[发明专利]一种Session ID全透明传递的ISAPI访问控制系统

说明书

技术领域

本发明属于网络信息安全技术领域，是一种基于ISAPI过滤器的访问控制系统，它以一种对Web应用系统透明的方式，为部署在IIS服务器上的Web应用提供访问控制功能，尤其是在不依赖于Web系统(Web容器或Web应用)和不使用cookie的情况下实现Session ID的透明传递。

背景技术

对于部署在互联网上的许多Web应用服务系统，用户身份鉴别(Authentication)和访问控制(Access Control)是必不可少的安全功能。身份鉴别，即知道对方是谁，确认对方是其声称的人(或实体)；而访问进行控制，即根据用户的权限和访问控制策略在线决定是否允许用户访问某项资源并进行有关操作，这些资源可以是主机、系统目录、文件，或某项服务功能，如交易、支付等。访问控制又称为访问授权(Authorization)，包括权限管理(Privilege Management)、授权决策(Authorization Decision)和授权实施(Authorization Enforcement)三部分。身份鉴别和访问控制是密切相关的。

对于现有的已部署的许多Web应用系统，可能存在这样的情形：在系统开发之初未考虑访问控制功能，或者已实施的访问控制功能不完善，目前需要加入或完善其访问控制功能。加入或完善所需的访问控制功能当然可以通过修改应用系统来实现，但这种做法存在如下问题：

(1)修改工作量可能很大，动一发而牵全身，可能会涉及到修改整个系统；

(2)修改、开发成本高；

(3)原系统开发文档、开发商已无法找到，而系统又很复杂；

(4)对于基于不同Web技术开发的应用系统，如ASP、ASP.NET，、JSP/Servlet、CGI、PHP等，需要采用的不同实现方法；

(5)有可能需要长时间地中止服务，这在许多情况是不允许的。

而基于ISAPI过滤器的访问控制技术，能在不修改Web应用系统的情况下，加入其所需的访问控制功能，因而具有很高的实际应用价值。

ISAPI(Internet Server Application Programming Interface)是微软公司IIS(Internet Information Server)Web服务器上的一个API标准，基于ISAPI的DLL被Web服务器程序加载到自己的进程空间，并和Web服务器程序共用一个地址空间。基于ISAPI的DLL又分为扩展(extension)和过滤器(filter)两类。

ISAPI过滤器(又称为插件plug-in)位于客户端浏览器与Web服务器的网络连接之间，可在HTTP请求/响应处理的不同阶段对请求/响应进行拦截和处理。对HTTP请求/响应处理的不同阶段，ISAPI用不同的事件标识，通过注册相应的事件通知，如SF_NOTIFY_PREPROC_HEADERS(通知预处理题头)，SF_NOTIFY_SEND_RAW_DATA(通知发送原数据)等，Web服务器在不同阶段调用ISAPI过滤器的事件处理回调函数，对HTTP请求或响应进行处理，如读取HTTP请求中的数据，处理题头(Header)，鉴别用户，进行URL修改，返回数据，记录日志等。

ISAPI过滤器有两个入口回调函数，分别是注册函数GetFilterVersion()和过滤器处理函数HttpFilterProc()，其接口定义如下，

BOOL WINAPI GetFilterVersion(PHTTP_FILTER_VERSION pVer)；

DWORD WINAPI HttpFilterProc(PHTTP_FILTER_CONTEXT pfc，DWORDNotificationType，LPVOID pvNotification)；

PHTTP_FILTER_VERSION和PHTTP_FILTER_CONTEXT由ISAPI定义。