Trong kiến trúc này, việc các CA thực hiện xác nhận ngang hàng đã tạo nên một mạng lưới các mối quan hệ tin cậy lẫn nhau giữa các CA ngang hàng. Các đối tượng nắm được khoá công khai của CA nằm “gần” mình nhất. Thông thường, đây là CA cấp cho đối tượng đó thẻ xác nhận. Các đối tượng kiểm chứng một thẻ xác nhận bằng cách kiểm tra quá trình xác nhận với đích là CA đã phát hành thẻ xác nhận đó. Các CA sẽ xác nhận ngang hàng bằng cách phát hành cho nhau những thẻ xác nhận, những cặp thẻ xác nhận này được kết hợp và lưu trong một cấu trúc dữ liệu có tên: CrossCertificatePair.
Trong sơ đồ dưới đây, A có thể xác nhận B theo nhiều nhánh khác nhau. Theo nhánh ngắn nhất, B được CA4 cấp thẻ xác nhận nên nó được xác nhận bởi CA4. CA4 được xác nhận ngang hàng bởi CA5 và CA5 lại được xác nhận ngang hàng bởi CA3. A được CA3 cấp phát thẻ xác nhận và biết được khoá công khai của CA3 nên nó có thể xác nhận trực tiếp với CA3.
Hình 2.10 Kiến trúc mạng lưới
• Ưu điểm :
- Đây là một kiến trúc linh động, nó thích hợp với các mối liên hệ và mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh.
- Một đối tượng sử dụng ít nhất phải tin CA cấp phát thẻ xác nhận cho nó. Có thể coi đây là cơ sở tạo nên các mối quan hệ tin tưởng lẫn nhau.
- Các CA có thể xa nhau trong mô hình tổ chức nhưng những đối tượng sử dụng của nó lại làm việc cùng nhau với mức ưu tiên cao có thể xác nhận ngang hàng theo một cách thức có độ ưu tiên cao. Độ ưu tiên chỉ được giới hạn trong phạm vi của các CA này.
- Kiến trúc này cho phép các CA có thể xác nhận ngang hàng một cách trực tiếp trong trường hợp các đối tượng sử dụng của chúng liên lạc với nhau thường xuyên để
- Việc khôi phục hệ thống khóa do khóa riêng của một CA bị tiết lộ sẻ chỉ bao gồm phân phát khóa công khai tới tới các đối tượng CA này cấp phát chứng chỉ.
• Nhược điểm :
- Cấu trúc của mạng có thể rất phức tạp nên việc tìm kiếm các đối tượng rất khó khăn. Trong trường hợp có nhiều đường truyền đến một đối tượng khác thì bài toán tìm đường đi ngắn nhất đến đối tượng đó có thể rất phức tạp.
- Một đối tượng có thể đưa ra một nhánh xác nhận duy nhất mà có thể đảm bảo tất cả các đối tượng trong hệ thống có thể thực hiện được. [5]