随着互联网技术的快速发展和广泛应用,信息安全的重要性日益凸显。现代密码学是保护信息安全的重要理论基础。密钥交换协议是现代密码学最基础的密码学原语之一,能够在开放的信道上使通信双方达成密钥共识,进而进行保密通信。密钥交换协议在互联网协议、电子商务、保密通信等领域已经得到了极为广泛的应用。随着量子计算机的快速发展和量子算法的提出,基于传统数论困难问题的密钥交换协议开始面临挑战。因此,尽快部署和应用抗量子计算机攻击的密钥交换协议成为业界的迫切需求。基于格理论构造的密码系统具有良好的抗量子安全性,因此成为学者研究和关注的热点。近些年来,研究者们提出了许多基于格理论的密钥交换协议,但是这些后量子密钥交换协议在安全性、计算效率和通信量等方面仍然存在缺陷。本论文针对基于格理论的密钥交换协议做了以下工作:1.提出基于消息恢复签名的认证密钥交换协议。现有的基于格理论的认证密钥交换协议多数是隐式认证协议,即不依赖额外的密码学原语实现认证性,而是通过方案自身结构实现。研究证明隐式认证协议无法实现完善前向保密性,而且不适用于基于PKI的数字证书体系。本方案中,我们首先构造了一个IND-CPA安全的密钥封装机制,然后与具有消息恢复模式的数字签名相结合,构造了后量子安全的认证密钥交换协议。该协议在实现认证性的同时减少了协议的通信量。与现有方案相比,本协议在同等后量子安全强度下,通信量减少了21.7%～25.7%,并且计算效率也有所提高。此外,本协议还在安全性方面有所改善,能够在BCK安全模型下实现完善前向保密性,是一种安全、高效的认证密钥交换协议。本协议适用于带宽受限、基于PKI认证体系的场景,如智能卡、手持终端等物联网应用。2.提出基于错误协调机制的密钥交换协议。现有的基于LWE问题构造的密钥交换协议多数是使用密钥封装机制构造的,虽然构造相对简单,但是往往具有较高的通信复杂度。本方案使用Peikert式错误协调机制,基于模LWE问题构造了被动安全的密钥交换协议。相比于使用密钥封装机制的协议,本方案在实现相同的计算效率和安全性的前提下,节约了固定长度的通信量,并且减小了协议出错的概率。此外,本方案的安全性直接依赖于模LWE问题的难解性,安全性相比于原方案更加稳健。协议基于模LWE问题构建,通过调节参数可以在效率和安全性上达到平衡。本方案是类似Diffie-Hellman的密钥交换协议,协议过程相比其他方案较为对称,能够确保通信双方的计算开销和通信开销大致相同。因此本协议比较适用于同等级别用户之间的保密通信,如车联网环境下的应用。