该论文对SSH协议进行了全面的后量子密码学安全性分析。SSH是首批升级以抵抗未来量子计算机攻击的互联网安全协议之一，OpenSSH自2022年4月起默认采用“量子（或其他经典）”安全的混合密钥交换。然而，现有文献对SSH抗量子版本的安全性分析不足：相关工作要么孤立地分析混合密钥交换，不考虑整体协议安全；要么在不适合SSH的安全模型（尤其是在后量子环境下）中分析协议。本研究通过“自顶向下”的方法填补了这一空白：首先在一个更合适的模型（即后量子扩展的认证机密信道建立协议安全模型，ACCE）中证明了SSH的安全性，该扩展能够捕获“先收集、后解密”攻击，具有独立研究价值；然后基于协议级别的ACCE安全分析，推导了SSH底层原语（如OpenSSH和TinySSH最新版本中使用的密钥封装机制“Streamlined NTRU Prime”）的密码学属性，在量子随机预言机模型中证明了相关属性，并解决了文献中关于其分析的开放问题。值得注意的是，对后量子SSH的ACCE安全分析依赖于混合密钥交换中使用的临时KEM的较弱IND-CPA安全性，而此前的工作依赖于更强的IND-CCA安全性。论文最后讨论了将当前后量子SSH实现中的IND-CCA安全KEM替换为更简单、更快的IND-CPA安全KEM的可行性，并提供了相应基准测试。