密钥协商协议是保证参与者在开放的网络中实现安全通信的一种重要手段。通过密钥协商协议获得的临时会话密钥,参与者们可以加密本次通信中的后续会话,从而实现安全的会话过程。这种密钥建立方式公平、简单,且参与各方无需信任其它参与者,有着较强的实用性,受到了学者们的广泛关注,也在工业界得到了大量的应用。密钥协商的目的是在不可靠的通信环境下实现参与者的安全会话,在这种环境下,存在着多种多样的攻击方式,从而决定了分析与设计密钥协商协议的复杂性。目前,可证明安全理论是保证协议实现有条件安全的重要手段。在既定的安全目标下,可证明安全理论将协议的安全性归约于数学问题的难解性。如果这些数学问题的难解性被公认是成立的,那么就可以保证协议的安全性。本文围绕认证密钥协商协议的分析与设计展开研究,分别从双方、三方和多方三个方面对安全协议的设计、现有协议的分析以及协议所依托的安全模型改进进行了较深入的讨论,完成了以下七方面的工作:1)总结了设计安全协议的基本原则,指出合理的安全目标是设计安全协议的首要条件。在此基础上,归纳了认证密钥协商协议应实现的基本安全目标。2)设计了两个新的双方认证密钥协商协议,并在eCK模型下进行了严格的形式化证明。eCK模型是目前用于双方认证密钥协商协议的模型中,赋予敌手最强攻击能力的安全模型。与已有的在CK模型或eCK模型下安全的双方协议相比,新协议的安全假设基于CDH问题,明显弱于比较对象使用的DDH问题或GDH问题。3)基于口令的协议是密钥协商的一个重要分支,而在三方口令认证密钥协商的安全模型中,INDOCRYPT 2008上日本学者K. Yoneyama基于eCK模型构造的3eCK模型是目前赋予敌手最强的攻击能力的安全模型。基于这一理论,我们提出了一个在该模型下安全的三方口令认证密钥协商协议,新协议是首个基于CDH安全假设的三方口令协议,在证明过程中,首次使用了在EUROCRYPT 2008上提出的陷门测试技术,利用该技术,可以为模拟者解决CDH问题构造一个判定预言,而这一判定预言并不需要对应的离散对数。4)GBG模型是目前针对多方认证密钥协商协议的赋予敌手最强攻击能力的安全模型,但我们发现,GBG模型中并没有包含临时私钥泄露攻击。我们首先利用这一攻击对在GBG模型下可证明安全的BGS协议进行安全性分析,之后指出GBG模型的缺点并提出了扩展后的GBG模型,在新模型下对改进的BGS协议进行了严格的形式化论证。5)分析了宽带数字内容保护规范中的密钥协商协议,指出该协议不能抵抗未知密钥共享攻击和冒充攻击,也不具备前向安全性和密钥确认的性质。基于这些发现,我们提出了一个改进的协议版本,新协议在计算量有微小增加的前提下弥补了这些安全漏洞。6)2008年,我国台湾学着T. Chen等人提出了一种三方口令认证密钥协商协议,该协议最大的优点是服务器不需要保存参与者的口令,从而降低了服务器成为攻击对象的危险性,协议仅需要三轮即可实现参与者双方的密钥协商目标,计算量消耗也相对较低。但如果该协议中的VA和VB丢失,敌手可以借此发动中间人攻击。我们描述了这一攻击,并提出了一种改进的协议。新协议可以抵抗包括中间人攻击在内的多种常见攻击,同时,由于参与者自己选取各自的口令,从而避免了服务器被控制后获取有效信息的可能。7)提出了一种高效的具有可容错性的多方认证密钥协商协议。新协议可以抵抗DoS攻击、重放攻击、中间人攻击和共模攻击,也具备前向安全性。我们还提出了一种简单的新协议在大规模网络中的扩展协议。