口令认证密钥交换(PAKE)协议使得参与通信的用户用一个低熵的口令就可以实现实体认证,并能通过不安全的信道安全地生成共享的高熵会话密钥.它们避免了一般认证密钥交换协议要求存在公钥基础设施或要求用户拥有存储长对称密钥的安全硬件等前提假设,有着较强的实用性因而受到了广泛关注.为了使PAKE协议能够抵抗离线字典攻击,达到既定的安全性目标,采用可证明安全性理论进行安全性证明是现在普遍采用的协议分析与设计方法.在协议的安全性分析模型中,标准模型是比理想模型更为自然、更为合理的一类分析模型,且能比理想模型提供更强的安全性保证.但目前关于标准模型下PAKE协议的研究工作还较为缺乏,已有协议的效率和理想模型下的协议相比还有较大的差距.本文对标准模型下PAKE协议的分析与设计进行了研究,重点研究了两方PAKE协议和三方PAKE协议的设计.分别针对不同安全性分析模型、基于不同计算困难性难题假设构造了新的安全的PAKE协议,使其在安全性和效率上比现有同类协议更具有竞争优势.主要完成了以下几方面的工作:1.对几个已有的标准模型下设计的PAKE协议进行了安全性分析.分析了文献“标准模型下可证安全的加密密钥协商协议”中提出的两方PAKE协议,给出了外部攻击者实施的假冒服务器攻击;分析了“标准模型下高效的基于口令认证密钥协商协议”中提出的两方PAKE协议,给出了对协议主动攻击的外部攻击者实施的离线字典攻击;分析了“基于验证元的三方口令认证密钥交换协议”中提出的三方PAKE协议,给出了被动窃听的外部攻击者实施的离线字典攻击.同时还指出了这些协议设计或证明中的被疏忽之处,为同类协议的分析与设计提供了参考和借鉴.2.研究了标准模型下两方PAKE协议的设计.首先,基于非交互、完美绑定且不可延展的承诺体制,平滑投射Hash函数簇等一般性组件设计了一个标准模型下安全的两方PAKE协议.该协议是第一个标准模型下的两轮PAKE协议,同时还能被实例化得到基于DDH假设、二次剩余假设和N次剩余假设等不同难题假设的具体协议;其次,在Katz等最近提出的基于格的口令认证密钥传输协议基础上,利用基于LWE假设的CCA2安全公钥加密体制、近似平滑投射Hash函数簇以及纠错编码等组件,设计了第一个基于格的口令认证密钥交换协议.3.研究了UC框架下基于标准模型的两方PAKE协议的设计.首先对Canetti等提出的协议进行了改进,提出了一个新的PAKE协议,使之同样是标准模型下可证明UC安全的,但具有更高的通信和计算效率;其次,通过构造不可延展的、可提取的且是弱模拟可靠的陷门承诺体制,以及相应的平滑投射Hash函数簇,设计了一个高效的UC安全的两方PAKE协议.该协议采取和Canetti等所提出的协议完全不同的设计方法,避免了零知识证明协议的使用,在保持计算复杂度相当的前提下有效地提高了通信效率,使PAKE协议首次在UC框架下达到了最优的两轮.4.研究了标准模型下三方PAKE协议的设计.针对三方情形设计了一个标准模型下安全的PAKE协议,并在Real-or-Random模型中证明了所设计协议的安全性.该协议具有会话密钥的语义安全性、针对诚实但好奇服务器的密钥私密性,并提供了客户和服务器之间的双向认证.与三方PAKE协议的通用构造相比,该协议不仅减少了通信轮数,还降低了计算复杂度.