PDF 文件的安全功能概述

由于安全问题始终存在，我们希望重点介绍 PDF 文件格式提供的一些安全功能。如果您希望控制或限制用户可以执行的操作，这些功能可以启用。本文将介绍可以阻止哪些类型的操作，以及可以实施哪些不同的身份验证技术来提高 PDF 的安全性。

可以控制哪些操作？

在深入探讨可用的不同安全选项之前，我认为提供一些示例来说明可以控制的操作是有用的。这些操作包括限制谁可以：

    1    查看内容

    2    添加/修改文本注释

    3    填写交互式表单字段（包括签名字段）

    4    打印文档

    5    添加评论

    6    修改内容

    7    提取内容（包括图形和文本）

    8    等等

值得注意的是，您无法阻止用户保存 PDF。

加密

PDF 文件结构在加密之前已经为内容提供了一定程度的安全性，因为数据存储在二进制格式中。这意味着它不像普通文本格式那样容易被破解。虽然可以在文本阅读器中打开它进行查看，但如果不了解 PDF 文件的内部结构，就很难理解其内容。

除此之外，您还可以加密文件，以防止未经授权的访问。加密 PDF 文件意味着组成内容的大多数字符串（Strings）和流（Streams）都会被加密。但仍然有一些字符串/流例外，例如加密字典（Encrypt Dictionary）中的字符串值，这些值需要被读取才能解密文件。

那么，数据是如何加密的呢？PDF 使用安全处理程序（Security Handler），它是加密对象的扩展，实现了加密过程的各种方面。它还会强制执行您设置的权限，以控制对加密文档的访问和操作。

它会检查扩展的加密字典条目中设置的值，以确定允许的用户访问权限。读取的一些值包括：

    1    Filter – 指定用于解密的首选安全处理程序的名称（必须与加密文档时使用的处理程序相同，否则无法打开文件）。

    2    V – 可选标志，用于指定加密/解密时使用的算法。

    3    R – 设置要使用的安全处理程序的修订版本。

    4    O – 存储基于用户密码和所有者密码的 32 字节字符串。用于创建加密密钥并验证所有者密码。

    5    U – 存储仅基于用户密码的 32 字节字符串。用于确定是否提示用户输入密码，以及输入的密码是否为有效的用户或所有者密码。

    6    P – 一组标志，指定在以用户权限打开文档时允许的操作。

    7    EncryptMetadata – 当使用加密版本 5 时，可以设置的可选标志，用于加密元数据。

身份验证方法

您可以使用不同的方法来允许特定群体或个人对自己进行身份验证，以证明他们是文档的发送者或接收者：

    1    用户密码保护 – 可以使用用户密码来限制 PDF 的查看权限。这是最简单的方法，仅需要事先共享密码。但缺点是它也是最容易被破解的，一些工具可以去除 PDF 的密码要求，从而允许用户查看。因此，建议对敏感数据进行加密，以增加额外的安全屏障，以防止未经授权的访问。

    2    所有者密码保护 – 可用于控制权限。没有此密码，就无法添加或修改权限。

    3    数字签名 – 既可用于验证文档和发送者的身份，也可用于保护文档的完整性，确保其未被篡改。

    4    证书 – 如果您提前知道哪些个人或群体将被允许访问 PDF，则可以使用证书。证书用于加密文档，其机制不同于密码，并且更加灵活，因为您可以为多个用户和群组提供不同权限的多个证书。只有预先获得认证的接收者才能打开启用了此安全功能的 PDF。

这就是 PDF 提供的安全功能的简要概述。如需更全面的列表，您可以查看 PDF 规范的最新公开版本。

我们的主页：PDF 转 HTML5、Java 图像库、Java PDF SDK - IDRsolutions

我们的🛰️：IDRSolutions