为了在公共网络中实现保密通信,需要首先在通信各方之间建立共享的对称密钥。口令认证密钥交换(password-based authenticated key exchange,PAKE)协议仅通过使用可记忆口令,就能使通信各方在不安全的信道上实现相互认证,并协商达成这种共享密钥。正因为它具有良好的用户友好性和经济性,使得PAKE协议的研究和设计一直是密码学研究的重点内容。现有PAKE协议大多以传统数论难题(如大整数分解问题、离散对数问题等)为基础。随着量子计算机技术的发展,越来越威胁着这些协议以及其他所有基于数论难题的方案或协议的安全。格密码系统能够抵抗量子攻击,并且具有较高的渐进效率、可并行计算、可证明安全等优点,因此基于格上难题的PAKE协议的研究成为当前密码协议研究领域的一大热点。论文重点研究基于格上难题的两方和三方PAKE协议,主要研究成果如下:1.对现有格上两方和三方PAKE协议分别进行了详细的综述、进行性能对比与分析。性能对比分析结果表明基于(环上)带误差学习问题构造的PAKE协议,其通信量合理,计算更加高效,是后量子认证密钥交换协议的希望之一。另外,详细分析与总结了当前在两方和三方格基PAKE协议研究中存在的重要问题。2.基于Abdalla等提出的协议CAPAKE提出一个基于环上带误差学习问题的两方PAKE协议,并在通用可组合框架下详细证明了其安全性。该协议既保持了CAPAKE的优势,又能抵抗量子攻击。并且,不同于CAPAKE,该协议不将口令以明文的形式直接存储在服务器之上,大大降低了服务器被攻陷后所带来的危害。该协议采用了相较于其他调和机制更加高效的Peikert式误差调和机制。通过与现有格上两方PAKE协议进行比较,结果表明该协议具有更高的安全性和计算效率。3.提出一个理想格上基于验证元的三方PAKE协议,其采用的底层困难问题为环上带误差学习问题。我们仍然采用Peikert式误差调和机制解决了误差问题。同样,该协议的安全性也在通用可组合框架下被详细证明。新提出的协议能有效抵抗服务器泄露攻击,比现有协议更加安全。在计算效率和通信性能方面,通过与现有格上三方PAKE协议进行比较分析,结果表明新协议保持了现有格上三方PAKE协议的计算与通信效率。