詞彙表

概覽

這份詞彙表定義文件各處會遇到的 NextPDF 術語：簽章設定檔、加密模式、HTML 管線各層、無障礙結構、事件模型，以及商業版本中的隱私操作。每個術語都有自己的錨點，其他頁面可直接連到你需要的定義。這些定義改寫自標準的已簽署詞彙表，以及 NextPDF 實作所依循的各項標準；如果你需要精確的規範性措辭，請查閱所引用的標準。

AES-GCM

一種具驗證能力的加密模式，將計數器模式的 AES 與 Galois 體訊息驗證碼結合，在單一階段同時提供機密性與完整性。ISO 32000-2 透過 ISO/TS 32002 引入它，作為首選的具驗證加密方案，用以取代 AES-CBC。

具驗證的解密

在回傳任何明文前先驗證完整性標籤的解密流程。NextPDF 會區分結構性解密失敗（組態或傳輸問題）與完整性檢查失敗（未通過驗證的內容）。它會依例外類別分流，而不是把兩種狀況合併為同一種。

CAdES 簽章設定檔

ETSI 簽章設定檔家族，適用於任意二進位內容，由 ETSI EN 319 122 定義。它建立在 RFC 5652 的 CMS 結構之上，並加入時間戳記與長期驗證所需的屬性。PAdES 借用 CAdES 的屬性模型，將其嵌入 PDF 簽章字典。

CJK 涵蓋率

指字型的 Unicode 對應，實際涵蓋中文、日文或韓文書寫系統所需 Unicode 區塊的比例。NextPDF 透過取樣編碼點估算涵蓋率，並將低於 50% 門檻的區塊標示為缺漏範圍。這個數字足以作為字型選擇的估計值，但不是位元組級的精確稽核。

CMS

RFC 5652 的簽章容器，用來包裝 CAdES 與 PAdES 使用的簽署資料結構。NextPDF 會產生 CMS SignedData 二進位資料，並將其嵌入為 PDF 簽章字典的 Contents。

情境感知例外

一種實作 ContextAwareExceptionInterface 並公開 getContext() 方法的 NextPDF 例外。這個方法會回傳一份以 snake_case 命名的基本診斷欄位對應；你不必剖析訊息字串，就能將它序列化到記錄或 APM 載荷中。

交叉參照表

位於 PDF 檔案尾端的表格，將每個間接物件編號對應到其位元組偏移量。NextPDF 偏好交叉參照串流，也就是 PDF 2.0 的形式，因為壓縮效果更好，也能與物件串流乾淨整合。

CSS 模組

一份定義 CSS 某個層面的 W3C 工作成果，例如 Selectors、Values、Fonts 或 Flexbox。NextPDF 的 HTML 管線實作了一組精選的 CSS 模組子集，並釘選在固定的 Editor’s Draft 版本；這些版本記載於 CSS 涵蓋率稽核中。

去識別化

移除或削弱資料與其所涉及之人之間連結的整體過程。NextPDF Enterprise 會透過遮蔽、行抑制或可逆假名化，執行以模式為範圍的去識別化。它不是匿名化，也無法消除殘餘的再識別風險。剩餘屬性仍可能帶有風險。

降級政策

決定 NextPDF 在某項能力以降級模式執行時該怎麼做的設定。嚴格政策會在出現合規、語意或阻斷性影響時擲出例外。平衡政策只在出現阻斷性影響時擲出例外。寬鬆政策會記錄一則警告，但絕不擲出例外。

DEK

一把以集合為範圍的資料加密金鑰，其中中繼資料由 KMS 提供者工廠（factory）回傳。Enterprise 本機提供者會以 HKDF-SHA256 衍生它，且只回傳中繼資料，絕不回傳原始金鑰位元組。

DSS

即文件安全存放區（Document Security Store）：PDF 2.0 的一個目錄項目，彙整驗證文件中每個簽章所需的憑證、CRL、OCSP 回應與時間戳記憑證。PAdES B-LT 與 B-LTA 會填入它，驗證器在連線到網路之前會先查閱它。

FIPS 模式

一種已組態狀態，在此狀態下，NextPDF Core 會在已載入 FIPS 驗證提供者的主機 OpenSSL 建置上執行。NextPDF 本身並未取得 FIPS 認證；這個模式會限制 Core 可呼叫的基本原語，讓密碼學工作委派給已驗證的提供者。一個盡力而為的三態探測會將主機狀態回報為啟用、不存在或無法確定，並把無法確定視為尚未證實。

字型子集化

建立縮減版字型程式的操作，其中只包含文件所參照的字元。它會重建必要的字型表，並保留原本的字元編號，使 Identity CIDToGIDMap 維持有效。子集化指這個動作；字型子集則指其產出的程式。

HKDF

Enterprise 本機 KMS 提供者所使用、以 HMAC 為基礎的金鑰衍生函式，採用 HKDF-SHA256 形式，從已組態的根金鑰衍生出特定集合專屬的資料加密金鑰。

HSM

即硬體安全模組：一種防竄改裝置，會儲存私鑰並執行簽署，過程中絕不將金鑰暴露到主機記憶體。NextPDF Enterprise 透過 PKCS#11 抽象層與 controller/worker 驅動程式模型，與硬體安全模組整合。

html 管線

位於 src/Html/ 之下的四層繪製管線，將 HTML 與 CSS 轉換成 PDF 內容串流。它的四層為 CSS 剖析、樣式狀態、版面配置與繪製（ADR-010）。它是引擎中最大、風險最高的子系統。

增量更新

附加在原始位元組之後的 PDF 修訂版本；先前內容維持不變，因此既有簽章仍然有效。

KMS

一個雲端託管的金鑰保險庫，例如 AWS KMS、Google Cloud KMS 或 Azure Key Vault；它使用絕不釋出的金鑰代表租戶簽署。NextPDF Enterprise 將金鑰管理系統視為與硬體安全模組並列的另一種延遲簽署者 backend（後端）。

版面配置

ADR-010 四層 HTML 管線的第三層。它會從經 resolve（解析）的樣式計算盒模型的位置與尺寸，並產出一份繪製計畫，且絕不直接輸出 PDF 運算子。它位於 src/Html/ 之下的 flex、float、context 與 table 版面配置輔助程式中。

監聽器提供者

即 NextPDF\Event\ListenerProvider 這個元件，將事件類別對應到一份按優先順序排列的監聽器可呼叫項清單。它會走訪事件的類別階層與介面，使註冊在父型別上的監聽器能觀察到每一個子型別。它的狀態以實例為範圍，沒有靜態狀態，因此 worker 之間會保持隔離。

LTV

即長期驗證：已簽署 PDF 的一項特性，使簽章即使在簽署者憑證到期或撤銷服務消失之後，仍能無限期保持可驗證。NextPDF 透過將撤銷資料擷取到文件安全存放區，並在每個先前時間戳記的演算法弱化之前更新封存時間戳記，達成這一點。

OCR

即光學字元辨識：將頁面影像轉換為機器可讀文字。這與 PDF 產生屬於不同類別的問題。NextPDF 產生文件並從結構上檢查文件，而不是把像素解讀成意義；因此 OCR 工作屬於專用管線。

輸出意圖

PDF 目錄中的一個項目，宣告文件預期的輸出條件，通常是一份 ICC 設定檔，用來描述目標列印裝置或顯示色彩空間的特性。PDF/A-4 要求使用裝置相依色彩的文件必須具備它，而 PDF/X 設定檔則要求以它宣告列印條件。

PAdES

針對 PDF 文件的 ETSI 簽章設定檔家族，由 ETSI EN 319 142 定義。它建立在 CMS 與 CAdES 之上，並加入 PDF 專屬的編碼規則。它包含四個基準層級（B-B、B-T、B-LT、B-LTA），逐步為內嵌簽章加入時間戳記與長期驗證資料。

PAdES B-T 基準層級

PAdES 基準層級，會在簽章值之上加入一個 RFC 3161 時間戳記憑證，證明該簽章在被戳記的時刻已存在。它直接建立在 PAdES B-B 之上。

PAdES 層級

一個簽章符合性層級，例如 B-B、B-T、B-LT 或 B-LTA，決定簽章攜帶哪些資料。當要求的層級無法達成時，NextPDF 會以失敗關閉處理，擲出 SignatureLevelUnreachableException，而不會一邊宣稱較高層級、一邊悄悄產出較低層級。

繪製

ADR-010 四層 HTML 管線的第四層。它消耗來自版面配置的繪製計畫，並透過寫入器輸出 PDF 運算子。它是唯一獲准呼叫繪圖基本原語的層。

權限旗標

PDF 加密字典中的一個位元欄位，控制已通過驗證的讀者可以執行哪些操作：低解析度或高解析度列印、內容複製、註解修改、表單填寫與組裝。文件作者在以使用者密碼或憑證加密時設定它。NextPDF 公開一個具型別的 PermissionFlags value object（值物件）。

PII

即個人可識別資訊：任何能單獨或結合其他資訊識別自然人的資料，包括姓名、地址、稅務識別碼、生物特徵資料與電子郵件地址。NextPDF Pro 的遮蔽功能會不可復原地從 PDF 移除 PII 區域，使下游工具都無法復原這些資料。

PKCS11

OASIS 的密碼權杖介面，目前為 3.1 版，為應用程式提供與硬體安全模組及智慧卡溝通的穩定 API。NextPDF Enterprise 的簽署者驅動程式子系統，以 PKCS#11 作為通往硬體金鑰的最大公約數路徑。

假名化

以別名取代可識別值的做法。依定義它是可逆的，需要一份分開保管的對應。NextPDF Enterprise 會以原始值與每次工作階段種子計算出的 HMAC，衍生出具決定性、且能感知格式的假名。它以一把帶版本的金鑰，在靜止狀態下用 AES-256-GCM 封存原始值對假名的對應。它不是匿名化，也絕不可被呈現為不可逆。

PSR-14

PHP-FIG 標準，定義事件分派器、監聽器提供者，以及可停止的事件。NextPDF 的 Event 模組遵循這個模型，並宣告 duck-type 相容的介面，因此引擎不帶任何 psr/event-dispatcher 的執行階段相依性。

PSR-20

PHP-FIG 標準，定義時鐘介面，其唯一讀取操作會以不可變的日期時間值回傳目前時間。NextPDF 的 SystemClock 實作了它；注入固定時鐘可從可重現的輸出中移除掛鐘時間的不確定性。

保留式與串流式對比

描述 renderer（渲染器）的架構軸線：是在輸出之前先建立整份文件的記憶體內表示（保留式），還是在 token 抵達時立即處理（串流式）。NextPDF 從頭到尾都是串流式，而 dompdf 等競品引擎則是保留式。

撤銷主張

由 OCSP 回應器或 CRL 提供的憑證狀態陳述，會內嵌到長期驗證的簽章層級。NextPDF 不會將非成功的 OCSP 回應視為可信主張；未知或錯誤狀態絕不會被提升為良好。

RFC 3161 時間戳記

時間戳記機構針對被戳記資料的雜湊簽發的 TimeStampToken。PAdES B-T 用它將簽章繫結到可驗證的時刻。NextPDF 將它嵌入為簽署者資訊上某個未簽署屬性中的 CMS SignedData 二進位資料。

可搜尋 PDF

一份 PDF，在掃描文件的頁面影像之上承載一層隱形文字，使頁面文字可選取且可搜尋。NextPDF Enterprise 透過驅動注入的 OCR backend（後端）來協調這件事，並將點陣化與文字注入委派給另一個 sidecar。結果是一份衍生文件：既有簽章會失效，合規性必須重新驗證。這項功能不對 OCR 準確度或擷取召回率作出任何保證。

單階段串流

HTML 管線的繪製模型（ADR-001），其中分詞器在單一階段產生一份 token 清單，parser（剖析器）由左至右消耗它，並輸出內容串流運算子，而不建立保留式 DOM 樹。輸入側的記憶體用量受巢狀深度限制，而非元素數量限制，且元素總數設有硬性上限。預先掃描使用有界的預掃 Index（索引）陣列，而非保留式 DOM。

可停止的事件

一個可由監聽器中止的生命週期事件：呼叫 stopPropagation() 會讓分派器在該次分派週期中略過其餘監聽器。每個 NextPDF 生命週期事件都是可停止的，因為 AbstractEvent 實作了 StoppableEventInterface，呼應 PSR-14 的可停止事件語意。

結構樹

由語意元素構成的樹，賦予加上標籤的 PDF 邏輯閱讀順序與可存取結構。它以文件目錄下的 /StructTreeRoot 為根。NextPDF 會在 token 流經 HTML 管線時即時建立結構樹。

加上標籤的 PDF

一份 PDF，會在視覺內容串流之外並行承載一棵邏輯結構樹，使輔助技術讀取結構而非視覺版面，依 ISO 32000-2 第 14.7 節。

具型別的 wither

不可變物件上一個專屬且型別安全的複製方法，例如 Config::withPageSize()；它以具名引數重建物件並回傳一個新實例。NextPDF 使用具型別的 wither，而非通用的 with(string, mixed) 設定方法，使靜態分析與 IDE 保持準確。

值物件

一個不可變、以值判定相等的領域基本型別，沒有身分，也沒有 I/O。NextPDF 將 PageSize、Dimension、Position 與 Margin 等幾何建模為 final readonly 的值物件，因此實例可以安全共用。每一次轉換都會回傳一個新實例。

VRI

位於文件安全存放區之下的驗證相關資訊字典，將某個特定簽章的雜湊對應到長期擴增時用來驗證它的憑證、CRL 與 OCSP 回應。它是選用項目，但對封存驗證者而言建議使用。