网关口令认证密钥交换协议(简称GPAKE协议)使得用户和网关在服务器的协助下建立一个共享的会话密钥,其中用户和服务器之间共享一个低熵的口令用于认证,但是用户的接入和数据传输由网关来提供。GPAKE协议的模型比较接近移动互联网中的漫游接入、移动支付以及手机银行等应用场景。自2005年由Abdalla等人提出以来,得到了密码研究者与业界的高度关注,成为轻量级口令协议研究的一个独特分支和热点问题。经过近几年的研究,GPAKE协议的安全模型不断完善,设计方法逐步趋于成熟,然而随着网络技术的飞速发展与增值业务的实时创新,GPAKE协议研究与设计仍具有时代意义和广阔的应用前景。本文致力于对GPAKE协议的安全模型和协议设计进行系统的研究。通过完善协议模型的安全目标对具有强安全性的GPAKE协议安全模型开展研究,利用不同的密码体制构造了安全高效的GPAKE协议以及GPAKE协议的通用框架,并且研究了如何增加用户匿名性以实现隐私保护的目的。主要完成工作如下:1.对已有的GPAKE协议进行了安全性分析并针对其不足进行改进。指出了由Abdalla等人在2008年设计的匿名GPAKE协议不能抵抗不可检测在线字典攻击,以及Yoon等人在2010年设计的被称为最优的O-GPAKE协议存在计算冗余和设计准则错误;针对已有GPAKE协议存在的安全漏洞,利用Diffie-Hellman密钥交换思想与RSA密码体制分别设计了两个能够抵抗不可检测在线字典攻击的GPAKE协议,所设计的协议可以实现双向认证并且在效率方面存在一定优势。2.研究了匿名GPAKE协议的设计。匿名GPAKE协议既要注意保护用户隐私又要兼顾协议效率,设计难度较大,当前的研究成果很少。以匿名的两方PAKE协议的设计思想和私密信息检索协议为基础,采用不同的密码体制提出了两个安全高效的匿名GPAKE协议,解决了GPAKE协议中用户匿名性和抵抗不可检测在线字典攻击不能共存的矛盾。3.研究了标准模型下GPAKE协议的设计。以标准模型下两方PAKE协议的设计思路为参考,提出了第一个标准模型下的S-GPAKE协议;进一步采用公钥加密体制和平滑投射哈希函数等密码学组件,完成了标准模型下GPAKE协议的通用框架的设计;通用框架是对标准模型下S-GPAKE协议设计准则的概括和提升,采用了模块化的设计与证明思路,可以利用DDH假设、二次剩余假设和N次剩余假设对通用框架进行实例化得到不同类型的GPAKE协议。4.研究了具有强安全性的GPAKE协议安全模型。针对GPAKE协议安全模型多不能涵盖不可检测在线字典攻击、临时密钥泄露和口令泄露伪装攻击的现状,首先在用户和服务器共享口令,服务器和网关之间通过对称密钥建立认证通道的对称环境下,提出了一个可以实现前向安全并且抵抗不可检测在线字典攻击的安全模型;其次,进一步假设服务器和网关之间通过非对称密钥建立认证通道,用户除了与服务器共享口令外还可以得到服务器的加密公钥的非对称环境下,提出了可以抵抗临时密钥泄露和口令泄露伪装攻击的安全模型。