认证密钥交换(AKE)协议允许两个或多个用户通过公开信道协商生成共享的会话密钥,供以后安全通信使用。1993年,Bellare和Rogaway将可证明安全理论用于AKE协议的分析与设计并提出了第一个形式化安全模型。自此之后,不同的形式化安全模型相继被提出。经过近二十年的发展,采用基于可证明安全理论的形式化安全模型分析、设计AKE协议已成为协议研究的主流方法。本文对随机预言模型下AKE协议及相关形式化安全模型的分析与设计进行了研究。重点研究了两方AKE协议和GAKE协议的设计,比较了几个安全模型之间安全性的强弱关系,提出了两个具有更强安全性的安全模型,并针对不同的安全模型基于不同计算困难性假设构造了一些新的AKE协议。主要完成工作如下:1.对几个已有安全模型的安全性进行了比较,分析了三个两方AKE协议的安全性。对eCK2007模型和CK2001模型的安全性进行了比较,通过在两个模型下分析不同的协议证明了它们的安全性互不包含;对MSU2009模型和BCPQ2001模型的安全性进行了比较,证明了MSU2009模型的安全性强于BCPQ2001模型;分析了两个eCK2007模型下设计的两方AKE协议,并对这两个协议给出了具体的攻击方法;分析了Vo等设计的两方多密钥交换协议,对该协议给出了反射攻击以及进一步的改进。2.研究了随机预言模型下两方AKE协议的设计。首先对eCK2007模型进行了分析,指出了该模型存在的不足,并通过在eCK2007模型中增加临时哈希密钥暴露(EphemeralHKeyReveal)查询赋予攻击者更强的能力,提出了增强安全性的meCK2007模型。然后,在meCK2007模型下设计了三个两方AKE协议。与已有同类协议比较,新协议在保持效率的同时具有了更强的安全性。3.研究了平衡网络环境下GAKE协议的设计。首先,对Abdalla等在2010年非洲密码年会上提出的mBD+S协议进行了分析,指出该协议不能抵抗临时密钥泄露攻击和恶意内部用户合谋攻击。然后,对mBD+S协议进行了改进,通过将用户的长期密钥和临时密钥进行哈希函数绑定抵抗临时密钥泄露攻击,并采用增加密钥确认的方法阻止恶意内部用户的合谋攻击。最后,结合MSU2009模型和ACMP2010模型提出了MA模型,并在该模型下证明了改进协议的安全性。4.研究了非平衡无线网络环境下GAKE协议的设计。首先,基于双线性对设计了一个随机预言模型下的GAKE协议,该协议可以抵抗临时密钥泄露攻击、实现了计算能力不受限制用户与计算能力受限制用户之间的双向认证,并且在MSU2009模型下是证明安全的。然后,提出了一个新的在MA模型下证明安全的动态GAKE协议,该协议允许用户随时加入或者离开,并且保证用户离开后无法计算更新后的会话密钥、新加入用户无法计算他加入前已经生成的会话密钥。此外,该协议不仅允许组中全体用户生成共享的组会话密钥,而且允许组中任意两个用户根据需要利用组通信阶段的消息生成共享的两方会话密钥,这使得参与协议运行的用户在较少的计算开销下生成多个会话密钥,更符合无线移动通信的应用需求。