术语表
本术语表定义了你会在文档中遇到的 NextPDF 术语:签名规格、加密模式、HTML 管线层级、无障碍结构、事件模型,以及商业版中的隐私操作。每个术语都有自己的锚点,因此其他页面可以直接链接到你需要的定义。这些定义转述自权威的已签名术语表以及 NextPDF 所实现的标准;如果你需要精确的规范性措辞,请查阅引用的标准。
AES-GCM
标题为“AES-GCM”的章节一种认证加密模式,将计数器模式下的 AES 与伽罗瓦域消息认证码相结合,同时提供机密性与完整性。ISO 32000-2 通过 ISO/TS 32002 引入该模式,作为首选的认证加密方案,取代 AES-CBC。
认证解密
标题为“认证解密”的章节在返回任何明文之前,先校验完整性标签的解密过程。NextPDF 会区分结构性解密失败(配置或传输问题)与完整性校验失败(内容未通过校验)。它根据异常类进行分支,而不是把这两种情况合并为一种。
CAdES
标题为“CAdES”的章节面向任意二进制内容的 ETSI 签名规格系列,由 ETSI EN 319 122 定义。它基于 RFC 5652 CMS 结构构建,并附加用于时间戳和长期验证的属性。PAdES 借用了 CAdES 的属性模型,并将其嵌入 PDF 签名字典中。
CJK 覆盖率
标题为“CJK 覆盖率”的章节中文、日文或韩文书写所需的 Unicode 区块中,字体的 Unicode 映射实际覆盖的比例。NextPDF 通过抽样码点来估算该比例,并将低于 50% 阈值的区块标记为缺失范围。该数字是足以用于字体选择的估算值,而非逐字节精确的审计。
CMS
标题为“CMS”的章节RFC 5652 签名容器,用于封装 CAdES 和 PAdES 所使用的已签名数据结构。NextPDF 生成 CMS SignedData 二进制块,并将其作为 PDF 签名字典的 Contents 嵌入其中。
上下文感知异常
标题为“上下文感知异常”的章节一种实现了 ContextAwareExceptionInterface 并暴露 getContext() 方法的 NextPDF 异常。该方法返回一个由原始诊断字段组成的 snake_case 映射,你无需解析消息字符串,即可将其序列化到日志或 APM 载荷中。
交叉引用表
标题为“交叉引用表”的章节位于 PDF 文件尾部的表,将每个间接对象号映射到对应的字节偏移量。NextPDF 更倾向于使用交叉引用流,也就是 PDF 2.0 的形式,因为这种形式压缩效果更好,并能与对象流干净地集成。
CSS 模块
标题为“CSS 模块”的章节一类 W3C 工作成果,用于定义 CSS 的某个组成部分,例如 Selectors、Values、Fonts 或 Flexbox。NextPDF HTML 管线实现了一组经过精选的 CSS 模块子集,锁定到固定的 Editor’s Draft 版本,并记录在 CSS 覆盖审计中。
去标识化
标题为“去标识化”的章节移除或降低数据与其所涉个人之间关联的一般过程。NextPDF Enterprise 通过涂黑、行抑制或可逆假名化来执行按模式范围限定的去标识化。它并非匿名化,也不会消除残留的重新识别风险。剩余属性仍可能带有风险。
降级策略
标题为“降级策略”的章节当某项能力在降级模式下运行时,用于确定 NextPDF 行为的设置。严格策略会在出现合规性、语义或阻断性影响时抛出异常。平衡策略仅在出现阻断性影响时才抛出异常。宽松策略只记录一条警告,永不抛出异常。
DEK
标题为“DEK”的章节一种限定在集合范围内的数据加密密钥,其元数据由 KMS 提供方工厂返回。Enterprise 本地提供方使用 HKDF-SHA256 派生该密钥,且只返回元数据,绝不返回原始密钥字节。
DSS
标题为“DSS”的章节文档安全存储(Document Security Store):一个 PDF 2.0 编录条目,汇集验证文档中每个签名所需的证书、CRL、OCSP 响应和时间戳令牌。PAdES B-LT 和 B-LTA 会填充该条目,验证器在访问网络之前会先查阅它。
FIPS 模式
标题为“FIPS 模式”的章节一种配置状态:NextPDF Core 运行在宿主 OpenSSL 构建之上,且该构建已加载经 FIPS 验证的提供方。NextPDF 本身并未取得 FIPS 认证;该模式约束 Core 所调用的原语,从而将密码学工作委派给经过验证的提供方。一个尽力而为的三态探测会将宿主状态报告为已启用、缺失或不确定,并将不确定视为未经证实。
字体子集化
标题为“字体子集化”的章节一种构建精简字体程序的操作,该程序仅包含文档所引用的字形。它会重建所需的字体表并保留原始字形编号,从而使 Identity CIDToGIDMap 保持有效。「子集化」指的是这一动作;「字体子集」指的是由此产生的程序。
HKDF
标题为“HKDF”的章节Enterprise 本地 KMS 提供方使用的基于 HMAC 的密钥派生函数,以 HKDF-SHA256 形式从配置的根密钥派生出特定于集合的数据加密密钥。
HSM
标题为“HSM”的章节硬件安全模块:一种防篡改设备,用于存储私钥并执行签名,且绝不将密钥暴露到宿主内存中。NextPDF Enterprise 通过 PKCS#11 抽象和 controller/worker 驱动模型与硬件安全模块集成。
html 管线
标题为“html 管线”的章节位于 src/Html/ 下的四层渲染管线,将 HTML 和 CSS 转换为 PDF 内容流。它的各层分别是 CSS 解析、样式状态、布局和绘制(ADR-010)。它是引擎中最大且风险最高的子系统。
增量更新
标题为“增量更新”的章节追加到原始字节之后的 PDF 修订版本,保持先前内容不变,从而使现有签名保持有效。
KMS
标题为“KMS”的章节一种云托管的密钥保管库,例如 AWS KMS、Google Cloud KMS 或 Azure Key Vault,它使用从不释放的密钥代表租户进行签名。NextPDF Enterprise 将密钥管理系统视为与硬件安全模块并列的另一种延迟签名后端。
ADR-010 四层 HTML 管线的第三层。它根据已解析的样式计算盒子的位置和尺寸并生成绘制计划,且绝不直接输出 PDF 运算符。它位于 src/Html/ 中的 flex、float、context 和表格布局辅助器之下。
监听器提供方
标题为“监听器提供方”的章节组件 NextPDF\Event\ListenerProvider,它将事件类映射到一个按优先级排序的监听器可调用对象列表。它会遍历事件的类层次结构和接口,因此在父类型上注册的监听器能够观察到每个子类型。它的状态是实例级的,没有静态状态,因此各个工作进程保持相互隔离。
LTV
标题为“LTV”的章节长期验证:已签名 PDF 的一种属性,使签名即便在签名者凭据过期或吊销服务消失之后仍能无限期保持可验证。NextPDF 通过在文档安全存储中捕获吊销材料,并在每个已有时间戳的算法变弱之前续期归档时间戳来实现这一点。
OCR
标题为“OCR”的章节光学字符识别:将页面图像转换为机器可读的文本。这与 PDF 生成属于不同的问题范畴。NextPDF 负责生成文档并执行结构化检查,而不是把像素解读为含义,因此 OCR 工作归属于一条专门的管线。
输出意图
标题为“输出意图”的章节一个 PDF 编录条目,用于声明文档预期的输出条件,通常是一个用于刻画目标打印设备或显示色彩空间特性的 ICC 配置文件。对于使用依赖设备色彩的文档,PDF/A-4 要求提供它;PDF/X 规格则要求用它来声明打印条件。
PAdES
标题为“PAdES”的章节面向 PDF 文档的 ETSI 签名规格系列,由 ETSI EN 319 142 定义。它在 CMS 和 CAdES 之上构建,并附加 PDF 专属的编码规则。它包含四个基线级别(B-B、B-T、B-LT、B-LTA),逐级向嵌入的签名添加时间戳和长期验证材料。
PAdES B-T
标题为“PAdES B-T”的章节PAdES 基线级别,在签名值之上添加一个 RFC 3161 时间戳令牌,证明该签名在加盖时间戳的那一刻已经存在。它直接在 PAdES B-B 之上构建。
PAdES 级别
标题为“PAdES 级别”的章节一个签名合规层级,例如 B-B、B-T、B-LT 或 B-LTA,它决定了签名所携带的材料。当所请求的级别无法达到时,NextPDF 会安全失败,抛出 SignatureLevelUnreachableException,而不是悄悄生成较低级别却对外宣称是较高级别。
ADR-010 四层 HTML 管线的第四层。它使用来自布局的绘制计划,并通过写入器输出 PDF 运算符。它是唯一被允许调用绘图原语的层。
权限标志
标题为“权限标志”的章节PDF 加密字典中的一个位字段,控制经认证的阅读器可以执行哪些操作:低分辨率或高分辨率打印、内容复制、批注修改、表单填写和文档拼装。文档作者在使用用户口令或证书加密时设置它。NextPDF 暴露了一个带类型的 PermissionFlags 值对象。
PII
标题为“PII”的章节个人可识别信息:任何能够单独或与其他信息结合识别出自然人的数据,包括姓名、地址、税号、生物特征数据和电子邮件地址。NextPDF Pro 的涂黑功能会从 PDF 中不可恢复地移除 PII 区域,使任何下游工具都无法还原这些数据。
PKCS11
标题为“PKCS11”的章节OASIS 密码令牌接口,当前为 3.1 版,为应用程序提供与硬件安全模块和智能卡通信的稳定 API。NextPDF Enterprise 签名者驱动子系统将 PKCS#11 用作通往硬件密钥的最大公约数路径。
假名化
标题为“假名化”的章节用别名替换可识别值。按定义,这一过程是可逆的,依赖单独保存的映射来实现。NextPDF Enterprise 基于对原始值和每会话种子计算的 HMAC,派生出确定性的、格式感知的假名。它在静态存储时使用受版本化密钥保护的 AES-256-GCM 封装「原始值到假名」的映射。它并非匿名化,绝不能被宣称为不可逆。
PSR-14
标题为“PSR-14”的章节定义了事件分发器、监听器提供方和可停止事件的 PHP-FIG 标准。NextPDF Event 模块遵循这一模型,并声明了鸭子类型兼容的接口,因此引擎不携带任何 psr/event-dispatcher 运行时依赖。
PSR-20
标题为“PSR-20”的章节定义了时钟接口的 PHP-FIG 标准,其唯一的读取操作以不可变的日期时间值形式返回当前时间。NextPDF 的 SystemClock 实现了它;注入一个固定时钟可以从可复现的输出中消除挂钟的不确定性。
保留式与流式
标题为“保留式与流式”的章节描述 renderer(渲染器)是在输出前先在内存中构建整个文档的表示(保留式),还是在词元到达时即时处理(流式)的架构维度。NextPDF 是端到端流式的,而 dompdf 等竞争引擎则是保留式的。
吊销断言
标题为“吊销断言”的章节OCSP 响应器或 CRL 提供的证书状态声明,为长期验证签名级别而嵌入。NextPDF 拒绝把非成功的 OCSP 响应当作正面信任断言;未知或错误状态绝不会被提升为良好。
RFC 3161 时间戳
标题为“RFC 3161 时间戳”的章节由时间戳机构针对待加盖时间戳数据的哈希值签发的 TimeStampToken。PAdES B-T 用它将签名绑定到一个可验证的时刻。NextPDF 将它作为 CMS SignedData 二进制块嵌入到签名者信息的未签名属性中。
可搜索 PDF
标题为“可搜索 PDF”的章节一种在扫描文档的页面图像之上叠加不可见文本层的 PDF,使该页面中的文本可选中、可搜索。NextPDF Enterprise 通过驱动一个注入的 OCR 后端来编排这一过程,并将栅格化和文本注入委派给一个独立的 sidecar。其结果是一个派生文档:现有签名将失效,且必须重新验证合规性。该功能不对 OCR 准确率或提取召回率作任何保证。
单遍流式
标题为“单遍流式”的章节HTML 管线的渲染模型(ADR-001),其中词法分析器一遍生成一个词元列表,解析器从左到右消费它,输出内容流运算符,而不构建保留式的 DOM 树。输入侧内存受嵌套深度约束,而非元素数量,且对元素总数设有硬性上限。前瞻使用有界的预扫描 Index(索引)数组,而非保留式 DOM。
可停止事件
标题为“可停止事件”的章节可由监听器中止的生命周期事件:调用 stopPropagation() 会让分发器在该分发周期内跳过其余监听器。每个 NextPDF 生命周期事件都是可停止的,因为 AbstractEvent 实现了 StoppableEventInterface,与 PSR-14 的可停止事件语义保持一致。
结构树
标题为“结构树”的章节由语义元素构成的树,为标记 PDF 提供逻辑阅读顺序和无障碍结构。它以文档编录中的 /StructTreeRoot 为根。NextPDF 在词元流经 HTML 管线时即时构建结构树。
标记 PDF
标题为“标记 PDF”的章节一种在视觉内容流之外并行携带逻辑结构树的 PDF,使辅助技术读取的是结构而非视觉布局,依据为 ISO 32000-2 第 14.7 节。
带类型的 wither
标题为“带类型的 wither”的章节不可变对象上的一个专用、类型安全的拷贝方法,例如 Config::withPageSize(),它使用具名参数重建对象并返回一个新实例。NextPDF 使用带类型的 wither,而不是通用的 with(string, mixed) setter,从而使静态分析和 IDE 保持准确。
值对象
标题为“值对象”的章节一种不可变、按值比较相等的领域原语,既无身份标识,也不进行 I/O。NextPDF 将诸如 PageSize、Dimension、Position 和 Margin 这类几何信息建模为 final readonly 值对象,因此实例可以安全共享。每次变换都返回一个新实例。
VRI
标题为“VRI”的章节文档安全存储下的验证相关信息(Validation-Related Information)字典,它将某个特定签名的哈希值映射到在长期增强时用于验证该签名的证书、CRL 和 OCSP 响应。它是可选的,但对于归档验证器而言推荐使用。