Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils de conception d’appareil pour les volets de confidentialité ou les commutateurs de destruction, les considérations relatives à la détection de l’état de l’obturation et la façon dont les obturateurs sont censés interagir avec les exigences HLK existantes pour les LED d’indicateur.
Exigences courantes en matière de LED
Quel que soit l’obturateur ou les commutateurs de destruction, HLK exige qu’une led d’indicateur visible soit activée lorsque le fournisseur de services Internet capture les données du capteur. Pour les caméras RVB, si la caméra est active, une led d’onde visible unique (par exemple, blanc, vert, bleu, et ainsi de suite) doit être activée :
Pour les caméras avec un capteur RVB+IR, cela peut être plus complexe, car la caméra IR nécessite une LED d’éclairage, et la LED d’éclairage peut utiliser une longueur d’onde visible (850 nm) ou une longueur d’onde invisible (940 nm). En outre, les applications peuvent diffuser en continu à partir du capteur IR lui-même, le capteur RVB lui-même, ou les deux simultanément.
Les conceptions utilisant un éclairage IR à longueur d'onde visible peuvent choisir d'utiliser la LED de cet illuminateur IR comme LED indicatrice visible. Cela signifie que si la caméra IR est allumée par elle-même, les exigences HLK sont satisfaites par la LED d’éclairage IR allumée :
Les conceptions utilisant un éclaireur IR invisible doivent utiliser une LED de longueur d’onde visible pour indiquer quand la caméra IR est active, pour répondre aux exigences HLK. Nous vous recommandons de partager la LED d’indicateur d’utilisation de l’appareil photo, afin que la même LED de longueur d’onde visible s’active lorsque le capteur IR et/ou le capteur RVB sont activés :
Nous vous recommandons que tous les modèles activent la LED d'indication de fonctionnement standard lorsque la caméra IR ou RVB est utilisée, indépendamment de si la LED d'illuminateur IR émet une longueur d'onde visible ou non. Voici la table complète des exigences de led principales :
| État du flux | LED IR visible (850 nm) | LED infrarouge invisible (940 nm) |
|---|---|---|
| Appareil photo désactivé | LED DÉSACTIVÉs | LED DÉSACTIVÉs |
| Seule la caméra RVB est allumée | Indicateur EN UTILISATION ON, Illuminateur IR OFF | Indicateur en cours ON, Illuminateur IR OFF |
| Caméra IR uniquement activée | Indicateur in-use non obligatoire, mais recommandé ON | Indicateur en cours d'utilisation ON, IR illuminator ON |
| Caméra RVB et IR activée | Indicateur en cours d'utilisation ON, IR illuminateur ON | Indicateur en cours d'utilisation ON, éclaireur IR ON |
Remarque
Les exigences LED peuvent différer pour les conceptions avec des obturateurs de confidentialité de caméra ou des interrupteurs d'arrêt de caméra. Consultez les exigences relatives à l’obturation de la confidentialité de l’appareil photo pour obtenir des informations sur les obturateurs de confidentialité de l’appareil photo et les exigences de led HLK pour les commutateurs d’arrêt de caméra.
Expériences d’IA always-on (par exemple, présence humaine basée sur une caméra)
Pour les appareils qui supportent les fonctionnalités IA basées sur une caméra toujours activées, où le silicium IA partage le capteur de la caméra principale, les exigences LED diffèrent lorsque le silicium de présence est exclusivement dédié à l'accès à la caméra. Pour plus d’informations, consultez le livre blanc Détection de présence dans l’Espace partenaires Microsoft.
Contrôles de confidentialité du matériel
Lorsque les conceptions de caméra incluent des contrôles de confidentialité matériel, il existe deux principes clés de nos conseils de conception :
Les appareils dotés de contrôles de confidentialité doivent fournir une expérience utilisateur cohérente et une confiance dans l’état de confidentialité :
- Une fois qu’un client apprend comment l’obturateur sur son appareil ressemble et se comporte, ces connaissances doivent s’appliquer à tout appareil qu’il utilise avec un obturateur.
Dans aucun cas, un contrôle de confidentialité de la caméra ne donne une fausse impression de confidentialité :
- Les appareils doivent garantir la confidentialité, surtout lorsqu'elle est essentielle pour le client. Si l’obturateur de confidentialité de l’appareil photo est fermé ou que le commutateur de destruction de la caméra est désactivé, les clients s’attendent à ce qu’aucune image ne puisse être capturée tant qu’ils n’interagissent pas avec le contrôle physique pour désactiver la fonctionnalité de confidentialité.
Types de contrôles
Deux formes de contrôles de confidentialité sont définies, les obturateurs de protection de la caméra (mécanique et électromécanique) et les commutateurs de destruction de caméra. Selon le format de l’appareil, les objectifs de coût de la BOM et le niveau de prix de l’appareil, un OEM peut choisir d’implémenter l’obturateur dans l’une de ces formes. Une constante importante dans les trois est qu’elles doivent agir au niveau physique ou matériel, ce qui signifie qu’aucun logiciel n’est impliqué, car le logiciel peut être compromis.
Obturateur de confidentialité de caméra mécanique
Les obturateurs mécaniques sont la conception la plus simple, il s’agit d’une couverture de lentille glissante simple que l’utilisateur actionne manuellement pour bloquer l’appareil photo ou non. Ils sont conçus à l’aide d’un matériau opaque qui bloque entièrement l’objectif lorsqu’il est fermé. Cette conception est intrinsèquement infaillible dans le sens où elles ne peuvent pas être compromises physiquement pour s’ouvrir de quelque manière que ce soit à l’exception de l’utilisateur qui la glisse.
Obturateur de confidentialité électromécanique pour caméra
Les obturateurs électromécaniques sont des obturateurs mécaniques électriquesment contrôlés. Plutôt que l’utilisateur ouvre ou ferme manuellement l’obturateur, l’obturateur intégré s’ouvre/ferme en réponse à la pression d’un bouton physique sur l’appareil.
Remarque
Bien que cette solution nécessite généralement un microprogramme, elle doit être isolée des autres composants. En d’autres termes, le contrôleur d’obturation et le bouton ne doivent pas avoir de vecteurs d’attaque tels que des bus de communication ou la possibilité pour le microprogramme d’être repositionné. La conception doit nécessiter une interaction matérielle et ne pas être contrôlable à partir de logiciels.
Interrupteurs d'arrêt d'urgence de caméra
Certains appareils sont aujourd’hui fournis avec une fonctionnalité de commutateur d’arrêt de caméra, qui déconnecte physiquement l’appareil photo du système lorsqu’il est désactivé, fournissant un contrôle matériel pour bloquer l’accès à la caméra sans exiger un obturateur physique pour couvrir l’objectif/capteur. Bien que cela soit robuste contre les attaques, il crée une expérience utilisateur médiocre. En supprimant l’appareil lorsque le commutateur est désactivé, le système ne peut pas dire que le châssis a toujours une caméra dessus, mais qu’il est désactivé. Cela pose problème du point de vue de l’expérience utilisateur si l’appareil photo est involontairement désactivé par un utilisateur ignorant le commutateur, car les applications signalent qu’il n’y a pas de caméras connectées. Elle peut également entraîner un blocage ou une mauvaise conduite de certaines applications si l’appareil photo est supprimé pendant l’utilisation ou s’affiche pendant l’exécution de l’application.
En conséquence, Microsoft ne recommande pas ou ne prend pas en charge l’utilisation de commutateurs de destruction de caméra qui suppriment toute la caméra du système. Au lieu de cela, nous vous recommandons l’une des deux solutions suivantes :
Un obturateur physique, comme décrit dans l’obturateur de confidentialité de caméra mécanique et l’obturateur de confidentialité électromécanique de caméra.
Un commutateur de destruction qui déconnecte le capteur, plutôt que l’ISP, et provoque la synthèse des images noires.
Pour la deuxième solution, la caméra apparaît toujours dans le système et les applications peuvent continuer à l’utiliser. L’ISP répond à toutes les commandes (start/stop streaming, DDIS comme la luminosité ou le contraste, les modifications de type multimédia, et ainsi de suite) normalement, indépendamment du fait que le commutateur de destruction est actif ou non. Toutefois, lorsque le commutateur de destruction est activé, l’ISP arrête de capturer des données réelles à partir du capteur et de synthétiser et diffuse plutôt des trames noires, toutes transparentes du point de vue de l’application.
Obturateurs avec plusieurs caméras sur un panneau
Lorsque les clients utilisent des dispositifs avec des obturateurs (par exemple, des obturateurs avec plusieurs caméras IR et RVB sur un panneau) ils s’attendent à ce que si l’obturateur est fermé, la confidentialité est protégée contre tout accès inattendu à la caméra. Lorsque les systèmes ont deux caméras sur le même panneau, comme une caméra RVB et IR pour prendre en charge Windows Hello, il est important de s’assurer que l’obturateur ne donne pas un faux sens de sécurité. Les clients ne sont pas censés comprendre qu’il peut y avoir un deuxième capteur d’appareil photo pour Windows Hello, et certains appareils utilisent un seul capteur pour RVB+IR. En raison de cela, l’obturateur doit couvrir toutes les caméras sur le panneau.
S'assurer que les obturateurs et les commutateurs d'arrêt s'appliquent à la caméra IR est de la plus haute importance, car la caméra IR est accessible par les applications et peut produire des images de haute fidélité de la scène, comme indiqué ci-dessous. L’échec de l’obstruation du capteur IR représenterait un faux sentiment de sécurité et de violation de confiance des utilisateurs dans le mérite de confidentialité de l’obturateur.
Remarque
Windows Hello Face nécessite à la fois une caméra RVB et IR. Si la caméra RVB est obstruée, Windows Hello ne fonctionne pas correctement. Les flux RVB et IR sont utilisés pour permettre les mesures anti-usurpation.
Guide de conception d’obturateur physique (mécanique ou électromécanique)
Lorsqu’un client utilise un appareil avec un obturateur physique, la présence de l’obturateur donne une attente implicite forte quant au niveau de confidentialité qu’il fournit. Autrement dit, cet utilisateur s’attend à ce que si l’appareil a un obturateur et que l’obturateur est fermé, il est protégé contre tout accès inattendu à la caméra. Il est essentiel que l’implémentation de la fonctionnalité soit à la hauteur des attentes implicites, sinon elle perd toute confiance.
En outre, tout le concept d’un obturateur de confidentialité est de fournir une couche de sécurité renforcée contre toute attaque logicielle pratique. En d’autres termes, si l’appareil a un obturateur et que le système est entièrement compromis par des logiciels malveillants, ce logiciel ne peut pas compromettre la confidentialité de l’utilisateur. Là encore, pour dire simplement, l’attente est que l’obturateur ne peut changer d’état que si l’utilisateur interagit physiquement avec le contrôle d’obturation matériel sur l’appareil.
Considérations relatives à la conception mécanique
Les obturateurs physiques, que ce soit manuellement ou électromécaniquement actionné, sont censés être fabriqués d’un matériau opaque qui bloque complètement le capteur lorsqu’il est fermé et est visible à l’œil nu :
Comme décrit dans Obturateurs avec plusieurs caméras sur un panneau, les appareils avec caméra IR et RVB distinctes sur le même panneau doivent avoir les deux capteurs bloqués simultanément lorsque l’obturateur est fermé. Supposons une conception à double capteur comme suit :
Lorsque l’obturateur est fermé, il doit couvrir le capteur RVB, il est facultatif de couvrir le capteur IR :
Remarque
Nous prenons actuellement en charge une exemption pour les caméras dont les conceptions d’obturation mécanique ne couvrent pas la caméra IR. Lorsqu’un obturateur physique occulte la caméra RVB, il est acceptable que le microprogramme ISP ignore la sortie de l’image de la caméra IR et la remplace par une image noire synthétisée. Toutefois, si le capteur IR est utilisé pour la détection de présence, il est recommandé de ne pas couvrir le capteur IR et de s’assurer que le capteur de présence est fonctionnel. Pour plus d’informations, consultez le livre blanc Détection de présence dans l’Espace partenaires Microsoft. Une prochaine mise à jour HLK adoptera cette exception et exigera uniquement des obturateurs physiques pour masquer physiquement le RVB, afin de garantir la robustesse de la solution et une protection plus forte de la confidentialité des clients.
Considérations relatives au comportement de l’appareil photo
Lorsqu’une caméra est équipée d’un obturateur physique, la caméra doit continuer à fonctionner normalement, quel que soit l’état de l’obturateur. Si une application est diffusée en continu à partir de la caméra, elle continue à capturer et à transmettre des données de capteur réelles même si l’obturateur est fermé. L’occlusion complète du capteur par un obturateur fermé devrait produire une image noire ou très proche de celle-ci.
Les OEM peuvent choisir de remplacer l’image par une image statique lorsque l’obturateur est fermé (par exemple, une image d’un appareil photo avec un trait). Cette image doit être statique et ne peut pas être modifiée du logiciel pour se protéger contre les attaques. Pour les appareils avec des obturateurs de protection de la vie privée, le remplacement de l'image peut se produire au sein de l'ISP ou du pilote, bien que le remplacement au sein de l'ISP soit recommandé pour réduire la nécessité des DMFTs et pour ajouter de la charge à l'appareil hôte.
Exigences relatives à la LED de l'obturateur de confidentialité de la caméra
Les exigences led doivent respecter les exigences de LED courantes spécifiées. Cela signifie que si une caméra sur le panneau est activée, une LED indiquant l'utilisation d'une longueur d'onde visible doit rester allumée que l'obturateur soit ouvert ou fermé. Toutefois, il est acceptable que la conception physique de l’obturateur couvre la LED lorsque l’obturateur est fermé. Les diagrammes ci-dessous illustrent un scénario lorsque l’appareil photo est activement en streaming :
Pour les conceptions avec une caméra IR et RVB, certains fabricants peuvent souhaiter désactiver la LED d’éclaireur IR si la caméra IR est utilisée pendant la fermeture de l’obturateur. Nous vous déconseillons de le faire, car cela ajoute une complexité supplémentaire pour peu de valeur ; la caméra IR ne sera active que si Windows Hello est en cours d’exécution, et pendant cette période, Windows Hello affiche un message indiquant qu’il tente de vous connecter, mais que l’obturateur est fermé. Pour plus d’informations, consultez l’implémentation de Kill switch .
Toutefois, si une LED d’éclairage IR de 840 nm (visible) n’est pas la seule LED d’indicateur en cours d’utilisation pour la caméra IR (par exemple, une LED blanche/verte/bleue normale est allumée lorsque la caméra IR est active), une conception peut activer la LED d’éclairage IR lorsque l’obturateur est fermé.
Mécanismes de basculement de l’état de l’obturateur
Les appareils qui implémentent des obturateurs de confidentialité ne doivent pas autoriser une forme de contrôle logiciel de l’obturateur et doivent uniquement ouvrir ou fermer l’obturateur en réponse à l’utilisateur interagissant explicitement avec le contrôle d’obturation. Ce contrôle d’obturation peut être un curseur mécanique ou un bouton physique qui actionne un obturateur électromécanique. Aucun logiciel ne peut changer d’état d’obturation, même si un contrôle matériel peut remplacer le logiciel et maintenir l’obturateur fermé, car un obturateur fermé ne signifie pas toujours que le contrôle de confidentialité est activé. De même, l'obturateur peut ne pas s'ouvrir ou se fermer lorsqu'une application utilise la caméra, pour la même raison. En résumé, si l’utilisateur regarde l’appareil et voit l’obturateur fermé, il doit être en mesure de déduire sans équivoque que sa vie privée est protégée jusqu’à ce qu’elle prenne des mesures physiques pour ouvrir l’obturateur.
Détection et rapport de l'état de l'obturateur
La plupart des problèmes liés aux conceptions de confidentialité de caméra sur le marché découlent de situations où un utilisateur ferme involontairement l’obturateur et ne peut pas comprendre pourquoi leur caméra produit une image vide ou ne fonctionne pas. En conséquence, une partie clé de la fonctionnalité d’obturation de confidentialité Windows repose sur la caméra capable de signaler de manière fiable son état d’obturation. Avec ces informations, les applications peuvent informer l’utilisateur que l’obturateur est fermé afin qu’il puisse réagir en conséquence. Les modifications d’état d’obturation doivent être détectées et signalées dès que possible après l’événement.
Deux méthodes sont proposées pour détecter l’état d’obturation, les capteurs physiques et la détection basée sur le microprogramme. Les deux méthodes signalent l’état d’obturation détecté via CT_PRIVACY_CONTROL s'il provient d’un appareil UVC, ou KSPROPERTY_CAMERACONTROL_PRIVACY s'il provient d’un pilote AVStream ou DMFT.
Pour plus d’informations, consultez la notification d’obturation de confidentialité .
Capteur de détection d’état physique
L’état d’obturation peut être détecté avec un capteur physique qui peut détecter si l’obturateur est ouvert ou fermé. Les capteurs physiques peuvent signaler de façon déterministe l’état de l’obturation et peuvent fournir une expérience plus fiable. Microsoft n’a pas de conseils spécifiques disponibles sur les conceptions de capteurs ou des recommandations spécifiques pour la technologie de capteur.
Détection d'état basée sur le micrologiciel ISP
Certaines conceptions peuvent choisir d’ignorer un obturateur physique et d’utiliser plutôt le microprogramme dans le fournisseur de services Internet pour traiter l’image et signaler l’état d’obturation déduit. Une telle solution analyse l’image capturée dans le microprogramme et la compare à un seuil pour déterminer si l’obturateur semble fermé. Il s’agit d’une solution à faible coût, car elle ne nécessite aucune nouvelle partie et est également capable de détecter des éléments tels que la bande sur un capteur. Toutefois, il existe deux considérations importantes lors du choix d’utiliser une telle conception :
La conception peut signaler faussement un obturateur fermé dans des environnements sombres. Toutefois, il s’agit d’un risque minimal/problème, car la caméra ne serait pas utilisable dans un environnement si faible de lumière de toute façon.
Sauf si l’ISP est capable d’échantillonner régulièrement le capteur chaque fois qu’il est hors D3, cette méthode empêche les applications d’interroger des données d’état de capteur précises jusqu’à ce qu’elles commencent à diffuser en continu à partir de la caméra.
La deuxième considération ci-dessus crée un défi. Si l’appareil photo ne parvient pas à signaler l’état d’obturation lorsqu’il n’est pas en streaming, mais qu’une application a été écrite pour vérifier et réagir à l’état d’obturation avant la diffusion en continu, les mauvaises choses peuvent se produire. En réponse aux commentaires que nous avons reçus des partenaires, cette exigence a été assouplie. Nous mettons également à jour la documentation de l’API pour déconseiller aux développeurs de logiciels de prendre des décisions basées sur l'état d'obturation lorsqu'il n'y a pas de diffusion en continu. Par exemple, nous conseillons explicitement aux développeurs d’applications de refuser l’inactivation de l’appareil photo si l’obturateur signale qu’il est fermé.
Pour éviter les risques de problèmes de compatibilité avec les applications qui ne respectent pas ces conseils, les caméras qui ne peuvent pas détecter l’état de l'obturateur lorsqu’elles ne sont pas en diffusion doivent signaler que l’obturateur est OUVERT chaque fois qu'elles ne diffusent pas. Sinon, si l’appareil photo peut détecter l’état d’obturation lorsqu’il n’est pas en streaming, il est prévu de détecter et de signaler l’état de l’obturateur à tout moment qu’il n’est pas dans D3.
Remarque
Les algorithmes de détection d’obturation basés sur l’analyse d’images doivent toujours être implémentés dans le microprogramme, par opposition à un pilote, pour éviter d’augmenter la charge du processeur et pour une robustesse maximale.
Voici un diagramme illustrant le comportement attendu d’un appareil avec un obturateur de confidentialité de caméra :
Tableau récapitulatif du comportement de l’obturateur de confidentialité de l’appareil photo
Le tableau suivant récapitulait le comportement attendu d’une caméra avec un obturateur de confidentialité de la caméra (manuel ou électromécanique) :
| État de l’ISP | État de l’obturation | LED d’indicateur visible | Image diffusée sur PC | État CT_PRIVACY_CONTROL signalé |
|---|---|---|---|---|
| Inactif/D3 | Ouvert | Éteint* | N/A | Ouvert |
| Inactif/D3 | Fermé | Éteint* | N/A | Ouvert** |
| Streaming (n’importe quelle application) | Ouvert | Sur* | Image de capteur capturée | Ouvert |
| Streaming (n’importe quelle application) | Fermé | Sur* | Image de capteur capturée | Fermé |
Consultez les exigences relatives au voyant de confidentialité de la caméra et aux mécanismes de basculement de l'obturateur pour plus d’informations sur les exigences relatives aux voyants LED indicateurs.
(**) Consultez la détection de l’état de l’obturation et la création de rapports pour plus d’informations, dans certains scénarios, l’état d’obturation est toujours mis à jour quand il n’y a pas de diffusion en continu.
Conseils de conception de dispositif d'arrêt d'urgence
Lorsqu’un client utilise un appareil avec un commutateur d’arrêt, il fait confiance à un commutateur matériel pour se protéger solidement contre toute application qui tente de capturer son image. Autrement dit, cet utilisateur s’attend à ce que si mon appareil a un commutateur de destruction et que le commutateur de destruction est activé, ma confidentialité est protégée contre tout accès inattendu à la caméra. Il est essentiel que l’implémentation de la fonctionnalité soit à la hauteur des attentes implicites, sinon elle perd toute confiance.
En outre, tout le concept d’un commutateur de destruction consiste à fournir une couche de sécurité renforcée contre toute attaque logicielle pratique. Si l’appareil a un commutateur de destruction et que le système est entièrement compromis par des logiciels malveillants, ce logiciel ne peut pas remplacer le commutateur de destruction et compromettre la confidentialité de l’utilisateur. Autrement dit, l’attente est que *le commutateur kill ne peut être activé/désactivé que par l’utilisateur qui interagit physiquement avec l’appareil.
Par rapport aux conceptions d’obturations de confidentialité, les commutateurs de destruction sont plus complexes et présentent plus de défis à relever avec confiance. C’est parce qu’ils portent le même niveau d’attente de robustesse (un commutateur physique est censé fonctionner parfaitement dans tous les scénarios), mais ils ne fournissent pas l’assurance qu’un obturateur physique sur la lentille fournit. Cela signifie que les appareils qui offrent des commutateurs de destruction doivent produire une expérience cohérente, claire et fiable.
Fonctionnalité kill switch
Les interrupteurs d'arrêt désactivent le fonctionnement en demandant au logiciel interne de l'ISP d’arrêter la capture à partir du capteur et de synthétiser une image noire. De cette façon, la caméra est toujours disponible et fonctionnelle du point de vue des applications, mais il n’y a pas de données de capteur réelles transmises dans le système d’exploitation hôte lorsque le commutateur de destruction est actif. Une conception robuste fonctionne comme suit :
Le signal physique du commutateur se connecte à un GPIO sur l’ISP, pour indiquer si le commutateur est actif ou non
Lorsque le commutateur de destruction est actif, l’ISP :
Déconnecte électriquement le capteur
Commence à synthétiser des cadres noirs pour remplacer les images réelles du capteur déconnecté
Signale que l’obturation est fermée par le biais de la fonctionnalité de notification d’obturation de confidentialité
En pratique, le silicium ISP qui prend en charge cette expérience complète, y compris une déconnexion électrique du capteur lorsque le commutateur de destruction GPIO est actif, n’est pas encore disponible sur le marché. En conséquence, les conceptions actuelles nécessitent la modification de l’étape 2a ci-dessus pour « Arrêter le capteur ou ignorer les données du capteur dans le microprogramme ». Nous prévoyons de travailler avec des fournisseurs de services Internet pour atténuer la nécessité de cette mesure dans les futures conceptions de silicium.
Remarque
Il est essentiel que la fonctionnalité kill switch soit implémentée dans le microprogramme ISP, et non dans un pilote s’exécutant sur le système d’exploitation hôte. Les données d’image réelles du capteur ne doivent pas être transférées dans le système d’exploitation lorsque le commutateur de destruction est à l’état « kill ».
Comme avec les obturateurs de confidentialité, les oem peuvent remplacer l’image par une image statique lorsque le commutateur kill est à l’état « kill ». Le remplacement d’image peut se produire dans l’ISP ou dans le pilote, bien que le remplacement au sein de l’ISP soit recommandé pour réduire la nécessité de DMFTs et d’ajouter la charge à l’appareil hôte. Si le remplacement de l’image est effectué dans le pilote, il convient de noter que l'exigence selon laquelle les données réelles de l'image ne doivent pas être transférées dans le système d’exploitation lorsque le commutateur d'arrêt est en position de "kill" s’applique toujours.
Mettre fin à l’implémentation du commutateur
L’état de l'interrupteur d'urgence ne doit pas être contrôlé par le logiciel, sinon une application malveillante pourrait manipuler le contrôle pour activer ou désactiver l'interrupteur d'urgence. Ils doivent être contrôlés par un commutateur connecté à un GPIO sur l’ISP.
Il est important que lorsque les interrupteurs d’arrêt des caméras sont désactivés, la caméra figure toujours dans le système et que les applications puissent toujours diffuser à partir de celle-ci, bien que l’image devienne simplement noire. Les images continuent d’être livrées au système d’exploitation, et la caméra continue de répondre aux contrôles ; les applications ne savent pas que le commutateur est dans un état « kill », sauf si l’application utilise les API CameraOcclusionInfo . Cela permet à l’appareil photo d’être désactivé par le biais d’un contrôle matériel sans introduire de messages « caméra introuvable » confus ou risquer que certaines applications se bloquent lors du basculement.
Comme décrit dans Volets avec plusieurs caméras sur un panneau, les appareils avec des caméras IR et RVB distinctes sur le même panneau doivent avoir les deux capteurs désactivés simultanément lorsque le commutateur de destruction est activé.
Exigences relatives à la LED HLK
HLK exige que la LED d’indicateur soit activée lorsque l’ISP capture les données du capteur. L’activation du commutateur d’arrêt signifie que le fournisseur d’accès internet doit arrêter la capture de données réelles à partir du capteur, de sorte que la LED est également censée s'éteindre avec le commutateur d’arrêt. Cela évite toute confusion ou violation de confiance, si le client voit un indicateur lumineux ou une LED d’éclaireur IR, ils savent que le logiciel capture actuellement leur image, et s’ils ne voient pas de LED allumée, ils savent qu’ils ne sont pas capturés.
Rapport d’état de l'interrupteur d'arrêt d'urgence
L’état de l'interrupteur de sécurité doit être rapporté via CT_PRIVACY_CONTROL (si issu d’un appareil UVC) ou KSPROPERTY_CAMERACONTROL_PRIVACY (si issu d’un pilote AVStream ou DMFT). L’état de l'interrupteur d'arrêt de la caméra doit être signalé chaque fois que l’ISP est hors du mode D3.
Pour plus d’informations, consultez la notification d’obturation/commutateur de confidentialité .
Table récapitulative du comportement de l'interrupteur d'arrêt d'urgence
Le tableau suivant récapitule le comportement attendu d’une caméra avec un commutateur de destruction de caméra :
| État de l’ISP | État de l'interrupteur d'arrêt d'urgence | LED d’indicateur visible | Image diffusée sur PC | État CT_PRIVACY_CONTROL signalé |
|---|---|---|---|---|
| Inactif/D3 | Courir | Éteint | N/A | Ouvrir |
| Inactif/D3 | Kill | Éteint* | N/A | Clôture |
| Streaming (n’importe quelle application) | Courir | Sur* | Image de capteur capturée | Ouvrir |
| Streaming (n’importe quelle application) | Kill | Arrêt* | Trames vides synthétisées | Clôture |
(*) Consultez les exigences relatives au volet de confidentialité de la caméra et les mécanismes de basculement du volet pour plus d’informations sur les exigences relatives aux voyants LED.
Conseils pour les éditeurs de logiciels indépendants concernant les événements d'obturation/commutateur
Lorsqu’une caméra avec un obturateur de confidentialité ou un commutateur de destruction suit les instructions de cette documentation, l’état de l’obturateur/commutateur est signalé au système d’exploitation lorsque l’appareil photo est en streaming. Les applications utilisant la caméra peuvent ensuite surveiller les événements de changement d’état d’obturation et répondre en conséquence, par exemple en produisant une remarque utile que la caméra est bloquée par un obturateur ou un commutateur.
Pour plus d’informations, consultez les API suivantes :