Trong kiến trúc này, việc các CA thực hiện xác nhận ngang hàng đã tạo nên một mạng lưới các mối quan hệ tin cậy lẫn nhau giữa các CA ngang hàng. Các đối tượng nắm được khoá công khai của CA nằm “gần” mình nhất. Thông thường, đây là CA cấp cho đối tượng đó thẻ xác nhận. Các đối tượng kiểm chứng một thẻ xác nhận bằng cách kiểm tra quá trình xác nhận với đích là CA đã phát hành thẻ xác nhận đó.Các CA sẽ xác nhận ngang hàng bằng cách phát hành cho nhau những thẻ xác nhận, những cặp thẻ xác nhận này được kết hợp và lưu trong một cấu trúc dữ liệu có tên: CrossCertificatePair. Trong sơ đồ dưới đây,
A có thể xác nhận B theo nhiều nhánh khác nhau. Theo nhánh ngắn nhất, B được CA4 cấp thẻ xác nhận nên nó được xác nhận bở CA4 . CA4 được xác nhận ngang hàng bởi CA5 và CA5 lại được xác nhận ngang hàng bởi CA3 . A được CA3 cấp phát thẻ xác nhận và biết được khoá công khai của CA3 nên nó có thể xác nhận trực tiếp với CA3 .
Hình1.19: Kiến trúc PKI mạng lưới
1.5.2.1. Ưu điểm của kiến trúc PKI mạng lưới
Đây là một kiến trúc linh động, nó thích hợp với các mối liên hệ và mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh.
Một đối tượng sử dụng ít nhất phải tin cậy CA cấp phát thẻ xác nhận cho nó. Có thể coi đây là cơ sở để tạo nên tất cả các mối quan hệ tin tưởng lẫn nhau.
Các CA có thể xa nhau trong mô hình tổ chức nhưng những đối tượng sử dụng của nó lại làm việc cùng nhau với mức ưu tiên cao có thể xác nhận ngang hàng theo một cách thức có độ ưu tiên cao. Độ ưu tiên này chỉ được giới hạn trong phạm vi của các CA này.
Kiến trúc này cho phép các CA có thể xác nhận ngang hàng một cách trực tiếp trong trường hợp các đối tượng sử dụng của chúng liên lạc với nhau thường xuyên để giảm tải lượng đường truyền và thao tác xử lý.
Việc khôi phục hệ thống do khoá riêng của một CA bị tiết lộ sẽ chỉ gồm việc phân phát một cách an toàn khoá công khai mới của CA đến các đối tượng mà CA này cấp phát thẻ xác nhận.
1.5.2.2. Nhược điểm của mô hình PKI mạng lưới
Do cấu trúc của mạng có thể rất phức tạp nên việc tìm kiếm các đối tượng rất khó khăn. Trong trường hợp có nhiều đường truyền đến một đối tượng khác thì bài toán tìm đường đi ngắn nhất đến đối tượng đó có thể rất phức tạp.
Một đối tượng không thể đưa ra một nhánh xác nhận duy nhất mà có thể đảm bảo tất cả các đối tượng khác trong hệ thống có thể thực hiện được.