自动信任协商系统的目标是允许两个实体安全地交换X.509格式的数字证书，这样的数字证书通常包含一些敏感信息，例如：姓名，地址，生日，成员以及访问控制策略。协商双方都希望披露给对方尽可能少的信息来达成满足对方访问控制策略的协议。Winsborough等人提出了自动信任协商的第一种模型，分为两种极端的策略，热心策略和吝啬策略。热心策略要求双方尽快披露各种信任证，直到访问控制策略被满足；而吝啬模型只有当访问控制策略需要信任证时，才披露相关的证书。在这两种策略模型中，都要求双方逐步披露自己的部分访问控制策略，因而隐私没有得到相应的保护。本文提出一种新的自动信任协商模型，它可以很好地保护自动信任协商中的敏感信息，它具有以下特点：（1）没有信任证披露甚至是在协商达成后，（2）没有策略的披露甚至是在协商达成后，（3）双方都知道它们的访问控制策略是否达成一致，而不知道目标资源（证书或凭证）。尽管上面的要求听起来有点不切实际，但是冗余的访问控制策略逻辑公式，一致的策略可以确保没有策略的泄露。我们假设客户端C有一个策略“如果服务器拥有官方的证书s1或s2，那么公开学生学号或证书c”，而服务器S同时拥有s1和s2。客户端C不需要知道是两个证书中的哪一个用来显示它的证书。使用这种模式，双方在进行交易前都可以保证它们的访问控制策略都得到安全地满足，而不需要知道是哪个策略被使用。这样就可以确保策略的安全，防止策略上敏感信息的泄露。