该论文针对 Thread 低功耗无线 Mesh 网络中 IoT 设备难以应用 IETF MUD（制造商使用说明）标准进行网络访问控制的问题，提出了 MeshGuard 框架。MUD 标准依赖完整 IP 协议栈，而 Thread 设备因资源受限仅支持部分 TCP/IP 功能，现有扩展方案仅适用于单一边界路由器的简单拓扑，无法应对多边界路由器的大规模部署。MeshGuard 对 Thread 的 Mesh 链路建立（MLE）协议进行了扩展，使受限设备能将其 MUD URL 信息通过 MLE 消息传递给任意数量的边界路由器，无需依赖上层网络层。同时引入软件定义网络（SDN）技术，在多个异构边界路由器之间同步访问控制列表（ACL），实现统一的策略实施。实验基于 nRF5340、nRF52833 等真实硬件和 Raspberry Pi 3 构建原型，测试结果表明：与现有方案相比，MeshGuard 在增强安全性（如防止非法流量绕过）的同时，仅引入极小的运行时开销（CPU 和内存占用增加 <5%），且随着边界路由器数量增加，控制面同步延迟呈线性增长，验证了其良好的可扩展性。该工作为大规模 Thread 网络提供了一种实用的、基于标准的零信任访问控制方案。