1.一種在虛擬化計算平臺架構上的虛擬機動態密碼學保護與密鑰管理方法，該虛擬化計算平臺架構包括，

一個或多個客體虛擬機，每一個客體虛擬機都唯一關聯著一個映像數據包作為該客體虛擬機的虛擬磁盤，映像數據包存儲在外部存儲器上；每一個客體虛擬機都也都唯一關聯著一個虛擬網絡設備與外部世界通信；

基于軟件的虛擬機監控器次可信計算基，用于支持、監控客體虛擬機的運行；

基于硬件的主可信計算基，用于通過密碼學方法保護基于軟件的虛擬機監控器次可信計算基；

服務控制臺，可以是虛擬機監控器次可信計算基的一個功能模塊部件，也可以是由虛擬機監控器次可信計算基所支持的一個虛擬機，所述一個或多個客體虛擬機在運行時通過該服務控制臺的幫助來完成數據塊從映像數據包輸入與數據塊向映像數據包輸出；也通過該服務控制臺的幫助來完成數據塊與外部世界的通信；

所述虛擬機動態密碼學保護與密鑰管理方法包括：

當運行中的所述客體虛擬機發生從其內部記憶體輸出數據塊到其位于外部存儲器上的映像數據包時，或從其內部記憶體向虛擬網絡設備發出數據塊時，所述服務控制臺對該輸出數據塊進行加密，當所述客體虛擬機發生從其位于外部存儲器上的映像數據包輸入數據塊到其內部記憶體時，或從虛擬網絡設備接受數據塊時，所述服務控制臺對該數據塊進行解密；

所述服務控制臺向所述虛擬機監控器次可信計算基發出密鑰管理服務請求，使得所述虛擬機監控器次可信計算基對所述加密和解密所采用的密鑰提供密鑰管理服務。

2.如權利要求1所述的虛擬機動態密碼學保護與密鑰管理方法，

其中所述密鑰管理包括，由所述虛擬機監控器次可信計算基或由所述基于硬件的主可信計算基對所述密鑰進行保護。

3.如權利要求2所述的虛擬機動態密碼學保護與密鑰管理方法，

其中所述密鑰管理包括根據服務控制臺向所述虛擬機監控器次可信計算基發送密鑰管理服務請求，響應于接收到的該服務請求，所述虛擬機監控器次可信計算基將其保護的密鑰發送到該服務控制臺以由該服務控制臺用于加密或解密。

4.一種生成客體虛擬機的方法，包括，

生成密鑰；

由虛擬機監控器次可信計算基對該密鑰進行保護；

服務控制臺逐個生成構成待生成客體虛擬機的數據塊，并用所述密鑰對各個數據塊加密；

將加密后的數據塊存儲到外部存儲介質上，最終形成該客體虛擬機的映像數據包。

5.如權利要求4所述的生成客體虛擬機的方法，還包括，

生成密鑰管理信息，該密鑰管理信息對應于待生成的客體虛擬機；并且

所述由虛擬機監控器次可信計算基對該密鑰進行保護包括，將該密鑰和該鑰管理信息相對應地保護，使得根據該密鑰管理信息能夠唯一找到被保護的該密鑰。

6.如權利要求4所述的生成客體虛擬機的方法，其中，

所述生成密鑰包括，由服務控制臺生成密鑰，并將密鑰發送到虛擬機監控器次可信計算基以獲得保護。

7.如權利要求4所述的生成客體虛擬機的方法，其中，

所述生成密鑰包括，由虛擬機監控器次可信計算基，或基于硬件的主可信計算基生成密鑰，并將該密鑰發送到服務控制臺。

8.如權利要求5所述的生成客體虛擬機的方法，其中，

所述生成密鑰管理信息包括，由服務控制臺生成密鑰管理信息，并將該密鑰管理信息發送到虛擬機監控器次可信計算基以和所述密鑰相對應地保護，使得根據該密鑰管理信息能夠找到被保護的該密鑰。

9.如權利要求5所述的生成客體虛擬機的方法，其中，

所述生成密鑰管理信息包括，由虛擬機監控器次可信計算基生成密鑰管理信息，并將該密鑰管理信息發送到服務控制臺。

10.如權利要求5所述的生成客體虛擬機的方法，還包括，

服務控制臺生成客體虛擬機標識符，并將該客體虛擬機標識符和構成該客體虛擬機的各加密后數據塊一起存儲在外部存儲器，服務控制臺能夠根據該客體虛擬機標識符確定與該客體虛擬機對應的密鑰管理信息。