WO2010088812A1

WO2010088812A1 - 即时消息的传送方法、系统及wapi终端

Info

Publication number: WO2010088812A1
Application number: PCT/CN2009/072744
Authority: WO
Inventors: 梁洁辉; 施元庆; 商泽利
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-02-06
Filing date: 2009-07-13
Publication date: 2010-08-12
Also published as: CN101483863B; CN101483863A

Description

即时消息的传送方法、系统及 WAPI终端

技术领域本发明涉及通信领域，具体而言，涉及一种即时消息的传送方法、系统及 WAPI终端。背景技术无线局 i或网 ( Wireless Local Area Network, 筒称为 WLAN ) 最初使用的有线等效加密（ Wired Equivalent Privacy, 筒称为 WEP ) 安全机制已被证实不具备等效于有线的安全性，这给 WLAN带来了巨大的安全隐患。我国在制定 WLAN国家标准的过程中，采用了无线局域网认证和保密基础结构 ( WLAN Authentication Privacy Infrastructure, 筒称为 WAPI ) 机制来替代 IEEE 802.11安全方案。 WAPI通过公钥体系的椭圆曲线迪菲-赫尔曼的密钥十办商十办议 ( Elliptic Curve Diffie-Hellman , 筒称为 ECDH ) 实现终端证书与接入点（ Access Point , 筒称为 ΑΡ )证书的 -险证和会话密钥的协商。 WAPI 在数据链路层上保证终端与 AP之间的数据保密传输，防止 WLAN受到诸如：中间人攻击、重放攻击、冒名顶替攻击等攻击行为。

IP多媒体子系统（ IP Multimedia Subsystem , 筒称为 IMS ) 的即时消息 ( Instant Massage , 筒称为 ΙΜ ) 业务允许用户以接近实时的方式向其它用户发送消息。通信的内容可以包括文本消息、 HTML页面、图片、歌曲文件、视频剪辑和其它普通文件，并且，即时消息还可以用于交换敏感信息，例如：个人隐私资料、公司保密信息、银行账号信息、以及其它金融交易信息等。

IM业务需要确保交换信息的完整性和保密性，了解通信对端的真实身份和允许某些情况下的匿名通信。数字签名方法能够有效地对即时消息通信对端进行身份认证，保护消息传输过程中的完整性和防止通信对端的 ·ί氐赖。但是，目前相关技术中缺少在 WAPI安全机制下安全、完整、筒单地传送 IM的解决方案。发明内容考虑到相关技术中不能够基于 WAPI安全机制，进行安全、完整、筒单地传送即时消息，为此，本发明提供了一种即时消息的传送方法、系统及 WAPI终端，以解决相关技术中存在的上述问题至少之一。为了实现上述目的，才艮据本发明的一个方面，提供了一种即时消息的传送方法，用于在第一 WAPI终端与第二 WAPI终端之间传送即时消息。艮据本发明的即时消息的传送方法包括：在第一 WAPI 终端与第二 WAPI终端接入 IMS核心网后，第一 WAPI终端对待发送的即时消息进行哈希运算，得到第一运算结果；第一 WAPI终端利用其私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；第一 WAPI终端将未加密的即时消息、第二运算结果共同发送至第二 WAPI终端。优选地 , 第一 WAPI终端 /第二 WAPI终端接入 IMS核心网具体包括：第一 WAPI 终端 /第二 WAPI终端与其接入点和鉴权服务器进行三元对等认证 ,在通过认证的情况下，第一 WAPI终端 /第二 WAPI终端接入 IMS核心网。优选地，在第一 WAPI终端首次向第二 WAPI终端发送即时消息时，该方法还包括：在第一 WAPI终端通过三元对等认证后，第一 WAPI终端将其公钥证书附加在首次发送的即时消息之后发送至第二 WAPI终端。优选地 , 该方法还包括：第二 WAPI终端接收到来自第一 WAPI终端的未加密的即时消息、第二运算结果；第二 WAPI终端对接收到的未加密的即时消息进行哈希运算，得到第三运算结果；第二 WAPI终端利用预先获取的第一 WAPI终端的公钥解密第二运算结果，得到第四运算结果；第二 WAPI 终端将第三运算结果与第四运算结果进行比较，并根据比较的结果判断即时消息的完整性。优选地，在第二 WAPI终端接收到来自第一 WAPI终端的未加密的即时消息、第二运算结果之后，该方法还包括：第二 WAPI终端通过验证中心验证第一 WAPI终端的证书，并在 -险证通过的情况下，执行利用第一 WAPI终端的公钥解密第二运算结果的处理。优选地，第二 WAPI终端根据第三运算结果与第四运算结果的比较结果进行判断的处理包括：在第三运算结果与第四运算结果相同的情况下，判断接收的即时消息为完整的；在第三运算结果与第四运算结果不同的情况下，判断接收的即时消息为不完整的。优选地，第一 WAPI终端将未加密的即时消息和第二运算结果共同发送至第二 WAPI终端的处理包括：第一 WAPI终端将第二运算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封装，并将第二运算结果附加在未加密的即时消息之后组成消息体；将消息体与未加密的即时消息的消息头共同发送至第二 WAPI终端。根据本发明的另一方面，还提供了一种 WAPI终端。根据本发明的 WAPI终端包括：第一运算模块，用于对待发送的即时消息进行哈希运算，得到第一运算结果；第二运算模块，用于利用 WAPI终端的私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；发送模块，用于将未加密的即时消息和第二运算结果共同发送至其它 WAPI终端。优选地，该终端进一步包括：接收模块，用于接收到来自其它 WAPI 终端的未加密的即时消息、被加密且经过哈希运算的即时消息；第三运算模块，用于对接收模块接收到的未加密的即时消息进行哈希运算，得到第三运算结果；解密模块，用于利用预先获取的其它 WAPI终端的公钥解密接收模块接收的被加密且经过哈希运算的即时消息，得到第四运算结果；判断模块，用于将第三运算结果与第四运算结果进行比较，并根据比较的结果判断来自其它终端的即时消息的完整性。才艮据本发明的另一方面，还提供了一种即时消息的传送系统，用于实现第一 WAPI终端与第二 WAPI终端之间的即时消息传送。才艮据本发明的即时消息的传送系统包括：第一 WAPI终端，其包括：第一运算模块，用于对待发送的即时消息进行哈希运算，得到第一运算结果；第二运算模块，用于利用 WAPI终端的私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；发送模块，用于将未加密的未加密的即时消息和第二运算结果共同发送至第二 WAPI终端；第二 WAPI终端，其包括：接收模块，用于接收来自发送模块的未加密的即时消息、第二运算结果；第三运算模块，用于对接收模块接收到的未加密的即时消息进行哈希运算，得到第三运算结果；解密模块，用于利用预先获取的第一 WAPI终端的公钥解密接收模块接收的第二运算结果，得到第四运算结果；判断模块，用于将第三运算结果与第四运算结果进行比较，并根据比较的结果判断即时消息的完整性。相比于相关技术，本发明的上述技术方案至少之一，通过使用椭圆曲线加密算法实现对即时消息的签名，能够为通信双方提供防篡改、抗 ·ί氏赖的安全即时消息通信机制。有效的解决了现有技术中缺少在 WAPI安全机制下安全、完整、筒单地传送 IM解决方案的问题。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据本发明实施例的 WAPI终端的结构图；图 2是根据本发明实施例的 WAPI终端的框图；图 3是根据本发明实施例的 WAPI终端的优选结构的框图；图 4是才艮据本发明实施例的即时消息的传送系统的框图；图 5是根据本发明实施例的即时消息的传送方法的流程图；图 6 是才艮据本发明实施例的即时消息的传送方法的优选处理方案的流程图。具体实施方式功能相克述本发明的主要思想是：结合底层 WAPI提供的安全措施，使用采用了公钥基础设施的数字签名算法和 WAPI安全框架，并利用 WAPI提供的椭圆曲线加密方式实现对即时消息的签名 , 为通信双方提供了一种身份认证和防篡改、抗抵赖的安全即时消息通信的技术方案。以下结合附图对本发明的优选实施例进行说明 , 应当理解 , 此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。如果不冲突，本发明实施例及实施例中特征可以相互组合。装置实施例图 1是才艮据本发明实施例的 WAPI终端的结构图。如图 1所示， WAPI 终端分为：操作系统层、无线网络管理层、即时消息业务层。其中，操作系统层包括： WLAN硬件 /驱动层、 WAPI安全框架、 TCP/IP 协议栈、椭圆曲线加密系统，操作系统层主要实现对 WLAN硬件设备的驱动和 WAPI安全方式所用到的加密硬件的驱动 , 对上层提供 WAPI的应用编程接口；无线网络管理层包括：接入管理模块、证书管理模块、证书状态模块、 WAPI接口，无线网络管理层负责终端与 AP之间建立关联，向证书机构申请用于 WAPI安全的证书，保存证书对应的私钥 , -险证证书是否吊销、按证书可区分主体名字保存证书机构证书；即时消息业务层包括：用于实现发送即时消息的会话初始协议（ Session Initiation Protocol, 筒称为 SIP )模块和消息会话中继十办议 ( Message Session Relay Protocol, 筒称为 MSRP )模块、 IM聊天界面、呈现信息。 SIP协议模块和 MSRP协议模块，即时消息业务层负责即时消息的组包和数字签名 , 利用无线网络管理层提供的证书管理接口验证通信对端证书的是否受信任，消息内容在传输过程中是否被修改，并通知用户数字签名验证结果。根据本发明实施例，提供了一种 WAPI终端。图 2是根据本发明实施例的 WAPI终端的框图 ,图 3是才艮据本发明实施例的 WAPI终端的 4尤选结构的才图。如图 2所示 , 才艮据本发明实施例的 WAPI终端包括：第一运算模块 110, 用于对待发送的即时消息进行哈希运算，得到第一运算结果；第二运算模块 120, 连接至第一运算模块 110 , 用于利用 WAPI终端的私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；发送模块 130 , 连接至第二运算模块 120 , 用于将未加密的即时消息和第二运算结果共同发送至其它 WAPI终端。如图 3所示，在图 2所示的结构的基础上，根据本发明实施例的 WAPI 终端还可以包括：接收模块 240 , 用于接收来自其它 WAPI终端的未加密的即时消息、被力口密且经过哈希运算的即时消息；第三运算模块 250 , 连接至接收模块 240, 用于对接收模块 240接收到的未加密的即时消息进行哈希运算，得到第三运算结果；解密模块 260, 连接至接收模块 240, 用于利用预先获取的其它 WAPI 终端的公钥解密接收模块 240接收的被加密且经过哈希运算的即时消息，得到第四运算结果；判断模块 270 , 分别连接至第三运算模块 250和解密模块 260 , 用于将第三运算模块 250得到的第三运算结果与解密模块 260得到的第四运算结果进行比较，并根据比较的结果判断来自其它终端的即时消息的完整性。系统实施例根据本发明实施例，还提供了一种即时消息的传送系统，用于实现 WAPI 终端之间的即时消息传送。图 4是才艮据本发明实施例的即时消息的传送系统的框图，如图 4所示，该系统包括：第一 WAPI终端 10和第二 WAPI终端 20 , 其中，第一 WAPI终端 10具体包括: 第一运算模块 12, 用于对待发送的即时消息进行哈希运算，得到第一运算结果；第二运算模块 14, 连接至第一运算模块 12, 用于利用 WAPI终端的私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；发送模块 16, 连接至第二运算模块 14, 用于将未加密的即时消息和第二运算结果共同发送至第二 WAPI终端。第二 WAPI终端 20具体包括：接收模块 22 , 用于接收来自发送模块 16的未加密的即时消息、第二运算结果；第三运算模块 24, 连接至接收模块 22, 用于对接收模块 22接收到的未加密的即时消息进行哈希运算，得到第三运算结果；解密模块 26 , 连接至接收模块 22 , 用于利用预先获取的第一 WAPI终端的公钥解密接收模块 22接收的第二运算结果，得到第三运算结果；判断模块 28 , 分别连接至第三运算模块 24和解密模块 26, 用于将第三运算模块 24得到的第三运算结果与解密模块 26得到的第三运算结果进行比较 , 并根据比较的结果判断即时消息的完整性。在上述的处理中，可以采用椭圆曲线数字签名算法对即时消息进行加密，该椭圆曲线数字签名算法具有如下优点：

1、安全性高， 160位的椭圆曲线密钥 3艮 1024位的 RSA具有相同的加密强度， 210位的椭圆曲线密码系统与 2048位 RSA具有相同的安全强度；

2、计算量小、处理速度快，适用于存储容量和处理能力受限的嵌入式系统；

3、网络带宽要求较低，椭圆曲线密码系统对于加解密长消息时，与 RSA、 DSA需要相同的网络带宽，但对于短消息，只需要 4艮小的带宽，因此对于即时消息这样的 IMS业务，大部分都是较短的消息，能够为用户和网络运营商节省网络带宽成本。方法实施例居本发明实施例，还提供了一种即时消息的传送方法，该方法用于在第一 WAPI终端与第二 WAPI终端之间传送即时消息。该传送方法可以用于实现上述装置实施例所提供的 WAPI终端以及上述系统实施例所提供的传送系统。首先 , 第一 WAPI终端在发起即时消息业务时 , 通过 WAPI安全方式完成第一 WAPI终端、接入点和鉴权服务器之间的三元对等认证，建立与 AP 之间的关联，可以开始进行正常的分组网络通信，并通过 SIP 协议的 REGISTER请求注册到本地 IMS核心网。第二 WAPI终端也同样进行上述的如第一 WAPI终端的处理，此处不赘述。在第二 WAPI终端成功的登录 IMS核心网后，第一 WAPI终端通过订阅第二 WAPI终端的呈现信息 , 获知第二 WAPI终端在线的消息 , 可以开始进行即时消息通信。第一 WAPI终端可以先通过 SIP OPTIONS请求查询第二 WAPI终端支持的签名算法。图 5是根据本发明实施例的即时消息的安全传送方法的流程图。需要说明的是，在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在图 5中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。如图 5所示，该方法包括以下处理：步骤 S502, 在第一 WAPI终端与第二 WAPI终端接入 IMS核心网后，第一 WAPI终端对待发送的即时消息进行哈希运算，得到第一运算结果；步骤 S504, 第一 WAPI终端利用其私钥并使用椭圆曲线加密算法对第一运算结果进行加密，得到第二运算结果；步骤 S506, 第一 WAPI终端夺未加密的即时消息、第二运算结果共同发送至第二 WAPI终端。下面详细描述上述各处理的细节。图 6 是根据本发明实施例的即时消息的安全传送方法的优选处理方案的流程图。下面将 WAPI终端筒称为终端，如图 6所示，该流程包括以下处理：

S601 , 终端采用证书方式的 WAPI机制，与接入点进行相互认证并进行关联，从而建立终端与 IM服务器的 IP通道。 S602, 用户启动 IM聊天界面 , 由 SIP协议模块发起 IMS注册流程，收到月务器的 200OK响应后，用户可以开始使用即时消息应用。

S603 , 用户发起 IMS注册成功后，需要订阅联系人的呈现信息，当对端设备 (第二 WAPI终端）也成功注册到 IMS核心网后，终端能够接收到它的上线通知 , 这样就可以与对端进行即时消息交换过程。 S604, 终端输入要与对端通信的内容，可以是文本消息或者文件，如果其中包含一些重要信息或者敏感信息的内容，那么可以启用安全机制 , 进行数字签名。

5605 , 用户发起即时消息时 , 由 SIP协议模块组建 SIP即时消息请求 , 在头部字段 Content-Type 中包含即时消息的 '†装格式，例如 Message/CPIM 或者 Text/Plain。如果要传输文件的话，可能需要建立一个 SIP会话进行协商。

5606 , 终端对消息内容进行哈希算法，例如 SHA-1 , 对即时消息内容进行哈希操作，需要对先前的即时消息请求进行扩展，添加一个数字签名消息段，与原始消息内容用特定符号隔开。上述步骤 S601 - S606对应图 5中的步骤 S502。 S607, 终端调用 WAPI提供的椭圆曲线加密算法（ EC ), 利用证书对应的私钥对上一步骤的哈希运算结果进行加密（也就是签名），添加一个消息段，在消息段中夺头部字段 Content-Type指定为 "multipart/signed" , 用头部字段 Content-Disposition指示通信方如何处理 jt匕消息分段。

S608 , 终端将签名的结果按照安全多功能互联网配件扩展 ( Secure/Multipurpose Internet Mail Extensions, 筒称为 S/MIME )十办议规定的消息格式封装，将其附加到即时消息请求的后面，发送至对端设备。上述步骤 S607 - S608对应图 5中的步骤 S504。 5609 , 如果是第一次与对端设备进行通信，终端需要将公钥证书也按 S/MIME协议规定的证书编码方式附加到即时消息请求的消息体后。例如：可以在 SIP Message请求中附力。用户的公钥证书，再添力。一个消息段， jt匕消息段中头 4字段 Content- Type 指定为 "Application/pkcs7-mime" , 消息体为 WAPI安全机制所使用的证书。

5610, 终端将以上待发送的即时消息（未加密）、经过加密的即时消息、公钥证书等三部分内容组成 SIP的即时消息请求的消息体，与原有的即时消息头部一起发送至 IMS核心网。如果对端设备能够成功验证数字签名 , 那么带数字签名功能的即时消息通信系统可以正常运行。上述步骤 S610对应图 5中的步骤 S506。同理 , 对端设备也可以采用类似以上步骤的过程发送带签名的即时消息。在进行上述处理之后 , 即时消息通信对端（第二 WAPI终端）接收到带签名的即时消息后，执行验证是否存在用户的证书信息、证书截止日期是否有效、证书的颁发机构是否为所信任的证书机构、证书的可选主体名称是否与此消息的头部字段 FROM的地址记录一致等处理。如果未通过验证，通知用户是否接受有关证书验证的结果。如果验证通过的话，用证书中的公钥对签名消息段进行解密，对消息内容进行哈希运算，将两者的结果进行比较，如果一致，则证实此消息确实是证书对应的用户发送的、而且没有被别人篡改。之后，可以将此用户的证书加入自己的密钥环中 , 以证书主体名称作为索引进行存储以便后续通信使用。综上所述，借助于本发明的上述技术方案，通过使用椭圆曲线加密算法实现对即时消息的签名，能够以更加筒单的方式为通信双方提供防篡改、抗 •ί氏赖的安全即时消息通信机制。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的^^申和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种即时消息的传送方法，用于在第一无线局域网认证和保密基础结构终端 WAPI终端与第二 WAPI终端之间传送即时消息，其特征在于，所述方法包括：

在所述第一 WAPI终端与所述第二 WAPI终端接入 IP多媒体子系统 IMS核心网后，所述第一 WAPI终端对待发送的所述即时消息进行哈希运算，得到第一运算结果；

所述第一 WAPI 终端利用其私钥并使用椭圆曲线加密算法对所述第一运算结果进行加密，得到第二运算结果；

所述第一 WAPI 终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端。

2. 根据权利要求 1所述的方法，其特征在于，所述第一 WAPI终端 /所述第二 WAPI终端接入所述 IMS核心网具体包括：

所述第一 WAPI终端 /所述第二 WAPI终端与其接入点和鉴权服务器进行三元对等认证，在通过认证的情况下，所述第一 WAPI终端 /所述第二 WAPI终端接入所述 IMS核心网。

3. 根据权利要求 2所述的方法，其特征在于，在所述第一 WAPI终端首次向所述第二 WAPI终端发送所述即时消息时 , 所述方法还包括：

在所述第一 WAPI终端通过所述三元对等认证后 , 所述第一 WAPI 终端将其公钥证书附加在首次发送的所述即时消息之后发送至所述第二 WAPI终端。

4. 根据权利要求 1所述的方法，其特征在于，还包括：

所述第二 WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果；

所述第二 WAPI 终端对接收到的未加密的所述即时消息进行哈希运算，得到第三运算结果；

所述第二 WAPI终端利用预先获取的所述第一 WAPI终端的公钥解密所述第二运算结果，得到第四运算结果；所述第二 WAPI 终端将所述第三运算结果与所述第四运算结果进行比较，并根据比较的结果判断所述即时消息的完整性。

5. 根据权利要求 4所述的方法，其特征在于，在所述第二 WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果之后，所述方法还包括：

所述第二 WAPI 终端通过-险证中心-险证所述第一 WAPI 终端的证书，并在验证通过的情况下，执行利用所述第一 WAPI终端的公钥解密所述第二运算结果的处理。

6. 根据权利要求 4所述的方法，其特征在于，所述第二 WAPI终端根据所述第三运算结果与所述第四运算结果的比较结果进行判断的处理包括：在所述第三运算结果与所述第四运算结果相同的情况下，判断接收的所述即时消息为完整的；

在所述第三运算结果与所述第四运算结果不同的情况下，判断接收的所述即时消息为不完整的。

7. 根据权利要求 1所述的方法，其特征在于，所述第一 WAPI终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端的处理包括：

所述第一 WAPI 终端将所述第二运算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封装，并将所述第二运算结果附加在未加密的所述即时消息之后组成消息体；

将所述消息体与所述未加密的所述即时消息的消息头共同发送至所述第二 WAPI终端。

8. 一种 WAPI终端，其特征在于，包括：

第一运算模块 , 用于对待发送的所述即时消息进行哈希运算，得到第一运算结果；

第二运算模块 , 用于利用所述 WAPI终端的私钥并使用椭圆曲线加密算法对所述第一运算结果进行加密，得到第二运算结果；

发送模块，用于将未加密的所述即时消息和所述第二运算结果共同发送至其它 WAPI终端。

9. 根据权利要求 8所述的终端，其特征在于，进一步包括：接收模块，用于接收来自其它 WAPI 终端的未加密的所述即时消息、被加密且经过哈希运算的所述即时消息；

第三运算模块，用于对所述接收模块接收到的未加密的所述即时消息进行哈希运算，得到第三运算结果；

解密模块，用于利用预先获取的所述其它 WAPI终端的公钥解密所述接收模块接收的被加密且经过哈希运算的所述即时消息 , 得到第四运算结果；

判断模块，用于将所述第三运算结果与所述第四运算结果进行比较，并根据比较的结果判断来自所述其它终端的所述即时消息的完整性。

10. 一种即时消息的传送系统，用于实现第一 WAPI终端与第二 WAPI终端之间的即时消息传送，其特征在于，所述系统包括：

所述第一 WAPI终端，其包括：

第一运算模块，用于对待发送的所述即时消息进行哈希运算，得到第一运算结果；

第二运算模块，用于利用所述 WAPI终端的私钥并使用椭圆曲线加密算法对所述第一运算结果进行加密，得到第二运算结果；发送模块，用于将未加密的所述未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端；

所述第二 WAPI终端，其包括：

接收模块 , 用于接收来自所述发送模块的未加密的所述即时消息、所述第二运算结果；

解密模块，用于利用预先获取的所述第一 WAPI终端的公钥解密所述接收模块接收的所述第二运算结果，得到第四运算结果；判断模块，用于将所述第三运算结果与所述第四运算结果进行比较，并根据比较的结果判断所述即时消息的完整性。