1976年，Diffie和Hellman首次提出密钥协商协议后，经过几十年的发展，密钥协商算法已经成为了密码学中不可或缺的组成部分。传统的密钥协商协议主要是基于传统数论难题的DH型协议。随着Shor证明了存在多项式时间内求解大整数分解、离散对数求解等传统数论问题的量子算法，这就意味着一旦量子计算机问世，基于传统数论难题的密码体制将不再安全。目前，基于格的公钥密码被认为是最具有发展前景的后量子密码方案之一，其中LWE和SIS更是格上最有效的构造密码方案的困难问题。可证明安全理论的提出将密码协议的安全性规约到解决基本的数学难题上，给密码协议的安全性证明提供了一套公理化的证明方案，使得方案的安全性更可靠。因此，设计格上可证明安全的密钥协商算法也是密码学研究的热点之一。本文的主要工作如下：　　首先，对格理论、可证明安全理论、密钥协商协议进行阐述。主要介绍设计格上公钥密码算法中常用的几种特殊格以及格上的困难问题、密钥协商协议的安全模型、安全属性和可证明安全的方法论。　　其次，为了研究基于 NTRU格上的密钥协商协议，本文设计了一种基于 NTRU格的可证明安全密钥协商协议，该方案利用数字签名算法进行双方认证；根据Fujioka等利用密钥封装机制（KEM）提出的认证密钥协商协议的通用构造理论研究了密钥封装机制，基于判定性Diffie-Hellman和 Hash函数族设计了一种密钥封装机制，并且证明了该方案在DDH假设下是IND-CCA2安全的。　　再次，针对现有的基于LWE密钥协商协议轮数多、缺少双方认证等问题，本文对基于LWE和RLWE的经典的方案─DXL12和ZZD+15等进行了分析和研究，设计了一种基于 RLWE的一轮认证密钥协商协议，该方案的共享密钥尺寸减小为2n log q。另外，采用格上陷门函数技术提供双方认证功能，设计了一种基于LWE的认证密钥协商协议，并证明其在eCK模型下是可证明安全的。　　最后，为了研究如何利用 SIS问题来设计密钥协商算法，本文引用 WZM+方案中提出的SIS问题的变体形式─双边非齐次小整数解问题（Bi-ISIS），构造了改进的三轮双方认证密钥协商协议。该方案可以实现双方密钥确认，并且不借助于其他密码组件来提供双方认证，方案的安全性基于SIS困难问题，在eCK模型中是可证明安全的，为基于SIS问题设计密钥协商协议提供了一种新思路。