yo veo todo bien, excepto una problema lógico... justo en el script donde compruebas la sesión haces la comparación al revés...
Código PHP:
if(isset($_SESSION['usuario']))
{
echo"<script language='javascript'>alert('No está autenticado');</script>";
echo"<script language='javascript'>window.location='index.php'</script>";
}
ahí, dice algo así: si existe la variable de sesión usuario, entonces no está autenticado... piensa esa parte, pues en ese sentido esta mal...
simplemente puedes negar la función
isset() resultado algo así como: si
no existe... (: