF技術,則可以使用5-NAF計算a5或者 使用3-NAF計算來計算"5+;U ,這樣的代價是0.166m次加法,相對而 言使用本技術為0.25m次加法。因此,本技術可以被認為以aB+XR的估 計中0.083m次額外加法為代價,節(jié)約ECDSA簽名的估計中的m次加倍。 該方法基本上從ECDSA驗證過程中移除了加倍運算,即ECDSA 驗證的增量代價變?yōu)閮Hm/2次加法,而不是(在擴縮之后)0.85m次加 法(快速驗證)與1.02w次加法(普通ECDSA驗證),即提供了對ECDSA 驗證過程的70-104%的效率提高??梢酝ㄟ^對多次點相乘的全部能力 的更充分利用并且通過使用加窗和w-NAF方法來獲得進一步的提高。 根據(jù)圖3的實施例涉及MQ V和ECDS A:
令丄:={義I supp(義)c supp(c) u supp(d",其中整數(shù)x以二進制形式 表示。如果c和d是JSF表示,則supp(c)Usupp(d)具有權重-m/2 (其中 m:=log2n),所以IL卜^。由于這種對人的選擇,計算KA+XR精確涉及 wtH(c, d)次點加法。選擇X,使得相對于預計算的點r、 5、 7-仏y+萬, 這里的非零分量具有與cY+dB中的相應系數(shù)相同的符號(這確保了所 有X確實是唯一的)。因此,可以完成所有計算,涉及s個點r、仏r+仏5、 i +r、 i +仏i +;r+仏^+;r-s (而不是需要i2個點)。 一旦如上所
述的確定了X,則可以使用聯(lián)合NAF形式來計算量a"")G+(人w—1)2。
按照這種方式來估計《/所涉及的工作量大約是附次點加法以及w次點 加倍。顯而易見地,通過利用多次點相乘的全部能力并且通過使用加
窗和w-NAF方法可以獲得改進。然而,主要的改進是這種結(jié)合計算提 供了對加倍運算的大量節(jié)約的前景。
上述方法可以用于產(chǎn)生簡單旁道攻擊(side channel attack)抵御 實現(xiàn)。細節(jié)如下。另Z ("supp(;c)csupp(c)W,其中認為所有整數(shù)都 以二進制表示。由于W (c) -w/2,有|丄|《々"?,F(xiàn)在,另人=入++入一, 其中人+是L的隨機元素,并且針對所有在supp (c)外的位置將V設置 為1,否則設置為0??梢允褂?個預計算的點7、^、7+5、^+/ 以及}^+^^
來執(zhí)行c y+"s + ;r/ 的計算。 一旦如上所述使用涉及R、 Q和G的7
個非零部分和確定了人,則可以計算量入—R + ((人e s—^ G + (入r s") Q)。 通過預計算22二5x3+3+4個點,可以使用多次點相乘,使用正好m+22 次點加法以及m次點加倍來計算《/。人—的選擇保證了在針對點相乘的 二進制方法中每個步驟都涉及加法。通過使X—:=0,可以僅預計算19 個點,但是不可能強制每個迭代輪一次加法,因此旁道攻擊是可能的。 可以通過選擇另一個人+直到獲得這種條件來確保這一點,然而,其自
身可能泄露旁道信息。上述方法具有與基于在^4計算期間添加偽點加
法運算來防止簡單旁道攻擊的方法相同的代價,但是同樣實現(xiàn)了 ECDSA簽名驗證。因此,在該方法中實質(zhì)上無代價地提供了ECDSA
簽名驗證。
假定i:位于G生成的素數(shù)階子群中。它應當具有足夠大的階數(shù)。
如果i;對應于ECDSA驗證等式,則可以通過檢查/zi^(9來容易地對該條 件進行檢查,其中h是曲線的余因子(co-factor)。
由于對加倍運算的節(jié)約以及對多次點相乘策略的利用,上述方法 導致了性能改進。此外,該方法不限于在密鑰協(xié)商協(xié)議的執(zhí)行期間將 密鑰認證和密鑰建立步驟相結(jié)合;該方法可以應用至必須計算一些密 鑰并且驗證一些橢圓曲線等式的任意設置(事實上,密鑰甚至不需要 是秘密的)。這就是說,該方法在可以驗證所計算的密鑰是否正確的設置中最有用(由于這將產(chǎn)生關于齊次橢圓曲線等式s = o是否成立的判
斷)。因此,該方法在確實證明知道所計算密鑰的所有設置中可以有效 地工作。
用于將驗證與密鑰計算相結(jié)合的方法可以在比上述設置中更一 般的設置中工作。可以通過使用對每個驗證具有不同X的計算和驗證等
式的結(jié)合來獲得多個ECDSA簽名(證書鏈)的驗證。類似地,任意橢 圓曲線的驗證以及多個橢圓曲線等式的批處理驗證是可能的。
使用ANSIX9.63, NISTSP800-56a中的ECDH方案(包括ECIES, 統(tǒng)一模型,STS, ECMQV, ElGamal加密)來進行密鑰計算也是可能 的。可以在例如具有ECDSA證書的PV簽名中檢査提供正確性的非秘 密ECC點的計算。類似地,可以對提供正確性的多個ECC點的計算進 行檢查。
還可能對在其它代數(shù)結(jié)構(gòu)(包括超橢圓曲線,基于身份的密碼系
統(tǒng),等等)中的運算應用這種技術。
用于提供簡單旁道抵御的X的使用實質(zhì)上是無代價的。 盡管以上按照特定示例實施例進行了描述,但是應當理解,在所
附權利要求的范圍內(nèi),實施例的變型是可能的。
權利要求
1、一種對要在通過密碼系統(tǒng)互相通信的一對通信對端之間共享的密碼密鑰進行計算的方法,一個通信對端接收另一通信對端的公共密鑰信息的證書,所述證書要與所述一個通信對端的私有密鑰信息相結(jié)合以生成所述密鑰,所述方法包括下列步驟通過將所述公共密鑰信息和所述私有密鑰信息相結(jié)合,并將與所述證書的驗證相對應的分量包括在所述計算中,使得所述證書的驗證失敗導致在所述一個通信對端處的密鑰不同于在所述另一通信對端處計算的密鑰。
2、 根據(jù)權利要求l所述的方法,其中,所述驗證利用在所述證書中包含的簽名。
3、 根據(jù)權利要求2所述的方法,其中,當所述證書驗證成功時,所述分量等于零。
4、 根據(jù)權利要求3所述的方法,其中,所述分量中包括隨機元素,以掩蔽所述證書的驗證。
5、 根據(jù)權利要求4所述的方法,其中,選擇所述隨機元素以在所述簽名的驗證中提供反復迭代,從而禁止旁道攻擊。
6、 根據(jù)權利要求l所述的方法,其中,所述密碼系統(tǒng)是橢圓曲線密碼系統(tǒng)。
7、 根據(jù)權利要求6所述的方法,其中,所述計算是使用多次點相乘來執(zhí)行的。
8、 根據(jù)權利要求6所述的方法,其中,所述證書包括由橢圓曲線簽名協(xié)議進行的簽名。
9、 根據(jù)權利要求8所述的方法,其中,所述簽名協(xié)議是ECDSA。
10、 根據(jù)權利要求6所述的方法,其中,所述公共密鑰信息是橢圓曲線點的表示,所述公共密鑰信息和所述私有密鑰信息的組合過程包括點相乘。
11、 根據(jù)權利要求10所述的方法,其中,所述簽名的驗證要求多次點相乘。
12、 根據(jù)權利要求ll所述的方法,其中,所述計算是使用多次點相乘來執(zhí)行的。
13、根據(jù)權利要求l所述的方法,包括以下步驟確認由所述一 個通信對端生成的密鑰與所述另一通信對端的密鑰相符。
全文摘要
本發(fā)明提供了一種對要在通過密碼系統(tǒng)互相通信的一對通信對端之間共享的密碼密鑰進行計算的方法,一個通信對端接收另一通信對端的公共密鑰信息的證書,所述證書要與所述一個通信對端的私有密鑰信息相結(jié)合以生成所述密鑰。所述方法包括下列步驟通過將所述公共密鑰信息和所述私有密鑰信息相結(jié)合,并將與所述證書的驗證相對應的分量包括在所述計算中,使得所述證書的驗證失敗導致在所述一個通信對端處的密鑰不同于在所述另一通信對端處計算的密鑰。
文檔編號H04L9/32GK101641905SQ200780049588
公開日2010年2月3日 申請日期2007年11月15日 優(yōu)先權日2006年11月15日
發(fā)明者馬瑞內(nèi)斯·斯特林克 申請人:塞爾蒂卡姆公司