카메라 프라이버시 셔터 및 킬 스위치
이 문서에서는 개인 정보 보호 셔터 또는 킬 스위치에 대한 디바이스 디자인 지침, 셔터 상태 감지에 대한 고려 사항 및 셔터가 지표 LED에 대한 기존 HLK 요구 사항과 상호 작용하는 방법을 제공합니다.
일반적인 LED 요구 사항
셔터 또는 킬 스위치에 관계없이 HLK는 ISP가 센서 데이터를 캡처할 때 표시되는 표시기 LED가 ON이어야 합니다. RGB 카메라의 경우 카메라가 활성 상태인 경우 표시되는 단일 파장 LED(예: 흰색, 녹색, 파란색 등)는 ON이어야 합니다.
RGB+IR 센서가 있는 카메라의 경우 IR 카메라에 조명기 LED가 필요하고 조명 LED가 표시되는 파장(850 nm) 또는 보이지 않는 파장(940 nm)을 사용할 수 있기 때문에 더 복잡할 수 있습니다. 또한 앱은 IR 센서 자체, RGB 센서 자체 또는 둘 다 동시에 스트리밍될 수 있습니다.
표시되는 파장 IR 일루미네이터를 사용하는 디자인은 IR 조명기 LED를 표시 표시기 LED로 사용하도록 선택할 수 있습니다. 즉, IR 카메라 자체에 있는 경우 HLK 요구 사항은 조명되는 IR 조명기 LED에 의해 충족됩니다.
보이지 않는 파장 IR 조명기를 사용하는 디자인은 HLK 요구 사항을 충족하기 위해 IR 카메라가 활성화된 시기를 나타내기 위해 표시되는 파장 LED를 사용해야 합니다. IR 센서 및/또는 RGB 센서가 ON일 때 동일한 표시 파장 LED가 켜지도록 카메라 사용 중인 표시기 LED를 공유하는 것이 좋습니다.
IR 조명기 LED가 표시되는 파장을 사용하는지 여부에 관계없이 IR 또는 RGB 카메라를 사용할 때 모든 디자인이 일반 사용 중인 표시기 LED ON을 켜는 것이 좋습니다. 핵심 LED 요구 사항의 전체 테이블은 다음과 같습니다.
Stream 상태 | 표시되는 IR LED(850 nm) | 보이지 않는 IR LED(940 nm) |
---|---|---|
카메라 끄기 | LED OFF | LED OFF |
RGB 카메라만 켜기 | 사용 중인 표시기 ON, IR 일루미네이터 OFF | 사용 중인 표시기 ON, IR 일루미네이터 OFF |
IR 카메라만 켜기 | 사용 중 표시기가 필요하지 않지만 ON을 권장합니다 . | 사용 중인 표시기 ON, IR 조명기 ON |
RGB 및 IR 카메라 켜기 | 사용 중인 표시기 ON, IR 조명기 ON | 사용 중인 표시기 ON, IR 조명기 ON |
참고
LED 요구 사항은 카메라 개인 정보 보호 셔터 또는 카메라 킬 스위치를 사용하는 디자인에 따라 다를 수 있습니다. 카메라 개인 정보 보호 셔터 및 카메라 킬 스위치에 대한 HLK LED 요구 사항이 있는 정보는 카메라 개인 정보 보호 셔터 LED 요구 사항을 참조하세요.
상시 AI 환경(예: 카메라 기반 인간 존재)
AI 실리콘이 기본 카메라 센서를 공유하는 상시 카메라 기반 AI 기능을 지원하는 디바이스의 경우 전용 프레즌스 실리콘이 카메라에 독점적으로 액세스하는 경우 LED 요구 사항이 다릅니다. 자세한 내용은 Microsoft 파트너 센터의 프레즌스 감지 백서를 참조하세요.
하드웨어 개인 정보 제어
카메라 디자인에 하드웨어 개인 정보 보호 컨트롤이 포함된 경우 디자인 지침의 두 가지 주요 신조가 있습니다.
개인 정보 제어가 있는 디바이스는 일관된 사용자 환경과 개인 정보 보호 상태에 대한 확신을 제공해야 합니다.
- 고객이 디바이스의 셔터가 어떻게 보이고 동작하는지 알게 되면 셔터가 있는 사용하는 모든 장치에 해당 지식이 적용되어야 합니다.
어떤 상황에서도 카메라 개인 정보 보호 제어는 개인 정보 보호에 대한 잘못된 인상을 줄 수 없습니다.
- 디바이스는 고객에게 가장 중요한 경우 개인 정보를 제공하지 않아야 합니다. 카메라 개인 정보 보호 셔터가 닫혀 있거나 카메라 킬 스위치가 꺼져 있는 경우 고객은 개인 정보 보호 기능을 비활성화하기 위해 물리적 컨트롤과 상호 작용할 때까지 이미지를 캡처할 수 없습니다.
컨트롤 유형
두 가지 형태의 개인 정보 보호 컨트롤, 카메라 개인 정보 보호 셔터(기계 및 전자 기계) 및 카메라 킬 스위치가 정의됩니다. 디바이스 폼 팩터, BOM 비용 목표 및 디바이스의 가격 포인트에 따라 OEM은 이러한 형태로 셔터를 구현하도록 선택할 수 있습니다. 세 가지 모두에 걸쳐 중요한 상수는 소프트웨어가 손상될 수 있으므로 소프트웨어가 관련되지 않음을 의미하는 물리적 또는 하드웨어 수준에서 작동해야 한다는 것입니다.
기계식 카메라 프라이버시 셔터
기계 셔터는 가장 간단한 디자인이며, 사용자가 카메라를 차단하거나 차단하기 위해 수동으로 작동하는 간단한 슬라이딩 렌즈 커버입니다. 닫히면 렌즈를 완전히 차단하는 불투명한 소재를 사용하여 설계되었습니다. 이 디자인은 사용자가 슬라이딩하는 것을 제외하고는 물리적으로 손상되어 어떤 방식으로든 열 수 없다는 점에서 본질적으로 완벽합니다.
전기 기계 카메라 개인 정보 셔터
전기 기계 셔터는 전기적으로 제어되는 기계식 셔터입니다. 사용자가 셔터를 수동으로 열거나 닫는 대신 디바이스의 물리적 버튼을 누르면 통합 셔터가 열리거나 닫힙니다.
참고
이 솔루션에는 일반적으로 펌웨어가 필요하지만 다른 구성 요소와 격리되어야 합니다. 즉, 셔터 컨트롤러와 단추에는 통신 버스와 같은 공격 벡터나 펌웨어를 다시 프로그래밍할 수 있는 기능이 없어야 합니다. 디자인에는 하드웨어 상호 작용이 필요하며 소프트웨어에서 제어할 수 없어야 합니다.
카메라 킬 스위치
현재 일부 디바이스는 카메라 킬 스위치 기능과 함께 제공되며, 이 기능은 꺼져 있을 때 카메라 장치를 시스템에서 물리적으로 분리하여 렌즈/센서를 덮기 위해 물리적 셔터를 요구하지 않고도 카메라 액세스를 차단하는 하드웨어 컨트롤을 제공합니다. 이는 공격에 대해 강력하지만 사용자 환경이 좋지 않습니다. 스위치가 꺼져 있을 때 장치를 제거하면 시스템은 섀시에 여전히 카메라가 있지만 꺼져 있음을 알 수 없습니다. 이는 애플리케이션이 연결된 카메라가 없다고 보고하기 때문에 스위치를 모르는 사용자가 의도치 않게 카메라를 끄는 경우 UX 관점에서 문제가 됩니다. 또한 사용 중에 카메라가 제거되거나 앱이 실행되는 동안 표시되는 경우 특정 애플리케이션이 충돌하거나 잘못된 행동을 할 수 있습니다.
따라서 Microsoft는 시스템에서 전체 카메라를 제거하는 카메라 킬 스위치 사용을 권장하거나 지원하지 않습니다. 대신 다음 두 가지 솔루션 중 하나를 사용하는 것이 좋습니다.
기계식 카메라 프라이버시 셔터 및 전기 기계식 카메라 프라이버시 셔터에 설명된 물리적 셔터입니다.
ISP가 아닌 센서의 연결을 끊고 ISP가 검은색 프레임을 합성하는 킬 스위치입니다.
두 번째 솔루션의 경우 카메라는 여전히 시스템에 나타나며 앱은 계속 사용할 수 있습니다. ISP는 킬 스위치가 활성 상태인지 여부에 관계없이 모든 명령(스트리밍 시작/중지, 밝기 또는 대비 같은 DDI, 미디어 형식 변경 등)에 정상적으로 응답합니다. 그러나 킬 스위치가 활성화되면 ISP는 센서에서 실제 데이터 캡처를 중지하고 대신 애플리케이션의 관점에서 투명하게 검은색 프레임을 합성하고 스트림합니다.
패널에 여러 카메라가 있는 셔터
고객이 셔터가 있는 디바이스(예: 패널에 여러 IR 및 RGB 카메라가 있는 셔터)를 사용하는 경우 셔터가 닫히면 예기치 않은 카메라 액세스로부터 개인 정보 보호가 보호될 것으로 예상합니다. 시스템에 Windows Hello 지원하는 RGB 및 IR 카메라와 같은 동일한 패널에 두 대의 카메라가 있는 경우 셔터가 잘못된 보안 감각을 제공하지 않도록 하는 것이 중요합니다. 고객은 Windows Hello 두 번째 카메라 센서가 있을 수 있다는 것을 이해하지 못하며 일부 디바이스는 RGB+IR에 단일 센서를 사용합니다. 이 때문에 셔터는 패널의 모든 카메라를 덮어야 합니다.
아래와 같이 애플리케이션에서 IR 카메라에 액세스하고 장면의 충실도가 높은 이미지를 생성할 수 있으므로 IR 카메라에 셔터와 킬 스위치가 적용되는지 확인하는 것이 가장 중요합니다. IR 센서를 차단하지 못하면 셔터의 개인 정보 보호 장점에 대한 잘못된 보안 감각과 사용자 신뢰 위반을 나타냅니다.
참고
Windows Hello Face에는 RGB 및 IR 카메라가 모두 필요합니다. RGB 카메라가 차단되면 Windows Hello 제대로 작동하지 않습니다. RGB 및 IR 스트림은 모두 스푸핑 방지 카운터 측정값을 사용하도록 설정하는 데 사용됩니다.
물리적 셔터 디자인 지침(기계적 또는 전기적)
고객이 물리적 셔터와 함께 장치를 사용하는 경우 셔터의 존재는 제공하는 개인 정보 보호 수준에 대한 강력한 암시적 기대를 제공합니다. 간단히 말해서, 디바이스에 셔터가 있고 셔터가 닫혀 있으면 예기치 않은 카메라 액세스로부터 보호된다는 것이 사용자의 기대입니다. 기능의 구현은 암시적 기대에 부합하는 것이 중요합니다. 그렇지 않으면 모든 신뢰를 잃게 됩니다.
또한 개인 정보 보호 셔터의 전체 개념은 실용적인 소프트웨어 공격에 대해 강화된 보안 계층을 제공하는 것입니다. 즉, 디바이스에 셔터가 있고 시스템이 악성 소프트웨어에 의해 완전히 손상된 경우 해당 소프트웨어는 사용자의 개인 정보를 손상할 수 없습니다. 간단히 말해서, 사용자가 디바이스의 하드웨어 셔터 컨트롤과 물리적으로 상호 작용하는 경우에만 셔터가 상태를 변경할 수 있다는 기대가 있습니다.
기계 설계 고려 사항
수동 또는 전기적으로 작동하든 물리적 셔터는 닫히면 센서를 완전히 차단하고 육안으로 볼 수 있는 불투명한 재료로 만들어질 것으로 예상됩니다.
패널에 여러 카메라가 있는 셔터에 설명된 대로 동일한 패널에 별도의 IR 및 RGB 카메라가 있는 디바이스는 셔터가 닫히면 두 센서가 동시에 차단되어야 합니다. 다음과 같이 이중 센서 디자인을 가정합니다.
셔터가 닫히면 RGB 센서를 덮어야 하며 IR 센서를 커버하는 것이 선택 사항입니다.
참고
현재 기계식 셔터 디자인이 IR 카메라를 커버하지 않는 카메라에 대한 예외를 지원합니다. 물리적 셔터가 RGB 카메라를 폐색하는 경우 ISP 펌웨어가 IR 카메라의 이미지 출력을 삭제하고 합성된 검은색 이미지로 교체하는 것이 허용됩니다. 그러나 IR 센서가 프레즌스 감지에 사용되는 경우 IR 센서를 커버하지 않고 프레즌스 센서가 작동하는지 확인하는 것이 좋습니다. 자세한 내용은 Microsoft 파트너 센터의 프레즌스 감지 백서를 참조하세요. 향후 HLK 업데이트는 이 예외를 채택하고, 솔루션의 견고성과 고객 개인 정보 보호의 강력한 보호를 보장하기 위해 RGB를 물리적으로 차단하기 위해 물리적 셔터만 필요합니다.
카메라 동작 고려 사항
카메라에 물리적 셔터가 장착된 경우 카메라는 셔터 상태에 관계없이 정상적으로 작동해야 합니다. 앱이 카메라에서 스트리밍되는 경우 셔터가 닫혀 있더라도 실제 센서 데이터를 계속 캡처하고 전송합니다. 닫힌 셔터에 의한 센서의 전체 폐색은 검은색 또는 매우 가까운 이미지를 생성할 것으로 예상됩니다.
OEM은 셔터가 닫혀 있을 때 이미지를 정적 이미지로 바꾸도록 선택할 수 있습니다(예: 슬래시가 있는 카메라 사진). 이 이미지는 정적이어야 하며 악용으로부터 보호하기 위해 소프트웨어에서 변경할 수 없습니다. 개인 정보 셔터가 있는 디바이스의 경우 ISP 내에서 또는 드라이버 내에서 이미지 교체가 발생할 수 있지만, DMFT의 필요성을 줄이고 호스트 디바이스에 부하를 추가하려면 ISP 내에서 교체하는 것이 좋습니다.
카메라 개인 정보 보호 셔터 LED 요구 사항
LED 요구 사항은 지정된 일반 LED 요구 사항을 따라야 합니다. 즉, 패널에 카메라가 있는 경우 셔터가 열려 있거나 닫혀 있는지 여부에 관계없이 가시 파장 카메라 사용 중인 표시기 LED가 켜져 있어야 합니다. 그러나 셔터가 닫혀 있을 때 셔터의 물리적 디자인이 LED를 커버하는 것은 허용됩니다. 아래 다이어그램은 카메라가 적극적으로 스트리밍되는 시나리오를 보여 줍니다.
IR 및 RGB 카메라를 모두 갖춘 디자인의 경우 일부 제조업체는 셔터가 닫혀 있는 동안 IR 카메라를 사용하는 경우 IR 조명기 LED를 해제하려고 할 수 있습니다. 작은 값에 대한 복잡성을 더하기 때문에 이에 대해 권장합니다. IR 카메라는 Windows Hello 실행 중인 경우에만 활성화되며, Windows Hello 이 시간 동안 로그인하려고 하지만 셔터가 닫혀 있다는 메시지를 표시합니다. 자세한 내용은 Kill switch 구현 을 참조하세요.
그러나 840 nm(표시) IR 조명기 LED가 IR 카메라의 유일한 사용 중인 표시기 LED가 아닌 경우(예: IR 카메라가 활성 상태일 때 일반 표시되는 흰색/녹색/파란색 LED가 비추는 경우) 셔터가 닫히면 IR 조명기 LED가 꺼질 수 있습니다.
셔터 상태 토글 메커니즘
개인 정보 셔터를 구현하는 디바이스는 셔터의 어떠한 형태의 소프트웨어 제어도 허용하지 않아야 하며, 셔터 컨트롤과 명시적으로 상호 작용하는 사용자에 대한 응답으로 셔터를 열거나 닫아야 합니다. 이 셔터 컨트롤은 기계식 슬라이더 또는 전기 셔터를 작동시키는 물리적 단추일 수 있습니다. 하드웨어 제어가 소프트웨어를 재정의하고 셔터를 닫은 상태로 유지할 수 있더라도 셔터 상태를 변경할 수 있는 소프트웨어는 없습니다. 닫힌 셔터가 항상 개인 정보 제어를 사용하도록 설정된 것은 아니기 때문일 수 있습니다. 마찬가지로 셔터는 같은 이유로 카메라를 사용하여 앱에서 열리거나 닫을 수 없습니다. 요약하자면, 사용자가 디바이스를 응시하고 셔터가 닫힌 것을 볼 경우 셔터를 열기 위한 물리적 조치를 취할 때까지 개인 정보가 보호된다는 것을 분명히 추론할 수 있어야 합니다.
셔터 상태 감지 및 보고
시장 내 카메라 개인 정보 보호 디자인과 관련된 많은 문제는 사용자가 의도치 않게 셔터를 닫고 카메라가 빈 이미지를 생성하거나 작동하지 않는 이유를 알 수없는 상황에서 비롯됩니다. 따라서 Windows 개인 정보 보호 셔터 기능의 핵심 부분은 셔터 상태를 안정적으로 보고할 수 있는 카메라에 의존합니다. 이 정보를 통해 애플리케이션은 셔터가 닫혀 그에 따라 반응할 수 있음을 사용자에게 알릴 수 있습니다. 이벤트가 발생한 후 가능한 한 빨리 셔터 상태 변경 내용을 감지하고 보고해야 합니다.
셔터 상태, 물리적 센서 및 펌웨어 기반 감지를 감지하는 두 가지 방법이 제안됩니다. 두 방법 모두 UVC 디바이스에서 발생하는 경우 CT_PRIVACY_CONTROL 통해 검색된 셔터 상태를 보고하거나 AVStream 또는 DMFT 드라이버에서 발생한 경우 KSPROPERTY_CAMERACONTROL_PRIVACY .
자세한 내용은 개인 정보 셔터 알림을 참조하세요.
물리적 상태 감지 센서
셔터가 열리거나 닫혀 있는지 감지할 수 있는 물리적 센서를 사용하여 셔터 상태를 감지할 수 있습니다. 물리적 센서는 셔터 상태를 결정적으로 보고할 수 있으며 보다 안정적인 환경을 제공할 수 있습니다. Microsoft에는 센서 디자인에 사용할 수 있는 특정 지침이나 센서 기술에 대한 특정 권장 사항이 없습니다.
ISP 펌웨어 기반 상태 검색
일부 디자인은 물리적 셔터를 건너뛰고 대신 ISP 내의 펌웨어를 사용하여 이미지를 처리하고 유추된 셔터 상태를 보고하도록 선택할 수 있습니다. 이러한 솔루션은 펌웨어에서 캡처된 이미지를 분석하고 임계값과 비교하여 셔터가 닫힌 것처럼 보이는지 확인합니다. 이 솔루션은 새로운 부품이 필요하지 않으며 센서를 통해 테이프와 같은 항목을 감지할 수 있기 때문에 저렴한 솔루션입니다. 그러나 이러한 디자인을 사용하도록 선택할 때 두 가지 중요한 고려 사항이 있습니다.
디자인은 어두운 환경에서 닫힌 셔터를 잘못 보고할 수 있습니다. 그러나 이러한 저조도 환경에서는 카메라를 사용할 수 없으므로 이는 최소한의 위험/문제가 될 것으로 예상됩니다.
ISP가 D3에서 벗어날 때마다 센서에서 주기적으로 샘플링할 수 없는 한, 이 메서드는 앱이 카메라에서 스트리밍을 시작할 때까지 정확한 센서 상태 데이터를 쿼리할 수 없도록 합니다.
위의 두 번째 고려 사항은 챌린지를 만듭니다. 카메라가 스트리밍되지 않을 때 셔터 상태를 보고하지 못하지만 스트리밍 전에 검사 셔터 상태에 반응하도록 앱이 작성된 경우 나쁜 일이 발생할 수 있습니다. 파트너로부터 받은 피드백에 대한 응답으로 이 요구 사항이 완화되었습니다. 또한 스트리밍하지 않을 때 보고된 셔터 상태에 따라 결정을 내리지 않도록 소프트웨어 개발자에게 조언하도록 API 설명서를 업데이트하고 있습니다. 예를 들어 앱 개발자는 셔터가 닫혔다고 보고하는 경우 카메라가 켜지는 것을 허용하지 않도록 명시적으로 권고합니다.
이 조언을 준수하지 않는 앱과의 호환성 문제의 위험을 방지하기 위해 스트리밍하지 않을 때 셔터 상태를 감지할 수 없는 카메라는 스트리밍하지 않을 때마다 셔터가 열려 있음을 보고해야 합니다. 그렇지 않으면 카메라가 스트리밍하지 않을 때 셔터 상태를 감지할 수 있는 경우 D3에 없을 때마다 셔터 상태를 감지하고 보고해야 합니다.
참고
이미지 분석 기반 셔터 감지 알고리즘은 항상 드라이버가 아닌 펌웨어에서 구현되어야 CPU 부하를 증가시키고 견고성을 극대화할 수 있습니다.
카메라 개인 정보 보호 셔터가 있는 디바이스의 예상 동작을 보여 주는 다이어그램은 다음과 같습니다.
카메라 개인 정보 보호 셔터 동작 요약 테이블
다음 표에서는 카메라 개인 정보 보호 셔터(수동 또는 전기 기계)를 사용하여 카메라의 예상 동작을 요약했습니다.
ISP 상태 | 셔터 상태 | 표시되는 표시기 LED | PC로 스트리밍된 이미지 | 보고된 CT_PRIVACY_CONTROL 상태 |
---|---|---|---|---|
유휴/D3 | 열림 | 끄기* | 해당 없음 | 열림 |
유휴/D3 | 종결 | 끄기* | 해당 없음 | 열립니다** |
스트리밍(모든 앱) | 열림 | 에* | 캡처된 센서 이미지 | 열림 |
스트리밍(모든 앱) | 종결 | 에* | 캡처된 센서 이미지 | 종결 |
(*) 표시 기 LED 요구 사항에 대한 자세한 내용은 카메라 개인 정보 셔터 LED 요구 사항 및 셔터 상태 토글 메커니즘 을 참조하세요.
(**) 자세한 내용은 셔터 상태 감지 및 보고를 참조하세요. 일부 시나리오에서는 스트리밍하지 않을 때 셔터 상태가 계속 업데이트됩니다.
킬 스위치 디자인 지침
고객이 킬 스위치가 있는 디바이스를 사용하는 경우 하드웨어 스위치에 신뢰를 두어 이미지를 캡처하려는 애플리케이션으로부터 강력하게 보호합니다. 간단히 말해서, 사용자의 기대는 내 장치에 킬 스위치가 있고 킬 스위치가 활성화되면 예기치 않은 카메라 액세스로부터 개인 정보 보호가 보호된다는 것입니다. 기능의 구현이 암시적 기대에 부합하는 것이 중요합니다. 그렇지 않으면 모든 신뢰를 잃게 됩니다.
또한 킬 스위치의 전체 개념은 실용적인 소프트웨어 공격에 대해 강화된 보안 계층을 제공하는 것입니다. 디바이스에 킬 스위치가 있고 시스템이 악성 소프트웨어에 의해 완전히 손상된 경우 해당 소프트웨어는 킬 스위치를 재정의하고 사용자의 개인 정보를 손상할 수 없습니다. 간단히 말해, *킬 스위치는 사용자가 디바이스와 물리적으로 상호 작용하는 경우에만 활성화/비활성화할 수 있습니다.
개인 정보 보호 셔터 디자인에 비해 킬 스위치는 더 복잡하고 신뢰를 제공하기 위해 더 많은 과제를 수행합니다. 이는 견고성에 대한 동일한 수준의 기대치를 가지고 있기 때문입니다(물리적 스위치는 모든 시나리오에서 완벽하게 작동할 것으로 예상됨). 그러나 렌즈를 통해 물리적 셔터가 제공하는 보증은 제공하지 않습니다. 즉, 킬 스위치를 제공하는 디바이스는 일관되고 명확하며 신뢰할 수 있는 환경을 생성해야 합니다.
킬 스위치 기능
킬 스위치는 ISP 펌웨어에 센서에서 캡처를 중지하고 대신 검은색 이미지를 합성하도록 하여 작동합니다. 이렇게 하면 애플리케이션의 관점에서 카메라를 계속 사용할 수 있고 작동하지만 킬 스위치가 활성 상태일 때 실제 센서 데이터가 호스트 OS로 전송되지 않습니다. 강력한 디자인은 다음과 같이 작동합니다.
스위치의 물리적 신호가 ISP의 GPIO에 연결되어 스위치가 활성 상태인지 여부를 나타냅니다.
킬 스위치가 활성 상태이면 ISP:
센서를 전기적으로 분리합니다.
연결이 끊긴 센서에서 실제 프레임을 대체하기 위해 검은색 프레임 합성을 시작합니다.
개인 정보 보호 셔터 알림 기능을 통해 셔터가 닫혔다는 보고
실제로 킬 스위치 GPIO가 활성 상태일 때 센서의 전기적 연결 끊기를 포함하여 이 전체 환경을 지원하는 ISP 실리콘은 아직 시장에서 사용할 수 없습니다. 따라서 현재 설계에서는 "센서를 중지하거나 펌웨어 내에서 센서 데이터를 삭제"하기 위해 위의 2a단계를 수정해야 합니다. 향후 실리콘에서 이 숙박 시설의 필요성을 완화하기 위해 ISP 공급업체와 협력할 계획입니다.
참고
kill 스위치 기능은 호스트 OS에서 실행되는 드라이버가 아니라 ISP 펌웨어에서 구현해야 합니다. 킬 스위치가 "kill" 상태일 때 센서의 실제 이미지 데이터를 OS로 전송해서는 안 됩니다.
개인 정보 셔터와 마찬가지로 킬 스위치가 "kill" 상태일 때 OEM은 이미지를 정적 이미지로 바꿀 수 있습니다. 이미지 교체는 ISP 내에서 또는 드라이버 내에서 발생할 수 있지만, DMFT의 필요성을 줄이고 호스트 디바이스에 부하를 추가하려면 ISP 내에서 교체하는 것이 좋습니다. 드라이버에서 이미지 교체가 수행되는 경우 킬 스위치가 "kill" 상태일 때 실제 이미지 데이터가 OS로 전송되지 않는다는 요구 사항이 여전히 적용됩니다.
Kill 스위치 구현
킬 스위치 상태는 소프트웨어를 제어하지 않아야 합니다. 그렇지 않으면 악의적인 애플리케이션이 킬 스위치를 활성화하거나 비활성화하는 컨트롤을 작성할 수 있습니다. ISP의 GPIO에 연결된 스위치를 통해 제어해야 합니다.
카메라가 스위치를 죽일 때 카메라가 여전히 시스템에 나타나고 앱이 여전히 스트림할 수 있는 경우 이미지가 검은색으로 변하는 것이 중요합니다. 프레임은 OS에 계속 전달되고 카메라는 컨트롤에 계속 응답합니다. 앱이 CameraOcclusionInfo API를 사용하지 않는 한 앱은 스위치가 "kill" 상태임을 인식하지 못합니다. 이렇게 하면 "카메라를 찾을 수 없음" 메시지가 혼동되거나 스위치를 뒤집을 때 특정 응용 프로그램이 충돌할 위험이 없는 하드웨어 컨트롤을 통해 카메라를 사용하지 않도록 설정할 수 있습니다.
패널에 여러 카메라가 있는 셔터에 설명된 대로 동일한 패널에 별도의 IR 및 RGB 카메라가 있는 디바이스에는 킬 스위치가 활성화될 때 두 센서가 동시에 비활성화되어 있어야 합니다.
HLK LED 요구 사항
HLK를 사용하려면 ISP가 센서 데이터를 캡처할 때 표시기 LED가 ON이어야 합니다. 킬 스위치를 활성화하면 ISP가 센서에서 실제 데이터 캡처를 중지해야 하므로 LED도 킬 스위치로 꺼질 것으로 예상됩니다. 이렇게 하면 고객이 조명 표시기 또는 IR 조명기 LED를 볼 경우 소프트웨어가 현재 이미지를 캡처하고 있음을 알고 있으며, 조명 LED가 표시되지 않으면 캡처되지 않는다는 것을 알고 있으므로 혼동이나 신뢰 위반을 방지할 수 있습니다.
킬 스위치 상태 보고
kill 스위치의 상태는 CT_PRIVACY_CONTROL(UVC 디바이스에서 시작된 경우) 또는 KSPROPERTY_CAMERACONTROL_PRIVACY(AVStream 또는 DMFT 드라이버에서 시작된 경우)을 통해 보고되어야 합니다. ISP가 D3에서 벗어날 때마다 카메라 킬 스위치의 상태를 보고해야 합니다.
자세한 내용은 개인 정보 셔터/스위치 알림을 참조하세요.
킬 스위치 동작 요약 테이블
다음 표에는 카메라 킬 스위치가 있는 카메라의 예상 동작이 요약되어 있습니다.
ISP 상태 | 킬 스위치 상태 | 표시되는 표시기 LED | PC로 스트리밍된 이미지 | 보고된 CT_PRIVACY_CONTROL 상태 |
---|---|---|---|---|
유휴/D3 | 실행 | 끄기* | 해당 없음 | 열기 |
유휴/D3 | 종료 | 끄기* | 해당 없음 | 닫기 |
스트리밍(모든 앱) | 실행 | 에* | 캡처된 센서 이미지 | 열기 |
스트리밍(모든 앱) | 종료 | 끄기* | 합성된 빈 프레임 | 닫기 |
(*) 표시 기 LED 요구 사항에 대한 자세한 내용은 카메라 개인 정보 셔터 LED 요구 사항 및 셔터 상태 토글 메커니즘 을 참조하세요.
셔터/스위치 이벤트에 대한 ISV 지침
개인 정보 보호 셔터 또는 킬 스위치가 있는 카메라가 이 설명서의 지침을 따르는 경우 카메라가 스트리밍 중일 때 셔터/스위치 상태가 OS에 보고됩니다. 카메라를 사용하는 응용 프로그램은 셔터 상태 변경 이벤트를 모니터링하고 카메라가 셔터 또는 스위치에 의해 차단된다는 유용한 알림을 생성하는 등 그에 따라 응답 할 수 있습니다.
자세한 내용은 다음 API를 참조하세요.