Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
Questo articolo fornisce indicazioni sulla progettazione del dispositivo per gli otturatori della privacy o per i commutatori di interruzione, considerazioni sul rilevamento dello stato dell'otturatore e sul modo in cui gli otturatori devono interagire con i requisiti HLK esistenti per i LED indicatore.
Requisiti comuni dei LED
Indipendentemente dagli otturatori o dagli interruttori di terminazione, HLK richiede che un LED visibile sia ATTIVATO quando l'ISP acquisisce i dati del sensore. Per le fotocamere RGB, se la fotocamera è attiva, un singolo LED a lunghezza d'onda visibile (ad esempio, bianco, verde, blu e così via) deve essere ATTIVATO:
Per le fotocamere con un sensore RGB+IR, questo può essere più complesso perché la fotocamera ir richiede un LED illuminatore e il LED illuminatore può usare una lunghezza d'onda visibile (850 nm) o una lunghezza d'onda invisibile (940 nm). Inoltre, le app possono eseguire lo streaming dal sensore IR stesso, dal sensore RGB stesso o da entrambi contemporaneamente.
I progetti che usano un illuminatore ir a lunghezza d'onda visibile possono scegliere di usare il LED illuminatore ir come LED indicatore visibile. Ciò significa che se la telecamera a infrarossi è accesa da sola, i requisiti HLK vengono soddisfatti dal LED dell'illuminatore IR acceso.
Le progettazioni che utilizzano un illuminatore ir di lunghezza d'onda invisibile devono usare un LED a lunghezza d'onda visibile per indicare quando la fotocamera IR è attiva, per soddisfare i requisiti HLK. È consigliabile condividere il LED indicatore in uso della fotocamera, in modo che lo stesso LED a lunghezza d'onda visibile venga attivato quando il sensore ir e/o il sensore RGB è ATTIVATO:
È consigliabile che tutti i progetti accendano il LED indicatore di utilizzo quando viene usata la telecamera IR o RGB, indipendentemente se il LED illuminatore IR utilizza una lunghezza d'onda visibile o meno. Ecco la tabella completa dei requisiti dei LED principali:
| Stato del flusso | LED IR a infrarossi visibile (850 nm) | LED IR invisibile (940 nm) |
|---|---|---|
| Fotocamera disattivata | LED OFF | LED OFF |
| Solo la fotocamera RGB è attiva. | Indicatore in uso ON, illuminatore IR OFF | Indicatore in uso ON, illuminatore IR OFF |
| Solo la fotocamera IR accesa | Indicatore in uso non obbligatorio ma consigliato SU | Indicatore in uso ON, illuminatore IR ON |
| Fotocamera RGB e IR attiva | Indicatore in uso ON, illuminatore IR ON | Indicatore in uso ON, illuminatore IR ON |
Annotazioni
I requisiti dei LED possono variare per i progetti con otturatori per la privacy della fotocamera o interruttori di spegnimento della fotocamera. Per informazioni sui requisiti del LED per l'otturatore della privacy della fotocamera, consulta Requisiti del LED per l'otturatore della privacy della fotocamera, e per i commutatori di spegnimento della fotocamera, consulta Requisiti del LED HLK.
Esperienze di intelligenza artificiale always-on (ad esempio, presenza umana basata su fotocamera)
Per i dispositivi che supportano funzionalità di intelligenza artificiale sempre basate su fotocamera, in cui il processore di intelligenza artificiale condivide il sensore principale della fotocamera, i requisiti dei LED variano quando il processore di presenza dedicato accede esclusivamente alla fotocamera. Per informazioni dettagliate, vedere il white paper sul rilevamento della presenza nel Centro per i partner Microsoft.
Controlli della privacy hardware
Quando le progettazioni di fotocamere includono controlli di privacy hardware, esistono due principi chiave delle linee guida per la progettazione:
I dispositivi con controlli di privacy devono offrire un'esperienza utente coerente e una maggiore attendibilità nello stato di privacy:
- Una volta che un cliente apprende l'aspetto e il comportamento dell'otturatore sul dispositivo, tale conoscenza deve essere applicata a qualsiasi dispositivo usato con un otturatore.
In nessun caso può un controllo della privacy della fotocamera dare una falsa impressione di privacy:
- I dispositivi non devono non riuscire a fornire la privacy quando più importante per il cliente. Se l'otturatore della privacy della fotocamera è chiuso o se l'interruttore di interruzione della fotocamera è disattivato, i clienti si aspettano che nessuna immagine possa essere acquisita fino a quando non interagiscono con il controllo fisico per disattivare la funzionalità di privacy.
Tipi di controlli
Sono definite due forme di controlli della privacy: sportellini privacy della fotocamera (meccanici ed elettromeccanici) e interruttori di spegnimento della fotocamera. A seconda del fattore di forma del dispositivo, gli obiettivi di costo DBA e il punto di prezzo del dispositivo, un OEM può scegliere di implementare l'otturatore in una di queste forme. Una costante importante in tutti e tre è che devono agire a livello fisico o hardware, ovvero nessun software è coinvolto, perché il software può essere compromesso.
Otturatore privacy della fotocamera meccanico
Gli otturatori meccanici sono il design più semplice, si tratta di una semplice copertura con lente scorrevole che l'utente aziona manualmente per bloccare o meno la fotocamera. Sono progettati usando un materiale opaco che blocca completamente l'obiettivo quando è chiuso. Questo design è intrinsecamente a prova di errore nel senso che fisicamente non può essere compromesso per essere aperto in alcun modo tranne che dall'utente facendo scorrere.
Otturatore di privacy della fotocamera elettromeccanica
Gli otturatori elettromeccanici sono otturatori meccanici controllati elettricamente. Anziché aprire o chiudere manualmente l'otturatore, l'otturatore integrato si apre/chiude in risposta alla pressione di un pulsante fisico sul dispositivo.
Annotazioni
Anche se questa soluzione richiederà in genere il firmware, deve essere isolato da altri componenti. In altre parole, il controller di otturatore e il pulsante non devono avere vettori di attacco, ad esempio bus di comunicazione o la possibilità di riprogrammare il firmware. La progettazione deve richiedere l'interazione hardware e non essere controllabile dal software.
Interruttori di spegnimento della fotocamera
Alcuni dispositivi vengono oggi forniti con una funzionalità di interruttore di interruzione della fotocamera, che disconnette fisicamente il dispositivo della fotocamera dal sistema quando è spento, fornendo un controllo hardware per bloccare l'accesso alla fotocamera senza richiedere un otturatore fisico per coprire l'obiettivo/sensore. Anche se questo è affidabile contro gli attacchi, crea un'esperienza utente scarsa. Rimuovendo il dispositivo quando l'interruttore è spento, il sistema non può indicare che lo chassis ha ancora una fotocamera in esso, ma che è spento. Ciò è problematico dal punto di vista dell'esperienza utente se la fotocamera è disattivata involontariamente da un utente non a conoscenza del commutatore, poiché le applicazioni segnalano che non ci sono fotocamere connesse. Può anche causare un arresto anomalo o un comportamento errato di alcune applicazioni se la fotocamera viene rimossa durante l'uso o viene visualizzata mentre l'app è in esecuzione.
Di conseguenza, Microsoft sconsiglia e non supporta l'uso di interruttori di spegnimento della fotocamera che rimuovono l'intera fotocamera dal sistema. È invece consigliabile una delle due soluzioni seguenti:
Un otturatore fisico, come descritto in otturatore della fotocamera meccanico per la privacy e otturatore della fotocamera elettromeccanico per la privacy.
Un interruttore di interruzione che disconnette il sensore, anziché l'ISP, e fa sì che l'ISP sintetizza i fotogrammi neri.
Per la seconda soluzione, la fotocamera viene ancora visualizzata nel sistema e le app possono continuare a usarla. L'ISP risponde a tutti i comandi (start/stop streaming, DDI come luminosità o contrasto, modifiche al tipo di supporto e così via) normalmente, indipendentemente dal fatto che l'interruttore di terminazione sia attivo o meno. Tuttavia, quando l'interruttore di terminazione viene attivato, l'ISP smette di acquisire dati reali dal sensore e di sintetizzare e trasmette invece fotogrammi neri, tutti trasparenti dal punto di vista dell'applicazione.
Otturatori con più fotocamere su un pannello
Quando i clienti usano dispositivi con otturatori (ad esempio, otturatori con più fotocamere IR e RGB su un pannello) si aspettano che se l'otturatore è chiuso, la privacy è protetta da qualsiasi accesso imprevisto alla fotocamera. Quando i sistemi hanno due fotocamere sullo stesso pannello, ad esempio una fotocamera RGB e IR per supportare Windows Hello, è importante assicurarsi che l'otturatore non abbia un falso senso di sicurezza. I clienti non si aspettano di capire che potrebbe esserci un secondo sensore di fotocamera per Windows Hello e alcuni dispositivi usano un singolo sensore per RGB+IR. A causa di questo, l'otturatore deve coprire tutte le telecamere sul pannello.
Garantire che gli otturatori e gli interruttori di emergenza si applichino alla fotocamera IR è di massima importanza perché la fotocamera IR può essere accessibile dalle applicazioni e produrre immagini ragionevolmente ad alta fedeltà della scena, come illustrato qui di seguito. La mancata occlusione del sensore ir rappresenterebbe un falso senso di sicurezza e violazione della fiducia dell'utente nel merito della privacy dell'otturatore.
Annotazioni
Windows Hello Face richiede sia una fotocamera RGB che una fotocamera IR. Se la fotocamera RGB è bloccata, Windows Hello non funzionerà correttamente. Entrambi i flussi RGB e IR vengono utilizzati per attuare le contromisure anti-spoofing.
Linee guida per la progettazione dell'otturatore fisico (meccanica o elettromeccanica)
Quando un cliente usa un dispositivo con un otturatore fisico, la presenza dell'otturatore dà una forte aspettativa implicita sul livello di privacy che fornisce. In poche parole, l'utente si aspetta che se il dispositivo ha un otturatore e l'otturatore è chiuso, sono protetti da qualsiasi accesso imprevisto alla fotocamera. È fondamentale che l'implementazione della funzionalità sia all'altezza delle aspettative implicite, altrimenti perde completamente fiducia.
Inoltre, l'intero concetto di otturatore della privacy è quello di fornire un livello di sicurezza avanzata contro qualsiasi attacco software pratico. In altre parole, se il dispositivo ha un otturatore e il sistema è completamente compromesso da software dannoso, tale software non può compromettere la privacy dell'utente. Anche in questo caso, per mettere semplicemente, l'aspettativa è che l'otturatore può cambiare stato solo se l'utente interagisce fisicamente con il controllo dell'otturatore hardware sul dispositivo.
Considerazioni sulla progettazione meccanica
Gli otturatori fisici, sia manualmente che elettromeccanici, devono essere fatti di un materiale opaco che blocca completamente il sensore quando chiuso ed è visibile all'occhio nudo:
Come descritto in Shutters with multiple cameras on a panel, i dispositivi con telecamere IR e RGB separate sullo stesso pannello devono avere entrambi i sensori bloccati contemporaneamente quando l'otturatore è chiuso. Si supponga che una progettazione a doppio sensore sia simile alla seguente:
Quando l'otturatore è chiuso, deve coprire il sensore RGB, è facoltativo coprire il sensore ir:
Annotazioni
Attualmente supportiamo un'esenzione per le telecamere le cui progettazioni di otturatore meccanico non coprono la fotocamera IR. Quando un otturatore fisico sta occludando la fotocamera RGB, è accettabile che il firmware ISP elimini l'output dell'immagine dalla fotocamera ir e lo sostituisca con un'immagine nera sintetizzata. Tuttavia, se il sensore IR viene usato per il rilevamento della presenza, è consigliabile non coprire il sensore IR e assicurarsi che il sensore di presenza sia funzionante. Per informazioni dettagliate, vedere il white paper sul rilevamento della presenza nel Centro per i partner Microsoft. Un futuro aggiornamento HLK adotterà questa eccezione e richiederà solo otturatori fisici per occudere fisicamente il RGB, per garantire affidabilità della soluzione e una maggiore protezione della privacy dei clienti.
Considerazioni sul comportamento della fotocamera
Quando una fotocamera è dotata di un otturatore fisico, la fotocamera deve continuare a funzionare normalmente indipendentemente dallo stato dell'otturatore. Se un'app è in streaming dalla fotocamera, continua a acquisire e trasmettere i dati dei sensori reali anche se l'otturatore è chiuso. L'occlusione completa del sensore da un diaframma chiuso dovrebbe produrre un'immagine nera o molto vicina a essa.
Gli OEM possono scegliere di sostituire l'immagine con un'immagine statica quando l'otturatore viene chiuso (ad esempio, l'immagine di una fotocamera con una barra diagonale). Questa immagine deve essere statica e non può essere modificata dal software per proteggersi dagli exploit. Per i dispositivi con otturatori privacy, la sostituzione dell'immagine può verificarsi all'interno dell'ISP o all'interno del driver, anche se la sostituzione all'interno dell'ISP è consigliata per ridurre la necessità di DMFT e aggiungere il carico al dispositivo host.
Requisiti del LED dell'otturatore per la privacy della fotocamera
I requisiti dei LED devono soddisfare i requisiti specificati per i LED comuni. Ciò significa che se una fotocamera sul pannello è attiva, un LED indicatore di lunghezza d'onda visibile deve rimanere attivo indipendentemente dal fatto che l'otturatore sia aperto o chiuso. Tuttavia, è accettabile per la progettazione fisica dell'otturatore coprire il LED quando l'otturatore è chiuso. I diagrammi seguenti illustrano uno scenario in cui la fotocamera è in streaming attivo:
Per i progetti con fotocamera IR e RGB, alcuni produttori potrebbero voler spegnere il LED illuminatore ir se la fotocamera IR viene usata mentre l'otturatore è chiuso. Sconsigliamo di farlo poiché aggiunge complessità aggiuntiva per un valore minimo; la fotocamera a infrarossi sarà attiva solo se Windows Hello è in esecuzione e Windows Hello visualizza un messaggio durante questo periodo che indica che sta tentando di eseguire l'accesso, ma l'otturatore è chiuso. Per maggiori dettagli, consultare Implementazione del pulsante di emergenza.
Tuttavia, se un LED illuminatore IR 840 nm (visibile) non è l'unico LED indicatore in uso per la fotocamera IR (ad esempio, un normale LED bianco/verde/blu visibile viene illuminato quando la fotocamera IR è attiva), un design può spegnere il LED illuminatore IR quando l'otturatore viene chiuso.
Meccanismi di commutazione dello stato dell'otturatore
I dispositivi che implementano gli otturatori della privacy non devono consentire alcuna forma di controllo software dell'otturatore e devono aprire o chiudere l'otturatore in risposta all'utente che interagisce esplicitamente con il controllo dell'otturatore. Questo controllo dell'otturatore può essere un dispositivo di scorrimento meccanico o un pulsante fisico che aziona un otturatore elettromeccanico. Nessun software può cambiare lo stato dell'otturatore, anche se un controllo hardware può eseguire l'override del software e mantenere chiuso l'otturatore, poiché un otturatore chiuso non significa sempre che il controllo della privacy sia abilitato. Analogamente, l'otturatore potrebbe non aprirsi o chiudersi quando viene utilizzata un'app che utilizza la fotocamera, per lo stesso motivo. In sintesi, se l'utente guarda il dispositivo e vede che l'otturatore è chiuso, deve essere in grado di dedurre in modo inequivocabile che la loro privacy è protetta fino a quando non eseguono azioni fisiche per aprire l'otturatore.
Rilevamento e segnalazione dello stato dell'otturatore
Molti dei problemi relativi alle progettazioni di privacy della fotocamera sul mercato derivano da situazioni in cui un utente chiude involontariamente l'otturatore e non riesce a capire perché la fotocamera sta producendo un'immagine vuota o non funziona. Di conseguenza, una parte fondamentale della funzionalità di otturatore della privacy di Windows si basa sulla fotocamera in grado di segnalare in modo affidabile lo stato dell'otturatore. Con queste informazioni, le applicazioni possono informare l'utente che l'otturatore è chiuso in modo da poter reagire di conseguenza. Le modifiche dello stato dell'otturatore devono essere rilevate e segnalate il prima possibile dopo che si verifica l'evento.
Vengono proposti due metodi per rilevare lo stato dell'otturatore, i sensori fisici e il rilevamento basato sul firmware. Entrambi i metodi segnalano lo stato dell'otturatore rilevato tramite CT_PRIVACY_CONTROL se provengono da un dispositivo UVC o KSPROPERTY_CAMERACONTROL_PRIVACY se provengono da un driver AVStream o DMFT.
Per altri dettagli, vedere Notifica della copertura della privacy.
Sensore di rilevamento dello stato fisico
Lo stato dell'otturatore può essere rilevato con un sensore fisico in grado di rilevare se l'otturatore è aperto o chiuso. I sensori fisici possono segnalare in modo deterministico lo stato dell'otturatore e possono offrire un'esperienza più affidabile. Microsoft non dispone di indicazioni specifiche sulle progettazioni dei sensori o raccomandazioni specifiche per la tecnologia dei sensori.
Rilevamento dello stato basato sul firmware di ISP
Alcuni progetti possono scegliere di ignorare un otturatore fisico e di usare invece il firmware all'interno dell'ISP per elaborare l'immagine e segnalare lo stato di otturatore dedotto. Una soluzione di questo tipo analizza l'immagine acquisita nel firmware e la confronta con una soglia per determinare se l'otturatore sembra essere chiuso. Si tratta di una soluzione a basso costo perché non richiede nuove parti ed è anche in grado di rilevare elementi come nastro su un sensore. Tuttavia, esistono due considerazioni importanti quando si sceglie di usare una progettazione di questo tipo:
Il design può segnalare erroneamente un otturatore chiuso in ambienti scuri. Tuttavia, si prevede che questo sia un rischio/problema minimo, perché la fotocamera non sarebbe utilizzabile in un ambiente così poco chiaro comunque.
A meno che l'ISP non sia in grado di eseguire periodicamente il campionamento dal sensore ogni volta che esce da D3, questo metodo impedisce alle app di eseguire query sui dati dello stato del sensore accurati fino a quando non avviano lo streaming dalla fotocamera.
La seconda considerazione precedente crea una sfida. Se la fotocamera non riesce a segnalare lo stato dell'otturatore quando non è in streaming, ma un'app è stata scritta per controllare e reagire allo stato dell'otturatore prima dello streaming, potrebbero verificarsi errori. In risposta al feedback ricevuto dai partner, questo requisito è stato rilassato. Stiamo aggiornando anche la documentazione dell'API per consigliare agli sviluppatori di software di non prendere decisioni in base allo stato dell'otturatore segnalato quando non si sta eseguendo lo streaming. Ad esempio, si consiglia esplicitamente agli sviluppatori di app di impedire l'attivazione della fotocamera se l'otturatore segnala che è chiuso.
Per evitare il rischio di problemi di compatibilità con le app che non rispettano questo consiglio, le fotocamere che non possono percepire lo stato dell'otturatore quando non è previsto lo streaming segnalano che l'otturatore è APERTO ogni volta che non è in streaming. Altrimenti se la fotocamera può rilevare lo stato dell'otturatore quando non è in streaming, dovrebbe rilevare e segnalare lo stato dell'otturatore in qualsiasi momento non si trova in D3.
Annotazioni
Gli algoritmi di rilevamento degli otturatori basati sull'analisi delle immagini devono essere sempre implementati nel firmware anziché in un driver, per evitare di aumentare il carico della CPU e per garantire la massima affidabilità.
Ecco un diagramma che illustra il comportamento previsto per un dispositivo con un otturatore della privacy della fotocamera:
Tabella di riepilogo del comportamento dell'otturatore privacy della fotocamera
La tabella seguente riepiloga il comportamento previsto di una fotocamera con un otturatore della privacy della fotocamera (manuale o elettromeccanico):
| Stato ISP | Stato dell'otturatore | LED indicatore visibile | Immagine trasmessa al PC | Stato segnalato di CT_PRIVACY_CONTROL |
|---|---|---|---|---|
| Idle/D3 | Aperto | Spento* | Non disponibile | Aperto |
| Idle/D3 | Chiuso | Spento* | Non disponibile | Aperto** |
| Streaming (qualsiasi applicazione) | Aperto | Su* | Immagine del sensore acquisita | Aperto |
| Streaming (qualsiasi app) | Chiuso | Su* | Immagine del sensore acquisita | Chiuso |
(*) Per informazioni dettagliate sui requisiti del LED di indicazione, vedere i Requisiti del LED dell'otturatore della fotocamera e i Meccanismi di attivazione dello stato dell'otturatore.
(**) Per informazioni dettagliate, vedere Rilevamento dello stato dell'otturatore e creazione di report , in alcuni scenari lo stato dell'otturatore verrà comunque aggiornato quando non viene eseguito lo streaming.
Linee guida per la progettazione dell'interruttore di emergenza
Quando un cliente usa un dispositivo con un interruttore di emergenza, ripone fiducia in un interruttore hardware per proteggersi in modo sicuro da qualsiasi applicazione che tenta di acquisire le loro immagini. In poche parole, l'aspettativa dell'utente è che se il mio dispositivo ha un interruttore di interruzione e l'interruttore di interruzione è attivato, la mia privacy è protetta da qualsiasi accesso imprevisto alla fotocamera. È fondamentale che l'implementazione della funzionalità sia all'altezza delle aspettative implicite, altrimenti perde completamente fiducia.
Inoltre, l'intero concetto di kill switch è quello di fornire un livello di sicurezza avanzata contro qualsiasi attacco software pratico. Se il dispositivo ha un interruttore di interruzione e il sistema è completamente compromesso da software dannoso, tale software non può eseguire l'override del commutatore di interruzione e compromettere la privacy dell'utente. Semplicemente, l'aspettativa è che *l'interruttore di terminazione può essere attivato/disattivato solo dall'utente che interagisce fisicamente con il dispositivo.
Rispetto ai progetti di otturatori per la privacy, i kill switch sono più complessi e comportano maggiori sfide per garantire fiducia. Ciò è dovuto al fatto che portano lo stesso livello di affidabilità (un commutatore fisico dovrebbe funzionare perfettamente in tutti gli scenari), ma non forniscono la garanzia che un otturatore fisico sulla lente fornisce. Ciò significa che i dispositivi che offrono interruttori di sicurezza devono garantire un'esperienza coerente, chiara e affidabile.
Terminare la funzionalità del commutatore
Gli interruttori di emergenza operano indicando al firmware ISP di fermare l'acquisizione dal sensore e sintetizzando invece un'immagine nera. In questo modo, la fotocamera è ancora disponibile e funzionale dal punto di vista delle applicazioni, ma non sono presenti dati reali del sensore trasmessi nel sistema operativo host quando il commutatore di terminazione è attivo. Una progettazione affidabile funziona come segue:
Il segnale fisico dal commutatore si connette a un GPIO nell'ISP, per indicare se l'opzione è attiva o meno
Quando il "kill switch" è attivo, l'ISP:
Disconnette elettricamente il sensore
Inizia a sintetizzare i fotogrammi neri per sostituire i fotogrammi reali dal sensore disconnesso
Segnala che l'otturatore è chiuso tramite la funzionalità di notifica dell'otturatore della privacy
In pratica, il processore ISP che supporta questa esperienza completa, inclusa una disconnessione elettrica del sensore quando l'interruttore di terminazione GPIO è attivo, non è ancora disponibile sul mercato. Di conseguenza, le progettazioni correnti richiedono la modifica del passaggio 2a precedente per "Arrestare il sensore o rimuovere i dati del sensore all'interno del firmware". Prevediamo di collaborare con i fornitori ISP per attenuare la necessità di questa sistemazione in futuro in siliconi.
Annotazioni
È fondamentale implementare la funzionalità del commutatore di interruzione nel firmware ISP e non all'interno di un driver in esecuzione nel sistema operativo host. I dati immagine reali del sensore non devono essere trasferiti nel sistema operativo quando l'interruttore di sicurezza è nella posizione "kill".
Analogamente agli otturatori della privacy, gli OEM possono sostituire l'immagine con una statica quando l'interruttore di sospensione è in stato di "kill". La sostituzione dell'immagine può verificarsi all'interno dell'ISP o all'interno del driver, anche se la sostituzione all'interno dell'ISP è consigliata per ridurre la necessità di DMFT e aggiungere il carico al dispositivo host. Se la sostituzione dell'immagine viene eseguita nel driver, tenere presente che il requisito che i dati reali dell'immagine non siano trasferiti nel sistema operativo quando l'interruttore di emergenza è in stato "kill" è ancora valido.
Implementazione dell'interruttore di emergenza
Lo stato del kill switch non deve essere controllato dal software. In caso contrario, un'applicazione dannosa potrebbe scrivere il controllo per attivare o disattivare il kill switch. Devono essere controllati da un commutatore connesso a un GPIO nell'ISP.
È importante che quando gli interruttori di disattivazione delle fotocamere vengono spenti, la fotocamera sia ancora visibile nel sistema e le app possano comunque trasmettere da essa: l'immagine diventa semplicemente nera. I fotogrammi continuano a essere recapitati al sistema operativo e la fotocamera continua a rispondere ai controlli; le app non sanno che il commutatore è in stato di "terminazione", a meno che l'app non usi le API CameraOcclusionInfo . In questo modo la fotocamera può essere disabilitata tramite un controllo hardware senza introdurre messaggi confusi "fotocamera non trovata" o rischiare l'arresto anomalo di determinate applicazioni quando si capovolge il commutatore.
Come descritto in Shutters with multiple cameras on a panel, i dispositivi con telecamere IR e RGB separate sullo stesso pannello devono avere entrambi i sensori disabilitati contemporaneamente quando l'interruttore di sicurezza è attivato.
Requisiti dei LED HLK
HLK richiede che il LED dell'indicatore sia attivato quando l'ISP acquisisce i dati del sensore. L'attivazione dell'interruttore di terminazione indica che l'ISP deve interrompere l'acquisizione dei dati reali dal sensore, quindi il LED dovrebbe anche spegnersi con l'interruttore di terminazione. In questo modo si evitano confusione e violazione della fiducia: se il cliente vede un indicatore acceso o un LED illuminatore IR, sa che il software sta attualmente acquisendo l'immagine e se non vede un LED acceso, sa che non viene acquisita.
Termina segnalazione dello stato del commutatore
Lo stato dell'interruttore di terminazione deve essere segnalato tramite CT_PRIVACY_CONTROL (se originato da un dispositivo UVC) o KSPROPERTY_CAMERACONTROL_PRIVACY (se originato da un driver AVStream o DMFT). Lo stato di Camera Kill Switch deve essere segnalato ogni volta che l'ISP è fuori D3.
Per altri dettagli, vedere Notifica dell'otturatore/interruttore della privacy .
Tabella di riepilogo del comportamento del kill switch
Nella tabella seguente è riepilogato il comportamento previsto di una fotocamera con un interruttore di interruzione della fotocamera:
| Stato ISP | Terminare lo stato del commutatore | LED indicatore visibile | Immagine trasmessa al PC | Stato CT_PRIVACY_CONTROL segnalato |
|---|---|---|---|---|
| Inattiva/D3 | Correre | Spento* | Non disponibile | Aperto |
| Inattiva/D3 | Uccidere | Spento* | Non disponibile | Chiudi |
| Streaming (qualsiasi app) | Correre | Su* | Immagine del sensore acquisita | Aperto |
| Streaming (qualsiasi app) | Uccidere | Spento* | Fotogrammi vuoti sintetizzati | Chiudi |
(*) Per informazioni dettagliate sui requisiti del LED indicatore, vedere Requisiti del LED dell'otturatore della fotocamera e i meccanismi di attivazione dello stato dell'otturatore.
Linee guida ISV per gli eventi di shutter e/o interruttore
Quando una fotocamera con un'otturatore o un interruttore di interruzione della privacy segue le indicazioni riportate in questa documentazione, lo stato dell'otturatore/interruttore viene segnalato al sistema operativo quando la fotocamera è in streaming. Le applicazioni che usano la fotocamera possono quindi monitorare gli eventi di modifica dello stato dell'otturatore e rispondere di conseguenza, ad esempio producendo un utile avviso che la fotocamera è bloccata da un otturatore o un interruttore.
Per altre informazioni, vedere le API seguenti: