Bueno .. ya te comenté los problemas con el SID si usas sesiones de PHP.

SI ese ".asp" (aplicación) ya tiene su própio sistema de autentificación. Pasale las variables de "usuario/contraseña" al script (.asp) que haga la validación desde las variables que obtendras de tu sesión en curso (que tendras que guardar usuario/password de ese otro sistema) y ahí se las pasas por el URL (bastante inseguro) o socket's directo (simulando el metodo GET o POST que requiera ese ".asp" de proceso que valide al usuario).

Un saludo,