1.一種媒體接入控制安全MACsec密鑰更新方法，應(yīng)用于包括多個(gè)網(wǎng)絡(luò)設(shè)備的連接聯(lián)盟CA中，所述CA中的各個(gè)網(wǎng)絡(luò)設(shè)備使用相同的安全聯(lián)盟密鑰SAK對傳輸?shù)膱?bào)文進(jìn)行解密或加密處理，所述多個(gè)網(wǎng)絡(luò)設(shè)備中存在有一個(gè)網(wǎng)絡(luò)設(shè)備作為密鑰服務(wù)器，其特征在于，所述方法包括：

網(wǎng)絡(luò)設(shè)備檢測到非法攻擊后，當(dāng)作為所述CA中的密鑰服務(wù)器時(shí)，生成并向所述CA內(nèi)的其他網(wǎng)絡(luò)設(shè)備發(fā)布新的SAK及所述新SAK對應(yīng)的安全聯(lián)盟SA編號(hào)AN，并存儲(chǔ)所述新的SAK及所述新SAK對應(yīng)的AN；

當(dāng)不是所述CA中的密鑰服務(wù)器時(shí)，通知所述CA內(nèi)的作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備生成并發(fā)布新的SAK及所述新SAK對應(yīng)的AN，并接收所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)布的新的SAK及所述新SAK對應(yīng)的AN，以及存儲(chǔ)所述新的SAK及所述新SAK對應(yīng)的AN；

其中，網(wǎng)絡(luò)設(shè)備檢測到非法攻擊具體為：

所述網(wǎng)絡(luò)設(shè)備統(tǒng)計(jì)接收到的非法報(bào)文的數(shù)量，所述非法報(bào)文包括AN字段為本設(shè)備當(dāng)前未使用的AN的報(bào)文和報(bào)文編號(hào)PN字段小于本設(shè)備已收到報(bào)文的PN的最大值的報(bào)文；

若在預(yù)設(shè)時(shí)間周期內(nèi)接收到的非法報(bào)文的數(shù)量大于預(yù)設(shè)閾值，則判定遭受到非法攻擊；

當(dāng)所述網(wǎng)絡(luò)設(shè)備作為所述CA中的密鑰服務(wù)器時(shí)，所述方法還包括：

所述網(wǎng)絡(luò)設(shè)備接收到非密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)送的用于請求發(fā)布新的SAK以及所述新的SAK對應(yīng)的AN的密鑰更新請求信息后，發(fā)布新的SAK以及所述新的SAK對應(yīng)的AN；或，

所述網(wǎng)絡(luò)設(shè)備接收非密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)送的保活協(xié)議報(bào)文，并在確定所述保活協(xié)議報(bào)文中的PN值為用于指示PN即將耗盡的設(shè)定值時(shí)，發(fā)布新的SAK以及所述新的SAK對應(yīng)的AN。

2.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)絡(luò)設(shè)備通知所述CA內(nèi)的作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備生成并發(fā)布新的SAK及所述新SAK對應(yīng)的AN，具體為：

所述網(wǎng)絡(luò)設(shè)備向所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)送密鑰更新請求信息，所述密鑰更新請求信息用于請求所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)布新的SAK以及所述新的SAK對應(yīng)的AN；或，

所述網(wǎng)絡(luò)設(shè)備將下一個(gè)發(fā)送給作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備的保活協(xié)議報(bào)文中的PN值修改為用于指示PN即將耗盡的設(shè)定值，以使所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備在接收到所述保活協(xié)議報(bào)文后根據(jù)所述設(shè)定值判定需要發(fā)布新的SAK以及所述新的SAK對應(yīng)的AN。

3.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)絡(luò)設(shè)備作為密鑰服務(wù)器生成并向所述CA內(nèi)的其他網(wǎng)絡(luò)設(shè)備發(fā)布新的SAK及所述新SAK對應(yīng)的AN后，所述方法還包括：

所述網(wǎng)絡(luò)設(shè)備接收所述CA內(nèi)的其他網(wǎng)絡(luò)設(shè)備在接收到所述新的SAK及所述新SAK對應(yīng)的AN后返回的響應(yīng)，并在接收到所有其他網(wǎng)絡(luò)設(shè)備返回的響應(yīng)后，刪除自身存儲(chǔ)的除所述新的SAK對應(yīng)的AN以外的其他AN及所述其他AN對應(yīng)的SAK，并將發(fā)送給其他網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)報(bào)文中攜帶的更新標(biāo)識(shí)的值設(shè)置為第一數(shù)值，以使所述其他網(wǎng)絡(luò)設(shè)備在接收到所述數(shù)據(jù)報(bào)文后，根據(jù)所述更新標(biāo)識(shí)的值判定需要?jiǎng)h除除數(shù)據(jù)報(bào)文中攜帶的AN以外的其他AN及所述其他AN對應(yīng)的SAK。

4.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)絡(luò)設(shè)備作為非密鑰服務(wù)器接收所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)布的新的SAK及所述新SAK對應(yīng)的AN后，所述方法還包括：

所述網(wǎng)絡(luò)設(shè)備向所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備返回響應(yīng)，并在接收到所述作為密鑰服務(wù)器的網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)報(bào)文后，獲取所述數(shù)據(jù)報(bào)文中攜帶的AN和更新標(biāo)識(shí)，當(dāng)所述更新標(biāo)識(shí)的值為第一數(shù)值時(shí)，刪除除所述數(shù)據(jù)報(bào)文中攜帶的AN以外的其他AN以及所述其他AN對應(yīng)的SAK。

5.如權(quán)利要求3或4所述的方法，其特征在于，所述數(shù)據(jù)報(bào)文中攜帶的更新標(biāo)識(shí)的值具體為數(shù)據(jù)報(bào)文的SecTAG字段中的SL字段的第七個(gè)比特位或者第八個(gè)比特位的比特值。