虚拟可信平台模块是可信计算技术虚拟化的重要组件。vTPM的私密信息存在被窃取、滥用的风险,为此,提出一种基于标签的安全保护方案。首先,为每个虚拟机建立vTPM标签,标签包括签名信息、加密信息、度量信息和状态信息。然后,基于vTPM标签的状态信息设计安全增强的vTPM动态迁移协议,保障迁移前后vTPM私密信息的机密性、完整性以及虚拟机与vTPM实例关联关系的一致性。实验表明,所提方案能够有效保护vTPM的私密信息,并且给虚拟机动态迁移带来的性能开销只有19.36%。