100%-ig eindeutig ist das aber nicht...

Du kannst ja mehrere Sachen nehmen:

IP
UNIQUE_ID
HTTP_USER_AGENT

Das packst du alles zu einem MD5-Hash und überprüfst es immer.
Besonders mit der unique_id solltest du auf 99,99999% Sicherheit kommen.

Eine Session ID muss immer eine eindeutige (unique) ID sein...
Oder was hast du mit der unique_id vor? Willst du sie als URL mitgeben (dann wird sie vom User mit kopiert) oder auf dem Server speichern (der hat doch schon die Session-ID)?

Außerdem: Du lehnst dich mit der Sicherheits-Prozent-Angabe ziemlich aus dem Fenster. Wenn beide über den selben Proxy kommen und die selbe Software-Ausstattung haben, so wie das in vielen Firmen der Fall ist, schmilzt deine Sicherheitsangabe schnell dahin....