现存的一些分布式密钥管理协议虽能满足大型动态多播组的分布式应用,但系统消耗很大,组成员之间需要消耗大量的带宽来进行相互认证,密钥协商时也必须要采用广播消息。本文提出可扩展分布式安全多播密钥管理系统(简称SDKM),其多播组新用户的注册和认证通过系统中的服务器来实现。认证的机制基于PKI公开密钥体系,通过电子证书和数字签名的方法实现服务器和用户之间的身份认证和会话密钥传输。会话密钥用于保证服务器和组成员的通信安全。SDKM中密钥的管理采用了逻辑密钥层次树的结构,密钥树的拓扑图保存在服务器中,有利于保持多播组信息的一致性。每个组成员只需保存从代表其的叶节点到树的根节点的路径上的所有节点信息,并且根据这些信息通过Diffie-Hellman密钥交换算法就可以计算出保障组通信安全的组密钥。服务器无法得知组密钥。SDKM支持三种操作:密钥更新操作、成员加入操作和成员离开操作。成员加入操作由新用户触发,其它操作由多播组中的某个成员触发。所有操作通过单播和多播方式完成。更新的过程中所有组成员会收到路径更新信息,组成员根据该信息修改原先储存的路径信息并计算出新的组密钥。SDKM协议的算法保证了系统中的组密钥安全、向前访问安全和向后访问安全。组密钥计算时间的复杂性、每个成员的存储空间以及更新密钥时通信总带宽和组中的成员数成对数关系,协议对计算量和存储空间的需求不高。