Wie kann ich nun ein sicheres Sessionmanagement erreichen, das waehrend einer Session auch unterschiedliche IPs erlaubt?

Es gibt eine sehr nette Methode (die aber wohl durch ein Patent geschuetzt ist): Hier wird der Hostname als SessionID benutzt. Das setzt einen wildcard-Eintrag im DNS und einen entsprechend konfigurierten virtuellen Server voraus und den Vorteil, dass bei Verwendung von relativen Links der Browser dafuer sorgt, dass die SessionID durchgeschleift wird.

Peter