技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，是一種基于ISAPI過濾器的訪問控制系統(tǒng)，它以一種對Web應(yīng)用系統(tǒng)透明的方式，為部署在IIS服務(wù)器上的Web應(yīng)用提供訪問控制功能，尤其是在不依賴于Web系統(tǒng)(Web容器或Web應(yīng)用)和不使用cookie的情況下實現(xiàn)Session?ID的透明傳遞。

背景技術(shù)

對于部署在互聯(lián)網(wǎng)上的許多Web應(yīng)用服務(wù)系統(tǒng)，用戶身份鑒別(Authentication)和訪問控制(Access?Control)是必不可少的安全功能。身份鑒別，即知道對方是誰，確認對方是其聲稱的人(或?qū)嶓w)；而訪問進行控制，即根據(jù)用戶的權(quán)限和訪問控制策略在線決定是否允許用戶訪問某項資源并進行有關(guān)操作，這些資源可以是主機、系統(tǒng)目錄、文件，或某項服務(wù)功能，如交易、支付等。訪問控制又稱為訪問授權(quán)(Authorization)，包括權(quán)限管理(Privilege?Management)、授權(quán)決策(Authorization?Decision)和授權(quán)實施(Authorization?Enforcement)三部分。身份鑒別和訪問控制是密切相關(guān)的。

對于現(xiàn)有的已部署的許多Web應(yīng)用系統(tǒng)，可能存在這樣的情形：在系統(tǒng)開發(fā)之初未考慮訪問控制功能，或者已實施的訪問控制功能不完善，目前需要加入或完善其訪問控制功能。加入或完善所需的訪問控制功能當然可以通過修改應(yīng)用系統(tǒng)來實現(xiàn)，但這種做法存在如下問題：

(1)修改工作量可能很大，動一發(fā)而牽全身，可能會涉及到修改整個系統(tǒng)；

(2)修改、開發(fā)成本高；

(3)原系統(tǒng)開發(fā)文檔、開發(fā)商已無法找到，而系統(tǒng)又很復雜；

(4)對于基于不同Web技術(shù)開發(fā)的應(yīng)用系統(tǒng)，如ASP、ASP.NET，、JSP/Servlet、CGI、PHP等，需要采用的不同實現(xiàn)方法；

(5)有可能需要長時間地中止服務(wù)，這在許多情況是不允許的。

而基于ISAPI過濾器的訪問控制技術(shù)，能在不修改Web應(yīng)用系統(tǒng)的情況下，加入其所需的訪問控制功能，因而具有很高的實際應(yīng)用價值。

ISAPI(Internet?Server?Application?Programming?Interface)是微軟公司IIS(Internet?Information?Server)Web服務(wù)器上的一個API標準，基于ISAPI的DLL被Web服務(wù)器程序加載到自己的進程空間，并和Web服務(wù)器程序共用一個地址空間。基于ISAPI的DLL又分為擴展(extension)和過濾器(filter)兩類。

ISAPI過濾器(又稱為插件plug-in)位于客戶端瀏覽器與Web服務(wù)器的網(wǎng)絡(luò)連接之間，可在HTTP請求/響應(yīng)處理的不同階段對請求/響應(yīng)進行攔截和處理。對HTTP請求/響應(yīng)處理的不同階段，ISAPI用不同的事件標識，通過注冊相應(yīng)的事件通知，如SF_NOTIFY_PREPROC_HEADERS(通知預(yù)處理題頭)，SF_NOTIFY_SEND_RAW_DATA(通知發(fā)送原數(shù)據(jù))等，Web服務(wù)器在不同階段調(diào)用ISAPI過濾器的事件處理回調(diào)函數(shù)，對HTTP請求或響應(yīng)進行處理，如讀取HTTP請求中的數(shù)據(jù)，處理題頭(Header)，鑒別用戶，進行URL修改，返回數(shù)據(jù)，記錄日志等。

ISAPI過濾器有兩個入口回調(diào)函數(shù)，分別是注冊函數(shù)GetFilterVersion()和過濾器處理函數(shù)HttpFilterProc()，其接口定義如下，

BOOL?WINAPI?GetFilterVersion(PHTTP_FILTER_VERSION?pVer)；

DWORD?WINAPI?HttpFilterProc(PHTTP_FILTER_CONTEXT?pfc，DWORDNotificationType，LPVOID?pvNotification)；

PHTTP_FILTER_VERSION和PHTTP_FILTER_CONTEXT由ISAPI定義。