BR112021016221A2

BR112021016221A2 - Dispositivo, método e sistema para medição de distância confiável

Info

Publication number: BR112021016221A2
Application number: BR112021016221-6A
Authority: BR
Inventors: Johannes Arnoldus Cornelis Bernsen; Franciscus Antonius Maria Van De Laar
Original assignee: Koninklijke Philips N.V.
Priority date: 2019-02-19
Filing date: 2020-02-19
Publication date: 2021-10-13
Also published as: CN113455020B; EP3700235A1; US20220146619A1; WO2020169629A1; EP3928535A1; KR20210127227A; JP2022519913A; CN113455020A

Abstract

dispositivo, método e sistema para medição de distância confiável. a presente invenção se refere a um dispositivo que é disposto para determinar uma primeira distância de acordo com um protocolo de faixa com o uso de uma mensagem de medição proveniente de um segundo dispositivo. um dispositivo cooperante (130) tem uma antena direcional (133), está situado a uma distância confiável (150) e compartilha uma direção de conexão (160) com o primeiro dispositivo. o dispositivo cooperante determina uma terceira direção da mesma mensagem de medição e transfere dados de suporte para o primeiro dispositivo com base na terceira direção. o primeiro dispositivo determina primeiro um primeiro ângulo (161) entre a primeira direção e a direção de conexão e obtém um terceiro ângulo (163) entre a terceira direção e a direção de conexão com o uso dos dados de suporte. então, um teste de verificação é realizado na primeira distância (151), na distância confiável (150), no primeiro e no terceiro ângulos. a primeira distância é confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável (100) dos dispositivos.

Description

RELATÓRIO DESCRITIVO DA PATENTE DE INVENÇÃO PARA: DISPOSITIVO,

MÉTODO E SISTEMA PARA MEDIÇÃO DE DISTÂNCIA CONFIÁVEL Campo da invenção

[001] A invenção se refere a um dispositivo para medição de distância através de comunicação sem fio entre o dispositivo que age como um primeiro dispositivo e um segundo dispositivo para comunicação sem fio, sendo que a comunicação sem fio compreende um protocolo de faixa (alcance) para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo. A invenção se refere adicionalmente a métodos para medição de distância e a produtos de programa de computador para uso em um dispositivo ou um servidor.

[002] A presente invenção se refere de modo geral ao campo de sistemas de localização e, mais especificamente, fornece vários dispositivos e métodos para verificar medições de distância, bem como produtos de programa de computador associados. Antecedentes da invenção

[003] Pode haver a necessidade de serviços com reconhecimento de localização em recintos fechados (prédios). Por exemplo, em grandes complexos de recintos fechados, como hospitais, universidades, estacionamentos, shoppings e/ou escritórios, podem ser fornecidos serviços sem fio para dispositivos móveis a uma curta distância. Um sistema de localização para recintos fechados (prédios) pode fornecer um serviço aos consumidores (deste ponto em diante, chamados de usuários finais), um serviço com o qual os usuários finais poderão, com o tempo, contar. Tais serviços baseados em localização podem ser fornecidos apenas a dispositivos que estejam próximos, isto é, a uma distância limitada, do dispositivo provedor do serviço. Em um exemplo adicional, uma chave eletrônica de porta de carro sem fio precisa estar próxima ao carro para poder abrir a porta. Uma chave de porta fraudulenta pode adulterar o protocolo de medição de distância de modo que ela possa abrir a porta quando estiver muito mais distante do carro do que deveria estar.

[004] Portanto, é importante que a medição da distância seja confiável. “Confiável” neste contexto significa que um dispositivo respondedor fornece dados confiáveis e corretos de distância ou de chegada conforme medidos, em oposição a dados de distância ou de instante da chegada que foram adulterados ou que foram fraudados para intencionalmente “criar” uma distância diferente da distância real até o dispositivo respondedor.

[005] Um sistema conhecido para medição de distância foi desenvolvido recentemente em uma nova versão do protocolo para comunicação sem fio definido no padrão IEEE 802.11 (vide documento de referência [802.11]). A versão compreende um protocolo de faixa para determinar uma distância entre dois dispositivos e possibilita a medição precisa da distância e a determinação da localização de dispositivos até 1 metro ou mesmo a uma resolução mais baixa. O protocolo de faixa, chamado de procedimento de medição de temporização fina (FTM - “Fine Timing Measurement”), é definido em [802.11] Capítulo 10.24.6 e mede precisamente os instantes de chegada das mensagens de medição para determinar um tempo de ida e volta (RTT - “Round-Trip Time”) do sinal, e deriva a distância com base nos instantes de chegada medidos das mensagens em combinação com o instante de transmissão. Por exemplo, presumindo-se um sinal sem fio propagado em ar livre substancialmente à velocidade da luz, são necessários 3,3 ns para a radiação cobrir uma distância de um metro, enquanto a estação Wi-Fi pode ser capaz de alcançar uma granularidade de tempo de cerca de 0,1 ns.

[006] Deve-se notar que que esta aplicação está no campo de protocolos de faixa. Isso pode corresponder ao que é conhecido como medições de tempo de voo, as quais medem o tempo necessário para a radiação eletromagnética se deslocar entre o transmissor e o receptor. Eles são fundamentalmente diferentes da medição de distância executada no protocolo IP/HTTP, também conhecida como tempos de ping, que medem o tempo necessário para um pacote de dados IP transitar em uma rede desde um dispositivo de rede até um dispositivo de destino, sendo que tal trânsito pode incluir vários dispositivos intermediários.

[007] Para que dois dispositivos determinem a distância entre si com base nas medições de instante de chegada, eles precisam operar em conjunto de acordo com um protocolo de faixa. Por exemplo, um dispositivo sem fio iniciador pode enviar uma solicitação para iniciar uma medição do tempo de ida e volta. Um dispositivo respondedor pode determinar um intervalo entre o envio de uma mensagem e a recepção da solicitação, e enviar o intervalo de tempo para o dispositivo iniciador.

[008] Entretanto, por meio do envio de dados falsos, um dispositivo pode realmente alegar que está mais próximo ou mais distante do que está na verdade. Além disso, uma mensagem de medição pode precisar ser transmitida em um tempo predeterminado, por exemplo, de acordo com uma grade de temporização. Um dispositivo malicioso pode enviar intencionalmente a mensagem de medição em um tempo diferente. Tal comportamento malicioso poder levar a possível fraude de um serviço baseado em localização se um dispositivo iniciador acredita que as informações de distância/localização determinadas são precisas. Por exemplo, um serviço baseado em localização pode iniciar automaticamente alguma transação.

[009] Assim, nos sistemas conhecidos, as medições ou os dados de distância recebidos podem ser adulterados e, portanto, não podem ser totalmente confiáveis. Sumário da invenção

[010] Um primeiro dispositivo que mede a distância até um segundo dispositivo com o uso dos métodos de medição de tempo (TM - “Time Measurement”) ou medição de temporização fina (FTM - “Fine Time Measurement”) do padrão 802.11 pode tentar se proteger contra dados de instante de chegada (TOA - “Time of Arrival”) falso e instante de partida (TOD - “Time of Departure”) falso enviados por dispositivos maliciosos que querem parecer estar a uma distância diferente, especificamente menor, do que realmente estão.

[011] Para compensar tal comportamento, um sistema de medição de distância pode envolver um terceiro dispositivo que também realiza uma medição de distância para determinar uma segunda distância entre o terceiro dispositivo e o segundo dispositivo potencialmente malicioso. Comparando-se ambas as distâncias,

conhecendo-se e confiando-se na distância entre o primeiro dispositivo e o dispositivo cooperante, um teste de verificação pode ser realizado em ambas as distâncias determinadas. Entretanto, embora possa ser mais complicado para o dispositivo malicioso adulterar ambas as medições de distância para passar no teste de verificação, isso ainda pode ser possível.

[012] É um objetivo da invenção fornecer um sistema que torne mais confiável a medição de distância baseada no instante de chegada. Para esse propósito, são fornecidos dispositivos e métodos definidos nas reivindicações anexas.

[013] De acordo com um primeiro aspecto da invenção, é fornecido um dispositivo para medição de distância através de comunicação sem fio entre o dispositivo que age como um primeiro dispositivo e um segundo dispositivo para comunicação sem fio, sendo que a comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo; sendo que o dispositivo compreende: - um primeiro transceptor para transmitir e receber mensagens, - um primeiro processador de mensagem disposto para: - processar as mensagens de acordo com o protocolo de faixa; - determinar um primeiro instante de chegada da mensagem de medição no primeiro dispositivo, e - determinar uma primeira distância entre o primeiro dispositivo e o segundo dispositivo com base no primeiro instante de chegada; sendo que - o primeiro transceptor compreende uma primeira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem, e

- o primeiro processador de mensagem é disposto para se comunicar com um terceiro dispositivo, sendo que o terceiro dispositivo age como um dispositivo cooperante e está situado a uma distância confiável do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante; sendo que o terceiro dispositivo compreende: - um receptor sem fio para receber mensagens, sendo que o receptor compreende uma terceira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem, - um terceiro processador de mensagem disposto para: - determinar uma terceira direção ao receber a mensagem de medição no terceiro dispositivo, - transferir dados de suporte para o primeiro dispositivo, sendo que os dados de suporte são indicativos da terceira direção; sendo que o primeiro processador de mensagem é disposto para avaliar a distância determinada, - determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo, - determinar um primeiro ângulo entre a primeira direção e a direção de conexão, - receber os dados de suporte a partir do dispositivo cooperante, sendo que os dados de suporte contêm uma indicação de uma terceira direção, sendo que a terceira direção é determinada pelo terceiro dispositivo após o recebimento da mensagem de medição no terceiro dispositivo, - obter um terceiro ângulo entre a terceira direção e a direção de conexão com base nos dados de suporte, - fazer um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

[014] De acordo com um aspecto adicional, é apresentado um método para medição de distância através de comunicação sem fio entre um primeiro dispositivo e um segundo dispositivo, sendo que a comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo; sendo que o primeiro dispositivo compreende uma primeira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem; sendo que o método compreende: - obter uma primeira distância entre o primeiro dispositivo e o segundo dispositivo com base em um primeiro instante de chegada da mensagem de medição no primeiro dispositivo, - comunicar com um terceiro dispositivo, sendo que o terceiro dispositivo age como um dispositivo cooperante e está situado a uma distância confiável do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante; sendo que o terceiro dispositivo compreende uma terceira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem e é disposto para: - determinar uma terceira direção ao receber a mensagem de medição no terceiro dispositivo, e

- fornecer dados de suporte, sendo que os dados de suporte são indicativos da terceira direção; sendo que o método compreende, para avaliar a distância determinada: - determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo, - determinar um primeiro ângulo entre a primeira direção e a direção de conexão, - obter um terceiro ângulo entre a terceira direção e a direção de conexão com base nos dados de suporte, - executar um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

[015] De acordo com um aspecto adicional, é apresentado um método para agir como um dispositivo cooperante em uma medição de distância através de comunicação sem fio entre um primeiro dispositivo e um segundo dispositivo, sendo que o dispositivo cooperante está situado a uma distância confiável do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante. A comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo. O primeiro dispositivo compreende uma primeira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem e o primeiro dispositivo é disposto para obter uma primeira distância entre o primeiro dispositivo e o segundo dispositivo com base em um primeiro instante de chegada da mensagem de medição no primeiro dispositivo. O terceiro dispositivo compreende uma terceira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem. O método compreende: - determinar uma terceira direção ao receber a mensagem de medição no terceiro dispositivo, e - fornecer dados de suporte que são indicativos da terceira direção. O primeiro dispositivo é disposto para: - avaliar a distância determinada, - determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo, - determinar um primeiro ângulo entre a primeira direção e a direção de conexão, - obter um terceiro ângulo entre a terceira direção e a direção de conexão com base nos dados de suporte, - executar um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

[016] As características acima têm o efeito de que quando o segundo dispositivo participa em um protocolo de faixa, o primeiro dispositivo pode determinar a distância de acordo com o protocolo de faixa com base no primeiro instante de chegada da mensagem de medição transmitida pelo segundo dispositivo. Além disso, o terceiro dispositivo determina uma terceira direção ao receber a mesma mensagem de medição no terceiro dispositivo. O terceiro dispositivo está situado a uma distância do primeiro dispositivo, distância que é conhecida pelo primeiro dispositivo e tida como confiável. Essa distância é chamada de distância confiável neste documento. Além disso, o dispositivo cooperante compartilha uma direção de conexão com o primeiro dispositivo, sendo que essa direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante. “Compartilhar” aqui significa que tanto o primeiro como o terceiro dispositivos conhecem essa direção de conexão como uma direção de referência que pode ser usada para determinar os ângulos em um sistema de coordenadas que está disponível para ambos os dispositivos. A distância confiável e a direção de conexão podem ser predeterminadas ou podem ser medidas separadamente ou podem ser inseridas por um usuário. Tal terceiro dispositivo pode ser chamado de dispositivo cooperante neste documento.

[017] Deve-se notar que o terceiro dispositivo, que age como um dispositivo cooperante, não executa uma medição de distância adicional de acordo com o protocolo de faixa ou medição de ângulo separada com o uso de algumas mensagens de medição adicionais. Em vez disso, o terceiro dispositivo coopera para determinar a dita terceira direção da dita mesma mensagem de medição no terceiro dispositivo e para transferir dados de suporte para o primeiro dispositivo, sendo que os dados de suporte são baseados na terceira direção. Por exemplo, os dados de suporte podem compreender dados da terceira direção em relação a uma direção de referência ou grade direcional absoluta, ou em relação a alguma outra direção determinada durante o recebimento de uma mensagem adicional também recebida pelo primeiro dispositivo. Alternativa ou adicionalmente, os dados de suporte podem compreender dados de terceiro ângulo, sendo que o terceiro dispositivo é capaz de determinar um terceiro ângulo entre a terceira direção e a direção de conexão.

[018] O primeiro processador de mensagem é disposto para determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo e determinar um primeiro ângulo entre a primeira direção e a direção de conexão. Após receber os dados de suporte, o processador é habilitado a obter o terceiro ângulo entre a terceira direção e a direção de conexão com o uso dos dados de suporte. Subsequentemente, um teste de verificação é realizado na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo. Vantajosamente, o teste de verificação pode aceitar a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

[019] Em uma modalidade, o teste de verificação compreende uma verificação da lei dos cossenos ou uma verificação de desigualdades de triângulos na constelação espacial viável. Vantajosamente, a verificação prova se uma constelação espacial de um triângulo pode ter os respectivos ângulos entre os lados.

[020] Em uma modalidade, o protocolo de faixa compreende trocar mensagens que são criptograficamente protegidas com base em dados de chave, e o primeiro processador de mensagem é disposto para compartilhar os dados de chave com o dispositivo cooperante para habilitar o terceiro processador de mensagem a processar criptograficamente as mensagens de acordo com o protocolo de faixa. Vantajosamente, a criptografia de mensagens entre o primeiro e o terceiro dispositivos protege tais mensagens que estão sendo adulteradas pelo segundo dispositivo potencialmente malicioso.

[021] Em uma modalidade, o primeiro processador de mensagem é disposto para determinar a distância confiável de acordo com o protocolo de faixa, ou o primeiro processador de mensagem é disposto para determinar a direção de conexão com o uso da primeira antena direcional. Vantajosamente, antes das medições reais até o segundo dispositivo, a distância confiável e/ou direção de conexão são determinadas com o uso do mesmo protocolo de faixa e/ou da mesma antena direcional.

[022] Opcionalmente, o terceiro processador de mensagem pode ser disposto para determinar um terceiro instante de chegada da mensagem de medição no terceiro dispositivo, enquanto os dados de suporte também são baseados no terceiro instante de chegada. Em uma modalidade, o primeiro processador de mensagem é disposto para obter uma terceira distância entre o terceiro dispositivo e o segundo dispositivo usando os dados de suporte referentes ao terceiro instante de chegada e executando o teste de verificação usando também a terceira distância. Vantajosamente, determinando-se também a terceira distância além dos ditos primeiro e terceiro ângulos e usando-se a terceira distância no teste de verificação, é mais difícil para um segundo dispositivo malicioso manipular as medições e os dados de mensagem para falsificar uma posição diferente do segundo dispositivo.

[023] Em uma modalidade, o dispositivo compreende uma unidade de relógio para fornecer uma referência de tempo para determinar os ditos instantes de chegada, e o primeiro processador de mensagem é disposto para sincronizar a referência de tempo com uma unidade de relógio correspondente no dispositivo cooperante. Vantajosamente, a referência de tempo é compartilhada entre o primeiro e o terceiro dispositivos. O terceiro instante de chegada pode ser determinado em relação à referência de tempo, o que possibilita que os dados de suporte compreendam o terceiro instante de chegada assim determinado e possa ser usado como tal pelo primeiro dispositivo.

[024] Em uma modalidade, o protocolo de faixa compreende o primeiro dispositivo, que age como um dispositivo iniciador, enviando uma mensagem de iniciador para o segundo dispositivo, enquanto, ao receber a mensagem de iniciador, o segundo dispositivo precisa enviar a mensagem de medição. O primeiro processador de mensagem é disposto para trocar dados de alteração de função com o terceiro dispositivo para habilitar o terceiro dispositivo para agir como o dispositivo iniciador para uma medição de distância. O terceiro dispositivo é disposto para, ao receber os dados de alteração de função, obter uma terceira distância entre o terceiro dispositivo e o segundo dispositivo de acordo com o protocolo de faixa com base em uma segunda mensagem de medição, determinar uma terceira direção ao receber a segunda mensagem de medição no terceiro dispositivo e transferir terceiros dados de suporte para o primeiro dispositivo, sendo que os terceiros dados de suporte são indicativos da terceira direção. Os dados de suporte podem também incluir a terceira distância. O primeiro processador de mensagem é disposto para: - determinar uma segunda direção ao receber a segunda mensagem de medição no primeiro dispositivo, - receber, do terceiro dispositivo, os terceiros dados de suporte, e

- executar o teste de verificação usando também a segunda direção e os terceiros dados de suporte.

[025] Vantajosamente, determinando-se a dita segunda direção e verificando- se a primeira e a terceira distâncias, e a primeira e a segunda direções em combinação, é mais difícil para o segundo dispositivo fraudar consistentemente ambas as medições de distância.

[026] Em uma modalidade, o terceiro processador de mensagem é disposto para determinar uma terceira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo e incluir dados de terceira intensidade de sinal nos dados de suporte para o primeiro dispositivo. O primeiro processador de mensagem é disposto para determinar uma primeira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo e verificar se as distâncias determinadas são confiáveis pela comparação da primeira intensidade de sinal e da terceira intensidade de sinal com respectivas intensidades de sinal esperadas nas distâncias determinadas. Opcionalmente, tanto o primeiro dispositivo quanto o terceiro dispositivo podem medir a intensidade de sinal da mesma mensagem recebida do segundo dispositivo. Vantajosamente, é adicionado um mecanismo adicional independente que possibilita a verificação das distâncias determinadas.

[027] Em uma modalidade, o primeiro processador de mensagem é disposto para, depois de determinar que a distância determinada não é confiável, exigir a execução de um protocolo de segurança diferente com o segundo dispositivo. Vantajosa, alternativa ou adicionalmente, o primeiro processador de mensagem é disposto para, após a avaliação de que a distância determinada não é confiável, solicitar uma medição de distância adicional com o uso de um protocolo de faixa diferente e/ou um tipo diferente de comunicação sem fio. Alternativa ou adicionalmente, o primeiro processador de mensagem é disposto para, depois de avaliar que a distância determinada não é confiável, negar ou restringir o acesso a pelo menos alguns dados e/ou a pelo menos uma função do primeiro dispositivo.

Vantajosamente, o acesso malicioso a, ou o uso de, qualquer função ou dados no primeiro dispositivo é impedido.

[028] De acordo com um aspecto adicional da invenção, um sistema para medição de distância confiável compreende o dispositivo e o terceiro dispositivo, conforme descrito acima, e um quarto dispositivo que age como um segundo dispositivo cooperante e está situado a uma segunda distância confiável do primeiro dispositivo e que está situado a uma terceira distância confiável do terceiro dispositivo, sendo que o dispositivo cooperante compartilha uma segunda direção de conexão com o primeiro dispositivo. A segunda direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o segundo dispositivo cooperante. O quarto dispositivo compreende um quarto receptor sem fio para receber mensagens, sendo que o receptor compreende uma quarta antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem, um quarto processador de mensagem disposto para determinar uma quarta direção ao receber a mensagem de medição no quarto dispositivo e transferir os quartos dados de suporte para o primeiro dispositivo, sendo que os quartos dados de suporte são indicativos da quarta direção. O processador de mensagem é disposto para: - receber os quartos dados de suporte provenientes do segundo dispositivo cooperante, - obter um quarto ângulo entre a quarta direção e a segunda direção de conexão com base nos quartos dados de suporte, e - executar o teste de verificação usando também a segunda distância confiável e o quarto ângulo.

[029] Vantajosamente, determinando-se a dita distância adicional e verificando-se todas as distâncias em combinação, é mais difícil para o segundo dispositivo manipular consistentemente as ditas distâncias.

[030] Opcionalmente, o teste de verificação pode usar uma combinação de desigualdades de triângulos em ao menos duas constelações espaciais, sendo que cada constelação compreende o segundo dispositivo e dois dispositivos do conjunto do primeiro dispositivo e dos dispositivos cooperantes. Opcionalmente, o primeiro processador de mensagem pode ser disposto para verificar se um primeiro local do segundo dispositivo de acordo com a primeira constelação espacial corresponde a um segundo local do segundo dispositivo de acordo com a segunda constelação espacial.

[031] Opcionalmente, o primeiro processador de mensagem pode ser disposto para executar o teste de verificação usando uma verificação de inconsistência para detectar se todas as distâncias determinadas são maiores que zero.

[032] Opcionalmente, o primeiro processador de mensagem pode ser disposto para executar o teste de verificação com base em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos de modo que um ângulo confiável entre uma linha do terceiro dispositivo ao primeiro dispositivo e uma linha do quarto dispositivo ao primeiro dispositivo seja de pelo menos 90 graus.

[033] Opcionalmente, o primeiro processador de mensagem pode ser disposto para executar o teste de verificação com base em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos opostos um ao outro em relação ao primeiro dispositivo.

[034] Opcionalmente, o primeiro processador de mensagem pode ser disposto para executar o teste de verificação com base em uma configuração na qual a segunda distância confiável corresponde à distância confiável.

[035] Em uma modalidade, o sistema compreende um quinto dispositivo que age como um terceiro dispositivo cooperante, sendo que o primeiro dispositivo cooperante tem uma primeira direção de conexão, o segundo dispositivo cooperante tem uma segunda direção de conexão e o terceiro dispositivo cooperante tem uma terceira direção de conexão, sendo que cada direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o respectivo dispositivo cooperante, e cada direção de conexão tem um ângulo de aproximadamente 90 graus com as outras direções de conexão. O primeiro processador de mensagem é disposto para executar o teste de verificação usando uma combinação de desigualdades de triângulos em ao menos duas constelações espaciais, sendo que cada constelação compreende o segundo dispositivo e dois dispositivos do conjunto do primeiro dispositivo e dos dispositivos cooperantes. Vantajosamente, determinando-se a dita distância adicional e verificando-se todas as distâncias em combinação, é mais difícil para o segundo dispositivo manipular consistentemente as ditas distâncias.

[036] Em uma modalidade, o método compreende instruir o primeiro dispositivo a agir como um dispositivo iniciador para fornecer o primeiro ângulo ou para fornecer o primeiro instante de chegada ou a primeira distância. Alternativa ou adicionalmente, o método compreende instruir o terceiro dispositivo a agir como o dispositivo cooperante para fornecer os dados de suporte que são baseados na terceira direção. Eficazmente, o controle da medição de distância é agora realizado pelas ditas instruções.

[037] Note-se que, por razões de clareza, foi descrito acima que o primeiro dispositivo executa a medição de distância e a verificação da confiabilidade de distância. Entretanto, também é possível que o primeiro dispositivo, o terceiro dispositivo e/ou os dispositivos cooperantes adicionais forneçam todas as informações necessárias a um dispositivo de controle que executa a medição de distância e a verificação da confiabilidade de distância.

[038] Um método de acordo com a invenção pode ser implementado em um computador como um método implementado por computador, ou em um hardware dedicado, ou em uma combinação de ambos. O código executável para um método de acordo com a invenção pode ser armazenado em um produto de programa de computador. Exemplos de produtos de programa de computador incluem dispositivos de memória, como um pen-drive, dispositivos de armazenamento óptico, como um disco óptico, circuitos integrados, servidores, software online etc. O produto de programa de computador pode compreender meios de código de programa não transitórios armazenados em uma mídia legível por computador para realizar um método de acordo com a invenção, quando o dito produto de programa é executado em um computador. Em uma modalidade, o programa de computador compreende meios de código de programa de computador adaptados para executar todas as etapas ou estágios de um método de acordo com a invenção, quando o programa de computador é executado em um computador. De preferência, o programa de computador é incorporado em uma mídia legível por computador. É fornecido um produto de programa de computador que pode ser baixado de uma rede e/ou armazenado em uma mídia legível por computador e/ou uma mídia executável por microprocessador, sendo que o produto compreende instruções de código de programa para implementar um método conforme descrito acima quando executado em um computador.

[039] Um outro aspecto da invenção apresenta um método para produção do programa de computador disponível para ser baixado, por exemplo incluído em um aplicativo baseado em localização. Este aspecto é usado quando o programa de computador é carregado para, por exemplo, a App Store da Apple, a Play Store da Google ou a Windows Store da Microsoft, e quando o programa de computador está disponível para ser baixado a partir de tal loja.

[040] São apresentadas modalidades preferenciais adicionais dos dispositivos e dos métodos de acordo com a invenção nas reivindicações anexas, cuja revelação está aqui incorporada a título de referência. Breve descrição dos desenhos

[041] Esses e outros aspectos da invenção se tornarão evidentes e serão adicionalmente elucidados por referência às modalidades descritas a título de exemplo na descrição a seguir e por referência aos desenhos anexos, nos quais: a Figura 1 mostra dispositivos para comunicação sem fio e medição de distância, a Figura 2 mostra uma constelação espacial de um dispositivo para comunicação sem fio e um dispositivo cooperante, a Figura 3 mostra uma constelação espacial de dois dispositivos para comunicação sem fio, a Figura 4 mostra uma constelação espacial adicional de dois dispositivos para comunicação sem fio,

a Figura 5 mostra uma constelação espacial indicando ângulos determinados, a Figura 6 mostra uma constelação de um dispositivo iniciador e três dispositivos cooperantes, a Figura 7 mostra uma constelação espacial adicional que tem dois dispositivos cooperantes, a Figura 8 mostra um método para medição de distância, a Figura 9 mostra um método para agir como um dispositivo cooperante em uma medição de distância, a Figura 10a mostra uma mídia legível por computador e a Figura 10b mostra uma representação esquemática de um sistema processador.

[042] As Figuras são puramente diagramáticas e não estão em escala. Nas figuras, os elementos que correspondem a elementos já descritos podem ter as mesmas referências numéricas. Descrição detalhada das modalidades

[043] Os métodos e os dispositivos de medição de distância que usam comunicação sem fio, conforme descrito abaixo, fornecem ao menos uma função básica, isto é, fornecem informações sobre a distância atual entre um dispositivo móvel e outro dispositivo, por exemplo, em uma posição fixa. Vários protocolos são descritos abaixo como exemplos de protocolos de faixa adequados com o uso de instantes de chegada de mensagens de medição, que podem ser melhorados com o uso das modalidades descritas a seguir.

[044] Além disso, em adição às medições de distância, as medições de direção podem ser realizadas para determinar onde um dispositivo respondedor está situado. O sistema descrito exige um ou mais dispositivos cooperantes que sejam, cada um, capazes de medir a direção de um sinal de RF de entrada destinado ao dispositivo de medição de distância. Por exemplo, uma antena direcional ou múltiplas antenas de recepção podem ser usadas para medição de direção. Neste documento, qualquer disposição de elementos de antena sensíveis à direção é chamada de antena direcional.

[045] Antenas individuais de cerca de até um comprimento de onda em tamanho não exibem muita direcionalidade. Todavia, ao combinar várias antenas e atrasar os sinais vindos da antena individual de modo que se somem construtivamente quando as ondas de RF recebidas vêm de uma certa direção, uma direcionalidade muito melhor pode ser obtida. Alterando-se os atrasos individuais, a direção da sensibilidade mais alta pode ser alterada. Quanto mais antenas forem usadas, maior será a sensibilidade direcional. Dessa forma, as antenas direcionais são bem conhecidas e usadas, por exemplo, em radares de matriz faseada. O modo de estimar um ângulo de chegada com o uso de múltiplas antenas é bem conhecido (vide, por exemplo [AAE]). Antenas individuais muito maiores em tamanho que o comprimento de onda exibem muita direcionalidade. Um exemplo de tal antena é uma antena parabólica usada para recepção por satélite ou para enlaces de rádio de micro-ondas.

[046] O uso de múltiplas antenas em comunicação sem fio é descrito em [802.11], por exemplo em 802.11n, 802.11ac, 802.11ax, 802.11ad, etc. Embora em

802.11n, 802.11ac, 802.11ax até quatro antenas sejam suportadas e as múltiplas antenas sejam usadas principalmente para criar múltiplos canais espaciais, de uma a duzentas antenas individuais são suportadas para 802.11ad e são usadas para a formação de feixes. Isso se deve ao fato de que a frequência utilizada é muito alta, 60 GHz, cada antena individual para 802.11ad é muito pequena (o dipolo de 1/2 λ tem 2,5 mm de largura), assim, pouca energia de RF é captada, e a formação de feixes com muitas antenas é, portanto, necessária para alcançar uma faixa útil.

[047] Exceto por ser capaz de realizar a formação de feixes, também é necessário calibrar a matriz, de modo que a direção do feixe em relação à matriz de antenas seja conhecida para cada definição dos coeficientes de antena usados para a formação de feixes. Quando a direção de um sinal de RF recebido precisar ser medida, os coeficientes de antena podem ser sintonizados para a maior amplitude de sinal recebida e a direção do sinal de RF é derivada a partir dos coeficientes de antena definidos dessa maneira. Portanto, o sistema para medição de direção descrito a seguir pode, por exemplo, ser usado com 802.11ad quando a capacidade de medição direcional do conjunto de antenas está calibrada. Entretanto, outras tecnologias Wi-Fi e RF também podem ser usadas em frequências mais baixas, quando antenas são usadas para a formação de feixes, em vez de serem criados múltiplos canais espaciais.

[048] No sistema descrito a seguir, um primeiro dispositivo ou dispositivo iniciador usa um ou mais dispositivos cooperantes que estão em uma posição conhecida em relação ao dispositivo iniciador. Os dispositivos cooperantes são capazes de medir a direção de um sinal de RF de entrada com o uso de uma antena direcional e relatar essa direção ao dispositivo iniciador. O dispositivo iniciador usa propriedades de triângulos para verificar a constelação espacial do dispositivo respondedor, do um ou mais dispositivos cooperantes e do dispositivo iniciador para detectar medições de instantes de chegada e/ou de distância manipuladas por dispositivos respondedores fraudulentos.

[049] Um primeiro exemplo de medição de distância é descrito em [802.11]. A cláusula 11.24.6 especifica o procedimento de medição de temporização fina (FTM). O mecanismo de FTM destina-se a medir a diferença no tempo absoluto entre os relógios em dois dispositivos, de modo que um deles também possa compensar o tempo que leva para as ondas de RF se deslocarem de um dispositivo para o outro com a velocidade da luz. No procedimento de FTM, um dos dispositivos envia carimbos de data e hora de seu relógio para o outro dispositivo, de modo que o outro dispositivo possa medir o tempo de ida e volta (RTT) entre os dois (explicado mais adiante). A medição de distância entre dois dispositivos usando 802.11 (Wi-Fi) é feita medindo-se o tempo de ida e volta (RTT) com o procedimento de medição de temporização fina (FTM) especificado na cláusula

11.24.6 de [802.11], multiplicando-se o RTT pela velocidade da luz e dividindo-se por 2.

[050] A seguir é apresentada uma explicação da FTM em [802.11] (vide, por exemplo, as Figuras 11-35, 11-36, 11-37 e o texto circundante). A numeração dos carimbos de data e hora abaixo é obtida da Figura 11-36. Uma STA (estação)

Iniciadora quer conhecer o RTT ou a distância até outra STA, a STA Respondedora. Para isso, a STA Iniciadora envia uma Solicitação de FTM Inicial para a STA Respondedora. A STA Respondedora envia uma mensagem de FTM_1(0, 0) para a STA Iniciadora e mede o tempo exato da transmissão. A STA Respondedora armazena esse tempo como t1_1. A STA Iniciadora mede a recepção da mensagem de FTM_1(0, 0) como t2_1. Ela mede o instante de transmissão do ACK resultante como t3_1. Entretanto, a STA Iniciadora ainda não pode usar os valores t2_1 e t3_1.

[051] A STA Respondedora mede o instante de recepção do ACK recebido como a resposta à FTM_1(0, 0) e o armazena como t4_1. Após um tempo (ao menos Min Delta FTM segundos), a STA Respondedora transmite FTM_2(t1_1, t4_1) e anota o instante de transmissão como t1_2. Essa STA Iniciadora passa pela mesma rotina conforme descrito acima, isto é, medir o instante de recepção de FTM_2(t1_1, t4_1) como t2_2 e o instante de transmissão do ACK como t3_2. Contudo, dessa vez, a STA Iniciadora é capaz de medir um RTT de acordo com a seguinte equação (11-5) de [802.11]. RTT = [(t4_1 – t1_1) – (t3_1 – t2_1)] (1) Rearranjar o lado direito da fórmula acima resulta em: RTT = (t2_1 – t1_1) + (t4_1 – t3_1) (2) a partir da qual pode ser facilmente visto que (t2_1 – t1_1) é o tempo para o quadro de FTM se deslocar pelo meio de RF da STA Solicitadora para a STA Iniciadora enquanto transfere o quadro de FTM, e que (t4_1 – t3_1) é o tempo para o quadro de ACK se deslocar pelo meio de RF da STA Iniciadora para a STA Respondedora, de modo que sua soma seja de fato o tempo de ida e volta. Para aumentar a precisão, o procedimento acima pode ser repetido e o RTT pode ser calculado como a média de todas as medições.

[052] t1_X é um instante de partida (TOD). O TOD é definido em [802.11] como “O TOD [...] representa o instante, em relação a uma base de tempo, no qual o início do preâmbulo do último quadro de medição de temporização fina transmitido aparece no conector da antena de transmissão”. O preâmbulo é a primeira parte de um quadro de PHY, o que, entre outras coisas, significa que um transmissor não transmite nenhuma energia de RF imediatamente antes do preâmbulo. Portanto, a STA Iniciadora precisa medir t3_X da mesma forma, isto é, t3_X representa o instante, em relação a uma base de tempo, no qual o início do preâmbulo do último quadro de ACK transmitido como uma resposta a um quadro de medição de temporização fina recebido aparece no conector da antena de transmissão.

[053] t4_x é um instante de chegada (TOA). O TOA é definido em [802.11] como “O TOA [...] representa o instante, em relação a uma base de tempo, no qual o início do preâmbulo do quadro de ACK até o último quadro de medição de temporização fina transmitido chegou ao conector da antena de recepção”. Portanto, a STA Iniciadora precisa medir t2_X da mesma forma, isto é, t2_X representa o instante, em relação a uma base de tempo, no qual o início do preâmbulo do último quadro de medição de temporização fina recebido chegou ao conector da antena de recepção.

[054] Portanto, o tempo mínimo t3 – t2 é igual ao comprimento do quadro de FTM(,) recebido + SIFS e o tempo máximo t3 – t2 é igual ao comprimento do quadro de FTM(,) recebido + DIFS. O comprimento dos quadros de FTM(,) pode variar. No restante deste documento, usamos as seguintes definições: - usar Lftm para denotar o comprimento no tempo do quadro de FTM físico que resultou na STA Iniciadora para medir t2 e t3; - usar o tempo de reação de termo ou o tempo de reação da STA Iniciadora e o símbolo R como o tempo que a STA Iniciadora leva logo após o último símbolo do quadro de FTM físico (isto é, o último símbolo da verificação CRC) para chegar ao seu conector de antena de recepção até o TOD do quadro de ACK enviado em resposta ao quadro de FTM. Como enviar um quadro de ACK é uma ação razoavelmente simples, ela é provavelmente feita em hardware e pode, portanto, ser constante.

[055] A cláusula 11.24.5 de [802.11] especifica o procedimento de medição de temporização (TM). Existem algumas diferenças entre o procedimento de FTM, sendo que a mais notável é a melhor resolução dos carimbos de data e hora, que, em princípio, permitem uma medição de distância mais precisa. As modalidades abaixo podem ser usadas da mesma maneira para a TM, conforme descrito aqui para a FTM.

[056] Um exemplo adicional de um sistema de medição de distância similar à FTM é descrito no documento US8762727B2. A diferença é que a STA Iniciadora é chamada de nó de origem, a STA Respondedora é chamada de nó de destino e que o nó de origem mede t1 e t4 e o nó de destino mede t2 e t3 e os envia para o nó de origem.

[057] Um exemplo adicional de um sistema de medição de distância é descrito no 3GPP, chamado de diferença de instante de chegada observada (OTDOA - “Observed Time Difference Of Arrival”) (vide [OTDOA]), que é um recurso de posicionamento introduzido na Release 9 E-UTRA (rádio LTE) (vide referências [36.nnn]) conforme elucidado abaixo. É um método de multilateração no qual o equipamento de usuário (UE) mede a diferença de tempo entre alguns sinais específicos, sinais de referência de posicionamento – PRS, provenientes de vários eNodeBs (por exemplo, estações-base) e relata essas diferenças de tempo para um dispositivo específico na rede, o servidor de localização (E-SMLC - “Evolved Serving Mobile Location Center”, ou centro evoluído de localização de estações servidoras móveis). Com base nessas diferenças de tempo e conhecimento das localizações dos eNodeBs, o E-SMLC calcula a posição dos UEs. A descrição do LPP (protocolo de posicionamento LTE) pode ser encontrada na especificação [36.355]. Os detalhes exatos dos sinais PRS podem ser encontrados na seção 6.10.4 de [36.211], e um procedimento simples de OTDOA pode ser encontrado nas descrições de casos de teste RAN5 OTDOA na seção 9 da especificação [37.571-1]. Assim como as medições de localização em Wi-Fi, o dispositivo móvel pode fraudar esses relatórios OTDOA para aparecer para a rede em qualquer lugar desejado. As modalidades abaixo podem ser usadas para proteção contra esse tipo de fraude. Um outro termo para as mesmas medições a serem feitas na OTDOA pelo UE é a diferença de tempo de sinal de referência (RSTD - “Reference Signal Time Difference”). Os requisitos de exatidão da medição de RSTD são especificados em [36.133].

[058] Um exemplo adicional de medição de distância no 3GPP baseia-se em instantes de chegada de mensagens com referência a uma grade de tempo, e é chamado de ID de célula aprimorada ou E-CID. Os métodos baseados em ID de célula já eram possíveis antes da Release 9. A ID de célula aprimorada agrega algumas medições já disponíveis, algumas delas com requisitos de precisão aumentada para melhorar as capacidades de precisão de posicionamento. A ID de célula aprimorada, E-CellID ou E-CID é um recurso de posicionamento introduzido na Release 9 E-UTRA (rádio LTE). O UE relata à rede (através da célula servidora ou eNodeB para o servidor de localização, o centro evoluído de localização de estações servidoras móveis – E- SMLC - “Evolved Serving Mobile Location Center”) a ID de célula servidora, o avanço de temporização (diferença entre o instante de transmissão e de recepção) com a célula servidora, a potência recebida do sinal de referência (de banda estreita) (RSRP/NRSRP), a qualidade recebida do sinal de referência (de banda estreita) (RSRQ/RSRQ). A RSRP/NRSRP e a RSRQ/RSRQ podem ser medidas e relatadas a partir de qualquer célula vizinha, enquanto o avanço de temporização é medido apenas para a célula primária (célula servidora). A célula servidora ou eNodeB pode relatar informações extras ao E-SMLC, como o ângulo de chegada. O E-SMLC estima a posição do UE com base nessas informações e seu conhecimento das posições das células.

[059] A medição do avanço de temporização é feita da seguinte forma. Em sistemas LTE ou GSM, uma célula envia uma grade de frequência-tempo de oportunidades de envio ou recepção com um tempo fixo. Para LTE, as frequências individuais são as frequências das subportadoras de OFDM e estão geralmente separadas por uma diferença de 15 kHz. O domínio do tempo consiste em quadros sucessivos de 10 ms, com cada quadro consistindo em dez subquadros e cada subquadro consistindo em dois intervalos de 0,5 ms. Essa grade de frequência-tempo é mantida com uma temporização muito estrita pela célula. Para elementos da grade individuais, a célula pode estar transmitindo para todos os dispositivos móveis na faixa (radiodifusão) ou para um dispositivo específico. Em alguns dos elementos de grade (uma frequência, uma combinação de frequência-subquadro ou, às vezes, uma combinação de frequência- intervalo), a célula estará sempre transmitindo, conforme definido nas especificações 3GPP. Esses elementos de grade são, dessa forma, idealmente adequados para transmitir informações do sistema aos dispositivos móveis na célula, como o propósito de cada um dos elementos de grade que pode ser usado com flexibilidade. Em cada um dos outros elementos de grade, para que os elementos possam ser usados de modo mais flexível, a célula pode estar transmitindo por difusão para todos os dispositivos móveis na faixa, ela pode estar transmitindo para um dispositivo móvel específico ou ela pode ter dado uma permissão específica de dispositivo móvel para transmitir à célula ou a um outro dispositivo móvel na célula.

[060] Devido ao fato de que leva tempo para as ondas de RF se deslocarem da célula a um dispositivo móvel (cerca de 300 metros por microssegundo), a grade parecerá estar atrasada para um dispositivo móvel por esse tempo de percurso. Suponha que esse tempo de percurso seja t segundos. Quando o dispositivo móvel começa a transmitir exatamente a partir do início do subquadro no qual ele tem permissão para transmitir, ele começa a transmitir t segundos depois do início do subquadro na célula. Novamente, são necessários t segundos para o sinal transmitido pelo dispositivo móvel chegar à célula. Portanto, a célula recebe uma transmissão do dispositivo móvel que não começa exatamente no início do subquadro atribuído a ela, mas 2t segundos mais tarde. Mediante a medição desse atraso, a célula pode determinar a distância até o dispositivo móvel.

[061] Se um dispositivo móvel estiver distante da célula, o fim de sua transmissão em um subquadro pode chegar mais tarde que o início do próximo subquadro, causando assim interferência. Para superar esse problema, uma célula pode pedir que um dispositivo móvel use uma certa quantidade de avanço de temporização, codificado no assim chamado valor de TA em um comando de avanço de temporização endereçado ao dispositivo móvel específico. O dispositivo móvel inicia, então, seu TA (avanço de temporização) de transmissão antes do início do subquadro, conforme determinado pelo dispositivo móvel. O valor máximo possível para avanço de temporização é de 0,67 ms, correspondendo a uma distância entre o dispositivo móvel e a célula ligeiramente maior que 100 km. As especificações técnicas 3GPP TS 36.321 [36.321], seção 6.1.3.5 “Timing Advance Command MAC Control Element”, descrevem os procedimentos de ajuste do valor de TA para LTE.

[062] Um dispositivo móvel que quer parecer estar a uma distância diferente pode iniciar sua transmissão mais cedo do que deveria com base na grade de frequência-tempo e no valor de TA que recebeu da célula quando ele quer parecer estar mais próximo da célula, ou iniciar a transmissão mais tarde do que deveria quando ele quer parecer estar mais distante da célula do que na realidade.

[063] Uma medição de distância exata e correta é importante em várias aplicações. Por exemplo, quando a FTM de Wi-Fi é usada para medir por Wi-Fi a distância de um carro até a chave eletrônica, de modo que o carro possa decidir abrir suas portas quando a distância medida for menor que, por exemplo, 5 metros, é importante que a distância real até a chave eletrônica seja, de fato, menor que 5 metros. Um outro exemplo pode ser um dispositivo com permissão para transferir por “streaming” conteúdo com direitos de cópia para outro dispositivo apenas se o outro dispositivo não estiver mais distante do que uma certa distância. Uma medição de distância exata e correta pode ser usada também para evitar ataques de intermediários (“man-in-the-middle”) durante a configuração de um canal autenticado seguro. Isso é explicado nos próximos parágrafos.

[064] Quando dois dispositivos precisam proteger sua comunicação com ou sem fio, eles podem criptografar a comunicação. Entretanto, isso exige que ambos os dispositivos sem fio conheçam a mesma chave. A técnica Diffie-Hellman [DH] é uma técnica bem conhecida para estabelecer uma chave secreta entre duas partes, sendo que a comunicação entre as partes para estabelecer a chave secreta não revela nenhuma informação a terceiros sobre a chave secreta estabelecida. Cada uma das duas partes usa seu próprio par de chaves pública/privada e troca entre si a chave pública. Cada parte pode calcular a chave secreta com o uso de sua própria chave privada e da chave pública da outra parte e, possivelmente, algumas outras informações, por exemplo,

um nonce (número aleatório) de cada parte. Cada parte pode gerar um novo par de chaves cada vez que executar a técnica Diffie-Hellman ou pode reutilizar um par de chaves mais antigo.

[065] Ao executar a técnica Diffie-Hellman através de uma rede, um dispositivo que recebe uma chave pública para executar a técnica Diffie-Hellman não sabe a partir de qual dispositivo essa chave pública foi recebida. Isso pode ser explorado por um invasor em um assim chamado ataque intermediário. Um invasor E poderia se disfarçar como o verdadeiro dispositivo B com o qual o dispositivo A deseja se conectar. O invasor E executa a técnica Diffie-Hellman como o dispositivo A e estabelece uma chave secreta “Kae” com o dispositivo A. De modo similar, o invasor se disfarça como o dispositivo A para o dispositivo B e estabelece uma chave secreta “Kbe” com o dispositivo B. Quando uma mensagem vem de um dos dispositivos A ou B, o invasor descriptografa a mensagem com a uma chave secreta, a criptografa com a outra e a encaminha para o outro dispositivo. Dessa forma, os dispositivos A e B não notam nada de estranho em sua comunicação, exceto por algum atraso adicional. Quando verificam sua comunicação enviando a mesma informação com o uso de outra forma de comunicação e comparando os resultados, não notarão nenhuma violação em sua comunicação. Mas o invasor tem pleno conhecimento sobre o que eles estão comunicando.

[066] No protocolo de provisionamento de dispositivo [DPP], uma primeira etapa é executar a inicialização de DPP, isto é, um procedimento para obter confiança na chave pública de inicialização do outro dispositivo e que não seja a chave pública de um dispositivo intermediário. Um dos métodos de inicialização é fazer a varredura de um código QR contendo a chave pública de inicialização do outro dispositivo, disposto ou impresso no outro dispositivo. O outro dispositivo pode também fazer a varredura do código QR do primeiro dispositivo (autenticação mútua). Depois disso, a chave (ou chaves) de inicialização é usada no protocolo de autenticação de DPP, onde é verificado se o outro dispositivo também possui a chave privada pertencente à chave pública de inicialização. Se as chaves públicas de inicialização no DPP tiverem sido trocadas por

Wi-Fi (qualquer forma de Wi-Fi, por exemplo, Neighbor Awareness Networking [NAN]), elas não podem ser confiáveis uma vez que podem ter sido enviadas por qualquer dispositivo dentro da faixa de RF. Continuando com o DPP, o protocolo de autenticação de DPP levaria ao estabelecimento de uma chave compartilhada comum Ke, mas o dispositivo não sabe se está compartilhando essa chave com o dispositivo pretendido ou com um dispositivo intermediário. De modo similar, quando se usa a Criptografia Sem Fio Oportunista [OWE - “Opportunistic Wireless Encryption”], as chaves públicas são trocadas via Wi-Fi e com o uso da técnica Diffie-Hellman, uma chave compartilhada comum é estabelecida para a criptografia das comunicações subsequentes entre os dois dispositivos.

[067] Entretanto, uma maneira de limitar a probabilidade de se ter configurado uma chave compartilhada comum com um dispositivo intermediário é que os dispositivos medem a distância até o outro dispositivo e se ela for menor que uma certa distância, conforme determinado por uma regra no dispositivo ou por seu usuário, por exemplo, alguns metros, os dispositivos confiam na chave pública recebida do outro dispositivo. O usuário saberá, nesse caso, que o dispositivo que enviou a chave pública via Wi-Fi, isto é, o dispositivo pretendido ou um dispositivo intermediário, está a uma distância menor que o limite estabelecido. O usuário pode, então, julgar se há quaisquer outros dispositivos nessa faixa além do dispositivo pretendido.

[068] Limitar a probabilidade de ter sido configurada uma chave compartilhada comum com um dispositivo intermediário usando uma medição de distância pode ser feito primeiramente pela troca de chaves públicas via Wi-Fi e, então, calculando-se uma chave de sessão compartilhada, por exemplo, por OWE ou pela parte do Protocolo de Autenticação de DPP do DPP (onde a inicialização do DPP é feita via Wi-Fi, por exemplo Wi-Fi Aware) e mediante a execução subsequente do procedimento de FTM utilizando quadros de FTM_X criptografados com o uso da chave de sessão compartilhada determinada por Criptografia Sem Fio Oportunista [OWE] ou DPP ou algum outro método, ou ao menos criptografar os campos contendo os valores de t1 e t4 nos quadros de

FTM_X. Se a distância medida dessa forma até a STA Solicitadora for menor que x metros, a STA Iniciadora pode confiar na chave pública recebida e pode prosseguir para se comunicar adicionalmente com o outro dispositivo usando a chave de sessão acordada. No caso do DPP, a comunicação adicional seria o protocolo de Configuração de DPP. No caso da OWE, seria uma conexão WAN criptografada entre o AP e a STA. A STA Iniciadora poderia também perguntar ao usuário se ele está certo de que há apenas um dispositivo Wi-Fi dentro da distância medida até a STA Respondedora e, em caso afirmativo, a STA Iniciadora prossegue utilizando a chave de sessão compartilhada.

[069] Conforme explicado acima, uma STA Respondedora pode ter uma razão para fazer com que a STA Iniciadora acredite que ela está a uma distância diferente do que realmente está. Em particular, a STA Respondedora pode fazer a STA Iniciadora acreditar que ela está mais próxima do que realmente está diminuindo os valores de t4_X e/ou aumentando os valores de t1_x. Isso fica prontamente evidente a partir da equação (11-5) de [802.11]. RTT = [(t4_X – t1_X) – (t3_X – t2_X)] (3) A distância entre os dois dispositivos é d = c * RTT / 2 (4) onde c é a velocidade da luz (cerca de 3*10^8 m/s). Se todas as medições tiverem sido feitas e relatadas com precisão, o valor d calculado corresponderá à distância real d dentro da precisão da medição.

[070] Para diminuir a distância medida pela STA Iniciadora em 1 metro, a STA Respondedora precisa diminuir a diferença de t4_Z e t1_X de seus valores medidos em cerca de: delta_t = 2 * 1 m / 3*10^8 m/s = 2 * 3,33*10^-9 s = 6,66 ns (5)

[071] Entretanto, a STA Respondedora precisa ter cuidado para não diminuir demais a diferença de t4_X e t1_X a partir de seus valores medidos ao relatá-los à STA Iniciadora, porque a STA Iniciadora medirá, então, um RTT negativo. A STA Iniciadora medirá um tempo de ida e volta de 0 quando a diferença dos valores de t4_Z e t1_X relatados for igual ao tempo de reação da STA Iniciadora, isto é, a diferença entre t3_X e t2_X. Portanto, para que a fraude seja bem-sucedida é importante que a STA Respondedora conheça a diferença em t3_X e t2_X da STA Iniciadora.

[072] Conforme explicado acima, a diferença em t3_X e t2_X da STA Iniciadora consiste em duas partes: o comprimento do quadro de PHY de FTM enviado (Lftm) e o tempo de reação R. A STA Respondedora enviou o próprio quadro de FTM, portanto, conhece seu comprimento no tempo Lftm. O tempo de reação R pode ser conhecido pela STA Respondedora em uma variedade de formas.

[073] Presume-se que o dispositivo fraudulento conheça de alguma forma a distância real até a STA Iniciadora e possa, portanto, adulterar precisamente a distância que a STA Iniciadora medirá, adaptando os t1 e t4 relatados. Assim, o problema de fazer medições com o uso de FTM conforme descrito acima é que uma STA Respondedora maliciosa pode manipular seus instantes de chegada relatados t1 e t4 de modo que ela possa parecer estar mais perto ou mais longe da STA Iniciadora do que realmente está.

[074] Para evitar que uma distância seja fraudada com sucesso, um dispositivo iniciador pode envolver um ou mais dispositivos cooperantes que estão em uma posição conhecida em relação ao dispositivo iniciador. O dispositivo iniciador e o um ou mais dispositivos cooperantes empregam uma antena de recepção direcional para que sejam capazes de medir a direção de um sinal de RF de entrada em relação a um sistema de coordenadas que está associado pelo menos à orientação um em relação ao outro. Neste documento, essa associação é chamada de compartilhamento de uma direção de conexão. A direção de conexão é indicativa de uma direção de uma linha que conecta o dispositivo iniciador e o dispositivo cooperante.

[075] Os dispositivos cooperantes podem empregar relógios sincronizados com aquele no dispositivo iniciador, ou podem compartilhar alguma outra referência de tempo. Os dispositivos cooperantes medem os instantes de chegada das mensagens de medição independentemente e os relatam ao dispositivo iniciador. O dispositivo iniciador usa propriedades de triângulos para verificar e detectar medições do instante de chegada manipuladas por um dispositivo respondedor fraudulento. Para sistemas baseados em 3GPP, o dispositivo iniciador e o um ou mais dispositivos cooperantes podem ser incorporados por estações-base, e o dispositivo respondedor é incorporado por um equipamento de usuário (UE).

[076] Com o aumento da confiabilidade de uma medição baseada em distância, ela se torna uma ferramenta viável para serviços baseados em proximidade confiáveis. Alguns casos de usos exemplificadores são: - Se você se conectar a um teclado sem fio próximo, a um dispositivo de armazenamento sem fio próximo, a um sensor próximo ou a uma webcam sem fio próxima, é importante ter certeza de que você se conecta ao dispositivo correto, e não a algum dispositivo intermediário que quer monitorar, copiar ou rastrear o que você está fazendo. - Se você se encontrar com um amigo e quiser ligar para o celular dele do seu celular para trocar algumas imagens, você quer ter certeza de que se conecta ao telefone do seu amigo e não a um dispositivo intermediário. - Se em uma casa ou uma loja você quiser ligar automaticamente alguns dispositivos, abrir uma porta ou permitir que uma pessoa estabeleça ligação a algum serviço com o seu dispositivo móvel quando em estreita proximidade, então você quer ter certeza de que a localização daquele dispositivo móvel está correta e que não é um dispositivo fictício que declara que está próximo. - Se em uma loja você quiser iniciar uma transação, por exemplo quando estiver perto da caixa registradora, então você quer ter certeza de que não está sendo vítima de um “ataque de phishing”, por meio do qual um utilizador desavisado pode se conectar a um dispositivo de phishing localizado mais longe, em vez de a um serviço oficial prestado pela loja.

[077] A Figura 1 mostra dispositivos para comunicação sem fio e medição de distância. Uma constelação espacial 100 de dispositivos para comunicação sem fio compreende um primeiro dispositivo 110 e um segundo dispositivo 120, sendo que os dispositivos estão fisicamente separados por uma distância 151. O primeiro dispositivo tem um primeiro transceptor 111 para transmitir e receber mensagens e um primeiro processador de mensagem 112. O segundo dispositivo tem um receptor sem fio 121, ou um segundo transceptor, e um segundo processador de mensagem 122. Além disso, o terceiro dispositivo tem um terceiro transceptor 131 e um terceiro processador de mensagem 132. Os dispositivos são equipados para comunicação sem fio através das antenas direcionais 113,123,133 conectadas aos transceptores 111,121,131.

[078] Os dispositivos são dispostos para medição de distância através de comunicação sem fio, de acordo com um protocolo de faixa entre o primeiro dispositivo e o segundo dispositivo para determinar uma distância entre o primeiro dispositivo e o segundo dispositivo, conforme detalhado adicionalmente abaixo. A comunicação sem fio inclui um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo. O protocolo pode incluir transmitir uma mensagem de medição pelo segundo dispositivo. Nos exemplos, a comunicação sem fio e o protocolo de faixa são de acordo com o padrão [802.11], mas outros protocolos sem fio, como Bluetooth, também podem ser usados quando se fornece um protocolo de faixa adequado baseado em medição do instante de chegada.

[079] O primeiro processador de mensagem 112 é disposto para processar as mensagens de acordo com o protocolo de faixa e determinar um primeiro instante de chegada da mensagem de medição no primeiro dispositivo e determinar uma primeira distância 151 entre o primeiro dispositivo e o segundo dispositivo com base no primeiro instante de chegada. Além disso, o primeiro processador de mensagem é disposto para se comunicar com o terceiro dispositivo 130. O terceiro dispositivo age como um dispositivo cooperante e está situado a uma distância confiável 150 do primeiro dispositivo. Além disso, o dispositivo cooperante compartilha uma direção de conexão 160 com o primeiro dispositivo, sendo que essa direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante. “Compartilhar” aqui significa que tanto o primeiro como o terceiro dispositivos conhecem essa direção de conexão como uma direção de referência que pode ser usada para determinar os ângulos em um sistema de coordenadas que está disponível para ambos os dispositivos. A distância confiável e a direção de conexão podem ser predeterminadas ou podem ser medidas separadamente ou podem ser inseridas por um usuário. A distância confiável e a direção de conexão são conhecidas pelo primeiro dispositivo e tidas como sendo confiáveis. Opcionalmente, o primeiro processador de mensagem é disposto para determinar a distância confiável de acordo com o protocolo de faixa executado com o terceiro dispositivo. Antes das medições reais até o segundo dispositivo, a distância confiável pode ser determinada com o uso do mesmo ou de outro protocolo de faixa. Além disso, o primeiro processador de mensagem pode ser disposto para determinar a direção de conexão 160 com o uso da primeira antena direcional 113.

[080] Um terceiro dispositivo coopera para determinar uma terceira direção ao receber a dita mesma mensagem de medição no terceiro dispositivo. No terceiro dispositivo, também chamado de dispositivo cooperante, o terceiro processador de mensagem 132 é disposto para determinar a dita terceira direção e para transferir dados de suporte para o primeiro dispositivo, sendo que os dados de suporte são baseados na terceira direção. Por exemplo, os dados de suporte podem compreender dados de terceira direção em relação a uma direção de referência, a direção de conexão 160 ou uma grade direcional absoluta, ou em relação a alguma outra direção determinada durante o recebimento de uma mensagem adicional também recebida pelo primeiro dispositivo. Alternativa ou adicionalmente, os dados de suporte podem compreender dados de terceiro ângulo, sendo que o terceiro dispositivo é capaz de determinar um terceiro ângulo 163 entre a terceira direção e a direção de conexão.

[081] O primeiro processador de mensagem é disposto para avaliar a distância determinada, determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo e determinar um primeiro ângulo 161 entre a primeira direção e a direção de conexão e receber os dados de suporte a partir do dispositivo cooperante. Após receber os dados de suporte, o processador obtém o terceiro ângulo

163 entre a terceira direção e a direção de conexão com o uso dos dados de suporte. Subsequentemente, um teste de verificação é realizado na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo. O teste de verificação pode aceitar a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante. Por exemplo, o teste de verificação inclui uma verificação da lei dos cossenos ou uma verificação de desigualdades de triângulos na constelação espacial viável, conforme adicionalmente elucidado abaixo. A verificação visa provar se uma constelação espacial real de um triângulo pode ter os respectivos ângulos e comprimentos dos lados de acordo com os ângulos e as distâncias determinados.

[082] O protocolo de faixa pode incluir a troca de mensagens que são criptograficamente protegidas com base em dados de chave. Opcionalmente, o primeiro processador de mensagem é disposto para compartilhar os dados de chave com o dispositivo cooperante para habilitar o terceiro processador de mensagem a processar criptograficamente as mensagens de acordo com o protocolo de faixa. A criptografia de mensagens entre o primeiro e o terceiro dispositivos de acordo com um protocolo de comunicação sem fio, conhecido como tal, protege tais mensagens que estão sendo adulteradas pelo segundo dispositivo potencialmente malicioso.

[083] Opcionalmente, o dispositivo pode ter uma unidade de relógio para fornecer uma referência de tempo para determinar os ditos instantes de chegada. O primeiro processador de mensagem pode ser disposto para sincronizar a referência de tempo com uma unidade de relógio correspondente no dispositivo cooperante, por exemplo, sincronizada com o protocolo de [802.1AS]. Eficazmente, uma referência de tempo pode ser compartilhada entre o primeiro e o terceiro dispositivos. O terceiro instante de chegada pode ser determinado em relação à referência de tempo, o que possibilita que os dados de suporte incluam o terceiro instante de chegada assim determinado e possa ser usado como tal pelo primeiro dispositivo.

[084] Opcionalmente, o terceiro processador de mensagem 132 é disposto para determinar um terceiro instante de chegada da mensagem de medição no terceiro dispositivo, sendo que os dados de suporte também são baseados no terceiro instante de chegada. O primeiro processador de mensagem 112 é disposto para obter uma terceira distância 153 entre o terceiro dispositivo e o segundo dispositivo usando os dados de suporte referentes ao terceiro instante de chegada e executando o teste de verificação usando também a terceira distância. Alternativa ou adicionalmente, os dados de suporte podem compreender dados de terceira distância. Para esse efeito, o terceiro dispositivo pode ser capaz de determinar os dados de terceiro instante de chegada ou a terceira distância entre o terceiro dispositivo e o segundo dispositivo, por exemplo, utilizando mensagens recebidas adicionais e a distância confiável.

[085] A seguir, será descrito como e até que ponto a adição de uma ou mais STAs Cooperantes pode ajudar a detectar que as STAs Respondedoras querem parecer mais próximas da STA Iniciadora do que estão na realidade. As suposições a seguir podem ser aplicadas: • a STA Respondedora sabe como ajustar as medições que ela relata à STA Iniciadora para parecer estar a qualquer distância até a STA Iniciadora; • a STA Iniciadora e a(s) STA(s) Cooperante(s) podem ter seus relógios com os quais medem os instantes de chegada e de partida de quadros físicos sincronizados com o protocolo 802.1AS [802.1AS], ou se comunicar de outro modo em que a STA Iniciadora saiba quais medições da(s) STA(s) Respondedora(s) se combinam com suas próprias medições; • a STA Iniciadora e a(s) STA(s) Cooperante(s) compartilham informações necessárias para a(s) STA(s) Cooperante(s) de modo que as STAs Cooperantes possam receber, identificar e, se necessário, descriptografar as mensagens de FTM(,) provenientes da STA Respondedora, para que a(s) STA(s) Cooperante(s) possa(m) detectar a direção ou ângulo de chegada das mensagens de FTM(,) provenientes da STA Respondedora e relatar a direção ou o ângulo à STA

Iniciadora, para que a STA Iniciadora possa combinar essas direções ou ângulos relatados com suas próprias medições nas mesmas mensagens; • as medições de FTM podem ser realizadas mais de uma vez e pode-se calcular a média dos tempos medidos e relatados t1, t2, t3 e t4 de todas as STAs, primeiramente antes de serem usadas em cálculos de distância e localização, de modo que a exatidão da medição seja boa o suficiente para se obter resultados confiáveis.

[086] A seguir, é descrita uma boa defesa contra um forte ataque para STAs que podem fazer medições de temporização. Em tal defesa, uma STA Iniciadora opera juntamente com uma ou mais STAs Cooperantes, e aplica uma desigualdade de triângulos conforme mostrado e, no caso de duas ou mais STAs Cooperantes, aplica verificações de discrepância nas posições calculadas. Os exemplos detalhados são dados com o uso do protocolo de FTM de [802.11]. Entretanto, ela funciona da mesma forma que com a tecnologia de medição de faixa com o uso de Wi-Fi, Bluetooth ou qualquer outra tecnologia sem fio (também óptica), onde um dispositivo relata a um outro dispositivo o instante de chegada, o instante de partida de mensagens de protocolo ou a diferença entre os mesmos.

[087] Os exemplos discutidos abaixo com referência às Figuras 2, 3 e 4 concentram-se nas distâncias medidas. Além disso, os ângulos podem ser determinados conforme discutido acima com referência à Figura 1. Em modalidades práticas do teste de verificação, tanto os ângulos determinados como as distâncias podem ser verificados com o uso das propriedades geométricas das constelações espaciais viáveis dos dispositivos participantes, como triângulos. Os exemplos abaixo se baseiam em triângulos e na desigualdade de triângulos. Os exemplos com referência às Figuras 5 e 6 discutem o uso de ângulos determinados em um teste de verificação

[088] A Figura 2 mostra uma constelação espacial de um dispositivo para comunicação sem fio e um dispositivo cooperante. A constelação 200 inclui um primeiro dispositivo 210, chamado de STA Iniciadora, um segundo dispositivo 220, chamado de

STA Respondedora, e um terceiro dispositivo 230, chamado de STA Cooperante, similares aos dispositivos descritos com referência à Figura 1. Uma primeira distância d1_c é determinada entre o primeiro dispositivo 210 e o segundo dispositivo 220, que estão a uma distância real d1 (ou d). Uma terceira distância d2_c é determinada entre o terceiro dispositivo 230 e o segundo dispositivo 220, que estão a uma distância real d2. Uma distância confiável L está entre o primeiro dispositivo 210 e o terceiro dispositivo

230.

[089] No exemplo, a distância real da STA Respondedora fraudulenta até a STA Iniciadora é d, que também é a distância da STA Respondedora fraudulenta até a STA Cooperante. A STA Iniciadora realiza a medição de distância até a STA Respondedora fraudulenta usando qualquer um dos métodos descritos acima. No restante, presume- se o protocolo de FTM.

[090] Para cada medição de distância, a STA Iniciadora pergunta à STA Cooperante o que ela mediu como o instante de chegada t2_X do quadro de FTM(t1_X, t4_X) físico que a STA Respondedora fraudulenta enviou. Distâncias com o índice “_c” são as distâncias correspondentes calculadas por um dispositivo.

[091] A STA Iniciadora então calcula a distância d como de costume: RTT = [(t4_X – t1_X) – (t3_X – t2_X)] (6) A distância entre os dois dispositivos é d1_c = c * RTT / 2 = c * [(t4_X – t1_X) – (t3_X – t2_X)] / 2 (7) onde c é a velocidade da luz (cerca de 3*10^8 m/s). Se todas as medições tiverem sido feitas e relatadas com precisão, o valor d1_c calculado corresponderá à distância real d dentro da precisão da medição.

[092] Suponha que a STA Respondedora fraudulenta queira que a STA Iniciadora pense que ela está a uma distância falsa f em vez de d. A STA Respondedora fraudulenta mediu t4_X e t1_X. Para essa finalidade, a STA Respondedora altera os valores de t4_r_X e t1_r_X que ela relata, de modo que sua diferença seja 2 * (d – f) / c, menor que a diferença de t4_X e t1_X realmente medidos.

Portanto, os tempos em que a STA Respondedora fraudulenta relata à STA Iniciadora são: (t4_r_X, t1_r_X) = (t4_X – (1 – α)*(2*(d – f) / c), t1_X + α*(2*(d – f) / c)) (8) onde α pode ser escolhido livremente.

[093] Usando os tempos (t4_r_X, t1_r_X) conforme relatados pela STA Respondedora, a STA Iniciadora pode calcular a distância d1_c entre a STA Respondedora e ela própria como: d1_c = c * RTT / 2 = c * [(t4_X – (1 – α)*(2*(d – f) / c) – (t1_X + α* (2*(d – f) / c))) – (t3_X – t2_X)] / 2 = c * [(t4_X – t1_X) – (t3_X – t2_X) – (2*(d – f) / c)] / 2 = c * [(t4_X – t1_X) – (t3_X – t2_X)] / 2 – c * (2*(d – f) / c) / 2 = d – (d – f) = f (9)

[094] Essa distância calculada é, de fato, o que a STA Respondedora fraudulenta queria que a STA Iniciadora calculasse.

[095] Usando os tempos (t4_r_X, t1_r_X) conforme relatados pela STA Respondedora e o tempo t2c_X obtido da STA Cooperante, a STA Iniciadora pode calcular a distância d2_c entre a STA Respondedora e a STA Cooperante como: d2_c = d1_c + c * (t2c_X – t2_X) (10)

[096] Para qualquer triângulo com lados A, B e C, a seguinte desigualdade (desigualdade de triângulos) deve ser considerada: |C| ≤ |A| + |B| (11)

[097] Portanto, na constelação da Figura 2, as duas desigualdades a seguir precisam ser verdadeiras para as distâncias reais, bem como para as distâncias conforme medidas pela STA Iniciadora: L ≤ d1 + d2 (12) L ≤ 2 * d1 + c * (t2c_X – t2_X) (13)

[098] A STA Iniciadora pode verificar se as duas desigualdades acima se mantêm para as distâncias d1_c e d2_c medidas. L ≤ d1_c + d2_c (14) L ≤ d1_c + d1_c + c * (t2c_X – t2_X) (15) L ≤ 2 * f + c * (t2c_X – t2_X) (16)

[099] Na constelação da Figura 2, d1 e d2 são iguais, então t2c_X e t2_X são iguais. Isso significa que a desigualdade (16) deixará de ser válida se a STA Respondedora fraudulenta escolher f da seguinte forma: f < L / 2 (17)

[100] Isso significa que na constelação da Figura 2, a STA Iniciadora pode detectar que a STA Respondedora fraudou suas medições de modo que ela queira parecer mais próxima do que L / 2 da STA Iniciadora.

[101] A Figura 3 mostra uma constelação espacial de dois dispositivos para comunicação sem fio. A constelação 300 inclui um primeiro dispositivo 310, chamado de STA Iniciadora, um segundo dispositivo 320, chamado de STA Respondedora, e um terceiro dispositivo 330, chamado de STA Cooperante, similares aos dispositivos descritos com referência à Figura 1. Uma primeira distância d1_c é determinada entre o primeiro dispositivo 310 e o segundo dispositivo 320, que estão a uma distância real d1 (ou d). Uma terceira distância d2_c é determinada entre o terceiro dispositivo 330 e o segundo dispositivo 320, que estão a uma distância real d2. Uma distância confiável L está entre o primeiro dispositivo 310 e o terceiro dispositivo 330.

[102] No exemplo, a STA Iniciadora medirá f como a distância até a STA Respondedora fraudulenta e determinará f – L como a distância entre a STA Cooperante e a STA Respondedora fraudulenta. A desigualdade (14) será agora: L ≤ d1_c + d2_c (18) L ≤ 2 * f – L (19) L ≤ f (20)

que se mantém apenas se f for maior que ou igual a L. Portanto, a defesa proposta realmente funciona para a constelação na Figura 3, e a STA Iniciadora pode detectar que a STA Respondedora fraudou suas medições de modo que ela queira parecer mais próxima do que L da STA Iniciadora.

[103] A Figura 4 mostra uma constelação espacial adicional de dois dispositivos para comunicação sem fio. A constelação 400 inclui um primeiro dispositivo 410, chamado de STA Iniciadora, um segundo dispositivo 420, chamado de STA Respondedora, e um terceiro dispositivo 430, chamado de STA Cooperante, similares aos dispositivos descritos com referência à Figura 1. Uma primeira distância d1_c é determinada entre o primeiro dispositivo 410 e o segundo dispositivo 420, que estão a uma distância real d1 (ou d). Uma terceira distância d2_c é determinada entre o terceiro dispositivo 430 e o segundo dispositivo 420, que estão a uma distância real d2. Uma distância confiável L está entre o primeiro dispositivo 410 e o terceiro dispositivo 430.

[104] No exemplo, a lei dos cossenos é usada. d2 é calculado como: d22 = d12 + L2 – 2 * d1 * L * cos(φ) (21) Relacionando d1 e L usando α da seguinte forma: d1 = α * L (22) obtemos: d2 = raiz quadrada((α * L)2 + L2 – 2 * α * L * L * cos(φ)) = L * raiz quadrada(α2 + 1 – 2 * α * cos(φ)) (23)

[105] Entretanto, a STA Respondedora fraudulenta altera as informações que envia para a STA Iniciadora de modo que as distâncias d1_c e d2_c que a STA Iniciadora medirá se tornarão: d1_c = d1 – (d1 – f) (24) d2_c = d2 – (d1 – f) (25)

[106] A STA Iniciadora verifica se a desigualdade (14) se mantém para as distâncias que ela mediu: L ≤ d1_c + d2_c (26)

L ≤ f + L * raiz quadrada(α2 + 1 – 2 * α * cos(φ)) – α * L + f (27) L ≤ 2 * f + L * {raiz quadrada(α2 + 1 – 2 * α * cos(φ)) – α} (28) f ≥ 0,5 * L * {1 + α – raiz quadrada(α2 + 1 – 2 * α * cos(φ))} (29)

[107] Portanto, a STA Iniciadora detectará uma STA Respondedora que frauda suas medições relatadas quando a STA Respondedora escolher f como na desigualdade abaixo. f / L < 0,5 * {1 + α – raiz quadrada(α2 + 1 – 2 * α * cos(φ))} = T1 (30)

[108] A Figura 5 mostra uma constelação espacial indicando ângulos determinados. A constelação 500 inclui um primeiro dispositivo 510, chamado de STA Iniciadora, um segundo dispositivo 520, chamado de STA Respondedora, e um terceiro dispositivo 530, chamado de STA Cooperante, similares aos dispositivos descritos com referência à Figura 1. Uma primeira distância d1_c é determinada entre o primeiro dispositivo 510 e o segundo dispositivo 520, que estão a uma distância real d1 (ou d). Uma terceira distância d2_c é determinada entre o terceiro dispositivo 530 e o segundo dispositivo 520, que estão a uma distância real d2. Uma distância confiável L está entre o primeiro dispositivo 510 e o terceiro dispositivo 530. Uma direção de conexão se dá ao longo de uma linha entre o primeiro e o terceiro dispositivos. Um primeiro ângulo φ1 é determinado entre a direção de conexão e a direção de recepção da mensagem de medição no primeiro dispositivo a partir do segundo dispositivo. Um segundo ângulo φ3 situa-se entre a direção de recepção, a partir do segundo dispositivo, da mensagem no primeiro dispositivo e a direção de recepção da mensagem de medição no terceiro dispositivo. Um terceiro ângulo φ2 situa-se entre a direção de conexão e a direção de recepção da mensagem de medição no terceiro dispositivo a partir do segundo dispositivo.

[109] A distância real da STA Respondedora até a STA Iniciadora é d. A STA Iniciadora realiza a medição de distância até a STA Respondedora usando qualquer um dos métodos descritos acima. No restante, presume-se que seja o protocolo de FTM.

[110] A STA Iniciadora calcula a distância d1_c como de costume: RTT = [(t4_X – t1_X) – (t3_X – t2_X)] (31)

A distância entre os dois dispositivos é d1_c = c * RTT / 2 = c * [(t4_X – t1_X) – (t3_X – t2_X)] / 2 (32) onde c é a velocidade da luz (cerca de 3*10^8 m/s). Se todas as medições tiverem sido feitas e relatadas com precisão, o valor d1_c calculado corresponderá à distância real d dentro da precisão da medição.

[111] Suponha que a STA Respondedora fraudulenta queira que a STA Respondedora inicial pense que ela está a uma distância falsa f em vez da distância real d. A STA Respondedora fraudulenta mediu t4_X e t1_X. Para essa finalidade, a STA Respondedora altera os valores de t4_r_X e t1_r_X que ela relata, de modo que sua diferença seja 2 * (d – f) / c, menor que a diferença de t4_X e t1_X realmente medidos. Portanto, os tempos em que a STA Respondedora fraudulenta relata à STA Iniciadora são: (t4_r_X, t1_r_X) = (t4_X – (1 – α)*(2*(d – f) / c), t1_X + α*(2*(d – f) / c)) (33) onde α pode ser escolhido livremente.

[112] Usando os tempos (t4_r_X, t1_r_X) conforme relatados pela STA Respondedora, a STA Iniciadora pode calcular a distância d1_c entre a STA Respondedora e ela própria como: d1_c = c * RTT / 2 = c * [(t4_X – (1 – α)*(2*(d – f) / c) – (t1_X + α*(2*(d – f) / c))) – (t3_X – t2_X)] /2 = c * [(t4_X – t1_X) – (t3_X – t2_X) – (2*(d – f) / c)] / 2 = c * [(t4_X – t1_X) – (t3_X – t2_X)] / 2 – c * (2*(d – f) / c) / 2 = d – (d – f) = f (34)

[113] Essa distância calculada é, de fato, o que a STA Respondedora fraudulenta queria que a STA Iniciadora calculasse.

[114] Para cada medição de distância, a STA Iniciadora pergunta à STA Cooperante o que ela mediu como o ângulo de chegada φ2 do quadro de FTM(t1_X, t4_X) físico que a STA Respondedora fraudulenta enviou. Usando o ângulo de chegada φ2, conforme relatado pela STA Cooperante, o ângulo de chegada φ1 que a própria STA Iniciadora mediu e a lei dos senos, a STA Iniciadora pode calcular a distância d1 entre a STA Respondedora e a própria STA Iniciadora. Primeiro, ela calcula φ3, o ângulo entre a linha da STA Respondedora à STA Iniciadora e a linha da STA Respondedora à STA Cooperante. φ3 = 180 – φ1 – φ2 (35) A lei dos senos para a constelação na Figura 5 é a seguinte: L / sen(φ3) = d2 / sen(φ1) = d1 / sen(φ2) (36)

[115] A STA Iniciadora usa, então, a lei dos senos para calcular a distância d1_a até a STA Respondedora de acordo com os ângulos medidos como: d1_a = L * sen(φ2) / sen(φ3) (37)

[116] Quando a distância d1_c calculada com base nas medições de instante de chegada e de partida difere muito da distância d1_a calculada com base nos ângulos de chegada medidos, a STA Iniciadora descartará as distâncias medidas.

[117] Os erros de medição de temporização e os erros de medição de ângulo podem ser reduzidos executando-se o protocolo de FTM várias vezes e calculando- se a média de t1_X, t2_X, t3_X, t4_X, al φ1_X2 e φ2_X de cada teste X antes de usá-los nas equações (35) a (37).

[118] Quanto menor φ3, maior o erro em d1_a. Para melhores resultados, φ1 deve estar na faixa de [45 a 135] graus e |φ3| não deve ser menor que 45 graus.

[119] Portanto, para detectar STAs Respondedoras fraudulentas a partir de mais direções, duas ou mais STAs Cooperantes devem ser usadas. Por exemplo, com três STAs Cooperantes, por exemplo, na constelação da Figura 6, todas as direções podem ser cobertas.

[120] No caso de a STA Iniciadora descobrir que a distância d1_c calculada com base nas medições de instante de chegada e de partida concorda com a distância d1_a calculada com base nos ângulos de chegada medidos e, assim, não descarta as distâncias medidas, a STA Iniciadora pode combinar d1_c e d1_a para aumentar a precisão (diminuir o erro) da medição de distância entre a STA Iniciadora e a STA Respondedora. Essa distância final mais precisa d1_f entre a STA Iniciadora e a

STA Respondedora pode ser calculada de acordo com a equação (38), onde uma média ponderada de d1_c e d1_a é calculada, com o uso de fatores de peso c e a. Esses fatores de peso podem ser tomados proporcionais à exatidão com a qual são medidos d1_c e d1_a, o que significa que quanto mais precisa for uma medição específica (ou quanto menor o seu erro), maior deverá ser o fator de peso. Se ambos d1_c e d1_a forem medidos com a mesma precisão, os fatores de peso c e a poderão ser considerados iguais, resultando em uma média normal. d1_f = c * d1_c + a * d1_a / (c + a) (81)

[121] A Figura 6 mostra uma constelação de um dispositivo iniciador e três dispositivos cooperantes. A constelação 600 mostra, de uma forma tridimensional esquemática, um primeiro dispositivo 610, chamado de STA Iniciadora, e um terceiro dispositivo 630, chamado de primeira STA1 Cooperante, um dispositivo adicional 631, chamado de segunda STA2 Cooperante, e outro dispositivo 632, chamado de terceira STA3 Cooperante. A figura não mostra um dispositivo respondedor. Os dispositivos são similares aos dispositivos descritos com referência à Figura 1. Na figura, as respectivas distâncias confiáveis entre o dispositivo iniciador e os dispositivos cooperantes foram tornadas iguais conforme indicado por L, enquanto todos os ângulos são de 90°, o que torna os cálculos de distância e de ângulo menos complexos. Entretanto, na prática, as distâncias confiáveis e as direções de conexão podem ser diferentes, enquanto ainda constituem uma disposição tridimensional viável para medições. Os cálculos correspondentes podem ser adaptados para levar em conta as respectivas distâncias confiáveis e direções reais.

[122] Uma direção de conexão está ao longo de uma linha entre o dispositivo iniciador 610 e o primeiro dispositivo cooperante 630. Uma segunda direção de conexão está ao longo de uma linha entre o dispositivo iniciador 610 e o segundo dispositivo cooperante 631. Uma terceira direção de conexão está ao longo de uma linha entre o dispositivo iniciador 610 e o terceiro dispositivo cooperante 632. Ângulos de 90° são indicados entre cada direção de conexão.

[123] O sistema de medição de distância proposto pode ser usado, por exemplo, com o Sistema de Navegação Global por Satélite Assistido (A-GNSS - “Assisted Global Navigation Satellite System”), que é uma técnica pela qual o servidor de localização fornece dados de assistência para habilitar o A-GNSS baseado em UE e o A-GNSS assistido por UE. Os locais medidos com um sistema GNSS podem ser aprimorados com o uso de dados A-GNSS, por exemplo, para compensar erros sistemáticos. O A-GNSS pode também ser usado para fornecer razões de erro específicas de posicionamento do GNSS. O servidor de localização pode fornecer dados de assistência para qualquer tipo de GNSS (por exemplo, GPS, Galileo, GLONASS, BDS, etc.). Para tais métodos de localização, nos quais o próprio dispositivo possivelmente fraudulento mede sua posição e relata a posição medida com uma mensagem, ou o dispositivo possivelmente fraudulento mede outras coisas (por exemplo, pressão barométrica ou intensidade de sinal recebida de várias estações-base, APs Wi-Fi ou sinalizadores Bluetooth, ou tempos de ida e volta para várias estações-base, APs Wi-Fi ou sinalizadores Bluetooth) que são relatadas para um dos dispositivos cooperantes, a posição relatada ou a posição resultante das medições relatadas é comparada com a posição do dispositivo possivelmente fraudulento que pode ser determinada combinando-se as medições de ângulo dos dispositivos cooperantes. A combinação das medições de ângulo para medir uma posição pode, por exemplo, ser feita com o uso da constelação da Figura 6, com base na posição de cada dispositivo cooperante no espaço tridimensional e no ângulo que o mesmo mediu até o dispositivo possivelmente fraudulento, determinando uma linha para cada dispositivo cooperante no espaço tridimensional na qual o dispositivo possivelmente fraudulento está situado. Calculando o ponto de intersecção de cada par possível dessas linhas e, por exemplo, calculando a média desses pontos de intersecção, os dispositivos cooperantes podem medir a posição do dispositivo possivelmente fraudulento com base nos ângulos medidos.

[124] As estações-base no 3GPP transmitem e recebem em uma grade de tempo- frequência dos chamados elementos de recurso. Algumas das posições na grade de tempo-frequência são fixas por um padrão 3GPP e são usadas para transmitir por radiodifusão informações do sistema para todos os UEs na faixa da estação-base, por exemplo, informações de quando e em quais frequências a estação-base enviará algo para um UE específico (enlace descendente), e quando e com quais frequências um UE específico pode enviar algo para a estação-base (enlace ascendente) ou para um outro UE específico (enlace lateral). Quando as estações-base cooperam de acordo com, por exemplo, a constelação da Figura 6, suas grades de tempo-frequência devem ser alinhadas e sincronizadas e cada uma deve tornar disponíveis as mesmas posições de tempo-frequência (elementos de recurso) na grade de modo que todas sejam capazes de medir o ângulo de recepção da mesma mensagem proveniente do mesmo UE.

[125] Assim, o sistema de medição de distância proposto pode ser estendido com o uso de ao menos um dispositivo cooperante adicional. Abaixo são discutidos vários exemplos. Em tal sistema, um quarto dispositivo, que age como um segundo dispositivo cooperante, está situado a uma segunda distância confiável do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma segunda direção de conexão com o primeiro dispositivo, sendo que a segunda direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o segundo dispositivo cooperante. O quarto dispositivo pode ter um quarto receptor sem fio para receber mensagens, sendo que o receptor tem uma quarta antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem. O quarto dispositivo tem um quarto processador de mensagem disposto para determinar uma quarta direção ao receber a mensagem de medição no quarto dispositivo e para transferir os quartos dados de suporte para o primeiro dispositivo, sendo que os quartos dados de suporte são indicativos da quarta direção. O primeiro processador de mensagem é disposto para receber os quartos dados de suporte do segundo dispositivo cooperante, obtendo um quarto ângulo entre a quarta direção e a segunda direção de conexão com base nos quartos dados de suporte. O primeiro processador de mensagem é disposto para executar o teste de verificação usando também a segunda distância confiável e o quarto ângulo.

[126] Em uma modalidade, o teste de verificação usa uma combinação de uma primeira desigualdade de triângulos em uma primeira constelação espacial do primeiro dispositivo, do segundo dispositivo e do terceiro dispositivo e de uma segunda desigualdade de triângulos em uma segunda constelação espacial do primeiro dispositivo, do segundo dispositivo e do quarto dispositivo. O teste de verificação pode incluir os testes discutidos na seção sobre o uso da desigualdade de triângulos e duas STAs Cooperantes abaixo. Alternativamente, o teste de verificação pode usar de uma forma melhor as duas STAs Cooperantes conforme descrito em uma seção posterior sobre o uso da desigualdade de triângulos e duas STAs Cooperantes. Para isso, a distância entre os dois dispositivos cooperantes pode ser conhecida pelo primeiro dispositivo.

[127] Em uma modalidade, o teste de verificação pode verificar se um primeiro local do segundo dispositivo de acordo com a primeira constelação espacial corresponde a um segundo local do segundo dispositivo de acordo com a segunda constelação espacial. Opcionalmente, o teste de verificação pode usar uma verificação de inconsistência para detectar se todas as distâncias determinadas são maiores que zero.

[128] Além disso, o teste de verificação pode ser baseado em mais do que a primeira e a segunda distâncias confiáveis, ou seja, toda a constelação do primeiro, terceiro e quarto dispositivos. Por exemplo, isso pode ser feito com o uso de um ângulo confiável entre as linhas de conexão entre o dispositivo iniciador e ambos os dispositivos cooperantes. Opcionalmente, o teste de verificação pode ser baseado em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos de modo que um ângulo confiável entre uma linha do terceiro dispositivo ao primeiro dispositivo e uma linha do quarto dispositivo ao primeiro dispositivo seja de pelo menos 90 graus. Opcionalmente, o teste de verificação pode ser baseado em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos opostos um ao outro em relação ao primeiro dispositivo. Opcionalmente, o teste de verificação pode ser baseado em uma configuração na qual a segunda distância confiável corresponde à distância confiável. Várias situações e cálculos para o teste de verificação são discutidos nas seções a seguir. O exemplo a seguir usa a desigualdade de triângulos e duas STAs Cooperantes.

[129] Uma outra constelação espacial pode ter dois dispositivos cooperantes. Uma primeira distância confiável L está entre o primeiro dispositivo e a primeira STA Cooperante, enquanto uma segunda distância confiável L está entre o primeiro dispositivo e a segunda STA Cooperante. Usando-se a constelação exemplificadora, obtém-se um desempenho melhor para 90 < φ ≤ 180, com o uso de uma segunda STA Cooperante, exatamente oposta à primeira. Nesse caso, a STA Iniciadora pode detectar muitas, porém não todas as STAs Respondedoras fraudulentas que querem parecer mais próximas de 0,5*L.

[130] A Figura 7 mostra uma constelação espacial adicional que tem dois dispositivos cooperantes. A constelação 700 inclui um primeiro dispositivo 710, chamado de STA Iniciadora, um segundo dispositivo 720, chamado de dispositivo respondedor, e duas STAs Cooperantes 730, 731, similares aos dispositivos descritos com referência à Figura 1. Uma primeira distância confiável L está entre o primeiro dispositivo e a primeira STA Cooperante, enquanto uma segunda distância confiável L está entre o primeiro dispositivo e a segunda STA Cooperante. Deve-se notar que nessa constelação específica, o segundo dispositivo 720 pode estar em qualquer lugar no espaço tridimensional em um círculo com seu centro na linha através do primeiro, terceiro e quarto dispositivos. Por causa disso, a localização do segundo dispositivo é aqui calculada apenas como uma coordenada no espaço bidimensional no plano através do primeiro, do segundo, terceiro e do quarto dispositivos.

[131] Na constelação exemplificadora, são usadas a desigualdade de triângulos e duas STAs Cooperantes. A desigualdade de triângulos é usada nas medições através das STAs Cooperantes 1 e 2. Usando a lei dos cossenos, podemos calcular d2_1 como: d2_12 = L * raiz quadrada(α2 + 1 – 2 * α * cos(φ)) (38)

e d2_2 como: d2_22 = L * raiz quadrada(α2 + 1 – 2 * α * cos(180 – φ)) = L * raiz quadrada(α2 + 1 + 2 * α * cos(φ)) (39)

[132] A STA Respondedora à fraudulenta altera as informações que envia para a STA Iniciadora de modo que as distâncias d1_c, d2_1_c e d2_2_c que a STA Iniciadora medirá se tornarão: d1_c = d1 – (d1 – f) (40) d2_1_c = d2_1 – (d1 – f) (41) d2_2_c = d2_2 – (d1 – f) (42)

[133] A STA Iniciadora verifica se a desigualdade (14) se mantém para as distâncias que ela recebeu das STAs Cooperantes 1 e 2: 2*L ≤ d2_1_c + d2_2_c (43) 2*L ≤ L * raiz quadrada(α2 + 1 – 2 * α * cos(φ)) + L * raiz quadrada(α2 + 1 + 2 * α * cos(φ)) – 2 * (α * L – f) (44) L ≤ f + L * {raiz quadrada(α2 + 1 – 2 * α * cos(φ)) + raiz quadrada(α2 + 1 + 2 * α * cos(φ)) – 2 * α} / 2 (45) f ≥ 0,5 * L * {2 + 2 * α – raiz quadrada(α2 + 1 – 2 * α * cos(φ)) – raiz quadrada(α2 + 1 + 2 * α * cos(φ))} (46)

[134] Portanto, a STA Iniciadora detectará uma STA Respondedora que frauda suas medições relatadas quando a STA Respondedora escolher f como na desigualdade abaixo. f / L < 0,5 * {2 + 2 * α – raiz quadrada(α2 + 1 – 2 * α * cos(φ)) – raiz quadrada(α2 + 1 + 2 * α * cos(φ))} = T3 (47)

[135] Na constelação da Figura 7, é possível calcular a posição (x, y) no plano através dos 4 dispositivos de várias maneiras. Se a STA Respondedora relatar suas medições fielmente, essas posições calculadas coincidirão, exceto por erros de medição. Mas isso não ocorrerá se a STA Respondedora estiver fraudando suas medições, especialmente quando quiser parecer mais próxima do que realmente está.

[136] Presume-se que a STA Iniciadora esteja em (x, y) = (0, 0), a STA Cooperante 1 em (L, 0) e a STA Cooperante 2 em (– L, 0). Deve-se notar que essas STAs e a STA Respondedora estão, obviamente, localizadas em um mundo tridimensional. O plano (x, y) pode ser qualquer plano no espaço tridimensional no qual a linha através da STA Iniciadora e das duas STAs Cooperantes está situada. Os cálculos para a coordenada y nesta seção devem ter produzido dois valores +/- y. Manter apenas a solução positiva não apresenta nenhum problema porque a outra solução para y é obtida quando o plano é girado em 180 graus ao redor da linha através da STA Iniciadora e das duas STAs Cooperantes.

[137] Primeiramente, verifica-se se as distâncias determinadas pela STA Iniciadora são maiores que zero, conforme explicado na seção “Relação entre a verificação da lei dos cossenos e a verificação de desigualdades de triângulos” abaixo. d1_c > 0 (48) d2_1_c > 0 (49) d2_2_c > 0 (50)

[138] Presumimos uma STA Respondedora fraudulenta se qualquer uma das três desigualdades acima não for mantida.

[139] Se essas três desigualdades forem mantidas, usamos a lei dos cossenos: cos (∠ACB) = (|A|2 + |B|2 – |C|2) / (2 * |A| * |B|) (51) para 4 combinações de bordas para calcular a posição da STA Respondedora, sempre usamos o ponto b como a posição da STA Respondedora. Usando os pontos a = (L, 0) e c = (0, 0), podemos medir a STA Respondedora como estando em b1 = (x1, y1): cos_c1 = (d1_c2 + L2 – d2_1_c2) / (2 * d1_c * L) (52) Usando os pontos a = (–L, 0) e c = (0, 0), podemos medir a STA Respondedora como estando em b = (x2, y2): cos_c2 = (d1_c2 + L2 – d2_2_c2) / (2 * d1_c * L) (53) Usando os pontos a = (L, 0) e c = (– L, 0), podemos medir a STA Respondedora como estando em b = (x3, y3):

cos_c3 = (d2_1_c2 + 4L2 – d2_2_c2) / (2 * d2_1_c * 2L) (54) Usando os pontos a = (– L, 0) e c = (L, 0), podemos medir a STA Respondedora como estando em b = (x4, y4): cos_c4 = (d2_2_c2 + 4L2 – d2_1_c2) / (2 * d2_2_c * 2L) (55)

[140] Então, verificamos se todos os 4 cossenos calculados estão no intervalo [– 1, 1]. Com base na seção “Relação entre a verificação da lei dos cossenos e a verificação de desigualdades de triângulos” abaixo, sabemos que até agora executamos o mesmo teste que os testes de desigualdades de triângulos, então, com a verificação até agora, as três tabelas acima se aplicam.

[141] Se os quatro cossenos calculados estiverem todos no intervalo [– 1, 1], calculamos os quatro pontos b1, b2, b3 e b4 para a posição da STA Respondedora da seguinte forma: x1 = cos_c1 * d1_c (56) y1 = raiz quadrada(1 – cos_c12) * d1_c (57) x2 = –cos_c2 * d1_c (58) y2 = raiz quadrada(1 – cos_c22) * d1_c (59) x3 = L – cos_c3 * d2_1_c (60) y3 = raiz quadrada(1 – cos_c32) * d2_1_c (61) x4 = –L + cos_c4 * d2_2_c (62) y4 = raiz quadrada(1 – cos_c42) * d2_2_c (63)

[142] Se a STA Respondedora relatou fielmente suas medições de tempo, esses 4 pontos devem ser iguais, exceto pela influência de erros de medição de temporização. Deve-se notar que, como também explicado em outra parte deste documento, os erros de medição podem ser reduzidos executando-se as medições múltiplas vezes e calculando-se a média dos resultados. Entretanto, esses 4 pontos são diferentes uns dos outros quando a STA Respondedora frauda suas medições para parecer estar mais próxima do que realmente está e quando a STA Respondedora não está na linha através das STAs Cooperantes 1 e 2.

[143] Calculamos o emáx máximo de todas as distâncias entre os 4 pontos b1, b2, b3 e b4: emáx = MAX | bi – bj | para i ∈{1, 2, 3, 4} e j ∈{1, 2, 3, 4} (64)

[144] Deve-se notar que não é necessário calcular b4, uma vez que b3 e b4 serão calculados como o mesmo ponto, exceto por erros numéricos.

[145] A seção a seguir usa a desigualdade de triângulos e mais de duas STAs Cooperantes. Pode-se obter um desempenho melhor colocando-se mais de duas STAs Cooperantes ao redor da STA Iniciadora. Para a melhor detecção de STAs Respondedoras fraudulentas situadas no máximo de posições possível ao redor da STA Iniciadora, é melhor colocar a STA Iniciadora e as STAs Cooperantes em um plano, quando se usar três STAs Cooperantes. Isso ocorre porque se a STA Iniciadora não estiver no plano através das três STAs Cooperantes, haverá um volume no qual a STA Respondedora fraudulenta estará sempre mais próxima da STA Iniciadora do que qualquer uma das três STAs Cooperantes e onde, portanto, o método proposto não funciona (vide, por exemplo, a Tabela 2).

[146] Também é possível usar duas STAs Cooperantes e uma STA Iniciadora que não estão posicionadas em uma linha, mas cuja constelação forma um triângulo. Usando as distâncias d1, d2_1, d2_2 e os comprimentos dos lados do triângulo formado pelas duas STAs Cooperantes e pela STA Iniciadora, a STA Iniciadora pode executar verificações utilizando a lei dos cossenos em triângulos formados pelo segundo dispositivo e qualquer par de dispositivos do conjunto das duas STAs Cooperantes e da STA Iniciadora.

[147] Quando são usadas quatro STAs Cooperantes, idealmente elas devem ser dispostas nos cantos de um tetraedro regular e a STA Iniciadora deve estar situada no centroide do tetraedro regular. Essa constelação é a mais simétrica possível e oferece, portanto, a melhor proteção.

[148] Os vértices de um tetraedro regular com seus 4 pontos na esfera unitária, centroide na origem e com um nível de face horizontal e inferior são: A = (raiz quadrada(8/9), 0, –1/3)

B = (–raiz quadrada(2/9), raiz quadrada(2/3), –1/3) C = (–raiz quadrada(2/9), –raiz quadrada(2/3), –1/3) D = (0, 0, 1)

[149] Portanto, as STAs Cooperantes estão localizadas na posição dos vértices e a STA Iniciadora está localizada na origem e a distância L é igual a 1 nesse caso. A maior distância entre quaisquer duas STAs é a distância entre quaisquer duas STAs Cooperantes, de modo que o comprimento de cada uma das bordas do tetraedro regular seja: || A – D|| = || (raiz quadrada(8/9), 0, –1/3) – (0, 0, 1) || = || (raiz quadrada(8/9), 0, – 4/3) || = raiz quadrada(8/3) ≈ 1,63 (65)

[150] O maior ângulo entre qualquer STA Cooperante, a origem e uma STA Respondedora ocorre quando a STA Respondedora está em uma linha através da origem e do centroide de qualquer uma das quatro faces do tetraedro regular. O centroide da face ABD é: F = {(raiz quadrada(8/9), 0, –1/3) + (–raiz quadrada(2/9), raiz quadrada(2/3), –1/3) + (0, 0, 1)} / 3 = (raiz quadrada(8/9) – raiz quadrada(2/9), raiz quadrada(2/3), 1/3) / 3 (66) Os ângulos ∠AOF, ∠BOF e ∠DOF são todos iguais. Esse ângulo pode ser calculado com o uso da lei dos cossenos: cos(∠DOF) = (||D||2 + ||F||2 – ||D – F||2) / (2 * ||D|| * ||F||) (67) ||D||2 = 1 (68) ||F||2 = {(raiz quadrada(8/9) – raiz quadrada(2/9))2 + 2/3 + 1/9} / 9 = {8/9 + 2/9 – 2 * raiz quadrada(16/81) + 7/9} / 9 = 1/9 (69) ||D – F||2 = {(raiz quadrada(8/9) – raiz quadrada(2/9))2 + 2/3} / 9 + (8/9)2 = {8/9 + 2/9 – 2 * raiz quadrada(16/81) + 2/3} / 9 + 64/81 = {2/9 + 6/9} / 9 + 64/81 = 72/81 = 8/9 (70)

Portanto: cos(∠DOF) = (1 + 1/9 – 8/9) / (2 * 1 * 1/3) = 3 * (2/9) / 2 = 1/3 (71) ∠DOF) = arccos(1/3) = 70,53 graus (72)

[151] Portanto, com uma constelação de uma STA Iniciadora localizada no centroide de um tetraedro regular e quatro STAs Cooperantes localizadas nos vértices desse tetraedro a uma distância L da STA Iniciadora, todas as STAs Respondedoras que querem parecer estar mais próximas do que 0,5 L da STA Iniciadora podem ser detectadas se estiverem mais distantes do que 1,5 L da STA Iniciadora (vide Tabela 1). Muitas dessas STAs na área entre 0,5 L e 1,5 L podem ser detectadas.

[152] Opcionalmente, a defesa pode ser aprimorada pela adição de verificações de inconsistência em posições calculadas com o uso da STA Iniciadora e das STAs Cooperantes de modo similar à defesa explicada na seção anterior.

[153] Em uma modalidade, o protocolo de faixa pode incluir o primeiro dispositivo, que age como um dispositivo iniciador, enviando uma mensagem de iniciador para o segundo dispositivo, enquanto, ao receber a mensagem de iniciador, o segundo dispositivo precisa enviar a mensagem de medição. O primeiro processador de mensagem é disposto para trocar dados de alteração de função com o terceiro dispositivo para habilitar o terceiro dispositivo para agir como o dispositivo iniciador para uma medição de distância. Para esse efeito, o terceiro dispositivo é disposto para obter uma terceira distância entre o terceiro dispositivo e o segundo dispositivo de acordo com o protocolo de faixa com base em uma segunda mensagem de medição e para determinar uma terceira direção ao receber a segunda mensagem de medição no terceiro dispositivo. Além disso, o terceiro dispositivo transferirá terceiros dados de suporte para o primeiro dispositivo, sendo que os terceiros dados de suporte são indicativos da terceira distância e da terceira direção. Por exemplo, os terceiros dados de suporte podem conter a terceira direção ou o terceiro ângulo. Além disso, os dados de suporte podem conter valores t2 e t3 do protocolo de FTM que o terceiro dispositivo mediu. Os valores t1 e t4 podem também fazer parte do mesmo, mas isso não é necessário, uma vez que o primeiro dispositivo pode receber e usar a mensagem original do segundo dispositivo contendo t1 e t4.

[154] Além disso, o primeiro processador de mensagem é disposto para determinar uma segunda direção ao receber a segunda mensagem de medição no primeiro dispositivo, receber, do terceiro dispositivo, os terceiros dados de suporte e executar o teste de verificação usando também a segunda direção e os terceiros dados de suporte. Na modalidade, uma STA Iniciadora e uma STA Cooperante trocam funções – ou dito de outro modo – calculam a posição duas vezes usando as duas STAs Iniciadoras.

[155] Na constelação da Figura 4, temos agora dois dispositivos 410, 430, agindo como uma primeira STA 1 e uma segunda STA 2, que trabalham em conjunto para determinar a distância até a STA Respondedora. Em uma série de medições, a STA 1 age como uma STA Iniciadora e a STA 2 como a STA Cooperante, e em uma segunda série de medições, elas assumem as funções opostas. É calculada a média das medições de tempo individuais em cada série antes de uma distância ser calculada para melhorar o resultado da medição de distância. Todas as medições individuais da primeira série podem ser feitas antes de as funções serem trocadas e as medições individuais da segunda série serem executadas. Mas a troca de funções pode também ser feita após qualquer número de medições individuais.

[156] Com o uso das medições de temporização da primeira série de medições, então, com a STA 1 sendo a STA Iniciadora, pode-se usar as equações (56) e (57) para calcular a posição r1 = (x1, y1) da STA Respondedora. Com o uso das medições de temporização da segunda série de medições, então, com a STA 2 sendo a STA Iniciadora, pode-se usar equações similares para calcular a posição r2 = (x2, y2) da STA Respondedora. Deve-se notar que nessa constelação específica, o segundo dispositivo 420 pode estar em qualquer lugar no espaço tridimensional em um círculo com seu centro na linha através do primeiro e do terceiro dispositivos. Por causa disso, calcula-se a localização do segundo dispositivo aqui apenas como uma coordenada no espaço bidimensional no plano através do primeiro, do segundo e do terceiro dispositivos.

[157] Os pontos calculados r1 e r2 devem ser iguais, exceto por erros de medição, se a STA Respondedora relatar fielmente suas medições de temporização. Mas isso pode ser diferente quando a STA Respondedora quer parecer mais próxima do que realmente está.

[158] Nas seções anteriores, uma STA Respondedora fraudulenta tentou parecer estar à distância f da STA Iniciadora. Suponha que a STA Respondedora não saiba que as duas STAs trocam funções de tempos em tempos e, então, tenta parecer estar a uma distância falsa f de cada uma delas. Nesse caso, r1 e r2 serão claramente diferentes, especialmente se f < 0,5 L.

[159] Portanto, usar duas ou mais STAs que servem, cada uma, como a STA Iniciadora e calcular a localização da STA Respondedora utilizando as distâncias medidas por cada uma das STAs Iniciadoras e julgar a diferença em locais calculados é uma boa ideia para detectar STAs Respondedoras que fraudam suas medições de temporização.

[160] Entretanto, o ataque descrito acima não é o melhor ataque possível nessa situação. Um ataque melhor ocorre quando a STA Respondedora sabe com qual STA Iniciadora está executando o protocolo de FTM e conhece os parâmetros da constelação (portanto L e φ ou d1 e d2). Isso pode ser difícil de se saber na prática, mas não é impossível. É uma prática de boa segurança presumir que um invasor conhece tudo, exceto chaves criptográficas secretas. Portanto, a defesa, conforme descrito nas seções anteriores, é preferencialmente usada.

[161] A seção a seguir discute a relação entre a verificação da lei dos cossenos e a verificação de desigualdades de triângulos. Verificar se as desigualdades de triângulos se mantêm para três comprimentos| A|, |B| e |C|: |C| ≤ |A| + |B| (73) |A| ≤ |B| + |C| (74) |B| ≤ |A| + |C| (75)

é o mesmo que verificar se: –1 ≤ cos (∠ACB) ≤ 1 (76) A lei dos cossenos para o ângulo ∠ACB é: cos (∠ACB) = (|A|2 + |B|2 – |C|2) / (2 * |A| * |B|) (77) Verificar se o cosseno não é menor que –1 resulta: cos (∠ACB) ≥ –1 (|A|2 + |B|2 – |C|2) / (2 * |A| * |B|) ≥ –1 (78) Podemos derivar a seguinte desigualdade a partir da desigualdade (78) apenas se |A| * |B|) > 0 (|A|2 + |B|2 – |C|2) ≥ –2 * |A| * |B| (|A|2 + |B|2 + 2 * |A| * |B| – |C|2) ≥ 0 (|A| + |B|)2 – |C|2 ≥ 0 (|A| + |B|)2 ≥ |C|2 ⇒ |C| ≤ (|A| + |B|) (79) que é igual à desigualdade (73). De modo similar, verificar se o cosseno não é maior que 1 resulta: cos (∠ACB) ≤ 1 (|A| – |B|)2 – |C|2 ≤ 0 (|A| – |B|)2 ≤ |C|2 abs(|A| – |B|) ≤ |C| |A| ≤ (|B| + |C|) & |B| ≤ (|A| + |C|) (80) sendo que as duas desigualdades precisam também ser válidas para um triângulo.

[162] Deve-se notar que as distâncias reais são sempre maiores que ou iguais a 0. O raciocínio acima é válido para distâncias positivas, mas não para distâncias negativas. As distâncias obtidas pela STA Iniciadora podem ser negativas quando uma STA Respondedora frauda suas medições para se tornar mais próxima. Portanto, verificar as três desigualdades de triângulos é equivalente a verificar se as três distâncias medidas são maiores que ou iguais a 0 e verificar se a desigualdade de cosseno (76) é mantida.

[163] Em uma modalidade, o terceiro processador de mensagem é disposto para determinar uma terceira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo e para incluir dados de terceira intensidade de sinal nos dados de suporte para o primeiro dispositivo. O primeiro processador de mensagem é disposto para determinar uma primeira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo e verificar se as distâncias determinadas são confiáveis pela comparação da primeira intensidade de sinal e da terceira intensidade de sinal com respectivas intensidades de sinal esperadas nas distâncias determinadas. Na modalidade, a medição de distância com base nas intensidades de sinal é realizada adicionalmente para aumentar a confiabilidade. Além dos instantes de chegada e de transmissão, a intensidade de sinal recebida também pode ser usada como uma medição de distância. Um dispositivo inclui a potência de transmissão com a qual uma mensagem é enviada para outro dispositivo naquela mensagem, o outro dispositivo mede a intensidade de sinal recebida e o outro dispositivo pode determinar a distância com base nas propriedades presumidas da antena do transmissor (por exemplo, que é omnidirecional) e que a intensidade de sinal diminui com uma potência de 2 com a distância. Quando ao menos um dispositivo cooperante mede a intensidade de sinal daquela mesma mensagem e inclui tais dados nos dados de suporte transferidos para o primeiro dispositivo, o primeiro dispositivo pode determinar a razão entre as distâncias a partir do segundo dispositivo com base nas intensidades de sinal recebidas.

[164] Em uma modalidade, o primeiro dispositivo e o terceiro dispositivo podem ser incorporados por estações-base em uma rede 3GPP, enquanto o segundo dispositivo é incorporado por um UE. As estações-base no 3GPP transmitem e recebem em uma grade de tempo-frequência dos chamados elementos de recurso. Algumas das posições na grade de tempo-frequência são fixas por um padrão 3GPP e são usadas para transmitir por radiodifusão informações do sistema para todos os UEs na faixa da estação-base, por exemplo, informações de quando e em quais frequências a estação- base enviará algo para um UE específico (enlace descendente), e quando e com quais frequências um UE específico pode enviar algo para a estação-base (enlace ascendente) ou para um outro UE específico (enlace lateral). Quando as estações-base cooperam de acordo com a presente invenção, suas grades de tempo-frequência devem ser alinhadas e sincronizadas e cada uma deve tornar disponíveis as mesmas posições de tempo-frequência (elementos de recurso) na grade de modo que todas sejam capazes de medir o instante de chegada ou a intensidade de sinal recebida da mesma mensagem proveniente do mesmo UE.

[165] Em uma modalidade adicional, o protocolo de faixa compreende um atributo adicional ou uma mensagem adicional que pode, por exemplo, ser adicionada ao protocolo de faixa conforme definido em [802.11], contendo uma credencial (por exemplo, uma chave pública) ou um hash de uma credencial ou uma credencial criptografada. Tal mensagem é um exemplo de uma mensagem que é criptograficamente protegida com base em dados de chave. O segundo dispositivo pode incluir tal credencial ou hash de uma credencial ou uma credencial criptografada como parte da troca de mensagens para o protocolo de faixa. Para ser simétrico, o primeiro dispositivo também pode incluir tal credencial, hash de uma credencial ou credencial criptografada em uma mensagem adicional. O campo preferencial que contém a credencial ou o hash de uma credencial ou uma credencial criptografada em uma mensagem do protocolo de faixa é um campo no qual o sinal ou ao menos parte do sinal que transfere aquele campo é usado para medir o instante de transmissão ou de chegada da mensagem, de modo que seja muito difícil, se não impossível, para outro dispositivo inserir sua credencial ou hash de sua credencial ou sua credencial criptografada em uma mensagem que é usada para medir a distância entre o primeiro e o segundo dispositivos. Quanto mais próximo (no tempo) o sinal que contém a credencial ou o hash de uma credencial ou uma credencial criptografada estiver do sinal que é usado para medir a faixa, ou quanto mais sobreposição entre esses sinais, melhor. Dessa forma, o primeiro dispositivo pode ter certeza de que a credencial ou o hash de uma credencial ou uma credencial criptografada em uma mensagem do protocolo de faixa é, de fato, do segundo dispositivo com o qual ele está executando o protocolo de medição de faixa. Em uma modalidade, o primeiro processador de mensagem é disposto para processar essa credencial ou hash de uma credencial ou credencial criptografada e verificar se ela corresponde a uma credencial que foi usada anteriormente por um dispositivo com o qual ele executou corretamente a autenticação de dispositivo e estabeleceu confiança mútua, por exemplo, através do uso do protocolo de configuração protegido de Wi-Fi, do protocolo de provisionamento de dispositivo, da troca de chaves de Diffie-Hellman e/ou de handshake de 4 vias WPA2. Se for encontrada uma igualdade, o primeiro dispositivo pode assumir que as medições de distância entre o primeiro e o segundo dispositivos podem ser verdadeiras e consideradas confiáveis. Se não houver igualdade, o primeiro dispositivo desconfiará das medições de distância entre o primeiro e o segundo dispositivos e executará etapas adicionais para verificar a confiabilidade das medições de distância, por exemplo com o uso dos mecanismos conforme descritos em outras modalidades. Em outra modalidade, os valores medidos (por exemplo, os primeiros dados de tempo e/ou os segundos dados de tempo) são criptografados com o uso de uma chave que foi acordada ou derivada de credenciais acordadas entre o primeiro e o segundo dispositivos, conforme estabelecido durante um procedimento anterior de autenticação de dispositivo executado entre o primeiro e o segundo dispositivos.

[166] Em uma modalidade alternativa, o segundo dispositivo pode incluir uma credencial ou hash de credencial ou uma credencial criptografada que será usada durante a configuração de uma conexão posterior. O primeiro processador de mensagem é disposto para processar e armazenar a credencial ou hash de credencial ou uma credencial criptografada recebida em conjunto com a distância medida entre o primeiro dispositivo e o segundo dispositivo, a fim de correlacionar seguramente as distâncias medidas com o dispositivo específico que se conecta com aquela credencial. Após a configuração da conexão entre o primeiro e o segundo dispositivos, o primeiro dispositivo verifica se a mesma credencial ou uma derivada sua é usada durante a realização da autenticação do dispositivo, por exemplo durante a execução do protocolo de configuração protegido de Wi-Fi, do protocolo de provisionamento de dispositivo, da troca de chaves Diffie-Hellman e/ou enquanto é feito o handshake de 4 vias WPA2. Ao fazer isso, o primeiro dispositivo pode determinar que o dispositivo com o qual ele está conectado é o mesmo dispositivo para o qual uma medição de distância específica foi feita. Em particular, se a credencial for uma chave pública e se a configuração da conexão entre o primeiro e o segundo dispositivos incluir que o segundo dispositivo provou corretamente ao dispositivo 1 que ele tem a chave privada que pertence à chave pública como credencial na medição da faixa, o primeiro dispositivo pode ter certeza de que o segundo dispositivo é aquele cuja distância foi medida e não um impostor.

[167] Em uma modalidade, o primeiro processador de mensagem é disposto para, depois de detectar que a distância determinada não é confiável, prosseguir para um processo ou função diferente, um acesso negado a dados ou a uma função, ao invés do processo pretendido. Por exemplo, o processo baseado em distância normal pode ser conceder acesso a um serviço baseado em localização ou a um periférico local. Além disso, o roteamento para ou a partir do primeiro dispositivo através de outra rede, por exemplo, Ethernet, a Internet, uma rede principal 3GPP, pode ser controlado ou negado com base na medição de distância. Se a distância determinada for considerada não confiável, pode-se recusar toda comunicação e/ou todo acesso adicional, e/ou uma mensagem de aviso pode ser enviada a um sistema de gerenciamento ou de proteção. Além disso, o primeiro processador de mensagem pode ser disposto, antes de avançar para qualquer processo baseado em distância normal, para engatar um protocolo de segurança diferente com o segundo dispositivo pode ser executado, como solicitar credenciais adicionais e/ou uma identificação pessoal do usuário. O protocolo de segurança diferente pode ser um processo adicional ou uma execução adicional melhorada do protocolo principal e pode, por exemplo, resultar em uma etapa mais rígida ou mais severa no processo de segurança normal. Opcionalmente, o primeiro processador de mensagem é disposto para solicitar uma medição de distância adicional usando um protocolo de faixa diferente e/ou um tipo diferente de comunicação sem fio, por exemplo NFC, a uma distância muito pequena ou solicitar que o operador humano do segundo dispositivo forneça alguma identificação e/ou algum dado biométrico como uma impressão digital. Além disso, o primeiro processador de mensagem pode ser disposto, antes de avançar para qualquer processo baseado em distância normal, para negar ou restringir o acesso a ao menos alguns dados e/ou a pelo menos uma aplicação no primeiro dispositivo. Por exemplo, um serviço básico pode ser fornecido mesmo se a distância for considerada não confiável, enquanto um serviço estendido é fornecido se a distância for considerada confiável.

[168] A Figura 8 mostra um método para medição de distância através de comunicação sem fio entre um primeiro dispositivo e um segundo dispositivo. A comunicação sem fio inclui um protocolo de faixa conforme descrito acima. O primeiro dispositivo e o segundo dispositivo são similares ao primeiro e ao segundo dispositivos mostrados e são descritos adicionalmente com referência à Figura 1. Um terceiro dispositivo age como um dispositivo cooperante que está situado a uma distância confiável do primeiro dispositivo, enquanto compartilha uma direção de conexão. O método pode ser executado por um processador no primeiro dispositivo, mas pode também ser processado por um processador em um dispositivo diferente e/ou em um tempo diferente com base nos instantes de chegada recebidos e dados de suporte. Por exemplo, o método pode ser executado em um dispositivo adicional que não esteja participando ativamente no protocolo de faixa, mas recebe todas as mensagens e está ciente da distância confiável.

[169] O método começa no nó INÍCIO 801. Em um primeiro estágio RNGP 802, o método pode executar o protocolo de faixa e fazer as medições de tempo, conforme descrito com referência à Figura 1. O método continua com o estágio ODA1 803 para obter dados de distância e ângulo no primeiro dispositivo. Uma primeira distância é determinada entre o primeiro dispositivo e o segundo dispositivo com base em um primeiro instante de chegada da mensagem de medição no primeiro dispositivo. Além disso, é determinada uma primeira direção ao receber a mensagem de medição no primeiro dispositivo, e um primeiro ângulo entre a primeira direção e a direção de conexão. Subsequentemente, o método continua mediante a comunicação com o dispositivo cooperante no estágio CO_COP 804. O dispositivo cooperante tem uma terceira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem e é disposto para determinar uma terceira direção ao receber a mensagem de medição no dispositivo cooperante e para fornecer dados de suporte, sendo que os dados de suporte são indicativos da terceira direção e, opcionalmente, indicativos do terceiro instante de chegada da mensagem de medição no dispositivo cooperante. Então, após receber os dados de suporte, o método continua com a avaliação da distância determinada. Em um estágio seguinte OA3 805, um terceiro ângulo é obtido entre a terceira direção e a direção de conexão com base nos dados de suporte. Além disso, uma terceira distância pode ser obtida entre o terceiro dispositivo e o segundo dispositivo com o uso dos dados de suporte, por exemplo, calculados com base no terceiro instante de chegada e no instante de transmissão da mensagem de medição. Finalmente, no estágio VERT 806, é feito um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo e, opcionalmente, na terceira distância. O teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante. O teste pode ser baseado nas desigualdades de triângulos e verificações de inconsistência conforme elucidado acima.

[170] Em uma modalidade, o método pode incluir um estágio preparatório, no qual o primeiro dispositivo é instruído a agir como um dispositivo iniciador para fornecer o primeiro instante de chegada ou a primeira distância. De modo similar, o terceiro dispositivo pode ser instruído a agir como o dispositivo cooperante para fornecer os dados de suporte que são baseados no terceiro instante de chegada. O estágio preparatório pode ser executado por um dispositivo de controle separado, um computador ou servidor. Alternativamente, o primeiro dispositivo ou o terceiro dispositivo pode executar a dita instrução.

[171] A Figura 9 mostra um método para agir como um dispositivo cooperante em uma medição de distância através de comunicação sem fio entre um primeiro dispositivo e um segundo dispositivo, conforme descrito com referência à Figura 8. O dispositivo cooperante pode estar situado a uma distância confiável do primeiro dispositivo. O dispositivo cooperante compartilha uma direção de conexão com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante. O dispositivo cooperante tem uma terceira antena direcional para detectar uma direção de um sinal recebido que transporta uma mensagem.

[172] O método começa no nó INÍCIO 901. Em um primeiro estágio RNGP 902, o método pode monitorar o protocolo de faixa conforme realizado pelo primeiro e pelo segundo dispositivos. O método continua com o estágio DIR3 903 no qual é determinada uma terceira direção ao receber a mensagem de medição no terceiro dispositivo. Subsequentemente, no estágio CO_IN 904, o lado cooperante se comunica subsequentemente com um primeiro dispositivo, por exemplo, com o uso do protocolo sem fio ou com o uso de uma conexão com fio. Em seguida, no estágio SUP 905, o método fornece dados de suporte ao primeiro dispositivo. Os dados de suporte são indicativos da terceira direção e são opcionalmente indicativos do terceiro instante de chegada da mensagem de medição no dispositivo cooperante. Então, o método no lado cooperante termina no nó FIM 906. Conforme descrito acima, o primeiro dispositivo é disposto para obter o dito terceiro ângulo usando os dados de suporte e para executar o teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo e, opcionalmente, na terceira distância.

[173] A Figura 10a mostra uma mídia legível por computador 1000 tendo uma parte gravável 1010 que compreende um programa de computador 1020, sendo que o programa de computador 1020 compreende instruções para fazer com que o sistema processador execute um ou mais dos métodos acima no sistema, conforme descrito com referência às Figuras 9 e 10. O programa de computador 1020 pode ser incorporado na mídia legível por computador 1000 como marcadores físicos ou por meio de magnetização da mídia legível por computador 1000. Entretanto, qualquer outra modalidade adequada também é concebível. Além disso, deve-se considerar que, embora a mídia legível por computador 1000 seja mostrada aqui como um disco óptico, a mídia legível por computador 1000 pode ser qualquer mídia legível por computador adequada, como um disco rígido, memória de estado sólido, memória Flash etc., e pode ser gravável ou não gravável. O programa de computador 1020 compreende instruções para fazer com que um sistema processador execute os ditos métodos.

[174] A Figura 10b mostra em uma representação esquemática de um sistema processador 1100, de acordo com uma modalidade do dispositivo ou do servidor, conforme descrito com referência às Figuras 9 e 10. O sistema processador compreende um ou mais circuitos integrados 1110. A arquitetura do um ou mais circuitos integrados 1110 é esquematicamente mostrada na figura. O circuito 1110 compreende uma unidade de processamento 1120, por exemplo uma CPU, para executar componentes de programas de computador para executar um método de acordo com uma modalidade e/ou implementar seus módulos ou unidades. O circuito 1110 compreende uma memória 1122 para armazenar códigos de programação, dados etc. Parte da memória 1122 pode ser apenas de leitura. O circuito 1110 pode compreender um elemento de comunicação 1126, por exemplo, uma antena, conectores ou ambos e similares. O circuito 1110 pode compreender um circuito integrado dedicado 1124 para executar parte ou todo o processamento definido no método. O processador 1120, a memória 1122, o CI dedicado 1124 e o elemento de comunicação 1126 podem ser conectados entre si através de um interconector 1130, como um barramento. O sistema processador 1110 pode ser disposto para comunicação com contato e/ou sem contato, com o uso de uma antena e/ou conectores, respectivamente.

[175] São fornecidos produtos de programa de computador, que podem ser baixados a partir de uma rede e/ou armazenados em uma mídia legível por computador e/ou uma mídia executável por microprocessador, compreendendo instruções de código de programa para implementar os métodos acima quando executados em um computador para proteger informações de localização, conforme elucidado adicionalmente abaixo.

[176] Qualquer método, de acordo com a invenção, pode ser executado com o uso de software, que compreende as instruções para fazer com que um sistema processador execute o respectivo método. O software pode incluir apenas aquelas etapas empregadas por uma subentidade específica do sistema. O software pode ser armazenado em uma mídia de armazenamento adequada, como um disco rígido, um disquete, uma memória, etc. O software pode ser enviado como um sinal por uma rede com fio, ou sem fio, ou com o uso de uma rede de dados, por exemplo a Internet. O software pode ser disponibilizado para ser baixado e/ou para uso remoto em um servidor. Um método de acordo com a invenção pode ser executado com o uso de um fluxo de bits disposto para configurar uma lógica programável, por exemplo uma matriz de portas programável em campo (FPGA), para executar o método. Será reconhecido que o software pode estar sob a forma de código fonte, código objeto, uma fonte de códigos intermediários, um código objeto em formato parcialmente compilado, ou em qualquer outro formato adequado para uso na implementação do método de acordo com a invenção. Uma modalidade relacionada a um produto de programa de computador compreende instruções executáveis por computador que correspondem a cada uma das etapas de processamento de pelo menos um dos métodos apresentados. Essas instruções podem ser subdivididas em sub-rotinas e/ou ser armazenadas em um ou mais arquivos que podem estar estática ou dinamicamente ligados. Outra modalidade relacionada a um produto de programa de computador compreende instruções executáveis por computador que correspondem a cada um dos meios de pelo menos um dos sistemas e/ou produtos apresentados.

[177] Deve-se entender que a descrição acima, para maior clareza, descreve as modalidades da invenção com referência a diferentes unidades funcionais e processadores. Entretanto, ficará evidente que qualquer distribuição adequada da funcionalidade entre as diferentes unidades funcionais ou os processadores pode ser usada, sem que se desvie do escopo da invenção. Por exemplo, a funcionalidade ilustrada a ser executada por unidades, processadores ou controladores separados pode ser executada pelo mesmo processador ou controlador. Por isso, as referências a unidades funcionais específicas devem ser consideradas apenas como referência a meios adequados de fornecer a funcionalidade descrita, e não como indicadoras de uma estrutura física rígida ou de uma organização lógica ou física estrita. A invenção pode ser implementada em qualquer forma adequada, incluindo hardware, software, firmware ou qualquer combinação dos mesmos.

[178] Deve-se notar que o termo “que compreende” não exclui a presença de elementos ou etapas diferentes daquelas mencionadas, e o artigo indefinido “um” ou “uma” antes de um elemento não exclui a presença de uma pluralidade de tais elementos, que nenhuma referência numérica limita o escopo das reivindicações, que a invenção pode ser implementada tanto por meio de hardware como de software, e que vários “meios” ou “unidades” podem ser representados pelo mesmo item de hardware ou de software, e um processador pode exercer a função de uma ou mais unidades, possivelmente em cooperação com elementos de hardware. Adicionalmente, a invenção não se limita às modalidades, e a invenção se encontra em toda e qualquer característica inovadora ou combinação de características descritas acima ou mencionadas em reivindicações dependentes mutuamente diferentes. Documentos de referência: [36.133] 3GPP TS 36.133: “Evolved Universal Terrestrial Radio Access (E- UTRA); Requirements for support of radio resource management”. [36.211] 3GPP TS 36.211: “Evolved Universal Terrestrial Radio Access (E- UTRA); Physical Channels and Modulation”. [36.214] 3GPP TS 36.214: “Evolved Universal Terrestrial Radio Access (E- UTRA); Physical layer – Measurements”.

[36.321] 3GPP TS 36.321: “3rd Generation Partnership Project; Technical Specification Group Radio Access Network; Evolved Universal Terrestrial Radio Access (E-UTRA); Medium Access Control (MAC) protocol specification”. [36.355] 3GPP TS 36.355: “Evolved Universal Terrestrial Radio Access (E- UTRA); LTE Positioning Protocol (LPP)”. [37.571-1] 3GPP TS 37.571-1: “Universal Terrestrial Radio Access (UTRA) and Evolved UTRA (E-UTRA) and Evolved Packet Core (EPC); User Equipment (UE) conformance specification for UE positioning; Part 1: Conformance test specification”. [802.11] IEEE Computer Society, “IEEE Standard for Information Technology– Telecommunications and Information Exchange Between Systems – Local and Metropolitan Area Networks – Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications,” (IEEE Std.

802.11-2016), dezembro de 2016 [802.1AS] Information technology – Telecommunications and information exchange between systems – Local and metropolitan area networks – Part 1AS: Timing and synchronization for time sensitive applications in bridged local area networks, Reference number ISO/IEC/IEEE 8802-1AS:2014(E) [AAE] Martin Schüssel, “Angle of Arrival Estimation using WiFi and Smartphones”, 2016 International Conference on Indoor Positioning and Indoor Navigation (IPIN), 4 a 7 de outubro de 2016, Alcalá de Henares, Espanha; http://www3.uah.es/ipin2016/usb/app/descargas/223_WIP.pdf [DH] Diffie, W.; Hellman, M. (1976), “New directions in cryptography”, IEEE Transactions on Information Theory, 22 (6): 644 a 654 [DPP] Device Provisioning Protocol - Technical Specification - Version 1.0, Wi- Fi Alliance, 2018, https://www.wi-fi.org/file-member/device-provisioning-protocol- specification. [NAN] Neighbor Awareness Networking – Technical Specification – Version

2.0, Wi-Fi Alliance, 2017, https://www.wi-fi.org/file-member/wi-fi-nan-technical- specification.

[OTDOA] Sven Fischer, “Observed Time Difference Of Arrival (OTDOA) Positioning in 3GPP LTE”, Qualcomm Technologies, Inc., 6 de junho de 2014. [OWE] Opportunistic Wireless Encryption – Technical Specification – Version

1.0, Wi-Fi Alliance, 2018, https://www.wi-fi.org/file-member/opportunistic-wireless- encryption-specification.

Claims

REIVINDICAÇÕES

1. Dispositivo para medição de distância através de comunicação sem fio entre o dispositivo que age como um primeiro dispositivo (110) e um segundo dispositivo (120) para comunicação sem fio, sendo que a comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo; sendo o dito dispositivo caracterizado por compreender: - um primeiro transceptor (111) para transmitir e receber mensagens, - um primeiro processador de mensagem (112) disposto para: - processar as mensagens de acordo com o protocolo de faixa; - determinar um primeiro instante de chegada da mensagem de medição no primeiro dispositivo, e - determinar uma primeira distância (151) entre o primeiro dispositivo e o segundo dispositivo com base no primeiro instante de chegada; sendo que o primeiro transceptor (111) compreende uma primeira antena direcional (113) para detectar uma direção de um sinal recebido que transporta uma mensagem, e o primeiro processador de mensagem (112) é disposto para: - comunicar-se com um terceiro dispositivo (130), sendo que o terceiro dispositivo age como um dispositivo cooperante que está situado a uma distância confiável (150) do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão (160) com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante; - avaliar a distância determinada; - determinar uma primeira direção quando a mensagem de medição é recebida no primeiro dispositivo;

- determinar um primeiro ângulo (161) entre a primeira direção e a direção de conexão; - receber os dados de suporte a partir do dispositivo cooperante, sendo que os dados de suporte contêm uma indicação de uma terceira direção, sendo que a terceira direção é determinada pelo terceiro dispositivo após o recebimento da mensagem de medição no terceiro dispositivo; - obter um terceiro ângulo (163) entre a terceira direção e a direção de conexão com base nos dados de suporte, e - fazer um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

2. Dispositivo, de acordo com a reivindicação 1, caracterizado por o teste de verificação compreender uma verificação da lei dos cossenos ou uma verificação de desigualdades de triângulos na constelação espacial viável.

3. Dispositivo, de acordo com a reivindicação 1 ou 2, caracterizado por o protocolo de faixa compreender trocar mensagens que são criptograficamente protegidas com base em dados de chave, e o primeiro processador de mensagem (112) ser disposto para compartilhar os dados de chave com o dispositivo cooperante para habilitar o terceiro processador de mensagem (132) a processar criptograficamente as mensagens de acordo com o protocolo de faixa.

4. Dispositivo, de acordo com qualquer uma das reivindicações anteriores, caracterizado por o primeiro processador de mensagem (112) ser disposto para determinar a distância confiável (150) de acordo com o protocolo de faixa, ou o primeiro processador de mensagem (112) ser disposto para determinar a direção de conexão (160) com o uso da primeira antena direcional (113).

5. Dispositivo, de acordo com qualquer uma das reivindicações anteriores,

caracterizado por o terceiro processador de mensagem (132) ser disposto para: - determinar um terceiro instante de chegada da mensagem de medição no terceiro dispositivo, - sendo que os dados de suporte são baseados também no terceiro instante de chegada; e sendo que o primeiro processador de mensagem (112) é disposto para: - obter uma terceira distância (153) entre o terceiro dispositivo e o segundo dispositivo com o uso dos dados de suporte referentes ao terceiro instante de chegada, e - fazer o teste de verificação usando também a terceira distância.

6. Dispositivo, de acordo com qualquer uma das reivindicações anteriores, sendo o dispositivo caracterizado por compreender uma unidade de relógio para fornecer uma referência de tempo para determinar os ditos instantes de chegada, e o primeiro processador de mensagem (112) ser disposto para sincronizar a referência de tempo com uma unidade de relógio correspondente no dispositivo cooperante.

7. Dispositivo, de acordo com qualquer uma das reivindicações anteriores, caracterizado por o protocolo de faixa compreender o primeiro dispositivo, que age como um dispositivo iniciador, enviar uma mensagem de iniciador para o segundo dispositivo, enquanto, ao receber a mensagem de iniciador, o segundo dispositivo precisa enviar a mensagem de medição, e o primeiro processador de mensagem (112) ser disposto para: - trocar dados de alteração de função com o terceiro dispositivo para habilitar o terceiro dispositivo a agir como o dispositivo iniciador para uma medição de distância; sendo que o terceiro dispositivo é disposto para, ao receber os dados de alteração de função:

- obter uma terceira distância entre o terceiro dispositivo e o segundo dispositivo de acordo com o protocolo de faixa com base em uma segunda mensagem de medição, - determinar uma terceira direção ao receber a segunda mensagem de medição no terceiro dispositivo, e - transferir terceiros dados de suporte para o primeiro dispositivo, sendo que os terceiros dados de suporte são indicativos da terceira direção; enquanto o primeiro processador de mensagem (112) é disposto para: - determinar uma segunda direção ao receber a segunda mensagem de medição no primeiro dispositivo, - receber, do terceiro dispositivo, os terceiros dados de suporte, e - fazer o teste de verificação usando também a segunda direção e os terceiros dados de suporte.

8. Dispositivo, de acordo com qualquer uma das reivindicações anteriores, caracterizado por o terceiro processador de mensagem (132) ser disposto para: - determinar uma terceira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo, e - incluir dados da terceira intensidade de sinal nos dados de suporte para o primeiro dispositivo; sendo que o primeiro processador de mensagem (112) é disposto para: - determinar uma primeira intensidade de sinal de ao menos uma mensagem recebida do segundo dispositivo, e - verificar se as distâncias determinadas são confiáveis pela comparação da primeira intensidade de sinal e da terceira intensidade de sinal com respectivas intensidades de sinal esperadas nas distâncias determinadas.

9. Dispositivo, de acordo com qualquer uma das reivindicações anteriores, caracterizado por o primeiro processador de mensagem (112) ser disposto para, após determinar que a distância determinada não é confiável, executar ao menos uma dentre as ações:

- exigir a execução de um protocolo de segurança diferente com o segundo dispositivo; - solicitar uma medição de distância adicional usando um protocolo de faixa diferente e/ou um tipo diferente de comunicação sem fio; - negar ou restringir o acesso a ao menos alguns dados e/ou a pelo menos uma função do primeiro dispositivo.

10. Dispositivo, de acordo com qualquer uma das reivindicações 5 a 9, caracterizado por, quando a distância determinada for considerada confiável, o primeiro processador de mensagem ser disposto para combinar um primeiro resultado da distância calculado a partir dos instantes de chegada com um primeiro resultado da distância calculado a partir da distância confiável e do primeiro e do terceiro ângulos.

11. Sistema para medição de distância confiável, caracterizado por compreender o dispositivo conforme definido em qualquer uma das reivindicações 1 a 8, o terceiro dispositivo conforme definido na reivindicação 1, e um quarto dispositivo que age como um segundo dispositivo cooperante situado a uma segunda distância confiável do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma segunda direção de conexão com o primeiro dispositivo, sendo que a segunda direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o segundo dispositivo cooperante; sendo que o quarto dispositivo compreende: - um quarto receptor sem fio para receber mensagens, sendo que o receptor compreende uma quarta antena direcional para detectar uma direção de um sinal recebido que contém uma mensagem, - um quarto processador de mensagem disposto para: - determinar uma quarta direção ao receber a mensagem de medição no quarto dispositivo, e - transferir os quartos dados de suporte para o primeiro dispositivo, sendo que os quartos dados de suporte são indicativos da quarta direção;

sendo que o primeiro processador de mensagem (112) é disposto para: - receber os quartos dados de suporte provenientes do segundo dispositivo cooperante, - obter um quarto ângulo entre a quarta direção e a segunda direção de conexão com base nos quartos dados de suporte, e - fazer o teste de verificação usando também a segunda distância confiável e o quarto ângulo.

12. Dispositivo, de acordo com a reivindicação 11, caracterizado por o processador de mensagem (112) ser disposto para: - fazer o teste de verificação usando uma combinação de uma primeira desigualdade de triângulos em uma primeira constelação espacial do primeiro dispositivo, do segundo dispositivo e do terceiro dispositivo e de uma segunda desigualdade de triângulos em uma segunda constelação espacial do primeiro dispositivo, do segundo dispositivo e do quarto dispositivo; ou - verificar se um primeiro local do segundo dispositivo de acordo com a primeira constelação espacial corresponde a um segundo local do segundo dispositivo de acordo com a segunda constelação espacial; ou - fazer o teste de verificação usando uma verificação de inconsistência para detectar se todas as distâncias determinadas são maiores que zero; ou - fazer o teste de verificação com base em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos de modo que um ângulo confiável entre uma linha do terceiro dispositivo ao primeiro dispositivo e uma linha do quarto dispositivo ao primeiro dispositivo seja de pelo menos 90 graus; ou - fazer o teste de verificação com base em uma configuração na qual o terceiro dispositivo e o quarto dispositivo são dispostos em posições opostas um ao outro em relação ao primeiro dispositivo; ou - fazer o teste de verificação com base em uma configuração na qual a segunda distância confiável corresponde à distância confiável.

13. Sistema, de acordo com a reivindicação 11 ou 12, caracterizado por compreender um quinto dispositivo que age como um terceiro dispositivo cooperante, sendo que o primeiro dispositivo cooperante tem uma primeira direção de conexão, o segundo dispositivo cooperante tem uma segunda direção de conexão e o terceiro dispositivo cooperante tem uma terceira direção de conexão, sendo que cada direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o respectivo dispositivo cooperante, e cada direção de conexão forma um ângulo de 90 graus com as outras direções de conexão, sendo que o primeiro processador de mensagem (112) é disposto para: - fazer o teste de verificação usando uma combinação de desigualdades de triângulos em ao menos duas constelações espaciais, sendo que cada constelação compreende o segundo dispositivo e dois dispositivos do conjunto formado pelo primeiro dispositivo e pelos dispositivos cooperantes.

14. Método para medição de distância através de comunicação sem fio entre um primeiro dispositivo (110) e um segundo dispositivo (120), sendo que a comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo; sendo que o primeiro dispositivo compreende uma primeira antena direcional (113) para detectar uma direção de um sinal recebido que transporta uma mensagem; sendo o método caracterizado por compreender: - obter uma primeira distância (151) entre o primeiro dispositivo e o segundo dispositivo com base em um primeiro instante de chegada da mensagem de medição no primeiro dispositivo, - comunicar-se com um terceiro dispositivo (130), sendo que o terceiro dispositivo age como um dispositivo cooperante que está situado a uma distância confiável (150) do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão (160) com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante; sendo que o terceiro dispositivo compreende uma terceira antena direcional (133) para detectar uma direção de um sinal recebido que contém uma mensagem, e é disposto para: - determinar uma terceira direção quando a mensagem de medição é recebida no terceiro dispositivo, e - fornecer dados de suporte, sendo que os dados de suporte são indicativos da terceira direção; sendo que o método compreende, para avaliar a distância determinada: - determinar uma primeira direção quando a mensagem de medição é recebida no primeiro dispositivo, - determinar um primeiro ângulo (161) entre a primeira direção e a direção de conexão, - obter um terceiro ângulo (163) entre a terceira direção e a direção de conexão com base nos dados de suporte, - fazer um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

15. Método, de acordo com a reivindicação 14, caracterizado por compreender: - instruir o primeiro dispositivo a agir como um dispositivo iniciador para fornecer o primeiro ângulo e o primeiro instante de chegada ou a primeira distância, ou - instruir o terceiro dispositivo a agir como o dispositivo cooperante para fornecer os dados de suporte que são indicativos da terceira direção.

16. Método para agir como um dispositivo cooperante em uma medição de distância através de comunicação sem fio entre um primeiro dispositivo (110) e um segundo dispositivo (120), sendo que o dispositivo cooperante está situado a uma distância confiável (150) do primeiro dispositivo, sendo que o dispositivo cooperante compartilha uma direção de conexão (160) com o primeiro dispositivo, sendo que a direção de conexão é indicativa de uma direção de uma linha que conecta o primeiro dispositivo e o dispositivo cooperante; sendo que a comunicação sem fio compreende um protocolo de faixa para determinar uma distância entre o primeiro e o segundo dispositivos com base em um instante de chegada de uma mensagem de medição no primeiro dispositivo, sendo que o protocolo compreende transmitir a mensagem de medição pelo segundo dispositivo; sendo que o primeiro dispositivo compreende uma primeira antena direcional (113) para detectar uma direção de um sinal recebido que transporta uma mensagem e o primeiro dispositivo é disposto para obter uma primeira distância entre o primeiro dispositivo e o segundo dispositivo com base em um primeiro instante de chegada da mensagem de medição no primeiro dispositivo, sendo que o terceiro dispositivo compreende uma terceira antena direcional (133) para detectar uma direção de um sinal recebido que transporta uma mensagem, sendo o método caracterizado por compreender: - determinar uma terceira direção ao receber a mensagem de medição no terceiro dispositivo, e - fornecer dados de suporte, sendo que os dados de suporte são indicativos da terceira direção; sendo que o primeiro dispositivo é disposto para avaliar a distância determinada, - determinar uma primeira direção ao receber a mensagem de medição no primeiro dispositivo,

- determinar um primeiro ângulo (161) entre a primeira direção e a direção de conexão, - obter um terceiro ângulo (163) entre a terceira direção e a direção de conexão com base nos dados de suporte, - fazer um teste de verificação na primeira distância, na distância confiável, no primeiro ângulo e no terceiro ângulo, sendo que o teste de verificação aceita a primeira distância como confiável quando as ditas distâncias e ângulos correspondem a uma constelação espacial viável do primeiro dispositivo, do segundo dispositivo e do dispositivo cooperante.

17. Produto de programa de computador que pode ser baixado de uma rede e/ou armazenado em uma mídia legível por computador e/ou uma mídia executável por microprocessador, sendo que o produto é caracterizado por compreender instruções de código de programa para implementar um método conforme definido em qualquer uma das reivindicações 14 a 16 quando executado em um computador.