카메라 개인 정보 보호 셔터 및 킬 스위치
이 항목에서는 개인 정보 보호 셔터 또는 킬 스위치에 대한 디바이스 디자인 지침, 셔터 상태 감지에 대한 고려 사항 및 셔터가 표시기 LED에 대한 기존 HLK 요구 사항과 상호 작용하는 방법을 제공합니다.
일반적인 LED 요구 사항
셔터 또는 킬 스위치에 관계없이 HLK는 ISP가 센서 데이터를 캡처할 때 표시되는 표시기 LED가 ON이어야 합니다. RGB 카메라의 경우 카메라가 활성 상태이면 표시되는 단일 파장 LED(예: 흰색, 녹색, 파란색 등)가 ON이어야 합니다.
RGB+IR 센서가 있는 카메라의 경우 IR 카메라에 일루미네이터 LED가 필요하고 조명기 LED가 눈에 보이는 파장(850nm) 또는 보이지 않는 파장(940nm)을 사용할 수 있기 때문에 더 복잡할 수 있습니다. 또한 앱은 IR 센서 자체, RGB 센서 자체 또는 둘 다 동시에 스트리밍될 수 있습니다.
표시되는 파장 IR 조명기를 사용하는 디자인은 IR 조명기 LED를 표시 표시기 LED로 사용하도록 선택할 수 있습니다. 즉, IR 카메라 자체에 있는 경우 조명이 켜지는 IR 조명기 LED에 따라 HLK 요구 사항이 충족됩니다.
보이지 않는 파장 IR 일루미네이터를 사용하는 디자인은 HLK 요구 사항을 충족하기 위해 IR 카메라가 활성화된 시기를 나타내기 위해 표시되는 파장 LED를 사용해야 합니다. IR 센서 및/또는 RGB 센서가 ON일 때 동일한 파장 LED가 켜지도록 카메라 사용 중인 표시기 LED를 공유하는 것이 좋습니다.
IR 일루미네이터 LED가 표시되는 파장을 사용하는지 여부에 관계없이 IR 또는 RGB 카메라를 사용할 때 모든 디자인이 일반 사용 중인 표시기 LED ON을 켜는 것이 좋습니다. 핵심 LED 요구 사항의 전체 테이블은 다음과 같습니다.
| 스트림 상태 | 가시 IR LED(850nm) | 보이지 않는 IR LED(940nm) |
|---|---|---|
| 카메라 끄기 | LED OFF | LED OFF |
| RGB 카메라만 켜기 | 사용 중인 표시기 ON, IR 일루미네이터 OFF | 사용 중인 표시기 ON, IR 일루미네이터 OFF |
| IR 카메라만 켜기 | 사용 중인 표시기가 필요하지 않지만 권장되는 ON | 사용 중인 표시기 ON, IR 조명자 ON |
| RGB 및 IR 카메라 켜기 | 사용 중인 표시기 ON, IR 조명자 ON | 사용 중인 표시기 ON, IR 조명자 ON |
참고
LED 요구 사항은 카메라 개인 정보 보호 셔터 또는 카메라 킬 스위치를 사용하는 디자인에 따라 다를 수 있습니다. 카메라 개인 정보 보호 셔터 및 카메라 킬 스위치에 대한 HLK LED 요구 사항에 대한 정보는 카메라 개인 정보 보호 셔터 LED 요구 사항을 참조하세요.
상시 AI 환경(예: 카메라 기반 인간 존재)
AI 실리콘이 주 카메라 센서를 공유하는 상시 카메라 기반 AI 기능을 지원하는 디바이스의 경우 전용 프레즌스 실리콘이 카메라에 독점적으로 액세스하는 경우 LED 요구 사항이 다릅니다. 자세한 내용은 Microsoft 파트너 센터의 휴먼 프레즌스 백서(Human Presence Whitepaper )를 참조하세요.
하드웨어 개인 정보 제어
카메라 디자인에 하드웨어 개인 정보 보호 컨트롤이 포함된 경우 디자인 지침의 두 가지 주요 원칙이 있습니다.
개인 정보 제어를 사용하는 디바이스는 일관된 사용자 환경과 개인 정보 보호 상태에 대한 신뢰를 제공해야 합니다.
- 고객이 디바이스의 셔터가 어떻게 보이고 동작하는지 알게 되면 해당 지식은 셔터가 있는 사용하는 모든 장치에 적용되어야 합니다.
어떤 상황에서도 카메라 개인 정보 보호 제어는 개인 정보 보호에 대한 잘못된 인상을 줄 수 없습니다.
- 디바이스는 고객에게 가장 중요한 경우 개인 정보를 제공하지 않아야 합니다. 카메라 개인 정보 보호 셔터가 닫혀 있거나 카메라 킬 스위치가 꺼진 경우 고객은 개인 정보 보호 기능을 비활성화하기 위해 물리적 제어와 상호 작용할 때까지 이미지를 캡처할 수 없다고 예상합니다.
컨트롤 형식
두 가지 형태의 개인 정보 보호 컨트롤, 카메라 개인 정보 보호 셔터 (기계 및 전기 기계) 및 카메라 킬 스위치가 정의됩니다. 디바이스 폼 팩터, BOM 비용 목표 및 디바이스의 가격 포인트에 따라 OEM은 이러한 형태 중 하나라도 셔터를 구현하도록 선택할 수 있습니다. 세 가지 모두 중요한 상수는 소프트웨어가 손상될 수 있으므로 소프트웨어가 관련되지 않음을 의미하는 물리적 또는 하드웨어 수준에서 작동해야 한다는 것입니다.
기계식 카메라 개인 정보 보호 셔터
기계식 셔터는 가장 간단한 디자인이며, 사용자가 카메라를 차단하거나 차단하기 위해 수동으로 작동하는 간단한 슬라이딩 렌즈 커버입니다. 닫을 때 렌즈를 완전히 차단하는 불투명 소재를 사용하여 설계되었습니다. 이 디자인은 사용자가 슬라이딩하는 것을 제외하고는 물리적으로 손상되어 어떤 방식으로든 열 수 없다는 점에서 본질적으로 완벽합니다.
전기 기계 카메라 개인 정보 보호 셔터
전기 기계 셔터는 전기적으로 제어되는 기계식 셔터입니다. 사용자가 셔터를 수동으로 열거나 닫는 대신, 장치에서 물리적 단추를 누르면 통합 셔터가 열리거나 닫힙니다.
참고
이 솔루션에는 일반적으로 펌웨어가 필요하지만 다른 구성 요소와 격리되어야 합니다. 즉, 셔터 컨트롤러와 단추에는 통신 버스와 같은 공격 벡터 또는 펌웨어를 다시 프로그래밍할 수 있는 기능이 없어야 합니다. 디자인에는 하드웨어 상호 작용이 필요하며 소프트웨어에서 제어할 수 없어야 합니다.
카메라 킬 스위치
현재 일부 장치는 카메라 킬 스위치 기능과 함께 제공되며, 이 기능은 꺼져 있을 때 시스템에서 카메라 장치를 물리적으로 분리하여 렌즈/센서를 덮기 위해 물리적 셔터를 요구하지 않고도 카메라 액세스를 차단하는 하드웨어 컨트롤을 제공합니다. 이는 공격에 대해 강력하지만 사용자 환경이 저하됩니다. 스위치가 꺼져 있을 때 장치를 제거하면 시스템은 섀시에 카메라가 여전히 있지만 꺼져 있음을 알 수 없습니다. 이는 응용 프로그램에서 연결된 카메라가 없다고 보고하기 때문에 스위치를 모르는 사용자가 카메라를 의도치 않게 끄는 경우 UX 관점에서 문제가 됩니다. 또한 사용 중에 카메라가 제거되거나 앱이 실행되는 동안 나타나는 경우 특정 애플리케이션이 충돌하거나 잘못 작동할 수 있습니다.
따라서 Microsoft는 시스템에서 전체 카메라를 제거하는 카메라 킬 스위치 사용을 권장하거나 지원하지 않습니다. 대신 다음 두 가지 솔루션 중 하나를 사용하는 것이 좋습니다.
기계식 카메라 프라이버시 셔터와 전자 기계식 카메라 프라이버시 셔터에 설명된 물리적 셔터입니다.
ISP가 아닌 센서의 연결을 끊고 ISP가 검은색 프레임을 합성하도록 하는 킬 스위치입니다.
두 번째 솔루션의 경우 카메라는 시스템에 계속 표시되고 앱은 계속 사용할 수 있습니다. ISP는 킬 스위치가 활성 상태인지 여부에 관계없이 모든 명령(스트리밍 시작/중지, 밝기 또는 대비와 같은 DDI, 미디어 형식 변경 등)에 일반적으로 응답합니다. 그러나 킬 스위치가 활성화되면 ISP는 센서에서 실제 데이터 캡처를 중지하고 대신 애플리케이션의 관점에서 투명하게 검은색 프레임을 합성하고 스트리밍합니다.
패널에 여러 카메라가 있는 셔터
고객이 셔터가 있는 장치(예: 패널에 여러 IR 및 RGB 카메라가 있는 셔터)를 사용하는 경우 셔터가 닫히면 예기치 않은 카메라 액세스로부터 개인 정보 보호가 보호될 것으로 예상합니다. 시스템에 Windows Hello 지원하는 RGB 및 IR 카메라와 같은 동일한 패널에 두 대의 카메라가 있는 경우 셔터가 잘못된 보안 감각을 제공하지 않도록 하는 것이 중요합니다. 고객은 Windows Hello 두 번째 카메라 센서가 있을 수 있으며 일부 디바이스는 RGB+IR에 단일 센서를 사용한다는 것을 이해하지 못합니다. 이 때문에 셔터는 패널의 모든 카메라를 덮어야 합니다.
IR 카메라에 셔터 및 킬 스위치가 적용되는지 확인하는 것은 애플리케이션에서 IR 카메라에 액세스하고 아래와 같이 장면의 합리적으로 높은 충실도 이미지를 생성할 수 있기 때문에 가장 중요합니다. IR 센서를 차단하지 못하면 보안에 대한 잘못된 감각과 셔터의 개인 정보 보호 장점에 대한 사용자 신뢰 위반이 표시됩니다.
참고
Windows Hello Face에는 RGB 및 IR 카메라가 모두 필요합니다. RGB 카메라가 폐색되면 Windows Hello 제대로 작동하지 않습니다. RGB 및 IR 스트림은 스푸핑 방지 카운터 측정값을 사용하도록 설정하는 데 사용됩니다.
물리적 셔터 디자인 지침(기계 또는 전기 기계)
고객이 물리적 셔터와 함께 장치를 사용하는 경우 셔터의 존재는 제공하는 개인 정보 보호 수준에 대한 강력한 암시적 기대를 제공합니다. 간단히 말해서, 사용자의 기대는 장치에 셔터가 있고 셔터가 닫혀 있으면 예기치 않은 카메라 액세스로부터 보호된다는 것입니다. 기능의 구현은 암시적 기대에 부합하는 것이 중요하며, 그렇지 않으면 모든 신뢰를 잃게 됩니다.
또한 개인 정보 보호 셔터의 전체 개념은 실용적인 소프트웨어 공격에 대해 강화된 보안 계층을 제공하는 것입니다. 즉, 디바이스에 셔터가 있고 시스템이 악성 소프트웨어에 의해 완전히 손상된 경우 해당 소프트웨어는 사용자의 개인 정보를 손상시킬 수 없습니다. 간단히 말해, 사용자가 디바이스의 하드웨어 셔터 컨트롤과 물리적으로 상호 작용하는 경우에만 셔터가 상태를 변경할 수 있다는 기대가 있습니다.
기계 설계 고려 사항
수동 또는 전기 기계적으로 작동하든 물리적 셔터는 닫을 때 센서를 완전히 차단하고 육안으로 볼 수 있는 불투명 재료로 만들어질 것으로 예상됩니다.
패널에 여러 카메라가 있는 셔터에 설명된 것처럼, 동일한 패널에 별도의 IR 및 RGB 카메라가 있는 디바이스는 셔터를 닫을 때 두 센서를 동시에 차단해야 합니다. 다음과 같이 이중 센서 디자인을 가정합니다.
셔터가 닫힌 경우 두 센서를 모두 덮어야 합니다.
참고
현재는 기계식 셔터 디자인이 IR 카메라를 커버하지 않는 카메라에 대한 예외를 지원합니다. 실제 셔터가 RGB 카메라를 폐색하는 경우 ISP 펌웨어가 IR 카메라에서 이미지 출력을 삭제하고 합성된 검은색 이미지로 바꾸는 것이 허용됩니다. 향후 HLK 업데이트에서는 솔루션의 견고성과 고객 개인 정보 보호 강화를 위해 RGB 및 IR 카메라를 물리적으로 차단하기 위해 물리적 셔터가 필요합니다.
카메라 동작 고려 사항
카메라에 물리적 셔터가 장착되면 카메라는 셔터 상태에 관계없이 정상적으로 작동해야 합니다. 앱이 카메라에서 스트리밍하는 경우 셔터가 닫혀 있더라도 실제 센서 데이터를 계속 캡처하고 전송합니다. 닫힌 셔터에 의한 센서의 전체 폐색은 검은색 또는 매우 가까운 이미지를 생성할 것으로 예상됩니다.
OEM은 셔터를 닫을 때 이미지를 정적 이미지로 바꾸도록 선택할 수 있습니다(예: 슬래시가 있는 카메라 사진). 이 이미지는 정적이어야 하며 악용으로부터 보호하기 위해 소프트웨어에서 변경할 수 없습니다. 개인 정보 보호 셔터를 사용하는 디바이스의 경우 ISP 내에서 또는 드라이버 내에서 이미지 교체가 발생할 수 있지만, DMFT의 필요성을 줄이고 호스트 디바이스에 부하를 추가하려면 ISP 내에서 교체하는 것이 좋습니다.
카메라 개인 정보 보호 셔터 LED 요구 사항
LED 요구 사항은 지정된 일반 LED 요구 사항을 따라야 합니다. 즉, 패널에 카메라가 있는 경우 셔터가 열려 있거나 닫혀 있든 관계없이 표시되는 파장 카메라 사용 중 표시기 LED가 켜져 있어야 합니다. 그러나 셔터가 닫혔을 때 셔터의 물리적 디자인이 LED를 덮을 수 있습니다. 아래 다이어그램은 카메라가 활발하게 스트리밍되는 시나리오를 보여 줍니다.
IR 및 RGB 카메라를 모두 갖춘 디자인의 경우 일부 제조업체는 셔터를 닫는 동안 IR 카메라를 사용하는 경우 IR 조명기 LED를 해제하려고 할 수 있습니다. 작은 값에 대해 많은 복잡성을 추가하기 때문에 이에 대해 권장합니다. IR 카메라는 일반적으로 Windows Hello 실행 중인 경우에만 활성화되며, Windows Hello 이 시간 동안 로그인하려고 하지만 셔터가 닫힌 메시지를 표시합니다. 자세한 내용은 Kill 스위치 구현 을 참조하세요.
그러나 840nm(표시) IR 조명기 LED가 IR 카메라의 유일한 사용 중인 표시기 LED가 아닌 경우(예: IR 카메라가 활성화될 때 일반 눈에 보이는 흰색/녹색/파란색 LED가 비추는 경우) 셔터가 닫히면 디자인이 IR 조명기 LED를 끌 수 있습니다.
셔터 상태 토글 메커니즘
개인 정보 보호 셔터를 구현하는 디바이스는 셔터의 어떠한 형태의 소프트웨어 제어도 허용하지 않아야 하며, 셔터 컨트롤과 명시적으로 상호 작용하는 사용자에 대한 응답으로 셔터를 열거나 닫아야 합니다. 이 셔터 컨트롤은 기계식 슬라이더 또는 전기 기계 셔터를 작동시키는 물리적 버튼일 수 있습니다. 하드웨어 컨트롤이 소프트웨어를 재정의하고 셔터를 닫은 상태로 유지할 수 있더라도 셔터 상태를 변경할 수 있는 소프트웨어는 없습니다. 닫힌 셔터가 항상 개인 정보 제어를 사용하도록 설정된 것은 아니기 때문에. 마찬가지로 셔터는 같은 이유로 카메라를 사용하여 앱에서 열리거나 닫을 수 없습니다. 요약하자면, 사용자가 장치를 응시하고 셔터가 닫힌 것을 볼 경우 셔터를 열기 위해 물리적 조치를 취할 때까지 개인 정보가 보호된다는 것을 분명히 유추할 수 있어야 합니다.
셔터 상태 감지 및 보고
시장 내 카메라 개인 정보 보호 디자인과 관련된 많은 문제는 사용자가 의도치 않게 셔터를 닫고 카메라가 빈 이미지를 생성하거나 작동하지 않는 이유를 알 수없는 상황에서 비롯됩니다. 따라서 Windows 개인 정보 보호 셔터 기능의 핵심 부분은 셔터 상태를 안정적으로 보고할 수 있는 카메라에 의존합니다. 이 정보를 통해 애플리케이션은 셔터가 닫혀 그에 따라 반응할 수 있음을 사용자에게 알릴 수 있습니다. 셔터 상태 변경 내용은 이벤트가 발생한 후 가능한 한 빨리 감지하고 보고해야 합니다.
셔터 상태, 물리적 센서 및 펌웨어 기반 감지를 감지하는 두 가지 방법이 제안됩니다. 두 방법 모두 UVC 디바이스에서 발생하는 경우 CT_PRIVACY_CONTROL 통해 감지된 셔터 상태를 보고하거나 AVStream 또는 DMFT 드라이버에서 시작된 경우 KSPROPERTY_CAMERACONTROL_PRIVACY .
자세한 내용은 개인 정보 보호 셔터 알림을 참조하세요.
물리적 상태 감지 센서
셔터가 열리거나 닫혔는지 감지할 수 있는 물리적 센서를 사용하여 셔터 상태를 감지할 수 있습니다. 물리적 센서는 셔터 상태를 결정적으로 보고할 수 있으며 보다 안정적인 환경을 제공할 수 있습니다. Microsoft에는 센서 디자인에 사용할 수 있는 특정 지침이나 센서 기술에 대한 특정 권장 사항이 없습니다.
ISP 펌웨어 기반 상태 검색
일부 디자인은 물리적 셔터를 건너뛰고 대신 ISP 내의 펌웨어를 사용하여 이미지를 처리하고 유추된 셔터 상태를 보고하도록 선택할 수 있습니다. 이러한 솔루션은 펌웨어에서 캡처된 이미지를 분석하고 임계값과 비교하여 셔터가 닫힌 것으로 보이는지 확인합니다. 이 솔루션은 새로운 부품이 필요하지 않으며 센서를 통해 테이프와 같은 항목을 감지할 수 있기 때문에 저렴한 솔루션입니다. 그러나 이러한 디자인을 사용하도록 선택할 때 두 가지 중요한 고려 사항이 있습니다.
디자인은 어두운 환경에서 닫힌 셔터를 잘못 보고할 수 있습니다. 그러나 이러한 저조도 환경에서는 카메라를 사용할 수 없으므로 이는 최소한의 위험/문제가 될 것으로 예상됩니다.
ISP가 D3에서 벗어날 때마다 센서에서 주기적으로 샘플링할 수 없는 한, 이 방법은 앱이 카메라에서 스트리밍을 시작할 때까지 정확한 센서 상태 데이터를 쿼리할 수 없도록 합니다.
위의 두 번째 고려 사항은 챌린지를 만듭니다. 카메라가 스트리밍되지 않을 때 셔터 상태를 보고하지 못하지만 스트리밍 전에 셔터 상태를 확인하고 반응하도록 앱이 작성된 경우 나쁜 일이 발생할 수 있습니다. 파트너로부터 받은 피드백에 대한 응답으로 이 요구 사항이 완화되었습니다. 또한 스트리밍하지 않을 때 보고된 셔터 상태에 따라 결정을 내리는 것을 소프트웨어 개발자에게 권고하기 위해 API 설명서를 업데이트하고 있습니다. 예를 들어 셔터가 닫혔다고 보고하는 경우 카메라가 켜지지 않도록 앱 개발자에게 명시적으로 권고합니다.
이 조언을 준수하지 않는 앱과의 호환성 문제 위험을 방지하기 위해 스트리밍하지 않을 때 셔터 상태를 감지할 수 없는 카메라는 스트리밍하지 않을 때마다 셔터가 OPEN임을 보고해야 합니다. 그렇지 않으면 카메라가 스트리밍하지 않을 때 셔터 상태를 감지할 수 있는 경우 D3에 없을 때마다 셔터 상태를 감지하고 보고해야 합니다.
참고
이미지 분석 기반 셔터 검색 알고리즘은 항상 드라이버가 아닌 펌웨어에서 구현되어야 CPU 부하 증가 및 최대 견고성을 방지할 수 있습니다.
다음은 카메라 개인 정보 보호 셔터를 사용하는 디바이스의 예상 동작을 보여 주는 다이어그램입니다.
카메라 개인 정보 보호 셔터 동작 요약 테이블
다음 표에는 카메라 개인 정보 보호 셔터(수동 또는 전기 기계)가 있는 카메라의 예상 동작이 요약되어 있습니다.
| ISP 상태 | 셔터 상태 | 표시되는 표시기 LED | PC로 스트리밍된 이미지 | 보고된 CT_PRIVACY_CONTROL 상태 |
|---|---|---|---|---|
| 유휴/D3 | 열림 | Off* | 해당 없음 | 열림 |
| 유휴/D3 | 닫힘 | Off* | 해당 없음 | Opened** |
| 스트리밍(모든 앱) | 열림 | 켜기* | 캡처된 센서 이미지 | 열림 |
| 스트리밍(모든 앱) | 닫힘 | 켜기* | 캡처된 센서 이미지 | 닫힘 |
(*) 표시기 LED 요구 사항에 대한 자세한 내용은 카메라 개인 정보 보호 셔터 LED 요구 사항 및 셔터 상태 토글 메커니즘 을 참조하세요.
(**) 자세한 내용은 셔터 상태 감지 및 보고를 참조하세요. 일부 시나리오에서는 스트리밍하지 않을 때 셔터 상태가 계속 업데이트됩니다.
Kill 스위치 디자인 지침
고객이 킬 스위치가 있는 디바이스를 사용하는 경우 하드웨어 스위치에 신뢰를 두어 이미지를 캡처하려는 애플리케이션으로부터 강력하게 보호합니다. 간단히 말해서, 사용자의 기대는 내 장치에 킬 스위치가 있고 킬 스위치가 활성화되면 예기치 않은 카메라 액세스로부터 개인 정보 보호가 보호된다는 것입니다. 기능 구현이 암시적 기대에 부합하는 것이 중요합니다. 그렇지 않으면 모든 신뢰를 잃게 됩니다.
또한 킬 스위치의 전체 개념은 실용적인 소프트웨어 공격에 대해 강화된 보안 계층을 제공하는 것입니다. 디바이스에 킬 스위치가 있고 시스템이 악성 소프트웨어에 의해 완전히 손상된 경우 해당 소프트웨어는 킬 스위치를 재정의하고 사용자의 개인 정보를 손상할 수 없습니다. 간단히 말해서* 킬 스위치는 사용자가 디바이스와 물리적으로 상호 작용하는 경우에만 활성화/비활성화할 수 있습니다.
개인 정보 보호 셔터 디자인에 비해 킬 스위치는 더 복잡하고 신뢰를 제공하기 위해 더 많은 과제를 수행합니다. 이는 동일한 수준의 견고성(물리적 스위치는 모든 시나리오에서 완벽하게 작동할 것으로 예상됨)을 가지고 있지만 렌즈를 통해 물리적 셔터가 제공하는 보증을 제공하지 않기 때문입니다. 즉, kill 스위치를 제공하는 디바이스는 일관되고 명확하며 신뢰할 수 있는 환경을 생성해야 합니다.
Kill 스위치 기능
Kill 스위치는 ISP 펌웨어에 센서에서 캡처를 중지하고 대신 검은색 이미지를 합성하도록 말함으로써 작동합니다. 이러한 방식으로 카메라는 애플리케이션의 관점에서 계속 사용 가능하고 작동하지만 킬 스위치가 활성 상태일 때 실제 센서 데이터가 호스트 OS로 전송되지 않습니다. 강력한 디자인은 다음과 같이 작동합니다.
스위치의 물리적 신호가 ISP의 GPIO에 연결되어 스위치가 활성 상태인지 여부를 나타냅니다.
kill 스위치가 활성 상태이면 ISP:
센서의 전기 연결을 끊습니다.
연결이 끊긴 센서에서 실제 프레임을 대체하기 위해 검은색 프레임 합성을 시작합니다.
개인 정보 보호 셔터 알림 기능을 통해 셔터가 닫혀 있음을 보고합니다.
실제로 킬 스위치 GPIO가 활성 상태일 때 센서의 전기 연결을 끊는 등 이 전체 환경을 지원하는 ISP 실리콘은 아직 시장에서 사용할 수 없습니다. 따라서 현재 설계에서는 "센서를 중지하거나 펌웨어 내에서 센서 데이터를 삭제"하기 위해 위의 2a단계를 수정해야 합니다. 우리는 ISP 공급 업체와 협력하여 향후 실리콘에서이 숙박 시설의 필요성을 완화 할 계획입니다.
참고
kill 스위치 기능은 호스트 OS에서 실행되는 드라이버가 아닌 ISP 펌웨어에서 구현해야 합니다. kill 스위치가 "kill" 상태일 때 센서의 실제 이미지 데이터를 OS로 전송해서는 안 됩니다.
개인 정보 보호 셔터와 마찬가지로 KILL 스위치가 "kill" 상태일 때 OEM이 이미지를 정적 이미지로 바꿀 수 있습니다. 이미지 교체는 ISP 내에서 또는 드라이버 내에서 발생할 수 있지만, DMFT의 필요성을 줄이고 호스트 디바이스에 부하를 추가하려면 ISP 내에서 교체하는 것이 좋습니다. 드라이버에서 이미지 교체가 수행되는 경우 kill 스위치가 "kill" 상태일 때 실제 이미지 데이터가 OS로 전송되지 않는다는 요구 사항이 계속 적용됩니다.
Kill 스위치 구현
Kill 스위치 상태는 소프트웨어를 제어하지 않아야 합니다. 그렇지 않으면 악의적인 애플리케이션이 kill 스위치를 활성화하거나 비활성화하는 컨트롤을 작성할 수 있습니다. ISP의 GPIO에 연결된 스위치를 통해 제어해야 합니다.
카메라가 스위치를 죽일 때, 카메라는 여전히 시스템에 나타나고 응용 프로그램은 여전히 그것에서 스트리밍 할 수 있습니다, 이미지는 검은 색으로 가는 것이 중요합니다. 프레임은 OS에 계속 전달되고 카메라는 컨트롤에 계속 응답합니다. 앱은 앱이 CameraOcclusionInfo API를 사용하지 않는 한 스위치가 "kill" 상태임을 인식하지 못합니다. 이렇게 하면 "카메라를 찾을 수 없음" 메시지가 혼동되거나 스위치를 뒤집을 때 특정 응용 프로그램이 충돌할 위험이 없도록 하드웨어 컨트롤을 통해 카메라를 사용하지 않도록 설정할 수 있습니다.
패널에 여러 카메라가 있는 셔터에서 설명한 대로 동일한 패널에 별도의 IR 및 RGB 카메라가 있는 디바이스는 킬 스위치가 활성화될 때 두 센서를 동시에 사용하지 않도록 설정해야 합니다.
HLK LED 요구 사항
HLK를 사용하려면 ISP가 센서 데이터를 캡처할 때 표시기 LED가 ON이어야 합니다. 킬 스위치를 활성화하면 ISP가 센서에서 실제 데이터 캡처를 중지해야 하므로 LED도 킬 스위치로 꺼질 것으로 예상됩니다. 이렇게 하면 고객이 조명 표시기 또는 IR 조명기 LED를 볼 경우 소프트웨어가 현재 이미지를 캡처하고 있음을 알고 있으며 조명 LED가 표시되지 않으면 캡처되지 않는다는 것을 알고 있으므로 혼동이나 신뢰 위반을 방지할 수 있습니다.
전환 상태 보고 종료
kill 스위치의 상태는 CT_PRIVACY_CONTROL(UVC 디바이스에서 시작된 경우) 또는 KSPROPERTY_CAMERACONTROL_PRIVACY(AVStream 또는 DMFT 드라이버에서 시작된 경우)를 통해 보고해야 합니다. ISP가 D3에서 벗어날 때마다 카메라 킬 스위치의 상태를 보고해야 합니다.
자세한 내용은 개인 정보 보호 셔터/스위치 알림을 참조하세요.
Kill switch 동작 요약 테이블
다음 표에는 카메라 킬 스위치가 있는 카메라의 예상 동작이 요약되어 있습니다.
| ISP 상태 | 킬 스위치 상태 | 표시되는 표시기 LED | PC로 스트리밍된 이미지 | 보고된 CT_PRIVACY_CONTROL 상태 |
|---|---|---|---|---|
| 유휴/D3 | 실행 | Off* | 해당 없음 | 열기 |
| 유휴/D3 | 종료 | Off* | 해당 없음 | 닫기 |
| 스트리밍(모든 앱) | 실행 | 켜기* | 캡처된 센서 이미지 | 열기 |
| 스트리밍(모든 앱) | 종료 | Off* | 합성된 빈 프레임 | 닫기 |
(*) 표시기 LED 요구 사항에 대한 자세한 내용은 카메라 개인 정보 보호 셔터 LED 요구 사항 및 셔터 상태 토글 메커니즘 을 참조하세요.
셔터/스위치 이벤트에 대한 ISV 지침
개인 정보 보호 셔터 또는 킬 스위치가 있는 카메라가 이 설명서의 지침을 따르는 경우 카메라가 스트리밍될 때 셔터/스위치 상태가 OS에 보고됩니다. 카메라를 사용하는 응용 프로그램은 셔터 상태 변경 이벤트를 모니터링하고 셔터 또는 스위치에 의해 카메라가 차단된다는 유용한 알림을 생성하는 등 그에 따라 응답 할 수 있습니다.
자세한 내용은 다음 API를 참조하세요.