0 引言2006年中国互联网信息中心CNNIC调查显示,我国即时通信(InstantMessaging,IM)活跃用户占网民总数的59.8%,IM在人们的日常联系中发挥着越来越大的作用。但IM系统同时存在极大的安全隐患,其面临的主要威胁有:窃听、账号假冒与口令破解、蠕虫病毒传播等[1]。主要IM服务提供商在系统设计时多以实用性为目的,较少考虑安全性问题。为了有效保护用户的敏感信息,需要对IM进行安全性设计。目前,针对主流IM安全问题的解决方案主要是通过SSL方式实现客户端到服务器的认证和加密通信[2],尚未有效地解决客户端之间的身份认证、消息加密与消息认证问题。本文在不影响IM功能的前提下,设计附加在IM客户端的安全