伴随着物联网技术的高速发展,机密数据的安全性和隐私性问题一直是重点研究的对象。现如今,由于物联网与云计算技术的深度融合,通过前端传感器设备节点采集到的大量数据上传并存储至云数据服务器中,这方便了用户读取物联网环境中产生的数据。然而,由于网络的公开性,数据在传输及存储的过程中会面临很多安全威胁,若数据被攻击者非法篡改或访问,会造成严重的损失。身份认证与密钥协商协议作为保证公共网络信道中数据进行安全秘密通信的第一道防线,能够实现参与通信的设备节点之间进行双向身份认证及会话密钥的协商,在保护用户数据的安全性方面起到了至关重要的作用。但是,传统的数据安全技术只提供了数据的传输态与存储态的安全保护,没有提供数据运行态的安全保护。因此,本文引入Intel SGX机密计算技术,在其可信执行环境中完成了身份认证协议方案中涉及关键密钥数据的计算过程,保护了认证协商计算过程中的敏感数据。本文围绕物联网云服务器环境下身份认证与密钥协商协议作为研究主线,结合Intel SGX机密计算技术并根据不同资源限制场景,研究提出了基于不同安全因子及不同安全机制的身份认证协议方案,并且结合研究的认证协议方案实现基于SGX技术的数据加密认证交互应用,将现有加密数据的密钥由原先的存储态转变为运行态。主要研究工作及创新点如下:（1）本文提出了一个基于扩展切比雪夫混沌映射并结合SGX机密计算技术的动态匿名三因子认证协议方案（协议方案A）。该协议方案在每轮会话实时生成用户节点的匿名身份标识以及与网关控制节点间的临时认证凭证数据,并且在会话结束时针对关键认证凭证数据进行动态更新,有效抵抗跟踪攻击并保证前向安全性。同时,结合SGX机密计算技术,在计算资源足够的网关控制节点及数据服务器节点配置可信执行环境用于执行涉及关键密钥数据的协商流程。通过对协议方案A使用基于BAN逻辑分析、随机预言机模型、AVISPA仿真工具进行形式化安全分析证明了协议方案A的安全性与可用性,通过非形式化安全分析、性能分析评估以及NS-3网络仿真实验,结果表明该协议方案在资源开销较少的基础上具备更好的安全性与可用性。（2）为了进一步优化性能开销,本文在之前工作的基础上,提出了一种基于SGX机密计算技术的轻量级身份认证协议（协议方案B）,实现了关键认证凭证分阶段同步更新。本协议方案可以满足前向安全性,可以校验会话密钥协商的数据完整性,抵抗追踪攻击。该协议方案中,仅网关控制设备节点配置Intel SGX机密计算环境,用于密封系统主密钥数据,并将涉及主密钥的计算步骤置于可信执行环境中执行,有效抵抗了内部特权用户攻击。通过基于BAN逻辑、随机预言机模型及AVISPA仿真工具的形式化安全分析证明了协议方案B的安全性与可用性,通过非形式化安全分析、性能分析对比以及基于NS-3网络仿真实验,证明了该轻量级协议方案具备更全面安全特性的同时只产生较少的资源消耗。（3）结合所提协议方案B,设计并实现一个基于Intel SGX机密计算技术的数据加密认证交互应用DEAIA-SGX,该应用针对用户节点、网关控制节点及数据服务器节点提供身份认证及会话密钥协商的能力,保证会话过程中数据的传输态安全,同时,该应用提出一种使用用户个人身份标识信息及基于SGX密封的存储密钥数据在Enclave可信执行环境中针对传输数据进行混合加密的方法,将原有密钥从存储态转变为运行态,提高了存储数据的安全性。通过对该应用进行详细设计、实验分析、安全性测评,证明了该应用具备理论意义和现实意义。