无线Mesh网络是一种与传统无线网络完全不同的新型无线网络技术，它依靠无线链路多跳传输数据，减轻了对有线网络的依赖，更以它频谱效率高、覆盖范围大、可扩展性和可靠性强等优势克服了Ad Hoc网、无线局域网、无线个人区域网、无线城域网的一些限制，因此无线Mesh网络被越来越多的无论是学术界还是商业界的人士所关注，特别是无线Mesh网络的安全问题。 无线Mesh网络是一种民用的Ad Hoc网络，因此它的安全与Ad Hoc网络的安全有点类似，但因Ad Hoc网络的密钥管理与入侵检测方案到目前为止还有很多不足点，不适合无线Mesh网络；无线Mesh网络的扩展性和兼容性等特点使得传统有线网、无线网及Ad Hoc网络的密钥管理与入侵检测方案也不适合无线Mesh网络；另外，现有的无线Mesh网络密钥管理与入侵检测问题的研究处于起步阶段，因此研究一套有效的无线Mesh网络密钥管理和入侵检测方案成为无线Mesh网络广泛应用迫切要解决的问题。 本论文主要分析了国内外无线Mesh网络的密钥管理和入侵检测的研究现状；然后结合无线Mesh网络中无线Mesh路由器移动性弱，移动终端可静止也可移动的通信特点，设计出一个具有扩展性的基于区域的无线Mesh网络拓扑模型，并在此模型基础上利用主动检测、虚拟CA(Certificate Authority)、离线CA、投票机制、门限体制及基于身份加密等技术，设计出一套密钥管理方案与入侵检测管理方案相结合的无线Mesh网络安全机制，并通过定性和模拟实验对密钥管理方案和入侵检测方案的性能进行了分析。 在密钥管理方案中，离线CA对系统公私钥对及用户的公私钥对和公钥证书进行初始化；虚拟CA对系统成员进行授权证书和基于身份私钥的颁发；每个区域的密钥管理都是一个单独的自治系统；在入侵检测方案检测到攻击时，密钥管理方案将撤销攻击节点的授权证书和授权密钥，并对系统或其它用户的密钥进行相应的更新。密钥管理方案主要包括主密钥共享机制、授权证书颁发机制、基于身份私钥获取机制、授权密钥协商机制及认证机制。 在入侵检测方案中，利用基于异常行为检测和模式匹配的入侵检测算法来识别各种攻击方式，当检测出有攻击时，入侵检测方案将对异常节点进行隔离，并将检测结果安全地传递给密钥管理方案，密钥管理方案负责密钥的更新；提出了无线Mesh网络的入侵检测体系架构及检测流程，并以无线Mesh网络常见的拒绝服务攻击和虫洞攻击为例，来阐述如何发现攻击节点、如何隔离攻击节点以及如何进行相应的密钥更新。对于拒绝服务攻击，主要对无线Mesh网络中沿用Ad Hoc网的AODV(Ad Hoc On-demand Distance Vector Routing)路由协议进行了安全分析，提出了拒绝服务攻击模型及拒绝服务攻击检测算法；对于虫洞攻击，主要对微软的支持多射频链路的无线Mesh网络路由协议进行了安全分析，提出利用隐藏身份和利用高带宽发起虫洞攻击的两种虫洞攻击模型，并针对这两种虫洞攻击模型提出了基于端到端和监视节点的检测算法。 本论文的主要创新成果如下： 1) 采用基于区域的拓扑结构，可以处理任何规模的无线Mesh网络和集成不同特性的子网，如Ad Hoc网络和传感器网络； 2) 在密钥管理方案中，使用离线CA的集中式管理和采用虚拟CA的分布式管理，可以增加系统的安全性、可信性和可靠性； 3) 每个区域网络都是一个单独的自治系统，当某个终端用户加入、离开某个区域网络或被检测为攻击者时，入侵检测方案和密钥管理方案相结合来更新密钥；用户可使用同一张授权证书和相应的授权密钥就可自由地加入不同的区域网。这些特征保证了系统信息的前向/后向安全，简化了系统的密钥管理； 4)基于可信的理念，即：在终端控制网络的入侵，而不是在网络层上控制网络的入侵，在入侵检测方案中采用基于端到端的检测算法使得虫洞攻击还未发起，就被遏制了；在拒绝服务攻击检测中采用检测终端的缓存占用率来检测拒绝服务攻击，提高了检测率；采用基于端到端的认证方法使得无线Mesh网络的认证成功率和认证延迟都比无线Mesh网络标准草案802．11s的认证性能要好： 5)通过模拟实验得出一些影响密钥管理和入侵检测方案性能的关键参数。