网络信息安全问题是当今计算机网络迅速发展所带来的迫切需要解决的问题,传统防火墙仍然是首选的解决方法,是保证信息的私有性、完整性与可用性的不可或缺的手段.但是随着网络的飞速发展,传统防火墙的一些缺陷开始显露,如单点失效、防内不防外等.于是人们针对这些缺陷提出了分布式防火墙(Distributed Firewall,DFW)的概念:策略集中定制,在各个端主机上执行.这就要求有一个策略的安全发布与执行机制.1996年,M.Blaze等人为解决Internet网络服务的安全问题首次使用了"信任管理(trust management)",其主要方面包括安全策略和安全凭证的公式化,凭证是否满足本地策略,并且依靠可信任第三方提供附加的安全信息.他发明了KeyNote通用语言来描述凭证和策略,并在此基础上建立信任管理系统.它克服了X.509和PGP等系统中"凭证只能验证公钥,无法验证行为,具体行为必须由应用程序验证"的不足,用统一的语言描述策略和凭证,并用独立与应用程序的信任管理引擎来进行策略、凭证和行为的一致性验证,减化了身份验证的步骤.该文从介绍分布式防火墙的概念与模型开始,阐述了在分布式防火墙中使用信任管理系统的优点.在对信任管理系统进行研究和对KeyNote源程序进行分析的基础上,用控管规则描述策略,将信任管理应用于分布式防火墙,并给出了实现方案.