认证密钥协商协议是构建安全网络环境的基础,通过认证密钥协商协议,在通信系统中为通信的参与者提供身份认证,为身份已经确认的参与方之间建立共享密钥,用来加密传递的消息。加密算法、Hash算法、MAC、签名算法等都是构成密钥协商协议的密码学原语。根据参与者数目的不同,密钥协商协议分为两方密钥协商协议、三方密钥协商协议和群密钥协商协议。根据认证方式不同可分为基于传统公钥证书的认证密钥协商、基于身份的认证密钥协商以及无证书的认证密钥协商。除了隐含的密钥认证和密钥确认,密钥协商协议还应该具备如下一些性质:已知会话密钥安全、前向安全、抗密钥泄漏伪装攻击、抗未知密钥共享攻击、无密钥控制。在效率方面,密钥协商协议应该考虑通信复杂度和计算复杂度,其中通信复杂度包括:通信轮数和传输的数据量。本文从认证密钥协商协议的安全模型、基于身份的两方密钥协商协议、无证书两方认证密钥协商协议、群密钥协商协议等方面对密钥协商协议进行了深入研究,并得到了如下一些研究结果:1、深入分析两方认证协议的安全模型——BR模型,以及其在三方环境中的扩展模型BR+模型的安全缺陷,得出BR模型和BR+模型不满足完善前向安全性也不考虑恶意敌手的攻击和非密钥控制性。对CK模型和BCP模型也做了分析,得到CK模型的安全缺陷是它没有考虑密钥确认、互相认证,也没有考虑非密钥控制和协作性。对群密钥协商协议的BCP模型的分析结果指出:在BCP模型中AKE安全的协议确实能够保证密钥独立性、隐式密钥认证、(完善)前向安全性和抵抗被动攻击,但是不能保证密钥完整性和已知密钥安全。因此我们对模型进行了扩展,给出了新的群组密钥(GK)安全和新鲜性定义。2、对Tseng Y M提出的一个适用于无线通信的认证群密钥协商协议进行安全性分析,研究发现此协议存在安全缺陷。通过对该协议构造了一种有效的中间人伪造攻击,敌手可以成功获得群会话密钥,因此该协议不满足密钥认证性。基于该协议的安全缺陷,提出改进协议,改进协议实现了通信节点之间的双向认证,不但满足前向安全性、密钥认证性、还能有效抵抗被动攻击和中间人伪造攻击。改进协议中的低能量节点计算出会话密钥的时间只需2.03秒,高能量节点的计算时间仅为原协议的1/2,并且通信开销减小了40%,更适用于能量受限、带宽受限的移动通信系统。3、王圣宝等人提出了一个标准模型下可证明安全的基于身份的认证密钥协商协议,分析该协议,发现在无会话密钥托管模式下,协议不满足主密钥前向安全性,即恶意的密钥生成中心(KGC)能计算出所有的会话密钥。针对无托管的要求,提出一个改进的基于身份的认证密钥协商协议,在标准模型下证明新协议的安全性。新协议满足完善前向安全性和主密钥前向安全性。4、McCullagh-Barreto协议不能抵抗密钥泄露伪装攻击,针对此安全缺陷,给出抗密钥泄露伪装攻击(KCI)的形式化安全模型,并提出一个改进的McCullagh-Barreto协议,在安全模型下证明改进McCullagh-Barreto协议在k-Gap-BCAA1假设下满足抗密钥泄露伪装攻击的安全性。5、借鉴Jong等人提出的无证书公钥加密方案的思想,提出一个无证书认证密钥协商协议——CL-AK协议。在标准模型下,给出了CL-AK协议的安全性证明,该协议满足完善前向安全性。与目前仅有的一个随机预言机模型下可证明安全的无证书密钥协商协议SAKA协议比较,表明CL-AK协议在安全性和运行效率上都得到优化。6、动态群密钥协商协议必须满足密钥独立性。针对Dutta和Barua的动态群密钥协商协议(Dutta-Barua协议)和Wang提出的基于身份的动态群密钥协商协议(WPZ协议)不满足密钥独立性的缺陷,利用SK(Sakai和Kasahara)的基于身份的公钥构造方法,提出一个动态对等群上的基于身份的认证密钥协商协议。协议中计算子密钥时,利用Hash运算和增加会话标识符来避免不同会话中子密钥的关联性。该协议满足密钥独立性,并且同时满足完善前向安全性、主密钥前向安全性,以及抗主动和被动攻击等安全性。与Dutta-Barua协议和WPZ协议相比较,新协议大大降低了计算和通信开销,更适用于动态对等网络。