智能电网依赖双向、大范围的通信网络以实现信息流与电力流的融合,电力通信网络的信息安全性直接关系到智能电网的平稳运行,电力通信网络的信息安全性越来越重要,但更加开放的电力通信网络所面临的安全问题也日益突出,电力通信报文遭受恶意篡改、信息窃取等潜在的安全风险也日益增加。电力通信报文主要有可用性、完整性和机密性三大安全目标。电力通信报文的可用性,主要从电力安全机制上防止Dos等攻击导致电力通信网络堵塞而使得电力通信报文无法到达。从电力报文安全应用角度来说,重点在于研究适合于电力报文特点的安全技术方法以保证电力报文的完整性和机密性。由于电力通信报文安全融合了密码学、通信网络和电力系统信息等诸多技术,该领域的研究还处于初步阶段,当前研究集中于将IT领域的安全技术直接应用于电力通信报文,所设计的安全方法普遍较为复杂,难以应用于高实时性的电力信息环境。本文在保障电力通信报文安全性的基础上,围绕着算法的高效性以适用于电网的实际情况为目标,以目前电力系统通信领域最为齐全IEC61850协议的GOOSE和SV报文为具体研究对象,深入研究电力实时报文的完整性和机密性方法,以及密钥管理等应用基础和关键技术,主要研究内容如下:1、研究了一种改进的GOOSE心跳报文HMAC认证方法。电力信息安全标准IEC62351建议对GOOSE报文采用HMAC认证以保障GOOSE报文的完整性,但目前直接应用于GOOSE心跳报文的HMAC认证方法没有考虑到GOOSE心跳报文特点。在不改变GOOSE报文传输格式的基础上,提出了一种将变量内容移至报文末端以获得认证码值的改进的HMAC高效认证方法,该方法充分利用了GOOSE心跳报文相同的内容在哈希算法迭代过程中具有相同的输出值的特点,除首个报文外,同一系列的GOOSE心跳报文能直接使用之前报文相同内容的输出值,具有更高的运算效率。2、提出了一种新型的GOOSE报文完整性认证方法。针对GOOSE报文帧长相对较短的特点,在兼容GOOSE报文互操作性的基础上,提出了一种直接采用密钥和调整顺序后的报文作为哈希函数输入的GOOSE报文认证方法,利用GOOSE报文采用带密钥的哈希算法增加离线碰撞攻击的难度,借助于GOOSE统一的报文格式以减少生日碰撞等安全隐患;利用GOOSE报文的显性长度域信息避免一般报文直接应用哈希函数带来的长度扩展攻击;利用GOOSE报文特有的时序性以防止重放攻击,在满足GOOSE报文安全性的同时,该方法具有更高的认证效率。3、提出了基于关键信息的GOOSE报文加密方法。尽管加密算法由于耗时较大而不被IEC62351推荐用于GOOSE等实时报文,但许多电力工程实践仍加密GOOSE报文以加强网络信息安全性。以经典的对称加密算法Rijndael为例,从密钥长度、分组长度和分组模式等方面分析影响GOOSE报文加密耗时的因素。结合GOOSE域定义,提出了基于关键信息的GOOSE加密方法,在保证报文信息机密性的基础上减少耗时;利用GOOSE报文的StNum、SqNum和T等具有时间同步意义的信息防止经典的报文重放攻击。4、提出了一种基于TEA的SV报文加密方法。针对经典的采样报文加密方法由于过大的运算耗时而难以在工程实践中应用的问题,结合SV报文IEC 61850-9-2LE版的特点,提出一种基于TEA的SV报文加密方法,该方法能根据9-2LE报文网络环境和智能电子设备运算能力,灵活选择算法迭代轮数;同时充分利用9-2LE报文CRC32域以实现加密报文的完整性;利用9-2LE报文承载的电气量信息具有离散化特点,采用ECB报文分组方式,密文也不会出现透露原文概要信息的情况,有利于并行性算法。5、进行IEC61580报文密钥管理的研究。针对PKI等密钥管理方法存在成本高等问题,提出了可抵抗中间人攻击的高效密钥协商方法,该方法能根据信息安全要求选择对应的密钥协商方法;针对信息交换范围和关联程度,以减轻密钥管理的通信和运算负荷为研究目标,提出一种轻型化的分层密钥管理方法,该方法能根据控制中心层、变电站层和智能电子设备层的运算能力和存储能力优化任务分配,包括密钥的生成、分配、更新与销毁等,满足GOOSE、SV多播报文,以及IEC61850新协议涉及的站控、站站等跨区网络通信。